CN111052673A - 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 - Google Patents

Abstract

提供可以隐匿与通信有关的元数据的、N(≧2)者之间的密钥交换技术。包括：第一密钥生成步骤，通信装置U_i生成第一密钥；第一匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R‑{U_i}，对于i∈{n+1,…,N}，通信装置U_i指定

匿名广播第一密钥；第二密钥生成步骤，通信装置U_i生成第二密钥；第二匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R‑{U_i}，对于i∈{n+1,…,N}，通信装置U_i指定

匿名广播第二密钥；以及会话密钥生成步骤，对于i∈{1,…,n}，通信装置U_i在满足规定的条件的情况下，生成会话密钥SK。

Description

匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、 通信装置、程序

技术领域

本发明涉及信息安全技术的应用，特别涉及形成群(group)的多个用户共享共同密钥的密钥交换技术。

背景技术

以往，提出形成群的多个用户共享共同密钥的密钥交换技术。图1表示实现那样的密钥交换技术的系统的一例子。密钥交换系统90包含密钥交换服务器700以及N(≧2)台通信装置800₁,…,800_N。在该实施方式中，密钥交换服务器700以及通信装置800₁,…,800_N被分别连接至通信网900，各通信装置800_i经由密钥交换服务器700与其它的通信装置800_j相互交换密钥(1≦i,j≦N,其中，i与j不同)。但是，由于为了确保通信的机密性所需要的密钥交换，产生哪个通信装置与哪个通信装置、并且以何种程度的频度进行通信这样的与通信有关的元数据被泄露给外部的攻击者，难以完全隐匿元数据的问题。例如，在使用了公开密钥基础设施(PKI:Public Key Infrastracture)的密钥交换中，得到了公开密钥的用户想要与作为公开密钥的所有者的用户进行通信的情况被攻击者得知。

因此，作为可隐匿元数据的密钥交换技术，已提出存在于非专利文献1中的协议。在非专利文献1的技术中，在其通信路径中使用概率的公开密钥暗号实现两者间的密钥交换。由此，能够隐匿在两者间的密钥交换时的与通信有关的元数据(例如，电话号码、发送目的地、发送元、通信时刻、通信路径、添付文件名、发送次数等)。

现有技术文献

非专利文献

非专利文献1：DavidLazarandNickolaiZeldovich,“Alpenhorn:BootstrappingSecureCommunicationwithoutLeakingMetadata”，[online]，[平成29年7月14日搜索]，因特网<URL:https://vuvuzela.io/alpenhorn-extended.pdf>

发明内容

发明要解决的课题

但是，在非专利文献1的技术中，可交换共同密钥的用户不限于两者。因此，在N(≧3)者间的通信中，不能在隐匿元数据的基础上实现密钥交换。

因此，本发明的目的是提供可隐匿与通信有关的元数据的、N(≧2)者间的密钥交换技术。

用于解决课题的手段

本发明的一个方式是，将N设为2以上的整数，将L设为1以上的整数，在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}(2≦n≦N)中包含的通信装置之间共享消息M₁,…,M_n的匿名广播方法，将ID_i(1≦i≦N)设为通信装置U_i的识别符，将MPK_j(1≦j≦L)设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j(1≦j≦L)设为基于ID署名的掩码公开密钥，将dk_i ^(j)(1≦i≦N,1≦j≦L)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)(1≦i≦N,1≦j≦L)设为基于ID署名的署名密钥，所述匿名广播方法包括：密文生成步骤，对于i∈{1,…,n}，通信装置U_i从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)，生成署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)、以及集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，对于i∈{n+1,…,N}，通信装置U_i生成作为伪消息的密文C_i；密文获取步骤，对于i∈{1,…,N}，通信装置U_i获取混合网络混洗后的密文{C₁,…,C_N}；消息复原步骤，对于i∈{1,…,N}，通信装置U_i从解密密钥Σ_j＝1,..,Ldk_i ^(j)和所述密文C_k(1≦k≦N)生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，在为U_i∈R-{U_k}的情况下，从所述掩码公开密钥Σ_{j＝1,.., L}SMPK_j和所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，通信装置U_i∈R获取所述消息M₁,…,M_n。

本发明的一个方式是，将N设为2以上的整数，将L设为1以上的整数，在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}(2≦n≦N)中包含的通信装置之间共享会话密钥SK的密钥交换方法，将ID_i(1≦i≦N)设为通信装置U_i的识别符，将MPK_j(1≦j≦L)设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j(1≦j≦L)设为基于ID署名的掩码公开密钥，将dk_i ^(j)(1≦i≦N,1≦j≦L)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)(1≦i≦N,1≦j≦L)设为基于ID署名的署名密钥，将G设为将g,h设为生成元的素数位数p的有限循环群，将||设为连结运算符，在通信装置U_i(1≦i≦N)的记录单元中记录秘密字符串st_i,st'_i，所述密钥交换方法包括：第一密钥生成步骤，对于i∈{1,…,n}，通信装置U_i通过扭曲伪随机函数，使用所述秘密字符串st_i,st'_i计算r_i,k_i,s_i，计算R_i＝g^r_i，c_i＝g^k_ih^s_i，生成第一密钥(R_i,c_i)，对于i∈{n+1,…,N}，通信装置U_i随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；第一匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，对于i∈{n+1,…,N}，通信装置U_i指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；第二密钥生成步骤，对于i∈{2,…,n}，通信装置U_i通过目标抗冲突散列函数，使用所述c_k(1≦k≦n)计算会话IDsid，通过伪随机函数，使用(sid,R_i-1 ^r_i)计算K_i ^(l)，通过伪随机函数，使用(sid,R_i+1 ^r_i)计算K_i ^(r)，通过K_i ^(l)与K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，对于i＝1，通信装置U₁通过目标抗冲突散列函数，从所述c_k(1≦k≦n)计算会话IDsid，通过伪随机函数，使用(sid,R_n ^r_1)计算K₁ ^(l)，通过伪随机函数，使用(sid,R₂ ^{r _1})计算K₁ ^(r)，通过K₁ ^(l)与K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)与k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)和消息(R,R₁,c₁,k"₁,s"₁,T₁,T')生成署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，对于i∈{n+1,…,N}，通信装置U_i随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ(其中，Σ为署名空间)，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)；第二匿名广播步骤，对于i∈{2,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，对于i＝1，通信装置U₁指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，对于i∈{n+1,…,N}，通信装置U_i指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；会话密钥生成步骤，对于i∈{2,…,n}，通信装置U_i若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)(2≦k≦n,k≠i)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_{j＝1,.., L}SMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功了的情况下，通过与K_i ^(l)和T_j(1≦j≦i-1)的“异或”的“异或”计算K₁ ^(l)，通过T'与K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，在c_k＝g^k_kh^s_k成立的情况下，通过伪随机函数，使用所述sid、所述k_i(1≦i≦n)的“异或”生成所述会话密钥SK，对于i＝1，通信装置U₁若获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)(2≦k≦n)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，c_k＝g^k_kh^s_k成立的情况下，通过伪随机函数，使用所述sid、所述k_i(1≦i≦n)的“异或”，生成所述会话密钥SK。

发明的效果

按照本发明，可在隐匿元数据的基础上，多个用户共享共同密钥。进而，更一般地，可在隐匿了元数据的基础上，多个用户共享消息。

附图说明

图1是表示密钥交换系统90的结构的一个例子的图。

图2是表示密钥交换系统10的结构的一个例子的图。

图3是表示密钥生成服务器100的结构的一个例子的图。

图4是表示公开用服务器200的结构的一个例子的图。

图5是表示混合网络(mix net)服务器300的结构的一个例子的图。

图6是表示通信装置400的结构的一个例子的图。

图7是表示匿名广播单元410的结构的一个例子的图。

图8系统设置自动密钥生成服务器100的动作的一个例子的图。

图9是表示系统设置中的公开用服务器200的动作的一个例子的图。

图10是表示系统设置中的通信装置400的动作的一个例子的图。

图11是表示广播中的通信装置400的动作的一个例子的图。

图12会话密钥生成中的通信装置400的动作的一个例子的图。

具体实施方式

以下，详细地说明本发明的实施方式。而且，对于具有相同的功能的结构部件附加相同的标号，省略重复说明。

＜记述方法＞

在实施方式的说明之前，说明本说明书中的记述方法。

_(下划线)表示下标。例如，x^y_z表示y_z是对于x的上标，x_{y_z}表示y_z是对于x的下标。

对于某个集合Set，将从Set随机地选择元素m，记述为m∈_RSet。

对于某个算法ALG，将对于输入x和随机数r，ALG输出y，记述为y←ALG(x；r)。而且，在ALG为确定的算法的情况下，随机数r为空。

将к设为安全参数。

[伪随机函数(PRF)]

将F＝{F_к:Dom_к×FS_к→Rng_к}_к设为具有定义域{Dom_к}_к，密钥空间{FS_к}_к，值域{Rng_к}_к的函数族。此时，如果对于任意的多项式时间的识别者D，若不能分辨函数F_к和真随机函数RF_к:Dom_к→Rng_к，则将F＝{F_к}_к称为伪随机函数族。伪随机函数的具体例子，例如记载在下记参考非专利文献1中。

(参考非专利文献1：O.ゴールドライヒ著、「現代暗号·確率的証明·擬似乱数」、シュプリンガー·フェアラーク東京、2001年)

[目标抗冲突散列函数]

将H＝{H_к:Dom_к→Rng_к}_к设为具有定义域{Dom_к}_к、值域{Rng_к}_к的散列函数族。此时，若对于任意的多项式时间的攻击者A，在提供了x∈_RDom_к的基础上未发现成为H_к(x)＝H_к(x')那样的x'(≠x)，则将H＝{H_к}_к称为目标抗冲突散列函数族。目标抗冲突散列函数的具体例子，例如被记载在下述参考非专利文献2中。

(参考非专利文献2：J.A.ブーフマン著、「暗号理論入門原書第3版」、丸善出版、2007年)

[扭曲伪随机函数(twistedPRF)]

将函数tPRF:{0,1}^к×FS_к×FS_к×{0,1}^к→Rng_к称为扭曲伪随机函数，使用伪随机函数F_к，定义为

。其中，为a,b'∈{0,1}^к，a',b∈FS_к。扭曲伪随机函数的具体例子例如记载在下述参考非专利文献3中。

(参考非专利文献3：Kazuki Yoneyama,“One-Round Authenticated KeyExchange with Strong Forward Secrecy in the Standard Model againstConstrained Adversary”,IEICE Transactions,vol.E96-A,no.6,pp.1124-1138,2013.)

[混合网络(Mix-Net)]

混合网络系统包含M台(M为2以上的整数)的混合网络服务器S₁,…,S_M。最初的服务器即混合网络服务器S₁在一轮(round)(即，基于S₁,…,S_M的一连串的处理)中接收成为处理对象的n个(n为2以上的整数)输入消息。之后，各混合网络服务器按照m＝1,…,M的顺序将消息混洗(shuffle)。作为最后的服务器的混合网络服务器S_M输出N个(N为2以上的整数)输出消息。即使在任意的外部攻击者与M-1台混合网络服务器进行了联合的情况下，该攻击者也不能得知对于输入消息与输出消息之间的关系。安全的混合网络协议的具体例子例如记载在下述参考非专利文献4中。

(参考非专利文献4：Miyako Ohkubo,Masayuki Abe,“A Length-InvariantHybrid Mix”,ASIACRYPT'00,Proceedings of the 6th International Conference onthe Theory and Application of Cryptology and Information Security:Advances inCryptology,pp.178-191,2000.)

[基于匿名ID的广播加密(Anonymous ID-based Broadcast Encryption:AIBBE)]

基于匿名ID的广播加密由以下的4个算法构成。

掩码密钥生成算法(1^κ)将安全参数κ设为输入，输出掩码专用密钥MSK和掩码公开密钥MPK。密钥生成中心KGC被提供掩码专用密钥MSK。而且，掩码公开密钥MPK被公开。

解密密钥生成算法(MSK,ID_i)将掩码专用密钥MSK和用户i(1≦i≦N)的识别符ID_i作为输入，输出解密密钥dk_i。解密密钥dk_i被安全地发送至用户i。

加密算法(MPK,M,R)将掩码公开密钥MPK和明文M和接收者的集合R作为输入，输出密文CT。而且，接收者的集合R是成为明文M的接收者的用户的识别符的集合。

解密算法(dk_i,CT)将解密密钥dk_i和密文CT作为输入，在接收者的集合R中包含用户i的识别符ID_i的情况下输出明文M。

安全的AIBBE的具体例子例如记载在下述参考非专利文献5中。

(参考非专利文献5：Kai He,Jian Weng,Jia-Nan Liu,Joseph K.Liu,Wei Liu,Robert H.Deng,“Anonymous Identity-Based Broadcast Encryption with Chosen-Ciphertext Security”,ASIA CCS'16,Proceedings of the 11th ACM on AsiaConference on Computer and Communications Security,pp.247-255,2016.)

使用基于匿名ID的广播加密定义基于任何信任匿名ID的广播加密(anytrust-AIBBE:AT-AIBBE)。为了分散信用，在AT-AIBBE中包含多个密钥生成中心(KGC₁,…,KGC_L)(L为1以上的整数)。密钥生成中心KGC_j(1≦j≦L)公开掩码公开密钥MPK_j。而且，密钥生成中心KGC_j(1≦j≦L)生成用于用户i(1≦i≦N)的解密密钥dk_i ^(j)。用户i(1≦i≦N)将明文M加密，得到密文CT←(Σ_j＝1,..,LMPK_j,M,R)。而且，用户i(1≦i≦N)将密文CT解密，得到明文M←(Σ_j＝1,..,Ldk_i ^(j),CT)(其中，限定为在接收者的集合R中包含用户i的识别符ID_i的情况)。在密钥生成中心KGC_j(1≦j≦L)中，即使L-1个密钥生成中心存在恶意的情况下，该L-1个密钥生成中心也不能将密文CT解密。

[基于ID署名(ID-basedSignature)]

基于ID署名由以下的4个算法构成。

掩码密钥生成算法(1^κ)将安全参数κ作为输入，输出掩码专用密钥SMSK和掩码公开密钥SMPK。密钥生成中心KGC被提供掩码专用密钥SMSK。而且，掩码公开密钥SMPK被公开。

署名密钥生成算法(SMSK,ID_i)将掩码专用密钥SMSK和用户i(1≦i≦N)的识别符ID_i作为输入，输出署名密钥sk_i。署名密钥sk_i被安全地发送给用户i。

署名生成算法(SMPK,sk_i,M)将掩码公开密钥SMPK和署名密钥sk_i和消息M作为输入，输出署名σ。

署名验证算法(SMPK,ID_i,M,σ)将掩码公开密钥SMPK、用户i的识别符ID_i、消息M和署名σ作为输入，输出验证结果Ver(例如，0或者1作为表示验证结果的2值)。

使用基于ID署名定义基于任意信任ID署名(anytrust-IBS:AT-IBS)。为了分散信用，在AT-IBS中包含多个密钥生成中心(KGC₁,…,KGC_L)(L为1以上的整数)。密钥生成中心KGC_j(1≦j≦L)公开掩码公开密钥SMPK_j。而且，密钥生成中心KGC_j(1≦j≦L)生成用于用户i(1≦i≦N)的署名密钥sk_i ^(j)。作为对于消息M的署名，用户i(1≦i≦N)得到署名σ←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),M)。而且，用户i(1≦i≦N)验证署名σ，得到验证结果Ver←(Σ_j＝1,..,LSMPK_j,ID_i,M,σ)。即使在密钥生成中心KGC_j(1≦j≦L)之中，L-1个密钥生成中心存在恶意的情况下，该L-1个密钥生成中心也不能伪造署名σ。

＜系统结构＞

如图2中例示的那样，实施方式的密钥交换系统10包含：L(≧1)台密钥生成服务器100₁,…,100_L、公开用服务器200、M(≧2)台混合网络服务器300₁,…,300_M，N(≧2)台通信装置400₁,…,400_N。在本实施方式中，密钥生成服务器100₁,…,100_L、公开用服务器200、混合网络服务器300₁,…,300_M、通信装置400₁,…,400_N分别被连接至通信网900。通信网900是，在密钥生成服务器100₁,…,100_L、公开用服务器200、混合网络服务器300₁,…,300_M、通信装置400₁,…,400_N中，通信所需要的各服务器或者各装置可相互通信地构成的线路交换方式或者分组交换方式的通信网。通信网900不需要是被确保了安全的通信路径，而例如可以使用因特网等。

如图3中例示的那样，密钥生成服务器100包含掩码密钥生成单元101、解密密钥/署名密钥生成单元102、发送接收单元198、记录单元199。如图4中例示的那样，公开用服务器200包含公开单元201、发送接收单元298、记录单元299。如图5中例示的那样，混合网络服务器300包含：混洗单元301、发送接收单元398、记录单元399。如图6中例示的那样，通信装置400包含：秘密字符串(string)生成单元401、第一匿名广播单元410－1、第二匿名广播单元410－2、第一密钥生成单元421、第二密钥生成单元423、会话密钥生成单元427、发送接收单元498、记录单元499。

这里，第一匿名广播单元410－1、第二匿名广播单元410－2分别提供用于在属于指定的通信装置的集合的通信装置间共享消息的功能。即，第一匿名广播单元410－1、第二匿名广播单元410－2提供同一功能。因此，以下将第一匿名广播单元410－1、第二匿名广播单元410－2作为匿名广播单元410进行说明。如图7中例示的那样，匿名广播单元410包含密文生成单元411、密文获取单元414、消息复原单元415。

该密钥生成服务器100₁,…,100_L、公开用服务器200、混合网络服务器300₁,…,300_M、通信装置400₁,…,400_N通过进行从图8至图12中例示的各步骤的处理，实现实施方式的密钥交换方法。

密钥生成服务器100₁,…,100_L、公开用服务器200、混合网络服务器300₁,…,300_M、通信装置400₁,…,400_N是，例如在具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。例如，各装置在中央运算处理装置的控制下执行各处理。被输入到各装置的数据或在各处理中得到的数据例如被存储在主存储装置中，主存储装置中存储的数据根据需要被读出至中央运算处理装置，被用于其它处理。各装置具有的各处理单元也可以至少一部分由集成电路等硬件构成。

密钥生成服务器100₁,…,100_L、公开用服务器200、混合网络服务器300₁,…,300_M、通信装置400₁,…,400_N具有的记录单元例如可以由RAM(Random Access Memory)等主存储装置、硬盘或光盘或者闪存(Flash Memory)那样的半导体存储器元件构成的辅助存储装置、或者关系数据库或密钥值存储(key value store)等中间件构成。记录单元在存储秘密信息的情况下，希望是具有抗干扰性的存储装置(例如，SIM卡等)。

在以下的说明中，如以下那样定义记号。U_i(i∈{1,…,N})设为表示N台通信装置400₁,…,400_N的记号。同样，S_m(m∈{1,…,M})设为表示M台混合网络服务器300₁,…,300_M的记号。

而且，将p设为κ比特的素数，将G设为将g,h设为生成元的位数p的有限循环群。将TCR:{0,1}^*→{0,1}^κ设为目标抗冲突散列函数。将tPRF:{0,1}^к×FS_к×FS_к×{0,1}^к→Z_p，tPRF':{0,1}^к×FS_к×FS_к×{0,1}^к→FS_к设为扭曲伪随机函数。将F:{0,1}^к×G→Z_p ²，F':{0,1}^к×Z_p→FS_к，F":{0,1}^к×FS_к→{0,1}^к，F”':{0,1}^к×FS_к→Z_p设为伪随机函数。

＜系统设置＞

参照从图8至图10，说明实施方式的密钥交换方法中的系统设置的处理过程。

参照图8，说明密钥生成服务器100_j(1≦j≦L)的动作。在步骤S101中，密钥生成服务器100_j(1≦j≦L)的掩码密钥生成单元101通过基于匿名ID的广播加密的掩码密钥生成算法和基于ID署名的掩码密钥生成算法，从安全参数к生成掩码专用密钥(MSK_j,SMSK_j)和掩码公开密钥(MPK_j,SMPK_j)。

接着，在步骤S102中，密钥生成服务器100_j(1≦j≦L)的解密密钥/署名密钥生成单元102通过基于匿名ID的广播加密的解密密钥生成算法，从掩码专用密钥MSK_j和通信装置U_i(1≦i≦N)的识别符ID_i生成解密密钥dk_i ^(j)←(MSK_j,ID_i)，通过基于ID署名的署名密钥生成算法，从掩码专用密钥SMSK_j和通信装置U_i(1≦i≦N)的识别符ID_i生成署名密钥sk_i ^(j)←(SMSK_j,ID_i)。密钥生成服务器100_j(1≦j≦L)使用发送接收单元198，将解密密钥dk_i ^(j)和署名密钥sk_i ^(j)发送到通信装置U_i(1≦i≦N)。通信装置U_i将接收到的解密密钥dk_i ^(j)和署名密钥sk_i ^(j)(1≦j≦L)记录在记录单元499中。而且，通信装置U_i获取掩码公开密钥(MPK_j,SMPK_j)(1≦j≦L)，记录在记录单元499中。

而且，密钥生成服务器100_j生成的掩码专用密钥(MSK_j,SMSK_j)为了保护元数据的前向机密性，被周期地更新。该周期例如可以设为1日1次等。

参照图9，说明公开用服务器200的动作。在步骤S201中，公开用服务器200的公开单元201将(p,G,g,h,TCR,tPRF,tPRF',F,F',F",F”')公开，以便通信装置U_i(1≦i≦N)可获取。通信装置U_i(1≦i≦N)从公开用服务器200适当获取(p,G,g,h,TCR,tPRF,tPRF',F,F',F",F”')，并记录在记录单元499中。

参照图10，说明通信装置U_i(1≦i≦N)的动作。在步骤S401中，通信装置U_i的秘密字符串生成单元401生成成为扭曲伪随机函数的输入的秘密字符串(st_i,st'_i)(其中，st_i∈_RFS_к，st'_i∈_R{0,1}^κ)。通信装置U_i将生成的(st_i,st'_i)记录在记录单元499中。

＜匿名广播＞

参照图11，说明实施方式的密钥交换方法中的匿名广播的处理过程。在后述的会话密钥生成的处理过程中使用该匿名广播的处理过程。

设通信装置的集合R＝{U_{i_1},…,U_{i_n}}(其中，

通信装置U_{i_k}(1≦k≦n)为了与属于集合R的各通信装置在隐匿下共享消息M_{i_k}，进行匿名广播。即，属于集合R的各通信装置可以接收消息M_{i_1},…,M_{i_n}，但是不属于集合R的各通信装置不能接收消息M_{i_1},…,M_{i_n}。

以下，为了简单，设为集合R＝{U_{i_1},…,U_{i_n}}＝{U₁,…,U_n}进行说明。即使这样，也不缺少普遍性。

在1轮(一个处理单位)的匿名广播中，执行以下的三个过程。

(1)署名和加密

该过程分为通信装置U_i被包含在集合R中的情况、以及通信装置U_i不包含在集合R中的情况这两个情况来执行。

在步骤S411中，在U_i∈R的情况下，通信装置U_i的密文生成单元411通过基于ID署名的署名生成算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(ID_i,M_i)(即，希望与作为发送元的通信装置U_i的识别符ID_i共享的原来的消息M_i的组)，生成对于消息(ID_i,M_i)的署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))。通信装置U_i的密文生成单元411通过基于匿名ID的广播加密的加密算法，从掩码公开密钥Σ_j＝1,..,LMPK_j、明文(ID_i,ω_i,M_i)(即，通信装置U_i的识别符ID_i、署名ω_i和原来的消息M_i的组)和接收者的集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的密文生成单元411生成作为伪(dummy)消息的密文C_i。例如，伪消息C_i设为，指定意味着无接收者的

将适当的消息M_i通过掩码公开密钥Σ_j＝1,..,LMPK_j进行了加密的密文C_i。通过这样处理，后述的步骤S415中的密文的解密必定失败。

(2)混合网络

通信装置U_i∈{U₁,…,U_N}使用发送单元498，对混合网络服务器S₁发送在S411中生成的密文C_i。混合网络服务器S₁,…,S_M将混合网络服务器S₁接收到的密文(C₁,…,C_N)按顺序进行混洗。混合网络服务器S_M在公开用的布告牌上布告将作为输出消息的密文(C₁,…,C_N)进行了混洗的混洗完毕密文(～C₁,…,～C_N)。这里，(C₁,…,C_N)和(～C₁,…,～C_N)作为集合相等。即，{～C₁,…,～C_N}＝{C₁,…,C_N}。例如，混合网络服务器S_M的布告通过对公开用服务器200上传混洗完毕密文(～C₁,…,～C_N)即可。由此，通信装置U_i(1≦i≦N)可以获取混洗完毕密文(～C₁,…,～C_N)。

(3)下载和检查

步骤S414中，通信装置U_i∈{U₁,…,U_N}的密文获取单元414通过从布告牌下载混洗完毕密文(～C₁,…,～C_N)，获取密文{C₁,…,C_N}。

在步骤S415中，通信装置U_i∈{U₁,…,U_N}的消息复原单元415通过基于匿名ID的广播加密的解密算法，从解密密钥Σ_j＝1,..,Ldk_i ^(j)和密文C_k(1≦k≦N)生成明文(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)(其中，限定为U_i∈R-{U_k}的情况)。在密文C_k的解密已成功的情况下，通信装置U_i的消息复原单元415通过基于ID署名的署名验证算法，从掩码公开密钥Σ_{j＝1,.., L}SMPK_j和消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，验证署名ω_k。在署名ω_k的验证已成功的情况下，通信装置U_i的消息复原单元415将消息M_k视为从识别符ID_k的通信装置U_k发送的消息。其结果，通信装置U_i∈R获取(包含自身发送的消息M_i)消息M₁,…,M_n。另一方面，通信装置U_i∈{U₁,…,U_N}-R不能获取消息M₁,…,M_n。

如以上说明的那样，通信装置U_i通过基于匿名ID的广播加密的加密算法，将发送目的地的信息(接收者的集合R-{U_i})和原来的消息一起加密，所以不需要使用公开密钥基础设施。因此，可以隐匿作为元数据之一的发送目的地的信息。而且，因为各通信装置经由混合网络接收密文，复原原来的消息，所以可以隐匿作为元数据之一的发送元的信息(发送者U_i)。即，在隐匿了元数据之后，多个用户能够共享消息。

＜会话密钥生成＞

参照图12，说明实施方式的密钥交换方法中的会话密钥生成的处理过程。

通信装置的集合R＝{U_{i_1},…,U_{i_n}}(其中，

)的各通信装置之间开始新的会话，共享会话密钥。

与先前同样，以下，为了简单，设为集合R＝{U_{i_1},…,U_{i_n}}＝{U₁,…,U_n}，通信装置U_{i_1}＝U₁来说明。即使这样处理，也不缺少普遍性。

将认为希望在将会话密钥隐匿的情况下与属于集合R的各通信装置共享的通信装置U₁称为代表通信装置。而且，将集合R-{U₁}的通信装置称为一般通信装置。

(1)轮1：第1次广播

该过程分为通信装置U_i包含在集合R中的情况、和通信装置U_i不包含在集合R中的情况这两个情况来执行。

在步骤S421中，U_i∈R的情况，通信装置U_i的第一密钥生成单元421生成～r_i∈_R{0,1}^κ，～r'_i∈_RFS_к，～k_i∈_R{0,1}^κ，～k'_i∈_RFS_к，～s_i∈_R{0,1}^κ，～s'_i∈_RFS_к，计算r_i＝tPRF(～r_i,～r'_i,st_i,st'_i)，k_i＝tPRF(～k_i,～k'_i,st_i,st'_i)，s_i＝tPRF(～s_i,～s'_i,st_i,st'_i)。进而，通信装置U_i的第一密钥生成单元421计算R_i＝g^r_i，c_i＝g^k_ih^s_i，生成第一密钥(R_i,c_i)。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的第一密钥生成单元421随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)。

在步骤S410－1中，在U_i∈R的情况下，通信装置U_i的第一匿名广播单元410－1指定集合R-{U_i}，匿名广播第一密钥(R_i,c_i)。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的第一匿名广播单元410－1指定意味着无接收者的

匿名广播第一密钥(R_i,c_i)。

(2)轮2：第2次广播

该过程分为通信装置U_i包含在集合R-{U₁}中的情况、通信装置U_i为U₁的情况、和通信装置U_i不包含在集合R中的情况这三个情况来执行。

在步骤S423中，在U_i∈R-{U₁}的情况下，通信装置U_i若从属于集合R-{U_i}的全部通信装置U_k(1≦k≦n,k≠i)接收到第一密钥(R_k,c_k)，则通信装置U_i的第二密钥生成单元423计算sid＝TCR(c₁,…,c_n)。再者，将sid称为会话ID。接着，通信装置U_i的第二密钥生成单元423通过下式计算K_i ^(l)，K_i ^(r)，T_i，随机地选择T'_i∈_RZ_p ²。

即，T_i是K_i ^(l)和K_i ^(r)的“异或”。

通信装置U_i的第二密钥生成单元423通过基于ID署名的署名生成算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)(即，接收者的集合R、在S421中生成的R_i,c_i,k_i,s_i和先前生成的T_i,T'_i的组)生成对于消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)的署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))。通信装置U_i的第二密钥生成单元423生成(k_i,s_i,T_i,T'_i,σ_i)作为第二密钥。

在U_i＝U₁的情况下，通信装置U₁若从属于集合R-{U₁}的全部通信装置U_k(2≦k≦n)接收到第一密钥(R_k,c_k)，则通信装置U_i的第二密钥生成单元423计算sid＝TCR(c₁,…,c_n)。接着，通信装置U_i的第二密钥生成单元423通过下式计算K₁ ^(l)，K₁ ^(r)，随机地选择T₁，T'，k"₁,s"₁∈_RZ_p。

其中，||为连结运算符。

通信装置U_i的第二密钥生成单元423通过基于ID署名的署名生成算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)和消息(R,R₁,c₁,k"₁,s"₁,T₁,T')(即，接收者的集合R、S421中生成的R₁,c₁和先前生成的k"₁,s"₁,T₁,T'的组)生成对于消息(R,R₁,c₁,k"₁,s"₁,T₁,T')的署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))。通信装置U_i的第二密钥生成单元423生成(k"₁,s"₁,T₁,T',σ₁)作为第二密钥。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的第二密钥生成单元423随机地选择k_i,s_i∈_RZ_p、T_i,T'_i∈_RZ_p ²、作为署名空间Σ的元素的署名σ_i。通信装置U_i的第二密钥生成单元423生成(k_i,s_i,T_i,T'_i,σ_i)作为第二密钥。

在步骤S410－2中，在U_i∈R-{U₁}的情况下，通信装置U_i的第二匿名广播单元410－2指定集合R-{U_i}，匿名广播第二密钥(k_i,s_i,T_i,T'_i,σ_i)。

在U_i＝U₁的情况下，通信装置U_i的第二匿名广播单元410－2指定集合R-{U₁}，匿名广播第二密钥(k"₁,s"₁,T₁,T',σ₁)。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的第二匿名广播单元410－2指定意味着无接收者的

匿名广播第二密钥(k_i,s_i,T_i,T'_i,σ_i)。

(3)会话密钥生成

该过程分为通信装置U_i包含在集合R-{U₁}中的情况、通信装置U_i为U₁的情况、通信装置U_i不包含在集合R中的情况这三个情况来执行。

而且，在通信装置U_i不包含在集合R中的情况下，执行空的处理。即，不包含在集合R中的通信装置U_i不进行任何处理。

在步骤S427中，在U_i∈R-{U₁}的情况下，若通信装置U_i从属于集合R-{U_i}的全部通信装置U_k(1≦k≦n,k≠i)接收第二密钥(k"₁,s"₁,T₁,T',σ₁)、第二密钥(k_k,s_k,T_k,T'_k,σ_k)(2≦k≦n,k≠i)，则通信装置U_i的会话密钥生成单元427通过基于ID署名的署名验证算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、识别符ID_k、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)(即，接收者的集合R、在S423中接收到的R_k,c_k和在S427开始时接收到的k_k,s_k,T_k,T'_k的组)和S427开始时接收到的署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，验证署名σ_k。在署名σ_k的验证失败了的情况下，通信装置U_i的会话密钥生成单元427中止处理。通信装置U_i的会话密钥生成单元427通过下式计算K₁ ^(l)，k₁||s₁，对于满足1≦k≦n的k，确认c_k＝g^{k_ k}h^s_k是否成立。

在对于满足1≦k≦n的k的至少一个，c_k＝g^k_kh^s_k不成立的情况下，通信装置U_i的会话密钥生成单元427中止处理。通信装置U_i的会话密钥生成单元427按下式计算会话密钥SK。

在U_i＝U₁的情况下，通信装置U₁若从属于集合R-{U₁}的全部通信装置U_k(2≦k≦n)接收到第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则通信装置U₁的会话密钥生成单元427通过基于ID署名的署名验证算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、识别符ID_k、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)(即，接收者的集合R、在S423中接收到的R_k,c_k和在S427开始时接收到的k_k,s_k,T_k,T'_k的组)、和S427开始时接收到的署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，验证署名σ_k。在署名σ_k的验证失败了的情况下，通信装置U₁的会话密钥生成单元427中止处理。而且，通信装置U₁的会话密钥生成单元427对于满足1≦k≦n的k，确认c_k＝g^k_kh^s_k是否成立。在对于满足1≦k≦n的k的至少一个，c_k＝g^k_kh^s_k不成立的情况下，通信装置U₁的会话密钥生成单元427中止处理。通信装置U₁的会话密钥生成单元427通过下式生成会话密钥SK。

在U_i∈{U₁,…,U_N}-R的情况下，如上所述，通信装置U_i的会话密钥生成单元427不生成会话密钥SK。

通过上述那样构成，按照本发明的密钥交换技术，可以在隐匿了元数据的基础上，在多个通信装置中共享会话密钥。

匿名广播通过使用混合网络，以一定间隔确立可交换消息的隐匿通信路径。通过利用它实现会话密钥生成过程的密钥交换，实现元数据的隐匿化。进而，通过使用共享的会话密钥进行通信，实现隐匿通信。这样，可以防止来自密钥交换协议的元数据的泄露，可完全隐匿元数据。

在使用该密钥交换协议时，对于利用全球性企业或卫星通信那样的企业，例如能够提供实现TCP/IP中的连接路径的匿名化的Tor(The Onion Router，洋葱路由器)那样的网络，确保包含通信中的元数据的机密性。

本发明不限于上述的实施方式，不用说，可在不脱离本发明的宗旨的范围内适当变更。在上述实施方式中说明的各种的处理，不仅按照记载的顺序时间序列地执行，也可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。

[程序，记录介质]

在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序记述各装置应具有的功能的处理内容。然后，通过计算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的记录介质中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。再者，在本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在本方式中，设为通过在计算机上执行规定的程序来构成本装置，但也可以硬件性地实现这些处理内容的至少一部分。

上述的本发明的实施方式的记载是以例证和记载的目的而提示的。不是包罗的意思，也没有将发明限定于公开的严密的形式的意思。可从上述的教导进行变形或变化。实施方式是为了提供本发明的原理的最佳例证，并且为了本领域的本领域的技术人员将本发明以各种实施方式、并且附加各种变形而可利用，以便适于深思熟虑的实际的使用，而选择并表现的方式。所有这样的变形和变化，都在按照由公正、合法、公平地给予的广度而解释的添加权利要求所决定的本发明的范围内。

Claims (6)

1.一种匿名广播方法，

是将N设为2以上的整数，将L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播方法，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，其中1≦i≦N,1≦j≦L，

所述匿名广播方法包括：

密文生成步骤，对于i∈{1,…,n}，通信装置U_i从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)，生成署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)、以及集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，通信装置U_i生成作为伪消息的密文C_i；

密文获取步骤，对于i∈{1,…,N}，通信装置U_i获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原步骤，对于i∈{1,…,N}，通信装置U_i从解密密钥Σ_j＝1,..,Ldk_i ^(j)、以及所述密文C_k，其中1≦k≦N，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，在U_i∈R-{U_k}的情况下，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_{j＝1,.., L}SMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，通信装置U_i∈R获取所述消息M₁,…,M_n。

2.一种密钥交换方法，

是将N设为2以上的整数，将L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK的密钥交换方法，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，将G设为将g,h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

在通信装置U_i的记录单元中，记录秘密字符串st_i,st'_i，其中1≦i≦N，

所述密钥交换方法包括：

第一密钥生成步骤，对于i∈{1,…,n}，通信装置U_i通过扭曲伪随机函数，使用所述秘密字符串st_i,st'_i计算r_i,k_i,s_i，通过计算R_i＝g^r_i，c_i＝g^k_ih^s_i，生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成步骤，对于i∈{2,…,n}，通信装置U_i通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，其中1≦k≦n，通过伪随机函数，使用(sid,R_i-1 ^r_i)计算K_i ^(l)，通过伪随机函数，使用(sid,R_i+1 ^r_i)计算K_i ^(r)，通过K_i ^(l)和K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、以及消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用(sid,R_n ^r_1)计算K₁ ^(l)，通过伪随机函数，使用(sid,R₂ ^r_1)计算K₁ ^(r)，通过K₁ ^(l)和K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)和k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)、以及消息(R,R₁,c₁,k"₁,s"₁,T₁,T')生成署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，通信装置U_i随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中，Σ为署名空间；

第二匿名广播步骤，对于i∈{2,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，通信装置U_i指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

会话密钥生成步骤，对于i∈{2,…,n}，通信装置U_i若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功的情况下，通过与K_i ^(l)和T_j的“异或”的“异或”计算K₁ ^(l)，通过T'和K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，在c_k＝g^k_kh^s_k成立的情况下，通过伪随机函数，使用所述sid、所述k_i(1≦i≦n)的“异或”，生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，

对于i＝1，若通信装置U₁获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_{j＝1,.., L}SMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，c_k＝g^k_kh^s_k成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n。

3.一种匿名广播系统，

是将N设为2以上的整数，将L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播系统，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，其中1≦i≦N,1≦j≦L，

通信装置U_i包含匿名广播单元，其中1≦i≦N，

所述匿名广播单元包括：

密文生成单元，对于i∈{1,…,n}，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_{j＝1,.., L}sk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)中，生成署名ω_i←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、以及所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)的集合R-{U_i}中，生成密文C_i←(Σ_{j＝1,.., L}MPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，生成作为伪消息的密文C_i；

密文获取单元，获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原单元，从解密密钥Σ_j＝1,..,Ldk_i ^(j)和所述密文C_k，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，其中1≦k≦N，

对于i∈{1,…,n}，其中，i≠k，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j和所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，

对于i∈{1,…,n}，获取所述消息M₁,…,M_n。

4.一种密钥交换系统，

是将N设为2以上的整数，将L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK的密钥交换系统，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，将G设为将g,h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

通信装置U_i包括：

记录单元，记录秘密字符串st_i,st'_i；

第一密钥生成单元，对于i∈{1,…,n}，通过扭曲伪随机函数，通过使用所述秘密字符串st_i,st'_i计算r_i,k_i,s_i，并计算R_i＝g^r_i，c_i＝g^k_ih^s_i，生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播单元，对于i∈{1,…,n}，指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成单元，对于i∈{2,…,n}，通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，通过伪随机函数，使用(sid,R_i-1 ^r_i)计算K_i ^(l)，通过伪随机函数，使用(sid,R_i+1 ^r_i)计算K_i ^(r)，通过计算K_i ^(l)和K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)，生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中1≦k≦n，

对于i＝1，通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用(sid,R_n ^r_1)计算K₁ ^(l)，通过伪随机函数，使用(sid,R₂ ^r_1)计算K₁ ^(r)，通过K₁ ^(l)和K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)和k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)和消息(R,R₁,c₁,k"₁,s"₁,T₁,T')，生成署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ，其中，Σ是署名空间，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

第二匿名广播单元，对于i∈{2,…,n}，指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，指定指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；以及

会话密钥生成单元，对于i∈{2,…,n}，若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功了的情况下，通过与K_i ^(l)和T_j的“异或”的“异或”计算K₁ ^(l)计算K₁ ^(l)，通过T'和K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，c_k＝g^k_kh^s_k成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，1≦i≦n，

对于i＝1，若获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_{j＝1,.., L}SMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，c_k＝g^k_kh^{s _k}成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n。

5.一种通信装置，

构成权利要求3中记载的匿名广播系统或者权利要求4中记载的密钥交换系统。

6.一种程序，使计算机具有作为构成权利要求3中记载的匿名广播系统或者权利要求4中记载的密钥交换系统的通信装置的功能。

Images