JP2013090199A - Key sharing system, key creation apparatus, and program - Google Patents

Key sharing system, key creation apparatus, and program Download PDF

Info

Publication number
JP2013090199A
JP2013090199A JP2011229885A JP2011229885A JP2013090199A JP 2013090199 A JP2013090199 A JP 2013090199A JP 2011229885 A JP2011229885 A JP 2011229885A JP 2011229885 A JP2011229885 A JP 2011229885A JP 2013090199 A JP2013090199 A JP 2013090199A
Authority
JP
Japan
Prior art keywords
key
information
client device
client
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011229885A
Other languages
Japanese (ja)
Other versions
JP5750728B2 (en
Inventor
Seonghan Shin
星漢 辛
Kazukuni Kohara
和邦 古原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Advanced Industrial Science and Technology AIST
Original Assignee
National Institute of Advanced Industrial Science and Technology AIST
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Advanced Industrial Science and Technology AIST filed Critical National Institute of Advanced Industrial Science and Technology AIST
Priority to JP2011229885A priority Critical patent/JP5750728B2/en
Publication of JP2013090199A publication Critical patent/JP2013090199A/en
Application granted granted Critical
Publication of JP5750728B2 publication Critical patent/JP5750728B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To solve difficulty in flexible sharing of a common key, which is used in common among plural users, while confidentiality is secured.SOLUTION: A key creation apparatus, which creates a common key for ciphering information to share the information among plural client apparatuses, stores a master key, receives designation information designating one or more client apparatuses to share information from a client apparatus, sorts the designation information, creates the common key on the basis of the sorted designation information and the master key, and transmits the common key to the client apparatuses, the key being stored distributed among the client apparatuses and the key creation apparatus.

Description

本発明は、複数の指定されたユーザ間で用いる共通鍵を、安全に共有する技術に関する。   The present invention relates to a technique for securely sharing a common key used among a plurality of designated users.

近年、コンピュータ資源をネットワーク経由でサービスとして提供するクラウドコンピューティングへの関心が高まっている。例えば、ユーザがどこでも自分のデータにアクセスできるクラウドストレージサービスはすでに商用化されている。クラウドストレージサービスには、第三者との間で、またはグループ間で手軽にデータが共有できるという利点がある。一方で、すべてのデータがクラウドサービス提供者の管理下に置かれるため、センシティブなデータのセキュリティ管理を行うことが容易でないという問題がある。   In recent years, interest in cloud computing that provides computer resources as a service via a network has increased. For example, cloud storage services that allow users to access their data anywhere are already commercialized. The cloud storage service has an advantage that data can be easily shared with a third party or between groups. On the other hand, since all data is under the control of the cloud service provider, there is a problem that it is not easy to perform sensitive data security management.

ここで、1人のユーザが、あるn人のグループメンバー(M1,M2,...,Mn)とデータを共有することについて検討する。ユーザは、共有したいデータDをグループ鍵GKで共通鍵暗号を用いて暗号化し、その暗号文(C=EncGK(D))をクラウドサービス提供者が運用するストレージサーバに保存する。ここで、C=EncGK(D)は、グループ鍵GKと共通鍵暗号アルゴリズムとを用いて、データDを暗号化した暗号文を表す。この場合、ユーザは暗号化に使われたグループ鍵GKを他のメンバーに安全に渡さなければならない。 Now, consider that one user shares data with some n group members (M1, M2,..., Mn). The user encrypts data D to be shared with the group key GK using common key encryption, and stores the ciphertext (C = Enc GK (D)) in the storage server operated by the cloud service provider. Here, C = Enc GK (D) represents a ciphertext obtained by encrypting the data D using the group key GK and the common key encryption algorithm. In this case, the user must securely pass the group key GK used for encryption to other members.

特許文献1には、秘密情報を分散して保管する方法を用いて、認証局により生成されたグループメンバの秘密鍵を、ストレージサーバとグループメンバのクライアント装置に管理する技術が記載されている。秘密情報を分散して保管することにより、例えばグループメンバが所持する1つのクライアント装置が保管する分散鍵が漏えいしても、暗号化したデータが復元できない。また、特許文献2には、鍵管理サーバを設けてグループごとにグループ鍵を生成し、その鍵をグループメンバの個人鍵で暗号化して配布する方法が記載されている。特許文献3には、ユーザのIDに基づいて鍵を生成するKPSにおいて、センタアルゴリズムを情報発信者用と情報受信者用の相異なる二つの秘密アルゴリズムで構成することでメモリ量と計算量を削減している。   Patent Document 1 describes a technique for managing a secret key of a group member generated by a certificate authority to a storage server and a client device of the group member using a method for storing secret information in a distributed manner. By storing secret information in a distributed manner, for example, even if a distribution key stored in one client device owned by a group member leaks, encrypted data cannot be restored. Patent Document 2 describes a method in which a key management server is provided to generate a group key for each group, and the key is encrypted with a group member's personal key and distributed. In Patent Document 3, in the KPS that generates a key based on the user ID, the center algorithm is composed of two different secret algorithms for the information sender and the information receiver, thereby reducing the amount of memory and the amount of calculation. doing.

特開2009−103968号公報JP 2009-103968 A 特開2006−303998号公報JP 2006-303998 A 特開平11−046190号公報Japanese Patent Laid-Open No. 11-046190

Hideki Imai、SeongHan Shin、Kazukuni Kobara、“New Security Layer for OverLay Networks”、Journal of Communications and Networks、Vol.11、No.3、pp.211−228、2009Hideki Imai, SeongHan Shin, Kazukuni Kobara, “New Security Layer for OverRay Networks”, Journal of Communications and Networks. 11, no. 3, pp. 211-228, 2009 LR−AKE Homepage、http://www.rcis.aist.go.jp/project/LR−AKE/LR-AKE Homepage, http: // www. rcis. aist. go. jp / project / LR-AKE / 恩田 泰則、辛 星漢、古原 和邦、今井 秀樹、“クラウド環境に適したオンラインデータ分散管理方式”、2011年暗号と情報セキュリティシンポジウム、2011Yasunori Onda, Koshiseihan, Kazukuni Furuhara, Hideki Imai, “Online Data Distributed Management Method Suitable for Cloud Environment”, 2011 Cryptography and Information Security Symposium, 2011

特許文献1に記載の技術は、秘密鍵を分散して保管するストレージサーバとグループメンバのクライアント装置からそれぞれの分散鍵が漏えいすると、グループメンバの秘密鍵が復元でき、それを用いてデータが得られるという課題があった。また、グループメンバの公開鍵の入手や公開鍵証明書の検証などにより全体の構成や実装が複雑になるという課題もあった。また、特許文献2に記載の技術は、グループメンバの個人鍵が漏えいすると、暗号化されて配布されたグループ鍵の暗号を解除することができるため、そのグループ鍵で暗号化された元のデータが復元できるという課題があった。また、特許文献3に記載の技術は、KPSのマスター鍵(秘密アルゴリズム)が漏えいすると、すべてのユーザの鍵が計算できてしまうという課題があった。   The technique described in Patent Document 1 can recover a group member's secret key and obtain data using the storage server that stores the secret key in a distributed manner and the group member's client device if the shared key is leaked. There was a problem of being able to. In addition, there is a problem that the entire configuration and implementation become complicated due to the acquisition of public keys of group members and verification of public key certificates. In addition, the technique described in Patent Document 2 can release the encryption of the group key that is encrypted and distributed if the private key of the group member leaks, so that the original data encrypted with the group key There was a problem that can be restored. In addition, the technique described in Patent Document 3 has a problem that, if a KPS master key (secret algorithm) is leaked, keys of all users can be calculated.

本発明は上記課題に鑑みなされたものであり、秘匿性を確保しながら、グループ鍵を柔軟に共有する技術を提供することを目的とする。   The present invention has been made in view of the above problems, and an object of the present invention is to provide a technique for flexibly sharing a group key while ensuring confidentiality.

上記目的を達成するため、本発明による鍵共有システムは、複数のクライアント装置と、前記複数のクライアント装置の間で情報を暗号化して共有するための共通鍵を生成する鍵生成装置とを含む鍵共有システムであって、クライアント装置は、前記情報を共有する1つ以上のクライアント装置を指定する指定情報を取得する取得手段と、前記指定情報を送信するクライアント側送信手段と、前記鍵生成装置から、前記情報を暗号化するための共通鍵を受信するクライアント側受信手段と、を備え、前記鍵生成装置は、マスター鍵を記憶する記憶手段と、前記クライアント装置から、前記指定情報を受信する受信手段と、前記指定情報をソートするソート手段と、前記ソート手段でソートされた前記指定情報と、前記マスター鍵とに基づいて、前記共通鍵を生成する生成手段と、前記共通鍵を前記クライアント装置へ送信する送信手段と、を備え、前記指定情報は、その指定情報で指定される他のクライアント装置へ通知され、前記他のクライアント装置は通知された前記指定情報を前記鍵生成装置へ送信し、前記鍵生成装置は受信した指定情報と前記マスター鍵とに基づいて前記共通鍵を生成し、生成された共通鍵を当該他のクライアント装置へ送信し、前記共通鍵は、その共通鍵を復元するための値として、前記クライアント装置および前記他のクライアント装置のそれぞれと前記鍵生成装置との間で、それぞれ分散されて記憶される。   To achieve the above object, a key sharing system according to the present invention includes a key including a plurality of client devices and a key generation device that generates a common key for encrypting and sharing information among the plurality of client devices. In the sharing system, the client device includes: an acquisition unit that acquires designation information that designates one or more client devices that share the information; a client-side transmission unit that transmits the designation information; and the key generation device. Client-side receiving means for receiving a common key for encrypting the information, wherein the key generation device receives storage information for storing a master key and receives the designation information from the client device. A sorting means for sorting the designation information, the designation information sorted by the sorting means, and the master key. Generating means for generating the common key; and transmission means for transmitting the common key to the client apparatus. The designation information is notified to another client apparatus designated by the designation information, and the other The client device transmits the notified designation information to the key generation device, the key generation device generates the common key based on the received designation information and the master key, and the generated common key The common key is distributed and stored between the client device and each of the other client devices and the key generation device as a value for restoring the common key. The

本発明によれば、秘密情報が漏えいしてもグループ鍵を秘匿しながら、グループ鍵を柔軟に生成して共有する鍵共有システム、鍵生成装置、及びプログラムを提供することができる。   According to the present invention, it is possible to provide a key sharing system, a key generation device, and a program for generating and sharing a group key flexibly while concealing the group key even if secret information is leaked.

LR−AKEのシングルモードの説明図。Explanatory drawing of single mode of LR-AKE. LR−AKEのクラスタモードの説明図。Explanatory drawing of the cluster mode of LR-AKE. LR−AKEの新クラスタモードの説明図。Explanatory drawing of the new cluster mode of LR-AKE. 第1の実施形態に係る鍵共有システムを説明する概略図。1 is a schematic diagram illustrating a key sharing system according to a first embodiment. 要求者のクライアント装置と認証サーバ装置との機能構成例を示すブロック図。The block diagram which shows the function structural example of a requester's client apparatus and an authentication server apparatus. 要求者のクライアント装置の動作を示すフローチャート。The flowchart which shows operation | movement of a client apparatus of a requester. 認証サーバ装置の動作を示すフローチャート。The flowchart which shows operation | movement of an authentication server apparatus. メンバのクライアント装置の動作を示すフローチャート。The flowchart which shows operation | movement of a member client apparatus. 第2の実施形態に係る鍵共有システムを説明する概略図。Schematic explaining the key sharing system which concerns on 2nd Embodiment.

以下、添付図面を参照して本発明の実施の形態を詳細に説明する。なお、本発明は、非特許文献2に記載のLR−AKE(Leakage−Resilient Authenticated Key Exchange)のシングルモード、クラスタモード、新クラスタモードに基づく。まず、背景知識としてLR−AKEのシングルモード、クラスタモード、新クラスタモードについて説明する。なお、LR−AKEに基づき、保護すべきデータから、このデータを復元するための複数の値を生成し、生成した値を分散して管理する構成は、非特許文献1に記載されている。   Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. The present invention is based on the single mode, cluster mode, and new cluster mode of LR-AKE (Leakage-Reliant Authenticated Key Exchange) described in Non-Patent Document 2. First, LR-AKE single mode, cluster mode, and new cluster mode will be described as background knowledge. A configuration in which a plurality of values for restoring this data is generated from the data to be protected based on LR-AKE and the generated values are managed in a distributed manner is described in Non-Patent Document 1.

(LR−AKEのシングルモード)
図1は、非特許文献1に記載のLR−AKEのシングルモードを説明する図であり、システムは、クライアント装置1と、サーバ装置2とを備えている。クライアント装置1の記憶部11は、クライアント情報110を保存しており、サーバ装置2の記憶部21は、クライアント情報110の対であるサーバ情報210を保存している。 (LR-AKE single mode)
FIG. 1 is a diagram illustrating a single mode of LR-AKE described in Non-Patent Document 1, and the system includes a client device 1 and a server device 2. The storage unit 11 of the client device 1 stores client information 110, and the storage unit 21 of the server device 2 stores server information 210 that is a pair of the client information 110.

図1に示すように、クライアント情報110は、アカウント情報111、保護対象であるデータDKを復元するための値CDK及び公開鍵PKを示す情報を含んでいる。また、サーバ情報210は、アカウント情報111の対である検証情報211、保護対象であるデータDKを復元するための値であり、値CDKの対である値SDK、及び、公開鍵PKの対である秘密鍵SKを示す情報を含んでいる。なお、値CDK及び値SDKは、データDK及びクライアント装置1のユーザのパスワードに基づき生成されており、データDKは、値CDK及び値SDK並びにクライアント装置1のユーザのパスワードから復元可能である。   As shown in FIG. 1, the client information 110 includes account information 111, information indicating a value CDK for restoring the data DK to be protected, and a public key PK. The server information 210 is a value for restoring the verification information 211 that is a pair of the account information 111 and the data DK that is the protection target, and is a pair of a value SDK that is a pair of the value CDK and a public key PK. Information indicating a secret key SK is included. Note that the value CDK and the value SDK are generated based on the data DK and the user password of the client device 1, and the data DK can be restored from the value CDK and the value SDK and the user password of the client device 1.

さらに、アカウント情報111は、ユーザ識別子及びアカウント情報のインデックスとして使用されるランダム値pcidと、秘密値csを示す情報を含んでいる。また、検証情報211は、ランダム値pcidのハッシュ値であるhpcidと、秘密値csとクライアント装置1のユーザのパスワードに基づき生成した秘密値ssを示す情報を含んでいる。   Further, the account information 111 includes a random value pcid used as an index of the user identifier and account information, and information indicating the secret value cs. The verification information 211 includes information indicating the hpcid that is a hash value of the random value pcid, the secret value cs, and the secret value ss generated based on the password of the user of the client device 1.

ユーザがクライアント装置1にパスワードを入力すると、クライアント装置1の認証部12は、パスワード、ランダム値pcid、秘密値cs及び公開鍵PKに基づき値msを生成し、値msから認証データを生成する。そして、生成した認証用データをサーバ装置2に送信する。サーバ装置2の認証部22は、ハッシュ値hpcid、秘密値ss及び秘密鍵SKに基づきクライアント装置1と同じ値msを生成し、この値に基づきクライアント装置1から受信する認証データを検証する。クライアント装置1の認証成功後、クライアント装置1の通信処理部13とサーバ装置2の通信処理部23は、それぞれ、値msからクライアント装置1とサーバ装置2間の通信を暗号化するための通信用暗号鍵を生成する。つまり、クライアント装置1及びサーバ装置2との間に安全な通信路が確立される。   When the user inputs a password to the client device 1, the authentication unit 12 of the client device 1 generates a value ms based on the password, the random value pcid, the secret value cs, and the public key PK, and generates authentication data from the value ms. Then, the generated authentication data is transmitted to the server device 2. The authentication unit 22 of the server device 2 generates the same value ms as that of the client device 1 based on the hash value hpcid, the secret value ss, and the secret key SK, and verifies authentication data received from the client device 1 based on this value. After the authentication of the client device 1 is successful, the communication processing unit 13 of the client device 1 and the communication processing unit 23 of the server device 2 respectively perform communication for encrypting communication between the client device 1 and the server device 2 from the value ms. Generate an encryption key. That is, a safe communication path is established between the client device 1 and the server device 2.

サーバ装置2が、この安全な通信路を使用して、クライアント装置1に値SDKを送信することで、クライアント装置1は、ユーザのパスワード、値SDK及び値CDKに基づきデータDKを安全に復元することができる。   The server apparatus 2 transmits the value SDK to the client apparatus 1 using this secure communication path, so that the client apparatus 1 safely restores the data DK based on the user password, the value SDK, and the value CDK. be able to.

さらに、非特許文献1に記載のシステムでは、クライアント装置1とサーバ装置2による認証が成功する度に、情報生成更新部14は、値msを使用して秘密値cs及び値CDKを更新し、新たなランダム値を生成してランダム値pcidを更新する。また、情報生成更新部14は、更新後のランダム値pcidから新たなハッシュ値hpcidを計算してサーバ装置2に送信する。また、サーバ装置2の情報生成更新部24は、値msを使用して秘密値ss及び値SDKを更新し、また、ハッシュ値hpcidを、クライアント装置1から受信する値に更新する。よって、データDKを復元するためには、同じ回に生成された値SDK及び値CDKを入手する必要がある。値SDK及び値CDKは分散して管理されており、かつ、認証の都度更新されるため、データDKは安全に保護される。   Further, in the system described in Non-Patent Document 1, each time the authentication by the client device 1 and the server device 2 succeeds, the information generation / update unit 14 updates the secret value cs and the value CDK using the value ms, A new random value is generated and the random value pcid is updated. Further, the information generation / updating unit 14 calculates a new hash value hpcid from the updated random value pcid and transmits it to the server device 2. Also, the information generation / update unit 24 of the server device 2 updates the secret value ss and the value SDK using the value ms, and updates the hash value hpcid to a value received from the client device 1. Therefore, in order to restore the data DK, it is necessary to obtain the value SDK and the value CDK generated at the same time. Since the value SDK and the value CDK are managed in a distributed manner and updated every time authentication is performed, the data DK is safely protected.

なお、クライアント情報110及びサーバ情報210の初期値については、いずれかの装置で両方を生成し、ネットワークではなく、外部記憶装置を利用してそれぞれの装置に保存する方法であってもよい。なお、非特許文献1は、これらを生成するための初期化プロトコルを開示しており、クライアント装置1とサーバ装置2が初期化プロトコルを実行する。   Note that the initial values of the client information 110 and the server information 210 may be generated by both devices and stored in each device using an external storage device instead of a network. Non-Patent Document 1 discloses an initialization protocol for generating these, and the client device 1 and the server device 2 execute the initialization protocol.

(LR−AKEのクラスタモード)
図2は、非特許文献1に記載のLR−AKEのクラスタモードを説明する図であり、システムは、クライアント装置3と、サーバ装置4及び5を備えている。なお、図2においては、説明を簡略化するため、各装置に保存されている情報のみを表示している。図2において、クライアント装置3が保持するアカウント情報311aを含むクライアント情報310a及びサーバ装置4が保持する検証情報411aを含むサーバ情報410aは、それぞれ、図1のクライアント装置1のクライアント情報110及びサーバ装置2のサーバ情報210に対応する。つまり、クライアント装置3は、サーバ装置4の認証を受けた後に、サーバ装置4から値SDK1を取得することでデータDKを復元することができる。 (LR-AKE cluster mode)
FIG. 2 is a diagram illustrating the LR-AKE cluster mode described in Non-Patent Document 1, and the system includes a client device 3 and server devices 4 and 5. In FIG. 2, only information stored in each device is displayed for the sake of simplicity. In FIG. 2, the client information 310a including the account information 311a held by the client device 3 and the server information 410a including the verification information 411a held by the server device 4 are respectively the client information 110 and the server device of the client device 1 of FIG. 2 server information 210. That is, the client device 3 can restore the data DK by acquiring the value SDK1 from the server device 4 after receiving the authentication of the server device 4.

同様に、クライアント装置3が保持するアカウント情報311bを含むクライアント情報310b及びサーバ装置5が保持する検証情報511bを含むサーバ情報510bは、それぞれ、図1のクライアント装置1のクライアント情報110及びサーバ装置2のサーバ情報210に対応する。つまり、クライアント装置3は、サーバ装置5の認証を受けた後に、サーバ装置5から値SDK2を取得することでデータDKを復元することができる。   Similarly, the client information 310b including the account information 311b held by the client device 3 and the server information 510b including the verification information 511b held by the server device 5 are respectively the client information 110 and the server device 2 of the client device 1 of FIG. Corresponds to the server information 210. That is, the client device 3 can restore the data DK by acquiring the value SDK2 from the server device 5 after receiving the authentication of the server device 5.

さらに、サーバ装置5が保持するアカウント情報511cを含むクライアント情報510c及びサーバ装置4が保持する検証情報411cを含むサーバ情報410cは、それぞれ、図1のクライアント装置1のクライアント情報110及びサーバ装置2のサーバ情報210に対応する。つまり、サーバ装置5は、サーバ装置4の認証を受けた後に、サーバ装置4から値SDK3を取得することでデータDKを復元することができる。   Further, the client information 510c including the account information 511c held by the server device 5 and the server information 410c including the verification information 411c held by the server device 4 are respectively the client information 110 of the client device 1 and the server device 2 of FIG. It corresponds to the server information 210. That is, the server device 5 can restore the data DK by obtaining the value SDK3 from the server device 4 after receiving the authentication of the server device 4.

図2に示すクラスタモードにおいては、クライアント装置3、サーバ装置4及びサーバ装置5のいずれか1つが故障となったり、各装置を接続する伝送路の2つが障害となったりしてもユーザは、データDKを復元することが可能である。   In the cluster mode shown in FIG. 2, even if any one of the client device 3, the server device 4, and the server device 5 fails or two of the transmission paths connecting each device fail, It is possible to restore the data DK.

(LR−AKEの新クラスタモード)
図3は、非特許文献3に記載のLR−AKEの新クラスタモードを説明する図であり、システムは、クライアント装置6、サーバ装置7並びに8、及びクライアント装置6に接続可能な外部の記憶装置620を備える。なお、図3においては、説明を簡略化するため、各装置に保存されている情報のみを表示している。また、図3のクライアント装置6、サーバ装置7及び8の相互の関係は、図2のクライアント装置3、サーバ装置4及び5の相互の関係と同様である。すなわち、例えば、クライアント装置6は、サーバ装置7の認証を受けた後に、サーバ装置7から値SDK1を取得することでデータDKを復元することができる。 (LR-AKE new cluster mode)
FIG. 3 is a diagram for explaining the LR-AKE new cluster mode described in Non-Patent Document 3. The system includes a client device 6, server devices 7 and 8, and an external storage device that can be connected to the client device 6. 620. In FIG. 3, only information stored in each device is displayed for the sake of simplicity. The mutual relationship between the client device 6 and the server devices 7 and 8 in FIG. 3 is the same as the mutual relationship between the client device 3 and the server devices 4 and 5 in FIG. That is, for example, the client device 6 can restore the data DK by obtaining the value SDK1 from the server device 7 after receiving the authentication of the server device 7.

また、新クラスタモードでも、クライアント装置6とサーバ装置7との間、及びクライアント装置6とサーバ装置8との間では、ユーザが記憶する短いパスワードを用いて認証やデータDKの復元などを実行する。ただし、サーバ装置7とサーバ装置8との間では、全数探索が困難となる程度の十分長い第1のパスワードを用いる。そして、クライアント装置6は、アカウント情報610bに含めて第1のパスワードを記憶する。また、クライアント装置6は、サーバ装置8と通信して、バックアップ用のアカウント情報611zを含むクライアント情報610zと、検証情報811zを含むサーバ情報810zの対の生成を行う。サーバ情報810zは、サーバ装置8の記憶部に保存されるが、クライアント情報610zは、クライアント装置6ではなく、クライアント装置6に接続可能な外部の記憶装置620に保存される。なお、クライアント情報610zは、第1のパスワードを含んでいる。   Even in the new cluster mode, authentication, restoration of data DK, and the like are performed between the client device 6 and the server device 7 and between the client device 6 and the server device 8 using a short password stored by the user. . However, a sufficiently long first password is used between the server device 7 and the server device 8 so that exhaustive search is difficult. Then, the client device 6 stores the first password included in the account information 610b. The client device 6 communicates with the server device 8 to generate a pair of client information 610z including the backup account information 611z and server information 810z including the verification information 811z. The server information 810z is stored in the storage unit of the server device 8, but the client information 610z is stored in the external storage device 620 that can be connected to the client device 6 instead of the client device 6. The client information 610z includes a first password.

新クラスタモードでは、例えば、クライアント装置6が故障したとしても、記憶装置620のクライアント情報610zを使用して、サーバ装置8のサーバ情報810zを使用した認証を受けることで、サーバ装置8とは安全な通信路を確保することができる。この安全な通信路によりクライアント情報810cをサーバ装置8から安全に取得することができるため、クライアント装置6は、サーバ装置7と認証を行うことで安全にデータDKを復元することが可能となる。つまり、クライアント装置6が破損したとしても、サーバ装置8の設置場所に出向くことなく、これら情報の復旧を行うことができる。   In the new cluster mode, for example, even if the client device 6 breaks down, it is safe to use the server information 810z of the server device 8 by using the client information 610z of the storage device 620, so that the server device 8 is safe. A secure communication path can be secured. Since the client information 810c can be safely acquired from the server device 8 through this secure communication path, the client device 6 can safely restore the data DK by performing authentication with the server device 7. That is, even if the client device 6 is damaged, the information can be recovered without going to the place where the server device 8 is installed.

<<実施形態1>>
続いて、LR−AKEのシングルモードに基づく、グループ間でのデータ共有方式を用いる場合の本発明の実施形態について説明する。 << Embodiment 1 >>
Next, an embodiment of the present invention in the case of using a data sharing method between groups based on the single mode of LR-AKE will be described.

(システム構成)
図4は実施形態1の鍵共有システムの構成を示す概略図である。図4においては、グループ鍵GKの生成を要求するユーザを要求者Uと表し、要求者UがデータDを共有したいグループメンバをそれぞれメンバM1〜メンバMnと表す。要求者Uのクライアント装置1000は、メンバM1〜Mnを特定する情報であるグループメンバ集合G、自らの識別子U及び乱数Nを認証サーバ装置1100に送信し、グループ鍵GKの生成を要求する。ここで、グループ鍵GKとは、要求者UとメンバM1〜Mnとの間で共通鍵暗号を用いてデータDを共有するために用いる暗号用の鍵である。認証サーバ装置は、受信した情報と、自らが保持するマスター鍵MKとを用いて鍵生成を実行し、生成したグループ鍵GKを要求者のクライアント装置1000へ送信する。そして、要求者は、受信したグループ鍵GKを用いてデータDを暗号化し、ストレージサーバ装置1200へその暗号化されたデータ(C=EncGK(D))を格納する。 (System configuration)
FIG. 4 is a schematic diagram illustrating the configuration of the key sharing system according to the first embodiment. In FIG. 4, a user who requests generation of the group key GK is represented as a requester U, and group members that the requester U wants to share data D are represented as members M1 to Mn, respectively. The client apparatus 1000 of the requester U transmits the group member set G, which is information for identifying the members M1 to Mn, its own identifier U and random number N to the authentication server apparatus 1100, and requests generation of the group key GK. Here, the group key GK is an encryption key used for sharing the data D using the common key encryption between the requester U and the members M1 to Mn. The authentication server device performs key generation using the received information and the master key MK held by itself, and transmits the generated group key GK to the client device 1000 of the requester. Then, the requester encrypts the data D using the received group key GK, and stores the encrypted data (C = Enc GK (D)) in the storage server apparatus 1200.

メンバM1のクライアント装置1050〜メンバMnのクライアント装置1060は、グループメンバを特定する情報G’と乱数Nとを要求者Uのクライアント装置1000から受信する。メンバM1のクライアント装置1050〜メンバMnのクライアント装置1060は、受信した情報を、認証サーバ装置1100へ送信してグループ鍵GKの生成を要求することにより、そのグループ鍵GKを取得する。そして、ストレージサーバ装置1200に格納された暗号化されたデータCを読み出し、暗号化を解除して、元のデータDを得ることで、データDが要求者とメンバM1〜Mnとの間で共有される。以下では、これらの装置と、その動作について詳細に説明する。   The client device 1050 of the member M1 and the client device 1060 of the member Mn receive the information G ′ specifying the group member and the random number N from the client device 1000 of the requester U. The client device 1050 of the member M1 and the client device 1060 of the member Mn acquire the group key GK by transmitting the received information to the authentication server device 1100 and requesting the generation of the group key GK. Then, the encrypted data C stored in the storage server device 1200 is read, the encryption is released, and the original data D is obtained, so that the data D is shared between the requester and the members M1 to Mn. Is done. Hereinafter, these devices and their operations will be described in detail.

(装置構成)
図5は、要求者のクライアント装置1000と、認証サーバ装置1100の機能構成例を示すブロック図である。クライアント装置1000は、例えば、通信処理部1001、グループメンバ集合取得部1002、乱数生成部1003、記憶部1004、及び暗号化部1005を備える。認証サーバ装置1100は、例えば、通信処理部1101、判定部1102、ソート部1103、グループ鍵生成部1104、記憶部1105、及びマスター鍵生成部1106とを備える。なお図5においては、LR−AKEのシングルモードを実行するための機能部については図示を省略しているが、クライアント装置1000及び認証サーバ装置1100は、例えば、それぞれ図1のクライアント装置1及びサーバ装置2で示す機能をも備える。また、クライアント装置1000と認証サーバ装置1100の間で送受信するメッセージは、すべてLR−AKEのシングルモードにより保護される。 (Device configuration)
FIG. 5 is a block diagram illustrating a functional configuration example of the requester client device 1000 and the authentication server device 1100. The client device 1000 includes, for example, a communication processing unit 1001, a group member set acquisition unit 1002, a random number generation unit 1003, a storage unit 1004, and an encryption unit 1005. The authentication server device 1100 includes, for example, a communication processing unit 1101, a determination unit 1102, a sorting unit 1103, a group key generation unit 1104, a storage unit 1105, and a master key generation unit 1106. In FIG. 5, the functional units for executing the LR-AKE single mode are not shown, but the client device 1000 and the authentication server device 1100 are, for example, the client device 1 and the server of FIG. The function indicated by the device 2 is also provided. Further, all messages transmitted and received between the client device 1000 and the authentication server device 1100 are protected by the LR-AKE single mode.

なお、図5においては、メンバのクライアント装置の構成図については省略しているが、メンバM1のクライアント装置1050〜メンバMnのクライアント装置1060も要求者のクライアント装置1000と同様の構成を有する。そして、メンバM1のクライアント装置1050やメンバMnのクライアント装置1060も、場合によっては、グループ鍵GKの要求者として動作することができる。   In FIG. 5, the configuration diagram of the member client device is omitted, but the client device 1050 of the member M1 and the client device 1060 of the member Mn have the same configuration as the client device 1000 of the requester. In addition, the client device 1050 of the member M1 and the client device 1060 of the member Mn can also operate as a requester of the group key GK depending on circumstances.

(クライアント装置の装置構成)
クライアント装置1000において、通信処理部1001は、様々な信号やメッセージの送受信を実行する。例えば、通信処理部1001は、要求者の識別子U、データDを共有するメンバを指定する指定情報であるグループメンバ集合G、及び乱数Nを含むメッセージを認証サーバ装置1100へ送信し、グループ鍵GKを認証サーバ装置1100から受信する。また、通信処理部1001は、ストレージサーバ装置1200への、後述する暗号化部1005が暗号化したデータCの格納を実行してもよい。 (Device configuration of client device)
In the client apparatus 1000, the communication processing unit 1001 executes transmission / reception of various signals and messages. For example, the communication processing unit 1001 transmits a message including the identifier U of the requester, the group member set G that is designation information for designating the member sharing the data D, and the random number N to the authentication server apparatus 1100, and the group key GK. Is received from the authentication server device 1100. Further, the communication processing unit 1001 may store the data C encrypted by the encryption unit 1005 described later in the storage server apparatus 1200.

グループメンバ集合取得部1002は、例えば要求者(ユーザ)の入力により、データDを共有するグループメンバ集合Gを取得する。グループメンバ集合Gは、例えば、識別子(ID)やメールアドレスなどの、メンバM1〜Mnを特定する情報の集合である。乱数生成部1003は、認証サーバ装置1100においてグループ鍵GKの生成に用いる乱数Nを生成する。乱数Nは同じグループ中で異なるグループ鍵GKを生成する場合などに用いることができる。なお、同じグループ中では異なるグループ鍵GKを生成する必要がない場合などは、認証サーバ装置1100へ乱数Nを送信する必要がないため、この場合は乱数生成部1003を省略することもできる。記憶部1004は、例えばメモリなどの記憶装置であり、要求者の識別子UやデータDを格納する。暗号化部1005は、認証サーバ装置1100が生成したグループ鍵GKを用いて、データDを暗号化する。   The group member set acquisition unit 1002 acquires the group member set G sharing the data D, for example, by the requester (user) input. The group member set G is a set of information for specifying the members M1 to Mn such as an identifier (ID) and a mail address. The random number generation unit 1003 generates a random number N used for generating the group key GK in the authentication server device 1100. The random number N can be used when generating different group keys GK in the same group. If there is no need to generate a different group key GK in the same group, it is not necessary to transmit the random number N to the authentication server device 1100. In this case, the random number generation unit 1003 can be omitted. The storage unit 1004 is a storage device such as a memory, for example, and stores the requester identifier U and data D. The encryption unit 1005 encrypts the data D using the group key GK generated by the authentication server device 1100.

なお、要求者の識別子Uをクライアント装置から認証サーバ装置1100へ送信すると説明したが、例えばLR−AKEの認証の時点で、認証サーバ装置1100がクライアント装置の識別子、すなわち識別子Uを取得できる場合は、この送信は不要である。   Although it has been described that the requester identifier U is transmitted from the client device to the authentication server device 1100, for example, when the authentication server device 1100 can acquire the identifier of the client device, that is, the identifier U, at the time of LR-AKE authentication. This transmission is unnecessary.

(認証サーバ装置の装置構成)
認証サーバ装置1100の通信処理部1101は、クライアント装置1000の通信処理部1001と同様に、様々な信号やメッセージの送受信を実行する。例えば、通信処理部1101は、要求者の識別子U、グループメンバ集合G、及び乱数Nを含むメッセージをクライアント装置1000から受信し、グループ鍵GKをクライアント装置1000へ送信する。判定部1102は、要求者の識別子Uがグループメンバ集合Gに含まれているかを判定し、含まれていない場合は、例えば、グループメンバ集合Gに要求者の識別子Uを加えた集合G+Uを出力する。また、判定部1102は、要求者の識別子Uがグループメンバ集合Gに含まれている場合は、グループメンバ集合Gをそのまま出力する。なお、判定部1102は、要求者の識別子Uがグループメンバ集合Gに含まれていない場合は、グループ鍵GKを生成しないことを決定して、何も出力しないようにしてもよい。また、グループ鍵GKを生成しない旨の情報を含むメッセージを生成し、そのメッセージを通信処理部1101を介してクライアント装置1000へ送信してもよい。 (Device configuration of authentication server device)
Similar to the communication processing unit 1001 of the client apparatus 1000, the communication processing unit 1101 of the authentication server apparatus 1100 executes transmission / reception of various signals and messages. For example, the communication processing unit 1101 receives a message including the requester identifier U, the group member set G, and the random number N from the client device 1000, and transmits the group key GK to the client device 1000. The determination unit 1102 determines whether the requester identifier U is included in the group member set G. If the requester identifier U is not included, the determination unit 1102 outputs, for example, a set G + U obtained by adding the requester identifier U to the group member set G To do. If the identifier U of the requester is included in the group member set G, the determination unit 1102 outputs the group member set G as it is. Note that if the identifier U of the requester is not included in the group member set G, the determination unit 1102 may decide not to generate the group key GK and output nothing. Further, a message including information indicating that the group key GK is not generated may be generated, and the message may be transmitted to the client apparatus 1000 via the communication processing unit 1101.

ソート部1103は、判定部が出力したグループメンバ集合G又は集合G+Uをソートする。ソートすることにより、グループメンバ集合G又は集合G+Uにおいて、複数のグループメンバの識別子がどのような順序で含まれていたとしても、同一のグループメンバ集合に対しては同一のソート結果G’が得られるようになる。これにより、後述するグループ鍵生成部1104に入力される値を一意に定めることが可能となる。   The sorting unit 1103 sorts the group member set G or the set G + U output from the determination unit. By sorting, in the group member set G or the set G + U, the same sort result G ′ is obtained for the same group member set regardless of the order in which the identifiers of the plurality of group members are included. Be able to. As a result, it is possible to uniquely determine a value input to the group key generation unit 1104 described later.

なお、このソート結果G’は、通信処理部1101を介してクライアント装置1000へ送信されてもよい。これは、要求者の識別子Uがグループメンバ集合Gに含まれていなかった場合に特に有効である。すなわち、グループメンバ集合Gに要求者の識別子Uが含まれない状態でそのグループメンバ集合GがメンバM1〜Mnに通知されると、メンバM1〜Mnは、そのグループメンバ集合Gを用いて要求者Uとは異なるグループ鍵GKを受信する場合がある。これは、メンバM1〜Mnはグループメンバ集合Gに要求者の識別子Uが含まれていないことを知らない場合に起こる。この場合、認証サーバ装置1100においてグループ鍵GKの生成に用いるソート結果G’は、要求者に対しては識別子Uを含み、メンバM1〜Mnに対しては識別子Uを含まない。このため、生成されるグループ鍵GKはそれぞれ異なり、データの共有ができなくなってしまう。これに対し、要求者のクライアント装置1000へソート結果G’を送信し、要求者が、グループメンバ集合Gではなくソート結果G’をメンバM1〜Mnと共有することにより、同一のグループ鍵GKを得ることが可能となる。   The sort result G ′ may be transmitted to the client apparatus 1000 via the communication processing unit 1101. This is particularly effective when the requester identifier U is not included in the group member set G. That is, when the group member set G is notified to the members M1 to Mn in a state where the grouper set G does not include the requester identifier U, the members M1 to Mn use the group member set G to request the requester. A group key GK different from U may be received. This occurs when the members M1 to Mn do not know that the group member set G does not include the requester identifier U. In this case, the sort result G ′ used for generating the group key GK in the authentication server device 1100 includes the identifier U for the requester and does not include the identifier U for the members M1 to Mn. For this reason, the generated group keys GK are different from each other, and data cannot be shared. On the other hand, the sort result G ′ is transmitted to the client apparatus 1000 of the requester, and the requester shares the sort result G ′ with the members M1 to Mn instead of the group member set G, so that the same group key GK is obtained. Can be obtained.

記憶部1105は、例えば、メモリなどの記憶装置であり、マスター鍵MKを記憶する。マスター鍵MKは、マスター鍵生成部1106が生成する。なお、マスター鍵MKは所定の有効期限を有していてもよく、マスター鍵生成部1106は、所定の有効期限が到来すると新しいマスター鍵MKを生成するようにしてもよい。また、記憶部1105は、ある時点において複数の有効なマスター鍵MKを記憶してもよい。例えば、記憶部1105は、生成時が1週間ずつずれた、有効期間が2週間のマスター鍵MKを2つ記憶しておいてもよい。複数のマスター鍵MKが存在する場合、後述のグループ鍵生成部1104は、そのいずれかを用いてグループ鍵GKを生成する。   The storage unit 1105 is a storage device such as a memory and stores a master key MK. The master key MK is generated by the master key generation unit 1106. The master key MK may have a predetermined expiration date, and the master key generation unit 1106 may generate a new master key MK when the predetermined expiration date comes. The storage unit 1105 may store a plurality of valid master keys MK at a certain time. For example, the storage unit 1105 may store two master keys MK with a validity period of two weeks, with the generation time shifted by one week. When there are a plurality of master keys MK, a group key generation unit 1104 described later generates a group key GK using any one of them.

グループ鍵生成部1104は、ソート結果G’と、乱数Nと、記憶部1105に記憶されたマスター鍵MKとを用いて、グループ鍵GKを生成する。グループ鍵生成部1104は、生成関数として例えばHMAC関数を使う場合、グループ鍵GKを、次のように計算する。   The group key generation unit 1104 generates a group key GK using the sorting result G ′, the random number N, and the master key MK stored in the storage unit 1105. For example, when the HMAC function is used as the generation function, the group key generation unit 1104 calculates the group key GK as follows.

GK=HMACMK(Nonce:N||ID:U||ID:M1||ID:M2||...||ID:Mn||AT:attribute1||...||AT:attributen)
ここで、Nonce:、ID:、AT:はその後の文字列の種類を表す識別子であり、||は連結を表すが、単に文字列を連結するのではなく、セパレータシンボルを挟んで連結することを意味する。セパレータシンボルはN、U、M1、attribute1などと識別可能な文字又は文字列であり、例えばこれらの変数で使用することが許されない予約語である。なお、グループ鍵生成部1104は、HMAC関数の代わりにKDF関数やハッシュ関数などの計算を用いてグループ鍵GKを生成してもよい。 GK = HMAC MK (Nonce: N || ID: U || ID: M1 || ID: M2 || ... ID | Mn || AT: attribute1 || ... | AT: attribute)
Here, Nonce :, ID :, AT: are identifiers representing the types of the subsequent character strings, and || represents concatenation, but the character strings are not simply concatenated, but are concatenated with a separator symbol interposed therebetween. Means. The separator symbol is a character or character string that can be identified as N, U, M1, attribute 1, etc., and is a reserved word that is not allowed to be used in these variables, for example. Note that the group key generation unit 1104 may generate the group key GK using a calculation such as a KDF function or a hash function instead of the HMAC function.

なお、生成されたグループ鍵GKは、通信処理部1101を介してクライアント装置へ送信されるが、この通信だけ、LR−AKEのシングルモードを用いた安全な通信路を介して行われてもよい。このとき、マスター鍵MKが複数存在する場合は、どのマスター鍵MKを用いたかを特定する特定情報をクライアント装置へ送信する。   The generated group key GK is transmitted to the client device via the communication processing unit 1101, but only this communication may be performed via a secure communication path using the single mode of LR-AKE. . At this time, when there are a plurality of master keys MK, specific information specifying which master key MK is used is transmitted to the client device.

なお、グループ鍵GKの記憶においては、グループ鍵GKをそのままクライアント装置1000に記憶させるのではなく、例えば、グループ鍵GKを、値CGK0、SGK0として分散させる。そして、クライアント装置1000はCGK0を、認証サーバ装置1100はSGK0をそれぞれ記憶する。このため、クライアント装置1000がグループ鍵GKを再度取得するには、パスワードの入力により、LR−AKEのシングルモードを用いた安全な通信路を介して、認証サーバ装置1100からSGK0を取得することが必要となる。   In storing the group key GK, the group key GK is not stored in the client device 1000 as it is, but for example, the group key GK is distributed as values CGK0 and SGK0. The client apparatus 1000 stores CGK0, and the authentication server apparatus 1100 stores SGK0. For this reason, in order for the client apparatus 1000 to acquire the group key GK again, SGK0 can be acquired from the authentication server apparatus 1100 through a secure communication path using the LR-AKE single mode by inputting a password. Necessary.

なお、上述の説明では、グループメンバ集合Gを識別子の集合としたが、グループメンバ集合Gは、データDを共有したいユーザの属性に関する情報であってもよい。属性に関する情報とは、例えば、年齢や男女、所属部署、または所定のメーリングリストに加入しているか否か、などを含む。要求者は、例えば、グループメンバ集合Gにおいて、「18歳以上」、「女性」、「総務部」などの少なくとも1つの属性を指定する。グループメンバ集合Gとして属性を用いる場合、判定部1102は、要求者がその属性に含まれない場合は、グループ鍵GKの生成をしないことを決定し、何も出力しない。また、ソート部1103は、グループメンバ集合Gに複数の属性の情報が含まれている場合、その情報をソートする。また、グループメンバ集合Gは、識別子と属性の情報とを組み合わせた情報であってもよい。なお、グループメンバ集合Gの値が、識別子であるか、属性の情報であるか、それらの組み合わせであるか、などを認証サーバ装置1100が判定することができるように、クライアント装置はメッセージにこれらを識別するコードを含めてもよい。   In the above description, the group member set G is a set of identifiers. However, the group member set G may be information on attributes of users who want to share data D. The attribute information includes, for example, age, sex, department to which the user belongs, or whether or not a predetermined mailing list is subscribed. For example, in the group member set G, the requester specifies at least one attribute such as “18 years old or older”, “female”, “general affairs department”. When an attribute is used as the group member set G, if the requester is not included in the attribute, the determination unit 1102 determines not to generate the group key GK and outputs nothing. Further, when the group member set G includes information on a plurality of attributes, the sorting unit 1103 sorts the information. Further, the group member set G may be information combining an identifier and attribute information. It should be noted that the client device sends these to the message so that the authentication server device 1100 can determine whether the value of the group member set G is an identifier, attribute information, or a combination thereof. A code for identifying the ID may be included.

(要求者のクライアント装置の動作)
続いて、要求者のクライアント装置1000の動作について、図6を参照して説明する。図6は、クライアント装置1000の動作を示すフローチャートである。まず、要求者は、LR−AKEのシングルモードを用いた安全な通信路の確立のためにパスワードを入力する(S601)。そして、クライアント装置1000は、認証用サーバ装置との間の安全な通信路を確立しようとする(S602)。具体的には、クライアント装置は、パスワード、ランダム値pcid、秘密値cs、及び公開鍵PKに基づいて値msを生成し、値msを用いて認証用データを生成し、その認証用データを認証サーバ装置1100へ送信する。そして、認証サーバ装置1100は、ハッシュ値hpcid、秘密値ss、及び秘密鍵SKに基づいて、クライアント装置1000と同じ値msを生成し、この鍵に基づいて認証用データを検証することによりクライアント装置1000を認証する。認証が成功すると、クライアント装置1000と認証サーバ装置1100は、通信を暗号化するための通信用暗号鍵を生成し、安全な通信路を確立する。 (Operation of client device of requester)
Next, the operation of the client device 1000 of the requester will be described with reference to FIG. FIG. 6 is a flowchart showing the operation of the client apparatus 1000. First, the requester inputs a password to establish a secure communication path using the LR-AKE single mode (S601). Then, the client apparatus 1000 attempts to establish a secure communication path with the authentication server apparatus (S602). Specifically, the client device generates a value ms based on the password, the random value pcid, the secret value cs, and the public key PK, generates authentication data using the value ms, and authenticates the authentication data. It transmits to the server apparatus 1100. Then, the authentication server apparatus 1100 generates the same value ms as that of the client apparatus 1000 based on the hash value hpcid, the secret value ss, and the secret key SK, and verifies the authentication data based on this key to thereby verify the client apparatus. Authenticate 1000. When the authentication is successful, the client apparatus 1000 and the authentication server apparatus 1100 generate a communication encryption key for encrypting communication and establish a secure communication path.

クライアント装置は、パスワードを間違えるなど、通信路の確立に失敗すると(S603でNo)、再度パスワードの入力(S601)へ戻る。なお、通信路の確立に所定回数連続で失敗すると、パスワードの入力をロックし、ユーザからの入力を受け付けないようにしてもよい。一方、通信路の確立に成功すると(S603でYes)、クライアント装置は、ユーザから、データDを共有するグループメンバの入力を受け付け、そのグループメンバを指定する指定情報であるグループメンバ集合Gを取得する(S604)。そして、乱数生成部1003は、乱数Nを生成する(S605)。なお、S604とS605は、実行する順序が逆であってもよく、また、同時に実行されてもよい。また、同一のグループメンバに対して、異なるグループ鍵GKを生成する必要がない場合などは、乱数Nの生成(S605)を省略してもよい。その場合、以下の処理では、乱数Nの代わりに定数を用いてもよいし、乱数Nの送受信を行わないようにしてもよい。   If the client device fails to establish a communication path such as a wrong password (No in S603), the client device returns to the input of the password (S601) again. Note that if the establishment of the communication path fails continuously a predetermined number of times, the password input may be locked so that the input from the user is not accepted. On the other hand, when the communication path is successfully established (Yes in S603), the client device receives an input of a group member sharing the data D from the user, and acquires a group member set G that is designation information for designating the group member. (S604). Then, the random number generation unit 1003 generates a random number N (S605). Note that the order of executing S604 and S605 may be reversed, or may be executed simultaneously. Further, when it is not necessary to generate different group keys GK for the same group member, the generation of the random number N (S605) may be omitted. In this case, in the following processing, a constant may be used instead of the random number N, or the random number N may not be transmitted / received.

通信処理部1001は、グループメンバ集合Gと乱数Nが揃うと、それに識別子Uを加えたメッセージを生成し、そのメッセージを認証サーバ装置1100へ送信する(S606)。なお、識別子Uは、S602の安全な通信路の確立の時点で認証サーバ装置1100がクライアント装置を認識できるため、メッセージに含めなくてもよい。その後、通信処理部1001は、認証サーバ装置1100からメッセージを受信する(S607)。そして、そのメッセージがグループ鍵GKを含んでいた場合(S608でYes)、データDを暗号化する。そして、受信したソート結果G’又はグループ集合Gもしくは集合G+Uとその暗号化したデータCとを関連付けてにストレージサーバ装置1200へ格納する(S609)。   When the group member set G and the random number N are prepared, the communication processing unit 1001 generates a message with the identifier U added thereto, and transmits the message to the authentication server device 1100 (S606). Note that the identifier U may not be included in the message because the authentication server device 1100 can recognize the client device at the time of establishment of the secure communication path in S602. Thereafter, the communication processing unit 1001 receives a message from the authentication server device 1100 (S607). If the message includes the group key GK (Yes in S608), the data D is encrypted. Then, the received sort result G 'or group set G or set G + U and the encrypted data C are associated with each other and stored in the storage server apparatus 1200 (S609).

そして、受信したソート結果G’又はグループ集合Gもしくは集合G+Uと、S605で生成した乱数Nとを、メンバM1〜Mnのクライアント装置に通知し(S610)、処理を終了する。なお、認証サーバ装置1100からグループ鍵GKの生成に使用したマスター鍵MKを示す情報を受信していた場合は、要求者のクライアント装置はメンバM1〜Mnのクライアント装置へこの情報も通知する。また、グループ鍵GKの生成に使用したマスター鍵MKを示す情報を通知する場合は、同時に、そのマスター鍵MKの有効期限以前のグループ鍵GKを要求できる期限を通知してもよい。メンバM1〜Mnがマスター鍵MKの有効期限以降のタイミングでグループ鍵GKを要求すると、マスター鍵MKが更新されているため、要求者とメンバM1〜Mnとで異なるグループ鍵GKを取得することとなるからである。一方、受信したメッセージがグループ鍵GKを含んでいない場合(S608でNo)、そのまま処理を終了する。   Then, the received sort result G 'or group set G or set G + U and the random number N generated in S605 are notified to the client devices of the members M1 to Mn (S610), and the process is terminated. If the information indicating the master key MK used to generate the group key GK has been received from the authentication server device 1100, the requester's client device notifies this information to the client devices of the members M1 to Mn. When notifying information indicating the master key MK used for generating the group key GK, a time limit for requesting the group key GK before the expiration date of the master key MK may be notified at the same time. When the members M1 to Mn request the group key GK at a timing after the expiration date of the master key MK, since the master key MK is updated, the requester and the members M1 to Mn obtain different group keys GK. Because it becomes. On the other hand, if the received message does not include the group key GK (No in S608), the process is terminated as it is.

上述のように、要求者の識別子Uと、乱数Nとは、必ずしも認証サーバ装置1100へ送信される必要はない。すなわち、クライアント装置1000は、グループメンバ集合Gは必ず認証サーバ装置1100へ送信し、場合によって、要求者の識別子Uや乱数Nを同時に送信する。   As described above, the requester identifier U and the random number N are not necessarily transmitted to the authentication server device 1100. That is, the client apparatus 1000 always transmits the group member set G to the authentication server apparatus 1100, and in some cases, simultaneously transmits the requester identifier U and the random number N.

なお、グループ鍵はクライアント装置と認証サーバ装置1100との間で、それぞれCGK、SGKとして分散して保存される。クライアント装置においては、認証が成功するたびに、値msを用いてCGKと秘密値csとが更新され、新しいランダム値を生成されることによりランダム値pcidが更新される。また、更新後のpcidからハッシュ値hpcidが計算され、認証サーバ装置1100に送信する。認証サーバ装置1100は、値msを用いて秘密値ssと値SGKとを更新し、さらに、受信したhpcidによりハッシュ値hpcidを更新する。このように、分散管理および値の更新により、グループ鍵GKは安全に保護される。   The group keys are distributed and stored as CGK and SGK between the client device and the authentication server device 1100, respectively. In the client device, every time authentication is successful, the CGK and the secret value cs are updated using the value ms, and the random value pcid is updated by generating a new random value. Also, a hash value hpcid is calculated from the updated pcid and transmitted to the authentication server device 1100. The authentication server device 1100 updates the secret value ss and the value SGK using the value ms, and further updates the hash value hpcid with the received hpcid. Thus, the group key GK is securely protected by the distributed management and the value update.

(認証サーバ装置の動作)
続いて、認証サーバ装置1100の動作について、図7を参照して説明する。図7は、認証サーバ装置1100の動作を示すフローチャートである。認証サーバ装置1100は、まず、クライアント装置1000から、識別子U、グループメンバ集合G、及び乱数Nを含むメッセージを受信する(S701)。続いて、判定部1102は、識別子Uがグループメンバ集合Gに含まれているかを判定する(S702)。すなわち、グループメンバ集合Gによって、要求者が指定されるかを判定する。そして、識別子Uがグループメンバ集合Gに含まれていない場合(S702でNo)は、グループメンバ集合Gに識別子Uを追加した集合G+Uを出力する(S703)。また、識別子Uがグループメンバ集合Gに含まれている場合(S702でYes)は、グループメンバ集合Gをそのまま出力する。なお、識別子Uがグループメンバ集合Gに含まれていない場合(S702でNo)には、そのまま処理を終了し、グループ鍵GKの生成を行わないようにしてもよい。特に、グループメンバ集合Gが属性で記述されていた場合に、識別子Uが示す属性が、グループメンバ集合Gとして記述されている属性に含まれていない場合は、そのまま処理を終了することが望ましい。グループメンバ集合Gとして記述されている属性に識別子Uが示す属性を加えると、ユーザが意図しない範囲までデータDが共有されてしまうからである。 (Operation of authentication server)
Next, the operation of the authentication server device 1100 will be described with reference to FIG. FIG. 7 is a flowchart showing the operation of the authentication server device 1100. The authentication server device 1100 first receives a message including the identifier U, the group member set G, and the random number N from the client device 1000 (S701). Subsequently, the determination unit 1102 determines whether the identifier U is included in the group member set G (S702). That is, it is determined whether the requester is designated by the group member set G. If the identifier U is not included in the group member set G (No in S702), a set G + U obtained by adding the identifier U to the group member set G is output (S703). If the identifier U is included in the group member set G (Yes in S702), the group member set G is output as it is. If the identifier U is not included in the group member set G (No in S702), the process may be terminated without generating the group key GK. In particular, when the group member set G is described as an attribute, if the attribute indicated by the identifier U is not included in the attribute described as the group member set G, it is desirable to end the processing as it is. This is because if the attribute indicated by the identifier U is added to the attribute described as the group member set G, the data D is shared to a range not intended by the user.

続いて、ソート部1103は、出力されたグループメンバ集合Gまたは集合G+Uをソートし、ソート結果G’を出力する(S704)。これは、グループ鍵生成部1104に対して、同じ内容のグループメンバ集合Gまたは集合G+Uに対して一意に定まる文字列を与えることを目的としている。グループ鍵生成部1104は、ソート結果G’と、乱数Nと、マスター鍵MKとを用いてグループ鍵GKを生成する(S705)。なお、マスター鍵MKが複数存在する場合で、グループ鍵GKの生成に使用するマスター鍵MKを指定されている場合は、その、マスター鍵を用いてグループ鍵GKを生成する。なお、マスター鍵MKが複数存在する場合で、グループ鍵GKの生成に使用するマスター鍵MKを指定されていない場合は、所定のルールで使用するマスター鍵MKを選定する。   Subsequently, the sorting unit 1103 sorts the output group member set G or set G + U, and outputs a sort result G ′ (S704). This is intended to give the group key generation unit 1104 a character string uniquely determined for the group member set G or the set G + U having the same contents. The group key generation unit 1104 generates a group key GK using the sorting result G ′, the random number N, and the master key MK (S705). When there are a plurality of master keys MK and the master key MK used for generating the group key GK is designated, the group key GK is generated using the master key. When there are a plurality of master keys MK and the master key MK used for generating the group key GK is not designated, the master key MK used according to a predetermined rule is selected.

マスター鍵MKは、要求者に対するグループ鍵GKの生成と、要求者が指定するメンバM1〜Mnに対するグループ鍵GKの生成の両方に用いられる。そして、異なるマスター鍵MKを用いると、ソート結果G’や乱数Nが同一であっても異なるグループ鍵GKが生成される。このため、要求者がグループ鍵GKの生成を要求した時点から、メンバM1〜Mnがグループ鍵GKを要求するための所定の期間を確保できるように、マスター鍵MKの有効期限までに所定の期間が残っていることが望ましい。したがって、クライアント装置1000から使用するマスター鍵MKを特定する特定情報を受信していない場合、認証サーバ装置1100は、例えば、有効期限が最も遅く到来するマスター鍵MKを使用するマスター鍵MKとして選定する。具体的には、例えば、認証サーバ装置1100は、生成されたタイミングが1週間ずれた、有効期間が2週間のマスター鍵MKを2つ保持している場合、2つのマスター鍵MKのうち、有効期間が1週間以上残っているものをグループ鍵GKの生成に用いる。   The master key MK is used for both generation of the group key GK for the requester and generation of the group key GK for the members M1 to Mn designated by the requester. When different master keys MK are used, different group keys GK are generated even if the sorting result G ′ and the random number N are the same. For this reason, a predetermined period from the time when the requester requests generation of the group key GK until the expiration date of the master key MK so that the members M1 to Mn can secure a predetermined period for requesting the group key GK. It is desirable to remain. Therefore, when the specific information specifying the master key MK to be used is not received from the client device 1000, the authentication server device 1100 selects, for example, the master key MK that uses the master key MK that has the latest expiration date. . Specifically, for example, when the authentication server apparatus 1100 holds two master keys MK whose generated timings are shifted by one week and whose validity period is two weeks, the authentication server apparatus 1100 is valid among the two master keys MK. What remains for more than one week is used to generate the group key GK.

最後に、通信処理部1101は、生成されたグループ鍵GKとソート結果G’とを、クライアント装置へ安全な通信路を介して送信する(S706)。なお、通信処理部1101は、マスター鍵MKが複数存在する場合は、同時に、グループ鍵GKの生成に使用したマスター鍵MKを特定する特定情報を送信する。この特定情報とは、例えば、2つのマスター鍵MKが存在する場合は、そのどちらを用いたかを示す1ビットの情報であってもよい。   Finally, the communication processing unit 1101 transmits the generated group key GK and the sorting result G ′ to the client device via a secure communication path (S706). In addition, when there are a plurality of master keys MK, the communication processing unit 1101 transmits specific information for specifying the master key MK used for generating the group key GK at the same time. The specific information may be, for example, 1-bit information indicating which one of the two master keys MK is used.

なお、ソート結果G’の通知は、クライアント装置がメンバM1〜Mnに最終的なグループメンバ集合Gを通知するための情報を提供するものである。メンバM1〜Mnは、そのグループメンバ集合Gを用いて、認証サーバ装置1100へグループ鍵を要求する。ここで、認証サーバ装置1100は、メンバM1〜Mnからのグループ鍵GK要求に対しても、グループメンバ集合Gのソートを行う。このため、通信処理部1101は、ソート結果G’に代えて、判定部から出力されたグループメンバ集合Gまたは集合G+Uのいずれかを送信してもよい。識別子Uがグループメンバ集合Gに含まれていないとき(S702でNo)にそのまま処理を終了する場合は、ソート結果G’やグループ集合G、または集合G+Uを送信しないでもよい。これは、この場合は、クライアント装置からメンバM1〜Mnへ提供する最終的なグループメンバ集合Gと、認証サーバ装置1100へ送信する初期のグループメンバ集合Gとに違いがないことが明らかだからである。   The notification of the sort result G 'provides information for the client device to notify the members M1 to Mn of the final group member set G. The members M1 to Mn use the group member set G to request a group key from the authentication server device 1100. Here, the authentication server apparatus 1100 also sorts the group member set G in response to group key GK requests from the members M1 to Mn. Therefore, the communication processing unit 1101 may transmit either the group member set G or the set G + U output from the determination unit instead of the sort result G ′. When the identifier U is not included in the group member set G (No in S702), the sort result G ', the group set G, or the set G + U may not be transmitted when the process is ended as it is. This is because in this case, it is clear that there is no difference between the final group member set G provided from the client device to the members M1 to Mn and the initial group member set G transmitted to the authentication server device 1100. .

(グループのメンバのクライアント装置の動作)
続いて、メンバMj(1≦j≦n)のクライアント装置の動作について、図8を参照して説明する。図8は、メンバMjのクライアント装置の動作を示すフローチャートである。メンバMjのクライアント装置は、ソート結果G’と乱数Nとを、要求者のクライアント装置1000から受信する(S801)。なお、要求者のクライアント装置1000がグループ鍵GKの生成に使用したマスター鍵MKを特定する特定情報を認証サーバ装置1100から受信していた場合は、メンバMjのクライアント装置はこの情報も受信する。その後のグループ鍵GKを取得する処理は、要求者のクライアント装置と同様に行うため、同様の処理については同様の番号を付して説明を省略する(S601〜S603、S606〜S608)。なお、S606では、要求者の識別子Uに代えてメンバの識別子Mjを、そして、グループメンバ集合Gとしてソート結果G’を、それぞれ送信する。さらに、S606では、要求者のクライアント装置からグループ鍵GKの生成に使用したマスター鍵MKを示す情報を受信した場合は、その情報も送信する。なお、要求者のクライアント装置1000が乱数Nとの送信を省略している場合は、乱数Nとの送信を省略してもよい。同様に、認証サーバ装置1100がLR−AKEによってメンバMjを特定できる場合は、識別子Mjを送信しなくてもよい。 (Operations of client devices of group members)
Next, the operation of the client device of the member Mj (1 ≦ j ≦ n) will be described with reference to FIG. FIG. 8 is a flowchart showing the operation of the client device of the member Mj. The client device of the member Mj receives the sorting result G ′ and the random number N from the client device 1000 of the requester (S801). If the requester's client device 1000 has received from the authentication server device 1100 specific information identifying the master key MK used to generate the group key GK, the client device of the member Mj also receives this information. Since the subsequent process of acquiring the group key GK is performed in the same manner as the requester's client apparatus, the same processes are denoted by the same reference numerals and description thereof is omitted (S601 to S603, S606 to S608). In step S606, the member identifier Mj is transmitted instead of the requester identifier U, and the sort result G ′ is transmitted as the group member set G. Furthermore, in S606, when information indicating the master key MK used to generate the group key GK is received from the requester's client device, the information is also transmitted. If the client apparatus 1000 of the requester omits transmission with the random number N, transmission with the random number N may be omitted. Similarly, when the authentication server device 1100 can identify the member Mj by LR-AKE, the identifier Mj need not be transmitted.

認証サーバ装置1100は、このメッセージに基づいて、要求者のクライアント装置に対してグループ鍵GKを発行したのと同様に、メンバMjのクライアント装置に対してもグループ鍵GKを発行する。ここで、要求者のクライアント装置に対するグループ鍵GKの発行と、メンバMjのクライアント装置に対するグループ鍵GKの発行とでは、グループ鍵GKの生成に用いる値G’、N、MKはすべて等しいものとなる。この結果、同一のグループ鍵が要求者とメンバMjとに対して発行されることとなる。   Based on this message, the authentication server apparatus 1100 issues the group key GK to the client apparatus of the member Mj, in the same manner as the group key GK is issued to the requester client apparatus. Here, in the issuance of the group key GK to the client device of the requester and the issuance of the group key GK to the client device of the member Mj, the values G ′, N, and MK used to generate the group key GK are all equal. . As a result, the same group key is issued to the requester and the member Mj.

グループ鍵GKを受信したメンバMjのクライアント装置は、続いて、ストレージサーバ装置1200へアクセスする(S802)。そして、ストレージサーバ装置1200に格納されている暗号化されたデータCに関連付けて保存されているソート結果G’又はグループメンバ集合Gもしくは集合G+Uのうち、自らが含まれるものを探索する。なお、この探索は、S801で受信したG’を用いて、そのG’と同一のG’に関連付けられている暗号化されたデータCを探索するようにしてもよい。そして、自らが含まれているソート結果G’又はグループメンバ集合Gもしくは集合G+Uに関連する暗号化されたデータDを取得する(S803)。そして、受信したグループ鍵GKを用いて暗号化解除したデータを取得する(S804)。なお、取得されたグループ鍵GKは、メンバMjと認証サーバ装置1100との間で、分散管理および値を更新されることによって安全に保護される。   The client device of the member Mj that has received the group key GK subsequently accesses the storage server device 1200 (S802). Then, the sort result G ′ or the group member set G or the set G + U stored in association with the encrypted data C stored in the storage server apparatus 1200 is searched for that includes itself. In this search, the encrypted data C associated with the same G ′ as that G ′ may be searched using the G ′ received in S801. Then, the encrypted data D related to the sorting result G ′ or the group member set G or the set G + U that includes itself is acquired (S803). Then, the decrypted data is acquired using the received group key GK (S804). The acquired group key GK is safely protected by distributed management and updating of values between the member Mj and the authentication server device 1100.

このようにして、要求者とメンバM1〜Mnとは、公開してもよい情報であるグループメンバ集合Gと乱数Nとを共有するだけで、共通のグループ鍵を安全に共有することができる。なお、悪意の第三者がグループメンバ集合Gと乱数Nとを用いてグループ鍵GKを生成しようとすると、認証サーバ装置1100の判定部1102において、第三者の識別子U’がグループメンバ集合Gの値に加えられた集合G+U’が生成される。その結果、グループ鍵生成部1104で生成されるグループ鍵GK’は、要求者とメンバM1〜Mnとの間で共有されたグループ鍵GKとは異なることとなる。また、悪意の第三者が、その識別子U’を偽装したとしても、LR−AKEにおいて、ユーザ認証が行われるため、その認証の結果と識別子U’とを比較することで識別子の偽装を発見することができる。このため、悪意の第三者は、暗号化されたデータCについて、暗号化を解除することができず、要求者とメンバM1〜Mnとは、共通のグループ鍵を安全に共有することができる。   In this way, the requester and the members M1 to Mn can safely share a common group key only by sharing the group member set G and the random number N, which are information that may be disclosed. When a malicious third party tries to generate the group key GK using the group member set G and the random number N, the determination unit 1102 of the authentication server apparatus 1100 determines that the third party identifier U ′ is the group member set G A set G + U ′ added to the value of is generated. As a result, the group key GK ′ generated by the group key generation unit 1104 is different from the group key GK shared between the requester and the members M1 to Mn. Even if a malicious third party spoofs the identifier U ′, user authentication is performed in the LR-AKE. Therefore, the result of the authentication is compared with the identifier U ′ to find the identifier forgery. can do. For this reason, the malicious third party cannot decrypt the encrypted data C, and the requester and the members M1 to Mn can safely share a common group key. .

<<実施形態2>>
続いて、LR−AKEのクラスタモードに基づく、グループ間でのデータ共有方式を用いる場合の本発明の実施形態について説明する。 << Embodiment 2 >>
Next, an embodiment of the present invention in the case of using a data sharing method between groups based on the LR-AKE cluster mode will be described.

(システム構成)
図9は実施形態2の鍵共有システムの構成を示す概略図である。図9においては、要求者は、メンバM1〜Mnとの間で共通鍵暗号を用いてデータDを共有するための部分グループ鍵PGK1及びPGK2の生成を、複数の認証サーバ装置1100及び1150に要求する。ここで、要求者のクライアント装置では、LR−AKEのクラスタモードを用いた安全な通信路を認証用サーバ装置S1及びS2との間に確立する。そして、要求者のクライアント装置は、認証用サーバ装置S1及びS2へ、グループメンバ集合G、乱数N、要求者の識別子Uを送信し、部分グループ鍵PGKの生成を要求する。認証サーバ装置1100と認証サーバ装置1150は、それぞれ図7のような動作により部分グループ鍵PGK1及びPGK2を生成する。ここで、LR−AKEのシングルモードにおけるグループ鍵GKと、ここで生成される部分グループ鍵PGK1及びPGK2とは同様のものである。そして、認証サーバ装置1100と認証サーバ装置1150は、それぞれ生成した部分グループ鍵PGK1とPGK2とを要求者のクライアント装置へ送信する。
そして、要求者のクライアント装置は、生成された複数の部分グループ鍵PGK1及びPGK2を連結又は合成してグループ鍵GKを生成する。そしてそのグループ鍵GKを用いてデータDを暗号化し、ストレージサーバ装置1200へその暗号化されたデータ(C=EncGK(D))を格納する。 (System configuration)
FIG. 9 is a schematic diagram showing the configuration of the key sharing system according to the second embodiment. In FIG. 9, the requester requests a plurality of authentication server devices 1100 and 1150 to generate partial group keys PGK1 and PGK2 for sharing data D among members M1 to Mn using common key encryption. To do. Here, the client device of the requester establishes a secure communication path using the LR-AKE cluster mode between the authentication server devices S1 and S2. Then, the client device of the requester transmits the group member set G, the random number N, and the identifier U of the requester to the authentication server devices S1 and S2, and requests the generation of the partial group key PGK. The authentication server device 1100 and the authentication server device 1150 generate the partial group keys PGK1 and PGK2 by operations as shown in FIG. Here, the group key GK in the single mode of LR-AKE and the partial group keys PGK1 and PGK2 generated here are the same. Then, the authentication server device 1100 and the authentication server device 1150 transmit the generated partial group keys PGK1 and PGK2 to the client device of the requester.
Then, the client device of the requester generates a group key GK by concatenating or synthesizing the generated partial group keys PGK1 and PGK2. Then, the data D is encrypted using the group key GK, and the encrypted data (C = Enc GK (D)) is stored in the storage server apparatus 1200.

メンバM1〜Mnのクライアント装置は、要求者のクライアント装置から、実施形態1と同様にソート結果G’、乱数N、及び場合によっては使用すべきマスター鍵MKを指定する情報とを取得する。そして、LR−AKEのクラスタモードを用いて認証サーバ装置1100及び1150との間に安全な通信路を確立して、それらの情報を認証サーバ装置1100及び1150へ送信し、部分グループ鍵PGK1及びPGK2を取得する。そして、メンバM1〜Mnのクライアント装置は、得られた部分グループ鍵PGK1及びPGK2からグループ鍵GKを生成する。そして、ストレージサーバ装置1200に格納された暗号化されたデータCを読み出し、暗号化を解除して、元のデータDを得ることで、データDが要求者とメンバM1〜Mnとの間で共有される。   The client devices of the members M1 to Mn obtain the sort result G ′, the random number N, and information specifying the master key MK to be used depending on the case from the client device of the requester as in the first embodiment. Then, a secure communication path is established between the authentication server apparatuses 1100 and 1150 using the cluster mode of LR-AKE, and the information is transmitted to the authentication server apparatuses 1100 and 1150, and the partial group keys PGK1 and PGK2 are transmitted. To get. Then, the client devices of the members M1 to Mn generate a group key GK from the obtained partial group keys PGK1 and PGK2. Then, the encrypted data C stored in the storage server device 1200 is read, the encryption is released, and the original data D is obtained, so that the data D is shared between the requester and the members M1 to Mn. Is done.

なお、要求者又はメンバM1〜Mnのクライアント装置と、認証サーバ装置1100及び1150との間では、LR−AKEのクラスタモードを用いたグループ鍵GKの分散管理及びそれに関する値の更新が行われる。ここで、クライアント装置と、認証サーバ装置1100及び1150との間で分散管理される対象は、「部分グループ鍵PGK」ではなく、複数の部分グループ鍵PGKを連結させた値であるグループ鍵GKである。これにより、クライアント装置又は認証サーバ装置1100もしくは認証サーバ装置1150のいずれかが故障した場合などにおいても、2つの装置に分散管理された情報を用いて過去に生成されたグループ鍵を取得することができる。   It should be noted that distributed management of the group key GK using the LR-AKE cluster mode and updating of values related thereto are performed between the client device of the requester or members M1 to Mn and the authentication server devices 1100 and 1150. Here, the object to be distributed and managed between the client device and the authentication server devices 1100 and 1150 is not a “partial group key PGK” but a group key GK that is a value obtained by concatenating a plurality of partial group keys PGK. is there. As a result, even when either the client device or the authentication server device 1100 or the authentication server device 1150 fails, it is possible to acquire a group key generated in the past using information distributedly managed by the two devices. it can.

なお、グループ鍵GKの合成は、例えば複数の部分グループ鍵PGK同士の排他的論理和を計算することにより実行されてもよいし、又は、複数の部分グループ鍵PGKを引数とするハッシュ計算により実行されてもよい。また、その他の複数の部分グループ鍵PGKから1つの値を得ることができる計算によって合成後のグループ鍵GKを得てもよい。ただし、要求者とメンバM1〜Mnのクライアント装置の間で同一の演算を実行する必要がある。このため、例えば、要求者は、ソート結果G’と乱数Nに加えて、グループ鍵演算方法を指定する情報をメンバM1〜Mnに通知してもよい。なお、これは、認証サーバ装置が3つ以上存在し、部分グループ鍵PGKも3つ以上存在しても同様である。   Note that the synthesis of the group key GK may be executed, for example, by calculating an exclusive OR of a plurality of partial group keys PGK, or by a hash calculation using a plurality of partial group keys PGK as an argument. May be. Further, the group key GK after synthesis may be obtained by calculation capable of obtaining one value from a plurality of other partial group keys PGK. However, it is necessary to execute the same calculation between the requester and the client devices of the members M1 to Mn. For this reason, for example, the requester may notify the members M1 to Mn of information specifying the group key calculation method in addition to the sorting result G ′ and the random number N. This is the same even if there are three or more authentication server devices and three or more partial group keys PGK.

このように、本実施形態では、複数の認証サーバ装置を用いてグループ鍵を生成するため、1つの認証サーバ装置からマスター鍵が漏えいしても、グループ鍵GKを復元することはできない。このため、より高いセキュリティを実現することが可能となる。   Thus, in this embodiment, since a group key is generated using a plurality of authentication server devices, the group key GK cannot be restored even if a master key leaks from one authentication server device. For this reason, higher security can be realized.

また、新クラスタモードに基づく、グループ間でのデータ共有方式を用いる場合の実施形態も、上記のクラスタモードに基づく場合と同様にして実現することができる。そして、この場合、複数の認証サーバ装置1100及び1150が結託しても、グループ鍵GKを求めることがより困難となるため、さらに高いセキュリティを実現することが可能となる。   Further, an embodiment in which a data sharing method between groups based on the new cluster mode is used can be realized in the same manner as in the case based on the cluster mode. In this case, even if a plurality of authentication server devices 1100 and 1150 are collated, it becomes more difficult to obtain the group key GK, and thus higher security can be realized.

これまで説明したように、本発明は、クライアント装置または認証サーバ装置から秘密情報が漏えいしても、グループ鍵を秘匿できる特徴を有しながら、グループのメンバのIDや属性に基づいてグループ鍵を柔軟に生成して共有することができる。特に、本発明では、グループ鍵GKは1つまたは複数の認証サーバ装置により分散管理されるため、ストレージサーバ装置1200とメンバのクライアント装置に記憶されたすべての秘密情報が漏えいしても元のデータを復元することはできない。また、メンバの公開鍵の入手や公開鍵証明書の検証などが不要であるため、全体の構成や実装を容易に行うことができる。また、認証サーバ装置は、マスター鍵MKさえ記憶しておくことにより、要求者とメンバM1〜Mnとの間で共通のグループ鍵GKを生成することができる。これは、マスター鍵MKを持つオンラインサーバにIDを指定してオンラインでマスター鍵MKを取得するKDCに対しても有効である。   As described above, the present invention provides a group key based on the IDs and attributes of group members while having the feature of concealing the group key even if secret information is leaked from the client device or the authentication server device. Can be generated and shared flexibly. In particular, in the present invention, the group key GK is distributed and managed by one or a plurality of authentication server devices, so that all the secret information stored in the storage server device 1200 and the member client devices is leaked. Cannot be restored. Further, since it is not necessary to obtain the member's public key or verify the public key certificate, the entire configuration and implementation can be easily performed. Further, the authentication server device can generate a common group key GK between the requester and the members M1 to Mn by storing even the master key MK. This is also effective for a KDC that obtains a master key MK online by specifying an ID for an online server having the master key MK.

<<その他の実施形態>>
なお、上述した装置の各機能要素は、専用のハードウェアによって実現されることもできるが、CPUとコンピュータ・プログラムを用いたソフトウェア処理によって実現されてもよい。すなわち、例えば「乱数生成部」のように「部」「装置」のような用語が用いられているとしても、その実現手段はハードウェアに限定されるものではなく、ソフトウェア処理による手段によっても実装可能である。また、2つ以上の機能要素を1つのハードウェア回路にまとめてもよく、あるいは2つ以上の機能要素をそれぞれサブプログラムとして含んだ1つのプログラムにまとめてもよい。例えば、上述の機能の全てを、プロセッサとメモリとプログラムコードを用いて実現してもよい。さらに、各機能要素をFPGAのようなプログラマブルな回路を用いて実現してもよい。また、その他にも具体的な実施の態様ごとの要求に応じて、適切な実装手段を選択するようにしてもよい。 << Other Embodiments >>
Each functional element of the above-described device can be realized by dedicated hardware, but may be realized by software processing using a CPU and a computer program. That is, even if terms such as “unit” and “apparatus” are used, such as “random number generator”, the implementation means is not limited to hardware, but can also be implemented by means of software processing. Is possible. Further, two or more functional elements may be combined into one hardware circuit, or two or more functional elements may be combined into one program each including a subprogram. For example, all the functions described above may be realized using a processor, a memory, and a program code. Furthermore, each functional element may be realized using a programmable circuit such as an FPGA. In addition, an appropriate mounting means may be selected according to a request for each specific embodiment.

Claims (8)

複数のクライアント装置と、前記複数のクライアント装置の間で情報を暗号化して共有するための共通鍵を生成する鍵生成装置とを含む鍵共有システムであって、
クライアント装置は、
前記情報を共有する1つ以上のクライアント装置を指定する指定情報を取得する取得手段と、
前記指定情報を送信するクライアント側送信手段と、
前記鍵生成装置から、前記情報を暗号化するための共通鍵を受信するクライアント側受信手段と、
を備え、
前記鍵生成装置は、
マスター鍵を記憶する記憶手段と、
前記クライアント装置から、前記指定情報を受信する受信手段と、
前記指定情報をソートするソート手段と、
前記ソート手段でソートされた前記指定情報と、前記マスター鍵とに基づいて、前記共通鍵を生成する生成手段と、
前記共通鍵を前記クライアント装置へ送信する送信手段と、
を備え、
前記指定情報は、その指定情報で指定される他のクライアント装置へ通知され、
前記他のクライアント装置は通知された前記指定情報を前記鍵生成装置へ送信し、
前記鍵生成装置は受信した指定情報と前記マスター鍵とに基づいて前記共通鍵を生成し、生成された共通鍵を当該他のクライアント装置へ送信し、
前記共通鍵は、その共通鍵を復元するための値として、前記クライアント装置および前記他のクライアント装置のそれぞれと前記鍵生成装置との間で、それぞれ分散されて記憶される、
ことを特徴とする鍵共有システム。 A key sharing system including a plurality of client devices and a key generation device that generates a common key for encrypting and sharing information between the plurality of client devices,
The client device
Obtaining means for obtaining designation information for designating one or more client devices sharing the information;
Client-side transmission means for transmitting the designation information;
Client-side receiving means for receiving a common key for encrypting the information from the key generation device;
With
The key generation device includes:
Storage means for storing a master key;
Receiving means for receiving the designation information from the client device;
Sorting means for sorting the specified information;
Generating means for generating the common key based on the designation information sorted by the sorting means and the master key;
Transmitting means for transmitting the common key to the client device;
With
The specified information is notified to another client device specified by the specified information,
The other client device transmits the notified designation information to the key generation device,
The key generation device generates the common key based on the received designation information and the master key, and transmits the generated common key to the other client device,
The common key is stored in a distributed manner between the client device and each of the other client devices and the key generation device as a value for restoring the common key.
A key sharing system characterized by this. 前記鍵共有システムは、複数の鍵生成装置を含み、
前記複数のクライアント装置は、前記複数の鍵生成装置から受信した複数の前記共通鍵を合成して1つの共通鍵を取得する合成手段を備える、
ことを特徴とする請求項1に記載の鍵共有システム。 The key sharing system includes a plurality of key generation devices,
The plurality of client devices include a combining unit that combines the plurality of common keys received from the plurality of key generation devices to obtain one common key.
The key sharing system according to claim 1. 前記クライアント装置は、乱数を生成する乱数生成手段をさらに備え、
前記クライアント側送信手段は前記鍵生成装置へさらに乱数を送信し、
前記生成手段は、ソートされた前記指定情報と前記マスター鍵と前記乱数とに基づいて前記共通鍵を生成し、
前記乱数が前記他のクライアント装置へさらに通知され、
前記他のクライアント装置は、前記乱数を前記鍵生成装置へさらに送信し、
前記鍵生成装置は、受信した前記指定情報および前記乱数と前記マスター鍵とに基づいて前記共通鍵を生成し、生成された共通鍵を当該他のクライアント装置へ送信する、
ことを特徴とする請求項1又は2に記載の鍵共有システム。 The client device further includes random number generation means for generating a random number,
The client side transmission means further transmits a random number to the key generation device,
The generating means generates the common key based on the sorted designation information, the master key, and the random number;
The random number is further notified to the other client device,
The other client device further transmits the random number to the key generation device,
The key generation device generates the common key based on the received designation information, the random number, and the master key, and transmits the generated common key to the other client device.
The key sharing system according to claim 1 or 2, characterized in that 前記ソート手段は、前記指定情報で指定されたクライアント装置に、その指定情報を送信したクライアント装置が含まれない場合、当該クライアント装置を指定する情報を当該指定情報に含めてソートし、
前記送信手段は、さらに、前記指定情報を送信したクライアント装置を指定する情報を当該指定情報に含めた情報を、前記クライアント装置へ送信する、
ことを特徴とする請求項1から3のいずれか1項に記載の鍵共有システム。 If the client device designated by the designation information does not include the client device that transmitted the designation information, the sorting means sorts the designation information including information for designating the client device,
The transmission means further transmits information including information specifying the client device that transmitted the specification information in the specification information to the client device.
The key sharing system according to any one of claims 1 to 3, wherein 前記鍵生成装置は、前記指定情報で指定されたクライアント装置に、その指定情報を送信したクライアント装置が含まれない場合、前記共通鍵を生成しない、
ことを特徴とする請求項1から3のいずれか1項に記載の鍵共有システム。 The key generation device does not generate the common key when the client device specified by the specification information does not include the client device that transmitted the specification information.
The key sharing system according to any one of claims 1 to 3, wherein 前記マスター鍵は、有効期間の異なる複数のマスター鍵を含み、
前記生成手段は、複数のマスター鍵のうち1つを用いて前記共通鍵を生成し、
複数のマスター鍵のうち1つを特定する特定情報が、前記他のクライアント装置へ通知され、
前記他のクライアント装置は、前記特定情報を前記鍵生成装置へさらに送信し、
前記鍵生成装置は、前記特定情報で特定される前記マスター鍵を用いて前記共通鍵を生成し、生成された共通鍵を当該他のクライアント装置へ送信する、
ことを特徴とする請求項1から5のいずれか1項に記載の鍵共有システム。 The master key includes a plurality of master keys having different validity periods,
The generating means generates the common key using one of a plurality of master keys,
Specific information specifying one of a plurality of master keys is notified to the other client device,
The other client device further transmits the specific information to the key generation device,
The key generation device generates the common key using the master key specified by the specific information, and transmits the generated common key to the other client device.
The key sharing system according to claim 1, wherein: 複数のクライアント装置の間で情報を暗号化して共有するための共通鍵を生成する鍵生成装置であって、
マスター鍵を記憶する記憶手段と、
クライアント装置から、前記情報を共有する1つ以上のクライアント装置を指定する指定情報を受信する受信手段と、
前記指定情報をソートするソート手段と、
前記ソート手段でソートされた前記指定情報と、前記マスター鍵とに基づいて、前記共通鍵を生成する生成手段と、
前記共通鍵を前記クライアント装置へ送信する送信手段と、
を備え、
前記共通鍵は、前記クライアント装置との間で分散されて記憶される、
ことを特徴とする鍵生成装置。 A key generation device that generates a common key for encrypting and sharing information between a plurality of client devices,
Storage means for storing a master key;
Receiving means for receiving designation information for designating one or more client apparatuses sharing the information from the client apparatus;
Sorting means for sorting the specified information;
Generating means for generating the common key based on the designation information sorted by the sorting means and the master key;
Transmitting means for transmitting the common key to the client device;
With
The common key is distributed and stored with the client device.
A key generation device characterized by that. 請求項7に記載の鍵生成装置としてコンピュータを機能させることを特徴とするプログラム。   A program causing a computer to function as the key generation device according to claim 7.
JP2011229885A 2011-10-19 2011-10-19 Key sharing system, key generation device, and program Active JP5750728B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011229885A JP5750728B2 (en) 2011-10-19 2011-10-19 Key sharing system, key generation device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011229885A JP5750728B2 (en) 2011-10-19 2011-10-19 Key sharing system, key generation device, and program

Publications (2)

Publication Number Publication Date
JP2013090199A true JP2013090199A (en) 2013-05-13
JP5750728B2 JP5750728B2 (en) 2015-07-22

Family

ID=48533682

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011229885A Active JP5750728B2 (en) 2011-10-19 2011-10-19 Key sharing system, key generation device, and program

Country Status (1)

Country Link
JP (1) JP5750728B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015231077A (en) * 2014-06-04 2015-12-21 株式会社日立製作所 Re-encryption key registration method, re-encryption device, and re-encryption system
CN105491006A (en) * 2015-11-13 2016-04-13 河南师范大学 Device and method for sharing cloud outsourcing key
JP2017526304A (en) * 2014-09-04 2017-09-07 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. Cryptographic system provided for key sharing
JP2020025311A (en) * 2013-07-31 2020-02-13 日本電気株式会社 Group gateway and communication method
JP2022500920A (en) * 2018-09-21 2022-01-04 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Systems and methods for sharing common secrets implemented by computers
CN114139180A (en) * 2021-11-29 2022-03-04 厦门熵基科技有限公司 Method and device for processing secret key

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04213242A (en) * 1990-12-07 1992-08-04 Hitachi Ltd Limited multiple address communication system
JPH05347616A (en) * 1992-06-15 1993-12-27 Hitachi Ltd Group ciphering communication method and group ciphering communication system
JPH09181716A (en) * 1995-12-22 1997-07-11 Sharp Corp Secret key generating method in radio network and radio terminal equipment
JP2002111659A (en) * 2000-10-04 2002-04-12 Nec Software Hokuriku Ltd File encryption system, file encryption program and storage medium having recorded data
WO2005041474A1 (en) * 2003-10-28 2005-05-06 The Foundation For The Promotion Of Industrial Science Authentication system, and remotely distributed storage system
JP2009239839A (en) * 2008-03-28 2009-10-15 Fujitsu Broad Solution & Consulting Inc Key management method in group cipher communication, and key management program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04213242A (en) * 1990-12-07 1992-08-04 Hitachi Ltd Limited multiple address communication system
JPH05347616A (en) * 1992-06-15 1993-12-27 Hitachi Ltd Group ciphering communication method and group ciphering communication system
JPH09181716A (en) * 1995-12-22 1997-07-11 Sharp Corp Secret key generating method in radio network and radio terminal equipment
JP2002111659A (en) * 2000-10-04 2002-04-12 Nec Software Hokuriku Ltd File encryption system, file encryption program and storage medium having recorded data
WO2005041474A1 (en) * 2003-10-28 2005-05-06 The Foundation For The Promotion Of Industrial Science Authentication system, and remotely distributed storage system
JP2009239839A (en) * 2008-03-28 2009-10-15 Fujitsu Broad Solution & Consulting Inc Key management method in group cipher communication, and key management program

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
CSND199800646003; 岡本 栄司: '"明るい情報化社会の実現をめざす暗号技術▲5▼ 暗号鍵配送管理"' bit Vol.23、No.12, 19911101, p.51-59, 共立出版株式会社 *
CSNG200700458004; 境 隆一: '"ID情報に基づく公開鍵暗号の鍵生成について"' 電子情報通信学会技術研究報告 Vol.106、No.411, 20061206, p.25-28, 社団法人電子情報通信学会 *
CSNJ200910087151; 辛 星漢、古原 和邦、今井 秀樹: '"情報漏洩に堅牢な認証・データ管理システムの概要(クラスタモード)"' 第30回情報理論とその応用シンポジウム予稿集 [CD-ROM] 40.3, 20071130, p.790-795, 情報理論とその応用学会 *
CSNJ201110015213; 恩田 泰則、辛 星漢、古原 和邦、今井 秀樹: '"クラウド環境に適したオンラインデータ分散管理方式"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3F2-3, 20110125, p.1-8, 電子情報通信学会情報セキュリティ専門委員会 *
JPN6015000591; 恩田 泰則、辛 星漢、古原 和邦、今井 秀樹: '"クラウド環境に適したオンラインデータ分散管理方式"' 2011年 暗号と情報セキュリティシンポジウム SCIS2011 [CD-ROM] 3F2-3, 20110125, p.1-8, 電子情報通信学会情報セキュリティ専門委員会 *
JPN6015000592; 岡本 栄司: '"明るい情報化社会の実現をめざす暗号技術▲5▼ 暗号鍵配送管理"' bit Vol.23、No.12, 19911101, p.51-59, 共立出版株式会社 *
JPN6015000593; 境 隆一: '"ID情報に基づく公開鍵暗号の鍵生成について"' 電子情報通信学会技術研究報告 Vol.106、No.411, 20061206, p.25-28, 社団法人電子情報通信学会 *
JPN6015000594; 辛 星漢、古原 和邦、今井 秀樹: '"情報漏洩に堅牢な認証・データ管理システムの概要(クラスタモード)"' 第30回情報理論とその応用シンポジウム予稿集 [CD-ROM] 40.3, 20071130, p.790-795, 情報理論とその応用学会 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020025311A (en) * 2013-07-31 2020-02-13 日本電気株式会社 Group gateway and communication method
US11570161B2 (en) 2013-07-31 2023-01-31 Nec Corporation Devices and method for MTC group key management
JP2015231077A (en) * 2014-06-04 2015-12-21 株式会社日立製作所 Re-encryption key registration method, re-encryption device, and re-encryption system
JP2017526304A (en) * 2014-09-04 2017-09-07 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. Cryptographic system provided for key sharing
US10439800B2 (en) 2014-09-04 2019-10-08 Koninklijke Philips N.V. Cryptographic system arranged for key sharing
CN105491006A (en) * 2015-11-13 2016-04-13 河南师范大学 Device and method for sharing cloud outsourcing key
CN105491006B (en) * 2015-11-13 2018-11-13 河南师范大学 Cloud outsourcing key sharing means and method
JP2022500920A (en) * 2018-09-21 2022-01-04 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Systems and methods for sharing common secrets implemented by computers
CN114139180A (en) * 2021-11-29 2022-03-04 厦门熵基科技有限公司 Method and device for processing secret key

Also Published As

Publication number Publication date
JP5750728B2 (en) 2015-07-22

Similar Documents

Publication Publication Date Title
US11032086B2 (en) Certificate authority master key tracking on distributed ledger
JP6811339B2 (en) Read public data for blockchain networks using a highly available and reliable execution environment
JP6547079B1 (en) Registration / authorization method, device and system
US11483298B2 (en) Information masking using certificate authority
JP7454564B2 (en) Methods, user devices, management devices, storage media and computer program products for key management
CN110998581A (en) Program execution and data attestation scheme using multiple key pairs for signatures
WO2015072203A1 (en) Information delivery system
JP5750728B2 (en) Key sharing system, key generation device, and program
CN112118245A (en) Key management method, system and equipment
WO2018043573A1 (en) Key exchange method and key exchange system
JP6368047B2 (en) Key exchange method, key exchange system, key distribution device, representative communication device, general communication device, and program
JP6267658B2 (en) Signature generation apparatus, signature system, signature generation method, and program
KR20210020699A (en) Method for performing backup and recovery private key in consortium blockchain network, and device using them
JP2014022920A (en) Electronic signature system, electronic signature method, and electronic signature program
CN113918971A (en) Block chain based message transmission method, device, equipment and readable storage medium
KR20210020851A (en) Method for performing backup and recovery private key in consortium blockchain network, and device using them
WO2015107561A1 (en) Search system, search method, and search program
EP3800825A1 (en) Method and device for configuring alias credential
JP2012155360A (en) Data distribution management system
JP2013179473A (en) Account generation management system, account generation management server, account generation management method, account generation management program
WO2022111823A1 (en) Devices and methods for supporting key management system for internet-of-things
JP5739078B1 (en) Server apparatus, communication method, and program
JP5705366B1 (en) Server apparatus and program
JP2023055512A (en) Verification device, verification method and verification program
Adamović Development of a Cryptographic Solution Based on Kerberos for Database Security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140606

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150305

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150327

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150424

R150 Certificate of patent or registration of utility model

Ref document number: 5750728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250