JP2011147060A - Id base authentication key exchange system, authentication key exchange method, authentication key exchange device and program thereof, and recording medium - Google Patents
Id base authentication key exchange system, authentication key exchange method, authentication key exchange device and program thereof, and recording medium Download PDFInfo
- Publication number
- JP2011147060A JP2011147060A JP2010007982A JP2010007982A JP2011147060A JP 2011147060 A JP2011147060 A JP 2011147060A JP 2010007982 A JP2010007982 A JP 2010007982A JP 2010007982 A JP2010007982 A JP 2010007982A JP 2011147060 A JP2011147060 A JP 2011147060A
- Authority
- JP
- Japan
- Prior art keywords
- key
- short
- authentication
- information
- authentication key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は情報セキュリティ技術の分野における認証鍵交換、特に、IDベース認証鍵交換システム、それに使用される認証交換方法、認証鍵交換装置、及びそのプログラムと記録媒体に関する。 The present invention relates to authentication key exchange in the field of information security technology, in particular, an ID-based authentication key exchange system, an authentication exchange method used therefor, an authentication key exchange device, a program thereof, and a recording medium.
安全性が保障されていないネットワークを介して2者間で情報の交換を安全に行う技術の1つとして2者が共通の秘密鍵(以下、共通鍵と呼ぶ)を共有し、互いに情報を共通鍵により暗号化して送信し、受信した暗号化情報を共通鍵により復号化する技術がある。このような共有鍵暗号化方式においては、2者間で予め共有鍵を安全に共有する(鍵交換する)必要がある。その技術の1つとしてペアリング技術を用いたIDベース認証鍵交換方式が提案されている(非特許文献1)。 As a technology for securely exchanging information between two parties over a network where security is not guaranteed, the two parties share a common secret key (hereinafter referred to as a common key) and share information with each other. There is a technique of encrypting and transmitting with a key and decrypting received encrypted information with a common key. In such a shared key encryption method, it is necessary to securely share (key exchange) a shared key between two parties in advance. As one of the techniques, an ID-based authentication key exchange method using a pairing technique has been proposed (Non-Patent Document 1).
このIDベース認証鍵交換方式について以下に説明する。ユーザUA,UBの端末装置及び鍵発行装置がネットワークを介して接続されており、ユーザUA,UB間で鍵交換を行うものとする。鍵発行装置は公開パラメータとして、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
を公開しているものとする。
This ID-based authentication key exchange method will be described below. User U A, the terminal apparatus and the key issuing apparatus U B is connected via a network, the user U A, and performs key exchange between U B. The key issuing device is a public parameter
G, G T : a cyclic group whose order is a prime number q of k bits,
g: G generation source,
g T = e (g, g): G T generator,
e (g, g): Bilinear function with G × G → G T pairing,
H: Hash function for converting arbitrary bit length information {0, 1} * into k bit length information {0, 1} k ,
H 1 : Hash function for converting arbitrary bit length information {0, 1} * into G elements,
ID prot : Name of the key exchange method,
Is open to the public.
鍵発行装置は、マスタ鍵s∈Zqをランダムに選び、マスタ公開鍵Z=gs∈Gを公開する。また、ユーザUiから与えられた識別子IDi∈{0, 1}*に対し、ユーザ情報
Qi=H1(IDi) ∈G
を計算し、マスタ秘密鍵sを用いてユーザ秘密鍵
Di=Qi s∈G
を生成し、ユーザUiに与える。ここで、iはユーザを区別するインデックスであり、ここではユーザUA,UBに対しそれぞれi=A,i=Bである。
The key issuing device randomly selects a master key sεZ q and discloses the master public key Z = g s εG. In addition, for the identifier ID i ∈ {0, 1} * given by the user U i , the user information
Q i = H 1 (ID i ) ∈ G
And the user secret key using the master secret key s
D i = Q i s ∈G
Is generated and given to the user U i . Here, i is an index for distinguishing users, and here, i = A and i = B for the users U A and U B , respectively.
識別子IDAとユーザ秘密鍵DA=QA s∈Gを有するユーザUAと、識別子IDBとユーザ秘密鍵DB=QB s∈Gを有するユーザUBは、以下のようにして認証鍵交換を行なう。
ステップS1:ユーザUAは、短期秘密鍵yA∈Zqをランダムに選択し、短期公開鍵
The user U A having identifier ID A and user private key D A = Q A s ∈G, user U B having an identifier ID B and user private key D B = Q B s ∈G the authentication in the following manner Perform key exchange.
Step S1: The user U A randomly selects the short-term secret key y A ∈Z q and the short-term public key
ステップS2:ユーザUBは(IDprot, IDA, IDB, XA)を受信し、短期秘密鍵yB∈Zqをランダムに選択し、短期公開鍵
Step S2: The user U B receives (ID prot , ID A , ID B , X A ), selects the short-term secret key y B ∈Z q at random, and the short-term public key
ステップS3:ユーザUBは共有鍵生成パラメータ
Step S3: User U B is a shared key generation parameter
ステップS4:ユーザUAは(IDprot, IDA, IDB, XA, XB)を受信し、共有鍵生成パラメータ
Step S4: The user U A receives (ID prot , ID A , ID B , X A , X B ), and generates a shared key generation parameter
まず、G上の任意の点V,Wに対してG×G→GTで定義されるペアリング関数e(V, W)は次の性質を持つことが知られている。 First, it is known that a pairing function e (V, W) defined by G × G → G T with respect to arbitrary points V and W on G has the following properties.
e(aV, bW)=e(V, W)ab=e(bV, aW) (7)
そこで、ユーザ情報を
e (aV, bW) = e (V, W) ab = e (bV, aW) (7)
So user information
ところが、上述の従来技術においては、短期秘密鍵xA, xBの漏洩を考慮したeCK(extended Canetti-Krawzcyk)モデル(参考文献:B. LaMacchia, K. Lauter and A. Mityagin, "Stronger security of authenticated key exchange" in W. Susilo, J.K. Liu and Y. Mu, editors, Provable Security: First International Conference, ProvSec 2007, Vol. 4784 of LNCS, pages 1-16, Springer Verlag, 2007)では安全性の証明ができないという問題があった。この発明の目的は、短期秘密鍵が漏洩しても安全性が保てるeCKモデルでの安全性の証明が可能なIDベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体を提供することである。 However, in the conventional technique described above, the short-term private key x A, eCK (extended Canetti- Krawzcyk) in consideration of the leakage of x B model (Reference:. B LaMacchia, K. Lauter and A. Mityagin, "Stronger security of authenticated key exchange "in W. Susilo, JK Liu and Y. Mu, editors, Provable Security: First International Conference, ProvSec 2007, Vol. 4784 of LNCS, pages 1-16, Springer Verlag, 2007) There was a problem that I could not. SUMMARY OF THE INVENTION An object of the present invention is to provide an ID-based authentication key exchange system, an authentication key exchange method, an authentication key exchange device, and a program and recording thereof that can prove safety in an eCK model that can maintain safety even if a short-term secret key is leaked To provide a medium.
この発明の第1の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、認証鍵交換装置BからXBを受信し、ZyA, XA, XB, DA及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DAZyA, QBXB), σ2=e(DA, QB), σ3=XB yAを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、認証鍵交換装置AからXAを受信し、ZyB, XA, XB, DB及びQA=H1(IDA)から認証生成パラメータσ1=e(QAXA, DBZyB), σ2=e(QA, DB), σ3=XA yBを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。 According to the first aspect of the present invention, authentication keys are exchanged with each other having identifiers ID A and ID B , where G and G T are cyclic groups having a prime number q as an order and g is a generator of G. The authentication key exchange devices A and B have user secret keys D A = calculated beforehand from the key issuing device using the master secret key s from Q A = H 1 (ID A ) and Q B = H 1 (ID B ), respectively. Q A s and D B = Q B s are given, and the authentication key exchange apparatus A generates the secret key information Z yA and the short-term public key X A = g yA using the short-term secret key y A , and the authentication key It receives X B from the exchange unit B, Z yA, X a, X B, D a and Q B = the H 1 (ID B), bilinear function and pairing G × G → G T e ( g , g) to generate authentication key generation parameters σ 1 = e (D A Z yA , Q B X B ), σ 2 = e (D A , Q B ), σ 3 = X B yA K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated. The authentication key exchange device B generates secret key information Z yB , short-term public key X B = g yB using the short-term secret key y B , receives X A from the authentication key exchange device A, and receives Z yB , X A , Authentication generation parameters σ 1 = e (Q A X A , D B Z yB ), σ 2 = e (Q A , D B ), σ 3 = from X B , D B and Q A = H 1 (ID A ) X A yB is generated, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated.
この発明の第2の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、XAと認証鍵交換装置Bから受信したXBから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyA, XA, XB, DA, eA, eB及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DA eAZyA, QBXB), σ2=e(DAZyA, QB eBXB), σ3=XB yAを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、XBと認証鍵交換装置Aから受信したXAから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyB, XA, XB, DB, eA, eB及びQA=H1(IDA)から認証生成パラメータσ1=e(QA eAXA, DBZyB), σ2=e(QAXA, DB eBZyB), σ3=XA yBを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。 According to the second aspect of the present invention, authentication keys are exchanged with each other having identifiers ID A and ID B , where G and G T are cyclic groups having a prime number q as the order and g is a generator of G. The authentication key exchange devices A and B have user secret keys D A = calculated beforehand from the key issuing device using the master secret key s from Q A = H 1 (ID A ) and Q B = H 1 (ID B ), respectively. Q A s and D B = Q B s are given, and the authentication key exchange apparatus A generates the secret key information Z yA and the short-term public key X A = g yA using the short-term secret key y A , and X A And public key information e A = H 2 (X A ), e B = H 2 (X B ) is generated from X B received from the authentication key exchange apparatus B, and Z yA , X A , X B , D A , From e A , e B and Q B = H 1 (ID B ), using the bilinear function e (g, g) with G × G → G T as the pairing, the authentication key generation parameter σ 1 = e (D A eA Z yA , Q B X B ), σ 2 = e (D A Z yA , Q B eB X B ), σ 3 = X B yA and generate the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) is calculated. The authentication key exchange apparatus B uses the short-term secret key y B to generate secret key information Z yB and short-term public key X B = g yB , and public key information e from X B and X A received from the authentication key exchange apparatus A A = H 2 (X A ), e B = H 2 (X B ) is generated, and from Z yB , X A , X B , D B , e A , e B and Q A = H 1 (ID A ) Authentication generation parameters σ 1 = e (Q A eA X A , D B Z yB ), σ 2 = e (Q A X A , D B eB Z yB ), σ 3 = X A yB = H (σ 1 , σ 2 , σ 3 , C m ) is calculated.
従来技術では共有鍵生成パラメータσ1=e(g, g)s(qA+yA)(qB+yB), σ3=gyAyBとyAとからe(g, g)sqAqBを計算できないため、eCKモデルでの安全性の証明ができなかったが、この発明によればe(g, g)sqAqBを計算できるよう3つの共有鍵生成パラメータσ1, σ2, σ3を使用するため、安全性の証明が可能となる。 In the prior art, e (g, g) sqAqB cannot be calculated from the shared key generation parameter σ 1 = e (g, g) s (qA + yA) (qB + yB) , σ 3 = g yAyB and y A Although the eCK model could not prove the security, according to the present invention, the three shared key generation parameters σ 1 , σ 2 , and σ 3 are used so that e (g, g) sqAqB can be calculated. Proof of sex becomes possible.
以下、本発明の実施形態について図を参照して詳細に説明する。
[第1実施例]
図1はこの発明が実施されるIDベース認証鍵交換システム(以下、認証鍵交換システムと呼ぶ)の概略を示すブロック図である。認証鍵交換システムは鍵発行装置100と、複数の端末装置200A, 200Bがネットワークを介して互いに接続されて構成されている。各端末装置200A, 200Bはそれぞれこの発明による認証鍵交換装置20A, 20Bを有している。認証鍵交換は任意の2つの端末装置間で行われる。図では2つの端末装置のみ示している。端末装置200A, 200BはそれぞれユーザUA, UBにより使用されているものとする。この発明では認証鍵交換にのみ係わるので、以下では認証鍵交換装置20A, 20Bがネットワークに接続されているものとして説明する。また、ユーザUA, UBが所有している識別子IDA, IDBは便宜的に認証鍵交換装置20A, 20Bの識別子でもあることとする。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[First embodiment]
FIG. 1 is a block diagram showing an outline of an ID-based authentication key exchange system (hereinafter referred to as an authentication key exchange system) in which the present invention is implemented. The authentication key exchange system includes a
鍵発行装置100は認証鍵交換装置20AからユーザUAの識別子IDAを受けてユーザ秘密鍵DAを生成し、認証鍵交換装置20Aに与える。同様に、認証鍵交換装置20BからユーザUBの識別子IDBを受けてユーザ秘密鍵DBを生成し、認証鍵交換装置20Bに与える。認証鍵交換装置20Aと20Bはそれぞれ与えられたユーザ秘密鍵DA, DBを使って、この発明の認証鍵交換方法に従って認証鍵交換を実施する。
図2は鍵発行装置100の機能構成を示すブロック図であり、マスタ秘密鍵選択部110と、マスタ公開鍵生成部120と、受信部130と、ハッシュ部140と、ユーザ秘密鍵生成部150と、送信部160と、制御部10と、公開パラメータ記憶部11とから構成されている。公開パラメータ記憶部11には、前述の従来技術と同様の、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
が格納されており、これら公開パラメータは公開されている。ペアリング関数として使用可能な双線形関数の例としては楕円曲線が知られている(参考文献1:"IEEE P1636.3TM /D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg])。制御部10はユーザ秘密鍵発行手順のプログラムに従って各部110〜160の動作を制御する
鍵発行装置100において、マスタ秘密鍵選択部110は、素数qによる剰余群Zqからランダムにマスタ秘密鍵sを選択する。マスタ公開鍵生成部120はマスタ秘密鍵sにより素数qをべき乗することによりマスタ公開鍵Z=qs∈Gを生成し、公開する。Z∈GはZが群Gの元であることを意味している。受信部130によりユーザUiから識別子IDiが密鍵発行要求として受信されると、ハッシュ部140は識別子Uiにハッシュ演算処理を行い、ユーザ情報Qi=H1(IDi)を得る。ユーザ秘密鍵生成部150はユーザ情報Qiをマスタ秘密鍵sでべき乗することによりユーザ秘密鍵Di=Qi s∈Gを生成し、送信部160からユーザUiに送信する。なお、iは複数のユーザを区別するインデックスであり、例えばユーザUA及びUBに対し、それぞれi=A及びi=Bである。
FIG. 2 is a block diagram showing the functional configuration of the
G, G T : a cyclic group whose order is a prime number q of k bits,
g: G generation source,
g T = e (g, g): G T generator,
e (g, g): Bilinear function with G × G → G T pairing,
H: Hash function for converting arbitrary bit length information {0, 1} * into k bit length information {0, 1} k ,
H 1 : Hash function for converting arbitrary bit length information {0, 1} * into G elements,
ID prot : Name of the key exchange method,
Are stored, and these public parameters are public. An example of a bilinear function that can be used as a pairing function is an elliptic curve (Reference 1: "IEEE P1636.3TM / D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg]). The
図2の例で鍵発行装置100が生成したユーザ秘密鍵DiをユーザUiに送る場合、安全性を確保するため、例えばSSL(Secure Socket Layer)による暗号化を行って送信してもよいし、あるいは鍵発行装置100と専用回線により直接接続された端末でユーザUiが受けてもよいし、あるいは鍵発行装置100がユーザ秘密鍵Diを記録した記録媒体をユーザUiに搬送してもよいし、あるいはユーザUiがその記録媒体を鍵発行装置100から直接受け取ってもよい。
When the user secret key D i generated by the
図3はユーザUAの端末装置200A内の認証鍵交換装置20Aの機能構成ブロック図を示す。この第1実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ペアリング演算部28Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。記憶部21Aには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
Figure 3 shows a functional block diagram of the authentication
認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、ZyAを生成する。
Send authentication
一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。ペアリング演算部28AはこれらyA, ZyA, DA, XB, QBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
On the other hand, the short-term public key X B and the identifier ID B of the user U B are received by the receiving unit 26A from the authentication
K=H(σ1, σ2, σ3, Cm) (15)
を計算し、出力する。共有情報として例えばCm=(IDprot, IDA, IDB, XA, XB)を使う場合は、IDprotは使用している鍵交換方式を特定し、IDA, IDBは鍵交換を行う2者を特定し、XA, XBはセッションを特定する。これらの予め決めた任意の組み合わせを共有情報として使用してもよいし、更に他の情報を加えてもよい。このような共有情報を埋め込むことにより、ユーザUAとUB以外のユーザ間で偶然に同じ共有鍵Kが生成されてしまうことを防ぐことができる。ハッシュの対象である情報σ1, σ2, σ3, Cmの入力順序は、両認証鍵交換装置20A,20Bで同じ順序をとる限り、どのような順序でもかまわない。なお、この第1実施例の共有鍵生成パラメータσ1とσ3は、従来技術における共有鍵パラメータσ1とσ3とそれぞれ同じであるが、この発明の特徴は共有鍵パラメータσ2が更に設けられていることである。
K = H (σ 1 , σ 2 , σ 3 , C m ) (15)
Is calculated and output. For example, when using C m = (ID prot , ID A , ID B , X A , X B ) as shared information, ID prot specifies the key exchange method used, and ID A , ID B is the key exchange X A and X B specify a session. These predetermined combinations may be used as shared information, or other information may be added. By embedding such shared information, it is possible to prevent the same shared key K from being accidentally generated between users other than the users U A and U B. The order of input of the information σ 1 , σ 2 , σ 3 , and C m that is the object of hashing may be any order as long as both authentication
図4はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図3の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ペアリング演算部28Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
Figure 4 shows a functional block diagram of the authentication
認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。
Send authentication
一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ペアリング演算部28BはこれらyB, ZyB, DB, XA, QAを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
On the other hand, the short-term public key X A and the identifier ID A of the user U A are received by the receiving
K=H(σ1, σ2, σ3, Cm) (19)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
K = H (σ 1 , σ 2 , σ 3 , C m ) (19)
Is calculated and output. The shared information C m, the same as the shared information C m Using the user U A, used for example C m = (ID prot, ID A, ID B, X A, X B) a.
ここで、ユーザUAが式(12), (13), (14)を使って式(15)により計算した共有鍵Kと、ユーザUBが式(16), (17), (18)を使って式(19)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。 Here, the shared key K calculated by the equation (15) by the user U A using the equations (12), (13), (14) and the user U B are represented by the equations (16), (17), (18). It is proved as follows that the shared keys K calculated by the equation (19) using
ところで、前述の従来技術においては共有鍵生成パラメータσ1, σ3の2つを使用しており、この場合、短期秘密鍵yA, yBが漏洩した場合の安全性についての証明が不可能であった。この発明においては新たに共有鍵生成パラメータσ2を追加している。簡単に述べれば、このパラメータσ2には短期秘密鍵yA, yBが含まれていないので、短期秘密鍵yA, yBを知ったとしてもパラメータσ2を計算することは不可能であり、従って共有鍵Kを計算することができず、安全性が高い。 By the way, in the above-mentioned prior art, two shared key generation parameters σ 1 and σ 3 are used, and in this case, it is impossible to prove the security when the short-term secret keys y A and y B are leaked. Met. In the present invention, a shared key generation parameter σ 2 is newly added. Briefly, short secret key y A for this parameter sigma 2, does not include the y B, it is not possible also to calculate the parameter sigma 2 as knowing the short-term private key y A, a y B Therefore, the shared key K cannot be calculated, and the security is high.
認証鍵交換の安全性はgapBDH(Bilinear Diffie-Hellman)仮定に基づいている。gapBDH仮定とは、U, V, W∈Gから、DBDHオラクルにアクセスしながらBDH(U, V, W)を計算することが計算量的に難しいという仮定である。ここで、BDH(U, V, W)=e(g, g)logUlogVlogWであり、DBDHオラクルは、入力(gu, gv, gw, e(g, g)x)に対してuvw=xのときb=1を返し、そうでない場合はb=0を返すオラクルである。例えば、マスタ公開鍵ZをUとし、qA=log(QA)をランダムに選び、ユーザ秘密鍵DAをZqAとする。ユーザUAの短期公開鍵XAをVとし、ユーザUBの情報QBをWとする。 The security of authentication key exchange is based on gapBDH (Bilinear Diffie-Hellman) assumption. The gap BDH assumption is an assumption that it is difficult to calculate BDH (U, V, W) from U, V, WεG while accessing the DBDH oracle. Where BDH (U, V, W) = e (g, g) logUlogVlogW and DBDH oracle is uvw = for input (g u , g v , g w , e (g, g) x ) An Oracle that returns b = 1 when x, otherwise returns b = 0. For example, the master public key Z is U, q A = log (Q A ) is randomly selected, and the user secret key D A is Z qA . The short-term public key X A of the user U A and V, the information Q B of the user U B and W.
もし、攻撃者がDBDH(Z, QAXA, QBXB,σ1)=1, DBDH(Z, QA, QB,σ2)=1, e(XA, XB)=σ3であり、かつXA=V, QB=Wであるσ1, σ2, σ3を計算できたとすると、gapBDH問題の答えを以下のように計算できる。 If the attacker is DBDH (Z, Q A X A , Q B X B , σ 1 ) = 1, DBDH (Z, Q A , Q B , σ 2 ) = 1, e (X A , X B ) = sigma is 3, and X a = V, σ 1 is Q B = W, σ 2, assuming that can calculate the sigma 3, can be calculated as follows answer gapBDH problems.
図5は、第1実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。
Figure 5 shows an authentication and key exchange procedure between the authentication
認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。
Authentication
認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XB=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。
Authentication
認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15Aで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(12), (13), (14)により計算し、ステップS16Aで式(15)により共有鍵Kを計算し、出力する。
Master public key Z to be raised to the power of short-term private key y A generates secret key information Z yA, user information by hashing the further identifier ID B Q B = H 1 ( ID authentication
認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15Bで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(16), (17), (18)により計算し、ステップS16Bで共有鍵Kを式(19)により計算し、出力する。
In step S14B, the
図5に示す認証鍵交換は、セッション毎に行われ、従って、セッション毎に短期秘密鍵yA, yB、短期公開鍵XA, XB及び共有鍵Kが新しく生成され、セッションが終了すればそれらは廃棄される。従って、ステップS16A, S16Bの共有鍵計算においてハッシュの対象として共有鍵生成パラメータσ1, σ2, σ3と共に含まれる共有情報Cm=(IDprot, IDA, IDB, XA, XB)中の短期公開鍵XA, XBは、現セッションを特定する情報でもある。
[第2実施例]
この発明の第2実施例における認証鍵交換システムの全体の構成は図1と同じであり、鍵発行装置の構成と処理機能は図2と同じであるので説明を省略する。ただし、公開パラメータ記憶部11には先に示した公開パラメータに更に任意のビット長の情報をqによる剰余群の元に変換するハッシュ関数H2:{0, 1}* →Zqが追加されている。
The authentication key exchange shown in FIG. 5 is performed for each session. Therefore, for each session, a short-term secret key y A , y B , a short-term public key X A , X B and a shared key K are newly generated, and the session is terminated. They are discarded. Thus, step S16A, the shared key generation parameter sigma 1 as a hash of the object in the shared key calculation of S16B, sigma 2, shared information C m = (ID prot included with σ 3, ID A, ID B , X A, X B ) Short-term public keys X A and X B are also information for specifying the current session.
[Second Embodiment]
The overall configuration of the authentication key exchange system in the second embodiment of the present invention is the same as that in FIG. 1, and the configuration and processing functions of the key issuing device are the same as those in FIG. However, the public
図6は第2実施例におけるユーザUAの認証鍵交換装置20Aの機能構成ブロック図を示す。この第2実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ハッシュ部281Aと、ペアリング演算部282Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。
Figure 6 shows a functional block diagram of the authentication
記憶部21Aには前述のハッシュ関数H2を含む公開パラメータ(G, GT, g, gT, e, H, H1, H2, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。この構成は図3の構成に対し、更にハッシュ部281Aが追加され、ペアリング演算部28Aの代わりにペアリング演算部282Aが設けられている点が図3の構成と異なり、その他の構成は同じである。
The
認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、秘密鍵情報ZyAを生成する。
Send authentication
一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。第2実施例で追加されたハッシュ部281Aは、生成した短期公開鍵XAと受信した短期公開鍵XBをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Aに与える。ペアリング演算部282AはこれらyA, ZyA, DA, XB, QB, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
On the other hand, the short-term public key X B and the identifier ID B of the user U B are received by the receiving unit 26A from the authentication
K=H(σ1, σ2, σ3, Cm) (33)
を計算し、出力する。共有情報CmとしてはIDprot, IDA, IDB, XA, XB)の任意の組み合わせを使用してもよいし、更に他の情報を加えてもよい。
K = H (σ 1 , σ 2 , σ 3 , C m ) (33)
Is calculated and output. As the shared information C m , any combination of ID prot , ID A , ID B , X A , X B ) may be used, and other information may be added.
図7はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図6の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ハッシュ部281Bと、ペアリング演算部282Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
Figure 7 shows a functional block diagram of the authentication
認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。
Send authentication
一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ハッシュ部281Bは、受信した短期公開鍵XAと生成した短期公開鍵XBとをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Bに与える。ペアリング演算部282BはこれらyB, ZyB, DB, XA, QA, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
On the other hand, the short-term public key X A and the identifier ID A of the user U A are received by the receiving
K=H(σ1, σ2, σ3, Cm) (37)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
K = H (σ 1 , σ 2 , σ 3 , C m ) (37)
Is calculated and output. The shared information C m, the same as the shared information C m Using the user U A, used for example C m = (ID prot, ID A, ID B, X A, X B) a.
ここで、ユーザUAが式(30), (31), (32)を使って式(33)により計算した共有鍵Kと、ユーザUBが式(34), (35), (36)を使って式(37)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。 Here, the user U A uses the equations (30), (31), (32) and the shared key K calculated by the equation (33), and the user U B has the equations (34), (35), (36). It is proved as follows that the shared keys K calculated by the equation (37) using
となる。一方、ユーザUAの共有鍵生成パラメータσ1, σ2, σ3は It becomes. On the other hand, the shared key generation parameters σ 1 , σ 2 , σ 3 of user U A are
となり、これらはユーザUBの式(38), (39), (40)により計算した共有鍵生成パラメータと一致する。従って、ユーザUA側とユーザUB側の共有鍵Kの計算結果も一致する。これにより共有鍵Kが両者UA,UB間で共有されることが証明された。 These coincide with the shared key generation parameters calculated by the equations (38), (39), and (40) of the user U B. Therefore, the calculation results of the shared key K on the user U A side and the user U B side also match. This proves that the shared key K is shared between both U A and U B.
図8は、第2実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。
Figure 8 shows the authentication and key exchange procedure between the authentication
認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。
Authentication
認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XA=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。
Authentication
認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15'Aで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(30), (31), (32)により計算し、ステップS16Aで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。
Master public key Z to be raised to the power of short-term private key y A generates secret key information Z yA, user information by hashing the further identifier ID B Q B = H 1 ( ID authentication
認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15'Bで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(39) (40), (41)により計算し、ステップS16Bで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。
[変形実施例]
第2実施例である図6の認証鍵交換装置20Aにおけるペアリング演算部282Aによる共有鍵生成パラメータσ1, σ2, σ3を前式(30), (31), (32)の代わりに次式
In step S14B, the
[Modification]
The shared key generation parameters σ 1 , σ 2 , and σ 3 by the pairing calculation unit 282A in the authentication
以上説明したこの発明によるIDベース認証鍵交換システムの実施例において、各認証鍵交換装置は、その機能を記録媒体に記録したプログラムに従ってコンピュータにより実行させるように構成してもよい。 In the embodiment of the ID-based authentication key exchange system according to the present invention described above, each authentication key exchange device may be configured to be executed by a computer according to a program recorded on a recording medium.
本発明はネットワークを介した通信のセキュリティに利用することができる。 The present invention can be used for security of communication via a network.
Claims (14)
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network Authentication key exchange device that exchanges authentication keys with other authentication key exchange devices,
In the authentication key exchange device, the key issuing device performs user information Q A = H 1 (ID A ) generated by hashing the identifier ID A of the authentication key exchange device with the second hash function H 1. The user secret key D A = Q A s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y A from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X A by raising the generator g with a short-term secret key y A ;
A power to generate the secret key information Z yA by raising the master public key Z with the short-term secret key y A ;
A transmission unit for transmitting information including the short-term public key X A to the other authentication key exchange device;
A receiving unit that receives information including the short-term public key X B from the other authentication key exchange device;
A user information generating unit that generates the user information Q B = H 1 (ID B ) by hashing the identifier ID B of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameter using Z yA , X A , X B , D A , Q B
A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device.
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network Authentication key exchange device that exchanges authentication keys with other authentication key exchange devices,
In the authentication key exchange device, the key issuing device has generated the user information Q B = H 1 (ID B ) generated by hashing the identifier ID B of the authentication key exchange device with the second hash function H 1. A user secret key D B = Q B s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y B from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X B by raising the generator g to the power of the short-term secret key y B ;
A power to generate the secret key information Z yB by powering the master public key Z with the short-term secret key y B ;
A transmission unit that transmits information including the short-term public key X B to the other authentication key exchange device;
A receiving unit for receiving information including the short-term public key X A from the other authentication key exchange device;
A user information generator for generating user information Q A = H 1 (ID A ) by hashing the identifier ID A of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A
A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device.
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
を生成する第1ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
を生成する第2ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する上記共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network An ID-based authentication key exchange system in which the first authentication key exchange device and the second authentication key exchange device exchange authentication keys,
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
The first authentication key exchange device includes:
A first short-term secret key selecting unit that selects the first short-term private key y A randomly from the remainder group Z q by prime q,
A short-term public key generation unit that generates the first short-term public key X A by raising the generator g with the first short-term secret key y A ;
A first power part for generating the first secret key information Z yA by raising the master public key Z with the first short-term secret key y A ;
A first transmitter that transmits information including the first short-term public key X A to the second authentication key exchange device;
A first receiver for receiving information including the second short-term public key X B from the second authentication key exchange device;
A first user information generating unit that generates a second user information Q B = H 1 (ID B ) by hashing the second identifier ID B of the second authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameter using Z yA , X A , X B , D A , Q B
A first pairing calculation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the second authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) to generate and output,
And
The second authentication key exchange device includes:
A second short-term secret key selection unit that randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q;
A second short-term public key generation unit that generates a second short-term public key X B and the generator g raised to the power of the second short-term private key y B,
A second power unit for generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B ;
A second transmitter for transmitting information including the second short-term public key X B to the first authentication key exchange device;
A second receiving unit for receiving information including the first short-term public key X A from the first authentication key exchange device;
A second user information generation unit for generating a first user information Q A = H 1 (ID A ) by hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A
A second pairing calculation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the first authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m ) to generate and output,
An ID-based authentication key exchange system comprising:
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵XA=gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QBを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第1ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB,, XA, XB, DB, QAを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第2ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とするIDベース認証鍵交換方法。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements a second hash function H 1, the master public key Z generated by exponentiation of g by the master secret key s of the key issuing device is randomly selected from the remainder group Z q by q, it is published via the network An ID-based authentication key exchange method in which the first authentication key exchange device and the second authentication key exchange device exchange authentication keys,
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
A first short-term public key generation step in which the first authentication key exchange apparatus randomly selects a first short-term secret key y A from the remainder group Z q with a prime number q and calculates a first short-term public key X A = g yA ; A first transmission step of transmitting information including the first short-term public key X A to the second authentication key exchange device;
A second short-term public key generation step in which the second authentication key exchange device randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q and calculates a second short-term public key X A = g yB ; A second transmission step of transmitting information including the second short-term public key X B to the first authentication key exchange device;
A first receiving step in which the first authentication key exchange apparatus receives information including the second short-term public key X B from the second authentication key exchange apparatus; and the master public key Z is used as the first short-term secret key y A. A first secret key information generation step for generating the first secret key information Z yA by powering with the second hash value H 1 by hashing the second identifier ID B with the second hash function H 1 and second user information Q B = H 1 The first user information generation step for generating (ID B ), and the shared key generation parameters σ 1 , σ 2 , σ 3 using the above Z yA , X A , X B , D A , Q B
A first pairing calculation step for calculating by the above, a first shared key calculation step for calculating and outputting the shared key K by hashing the information including the shared key generation parameter with the first hash function H, and
A second receiving step in which the second authentication key exchange apparatus receives information including the first short-term public key X A from the first authentication key exchange apparatus; and the master public key Z is used as the second short-term secret key y B. A second secret key information generation step for generating the second secret key information Z yB by a power, and the first user information Q A = H by hashing the first identifier ID A with the second hash function H 1 1 Second user information generation step for generating (ID A ), and the shared key generation parameters σ 1 , σ 2 , σ 3 using the above Z yB , X A , X B , D B , Q A
A second pairing calculation step of calculating by the above, a second shared key calculation step of generating and outputting a shared key K by hashing the information including the shared key generation parameter with the first hash function H,
An ID-based authentication key exchange method comprising:
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成するハッシュ部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q The master public key Z generated by raising the power of g with the master secret key s randomly selected from the public key is disclosed, and is an authentication key exchange device that exchanges authentication keys with other authentication key exchange devices via the network. Yes,
In the authentication key exchange device, the key issuing device performs user information Q A = H 1 (ID A ) generated by hashing the identifier ID A of the authentication key exchange device with the second hash function H 1. The user secret key D A = Q A s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y A from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X A by raising the generator g with a short-term secret key y A ;
A power to generate the secret key information Z yA by raising the master public key Z with the short-term secret key y A ;
A transmission unit for transmitting information including the short-term public key X A to the other authentication key exchange device;
A receiving unit that receives information including the short-term public key X B from the other authentication key exchange device;
The generated short-term public key X A and the received short-term public key X B are hashed by the third hash function H 2 , respectively, and first public key information e A = H 2 (X A ) and second public key information a hash part that generates e B = H 2 (X B );
A user information generating unit that generates the user information Q B = H 1 (ID B ) by hashing the identifier ID B of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yA , X A , X B , D A , Q B , e A , e B
A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device.
を計算することを特徴とする認証鍵交換装置。 6. The authentication key exchange apparatus according to claim 5, wherein the pairing calculation unit replaces the authentication key generation parameter.
An authentication key exchange apparatus characterized by calculating
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
受信した上記短期公開鍵XAと生成した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成するハッシュ部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理してユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q The master public key Z generated by raising the power of g with the master secret key s randomly selected from the public key is disclosed, and is an authentication key exchange device that exchanges authentication keys with other authentication key exchange devices via the network. Yes,
In the authentication key exchange device, the key issuing device has generated the user information Q B = H 1 (ID B ) generated by hashing the identifier ID B of the authentication key exchange device with the second hash function H 1. A user secret key D B = Q B s generated by raising the power with the secret key s is given,
The authentication key exchange device
A short-term secret key selection unit that randomly selects a short-term secret key y B from the remainder group Z q of the prime number q;
A short-term public key generation unit that generates the short-term public key X B by raising the generator g to the power of the short-term secret key y B ;
A power to generate the secret key information Z yB by powering the master public key Z with the short-term secret key y B ;
A transmission unit that transmits information including the short-term public key X B to the other authentication key exchange device;
A receiving unit for receiving information including the short-term public key X A from the other authentication key exchange device;
The received short-term public key X A and the generated short-term public key X B are each hashed with a third hash function H 2 to obtain first public key information e A = H 2 (X A ) and second public key information. a hash part that generates e B = H 2 (X B );
A user information generator for generating user information Q A = H 1 (ID A ) by hashing the identifier ID A of the other authentication key exchange device with the second hash function H 1 ;
Authentication key generation parameters using Z yB , X A , X B , D B , Q A , e A , e B
A pairing operation unit for generating
The authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the other authentication key exchange devices are hashed by the first hash function H, and the shared key K = H (σ 1 , σ 2 , σ 3 , C m )
And an authentication key exchange device.
を計算することを特徴とする認証鍵交換装置。 8. The authentication key exchange apparatus according to claim 7, wherein the pairing calculation unit is replaced with the shared key generation parameter.
An authentication key exchange apparatus characterized by calculating
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
生成した上記第1短期公開鍵XAと受信した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュ部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って第1認証鍵生成パラメータ
を生成する第1ペアリング演算部と、
上記第1認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュ部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って第2認証鍵生成パラメータ
を生成する第2ペアリング演算部と、
上記第2認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する上記共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q And a master public key Z generated by raising g with a master secret key s randomly selected from the public key, and the first authentication key exchange device and the second authentication key exchange device exchange authentication keys via the network. An ID-based authentication key exchange system that performs
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
The first authentication key exchange device includes:
A first short-term secret key selecting unit that selects the first short-term private key y A randomly from the remainder group Z q by prime q,
A short-term public key generation unit that generates the first short-term public key X A by raising the generator g with the first short-term secret key y A ;
A first power part for generating the first secret key information Z yA by raising the master public key Z with the first short-term secret key y A ;
A first transmitter that transmits information including the first short-term public key X A to the second authentication key exchange device;
A first receiver for receiving information including the second short-term public key X B from the second authentication key exchange device;
The generated first short-term public key X A and the received second short-term public key X B are each hashed with a third hash function H 2 to obtain first public key information e A = H 2 (X A ) and 2 public key information e B = H 2 (X B ) to generate a first hash part,
A first user information generating unit that generates a second user information Q B = H 1 (ID B ) by hashing the second identifier ID B of the second authentication key exchange device with the second hash function H 1 ;
The Z yA, X A, X B , D A, Q B, e A, first authentication key generation parameters with e B
A first pairing calculation unit for generating
The first authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the second authentication key exchange apparatus are hashed by the first hash function H, and the shared key K = H ( σ 1 , σ 2 , σ 3 , C m ) are generated and output,
And
The second authentication key exchange device includes:
A second short-term secret key selection unit that randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q;
A second short-term public key generation unit that generates a second short-term public key X B and the generator g raised to the power of the second short-term private key y B,
A second power unit for generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B ;
A second transmitter for transmitting information including the second short-term public key X B to the first authentication key exchange device;
A second receiving unit for receiving information including the first short-term public key X A from the first authentication key exchange device;
The received first short-term public key X A and the generated second short-term public key X B are hashed with a third hash function, respectively, and first public key information e A = H 2 (X A ) and second public A second hash part for generating key information e B = H 2 (X B );
A second user information generation unit for generating a first user information Q A = H 1 (ID A ) by hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1 ;
The Z yB, X A, X B , D B, Q A, e A, the second authentication key generation parameters with e B
A second pairing calculation unit for generating
The second authentication key generation parameters σ 1 , σ 2 , σ 3 and the shared information C m shared with the first authentication key exchange apparatus are hashed by the first hash function H to share the key K = H (σ 1 , σ 2 , σ 3 , C m ) generating and outputting a second shared key calculation unit,
An ID-based authentication key exchange system comprising:
を計算し、上記第2ペアリング演算部は上記共有鍵生成パラメータの代わりに、
を計算することを特徴とするIDベース認証鍵交換システム。 10. The ID-based authentication key exchange system according to claim 9, wherein the first pairing calculation unit is replaced with the shared key generation parameter.
And the second pairing calculation unit replaces the shared key generation parameter with
An ID-based authentication key exchange system characterized by calculating
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵XA=gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QB, eA, eBを使って第1共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第1ペアリング演算ステップと、上記第1共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB, XA, XB, DB, QA, eA, eBを使って第2共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第2ペアリング演算ステップと、上記第2共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とする認証鍵交換方法。 Preliminary number q, cyclic group G and G T with prime q as the order, generator g of cyclic group G, bilinear function e (g, g) with G × G → G T pairing, arbitrary bits First hash function H that converts length information {0, 1} * into k-bit length information {0, 1} k and arbitrary bit-length information {0, 1} * are converted into G elements A second hash function H 1 , a third hash function H 2 that converts information {0, 1} * of an arbitrary bit length into elements of a remainder group Z q by q , and a key issuing device uses a remainder group Z q by q And a master public key Z generated by raising g with a master secret key s randomly selected from the public key, and the first authentication key exchange device and the second authentication key exchange device exchange authentication keys via the network. ID-based authentication key exchange method for performing
In the first authentication key exchange device, the first user information Q A = H generated by the key issuing device hashing the first identifier ID A of the first authentication key exchange device with the second hash function H 1. 1 A first user secret key D A = Q A s generated by raising (ID A ) to the power of the master secret key s is given. 2 Generated by powering the second user information Q B = H 1 (ID B ) generated by hashing the second identifier ID B of the authentication key exchange device with the second hash function H 1 with the master secret key s Second user secret key D B = Q B s
A first short-term public key generation step in which the first authentication key exchange apparatus randomly selects a first short-term secret key y A from the remainder group Z q with a prime number q and calculates a first short-term public key X A = g yA ; A first transmission step of transmitting information including the first short-term public key X A to the second authentication key exchange device;
A second short-term public key generation step in which the second authentication key exchange device randomly selects a second short-term secret key y B from the remainder group Z q of the prime number q and calculates a second short-term public key X A = g yB ; A second transmission step of transmitting information including the second short-term public key X B to the first authentication key exchange device;
The short-term public that the first authentication key exchange device receives a first reception step of receiving information including the second short-term public key X B from the second authentication key exchange unit, and generated the short public key X A The first public key information e A = H 2 (X A ) and the second public key information e B = H 2 (X B ) are generated by hashing the key X B with the third hash function H 2 . A hash step, a first secret key information generation step of generating the first secret key information Z yA by raising the master public key Z to the power of the first short-term secret key y A , and the second identifier ID B as the first identifier A first user information generation step of generating second user information Q B = H 1 (ID B ) by hashing with two hash functions H 1 , and Z yA , X A , X B , D A , Q B , Using e A and e B , the first shared key generation parameters σ 1 , σ 2 , and σ 3 are
A first pairing calculation step for calculating by the above, a first shared key calculation step for calculating and outputting the shared key K by hashing the information including the first shared key generation parameter with the first hash function H, and
A second receiving step in which the second authentication key exchange device receives information including the first short-term public key X A from the first authentication key exchange device; and the generated first short-term public key X A The second short-term public key X B is hashed with a third hash function, respectively, to generate first public key information e A = H 2 (X A ) and second public key information e B = H 2 (X B ). A second hash step, a second secret key information generation step of generating the second secret key information Z yB by raising the master public key Z with the second short-term secret key y B , and the first identifier ID A A second user information generating step of generating first user information Q A = H 1 (ID A ) by hashing with the second hash function H 1; and Z yB , X A , X B , D B , Q Using A , e A , e B , the second shared key generation parameters σ 1 , σ 2 , σ 3 are
A second pairing calculation step for calculating by the above, a second shared key calculation step for generating and outputting a shared key K by hashing the information including the second shared key generation parameter with the first hash function H,
And an authentication key exchange method.
を計算し、上記第2ペアリング演算ステップは上記第2共有鍵生成パラメータの代わりに、
を計算することを特徴とするIDベース認証鍵交換方法。 12. The authentication key exchange method according to claim 11, wherein the first pairing calculation step is performed instead of the first shared key generation parameter.
And the second pairing calculation step is performed in place of the second shared key generation parameter,
An ID-based authentication key exchange method characterized by calculating
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010007982A JP5457848B2 (en) | 2010-01-18 | 2010-01-18 | ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010007982A JP5457848B2 (en) | 2010-01-18 | 2010-01-18 | ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011147060A true JP2011147060A (en) | 2011-07-28 |
JP5457848B2 JP5457848B2 (en) | 2014-04-02 |
Family
ID=44461489
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010007982A Active JP5457848B2 (en) | 2010-01-18 | 2010-01-18 | ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5457848B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012018257A (en) * | 2010-07-07 | 2012-01-26 | Nippon Telegr & Teleph Corp <Ntt> | Information sharing system, device, method, and program |
JP2013110628A (en) * | 2011-11-22 | 2013-06-06 | Nippon Telegr & Teleph Corp <Ntt> | Key exchange system, key exchange device, key generation apparatus, key exchange method and key exchange program |
JP2017126970A (en) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Shared key generation program, shared key generation method and information processing terminal |
JP2018116231A (en) * | 2017-01-20 | 2018-07-26 | 日本電信電話株式会社 | Id base authentication key exchange system, terminal, id base authentication key exchange method, and program |
JP2019208142A (en) * | 2018-05-29 | 2019-12-05 | 日本電信電話株式会社 | Key sharing system, information processing apparatus, device, key sharing method, and program |
JP2020526055A (en) * | 2017-06-07 | 2020-08-27 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | Method and system for establishing reliable peer-to-peer communication between nodes in a blockchain network |
WO2020240741A1 (en) * | 2019-05-29 | 2020-12-03 | 日本電信電話株式会社 | Key exchange system, communication device, key exchange method, and program |
CN114128209A (en) * | 2019-07-17 | 2022-03-01 | 日本电信电话株式会社 | Key exchange system, communication device, key exchange method, and program |
-
2010
- 2010-01-18 JP JP2010007982A patent/JP5457848B2/en active Active
Non-Patent Citations (4)
Title |
---|
JPN6013049394; Brian LaMacchia et al: 'Stronger Security of Authenticated Key Exchange' [online] , 20060401 * |
JPN6013049395; L. Chen et al: 'Identity-based Key Agreement Protocols From Pairings' [online] , 20060823 * |
JPN6013049396; Hai Huang et al: 'An ID-based Authenticated Key Exchange Protocol Based on Bilinear Diffie-Hellman Problem' [online] , 20081213 * |
JPN6013049397; 藤岡 淳 他: 'eCKモデルで安全なID ベース認証鍵交換方式' 2010年 暗号と情報セキュリティシンポジウム概要集 CD-ROM , 20100119, 3C1-1-b, 2010年 暗号と情報セキュリティシンポジウム実行委員 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012018257A (en) * | 2010-07-07 | 2012-01-26 | Nippon Telegr & Teleph Corp <Ntt> | Information sharing system, device, method, and program |
JP2013110628A (en) * | 2011-11-22 | 2013-06-06 | Nippon Telegr & Teleph Corp <Ntt> | Key exchange system, key exchange device, key generation apparatus, key exchange method and key exchange program |
CN106992854B (en) * | 2016-01-15 | 2020-11-03 | 富士通株式会社 | Shared key generation method and information processing terminal |
JP2017126970A (en) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Shared key generation program, shared key generation method and information processing terminal |
CN106992854A (en) * | 2016-01-15 | 2017-07-28 | 富士通株式会社 | Shared key generation method and the information processing terminal |
US10425227B2 (en) | 2016-01-15 | 2019-09-24 | Fujitsu Limited | Computer-readable recording medium, shared key generation method, and information processing terminal |
JP2018116231A (en) * | 2017-01-20 | 2018-07-26 | 日本電信電話株式会社 | Id base authentication key exchange system, terminal, id base authentication key exchange method, and program |
JP2020526055A (en) * | 2017-06-07 | 2020-08-27 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | Method and system for establishing reliable peer-to-peer communication between nodes in a blockchain network |
JP7065887B2 (en) | 2017-06-07 | 2022-05-12 | エヌチェーン ホールディングス リミテッド | Methods and systems for establishing reliable peer-to-peer communication between nodes in a blockchain network |
JP2019208142A (en) * | 2018-05-29 | 2019-12-05 | 日本電信電話株式会社 | Key sharing system, information processing apparatus, device, key sharing method, and program |
JP7020297B2 (en) | 2018-05-29 | 2022-02-16 | 日本電信電話株式会社 | Key sharing system, equipment, key sharing method and program |
WO2020240741A1 (en) * | 2019-05-29 | 2020-12-03 | 日本電信電話株式会社 | Key exchange system, communication device, key exchange method, and program |
JPWO2020240741A1 (en) * | 2019-05-29 | 2020-12-03 | ||
JP7298686B2 (en) | 2019-05-29 | 2023-06-27 | 日本電信電話株式会社 | Key exchange system, communication device and program |
CN114128209A (en) * | 2019-07-17 | 2022-03-01 | 日本电信电话株式会社 | Key exchange system, communication device, key exchange method, and program |
CN114128209B (en) * | 2019-07-17 | 2024-05-24 | 日本电信电话株式会社 | Key exchange system, communication device, key exchange method, and recording medium |
Also Published As
Publication number | Publication date |
---|---|
JP5457848B2 (en) | 2014-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5349619B2 (en) | Identity-based authentication key agreement protocol | |
JP5457848B2 (en) | ID-based authentication key exchange system, authentication key exchange method, authentication key exchange apparatus, program thereof, and recording medium | |
Peng et al. | Efficient and provably secure multireceiver signcryption scheme for multicast communication in edge computing | |
US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
CN113259329B (en) | Method and device for data careless transmission, electronic equipment and storage medium | |
US20140098960A1 (en) | Ciphertext Processing Method, Apparatus, and System | |
JP2003298568A (en) | Authenticated identification-based cryptosystem with no key escrow | |
JPWO2016051591A1 (en) | Re-encryption key generation device, re-encryption device, encryption device, decryption device, and program | |
JP2012169978A (en) | File server device and file server system | |
JP2009105824A (en) | Encrypted message transmitting/receiving method, sender apparatus, recipient apparatus, encrypted message transmitting/receiving system and program | |
CN106713349B (en) | Inter-group proxy re-encryption method capable of resisting attack of selecting cipher text | |
WO2020164252A1 (en) | Identity-based identity hiding key agreement method based on bilinear paring | |
CN110784314A (en) | Certificateless encrypted information processing method | |
CN107682158B (en) | Trusteeship authentication encryption method | |
CN112699394A (en) | SM9 algorithm-based key application method | |
Sun et al. | A Novel and Concise Multi-receiver Protocol Based on Chaotic Maps with Privacy Protection. | |
CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
Zhu et al. | A Survey to Design Privacy Preserving Protocol Using Chaos Cryptography. | |
JP4924943B2 (en) | Authenticated key exchange system, authenticated key exchange method and program | |
JP2005198189A (en) | Key updating method, encryption system, encryption server, terminal device and external device | |
KR101373577B1 (en) | Apparatus of id based dynamic threshold encryption and method thereof | |
JP2005176144A (en) | Terminal device, communication system and communication method | |
JP2007295366A (en) | Encrypted message transmission/reception method and system, and transmitter device, receiver device, key server | |
JP2010113181A (en) | Key management method, key generation method, encryption processing method, decryption processing method, access control method, communication network system | |
Mulkey et al. | Towards an efficient protocol for privacy and authentication in wireless networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110624 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5457848 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |