JPWO2016199507A1 - 鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム - Google Patents

鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム Download PDF

Info

Publication number
JPWO2016199507A1
JPWO2016199507A1 JP2017523147A JP2017523147A JPWO2016199507A1 JP WO2016199507 A1 JPWO2016199507 A1 JP WO2016199507A1 JP 2017523147 A JP2017523147 A JP 2017523147A JP 2017523147 A JP2017523147 A JP 2017523147A JP WO2016199507 A1 JPWO2016199507 A1 JP WO2016199507A1
Authority
JP
Japan
Prior art keywords
key
communication device
sid
secret
distribution device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017523147A
Other languages
English (en)
Other versions
JP6368047B2 (ja
Inventor
麗生 吉田
麗生 吉田
仁 冨士
仁 冨士
鉄太郎 小林
鉄太郎 小林
具英 山本
具英 山本
祐人 川原
祐人 川原
一樹 米山
一樹 米山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016199507A1 publication Critical patent/JPWO2016199507A1/ja
Application granted granted Critical
Publication of JP6368047B2 publication Critical patent/JP6368047B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

動的なメンバ変更を許しながら複数のユーザが共通鍵を共有し、鍵交換に必要な計算量を低減する。第一鍵生成部212がねじれ疑似ランダム関数を用いてRi, ciを計算する。セッションID生成部113がターゲット衝突困難ハッシュ関数によりsidを生成し、(sid, Rα, Rβ)を通信装置Uiへ送信する。代表通信装置U1の第二鍵生成部214が疑似ランダム関数を用いてT1を計算する。一般通信装置Ujの第二鍵生成部214が疑似ランダム関数を用いてTjを計算する。第三鍵生成部115がねじれ疑似ランダム関数を用いてk'を計算し、各jについてT'jを計算する。一般通信装置Ujのセッション鍵生成部217がKjl, k1を計算する。セッション鍵生成部217が疑似ランダム関数により共通鍵K2を生成する。

Description

この発明は情報セキュリティ技術の応用に関し、特に、グループを形成する複数のユーザが共通鍵を共有する鍵交換技術に関する。
従来からグループを形成する複数のユーザが共通鍵を共有する鍵交換技術が提案されている(例えば、非特許文献1、2参照)。非特許文献1には、そのような鍵交換技術を実現する情報システムのアーキテクチャが記載されている。非特許文献2には、そのような鍵交換技術のアルゴリズムが記載されている。
Suvo Mittra, "Iolus: a framework for scalable secure multicasting", SIGCOMM '97, pp. 277-288 "Scalable Multicast Key Distribution"、[online]、[平成27年6月5日検索]、インターネット<URL:https://tools.ietf.org/html/rfc1949>
非特許文献1、2に記載の従来技術では、予め共通鍵を共有するユーザを登録しておく必要があるため、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することはできない。また、ユーザ数をnとして、全体として鍵交換に必要な計算量はO(log n)となるため、ユーザ数の増大に従って鍵交換の計算量が増えるという問題がある。
この発明の目的は、このような点に鑑みて、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができ、鍵交換に必要な計算量を低減することができる鍵交換技術を提供することである。
上記の課題を解決するために、この発明の鍵交換方法は、nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、Uiをn台の通信装置とし、U1をn台の通信装置Uiから選択された1台の代表通信装置とし、Ujをn台の通信装置Uiから代表通信装置U1を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義される整数とし、
Figure 2016199507
鍵配送装置Sの記憶部に、鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、通信装置Uiの記憶部に、通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iが記憶されており、通信装置Uiが、ねじれ疑似ランダム関数により秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を鍵配送装置Sへ送信する第一鍵生成ステップと、鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を通信装置Uiへ送信するセッションID生成ステップと、代表通信装置U1が、疑似ランダム関数により(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算し、T1を鍵配送装置Sへ送信する代表第二鍵生成ステップと、一般通信装置Ujが、疑似ランダム関数により(sid, Rα rj)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を鍵配送装置Sへ送信する一般第二鍵生成ステップと、鍵配送装置Sが、ねじれ疑似ランダム関数により秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、k'を代表通信装置U1へ送信し、(k', T'j, T1)を一般通信装置Ujへ送信する第三鍵生成ステップと、一般通信装置Ujが、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、通信装置Uiが、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、を含む。
この発明によれば、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。鍵交換に必要な計算量が、ユーザ数の定数回、すなわちO(1)となり、従来よりも削減されている。
図1は、鍵交換システムの機能構成を例示する図である。 図2(A)は、鍵配送装置の機能構成を例示する図である。図2(B)は、通信装置の機能構成を例示する図である。 図3は、鍵交換方法の処理フローを例示する図である。 図4は、鍵交換方法の処理フローを例示する図である。
実施形態の説明に先立って、この明細書における表記方法について説明する。
ある集合Setについて、Setから要素mをランダムに選ぶことを、m∈RSetと表記する。
あるアルゴリズムALGについて、入力xと乱数rに対してALGがyを出力することを、y←ALG(x;r)と表記する。なお、ALGが確定的アルゴリズムの場合は、乱数rは空である。
|・|は値・のビット長とする。
кをセキュリティパラメータとする。
F={Fк: Domк×FSк→Rngк}кを定義域{Domк}к、鍵空間{FSк}к、値域{Rngк}кを持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数Fкと真正ランダム関数RFк: Domк→Rngкが見分けられなければ、F={Fк}кを疑似ランダム関数族と呼ぶ。疑似ランダム関数の具体例は、例えば、下記参考文献1に記載されている。
〔参考文献1〕O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年
H={Hк: Domк→Rngк}кを定義域{Domк}к、値域{Rngк}кを持つハッシュ関数族とする。このとき、もし任意の多項式時間の攻撃者Aに対して、x∈RDomкを与えた上でHк(x)=Hк(x')となるようなx'(≠x)を見つけられなければ、H={Hк}кをターゲット衝突困難ハッシュ関数族と呼ぶ。ターゲット衝突困難ハッシュ関数の具体例は、例えば、下記参考文献2に記載されている。
〔参考文献2〕J.A.ブーフマン著、「暗号理論入門 原書第3版」、丸善出版、2007年
公開鍵暗号アルゴリズムを(Gen, Enc, Dec)とする。鍵生成アルゴリズムGenはセキュリティパラメータкを入力とし、公開鍵pkと秘密鍵skを出力する。暗号化アルゴリズムEncは公開鍵pkと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムDecは秘密鍵skと暗号文CTを入力とし、平文mを出力する。公開鍵暗号アルゴリズムの具体例は、例えば、上記参考文献2に記載されている。
メッセージ認証コードアルゴリズムを(MGen, Tag, Ver)とする。MAC鍵生成アルゴリズムMGenはセキュリティパラメータкを入力とし、MAC鍵mkを出力する。タグ生成アルゴリズムTagはMAC鍵mkと平文mを入力とし、認証タグσを出力する。検証アルゴリズムVerはMAC鍵mkと平文mと認証タグσを入力とし、認証タグσが正しければ1を、正しくなければ0を出力する。メッセージ認証コードアルゴリズムの具体例は、例えば、上記参考文献2に記載されている。
関数暗号アルゴリズムを(Setup, Der, FEnc, FDec)とする。セットアップアルゴリズムSetupはセキュリティパラメータкを入力とし、マスタ秘密鍵mskと公開パラメータParamsを出力する。鍵導出アルゴリズムDerは公開パラメータParamsとマスタ秘密鍵mskと属性Aを入力とし、ユーザ秘密鍵uskを出力する。暗号化アルゴリズムFEncは公開パラメータParamsとアクセス構造Pと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムFDecはユーザ秘密鍵uskと暗号文CTを入力とし、属性Aがアクセス構造Pを満たすならば平文mを出力する。関数暗号アルゴリズムの具体例は、例えば、下記参考文献3に記載されている。
〔参考文献3〕D. Boneh, A. Sahai, and B. Waters, “Functional encryption: definitions and challenges”, TCC, Lecture Notes in Computer Science, vol. 6597, pp. 253-273, 2011.
関数tPRF: {0, 1}к×FSк×{0, 1}к×FSк→Rngкをねじれ擬似ランダム関数と呼び、擬似ランダム関数Fкを用いて、
Figure 2016199507
 と定義する。ただし、a, b'∈{0, 1}кであり、a', b∈FSкである。ねじれ擬似ランダム関数の具体例は、例えば、下記参考文献4に記載されている。
〔参考文献4〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
実施形態の鍵交換システムは、図1に例示するように、鍵配送装置1およびN(≧2)台の通信装置21, …, 2Nを含む。この実施形態では、鍵配送装置1および通信装置21, …, 2Nはそれぞれ通信網3へ接続される。通信網3は、鍵配送装置1が通信装置21, …, 2Nそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。この実施形態では、通信装置21, …, 2N同士は通信できなくともよい。通信網3は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。
鍵配送装置1は、図2(A)に例示するように、記憶部100、セットアップ部101、公開鍵生成部102、秘密ストリング生成部103、ユーザ鍵送信部111、セッションID生成部113、認証タグ検証部114、第三鍵生成部115、および認証タグ生成部116を含む。通信装置2は、図2(B)に例示するように、記憶部200、公開鍵生成部202、秘密ストリング生成部203、ユーザ鍵受信部211、第一鍵生成部212、第二鍵生成部214、認証タグ生成部215、認証タグ検証部216、およびセッション鍵生成部217を含む。この鍵配送装置1および通信装置21, …, 2Nが、図3および図4に例示する各ステップの処理を行うことにより実施形態の鍵交換方法が実現される。
鍵配送装置1および通信装置21, …, 2Nは、例えば、中央演算処理装置(CPU: Central Processing Unit)、主記憶装置(RAM: Random Access Memory)などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。各装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。各装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。各装置が備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。
鍵配送装置1が備える記憶部100および通信装置21, …, 2Nが備える記憶部200は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。各記憶部は秘密情報を記憶するため、耐タンパ性を有する記憶装置(例えば、SIMカードなど)であることが望ましい。
図3を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。
以降の説明では、以下のように記号を定義する。Sは鍵配送装置1を示し、Ui(i∈{1, …, N})はN台の通信装置21, …, 2Nを示すものとする。Gをкビットの素数位数pの乗法巡回群とする。g, hをそれぞれ群Gの生成元とする。H: {0, 1}*→{0, 1}кをターゲット衝突困難ハッシュ関数とする。tPRF: {0, 1}к×FSк×{0, 1}к×FSк→Zp、tPRF': {0, 1}к×FSк×{0, 1}к×FSк→FSкをねじれ疑似ランダム関数とする。F: {0, 1}к×G→Zp 2、F': {0, 1}к×Zp→FSк、F": {0, 1}к×FSк→{0, 1}кを疑似ランダム関数とする。
ステップS101において、鍵配送装置Sのセットアップ部101は、関数暗号のセットアップアルゴリズムSetupにより公開パラメータParamsおよびマスタ秘密鍵mskを生成する。セットアップ部101は、公開パラメータParamsを通信装置U1, …, UNそれぞれへ送信する。マスタ秘密鍵mskは記憶部100へ記憶される。
ステップS102において、鍵配送装置Sの公開鍵生成部102は、公開鍵暗号の鍵生成アルゴリズムGenにより、鍵配送装置Sの公開鍵pkSおよび秘密鍵skSのペアを生成する。鍵配送装置Sの公開鍵pkSは、例えば公開鍵基盤等を用いて公開される。鍵配送装置Sの秘密鍵skSは記憶部100へ記憶される。
ステップS202において、通信装置Uiの公開鍵生成部202は、公開鍵暗号の鍵生成アルゴリズムGenにより、通信装置Uiの公開鍵pkiおよび秘密鍵skiのペアを生成する。通信装置Uiの公開鍵pkiは、例えば公開鍵基盤等を用いて公開される。通信装置Uiの秘密鍵skiは記憶部200へ記憶される。
ステップS103において、鍵配送装置Sの秘密ストリング生成部103は、ねじれ疑似ランダム関数で用いる秘密ストリング(stS, st'S)をstSRFSк、st'S∈{0, 1}кとして生成する。秘密ストリング(stS, st'S)は記憶部100へ記憶される。
ステップS203において、通信装置Uiの秘密ストリング生成部203は、ねじれ疑似ランダム関数で用いる秘密ストリング(sti, st'i)をstiRFSк、st'i∈{0, 1}кとして生成する。秘密ストリング(sti, st'i)は記憶部200へ記憶される。
ステップS104において、鍵配送装置Sは、各通信装置U1, …, UNの公開鍵pk1, …, pkNを例えば公開鍵基盤等から取得し、記憶部100へ記憶する。
ステップS204において、通信装置Uiは、鍵配送装置Sの公開鍵pkSを例えば公開鍵基盤等から取得し、記憶部200へ記憶する。また、鍵配送装置Sから受信した公開パラメータParamsを記憶部200へ記憶する。
図4を参照して、実施形態の鍵交換方法におけるセッション鍵配送の処理手続きを説明する。
以下では、N台の通信装置21, …, 2Nのうち任意のn(≦N)台の通信装置Ui(i∈{1, …, n})がセッション鍵SKの共有を行うものとする。また、S, Uiを各アルゴリズムの入力とする場合、各装置を一意に特定する識別子を表すものとする。
ステップS111において、鍵配送装置Sのユーザ鍵送信部111は、通信装置Uiがセッションを開始したときに、そのセッションが通信装置UiのタイムフレームTFにおける最初のセッションだった場合、現在時刻をtimeとし、属性をAi=(Ui, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置Uiのユーザ秘密鍵uski←Der(Params, msk, Ai)を生成する。また、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置UiのMAC鍵mki←MGenを生成する。そして、公開鍵暗号の暗号化アルゴリズムEncにより、通信装置Uiの公開鍵pkiを用いてユーザ秘密鍵uskiおよびMAC鍵mkiを暗号化し、暗号文CTi←Encpki(uski, mki)を生成する。ユーザ鍵送信部111は、暗号文CTiを通信装置Uiへそれぞれ送信する。
ステップS211において、通信装置Uiのユーザ鍵受信部211は、公開鍵暗号の復号アルゴリズムDecにより、通信装置Uiの秘密鍵skiを用いて鍵配送装置Sから受信した暗号文CTiを復号し、ユーザ秘密鍵およびMAC鍵(uski, mki)←Decski(CTi)を得る。ユーザ鍵受信部211は、ユーザ秘密鍵uskiおよびMAC鍵mkiを記憶部200へ記憶する。
ステップS212において、通信装置Uiの第一鍵生成部212は、~riR{0, 1}к, ~r'iRFSк, ~kiR{0, 1}к, ~k'iRFSк, ~siR{0, 1}к, ~s'iRFSкを生成し、ねじれ疑似ランダム関数tPRFにより、ri=tPRF(~ri, ~r'i, sti, st'i), ki=tPRF(~ki, ~k'i, sti, st'i), si=tPRF(~si, ~s'i, sti, st'i)を計算する。また、Ri=gri, ci=gkihsiを計算する。そして、第一鍵生成部212は、(Ri, ci)を鍵配送装置Sへ送信する。
ステップS112において、鍵配送装置Sは、通信装置Uiから(Ri, ci)を受信する。このとき、すべての通信装置U1, …, Unから(R1, c1), …, (Rn, cn)を受信するまで待機する。
ステップS113において、鍵配送装置SのセッションID生成部113は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U1, …, Unから受信したc1, …, cnを用いて、sid=H(c1, …, cn)を生成する。また、n台の通信装置U1, …, Unから1台の通信装置を代表者として選択する。代表者の選択方法は任意であり、例えば、予め定めておいた優先順位が最も高い通信装置を選択してもよいし、直近でセッションを開始した通信装置を選択してもよい。ここでは、通信装置U1が選択されたものとし、U1を代表通信装置と呼ぶ。また、代表通信装置U1以外のn-1台の通信装置Uj(j∈{2, …, n})を一般通信装置と呼ぶ。セッションID生成部113は、次式のようにα, βを計算し、(sid, Rα, Rβ)を通信装置Uiへそれぞれ送信する。
Figure 2016199507
ステップS213において、通信装置Uiは、鍵配送装置Sから(sid, Rα, Rβ)をそれぞれ受信する。通信装置Uiは、(sid, Rα, Rβ)を受け取り次第、以降の処理を実行する。i=2, …, nの場合、すなわち通信装置Uiが通信装置Uj(i=j)であれば、ステップS214jへ処理を進める。i=1の場合、すなわち通信装置Uiが代表通信装置U1であれば、ステップS2141へ処理を進める。
ステップS214jにおいて、一般通信装置Ujの第二鍵生成部214は、次式のように、疑似ランダム関数Fにより(sid, Rα rj)を用いてKj lを生成し、疑似ランダム関数Fにより(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算する。
Figure 2016199507
ステップS215jにおいて、一般通信装置Ujの認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mkjを用いて、認証タグσj=Tagmkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid)を生成する。認証タグ生成部215は、(kj, sj, Tj, σj)を鍵配送装置Sへ送信する。
ステップS2141において、代表通信装置U1の第二鍵生成部214は、次式のように、疑似ランダム関数Fにより(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算する。ただし、||は連結演算子である。
Figure 2016199507
ステップS2151において、代表通信装置U1の認証タグ生成部215は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk1を用いて、認証タグσ1=Tagmk1(R1, c1, Rn, R2, T1, U1, sid)を生成する。認証タグ生成部215は、(T1, σ1)を鍵配送装置Sへ送信する。
ステップS114jにおいて、鍵配送装置Sの認証タグ検証部114は、j=2, …, nについて、一般通信装置Ujから(kj, sj, Tj, σj)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置UjのMAC鍵mkjを用いて、Vermkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, σj)を検証する。認証タグσjが正当でなければ一般通信装置Ujのセッションを終了する。また、j=2, …, nについて、cj=gkjhsjが成り立つか否かを検証する。成り立たなければ一般通信装置Ujのセッションを終了する。
ステップS1141において、鍵配送装置Sの認証タグ検証部114は、代表通信装置U1から(T1, σ1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U1のMAC鍵mk1を用いて、Vermk1(R1, c1, Rn, R2, T1, U1, sid, σ1)を検証する。認証タグσ1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS115aにおいて、鍵配送装置Sの第三鍵生成部115は、~kSR{0, 1}к, ~k'SRFSк, ~K1R{0, 1}к, ~K'1RFSкを生成し、ねじれ疑似ランダム関数tPRFにより、kS=tPRF(~kS, ~k'S, stS, st'S), K1=tPRF(~K1, ~K'1, stS, st'S)を計算する。また、次式により、k'を計算する。
Figure 2016199507
ステップS115bにおいて、鍵配送装置Sの第三鍵生成部115は、j=2, …, nについて、次式により、T'jを計算する。
Figure 2016199507
ステップS115cにおいて、鍵配送装置Sの第三鍵生成部115は、i=1, …, nについて、アクセス構造Pi=(ID=Ui)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K1を暗号化して、暗号文CT'i=FEnc(Params, Pi, K1)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。
ステップS116において、鍵配送装置Sの認証タグ生成部116は、j=2, …, nについて、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置UjのMAC鍵mkjを用いて認証タグσ'j=Tagmkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'j)を生成する。認証タグ生成部116は、(c1, k', T'j, T1, CT'j, σ'j)を一般通信装置Ujへ送信する。
ステップS1161において、鍵配送装置Sの認証タグ生成部116は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U1のMAC鍵mk1を用いて、認証タグσ'1=Tagmk1(R1, c1, Rn, R2, T1, U1, sid, k', CT'1)を生成する。認証タグ生成部116は、(k', CT'1, σ'1)を代表通信装置U1へ送信する。
ステップS216jにおいて、一般通信装置Ujの認証タグ検証部216は、鍵配送装置Sから(c1, k', T'j, T1, CT'j, σ'j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置UjのMAC鍵mkjを用いて、Vermkj(Rj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'j, σ'j)を検証する。認証タグσ'jが正当でなければ一般通信装置Ujのセッションを終了する。また、次式のように、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算する。
Figure 2016199507
そして、c1=gk1hs1が成り立つか否かを検証する。成り立たなければ一般通信装置Ujのセッションを終了する。
ステップS2161において、代表通信装置U1の認証タグ検証部216は、鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U1のMAC鍵mk1を用いて、Vermk1(R1, c1, Rn, R2, T1, U1, sid, k', CT'1, σ'1)を検証する。認証タグσ'1が正当でなければ代表通信装置U1のセッションを終了する。
ステップS217において、通信装置Uiのセッション鍵生成部217は、関数暗号の復号アルゴリズムFDecにより、通信装置Uiのユーザ秘密鍵uskiを用いて、共通鍵K1←FDecuski(CT'i, Pi)を復号する。また、次式のように、疑似ランダム関数F'により共通鍵K2を計算する。
Figure 2016199507
そして、次式のように、疑似ランダム関数F"によりセッション鍵SKを計算する。
Figure 2016199507
上記のように構成することにより、この発明の鍵交換技術によれば、従来のように事前に鍵交換を行うユーザの情報を登録しておく必要がなく、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。また、従来は鍵交換に必要な全体の計算量がユーザ数をnとしてO(log n)となるが、この発明によればユーザ数の定数回、すなわちO(1)となるため、従来よりも少ない計算量で鍵交換ができる。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[プログラム、記録媒体]
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
関数tPRF: {0, 1}к×FSк×{0, 1}к×FSк→Rngкをねじれ似ランダム関数と呼び、似ランダム関数Fкを用いて、
Figure 2016199507
と定義する。ただし、a, b'∈{0, 1}кであり、a', b∈FSкである。ねじれ似ランダム関数の具体例は、例えば、下記参考文献4に記載されている。
〔参考文献4〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.

Claims (8)

  1. nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、Uiをn台の通信装置とし、U1を上記通信装置Uiから選択された1台の代表通信装置とし、Ujを上記通信装置Uiから上記代表通信装置U1を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義される整数とし、
    Figure 2016199507
     上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sが記憶されており、
    上記通信装置Uiの記憶部に、上記通信装置Uiの公開鍵暗号の秘密鍵skiおよび秘密ストリングsti, st'iが記憶されており、
    上記通信装置Uiが、ねじれ疑似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=griおよびci=gkihsiを計算し、(Ri, ci)を上記鍵配送装置Sへ送信する第一鍵生成ステップと、
    上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を上記通信装置Uiへ送信するセッションID生成ステップと、
    上記代表通信装置U1が、疑似ランダム関数により(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算し、T1を上記鍵配送装置Sへ送信する代表第二鍵生成ステップと、
    上記一般通信装置Ujが、疑似ランダム関数により(sid, Rα rj)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を上記鍵配送装置Sへ送信する一般第二鍵生成ステップと、
    上記鍵配送装置Sが、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、k'を上記代表通信装置U1へ送信し、(k', T'j, T1)を上記一般通信装置Ujへ送信する第三鍵生成ステップと、
    上記一般通信装置Ujが、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、
    上記通信装置Uiが、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、
    を含む鍵交換方法。
  2. 請求項1に記載の鍵交換方法であって、
    timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
    上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskがさらに記憶されており、
    上記鍵配送装置Sが、各iについて属性をAi=(Ui, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵uskiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiを暗号化して暗号文CTiを生成するユーザ鍵送信ステップと、
    上記通信装置Uiが、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiを得るユーザ鍵受信ステップと、
    をさらに含み、
    上記第三鍵生成ステップは、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いて共通鍵K1を生成し、各iについてアクセス構造をPi=(ID=Ui)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K1を暗号化して暗号文CT'iを生成するものであり、
    上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵uskiを用いて上記暗号文CT'iを復号して上記共通鍵K1を得、疑似ランダム関数により(sid, K1)を用いて生成した値と疑似ランダム関数により(sid, K2)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
    鍵交換方法。
  3. 請求項2に記載の鍵交換方法であって、
    上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mkiを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置Uiの公開鍵pkiを用いて上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを暗号化して上記暗号文CTiを生成するものであり、
    上記ユーザ鍵受信ステップは、公開鍵暗号の復号アルゴリズムにより上記秘密鍵skiを用いて上記暗号文CTiを復号して上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを得るものであり、
    上記代表通信装置U1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, U1, sidを用いて認証タグσ1を生成する代表第一認証タグ生成ステップと、
    上記一般通信装置Ujが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj ,sidを用いて認証タグσjを生成する一般第一認証タグ生成ステップと、
    上記鍵配送装置Sが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, U1, sidを用いて上記認証タグσ1を検証し、各jについてメッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj ,sidを用いて上記認証タグσjを検証し、cj=gkjhsjが成り立つか否かを検証する第一認証タグ検証ステップと、
    上記鍵配送装置Sが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, U1, sid, k', CT'1を用いて認証タグσ'1を生成し、各jについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'jを用いて認証タグσ'jを生成する第二認証タグ生成ステップと、
    上記代表通信装置U1が、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, U1, sid, k', CT'1を用いて上記認証タグσ'1を検証する代表第二認証タグ検証ステップと、
    上記一般通信装置Ujが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T1, CT'jを用いて上記認証タグσ'jを検証し、T'jとKj lとの排他的論理和によりK1 lを計算し、T1とK1 lとの排他的論理和によりk1||s1を求め、c1=gk1hs1が成り立つか否かを検証する一般第二認証タグ検証ステップと、
    をさらに含む鍵交換方法。
  4. nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、||を連結演算子とし、α, βを次式で定義される整数とし、
    Figure 2016199507
     鍵配送装置Sとn台の通信装置Uiとを含み、上記通信装置Uiは代表通信装置U1とn-1台の一般通信装置Ujとからなる鍵交換システムであって、
    上記鍵配送装置Sは、
    上記鍵配送装置Sの公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sを記憶する記憶部と、
    各iについて上記通信装置Uiから(Ri, ci)を受信し、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を上記通信装置Uiへ送信するセッションID生成部と、
    上記代表通信装置U1からT1を受信し、各jについて上記一般通信装置Ujから(kj, sj, Tj)を受信し、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、k'を上記代表通信装置U1へ送信し、(k', T'j, T1)を上記一般通信装置Ujへ送信する第三鍵生成部と、
    を含み、
    上記代表通信装置U1は、
    上記代表通信装置U1の公開鍵暗号の秘密鍵sk1および秘密ストリングst1, st'1を記憶する記憶部と、
    ねじれ疑似ランダム関数により上記秘密ストリングst1, st'1を用いてr1, k1, s1を生成し、R1=gr1およびc1=gk1hs1を計算し、(R1, c1)を上記鍵配送装置Sへ送信する第一鍵生成部と、
    上記鍵配送装置Sから(sid, Rn, R2)を受信し、疑似ランダム関数により(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算し、T1を上記鍵配送装置Sへ送信する第二鍵生成部と、
    上記鍵配送装置Sからk'を受信し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成するセッション鍵生成部と、
    を含み、
    上記一般通信装置Ujは、
    上記一般通信装置Ujの公開鍵暗号の秘密鍵skjおよび秘密ストリングstj, st'jを記憶する記憶部と、
    ねじれ疑似ランダム関数により上記秘密ストリングstj, st'jを用いてrj, kj, sjを生成し、Rj=grjおよびcj=gkjhsjを計算し、(Rj, cj)を上記鍵配送装置Sへ送信する第一鍵生成部と、
    上記鍵配送装置Sから(sid, Rα, Rβ)を受信し、疑似ランダム関数により(sid, Rα rj)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を上記鍵配送装置Sへ送信する第二鍵生成部と、
    上記鍵配送装置Sから(k', T'j, T1)を受信し、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて上記共通鍵K2を生成するセッション鍵生成部と、
    を含む鍵交換システム。
  5. nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、α, βを次式で定義される整数とし、
    Figure 2016199507
     公開鍵暗号の秘密鍵skSおよび秘密ストリングstS, st'Sを記憶する記憶部と、
    各iについて通信装置Uiから(Ri, ci)を受信し、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を上記通信装置Uiへ送信するセッションID生成部と、
    代表通信装置U1からT1を受信し、各jについて一般通信装置Ujから(kj, sj, Tj)を受信し、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、k'を上記代表通信装置U1へ送信し、(k', T'j, T1)を上記一般通信装置Ujへ送信する第三鍵生成部と、
    を含む鍵配送装置。
  6. nを2以上の整数とし、||を連結演算子とし、
    公開鍵暗号の秘密鍵sk1および秘密ストリングst1, st'1を記憶する記憶部と、
    ねじれ疑似ランダム関数により上記秘密ストリングst1, st'1を用いてr1, k1, s1を生成し、R1=gr1およびc1=gk1hs1を計算し、(R1, c1)を鍵配送装置Sへ送信する第一鍵生成部と、
    上記鍵配送装置Sから(sid, Rn, R2)を受信し、疑似ランダム関数により(sid, Rn r1)を用いてK1 lを生成し、K1 lとk1||s1との排他的論理和によりT1を計算し、T1を上記鍵配送装置Sへ送信する第二鍵生成部と、
    上記鍵配送装置Sからk'を受信し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成するセッション鍵生成部と、
    を含む通信装置。
  7. nを2以上の整数とし、jを2以上n以下の整数とし、||を連結演算子とし、α, βを次式で定義される整数とし、
    Figure 2016199507
     公開鍵暗号の秘密鍵skjおよび秘密ストリングstj, st'jを記憶する記憶部と、
    ねじれ疑似ランダム関数により上記秘密ストリングstj, st'jを用いてrj, kj, sjを生成し、Rj=grjおよびcj=gkjhsjを計算し、(Rj, cj)を鍵配送装置Sへ送信する第一鍵生成部と、
    上記鍵配送装置Sから(sid, Rα, Rβ)を受信し、疑似ランダム関数により(sid, Rα rj)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ rj)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を上記鍵配送装置Sへ送信する第二鍵生成部と、
    上記鍵配送装置Sから(k', T'j, T1)を受信し、T'jとKj rとの排他的論理和によりKj lを計算し、T1とKj lとの排他的論理和によりk1||s1を計算し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成するセッション鍵生成部と、
    を含む通信装置。
  8. 請求項5に記載の鍵配送装置もしくは請求項6または7に記載の通信装置としてコンピュータを機能させるためのプログラム。
JP2017523147A 2015-06-09 2016-04-21 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム Active JP6368047B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015116322 2015-06-09
JP2015116322 2015-06-09
PCT/JP2016/062601 WO2016199507A1 (ja) 2015-06-09 2016-04-21 鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2016199507A1 true JPWO2016199507A1 (ja) 2018-03-29
JP6368047B2 JP6368047B2 (ja) 2018-08-01

Family

ID=57504494

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017523147A Active JP6368047B2 (ja) 2015-06-09 2016-04-21 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム

Country Status (5)

Country Link
US (1) US10355856B2 (ja)
EP (1) EP3309995B1 (ja)
JP (1) JP6368047B2 (ja)
CN (1) CN107637013B (ja)
WO (1) WO2016199507A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3474486B1 (en) 2016-06-20 2021-01-27 Nippon Telegraph and Telephone Corporation Terminal device, key distribution management device, server-client system, communication method, and program
JP2019041321A (ja) * 2017-08-28 2019-03-14 ルネサスエレクトロニクス株式会社 データ受信装置、データ伝送システム、及び鍵生成装置
CN109002984B (zh) * 2018-07-12 2021-03-02 网易(杭州)网络有限公司 数字资产的管理方法、装置、介质和计算设备
CN110474768A (zh) * 2019-08-22 2019-11-19 上海豆米科技有限公司 一种有群组解密权限控制的信息安全传递系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006245663A (ja) * 2005-02-28 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768389A (en) * 1995-06-21 1998-06-16 Nippon Telegraph And Telephone Corporation Method and system for generation and management of secret key of public key cryptosystem
US7434046B1 (en) * 1999-09-10 2008-10-07 Cisco Technology, Inc. Method and apparatus providing secure multicast group communication
US7260716B1 (en) * 1999-09-29 2007-08-21 Cisco Technology, Inc. Method for overcoming the single point of failure of the central group controller in a binary tree group key exchange approach
US7089211B1 (en) * 2000-01-12 2006-08-08 Cisco Technology, Inc. Directory enabled secure multicast group communications
WO2004025895A1 (en) * 2002-09-13 2004-03-25 Telefonaktiebolaget Lm Ericsson (Publ) Secure broadcast/multicast service
JP3810425B2 (ja) * 2004-12-16 2006-08-16 松下電器産業株式会社 改竄検出用データ生成方法、および改竄検出方法及び装置
US8086850B2 (en) * 2006-06-23 2011-12-27 Honeywell International Inc. Secure group communication among wireless devices with distributed trust
KR100816561B1 (ko) * 2006-11-24 2008-03-25 한국정보보호진흥원 외래 키를 이용한 모바일 멀티캐스트 키 관리 방법
AU2009204512B2 (en) * 2008-01-07 2014-06-12 Security First Corp. Systems and methods for securing data using multi-factor or keyed dispersal
US8744077B2 (en) * 2008-10-28 2014-06-03 International Business Machines Corporation Cryptographic encoding and decoding of secret data
CN101719825A (zh) * 2009-04-30 2010-06-02 中兴通讯股份有限公司 Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统
US8885830B2 (en) * 2009-05-04 2014-11-11 Mitre Corporation Method and apparatus for dynamically establishing and joining an encrypted collaborative communication session
CN103229450B (zh) * 2010-08-11 2016-09-28 安全第一公司 用于安全多租户数据存储的系统和方法
US9467285B2 (en) * 2010-09-07 2016-10-11 Nokia Technologies Oy Security of a multimedia stream
CA2829197A1 (en) * 2011-03-07 2012-09-13 Security First Corp. Secure file sharing method and system
KR20140034222A (ko) * 2011-05-14 2014-03-19 비트카사, 인코포레이티드 사용자-독립적인 암호화된 파일들의 서버측 중복제거를 하는 클라우드 파일 시스템
KR101874043B1 (ko) * 2011-07-08 2018-07-06 삼성전자주식회사 무선 통신 시스템에서 그룹키 갱신 방법 및 장치
US20130054964A1 (en) * 2011-08-24 2013-02-28 Motorola Solutions, Inc. Methods and apparatus for source authentication of messages that are secured with a group key
EP2566098A1 (en) * 2011-08-29 2013-03-06 Thomson Licensing Signcryption method and device and corresponding signcryption verification method and device
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
EP2891267B1 (en) * 2012-08-30 2022-04-06 Triad National Security, LLC Multi-factor authentication using quantum communication
CN105051750B (zh) * 2013-02-13 2018-02-23 安全第一公司 用于加密文件系统层的系统和方法
KR101494510B1 (ko) * 2013-03-12 2015-02-23 명지대학교 산학협력단 그룹키 관리 장치 및 방법과 이에 관한 기록매체
CN103532934A (zh) * 2013-09-29 2014-01-22 苏州大学 动态可检索的云计算数据加密方法
CN104052595B (zh) * 2014-05-23 2017-02-08 戴葵 密码算法定制方法
WO2015182076A1 (ja) * 2014-05-26 2015-12-03 日本電気株式会社 鍵交換システム、鍵交換方法、鍵交換装置およびその制御方法と制御プログラムを格納する記録媒体

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006245663A (ja) * 2005-02-28 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化マルチキャスト通信鍵管理システム、暗号化マルチキャスト通信鍵管理方法、送信端末、受信端末、およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JUNG, BAE EUN: "An Efficient Group Key Agreement Protocol", IEEE COMMUNICATIONS LETTERS, vol. Vol. 10, No. 2, JPN6016026923, February 2006 (2006-02-01), pages pp. 106-107 *
KOBAYASHI, TETSUTARO ET AL.: "Scalable and Dynamic Multi-Cast Key Distribution", 2016 SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY, JPN6016026926, 19 January 2016 (2016-01-19), pages 4E2-3 *

Also Published As

Publication number Publication date
US10355856B2 (en) 2019-07-16
EP3309995A1 (en) 2018-04-18
CN107637013A (zh) 2018-01-26
CN107637013B (zh) 2020-08-18
EP3309995B1 (en) 2020-02-19
EP3309995A4 (en) 2019-02-06
US20180183583A1 (en) 2018-06-28
WO2016199507A1 (ja) 2016-12-15
JP6368047B2 (ja) 2018-08-01

Similar Documents

Publication Publication Date Title
JP6497747B2 (ja) 鍵交換方法、鍵交換システム
JP4981072B2 (ja) 復号可能かつ検索可能な暗号化のための方法およびシステム
JP2019535153A (ja) トラステッドコンピューティングに基づく量子鍵配送のための方法及びシステム
JP6194886B2 (ja) 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム
US11677543B2 (en) Key exchange method and key exchange system
KR20170035665A (ko) 키 교환 장치 및 방법
KR102432356B1 (ko) 키 생성 장치 및 방법, 암호화 장치 및 방법
JP6592851B2 (ja) 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム
JP6368047B2 (ja) 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム
JPWO2019093478A1 (ja) 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム
JP6041864B2 (ja) データの暗号化のための方法、コンピュータ・プログラム、および装置
WO2007142170A1 (ja) 不正者失効システム、暗号化装置、暗号化方法およびプログラム
JP4758110B2 (ja) 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法
JP2019125956A (ja) 鍵交換方法、鍵交換システム、鍵交換サーバ装置、通信装置、プログラム
JP5799635B2 (ja) 暗号データ検索システム、装置、方法及びプログラム
WO2019142824A1 (ja) 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム
KR101865703B1 (ko) 키 생성 방법 및 장치, 암호화 장치 및 방법
JP2019041355A (ja) 暗号化装置、復号装置、暗号化システム、暗号化方法及び暗号化プログラム
Das A hybrid algorithm for secure cloud computing
JP5739078B1 (ja) サーバ装置、通信方法、およびプログラム
JP2013092740A (ja) アクセス制御システム、アクセス制御方法およびプログラム
JP2015022097A (ja) 復号方法、鍵クラウドシステム、復号能力提供装置、端末装置、およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180705

R150 Certificate of patent or registration of utility model

Ref document number: 6368047

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150