[go: up one dir, main page]

JP3296514B2 - Encryption communication terminal - Google Patents

Encryption communication terminal

Info

Publication number
JP3296514B2
JP3296514B2 JP10797493A JP10797493A JP3296514B2 JP 3296514 B2 JP3296514 B2 JP 3296514B2 JP 10797493 A JP10797493 A JP 10797493A JP 10797493 A JP10797493 A JP 10797493A JP 3296514 B2 JP3296514 B2 JP 3296514B2
Authority
JP
Japan
Prior art keywords
key
connection
cryptographic communication
session key
communication terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP10797493A
Other languages
Japanese (ja)
Other versions
JPH06318939A (en
Inventor
利和 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=14472784&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP3296514(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP10797493A priority Critical patent/JP3296514B2/en
Publication of JPH06318939A publication Critical patent/JPH06318939A/en
Application granted granted Critical
Publication of JP3296514B2 publication Critical patent/JP3296514B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Communication Control (AREA)

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【産業上の利用分野】本発明は、任意の2台の端末がコ
ネクションを確立し、共通鍵暗号アルゴリズムを用いて
暗号通信を行う暗号通信端末に関し、更に詳しくは、ネ
ットワークを介して複数の暗号通信端末が鍵配送センタ
に接続され、鍵配送センタが生成したセッション鍵をネ
ットワークを介して入手することにより任意の2台の暗
号通信端末がコネクションを確立して暗号通信を行う暗
号通信端末に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a cryptographic communication terminal in which any two terminals establish a connection and perform cryptographic communication using a common key cryptographic algorithm, and more particularly to a plurality of cryptographic communication terminals via a network. The present invention relates to a cryptographic communication terminal in which a communication terminal is connected to a key distribution center and two arbitrary cryptographic communication terminals establish a connection and perform cryptographic communication by obtaining a session key generated by the key distribution center via a network.

【0002】[0002]

【従来の技術】この種の暗号通信システムは、広い地域
に分散した事業所等の特定のグループ内で暗号通信を行
う場合に効果的に利用できるものであるが、従来の暗号
通信システムでは、通信相手端末とのコネクションを確
立後、一方のアプリケーションプログラムが鍵配送セン
タにアクセスすることにより、通信に使用するセッショ
ン鍵を取得する。このセッション鍵を通信相手端末に送
信することにより、共通の鍵を共有し、以降の通信デー
タをこの鍵を用いて暗号化(復号)し、暗号通信を行う
ことが一般的であった。2. Description of the Related Art This type of cryptographic communication system can be effectively used when performing cryptographic communication within a specific group such as offices distributed over a wide area. After establishing a connection with the communication partner terminal, one of the application programs accesses the key distribution center to acquire a session key used for communication. By transmitting the session key to the communication partner terminal, it is common to share a common key, encrypt (decrypt) subsequent communication data using this key, and perform encrypted communication.

【0003】[0003]

【発明が解決しようとする課題】上記のような従来方式
では、暗号通信に先立ち、端末上で走行するアプリケー
ションプログラムが鍵配送センタとコネクションを確立
し、鍵配送センタからセッション鍵を取得し、かつ通信
相手端末のアプリケーションに同じセッション鍵を送信
する処理が必要となる。一方、コネクション型のネット
ワークを介して端末間で通信を行う通信プログラムの数
は膨大であり、これらを暗号通信対応に変更する場合、
個別にアプリケーションプログラムを改造する必要があ
り、改造規模や工数が大きくなり、これに伴い開発費も
大きくなるという問題がある。In the conventional method as described above, prior to cryptographic communication, an application program running on a terminal establishes a connection with a key distribution center, obtains a session key from the key distribution center, and Processing for transmitting the same session key to the application of the communication partner terminal is required. On the other hand, the number of communication programs that perform communication between terminals via a connection-type network is enormous, and when these are changed to support encrypted communication,
It is necessary to individually remodel the application programs, which leads to a problem that the remodeling scale and the number of man-hours increase, and the development cost also increases accordingly.

【0004】本発明は、上記に鑑みてなされたもので、
その目的とするところは、アプリケーションプログラム
からのコネクション確立要求を検出し、鍵配送センタに
アクセスしてセッション鍵を取得し、通信相手端末にも
同じセッション鍵を送信して共通の鍵を共有することに
より、既存のアプリケーションプログラムに影響を与え
ることなく暗号通信を行い得る暗号通信端末を提供する
ことにある。[0004] The present invention has been made in view of the above,
Its purpose is to detect a connection establishment request from an application program, obtain a session key by accessing a key distribution center, and transmit the same session key to a communication partner terminal to share a common key. Accordingly, an object of the present invention is to provide a cryptographic communication terminal capable of performing cryptographic communication without affecting existing application programs.

【0005】[0005]

【課題を解決するための手段】上記目的を達成するた
め、本発明の暗号通信端末は、ネットワークを介して複
数の暗号通信端末が鍵配送センタに接続され、該鍵配送
センタが生成したセッション鍵をネットワークを介して
入手することにより任意の2台の暗号通信端末がコネク
ションを確立して暗号通信を行う暗号通信端末であっ
て、前記暗号通信端末は、他の暗号通信端末と通信する
際にアプリケーションからのコネクション確立要求を検
出するコネクション要求検出手段と、前記コネクション
確立要求の検出に応じて鍵配送センタとコネクションを
確立し、鍵配送センタにセッション鍵を要求するセッシ
ョン鍵要求手段と、鍵配送センタから送信されるセッシ
ョン鍵を受信して保持する受信手段と、他の暗号通信端
末とのコネクションを確立する他端末コネクション確立
手段と、該他端末コネクション確立手段によって他の暗
号通信端末とのコネクションを確立する際に前記受信手
段で受信したセッション鍵を他の暗号通信端末に送信す
るセッション鍵送信手段と、他の暗号通信端末になった
場合に、前記セッション鍵を受信した暗号通信端末から
送信されてくるセッション鍵を受信して保持するセッシ
ョン鍵受信手段と、他の暗号通信端末に送信すべき通信
データをセッション鍵で暗号化して他の暗号通信端末に
送信する暗号化手段と、他の暗号通信端末から送信され
てくる通信データをセッション鍵で復号化する復号化手
段とを有することを要旨とする。In order to achieve the above object, a cryptographic communication terminal according to the present invention comprises a plurality of cryptographic communication terminals connected to a key distribution center via a network, and a session key generated by the key distribution center. Is obtained via a network so that any two cryptographic communication terminals establish a connection and perform cryptographic communication. The cryptographic communication terminal communicates with another cryptographic communication terminal when Connection request detection means for detecting a connection establishment request from an application, session key request means for establishing a connection with a key distribution center in response to detection of the connection establishment request, and requesting a session key from the key distribution center; A connection between the receiving means for receiving and holding the session key transmitted from the center and other cryptographic communication terminals Another terminal connection establishing means, and a session key transmitting means for transmitting a session key received by the receiving means to another cryptographic communication terminal when the other terminal connection establishing means establishes a connection with another cryptographic communication terminal. And a session key receiving means for receiving and holding a session key transmitted from the cryptographic communication terminal that has received the session key when it becomes another cryptographic communication terminal, and transmitting the session key to another cryptographic communication terminal. Abstract: Encrypting means for encrypting communication data with a session key and transmitting it to another encrypted communication terminal, and decrypting means for decrypting communication data transmitted from the other encrypted communication terminal with a session key. And

【0006】[0006]

【作用】本発明の暗号通信端末では、暗号通信端末上で
走行するアプリケーションプログラムからの通信相手端
末とのコネクション確立要求を検出し、この検出に応じ
て鍵配送センタとコネクションを確立し、鍵配送センタ
にセッション鍵を要求する。暗号通信端末は鍵配送セン
タから送信される暗号化された2つのセッション鍵を受
信し、自端末のセッション鍵を自端末の暗号鍵で復号し
て保持するとともに、他の暗号通信端末とのコネクショ
ンを確立する手順の中で他の暗号通信端末の暗号化され
たセッション鍵を送信する。他の暗号通信端末はセッシ
ョン鍵を受信すると、自分の暗号鍵を用いてセッション
鍵を復号して保持する。自端末および他の暗号通信端末
は共通のセッション鍵を用いて暗号通信を行うことがで
きる。The cryptographic communication terminal of the present invention detects a connection establishment request with a communication partner terminal from an application program running on the cryptographic communication terminal, establishes a connection with a key distribution center in response to the detection, and performs key distribution. Request the session key from the center. The cryptographic communication terminal receives the two encrypted session keys transmitted from the key distribution center, decrypts and holds the session key of its own terminal with its own encryption key, and establishes a connection with another cryptographic communication terminal. The encrypted session key of another cryptographic communication terminal is transmitted in the procedure for establishing Upon receiving the session key, the other cryptographic communication terminal decrypts and holds the session key using its own encryption key. The own terminal and another cryptographic communication terminal can perform cryptographic communication using a common session key.

【0007】[0007]

【実施例】以下、図面を用いて本発明の実施例を説明す
る。Embodiments of the present invention will be described below with reference to the drawings.

【0008】図1は、本発明の一実施例に係わる暗号通
信端末を含む暗号通信システムの構成を示すブロック図
である。なお、本実施例では、コネクション型のプロト
コルを使用して通信を行うTCP/IP・LANを例に
とって説明を行う。FIG. 1 is a block diagram showing a configuration of a cryptographic communication system including a cryptographic communication terminal according to one embodiment of the present invention. In this embodiment, a description will be given of a TCP / IP / LAN that performs communication using a connection-type protocol as an example.

【0009】図1において、1はセッション鍵を生成し
て暗号通信端末3に送信する鍵配送センタ、2は鍵配送
センタ1と暗号通信端末3との間および暗号通信端末3
と暗号通信端末3との間でコネクションを確立し、通信
を行うためのネットワーク、3は通信を行う暗号通信端
末(#1〜#n)である。In FIG. 1, 1 is a key distribution center for generating a session key and transmitting it to the cryptographic communication terminal 3. 2 is a key distribution center between the key distribution center 1 and the cryptographic communication terminal 3 and the cryptographic communication terminal 3.
A network 3 for establishing a connection between the communication terminal 3 and the cryptographic communication terminal 3 and performing communication is a cryptographic communication terminal (# 1 to #n) for performing communication.

【0010】鍵配送センタ1は、暗号通信端末3とコネ
クションを確立するコネクション制御手段11と、暗号
通信端末3からのポート識別子を受信する受信手段12
と、後述するセッション鍵を暗号通信端末3に送信する
送信手段13と、乱数を発生させてセッション鍵を生成
する乱数生成手段14と、暗号通信端末3の暗号鍵を検
索(あるいは生成)する鍵管理手段15と、乱数生成手
段14で生成したセッション鍵を鍵管理手段15で生成
した暗号通信端末3の暗号鍵で暗号化する暗号手段16
とから構成されている。[0010] The key distribution center 1 includes a connection control means 11 for establishing a connection with the cryptographic communication terminal 3 and a receiving means 12 for receiving a port identifier from the cryptographic communication terminal 3.
A transmitting unit 13 for transmitting a session key to be described later to the cryptographic communication terminal 3, a random number generating unit 14 for generating a random number to generate a session key, and a key for searching (or generating) the cryptographic key of the cryptographic communication terminal 3. Management means 15 and encryption means 16 for encrypting the session key generated by random number generation means 14 with the encryption key of cryptographic communication terminal 3 generated by key management means 15
It is composed of

【0011】また、各端末3は、アプリケーションプロ
グラムからのコネクション確立要求を検出するコネクシ
ョン要求検出手段31と、この検出を契機として、鍵配
送センタ1とコネクションを確立するとともに、他端末
3とコネクションを確立し、後述のセッション鍵を送信
するコネクション制御手段32と、鍵配送センタ1に自
端末3と他端末3のポート識別子を送信するとともに、
他端末3に暗号化された通信データ(以下、暗号文とい
う)を送信する送信手段33と、鍵配送センタ1からセ
ッション鍵を受信するとともに、他端末3からの暗号文
を受信する受信手段34と、自端末3の暗号鍵と鍵配送
センタ1からのセッション鍵を保持する鍵管理手段35
と、セッション鍵を暗号鍵で復号するとともに、他端末
3との通信時に、暗号文をもとの通信データ(以下、平
文という)に、あるいは平文を暗号文に変換する暗号・
復号手段36とから構成されている。Each terminal 3 establishes a connection with the key distribution center 1 upon the detection of a connection request detecting means 31 for detecting a connection establishment request from an application program, and establishes a connection with the other terminals 3. The connection control means 32 establishes and transmits a session key described later, and transmits the port identifiers of the own terminal 3 and the other terminal 3 to the key distribution center 1;
Transmission means 33 for transmitting the encrypted communication data (hereinafter referred to as cipher text) to the other terminal 3, and receiving means 34 for receiving the session key from the key distribution center 1 and receiving the cipher text from the other terminal 3. And a key management unit 35 for storing the encryption key of the terminal 3 and the session key from the key distribution center 1.
In addition to decrypting the session key with the encryption key and encrypting the ciphertext into the original communication data (hereinafter referred to as plaintext) or the plaintext into ciphertext during communication with the other terminal 3,
And decoding means 36.

【0012】なお、前記他端末3においては、セッショ
ン鍵は前記自端末3から受信し、鍵管理手段35に保持
する暗号鍵で復号後、鍵管理手段35に保持し、前記自
端末3との暗号通信のための暗号鍵として用いる。The other terminal 3 receives the session key from the own terminal 3, decrypts the session key with the encryption key held in the key management unit 35, holds it in the key management unit 35, and establishes a connection with the own terminal 3. Used as an encryption key for encrypted communication.

【0013】図2は、TCP/IP・LANで使用する
プロトコルをOSIの参照モデルに準拠して記述してい
る。物理、データリンクレイヤはMAC(Media Access
Control)プロトコル、ネットワークレイヤはIP(In
ternet Protocol )、トランスポートレイヤはTCP
(Transmit Control Protocol )で実現されており、ア
プリケーションプログラム(以下、APと略す)はTC
Pレイヤ間でコネクションを確立する。FIG. 2 describes a protocol used in TCP / IP / LAN based on the OSI reference model. The physical and data link layers are MAC (Media Access
Control) protocol, network layer is IP (In)
ternet Protocol), transport layer is TCP
(Transmit Control Protocol), and the application program (hereinafter abbreviated as AP) is TC
A connection is established between P layers.

【0014】図3は、TCP/IP・LANに接続され
た2台の端末間で通信する際に使用するフレーム・フォ
ーマットを示す。フレームは、MACヘッダ(MACH)、
IPヘッダ (IPH)およびTCPヘッダ(TCPH)からな
るヘッダと、APのデータ部およびフレーム全体のフレ
ーム・チェック・シーケンスから構成される。APのデ
ータ部に暗号をかけることにより、IPルータを介した
ネットワークを使用して通信を行うことができる。悪意
のある端末がなりすましによる、通信文のモニタあるい
は改ざんを防止するため、コネクション毎に違うセッシ
ョン鍵を使用する。なお、送信側のIPレイヤのアドレ
ス(IPヘッダに規定)およびTCPレイヤのポート番
号(TCPヘッダに規定)と受信側のIPアドレスおよ
びポート番号により、通信相手端末とのコネクションが
一意に決定される。FIG. 3 shows a frame format used for communication between two terminals connected to the TCP / IP LAN. The frame is a MAC header (MAC - H),
It consists of a header consisting of an IP header (IP - H) and a TCP header (TCP - H), a data part of the AP and a frame check sequence of the entire frame. By encrypting the data portion of the AP, communication can be performed using a network via an IP router. A different session key is used for each connection in order to prevent a malicious terminal from monitoring or falsifying a message due to spoofing. The connection with the communication partner terminal is uniquely determined by the IP address (defined in the IP header) of the transmitting side and the port number (defined in the TCP header) of the TCP layer and the IP address and port number of the receiving side. .

【0015】図4は、TCPレイヤのヘッダ・フォーマ
ットを示す。図中、部分は本発明に関係がないた
め、ここでは説明を省略する。図中SRCPORT
およびDSTPORTは、各々送信元のポート
番号、送信先のポート番号を示す。TCPヘッダの制御
フラグ(CF:Control Flag)を使用して通信相手端末と
コネクションを確立/切断を行う。コネクションの確立
は、SYNおよびACKフラグを使用し、コネ
クションの切断はFINおよびACKフラグを
使用して、3ウェイハンドシェイクにより、実現してい
る。コネクションの確立/切断手順の詳細は、「上原:
異機種接続とLAN絵とき読本、pp.137〜14
1,オーム社」を参照されたい。FIG. 4 shows a header format of the TCP layer. In the figure, the ,, and parts are not relevant to the present invention, and thus description thereof is omitted here. In the figure , SRC - PORT
And, DST - PORT, shows each source port number, the destination port number. A connection with a communication partner terminal is established / disconnected using a control flag (CF: Control Flag) of the TCP header. Connection establishment,, SYN, and, using ACK, the flag, disconnection is, FIN, and using ACK, the flag, the 3-way handshake is realized. For details of the connection establishment / disconnection procedure, see "Uehara:
Heterogeneous connection and LAN picture reading book, pp. 137-14
1, Ohmsha ".

【0016】図5は、鍵配送手順を示している。コネク
ション確立手順のどのタイミングで鍵配送センタにアク
セスするかにより、図5(a),(b),(c)に示す
3つのケースがある。基本的な考え方は同じであるた
め、図5(a)に示すケースIの手順についてのみ詳細
な説明を行う。以下に手順を示す。なお、送信側端末T
i および受信側端末Tj の暗号鍵Ki およびKj は、端
末のインストール時に各々の端末内部に保持しており、
外部から見ることができない作りになっている。以下の
説明では、送信側端末Ti および受信側端末Tj はそれ
ぞれTi およびTj と略記する。FIG. 5 shows a key distribution procedure. There are three cases shown in FIGS. 5A, 5B, and 5C depending on when to access the key distribution center in the connection establishment procedure. Since the basic concept is the same, only the procedure of case I shown in FIG. 5A will be described in detail. The procedure is shown below. Note that the transmitting terminal T
i and the reception side terminal T j encryption key K i and K j holds each inside terminal at the time of installation of the terminal,
It is made so that it cannot be seen from the outside. In the following description, the transmitting terminal T i and the receiving terminal T j are abbreviated as T i and T j , respectively.

【0017】[手順1]Ti は、APからのコネクショ
ン確立要求を検出すると、鍵配送センタにアクセスし、
後述する鍵取得手順(図5の)により、Ti およびT
j それぞれの暗号鍵で暗号化されたセッション鍵(Ci
およびCj )を鍵配送センタから受信する(同図)。[0017] [Step 1] T i is, when it detects a connection establishment request from the AP, and access to key distribution center,
By the key acquisition procedure (FIG. 5) described later, T i and T
j The session key (C i ) encrypted with each encryption key
And C j ) are received from the key distribution center (FIG. 2).

【0018】[手順2]Ci をTi の暗号鍵Ki で復号
し、セッション鍵Ks を取得する(同図)。Ks は、
j とのコネクションを切断するまで保持する。[0018] [Step 2] a C i is decrypted by the encryption key K i of T i, to obtain the session key K s (FIG). K s
It holds up to disconnect the connection of the T j.

【0019】[手順3]Ti は、Tj SYNフラ
グにより、コネクション確立を要求する(同図)。[0019] [Step 3] T i is the T j, SYN, by a flag, requests a connection establishment (FIG).

【0020】[手順4]Tj は、Ti ACKおよ
SYNフラグにより、応答とコネクション確立要
求を返却する(同図)。[0020] [Step 4] T j is the T i, ACK, and, SYN, by a flag, returns a response and a connection establishment request (drawing).

【0021】[手順5]Ti は、Tj ACKフラ
グとともに鍵配送センタから受信したCj を送信する
(同図)。[0021] [Step 5] T i is the T j, transmits ACK, a C j received from the key distribution center with a flag (FIG).

【0022】[手順6]Tj は、Ti からCj を受信す
る(同図)。[Procedure 6] T j receives C j from T i (the same figure).

【0023】[手順7]Tj は、自分の暗号鍵Kj を用
いてCj を復号し、セッション鍵Ks を取得する(同図
)。Ks は、Ti とのコネクションを切断するまで保
持する。[Procedure 7] T j decrypts C j using its own encryption key K j and obtains a session key K s (FIG. 6). K s is, hold up to disconnect the connection of the T i.

【0024】なお、Ks =dKi (Ci )は、暗号文C
i を暗号鍵Ki で復号した結果である。Note that K s = dK i (C i ) is the cipher text C
i is the result of decoding the encryption key K i a.

【0025】[手順8]以降、共通のセッション鍵Ks
を用いて、Ti とTj 間の暗号通信が可能である(同図
)。[Procedure 8] Afterward, the common session key K s
Can be used to perform encrypted communication between Ti and Tj (FIG. 1).

【0026】図6は、端末Ti (あるいはTj )が鍵配
送センタにアクセスし、セッション鍵Ks を取得するた
めの鍵取得手順を示している。以下に手順を示す。FIG. 6 shows a key acquisition procedure for the terminal T i (or T j ) to access the key distribution center and acquire the session key K s . The procedure is shown below.

【0027】[手順1]Ti は、鍵配送センタにSY
フラグにより、コネクション確立を要求する(図6
の)。[0027] [Step 1] T i is, the key distribution center, SY
N , the connection is requested by the flag (FIG. 6)
of).

【0028】[手順2]鍵配送センタは、Ti AC
およびSYNフラグにより、応答とコネクショ
ン確立要求を返却する(同図)。[0028] [Step 2] key distribution center, in T i, AC
K, and, SYN, by a flag, returns a response and a connection establishment request (drawing).

【0029】[手順3]Ti は、鍵配送センタにAC
フラグを返却することにより、コネクションを確立
する(同図)。これで、Ti −鍵配送センタ間のコネ
クションが確立する。[0029] [Step 3] T i is, the key distribution center, AC
The connection is established by returning K and the flag (FIG. 3). This establishes a connection between T i and the key distribution center.

【0030】[手順4]Ti は、鍵配送センタにTi
よびTj のポート識別子IDi およびIDj を送信する
(同図)。なお、IDi /IDj はIPアドレスとポ
ート番号を連結した数値である。[Procedure 4] T i transmits the port identifiers ID i and ID j of T i and T j to the key distribution center (the same figure). Note that ID i / ID j is a numerical value obtained by connecting an IP address and a port number.

【0031】[手順5]鍵配送センタは、乱数を発生
し、セッション鍵Ks を生成する。さらに、Ti および
j の暗号鍵Ki およびKj をIDi およびIDj をも
とに検索(あるいは生成)する。ここで、Ki およびK
j を検索(あるいは生成)する方法は、本発明とは関係
ないので詳細は省略する。検索によりKi およびKj
取得する場合には、使用する端末のポート識別子および
暗号鍵を鍵配送センタのデータベースに登録する手段が
必要であることはいうまでもない。さらに、Kiおよび
j を生成する方法は、「小柳津、田中:UUIを利用
した鍵配送方式、信学技報、OFS92−31」を参照
されたい。[0031] [Step 5] key distribution center generates a random number, and generates a session key K s. Furthermore, the search based on the T i and T j of the encryption key K i and K j the ID i and ID j (or product) to. Where Ki and K
The method for retrieving (or generating) j is not relevant to the present invention, and thus the details are omitted. When Ki and Kj are obtained by searching, it is needless to say that means for registering the port identifier and the encryption key of the terminal to be used in the database of the key distribution center is required. In addition, a method for generating a K i and K j is, "Oyaizu, Tanaka: key distribution system using the UUI, Technical Report of IEICE, OFS92-31" see.

【0032】上記Ki およびKj を用いて、Ks を暗号
化し、Ci およびCj を生成する(同図)。Using the above K i and K j , K s is encrypted to generate C i and C j (FIG. 2).

【0033】なお、Ci =eKi (Ks )は、平文Ks
を暗号鍵Ki で暗号化した結果である。Note that C i = eK i (K s ) is a plain text K s
Which is a result that has been encrypted with the encryption key K i.

【0034】[手順6]鍵配送センタは、Ti にCi
よびCj を送信する(同図)。[Procedure 6] The key distribution center transmits C i and C j to T i (FIG. 6).

【0035】[手順7]Ti は、鍵配送センタにFI
フラグにより、コネクション切断を要求する(同図
)。[0035] [Step 7] T i is, the key distribution center, FI
N , a request to disconnect the connection is made by the flag (FIG. 9).

【0036】[手順8]鍵配送センタは、Ti AC
フラグにより、応答を返却する(同図)。[0036] [Step 8] key distribution center, in T i, AC
A response is returned according to K and the flag (FIG. 9).

【0037】[手順9]鍵配送センタは、Ti FI
フラグにより、コネクション切断を要求する(同図
)。[0037] [Step 9] key distribution center, in T i, FI
N , a request to disconnect the connection is made by the flag (FIG. 9).

【0038】[手順10]Ti は、鍵配送センタに
CKフラグにより、応答を返却す[0038] [Step 10] T i is, the key distribution center, A
Response is returned by CK and flag

【外1】 以上、鍵取得手順の一例を記述したが、手順4のIDi
およびIDj を手順1のSYNフラグとともに送信
し、手順6のCi およびCj を手順2のSYNおよ
ACKフラグとともに送信してもよい。この場
合、手順4および手順6を削除することが可能である。[Outside 1] While there has been described an example of a key acquisition procedure, ID steps 4 i
And ID j steps 1, SYN, sent with a flag, of C i and C j in Step 6 Step 2, SYN, and may send ACK, along with the flag. In this case, steps 4 and 6 can be deleted.

【0039】本発明は、鍵配送アルゴリズムを特定した
ものではない。したがって、送信するデータの内容(こ
こでは、IDi ,IDj ,Ci およびCj )を変更すれ
ば、相手端末の認証ができること(小柳津、田中:UU
Iを利用した鍵配送方式、信学技報、OFS92−31
を参照)は、いうまでもない。The present invention does not specify a key distribution algorithm. Therefore, by changing the content of the data to be transmitted (here, ID i , ID j , C i, and C j ), the other terminal can be authenticated (Koyanatsu, Tanaka: UU
Key distribution method using I, IEICE Technical Report, OFS92-31
Needless to say).

【0040】[0040]

【発明の効果】以上説明したように、本発明によれば、
暗号通信端末上で走行するアプリケーションプログラム
からのコネクション確立要求に応じて鍵配送センタにア
クセスし、通信に使用するセッション鍵を取得し、通信
相手端末とのコネクション確立手順の中で相手端末にセ
ッション鍵を送信し、任意の2台の暗号通信端末間で共
通のセッション鍵を共有し、このセッション鍵を用いて
暗号通信を行うので、従来のように既存のアプリケーシ
ョンを改造する必要がなく、経済化を図ることができ
る。As described above, according to the present invention,
The key distribution center is accessed in response to a connection establishment request from an application program running on the cryptographic communication terminal, a session key used for communication is obtained, and the session key is transmitted to the partner terminal in the connection establishment procedure with the partner terminal. Is transmitted, and a common session key is shared between any two cryptographic communication terminals, and cryptographic communication is performed using this session key. Therefore, there is no need to remodel existing applications as in the conventional case, and economy is achieved. Can be achieved.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明の一実施例に係わる暗号通信システムの
構成を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration of a cryptographic communication system according to an embodiment of the present invention.

【図2】TCP/IP・LANで使用するプロトコルを
示す図である。FIG. 2 is a diagram showing a protocol used in TCP / IP LAN.

【図3】TCP/IP・LANのフレーム・フォーマッ
トを示す図である。FIG. 3 is a diagram showing a frame format of TCP / IP LAN.

【図4】TCPレイヤのヘッダフォーマットを示す図で
ある。FIG. 4 is a diagram showing a header format of a TCP layer.

【図5】鍵配送手順を示す図である。FIG. 5 is a diagram showing a key distribution procedure.

【図6】鍵配送センタと端末との間の鍵取得手順を示す
図である。FIG. 6 is a diagram showing a key acquisition procedure between a key distribution center and a terminal.

【符号の説明】[Explanation of symbols]

1 鍵配送センタ 2 ネットワーク 3 端末 11,32 コネクション制御手段 12,33 送信手段 13,34 受信手段 14 乱数生成手段 15,35 鍵管理手段 16 暗号手段 31 コネクション要求検出手段 36 暗号・復号手段 DESCRIPTION OF SYMBOLS 1 Key distribution center 2 Network 3 Terminals 11, 32 Connection control means 12, 33 Transmission means 13, 34 Receiving means 14 Random number generation means 15, 35 Key management means 16 Encryption means 31 Connection request detection means 36 Encryption / decryption means

フロントページの続き (56)参考文献 特開 昭63−274242(JP,A) 特開 平4−179326(JP,A) 山口利和、田中清人、田辺克弘、小柳 津育郎,“LANの暗号通信における一 方式”,電子情報通信学会技術研究報告 (OFS93−32),日本,1994年 1月 21日,Vol.93,No.435,p.13 −18 山口利和、田中清人、田辺克弘、小柳 津育郎,“LAN暗号通信方式の実装と 評価”,電子情報通信学会技術研究報告 (OFS93−38),日本,1994年 3月 11日,Vol.93,No.508,p.7 −12 山口利和、田中清人、田辺克弘、小柳 津育郎,“LANセキュリティ通信技術 −TCPレイヤにおける通信データの暗 号化−”,NTT R&D,日本,社団 法人 電子通信協会,1995年 7月 8 日,Vol.44,No.9,pp.653 −660 (58)調査した分野(Int.Cl.7,DB名) H04L 9/08 H04L 29/02 Continuation of the front page (56) References JP-A-63-274242 (JP, A) JP-A-4-179326 (JP, A) Toshikazu Yamaguchi, Kiyoto Tanaka, Katsuhiro Tanabe, Tsukuo Koyanagi, "LAN Encryption Communication , "IEICE Technical Report (OFS93-32), Japan, January 21, 1994, Vol. 93, no. 435, p. 13-18 Toshikazu Yamaguchi, Kiyoto Tanaka, Katsuhiro Tanabe, Tsukuo Koyanagi, "Implementation and Evaluation of LAN Encryption Communication System", IEICE Technical Report (OFS93-38), Japan, March 11, 1994, Vol. 93, no. 508, p. 7-12 Toshikazu Yamaguchi, Kiyoto Tanaka, Katsuhiro Tanabe, Tsukuo Koyanagi, "LAN Security Communication Technology-Encrypting Communication Data in the TCP Layer-", NTT R & D, Japan, The Electronic Communication Association, July 1995 8th, Vol. 44, no. 9, pp. 653 −660 (58) Field surveyed (Int.Cl. 7 , DB name) H04L 9/08 H04L 29/02

Claims (1)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 ネットワークを介して複数の暗号通信端
が鍵配送センタに接続され、該鍵配送センタが生成し
たセッション鍵をネットワークを介して入手することに
より任意の2台の暗号通信端末がコネクションを確立し
て暗号通信を行う暗号通信端末であって、 前記暗号通信端末は、他の暗号通信端末と通信する際に
アプリケーションからのコネクション確立要求を検出す
るコネクション要求検出手段と、 前記コネクション確立要求の検出に応じて鍵配送センタ
とコネクションを確立し、鍵配送センタにセッション鍵
を要求するセッション鍵要求手段と、 鍵配送センタから送信されるセッション鍵を受信して保
持する受信手段と、 他の暗号通信端末とのコネクションを確立する他端末コ
ネクション確立手段と、 該他端末コネクション確立手段によって他の暗号通信端
とのコネクションを確立する際に前記受信手段で受信
したセッション鍵を他の暗号通信端末に送信するセッシ
ョン鍵送信手段と、 他の暗号通信端末になった場合に、前記セッション鍵を
受信した暗号通信端末から送信されてくるセッション鍵
を受信して保持するセッション鍵受信手段と、 他の暗号通信端末に送信すべき通信データをセッション
鍵で暗号化して他の暗号通信端末に送信する暗号化手段
と、 他の暗号通信端末から送信されてくる通信データをセッ
ション鍵で復号化する復号化手段と 有することを特徴とする暗号通信端末1. A plurality of cryptographic communication terminals via a network
The other end is connected to a key distribution center, and any two cryptographic communication terminals establish a connection and perform cryptographic communication by obtaining a session key generated by the key distribution center via a network. Te, the encryption communication terminal establishes a connection request detecting means for detecting a connection establishment request from an application to communicate with another cryptographic communication terminal, the key distribution center and a connection in response to detection of the connection establishment request , Session key to key distribution center
Key requesting means for requesting a password , receiving means for receiving and holding a session key transmitted from the key distribution center, other terminal connection establishing means for establishing a connection with another cryptographic communication terminal , and the other terminal connection Established means for other cryptographic communication terminals
A session key transmission means for transmitting the session key received by said receiving means when establishing a connection with the end to another cryptographic communication terminal, if it becomes another cryptographic communication terminal, cryptographic receiving the session key a session key receiving means for holding and receiving the session key transmitted from the communication terminal, encrypting means for encrypting and transmitting the communication data to be transmitted to another cryptographic communication terminal with the session key to the other cryptographic communication terminal If, cryptographic communication terminal; and a decoding means for decoding the communication data transmitted from another cryptographic communication terminal with the session key.
JP10797493A 1993-05-10 1993-05-10 Encryption communication terminal Expired - Lifetime JP3296514B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10797493A JP3296514B2 (en) 1993-05-10 1993-05-10 Encryption communication terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10797493A JP3296514B2 (en) 1993-05-10 1993-05-10 Encryption communication terminal

Publications (2)

Publication Number Publication Date
JPH06318939A JPH06318939A (en) 1994-11-15
JP3296514B2 true JP3296514B2 (en) 2002-07-02

Family

ID=14472784

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10797493A Expired - Lifetime JP3296514B2 (en) 1993-05-10 1993-05-10 Encryption communication terminal

Country Status (1)

Country Link
JP (1) JP3296514B2 (en)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0955039A (en) * 1995-08-15 1997-02-25 Sony Corp Recording medium, recorder and recording method, reproducing device and method and transmission method
JPH0993240A (en) * 1995-09-28 1997-04-04 Nippon Telegr & Teleph Corp <Ntt> Information communication system and information communication method
JPH09116532A (en) * 1995-10-20 1997-05-02 Nippon Telegr & Teleph Corp <Ntt> Information distribution method hiding cryptographic key contents
JP2812312B2 (en) * 1996-01-12 1998-10-22 三菱電機株式会社 Encryption system
JP3451929B2 (en) * 1998-05-14 2003-09-29 セイコーエプソン株式会社 Encryption server and communication method using the encryption server
JP2000031956A (en) * 1998-07-15 2000-01-28 Nippon Telegr & Teleph Corp <Ntt> Personal secret information shared communication method and system device
JP3778057B2 (en) * 2001-11-08 2006-05-24 セイコーエプソン株式会社 ENCRYPTED COMMUNICATION SYSTEM, COMMUNICATION MANAGEMENT TERMINAL, COMMUNICATION TERMINAL, TERMINAL PROGRAM, AND ENCRYPTED COMMUNICATION METHOD
JP4569464B2 (en) * 2005-12-20 2010-10-27 沖電気工業株式会社 Key update system, key management device, communication terminal and key information construction method in multi-hop network
JP5791933B2 (en) * 2011-03-31 2015-10-07 株式会社三共 GAME SYSTEM AND GAME DEVICE
JP5784562B2 (en) * 2012-09-07 2015-09-24 株式会社東芝 Communication apparatus and program
JP2013236397A (en) * 2013-07-23 2013-11-21 Nti Corp Transmission/reception system, transmitter, receiver, method executed therein, and program
JP6019179B2 (en) * 2015-06-16 2016-11-02 株式会社三共 GAME SYSTEM AND GAME DEVICE
JP2016221360A (en) * 2016-10-03 2016-12-28 株式会社三共 GAME SYSTEM AND GAME DEVICE
JP2020014245A (en) * 2019-10-15 2020-01-23 株式会社三共 Game system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
山口利和、田中清人、田辺克弘、小柳津育郎,"LANセキュリティ通信技術−TCPレイヤにおける通信データの暗号化−",NTT R&D,日本,社団法人 電子通信協会,1995年 7月 8日,Vol.44,No.9,pp.653−660
山口利和、田中清人、田辺克弘、小柳津育郎,"LANの暗号通信における一方式",電子情報通信学会技術研究報告(OFS93−32),日本,1994年 1月21日,Vol.93,No.435,p.13−18
山口利和、田中清人、田辺克弘、小柳津育郎,"LAN暗号通信方式の実装と評価",電子情報通信学会技術研究報告(OFS93−38),日本,1994年 3月11日,Vol.93,No.508,p.7−12

Also Published As

Publication number Publication date
JPH06318939A (en) 1994-11-15

Similar Documents

Publication Publication Date Title
JP3263878B2 (en) Cryptographic communication system
US7509491B1 (en) System and method for dynamic secured group communication
JP4707992B2 (en) Encrypted communication system
CN1756234B (en) Server, VPN client, VPN system
JP4579934B2 (en) Addressing method and apparatus for establishing a Host Identity Protocol (HIP) connection between a legacy node and a HIP node
US7197643B2 (en) Key exchange proxy network system
CN104270379B (en) HTTPS agency retransmission methods and device based on transmission control protocol
JP3343064B2 (en) Pseudo network adapter for capturing, encapsulating and encrypting frames
US8346949B2 (en) Method and system for sending a message through a secure connection
US20110016309A1 (en) Cryptographic communication system and gateway device
JP3296514B2 (en) Encryption communication terminal
CN101150572B (en) Binding and update method and device for mobile node and communication end
CA2419853A1 (en) Location-independent packet routing and secure access in a short-range wireless networking environment
CA2321407C (en) Security mechanisms and architecture for collaborative systems using tuple space
JP3263877B2 (en) Cryptographic gateway device
KR20040074509A (en) Router for providing linkage with mobile node, and the method thereof
US8670565B2 (en) Encrypted packet communication system
US7623666B2 (en) Automatic setting of security in communication network system
JP3263879B2 (en) Cryptographic communication system
JPH07170280A (en) Local area network
US20230208819A1 (en) Inter-node privacy communication method and network node
JP2004206573A (en) Data transfer device, server device, information providing system, data transfer method, and program
JPH11239184A (en) Switching hub
CN114268499B (en) Data transmission method, device, system, equipment and storage medium
CN111431858B (en) Centralized safe transmission and authentication method for routing message