JP2001111538A - Communication system and method, communication device and IC card - Google Patents
Communication system and method, communication device and IC cardInfo
- Publication number
- JP2001111538A JP2001111538A JP28424599A JP28424599A JP2001111538A JP 2001111538 A JP2001111538 A JP 2001111538A JP 28424599 A JP28424599 A JP 28424599A JP 28424599 A JP28424599 A JP 28424599A JP 2001111538 A JP2001111538 A JP 2001111538A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- key
- communication
- gateway
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】ネットワーク管理者でも秘密鍵を取り出すこと
ができない、信頼性の高い通信を提供する。
【解決手段】ゲートウェイ10では、ICカード40内
でRSA鍵を生成し、ICカード40内部で現在使用し
ている秘密鍵により公開鍵に署名を行なう。この署名さ
れた公開鍵を、ゲートウェイ10は認証局30に送る。
認証局30では、ゲートウェイ10の現在の公開鍵を用
いてこれを検査し、新たな公開鍵を獲得し、これに認証
局30の秘密鍵で署名をし、電子証明書としてゲートウ
ェイ10に送信する。ゲートウェイ10は、この電子証
明書をゲートウェイ20など所望の通信先に送信し、鍵
の更新を行なう。ゲートウェイ10では、通信文もIC
カード40内でICカード40内に保持されている秘密
鍵を用いて暗号化することにより、秘密鍵は一切ICカ
ード40外部に出ず、セキュリティ性が高まる。
(57) [Summary] [PROBLEMS] To provide highly reliable communication in which even a network administrator cannot extract a secret key. A gateway (10) generates an RSA key in an IC card (40) and signs a public key with a secret key currently used in the IC card (40). The gateway 10 sends the signed public key to the certificate authority 30.
The certificate authority 30 checks this using the current public key of the gateway 10, obtains a new public key, signs it with the private key of the certificate authority 30, and sends it to the gateway 10 as an electronic certificate. . The gateway 10 transmits this electronic certificate to a desired communication destination such as the gateway 20, and updates the key. In the gateway 10, the message is also IC
By encrypting the card 40 using the secret key held in the IC card 40, the secret key does not come out of the IC card 40 at all, and the security is enhanced.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、高いセキュリティ
性で証明書の発行を行うことができ、これによりたとえ
ばインターネットのようなオープンなネットワークを利
用してセキュリティ性の高い通信を行なうことができる
通信システムおよび通信方法と、そのような通信システ
ムを構築するのに好適な通信装置、および、そのような
通信装置において鍵の管理に用いて好適なICカードに
関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a communication system capable of issuing a certificate with high security, thereby enabling communication with high security using an open network such as the Internet. The present invention relates to a system and a communication method, a communication device suitable for constructing such a communication system, and an IC card suitable for use in key management in such a communication device.
【0002】[0002]
【従来の技術】たとえば企業などにおいてローカルエリ
アネットワーク(LAN)を構築する場合で、事業所が
地理的に遠方の地に分散して存在するような場合には、
各地区ごとに構築したLANを接続する必要がある。こ
のような場合には、専用回線を用いてLAN同士を接続
する場合が多い。しかしながら、近年では、たとえばイ
ンターネットのようなオープンなネットワークが既に構
築され広く利用されており、このようなネットワークを
介して前述したような各地区ごとのLANを接続するこ
とができれば、LANの構築が容易になる上に通信コス
トが低減でき好適である。そこで、LAN間接続をこの
ようなオープンなネットワークを介して行ない実質的に
大規模なLANを構築するVPN(仮想内線網)なるシ
ステムが提案されている。2. Description of the Related Art For example, in a case where a local area network (LAN) is constructed in a company or the like and offices are dispersed in geographically distant places,
It is necessary to connect the LAN constructed for each district. In such a case, the LANs are often connected using a dedicated line. However, in recent years, for example, an open network such as the Internet has already been constructed and widely used. If it is possible to connect a LAN for each district as described above via such a network, the construction of the LAN will be difficult. This is preferable because communication becomes easy and the communication cost can be reduced. Therefore, a system called a VPN (virtual extension network) has been proposed in which a LAN is connected via such an open network to construct a substantially large-scale LAN.
【0003】しかしながら、このようなオープンなネッ
トワークシステムは、不特定多数の者が絶え間なく利用
している上に、故意に不正なアクセスを試みる者も多数
いることが予測され、セキュリティ性の点が大きな問題
である。このような問題に対処するために、これまでの
VPNにおいては、接続対象のLANのゲートウェイ間
で、認証局たるノードより発行される電子証明書を交換
し、これにより通信相手の確認を行なうとともに暗号を
用いるための鍵を交換し、以後暗号を用いて通信を行な
うようにしている場合が多い。[0003] However, in such an open network system, it is expected that an unspecified number of people constantly use the system, and that many people intentionally attempt unauthorized access. It is a big problem. In order to cope with such a problem, in a conventional VPN, an electronic certificate issued by a node as a certificate authority is exchanged between gateways of a connection target LAN, thereby confirming a communication partner. In many cases, a key for using encryption is exchanged, and thereafter communication is performed using encryption.
【0004】これまでの通信システムにおける、そのよ
うな電子証明書発行までの処理の流れを図3に示す。図
3は、従来のVPNのゲートウェイ間の認証処理の流れ
を模式的に示す図である。図3において、ゲートウェイ
90およびゲートウェイ20は、各々特定のLANとイ
ンターネットを接続するゲートウェイであり、認証局3
0はインターネット上の任意のノード上に設けられた機
能である。FIG. 3 shows the flow of processing up to the issuance of such an electronic certificate in a conventional communication system. FIG. 3 is a diagram schematically illustrating a flow of an authentication process between conventional VPN gateways. In FIG. 3, a gateway 90 and a gateway 20 are gateways for connecting a specific LAN and the Internet, respectively.
0 is a function provided on an arbitrary node on the Internet.
【0005】なお、これらのゲートウェイ90,20お
よび認証局30における暗号化、認証、署名などの処理
は、公開鍵と秘密鍵の鍵ペアを利用する公開鍵方式、よ
り具体的にはRSA (Revest-Shamir-Adleman)方式によ
り行なう。そして、ゲートウェイ90には自分の公開鍵
および秘密鍵からなるRSA鍵ペア(図中では、各々V
溝を有するシンボルAおよびV山を有するシンボルAで
示す)および認証局30の公開鍵(図中では、V溝を有
するシンボルCAで示す)が、ゲートウェイ20には同
じく自分の公開鍵および秘密鍵からなるRSA鍵ペア
(図中では、各々V溝を有するシンボルBおよびV山を
有するシンボルBで示す)および認証局30の公開鍵
が、認証局30には自分の秘密鍵(図中では、V山を有
するシンボルCAで示す)、ゲートウェイ90の公開鍵
およびゲートウェイ20の公開鍵が、各々予め保持され
ているものとする。[0005] The processes such as encryption, authentication, and signature in the gateways 90 and 20 and the certificate authority 30 are performed by a public key method using a key pair of a public key and a secret key, more specifically, RSA (Revest). -Shamir-Adleman) method. Then, an RSA key pair including its own public key and secret key (in the figure, V
The symbol A having a groove and the symbol A having a V-mountain and the public key of the certificate authority 30 (in the figure, indicated by a symbol CA having a V-groove) have their own public key and private key also provided to the gateway 20. The RSA key pair (indicated by a symbol B having a V groove and a symbol B having a V peak in the figure) and the public key of the certificate authority 30 are provided to the certificate authority 30 by their own private key (in the figure, It is assumed that the public key of the gateway 90 and the public key of the gateway 20 are respectively stored in advance.
【0006】このような各ゲートウェイ90,20およ
び認証局30を有するVPN9において、ゲートウェイ
90とゲートウェイ20の間で暗号を用いて通信を行な
うためには、各ゲートウェイが自分の公開鍵を通信先の
ゲートウェイに送信する必要がある。そして、公開鍵の
転送を行なう際には、各ゲートウェイにおいて本当に適
切な相手から送信された鍵かどうかを判定する必要があ
る。そこで、各ゲートウェイ90,20は、自分の公開
鍵を認証局30に送って、認証して電子証明書を発行し
てもらい、その電子証明書を通信先に送信するようにし
ている。電子証明書を受信したゲートウェイにおいて
は、その電子証明書が適切に認証局30で認証の行なわ
れたものであることを検査すれば、その電子証明書に含
まれる公開鍵を適切な公開鍵と判定することができる。In such a VPN 9 having each of the gateways 90 and 20 and the certificate authority 30, in order to perform communication using encryption between the gateway 90 and the gateway 20, each of the gateways transmits its own public key to the communication destination. Must be sent to gateway. When transferring a public key, each gateway needs to determine whether or not the key is really transmitted from an appropriate partner. Therefore, each of the gateways 90 and 20 sends its own public key to the certificate authority 30, authenticates and issues an electronic certificate, and transmits the electronic certificate to the communication destination. When the gateway that has received the electronic certificate checks that the electronic certificate has been properly authenticated by the certificate authority 30, the gateway includes the public key included in the electronic certificate as an appropriate public key. Can be determined.
【0007】図3に示す構成に基づいて、この公開鍵の
転送の処理およびそれに続く通信処理について具体的に
説明する。まず、ゲートウェイ90は、自分の公開鍵に
対して自分の秘密鍵を用いて電子署名を行い、電子証明
書の発行を認証局30に要求する()。認証局30
は、この要求を受領したら、保持しているゲートウェイ
90の公開鍵を用いてこの電子署名の検査を行う。電子
署名が適切、すなわち正当にゲートウェイ90により行
なわれたものであった場合には、認証局30は、認証局
30の秘密鍵を用いてゲートウェイ90の公開鍵に電子
署名を行い、電子証明書としてゲートウェイ90に返信
する()。これを受け取ったゲートウェイ90は、通
信相手たるゲートウェイ20にこの証明書を送信する
()。ゲートウェイ20はこの電子証明書を受け取っ
たら、保持している認証局30の公開鍵を用いて、その
電子証明書の署名の検査を行う。そして、署名が適切で
あれば、ゲートウェイ90の公開鍵を保持する。The process of transferring the public key and the subsequent communication process will be specifically described based on the configuration shown in FIG. First, the gateway 90 performs an electronic signature on its own public key using its own private key, and requests the certificate authority 30 to issue an electronic certificate (()). Certificate Authority 30
Receives this request, checks the electronic signature using the public key of the gateway 90 that is held. When the electronic signature is appropriate, that is, when the electronic signature is properly authorized by the gateway 90, the certificate authority 30 performs an electronic signature on the public key of the gateway 90 using the private key of the certificate authority 30, and obtains an electronic certificate. () To the gateway 90. The gateway 90 receiving this transmits this certificate to the gateway 20 that is the communication partner (). Upon receipt of the electronic certificate, the gateway 20 checks the signature of the electronic certificate using the public key of the certificate authority 30 that is held. Then, if the signature is appropriate, the public key of the gateway 90 is held.
【0008】同様に、ゲートウェイ20は、自分の公開
鍵に対して、自分の秘密鍵を用いて電子署名を行い、電
子証明書の発行を認証局30に要求する()。認証局
30は、この要求を受領したら、保持しているゲートウ
ェイ20の公開鍵を用いてこの電子署名の検査を行う。
電子署名が適切、すなわち正当にゲートウェイ20によ
り行なわれたものであった場合には、認証局30は、認
証局30の秘密鍵を用いてゲートウェイ20の公開鍵に
電子署名を行い、電子証明書としてゲートウェイ20に
返信する()。これを受け取ったゲートウェイ20
は、通信相手たるゲートウェイ90にこの証明書を送信
する()。ゲートウェイ90はこの電子証明書を受け
取ったら、保持している認証局30の公開鍵を用いて、
その電子証明書の署名の検査を行う。そして、署名が適
切であれば、ゲートウェイ20の公開鍵を保持する。Similarly, the gateway 20 performs an electronic signature on its own public key using its own private key, and requests the certificate authority 30 to issue an electronic certificate (). Upon receiving this request, the certificate authority 30 checks the electronic signature using the public key of the gateway 20 that is held.
When the electronic signature is appropriate, that is, when the electronic signature is properly signed by the gateway 20, the certificate authority 30 performs an electronic signature on the public key of the gateway 20 using the private key of the certificate authority 30, and obtains the electronic certificate. To the gateway 20 (). Gateway 20 receiving this
Sends this certificate to the gateway 90 that is the communication partner (). Upon receipt of the digital certificate, the gateway 90 uses the public key of the certificate authority 30 held by
The signature of the digital certificate is checked. Then, if the signature is appropriate, the public key of the gateway 20 is held.
【0009】このようにして公開鍵の交換が終了した
ら、ゲートウェイ90およびゲートウェイ20は、各
々、通信文を自分が保持している自分の秘密鍵を用いて
暗号化し、相手に送信する。これを受信したゲートウェ
イ20およびゲートウェイ90は、各々先に送信された
相手の公開鍵用いてこれを復号し、元の平文の通信文を
得る。このように、認証局30を介して各ゲートウェイ
の認証を行なった上で、暗号を用いてゲートウェイ間で
通信を行なうことにより、オープンなネットワークを用
いたLANの接続を実用的なものとし、VPNを実現可
能にしている。When the public key exchange is completed in this manner, each of the gateway 90 and the gateway 20 encrypts the communication message using its own private key held by itself, and transmits it to the other party. The gateway 20 and the gateway 90 which have received the message respectively decrypt the message using the public key of the other party transmitted earlier to obtain the original plaintext message. As described above, after each gateway is authenticated via the authentication station 30, communication is performed between the gateways using encryption, thereby making the LAN connection using the open network practical and the VPN Is feasible.
【0010】[0010]
【発明が解決しようとする課題】ところで、このような
暗号処理、署名・認証処理など(以後、これらを全て含
めて一般的に暗号という場合もある)においては、暗号
化方式、暗号化アルゴリズムなどとともに、鍵の管理が
非常に重要である。特に、前述した署名・認証や暗号に
用いたRSA方式などの公開鍵方式においては、秘密鍵
の管理が非常に重要である。By the way, in such encryption processing, signature / authentication processing, etc. (hereinafter, all of them may be generally referred to as encryption), an encryption method, an encryption algorithm, etc. At the same time, key management is very important. In particular, in a public key system such as the RSA system used for signature / authentication and encryption, management of a secret key is very important.
【0011】しかしながら、前述した通信システムにお
いては、その秘密鍵は、通常計算機システムなどで構成
されるゲートウェイ上で生成され保持されているため、
たとえば鍵生成の処理のオペレータやゲートウェイの管
理者などゲートウェイに十分なアクセス権を有する者で
あれば、容易にこれを読み出すことができ、秘密鍵が漏
洩する可能性があるという問題がある。その結果、通信
システム全体のセキュリティ性を低下させることにな
り、たとえば前述したようなオープンなネットワークシ
ステムを用いてVPNなどのセキュリティ性の高い通信
を行なおうとした時には、大きな問題となる。However, in the above-mentioned communication system, the secret key is usually generated and held on a gateway constituted by a computer system or the like.
For example, there is a problem that anyone who has sufficient access right to the gateway, such as an operator of the key generation process or an administrator of the gateway, can easily read this, and the secret key may be leaked. As a result, the security of the entire communication system is degraded. For example, when a highly secure communication such as a VPN is performed using an open network system as described above, a serious problem occurs.
【0012】このような問題に対処するために、たとえ
ば特開平9−261217号公報には、ICカードなど
外部より容易にアクセスすることのできない装置内で鍵
を生成するという方法が提案されている。しかしなが
ら、ICカード内で鍵を生成したとしても、その鍵を用
いて認証などの通信に係わる処理を行うのはゲートウェ
イ装置であり、また、少なくともICカードより生成し
た鍵のデータを読み出す際にはデータとして読み出され
るので、ゲートウェイの管理者など特権を有する者であ
れば、これを読み出せることに変わりはなく、セキュリ
ティ性が十分とは言えない。In order to cope with such a problem, for example, Japanese Patent Application Laid-Open No. 9-261217 proposes a method of generating a key in a device such as an IC card which cannot be easily accessed from outside. . However, even if a key is generated in the IC card, it is the gateway device that performs processing related to communication such as authentication using the key, and at least when reading data of the key generated from the IC card, Since it is read as data, it can be read by a privileged person such as a gateway administrator, and the security is not sufficient.
【0013】したがって、本発明の目的は、たとえゲー
トウェイの管理者であっても、そのゲートウェイで管理
する秘密鍵を読み出すことができず、認証処理や電子証
明書の発行処理などをより高いセキュリティ性で行うこ
とができ、これによりたとえばインターネットのような
オープンなネットワークを介してもセキュリティ性の高
い通信を行なうことができる通信システムおよび通信方
法を提供することにある。また、本発明の他の目的は、
管理者であっても自らの管理する秘密鍵を読み出すこと
ができず、種々の認証処理をより高いセキュリティ性で
行うことができる通信装置を提供することにある。ま
た、本発明の他の目的は、そのような通信装置に用いて
好適な、秘密鍵を外部からアクセスされないように保持
して認証・署名処理などを行なうことのできるICカー
ドを提供することにある。Therefore, an object of the present invention is that even a gateway administrator cannot read a private key managed by the gateway, and can perform authentication processing and digital certificate issuance processing with higher security. It is an object of the present invention to provide a communication system and a communication method capable of performing highly secure communication through an open network such as the Internet, for example. Another object of the present invention is to
It is an object of the present invention to provide a communication device in which even an administrator cannot read a secret key managed by the administrator and can perform various authentication processes with higher security. Another object of the present invention is to provide an IC card suitable for use in such a communication device and capable of performing authentication / signature processing while holding a secret key so as not to be accessed from the outside. is there.
【0014】[0014]
【課題を解決するための手段】前記課題を解決するため
に、本発明の通信システムは、複数のノードおよび認証
局が、必要に応じて相互の公開鍵を保持し、公開鍵方式
に基づいた暗号文を用いて相互に通信を行なう通信シス
テムであって、前記ノードの少なくとも1つのノード
は、公開鍵および秘密鍵を有する公開鍵対を内部で生成
し、秘密鍵は内部で外部よりアクセス不可能に保持し、
生成した公開鍵を、以前に生成し内部に保持されている
秘密鍵を用いて暗号化し出力する暗号処理装置と、前記
暗号処理装置より出力された以前の秘密鍵を用いて暗号
化された生成された公開鍵を、前記認証局に送信し、前
記生成された公開鍵に前記認証局が認証を行なった電子
証明書を獲得する電子証明書獲得手段と、前記獲得した
電子証明書を、通信先のノードに送信し、公開鍵の更新
を行なう送信手段とを有する。In order to solve the above problems, a communication system according to the present invention is based on a public key system in which a plurality of nodes and a certificate authority hold mutual public keys as necessary. A communication system for mutually communicating using ciphertext, wherein at least one of the nodes internally generates a public key pair having a public key and a secret key, and the secret key is internally inaccessible from outside. Hold possible,
A cryptographic processing device for encrypting and outputting the generated public key using a secret key previously generated and held therein, and a cryptographic processing device using the previous secret key output from the cryptographic processing device. Transmitting the obtained public key to the certificate authority, and obtaining an electronic certificate obtained by authenticating the generated public key by the certificate authority. Transmission means for transmitting to the previous node and updating the public key.
【0015】また、本発明の通信方法は、複数のノード
および認証局が、必要に応じて相互の公開鍵を保持し、
公開鍵方式に基づいた暗号文を用いて相互に通信を行な
う通信方法であって、前記ノードの少なくともいずれか
のノードにおいて、外部より任意にアクセス不可能な装
置であって、公開鍵および秘密鍵を有する公開鍵対を内
部で生成し、秘密鍵は内部で外部よりアクセス不可能に
保持し、少なくとも生成した公開鍵を以前に生成し内部
に保持されている使用中の秘密鍵を用いて暗号化し出力
する暗号処理装置を用いて、使用中の秘密鍵を用いて暗
号化された新たな公開鍵データを生成し、前記暗号化さ
れた新たな公開鍵データを前記認証局に送信し、前記認
証局は、送信された前記暗号化された新たな公開鍵デー
タを復号化して、該新たな公開鍵データを獲得し、前記
獲得した新たな公開鍵データに当該認証局の秘密鍵を用
いて認証を行ない、前記認証を行なった公開鍵データを
当該公開鍵データの送信元のノードに送信し、当該送信
元のノードは、前記認証局の認証の得られた公開鍵デー
タを、通信先の任意のノードに送信し、前記認証局の認
証の得られた公開鍵データが送信されたノードは、前記
認証局の公開鍵を用いて前記認証の検査を行ない、前記
新たな公開鍵を獲得し、前記送信元のノードと他のノー
ドおよび認証局は、前記獲得された新たな公開鍵を用い
て前記通信を行なう。Further, according to the communication method of the present invention, a plurality of nodes and a certificate authority hold mutual public keys as necessary,
A communication method for mutually communicating using cipher text based on a public key method, wherein at least one of the nodes is a device that is arbitrarily inaccessible from the outside, comprising a public key and a secret key. Internally generates a public key pair having a private key that is inaccessible from the outside, and encrypts at least the generated public key using a previously used and internally held secret key. Using a cryptographic processing device to generate and output, generate a new public key data encrypted using the secret key in use, transmit the encrypted new public key data to the certificate authority, The certificate authority decodes the transmitted encrypted new public key data to obtain the new public key data, and uses the obtained public key data with the secret key of the certificate authority for the obtained new public key data. Authenticate The authenticated public key data is transmitted to the transmission source node of the public key data, and the transmission source node transmits the public key data obtained by the authentication of the certification authority to any node of the communication destination. The node to which the transmission and the transmission of the public key data obtained by the authentication of the certificate authority perform the authentication check using the public key of the certificate authority, obtain the new public key, and The node, the other node, and the certificate authority perform the communication using the obtained new public key.
【0016】好適には、前記送信元のノードは、任意の
データを送信する際には、当該データを前記暗号処理装
置に入力し、当該暗号処理装置内において該データを前
記内部に保持されている使用中の秘密鍵を用いて暗号化
し、当該暗号化したデータを送信先に送信する。Preferably, when transmitting any data, the transmission source node inputs the data to the cryptographic processing device, and stores the data inside the cryptographic processing device inside the cryptographic processing device. The encrypted data is encrypted using the secret key in use, and the encrypted data is transmitted to the transmission destination.
【0017】また、本発明の通信装置は、複数のノード
および認証局が、必要に応じて相互の公開鍵を保持し、
公開鍵方式に基づいた暗号文を用いて相互に通信を行な
う通信システムにおいて、前記ノードとして用いられる
通信装置であって、公開鍵および秘密鍵を有する公開鍵
対を内部で生成し、秘密鍵は内部で外部よりアクセス不
可能に保持し、生成した公開鍵を、以前に生成し内部に
保持されている秘密鍵を用いて暗号化し出力する暗号処
理装置と、前記暗号処理装置より出力された以前の秘密
鍵を用いて暗号化され生成された公開鍵を、所望の通信
先に送信する通信手段とを有する。Further, in the communication apparatus according to the present invention, a plurality of nodes and a certificate authority hold mutual public keys as necessary,
In a communication system for performing mutual communication using ciphertexts based on a public key method, a communication device used as the node, internally generating a public key pair having a public key and a secret key, A cryptographic processing device that internally holds it inaccessible from the outside and encrypts and outputs a generated public key using a secret key previously generated and held internally, and a cryptographic processing device that is output from the cryptographic processing device. And a communication means for transmitting a public key generated by encryption using the secret key to a desired communication destination.
【0018】好適には、前記通信手段は、前記暗号処理
装置より出力された以前の秘密鍵を用いて暗号化され生
成された公開鍵を、まず前記認証局に送信し、前記生成
された公開鍵に前記認証局が認証を行なった電子証明書
を獲得し、さらに、前記獲得した電子証明書を、所望の
通信先のノードに送信する。また好適には、送信対象の
データを前記暗号処理装置に入力する入力手段をさらに
有し、前記暗号処理装置は、前記入力される送信対象の
データを、前記以前に生成し内部に保持されている秘密
鍵を用いて暗号化し出力し、前記通信手段は、さらに、
前記出力された暗号化された送信対象のデータを、所望
の通信先のノードに送信する。特定的には、前記暗号処
理装置は、ICカードである。Preferably, the communication means first transmits a public key generated by encrypting using the previous secret key output from the cryptographic processing device to the certificate authority, and transmits the generated public key to the certificate authority. An electronic certificate authenticated by the certificate authority is obtained as a key, and the obtained electronic certificate is transmitted to a desired communication destination node. Also preferably, the apparatus further comprises input means for inputting data to be transmitted to the cryptographic processing device, wherein the cryptographic processing device generates the input data to be transmitted, which has been previously generated and held therein. Encrypting and outputting using a secret key, wherein the communication means further comprises:
The output encrypted data to be transmitted is transmitted to a desired communication destination node. Specifically, the cryptographic processing device is an IC card.
【0019】さらに、本発明のICカードは、公開鍵お
よび秘密鍵を有する公開鍵対を生成する鍵生成手段と、
秘密鍵を記憶する手段であって、要求に応じて前記生成
された公開鍵対の秘密鍵により更新される秘密鍵記憶手
段と、前記生成された公開鍵対の公開鍵を、前記記憶さ
れている秘密鍵を用いて暗号化する暗号化手段と、前記
秘密鍵を用いて暗号化された公開鍵を出力する出力手段
とを有し、前記生成された公開鍵対の秘密鍵および前記
記憶されている秘密鍵は、外部に出力されない構成とな
っている。Further, the IC card according to the present invention comprises: a key generating means for generating a public key pair having a public key and a secret key;
Means for storing a secret key, wherein the secret key storage means is updated by a secret key of the generated public key pair in response to a request; and Encryption means for encrypting using a secret key, and output means for outputting a public key encrypted using the secret key, wherein the secret key of the generated public key pair and the stored Is not output to the outside.
【0020】好適には、平文が入力される入力手段をさ
らに有し、前記暗号化手段は、さらに、前記入力された
平文を、前記記憶されている秘密鍵を用いて暗号化して
暗号文を生成し、前記出力手段は、前記暗号化された暗
号文を出力する。Preferably, the apparatus further comprises input means for inputting a plaintext, and the encrypting means further encrypts the input plaintext using the stored secret key to generate an encrypted text. Generating, and the output means outputs the encrypted ciphertext.
【0021】[0021]
【発明の実施の形態】本発明の実施の形態を図1および
図2を参照して説明する。本実施の形態においては、L
AN間をインターネットで接続したVPNにおいて、L
ANとインターネットを結合するゲートウェイ間でセキ
ュリティ性を維持して通信を行なうための構成および方
法を例示して、本発明を説明する。なお、本実施の形態
において以下の説明の中で行なう暗号化、認証、署名な
どの処理は、公開鍵と秘密鍵の鍵ペアを利用する公開鍵
方式、より具体的にはRSA (Revest-Shamir-Adleman)
方式により行なうものとする。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of the present invention will be described with reference to FIGS. In the present embodiment, L
In a VPN connecting the ANs via the Internet, L
The present invention will be described by exemplifying a configuration and a method for performing communication while maintaining security between a gateway connecting an AN and the Internet. In the present embodiment, processes such as encryption, authentication, and signature performed in the following description are performed by a public key method using a key pair of a public key and a secret key, more specifically, RSA (Revest-Shamir). -Adleman)
It shall be performed by the system.
【0022】図1は、そのVPNの特にLAN間接続部
の構成を模式的に示すとともに、ゲートウェイ間で適切
な通信を行なうための処理の流れを示す図である。VP
N1は、図1に示すように、ゲートウェイ10、ゲート
ウェイ20および認証局30がインターネットにより接
続されたものである。まず、ゲートウェイ10、ゲート
ウェイ20および認証局30の構成について説明する。FIG. 1 is a diagram schematically showing the configuration of the VPN, particularly the connection between LANs, and showing the flow of processing for performing appropriate communication between gateways. VP
N1, as shown in FIG. 1, is a connection of the gateway 10, the gateway 20, and the certificate authority 30 via the Internet. First, the configurations of the gateway 10, the gateway 20, and the certificate authority 30 will be described.
【0023】ゲートウェイ10は、図示せぬ特定のLA
Nとインターネットを接続するゲートウェイ(ルータ)
である。ゲートウェイ10は、実際には複数の通信ポー
トを有する計算機システムにより構成され、また、RS
A鍵の生成および署名処理を行なう本発明に係わるIC
カード40が装着されているものである。The gateway 10 has a specific LA (not shown).
Gateway (router) connecting N to the Internet
It is. The gateway 10 is actually configured by a computer system having a plurality of communication ports.
IC according to the present invention for generating A key and performing signature processing
The card 40 is mounted.
【0024】このようなゲートウェイ10は、まず、自
らがゲートとなっているLANから他のLANあるいは
インターネット上の他のノードへの通信、および、他の
LANあるいはインターネット上の他のノードから、自
らがゲートとなっているLANへの通信を中継する。そ
の際に、ゲートウェイ10は、VPN1を構成する他の
LANへデータを送信する場合、換言すれば他のLAN
のゲートウェイへデータを送信する場合には、そのデー
タを自分の秘密鍵を用いて暗号化してインターネット上
に送出する。また、VPN1を構成する他のLANから
送信されたデータを受信する、換言すれば他のLANの
ゲートウェイから送信されたデータを受信する場合に
は、そのデータは暗号化されているので、予め保持して
いるその送信元の公開鍵を用いてその受信データを復号
化し、自らの管理するLANに送出する。First, the gateway 10 communicates from the LAN on which it is a gate to another node on another LAN or the Internet, and receives a communication from another node on another LAN or the Internet. Relays the communication to the gated LAN. At this time, when transmitting data to another LAN configuring the VPN 1, the gateway 10 transmits the data to another LAN.
When transmitting data to the gateway, the data is encrypted using its own private key and transmitted over the Internet. When receiving data transmitted from another LAN constituting the VPN 1, in other words, when receiving data transmitted from a gateway of another LAN, the data is stored in advance because it is encrypted. The received data is decrypted by using the public key of the transmitting source and transmitted to the LAN managed by itself.
【0025】また、ゲートウェイ10は、前述したよう
な中継処理を行なうために、通信相手の認証の処理を行
なう。前述したように、他のLANのゲートウェイから
送信されたデータを受信する場合には、そのゲートウェ
イの公開鍵を保持しておく必要がある。通常、この公開
鍵は、最初の通信に先立ってネットワークを介して送信
されてくるが、この公開鍵は、認証局30による署名が
行なわれた形態で送信されてくる。そこで、ゲートウェ
イ10は、予め保持している認証局30の公開鍵を用い
てこの送信されてくる公開鍵が確かに認証局30により
認証を得ているものであるか否かの検査を行なう。検査
に合格した公開鍵は、その通信先から送信されてくる暗
号化された通信文の復号に用いる。The gateway 10 performs a communication partner authentication process in order to perform the above-described relay process. As described above, when receiving data transmitted from a gateway of another LAN, it is necessary to hold the public key of the gateway. Normally, this public key is transmitted via a network prior to the first communication, but this public key is transmitted in a form signed by the certificate authority 30. Therefore, the gateway 10 checks whether the transmitted public key is authenticated by the certificate authority 30 using the public key of the certificate authority 30 held in advance. The public key that has passed the inspection is used for decrypting the encrypted communication sent from the communication destination.
【0026】また、ゲートウェイ10は、逆に、新たな
他のLANなどの通信先と通信を行なおうとした場合
に、自分の公開鍵をその通信先に送信する処理を行な
う。そのために、まずゲートウェイ10は、自分の公開
鍵を自分の秘密鍵で暗号化して認証局30に送信し、公
開鍵に対する署名の要求を行なう。そして、認証局30
より、ゲートウェイ10の公開鍵に認証局30による署
名がなされた電子証明書が送信されてきたら、検査した
後、それを新たな通信先に送信する。新たな通信先にお
いて、この認証局30による署名が検査され、ゲートウ
ェイ10の公開鍵が登録されれば、以後、その通信先に
対して任意の情報を暗号化して送信することが可能とな
る。この時は、平文をゲートウェイ10の秘密鍵を用い
て暗号化を行なった通信文を送信することになる。Conversely, when the gateway 10 attempts to communicate with a new destination such as another LAN, the gateway 10 performs a process of transmitting its own public key to the destination. For this purpose, the gateway 10 first encrypts its own public key with its own private key, transmits the encrypted private key to the certificate authority 30, and requests a signature for the public key. And the certificate authority 30
When an electronic certificate in which the public key of the gateway 10 is signed by the certificate authority 30 is transmitted, the electronic certificate is inspected and transmitted to a new communication destination. At the new communication destination, the signature by the certificate authority 30 is checked, and if the public key of the gateway 10 is registered, any information can be encrypted and transmitted to the new communication destination. At this time, a communication message in which the plaintext is encrypted using the secret key of the gateway 10 is transmitted.
【0027】さらに、ゲートウェイ10においては、自
分の公開鍵および秘密鍵の更新などの鍵の管理に係わる
処理も行なう。暗号化処理や電子署名に用いる鍵は、通
常、定期的に更新する必要がある。そのためゲートウェ
イ10においては、定期的に公開鍵および秘密鍵からな
る新たな公開鍵ペアを生成し、この新たな公開鍵を古い
現在使用されている秘密鍵により暗号化して、認証局3
0を始めとする通信先に配信する。これにより、ゲート
ウェイ10の鍵ペアは、常にセキュリティ性が維持され
る。Further, the gateway 10 also performs processing related to key management such as updating its own public key and private key. Keys used for encryption and digital signatures usually need to be updated periodically. Therefore, the gateway 10 periodically generates a new public key pair including a public key and a secret key, encrypts the new public key with an old currently used secret key,
It is distributed to communication destinations such as 0. Thus, the security of the key pair of the gateway 10 is always maintained.
【0028】ゲートウェイ10においては、このように
種々の処理を行なうが、秘密鍵に係わる処理について
は、装着されているICカード40の内部で行なうよう
にしている。具体的には、通信文を秘密鍵を用いて署名
をする処理、新たな鍵ペアを生成する処理、および、公
開鍵に秘密鍵を用いて署名を行なう処理である。このよ
うな処理を行なうICカード40の構成および動作につ
いて、図2を参照し詳細に説明する。In the gateway 10, various processes are performed as described above, and the process related to the secret key is performed inside the mounted IC card 40. Specifically, there are a process of signing a message using a secret key, a process of generating a new key pair, and a process of signing a public key using a secret key. The configuration and operation of the IC card 40 that performs such processing will be described in detail with reference to FIG.
【0029】図2は、計算機システムに装着され、その
計算機システムとともにゲートウェイ10を構成するI
Cカード40の構成を示すブロック図である。ICカー
ド40は、RSA鍵生成部41、新公開鍵記憶部42、
新秘密鍵記憶部43、現秘密鍵記憶部44、署名部45
およびインターフェイス部46を有する。FIG. 2 shows an I which is mounted on a computer system and constitutes the gateway 10 together with the computer system.
FIG. 2 is a block diagram showing a configuration of a C card 40. The IC card 40 includes an RSA key generation unit 41, a new public key storage unit 42,
New secret key storage unit 43, current secret key storage unit 44, signature unit 45
And an interface unit 46.
【0030】まず、ICカード40の各部の構成につい
て説明する。RSA鍵生成部41は、図示せぬ制御部か
らの制御信号に基づいて、公開鍵暗号方式、特にRSA
方式による暗号化および復号化処理に用いる公開鍵のペ
ア、すなわち、公開鍵と秘密鍵のペアを生成し、公開鍵
は新公開鍵記憶部42に、秘密鍵は新秘密鍵記憶部43
に出力する。First, the configuration of each part of the IC card 40 will be described. The RSA key generation unit 41 performs public key cryptography, in particular, RSA
A pair of a public key used for encryption and decryption processing according to the scheme, that is, a pair of a public key and a secret key, is generated. The public key is stored in the new public key storage unit 42, and the secret key is stored in the new secret key storage unit 43.
Output to
【0031】新公開鍵記憶部42は、RSA鍵生成部4
1より入力される新たに生成された公開鍵を記憶し、要
求に応じて適宜署名部45に出力する。The new public key storage unit 42 stores the RSA key generation unit 4
The newly generated public key inputted from 1 is stored and output to the signature unit 45 as required.
【0032】新秘密鍵記憶部43は、RSA鍵生成部4
1より入力される新たに生成された秘密鍵を記憶し、要
求に応じて適宜現秘密鍵記憶部44に出力する。The new secret key storage unit 43 stores the RSA key generation unit 4
The newly generated secret key input from 1 is stored and output to the current secret key storage unit 44 as required.
【0033】現秘密鍵記憶部44は、現在ゲートウェイ
10が暗号化、署名処理において使用している秘密鍵を
記憶し、要求に応じて適宜署名部45に出力する。現秘
密鍵記憶部44に記憶されている秘密鍵は、ゲートウェ
イ10が使用する鍵を更新する時に、新秘密鍵記憶部4
3に記憶されている新たな秘密鍵が現秘密鍵記憶部44
に読み込まれることにより、更新される。The current secret key storage unit 44 stores the secret key currently used by the gateway 10 in the encryption and signature processing, and outputs it to the signature unit 45 as required. The secret key stored in the current secret key storage unit 44 is used when the key used by the gateway 10 is updated.
3 is stored in the current private key storage unit 44.
It is updated by being read in.
【0034】署名部45は、新公開鍵記憶部42より入
力される新たに生成された公開鍵、あるいは、後述する
インターフェイス部46より入力される通信平文に対し
て、現秘密鍵記憶部44に記憶されている秘密鍵を用い
て、所定の暗号化アルゴリズムにより署名を行ない、イ
ンターフェイス部46に出力する。The signature unit 45 stores a newly generated public key input from the new public key storage unit 42 or a communication plaintext input from the interface unit 46 described later in the current secret key storage unit 44. Using the stored secret key, a signature is made by a predetermined encryption algorithm and output to the interface unit 46.
【0035】インターフェイス部46は、ICカード4
0とICカード40が装着されている計算機システムと
の信号の送受を行なうためのインターフェイス部であ
る。ICカード40は、所定の信号に定義された8つの
電極を有する接触式のICカードであってリーダ/ライ
タ装置に装着されて用いられる。インターフェイス部4
6は、この電極を介して、所定の通信プロトコルによ
り、リーダ/ライタ装置を介して、外部計算機システム
と通信を行なう。The interface unit 46 includes the IC card 4
An interface unit for transmitting and receiving signals to and from a computer system on which the IC card 40 is mounted. The IC card 40 is a contact-type IC card having eight electrodes defined by predetermined signals, and is used by being mounted on a reader / writer device. Interface part 4
6 communicates with the external computer system via the reader / writer device through the electrodes and according to a predetermined communication protocol.
【0036】具体的には、署名部45で秘密鍵により署
名された公開鍵または通信文のデータが、インターフェ
イス部46を介してゲートウェイ10の本体たる外部計
算機システムに出力される。また、外部計算機システム
からは、署名対象の通信平文がインターフェイス部46
を介して署名部45に入力される。また、ICカード4
0内の図示せぬ制御部と、外部計算機装置の制御信号の
伝送も、このインターフェイス部46を介して行なわれ
る。More specifically, the data of the public key or message signed by the signature unit 45 with the secret key is output to the external computer system as the main body of the gateway 10 via the interface unit 46. In addition, the communication plaintext to be signed is transmitted from the external computer system to the interface unit 46.
Is input to the signature unit 45 via the. In addition, IC card 4
A control unit (not shown) in 0 and a control signal of the external computer device are also transmitted through the interface unit 46.
【0037】なお、ICカード40は図示せぬ制御部を
有している。この制御部が、インターフェイス部46を
介して外部計算機システムと通信を行なうことにより、
外部計算機システムからICカード40に対して処理の
命令などが行なわれる。また、この命令に基づいて、制
御部は、ICカード40の全体が協働して所望の処理を
行なうように、ICカード40の各部を制御する。The IC card 40 has a control unit (not shown). The control unit communicates with the external computer system via the interface unit 46,
An external computer system issues a processing command to the IC card 40. Further, based on this command, the control unit controls each unit of the IC card 40 such that the entire IC card 40 performs a desired process in cooperation.
【0038】このような構成のICカード40の動作に
ついて説明する。まず、ゲートウェイ10が鍵ペアを更
新する場合にICカード40が係わる処理について説明
する。その場合、通常はまず、外部計算機システムから
ICカード40に対して、新たなRSA鍵ペアの生成が
指示される。これによりICカード40では、RSA鍵
生成部41においてRSA鍵ペアを生成し、公開鍵は新
公開鍵記憶部42に、秘密鍵は新秘密鍵記憶部43に各
々記憶する。The operation of the IC card 40 having such a configuration will be described. First, a process related to the IC card 40 when the gateway 10 updates the key pair will be described. In that case, first, the external computer system instructs the IC card 40 to generate a new RSA key pair. Thereby, in the IC card 40, the RSA key pair is generated in the RSA key generation unit 41, and the public key is stored in the new public key storage unit 42 and the secret key is stored in the new secret key storage unit 43, respectively.
【0039】また、外部計算機システムより生成した新
たな公開鍵を秘密鍵で署名したデータが要求された場合
には、ICカード40は、新公開鍵記憶部42に記憶し
ている新たな公開鍵を署名部45に出力し、署名部45
で現秘密鍵記憶部44に記憶されている現在の秘密鍵を
用いてこの新たな公開鍵に署名を行ない、この署名の行
なわれた公開鍵をインターフェイス部46を介して外部
計算機システムに出力する。When data requesting a new public key generated by the external computer system and signed with a private key is requested, the IC card 40 stores the new public key stored in the new public key storage unit 42. Is output to the signature unit 45, and the signature unit 45
The new public key is signed using the current private key stored in the current private key storage unit 44, and the signed public key is output to the external computer system via the interface unit 46. .
【0040】次に、ゲートウェイ10が送信する通信平
文に署名を行なう処理について説明する。この場合、外
部計算機システムよりインターフェイス部46を介して
通信平文が入力されるので、インターフェイス部46は
これを署名部45に入力し、署名部45で現秘密鍵記憶
部44に記憶されている秘密鍵を用いて署名を行ない、
再びインターフェイス部46を介して外部計算機システ
ムに戻す。Next, a process for signing a communication plaintext transmitted by the gateway 10 will be described. In this case, since the communication plaintext is input from the external computer system via the interface unit 46, the interface unit 46 inputs this to the signature unit 45, and the signature unit 45 stores the secret plaintext stored in the current private key storage unit 44. Sign using the key,
The program is returned to the external computer system via the interface unit 46 again.
【0041】ICカード40は、外部計算機システムか
らの指示に応じてこのような処理を行なう。The IC card 40 performs such processing according to an instruction from an external computer system.
【0042】ゲートウェイ20も、ゲートウェイ10と
同様に、図示せぬ特定のLANとインターネットを接続
するゲートウェイであり、その構成、動作などは、ゲー
トウェイ10と実質的に同じである。Similarly to the gateway 10, the gateway 20 is a gateway for connecting a specific LAN (not shown) to the Internet, and its configuration, operation, and the like are substantially the same as those of the gateway 10.
【0043】認証局30は、インターネット上の任意の
ノード上に設けられ、各ゲートウェイに対して種々の認
証処理を行なう。本発明に係わる処理としては、認証局
30は、ゲートウェイ10およびゲートウェイ20から
の要求に基づいて、ゲートウェイ10およびゲートウェ
イ20が送信してきた各公開鍵の検査を行い、その公開
鍵が確かにゲートウェイ10およびゲートウェイ20の
ものであることを証明する電子証明書を発行する処理を
行なう。The certificate authority 30 is provided on an arbitrary node on the Internet and performs various authentication processes for each gateway. In the process according to the present invention, the certificate authority 30 checks each public key transmitted by the gateway 10 and the gateway 20 based on the request from the gateway 10 and the gateway 20. And a process of issuing an electronic certificate certifying that it belongs to the gateway 20.
【0044】次に、このようなゲートウェイ10、ゲー
トウェイ20および認証局30を有するVPN1の動
作、処理の流れについて説明する。まず、初期状態とし
て、ゲートウェイ10には自分の公開鍵および秘密鍵か
らなるRSA鍵ペア(図中では、各々V溝を有するシン
ボルA1 およびV山を有するシンボルA1 で示す)およ
び認証局30の公開鍵(図中では、V溝を有するシンボ
ルCAで示す)が、ゲートウェイ20には同じく自分の
公開鍵および秘密鍵からなるRSA鍵ペア(図中では、
各々V溝を有するシンボルBおよびV山を有するシンボ
ルBで示す)および認証局30の公開鍵が、認証局30
には自分の秘密鍵(図中では、V山を有するシンボルC
Aで示す)、ゲートウェイ10の公開鍵およびゲートウ
ェイ20の公開鍵が、各々予め保持されているものとす
る。Next, the operation and processing flow of the VPN 1 having the gateway 10, the gateway 20, and the certificate authority 30 will be described. First, as an initial state, their (in the figure, each indicated by the symbol A 1 having symbols A 1 and V mountain having a V-groove) public key and an RSA key pair consisting of a secret key to the gateway 10 and the authentication station 30 Public key (indicated by a symbol CA having a V-groove in the figure) is transmitted to the gateway 20 by an RSA key pair (also shown in FIG.
The public key of the certificate authority 30 and the symbol B having a V-groove and a symbol B having a V-mount, respectively.
Has its own private key (in the figure, the symbol C
A), the public key of the gateway 10 and the public key of the gateway 20 are stored in advance.
【0045】このような状態において、まず、ゲートウ
ェイ10が使用する鍵を更新する処理について説明す
る。その場合、まずゲートウェイ10の計算機システム
は、装着されているICカード40に対して新たなRS
A鍵ペアの生成を要求する()。ICカード40で
は、これに基づいて、RSA鍵生成部41でRSA鍵ペ
アを生成し、公開鍵(図中では、V溝を有するシンボル
A2 )を新公開鍵記憶部42に、秘密鍵(図中では、V
山を有するシンボルA2 )を新秘密鍵記憶部43に記憶
する。新たな鍵の生成が終了したら、計算機システム
は、ICカード40に対して、現在の秘密鍵で署名を行
なった新たな公開鍵を要求する。その結果、ICカード
40においては、署名部45において、新公開鍵記憶部
42に記憶されている新たな公開鍵が、現秘密鍵記憶部
44に記憶されている現在用いられている秘密鍵を用い
て署名され、インターフェイス部46を介して計算機シ
ステムに送信される()。In such a state, the process of updating the key used by the gateway 10 will be described first. In this case, first, the computer system of the gateway 10 sends a new RS to the attached IC card 40.
Request generation of A key pair (). In the IC card 40, based on this, the RSA key pair is generated by the RSA key generation unit 41, and the public key (symbol A 2 having a V-groove in the figure) is stored in the new public key storage unit 42 and the secret key ( In the figure, V
The symbol A 2 ) having the peak is stored in the new secret key storage unit 43. When the generation of the new key is completed, the computer system requests the IC card 40 for a new public key signed with the current private key. As a result, in the IC card 40, in the signature unit 45, the new public key stored in the new public key storage unit 42 is replaced with the currently used secret key stored in the current private key storage unit 44. The signature is transmitted to the computer system via the interface unit 46 ().
【0046】このようにして得られた現秘密鍵により署
名された新公開鍵は、ゲートウェイ10より認証局30
に送信され、認証局30に新公開鍵が通知されるととも
に、新公開鍵に対する電子証明書の発行が要求される
()。認証局30においては、ゲートウェイ10の現
公開鍵を用いて送信された内容を検査し、確かにゲート
ウェイ10から送信されたものであること確認すると、
その新たなゲートウェイ10の公開鍵を記憶しておく。
また、自分(認証局30)の秘密鍵によりゲートウェイ
10の新公開鍵に署名を行なって電子証明書を作成し、
ゲートウェイ10に送信する()。ゲートウェイ10
においては、送信された電子証明書を、認証局30の公
開鍵を用いて検査し、確かに認証局30により作成され
た電子証明書であることを確認する。The new public key signed by the current private key obtained in this manner is sent from the gateway 10 to the certificate authority 30
Is sent to the certification authority 30 to notify the new public key, and issuance of an electronic certificate for the new public key is requested (). The certificate authority 30 inspects the content transmitted using the current public key of the gateway 10 and confirms that the content is actually transmitted from the gateway 10.
The public key of the new gateway 10 is stored.
Also, a digital certificate is created by signing the new public key of the gateway 10 using the private key of the self (certificate authority 30),
It transmits to the gateway 10 (). Gateway 10
In, the transmitted electronic certificate is inspected using the public key of the certificate authority 30, and it is confirmed that the electronic certificate is indeed an electronic certificate created by the certificate authority 30.
【0047】この電子証明書を入手したら、ゲートウェ
イ10は、ゲートウェイ20を含む各通信先にこの電子
証明書を送信し、新たな公開鍵を通知する()。この
電子証明書を受信したゲートウェイ20などの各通信先
においては、認証局30の公開鍵を用いて受信した電子
証明書を検査し、適切に認証局30で認証の行なわれた
ものであることを確認して、その電子証明書に含まれる
ゲートウェイ10の新公開鍵を抽出し登録する。このよ
うに、ゲートウェイ10の新たな公開鍵は、認証局30
およびゲートウェイ20を含む各通信先に送信される。
そして、ゲートウェイ10が何らかの手段により通知し
た鍵の切り換えタイミングにより、ゲートウェイ20お
よび認証局30など各通信先においてゲートウェイ10
との通信で用いる鍵を切り換え、また、ゲートウェイ1
0においても、新秘密鍵記憶部43に記憶されている秘
密鍵を現秘密鍵記憶部44に転送するなどして使用する
鍵の変更処理を行なえば、鍵の更新が行なわれたことに
なる。When the electronic certificate is obtained, the gateway 10 transmits the electronic certificate to each communication destination including the gateway 20, and notifies a new public key (). Each communication destination such as the gateway 20 that has received the digital certificate checks the received digital certificate using the public key of the certificate authority 30, and has been properly authenticated by the certificate authority 30. Is confirmed, the new public key of the gateway 10 included in the electronic certificate is extracted and registered. Thus, the new public key of the gateway 10 is
And transmitted to each communication destination including the gateway 20.
In accordance with the key switching timing notified by the gateway 10 by some means, the gateway 10 and the certificate authority 30 communicate with the gateway 10 at each communication destination.
Switches the key used for communication with the
Even in the case of 0, if the key used is changed by transferring the secret key stored in the new secret key storage unit 43 to the current secret key storage unit 44, the key is updated. .
【0048】以後、ゲートウェイ10が新たな通信先に
自分の公開鍵を送信する場合などは、既に認証局30よ
り得ている電子証明書を送信すればよい。また、ゲート
ウェイ20も、同様に方法により適宜鍵の更新を行なう
ものである。Thereafter, when the gateway 10 transmits its own public key to a new communication destination, the electronic certificate already obtained from the certificate authority 30 may be transmitted. The gateway 20 also appropriately updates the key by the same method.
【0049】次に、このようなVPN1において、実際
にデータの送信を行なう場合の処理について説明す。ゲ
ートウェイ10が、自分のLANのノードからの通信平
文をゲートウェイ20のLANに含まれるノードに送信
する場合、ゲートウェイ10の計算機システムは、まず
その通信平文を、ICカード40に送信し、秘密鍵によ
る署名を指示する()。ICカード40においては、
この通信平文をインターフェイス部46を介して署名部
45に入力し、署名部45において、この通信平文に現
秘密鍵記憶部44に記憶されている秘密鍵を用いて署名
を行ない、インターフェイス部46を介して再び計算機
システムに返信する()。そして、このようにして署
名の行なわれた通信文が、ゲートウェイ10よりゲート
ウェイ20に送信される()。ゲートウェイ20にお
いては、ゲートウェイ10の公開鍵を用いて受信した通
信文を平文に戻し、自分のLAN内の所望のノードに送
信する。Next, a process for actually transmitting data in such a VPN 1 will be described. When the gateway 10 transmits a communication plaintext from a node of its own LAN to a node included in the LAN of the gateway 20, the computer system of the gateway 10 first transmits the communication plaintext to the IC card 40 and uses the secret key. Instruct the signature (). In the IC card 40,
The communication plaintext is input to the signature unit 45 via the interface unit 46, and the signature unit 45 signs the communication plaintext using the secret key stored in the current secret key storage unit 44. Reply to the computer system again via (). Then, the communication message thus signed is transmitted from the gateway 10 to the gateway 20 (). The gateway 20 returns the received message to plain text using the public key of the gateway 10 and transmits the message to a desired node in its own LAN.
【0050】このように、本実施の形態のVPN1の特
にゲートウェイ10においては、自分の鍵といえども、
秘密鍵に係わる処理は、生成から使用、更新まで、全て
ICカード40内で行なわれており、ICカード40外
部へは解析可能な形で全く出力されていない。したがっ
て、たとえばゲートウェイ10の管理者と言えども、こ
の秘密鍵を知ることは実質的に不可能であり、秘密鍵を
より安全に保管することができ、ひいては、ゲートウェ
イ10、VPN1の信頼性が向上する。As described above, especially in the gateway 10 of the VPN 1 of the present embodiment, even if it is its own key,
The processing relating to the secret key, from generation to use and update, is all performed in the IC card 40, and is not output to the outside of the IC card 40 in a form that can be analyzed. Therefore, for example, even if it is the administrator of the gateway 10, it is practically impossible to know the secret key, and the secret key can be stored more securely, and the reliability of the gateway 10 and the VPN 1 is improved. I do.
【0051】[0051]
【発明の効果】このように、本発明によれば、たとえゲ
ートウェイの管理者であっても、そのゲートウェイで管
理する秘密鍵を読み出すことができず、認証処理や電子
証明書の発行処理などをより高いセキュリティ性で行う
ことができ、これによりたとえばインターネットのよう
なオープンなネットワークを介してもセキュリティ性の
高い通信を行なうことができる通信システムおよび通信
方法を提供することができる。また、管理者であっても
自らの管理する秘密鍵を読み出すことができず、種々の
認証処理をより高いセキュリティ性で行うことができる
通信装置を提供することができる。さらに、そのような
通信装置に用いて好適な、秘密鍵を外部からアクセスさ
れないように保持して認証・署名処理などを行なうこと
のできるICカードを提供することができる。As described above, according to the present invention, even if the administrator of the gateway cannot read the secret key managed by the gateway, the authentication process and the issuance process of the electronic certificate can be performed. It is possible to provide a communication system and a communication method which can perform communication with higher security and can perform communication with high security even through an open network such as the Internet. In addition, it is possible to provide a communication device in which even an administrator cannot read a secret key managed by the administrator and can perform various authentication processes with higher security. Further, it is possible to provide an IC card suitable for use in such a communication device and capable of performing authentication / signature processing while holding a secret key so as not to be accessed from the outside.
【図1】図1は、本発明の一実施の形態の通信システム
であるVPNの、特にLAN間接続部の構成を模式的に
示すとともに、ゲートウェイ間で適切な通信を行なうた
めの処理の流れを示す図である。FIG. 1 schematically shows a configuration of a VPN, which is a communication system according to an embodiment of the present invention, particularly, a configuration of a connection section between LANs, and a flow of processing for performing appropriate communication between gateways. FIG.
【図2】図2は、図1に示したVPNのゲートウェイに
おいて計算機システムに装着して用いられるICカード
の構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of an IC card used by being attached to a computer system in the VPN gateway shown in FIG. 1;
【図3】図3は、従来のVPNにおける、LAN間接続
部の構成およびゲートウェイ間での処理の流れを示す図
である。FIG. 3 is a diagram illustrating a configuration of a connection unit between LANs and a flow of processing between gateways in a conventional VPN.
1、9…VPN 10,20,90…ゲートウェイ 30…認証局 40…ICカード 41…RSA鍵生成部 42…新公開鍵記憶部 43…新秘密鍵記憶部 44…現秘密鍵記憶部 45…署名部 46…インターフェイス部 1, 9 VPN 10, 20, 90 Gateway 30 Certificate authority 40 IC card 41 RSA key generation unit 42 New public key storage unit 43 New secret key storage unit 44 Current private key storage unit 45 Signature Section 46 ... Interface section
Claims (9)
て相互の公開鍵を保持し、公開鍵方式に基づいた暗号文
を用いて相互に通信を行なう通信システムであって、 前記ノードの少なくとも1つのノードは、 公開鍵および秘密鍵を有する公開鍵対を内部で生成し、
秘密鍵は内部で外部よりアクセス不可能に保持し、生成
した公開鍵を、以前に生成し内部に保持されている秘密
鍵を用いて暗号化し出力する暗号処理装置と、 前記暗号処理装置より出力された以前の秘密鍵を用いて
暗号化された生成された公開鍵を、前記認証局に送信
し、前記生成された公開鍵に前記認証局が認証を行なっ
た電子証明書を獲得する電子証明書獲得手段と、 前記獲得した電子証明書を、通信先のノードに送信し、
公開鍵の更新を行なう送信手段とを有する通信システ
ム。1. A communication system in which a plurality of nodes and a certificate authority hold mutual public keys as necessary and communicate with each other using cipher text based on a public key method. At least one node internally generates a public key pair having a public key and a private key;
A cryptographic processing device that internally holds the secret key so as to be inaccessible from the outside, encrypts the generated public key using a previously generated secret key that is internally stored, and outputs the encrypted public key; An electronic certificate for transmitting a generated public key encrypted by using the generated previous private key to the certificate authority, and obtaining an electronic certificate authenticated by the certificate authority on the generated public key. A certificate obtaining means, and transmitting the obtained electronic certificate to a communication destination node;
A communication system having a transmission unit for updating a public key.
て相互の公開鍵を保持し、公開鍵方式に基づいた暗号文
を用いて相互に通信を行なう通信方法であって、 前記ノードの少なくともいずれかのノードにおいて、外
部より任意にアクセス不可能な装置であって、公開鍵お
よび秘密鍵を有する公開鍵対を内部で生成し、秘密鍵は
内部で外部よりアクセス不可能に保持し、少なくとも生
成した公開鍵を以前に生成し内部に保持されている使用
中の秘密鍵を用いて暗号化し出力する暗号処理装置を用
いて、使用中の秘密鍵を用いて暗号化された新たな公開
鍵データを生成し、 前記暗号化された新たな公開鍵データを前記認証局に送
信し、 前記認証局は、送信された前記暗号化された新たな公開
鍵データを復号化して、該新たな公開鍵データを獲得
し、 前記獲得した新たな公開鍵データに当該認証局の秘密鍵
を用いて認証を行ない、 前記認証を行なった公開鍵データを当該公開鍵データの
送信元のノードに送信し、 当該送信元のノードは、前記認証局の認証の得られた公
開鍵データを、通信先の任意のノードに送信し、 前記認証局の認証の得られた公開鍵データが送信された
ノードは、前記認証局の公開鍵を用いて前記認証の検査
を行ない、前記新たな公開鍵を獲得し、 前記送信元のノードと他のノードおよび認証局は、前記
獲得された新たな公開鍵を用いて前記通信を行なう通信
方法。2. A communication method in which a plurality of nodes and a certificate authority hold mutual public keys as necessary, and communicate with each other using cipher text based on a public key method. In at least one node, a device that is arbitrarily inaccessible from the outside, internally generates a public key pair having a public key and a secret key, and holds the secret key internally inaccessible from the outside, At least a new public key that has been encrypted using the secret key in use, using a cryptographic processor that generates and outputs at least the generated public key using the secret key in use that has been previously generated and held inside Generating key data; transmitting the encrypted new public key data to the certificate authority; the certificate authority decrypts the transmitted encrypted new public key data to generate the new encrypted public key data. Get public key data And performing authentication using the secret key of the certification authority on the obtained new public key data, transmitting the authenticated public key data to the transmission source node of the public key data, The node transmits the public key data obtained by authentication of the certificate authority to any node of the communication destination, and the node to which the public key data obtained by authentication of the certificate authority is transmitted is a node of the certificate authority. The authentication check is performed using a public key, the new public key is obtained, and the transmission source node, another node, and a certificate authority perform the communication using the obtained new public key. Communication method.
信する際には、当該データを前記暗号処理装置に入力
し、当該暗号処理装置内において該データを前記内部に
保持されている使用中の秘密鍵を用いて暗号化し、当該
暗号化したデータを送信先に送信する請求項2に記載の
通信方法。3. The transmission source node, when transmitting arbitrary data, inputs the data to the cryptographic processing device, and uses the data stored in the cryptographic processing device in the encryption processing device. The communication method according to claim 2, wherein the communication is performed using a secret key in the data, and the encrypted data is transmitted to a transmission destination.
て相互の公開鍵を保持し、公開鍵方式に基づいた暗号文
を用いて相互に通信を行なう通信システムにおいて、前
記ノードとして用いられる通信装置であって、 公開鍵および秘密鍵を有する公開鍵対を内部で生成し、
秘密鍵は内部で外部よりアクセス不可能に保持し、生成
した公開鍵を、以前に生成し内部に保持されている秘密
鍵を用いて暗号化し出力する暗号処理装置と、 前記暗号処理装置より出力された以前の秘密鍵を用いて
暗号化され生成された公開鍵を、所望の通信先に送信す
る通信手段とを有する通信装置。4. A communication system in which a plurality of nodes and a certificate authority hold mutual public keys as necessary, and communicate with each other using ciphertext based on a public key system. A communication device, internally generating a public key pair having a public key and a private key,
A cryptographic processing device that internally holds the secret key so as to be inaccessible from the outside, encrypts the generated public key using a previously generated secret key that is internally stored, and outputs the encrypted public key; And a communication unit for transmitting a public key generated by encrypting using the previous secret key to a desired communication destination.
力された以前の秘密鍵を用いて暗号化され生成された公
開鍵を、まず前記認証局に送信し、前記生成された公開
鍵に前記認証局が認証を行なった電子証明書を獲得し、
さらに、前記獲得した電子証明書を、所望の通信先のノ
ードに送信する請求項4に記載の通信装置。5. The communication means transmits a public key generated by encrypting using a previous secret key output from the cryptographic processing apparatus to the certificate authority, and transmits the generated public key to the certificate authority. The certificate authority obtains an electronic certificate that has been authenticated,
The communication device according to claim 4, further comprising transmitting the obtained electronic certificate to a desired communication destination node.
力する入力手段をさらに有し、 前記暗号処理装置は、前記入力される送信対象のデータ
を、前記以前に生成し内部に保持されている秘密鍵を用
いて暗号化し出力し、 前記通信手段は、さらに、前記出力された暗号化された
送信対象のデータを、所望の通信先のノードに送信する
請求項5に記載の通信装置。6. An input device for inputting data to be transmitted to the cryptographic processing device, wherein the cryptographic processing device generates the input data to be transmitted before and stores the data therein. The communication device according to claim 5, wherein the communication device further encrypts and outputs the encrypted data to be transmitted using a secret key, and transmits the encrypted data to be transmitted to a node of a desired communication destination.
求項6に記載の通信装置。7. The communication device according to claim 6, wherein said encryption processing device is an IC card.
成する鍵生成手段と、 秘密鍵を記憶する手段であって、要求に応じて前記生成
された公開鍵対の秘密鍵により更新される秘密鍵記憶手
段と、 前記生成された公開鍵対の公開鍵を、前記記憶されてい
る秘密鍵を用いて暗号化する暗号化手段と、 前記秘密鍵を用いて暗号化された公開鍵を出力する出力
手段とを有し、 前記生成された公開鍵対の秘密鍵および前記記憶されて
いる秘密鍵は、外部に出力されない構成となっているI
Cカード。8. A key generating means for generating a public key pair having a public key and a secret key, and a means for storing a secret key, wherein the means is updated by a secret key of the generated public key pair on demand. Secret key storage means, encryption means for encrypting the generated public key of the public key pair using the stored secret key, and a public key encrypted using the secret key. Output means for outputting, wherein the secret key of the generated public key pair and the stored secret key are not output to the outside.
C card.
記記憶されている秘密鍵を用いて暗号化して暗号文を生
成し、 前記出力手段は、前記暗号化された暗号文を出力する請
求項8に記載のICカード。9. An input means for receiving a plaintext, wherein the encrypting means further encrypts the input plaintext using the stored secret key to generate a ciphertext. The IC card according to claim 8, wherein the output means outputs the encrypted ciphertext.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP28424599A JP2001111538A (en) | 1999-10-05 | 1999-10-05 | Communication system and method, communication device and IC card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP28424599A JP2001111538A (en) | 1999-10-05 | 1999-10-05 | Communication system and method, communication device and IC card |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001111538A true JP2001111538A (en) | 2001-04-20 |
Family
ID=17676051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP28424599A Pending JP2001111538A (en) | 1999-10-05 | 1999-10-05 | Communication system and method, communication device and IC card |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001111538A (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2392287A (en) * | 2002-07-30 | 2004-02-25 | Hitachi Ltd | Methods for updating the transfer key of a smart card |
| JP2005278065A (en) * | 2004-03-26 | 2005-10-06 | Seiko Instruments Inc | Update system of key for authentication and update method and program for key for authentication |
| JP2005354200A (en) * | 2004-06-08 | 2005-12-22 | Canon Inc | Information processing device |
| JP2006060779A (en) * | 2004-07-20 | 2006-03-02 | Ricoh Co Ltd | Certificate transmitting apparatus, communication system, certificate transmitting method, program, and recording medium |
| JP2007102785A (en) * | 2005-09-30 | 2007-04-19 | Samsung Electronics Co Ltd | Security method and system, and computer-readable recording medium recording the method |
| US7526656B2 (en) | 2001-09-03 | 2009-04-28 | Fuji Xerox Co., Ltd. | Encryption/decryption system and method for the same |
| JP2013138304A (en) * | 2011-12-28 | 2013-07-11 | Toyota Motor Corp | Security system and key data operation method |
| JP2020088726A (en) * | 2018-11-29 | 2020-06-04 | 富士通株式会社 | Key generation device, key update method and key update program |
| US10708047B2 (en) | 2014-06-16 | 2020-07-07 | Fujitsu Limited | Computer-readable recording medium storing update program and update method, and computer-readable recording medium storing management program and management method |
| CN111861473A (en) * | 2020-07-31 | 2020-10-30 | 贵州光奕科科技有限公司 | Electronic bidding system and method |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH01212041A (en) * | 1988-02-18 | 1989-08-25 | Hitachi Ltd | encrypted communication system |
| JPH04117826A (en) * | 1990-09-07 | 1992-04-17 | Matsushita Electric Ind Co Ltd | Key distribution method with authentication function |
| JPH06150082A (en) * | 1992-11-02 | 1994-05-31 | Hitachi Ltd | Method and device for changing confidential information |
| JPH07235605A (en) * | 1993-12-07 | 1995-09-05 | Siemens Ag | Integrated circuit structure having at least one CMOS-NAND gate and manufacturing method thereof |
| JPH07245605A (en) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | Ciphering information repeater, subscriber terminal equipment connecting thereto and ciphering communication method |
| JPH09245108A (en) * | 1991-11-15 | 1997-09-19 | Citibank Na | Electronic money system |
| JPH09261218A (en) * | 1996-03-27 | 1997-10-03 | Nippon Telegr & Teleph Corp <Ntt> | Computer system authentication method |
| JPH1020779A (en) * | 1996-07-08 | 1998-01-23 | Hitachi Inf Syst Ltd | Key change method in public key cryptosystem |
| JPH10124597A (en) * | 1996-08-30 | 1998-05-15 | Nippon Telegr & Teleph Corp <Ntt> | Electronic check method and apparatus with license |
| JPH10327147A (en) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | Electronic authentication notary method and system |
| JPH11289324A (en) * | 1998-04-03 | 1999-10-19 | Matsushita Electric Ind Co Ltd | Transmission / reception device and transmission / reception method |
| JP2000115158A (en) * | 1998-09-30 | 2000-04-21 | Mitsubishi Electric Corp | Update information generation device, encryption communication device, and encryption communication system |
-
1999
- 1999-10-05 JP JP28424599A patent/JP2001111538A/en active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH01212041A (en) * | 1988-02-18 | 1989-08-25 | Hitachi Ltd | encrypted communication system |
| JPH04117826A (en) * | 1990-09-07 | 1992-04-17 | Matsushita Electric Ind Co Ltd | Key distribution method with authentication function |
| JPH1196268A (en) * | 1991-11-15 | 1999-04-09 | Citibank Na | Electronic money system |
| JPH09245108A (en) * | 1991-11-15 | 1997-09-19 | Citibank Na | Electronic money system |
| JPH1196267A (en) * | 1991-11-15 | 1999-04-09 | Citibank Na | Electronic money system |
| JPH06150082A (en) * | 1992-11-02 | 1994-05-31 | Hitachi Ltd | Method and device for changing confidential information |
| JPH07235605A (en) * | 1993-12-07 | 1995-09-05 | Siemens Ag | Integrated circuit structure having at least one CMOS-NAND gate and manufacturing method thereof |
| JPH07245605A (en) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | Ciphering information repeater, subscriber terminal equipment connecting thereto and ciphering communication method |
| JPH09261218A (en) * | 1996-03-27 | 1997-10-03 | Nippon Telegr & Teleph Corp <Ntt> | Computer system authentication method |
| JPH1020779A (en) * | 1996-07-08 | 1998-01-23 | Hitachi Inf Syst Ltd | Key change method in public key cryptosystem |
| JPH10124597A (en) * | 1996-08-30 | 1998-05-15 | Nippon Telegr & Teleph Corp <Ntt> | Electronic check method and apparatus with license |
| JPH10327147A (en) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | Electronic authentication notary method and system |
| JPH11289324A (en) * | 1998-04-03 | 1999-10-19 | Matsushita Electric Ind Co Ltd | Transmission / reception device and transmission / reception method |
| JP2000115158A (en) * | 1998-09-30 | 2000-04-21 | Mitsubishi Electric Corp | Update information generation device, encryption communication device, and encryption communication system |
Non-Patent Citations (1)
| Title |
|---|
| 櫻井三子、佐野晋: ""公開鍵暗号系を利用した証明書の変更を考慮した管理方式の設計"", 情報処理ワークショップ論文集(マルチメディア通信と分散処理ワークショップ), vol. 95, no. 2, JPN4002009025, 25 October 1995 (1995-10-25), JP, pages 93 - 100, ISSN: 0001306919 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7526656B2 (en) | 2001-09-03 | 2009-04-28 | Fuji Xerox Co., Ltd. | Encryption/decryption system and method for the same |
| US7360091B2 (en) | 2002-07-30 | 2008-04-15 | Hitachi, Ltd. | Secure data transfer method of using a smart card |
| GB2392287B (en) * | 2002-07-30 | 2004-09-01 | Hitachi Ltd | Smart card and settlement terminal |
| GB2392287A (en) * | 2002-07-30 | 2004-02-25 | Hitachi Ltd | Methods for updating the transfer key of a smart card |
| JP2005278065A (en) * | 2004-03-26 | 2005-10-06 | Seiko Instruments Inc | Update system of key for authentication and update method and program for key for authentication |
| JP2005354200A (en) * | 2004-06-08 | 2005-12-22 | Canon Inc | Information processing device |
| US8037300B2 (en) | 2004-06-08 | 2011-10-11 | Canon Kabushiki Kaisha | Information processing apparatus with certificate invalidity determination |
| JP2006060779A (en) * | 2004-07-20 | 2006-03-02 | Ricoh Co Ltd | Certificate transmitting apparatus, communication system, certificate transmitting method, program, and recording medium |
| JP2007102785A (en) * | 2005-09-30 | 2007-04-19 | Samsung Electronics Co Ltd | Security method and system, and computer-readable recording medium recording the method |
| US8638932B2 (en) | 2005-09-30 | 2014-01-28 | Samsung Electronics Co., Ltd. | Security method and system and computer-readable medium storing computer program for executing the security method |
| JP2013138304A (en) * | 2011-12-28 | 2013-07-11 | Toyota Motor Corp | Security system and key data operation method |
| US10708047B2 (en) | 2014-06-16 | 2020-07-07 | Fujitsu Limited | Computer-readable recording medium storing update program and update method, and computer-readable recording medium storing management program and management method |
| JP2020088726A (en) * | 2018-11-29 | 2020-06-04 | 富士通株式会社 | Key generation device, key update method and key update program |
| JP7174237B2 (en) | 2018-11-29 | 2022-11-17 | 富士通株式会社 | Key generation device, key update method and key update program |
| CN111861473A (en) * | 2020-07-31 | 2020-10-30 | 贵州光奕科科技有限公司 | Electronic bidding system and method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12155757B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
| US6839841B1 (en) | Self-generation of certificates using secure microprocessor in a device for transferring digital information | |
| US6038322A (en) | Group key distribution | |
| EP1151579B1 (en) | Self-generation of certificates using a secure microprocessor in a device for transferring digital information | |
| EP1635502B1 (en) | Session control server and communication system | |
| CN109728909A (en) | Identity identifying method and system based on USBKey | |
| US20050198506A1 (en) | Dynamic key generation and exchange for mobile devices | |
| US20140129836A1 (en) | Information distribution system and program for the same | |
| GB2357227A (en) | Communication security protocol using attribute certificates to prove the attributes or authorisations of communicating parties | |
| KR20010004791A (en) | Apparatus for securing user's informaton and method thereof in mobile communication system connecting with internet | |
| US20060005010A1 (en) | Identification and authentication system and method for a secure data exchange | |
| JP2007110377A (en) | Network system | |
| JP2020506627A (en) | Programmable hardware security module and method used for programmable hardware security module | |
| JP2001111538A (en) | Communication system and method, communication device and IC card | |
| JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
| CN107409043B (en) | Distributed processing of products based on centrally encrypted storage data | |
| JP3431745B2 (en) | Gateway system | |
| KR100970552B1 (en) | How to generate a security key using a non-certificate public key | |
| JPH09294120A (en) | Access control method and system for encrypted shared data | |
| JP2005086428A (en) | Method for performing encrypted communication with authentication, authentication system and method | |
| JP2009065226A (en) | Authenticated key exchange system, authenticated key exchange method and program | |
| JP2000261428A (en) | Authentication device in decentralized processing system | |
| JP2006197065A (en) | Terminal device and authentication device | |
| JP2003143124A (en) | System, method and program for transmission and reception of telegraphic message | |
| KR20020006985A (en) | Certification service method in two different certifying system using certification gate way |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090428 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090901 |