JP3074164B2 - 排他的鍵共有法 - Google Patents

排他的鍵共有法

Info

Publication number
JP3074164B2
JP3074164B2 JP10368817A JP36881798A JP3074164B2 JP 3074164 B2 JP3074164 B2 JP 3074164B2 JP 10368817 A JP10368817 A JP 10368817A JP 36881798 A JP36881798 A JP 36881798A JP 3074164 B2 JP3074164 B2 JP 3074164B2
Authority
JP
Japan
Prior art keywords
modp
base station
terminal
information
terminals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP10368817A
Other languages
English (en)
Other versions
JP2000196581A (ja
Inventor
なつめ 松崎
潤 安齋
Original Assignee
株式会社高度移動通信セキュリティ技術研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社高度移動通信セキュリティ技術研究所 filed Critical 株式会社高度移動通信セキュリティ技術研究所
Priority to JP10368817A priority Critical patent/JP3074164B2/ja
Priority to US09/622,941 priority patent/US6813357B1/en
Priority to PCT/JP1999/007234 priority patent/WO2000039957A1/ja
Priority to EP99961331A priority patent/EP1059762B1/en
Priority to DE69940842T priority patent/DE69940842D1/de
Publication of JP2000196581A publication Critical patent/JP2000196581A/ja
Application granted granted Critical
Publication of JP3074164B2 publication Critical patent/JP3074164B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、基地局と複数端末
からなるスター型通信システムにおける暗号鍵共有方法
に関し、特に、基地局が特定した端末以外のすべての端
末に共通の秘密鍵を安全に配送する鍵共有方法、および
特定の端末のみに共有の秘密鍵を安全に配送する鍵共有
方法に関する。
【0002】
【従来の技術】基地局が複数の端末を管理するスター型
通信システムにおいて、基地局と傘下の複数の端末がグ
ループを形成し、グループで同じグループ秘密鍵を共有
して同報の暗号通信を行なう場合を考える。グループ秘
密鍵を用いて暗号化された情報は、同じ秘密鍵を保有す
るグル−プ内の端末だけが復号することができる。
【0003】ところで、このグループから特定の端末を
排除したい場合が生じうる。それは、例えばグループ内
のある端末が盗難にあい、その端末を用いた暗号通信の
盗聴や偽情報の送信などの不正が考えられる場合などで
ある。このとき、この秘密鍵を管理する基地局は、でき
るだけ速やかに、盗難にあった端末を排除してグループ
秘密鍵を更新し、残りの端末だけで新たな秘密鍵を共有
することが必要となる。
【0004】また、新たにグループを構成する必要が生
じうる。それは、グループ外の端末をグループに加入さ
せる場合や、別のグループの端末を一つのグループにす
る場合などである。このとき、基地局は、できるだけ速
やかに、新規グループの鍵をグループを構成する端末と
共有することが必要となる。
【0005】図10は、基地局が特定した端末以外で鍵デ
ータを共有するための、第1の従来例における鍵更新方
法を示す。図10では、5個の端末T1〜T5が、それぞれ
固有鍵k1〜k5を保持しており、基地局が全端末の固有
鍵を管理している。このとき、例えば基地局が端末T1
を排除して、他の端末T2〜T5に新しい共通の秘密鍵を
配付する場合について説明する。
【0006】まず、基地局は秘密鍵Kを生成し、これを
それぞれk2〜k5を鍵として暗号化し、それぞれ端末T
2〜T5に配送する。排除される端末T1以外の各端末T2
〜T 5では固有鍵を用いてこれを復号し、秘密鍵Kを獲
得する。なお、図10中において、例えばEk2(K)は、
Kを固有鍵k2で暗号化した暗号文である。この通信路
上のデータは、それぞれ端末T2〜T5の固有鍵で暗号化
されているため、たとえ端末T1がこの通信データを盗
聴したとしても、基地局が生成した秘密鍵Kを獲得する
ことができない。
【0007】しかし、この方法では、一般にN個の端末
から1つの端末を排除するためには、基地局は(N−1)
回の暗号化を行ない、(N−1)個のデータを送信しなく
てはならない。グループが大きくなると、この作業は基
地局にとって非常に負担になる。また、全局更新までは
グループ内の暗号通信等の業務を停止する必要がある
が、(N−1)局に配り終えるまでの業務停止期間が長い
と大きな問題である。
【0008】図11は、特公平5-46731号公報に示された
第2の従来例における鍵更新方法である。第2の従来例
では、公開鍵暗号の手法を用いている。図11では、5個
の端末T1〜T5が、それぞれ固有の秘密鍵(e1,d1)〜
(e5,d5)を保持している。ここで、各秘密鍵(ei,di)
は、 ei・di mod(p-1)=1(pはシステム公開の素数) が成り立っているものとする。基地局1は全端末の公開
鍵 p1=ge1 modp,・・・,p5=ge5 modp を管理している。ここでgはシステム公開の整数であ
り、各端末の公開鍵piおよびシステム公開の情報g,
pから各端末の秘密鍵(ei,di)を求めることは、ビッ
ト長を長く取れば離散対数問題に帰着して困難である。
従来例1と同様に、端末T1を排除する場合、まず、基
地局は乱数Rを生成し、鍵 K=gR modp を生成するとともに、これより Z2=p2 R modp,・・・,Z5=p5 R modp を求めて、端末T1を除いた各T2〜T5に配送する。端
末T1以外の各端末iでは、受け取ったZiと秘密鍵di
を用いて、基地局と共通の更新鍵K K=Zi di modp(=(pi R)di modp=((gei)di)R mod
p=gR modp) を獲得する。
【0009】この方法は、第1の従来例と異なり、基地
局が各端末の秘密鍵を知り得ないため、基地局の不正を
防止できる点で、第1の従来例より安全性が向上してい
る。
【0010】
【発明が解決しようとする課題】しかし、従来の鍵共有
方法では、N個の端末から1つの端末を排除するために
は、基地局は(N−1)回の暗号化を行ない、(N−
1)個のデータを送信しなくてはならない。例えば、10
00個の端末から1個の端末を排除して、残りの999個の
端末で新たな共通の秘密鍵を共有する場合を考える。こ
のとき、第1および第2の従来例では、999回の暗号化
の処理と999個の暗号文の送信を行なう必要がある。い
ずれにしても、基地局側にとって、これら作業は非常に
負担なものとなる。
【0011】また、一般に端末は、小型で安価に実現す
る必要性により、それほど計算能力が高くない。このよ
うな端末で、高速に鍵を更新する必要がある。第2の従
来例においては、端末は鍵を獲得するために、長いビッ
ト長のべき乗剰余演算が必要である。この演算を、計算
能力が高くない端末で実現するのは、かなりの負担であ
り、鍵共有までの処理時間が長くなる。
【0012】本発明は、かかる点に鑑み、特定の端末だ
けを排除して、他の端末で分配鍵情報を共有する方法、
および特定の端末だけで分配鍵情報を共有する方法であ
って、次の点を特徴とする鍵共有方法を実現することを
目的とする。 (1)基地局から端末への通信量が少ない。基地局にお
けるデータ送信量が少ない。全端末の鍵共有までの業務
停止期間が短い。 (2)計算能力が高くない端末で高速に鍵共有が実現で
きる。端末での処理が削減できる。
【0013】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、基地局と、前記基地局と接続された
N台(Nは2以上の整数)の端末からなる同報通信が可
能な通信システムの排他的鍵共有法を、秘密鍵をSと
し、SおよびNより大きい素数または素数のべき数をp
とし、(p−1)の約数をqとし、基地局が特定できる
特定端末数を1とし、各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i modq(f1は零でないG
F(q)の元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行なう) Λは、N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、基地局
は、(S,p,g,S1,…,SN)を保持し、(1)基地局
は、GF(p)の元をgとし、零でないGF(q)の元をk
としたとき、準備情報 C1=gk modp を計算し、(2)基地局は、特定端末aの秘密情報Sa
から排除情報 C2=g∧(k×Sa modq) modp を計算し、特定端末番号aと準備情報C1と共に全端末
に同報通信し、(3)基地局は、特定端末aを除く全て
の端末j(j≠a)との共有鍵 K=g∧(k×S modq) modp を求め、(4)各端末j(j≠a)は、 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modp を計算をすることにより、基地局との共有鍵Kを求める
という構成とした。
【0014】このように構成したことにより、基地局か
ら全端末に同報通信をするだけで鍵共有ができるので、
鍵共有のための業務停止期間を短くできるとともに、端
末での処理が削減できるので、計算能力が高くない端末
で高速に鍵共有ができる。
【0015】
【発明の実施の形態】本発明の請求項1記載の発明は、
基地局と、前記基地局と接続されたN台(Nは2以上の
整数)の端末からなる同報通信が可能な通信システムの
排他的鍵共有法において、秘密鍵をSとし、前記Sおよ
び前記Nより大きい素数または素数のべき数をpとし、
(p−1)の約数をqとし、基地局が特定できる端末数
(以下、特定端末数という)を1とし、前記各端末i
(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、前記基地
局は、前記(S,p,g,S 1,…,SN)を保持し、(1)
前記基地局は、GF(p)の元をgとし、零でないGF
(q)の元をkとしたとき、準備情報 C1=gk modp を計算し、(2)前記基地局は、特定端末aの秘密情報
aから排除情報 C2=g∧(k×Sa modq) modp を計算し、特定端末番号aと準備情報C1と共に全端末
に同報通信し、(3)前記基地局は、前記特定端末aを
除く全ての端末j(j≠a)との共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠a)は、前記準備情報
1と前記排除情報C2と自身の秘密情報Sjを用いて、
前記Sjと前記λ(j,Λ)の前記法q上での積を指数とす
る、前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とする、
前記C2のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modpを計算をすることにより、前記基地局との共
有鍵Kを求める排他的鍵共有法であり、基地局から各端
末に、C1,C2と特定端末番号(a)を同報送信するの
みで、特定端末a以外の端末で鍵共有を可能とするとい
う作用を有する。
【0016】本発明の請求項2記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる同報通信が可能な通信システムの排他的
鍵共有装置において、前記基地局は、秘密鍵Sおよび前
記Nより大きい素数または素数のべき数である法pと、
GF(p)の元gと、(p−1)の約数をqとしたGF
(q)の元kとを保持する第1の基地局側記憶部を備え、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i modq(f1は零でないG
F(q)の元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行なう) Λは、前記N台の端末のうちの任意の2台からなる集
合) を満たす秘密情報S1,…,SNを保持する第2の基地局側
記憶部をさらに備え、前記秘密鍵Sを保持する第3の基
地局側記憶部をさらに備え、前記各端末iは、前記
(p,g)を保持する第1の端末側記憶部を備え、前記
秘密情報Siを秘密に保持する第2の端末側記憶部をさ
らに備え、(1)前記基地局は、前記第1の基地局側記
憶部に保存された前記(k,p,q,g)を用いて、準
備情報 C1=gk modp を計算する第1の基地局側計算部をさらに備え、(2)
前記基地局は、特定端末aを指定する制御部を備え、こ
の制御のもと前記第2の基地局側記憶部に保存された前
記秘密情報Saを出力し、これと前記(k,p,q,
g)を用いて、排除情報 C2=g∧(k×Sa modq) modp を計算する第2の基地局側計算部を備え、前記準備情報
1と前記特定端末番号aと共に全端末に同報通信する
送信部を備え、(3)前記基地局は、前記(k,p,
q)と、前記第3の基地局側記憶部に保持された前記秘
密鍵Sを用いて、前記端末aを除く全ての端末j(j≠
a)との共有鍵 K=g∧(k×S modq) modp を計算する第3の基地局側計算部を備え、(4)前記各
端末j(j≠a)は、前記C1のべき乗剰余値C1∧(Sj×
λ(j,Λ) modq) modpと、前記C2のべき乗剰余値C2
∧(λ(a,Λ) modq) modpとの積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modp を計算をすることにより、前記基地局との共有鍵Kを求
める端末側計算部を備える排他的鍵共有装置であり、基
地局から各端末に、C1,C2と特定端末番号(a)を同
報送信するのみで、特定端末a以外の端末で鍵共有を可
能とするという作用を有する。
【0017】本発明の請求項3記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる同報通信が可能な通信システムの排他的
鍵共有法において、秘密鍵をSとし、S,Nより大きい
素数または素数のべき数をpとし、(p−1)の約数をq
とし、特定端末数をd(1≦d<N−1)とし、前記各端
末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i+…+fd×id modq (f1,…,fdはd個のGF(q)の元、ただし、fd
0) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行なう) Λは、前記N台の端末の任意の(d+1)台からなる集
合) を満たす秘密情報Siを秘密に保持しており、前記基地
局は、前記(S,p,g,S1,…,SN)を保持し、(1)
前記基地局は、準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、d台の特定端末i1,
…,idの秘密情報Si1,…,Sidから、排除情報 C21=g∧(k×Si1 modq) modp,・・・, C2d=g∧(k×Sid modq) modp を計算して、上記排除情報C21,…,C2dを、前記準備情
報C1と特定端末番号i1,…,idと共に全端末に同報通
信し、(3)前記基地局は、前記特定端末i1,…,id
除く全ての端末j(j≠i1,…,id)との共有鍵 K=g∧(k×S modq) modp を計算し、(4)前記各端末j(j≠i1,…,id)は、Λ
={j,i1,…,id}とし、λ(j,Λ),λ(i1,Λ),…,
λ(id,Λ)を求め、前記準備情報C1と前記排除情報C
21,…,C2dと自身の前記秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C21∧(λ(i1,Λ) mod
q)×…×C2d∧(λ(id,Λ) modq) modp を計算することにより、前記基地局との前記共有鍵Kを
求める排他的鍵共有法であり、基地局から各端末に、C
1,C21,…,C2dと特定端末番号(i1,…,id)を同報送
信するのみで、複数の特定端末i1,…,idを除いた端末
で鍵共有を行なうことを可能とするという作用を有す
る。
【0018】本発明の請求項4記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる同報通信が可能な通信システムの排他的
鍵共有法において、秘密鍵をSとし、前記Sと前記Nよ
り大きい素数または素数のべき数をpとし、(p−1)の
約数をqとし、特定端末数をd(1≦d<N−1)とし、
鍵共有時に実際に前記基地局が特定する端末数(以下、
実際特定端末数という)Dを、前記特定端末数dより小
さい1以上の数とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i+…+fd×id modq (f1,…,fdはd個のGF(q)の元、ただし、fd
0) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行なう) Λは、前記N台の端末の任意の(d+1)台からなる集
合) を満たす秘密情報Siを秘密に保持しており、前記基地
局は、 SN+1=S+f1×(N+1)+…+fd×(N+1)d mod
q,・・・,SN+d-1=S+f1×(N+d−1)+…+f
d×(N+d−1)d modq を計算することにより分割された秘密情報SN+1,…,S
N+d-1と前記秘密情報S1,…,SNと、前記秘密鍵S、前
記法p、前記GF(p)の元gを保持し、(1)前記基地
局は、準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記D台の特定端末i
1,…,iDの秘密情報Si1,…,SiDと前記秘密情報SN+1,
…,SN+d-1の内任意のv(=d−D)個の秘密情報Sb1,
…,S bvとから、排除情報 C21=g∧(k×Si1 modq) modp,・・・, C2D=g∧(k×SiD modq) modp, C2b1=g∧(k×Sb1 modq) modp,・・・, C2bv=g∧(k×Sbv modq) modp を計算し、上記排除情報C21,…,C2DとC2b1,…,C2bv
と前記準備情報C1と特定端末番号i1,…,iDおよび前
記秘密情報Sb1,…,Sbvの番号b1,…,bvを全端末に同
報通信し、(3)前記基地局は、前記特定端末i1,…,
Dを除く全ての端末j(j≠i1,…,iD)との共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠i1,…,iD)は、Λ=
{j,i1,…,iD,b1,…,bv}として、λ(j,Λ),λ
(i1,Λ),…,λ(iD,Λ),λ(ib1,Λ),…,λ(ibv,Λ)
を求め、前記準備情報C1と前記排除情報C21,…,C2D,
2b1,…,C2bvと自身の前記秘密情報Sjを用いて、べ
き乗剰余値C1∧(Sj×λ(j,Λ) modq)と、べき乗剰
余値 C21∧(λ(i1,Λ) modq)×…×C2D∧(λ(iD,Λ) mo
dq)×Cb1∧(λ(b1,Λ) modq)×…×Cbv∧(λ(bv,
Λ) modq) modp) との積 C1∧(Sj×λ(j,Λ) modq)×C21∧(λ(i1,Λ) mod
q)×…×C2D∧(λ(iD,Λ) modq)×Cb1∧(λ(b1,
Λ) modq)×…×Cbv∧(λ(bv,Λ) modq) modp) を計算することにより、前記基地局との共有鍵Kを求め
る排他的鍵共有法排他的鍵共有方法であり、基地局から
各端末に、C1,C21,…,C2d,C2b1,…,C2bvと特定端
末番号(i1,…,iD,b1,…,bv)を同報送信するのみ
で、予め特定端末数dを決定しておいても実際の特定端
末数Dの特定端末i1,…,iDを除いた端末で鍵共有を行
なうことを可能とするという作用を有する。
【0019】本発明の請求項5記載の発明は、請求項3
記載の排他的鍵共有法において、前記基地局は、前記秘
密鍵Sを任意の整数e個の特定端末数d1,…,deに対し
てそれぞれ分割したe組の秘密情報を保持し、一方、前
記端末は各組の中から自身の端末番号に対応したe個の
秘密情報を保持しておき、前記特定端末を排除した鍵共
有を行なう場合には、前記基地局および前記端末jが、
前記実際特定端末数Dと等しい前記特定端末数dw(1≦
w≦e)を前記d1,…,deより選択し、前記基地局は選
択された特定端末数dwに対応した1組の前記秘密情報
を用いて前記準備情報と前記排除情報を同報通信し、端
末との共有鍵Kを求め、一方前記端末jはdwに対応し
た秘密情報を用いて基地局との共有鍵Kを求めるもので
あり、実際の特定端末数Dに等しい特定端末数dwに対
応する秘密情報を選択するのみで、実際の特定端末数D
の端末を除いた端末で鍵共有を行なうことを可能とする
という作用を有する。
【0020】本発明の請求項6記載の発明は、請求項1
記載の排他的鍵共有法において、前記秘密鍵Sを全端末
の秘密鍵とし、前記Sを指数とし、前記pを法とする前
記gのべき乗剰余値 y=gS modp を全端末の公開鍵とし、前記基地局は、全ての端末の分
解された秘密情報S1,S 2,…,SNを秘密に保持し、
(1)前記基地局は、整数kを任意に生成し、前記kを
指数とし、前記pを法とする前記gのべき乗剰余値であ
る準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記特定端末aの前記
秘密情報Saを用いて前記kとの前記法q上での積を求
め、これを指数とし、前記pを法とし、前記gを底とす
る排除情報 C2=g∧(k×Sa modq) modp を計算し、(3)前記基地局は、前記kを指数とし、前
記pを法とする前記全端末の公開鍵yのべき乗剰余値で
ある共有鍵 K=yk modp を求め、同時に任意に前記端末j(j≠a)との共通デー
タMを生成して、前記Mと前記共有鍵Kの法p上での積
(以後、暗号文という) C3=M×K modp を計算して、前記準備情報C1と特定端末番号aと共に
全端末に同報通信し、(4)前記各端末j(j≠a)は、
Λ={j,a}として、λ(j,Λ)とλ(a,Λ)を求め、前
記準備情報C1と前記排除情報C2と自身の前記秘密情報
jを用いて、前記Sjと前記λ(j,Λ)の前記法q上で
の積を指数とする前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とする前
記C2のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) m
odq) modp) を前記法p上で求め、さらに前記暗号文C3を法p上で
前記Kで除した値 C3/K=M×K/K modp を前記基地局との前記共通データMとして求めるもので
あり、任意のMを設定可能にするという作用を有する。
【0021】本発明の請求項7記載の発明は、請求項1
記載の排他的鍵共有法において、前記全端末の秘密鍵S
を指数とし、前記pを法とする前記gのべき乗剰余値 y=gS modp を全端末の公開鍵とし、前記基地局は、端末の分解され
た秘密情報S1,S2,…,SNそれぞれを指数とし、前記p
を法とする前記gのべき乗剰余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記基地局は、前記整数kを任意に
生成し、前記kを指数とし、前記pを法とする前記gの
べき乗剰余値である準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記kを指数とし、前
記pを法とする、前記特定端末aの公開情報yaのべき
乗剰余値である排除情報 C2=ya k modp を計算し、(3)前記基地局は、前記kを指数とし、前
記pを法とする前記全端末の公開鍵yのべき乗剰余値で
ある前記共有鍵 K=yk modp=g∧(S×k) modp を求め、同時に任意に前記端末j(j≠a)との共通デー
タMを生成して、前記Mと前記Kの法p上での積である
前記暗号文 C3=M×K modp を計算し、前記準備情報C1と前記特定端末番号aと共
に全端末に同報通信し、(4)前記各端末j(j≠a)
は、Λ={j,a}として、λ(j,Λ)とλ(a,Λ)を求
め、前記準備情報C1と前記排除情報C2と自身の前記秘
密情報Sjを用いて、前記Sjと前記λ(j,Λ)の前記法
q上での積を指数とし、前記C1を底とするべき乗剰余
値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とし、前
記C2を底とするべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) m
odq) modp を前記法p上で求め、さらに前記暗号文C3を法p上で
前記Kで除した値 C3/K modp=M×K/K modp を前記基地局との共通データMとして求めるものであ
り、任意のMを設定可能とし、基地局に各端末の秘密情
報を記憶する必要をなくして安全性を向上させ、予め秘
密情報を共有する必要をなくしてセットアップの負荷を
減らすという作用を有する。
【0022】本発明の請求項8記載の発明は、請求項1
記載の排他的鍵共有法において、前記秘密鍵Sを前記基
地局の秘密鍵とし、前記Sを指数とし、前記pを法とす
る前記gのべき乗剰余値 y=gS modp を基地局の公開鍵(ただし、端末には公開しない)と
し、前記各端末は、前記基地局の秘密鍵Sの分解された
秘密情報S1,S2,…,SNをそれぞれ秘密に保持し、前記
基地局は、端末の分解された秘密情報S1,S2,…,SN
れぞれを指数とし、前記pを法とする前記gのべき乗剰
余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN mod
p を利用でき、(1) 前記基地局は、(1-a)整数kを任意
に生成し、法q上で求めた(−k)を指数とし、前記p
を法とする前記gのべき乗剰余値 C0=g∧(−k modq) modp を計算し、(1-b)前記特定端末aを除く全ての端末j(j
≠a)との共通データMを生成して、前記Mと前記C0
の法p上での積 r=M×C0 modp を求め、(1-c)前記rの前記qで除したときの剰余 r'=r modq を求め、(1-d)前記r'、前記k、前記基地局の秘密鍵S
を用いて、 k=s−r'×S modq を満たす値sを求め、(1-e)法q上で求めた(−r)を
指数とし、前記pを法とする前記gのべき乗剰余値であ
る準備情報 C1=g∧(−r modq) modp を計算し、(1-f)前記特定端末aの前記公開情報yaを用
いて、法q上で求めた(−r)を指数とし、前記pを法
とする前記yaのべき乗剰余値である排除情報 C2=ya∧(−r modq) modp を計算し、(1-g)前記(r,s)をMの署名として前記
1,C2とともに全端末に同報通信し、(2)前記各端
末j(j≠a)は、Λ={j,a}として、λ(j,Λ)とλ
(a,Λ)を求め、前記準備情報C1と前記排除情報C2
自身の前記秘密情報Sjを用いて、前記Sjと前記λ(j,
Λ)の法q上での積を指数とする前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、法q上で求めた前記λ(a,Λ)を指数とする前記C2
のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) modq) modp =y∧(−r modq) modp を前記法p上で求め、また、前記sを指数とする前記g
のべき乗剰余値と、前記rおよび、前記Kの法p上での
積 r×gs×K modp を計算することにより、前記共通データMを求めるもの
であり、同時に基地局のディジタル署名を検証可能にす
るという作用を有する。
【0023】本発明の請求項9記載の発明は、請求項1
記載の排他的鍵共有法において、前記全端末の秘密鍵S
を指数とし、前記pを法とする前記gのべき乗剰余値 y=gS modp を全端末の公開鍵とし、前記基地局は、端末の分解され
た秘密情報S1,S2,…,SNそれぞれを指数とし、前記p
を法とする前記gのべき乗剰余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記基地局は、前記整数kを任意に
生成し、前記kを指数とし、前記pを法とする前記gの
べき乗剰余値である準備情報 C1=gk modp を計算し、(2)前記基地局は、前記kを指数とし、前
記pを法とし、前記特定端末aの公開情報yaのべき乗
剰余値である排除情報 C2=ya k modp を計算し、(3)前記基地局は、前記kを指数とし、前
記pを法とする前記全端末の公開鍵yのべき乗剰余値
を、前記特定端末aを除く全ての端末j(j≠a)との共
有鍵 K=yk modp として求め、(4)前記端末jでは、前記準備情報C1
と前記排除情報C2と自身の秘密情報S jを用いて、前記
jと前記λ(j,Λ)の前記法q上での積を指数とする、
前記C1のべき乗剰余値と、前記法q上で求めた前記λ
(a,Λ)を指数とする、前記C2のべき乗剰余値との積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modp を前記法p上で計算することにより、前記基地局との共
有鍵Kを求めるものであり、基地局に各端末の秘密情報
を記憶する必要をなくして安全性を向上させ、予め秘密
情報を共有する必要をなくしてセットアップの負荷を減
らすという作用を有する。
【0024】本発明の請求項10記載の発明は、請求項1
記載の排他的鍵共有法において、前記各端末は、前記秘
密情報S1,…,SNをそれぞれ秘密に保持し、前記N台
の端末の任意の2台以上のt台からなる集合をΛとした
とき、(1)前記基地局は整数kを用いて、前記kを指
数とし、前記pを法とし、前記gを底とする前記準備情
報 C1=gk modp を計算し、(2)前記基地局は、t台の特定端末i1,
…,itの任意のij(j=1,…,t)に対して次の式を満
たす共有情報Xijij=Π(g∧(Su×k)) modp(積はu∈Λ−{ij}
についてとる) を計算し、全ての共有情報Xijと前記準備情報C1を全
端末に同報通信し、(3)前記基地局は、前記特定端末
の秘密情報Si1,…,Sitを用いて次の式を満たすKを計
算して前記t台の特定端末との共有鍵Kとし、 K=gx modp, x=k×ΣSij modq(和はj=1〜tについてと
る) (4)前記特定端末ijは、前記pを法とし、自身の前
記秘密情報Sijを指数とする前記C1のべき乗剰余値と
前記Xijの積 Xij×C1 Sij modp を法p上で計算することにより、前記基地局との共有鍵
Kを求めるものであり、全端末の半数を超えない規模の
グループを高速に構成するという作用を有する。
【0025】本発明の請求項11記載の発明は、請求項1
記載の排他的鍵共有法において、前記秘密鍵Sの分割を
前記基地局が行ない、あらかじめ前記基地局と前記端末
に備えられた暗号通信手段により、対応する端末に配布
するものであり、秘密鍵Sを分割するための第三機関を
不要にするという作用を有する。
【0026】本発明の請求項12記載の発明は、請求項1
記載の排他的鍵共有法において、前記基地局とは別の第
3機関が、前記秘密鍵Sの分割、べき乗剰余値y、公開
情報y1,y2,…,yNの算出と公開、および前記端末aに
対応したSaの埋め込みを行なうものであり、基地局が
秘密鍵Sを分割する必要をなくして、基地局の負担を減
らすという作用を有する。
【0027】本発明の請求項13記載の発明は、請求項1
記載の排他的鍵共有法において、前記各端末i(1≦i≦
N)は前記秘密情報Siを、秘密に保持し、前記各端末i
は、前記整数f0(=S),f1,…,fdをそれぞれ指数と
し、前記pを法とする前記gのべき乗剰余値(以後、検
証情報という)gf0,gf1,…,gfdを利用でき、前記各
端末aは、検証情報と自身の前記秘密情報Siを用いて
次の計算を行ない、 gSi=Π(g∧(fj×aj) modp(積はj=0〜dに
ついてとる) 両辺が等しいか否かを判定することにより、自身の秘密
情報Siの正当性を確認するものであり、分割を行なう
機関が不正を行なっていないことを検証可能とするとい
う作用を有する。
【0028】本発明の請求項14記載の発明は、請求項1
記載の排他的鍵共有法において、前記同報通信可能な通
信システムに新規に加入する端末に対して、新たな端末
番号I(I>N)を設定し、 SI=S+f1×I を計算することにより求められた秘密情報SIを秘密に
保持させるものであり、システム構築後に新規端末を加
入させることを可能にするという作用を有する。
【0029】本発明の請求項15記載の発明は、請求項1
記載の排他的鍵共有法において、前記端末iは、前記秘
密情報Siの代わりに前記pを法とし、前記Siを指数と
する前記C1のべき乗剰余値(=C1 Si modp)を秘密に
保存するものであり、端末同士が結託しても秘密鍵Sを
求めることができないようにするという作用を有する。
【0030】本発明の請求項16記載の発明は、請求項1
記載の排他的鍵共有法において、前記基地局が、前記特
定端末を含む全ての前記Λについての前記λ(i,Λ)を
求め、前記法q上で求めた各前記λ(i,Λ)を指数と
し、前記pを法とする前記排除情報C2のべき乗剰余値 C2∧(λ(i,Λ) modq) modp を計算し、鍵共有時に同報通信し、前記特定端末aを除
く全ての端末j(j≠a)では、前記jを含む前記Λに対
応した前記べき乗剰余値 C2∧(λ(i,Λ) modq) modp) を用いて共有鍵Kを求めるものであり、端末の計算量を
少なくするという作用を有する。
【0031】本発明の請求項17記載の発明は、請求項1
記載の排他的鍵共有法において、前記基地局と前記特定
端末aを除く全ての端末j(j≠a)が共有した前記共有
鍵Kと前回の鍵共有時に共有した共有鍵K1から新規共
有鍵K2を生成するものであり、一度排除した端末を次
の鍵共有時においても排除し続けることを可能にすると
いう作用を有する。
【0032】本発明の請求項18記載の発明は、請求項1
記載の排他的鍵共有法において、前記基地局と前記端末
にあらかじめ備えられたディジタル署名手段において、
基地局から配送されるデータに対して基地局のディジタ
ル署名を付加するものであり、端末でディジタル署名を
検証することにより成りすましや改ざんを検出するとい
う作用を有する。
【0033】本発明の請求項19記載の発明は、請求項2
記載の排他的鍵共有装置において、前記基地局の第1、
第2、第3の基地局側記憶部および前記端末の第1、第
2の端末側記憶部は、外部より観測したり変更できない
領域とするものであり、基地局への進入や端末の紛失・
結託に対するセキュリティを向上させるという作用を有
する。
【0034】本発明の請求項20記載の発明は、請求項1
記載の排他的鍵共有法において、構成されるグループの
規模が全端末の半数を超える場合には請求項1記載の排
他的鍵共有法を適応し、構成されるグループの規模が全
端末の半数を超えない場合には請求項10記載の排他的鍵
共有法を適応するように自動的に選択するものであり、
基地局が意識することなくグループ規模が半数を超える
か超えないかに関わらず効率的に鍵共有を行なえるよう
にするという作用を有する。
【0035】本発明の請求項21記載の発明は、請求項1
記載の排他的鍵共有法において、前記端末が保持する秘
密情報の数を、端末の権限に応じて増減させるものであ
り、端末に対して権限の強弱を設定するという作用を有
する。
【0036】本発明の請求項22記載の発明は、相互に接
続されたN台(Nは2以上の整数)の端末からなる同報
通信が可能な通信システムの排他的鍵共有法において、
秘密鍵をSとし、前記Sおよび前記Nより大きい素数ま
たは素数のべき数をpとし、(p−1)の約数をqと
し、GF(p)の元をgとし、議長端末が特定できる特定
端末数を1とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、全端末の
公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記議長端末は、零でないGF(q)
の元kを任意に生成し、準備情報 C1=gk modp を計算し、(2)前記議長端末は、特定端末aの公開情
報yaから排除情報 C2=ya k modp を計算し、特定端末番号aと準備情報C1と共に全端末
に同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠a)は、Λ={j,a}
として、λ(j,Λ)とλ(a,Λ)を求め、前記準備情報C
1と前記排除情報C2と自身の秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modp を計算をすることにより、共有鍵Kを求める排他的鍵共
有法であり、基地局なしの通信システムにおいて、特定
端末を排除して共通鍵を共有することを可能とするとい
う作用を有する。
【0037】本発明の請求項23記載の発明は、相互に接
続されたN台(Nは2以上の整数)の端末からなる同報
通信が可能な通信システムの排他的鍵共有法において、
秘密鍵をSとし、前記Sおよび前記Nより大きい素数ま
たは素数のべき数をpとし、(p−1)の約数をqと
し、GF(p)の元をgとし、前記各端末i(1≦i≦N)
は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、全端末の
公開鍵 y=gS modp と、各端末の公開鍵 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)ある端末aは、零でないGF(q)の
元kを任意に生成し、準備情報 C1=gk modp を計算し、(2)前記端末aは、自身の公開鍵yaから
排除情報 C2=ya k modp を計算し、来端末番号aと準備情報C1と共に全端末に
同報通信し、(3)前記端末aは、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠a)は、Λ={j,a}
として、λ(j,Λ)とλ(a,Λ)を求め、前記準備情報C
1と前記排除情報C2と自身の秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
q) modp を計算をすることにより、共有鍵Kを求める排他的鍵共
有法であり、グループ鍵を更新するという作用を有す
る。
【0038】本発明の請求項24記載の発明は、請求項22
記載の排他的鍵共有法において、各端末が自身の公開鍵
以外の全ての公開鍵を保有するものであり、公開鍵を管
理する必要をなくすという作用を有する。
【0039】本発明の請求項25記載の発明は、請求項
1、3〜17、20〜24記載の排他的鍵共有法において、前
記乗法演算を、任意の有限体上の楕円曲線などの曲線上
の加法演算に対応させるものであり、基地局および端末
の計算を高速化するという作用を有する。
【0040】以下、本発明の実施の形態を、図1〜図9
を参照して、詳細に説明する。
【0041】(第1の実施の形態)本発明の第1の実施
の形態は、基地局と5つの端末のシステムにおいて、秘
密分散法により秘密鍵Sを分散した秘密情報Siを利用
して、各端末に、準備情報(gk modp)、排除情報(g
kS5 modp)、暗号文(M×K modp)および排除端末
番号(5)を同報通信し、各端末では、Ci∧(λ(i,
Λ) modq) modpと、C2∧(λ(5,Λ) modq) modpと
の積を計算してKを得て、暗号文(M×K modp)をKで
除してMを求めて基地局0との共通データとして、端末
5を除いた他の端末と基地局で鍵を共有する排他的鍵共
有法である。
【0042】図1は、本発明の第1の実施の形態の鍵共
有方法のセットアップを示す図である。図1において、
0は基地局、1〜5は、基地局の管理下にある端末であ
る。6は、基地局内の記憶部、7〜11は、各端末内の、
外部より観測も変更もできない記憶部である。
【0043】図2は、本発明の第1の実施の形態の準備
フェーズを示す図である。
【0044】図3は、端末5を除いた全ての端末1,…,
4で共有鍵を共有する場合の鍵共有フェーズを示す図で
ある。
【0045】図4は、基地局と各端末i(1≦i≦N)の
構成を示す図である。図4(a)は、端末のブロック図で
ある。図4(a)において、20は、基地局からのデータを
受信する受信部、21は、法p,qと底gを保持する第1
の端末側記憶部、22は、秘密情報Siを保持する第2の
端末側記憶部である。23は、鍵共有フェーズで基地局か
ら配送される準備情報C1、排除情報C2から共有鍵K
を計算する第1の端末側計算部、24は、基地局から配送
される暗号文C3とKから共通データMを計算する第2
の端末側計算部である。図4(b)は、基地局のブロック
図である。図4(b)において、25は、法p,qと底gと
整数kを保持する第1の基地局側記憶部、26は、各端末
の公開情報y1,…,y5を保持する第2の基地局側記憶
部、27は、共通データMと全端末の公開鍵yを記憶する
第3の基地局側記憶部である。また、28は、準備情報C
1を計算する第1の基地局側計算部、29は、排除情報C2
を計算する第2の基地局側計算部、30は、共有鍵Kを計
算し、これと共通データMから暗号文C3を計算する第
3の基地局側計算部である。また、31は、特定端末番号
から公開情報を選択し、特定端末番号を送信部32に送る
制御部、32は、準備情報、排除情報、暗号文、特定端末
番号を全端末に同報通信する送信部である。
【0046】図5は、特定端末だけで鍵共有を行なう方
法における鍵共有フェーズを示す図である。
【0047】本発明の第1の実施の形態の鍵共有方法
は、セットアップ、準備フェーズ、鍵共有フェーズの3
つのフェーズに分けられる。以下、基地局が5つの端末
を管理している場合について、各フェ−ズに分けて説明
する。
【0048】図1を参照して、本発明の第1の実施の形
態の鍵共有方法のセットアップについて説明する。基地
局0は、秘密鍵Sを作成して、秘密に保持する。秘密鍵
Sより大きく、端末数5より大きな素数または素数のべ
きpを作成して、保持する。(p−1)の約数qを1つ
求めて保持する。GF(q)の0でない元f1を求めて保
持する。
【0049】f(z)=S+f1×z modq を用いて、Si=f(i)を計算することにより求めた秘
密情報Siを、各端末i(1≦i≦5)に暗号通信手段を
用いて秘密に配送する。
【0050】5台の端末の任意の2台からなる集合をΛ
としたとき、秘密情報Siは、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) を満たす。ただし、集合Λ−{i}は、集合Λから集合
{i}を除いた集合である。たとえば、Λ={1,2}と
すると、 λ(1,Λ)=Π{L/(L−1)}(L∈{2}) =2/(2−1)=2 λ(2,Λ)=Π{L/(L−2)}(L∈{1}) =1/(1−2)=−1Σ λ(i,Λ)×Si(i∈Λ) =λ(1,Λ)×S1+λ(2,Λ)×S2 =2×f(1)−f(2) =2・(S+f1)−(S+2・f1) =S となる。秘密情報Siをこのように設定することによ
り、積和の演算で秘密鍵Sを求めることができる。した
がって、秘密情報Siをべき指数とした排除情報をべき
乗して掛けることで、指数部分で積和演算ができる。そ
のため、秘密情報Siをあからさまにすることなく、指
数部分に隠したままで秘密鍵Sを指数部分に得ることが
できて、秘密情報Siを秘密のまま何度でも利用するこ
とが可能となる。
【0051】各端末1,…,5は、秘密情報Siを記憶部
7,…,11に保持する。基地局0は、法p、GF(p)の元
gを記憶部6に保持する。基地局0は、秘密情報S1,
…,S5をそれぞれ指数とし、pを法とし、gを底とした
公開情報y1(=gS1 modp),y2(=gS2 modp),…,y
5(=gS5 modp)を計算して記憶部6に保持する。計算
後、S1,…,S5は基地局内より消去する。基地局0
は、全端末1,…,5の秘密鍵Sを指数とし、pを法と
し、gを底とする全端末の公開鍵y(=gS modp)を計
算して記憶部6に保持する。計算後、Sは基地局内より
消去する。
【0052】図2を参照して、本発明の第1の実施の形
態の準備フェーズを説明する。基地局0は、GF(q)の
0でない元kを任意に生成し、kを指数とし、pを法と
し、gを底とする準備情報C1(=gk modp)を計算す
る。整数kを指数、pを法とし、基地局0が特定した端
末5の公開情報y5を底とする排除情報C2(=y5 k mod
p)を計算する。kを指数、pを法、全端末1,…,5
の公開鍵yを底とする共有鍵K(=yk modp=g∧(S
×k) modp)を求める。同時に特定端末5を除く全て
の端末j(j=1,…,4)との共通データMを生成し
て、MとKの法p上での積である暗号文C3(=M×K
modp)を計算する。以上のC1、C2、C3および特定端
末番号5を全端末に同報通信する。kを用いるのは、k
を変更することにより、同じ秘密鍵Sを使って異なる共
有鍵Kを配送できるようにするためである。
【0053】図3を参照して、端末5を除いた全ての端
末1,…,4で共有鍵を共有する場合の鍵共有フェーズを
説明する。端末1では、自己の端末番号1と、受信した
排除端末番号5から、Λ={1,5}として、 λ(1,Λ)=5/(5−1)=5/4 λ(5,Λ)=1/(1−5)=−1/4 を計算する。準備情報C1(=gk modp)と、排除情報C
2(=y5 k modp)を用いて、S1とλ(1,Λ)を指数と
し、C1を底とするべき乗剰余値 C1∧(λ(1,Λ) modq) modp と、λ(5,Λ)を指数とし、C2を底とするべき乗剰余値 C2∧(λ(5,Λ) modq) modp との積 C1∧(S1×λ(1,Λ) modq)×C2∧(λ(5,Λ) modq) modp =g∧(k×S1×λ(1,Λ) modq) ×g∧(k×S5×λ(5,Λ) modq) modp =g∧(k×(S1×λ(1,Λ)+S5×λ(5,Λ) modq)) modp =g∧(k×S modq) modp =K を求めることによりKを得る。さらに暗号文C3(=M×
K modp)を法p上でKで除した値 C3/K=M×K/K modp=M を求めて基地局0との共通データとする。
【0054】以上の計算は、端末2〜4でも同様に行な
うことができ、結果として、端末1〜4で共通データM
を共有することができる。
【0055】一方、端末5においては、基地局0から同
報通信された排除情報C2(=y5 k=g∧(k×S5) mod
p)と、保持している情報から計算可能なべき乗剰余値
(=C1 S 5 modp=g∧(k×S5) modp)が、同じである
こと、Λ={5}となってλ(5,Λ)が求められないこ
とから、上記鍵共有フェーズでの共有鍵Kの算出ができ
ない。そのため、共通データMを計算することができな
い。
【0056】各端末は、 K=g∧(S×k) modp, C1=gk modp, y=gS modp から秘密鍵Sを求めることができないため、各分割秘密
情報Saは再利用できる。このため、次の鍵共有からは
セットアップを行なう必要はなく、準備フェーズと鍵共
有フェーズを繰り返せばよい。
【0057】図4に、以上の処理を行なうための、基地
局と各端末i(1≦i≦N)の構成を示す。
【0058】次に、第1の実施の形態における安全性の
説明を行なう。
【0059】(1)すべての端末は、準備フェーズで
は、共有鍵Kを求めることは困難である。準備フェーズ
で、例えば端末1が保持する情報は、以下の2つであ
る。 ・秘密情報:S1 ・準備情報:C1(=gk modp) 以上の情報から共有鍵Kを求めるには、S1から秘密鍵
Sを求められればよい。しかし、全端末の秘密鍵SはSh
amirのしきい値法(Shamirのしきい値法の詳細は、Mene
zes,van Oorschot,Vanstone著「HANDBOOK of APPLIED C
RYPTOGRAPHY」、出版社CRCを参照されたい。)を用いて
分割しているので、S1からでは求めることはできな
い。ただし、全端末の秘密鍵Sの大きさは総当たり攻撃
に対抗できる程度の大きな数にとっておくことが必要で
ある。
【0060】(2)排除される端末5は、鍵共有フェー
ズにおいても、共有鍵Kと共通データMを求めることは
困難である。鍵共有フェーズで排除される端末5が保持
する情報は、上記(1)に追加して、 ・排除情報:C2(=yS5 =g∧(k×S5) modp) ・暗号文 :C3(=M×K=M×g∧(k×S) modp) である。これらはElGamal暗号における暗号文に等し
い。したがって、法p,q、整数kを十分に大きくとっ
ておけば、ElGamal暗号に帰着して、これらから共有鍵
Kと共通データMを求めることが困難となる。具体的に
は、pを1024bits以上、k,qを160bits以上にすること
が望ましい。
【0061】また、端末5を排除して鍵共有した後の準
備フェーズでは、引き続き端末5を排除することが可能
である。これは、例えば5つの端末で共通の秘密鍵を共
有してグループ内の暗号通信を行なっている際に、まず
端末5が紛失または盗難にあい、これに対応して残りの
4端末で新たな共通の秘密鍵を共有する。
【0062】次に、さらに端末4も紛失または盗難にあ
い、端末4、5両方とも排除して、次の共通の鍵を共有
する必要が生じる場合である。このためには、端末5排
除後の鍵共有フェーズにおいて、基地局と端末1〜3は
端末5排除時に共有した共通データM1と端末4排除時
に共有した共通データM2から新規共通データM'を作成
(単純にM1とM2の排他的論理和をとってもよいし、ハ
ッシュ関数を用いてM 1とM2の和のハッシュ値をとって
もよい。)して使用すればよい。この方法によれば、共
通データM1を求められない端末5と共通データM2を求
められない端末4は新規共通データM'を作成すること
はできない。同様に、共通データM1を用いて、共通デ
ータM2を共有するための準備情報や排除情報や暗号文
を秘密に配送しても良い。この方法によれは、共通デー
タM1を求められない端末5と、端末4は共通データM4
を求められない。
【0063】また、端末4,5が結託して新規共通デー
タM'を求めるような場合には、端末5排除後の端末4
排除時の鍵共有フェーズで端末5に対応した排除情報C
2も配送し、端末1〜3で新規共通データを共有する方
法もある。この方法は実質的には第2の実施の形態にお
いて説明する方法と同じである。
【0064】第1の実施の形態では、各端末の秘密情報
aは基地局が分割して、暗号通信手段を用いて配送す
るとしたが、これらは基地局と端末以外の信頼できる第
三機関が行なっても構わないし、配送せずに予め秘密情
報Saを端末に埋め込んでおいてもよい。
【0065】また、暗号通信手段は秘密鍵暗号を用いた
ものでも公開鍵暗号を用いたものでもよい。ただし、公
開鍵暗号を用いたほうが、基地局が各端末の公開鍵だけ
を保持するため、基地局の不正に対してセキュリティが
向上する。
【0066】基地局から各端末に配送される全てのデー
タに、基地局のディジタル署名を付加すれば、端末によ
る基地局の認証ができるし、第三者による改ざんを検知
することができ、セキュリティが向上する。
【0067】また、第1の実施の形態における各端末の
秘密情報Saが正しく分割されているかどうかは、Peder
senのシェア検証プロトコル(「Proc. of Eurocrypt'9
1」出版社 Springer-Verlagの予稿“Distributed Prove
rs with Applications to Undeniable Signatures”著
T.P.Pedersenを参照のこと。)を適用することができ
る。検証情報{gf0 modp, gf1 modp,…, gfN mod
p}を秘密分割者が公開することにより、各端末が自身
の秘密情報の正しさを確認することができ、セキュリテ
ィが向上する。
【0068】基地局が、各端末の秘密情報Saを暗号通
信手段を用いて秘密に各端末に配送し、準備情報C1
各端末に配送する構成としたが、基地局がC1 Sa modp
を計算して暗号通信手段を用いて秘密に各端末に配送し
てもよい。この方法では各端末は直接Saを知ることが
できないので、端末同士が結託してSを求めることはで
きない。ただし、この場合にはセットアップを鍵共有ご
とに行なう必要がある。
【0069】基地局が、鍵共有フェーズに端末5を排除
する場合に排除情報C2を配送する構成としたが、基地
局がC2∧(λ(5,Λ) modq) modpを計算して配送して
もよい。この方法では端末の計算量が非常に少なくて済
むが、Λは端末ごとに異なるので通信量が増加する。
【0070】第1の実施の形態ではElGamal暗号を基に
した方法で実施したが、Nyberg-Rueppel署名を基にして
実施することもできる。この方法では端末が共通データ
Mに対する基地局のディジタル署名を検証することがで
きる。Nyberg-Rueppel署名の詳細は、Menezes,van Oors
chot,Vanstone著「HANDBOOK of APPLIED CRYPTOGRAPH
Y」(CRC出版)を参照されたい。また、Nyberg-Rueppel
署名は、構成の方法により6種類(正負を考慮するとさ
らに多い)が提案されており、この6種類全てが本発明
に適用可能である。
【0071】また、基地局が各端末の公開情報y1,…,
5を保持する構成としたが、基地局が信頼できる場合
には、代わりに秘密情報S1,…,S5を保持してもよい。
【0072】また、第1の実施の形態では、共通データ
Mを共通の鍵として用いたが、代わりに共有鍵K自身を
基地局と端末との共通の鍵をして利用してもよい。
【0073】また、第1の実施の形態のようにセットア
ップが終了したシステムに、新規に端末を加入させる場
合には、新たな端末番号を用いて秘密情報を計算して、
この秘密情報を新規端末に秘密に配送してやればよい。
【0074】また、第1の実施の形態では、各端末につ
き1個の秘密情報を保持させたが、端末の権限の強弱に
応じて秘密情報の数を増減させることにより、端末ごと
に権限を変更することが可能である。例えば、秘密情報
を1個しか保有していない端末では鍵共有できないが、
2個以上保有している端末では鍵共有が可能というよう
な使用法が可能となる。
【0075】また、第1の実施の形態では有限体GF
(p)上の離散対数問題の困難さを利用しているが、一般
にこれを任意の有限体上(定義体)の楕円曲線上の離散
対数問題に拡張することができる。この場合には、定義
体のビット数を例えば160ビット程度に削減することが
できるため、データ通信量や端末や基地局における記憶
域のサイズを削減することができる。
【0076】基地局の第1、第2、第3の基地局側記憶
部および端末の第1、第2の端末側記憶部を、外部より
観測したり変更できない領域とすれば、基地局および端
末のユーザおよび第三者は秘密の情報を観測したり変更
できないのでセキュリティを向上できる。また、端末同
士が結託しても全端末の秘密鍵Sを求めることが困難に
なる。
【0077】第1の実施の形態では特定端末を排除した
鍵共有を行なったが、以下では、逆に基地局が特定端末
とだけ鍵を共有する方法について説明する。この方法で
は、第1の実施の形態と同じインフラを利用することが
できる。また、グループ規模により第1の実施の形態の
鍵共有法と下記の鍵共有法を自動的に切り換える構成と
すれば、基地局は意識すること無く効率的な方法で鍵共
有を行なうことができる。 図5は、特定端末だけで鍵
共有を行なう方法における鍵共有フェーズを示す。
【0078】基地局0は、特定端末1と2に対して、特
定端末1と2の公開情報y1とy2を底とし、pを法と
し、kを指数とする共有情報X1(=y2 k modp),X2
(=y 1 k modp)を計算して、準備情報C1(=gk mod
p)と共に全端末1,…,5に同報通信する。
【0079】基地局0は、整数k、特定端末1、2の公
開情報y1,y2を用いて、指数をk、法をp、y1とy2
の積を底とする共有鍵 K=(y1×y2)k =g∧(k×(S1+S2) modq) modp) を計算する。
【0080】特定端末1は、pを法とし、準備情報C1
を底とし、秘密鍵S1を指数とするべき乗剰余値と共有
情報X1の積 C1 S1×X1=g∧(k(S2+S1) modq) modp を計算をすることにより、共有鍵Kを求める構成とすれ
ばよい。この方法では、特定端末2も同様の計算により
共有鍵Kを求めることができる。また、システムセット
アップと準備フェーズは第1の実施の形態と同じなの
で、鍵共有フェーズにおいて、特定端末数により第1の
実施の形態と上記特定端末間の鍵共有方法を切り替えれ
ばよい。
【0081】上記のように、本発明の第1の実施の形態
では、基地局と5つの端末のシステムにおける排他的鍵
共有法を、秘密分散法により秘密鍵Sを分散した秘密情
報S iを利用して、各端末に、準備情報(gk modp)、排
除情報(gkS5 modp)、暗号文(M×K modp)およ
び排除端末番号(5)を同報通信し、各端末では、C i
∧(λ(i,Λ) modq) modpと、C2∧(λ(5,Λ) mod
q) modpとの積を計算してKを得て、暗号文(M×K m
odp)をKで除してMを求めて基地局0との共通データ
とする構成としたので、少ない通信量で高速に、端末5
を除いた他の端末と基地局で鍵を共有することができ
る。
【0082】(第2の実施の形態)本発明の第2の実施
の形態は、基地局と5つの端末のシステムにおいて、準
備情報(gk modp)、排除情報(y4 k modp,y5 k mod
p)、暗号文(M×K modp)を特定端末の番号(4,5)
と共に全端末に同報通信し、端末では、g∧(k×S1×
λ(1,Λ) modq)×g∧(S4×k×λ(4,Λ) modq)×
g∧(S5×k×λ(5,Λ)modq) modpを計算してKを
得て、暗号文Kで除して基地局との共通データMを得
て、端末4と端末5を除いた他の端末と基地局で鍵を共
有する排他的鍵共有法である。
【0083】図6は、本発明の第2の実施の形態の排他
的鍵共有法において、端末4と端末5を除いた全ての端
末1,2,3で共通データを共有する場合の鍵共有フェ
ーズを示す図である。本発明の第2の実施の形態のセッ
トアップおよび準備フェーズは、第1の実施の形態と同
じである。
【0084】図6を参照して、端末4と端末5を除いた
全ての端末1,2,3で共通データを共有する場合の鍵
共有フェーズを説明する。基地局0は、kを指数とし、
pを法とし、gを底とする準備情報C1(=gk modp)
と、2台の特定端末4,5の公開情報y4,y5を用い
て、整数kを指数とし、pを法とし、gを底とする排除
情報C24(=y4 k modp),C25(=y5 k modp)と、
共通データMと共有鍵Kの法p上での積である暗号文C
3(=M×K modp)を特定端末の番号(=4,5)と共
に全端末に同報通信する。
【0085】端末1では、Λ={1,4,5}とし、λ
(1,Λ),λ(4,Λ),λ(5,Λ)を計算する。準備情
報C1と排除情報C24,C25を用いて、S1とλ(1,Λ)
の法q上での積を指数とし、C1を底とするべき乗剰余
値 C1∧(S1×λ(1,Λ) modq) modp =g∧(k×S1×λ(1,Λ) modq) modp を計算する。排除情報C24を用いて、λ(4,Λ)を指数
とし、C24を底とするべき乗剰余値 C24∧(λ(4,Λ) modq) modp =y4∧(k×λ(4,Λ) modq) modp =g∧(S4×k×λ(4,Λ) modq) modp を計算する。排除情報C24,C25を用いて、λ(5,Λ)を
指数とし、C25を底とするべき乗剰余値 C25∧(λ(5,Λ) modq) modp =y5∧(k×λ(5,Λ) modq) modp =g∧(S5×k×λ(5,Λ) modq) modp を計算する。これらの積 C1∧(S1×λ(1,Λ) modq) ×C24∧(λ(4,Λ) modq) ×C25∧(λ(5,Λ) modq) modp) =g∧(k×S1×λ(1,Λ) modq) ×g∧(S4×k×λ(4,Λ) modq) ×g∧(S5×k×λ(5,Λ) modq) modp =g∧(k×(S1×λ(1,Λ)+S4×λ(4,Λ) +S5×λ(5,Λ) modq)) modp =g∧(k×S modq) modp=K を計算することによりKを得る。さらに、暗号文C3
法p上でKで除した値 C3/K modp=M×K/K modp=M を求め、基地局との共通データMを得る。
【0086】以上の計算は、端末2,3でも同様に行な
うことができ、結果として、端末1〜3で共通データM
を共有することができる。また、次の鍵共有からはセッ
トアップを行なう必要はない。
【0087】一方、端末4,5においては、基地局から
同報通信され排除情報C24(=y4 k=g∧(k×S4) mo
dp),C25(=y5 k=g∧(k×S5) modp)と、保持
している情報から計算できるべき乗剰余値(C1 S4 mod
p=g∧(k×S4) modp,C1 S5modp=g∧(k×S5)
modp)が同じであること、Λ={4,5}となり、λ
(4,Λ),λ(5,Λ)が求められないことから、鍵共有フ
ェーズでの共有鍵Kの算出ができない。そのため、共通
データMを計算することができない。
【0088】予め決められた特定端末数d台の排除だけ
でなく、任意数の排除を行なうこともできる。基地局
が、秘密鍵Sを任意の整数e個の特定端末数d1,…,
eに対してそれぞれ分割したe組の秘密情報を保持し
て、一方、各端末は各組の中から自身の端末番号に対応
した秘密情報を保持しておき、鍵共有を行なう場合には
実際特定端末数Dと等しい特定端末数dw(1≦w≦
e)をd1,…,deより選択して、選択された特定端末
数dwに対して分割された秘密情報を用いて、排除情報
を計算して全端末に配送してやればd台以内ならば任意
に排除することができる。
【0089】また、特定端末数dよりも実際の特定端末
数Dが小さい場合には、全端末の秘密鍵Sを通常より
(d−1)個多く分割しておき、この通常より多く分割
したS N+1,…,SN+d-1をダミーの秘密情報として基地
局が保持しておく。この方法では実際の特定端末数Dと
特定端末数dの差v(=d−D)個の秘密情報Sb1
…,SbvをSN+1,…,SN+d-1から基地局が選んで排除
情報を計算して余分に全端末に配送することによりd台
以内ならば任意に排除することができる。この方法の場
合、前記d1,d2,,…,deに対応したe組の秘密情報
を用いる方法よりも、秘密情報が少なく済む。
【0090】上記のように、本発明の第2の実施の形態
では、基地局と5つの端末のシステムにおける排他的鍵
共有法を、準備情報(gk modp)、排除情報(y4 k mod
p,y5 k modp)、暗号文(M×K modp)を特定端末の番
号(4,5)と共に全端末に同報通信し、端末では、g
∧(k×S1×λ(1,Λ) modq)×g∧(S4×k×λ(4,
Λ) modq)×g∧(S5×k×λ(5,Λ) modq) modpを
計算してKを得て、暗号文Kで除して基地局との共通デ
ータMを得る構成としたので、少ない通信量で高速に、
端末4と端末5を除いた他の端末と基地局で鍵を共有す
ることができる。
【0091】(第3の実施の形態)本発明の第3の実施
の形態は、6つの端末のシステムにおいて、秘密分散法
により秘密鍵Sを分散した秘密情報Siを利用して、議
長端末から他の各端末に、準備情報C1(gk modp)、排
除情報C2(gkS5 modp)、暗号文K(gkS modp)お
よび排除端末番号(5)を同報通信し、各端末では、C
1∧(λ(i,Λ) modq) ×C2∧(λ(5,Λ) modq) mod
pを計算してKを得て、端末5を除いた他の端末でグル
ープ鍵Kを共有する排他的鍵共有法である。
【0092】図7は、本発明の第3の実施の形態の鍵共
有方法のセットアップを示す図である。図8は、本発明
の第3の実施の形態の準備フェーズを示す図である。図
9は、端末5を除いた全ての端末で共有鍵を共有する場
合の鍵共有フェーズを示す図である。
【0093】本発明の第3の実施の形態の鍵共有方法
は、セットアップ、準備フェーズ、鍵共有フェーズの3
つのフェーズに分けられる。以下、端末2が議長になっ
て端末5を排除しグループ鍵Kを共有する場合につい
て、各フェ−ズに分けて説明する。
【0094】図7を参照して、本発明の第3の実施の形
態の鍵共有方法のセットアップについて説明する。議長
端末2は、秘密鍵Sを作成して、秘密に保持する。秘密
鍵Sより大きく、端末数6より大きな素数または素数の
べきpを作成して公開する。(p−1)の約数qを1つ
求めて公開する。GF(p)の元gを公開する。
【0095】GF(q)の0でない元f1を求めて保持す
る。
【0096】f(i)=S+f1×i modq を用いて、Si=f(i)を計算することにより求めた秘
密情報Siを、各端末i(1≦i≦6)に暗号通信手段を
用いて秘密に配送する。
【0097】6台の端末の任意の2台からなる集合をΛ
としたとき、秘密情報Siは、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行なう) を満たす。ただし、集合Λ−{i}は、集合Λから集合
{i}を除いた集合である。各端末1,…,6は、秘密情報
iを記憶部に保持する。
【0098】議長端末は、秘密情報S1,…,S6をそれぞ
れ指数とし、pを法とし、gを底とした公開情報y1(=
S1 modp),y2(=gS2 modp),…,y6(=gS6 modp)
を計算して公開する。計算後、S1,…,S6は議長端末内
より消去する。議長端末は、全端末1,…,6の秘密鍵S
を指数とし、pを法とし、gを底とする全端末の公開鍵
y(=gS modp)を計算して公開する。計算後、Sは議
長端末内より消去する。 図8を参照して、本発明の第
3の実施の形態の準備フェーズを説明する。
【0099】議長端末は、GF(q)の0でない元kを任
意に生成し、kを指数とし、pを法とし、gを底とする
準備情報C1(=gk modp)を計算する。整数kを指数と
し、pを法とし、議長端末が特定した端末5の公開情報
5を底とする排除情報C2(=y5 k modp)を計算す
る。C1、C2および特定端末番号5を全端末に同報通信
する。
【0100】図9を参照して、端末5を除いた全ての端
末1,…,4,6で共有鍵を共有する場合の鍵共有フェー
ズを説明する。議長端末は、システム公開鍵yを用い
て、グループ鍵 K=yk modp を計算する。
【0101】端末1では、自己の端末番号1と、受信し
た排除端末番号5から、Λ={1,5}として、λ(1,
Λ)とλ(5,Λ)を計算する。準備情報C1(=gk modp)
と、排除情報C2(=y5 k modp)を用いて、S1とλ(1,
Λ)を指数とし、C1を底とするべき乗剰余値 C1∧(λ(1,Λ) modq) modp と、λ(5,Λ)を指数とし、C2を底とするべき乗剰余値 C2∧(λ(5,Λ) modq) modp との積 C1∧(S1×λ(1,Λ) modq)×C2∧(λ(5,Λ) modq) modp =g∧(k×S1×λ(1,Λ) modq) ×g∧(k×S5×λ(5,Λ) modq) modp =g∧(k×(S1×λ(1,Λ)+S5×λ(5,Λ) modq)) modp =g∧(k×S modq) modp =K を求めることによりKを得る。
【0102】以上の計算は、端末3〜4,6でも同様に
行なうことができ、結果として、端末1〜4,6で共通
データKを共有することができる。
【0103】一方、端末5においては、議長端末から同
報通信された排除情報C2(=y5 k=g∧(k×S5) mod
p)と、保持している情報から計算可能なべき乗剰余値
(=C1 S 5 modp=g∧(k×S5) modp)が、同じである
こと、Λ={5}となってλ(5,Λ)が求められないこ
とから、上記鍵共有フェーズでの共有鍵Kの算出ができ
ない。
【0104】各端末は、K,C1,yから秘密鍵Sを求
めることができないため、各分割秘密情報Siは再利用
できる。このため、次の鍵共有からはセットアップを行
なう必要はなく、準備フェーズと鍵共有フェーズを繰り
返せばよい。
【0105】新規加入端末がある場合は、新規加入端末
iにSi=f(i)を秘密に配送すればよい。
【0106】共有鍵の定期更新方法について説明する。
例えば、3番の端末が鍵を変更する場合、乱数kを発生
して、C1を作成して他の端末に同報通信する。3番の
端末の公開鍵y3を用いて、3番の端末を排除する場合
のC2を作成して他の端末に同報通信する。3番以外は
同じ鍵を共有できる。3番は、全端末の公開鍵yと自身
が生成した乱数kを用いて他の端末との共有鍵を求める
ことができる。誰でもが2つの情報を送ることにより、
同報鍵の一斉変更ができる。
【0107】つまり、これは鍵共有の提案者(端末3)
が、自分を排除する鍵共有を基地局がしていたように行
ない、最後に自分も全端末の公開鍵から共有鍵を生成す
る。
【0108】端末の格付け方法について説明する。端末
の中でも使用者による権限の違いがあり、議長がいるも
のとする。議長のみのグループを構成して、通信内容に
より受け取り手を制限することを目的とする。具体的な
方法としては、議長と他の端末でシェアSiの数(重
み)を変えることにより実現する。
【0109】例えば、セットアップにおいて、議長は、
しきい値3のシェアを2個持ち、他の端末は同じくしき
い値3のシェアを1個持つ。鍵共有フェーズにおいて、
議長はダミーのシェアを1個作って排除情報を送る。そ
の結果、議長は鍵共有できるが他の端末はできない。
【0110】別の例としては、セットアップにおいて、
議長は、しきい値4のシェアを3個持ち、副議長は同シ
ェアを2個持ち、他の端末は同シェアを1個持つように
する。鍵共有フェーズにおいて、議長はダミーのシェア
を1個作って排除情報を送る。その結果、議長は鍵共有
できるが、副議長と他の端末は鍵共有できない。議長が
ダミーのシェアを2個作って排除情報を送ると、議長と
副議長は鍵共有できるが他の端末はできない。
【0111】上記のように、本発明の第3の実施の形態
では、排他的鍵共有法を、6つの端末のシステムにおい
て、秘密分散法により秘密鍵Sを分散した秘密情報Si
を利用して、議長端末から他の各端末に、準備情報C
1(gk modp)、排除情報C2(gkS5 modp)、暗号文K
(gkS modp)および排除端末番号(5)を同報通信
し、各端末では、C1∧(λ(i,Λ) modq) ×C2∧(λ
(5,Λ) modq) modpを計算してKを得て、端末5を除
いた他の端末でグループ鍵Kを共有する構成としたの
で、基地局のないシステムでも、少ない通信量で高速
に、端末5を除いた他の端末で鍵を共有することができ
る。
【0112】
【発明の効果】以上説明したように、本発明では、基地
局と接続されたN台の端末からなる同報通信が可能な通
信システムの排他的鍵共有法を、秘密鍵をSとし、各端
末iは、S=Σλ(i,Λ)×Siを満たす秘密情報Si
を秘密に保持し、基地局は、準備情報C1(gk modp)
と、排除情報C2(g∧(k×Sa modq) modp)を、特
定端末番号aと共に全端末に同報通信し、各端末j(j
≠a)は、C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,
Λ) modq) modpを計算をすることにより、基地局との
共有鍵Kを求める構成としたので、処理の簡素化と安全
性の向上が実現できるという効果が得られる。
【0113】また、排他的鍵共有法を、秘密鍵をSと
し、特定端末数をdとし、各端末iは、S=Σλ(i,
Λ)×Siを満たす秘密情報Siを秘密に保持し、基地局
は、準備情報C1=gk modpと、排除情報C21(g∧
(k×Si1 modq) modp),・・・,C2d(g∧(k×
id modq) modp)を、特定端末番号i1,…,idと共
に全端末に同報通信し、各端末jは、C1∧(Sj×λ
(j,Λ) modq)×C21∧(λ(i1,Λ) modq)×…×C2d
∧(λ(id,Λ) modq) modpを計算することにより、基
地局との共有鍵Kを求める構成としたので、基地局から
全端末に、C1,C2a,C2bと特定端末番号(a,b)を
同報通信するだけで、2個の端末を同時に排除できると
いう効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の鍵共有方法におけ
るセットアップを示す図、
【図2】第1の実施の形態の鍵共有方法における準備フ
ェーズを示す図、
【図3】第1の実施の形態の鍵共有方法において、端末
5を除いた全ての端末で共有する鍵共有フェーズを示す
図、
【図4】第1の実施の形態の鍵共有方法における各端末
と基地局の構成を示す図、
【図5】第1の実施の形態の鍵共有方法における全端末
の半数を超えない数の端末が鍵を共有する場合の鍵共有
フェーズ図、
【図6】本発明の第2の実施の形態の鍵共有方法におい
て、特定端末4,5を除いた全端末で共有鍵を共有する
場合の鍵共有フェーズを示す図、
【図7】本発明の第3の実施の形態の鍵共有方法におけ
るセットアップを示す図、
【図8】第3の実施の形態の鍵共有方法における準備フ
ェーズを示す図、
【図9】第3の実施の形態の鍵共有方法においる鍵共有
フェーズを示す図、
【図10】第1の従来例における鍵共有方式を示す図、
【図11】第2の従来例における鍵共有方式を示す図で
ある。
【符号の説明】
0 基地局 1〜5 端末1〜端末5 6 基地局内の記憶部 7〜11 端末内の記憶部 19 受信部 20 第1の端末側記憶部 21 第2の端末側記憶部 22 第1の端末側計算部 23 第2の端末側計算部 24 第3の端末側計算部 25 第1の基地局側記憶部 26 第2の基地局側記憶部 27 第3の基地局側記憶部 28 第1の基地局側計算部 29 第2の基地局側計算部 30 第3の基地局側計算部 31 制御部 32 送信部
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平9−212089(JP,A) 特開 平10−22991(JP,A) 特許2865654(JP,B2) 安斉潤 他;“マスク付きグループ鍵 共有法”1999年暗号と情報セキュリティ シンポジウム予稿集 Vol.2/2 (1999.1.26)p.835−840 松崎なつめ 他;“マスク付きグルー プ鍵共有法(その2)”電子情報通信学 会技術研究報告(SST98−113〜129) Vol.98,No.657(1999.3.10) p.67−72 松崎なつめ 他;“マスク付きグルー プ鍵共有を少量の加入者計算で行う方 法”2000年暗号と情報セキュリティ・シ ンポジウム(2000.1.27)C−18 (58)調査した分野(Int.Cl.7,DB名) H04L 9/08 H04L 9/32 G09C 1/00 H04B 7/26

Claims (25)

    (57)【特許請求の範囲】
  1. 【請求項1】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる同報通信が可能な
    通信システムの排他的鍵共有法において、秘密鍵をSと
    し、前記Sおよび前記Nより大きい素数または素数のべ
    き数をpとし、(p−1)の約数をqとし、基地局が特
    定できる端末数(以下、特定端末数という)を1とし、
    前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
    元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
    いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、前記基地
    局は、前記(S,p,g,S 1,…,SN)を保持し、(1)
    前記基地局は、GF(p)の元をgとし、零でないGF
    (q)の元をkとしたとき、準備情報 C1=gk modp を計算し、(2)前記基地局は、特定端末aの秘密情報
    aから排除情報 C2=g∧(k×Sa modq) modp を計算し、特定端末番号aと準備情報C1と共に全端末
    に同報通信し、(3)前記基地局は、前記特定端末aを
    除く全ての端末j(j≠a)との共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠a)は、前記準備情報
    1と前記排除情報C2と自身の秘密情報Sjを用いて、
    前記Sjと前記λ(j,Λ)の前記法q上での積を指数とす
    る、前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とする、
    前記C2のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
    q) modp を計算をすることにより、前記基地局との共有鍵Kを求
    めることを特徴とする排他的鍵共有法。
  2. 【請求項2】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる同報通信が可能な
    通信システムの排他的鍵共有装置において、前記基地局
    は、秘密鍵Sおよび前記Nより大きい素数または素数の
    べき数である法pと、GF(p)の元gと、(p−1)の
    約数をqとしたGF(q)の元kとを保持する第1の基地
    局側記憶部を備え、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i modq(f1は零でないG
    F(q)の元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行なう) Λは、前記N台の端末のうちの任意の2台からなる集
    合) を満たす秘密情報S1,…,SNを保持する第2の基地局側
    記憶部をさらに備え、前記秘密鍵Sを保持する第3の基
    地局側記憶部をさらに備え、 前記各端末iは、前記(p,g)を保持する第1の端末
    側記憶部を備え、前記秘密情報Siを秘密に保持する第
    2の端末側記憶部をさらに備え、(1)前記基地局は、
    前記第1の基地局側記憶部に保存された前記(k,p,
    q,g)を用いて、準備情報 C1=gk modp を計算する第1の基地局側計算部をさらに備え、(2)
    前記基地局は、特定端末aを指定する制御部を備え、こ
    の制御のもと前記第2の基地局側記憶部に保存された前
    記秘密情報Saを出力し、これと前記(k,p,q,
    g)を用いて、排除情報 C2=g∧(k×Sa modq) modp を計算する第2の基地局側計算部を備え、前記準備情報
    1と前記特定端末番号aと共に全端末に同報通信する
    送信部を備え、(3)前記基地局は、前記(k,p,
    q)と、前記第3の基地局側記憶部に保持された前記秘
    密鍵Sを用いて、前記端末aを除く全ての端末j(j≠
    a)との共有鍵 K=g∧(k×S modq) modp を計算する第3の基地局側計算部を備え、(4)前記各
    端末j(j≠a)は、前記C1のべき乗剰余値C1∧(Sj×
    λ(j,Λ) modq) modpと、前記C2のべき乗剰余値C2
    ∧(λ(a,Λ) modq) modpとの積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
    q) modp を計算をすることにより、前記基地局との共有鍵Kを求
    める端末側計算部を備えることを特徴とする排他的鍵共
    有装置。
  3. 【請求項3】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる同報通信が可能な
    通信システムの排他的鍵共有法において、秘密鍵をSと
    し、S,Nより大きい素数または素数のべき数をpと
    し、(p−1)の約数をqとし、特定端末数をd(1≦d
    <N−1)とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i+…+fd×id modq (f1,…,fdはd個のGF(q)の元、ただし、fd
    0) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行なう) Λは、前記N台の端末の任意の(d+1)台からなる集
    合) を満たす秘密情報Siを秘密に保持しており、前記基地
    局は、前記(S,p,g,S1,…,SN)を保持し、(1)
    前記基地局は、準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、d台の特定端末i1,
    …,idの秘密情報Si1,…,Sidから、排除情報 C21=g∧(k×Si1 modq) modp,・・・, C2d=g∧(k×Sid modq) modp を計算して、上記排除情報C21,…,C2dを、前記準備情
    報C1と特定端末番号i1,…,idと共に全端末に同報通
    信し、(3)前記基地局は、前記特定端末i1,…,id
    除く全ての端末j(j≠i1,…,id)との共有鍵 K=g∧(k×S modq) modp を計算し、(4)前記各端末j(j≠i1,…,id)は、Λ
    ={j,i1,…,id}とし、λ(j,Λ),λ(i1,Λ),…,
    λ(id,Λ)を求め、前記準備情報C1と前記排除情報C
    21,…,C2dと自身の前記秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C21∧(λ(i1,Λ) mod
    q) ×…×C2d∧(λ(id,Λ) modq) modp を計算することにより、前記基地局との前記共有鍵Kを
    求めることを特徴とする排他的鍵共有法。
  4. 【請求項4】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる同報通信が可能な
    通信システムの排他的鍵共有法において、秘密鍵をSと
    し、前記Sと前記Nより大きい素数または素数のべき数
    をpとし、(p−1)の約数をqとし、特定端末数をd
    (1≦d<N−1)とし、鍵共有時に実際に前記基地局が
    特定する端末数(以下、実際特定端末数という)Dを、
    前記特定端末数dより小さい1以上の数とし、前記各端
    末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、Si=S+f1×i+…+fd×id modq (f1,…,fdはd個のGF(q)の元、ただし、fd
    0) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行なう) Λは、前記N台の端末の任意の(d+1)台からなる集
    合) を満たす秘密情報Siを秘密に保持しており、前記基地
    局は、 SN+1=S+f1×(N+1)+…+fd×(N+1)d mod
    q,・・・,SN+d-1=S+f1×(N+d−1)+…+f
    d×(N+d−1)d modq を計算することにより分割された秘密情報SN+1,…,S
    N+d-1と前記秘密情報S1,…,SNと、前記秘密鍵S、前
    記法p、前記GF(p)の元gを保持し、(1)前記基地
    局は、準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記D台の特定端末i
    1,…,iDの秘密情報Si1,…,SiDと前記秘密情報SN+1,
    …,SN+d-1の内任意のv(=d−D)個の秘密情報Sb1,
    …,S bvとから、排除情報 C21=g∧(k×Si1 modq) modp,・・・, C2D=g∧(k×SiD modq) modp, C2b1=g∧(k×Sb1 modq) modp,・・・, C2bv=g∧(k×Sbv modq) modp を計算し、上記排除情報C21,…,C2DとC2b1,…,C2bv
    と前記準備情報C1と特定端末番号i1,…,iDおよび前
    記秘密情報Sb1,…,Sbvの番号b1,…,bvを全端末に同
    報通信し、(3)前記基地局は、前記特定端末i1,…,
    Dを除く全ての端末j(j≠i1,…,iD)との共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠i1,…,iD)は、Λ=
    {j,i1,…,iD,b1,…,bv}として、λ(j,Λ),λ
    (i1,Λ),…,λ(iD,Λ),λ(ib1,Λ),…,λ(ibv,Λ)
    を求め、前記準備情報C1と前記排除情報C21,…,C2D,
    2b1,…,C2bvと自身の前記秘密情報Sjを用いて、べ
    き乗剰余値C1∧(Sj×λ(j,Λ) modq)と、べき乗剰
    余値 C21∧(λ(i1,Λ) modq)×…×C2D∧(λ(iD,Λ) mo
    dq)×Cb1∧(λ(b1,Λ) modq)×…×Cbv∧(λ(bv,
    Λ) modq) modp) との積 C1∧(Sj×λ(j,Λ) modq)×C21∧(λ(i1,Λ) mod
    q)×…×C2D∧(λ(iD,Λ) modq)×Cb1∧(λ(b1,
    Λ) modq)×…×Cbv∧(λ(bv,Λ) modq) modp) を計算することにより、前記基地局との共有鍵Kを求め
    ることを特徴とする排他的鍵共有法。
  5. 【請求項5】 前記基地局は、前記秘密鍵Sを任意の整
    数e個の特定端末数d1,…,deに対してそれぞれ分割し
    たe組の秘密情報を保持し、一方、前記端末は各組の中
    から自身の端末番号に対応したe個の秘密情報を保持し
    ておき、前記特定端末を排除した鍵共有を行なう場合に
    は、前記基地局および前記端末jが、前記実際特定端末
    数Dと等しい前記特定端末数dw(1≦w≦e)を前記
    1,…,d eより選択し、前記基地局は選択された特定端
    末数dwに対応した1組の前記秘密情報を用いて前記準
    備情報と前記排除情報を同報通信し、端末との共有鍵K
    を求め、一方前記端末jはdwに対応した秘密情報を用
    いて基地局との共有鍵Kを求めることを特徴とする請求
    項3記載の排他的鍵共有法。
  6. 【請求項6】 前記秘密鍵Sを全端末の秘密鍵とし、前
    記Sを指数とし、前記pを法とする前記gのべき乗剰余
    値 y=gS modp を全端末の公開鍵とし、前記基地局は、全ての端末の分
    解された秘密情報S1,S 2,…,SNを秘密に保持し、
    (1)前記基地局は、整数kを任意に生成し、前記kを
    指数とし、前記pを法とする前記gのべき乗剰余値であ
    る準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記特定端末aの前記
    秘密情報Saを用いて前記kとの前記法q上での積を求
    め、これを指数とし、前記pを法とし、前記gを底とす
    る排除情報 C2=g∧(k×Sa modq) modp を計算し、(3)前記基地局は、前記kを指数とし、前
    記pを法とする前記全端末の公開鍵yのべき乗剰余値で
    ある共有鍵 K=yk modp を求め、同時に任意に前記端末j(j≠a)との共通デー
    タMを生成して、前記Mと前記共有鍵Kの法p上での積
    (以後、暗号文という) C3=M×K modp を計算して、前記準備情報C1と特定端末番号aと共に
    全端末に同報通信し、(4)前記各端末j(j≠a)は、
    Λ={j,a}として、λ(j,Λ)とλ(a,Λ)を求め、前
    記準備情報C1と前記排除情報C2と自身の前記秘密情報
    jを用いて、前記Sjと前記λ(j,Λ)の前記法q上で
    の積を指数とする前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とする前
    記C2のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) m
    odq) modp) を前記法p上で求め、さらに前記暗号文C3を法p上で
    前記Kで除した値 C3/K=M×K/K modp を前記基地局との前記共通データMとして求めることを
    特徴とする請求項1記載の排他的鍵共有法。
  7. 【請求項7】 前記全端末の秘密鍵Sを指数とし、前記
    pを法とする前記gのべき乗剰余値 y=gS modp を全端末の公開鍵とし、前記基地局は、端末の分解され
    た秘密情報S1,S2,…,SNそれぞれを指数とし、前記p
    を法とする前記gのべき乗剰余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記基地局は、前記整数kを任意に
    生成し、前記kを指数とし、前記pを法とする前記gの
    べき乗剰余値である準備情報 C1=gk modp(kは零でないGF(q)の元) を計算し、(2)前記基地局は、前記kを指数とし、前
    記pを法とする、前記特定端末aの公開情報yaのべき
    乗剰余値である排除情報 C2=ya k modp を計算し、(3)前記基地局は、前記kを指数とし、前
    記pを法とする前記全端末の公開鍵yのべき乗剰余値で
    ある前記共有鍵 K=yk modp=g∧(S×k) modp を求め、同時に任意に前記端末j(j≠a)との共通デー
    タMを生成して、前記Mと前記Kの法p上での積である
    前記暗号文 C3=M×K modp を計算し、前記準備情報C1と前記特定端末番号aと共
    に全端末に同報通信し、(4)前記各端末j(j≠a)
    は、Λ={j,a}として、λ(j,Λ)とλ(a,Λ)を求
    め、前記準備情報C1と前記排除情報C2と自身の前記秘
    密情報Sjを用いて、前記Sjと前記λ(j,Λ)の前記法
    q上での積を指数とし、前記C1を底とするべき乗剰余
    値 C1∧(Sj×λ(j,Λ) modq) modp と、前記法q上で求めた前記λ(a,Λ)を指数とし、前
    記C2を底とするべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) m
    odq) modp を前記法p上で求め、さらに前記暗号文C3を法p上で
    前記Kで除した値 C3/K modp=M×K/K modp を前記基地局との共通データMとして求めることを特徴
    とする請求項1記載の排他的鍵共有法。
  8. 【請求項8】 前記秘密鍵Sを前記基地局の秘密鍵と
    し、前記Sを指数とし、前記pを法とする前記gのべき
    乗剰余値 y=gS modp を基地局の公開鍵(ただし、端末には公開しない)と
    し、前記各端末は、前記基地局の秘密鍵Sの分解された
    秘密情報S1,S2,…,SNをそれぞれ秘密に保持し、前記
    基地局は、端末の分解された秘密情報S1,S2,…,SN
    れぞれを指数とし、前記pを法とする前記gのべき乗剰
    余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN mod
    p を利用でき、(1) 前記基地局は、(1-a)整数kを任意
    に生成し、法q上で求めた(−k)を指数とし、前記p
    を法とする前記gのべき乗剰余値 C0=g∧(−k modq) modp を計算し、(1-b)前記特定端末aを除く全ての端末j(j
    ≠a)との共通データMを生成して、前記Mと前記C0
    の法p上での積 r=M×C0 modp を求め、(1-c)前記rの前記qで除したときの剰余 r'=r modq を求め、(1-d)前記r'、前記k、前記基地局の秘密鍵S
    を用いて、 k=s−r'×S modq を満たす値sを求め、(1-e)法q上で求めた(−r)を
    指数とし、前記pを法とする前記gのべき乗剰余値であ
    る準備情報 C1=g∧(−r modq) modp を計算し、(1-f)前記特定端末aの前記公開情報yaを用
    いて、法q上で求めた(−r)を指数とし、前記pを法
    とする前記yaのべき乗剰余値である排除情報 C2=ya∧(−r modq) modp を計算し、(1-g)前記(r,s)をMの署名として前記
    1,C2とともに全端末に同報通信し、(2)前記各端
    末j(j≠a)は、Λ={j,a}として、λ(j,Λ)とλ
    (a,Λ)を求め、前記準備情報C1と前記排除情報C2
    自身の前記秘密情報Sjを用いて、前記Sjと前記λ(j,
    Λ)の法q上での積を指数とする前記C1のべき乗剰余値 C1∧(Sj×λ(j,Λ) modq) modp と、法q上で求めた前記λ(a,Λ)を指数とする前記C2
    のべき乗剰余値 C2∧(λ(a,Λ) modq) modp との積 K=C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) modq) modp =y∧(−r modq) modp を前記法p上で求め、また、前記sを指数とする前記g
    のべき乗剰余値と、前記rおよび、前記Kの法p上での
    積 r×gs×K modp を計算することにより、前記共通データMを求めること
    を特徴とする請求項1記載の排他的鍵共有法。
  9. 【請求項9】 前記全端末の秘密鍵Sを指数とし、前記
    pを法とする前記gのべき乗剰余値 y=gS modp を全端末の公開鍵とし、前記基地局は、端末の分解され
    た秘密情報S1,S2,…,SNそれぞれを指数とし、前記p
    を法とする前記gのべき乗剰余値である公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記基地局は、前記整数kを任意に
    生成し、前記kを指数とし、前記pを法とする前記gの
    べき乗剰余値である準備情報 C1=gk modp を計算し、(2)前記基地局は、前記kを指数とし、前
    記pを法とし、前記特定端末aの公開情報yaのべき乗
    剰余値である排除情報 C2=ya k modp を計算し、(3)前記基地局は、前記kを指数とし、前
    記pを法とする前記全端末の公開鍵yのべき乗剰余値
    を、前記特定端末aを除く全ての端末j(j≠a)との共
    有鍵 K=yk modp として求め、(4)前記端末jでは、前記準備情報C1
    と前記排除情報C2と自身の秘密情報S jを用いて、前記
    jと前記λ(j,Λ)の前記法q上での積を指数とする、
    前記C1のべき乗剰余値と、前記法q上で求めた前記λ
    (a,Λ)を指数とする、前記C2のべき乗剰余値との積 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
    q) modp を前記法p上で計算することにより、前記基地局との共
    有鍵Kを求めることを特徴とする請求項1記載の排他的
    鍵共有法。
  10. 【請求項10】 前記各端末は、前記秘密情報S1
    …,SNをそれぞれ秘密に保持し、前記N台の端末の任
    意の2台以上のt台からなる集合をΛとしたとき、
    (1)前記基地局は整数kを用いて、前記kを指数と
    し、前記pを法とし、前記gを底とする前記準備情報 C1=gk modp を計算し、(2)前記基地局は、t台の特定端末i1,
    …,itの任意のij(j=1,…,t)に対して次の式を満
    たす共有情報Xijij=Π(g∧(Su×k)) modp(積はu∈Λ−{ij}
    についてとる) を計算し、全ての共有情報Xijと前記準備情報C1を全
    端末に同報通信し、(3)前記基地局は、前記特定端末
    の秘密情報Si1,…,Sitを用いて次の式を満たすKを計
    算して前記t台の特定端末との共有鍵Kとし、 K=gx modp, x=k×ΣSij modq(和はj=1〜tについてと
    る) (4)前記特定端末ijは、前記pを法とし、自身の前
    記秘密情報Sijを指数とする前記C1のべき乗剰余値と
    前記Xijの積 Xij×C1 Sij modp を法p上で計算することにより、前記基地局との共有鍵
    Kを求めることを特徴とする請求項1記載の排他的鍵共
    有法。
  11. 【請求項11】 前記秘密鍵Sの分割を前記基地局が行
    ない、あらかじめ前記基地局と前記端末に備えられた暗
    号通信手段により、対応する端末に配布することを特徴
    とする請求項1記載の排他的鍵共有法。
  12. 【請求項12】 前記基地局とは別の第3機関が、前記
    秘密鍵Sの分割、べき乗剰余値y、公開情報y1,y2,
    …,yNの算出と公開、および前記端末aに対応したSa
    の埋め込みを行なうことを特徴とする請求項9記載の排
    他的鍵共有法。
  13. 【請求項13】 前記各端末i(1≦i≦N)は前記秘密
    情報Siを、秘密に保持し、前記各端末iは、前記整数
    0(=S),f1,…,fdをそれぞれ指数とし、前記pを
    法とする前記gのべき乗剰余値(以後、検証情報とい
    う)gf0,gf1,…,gfdを利用でき、前記各端末aは、
    検証情報と自身の前記秘密情報Siを用いて次の計算を
    行ない、 gSi=Π(g∧(fj×aj) modp(積はj=0〜dに
    ついてとる) 両辺が等しいか否かを判定することにより、自身の秘密
    情報Siの正当性を確認することを特徴とする請求項3
    記載の排他的鍵共有法。
  14. 【請求項14】 前記同報通信可能な通信システムに新
    規に加入する端末に対して、新たな端末番号I(I>
    N)を設定し、 SI=S+f1×I を計算することにより求められた秘密情報SIを秘密に
    保持させることを特徴とする請求項1記載の排他的鍵共
    有法。
  15. 【請求項15】 前記端末iは、前記秘密情報Siの代
    わりに前記pを法とし、前記Siを指数とする前記C1
    べき乗剰余値(=C1 Si modp)を秘密に保存すること
    を特徴とする請求項1記載の排他的鍵共有法。
  16. 【請求項16】 前記基地局が、前記特定端末を含む全
    ての前記Λについての前記λ(i,Λ)を求め、前記法q
    上で求めた各前記λ(i,Λ)を指数とし、前記pを法と
    する前記排除情報C2のべき乗剰余値 C2∧(λ(i,Λ) modq) modp を計算し、鍵共有時に同報通信し、前記特定端末aを除
    く全ての端末j(j≠a)では、前記jを含む前記Λに対
    応した前記べき乗剰余値 C2∧(λ(i,Λ) modq) modp) を用いて共有鍵Kを求めることを特徴とする請求項1記
    載の排他的鍵共有法。
  17. 【請求項17】 前記基地局と前記特定端末aを除く全
    ての端末j(j≠a)が共有した前記共有鍵Kと前回の鍵
    共有時に共有した共有鍵K1から新規共有鍵K2を生成す
    ることを特徴とする請求項1記載の排他的鍵共有法。
  18. 【請求項18】 前記基地局と前記端末にあらかじめ備
    えられたディジタル署名手段において、基地局から配送
    されるデータに対して基地局のディジタル署名を付加す
    ることを特徴とする請求項1記載の排他的鍵共有法。
  19. 【請求項19】 前記基地局の第1、第2、第3の基地
    局側記憶部および前記端末の第1、第2の端末側記憶部
    は、外部より観測したり変更できない領域とすることを
    特徴とする請求項2記載の排他的鍵共有装置。
  20. 【請求項20】 構成されるグループの規模が全端末の
    半数を超える場合には請求項1記載の排他的鍵共有法を
    適応し、構成されるグループの規模が全端末の半数を超
    えない場合には請求項10記載の排他的鍵共有法を適応
    するように自動的に選択することを特徴とする請求項1
    および10記載の排他的鍵共有法。
  21. 【請求項21】 前記端末が保持する秘密情報の数を、
    端末の権限に応じて増減させることを特徴とする請求項
    1記載の排他的鍵共有法。
  22. 【請求項22】 相互に接続されたN台(Nは2以上の
    整数)の端末からなる同報通信が可能な通信システムの
    排他的鍵共有法において、秘密鍵をSとし、前記Sおよ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、議
    長端末(任意の端末がなることができる)が特定できる
    特定端末数を1とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
    元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
    いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、全端末の
    公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)前記議長端末は、零でないGF(q)
    の元kを任意に生成し、準備情報 C1=gk modp を計算し、(2)前記議長端末は、特定端末aの公開情
    報yaから排除情報 C2=ya k modp を計算し、特定端末番号aと準備情報C1と共に全端末
    に同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠a)は、Λ={j,a}
    として、λ(j,Λ)とλ(a,Λ)を求め、前記準備情報C
    1と前記排除情報C2と自身の秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
    q) modp を計算をすることにより、共有鍵Kを求めることを特徴
    とする排他的鍵共有法。
  23. 【請求項23】 相互に接続されたN台(Nは2以上の
    整数)の端末からなる同報通信が可能な通信システムの
    排他的鍵共有法において、秘密鍵をSとし、前記Sおよ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、前
    記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行なう) (ただし、 Si=S+f1×i modq(f1は零でないGF(q)の
    元) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}につ
    いて行なう) Λは、前記N台の端末の任意の2台からなる集合) を満たす秘密情報Siを秘密に保持しており、全端末の
    公開鍵 y=gS modp と、各端末の公開鍵 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp を利用でき、(1)ある端末aは、零でないGF(q)の
    元kを任意に生成し、準備情報 C1=gk modp を計算し、(2)前記端末aは、自身の公開鍵yaから
    排除情報 C2=ya k modp を計算し、端末番号aと準備情報C1と共に全端末に同
    報通信し、(3)前記端末aは、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠a)は、Λ={j,a}
    として、λ(j,Λ)とλ(a,Λ)を求め、前記準備情報C
    1と前記排除情報C2と自身の秘密情報Sjを用いて、 C1∧(Sj×λ(j,Λ) modq)×C2∧(λ(a,Λ) mod
    q) modp を計算をすることにより、共有鍵Kを求めることを特徴
    とする排他的鍵共有法。
  24. 【請求項24】 各端末が自身の公開鍵以外の全ての公
    開鍵を保有することを特徴とする請求項22記載の排他
    的鍵共有法。
  25. 【請求項25】 前記乗法演算を、任意の有限体上の楕
    円曲線などの曲線上の加法演算に対応させることを特徴
    とする請求項1、3〜17、20〜24記載の排他的鍵
    共有法。
JP10368817A 1998-12-25 1998-12-25 排他的鍵共有法 Expired - Fee Related JP3074164B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP10368817A JP3074164B2 (ja) 1998-12-25 1998-12-25 排他的鍵共有法
US09/622,941 US6813357B1 (en) 1998-12-25 1999-12-22 Exclusive key sharing method
PCT/JP1999/007234 WO2000039957A1 (fr) 1998-12-25 1999-12-22 Procede de partage de cle exclusive
EP99961331A EP1059762B1 (en) 1998-12-25 1999-12-22 Exclusive key sharing method
DE69940842T DE69940842D1 (de) 1998-12-25 1999-12-22 Verfahren zur gemeinsamen nutzung eines exklusiven schlüssels

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10368817A JP3074164B2 (ja) 1998-12-25 1998-12-25 排他的鍵共有法

Publications (2)

Publication Number Publication Date
JP2000196581A JP2000196581A (ja) 2000-07-14
JP3074164B2 true JP3074164B2 (ja) 2000-08-07

Family

ID=18492838

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10368817A Expired - Fee Related JP3074164B2 (ja) 1998-12-25 1998-12-25 排他的鍵共有法

Country Status (1)

Country Link
JP (1) JP3074164B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002096139A1 (en) * 2001-05-23 2002-11-28 Qualcomm Incorporated Synchronization of stored service parameters in a communication system
KR101466780B1 (ko) 2009-03-03 2014-11-28 케이디디아이 가부시키가이샤 키 공유 시스템, 통신 단말, 관리 장치, 키 공유 방법 및 컴퓨터 프로그램
JP5347597B2 (ja) * 2009-03-13 2013-11-20 カシオ計算機株式会社 秘密情報管理システム、秘密情報管理装置及びプログラム
JP5911289B2 (ja) * 2011-12-16 2016-04-27 セコム株式会社 鍵管理システム
JP6965832B2 (ja) 2018-05-29 2021-11-10 日本電信電話株式会社 投票システム、投票中継サーバ、クライアント端末、投票方法、広告配信システム、及びプログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
安斉潤 他;"マスク付きグループ鍵共有法"1999年暗号と情報セキュリティシンポジウム予稿集 Vol.2/2(1999.1.26)p.835−840
松崎なつめ 他;"マスク付きグループ鍵共有を少量の加入者計算で行う方法"2000年暗号と情報セキュリティ・シンポジウム(2000.1.27)C−18
松崎なつめ 他;"マスク付きグループ鍵共有法(その2)"電子情報通信学会技術研究報告(SST98−113〜129)Vol.98,No.657(1999.3.10)p.67−72

Also Published As

Publication number Publication date
JP2000196581A (ja) 2000-07-14

Similar Documents

Publication Publication Date Title
JP4588874B2 (ja) 内在的証明書方式
JP2606419B2 (ja) 暗号通信システムと暗号通信方法
US5796833A (en) Public key sterilization
EP1526676B1 (en) Conference session key distribution method on an id-based cryptographic system
US8429408B2 (en) Masking the output of random number generators in key generation protocols
CN108667625B (zh) 协同sm2的数字签名方法
JP2003298568A (ja) 鍵供託を使用しない、認証された個別暗号システム
WO2003094422A1 (fr) Systeme de communication chiffree, serveur de remise de cle associe, terminal, et procede de partage de cle
WO2000039957A1 (fr) Procede de partage de cle exclusive
JP3074164B2 (ja) 排他的鍵共有法
EP2395698B1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
CN108964906B (zh) 协同ecc的数字签名方法
JPH10177341A (ja) Rsa暗号における秘密鍵預託方法およびシステム
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
JP3074168B1 (ja) 排他的鍵共有法
US7035405B1 (en) Method for establishing a common key between a central station and a group of subscribers
KR20050057474A (ko) 공통 비밀 키를 생성하는 방법 및 시스템
JP3233605B2 (ja) 鍵更新方法
JP2865654B1 (ja) 鍵更新方法
JP3032192B1 (ja) 排他的鍵共有法
Mishra et al. A certificateless authenticated key agreement protocol for digital rights management system
Ahmedova et al. Generation and distribution secret encryption keys with parameter
JPH06112935A (ja) 暗号通信方法
JPH11168459A (ja) 同報暗号通信における暗復号化鍵の配送方法
JPH07118709B2 (ja) 秘密情報通信方式

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090602

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090602

Year of fee payment: 9

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090602

Year of fee payment: 9

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100602

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100602

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110602

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120602

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120602

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130602

Year of fee payment: 13

LAPS Cancellation because of no payment of annual fees