ホーム > 特許ランキング > セイコーエプソン株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ セイコーエプソン株式会社の特許一覧 ▶ 国立大学法人信州大学の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022091498
(43)【公開日】2022-06-21
(54)【発明の名称】暗号通信システム、暗号通信方法および暗号通信装置
(51)【国際特許分類】
H04L 9/08 20060101AFI20220614BHJP
H04L 9/10 20060101ALI20220614BHJP
G06F 21/86 20130101ALI20220614BHJP
【FI】
H04L9/00 601C
H04L9/00 601E
H04L9/00 621A
G06F21/86
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2020204371
(22)【出願日】2020-12-09
(71)【出願人】
【識別番号】000002369
【氏名又は名称】セイコーエプソン株式会社
(71)【出願人】
【識別番号】504180239
【氏名又は名称】国立大学法人信州大学
(74)【代理人】
【識別番号】100149548
【弁理士】
【氏名又は名称】松沼 泰史
(74)【代理人】
【識別番号】100140774
【弁理士】
【氏名又は名称】大浪 一徳
(74)【代理人】
【識別番号】100114937
【弁理士】
【氏名又は名称】松本 裕幸
(74)【代理人】
【識別番号】100196058
【弁理士】
【氏名又は名称】佐藤 彰雄
(72)【発明者】
【氏名】三重野 武彦
(72)【発明者】
【氏名】岡崎 裕之
(57)【要約】
【課題】簡易な暗号通信システムとすることを可能としつつ、第三者にいずれかの暗号通信装置の個別情報が漏洩したとしても、なりすましを低減させることができる暗号通信システムを提供する。
【解決手段】第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置と、第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置と、を備え、前記第1暗号通信装置は、前記第1鍵生成関数と前記第2個別情報とを用いて第12共通鍵を生成し、前記第2暗号通信装置は、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、暗号通信システム。
【選択図】図1
【解決手段】第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置と、第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置と、を備え、前記第1暗号通信装置は、前記第1鍵生成関数と前記第2個別情報とを用いて第12共通鍵を生成し、前記第2暗号通信装置は、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、暗号通信システム。
【選択図】図1
【特許請求の範囲】
【請求項1】
第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置と、
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置と、
を備え、
前記第1暗号通信装置は、前記第1鍵生成関数と前記第2個別情報とを用いて第12共通鍵を生成し、
前記第2暗号通信装置は、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、
暗号通信システム。
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置と、
を備え、
前記第1暗号通信装置は、前記第1鍵生成関数と前記第2個別情報とを用いて第12共通鍵を生成し、
前記第2暗号通信装置は、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、
暗号通信システム。
【請求項2】
前記第12共通鍵は、前記第1耐タンパー性デバイスに記憶され、
前記第21共通鍵は、前記第2耐タンパー性デバイスに記憶される、
請求項1に記載の暗号通信システム。
前記第21共通鍵は、前記第2耐タンパー性デバイスに記憶される、
請求項1に記載の暗号通信システム。
【請求項3】
前記第1暗号通信装置は、前記第12共通鍵と前記第1個別情報を用いて第1認証子を生成し、生成した前記第1認証子を前記第2暗号通信装置に送信し、
前記第2暗号通信装置は、前記第21共通鍵を用いて、前記第1暗号通信装置から受信した前記第1認証子を復号し、
前記第2暗号通信装置は、前記第1認証子の復号結果に基づいて、前記第1暗号通信装置の認証を行う、
請求項1または請求項2に記載の暗号通信システム。
前記第2暗号通信装置は、前記第21共通鍵を用いて、前記第1暗号通信装置から受信した前記第1認証子を復号し、
前記第2暗号通信装置は、前記第1認証子の復号結果に基づいて、前記第1暗号通信装置の認証を行う、
請求項1または請求項2に記載の暗号通信システム。
【請求項4】
前記第2暗号通信装置は、前記第21共通鍵と前記第2個別情報を用いて第2認証子を生成し、生成した前記第2認証子を前記第1暗号通信装置に送信し、
前記第1暗号通信装置は、前記第12共通鍵を用いて、前記第2暗号通信装置から受信した前記第2認証子を復号し、
前記第1暗号通信装置は、前記第2認証子の復号結果に基づいて、前記第2暗号通信装置の認証を行う、
請求項1から請求項3のいずれか1項に記載の暗号通信システム。
前記第1暗号通信装置は、前記第12共通鍵を用いて、前記第2暗号通信装置から受信した前記第2認証子を復号し、
前記第1暗号通信装置は、前記第2認証子の復号結果に基づいて、前記第2暗号通信装置の認証を行う、
請求項1から請求項3のいずれか1項に記載の暗号通信システム。
【請求項5】
第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置が、前記第1鍵生成関数と第2暗号通信装置の第2個別情報とを用いて第12共通鍵を生成し、
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、前記第2個別情報を記憶する第2記憶部と、を有する前記第2暗号通信装置が、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、
暗号通信方法。
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、前記第2個別情報を記憶する第2記憶部と、を有する前記第2暗号通信装置が、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、
暗号通信方法。
【請求項6】
第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する暗号通信装置であって、
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置の前記第2個別情報を取得し、
取得した前記第2個別情報と前記第1鍵生成関数とを用いて第12共通鍵を生成する、
暗号通信装置。
第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置の前記第2個別情報を取得し、
取得した前記第2個別情報と前記第1鍵生成関数とを用いて第12共通鍵を生成する、
暗号通信装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、暗号通信システム、暗号通信方法および暗号通信装置に関する。
【背景技術】
【0002】
特許文献1に記載された車車/路車間通信システムでは、あるエリアに存在する路側機と車載機とが同じ共通鍵を用いて通信することが行われている。また、このシステムでは、当該路側機は、当該路側機が属するエリアと近隣エリアの共通鍵を鍵管理サーバーから取得し、通信可能な車載機に配布することが行われている。このシステムでは、鍵管理サーバーおよび路側機を備えた暗号通信システムとなっている(特許文献1参照。)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2012-227672号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載されたシステムでは、第三者のなりすまし対策として、データ量を増やし、暗号を複雑にすることでセキュリティを高めている。ここで、セキュリティの高さとデータ量とがトレードオフの関係であり、このため、データ量の増加に伴い、暗号通信システムの大型化になる。このため、簡易的な暗号通信システムと高いセキュリティとの両立が難しい場合があった。
【0005】
このような問題への対処として、高セキュリティかつ鍵管理サーバー等の外部装置を必要としない構成として、全てのデバイスに個別情報と、通信対象数と同数の鍵(もしくは鍵束)と、を備える構成が考えられる。しかしながら、全てのデバイスに通信対象数と同数の鍵(もしくは鍵束)を備える構成は、あとから通信相手を増やせないこと、および、鍵生成関数のデータ量が膨大となることなどから、現実的ではない。
【課題を解決するための手段】
【0006】
上記課題を解決するために一態様は、第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置と、第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置と、を備え、前記第1暗号通信装置は、前記第1鍵生成関数と前記第2個別情報とを用いて第12共通鍵を生成し、前記第2暗号通信装置は、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、暗号通信システムである。
【0007】
上記課題を解決するために一態様は、第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する第1暗号通信装置が、前記第1鍵生成関数と第2暗号通信装置の第2個別情報とを用いて第12共通鍵を生成し、第2鍵生成関数を記憶する第2耐タンパー性デバイスと、前記第2個別情報を記憶する第2記憶部と、を有する前記第2暗号通信装置が、前記第2鍵生成関数と前記第1個別情報とを用いて第21共通鍵を生成する、暗号通信方法である。
【0008】
上記課題を解決するために一態様は、第1鍵生成関数を記憶する第1耐タンパー性デバイスと、第1個別情報を記憶する第1記憶部と、を有する暗号通信装置であって、第2鍵生成関数を記憶する第2耐タンパー性デバイスと、第2個別情報を記憶する第2記憶部と、を有する第2暗号通信装置の前記第2個別情報を取得し、取得した前記第2個別情報と前記第1鍵生成関数とを用いて第12共通鍵を生成する、暗号通信装置である。
【図面の簡単な説明】
【0009】
【図1】暗号通信システムの概略的な構成例を示す図である。
【図2】第1暗号通信装置と第2暗号通信装置との間で行われる暗号通信の処理の流れを示す図である。
【図3】共通鍵の生成の様子を示す図である。
【図4】認証子の生成の様子を示す図である。
【図5】正規の装置により生成される共通鍵を示す図である。
【図6】不正な装置により生成される共通鍵を示す図である。
【図7】変形例に係る第1a暗号通信装置を示す図である。
【発明を実施するための形態】
【0010】
以下、実施形態について、図面を参照して説明する。
【0011】
図1は、暗号通信システム1の概略的な構成例を示す図である。
暗号通信システム1は、第1暗号通信装置11と、第2暗号通信装置12と、を備える。
暗号通信システム1は、第1暗号通信装置11と、第2暗号通信装置12と、を備える。
【0012】
第1暗号通信装置11は、第1耐タンパー性デバイス111と、第1メモリー131と、第1入力部132と、第1出力部133と、第1通信部134と、第1制御部135と、を備える。
第1耐タンパー性デバイス111には、第1鍵生成関数311が記憶されている。第1耐タンパー性デバイス111には、製造時に第1鍵生成関数311が埋め込まれていてもよい。第1耐タンパー性デバイス111は、IoT(Internat of Things)デバイスであってもよい。
第1メモリー131には、第1個別情報331が記憶されている。
第1メモリー131は、第1記憶部の一例である。
第1耐タンパー性デバイス111には、第1鍵生成関数311が記憶されている。第1耐タンパー性デバイス111には、製造時に第1鍵生成関数311が埋め込まれていてもよい。第1耐タンパー性デバイス111は、IoT(Internat of Things)デバイスであってもよい。
第1メモリー131には、第1個別情報331が記憶されている。
第1メモリー131は、第1記憶部の一例である。
【0013】
第2暗号通信装置12は、第2耐タンパー性デバイス211と、第2メモリー231と、第2入力部232と、第2出力部233と、第2通信部234と、第2制御部235と、を備える。
第2耐タンパー性デバイス211には、第2鍵生成関数312が記憶されている。第2耐タンパー性デバイス211には、製造時に第2鍵生成関数312が埋め込まれていてもよい。第2耐タンパー性デバイス211は、IoTデバイスであってもよい。
第2メモリー231には、第2個別情報332が記憶されている。
第2メモリー231は、第2記憶部の一例である。
第2耐タンパー性デバイス211には、第2鍵生成関数312が記憶されている。第2耐タンパー性デバイス211には、製造時に第2鍵生成関数312が埋め込まれていてもよい。第2耐タンパー性デバイス211は、IoTデバイスであってもよい。
第2メモリー231には、第2個別情報332が記憶されている。
第2メモリー231は、第2記憶部の一例である。
【0014】
第1暗号通信装置11について説明する。
第1耐タンパー性デバイス111は、第1鍵生成関数311を用いて共通鍵を演算する機能を有する。
第1耐タンパー性デバイス111は、第1暗号通信装置11と着脱可能であってもよく、または、第1暗号通信装置11と一体化されていてもよい。例えば、第1暗号通信装置11の本体がコンピューターを用いて構成され、第1耐タンパー性デバイス111がチップとして構成され、当該コンピューターのボードに当該チップが挿入されることで、第1暗号通信装置11が構成されてもよい。
第1耐タンパー性デバイス111は、第1耐タンパー性デバイス111に記憶された第1鍵生成関数311が外部から不当に取得することができないように対策されている。
第1耐タンパー性デバイス111は、第1鍵生成関数311を用いて共通鍵を演算する機能を有する。
第1耐タンパー性デバイス111は、第1暗号通信装置11と着脱可能であってもよく、または、第1暗号通信装置11と一体化されていてもよい。例えば、第1暗号通信装置11の本体がコンピューターを用いて構成され、第1耐タンパー性デバイス111がチップとして構成され、当該コンピューターのボードに当該チップが挿入されることで、第1暗号通信装置11が構成されてもよい。
第1耐タンパー性デバイス111は、第1耐タンパー性デバイス111に記憶された第1鍵生成関数311が外部から不当に取得することができないように対策されている。
【0015】
第1メモリー131は、第1個別情報331以外の情報も記憶してもよい。
第1入力部132は、第1暗号通信装置11の第1ユーザーによって操作される操作部を有しており、当該操作部への操作内容に応じた情報を入力する。
第1出力部133は、画面表示または音声などにより、情報を出力する。
第1入力部132は、第1暗号通信装置11の第1ユーザーによって操作される操作部を有しており、当該操作部への操作内容に応じた情報を入力する。
第1出力部133は、画面表示または音声などにより、情報を出力する。
【0016】
第1通信部134は、第2暗号通信装置12と通信する通信インターフェイスである。この通信は、有線通信であってもよく、または、無線通信であってもよい。
無線通信として、RFID (Radio Frequency Identification)技術の一種である近距離無線通信(NFC:Near Field Communication)等が用いられてもよい。
本実施形態では、第1暗号通信装置11と第2暗号通信装置12とが直接通信する場合を示すが、第1暗号通信装置11と第2暗号通信装置12とが、他の装置を介して、間接的に通信してもよい。
第1通信部134と第2暗号通信装置12とが通信する通信路は、盗聴傍受され得る通信路であるとし、このため、暗号通信が有効となる。
無線通信として、RFID (Radio Frequency Identification)技術の一種である近距離無線通信(NFC:Near Field Communication)等が用いられてもよい。
本実施形態では、第1暗号通信装置11と第2暗号通信装置12とが直接通信する場合を示すが、第1暗号通信装置11と第2暗号通信装置12とが、他の装置を介して、間接的に通信してもよい。
第1通信部134と第2暗号通信装置12とが通信する通信路は、盗聴傍受され得る通信路であるとし、このため、暗号通信が有効となる。
【0017】
第1制御部135は、各種の処理を制御する。
第1制御部135は、CPU(Central Processing Unit)などのプロセッサーを備えてもよく、第1メモリー131に記憶された制御プログラムを実行して各種の処理を制御してもよい。
第1制御部135は、CPU(Central Processing Unit)などのプロセッサーを備えてもよく、第1メモリー131に記憶された制御プログラムを実行して各種の処理を制御してもよい。
【0018】
本実施形態では、第1耐タンパー性デバイス111が第1鍵生成関数311を用いた暗号および復号のための演算を行う機能を有しており、第1制御部135が第1耐タンパー性デバイス111の入出力を制御することで第1耐タンパー性デバイス111による演算を実行させる。
他の構成例として、第1制御部135が当該暗号および当該復号のための演算の一部を実行して、第1耐タンパー性デバイス111による演算と合わせて、当該暗号および当該復号が実現されてもよい。
他の構成例として、第1制御部135が当該暗号および当該復号のための演算の一部を実行して、第1耐タンパー性デバイス111による演算と合わせて、当該暗号および当該復号が実現されてもよい。
【0019】
第1鍵生成関数311としては、様々な鍵生成関数が用いられてもよい。
第1鍵生成関数311は、IDベースの鍵を生成する関数であってもよく、または、KPSの鍵を生成する関数であってもよい。
第1鍵生成関数311としては、演算量を少なくするために、ペアリング演算を行わない関数が用いられることが好ましく、特に、第1耐タンパー性デバイス111の演算能力が低い場合に好ましい。第1鍵生成関数311としては、行列演算を行う関数が用いられてもよい。
ただし、第1鍵生成関数311として、ペアリング演算を行う関数が用いられてもよい。
第1鍵生成関数311は、IDベースの鍵を生成する関数であってもよく、または、KPSの鍵を生成する関数であってもよい。
第1鍵生成関数311としては、演算量を少なくするために、ペアリング演算を行わない関数が用いられることが好ましく、特に、第1耐タンパー性デバイス111の演算能力が低い場合に好ましい。第1鍵生成関数311としては、行列演算を行う関数が用いられてもよい。
ただし、第1鍵生成関数311として、ペアリング演算を行う関数が用いられてもよい。
【0020】
第1個別情報331は、暗号通信システム1において第1暗号通信装置11を一意に特定することができる情報であり、暗号通信システム1において第1暗号通信装置11に固有の情報である。第1個別情報331は、公開される。
第1個別情報331は、様々な情報であってもよく、第1暗号通信装置11のシリアルナンバー、第1暗号通信装置11のMACアドレス、第1暗号通信装置11に設定された第1ユーザーのメールアドレス、第1暗号通信装置11に設定された第1ユーザーの名前、第1暗号通信装置11に設定された第1ユーザーのマイナンバーなどであってもよい。
第1個別情報331は、様々な情報であってもよく、第1暗号通信装置11のシリアルナンバー、第1暗号通信装置11のMACアドレス、第1暗号通信装置11に設定された第1ユーザーのメールアドレス、第1暗号通信装置11に設定された第1ユーザーの名前、第1暗号通信装置11に設定された第1ユーザーのマイナンバーなどであってもよい。
【0021】
第2暗号通信装置12について説明する。
第2暗号通信装置12の構成および動作の概要は、第1暗号通信装置11の構成および動作の概要と同様である。
具体的には、第2暗号通信装置12における第2耐タンパー性デバイス211、第2メモリー231、第2入力部232、第2出力部233、第2通信部234、第2制御部235の構成および動作は、それぞれ、第1暗号通信装置11における第1耐タンパー性デバイス111、第1メモリー131、第1入力部132、第1出力部133、第1通信部134、第1制御部135の構成および動作と同様である。
第2暗号通信装置12の構成および動作の概要は、第1暗号通信装置11の構成および動作の概要と同様である。
具体的には、第2暗号通信装置12における第2耐タンパー性デバイス211、第2メモリー231、第2入力部232、第2出力部233、第2通信部234、第2制御部235の構成および動作は、それぞれ、第1暗号通信装置11における第1耐タンパー性デバイス111、第1メモリー131、第1入力部132、第1出力部133、第1通信部134、第1制御部135の構成および動作と同様である。
【0022】
第2鍵生成関数312は、第1鍵生成関数311とは異なる。
第2個別情報332は、暗号通信システム1において第2暗号通信装置12に固有の情報である。
第2暗号通信装置12は、第2ユーザーによって操作される。
第2ユーザーは、第1ユーザーとは異なってもよく、または、第1ユーザーと同じ者であってもよい。
第2個別情報332は、暗号通信システム1において第2暗号通信装置12に固有の情報である。
第2暗号通信装置12は、第2ユーザーによって操作される。
第2ユーザーは、第1ユーザーとは異なってもよく、または、第1ユーザーと同じ者であってもよい。
【0023】
ここで、暗号通信システム1は、第1暗号通信装置11および第2暗号通信装置12以外に、他の暗号通信装置を備えてもよい。当該他の暗号通信装置の構成および動作についても、例えば、鍵生成関数および個別情報を除いて、第1暗号通信装置11と同様である。
【0024】
図2は、第1暗号通信装置11と第2暗号通信装置12との間で行われる暗号通信の処理の流れを示す図である。
第1暗号通信装置11において行われる処理T1~T5、第2暗号通信装置12において行われる処理T11~T15、および、第1暗号通信装置11と第2暗号通信装置12との通信により行われる処理T21~T23を説明する。
第1暗号通信装置11において行われる処理T1~T5、第2暗号通信装置12において行われる処理T11~T15、および、第1暗号通信装置11と第2暗号通信装置12との通信により行われる処理T21~T23を説明する。
【0025】
処理T1で、第1暗号通信装置11では、第1鍵生成関数311を組み込む。この処理は、第1暗号通信装置11に対して第1耐タンパー性デバイス111が着脱可能である場合に、第1ユーザーなどが第1暗号通信装置11に第1耐タンパー性デバイス111を装着する処理である。このため、第1暗号通信装置11に第1耐タンパー性デバイス111が既に装着されている場合、あるいは、第1暗号通信装置11に第1耐タンパー性デバイス111が一体化されている場合には、処理T1は省略される。
【0026】
処理T2で、第1暗号通信装置11では、第2個別情報332を取得する。本例では、第1ユーザーが第1入力部132の操作部を操作することで、その操作に応じた第2個別情報332を第1入力部132が入力し、これにより、第1暗号通信装置11では、第2個別情報332を取得する。
他の例として、第2暗号通信装置12が第2通信部234によって第2個別情報332を第1暗号通信装置11に送信し、第1暗号通信装置11が第1通信部134によって第2個別情報332を受信することで、第2個別情報332を取得してもよい。
他の例として、第2暗号通信装置12が第2通信部234によって第2個別情報332を第1暗号通信装置11に送信し、第1暗号通信装置11が第1通信部134によって第2個別情報332を受信することで、第2個別情報332を取得してもよい。
【0027】
処理T3で、第1暗号通信装置11では、第1耐タンパー性デバイス111が、第1鍵生成関数311と、入力された第2個別情報332を用いて、共通鍵を生成する。当該共通鍵を第12共通鍵と呼んで説明する。本例では、第1暗号通信装置11では、第12共通鍵は第1メモリー131に記憶される。
【0028】
処理T11で、第2暗号通信装置12では、第2鍵生成関数312を組み込む。この処理は、第1暗号通信装置11における処理T1と同様である。
処理T12で、第2暗号通信装置12では、第1個別情報331を取得する。この処理は、第1暗号通信装置11における処理T2と同様である。
処理T13で、第2暗号通信装置12では、第2耐タンパー性デバイス211が、第2鍵生成関数312と、入力された第1個別情報331を用いて、共通鍵を生成する。当該共通鍵を第21共通鍵と呼んで説明する。本例では、第2暗号通信装置12では、第21共通鍵は第2メモリー231に記憶される。
第12共通鍵と第21共通鍵とは、同じ共通鍵となる。
処理T12で、第2暗号通信装置12では、第1個別情報331を取得する。この処理は、第1暗号通信装置11における処理T2と同様である。
処理T13で、第2暗号通信装置12では、第2耐タンパー性デバイス211が、第2鍵生成関数312と、入力された第1個別情報331を用いて、共通鍵を生成する。当該共通鍵を第21共通鍵と呼んで説明する。本例では、第2暗号通信装置12では、第21共通鍵は第2メモリー231に記憶される。
第12共通鍵と第21共通鍵とは、同じ共通鍵となる。
【0029】
処理T4で、第1暗号通信装置11では、第1耐タンパー性デバイス111が、第12共通鍵と、第1個別情報331を用いて、認証子を生成する。当該認証子を第1認証子と呼んで説明する。
処理T14で、第2暗号通信装置12では、第2耐タンパー性デバイス211が、第21共通鍵と、第2個別情報332を用いて、認証子を生成する。当該認証子を第2認証子と呼んで説明する。
なお、認証子としては、ID情報であるMACが用いられてもよく、あるいは、他の情報が用いられてもよい。当該他の情報は、時刻情報を通信するデータなどであってもよい。
処理T14で、第2暗号通信装置12では、第2耐タンパー性デバイス211が、第21共通鍵と、第2個別情報332を用いて、認証子を生成する。当該認証子を第2認証子と呼んで説明する。
なお、認証子としては、ID情報であるMACが用いられてもよく、あるいは、他の情報が用いられてもよい。当該他の情報は、時刻情報を通信するデータなどであってもよい。
【0030】
処理T21で、第1暗号通信装置11では、第1通信部134によって、第1認証子を第2暗号通信装置12に送信する。第2暗号通信装置12では、第2通信部234によって、第1認証子を受信する。
【0031】
処理T15で、第2暗号通信装置12では、第2耐タンパー性デバイス211が、第21共通鍵を用いて受信した第1認証子を復号し、その復号結果に基づいて認証を行う。
本例では、第2暗号通信装置12において、この認証により、第1暗号通信装置11が正規の装置であることが判定された場合を想定する。この場合、次の処理T22が行われる。
一方、第2暗号通信装置12において、第1暗号通信装置11が正規の装置ではないことが判定された場合には、異常の通知などのように、あらかじめ定められた処理を実行する。この場合、次の処理T22は行われなくてもよい。
本例では、第2暗号通信装置12において、この認証により、第1暗号通信装置11が正規の装置であることが判定された場合を想定する。この場合、次の処理T22が行われる。
一方、第2暗号通信装置12において、第1暗号通信装置11が正規の装置ではないことが判定された場合には、異常の通知などのように、あらかじめ定められた処理を実行する。この場合、次の処理T22は行われなくてもよい。
【0032】
処理T22で、第2暗号通信装置12では、第2通信部234によって、第2認証子を第1暗号通信装置11に送信する。第1暗号通信装置11では、第1通信部134によって、第2認証子を受信する。
【0033】
処理T5で、第1暗号通信装置11では、第1耐タンパー性デバイス111が、第12共通鍵を用いて受信した第2認証子を復号し、その復号結果に基づいて認証を行う。
本例では、第1暗号通信装置11において、この認証により、第2暗号通信装置12が正規の装置であることが判定された場合を想定する。この場合、次の処理T23が行われる。
一方、第1暗号通信装置11において、第2暗号通信装置12が正規の装置ではないことが判定された場合には、異常の通知などのように、あらかじめ定められた処理を実行する。この場合、次の処理T23は行われなくてもよい。
本例では、第1暗号通信装置11において、この認証により、第2暗号通信装置12が正規の装置であることが判定された場合を想定する。この場合、次の処理T23が行われる。
一方、第1暗号通信装置11において、第2暗号通信装置12が正規の装置ではないことが判定された場合には、異常の通知などのように、あらかじめ定められた処理を実行する。この場合、次の処理T23は行われなくてもよい。
【0034】
処理T23で、第1暗号通信装置11と第2暗号通信装置12とは、互いに通信して、相互認証を完了する。
【0035】
ここで、第1暗号通信装置11における一連の処理T1~T3および第2暗号通信装置12における一連の処理T11~T13は、以降の処理T4~T5、T14~T15、T21~T23とは独立に行われてもよい。
また、第1暗号通信装置11における一連の処理T1~T3と、第2暗号通信装置12における一連の処理T11~T13とは、それぞれ独立して行われてもよく、時間的に並行して行われてもよい。
また、第1暗号通信装置11における一連の処理T1~T3と、第2暗号通信装置12における一連の処理T11~T13とは、それぞれ独立して行われてもよく、時間的に並行して行われてもよい。
【0036】
また、第1暗号通信装置11における処理T4と、第2暗号通信装置12における処理T14とは、それぞれ独立して行われてもよく、時間的に並行して行われてもよい。
また、処理T21および処理T15による認証と、処理T22および処理T5による認証とは、時間的に並行して行われてもよい。つまり、処理T21、処理T22、処理T15、処理T5の順序、あるいは、処理T21、処理T22、処理T5、処理T15の順序が用いられてもよく、また、処理5と処理T15とは、時間的に並行して行われてもよい。
また、処理T21および処理T15による認証と、処理T22および処理T5による認証とは、時間的に並行して行われてもよい。つまり、処理T21、処理T22、処理T15、処理T5の順序、あるいは、処理T21、処理T22、処理T5、処理T15の順序が用いられてもよく、また、処理5と処理T15とは、時間的に並行して行われてもよい。
【0037】
図3は、共通鍵の生成の様子を示す図である。
第1暗号通信装置11では、第1耐タンパー性デバイス111が、第1鍵生成関数311と、入力された第2個別情報332であるIDbを用いて、第12共通鍵であるKabを生成する。ここで、IDbは第2個別情報332を表し、Kabは第12共通鍵を表す。
第2暗号通信装置12では、第2耐タンパー性デバイス211が、第2鍵生成関数312と、入力された第1個別情報331であるIDaを用いて、第21共通鍵であるKbaを生成する。ここで、IDaは第1個別情報331を表し、Kbaは第21共通鍵を表す。
第1暗号通信装置11では、第1耐タンパー性デバイス111が、第1鍵生成関数311と、入力された第2個別情報332であるIDbを用いて、第12共通鍵であるKabを生成する。ここで、IDbは第2個別情報332を表し、Kabは第12共通鍵を表す。
第2暗号通信装置12では、第2耐タンパー性デバイス211が、第2鍵生成関数312と、入力された第1個別情報331であるIDaを用いて、第21共通鍵であるKbaを生成する。ここで、IDaは第1個別情報331を表し、Kbaは第21共通鍵を表す。
【0038】
図4は、認証子の生成の様子を示す図である。
第1暗号通信装置11では、第1耐タンパー性デバイス111が、第12共通鍵であるKabと、第1個別情報331であるIDaを用いて、第1認証子である認証子1を生成する。ここで、認証子1は第1認証子を表す。
第2暗号通信装置12では、第2耐タンパー性デバイス211が、第21共通鍵であるKbaと、第2個別情報332であるIDbを用いて、第2認証子である認証子2を生成する。ここで、認証子2は第2認証子を表す。
第1暗号通信装置11では、第1耐タンパー性デバイス111が、第12共通鍵であるKabと、第1個別情報331であるIDaを用いて、第1認証子である認証子1を生成する。ここで、認証子1は第1認証子を表す。
第2暗号通信装置12では、第2耐タンパー性デバイス211が、第21共通鍵であるKbaと、第2個別情報332であるIDbを用いて、第2認証子である認証子2を生成する。ここで、認証子2は第2認証子を表す。
【0039】
図5は、正規の装置により生成される共通鍵を示す図である。
暗号通信システム1において、第1暗号通信装置11と第2暗号通信装置12は、正規の装置である。
第1装置情報411は、第1暗号通信装置11により保持される情報であり、第1鍵生成関数311であるSaと、第1個別情報331であるIDaを含む。ここで、Saは第1鍵生成関数311を表す。図5に示されるように、第12共通鍵であるKabは、第2個別情報332であるIDbに第1鍵生成関数311であるSaを施した結果であるSa(IDb)となる。
第2装置情報421は、第2暗号通信装置12により保持される情報であり、第2鍵生成関数312であるSbと、第2個別情報332であるIDbを含む。ここで、Sbは第2鍵生成関数312を表す。図5に示されるように、第21共通鍵であるKbaは、第1個別情報331であるIDaに第2鍵生成関数312であるSbを施した結果であるSb(IDa)となる。
図5の例では、第1暗号通信装置11および第2暗号通信装置12が正規の装置であり、相互認証される。
暗号通信システム1において、第1暗号通信装置11と第2暗号通信装置12は、正規の装置である。
第1装置情報411は、第1暗号通信装置11により保持される情報であり、第1鍵生成関数311であるSaと、第1個別情報331であるIDaを含む。ここで、Saは第1鍵生成関数311を表す。図5に示されるように、第12共通鍵であるKabは、第2個別情報332であるIDbに第1鍵生成関数311であるSaを施した結果であるSa(IDb)となる。
第2装置情報421は、第2暗号通信装置12により保持される情報であり、第2鍵生成関数312であるSbと、第2個別情報332であるIDbを含む。ここで、Sbは第2鍵生成関数312を表す。図5に示されるように、第21共通鍵であるKbaは、第1個別情報331であるIDaに第2鍵生成関数312であるSbを施した結果であるSb(IDa)となる。
図5の例では、第1暗号通信装置11および第2暗号通信装置12が正規の装置であり、相互認証される。
【0040】
図6は、不正な装置により生成される共通鍵を示す図である。
図示しない第3暗号通信装置は、暗号通信システム1において、不正な装置であるとする。そして、第3暗号通信装置は、第1個別情報331を不正に取得して記憶している。
不正な第3暗号通信装置が正規の第2暗号通信装置12との認証を試みる場合について説明する。
図示しない第3暗号通信装置は、暗号通信システム1において、不正な装置であるとする。そして、第3暗号通信装置は、第1個別情報331を不正に取得して記憶している。
不正な第3暗号通信装置が正規の第2暗号通信装置12との認証を試みる場合について説明する。
【0041】
第3装置情報431は、第3暗号通信装置により保持される情報であり、第3鍵生成関数であるScと、第1個別情報331であるIDaを含む。ここで、Scは第3鍵生成関数を表す。
第3暗号通信装置では、第3鍵生成関数であるScと、入力された第2個別情報332であるIDbを用いて、共通鍵であるKcbを生成する。当該共通鍵を第32共通鍵と呼んで説明する。ここで、Kcbは、第32共通鍵を表す。図6に示されるように、第32共通鍵であるKcbは、第2個別情報332であるIDbに第3鍵生成関数であるScを施した結果であるSc(IDb)となる。
第3暗号通信装置では、第3鍵生成関数であるScと、入力された第2個別情報332であるIDbを用いて、共通鍵であるKcbを生成する。当該共通鍵を第32共通鍵と呼んで説明する。ここで、Kcbは、第32共通鍵を表す。図6に示されるように、第32共通鍵であるKcbは、第2個別情報332であるIDbに第3鍵生成関数であるScを施した結果であるSc(IDb)となる。
【0042】
第2装置情報421は、第2暗号通信装置12により保持される情報であり、第2鍵生成関数312であるSbと、第2個別情報332であるIDbを含む。
第2暗号通信装置12には、第3暗号通信装置から第1個別情報331が通知される。このため、第2暗号通信装置12では、第21共通鍵が生成される。図6に示されるように、第21共通鍵であるKbaは、第1個別情報331であるIDaに第2鍵生成関数312であるSbを施した結果であるSb(IDa)となる。
第2暗号通信装置12には、第3暗号通信装置から第1個別情報331が通知される。このため、第2暗号通信装置12では、第21共通鍵が生成される。図6に示されるように、第21共通鍵であるKbaは、第1個別情報331であるIDaに第2鍵生成関数312であるSbを施した結果であるSb(IDa)となる。
【0043】
この場合、第3暗号通信装置で生成される第32共通鍵と、第2暗号通信装置12で生成される第21共通鍵とは、異なる共通鍵となる。このため、第2暗号通信装置12では、第3暗号通信装置が正規の装置ではないと判定する。
このように、図6の例では、第3暗号通信装置が不正な装置であり、第3暗号通信装置と第2暗号通信装置12とでは、相互認証が成立しない。
このように、図6の例では、第3暗号通信装置が不正な装置であり、第3暗号通信装置と第2暗号通信装置12とでは、相互認証が成立しない。
【0044】
ここでは、第3暗号通信装置に第1個別情報が不正に記憶されている場合を示したが、第3暗号通信装置を操作する不正な第3ユーザーが、第2暗号通信装置12に第1個別情報を入力させる場合についても同様である。
【0045】
このように、暗号通信システム1では、第1暗号通信装置11の第1個別情報331および第2暗号通信装置12の第2個別情報332が第三者に知られても、いわゆるなりすましを防止することができる。
暗号通信システム1では、暗号通信時よりも前に第1暗号通信装置11の第1耐タンパー性デバイス111に第1鍵生成関数311が記憶され、暗号通信時よりも前に第2暗号通信装置12の第2耐タンパー性デバイス211に第2鍵生成関数312が記憶されることで、なりすましによる攻撃に対する耐性がある。
暗号通信システム1では、暗号通信時よりも前に第1暗号通信装置11の第1耐タンパー性デバイス111に第1鍵生成関数311が記憶され、暗号通信時よりも前に第2暗号通信装置12の第2耐タンパー性デバイス211に第2鍵生成関数312が記憶されることで、なりすましによる攻撃に対する耐性がある。
【0046】
図7は、変形例に係る第1a暗号通信装置11aを示す図である。
第1a暗号通信装置11aは、図1に示される第1暗号通信装置11の変形例であり、図1と同様な構成部については同じ符号を付してあり詳しい説明を省略する。
概略的には、第1a暗号通信装置11aでは、図1に示される第1暗号通信装置11と比べて、第1耐タンパー性デバイス111の変形例である第1a耐タンパー性デバイス111aの機能が異なる。
第1a暗号通信装置11aでは、第1a耐タンパー性デバイス111aが、生成した第12共通鍵412を記憶する。これにより、第1a暗号通信装置11aでは、第12共通鍵412が外部から読み取られないようになる。これにより、第1a暗号通信装置11aでは、暗号通信の安全性をより高めることができる。
また、さらに他の変形例として、第1a耐タンパー性デバイス111aは、第12共通鍵412を生成する制御部として、第1制御部135と同様な機能を有する制御部を備えていてもよい。これにより、第1a耐タンパー性デバイス111a内で第12共通鍵412を生成することができる。そのため、第1a暗号通信装置11aは、暗号通信の安全性をさらに高めることができる。なお、この構成では、第1a暗号通信装置11aは、第1制御部135を備えなくてもよいが、第1a耐タンパー性デバイス111aの制御部とは別に、任意の制御部を備えていてもよい。
ここでは、以上の変形例に係る第1a暗号通信装置11aについて説明したが、図1に示される第2暗号通信装置12についても同様な変形例が実施されてもよい。
第1a暗号通信装置11aは、図1に示される第1暗号通信装置11の変形例であり、図1と同様な構成部については同じ符号を付してあり詳しい説明を省略する。
概略的には、第1a暗号通信装置11aでは、図1に示される第1暗号通信装置11と比べて、第1耐タンパー性デバイス111の変形例である第1a耐タンパー性デバイス111aの機能が異なる。
第1a暗号通信装置11aでは、第1a耐タンパー性デバイス111aが、生成した第12共通鍵412を記憶する。これにより、第1a暗号通信装置11aでは、第12共通鍵412が外部から読み取られないようになる。これにより、第1a暗号通信装置11aでは、暗号通信の安全性をより高めることができる。
また、さらに他の変形例として、第1a耐タンパー性デバイス111aは、第12共通鍵412を生成する制御部として、第1制御部135と同様な機能を有する制御部を備えていてもよい。これにより、第1a耐タンパー性デバイス111a内で第12共通鍵412を生成することができる。そのため、第1a暗号通信装置11aは、暗号通信の安全性をさらに高めることができる。なお、この構成では、第1a暗号通信装置11aは、第1制御部135を備えなくてもよいが、第1a耐タンパー性デバイス111aの制御部とは別に、任意の制御部を備えていてもよい。
ここでは、以上の変形例に係る第1a暗号通信装置11aについて説明したが、図1に示される第2暗号通信装置12についても同様な変形例が実施されてもよい。
【0047】
本実施形態に係る第1暗号通信装置11では、第1入力部132および第1出力部133を備えたが、他の構成例として、第1入力部132および第1出力部133の一方または両方の機能が使用されない場合には、使用されない第1入力部132および第1出力部133の一方または両方を備えなくてもよい。
ここでは、第1暗号通信装置11について説明したが、第2暗号通信装置12についても同様である。
ここでは、第1暗号通信装置11について説明したが、第2暗号通信装置12についても同様である。
【0048】
本実施形態に係る第1暗号通信装置11と第2暗号通信装置12とは、第1認証子と第2認証子を用いて相互認証を行っていたが、他の認証方法として一般的な認証方式が用いられてもよい。例えば、第1暗号通信装置11と第2暗号通信装置12とは、チャレンジアンドレスポンス方式などの認証方式で認証をしてもよい。
【0049】
本実施形態に係る第1暗号通信装置11と第2暗号通信装置12とは、第1認証子と第2認証子を用いて相互認証を行っていたが、第1暗号通信装置11と第2暗号通信装置12とは、相互認証しなくてもよい。
この場合、第1暗号通信装置11は、第1鍵生成関数311と第2個別情報332とを基に生成した第12共通鍵を用いて第2暗号通信装置12より送信される暗号文を復号する。これにより、第1暗号通信装置11は、第2暗号通信装置12より送信される暗号文を復号することができる。そのため、第1暗号通信装置11は、間接的に通信相手が第2暗号通信装置12であると認識することができる。
一方、第1暗号通信装置11との通信相手が第2暗号通信装置12になりすましをしている暗号通信装置であった場合、第1暗号通信装置11は、なりすましの暗号通信装置から送信された暗号文を復号することができない。そのため、第1暗号通信装置11は、第2暗号通信装置12を認証しなくとも、暗号通信における機密性を保持することができる。
ここでは、第1暗号通信装置11について説明したが、第2暗号通信装置12についても同様である。
この場合、第1暗号通信装置11は、第1鍵生成関数311と第2個別情報332とを基に生成した第12共通鍵を用いて第2暗号通信装置12より送信される暗号文を復号する。これにより、第1暗号通信装置11は、第2暗号通信装置12より送信される暗号文を復号することができる。そのため、第1暗号通信装置11は、間接的に通信相手が第2暗号通信装置12であると認識することができる。
一方、第1暗号通信装置11との通信相手が第2暗号通信装置12になりすましをしている暗号通信装置であった場合、第1暗号通信装置11は、なりすましの暗号通信装置から送信された暗号文を復号することができない。そのため、第1暗号通信装置11は、第2暗号通信装置12を認証しなくとも、暗号通信における機密性を保持することができる。
ここでは、第1暗号通信装置11について説明したが、第2暗号通信装置12についても同様である。
【0050】
以上のように、本実施形態に係る暗号通信システム1では、第1暗号通信装置11は、第1個別情報331と、第1耐タンパー性デバイス111に保護された第1鍵生成関数311と、を有する。同様に、第2暗号通信装置12は、第2個別情報332と、第2耐タンパー性デバイス211に保護された第2鍵生成関数312と、を有する。
第1暗号通信装置11は、第1鍵生成関数311と、他方の第2暗号通信装置12の第2個別情報332とから、第12共通鍵を生成する。同様に、第2暗号通信装置12は、第2鍵生成関数312と、他方の第1暗号通信装置11の第1個別情報331とから、第21共通鍵を生成する。このように、第1暗号通信装置11および第2暗号通信装置12は、別々に共通鍵を生成する。
第1暗号通信装置11は、第1鍵生成関数311と、他方の第2暗号通信装置12の第2個別情報332とから、第12共通鍵を生成する。同様に、第2暗号通信装置12は、第2鍵生成関数312と、他方の第1暗号通信装置11の第1個別情報331とから、第21共通鍵を生成する。このように、第1暗号通信装置11および第2暗号通信装置12は、別々に共通鍵を生成する。
【0051】
このような構成により、第1暗号通信装置11および第2暗号通信装置12ではそれぞれの鍵生成関数と相手の個別情報を用いて共通鍵を生成するため、第三者にいずれかの個別情報が漏洩して、第3暗号通信装置で使用されても、第3暗号通信装置で生成される共通鍵は正規の共通鍵とは異なる共通鍵となる。したがって、暗号通信システム1では、簡易な暗号通信システムとすることを可能としつつ、第三者にいずれかの暗号通信装置の個別情報が漏洩したとしても、なりすましを低減させることができる。
【0052】
第1暗号通信装置11および第2暗号通信装置12では相手の個別情報を用いて共通鍵を生成するため、公開鍵を用いた共通鍵を生成する際に必要であった委託計算装置が使用される必要がなくなり、これにより、暗号通信装置を簡易化することができる。
暗号通信システム1では、予備通信不要な鍵共有方式により、第1暗号通信装置11と第2暗号通信装置12とで、ダイレクトに、簡易に相互認証の手続きを行うことができる。暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12とがダイレクトに暗号通信を行う場合には、認証の際に、ネットワーク環境を不要とすることができる。
暗号通信システム1では、予備通信不要な鍵共有方式により、第1暗号通信装置11と第2暗号通信装置12とで、ダイレクトに、簡易に相互認証の手続きを行うことができる。暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12とがダイレクトに暗号通信を行う場合には、認証の際に、ネットワーク環境を不要とすることができる。
【0053】
このように、本実施形態に係る暗号通信システム1では、処理性能をほぼ必要としない軽量化暗号技術の一つであるIDベース等を利用することにより、機器の処理性能に関わらず、処理時間の効率化の低下を防止しつつ、安全性の高い認証付き鍵共有が可能となる。
【0054】
ここで、従来の技術の課題を示しつつ、本実施形態に係る暗号通信システム1の効果の具体例を説明する。
従来、認証付き鍵共有プロトコルにより、機器間で暗号通信を行うための共有鍵を生成する鍵共有システムが知られていた。このような鍵共有システムでは、機器の処理性能に関わらず、処理時間の効率の低下を防止しつつ安全性の高い共有鍵を生成するために、主にペアリング演算を使用し、各機器が委託計算装置に秘密鍵に関する演算処理を委託することで、鍵生成、鍵共有および認証を暗号通信により実現している。
従来、認証付き鍵共有プロトコルにより、機器間で暗号通信を行うための共有鍵を生成する鍵共有システムが知られていた。このような鍵共有システムでは、機器の処理性能に関わらず、処理時間の効率の低下を防止しつつ安全性の高い共有鍵を生成するために、主にペアリング演算を使用し、各機器が委託計算装置に秘密鍵に関する演算処理を委託することで、鍵生成、鍵共有および認証を暗号通信により実現している。
【0055】
例えば、従来、秘密鍵の管理および鍵配送の問題を解決する手法として、メールシステム等で使用されていたIDベースの手法が知られていた。例えば、IDを分割する第四世代鍵共有方式では、鍵発行センターを複数個設置することで、BigBrother問題を解決し、さらに、高速性、所要メモリー、結託閾値等をシステム環境に応じて勘案しつつ、パラメーターを柔軟に設定することが可能である。
【0056】
しかしながら、従来のIoTデバイス間の相互認証方法では、固有のマスター鍵が必要であり、さらに認証する相手が決まってしまうため、固有認証であり、各IoTデバイス間での認証ができなかった。
これに対して、本実施形態に係る暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12との間での認証が可能である。これにより、例えば、IoTデバイス間での認証が可能となる。
これに対して、本実施形態に係る暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12との間での認証が可能である。これにより、例えば、IoTデバイス間での認証が可能となる。
【0057】
従来、ペアリング演算を用いる公開鍵暗号方式の技術では、演算処理の負荷が高く、処理能力が高いデバイスが必要であったため、処理能力が高くないIoTデバイスには適さない場合があった。このような技術では、例えば、一定程度以上の演算処理性能を備えた委託計算装置がインターネットに設けられることが必要であった。
これに対して、本実施形態に係る暗号通信システム1では、ペアリング演算を用いない鍵生成関数を採用することで、処理能力が高くないIoTデバイスにも適しており、リアルタイム性の確保をし易くすることができる。また、本実施形態に係る暗号通信システム1では、鍵発行センターあるいは委託計算装置を設けることを不要とすることができる。
なお、本実施形態に係る暗号通信システム1では、ペアリング演算を用いる鍵生成関数が使用されてもよい。
これに対して、本実施形態に係る暗号通信システム1では、ペアリング演算を用いない鍵生成関数を採用することで、処理能力が高くないIoTデバイスにも適しており、リアルタイム性の確保をし易くすることができる。また、本実施形態に係る暗号通信システム1では、鍵発行センターあるいは委託計算装置を設けることを不要とすることができる。
なお、本実施形態に係る暗号通信システム1では、ペアリング演算を用いる鍵生成関数が使用されてもよい。
【0058】
従来のIDベースあるいはKPSの暗号技術では、結託問題が存在し、安全性が十分でない場合があった。結託問題とは、公開鍵の要素数と同じ数のユーザーが結託して互いの秘密鍵を見せ合うと、PKGの秘密鍵であるマスター鍵が露呈してしまうという問題である。
これに対して、本実施形態に係る暗号通信システム1では、結託問題に対しての耐性を高めることができ、安全性を高めることができる。
これに対して、本実施形態に係る暗号通信システム1では、結託問題に対しての耐性を高めることができ、安全性を高めることができる。
【0059】
従来、全てのデバイスに通信対象数と同数の鍵を備える構成では、後から通信相手を増やせないこと、および鍵のデータ量が膨大となるといったように、鍵管理が難しく、現実的ではない場合があった。
これに対して、本実施形態に係る暗号通信システム1では、第1暗号通信装置11および第2暗号通信装置12がそれぞれの鍵生成関数を保持し、相手の個別情報を用いて共通鍵を生成する構成であるため、鍵管理がし易い。本実施形態に係る暗号通信システム1では、第1暗号通信装置11および第2暗号通信装置12は、相手ごとに異なる鍵を記憶しなくても、相手ごとに異なる鍵を共有することができる。また、本実施形態に係る暗号通信システム1では、サーバー装置、あるいは、委託計算装置等の高処理性能装置を設けることが不要である。
これに対して、本実施形態に係る暗号通信システム1では、第1暗号通信装置11および第2暗号通信装置12がそれぞれの鍵生成関数を保持し、相手の個別情報を用いて共通鍵を生成する構成であるため、鍵管理がし易い。本実施形態に係る暗号通信システム1では、第1暗号通信装置11および第2暗号通信装置12は、相手ごとに異なる鍵を記憶しなくても、相手ごとに異なる鍵を共有することができる。また、本実施形態に係る暗号通信システム1では、サーバー装置、あるいは、委託計算装置等の高処理性能装置を設けることが不要である。
【0060】
本実施形態に係る暗号通信システム1の応用例を説明する。
暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12との間で、鍵共有が為された後に相互認証が行われた後におけるアプリケーションとしては、任意のアプリケーションに適用されてもよい。つまり、第1暗号通信装置11および第2暗号通信装置12を含む暗号通信システム1は、暗号通信を利用する任意のシステムに適用されてもよい。
暗号通信システム1では、第1暗号通信装置11と第2暗号通信装置12との間で、鍵共有が為された後に相互認証が行われた後におけるアプリケーションとしては、任意のアプリケーションに適用されてもよい。つまり、第1暗号通信装置11および第2暗号通信装置12を含む暗号通信システム1は、暗号通信を利用する任意のシステムに適用されてもよい。
【0061】
例えば、暗号通信システム1は、IoTデバイスどうしで時刻情報の正当性を検証するシステムに適用されてもよい。具体例として、第1暗号通信装置11は、暗号通信における証明書の有効性を検証するための内部時刻情報を保持し、外部から取得する外部時刻情報が改竄されているなどの攻撃を受けている場合に、不正な時刻情報であると判定することで、攻撃に対処する。
【0062】
例えば、暗号通信システム1は、車車間通信を行うシステムに適用されてもよい。具体例として、第1自動車の第1暗号通信装置11は、ダイレクトに、第2自動車の第2暗号通信装置12と相互認証して通信することができる。また、第1自動車の第1暗号通信装置11および第2自動車の第2暗号通信装置12は、事前に相手の個別情報を取得しておくことで、暗号文メッセージをリアルタイムで通信することが可能である。
【0063】
実施形態に係る構成例を示す。
一構成例として、暗号通信システム1は、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する第1暗号通信装置11と、第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12と、を備える。
第1暗号通信装置11は、第1鍵生成関数311と第2個別情報332とを用いて第12共通鍵412を生成する。
第2暗号通信装置12は、第2鍵生成関数312と第1個別情報331とを用いて第21共通鍵422を生成する。
一構成例として、暗号通信システム1は、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する第1暗号通信装置11と、第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12と、を備える。
第1暗号通信装置11は、第1鍵生成関数311と第2個別情報332とを用いて第12共通鍵412を生成する。
第2暗号通信装置12は、第2鍵生成関数312と第1個別情報331とを用いて第21共通鍵422を生成する。
【0064】
一構成例として、暗号通信システム1では、第12共通鍵412は、第1耐タンパー性デバイス111に記憶され、第21共通鍵422は、第2耐タンパー性デバイス211に記憶される。
【0065】
一構成例として、第1暗号通信装置11は、第12共通鍵412と第1個別情報331を用いて第1認証子を生成し、生成した第1認証子を第2暗号通信装置12に送信する。
第2暗号通信装置12は、第21共通鍵422を用いて、第1暗号通信装置11から受信した第1認証子を復号する。
第2暗号通信装置12は、第1認証子の復号結果に基づいて、第1暗号通信装置11の認証を行う。
第2暗号通信装置12は、第21共通鍵422を用いて、第1暗号通信装置11から受信した第1認証子を復号する。
第2暗号通信装置12は、第1認証子の復号結果に基づいて、第1暗号通信装置11の認証を行う。
【0066】
一構成例として、第2暗号通信装置12は、第21共通鍵422と第2個別情報332を用いて第2認証子を生成し、生成した第2認証子を第1暗号通信装置11に送信する。
第1暗号通信装置11は、第12共通鍵412を用いて、第2暗号通信装置12から受信した第2認証子を復号する。
第1暗号通信装置11は、第2認証子の復号結果に基づいて、第2暗号通信装置12の認証を行う。
第1暗号通信装置11は、第12共通鍵412を用いて、第2暗号通信装置12から受信した第2認証子を復号する。
第1暗号通信装置11は、第2認証子の復号結果に基づいて、第2暗号通信装置12の認証を行う。
【0067】
暗号通信方法が実施されてもよい。
一構成例として、暗号通信方法では、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する第1暗号通信装置11が、第1鍵生成関数311と第2暗号通信装置12の第2個別情報332とを用いて第12共通鍵412を生成する。
第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12が、第2鍵生成関数312と第1個別情報331とを用いて第21共通鍵422を生成する。
一構成例として、暗号通信方法では、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する第1暗号通信装置11が、第1鍵生成関数311と第2暗号通信装置12の第2個別情報332とを用いて第12共通鍵412を生成する。
第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12が、第2鍵生成関数312と第1個別情報331とを用いて第21共通鍵422を生成する。
【0068】
暗号通信装置が実施されてもよい。
一構成例として、暗号通信装置は、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する暗号通信装置であって、第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12の第2個別情報332を取得し、取得した第2個別情報332と第1鍵生成関数311とを用いて第12共通鍵412を生成する。
ここで、当該暗号通信装置の一例は、実施形態に係る第1暗号通信装置11である。
一構成例として、暗号通信装置は、第1鍵生成関数311を記憶する第1耐タンパー性デバイス111と、第1個別情報331を記憶する第1記憶部と、を有する暗号通信装置であって、第2鍵生成関数312を記憶する第2耐タンパー性デバイス211と、第2個別情報332を記憶する第2記憶部と、を有する第2暗号通信装置12の第2個別情報332を取得し、取得した第2個別情報332と第1鍵生成関数311とを用いて第12共通鍵412を生成する。
ここで、当該暗号通信装置の一例は、実施形態に係る第1暗号通信装置11である。
【0069】
以上に説明した任意の装置における任意の構成部の機能を実現するためのプログラムを、コンピューター読み取り可能な記録媒体に記録し、そのプログラムをコンピューターシステムに読み込ませて実行するようにしてもよい。ここでいう「コンピューターシステム」は、オペレーティングシステムあるいは周辺機器等のハードウェアを含むものとする。「コンピューター読み取り可能な記録媒体」は、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、CD(Compact Disc)-ROM等の可搬媒体、コンピューターシステムに内蔵されるハードディスク等の記憶装置である。「コンピューター読み取り可能な記録媒体」は、インターネット等のネットワークあるいは電話回線等の通信回線を介してプログラムが送信された場合のサーバーあるいはクライアントとなるコンピューターシステム内部の揮発性メモリーのように、一定時間プログラムを保持しているものも含むものとする。当該揮発性メモリーは、RAMであってもよい。記録媒体は、非一時的記録媒体であってもよい。
【0070】
上記のプログラムは、このプログラムを記憶装置等に格納したコンピューターシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピューターシステムに伝送されてもよい。プログラムを伝送する「伝送媒体」は、インターネット等のネットワークあるいは電話回線等の通信回線のように情報を伝送する機能を有する媒体のことをいう。
上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。上記のプログラムは、前述した機能をコンピューターシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイルであってもよい。差分ファイルは、差分プログラムと呼ばれてもよい。
上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。上記のプログラムは、前述した機能をコンピューターシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイルであってもよい。差分ファイルは、差分プログラムと呼ばれてもよい。
【0071】
以上に説明した任意の装置における任意の構成部の機能は、プロセッサーにより実現されてもよい。実施形態における各処理は、プログラム等の情報に基づき動作するプロセッサーと、プログラム等の情報を記憶するコンピューター読み取り可能な記録媒体により実現されてもよい。プロセッサーは、各部の機能が個別のハードウェアで実現されてもよく、あるいは、各部の機能が一体のハードウェアで実現されてもよい。プロセッサーはハードウェアを含み、当該ハードウェアは、デジタル信号を処理する回路及びアナログ信号を処理する回路のうちの少なくとも一方を含んでもよい。プロセッサーは、回路基板に実装された1または複数の回路装置、あるいは、1または複数の回路素子のうちの一方または両方を用いて、構成されてもよい。回路装置としてはIC(Integrated Circuit)などが用いられてもよく、回路素子としては抵抗あるいはキャパシターなどが用いられてもよい。
【0072】
プロセッサーは、CPUであってもよい。ただし、プロセッサーは、CPUに限定されるものではなく、GPU(Graphics Processing Unit)、あるいは、DSP(Digital Signal Processor)等のような、各種のプロセッサーが用いられてもよい。プロセッサーは、ASIC(Application Specific Integrated Circuit)によるハードウェア回路であってもよい。プロセッサーは、複数のCPUにより構成されていてもよく、あるいは、複数のASICによるハードウェア回路により構成されていてもよい。プロセッサーは、複数のCPUと、複数のASICによるハードウェア回路と、の組み合わせにより構成されていてもよい。プロセッサーは、アナログ信号を処理するアンプ回路あるいはフィルター回路等のうちの1以上を含んでもよい。
【0073】
以上、実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0074】
1…暗号通信システム、11…第1暗号通信装置、11a…第1a暗号通信装置、12…第2暗号通信装置、111…第1耐タンパー性デバイス、111a…第1a耐タンパー性デバイス、131…第1メモリー、132…第1入力部、133…第1出力部、134…第1通信部、135…第1制御部、211…第2耐タンパー性デバイス、231…第2メモリー、232…第2入力部、233…第2出力部、234…第2通信部、235…第2制御部、311…第1鍵生成関数、312…第2鍵生成関数、331…第1個別情報、332…第2個別情報、411…第1装置情報、412…第12共通鍵、421…第2装置情報、422…第21共通鍵、431…第3装置情報、432…第32共通鍵
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】