JP2012078574A - 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム - Google Patents
鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム Download PDFInfo
- Publication number
- JP2012078574A JP2012078574A JP2010223881A JP2010223881A JP2012078574A JP 2012078574 A JP2012078574 A JP 2012078574A JP 2010223881 A JP2010223881 A JP 2010223881A JP 2010223881 A JP2010223881 A JP 2010223881A JP 2012078574 A JP2012078574 A JP 2012078574A
- Authority
- JP
- Japan
- Prior art keywords
- key
- key exchange
- integer
- exchange device
- term
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】攻撃者が短期秘密鍵を取得しても安全性を維持できる階層型ID認証鍵交換方式を提供する。
【解決手段】鍵交換装置は、短期鍵生成部、短期公開鍵受信部、セッション鍵生成部を備える。短期鍵生成部は、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、短期公開鍵epkBを相手の鍵交換装置に送信する。短期公開鍵受信部は、相手の鍵交換装置から、短期公開鍵epkA=(Y0,YA,2,…,YA,M)を受信する。セッション鍵生成部は、σ1,σ2,σ3を計算し、ハッシュ関数Hを用いてセッション鍵Kを求める。
【選択図】図6
【解決手段】鍵交換装置は、短期鍵生成部、短期公開鍵受信部、セッション鍵生成部を備える。短期鍵生成部は、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、短期公開鍵epkBを相手の鍵交換装置に送信する。短期公開鍵受信部は、相手の鍵交換装置から、短期公開鍵epkA=(Y0,YA,2,…,YA,M)を受信する。セッション鍵生成部は、σ1,σ2,σ3を計算し、ハッシュ関数Hを用いてセッション鍵Kを求める。
【選択図】図6
Description
本発明は、2つの装置で鍵を共有するための鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラムに関する。
従来の階層型ID認証鍵交換方式として、非特許文献1のMDC方式が知られている。背景技術の説明では、kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、eはG×G→GTのように写像する双線形ペアリング関数、gT=e(g1,g2)は群GTの生成元、Hは群Gの元をk1ビットの整数に変換するハッシュ関数、H’は群GTの元をk3ビットの整数に変換するハッシュ関数、fはk1ビット以上の整数をk2ビットの整数に変換するメッセージ認証コード、LはIDの階層の深さの最大値、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、IDAmとIDBmは0以上p−1以下の整数、^はべき乗を示す記号、(+)は排他的論理和を示す記号とする。
図1は、従来の階層型ID認証鍵交換方式のシステム構成を説明するための図である。図1のシステムでは、ネットワーク1000を介して鍵生成手段910、鍵交換装置A19201〜鍵交換装置AM920M、鍵交換装置B19301〜鍵交換装置BN930Nが接続されている。鍵交換装置A19201〜鍵交換装置AM920Mは階層的に識別子が付与されており、鍵交換装置Am920mの識別子は(IDA1,…,IDAm)である。同様に鍵交換装置B19301〜鍵交換装置BN930Nも階層的に識別子が付与されており、鍵交換装置Bn930nの識別子は(IDB1,…,IDBn)である。
鍵生成手段910は、群Gの元g2,g3,h1,…,hL、および0以上p−1以下の整数sをランダムに選ぶ。そして、g2^sをマスタ秘密鍵とし、(g,g1=g^s,g2,g3,h1,…,hL,gT,f,H,H’)をマスタ公開鍵とし、マスタ公開鍵を公開する。
鍵生成手段910は、0以上p−1以下の乱数rAmを生成し、
((g2^s)・((h1^IDA1)・…・(hm^IDAm)・g3)^rAm,g^rAm,(hm+1^rAm),…,(hL^rAm))=(uA1,uA2,uA|m+1,…,uA|L)
を鍵交換装置Am920m用の秘密鍵dAmとする。また、鍵生成手段910は、同様に0以上p−1以下の乱数rBnを生成し、
((g2^s)・((h1^IDB1)・…・(hn^IDBn)・g3)^rBn,g^rBn,(hn+1^rBn),…,(hL^rBn))=(uB1,uB2,uB|n+1,…,uB|L)
を鍵交換装置Bn930n用の秘密鍵dBnとする。
((g2^s)・((h1^IDA1)・…・(hm^IDAm)・g3)^rAm,g^rAm,(hm+1^rAm),…,(hL^rAm))=(uA1,uA2,uA|m+1,…,uA|L)
を鍵交換装置Am920m用の秘密鍵dAmとする。また、鍵生成手段910は、同様に0以上p−1以下の乱数rBnを生成し、
((g2^s)・((h1^IDB1)・…・(hn^IDBn)・g3)^rBn,g^rBn,(hn+1^rBn),…,(hL^rBn))=(uB1,uB2,uB|n+1,…,uB|L)
を鍵交換装置Bn930n用の秘密鍵dBnとする。
このように鍵が生成された状態で、ユーザUAが使用する鍵交換装置AM920MとユーザUBが使用する鍵交換装置BN930Nとが共有鍵Kを共有する手順を次に示す。鍵交換装置AM920Mは、0以上p−1以下の整数xをランダムに選び、短期秘密鍵とする。そして、
X1=g^x
X2=((h1^IDB1)・…・(hN^IDBN)・g3)^x
X3=gT^x
を計算し、(UA,X1,X2)を短期公開鍵として鍵交換装置BN930Nに送る。なお、X3は秘密情報として鍵交換装置AM920Mが保持する。
X1=g^x
X2=((h1^IDB1)・…・(hN^IDBN)・g3)^x
X3=gT^x
を計算し、(UA,X1,X2)を短期公開鍵として鍵交換装置BN930Nに送る。なお、X3は秘密情報として鍵交換装置AM920Mが保持する。
鍵交換装置BN930Nは、(UA,X1,X2)を受信する。鍵交換装置BN930Nは、0以上p−1以下の整数yをランダムに選び、短期秘密鍵とする。そして、
Y1=g^y
Y2=((h1^IDA1)・…・(hM^IDAM)・g3)^y
Y3=gT^y
を計算する。また、
KA=e(X1,uB1)/e(uB2,X2)
=e(g^x,(g2^s)・((h1^IDB1)・…・(hN^IDBN)・g3)^rBN)/e(g^rBN,((h1^IDB1)・…・(hN^IDBN)・g3)^x)
=e(g^x,g2^s)
=gT^x
を計算し、メッセージ認証子hを
h=fHA(UA,UB,Y1,Y2)
ただし、HA=H(KA)
のように計算する。そして、(X1,Y1,Y2,h)を短期公開鍵として鍵交換装置AM920Mに送信する。また、鍵交換装置BN930Nは、共有鍵Kを、
K=H’(KA^y)(+)H’(KA・Y3)
のように計算して求める。
Y1=g^y
Y2=((h1^IDA1)・…・(hM^IDAM)・g3)^y
Y3=gT^y
を計算する。また、
KA=e(X1,uB1)/e(uB2,X2)
=e(g^x,(g2^s)・((h1^IDB1)・…・(hN^IDBN)・g3)^rBN)/e(g^rBN,((h1^IDB1)・…・(hN^IDBN)・g3)^x)
=e(g^x,g2^s)
=gT^x
を計算し、メッセージ認証子hを
h=fHA(UA,UB,Y1,Y2)
ただし、HA=H(KA)
のように計算する。そして、(X1,Y1,Y2,h)を短期公開鍵として鍵交換装置AM920Mに送信する。また、鍵交換装置BN930Nは、共有鍵Kを、
K=H’(KA^y)(+)H’(KA・Y3)
のように計算して求める。
鍵交換装置AM920Mは、(X1,Y1,Y2,h)を受信する。鍵交換装置AM920Mは、メッセージ認証子hが、
fHX(UA,UB,Y1,Y2)
ただし、HX=H(X3)
と等しいことを確認する。そして、等しくない場合は、鍵交換装置AM920Mは処理を中止する。等しい場合は、鍵交換装置AM920Mは
KB=e(Y1,uA1)/e(uA2,Y2)
=e(g^y,(g2^s)・((h1^IDA1)・…・(hM^IDAM)・g3)^rAM)/e(g^rAM,((h1^IDA1)・…・(hM^IDAM)・g3)^y)
=e(g^y,g2^s)
=gT^y
を計算し、共有鍵Kを、
K=H’(KB^x)(+)H’(KB・X3)
のように計算して求める。
fHX(UA,UB,Y1,Y2)
ただし、HX=H(X3)
と等しいことを確認する。そして、等しくない場合は、鍵交換装置AM920Mは処理を中止する。等しい場合は、鍵交換装置AM920Mは
KB=e(Y1,uA1)/e(uA2,Y2)
=e(g^y,(g2^s)・((h1^IDA1)・…・(hM^IDAM)・g3)^rAM)/e(g^rAM,((h1^IDA1)・…・(hM^IDAM)・g3)^y)
=e(g^y,g2^s)
=gT^y
を計算し、共有鍵Kを、
K=H’(KB^x)(+)H’(KB・X3)
のように計算して求める。
ここで、
KA^y=KB^x=gT^(xy)
KA・Y3=KB・X3=gT^(x+y)
なので、鍵交換装置AM920Mと鍵交換装置BN930Nとが求めた共有鍵Kは一致する。
KA^y=KB^x=gT^(xy)
KA・Y3=KB・X3=gT^(x+y)
なので、鍵交換装置AM920Mと鍵交換装置BN930Nとが求めた共有鍵Kは一致する。
森山大輔, 土井洋, 趙晋輝, "A Two-Party Hierarchical Identity Based Key Agreement Protocol Without Random Oracles",暗号と情報セキュリティシンポジウムSCIS2008 , 4D1-1,2008.
しかしながら、従来技術は短期秘密鍵が漏れると安全でなくなるという課題がある。具体的には、攻撃者Cが、短期秘密鍵x、yを取得したとすると、攻撃者Cは、
K=H’(gT^(xy))(+)H’(gT^(x+y))
を計算することで、共有鍵Kを取得できる。
K=H’(gT^(xy))(+)H’(gT^(x+y))
を計算することで、共有鍵Kを取得できる。
本発明は、攻撃者が短期秘密鍵を取得しても安全性を維持できる階層型ID認証鍵交換方式を提供することを目的とする。
まず、kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形ペアリング関数、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、Hは任意長の整数をkビットの整数に変換するハッシュ関数、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、IDA,mとIDB,mは任意の整数、s0とsA,mとsB,nはランダムに選択された0以上p−1以下の整数、S0は群Gの単位元、P0=g、Q0=P0^s0、^はべき乗を示す記号とする。そして、本発明の鍵交換装置は、識別子がIDA=(IDA,1,…,IDA,M)であり、長期秘密鍵として(SA,M,QA,1,…,QA,M)を記録している。また、鍵交換を行う相手の鍵交換装置は、識別子がIDB=(IDB,1,…,IDB,N)であり、長期秘密鍵として(SB,N,QB,1,…,QB,N)を記録している。そして、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
の関係である。なお、IDA,M≠IDB,Nであれば、IDA,m=IDB,nでもよい。
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
の関係である。なお、IDA,M≠IDB,Nであれば、IDA,m=IDB,nでもよい。
本発明の第1の鍵交換装置は、短期鍵生成部、短期公開鍵受信部、セッション鍵生成部を備える。短期鍵生成部は、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、短期公開鍵epkBを相手の鍵交換装置(第2の鍵交換装置)に送信する。短期公開鍵受信部は、相手の鍵交換装置(第2の鍵交換装置)から、短期公開鍵epkA=(Y0,YA,2,…,YA,M)を受信する。セッション鍵生成部は、
σ1=e(Q0,PB,1)^x
σ1=e(Q0,PB,1)^x
σ3=Y0^x
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。
本発明の第2の鍵交換装置(第1の鍵交換装置の相手の鍵交換装置)も、短期鍵生成部、短期公開鍵受信部、セッション鍵生成部を備える。短期公開鍵受信部は、相手の鍵交換装置(第1の鍵交換装置)から、短期公開鍵epkB=(X0,XB,2,…,XB,N)を受信する。短期鍵生成部は、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵y〜とし、y=H2(SB,N,y〜)を計算し、(P0^y,PA,2^y,…,PA,M^y)を短期公開鍵epkA=(Y0,YA,2,…,YA,M)とし、短期公開鍵epkAを相手の鍵交換装置(第1の鍵交換装置)に送信する。セッション鍵生成部は、
σ2=e(Q0,PA,1)^y
σ3=X0^y
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。
σ3=X0^y
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。
本発明の鍵交換装置によれば、相手の鍵交換装置のIDに対応する短期公開鍵を計算する際に、短期秘密鍵をそのままべき乗するのではなく、長期秘密鍵と短期秘密鍵のハッシュ値をべき乗する。したがって、短期秘密鍵が漏れても、長期秘密鍵が漏れない限りハッシュ値の値は分からない。このように片方の秘密鍵が漏洩したとしても攻撃者は共有鍵を求めることができない。したがって、本発明の鍵交換装置は高い安全性を有している。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。また、以下の説明では、kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形ペアリング関数、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、Hは任意長の整数をkビットの整数に変換するハッシュ関数、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、ID*,*は任意の整数、s0とs*,*はランダムに選択された0以上p−1以下の整数、S0は群Gの単位元、P0=g、Q0=P0^s0、^はべき乗を示す記号とする。
図2に実施例1の鍵交換装置の階層を示す。最上位の階層(階層1)に1つ以上の鍵交換装置があり、これらの鍵交換装置は識別子として、1つのID*,*を有する。例えば、鍵交換装置A11201は、識別子としてIDA,1を有する。上位側からm番目の階層(階層m)の鍵交換装置は、上位の鍵交換装置が有する識別子に1つの識別子ID*,*を加えたものを識別子として有する。例えば、鍵交換装置A21202は、識別子として(IDA,1,IDA,2)を有する。そして、上位側からM番目の階層(階層M)に属する鍵交換装置AM120Mは、識別子として(IDA,1,IDA,2,…,IDA,M)を有する。また、上位側からN番目の階層(階層N)に属する鍵交換装置BN130Nは、識別子として(IDB,1,IDB,2,…,IDB,N)を有する。本実施例では、共有鍵を共有する処理を行う鍵交換装置AM120Mと鍵交換装置BN130Nとは異なる鍵交換装置であることは言うまでもない。しかし、鍵交換装置AM120Mと鍵交換装置BN130Nの上位の鍵交換装置が同一であってもかまわない。例えば、上位からI番目の階層(階層I:ただし、Iは1以上M未満かつN未満の整数)までの鍵交換装置が同一であり、I+1番目の階層から異なる場合もある。このときは、(IDA,1,IDA,2,…,IDA,I)と(IDB,1,IDB,2,…,IDB,I)は同じである。
図3は、実施例1の鍵交換システムの機能構成例を示す図である。鍵交換システムは、ネットワーク1000で接続されたマスタ鍵生成手段110と複数の鍵交換装置で構成されている。図3では、本実施例の説明に必要な範囲の鍵交換装置を示しているが、この他にも鍵交換装置を備えてもよい。また、説明の都合上、鍵交換装置A11201〜鍵交換装置AM120Mと鍵交換装置B11301〜鍵交換装置BN130Nを別々の装置として示している。しかし、上述のとおり、(IDA,1,IDA,2,…,IDA,I)と(IDB,1,IDB,2,…,IDB,I)とが同じ場合には、鍵交換装置Ai120iと鍵交換装置Bi130i(ただし、iは1以上I以下の整数)は、同じ装置である。
図4は、マスタ鍵生成手段の処理フローを示す図である。マスタ鍵生成手段110は、0以上p−1以下の整数から1つを選定してマスタ秘密鍵s0を生成する(S110)。そして、S0を群Gの単位元に設定し、P0とQ0をP0=g、Q0=P0^s0のように求め、前記のP0とQ0を公開する(S112)。次に、マスタ鍵生成手段110は、最上位の階層の鍵交換装置ごとに、P1、S1を求める(S113)。そして、最上位の階層のすべての鍵交換装置のためのP1、S1を求めたかを確認する(S114)。ステップS114がNoの場合には、最上位の階層の別の鍵交換装置に対象を変更し(S115)、ステップS113に戻る。図3の例の場合であれば、最上位の階層の鍵交換装置A11201のためのP1、S1であるPA,1、SA,1を、
PA,1=H1(IDA,1)
SA,1=S0PA,1^s0
のように計算する(S113)。そして、IDB,1≠IDA,1の場合(S114がNoの場合)は、対象を鍵交換装置B11301に変更し(S115)、鍵交換装置B11301のためのP1、S1であるPB,1、SB,1を、
PB,1=H1(IDB,1)
SB,1=S0PB,1^s0
のように計算する(S113)。
PA,1=H1(IDA,1)
SA,1=S0PA,1^s0
のように計算する(S113)。そして、IDB,1≠IDA,1の場合(S114がNoの場合)は、対象を鍵交換装置B11301に変更し(S115)、鍵交換装置B11301のためのP1、S1であるPB,1、SB,1を、
PB,1=H1(IDB,1)
SB,1=S0PB,1^s0
のように計算する(S113)。
図5は、すべての鍵交換装置が長期秘密鍵を記録するまでの処理フローを示す図である。図3に示したように、鍵交換装置Am120mは、短期鍵生成部121m、短期公開鍵受信部122m、セッション鍵生成部123m、乱数生成部124m、情報取得部125m、長期秘密鍵計算部126m、記録部129mを備える。なお、乱数生成部124m、情報取得部125m、長期秘密鍵計算部126mで長期秘密鍵生成部142mを構成している。同様に、鍵交換装置Bn130nは、短期鍵生成部131n、短期公開鍵受信部132n、セッション鍵生成部133n、乱数生成部134n、情報取得部135n、長期秘密鍵計算部136n、記録部139nを備える。なお、乱数生成部134n、情報取得部135n、長期秘密鍵計算部136nで長期秘密鍵生成部143nを構成している。
乱数生成部124mは、0以上p−1以下の整数の中からランダムに整数を選択し、鍵交換装置Am120m用のsmであるsA,mを生成する(S141)。情報取得部125mがSA,m,QA,1,…,QA,m−1を取得し、長期秘密鍵計算部126mがQA,m=P0^sA,mのように、鍵交換装置Am120m用のQmであるQA,mを求める(S142)。鍵交換装置Am120mは、下位の階層に配下の鍵交換装置があるかを確認する(S143)。ステップS143がNoの場合は、後述するステップS147に進む。ステップS143がYesの場合は、長期秘密鍵計算部126mは、1つ下位の配下の鍵交換装置Am+1120m+1(識別子がIDA,1,…,IDA,m,IDA,m+1)用のPm+1、Sm+1であるPA,m+1、SA,m+1を求めるために、
PA,m+1=H1(IDA,1,…,IDA,m,IDA,m+1)
SA,m+1=SA,mPA,m+1^sA,m
を計算する(S144)。鍵交換装置Am120mは、1つ下位の階層の配下の鍵交換装置のためのPm+1、Sm+1をすべて求めたかを確認する(S145)。ステップS145がNoの場合には、対象を1つ下位の階層の配下の別の鍵交換装置に変更し(S146)、ステップS144を行う。ステップS145がYesの場合には、ステップS147に進む。長期秘密鍵計算部126mは、(SA,m,QA,1,…,QA,m)を鍵交換装置Am120mの長期秘密鍵とする(S147)。ステップS141〜S147が長期秘密鍵生成部142m(1台の鍵交換装置の長期秘密鍵生成部)が行う処理(S140)である。
PA,m+1=H1(IDA,1,…,IDA,m,IDA,m+1)
SA,m+1=SA,mPA,m+1^sA,m
を計算する(S144)。鍵交換装置Am120mは、1つ下位の階層の配下の鍵交換装置のためのPm+1、Sm+1をすべて求めたかを確認する(S145)。ステップS145がNoの場合には、対象を1つ下位の階層の配下の別の鍵交換装置に変更し(S146)、ステップS144を行う。ステップS145がYesの場合には、ステップS147に進む。長期秘密鍵計算部126mは、(SA,m,QA,1,…,QA,m)を鍵交換装置Am120mの長期秘密鍵とする(S147)。ステップS141〜S147が長期秘密鍵生成部142m(1台の鍵交換装置の長期秘密鍵生成部)が行う処理(S140)である。
鍵交換システムのいずれかの装置が、すべての鍵交換装置がステップS140の処理を実行したかを確認する(S148)。ステップS148がNoの場合は、上位側の鍵交換装置であってステップS140を実行していない鍵交換装置に対象を変更し(S149)、ステップS140を実行する。この処理を繰り返すことで、ステップS148がYesになり、すべての鍵交換装置が長期秘密鍵を記録した状態となる。このとき、鍵交換装置Am120mは、識別子が(IDA,1,…,IDA,m)であり、長期秘密鍵として(SA,m,QA,1,…,QA,m)を記録しており、鍵交換装置Bn130nは、(IDB,1,…,IDB,n)であり、長期秘密鍵として(SB,n,QB,1,…,QB,n)を記録している。そして、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
が成り立つ関係となっている。
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
が成り立つ関係となっている。
図6に、鍵を共有する処理のフローを示す。この処理では、鍵交換装置AM120Mと鍵交換装置BN130Nとが鍵交換を行う。上述のとおり、鍵交換装置AM120Mは、識別子がIDA=(IDA,1,…,IDA,M)であり、長期秘密鍵として(SA,M,QA,1,…,QA,M)を記録しており、鍵交換装置BN130Nは、識別子がIDB=(IDB,1,…,IDB,N)であり、長期秘密鍵として(SB,N,QB,1,…,QB,N)を記録している。
鍵交換装置AM120Mの短期鍵生成部121Mは、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、短期公開鍵epkBを鍵交換装置BN130Nに送信する(S121)。
鍵交換装置BN130Nの短期公開鍵受信部132Nは、鍵交換装置AM120Mから短期公開鍵epkB=(X0,XB,2,…,XB,N)を受信する(S132)。鍵交換装置BN130Nの短期鍵生成部131Nは、0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵y〜とし、y=H2(SB,N,y〜)を計算し、(P0^y,PA,2^y,…,PA,M^y)を短期公開鍵epkA=(Y0,YA,2,…,YA,M)とし、短期公開鍵epkAを鍵交換装置AM120Mに送信する(S131)。
鍵交換装置AM120Mの短期公開鍵受信部122Mは、鍵交換装置BN130Nから短期公開鍵epkA=(Y0,YA,2,…,YA,M)を受信する(S122)。
鍵交換装置AM120Mのセッション鍵生成部123Mは、
σ1=e(Q0,PB,1)^x
鍵交換装置AM120Mのセッション鍵生成部123Mは、
σ1=e(Q0,PB,1)^x
σ3=Y0^x
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。例えば、
K=H(σ1,σ2,σ3,PID,IDA,IDB,epkA,epkB)
ただし、PIDは本実施例のプロトコルを示す識別子
のようにセッション鍵Kを求めればよい。
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。例えば、
K=H(σ1,σ2,σ3,PID,IDA,IDB,epkA,epkB)
ただし、PIDは本実施例のプロトコルを示す識別子
のようにセッション鍵Kを求めればよい。
鍵交換装置BN130Nのセッション鍵生成部133Nは、
σ2=e(Q0,PA,1)^y
σ3=X0^y
を計算し、セッション鍵生成部123Mと同じようにσ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。例えば、
K=H(σ1,σ2,σ3,PID,IDA,IDB,epkA,epkB)
のようにセッション鍵Kを求めればよい。このように処理することによって、セッション鍵Kを共有できる。なお、
σ3=X0^y
を計算し、セッション鍵生成部123Mと同じようにσ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める。例えば、
K=H(σ1,σ2,σ3,PID,IDA,IDB,epkA,epkB)
のようにセッション鍵Kを求めればよい。このように処理することによって、セッション鍵Kを共有できる。なお、
σ3=X0^y=Y0^x=P0^(xy)
である。したがって、鍵交換装置AM120Mが計算するセッション鍵Kと鍵交換装置BN130Nが計算するセッション鍵Kとは等しくなる。
である。したがって、鍵交換装置AM120Mが計算するセッション鍵Kと鍵交換装置BN130Nが計算するセッション鍵Kとは等しくなる。
なお、鍵交換装置AM120Mと鍵交換装置BN130Nの処理が逆でもよい。また、鍵交換装置AM120Mは別の鍵交換装置と鍵交換を行う場合には、鍵交換装置AM120Mが上述の鍵交換装置BN130Nの処理を行うこともあり得る。したがって、セッション鍵生成部123Mは、
σ2=e(Q0,PB,1)^x
σ3=Y0^x
のようにσ1,σ2,σ3を求めることもできるようにすればよい。そして、この場合は、どちらの方法でσ1,σ2,σ3を求めるかは、鍵交換システムのルールとしてあらかじめ定めておけばよい。
σ3=Y0^x
のようにσ1,σ2,σ3を求めることもできるようにすればよい。そして、この場合は、どちらの方法でσ1,σ2,σ3を求めるかは、鍵交換システムのルールとしてあらかじめ定めておけばよい。
本実施例の鍵交換装置によれば、相手の鍵交換装置のIDに対応する短期公開鍵を計算する際に、短期秘密鍵をそのままべき乗するのではなく、長期秘密鍵と短期秘密鍵のハッシュ値をべき乗する。したがって、短期秘密鍵が漏れても、長期秘密鍵が漏れない限りハッシュ値の値は分からない。このように片方の秘密鍵が漏洩したとしても攻撃者は共有鍵を求めることができない。したがって、本発明の鍵交換装置は高い安全性を有している。
[変形例1]
実施例1では、各鍵交換装置120m,130nが長期秘密鍵生成部142m,143nを備え、長期秘密鍵生成部1421,…,142M,1431,…,143Nのすべてを合わせたものが、鍵交換システムの長期秘密鍵生成手段であった。しかし、長期秘密鍵生成部1421,…,142M,1431,…,143Nを1つの装置にまとめてもよいし、何個かに分散させてもよい。また、識別子がIDA=(IDA,1,…,IDA,M)の鍵交換装置AM120Mと識別子がIDB=(IDB,1,…,IDB,N)の鍵交換装置BN130Nとが鍵交換を行うときに、他の鍵交換装置は必要ない。そして、何らかの方法で、鍵交換装置AM120Mが長期秘密鍵(SA,m,QA,1,…,QA,m)を記録し、鍵交換装置BN130Nが長期秘密鍵(SB,n,QB,1,…,QB,n)を記録していれば、鍵交換を行うことができる。さらに、マスタ鍵生成手段と長期秘密鍵生成手段は、鍵交換システムの外部の装置が備え、必要に応じてネットワークを介して接続してもよい。
実施例1では、各鍵交換装置120m,130nが長期秘密鍵生成部142m,143nを備え、長期秘密鍵生成部1421,…,142M,1431,…,143Nのすべてを合わせたものが、鍵交換システムの長期秘密鍵生成手段であった。しかし、長期秘密鍵生成部1421,…,142M,1431,…,143Nを1つの装置にまとめてもよいし、何個かに分散させてもよい。また、識別子がIDA=(IDA,1,…,IDA,M)の鍵交換装置AM120Mと識別子がIDB=(IDB,1,…,IDB,N)の鍵交換装置BN130Nとが鍵交換を行うときに、他の鍵交換装置は必要ない。そして、何らかの方法で、鍵交換装置AM120Mが長期秘密鍵(SA,m,QA,1,…,QA,m)を記録し、鍵交換装置BN130Nが長期秘密鍵(SB,n,QB,1,…,QB,n)を記録していれば、鍵交換を行うことができる。さらに、マスタ鍵生成手段と長期秘密鍵生成手段は、鍵交換システムの外部の装置が備え、必要に応じてネットワークを介して接続してもよい。
図7は、仮想的な階層構造を示す図であり、点線で示した装置は実在しなくてもよい。鍵交換装置AM120Mと鍵交換装置BN130Nとは、このような仮想的な階層構造での識別子を有していてもよいし、実在する鍵交換装置によって形成された階層構造での識別子を有していてもよい。図8に示すように鍵交換システムが、マスタ鍵生成手段110、鍵交換装置AM220M、鍵交換装置BN230N、長期秘密鍵生成手段240を備えればよい。本変形例では、鍵交換装置AM220Mの長期秘密鍵も鍵交換装置BN230Nの長期秘密鍵も、長期秘密鍵生成手段240が生成する。したがって、鍵交換装置AM220Mと鍵交換装置BN230Nは、長期秘密鍵生成部142M,143Nを備えていない。長期秘密鍵生成手段240は、乱数生成部144、情報取得部145、長期秘密鍵計算部146、記録部149を備えている。
本変形例では、情報取得部145が、マスタ鍵生成手段110が生成した最上位の階層の鍵交換装置用のすべてのP1とS1を取得した上で、図5の処理フローすべてを長期秘密鍵生成手段240が行う。図5の処理が終了したときには、鍵交換装置AM120Mは長期秘密鍵(SA,M,QA,1,…,QA,M)を記録しており、鍵交換装置BN130Nは、長期秘密鍵(SB,N,QB,1,…,QB,N)を記録している。そして、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
が成り立つ関係となっている。
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
が成り立つ関係となっている。
鍵を共有する処理のフローは図6と同じであり、実施例1とまったく同じなので説明は省略する。本変形例の場合も、鍵交換装置AM120Mが長期秘密鍵(SA,m,QA,1,…,QA,m)を記録し、鍵交換装置BN130Nが長期秘密鍵(SB,n,QB,1,…,QB,n)を記録しているので、実施例1と同じ鍵交換を実行でき、同じ効果が得られる。
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
110 マスタ鍵生成手段
120、130、220、230、920、930 鍵交換装置
121、131 短期鍵生成部 122、132 短期公開鍵受信部
123、133 セッション鍵生成部 124、134 乱数生成部
125、135 情報取得部 126、136 長期秘密鍵計算部
129、139 記録部 142、143 長期秘密鍵生成部
144 乱数生成部 145 情報取得部
146 長期秘密鍵計算部 149 記録部
240 長期秘密鍵生成手段 910 鍵生成手段
1000 ネットワーク
120、130、220、230、920、930 鍵交換装置
121、131 短期鍵生成部 122、132 短期公開鍵受信部
123、133 セッション鍵生成部 124、134 乱数生成部
125、135 情報取得部 126、136 長期秘密鍵計算部
129、139 記録部 142、143 長期秘密鍵生成部
144 乱数生成部 145 情報取得部
146 長期秘密鍵計算部 149 記録部
240 長期秘密鍵生成手段 910 鍵生成手段
1000 ネットワーク
Claims (10)
- 鍵交換を行う鍵交換装置であって、
kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形ペアリング関数、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、Hは任意長の整数をkビットの整数に変換するハッシュ関数、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、IDA,mとIDB,mは任意の整数、s0とsA,mとsB,nはランダムに選択された0以上p−1以下の整数、S0は群Gの単位元、P0=g、Q0=P0^s0、^はべき乗を示す記号であり、
当該鍵交換装置は、識別子がIDA=(IDA,1,…,IDA,M)であり、長期秘密鍵として(SA,M,QA,1,…,QA,M)を記録しており、
鍵交換を行う相手の鍵交換装置は、識別子がIDB=(IDB,1,…,IDB,N)であり、長期秘密鍵として(SB,N,QB,1,…,QB,N)を記録しており、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
の関係であり、
0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、当該短期公開鍵epkBを前記の相手の鍵交換装置に送信する短期鍵生成部と、
前記の相手の鍵交換装置から、短期公開鍵epkA=(Y0,YA,2,…,YA,M)を受信する短期公開鍵受信部と、
σ1=e(Q0,PB,1)^x
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求めるセッション鍵生成部と
を備える鍵交換装置。 - 鍵交換を行う鍵交換装置であって、
kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形ペアリング関数、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、Hは任意長の整数をkビットの整数に変換するハッシュ関数、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、IDA,mとIDB,mは任意の整数、s0とsA,mとsB,nはランダムに選択された0以上p−1以下の整数、S0は群Gの単位元、P0=g、Q0=P0^s0、^はべき乗を示す記号であり、
当該鍵交換装置は、識別子がIDB=(IDB,1,…,IDB,N)であり、長期秘密鍵として(SB,N,QB,1,…,QB,N)を記録しており、
鍵交換を行う相手の鍵交換装置は、識別子がIDA=(IDA,1,…,IDA,M)であり、長期秘密鍵として(SA,M,QA,1,…,QA,M)を記録しており、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
の関係であり、
前記の相手の鍵交換装置から、短期公開鍵epkB=(X0,XB,2,…,XB,N)を受信する短期公開鍵受信部と、
0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵y〜とし、y=H2(SB,N,y〜)を計算し、(P0^y,PA,2^y,…,PA,M^y)を短期公開鍵epkA=(Y0,YA,2,…,YA,M)とし、当該短期公開鍵epkAを前記の相手の鍵交換装置に送信する短期鍵生成部と、
σ3=X0^y
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求めるセッション鍵生成部と
を備える鍵交換装置。 - 請求項1記載の鍵交換装置であって、
0以上p−1以下の整数の中からランダムに整数を選択する乱数生成部と、
当該鍵交換装置の外部から情報を取得する情報取得部と、
長期秘密鍵(SA,M,QA,1,…,QA,M)を生成する長期秘密鍵計算部
も備え、
前記のsA,Mは、前記乱数生成部が生成したものであり、
前記のSA,M,QA,1,…,QA,M−1は、前記情報取得部が取得したものであり、
前記のQA,Mは、前記長期秘密鍵計算部がQA,M=P0^sA,Mのように求めたものであり、
前記長期秘密鍵計算部は、
さらに、
識別子が(IDA,1,…,IDA,M,IDA,M+1)の鍵交換装置のために、
PA,M+1=H1(IDA,1,…,IDA,M,IDA,M+1)
SA,M+1=SA,MPA,M+1^sA,M
を計算する
ことを特徴とする鍵交換装置。 - 請求項2記載の鍵交換装置であって、
0以上p−1以下の整数の中からランダムに整数を選択する乱数生成部と、
当該鍵交換装置の外部から情報を取得する情報取得部と、
長期秘密鍵(SB,N,QB,1,…,QB,N)を生成する長期秘密鍵計算部
も備え、
前記のsB,Nは、前記乱数生成部が生成したものであり、
前記のSB,N,QB,1,…,QA,N−1は、前記情報取得部が取得したものであり、
前記のQB,Nは、前記長期秘密鍵計算部がQB,N=P0^sB,Nのように求めたものであり、
前記長期秘密鍵計算部は、
さらに、
識別子が(IDB,1,…,IDB,N,IDB,N+1)の鍵交換装置のために、
PB,N+1=H1(IDB,1,…,IDB,N,IDB,N+1)
SB,N+1=SB,NPB,N+1^sB,N
を計算する
ことを特徴とする鍵交換装置。 - 請求項1または3記載の鍵交換装置であって、
前記セッション鍵生成部が、
σ3=Y0^x
のように前記のσ1,σ2,σ3を求めることもでき、どちらの方法でσ1,σ2,σ3を求めるかは、あらかじめ定めた方法に従う
ことを特徴とする鍵交換装置。 - 請求項1記載の鍵交換装置と、
請求項2記載の鍵交換装置と、
を備える鍵交換システム。 - 請求項6記載の鍵交換システムであって、
マスタ鍵生成手段と、
長期秘密鍵生成手段
も備え、
前記マスタ鍵生成手段は、
前記のs0を生成し、前記のS0を群Gの単位元に設定し、前記のP0とQ0をP0=g、Q0=P0^s0のように求め、前記のP0とQ0を公開し、
前記のPA,1、SA,1を
PA,1=H1(IDA,1)
SA,1=S0PA,1^s0
のように求め、
前記のIDB,1≠IDA,1の場合は、前記のPB,1、SB,1を
PB,1=H1(IDB,1)
SB,1=S0PB,1^s0
のように求め、
長期秘密鍵生成手段は、
0以上p−1以下の整数の中からランダムに整数を選択する乱数生成部と、
前記のSA,1,SB,1を取得する情報取得部と、
長期秘密鍵を生成する長期秘密鍵計算部と
を有し、
前記乱数生成部が前記のsA,mを生成し、
前記長期秘密鍵計算部が、
前記のQA,mをQA,m=P0^sA,mのように求め、
前記のPA,m+1とSA,m+1を
PA,m+1=H1(IDA,1,…,IDA,m,IDA,m+1)
SA,m+1=SA,mPA,m+1^sA,m
のように求める処理をm=1〜M−1まで繰返し、
前記乱数生成部が前記のsA,Mを生成し、
前記長期秘密鍵計算部が、
前記のQA,MをQA,M=P0^sA,Mのように求め、
(SA,M,QA,1,…,QA,M)を請求項1記載の鍵交換装置の長期秘密鍵とし、
n<M−1かつ(IDB,1,…,IDB,n,IDB,n+1)≠(IDA,1,…,IDA,n,IDA,n+1)の場合に、
前記乱数生成部が前記のsB,nを生成し、
前記長期秘密鍵計算部が、
前記のQB,nをQB,n=P0^sB,nのように求め、
前記のPB,n+1とSB,n+1を
PB,n+1=H1(IDB,1,…,IDB,n,IDB,n+1)
SB,n+1=SB,nPB,n+1^sB,n
のように求める処理をn=1〜N−1まで繰返し、
前記乱数生成部が前記のsB,Nを生成し、
前記長期秘密鍵計算部が、
前記のQB,NをQB,N=P0^sB,Nのように求め、
(SB,N,QB,1,…,QB,N)を請求項2記載の鍵交換装置の長期秘密鍵とする
鍵交換システム。 - 識別子がIDA=(IDA,1,…,IDA,M)であり、長期秘密鍵として(SA,M,QA,1,…,QA,M)を記録する鍵交換装置AMと、識別子がIDB=(IDB,1,…,IDB,N)であり、長期秘密鍵として(SB,N,QB,1,…,QB,N)を記録する鍵交換装置BNとが鍵交換を行う鍵交換方法であって、
kは整数、pはkビットの素数、GとGTは位数pの巡回群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形ペアリング関数、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、Hは任意長の整数をkビットの整数に変換するハッシュ関数、M、Nは整数、mは1以上M以下の整数、nは1以上N以下の整数、IDA,mとIDB,mは任意の整数、s0とsA,mとsB,nはランダムに選択された0以上p−1以下の整数、S0は群Gの単位元、^はべき乗を示す記号であり、
sA,0=sB,0=s0
SA,0=SB,0=S0
とすると、
1〜Mのすべてのmと1〜Nのすべてのnについて、
PA,m=H1(IDA,1,…,IDA,m)
SA,m=SA,m−1PA,m^sA,m−1
QA,m=P0^sA,m
PB,n=H1(IDB,1,…,IDB,n)
SB,n=SB,n−1PB,n^sB,n−1
QB,n=P0^sB,n
の関係であり、
鍵交換装置AMが、
0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵x〜とし、x=H2(SA,M,x〜)を計算し、(P0^x,PB,2^x,…,PB,N^x)を短期公開鍵epkB=(X0,XB,2,…,XB,N)とし、当該短期公開鍵epkBを鍵交換装置BNに送信し、
鍵交換装置BNが、
鍵交換装置AMから、前記短期公開鍵epkBを受信し、
0以上p−1以下の整数の中からランダムに選択した整数を短期秘密鍵y〜とし、y=H2(SB,N,y〜)を計算し、(P0^y,PA,2^y,…,PA,M^y)を短期公開鍵epkA=(Y0,YA,2,…,YA,M)とし、当該短期公開鍵epkAを鍵交換装置AMに送信し、
σ3=X0^y
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求め、
鍵交換装置AMが、
鍵交換装置BNから、前記短期公開鍵epkAを受信し、
σ1=e(Q0,PB,1)^x
を計算し、σ1,σ2,σ3とハッシュ関数Hを用いてセッション鍵Kを求める
鍵交換方法。 - 請求項8記載の鍵交換方法であって、
マスタ鍵生成手段が、
前記のs0を生成し、前記のS0を群Gの単位元に設定し、前記のP0とQ0をP0=g、Q0=P0^s0のように求め、前記のP0とQ0を公開し、
前記のPA,1、SA,1を
PA,1=H1(IDA,1)
SA,1=S0PA,1^s0
のように求め、
前記のIDB,1≠IDA,1の場合は、前記のPB,1、SB,1を
PB,1=H1(IDB,1)
SB,1=S0PB,1^s0
のように求め、
長期秘密鍵生成手段が、
0以上p−1以下の整数の中からランダムに前記のsA,mを生成し、
前記のQA,mをQA,m=P0^sA,mのように求め、
前記のPA,m+1とSA,m+1を
PA,m+1=H1(IDA,1,…,IDA,m,IDA,m+1)
SA,m+1=SA,mPA,m+1^sA,m
のように求める処理をm=1〜M−1まで繰返し、
0以上p−1以下の整数の中からランダムに前記のsA,Mを生成し、
前記のQA,MをQA,M=P0^sA,Mのように求め、
(SA,M,QA,1,…,QA,M)を鍵交換装置AMの前記長期秘密鍵とし、
n<M−1かつ(IDB,1,…,IDB,n,IDB,n+1)≠(IDA,1,…,IDA,n,IDA,n+1)の場合に、
0以上p−1以下の整数の中からランダムに前記のsB,nを生成し、
前記のQB,nをQB,n=P0^sB,nのように求め、
前記のPB,n+1とSB,n+1を
PB,n+1=H1(IDB,1,…,IDB,n,IDB,n+1)
SB,n+1=SB,nPB,n+1^sB,n
のように求める処理をn=1〜N−1まで繰返し、
0以上p−1以下の整数の中からランダムに前記のsB,Nを生成し、
前記のQB,NをQB,N=P0^sB,Nのように求め、
(SB,N,QB,1,…,QB,N)を鍵交換装置BNの前記長期秘密鍵とする
鍵交換方法。 - 請求項1から5のいずれかに記載の鍵交換装置としてコンピュータを機能させる鍵交換プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010223881A JP5427156B2 (ja) | 2010-10-01 | 2010-10-01 | 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010223881A JP5427156B2 (ja) | 2010-10-01 | 2010-10-01 | 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012078574A true JP2012078574A (ja) | 2012-04-19 |
| JP5427156B2 JP5427156B2 (ja) | 2014-02-26 |
Family
ID=46238893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010223881A Active JP5427156B2 (ja) | 2010-10-01 | 2010-10-01 | 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5427156B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014220669A (ja) * | 2013-05-09 | 2014-11-20 | 日本電信電話株式会社 | 鍵交換システム、鍵生成装置、通信装置、鍵交換方法及びプログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070055880A1 (en) * | 2005-08-18 | 2007-03-08 | Microsoft Corporation | Authenticated key exchange with derived ephemeral keys |
-
2010
- 2010-10-01 JP JP2010223881A patent/JP5427156B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070055880A1 (en) * | 2005-08-18 | 2007-03-08 | Microsoft Corporation | Authenticated key exchange with derived ephemeral keys |
Non-Patent Citations (4)
| Title |
|---|
| CSNG200900101042; 毛利 寿志 他: '階層的ID-based暗号を用いたグループ鍵管理に関する一考察' 情報処理学会研究報告 Vol.2009 No.20, 20090226, p.295-300, 社団法人情報処理学会 * |
| JPN6013057035; 毛利 寿志 他: '階層的ID-based暗号を用いたグループ鍵管理に関する一考察' 情報処理学会研究報告 Vol.2009 No.20, 20090226, p.295-300, 社団法人情報処理学会 * |
| JPN6013057037; 藤岡 淳 他: 'eCKモデルで安全なID ベース認証鍵交換方式' 2010年 暗号と情報セキュリティシンポジウム概要集 CD-ROM , 20100119, 3C1-1, 2010年 暗号と情報セキュリティシンポジウム実行委員 * |
| JPN6013057039; Hai Huang et al: 'An ID-based Authenticated Key Exchange Protocol Based on Bilinear Diffie-Hellman Problem' [online] , 20081213 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014220669A (ja) * | 2013-05-09 | 2014-11-20 | 日本電信電話株式会社 | 鍵交換システム、鍵生成装置、通信装置、鍵交換方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5427156B2 (ja) | 2014-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600227B (zh) | 一种基于区块链的医疗数据共享方法及装置 | |
| CN111066285B (zh) | 基于sm2签名恢复公钥的方法 | |
| JP6059258B2 (ja) | 分割保管装置、秘密鍵分割保管方法 | |
| JP6556955B2 (ja) | 通信端末、サーバ装置、プログラム | |
| JP4997769B2 (ja) | 暗号通信システム、鍵共有方法、鍵提供装置 | |
| TW202025666A (zh) | 用於共享公共秘密之電腦實施系統及方法 | |
| CN112382376A (zh) | 基于区块链的医疗器械管理追溯系统 | |
| US20150023498A1 (en) | Byzantine fault tolerance and threshold coin tossing | |
| JP5650630B2 (ja) | 鍵交換システム、鍵交換装置、鍵交換方法、鍵交換プログラム | |
| JP5512559B2 (ja) | 暗号化装置、復号装置、暗号化システム、暗号化方法、プログラム | |
| JP5469618B2 (ja) | 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム | |
| JP6635315B2 (ja) | Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム | |
| KR20140148295A (ko) | 브로드캐스트 암호화 방법 및 시스템 | |
| JP5427156B2 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム | |
| JP6818220B2 (ja) | 鍵共有装置、鍵共有方法及び鍵共有プログラム | |
| JP5651611B2 (ja) | 鍵交換装置、鍵交換システム、鍵交換方法、プログラム | |
| JP2019102959A (ja) | サーバ装置、通信装置、鍵共有システム、鍵共有方法、及びプログラム | |
| JP2019200382A (ja) | 暗号化システム、暗号化装置、復号装置、暗号化方法、復号方法、及びプログラム | |
| JP2019121999A (ja) | データ共有方法、データ共有システム、通信端末、データ共有サーバ、プログラム | |
| JP2019125956A (ja) | 鍵交換方法、鍵交換システム、鍵交換サーバ装置、通信装置、プログラム | |
| CN112954388A (zh) | 一种数据文件的获取方法、装置、终端设备和存储介质 | |
| JP2012244232A (ja) | 情報共有システム、方法、装置及びプログラム | |
| JP6267657B2 (ja) | 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム | |
| JP2021019223A (ja) | 鍵交換システム、通信装置、鍵交換方法及びプログラム | |
| JP5486468B2 (ja) | 鍵交換装置、鍵生成装置、鍵交換システム、鍵交換方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121225 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131119 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131129 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5427156 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |