JP5012574B2 - Common key automatic sharing system and common key automatic sharing method - Google Patents
Common key automatic sharing system and common key automatic sharing methodDownload PDFInfo
- Publication number
- JP5012574B2 JP5012574B2JP2008052212AJP2008052212AJP5012574B2JP 5012574 B2JP5012574 B2JP 5012574B2JP 2008052212 AJP2008052212 AJP 2008052212AJP 2008052212 AJP2008052212 AJP 2008052212AJP 5012574 B2JP5012574 B2JP 5012574B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- information
- client
- unit
- key information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034methodMethods0.000titleclaimsdescription56
- 238000004891communicationMethods0.000claimsdescription63
- 238000012217deletionMethods0.000claimsdescription21
- 230000037430deletionEffects0.000claimsdescription21
- 230000008520organizationEffects0.000claimsdescription5
- 230000005540biological transmissionEffects0.000description50
- 238000012795verificationMethods0.000description27
- 230000004044responseEffects0.000description14
- 230000008569processEffects0.000description9
- 238000010586diagramMethods0.000description8
- 238000012790confirmationMethods0.000description6
- 238000012545processingMethods0.000description3
- 230000003796beautyEffects0.000description2
- 230000015572biosynthetic processEffects0.000description2
- 239000000284extractSubstances0.000description2
- 230000008676importEffects0.000description2
- 238000012986modificationMethods0.000description2
- 230000004048modificationEffects0.000description2
- 238000003786synthesis reactionMethods0.000description2
- 230000002194synthesizing effectEffects0.000description2
- 230000008859changeEffects0.000description1
- 230000000694effectsEffects0.000description1
- 238000007689inspectionMethods0.000description1
- 230000007246mechanismEffects0.000description1
- 230000001902propagating effectEffects0.000description1
Images
Landscapes
- Storage Device Security (AREA)
Description
Translated fromJapanese本発明は、共通鍵自動共有システム及び共通鍵自動共有方法に関する。The present invention relates to a common keyauto-sharingsystem及 beauty common key auto-sharing method.
ファイルの内容をセキュアに保つため、一般にファイルの暗号化が行われている。
しかし、暗号化されたファイルをグループやプロジェクト内など、ある範囲で共有するためには、暗号化ファイルを共有するメンバ内で暗号化に使用した鍵を事前に共有する必要がある。
さらに、この暗号化に使用される鍵は、随時必要に応じて、新規に追加されたり、更新されたり、あるいは削除される。
このように、ファイルの暗号化に使用する鍵の運用を行う場合、新規生成、更新、削除などが行われるごとに、全てのメンバに対して反映する必要がある。
現状としては、このようなファイルの暗号化に使用する鍵(以下、共通鍵と記載)の運用については、以下の方式が考えられる。In order to keep the contents of the file secure, the file is generally encrypted.
However, in order to share an encrypted file within a certain range, such as within a group or project, it is necessary to share in advance the key used for encryption among members who share the encrypted file.
Furthermore, the key used for this encryption is newly added, updated, or deleted as needed.
As described above, when a key used for file encryption is operated, it is necessary to reflect it on all members every time a new generation, update, or deletion is performed.
At present, the following methods can be considered for the operation of a key (hereinafter referred to as a common key) used to encrypt such a file.
○サーバを経由して配布する方式
本方式では、共通鍵をサーバに格納し、予め定められたスケジュールに基づき、クライアント側へ共通鍵を配布するか、クライアント側が任意のタイミング(PC起動時など)にサーバへアクセスして共通鍵を取得する方法が考えられる。
しかし、本方式では、共通鍵をサーバで一括管理するため、共通鍵の生成、配布はサーバ管理者に依存することになり、メンバが目的に合わせて自由に共通鍵を生成、更新、削除することが困難となる。
また、本方式では、共通鍵をサーバで一元管理しているため、サーバにアクセスできない状況では、メンバは共通鍵の取得ができなくなる。○ Method to distribute via the server In this method, the common key is stored in the server, and the common key is distributed to the client side based on a predetermined schedule, or at any timing (such as when the PC starts) A method of acquiring a common key by accessing the server is conceivable.
However, in this method, since the common key is collectively managed by the server, the generation and distribution of the common key depends on the server administrator, and members can freely create, update, and delete the common key according to the purpose. It becomes difficult.
In this method, since the common key is centrally managed by the server, the member cannot obtain the common key in a situation where the server cannot be accessed.
○共通鍵をファイル形式で出力し、メールやファイルサーバなど経由して配布する方式
本方式では、共通鍵の管理者が共通鍵をファイル形式でエクスポートし、メンバに対してエクスポートしたファイルをメールやファイルサーバ経由で配布する。メンバはメールやファイルサーバ経由でファイルを入手し、入手したファイルをインポートすることで、共通鍵を取り込む。
本方式では、管理者、メンバともに手動での操作 (エクスポート−配布−入手−インポート)が必要となり、運用が煩雑になりやすい。また、この方式の場合、配布済みの共通鍵を削除するには、メンバに手動で削除するよう依頼する必要がある。○ Method to output the common key in file format and distribute it via e-mail or file server In this method, the common key administrator exports the common key in file format, and the exported file to the member Distribute via a file server. A member acquires a file via mail or a file server, and imports the acquired file to import the common key.
This method requires manual operations (export-distribution-acquisition-import) for both administrators and members, and the operation tends to be complicated. In this method, in order to delete a distributed common key, it is necessary to request members to delete it manually.
この他、共通鍵自動共有に関連する技術が特許文献1〜7に記載されている。
特許文献1に記載のグループ暗号方法は、通信網によって相互に接続された複数の端末と当該複数の端末からアクセス可能な記憶装置とを備え、複数の端末により複数のユーザによって共有される記憶装置上の情報の暗号化を行うグループ暗号方法であって、端末は、演算機能を備えた記憶媒体を接続可能とし、当該記憶媒体は予めユーザに配布され当該記憶媒体の所有者のユーザ識別情報およびマスタ鍵と呼ばれる秘密数値を記憶し、記憶装置への、任意の一つの端末からの情報の書き込みは、書き込む情報の開示先を示すユーザ識別情報のリストである宛先リストを生成すると共に、当該宛先リストを前記端末から当該端末に接続された記憶媒体に送信するステップと、記憶媒体において、受信した宛先リストが示す条件に当該記憶媒体内に記憶したユーザ識別情報が合致するか否かを検査するステップと、当該検査ステップにより、受信した宛先リストが示す条件に記憶媒体内のユーザ識別情報が合致する場合は、宛先リストと記憶媒体内に記憶したマスタ鍵とに基づいてグループ鍵を生成して端末に返送するステップと、端末において、データ鍵と呼ぶ乱数を生成し、当該データ鍵を用いて平文を暗号化して暗号文を生成するステップと、記憶媒体より返送されたグループ鍵を用いてデータ鍵を暗号化して暗号文鍵を生成するステップと、暗号文鍵、宛先リスト、および暗号文を、記憶装置に書き込むステップとにより行うものである。In addition, techniques related to common key automatic sharing are described in Patent Documents 1 to 7.
A group encryption method described in Patent Literature 1 includes a plurality of terminals connected to each other via a communication network and a storage device accessible from the plurality of terminals, and is shared by a plurality of users by a plurality of terminals. A group encryption method for encrypting the above information, wherein the terminal is capable of connecting a storage medium having an arithmetic function, the storage medium being distributed in advance to the user, and the user identification information of the owner of the storage medium and A secret numerical value called a master key is stored, and writing of information from any one terminal to the storage device generates a destination list that is a list of user identification information indicating a disclosure destination of information to be written, and the destination Transmitting the list from the terminal to a storage medium connected to the terminal; and in the storage medium, the storage medium satisfies the conditions indicated by the received destination list The user identification information stored in the storage medium is inspected, and if the user identification information in the storage medium matches the condition indicated by the received destination list by the inspection step, the destination list and the storage medium A step of generating a group key based on the master key stored in the server and returning it to the terminal, and generating a random number called a data key in the terminal and generating a ciphertext by encrypting the plaintext using the data key Performing a step, a step of generating a ciphertext key by encrypting a data key using a group key returned from a storage medium, and a step of writing a ciphertext key, a destination list, and a ciphertext to a storage device It is.
このグループ暗号方法によれば、暗号者が作成した宛先リストと、復号者のICカードに格納されたユーザ識別情報とを照合し、復号者が該宛先リストが示す条件に合致するかどうかにより、暗号文を復号化できるかどうかが決まる。暗号者が宛先リストに自分自身のみを指定すれば、その暗号者だけが復号化できることになり、また、複数のユーザを指定すれば、それら指定されたユーザだけが復号化できることになる。したがって、暗号者は個人的な情報と複数のユーザによって共有される情報とを同じように暗号化できるとしている。 According to this group encryption method, the destination list created by the encryptor is checked against the user identification information stored in the IC card of the decryptor, and whether the decryptor matches the conditions indicated by the destination list, Determines whether the ciphertext can be decrypted. If the encryptor designates only himself / herself in the destination list, only the encryptor can decrypt, and if a plurality of users are designated, only those designated users can decrypt. Therefore, the encryptor can encrypt personal information and information shared by a plurality of users in the same way.
特許文献2に記載のファイルの暗号化方法は、送信者側のコンピュータから1乃至複数の受信者側のコンピュータに送信されるファイルの暗号化方法において、送信者側のコンピュータが、共通鍵を用いてファイルを暗号化するステップと、認証機関のコンピュータに、所定のグループ毎に暗号化に用いた共通鍵の利用権限を設定登録するステップと、パスワードベースの暗号を用いて共通鍵を暗号化するステップと、暗号化したファイルと暗号化した共通鍵を1乃至複数の受信者側のコンピュータに送信するステップとを有するものである。 The file encryption method described in Patent Document 2 is an encryption method of a file transmitted from a sender computer to one or more recipient computers. The sender computer uses a common key. Encrypting the file, setting and registering the authority to use the common key used for encryption for each predetermined group, and encrypting the common key using password-based encryption And a step of transmitting the encrypted file and the encrypted common key to one or more recipient computers.
このファイルの暗号化方法によれば、パスワード方式とグループ鍵共有方式の双方の特徴を利用することにより、これらの利点を併せ持つグループ暗号を実現することができる。すなわち、暗号化ファイルを生成する毎にまたはグループを構成する毎にパスワードを発行する必要がなく、パスワードやグループ鍵の管理を非常に簡易にすることができるとしている。 According to this file encryption method, a group encryption having both of these advantages can be realized by using the characteristics of both the password method and the group key sharing method. That is, it is not necessary to issue a password every time an encrypted file is generated or each time a group is configured, and the management of passwords and group keys can be greatly simplified.
特許文献3に記載の暗号鍵更新システムは、暗号化と復号とに同一の暗号鍵を用いる共通鍵方式によりデータを暗号化および復号しながら複数の装置が互いにデータを送受信する通信システムの暗号鍵更新システムであって、各装置が、複数の暗号鍵が記された電子的な暗号鍵リストを保持するリスト保持手段と、予め定められた規則に基づき、リスト保持手段に保持された暗号鍵リストに記される複数の暗号鍵の中から1つ以上の暗号鍵を選択する選択手段とを具備したものである。 An encryption key update system described in Patent Document 3 is an encryption key for a communication system in which a plurality of devices transmit and receive data to and from each other while encrypting and decrypting data by a common key method using the same encryption key for encryption and decryption An update system, in which each device holds an electronic encryption key list in which a plurality of encryption keys are recorded, and an encryption key list held in the list holding unit based on a predetermined rule And a selection means for selecting one or more encryption keys from among the plurality of encryption keys.
この暗号鍵更新システムによれば、たとえば1年分の暗号鍵をすべての装置に予め配布しておき、各装置が、これらの中から暗号化および復号に用いる暗号鍵を他の装置と同じ規則で選択するようにしたため、その結果として、すべての装置が同期を取って暗号鍵を自動的に更新することが可能となり、ユーザに暗号鍵の入力や設定等の煩わしい作業を行わせることがないとしている。 According to this encryption key update system, for example, an encryption key for one year is distributed in advance to all devices, and each device uses the same rules for encryption and decryption as those used by other devices. As a result, it becomes possible for all devices to synchronize and automatically update the encryption key, thereby preventing the user from performing troublesome operations such as input and setting of the encryption key. It is said.
特許文献4に記載の情報配信システムは、クライアントに受信済みの情報のバージョンをサーバに送信し、サーバ側で管理しているバージョンの情報構成リストと最新バージョンの情報との差異を抽出して更新部分だけを配信する、あるいは、クライアントから情報の構成を示す情報を送信し、サーバ側で比較することにより差異を抽出して更新部分だけを配信するものである。 The information distribution system described in Patent Document 4 transmits a version of information received to a client to a server, and extracts and updates a difference between a version information configuration list managed on the server side and the latest version information Only the part is distributed, or information indicating the configuration of the information is transmitted from the client, and the difference is extracted by comparing on the server side, and only the updated part is distributed.
この情報配信システムによれば、頻繁に更新される情報を多数の異なるバージョンを持つクライアントへ効率良く確実に配信することができるとしている。 According to this information distribution system, frequently updated information can be efficiently and reliably distributed to many clients having different versions.
特許文献5に記載の暗号通信路の確立方法は、第1の装置と第2の装置の間で共通鍵を用いて暗号化したメッセージを暗号通信するための暗号通信路の確立方法であって、第1の装置は、第1の装置に関連した第1の公開鍵、第1の公開鍵の証明情報、及び、第1の乱数を第2の装置へ送付し、第2の装置は第1の公開鍵の証明情報が真正であることを検証し、第2の装置は、第2の装置に関連した第2の公開鍵、第2の公開鍵の証明情報、及び、第2の乱数を第1の装置へ送付し、第1の装置は第2の公開鍵の証明情報が真正であることを検証する鍵情報交換手順と、第1の装置は、暗号通信路を確立するための共通鍵を生成し、共通鍵を第2の公開鍵を用いて暗号化し、暗号化された共通鍵を第2の装置へ送付し、第2の装置は暗号化された共通鍵を第2の公開鍵に対応した第2の秘密鍵で復号化する鍵共有手順と、第1の装置は、第2の乱数及び共通鍵のペアを攪拌し、第1の公開鍵に対応した第1の秘密鍵を用いて攪拌されたペアから第1の署名情報を作成し、第2の装置へ送付し、第2の装置は第1の署名情報を第1の公開鍵を用いて検証し、第2の装置は、第1の乱数及び共通鍵のペアを攪拌し、第2の公開鍵に対応した第2の秘密鍵を用いて攪拌されたペアから第2の署名情報を作成し、第1の装置へ送付し、第1の装置は第2の署名情報を第2の公開鍵を用いて検証する相互認証手順と、を有するものである。 The method for establishing an encryption communication path described in Patent Document 5 is an encryption communication path establishment method for performing encrypted communication of a message encrypted using a common key between a first device and a second device. The first device sends the first public key related to the first device, the certification information of the first public key, and the first random number to the second device, and the second device The second device verifies that the certification information of the first public key is authentic, and the second device relates to the second public key related to the second device, the certification information of the second public key, and the second random number. To the first device, the first device verifies that the certification information of the second public key is authentic, and the first device establishes the encryption communication path. A common key is generated, the common key is encrypted using the second public key, the encrypted common key is sent to the second device, and the second device is encrypted. A key sharing procedure for decrypting the common key with a second secret key corresponding to the second public key, and the first device agitates the second random number and the pair of the common key to obtain the first public key The first signature information is generated from the stirred pair using the first secret key corresponding to the first secret key, and is sent to the second device. The second device uses the first public key as the first signature information. And the second device agitates the pair of the first random number and the common key, and the second signature information from the agitated pair using the second secret key corresponding to the second public key. Is generated and sent to the first device, and the first device has a mutual authentication procedure for verifying the second signature information using the second public key.
この暗号通信路の確立方法によれば、装置間で公開鍵証明書及びチャレンジデータを交換するための2回のコマンドと、装置間でセクション鍵を共有するためのコマンドと、装置間で相互認証を行うコマンドとを実行することにより、暗号通信を行う装置間で、最小限の通信回数と処理時間で、相互認証を行い、安全な暗号通信路を確立することができるとしている。 According to this encryption channel establishment method, two commands for exchanging public key certificates and challenge data between devices, a command for sharing a section key between devices, and mutual authentication between devices By executing the command to perform the mutual authentication, it is possible to perform mutual authentication between the apparatuses performing the cryptographic communication with the minimum number of communication times and the processing time, and to establish a secure cryptographic communication path.
特許文献6に記載の利用者情報の分散管理装置は、信頼できるピアから構成される信頼グループによるコミュニティにおける利用者情報の分散管理装置であって、コミュニティを構成する各ピアは、信頼グループ機能部とコミュニケーション機能部からなるコミュニティサービス装置を備え、信頼グループ機能部は信頼グループ管理手段とピア管理手段とログ解析手段と電子証明書生成手段を有し、コミュニケーション機能部は通信手段とログ管理手段と電子証明書管理手段を有し、信頼グループ管理手段は、他の信頼グループ管理手段と信頼グループの信頼できるピア情報の連絡を行い、信頼グループの信頼できるピア情報の一覧を管理し、電子証明書生成手段による電子証明書の発行のための共通鍵を信頼グループを構成する他の信頼できるピアと共有する機能を有し、ログ解析手段は、一般ピアから受信するログを解析し、不正がなければ、電子証明書生成手段に一般ピアへの電子証明書の発行を指示し、不正があれば、ピア管理手段に一般ピアの不正を通知する機能を有し、ピア管理手段は、ログ解析手段から、一般ピアの不正通知を受け、一般ピアの一般ピア一覧からの削除および不正ピア一覧への登録を行い、信頼グループ管理手段から宛先情報を得て、全ての他の信頼できるピアのピア管理手段に一般ピアの不正を通知し、信頼できるピアの管理する一般ピアに一般ピアの不正を通知する機能を有し、電子証明書生成手段は、ログ解析手段からの指示により、不正のない一般ピアに電子証明書およびコミュニティに共通で、電子証明書の解読に必要な公開鍵を発行する機能を有し、通信手段は、コミュニティの他の一般ピアとの通信のために、電子証明書管理手段から電子証明書を取得し、通信相手の他の前記一般ピアに送信し、通信相手から受信する電子証明書の正当性の判定を電子証明書管理手段に依頼する機能を有し、ログ管理手段は、信頼グループのピアのピア管理手段にログを定期的に送信し、電子証明書の更新要求を行う機能を有し、電子証明書管理手段は信頼グループのピアの電子証明書生成手段から電子証明書および電子証明書解読のための公開鍵を受信、管理し、電子証明書により通信相手の正当性を判定し、コミュニティへの一般ピアの新規参加のために参加要求を送信する機能を有するものである。 The distributed management apparatus for user information described in Patent Document 6 is a distributed management apparatus for user information in a community by a trust group composed of trusted peers, and each peer constituting the community has a trust group function unit. And a community service device comprising a communication function unit, the trust group function unit includes a trust group management unit, a peer management unit, a log analysis unit, and an electronic certificate generation unit, and the communication function unit includes a communication unit and a log management unit. An electronic certificate management means, and the trust group management means communicates with other trust group management means about the trusted peer information of the trust group, manages a list of trusted peer information of the trust group, and the electronic certificate The common key for issuing the electronic certificate by the generating means is used by other trusts that constitute the trust group. The log analysis means analyzes the log received from the general peer, and if there is no fraud, instructs the digital certificate generation means to issue an electronic certificate to the general peer. If there is, there is a function to notify the peer management means of the general peer fraud. The peer management means receives the general peer fraud notification from the log analysis means, and deletes the general peer from the general peer list and the illegal peer. Register to the list, get the destination information from the trust group management means, notify the peer management means of all other trusted peers of the general peer fraud, and send the general peer to the general peer managed by the trusted peer It has a function to notify fraud, and the electronic certificate generation means, in response to an instruction from the log analysis means, provides a common peer with no fraud to the public certificate and the public key necessary for decrypting the electronic certificate. Issue The communication means obtains an electronic certificate from the electronic certificate management means for communication with other general peers in the community, and transmits the electronic certificate to the other general peers of the communication partner; A function for requesting the electronic certificate management means to determine the validity of the received electronic certificate, and the log management means periodically sends a log to the peer management means of the peer of the trust group. It has a function to make an update request, and the electronic certificate management means receives and manages the electronic certificate and the public key for decrypting the electronic certificate from the electronic certificate generation means of the peer of the trust group, and communicates with the electronic certificate It has a function of judging the legitimacy of the other party and transmitting a participation request for new participation of a general peer in the community.
この利用者情報の分散管理装置によれば、信頼できるピアから構成される信頼グループによるコミュニティにおける利用者情報を分散管理することにより、利用者情報の管理に特定の設備を設ける必要がない、ログ解析による大規模なコミュニティにおける利用者の管理が可能、不正なピアをコミュニティから排除でき、コミュニティの安全性を維持することができる、利用者はコミュニティに安心して参加し、コミュニケーションを楽しむことができるとしている。 According to this distributed management system for user information, it is not necessary to install specific equipment for managing user information by distributing and managing user information in a community by a trust group composed of trusted peers. Users can be managed in a large-scale community through analysis, unauthorized peers can be excluded from the community, and the safety of the community can be maintained. Users can participate in the community with peace of mind and enjoy communication. It is said.
特許文献7に記載の通信ネットワークにおけるセキュリティは、通信リンクを介して、第1の通信装置と第2の通信装置との間にセキュリティ保護されたピアツーピア型の通信を確立する方法であって、各通信装置は、対応する通信装置と他の通信装置との間で事前に確立されたセキュリティアソシエーションのセットをそれぞれ格納しており、方法は、事前に確立されたセキュリティアソシエーションのセットにおいて共通のセキュリティアソシエーションを第1の通信装置及び第2の通信装置がそれぞれ有しているかを判定するステップと、第1の通信装置及び第2の通信装置が共通のセキュリティアソシエーションを有していると判定された場合、共通のセキュリティアソシエーションに基づいて第1の通信装置と第2の通信装置との間の通信リンクを保護し、一方で、共通のセキュリティアソシエーションを有していると判定されなかった場合、第1の通信装置と第2の通信装置との間に新しいセキュリティアソシエーションを確立して新しいセキュリティアソシエーションに基づき通信リンクを保護するステップと、保護された通信リンクを介して対応する鍵のデータを通信することにより、第1の通信装置及び第2の通信装置がそれぞれ有する事前に確立されたセキュリティアソシエーションのセットを、第1の通信装置及び第2の通信装置のうち対応する他方の通信装置に拡張するステップとを含むものである。 The security in the communication network described in Patent Document 7 is a method of establishing secure peer-to-peer communication between a first communication device and a second communication device via a communication link, Each communication device stores a set of pre-established security associations between the corresponding communication device and another communication device, and the method includes a common security association in the pre-established set of security associations. Determining whether each of the first communication device and the second communication device has a common security association, and determining whether the first communication device and the second communication device have a common security association. The first communication device and the second communication device based on a common security association. If the communication link is not determined to have a common security association, a new security association is established between the first communication device and the second communication device to establish a new security association. Pre-established security that each of the first communication device and the second communication device has by protecting the communication link based on the association and communicating the corresponding key data via the protected communication link Expanding the set of associations to the other communication device corresponding to the first communication device and the second communication device.
この通信ネットワークにおけるセキュリティによれば、2つの通信装置が通信リンクを介して初めて接続されるとき、これらの通信装置は、事前に確立された共通のセキュリティアソシエーションを有するかを判定する。事前に確立されたそのようなセキュリティアソシエーションが存在する場合、セキュリティアソシエーションは、2つの装置間の通信リンクを保護するための基礎として使用される。一方、セキュリティアソシエーションが存在しない場合、新しいセキュリティアソシエーション、好ましくは共有の秘密状態が、通信リンクを保護するために鍵交換プロトコルに基づいて確立される。鍵交換プロトコルは、パスワードによる認証を実行するプロトコルであることが好ましい。すなわち、少なくとも1つの装置にパスワードを入力するようにユーザに対して要求することが好ましい。その後、2つの装置は、それぞれ事前に確立されたセキュリティアソシエーションに関連付けられた鍵データを交換し、それにより、これらの事前のセキュリティアソシエーションを対応する他方の装置に拡張又は伝播する。その結果、各装置が他の装置とのセキュリティアソシエーションを確立しかつ他方の装置にセキュリティアソシエーションを伝播することを可能にするメカニズムが提供されるとしている。
しかしながら上述した技術では、鍵の更新の考慮がなく、サーバを必要とし、各メンバが自由に共通鍵の生成、更新、削除を行うことができず、共通鍵の管理者およびメンバによる特別な操作なく予め許可した範囲内で自動的に共通鍵を配信することができないという問題がある。 However, in the above-described technique, there is no consideration of key update, a server is required, and each member cannot freely generate, update, or delete a common key. There is a problem that the common key cannot be automatically distributed within a previously permitted range.
そこで、本発明の目的は、各メンバが自由に共通鍵の生成・更新・削除を行うことができ、共通鍵の管理者およびメンバによる特別な操作なく予め許可した範囲内で自動的に共通鍵を配信することができる共通鍵自動共有システム及び共通鍵自動共有方法を提供することにある。Therefore, an object of the present invention is to allow each member to freely generate, update, and delete a common key, and to automatically perform the common key within a range permitted in advance without special operation by the common key manager and members. common keyauto-sharingsystem及 beauty common key auto-sharing method that can deliver the object of the present invention is to provide a.
本発明のシステムは、ピアツーピア型の通信を行う複数のクライアントと、前記各クライアントの存在を保証する第三者認証機関側サーバとを備え、
前記クライアントは、
情報の暗号化に使用する共通鍵と、当該共通鍵に関わる付属情報とを含む鍵情報を生成する機能と、
前記鍵情報の中から選択された更新対象情報を更新する機能と、
前記鍵情報の中から選択された削除対象情報を削除する機能と、
前記第三者認証機関側サーバによって保証されたクライアント間において前記鍵情報を交換・配信する機能と
を有する。The system of the present invention includes a plurality of clients for communicatingpeer-to-peer type and a third-party certification organization side server said guarantee the existence of eachclient,
The client
A function for generating key information including a common key used for encrypting information and attached information related to the common key;
A function of updating the update target information selected from the key information;
A function of deleting information to be deleted selected from the key information;
A function of exchanging and distributing the key information between clients guaranteed by the third-party certification authority server;
Tohave a.
本発明の共通鍵自動共有方法は、
ピアツーピア型の通信を行うクライアントは、
情報の暗号化に使用する共通鍵と、当該共通鍵に関わる付属情報とを含む鍵情報を生成する機能と、
前記鍵情報の中から選択された更新対象情報を更新する機能と、
前記鍵情報の中から選択された削除対象情報を削除する機能とを有し、
前記クライアントの存在を保証する第三者認証機関側サーバによって保証された前記クライアントは、前記第三者認証機関側サーバによって保証された他の前記クライアントとの間において前記鍵情報を交換・配信する。The common key automatic sharing method of the present invention includes:
Clients thatperform peer-to-peer communication
A function for generating key information including a common key used for encrypting information and attached information related to the common key;
A function of updating the update target information selected from the key information;
A function to delete the deletion target information selected from the key information,
The client guaranteed by the third-party certification authority server that guarantees the existence of the client exchanges and distributes the key information with the other clients guaranteed by the third-party certification authority server. .
本発明によれば、ピアツーピア型通信を用いた鍵交換を行うため、鍵交換、配信にサーバを必要としない。このため、クライアントが自由に共通鍵の作成・更新・削除を行うことができる。また、ピアツーピア型通信を用いた鍵交換および証明書を用いた本人確認を自動的に行うため、クライアントが意識することなく、所有することを許可されたメンバにのみ、鍵情報の交換・配信を行うことができる。 According to the present invention, since a key exchange using peer-to-peer communication is performed, a server is not required for key exchange and distribution. Therefore, the client can freely create / update / delete the common key. In addition, since key exchange using peer-to-peer communication and identity verification using certificates are automatically performed, key information can be exchanged and distributed only to members who are allowed to own without being aware of the client. It can be carried out.
[特 徴]
ファイルの暗号化に使用する共通鍵の配布において、鍵管理用サーバを使用せず、ピアツーピア型の通信で、予め定められた範囲に限定して自動的に配布可能とし、かつ、共通鍵の生成を各メンバで自由に行うことを可能とする。[Characteristic]
In the distribution of the common key used for file encryption, it is possible to automatically distribute within a predetermined range by peer-to-peer communication without using the key management server, and generate the common key Can be freely performed by each member.
本発明に係る共通鍵自動共有システムの一実施の形態は、共通鍵の生成、更新、削除、及び交換機能を有し、ピアツーピア型の通信を行う複数のクライアントと、各クライアントの存在を保証する第三者認証機関側サーバとを備えたことを特徴とする。 One embodiment of an automatic common key sharing system according to the present invention has a function for generating, updating, deleting, and exchanging a common key, and guarantees the existence of a plurality of clients performing peer-to-peer communication and each client. And a third-party certification authority side server.
上記構成によれば、ピアツーピア型通信を用いた鍵交換を行うため、鍵交換、配信にサーバを必要としない、このため、クライアントが自由に共通鍵の作成・更新・削除を行うことができる。また、ピアツーピア型通信を用いた鍵交換および証明書を用いた本人確認を自動的に行うため、クライアントが意識することなく、所有することを許可されたメンバにのみ、鍵情報の交換・配信を行うことができる。 According to the above configuration, since key exchange using peer-to-peer communication is performed, a server is not required for key exchange and distribution. Therefore, a client can freely create, update, and delete a common key. In addition, since key exchange using peer-to-peer communication and identity verification using certificates are automatically performed, key information can be exchanged and distributed only to members who are allowed to own without being aware of the client. It can be carried out.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、各クライアントは、公開鍵ペア及びクライアント情報を作成し、第三者認証機関側サーバに対して証明書の発行申請を行う証明書申請機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, in addition to the above configuration, each client creates a public key pair and client information, and issues a certificate to the third-party certification authority server. It has a certificate application function to apply.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、各クライアントは、第三者認証機関側サーバから返却された証明書及び公開鍵を登録する証明書登録機能を有することを特徴とする。 In addition to the above-described configuration, another embodiment of the common key automatic sharing system according to the present invention has a certificate registration function for registering the certificate and public key returned from the third-party certification authority server. It is characterized by having.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、各クライアントは、共通鍵の生成及び自ら生成した共通鍵の更新及び削除を行う鍵管理機能を有することを特徴とする。 Another embodiment of the common key automatic sharing system according to the present invention is characterized in that, in addition to the above configuration, each client has a key management function for generating a common key and updating and deleting the common key generated by itself. And
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、各クライアントは、共通鍵の配布対象の決定及び共通鍵交換要求の対象となるメンバ情報を登録するメンバ登録機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, in addition to the above-described configuration, each client determines a common key distribution target and registers member information for a common key exchange request. It is characterized by having.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、各クライアントは、メンバと互いに所有している共通鍵の交換を行う鍵交換機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, each client has a key exchange function for exchanging a common key owned by each member with each member.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、各クライアントからの認証申請を受け付ける申請受付機能を有することを特徴とする。 Another embodiment of the common key automatic sharing system according to the present invention is characterized in that, in addition to the above configuration, the third party certification authority side server has an application receiving function for receiving an authentication application from each client.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、いずれかのクライアントから申請されたクライアント情報の真正性を確認する真正性確認機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, in addition to the above configuration, the third party certification authority server confirms the authenticity of the client information applied by any client. It has a function.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、各クライアントもしくは鍵に関する情報が正しいことを保証するために第三者認証機関側サーバ自身が持つ秘密鍵で署名を行い、証明書を作成する証明書作成機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, in addition to the above-described configuration, the third party certification authority side server can ensure that the information about each client or key is correct. It is characterized by having a certificate creation function for creating a certificate by signing with the private key of the side server itself.
本発明に係る共通鍵自動共有システムの他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、署名したクライアント情報を、申請したクライアントに返却する証明書返却機能を有することを特徴とする。 In another embodiment of the common key automatic sharing system according to the present invention, in addition to the above configuration, the third-party certification authority side server has a certificate return function for returning the signed client information to the client who applied. It is characterized by.
本発明に係るクライアントの一実施の形態は、共通鍵の生成、更新、削除、及び交換機能を有する複数のクライアントと、各クライアントに接続された第三者認証機関側サーバとを有する共通鍵自動共有システムに用いられるクライアントであって、各クライアントは、他のクライアントとの間でピアツーピア型の通信を行うことを特徴とする。 One embodiment of a client according to the present invention is an automatic common key having a plurality of clients having a common key generation, update, deletion, and exchange function, and a third-party certification authority side server connected to each client. A client used in a shared system, wherein each client performs peer-to-peer communication with another client.
本発明に係る第三者認証機関側サーバの一実施の形態は、共通鍵の生成、更新、削除、及び交換機能を有し、ピアツーピア型の通信を行う複数のクライアントと、第三者認証機関側サーバとを有する共通鍵自動共有システムに用いられる第三者認証機関側サーバであって、第三者認証機関側サーバは、各クライアントの存在を保証することを特徴とする。 One embodiment of a third-party certification authority server according to the present invention includes a plurality of clients having a common key generation, update, deletion, and exchange function and performing peer-to-peer communication, and a third-party certification authority A third-party certification authority side server used in a common key automatic sharing system having a side server, wherein the third-party certification authority side server guarantees the existence of each client.
本発明に係る共通鍵自動共有方法の一実施の形態は、ピアツーピア型の通信を用いて共通鍵の生成、更新、削除、及び交換を複数のクライアントが行い、各クライアントの存在を第三者認証機関側サーバが保証することを特徴とする。 In one embodiment of the common key automatic sharing method according to the present invention, a plurality of clients perform common key generation, update, deletion, and exchange using peer-to-peer communication, and the existence of each client is authenticated by a third party. It is characterized in that the engine server guarantees it.
上記構成によれば、ピアツーピア型通信を用いた鍵交換を行うため、鍵交換、配信にサーバを必要としない。このため、クライアントが自由に共通鍵の作成・更新・削除を行うことができる。また、ピアツーピア型通信を用いた鍵交換および証明書を用いた本人確認を自動的に行うため、クライアントが意識することなく、所有することを許可されたメンバにのみ、鍵情報の交換・配信を行うことができる。 According to the above configuration, since a key exchange using peer-to-peer communication is performed, a server is not required for key exchange and distribution. Therefore, the client can freely create / update / delete the common key. In addition, since key exchange using peer-to-peer communication and identity verification using certificates are automatically performed, key information can be exchanged and distributed only to members who are allowed to own without being aware of the client. It can be carried out.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、各クライアントは、公開鍵ペア及びクライアント情報を作成し、第三者認証機関側サーバに対して証明書の発行申請を行うことを特徴とする。 In another embodiment of the common key automatic sharing method according to the present invention, in addition to the above configuration, each client creates a public key pair and client information, and issues a certificate to the third-party certification authority server. It is characterized by applying.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、各クライアントは、第三者認証機関側サーバから返却された証明書及び公開鍵を登録することを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, each client registers the certificate and public key returned from the third-party certification authority server. .
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、各クライアントは、共通鍵の生成及び自ら生成した共通鍵の更新及び削除を行うことを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, each client generates a common key and updates and deletes the common key generated by itself.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、各クライアントは、共通鍵の配布対象の決定及び共通鍵交換要求の対象となるメンバ情報を登録することを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, each client registers member information that is a target of a common key distribution request and a common key exchange request. And
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、各クライアントは、メンバと互いに所有している共通鍵の交換を行うことを特徴とする。 In addition to the above configuration, another embodiment of the common key automatic sharing method according to the present invention is characterized in that each client exchanges a common key owned by each member.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、前記各クライアントからの認証申請を受け付けることを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, the third-party certification authority server accepts an authentication application from each of the clients.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、いずれかのクライアントから申請されたクライアント情報の真正性を確認することを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, the third-party certification authority server confirms the authenticity of the client information applied by any client. And
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、各クライアントもしくは鍵に関する情報が正しいことを保証するために第三者認証機関側サーバ自身が持つ秘密鍵で署名を行い、証明書を作成することを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is that, in addition to the above configuration, the third party certification authority side server allows the third party certification authority to ensure that the information about each client or key is correct. It is characterized in that a certificate is created by signing with the private key of the side server itself.
本発明に係る共通鍵自動共有方法の他の実施の形態は、上記構成に加え、第三者認証機関側サーバは、署名したクライアント情報を、申請したクライアントに返却することを特徴とする。 Another embodiment of the common key automatic sharing method according to the present invention is characterized in that, in addition to the above configuration, the third-party certification authority side server returns the signed client information to the client who applied.
なお、上述した実施の形態は、本発明の好適な実施の形態の一例を示すものであり、本発明はそれに限定されることなく、その要旨を逸脱しない範囲内において、種々変形実施が可能である。 The above-described embodiment shows an example of a preferred embodiment of the present invention, and the present invention is not limited thereto, and various modifications can be made without departing from the scope of the invention. is there.
次に本発明に係る実施例について図を参照して説明する。
[構 成]
図1は、本発明に係る共通鍵自動共有システムの一実施例を示す概念図である。
本共通鍵自動共有システムでは、共通鍵の生成・更新・削除、および、鍵交換などの機能を有するクライアント101〜103と、クライアント101〜103の存在を保証する信頼できる第三者認証機関側サーバ(以下、CAと表記する)104の2つで構成されている。Next, embodiments according to the present invention will be described with reference to the drawings.
[Constitution]
FIG. 1 is a conceptual diagram showing an embodiment of a common key automatic sharing system according to the present invention.
In this common key automatic sharing system, the
CA104の主な機能としては、以下の(a)〜(e)の機能が挙げられる。
(a)クライアント101〜103からの認証申請を受け付ける申請受付機能104-1
(b)申請されたクライアント情報の真正性を確認する真正性確認機能104-2
(c)そのクライアント情報が正しいことを保証するためにCA104のもつ秘密鍵で署名を行い、証明書を作成(d)する証明書作成機能104-3
(e)署名したクライアント情報を申請者に返却する証明書返却機能104-5The main functions of CA104 include the following functions (a) to (e).
(a) Application acceptance function 104-1 for accepting authentication applications from
(b) Authenticity confirmation function 104-2 for confirming the authenticity of the client information submitted
(c) Certificate creation function 104-3 that creates a certificate by signing with the private key of CA104 to ensure that the client information is correct (d)
(e) Certificate return function for returning signed client information to the applicant 104-5
また、CA104では、CA自身の公開鍵(以下、CA公開鍵)および秘密鍵(以下、CA秘密鍵)が格納されている。CA公開鍵はクライアント101〜103が自由に取得できるように公開されている。また、CA秘密鍵は、証明書作成機能104-3のみがアクセスできるように、耐タンパな領域に厳重に管理される。 The
クライアント101〜103からの認証を受け付ける申請受付機能104は、クライアント101〜103が生成したクライアント情報を、メールやWeb、郵送などの情報伝達手段により取得する。 The
申請されたクライアント情報の真正性を確認する真正性確認機能は、申請受付機能104-1にて受け付けたクライアント情報について、情報に誤りが無いことを確認し、信頼できると判断した場合、証明書作成機能104-3に署名依頼を行う。 The authenticity confirmation function that confirms the authenticity of the applied client information confirms that there is no error in the client information received by the application reception function 104-1. Request signature to creation function 104-3.
証明書作成機能104-3では、真正性確認機能104-2にて真正性が確認され、署名を依頼されたクライアント情報に対し、CA秘密鍵を用いて署名を行い証明書(電子証明書)を生成する。
証明書返却機能104-5では、証明書作成機能104-3により署名されたクライアント情報(以下、クライアント証明書と表記する)とCA公開鍵104-6とを、申請したクライアントに対して返信する。In the certificate creation function 104-3, authenticity is confirmed by the authenticity confirmation function 104-2, and the client information requested to be signed is signed using a CA private key. Is generated.
In the certificate return function 104-5, the client information signed by the certificate creation function 104-3 (hereinafter referred to as a client certificate) and the CA public key 104-6 are returned to the client who applied. .
クライアント101〜103の主な機能としては、以下の(a)〜(e)の機能がある。
(a)クライアントの公開鍵ペアやクライアント情報を作成しCAに対して証明書の発行申請を行う証明書申請機能(認証申請機能)102-4
(b)CAから返却されたクライアント証明書およびCA公開鍵を登録する証明書登録機能102-5
(c)共通鍵の生成や、自らが生成した共通鍵の更新・削除を行う鍵管理機能102-1
(d)共通鍵の配布対象の決定や、共通鍵交換要求の対象となるメンバ情報を登録するメンバ登録機能102-3
(e)メンバと互いに所有している共通鍵の交換を行う鍵交換機能102-2The main functions of the
(a) Certificate application function (authentication application function) that creates a client public key pair and client information and applies for certificate issuance to the CA 102-4
(b) Certificate registration function 102-5 to register the client certificate and CA public key returned from the CA
(c) Key management function 102-1 for generating a common key and updating / deleting a common key generated by itself
(d) Member registration function 102-3 for deciding a common key distribution target and registering member information for a common key exchange request
(e) Key exchange function 102-2 for exchanging common keys owned by members
図2は、図1に示したクライアントの構成図の一例である。
また、クライアント101〜103(図1参照)には、クライアント101〜103の公開鍵(以下、公開鍵と記載)および秘密鍵(以下、秘密鍵と記載)104-4、CA104から発行されたクライアント証明書、CA公開鍵104-6、メンバ登録したメンバのクライアント証明書を集めたメンバ情報リスト、鍵の配布状況が記録された所有鍵情報リストが格納されている。
さらに、ファイルの暗号化に使用する共通鍵の鍵情報は鍵管理部に格納されパスワード保護などにより厳重に管理されている。その他に、クライアント101〜103には、クライアント101〜103間で交換する情報の安全性を確保するための暗号化部213、復号部214やクライアント101〜103間で交換する情報の信頼性を保証するための検証部215を備える。FIG. 2 is an example of a configuration diagram of the client shown in FIG.
The
Further, key information of a common key used for file encryption is stored in a key management unit and is strictly managed by password protection or the like. In addition, for the
認証申請機能203(図1の認証申請機能102-4に対応)は、初期設定機能として動作し、クライアント101〜103の公開鍵ペアを生成する公開鍵ペア生成部203-1、クライアントの固有情報、組織情報、公開鍵情報などが記載されたクライアント情報リストを生成するクライアント情報生成部203-2、および、生成したクライアント情報をCA104(図1参照)へ認証申請する申請部203-3から構成される。 The authentication application function 203 (corresponding to the authentication application function 102-4 in FIG. 1) operates as an initial setting function, and generates a public key pair 203-1 for generating a public key pair of the
公開鍵ペア生成部203-1では、公開鍵ペアを生成し、それぞれクライアント公開鍵格納部217、クライアント秘密鍵格納部216へ格納する。クライアント秘密鍵格納部216は、鍵交換機能202(図1の鍵交換機能102-2に対応)、鍵管理機能206、復号部214のみがアクセスできるように、耐タンパな領域に厳重に管理される。 The public key pair generation unit 203-1 generates public key pairs and stores them in the client public
クライアント情報生成部203-2は、クライアントの氏名などの固有情報や会社組織情報、および、公開鍵ペア生成部203-1で生成したクライアント公開鍵などをクライアント情報として生成する。 The client information generation unit 203-2 generates unique information such as the name of the client, company organization information, and the client public key generated by the public key pair generation unit 203-1 as client information.
申請部203-3は、クライアント情報生成部203-2で生成されたクライアント情報をCA104へ送付するとともに、CA104に対して証明書の発行申請を行う。 The application unit 203-3 sends the client information generated by the client information generation unit 203-2 to the
証明書登録機能204(図1の証明書登録機能102-5に対応)は、CA104によって発行されたクライアント証明書を受信する証明書受信部204-1、受信したクライアント証明書およびCA公開鍵を登録する登録部204-2で構成される。 The certificate registration function 204 (corresponding to the certificate registration function 102-5 in FIG. 1) includes a certificate receiving unit 204-1 that receives a client certificate issued by the
証明書受信部204-1は、CA104によって発行されたクライアント証明書およびCA104より送付されたCA公開鍵を受信し、受信したクライアント証明書およびCA公開鍵を登録部204-2へと送付する。 The certificate receiving unit 204-1 receives the client certificate issued by the
登録部204-2は、送付されたクライアント証明書およびCA公開鍵をそれぞれ、クライアント証明書格納部211、および、CA公開鍵格納部212に格納する。また、メンバ情報リストを作成し、メンバ情報リスト格納部210へ格納する。 The registration unit 204-2 stores the sent client certificate and CA public key in the client
鍵管理機能206(図1の鍵管理機能102-1に対応)は、ファイルの暗号化に使用する共通鍵の鍵情報を生成する鍵情報生成部207、自らが生成した共通鍵の鍵情報を更新する鍵情報更新部219、及び自らが生成した共通鍵の鍵情報を削除する鍵情報削除部206で構成される。 The key management function 206 (corresponding to the key management function 102-1 in FIG. 1) is a key
さらに、鍵情報生成部207は、ユーザによる鍵生成命令によりファイルの暗号化に使用する共通鍵を生成する共通鍵生成部207-1、鍵表示名や有効期限など鍵の付加情報を入力する鍵情報入力部207-2、鍵の配布可能範囲を設定する配布範囲指定部207-3、生成した共通鍵・入力された鍵の付加情報・設定した配布可能範囲などの情報をまとめ鍵情報として生成する鍵情報合成部207-4、および、生成した鍵情報を所有鍵情報リストに反映する所有鍵情報リスト更新部208から構成される。 Further, the key
共通鍵生成部207-1では、ユーザへ暗号アルゴリズム、および、鍵長を選択させると共に、選択された内容に基づき、共通鍵を生成する。 The common key generation unit 207-1 allows the user to select an encryption algorithm and a key length, and generates a common key based on the selected contents.
鍵情報入力部207-2では、ユーザによる共通鍵の表示名や共通鍵の有効期限など、鍵の付加情報の入力を受け付ける。
配布範囲指定部207-3では、メンバ情報リスト格納部210からメンバ情報を入手する。クライアント101〜103(図1参照)は、取得したメンバ情報から個人や組織などの単位で生成した共通鍵の配布を許可する範囲を指定する。The key information input unit 207-2 accepts input of key additional information such as a common key display name and a common key expiration date by the user.
The distribution range designation unit 207-3 obtains member information from the member information list storage unit 210. The
鍵情報合成部207-4では、共通鍵生成部207-1で生成された共通鍵、鍵情報入力部207-2で入力された付加情報、および配布範囲指定部207-3で設定された配布可能範囲を収集すると共に、鍵情報ID、共通鍵ID、作成日、更新日、鍵作成者などの情報を付与し、鍵情報を作成する。
さらに、クライアント秘密鍵格納部216から秘密鍵を取得し、生成した鍵情報に対して署名を行い、鍵情報を鍵情報管理部220へ格納する。In the key information synthesis unit 207-4, the common key generated by the common key generation unit 207-1, the additional information input by the key information input unit 207-2, and the distribution set by the distribution range specification unit 207-3 While collecting possible ranges, key information is created by assigning information such as key information ID, common key ID, creation date, update date, and key creator.
Further, the private key is obtained from the client private key storage unit 216, the generated key information is signed, and the key information is stored in the key
所有鍵情報リスト更新部208では、所有鍵情報リスト格納部209から所有鍵情報リストを入手し、鍵情報合成部207-4で生成した鍵情報を所有鍵情報リストに追加・更新し、所有鍵情報リスト格納部209へ格納する。 The owned key information
鍵情報更新部219は、さらに、鍵情報管理部220から鍵情報を取得する鍵情報収集部209-1、鍵の暗号アルゴリズムや鍵長・鍵表示名や有効期限など鍵の付加情報や共通鍵の配布範囲を変更する鍵情報変更部209-2、および、変更した鍵情報を所有鍵情報リストに反映する所有鍵情報リスト更新部208から構成される。The key
鍵情報収集部209-1では、鍵情報管理部220からクライアント101〜103(図1参照)で作成した鍵情報のみを取得し、変更する鍵情報を選択する。
鍵情報変更部209-2では、共通鍵を更新する場合は共通鍵生成部207-1と連携し、有効期限などの付加情報を更新する場合は鍵情報入力部207-2と連携し、鍵の配布可能範囲を更新する場合は配布範囲指定部207-3と連携し、各情報を更新する。
さらに、更新日などを更新し、クライアント秘密鍵格納部216から秘密鍵を取得し、更新した鍵情報に対して署名を行い、鍵情報を鍵情報管理部220へ格納する。
所有鍵情報リスト更新部208では、所有鍵情報リスト格納部209から所有鍵情報リストを入手し、鍵情報変更部209-2で更新した鍵情報に基づき、所有鍵情報リストを更新し、所有鍵情報リスト格納部209へ格納する。In the key information acquisition unit209 -1, and obtains only the key information created from the key
The key information changing unit209 -2 cooperates with the common key generation unit 207-1 when updating the common key, and cooperates with the key information input unit 207-2 when updating additional information such as the expiration date. When updating the distributable range, the information is updated in cooperation with the distribution range specifying unit 207-3.
Further, the update date and the like are updated, the private key is acquired from the client private key storage unit 216, the updated key information is signed, and the key information is stored in the key
In owned key information
鍵情報削除部205は、さらに、鍵情報管理部220から鍵情報を取得する鍵情報収集部205-1、削除対象として選択された鍵情報の削除処理を行う鍵情報削除部205-2、および、削除処理した鍵情報を所有鍵情報リストに反映する所有鍵情報リスト更新部209から構成される。 The key
鍵情報収集部209-1では、鍵情報管理部220からクライアント101〜103(図1参照)で作成した鍵情報のみを取得し、削除する鍵情報を選択する。
鍵情報削除部205-2では、削除対象の鍵情報に対して、共通鍵の削除、更新日の更新を行う。そして、クライアント秘密鍵格納部216から秘密鍵を取得し、更新した鍵情報に対して署名を行い、鍵情報を鍵情報管理部220へ格納する。
所有鍵情報リスト更新部208では、所有鍵情報リスト格納部209から所有鍵情報リストを入手し、鍵情報削除部205-2で削除した鍵情報に基づき、所有鍵情報リストを更新し、所有鍵情報リスト格納部209へ格納する。In the key information acquisition unit209 -1, and obtains only the key information created from the key
The key information deletion unit 205-2 deletes the common key and updates the update date for the key information to be deleted. Then, the private key is obtained from the client private key storage unit 216, the updated key information is signed, and the key information is stored in the key
The owned key information
メンバ登録機能201(図1のメンバ登録機能102-3に対応)は、さらに、メンバ情報リストの交換要求の送受信を行う、メンバ情報交換要求送受信部201-5、クライアント証明書の送受信を行うクライアント証明書送受信部202-4、メンバ情報リスト格納部210からメンバ情報リストを取得するメンバ情報リスト取得部201-3、取得したメンバ情報リストを送受信するメンバ情報リスト送受信部201-2、受信したメンバ情報リストを元に所有するメンバ情報リストを更新し、メンバ情報リスト格納部210へ格納するメンバ情報リスト更新部201-1から構成される。 The member registration function 201 (corresponding to the member registration function 102-3 in FIG. 1) further includes a member information exchange request transmission / reception unit 201-5 that transmits and receives a member information list exchange request, and a client that transmits and receives a client certificate. Certificate transmission / reception unit 202-4, member information list acquisition unit 201-3 for acquiring a member information list from the member information list storage unit 210, member information list transmission / reception unit 201-2 for transmitting / receiving the acquired member information list, received member It comprises a member information list updating unit 201-1 that updates the member information list owned based on the information list and stores it in the member information list storage unit 210.
メンバ情報交換要求送受信部201-5では、要求送信側クライアント(以下、要求者と記載)はネットワークを通じて他クライアントに対しメンバ情報リストの交換要求を送信する。また、要求受信側クライアント(以下、受信者と記載)は、交換要求を受信すると要求者に対し承諾の応答を返す。
要求者が受信者からの承諾応答を受信した場合、クライアント証明書送受信部202-3へクライアント証明書の送信を依頼する。
クライアント証明書送受信部202-2では、要求者はメンバ情報交換要求送受信部201-5での受信者からの承諾応答に従い、クライアント証明書格納部211からクライアント証明書を取得し、受信者に対して送付する。
受信者は、要求者から送付されたクライアント証明書を検証部215へ送付する。検証部215で正常と判断された場合、メンバ情報リスト取得部201-3へ取得要求をする。In the member information exchange request transmission / reception unit 201-5, a request transmission side client (hereinafter referred to as a requester) transmits a member information list exchange request to another client through the network. Further, when a request receiving client (hereinafter referred to as a receiver) receives an exchange request, it returns a consent response to the requester.
When the requester receives the acceptance response from the receiver, the requester requests the client certificate transmission / reception unit 202-3 to transmit the client certificate.
In the client certificate transmission / reception unit 202-2, the requester obtains the client certificate from the client
The receiver sends the client certificate sent from the requester to the
メンバ情報リスト取得部201-3では、メンバ情報リスト格納部201からメンバ情報リストを、クライアント証明書格納部211からメンバ情報に記載されているリストメンバのクライアント証明書(以下、メンバクライアント証明書と記載)取得し、メンバ情報リスト送受信部201-2へ渡す。 The member information list acquisition unit 201-3 receives the member information list from the member information
メンバ情報リスト送受信部201-2では、メンバ情報リスト取得部201-3で取得したメンバ情報リストおよびメンバクライアント証明書を暗号化部に送付し、暗号化部213で暗号化されたメンバ情報リストおよびメンバクライアント証明書(暗号化済みメンバ情報と記載)を受け取り、要求者へ送信する。要求者では、暗号化済みメンバ情報を受信すると復号部214へ送付し、復号部214からメンバ情報リストおよびメンバクライアント証明書を取得し、メンバ情報リスト更新部201-1へ送付する。 In the member information list transmitting / receiving unit 201-2, the member information list acquired by the member information list acquiring unit 201-3 and the member client certificate are sent to the encryption unit, and the member information list encrypted by the
メンバ情報リスト更新部201-1では、メンバ情報リスト格納部210から現在のメンバ情報リストを取得し、取得したメンバ情報リストと比較を行い、現在のメンバ情報リストに記載のないメンバのメンバクライアント証明書をクライアント証明書格納部211に登録するとともに、メンバ情報リストの更新を行い、メンバ情報リスト格納部210へ更新したメンバ情報リストを格納する。 The member information list update unit 201-1 obtains the current member information list from the member information list storage unit 210, compares it with the obtained member information list, and obtains member client certifications for members not listed in the current member information list Certificate is registered in the client
鍵交換機能202は、さらに、鍵情報の交換要求の送受信を行う鍵情報交換要求送受信部202-1、クライアント証明書の送受信を行うクライアント証明書送受信部202-2、所有鍵情報リスト格納部209から所有鍵情報リストを取得し、送受信する所有鍵情報リスト送受信部202-3、取得した鍵情報リストをもとに送付対象の鍵情報を鍵情報管理部220から取得し送受信する鍵情報送受信部202-4、取得した鍵情報を基に鍵情報の登録を行う鍵情報登録部202-5、所有鍵情報リスト格納部209から所有鍵情報リストを取得し、登録した鍵情報を基に所有鍵情報リストを更新し格納する所有鍵情報リスト更新部208から構成される。 The
鍵情報交換要求送受信部202-1では、要求者はネットワークを通じて他クライアントに対し鍵情報の交換要求を送信する。また、受信者は、交換要求を受信すると要求者に対し承諾の応答を返す。要求者が受信者からの承諾応答を受信した場合、クライアント証明書送受信部202-2へクライアント証明書の送信を依頼する。 In the key information exchange request transmitting / receiving unit 202-1, the requester transmits a key information exchange request to another client through the network. In addition, when the receiver receives the exchange request, the receiver returns an acceptance response to the requester. When the requester receives an acceptance response from the receiver, the requester requests the client certificate transmission / reception unit 202-2 to transmit the client certificate.
クライアント証明書送受信部202-2では、要求者は受信者からの承諾応答を受け、クライアント証明書格納部211からクライアント証明書を取得し、受信者に対して送付する。受信者は、要求者から送付されたクライアント証明書を検証部215へ送付する。検証部215で正常と判断された場合、受信者はクライアント証明書格納部211からクライアント証明書を取得し、要求者に対して送付すると共に、所有鍵情報リストの送信要求を行う。要求者は、受信者から送付されたクライアント証明書を検証部215へ送付し、検証部で正常と判断された場合、所有鍵情報リスト送受信部202-3へ所有鍵情報リストの送信依頼を行う。 In the client certificate transmission / reception unit 202-2, the requester receives an acknowledgment response from the receiver, acquires the client certificate from the client
所有鍵情報リスト送受信部202-3では、所有鍵情報リスト格納部209から所有鍵情報リストを取得し、暗号化部213へ送付する。続いて、暗号化部213から暗号化された所有鍵情報リスト(以下、暗号化済み所有鍵情報リストと記載)を取得し受信者へ送付する。受信者では、暗号化済み所有鍵情報リストを受信すると復号部214へ送付し、復号部214から復号された所有鍵情報リストを得る。さらに、所有鍵情報リスト格納部209から所有鍵情報リストを取得し、復号した所有鍵情報リストと比較して送付対象となる鍵情報の選定を行う。 The owned key information list transmission / reception unit 202-3 acquires the owned key information list from the owned key information list storage unit 209 and sends it to the
鍵情報送受信部202-4では、所有鍵情報リスト送受信部202-3で選定された送付対象となる鍵情報を鍵情報管理部220から取得し、取得した鍵情報の配布可能範囲内であるか確認を行った後、暗号化部213へ送付する。暗号化部213から暗号化された鍵情報を受け取り、要求者へ送付する。要求者は暗号化された鍵情報を受け取ると、復号部214へ送付し、復号された鍵情報を取得する。
鍵情報登録部202-5では、取得した鍵情報を鍵情報管理部220に登録を行う。
所有鍵情報リスト更新部208では、所有鍵情報リスト格納部209から所有鍵情報リストを入手し、取得した鍵情報に基づき、所有鍵情報リストを更新し、所有鍵情報リスト格納部209へ格納する。
尚、図中218は通信部である。In the key information transmission / reception unit 202-4, the key information to be sent selected by the possession key information list transmission / reception unit 202-3 is acquired from the key
The key information registration unit 202-5 registers the acquired key information in the key
The owned key information
In the figure,
[動 作]
次に、図2〜図12を参照して本発明に係る共通鍵自動配布システムの実施例の動作について詳細に説明する。
本発明に係る共通鍵自動配布システムの動作は、大きく以下の(a)〜(d)の動作に分けられる。
(a)公開鍵ペアの作成やクライアント情報の登録などを行う初期設定
(b)ファイルの暗号化に使用する鍵情報の生成・更新・削除
(c)クライアント間における鍵情報の交換
(d)クライアント間におけるメンバ情報の交換[Operation]
Next, the operation of the embodiment of the common key automatic distribution system according to the present invention will be described in detail with reference to FIGS.
The operation of the common key automatic distribution system according to the present invention is roughly divided into the following operations (a) to (d).
(a) Initial settings for creating public key pairs and registering client information
(b) Generation / update / deletion of key information used for file encryption
(c) Key information exchange between clients
(d) Exchange of member information between clients
まず、初期設定の動作について図3、図4を参照して詳細に説明する。
図3は、図1に示した共通鍵自動配布システムに用いられるクライアント証明書の一例である。図4は、図1に示した共通鍵自動配布システムに用いられるクライアントの初期設定フローの一例である。
図4において、本発明に係る共通鍵自動配布システムに用いられるクライアント101〜103(図1参照)では、クライアント情報の生成を開始すると、公開鍵ペア生成部203-1にて、公開鍵と秘密鍵とのペアが生成され、それぞれクライアント公開鍵格納部217およびクライアント秘密鍵格納部216に格納される(ステップ(1)〜(3))。
次に、クライアント情報生成部207にて、クライアント101〜103の固有情報(氏名やIDなど)や組織情報(会社名、部署名、役職など)に加え、クライアント公開鍵格納部217から公開鍵および公開鍵に関する情報を取得し、クライアント情報として図3に示すようなクライアント証明書を生成する。ただし、この時点では署名領域は未記入である(以下、本状態のクライアント証明書をクライアント情報と表記する:ステップ(4)〜(6))。First, the initial setting operation will be described in detail with reference to FIGS.
FIG. 3 is an example of a client certificate used in the common key automatic distribution system shown in FIG. FIG. 4 is an example of a client initial setting flow used in the common key automatic distribution system shown in FIG.
In FIG. 4, in the
Next, in the client
続いて、申請部203-3にてクライアント情報をCA104(図1参照)に提出する。CA104への証明書発行申請は、メールやWeb、郵送などの情報伝達手段を用いて行われる(ステップ(7))。
CA104では、クライアント101〜103が生成したクライアント情報を、メールやWeb、郵送などの情報伝達手段により申請受付機能104-1(図1参照)にて取得し、真正性確認機能104-2(図1参照)で、申請受付機能104-1にて取得したクライアント情報の各情報に誤りが無いことを確認し、信頼できると判断した場合、証明書作成機能104-3(図1参照)にてCA秘密鍵を用いて署名を行う。
本処理では、送付されたクライアント情報の署名領域部分に証明書発効日などの情報を記載し、クライアント証明書として生成する(ステップ(8)〜(11))。Subsequently, the client information is submitted to the CA 104 (see FIG. 1) by the application unit 203-3. An application for issuing a certificate to the
In the
In this processing, information such as the certificate effective date is described in the signature area portion of the sent client information and is generated as a client certificate (steps (8) to (11)).
次に、証明書返却機能104-5にて、クライアント証明書をクライアント101〜103へ送付する。このとき、CA公開鍵についても合わせて送付する(図4ステップ(12)〜(13))。
クライアント101〜103では、CA104から送付されたクライアント証明書およびCA公開鍵を証明書送受信部204-1にて受け取り(ステップ(14))、登録部204-2にてクライアント証明書をクライアント証明書格納部211に登録し、CA公開鍵をCA公開鍵格納部212に登録すると共に、クライアント証明書の情報を元にメンバ情報リスト(図11)を生成し、メンバ情報リスト格納部210に登録する(図4ステップ(15)〜(16))。
図11は、図1に示した共通鍵自動配布システムに用いられるメンバ情報リストの一例である。Next, the client certificate is sent to the
The
FIG. 11 is an example of a member information list used in the common key automatic distribution system shown in FIG.
次に、鍵の生成・更新・削除の動作について図5から図9を参照して詳細に説明する。
図5は、図1に示した共通鍵自動配布システムに用いられる鍵情報の一例を示す図である。図6は、図1に示した共通鍵自動配布システムに用いられるクライアントの鍵生成フローの一例を示す図である。図7は、図1に示した共通鍵自動配布システムに用いられるクライアントの鍵更新フローの一例を示す図である。図8は、図1に示した共通鍵自動配布システムに用いられるクライアントの鍵削除フローの一例を示す図である。図9は、図1に示した共通鍵自動配布システムに用いられる所有鍵情報リストの一例である。Next, key generation / update / deletion operations will be described in detail with reference to FIGS.
FIG. 5 is a diagram showing an example of key information used in the common key automatic distribution system shown in FIG. 6 is a diagram showing an example of a client key generation flow used in the common key automatic distribution system shown in FIG. FIG. 7 is a diagram showing an example of a client key update flow used in the common key automatic distribution system shown in FIG. FIG. 8 is a diagram showing an example of a client key deletion flow used in the common key automatic distribution system shown in FIG. FIG. 9 is an example of the owned key information list used in the common key automatic distribution system shown in FIG.
鍵の生成では、図6に示すとおり、まず共通鍵生成部207-1(図2参照)にて暗号化アルゴリズムおよび鍵長を指定し(ステップS601)、鍵生成命令を行い(ステップS602)、共通鍵を生成する(ステップS603)。
続いて、鍵情報入力部207-2(図2参照)にて鍵の表示名や鍵の有効期限などの付加情報を入力する(ステップS604)。In the key generation, as shown in FIG. 6, first, an encryption algorithm and a key length are designated by the common key generation unit 207-1 (see FIG. 2) (step S601), a key generation instruction is executed (step S602), A common key is generated (step S603).
Subsequently, additional information such as a display name of the key and an expiration date of the key is input by the key information input unit 207-2 (see FIG. 2) (step S604).
次に、配布範囲指定部207-3(図2参照)にてメンバ情報リスト格納部210からメンバ情報リストを取得し(ステップS605)、本リストの情報を元に鍵の配布範囲の指定を行う(ステップS606)。
これら情報をもとに、鍵情報合成部207-4では図5に示すような鍵情報のうち署名値のないものを鍵情報仮生成として行い(ステップS607)、クライアント秘密鍵格納部216からクライアント秘密鍵を取得し(ステップS608)、鍵情報に署名を行い(ステップS609)、正式な鍵情報を生成する(ステップS610)。生成した鍵情報は鍵情報管理部220へ格納する(ステップS611)。Next, the distribution range specification unit 207-3 (see FIG. 2) acquires the member information list from the member information list storage unit 210 (step S605), and specifies the key distribution range based on the information in this list. (Step S606).
Based on these pieces of information, the key information synthesizing unit 207-4 performs the key information temporary generation as shown in FIG. 5 without the signature value as shown in FIG. A secret key is acquired (step S608), the key information is signed (step S609), and formal key information is generated (step S610). The generated key information is stored in the key information management unit 220 (step S611).
最後に、所有鍵情報リスト更新部208にて、所有鍵情報リスト格納部209から図9に示すような所有鍵情報リストを取得し(ステップS612)、生成した鍵情報リストを更新後(ステップS613)、所有鍵情報リスト格納部209へ再度格納する(ステップS614)。 Finally, the owned key information
鍵の更新では、図7に示すとおり、鍵情報収集部209-1にて鍵情報管理部220から鍵情報の鍵作成者となっている鍵のみを取得し(ステップS701)、取得した鍵情報から更新を実施する鍵情報を選択する(ステップS702)。
続いて、鍵情報変更部209-2で、共通鍵の更新を行う場合は、鍵情報生成部207の共通鍵生成部207-1に依頼を行い、共通鍵生成部207-1にて暗号化アルゴリズムおよび鍵長を指定および鍵生成命令を行う。すなわち、共通鍵を更新するか否かを判断し(ステップS703)、更新しない場合(ステップS703/NO)にはステップS706に進み、更新する場合(ステップS703/YES)には、暗号アルゴリズム、鍵長を指定し(ステップS704)、共通鍵を生成し(ステップS705)、ステップS706へ進む。付加情報を更新する場合は、鍵情報生成部207の鍵情報入力部207-2に依頼を行い、鍵情報入力部207-2にて鍵の表示名や鍵の有効期限などの付加情報の入力を行う。すなわち、ステップS706では付加情報を更新するか否かを判断し、更新しない(ステップS706/NO)にはステップS708に進み、更新する場合(ステップS706/YES)には、鍵の付加情報を入力し(ステップS707)、ステップS708に進む。In the key update, as shown in FIG. 7, the key information collection unit 209-1 acquires only the key that is the key creator of the key information from the key information management unit 220 (step S701), and the acquired key information To select key information to be updated (step S702).
Subsequently, when the common key is updated by the key information changing unit 209-2, a request is made to the common key generating unit 207-1 of the key
鍵情報の配布可能範囲を更新する場合は、鍵情報生成部207の配布範囲指定部に依頼を行い、配布範囲指定部にてメンバ情報リスト格納部210からメンバ情報リストを取得し、本リストの情報を元に鍵の配布範囲の指定を行う。すなわち、ステップS708では配布可能範囲を更新するか否かを判断し、更新しない場合(ステップS708/NO)にはステップS711に進み、更新する場合(ステップS708/YES)には、メンバ情報リストを取得し(ステップS709)、鍵の配布範囲を指定し(ステップS710)、ステップS711に進む。 When updating the distributable range of the key information, a request is made to the distribution range specifying unit of the key
最後に、鍵情報変更部209-2では、これら更新内容に基づき鍵情報を更新するとともに更新日の更新を行い(ステップS711)、クライアント秘密鍵格納部216から秘密鍵を取得し(ステップS712)、鍵情報への再署名を行い(ステップS713)署名値を修正し、これら更新処理を行った鍵情報を作成し(ステップS714)、更新した鍵情報を鍵情報管理部220へ格納する(ステップS715)。Finally, the key information changing unit209 -2 updates the key information based on these update contents and updates the update date (step S711), and acquires the secret key from the client secret key storage unit 216 (step S712). The key information is re-signed (step S713), the signature value is corrected, the key information after the update processing is created (step S714), and the updated key information is stored in the key information management unit 220 (step S714). S715).
続いて、所有鍵情報リスト更新部208にて、所有鍵情報リスト格納部209から図9に示すような所有鍵情報リストを取得し(ステップS716)、更新した鍵情報の更新部分を変更(リスト更新:ステップS717)後、所有鍵情報リスト格納部209へ再度格納する(ステップS718)。
鍵の削除では、図8に示すとおり、鍵情報収集部209-1にて鍵情報管理部220から鍵情報の鍵作成者となっている鍵のみを取得し(ステップS801)、取得した鍵情報から削除を実施する鍵情報を選択する(ステップS802)。
Subsequently, the owned key information
In the key deletion, as shown in FIG. 8, the key information collection unit209-1 acquires only the key that is the key creator of the key information from the key information management unit 220 (step S801), and the acquired key information The key information to be deleted is selected from (Step S802).
次に、鍵情報削除部205-2では鍵情報の共通鍵部分を削除し、暗号化・復号に使用できない状態にするとともに更新日の更新を行う(ステップS803)。 Next, the key information deletion unit 205-2 deletes the common key part of the key information so that it cannot be used for encryption / decryption and updates the update date (step S803).
クライアント秘密鍵格納部216からクライアント秘密鍵を取得し(ステップS804)、鍵情報への再署名を行い(ステップS805)、署名値を修正し、これら削除処理を行った鍵情報を作成(ステップS806)、鍵情報管理部220へ格納する(ステップS807)。 The client secret key is obtained from the client secret key storage unit 216 (step S804), the key information is re-signed (step S805), the signature value is corrected, and the key information obtained by performing these deletion processes is created (step S806). ) And stored in the key information management unit 220 (step S807).
続いて、所有鍵情報リスト更新部208にて、所有鍵情報リスト格納部209から図9に示すような所有鍵情報リストを取得し(ステップS808)、削除した鍵情報の情報を変更(リスト更新:ステップS809)後、所有鍵情報リスト格納部209へ再度格納する(ステップS810)。 Subsequently, the owned key information
次に、クライアント間における鍵情報の交換の動作について、図10を参照して詳細に説明する。
図10は、図1に示した共通鍵自動配布システムに用いられるクライアント間の鍵情報交換フローの一例である。
本実施例における説明では、鍵の交換要求を行う側をクライアントAとし、鍵の交換要求に応じて鍵情報を提供する側をクライアントBとする。
クライアントAの鍵情報交換要求送受信部202-1から他のクライアントに対し鍵情報交換の要求を送信する(ステップ(1))。
クライアントBの鍵情報交換要求送受信部202-1では、クライアントAからの鍵情報交換要求を受信すると、鍵情報交換承諾の応答をクライアントAへ返す(ステップ(2))。
クライアントAの鍵情報交換要求送受信部202-1で、クライアントBからの鍵情報交換承諾の応答を受信すると、クライアント証明書送受信部202-2にてクライアント証明書格納部211から自身のクライアント証明書(以下、クライアントA証明書と記載)を取得し、クライアントBへ送付する(ステップ(3))。
クライアントBのクライアント証明書送受信部202-2にて、クライアントA証明書を受信すると、クライアントA証明書を検証部215へ送付する。検証部215では、CA公開鍵格納部212からCA公開鍵を入手し、CA公開鍵を用いてクライアントA証明書がCAから正式に正しく発行され改ざんされていない証明書であるか否かの検証を行う(ステップ(4))。
検証結果が正常であった場合、クライアント証明書送受信部202-2では、クライアント証明書格納部211から自身のクライアント証明書(以下、クライアントB証明書と記載)を取得し、クライアントAへ送付すると共に、所有鍵情報リスト要求を行う。なお、検証部215での検証結果が正常でない場合は処理を終了する(ステップ(5))。
クライアントAのクライアント証明書送受信部202-2にて、クライアントB証明書および所有鍵情報リスト要求を受信すると、クライアントB証明書を検証部215に送付する。検証部215では、CA公開鍵格納部212からCA公開鍵を入手し、CA公開鍵を用いてクライアントB証明書がCAから正式に正しく発行され改ざんされていない証明書であるか否かの検証を行う(ステップ(6))。
検証結果が正常であった場合、所有鍵情報リスト送受信部202-3にて、所有鍵情報リスト格納部209から所有鍵情報リストを取得(以下、所有鍵情報リストAと記載)し、クライアントB証明書と共に暗号化部へ送付する。なお、検証部215での検証結果が正常でない場合は処理を終了する。暗号化部213では、クライアントB証明書からクライアントBの公開鍵を入手し、クライアントBの公開鍵で所有鍵情報リストAを暗号化し、所有鍵情報リスト送受信部202-3へ返却する(ステップ(7))。Next, the operation of exchanging key information between clients will be described in detail with reference to FIG.
FIG. 10 is an example of a key information exchange flow between clients used in the common key automatic distribution system shown in FIG.
In the description of the present embodiment, the side that makes the key exchange request is client A, and the side that provides the key information in response to the key exchange request is client B.
The key information exchange request transmitting / receiving unit 202-1 of the client A transmits a key information exchange request to another client (step (1)).
When the key information exchange request transmitting / receiving unit 202-1 of the client B receives the key information exchange request from the client A, it returns a key information exchange acceptance response to the client A (step (2)).
When the key information exchange request transmission / reception unit 202-1 of the client A receives the response of the key information exchange acceptance from the client B, the client certificate transmission / reception unit 202-2 receives the client
When the client A client certificate transmission / reception unit 202-2 of the client B receives the client A certificate, the client A certificate is sent to the
When the verification result is normal, the client certificate transmission / reception unit 202-2 acquires its own client certificate (hereinafter referred to as client B certificate) from the client
When the client certificate transmission / reception unit 202-2 of the client A receives the client B certificate and the possession key information list request, the client B certificate is sent to the
If the verification result is normal, the owned key information list transmission / reception unit 202-3 acquires the owned key information list from the owned key information list storage unit 209 (hereinafter referred to as owned key information list A), and client B Send it to the encryption unit along with the certificate. If the verification result in the
所有鍵情報リスト送受信部202-3は、暗号化された所有鍵情報リストAをクライアントBへ送付する(ステップ(8))。
クライアントBの所有鍵情報リスト送受信部202-3が、暗号化された所有鍵情報リストAを受信すると、所有鍵情報リスト送受信部202-3は復号部214へ送付する。復号部214では、クライアント秘密鍵格納部216から秘密鍵を取得して、暗号化された所有鍵情報リストAを復号し、所有鍵情報リスト送受信部202-3へ返却する(ステップ(9))。The owned key information list transmission / reception unit 202-3 sends the encrypted owned key information list A to the client B (step (8)).
When the owned key information list transmitting / receiving unit 202-3 of the client B receives the encrypted owned key information list A, the owned key information list transmitting / receiving unit 202-3 sends it to the
所有鍵情報リスト送受信部202-3では、所有鍵情報リスト格納部202-3から所有鍵情報リストを取得(以下、所有鍵情報リストBと記載)し、所有鍵情報リストAと比較を行い、クライアントAへの送付対象となる鍵情報を選定を行い(ステップ(10))、選定結果を鍵情報送受信部202-4へ通知する。なお、選定基準は以下の通り。
・所有鍵情報リストBにあり、所有鍵情報リストAにない鍵情報(パターンA)
・所有鍵情報リストA、B共に存在するが、所有鍵情報リストBにある鍵情報の方が更新日が新しい場合(パターンB)。The owned key information list transmission / reception unit 202-3 obtains the owned key information list from the owned key information list storage unit 202-3 (hereinafter referred to as the owned key information list B), compares it with the owned key information list A, Key information to be sent to the client A is selected (step (10)), and the selection result is notified to the key information transmitting / receiving unit 202-4. The selection criteria are as follows.
-Key information that is in the owned key information list B but not in the owned key information list A (pattern A)
・ Own key information lists A and B exist, but the key information in the owned key information list B has a newer update date (pattern B).
鍵情報送受信部202-4では、取得した選定結果を基に鍵情報管理部220から該当する鍵情報を取得する。なお、パターンAに属する鍵情報の場合、鍵情報の配布可能範囲にクライアントAが該当するか否かの確認を行い、該当する鍵情報のみを取得する(ステップ(11))。 The key information transmission / reception unit 202-4 acquires the corresponding key information from the key
鍵情報送受信部202-4では、取得した鍵情報をクライアントA証明書と共に暗号化部213へ送付し、暗号化部213では、クライアントA証明書からクライアントAの公開鍵を入手し、クライアントAの公開鍵で鍵情報を暗号化し、鍵情報送受信部202-4へ返却する(ステップ(12))。
鍵情報送受信部202-4は、暗号化された鍵情報をクライアントAへ送付する(ステップ(13))。
クライアントAの鍵情報送受信部202-4では、暗号化された鍵情報を受信すると、復号部214へ送付する。復号部214では、クライアント秘密鍵格納部216から秘密鍵を取得して、暗号化された鍵情報を復号し、鍵情報送受信部202-4へ返却する(ステップ(14))。The key information transmission / reception unit 202-4 sends the acquired key information together with the client A certificate to the
The key information transmission / reception unit 202-4 sends the encrypted key information to the client A (step (13)).
When receiving the encrypted key information, the key information transmission / reception unit 202-4 of the client A sends it to the
鍵情報登録部202-5では、復号された鍵情報を鍵情報送信部202-4から受け取り、検証部215に送付する。検証部215では、クライアント証明書格納部211から、鍵情報の作成者に対応するクライアント証明書を取得し、クライアント証明書から公開鍵を取り出し鍵情報の検証を行う。検証結果が正常でない場合は鍵情報を破棄する。検証結果が正常な場合は、鍵情報管理部220へ登録する。登録方法は以下の(i)、(ii)の通り。 The key information registration unit 202-5 receives the decrypted key information from the key information transmission unit 202-4 and sends it to the
(i)所有していない鍵情報は、鍵情報の配布可能範囲に該当していることを確認し登録
(ii)所有している鍵情報で、更新されている鍵は、鍵情報管理部220から該当の鍵情報を取得・更新し鍵情報を再登録。なお、更新されている鍵のパターンとしては、更新(鍵 情報のいずれかが変更されている)と削除(鍵情報の共通鍵が削除されている)
の2つがある。
鍵情報の登録が完了後、所有鍵情報リスト更新部208では、所有鍵情報リスト格納部209から所有鍵情報リストを取得し(ステップ(15))、鍵情報の登録内容を所有鍵情報リストに反映し、所有鍵情報リスト格納部209に再格納する(ステップ(16))。(i) Confirm that key information that you do not own falls within the distribution range of key information and register it.
(ii) For keys that have been updated, the key information that has been updated is obtained and updated from the key
There are two.
After the registration of the key information is completed, the owned key information
最後に、クライアント間におけるメンバ情報の交換の動作について、図12を参照して詳細に説明する。
図12は、図1に示した共通鍵自動配布システムに用いられるクライアント間のメンバ情報リスト交換フローの一例である。
本実施例における説明では、メンバ情報リストの交換要求を行う側をクライアントAとし、メンバ情報リストの交換要求に応じてメンバ情報を提供する側をクライアントBとする。Finally, the operation of exchanging member information between clients will be described in detail with reference to FIG.
FIG. 12 is an example of a member information list exchange flow between clients used in the common key automatic distribution system shown in FIG.
In the description of the present embodiment, the side that makes the member information list exchange request is client A, and the side that provides the member information in response to the member information list exchange request is client B.
クライアントAのメンバ情報交換要求送受信部201-5から他のクライアントに対しメンバ情報リスト交換の要求を送信する(ステップ(1))。
クライアントBのメンバ情報交換要求送受信部201-5では、クライアントAからのメンバ情報リスト交換要求を受信すると、メンバ情報リスト交換承諾の応答をクライアントAへ返す(ステップ(2))。
クライアントAのメンバ情報交換要求送受信部201-5で、クライアントBからのメンバ情報リスト交換承諾の応答を受信すると、クライアント証明書送受信部201-4にてクライアント証明書格納部211から自身のクライアント証明書(以下、クライアントA証明書と記載)を取得し、クライアントBへ送付する(ステップ(3))。The member information exchange request transmitting / receiving unit 201-5 of the client A transmits a member information list exchange request to another client (step (1)).
When the member information exchange request transmission / reception unit 201-5 of the client B receives the member information list exchange request from the client A, it returns a member information list exchange acceptance response to the client A (step (2)).
When the member information exchange request transmission / reception unit 201-5 of the client A receives the response of the member information list exchange acceptance from the client B, the client certificate transmission / reception unit 201-4 receives the client
クライアントBのクライアント証明書送受信部201-4にて、クライアントA証明書を受信すると、クライアントA証明書を検証部215へ送付する。検証部では、CA公開鍵格納部212からCA公開鍵を入手し、CA公開鍵を用いてクライアントA証明書がCAから正式に正しく発行され改ざんされていない証明書であるか否かの検証を行う(ステップ(4))。
検証結果が正常であった場合、メンバ情報リスト取得部201-3では、メンバ情報リスト格納部210からメンバ情報リストを取得する(以下、メンバ情報リストBと記載)と共に、クライアント証明書格納部211からメンバ情報リストBに記載されているメンバのクライアント証明書(以下、メンバクライアント証明書と記載)を取得する(ステップ(5))。When client certificate transmission / reception unit 201-4 of client B receives the client A certificate, it sends the client A certificate to
If the verification result is normal, the member information list acquisition unit 201-3 acquires the member information list from the member information list storage unit 210 (hereinafter referred to as member information list B), and the client
続いて、メンバ情報リスト送受信部201-2では、取得したメンバ情報リストBおよびメンバクライアント証明書に加え、クライアントA証明書を暗号部213に送付し、クライアントA証明書からクライアントAの公開鍵を入手し、クライアントAの公開鍵でメンバ情報リストBおよびメンバクライアント証明書を暗号化し、メンバ情報リスト送受信部201-2へ返却する(ステップ(6))。
メンバ情報リスト送受信部201-2は、暗号化されたメンバ情報リストBおよびメンバクライアント証明書をクライアントAへ送付する(ステップ(7))。Subsequently, in the member information list transmission / reception unit 201-2, in addition to the acquired member information list B and member client certificate, the client A certificate is sent to the
The member information list transmission / reception unit 201-2 sends the encrypted member information list B and member client certificate to the client A (step (7)).
クライアントBのメンバ情報リスト送受信部201-2では、暗号化されたメンバ情報リストBおよびメンバクライアント証明書を受信すると、復号部214へ送付する。復号部214では、クライアント秘密鍵格納部216から秘密鍵を取得して、暗号化されたメンバ情報リストBおよびメンバクライアント証明書を復号し、メンバ情報リスト送受信部201-2へ返却する(ステップ(8))。
メンバ情報リスト更新部201-1では、復号されたメンバ情報リストBおよびメンバクライアント証明書をメンバ情報リスト送受信部201-2から受け取る共に、メンバ情報リスト格納部210から現在のメンバ情報リストを取得(以下、メンバ情報リストAと記載)し、メンバ情報リストAとメンバ情報リストBとの比較を行う。比較の結果、メンバ情報リストAに記載のないメンバのメンバクライアント証明書をクライアント証明書格納部211に登録するとともに、メンバ情報リストAに追加する。
最後に、更新されたメンバ情報リストAはメンバ情報リスト格納部210に格納される(ステップ(9))。When the member information list transmission / reception unit 201-2 of the client B receives the encrypted member information list B and the member client certificate, it sends them to the
The member information list update unit 201-1 receives the decrypted member information list B and member client certificate from the member information list transmission / reception unit 201-2 and obtains the current member information list from the member information list storage unit 210 ( Hereinafter, the member information list A is described), and the member information list A and the member information list B are compared. As a result of the comparison, member client certificates of members not listed in the member information list A are registered in the client
Finally, the updated member information list A is stored in the member information list storage unit 210 (step (9)).
本発明の効果は、以下の通りである。
・ピアツーピア型を用いた鍵交換を行うため、鍵交換・配信にサーバを必要としない。また、クライアントが自由に鍵の作成・更新・削除を行うことができる。
・ピアツーピア型を用いた鍵交換および証明書を用いた本人確認を自動的に行うため、クライアントが意識することなく、所有することを許可されたメンバにのみ、鍵情報の交換・配信を行うことができる。The effects of the present invention are as follows.
-Since a key exchange using a peer-to-peer type is performed, a server is not required for key exchange / distribution. Also, the client can freely create, update, and delete keys.
・ Peer-to-peer key exchange and certificate identification are automatically performed, so key information can be exchanged and distributed only to members who are allowed to own it without being aware of the client. Can do.
なお、上述した実施例は、本発明の好適な実施例の一例を示すものであり、本発明はそれに限定されることなく、その要旨を逸脱しない範囲内において、種々変形実施が可能である。 The above-described embodiment shows an example of a preferred embodiment of the present invention, and the present invention is not limited thereto, and various modifications can be made without departing from the scope of the invention.
ここで、前述した特許文献1〜7に記載の発明と本願との相違点について述べる。
<特許文献1>
特許文献1に記載の発明は、複数ユーザで共有するファイルを自動的に暗号化・復号するシステムだが、共有ディスク上のファイルの暗号化に限定されている点や暗号化に使用する鍵がクライアントの個別データを使用しており、鍵の更新などを考慮していない点が本願発明と異なる。Here, differences between the invention described in Patent Documents 1 to 7 and the present application will be described.
<Patent Document 1>
The invention described in Patent Document 1 is a system that automatically encrypts and decrypts files shared by a plurality of users. However, the invention is limited to the encryption of files on a shared disk, and the key used for encryption is a client. This is different from the present invention in that individual data is used and key updating is not considered.
<特許文献2>
特許文献2では暗号化ファイルに用いた鍵のグループ内での共有方法について述べているが、暗号化装置と認証装置を必要とするシステムであり、サーバ不要としクライアント間で鍵を交換する本願発明とは異なる。<Patent Document 2>
Patent Document 2 describes a method for sharing a key used for an encrypted file within a group, but this is a system that requires an encryption device and an authentication device, and does not require a server and exchanges keys between clients. Is different.
<特許文献3>
特許文献3には複数端末間における暗号化鍵の自動更新同期方式について記載されているが、暗号化鍵の利用目的が通信路の暗号化であり、あらかじめ事前に複数の鍵を送付して、ある一定のタイミングで使用する鍵を次のものへと変える形であり、共有するファイルの暗号化を目的とし、ピアツーピア型の通信でクライアント間で随時鍵の交換を行う本願発明とは異なる。<Patent Document 3>
Patent Document 3 describes an automatic update synchronization method for encryption keys between a plurality of terminals, but the purpose of use of the encryption key is to encrypt the communication path, and a plurality of keys are sent in advance, The key used at a certain timing is changed to the following one, which is different from the present invention in which a key is exchanged at any time between clients in peer-to-peer communication for the purpose of encrypting a shared file.
<特許文献4>
特許文献4に記載の発明は、クライアントから入手したリストを基に、更新情報をサーバが供給している点で本願発明とは異なる。<Patent Document 4>
The invention described in Patent Document 4 differs from the present invention in that the server supplies update information based on a list obtained from a client.
<特許文献5>
特許文献5に記載の発明は、公開鍵及びセッション鍵を用いた端末間の通信路の安全性を確保するものであり、ごく一般的な技術である。また、特許文献5に記載の発明は、リスト交換時における公開鍵を用いた暗号化による通信の保安性確保であり、本願発明とは異なる。<Patent Document 5>
The invention described in Patent Document 5 is a very general technique for ensuring the safety of a communication path between terminals using a public key and a session key. The invention described in Patent Document 5 is to secure communication security by encryption using a public key at the time of list exchange, and is different from the present invention.
<特許文献6>
特許文献6に記載の発明は、信頼できる端末のみと端末情報を交換し信頼できる端末グループを形成し、信頼できる端末グループ内で使用する鍵を共有しているのであり、任意のメンバ間で使用する共通鍵の配布範囲を指定する点で本願発明とは異なる。また、特許文献6に記載の発明は、交換するメンバの情報には配布範囲を指定するための補助的情報があるだけで、配布可能な範囲の情報は共通鍵情報自体が持つ点で本願発明とは異なる。<Patent Document 6>
The invention described in Patent Document 6 exchanges terminal information only with a trusted terminal to form a trusted terminal group, and shares a key used in the trusted terminal group, and is used between arbitrary members. This is different from the present invention in that the distribution range of the common key is specified. In the invention described in Patent Document 6, the information of the member to be exchanged has only auxiliary information for designating the distribution range, and the information of the range that can be distributed has the common key information itself. Is different.
<特許文献7>
特許文献7に記載の発明は、リストを交換することで互いに共有する情報を取得し、共有する情報を基に鍵共有を行っている点で本願発明とは異なる。<Patent Document 7>
The invention described in Patent Document 7 differs from the present invention in that information shared with each other is obtained by exchanging lists and key sharing is performed based on the shared information.
101〜103 クライアント
102−1 鍵管理機能
102−2 鍵交換機能
102−3 メンバ登録機能
102−4 認証申請機能
102−5 証明書登録機能
104 第三者認証機関側サーバ(CA)
104−1 申請受付機能
104−2 真正性確認機能
104−3 証明書作成機能
104−4 CA秘密鍵
104−5 証明書返却機能
104−6 CA公開鍵101-103 Client 102-1 Key management function 102-2 Key exchange function 102-3 Member registration function 102-4 Authentication application function 102-5
104-1 Application acceptance function 104-2 Authenticity confirmation function 104-3 Certificate creation function 104-4 CA private key 104-5 Certificate return function 104-6 CA public key
Claims (3)
Translated fromJapanese前記クライアントは、
情報の暗号化に使用する共通鍵と、当該共通鍵に関わる付属情報とを含む鍵情報を生成する機能と、
前記鍵情報の中から選択された更新対象情報を更新する機能と、
前記鍵情報の中から選択された削除対象情報を削除する機能と、
前記第三者認証機関側サーバによって保証されたクライアント間において前記鍵情報を交換・配信する機能と
を有する共通鍵自動共有システム。Comprising a plurality of clients for communicatingpeer-to-peer type and a third-party certification organization side server said guarantee the existence of eachclient,
The client
A function for generating key information including a common key used for encrypting information and attached information related to the common key;
A function of updating the update target information selected from the key information;
A function of deleting information to be deleted selected from the key information;
A function of exchanging and distributing the key information between clients guaranteed by the third-party certification authority server;
Common key auto-sharing system tohave a.
情報の暗号化に使用する共通鍵と、当該共通鍵に関わる付属情報とを含む鍵情報を生成する機能と、
前記鍵情報の中から選択された更新対象情報を更新する機能と、
前記鍵情報の中から選択された削除対象情報を削除する機能とを有し、
前記クライアントの存在を保証する第三者認証機関側サーバによって保証された前記クライアントは、前記第三者認証機関側サーバによって保証された他の前記クライアントとの間において前記鍵情報を交換・配信する共通鍵自動共有方法。Clients that perform peer-to-peer communication
A function for generating key information including a common key used for encrypting information and attached information related to the common key;
A function of updating the update target information selected from the key information;
A function to delete the deletion target information selected from the key information,
The client guaranteed by the third-party certification authority server that guarantees the existence of the client exchanges and distributes the key information with the other clients guaranteed by the third-party certification authority server. Common key automatic sharingmethod .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008052212AJP5012574B2 (en) | 2008-03-03 | 2008-03-03 | Common key automatic sharing system and common key automatic sharing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008052212AJP5012574B2 (en) | 2008-03-03 | 2008-03-03 | Common key automatic sharing system and common key automatic sharing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009212689A JP2009212689A (en) | 2009-09-17 |
| JP5012574B2true JP5012574B2 (en) | 2012-08-29 |
Family
ID=41185437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008052212AExpired - Fee RelatedJP5012574B2 (en) | 2008-03-03 | 2008-03-03 | Common key automatic sharing system and common key automatic sharing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5012574B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009212747A (en)* | 2008-03-04 | 2009-09-17 | Nec Corp | Electronic signature system |
| US10764748B2 (en)* | 2009-03-26 | 2020-09-01 | Qualcomm Incorporated | Apparatus and method for user identity authentication in peer-to-peer overlay networks |
| JP5770616B2 (en)* | 2011-12-09 | 2015-08-26 | Kddi株式会社 | Sensor network system, key management method and program |
| JP6711773B2 (en)* | 2017-03-21 | 2020-06-17 | システムプラザ株式会社 | Digital certificate management system, digital certificate using terminal, and digital certificate management method |
| JP6801921B2 (en)* | 2017-05-25 | 2020-12-16 | Necネットワーク・センサ株式会社 | Cryptographic communication methods, information processing devices and programs |
| JP2020036270A (en)* | 2018-08-31 | 2020-03-05 | 株式会社アメニディ | Communication system |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3074168B1 (en)* | 1999-03-09 | 2000-08-07 | 株式会社高度移動通信セキュリティ技術研究所 | Exclusive key agreement |
| US7929703B2 (en)* | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
| WO2007094035A1 (en)* | 2006-02-13 | 2007-08-23 | Seiko Instruments Inc. | Verifying server device |
| JP5056153B2 (en)* | 2007-05-16 | 2012-10-24 | コニカミノルタホールディングス株式会社 | File information management method and information processing apparatus |
- 2008
- 2008-03-03JPJP2008052212Apatent/JP5012574B2/ennot_activeExpired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009212689A (en) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8788811B2 (en) | Server-side key generation for non-token clients | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| RU2300845C2 (en) | Method and system for safe distribution of data transferred through public data network | |
| US9137017B2 (en) | Key recovery mechanism | |
| JP5265744B2 (en) | Secure messaging system using derived key | |
| US10567370B2 (en) | Certificate authority | |
| US7823187B2 (en) | Communication processing method and system relating to authentication information | |
| US6092201A (en) | Method and apparatus for extending secure communication operations via a shared list | |
| KR101130415B1 (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
| JP4600851B2 (en) | Establishing a secure context for communicating messages between computer systems | |
| US7489783B2 (en) | Digital certificate management system, digital certificate management apparatus, digital certificate management method, update procedure determination method and program | |
| JP5576985B2 (en) | Method for determining cryptographic algorithm used for signature, verification server, and program | |
| US20110296171A1 (en) | Key recovery mechanism | |
| JP2002501218A (en) | Client-side public key authentication method and device using short-lived certificate | |
| JP4525609B2 (en) | Authority management server, authority management method, authority management program | |
| JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
| KR20040029155A (en) | Method and apparatus for constructing digital certificates | |
| CN112187470A (en) | Internet of things certificate distribution method, device and system, storage medium and electronic device | |
| JP2007201522A (en) | Encryption communication system, key sharing method, key providing apparatus, and information processing apparatus | |
| CN110166460B (en) | Service account registration method and device, storage medium and electronic device | |
| JP2004248220A (en) | Public key certificate issuing device, public key certificate recording medium, authentication terminal device, public key certificate issuing method, and program | |
| JP2003244123A (en) | Common key management system, server, and method and program | |
| JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
| KR100834576B1 (en) | Key management method and apparatus for secure communication in P2P network | |
| CN117319067B (en) | Identity authentication method and system based on digital certificate and readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney | Free format text:JAPANESE INTERMEDIATE CODE: A7421 Effective date:20110920 | |
| A131 | Notification of reasons for refusal | Free format text:JAPANESE INTERMEDIATE CODE: A131 Effective date:20111025 | |
| A521 | Request for written amendment filed | Free format text:JAPANESE INTERMEDIATE CODE: A523 Effective date:20111216 | |
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text:JAPANESE INTERMEDIATE CODE: A01 Effective date:20120508 | |
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text:JAPANESE INTERMEDIATE CODE: A01 | |
| A61 | First payment of annual fees (during grant procedure) | Free format text:JAPANESE INTERMEDIATE CODE: A61 Effective date:20120521 | |
| FPAY | Renewal fee payment (event date is renewal date of database) | Free format text:PAYMENT UNTIL: 20150615 Year of fee payment:3 | |
| R150 | Certificate of patent or registration of utility model | Free format text:JAPANESE INTERMEDIATE CODE: R150 | |
| LAPS | Cancellation because of no payment of annual fees |