JP2868759B1 - 鍵更新方法 - Google Patents

鍵更新方法

Info

Publication number
JP2868759B1
JP2868759B1 JP10085137A JP8513798A JP2868759B1 JP 2868759 B1 JP2868759 B1 JP 2868759B1 JP 10085137 A JP10085137 A JP 10085137A JP 8513798 A JP8513798 A JP 8513798A JP 2868759 B1 JP2868759 B1 JP 2868759B1
Authority
JP
Japan
Prior art keywords
terminal
terminals
terminal information
key
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP10085137A
Other languages
English (en)
Other versions
JPH11266241A (ja
Inventor
なつめ 松崎
Original Assignee
株式会社高度移動通信セキュリティ技術研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社高度移動通信セキュリティ技術研究所 filed Critical 株式会社高度移動通信セキュリティ技術研究所
Priority to JP10085137A priority Critical patent/JP2868759B1/ja
Application granted granted Critical
Publication of JP2868759B1 publication Critical patent/JP2868759B1/ja
Publication of JPH11266241A publication Critical patent/JPH11266241A/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Abstract

【要約】 【課題】 基地局と複数の端末からなる暗号通信システ
ムにおいて、一度に特定の2端末だけを排除した残りの
端末で更新鍵を共有する。 【解決手段】 あらかじめ各端末は、第1の端末情報e
iを保持する。準備として基地局は、鍵Kと法nを定
め、第2の端末情報Xi=Kei mod nを対応する端末i
に配布する。特定の端末T1を排除する場合、基地局は
(e1,e2,X1,X2,n)を各端末に一斉通知する。端末
1,T2以外の各端末Tiでは、次の手順で鍵Kを求め
ることができる。(e1,e2,ei)より、a×e1+b×
2+c×ei=1を満たす整数(a,b,c)を求める。
(X1,X2,Xi,n)より、K=X1 a×X2 b×Xi c mod n
を求める。しかし、端末T1,T2には(e1,e2,X1,X
2,n)しかないので、鍵Kを求めることは、RSA暗号
を破るの同程度に困難である。したがって、基地局から
各端末に(e1,e2,X1,X2,n)を同報するだけで、特
定の2端末を排除した残りの端末で更新鍵を共有でき
る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、基地局および複数
端末からなるスター型通信システムにおける暗号鍵更新
方法に関し、特に、基地局が特定した端末以外のすべて
の端末に共通の秘密鍵を安全に配送する鍵更新方法に関
する。
【0002】
【従来の技術】従来、基地局が複数の端末を管理するス
ター型通信システムにおいて、基地局と傘下の複数の端
末がグループを形成し、グループで同じグループ秘密鍵
を共有して同報の暗号通信が行なわれている。この場
合、グループ秘密鍵を用いて暗号化された情報は、同じ
秘密鍵を保有するグル−プ内の端末だけが復号すること
ができる。
【0003】ところで、このグループから特定の端末を
排除したい場合が生じうる。それは例えば、グループ内
のある端末が盗難にあったり紛失して、その端末を用い
た暗号通信の盗聴や偽情報の送信などの不正が考えられ
る場合などである。このとき、この秘密鍵を管理する基
地局は、できるだけ速やかに、盗難にあった端末を排除
してグループ秘密鍵を更新し、残りの端末だけで新たな
秘密鍵を共有することが必要となる。
【0004】(従来例1)図9は、基地局が特定した端
末以外で鍵データを共有するための、第1の従来例にお
ける鍵更新方法を示す。図9では、2〜6で示す5個の
端末T1,・・・,T5が、それぞれ固有鍵k1,・・・,k5を保持
しており、基地局1が、全端末の固有鍵を管理してい
る。このとき、例えば基地局1が端末T1を排除して、
他の端末T2,・・・,T5に新しい共通の秘密鍵を配付する
場合について説明する。
【0005】まず、基地局1は秘密鍵Kを生成し、これ
をそれぞれk2,・・・,k5を鍵として暗号化し、それぞれ
端末T2,・・・,T5に配送する。排除される端末T1以外の
各端末T2〜T5では固有鍵を用いてこれを復号し、秘密
鍵Kを獲得する。なお、図9中において、例えばEk2
(K)は、Kを固有鍵k2で暗号化した暗号文である。
この通信路上のデータは、それぞれ端末T2〜T5の固有
鍵で暗号化されているため、たとえ端末T1がこの通信
データを盗聴したとしても、基地局1が生成した秘密鍵
Kを獲得することができない。
【0006】(従来例2)図10は、特公平5-46731号
公報に示された第2の従来例における鍵更新方法であ
る。従来例2では、公開鍵暗号の手法を用いている。図
10では、2〜6で示す5個の端末T1,・・・,T5が、そ
れぞれ固有の秘密鍵(e1,d1),・・・,(e5,d5)を保
持している。ここで、各秘密鍵(ei,di)は、 ei×di mod(p-1) =1(pはシステム公開の素数) が成り立っているものとする。基地局1は全端末の公開
鍵 p1=ge1 mod p,・・・,p5=ge5 mod p を管理している。ここでgはシステム公開の整数であ
り、各端末の公開鍵piおよびシステム公開の情報g,
pから各端末の秘密鍵(ei,di)を求めることはビッ
ト長を長く取れば離散対数問題に帰着して困難である。
第1の従来例と同様に、端末T1を排除する場合、ま
ず、基地局は乱数Rを生成し、鍵 K=gR mod p を生成するとともに、これより Z2=p2 R mod p,・・・,Z5=p5 R mod p を求めて、端末T1を除いた各端末T2,・・・,T5に配送す
る。端末T1以外の各端末iでは、受け取ったZiと秘密
鍵diを用いて、基地局と共通の更新鍵 K=Zi di mod p (=pi^(R×di) mod p=g^(ei×di×R) mod
p=gR mod p) を獲得する。
【0007】この方法は、従来例1と異なり、基地局が
各端末の秘密鍵を知り得ないため、基地局の不正を防止
できる点で、第1の従来例より安全性が向上している。
【0008】(従来例3)以上の従来例1、2では、N
個の端末から1つの端末を排除するためには、基地局は
(N−1)回の暗号化を行ない、(N−1)個のデータ
を送信しなくてはならない。例えば、1000個の端末から
1個の端末を排除して、残りの999個の端末で新たな共
通の秘密鍵を共有する場合を考える。このとき、第1お
よび第2の従来例では、999回の暗号化の処理と999個の
暗号文の送信を行なう必要がある。Nが大きい場合この
送信の時間は通常の暗号通信ができないことになり、シ
ステム運用上問題が生じる。本発明者による特願平9-36
8943号の発明は、この課題を解決する方法として発明さ
れたものである。以下、この方法を第3の従来例として
説明する。
【0009】従来例3による鍵更新方法は、システムセ
ットアップ、準備フェーズ、鍵更新の3つのフェーズに
分けられる。以下、基地局が5つの端末を管理している
場合について、各フェ−ズに分けて説明する。
【0010】図11は、従来例3の鍵更新方法のセット
アップを示している。図11において、1は基地局、2
〜6は、基地局の管理下にある端末である。7〜11は、
各端末内の、外部より観測、変更できない記憶部であ
る。
【0011】各端末T1,T2,T3,T4,T5は、第1の端
末情報e1,e2,e3,e4,e5を、それぞれこの領域に秘
密に保持している。第1の端末情報は、任意のeiとej
(i,j=1〜5)の最大公約数GCD(ei,ej)が1
であるよう、互いに素に定める。
【0012】一方、基地局は、各端末の第1の端末情報
1〜e5を、外部より観測、変更できない記憶部12に秘
密に保管している。
【0013】図12は、従来例3の準備フェーズを示し
ている。まず、基地局1は、素数pとqを定め、これら
の積n(=p×q)を決定する。そして鍵Kと法nを、
すべての端末の第1の端末情報において、GCD(Kei
mod n,n)=1を満たすように決定する。ただし、法
nが素数p,qの積であるため、上記条件が満たされる
確率は、1−(1/p+1/q)となり、素数p,qを
十分に大きく(RSA暗号のように10進100桁程度)と
ると、ほとんど上記条件を満たす。
【0014】次に、基地局1は、端末T1の第1の端末
情報e1をべきとし、前記nを法とする鍵Kのべき乗剰
余値X1を求める。これを第2の端末情報と称し、式で
表すと、 X1=Ke1 mod nとなる。ここで、mod n
は、nで除したときの剰余を示す記号である。基地局は
同様に、端末T2〜T5の第2の端末情報X2〜X5を求
め、これらを記憶部12に記憶するとともに、対応する端
末に配布する。端末は、これをそれぞれ記憶部7〜11に
記憶する。第2の端末情報を求め配布する、基地局によ
る準備フェーズの作業は、各端末ごとであり時間がかか
るが、基地局はもともと計算パワーが大きく、また、前
の鍵更新と次の鍵更新の間の、時間が空いたときにすれ
ばよいので問題はない。
【0015】図13は、端末T1を排除する場合の鍵更
新フェーズを示している。基地局1は、記憶部12から、
排除する端末T1の第1、第2の端末情報e1、X1およ
び秘密の整数nを各端末に一斉通知する。このとき、端
末T2では、保持している第1、第2の端末情報を用い
て、次の計算を行ない、鍵Kを求める。 (1)端末T1および端末T2の第1の端末情報e1,e2
を用いて、 e1×a+e2×b=1 を満たす整数a,bを求める。整数a,bは、e1,e2
が互いに素であるので必ず存在し、拡張ユークリッド互
除法により、計算パワーがそれほどない端末であって
も、多項式時間で求めることができる。 (2)端末T1および端末T2の第2の端末情報X1,X2
および整数nを用いて、aが負の場合は、 X1 -1×X1 mod n=1 を満たすX1の法nにおける逆数X1 -1を求め、
(X1 -1-a×X2 b mod nを計算することにより更新鍵
K mod nを求め、またbが負の場合は、 X2 -1×X2 mod n=1 を満たすX2の法nにおける逆数X2 -1を求め、
(X2 -1-b×X1 a mod nを計算することにより更新鍵
K mod nを求める。
【0016】以上の計算は、端末T3〜T5でも同様に行
なうことができ、結果として、T2〜T5で共通の鍵Kを
共有することができる。
【0017】一方、端末T1においては、基地局から一
斉通知された情報と保持している端末情報が同じである
ために、上記(1)でのa,bの算出ができない。その
ため、鍵Kを共有することができない。
【0018】
【発明が解決しようとする課題】従来例1、2の鍵更新
方法では、N個の端末から1つの端末を排除するために
は、基地局は(N−1)回の暗号化を行ない、(N−
1)個のデータを送信しなくてはならない。例えば、10
00個の端末から1個の端末を排除して、残りの999個の
端末で新たな共通の秘密鍵を共有する場合を考える。こ
のとき、従来例1、2では、999回の暗号化の処理と999
個の暗号文の送信を行なう必要がある。Nが大きい場
合、この送信の時間中は通常の暗号通信ができないこと
になり、システム運用上問題が生じる。
【0019】また従来例3の鍵更新方法では、上記問題
点を解決して、鍵更新フェーズではNの大きさに関係な
く、排除する端末の情報を一斉通知するだけでよい。し
かしながら、この第3の従来例の方法では、1回に1つ
の端末しか排除できなかった。複数台を排除しようとす
ると、1台ずつ順次行なうしかないが、準備期間での処
理量が多いため実用的でなかった。
【0020】本発明は、かかる点に鑑み、従来例3の方
法の特徴(以下の(1)の特徴)を保ったまま、特定の
複数端末だけを排除(以下の(2)の特徴)して、他の
端末で分配鍵情報を共有する鍵更新方法を実現すること
を目的とする。 (1)鍵更新フェーズにおいて、グループの端末数Nに
関係なく、基地局から端末への通信量が少なく、全局更
新までの業務停止期間が短い。 (2)同時に複数端末を排除できる。
【0021】
【課題を解決するための手段】本発明では、上記の課題
を解決するために、鍵更新方法を、基地局において、d
ijを端末Tiと端末Tjに依存した整数とし、dをあらか
じめ定めた定数とするとき、 GCD(ei,ej)=dij ・・・(A) (1≦i,j≦N;i≠j;Nは端末数) GCD(ei,ej,ek)=d ・・・(B) (1≦i,j,k≦N;i≠j≠k≠i;Nは端末数) を満たすeiを生成して、第1の端末情報として基地局
に保管するとともに、各端末iに配布し、整数K,nを
適当に決定して、 Xi=Kei mod n (GCD(Xi,n)=1) を計算して、第2の端末情報として基地局に保管すると
ともに、各端末iに配布し、鍵更新時に、基地局が特定
した端末jと端末kの第1の端末情報ej,ekと第2の
端末情報Xj,Xkを、基地局から全端末に一斉通知し、
端末kを除く全ての端末iで、eiとej,ekを用いて、 a×ei+b×ej+c×ek=d (i≠j,k) を満たす整数a,b,cを求め、XiとXj,Xkとを用い
て、更新鍵Kd mod nを求めるという構成とした。
【0022】このように構成したことにより、基地局か
ら全端末に同報通信をするだけで、2つの特定端末を排
除した鍵更新ができるので、鍵更新のための業務停止期
間を短くできる。もちろん、式Aと式Bを3つ以上の端
末を同時に排除できるように拡張して構成することも可
能である。
【0023】
【発明の実施の形態】本発明の請求項1記載の発明は、
基地局と、前記基地局と接続されたN台(Nは2以上の
整数)の端末からなる通信システムにおいて、前記基地
局は、前記端末の第1の端末情報を格納する第1の基地
局側記憶部と、第2の端末情報を格納する第2の基地局
側記憶部を備え、前記端末は、前記第1の端末情報と前
記第2の端末情報を格納する端末情報格納部と、受信部
と、第1計算部と、第2計算部とを備え、前記第1の端
末情報は、GCD(ei,ej)≠GCD(ei,ek),G
CD(ei,ej,ek)=d(ただし、1≦i,j,k≦
N;i≠j≠k≠i;dは所定の整数)となる関係を満
たす整数eiであり、前記第2の端末情報は、Kを更新
鍵を生成するための情報とするとき、前記eiをべきと
し整数nを法とするKのべき乗剰余値Xi=Kei mod n
(GCD(Xi,n)=1)であり、(1)前記基地局に
おいて、鍵更新時に、前記基地局が特定した端末jの第
1の端末情報ejと第2の端末情報Xjと、端末kの第1
の端末情報ekと第2の端末情報Xkを、前記基地局側記
憶部から取り出して全端末に一斉通知し、(2)全ての
端末iにおいて、前記受信部で、前記端末jの第1の端
末情報ejと第2の端末情報Xjと、端末kの第1の端末
情報ekと第2の端末情報Xkを受信し、(3)端末jと
端末kを除く全ての端末iでは、前記第1の計算部にお
いて、端末i、端末j、端末kの第1の端末情報ei
j,ekを用いて、a×ei+b×ej+c×ek=d
(i≠j≠k≠i)を満たす整数a,b,cを求め、
(4)端末jと端末kを除く全ての端末iでは、前記第
2の計算部において、端末i、端末j、端末kの第2の
端末情報Xi, Xj, Xkを用いて、Xi a×Xj b×Xk c mo
d nを計算することにより更新鍵Kd mod nを求める鍵更
新方法であり、排除する2つの端末の端末情報を同報送
信することで、2つの端末を排除して鍵更新を行なうと
いう作用を有する。
【0024】本発明の請求項2記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる暗号通信の鍵更新システムにおいて、前
記基地局は、(1)GCD(ei,ej)≠GCD(ei,
k),GCD(ei,ej,ek)=d(ただし、i≠j≠
k≠i;dは所定の整数)となる関係を満たす整数ei
を第1の端末情報として格納する第1の基地局側記憶部
と、(2)Xi=Kei mod n (ただし、1≦i≦N;e
iは第1の端末情報;法nはGCD(Xi,n)=1を満
たす整数;整数Kは更新鍵を生成するための情報)を第
2の端末情報として格納する第2の基地局側記憶部と、
(3)鍵更新時に、前記基地局が特定した端末j,kの
第1の端末情報ej,ekと第2の端末情報Xj,Xkを、
前記基地局側記憶部から取り出して全端末に一斉通知す
る送信部とを備え、前記端末は、(4)自局の第1、第
2の端末情報を格納する端末情報格納部と、(5)端末
jの第1の端末情報ejと第2の端末情報Xjと、端末k
の第1の端末情報ekと第2の端末情報Xkとを受信する
受信部と、(6)端末i、端末j、端末kの第1の端末
情報ei,ej,ekを用いて、a×ei+b×ej+c×
k=d(i≠j≠k≠i)を満たす整数a,b,cを
求める第1の計算部と、(7)端末i、端末j、端末k
の第2の端末情報Xi, Xj, Xkを用いて、Xi a×Xj b
×Xk c mod nを計算することにより更新鍵Kd mod nを
求める第2の計算部とを備えた鍵更新システムであり、
排除する2つの端末の端末情報を同報送信することで、
2つの端末を排除して鍵更新を行なうという作用を有す
る。
【0025】本発明の請求項3記載の発明は、請求項1
記載の鍵更新方法において、前記端末iの第2の計算部
において、第1の計算部の出力である整数a,b,cの
うち、整数aが負の時、第2の計算部において、Xi
nを法とする逆数(Xi -1)を求め、(Xi -1-a×Xj b
×Xk c mod nを算出し、整数bが負の時、第2の計算部
において、Xjのnを法とする逆数(Xj -1)を求め、
(Xj -1)-b×Xi a×Xk cmod nを算出し、整数cが負の
時、第2の計算部において、Xkのnを法とする逆数
(Xk -1)を求め、(Xk -1)-c×Xi a×Xk b mod nを算出
して更新鍵Kd mod nを求めるものであり、nを法とす
る逆数を求めることにより、整数a,b,cのいずれか
が負の場合の計算を簡単にするという作用を有する。
【0026】本発明の請求項4記載の発明は、請求項1
記載の鍵更新方法において、前記端末i、端末j、端末
kの第1の端末情報ei,ej,ekが、dijを端末iと
端末jに依存した1ではない整数、dikを端末iと端末
kに依存した1ではない整数として、GCD(ei,
j)=dij≠1,GCD(ei,ek)=dik≠1,GC
D(dij,dik)=dを満足するとき、前記端末iの第
1の計算部では、A1×ei+B1×ej=dij,A2×ei
+B2×ek=dik,A3×dij+B3×dik=dとなる、
1,A2,A3,B1,B2,B3を求め、第1の計算部の
出力である整数a,b,cを、a=A1×A3+A2×
3,b=A3×B1,c=B2×B3とするものであり、
ijとdikを求めてから拡張ユークリッド互除法を2回
適用することにより、整数a,b,cを高速に計算する
という作用を有する。
【0027】本発明の請求項5記載の発明は、請求項4
記載の鍵更新方法において、前記端末iの第1の端末情
報eiを、ei=Π(1≦j≦N)dij(dji=dij;d
ii=1)とするものであり、第1の端末情報を最も単純
な構造で実現するという作用を有する。
【0028】本発明の請求項6記載の発明は、請求項4
記載の鍵更新方法において、前記端末iの第1の端末情
報eiをuiと互いに異なる素数とするとき、ei=Π
(1≦j≦N)dij×ui(dji=dij;dii=1)と
するものであり、第1の端末情報にuiを掛けることに
より、端末の結託に対する暗号強度を高めるという作用
を有する。
【0029】本発明の請求項7記載の発明は、請求項4
記載の鍵更新方法において、前記端末jと端末kを前記
基地局が特定する端末とする場合、(1)前記基地局に
おいて、鍵更新時に、前記基地局が特定した端末jと端
末kの第1の端末情報の最大公約数GCD(ej,ek
=djkとKdjk mod nを全端末に一斉通知し、(2)全
ての端末iにおいて、前記受信部で、前記djkとKdjk
mod nを受信し、(3)端末jと端末kを除く全ての端
末iでは、前記第1の計算部において、端末iの第1の
端末情報eiと前記djkを用いて、a×ei+b×djk=
d(i≠j≠k≠i)を満たす整数a,bを求め、
(4)端末jと端末kを除く全ての端末iでは、前記第
2の計算部において、端末iの第2の端末情報XiとK
dij mod nを用いて、Xi a×(Kdij mod n)b mod nを計
算することにより更新鍵Kd mod nを求めるものであ
り、djkとKdjk mod nを全端末に一斉通知することに
より、2端末排除のための通信量を少なくするという作
用を有する。
【0030】本発明の請求項8記載の発明は、請求項6
記載の鍵更新方法において、前記基地局が端末jのみを
特定する端末とする場合、(1)前記基地局において、
鍵更新時に、前記端末jの第1の端末情報の約数uj
uj mod nを全端末に一斉通知し、(2)全ての端末i
において、前記受信部で、前記ujとKuj mod nを受信
し、(3)端末jを除く全ての端末iでは、前記第1の
計算部において、端末iの第1の端末情報eiと前記uj
を用いて、a×ei+b×uj=1(i≠j)を満たす整
数a,bを求め、(4)端末jを除く全ての端末iで
は、前記第2の計算部において、端末iの第2の端末情
報XiとKuj mod nを用いてXi a×(Kuj mod n)b mod
nを計算することにより更新鍵K mod nを求めるもので
あり、排除する1台の端末の第1の端末情報の約数uj
とKuj mod nを全端末に一斉通知することで、2端末排
除の方法で1端末排除を行なうという作用を有する。
【0031】本発明の請求項9記載の発明は、請求項6
記載の鍵更新方法において、整数Uを前記すべての端末
の第1の端末情報と互いに素となる整数とするとき、
(1)前記基地局において、鍵更新時に、前記整数Uと
U mod nを全端末に一斉通知し、(2)全ての端末i
において、前記受信部で、前記UとKU mod nを受信
し、(3)全ての端末iでは、前記第1の計算部におい
て、端末iの第1の端末情報eiと前記Uを用いて、a
×ei+b×U=1を満たす整数a,bを求め、(4)
全ての端末iでは、前記第2の計算部において、端末i
の第2の端末情報XiとKU mod nを用いて、Xi a×(K
U mod n)b mod nを計算することにより更新鍵K mod n
を求めるものであり、2端末排除の方法で端末排除を行
なうことなく鍵更新を行なうという作用を有する。
【0032】本発明の請求項10記載の発明は、請求項
1、3〜9記載の鍵更新方法において、前記あらかじめ
定めたdを1とするものであり、第1の端末情報の構造
を単純化して計算を簡単にするという作用を有する。
【0033】本発明の請求項11記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる通信システムにおいて、前記基地局は、
前記端末の第1の端末情報を格納する第1の基地局側記
憶部と、第2の端末情報を格納する第2の基地局側記憶
部を備え、前記端末は、前記第1の端末情報と前記第2
の端末情報を格納する端末情報格納部と、受信部と、第
1計算部と、第2計算部とを備え、前記第1の端末情報
は、GCD(ei,ej1,・・・,ejm-1)≠GCD(ej,e
j1,・・・,ejm-1),GCD(ei,ej1,・・・,ejm)=d
(ただし、1≦i,j,j1,・・・,jm≦N;i,j,j1,・・
・,jmはすべて異なる;mとdは所定の整数)となる関
係を満たす整数eiであり、前記第2の端末情報は、K
を更新鍵を生成するための情報とするとき、前記ei
べきとし整数nを法とするKのべき乗剰余値Xi=Kei
mod n(GCD(Xi,n)=1)であり、(1)前記基
地局において、鍵更新時に、前記基地局が特定したm個
の端末j1,j2,・・・,jmの第1の端末情報ej1,ej2,・・
・,ejmと第2の端末情報Xj1,Xj2,・・・,Xjmを全端末に
一斉通知し、(2)全ての端末iにおいて、前記受信部
で、前記m個の端末j1,j2,・・・,jmの第1の端末情報
と第2の端末情報を受信し、(3)m個の端末j1,j2,
・・・,jmを除く全ての端末iでは、前記第1の計算部に
おいて、端末i、端末j1,j2,・・・,jmの第1の端末情
報ei,ej1,ej2,・・・,ejmを用いて、a×ei+b1×e
j1+b2×ej2+・・・+bm×ejm=d(i≠j1,j2,・・・,
m)を満たす整数a,b1,b2,・・・,bmを求め、(4)
m個の端末j1,j2,・・・,jmを除く全ての端末iでは、
前記第2の計算部において、端末i、端末j1,j2,・・・,
mの第2の端末情報Xi,Xj1,Xj2,・・・,Xjmを用い
て、Xi a×Xj1 b1×Xj2 b2×・・・×Xjm bm mod nを計算
することにより更新鍵Kd mod nを求める鍵更新方法で
あり、第1の端末情報の構造を拡張することで、3台以
上の端末を同時に排除して鍵更新を行なうという作用を
有する。
【0034】以下、本発明の実施の形態を、図1〜図8
を参照して、詳細に説明する。
【0035】(第1の実施の形態)本発明の第1の実施
の形態は、任意の2つの端末の秘密鍵の最大公約数がす
べて異なり、任意の3つの端末の秘密鍵の最大公約数が
すべて同じとなるようにし、排除する2つの端末の秘密
鍵ei,ejと、更新鍵Kのei乗の剰余と、更新鍵Kの
j乗の剰余を、基地局から全端末に同報通信し、2つ
の排除端末を除く各端末で、同報通信された情報と自局
の秘密鍵から更新鍵Kを求める鍵更新方法である。
【0036】本発明の第1の実施の形態の鍵更新方法
は、従来例3と同様に、システムセットアップ、準備フ
ェーズ、鍵更新の3つのフェーズに分けられる。以下、
基地局が5つの端末を管理している場合について、各フ
ェ−ズに分けて説明する。
【0037】図1は、本発明の第1の実施の形態の鍵更
新方法のシステムセットアップを示す図である。図1に
おいて、1は基地局、2〜6は、基地局の管理下にある
端末である。7〜11は、各端末内の、外部より観測も変
更もできない記憶部である。各端末T1,T2,T3,T4,T
5は、第1の端末情報e1,e2,e3,e4,e5を、それぞれ
この領域に秘密に保持している。各端末の第1の端末情
報は、以下のように決定する。
【0038】(1)任意のi,jに関してすべて異なる
素数dij(≠1;1≦i<j≦5)を用意する。また、
互いに異なる素数u1〜u5を用意する。
【0039】(2)各端末の第1の端末情報e1,e2,e
3,e4,e5を次のように決定する。 e1=d12×d13×d14×d15×u12=d12×d23×d24×d25×u23=d13×d23×d34×d35×u34=d14×d24×d34×d45×u45=d15×d25×d35×d45×u5 これを一般式で表わすと、 ei=Π(1≦j≦N)dij・ui (ただし、dji=d
ij;dii=1) となる。
【0040】これらの端末情報e1〜e5は、相異なる
i,j,kに対して、 GCD(ei,ej)≠1, GCD(ei,ej,ek)=1 を満足することは明らかである。
【0041】(準備フェーズ)図2は、第1の実施の形
態の準備フェーズを示す図である。これは、第3の従来
例における準備フェーズと同じであるので、説明を省略
する。
【0042】(鍵更新フェーズ)図3は、第1の実施の
形態の鍵更新フェーズを示す図である。例えば、端末T
1とT2を同時に排除する場合、基地局1は、以下の情報
を一斉通信する。 ・端末T1とT2の第1の端末情報e1,e2 ・端末T1の第2の端末情報X1(=Ke1 mod n) ・端末T2の第2の端末情報X2(=Ke2 mod n) ・法n
【0043】各端末はこれらを受信して、例えば(排除
端末T1,T2以外の)端末T3では,次のようにして新
しい鍵Kを獲得する。 (1)e1,e3より、 a×e1+b×e3=d13
・・・1 を満たす(a,b)を求める。
【0044】(2)e2,e3より、 a'×e2+b'×e3=d23
・・・2 を満たす(a',b')を求める。
【0045】(3)d13,d23より、 a"×d13+b"×d23=1 ・・・3 を満たす(a",b")を求める。
【0046】(4)X1,X2,X3と上記(a,b),
(a',b'),(a",b")より、次のようにしてKを求
める。 X1^(a"*a)×X3^(a"*b)×X2^(b"*a') ×X3^(b"*b') mod n =K ・・・4 式3のd13とd23に、式1と式2の左辺を代入すると、 a"×(a×e1+b×e3)+b"×(a'×e2+b'×e3)=1 となり、式4では、これがKのべきになるため、式4の
計算でKが獲得できる。他の端末T4,T5でも、3つの
秘密鍵を用いて同様に新しい鍵Kを獲得する。一方、排
除端末T1や端末T2では、結託しても秘密鍵が2つしか
そろわないため、Kを復元することができない。
【0047】上記のように、本発明の第1の実施の形態
では、鍵更新方法を、任意の2つの端末の秘密鍵の最大
公約数がすべて異なり、任意の3つの端末の秘密鍵の最
大公約数がすべて同じとなるようにし、排除する2つの
端末の秘密鍵ei,ejと、更新鍵Kのei乗の剰余と、
更新鍵Kのej乗の剰余を、基地局から全端末に同報通
信し、2つの排除端末を除く各端末で、同報通信された
情報と自局の秘密鍵から更新鍵Kを求める構成としたの
で、基地局から全端末に同報通信をするだけで、指定し
た2つの端末を同時に排除する鍵更新ができるので、鍵
更新のための業務停止期間を短くできる。
【0048】(第2の実施の形態)本発明の第2の実施
の形態は、排除する2つの端末の秘密鍵ei,ejの共通
因子dijと、更新鍵Kのdij乗の剰余とを同報通信する
ことにより、2つの端末を排除するための通信量を減ら
した鍵更新方法である。
【0049】本発明の第2の実施の形態は、第1の実施
の形態の鍵更新フェーズだけを変更したものである。図
4は、第2の実施の形態の鍵更新フェーズを示す図であ
る。第2の実施の形態では、第1の実施の形態に比べ、
一斉通信のデータ量の削減と、端末における計算量の削
減がなされている。例えば、端末T1とT2を同時に排除
する場合、基地局1は、鍵更新フェーズで次の情報を一
斉通信する。 ・d12(=GCD(e1,e2)) ・X12(=Kd12 mod n) ・法n
【0050】各端末はこれらの情報を受信し、排除端末
以外の端末、例えば端末T3は、自局の秘密鍵(第1の
端末情報)e3と第2の端末情報X3と一斉通信された上
記のd12,X12,nを用いて、次の手順で更新鍵Kを獲
得する。 (1)’a×e3+b×d12=1 となるa,bを求める。 GCD(e3,d12)=1 であるため、端末T3は、拡張ユークリッド互除法を用
いて多項式時間でこの計算を行なうことができる。 (2)'a<0の場合には (X3 -1-a×X12 b mod n(=K^(a×e3+b×d
12) mod n=K) を計算してKを求める。b<0の場合には、代わりに
(X12 -1-b×X3 a mod nを計算する。
【0051】これを一般化すると、端末TjとTkを同時
に排除する場合、基地局は ・djk(=GCD(ej,ek)) ・Xjk(=Kdjk mod n) ・法n を一斉通信する。図5に、第2の実施の形態の処理を行
なうための、各端末の構成について示している。図5に
おいて、20は、第1の端末情報を格納する第1の端末情
報格納部、21は、準備フェーズで基地局から配送された
第2の端末情報を格納する第2の端末情報格納部であ
る。また、22は、鍵更新フェーズで基地局から配布され
る情報を受信する一斉通知受信部、23は、上記(1)'
の計算を行なう第1の計算部である。第1の計算部23
で、基地局から配布される第1の端末情報djkと、第1
の端末情報格納部の格納値eiを用い、上記整数a,b
を求める。24は、鍵更新フェーズでの上記(2)'の計
算を行なう第2の計算部であり、ここで、第1の計算部
の出力a,bと、基地局から配布される情報 Xjk=Kdjk mod n と、法n、および第2の端末情報格納部の格納値Xi
用い、上記(2)'の計算を行ない、鍵Kを求める。
【0052】図6には、基地局1の構成を示している。
25は、全端末の第1の端末情報を格納する第1の端末情
報格納部、26は、鍵Kおよびp,qとその積nを生成す
る鍵生成部である。27は、鍵生成部の出力値と、各端末
の第1の端末情報を用いて、第2の端末情報を生成する
端末情報生成部である。第2の端末情報Xiは、各端末
の第1の端末情報eiをべきとし、nを法とする鍵Kの
べき乗剰余値として計算され、28の第2の端末情報格納
部に格納される。
【0053】29は、排除する端末を指定する排除端末指
定部、30は、排除端末指定部の指定により、鍵更新フェ
ーズにおける、排除端末Tj, Tkの第1、第2の端末情
報ej,ekを、端末情報格納部25から選択して、前記
K,nとあわせて、djkとXjkを求め同報で全端末に通
知する同報通知部である。
【0054】ここで、第1および第2の実施の形態にお
ける鍵更新の安全性について、まとめて説明を行なう。
【0055】(1)すべての端末は、準備フェーズで
は、鍵Kを求めることは困難である。準備フェーズで、
例えば端末T1が保持する情報は、以下の2つである。
【0056】・第1の端末情報:e1 ・第2の端末情報:X1(=Ke1 mod n) これらの情報はそれぞれ、RSA暗号の公開鍵、暗号文
に対応すると考えることができる。そのため、Kとnを
十分に大きくとっておけば、RSA暗号に帰着して、こ
れらからKを求めることが困難となる。なお法nは、準
備フェーズで各端末に公開してもよいが、鍵更新フェー
ズで初めて明らかにすると、より安全であると考えられ
る。また、第1の端末情報は、総当たり攻撃に対抗でき
る程度の大きな数にとっておくことが必要である。
【0057】(2)排除される端末T1は、鍵更新フェ
ーズにおいても、鍵Kを求めることは困難である。
【0058】鍵更新フェーズで排除される端末T1が保
持する情報は、上記(1)に追加して、法nだけであ
る。そのため、 X1=Ke1 mod n を解いてKを求めることは、Kとnを十分に大きくとっ
ておけば、RSA暗号に帰着して、これらからKを求め
ることが困難となる。
【0059】(3)排除される端末T1とT2が結託して
も、鍵Kを求めることは困難である。鍵更新フェーズで
端末T1,T2の保持する情報は、e1,e2,X1,X2
nである。そのため、これらから計算できるのは、
12,Kd12 mod nであり、これよりKを求めることは
上記(1)、(2)と同様に、RSA暗号に帰着して困
難である。
【0060】(4)ある端末T1の第1の端末情報は、
端末T2,T3,T4,T5が結託するとにより、u1以外
の約数は求められることになる。そのため、u1は総当
たり攻撃に対抗できる程度の大きな数に取っておくこと
が必要である。ただし、以上の攻撃が想定できない場合
には、u1〜u5は1としてよい。
【0061】上記のように、本発明の第2の実施の形態
では、鍵更新方法を、排除する2つの端末の秘密鍵
i,ejの共通因子dijと、更新鍵Kのdij乗の剰余を
同報する構成としたので、2つの端末を排除するための
通信量を減らして、短時間で鍵更新を行なうことができ
る。
【0062】(第3の実施の形態)本発明の第3の実施
の形態は、端末の秘密鍵eiとは互いに素であるUと、
更新鍵KのU乗の剰余とを同報通信することにより、鍵
の定期更新などの場合に、端末を排除することなく、全
端末で一斉に鍵更新を行なう鍵更新方法である。
【0063】図7は、本発明の第3の実施の形態の鍵更
新方法の鍵更新フェーズを示す図である。図7におい
て、基地局1と端末2〜6の構成は、第1の実施の形態
と同じである。図7は、端末2台を同時に排除する方法
を利用して、端末を排除することなく、全端末で鍵を更
新する場合を示すものである。基地局1は、第1の端末
情報e1〜e5と互いに素となるUを求め、 X=KU mod n を計算する。そして、このU,Xと法nを全端末に一斉
通知する。このとき、端末T1では、保持している第
1、第2の端末情報e1,X1を用いて次の計算を行な
い、鍵Kを求める。
【0064】(1)端末T1の第1の端末情報e1と配布
されたUを用いて、 a×e1+b×U=1 を満たす整数a,bを求める。整数a,bはe1,Uが
互いに素であるので必ず存在し、拡張ユークリッド互除
法により、計算パワーがそれほどない端末であっても、
多項式時間で求めることができる。
【0065】(2)端末T1の第2の端末情報X1と、配
布されたXおよび整数nを用いて、X1 a×Xb mod nを
求める。a,bの正負に応じて、X1 -1,X-1を求め
て、X1 amod n、Xb mod nを計算することは、上記と同
じである。
【0066】X1=Ke1 mod n、 X=KU mod n であるから、この計算結果は、K^(e1×a+U×
b) mod nとなり、前記a×e1+b×Uの式の値1に
より、結果はKとなる。
【0067】以上の計算は、端末T2〜T5でも同様に行
なうことができ、結果としてすべての端末で共通の鍵K
を共有することができる。各端末は、特定の端末を排除
する場合も、鍵の定期更新でも、同じ手続きを行ない、
端末での処理が簡素化される。また、端末において、鍵
更新の原因がわからないために、システム全体での安全
性が向上する。
【0068】上記のように、本発明の第3の実施の形態
では、鍵更新方法を、端末の秘密鍵eiとは互いに素で
あるUと、更新鍵KのU乗の剰余を、基地局から全端末
に同報通信することにより、全端末で一斉に鍵更新を行
なう構成としたので、2つの端末を同時に排除できる仕
組みを利用して、鍵の定期更新などの場合に、端末を排
除することなく、すべての端末で鍵を更新することが可
能となる。
【0069】(第4の実施の形態)本発明の第4の実施
の形態は、排除する端末の秘密鍵eiの約数uiと、更新
鍵Kのui乗の剰余を基地局から全端末に同報通信する
ことにより、指定した1つの端末のみを排除して鍵更新
を行なう鍵更新方法である。
【0070】図8は、本発明の第4の実施の形態の鍵更
新方法を示す図である。図8において、基地局1と端末
2〜6の構成は、第1の実施の形態と同じである。図8
は、2台の端末を同時に排除する鍵更新方法を利用し
て、1台の端末T1だけを排除した鍵更新を行なう場合
を示すものである。基地局1は、端末T1の第1の端末
情報の約数u1と、 Y=Ku1 mod n を計算する。そして、このu1,Yと法nを全端末に一
斉通知する。このとき、端末T2では、保持している第
1、第2の端末情報e2,X2を用いて次の計算を行な
い、鍵Kを求める。
【0071】(1)端末T2の第1の端末情報e2と配布
されたu1を用いて、 a×e2+b×u1=1 を満たす整数a,bを求める。整数a,bはe2,u1
互いに素であるので必ず存在し、拡張ユークリッド互除
法により、計算パワーがそれほどない端末であっても、
多項式時間で求めることができる。
【0072】(2)端末T2の第2の端末情報X2と、配
布されたYおよび整数nを用いて、X2 a×Yb mod nを
求める。a,bの正負に応じて、X2 -1,X2 -1を求め
て、X2 a mod n,Yb mod nを計算することは、第2の
実施の形態と同じである。
【0073】X2=Ke2 mod n, Y=Ku1 mod n であるから、この計算結果は、K^(e2×a+u1×
b) mod nとなり、前記a×e2+b×u1の式の値1に
より、結果はKとなる。
【0074】以上の計算は、端末T3〜T5でも同様に行
なうことができる。しかし、端末T1だけは GCD(e1,u1)=u1 となるため、同様の計算を行なってもKu1 mod nしか求
めることができない。以上の方法により、2つの端末を
同時に排除できる仕組みを利用して、1つの端末だけを
排除することができる。排除する端末数が異っても端末
側の処理が共通にできるため、システム制御が容易とな
る。また、端末において鍵更新の原因がわからないため
に、システム全体での安全性が向上する。
【0075】上記のように、本発明の第4の実施の形態
では、鍵更新方法を、排除する端末の秘密鍵eiの約数
iと、更新鍵Kのui乗の剰余を基地局から全端末に同
報通信する構成としたので、2つの端末を同時に排除で
きる仕組みを利用して、指定した1つの端末のみを排除
する鍵更新を行なうことができる。
【0076】なお、以上の実施の形態の鍵更新方法を拡
張して、3台以上の端末を同時に排除するように構成す
ることも可能である。第1〜4の実施の形態における各
端末の第1の端末情報は、 GCD(ei,ej)=dij≠1, GCD(ei,ej,ek)=1 を満たしていた。これを拡張して、 GCD(ei,ej)=dij≠1, GCD(ei,ej,ek)=fijk≠1, GCD(ei,ej,ek,em)=1 を満足するように各端末の第1の端末情報を定めること
により、3つの端末を同時に排除することができる。こ
の条件は GCD(ei,ej)=dij, GCD(dij,dik)=fijk, GCD(fijk,fijm)=1 と言い換えてもよい。
【0077】また、以上の方法は説明を簡略にするため
に端末数を5つとしていたが、これを一般のN局にでき
ることは勿論である。
【0078】上記のように、本発明の第4の実施の形態
では、鍵更新方法を、排除する端末の秘密鍵eiの約数
iと、更新鍵Kのui乗の剰余を基地局から全端末に同
報通信する構成としたので、2つの端末を同時に排除で
きる仕組みを利用して、指定した1つの端末のみを排除
する鍵更新を行なうことができる。
【0079】
【発明の効果】以上説明したように、本発明では、鍵更
新方法を、基地局において、 GCD(ei,ej)=dij , GCD(ei,ej,ek)=d (1≦i,j,k≦N;i≠j≠k≠i;Nは端末数)を満
たすeiを生成して、第1の端末情報として基地局に保
管するとともに、各端末iに配布し、整数K,nを適当
に決定して、 Xi=Kei mod n (GCD(Xi,n)=1) を計算して、第2の端末情報として基地局に保管すると
ともに、各端末iに配布し、鍵更新時に、基地局が特定
した端末jと端末kの第1の端末情報ej,ekと第2の
端末情報Xi,Xkを、基地局から全端末に一斉通知し、
端末j,kを除く全ての端末iで、eiとekを用いて、 a×ei+b×ej+c×ek=d (i≠j,k) を満たす整数a,bを求め、XiとXj,Xkとを用い
て、更新鍵Kd mod nを求めるという構成としたので、
基地局から全端末に(ej,Xj,ek,Xk)を同報通信す
るだけで、2個の端末を同時に排除して残りの端末で同
じ更新鍵を獲得でき、鍵更新のための業務停止期間を短
くできるという効果が得られる。
【0080】また、鍵更新方法を、基地局が鍵更新時に
各端末の第1の端末情報eiと互いに素である、すなわ
ち、 GCD(U,ei)=1(1≦i≦N) を満たす整数Uと、 X=KU mod n (GCD(X,n)=1) を各端末に一斉通知し、端末Tiでは、(ei,U)を用
いて、 a×ei+b×U=1 を満たすa,bを求め、(Xi,X)を用いて、Xi a×X
b mod nを計算することにより共通の更新鍵Kを求める
という構成としたので、すべての端末が更新鍵を獲得で
きる定期更新にも使用することができ、基地局は特定端
末を排除する場合も定期更新時も意識する必要がなく、
処理の簡素化と安全性の向上が実現できるという効果が
得られる。
【0081】また、 GCD(ej,uj)=uj, GCD(ek,uj)=1 (k≠j) となるujと Y=Kuj mod n を各端末に一斉通知し、端末Tj以外の任意の端末Ti
(ei,uj)を用いて、 a×ei+b×uj=1 を満たすa、bを求め、(Xi,Y)を用いて、Xi a×Y
b mod nを計算することにより共通の更新鍵Kを求める
という構成としたので、1個の端末だけを排除する鍵更
新にも使用することができ、基地局は排除する端末数を
意識する必要がなく、処理の簡素化と安全性の向上が実
現できるという効果が得られる。
【0082】
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の鍵更新方法におけ
るセットアップを示す図、
【図2】第1の実施の形態の鍵更新方法における準備フ
ェーズを示す図、
【図3】第1の実施の形態の鍵更新方法において、端末
1と端末T2を同時に排除する鍵更新フェーズを示す
図、
【図4】本発明の第2の実施の形態の鍵更新方法におい
て、端末T1と端末T2を同時に排除する鍵更新フェーズ
を示す図、
【図5】第2の実施の形態の鍵更新方法における各端末
の構成を示す図、
【図6】第2の実施の形態の鍵更新方法における基地局
側の構成を示す図、
【図7】本発明の第3の実施の形態の鍵更新方法におい
て、定期更新の場合の鍵更新フェーズを示す図、
【図8】本発明の第4の実施の形態の鍵更新方法におい
て、端末T1だけを排除する鍵更新フェーズを示す図、
【図9】従来例1における鍵更新方法を示す図、
【図10】従来例2における鍵更新方法を示す図、
【図11】従来例3における鍵更新方法におけるセット
アップを示す図、
【図12】従来例3における鍵更新方法における準備フ
ェーズを示す図、
【図13】従来例3における鍵更新方法において、端末
1を排除する鍵更新フェーズを示す図である。
【0083】
【符号の説明】
1 基地局 2〜6 端末T1〜T5 7〜11 端末内の記憶部 12 基地局内の記憶部 20 第1の端末情報格納部 21 第2の端末情報格納部 22 一斉通知受信部 23 第1の計算部 24 第2の計算部 25 第1の端末情報格納部(基地局) 26 鍵K,p,q,n生成部 27 第2の端末情報計算部 28 第2の端末情報格納部(基地局) 29 排除端末指定部 30 同報通知部
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 9/00 601E (56)参考文献 松崎なつめ,安斎潤“移動体通信に適 したグループ鍵更新方法(II)”情報 通信学会技術研究報告,Vol.97,N o.611,(1998年3月18日),p.51 −56(ISEC97−73) 松崎なつめ,安斎潤“移動体通信に適 したグループ鍵更新方法(I)”IS 98,(1998年1月31日)SCIS98− 5.2.E 松崎なつめ,安斎潤“移動体通信に適 したグループ鍵更新方法(III)”電 子情報通信学会技術研究報告,Vol. 97,No.611,(1998年3月18日), p.57−62(ISEC97−74) (58)調査した分野(Int.Cl.6,DB名) G09C 1/00 - 5/00 H04K 1/00 - 3/00 H04L 9/00 - 9/38 H04B 7/24 - 7/26 H04Q 7/02 - 7/38 INSPEC(DIALOG) JICSTファイル(JOIS)

Claims (11)

    (57)【特許請求の範囲】
  1. 【請求項1】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる通信システムにお
    いて、前記基地局は、前記端末の第1の端末情報を格納
    する第1の基地局側記憶部と、第2の端末情報を格納す
    る第2の基地局側記憶部を備え、前記端末は、前記第1
    の端末情報と前記第2の端末情報を格納する端末情報格
    納部と、受信部と、第1計算部と、第2計算部とを備
    え、前記第1の端末情報は、 GCD(ei,ej)≠GCD(ei,ek) GCD(ei,ej,ek)=d (ただし、1≦i,j,k≦N;i≠j≠k≠i;dは所
    定の整数)となる関係を満たす整数eiであり、前記第
    2の端末情報は、Kを更新鍵を生成するための情報とす
    るとき、前記eiをべきとし整数nを法とするKのべき
    乗剰余値 Xi=Kei mod n (GCD(Xi,n)=1) であり、(1)前記基地局において、鍵更新時に、前記
    基地局が特定した端末jの第1の端末情報ejと第2の
    端末情報Xjと、端末kの第1の端末情報ekと第2の端
    末情報Xkを、前記基地局側記憶部から取り出して全端
    末に一斉通知し、(2)全ての端末iにおいて、前記受
    信部で、前記端末jの第1の端末情報ejと第2の端末
    情報Xjと、端末kの第1の端末情報ekと第2の端末情
    報Xkを受信し、(3)端末jと端末kを除く全ての端
    末iでは、前記第1の計算部において、端末i、端末
    j、端末kの第1の端末情報ei,ej,ekを用いて a×ei+b×ej+c×ek=d (i≠j≠k≠i) を満たす整数a,b,cを求め、(4)端末jと端末k
    を除く全ての端末iでは、前記第2の計算部において、
    端末i、端末j、端末kの第2の端末情報Xi, Xj, X
    kを用いて Xi a×Xj b×Xk c mod n を計算することにより更新鍵Kd mod nを求めることを
    特徴とする鍵更新方法。
  2. 【請求項2】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる暗号通信の鍵更新
    システムにおいて、 前記基地局は、 (1)GCD(ei,ej)≠GCD(ei,ek) GCD(ei,ej,ek)=d (ただし、i≠j≠k≠i;dは所定の整数)となる関
    係を満たす整数eiを第1の端末情報として格納する第
    1の基地局側記憶部と、 (2)Xi=Kei mod n (ただし、1≦i≦N;eiは第1の端末情報;法nは
    GCD(Xi,n)=1を満たす整数;整数Kは更新鍵を
    生成するための情報)を第2の端末情報として格納する
    第2の基地局側記憶部と、(3)鍵更新時に、前記基地
    局が特定した端末j,kの第1の端末情報ej,ekと第
    2の端末情報Xj,Xkを、前記基地局側記憶部から取り
    出して全端末に一斉通知する送信部とを備え、 前記端末は、(4)自局の第1、第2の端末情報を格納
    する端末情報格納部と、(5)端末jの第1の端末情報
    jと第2の端末情報Xjと、端末kの第1の端末情報e
    kと第2の端末情報Xkとを受信する受信部と、(6)端
    末i、端末j、端末kの第1の端末情報ei,ej,ek
    を用いて a×ei+b×ej+c×ek=d (i≠j≠k≠i) を満たす整数a,b,cを求める第1の計算部と、
    (7)端末i、端末j、端末kの第2の端末情報Xi,
    j, Xkを用いて Xi a×Xj b×Xk c mod n を計算することにより更新鍵Kd mod nを求める第2の
    計算部とを備えたことを特徴とする鍵更新システム。
  3. 【請求項3】 前記端末iの第2の計算部において、第
    1の計算部の出力である整数a,b,cのうち、整数a
    が負の時、第2の計算部において、Xiのnを法とする
    逆数(Xi -1)を求め、 (Xi -1-a×Xj b×Xk c mod n を算出し、整数bが負の時、第2の計算部において、X
    jのnを法とする逆数(Xj -1)を求め、 (Xj -1)-b×Xi a×Xk c mod n を算出し、整数cが負の時、第2の計算部において、X
    kのnを法とする逆数(Xk -1)を求め、 (Xk -1)-c×Xi a×Xk b mod n を算出して更新鍵Kd mod nを求めることを特徴とする
    請求項1記載の鍵更新方法。
  4. 【請求項4】 前記端末i、端末j、端末kの第1の端
    末情報ei,ej,ekが、dijを端末iと端末jに依存
    した1ではない整数、dikを端末iと端末kに依存した
    1ではない整数として、 GCD(ei,ej)=dij≠1, GCD(ei,ek)=dik≠1, GCD(dij,dik)=d を満足するとき、前記端末iの第1の計算部では、 A1×ei+B1×ej=dij, A2×ei+B2×ek=dik, A3×dij+B3×dik=d となる、A1,A2,A3,B1,B2,B3を求め、第1の
    計算部の出力である整数a,b,cを a=A1×A3+A2×B3 b=A3×B1 c=B2×B3 とすることを特徴とする請求項1記載の鍵更新方法。
  5. 【請求項5】 前記端末iの第1の端末情報eiを、 ei=Π(1≦j≦N)dij (dji=dij;dii
    1) とすることを特徴とする請求項4記載の鍵更新方法。
  6. 【請求項6】 前記端末iの第1の端末情報eiをui
    互いに異る素数とするとき、 ei=Π(1≦j≦N)dij×ui (dji=dij;dii
    =1) とすることを特徴とする請求項4記載の鍵更新方法。
  7. 【請求項7】 前記端末jと端末kを前記基地局が特定
    する端末とする場合、(1)前記基地局において、鍵更
    新時に、前記基地局が特定した端末jと端末kの第1の
    端末情報の最大公約数 GCD(ej,ek)=djk とKdjk mod nを全端末に一斉通知し、(2)全ての端
    末iにおいて、前記受信部で、前記djkとKdjk mod n
    を受信し、(3)端末jと端末kを除く全ての端末iで
    は、前記第1の計算部において、端末iの第1の端末情
    報eiと前記djkを用いて a×ei+b×djk=d (i≠j≠k≠i) を満たす整数a,bを求め、(4)端末jと端末kを除
    く全ての端末iでは、前記第2の計算部において、端末
    iの第2の端末情報XiとKdij mod nを用いて Xi a×(Kdij mod n)b mod n を計算することにより更新鍵Kd mod nを求めることを
    特徴とする請求項4記載の鍵更新方法。
  8. 【請求項8】 前記基地局が端末jのみを特定する端末
    とする場合、(1)前記基地局において、鍵更新時に、
    前記端末jの第1の端末情報の約数ujとKuj mod nを
    全端末に一斉通知し、(2)全ての端末iにおいて、前
    記受信部で、前記ujとKuj mod nを受信し、(3)端
    末jを除く全ての端末iでは、前記第1の計算部におい
    て、端末iの第1の端末情報eiと前記ujを用いて a×ei+b×uj=1 (i≠j) を満たす整数a,bを求め、(4)端末jを除く全ての
    端末iでは、前記第2の計算部において、端末iの第2
    の端末情報XiとKuj mod nを用いて Xi a×(Kuj mod n)b mod n を計算することにより更新鍵K mod nを求めることを特
    徴とする請求項6記載の鍵更新方法。
  9. 【請求項9】 整数Uを前記すべての端末の第1の端末
    情報と互いに素となる整数とするとき、(1)前記基地
    局において、鍵更新時に、前記整数UとKU mod nを全
    端末に一斉通知し、(2)全ての端末iにおいて、前記
    受信部で、前記UとKU mod nを受信し、(3)全ての
    端末iでは、前記第1の計算部において、端末iの第1
    の端末情報eiと前記Uを用いて a×ei+b×U=1 を満たす整数a,bを求め、(4)全ての端末iでは、
    前記第2の計算部において、端末iの第2の端末情報X
    iとKU mod nを用いて Xi a×(KU mod n)b mod n を計算することにより更新鍵K mod nを求めることを特
    徴とする請求項6記載の鍵更新方法。
  10. 【請求項10】 前記所定の整数dを1とすることを特
    徴とする請求項1、3〜9記載の鍵更新方法。
  11. 【請求項11】 基地局と、前記基地局と接続されたN
    台(Nは2以上の整数)の端末からなる通信システムに
    おいて、前記基地局は、前記端末の第1の端末情報を格
    納する第1の基地局側記憶部と、第2の端末情報を格納
    する第2の基地局側記憶部を備え、前記端末は、前記第
    1の端末情報と前記第2の端末情報を格納する端末情報
    格納部と、受信部と、第1計算部と、第2計算部とを備
    え、前記第1の端末情報は、 GCD(ei,ej1,・・・,ejm-1)≠GCD(ej,ej1,・・
    ・,ejm-1),GCD(ei,ej1,・・・,ejm)=d (ただし、1≦i,j,j1,・・・,jm≦N;i,j,j1,・・
    ・,jmはすべて異なる;mとdは所定の整数)となる関
    係を満たす整数eiであり、前記第2の端末情報は、K
    を更新鍵を生成するための情報とするとき、前記ei
    べきとし整数nを法とするKのべき乗剰余値 Xi=Kei mod n (GCD(Xi,n)=1) であり、(1)前記基地局において、鍵更新時に、前記
    基地局が特定したm個の端末j1,j2,・・・,jmの第1の
    端末情報ej1,ej2,・・・,ejmと第2の端末情報Xj1,X
    j2,・・・,Xjmを全端末に一斉通知し、(2)全ての端末
    iにおいて、前記受信部で、前記m個の端末j1,j2,・・
    ・,jmの第1の端末情報と第2の端末情報を受信し、
    (3)m個の端末j1,j2,・・・,jmを除く全ての端末i
    では、前記第1の計算部において、端末i、端末j1,j
    2,・・・,jmの第1の端末情報ei,ej1,ej2,・・・,ejm
    用いて a×ei+b1×ej1+b2×ej2+・・・+bm×ejm=d (i≠j1,j2,・・・,jm)を満たす整数a,b1,b2,・・・,
    mを求め、(4)m個の端末j1,j2,・・・,jmを除く全
    ての端末iでは、前記第2の計算部において、端末i、
    端末j1,j2,・・・,jmの第2の端末情報Xi,Xj1,Xj2,・
    ・・,Xjmを用いて Xi a×Xj1 b1×Xj2 b2×・・・×Xjm bm mod n を計算することにより更新鍵Kd mod nを求めることを
    特徴とする鍵更新方法。
JP10085137A 1998-03-17 1998-03-17 鍵更新方法 Expired - Lifetime JP2868759B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10085137A JP2868759B1 (ja) 1998-03-17 1998-03-17 鍵更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10085137A JP2868759B1 (ja) 1998-03-17 1998-03-17 鍵更新方法

Publications (2)

Publication Number Publication Date
JP2868759B1 true JP2868759B1 (ja) 1999-03-10
JPH11266241A JPH11266241A (ja) 1999-09-28

Family

ID=13850276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10085137A Expired - Lifetime JP2868759B1 (ja) 1998-03-17 1998-03-17 鍵更新方法

Country Status (1)

Country Link
JP (1) JP2868759B1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009505448A (ja) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド デジタルコンテンツの管理方法及びこのための装置
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
JP4867425B2 (ja) * 2006-03-27 2012-02-01 ソニー株式会社 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム
JP5043408B2 (ja) * 2006-11-27 2012-10-10 三菱電機株式会社 鍵管理サーバ、端末、鍵共有システム、鍵配信プログラム、鍵受信プログラム、鍵配信方法及び鍵受信方法
WO2010047356A1 (ja) * 2008-10-22 2010-04-29 ソニー株式会社 鍵共有システム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
松崎なつめ,安斎潤"移動体通信に適したグループ鍵更新方法(I)"IS98,(1998年1月31日)SCIS98−5.2.E
松崎なつめ,安斎潤"移動体通信に適したグループ鍵更新方法(II)"情報通信学会技術研究報告,Vol.97,No.611,(1998年3月18日),p.51−56(ISEC97−73)
松崎なつめ,安斎潤"移動体通信に適したグループ鍵更新方法(III)"電子情報通信学会技術研究報告,Vol.97,No.611,(1998年3月18日),p.57−62(ISEC97−74)

Also Published As

Publication number Publication date
JPH11266241A (ja) 1999-09-28

Similar Documents

Publication Publication Date Title
JP2606419B2 (ja) 暗号通信システムと暗号通信方法
US8429408B2 (en) Masking the output of random number generators in key generation protocols
Anzai et al. A quick group key distribution scheme with “entity revocation”
US6483921B1 (en) Method and apparatus for regenerating secret keys in Diffie-Hellman communication sessions
Wang et al. Threshold signature schemes with traceable signers in group communications
EP0735723B1 (en) Cryptographic communication method and cryptographic communication device
US5974144A (en) System for encryption of partitioned data blocks utilizing public key methods and random numbers
US7848525B2 (en) Hybrid broadcast encryption method
US6813358B1 (en) Method and system for timed-release cryptosystems
EP1059762B1 (en) Exclusive key sharing method
Cao A threshold key escrow scheme based on public key cryptosystem
JP2868759B1 (ja) 鍵更新方法
EP2395698B1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
Mu et al. Robust and secure broadcasting
WO2005050908A1 (en) A secure cryptographic communication system using kem-dem
JP3233605B2 (ja) 鍵更新方法
Gobi et al. A comparative study on the performance and the security of RSA and ECC algorithm
JP2865654B1 (ja) 鍵更新方法
JP3074168B1 (ja) 排他的鍵共有法
JPH10177341A (ja) Rsa暗号における秘密鍵預託方法およびシステム
KR20030047148A (ko) Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
董攀 et al. A non-interactive protocol for member expansion in a secret sharing scheme
JP3074164B2 (ja) 排他的鍵共有法
Matsuzaki et al. Light weight broadcast exclusion using secret sharing
JPH11168459A (ja) 同報暗号通信における暗復号化鍵の配送方法