JP6497747B2 - 鍵交換方法、鍵交換システム - Google Patents

鍵交換方法、鍵交換システム Download PDF

Info

Publication number
JP6497747B2
JP6497747B2 JP2016083633A JP2016083633A JP6497747B2 JP 6497747 B2 JP6497747 B2 JP 6497747B2 JP 2016083633 A JP2016083633 A JP 2016083633A JP 2016083633 A JP2016083633 A JP 2016083633A JP 6497747 B2 JP6497747 B2 JP 6497747B2
Authority
JP
Japan
Prior art keywords
key
sid
communication device
distribution device
exclusive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016083633A
Other languages
English (en)
Other versions
JP2017194521A (ja
Inventor
鉄太郎 小林
鉄太郎 小林
仁 冨士
仁 冨士
具英 山本
具英 山本
麗生 吉田
麗生 吉田
祐人 川原
祐人 川原
一樹 米山
一樹 米山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Ibaraki University NUC
Original Assignee
Nippon Telegraph and Telephone Corp
Ibaraki University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Ibaraki University NUC filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016083633A priority Critical patent/JP6497747B2/ja
Priority to US15/487,895 priority patent/US10630465B2/en
Publication of JP2017194521A publication Critical patent/JP2017194521A/ja
Application granted granted Critical
Publication of JP6497747B2 publication Critical patent/JP6497747B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

この発明は情報セキュリティ技術の応用に関し、特に、グループを形成する複数のユーザが共通鍵を共有する鍵交換技術に関する。
従来からグループを形成する複数のユーザが共通鍵を共有する鍵交換技術が提案されている(例えば、非特許文献1、2参照)。非特許文献1には、そのような鍵交換技術を実現する情報システムのアーキテクチャが記載されている。非特許文献2には、そのような鍵交換技術のアルゴリズムが記載されている。
Suvo Mittra, "Iolus: a framework for scalable secure multicasting", SIGCOMM '97, pp. 277-288 "Scalable Multicast Key Distribution"、[online]、[平成28年3月4日検索]、インターネット<URL:https://tools.ietf.org/html/rfc1949>
非特許文献1、2に記載の従来技術では、予め共通鍵を共有するユーザを登録しておく必要があるため、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することはできない。また、ユーザ数をnとして、全体として鍵交換に必要な計算量はO(log n)となるため、ユーザ数の増大に従って鍵交換の計算量が増えるという問題がある。
この発明の目的は、このような点に鑑みて、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができ、鍵交換に必要な計算量を低減することができる鍵交換技術を提供することである。
上記の課題を解決するために、この発明の鍵交換方法は、nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、Ui(i=1, …, n+k)をn+k台の通信装置とし、通信装置U1, …, Unにより確立されたセッションに通信装置Un+1, …, Un+kが新たに参加する際の鍵交換方法であって、U1を上記通信装置U1, Un, Un+1, …, Un+kから選択された1台の代表通信装置とし、上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、上記通信装置Ui(i=1, …, n+k)の記憶部に、上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iが記憶されており、さらに、上記通信装置U1, …, Unの記憶部に、上記通信装置U1, …, Unにより確立されたセッションで生成された情報rが記憶されており、上記通信装置Ui(i=1, n, …, n+k)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=2, …, n-1)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成ステップと、上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cn+kを用いてsidを生成し、i=1, 2について(sid, Ri-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, Ri+1)を、i=n+1, …, n+kについて(sid, Ri-1, Ri+1)を上記通信装置Uiへ送信する(ただし、R0=Rn+K,Rn+k+1=R1とする)セッションID生成ステップと、上記代表通信装置U1が、擬似ランダム関数により(sid, Rn+k r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, gr1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置U2が、擬似ランダム関数により(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数により(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算し、(k2, s2, T2)を上記鍵配送装置Sへ送信し、上記通信装置Ui (i=3, …, n-2)が、(ki, si)を上記鍵配送装置Sへ送信し、上記通信装置Un-1が、擬似ランダム関数により(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数により(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算し、(kn-1, sn-1, Tn-1)を上記鍵配送装置Sへ送信し、上記通信装置Unが、擬似ランダム関数により(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数により(sid, Rn+1 rn)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算し、(kn, sn, Tn)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=n+1, …, n+k)が、擬似ランダム関数により(sid, Ri-1 ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Ri+1 ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn+k, ksの排他的論理和によりk'を計算し、i=2, …, n+kについてT1, …, Ti-1(ただし、i=3, …, n-1についてTiを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ送信し、(k', T'i, T')を上記通信装置Ui(i=2, …, n+k)へ送信する第三鍵生成ステップと、上記通信装置Ui(i=2, n, …, n+k)が、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、上記通信装置Ui(i=3, …, n-1)が、T'iとgrとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、上記通信装置Ui(i=1, …, n+k)が、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、を含む。
また、この発明の鍵交換方法は、nを2以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、Ui(i=1, …, n)をn台の通信装置とし、R={Uj1, …, Ujm}を{U1, …, Un}の部分集合とし、N={Uj1-1, Uj1+1, …, Ujm-1, Ujm+1}を{U1, …, Un}の部分集合とし、通信装置U1, …, Unにより確立されたセッションから通信装置Uj1, …, Ujm が離脱する際の鍵交換方法であって、U1(∈N)をNから選択された1台の代表通信装置とし、上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、上記通信装置Ui(i=1, …, n)の記憶部に、上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iと、上記通信装置U1, …, Unにより確立されたセッションで生成された情報Hi l、Hi rが記憶されており、上記通信装置Ui(∈N)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、上記通信装置Ui(∈({U1, …, Un}-R)-N)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成ステップと、上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数により{ci|iはUi∈{U1, …, Un}-Rを満たす}を用いてsidを生成し、Ui∈NかつUi+1∈Rとなるiについて(sid, Rj)を(ただし、jはUj∈Nかつj>iを満たす最小の添え字とする)、Ui∈NかつUi-1∈Rとなるiについて(sid, Rj')を(ただし、j'はUj'∈Nかつj'<iを満たす最大の添え字とする)、Ui∈({U1, …, Un}-R)-N となるiについてsidを上記通信装置Uiへ送信するセッションID生成ステップと、上記代表通信装置U1は、Uj=U3かつUj'=Un-1が成り立つ場合、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj'=Un-1かつU2∈Nが成り立つ場合、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, H1 r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj=U3かつUn∈Nが成り立つ場合、擬似ランダム関数により(sid, H1 l)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置Ui (iはUi∈NかつUi+1∈Rを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Rj ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈NかつUi-1∈Rを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Rj' ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈({U1, …, Un}-R)-Nを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、{ki|iはUi∈({U1, …, Un}-R)- {U1}を満たす}とksの排他的論理和によりk'を計算し、Ui∈{U1, …, Un}-Rを満たすiについてT1, …, Tj,…, Ti-1(ただし、Uj∈RとなるjについてはTjを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ送信し、(k', T'i, T')を上記通信装置Ui(∈({U1, …, Un}-R)- {U1})へ送信する第三鍵生成ステップと、上記通信装置Ui(∈({U1, …, Un}-R)- {U1})が、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、上記通信装置Ui(∈({U1, …, Un}-R))が、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、を含む。
この発明によれば、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。鍵交換に必要な計算量が、ユーザ数の定数回、すなわちO(1)となり、従来よりも削減されている。
図1は、鍵交換システムの機能構成を例示する図である。 図2(A)は、鍵配送装置の機能構成を例示する図である。図2(B)は、通信装置の機能構成を例示する図である。 図3は、鍵交換方法の処理フローを例示する図である。 図4は、鍵交換方法の処理フローを例示する図である。 図5は、ユーザ追加時の鍵交換方法の処理フローを例示する図である。 図6は、ユーザ削除時の鍵交換方法の処理フローを例示する図である。
実施形態の説明に先立って、この明細書における表記方法について説明する。
ある集合Setについて、Setから要素mをランダムに選ぶことを、m∈RSetと表記する。
あるアルゴリズムALGについて、入力xと乱数rに対してALGがyを出力することを、y←ALG(x;r)と表記する。なお、ALGが確定的アルゴリズムの場合は、乱数rは空である。
|・|は値・のビット長とする。
кをセキュリティパラメータとする。
F={Fк: Domк×FSк→Rngк}кを定義域{Domк}к、鍵空間{FSк}к、値域{Rngк}кを持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数Fкと真正ランダム関数RFк: Domк→Rngкが見分けられなければ、F={Fк}кを擬似ランダム関数族と呼ぶ。擬似ランダム関数の具体例は、例えば、下記参考文献1に記載されている。
〔参考文献1〕O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年
H={Hк: Domк→Rngк}кを定義域{Domк}к、値域{Rngк}кを持つハッシュ関数族とする。このとき、もし任意の多項式時間の攻撃者Aに対して、x∈RDomкを与えた上でHк(x)=Hк(x')となるようなx'(≠x)を見つけられなければ、H={Hк}кをターゲット衝突困難ハッシュ関数族と呼ぶ。ターゲット衝突困難ハッシュ関数の具体例は、例えば、下記参考文献2に記載されている。
〔参考文献2〕J.A.ブーフマン著、「暗号理論入門 原書第3版」、丸善出版、2007年
公開鍵暗号アルゴリズムを(Gen, Enc, Dec)とする。鍵生成アルゴリズムGenはセキュリティパラメータкを入力とし、公開鍵pkと秘密鍵skを出力する。暗号化アルゴリズムEncは公開鍵pkと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムDecは秘密鍵skと暗号文CTを入力とし、平文mを出力する。公開鍵暗号アルゴリズムの具体例は、例えば、上記参考文献2に記載されている。
メッセージ認証コードアルゴリズムを(MGen, Tag, Ver)とする。MAC鍵生成アルゴリズムMGenはセキュリティパラメータкを入力とし、MAC鍵mkを出力する。タグ生成アルゴリズムTagはMAC鍵mkと平文mを入力とし、認証タグσを出力する。検証アルゴリズムVerはMAC鍵mkと平文mと認証タグσを入力とし、認証タグσが正しければ1を、正しくなければ0を出力する。メッセージ認証コードアルゴリズムの具体例は、例えば、上記参考文献2に記載されている。
関数暗号アルゴリズムを(Setup, Der, FEnc, FDec)とする。セットアップアルゴリズムSetupはセキュリティパラメータкを入力とし、マスタ秘密鍵mskと公開パラメータParamsを出力する。鍵導出アルゴリズムDerは公開パラメータParamsとマスタ秘密鍵mskと属性Aを入力とし、ユーザ秘密鍵uskを出力する。暗号化アルゴリズムFEncは公開パラメータParamsとアクセス構造Pと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムFDecはユーザ秘密鍵uskと暗号文CTを入力とし、属性Aがアクセス構造Pを満たすならば平文mを出力する。関数暗号アルゴリズムの具体例は、例えば、下記参考文献3に記載されている。
〔参考文献3〕D. Boneh, A. Sahai, and B. Waters, “Functional encryption: definitions and challenges”, TCC, Lecture Notes in Computer Science, vol. 6597, pp. 253-273, 2011.
関数tPRF: {0, 1}к×FSк×{0, 1}к×FSк→Rngкをねじれ擬似ランダム関数と呼び、擬似ランダム関数Fкを用いて、
Figure 0006497747
と定義する。ただし、a, b'∈{0, 1}кであり、a', b∈FSкである。ねじれ擬似ランダム関数の具体例は、例えば、下記参考文献4に記載されている。
〔参考文献4〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
<システム構成>
実施形態の鍵交換システムは、図1に例示するように、鍵配送装置1およびN(≧2)台の通信装置21, …, 2Nを含む。この実施形態では、鍵配送装置1および通信装置21, …, 2Nはそれぞれ通信網3へ接続される。通信網3は、鍵配送装置1が通信装置21, …, 2Nそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。この実施形態では、通信装置21, …, 2N同士は通信できなくともよい。通信網3は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。
鍵配送装置1は、図2(A)に例示するように、記憶部100、セットアップ部101、公開鍵生成部102、秘密ストリング生成部103、ユーザ鍵送信部111、セッションID生成部113、認証タグ検証部114、第三鍵生成部115、および認証タグ生成部116を含む。通信装置2は、図2(B)に例示するように、記憶部200、公開鍵生成部202、秘密ストリング生成部203、ユーザ鍵受信部211、第一鍵生成部212、第二鍵生成部214、認証タグ生成部215、認証タグ検証部216、およびセッション鍵生成部217を含む。この鍵配送装置1および通信装置21, …, 2Nが、図3および図4に例示する各ステップの処理を行うことにより実施形態の鍵交換方法が実現される。
鍵配送装置1および通信装置21, …, 2Nは、例えば、中央演算処理装置(CPU: Central Processing Unit)、主記憶装置(RAM: Random Access Memory)などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。各装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。各装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。各装置が備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。
鍵配送装置1が備える記憶部100および通信装置21, …, 2Nが備える記憶部200は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。各記憶部は秘密情報を記憶するため、耐タンパ性を有する記憶装置(例えば、SIMカードなど)であることが望ましい。
<システムセットアップ>
図3を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。
以降の説明では、以下のように記号を定義する。Sは鍵配送装置1を示し、Ui(i∈{1, …, N})はN台の通信装置21, …, 2Nを示すものとする。Gをкビットの素数位数pの乗法巡回群とする。g, hをそれぞれ群Gの生成元とする。H: {0, 1}*→{0, 1}кをターゲット衝突困難ハッシュ関数とする。tPRF: {0, 1}к×FSк×{0, 1}к×FSк→Zp、tPRF': {0, 1}к×FSк×{0, 1}к×FSк→FSкをねじれ擬似ランダム関数とする。F: {0, 1}к×G→Zp 2、F': {0, 1}к×Zp→FSк、F": {0, 1}к×FSк→{0, 1}кを擬似ランダム関数とする。
ステップS101において、鍵配送装置Sのセットアップ部101は、関数暗号のセットアップアルゴリズムSetupにより公開パラメータParamsおよびマスタ秘密鍵mskを生成する。セットアップ部101は、公開パラメータParamsを通信装置U1, …, UNそれぞれへ送信する。マスタ秘密鍵mskは記憶部100へ記憶される。
ステップS102において、鍵配送装置Sの公開鍵生成部102は、公開鍵暗号の鍵生成アルゴリズムGenにより、鍵配送装置Sの公開鍵pkSおよび秘密鍵skSのペアを生成する。鍵配送装置Sの公開鍵pkSは、例えば公開鍵基盤等を用いて公開される。鍵配送装置Sの秘密鍵skSは記憶部100へ記憶される。
ステップS202において、通信装置Uiの公開鍵生成部202は、公開鍵暗号の鍵生成アルゴリズムGenにより、通信装置Uiの公開鍵pkiおよび秘密鍵skiのペアを生成する。通信装置Uiの公開鍵pkiは、例えば公開鍵基盤等を用いて公開される。通信装置Uiの秘密鍵skiは記憶部200へ記憶される。
ステップS103において、鍵配送装置Sの秘密ストリング生成部103は、ねじれ擬似ランダム関数で用いる秘密ストリング(stS, st'S)をstSRFSк、st'S∈{0, 1}кとして生成する。秘密ストリング(stS, st'S)は記憶部100へ記憶される。
ステップS203において、通信装置Uiの秘密ストリング生成部203は、ねじれ擬似ランダム関数で用いる秘密ストリング(sti, st'i)をstiRFSк、st'i∈{0, 1}кとして生成する。秘密ストリング(sti, st'i)は記憶部200へ記憶される。
ステップS104において、鍵配送装置Sは、各通信装置U1, …, UNの公開鍵pk1, …, pkNを例えば公開鍵基盤等から取得し、記憶部100へ記憶する。
ステップS204において、通信装置Uiは、鍵配送装置Sの公開鍵pkSを例えば公開鍵基盤等から取得し、記憶部200へ記憶する。また、鍵配送装置Sから受信した公開パラメータParamsを記憶部200へ記憶する。
<セッション鍵配送>
図4を参照して、実施形態の鍵交換方法におけるセッション鍵配送の処理手続きを説明する。
以下では、N台の通信装置21, …, 2Nのうち任意のn(≦N)台の通信装置Ui(i∈{1, …, n})がセッション鍵SKの共有を行うものとする。S, Uiを各アルゴリズムの入力とする場合、各装置を一意に特定する識別子を表すものとする。
ステップS111において、鍵配送装置Sのユーザ鍵送信部111は、通信装置Uiがセッションを開始したときに、そのセッションが通信装置UiのタイムフレームTFにおける最初のセッションだった場合、現在時刻をtimeとし、属性をAi=(Ui, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置Uiのユーザ秘密鍵uski←Der(Params, msk, Ai)を生成する。また、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置UiのMAC鍵mki←MGenを生成する。そして、公開鍵暗号の暗号化アルゴリズムEncにより、通信装置Uiの公開鍵pkiを用いてユーザ秘密鍵uskiおよびMAC鍵mkiを暗号化し、暗号文CTi←Encpki(uski, mki)を生成する。ユーザ鍵送信部111は、暗号文CTiを通信装置Uiへそれぞれ送信する。
ステップS211において、通信装置Uiのユーザ鍵受信部211は、公開鍵暗号の復号アルゴリズムDecにより、通信装置Uiの秘密鍵skiを用いて鍵配送装置Sから受信した暗号文CTiを復号し、ユーザ秘密鍵およびMAC鍵(uski, mki)←Decski(CTi)を得る。ユーザ鍵受信部211は、ユーザ秘密鍵uskiおよびMAC鍵mkiを記憶部200へ記憶する。
ステップS212において、通信装置Uiの擬似ランダム関数部212は、~riR{0, 1}к, ~r'iRFSк, ~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、ri=tPRF(~ri, ~r'i, sti, st'i), ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、Ri=gri, ci=gkihsiを計算する。そして、擬似ランダム関数部212は、(Ri, ci)を鍵配送装置Sへ送信する。
ステップS112において、鍵配送装置Sは、通信装置Uiから(Ri, ci)を受信する。このとき、すべての通信装置U1, …, Unから(R1, c1), …, (Rn, cn)を受信するまで待機する。
ステップS113において、鍵配送装置SのセッションID生成部113は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U1, …, Unから受信したc1, …, cnを用いて、sid=H(c1, …, cn)を生成する。また、n台の通信装置U1, …, Unから1台の通信装置を代表者として選択する。代表者の選択方法は任意であり、例えば、予め定めておいた優先順位が最も高い通信装置を選択してもよいし、直近でセッションを開始した通信装置を選択してもよい。ここでは、通信装置U1が選択されたものとし、U1を代表通信装置と呼ぶ。また、代表通信装置U1以外のn-1台の通信装置Uj(j∈{2, …, n})を一般通信装置と呼ぶ。セッションID生成部113は、次式のようにα, βを計算し、(sid, Rα, Rβ)を通信装置Uiへそれぞれ送信する。
Figure 0006497747
ステップS213において、通信装置Uiは、鍵配送装置Sから(sid, Rα, Rβ)をそれぞれ受信する。通信装置Uiは、(sid, Rα, Rβ)を受け取り次第、以降の処理を実行する。i=2, …, nの場合、すなわち通信装置Uiが通信装置Uj(i=j)であれば、ステップS214jへ処理を進める。i=1の場合、すなわち通信装置Uiが代表通信装置U1であれば、ステップS2141へ処理を進める。
ステップS214jにおいて、一般通信装置Ujの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rα rj)を用いてKj lを生成し、擬似ランダム関数Fにより(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算する。
Figure 0006497747
ステップS215jにおいて、一般通信装置Ujの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkjを用いて、認証タグσj=Tagmkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid)を生成する。認証タグ生成部215は、(kj, sj, Tj, σj)を鍵配送装置Sへ送信する。
ステップS2141において、代表通信装置U1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算する。ただし、||は連結演算子である。
Figure 0006497747
ステップS2151において、代表通信装置U1の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk1を用いて、認証タグσ1=Tagmk1(R1, c1, Rn, R2, T1, U1, sid)を生成する。認証タグ生成部215は、(T1, σ1)を鍵配送装置Sへ送信する。
ステップS114jにおいて、鍵配送装置Sの認証タグ検証部114は、j=2, …, nについて、一般通信装置Ujから(kj, sj, Tj, σj)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置UjのMAC鍵mkjを用いて、Vermkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, σj)を検証する。認証タグσjが正当でなければ一般通信装置Ujのセッションを終了する。また、j=2, …, nについて、cj=gkjhsjが成り立つか否かを検証する。成り立たなければ一般通信装置Ujのセッションを終了する。
ステップS1141において、鍵配送装置Sの認証タグ検証部114は、代表通信装置U1から(T1, σ1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U1のMAC鍵mk1を用いて、Vermk1(R1, c1, Rn, R2, T1, U1, sid, σ1)を検証する。認証タグσ1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS115aにおいて、鍵配送装置Sの第三鍵生成部115は、~kSR{0, 1}к, ~k'SRFSк, ~K1R{0, 1}к, ~K'1RFSкを生成し、ねじれ擬似ランダム関数tPRFにより、kS=tPRF(~kS, ~k'S, stS, st'S), K1=tPRF(~K1, ~K'1, stS, st'S)を計算する。また、次式により、k'を計算する。
Figure 0006497747
ステップS115bにおいて、鍵配送装置Sの第三鍵生成部115は、j=2, …, nについて、次式により、T'jを計算する。
Figure 0006497747
ステップS115cにおいて、鍵配送装置Sの第三鍵生成部115は、i=1, …, nについて、アクセス構造Pi=(ID=Ui)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K1を暗号化して、暗号文CT'i=FEnc(Params, Pi, K1)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。
ステップS116において、鍵配送装置Sの認証タグ生成部116は、j=2, …, nについて、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UjのMAC鍵mkjを用いて認証タグσ'j=Tagmkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'j)を生成する。認証タグ生成部116は、(c1, k', T'j, T1, CT'j, σ'j)を一般通信装置Ujへ送信する。
ステップS1161において、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U1のMAC鍵mk1を用いて、認証タグσ'1=Tagmk1(R1, c1, Rn, R2, T1, U1, sid, k', CT'1)を生成する。認証タグ生成部116は、(k', CT'1, σ'1)を代表通信装置U1へ送信する。
ステップS216jにおいて、一般通信装置Ujの認証タグ検証部216は、鍵配送装置Sから(c1, k', T'j, T1, CT'j, σ'j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置UjのMAC鍵mkjを用いて、Vermkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'j, σ'j)を検証する。認証タグσ'jが正当でなければ一般通信装置Ujのセッションを終了する。また、次式のように、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算する。
Figure 0006497747
そして、c1=gk1hs1が成り立つか否かを検証する。成り立たなければ一般通信装置Ujのセッションを終了する。
ステップS2161において、代表通信装置U1の認証タグ検証部216は、鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U1のMAC鍵mk1を用いて、Vermk1(R1, c1, Rn, R2, T1, U1, sid, k', CT'1, σ'1)を検証する。認証タグσ'1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS217において、通信装置Uiのセッション鍵生成部217は、関数暗号の復号アルゴリズムFDecにより、通信装置Uiのユーザ秘密鍵uskiを用いて、共通鍵K1←FDecuski(CT'i, Pi)を復号する。また、次式のように、擬似ランダム関数F'により共通鍵K2を計算する。
Figure 0006497747
そして、次式のように、擬似ランダム関数F"によりセッション鍵SKを計算する。
Figure 0006497747
上記のように構成することにより、この発明の鍵交換技術によれば、従来のように事前に鍵交換を行うユーザの情報を登録しておく必要がなく、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。また、従来は鍵交換に必要な全体の計算量がユーザ数をnとしてO(log n)となるが、この発明によればユーザ数の定数回、すなわちO(1)となるため、従来よりも少ない計算量で鍵交換ができる。
以下では、ユーザ追加時及びユーザ削除時の鍵交換方法の処理手続きについて説明する。通信装置Ui(i∈{1, …, n})でセッション鍵SKの共有が済んでいるものとする。鍵交換処理終了時(S217の後)に、ユーザ追加・ユーザ削除のために用いる秘密情報を各通信装置Uiは記憶部200に記憶する。代表通信装置U1は、次式で計算される秘密情報H1 l、H1 r、rを記憶部200に記憶する。
Figure 0006497747
ここで、F''': {0, 1}к×FSк→Zpを擬似ランダム関数とする。
一般通信装置Ui(i∈{2, …, n})は、次式で計算される秘密情報Hi l、Hi r、rを記憶部200に記憶する。
Figure 0006497747
<ユーザ追加>
通信装置U1, …, Unにより確立されたセッションに通信装置Un+1, …, Un+kが新たに参加するものとする(kは1以上の整数、n+kはN以下の整数)。以下、i∈{1, …, n+k}とする。
ステップS311において、鍵配送装置Sのユーザ鍵送信部111は、通信装置Ui(i=1, …, n+k)がセッションを開始したときに、そのセッションが通信装置UiのタイムフレームTF'における最初のセッションだった場合、現在時刻をtimeとし、属性をAi=(Ui, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置Uiのユーザ秘密鍵uski←Der(Params, msk, Ai)を生成する。また、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置UiのMAC鍵mki←MGenを生成する。そして、公開鍵暗号の暗号化アルゴリズムEncにより、通信装置Uiの公開鍵pkiを用いてユーザ秘密鍵uskiおよびMAC鍵mkiを暗号化し、暗号文CTi←Encpki(uski, mki)を生成する。ユーザ鍵送信部111は、暗号文CTiを通信装置Uiへそれぞれ送信する。
また、通信装置U1, …,Unにより確立されたセッションからタイムフレームが変更されていた場合、つまり、TF'とTFが等しくない場合、鍵配送装置Sは、~K1R{0, 1}к, ~K'1RFSкを生成し、ねじれ擬似ランダム関数tPRF'により、K1=tPRF'(~K1, ~K'1, stS, st'S)を計算する。なお、K1の計算は、後述するステップS315aにおいて鍵配送装置Sの第三鍵生成部115が行うのでよい。
ステップS411において、通信装置Uiのユーザ鍵受信部211は、公開鍵暗号の復号アルゴリズムDecにより、通信装置Uiの秘密鍵skiを用いて鍵配送装置Sから受信した暗号文CTiを復号し、ユーザ秘密鍵およびMAC鍵(uski, mki)←Decski(CTi)を得る。ユーザ鍵受信部211は、ユーザ秘密鍵uskiおよびMAC鍵mkiを記憶部200へ記憶する。
ステップS412において、i∈{1}∪[n, n+k]の場合、通信装置Uiの擬似ランダム関数部212は、~riR{0, 1}к, ~r'iRFSк, ~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、ri=tPRF(~ri, ~r'i, sti, st'i), ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、Ri=gri, ci=gkihsiを計算する。そして、擬似ランダム関数部212は、(Ri, ci)を鍵配送装置Sへ送信する。
i∈[2, n-1]の場合、通信装置Uiの擬似ランダム関数部212は、~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、ci=gkihsiを計算する。そして、擬似ランダム関数部212は、ciを鍵配送装置Sへ送信する。
ステップS312において、鍵配送装置Sは、通信装置Uiから(Ri, ci)またはciを受信する。このとき、すべての通信装置U1, …, Un+kから(R1, c1), c2,…, cn-1, (Rn, cn) ,…, (Rn+k, cn+k)を受信するまで待機する。
ステップS313において、鍵配送装置SのセッションID生成部113は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U1, …, Un+kから受信したc1, …, cn+kを用いて、sid=H(c1, …, cn+k)を生成する。また、k+2台の通信装置U1, Un , Un+1 ,…, Un+kから1台の通信装置を代表者として選択する。ここでは、通信装置U1が選択されたものとし、U1を代表通信装置と呼ぶ。また、代表通信装置U1以外のn+k-1台の通信装置Ui(i∈{2, …, n+k})を一般通信装置と呼ぶ。セッションID生成部113は、i∈[n+1, n+k]の場合、(sid, Ri-1, Ri+1)を通信装置Uiへそれぞれ送信する(ただし、Rn+k+1=R1とする)。また、i∈[1, 2]の場合、(sid, Ri-1)を通信装置Uiへそれぞれ送信する(ただし、R0=Rn+Kとする)。i∈[3, n-2]の場合、sidを通信装置Uiへそれぞれ送信する。i∈[n-1, n]の場合、(sid, Ri+1)を通信装置Uiへそれぞれ送信する。また、鍵配送装置Sは、U1には代表者であることを通知しておく。
ステップS413において、通信装置Uiは、鍵配送装置Sから(sid, Ri-1, Ri+1)、(sid, Ri-1)、sid、(sid, Ri+1)のいずれかをそれぞれ受信する。通信装置Uiは、(sid, Ri-1, Ri+1)、(sid, Ri-1)、sid、(sid, Ri+1)のいずれかを受け取り次第、以降の処理(具体的には、ステップS414とステップS415)を実行する。この処理は、i=1の場合、i=2の場合、i∈[3, n-2]の場合、i=n-1の場合、i=nの場合、i∈[n+1, n+k]の場合の6つに場合分けして実行される。ただし、i∈[3, n-2]の場合、ステップS414ではなにも処理しない。つまり、通信装置Uiは、sidを受け取り次第、ステップS415の処理を実行する。
i=1の場合、ステップS414において、代表通信装置U1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rn+k r1)を用いてK1 lを生成し、擬似ランダム関数Fにより(sid, gr1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算する。ただし、||は連結演算子である。
Figure 0006497747
ステップS415において、代表通信装置U1の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk1を用いて、認証タグσ1=Tagmk1(R1, c1, Rn+k, T1, T', U1, sid)を生成する。認証タグ生成部215は、(T1, T', σ1)を鍵配送装置Sへ送信する。
i=2の場合、ステップS414において、通信装置U2の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数Fにより(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算する。
Figure 0006497747
ステップS415において、通信装置U2の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk2を用いて、認証タグσ2=Tagmk2(c2, R1, k2, s2, T2, U2, sid)を生成する。認証タグ生成部215は、(k2, s2, T2, σ2)を鍵配送装置Sへ送信する。
i∈[3, n-2]の場合、ステップS415において、通信装置Uiの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkiを用いて、認証タグσi=Tagmki(ci, ki, si, Ui, sid)を生成する。認証タグ生成部215は、(ki, si, σi)を鍵配送装置Sへ送信する。
i=n-1の場合、ステップS414において、通信装置Un-1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数Fにより(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算する。
Figure 0006497747
ステップS415において、通信装置Un-1の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkn-1を用いて、認証タグσn-1=Tagmkn-1(cn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sid)を生成する。認証タグ生成部215は、(kn-1, sn-1, Tn-1, σn-1)を鍵配送装置Sへ送信する。
i=nの場合、ステップS414において、通信装置Unの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数Fにより(sid, Rn+1 rn)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算する。
Figure 0006497747
ステップS415において、通信装置Unの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mknを用いて、認証タグσn=Tagmkn(Rn, cn, Rn+1, kn, sn, Tn, Un, sid)を生成する。認証タグ生成部215は、(kn, sn, Tn, σn)を鍵配送装置Sへ送信する。
i∈[n+1, n+k]の場合、ステップS414において、通信装置Uiの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Ri-1 ri)を用いてKi lを生成し、擬似ランダム関数Fにより(sid, Ri+1 ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算する。
Figure 0006497747
ステップS415において、通信装置Uiの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkiを用いて、認証タグσi=Tagmki(Ri, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sid)を生成する。認証タグ生成部215は、(ki, si, Ti, σi)を鍵配送装置Sへ送信する。
ステップS314において、鍵配送装置Sの認証タグ検証部114は、代表通信装置U1から(T1, T', σ1)を受信し、i=2, n-1, …, n+kについて、一般通信装置Uiから(ki, si, Ti, σi)を受信し、i=3, …, n-2について、一般通信装置Uiから(ki, si, σi)を受信し、メッセージ認証コードの検証アルゴリズムVerにより検証する。認証タグσi (i=1, …, n+k) が正当でなければ通信装置Uiのセッションを終了する。また、i=2, …, n+kについて、ci=gkihsiが成り立つか否かを検証する。成り立たなければ一般通信装置Uiのセッションを終了する。
ステップS315aにおいて、鍵配送装置Sの第三鍵生成部115は、~kSR{0, 1}к, ~k'SRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、kS=tPRF(~kS, ~k'S, stS, st'S)を計算する。また、次式により、k'を計算する。
Figure 0006497747
ステップS315bにおいて、鍵配送装置Sの第三鍵生成部115は、i=2, …, n+kについて、次式により、T'iを計算する。
Figure 0006497747
ただし、i=3, …, n-1について、Tiを空とする。したがって、T3'=…=Tn-1'となる。
ステップS315cにおいて、鍵配送装置Sの第三鍵生成部115は、i=1, …, n+kについて、アクセス構造Pi=(ID=Ui)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K1を暗号化して、暗号文CT'i=FEnc(Params, Pi, K1)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。
ステップS316において、鍵配送装置Sは認証タグを生成し、通信装置Uiに送信する。この処理は、i=1の場合、i=2の場合、i∈[3, n-2]の場合、i=n-1の場合、i=nの場合、i∈[n+1, n+k]の場合の6つに場合分けして実行される。
i=1の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U1のMAC鍵mk1を用いて、認証タグσ'1=Tagmk1(R1, c1, Rn+k, T1, T', U1, sid, k', CT'1)を生成する。認証タグ生成部116は、(k', CT'1, σ'1)を代表通信装置U1へ送信する。
i=2の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U2のMAC鍵mk2を用いて認証タグσ'2=Tagmk2(c2, R1, k2, s2, T2, U2, sid, c1, k', T'2, T', CT'2)を生成する。認証タグ生成部116は、(c1, k', T'2, T', CT'2, σ'2)を一般通信装置U2へ送信する。
i∈[3, n-2]の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UiのMAC鍵mkiを用いて認証タグσ'i= Tagmki(ci, ki, si, Ui, sid, c1, k', T'i, T', CT'i)を生成する。認証タグ生成部116は、(c1, k', T'i, T', CT'i, σ'i)を一般通信装置Uiへ送信する。
i=n-1の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置Un-1のMAC鍵mkn-1を用いて認証タグσ'n-1= Tagmkn-1(cn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sid, c1, k', T'n-1, T', CT'n-1)を生成する。認証タグ生成部116は、(c1, k', T'n-1, T', CT'n-1, σ'n-1)を一般通信装置Un-1へ送信する。
i=nの場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UnのMAC鍵mknを用いて認証タグσ'n=Tagmkn(Rn, cn, Rn+1, kn, sn, Tn, Un, sid, c1, k', T'n, T', CT'n)を生成する。認証タグ生成部116は、(c1, k', T'n, T', CT'n, σ'n)を一般通信装置Unへ送信する。
i∈[n+1, n+k]の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UiのMAC鍵mkiを用いて認証タグσ'i= Tagmki(Ri, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'i)を生成する。認証タグ生成部116は、(c1, k', T'i, T', CT'i, σ'i)を一般通信装置Uiへ送信する。
ステップS416において、i∈[2, n+k]の場合、一般通信装置Uiの認証タグ検証部216は、鍵配送装置Sから(c1, k', T'i, T', CT'i, σ'i)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'iが正当でなければ一般通信装置Uiのセッションを終了する。また、i=2, n, …, n+kについては、T'iとKi lとの排他的論理和によりK1 lを計算し、i=3, …, n-1については、T'iとgrとの排他的論理和によりK1 lを計算する。
Figure 0006497747
さらに、T'とK1 lとの排他的論理和によりk1||s1を計算する。
Figure 0006497747
そして、c1=gk1hs1が成り立つか否かを検証する。成り立たなければ一般通信装置Uiのセッションを終了する。
i=1の場合、代表通信装置U1の認証タグ検証部216は、鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS417において、通信装置Uiのセッション鍵生成部217は、関数暗号の復号アルゴリズムFDecにより、通信装置Uiのユーザ秘密鍵uskiを用いて、共通鍵K1←FDecuski(CT'i, Pi)を復号する。また、次式のように、擬似ランダム関数F'により共通鍵K2を計算する。
Figure 0006497747
そして、次式のように、擬似ランダム関数F"によりセッション鍵SKを計算する。
Figure 0006497747
最後に、ユーザ追加・ユーザ削除のために用いる秘密情報を通信装置Ui(i=1, …, n)は更新する。また、通信装置Ui(i=n+1, …, n+k) は新たに記憶部200に記憶する。代表通信装置U1は、次式で計算される秘密情報H1 l、rで記憶部200に記憶しているものを更新する。
Figure 0006497747
通信装置Ui(i=2, …, n-1)は、次式で計算される秘密情報rで記憶部200に記憶しているものを更新する。
Figure 0006497747
通信装置Unは、次式で計算される秘密情報Hn r、rで記憶部200に記憶しているものを更新する。
Figure 0006497747
通信装置Ui(i=n+1, …, n+k) は、次式で計算される秘密情報Hi l、Hi r、rを記憶部200に記憶する。
Figure 0006497747
上記のように構成することにより、この発明の鍵交換技術によれば、従来のように事前に鍵交換を行うユーザの情報を登録しておく必要がなく、ユーザ追加時にも効率的に共通鍵を共有することができる。具体的には、鍵交換に必要な全体の計算量はユーザ数の定数回、すなわちO(1)となる。
<ユーザ削除>
通信装置U1, …, Unにより確立されたセッションから通信装置Uj1, …, Ujm が離脱するものとする。以下、R={Uj1, …, Ujm}とする。また、N={Uj1-1, Uj1+1, …, Ujm-1, Ujm+1}とする。したがって、R、Nはいずれも{U1, …, Un}の部分集合となる。
なお、U1∈Nとしても一般性を失わない。そこで、U1∈Nを仮定する。
ステップS511において、鍵配送装置Sのユーザ鍵送信部111は、通信装置Ui(i∈{1, …, n}-R)がセッションを開始したときに、そのセッションが通信装置UiのタイムフレームTF'における最初のセッションだった場合、現在時刻をtimeとし、属性をAi=(Ui, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置Uiのユーザ秘密鍵uski←Der(Params, msk, Ai)を生成する。また、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置UiのMAC鍵mki←MGenを生成する。そして、公開鍵暗号の暗号化アルゴリズムEncにより、通信装置Uiの公開鍵pkiを用いてユーザ秘密鍵uskiおよびMAC鍵mkiを暗号化し、暗号文CTi←Encpki(uski, mki)を生成する。ユーザ鍵送信部111は、暗号文CTiを通信装置Uiへそれぞれ送信する。
また、通信装置U1, …, Unにより確立されたセッションからタイムフレームが変更されていた場合、つまり、TF'とTFが等しくない場合、鍵配送装置Sは、~K1R{0, 1}к, ~K'1RFSкを生成し、ねじれ擬似ランダム関数tPRF'により、K1=tPRF'(~K1, ~K'1, stS, st'S)を計算する。なお、K1の計算は、後述するステップS515aにおいて鍵配送装置Sの第三鍵生成部115が行うのでよい。
ステップS611において、通信装置Uiのユーザ鍵受信部211は、公開鍵暗号の復号アルゴリズムDecにより、通信装置Uiの秘密鍵skiを用いて鍵配送装置Sから受信した暗号文CTiを復号し、ユーザ秘密鍵およびMAC鍵(uski, mki)←Decski(CTi)を得る。ユーザ鍵受信部211は、ユーザ秘密鍵uskiおよびMAC鍵mkiを記憶部200へ記憶する。
ステップS612において、Ui∈Nの場合、通信装置Uiの擬似ランダム関数部212は、~riR{0, 1}к, ~r'iRFSк, ~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、ri=tPRF(~ri, ~r'i, sti, st'i), ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、Ri=gri, ci=gkihsiを計算する。そして、擬似ランダム関数部212は、(Ri, ci)を鍵配送装置Sへ送信する。
Ui∈({U1, …, Un}-R)-Nの場合、通信装置Uiの擬似ランダム関数部212は、~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、ci=gkihsiを計算する。そして、擬似ランダム関数部212は、ciを鍵配送装置Sへ送信する。
ステップS512において、鍵配送装置Sは、通信装置Ui∈Nから(Ri, ci)を、通信装置Ui ∈({U1, …, Un}-R)-Nからまたはciを受信する。このとき、すべての通信装置Uiから(Ri, ci)またはciを受信するまで待機する。
ステップS513において、鍵配送装置SのセッションID生成部113は、ターゲット衝突困難ハッシュ関数Hにより、通信装置Ui∈{U1, …, Un}-Rから受信した{ci}を用いて、sid=H({ci})を生成する。また、通信装置Ui∈Nから1台の通信装置を代表者として選択する。ここでは、通信装置U1が選択されたものとし、U1を代表通信装置と呼ぶ。また、代表通信装置U1以外のn-1-m台の通信装置Ui∈{U2, …, Un}-Rを一般通信装置と呼ぶ。セッションID生成部113は、Ui∈NかつUi+1∈Rとなるiについては、(sid, Rj)を通信装置Uiへそれぞれ送信する(ただし、jはUj∈Nかつj>iを満たす最小の添え字とする)。また、Ui∈NかつUi-1∈Rとなるiについては、(sid, Rj')を通信装置Uiへそれぞれ送信する(ただし、j'はUj'∈Nかつj'<iを満たす最大の添え字とする)。Ui∈({U1, …, Un}-R)-Nの場合、sidを通信装置Uiへそれぞれ送信する。また、鍵配送装置Sは、U1には代表者であることを通知しておく。
ステップS613において、通信装置Uiは、鍵配送装置Sから(sid, Rj)、(sid, Rj')、sidのいずれかをそれぞれ受信する。通信装置Uiは、(sid, Rj)、(sid, Rj')、sidのいずれかを受け取り次第、以降の処理(具体的には、ステップS614とステップS615)を実行する。この処理は、i=1の場合、Ui∈NかつUi+1∈Rを満たすi(iは1でない)の場合、Ui∈NかつUi-1∈Rを満たすi(iは1でない)の場合、Ui∈({U1, …, Un}-R)-Nを満たすi(iは1でない)の場合の4つに場合分けして実行される。さらに、i=1の場合については、3つに場合分けして実行される。
i=1の場合、ステップS614において、Uj=U3かつUj'=Un-1か、Uj'=Un-1かつU2∈Nか、Uj= U3かつUn∈Nのいずれかが成り立つ。Uj=U3かつUj'=Un-1が成り立つとき、代表通信装置U1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数Fにより(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算する。ただし、||は連結演算子である。
Figure 0006497747
Uj'=Un-1かつU2∈Nが成り立つとき、代表通信装置U1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数Fにより(sid, H1 r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算する。ただし、||は連結演算子である。
Figure 0006497747
Uj=U3かつUn∈Nが成り立つとき、代表通信装置U1の第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, H1 l)を用いてK1 lを生成し、擬似ランダム関数Fにより(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算する。ただし、||は連結演算子である。
Figure 0006497747
ステップS615において、代表通信装置U1の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk1を用いて、認証タグσ1=Tagmk1(R1, c1, (R3, Rn-1), T1, T', U1, sid)を生成する。認証タグ生成部215は、(T1, T', σ1)を鍵配送装置Sへ送信する。
Ui∈NかつUi+1∈Rとなるi(iは1でない)については、ステップS614において、通信装置Uiの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数Fにより(sid, Rj ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算する。
Figure 0006497747
ステップS615において、通信装置Uiの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkiを用いて、認証タグσi=Tagmki(Ri, ci, Rj, ki, si, Ti, Ui, sid)を生成する。認証タグ生成部215は、(ki, si, Ti, σi)を鍵配送装置Sへ送信する。
Ui∈NかつUi-1∈Rとなるi(iは1でない)については、ステップS614において、通信装置Uiの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Rj' ri)を用いてKi lを生成し、擬似ランダム関数Fにより(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算する。
Figure 0006497747
ステップS615において、通信装置Uiの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkiを用いて、認証タグσi=Tagmki(Ri, ci, Rj', ki, si, Ti, Ui, sid)を生成する。認証タグ生成部215は、(ki, si, Ti, σi)を鍵配送装置Sへ送信する。
Ui∈({U1, …, Un}-R)-Nとなるi(iは1でない)については、ステップS614において、通信装置Uiの第二鍵生成部214は、次式のように、擬似ランダム関数Fにより(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数Fにより(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算する。
Figure 0006497747
ステップS615において、通信装置Uiの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkiを用いて、認証タグσi=Tagmki(ci, ki, si, Ti, Ui, sid)を生成する。認証タグ生成部215は、(ki, si, Ti, σi)を鍵配送装置Sへ送信する。
ステップS514において、鍵配送装置Sの認証タグ検証部114は、代表通信装置U1から(T1, T', σ1)を受信し、それ以外の一般通信装置Ui、つまり、Ui∈({U1, …, Un}-R)- {U1}から(ki, si, Ti, σi)を受信し、メッセージ認証コードの検証アルゴリズムVerにより検証する。認証タグσiが正当でなければ通信装置Uiのセッションを終了する。また、Ui∈({U1, …, Un}-R)- {U1}の場合、ci=gkihsiが成り立つか否かを検証する。成り立たなければ一般通信装置Uiのセッションを終了する。
ステップS515aにおいて、鍵配送装置Sの第三鍵生成部115は、~kSR{0, 1}к, ~k'SRFSкを生成し、ねじれ擬似ランダム関数tPRFにより、kS=tPRF(~kS, ~k'S, stS, st'S)を計算する。Ui∈({U1, …, Un}-R)- {U1}となるiに対して、次式により、k'を計算する。
Figure 0006497747
ステップS515bにおいて、鍵配送装置Sの第三鍵生成部115は、Ui∈{U1, …, Un}-Rの場合、次式により、T'iを計算する。
Figure 0006497747
ただし、Uj∈RとなるjについてはTjを空とする。
ステップS515cにおいて、鍵配送装置Sの第三鍵生成部115は、Ui∈{U1, …, Un}-Rとなるiについて、アクセス構造Pi=(ID=Ui)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K1を暗号化して、暗号文CT'i=FEnc(Params, Pi, K1)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。
ステップS516において、鍵配送装置Sは認証タグを生成し、通信装置Uiに送信する。この処理は、i=1の場合、Ui∈NかつUi+1∈Rを満たすiの場合、Ui∈NかつUi-1∈Rを満たすiの場合、Ui∈({U1, …, Un}-R)-Nを満たすiの場合の4つに場合分けして実行される。
i=1の場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U1のMAC鍵mk1を用いて、認証タグσ'1=Tagmk1(R1, c1, (R3, Rn-1), T1, T', U1, sid, k', CT'1)を生成する。認証タグ生成部116は、(k', CT'1, σ'1)を代表通信装置U1へ送信する。
Ui∈NかつUi+1∈Rとなるiの場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UiのMAC鍵mkiを用いて認証タグσ'i=Tagmki(Ri, ci, Rj, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'i)を生成する。認証タグ生成部116は、(c1, k', T'i, T', CT'i, σ'i)を一般通信装置Uiへ送信する。
Ui∈NかつUi-1∈Rとなるiの場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UiのMAC鍵mkiを用いて認証タグσ'i=Tagmki(Ri, ci, Rj', ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'i)を生成する。認証タグ生成部116は、(c1, k', T'i, T', CT'i, σ'i)を一般通信装置Uiへ送信する。
Ui∈({U1, …, Un}-R)-Nとなるiの場合、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UiのMAC鍵mkiを用いて認証タグσ'i=Tagmki(ci, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'i)を生成する。認証タグ生成部116は、(c1, k', T'i, T', CT'i, σ'i)を一般通信装置Uiへ送信する。
ステップS616において、Ui∈({U1, …, Un}-R)- {U1}となるiについて、一般通信装置Uiの認証タグ検証部216は、鍵配送装置Sから(c1, k', T'i, T', CT'i, σ'i)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'iが正当でなければ一般通信装置Uiのセッションを終了する。また、次式のように、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する。
Figure 0006497747
そして、c1=gk1hs1が成り立つか否かを検証する。成り立たなければ一般通信装置Uiのセッションを終了する。
i=1の場合、代表通信装置U1の認証タグ検証部216は、鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS617において、通信装置Uiのセッション鍵生成部217は、関数暗号の復号アルゴリズムFDecにより、通信装置Uiのユーザ秘密鍵uskiを用いて、共通鍵K1←FDecuski(CT'i, Pi)を復号する。また、次式のように、擬似ランダム関数F'により共通鍵K2を計算する。
Figure 0006497747
そして、次式のように、擬似ランダム関数F"によりセッション鍵SKを計算する。
Figure 0006497747
最後に、ユーザ追加・ユーザ削除のために用いる秘密情報を通信装置Ui∈{U1, …, Un}-Rは更新する。通信装置Uiは、次式で計算される秘密情報rで記憶部200に記憶しているものを更新する。
Figure 0006497747
また、代表通信装置U1は、次式で計算される秘密情報H1 r(U2∈Rの場合)、H1 l(Un∈Rの場合)で記憶部200に記憶しているものを更新する。
Figure 0006497747
Ui∈NかつUi+1∈Rを満たすiについて、通信装置Uiは、次式で計算される秘密情報Hi rで記憶部200に記憶しているものを更新する。
Figure 0006497747
Ui∈NかつUi-1∈Rを満たすiについて、通信装置Uiは、次式で計算される秘密情報Hi lで記憶部200に記憶しているものを更新する。
Figure 0006497747
上記のように構成することにより、この発明の鍵交換技術によれば、従来のように事前に鍵交換を行うユーザの情報を登録しておく必要がなく、ユーザ削除時にも効率的に共通鍵を共有することができる。具体的には、鍵交換に必要な全体の計算量はユーザ数の定数回、すなわちO(1)となる。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[プログラム、記録媒体]
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1 鍵配送装置
2 通信装置
3 通信網
100 記憶部
101 セットアップ部
102 公開鍵生成部
103 秘密ストリング生成部
111 ユーザ鍵送信部
113 セッションID生成部
114 認証タグ検証部
115 第三鍵生成部
116 認証タグ生成部
200 記憶部
202 公開鍵生成部
203 秘密ストリング生成部
211 ユーザ鍵受信部
212 第一鍵生成部
214 第二鍵生成部
215 認証タグ生成部
216 認証タグ検証部
217 セッション鍵生成部

Claims (8)

  1. nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、Ui(i=1, …, n+k)をn+k台の通信装置とし、通信装置U1, …, Unにより確立されたセッションに通信装置Un+1, …, Un+kが新たに参加する際の鍵交換方法であって、
    U1を上記通信装置U1, Un, Un+1, …, Un+kから選択された1台の代表通信装置とし、
    上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、
    上記通信装置Ui(i=1, …, n+k)の記憶部に、上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iが記憶されており、
    さらに、上記通信装置U1, …, Unの記憶部に、上記通信装置U1, …, Unにより確立されたセッションで生成された情報rが記憶されており、
    上記通信装置Ui(i=1, n, …, n+k)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=2, …, n-1)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成ステップと、
    上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cn+kを用いてsidを生成し、i=1, 2について(sid, Ri-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, Ri+1)を、i=n+1, …, n+kについて(sid, Ri-1, Ri+1)を上記通信装置Uiへ送信する(ただし、R0=Rn+K ,Rn+k+1=R1とする)セッションID生成ステップと、
    上記代表通信装置U1が、擬似ランダム関数により(sid, Rn+k r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, gr1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置U2が、擬似ランダム関数により(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数により(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算し、(k2, s2, T2)を上記鍵配送装置Sへ送信し、上記通信装置Ui (i=3, …, n-2)が、(ki, si)を上記鍵配送装置Sへ送信し、上記通信装置Un-1が、擬似ランダム関数により(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数により(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算し、(kn-1, sn-1, Tn-1)を上記鍵配送装置Sへ送信し、上記通信装置Unが、擬似ランダム関数により(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数により(sid, Rn+1 rn)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算し、(kn, sn, Tn)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=n+1, …, n+k)が、擬似ランダム関数により(sid, Ri-1 ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Ri+1 ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、
    上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn+k, ksの排他的論理和によりk'を計算し、i=2, …, n+kについてT1, …, Ti-1(ただし、i=3, …, n-1についてTiを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ送信し、(k', T'i, T')を上記通信装置Ui(i=2, …, n+k)へ送信する第三鍵生成ステップと、
    上記通信装置Ui(i=2, n, …, n+k)が、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、上記通信装置Ui(i=3, …, n-1)が、T'iとgrとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、
    上記通信装置Ui(i=1, …, n+k)が、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、
    を含む鍵交換方法。
  2. 請求項1に記載の鍵交換方法であって、
    timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
    上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskと、上記通信装置U1, …, Unにより確立されたセッションで生成された共通鍵K1がさらに記憶されており、
    上記鍵配送装置Sが、i=1, …, n+kについて属性をAi=(Ui, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵uskiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiを暗号化して暗号文CTiを生成するユーザ鍵送信ステップと、
    上記通信装置Ui(i=1, …, n+k)が、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiを得るユーザ鍵受信ステップと、
    をさらに含み、
    上記第三鍵生成ステップは、通信装置U1, …,Unにより確立されたセッションからタイムフレームが変更されていた場合は、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いて共通鍵K1を生成し、通信装置U1, …,Unにより確立されたセッションからタイムフレームが変更されていない場合は、上記鍵配送装置Sの記憶部に記憶した共通鍵K1を読出し、i=1, …, n+kについてアクセス構造をPi=(ID=Ui)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K1を暗号化して暗号文CT'iを生成するものであり、
    上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵uskiを用いて上記暗号文CT'iを復号して上記共通鍵K1を得、擬似ランダム関数により(sid, K1)を用いて生成した値と擬似ランダム関数により(sid, K2)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
    鍵交換方法。
  3. 請求項2に記載の鍵交換方法であって、
    上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mkiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを暗号化して上記暗号文CTiを生成するものであり、
    上記ユーザ鍵受信ステップは、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを得るものであり、
    上記代表通信装置U1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn+k, T1, T', U1, sidを用いて認証タグσ1を生成し、上記通信装置U2が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk2およびc2, R1, k2, s2, T2, U2, sidを用いて認証タグσ2を生成し、上記通信装置Ui(i=3, …, n-2)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびci, ki, si, Ui, sidを用いて認証タグσiを生成し、上記通信装置Un-1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkn-1およびcn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sidを用いて認証タグσn-1を生成し、上記通信装置Unが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mknおよびRn, cn, Rn+1, kn, sn, Tn, Un, sidを用いて認証タグσnを生成し、上記通信装置Ui(i=n+1, …, n+k)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sidを用いて認証タグσiを生成する第一認証タグ生成ステップと、
    上記鍵配送装置Sが、上記代表通信装置U1から(T1, T', σ1)を、上記通信装置Ui(i=2, n-1, …, n+k)から(ki, si, Ti, σi)を、上記通信装置Ui(i=3, …, n-2)から(ki, si, σi)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mki(i=1, …, n+k)を用いて上記認証タグσiを検証し、i=2, …, n+kについてci=gkihsiが成り立つか否かを検証する第一認証タグ検証ステップと、
    上記鍵配送装置Sが、i=1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn+k, T1, T', U1, sid, k', CT'1を用いて認証タグσ'1を生成し、i=2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk2およびc2, R1, k2, s2, T2, U2, sid, c1, k', T'2, T', CT'2を用いて認証タグσ'2を生成し、i=3, …, n-2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびci, ki, si, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成し、i=n-1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkn-1およびcn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sid, c1, k', T'n-1, T', CT'n-1を用いて認証タグσ'n-1を生成し、i=nについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mknおよびRn, cn, Rn+1, kn, sn, Tn, Un, sid, c1, k', T'n, T', CT'nを用いて認証タグσ'nを生成し、i=n+1, …, n+kについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成する第二認証タグ生成ステップと、
    上記代表通信装置U1が、上記鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1を用いて上記認証タグσ'1を検証し、上記通信装置Ui (i=2, …, n+k) が、上記鍵配送装置Sから(c1, k', T'i, T', CT'i, σ'i)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkiを用いて上記認証タグσ'iを検証し、c1=gk1hs1が成り立つか否かを検証する第二認証タグ検証ステップと、
    をさらに含む鍵交換方法。
  4. nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、
    鍵配送装置Sとn+k台の通信装置Ui(i=1, …, n+k)とを含む鍵交換システムであって、
    U1を上記通信装置U1, Un, Un+1, …, Un+kから選択された1台の代表通信装置とし、
    上記鍵配送装置Sは、
    上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sを記憶する記憶部と、
    上記通信装置Ui(i=1, n, …, n+k)から(Ri, ci)を、上記通信装置Ui(i=2, …, n-1)からciを受信し、ターゲット衝突困難ハッシュ関数によりc1, …, cn+kを用いてsidを生成し、i=1, 2について(sid, Ri-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, Ri+1)を、i= n+1, …, n+kについて(sid, Ri-1, Ri+1)を上記通信装置Uiへ送信する(ただし、R0=Rn+K ,Rn+k+1=R1とする)セッションID生成部と、
    上記代表通信装置U1から(T1, T')を、上記通信装置Ui (i=2 ,n-1 ,…, n+k)から(ki, si, Ti)を、上記通信装置Ui (i=3, …, n-2)から(ki, si)を受信し、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn+k, ksの排他的論理和によりk'を計算し、i=2, …, n+kについてT1, …, Ti-1(ただし、i=3, …, n-1についてTiを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ、(k', T'i, T')を上記通信装置Ui(i=2, …, n+k)へ送信する第三鍵生成部と、
    を含み、
    上記通信装置Ui(i=1, …, n+k)は、
    上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iを記憶し、i=1, …, nについては上記通信装置U1, …, Unにより確立されたセッションで生成された情報rをさらに記憶する記憶部と、
    i=1, n, …, n+kについて、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、i=2, …, n-1について、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成部と、
    i=1について、上記鍵配送装置Sから(sid, Rn+k)を受信し、擬似ランダム関数により(sid, Rn+k r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, gr1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、i=2について、上記鍵配送装置Sから(sid, R1)を受信し、擬似ランダム関数により(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数により(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算し、(k2, s2, T2)を上記鍵配送装置Sへ送信し、i=3, …, n-2について、上記鍵配送装置Sからsidを受信し、(ki, si)を上記鍵配送装置Sへ送信し、i=n-1について、上記鍵配送装置Sから(sid, Rn)を受信し、擬似ランダム関数により(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数により(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算し、(kn-1, sn-1, Tn-1)を上記鍵配送装置Sへ送信し、i=nについて、上記鍵配送装置Sから(sid, Rn+1)を受信し、擬似ランダム関数により(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数により(sid, Rn+1 rn)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算し、(kn, sn, Tn)を上記鍵配送装置Sへ送信し、i=n+1, …, n+kについて、上記鍵配送装置Sから(sid, Ri-1, Ri+1)を受信し、擬似ランダム関数により(sid, Ri-1 ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Ri+1 ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成部と、
    i=1については上記鍵配送装置Sからk'を受信し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、i=2, n, …, n+k については上記鍵配送装置Sから (k', T'i, T')を受信し、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、i=3, …, n-1については上記鍵配送装置Sから (k', T'i, T')を受信し、T'iとgrとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成するセッション鍵生成部と、
    を含む鍵交換システム。
  5. nを2以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、Ui(i=1, …, n)をn台の通信装置とし、R={Uj1, …, Ujm}を{U1, …, Un}の部分集合とし、N={Uj1-1, Uj1+1, …, Ujm-1, Ujm+1}を{U1, …, Un}の部分集合とし、通信装置U1, …, Unにより確立されたセッションから通信装置Uj1, …, Ujm が離脱する際の鍵交換方法であって、
    U1(∈N)をNから選択された1台の代表通信装置とし、
    上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、
    上記通信装置Ui(i=1, …, n)の記憶部に、上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iと、上記通信装置U1, …, Unにより確立されたセッションで生成された情報Hi l、Hi rが記憶されており、
    上記通信装置Ui(∈N)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、上記通信装置Ui(∈({U1, …, Un}-R)-N)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成ステップと、
    上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数により{ci|iはUi∈{U1, …, Un}-Rを満たす}を用いてsidを生成し、Ui∈NかつUi+1∈Rとなるiについて(sid, Rj)を(ただし、jはUj∈Nかつj>iを満たす最小の添え字とする)、Ui∈NかつUi-1∈Rとなるiについて(sid, Rj')を(ただし、j'はUj'∈Nかつj'<iを満たす最大の添え字とする)、Ui∈({U1, …, Un}-R)-N となるiについてsidを上記通信装置Uiへ送信するセッションID生成ステップと、
    上記代表通信装置U1は、Uj=U3かつUj'=Un-1が成り立つ場合、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj'=Un-1かつU2∈Nが成り立つ場合、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, H1 r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj=U3かつUn∈Nが成り立つ場合、擬似ランダム関数により(sid, H1 l)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置Ui (iはUi∈NかつUi+1∈Rを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Rj ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈NかつUi-1∈Rを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Rj' ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈({U1, …, Un}-R)-Nを満たす(ただし、iは1ではない))は、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、
    上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、{ki|iはUi∈({U1, …, Un}-R)- {U1}を満たす}とksの排他的論理和によりk'を計算し、Ui∈{U1, …, Un}-Rを満たすiについてT1, …, Tj,…, Ti-1(ただし、Uj∈RとなるjについてはTjを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ送信し、(k', T'i, T')を上記通信装置Ui(∈({U1, …, Un}-R)- {U1})へ送信する第三鍵生成ステップと、
    上記通信装置Ui(∈({U1, …, Un}-R)- {U1})が、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、
    上記通信装置Ui(∈({U1, …, Un}-R))が、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、
    を含む鍵交換方法。
  6. 請求項5に記載の鍵交換方法であって、
    timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
    上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskと、上記通信装置U1, …, Unにより確立されたセッションで生成された共通鍵K1がさらに記憶されており、
    上記鍵配送装置Sが、Ui∈{U1, …, Un}-Rを満たすiについて属性をAi=(Ui, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵uskiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiを暗号化して暗号文CTiを生成するユーザ鍵送信ステップと、
    上記通信装置Uiが、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiを得るユーザ鍵受信ステップと、
    をさらに含み、
    上記第三鍵生成ステップは、通信装置U1, …,Unにより確立されたセッションからタイムフレームが変更されていた場合は、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いて共通鍵K1を生成し、通信装置U1, …,Unにより確立されたセッションからタイムフレームが変更されていない場合は、上記鍵配送装置Sの記憶部に記憶した共通鍵K1を読出し、Ui∈{U1, …, Un}-Rを満たすiについてアクセス構造をPi=(ID=Ui)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K1を暗号化して暗号文CT'iを生成するものであり、
    上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵uskiを用いて上記暗号文CT'iを復号して上記共通鍵K1を得、擬似ランダム関数により(sid, K1)を用いて生成した値と擬似ランダム関数により(sid, K2)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
    鍵交換方法。
  7. 請求項6に記載の鍵交換方法であって、
    上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mkiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを暗号化して上記暗号文CTiを生成するものであり、
    上記ユーザ鍵受信ステップは、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを得るものであり、
    上記代表通信装置U1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, (R3, Rn-1), T1, T', U1, sidを用いて認証タグσ1を生成し、上記通信装置Ui(iはUi∈NかつUi+1∈Rを満たす)、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Rj, ki, si, Ti, Ui, sidを用いて認証タグσiを生成し、上記通信装置Ui(iはUi∈NかつUi-1∈Rを満たす)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Rj', ki, si, Ti, Ui, sidを用いて認証タグσiを生成し、上記通信装置U i(iはUi∈({U1, …, Un}-R)-Nを満たす)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびci, ki, si, Ti, Ui, sidを用いて認証タグσiを生成する第一認証タグ生成ステップと、
    上記鍵配送装置Sが、上記代表通信装置U1から(T1, T', σ1)を、上記通信装置Ui(∈({U1, …, Un}-R)- {U1})から(ki, si, Ti, σi)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mki(iはUi∈{U1, …, Un}-Rを満たす)を用いて上記認証タグσiを検証し、Ui∈({U1, …, Un}-R)- {U1}を満たすiについてci=gkihsiが成り立つか否かを検証する第一認証タグ検証ステップと、
    上記鍵配送装置Sが、i=1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, (R3, Rn-1), T1, T', U1, sid, k', CT'1を用いて認証タグσ'1を生成し、Ui∈NかつUi+1∈R を満たすiについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Rj, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成し、Ui∈NかつUi-1∈R を満たすiについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Rj', ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成し、Ui∈({U1, …, Un}-R)-N を満たすiについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkn-1およびci, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'n-1を生成する第二認証タグ生成ステップと、
    上記代表通信装置U1が、上記鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1を用いて上記認証タグσ'1を検証し、上記通信装置Ui (∈({U1, …, Un}-R)- {U1}) が、上記鍵配送装置Sから(c1, k', T'i, T', CT'i, σ'i)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkiを用いて上記認証タグσ'iを検証し、c1=gk1hs1が成り立つか否かを検証する第二認証タグ検証ステップと、
    をさらに含む鍵交換方法。
  8. nを2以上の整数とし、||を連結演算子とし、
    鍵配送装置Sとn台の通信装置Ui(i=1, …, n)とを含む鍵交換システムであって、
    R={Uj1, …, Ujm}を{U1, …, Un}の部分集合とし、N={Uj1-1, Uj1+1, …, Ujm-1, Ujm+1}を{U1, …, Un}の部分集合とし、U1(∈N)をNから選択された1台の代表通信装置とし、
    上記鍵配送装置Sは、
    上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sを記憶する記憶部と、
    上記通信装置Ui(∈N)から(Ri, ci)を、上記通信装置Ui(∈({U1, …, Un}-R)-N)からciを受信し、ターゲット衝突困難ハッシュ関数により{ci|iはUi∈{U1, …, Un}-Rを満たす}を用いてsidを生成し、Ui∈NかつUi+1∈Rとなるiについて(sid, Rj)を(ただし、jはUj∈Nかつj>iを満たす最小の添え字とする)、Ui∈NかつUi-1∈Rとなるiについて(sid, Rj')を(ただし、j'はUj'∈Nかつj'<iを満たす最大の添え字とする)、Ui∈({U1, …, Un}-R)-N となるiについてsidを上記通信装置Uiへ送信するセッションID生成部と、
    上記代表通信装置U1から(T1, T')を、上記通信装置Ui (∈({U1, …, Un}-R)- {U1})から(ki, si, Ti)を受信し、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、{ki|iはUi∈({U1, …, Un}-R)- {U1}を満たす}とksの排他的論理和によりk'を計算し、Ui∈{U1, …, Un}-Rを満たすiについてT1, …, Tj,…, Ti-1(ただし、Uj∈RとなるjについてはTjを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ、(k', T'i, T')を上記通信装置Ui(∈({U1, …, Un}-R)- {U1})へ送信する第三鍵生成部と、
    を含み、
    上記通信装置Ui(∈{U1, …, Un}-R)は、
    上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iと、上記通信装置U1, …, Unにより確立されたセッションで生成された情報Hi l、Hi rを記憶する記憶部と、
    Ui∈Nを満たすiについて、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、Ui∈({U1, …, Un}-R)-Nを満たすiについて、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gkihsiを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成部と、
    i=1について、Uj=U3かつUj'=Un-1が成り立つ場合、上記鍵配送装置Sから(sid, R3, Rn-1)を受信し、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj'=Un-1かつU2∈Nが成り立つ場合、上記鍵配送装置Sから(sid, Rn-1)を受信し、擬似ランダム関数により(sid, Rn-1 r1)を用いてK1 lを生成し、擬似ランダム関数により(sid, H1 r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、Uj=U3かつUn∈Nが成り立つ場合、上記鍵配送装置Sから(sid, R3)を受信し、擬似ランダム関数により(sid, H1 l)を用いてK1 lを生成し、擬似ランダム関数により(sid, R3 r1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈NかつUi+1∈Rを満たす(ただし、iは1ではない))は、上記鍵配送装置Sから(sid, Rj)を受信し、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Rj ri)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈NかつUi-1∈Rを満たす(ただし、iは1ではない))は、上記鍵配送装置Sから(sid, Rj')を受信し、擬似ランダム関数により(sid, Rj' ri)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信し、上記通信装置Ui(iはUi∈({U1, …, Un}-R)-Nを満たす(ただし、iは1ではない))は、上記鍵配送装置Sからsidを受信し、擬似ランダム関数により(sid, Hi l)を用いてKi lを生成し、擬似ランダム関数により(sid, Hi r)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成部と、
    i=1については上記鍵配送装置Sからk'を受信し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、Ui∈({U1, …, Un}-R)- {U1}を満たすiについては上記鍵配送装置Sから (k', T'i, T')を受信し、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成するセッション鍵生成部と、
    を含む鍵交換システム。
JP2016083633A 2016-04-19 2016-04-19 鍵交換方法、鍵交換システム Active JP6497747B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016083633A JP6497747B2 (ja) 2016-04-19 2016-04-19 鍵交換方法、鍵交換システム
US15/487,895 US10630465B2 (en) 2016-04-19 2017-04-14 Key exchange method, key exchange system, communication device and storage medium therefore

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016083633A JP6497747B2 (ja) 2016-04-19 2016-04-19 鍵交換方法、鍵交換システム

Publications (2)

Publication Number Publication Date
JP2017194521A JP2017194521A (ja) 2017-10-26
JP6497747B2 true JP6497747B2 (ja) 2019-04-10

Family

ID=60038577

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016083633A Active JP6497747B2 (ja) 2016-04-19 2016-04-19 鍵交換方法、鍵交換システム

Country Status (2)

Country Link
US (1) US10630465B2 (ja)
JP (1) JP6497747B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109496404B (zh) * 2016-06-20 2021-09-03 日本电信电话株式会社 终端装置、密钥分发管理装置、服务器/客户***、通信方法、记录介质
US11483145B2 (en) * 2017-11-10 2022-10-25 Nippon Telegraph And Telephone Corporation Key exchange device, key exchange system, key exchange method, and key exchange program for exchanging a key with another device
CN108282330A (zh) * 2017-12-29 2018-07-13 平安科技(深圳)有限公司 密钥保存和获取装置、方法及计算机可读存储介质
JP2019125956A (ja) * 2018-01-18 2019-07-25 日本電信電話株式会社 鍵交換方法、鍵交換システム、鍵交換サーバ装置、通信装置、プログラム
CN109617916A (zh) * 2019-01-16 2019-04-12 北京云中融信网络科技有限公司 秘钥处理方法及即时通讯***
EP3767501A1 (en) * 2019-07-18 2021-01-20 Hewlett-Packard Development Company, L.P. User authentication
JPWO2021070838A1 (ja) * 2019-10-11 2021-04-15
US11947659B2 (en) * 2020-05-28 2024-04-02 Red Hat, Inc. Data distribution across multiple devices using a trusted execution environment in a mobile device
US11971980B2 (en) 2020-05-28 2024-04-30 Red Hat, Inc. Using trusted execution environments to perform a communal operation for mutually-untrusted devices
US11848924B2 (en) 2020-10-12 2023-12-19 Red Hat, Inc. Multi-factor system-to-system authentication using secure execution environments

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6049878A (en) * 1998-01-20 2000-04-11 Sun Microsystems, Inc. Efficient, secure multicasting with global knowledge
KR100579515B1 (ko) * 2004-10-08 2006-05-15 삼성전자주식회사 브로드캐스트 암호화를 위한 키 생성 장치 및 방법
US8132006B2 (en) * 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
WO2009019932A1 (ja) * 2007-08-09 2009-02-12 Nec Corporation 鍵交換装置
JP5365072B2 (ja) * 2007-12-11 2013-12-11 ソニー株式会社 鍵生成装置、暗号化装置、受信装置、鍵生成方法、暗号化方法、鍵処理方法およびプログラム
US8750507B2 (en) * 2010-01-25 2014-06-10 Cisco Technology, Inc. Dynamic group creation for managed key servers
JP5447544B2 (ja) * 2012-01-27 2014-03-19 沖電気工業株式会社 委託パラメータ情報生成装置、共有鍵合成装置、署名情報合成装置、通信装置、鍵共有被計算委託装置、署名情報生成被計算委託装置、被計算委託装置、鍵共有システム、署名情報検証システム及び通信システム
JP5806689B2 (ja) * 2013-01-15 2015-11-10 日本電信電話株式会社 三者間鍵共有システム、三者間鍵共有方法、ユーザ装置、プログラム
JP5931795B2 (ja) * 2013-05-09 2016-06-08 日本電信電話株式会社 鍵交換システム、鍵生成装置、通信装置、鍵交換方法及びプログラム
JP6000188B2 (ja) * 2013-05-16 2016-09-28 日本電信電話株式会社 鍵交換装置、鍵交換システム、鍵交換方法、およびプログラム
JP5945525B2 (ja) * 2013-09-30 2016-07-05 日本電信電話株式会社 鍵交換システム、鍵交換装置、その方法、及びプログラム
US9917692B2 (en) * 2014-05-26 2018-03-13 Nec Corporation Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program

Also Published As

Publication number Publication date
US20170302445A1 (en) 2017-10-19
US10630465B2 (en) 2020-04-21
JP2017194521A (ja) 2017-10-26

Similar Documents

Publication Publication Date Title
JP6497747B2 (ja) 鍵交換方法、鍵交換システム
WO2018043573A1 (ja) 鍵交換方法、鍵交換システム
CN105553648A (zh) 量子密钥分发、隐私放大及数据传输方法、装置及***
JP2009529832A (ja) 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信
KR20060095077A (ko) 계층적 문턱 트리에 기반한 브로드캐스트 암호화 방법
JP6592851B2 (ja) 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム
KR102432356B1 (ko) 키 생성 장치 및 방법, 암호화 장치 및 방법
KR20210139344A (ko) 데이터 기반 활동을 수행하는 방법 및 장치
JPWO2019093478A1 (ja) 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム
JP6368047B2 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム
CN113489591B (zh) 一种基于多授权中心的可追踪比较属性加密方法
US20170324563A1 (en) Encrypted text verification system, method, and recording medium
JP2019125956A (ja) 鍵交換方法、鍵交換システム、鍵交換サーバ装置、通信装置、プログラム
JP5799635B2 (ja) 暗号データ検索システム、装置、方法及びプログラム
US11451518B2 (en) Communication device, server device, concealed communication system, methods for the same, and program
Das A hybrid algorithm for secure cloud computing
JPWO2017170780A1 (ja) 暗号文照合システム、ノード装置、暗号文照合方法、およびプログラム
Divya et al. Security in data forwarding through elliptic curve cryptography in cloud
Yang et al. A password-authentication scheme based on ciphertext random sampling transmission
WO2022111823A1 (en) Devices and methods for supporting key management system for internet-of-things
JP5496957B2 (ja) 暗号化システム、復号方法、復号履歴蓄積サーバ、受信装置、送信装置、プログラム
CN117040860A (zh) 网络节点数据流通验证方法、装置、设备及存储介质
CN114765531A (zh) 认证方法、量子密钥调用方法、装置及量子密码网络
JP2015022097A (ja) 復号方法、鍵クラウドシステム、復号能力提供装置、端末装置、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180802

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190307

R150 Certificate of patent or registration of utility model

Ref document number: 6497747

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250