CN110574335B - 密钥分发系统以及方法、记录介质 - Google Patents

Abstract

密钥分发系统包括：通过使用第n+1用户终端(2_n+1)的公开密钥以及用于识别第n+1用户终端(2_n+1)的信息，由无证书加密的规定的加密函数加密密钥信息，得到密文的代表用户终端(2_p)；在追加第n+1用户终端(2_n+1)时，对第n+1用户终端(2_n+1)发送密文的服务器装置(3)；以及使用第n+1用户终端(2_n+1)的全体秘密密钥以及用于识别第n+1用户终端(2_n+1)的信息，通过用规定的解码函数解码密文，得到密钥信息的第n+1用户终端(2_n+1)。

Description

密钥分发系统以及方法、记录介质

技术领域

本发明涉及信息安全技术。

背景技术

VoIP(Voice over Internet Protocol，互联网语音协议)，WebRTC(Web Real-Time Communication，网络实时通信)、消息发送等应用通过因特网被提供，基于认证的通信或系统的机密性确保变得重要。

很多用户通过因特网利用基于上述应用的服务，所以可在多人中利用通信或系统很重要，一般使用TLS(Transport Layer Security，传输层安全)。

而且，以往，提出对于在上述的服务中使用的密钥分发例如使用非专利文献1的技术(例如，参照非专利文献1)。

现有技术文献

非专利文献

非专利文献1：KazukiYoneyama,Reo Yoshida,Yuto Kawahara,TetsutaroKobayashi,Hitoshi Fuji,Tomohide Yamamoto,“Multi-cast Key Distribution:Scalable,Dynamic and Provably Secure Construction”,International Conferenceon Provable Security ProvSec 2016:Provable Security pp 207-226

发明内容

发明要解决的课题

在上述的非专利文献1的技术中，在对新追加的用户终端分发密钥的加入(加入)阶段时，不仅在新追加的用户终端与服务器装置之间，还在已参加了会话的用户终端与服务器装置之间需要计算。

本发明的目的是，提供在加入阶段时在已参加了会话的用户终端与服务器装置之间不需要计算的密钥分发系统以及方法、代表用户终端、服务器装置、用户终端以及程序。

用于解决课题的手段

本发明的一个方式的密钥分发系统包括：代表用户终端，通过使用无证书加密中的第n+1用户终端的公开密钥以及用于识别第n+1用户终端的信息，由无证书加密的规定的加密函数加密密钥信息，从而得到密文，将得到的密文发送到服务器装置；服务器装置，在追加第n+1用户终端时，对第n+1用户终端发送密文；以及第n+1用户终端，使用无证书加密中的第n+1用户终端的全体秘密密钥以及用于识别第n+1用户终端的信息，通过用无证书加密的规定的解码函数解码密文，得到密钥信息。

发明效果

在加入阶段时，在已参加了会话的用户终端与服务器装置之间不需要计算。

附图说明

图1是表示密钥分发系统的例子的方框图。

图2是表示密钥分发方法的例子的流程图。

具体实施方式

以下，参照附图，说明本发明的一个实施方式。

如图1所示，密钥分发系统例如具有：密钥生成装置1、用户终端2、服务器装置3。

用户终端2例如由第1用户终端2₁至第n+1用户终端2_n+1构成。假设第1用户终端2₁至第n用户终端2_n中的任意1个用户终端被预先选择作为代表用户终端2_p。第n+1用户终端2_n+1是要参加到已通过第1用户终端2₁至第n用户终端2_n构成的会话的终端。

密钥分发方法例如通过密钥分发系统的各部分进行图2以及以下所示的步骤S1至步骤S4的各处理来实现。

步骤1的处理例如通过以下的步骤S11至步骤S15的处理来实现。

首先，密钥生成装置1进行(Params,msk)←CLSetup(1^κ)的处理(步骤S11)。即，密钥生成装置1通过无证书加密(Certificate less Encryption)中的规定的设置函数CLSetup，生成公开参数Params以及主密钥msk。K是安全参数。

密钥生成装置1进行psk_n+1←CLDer(Params,msk,U_n+1)的处理(步骤S12)。即，密钥生成装置1使用主密钥msk以及用于识别第n+1用户终端2_n+1的信息U_n+1，通过由公开参数Params决定的、无证书加密中的规定的部分秘密密钥生成函数CLDer，生成第n+1用户终端2_n+1的部分秘密密钥psk_n+1，发送到第n+1用户终端2_n+1。

第n+1用户终端2_n+1进行sv_n+1←SetSV(Params,U_n+1)的处理(步骤S13)。即，第n+1用户终端2_n+1使用用于识别第n+1用户终端2_n+1的信息U_n+1，通过由公开参数Params决定的、无证书加密中的规定的秘密信息生成函数SetSV，生成第n+1用户终端2_n+1的秘密信息sv_n+1。

第n+1用户终端2_n+1进行csk_n+1←SetSK(Params,psk_n+1,sv_n+1)的处理(步骤S14)。即，第n+1用户终端2_n+1使用第n+1用户终端2_n+1的psk_n+1以及第n+1用户终端2_n+1的秘密信息sv_n+1，通过由公开参数Params决定的、无证书加密中的规定的全体秘密密钥生成函数SetSK，生成第n+1用户终端2_n+1的全体秘密密钥csk_n+1。

第n+1用户终端2_n+1进行cpk_n+1←SetPK(Params,sv_n+1)的处理(步骤S15)。即，第n+1用户终端2_n+1使用第n+1用户终端2_n+1的秘密信息sv_n+1，通过由公开参数Params决定的、无证书加密中的规定的公开密钥生成函数SetPK，生成第n+1用户终端2_n+1的公开密钥cpk_n+1，发送到代表用户终端2_p。

代表用户终端2_p进行CT←CLEnc(Params,cpk_n+1,U_n+1,SK)的处理。即，使用第n+1用户终端的公开密钥cpk_n+1以及用于识别第n+1用户终端2_n+1的信息U_n+1，通过由公开参数Params决定的、无证书加密的规定的加密函数CLEnc将密钥信息SK加密，从而得到密文CT，将得到的密文CT发送到服务器装置3(步骤S2)。

密钥信息SK是会话密钥等密钥信息。可以密钥信息SK本身作为密钥被使用，也可以根据密钥信息SK生成其它的密钥信息，该其它的密钥信息作为密钥被使用。

对存在参加会话的可能性的各用户终端进行步骤S1以及步骤S2的处理。即，在将N设为2以上的整数，存在参加会话的可能性的用户终端有N台的情况下，将这些N台用户终端分别设为第n+1用户终端2_n+1，进行上述的步骤S1以及步骤S2的处理。

而且，假设步骤S1以及步骤S2的处理在由以下的步骤S3以及步骤S4构成的所谓加入阶段的处理之前进行。假设在以下的步骤S3以及步骤S4中，第n+1用户终端2_n+1被追加到已由第1用户终端2₁至第n用户终端2_n构成的会话中。

服务器装置3在将第n+1用户终端2_n+1追加到规定的服务的会话时，对第n+1用户终端2_n+1发送密文CT(步骤S3)。该密文是在步骤S2的处理中生成的、与第n+1用户终端2_n+1对应的密文CT。

第n+1用户终端2_n+1进行SK←CLDec(Params,csk_n+1,CT)的处理(步骤S4)。即，第n+1用户终端2_n+1使用第n+1用户终端2_n+1的全体秘密密钥csk_n+1，通过用由公开参数Params决定的、无证书加密的规定的解码函数CLDec解码密文CT，得到密钥信息SK。

这样，通过使用无证书加密，事先计算与密钥信息有关的密文并预先寄存在服务器装置2中，在加入阶段时，将该密文传递给被追加的第n+1用户终端2_n+1，可以不缺少安全性地对被追加的第n+1用户终端2_n+1传递密钥信息。

而且，这时，在加入阶段时在已参加了会话的用户终端与服务器装置之间不需要计算。因此，高速的会话参加变得可能。

上述的密钥分发系统例如可以用于(1)在2地点通话或电话会议中使用的VoIP通话的密钥分发，(2)代替WebRTC中的DTLS，浏览器或智能手机中的Web会议或Web电话的加密通信的密钥分发，(3)用于消息发送应用程序的解码密钥的共享的密钥分发。

[程序以及记录介质]

例如，在通过计算机实现密钥生成装置1、代表用户终端2_p、第n+1用户终端2_n+1以及服务器装置3的各部分中的处理的情况下，通过程序记述这些终端以及装置的各部分应有的功能的处理内容。然后，通过计算机执行该程序，在计算机上实现该各部分的处理。

记述了该处理内容的程序可以记录在计算机可读取的记录介质上。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。

而且，各单元的处理可以设为通过在计算机上执行规定的程序而构成，也可以以硬件方式实现这些处理的至少一部分。

[变形例]

在上述的实施方式中，密钥生成装置1以及服务器装置3被作为互不相同的装置进行记述，但是密钥生成装置1以及服务器装置3也可以是相同的装置。例如，也可以在服务器装置3中包含密钥生成装置1。

此外，不言而喻，在不脱离本发明的宗旨的范围内能够进行适当变更。

[安全性]

无证书加密的安全性的定义可以分离为以下两个情况。定义1：攻击者虽然能够置换公开密钥，但是不能得到全体秘密密钥。定义2：攻击者虽然可以得到全体秘密密钥，但是不能置换公开密钥。定义2成为KGC(Key Generation Center，密钥生成中心，在上述实施方式中密钥生成装置1)存在恶意的模型。

在上述的实施方式中，无证书加密在为了经由服务器装置3将密钥信息SK传递给作为加入用户的第n+1用户终端2_n+1而被使用。服务器装置3将全体秘密密钥作为KGC传递。如果假定服务器装置3为半诚实(semi-honest)，无证书加密根据定义2的安全性，服务器装置不知道任何与密钥信息相关联的信息。而且，根据定义1，可置换公开密钥的攻击者也不能得到任何与密钥信息有关的信息。

Claims (6)

1.一种密钥分发系统，是在对新追加的用户终端分发密钥的加入阶段时，在已参加了会话的用户终端与服务器装置之间不需要计算的密钥分发系统，包括：

代表用户终端，使用无证书加密中的第n+1用户终端的公开密钥以及用于识别第n+1用户终端的信息，通过由公开参数决定的、无证书加密的规定的加密函数加密密钥信息，从而得到密文，将得到的密文发送到服务器装置；

服务器装置，在追加所述第n+1用户终端时，对所述第n+1用户终端发送所述密文；以及

所述第n+1用户终端，使用无证书加密中的第n+1用户终端的全体秘密密钥，通过用由公开参数决定的、无证书加密的规定的解码函数解码所述密文，得到密钥信息，

所述密钥分发系统还包括密钥生成装置，

所述密钥生成装置通过无证书加密中的规定的设置函数，生成公开参数以及主密钥，

所述密钥生成装置使用所述主密钥以及用于识别所述第n+1用户终端的信息，通过由公开参数决定的、无证书加密中的规定的部分秘密密钥生成函数，生成所述第n+1用户终端的部分秘密密钥，发送到所述第n+1用户终端，

所述第n+1用户终端使用用于识别所述第n+1用户终端的信息，通过由公开参数决定的、无证书加密中的规定的秘密信息生成函数，生成所述第n+1用户终端的秘密信息，

所述第n+1用户终端使用所述第n+1用户终端的部分秘密密钥以及所述第n+1用户终端的秘密信息，通过由公开参数决定的、无证书加密中的规定的全体秘密密钥生成函数，生成所述第n+1用户终端的全体秘密密钥，

所述第n+1用户终端使用所述第n+1用户终端的秘密信息，通过由公开参数决定的、无证书加密中的规定的公开密钥生成函数，生成所述第n+1用户终端的公开密钥，发送到所述代表用户终端。

2.一种代表用户终端，

其为权利要求1中所述的密钥分发系统的代表用户终端。

3.一种服务器装置，

其为权利要求1中所述的密钥分发系统的服务器装置。

4.一种用户终端，

其为权利要求1中所述的密钥分发系统的第n+1用户终端。

5.一种密钥分发方法，是在对新追加的用户终端分发密钥的加入阶段时，在已参加了会话的用户终端与服务器装置之间不需要计算的密钥分发系统中的密钥分发方法，包括：

密钥生成装置通过无证书加密中的规定的设置函数，生成公开参数以及主密钥的步骤；

所述密钥生成装置使用所述主密钥以及用于识别第n+1用户终端的信息，通过由公开参数决定的、无证书加密中的规定的部分秘密密钥生成函数，生成所述第n+1用户终端的部分秘密密钥，发送到所述第n+1用户终端的步骤；

所述第n+1用户终端使用用于识别所述第n+1用户终端的信息，通过由公开参数决定的、无证书加密中的规定的秘密信息生成函数，生成所述第n+1用户终端的秘密信息的步骤；

所述第n+1用户终端使用所述第n+1用户终端的部分秘密密钥以及所述第n+1用户终端的秘密信息，通过由公开参数决定的、无证书加密中的规定的全体秘密密钥生成函数，生成所述第n+1用户终端的全体秘密密钥的步骤；

所述第n+1用户终端使用所述第n+1用户终端的秘密信息，通过由公开参数决定的、无证书加密中的规定的公开密钥生成函数，生成所述第n+1用户终端的公开密钥，发送到代表用户终端的步骤；

所述代表用户终端使用无证书加密中的第n+1用户终端的公开密钥以及用于识别第n+1用户终端的信息，通过由公开参数决定的、无证书加密的规定的加密函数加密密钥信息，从而得到密文，将得到的密文发送到服务器装置的步骤；

服务器装置在追加所述第n+1用户终端时，对所述第n+1用户终端发送所述密文的步骤；以及

所述第n+1用户终端使用无证书加密中的第n+1用户终端的全体秘密密钥，通过用由公开参数决定的、无证书加密的规定的解码函数解码所述密文，从而得到密钥信息的步骤。

6.一种计算机可读取的记录介质，用于存储程序，

该程序使计算机具有权利要求2的代表用户终端、权利要求3的服务器装置或者权利要求4的用户终端的各部分的功能。

Images