JP2011147060A - Id base authentication key exchange system, authentication key exchange method, authentication key exchange device and program thereof, and recording medium - Google Patents

Id base authentication key exchange system, authentication key exchange method, authentication key exchange device and program thereof, and recording medium Download PDF

Info

Publication number
JP2011147060A
JP2011147060A JP2010007982A JP2010007982A JP2011147060A JP 2011147060 A JP2011147060 A JP 2011147060A JP 2010007982 A JP2010007982 A JP 2010007982A JP 2010007982 A JP2010007982 A JP 2010007982A JP 2011147060 A JP2011147060 A JP 2011147060A
Authority
JP
Japan
Prior art keywords
key
short
authentication
information
authentication key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010007982A
Other languages
Japanese (ja)
Other versions
JP5457848B2 (en
Inventor
Kotaro Suzuki
幸太郎 鈴木
Atsushi Fujioka
淳 藤岡
Usutago Belcanto
ウスタゴ ベルカント
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010007982A priority Critical patent/JP5457848B2/en
Publication of JP2011147060A publication Critical patent/JP2011147060A/en
Application granted granted Critical
Publication of JP5457848B2 publication Critical patent/JP5457848B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an ID base authentication key exchange system capable of certifying security. <P>SOLUTION: Authentication key exchange devices A and B which exchange authentication keys with each other are respectively given private keys D<SB>A</SB>=Q<SB>A</SB><SP>s</SP>and D<SB>B</SB>=Q<SB>B</SB><SP>s</SP>from a key issuing device in advance, and the authentication key exchange device A generates Z<SP>yA</SP>and X<SB>A</SB>=g<SP>yA</SP>by using a short term secrete key y<SB>A</SB>, and generates authentication key generation parameters σ<SB>1</SB>=e(D<SB>A</SB>Z<SP>yA</SP>, Q<SB>B</SB>X<SB>B</SB>), σ<SB>2</SB>=e(D<SB>A</SB>, Q<SB>B</SB>), and σ<SB>3</SB>=X<SB>B</SB><SP>yA</SP>from X<SB>B</SB>received from B and generated Q<SB>B</SB>=H<SB>1</SB>(ID<SB>B</SB>), and calculates a common key K=H(σ<SB>1</SB>, σ<SB>2</SB>, σ<SB>3</SB>, C<SB>m</SB>). The device B generates Z<SP>yB</SP>and X<SB>B</SB>=g<SP>yB</SP>by using a short term private key y<SB>B</SB>, and generates authentication key generation parameters σ<SB>1</SB>=e(Q<SB>A</SB>X<SB>A</SB>, D<SB>B</SB>Z<SP>yB</SP>), σ<SB>2</SB>=e(Q<SB>A</SB>, D<SB>B</SB>), and σ<SB>3</SB>=X<SB>A</SB><SP>yB</SP>from X<SB>A</SB>received from A and generated Q<SB>A</SB>=H<SB>1</SB>(ID<SB>A</SB>), and calculates a common key K=H(σ<SB>1</SB>, σ<SB>2</SB>, σ<SB>3</SB>, C<SB>m</SB>). <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は情報セキュリティ技術の分野における認証鍵交換、特に、IDベース認証鍵交換システム、それに使用される認証交換方法、認証鍵交換装置、及びそのプログラムと記録媒体に関する。   The present invention relates to authentication key exchange in the field of information security technology, in particular, an ID-based authentication key exchange system, an authentication exchange method used therefor, an authentication key exchange device, a program thereof, and a recording medium.

安全性が保障されていないネットワークを介して2者間で情報の交換を安全に行う技術の1つとして2者が共通の秘密鍵(以下、共通鍵と呼ぶ)を共有し、互いに情報を共通鍵により暗号化して送信し、受信した暗号化情報を共通鍵により復号化する技術がある。このような共有鍵暗号化方式においては、2者間で予め共有鍵を安全に共有する(鍵交換する)必要がある。その技術の1つとしてペアリング技術を用いたIDベース認証鍵交換方式が提案されている(非特許文献1)。   As a technology for securely exchanging information between two parties over a network where security is not guaranteed, the two parties share a common secret key (hereinafter referred to as a common key) and share information with each other. There is a technique of encrypting and transmitting with a key and decrypting received encrypted information with a common key. In such a shared key encryption method, it is necessary to securely share (key exchange) a shared key between two parties in advance. As one of the techniques, an ID-based authentication key exchange method using a pairing technique has been proposed (Non-Patent Document 1).

このIDベース認証鍵交換方式について以下に説明する。ユーザUA,UBの端末装置及び鍵発行装置がネットワークを介して接続されており、ユーザUA,UB間で鍵交換を行うものとする。鍵発行装置は公開パラメータとして、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
を公開しているものとする。 This ID-based authentication key exchange method will be described below. User U A, the terminal apparatus and the key issuing apparatus U B is connected via a network, the user U A, and performs key exchange between U B. The key issuing device is a public parameter
G, G T : a cyclic group whose order is a prime number q of k bits,
g: G generation source,
g T = e (g, g): G T generator,
e (g, g): Bilinear function with G × G → G T pairing,
H: Hash function for converting arbitrary bit length information {0, 1} * into k bit length information {0, 1} k ,
H 1 : Hash function for converting arbitrary bit length information {0, 1} * into G elements,
ID prot : Name of the key exchange method,
Is open to the public.

鍵発行装置は、マスタ鍵s∈Zqをランダムに選び、マスタ公開鍵Z=gs∈Gを公開する。また、ユーザUiから与えられた識別子IDi∈{0, 1}*に対し、ユーザ情報
Qi=H1(IDi) ∈G
を計算し、マスタ秘密鍵sを用いてユーザ秘密鍵
Di=Qi s∈G
を生成し、ユーザUiに与える。ここで、iはユーザを区別するインデックスであり、ここではユーザUA,UBに対しそれぞれi=A,i=Bである。 The key issuing device randomly selects a master key sεZ q and discloses the master public key Z = g s εG. In addition, for the identifier ID i ∈ {0, 1} * given by the user U i , the user information
Q i = H 1 (ID i ) ∈ G
And the user secret key using the master secret key s
D i = Q i s ∈G
Is generated and given to the user U i . Here, i is an index for distinguishing users, and here, i = A and i = B for the users U A and U B , respectively.

識別子IDAとユーザ秘密鍵DA=QA s∈Gを有するユーザUAと、識別子IDBとユーザ秘密鍵DB=QB s∈Gを有するユーザUBは、以下のようにして認証鍵交換を行なう。
ステップS1:ユーザUAは、短期秘密鍵yA∈Zqをランダムに選択し、短期公開鍵 The user U A having identifier ID A and user private key D A = Q A s ∈G, user U B having an identifier ID B and user private key D B = Q B s ∈G the authentication in the following manner Perform key exchange.
Step S1: The user U A randomly selects the short-term secret key y A ∈Z q and the short-term public key

Figure 2011147060
を計算し、(IDprot, IDA, IDB, XA)をユーザUBに送る。
ステップS2:ユーザUBは(IDprot, IDA, IDB, XA)を受信し、短期秘密鍵yB∈Zqをランダムに選択し、短期公開鍵
Figure 2011147060
 And (ID prot , ID A , ID B , X A ) is sent to user U B.
Step S2: The user U B receives (ID prot , ID A , ID B , X A ), selects the short-term secret key y B ∈Z q at random, and the short-term public key

Figure 2011147060
を計算し、(IDprot, IDA, IDB, XA, XB)をユーザUAに送る。
ステップS3:ユーザUBは共有鍵生成パラメータ
Figure 2011147060
 And (ID prot , ID A , ID B , X A , X B ) is sent to user U A.
Step S3: User U B is a shared key generation parameter

Figure 2011147060
を計算し、共有鍵
Figure 2011147060
 Calculate the shared key

Figure 2011147060
を計算する。
ステップS4:ユーザUAは(IDprot, IDA, IDB, XA, XB)を受信し、共有鍵生成パラメータ
Figure 2011147060
 Calculate
Step S4: The user U A receives (ID prot , ID A , ID B , X A , X B ), and generates a shared key generation parameter

Figure 2011147060
を計算し、共有鍵
Figure 2011147060
 Calculate the shared key

Figure 2011147060
を計算する。ここで、ユーザUAが式(6) により計算した共有鍵Kと、ユーザUBが式(3) により計算した共有鍵Kが互いに同じものとなることが次のように証明される。
Figure 2011147060
 Calculate Here, it is proved as follows that the shared key K calculated by the user U A according to the equation (6) and the shared key K calculated by the user U B according to the equation (3) are the same.

まず、G上の任意の点V,Wに対してG×G→GTで定義されるペアリング関数e(V, W)は次の性質を持つことが知られている。 First, it is known that a pairing function e (V, W) defined by G × G → G T with respect to arbitrary points V and W on G has the following properties.

e(aV, bW)=e(V, W)ab=e(bV, aW) (7)
そこで、ユーザ情報を e (aV, bW) = e (V, W) ab = e (bV, aW) (7)
So user information

Figure 2011147060
とおき、
Figure 2011147060
 Toki,

Figure 2011147060
を使えば、ユーザUBの共有鍵生成パラメータσ1及びσ3は、
Figure 2011147060
 , The shared key generation parameters σ 1 and σ 3 of user U B are

Figure 2011147060
となる。一方、ユーザUAの共有鍵生成パラメータσ1及びσ2は、
Figure 2011147060
 It becomes. On the other hand, the shared key generation parameters σ 1 and σ 2 of the user U A are

Figure 2011147060
となり、これらはユーザUBの式(8), (9)により計算した共有鍵生成パラメータと一致する。従って、ユーザUA側とユーザUB側の式(3) 及び(6) による共有鍵Kの計算結果も一致する。これにより共有鍵Kが両者UA,UB間で共有されることが証明された。
Figure 2011147060
 Next, these equations of the user U B (8), consistent with the shared key generation parameters calculated by (9). Therefore, the calculation results of the shared key K according to the equations (3) and (6) on the user U A side and the user U B side also coincide. This proves that the shared key K is shared between both U A and U B.

L. Chen, Z. Cheng, N.P. Smart, "Identity-based key agreement protocols from parings", Int. J. Inf. Sec. 6(4): 213-241 (2007)L. Chen, Z. Cheng, N.P. Smart, "Identity-based key agreement protocols from parings", Int. J. Inf. Sec. 6 (4): 213-241 (2007)

ところが、上述の従来技術においては、短期秘密鍵xA, xBの漏洩を考慮したeCK(extended Canetti-Krawzcyk)モデル(参考文献:B. LaMacchia, K. Lauter and A. Mityagin, "Stronger security of authenticated key exchange" in W. Susilo, J.K. Liu and Y. Mu, editors, Provable Security: First International Conference, ProvSec 2007, Vol. 4784 of LNCS, pages 1-16, Springer Verlag, 2007)では安全性の証明ができないという問題があった。この発明の目的は、短期秘密鍵が漏洩しても安全性が保てるeCKモデルでの安全性の証明が可能なIDベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体を提供することである。 However, in the conventional technique described above, the short-term private key x A, eCK (extended Canetti- Krawzcyk) in consideration of the leakage of x B model (Reference:. B LaMacchia, K. Lauter and A. Mityagin, "Stronger security of authenticated key exchange "in W. Susilo, JK Liu and Y. Mu, editors, Provable Security: First International Conference, ProvSec 2007, Vol. 4784 of LNCS, pages 1-16, Springer Verlag, 2007) There was a problem that I could not. SUMMARY OF THE INVENTION An object of the present invention is to provide an ID-based authentication key exchange system, an authentication key exchange method, an authentication key exchange device, and a program and recording thereof that can prove safety in an eCK model that can maintain safety even if a short-term secret key is leaked To provide a medium.

この発明の第1の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、認証鍵交換装置BからXBを受信し、ZyA, XA, XB, DA及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DAZyA, QBXB), σ2=e(DA, QB), σ3=XB yAを生成し、共有鍵K=H(σ123,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、認証鍵交換装置AからXAを受信し、ZyB, XA, XB, DB及びQA=H1(IDA)から認証生成パラメータσ1=e(QAXA, DBZyB), σ2=e(QA, DB), σ3=XA yBを生成し、共有鍵K=H(σ123,Cm)を計算する。 According to the first aspect of the present invention, authentication keys are exchanged with each other having identifiers ID A and ID B , where G and G T are cyclic groups having a prime number q as an order and g is a generator of G. The authentication key exchange devices A and B have user secret keys D A = calculated beforehand from the key issuing device using the master secret key s from Q A = H 1 (ID A ) and Q B = H 1 (ID B ), respectively. Q A s and D B = Q B s are given, and the authentication key exchange apparatus A generates the secret key information Z yA and the short-term public key X A = g yA using the short-term secret key y A , and the authentication key It receives X B from the exchange unit B, Z yA, X a, X B, D a and Q B = the H 1 (ID B), bilinear function and pairing G × G → G T e ( g , g) to generate authentication key generation parameters σ 1 = e (D A Z yA , Q B X B ), σ 2 = e (D A , Q B ), σ 3 = X B yA K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated. The authentication key exchange device B generates secret key information Z yB , short-term public key X B = g yB using the short-term secret key y B , receives X A from the authentication key exchange device A, and receives Z yB , X A , Authentication generation parameters σ 1 = e (Q A X A , D B Z yB ), σ 2 = e (Q A , D B ), σ 3 = from X B , D B and Q A = H 1 (ID A ) X A yB is generated, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated.

この発明の第2の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、XAと認証鍵交換装置Bから受信したXBから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyA, XA, XB, DA, eA, eB及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DA eAZyA, QBXB), σ2=e(DAZyA, QB eBXB), σ3=XB yAを生成し、共有鍵K=H(σ123,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、XBと認証鍵交換装置Aから受信したXAから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyB, XA, XB, DB, eA, eB及びQA=H1(IDA)から認証生成パラメータσ1=e(QA eAXA, DBZyB), σ2=e(QAXA, DB eBZyB), σ3=XA yBを生成し、共有鍵K=H(σ123,Cm)を計算する。 According to the second aspect of the present invention, authentication keys are exchanged with each other having identifiers ID A and ID B , where G and G T are cyclic groups having a prime number q as the order and g is a generator of G. The authentication key exchange devices A and B have user secret keys D A = calculated beforehand from the key issuing device using the master secret key s from Q A = H 1 (ID A ) and Q B = H 1 (ID B ), respectively. Q A s and D B = Q B s are given, and the authentication key exchange apparatus A generates the secret key information Z yA and the short-term public key X A = g yA using the short-term secret key y A , and X A And public key information e A = H 2 (X A ), e B = H 2 (X B ) is generated from X B received from the authentication key exchange apparatus B, and Z yA , X A , X B , D A , From e A , e B and Q B = H 1 (ID B ), using the bilinear function e (g, g) with G × G → G T as the pairing, the authentication key generation parameter σ 1 = e (D A eA Z yA , Q B X B ), σ 2 = e (D A Z yA , Q B eB X B ), σ 3 = X B yA and generate the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated. The authentication key exchange apparatus B uses the short-term secret key y B to generate secret key information Z yB and short-term public key X B = g yB , and public key information e from X B and X A received from the authentication key exchange apparatus A A = H 2 (X A ), e B = H 2 (X B ) is generated, and from Z yB , X A , X B , D B , e A , e B and Q A = H 1 (ID A ) Authentication generation parameters σ 1 = e (Q A eA X A , D B Z yB ), σ 2 = e (Q A X A , D B eB Z yB ), σ 3 = X A yB = H (σ 1 , σ 2 , σ 3 , C m ) is calculated.

従来技術では共有鍵生成パラメータσ1=e(g, g)s(qA+yA)(qB+yB), σ3=gyAyBとyAとからe(g, g)sqAqBを計算できないため、eCKモデルでの安全性の証明ができなかったが、この発明によればe(g, g)sqAqBを計算できるよう3つの共有鍵生成パラメータσ1, σ2, σ3を使用するため、安全性の証明が可能となる。 In the prior art, e (g, g) sqAqB cannot be calculated from the shared key generation parameter σ 1 = e (g, g) s (qA + yA) (qB + yB) , σ 3 = g yAyB and y A Although the eCK model could not prove the security, according to the present invention, the three shared key generation parameters σ 1 , σ 2 , and σ 3 are used so that e (g, g) sqAqB can be calculated. Proof of sex becomes possible.

この発明による認証鍵交換システムの構成を示すブロック図。The block diagram which shows the structure of the authentication key exchange system by this invention. この発明における鍵発行装置の機能構成を示すブロック図。The block diagram which shows the function structure of the key issuing apparatus in this invention. 第1実施例における鍵交換を行う一方の認証鍵交換装置の機能構成を示すブロック図。The block diagram which shows the function structure of one authentication key exchange apparatus which performs the key exchange in 1st Example. 第1実施例における鍵交換を行う他方の認証鍵交換装置の機能構成を示すブロック図。The block diagram which shows the function structure of the other authentication key exchange apparatus which performs the key exchange in 1st Example. 第1実施例における認証鍵交換の手順を示すフロー図。The flowchart which shows the procedure of the authentication key exchange in 1st Example. 第2実施例における鍵交換を行う一方の認証鍵交換装置の機能構成を示すブロック図。The block diagram which shows the function structure of one authentication key exchange apparatus which performs the key exchange in 2nd Example. 第2実施例における鍵交換を行う他方の認証鍵交換装置の機能構成を示すブロック図。The block diagram which shows the function structure of the other authentication key exchange apparatus which performs the key exchange in 2nd Example. 第2実施例における認証鍵交換の手順を示すフロー図。The flowchart which shows the procedure of the authentication key exchange in 2nd Example.

以下、本発明の実施形態について図を参照して詳細に説明する。
[第1実施例]
図1はこの発明が実施されるIDベース認証鍵交換システム(以下、認証鍵交換システムと呼ぶ)の概略を示すブロック図である。認証鍵交換システムは鍵発行装置100と、複数の端末装置200A, 200Bがネットワークを介して互いに接続されて構成されている。各端末装置200A, 200Bはそれぞれこの発明による認証鍵交換装置20A, 20Bを有している。認証鍵交換は任意の2つの端末装置間で行われる。図では2つの端末装置のみ示している。端末装置200A, 200BはそれぞれユーザUA, UBにより使用されているものとする。この発明では認証鍵交換にのみ係わるので、以下では認証鍵交換装置20A, 20Bがネットワークに接続されているものとして説明する。また、ユーザUA, UBが所有している識別子IDA, IDBは便宜的に認証鍵交換装置20A, 20Bの識別子でもあることとする。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[First embodiment]
FIG. 1 is a block diagram showing an outline of an ID-based authentication key exchange system (hereinafter referred to as an authentication key exchange system) in which the present invention is implemented. The authentication key exchange system includes a key issuing device 100 and a plurality of terminal devices 200A and 200B connected to each other via a network. Each terminal device 200A, 200B has an authentication key exchange device 20A, 20B according to the present invention. The authentication key exchange is performed between any two terminal devices. In the figure, only two terminal devices are shown. The terminal devices 200A and 200B are assumed to be used by users U A and U B , respectively. Since the present invention relates only to the authentication key exchange, the following description will be made assuming that the authentication key exchange devices 20A and 20B are connected to the network. Further, identifiers ID A and ID B possessed by users U A and U B are also identifiers of authentication key exchange apparatuses 20A and 20B for convenience.

鍵発行装置100は認証鍵交換装置20AからユーザUAの識別子IDAを受けてユーザ秘密鍵DAを生成し、認証鍵交換装置20Aに与える。同様に、認証鍵交換装置20BからユーザUBの識別子IDBを受けてユーザ秘密鍵DBを生成し、認証鍵交換装置20Bに与える。認証鍵交換装置20Aと20Bはそれぞれ与えられたユーザ秘密鍵DA, DBを使って、この発明の認証鍵交換方法に従って認証鍵交換を実施する。 Key issuing apparatus 100 generates a user private key D A from the authentication key exchange unit 20A receives an identifier ID A of the user U A, giving the authentication key exchange unit 20A. Similarly, to generate a user private key D B from the authentication key exchange unit 20B receives the identifier ID B of the user U B, giving the authentication key exchange unit 20B. The authentication key exchange devices 20A and 20B perform authentication key exchange according to the authentication key exchange method of the present invention using the given user secret keys D A and D B , respectively.

図2は鍵発行装置100の機能構成を示すブロック図であり、マスタ秘密鍵選択部110と、マスタ公開鍵生成部120と、受信部130と、ハッシュ部140と、ユーザ秘密鍵生成部150と、送信部160と、制御部10と、公開パラメータ記憶部11とから構成されている。公開パラメータ記憶部11には、前述の従来技術と同様の、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
が格納されており、これら公開パラメータは公開されている。ペアリング関数として使用可能な双線形関数の例としては楕円曲線が知られている(参考文献1:"IEEE P1636.3TM /D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg])。制御部10はユーザ秘密鍵発行手順のプログラムに従って各部110〜160の動作を制御する
鍵発行装置100において、マスタ秘密鍵選択部110は、素数qによる剰余群Zqからランダムにマスタ秘密鍵sを選択する。マスタ公開鍵生成部120はマスタ秘密鍵sにより素数qをべき乗することによりマスタ公開鍵Z=qs∈Gを生成し、公開する。Z∈GはZが群Gの元であることを意味している。受信部130によりユーザUiから識別子IDiが密鍵発行要求として受信されると、ハッシュ部140は識別子Uiにハッシュ演算処理を行い、ユーザ情報Qi=H1(IDi)を得る。ユーザ秘密鍵生成部150はユーザ情報Qiをマスタ秘密鍵sでべき乗することによりユーザ秘密鍵Di=Qi s∈Gを生成し、送信部160からユーザUiに送信する。なお、iは複数のユーザを区別するインデックスであり、例えばユーザUA及びUBに対し、それぞれi=A及びi=Bである。 FIG. 2 is a block diagram showing the functional configuration of the key issuing device 100. The master secret key selection unit 110, the master public key generation unit 120, the reception unit 130, the hash unit 140, and the user secret key generation unit 150 The transmission unit 160, the control unit 10, and the public parameter storage unit 11. The public parameter storage unit 11 is similar to the above-described conventional technique,
G, G T : a cyclic group whose order is a prime number q of k bits,
g: G generation source,
g T = e (g, g): G T generator,
e (g, g): Bilinear function with G × G → G T pairing,
H: Hash function for converting arbitrary bit length information {0, 1} * into k bit length information {0, 1} k ,
H 1 : Hash function for converting arbitrary bit length information {0, 1} * into G elements,
ID prot : Name of the key exchange method,
Are stored, and these public parameters are public. An example of a bilinear function that can be used as a pairing function is an elliptic curve (Reference 1: "IEEE P1636.3TM / D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg]). The control unit 10 controls the operations of the units 110 to 160 according to the user secret key issuing procedure program. In the key issuing device 100, the master secret key selection unit 110 randomly selects the master secret key s from the remainder group Z q based on the prime number q. select. The master public key generation unit 120 generates and publicizes the master public key Z = q s ∈G by raising the prime number q to the power of the master secret key s. Z∈G means that Z is an element of the group G. When the identifier ID i is received as a secret key issue request from the user U i by the receiving unit 130, the hash unit 140 performs a hash calculation process on the identifier U i to obtain user information Q i = H 1 (ID i ). The user secret key generation unit 150 generates a user secret key D i = Q i s εG by raising the user information Q i with the master secret key s, and transmits the user secret key D i = Q i s εG to the user U i . Note that i is an index for distinguishing a plurality of users. For example, for users U A and U B , i = A and i = B, respectively.

図2の例で鍵発行装置100が生成したユーザ秘密鍵DiをユーザUiに送る場合、安全性を確保するため、例えばSSL(Secure Socket Layer)による暗号化を行って送信してもよいし、あるいは鍵発行装置100と専用回線により直接接続された端末でユーザUiが受けてもよいし、あるいは鍵発行装置100がユーザ秘密鍵Diを記録した記録媒体をユーザUiに搬送してもよいし、あるいはユーザUiがその記録媒体を鍵発行装置100から直接受け取ってもよい。 When the user secret key D i generated by the key issuing device 100 in the example of FIG. 2 is sent to the user U i , for example, it may be sent after being encrypted by SSL (Secure Socket Layer) to ensure safety. Alternatively, the user U i may receive at a terminal directly connected to the key issuing device 100 through a dedicated line, or the key issuing device 100 carries a recording medium on which the user secret key D i is recorded to the user U i. Alternatively, the user U i may receive the recording medium directly from the key issuing device 100.

図3はユーザUAの端末装置200A内の認証鍵交換装置20Aの機能構成ブロック図を示す。この第1実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ペアリング演算部28Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。記憶部21Aには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。 Figure 3 shows a functional block diagram of the authentication key exchange unit 20A in the terminal device 200A of the user U A. The authentication key exchange apparatus 20A in the first embodiment includes a storage unit 21A, a short-term secret key selection unit 22A, a short-term public key generation unit 23A, a transmission unit 24A, a power unit 25A, a reception unit 26A, a user An information generation unit 27A, a pairing calculation unit 28A, a shared key calculation unit 29A, and a control unit 201A that controls operations of these units are configured. The public parameter (G, G T , g, g T , e, H, H 1 , ID prot ), the master public key Z, the identifier ID A of the user U A , and the like are stored in advance in the storage unit 21A. Information necessary for the arithmetic processing of each unit is read and used.

認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、ZyAを生成する。 Send authentication key exchange unit 20A from the transmission unit 24A identifier ID A of the user U A to the key issuing apparatus 100 as the secret key issue request, the user's private key D A, issued from the key issuing apparatus 100 received by the receiver 26A Is done. Short-term secret key selecting unit 22A selects the short-term private key y A randomly from the remainder group Z q for prime q. The short-term public key generation unit 23A generates a short-term public key X A = g yA by raising g to the power of the short-term secret key y A. Short-term public key X A is transmitted together with the identifier U A from the transmitter unit 24A to the authentication key exchange unit 20B of the user U B. Power unit 25A is raised to the power of the master public key Z in the short-term secret key y A, to produce a Z yA.

一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。ペアリング演算部28AはこれらyA, ZyA, DA, XB, QBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。 On the other hand, the short-term public key X B and the identifier ID B of the user U B are received by the receiving unit 26A from the authentication key exchange device 20B, and the user information generating unit 27A hashes the identifier ID B to obtain the user information Q B = H 1 ( ID B ) is generated. The pairing calculation unit 28A calculates the shared key generation parameters σ 1 , σ 2 , and σ 3 using these y A , Z yA , D A , X B , and Q B as follows.

Figure 2011147060
共有鍵計算部29Aはこれら共有鍵生成パラメータσ1、σ2、σ3と共有情報Cmを使ってハッシュ演算により共有鍵
K=H(σ1, σ2, σ3, Cm) (15)
を計算し、出力する。共有情報として例えばCm=(IDprot, IDA, IDB, XA, XB)を使う場合は、IDprotは使用している鍵交換方式を特定し、IDA, IDBは鍵交換を行う2者を特定し、XA, XBはセッションを特定する。これらの予め決めた任意の組み合わせを共有情報として使用してもよいし、更に他の情報を加えてもよい。このような共有情報を埋め込むことにより、ユーザUAとUB以外のユーザ間で偶然に同じ共有鍵Kが生成されてしまうことを防ぐことができる。ハッシュの対象である情報σ1, σ2, σ3, Cmの入力順序は、両認証鍵交換装置20A,20Bで同じ順序をとる限り、どのような順序でもかまわない。なお、この第1実施例の共有鍵生成パラメータσ1とσ3は、従来技術における共有鍵パラメータσ1とσ3とそれぞれ同じであるが、この発明の特徴は共有鍵パラメータσ2が更に設けられていることである。
Figure 2011147060
 The shared key calculation unit 29A uses the shared key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m to perform a shared key by hash calculation.
K = H (σ 1 , σ 2 , σ 3 , C m ) (15)
Is calculated and output. For example, when using C m = (ID prot , ID A , ID B , X A , X B ) as shared information, ID prot specifies the key exchange method used, and ID A , ID B is the key exchange X A and X B specify a session. These predetermined combinations may be used as shared information, or other information may be added. By embedding such shared information, it is possible to prevent the same shared key K from being accidentally generated between users other than the users U A and U B. The order of input of the information σ 1 , σ 2 , σ 3 , and C m that is the object of hashing may be any order as long as both authentication key exchange apparatuses 20A and 20B take the same order. Note that shared key generation parameter sigma 1 and sigma 3 of the first embodiment is a shared key parameter sigma 1 and sigma 3 in the prior art are each the same, wherein the further provided with a shared key parameter sigma 2 of the present invention It is being done.

図4はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図3の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ペアリング演算部28Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。 Figure 4 shows a functional block diagram of the authentication key exchange unit 20B in the terminal device 200B of the user U B to perform authentication and key exchange with the user U A. The basic configuration is the same as the configuration shown in FIG. 3. The storage unit 21B, the short-term secret key selection unit 22B, the short-term public key generation unit 23B, the transmission unit 24B, the power unit 25B, the reception unit 26B, The configuration includes a user information generation unit 27B, a pairing calculation unit 28B, a shared key calculation unit 29B, and a control unit 201B that controls operations of these units. The public parameter (G, G T , g, g T , e, H, H 1 , ID prot ), the master public key Z, the identifier ID B of the user U B , etc. are stored in the storage unit 21B in advance. Information necessary for the arithmetic processing of each unit is read and used.

認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。 Send authentication key exchange device 20B from the transmitting unit 24B identifier ID B of the user U B in the key issuing device 100 as the secret key issue request, the user private key D B issued from the key issuing apparatus 100 received by the receiver 26B Is done. The short-term secret key selection unit 22B randomly selects the short-term secret key y B from the residue group Z q for the prime number q. The short-term public key generation unit 23B generates a short-term public key X B = g yB by raising g to the power of the short-term secret key y B. Short-term public key X B is transmitted together with the identifier U B from the transmitting unit 24A to the authentication key exchange unit 20A of the user U A. Power unit 25B is raised to the power of the master public key Z with short secret key y B, it generates the secret key information Z yB.

一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ペアリング演算部28BはこれらyB, ZyB, DB, XA, QAを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。 On the other hand, the short-term public key X A and the identifier ID A of the user U A are received by the receiving unit 26B from the authentication key exchange device 20A, and the user information generating unit 27B hashes the identifier ID A to obtain user information Q A = H 1 ( ID A ) is generated. The pairing calculation unit 28B calculates the shared key generation parameters σ 1 , σ 2 , and σ 3 as follows using these y B , Z yB , D B , X A , and Q A.

Figure 2011147060
共有鍵計算部29Bはこれら共有鍵生成パラメータσ1、σ2、σ3と共有情報Cmを使ってハッシュ演算により共有鍵
K=H(σ1, σ2, σ3, Cm) (19)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
Figure 2011147060
 The shared key calculation unit 29B uses these shared key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m to perform a shared key by hash calculation.
K = H (σ 1 , σ 2 , σ 3 , C m ) (19)
Is calculated and output. The shared information C m, the same as the shared information C m Using the user U A, used for example C m = (ID prot, ID A, ID B, X A, X B) a.

ここで、ユーザUAが式(12), (13), (14)を使って式(15)により計算した共有鍵Kと、ユーザUBが式(16), (17), (18)を使って式(19)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。 Here, the shared key K calculated by the equation (15) by the user U A using the equations (12), (13), (14) and the user U B are represented by the equations (16), (17), (18). It is proved as follows that the shared keys K calculated by the equation (19) using

Figure 2011147060
とおき、
Figure 2011147060
 Toki,

Figure 2011147060
を使えば、ユーザUBの共有鍵生成パラメータσ1, σ2, σ3は、
Figure 2011147060
 , The shared key generation parameters σ 1 , σ 2 , σ 3 of user U B are

Figure 2011147060
となる。一方、ユーザUAの共有鍵生成パラメータσ1, σ2, σ3
Figure 2011147060
 It becomes. On the other hand, the shared key generation parameters σ 1 , σ 2 , σ 3 of user U A are

Figure 2011147060
となり、これらはユーザUBの式(20), (21), (22)により計算した共有鍵生成パラメータと一致する。従って、ユーザUA側とユーザUB側の共有鍵Kの計算結果も一致する。これにより共有鍵Kが両者UA,UB間で共有されることが証明された。
Figure 2011147060
 These coincide with the shared key generation parameters calculated by the equations (20), (21), and (22) of the user U B. Therefore, the calculation results of the shared key K on the user U A side and the user U B side also match. This proves that the shared key K is shared between both U A and U B.

ところで、前述の従来技術においては共有鍵生成パラメータσ1, σ3の2つを使用しており、この場合、短期秘密鍵yA, yBが漏洩した場合の安全性についての証明が不可能であった。この発明においては新たに共有鍵生成パラメータσ2を追加している。簡単に述べれば、このパラメータσ2には短期秘密鍵yA, yBが含まれていないので、短期秘密鍵yA, yBを知ったとしてもパラメータσ2を計算することは不可能であり、従って共有鍵Kを計算することができず、安全性が高い。 By the way, in the above-mentioned prior art, two shared key generation parameters σ 1 and σ 3 are used, and in this case, it is impossible to prove the security when the short-term secret keys y A and y B are leaked. Met. In the present invention, a shared key generation parameter σ 2 is newly added. Briefly, short secret key y A for this parameter sigma 2, does not include the y B, it is not possible also to calculate the parameter sigma 2 as knowing the short-term private key y A, a y B Therefore, the shared key K cannot be calculated, and the security is high.

認証鍵交換の安全性はgapBDH(Bilinear Diffie-Hellman)仮定に基づいている。gapBDH仮定とは、U, V, W∈Gから、DBDHオラクルにアクセスしながらBDH(U, V, W)を計算することが計算量的に難しいという仮定である。ここで、BDH(U, V, W)=e(g, g)logUlogVlogWであり、DBDHオラクルは、入力(gu, gv, gw, e(g, g)x)に対してuvw=xのときb=1を返し、そうでない場合はb=0を返すオラクルである。例えば、マスタ公開鍵ZをUとし、qA=log(QA)をランダムに選び、ユーザ秘密鍵DAをZqAとする。ユーザUAの短期公開鍵XAをVとし、ユーザUBの情報QBをWとする。 The security of authentication key exchange is based on gapBDH (Bilinear Diffie-Hellman) assumption. The gap BDH assumption is an assumption that it is difficult to calculate BDH (U, V, W) from U, V, WεG while accessing the DBDH oracle. Where BDH (U, V, W) = e (g, g) logUlogVlogW and DBDH oracle is uvw = for input (g u , g v , g w , e (g, g) x ) An Oracle that returns b = 1 when x, otherwise returns b = 0. For example, the master public key Z is U, q A = log (Q A ) is randomly selected, and the user secret key D A is Z qA . The short-term public key X A of the user U A and V, the information Q B of the user U B and W.

もし、攻撃者がDBDH(Z, QAXA, QBXB1)=1, DBDH(Z, QA, QB2)=1, e(XA, XB)=σ3であり、かつXA=V, QB=Wであるσ1, σ2, σ3を計算できたとすると、gapBDH問題の答えを以下のように計算できる。 If the attacker is DBDH (Z, Q A X A , Q B X B , σ 1 ) = 1, DBDH (Z, Q A , Q B , σ 2 ) = 1, e (X A , X B ) = sigma is 3, and X a = V, σ 1 is Q B = W, σ 2, assuming that can calculate the sigma 3, can be calculated as follows answer gapBDH problems.

Figure 2011147060
ここで
Figure 2011147060
 here

Figure 2011147060
であり、log(QA)は計算できるので、gapBDH問題の答えを計算することができる。よって、攻撃者がσ1, σ2, σ3を計算することができると、計算困難であるはずのgapBDH問題の答えを計算できてしまうことになり、仮定に矛盾する。つまり、攻撃者がσ1, σ2, σ3を計算することはできないことが示され、eCKモデルでの安全性の証明ができる。
Figure 2011147060
 Since log (Q A ) can be calculated, the answer to the gapBDH problem can be calculated. Therefore, if an attacker can calculate σ 1 , σ 2 , and σ 3 , the answer to the gapBDH problem, which should be difficult to calculate, can be calculated, which contradicts the assumption. In other words, it is shown that the attacker cannot calculate σ 1 , σ 2 , σ 3, and can prove the safety with the eCK model.

図5は、第1実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。 Figure 5 shows an authentication and key exchange procedure between the authentication key exchange unit 20B of the user U A authentication key exchange unit 20A and the user U B of the first embodiment. It is assumed that the authentication key exchange devices 20A and 20B are given user secret keys D A and D B generated as described above from the key issuing device 100, respectively.

認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。 Authentication key exchange unit 20A in step S11A, select the short secret key y A randomly from the remainder group Z q by prime q, the short-term public key X A = g yA calculated at step S12A, the information (ID in step S13A prot , ID A , ID B , X A ) are transmitted to the authentication key exchange device 20B.

認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XB=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。 Authentication key exchange unit 20B in step S11B, select the short secret key y B at random from the remainder group Z q by prime q, it calculates a short-term public key X B = g yB at step S12B, the received information in step S13B information including X B (ID prot, ID a , ID B, X a, X B) to the authentication key exchange unit 20A as.

認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15Aで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(12), (13), (14)により計算し、ステップS16Aで式(15)により共有鍵Kを計算し、出力する。 Master public key Z to be raised to the power of short-term private key y A generates secret key information Z yA, user information by hashing the further identifier ID B Q B = H 1 ( ID authentication key exchange unit 20A Step S14A B ) is generated. Next, using the public parameters and the received information in step S15A, the shared key generation parameters σ 1 , σ 2 , σ 3 are calculated by equations (12), (13), (14), and in step S16A, the equation (15 ) To calculate and output the shared key K.

認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15Bで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(16), (17), (18)により計算し、ステップS16Bで共有鍵Kを式(19)により計算し、出力する。 In step S14B, the authentication exchange apparatus 20B generates the secret key information Z yB by raising the master public key Z to the power of the short-term secret key y B , and further performs hash processing on the identifier ID A to obtain user information Q A = H 1 (ID A ) Is generated. Next, the shared key generation parameters σ 1 , σ 2 , and σ 3 are calculated by the equations (16), (17), and (18) using the public parameters and the received information in step S15B, and in step S16B, the shared key K Is calculated by equation (19) and output.

図5に示す認証鍵交換は、セッション毎に行われ、従って、セッション毎に短期秘密鍵yA, yB、短期公開鍵XA, XB及び共有鍵Kが新しく生成され、セッションが終了すればそれらは廃棄される。従って、ステップS16A, S16Bの共有鍵計算においてハッシュの対象として共有鍵生成パラメータσ1, σ2, σ3と共に含まれる共有情報Cm=(IDprot, IDA, IDB, XA, XB)中の短期公開鍵XA, XBは、現セッションを特定する情報でもある。
[第2実施例]
この発明の第2実施例における認証鍵交換システムの全体の構成は図1と同じであり、鍵発行装置の構成と処理機能は図2と同じであるので説明を省略する。ただし、公開パラメータ記憶部11には先に示した公開パラメータに更に任意のビット長の情報をqによる剰余群の元に変換するハッシュ関数H2:{0, 1}* →Zqが追加されている。 The authentication key exchange shown in FIG. 5 is performed for each session. Therefore, for each session, a short-term secret key y A , y B , a short-term public key X A , X B and a shared key K are newly generated, and the session is terminated. They are discarded. Thus, step S16A, the shared key generation parameter sigma 1 as a hash of the object in the shared key calculation of S16B, sigma 2, shared information C m = (ID prot included with σ 3, ID A, ID B , X A, X B ) Short-term public keys X A and X B are also information for specifying the current session.
[Second Embodiment]
The overall configuration of the authentication key exchange system in the second embodiment of the present invention is the same as that in FIG. 1, and the configuration and processing functions of the key issuing device are the same as those in FIG. However, the public parameter storage unit 11 is added with a hash function H 2 : {0, 1} * → Z q for converting information of an arbitrary bit length into a remainder group element by q in addition to the public parameter shown above. ing.

図6は第2実施例におけるユーザUAの認証鍵交換装置20Aの機能構成ブロック図を示す。この第2実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ハッシュ部281Aと、ペアリング演算部282Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。 Figure 6 shows a functional block diagram of the authentication key exchange unit 20A of the user U A in the second embodiment. The authentication key exchange apparatus 20A in the second embodiment includes a storage unit 21A, a short-term secret key selection unit 22A, a short-term public key generation unit 23A, a transmission unit 24A, a power unit 25A, a reception unit 26A, a user An information generation unit 27A, a hash unit 281A, a pairing calculation unit 282A, a shared key calculation unit 29A, and a control unit 201A that controls the operations of these units are configured.

記憶部21Aには前述のハッシュ関数H2を含む公開パラメータ(G, GT, g, gT, e, H, H1, H2, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。この構成は図3の構成に対し、更にハッシュ部281Aが追加され、ペアリング演算部28Aの代わりにペアリング演算部282Aが設けられている点が図3の構成と異なり、その他の構成は同じである。 The storage unit 21A has public parameters (G, G T , g, g T , e, H, H 1 , H 2 , ID prot ) including the hash function H 2 , a master public key Z, and an identifier of the user U A. ID A and the like are stored in advance, and information necessary for calculation processing of each unit is read and used. This configuration is different from the configuration of FIG. 3 in that a hash unit 281A is further added to the configuration of FIG. 3 and a pairing calculation unit 282A is provided instead of the pairing calculation unit 28A. It is.

認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、秘密鍵情報ZyAを生成する。 Send authentication key exchange unit 20A from the transmission unit 24A identifier ID A of the user U A to the key issuing apparatus 100 as the secret key issue request, the user's private key D A, issued from the key issuing apparatus 100 received by the receiver 26A Is done. Short-term secret key selecting unit 22A selects the short-term private key y A randomly from the remainder group Z q for prime q. The short-term public key generation unit 23A generates a short-term public key X A = g yA by raising g to the power of the short-term secret key y A. Short-term public key X A is transmitted together with the identifier U A from the transmitter unit 24A to the authentication key exchange unit 20B of the user U B. Power unit 25A will power the master public key Z with short secret key y A, and generates the secret key information Z yA.

一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。第2実施例で追加されたハッシュ部281Aは、生成した短期公開鍵XAと受信した短期公開鍵XBをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Aに与える。ペアリング演算部282AはこれらyA, ZyA, DA, XB, QB, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。 On the other hand, the short-term public key X B and the identifier ID B of the user U B are received by the receiving unit 26A from the authentication key exchange device 20B, and the user information generating unit 27A hashes the identifier ID B to obtain the user information Q B = H 1 ( ID B ) is generated. The hash unit 281A added in the second embodiment processes the generated short-term public key X A and the received short-term public key X B with the hash function H 2 , respectively, and public key information e A = H 2 (X A ) , e B = H 2 (X B ) is generated and given to the pairing calculation unit 282A. The pairing calculation unit 282A calculates the shared key generation parameters σ 1 , σ 2 , and σ 3 using y A , Z yA , D A , X B , Q B , e A , and e B as follows.

Figure 2011147060
これら共有鍵生成パラメータσ1, σ2は第1実施例におけるσ1, σ2と異なるが、共有鍵生成パラメータσ3は同じである。共有鍵計算部29Aはこれら共有鍵生成パラメータσ1、σ2、σ3と共有情報Cmを使ってハッシュ演算により共有鍵
K=H(σ1, σ2, σ3, Cm) (33)
を計算し、出力する。共有情報CmとしてはIDprot, IDA, IDB, XA, XB)の任意の組み合わせを使用してもよいし、更に他の情報を加えてもよい。
Figure 2011147060
 These shared key generation parameter sigma 1, sigma 2 is 1 sigma in the first embodiment, sigma 2 and different, the common key generation parameter sigma 3 are the same. The shared key calculation unit 29A uses the shared key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m to perform a shared key by hash calculation.
K = H (σ 1 , σ 2 , σ 3 , C m ) (33)
Is calculated and output. As the shared information C m , any combination of ID prot , ID A , ID B , X A , X B ) may be used, and other information may be added.

図7はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図6の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ハッシュ部281Bと、ペアリング演算部282Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。 Figure 7 shows a functional block diagram of the authentication key exchange unit 20B in the terminal device 200B of the user U B to perform authentication and key exchange with the user U A. The basic configuration is the same as the configuration in FIG. 6, and the storage unit 21B, the short-term secret key selection unit 22B, the short-term public key generation unit 23B, the transmission unit 24B, the power unit 25B, the reception unit 26B, The configuration includes a user information generation unit 27B, a hash unit 281B, a pairing calculation unit 282B, a shared key calculation unit 29B, and a control unit 201B that controls operations of these units. The public parameter (G, G T , g, g T , e, H, H 1 , ID prot ), the master public key Z, the identifier ID B of the user U B , etc. are stored in the storage unit 21B in advance. Information necessary for the arithmetic processing of each unit is read and used.

認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。 Send authentication key exchange device 20B from the transmitting unit 24B identifier ID B of the user U B in the key issuing device 100 as the secret key issue request, the user private key D B issued from the key issuing apparatus 100 received by the receiver 26B Is done. The short-term secret key selection unit 22B randomly selects the short-term secret key y B from the residue group Z q for the prime number q. The short-term public key generation unit 23B generates a short-term public key X B = g yB by raising g to the power of the short-term secret key y B. Short-term public key X B is transmitted together with the identifier U B from the transmitting unit 24A to the authentication key exchange unit 20A of the user U A. Power unit 25B is raised to the power of the master public key Z with short secret key y B, it generates the secret key information Z yB.

一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ハッシュ部281Bは、受信した短期公開鍵XAと生成した短期公開鍵XBとをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Bに与える。ペアリング演算部282BはこれらyB, ZyB, DB, XA, QA, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。 On the other hand, the short-term public key X A and the identifier ID A of the user U A are received by the receiving unit 26B from the authentication key exchange device 20A, and the user information generating unit 27B hashes the identifier ID A to obtain user information Q A = H 1 ( ID A ) is generated. The hash unit 281B processes the received short-term public key X A and the generated short-term public key X B with the hash function H 2 , respectively, and public key information e A = H 2 (X A ), e B = H 2 ( X B ) is generated and given to the pairing calculation unit 282B. The pairing calculation unit 282B calculates the shared key generation parameters σ 1 , σ 2 , and σ 3 as follows using these y B , Z yB , D B , X A , Q A , e A , and e B.

Figure 2011147060
共有鍵計算部29Bはこれら共有鍵生成パラメータσ1、σ2、σ3と共有情報Cmを使ってハッシュ演算により共有鍵
K=H(σ1, σ2, σ3, Cm) (37)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
Figure 2011147060
 The shared key calculation unit 29B uses these shared key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m to perform a shared key by hash calculation.
K = H (σ 1 , σ 2 , σ 3 , C m ) (37)
Is calculated and output. The shared information C m, the same as the shared information C m Using the user U A, used for example C m = (ID prot, ID A, ID B, X A, X B) a.

ここで、ユーザUAが式(30), (31), (32)を使って式(33)により計算した共有鍵Kと、ユーザUBが式(34), (35), (36)を使って式(37)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。 Here, the user U A uses the equations (30), (31), (32) and the shared key K calculated by the equation (33), and the user U B has the equations (34), (35), (36). It is proved as follows that the shared keys K calculated by the equation (37) using

Figure 2011147060
とおき、
Figure 2011147060
 Toki,

Figure 2011147060
を使えば、ユーザUBの共有鍵生成パラメータσ1, σ2, σ3は、
Figure 2011147060
 , The shared key generation parameters σ 1 , σ 2 , σ 3 of user U B are

Figure 2011147060
Figure 2011147060

となる。一方、ユーザUAの共有鍵生成パラメータσ1, σ2, σ3It becomes. On the other hand, the shared key generation parameters σ 1 , σ 2 , σ 3 of user U A are

Figure 2011147060
Figure 2011147060

となり、これらはユーザUBの式(38), (39), (40)により計算した共有鍵生成パラメータと一致する。従って、ユーザUA側とユーザUB側の共有鍵Kの計算結果も一致する。これにより共有鍵Kが両者UA,UB間で共有されることが証明された。 These coincide with the shared key generation parameters calculated by the equations (38), (39), and (40) of the user U B. Therefore, the calculation results of the shared key K on the user U A side and the user U B side also match. This proves that the shared key K is shared between both U A and U B.

図8は、第2実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。 Figure 8 shows the authentication and key exchange procedure between the authentication key exchange unit 20B of the user U A authentication key exchange unit 20A and the user U B of the second embodiment. It is assumed that the authentication key exchange devices 20A and 20B are given user secret keys D A and D B generated as described above from the key issuing device 100, respectively.

認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。 Authentication key exchange unit 20A in step S11A, select the short secret key y A randomly from the remainder group Z q by prime q, the short-term public key X A = g yA calculated at step S12A, the information (ID in step S13A prot , ID A , ID B , X A ) are transmitted to the authentication key exchange device 20B.

認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XA=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。 Authentication key exchange unit 20B in step S11B, select the short secret key y B at random from the remainder group Z q by prime q, it calculates a short-term public key X A = g yB at step S12B, the received information in step S13B information including X B (ID prot, ID a , ID B, X a, X B) to the authentication key exchange unit 20A as.

認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15'Aで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(30), (31), (32)により計算し、ステップS16Aで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。 Master public key Z to be raised to the power of short-term private key y A generates secret key information Z yA, user information by hashing the further identifier ID B Q B = H 1 ( ID authentication key exchange unit 20A Step S14A B ) is generated. Next, in step S15'A, the short-term public keys X A and X B are hashed to generate public key information e A = H 2 (X A ) and e B = H 2 (X B ), and further publicized Using the parameters and the received information, the shared key generation parameters σ 1 , σ 2 , σ 3 are calculated by the equations (30), (31), (32), and the shared key K is hashed K = H ( (σ 1 , σ 2 , σ 3 , ID prot , ID A , ID B , X A , X B ) are calculated and output.

認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15'Bで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(39) (40), (41)により計算し、ステップS16Bで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。
[変形実施例]
第2実施例である図6の認証鍵交換装置20Aにおけるペアリング演算部282Aによる共有鍵生成パラメータσ1, σ2, σ3を前式(30), (31), (32)の代わりに次式 In step S14B, the authentication exchange apparatus 20B generates the secret key information Z yB by raising the master public key Z to the power of the short-term secret key y B , and further performs hash processing on the identifier ID A to obtain user information Q A = H 1 (ID A ) Is generated. Next, in step S15'B, the short-term public keys X A and X B are hashed to generate public key information e A = H 2 (X A ) and e B = H 2 (X B ), and further publicized Using the parameters and the received information, the shared key generation parameters σ 1 , σ 2 , σ 3 are calculated by the equations (39), (40), (41), and the shared key K is hashed K = H (σ in step S16B. 1 , σ 2 , σ 3 , ID prot , ID A , ID B , X A , X B ) are output.
[Modification]
The shared key generation parameters σ 1 , σ 2 , and σ 3 by the pairing calculation unit 282A in the authentication key exchange apparatus 20A of FIG. 6 which is the second embodiment are replaced with the previous equations (30), (31), and (32). Next formula

Figure 2011147060
のように規定し、図7の認証鍵交換装置20Bにおけるペアリング演算部282Bによる共有鍵生成パラメータσ1, σ2, σ3を前式(34), (35), (36)の代わりに次式
Figure 2011147060
 And the shared key generation parameters σ 1 , σ 2 , and σ 3 by the pairing calculation unit 282B in the authentication key exchange apparatus 20B of FIG. 7 are replaced with the previous equations (34), (35), and (36). Next formula

Figure 2011147060
のように規定してもよい。ペアリング演算部282Aの共有鍵生成パラメータσ1, σ2の式(44), (45)は、第2実施例のペアリング演算部28Aの共有鍵生成パラメータσ1, σ2の式(30), (31)と比べ、QBとQB eBとが入れ替わっているだけである。同様に、ペアリング演算部282Bの共有鍵生成パラメータσ1, σ2の式(47), (48)は、第2実施例のペアリング演算部28Bの共有鍵生成パラメータσ1, σ2の式(34), (35)と比べ、DBとDB eBが入れ替わっているだけである。この変形実施例の場合も第2実施例と同様に、ペアリング演算部282Aにおける共有鍵生成パラメータσ1, σ2, σ3とペアリング演算部282Bにおける共有鍵生成パラメータσ1, σ2, σ3は共にそれぞれ、
Figure 2011147060
 It may be defined as follows. Formulas (44) and (45) of the shared key generation parameters σ 1 and σ 2 of the pairing calculation unit 282A are expressed by equations (30) of the shared key generation parameters σ 1 and σ 2 of the pairing calculation unit 28A of the second embodiment (30 ) And (31), Q B and Q B eB are just interchanged. Similarly, the shared key generation parameter sigma 1 pairing calculation unit 282B, sigma 2 of formula (47), (48), shared key generation parameters sigma 1 pairing computation unit 28B of the second embodiment, the sigma 2 equation (34), is only interchanged and compared, D B and D B eB (35). In the case of this modified embodiment, as in the second embodiment, the shared key generation parameters σ 1 , σ 2, σ 3 in the pairing calculation unit 282A and the shared key generation parameters σ 1 , σ 2 , σ 3 is both

Figure 2011147060
となることが容易に証明できる。
Figure 2011147060
 It can be proved easily.

以上説明したこの発明によるIDベース認証鍵交換システムの実施例において、各認証鍵交換装置は、その機能を記録媒体に記録したプログラムに従ってコンピュータにより実行させるように構成してもよい。   In the embodiment of the ID-based authentication key exchange system according to the present invention described above, each authentication key exchange device may be configured to be executed by a computer according to a program recorded on a recording medium.

本発明はネットワークを介した通信のセキュリティに利用することができる。   The present invention can be used for security of communication via a network.

Claims (14)

予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network Authentication key exchange device that exchanges authentication keys with other authentication key exchange devices,
In the authentication key exchange device, the key issuing device performs user information Q A = H 1 (ID A ) generated by hashing the identifier ID A of the authentication key exchange device with the second hash function H 1. The user secret key D A = Q A s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y A from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X A by raising the generator g with a short-term secret key y A ;
A power to generate the secret key information Z yA by raising the master public key Z with the short-term secret key y A ;
A transmission unit for transmitting information including the short-term public key X A to the other authentication key exchange device;
A receiving unit that receives information including the short-term public key X B from the other authentication key exchange device;
A user information generating unit that generates the user information Q B = H 1 (ID B ) by hashing the identifier ID B of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameter using Z yA , X A , X B , D A , Q B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device. 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network Authentication key exchange device that exchanges authentication keys with other authentication key exchange devices,
In the authentication key exchange device, the key issuing device has generated the user information Q B = H 1 (ID B ) generated by hashing the identifier ID B of the authentication key exchange device with the second hash function H 1. A user secret key D B = Q B s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y B from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X B by raising the generator g to the power of the short-term secret key y B ;
A power to generate the secret key information Z yB by powering the master public key Z with the short-term secret key y B ;
A transmission unit that transmits information including the short-term public key X B to the other authentication key exchange device;
A receiving unit for receiving information including the short-term public key X A from the other authentication key exchange device;
A user information generator for generating user information Q A = H 1 (ID A ) by hashing the identifier ID A of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A
Figure 2011147060
Figure 2011147060

Figure 2011147060

A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device. 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換システムであり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成する第1ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成する第2ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する上記共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network An ID-based authentication key exchange system in which the first authentication key exchange device and the second authentication key exchange device exchange authentication keys,
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
The first authentication key exchange device includes:
A first short-term secret key selecting unit that selects the first short-term private key y A randomly from the remainder group Z q by prime q,
A short-term public key generation unit that generates the first short-term public key X A by raising the generator g with the first short-term secret key y A ;
A first power part for generating the first secret key information Z yA by raising the master public key Z with the first short-term secret key y A ;
A first transmitter that transmits information including the first short-term public key X A to the second authentication key exchange device;
A first receiver for receiving information including the second short-term public key X B from the second authentication key exchange device;
A first user information generating unit that generates a second user information Q B = H 1 (ID B ) by hashing the second identifier ID B of the second authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameter using Z yA , X A , X B , D A , Q B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A first pairing calculation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the second authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) to generate and output,
And
The second authentication key exchange device includes:
A second short-term secret key selection unit that randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q;
A second short-term public key generation unit that generates a second short-term public key X B and the generator g raised to the power of the second short-term private key y B,
A second power unit for generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B ;
A second transmitter for transmitting information including the second short-term public key X B to the first authentication key exchange device;
A second receiving unit for receiving information including the first short-term public key X A from the first authentication key exchange device;
A second user information generation unit for generating a first user information Q A = H 1 (ID A ) by hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A
Figure 2011147060
Figure 2011147060

Figure 2011147060

A second pairing calculation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the first authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) to generate and output,
An ID-based authentication key exchange system comprising: 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換方法であり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵XA=gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QBを使って共有鍵生成パラメータσ1, σ2, σ3を次式
Figure 2011147060
Figure 2011147060

Figure 2011147060

により計算する第1ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB,, XA, XB, DB, QAを使って共有鍵生成パラメータσ1, σ2, σ3を次式
Figure 2011147060
Figure 2011147060

Figure 2011147060

により計算する第2ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とするIDベース認証鍵交換方法。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network An ID-based authentication key exchange method in which the first authentication key exchange device and the second authentication key exchange device exchange authentication keys,
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
A first short-term public key generation step in which the first authentication key exchange apparatus randomly selects a first short-term secret key y A from the remainder group Z q with a prime number q and calculates a first short-term public key X A = g yA ; A first transmission step of transmitting information including the first short-term public key X A to the second authentication key exchange device;
A second short-term public key generation step in which the second authentication key exchange device randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q and calculates a second short-term public key X A = g yB ; A second transmission step of transmitting information including the second short-term public key X B to the first authentication key exchange device;
A first receiving step in which the first authentication key exchange apparatus receives information including the second short-term public key X B from the second authentication key exchange apparatus; and the master public key Z is used as the first short-term secret key y A. A first secret key information generation step for generating the first secret key information Z yA by powering with the second hash value H 1 by hashing the second identifier ID B with the second hash function H 1 and second user information Q B = H 1 The first user information generation step for generating (ID B ), and the shared key generation parameters σ 1 , σ 2 , σ 3 using the above Z yA , X A , X B , D A , Q B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A first pairing calculation step for calculating by the above, a first shared key calculation step for calculating and outputting the shared key K by hashing the information including the shared key generation parameter with the first hash function H, and
A second receiving step in which the second authentication key exchange apparatus receives information including the first short-term public key X A from the first authentication key exchange apparatus; and the master public key Z is used as the second short-term secret key y B. A second secret key information generation step for generating the second secret key information Z yB by a power, and the first user information Q A = H by hashing the first identifier ID A with the second hash function H 1 1 Second user information generation step for generating (ID A ), and the shared key generation parameters σ 1 , σ 2 , σ 3 using the above Z yB , X A , X B , D B , Q A
Figure 2011147060
Figure 2011147060

Figure 2011147060

A second pairing calculation step of calculating by the above, a second shared key calculation step of generating and outputting a shared key K by hashing the information including the shared key generation parameter with the first hash function H,
An ID-based authentication key exchange method comprising: 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成するハッシュ部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q The master public key Z generated by raising the power of g with the master secret key s randomly selected from the public key is disclosed, and is an authentication key exchange device that exchanges authentication keys with other authentication key exchange devices via the network. Yes,
In the authentication key exchange device, the key issuing device performs user information Q A = H 1 (ID A ) generated by hashing the identifier ID A of the authentication key exchange device with the second hash function H 1. The user secret key D A = Q A s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y A from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X A by raising the generator g with a short-term secret key y A ;
A power to generate the secret key information Z yA by raising the master public key Z with the short-term secret key y A ;
A transmission unit for transmitting information including the short-term public key X A to the other authentication key exchange device;
A receiving unit that receives information including the short-term public key X B from the other authentication key exchange device;
The generated short-term public key X A and the received short-term public key X B are hashed by the third hash function H 2 , respectively, and first public key information e A = H 2 (X A ) and second public key information a hash part that generates e B = H 2 (X B );
A user information generating unit that generates the user information Q B = H 1 (ID B ) by hashing the identifier ID B of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yA , X A , X B , D A , Q B , e A , e B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device. 請求項5に記載の認証鍵交換装置において、上記ペアリング演算部は、上記認証鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算することを特徴とする認証鍵交換装置。 6. The authentication key exchange apparatus according to claim 5, wherein the pairing calculation unit replaces the authentication key generation parameter.
Figure 2011147060
Figure 2011147060

Figure 2011147060

An authentication key exchange apparatus characterized by calculating 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
受信した上記短期公開鍵XAと生成した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成するハッシュ部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q The master public key Z generated by raising the power of g with the master secret key s randomly selected from the public key is disclosed, and is an authentication key exchange device that exchanges authentication keys with other authentication key exchange devices via the network. Yes,
In the authentication key exchange device, the key issuing device has generated the user information Q B = H 1 (ID B ) generated by hashing the identifier ID B of the authentication key exchange device with the second hash function H 1. A user secret key D B = Q B s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y B from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X B by raising the generator g to the power of the short-term secret key y B ;
A power to generate the secret key information Z yB by powering the master public key Z with the short-term secret key y B ;
A transmission unit that transmits information including the short-term public key X B to the other authentication key exchange device;
A receiving unit for receiving information including the short-term public key X A from the other authentication key exchange device;
The received short-term public key X A and the generated short-term public key X B are each hashed with a third hash function H 2 to obtain first public key information e A = H 2 (X A ) and second public key information. a hash part that generates e B = H 2 (X B );
A user information generator for generating user information Q A = H 1 (ID A ) by hashing the identifier ID A of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A , e A , e B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device. 請求項7記載の認証鍵交換装置において、上記ペアリング演算部は上記共有鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算することを特徴とする認証鍵交換装置。 8. The authentication key exchange apparatus according to claim 7, wherein the pairing calculation unit is replaced with the shared key generation parameter.
Figure 2011147060
Figure 2011147060

Figure 2011147060

An authentication key exchange apparatus characterized by calculating 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換システムであり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
生成した上記第1短期公開鍵XAと受信した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュ部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って第1認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成する第1ペアリング演算部と、
上記第1認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュ部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って第2認証鍵生成パラメータ
Figure 2011147060
Figure 2011147060

Figure 2011147060

を生成する第2ペアリング演算部と、
上記第2認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する上記共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q And a master public key Z generated by raising g with a master secret key s randomly selected from the public key, and the first authentication key exchange device and the second authentication key exchange device exchange authentication keys via the network. An ID-based authentication key exchange system that performs
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
The first authentication key exchange device includes:
A first short-term secret key selecting unit that selects the first short-term private key y A randomly from the remainder group Z q by prime q,
A short-term public key generation unit that generates the first short-term public key X A by raising the generator g with the first short-term secret key y A ;
A first power part for generating the first secret key information Z yA by raising the master public key Z with the first short-term secret key y A ;
A first transmitter that transmits information including the first short-term public key X A to the second authentication key exchange device;
A first receiver for receiving information including the second short-term public key X B from the second authentication key exchange device;
The generated first short-term public key X A and the received second short-term public key X B are each hashed with a third hash function H 2 to obtain first public key information e A = H 2 (X A ) and 2 public key information e B = H 2 (X B ) to generate a first hash part,
A first user information generating unit that generates a second user information Q B = H 1 (ID B ) by hashing the second identifier ID B of the second authentication key exchange device with the second hash function H 1 ;
The Z yA, X A, X B , D A, Q B, e A, first authentication key generation parameters with e B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A first pairing calculation unit for generating
The first authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the second authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H ( σ 1 , σ 2 , σ 3 , C m ) are generated and output,
And
The second authentication key exchange device includes:
A second short-term secret key selection unit that randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q;
A second short-term public key generation unit that generates a second short-term public key X B and the generator g raised to the power of the second short-term private key y B,
A second power unit for generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B ;
A second transmitter for transmitting information including the second short-term public key X B to the first authentication key exchange device;
A second receiving unit for receiving information including the first short-term public key X A from the first authentication key exchange device;
The received first short-term public key X A and the generated second short-term public key X B are hashed with a third hash function, respectively, and first public key information e A = H 2 (X A ) and second public A second hash part for generating key information e B = H 2 (X B );
A second user information generation unit for generating a first user information Q A = H 1 (ID A ) by hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1 ;
The Z yB, X A, X B , D B, Q A, e A, the second authentication key generation parameters with e B
Figure 2011147060
Figure 2011147060

Figure 2011147060

A second pairing calculation unit for generating
The second authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the first authentication key exchange apparatus are hashed by the first hash function H to share the key K = H (σ 1 , σ 2 , σ 3 , C m ) generating and outputting a second shared key calculation unit,
An ID-based authentication key exchange system comprising: 請求項9記載のIDベース認証鍵交換システムにおいて、上記第1ペアリング演算部は上記共有鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算し、上記第2ペアリング演算部は上記共有鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算することを特徴とするIDベース認証鍵交換システム。 10. The ID-based authentication key exchange system according to claim 9, wherein the first pairing calculation unit is replaced with the shared key generation parameter.
Figure 2011147060
Figure 2011147060

Figure 2011147060

And the second pairing calculation unit replaces the shared key generation parameter with
Figure 2011147060
Figure 2011147060

Figure 2011147060

An ID-based authentication key exchange system characterized by calculating 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換方法であり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵XA=gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QB, eA, eBを使って第1共有鍵生成パラメータσ1, σ2, σ3を次式
Figure 2011147060
Figure 2011147060

Figure 2011147060

により計算する第1ペアリング演算ステップと、上記第1共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB, XA, XB, DB, QA, eA, eBを使って第2共有鍵生成パラメータσ1, σ2, σ3を次式
Figure 2011147060
Figure 2011147060

Figure 2011147060

により計算する第2ペアリング演算ステップと、上記第2共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とする認証鍵交換方法。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q And a master public key Z generated by raising g with a master secret key s randomly selected from the public key, and the first authentication key exchange device and the second authentication key exchange device exchange authentication keys via the network. ID-based authentication key exchange method for performing
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
A first short-term public key generation step in which the first authentication key exchange apparatus randomly selects a first short-term secret key y A from the remainder group Z q with a prime number q and calculates a first short-term public key X A = g yA ; A first transmission step of transmitting information including the first short-term public key X A to the second authentication key exchange device;
A second short-term public key generation step in which the second authentication key exchange device randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q and calculates a second short-term public key X A = g yB ; A second transmission step of transmitting information including the second short-term public key X B to the first authentication key exchange device;
The short-term public that the first authentication key exchange device receives a first reception step of receiving information including the second short-term public key X B from the second authentication key exchange unit, and generated the short public key X A The first public key information e A = H 2 (X A ) and the second public key information e B = H 2 (X B ) are generated by hashing the key X B with the third hash function H 2 . A hash step, a first secret key information generation step of generating the first secret key information Z yA by raising the master public key Z to the power of the first short-term secret key y A , and the second identifier ID B as the first identifier A first user information generation step of generating second user information Q B = H 1 (ID B ) by hashing with two hash functions H 1 , and Z yA , X A , X B , D A , Q B , Using e A and e B , the first shared key generation parameters σ 1 , σ 2 , and σ 3 are
Figure 2011147060
Figure 2011147060

Figure 2011147060

A first pairing calculation step for calculating by the above, a first shared key calculation step for calculating and outputting the shared key K by hashing the information including the first shared key generation parameter with the first hash function H, and
A second receiving step in which the second authentication key exchange device receives information including the first short-term public key X A from the first authentication key exchange device; and the generated first short-term public key X A The second short-term public key X B is hashed with a third hash function, respectively, to generate first public key information e A = H 2 (X A ) and second public key information e B = H 2 (X B ). A second hash step, a second secret key information generation step of generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B , and the first identifier ID A A second user information generating step of generating first user information Q A = H 1 (ID A ) by hashing with the second hash function H 1; and Z yB , X A , X B , D B , Q Using A , e A , e B , the second shared key generation parameters σ 1 , σ 2 , σ 3 are
Figure 2011147060
Figure 2011147060

Figure 2011147060

A second pairing calculation step for calculating by the above, a second shared key calculation step for generating and outputting a shared key K by hashing the information including the second shared key generation parameter with the first hash function H,
And an authentication key exchange method. 請求項11に記載の認証鍵交換方法において、上記第1ペアリング演算ステップは、上記第1共有鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算し、上記第2ペアリング演算ステップは上記第2共有鍵生成パラメータの代わりに、
Figure 2011147060
Figure 2011147060

Figure 2011147060

を計算することを特徴とするIDベース認証鍵交換方法。 12. The authentication key exchange method according to claim 11, wherein the first pairing calculation step is performed instead of the first shared key generation parameter.
Figure 2011147060
Figure 2011147060

Figure 2011147060

And the second pairing calculation step is performed in place of the second shared key generation parameter,
Figure 2011147060
Figure 2011147060

Figure 2011147060

An ID-based authentication key exchange method characterized by calculating 請求項1,2,5,6,7,8のいずれか記載の認証鍵交換装置としてコンピュータを機能させるプログラム。   A program that causes a computer to function as the authentication key exchange apparatus according to any one of claims 1, 2, 5, 6, 7, and 8. 請求項13記載のプログラムを記録したコンピュータで読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 13 is recorded.
JP2010007982A 2010-01-18 2010-01-18 ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium Active JP5457848B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010007982A JP5457848B2 (en) 2010-01-18 2010-01-18 ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010007982A JP5457848B2 (en) 2010-01-18 2010-01-18 ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium

Publications (2)

Publication Number Publication Date
JP2011147060A true JP2011147060A (en) 2011-07-28
JP5457848B2 JP5457848B2 (en) 2014-04-02

Family

ID=44461489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010007982A Active JP5457848B2 (en) 2010-01-18 2010-01-18 ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium

Country Status (1)

Country Link
JP (1) JP5457848B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012018257A (en) * 2010-07-07 2012-01-26 Nippon Telegr & Teleph Corp <Ntt> Information sharing system, device, method, and program
JP2013110628A (en) * 2011-11-22 2013-06-06 Nippon Telegr & Teleph Corp <Ntt> Key exchange system, key exchange device, key generation apparatus, key exchange method and key exchange program
JP2017126970A (en) * 2016-01-15 2017-07-20 富士通株式会社 Shared key generation program, shared key generation method and information processing terminal
JP2018116231A (en) * 2017-01-20 2018-07-26 日本電信電話株式会社 Id base authentication key exchange system, terminal, id base authentication key exchange method, and program
JP2019208142A (en) * 2018-05-29 2019-12-05 日本電信電話株式会社 Key sharing system, information processing apparatus, device, key sharing method, and program
JP2020526055A (en) * 2017-06-07 2020-08-27 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Method and system for establishing reliable peer-to-peer communication between nodes in a blockchain network
JPWO2020240741A1 (en) * 2019-05-29 2020-12-03
CN114128209A (en) * 2019-07-17 2022-03-01 日本电信电话株式会社 Key exchange system, communication device, key exchange method, and program

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
JPN6013049394; Brian LaMacchia et al: 'Stronger Security of Authenticated Key Exchange' [online] , 20060401 *
JPN6013049395; L. Chen et al: 'Identity-based Key Agreement Protocols From Pairings' [online] , 20060823 *
JPN6013049396; Hai Huang et al: 'An ID-based Authenticated Key Exchange Protocol Based on Bilinear Diffie-Hellman Problem' [online] , 20081213 *
JPN6013049397; 藤岡 淳 他: 'eCKモデルで安全なID ベース認証鍵交換方式' 2010年 暗号と情報セキュリティシンポジウム概要集 CD-ROM , 20100119, 3C1-1-b, 2010年 暗号と情報セキュリティシンポジウム実行委員 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012018257A (en) * 2010-07-07 2012-01-26 Nippon Telegr & Teleph Corp <Ntt> Information sharing system, device, method, and program
JP2013110628A (en) * 2011-11-22 2013-06-06 Nippon Telegr & Teleph Corp <Ntt> Key exchange system, key exchange device, key generation apparatus, key exchange method and key exchange program
CN106992854B (en) * 2016-01-15 2020-11-03 富士通株式会社 Shared key generation method and information processing terminal
JP2017126970A (en) * 2016-01-15 2017-07-20 富士通株式会社 Shared key generation program, shared key generation method and information processing terminal
CN106992854A (en) * 2016-01-15 2017-07-28 富士通株式会社 Shared key generation method and the information processing terminal
US10425227B2 (en) 2016-01-15 2019-09-24 Fujitsu Limited Computer-readable recording medium, shared key generation method, and information processing terminal
JP2018116231A (en) * 2017-01-20 2018-07-26 日本電信電話株式会社 Id base authentication key exchange system, terminal, id base authentication key exchange method, and program
JP2020526055A (en) * 2017-06-07 2020-08-27 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Method and system for establishing reliable peer-to-peer communication between nodes in a blockchain network
JP7065887B2 (en) 2017-06-07 2022-05-12 エヌチェーン ホールディングス リミテッド Methods and systems for establishing reliable peer-to-peer communication between nodes in a blockchain network
JP2019208142A (en) * 2018-05-29 2019-12-05 日本電信電話株式会社 Key sharing system, information processing apparatus, device, key sharing method, and program
JP7020297B2 (en) 2018-05-29 2022-02-16 日本電信電話株式会社 Key sharing system, equipment, key sharing method and program
JPWO2020240741A1 (en) * 2019-05-29 2020-12-03
WO2020240741A1 (en) * 2019-05-29 2020-12-03 日本電信電話株式会社 Key exchange system, communication device, key exchange method, and program
JP7298686B2 (en) 2019-05-29 2023-06-27 日本電信電話株式会社 Key exchange system, communication device and program
CN114128209A (en) * 2019-07-17 2022-03-01 日本电信电话株式会社 Key exchange system, communication device, key exchange method, and program
CN114128209B (en) * 2019-07-17 2024-05-24 日本电信电话株式会社 Key exchange system, communication device, key exchange method, and recording medium

Also Published As

Publication number Publication date
JP5457848B2 (en) 2014-04-02

Similar Documents

Publication Publication Date Title
JP5349619B2 (en) Identity-based authentication key agreement protocol
JP5457848B2 (en) ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium
CN108173639B (en) Two-party cooperative signature method based on SM9 signature algorithm
US8429408B2 (en) Masking the output of random number generators in key generation protocols
Peng et al. Efficient and provably secure multireceiver signcryption scheme for multicast communication in edge computing
CN113259329B (en) Method and device for data careless transmission, electronic equipment and storage medium
US20140098960A1 (en) Ciphertext Processing Method, Apparatus, and System
JP2003298568A (en) Authenticated identification-based cryptosystem with no key escrow
JPWO2016051591A1 (en) Re-encryption key generation device, re-encryption device, encryption device, decryption device, and program
CN106713349B (en) Inter-group proxy re-encryption method capable of resisting attack of selecting cipher text
WO2020164252A1 (en) Identity-based identity hiding key agreement method based on bilinear paring
CN110784314A (en) Certificateless encrypted information processing method
CN112699394A (en) SM9 algorithm-based key application method
CN107682158B (en) Trusteeship authentication encryption method
Sun et al. A Novel and Concise Multi-receiver Protocol Based on Chaotic Maps with Privacy Protection.
CA2742530C (en) Masking the output of random number generators in key generation protocols
JP4924943B2 (en) Authenticated key exchange system, authenticated key exchange method and program
JP2005198189A (en) Key updating method, encryption system, encryption server, terminal device and external device
Zhu et al. A Survey to Design Privacy Preserving Protocol Using Chaos Cryptography.
KR101373577B1 (en) Apparatus of id based dynamic threshold encryption and method thereof
JP2005176144A (en) Terminal device, communication system and communication method
JP2007295366A (en) Encrypted message transmission/reception method and system, and transmitter device, receiver device, key server
JP2010113181A (en) Key management method, key generation method, encryption processing method, decryption processing method, access control method, communication network system
Mulkey et al. Towards an efficient protocol for privacy and authentication in wireless networks
WO2023042618A1 (en) Wireless communication terminal device, authentication and key sharing method, program, and authentication and key sharing system

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110624

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131008

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140110

R150 Certificate of patent or registration of utility model

Ref document number: 5457848

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350