JP2011199325A - Key exchange device based on identifier - Google Patents
Key exchange device based on identifier Download PDFInfo
- Publication number
- JP2011199325A JP2011199325A JP2008159793A JP2008159793A JP2011199325A JP 2011199325 A JP2011199325 A JP 2011199325A JP 2008159793 A JP2008159793 A JP 2008159793A JP 2008159793 A JP2008159793 A JP 2008159793A JP 2011199325 A JP2011199325 A JP 2011199325A
- Authority
- JP
- Japan
- Prior art keywords
- key
- identifier
- key exchange
- temporary
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Abstract
Description
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有するシステムであって、両装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能な、認証付き鍵交換装置に関する。 This invention is a system in which two key exchange devices communicate with each other and share the same key, and both devices can authenticate each other's device with which they communicate with each other based on the other's identifier, The present invention relates to an authenticated key exchange apparatus.
鍵交換方式には、二つの装置が参加して、これら両装置が互いに通信することによって、同一の鍵を共有する方式がある。特に、各装置が自装置であることの認証を受ける手段を備えていて、これによって鍵を交換した相手の装置を認証する方式を、認証付き鍵交換方式と呼んでいる。 In the key exchange method, there is a method in which two devices participate and the two devices communicate with each other to share the same key. In particular, a method in which each device is provided with a means for authenticating that it is its own device, and the method for authenticating the partner device with which the key has been exchanged by this means is called an authenticated key exchange method.
図5は、従来の認証付き鍵交換方式の例として、非特許文献1に記載された、否認可能認証付き鍵交換方式の構成を示したものである。以下、図5に基づいて従来の認証付き鍵交換方式の概略を説明する。なお以下の説明は、上記非特許文献1の内容を要約して示したものである。 FIG. 5 shows a configuration of a non-recognizable authenticated key exchange system described in Non-Patent Document 1 as an example of a conventional authenticated key exchange system. The outline of a conventional key exchange method with authentication will be described below with reference to FIG. The following description summarizes the contents of Non-Patent Document 1 described above.
図5に示すように、鍵交換を行う二つの装置500は、自装置の秘密鍵501と相手装置の公開鍵503と乱数513が入力される鍵交換装置A507と、自装置の秘密鍵504と相手装置の公開鍵502と乱数514が入力される鍵交換装置B508とからなっている。
ここで、鍵交換装置A507に入力される自装置の秘密鍵501をskA 、相手装置B508の公開鍵503を spkB 、乱数513を rA と呼び、鍵交換装置B508に入力される自装置の秘密鍵504をskB 、相手装置A507の公開鍵502を spkA 、乱数514を rB と呼ぶものとする。
As shown in FIG. 5, two devices 500 that perform key exchange have a
Here, the
鍵交換装置A507,鍵交換装置B508は、公開鍵暗号方式の暗号化装置と復号装置を内蔵しており、上述の鍵 skA,spkB 等は、二つの鍵交換装置500が対応する公開鍵暗号方式で利用される秘密鍵と公開鍵である。
鍵交換装置A507,鍵交換装置B508は、この他に、認証装置と疑似乱数発生装置をそれぞれ内蔵している。
The key exchange device A 507 and the key
In addition, the key exchange device A 507 and the key
いま、p を素数とし、g を (Z/pZ) * の素数位数q の部分群の生成元とする。ここで、p,q は十分に大きいものとする。
装置500においては、最初に鍵交換装置A507が通信を開始するものとするが、この仮定は一般性を否定するものはない。
Let p be a prime number and g be a generator of a subgroup of prime order q of (Z / pZ) * . Here, p and q are assumed to be sufficiently large.
In the device 500, it is assumed that the key exchange device A507 first starts communication, but this assumption does not deny the generality.
鍵交換装置A507は、 x∈Z/qZ 及び認証装置の鍵 kA を無作為に選ぶ。鍵交換装置A507は hA = gx と、認証装置の鍵 kA の公開鍵 pkB による暗号文として cA を生成して、図5において515で示すように、鍵交換装置B508へ送信する。
The key exchange apparatus A507 randomly selects x∈Z / qZ and the authentication apparatus key kA. Key exchange apparatus A507 includes a hA = g x, and generates the cA as ciphertext Public Key pkB key kA of the authentication device, as indicated by 515 in FIG. 5, and transmits to the key
鍵交換装置B508は、 y∈Z/qZ 及び認証装置の鍵 kB を無作為に選ぶ。鍵交換装置B508は hB = gy と、認証装置の鍵 kB の公開鍵 pkA による暗号文として cB を生成する。
次に、暗号文 cA を公開鍵 pkB を用いて復号して、結果としてkA’を得たとする。
次に、hA,hB に対する認証コード tB を、kA’を用いて生成する。
最後に、図5において516で示すように、鍵交換装置B508から hB,cB,tB を鍵交換装置A507へ送信する。
The key exchange apparatus B508 randomly selects yεZ / qZ and the authentication apparatus key kB. The key
Next, it is assumed that the ciphertext cA is decrypted using the public key pkB and kA 'is obtained as a result.
Next, an authentication code tB for hA and hB is generated using kA ′.
Finally, as indicated by 516 in FIG. 5, the key exchange device B508 transmits hB, cB, tB to the key exchange device A507.
鍵交換装置A507は認証装置の鍵 kA を用いて、hA,hB に対する認証コード tB を検証する。検証結果が正しくないときは、ここで動作を停止する。 The key exchange device A507 verifies the authentication code tB for hA and hB using the key kA of the authentication device. If the verification result is not correct, the operation is stopped here.
その他の場合は、暗号文 cB を認証装置の鍵 kA を用いて復号し、その結果を kB'とする。
次に、hA,hB に対する認証コード tA を kB'を用いて生成する。
次に、hBX から、認証装置の鍵として kA を用いて、疑似乱数生成装置によって疑似乱数 qA を生成する。
次に、hBX から、認証装置の鍵として kB' を用いて、疑似乱数生成装置によって疑似乱数 qB'を生成する。
In other cases, the ciphertext cB is decrypted using the key kA of the authentication device, and the result is kB ′.
Next, an authentication code tA for hA and hB is generated using kB ′.
Next, a pseudorandom number qA is generated from the hB X by a pseudorandom number generator using kA as the key of the authentication device.
Next, a pseudorandom number qB ′ is generated from the hB X by the pseudorandom number generator using kB ′ as the key of the authentication device.
交換結果である鍵510を、疑似乱数 qA と疑似乱数 qB'のビットごとの排他的論理和として出力する。
最後に、認証コード tA を517で示すように、鍵交換装置A507から鍵交換装置B508へ送信する。
The
Finally, the authentication code tA is transmitted from the key exchange device A507 to the key exchange device B508 as indicated by 517.
鍵交換装置B508は認証装置の鍵 kB を用いて、hA,hB に対する認証コード tA を検証する。検証結果が正しくないときは、ここで動作を停止する。 The key exchange device B508 verifies the authentication code tA for hA and hB using the key kB of the authentication device. If the verification result is not correct, the operation is stopped here.
次に、hAy から、認証装置の鍵として kA' を用いて、疑似乱数生成装置によって疑似乱数 qA'を生成する。
次に、hAy から、認証装置の鍵として kB を用いて、疑似乱数生成装置によって疑似乱数 qB を生成する。
最後に、交換結果である鍵511を、疑似乱数 qA'と疑似乱数 qB のビットごとの排他的論理和として出力する。
Next, a pseudorandom number qA ′ is generated from the hA y by the pseudorandom number generator using kA ′ as the key of the authentication device.
Next, the hA y, using kB as a key of the authentication device to generate a pseudo-random number qB by the pseudorandom number generator.
Finally, the
鍵交換装置A507は、鍵交換装置B508と通信を行った結果得られた知識を、履歴509として出力する可能性がある。
The key exchange device A507 may output the knowledge obtained as a result of communication with the key exchange device B508 as a
これに対して、1回目の鍵交換は、Diffie−Hellmanの鍵交換方式において必要なすべてのパラメータの生成、および、そのうち公開情報の共有処理を行った上で、鍵交換処理を行い、2回目以降の鍵交換においては、既に共有されている秘密情報を、新たな鍵交換における公開情報の一つとして使用し、このパラメータの生成および共有処理は行わずに、鍵交換処理を行うようにする。2回目以降の鍵交換処理時に、共有すべき公開情報の一部を生成する必要がないため、鍵交換処理において任意数発生の処理が省略でき、また、通知すべきパラメータが少なくなるため、共有すべき公開情報を含むパケットのサイズが小さくなり、ひいては通信量を少なくすることができ、通信路に公開情報を送信する必要をなくすことが可能な、共通鍵暗号方式を用いた秘密通信を行うための通信量が少なく、効率的で安全な鍵交換方法を提供する、共通鍵交換方法が知られている(特許文献1参照)。 On the other hand, in the first key exchange, all parameters necessary for the Diffie-Hellman key exchange method are generated and public information sharing processing is performed, and then the key exchange processing is performed. In the subsequent key exchange, the secret information already shared is used as one of the public information in the new key exchange, and the key exchange process is performed without generating and sharing the parameters. . Since it is not necessary to generate part of the public information to be shared during the second and subsequent key exchange processes, the process of generating an arbitrary number in the key exchange process can be omitted, and the number of parameters to be notified is reduced. The size of the packet containing the public information to be reduced is reduced, which in turn can reduce the amount of communication, and the secret communication using the common key cryptosystem that can eliminate the need to transmit the public information to the communication path. A common key exchange method is known that provides an efficient and secure key exchange method with a small amount of communication (see Patent Document 1).
特許文献1記載の技術によれば、鍵交換処理時に必要な通信量を少なくすることができる旨が記載されている(〔0057〕)。 According to the technique described in Patent Document 1, it is described that the amount of communication required at the time of key exchange processing can be reduced ([0057]).
また、デジタルTV装置およびHDDレコーダは、DTCP−IP対応機器であり、著作権保護されたコンテンツをIPネットワーク経由で送受信する。デジタルTV装置は、HDDレコーダとの間の認証鍵交換処理を開始する際、当該認証鍵交換処理用に最初に送信するTCPパケットのTTL値をDTCP−IPでの許容数に設定し、このTCPパケットに対する応答がなかった場合、IPネットワークの構成上の不具合を警告するメッセージを表示する。一方、HDDレコーダは、この認証鍵交換処理時、デジタルTV装置との間のRTT値を計測し、その計測値がDTCP−IPでの許容値を超えていた場合、IPネットワークのパフォーマンス上の不具合を警告するメッセージを表示することによって、ユーザに対する報知を適切に行うことを実現した、通信装置、デジタルテレビジョン装置および通信装置の報知方法が知られている(特許文献2参照)。 The digital TV device and the HDD recorder are DTCP-IP compatible devices, and transmit and receive copyright-protected content via the IP network. When the digital TV apparatus starts an authentication key exchange process with the HDD recorder, the digital TV apparatus sets the TTL value of the TCP packet to be transmitted first for the authentication key exchange process to an allowable number in DTCP-IP. If there is no response to the packet, a message is displayed to warn of a malfunction in the IP network configuration. On the other hand, the HDD recorder measures the RTT value with the digital TV device during the authentication key exchange process, and if the measured value exceeds the allowable value in DTCP-IP, the performance problem of the IP network A communication device, a digital television device, and a notification method for a communication device that realizes appropriate notification to a user by displaying a message that warns the user is known (see Patent Document 2).
特許文献2記載の技術によれば、互いに相手を認証しあうための認証鍵を送受信する認証鍵交換処理を行えるようになる旨が記載されている(〔0008〕)。 According to the technique described in Patent Document 2, it is described that an authentication key exchange process for transmitting and receiving an authentication key for authenticating each other can be performed ([0008]).
また、少なくとも秘密鍵x(ただし、xは0からp−1の整数)と公開鍵g1、g2、w、u、v(ただし、w=g2x 、uとvはG2 の元)を生成し、文書mを取得する。次に、乱数r、sを生成し、
σ={g1m φ(u)φ(v)s }1/(x+r)
を計算し、署名(σ、r、s)と文書mとを署名検証装置に送信する。署名検証装置では、署名(σ、r、s)と文書mを受信し、署名生成装置の公開鍵g1、g2、w、u、vを取得する。次に、
e(σ,wg2r )=e(g1,g2m uvs )
が成り立つことを確認し、真の場合には署名は有効、偽の場合には署名は無効と判断することによって、ハッシュ関数を使わない署名方式であり、かつ他のタイプの署名(グループ署名やブラインド署名など)に利用できる署名方式を提供する、デジタル署名方法、デジタル署名生成方法、デジタル署名検証方法、それらの方法を用いたシステム、装置、プログラム、および記録媒体が知られている(特許文献3参照)。
Also, at least a secret key x (where x is an integer from 0 to p-1) and public keys g1, g2, w, u, v (where w = g2 x , u and v are elements of G 2 ) are generated. The document m is acquired. Next, random numbers r and s are generated,
σ = {g1 m φ (u) φ (v) s } 1 / (x + r)
And the signature (σ, r, s) and the document m are transmitted to the signature verification apparatus. The signature verification apparatus receives the signature (σ, r, s) and the document m, and acquires the public keys g1, g2, w, u, v of the signature generation apparatus. next,
e (σ, wg2 r ) = e (g1, g2 m uv s )
If it is true, the signature is valid, and if it is false, the signature is invalid. A digital signature method, a digital signature generation method, a digital signature verification method, a system, an apparatus, a program, and a recording medium using these methods are known that provide a signature scheme that can be used for blind signatures, etc. (Patent Literature) 3).
特許文献3記載の技術によれば、双線形写像の群演算を効率的に計算できる旨が記載されている(〔0009〕,〔0010〕)。 According to the technique described in Patent Document 3, it is described that a group operation of a bilinear map can be efficiently calculated ([0009], [0010]).
また、動的に変化するネットワークアドレスと完全修飾ドメイン名とを対応づけて管理するサーバと、相互間で暗号化通信を行う複数のネットワーク端末とを備え、各ネットワーク端末は、自らのネットワークアドレスをサーバに登録し、暗号化通信を行う相手先のネットワークアドレスをDDNSサーバに問い合わせ、相手先のネットワークアドレスを得られなかったときは、鍵交換待ち状態に入り、相手先のネットワークアドレスを得られたときは、相手先に対して鍵交換通信を開始、もしくは鍵交換通信に先立つ通知を行うことによって、動的にIPアドレスが変化し、いずれが先にネットワークに接続するか分からない二つのネットワーク端末間で確実に鍵交換を行うことができるようにする、ネットワークシステムおよび鍵交換方法が知られている(特許文献4参照)。 In addition, the server includes a server that manages a dynamically changing network address and a fully qualified domain name in association with each other, and a plurality of network terminals that perform encrypted communication with each other, and each network terminal has its own network address. Register with the server, query the DDNS server for the destination network address for encrypted communication, and if the destination network address cannot be obtained, enter the key exchange wait state and get the destination network address When two network terminals do not know which one will connect to the network first, by dynamically starting the key exchange communication to the other party, or by giving a notification prior to the key exchange communication, the IP address changes dynamically Network system and key exchange method to ensure that key exchange is possible It is known (see Patent Document 4).
特許文献4記載の技術によれば、鍵交換を行う二つのネットワーク端末が、いずれもネットワークアドレスが動的に変わる環境にあっても確実に二つの端末間で鍵情報を交換することを可能にする旨が記載されている(〔0011〕)。 According to the technique described in Patent Document 4, two network terminals that perform key exchange can reliably exchange key information between two terminals even in an environment where the network address dynamically changes. ([0011]).
また、暗号システムにおける秘密鍵が、秘密鍵を明かすことなく入れ替えられ得る方法及び/又はシステムにおける、1つの実施形態は、第1のプライベート鍵と対応する第1の公開鍵を創出すること、を具備する。第1のプライベート鍵に関係付けられた第2のプライベート鍵および第2のプライベート鍵に対応する第2の公開鍵もまた創出される。第2のプライベート鍵は、それが再創出されることが可能であるように一回アウトプットされ、そして、第2の公開鍵は、第1の公開鍵をアウトプットする時にアウトプットされる。第1のプライベート鍵は、認証のために使用される。本方法は、第2のプライベート鍵を再創出すること、及び第2のプライベート鍵を認証のために使用することを、さらに具備する。別の1つの実施形態は、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出すること、公開鍵をアウトプットする時にシステムパラメータをアウトプットすること、及び、プライベート鍵を認証のために使用すること、を具備する。本方法は、更に、以前のプライベート鍵とシステムパラメータを利用して新しいプライベート鍵を創出すること、を具備する。このような、暗号鍵を入れ替えるためのシステム、装置および方法が知られている(特許文献5参照)。 Also, one embodiment of the method and / or system in which a secret key in a cryptographic system can be replaced without revealing the secret key is to create a first public key corresponding to the first private key. It has. A second private key associated with the first private key and a second public key corresponding to the second private key are also created. The second private key is output once so that it can be re-created, and the second public key is output when outputting the first public key. The first private key is used for authentication. The method further comprises re-creating a second private key and using the second private key for authentication. Another embodiment includes creating a private key and a corresponding public key with associated system parameters, outputting system parameters when outputting the public key, and authenticating the private key. It is used for. The method further comprises creating a new private key utilizing the previous private key and system parameters. Such a system, apparatus, and method for exchanging encryption keys are known (see Patent Document 5).
特許文献5記載の技術によれば、公開暗号システムにおける認証のための方法として、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出する旨が記載されている(〔0011〕)。
非特許文献1に記載された従来の認証付き鍵交換方式における第一の問題点は、装置A と装置B との間で3回の通信が発生しているということである。通信が多数回発生すると、各装置は相手装置が返信するのを待たなければならなくなり、実行速度が低下するので、通信回数が少ない方が好ましい。 The first problem in the conventional authenticated key exchange method described in Non-Patent Document 1 is that three communications occur between the device A and the device B. If communication occurs many times, each device must wait for the other device to reply, and the execution speed decreases, so it is preferable that the number of communication is small.
第2の問題点は、各装置が暗号化装置、復号装置を備えている点と、この暗号化装置で生成された暗号文を送信する必要があるということである。暗号化装置は、重い計算を行わねばならず、これによって鍵交換の実行速度を低下させるという問題を生じるとともに、暗号文のデータ量が大きいため、装置間の通信量を増大させるという問題を引き起こす。 The second problem is that each device includes an encryption device and a decryption device, and it is necessary to transmit a ciphertext generated by the encryption device. The encryption device must perform heavy calculations, thereby causing a problem that the execution speed of the key exchange is reduced, and a large amount of ciphertext data causes a problem of increasing the communication amount between the devices. .
第3の問題点は、各装置は、鍵を交換する相手装置の公開鍵を予め入手する必要があるということである。もしも相手装置の公開鍵を持っていなければ、各装置はさらに通信を行う必要が生じる。特に、最初に通信を開始する装置A は、装置B から公開鍵 pkB を最初に受信することが必要になるため、少なくとも4回の通信が必要となる。 A third problem is that each device needs to obtain in advance the public key of the partner device with which the key is exchanged. If the other device does not have the public key, each device will need to communicate further. In particular, since the device A that starts communication first needs to receive the public key pkB from the device B first, at least four times of communication is required.
上記課題を解決するため、この発明は識別子に基づく鍵交換装置に係り、互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを上記長期記憶領域に保存する機能を備えた記憶手段と、鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を上記乱数から生成し、暫定識別子を上記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを上記内部状態に保存して、上記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、上記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴としている。 In order to solve the above-mentioned problem, the present invention relates to an identifier-based key exchange device, in which two key exchange devices in a system that communicate with each other and share the same key calculate a bilinear map in a multiplicative group. When a system parameter, a system public key, a self-identifier and a self-secret key are input, the long-term storage area and the long-term storage area are stored in the long-term storage area. When a storage means having a function to store, a key exchange start command and a partner identifier are input, a random number is taken to generate a temporary key from the random number, a temporary identifier is generated using the temporary key, Communication means for storing data including the temporary key, the temporary identifier, and the partner identifier in the internal state, and transmitting the data including the temporary identifier to the key exchange apparatus having the partner identifier. With, respectively, the two key exchange devices, based on a device of the other party that communicates to the partner identifier is characterized by being configured so as to be able to authenticate each other.
この発明の識別子に基づく鍵交換装置によれば、鍵交換装置を二つ走らせることによって、互いに認証しあった鍵を交換することができる。 According to the key exchange device based on the identifier of the present invention, the authenticated keys can be exchanged by running two key exchange devices.
以下、本発明を実施するための最良の形態について、図面を参照しながら詳細に説明する。 Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings.
図1は、この発明の実施形態における、鍵交換装置が利用する秘密鍵発行装置の構成を示す図、図2は、この発明の実施形態における、鍵交換装置の起動時に関わる構成を示す図、図3は、この発明の実施形態における、鍵交換装置の鍵交換開始時に関わる構成を示す図、図4は、この発明の実施形態における、鍵交換装置の交換鍵の生成に関わる構成を示す図である。 FIG. 1 is a diagram showing a configuration of a secret key issuing device used by a key exchange device in an embodiment of the present invention, and FIG. 2 is a diagram showing a configuration related to activation of the key exchange device in an embodiment of the present invention, FIG. 3 is a diagram showing a configuration related to the start of key exchange of the key exchange device in the embodiment of the present invention, and FIG. 4 is a diagram showing a configuration related to generation of an exchange key of the key exchange device in the embodiment of the present invention. It is.
以下、図1〜図4を用いて説明する。最初に、この発明の全体構成を説明する。なお、以下の説明において、鍵交換装置、暫定識別子生成装置、秘密鍵発行装置等は、コンピュータのハードウェアによって構成されているものとする。
いま、q を素数、G, G' を位数q の乗法的巡回群、e を Gの二つの要素をG'の要素に写す双線形写像とする。なおe が双線形であるとは、G の任意の要素 u,vと Z/qZ の任意の要素 a,bに対して、e( ua ,vb ) =(u ,v)abが成り立つことである。
g をG の生成元とする。Hashをハッシュ関数とする。鍵交換装置は、群G,G'における双線形写像 e, 群演算装置 Z/qZ の体演算の装置およびハッシュ関数の演算装置が備わっているものとする。また生成元g を保持しているとする。
Hereinafter, description will be given with reference to FIGS. First, the overall configuration of the present invention will be described. In the following description, it is assumed that the key exchange device, provisional identifier generation device, secret key issue device, and the like are configured by computer hardware.
Let q be a prime number, G, G 'be a multiplicative cyclic group of order q, and e be a bilinear map that maps two elements of G to elements of G'. If e is bilinear, e (u a , v b ) = (u, v) ab holds for any element u, v of G and any element a, b of Z / qZ That is.
Let g be a generator of G. Let Hash be a hash function. It is assumed that the key exchange device includes a bilinear map e in groups G and G ′, a field operation device of group operation device Z / qZ, and a hash function operation device. Also assume that the generator g is held.
なお、Hash をその値域がZ/qZ、Hash' をその値域がG であるハッシュ関数、Hash''をその値域が交換鍵の空間であるハッシュ関数とする。φ は、対応するデータが空であることを表す。 "開始" のように引用記号で括られる単語は、文字列データとして扱われる。(q,G,G',e,g,Hash,Hash',Hash'')をシステムパラメターと呼ぶ。 Note that Hash is a hash function whose range is Z / qZ, Hash ′ is a hash function whose range is G, and Hash ″ is a hash function whose range is the space of the exchange key. φ represents that the corresponding data is empty. A word enclosed in quotation marks such as “start” is treated as character string data. (q, G, G ', e, g, Hash, Hash', Hash '') are called system parameters.
鍵交換装置以外に、秘密鍵発行装置100がある。この装置は全ての鍵交換装置が作動する前に、一回だけ次の動作を行う。システムパラメター101と乱数102が入力され、これよりシステム秘密鍵生成装置103がシステム秘密鍵104 s∈Z/qZをランダムに生成する。次にシステム公開鍵生成装置105がシステム公開鍵106として z= gs を生成し、これを公開する。この操作の後、識別子107idに対する鍵発行の依頼があったならば、秘密鍵生成装置108が, yid= Hash'(id,z)を計算し、さらに xid=yid s を計算する。xidを識別子 id の秘密鍵209として返送するとする。
In addition to the key exchange device, there is a secret key issuing device 100. This device performs the following operation only once before all the key exchange devices are activated. The
交換結果である効果鍵は、図示されない読み出し装置により読み込まれ、外部のアプリケーションにより利用される。 The effect key as the exchange result is read by a reading device (not shown) and used by an external application.
起動時には、鍵交換装置200は、システムパラメター201(q,G,G',e,g,Hash,Hash',Hash'')、システム公開鍵202 z、自己識別子203 Aと、秘密鍵発行装置100が、自己識別子203が識別子107として入力されたときに生成した秘密鍵109である自己秘密鍵204 xA が入力されて起動されると、 yA =Hash'(A,z)を生成して、(q,G,G',e,g,Hash,Hash',Hash''), z, A, yA , xA を長期記憶装置205に保存して、命令待ち状態に入る。
At the time of activation, the key exchange device 200 includes a system parameter 201 (q, G, G ′, e, g, Hash, Hash ′, Hash ″), a system public key 202 z, a self-identifier 203 A, and a secret key issuing device. When the self-secret key 204 x A which is the
命令待ち状態の鍵交換装置200が、鍵交換開始命令206,相手識別子B 207を入力された場合、次のように動作する。
When the key exchange device 200 in the command waiting state receives the key
1.乱数208を取り込む。
2.暫定鍵生成装置209は、暫定鍵210r ∈Z/qZを、乱数208から生成する。
3.暫定識別子生成装置211は、暫定識別子212 hA = gr を生成する。
4.内部状態装置213に(A,B,hA,r)を保存する。
5.メッセージ214(A,B,hA ) を識別子B を持つ鍵交換装置に送信する。
6.命令待ち状態に入る。
1. The
2. The temporary
3. Provisional
4). Store (A, B, h A , r) in the
5. A message 214 (A, B, h A ) is transmitted to the key exchange apparatus having the identifier B.
6). Enter command wait state.
命令待ち状態の鍵交換装置が、鍵交換続行命令215,メッセージ216(B',A , hB')を入力された場合、次のように動作する。ただし、A は長期記憶装置205に保存されている自己識別子203でなければならない。
ここで、メッセージ216は相手の鍵交換装置が生成したもの、B'は相手の自己識別子217、A は相手から見た相手識別子218、すなわち自己識別子203、 hB'は相手の暫定識別子219である。
When the key exchange device in the command waiting state receives the key
Here, the
1.データ (h'A ,B',r') が内部状態装置213に存在すれば次の処理へ進む。
2.第一ハッシュ装置220は第一ハッシュ値221 u=Hash( h'A, B' )、第二ハッシュ装置222は第二ハッシュ値223 v=Hash ( hB',A ) 、第三ハッシュ装置224は第三ハッシュ値225 yB'= Hash'(B',z)を生成する。
3.第一要素生成装置226はペアリング第一要素227p1= zr xA u を生成し、第一要素生成装置228はペアリング第一要素229p2= hB' yB' v を生成する。
ペアリング- ハッシュ装置230は交換鍵231 K=Hash''( e(p1,p2)) を生成する。
4.k を交換鍵231として出力する。
1. If the data (h ′ A , B ′, r ′) exists in the
2. The
3. The first
The pairing-hash device 230 generates the exchange key 231 K = Hash ″ (e (p1, p2)).
4). k is output as the
以上説明した鍵交換装置を二つ走らせると、互いに認証しあった鍵を交換することができる。このことは、次のようにして確認することができる。
鍵交換装置200において、鍵交換装置A は、システムパラメター(q,G,G',e,g, Hash,Hash',Hash''),システム公開鍵 z, 自己識別子 A,自己秘密鍵xAが入力されて起動され、yA=Hash'(A,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, A, yA,xAを長期記憶装置205に保存して、命令待ち状態に入る。
When the two key exchange devices described above are run, mutually authenticated keys can be exchanged. This can be confirmed as follows.
In the key exchange device 200, the key exchange device A includes system parameters (q, G, G ′, e, g, Hash, Hash ′, Hash ″), a system public key z, a self identifier A, a self secret key x A Is entered, y A = Hash '(A, z) is generated, and (q, G, G', e, g, Hash, Hash ', Hash''), z, A, y A , x A are stored in the long-
鍵交換装置B は、システムパラメター(q,G,G',e,g,Hash,Hash',Hash''), システム公開鍵 z, 自己識別子 B, 自己秘密鍵xBが入力されて起動され、yB=Hash'(B,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, B, yB,xBを長期記憶装置205に保存して、命令待ち状態に入る。
Key exchange device B is activated by inputting system parameters (q, G, G ', e, g, Hash, Hash', Hash ''), system public key z, self-identifier B, and self-secret key x B. , Y B = Hash '(B, z) and (q, G, G', e, g, Hash, Hash ', Hash''), z, B, y B , x B The data is saved in the
命令待ち状態の鍵交換装置A が、鍵交換開始命令, 相手識別子B を入力されて、
1.乱数を取り込み、
2. r∈Z/qZを乱数から生成し、
3. hA = gr を生成し、
4.内部状態に(A,B,hA,r)を保存し、
5.メッセージ (A,B,hA) を識別子B を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
The key exchange device A in the command waiting state receives the key exchange start command and the partner identifier B,
1. Take random numbers,
2. Generate r∈Z / qZ from random numbers,
3. Generate h A = g r
4.Save (A, B, h A , r) in the internal state,
5. Send the message (A, B, h A ) to the key exchange device with identifier B,
6. Enter command wait state.
命令待ち状態の鍵交換装置B が、鍵交換開始命令, 相手識別子A を入力されて、
1.乱数を取り込み、
2. t∈Z/qZを乱数から生成し、
3. hB = gt を生成し、
4.内部状態に(B,A,hB,t)を保存し、
5.メッセージ (B,A,hB) を識別子A を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
Key exchange device B waiting for command receives key exchange start command and partner identifier A,
1. Take random numbers,
2. Generate t∈Z / qZ from random numbers,
3. Generate h B = g t
4.Save (B, A, h B , t) in the internal state,
5. Send the message (B, A, h B ) to the key exchange device with identifier A,
6. Enter command wait state.
命令待ち状態の鍵交換装置A が、鍵交換続行命令, メッセージ (B,A,hB) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yB = Hash'(B,z) を生成し、
2. K= Hash''( e(zr xA u ,hB yB v )) を生成して、
3. Kを交換鍵として出力する。
Key exchange device A in the command waiting state receives a key exchange continuation command and a message (B, A, h B )
1. Generate u = Hash (h A , B), v = Hash (h B , A), y B = Hash '(B, z)
2. Generate K = Hash '' (e (z r x A u , h B y B v ))
3. Output K as an exchange key.
命令待ち状態の鍵交換装置B が、鍵交換続行命令, メッセージ (A,B,hA) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yA =Hash'(A,z)を生成し、
2. K' =Hash''( e( zt xB v ,hA yA u )) を生成して、
3. K' を交換鍵として出力する。
Key exchange device B in the command waiting state receives a key exchange continuation command, message (A, B, h A ),
1. Generate u = Hash (h A , B), v = Hash (h B , A), y A = Hash '(A, z)
2. Generate K '= Hash''(e (z t x B v , h A y A u ))
3. Output K 'as an exchange key.
ここで、交換鍵K と交換鍵K'が等しいことを示す。これは、
e( zr xA u ,hB yB v ) = e(zt xB v ,hA yA u ) を言えればよいが、実際に、
e( zr xA u ,hB yB v )
= e(gsryA su,gt yB v )
= e(gr yA u ,gstyB sv)
= e(hA yA u ,zt xB v )
= e(zt xB v ,hA yA u )
である。
Here, it is shown that the exchange key K and the exchange key K ′ are equal. this is,
e (z r x A u , h B y B v ) = e (z t x B v , h A y A u )
e (z r x A u , h B y B v )
= E (g sr y A su , g t y B v )
= E (g r y A u , g st y B sv )
= E (h A y A u , z t x B v )
= E (z t x B v , h A y A u )
It is.
以上に示した通り、鍵交換装置A と鍵交換装置B は同じ鍵を交換することに成功する。また、両者は、それぞれの秘密鍵xAあるいは xB を用いなければならず、これを持たないものが両者の通信 hA,hBを見ても、交換された鍵を知ることができない。
また、秘密鍵xAを知らないものが、適当にhAを生成して鍵交換装置B に送付しても、鍵交換装置B が生成した交換鍵を知ることはできない。
As described above, the key exchange device A and the key exchange device B succeed in exchanging the same key. Also, it must be used each private key x A or x B, those without it even looking at both communications h A, h B, it is impossible to know the exchanged key.
Further, even if a person who does not know the secret key x A generates h A appropriately and sends it to the key exchange apparatus B, the exchange key generated by the key exchange apparatus B cannot be known.
以上、この発明の実施形態を図面により詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく,この発明の要旨を逸脱しない範囲の設計の変更等があってもこの発明に含まれる。例えば、鍵交換を行う装置は、二つのみの場合に限らず、任意の複数の鍵交換装置から選択された二つの鍵交換装置であってもよい。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiment, and even if there is a design change or the like without departing from the gist of the present invention. Included in the invention. For example, the number of devices that perform key exchange is not limited to two, but may be two key exchange devices selected from a plurality of arbitrary key exchange devices.
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有する共通鍵方式を用いたシステムにおいて、一般的に利用可能なものである。 The present invention can be generally used in a system using a common key system in which two key exchange apparatuses communicate with each other and share the same key.
100 秘密鍵発行装置
101,201 システムパラメター
102,208 乱数
103 システム秘密鍵生成装置
104 システム秘密鍵
105 システム公開鍵生成装置
106,202 システム公開鍵
107 識別子
108 秘密鍵生成装置
109 秘密鍵
200 鍵交換装置
202 システム公開鍵
203,232 自己識別子
204 自己秘密鍵
205 長期記憶装置
206 鍵交換開始命令
207 相手識別子
209 暫定鍵生成装置
210 暫定鍵
211 暫定識別子生成装置
212 暫定識別子
213 内部状態装置
214,216 メッセージ
215 鍵交換続行命令
217 (相手)自己識別子
218 (相手)相手識別子
219 (相手)暫定識別子
220 第一ハッシュ装置
221 第一ハッシュ値
222 第二ハッシュ装置
223 第二ハッシュ値
224 第三ハッシュ装置
225 第三ハッシュ値
226 第一要素生成装置
227 ペアリング第一要素
228 第二要素生成装置
229 ペアリング第二要素
230 ペアリング−ハッシュ装置
231 交換鍵
DESCRIPTION OF SYMBOLS 100 Private key issuing apparatus 101,201 System parameter 102,208
Claims (5)
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。 Two key exchange devices in a system that communicate with each other and share the same key,
An arithmetic means having an arithmetic part for calculating a bilinear map in a multiplicative group;
A long-term storage area and an area for saving the internal state are set, and when a system parameter, system public key, self-identifier and self-secret key are input, the long-term storage area has a function to save them in the long-term storage area Storage means;
When a key exchange start command and a partner identifier are input, a random number is fetched to generate a temporary key from the random number, a temporary identifier is generated using the temporary key, and data including the temporary key, the temporary identifier, and the partner identifier Communication means for storing data in the internal state and transmitting data including the temporary identifier to a key exchange device having a partner identifier,
An identifier-based key exchange device, wherein the two key exchange devices are configured to be able to authenticate each other device with which communication is performed based on the identifier of the other device.
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、二つのペアリング要素の双線形写像の像を生成し、そのハッシュ関数の像を交換鍵として出力することによって鍵交換のための通信回数を少なくしながら、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。 Two key exchange devices in a system that communicate with each other and share the same key,
An arithmetic means having an arithmetic part for calculating a bilinear map in a multiplicative group;
A long-term storage area and an area for saving the internal state are set, and when a system parameter, system public key, self-identifier and self-secret key are input, the long-term storage area has a function to save them in the long-term storage area Storage means;
When a key exchange start command and a partner identifier are input, a random number is fetched to generate a temporary key from the random number, a temporary identifier is generated using the temporary key, and data including the temporary key, the temporary identifier, and the partner identifier Communication means for storing data in the internal state and transmitting data including the temporary identifier to a key exchange device having a partner identifier,
The two key exchange devices generate a bilinear mapping image of two pairing elements, and output the hash function image as an exchange key, thereby reducing the number of times of communication for key exchange. A key exchange device based on an identifier, characterized in that the devices to be performed can be mutually authenticated based on the identifier of the partner.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008159793A JP2011199325A (en) | 2008-06-18 | 2008-06-18 | Key exchange device based on identifier |
PCT/JP2009/052801 WO2009154020A1 (en) | 2008-06-18 | 2009-02-18 | Key exchange device and method based on identifier |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008159793A JP2011199325A (en) | 2008-06-18 | 2008-06-18 | Key exchange device based on identifier |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011199325A true JP2011199325A (en) | 2011-10-06 |
Family
ID=41433938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008159793A Pending JP2011199325A (en) | 2008-06-18 | 2008-06-18 | Key exchange device based on identifier |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2011199325A (en) |
WO (1) | WO2009154020A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231077A (en) * | 2014-06-04 | 2015-12-21 | 株式会社日立製作所 | Re-encryption key registration method, re-encryption device, and re-encryption system |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9161215B2 (en) | 2011-02-14 | 2015-10-13 | Telefonaktiebolaget L M Ericsson (Publ) | Wireless device, registration server and method for provisioning of wireless devices |
JP6536999B2 (en) * | 2017-11-28 | 2019-07-03 | 国立研究開発法人情報通信研究機構 | Host device |
CN110868285B (en) * | 2018-08-28 | 2023-05-19 | 中国电信股份有限公司 | Authentication method, server, system, and computer-readable storage medium |
EP3751782A1 (en) * | 2019-06-14 | 2020-12-16 | Siemens Aktiengesellschaft | Method for establishing a secure data communication for a processing device and a trust module for generating a cryptographic key |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7353395B2 (en) * | 2002-03-21 | 2008-04-01 | Ntt Docomo Inc. | Authenticated ID-based cryptosystem with no key escrow |
JP2007288480A (en) * | 2006-04-17 | 2007-11-01 | Mitsubishi Electric Corp | Statistical processing method and system, and data providing device |
JP4781896B2 (en) * | 2006-04-26 | 2011-09-28 | 日本電信電話株式会社 | Encrypted message transmission / reception method, sender apparatus, receiver apparatus, key server, and encrypted message transmission / reception system |
JP4869824B2 (en) * | 2006-08-08 | 2012-02-08 | 三菱電機株式会社 | Receiver device, sender device, cryptographic communication system, and program |
-
2008
- 2008-06-18 JP JP2008159793A patent/JP2011199325A/en active Pending
-
2009
- 2009-02-18 WO PCT/JP2009/052801 patent/WO2009154020A1/en active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015231077A (en) * | 2014-06-04 | 2015-12-21 | 株式会社日立製作所 | Re-encryption key registration method, re-encryption device, and re-encryption system |
Also Published As
Publication number | Publication date |
---|---|
WO2009154020A1 (en) | 2009-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Odelu et al. | Provably secure authenticated key agreement scheme for smart grid | |
JP7371015B2 (en) | Computer-implemented systems and methods for performing atomic swaps using blockchain | |
US9906505B2 (en) | RSA decryption using multiplicative secret sharing | |
US9106410B2 (en) | Identity based authenticated key agreement protocol | |
JP4800624B2 (en) | System, apparatus and method for exchanging encryption key | |
US8121290B2 (en) | Pseudo-random function calculating device and method and number-limited anonymous authentication system and method | |
JP2004208262A (en) | Apparatus and method of ring signature based on id employing bilinear pairing | |
WO2009154020A1 (en) | Key exchange device and method based on identifier | |
Hazra et al. | A hybrid cryptosystem of image and text files using blowfish and Diffie-Hellman techniques | |
JP2004229137A (en) | Linked signature creating method | |
Hasan | Overview and applications of zero knowledge proof (ZKP) | |
JP2007060213A (en) | Key distribution device and method therefor | |
EP2395698B1 (en) | Implicit certificate generation in the case of weak pseudo-random number generators | |
JP5182100B2 (en) | Key exchange device, key exchange processing system, key exchange method and program | |
JP3275812B2 (en) | ID-authenticated key distribution method and apparatus, and machine-readable recording medium recording program | |
CN110572788A (en) | Wireless sensor communication method and system based on asymmetric key pool and implicit certificate | |
AU2019238635A1 (en) | Method and terminal for establishing security infrastructure and device | |
CN114050897B (en) | SM 9-based asynchronous key negotiation method and device | |
US11438146B1 (en) | System and method for performing key exchange while overcoming a malicious adversary party | |
Chang et al. | Comments on a Secret-key-privacy-preserving authentication and key agreement scheme | |
JP5278330B2 (en) | Key exchange apparatus and key exchange method | |
Zhang et al. | BCAE: A Blockchain-Based Cross Domain Authentication Scheme for Edge Computing | |
JP2008228261A (en) | Method and apparatus for sharing common data in cryptographic manner and transmitting the same | |
Chuanrong et al. | Secure mobile agent protocol by using signcryption schemes | |
JPH1165441A (en) | Method and device for providing identity of plain sentence for plural ciphered sentences |