特許ウォッチ

公開番号2025126562
公報種別公開特許公報(A)
公開日2025-08-29
出願番号2024022852
出願日2024-02-19
発明の名称通信システム
出願人ブラザー工業株式会社
代理人弁理士法人ネクスト
主分類H04L 9/08 20060101AFI20250822BHJP(電気通信技術)
要約【課題】互いの通信相手とは異なる装置が起点となって通信を行う場合でも、通信のセキュリティを確保できる技術を提供する。
【解決手段】プリンタ20は、携帯端末装置10から受信したセッション開始通知に含まれる暗号文1をデバイス秘密鍵で復号し(S105a)、暗号文1を復号して得られた共通パスコードのサーバ電子署名をサーバ公開鍵で復号した結果、サーバ電子署名が正規のものであることが確認できた場合、共通パスコードで所定の文字列を暗号化した暗号文2(S105e)を携帯端末装置10に送信し(S106)、携帯端末装置10は、プリンタ20から受信した暗号文2をサーバ30に送信し、サーバ30は、プリンタ20から受信した暗号文2を共通パスコードで復号し(S109b)、暗号文2を復号して得られた情報が所定の文字列であることが確認できた場合、共通パスコードを用いた通信を行う。
【選択図】図5
特許請求の範囲【請求項１】
第１通信装置と、中継装置と、第２通信装置と、を備えた通信システムであって、
前記第１通信装置は、第１秘密鍵と、第２秘密鍵に対する第２公開鍵とを記憶し、
前記第２通信装置は、前記第２秘密鍵と、前記第１秘密鍵に対する第１公開鍵とを記憶し、
前記中継装置は、
認証情報を含む第１セッション要求を前記第１通信装置に送信し、
前記第１通信装置は、
前記中継装置から受信した前記第１セッション要求に含まれる前記認証情報の認証が成功した場合、セッション鍵を作成し、
前記セッション鍵に前記第１秘密鍵を用いた第１電子署名を付与し、
前記第１電子署名を付与したセッション鍵を前記第２公開鍵で暗号化した第１暗号化情報を前記中継装置に送信し、
前記中継装置は、
前記第１通信装置から受信した前記第１暗号化情報を含む第２セッション要求を前記第２通信装置に送信し、
前記第２通信装置は、
前記中継装置から受信した前記第２セッション要求に含まれる前記第１暗号化情報を前記第２秘密鍵で復号し、
前記第１暗号化情報を復号して得られた前記セッション鍵の前記第１電子署名を前記第１公開鍵で復号した結果、前記第１電子署名が正規のものであることが確認できた場合、前記セッション鍵で所定の情報を暗号化した第２暗号化情報を前記中継装置に送信し、
前記中継装置は、
前記第２通信装置から受信した前記第２暗号化情報を前記第１通信装置に送信し、
前記第１通信装置は、
前記第２通信装置から受信した前記第２暗号化情報を前記セッション鍵で復号し、
前記第２暗号化情報を復号して得られた情報が前記所定の情報であることが確認できた場合、前記セッション鍵を用いた通信を行う、
通信システム。
続きを表示（約 2,800 文字）【請求項２】
前記第１通信装置は、
前記認証情報の認証が成功した場合、前記セッション鍵に対応付けて第１セッションＩＤを記憶し、
前記第１セッションＩＤと前記第１暗号化情報とを前記中継装置に送信し、
前記中継装置は、
前記第１通信装置から受信した前記第１セッションＩＤを記憶し、
前記第２通信装置は、
前記第１電子署名が正規のものであることが確認できた場合、前記セッション鍵に対応付けて第２セッションＩＤを記憶し、
前記第２暗号化情報と前記第２セッションＩＤとを前記中継装置に送信し、
前記中継装置は、
前記第２通信装置から受信した前記第２セッションＩＤを前記第１セッションＩＤに対応付けて記憶し、
前記第１通信装置から前記第１セッションＩＤが付与された情報を受信した場合、その情報に前記第２セッションＩＤを付与して前記第２通信装置に送信し、
前記第２通信装置から前記第２セッションＩＤが付与された情報を受信した場合、その情報に前記第１セッションＩＤを付与して前記第１通信装置に送信する、
請求項１に記載の通信システム。
【請求項３】
前記中継装置は、
前記第２暗号化情報を含み、前記第１セッション要求に応じたセッションを開始するための第１確認応答を前記第１通信装置に送信する、
請求項１に記載の通信システム。
【請求項４】
前記中継装置は、
前記第１確認応答を前記第１通信装置に送信した後、前記第２セッション要求に応じたセッションを開始するための第２確認応答を前記第２通信装置に送信する、
請求項３に記載の通信システム。
【請求項５】
前記第１通信装置は、
前記第１セッション要求に応じて開始したセッションが終了したとき、前記セッション鍵を削除し、
前記第２通信装置は、
前記第２セッション要求に応じて開始したセッションが終了したとき、前記セッション鍵を削除する、
請求項１に記載の通信システム。
【請求項６】
前記第２通信装置は、
前記セッション鍵を使った通信中は、前記中継装置とは異なる別の中継装置が送信した暗号化情報の受信を拒否する、
請求項１に記載の通信システム。
【請求項７】
前記中継装置は、
チャレンジの要求を前記第１通信装置に送信し、
前記第１通信装置は、
前記中継装置から受信したチャレンジの要求に応じてチャレンジを生成し、
前記チャレンジに前記第１秘密鍵を用いた第１電子署名を付与した第１署名済チャレンジを中継装置に送信し、
前記中継装置は、
前記第１通信装置から受信した前記第１署名済チャレンジを含む電子証明書要求を前記第２通信装置に送信し、
前記第２通信装置は、
前記中継装置から受信した前記電子証明書要求に含まれる前記第１署名済チャレンジの第１電子署名を前記第１公開鍵を用いて復号した結果、前記第１電子署名が正規のものであることが確認できた場合、前記チャレンジに前記第２秘密鍵を用いた第２電子署名を付与した第２署名済チャレンジと、前記第２通信装置の識別情報及び前記第２公開鍵を含む前記電子証明書とを中継装置に送信し、
前記中継装置は、
前記第２通信装置から受信した前記第２署名済チャレンジと、前記電子証明書とを含む前記第２通信装置の登録要求を前記第１通信装置に送信し、
前記第１通信装置は、
前記中継装置から受信した前記第２署名済チャレンジと前記電子証明書とが所定条件を満たした場合、前記認証情報を生成し、
前記中継装置から受信した前記電子証明書に含まれる前記第２通信装置の識別情報に応じた情報と、前記第２公開鍵と、前記認証情報とを対応付けて記憶し、
前記認証情報を前記中継装置に送信し、
前記中継装置は、前記認証情報を記憶し、
前記所定条件は、前記第２通信装置から受信した前記電子証明書が正規なものであることが確認できたこと、かつ、前記第２署名済チャレンジの第２電子署名を前記第２公開鍵を用いて復号した結果、前記第２電子署名が正規のものであることが確認できたこと、かつ、前記第２署名済チャレンジのチャレンジが生成した前記チャレンジと一致したことを含む、
請求項１に記載の通信システム。
【請求項８】
前記セッション鍵を用いた通信において、
前記中継装置は、チャレンジの要求を前記第２通信装置に送信し、
前記第２通信装置は、
前記中継装置から受信したチャレンジの要求に応じてチャレンジを生成し、
前記セッション鍵に対応付けて前記チャレンジを記憶し、
前記セッション鍵で暗号化した前記チャレンジを前記中継装置に送信し、
前記中継装置は、
前記セッション鍵で暗号化された前記チャレンジを含み、前記第１通信装置からの指示を要求するための指示要求を前記第１通信装置に送信し、
前記第１通信装置は、
前記中継装置から前記指示要求を受信すると、暗号化された前記チャレンジを前記セッション鍵で復号し、
前記指示と復号した前記チャレンジとを前記セッション鍵で暗号化した暗号化指示を前記中継装置に送信し、
前記中継装置は、前記暗号化指示を前記第２通信装置に送信し、
前記第２通信装置は、
前記暗号化指示を前記セッション鍵で復号し、
復号した前記暗号化指示に含まれるチャレンジが、前記セッション鍵に対応付けて記憶したチャレンジと照合できた場合に、前記指示に応じた処理を実行する、
請求項１に記載の通信システム。
【請求項９】
前記第２通信装置は、処理可能量分の処理を実行可能な装置であり、
前記中継装置は、
前記指示要求として、前記第２通信装置に処理可能量の加算をさせるための指示要求を前記第１通信装置に送信し、
前記第１通信装置は、
前記指示として、前記第２通信装置に所定の処理可能量の加算をさせる指示を前記中継装置に送信し、
前記第２通信装置は、
前記指示に応じて、前記第２通信装置に記憶された処理可能量に、前記所定の処理可能量を加算する処理を実行する、
請求項８に記載の通信システム。
【請求項１０】
前記第２通信装置は、前記指示に応じた前記処理可能量の加算が完了したとき、前記チャレンジを削除する、
請求項９に記載の通信システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本願は、セキュリティの高い通信を行う通信システムに関するものである。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
特許文献１には、サーバと、サーバと通信可能であり且つ中継機能を有する携帯端末と、携帯端末と通信可能であり且つ携帯端末の中継機能を用いてサーバと通信可能である通信アダプタとを備えた通信システムが記載されている。具体的には、サーバおよび通信アダプタは、携帯端末が保有しない第１共通鍵を共有するよう構成され、サーバ、携帯端末および通信アダプタは、第１共通鍵とは異なる第２共通鍵を共有するよう構成され、サーバおよび通信アダプタは、データの暗号化に用いる鍵として、第１共通鍵および第２共通鍵を使い分けるようにしている。
【先行技術文献】
【特許文献】
【０００３】
特許第６０９７１５３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
しかし、特許文献１に記載の通信システムでは、互いの通信相手とは異なる装置が起点となって通信を行う場合に、セキュリティを確保した通信を行うことについては言及されていない。
【０００５】
本願は、互いの通信相手とは異なる装置が起点となって通信を行う場合でも、通信のセキュリティを確保できる技術を提供することを目的とする。
【課題を解決するための手段】
【０００６】
上記目的を達成するため、本願の通信システムは、第１通信装置と、中継装置と、第２通信装置と、を備えた通信システムであって、第１通信装置は、第１秘密鍵と、第２秘密鍵に対する第２公開鍵とを記憶し、第２通信装置は、第２秘密鍵と、第１秘密鍵に対する第１公開鍵とを記憶し、中継装置は、認証情報を含む第１セッション要求を第１通信装置に送信し、第１通信装置は、中継装置から受信した第１セッション要求に含まれる認証情報の認証が成功した場合、セッション鍵を作成し、セッション鍵に第１秘密鍵を用いた第１電子署名を付与し、第１電子署名を付与したセッション鍵を第２公開鍵で暗号化した第１暗号化情報を中継装置に送信し、中継装置は、第１通信装置から受信した第１暗号化情報を含む第２セッション要求を第２通信装置に送信し、第２通信装置は、中継装置から受信した第２セッション要求に含まれる第１暗号化情報を第２秘密鍵で復号し、第１暗号化情報を復号して得られたセッション鍵の第１電子署名を第１公開鍵で復号した結果、第１電子署名が正規のものであることが確認できた場合、セッション鍵で所定の情報を暗号化した第２暗号化情報を中継装置に送信し、中継装置は、第２通信装置から受信した第２暗号化情報を第１通信装置に送信し、第１通信装置は、第２通信装置から受信した第２暗号化情報をセッション鍵で復号し、第２暗号化情報を復号して得られた情報が所定の情報であることが確認できた場合、セッション鍵を用いた通信を行う。
【０００７】
本願の通信システムでは、中継装置が起点となって第１通信装置と第２通信装置とが通信を行う場合であっても、第１通信装置と第２通信装置との通信内容を中継装置に秘匿することができる。
【０００８】
また、第１通信装置は、認証情報の認証が成功した場合、セッション鍵に対応付けて第１セッションＩＤを記憶し、第１セッションＩＤと第１暗号化情報とを中継装置に送信し、中継装置は、第１通信装置から受信した第１セッションＩＤを記憶し、第２通信装置は、第１電子署名が正規のものであることが確認できた場合、セッション鍵に対応付けて第２セッションＩＤを記憶し、第２暗号化情報と第２セッションＩＤとを中継装置に送信し、中継装置は、第２通信装置から受信した第２セッションＩＤを第１セッションＩＤに対応付けて記憶し、第１通信装置から第１セッションＩＤが付与された情報を受信した場合、その情報に第２セッションＩＤを付与して第２通信装置に送信し、第２通信装置から第２セッションＩＤが付与された情報を受信した場合、その情報に第１セッションＩＤを付与して第１通信装置に送信する。
【０００９】
このように、中継装置は、第２通信装置から受信した第２セッションＩＤを第１セッションＩＤに対応付けて記憶し、第１通信装置から第１セッションＩＤが付与された情報を受信した場合、その情報に第２セッションＩＤを付与して第２通信装置に送信し、第２通信装置から第２セッションＩＤが付与された情報を受信した場合、その情報に第１セッションＩＤを付与して第１通信装置に送信するので、中継装置は、第１通信装置と第２通信装置との間の情報の中継を適正に行うことができる。
【００１０】
また、中継装置は、第２暗号化情報を含み、第１セッション要求に応じたセッションを開始するための第１確認応答を第１通信装置に送信する。これにより、第１確認応答は、中継装置が開始させた第１セッションを確定させる役割とともに、第２暗号化情報を第１通信装置に送信する役割も果たしている。
（【００１１】以降は省略されています）

関連特許