CN111480313B

CN111480313B - 通信终端、服务器装置、记录介质

Info

Publication number: CN111480313B
Application number: CN201880068770.6A
Authority: CN
Inventors: 冈野裕树; 吉田丽生; 西卷陵; 小林铁太郎
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2017-11-07
Filing date: 2018-10-31
Publication date: 2023-11-03
Anticipated expiration: 2038-10-31
Also published as: CN111480313A; JPWO2019093201A1; EP3709565A4; JP6939897B2; US11336441B2; WO2019093201A1; EP3709565B1; EP3709565A1; US20210184844A1

Abstract

提供通过对在消息的加密中使用的消息密钥进行再利用，能够减轻服务器装置的负荷的通信终端。包括：存储与其它通信终端共享、与服务器装置不共享的会话密钥的会话密钥存储单元；生成消息密钥的消息密钥生成单元；将再利用的消息密钥与消息密钥标识符相关联存储的消息密钥存储单元；使用消息和消息密钥，基于公共密钥加密方式，生成消息密文的消息加密单元；使用会话密钥和消息密钥，基于可再加密的公共密钥加密方式，生成消息密钥密文的消息密钥加密单元；以及将本机所属的群的标识符即群标识符、消息密钥密文或者消息密钥标识符、消息密文发送到服务器装置的密文发送单元。

Description

通信终端、服务器装置、记录介质

技术领域

本发明涉及通信终端、服务器装置、程序。

背景技术

作为以商业中的使用为前提的消息发送系统，存在可应对个人计算机或智能手机等多设备的系统。在可应对多设备的系统中，存在考虑企业的机密信息泄露，在通信终端不残留数据的基于云型的消息发送系统。作为基于云型的消息发送系统的例子，举出非专利文献1。

在这样的消息发送系统中，通过对通信路径进行加密，实现防止通信路径上的窃听，或者如已经叙述那样，通过在通信终端中不残留数据，实现防止因通信终端的丢失或非法的带出引起的信息泄露。这样，以往的消息发送系统应对对于“通信路径”和“通信终端”的威胁，另一方面，对服务器装置的威胁的应对不充分。

作为这里所指的对服务器装置的威胁，举出“对服务器装置的来自外部的攻击”或者“服务器管理者等的内部非法行为”等。对于这些威胁，考虑对消息进行加密保存这样的对策。但是，既然在服务器装置侧可对消息进行解密，那对于前述的威胁，从服务器装置的消息泄露的可能性依然存在。对进行发送接收和保存的服务器装置发送来的消息对于服务器装置隐匿化(在服务器装置侧不被窃听)是重要的。

作为一个方法，考虑对于服务器装置隐匿消息，实现仅在通信终端可解密的端对端的加密通信。在该情况下，如何共享在通信终端间使用的公共密钥成为问题。作为该问题的解决对策，例如公开了非专利文献2。在非专利文献2中，提出了在中央具有认证服务器的星型的网络中，不对认证服务器泄露任何信息而在利用者间共享密钥(以下称为会话密钥)的协议。

由此，能够在保持对服务器装置隐匿了消息的状态下在通信终端间进行交换。而且，由于进行会话密钥的共享以使仅在当前参加的通信终端中能够读取消息，因此通过用户的追加/删除等事件来更新会话密钥。

现有技术文献

非专利文献

非专利文献1：NTTソフトウェア、“ビジネス向けグループチャットTopicRoom”、[online]、NTTソフトウェア、[平成29年10月18日検索]、インターネット〈URL:https://www.ntt-tx.co.jp/products/topicroom/〉

非专利文献2：小林鉄太郎、米山一樹、吉田麗生、川原祐人、冨士仁、山本具英「スケーラブルな動的多者鍵配布プロトコル」、SCIS2016-暗号と情報セキュリティシンポジウム-講演論文集、一般社団法人電子情報通信学会、平成28年1月、4E2-3

发明内容

发明要解决的课题

根据上述非专利文献2的技术，通过以不被服务器装置知道的方式在通信终端间共享会话密钥，能够将消息在对服务器装置保持隐匿了的状态下进行交换。但是，在上述那样的通信系统中，有时与会话密钥的更新联动，在服务器装置上发生其它处理，有可能服务器装置的负荷会增大。特别是在群聊天系统那样要求实时性的系统中，并不希望在服务器装置上的处理花费时间。

因此，本发明其目的在于，提供通过对在消息的加密中使用的消息密钥进行再利用，能够减轻服务器装置的负荷的通信终端。

用于解决课题的手段

本发明的通信终端是经由服务器装置，对其它通信终端发送密文的通信终端，包括会话密钥存储单元、判定单元、消息密钥生成单元、消息密钥存储单元、消息加密单元、消息密钥加密单元、密文发送单元。

会话密钥存储单元存储与其它通信终端共享、与服务器装置不共享的会话密钥。判定单元在密文的发送为会话密钥的生成后或者更新后的最初的发送的情况下，判定为新生成在消息的加密中使用的消息密钥，在除此以外的情况下，判定为再利用消息密钥。消息密钥生成单元在判定的结果为新生成的情况下生成消息密钥。消息密钥存储单元在判定的结果为再利用的情况下，将被再利用的消息密钥与消息密钥标识符相关联地存储。消息加密单元使用消息和生成或者存储的消息密钥，基于公共密钥加密方式，生成消息密文。消息密钥加密单元在判定的结果为新生成的情况下，使用会话密钥和生成的消息密钥，基于可再加密的公共密钥加密方式，生成消息密钥密文。密文发送单元在判定的结果为新生成的情况下，将本机属于的群的标识符即群标识符、消息密钥密文、消息密文发送到服务器装置，在判定的结果为再利用的情况下，将群标识符、消息密钥标识符、消息密文发送到服务器装置。

发明的效果

根据本发明的通信终端，通过对在消息的加密中使用的消息密钥进行再利用，能够减轻服务器装置的负荷。

附图说明

图1是表示实施例1的通信系统的结构的方框图。

图2是表示实施例1的服务器装置的结构的方框图。

图3是表示实施例1的进行消息发送动作的通信终端的结构的方框图。

图4是表示实施例1的进行消息接收动作的通信终端的结构的方框图。

图5是表示实施例1的进行再加密密钥发送动作的通信终端的结构的方框图。

图6是表示实施例1的消息发布动作(判定＝真)的时序图。

图7是表示实施例1的消息发布动作(判定＝假)的时序图。

图8是表示实施例1的再加密动作的时序图。

具体实施方式

以下，详细地说明本发明的实施方式。而且，对于具有相同的功能的构成部分附加相同的号码，省略重复说明。

【实施例1】

＜概要＞

在实施例1的通信系统中，在消息的加密中利用公共密钥加密方式。在消息的加密中利用的密钥(以下，称为消息密钥)，利用基于公共密钥的可再加密的加密方式，以会话密钥进行加密。这时，不是对各消息的每个加密生成消息密钥，而是会话密钥更新后，接着在直至会话密钥被更新为止的期间，反复使用相同的消息密钥。在服务器装置中将消息的密文(以下，称为消息密文)和消息密钥的密文(以下，称为消息密钥密文)分别存储在不同的表(存储单元)中，但是，此时，为了在服务器装置侧能够知道对于哪个消息反复使用了哪个消息密钥，附加密钥的标识符(密钥ID)，将其设为密钥(key)，存储在不同的表(存储单元)中。在进行再加密处理时，服务器装置仅更新存储了消息密钥密文的表(存储单元)。由于对于一个消息密钥密文，通过密钥ID被相关联多个消息密文，所以再加密对象变少，再加密处理时的服务器装置的负荷被削减。而且，由于在再加密处理中一次也不进行消息的解密，因此，服务器装置在保持不知道消息的内容的状态下进行再加密处理。而且，在登录或群参加时等，在同时获取多个消息时，通过先对消息密钥进行解密后临时地保存，并以与在消息密文中附带的密钥ID对应的消息密钥对消息进行解密，能够削减解密处理。

＜准备＞

将集合N设为全体正的整数的集合。将Kspace₁,Kspace₂设为密钥空间。基于公共密钥的可再加密的加密方式由以下4个算法(KEM.Enc，KEM.Dec，KEM.ReKeyGen，KEM.ReEnc)构成，是分别具有以下的输入输出的算法。

·KEM.Enc(SK_i1,K)→C₁ ⁽ⁱ¹⁾

将Kspace₁的元SK_i1和Kspace₂的元K设为输入，输出密文C₁ ⁽ⁱ¹⁾的算法。

·KEM.Dec(SK_j,C₁ ⁽ⁱ⁾)→K'

将Kspace₁的元SK_j和密文C₁ ⁽ⁱ⁾设为输入，输出Kspace₂的元K'的算法。

·KEM.ReKeyGen(SK_i1,SK_i2)→RK_i1,i2

将Kspace₁的两个元SK_i1,SK_i2设为输入，输出再加密密钥RK_i1,i2的算法。

·KEM.ReEnc(RK_i1,i2,C₁ ⁽ⁱ¹⁾)→C₁ ⁽ⁱ²⁾

将再加密密钥RK_i1,i2和密文C₁ ⁽ⁱ¹⁾设为输入，输出再加密密文C₁ ⁽ⁱ²⁾的算法。

进而，假设上述的算法还满足以下的2条件。

1)对于Kspace₁的任意的元SK和Kspace₂的任意的元K，KEM.Dec(SK,KEM.Enc(SK,K))＝K

2)对于任意的整数n>1和Kspace₁的任意的密钥的列SK₁,...,SK_n和任意的i∈{1,...,n-1}，对于满足通过KEM.ReKeyGen(SK_i,SK_i+1)输出的再加密密钥的列RK_1,2,...,RK_n-1,n和Kspace₁的任意的元K，1≦i₁<i₂≦n的任意的i₁,i₂，

KEM.Dec(SK_i2,KEM.ReEnc(RK_i2-1,i2,...KEM.ReEnc(RK_i1,i1+1,KEM.Enc(SK_i1,K))))＝K

作为满足上述的再加密方式的例子，举出参考非专利文献1的方式。

(参考非专利文献1：D.Boneh,K.Lewi,H.Montgomery,andA.Raghunathan.2015.Key Homo-morphic PRFs and TheirApplications.CryptologyePrint Archive,Report 2015/220.(2015).)

这如以下这样构成。首先，将q设为素数，将Z_q设为相对于整数环Z的，以q为模的剩余环。将G设为位数q的循环群，设为Kspace₂＝G。这里，将循环群G在乘法群中考虑，但是也可以考虑为加法群。而且，设为Kspace₁＝Z_q。进而，将Rand设为随机数空间，将H:Rand→G设为如下的散列函数：将Rand设为定义域，将G设为值域。用F(SK,r)＝H(r)^SK定义将Kspace₁＝Z_q和Rand的直积设为定义域、将G设为值域的函数F:Kspace×Rand→G。

·KEM.Enc(SK_i1,K)→C₁ ⁽ⁱ¹⁾

均匀随机地提取r∈Rand，输出C₁ ⁽ⁱ¹⁾＝(r,K+F(SK,r))。

·KEM.Dec(SK_j,C₁ ⁽ⁱ⁾)→K'

分解为C₁ ⁽ⁱ⁾＝(r,C)，输出K'＝C-F(SK,r)。

·KEM.ReKeyGen(SK_i1,SK_i2)→RK_i1,i2

输出RK_i1,i2＝SK_i2-SK_i1。

·KEM.ReEnc(RK_i1,i2,C₁ ⁽ⁱ¹⁾)→C₁ ⁽ⁱ²⁾

分解为C₁ ⁽ⁱ¹⁾＝(r,C)，输出C₁ ⁽ⁱ²⁾＝(r,C+F(RK_i1,i2,r))。

而且，作为可再加密的加密方式(KEM.Enc,KEM.Dec,KEM.ReKeyGen,KEM.ReEnc)的例子，举出了参考非专利文献1，但是也可以通过上述以外的方法实现可再加密的加密方式，不特别限定。

公共密钥加密方式由以下的两个算法(Enc,Dec)构成，是分别具有以下的输入输出的算法。

·Enc(K,m)→C₂

是将Kspace₂的元K和消息m设为输入，输出密文C₂的算法。

·Dec(K,C₂)→m

是将Kspace₂的元K和密文C₂作为输入，输出消息m的算法。

进而，假设上述的算法满足以下的条件。

对于Kspace₂的任意的元K和任意的消息m，Dec(K,Enc(K,m))＝m

作为满足上述的加密方式的例子，举出AES或Camellia等，但这里不限定。

如图1所示，本实施例的通信系统1包含服务器装置10、通信终端11、通信终端12、通信终端13，各装置通过网络9可通信地连接。通信终端11、通信终端12、通信终端13能够以个人计算机或智能手机等实现，但是不特别限定。

在以下的说明中，假设通信终端11是负责消息的加密以及被加密后的消息等的发送的终端，假设通信终端12是负责加密后的消息等的接收以及加密后的消息等的解密的终端，假设通信终端13是如后所述负责再加密密钥的生成以及发送的终端。但是，由于上述是为了便于说明的分配，例如也可以实现兼具通信终端11、通信终端12、通信终端13等全部功能的通信终端。

而且，在本实施例的通信系统1中，能够形成交换聊天消息的用户群。对各群赋予了标识符。将通信终端11、通信终端12、通信终端13的利用者分别设为用户A、用户B、用户C。假设用户A、用户B、用户C属于具有群标识符groupID的群，假设各通信终端存储了groupID。

而且，说明会话密钥。会话密钥，指对于每个群，在属于该群的用户利用的通信终端间所共享的密钥。作为对于该通信终端以外的、例如服务器装置10，也不泄露与会话密钥有关的任何信息而共享密钥的协议，举出参考非专利文献2，但是对于会话密钥共享方法不特别限定。

(参考非专利文献2：K.Yoneyama,R.Yoshida,Y.Kawahara,T.Kobayashi,H.Fuji,and T.Yamamoto.2016.Multi-Cast Key Distribution.Scalable,Dynamic and ProvablySecure Construction.Cryptology ePrint Archive,Report 2016/833.(2016).)

而且，为了安全地共享会话密钥，假设每当对群追加用户、用户从群脱离、经过一定时间、用户登录/注销，生成/更新会话密钥。

＜构成通信系统1的各装置的细节＞

如图2所示，服务器装置10包含：接收单元101、消息密文存储单元102、消息密钥密文存储单元103、群用户存储单元104、发布单元10、再加密处理单元106。而且，如图3所示，通信终端11包含：判定单元111、消息密钥生成单元112、消息加密单元113、消息密钥加密单元114、发送单元115、消息密钥存储单元116、会话密钥存储单元117。而且，如图4所示，通信终端12包含：接收单元121、消息密钥解密单元122、消息解密单元123、会话密钥存储单元124、消息密钥存储单元125。而且，如图5所示，通信终端13包含再加密密钥生成单元131、发送单元132、会话密钥存储单元133。

＜判定＞

以下，参照图6、图7、图8，说明本实施例的通信系统1的各装置的动作。首先，假设用户A使用通信终端11，对通过群标识符groupID确定的群，以密文的形式发送消息m。而且，假设各通信终端(通信终端11、通信终端12、通信终端13)共享最新的会话密钥SK₁，假设将其分别保持在会话密钥存储单元117、会话密钥存储单元124、会话密钥存储单元133中。由于该会话密钥SK₁与服务器装置10不共享，因此，服务器装置10不知道会话密钥SK₁。

通信终端11的判定单元111在发送消息m(的密文)时，判定消息m(的密文)的发送是否是会话密钥SK₁生成后或者更新后的最初的发送(S111)。判定单元111在消息m(的密文)的发送是会话密钥SK₁生成后或者更新后的最初的发送的情况下，判定为新生成消息密钥(判定＝真)，在除此以外的情况下，判定为再利用消息密钥(判定＝假)。

＜判定为真的情况下的通信终端11的动作＞

如图6所示，通信终端11的消息密钥生成单元112生成Kspace₂的元K₁(消息密钥)(S112－1)。

通信终端11的消息加密单元113使用消息m和所生成的消息密钥K₁，基于公共密钥加密方式，生成消息密文C_2,m←Enc(K₁,m)(S113)。

而且，通信终端11的消息密钥加密单元114使用会话密钥SK₁和所生成的消息密钥K₁，基于可再加密的公共密钥加密方式，生成消息密钥密文C⁽¹⁾ _1,K1←KEM.Enc(SK₁,K₁)(S114)。

通信终端11的发送单元115将本机所属的群的标识符即群标识符groupID、消息密钥密文C⁽¹⁾ _1,K1、消息密文C_2,m，即(groupID,C⁽¹⁾ _1,K1,C_2,m)发送到服务器装置10(S115－1)。

而且，(C⁽¹⁾ _1,K1,C_2,m)为了与其它消息或其它消息密钥的密文加以区别，方便起见仅记述K₁,m，不从密文推测消息密钥K₁、消息m。

假设通信终端11对服务器装置10发送消息后，将消息密钥K₁存储在消息密钥存储单元116中，但是在该时刻，对消息密钥K₁分配了消息密钥标识符KeyID₁。优选从消息密钥标识符KeyID₁不被识别出消息密钥K₁本身。作为标识符的生成方法，有使用SHA256散列函数等，将消息密钥K₁输入到SHA256散列函数时的输出值设为标识符的方法，但不特别限定。

而且，消息密钥标识符KeyID₁可以由通信终端11生成，或者也可以服务器装置10在消息的接收时，对消息密钥密文生成，在将接收到消息的情况通知给通信终端11时，也附加KeyID₁发送，但是这里不进行限定。

通信终端11的消息密钥存储单元116存储消息密钥K₁和该消息密钥标识符KeyID₁(S116)。所存储的消息密钥K₁，在上述的判定为再利用(判定＝假)的情况下，被再利用。

＜判定为假的情况下的通信终端11的动作＞

在该情况下，如图7所示，通信终端11的消息密钥生成单元112从消息密钥存储单元116，获取消息密钥K₁和该消息密钥标识符KeyID₁(S112－2)。该消息密钥K₁是至少在前一个的消息发送时在消息m的加密中所使用的消息密钥。

通信终端11的消息加密单元113使用消息m和在消息密钥存储单元116中存储的消息密钥K₁，基于公共密钥加密方式，生成消息密文C_2,m←Enc(K₁,m)(S113)。

通信终端11的发送单元115将群标识符groupID、消息密钥标识符KeyID₁、消息密文C_2,m，即(groupID,KeyID₁,C_2,m)发送到服务器装置10(S115－2)。

以下，说明服务器装置10从通信终端11接收到消息密文C_2,m时的动作。而且，记述以消息接收为触发，向其它通信终端的发布动作，但是也有时根据用户的追加或登录、来自其它通信终端的请求，服务器装置10将所存储的加密消息发布到该通信终端。

＜判定为真的情况下的服务器装置10的动作＞

即，与从通信终端11发送的消息的形式为(groupID,C⁽¹⁾ _1,K1,C_2,m)的情况相符合。如图6所示，服务器装置10的接收单元101从通信终端11接收(groupID,C⁽¹⁾ _1,K1,C_2,m)(S101－1)。

服务器装置10的消息密文存储单元102存储消息密钥标识符KeyID₁、消息密文C_2,m、即(KeyID₁,C_2,m)(S102)。

而且，服务器装置10的消息密钥密文存储单元103存储消息密钥标识符KeyID₁、消息密钥密文C⁽¹⁾ _1,K1、即(KeyID₁,C⁽¹⁾ _1,K1)(S103－1)。而且，假设服务器装置10在每次以(groupID,C⁽¹⁾ _1,K1,C_2,m)的形式接收数据时，执行上述动作(S101－1、S102、S103－1)。

服务器装置10参照在群用户存储单元104中存储的、属于与groupID对应的群的用户(包含用户B、C)信息(S104)。服务器装置10的发布单元105，面向属于与groupID对应的群的各用户，发送(发布)消息密钥密文C⁽¹⁾ _1,K1、消息密文C_2,m，即(C⁽¹⁾ _1,K1,C_2,m)(S105)。而且，在本实施例中，服务器装置10对通信终端12发送(发布)(C⁽¹⁾ _1,K1,C_2,m)。

＜判定为假的情况下的服务器装置10的动作＞

即，与从通信终端11发送的消息的形式为(groupID,KeyID₁,C_2,m)的情况相符合。如图7所示，服务器装置10的接收单元101从通信终端11接收(groupID,KeyID₁,C_2,m)(S101－2)。

服务器装置10的消息密文存储单元102存储消息密钥标识符KeyID₁、消息密文C_2,m、即(KeyID₁,C_2,m)(S102)。而且，假设服务器装置10在每次以(groupID,KeyID₁,C_2,m)的形式接收数据时，执行上述动作(S101－2、S102)。

服务器装置10的消息密钥密文存储单元103获取与KeyID₁关联的消息密钥密文C⁽¹⁾ _1,K1(S103－2)。

服务器装置10参照在群用户存储单元104中存储的、属于与groupID对应的群的用户(包含用户B，C)信息(S104)。服务器装置10的发布单元105面向属于与groupID对应的群的各用户，发送(发布)消息密钥密文C⁽¹⁾ _1,K1、消息密文C_2,m，即(C⁽¹⁾ _1,K1,C_2,m)(S105)。而且，在本实施例中，服务器装置10对通信终端12发送(发布)(C⁽¹⁾ _1,K1,C_2,m)。

＜通信终端12的动作＞

以下，参照图6(图7)说明通信终端12的动作。如前述那样，会话密钥存储单元124存储与其它通信终端共享、与服务器装置不共享的最新的会话密钥SK₁。

通信终端12的接收单元121从服务器装置10接收消息密钥密文C⁽¹⁾ _1,K1、消息密文C_2,m，即(C⁽¹⁾ _1,K1,C_2,m)(S121)。

通信终端12的消息密钥解密单元122根据从会话密钥存储单元124取出的最新的会话密钥SK₁和消息密钥密文C⁽¹⁾ _1,K1，计算K₁←KEM.Dec(SK₁,C⁽¹⁾ _1,K1)，将消息密钥K₁解密(S122)。

通信终端12的消息解密单元123基于公共密钥加密方式，从解密后的消息密钥K₁和消息密文C_2,m计算m←Dec(K₁,C_2,m)，将消息m解密(S123)。由此，通信终端12能够正确地显示从通信终端11所发送的消息m。

＜通信终端13的动作＞

以下，参照图8，说明通信终端13的动作。例如，假设在与groupID对应的群中，会话密钥从SK₁被更新为SK₂。这时，通信终端11、通信终端12、通信终端13共享最新的会话密钥SK₂，将最新的会话密钥SK₂分别存储在会话密钥存储单元117、会话密钥存储单元124、会话密钥存储单元133中(图8为新的会话密钥的共享)。而且，假设通信终端13的会话密钥存储单元133还保持更新前的会话密钥SK₁。

而且，由于会话密钥SK₁,SK₂不与服务器装置10共享，因此服务器装置10不知道会话密钥SK₁,SK₂。

而且，假设服务器装置10在消息密钥密文存储单元103中，保持在groupID中附带的密文，即向群标识符groupID发送的密文、C⁽¹⁾ _1,Ki1,...,C⁽¹⁾ _1,Kin。而且，i₁,...,i_n是在记述本实施例方面使用的、区别消息密钥的下标。

如该图所示，通信终端13的再加密密钥生成单元131从更新前的会话密钥SK₁和更新后的会话密钥SK₂，计算RK_1,2←KEM.ReKeyGen(SK₁,SK₂)，生成再加密密钥RK_1,2(S131)。

通信终端13的发送单元132将群标识符groupID、再加密密钥RK_1,2的组、即(groupID,RK_1,2)发送到服务器装置10(S132)。

＜服务器装置10的再加密动作＞

接着，参照图8说明服务器装置10的再加密动作。服务器装置10的接收单元101从通信终端13接收群标识符groupID和再加密密钥RK_1,2的组(groupID,RK_1,2)(S101－3)。

服务器装置10的再加密处理单元106和消息密钥密文存储单元103，对于各j∈{i₁,...,i_n}，反复执行以下的处理。

·消息密钥密文存储单元103取出消息密钥密文C⁽¹⁾ _1,Kj。再加密处理单元106基于可再加密的公共密钥加密方式，从再加密密钥RK_1,2、和与群标识符groupID对应的消息密钥密文C⁽¹⁾ _1,Kj，执行C⁽²⁾ _1,Kj←KEM.ReEnc(RK_1,2,C⁽¹⁾ _1,Kj)，生成再加密后的消息密钥密文C⁽²⁾ _1,Kj(S106)。

·消息密钥密文存储单元103对于消息密钥密文C⁽¹⁾ _1,Kj，盖写并存储再加密后的消息密钥密文C⁽²⁾ _1,Kj(S103－3)。

而且，在该处理之后，在各消息密钥标识符中也没有变更。因此，位于消息密文存储单元102的消息密文和位于消息密钥密文存储单元103的消息密钥密文的对应关系上也没有变化。

在上述处理后，接收到从服务器装置10发布的groupID中附带的密文的通信终端，如果保持最新的会话密钥SK₂，则通过与消息接收时相同的动作，能够正确地将各消息解密。

＜消息的多个接收＞

在登录时或群追加时等，有时一次接收10消息或20消息这样的多个消息。说明此时的动作。这里，假设为通信终端12在登录时进入到规定的群，下载最新的5消息进行说明。服务器装置10从消息密文存储单元102，提取在该群中发送的最新的5消息。

假设它们按照从新到旧的顺序，为(KeyID₁,C_2,m1)、(KeyID₁,C_2,m2)、(KeyID₂,C_2,m3)、(KeyID₁,C_2,m4)、(KeyID₃,C_2,m5)。在提取的消息中所包含的、消息密钥标识符由于是KeyID₁、KeyID₂、KeyID₃的3种类，因此服务器装置10从消息密钥密文存储单元103，提取消息密钥标识符和消息密钥密文的组(KeyID₁,C_1,K1)、(KeyID₂,C_1,K2)、(KeyID₃,C_1,K3)。

服务器装置10对通信终端12，发送消息密钥标识符和消息密钥密文的组(KeyID₁,C_1,K1)、(KeyID₂,C_1,K2)、(KeyID₃,C_1,K3)、以及消息密钥标识符和消息密文的组(KeyID₁,C_2,m1)、(KeyID₁,C_2,m2)、(KeyID₂,C_2,m3)、(KeyID₁,C_2,m4)、(KeyID₃,C_2,m5)。

接收到消息密钥标识符和消息密钥密文的组(KeyID₁,C_1,K1)、(KeyID₂,C_1,K2)、(KeyID₃,C_1,K3)、以及消息密钥标识符和消息密文的组(KeyID₁,C_2,m1)、(KeyID₁,C_2,m2)、(KeyID₂,C_2,m3)、(KeyID₁,C_2,m4)、(KeyID₃,C_2,m5)的通信终端12，从会话密钥存储单元124取出最新的会话密钥SK₁。

通信终端12的消息密钥解密单元122，分别计算K₁←KEM.Dec(SK₁,C_1,K1)、K₂←KEM.Dec(SK₁,C_1,K2)、K₃←KEM.Dec(SK₁,C_1,K3)，将消息密钥K₁,K₂,K₃解密，在消息密钥存储单元125中分别临时地保存消息密钥标识符和消息密钥的组(KeyID₁,K₁)、(KeyID₂,K₂)、(KeyID₃,K₃)。

接着进行消息解密。消息密文由于以与消息密钥标识符的组合获取，因此提取对应的消息密钥，进行解密处理。即，在消息解密单元123中计算m₁←Dec(K₁,C_2,m1)、m₂←Dec(K₁,C_2,m2)、m₃←Dec(K₂,C_2,m3)、m₄←Dec(K₁,C_2,m4)、m₅←Dec(K₃,C_2,m5)，将各消息解密。由此，能够减轻对各消息的每一个将消息密钥密文解密的处理，而且，能够正确地显示各消息。而且，在获取全部消息后，在消息密钥存储单元125中保存的消息密钥标识符和消息密钥的组全部删除在安全性上优选。

＜补记＞

本发明的装置例如作为单一硬件实体，具有能够连接键盘等的输入单元、能够连接液晶显示器等的输出单元、能够连接可与硬件实体外部通信的通信装置(例如通信电缆)的通信单元、CPU(Central Processing Unit，中央处理单元，也可以具有闪速存储器或寄存器等)、作为存储器的RAM或ROM、作为硬盘的外部存储装置以及进行连接以使可进行这些的输入单元、输出单元、通信单元、CPU、RAM、ROM、外部存储装置之间的数据的交换的总线。并且，根据需要，也可以在硬件实体中设置能够读写CD-ROM等记录介质的装置(驱动器)等。作为具有这样的硬件资源的物理性实体，有通用计算机等。

在硬件实体的外部存储装置中存储用于实现上述功能所需的程序以及该程序的处理中所需的数据等(不限于外部存储装置，例如也可以将程序存储在作为读取专用存储装置的ROM中)。而且，通过这些程序的处理可得到的数据等，被适当地存储在RAM或外部存储装置等。

在硬件实体中，在外部存储装置(或者ROM等)中存储的各程序和该各程序的处理所需要的数据根据需要被读入到存储器中，适当地在CPU中进行解释执行/处理。其结果，CPU实现规定的功能(表示为上述、…单元、…部件等的各构成要件)。

本发明不限于上述的实施方式，能够在不脱离本发明的主旨的范围内适当进行变更。另外，上述实施方式中说明的处理不仅可以按照记载的顺序以时间序列执行，还可以根据执行处理的装置的处理能力或需要，并行地或单独地执行。

如已经叙述那样，在通过计算机实现上述实施方式中说明的硬件实体(本发明的装置)中的处理功能的情况下，硬件实体应该具有的功能的处理内容通过程序记述。然后，通过由计算机执行该程序，在计算机上实现上述硬件实体中的处理功能。

记述了该处理内容的程序能够记录在计算机可读取的记录介质中。作为在计算机中可读取的记录介质，例如，可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。具体地说，例如作为磁记录装置，可以使用硬盘装置、软盘、磁带等，作为光盘，可以使用DVD(Digital Versatile Disc，数字通用光盘)、DVD-RAM(Random Access Memory，随机存取存储器)、CD－ROM(Compact Disc Read Only Memory，压缩光盘只读存储器)、CD-R(Recordable，可记录)/RW(ReWritable，可重写)等，作为光磁性记录介质，可以使用MO(Magneto-Optical disc，磁光盘)等，作为半导体存储器，可以使用EEP－ROM(Electronically Erasable and Programmable-Read Only Memory，电可擦除可编程只读存储器)等。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的记录装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序的其它执行方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，假设本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在本方式中，设为通过在计算机上执行规定的程序来构成硬件实体，但是也可以硬件性地实现这些处理内容的至少一部分。

Claims

1.一种通信终端，其为经由服务器装置将密文发送到其它通信终端的通信终端，包括：

会话密钥存储单元，存储被所述其它通信终端共享、而不被所述服务器装置共享的会话密钥；

判定单元，在所述密文的发送为所述会话密钥的生成后或者更新后的最初的发送的情况下，判定为新生成了用于消息的加密的消息密钥，在除此以外的情况下，判定为再利用所述消息密钥；

消息密钥生成单元，在所述判定的结果为新生成的情况下生成所述消息密钥；

消息密钥存储单元，将在所述判定的结果为再利用的情况下被再利用的消息密钥与消息密钥标识符相关联存储；

消息加密单元，使用所述消息和生成或者被存储的所述消息密钥，基于公共密钥加密方式，生成消息密文；

消息密钥加密单元，在所述判定的结果为新生成的情况下，使用所述会话密钥和被生成的所述消息密钥，基于可再加密的公共密钥加密方式，生成消息密钥密文；以及

密文发送单元，在所述判定的结果为新生成的情况下，将本机所属的群的标识符即群标识符、所述消息密钥密文、以及所述消息密文发送到所述服务器装置，在所述判定的结果为再利用的情况下，将所述群标识符、所述消息密钥标识符、以及所述消息密文发送到所述服务器装置。

2.一种通信终端，其为经由服务器装置接收其它通信终端发送的密文的通信终端，包括：

接收单元，从所述服务器装置接收消息密钥密文和消息密文，所述消息密钥密文使用所述会话密钥和所述其它通信终端生成的消息密钥，基于可再加密的公共密钥加密方式生成，所述消息密文使用所述其它通信终端生成的消息和所述其它通信终端生成或者存储的所述消息密钥，基于公共密钥加密方式生成；

消息密钥解密单元，基于可再加密的公共密钥加密方式，从所述会话密钥和所述消息密钥密文解密所述消息密钥；以及

消息解密单元，基于公共密钥加密方式，从所述消息密钥和所述消息密文解密所述消息。

3.一种通信终端，其为在被其它通信终端共享、而不被服务器装置共享的会话密钥每次被更新时，将再加密密钥发送到所述服务器装置的通信终端，包括：

会话密钥存储单元，存储所述会话密钥；

再加密密钥生成单元，从更新前的所述会话密钥和更新后的所述会话密钥，生成所述再加密密钥；以及

发送单元，将所述再加密密钥发送到所述服务器装置。

4.一种通信终端，其为将密文经由服务器装置发送到其它通信终端，经由所述服务器装置接收所述其它通信终端发送的所述密文，在被所述其它通信终端共享、而不被所述服务器装置共享的会话密钥每次被更新时，将再加密密钥发送到所述服务器装置的通信终端，包括：

会话密钥存储单元，存储所述会话密钥；

消息密钥生成单元，在所述判定的结果为新生成的情况下，生成所述消息密钥；

消息密钥加密单元，在所述判定的结果为新生成的情况下，使用所述会话密钥和所生成的所述消息密钥，基于可再加密的共密钥加密方式，生成消息密钥密文；

密文发送单元，在所述判定的结果为新生成的情况下，将本机所属的群的标识符即群标识符、所述消息密钥密文、以及所述消息密文发送到所述服务器装置，在所述判定的结果为再利用的情况下，将所述群标识符、所述消息密钥标识符、所述消息密文发送到所述服务器装置；

接收单元，从所述服务器装置接收所述消息密钥密文和所述消息密文；

消息密钥解密单元，基于可再加密的公共密钥加密方式，从所述会话密钥和所述消息密钥密文解密所述消息密钥；

消息解密单元，基于公共密钥加密方式，从所述消息密钥和所述消息密文解密所述消息；

发送单元，将所述再加密密钥发送到所述服务器装置。

5.一种服务器装置，其为在多个通信终端间被共享、而不被本机共享的会话密钥每次被更新时，将对应的消息密钥密文进行再加密的服务器装置，包括：

接收单元，从所述通信终端，接收所述通信终端所属的群的标识符即群标识符、以及由更新前的所述会话密钥和更新后的所述会话密钥生成的再加密密钥；以及

再加密处理单元，基于可再加密的公共密钥加密方式，由所述再加密密钥、以及与所述群标识符对应的所述消息密钥密文，生成再加密后的所述消息密钥密文。

6.一种计算机可读取的记录介质，记录了使计算机具有权利要求1至4的任一项中记载的通信终端的功能的程序。

7.一种计算机可读取的记录介质，记录了使计算机具有权利要求5中记载的服务器装置的功能的程序。