CN111052673A - 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 - Google Patents
匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 Download PDFInfo
- Publication number
- CN111052673A CN111052673A CN201880057073.0A CN201880057073A CN111052673A CN 111052673 A CN111052673 A CN 111052673A CN 201880057073 A CN201880057073 A CN 201880057073A CN 111052673 A CN111052673 A CN 111052673A
- Authority
- CN
- China
- Prior art keywords
- key
- communication device
- signature
- smpk
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
技术领域
本发明涉及信息安全技术的应用,特别涉及形成群(group)的多个用户共享共同密钥的密钥交换技术。
背景技术
以往,提出形成群的多个用户共享共同密钥的密钥交换技术。图1表示实现那样的密钥交换技术的系统的一例子。密钥交换系统90包含密钥交换服务器700以及N(≧2)台通信装置8001,…,800N。在该实施方式中,密钥交换服务器700以及通信装置8001,…,800N被分别连接至通信网900,各通信装置800i经由密钥交换服务器700与其它的通信装置800j相互交换密钥(1≦i,j≦N,其中,i与j不同)。但是,由于为了确保通信的机密性所需要的密钥交换,产生哪个通信装置与哪个通信装置、并且以何种程度的频度进行通信这样的与通信有关的元数据被泄露给外部的攻击者,难以完全隐匿元数据的问题。例如,在使用了公开密钥基础设施(PKI:Public Key Infrastracture)的密钥交换中,得到了公开密钥的用户想要与作为公开密钥的所有者的用户进行通信的情况被攻击者得知。
因此,作为可隐匿元数据的密钥交换技术,已提出存在于非专利文献1中的协议。在非专利文献1的技术中,在其通信路径中使用概率的公开密钥暗号实现两者间的密钥交换。由此,能够隐匿在两者间的密钥交换时的与通信有关的元数据(例如,电话号码、发送目的地、发送元、通信时刻、通信路径、添付文件名、发送次数等)。
现有技术文献
非专利文献
非专利文献1:DavidLazarandNickolaiZeldovich,“Alpenhorn:BootstrappingSecureCommunicationwithoutLeakingMetadata”,[online],[平成29年7月14日搜索],因特网<URL:https://vuvuzela.io/alpenhorn-extended.pdf>
发明内容
发明要解决的课题
但是,在非专利文献1的技术中,可交换共同密钥的用户不限于两者。因此,在N(≧3)者间的通信中,不能在隐匿元数据的基础上实现密钥交换。
因此,本发明的目的是提供可隐匿与通信有关的元数据的、N(≧2)者间的密钥交换技术。
用于解决课题的手段
本发明的一个方式是,将N设为2以上的整数,将L设为1以上的整数,在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}(2≦n≦N)中包含的通信装置之间共享消息M1,…,Mn的匿名广播方法,将IDi(1≦i≦N)设为通信装置Ui的识别符,将MPKj(1≦j≦L)设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj(1≦j≦L)设为基于ID署名的掩码公开密钥,将dki (j)(1≦i≦N,1≦j≦L)设为基于匿名ID的广播加密的解密密钥,将ski (j)(1≦i≦N,1≦j≦L)设为基于ID署名的署名密钥,所述匿名广播方法包括:密文生成步骤,对于i∈{1,…,n},通信装置Ui从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)、以及所述识别符IDi和所述消息Mi的组即消息(IDi,Mi),生成署名ωi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(IDi,Mi)),从掩码公开密钥Σj=1,..,LMPKj、所述识别符IDi和所述署名ωi和所述消息Mi的组即明文(IDi,ωi,Mi)、以及集合R-{Ui},生成密文Ci←(Σj=1,..,LMPKj,(IDi,ωi,Mi),(R-{Ui})),对于i∈{n+1,…,N},通信装置Ui生成作为伪消息的密文Ci;密文获取步骤,对于i∈{1,…,N},通信装置Ui获取混合网络混洗后的密文{C1,…,CN};消息复原步骤,对于i∈{1,…,N},通信装置Ui从解密密钥Σj=1,..,Ldki (j)和所述密文Ck(1≦k≦N)生成消息(IDk,ωk,Mk)←(Σj=1,..,Ldki (j),Ck),在为Ui∈R-{Uk}的情况下,从所述掩码公开密钥Σj=1,.., LSMPKj和所述消息(IDk,ωk,Mk)生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,Mk,ωk),在署名ωk的验证成功的情况下,将所述消息Mk视为从所述识别符IDk的通信装置Uk发送的消息,通信装置Ui∈R获取所述消息M1,…,Mn。
本发明的一个方式是,将N设为2以上的整数,将L设为1以上的整数,在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}(2≦n≦N)中包含的通信装置之间共享会话密钥SK的密钥交换方法,将IDi(1≦i≦N)设为通信装置Ui的识别符,将MPKj(1≦j≦L)设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj(1≦j≦L)设为基于ID署名的掩码公开密钥,将dki (j)(1≦i≦N,1≦j≦L)设为基于匿名ID的广播加密的解密密钥,将ski (j)(1≦i≦N,1≦j≦L)设为基于ID署名的署名密钥,将G设为将g,h设为生成元的素数位数p的有限循环群,将||设为连结运算符,在通信装置Ui(1≦i≦N)的记录单元中记录秘密字符串sti,st'i,所述密钥交换方法包括:第一密钥生成步骤,对于i∈{1,…,n},通信装置Ui通过扭曲伪随机函数,使用所述秘密字符串sti,st'i计算ri,ki,si,计算Ri=gr_i,ci=gk_ihs_i,生成第一密钥(Ri,ci),对于i∈{n+1,…,N},通信装置Ui随机地选择Ri,ci∈RG,生成第一密钥(Ri,ci);第一匿名广播步骤,对于i∈{1,…,n},通信装置Ui指定集合R-{Ui},匿名广播所述第一密钥(Ri,ci),对于i∈{n+1,…,N},通信装置Ui指定意味着无接收者的匿名广播所述第一密钥(Ri,ci);第二密钥生成步骤,对于i∈{2,…,n},通信装置Ui通过目标抗冲突散列函数,使用所述ck(1≦k≦n)计算会话IDsid,通过伪随机函数,使用(sid,Ri-1 r_i)计算Ki (l),通过伪随机函数,使用(sid,Ri+1 r_i)计算Ki (r),通过Ki (l)与Ki (r)的“异或”计算Ti,随机地选择T'i∈RZp 2,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)和消息(R,Ri,ci,ki,si,Ti,T'i)生成署名σi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(R,Ri,ci,ki,si,Ti,T'i)),生成第二密钥(ki,si,Ti,T'i,σi),对于i=1,通信装置U1通过目标抗冲突散列函数,从所述ck(1≦k≦n)计算会话IDsid,通过伪随机函数,使用(sid,Rn r_1)计算K1 (l),通过伪随机函数,使用(sid,R2 r _1)计算K1 (r),通过K1 (l)与K1 (r)的“异或”计算T1,通过K1 (l)与k1||s1的“异或”计算T',随机地选择k"1,s"1∈RZp,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lsk1 (j)和消息(R,R1,c1,k"1,s"1,T1,T')生成署名σ1←(Σj=1,..,LSMPKj,Σj=1,..,Lsk1 (j),(R,R1,c1,k"1,s"1,T1,T')),生成第二密钥(k"1,s"1,T1,T',σ1),对于i∈{n+1,…,N},通信装置Ui随机地选择ki,si∈RZp,Ti,T'i∈RZp 2,σi∈RΣ(其中,Σ为署名空间),生成第二密钥(ki,si,Ti,T'i,σi);第二匿名广播步骤,对于i∈{2,…,n},通信装置Ui指定集合R-{Ui},匿名广播所述第二密钥(ki,si,Ti,T'i,σi),对于i=1,通信装置U1指定集合R-{U1},匿名广播所述第二密钥(k"1,s"1,T1,T',σ1),对于i∈{n+1,…,N},通信装置Ui指定所述匿名广播所述第二密钥(ki,si,Ti,T'i,σi);会话密钥生成步骤,对于i∈{2,…,n},通信装置Ui若获取所述第二密钥(k"1,s"1,T1,T',σ1)和所述第二密钥(kk,sk,Tk,T'k,σk)(2≦k≦n,k≠i),则从所述掩码公开密钥Σj=1,..,LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,.., LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功了的情况下,通过与Ki (l)和Tj(1≦j≦i-1)的“异或”的“异或”计算K1 (l),通过T'与K1 (l)的“异或”计算k1||s1,对于满足1≦k≦n的k,在ck=gk_khs_k成立的情况下,通过伪随机函数,使用所述sid、所述ki(1≦i≦n)的“异或”生成所述会话密钥SK,对于i=1,通信装置U1若获取所述第二密钥(kk,sk,Tk,T'k,σk)(2≦k≦n),则从所述掩码公开密钥Σj=1,..,LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功,且对于满足1≦k≦n的k,ck=gk_khs_k成立的情况下,通过伪随机函数,使用所述sid、所述ki(1≦i≦n)的“异或”,生成所述会话密钥SK。
发明的效果
按照本发明,可在隐匿元数据的基础上,多个用户共享共同密钥。进而,更一般地,可在隐匿了元数据的基础上,多个用户共享消息。
附图说明
图1是表示密钥交换系统90的结构的一个例子的图。
图2是表示密钥交换系统10的结构的一个例子的图。
图3是表示密钥生成服务器100的结构的一个例子的图。
图4是表示公开用服务器200的结构的一个例子的图。
图5是表示混合网络(mix net)服务器300的结构的一个例子的图。
图6是表示通信装置400的结构的一个例子的图。
图7是表示匿名广播单元410的结构的一个例子的图。
图8系统设置自动密钥生成服务器100的动作的一个例子的图。
图9是表示系统设置中的公开用服务器200的动作的一个例子的图。
图10是表示系统设置中的通信装置400的动作的一个例子的图。
图11是表示广播中的通信装置400的动作的一个例子的图。
图12会话密钥生成中的通信装置400的动作的一个例子的图。
具体实施方式
以下,详细地说明本发明的实施方式。而且,对于具有相同的功能的结构部件附加相同的标号,省略重复说明。
<记述方法>
在实施方式的说明之前,说明本说明书中的记述方法。
_(下划线)表示下标。例如,xy_z表示yz是对于x的上标,xy_z表示yz是对于x的下标。
对于某个集合Set,将从Set随机地选择元素m,记述为m∈RSet。
对于某个算法ALG,将对于输入x和随机数r,ALG输出y,记述为y←ALG(x;r)。而且,在ALG为确定的算法的情况下,随机数r为空。
将к设为安全参数。
[伪随机函数(PRF)]
将F={Fк:Domк×FSк→Rngк}к设为具有定义域{Domк}к,密钥空间{FSк}к,值域{Rngк}к的函数族。此时,如果对于任意的多项式时间的识别者D,若不能分辨函数Fк和真随机函数RFк:Domк→Rngк,则将F={Fк}к称为伪随机函数族。伪随机函数的具体例子,例如记载在下记参考非专利文献1中。
(参考非专利文献1:O.ゴールドライヒ著、「現代暗号·確率的証明·擬似乱数」、シュプリンガー·フェアラーク東京、2001年)
[目标抗冲突散列函数]
将H={Hк:Domк→Rngк}к设为具有定义域{Domк}к、值域{Rngк}к的散列函数族。此时,若对于任意的多项式时间的攻击者A,在提供了x∈RDomк的基础上未发现成为Hк(x)=Hк(x')那样的x'(≠x),则将H={Hк}к称为目标抗冲突散列函数族。目标抗冲突散列函数的具体例子,例如被记载在下述参考非专利文献2中。
(参考非专利文献2:J.A.ブーフマン著、「暗号理論入門原書第3版」、丸善出版、2007年)
[扭曲伪随机函数(twistedPRF)]
将函数tPRF:{0,1}к×FSк×FSк×{0,1}к→Rngк称为扭曲伪随机函数,使用伪随机函数Fк,定义为
。其中,为a,b'∈{0,1}к,a',b∈FSк。扭曲伪随机函数的具体例子例如记载在下述参考非专利文献3中。
(参考非专利文献3:Kazuki Yoneyama,“One-Round Authenticated KeyExchange with Strong Forward Secrecy in the Standard Model againstConstrained Adversary”,IEICE Transactions,vol.E96-A,no.6,pp.1124-1138,2013.)
[混合网络(Mix-Net)]
混合网络系统包含M台(M为2以上的整数)的混合网络服务器S1,…,SM。最初的服务器即混合网络服务器S1在一轮(round)(即,基于S1,…,SM的一连串的处理)中接收成为处理对象的n个(n为2以上的整数)输入消息。之后,各混合网络服务器按照m=1,…,M的顺序将消息混洗(shuffle)。作为最后的服务器的混合网络服务器SM输出N个(N为2以上的整数)输出消息。即使在任意的外部攻击者与M-1台混合网络服务器进行了联合的情况下,该攻击者也不能得知对于输入消息与输出消息之间的关系。安全的混合网络协议的具体例子例如记载在下述参考非专利文献4中。
(参考非专利文献4:Miyako Ohkubo,Masayuki Abe,“A Length-InvariantHybrid Mix”,ASIACRYPT'00,Proceedings of the 6th International Conference onthe Theory and Application of Cryptology and Information Security:Advances inCryptology,pp.178-191,2000.)
[基于匿名ID的广播加密(Anonymous ID-based Broadcast Encryption:AIBBE)]
基于匿名ID的广播加密由以下的4个算法构成。
掩码密钥生成算法(1κ)将安全参数κ设为输入,输出掩码专用密钥MSK和掩码公开密钥MPK。密钥生成中心KGC被提供掩码专用密钥MSK。而且,掩码公开密钥MPK被公开。
解密密钥生成算法(MSK,IDi)将掩码专用密钥MSK和用户i(1≦i≦N)的识别符IDi作为输入,输出解密密钥dki。解密密钥dki被安全地发送至用户i。
加密算法(MPK,M,R)将掩码公开密钥MPK和明文M和接收者的集合R作为输入,输出密文CT。而且,接收者的集合R是成为明文M的接收者的用户的识别符的集合。
解密算法(dki,CT)将解密密钥dki和密文CT作为输入,在接收者的集合R中包含用户i的识别符IDi的情况下输出明文M。
安全的AIBBE的具体例子例如记载在下述参考非专利文献5中。
(参考非专利文献5:Kai He,Jian Weng,Jia-Nan Liu,Joseph K.Liu,Wei Liu,Robert H.Deng,“Anonymous Identity-Based Broadcast Encryption with Chosen-Ciphertext Security”,ASIA CCS'16,Proceedings of the 11th ACM on AsiaConference on Computer and Communications Security,pp.247-255,2016.)
使用基于匿名ID的广播加密定义基于任何信任匿名ID的广播加密(anytrust-AIBBE:AT-AIBBE)。为了分散信用,在AT-AIBBE中包含多个密钥生成中心(KGC1,…,KGCL)(L为1以上的整数)。密钥生成中心KGCj(1≦j≦L)公开掩码公开密钥MPKj。而且,密钥生成中心KGCj(1≦j≦L)生成用于用户i(1≦i≦N)的解密密钥dki (j)。用户i(1≦i≦N)将明文M加密,得到密文CT←(Σj=1,..,LMPKj,M,R)。而且,用户i(1≦i≦N)将密文CT解密,得到明文M←(Σj=1,..,Ldki (j),CT)(其中,限定为在接收者的集合R中包含用户i的识别符IDi的情况)。在密钥生成中心KGCj(1≦j≦L)中,即使L-1个密钥生成中心存在恶意的情况下,该L-1个密钥生成中心也不能将密文CT解密。
[基于ID署名(ID-basedSignature)]
基于ID署名由以下的4个算法构成。
掩码密钥生成算法(1κ)将安全参数κ作为输入,输出掩码专用密钥SMSK和掩码公开密钥SMPK。密钥生成中心KGC被提供掩码专用密钥SMSK。而且,掩码公开密钥SMPK被公开。
署名密钥生成算法(SMSK,IDi)将掩码专用密钥SMSK和用户i(1≦i≦N)的识别符IDi作为输入,输出署名密钥ski。署名密钥ski被安全地发送给用户i。
署名生成算法(SMPK,ski,M)将掩码公开密钥SMPK和署名密钥ski和消息M作为输入,输出署名σ。
署名验证算法(SMPK,IDi,M,σ)将掩码公开密钥SMPK、用户i的识别符IDi、消息M和署名σ作为输入,输出验证结果Ver(例如,0或者1作为表示验证结果的2值)。
使用基于ID署名定义基于任意信任ID署名(anytrust-IBS:AT-IBS)。为了分散信用,在AT-IBS中包含多个密钥生成中心(KGC1,…,KGCL)(L为1以上的整数)。密钥生成中心KGCj(1≦j≦L)公开掩码公开密钥SMPKj。而且,密钥生成中心KGCj(1≦j≦L)生成用于用户i(1≦i≦N)的署名密钥ski (j)。作为对于消息M的署名,用户i(1≦i≦N)得到署名σ←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),M)。而且,用户i(1≦i≦N)验证署名σ,得到验证结果Ver←(Σj=1,..,LSMPKj,IDi,M,σ)。即使在密钥生成中心KGCj(1≦j≦L)之中,L-1个密钥生成中心存在恶意的情况下,该L-1个密钥生成中心也不能伪造署名σ。
<系统结构>
如图2中例示的那样,实施方式的密钥交换系统10包含:L(≧1)台密钥生成服务器1001,…,100L、公开用服务器200、M(≧2)台混合网络服务器3001,…,300M,N(≧2)台通信装置4001,…,400N。在本实施方式中,密钥生成服务器1001,…,100L、公开用服务器200、混合网络服务器3001,…,300M、通信装置4001,…,400N分别被连接至通信网900。通信网900是,在密钥生成服务器1001,…,100L、公开用服务器200、混合网络服务器3001,…,300M、通信装置4001,…,400N中,通信所需要的各服务器或者各装置可相互通信地构成的线路交换方式或者分组交换方式的通信网。通信网900不需要是被确保了安全的通信路径,而例如可以使用因特网等。
如图3中例示的那样,密钥生成服务器100包含掩码密钥生成单元101、解密密钥/署名密钥生成单元102、发送接收单元198、记录单元199。如图4中例示的那样,公开用服务器200包含公开单元201、发送接收单元298、记录单元299。如图5中例示的那样,混合网络服务器300包含:混洗单元301、发送接收单元398、记录单元399。如图6中例示的那样,通信装置400包含:秘密字符串(string)生成单元401、第一匿名广播单元410-1、第二匿名广播单元410-2、第一密钥生成单元421、第二密钥生成单元423、会话密钥生成单元427、发送接收单元498、记录单元499。
这里,第一匿名广播单元410-1、第二匿名广播单元410-2分别提供用于在属于指定的通信装置的集合的通信装置间共享消息的功能。即,第一匿名广播单元410-1、第二匿名广播单元410-2提供同一功能。因此,以下将第一匿名广播单元410-1、第二匿名广播单元410-2作为匿名广播单元410进行说明。如图7中例示的那样,匿名广播单元410包含密文生成单元411、密文获取单元414、消息复原单元415。
该密钥生成服务器1001,…,100L、公开用服务器200、混合网络服务器3001,…,300M、通信装置4001,…,400N通过进行从图8至图12中例示的各步骤的处理,实现实施方式的密钥交换方法。
密钥生成服务器1001,…,100L、公开用服务器200、混合网络服务器3001,…,300M、通信装置4001,…,400N是,例如在具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。例如,各装置在中央运算处理装置的控制下执行各处理。被输入到各装置的数据或在各处理中得到的数据例如被存储在主存储装置中,主存储装置中存储的数据根据需要被读出至中央运算处理装置,被用于其它处理。各装置具有的各处理单元也可以至少一部分由集成电路等硬件构成。
密钥生成服务器1001,…,100L、公开用服务器200、混合网络服务器3001,…,300M、通信装置4001,…,400N具有的记录单元例如可以由RAM(Random Access Memory)等主存储装置、硬盘或光盘或者闪存(Flash Memory)那样的半导体存储器元件构成的辅助存储装置、或者关系数据库或密钥值存储(key value store)等中间件构成。记录单元在存储秘密信息的情况下,希望是具有抗干扰性的存储装置(例如,SIM卡等)。
在以下的说明中,如以下那样定义记号。Ui(i∈{1,…,N})设为表示N台通信装置4001,…,400N的记号。同样,Sm(m∈{1,…,M})设为表示M台混合网络服务器3001,…,300M的记号。
而且,将p设为κ比特的素数,将G设为将g,h设为生成元的位数p的有限循环群。将TCR:{0,1}*→{0,1}κ设为目标抗冲突散列函数。将tPRF:{0,1}к×FSк×FSк×{0,1}к→Zp,tPRF':{0,1}к×FSк×FSк×{0,1}к→FSк设为扭曲伪随机函数。将F:{0,1}к×G→Zp 2,F':{0,1}к×Zp→FSк,F":{0,1}к×FSк→{0,1}к,F”':{0,1}к×FSк→Zp设为伪随机函数。
<系统设置>
参照从图8至图10,说明实施方式的密钥交换方法中的系统设置的处理过程。
参照图8,说明密钥生成服务器100j(1≦j≦L)的动作。在步骤S101中,密钥生成服务器100j(1≦j≦L)的掩码密钥生成单元101通过基于匿名ID的广播加密的掩码密钥生成算法和基于ID署名的掩码密钥生成算法,从安全参数к生成掩码专用密钥(MSKj,SMSKj)和掩码公开密钥(MPKj,SMPKj)。
接着,在步骤S102中,密钥生成服务器100j(1≦j≦L)的解密密钥/署名密钥生成单元102通过基于匿名ID的广播加密的解密密钥生成算法,从掩码专用密钥MSKj和通信装置Ui(1≦i≦N)的识别符IDi生成解密密钥dki (j)←(MSKj,IDi),通过基于ID署名的署名密钥生成算法,从掩码专用密钥SMSKj和通信装置Ui(1≦i≦N)的识别符IDi生成署名密钥ski (j)←(SMSKj,IDi)。密钥生成服务器100j(1≦j≦L)使用发送接收单元198,将解密密钥dki (j)和署名密钥ski (j)发送到通信装置Ui(1≦i≦N)。通信装置Ui将接收到的解密密钥dki (j)和署名密钥ski (j)(1≦j≦L)记录在记录单元499中。而且,通信装置Ui获取掩码公开密钥(MPKj,SMPKj)(1≦j≦L),记录在记录单元499中。
而且,密钥生成服务器100j生成的掩码专用密钥(MSKj,SMSKj)为了保护元数据的前向机密性,被周期地更新。该周期例如可以设为1日1次等。
参照图9,说明公开用服务器200的动作。在步骤S201中,公开用服务器200的公开单元201将(p,G,g,h,TCR,tPRF,tPRF',F,F',F",F”')公开,以便通信装置Ui(1≦i≦N)可获取。通信装置Ui(1≦i≦N)从公开用服务器200适当获取(p,G,g,h,TCR,tPRF,tPRF',F,F',F",F”'),并记录在记录单元499中。
参照图10,说明通信装置Ui(1≦i≦N)的动作。在步骤S401中,通信装置Ui的秘密字符串生成单元401生成成为扭曲伪随机函数的输入的秘密字符串(sti,st'i)(其中,sti∈RFSк,st'i∈R{0,1}κ)。通信装置Ui将生成的(sti,st'i)记录在记录单元499中。
<匿名广播>
参照图11,说明实施方式的密钥交换方法中的匿名广播的处理过程。在后述的会话密钥生成的处理过程中使用该匿名广播的处理过程。
设通信装置的集合R={Ui_1,…,Ui_n}(其中,通信装置Ui_k(1≦k≦n)为了与属于集合R的各通信装置在隐匿下共享消息Mi_k,进行匿名广播。即,属于集合R的各通信装置可以接收消息Mi_1,…,Mi_n,但是不属于集合R的各通信装置不能接收消息Mi_1,…,Mi_n。
以下,为了简单,设为集合R={Ui_1,…,Ui_n}={U1,…,Un}进行说明。即使这样,也不缺少普遍性。
在1轮(一个处理单位)的匿名广播中,执行以下的三个过程。
(1)署名和加密
该过程分为通信装置Ui被包含在集合R中的情况、以及通信装置Ui不包含在集合R中的情况这两个情况来执行。
在步骤S411中,在Ui∈R的情况下,通信装置Ui的密文生成单元411通过基于ID署名的署名生成算法,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)和消息(IDi,Mi)(即,希望与作为发送元的通信装置Ui的识别符IDi共享的原来的消息Mi的组),生成对于消息(IDi,Mi)的署名ωi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(IDi,Mi))。通信装置Ui的密文生成单元411通过基于匿名ID的广播加密的加密算法,从掩码公开密钥Σj=1,..,LMPKj、明文(IDi,ωi,Mi)(即,通信装置Ui的识别符IDi、署名ωi和原来的消息Mi的组)和接收者的集合R-{Ui},生成密文Ci←(Σj=1,..,LMPKj,(IDi,ωi,Mi),(R-{Ui}))。
在Ui∈{U1,…,UN}-R的情况下,通信装置Ui的密文生成单元411生成作为伪(dummy)消息的密文Ci。例如,伪消息Ci设为,指定意味着无接收者的将适当的消息Mi通过掩码公开密钥Σj=1,..,LMPKj进行了加密的密文Ci。通过这样处理,后述的步骤S415中的密文的解密必定失败。
(2)混合网络
通信装置Ui∈{U1,…,UN}使用发送单元498,对混合网络服务器S1发送在S411中生成的密文Ci。混合网络服务器S1,…,SM将混合网络服务器S1接收到的密文(C1,…,CN)按顺序进行混洗。混合网络服务器SM在公开用的布告牌上布告将作为输出消息的密文(C1,…,CN)进行了混洗的混洗完毕密文(~C1,…,~CN)。这里,(C1,…,CN)和(~C1,…,~CN)作为集合相等。即,{~C1,…,~CN}={C1,…,CN}。例如,混合网络服务器SM的布告通过对公开用服务器200上传混洗完毕密文(~C1,…,~CN)即可。由此,通信装置Ui(1≦i≦N)可以获取混洗完毕密文(~C1,…,~CN)。
(3)下载和检查
步骤S414中,通信装置Ui∈{U1,…,UN}的密文获取单元414通过从布告牌下载混洗完毕密文(~C1,…,~CN),获取密文{C1,…,CN}。
在步骤S415中,通信装置Ui∈{U1,…,UN}的消息复原单元415通过基于匿名ID的广播加密的解密算法,从解密密钥Σj=1,..,Ldki (j)和密文Ck(1≦k≦N)生成明文(IDk,ωk,Mk)←(Σj=1,..,Ldki (j),Ck)(其中,限定为Ui∈R-{Uk}的情况)。在密文Ck的解密已成功的情况下,通信装置Ui的消息复原单元415通过基于ID署名的署名验证算法,从掩码公开密钥Σj=1,.., LSMPKj和消息(IDk,ωk,Mk)生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,Mk,ωk),验证署名ωk。在署名ωk的验证已成功的情况下,通信装置Ui的消息复原单元415将消息Mk视为从识别符IDk的通信装置Uk发送的消息。其结果,通信装置Ui∈R获取(包含自身发送的消息Mi)消息M1,…,Mn。另一方面,通信装置Ui∈{U1,…,UN}-R不能获取消息M1,…,Mn。
如以上说明的那样,通信装置Ui通过基于匿名ID的广播加密的加密算法,将发送目的地的信息(接收者的集合R-{Ui})和原来的消息一起加密,所以不需要使用公开密钥基础设施。因此,可以隐匿作为元数据之一的发送目的地的信息。而且,因为各通信装置经由混合网络接收密文,复原原来的消息,所以可以隐匿作为元数据之一的发送元的信息(发送者Ui)。即,在隐匿了元数据之后,多个用户能够共享消息。
<会话密钥生成>
参照图12,说明实施方式的密钥交换方法中的会话密钥生成的处理过程。
与先前同样,以下,为了简单,设为集合R={Ui_1,…,Ui_n}={U1,…,Un},通信装置Ui_1=U1来说明。即使这样处理,也不缺少普遍性。
将认为希望在将会话密钥隐匿的情况下与属于集合R的各通信装置共享的通信装置U1称为代表通信装置。而且,将集合R-{U1}的通信装置称为一般通信装置。
(1)轮1:第1次广播
该过程分为通信装置Ui包含在集合R中的情况、和通信装置Ui不包含在集合R中的情况这两个情况来执行。
在步骤S421中,Ui∈R的情况,通信装置Ui的第一密钥生成单元421生成~ri∈R{0,1}κ,~r'i∈RFSк,~ki∈R{0,1}κ,~k'i∈RFSк,~si∈R{0,1}κ,~s'i∈RFSк,计算ri=tPRF(~ri,~r'i,sti,st'i),ki=tPRF(~ki,~k'i,sti,st'i),si=tPRF(~si,~s'i,sti,st'i)。进而,通信装置Ui的第一密钥生成单元421计算Ri=gr_i,ci=gk_ihs_i,生成第一密钥(Ri,ci)。
在Ui∈{U1,…,UN}-R的情况下,通信装置Ui的第一密钥生成单元421随机地选择Ri,ci∈RG,生成第一密钥(Ri,ci)。
在步骤S410-1中,在Ui∈R的情况下,通信装置Ui的第一匿名广播单元410-1指定集合R-{Ui},匿名广播第一密钥(Ri,ci)。
(2)轮2:第2次广播
该过程分为通信装置Ui包含在集合R-{U1}中的情况、通信装置Ui为U1的情况、和通信装置Ui不包含在集合R中的情况这三个情况来执行。
在步骤S423中,在Ui∈R-{U1}的情况下,通信装置Ui若从属于集合R-{Ui}的全部通信装置Uk(1≦k≦n,k≠i)接收到第一密钥(Rk,ck),则通信装置Ui的第二密钥生成单元423计算sid=TCR(c1,…,cn)。再者,将sid称为会话ID。接着,通信装置Ui的第二密钥生成单元423通过下式计算Ki (l),Ki (r),Ti,随机地选择T'i∈RZp 2。
即,Ti是Ki (l)和Ki (r)的“异或”。
通信装置Ui的第二密钥生成单元423通过基于ID署名的署名生成算法,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)、消息(R,Ri,ci,ki,si,Ti,T'i)(即,接收者的集合R、在S421中生成的Ri,ci,ki,si和先前生成的Ti,T'i的组)生成对于消息(R,Ri,ci,ki,si,Ti,T'i)的署名σi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(R,Ri,ci,ki,si,Ti,T'i))。通信装置Ui的第二密钥生成单元423生成(ki,si,Ti,T'i,σi)作为第二密钥。
在Ui=U1的情况下,通信装置U1若从属于集合R-{U1}的全部通信装置Uk(2≦k≦n)接收到第一密钥(Rk,ck),则通信装置Ui的第二密钥生成单元423计算sid=TCR(c1,…,cn)。接着,通信装置Ui的第二密钥生成单元423通过下式计算K1 (l),K1 (r),随机地选择T1,T',k"1,s"1∈RZp。
其中,||为连结运算符。
通信装置Ui的第二密钥生成单元423通过基于ID署名的署名生成算法,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lsk1 (j)和消息(R,R1,c1,k"1,s"1,T1,T')(即,接收者的集合R、S421中生成的R1,c1和先前生成的k"1,s"1,T1,T'的组)生成对于消息(R,R1,c1,k"1,s"1,T1,T')的署名σ1←(Σj=1,..,LSMPKj,Σj=1,..,Lsk1 (j),(R,R1,c1,k"1,s"1,T1,T'))。通信装置Ui的第二密钥生成单元423生成(k"1,s"1,T1,T',σ1)作为第二密钥。
在Ui∈{U1,…,UN}-R的情况下,通信装置Ui的第二密钥生成单元423随机地选择ki,si∈RZp、Ti,T'i∈RZp 2、作为署名空间Σ的元素的署名σi。通信装置Ui的第二密钥生成单元423生成(ki,si,Ti,T'i,σi)作为第二密钥。
在步骤S410-2中,在Ui∈R-{U1}的情况下,通信装置Ui的第二匿名广播单元410-2指定集合R-{Ui},匿名广播第二密钥(ki,si,Ti,T'i,σi)。
在Ui=U1的情况下,通信装置Ui的第二匿名广播单元410-2指定集合R-{U1},匿名广播第二密钥(k"1,s"1,T1,T',σ1)。
(3)会话密钥生成
该过程分为通信装置Ui包含在集合R-{U1}中的情况、通信装置Ui为U1的情况、通信装置Ui不包含在集合R中的情况这三个情况来执行。
而且,在通信装置Ui不包含在集合R中的情况下,执行空的处理。即,不包含在集合R中的通信装置Ui不进行任何处理。
在步骤S427中,在Ui∈R-{U1}的情况下,若通信装置Ui从属于集合R-{Ui}的全部通信装置Uk(1≦k≦n,k≠i)接收第二密钥(k"1,s"1,T1,T',σ1)、第二密钥(kk,sk,Tk,T'k,σk)(2≦k≦n,k≠i),则通信装置Ui的会话密钥生成单元427通过基于ID署名的署名验证算法,从掩码公开密钥Σj=1,..,LSMPKj、识别符IDk、消息(R,Rk,ck,kk,sk,Tk,T'k)(即,接收者的集合R、在S423中接收到的Rk,ck和在S427开始时接收到的kk,sk,Tk,T'k的组)和S427开始时接收到的署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),验证署名σk。在署名σk的验证失败了的情况下,通信装置Ui的会话密钥生成单元427中止处理。通信装置Ui的会话密钥生成单元427通过下式计算K1 (l),k1||s1,对于满足1≦k≦n的k,确认ck=gk_ khs_k是否成立。
在对于满足1≦k≦n的k的至少一个,ck=gk_khs_k不成立的情况下,通信装置Ui的会话密钥生成单元427中止处理。通信装置Ui的会话密钥生成单元427按下式计算会话密钥SK。
在Ui=U1的情况下,通信装置U1若从属于集合R-{U1}的全部通信装置Uk(2≦k≦n)接收到第二密钥(kk,sk,Tk,T'k,σk),则通信装置U1的会话密钥生成单元427通过基于ID署名的署名验证算法,从掩码公开密钥Σj=1,..,LSMPKj、识别符IDk、消息(R,Rk,ck,kk,sk,Tk,T'k)(即,接收者的集合R、在S423中接收到的Rk,ck和在S427开始时接收到的kk,sk,Tk,T'k的组)、和S427开始时接收到的署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),验证署名σk。在署名σk的验证失败了的情况下,通信装置U1的会话密钥生成单元427中止处理。而且,通信装置U1的会话密钥生成单元427对于满足1≦k≦n的k,确认ck=gk_khs_k是否成立。在对于满足1≦k≦n的k的至少一个,ck=gk_khs_k不成立的情况下,通信装置U1的会话密钥生成单元427中止处理。通信装置U1的会话密钥生成单元427通过下式生成会话密钥SK。
在Ui∈{U1,…,UN}-R的情况下,如上所述,通信装置Ui的会话密钥生成单元427不生成会话密钥SK。
通过上述那样构成,按照本发明的密钥交换技术,可以在隐匿了元数据的基础上,在多个通信装置中共享会话密钥。
匿名广播通过使用混合网络,以一定间隔确立可交换消息的隐匿通信路径。通过利用它实现会话密钥生成过程的密钥交换,实现元数据的隐匿化。进而,通过使用共享的会话密钥进行通信,实现隐匿通信。这样,可以防止来自密钥交换协议的元数据的泄露,可完全隐匿元数据。
在使用该密钥交换协议时,对于利用全球性企业或卫星通信那样的企业,例如能够提供实现TCP/IP中的连接路径的匿名化的Tor(The Onion Router,洋葱路由器)那样的网络,确保包含通信中的元数据的机密性。
本发明不限于上述的实施方式,不用说,可在不脱离本发明的宗旨的范围内适当变更。在上述实施方式中说明的各种的处理,不仅按照记载的顺序时间序列地执行,也可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。
[程序,记录介质]
在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下,通过程序记述各装置应具有的功能的处理内容。然后,通过计算机执行该程序,在计算机上实现上述各装置中的各种处理功能。
记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质,例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。
而且,该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。进而,也可以设为将该程序存储在服务器计算机的存储装置中,经由网络,通过将该程序从服务器计算机转发到其它计算机,使该程序流通的结构。
执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后,在执行处理时,该计算机读取自己的记录介质中存储的程序,执行按照读取的程序的处理。而且,作为该程序其它执行方式,计算机也可以从便携式记录介质直接读取程序,执行按照该程序的处理,进而,也可以在每次从服务器计算机对该计算机转发程序时,逐次执行按照接受的程序的处理。而且,也可以设为通过不进行从服务器计算机向该计算机的程序的转发,仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider,应用服务提供商)型的服务,执行上述的处理的结构。再者,在本方式中的程序中,包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令,但是具有规定计算机的处理的性质的数据等)。
而且,在本方式中,设为通过在计算机上执行规定的程序来构成本装置,但也可以硬件性地实现这些处理内容的至少一部分。
上述的本发明的实施方式的记载是以例证和记载的目的而提示的。不是包罗的意思,也没有将发明限定于公开的严密的形式的意思。可从上述的教导进行变形或变化。实施方式是为了提供本发明的原理的最佳例证,并且为了本领域的本领域的技术人员将本发明以各种实施方式、并且附加各种变形而可利用,以便适于深思熟虑的实际的使用,而选择并表现的方式。所有这样的变形和变化,都在按照由公正、合法、公平地给予的广度而解释的添加权利要求所决定的本发明的范围内。
Claims (6)
1.一种匿名广播方法,
是将N设为2以上的整数,将L设为1以上的整数,
在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}中包含的通信装置之间共享消息M1,…,Mn的匿名广播方法,其中2≦n≦N,
将IDi设为通信装置Ui的识别符,将MPKj设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj设为基于ID署名的掩码公开密钥,将dki (j)设为基于匿名ID的广播加密的解密密钥,将ski (j)设为基于ID署名的署名密钥,其中1≦i≦N,1≦j≦L,
所述匿名广播方法包括:
密文生成步骤,对于i∈{1,…,n},通信装置Ui从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)、以及所述识别符IDi和所述消息Mi的组即消息(IDi,Mi),生成署名ωi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(IDi,Mi)),从掩码公开密钥Σj=1,..,LMPKj、所述识别符IDi和所述署名ωi和所述消息Mi的组即明文(IDi,ωi,Mi)、以及集合R-{Ui},生成密文Ci←(Σj=1,..,LMPKj,(IDi,ωi,Mi),(R-{Ui})),
对于i∈{n+1,…,N},通信装置Ui生成作为伪消息的密文Ci;
密文获取步骤,对于i∈{1,…,N},通信装置Ui获取混合网络混洗后的密文{C1,…,CN};以及
消息复原步骤,对于i∈{1,…,N},通信装置Ui从解密密钥Σj=1,..,Ldki (j)、以及所述密文Ck,其中1≦k≦N,生成消息(IDk,ωk,Mk)←(Σj=1,..,Ldki (j),Ck),在Ui∈R-{Uk}的情况下,从所述掩码公开密钥Σj=1,..,LSMPKj、所述消息(IDk,ωk,Mk)生成验证结果Verk←(Σj=1,.., LSMPKj,IDk,Mk,ωk),在署名ωk的验证成功的情况下,将所述消息Mk视为从所述识别符IDk的通信装置Uk发送的消息,通信装置Ui∈R获取所述消息M1,…,Mn。
2.一种密钥交换方法,
是将N设为2以上的整数,将L设为1以上的整数,
在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}中包含的通信装置之间共享会话密钥SK的密钥交换方法,其中2≦n≦N,
将IDi设为通信装置Ui的识别符,将MPKj设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj设为基于ID署名的掩码公开密钥,将dki (j)设为基于匿名ID的广播加密的解密密钥,将ski (j)设为基于ID署名的署名密钥,将G设为将g,h设为生成元的素数位数p的有限循环群,将||设为连结运算符,其中1≦i≦N,1≦j≦L,
在通信装置Ui的记录单元中,记录秘密字符串sti,st'i,其中1≦i≦N,
所述密钥交换方法包括:
第一密钥生成步骤,对于i∈{1,…,n},通信装置Ui通过扭曲伪随机函数,使用所述秘密字符串sti,st'i计算ri,ki,si,通过计算Ri=gr_i,ci=gk_ihs_i,生成第一密钥(Ri,ci),
对于i∈{n+1,…,N},通信装置Ui随机地选择Ri,ci∈RG,生成第一密钥(Ri,ci);
第一匿名广播步骤,对于i∈{1,…,n},通信装置Ui指定集合R-{Ui},匿名广播所述第一密钥(Ri,ci),
第二密钥生成步骤,对于i∈{2,…,n},通信装置Ui通过目标抗冲突散列函数,使用所述ck计算会话IDsid,其中1≦k≦n,通过伪随机函数,使用(sid,Ri-1 r_i)计算Ki (l),通过伪随机函数,使用(sid,Ri+1 r_i)计算Ki (r),通过Ki (l)和Ki (r)的“异或”计算Ti,随机地选择T'i∈RZp 2,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)、以及消息(R,Ri,ci,ki,si,Ti,T'i)生成署名σi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(R,Ri,ci,ki,si,Ti,T'i)),生成第二密钥(ki,si,Ti,T'i,σi),
对于i=1,通信装置U1通过目标抗冲突散列函数,从所述ck计算会话IDsid,通过伪随机函数,使用(sid,Rn r_1)计算K1 (l),通过伪随机函数,使用(sid,R2 r_1)计算K1 (r),通过K1 (l)和K1 (r)的“异或”计算T1,通过K1 (l)和k1||s1的“异或”计算T',随机地选择k"1,s"1∈RZp,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lsk1 (j)、以及消息(R,R1,c1,k"1,s"1,T1,T')生成署名σ1←(Σj=1,..,LSMPKj,Σj=1,..,Lsk1 (j),(R,R1,c1,k"1,s"1,T1,T')),生成第二密钥(k"1,s"1,T1,T',σ1),其中1≦k≦n,
对于i∈{n+1,…,N},通信装置Ui随机地选择ki,si∈RZp,Ti,T'i∈RZp 2,σi∈RΣ,生成第二密钥(ki,si,Ti,T'i,σi),其中,Σ为署名空间;
第二匿名广播步骤,对于i∈{2,…,n},通信装置Ui指定集合R-{Ui},匿名广播所述第二密钥(ki,si,Ti,T'i,σi),
对于i=1,通信装置U1指定集合R-{U1},匿名广播所述第二密钥(k"1,s"1,T1,T',σ1),
会话密钥生成步骤,对于i∈{2,…,n},通信装置Ui若获取所述第二密钥(k"1,s"1,T1,T',σ1)和所述第二密钥(kk,sk,Tk,T'k,σk),则从所述掩码公开密钥Σj=1,..,LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功的情况下,通过与Ki (l)和Tj的“异或”的“异或”计算K1 (l),通过T'和K1 (l)的“异或”计算k1||s1,对于满足1≦k≦n的k,在ck=gk_khs_k成立的情况下,通过伪随机函数,使用所述sid、所述ki(1≦i≦n)的“异或”,生成所述会话密钥SK,其中2≦k≦n,k≠i,1≦j≦i-1,
对于i=1,若通信装置U1获取所述第二密钥(kk,sk,Tk,T'k,σk),则从所述掩码公开密钥Σj=1,..,LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,.., LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功,且对于满足1≦k≦n的k,ck=gk_khs_k成立的情况下,通过伪随机函数,使用所述sid、所述ki的“异或”,生成所述会话密钥SK,其中2≦k≦n,1≦i≦n。
3.一种匿名广播系统,
是将N设为2以上的整数,将L设为1以上的整数,
在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}中包含的通信装置之间共享消息M1,…,Mn的匿名广播系统,其中2≦n≦N,
将IDi设为通信装置Ui的识别符,将MPKj设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj设为基于ID署名的掩码公开密钥,将dki (j)设为基于匿名ID的广播加密的解密密钥,将ski (j)设为基于ID署名的署名密钥,其中1≦i≦N,1≦j≦L,
通信装置Ui包含匿名广播单元,其中1≦i≦N,
所述匿名广播单元包括:
密文生成单元,对于i∈{1,…,n},从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,.., Lski (j)、以及所述识别符IDi和所述消息Mi的组即消息(IDi,Mi)中,生成署名ωi←(Σj=1,.., LSMPKj,Σj=1,..,Lski (j),(IDi,Mi)),从掩码公开密钥Σj=1,..,LMPKj、以及所述识别符IDi和所述署名ωi和所述消息Mi的组即明文(IDi,ωi,Mi)的集合R-{Ui}中,生成密文Ci←(Σj=1,.., LMPKj,(IDi,ωi,Mi),(R-{Ui})),
对于i∈{n+1,…,N},生成作为伪消息的密文Ci;
密文获取单元,获取混合网络混洗后的密文{C1,…,CN};以及
消息复原单元,从解密密钥Σj=1,..,Ldki (j)和所述密文Ck,生成消息(IDk,ωk,Mk)←(Σj=1,..,Ldki (j),Ck),其中1≦k≦N,
对于i∈{1,…,n},其中,i≠k,从所述掩码公开密钥Σj=1,..,LSMPKj和所述消息(IDk,ωk,Mk)生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,Mk,ωk),在署名ωk的验证成功的情况下,将所述消息Mk视为从所述识别符IDk的通信装置Uk发送的消息,
对于i∈{1,…,n},获取所述消息M1,…,Mn。
4.一种密钥交换系统,
是将N设为2以上的整数,将L设为1以上的整数,
在N台通信装置U1,…,UN中,在通信装置的集合R={U1,…,Un}中包含的通信装置之间共享会话密钥SK的密钥交换系统,其中2≦n≦N,
将IDi设为通信装置Ui的识别符,将MPKj设为基于匿名ID的广播加密的掩码公开密钥,将SMPKj设为基于ID署名的掩码公开密钥,将dki (j)设为基于匿名ID的广播加密的解密密钥,将ski (j)设为基于ID署名的署名密钥,将G设为将g,h设为生成元的素数位数p的有限循环群,将||设为连结运算符,其中1≦i≦N,1≦j≦L,
通信装置Ui包括:
记录单元,记录秘密字符串sti,st'i;
第一密钥生成单元,对于i∈{1,…,n},通过扭曲伪随机函数,通过使用所述秘密字符串sti,st'i计算ri,ki,si,并计算Ri=gr_i,ci=gk_ihs_i,生成第一密钥(Ri,ci),
对于i∈{n+1,…,N},随机地选择Ri,ci∈RG,生成第一密钥(Ri,ci);
第一匿名广播单元,对于i∈{1,…,n},指定集合R-{Ui},匿名广播所述第一密钥(Ri,ci),
第二密钥生成单元,对于i∈{2,…,n},通过目标抗冲突散列函数,使用所述ck计算会话IDsid,通过伪随机函数,使用(sid,Ri-1 r_i)计算Ki (l),通过伪随机函数,使用(sid,Ri+1 r_i)计算Ki (r),通过计算Ki (l)和Ki (r)的“异或”计算Ti,随机地选择T'i∈RZp 2,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lski (j)和消息(R,Ri,ci,ki,si,Ti,T'i),生成署名σi←(Σj=1,..,LSMPKj,Σj=1,..,Lski (j),(R,Ri,ci,ki,si,Ti,T'i)),生成第二密钥(ki,si,Ti,T'i,σi),其中1≦k≦n,
对于i=1,通过目标抗冲突散列函数,从所述ck计算会话IDsid,通过伪随机函数,使用(sid,Rn r_1)计算K1 (l),通过伪随机函数,使用(sid,R2 r_1)计算K1 (r),通过K1 (l)和K1 (r)的“异或”计算T1,通过K1 (l)和k1||s1的“异或”计算T',随机地选择k"1,s"1∈RZp,从掩码公开密钥Σj=1,..,LSMPKj、署名密钥Σj=1,..,Lsk1 (j)和消息(R,R1,c1,k"1,s"1,T1,T'),生成署名σ1←(Σj=1,..,LSMPKj,Σj=1,..,Lsk1 (j),(R,R1,c1,k"1,s"1,T1,T')),生成第二密钥(k"1,s"1,T1,T',σ1),其中1≦k≦n,
对于i∈{n+1,…,N},随机地选择ki,si∈RZp,Ti,T'i∈RZp 2,σi∈RΣ,其中,Σ是署名空间,生成第二密钥(ki,si,Ti,T'i,σi);
第二匿名广播单元,对于i∈{2,…,n},指定集合R-{Ui},匿名广播所述第二密钥(ki,si,Ti,T'i,σi),
对于i=1,指定集合R-{U1},匿名广播所述第二密钥(k"1,s"1,T1,T',σ1),
会话密钥生成单元,对于i∈{2,…,n},若获取所述第二密钥(k"1,s"1,T1,T',σ1)和所述第二密钥(kk,sk,Tk,T'k,σk),则从所述掩码公开密钥Σj=1,..,LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功了的情况下,通过与Ki (l)和Tj的“异或”的“异或”计算K1 (l)计算K1 (l),通过T'和K1 (l)的“异或”计算k1||s1,对于满足1≦k≦n的k,ck=gk_khs_k成立的情况下,通过伪随机函数,使用所述sid、所述ki的“异或”生成所述会话密钥SK,其中2≦k≦n,k≠i,1≦j≦i-1,1≦i≦n,
对于i=1,若获取所述第二密钥(kk,sk,Tk,T'k,σk),则从所述掩码公开密钥Σj=1,.., LSMPKj、消息(R,Rk,ck,kk,sk,Tk,T'k)和所述署名σk,生成验证结果Verk←(Σj=1,..,LSMPKj,IDk,(R,Rk,ck,kk,sk,Tk,T'k),σk),在署名σk的验证成功,且对于满足1≦k≦n的k,ck=gk_khs _k成立的情况下,通过伪随机函数,使用所述sid、所述ki的“异或”,生成所述会话密钥SK,其中2≦k≦n,1≦i≦n。
5.一种通信装置,
构成权利要求3中记载的匿名广播系统或者权利要求4中记载的密钥交换系统。
6.一种程序,使计算机具有作为构成权利要求3中记载的匿名广播系统或者权利要求4中记载的密钥交换系统的通信装置的功能。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017-170072 | 2017-09-05 | ||
JP2017170072A JP6592851B2 (ja) | 2017-09-05 | 2017-09-05 | 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム |
PCT/JP2018/030281 WO2019049615A1 (ja) | 2017-09-05 | 2018-08-14 | 匿名ブロードキャスト方法、鍵交換方法、匿名ブロードキャストシステム、鍵交換システム、通信装置、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111052673A true CN111052673A (zh) | 2020-04-21 |
CN111052673B CN111052673B (zh) | 2023-03-14 |
Family
ID=65633902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880057073.0A Active CN111052673B (zh) | 2017-09-05 | 2018-08-14 | 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11985250B2 (zh) |
EP (1) | EP3681096A4 (zh) |
JP (1) | JP6592851B2 (zh) |
CN (1) | CN111052673B (zh) |
WO (1) | WO2019049615A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11601284B2 (en) * | 2019-06-14 | 2023-03-07 | Planetway Corporation | Digital signature system based on a cloud of dedicated local devices |
US20220318415A1 (en) * | 2019-07-18 | 2022-10-06 | Nokia Technologies Oy | Integrity auditing for multi-copy storage |
JP7254296B2 (ja) * | 2019-12-12 | 2023-04-10 | 日本電信電話株式会社 | 鍵交換システム、情報処理装置、鍵交換方法及びプログラム |
CN114338164B (zh) * | 2021-12-29 | 2024-04-30 | 支付宝(杭州)信息技术有限公司 | 一种匿名安全比较方法和系统 |
CN115941269B (zh) * | 2022-11-04 | 2024-03-12 | 西安电子科技大学 | 一种基于cMix匿名网络实现接收方匿名的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7234059B1 (en) * | 2001-08-09 | 2007-06-19 | Sandia Corporation | Anonymous authenticated communications |
CN104836657A (zh) * | 2015-05-27 | 2015-08-12 | 华中科技大学 | 一种具有高效解密特性的基于身份匿名广播加密方法 |
WO2016016656A1 (en) * | 2014-08-01 | 2016-02-04 | Bae Systems Plc | Improvements in and relating to secret communications |
CN106453428A (zh) * | 2016-12-15 | 2017-02-22 | 中国科学院上海微系统与信息技术研究所 | 一种适用于manet网络层的匿名安全通信方法 |
-
2017
- 2017-09-05 JP JP2017170072A patent/JP6592851B2/ja active Active
-
2018
- 2018-08-14 WO PCT/JP2018/030281 patent/WO2019049615A1/ja unknown
- 2018-08-14 CN CN201880057073.0A patent/CN111052673B/zh active Active
- 2018-08-14 US US16/641,716 patent/US11985250B2/en active Active
- 2018-08-14 EP EP18853661.9A patent/EP3681096A4/en not_active Withdrawn
-
2022
- 2022-06-29 US US17/852,745 patent/US12034862B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7234059B1 (en) * | 2001-08-09 | 2007-06-19 | Sandia Corporation | Anonymous authenticated communications |
WO2016016656A1 (en) * | 2014-08-01 | 2016-02-04 | Bae Systems Plc | Improvements in and relating to secret communications |
CN104836657A (zh) * | 2015-05-27 | 2015-08-12 | 华中科技大学 | 一种具有高效解密特性的基于身份匿名广播加密方法 |
CN106453428A (zh) * | 2016-12-15 | 2017-02-22 | 中国科学院上海微系统与信息技术研究所 | 一种适用于manet网络层的匿名安全通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US11985250B2 (en) | 2024-05-14 |
WO2019049615A1 (ja) | 2019-03-14 |
US20220337428A1 (en) | 2022-10-20 |
EP3681096A4 (en) | 2021-06-02 |
JP2019047390A (ja) | 2019-03-22 |
JP6592851B2 (ja) | 2019-10-23 |
EP3681096A1 (en) | 2020-07-15 |
US12034862B2 (en) | 2024-07-09 |
CN111052673B (zh) | 2023-03-14 |
US20200358622A1 (en) | 2020-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3779717B1 (en) | Multiparty secure computing method, device, and electronic device | |
CN107947913B (zh) | 一种基于身份的匿名认证方法与系统 | |
US7634085B1 (en) | Identity-based-encryption system with partial attribute matching | |
CN111052673A (zh) | 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 | |
CN109891423B (zh) | 使用多个控制机构的数据加密控制 | |
CN112906030B (zh) | 基于多方全同态加密的数据共享方法和系统 | |
CN110932851B (zh) | 一种基于pki的多方协同运算的密钥保护方法 | |
JP6497747B2 (ja) | 鍵交換方法、鍵交換システム | |
CN106941404B (zh) | 密钥保护方法及装置 | |
CN109565440B (zh) | 密钥交换方法,密钥交换系统 | |
Buchmann et al. | Towards a publicly-verifiable mix-net providing everlasting privacy | |
CN114157415A (zh) | 数据处理方法、计算节点、系统、计算机设备和存储介质 | |
JP2022525137A (ja) | データに基づく行為を実施するための方法および装置 | |
CN113239403A (zh) | 一种数据共享方法及装置 | |
CN107637013B (zh) | 密钥交换方法、密钥交换系统、密钥分发装置、通信装置、及记录介质 | |
CN111565108B (zh) | 签名处理方法、装置及系统 | |
CN107070900B (zh) | 基于混淆的可搜索重加密方法 | |
CN114070549A (zh) | 一种密钥生成方法、装置、设备和存储介质 | |
Zheng et al. | Improved anonymous proxy re-encryption with CCA security | |
CN114070550A (zh) | 一种信息处理方法、装置、设备和存储介质 | |
EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity | |
Kim et al. | Certificateless Group to Many Broadcast Proxy Reencryptions for Data Sharing towards Multiple Parties in IoTs | |
Prasanthi et al. | An Efficient Auditing Protocol for Secure Data Storage in Cloud Computing | |
JP2019125957A (ja) | 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム | |
CN114095151B (zh) | 一种加解密方法、认证方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |