CN111630810A - 密钥交换装置、密钥交换系统、密钥交换方法及密钥交换程序 - Google Patents

Abstract

密钥交换装置包括：共享秘密密钥存储部，存储作为与该密钥交换装置的秘密密钥不同的信息的共享秘密信息mk_i ^k；认证信息附加部，使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i，生成用于检测认证和篡改的认证信息σ_i；以及认证信息验证部，从外部接收密钥交换信息e_s和与密钥交换信息e_s对应的认证信息σ_s，使用上述共享秘密信息mk_i ^k验证上述认证信息σ_s，在验证失败的情况下，停止密钥交换，上述共享秘密信息mk_i ^k是在密钥交换的生成过程中利用的值，其中，设i≠s，j为密钥交换的次数，k为0以上且小于j的整数中的任一个。

Description

密钥交换装置、密钥交换系统、密钥交换方法及密钥交换程序

技术领域

本发明涉及在信息通信领域中的密钥交换技术，涉及与其他通信装置进行通信的通信装置、由通信装置执行的通信系统。

背景技术

在多个装置之间共享用于加密等的同一密钥(会话密钥)的技术中有密钥交换协议。在密钥交换协议中，有使用长期使用的秘密密钥(长期秘密密钥)来交换会话密钥的协议。

作为其中一例，有Two-round Dynamic Multi-Cast Key Distribution Protocol(两轮动态多播密钥分发协议)(以下也称为KY Protocol(KY协议)，参照非专利文献1)。利用KY Protocol，能够配合用户的动态变更(参加或退出通话、消息组等)，有效地再次交换会话密钥。而且，在KY Protocol中具有以下特征：无论用户数增加多少，各用户的密钥交换所需的成本(计算成本或通信成本等)都是一定的。

现有技术文献

非专利文献

非专利文献1：K.Yoneyama,R.Yoshida,Y.Kawahara,T.Kobayashi,H.Fuji,andT.Yamamoto:"Multi-cast Key Distribution:Scalable,Dynamic and Provably SecureConstruction",Proc.of ProvSec 2016，pp.207-226,Nanjing,China,Nov.2016。

发明内容

发明所要解决的课题

在使用长期秘密密钥进行密钥交换的协议中，有时在长期秘密密钥泄漏给攻击者之后，攻击者冒充泄漏的装置，参与密钥交换的攻击变得可能。于是，在密钥交换技术的长期秘密密钥泄漏后，会话密钥会因冒充而泄漏。

例如，即使是KY Protocol，在长期秘密密钥泄漏后，攻击者也能够获取会话密钥。KY Protocol使用以服务器为中心而由多个用户与服务器进行通信的星型网络。密钥交换时，用户和服务器分别使用长期秘密密钥和短期秘密密钥，在用户间交换会话密钥。然而，长期秘密密钥在非易失性存储器上长期保管使用。因此，需要安全保管长期秘密密钥以免泄露给攻击者。关于KY Protocol的安全性，有以下特征：

1.Ephemeral Key Exposure Resilience(短期密钥泄露适应力)：即使用户的短期秘密密钥泄露，泄露前的会话密钥也是安全的；

2.Time-based Backward Secrecy(基于时间的后向保密)：即使某一会话密钥前后的会话密钥泄漏，也无法推测某一会话密钥本身；

3.Strong Server Key Forward Secrecy(强服务器密钥前向保密)：即使用户或服务器的长期秘密密钥泄漏，泄漏前会话完成的会话密钥也是安全的。

如上述3所述，在KY Protocol中，即使长期秘密密钥泄漏，在泄漏前的会话中共享的会话密钥的信息也不会泄漏。然而，在长期秘密密钥泄漏后进行的会话中共享的会话密钥可能会落入攻击者手中。具体而言，当服务器的长期秘密密钥泄漏时，攻击者能够冒充服务器参加密钥交换。在攻击者冒充为服务器后，攻击者在用户间进行对话时秘密地参与密钥交换，从而攻击者也共享对话密钥。此外，在用户的长期秘密密钥泄漏的情况下，由于攻击者能够冒充用户参加会话，因而会话密钥被攻击者共享。

这样，实际上，在密钥交换协议中，存在长期秘密密钥泄漏到攻击者后，由攻击者获取会话密钥的协议。现状是，由于对服务器或用户终端等的侵入，容易发生信息泄漏的情形。为了防止这样的问题，需要服务器或用户安全地保管长期秘密密钥以免泄漏。安全的保管成为服务器或用户的负担。

本发明的目的在于提供一种能够防止长期密钥泄漏后的会话密钥的推测的密钥交换装置、密钥交换系统、密钥交换方法、密钥交换程序。

用于解决课题的手段

为了解决上述课题，根据本发明的一个方面，设i≠s，j为密钥交换的次数，k为0以上且小于j的整数中的任一个，密钥交换装置包括：共享秘密密钥存储部，存储作为与该密钥交换装置的秘密密钥不同的信息的共享秘密信息mk_i ^k；认证信息附加部，使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i，生成用于检测认证和篡改的认证信息σ_i；以及认证信息验证部，从外部接收密钥交换信息e_s和与密钥交换信息e_s对应的认证信息σ_s，使用上述共享秘密信息mk_i ^k验证上述认证信息σ_s，在验证失败的情况下，停止密钥交换，上述共享秘密信息mk_i ^k是在密钥交换的生成过程中利用的值。

为了解决上述课题，根据本发明的另一方面，密钥交换系统包括密钥交换服务器装置和n台密钥交换装置i。设i≠s，i＝1,2,…,n，j为密钥交换的次数，k为0以上且小于j的整数中的任一个，密钥交换装置i包括：共享秘密密钥存储部，存储作为与该密钥交换装置i的秘密密钥不同的信息的共享秘密信息mk_i ^k；认证信息附加部，使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i，生成用于检测认证和篡改的认证信息σ_i；以及认证信息验证部，从外部接收密钥交换信息e_{s_i}和与密钥交换信息e_{s_i}对应的认证信息σ_{s_i}，使用上述共享秘密信息mk_i ^k验证上述认证信息σ_{s_i}，在验证失败的情况下，停止密钥交换。密钥交换服务器装置包括：第二共享秘密密钥存储部，存储作为不同于该密钥交换服务器装置的秘密密钥的信息的共享秘密信息mk₁ ^k,…,mk_n ^k；第二认证信息附加部，使用共享秘密信息mk₁ ^k,…,mk_n ^k，对向外部输出的密钥交换信息e_{s_1},…,e_{s_n}生成用于检测认证和篡改的认证信息σ_{s_1},…,σ_{s_n}；以及第二认证信息验证部，从外部接收密钥交换信息e₁,…,e_n和分别与密钥交换信息e₁,…,e_n对应的认证信息σ₁,…,σ_n，使用上述共享秘密信息mk₁ ^k,…,mk_n ^k分别验证上述认证信息σ₁,…,σ_n，在验证失败的情况下，停止与失败的密钥交换装置的密钥交换。

为了解决上述课题，根据本发明的另一方面，密钥交换方法使用密钥交换装置。设i≠s，，k为0以上的整数中的任一个，在密钥交换装置的共享秘密密钥存储部中，存储有作为与密钥交换装置的秘密密钥不同的信息的共享秘密信息mk_i ^k，密钥交换方法包括：认证信息附加步骤，密钥交换装置使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i生成用于检测认证和篡改的认证信息σ_i；以及认证信息验证步骤，密钥交换装置从外部接收密钥交换信息e_s和与密钥交换信息e_s对应的认证信息σ_s，使用上述共享秘密信息mk_i ^k验证上述认证信息σ_s，在验证失败的情况下，停止密钥交换。

为了解决上述课题，根据本发明的另一方面，密钥交换方法使用密钥交换服务器装置和n台密钥交换装置i。设i≠s，i＝1,2,…,n，k为0以上的整数中的任一个，在密钥交换装置i的共享秘密密钥存储部中，存储有作为与密钥交换装置i的秘密密钥不同的信息的共享秘密信息mk_i ^k，在密钥交换服务器装置的共享秘密密钥存储部中，存储有作为与该密钥交换服务器装置的秘密密钥不同的信息的共享秘密信息mk₁ ^k,…,mk_n ^k，密钥交换方法包括：初次共享秘密密钥共享步骤，在上述密钥交换服务器装置与上述n台密钥交换装置i之间分别共享共享秘密信息mk_i ^k；认证信息附加步骤，密钥交换装置i使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i生成用于检测认证和篡改的认证信息σ_i；第二认证信息验证步骤，密钥交换服务器装置从外部接收密钥交换信息e₁,…,e_n以及分别与密钥交换信息e₁,…,e_n对应的认证信息σ₁,…,σ_n，使用上述共享秘密信息mk₁ ^k,…,mk_n ^k分别验证上述认证信息σ₁,…,σ_n，在验证失败的情况下，停止与失败的密钥交换装置的密钥交换；第二认证信息附加步骤，密钥交换服务器装置使用共享秘密信息mk₁ ^k,…,mk_n ^k，对向外部输出的密钥交换信息e_{s_1},…,e_{s_n}生成用于检测认证和篡改的认证信息σ_{s_1},…,σ_{s_n}；以及认证信息验证步骤，密钥交换装置i从外部接收密钥交换信息e_{s_i}和与密钥交换信息e_{s_i}对应的认证信息σ_{s_i}，使用上述共享秘密信息mk_i ^k验证上述认证信息σ_{s_i}，在验证失败的情况下，停止密钥交换。

发明效果

根据本发明，起到能够防止长期密钥泄漏后的会话密钥的推测的效果。

附图说明

图1是第一实施方式的密钥交换系统的结构图。

图2是第一实施方式的密钥交换装置的功能框图。

图3是第一实施方式的密钥交换服务器装置的功能框图。

具体实施方式

以下，对本发明的实施方式进行说明。另外，在用于以下说明的附图中，对具有相同功能的结构部和进行相同处理的步骤标注相同的符号，省略重复说明。在以下的说明中，文本中使用的记号“^”“～”等，本来应该记载在之前的文字的正上方，但由于文本表示法的限制，记载在该文字之后。在公式中，这些记号记载在原来的位置上。此外，只要没有特别说明，以向量或矩阵的各元素单位进行的处理，对该向量或该矩阵的所有元素都适用。

<第一实施方式的要点>

在第一实施方式中，为了防止攻击者冒充用户或服务器，提出了一种进行使用了之前的会话密钥交换过程中使用的信息(共享秘密信息＝MAC密钥)和长期秘密密钥这两个信息的认证的密钥交换协议。

在本实施方式中，对共享秘密信息固定方式进行说明。

在本实施方式中，对于现有的密钥交换协议，在密钥交换步骤之前加入以下步骤。

(初次共享秘密密钥共享步骤)

密钥交换装置和密钥交换的对方的密钥交换装置，只有在不拥有认证中可以使用的长期秘密密钥的情况下，才生成自身的长期秘密密钥SSK和长期公开密钥SPK，并保存SSK，使用PKI等技术，在防止篡改的同时进行SPK的交换。并且，密钥交换装置和密钥交换对方的密钥交换装置，在利用自身的长期秘密密钥SSK来添加用于防止冒充和篡改的信息的同时进行密钥共享，共享并保存初次共享秘密密钥mk_i ⁰。

接着，在现有的密钥交换算法的密钥交换装置间发送接收时，按以下方式修正步骤。

(密钥交换的发送接收时的步骤)

设在密钥交换装置200-i和密钥交换的对方的密钥交换装置200-m之间进行第j次密钥交换。此时，各密钥交换装置在发送信息时，对各密钥交换装置间必要的信息，使用第j次以前的共享秘密密钥mk_i ^k(0≤k<j)，将用于检测冒充和篡改的信息添加后发送。各密钥交换装置在接收信息时，首先使用共享秘密密钥mk_i ^k检查用于冒充和检测的信息，如果不正确，则停止密钥交换算法，在正确时继续密钥交换算法。

另外，在本实施方式中，作为前提，假设在初次共享秘密密钥共享步骤时，能够在攻击者未参与的情况下正确结束算法。作为密钥交换的发送接收时的步骤，密钥交换装置和密钥交换的对方的密钥交换装置，对其间发送的信息，使用自身的SSK和第j次以前的共享秘密密钥mk_i ^k来添加用于防止冒充和篡改的信息。这样，即使长期秘密密钥泄漏，由于共享秘密密钥mk_i ^k被安全地保管，攻击者也无法伪造用于进行密钥交换时的各通信的冒充和篡改检测的信息。由此，密钥交换装置和密钥交换的对方的密钥交换装置能够防止攻击者的冒充。因此，能够解决因长期秘密密钥的泄漏而导致会话密钥泄漏的课题。

<表示法>

下面，说明本实施方式中使用的记号的表记法。

U:＝{u_1,u_2,…u_N}属于组的用户的集合

u:＝{u_1,u_2,…u_n|u_i∈U}参加密钥交换的用户的集合。另外，假设属于组的用户的全部或一部分参加密钥交换。因此，n≤N。

(sk_i,pk_i)u_i的秘密密钥和公开密钥

(sk_s,pk_s)服务器的秘密密钥和公开密钥

mk_i ^ju_i与服务器间共享的第j次共享秘密密钥(本实施方式中为安全参数k的消息认证符(MAC)的密钥)

p素数

G位数p的有限循环群

g_,hG的生成源

κ安全参数

Kspace_κκ比特的密钥空间

TCR:{0,1}^*→{0,1}^κ目标碰撞困难散列函数

tPRF:{0,1}^κ×Kspace_κ×Kspace_κ×{0,1}^κ→Z_p扭转伪随机函数(参照参考文献1)tPRF’:{0,1}^κ×Kspace_κ×Kspace_κ×{0,1}^κ→Z_p扭转伪随机函数

F:{0,1}^κ×G→Z_p ²伪随机函数

F':{0,1}^κ×Z_p→Kspace_κ伪随机函数

F”:{0,1}^κ×Kspace_κ→{0,1}^κ伪随机函数

F”':{0,1}^κ×Kspace_κ→Z_p伪随机函数

TF_ti:＝{time_{ti_1},time_{ti_2},…,time_{ti_tn}}特定区间的时间的集合(Time Frame)，ti＝1,2,…,fn

TF:＝{TF₁,TF₂,…,TF_fn}Time Frame的集合

PRF:{0,1}^*→{0,1}^κ伪随机函数

(参考文献1)Atsushi Fujioka,Koutarou Suzuki,Keita Xagawa,and KazukiYoneyama."Strongly secure authenticated key exchange from factoring,codes,andlattices".Des.Codes Cryptography,76(3):469-504,2015.

<第一实施例>

图1表示第一实施方式的密钥交换系统的结构图。

密钥交换系统包括密钥交换服务器装置100和n台密钥交换装置200-i。各装置通过通信线路等连接，能够相互通信。设i＝1,2,…,n。

密钥交换服务器装置100及n台密钥交换装置200-i分别是例如在具有中央运算处理装置(CPU：Central Processing Unit)、主存储装置(RAM：Random Access Memory)等的公知或专用的计算机中读入特别的程序而构成的特别的装置。密钥交换服务器装置100和n台密钥交换装置200-i分别在例如中央运算处理装置的控制下执行各个处理。输入到密钥交换服务器装置100和n台密钥交换装置200-i的数据、或在每个处理中获得的数据被存储在例如主存储装置中，并且存储在主存储装置中的数据根据需要被读出到中央运算处理装置而用于其它处理。密钥交换服务器装置100及n台密钥交换装置200-i的各处理部的至少一部分可以分别由集成电路等硬件构成。密钥交换服务器装置100及n台密钥交换装置200-i各自具备的各存储部，例如能够由RAM(Random Access Memory)等主存储装置、由硬盘或光盘或者闪存(Flash Memory)等半导体存储元件构成的辅助存储装置、或者关系数据库或键-值存储(key-value store)等中间件构成。

图2表示密钥交换服务器装置100的功能框图。密钥交换服务器装置100包括秘密密钥存储部101、共享秘密密钥存储部102、密钥交换算法部103、认证信息验证部104、认证信息附加部105、共享秘密密钥共享部106。首先说明各个部的处理概要。

<秘密密钥存储部101>

秘密密钥存储部101中存储有密钥交换服务器装置100的秘密密钥。

<共享秘密密钥存储部102>

共享秘密信息mk₁ ^k-1,…,mk_n ^k-1被存储在共享秘密密钥存储部102中，共享秘密信息mk₁ ^k-1,…,mk_n ^k-1是与密钥交换服务器装置100的秘密密钥不同的信息，并且能够与密钥交换装置200-i之间共享。在本实施方式中，为了固定共享秘密信息，设k-1＝0。

<密钥交换算法部103>

密钥交换算法部103接收来自外部(密钥交换装置200-i)的密钥交换信息e₁,…,e_n作为输入，将在密钥交换的中途生成的关联信息x输出到共享秘密密钥共享部106，并将密钥交换所需的密钥交换信息e_{s_1},…,e_{s_n}输出到外部(密钥交换装置200-i)。

<认证信息验证部104>

认证信息验证部104将来自外部(密钥交换装置200-i)的认证信息σ₁,…,σ_n作为输入，分别使用共享秘密信息mk₁ ^k-1,…,mk_n ^k-1验证认证信息σ₁,…,σ_n。认证信息验证部104在验证失败的情况下，停止与失败的密钥交换装置的密钥交换算法。

<认证信息附加部105>

认证信息附加部105将密钥交换算法部103输出的密钥交换信息e_{s_1},…,e_{s_n}作为输入，分别使用共享秘密信息mk₁ ^k-1,…,mk_n ^k-1，对密钥交换信息e_{s_1},…,e_{s_n}生成用于检测认证和篡改的认证信息σ_{s_1},…,σ_{s_n}，发送到密钥交换算法部103。

<共享秘密密钥共享部106>

共享秘密密钥共享部106将密钥交换算法部103的密钥交换所输出的上述关联信息x作为输入，使用秘密密钥和共享秘密信息mk₁ ^k-1,…,mk_n ^k-1，求取共享秘密信息mk₁ ^k,…,mk_n ^k，并保存在共享秘密密钥存储部102中。

接着，对密钥交换装置200-i进行说明。

图3表示密钥交换装置200-i的功能框图。n台密钥交换装置200-i分别包括秘密密钥存储部201、共享秘密密钥存储部202、密钥交换算法部203、认证信息验证部204、认证信息附加部205、共享秘密密钥共享部206。首先说明各个部的处理概要。

<秘密密钥存储部201>

秘密密钥存储部201中存储有密钥交换装置200-i的秘密密钥。

<共享秘密密钥存储部202>

在共享秘密密钥存储部202中，存储有共享秘密信息mk_i ^k，共享秘密信息mk_i ^k是与密钥交换装置200-i的秘密密钥不同的信息，能够与密钥交换服务器装置100之间共享。

<密钥交换算法部203>

密钥交换算法部203接收来自外部(密钥交换服务器装置100)的密钥交换信息e_{s_i}作为输入，将在密钥交换的中途生成的关联信息x输出到共享秘密密钥共享部206，将密钥交换所需的密钥交换信息e_i输出到外部(密钥交换服务器装置100)。

<认证信息验证部204>

认证信息验证部204将来自外部(密钥交换服务器装置100)的认证信息σ_{s_i}作为输入，分别使用共享秘密信息mk_i ^k-1验证密钥交换算法部203的认证信息σ_{s_i}。认证信息验证部204在验证失败的情况下，停止与密钥交换服务器装置100的密钥交换算法。

<认证信息附加部205>

认证信息附加部205将密钥交换算法部203输出的密钥交换信息e_i作为输入，使用共享秘密信息mk_i ^k-1，对密钥交换算法部203的密钥交换信息e_i生成用于检测认证和篡改的认证信息σ_i，并发送给密钥交换算法部203。

<共享秘密密钥共享部206>

共享秘密密钥共享部206将在密钥交换算法部203的密钥交换的中途生成的关联信息x作为输入，使用秘密密钥和共享秘密信息mk_i ^k-1，求取共享秘密信息mk₁ ^k,…,mk_n ^k，保存在密钥交换装置200-i的共享秘密密钥存储部202中。

以下，按照处理的流程，对各个部的处理内容进行说明。

在第一实施方式中，提出了以KY Protocol为基础的应用协议。与KY Protocol同样，本应用协议由{Setup,Dist,Join,Leave,Update}五个阶段组成。对{Join,Leave,Update}阶段也能够同样地适应，但只记载Setup和Dist阶段。此外，在本应用协议中，假设服务器S和用户u:＝{u₁,u₂,…u_n|u_i∈U}之间进行密钥交换，记述基于PKI的KY Protocol。

本应用协议在初次共享秘密密钥共享步骤和共享秘密密钥更新步骤中，使用RSA加密的秘密密钥作为长期秘密密钥，使用MAC密钥作为共享秘密密钥。本应用协议在共享秘密密钥共享时使用RSA加密的签名进行认证和篡改检测，在DH密钥共享中共享密钥。另外，本发明除了RSA加密的签名以外，还能够利用DSA或ECDSA等在认证和篡改检测中使用的一般的签名技术，DH密钥共享也同样能够利用一般的密钥交换技术。

在本实施方式中，由于采用共享秘密信息固定方式，因而在第j次密钥交换的发送接收时的步骤中，使用初次共享秘密密钥mk_i ⁰附加MAC的标签，进行认证和防篡改。然而，也可以采用共享秘密信息固定方式，使用前1个以上的共享秘密密钥的MAC密钥mk_i ^k附加MAC标签，进行认证和防篡改。另外，k是0以上且小于j的整数中的任一个，只要在与密钥交换的对方之间预先决定将k设为怎样的值即可。

在传统的KY Protocol中，在Dist的最初制作MAC密钥，对于Dist的部分通信生成MAC标签。在本实施方式中，由于将MAC密钥作为共享秘密密钥来使用，因而不用其构成协议。此外，也不使用用于确认Round1和Round2的用户的同一性的承诺(commitment)C_i＝g^{k_ i}h^s_i、或用于确认各用户是否具有代表用户(在本实施方式中以用户u₁为代表用户)的k_i或s_i的承诺C₁＝g^k_1h^s_1来构成。另外，上标和上标中，A_B表示A_B，A^B表示A^B。此外，作为表示从集合S均匀随机地取出集合S的元素x的记号，表示为x∈_RS。·Setup：

1.各用户u_i所利用的密钥交换装置200-i的密钥交换算法部203以k为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_i、公开密钥pk_i((sk_i,pk_i)←Gen(1^k))。进一步地，密钥交换装置200-i的密钥交换算法部203以k为安全参数，生成由随机比特串构成的秘密信息(st_i,st'_i)(st_i∈_RKspace_κ、st'_i∈_R{0,1}^k)。

密钥交换算法部203将(sk_i,st_i,st'_i)作为长期秘密密钥SSK_i保存在秘密密钥存储部201中，使用PKI等将公开密钥pk_i与用户关联的技术，将pk_i作为长期公开密钥SPK_i向密钥交换服务器装置100公开。

2.密钥交换服务器装置100的密钥交换算法部103将k作为安全参数，使用为了定义属性信息A_i而使用的信息att，进行基于属性的加密的秘密密钥生成(Params,msk)←Setup(1^k、att)。密钥交换算法部103将k作为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_s、公开密钥pk_s((sk_s,pk_s)←Gen(1^k))。进一步地，密钥交换算法部103以k为安全参数，生成由随机比特串构成的秘密信息(st_s,st'_s)(st_s∈_RKspace_κ、st'_s∈_R{0,1}^k)。

密钥交换算法部103将(msk,sk_s,st_s,st'_s)作为长期秘密密钥SSKs保存在秘密密钥存储部101中，使用PKI等将公开密钥pk_s与用户关联的技术，将(Params,p,G,g,h,TCR,tPRF,tPRF',F,F',F”,F”',pk_s)作为长期公开密钥SPK_s保存在未图示的存储部中，并向各密钥交换装置200-i公开。

·初次共享秘密密钥共享步骤：

1.各密钥交换装置200-i的共享秘密密钥共享部206获取长期公开密钥SPK_s，使用长期公开密钥SPK_s中包含的g，生成随机数aⁱ和g^a_i。共享秘密密钥共享部206从秘密密钥存储部201中取出秘密密钥sk_i，使用秘密密钥sk_i，通过签名算法Sig生成签名σ_i ⁰(σ_i ⁰←Sig_{sk_i}(g^a_i))，并将签名数据传递给密钥交换算法部203。密钥交换算法部203向密钥交换服务器装置100发送(g^a_i,σ_i ⁰)。

2.密钥交换服务器装置100的共享秘密密钥共享部106经由密钥交换算法部103接收(g^a_i,σ_i ⁰)，并使用验证算法Ver来验证签名σ_i ⁰(1or⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共享秘密密钥共享部106在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部106在验证成功的情况下(输出了1的情况下)，使用长期公共密钥SPK_s中包含的g来生成随机数b和g^b。共享秘密密钥共享部106从秘密密钥存储部101中取出秘密密钥sk_s，使用秘密密钥sk_s，通过签名算法Sig生成签名σ_s ⁰(σ_s ⁰←Sig_{sk_s}(g^b))，并经由密钥交换算法部103将(g^b,σ_s ⁰)发送到各密钥交换装置200-i。进一步地，共享秘密密钥共享部106使用从各个密钥交换装置200-i接收的g^a_i和生成的随机数b生成g^a_ib，并且使用用于生成MAC密钥的算法MGen来生成mk_i ⁰←MGen(g^a_ib)。共享秘密密钥共享部106将mk_i ⁰(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部102中。

3.各密钥交换装置200-i的共享秘密密钥共享部206经由密钥交换算法部203接收(g^b,σ_s ⁰)，使用长期公开密钥SPK_s中包含的pk_s和验证算法Ver，验证签名σ_s ⁰(1or⊥←Ver_{pk_s}(g^b,σ_s ⁰))。共享秘密密钥共享部206在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部206在验证成功的情况下(输出了1的情况下)，使用由密钥交换装置200-i生成的随机数a_i和从密钥交换服务器装置100接收到的g^b来生成g^a_ib，并且使用用于生成MAC密钥的算法MGen来生成mk_i ⁰←MGen(g^a_ib)。共享秘密密钥共享部206将mk_i ⁰(这里，i是与密钥交换装置200-i对应的一个值)作为共享秘密密钥存储在共享秘密密钥存储部202中。

通过到此为止的处理，密钥交换服务器装置100和密钥交换装置200-i共享共享秘密密钥mk_i ⁰。

·Dist：

(State Update at New Time Frame(新的时间框架内的状态更新))

在特定的TF_ti开始进行会话的密钥交换装置200-i与密钥交换服务器装置100进行以下的处理。

1.密钥交换服务器装置100的密钥交换算法部103在存在来自密钥交换装置200-i的连接请求的情况下，根据与当前时刻对应的特定区间的时间time_ji和用户标识符u_i生成A_i＝(u_i,time_ji)，并将A_i＝(u_i,time_ji)设为属性信息。其中，若将包含特定区间的时间time_ji的特定区间的时间的集合设为TF_ji:＝{time_{ji_1},time_{ji_2},…,time_{ji_tn}}，则ji是与ji_1,ji_2,…,ji_tn中的当前时刻对应的值。密钥交换服务器装置100的密钥交换算法部103是基于属性的加密的加密算法，使用用于生成与用户的属性信息对应的密钥的算法Der，根据Params、msk、A_i生成用户的属性秘密密钥usk_i(usk_i←Der(Params,msk,A_i))。进一步地，密钥交换算法部103获取密钥交换装置200-i的公开密钥pk_i，使用公开密钥pk_i通过公开密钥加密方式的加密算法Enc对usk_i进行加密(CT_i←Enc_{pk_i}(usk_i))，并将密文CT_i发送到密钥交换装置200-i。这里，i＝1,2,…,n。

2.各密钥交换装置200-i接收密文CT_i，从秘密密钥存储部201中取出秘密密钥sk_i，通过公开密钥加密方式的解密算法Dec对密文CT_i进行解密(usk_i←Dec_{sk_i}(CT_i))，将属性秘密密钥usk_i保存在未图示的存储部state_i中。

(Round1 for Users(针对用户的第一轮))

1.各密钥交换装置200-i的密钥交换算法部203生成r～_i∈_R{0,1}^k、r～'_i∈_RKspace_κ、k～_i∈_R{0,1}^k、k～'_i∈_RKspace_κ、s～_i∈_R{0,1}k、s～'_i∈_RKspace_κ，并保存在未图示的存储部ESK_i中。并且，密钥交换算法部203生成r_i＝tPRF(r～_i,r～'_i,st_i,st'_i)、k_i＝tPRF(k～_i,k～'_i,st_i,st'_i)、s_i＝tPRF(s～_i,s～'_i,st_i,st'_i)。进一步地，密钥交换算法部203生成R_i＝g^r_i、C_i＝g^k_ih^s_i。

2.各密钥交换装置200-i的认证信息附加部205从共享秘密密钥存储部202取出共享秘密密钥mk_i ^j-1，通过签名算法Tag，根据生成的R_i和C_i，由下式计算签名σ_i ¹：

σ_i ¹＝Tag_(mk_i ^j-1)(R_i,C_i)

密钥交换算法部203将(R_i,C_i,σ_i ¹)发送给密钥交换服务器装置100。其中，Tag_(mk_i ^j-1)意为：

此外，在本实施方式中，由于采用了共享秘密密钥固定方式，因而mk_i ^j-1＝mk_i ⁰。另外，R_i和C_i也称为密钥交换信息，签名σ_i ¹也称为认证信息。

(Round1 for Server(针对服务器的第一轮))

1.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从各密钥交换装置200-i获取(R_i,C_i,σ_i ¹)，从共享秘密密钥存储部202取出共享秘密密钥mk_i ^j-1，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(R_i,C_i,σ_i ¹)

认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。其中，Ver_(mk_i ^j-1)意为：

2.密钥交换服务器装置100的密钥交换算法部103从各密钥交换装置200-i获取(R_i,C_i,σ_i ¹)，计算sid＝TCR(C₁,…,C_n)，选择一个代表用户。在本实施方式中，将用户u₁作为代表用户。认证信息附加部105使用sid和R₁,…,R_n，通过签名算法Tag，计算σ_{sev_i} ¹＝Tag_(mk_i ^j-1)(sid,R_i-1,R_i+1)，并经由密钥交换算法部103发送到各密钥交换装置200-i，对代表用户传达其为代表用户。

(Round2 for Users(针对用户的第二轮))

1.i∈[1，n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(sid,R_i-1,R_i+1,σ_{sev_i} ¹)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(sid,R_i-1,R_i+1,σ_{sev_i} ¹)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。另外，sid,R_i-1,R_i+1也称为来自外部(密钥交换服务器装置100)的密钥交换信息，σ_{sev_i} ¹也称为认证信息。

2.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203计算K_i ^(l)＝F(sid,R_i-1 ^r_i)、K_i ^(r)＝F(sid,R_i+1 ^r_i)、T_i＝K_i ^(l)xor K_i ^(r)。其中，xor意为：

认证信息附加部205使用签名算法Tag计算签名σ_i ²，(σ_i ²＝Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid))，经由密钥交换算法部203对密钥交换服务器装置100发送(k_i,s_i,T_i,σ_i ²)。

3.作为代表用户的用户u₁的密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝F(sid,R_n ^r_1)、K₁ ^(r)＝F(sid,R₂ ^r_1)、T₁＝K₁ ^(l)xor K₁ ^(r)、T'＝K₁ ^(l)xor(k₁||s₁)。认证信息附加部205使用签名算法Tag计算签名σ₁ ²，(σ₁ ²＝Tag_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid))，经由密钥交换算法部203对密钥交换服务器装置100发送(T₁,T',σ₁ ²)。

(Round2 for Server(针对服务器的第二轮))

1.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从i∈[2,n]的密钥交换装置200-i获取(k_i,s_i,T_i,σ_i ²)，并通过验证算法Ver由下式进行验证：

Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,σ_i ²)

认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

2.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从作为代表用户的用户u₁的密钥交换装置200-1获取(T₁,T',σ₁ ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,σ₁ ²)

认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

3.密钥交换服务器装置100的密钥交换算法部103生成k_S～∈_R{0,1}^k、k_S～'∈_RKspace_κ、K₁～∈_R{0,1}^k、K₁～'∈_R Kspace_κ，计算k_S＝tPRF(k_S～,k_S～',st_s,st'_s)、K₁＝tPRF(K₁～,K₁～',st_s,st'_s)和k'＝(xor_2≦i≦n k_i)xor k_s。

4.密钥交换服务器装置100的密钥交换算法部103对i∈[2,n]的密钥交换装置200-i计算T_i'＝(xor_1≦j≦i-1T_j)。

5.密钥交换服务器装置100的密钥交换算法部103对i∈[1,n]的密钥交换装置200-i，计算P_i:＝(ID＝U_i)∧(time∈TF)、CT_i'＝AEnc(Params,P_i,K₁)。其中，AEnc是基于属性的加密的加密算法。

6.密钥交换服务器装置100的认证信息附加部105对i∈[2,n]的密钥交换装置200-i，使用签名算法Tag，由下式计算签名σ_i ²：

σ_i ²＝Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')

接着，认证信息附加部105将(c₁,k',T'_i,T',CT_i',σ_i ²)经由密钥交换算法部103发送给i∈[2,n]的密钥交换装置200-i。

7.密钥交换服务器装置100的认证信息附加部105对作为代表用户的用户u₁的密钥交换装置200-1，使用签名算法Tag，由下式计算签名σ₁ ²：

σ₁ ²＝Tag_(mk_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)

接着，认证信息附加部105经由密钥交换算法部103将(k',CT₁',σ₁ ²)发送到密钥交换装置200-1。

(Session Key Generation and Post Computation(会话密钥生成和后期计算))

1.i∈[2,n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(c₁,k',sid,T'_i,T',CT_i',σ_i ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i',σ_i ²)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝T'_ixor K_i ^(l)和k₁||s₁＝T'xor K₁ ^(l)，并通过基于属性的加密的解密算法ADec，由下式对密文CT'_i进行解密：

K₁←ADec_{usk_i}(CT'_i,P_i)。

进一步地，密钥交换算法部203计算K₂＝F'(sid,k'xor k₁)，并通过SK＝F”(sid,K₁)xor F”(sid,K₂)求得会话密钥SK。

3.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203将sid、H_i ^(l)＝R_i-1 ^r_i、H_i ^(r)＝R_i+1 ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

4.作为代表用户的用户u₁的密钥交换装置200-1的认证信息验证部204经由密钥交换算法部203从密钥交换服务器装置100获取(k',CT₁',σ₁ ²)，并通过验证算法Ver由下式进行验证：

Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁,σ₁ ²)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

5.密钥交换装置200-1的密钥交换算法部203通过基于属性的加密的解密算法ADec，由下式对密文CT'₁进行解密。

K₁←ADec_{usk_1}(CT'₁,P₁)

进一步地，密钥交换算法部203计算K₂＝F'(sid,k'xor k₁)，并通过SK＝F”(sid,K₁)xor F”(sid,K₂)求得会话密钥SK。

6.密钥交换装置200-1的密钥交换算法部203将sid、H₁ ^(l)＝R_n ^r_i、H₁ ^(r)＝R₂ ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state₁中。

<效果>

根据以上的结构，在对密钥交换服务器装置隐藏会话密钥SK的状态下，在密钥交换装置之间，密钥交换装置能够共享会话密钥SK，能够进行使用了共享秘密信息＝MAC密钥和长期秘密密钥这两个信息的认证，防止长期密钥泄漏后的会话密钥的推测。即使服务器或用户的长期秘密密钥信息泄漏，只要共享秘密密钥没有泄漏，便能够防止攻击者交换会话密钥。

例如，可以考虑将共享秘密信息保存在防篡改区域(服务器的HSM或智能手机的SIM等)中并使用。通过将共享秘密信息设为MAC密钥等密钥尺寸小且计算成本小的信息，能够有效地利用有限的防篡改区域。

<变形例>

在本实施方式中，说明了密钥交换的对方是密钥交换服务器装置的情况，即密钥交换装置与密钥交换服务器装置之间的密钥交换，但也可以将本发明应用于密钥交换装置与密钥交换装置之间的密钥交换。构成为某一密钥交换装置作为本实施方式的密钥交换装置发挥功能，其他密钥交换装置作为本实施方式的密钥交换服务器装置发挥功能即可。

<第二实施方式的要点>

以与第一实施方式不同的部分为中心进行说明。

在本实施方式中，将上述第一实施方式的共享秘密密钥部分作为AES的密钥(key_i ^j-1)而非MAC密钥(mk_i ^j-1)，将附加在各通信中的信息作为基于AES的密文c'_i而非签名σ_i进行发送，在解密失败的情况下，停止密钥交换算法。

<第二实施方式>

·Setup:

1.各用户u_i所利用的密钥交换装置200-i的密钥交换算法部203以k为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_i、公开密钥pk_i((sk_i,pk_i)←Gen(1^k))。进一步地，密钥交换装置200-i的密钥交换算法部203以k为安全参数，生成由随机比特串构成的秘密信息(st_i,st'_i)(st_i∈_RKspace_κ、st'_i∈_R{0,1}^k)。

密钥交换算法部203将(sk_i,st_i,st'_i)作为长期秘密密钥SSK_i保存在秘密密钥存储部201中，使用PKI等将公开密钥pk_i与用户关联的技术，将pk_i作为长期公开密钥SPK_i向密钥交换服务器装置100公开。

2.密钥交换服务器装置100的密钥交换算法部103将k作为安全参数，使用为了定义属性信息A_i而使用的信息att，进行基于属性的加密的秘密密钥生成(Params,msk)←Setup(1^k、att)。密钥交换算法部103将k作为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_s、公开密钥pk_s((sk_s,pk_s)←Gen(1^k))。进一步地，密钥交换算法部103以k为安全参数，生成由随机比特串构成的秘密信息(st_s,st'_s)(st_s∈_RKspace_κ、st'_s∈_R{0,1}^k)。

密钥交换算法部103将(msk,sk_s,st_s,st'_s)作为长期秘密密钥SSK_s保存在秘密密钥存储部101中，使用PKI等将公开密钥pk_s与用户关联的技术，将(Params,p,G,g,h,TCR,tPRF,tPRF',F,F',F”,F”',pk_s)作为长期公开密钥SPK_s保存在未图示的存储部中，并向各密钥交换装置200-i公开。

·初次共享秘密密钥共享步骤：

1.各密钥交换装置200-i的共享秘密密钥共享部206获取长期公开密钥SPK_s，使用长期公开密钥SPK_s中包含的g，生成随机数a_i和g^a_i。共享秘密密钥共享部206从秘密密钥存储部201中取出秘密密钥sk_i，并使用秘密密钥sk_i，通过签名算法Sig生成签名σ_i ⁰(σ_i ⁰←Sig_{sk_i}(g^a_i))，经由密钥交换算法部203将(g^a_i,σ_i ⁰)发送到密钥交换服务器装置100。

2.密钥交换服务器装置100的共享秘密密钥共享部106经由密钥交换算法部103接收(g^a_i,σ_i ⁰)，并使用验证算法Ver验证签名σ_i ⁰(1or⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共享秘密密钥共享部106在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部106在验证成功的情况下(输出了1的情况下)，使用长期公共密钥SPK_s中包含的g来生成随机数b和g^b。共享秘密密钥共享部106从秘密密钥存储部101中取出秘密密钥sk_s，使用秘密密钥sk_s，通过签名算法Sig生成签名σ_s(σ_s←Sig_{sk_s}(g^b))，并经由密钥交换算法部103将(g^b,σ_s)发送到各密钥交换装置200-i。进一步地，共享秘密密钥共享部106使用从各个密钥交换装置200-i接收到的g^a_i和生成的随机数b来生成g^a_ib，并且使用用于生成AES密钥的算法KeyGen来生成key_i ⁰←KeyGen(g^a_ib)。共享秘密密钥共享部106将key_i ⁰(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部102中。

3.各密钥交换装置200-i的共享秘密密钥共享部206接收(g^b,σ_s ⁰)，使用长期公开密钥SPK_s中包含的pk_s和验证算法Ver，验证签名σ_s ⁰(1or⊥←Ver_{pk_s}(g^b,σ_s ⁰))。共享秘密密钥共享部206在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部206在验证成功的情况下(输出了1的情况下)，使用由密钥交换装置200-i生成的随机数a_i和从密钥交换服务器装置100接收到的g^b来生成g^a_ib，并且使用用于生成AES密钥的算法KeyGen来生成key_i ⁰←KeyGen(g^a_ib)。共享秘密密钥共享部206将key_i ⁰(这里，i是与密钥交换装置200-i对应的一个值)作为共享秘密密钥存储在共享秘密密钥存储部202中。

通过到此为止的处理，密钥交换服务器装置100和密钥交换装置200-i共享共享秘密密钥key_i ⁰。

·Dist:

(State Update at New Time Frame)

在特定的TF_ti开始进行会话的密钥交换装置200-i与密钥交换服务器装置100进行以下的处理。

1.密钥交换服务器装置100的密钥交换算法部203在存在来自密钥交换装置200-i的连接请求的情况下，密钥交换服务器装置100的密钥交换算法部203根据与当前时刻对应的特定区间的时间time_ji和用户标识符u_i生成A_i＝(u_i,time_ji)，并将A_i＝(u_i,time_ji)设为属性信息。其中，若将包含特定区间的时间time_ji的特定区间的时间的集合设为TF_ji:＝{time_{ji_1},time_{ji_2},…,time_{ji_tn}}，则ji是与ji_1,ji_2,…,ji_tn中的当前时刻对应的值。密钥交换服务器装置100的密钥交换算法部203是基于属性的加密的加密算法，使用用于生成与用户的属性信息对应的密钥的算法Der，根据Params、msk、A_i生成用户的属性秘密密钥usk_i(usk_i←Der(Params,msk,A_i))。进一步地，密钥交换算法部203获取密钥交换装置200-i的公开密钥pk_i，使用公开密钥pk_i通过公开密钥加密方式的加密算法Enc对usk_i进行加密(CT_i←Enc_{pk_i}(usk_i))，并将密文CT_i发送到密钥交换装置200-i。这里，i＝1,2,…,n。

2.各密钥交换装置200-i接收密文CT_i，从秘密密钥存储部201中取出秘密密钥sk_i，通过公开密钥加密方式的解密算法Dec对密文CT_i进行解密(usk_i←Dec_{sk_i}(CT_i))，将属性秘密密钥usk_i保存在未图示的存储部state_i中。(Round1 for Users)

1.各密钥交换装置200-i的密钥交换算法部203生成r～_i∈_R{0,1}^k、r～'_i∈_RKspace_κ、k～_i∈_R{0,1}^k、k～'_i∈_RKspace_κ、s～_i∈_R{0,1}^k、s～'_i∈_RKspace_κ，保存在未图示的存储部ESK_i中。并且，认证信息附加部205生成r_i＝tPRF(r～_i,r～'_i,st_i,st'_i)、k_i＝tPRF(k～_i,k～'_i,st_i,st'_i)、s_i＝tPRF(s～_i,s～'_i,st_i,st'_i)。进一步地，认证信息附加部205生成R_i＝g^r_i、C_i＝g^k_ih^s_i。

2.各密钥交换装置200-i的认证信息附加部205从共享秘密密钥存储部202中取出共享秘密密钥key_i ^j-1，通过公开密钥加密方式的加密算法Enc，根据生成的R_i和C_i，由下式计算密文c_i ¹：

c_i ¹＝Enc_(key_i ^j-1)(R_i,C_i)

认证信息附加部205将(R_i,C_i,c_i ¹)经由密钥交换算法部203发送给密钥交换服务器装置100。其中，Enc_(key_i ^j-1)意为：

此外，在本实施方式中，由于采用了共享秘密密钥固定方式，因而key_i ^j-1＝key_i ⁰。(Round1 for Server)

1.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从各密钥交换装置200-i获取(R_i,C_i,c_i ¹)，从共享秘密密钥存储部202取出共享秘密密钥key_i ^j-1，通过公开密钥加密方式的加密算法Enc计算Enc_(key_i ^j-1)(R_i,C_i)，验证计算结果是否与c_i ¹相等。认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

2.密钥交换服务器装置100的密钥交换算法部103从各密钥交换装置200-i获取(R_i,C_i,c_i ¹)，计算sid＝TCR(C₁,…,C_n)，并选择一个代表用户。在本实施方式中，将用户u₁作为代表用户。认证信息附加部105使用sid和R₁,…,R_n，通过公开密钥加密方式的加密算法Enc计算c_{sev_i} ¹＝Enc_(key_i ^j-1)(sid,R_i-1,R_i+1)，经由密钥交换算法部103向各密钥交换装置200-i发送(sid,R_i-1,R_i+1,c_{sev_i} ¹)。密钥交换算法部103还在这时对代表用户传达其为代表用户。

(Round2 for Users)

1.i∈[1,n]的密钥交换装置200-i的认证信息验证部204经由密钥交换算法部203从密钥交换服务器装置100获取(sid,R_i-1,R_i+1,c_{sev_i} ¹)，通过公开密钥加密方式的加密算法Enc计算Enc_(key_i ^j-1)(sid,R_i-1,R_i+1)，验证计算结果是否与c_{sev_i} ¹相等。

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203计算K_i ^(l)＝F(sid,R_i-1 ^r_i)、K_i ^(r)＝F(sid,R_i+1 ^r_i)、T_i＝K_i ^(l)xor K_i ^(r)，使用公开密钥加密方式的加密算法Enc计算c_i ²＝Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid)，并经由密钥交换算法部203对密钥交换服务器装置100发送(k_i,s_i,T_i,c_i ²)。

3.作为代表用户的用户u₁的密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝F(sid,R_n ^r_1)、K₁ ^(r)＝F(sid,R₂ ^r_1)、T₁＝K₁ ^(l)xor K₁ ^(r)、T'＝K₁ ^(l)xor(k₁||s₁)，使用公开密钥加密方式的加密算法Enc计算c₁ ²＝Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid)，经由密钥交换算法部203对密钥交换服务器装置100发送(T₁,T',c₁ ²)。

(Round2 for Server)

1.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从i∈[2,n]的密钥交换装置200-i获取(k_i,s_i,T_i,c_i ²)，通过公开密钥加密方式的加密算法Enc，计算Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid)，并验证计算结果是否与c_i ²相等。认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

2.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从作为代表用户的用户u₁的密钥交换装置200-1获取(T₁,T',c₁ ²)，并通过公开密钥加密方式的加密算法Enc计算Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid)，验证计算结果是否与c₁ ²相等。认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

3.密钥交换服务器装置100的密钥交换算法部103生成k_S～∈_R{0,1}^k、k_S～'∈_RKspace_κ、K₁～∈_R{0,1}^k、K₁～'∈_RKspace_κ，计算k_S＝tPRF(k_S～,k_S～',st_s,st'_s)、K₁＝tPRF(K₁～,K₁～',st_s,st'_s)和k'＝(xor_2≦i≦n k_i)xor k_s。

4.密钥交换服务器装置100的密钥交换算法部103对i∈[2,n]的密钥交换装置200-i计算T_i'＝(xor_1≦j≦i-1T_j)。

5.密钥交换服务器装置100的密钥交换算法部103对i∈[1,n]的密钥交换装置200-i，计算P_i:＝(ID＝U_i)∧(time∈TF)、CT_i'＝AEnc(Params,P_i,K₁)。

6.密钥交换服务器装置100的认证信息附加部105，对i∈[2,n]的密钥交换装置200-i，通过公开密钥加密方式的加密算法Enc，计算c_{sev_i} ²＝Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')，并将(c₁,k',T'_i,T',CT_i',c_{sev_i} ²)经由密钥交换算法部103发送给i∈[2,n]的密钥交换装置200-i。

7.密钥交换服务器装置100的认证信息附加部105，对作为代表用户的用户u₁的密钥交换装置200-1，通过公开密钥加密方式的加密算法Enc，计算c_{sev_1} ²＝Enc_(key_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)，经由密钥交换算法部103将(k',CT₁',c_{sev_1} ²)发送给密钥交换装置200-1。

(Session Key Generation and Post Computation)

1.i∈[2,n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(c₁,k',sid,T'_i,T',CT_i',c_{sev_i} ²)，并通过公开密钥加密方式的加密算法Enc，计算Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')，验证计算结果是否与c_{sev_i} ²相等。认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝T'_ixor K_i ^(l)和k₁||s₁＝T'xor K₁ ^(l)，并通过基于属性的加密的解密算法ADec，由下式对密文CT'_i进行解密：

K₁←ADec_{usk_i}(CT'_i,P_i)。

进一步地，密钥交换算法部203计算K₂＝F'(sid,k'xor k₁)，并根据SK＝F”(sid,K₁)xor F”(sid,K₂)求取会话密钥SK。

3.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203将sid、H_i ^(l)＝R_i-1 ^r_i、H_i ^(r)＝R_i+1 ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

4.作为代表用户的用户u₁的密钥交换装置200-1的认证信息验证部204经由密钥交换算法部203从密钥交换服务器装置100获取(k',CT₁',c_{sev_1} ²)，通过公开密钥加密方式的加密算法Enc，计算Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)，验证计算结果是否与c_{sev_1} ²相等。认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

5.密钥交换装置200-1的密钥交换算法部203通过基于属性的加密的解密算法ADec，由下式对密文CT'₁进行解密：

K₁←ADec_{usk_1}(CT'₁,P₁)。

此外，密钥交换算法部203计算K₂＝F'(sid,k'xor k₁)，并通过SK＝F”(sid,K₁)xorF”(sid,K₂)求得会话密钥SK。

6.密钥交换装置200-1的密钥交换算法部203将sid、H₁ ^(l)＝R_n ^r_i、H₁ ^(r)＝R₂ ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

<效果>

通过采用这样的结构，能够得到与第一实施方式相同的效果。

<第三实施方式的要点>

以与第一实施方式不同的部分为中心进行说明。

在第三实施方式中，采用共享秘密密钥更新方式。在共享秘密密钥更新方式中，除了共享秘密密钥固定方式的步骤之外，在密钥交换算法共享会话密钥之前，还包括以下的步骤：

共享秘密密钥更新步骤：

在第j次会话密钥交换之前，在密钥交换装置200-i和密钥交换的对方的密钥交换装置200-m之间，密钥交换装置200-i和密钥交换的对方的密钥交换装置200-m使用自身的长期秘密密钥SSK和第j次以前(即k<j)的共享秘密密钥key_i ^k，进行密钥共享，共享第j次共享秘密密钥key_i ^j。在此时的通信中，密钥交换装置200-i和密钥交换的对方的密钥交换装置200-m，利用自身的长期秘密密钥SSK和第j次以前(即k<j)的共享秘密密钥key_i ^k，在附加用于防止冒充和篡改的信息的同时进行共享。共享后，密钥交换装置200-i和密钥交换的对方的密钥交换装置200-m保存新的共享秘密密钥key_i ^j。

<第三实施方式>

第一实施方式和第三实施方式在setup、初次共享秘密密钥共享步骤、(Round2for Users)、(Round2 for Server)以及(Session Key Generation and PostComputation)中的处理内容不同。以不同的部分为中心进行说明。

·Setup：

在第三实施方式中，以不使用基于属性的加密的实施例进行描述。另外，本说明书中描述的所有实施方式可以使用基于属性的加密构成，也可以不使用基于属性的加密构成。

1.各用户u_i所利用的密钥交换装置200-i的密钥交换算法部203以k为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_i、公开密钥pk_i((sk_i,pk_i)←Gen(1^k))。进一步地，密钥交换装置200-i的密钥交换算法部203以k为安全参数，生成由随机比特串构成的秘密信息(st_i,st'_i)(st_i∈_RKspace_κ、st'_i∈_R{0,1}^k)。

密钥交换算法部203将(sk_i,st_i,st'_i)作为长期秘密密钥SSK_i保存在秘密密钥存储部201中，使用PKI等将公开密钥pk_i与用户关联的技术，将pk_i作为长期公开密钥SPK_i向密钥交换服务器装置100公开。

2.密钥交换服务器装置100的密钥交换算法部103以k为安全参数，使用公开密钥加密方式(Gen,Enc,Dec)的密钥生成算法Gen，生成公开密钥加密方式的秘密密钥sk_s、公开密钥pk_s((sk_s,pk_s)←Gen(1^k))。进一步地，密钥交换算法部103以k为安全参数，生成由随机比特串构成的秘密信息(st_s,st'_s)(st_s∈_RKspace_κ、st'_s∈_R{0,1}^k)。

密钥交换算法部103将(sk_s,st_s,st'_s)作为长期秘密密钥SSK_s保存在秘密密钥存储部101中，使用PKI等将公开密钥pk_s与用户关联的技术，将(p,G,g,h,TCR,tPRF,tPRF',F,F',F”,F”',pk_s)作为长期公开密钥SPK_s保存在未图示的存储部中，并向各密钥交换装置200-i公开。

·初次共享秘密密钥共享步骤：

1.各密钥交换装置200-i的共享秘密密钥共享部206获取长期公开密钥SPK_s，使用长期公开密钥SPK_s中包含的tPRF，根据a～_i∈_R{0,1}^κ、a～_i'∈_RKspace_κ、a_i＝tPRF(a～_i,a～_i',st_i,st'_i)，求取a_i，将(a～_i,a～_i')保存在未图示的存储部ESK_i中，生成g^a_i。共享秘密密钥共享部206从秘密密钥存储部201中取出秘密密钥sk_i，使用秘密密钥sk_i，通过签名算法Sig生成签名σ_i ⁰(σ_i ⁰←Sig_{sk_i}(g^a_i))，经由密钥交换算法部203将(g^a_i,σ_i ⁰)发送到密钥交换服务器装置100。

2.密钥交换服务器装置100的共享秘密密钥共享部106接收(g^a_i,σ_i ⁰)，并使用验证算法Ver验证签名σ_i ⁰(1or⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共享秘密密钥共享部106在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部106在验证成功的情况下(输出了1的情况下)，继续密钥交换算法。

共享秘密密钥共享部106对于各密钥交换装置200-i，使用tPRF，根据b～_i∈_R{0,1}^κ、b～_i'∈_RKspace_κ、b_i＝tPRF(b～_i,b～_i',st_s,st'_s)求取b_i，将(b～_i,b～_i')保存在未图示的存储部ESK_s中，生成g^b_i。

共享秘密密钥共享部106从秘密密钥存储部101中取出秘密密钥sk_s，使用秘密密钥sk_s，通过签名算法Sig生成签名σ_s ⁰(σ_s ⁰←Sig_{sk_s}(g^b_i))，经由密钥交换算法部103向各密钥交换装置200-i发送(g^b_i,σ_s ⁰)。进一步地，共享秘密密钥共享部106使用从各个密钥交换装置200-i接收到的g^a_i和生成的随机数b_i来生成g^a_ib_i，并且使用用于生成MAC密钥的算法MGen来生成mk_i ⁰←MGen(g^a_ib_i)。共享秘密密钥共享部106将mk_i ⁰(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部102中。

3.各密钥交换装置200-i的共享秘密密钥共享部206接收(g^b_i,σ_s ⁰)，使用长期公开密钥SPK_s中包含的pk_s和验证算法Ver，验证签名σ_s ⁰(1or⊥←Ver_{pk_s}(g^b_i,σ_i ⁰))。共享秘密密钥共享部206在验证失败的情况下(输出了⊥的情况下)，停止密钥交换算法。共享秘密密钥共享部206在验证成功的情况下(输出了1的情况下)，使用由密钥交换装置200-i生成的a_i和从密钥交换服务器装置100接收的g^b_i来生成g^a_ib_i，并且使用用于生成MAC密钥的算法MGen来生成mk_i ⁰←MGen(g^a_ib_i)。共享秘密密钥共享部206将mk_i ⁰(这里，i是与密钥交换装置200-i对应的一个值)作为共享秘密密钥存储在共享秘密密钥存储部202中。

通过到此为止的处理，密钥交换服务器装置100和密钥交换装置200-i共享共享秘密密钥mk_i ⁰。

(Round2 for Users)

1.i∈[1，n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(sid,R_i-1,R_i+1,σ_{sev_i} ¹)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(sid,R_i-1,R_i+1,σ_{sev_i} ¹)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203计算K_i ^(l)＝F(sid,R_i-1 ^r_i)、K_i ^(r)＝F(sid,R_i+1 ^r_i)、T_i＝K_i ^(l)xor K_i ^(r)。共享秘密密钥共享部206进一步根据d～_i∈_R{0,1}^κ、d～_i'∈_RKspace_κ、d_i＝tPRF(d～_i,d～_i',st_i,st'_i)求取d_i，将(d～_i,d～_i')保存在未图示的存储部ESK_i中，生成g^d_i。共享秘密密钥共享部206使用签名算法Tag计算签名σ_i ²(σ_i ²＝Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,g^d_i))，并经由密钥交换算法部203对密钥交换服务器装置100发送(k_i,s_i,T_i,g^d_i,σ_i ²)。

3.作为代表用户的用户u₁的密钥交换算法部203计算K₁ ^(l)＝F(sid,R_n ^r_i)、K₁ ^(r)＝F(sid,R₂ ^r_i)、T₁＝K₁ ^(l)xor K₁ ^(r)、T'＝K₁ ^(l)xor(k₁||s₁)。共享秘密密钥共享部206进一步根据d～₁∈_R{0,1}^κ、d～₁'∈_RKspace_κ、d₁＝tPRF(d～₁,d～₁',st₁,st'₁)求取d₁，将(d～₁,d～₁')保存在未图示的存储部ESK₁中，生成g^d_1。共享秘密密钥共享部206使用签名算法Tag计算签名σ_i ²(σ_i ²＝Tag_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,g^d_1))，经由密钥交换算法部203对密钥交换服务器装置100发送(T_i,T',g^d_1,σ_i ²)。

(Round2 for Server)

1.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从i∈[2,n]的密钥交换装置200-i获取(k_i,s_i,T_i,g^d_i,σ_i ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,g^d_i,σ_i ²)

认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

2.密钥交换服务器装置100的认证信息验证部104经由密钥交换算法部103从作为代表用户的用户u₁的密钥交换装置200-1获取(k_i,s_i,T_i,g^d_1,σ_i ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(k_i,s_i,T_i,g^d_1,σ_i ²)

认证信息验证部104若验证失败则停止密钥交换算法。认证信息验证部104仅在验证成功的情况下继续密钥交换算法。

3.密钥交换服务器装置100的密钥交换算法部103生成k_S～∈_R{0,1}^*、k_S～'∈_RKspace_κ、K₁～∈_R{0,1}^*、K₁～'∈_RKspace_κ，计算k_S＝tPRF(k_S～,k_S～',st_s,st'_s)、K₁＝tPRF(K₁～,K₁～',st_s,st'_s)和k'＝(xor_2≦i≦n k_i)xor k_s。

4.共享秘密密钥共享部106根据e～_i∈_R{0,1}^κ、e～_i'∈_RKspace_κ、e_i＝tPRF(e～_i,e～_i',st_i,st'_i)，求取e_i，将(e～_i,e～_i')保存在未图示的存储部ESK_s中，生成g^e_i。进一步地，共享秘密密钥共享部106使用从各个密钥交换装置200-i接收到的g^d_i和生成的g^e_i，生成g^d_ie_i，使用用于生成MAC密钥的算法MGen，生成mk_i ¹←MGen(g^d_ie_i)。共享秘密密钥共享部106将mk_i ¹(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部102中，删除mk_i ⁰。

5.密钥交换服务器装置100的密钥交换算法部103对i∈[2,n]的密钥交换装置200-i计算T_i'＝(xor_1≦j≦i-1T_j)。

6.密钥交换服务器装置100的认证信息附加部105对i∈[2,n]的密钥交换装置200-i，使用签名算法Tag，由下式计算签名σ_i ²：

σ_i ²＝Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',g^e_i)

进一步地，认证信息附加部105将(c₁,k',sid,T'_i,T',g^e_i,σ_i ²)经由密钥交换算法部103发送给i∈[2,n]的密钥交换装置200-i。

7.密钥交换服务器装置100的认证信息附加部105对作为代表用户的用户u₁的密钥交换装置200-1，使用签名算法Tag，由下式计算签名σ_i ²：

σ₁ ²＝Tag_(mk_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',g^e_1)

进一步地，认证信息附加部105经由密钥交换算法部103将(k',g^e_1,σ₁ ²)发送到密钥交换装置200-1。

(Session Key Generation and Post Computation)

1.i∈[2,n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(c₁,k',sid,T'_i,T',g^e_i,σ_i ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',g^e_i,σ_i ²)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝T'_ixor K_i ^(l)和k₁||s₁＝T'xor K₁ ^(l)，并计算K₁＝F'(sid,k'xor k₁)。

进一步地，密钥交换算法部203通过SK＝F”(sid,K₁)求取会话密钥SK。

3.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203将sid、H_i ^(l)＝R_i-1 ^r_i、H_i ^(r)＝R_i+1 ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

进一步地，共享秘密密钥共享部206使用经由密钥交换算法部203从密钥交换服务器装置100接收到的g^e_i和在Round2 for Users中生成的g^d_i，生成g^d_ie_i，使用用于生成MAC密钥的算法MGen，生成mk_i ¹←MGen(g^d_ie_i)。共享秘密密钥共享部206将mk_i ¹(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部202中，删除mk_i ⁰。

4.作为代表用户的用户u₁的密钥交换装置200-1的密钥交换算法部203从密钥交换服务器装置100获取(k',g^e_1,σ₁ ²)，并且通过验证算法Ver，由下式进行验证：

Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',g^e_1,σ₁ ²)

密钥交换算法部203若验证失败则停止密钥交换算法。密钥交换算法部203仅在验证成功的情况下继续密钥交换算法。

5.密钥交换装置200-1的密钥交换算法部203计算K₁＝F'(sid,k'xor k₁)。进一步地，密钥交换算法部203通过SK＝F”(sid,K₁)求取会话密钥SK。

6.密钥交换装置200-1的密钥交换算法部203将sid、H₁ ^(l)＝R_n ^r_i、H₁ ^(r)＝R₂ ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

进一步地，共享秘密密钥共享部206使用经由密钥交换算法部203从密钥交换服务器装置100接收到的g^e_i和在Round2 for Users中生成的g^d_i，生成g^d_ie_i，使用用于生成MAC密钥的算法MGen，生成mk_i ¹←MGen(g^d_ie_i)。共享秘密密钥共享部206将mk_i ¹(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部202中，删除mk_i ⁰。

<效果>

通过这样的结构，能够得到与第一实施方式相同的效果。进一步地，通过更新共享秘密密钥，能够进一步提高安全性。

<变形例>

另外，尽管在本实施方式中，求取共享秘密密钥作为mk_i ⁰←MGen(g^a_ib_i)、mk_i ¹←MGen(g^d_ie_i)，但也可以求取共享秘密密钥作为seed←TCR(g^a_ib_i)、mk_i ⁰←MGen(seed)、seed←TCR(g^d_ie_i)、mk_i ¹←MGen(seed)。

在本实施方式中，对共享秘密密钥mk_i ¹进行了说明，但也可以按每一会话j更新共享秘密密钥mk_i ^j。更新时，不仅能够使用前一个共享秘密密钥mk_i ^j-1，还能够使用前一个以上的共享秘密密钥mk_i ^k(0<k<j)。另外，k的值可以通过某种方法与密钥交换的对方预先确定。

<第四实施例的要点>

以与第三实施方式不同的部分为中心进行说明。

在第四实施方式中，采用共享秘密密钥更新方式。

然而，与第三实施例不同，更新共享秘密密钥不是每次更新DH密钥，而是将上一次会话的共享秘密密钥和关联信息输入到伪随机函数的输入中，将输出的值设为被更新了的共享秘密密钥。

另外，在第四实施方式中，将关联信息设为在该会话中共享的会话密钥。

<第四实施方式>

第三实施方式和第四实施方式在(Round2 for Users)、(Round2 for Server)和(Session Key Generation and Post Computation)中的处理内容不同。以不同的部分为中心进行说明。(Round2 for Users)和(Round2 for Server)分别与第二实施方式的(Round2 for Users)和(Round2 for Server)相同。

(Session Key Generation and Post Computation)进行以下处理。另外，通过实施与第三实施方式相同的初次共享秘密密钥共享步骤，在密钥交换服务器装置100和密钥交换装置200-i之间交换mk_i ⁰。

(Session Key Generation and Post Computation)

1.i∈[2,n]的密钥交换装置200-i的认证信息验证部204，经由密钥交换算法部203从密钥交换服务器装置100获取(c₁,k',sid,T'_i,T',σ_i ²)，通过验证算法Ver，由下式进行验证：

Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',σ_i ²)

认证信息验证部204若验证失败则停止密钥交换算法。认证信息验证部204仅在验证成功的情况下继续密钥交换算法。

2.密钥交换装置200-i的密钥交换算法部203计算K₁ ^(l)＝T'_ixor K_i ^(l)とk₁||s₁＝T'xor K₁ ^(l)，并计算K₁＝F'(sid,k'xor k₁)。

进一步地，密钥交换算法部203通过SK＝F”(sid,K₁)求取会话密钥SK。

3.i∈[2,n]的密钥交换装置200-i的密钥交换算法部203将sid、H_i ^(l)＝R_i-1 ^r_i、H_i ^(r)＝R_i+1 ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

进一步地，共享秘密密钥共享部206经由密钥交换算法部203将SK和mk_i ⁰输入到伪随机函数PRF，生成mk_i ¹←PRF(SK,mk_i ⁰)。共享秘密密钥共享部206将mk_i ¹(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部202中，删除mk_i ⁰。

4.作为代表用户的用户u₁的密钥交换装置200-1的密钥交换算法部203从密钥交换服务器装置100获取(k',σ₁ ²)，并且通过验证算法Ver由下式进行验证：

Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',σ₁ ²)

密钥交换算法部203若验证失败则停止密钥交换算法。密钥交换算法部203仅在验证成功的情况下继续密钥交换算法。

5.密钥交换装置200-1的密钥交换算法部203计算K₁＝F'(sid,k'xor k₁)。进一步地，密钥交换算法部203通过SK＝F”(sid,K₁)求取会话密钥SK。

6.密钥交换装置200-1的密钥交换算法部203将sid、H₁ ^(l)＝R_n ^r_i、H₁ ^(r)＝R₂ ^r_i、r＝F”'(sid,K₁)xor F”'(sid,K₂)保存在未图示的存储部state_i中。

进一步地，共享秘密密钥共享部206经由密钥交换算法部203将SK和mk_i ⁰输入到伪随机函数PRF，生成mk_i ¹←PRF(SK,mk_i ⁰)。共享秘密密钥共享部206将mk_i ¹(其中，i＝1,2,…,n)作为共享秘密密钥保存在共享秘密密钥存储部202中，删除mk_i ⁰。

此后，按照上述算法，每当再次实施Dist、Join、Leave或Update时，使用此时共享的会话密钥SK^v(设v∈N为实施了密钥交换的次数)，在(Session Key Generation andPost Computation)阶段进行mk_i ^v←PRF(SK,mk_i ^v-1)，进行共享秘密密钥的更新。

<效果>

通过这样的结构，能够得到与第三实施方式同样的效果。

<其他的变形例>

本发明不限于上述实施方式和变形例。例如，上述各种处理不仅可以按照记载按时间序列执行，也可以根据执行处理的装置的处理能力或根据需要并行或单独地执行。另外，在不脱离本发明主旨的范围内，可能够进行适当的变更。

<程序和记录介质>

此外，也可以通过计算机实现在上述实施方式和变形例中说明的各装置中的各种处理功能。这种情况下，各装置应该具有的功能的处理内容由程序描述。而且，通过在计算机上执行该程序，在计算机上实现上述各装置中的各种处理功能。

能够将描述处理内容的程序记录在计算机可读记录介质中。作为计算机可读记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。

此外，该程序的流通，例如通过销售、转让、租借记录有该程序的DVD、CD-ROM等便携式记录介质来进行。进而，也可以通过将该程序存储在服务器计算机的存储装置中，并经由网络从服务器计算机向其他计算机转发该程序，从而使该程序流通。

执行这样的程序的计算机，例如，首先，将记录在便携式记录介质中的程序或从服务器计算机转发来的程序暂时存储在自身的存储部中。然后，在在执行处理时，该计算机读取存储在自身的存储部中的程序，并根据读取的程序执行处理。此外，作为该程序的其他实施方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理。进一步地，每当程序从服务器计算机被转发至该计算机时，也可以逐次执行按照接收到的程序的处理。此外，也可以构成为，不进行从服务器计算机向该计算机的程序的转发，仅通过其执行指示和结果获取来实现处理功能，即通过所谓的ASP(Application Service Provider：应用服务提供商)型的服务来执行上述处理。另外，程序中包含用于由电子计算机进行处理、且等同于程序的信息(虽然不是对计算机的直接指令，但具有规定计算机处理的性质的数据等)。

此外，尽管通过在计算机上执行规定的程序来构成各装置，但也可以硬件上实现这些处理内容的至少一部分。

Claims (8)

1.一种密钥交换装置，包括：

共享秘密密钥存储部，存储作为与该密钥交换装置的秘密密钥不同的信息的共享秘密信息mk_i ^k；

认证信息附加部，使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i，生成用于检测认证和篡改的认证信息σ_i；以及

认证信息验证部，从外部接收密钥交换信息e_s和与密钥交换信息e_s对应的认证信息σ_s，使用所述共享秘密信息mk_i ^k验证所述认证信息σ_s，在验证失败的情况下，停止密钥交换，

所述共享秘密信息mk_i ^k是在密钥交换的生成过程中利用的值，

其中，设i≠s，j为密钥交换的次数，k为0以上且小于j的整数中的任一个。

2.如权利要求1所述的密钥交换装置，包括：

存储部，存储该密钥交换装置的秘密密钥；以及

共享秘密密钥共享部，使用在密钥交换过程中生成的关联信息x、所述秘密密钥和所述共享秘密信息mk_i ^k，求取共享秘密信息mk_i ^j。

3.如权利要求1或权利要求2所述的密钥交换装置，其中，

所述共享秘密信息是MAC密钥或AES密钥，

在从外部接收密钥交换信息e_s时、以及在将密钥交换信息e_i输出到外部时，基于KY协议进行处理。

4.一种包括密钥交换服务器装置和n台密钥交换装置i的密钥交换系统，其中，

所述密钥交换装置i包括：

共享秘密密钥存储部，存储作为与该密钥交换装置i的秘密密钥不同的信息的共享秘密信息mk_i ^k；

认证信息附加部，使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i，生成用于检测认证和篡改的认证信息σ_i；以及

认证信息验证部，从外部接收密钥交换信息e_{s_i}和与密钥交换信息e_{s_i}对应的认证信息σ_{s_i}，使用所述共享秘密信息mk_i ^k验证所述认证信息σ_{s_i}，在验证失败的情况下，停止密钥交换，

所述密钥交换服务器装置包括：

第二共享秘密密钥存储部，存储作为不同于该密钥交换服务器装置的秘密密钥的信息的共享秘密信息mk₁ ^k,…,mk_n ^k；

第二认证信息附加部，使用共享秘密信息mk₁ ^k,…,mk_n ^k，对向外部输出的密钥交换信息e_{s_1},…,e_{s_n}生成用于检测认证和篡改的认证信息σ_{s_1},…,σ_{s_n}；以及

第二认证信息验证部，从外部接收密钥交换信息e₁,…,e_n和分别与密钥交换信息e₁,…,e_n对应的认证信息σ₁,…,σ_n，使用所述共享秘密信息mk₁ ^k,…,mk_n ^k分别验证所述认证信息σ₁,…,σ_n，在验证失败的情况下，停止与失败的密钥交换装置的密钥交换，

其中，设i≠s，i＝1,2,…,n，j为密钥交换的次数，k为0以上且小于j的整数中的任一个。

5.如权利要求4所述的密钥交换系统，其中，

所述共享秘密信息是MAC密钥或AES密钥，

在从外部接收密钥交换信息e₁,…,e_n时、以及向外部输出密钥交换信息e_{s_1},…,e_{s_n}时，基于KY协议进行处理。

6.一种使用密钥交换装置的密钥交换方法，其中，

在所述密钥交换装置的共享秘密密钥存储部中，存储有作为与所述密钥交换装置的秘密密钥不同的信息的共享秘密信息mk_i ^k，

所述方法包括：

认证信息附加步骤，所述密钥交换装置使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i生成用于检测认证和篡改的认证信息σ_i；以及

认证信息验证步骤，所述密钥交换装置从外部接收密钥交换信息e_s和与密钥交换信息e_s对应的认证信息σ_s，使用所述共享秘密信息mk_i ^k验证所述认证信息σ_s，在验证失败的情况下，停止密钥交换，

其中，设i≠s，j为密钥交换的次数，k为0以上且小于j的整数中的任一个。

7.一种使用密钥交换服务器装置和n台密钥交换装置i的密钥交换方法，其中，

在所述密钥交换装置i的共享秘密密钥存储部中，存储有作为与所述密钥交换装置i的秘密密钥不同的信息的共享秘密信息mk_i ^k，在所述密钥交换服务器装置的共享秘密密钥存储部中，存储有作为与该密钥交换服务器装置的秘密密钥不同的信息的共享秘密信息mk₁ ^k,…,mk_n ^k，

所述方法包括：

初次共享秘密密钥共享步骤，在所述密钥交换服务器装置与所述n台密钥交换装置i之间分别共享共享秘密信息mk_i ^k；

认证信息附加步骤，所述密钥交换装置i使用共享秘密信息mk_i ^k，对向外部输出的密钥交换信息e_i生成用于检测认证和篡改的认证信息σ_i；

第二认证信息验证步骤，所述密钥交换服务器装置从外部接收密钥交换信息e₁,…,e_n以及分别与密钥交换信息e₁,…,e_n对应的认证信息σ₁,…,σ_n，使用所述共享秘密信息mk₁ ^k,…,mk_n ^k分别验证所述认证信息σ₁,…,σ_n，在验证失败的情况下，停止与失败的密钥交换装置的密钥交换；

第二认证信息附加步骤，所述密钥交换服务器装置使用共享秘密信息mk₁ ^k,…,mk_n ^k，对向外部输出的密钥交换信息e_{s_1},…,e_{s_n}生成用于检测认证和篡改的认证信息σ_{s_1},…,σ_{s_n}；以及

认证信息验证步骤，所述密钥交换装置i从外部接收密钥交换信息e_{s_i}和与密钥交换信息e_{s_i}对应的认证信息σ_{s_i}，使用所述共享秘密信息mk_i ^k验证所述认证信息σ_{s_i}，在验证失败的情况下，停止密钥交换，

其中，设i≠s，i＝1,2,…,n，j为密钥交换的次数，k为0以上且小于j的整数中的任一个。

8.一种密钥交换程序，用于使计算机作为权利要求1至权利要求3中任一项所述的密钥交换装置发挥功能。

Images