鍵配送システム、端末および鍵配送センタ
【課題】異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能な鍵配送システム、端末および鍵配送センタを提供する。
【解決手段】 端末A300、B400、鍵配送センタM100、N200を備える鍵配送システムであって、端末A300が、暗号鍵AMと端末間通信用暗号鍵Kとを保持するための保持部と送受信部とを有し、端末B400が、暗号鍵BNと端末間通信用暗号鍵Kとを保持するための保持部と送受信部とを有し、鍵配送センタM100が、暗号鍵AMと暗号鍵MNとを保持するための保持部と送受信部とを有し、鍵配送センタN200が、暗号鍵BNと暗号鍵MNとを保持するための保持部と送受信部とを有する。端末A300、B400は、鍵配送センタM100、N200を介して、暗号鍵AM、BN、MNを用いて、端末間通信用暗号鍵Kを秘密通信する。
【解決手段】 端末A300、B400、鍵配送センタM100、N200を備える鍵配送システムであって、端末A300が、暗号鍵AMと端末間通信用暗号鍵Kとを保持するための保持部と送受信部とを有し、端末B400が、暗号鍵BNと端末間通信用暗号鍵Kとを保持するための保持部と送受信部とを有し、鍵配送センタM100が、暗号鍵AMと暗号鍵MNとを保持するための保持部と送受信部とを有し、鍵配送センタN200が、暗号鍵BNと暗号鍵MNとを保持するための保持部と送受信部とを有する。端末A300、B400は、鍵配送センタM100、N200を介して、暗号鍵AM、BN、MNを用いて、端末間通信用暗号鍵Kを秘密通信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、鍵配送システム、端末および鍵配送センタに関し、特に、秘話通信システムなど、暗号通信を行う鍵配送システム、端末および鍵配送センタに関する。
【背景技術】
【0002】
ネットワーク上の端末装置間で暗号通信を行う秘話通信システムとしては、端末毎の暗号鍵を管理する鍵配送センタを設置し、当該鍵配送センタから通信を行う双方の端末に共通のセッション鍵を配送する方式が従来採用されてきた(例えば、特許文献1参照)。この場合、システムは、鍵配送センタとの間で秘密通信を行うための秘密鍵を共有した複数の端末と1箇所の鍵配送センタで構成され、双方の端末は同一の鍵配送センタから配送される鍵を用いて暗号化通信を行っていた。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平6−112936号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に開示された従来の技術では、同じ鍵配送センタに登録した端末間でしか暗号化通信が行えなかった。
【0005】
したがって、たとえ別の鍵配送センタと契約していても、鍵配送センタが異なればその端末とは秘密通信を行うことができず、任意の端末間で容易に暗号化通信が行えなかった。一方、現実世界においては、技術的又は非技術的な制約から、必ずしもひとつの鍵配送センタが世界中の全ての端末を管理できるわけではない。
【0006】
仮に、ネットワーク上に存在する複数の鍵配送センタ間でセキュリティを確保した通信(暗号化通信)が行えれば、いずれかの鍵配送センタに登録された任意の他の端末との間で秘話通信などの暗号化通信が行えると期待される。
【0007】
本発明は、上記従来事情に鑑みてなされたものであって、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能な鍵配送システム、端末および鍵配送センタを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の鍵配送システムは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムであって、前記第1の端末が、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、前記第2の端末が、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、前記端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、第2の送受信部と、を有し、前記第1の鍵配送センタが、前記第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵を保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、前記第2の鍵配送センタが、前記第2の暗号鍵と、前記鍵配送センタ間通信用暗号鍵を保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、前記第2の端末の前記第2の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信し、前記第1の端末の前記第1の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する。
【0009】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0010】
また、本発明の鍵配送システムは、前記第1の鍵配送センタが、前記第2の端末を識別するための第2端末識別IDに基づいて前記第2の鍵配送センタを識別するための第2センタ識別IDを検索するセンタ識別ID検索部を有し、前記第1の端末の前記第1の送受信部が、前記第1の鍵配送センタへ前記第1の端末を識別するための第1端末識別ID及び前記第2端末識別IDを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別IDを受信し、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0011】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、端末間通信用暗号鍵を安全に共有することができる。
【0012】
また、本発明の鍵配送システムは、前記第2の端末が、前記第1の端末との間での秘密通信を許可するか否かを判定する秘密通信可否判定部を有し、前記第1の端末の前記第1の送受信部が、前記第2の端末へ秘密通信要求を送信し、前記第2の端末の前記第2の送受信部が、前記秘密通信要求を受信し、前記第1の端末との間での秘密通信が許可されている場合、前記第1の端末へ前記第2の鍵配送センタを識別するための第2センタ識別IDを送信し、前記第1の端末の前記第1の送受信部が、前記第2センタ識別IDを受信し、前記第1の鍵配送センタへ、当該第1の端末を識別するための第1端末識別IDと前記第2センタ識別IDと前記第2の端末を識別するための第2端末識別IDとを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別IDと前記第2センタ識別IDと前記第2端末識別IDとを受信し、前記第2端末識別IDにより識別される第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別IDを受信し、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0013】
上記構成によれば、鍵配送センタの数が多く、事前にそのセンタに登録された端末情報を把握することが困難な場合、または把握することがセキュリティ上問題となる場合であっても、着呼端末からの通知により、着呼端末を管理する鍵配送センタの識別IDを容易に把握することができる。
【0014】
また、本発明の鍵配送システムは、前記第2の鍵配送センタが、前記第1の鍵配送センタの証明書が正当であるか否かを判定する鍵配送センタ証明書正当性判定部を有し、前記第1の端末の前記第1の送受信部が、前記第1の鍵配送センタへ当該第1の端末を識別するための第1端末識別ID及び前記第2の端末を識別するための第2端末識別IDを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別ID及び当該第1の鍵配送センタの証明書を送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別ID及び前記第1の鍵配送センタの証明書を受信し、前記第2の鍵配送センタへ前記第1の鍵配送センタの証明書を送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1の鍵配送センタの証明書を受信し、前記鍵配送センタ証明書正当性判定部が当該証明書が正当であると判定した場合、正当である旨の応答を前記第2の端末へ送信し、前記第2の端末の前記第2の送受信部が、前記正当である旨の応答を受信した場合、かつ、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0015】
上記構成によれば、悪意の第三者から大量に秘密通信を行うことを要求された場合であっても、鍵配送センタの証明書の確認処理により、より安全に端末間通信用暗号鍵を共有できる。
【0016】
また、本発明の鍵配送システムは、前記端末間通信用暗号鍵に有効期限を設定する。
【0017】
上記構成によれば、さらに秘匿性、安全性を向上させることができる。
【0018】
また、本発明の鍵配送システムは、前記有効期限内に前記端末間通信用暗号鍵を用いた秘密通信が再度行われた場合、前記端末間通信用暗号鍵又は前記有効期限を更新する。
【0019】
上記構成によれば、使用頻度の高い情報のみを長期にわたり保存することができ、秘匿性、安全性の高い通信を行うことができる。
【0020】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵を用いて秘密通信するセンタ経由秘密通信、前記端末間通信用暗号鍵を用いて直接秘密通信する直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する。
【0021】
上記構成によれば、端末が有する優先順位に応じて、所望の通信方法で通信が可能であう。
【0022】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、非秘密通信、前記センタ経由秘密通信、前記直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する。
【0023】
上記構成によれば、端末が有する優先順位に応じて、所望の通信方法で通信が可能であう。
【0024】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、他の端末の識別情報と前記他の端末との間で行った秘密通信の過去の結果とを関連付けて記録し、前記他の端末へ発呼する際、前記秘密通信の過去の結果に基づいて、前記通信方法及び表示部の表示の少なくとも一方を変更する。
【0025】
上記構成によれば、例えば、過去の通信において、通常通信が拒否されて秘密通信を行ったこと、秘密通信を試行したが相手が秘密通信に非対応であった(相手が鍵配送センタに登録していなかった、または登録が失効していた)ことなどの履歴に応じて、端末の動作を変更することができる。
【0026】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、着呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する。
【0027】
上記構成によれば、着呼端末における着呼時の報知動作に応じて、通信方法や暗号鍵の有効性をユーザが認識することができる。
【0028】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、発呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する。
【0029】
上記構成によれば、発呼端末における発呼時の報知動作に応じて、通信方法や暗号鍵の有効性をユーザが認識することができる。
【0030】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、秘密通信であるか否か及び発呼端末の識別情報の少なくとも1つに応じて、前記発呼端末に対して応答するか否かを決定する。
【0031】
上記構成によれば、秘密通信でない着呼や登録されていない端末からの着呼を拒否することにより、より安全性の高い通信を行うことができる。
【0032】
また、本発明の鍵配送システムは、前記端末間通信用暗号鍵の有効期限を表示部に表示する。
【0033】
上記構成によれば、端末間通信用暗号鍵の有効期限をユーザが認識することができ、暗号鍵の有効期限を更新するなど、適切な対応を行うことができる。
【0034】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、前記端末間通信用暗号鍵の有効期限の残期間に基づいて、報知動作を制御する。
【0035】
上記構成によれば、気づかないうちに端末間通信用秘密鍵が有効期限切れとなることを防止できる。
【0036】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、保持された前記端末間通信用暗号鍵を操作部への操作に基づいて消去する。
【0037】
上記構成によれば、端末の紛失時、盗難発生時などに、端末間通信用暗号鍵を悪意の第三者に利用されないようにすることができる。また、特定の相手端末との端末間通信用秘密鍵の共有を自らの意思で解除でき、契約している鍵配送センタを変更する際などに利用できる。
【0038】
また、本発明の鍵配送システムは、前記第1の鍵配送センタ又は前記第2の鍵配送センタが、前記第1の端末及び前記第2の端末が共有する前記端末間通信用暗号鍵を消去又は変更するための制御信号を送信する。
【0039】
上記構成によれば、端末の紛失時、盗難発生時などに、端末間通信用暗号鍵を悪意の第三者に利用されないようにすることができる。
【0040】
また、本発明の鍵配送システムは、前記第1の鍵配送センタ又は前記第2の鍵配送センタが、前記第1の端末及び前記第2の端末が秘密通信を行うための秘密通信路を確立したときに課金処理を実行する。
【0041】
上記構成によれば、鍵配送センタの利用料を従量制で利用者から徴収することができる。
【0042】
また、本発明の第1の端末は、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の端末であって、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と前記第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、前記第1の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する。
【0043】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0044】
また、本発明の第2の端末は、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の端末であって、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、第2の送受信部と、を有し、前記第2の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0045】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0046】
また、本発明の第1の鍵配送センタは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の鍵配送センタであって、前記第1の端末と当該第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、前記第3の送受信部が、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の鍵配送センタから前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて受信し、前記第1の端末に前記第1の暗号鍵を用いた秘密通信にて送信する。
【0047】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0048】
また、本発明の第2の鍵配送センタは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の鍵配送センタであって、前記第2の端末と当該第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と、前記第1の鍵配送センタと当該第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、前記第4の送受信部が、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の端末から前記第2の暗号鍵を用いた秘密通信にて受信し、前記第1の鍵配送センタに前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて送信する。
【0049】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【発明の効果】
【0050】
本発明は、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【図面の簡単な説明】
【0051】
【図1】本発明の実施形態における鍵配送システムの概略構成を示すブロック図
【図2】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第1例を示すシーケンス図
【図3】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第2例を示すシーケンス図
【図4】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第3例を示すシーケンス図
【図5】本発明の実施形態における鍵配送システムの、画面上のアイコン表示例を示す模式図
【発明を実施するための形態】
【0052】
以下、本発明の実施形態における鍵配送システムについて図面を用いて詳細に説明する。
【0053】
なお、説明の便宜上、2箇所の鍵配送センタと、それぞれの鍵配送センタに登録した1基の端末とで構成される鍵配送システムを例示する。しかしこれに限られるものではなく、3箇所以上の鍵配送センタを備えても、各鍵配送センタに複数の端末が登録されてもよい。
【0054】
図1は、本発明の実施形態における鍵配送システムの概略構成を示すブロック図である。鍵配送システムは、主に、鍵配送センタM100、鍵配送センタN200、端末A300、端末B400、インターネット網500、で構成される。
【0055】
本発明の実施形態における鍵配送システムは、SSLで代表されるインターネット上のVPN(Virtual Private Network)という秘匿通信(秘密通信)方法を例えば利用する。VPNでは、例えば、端末A300から鍵配送センタM100へ送信される情報は、端末A300内で秘密鍵等の暗号鍵AMにより暗号化され、伝送路を通じて鍵配送センタM100へ送信され、鍵配送センタM100で同じ秘密鍵等の暗号鍵AMにより復号化される。逆に、鍵配送センタM100から端末A300へ送信される情報は、鍵配送センタM100内で秘密鍵等の暗号鍵AMにより暗号化され、伝送路を通じて端末A300に送信され、端末A300で同じ秘密鍵等の暗号鍵AMにより復号化される。伝送路上の情報はいずれも暗号化されているため、悪意の第三者がその情報を搾取しても、平文を取り出すことが極めて困難である。
【0056】
このようにVPNでは、通信を開始する前に端末A300と鍵配送センタM100とが互いに暗号鍵を共有しているため、伝送路がインターネットのような比較的オープンな公衆回線であっても、あたかも専用線を引いて通信しているような秘匿性を実現できる。任意の端末間で暗号鍵を共有する仕組みがあれば、当該端末間の秘密通信(暗号化通信)が可能になる。暗号鍵の方式には、公開鍵暗号方式と秘密鍵(共有鍵)暗号方式があるが、一般にこれらは用途によって使い分け、任意の端末間で秘密通信を行う際には秘密鍵(共有鍵)暗号方式を用いることが多い。アルゴリズムが簡単で処理量も少ないからである。本実施形態では、両暗号方式で用いられる公開鍵、秘密鍵等を特に区別せず暗号鍵と呼ぶ。
また、VPN等の秘密通信路においてデータを送信することを秘密送信とも呼ぶ。
【0057】
次に、鍵配送システムを構成する端末A300、B400および鍵配送センタM100、N200の詳細な構成について説明する。
【0058】
端末A300、B400は、携帯電話端末などの無線通信端末であり、暗号鍵の生成や暗号化・復号化処理を行う制御部310、410、共有する暗号鍵を保持し、管理する暗号鍵保持部320、420、インターネット網(伝送路)500との間で情報の送受信を行う送受信部330、430、などで構成される。また、図示はしていないが、端末A300は鍵配送センタM100の固有の識別ID(URLなど)を保持し、端末B400は鍵配送センタN200の固有の識別ID(URLなど)を保持する。また、図示はしていないが、端末A300は、固有の識別IDとして電話番号Aを保持する。端末B400は、図示はしていないが、固有の識別IDとして電話番号Bを保持する。
【0059】
制御部310、410は、さらに、端末A300、B400間で直接秘密通信する際に使用する暗号鍵K(以下、端末間通信用暗号鍵Kともいう)を生成する暗号鍵生成部311、411、相手端末に発呼する際の通信種類の優先順位を登録する優先順位記録部312、412、秘密通信の試行結果を試行相手端末の識別IDとともに記録する試行結果記録部313、413、暗号鍵を用いた情報の暗号化・復号化を行う暗号化・復号化処理部314、414、などで構成される。
【0060】
鍵配送システムの端末A300、B400は、それぞれ鍵配送センタM100、N200との間で秘密通信を行うための暗号鍵を事前に共有している。具体的には、端末A300および鍵配送センタM100間は暗号鍵AMを、端末B400および鍵配送センタN200間は暗号鍵BNを共有している。
【0061】
次に、鍵配送センタM100、N200は、民間の企業などがサービスを行うセンタである。本実施形態では、鍵配送センタとは、鍵配送センタが備えるサーバを指す。このサーバは、複数であってもよい。鍵配送センタM100、N200は、複数の鍵配送センタM100、N200間や鍵配送センタM100、N200と端末A300、B400の間で行う暗号化通信において、暗号化処理や復号化処理を行う制御部110、210、鍵配送センタM100、N200に登録された端末A300、B400に係る電話番号リストデータベースなどの電話番号データベース120、220、端末A300、B400間で秘密通信路が確立した際に端末A300、B400に課金を行う課金処理部130、230、インターネット網(伝送路)500との間で情報の送受信を行う送受信部140、240、などで構成される。また、図示はしていないが、鍵配送センタM100は端末A300の識別ID(電話番号など)を保持し、鍵配送センタN200は端末B400の識別ID(電話番号など)を保持する。また、鍵配送センタM100、N200は、相互に相手の識別ID(URLなど)を保持する。
【0062】
また、制御部110、210は、さらに暗号鍵消去部111、211を具備する。暗号鍵消去部111、211は、鍵配送センタM100、N200が情報を登録している端末A300、B400を紛失したときなど、セキュリティ上の問題が発生した場合に、図示しない操作部による入力等に基づいて、他の端末と過去に共有した端末間通信用暗号鍵Kを削除するコマンドを、登録している端末A300、B400へ送信するよう送受信部140、240を制御する。鍵配送センタM100、N200が、端末A300、B400との通信が行えなかった場合、一定期間、一定回数のリトライを繰り返す。これにより、紛失等した端末A300、B400の所有者であると第三者が成りすました場合であっても、当該端末と端末間通信用暗号鍵Kを共有する他の端末に損失が及ぶことを予防できる。
【0063】
課金処理部130、230は、例えば、登録する端末A300、B400から鍵配送要求があったとき、端末A300、B400間で秘密通信路を確立したときなどに、その回数をカウントし、回数に応じた費用請求を端末A300、B400に対して行う。具体的な課金処理は公知の手法を用いてよく、詳細な説明は省略する。なお、秘密通信路を確立したときとは、例えば、鍵配送センタM100、N200が端末間通信用暗号鍵Kを中継したときである。
【0064】
本発明の実施形態における鍵配送センタM100と鍵配送センタN200は、暗号鍵(鍵配送センタ間通信用暗号鍵)MNを共有して相互に秘密通信を行うことができる。即ち、鍵配送センタM100と鍵配送センタN200はVPNを構築することができる。
【0065】
ところで、上記の暗号鍵はビット列であり、例えば、128bit長の暗号鍵を16進数表記すると16バイトとなり、0xFC38B9a40D871234などのように表せる。端末A300、B400と鍵配送センタM100、N200との間で共有する暗号鍵AMや暗号鍵BNは、端末A300、B400側では暗号鍵保持部320、420に保存され、鍵配送センタM100、N200側では当該暗号鍵に対応する端末A300、B400の識別ID(例えば電話番号データベース120、220に記憶された電話番号)と関連付けて保存される。したがって、登録された端末A300、B400のみが鍵配送センタM100、N200と秘密通信を行うことができる。一方、鍵配送センタM100、N200は、鍵配送センタM100、N200間で共有する暗号鍵MNも保存する。
【0066】
上記の暗号鍵の共有により、端末A300−鍵配送センタM100−鍵配送センタN200−端末B400の相互間で秘密通信路が構築され、鍵配送センタM100、鍵配送センタN200を介して端末A300と端末B400の間で秘匿通信が行えるようになる。
【0067】
しかし、端末A300、B400間の通信において常に鍵配送センタM100、鍵配送センタN200を介在させると、鍵配送センタM100、N200の負荷が重くなる。そこで、本実施形態における鍵配送システムでは、後述するように、この秘密通信路を用いて、一方の端末A300又はB400で生成した端末間通信用暗号鍵Kを他方の端末と共有させ、端末間通信用暗号鍵Kを一旦共有した後は、鍵配送センタM100、N200経由でなく端末A300、B400同士で直接秘密通信を行うための通信路を確立させる。
【0068】
次に、上記構成の鍵配送システムにおける、秘密通信路の確立動作について説明する。
【0069】
以下では、端末A300、端末B400が携帯電話端末であり、端末A300から端末B400へ発呼する場合について説明する。また、端末A300、端末B400の固有の識別IDとして、電話番号A、電話番号Bを用いる。また、鍵配送センタM100、鍵配送センタN200の固有の識別IDとして、URL150、URL250を用いる。
【0070】
なお、図2から図4のシーケンス図において、図中の通信内容を示す記述は、括弧([、])の前方が暗号化通信の暗号鍵の種類、括弧の内部が当該暗号鍵で暗号化されている情報を示す。例えば、AM[A、B]とは、端末A300と鍵配送センタM100との間で共有する暗号鍵AMを用いて、端末A300の電話番号と端末B400の電話番号に係る情報が暗号化されていることを示す。また、MN[A、B、M−URL]とは、鍵配送センタM100と鍵配送センタN200との間で共有する暗号鍵MNを用いて、端末A300の電話番号、端末B400の電話番号、鍵配送センタM100のURLに係る情報が暗号化されていることを示す。また、括弧内に送信先、送信元の識別ID(例えば電話番号)が含まれていない場合であっても、ヘッダ等に送信元、送信先の識別IDは当然に含まれている。
【0071】
ところで、鍵配送センタM100および鍵配送センタN200は、それぞれ、自らと暗号鍵を共有する携帯電話端末に係る電話番号データベース120、220を、予め相手の鍵配送センタと共有している。つまり、鍵配送センタM100は、鍵配送センタN200の電話番号データベース220に登録された携帯電話端末の電話番号を把握でき、同様に、鍵配送センタN200は、鍵配送センタM100の電話番号データベース120に登録された携帯電話端末の電話番号を把握できる。この電話番号データベースの共有は、鍵配送センタM100と鍵配送センタN200との間で暗号鍵MNが共有されており、且つ、双方が正規の通信相手であると担保した秘密通信が可能であるため、安全に行うことができる。
【0072】
次に、本実施形態における秘密通信路の確立動作手順について説明する。ここでは、第1例〜第3例を例示する。
【0073】
図2は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第1例を示すシーケンス図である。
【0074】
はじめに、図1に示す鍵配送システムの端末A300は、端末B400の電話番号と自端末の電話番号に係る情報を、送受信部330により鍵配送センタM100へ送信する(ステップS101)。
【0075】
送受信部140により上記情報を受信した鍵配送センタM100の制御部110は、電話番号データベース120を参照して、端末A300が登録端末であるか否かを判定する。
端末A300が鍵配送センタM100に登録されていると判定された場合、鍵配送センタM100の制御部110は、共有する他の鍵配送センタの電話番号データベース(ここでは、鍵配送センタN200の電話番号データベース220)の情報を検索し、端末B400の電話番号が登録されている鍵配送センタN200のURL250に係る情報を取得する。つまり、端末B400の電話番号に基づいて鍵配送センタN200のURLを検索し、そのURLの情報を取得する。次に、鍵配送センタM100は、自らのURL150、端末A300と端末B400の電話番号に係る情報を、送受信部140により鍵配送センタN200へ送信する(ステップS102)。なお、鍵配送センタM100は、センタ識別ID検索部を有するようにして、制御部110の代わりに、センタ識別ID検索部が
端末B400を識別するための端末B400の電話番号などの端末識別IDに基づいて鍵配送センタN200を識別するための鍵配送センタN200のURL250に係る情報などの識別IDを検索するようにしてもよい。
一方、端末A300が鍵配送センタM100に登録されていないと判定された場合、鍵配送センタM100の制御部110は、受信した上記情報を破棄する。
【0076】
送受信部240により上記情報を受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定する。
端末B400が鍵配送センタM100に登録されていると判定された場合、鍵配送センタN200の制御部210は、端末A300の電話番号に係る情報を、送受信部240により端末B400へ送信する(ステップS103)。
一方、端末B400が鍵配送センタM100に登録されていると判定されなかった場合、鍵配送センタN200は、判定失敗に係る情報を、送受信部240により鍵配送センタM100へ送信し(ステップS104)、同様に、鍵配送センタM100は送受信部140により、判定失敗に係る情報を端末A300へ送信する(ステップS105)。
【0077】
端末B400の制御部410は、端末A300からの通信要求を認識し、着信(暗号化通信)の可否を、送受信部430により鍵配送センタN200へ返信する。
着信可(暗号化通信承諾)の場合、端末B400は、暗号鍵生成部411により発生したランダムな数値から暗号鍵Kを生成し、送受信部430は、端末A300の電話番号、着信OKの応答に係る情報と共に鍵配送センタN200へ送信する(ステップS106)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS107)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS108)。
ここで、着信の可否(暗号化通信の承諾/拒否)は、着信端末が発信端末との間での秘密通信を許可しているか否かによって制御部410が判定する。この判断は、着信端末内で発信端末の識別IDとともに秘密通信を許可するか否かのフラグを保持し、このフラグに基づいて行われてもよいし、あらかじめ設定されたセキュリティポリシに基づいて行われてもよい。
【0078】
一方、着信不可(暗号化通信拒否)の場合、端末B400は、端末A300の電話番号、暗号化通信拒否の応答に係る情報を鍵配送センタN200へ送信する(ステップS109)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS110)、鍵配送センタM100は、端末B400の電話番号、暗号化通信拒否の応答に係る情報を端末A300へ送信する(ステップS111)。
【0079】
端末A300は、この時点で端末B400が着信を許可しているか否かを把握できる。着信可の場合、端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼する(ステップS112)。発呼する際、通常の端末A300の電話番号のほか、暗号鍵Kによって暗号化された暗号化通信要求と端末A300の電話番号に係る情報を、送受信部330により送信する。
【0080】
端末B400の暗号化・復号化処理部414は、端末A300から着呼すると暗号電文を暗号鍵Kで復号化する。制御部410は、暗号化通信要求や端末A300の電話番号に係る情報を正しく取得できたか否かを確認し、確認できた場合、同様に暗号鍵Kで暗号化した要求応答を返信する(ステップS113)。以降は、全ての通信が暗号鍵Kで暗号化された秘密通信となる(ステップS114)。
【0081】
一方、暗号鍵Kによる復号で正しい暗号化通信要求が得られなかった場合、端末B400の制御部410は、悪意の第三者からのアクセスと判断し、端末A300に対して無応答などの着信拒否を行う。
【0082】
なお、暗号化通信終了時に端末A300の制御部310は、端末B400との端末間通信用暗号鍵Kを暗号鍵保持部320に保存し、同様に、端末B400の制御部410は、端末A300との端末間通信用暗号鍵Kを暗号鍵保持部420に保存してもよい。したがって、以降は、端末A300、端末B400のいずれからでも暗号鍵Kを用いて直接発呼し、暗号化通信を開始することができる。
【0083】
このような秘密通信路の確立動作手順の第1例によれば、異なる鍵配送センタM100、N200と秘密通信可能な端末A300、B400間で、端末間通信用暗号鍵Kを安全に共有することができる。共有した後は、端末間通信用暗号鍵Kを用いて、秘匿性の高い直接秘密通信を行うことができる。
【0084】
図3は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第2例を示すシーケンス図である。
【0085】
はじめに、図1に示す鍵配送システムの端末A300は、端末A300の電話番号と暗号化通信要求に係る情報を、送受信部330により直接端末B400へ送信して発呼する(ステップS201)。この時点では、暗号化鍵を相互に共有していないので平文による通信である。
【0086】
送受信部430により上記情報を受信した端末B400は、暗号化通信を許諾する場合、自らが端末登録されている鍵配送センタN200のIDであるURL250を、端末A300へ送付する(ステップS203)。ここで、端末B400は、図示しない秘密通信可否判定部を有し、秘密通信可否判定部が端末A300との間での秘密通信を許可するか否かを判定する。なお、秘密通信可否判定部の代わりに、制御部210がこの判定をするようにしてもよい。
【0087】
一方、暗号化通信ではなく、通常の通信を許諾する場合、端末B400は、端末A300へ通常通信文を送信し、以降、通常の通信を確立することができる(ステップS202)。
【0088】
ステップS203の手順により、鍵配送センタN200のIDであるURL250を送受信部330により受信した端末A300は、端末B400の電話番号とURL250に係る情報を、鍵配送センタM100へ送信する(ステップS204)。
【0089】
送受信部140により上記情報を受信した鍵配送センタM100は、電話番号データベース120を参照して、端末A300が登録端末であるか否かを判定する。端末A300が登録端末であると判定された場合、鍵配送センタM100は、端末A300と端末B400の電話番号に係る情報を、鍵配送センタN200へ通信する(ステップS205)。
【0090】
送受信部240により上記情報を受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定する。
端末B400が登録端末であると判定された場合、端末A300の電話番号に係る情報を、送受信部240により端末B400へ送信する(ステップS206)。
一方、端末B400が登録端末であると判定されなかった場合、鍵配送センタN200は、判定失敗に係る情報を、送受信部240により鍵配送センタM100へ送信し(ステップS207)、同様に、鍵配送センタM100は送受信部140により、判定失敗に係る情報を端末A300へ送信する(ステップS208)。
【0091】
送受信部430により端末A300の電話番号に係る情報を受信した端末B400は、暗号鍵生成部411により発生したランダムな数値を暗号鍵Kとして、端末A300の電話番号、着信OKの応答に係る情報と共に鍵配送センタN200へ送信する(ステップS209)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS210)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS211)。
【0092】
送受信部330により上記情報を受信した端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼するが(ステップS212)、以降のステップS212からステップS214までの手順は、第1例におけるステップS112からステップS114と同じであるので、説明を省略する。
【0093】
上記の動作手順例(第2例)は、前述の第1例と比較して、鍵配送センタの数が多く、事前に登録端末情報を把握することが困難な場合、または把握することがセキュリティ上問題となる場合に有効な手順である。
【0094】
なお、端末B400は、端末A300との間の通信が秘密通信であるか否か、端末A300の識別ID、などに基づいて端末A300に対して応答するか否かを決定してもよい。
【0095】
図4は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第3例を示すシーケンス図である。
【0096】
はじめに、図1に示す鍵配送システムの端末A300は、端末B400の電話番号に係る情報を、送受信部330により鍵配送センタM100へ送信する(ステップS301)。
【0097】
送受信部140により上記情報を受信した鍵配送センタM100は、端末A300の電話番号、鍵配送センタM100のURL150、鍵配送センタM100の証明書に係る情報を、直接端末B400へ送信する(ステップS302)。なお、鍵配送センタM100と端末B400との間では、暗号化鍵を相互に共有していないので平文による通信を行う。
【0098】
送受信部430により上記情報を受信した端末B400は、端末A300の電話番号、鍵配送センタM100のURL150、鍵配送センタM100の証明書に係る情報を鍵配送センタN200へ送信する(ステップS303)。
【0099】
鍵配送センタM100のURL150と鍵配送センタM100の証明書に係る情報を、送受信部240により受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定し、さらに、鍵配送センタM100のURL150および証明書が正しいことを判定する。なお、制御部210の代わりに、図示しない鍵配送センタ証明書正当性判定部が鍵配送センタM100のURL150および証明書が正しいことを判定するようにしてもよい。
端末B400が登録端末であると判定されなかった場合または鍵配送センタM100の証明書が正しいと判定されなかった場合、鍵配送センタN200は、送受信部240により証明書NGの確認通知を端末B400へ送信する(ステップS304)。また、証明書NGの確認通知の代わりに、無応答としてもよい。
一方、端末B400が登録端末であると判定された場合かつ鍵配送センタM100の証明書が正しいと判定された場合、鍵配送センタN200は、送受信部240により証明書OKの確認通知を端末B400へ送信する(ステップS305)。
なお、証明書のOK/NG判定は、例えば鍵配送センタN200があらかじめ保持している鍵配送センタM100の証明書と鍵配送センタN200が端末B400から受信した鍵配送センタM100の証明書とが一致した場合にOK、一致しなかった場合にNGと判定する。
【0100】
端末B400の制御部410は、証明書OKの確認通知を受信すると、暗号化通信の着信可否を判断する。暗号化通信を許諾する場合、端末B400は、端末A300と端末B400の電話番号、暗号化通信許諾の応答に係る情報を、鍵配送センタM100へ送信する(ステップS306)。さらに、端末B400は、端末A300の電話番号、鍵配送センタM100のURL150、着信OKの応答に係る情報および暗号鍵生成部411により発生したランダムな数値を暗号鍵Kとして、鍵配送センタN200へ送信する(ステップS307)。
【0101】
鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS308)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS309)。
【0102】
送受信部330により上記情報を受信した端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼するが(ステップS310)、以降のステップS310からステップS312までの手順は、第1例におけるステップS112からステップS114と同じであるので、説明を省略する。
【0103】
上記の動作手順例は、端末A300からの発呼を端末B400が直接受信するわけではなく、鍵配送センタM100を経由しているので、第2例と比較してトラフィックが多くなるが、大量の悪意のアクセスに対してその防止効果がある。また、前述の第1例や第2例と比較して、さらなるセキュリティの強化に有効な手順である。
【0104】
次に、鍵配送システムにおける端末A300、B400の発呼動作のバリエーションについて詳細に説明する。
【0105】
端末A300、B400の制御部310、410は、相手端末へ発呼する際、図示しない操作部への入力に基づき、例えば音声通信またはテレビ電話通信のいずれか、通常通信または秘密通信のいずれかを選択してもよい。
【0106】
端末A300、B400の暗号鍵保持部320、420は、前述の秘密通信終了後、共有した端末間通信用暗号鍵Kを端末A300、B400内に保持する。したがって、発呼する相手端末と端末間通信用暗号鍵Kが共有されている場合、鍵配送センタM100、N200経由の秘密通信確立動作を省略して相手端末に直接発呼することができる。
【0107】
なお、制御部310、410は、暗号鍵保持部320、420が端末間通信用暗号鍵Kを保持する際に有効期限を設定し、暗号鍵を共有してから所定時間が経過すると暗号鍵を消去するようにしてもよい。この場合、所定時間が経過すると相手端末への直接発呼ができなくなる。一方、有効期限内に、保持する端末間通信用暗号鍵Kを用いた秘密通信を再度実行した場合、制御部310,410は、当該端末間通信用暗号鍵Kの有効期限を所定時間延長(更新)するようにしてもよい。この場合、延長前の所定時間が経過しても相手端末への直接発呼を継続して行える。また、有効期限を延長する代わりに、制御部310、410が端末間通信用暗号鍵Kを更新するようにしてもよい。
【0108】
また、端末A300、B400は、端末間通信用暗号鍵Kが端末A300、B400内に保持されているか否かの情報を、電話番号と関連付けて端末A300、B400内の図示しない電話帳に記録している。端末A300、B400の操作者の指示により、制御部310、410が通信を開始すべく相手端末の電話番号を電話帳から呼び出す際、端末間通信用暗号鍵Kが保持されているか否かを判定し、有効期限の情報を図示しない表示部に表示させるようにしてもよい。これにより、端末A300、B400の操作者は有効期限を確認することができる。なお、制御部310、410は、有効期限切れが所定時間内に迫った端末間通信用暗号鍵Kがある場合に、表示部に表示させるアイコンの点滅を行ったり、アラームを鳴動させたりするなどの報知動作を行うように設定してもよい。また、制御部310、410は、有効時間の残り時間に応じて、上記の報知動作をさらに変化させてもよい。
【0109】
また、端末A300、B400の操作者は上記報知を確認し、図示しない操作部により、秘密通信を行う際に、鍵配送センタM100、N200経由の秘密通信を開始するか、既に保持している端末間通信用暗号鍵Kを使用して直接相手端末に発呼するかのいずれかを指示してもよい。なお、例えば、操作部により電話帳の有効期限の表示を消去すれば、制御部310、410が、操作部への入力に基づいて当該相手端末に係る端末間通信用暗号鍵Kを消去することを許可するよう設定してもよい。このように、端末A300、B400は、操作部への操作に基づいて端末間通信用暗号鍵Kを消去してもよい。さらに、端末A300、B400への操作ではなく、鍵配送センタM100、N200が、端末間通信用暗号鍵Kを消去又は変更するための制御信号を端末A300、B400へ送信するようにしてもよい。
【0110】
また、端末A300、端末B400の優先順位記録部312、412は、通常の非秘密通信、暗号鍵AM、MN、BNを用いて鍵配送センタM100、N200を経由して秘密通信するセンタ経由秘密通信、既に保持している端末間通信用暗号鍵Kを用いて相手端末に直接発呼して行う直接秘密通信、の3つの通信方式の優先順位を予め記録してもよい。そして、制御部310、410は、発呼の際、操作部への入力によらずに、当該優先順位に基づいて、いずれかの通信方式を選択して通信を行うようにしてもよい。また、3つの通信方式の優先順位でなく、センタ経由秘密通信、直接秘密通信の2つの通信方式の優先順位を予め記録してもよい。
【0111】
優先順位記録部312、412に優先順位を設定した場合の発呼動作例としては以下のようなモードが考えられる。
(a)通常通信(非秘密通信)優先モード
相手端末に対して通常発呼を行う。相手端末が着信して回線が接続されれば、通常通信を行うが、相手端末から秘密通信を要求する着信拒否が通知されるか無応答でタイムアウトした場合、秘密通信を試行する。
(b)秘密通信優先モード
はじめに秘密通信を試行する。前述の鍵配送センタM100、N200経由の秘密通信路の確立動作手順を実行し、相手端末が秘密通信を行えないと判断された場合、通常発呼に切り替える。なお、相手端末と秘密通信が行えないと判断する条件とは、鍵配送センタM100、N200において端末A300、B400の登録が無効になっているなど、鍵配送ができない場合などである。
【0112】
また、端末A300、B400の試行結果記録部313、413は、過去の相手端末に対する通信試行の結果(過去の結果)を記録し、制御部310、410は、次の発呼の際、当該記録に基づいて自端末の発呼や表示に係る動作を変更してもよい。
【0113】
試行結果記録部313、413の動作を有効にした場合の発呼動作例及び発呼時の表示例としては以下のようなモードが考えられる。
(1)鍵配送センタM100、N200経由での最新の秘密通信の試行において、秘密通信ができなかった場合
制御部310、410は、端末A300、B400の表示部に例えば図5(a)に示すマークを表示させ、たとえ優先順位記録部312、412の設定が秘密通信優先モードであったとしても、一時的に通常通信優先モードでの発呼に移行する。
(2)最新の秘密通信試行の結果、秘密通信が行えた場合
制御部310、410は、端末A300、B400の表示部に例えば図5(b)に示すマークを表示させる。
(3)最新の通信において通常通信で発呼できなかったが、秘密通信は行えた場合
制御部310、410は、端末A300、B400の表示部に例えば図5(c)に示すマークを表示させ、たとえ優先順位記録部312、412の設定が通常通信優先モードであったとしても、一時的に秘密通信優先モードでの発呼に移行する(このモードは、(2)のモードよりも優先する)。
(4)上記以外の場合、または秘密通信試行がなかった場合
制御部310、410は、端末A300、B400の表示部に図5(d)に示すマークを表示させる。
さらに、秘密通信優先モードにおいて、通信試行の結果に基づいて、センタ経由秘密通信優先モード、直接秘密通信優先モードを設定するようにしてもよい。
【0114】
次に、鍵配送システムにおける端末A300、B400の着呼時の動作について説明する。
【0115】
端末A300、B400の制御部310、410は、着呼したとき、通常通信であるか秘密通信であるかを報知する。具体的には、秘密通信で着呼したときは、端末A300、B400の表示部に図5(e)に示す表示をさせる。これにより、着呼端末の操作者は、表示部を確認することで通信種類を把握できるので安心して通話を行える。
【0116】
また、使用した秘密鍵が過去の暗号鍵の再利用ではなく、新規に鍵配送センタM100、N200を通じて配送されたものである場合(例えば、端末間通信用暗号鍵Kが有効期限超過等により無効である場合)、図5(e)に示すマークを例えば緑色の表示として色により認識可能としてもよいし、一定時間点滅することで認識可能としてもよい。これにより、秘密通信の種類も把握できるので、着呼端末の操作者は安心して通話を行える。なお、発呼端末側でも同様の表示を行えば、発呼端末の操作者に対しても発呼の状態を報知することができる。
【0117】
このように、秘密通信であるか否か、端末間通信用暗号鍵Kが有効であるか否か、などに応じて、端末A300、B400の制御部310、410が着呼時の端末動作を制御するようにしてもよい。同様に、これらに応じて、端末A300、B400の制御部310、410が発呼時の端末動作を制御するようにしてもよい。
【0118】
また、端末A300、端末B400の制御部310、410は、秘密通信で発呼された場合は着信を許諾し、通常通信で発呼された場合は着信拒否をするような設定を行ってもよい。当該設定は、例えば公知の発信番号通知機能の応用で実現可能であり、詳細な説明を省略する。
【0119】
なお、上記の実施形態では、鍵配送センタが2箇所の場合について説明したが、これに限定されるものではなく、3箇所以上の鍵配送センタで構成されても本発明を実現できることは言うまでもない。
【0120】
また、上記の実施形態では、VPNを構築して秘密通信を実現する例について説明したが、これに限定されるものではなく、専用線を敷設するなど、相互に安全に秘密通信が行える技術手段であればどのような手段を用いてもかまわない。
【0121】
さらに、上記の実施形態では、端末固有のIDとして電話番号を用いたが、これに限定されるものではなく、IPアドレスなどでもかまわない。
【産業上の利用可能性】
【0122】
本発明は、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能な鍵配送システム、端末および鍵配送センタに有用である。
【符号の説明】
【0123】
100 鍵配送センタM
200 鍵配送センタN
110、210 制御部
111、211 暗号鍵消去部
120、220 電話番号データベース
130、230 課金処理部
140、240 送受信部
300 端末A
400 端末B
310、410 制御部
311、411 暗号鍵生成部
312、412 優先順位記録部
313、413 試行結果記録部
314、414 暗号化・復号化処理部
320、420 暗号鍵保持部
330、430 送受信部
500 インターネット網(伝送路)
【技術分野】
【0001】
本発明は、鍵配送システム、端末および鍵配送センタに関し、特に、秘話通信システムなど、暗号通信を行う鍵配送システム、端末および鍵配送センタに関する。
【背景技術】
【0002】
ネットワーク上の端末装置間で暗号通信を行う秘話通信システムとしては、端末毎の暗号鍵を管理する鍵配送センタを設置し、当該鍵配送センタから通信を行う双方の端末に共通のセッション鍵を配送する方式が従来採用されてきた(例えば、特許文献1参照)。この場合、システムは、鍵配送センタとの間で秘密通信を行うための秘密鍵を共有した複数の端末と1箇所の鍵配送センタで構成され、双方の端末は同一の鍵配送センタから配送される鍵を用いて暗号化通信を行っていた。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平6−112936号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に開示された従来の技術では、同じ鍵配送センタに登録した端末間でしか暗号化通信が行えなかった。
【0005】
したがって、たとえ別の鍵配送センタと契約していても、鍵配送センタが異なればその端末とは秘密通信を行うことができず、任意の端末間で容易に暗号化通信が行えなかった。一方、現実世界においては、技術的又は非技術的な制約から、必ずしもひとつの鍵配送センタが世界中の全ての端末を管理できるわけではない。
【0006】
仮に、ネットワーク上に存在する複数の鍵配送センタ間でセキュリティを確保した通信(暗号化通信)が行えれば、いずれかの鍵配送センタに登録された任意の他の端末との間で秘話通信などの暗号化通信が行えると期待される。
【0007】
本発明は、上記従来事情に鑑みてなされたものであって、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能な鍵配送システム、端末および鍵配送センタを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の鍵配送システムは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムであって、前記第1の端末が、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、前記第2の端末が、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、前記端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、第2の送受信部と、を有し、前記第1の鍵配送センタが、前記第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵を保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、前記第2の鍵配送センタが、前記第2の暗号鍵と、前記鍵配送センタ間通信用暗号鍵を保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、前記第2の端末の前記第2の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信し、前記第1の端末の前記第1の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する。
【0009】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0010】
また、本発明の鍵配送システムは、前記第1の鍵配送センタが、前記第2の端末を識別するための第2端末識別IDに基づいて前記第2の鍵配送センタを識別するための第2センタ識別IDを検索するセンタ識別ID検索部を有し、前記第1の端末の前記第1の送受信部が、前記第1の鍵配送センタへ前記第1の端末を識別するための第1端末識別ID及び前記第2端末識別IDを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別IDを受信し、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0011】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、端末間通信用暗号鍵を安全に共有することができる。
【0012】
また、本発明の鍵配送システムは、前記第2の端末が、前記第1の端末との間での秘密通信を許可するか否かを判定する秘密通信可否判定部を有し、前記第1の端末の前記第1の送受信部が、前記第2の端末へ秘密通信要求を送信し、前記第2の端末の前記第2の送受信部が、前記秘密通信要求を受信し、前記第1の端末との間での秘密通信が許可されている場合、前記第1の端末へ前記第2の鍵配送センタを識別するための第2センタ識別IDを送信し、前記第1の端末の前記第1の送受信部が、前記第2センタ識別IDを受信し、前記第1の鍵配送センタへ、当該第1の端末を識別するための第1端末識別IDと前記第2センタ識別IDと前記第2の端末を識別するための第2端末識別IDとを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別IDと前記第2センタ識別IDと前記第2端末識別IDとを受信し、前記第2端末識別IDにより識別される第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別IDを受信し、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0013】
上記構成によれば、鍵配送センタの数が多く、事前にそのセンタに登録された端末情報を把握することが困難な場合、または把握することがセキュリティ上問題となる場合であっても、着呼端末からの通知により、着呼端末を管理する鍵配送センタの識別IDを容易に把握することができる。
【0014】
また、本発明の鍵配送システムは、前記第2の鍵配送センタが、前記第1の鍵配送センタの証明書が正当であるか否かを判定する鍵配送センタ証明書正当性判定部を有し、前記第1の端末の前記第1の送受信部が、前記第1の鍵配送センタへ当該第1の端末を識別するための第1端末識別ID及び前記第2の端末を識別するための第2端末識別IDを秘密送信し、前記第1の鍵配送センタの前記第3の送受信部が、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別ID及び当該第1の鍵配送センタの証明書を送信し、前記第2の端末の前記第2の送受信部が、前記第1端末識別ID及び前記第1の鍵配送センタの証明書を受信し、前記第2の鍵配送センタへ前記第1の鍵配送センタの証明書を送信し、前記第2の鍵配送センタの前記第4の送受信部が、前記第1の鍵配送センタの証明書を受信し、前記鍵配送センタ証明書正当性判定部が当該証明書が正当であると判定した場合、正当である旨の応答を前記第2の端末へ送信し、前記第2の端末の前記第2の送受信部が、前記正当である旨の応答を受信した場合、かつ、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0015】
上記構成によれば、悪意の第三者から大量に秘密通信を行うことを要求された場合であっても、鍵配送センタの証明書の確認処理により、より安全に端末間通信用暗号鍵を共有できる。
【0016】
また、本発明の鍵配送システムは、前記端末間通信用暗号鍵に有効期限を設定する。
【0017】
上記構成によれば、さらに秘匿性、安全性を向上させることができる。
【0018】
また、本発明の鍵配送システムは、前記有効期限内に前記端末間通信用暗号鍵を用いた秘密通信が再度行われた場合、前記端末間通信用暗号鍵又は前記有効期限を更新する。
【0019】
上記構成によれば、使用頻度の高い情報のみを長期にわたり保存することができ、秘匿性、安全性の高い通信を行うことができる。
【0020】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵を用いて秘密通信するセンタ経由秘密通信、前記端末間通信用暗号鍵を用いて直接秘密通信する直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する。
【0021】
上記構成によれば、端末が有する優先順位に応じて、所望の通信方法で通信が可能であう。
【0022】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、非秘密通信、前記センタ経由秘密通信、前記直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する。
【0023】
上記構成によれば、端末が有する優先順位に応じて、所望の通信方法で通信が可能であう。
【0024】
また、本発明の鍵配送システムは、前記第1の端末又は前記第2の端末が、他の端末の識別情報と前記他の端末との間で行った秘密通信の過去の結果とを関連付けて記録し、前記他の端末へ発呼する際、前記秘密通信の過去の結果に基づいて、前記通信方法及び表示部の表示の少なくとも一方を変更する。
【0025】
上記構成によれば、例えば、過去の通信において、通常通信が拒否されて秘密通信を行ったこと、秘密通信を試行したが相手が秘密通信に非対応であった(相手が鍵配送センタに登録していなかった、または登録が失効していた)ことなどの履歴に応じて、端末の動作を変更することができる。
【0026】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、着呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する。
【0027】
上記構成によれば、着呼端末における着呼時の報知動作に応じて、通信方法や暗号鍵の有効性をユーザが認識することができる。
【0028】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、発呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する。
【0029】
上記構成によれば、発呼端末における発呼時の報知動作に応じて、通信方法や暗号鍵の有効性をユーザが認識することができる。
【0030】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、秘密通信であるか否か及び発呼端末の識別情報の少なくとも1つに応じて、前記発呼端末に対して応答するか否かを決定する。
【0031】
上記構成によれば、秘密通信でない着呼や登録されていない端末からの着呼を拒否することにより、より安全性の高い通信を行うことができる。
【0032】
また、本発明の鍵配送システムは、前記端末間通信用暗号鍵の有効期限を表示部に表示する。
【0033】
上記構成によれば、端末間通信用暗号鍵の有効期限をユーザが認識することができ、暗号鍵の有効期限を更新するなど、適切な対応を行うことができる。
【0034】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、前記端末間通信用暗号鍵の有効期限の残期間に基づいて、報知動作を制御する。
【0035】
上記構成によれば、気づかないうちに端末間通信用秘密鍵が有効期限切れとなることを防止できる。
【0036】
また、本発明の鍵配送システムは、前記第1の端末又は第2の端末が、保持された前記端末間通信用暗号鍵を操作部への操作に基づいて消去する。
【0037】
上記構成によれば、端末の紛失時、盗難発生時などに、端末間通信用暗号鍵を悪意の第三者に利用されないようにすることができる。また、特定の相手端末との端末間通信用秘密鍵の共有を自らの意思で解除でき、契約している鍵配送センタを変更する際などに利用できる。
【0038】
また、本発明の鍵配送システムは、前記第1の鍵配送センタ又は前記第2の鍵配送センタが、前記第1の端末及び前記第2の端末が共有する前記端末間通信用暗号鍵を消去又は変更するための制御信号を送信する。
【0039】
上記構成によれば、端末の紛失時、盗難発生時などに、端末間通信用暗号鍵を悪意の第三者に利用されないようにすることができる。
【0040】
また、本発明の鍵配送システムは、前記第1の鍵配送センタ又は前記第2の鍵配送センタが、前記第1の端末及び前記第2の端末が秘密通信を行うための秘密通信路を確立したときに課金処理を実行する。
【0041】
上記構成によれば、鍵配送センタの利用料を従量制で利用者から徴収することができる。
【0042】
また、本発明の第1の端末は、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の端末であって、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と前記第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、前記第1の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する。
【0043】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0044】
また、本発明の第2の端末は、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の端末であって、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、第2の送受信部と、を有し、前記第2の送受信部が、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する。
【0045】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0046】
また、本発明の第1の鍵配送センタは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の鍵配送センタであって、前記第1の端末と当該第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、前記第3の送受信部が、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の鍵配送センタから前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて受信し、前記第1の端末に前記第1の暗号鍵を用いた秘密通信にて送信する。
【0047】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【0048】
また、本発明の第2の鍵配送センタは、第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の鍵配送センタであって、前記第2の端末と当該第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と、前記第1の鍵配送センタと当該第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、前記第4の送受信部が、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の端末から前記第2の暗号鍵を用いた秘密通信にて受信し、前記第1の鍵配送センタに前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて送信する。
【0049】
上記構成によれば、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【発明の効果】
【0050】
本発明は、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能である。
【図面の簡単な説明】
【0051】
【図1】本発明の実施形態における鍵配送システムの概略構成を示すブロック図
【図2】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第1例を示すシーケンス図
【図3】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第2例を示すシーケンス図
【図4】本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第3例を示すシーケンス図
【図5】本発明の実施形態における鍵配送システムの、画面上のアイコン表示例を示す模式図
【発明を実施するための形態】
【0052】
以下、本発明の実施形態における鍵配送システムについて図面を用いて詳細に説明する。
【0053】
なお、説明の便宜上、2箇所の鍵配送センタと、それぞれの鍵配送センタに登録した1基の端末とで構成される鍵配送システムを例示する。しかしこれに限られるものではなく、3箇所以上の鍵配送センタを備えても、各鍵配送センタに複数の端末が登録されてもよい。
【0054】
図1は、本発明の実施形態における鍵配送システムの概略構成を示すブロック図である。鍵配送システムは、主に、鍵配送センタM100、鍵配送センタN200、端末A300、端末B400、インターネット網500、で構成される。
【0055】
本発明の実施形態における鍵配送システムは、SSLで代表されるインターネット上のVPN(Virtual Private Network)という秘匿通信(秘密通信)方法を例えば利用する。VPNでは、例えば、端末A300から鍵配送センタM100へ送信される情報は、端末A300内で秘密鍵等の暗号鍵AMにより暗号化され、伝送路を通じて鍵配送センタM100へ送信され、鍵配送センタM100で同じ秘密鍵等の暗号鍵AMにより復号化される。逆に、鍵配送センタM100から端末A300へ送信される情報は、鍵配送センタM100内で秘密鍵等の暗号鍵AMにより暗号化され、伝送路を通じて端末A300に送信され、端末A300で同じ秘密鍵等の暗号鍵AMにより復号化される。伝送路上の情報はいずれも暗号化されているため、悪意の第三者がその情報を搾取しても、平文を取り出すことが極めて困難である。
【0056】
このようにVPNでは、通信を開始する前に端末A300と鍵配送センタM100とが互いに暗号鍵を共有しているため、伝送路がインターネットのような比較的オープンな公衆回線であっても、あたかも専用線を引いて通信しているような秘匿性を実現できる。任意の端末間で暗号鍵を共有する仕組みがあれば、当該端末間の秘密通信(暗号化通信)が可能になる。暗号鍵の方式には、公開鍵暗号方式と秘密鍵(共有鍵)暗号方式があるが、一般にこれらは用途によって使い分け、任意の端末間で秘密通信を行う際には秘密鍵(共有鍵)暗号方式を用いることが多い。アルゴリズムが簡単で処理量も少ないからである。本実施形態では、両暗号方式で用いられる公開鍵、秘密鍵等を特に区別せず暗号鍵と呼ぶ。
また、VPN等の秘密通信路においてデータを送信することを秘密送信とも呼ぶ。
【0057】
次に、鍵配送システムを構成する端末A300、B400および鍵配送センタM100、N200の詳細な構成について説明する。
【0058】
端末A300、B400は、携帯電話端末などの無線通信端末であり、暗号鍵の生成や暗号化・復号化処理を行う制御部310、410、共有する暗号鍵を保持し、管理する暗号鍵保持部320、420、インターネット網(伝送路)500との間で情報の送受信を行う送受信部330、430、などで構成される。また、図示はしていないが、端末A300は鍵配送センタM100の固有の識別ID(URLなど)を保持し、端末B400は鍵配送センタN200の固有の識別ID(URLなど)を保持する。また、図示はしていないが、端末A300は、固有の識別IDとして電話番号Aを保持する。端末B400は、図示はしていないが、固有の識別IDとして電話番号Bを保持する。
【0059】
制御部310、410は、さらに、端末A300、B400間で直接秘密通信する際に使用する暗号鍵K(以下、端末間通信用暗号鍵Kともいう)を生成する暗号鍵生成部311、411、相手端末に発呼する際の通信種類の優先順位を登録する優先順位記録部312、412、秘密通信の試行結果を試行相手端末の識別IDとともに記録する試行結果記録部313、413、暗号鍵を用いた情報の暗号化・復号化を行う暗号化・復号化処理部314、414、などで構成される。
【0060】
鍵配送システムの端末A300、B400は、それぞれ鍵配送センタM100、N200との間で秘密通信を行うための暗号鍵を事前に共有している。具体的には、端末A300および鍵配送センタM100間は暗号鍵AMを、端末B400および鍵配送センタN200間は暗号鍵BNを共有している。
【0061】
次に、鍵配送センタM100、N200は、民間の企業などがサービスを行うセンタである。本実施形態では、鍵配送センタとは、鍵配送センタが備えるサーバを指す。このサーバは、複数であってもよい。鍵配送センタM100、N200は、複数の鍵配送センタM100、N200間や鍵配送センタM100、N200と端末A300、B400の間で行う暗号化通信において、暗号化処理や復号化処理を行う制御部110、210、鍵配送センタM100、N200に登録された端末A300、B400に係る電話番号リストデータベースなどの電話番号データベース120、220、端末A300、B400間で秘密通信路が確立した際に端末A300、B400に課金を行う課金処理部130、230、インターネット網(伝送路)500との間で情報の送受信を行う送受信部140、240、などで構成される。また、図示はしていないが、鍵配送センタM100は端末A300の識別ID(電話番号など)を保持し、鍵配送センタN200は端末B400の識別ID(電話番号など)を保持する。また、鍵配送センタM100、N200は、相互に相手の識別ID(URLなど)を保持する。
【0062】
また、制御部110、210は、さらに暗号鍵消去部111、211を具備する。暗号鍵消去部111、211は、鍵配送センタM100、N200が情報を登録している端末A300、B400を紛失したときなど、セキュリティ上の問題が発生した場合に、図示しない操作部による入力等に基づいて、他の端末と過去に共有した端末間通信用暗号鍵Kを削除するコマンドを、登録している端末A300、B400へ送信するよう送受信部140、240を制御する。鍵配送センタM100、N200が、端末A300、B400との通信が行えなかった場合、一定期間、一定回数のリトライを繰り返す。これにより、紛失等した端末A300、B400の所有者であると第三者が成りすました場合であっても、当該端末と端末間通信用暗号鍵Kを共有する他の端末に損失が及ぶことを予防できる。
【0063】
課金処理部130、230は、例えば、登録する端末A300、B400から鍵配送要求があったとき、端末A300、B400間で秘密通信路を確立したときなどに、その回数をカウントし、回数に応じた費用請求を端末A300、B400に対して行う。具体的な課金処理は公知の手法を用いてよく、詳細な説明は省略する。なお、秘密通信路を確立したときとは、例えば、鍵配送センタM100、N200が端末間通信用暗号鍵Kを中継したときである。
【0064】
本発明の実施形態における鍵配送センタM100と鍵配送センタN200は、暗号鍵(鍵配送センタ間通信用暗号鍵)MNを共有して相互に秘密通信を行うことができる。即ち、鍵配送センタM100と鍵配送センタN200はVPNを構築することができる。
【0065】
ところで、上記の暗号鍵はビット列であり、例えば、128bit長の暗号鍵を16進数表記すると16バイトとなり、0xFC38B9a40D871234などのように表せる。端末A300、B400と鍵配送センタM100、N200との間で共有する暗号鍵AMや暗号鍵BNは、端末A300、B400側では暗号鍵保持部320、420に保存され、鍵配送センタM100、N200側では当該暗号鍵に対応する端末A300、B400の識別ID(例えば電話番号データベース120、220に記憶された電話番号)と関連付けて保存される。したがって、登録された端末A300、B400のみが鍵配送センタM100、N200と秘密通信を行うことができる。一方、鍵配送センタM100、N200は、鍵配送センタM100、N200間で共有する暗号鍵MNも保存する。
【0066】
上記の暗号鍵の共有により、端末A300−鍵配送センタM100−鍵配送センタN200−端末B400の相互間で秘密通信路が構築され、鍵配送センタM100、鍵配送センタN200を介して端末A300と端末B400の間で秘匿通信が行えるようになる。
【0067】
しかし、端末A300、B400間の通信において常に鍵配送センタM100、鍵配送センタN200を介在させると、鍵配送センタM100、N200の負荷が重くなる。そこで、本実施形態における鍵配送システムでは、後述するように、この秘密通信路を用いて、一方の端末A300又はB400で生成した端末間通信用暗号鍵Kを他方の端末と共有させ、端末間通信用暗号鍵Kを一旦共有した後は、鍵配送センタM100、N200経由でなく端末A300、B400同士で直接秘密通信を行うための通信路を確立させる。
【0068】
次に、上記構成の鍵配送システムにおける、秘密通信路の確立動作について説明する。
【0069】
以下では、端末A300、端末B400が携帯電話端末であり、端末A300から端末B400へ発呼する場合について説明する。また、端末A300、端末B400の固有の識別IDとして、電話番号A、電話番号Bを用いる。また、鍵配送センタM100、鍵配送センタN200の固有の識別IDとして、URL150、URL250を用いる。
【0070】
なお、図2から図4のシーケンス図において、図中の通信内容を示す記述は、括弧([、])の前方が暗号化通信の暗号鍵の種類、括弧の内部が当該暗号鍵で暗号化されている情報を示す。例えば、AM[A、B]とは、端末A300と鍵配送センタM100との間で共有する暗号鍵AMを用いて、端末A300の電話番号と端末B400の電話番号に係る情報が暗号化されていることを示す。また、MN[A、B、M−URL]とは、鍵配送センタM100と鍵配送センタN200との間で共有する暗号鍵MNを用いて、端末A300の電話番号、端末B400の電話番号、鍵配送センタM100のURLに係る情報が暗号化されていることを示す。また、括弧内に送信先、送信元の識別ID(例えば電話番号)が含まれていない場合であっても、ヘッダ等に送信元、送信先の識別IDは当然に含まれている。
【0071】
ところで、鍵配送センタM100および鍵配送センタN200は、それぞれ、自らと暗号鍵を共有する携帯電話端末に係る電話番号データベース120、220を、予め相手の鍵配送センタと共有している。つまり、鍵配送センタM100は、鍵配送センタN200の電話番号データベース220に登録された携帯電話端末の電話番号を把握でき、同様に、鍵配送センタN200は、鍵配送センタM100の電話番号データベース120に登録された携帯電話端末の電話番号を把握できる。この電話番号データベースの共有は、鍵配送センタM100と鍵配送センタN200との間で暗号鍵MNが共有されており、且つ、双方が正規の通信相手であると担保した秘密通信が可能であるため、安全に行うことができる。
【0072】
次に、本実施形態における秘密通信路の確立動作手順について説明する。ここでは、第1例〜第3例を例示する。
【0073】
図2は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第1例を示すシーケンス図である。
【0074】
はじめに、図1に示す鍵配送システムの端末A300は、端末B400の電話番号と自端末の電話番号に係る情報を、送受信部330により鍵配送センタM100へ送信する(ステップS101)。
【0075】
送受信部140により上記情報を受信した鍵配送センタM100の制御部110は、電話番号データベース120を参照して、端末A300が登録端末であるか否かを判定する。
端末A300が鍵配送センタM100に登録されていると判定された場合、鍵配送センタM100の制御部110は、共有する他の鍵配送センタの電話番号データベース(ここでは、鍵配送センタN200の電話番号データベース220)の情報を検索し、端末B400の電話番号が登録されている鍵配送センタN200のURL250に係る情報を取得する。つまり、端末B400の電話番号に基づいて鍵配送センタN200のURLを検索し、そのURLの情報を取得する。次に、鍵配送センタM100は、自らのURL150、端末A300と端末B400の電話番号に係る情報を、送受信部140により鍵配送センタN200へ送信する(ステップS102)。なお、鍵配送センタM100は、センタ識別ID検索部を有するようにして、制御部110の代わりに、センタ識別ID検索部が
端末B400を識別するための端末B400の電話番号などの端末識別IDに基づいて鍵配送センタN200を識別するための鍵配送センタN200のURL250に係る情報などの識別IDを検索するようにしてもよい。
一方、端末A300が鍵配送センタM100に登録されていないと判定された場合、鍵配送センタM100の制御部110は、受信した上記情報を破棄する。
【0076】
送受信部240により上記情報を受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定する。
端末B400が鍵配送センタM100に登録されていると判定された場合、鍵配送センタN200の制御部210は、端末A300の電話番号に係る情報を、送受信部240により端末B400へ送信する(ステップS103)。
一方、端末B400が鍵配送センタM100に登録されていると判定されなかった場合、鍵配送センタN200は、判定失敗に係る情報を、送受信部240により鍵配送センタM100へ送信し(ステップS104)、同様に、鍵配送センタM100は送受信部140により、判定失敗に係る情報を端末A300へ送信する(ステップS105)。
【0077】
端末B400の制御部410は、端末A300からの通信要求を認識し、着信(暗号化通信)の可否を、送受信部430により鍵配送センタN200へ返信する。
着信可(暗号化通信承諾)の場合、端末B400は、暗号鍵生成部411により発生したランダムな数値から暗号鍵Kを生成し、送受信部430は、端末A300の電話番号、着信OKの応答に係る情報と共に鍵配送センタN200へ送信する(ステップS106)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS107)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS108)。
ここで、着信の可否(暗号化通信の承諾/拒否)は、着信端末が発信端末との間での秘密通信を許可しているか否かによって制御部410が判定する。この判断は、着信端末内で発信端末の識別IDとともに秘密通信を許可するか否かのフラグを保持し、このフラグに基づいて行われてもよいし、あらかじめ設定されたセキュリティポリシに基づいて行われてもよい。
【0078】
一方、着信不可(暗号化通信拒否)の場合、端末B400は、端末A300の電話番号、暗号化通信拒否の応答に係る情報を鍵配送センタN200へ送信する(ステップS109)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS110)、鍵配送センタM100は、端末B400の電話番号、暗号化通信拒否の応答に係る情報を端末A300へ送信する(ステップS111)。
【0079】
端末A300は、この時点で端末B400が着信を許可しているか否かを把握できる。着信可の場合、端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼する(ステップS112)。発呼する際、通常の端末A300の電話番号のほか、暗号鍵Kによって暗号化された暗号化通信要求と端末A300の電話番号に係る情報を、送受信部330により送信する。
【0080】
端末B400の暗号化・復号化処理部414は、端末A300から着呼すると暗号電文を暗号鍵Kで復号化する。制御部410は、暗号化通信要求や端末A300の電話番号に係る情報を正しく取得できたか否かを確認し、確認できた場合、同様に暗号鍵Kで暗号化した要求応答を返信する(ステップS113)。以降は、全ての通信が暗号鍵Kで暗号化された秘密通信となる(ステップS114)。
【0081】
一方、暗号鍵Kによる復号で正しい暗号化通信要求が得られなかった場合、端末B400の制御部410は、悪意の第三者からのアクセスと判断し、端末A300に対して無応答などの着信拒否を行う。
【0082】
なお、暗号化通信終了時に端末A300の制御部310は、端末B400との端末間通信用暗号鍵Kを暗号鍵保持部320に保存し、同様に、端末B400の制御部410は、端末A300との端末間通信用暗号鍵Kを暗号鍵保持部420に保存してもよい。したがって、以降は、端末A300、端末B400のいずれからでも暗号鍵Kを用いて直接発呼し、暗号化通信を開始することができる。
【0083】
このような秘密通信路の確立動作手順の第1例によれば、異なる鍵配送センタM100、N200と秘密通信可能な端末A300、B400間で、端末間通信用暗号鍵Kを安全に共有することができる。共有した後は、端末間通信用暗号鍵Kを用いて、秘匿性の高い直接秘密通信を行うことができる。
【0084】
図3は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第2例を示すシーケンス図である。
【0085】
はじめに、図1に示す鍵配送システムの端末A300は、端末A300の電話番号と暗号化通信要求に係る情報を、送受信部330により直接端末B400へ送信して発呼する(ステップS201)。この時点では、暗号化鍵を相互に共有していないので平文による通信である。
【0086】
送受信部430により上記情報を受信した端末B400は、暗号化通信を許諾する場合、自らが端末登録されている鍵配送センタN200のIDであるURL250を、端末A300へ送付する(ステップS203)。ここで、端末B400は、図示しない秘密通信可否判定部を有し、秘密通信可否判定部が端末A300との間での秘密通信を許可するか否かを判定する。なお、秘密通信可否判定部の代わりに、制御部210がこの判定をするようにしてもよい。
【0087】
一方、暗号化通信ではなく、通常の通信を許諾する場合、端末B400は、端末A300へ通常通信文を送信し、以降、通常の通信を確立することができる(ステップS202)。
【0088】
ステップS203の手順により、鍵配送センタN200のIDであるURL250を送受信部330により受信した端末A300は、端末B400の電話番号とURL250に係る情報を、鍵配送センタM100へ送信する(ステップS204)。
【0089】
送受信部140により上記情報を受信した鍵配送センタM100は、電話番号データベース120を参照して、端末A300が登録端末であるか否かを判定する。端末A300が登録端末であると判定された場合、鍵配送センタM100は、端末A300と端末B400の電話番号に係る情報を、鍵配送センタN200へ通信する(ステップS205)。
【0090】
送受信部240により上記情報を受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定する。
端末B400が登録端末であると判定された場合、端末A300の電話番号に係る情報を、送受信部240により端末B400へ送信する(ステップS206)。
一方、端末B400が登録端末であると判定されなかった場合、鍵配送センタN200は、判定失敗に係る情報を、送受信部240により鍵配送センタM100へ送信し(ステップS207)、同様に、鍵配送センタM100は送受信部140により、判定失敗に係る情報を端末A300へ送信する(ステップS208)。
【0091】
送受信部430により端末A300の電話番号に係る情報を受信した端末B400は、暗号鍵生成部411により発生したランダムな数値を暗号鍵Kとして、端末A300の電話番号、着信OKの応答に係る情報と共に鍵配送センタN200へ送信する(ステップS209)。鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS210)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS211)。
【0092】
送受信部330により上記情報を受信した端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼するが(ステップS212)、以降のステップS212からステップS214までの手順は、第1例におけるステップS112からステップS114と同じであるので、説明を省略する。
【0093】
上記の動作手順例(第2例)は、前述の第1例と比較して、鍵配送センタの数が多く、事前に登録端末情報を把握することが困難な場合、または把握することがセキュリティ上問題となる場合に有効な手順である。
【0094】
なお、端末B400は、端末A300との間の通信が秘密通信であるか否か、端末A300の識別ID、などに基づいて端末A300に対して応答するか否かを決定してもよい。
【0095】
図4は、本発明の実施形態における鍵配送システムの、秘密通信路の確立動作手順の第3例を示すシーケンス図である。
【0096】
はじめに、図1に示す鍵配送システムの端末A300は、端末B400の電話番号に係る情報を、送受信部330により鍵配送センタM100へ送信する(ステップS301)。
【0097】
送受信部140により上記情報を受信した鍵配送センタM100は、端末A300の電話番号、鍵配送センタM100のURL150、鍵配送センタM100の証明書に係る情報を、直接端末B400へ送信する(ステップS302)。なお、鍵配送センタM100と端末B400との間では、暗号化鍵を相互に共有していないので平文による通信を行う。
【0098】
送受信部430により上記情報を受信した端末B400は、端末A300の電話番号、鍵配送センタM100のURL150、鍵配送センタM100の証明書に係る情報を鍵配送センタN200へ送信する(ステップS303)。
【0099】
鍵配送センタM100のURL150と鍵配送センタM100の証明書に係る情報を、送受信部240により受信した鍵配送センタN200の制御部210は、電話番号データベース220を参照して、端末B400が登録端末であるか否かを判定し、さらに、鍵配送センタM100のURL150および証明書が正しいことを判定する。なお、制御部210の代わりに、図示しない鍵配送センタ証明書正当性判定部が鍵配送センタM100のURL150および証明書が正しいことを判定するようにしてもよい。
端末B400が登録端末であると判定されなかった場合または鍵配送センタM100の証明書が正しいと判定されなかった場合、鍵配送センタN200は、送受信部240により証明書NGの確認通知を端末B400へ送信する(ステップS304)。また、証明書NGの確認通知の代わりに、無応答としてもよい。
一方、端末B400が登録端末であると判定された場合かつ鍵配送センタM100の証明書が正しいと判定された場合、鍵配送センタN200は、送受信部240により証明書OKの確認通知を端末B400へ送信する(ステップS305)。
なお、証明書のOK/NG判定は、例えば鍵配送センタN200があらかじめ保持している鍵配送センタM100の証明書と鍵配送センタN200が端末B400から受信した鍵配送センタM100の証明書とが一致した場合にOK、一致しなかった場合にNGと判定する。
【0100】
端末B400の制御部410は、証明書OKの確認通知を受信すると、暗号化通信の着信可否を判断する。暗号化通信を許諾する場合、端末B400は、端末A300と端末B400の電話番号、暗号化通信許諾の応答に係る情報を、鍵配送センタM100へ送信する(ステップS306)。さらに、端末B400は、端末A300の電話番号、鍵配送センタM100のURL150、着信OKの応答に係る情報および暗号鍵生成部411により発生したランダムな数値を暗号鍵Kとして、鍵配送センタN200へ送信する(ステップS307)。
【0101】
鍵配送センタN200は、当該情報に端末B400の電話番号に係る情報を付加して鍵配送センタM100へ送信し(ステップS308)、鍵配送センタM100は、暗号鍵K、端末B400の電話番号、着信OKの応答に係る情報を端末A300へ送信する(ステップS309)。
【0102】
送受信部330により上記情報を受信した端末A300は、暗号鍵Kを用いて端末B400に対して直接発呼するが(ステップS310)、以降のステップS310からステップS312までの手順は、第1例におけるステップS112からステップS114と同じであるので、説明を省略する。
【0103】
上記の動作手順例は、端末A300からの発呼を端末B400が直接受信するわけではなく、鍵配送センタM100を経由しているので、第2例と比較してトラフィックが多くなるが、大量の悪意のアクセスに対してその防止効果がある。また、前述の第1例や第2例と比較して、さらなるセキュリティの強化に有効な手順である。
【0104】
次に、鍵配送システムにおける端末A300、B400の発呼動作のバリエーションについて詳細に説明する。
【0105】
端末A300、B400の制御部310、410は、相手端末へ発呼する際、図示しない操作部への入力に基づき、例えば音声通信またはテレビ電話通信のいずれか、通常通信または秘密通信のいずれかを選択してもよい。
【0106】
端末A300、B400の暗号鍵保持部320、420は、前述の秘密通信終了後、共有した端末間通信用暗号鍵Kを端末A300、B400内に保持する。したがって、発呼する相手端末と端末間通信用暗号鍵Kが共有されている場合、鍵配送センタM100、N200経由の秘密通信確立動作を省略して相手端末に直接発呼することができる。
【0107】
なお、制御部310、410は、暗号鍵保持部320、420が端末間通信用暗号鍵Kを保持する際に有効期限を設定し、暗号鍵を共有してから所定時間が経過すると暗号鍵を消去するようにしてもよい。この場合、所定時間が経過すると相手端末への直接発呼ができなくなる。一方、有効期限内に、保持する端末間通信用暗号鍵Kを用いた秘密通信を再度実行した場合、制御部310,410は、当該端末間通信用暗号鍵Kの有効期限を所定時間延長(更新)するようにしてもよい。この場合、延長前の所定時間が経過しても相手端末への直接発呼を継続して行える。また、有効期限を延長する代わりに、制御部310、410が端末間通信用暗号鍵Kを更新するようにしてもよい。
【0108】
また、端末A300、B400は、端末間通信用暗号鍵Kが端末A300、B400内に保持されているか否かの情報を、電話番号と関連付けて端末A300、B400内の図示しない電話帳に記録している。端末A300、B400の操作者の指示により、制御部310、410が通信を開始すべく相手端末の電話番号を電話帳から呼び出す際、端末間通信用暗号鍵Kが保持されているか否かを判定し、有効期限の情報を図示しない表示部に表示させるようにしてもよい。これにより、端末A300、B400の操作者は有効期限を確認することができる。なお、制御部310、410は、有効期限切れが所定時間内に迫った端末間通信用暗号鍵Kがある場合に、表示部に表示させるアイコンの点滅を行ったり、アラームを鳴動させたりするなどの報知動作を行うように設定してもよい。また、制御部310、410は、有効時間の残り時間に応じて、上記の報知動作をさらに変化させてもよい。
【0109】
また、端末A300、B400の操作者は上記報知を確認し、図示しない操作部により、秘密通信を行う際に、鍵配送センタM100、N200経由の秘密通信を開始するか、既に保持している端末間通信用暗号鍵Kを使用して直接相手端末に発呼するかのいずれかを指示してもよい。なお、例えば、操作部により電話帳の有効期限の表示を消去すれば、制御部310、410が、操作部への入力に基づいて当該相手端末に係る端末間通信用暗号鍵Kを消去することを許可するよう設定してもよい。このように、端末A300、B400は、操作部への操作に基づいて端末間通信用暗号鍵Kを消去してもよい。さらに、端末A300、B400への操作ではなく、鍵配送センタM100、N200が、端末間通信用暗号鍵Kを消去又は変更するための制御信号を端末A300、B400へ送信するようにしてもよい。
【0110】
また、端末A300、端末B400の優先順位記録部312、412は、通常の非秘密通信、暗号鍵AM、MN、BNを用いて鍵配送センタM100、N200を経由して秘密通信するセンタ経由秘密通信、既に保持している端末間通信用暗号鍵Kを用いて相手端末に直接発呼して行う直接秘密通信、の3つの通信方式の優先順位を予め記録してもよい。そして、制御部310、410は、発呼の際、操作部への入力によらずに、当該優先順位に基づいて、いずれかの通信方式を選択して通信を行うようにしてもよい。また、3つの通信方式の優先順位でなく、センタ経由秘密通信、直接秘密通信の2つの通信方式の優先順位を予め記録してもよい。
【0111】
優先順位記録部312、412に優先順位を設定した場合の発呼動作例としては以下のようなモードが考えられる。
(a)通常通信(非秘密通信)優先モード
相手端末に対して通常発呼を行う。相手端末が着信して回線が接続されれば、通常通信を行うが、相手端末から秘密通信を要求する着信拒否が通知されるか無応答でタイムアウトした場合、秘密通信を試行する。
(b)秘密通信優先モード
はじめに秘密通信を試行する。前述の鍵配送センタM100、N200経由の秘密通信路の確立動作手順を実行し、相手端末が秘密通信を行えないと判断された場合、通常発呼に切り替える。なお、相手端末と秘密通信が行えないと判断する条件とは、鍵配送センタM100、N200において端末A300、B400の登録が無効になっているなど、鍵配送ができない場合などである。
【0112】
また、端末A300、B400の試行結果記録部313、413は、過去の相手端末に対する通信試行の結果(過去の結果)を記録し、制御部310、410は、次の発呼の際、当該記録に基づいて自端末の発呼や表示に係る動作を変更してもよい。
【0113】
試行結果記録部313、413の動作を有効にした場合の発呼動作例及び発呼時の表示例としては以下のようなモードが考えられる。
(1)鍵配送センタM100、N200経由での最新の秘密通信の試行において、秘密通信ができなかった場合
制御部310、410は、端末A300、B400の表示部に例えば図5(a)に示すマークを表示させ、たとえ優先順位記録部312、412の設定が秘密通信優先モードであったとしても、一時的に通常通信優先モードでの発呼に移行する。
(2)最新の秘密通信試行の結果、秘密通信が行えた場合
制御部310、410は、端末A300、B400の表示部に例えば図5(b)に示すマークを表示させる。
(3)最新の通信において通常通信で発呼できなかったが、秘密通信は行えた場合
制御部310、410は、端末A300、B400の表示部に例えば図5(c)に示すマークを表示させ、たとえ優先順位記録部312、412の設定が通常通信優先モードであったとしても、一時的に秘密通信優先モードでの発呼に移行する(このモードは、(2)のモードよりも優先する)。
(4)上記以外の場合、または秘密通信試行がなかった場合
制御部310、410は、端末A300、B400の表示部に図5(d)に示すマークを表示させる。
さらに、秘密通信優先モードにおいて、通信試行の結果に基づいて、センタ経由秘密通信優先モード、直接秘密通信優先モードを設定するようにしてもよい。
【0114】
次に、鍵配送システムにおける端末A300、B400の着呼時の動作について説明する。
【0115】
端末A300、B400の制御部310、410は、着呼したとき、通常通信であるか秘密通信であるかを報知する。具体的には、秘密通信で着呼したときは、端末A300、B400の表示部に図5(e)に示す表示をさせる。これにより、着呼端末の操作者は、表示部を確認することで通信種類を把握できるので安心して通話を行える。
【0116】
また、使用した秘密鍵が過去の暗号鍵の再利用ではなく、新規に鍵配送センタM100、N200を通じて配送されたものである場合(例えば、端末間通信用暗号鍵Kが有効期限超過等により無効である場合)、図5(e)に示すマークを例えば緑色の表示として色により認識可能としてもよいし、一定時間点滅することで認識可能としてもよい。これにより、秘密通信の種類も把握できるので、着呼端末の操作者は安心して通話を行える。なお、発呼端末側でも同様の表示を行えば、発呼端末の操作者に対しても発呼の状態を報知することができる。
【0117】
このように、秘密通信であるか否か、端末間通信用暗号鍵Kが有効であるか否か、などに応じて、端末A300、B400の制御部310、410が着呼時の端末動作を制御するようにしてもよい。同様に、これらに応じて、端末A300、B400の制御部310、410が発呼時の端末動作を制御するようにしてもよい。
【0118】
また、端末A300、端末B400の制御部310、410は、秘密通信で発呼された場合は着信を許諾し、通常通信で発呼された場合は着信拒否をするような設定を行ってもよい。当該設定は、例えば公知の発信番号通知機能の応用で実現可能であり、詳細な説明を省略する。
【0119】
なお、上記の実施形態では、鍵配送センタが2箇所の場合について説明したが、これに限定されるものではなく、3箇所以上の鍵配送センタで構成されても本発明を実現できることは言うまでもない。
【0120】
また、上記の実施形態では、VPNを構築して秘密通信を実現する例について説明したが、これに限定されるものではなく、専用線を敷設するなど、相互に安全に秘密通信が行える技術手段であればどのような手段を用いてもかまわない。
【0121】
さらに、上記の実施形態では、端末固有のIDとして電話番号を用いたが、これに限定されるものではなく、IPアドレスなどでもかまわない。
【産業上の利用可能性】
【0122】
本発明は、異なる鍵配送センタと秘密通信可能な任意の端末間で、秘密通信路を容易に確立することが可能な鍵配送システム、端末および鍵配送センタに有用である。
【符号の説明】
【0123】
100 鍵配送センタM
200 鍵配送センタN
110、210 制御部
111、211 暗号鍵消去部
120、220 電話番号データベース
130、230 課金処理部
140、240 送受信部
300 端末A
400 端末B
310、410 制御部
311、411 暗号鍵生成部
312、412 優先順位記録部
313、413 試行結果記録部
314、414 暗号化・復号化処理部
320、420 暗号鍵保持部
330、430 送受信部
500 インターネット網(伝送路)
【特許請求の範囲】
【請求項1】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムであって、
前記第1の端末は、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、
前記第2の端末は、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、前記端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、第2の送受信部と、を有し、
前記第1の鍵配送センタは、前記第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵を保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、
前記第2の鍵配送センタは、前記第2の暗号鍵と、前記鍵配送センタ間通信用暗号鍵を保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、
前記第2の端末の前記第2の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信し、
前記第1の端末の前記第1の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する
鍵配送システム。
【請求項2】
請求項1に記載の鍵配送システムであって、
前記第1の鍵配送センタは、前記第2の端末を識別するための第2端末識別IDに基づいて前記第2の鍵配送センタを識別するための第2センタ識別IDを検索するセンタ識別ID検索部を有し、
前記第1の端末の前記第1の送受信部は、前記第1の鍵配送センタへ前記第1の端末を識別するための第1端末識別ID及び前記第2端末識別IDを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別IDを受信し、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項3】
請求項1に記載の鍵配送システムであって、
前記第2の端末は、前記第1の端末との間での秘密通信を許可するか否かを判定する秘密通信可否判定部を有し、
前記第1の端末の前記第1の送受信部は、前記第2の端末へ秘密通信要求を送信し、
前記第2の端末の前記第2の送受信部は、前記秘密通信要求を受信し、前記第1の端末との間での秘密通信が許可されている場合、前記第1の端末へ前記第2の鍵配送センタを識別するための第2センタ識別IDを送信し、
前記第1の端末の前記第1の送受信部は、前記第2センタ識別IDを受信し、前記第1の鍵配送センタへ、当該第1の端末を識別するための第1端末識別IDと前記第2センタ識別IDと前記第2の端末を識別するための第2端末識別IDとを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別IDと前記第2センタ識別IDと前記第2端末識別IDとを受信し、前記第2端末識別IDにより識別される第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別IDを受信し、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項4】
請求項1に記載の鍵配送システムであって、
前記第2の鍵配送センタは、前記第1の鍵配送センタの証明書が正当であるか否かを判定する鍵配送センタ証明書正当性判定部を有し、
前記第1の端末の前記第1の送受信部は、前記第1の鍵配送センタへ当該第1の端末を識別するための第1端末識別ID及び前記第2の端末を識別するための第2端末識別IDを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別ID及び当該第1の鍵配送センタの証明書を送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別ID及び前記第1の鍵配送センタの証明書を受信し、前記第2の鍵配送センタへ前記第1の鍵配送センタの証明書を送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1の鍵配送センタの証明書を受信し、前記鍵配送センタ証明書正当性判定部が当該証明書が正当であると判定した場合、正当である旨の応答を前記第2の端末へ送信し、
前記第2の端末の前記第2の送受信部は、前記正当である旨の応答を受信した場合、かつ、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項5】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、前記端末間通信用暗号鍵に有効期限を設定する鍵配送システム。
【請求項6】
請求項5に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記有効期限内に前記端末間通信用暗号鍵を用いた秘密通信が再度行われた場合、前記端末間通信暗号鍵又は前記有効期限を更新する鍵配送システム。
【請求項7】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵を用いて秘密通信するセンタ経由秘密通信、前記端末間通信用暗号鍵を用いて直接秘密通信する直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する鍵配送システム。
【請求項8】
請求項7に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、非秘密通信、前記センタ経由秘密通信、前記直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する鍵配送システム。
【請求項9】
請求項7または8に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、他の端末の識別情報と前記他の端末との間で行った秘密通信の過去の結果とを関連付けて記録し、前記他の端末へ発呼する際、前記秘密通信の過去の結果に基づいて、前記通信方法及び表示部の表示の少なくとも一方を変更する鍵配送システム。
【請求項10】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、着呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する鍵配送システム。
【請求項11】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、発呼時の端末動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する鍵配送システム。
【請求項12】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、秘密通信であるか否か及び発呼端末の識別情報の少なくとも1つに応じて、前記発呼端末に対して応答するか否かを決定する鍵配送システム。
【請求項13】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記端末間通信用暗号鍵の有効期限を表示部に表示する鍵配送システム。
【請求項14】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記端末間通信用暗号鍵の有効期限の残期間に基づいて、報知動作を制御する鍵配送システム。
【請求項15】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、保持された前記端末間通信用暗号鍵を操作部への操作に基づいて消去する鍵配送システム。
【請求項16】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の鍵配送センタ又は前記第2の鍵配送センタは、前記第1の端末及び前記第2の端末が共有する前記端末間通信用暗号鍵を消去又は変更するための制御信号を送信する鍵配送システム。
【請求項17】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の鍵配送センタ又は前記第2の鍵配送センタは、前記第1の端末及び前記第2の端末が秘密通信を行うための秘密通信路を確立したときに課金処理を実行する鍵配送システム。
【請求項18】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の端末であって、
当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と前記第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、
前記第1の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する
第1の端末。
【請求項19】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の端末であって、
前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、第2の送受信部と、を有し、
前記第2の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
第2の端末。
【請求項20】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の鍵配送センタであって、
前記第1の端末と当該第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、
前記第3の送受信部は、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の鍵配送センタから前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて受信し、前記第1の端末に前記第1の暗号鍵を用いた秘密通信にて送信する
第1の鍵配送センタ。
【請求項21】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の鍵配送センタであって、
前記第2の端末と当該第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と、前記第1の鍵配送センタと当該第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、
前記第4の送受信部は、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の端末から前記第2の暗号鍵を用いた秘密通信にて受信し、前記第1の鍵配送センタに前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて送信する
第2の鍵配送センタ。
【請求項1】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムであって、
前記第1の端末は、当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、
前記第2の端末は、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、前記端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、第2の送受信部と、を有し、
前記第1の鍵配送センタは、前記第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵を保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、
前記第2の鍵配送センタは、前記第2の暗号鍵と、前記鍵配送センタ間通信用暗号鍵を保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、
前記第2の端末の前記第2の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信し、
前記第1の端末の前記第1の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する
鍵配送システム。
【請求項2】
請求項1に記載の鍵配送システムであって、
前記第1の鍵配送センタは、前記第2の端末を識別するための第2端末識別IDに基づいて前記第2の鍵配送センタを識別するための第2センタ識別IDを検索するセンタ識別ID検索部を有し、
前記第1の端末の前記第1の送受信部は、前記第1の鍵配送センタへ前記第1の端末を識別するための第1端末識別ID及び前記第2端末識別IDを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別IDを受信し、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項3】
請求項1に記載の鍵配送システムであって、
前記第2の端末は、前記第1の端末との間での秘密通信を許可するか否かを判定する秘密通信可否判定部を有し、
前記第1の端末の前記第1の送受信部は、前記第2の端末へ秘密通信要求を送信し、
前記第2の端末の前記第2の送受信部は、前記秘密通信要求を受信し、前記第1の端末との間での秘密通信が許可されている場合、前記第1の端末へ前記第2の鍵配送センタを識別するための第2センタ識別IDを送信し、
前記第1の端末の前記第1の送受信部は、前記第2センタ識別IDを受信し、前記第1の鍵配送センタへ、当該第1の端末を識別するための第1端末識別IDと前記第2センタ識別IDと前記第2の端末を識別するための第2端末識別IDとを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別IDと前記第2センタ識別IDと前記第2端末識別IDとを受信し、前記第2端末識別IDにより識別される第2の鍵配送センタへ前記第1端末識別ID及び前記第2端末識別IDを前記鍵配送センタ間通信用暗号鍵を用いて秘密送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別IDを秘密送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別IDを受信し、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項4】
請求項1に記載の鍵配送システムであって、
前記第2の鍵配送センタは、前記第1の鍵配送センタの証明書が正当であるか否かを判定する鍵配送センタ証明書正当性判定部を有し、
前記第1の端末の前記第1の送受信部は、前記第1の鍵配送センタへ当該第1の端末を識別するための第1端末識別ID及び前記第2の端末を識別するための第2端末識別IDを秘密送信し、
前記第1の鍵配送センタの前記第3の送受信部は、前記第1端末識別ID及び前記第2端末識別IDを受信し、前記第2の端末へ前記第1端末識別ID及び当該第1の鍵配送センタの証明書を送信し、
前記第2の端末の前記第2の送受信部は、前記第1端末識別ID及び前記第1の鍵配送センタの証明書を受信し、前記第2の鍵配送センタへ前記第1の鍵配送センタの証明書を送信し、
前記第2の鍵配送センタの前記第4の送受信部は、前記第1の鍵配送センタの証明書を受信し、前記鍵配送センタ証明書正当性判定部が当該証明書が正当であると判定した場合、正当である旨の応答を前記第2の端末へ送信し、
前記第2の端末の前記第2の送受信部は、前記正当である旨の応答を受信した場合、かつ、前記第1の端末との間での秘密通信が許可されている場合、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
鍵配送システム。
【請求項5】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、前記端末間通信用暗号鍵に有効期限を設定する鍵配送システム。
【請求項6】
請求項5に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記有効期限内に前記端末間通信用暗号鍵を用いた秘密通信が再度行われた場合、前記端末間通信暗号鍵又は前記有効期限を更新する鍵配送システム。
【請求項7】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、前記第1の暗号鍵、前記第2の暗号鍵、及び前記第3の暗号鍵を用いて秘密通信するセンタ経由秘密通信、前記端末間通信用暗号鍵を用いて直接秘密通信する直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する鍵配送システム。
【請求項8】
請求項7に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、非秘密通信、前記センタ経由秘密通信、前記直接秘密通信、とで優先順位を予め記録し、当該優先順位に従って選択した通信方法で通信する鍵配送システム。
【請求項9】
請求項7または8に記載の鍵配送システムであって、
前記第1の端末又は前記第2の端末は、他の端末の識別情報と前記他の端末との間で行った秘密通信の過去の結果とを関連付けて記録し、前記他の端末へ発呼する際、前記秘密通信の過去の結果に基づいて、前記通信方法及び表示部の表示の少なくとも一方を変更する鍵配送システム。
【請求項10】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、着呼時の報知動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する鍵配送システム。
【請求項11】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、発呼時の端末動作を、秘密通信であるか否か、前記端末間通信用暗号鍵が有効であるか否か、の少なくとも1つに応じて制御する鍵配送システム。
【請求項12】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、秘密通信であるか否か及び発呼端末の識別情報の少なくとも1つに応じて、前記発呼端末に対して応答するか否かを決定する鍵配送システム。
【請求項13】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記端末間通信用暗号鍵の有効期限を表示部に表示する鍵配送システム。
【請求項14】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、前記端末間通信用暗号鍵の有効期限の残期間に基づいて、報知動作を制御する鍵配送システム。
【請求項15】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の端末又は第2の端末は、保持された前記端末間通信用暗号鍵を操作部への操作に基づいて消去する鍵配送システム。
【請求項16】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の鍵配送センタ又は前記第2の鍵配送センタは、前記第1の端末及び前記第2の端末が共有する前記端末間通信用暗号鍵を消去又は変更するための制御信号を送信する鍵配送システム。
【請求項17】
請求項1ないし4のいずれか1項に記載の鍵配送システムであって、
前記第1の鍵配送センタ又は前記第2の鍵配送センタは、前記第1の端末及び前記第2の端末が秘密通信を行うための秘密通信路を確立したときに課金処理を実行する鍵配送システム。
【請求項18】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の端末であって、
当該第1の端末と前記第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と当該第1の端末と前記第2の端末との間で秘密通信するための端末間通信用暗号鍵とを保持するための第1の暗号鍵保持部と、第1の送受信部と、を有し、
前記第1の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第2の端末から受信する
第1の端末。
【請求項19】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の端末であって、
前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を生成する端末間通信用暗号鍵生成部と、当該第2の端末と前記第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と前記端末間通信用暗号鍵とを保持するための第2の暗号鍵保持部と、第2の送受信部と、を有し、
前記第2の送受信部は、前記端末間通信用暗号鍵を、前記第2の鍵配送センタ及び前記第1の鍵配送センタを介して、前記第2の暗号鍵と前記第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵と前記第1の暗号鍵とを用いた秘密通信にて、前記第1の端末に送信する
第2の端末。
【請求項20】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第1の鍵配送センタであって、
前記第1の端末と当該第1の鍵配送センタとの間で秘密通信するための第1の暗号鍵と、当該第1の鍵配送センタと前記第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第3の暗号鍵保持部と、第3の送受信部と、を有し、
前記第3の送受信部は、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の鍵配送センタから前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて受信し、前記第1の端末に前記第1の暗号鍵を用いた秘密通信にて送信する
第1の鍵配送センタ。
【請求項21】
第1の端末と、第2の端末と、第1の鍵配送センタと、第2の鍵配送センタと、を備える鍵配送システムにおける第2の鍵配送センタであって、
前記第2の端末と当該第2の鍵配送センタとの間で秘密通信するための第2の暗号鍵と、前記第1の鍵配送センタと当該第2の鍵配送センタとの間で秘密通信するための鍵配送センタ間通信用暗号鍵とを保持するための第4の暗号鍵保持部と、第4の送受信部と、を有し、
前記第4の送受信部は、前記第1の端末と当該第2の端末との間で秘密通信するための端末間通信用暗号鍵を、前記第2の端末から前記第2の暗号鍵を用いた秘密通信にて受信し、前記第1の鍵配送センタに前記鍵配送センタ間通信用暗号鍵を用いた秘密通信にて送信する
第2の鍵配送センタ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−109521(P2011−109521A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−263987(P2009−263987)
【出願日】平成21年11月19日(2009.11.19)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月19日(2009.11.19)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]