通信支持服务器、通信支持方法、及通信支持系统的制作方法

专利名称：通信支持服务器、通信支持方法、及通信支持系统的制作方法
技术领域：
本发明涉及通过互联网等通信网进行加密通信的技术。
背景技术：
当通过网络在通信终端之间进行加密通信时，有时按以下步骤预先共享用于该加密通信的公共密钥，采用共享的公共密钥进行加密通信。开始通信的通信终端，取得通信对方的通信终端的公开密钥。然后，开始通信的通信终端，生成用于与通信对方的通信终端间的加密通信的公共密钥，并采用通信对方的通信终端的公开密钥对该公共密钥进行加密，并发送给通信对方的通信终端。通信对方的通信终端，从开始通信的通信终端接收以自身的公开密钥加密过的公共密钥，再以与自己的公开密钥对应的秘密密钥进行解密。由此，开始通信的通信终端，与通信对方的通信终端共享用于与通信对方的通信终端间的加密通信的公共密钥。
在上述方法中，当开始通信的通信终端，与多个通信对方的通信终端的各自进行加密通信时，需要与各个通信对方的通信终端共享用于加密通信的公共密钥，故有时开始通信的通信终端处理负荷变大。所以，在Mark Baughter等3名，“MSEC Group Key Management Architecture<draft-ietf-msec-gkmarch-07txt>”，IETF(Internet Engineering Task Force)，P3-13，http//www.left.org/internet-drafts/draft-ietf-msec-gkmarch-07.txt(以下称为非专利文献1)中，公布了这样的技术，即在网络上设置将加密通信用的公共密钥分发给开始通信的通信终端与通信对方的通信终端的服务器，开始通信的通信终端与通信对方的通信终端，采用由该服务器分发的公共密钥，进行加密通信的技术。在该非专利文献1记载的技术中，服务器，生成开始通信的通信终端与通信对方的通信终端之间的加密通信用的公共密钥，并向开始通信的通信终端与通信对方的通信终端进行分发，由此，减轻了由开始通信的通信终端生成公共密钥而产生的处理负荷。
但是，在加密通信的方式中，有多个种类，在各个种类的加密通信中，有时也有多个版本。因此，有时开始通信的通信终端及通信对方的通信终端，不支持依据由服务器分发的公共密钥的加密通信。由此，即使是由服务器发放了公共密钥，有时开始通信的通信终端与通信对方的通信终端也不能开始进行加密通信。
另外，当通信终端开始与通信对方通信时，通信终端需要按照规定的认证步骤确认通信对方的合法性。然而，如果通信终端，与多个通信对方进行加密通信时，需要分别认证通信对方来确认合法性，有时通信终端的处理负荷会增大。

发明内容
本发明鉴于上述情况形成的，提供一种即使是在多个种类的加密通信方式存在时，在通信终端之间，也能确实开始加密通信的技术。另外，本发明还提供一种降低通信终端进行认证步骤所需的处理负荷的技术。
在本发明中，通信支持服务器，当与通信终端之间进行信息收发时，如果与该通信终端的识别信息对应起来而在第一密钥存储部存储的第一密钥是在有效期经过之前，就采用与该通信终端的识别信息对应起来存储在第一密钥存储部内的，用于与该通信终端进行加密通信之密钥的第一密钥，在与该通信终端之间进行加密通信，如果与该通信终端的识别信息对应起来并存储在第一密钥存储部的第一密钥是在有效期经过之后，或与该通信终端的识别信息对应起来的第一密钥没有存储在第一密钥存储部，就让密钥共享部，进行用于与该通信终端间的加密通信的第一密钥的共享，并采用新共享的第一密钥与该通信终端进行加密通信。
例如，本发明提供一种通信支持服务器，它是支持通信终端之间加密通信的通信支持服务器，配备在每个通信终端，将该通信终端可实施加密通信的通信条件，与该通信终端的识别信息对应起来存储的通信条件存储部；在通信终端之间，将作为用于与该通信终端的加密通信的密钥的第一密钥进行共享的密钥共享部；将通过密钥共享部在通信终端之间进行共享的第一密钥，与对应的有效期一起，与通信终端的识别信息对应起来存储的第一密钥存储部；采用第一密钥存储部存储的第一密钥，与具有与第一密钥对应起来存储在第一密钥存储部的识别信息的通信终端进行加密通信的加密通信部；利用经由加密通信部从通信终端接收到的通信开始请求内所包含的2个通信终端的识别信息，并参照通信条件存储部，将作为该2个通信终端共通的通信条件的共通通信条件提取出来的共通通信条件提取部；生成作为在依据共通通信条件提取部提取出来的共通通信条件的加密通信中所采用的密钥的或用来算出该密钥的种信息的第二密钥信息，并将生成的第二密钥信息与共通通信条件一起，经由加密通信部发送给2个通信终端的每一个的第二密钥信息生成部；加密通信部，当在通信终端之间收发信息时，如果与该通信终端的识别信息对应起来存储在第一密钥存储部的第一密钥是在有效期经过之前，就采用与该通信终端的识别信息对应起来存储在第一密钥存储部内的第一密钥，在该通信终端之间进行加密通信，如果与该通信终端的识别信息对应起来存储在第一密钥存储部的第一密钥是在有效期经过之后，或与该通信终端的识别信息对应的第一密钥没有存储在第一密钥存储部，就让密钥共享部，进行用于该通信终端的加密通信的第一密钥的共享，并采用新共享的第一密钥与该通信终端进行加密通信。
依据本发明，通信终端根据自己支持的通信条件，可以确实地与通信对方的终端开始通信。另外，本发明，能减轻与生成加密密钥有关的通信终端的负荷。而且，本发明，可降低有关认证过程的通信终端的处理负荷。


图1是表示本发明的一个实施方式的通信支持系统10的构成；图2是表示通信支持服务器20的一个构成例的方块图；图3是表示在加密密钥存储部200内存储的数据构造的一个例子；图4是表示在通信条件存储部204存储的数据构造的一个例子；图5是表示信息处理装置14的构成的一个例的方块图；图6是表示在加密密钥存储部142内存储的数据构造的一个例子；图7是表示在通信条件存储部148内存储的数据构造的一个例子；图8是表示在加密密钥存储部158内存储的数据构造的一个例子；图9是表示通信支持服务器20的一个动作例的流程图；图10是表示信息处理装置14在向通信支持服务器20或其他的信息处理装置14进行访问时信息处理装置14的一个动作例的流程图；图11是表示从通信支持服务器20或其他信息处理装置14访问信息处理装置14时的信息处理装置14的一个动作例的流程图。
图12是用来说明信息处理装置14与多个其他信息处理装置14进行通信动作的顺序图；图13是表示可以实现通信支持服务器20或信息处理装置14的电子计算机30的硬件构成的一个例子。
具体实施例方式
以下，说明本发明的实施方式。
图1，表示本发明的一个实施方式的通信支持系统10的构成。通信支持系统10，配备通信支持服务器20及多个信息处理装置14。多个信息处理装置14的各自是，例如通用计算机、移动电话、或IP(Internet Protocol)电话等通信终端、或电子认证服务器或电子签名验证服务器等提供服务的服务器等。多个信息处理装置14，连接因特网等通信网12，经由通信网12相互进行通信。另外，各信息处理装置14，经由通信网12，与同样连接在通信网12的通信支持服务器20进行通信。
在这里，在多个信息处理装置14中，当2个信息处理装置14经由通信网12互相进行通信时，在通信网12内流动的通信数据，有时被其他信息处理装置14获得，而泄漏通信内容。为了避免这种情况，有时要在该2个信息处理装置14之间对彼此的通信数据进行加密。
另外，各信息处理装置14，有时支持不同方式与不同版本的多个加密方式。如果通信源及通信对方的信息处理装置14支持的加密通信方式不同，通信对方的信息处理装置14，有时不能对通信源的信息处理装置14支持的加密方式而加密的通信数据进行解密。因此，有时不能适当地进行加密通信。所以，在本实施方式中，信息处理装置14，在通信支持服务器20要预先将信息处理装置14支持的通信条件进行登录，当通信源的信息处理装置14开始与通信对方的信息处理装置14通信时，根据自己及通信对方的信息处理装置14中共通的通信条件，使通信支持服务器20发行用于加密的公共密钥等加密密钥。由此，通信源的信息处理装置14与通信对方的信息处理装置14就能适当地开始加密通信。下面，对其细节进行说明。
图2，是表示通信支持服务器20的一个构成例的方块图。配备通信支持服务器20、加密密钥存储部200、密钥共享部202、通信条件存储部204、通信条件受理部206、加密通信部208、通信开始请求接收部210、通信条件提取部212、密钥发放控制部214、以及密钥信息生成部216。密钥共享部202，在与各个信息处理装置14之间，依据认证等预先确定的步骤，进行作为根据预先确定的加密通信方式的加密密钥的第一密钥的共享。
加密密钥存储部200，将密钥共享部202与信息处理装置14共享的各个第一密钥，与第一密钥的有效期一起，与信息处理装置14的识别信息对应起来存储。
加密通信部208，当利用信息处理装置14识别信息由信息处理装置14访问时，根据该识别信息参照加密密钥存储部200，判定有效期内的第一密钥是否与该识别信息对应起来被存储在加密密钥存储部200内。当与该识别信息对应起来有效期内的第一密钥存储在加密密钥存储部200内时，加密通信部208，就将与该识别信息对应起来的第一密钥从加密密钥存储部200读出，利用该第一密钥将从信息处理装置14接收到的数据解密后发送给通信条件受理部206、通信开始请求接收部210、以及密钥发放控制部214。当有效期内的第一密钥没有与该识别信息对应起来存储在加密密钥存储部200内时，加密通信部208，就让密钥共享部202在与信息处理装置14之间进行第一密钥的共享处理。
另外，加密通信部208，当向信息处理装置14进行访问时，在向信息处理装置14进行访问之前，根据访问目标的信息处理装置14的识别信息，参照加密密钥存储部200，判断有效期内的第一密钥有没有与该识别信息对应起来存储在加密密钥存储部200内。如果有效期内的第一密钥与该识别信息对应起来存储在加密密钥存储部200内，加密通信部208，就将与该识别信息对应起来的第一密钥从加密密钥存储部200读出，用该第一密钥，对发送给信息处理装置14的数据进行加密，经由通信网12发送给信息处理装置14。当有效期内的第一密钥没有与该识别信息对应起来存储在加密密钥存储部200内时，加密通信部208，就让密钥共享部202在与信息处理装置14之间进行第一密钥的共享处理。
这样，通信支持服务器20，当有效期内的第一密钥存储在加密密钥存储部200内时，就省略密钥共享部202所进行的第一密钥的共享处理。由此，通信支持服务器20，与每次与信息处理装置14通信时进行第一密钥的共享处理的构成相比，能迅速开始与各个信息处理装置14之间的通信。
通信条件存储部204，在每个信息处理装置14，将该信息处理装置14支持的加密通信的通信条件与该信息处理装置14的识别信息对应起来存储。所谓通信条件，例如，是支持加密算法的种类、版本、密钥的长度等信息。通信条件受理部206，从多个信息处理装置14的各自，经由加密通信部208，与各个信息处理装置14的识别信息一起，接受信息处理装置14各自的通信条件。然后，通信条件受理部206，将接受的通信条件，与对应的该信息处理装置14的识别信息对应起来被存储在通信条件存储部204内。
通信开始请求接收部210，当接收到经由加密通信部208从各个信息处理装置14进行通信的、包含2个信息处理装置14的识别信息的通信开始请求时，就把接收到的通信开始请求发送给密钥发放控制部214。另外，通信开始请求接收部210，从将进行通信的2个信息处理装置14的识别信息，从接收到的通信开始请求提取出来，并将提取出来的信息处理装置14的识别信息发送给通信条件提取部212。通信条件提取部212，根据从通信开始请求接收部210接收到的2个信息处理装置14的识别信息参照通信条件存储部204，将作为该2个信息处理装置14共通的通信条件的共通通信条件提取出来。
密钥信息生成部216，生成依照通信条件提取部212提取出来的共通通信条件的加密通信中所用的密钥的第二密钥，设定该第二密钥的有效期。然后，密钥信息生成部216，将生成的第二密钥及有效期，与通信条件提取部212提取出来的共通通信条件一起发送给密钥发放控制部214。另外，作为其他的例子，密钥信息生成部216，生成用来算出依照通信条件提取部212提取的共通通信条件的加密通信中所采用的密钥的种信息的第二密钥信息，并设定该第二密钥信息的有效期，也可以将生成的第二密钥信息及有效期，与通信条件提取部212提取出的共通通信条件一起发送给密钥发放控制部214。
密钥发放控制部214，从由通信开始请求接收部210收到的通信开始请求中将进行通信的2个信息处理装置14的识别信息提取出来。然后，密钥发放控制部214，向提取信息处理装置14的识别信息中、与通信对方的识别信息对应的信息处理装置14，将密钥信息生成部216生成的第二密钥及有效期与通信开始请求一起经由加密通信部208进行发送。另外，密钥发放控制部214，当经由加密通信部208接收到响应已发送的通信开始请求信息处理装置14返送了通信开始许可时，就参照接收到的通信开始许可中含有的信息处理装置14的识别信息，将密钥信息生成部216生成的第二密钥及有效期，与通信开始许可一起经由加密通信部208，向发送了通信开始请求的信息处理装置14发送。
这样，通信支持服务器20，根据共通的通信条件生成第二密钥，并将生成的第二密钥，经由通信网12向对应的信息处理装置14发送。因此，与生成加密密钥，并将已生成的加密密钥仅向各个信息处理装置14发放的构成相比，不会发放依据信息处理装置14不支持的通信条件的加密密钥，信息处理装置14，用从通信支持服务器20发放的加密密钥，能与其他的信息处理装置14确实地开始加密通信。
图3，是表示加密密钥存储部200存储的数据构造的一个例子。加密密钥存储部200，是将作为用于一对终端之间加密通信的加密密钥的第一密钥2002及作为能够持续使用该第一密钥2002的期限的有效期2004，与识别信息2000对应起来进行存储。
另外，通过参照加密密钥存储部200，加密通信部208，被信息处理装置14访问时，当有对应该信息处理装置14的识别信息的、有效期内的第一密钥时，就将对应该识别信息的第一密钥，从加密密钥存储部200读出，可以用读出的第一密钥在与进行访问来的信息处理装置14之间进行加密通信。另一方面，当对应信息处理装置14的、有效期内的第一密钥在加密密钥存储部200内没有时，加密通信部208，就可以让密钥共享部202，在与进行访问来的信息处理装置14之间进行第一密钥的共享处理。
再者，作为其他的例子，通信支持服务器20，也可以具有利用通信支持服务器20带有的计时时刻的功能，将过了有效期的第一密钥从加密密钥存储部200删除的单元。在这种情况下，加密通信部208，只要判断对应来访问过的或要访问的信息处理装置14的第一密钥是否被存储在了加密密钥存储部200就可以了，而不需要验证第一密钥的有效期，从而能更高速地开始与信息处理装置14的加密通信。
图4，是表示通信条件存储部204存储的数据构造的一个例子。通信条件存储部204，将多个通信条件2042及对应该多个通信条件2042的优先级2044，与识别信息2040对应起来存储。通过参照通信条件存储部204，通信条件提取部212，可提取在2个信息处理装置14中共通的通信条件。
另外，在2个信息处理装置14的通信条件内，当多个共通的通信条件存在时，通信条件提取部212，在多个共通通信条件中，就将例如为发送了通信开始请求的信息处理装置14的通信条件，且优先级最高的通信条件作为共通通信条件而提取出来。由此，信息处理装置14，就能够实现例如，发送了与削减处理时间相比更希望提高加密强度的场合、或即使多少牺牲一些加密强度而更希望削减处理时间的场合等通信开始请求的、适应了信息处理装置14的偏好的终端间的加密通信。
再者，当共通的通信条件在通信条件存储部204内不存在时，通信条件提取部212，例如，作为共通通信条件，例如提取NULL数据。当通信条件提取部212提取了NULL数据时，密钥信息生成部216，就将通信条件提取部212提取的NULL数据发送给密钥发放控制部214。密钥发放控制部214，如果从密钥信息生成部216接收了NULL数据，就将共通的通信条件不存在的意思，经由加密通信部208通知给发送了通信开始请求的信息处理装置14。
图5，是表示信息处理装置14的一个构成例的方块图。信息处理装置14，配备密钥共享部140、加密密钥存储部142、加密通信部144、通信条件登录部146、通信条件存储部148、通信开始请求发送部150、通信数据处理部152、加密密钥接收部154、加密通信部156、以及加密存储部158。
密钥共享部140，在与通信支持服务器20之间，按照预先确定的认证等步骤，进行第一密钥的共享。加密密钥存储部142，将密钥共享部140与通信支持服务器20共享的第一密钥，与该第一密钥的有效期对应起来存储。
加密通信部144，当被通信支持服务器20访问时，参照加密密钥存储部142，判断有效期内的第一密钥加密密钥是否存储在加密密钥存储部142内。
如果有效期内的第一密钥存储在加密密钥存储部142内，加密通信部144，就将该第一密钥从加密密钥存储部142读出，用该第一密钥把从通信支持服务器20接收到的通信数据解密并发送给加密密钥接收部154。如果有效期内的第一密钥没有存储在加密存储部142内，加密通信部144，就让密钥共享部140在与通信支持服务器20之间进行第一密钥的共享处理。此后，将该第一密钥从加密密钥存储部142读出，用该第一密钥把从通信支持服务器20接收到的通信数据解密并发送给加密接收部154。
另外，加密通信部144，在访问通信支持服务器20时，在对通信支持服务器20的访问之前，参照加密密钥存储部142，判定有效期内的第一密钥是否存储在加密密钥存储部142内。如果有效期内的第一密钥存储在加密密钥存储部142内，加密通信部144，就从加密密钥存储部142读出该第一密钥。然后，加密通信部144，用该第一密钥，把从通信条件登录部146、通信开始请求发送部150、以及加密密钥接收部154接收到的通信数据进行加密，经由通信网12发送给通信支持服务器20。如果有效期内的第一密钥没有存储在加密密钥存储部142内，加密通信部144，就让密钥共享部140在与通信支持服务器20之间进行第一密钥的共享处理。此后，用该第一密钥，把从通信条件登录部146、通信开始请求发送部150、以及加密密钥收信部154接收到的通信数据加密，并经由通信网12发送给通信支持服务器20。
通信条件存储部148，存储信息处理装置14支持的通信条件。通信条件登录部146，参照通信条件存储部148，在通信条件被变更了时，就把信息处理装置14支持的通信条件从通信条件存储部148读出，经由加密通信部144发送给通信支持服务器20。再者，在本例中，通信条件登录部146，即使所支持的通信条件的一部分被变更或追加了时，也将通信条件存储部148存储的全部的通信条件发送给通信支持服务器20。
通信数据处理部152，在生成通信对方的信息处理装置14的识别信息及应发送的通信数据的同时，处理经由加密通信部156接收到的通信数据。通信开始请求发送部150，将通信数据处理部152生成的通信开始请求，与通信对方的信息处理装置14的识别信息以及自己的信息处理装置14的识别信息一起，经由加密通信部144发送给通信支持服务器20。
加密密钥收信部154，将响应通信开始请求发送部150所发送的通信开始请求而从通信支持服务器20发送的通信开始许可，与根据自己以及由通信对方的信息处理装置14中共通的通信条件生成的第二密钥、共通通信条件、及有效期一起进行接收。然后，加密密钥接收部154，从接收到的通信开始许可提取通信对方的信息处理装置14的识别信息，并将提取的识别信息，与从通信支持服务器20接收到的第二密钥、共通通信条件、以及有效期一起发送给加密密钥存储部158。加密密钥存储部158，将加密密钥接收部154从通信支持服务器20接收的第二密钥、共通通信条件、及有效期，与加密密钥接收部154从通信开始许可提取的通信对方的信息处理装置14的识别信息对应起来进行存储。
另外，加密密钥接收部154，如果从其他的信息处理装置14经由通信支持服务器20接收到通信开始请求时，就将该通信开始请求通知给通信数据处理部152。通信数据处理部152，在从加密密钥接收部154接收了通信开始请求时，就判断是否在与发送该通信开始请求的信息处理装置14之间进行加密通信。在与发送了该通信开始请求的信息处理装置14之间进行加密通信时，通信数据处理部152，就让加密密钥接收部154，向发送了通信开始请求的信息处理装置14经由加密通信部144返送通信开始许可。另一方面，在与发送该通信开始请求的信息处理装置14之间不进行加密通信时，通信数据处理部152，就让加密密钥收信部154，向发送通信开始请求的信息处理装置14经由加密通信部144返送不准许通信开始的意思。另外，加密密钥接收部154，在接收到响应通信开始请求而不准许其他信息处理装置14发送的通信开始的意思时，就将其意思通知通信数据处理部152。
加密通信部156，在通信数据处理部152从应用软件接收通信的要求而生成了应发送的通信数据时，就从通信数据处理部152接收该通信数据及通信对方的信息处理装置14的识别信息。然后，加密通信部156，根据从通信数据处理部152接收到的通信对方的信息处理装置14的识别信息，参照加密密钥存储部158，判断有效期内的第二密钥是否与该识别信息对应起来存储在加密密钥存储部158内。当有效期内的第二密钥与该识别信息对应起来存储在加密密钥存储部158内时，加密通信部156，就将对应该识别信息的第二密钥及共通通信条件从加密密钥存储部158读出。然后，加密通信部156，按照读出的共通通信条件所存储的加密算法或版本等的信息，由读出的第二密钥，将从通信数据处理部152接收到的通信数据加密，并经由通信网12发送给通信对方的信息处理装置14。另一方面，当有效期内的第二密钥没有与该识别信息对应起来存储在加密密钥存储部158内时，加密通信部156，就将需要从通信支持服务器20接收第二密钥的发放的意思通知给通信数据处理部152。一接到这个通知，通信数据处理部152，就让通信开始请求发送部150将通信开始请求发送给通信支持服务器20。
另外，加密通信部156，当经由通信网12从该信息处理装置14接收到通信数据时，就根据接收到的通信数据中含有的通信对方的信息处理装置14的识别信息参照加密密钥存储部158，判断有效期内的第二密钥是否与该识别信息对应起来存储在加密密钥存储部158内。当有效期内的第二密钥与该识别信息对应起来存储在加密密钥存储部158内时，加密通信部156，就将对应该识别信息的第二密钥及共通通信条件从加密密钥存储部158读出，并根据读出的共通通信条件及对应的第二密钥，将从通信数据处理部152接收的通信数据解密，并发送给通信数据处理部152。
另一方面，当有效期内的第二密钥没有与该识别信息对应起来存储在加密密钥存储部158内时，加密通信部156，就将需要从通信支持服务器20接收第二密钥的发放的意思通知给发送通信数据的信息处理装置14。发送数据的信息处理装置14，在通信数据处理部152，一旦接到这个通知，就让通信开始请求发送部150将通信开始请求发送给通信支持服务器20。
再者，作为其他的例子，信息处理装置14，也可以具有利用信息处理装置14拥有的计时时刻的功能，将过了有效期的第一密钥从加密密钥存储部142删除的单元。在这种情况下，加密通信部144，在被通信支持服务器20访问了时，或要对通信支持服务器20进行访问时，只要判断第一密钥是否存储在加密密钥存储部就可以了，没有必要验证第一密钥的有效期，故能更高速地开始与通信支持服务器20的加密通信。
图6，是表示加密密钥存储部142存储的数据构造的一个例子。加密密钥存储部142，将作为用于服务器间的加密通信的加密密钥的第一密钥1422及表示能持续使用该第一密钥1422的期限的有效期1424，与通信支持服务器20的识别信息1420对应起来进行存储。通过参照加密密钥存储部142，加密通信部144，用第一密钥可在与通信支持服务器20之间进行加密通信。另外，在对通信支持服务器20访问或被通信支持服务器20访问了的任意一种情况下，通过参照加密密钥存储部142，加密通信部144，如果有有效期内的第一密钥，就能用该第一密钥在与通信支持服务器20之间进行加密通信。另一方面，当没有有效期内的第一密钥时，加密通信部144，就让密钥共享部140在与通信支持服务器20之间进行第一密钥的共享处理。
图7，是表示通信条件存储部148存储的数据构造的一个例子。通信条件存储部148，将优先级1482与自己的信息处理装置14支持的通信条件1480对应起来存储。通过参照通信条件存储部148，通信条件登录部146，可将对应优先级的通信条件登录处理，在通信支持服务器20的通信条件存储部204内。通过该登录处理，通信条件提取部212，参照通信条件存储部204，根据优先级可提取共通的通信条件。由此，通信支持系统10，能实现适应发送了通信开始请求的信息处理装置14的偏好的终端间加密通信。
图8，是表示加密密钥存储部158存储的数据构造的一个例子。加密密钥存储部158，将通信对方的信息处理装置14之间的加密通信中用的第二密钥1582、作为自己及通信对方的信息处理装置14中共通的通信条件的共通通信条件1584、第二密钥1582及共通通信条件1584、作为能持续使用的期限的有效期1586，与作为识别通信对方的信息处理装置14的信息的通信对方的识别信息1580对应起来存储。加密通信部156，通过参照加密密钥存储部158，可判定用于加密在与通信对方的信息处理装置14之间收发的数据的有效期内的第二密钥是否存储在加密密钥存储部158内。
图9，是表示通信支持服务器20的一个动作例的流程图。在电源投入等规定的定时，通信支持服务器20，开始本流程图所示的处理。首先，加密通信部208，判断是否被信息处理装置14访问了(S100)。当没有被信息处理装置14访问时(S100No)，加密通信部208，就在被信息处理装置14访问之前重复步骤100。
在步骤100中，当被信息处理装置14访问了时(S100Yes)，加密通信部208，就判定是否是要求共享第一密钥的通信数据(S102)。当是要求共享第一密钥的通信数据(S102Yes)，加密通信部208，就让密钥共享部202，在与来访问的信息处理装置14之间进行第一密钥的共享处理(S104)，再次进行步骤100所示的处理。
在步骤104中，密钥共享部202，例如，从信息处理装置14的密钥共享部140接收服务器—终端之间加密通信中用的一个以上的候选参数。然后，密钥共享部202，从接收到的候选参数中，选择一个加密通信部208支持的参数，返送给共享部140，这样，在与密钥共享部140之间共享加密通信中用的参数。然后，密钥共享部202，在将通信支持服务器20的公开密钥证明书发送给密钥共享部140的同时，向密钥共享部140要求信息处理装置14的公开密钥证明书。然后，密钥共享部202，通过验证从密钥共享部140接收到的公开密钥证明书的有效期、签名，来验证公开密钥证明书。
当公开密钥证明书验证成功了时，密钥共享部202与密钥共享部140，就将共享的参数与参数的电子签名一起发送给通信对方，通过验证接收的电子签名，来认证通信对方。然后，当密钥共享部202与密钥共享部140相互的认证成功了时，密钥共享部140，就根据共享的参数，生成与通信支持服务器20的加密通信部208间的加密通信中用的第一密钥。然后，密钥共享部140，通过将生成的第一密钥用通信支持服务器20的公开密钥加密后发送到密钥共享部202，共享在与密钥共享部202之间加密通信中用的第一密钥。
再者，密钥共享部202，也可以将从密钥共享部140接收到的公开密钥证明书的验证，委托给在外部设立的验证服务器。验证服务器，当被密钥共享部202委托了公开密钥证明书的验证时，在验证公开密钥证明书的有效期、签名的同时，探寻该公开密钥证明书记载的认证局，从到达的认证局得到该公开密钥证明书的失效信息，通过验证得到的失效信息，来验证公开密钥证明书。由此，密钥共享部202，能更严密地验证信息处理装置14的公开密钥证明书。
在步骤102中，当接收的通信数据不是要求共享第一密钥的通信数据时(S102No)，加密通信部208，就根据来访问的信息处理装置14的识别信息参照加密密钥存储部200，判断有效期内的第一密钥是否与该识别信息对应起来存储在加密密钥存储部200内(S106)。当有效期内的第一密钥没有与该识别信息对应起来存储在加密密钥存储部200内时(S106No)，加密通信部208，就让密钥共享部202，将需要进行第一密钥的共享处理的意思通知给来访问的信息处理装置14(S128)，再次进行步骤100所示的处理。
在步骤106中，当有效期内的第一密钥与该识别信息对应起来存储在加密密钥存储部200内时(S106Yes)，加密通信部208，就从加密密钥存储部200读出对应的第一密钥，并用读出的第一密钥将接收到的通信数据解密。然后，加密通信部208，将解密过的通信数据发送给通信条件受理部206、通信开始请求接收部210、及密钥发放控制部214(S108)。接着，通信条件受理部206，判断接收到的通信数据是不是要求登录通信条件的数据还是其他(S110)。在接收到的通信数据是要求登录通信条件的数据时(S110通信条件登录)，通信条件受理部206，就将接收到的通信数据中含有的通信条件，与发送了该通信数据的信息处理装置14的识别信息对应起来存储在通信条件存储部204内(S112)，加密通信部208，再次进行步骤100所示的处理。
如果接收到的通信数据是要求登录通信条件的数据以外的数据时(S110除此之外)，通信开始请求收信部210及密钥发放控制部214，就判定接收到的通信数据是表示通信开始请求的数据，还是表示响应通信开始请求而返送的通信开始许可的数据(S114)。如果接收到的通信数据是表示通信许可的数据时(S114通信许可)，密钥发放控制部214，就将密钥信息生成部216生成的第二密钥、共通通信条件、及该第二密钥的有效期，与通信开始许可一起，经由加密通信部208，发送给发送了通信开始请求的信息处理装置14(S116)，加密通信部208，再次进行步骤100所示的处理。
在步骤114中，如果接收到的通信数据是表示通信开始请求的数据(S114通信开始请求)，通信开始请求接收部210，就从接收到的通信开始请求提取进行通信的2个信息处理装置14的识别信息，并将提取的信息处理装置14的识别信息发送给通信条件提取部212。然后，通信条件提取部212，根据从通信开始请求收信部210收到的2个信息处理装置14的识别信息，参照通信条件存储部204，提取作为该2个信息处理装置14中共通的通信条件的共通通信条件(S118)。
接着，密钥信息生成部216，生成在按照通信条件提取部212提取的共通通信条件的加密通信中所用的第二密钥，并设定该第二密钥的有效期。然后，密钥信息生成部216，将生成的第二密钥及有效期，与由通信条件提取部212提取的共通通信条件一起发送给密钥发放控制部214。密钥发放控制部214，从由通信开始请求接收部210接收到的通信开始请求提取进行通信的2个信息处理装置14的识别信息。然后，密钥发放控制部214，将提取的信息处理装置14的识别信息内、通信对方的信息处理装置14的识别信息作为目的地，将由密钥信息生成部216生成的第二密钥及有效期，以及由通信条件提取部212提取的共通通信条件，与通信开始请求一起发送给加密通信部208(S120)。
接着，加密通信部208，根据从密钥发放控制部214作为目的地而接收到的信息处理装置14的识别信息，参照加密密钥存储部200，判断有效期内的第一密钥是否与该识别信息对应起来存储在加密密钥存储部200内(S122)。如果有效期内的第一密钥与该识别信息对应起来存储在加密密钥存储部200内(S122Yes)，加密通信部208，就从加密密钥存储部200读出对应的第一密钥。然后，加密通信部208，用读出的第一密钥，将从密钥发放控制部214接收到的第二密钥及有效期，以及由通信条件提取部212提取的共通通信条件，与通信开始请求一起进行加密后，发送给通信对方的信息处理装置14(S126)，加密通信部208，再次进行步骤100所示的处理。
在步骤122中，当有效期内的第一密钥没有与该识别信息对应起来存储在加密密钥存储部200内时(S122No)，加密通信部208，就让密钥共享部202，在与通信对方的信息处理装置14之间，进行第一密钥的共享处理(S124)，进行步骤126所示的处理。
图10，是表示信息处理装置14访问通信支持服务器20或其他信息处理装置14时的、信息处理装置14的一个动作例的流程图。在电源投入等规定的定时，信息处理装置14，开始本流程图所示的处理。首先，通信数据处理部152，判断应该发送的通信数据是否发生了(S200)。当应该发送的通信数据发生了时(S200Yes)，加密通信部156，就从通信数据处理部152接收该通信数据及通信对方的信息处理装置14的识别信息。然后，加密通信部156，根据接收到的通信对方的信息处理装置14的识别信息，参照加密密钥存储部158，判断有效期内的第二密钥是否与该识别信息对应起来存储在了加密部密钥存储部158内(S202)。如果有效期内的第二密钥与该识别信息对应起来存储在了加密密钥存储部158内(S202Yes)，则加密通信部156，就从加密密钥存储部158读出对应的第二密钥。然后，加密通信部156，用读出的第二密钥对从通信数据处理部152接收到的通信数据进行加密后，经由通信网12发送给通信对方的信息处理装置14(S204)，通信数据处理部152，再次进行步骤200所示的处理。
在步骤202中，如果有效期内的第二密钥没有与该识别信息对应起来存储在加密密钥存储部158内(S202No)，则加密通信部156，就将需要从通信支持服务器20接收第二密钥的发放的意思通知给通信数据处理部152。一旦接到这个通知，通信数据处理部152，就让通信开始请求发送部150将通信开始请求，经由加密通信部144发送给通信支持服务器20。在这种情况下，加密通信部144，判断有效期内的第一密钥是否存储在加密密钥存储部142内(S206)。如果有效期内的第一密钥存储在加密密钥存储部142内(S206Yes)，加密通信部144，就从加密密钥存储部142读出第一密钥。然后，加密通信部144，用读出的第一密钥，对从通信开始请求发送部150接收到的通信开始请求进行加密后，经由通信网12发送给通信支持服务器20(S210)，通信数据处理部152，再次进行步骤200所示的处理。
在步骤206中，如果有效期内的第一密钥没有存储在加密密钥存储部142内时(S206No)，则加密通信部144，就让密钥共享部140，在与通信支持服务器20之间进行第一密钥的共享处理(S208)，进行步骤210所示的处理。
在步骤200中，当应发送通信数据没有发生时(S200No)，通信条件登录部146，参照通信条件存储部148，判断通信条件存储部148中存储的通信条件是否被变更了(S212)。当通信条件没有被变更时(S212No)，通信数据处理部152，再次进行步骤200所示的处理。
在步骤212中，当通信条件被变更了时(S212Yes)，通信条件登录部146，就将通信条件存储部148中存储的通信条件全部读出。然后，通信条件登录部146，生成包含读出的通信条件的通信条件登录要求，并将生成的通信条件登录要求发送给加密通信部144。接着，加密通信部144，判断有效期内的第一密钥是否存储在加密密钥存储部142内(S214)。如果有效期内的第一密钥存储在加密密钥存储部142内(S214Yes)，加密通信部144，就从加密密钥存储部142读出第一密钥。然后，加密通信部144用读出的第一密钥，对从通信条件登录部146接收到的通信条件登录要求进行加密后，经由通信网12发送给通信支持服务器20(S218)，通信数据处理部152，再次进行步骤200所示的处理。
在步骤214中，如果有效期内的第一密钥没有存储在加密密钥存储部142内(S214No)，则加密通信部144，就让密钥共享部140，在与通信支持服务器20之间进行第一密钥的共享处理(S216)，进行步骤218所示的处理。
图11，是表示当信息处理装置14被通信支持服务器20或其他信息处理装置14访问时的信息处理装置14的一个动作例的流程图。在投入电源等规定的定时，信息处理装置14，开始本流程图所示的处理。首先，加密通信部144及加密通信部156，判断是否被通信支持服务器20或其他信息处理装置14的任意一个访问了(S300)。当没有被通信支持服务器20或其他信息处理装置14的任意一个访问时(S300No)，重复步骤300，直到加密通信部144及加密通信部156被通信支持服务器20或其他信息处理装置14的任意一个访问为止。
在步骤300中，当有来自通信支持服务器20或其他信息处理装置14的任意一个的访问时(S300Yes)，加密通信部144及加密通信部156，就判断该访问是不是来自通信支持服务器20的(S302)。如果该访问不是来自通信支持服务器20的，即该访问是来自其他信息处理装置14的时(S302No)，加密通信部156，根据经由通信网12与通信数据一起从其他信息处理装置14接收的信息处理装置14的识别信息，参照加密密钥存储部158，判断有效期内的第二密钥是否与该识别信息对应起来存储在加密密钥存储部158内(S324)。当有效期内的第二密钥与该识别信息对应起来存储在加密密钥存储部158内时(S324Yes)，加密通信部156，就从加密密钥存储部158读出对应的第二密钥。然后，加密通信部156，用读出的第二密钥，对从其他信息处理装置14接收到的通信数据进行解密后，在发送给通信数据处理部152的同时，如果对应接收到的通信数据有通信数据处理部152发送的通信数据，就对该数据进行加密后，经由通信网12返送给通信对方的信息处理装置14(S326)，加密通信部144及加密通信部156，再次进行步骤300所示的处理。
在步骤324中，当有效期内的第二密钥没有与该识别信息对应起来存储在加密密钥存储部158内时(S324No)，加密通信部156，就向来访问的其他信息处理装置14返送需要从通信支持服务器20接收第二密钥的发放的意思(S328)，加密通信部144及加密通信部156，再次进行步骤300所示的处理。
在步骤302中，如果有来自通信支持服务器20的访问时(S302Yes)，加密通信部144，就判断有效期内的第一密钥是否存储在加密密钥存储部142内(S304)。如果有效期内的第一密钥存储在加密密钥存储部142内(S304Yes)，则加密通信部144，就用读出的第一密钥，对从通信支持服务器20接收到的数据进行解密(S308)。如果有效期内的第一密钥没有存储在加密密钥存储部142内(S304No)，则加密通信部144，就让密钥共享部140，在与通信支持服务器20之间进行第一密钥的共享处理(S306)，进行步骤308所示的处理。
步骤306的处理，是例外的处理，例如是由于通信支持服务器20与信息处理装置14间的内部时钟的偏差等而发生的处理。
接着，加密密钥收信部154，判断是从通信支持服务器20接收到的通信数据表示通信开始请求的数据，抑或还是响应通信开始请求经由通信支持服务器20返送的表示通信开始许可的数据(S310)。如果接收到的通信数据是通信开始请求时(S310通信开始请求)，加密密钥收信部154，就把接收到的通信开始请求发送给通信数据处理部152。然后，加密密钥收信部154，与通信开始请求一起将接收到的第二密钥、共通通信条件、以及该第二密钥的有效期，与已发送的通信开始请求的信息处理装置14的识别信息对应起来存储在加密密钥存储部158内(S312)。
接着，通信数据处理部152，判断是否要与发送来通信开始请求的信息处理装置14进行通信(S318)。如果要与发送来通信开始请求的信息处理装置14进行通信(S318Yes)，通信数据处理部152，就让通信开始请求发送部150将通信开始许可经由加密通信部144发送给支持服务器20(S322)，加密通信部144与加密通信部156，再次进行步骤300所示的处理。在步骤322中，加密通信部144，使用存储在加密密钥存储部142的第一密钥，对该通信开始许可进行加密后，经由通信网12发送给通信支持服务器20。
在步骤318中，当不与发送来通信开始请求的信息处理装置14进行通信时(S318No)，通信数据处理部152，就让通信开始请求发送部150将不准许通信开始的意思，经由加密通信部144，发送给通信支持服务器20(S320)，加密通信部144与加密通信部156，再次进行步骤300所示的处理。
在步骤310中，当接收的通信数据是通信开始许可时(S310通信开始许可)，加密密钥接收部154，就将接收到的通信开始许可发送给通信数据处理部152。然后，加密密钥接收部154，将与通信开始许可一起接收到的第二密钥及该第二密钥的有效期与发送了通信开始许可的信息处理装置14的识别信息对应起来存储在加密密钥存储部158内(S314)。然后，加密通信部156，将与通信开始许可一起接收到的第二密钥从加密密钥存储部158读出。然后，加密通信部156，用读出的第二密钥，对通信数据处理部152生成的通信数据进行加密，经由通信网12，发送给其他信息处理装置14，同时，从其他信息处理装置14将经由通信网12接收到的通信数据解密后发送给通信数据处理部152(S316)。然后，加密通信部144与终端间加密通信部156，再次进行步骤300所示的处理。
在这里，将图9、图10、及图11表示的各个处理的关系汇总如下。
在进行加密通信的信息处理装置14之间，在有与通信对方的信息处理装置14对应的有效期内的第二密钥时，在图10的步骤204中，信息发送方的信息处理装置14用第二密钥对通信数据进行加密，并发送给通信对方的信息处理装置14。然后，在图11的步骤326中，加密通信部156，将信息接收方的信息处理装置14接收到的数据用第二密钥解密。此后，信息处理装置14，用对应的第二密钥进行加密通信。
另外，当具有有效期内的第一密钥的信息处理装置14，向通信支持服务器20登录通信条件时，在图10的步骤218中，用第一密钥给通信条件加密并发送给通信支持服务器20。收到此后，通信支持服务器20，在图9的步骤112中，将接收的通信条件存储到通信条件存储部204。
另外，当进行加密通信的信息处理装置14之间，没有与通信对方的信息处理装置14对应的有效期内的第二密钥、且没有在有效期内的第一密钥时，在图10的步骤208中，信息发送方的信息处理装置14，在与通信支持服务器20之间，进行第一密钥的共享处理。这个时候，通信支持服务器20，在图9的步骤104中，在与来访问的信息处理装置14之间进行第一密钥的共享处理。
此后，信息发送方的信息处理装置14，在图10的步骤210中，用在与通信支持服务器20之间共享的第一密钥，对通信开始请求进行加密并发送给通信支持服务器20。收到此后，通信支持服务器20，在图9的步骤118及120中，根据进行加密通信的2个信息处理装置14的通信条件生成第二密钥。
然后，通信支持服务器20，在图9的步骤124中，在与接收方的信息处理装置14之间进行第一密钥的共享处理。这个时候，接收方的信息处理装置14，在图11的步骤306中，在与通信支持服务器20之间进行第一密钥的共享处理。
然后，通信支持服务器20，在图9的步骤126中，用共享的第一密钥对通信开始请求及第二密钥等进行加密，并发送给信息接收方的信息处理装置14。这个时候，接收方的信息处理装置14，在图11的步骤312中，将与通信开始请求一起接收到的第二密钥等进行存储，在步骤322中，用第一密钥对通信许可加密并发送给通信支持服务器20。收到此后，通信支持服务器20，在图9的步骤116中，用第一密钥对通信开始许可及第二密钥等进行加密，并发送给发送方的信息处理装置14。收到此后，发送方的信息处理装置14，在图11的步骤314及316中，将与通信开始许可一起接收到的第二密钥等进行存储，用存储的第二密钥，在与接收方的通知处理装置14之间进行加密通信。
图12，是说明在第一密钥的有效期内与多个信息处理装置14进行的通信动作的顺序图。在图12所示的情况下，各个信息处理装置14的通信条件假定已经被登录在了通信支持服务器20。在与信息处理装置14-2间的加密通信之前，信息处理装置14-1，进行在与通信支持服务器20之间的加密通信中用的第一密钥的共享处理(S400)。然后，信息处理装置14-1，将信息处理装置14-2的识别信息作为通信对方的识别信息的通信开始请求发送给通信支持服务器20(S401)。
接着，通信支持服务器20，根据接收到的通信开始请求中含有的信息处理装置14-1及14-2的识别信息，提取两者共通的通信条件。然后，通信支持服务器20，根据提取的共通通信条件，生成在信息处理装置14-1与信息处理装置14-2之间的加密通信中使用的第二密钥(S402)。然后，通信支持服务器20，与通信开始请求一起，将第二密钥及用来生成该第二密钥所参照过的共通通信条件发送给信息处理装置14-2(S403)。这种情况下，在通信支持服务器20与信息处理装置14-2之间，当有效期内的第一密钥不存在时，就在通信支持服务器20与信息处理装置14-2之间，进行步骤400所示的第一密钥的共享处理。
接着，信息处理装置14-2，按照通信开始请求将通信开始许可向通信支持服务器20应答(S404)。然后，通信支持服务器20，将从信息处理装置14-2接收到的通信开始许可，与生成的第二密钥及共通通信条件一起发送给信息处理装置14-1(S405)。然后，信息处理装置14-1与信息处理装置14-2，用由通信支持服务器20发放的第二密钥及共通通信条件，就能互相进行加密通信(S406)。
在步骤402中，通信支持服务器20，与第二密钥一起，生成能持续使用该第二密钥的期限的有效期，与第二密钥及共通通信条件一起，将生成的有效期分别发放给信息处理装置14-1及14-2。为此，信息处理装置14-1与信息处理装置14-2，如果是在该有效期内，如步骤410所示，就总能用第二密钥进行加密通信。
另外，在步骤400中，将有效期也与信息处理装置14-1与通信支持服务器20共享的第一密钥对应起来，如果是在该有效期内，信息处理装置14-1与通信支持服务器20，在步骤400中就能持续使用共享的第一密钥。因此，例如，当信息处理装置14-1与信息处理装置14-3进行加密通信时，在步骤400中，如果是在共享的第一密钥的有效期内，信息处理装置14-1，就省略与通信支持服务器20的密钥共享处理，在步骤400中，就能从用共享的第一密钥、对给信息处理装置14-3的通信开始请求进行加密后、发送给通信支持服务器20的步骤开始进行处理(S420)。
通过以上动作，信息处理装置14，当与多个其他信息处理装置14之间进行加密通信时，在与各个其他信息处理装置14之间，不需要进行第二密钥的共享处理，取而代之，只要在与通信支持服务器20之间，进行第一密钥的共享处理就行了。再者，信息处理装置14，如果有在有效期内的第一密钥，就能省略第一密钥的共享处理。由此，信息处理装置14，只要在与通信支持服务器20之间进行一次第一密钥的共享处理之后，如果有在有效期内的第一密钥，就不进行第一密钥的共享处理，能更迅速地开始与其他信息处理装置14的通信，能实现所谓的单一登录。
图13，是表示可以实现通信支持服务器20或信息处理装置14的电子计算机30的硬件构成的一个例子。电子计算机30，配备CPU300、RAM301、ROM302、外部存储装置303、通信接口304、输出入装置305、及媒体接口306。
CPU300，根据存储在RAM301及ROM302的程序动作，进行各部分的控制。ROM302及外部存储装置303，存储在电子计算机30启动时CPU300执行的引导程序和依存于电子计算机30的硬件的程序等。RAM301，存储CPU300执行的程序及CPU300使用的数据等。
通信接口304，将经由通信网12从其他的电子计算机30接收到的程序和/或数据，提供给RAM301或外部存储装置303，或发送给CPU300。与此同时，通信接口304，将CPU300生成的数据发送给其他的电子计算机30。输出入装置305，接收来自电子计算机30的管理者或用户的数据，在发送给CPU300的同时，还将CPU300生成的数据通知管理者和用户等。媒体接口306，从记录媒体307读取程序和/或数据，并提供给RAM301或外部存储装置303。
上述程序，可以预先存储在ROM302或外部存储装置303内。或者，上述程序，根据需要，也可以从记录媒体307经由媒体接口306读出，并存储在ROM302或外部存储装置303，还可以经由通信接口304与通信媒体，存储在ROM302或外部存储装置303。
在电子计算机30作为通信支持服务器20动作时，被安装在电子计算机30内可执行的程序，使电子计算机30，分别作为下述部分来工作即加密密钥存储部200、密钥共享部202、通信条件存储部204、通信条件受理部206、加密通信部208、通信开始请求接收部210、通信条件提取部212、密钥发放控制部214及密钥信息生成部216。
另外，在电子计算机30作为信息处理装置14动作时，被安装在电子计算机30可执行的程序，使电子计算机30，分别作为下述部分来工作即密钥共享部140、加密密钥存储部142、加密通信部144、通信条件登录部146、通信条件存储部148、通信开始请求发送部150、通信数据处理部152、加密密钥接收部154、加密通信部156、及加密密钥存储部158。
记录媒体307，例如可以是DVD、PD等光学记录媒体、MD等光磁记录媒体、磁带媒体、磁记录媒体、或半导体记录装置等。另外，通信媒体，例如可以是电缆、载波、及数字信号等。
以上，用实施方式对本发明进行了说明，但本发明的技术范围不限于上述实施方式所述的范围。另外，对上述实施方式，可以附加各种各样的变更或改良，这对于业内人员来说是显而易见的。再者，由专利请求的范围的记述中明确看出，施加了那些变更或改良的形态也包含在本发明的技术范围中。
例如，通信支持服务器20及信息处理装置14所拥有的多个功能块的各自，也可以分别通过ASIC(Application Specific Integrated Circuit)，FPGA(FieldProgrammable Gate Array)等的集成逻辑IC由硬件实现，或者，也可以通过DSP(Digital Signal Processor)或通用计算机在软件上实现。
另外，在本例中，在通信条件存储部204内存储的各个信息处理装置14的通信条件，是从各个信息处理装置14经由通信网12来登录，而作为其他的例子，各个信息处理装置14的通信条件，也可以预先登录在通信条件存储部204内。
权利要求
1.一种通信支持服务器，其特征在于，该通信支持服务器，支持通信终端之间的加密通信，具有通信条件存储部，其在所述每个通信终端，将该通信终端可实施加密通信的通信条件，与该通信终端的识别信息对应起来进行存储；密钥共享部，其在与所述通信终端之间，进行作为用于与该通信终端间的加密通信的密钥的第一密钥的共享；第一密钥存储部，其将通过所述密钥共享部在与所述通信终端之间共享的第一密钥，与对应的有效期限一起，与所述终端的识别信息对应起来进行存储；加密通信部，其采用所述第一密钥，与具有与该第一密钥对应的识别信息的通信终端进行加密通信；共通通信条件提取部，其采用经由所述加密通信部从所述通信终端接收到的通信开始请求内所包含的2个所述通信终端的识别信息并参照所述通信条件存储部，将作为该2个通信终端共通的通信条件的共通通信条件提取出来；和第二密钥信息生成部，其生成遵从所提取出的共通通信条件的第二密钥信息，并将已生成的第二密钥信息与所述共通通信条件一起，经由所述加密通信部发送到所述2个通信终端的每一个；所述加密通信部，当向所述通信终端请求加密通信时，当是与该通信终端的识别信息对应的第一密钥的有效期限的经过之前时，就采用与该通信终端的识别信息对应起来存储在所述第一密钥存储部的所述第一密钥，向该通信终端请求加密通信，当是所述第一密钥的有效期经过之后时，或当与该通信终端的识别信息对应的第一密钥没有存储在所述第一密钥存储部时，就让所述密钥共享部，进行所述第一密钥的共享，并采用新共享的第一密钥向该通信终端请求加密通信。
2.如权利要求1所述的通信支持服务器，其特征在于，还配备从所述通信终端，经由所述加密通信部，受理该通信终端的识别信息及通信条件，并存储在所述通信条件存储部的通信条件受理部。
3.如权利要求1所述的通信支持服务器，其特征在于，还配备密钥发放控制部，该密钥发放控制部，当经由所述加密通信部，从进行通信的所述2个通信终端的一方接收到所述通信开始请求时，将所述第二密钥信息生成部生成的第二密钥信息，与该通信开始请求一起向所述2个通信终端的另一方发送，并应答所发送的通信开始请求，当经由所述加密通信部从所述另一方接收到通信开始许可时，将所述第2密钥生成部生成的第2密钥的信息，与接收到的通信开始许可一起向所述一方发送。
4.如权利要求1所述的通信支持服务器，其特征在于，还配备第一密钥删除部，该第一密钥删除部，参照所述第一密钥存储部存储的各个的第一密钥的有效期限，将现在的时间超过了所述有效期限的第一密钥从所述第一密钥存储部删除。
5.如权利要求4所述的通信支持服务器，其特征在于，还配备密钥发放控制部，该密钥发放控制部，当经由所述加密通信部，从进行加密通信的所述2个通信终端的一方接收到所述通信开始请求时，将所述第二密钥信息生成部生成的第二密钥信息，与该通信开始请求一起向所述2个通信终端的另一方发送，应答已发送的通信开始请求，当经由所述加密通信部从所述另一方接收到通信开始许可时，将所述第2密钥生成部生成的第2密钥的信息，与接收到的通信开始许可一起向所述一方发送。
6.如权利要求4所述的通信支持服务器，其特征在于，还配备通信条件受理部，该通信条件受理部，从所述通信终端，经由所述加密通信部，受理该通信终端的识别信息及通信条件，并存储在所述通信条件存储部。
7.如权利要求6所述的通信支持服务器，其特征在于，还配备密钥发放控制部，该密钥发放控制部，当经由所述加密通信部，从进行通信的所述2个通信终端的一方接收到所述通信开始请求时，将所述第二密钥信息生成部生成的第二密钥信息，与该通信开始请求一起向所述2个通信终端的另一方发送，应答已发送的通信开始请求，当经由所述加密通信部从所述另一方接收到通信开始许可时，将所述第2密钥生成部生成的第2密钥的信息，与接收的通信开始许可一起向所述一方发送。
8.一种通信支持方法，其特征在于，该方法，是通信支持服务器支持通信终端之间的加密通信的通信支持方法，所述通信支持服务器，具有通信条件存储部，其在所述每个通信终端，将该通信终端可实施加密通信的通信条件，与该通信终端的识别信息对应起来进行存储；和第一密钥存储部，其在所述每个通信终端，将作为用于与该通信终端间的加密通信的密钥的第一密钥，与对应的有效期限一起，与所述通信终端的识别信息对应起来进行存储；所述通信支持方法，具有通信开始请求取得步骤，其把从所述终端接收到的已被加密的通信开始请求，用与该通信终端的识别信息对应起来存储在所述第一密钥存储部的所述第一密钥进行解密后，取得包含开始通信的2个所述通信终端的识别信息的通信开始请求共通通信条件提取步骤，其用所取得的所述通信开始请求内包含的2个所述通信终端的识别信息，参照所述通信条件存储部，提取作为该2个通信终端共通的通信条件的共通通信条件；第二密钥信息生成步骤，其生成依照提取出来的共通通信条件的第二密钥信息；第二密钥信息发送步骤，其对于包含于所述通信开始请求内的2个通信终端的每一个，采用与该通信终端的识别信息对应的第一密钥，将所述提取出来的共通通信条件及所述已生成的第二密钥信息加密后进行发送；和密钥共享步骤，其在所述通信开始请求取得步骤及所述第二密钥信息发送步骤的每一个之前，如果是所述第一密钥的有效期限经过之后时，或对应该通信终端识别信息的所述第一密钥没有存储在所述第一密钥存储部时，进行所述第一密钥的共享，将新共享的第一密钥，与该第一密钥的有效期限一起，与该通信终端的识别信息对应起来存储到所述第一密钥存储部。
9.一种通信支持系统，其特征在于，该通信支持系统，支持通信终端之间的加密通信，具有多个所述通信终端；和支持所述通信终端之间的通信的通信支持服务器；所述多个终端的每一个，具有终端侧密钥共享部，其进行作为用于所述通信支持服务器之间的加密通信的密钥的第一密钥的共享；终端侧第1密钥存储部，其将所述第一密钥，与所述第一密钥的有效期限对应起来进行存储；终端侧加密通信部，其用所述第一密钥，在与所述通信支持服务器之间进行加密通信；通信开始请求发送部，其将自身及通信对方的所述通信终端的识别信息，经由所述终端-服务器间加密通信部，与通信开始请求一起发送给所述通信支持服务器；第二密钥信息接收部，其响应所述通信开始请求发送部与所述识别信息一起已发送的通信开始请求，接收作为用于在所述自身以及在通信对方的通信终端之间的加密通信的密钥的或用来算出该密钥的种信息的第二密钥信息；第二密钥存储部，其将所述第二密钥信息接收部接收到的第二密钥信息，与通信对方的所述通信终端的识别信息对应起来进行存储；和终端间加密通信部，其利用由作为所述第二密钥信息接收部接收到的第二密钥信息的所述密钥或所述种信息生成的所述密钥，在与通信对方的所述通信终端之间进行加密通信；所述通信支持服务器，具有通信条件存储部，其在所述每个通信终端，将该通信终端可实施的加密通信的通信条件，与该通信终端的识别信息对应起来进行存储；密钥共享部，其在与所述通信终端之间，进行作为用于与该通信终端的加密通信的密钥的第一密钥的共享；服务器侧第一密钥存储部，其将通过所述服务器侧的密钥共享部在所述通信终端之间已共享的第一密钥，与对应的有效期限一起，与所述通信终端的识别信息对应起来进行存储；服务器测加密通信部，其利用所述第一密钥，与具有与该第一密钥对应的识别信息的通信终端进行加密通信；共通通信条件提取部，其经由所述服务器-终端间加密通信部利用从所述通信终端接收到的通信开始请求内包含的2个所述通信终端的识别信息并参照所述通信条件存储部，将作为该2个通信终端共通的通信条件的共通通信条件提取出来；和第二密钥信息生成部，其生成遵从所述抽出的所述共通通信条件的加密通信中所使用的第二密钥信息，并将已生成的第二密钥信息与所述共通通信条件一起，经由所述服务器-终端间加密通信部，发送给所述2个通信终端的每一个；所述通信终端的终端-服务器间加密通信部，当向所述通信支持服务器请求加密通信时，当是与所述第一密钥对应的第一密钥的有效期限的经过之前时，利用该第一密钥，向所述通信支持服务器请求加密通信，当是所述第一密钥的有效期限的经过之后时，或该第一密钥没有存储在所述终端-服务器间用的存储部时，让所述终端侧的密钥共享部，进行用于与所述通信支持服务器间的加密通信的所述第一密钥的共享，并利用新共享的所述第一密钥，向该所述通信支持服务器请求加密通信，当所述通信支持服务器的服务器-终端间加密通信部，向所述通信终端请求加密通信时，当是与该通信终端的识别信息对应的第一密钥的有效期限经过之前时，利用与该通信终端的识别信息对应的所述第一密钥，向该通信终端请求加密通信，当是与该通信终端的识别信息对应的第一密钥的有效期限经过之后时，或对应该通信终端的识别信息的第一密钥没有存储在所述第一密钥存储部时，让所述密钥共享部，进行所述第一密钥的共享，并采用新共享的第一密钥，向该通信终端请求加密通信。
全文摘要
提供一种通信支持服务器(20)，它能减少伴随开始通信的信息处理装置(14)的认证处理产生的处理负荷。通信支持服务器(20)的加密通信部(208)，当在与信息处理装置(14)间收发信息时，在与该信息装置(14)的识别信息对应起来存储在加密密钥存储部(200)的第一密钥的有效期在经过之前时，就省略认证信息处理装置(14)的处理，用该第一密钥在与该信息处理装置(14)间进行加密通信，在该有效期经过之后时，或与该信息处理装置(14)的识别信息对应的第一密钥没有存储在加密密钥存储部(200)时，就让密钥共享部(202)，进行认证处理和用于与该信息处理装置(14)间的加密通信的第一密钥的共享处理，并用新共享的第一密钥进行与该信息处理装置(14)的加密通信。
文档编号H04L9/00GK1798021SQ200510097519
公开日2006年7月5日 申请日期2005年12月28日 优先权日2004年12月28日
发明者高田治, 藤城孝宏, 锻忠司, 星野和义 申请人:株式会社日立制作所