JP3074168B1 - 排他的鍵共有法 - Google Patents

排他的鍵共有法

Info

Publication number
JP3074168B1
JP3074168B1 JP11062247A JP6224799A JP3074168B1 JP 3074168 B1 JP3074168 B1 JP 3074168B1 JP 11062247 A JP11062247 A JP 11062247A JP 6224799 A JP6224799 A JP 6224799A JP 3074168 B1 JP3074168 B1 JP 3074168B1
Authority
JP
Japan
Prior art keywords
modp
terminal
modq
information
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP11062247A
Other languages
English (en)
Other versions
JP2000261425A (ja
Inventor
潤 安齋
なつめ 松崎
勉 松本
Original Assignee
株式会社高度移動通信セキュリティ技術研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社高度移動通信セキュリティ技術研究所 filed Critical 株式会社高度移動通信セキュリティ技術研究所
Priority to JP11062247A priority Critical patent/JP3074168B1/ja
Priority to EP99961331A priority patent/EP1059762B1/en
Priority to PCT/JP1999/007234 priority patent/WO2000039957A1/ja
Priority to US09/622,941 priority patent/US6813357B1/en
Priority to DE69940842T priority patent/DE69940842D1/de
Application granted granted Critical
Publication of JP3074168B1 publication Critical patent/JP3074168B1/ja
Publication of JP2000261425A publication Critical patent/JP2000261425A/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【要約】 【課題】 特定の端末だけを排除して他の端末で分配鍵
情報を共有する。 【解決手段】 6台の端末からなる同報通信が可能な通
信システムにおいて、各端末は、秘密情報Siを秘密に
保持する。議長端末は、共有鍵Kを求め、排除情報C
2、署名Zを計算し、署名Zを排除情報C2と特定端末番
号と自身の端末番号φと共に全端末に同報通信する。各
端末は、議長端末の公開情報を用いてC1を求める。署
名者が確かに議長端末φであり、かつ署名Zと排除情報
C2と特定端末番号と議長端末の端末番号φが改ざんさ
れていなければ、C1=gk modpとなる。各端末は、C
1と排除情報C2と自身の秘密情報Sjを用いて、共有鍵
Kを求める。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、基地局と複数端末
からなるスター型通信システムおよびシステム管理者と
複数の端末のみからなる通信システムにおける暗号鍵共
有方法に関し、特に、基地局が特定した端末以外のすべ
ての端末に共通の秘密鍵を安全に配送する鍵共有方法、
および特定の端末のみに共有の秘密鍵を安全に配送する
鍵共有方法に関する。
【0002】
【従来の技術】基地局が複数の端末を管理するスター型
通信システムにおいて、基地局と傘下の複数の端末がグ
ループを形成し、グループで同じグループ秘密鍵を共有
して同報の暗号通信を行なう場合を考える。グループ秘
密鍵を用いて暗号化された情報は、同じ秘密鍵を保有す
るグル−プ内の端末だけが復号することができる。
【0003】ところで、このグループから特定の端末を
排除したい場合が生じうる。それは、例えばグループ内
のある端末が盗難にあい、その端末を用いた暗号通信の
盗聴や偽情報の送信などの不正が考えられる場合などで
ある。このとき、この秘密鍵を管理する基地局は、でき
るだけ速やかに、盗難にあった端末を排除してグループ
秘密鍵を更新し、残りの端末だけで新たな秘密鍵を共有
することが必要となる。
【0004】また、新たにグループを構成する必要が生
じうる。それは、グループ外の端末をグループに加入さ
せる場合や、別のグループの端末を一つのグループにす
る場合などである。このとき、基地局は、できるだけ速
やかに、新規グループの鍵をグループを構成する端末と
共有することが必要となる。
【0005】図7は、基地局が特定した端末以外で鍵デ
ータを共有するための、第1の従来例における鍵更新方
法を示す。図7では、5個の端末T1〜T5が、それぞれ
固有鍵k1〜k5を保持しており、基地局が全端末の固有
鍵を管理している。このとき、例えば基地局が端末T1
を排除して、他の端末T2〜T5に新しい共通の秘密鍵を
配付する場合について説明する。
【0006】まず、基地局は秘密鍵Kを生成し、これを
それぞれk2〜k5を鍵として暗号化し、それぞれ端末T
2〜T5に配送する。排除される端末T1以外の各端末T2
〜T 5では固有鍵を用いてこれを復号し、秘密鍵Kを獲
得する。なお、図7中において、例えばEk2(K)は、
Kを固有鍵k2で暗号化した暗号文である。この通信路
上のデータは、それぞれ端末T2〜T5の固有鍵で暗号化
されているため、たとえ端末T1がこの通信データを盗
聴したとしても、基地局が生成した秘密鍵Kを獲得する
ことができない。
【0007】しかし、この方法では、一般にN個の端末
から1つの端末を排除するためには、基地局は(N−1)
回の暗号化を行ない、(N−1)個のデータを送信しなく
てはならない。グループが大きくなると、この作業は基
地局にとって非常に負担になる。また、全局更新までは
グループ内の暗号通信等の業務を停止する必要がある
が、(N−1)局に配り終えるまでの業務停止期間が長い
と大きな問題である。
【0008】図8は、特公平5-46731号公報に示された
第2の従来例における鍵更新方法である。第2の従来例
では、公開鍵暗号の手法を用いている。図8では、5個
の端末T1〜T5が、それぞれ固有の秘密鍵(e1,d1)〜
(e5,d5)を保持している。ここで、各秘密鍵(ei,di)
は、 ei・di mod(p-1)=1(pはシステム公開の素数) が成り立っているものとする。基地局1は全端末の公開
鍵 p1=ge1 modp,・・・,p5=ge5 modp を管理している。ここでgはシステム公開の整数であ
り、各端末の公開鍵piおよびシステム公開の情報g,
pから各端末の秘密鍵(ei,di)を求めることは、ビッ
ト長を長く取れば離散対数問題に帰着して困難である。
従来例1と同様に、端末T1を排除する場合、まず、基
地局は乱数Rを生成し、鍵 K=gR modp を生成するとともに、これより Z2=p2 R modp,・・・,Z5=p5 R modp を求めて、端末T1を除いた各T2〜T5に配送する。端
末T1以外の各端末iでは、受け取ったZiと秘密鍵di
を用いて、基地局と共通の更新鍵K K=Zi di modp(=(pi R)di modp=((gei)di)R mod
p=gR modp) を獲得する。
【0009】この方法は、第1の従来例と異なり、基地
局が各端末の秘密鍵を知り得ないため、基地局の不正を
防止できる点で、第1の従来例より安全性が向上してい
る。しかし、これら従来の鍵共有方法では、N個の端末
から1つの端末を排除するためには、基地局は(N−
1)回の暗号化を行ない、(N−1)個のデータを送信
しなくてはならない。例えば、1000個の端末から1個の
端末を排除して、残りの999個の端末で新たな共通の秘
密鍵を共有する場合を考える。このとき、第1および第
2の従来例では、999回の暗号化の処理と999個の暗号文
の送信を行なう必要がある。いずれにしても、基地局側
にとって、これら作業は非常に負担なものとなる。
【0010】かかる点に鑑み、本発明者は先に、特定の
端末だけを排除して、他の端末で分配鍵情報を共有する
方法、および特定の端末だけで分配鍵情報を共有する方
法であって、次の点を特徴とする鍵共有方法を提案し
た。 (1)基地局から端末または議長端末から端末への通信
量が少ない。 (2)全端末の鍵共有までの業務停止期間が短い。
【0011】図9に、この第3の従来例の鍵共有方法を
示す。基地局0は、セットアップフェーズにおいて、秘
密鍵Sを作成して、秘密に保持する。秘密鍵Sを分割し
た秘密情報Siを、各端末1〜5に暗号通信手段を用い
て秘密に配送する。準備フェーズにおいて、基地局0
は、準備情報C1(=gk modp)と排除情報C2(=y5 km
odp)と暗号文C3(=M×K modp)および特定端末
番号5を全端末に同報通信する。鍵共有フェーズでは、
端末1は、準備情報C1と、排除情報C2を用いて、C1
∧(λ(1,Λ) modq) modpと、C2∧(λ(5,Λ) mod
q) modpとの積を計算してKを得て、暗号文C3をKで
除してMを求めて基地局0との共通データとする。端末
2〜4でも同様に行ない、端末1〜4で共通データMを
共有することができる。
【0012】
【発明が解決しようとする課題】しかし、上記第3の従
来例の鍵共有方法では、基地局が真正なものか否かを確
認する手段がないので、不正な無線局が基地局になりす
まして、共通データを改ざんする攻撃などに対して、決
定的な防御方法がないという問題がある。また、単純な
公開鍵方式を利用しているので、第3者による能動的攻
撃が許される場合には、適応的選択暗号文攻撃に弱い可
能性があるという問題がある。
【0013】本発明は、上記従来の問題を解決し、通信
量を増加させることなく、署名機能を付加することで、
なりすまし攻撃や改ざん攻撃に対して強い鍵共有方法を
実現することを目的とする。また、Cramer-Shoup暗号を
ベースとすることで、適応的選択暗号文攻撃に対して強
い鍵共有方法を実現することを目的とする。
【0014】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、相互に接続されたN台(Nは2以上
の整数)の端末からなる同報通信が可能な通信システム
の排他的鍵共有法を、秘密鍵をSとし、SおよびNより
大きい素数または素数のべき数をpとし、(p−1)の
約数をqとし、GF(p)の元をgとし、議長端末φ(任
意の端末がなることができる)が特定できる特定端末数
をd(1≦d<N−1)とし、各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、ΛはN台の端末の任意の(d+1)台からなる集
合)を満たす秘密情報Siを秘密に保持しており、シス
テムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、素数pと約数qと元gを利用でき、(1)議長端末
は、零でないGF(q)の元kを任意に生成し、d台の特
定端末i 1,…,idの公開情報yi1,…,yidから、排除情
報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)議長端末は、自身の秘密情報Sφを用
いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、署名Zを排除情報C2i1,…,C2idと特定端末
番号i1,…,idと自身の端末番号φと共に全端末に同報
通信し、(3)議長端末は、共有鍵 K=yk modp を求め、(4)各端末j(j≠i1,…,id,φ)は、議長
端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id modq) modp (署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
末の端末番号φが改ざんされていなければ、C1=gk m
odpとなる。)を求め、(5)各端末jは、Λ={j,i
1,…,id }として、λ(j,Λ)とλ(i1,Λ),…,λ(id,
Λ)を求め、C1と排除情報C2i1,・・・,C2idと自身の
秘密情報Sjを用いて、C1∧(Sj×λ(j,Λ) modq)×
C2i1∧(λ(i1,Λ) modq)×・・・×C2i d∧(λ(id,
Λ) modq) modpを計算することにより、共有鍵Kを求
める構成とした。
【0015】このように構成したことにより、少ない通
信量で、迅速に特定の端末だけを排除して、他の端末で
分配鍵情報を共有すること、および特定の端末だけで分
配鍵情報を共有することができる。
【0016】
【発明の実施の形態】本発明の請求項1記載の発明は、
相互に接続されたN台(Nは2以上の整数)の端末から
なる同報通信が可能な通信システムの排他的鍵共有法に
おいて、秘密鍵をSとし、前記Sおよび前記Nより大き
い素数または素数のべき数をpとし、(p−1)の約数
をqとし、GF(p)の元をgとし、議長端末φ(任意の
端末がなることができる)が特定できる特定端末数をd
(1≦d<N−1)とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報Siを秘密に保持しており、シ
ステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、前記素数pと前記約数qと前記元gを利用でき、
(1)前記議長端末は、零でないGF(q)の元kを任意
に生成し、d台の特定端末i1,…,idの公開情報yi1,
…,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、自身の秘密情報Sφ
を用いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、前記署名Zを排除情報C2i1,…,C2idと特定
端末番号i1,…,idと自身の端末番号φと共に全端末に
同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
議長端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id modq) modp
(署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
末の端末番号φが改ざんされていなければ、C1=gk m
odpとなる。)を求め、(5)前記各端末jは、Λ=
{j,i1,…,id}として、λ(j,Λ)とλ(i1,Λ),…,λ
(id,Λ)を求め、前記C1と前記排除情報C2i1,・・・,
C2idと自身の秘密情報Sjを用いて、C1∧(Sj×λ
(j,Λ) modq)×C2i1∧(λ(i1,Λ) modq)×・・・
×C2id∧(λ(id,Λ) modq) modpを計算することに
より、共有鍵Kを求める排他的鍵共有法であり、各端末
が署名を検証して正しいデータであることを確認してか
ら、特定端末以外の端末で鍵共有を可能とするという作
用を有する。
【0017】本発明の請求項2記載の発明は、請求項1
記載の排他的鍵共有法において、相互に接続されたN台
(Nは2以上の整数)の端末からなる同報通信が可能な
通信システムの排他的鍵共有法において、秘密鍵をSと
し、前記Sおよび前記Nより大きい素数または素数のべ
き数をpとし、(p−1)の約数をqとし、GF(p)の
元をgとし、議長端末φ(任意の端末がなることができ
る)が特定できる特定端末数をd(1≦d<N−1)と
し、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報Siを秘密に保持しており、シ
ステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、ハッシュ関数hash( )と前記素数pと前記約数qと
前記元gを利用でき、(1)前記議長端末は、零でない
GF(q)の元kを任意に生成し、d台の特定端末i1,
…,idの公開情報yi1,…,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、前記ハッシュ関数ha
sh( )を用いて前記排除情報C2i1,…,C2idを圧縮した
ハッシュ値 H=hash(C2i1,…,C2id) を求め、(3)前記議長端末は、自身の秘密情報Sφを
用いて署名 Z=H×(−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2idと特定
端末番号i1,…,idと自身の端末番号φと共に全端末に
同報通信し、(4)前記議長端末は、共有鍵 K=yk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
前記ハッシュ関数hash( )を用いて前記排除情報C2i1,
…,C2idを圧縮したハッシュ値H'を求め、(6)前記
各端末jは、議長端末の公開情報yφを用いて C1=gZ×yφH' modp (署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
末の端末番号φが改ざんされていなければ、C1=gk m
odpかつH'=Hとなる。)を求め、(7)前記各端末
jは、Λ={j,i1,…,id}として、λ(j,Λ)とλ
(i1,Λ),…,λ(id,Λ)を求め、前記C1と前記排除情
報C2i1,・・・,C2idと自身の秘密情報Sjを用いて、
C1∧(Sj×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ) mo
dq) ×・・・×C2id∧(λ(id,Λ) modq) modpを計
算することにより、共有鍵Kを求めるものであり、排除
情報の増加による議長端末の演算量を削減しつつ、各端
末が署名を検証して正しいデータであることを確認して
から、特定端末以外の端末で鍵共有を可能とするという
作用を有する。
【0018】本発明の請求項3記載の発明は、請求項1
および2記載の排他的鍵共有法において、相互に接続さ
れたN台(Nは2以上の整数)の端末からなる同報通信
が可能な通信システムの排他的鍵共有法において、秘密
鍵をSとし、前記Sおよび前記Nより大きい素数または
素数のべき数をpとし、(p−1)の約数をqとし、G
F(p)の元をgとし、議長端末φ(任意の端末がなるこ
とができる)が特定できる特定端末数をd(1≦d<N
−1)とし、鍵共有時に実際に前記議長端末が特定する
端末数(以下、実際特定端末数という)Dを、前記特定
端末数dより小さい1以上の数とし、前記各端末i(1
≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報Siを秘密に保持しており、 SN+1=S+f1×(N+1)1+…+fd×(N+1)d mod
q,・・・,SN+d-1=S+f1×(N+d−1)1+…+
d×(N+d−1)d modq を計算することにより分割された秘密情報SN+1,…,S
N+d-1と、前記秘密情報S 1,・・・,SNより求めた公開
情報 y1=gS1 modp,・・・,yN=gSN modp,yN+1=g
SN+1 modp,・・・,yN+d-1=gSN+d-1 modp と、システムの公開鍵 y=gS modp と、前記素数pと前記約数qと前記元gを利用でき、
(1)前記議長端末は、前記D台の特定端末i1,…,iD
の公開情報yi1,…,yiDと前記公開情報yN+1,…,y
N+d-1の内任意のv(=d−D)個の公開情報yb1,…,y
bvとから、排除情報 C2i1=yi1 k modp,・・・,C2iD=yiD k modp,C2b1
=yb1 k modp,・・・,C2bv=ybv k modp (kは零でないGF(q)の元)を計算し、(2)前記議
長端末は、自身の秘密情報Sφを用いて署名 Z=C2i1×・・・×C2iD×C2b1×・・・×C2bv×
(−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2iD,C
2b1,…,C2bvと特定端末番号i1,…,iDと前記公開情報
b1,…,ybvに対応した端末番号b1,…,bvと自身の端
末番号φと共に全端末に同報通信し、(3)前記議長
は、前記特定端末i1,…,iDを除く全ての端末j(j≠
1,…,i D,b1,…,bv,φ)との共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,iD,b1,…,
v,φ)は、議長端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2iD×C2b1×・・
・×C2bv modq) modp (署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2iD,C2 b1,…,C2bvと特定端末番号
1,…,iDと前記公開情報yb1,…,ybvに対応した端末
番号b1,…,bvと議長端末の端末番号φが改ざんされて
いなければ、C1=gk modpとなる。)を求め、(5)
前記各端末jは、Λ={j,i1,…,iD,b1,…,bv}とし
て、λ(j,Λ),λ(i1,Λ),…,λ(iD,Λ),λ(b1,Λ),
…,λ(bv,Λ)を求め、前記C1と前記排除情報C2i1,
…,C2iD,C2b1,…,C2bvと自身の前記秘密情報Sjを用
いて、べき乗剰余値C1∧(Sj×λ(j,Λ) modq)と、
べき乗剰余値C2i1∧(λ(i1,Λ) modq),…,C2iD
(λ(iD,Λ) modq)×C2b1∧(λ(b1,Λ) modq),…,
C2bv∧(λ(bv,Λ) modq)との法p上での積C1∧(Sj
×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ)modq)×…×
C2iD∧(λ(iD,Λ) modq)×C2b1∧(λ(b1,Λ) mod
q)×…×C2b v∧(λ(bv,Λ) modq) modpを計算する
ことにより、前記基地局との共有鍵Kを求めるものであ
り、予め特定端末数dを決定しておいても実際の特定端
末数Dの特定端末i1,…,iDを除いた端末で鍵共有を行
なうことを可能とするという作用を有する。
【0019】本発明の請求項4記載の発明は、請求項1
および2記載の排他的鍵共有法において、前記議長端末
は、秘密鍵Sを任意の整数θ個の特定端末数d1,…,d
θに対してそれぞれ分割したθ組の秘密情報より作成さ
れた公開情報を利用でき、一方、前記端末は各組の中か
ら自身の端末番号に対応したθ個の秘密情報を保持して
おき、前記特定端末を排除した鍵共有を行う場合には、
前記議長端末および前記端末jが、前記実際特定端末数
Dと等しい前記特定端末数dw(1≦w≦θ)を前記d1,
…,dθより選択し、前記議長端末は選択された特定端
末数dwに対応した1組の前記公開情報を用いて前記署
名と前記排除情報と特定端末番号と自身の端末番号を同
報通信し、端末との共有鍵Kを求め、一方前記端末jは
署名を検証し、dwに対応した秘密情報を用いて議長端
末との共有鍵Kを求めるものであり、実際の特定端末数
Dの端末を除いた端末で鍵共有を行なうことを可能とす
るという作用を有する。
【0020】本発明の請求項5記載の発明は、請求項1
および2記載の排他的鍵共有法において、基地局と基地
局に接続されたN台(Nは2以上の整数)の端末からな
る同報通信が可能な通信システムの排他的鍵共有法にお
いて、秘密鍵をSとし、前記Sおよび前記Nより大きい
素数または素数のべき数をpとし、(p−1)の約数を
qとし、GF(p)の元をgとし、特定端末数をd(1≦
d<N−1)とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報Siを秘密に保持しており、基
地局μは、全ての前記秘密情報Siを秘密に保持してお
り、前記各端末iと前記基地局μは、基地局の公開情報 yμ=gSμ modp と、前記素数pと前記約数qと前記元gを利用でき、
(1)前記基地局は、零でないGF(q)の元kを任意に
生成し、d台の特定端末i1,…,idの公開情報yi1,…,
idから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記基地局は、自身の秘密情報Sμを
用いて署名 Z=C2i1×・・・×C2id×(−Sμ)+k modq を計算し、前記署名Zを排除情報C2i1,…,C2idと特定
端末番号i1,…,idと共に全端末に同報通信し、(3)
前記基地局は、共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
議長端末の公開情報yμを用いてC1=gZ×yμ∧(C2
i1×・・・×C2id modq) modp(署名者が確かに基地
局μであり、かつ署名Zと排除情報C2i1,…,C2idと特
定端末番号i1,…,idが改ざんされていなければ、C1
=gk modpとなる。)を求め、(5)前記各端末j
は、Λ={j,i1,…,id}として、λ(j,Λ)とλ(i1,
Λ),…,λ(id,Λ)を求め、前記C1と前記排除情報C2
i1,・・・,C2idと自身の秘密情報Sjを用いて、C1∧
(Sj×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ) modq)
×・・・×C2id∧(λ(id,Λ) modq) modpを計算す
ることにより、共有鍵Kを求めるものであり、各端末の
公開情報を管理する必要を無くしつつ、各端末が署名を
検証して正しいデータであることを確認してから、特定
端末以外の端末で鍵共有を可能とするという作用を有す
る。
【0021】本発明の請求項6記載の発明は、請求項1
記載の排他的鍵共有法において、相互に接続されたN台
(Nは2以上の整数)の端末からなる同報通信が可能な
通信システムの排他的鍵共有法において、秘密鍵をα1,
α2,β1,β2,γ1,γ2とし、前記α1,α2,β1,β2,γ1,
γ2および前記Nより大きい素数または素数のべき数を
pとし、(p−1)の約数をqとし、GF(p)の元をg
1,g2とし、議長端末φ(任意の端末がなることができ
る)が特定できる特定端末数をd(1≦d<N−1)と
し、前記各端末i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
iを秘密に保持しており、システムの公開鍵 Α=g1α12α2 modp,Β=g1β12β2 modp,Γ=
1γ12γ2 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
求めた公開情報 Α1=g1α112α21 modp,…,ΑN=g1α1N2α2N
modp Β1=g1β112β21 modp,…,ΒN=g1β1N2β2N
modp Γ1=g1γ112γ21 modp,…,ΓN=g1γ1N2γ2N
modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
ュ関数hash( )を利用でき、(1)前記議長端末は、零
でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
…,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{(c×k) modq} modp(c=hash(C11,
C12) modq),vi1=Αi1 kΒi1∧{(c×k) modq} mo
dp,・・・,vid=Αi1 kΒid∧{(c×k) modq} mod
p を計算し、上記排除情報C2i1,…,C2idと特定端末番号
1,…,idと共に全端末に同報通信し、(4)前記議長
端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
Λ={j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),
…,λ(id,Λ)を求め、前記システムの公開鍵Α,Βと自
身の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
{λ(id,Λ) modq} modp=v(c=hash(C11,C12) m
odq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
(i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
γ2jを用いて、(C11γ1jC12γ2j)∧{λ(j,Λ) mod
q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
(id,Λ) modq} modpを計算することにより、共有鍵
Kを求めるものであり、高い安全性を保ちつつ、特定端
末以外の端末で鍵共有を可能とするという作用を有す
る。
【0022】本発明の請求項7記載の発明は、請求項1
および6記載の排他的鍵共有法において、相互に接続さ
れたN台(Nは2以上の整数)の端末からなる同報通信
が可能な通信システムの排他的鍵共有法において、秘密
鍵をα1,α2,β1,β2,γ1,γ2とし、前記α1,α2,β1,
β2,γ1,γ2および前記Nより大きい素数または素数の
べき数をpとし、(p−1)の約数をqとし、GF(p)
の元をg1,g2とし、議長端末φ(任意の端末がなるこ
とができる)が特定できる特定端末数をd(1≦d<N
−1)とし、鍵共有時に実際に前記議長端末が特定する
端末数(以下、実際特定端末数という)Dを、前記特定
端末数dより小さい1以上の数とし、前記各端末i(1
≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
iを秘密に保持しており、システムの公開鍵 Α=g1α12α2 modp,Β=g1β12β2 modp,Γ=
1γ12γ2 modp と、 α1N+1=α1+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,α1N+d-1=α1+f1×(N+d−1)1+…
+fd×(N+d−1)d modq β1N+1=β1+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,β1N+d-1=β1+f1×(N+d−1)1+…
+fd×(N+d−1)d modq γ1N+1=γ1+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,γ1N+d-1=γ1+f1×(N+d−1)1+…
+fd×(N+d−1)d modq α2N+1=α2+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,α2N+d-1=α2+f1×(N+d−1)1+…
+fd×(N+d−1)d modq β2N+1=β2+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,β2N+d-1=β2+f1×(N+d−1)1+…
+fd×(N+d−1)d modq γ2N+1=γ2+f1×(N+1)1+…+fd×(N+1)d mo
dq,・・・,γ2N+d-1=γ2+f1×(N+d−1)1+…
+fd×(N+d−1)d modq を計算することにより分割された秘密情報α1N+1,…,α
1N+d-1,α2N+1,…,α2N +d-1とβ1N+1,…,β1N+d-1,β
2N+1,…,β2N+d-1とγ1N+1,…,γ1N+d-1,γ2N+1,…,γ
2N+d-1より求めた公開情報 ΑN+1=g1α1N+12α2N+1 modp,…,ΑN+d-1=g1
α1N+d-12α2N+d-1 modp ΒN+1=g1β1N+12β2N+1 modp,…,ΒN+d-1=g1
β1N+d-12β2N+d-1 modp ΓN+1=g1γ1N+12γ2N+1 modp,…,ΓN+d-1=g1
γ1N+d-12γ2N+d-1 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
求めた公開情報 Α1=g1α112α21 modp,…,ΑN=g1α1N2α2N
modp Β1=g1β112β21 modp,…,ΒN=g1β1N2β2N
modp Γ1=g1γ112γ21 modp,…,ΓN=g1γ1N2γ2N
modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
ュ関数hash( )を利用でき、(1)前記議長端末は、零
でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、前記D台の特定端末
1,…,iDの公開情報Γi1,…,ΓiDと前記公開情報Γ
N+1,…,ΓN+d-1の内任意のv(=d−D)個の公開情報Γ
b1,…,Γbvとから、排除情報 C2i1=Γi1 k modp,・・・,C2iD=ΓiD k modp,C2b1
=Γb1 k modp,・・・,C2bv=Γbv k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
iD=ΑiD kΒiD∧{c×k modq} modp vb1=Αb1 kΒb1∧{c×k modq} modp,・・・,v
bv=Αbv kΒbv∧{c×k modq} modp を計算し、前記検証情報v,vi1,…,viD,vb1,…,vbv
と前記排除情報C2i1,…,C2iDとC2b1,…,C2bvと特定
端末番号i1,…,iDと前記公開情報Γb1,…,Γbvに対応
した端末番号b1,…,bvと共に全端末に同報通信し、
(4)前記議長端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,iD,b1,…,
v,φ)は、Λ={j,i1,…,iD,b1,…,bv}として、
λ(j,Λ),λ(i1,Λ),…,λ(iD,Λ),λ(b1,Λ),…,
λ(bv,Λ)を求め、前記システムの公開鍵Α,Βと自身
の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×viD
{λ(iD,Λ) modq}×vb1∧{λ(b1,Λ) modq}×…×
bv∧{λ(bv,Λ) modq} modp=v(c=hash(C11,
C12) modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
(i1,Λ),…,λ(iD,Λ),λ(b1,Λ),…,λ(bv,Λ)と
前記準備情報C11,C12と前記排除情報C2i1,…,C2iD
とC2b1,…,C2bvと自身の前記秘密情報γ1j,γ2jを用
いて、(C11γ1jC12γ2j)∧{λ(j,Λ) modq}×C2
i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ(id,Λ)
modq}×C2 b1∧{λ(b1,Λ) modq}×・・・×C2
bv∧{λ(bv,Λ) modq} modpを計算することにより、
共有鍵Kを求めるものであり、高い安全性を保ちつつ、
予め特定端末数dを決定しておいても実際の特定端末数
Dの特定端末i1,…,iDを除いた端末で鍵共有を行なう
ことを可能とするという作用を有する。
【0023】本発明の請求項8記載の発明は、請求項1
および6記載の排他的鍵共有法において、前記議長端末
は、前記秘密鍵α1,α2,β1,β2,γ1,γ2を任意の整数
θ個の特定端末数d1,…,dθに対してそれぞれ分割し
たθ組の秘密情報より作成された公開情報を利用でき、
一方、前記端末は各組の中から自身の端末番号に対応し
たθ個の秘密情報を保持しておき、前記特定端末を排除
した鍵共有を行う場合には、前記議長端末および前記端
末jが、前記実際特定端末数Dと等しい前記特定端末数
w(1≦w≦θ)を前記d1,…,dθより選択し、前記議
長端末は選択された特定端末数dwに対応した1組の前
記公開情報を用いて前記検証情報と前記排除情報と特定
端末番号と自身の端末番号を同報通信し、端末との共有
鍵Kを求め、一方前記端末jは検証式を確認し、dw
対応した秘密情報を用いて議長端末との共有鍵Kを求め
るものであり、高い安全性を保ちつつ、実際の特定端末
数Dの端末を除いた端末で鍵共有を行なうことを可能と
するという作用を有する。
【0024】本発明の請求項9記載の発明は、請求項1
および6記載の排他的鍵共有法において、基地局と基地
局に接続されたN台(Nは2以上の整数)の端末からな
る同報通信が可能な通信システムの排他的鍵共有法にお
いて、秘密鍵をα1,α2,β1,β2,γ1,γ2とし、前記α
1,α2,β1,β2,γ1,γ2および前記Nより大きい素数ま
たは素数のべき数をpとし、(p−1)の約数をqと
し、GF(p)の元をg1,g 2とし、特定端末数をd(1≦
d<N−1)とし、前記各端末i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
iを秘密に保持しており、システムの公開鍵 Α=g1α12α2 modp,Β=g1β12β2 modp,Γ=
1γ12γ2 modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
ュ関数hash( )を利用でき、前記基地局は、前記秘密情
報α11,…,α1N,α21,…,α2N,β1i,…,β1N,β21,…,
β2N,γ1i,…,γ1N,γ21,…,γ2Nを保持しており、
(1)前記基地局は、零でないGF(q)の元kを任意に
生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記基地局は、d台の特定端末i1,
…,idの秘密情報γ1i1,…,γ1id,γ2 i1,…,γ2idから
排除情報 C2i1=g1∧{γ1i1×k modq} modp,・・・,C2id
=g2∧{γ2id×k modq} modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
2) modq) vi1=(g1α1i12α2i1k(g1β1i12β2i1)∧
{c×k modq} modp,・・・,vid=(g1α1id2
α2idk(g1β1id2β2id)∧{c×k modq} modp を計算し、上記排除情報C2i1,…,C2idと特定端末番号
1,…,idと共に全端末に同報通信し、(4)前記議長
端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
Λ={j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),
…,λ(id,Λ)を求め、前記システムの公開鍵Α,Βと自
身の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
{λ(id,Λ) modq} modp=v(c=hash(C11,C12)
modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
(i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
γ2jを用いて、(C11γ1jC12γ2j)∧{λ(j,Λ) mod
q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
(id,Λ) modq} modpを計算することにより、共有鍵
Kを求めるものであり、各端末の公開情報を管理する必
要を無くし高い安全性を保ちつつ、特定端末以外の端末
で鍵共有を可能とするという作用を有する。
【0025】本発明の請求項10記載の発明は、請求項
1および6記載の排他的鍵共有法において、相互に接続
されたN台(Nは2以上の整数)の端末からなる同報通
信が可能な通信システムの排他的鍵共有法において、秘
密鍵をα1,α2,β1,β2,γ1,γ2とし、前記α1,α2,β
1,β2,γ1,γ2および前記Nより大きい素数または素数
のべき数をpとし、(p−1)の約数をqとし、GF
(p)の元をg1,g2とし、議長端末φ(任意の端末がな
ることができる)が特定できる特定端末数をd(1≦d
<N−1)とし、前記各端末i(1≦i≦N)は、前記秘
密情報α1i,α2i,β1 i,β2i,γ1i,γ2iを秘密に保持し
ており、システムの公開鍵Α=g1α12α2 modp,Β
=g1β12β2 modp,Γ=g1γ12γ2 modpと、前
記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより求めた
公開情報 Α1=g1α112α21 modp,…,ΑN=g1α1N2α2N
modp Β1=g1β112β21 modp,…,ΒN=g1β1N2β2N
modp Γ1=g1γ112γ21 modp,…,ΓN=g1γ1N2γ2N
modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
ュ関数hash( )を利用でき、(1)前記議長端末は、零
でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
…,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、共有鍵 K=Γk modp を求め、(4)前記議長端末は、任意のグループ鍵Mを
生成し、共有鍵Kを用いて暗号文 C=M×K modp を求め、(5)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
id=Αi1 kΒid∧{c×k modq} modp を計算し、前記暗号文Cと前記検証情報v,vi1,…,v
idと前記排除情報C2i1,…,C2idと特定端末番号i1,
…,idと共に全端末に同報通信し、(6)前記各端末j
(j≠i1,…,id,φ)は、Λ={j,i1,…,id}として、
λ(j,Λ),λ(i1,Λ),…,λ(id,Λ)を求め、前記シス
テムの公開鍵Α,Βと自身の前記秘密情報α1j,α2j,β1
j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
{λ(id,Λ) modq} modp=v(c=hash(C11,C12)
modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(7)前記各端末jは、前記λ(j,Λ),λ
(i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
γ2jを用いて、(C11γ1jC12γ2j)∧{λ(j,Λ) mod
q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
(id,Λ) modq} modpを計算することにより、共有鍵
Kを求め、(8)前記各端末jは、前記共有鍵Kと暗号
文Cよりグループ鍵M=C/K modpを求めるものであ
り、高い安全性を保ちつつ、特定端末以外の端末で任意
の鍵の共有を可能とするという作用を有する。
【0026】本発明の請求項11記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記基地局
が、前記秘密鍵Sまたはα1,α2,β1,β2,γ1,γ2の分
割、前記公開鍵yまたはΑ,Β,Γ、公開情報y1,y2,
…,yNまたはΑ1,…,ΑN1,…,ΒN1,…,ΓNの算出
と公開、および前記端末iに対応した前記秘密情報Si
またはα1i,α2i,β1i,β2i,γ1i,γ2iの埋め込みを行
うものであり、秘密情報や公開情報を作成するための基
地局とは別の第三機関を不要にするという作用を有す
る。
【0027】本発明の請求項12記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記基地局
とは別の第三機関が、前記秘密鍵Sまたはα1,α2,β1,
β2,γ1,γ2の分割、前記公開鍵yまたはΑ,Β,Γ、公
開情報y1,y2,…,yNまたはΑ1,…,ΑN1,…,ΒN
1,…,ΓNの算出と公開、および前記端末iに対応した前
記秘密情報Siまたはα1i,α2i,β1i,β2i,γ1i,γ2i
埋め込みを行うものであり、秘密情報や公開情報を作成
するための基地局を不要にするという作用を有する。
【0028】本発明の請求項13記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記同報通
信可能な通信システムに新規に加入する端末に対して、
新たな端末番号I(I>N)を設定し、 SI=S+f1×I1+…+fd×Id modq を計算することにより求められた秘密情報SIまたは α1I=α1+f1×I1+…+fd×Id modq α2I=α2+f1×I1+…+fd×Id modq β1I=β1+f1×I1+…+fd×Id modq β2I=β2+f1×I1+…+fd×Id modq γ1I=γ1+f1×I1+…+fd×Id modq γ2I=γ2+f1×I1+…+fd×Id modq を秘密に保持させるものであり、新たに加入した端末に
対しても他の端末と同様に特定端末を除いた鍵共有を可
能とするという作用を有する。
【0029】本発明の請求項14記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記端末i
は、前記秘密情報Siまたはα1i,α2i,β1i,β2i,γ1i,
γ2iの代わりに前記pを法とし、前記Siまたはα1i
2i,β1i,β2i,γ1i,γ2iを指数とする前記C1または前
記C11,C12のべき乗剰余値(=C1 Si modpまたはC1 1
α1iC12α2i modp,C11β1iC12β2i modp,C11γ
1iC12γ2i modp)を秘密に保存するものであり、端末
同士が結託しても秘密鍵を求めることができないように
するという作用を有する。
【0030】本発明の請求項15記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記議長端
末または前記基地局が、前記特定端末を含む全ての前記
Λについての前記λ(i,Λ)を求め、前記法q上で求め
た各前記λ(i,Λ)を指数とし、前記pを法とする前記
排除情報C2iのべき乗剰余値C2i∧(λ(i,Λ) modq)
modpを計算し、鍵共有時に同報通信し、前記特定端末
を除く全ての端末jでは、前記jを含む前記Λに対応し
た前記べき乗剰余値を用いて共有鍵Kを求めるものであ
り、端末の計算量を少なくするという作用を有する。
【0031】本発明の請求項16記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記基地局
と前記特定端末を除く全ての端末jが共有した前記共有
鍵Kと前回の鍵共有時に共有した共有鍵K1から新規共
有鍵K2を生成するものであり、一度排除した端末を次
の鍵共有時においても排除し続けることを可能にすると
いう作用を有する。
【0032】本発明の請求項17記載の発明は、請求項
6記載の排他的鍵共有法において、前記基地局と前記端
末にあらかじめ備えられたディジタル署名手段におい
て、基地局から配送されるデータに対して基地局のディ
ジタル署名を付加するものであり、端末でディジタル署
名を検証することにより成りすましや改ざんを検出する
という作用を有する。
【0033】本発明の請求項18記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記端末が
保持する秘密情報の数を、端末の権限に応じて増減させ
るものであり、端末に対して権限の強弱を設定するとい
う作用を有する。
【0034】本発明の請求項19記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記議長端
末および前記基地局が特定端末として自身のみを選択
し、前記共有鍵Kを用いた暗号通信路を用い鍵共有に必
要な情報を同報通信するものであり、共有鍵を更新する
という作用を有する。
【0035】本発明の請求項20記載の発明は、請求項
1記載の排他的鍵共有法において、相互に接続されたN
台(Nは2以上の整数)の端末からなる同報通信が可能
な通信システムの排他的鍵共有法において、秘密鍵をS
とし、前記Sおよび前記Nより大きい素数または素数の
べき数をpとし、(p−1)の約数をqとし、GF(p)
の元をgとし、議長端末φ(任意の端末がなることがで
きる)が特定できる特定端末数をd(1≦d<N−1)と
し、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報Siを秘密に保持しており、シ
ステム管理者が管理するシステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、前記素数pと前記約数qと前記元gを利用でき、
(1)前記議長端末は、零でないGF(q)の元kを任意
に生成し、d台の特定端末i1,…,idの公開情報yi1,
…,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、自身の秘密情報Sφ
を用いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2idと特定
端末番号i1,…,idと自身の端末番号φと共に全端末に
同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
議長端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id modq) mod
p (署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
末の端末番号φが改ざんされていなければ、C1=gk m
odpとなる。)を求め、(5)前記各端末jは、Λ=
{j,i1,…,id}として、λ(j,Λ)とλ(i1,Λ),…,λ
(id,Λ)を求め、前記C1と前記排除情報C2i1,・・・,
C2idと自身の秘密情報Sjを用いて、C1∧(Sj×λ
(j,Λ) modq)×C2i1∧(λ(i1,Λ) modq)×・・・
×C2id ∧(λ(id,Λ) modq) modpを計算するこ
とにより、前記議長端末との共有鍵Kを求め、(i)前
記システム管理者は、零でないGF(q)の元εを任意に
生成し、前記εを全端末に同報通信し、(ii)前記シス
テム管理者は、新規元 g'=g∧{(1/ε) modq} modp を求め、管理する前記元gと置き換え、(iii)前記各
端末iは、新規秘密情報 Si'=Si×ε modq (このとき、(g')Si' modp=(g)Si modpが成り立
つ)を求めるものであり、公開情報を変更せずに秘密情
報が更新できるので、少ない通信量と演算量で安全性が
向上できるという作用を有する。
【0036】本発明の請求項21記載の発明は、請求項
6記載の排他的鍵共有法において、相互に接続されたN
台(Nは2以上の整数)の端末からなる同報通信が可能
な通信システムの排他的鍵共有法において、秘密鍵をα
1,α2,β1,β2,γ1,γ2とし、前記α1,α2,β1,β2,γ
1,γ2および前記Nより大きい素数または素数のべき数
をpとし、(p−1)の約数をqとし、GF(p)の元を
1,g2とし、議長端末φ(任意の端末がなることがで
きる)が特定できる特定端末数をd(1≦d<N−1)と
し、前記各端末i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
0、Λは前記N台の端末の任意の(d+1)台からなる
集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
iを秘密に保持しており、システム管理者が管理するシ
ステムの公開鍵 Α=g1α12α2 modp,Β=g1β12β2 modp,Γ=
1γ12γ2 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
求めた公開情報 Α1=g1α112α21 modp,…,ΑN=g1α1N2α2N
modp Β1=g1β112β21 modp,…,ΒN=g1β1N2β2N
modp Γ1=g1γ112γ21 modp,…,ΓN=g1γ1N2γ2N
modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
ュ関数hash( )を利用でき、(1)前記議長端末は、零
でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
…,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
id=Αi1 kΒid∧{c×k modq} modp を計算し、上記排除情報C2i1,…,C2idと特定端末番号
1,…,idと共に全端末に同報通信し、(4)前記議長
端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
Λ={j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),
…,λ(id,Λ)を求め、前記システムの公開鍵Α,Βと自
身の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
{λ(id,Λ) modq} modp=v(c=hash(C11,C12)
modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
(i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
γ2jを用いて、(C11γ1jC12γ2j)∧{λ(j,Λ) mod
q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
(id,Λ) modq} modpを計算することにより、前記議
長端末との共有鍵Kを求め、(i)前記システム管理者
は、零でないGF(q)の元εを任意に生成し、前記εを
全端末に同報通信し、(ii)前記システム管理者は、新
規元 g1'=g1∧(1/ε modq) modp,g2'=g2∧(1/
ε modq) modp を求め、管理する前記元gと置き換え、(iii)前記各
端末iは、新規秘密情報 α1i'=α1i×ε modq α2i'=α2i×ε modq β1i'=β1i×ε modq β2i'=β2i×ε modq γ1i'=γ1i×ε modq γ2i'=γ2i×ε modq (このとき、 (g')α1i' modp=(g)α1i modp (g')α2i' modp=(g)α2i modp (g')β1i' modp=(g)β1i modp (g')β2i' modp=(g)β2i modp (g')γ1i' modp=(g)γ1i modp (g')γ2i' modp=(g)γ2i modp が成り立つ)を求めるものであり、公開情報を変更せず
に秘密情報が更新できるので、少ない通信量と演算量で
安全性が向上できるという作用を有する。
【0037】本発明の請求項22記載の発明は、請求項
20および21記載の排他的鍵共有法において、前記議
長端末または前記基地局は、前記共有鍵Kを用いて暗号
化した暗号化εを全端末に同報通信するものであり、一
度排除した端末を以降の鍵共有時においても排除し続け
ることを可能にするという作用を有する。
【0038】本発明の請求項23記載の発明は、請求項
1および6記載の排他的鍵共有法において、前記議長端
末のみが各端末の前記公開情報を利用できるものであ
り、任意の端末にのみ議長端末となる権限を付与すると
いう作用を有する。
【0039】本発明の請求項24記載の発明は、請求項
1および6記載の排他的鍵共有法において、各端末が自
身の前記公開情報以外の全ての前記公開情報を保有する
ものであり、端末の公開情報を管理する必要をなくすと
いう作用を有する。
【0040】本発明の請求項25記載の発明は、請求項
1〜24記載の排他的鍵共有法において、前記乗法演算
を、任意の有限体上の楕円曲線などの曲線上の加法演算
に対応させるものであり、べき乗剰余演算を高速化する
という作用を有する。
【0041】以下、本発明の実施の形態について、図1
〜図6を参照しながら詳細に説明する。
【0042】(第1の実施の形態)本発明の第1の実施
の形態は、6台の端末からなる同報通信が可能な通信シ
ステムにおいて、議長端末は、署名を排除情報と特定端
末番号と自身の端末番号と共に全端末に同報通信し、各
端末は、署名者が確かに議長端末であり、かつ署名と排
除情報と特定端末番号と議長端末番号が改ざんされてい
ないことを確認し、排除情報と自身の秘密情報を用いて
共有鍵を求める排他的鍵共有法である。
【0043】図1は、本発明の第1の実施の形態の排他
的鍵共有法のセットアップフェーズを示す図である。図
1において、端末1〜端末6は、無線通信端末である。
同報通信網13は、同報通信可能な無線通信網である。記
憶部7〜12は、端末1〜端末6内の記憶部である。図2
は、本発明の第1の実施の形態の排他的鍵共有法の準備
フェーズを示す図である。図2において、端末2は、議
長端末である。端末5は、排除対象の特定端末である。
図3は、本発明の第1の実施の形態の排他的鍵共有法の
鍵共有フェーズを示す図である。
【0044】上記のように構成された本発明の第1の実
施の形態の排他的鍵共有法の動作を説明する。最初に、
図1を参照しながら、セットアップフェーズを説明す
る。
【0045】同報通信網13により相互に接続された6台
の端末1〜6からなる通信システムにおいて、システム
秘密鍵をSとし、システム管理者が秘密に管理する。S
および6(端末数N)より大きい素数または素数のべき
数をpとし、(p−1)の約数をqとする。pとqの大
きさは、安全面から、|p|=1024ビット、|q|=1
60ビット以上が望ましい。GF(p)の元をgとして、公
開する。また、システムの公開鍵y=gS modpも公開
する。yは必ずしも公開しなくてもよい。
【0046】端末公開情報として、 y1=gS1 modp,y2=gS2 modp,…,y6=gS6 modp を公開する。
【0047】一方、端末秘密情報として、S1,・・
・,S6を計算して、各端末に秘密に配布し、各端末は
これらを記憶部7〜12に秘密に保持する。S1,・・
・,S6は、次の条件を満たすものである。
【0048】S=Σλ(i,Λ)×Si(和はi∈Λにつ
いて行う) Si=S+f1×i modq λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1はGF(q)の非零の元、Λは6台の端末
の任意の2台の集合)次に、図2を参照しながら、準備
フェーズを説明する。議長端末2は、零でないGF(q)
の元kを任意に生成し、特定端末5の公開情報y5
ら、排除情報 C25=y5 k modp を計算する。議長端末2は、自身の秘密情報S2を用い
て署名 Z=C25×(−S2)+k modq を計算する。署名Zを排除情報C25と特定端末番号5と
自身の端末番号2と共に全端末に同報通信する。
【0049】第3に、図3を参照しながら、鍵共有フェ
ーズを説明する。議長端末2は、共有鍵 K=yk modp を求める。yを公開しない場合は、議長端末2は、他の
端末と同様の方法でKを求める。
【0050】各端末1,3,4,6は、議長端末2の公
開情報y2を用いて C1=gZ×y2∧(C25) modp を求める。署名者が確かに議長端末2であり、かつ署名
Zと排除情報C25と特定端末番号5と議長端末の端末番
号2が改ざんされていなければ、C1=gk modpとな
る。
【0051】各端末j(j=1,3,4,6)は、Λ=
{j, 5 }として、λ(j,Λ)とλ(5,Λ)を求め、C1と
排除情報C25と自身の秘密情報Sjを用いて、C1∧(Sj
×λ(j,Λ) modq)×C25∧(λ(5,Λ) modq) modp
を計算をすることにより、共有鍵Kを求める。しかし、
端末5は、共有鍵Kを計算できない。このようにして、
端末5以外は、共有鍵Kを共有することができる。
【0052】なお、議長端末は、ハッシュ関数hash( )
を用いて、排除情報C25を圧縮したハッシュ値 H=hash(C25) を求め、自身の秘密情報S2を用いて署名 Z=H×(−S2)+k modq を計算し、署名Zを排除情報C25と特定端末番号5と自
身の端末番号2と共に全端末に同報通信してもよい。ハ
ッシュ値のビット数は、qのビット数と同じビット数に
するか、qより大きいビット数のときは、qの剰余をと
るようにする。排除情報C25だけでなく、特定端末番号
や議長端末番号もハッシュしてもよい。
【0053】この場合、各端末j(j≠5,2)は、ハッ
シュ関数hash( )を用いて、排除情報C25を圧縮したハ
ッシュ値H'を求め、議長端末の公開情報y2を用いて C1=gZ×y2 H' modp を求める。署名者が確かに議長端末2であり、かつ署名
Zと排除情報C25と特定端末番号5と議長端末の端末番
号2が改ざんされていなければ、C1=gk modpかつ
H'=Hとなる。
【0054】各端末jは、Λ={j, 5}として、λ(j,
Λ)とλ(5,Λ)を求め、C1と排除情報C25と自身の秘
密情報Sjを用いて、C1∧(Sj×λ(j,Λ) modq)×C
25∧(λ(5,Λ) modq) modpを計算することにより、
共有鍵Kを求める。
【0055】上記のように、本発明の第1の実施の形態
では、6台の端末からなる同報通信が可能な通信システ
ムにおける排他的鍵共有法を、議長端末が、署名を排除
情報と特定端末番号と自身の端末番号と共に全端末に同
報通信し、各端末は、署名者が確かに議長端末であり、
かつ署名と排除情報と特定端末番号と議長端末番号が改
ざんされていないことを確認し、排除情報と自身の秘密
情報を用いて共有鍵を求める構成としたので、署名を確
認した上で特定の端末だけを排除して他の端末で鍵情報
を共有できる。
【0056】(第2の実施の形態)本発明の第2の実施
の形態は、相互に接続された6台の端末からなる同報通
信が可能な通信システムにおいて、議長端末は、検証情
報を計算し、排除情報と特定端末番号と共に全端末に同
報通信し、各端末は、システムの公開鍵と自身の秘密情
報を用いて検証式を計算し、検証式が不成立の場合は鍵
共有を中止し、成立の場合は、各端末は、準備情報と排
除情報と自身の秘密情報を用いて、共有鍵を求める排他
的鍵共有法である。
【0057】図4は、本発明の第2の実施の形態の排他
的鍵共有法のセットアップフェーズを示す図である。図
4において、端末1〜端末6は、無線通信端末である。
同報通信網13は、同報通信可能な無線通信網である。記
憶部7〜12は、端末1〜端末6内の記憶部である。図5
は、本発明の第2の実施の形態の排他的鍵共有法の準備
フェーズを示す図である。図5において、端末2は、議
長端末である。端末5は、排除対象の特定端末である。
図6は、本発明の第2の実施の形態の排他的鍵共有法の
鍵共有フェーズを示す図である。
【0058】本発明の第2の実施の形態の排他的鍵共有
法は、Cramer−Shoup暗号を基に構成している。Cramer
−Shoup暗号は、公開鍵暗号に対する最強の攻撃方法で
ある適応的選択暗号文攻撃に対する安全性を証明するこ
とのできる公開鍵暗号である。以下にその概要を示す
が、詳細は論文(「A Practical Public Key Cryptosys
tem ProvablySecure against Adaptive Chosen Ciphert
ext Attack」,LNCS1462,Advances in Cryptology−CR
YPTO'98,Springer)を参照されたい。
【0059】Cramer-Shoup暗号について説明する。秘密
鍵を、x1,x2,y1,y2,z1,z2とする。公開鍵
を、X(=g1 x12 x2),Y(=g1 y12 y2),Z(=
1 z12 z2),g1,g2とする。mをメッセージとし、
rを乱数とし、pを素数とする。全ての演算は特に断り
のない限りZp上で行われるものとする。qは、q|p
−1となる素数である。hは、ハッシュ関数であり、g
1,g2は、GF(p)の元である。
【0060】暗号化を行う場合は、暗号文を{u1
2,v,w}とする。ただし、u1=g1 r,u2
2 r,v=Xrcr,w=mZr(c=h(u1,u2) m
odq)である。検証は、u1 x12 x2(u1 y12 y2c
vかどうかで行う。検証結果が正しい場合のみ復号化を
行う。復号化は、m=w/u1 z12 z2として行う。
【0061】上記のように構成された本発明の第2の実
施の形態の排他的鍵共有法の動作を説明する。最初に、
図4を参照しながら、セットアップフェーズを説明す
る。
【0062】同報通信網13で相互に接続された6台の端
末1〜6からなる同報通信が可能な通信システムにおい
て、システム秘密鍵をα1,α2,β1,β2,γ1,γ2と
し、システム管理者が秘密に管理する。α1,α2,β
1,β2,γ1,γ2および6(端末数)より大きい素数ま
たは素数のべき数をpとし、(p−1)の約数をqとす
る。pとqの大きさは、安全面から、|p|=1024ビッ
ト、|q|=160ビット以上が望ましい。GF(p)の元
をg1,g2として、システム公開情報として公開する。
【0063】各端末i(1≦i≦6)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1 modq) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1 modq) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1 modq) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1 modq) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1 modq) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1 modq) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1はGF(q)の非零の元、Λは6台の端末
の任意の2台の集合)を満たす秘密情報α1i,α2i,β
1i,β2i,γ1i,γ2iを、それぞれの記憶部7〜12に秘
密に保持する。
【0064】各端末1〜6は、システムの公開鍵 Α=g1α12α2 modp,Β=g1β12β2 modp,Γ=
1γ12γ2 modp と、秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
求めた公開情報 Α1=g1α112α21 modp,…,Α6=g1α162α26
modp Β1=g1β112β21 modp,…,Β6=g1β162β26
modp Γ1=g1γ112γ21 modp,…,Γ6=g1γ162γ26
modp と、ハッシュ関数hash( )を利用できる。ハッシュ値の
ビット数は、qのビット数と同じビット数にするか、q
より大きいビット数のときは、qの剰余をとるようにす
る。
【0065】次に、図5を参照しながら、準備フェーズ
の説明をする。議長端末2は、零でないGF(q)の元k
を任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算する。また、特定端末5の公開情報Γ5から、排
除情報 C25=Γ5 k modp を計算する。
【0066】議長端末2は、検証情報 v=ΑkΒ∧{(c×k) modq} modp(c=hash(C11,
C12) modq),v5=Αi1 kΒ5∧{(c×k) modq} mod
p を計算し、排除情報C25と特定端末番号5と共に全端末
に同報通信する。
【0067】第3に、図6を参照しながら、鍵共有フェ
ーズを説明する。議長端末2は、共有鍵 K=Γk modp を求める。
【0068】各端末j(j≠2,5)は、Λ={j,5}と
して、λ(j,Λ),λ(5,Λ)を求め、システムの公開鍵
Α,Βと自身の秘密情報α1j,α2j,β1j,β2jを用い
て検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×v5∧{λ(5,Λ) modq} modp=v(c=
hash(C11,C12) modq) を計算し、成り立たない場合は鍵共有を中止する。
【0069】成り立つ場合は、各端末jは、λ(j,
Λ),λ(5,Λ)と準備情報C11,C12と排除情報C25
自身の秘密情報γ1j,γ2jを用いて、(C11γ1jC12γ
2j)∧{λ(j,Λ) modq}×C25∧{λ(5,Λ) modq} m
odpを計算することにより、共有鍵Kを求める。端末5
は、共有鍵Kを計算できない。
【0070】上記のように、本発明の第2の実施の形態
では、相互に接続された6台の端末からなる同報通信が
可能な通信システムの排他的鍵共有法を、議長端末は、
検証情報を計算し、排除情報と特定端末番号と共に全端
末に同報通信し、各端末は、システムの公開鍵と自身の
秘密情報を用いて検証式を計算し、検証式が不成立の場
合は鍵共有を中止し、成立の場合は、各端末は、準備情
報と排除情報と自身の秘密情報を用いて、共有鍵Kを求
める構成としたので、議長端末の排除情報を検証してか
ら、共有鍵Kを求めることができる。
【0071】
【発明の効果】以上の説明から明らかなように、本発明
では、相互に接続されたN台(Nは2以上の整数)の端
末からなる同報通信が可能な通信システムの排他的鍵共
有法を、秘密鍵をSとし、SおよびNより大きい素数ま
たは素数のべき数をpとし、(p−1)の約数をqと
し、GF(p)の元をgとし、議長端末φ(任意の端末が
なることができる)が特定できる特定端末数をd(1≦
d<N−1)とし、各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
0、ΛはN台の端末の任意の(d+1)台からなる集
合)を満たす秘密情報Siを秘密に保持しており、シス
テムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、素数pと約数qと元gを利用でき、(1)議長端末
は、零でないGF(q)の元kを任意に生成し、d台の特
定端末i 1,…,idの公開情報yi1,…,yidから、排除情
報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)議長端末は、自身の秘密情報Sφを用
いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、署名Zを排除情報C2i1,…,C2idと特定端末
番号i1,…,idと自身の端末番号φと共に全端末に同報
通信し、(3)議長端末は、共有鍵 K=yk modp を求め、(4)各端末j(j≠i1,…,id,φ)は、議長
端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id mosq) modp (署名者が確かに議長端末φであり、かつ署名Zと排除
情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
末の端末番号φが改ざんされていなければ、C1=gk m
odpとなる。)を求め、(5)各端末jは、Λ={j,i
1,…,id}として、λ(j,Λ)とλ(i1,Λ),…,λ(id,
Λ)を求め、C1と排除情報C2i1,・・・,C2idと自身の
秘密情報Sjを用いて、C1∧(Sj×λ(j,Λ) modq)×
C2i1∧(λ(i1,Λ) modq)×・・・×C2id∧(λ(id,
Λ) modq) modpを計算することにより、共有鍵Kを求
める構成としたので、少ない通信量で、かつ短い業務停
止期間で、特定の端末だけを排除して、他の端末で分配
鍵情報を共有することができるという効果が得られる。
【0072】また、相互に接続されたN台(Nは2以上
の整数)の端末からなる同報通信が可能な通信システム
の排他的鍵共有法を、秘密鍵をα1,α2,β1,β2,γ
1,γ2とし、α1,α2,β1,β2,γ1,γ2およびNよ
り大きい素数または素数のべき数をpとし、(p−1)
の約数をqとし、GF(p)の元をg1,g2とし、議長端
末φ(任意の端末がなることができる)が特定できる特
定端末数をd(1≦d<N−1)とし、各端末i(1≦i
≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
0、ΛはN台の端末の任意の(d+1)台からなる集
合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i
γ2iを秘密に保持しており、システムの公開鍵 A=g1α12α2 modp,B=g1β12β2 modp,Г=
1γ12γ2 modp と、秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
求めた公開情報 Α1=g1α112α21 modp,…,ΑN=g1α1N2α2N
modp Β1=g1β112β21 modp,…,ΒN=g1β1N2β2N
modp Γ1=g1γ112γ21 modp,…,ΓN=g1γ1N2γ2N
modp と、素数pと約数qと元g1,g2とハッシュ関数hash
( )を利用でき、(1)議長端末は、零でないGF(q)
の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)議長端末は、d台の特定端末i1,…,
dの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)議長端末は、検証情報 v=ΑkΒ∧{(c×k) modq} modp(c=hash(C11,
C12) modq),vi1=Αi1 kΒi1∧{(c×k) modq} m
odp,・・・,vid=Αi1 kΒid∧{(c×k) modq} mo
dp を計算し、排除情報C2i1,…,C2idと特定端末番号i1,
…,idと共に全端末に同報通信し、(4)議長端末は、
共有鍵 K=Γk modp を求め、(5)各端末j(j≠i1,…,id,φ)は、Λ=
{j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),…,λ
(id,Λ)を求め、システムの公開鍵Α,Βと自身の秘密
情報α1j,α2j,β1j,β2jを用いて検証式 (C11α1jC12α2j(C11β1jC12β2jc)∧{λ(j,
Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
{λ(id,Λ) modq} modp=v(c=hash(C11,C12)
modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
つ場合は、(6)各端末jは、λ(j,Λ),λ(i1,Λ),
…,λ(id,Λ)と準備情報C11,C12と排除情報C2i1,
…,C2idと自身の秘密情報γ1j,γ2jを用いて、(C11
γ1jC1 2γ2j)∧{λ(j,Λ) modq}×C2i1∧{λ(i1,
Λ) modq}×・・・×C2id∧{λ(id,Λ) modq} mod
pを計算することにより、共有鍵Kを求める構成とした
ので、高い安全性を保ちつつ、特定端末以外の端末で鍵
共有ができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の鍵共有方法におけ
るセットアップを示す図、
【図2】第1の実施の形態の鍵共有方法における準備フ
ェーズを示す図、
【図3】第1の実施の形態の鍵共有方法において、端末
5を除いた全ての端末で共有する鍵共有フェーズを示す
図、
【図4】本発明の第2の実施の形態の鍵共有方法におけ
るセットアップを示す図、
【図5】第2の実施の形態の鍵共有方法における準備フ
ェーズを示す図、
【図6】第2の実施の形態の鍵共有方法において、端末
5を除いた全ての端末で共有する鍵共有フェーズを示す
図、
【図7】第1の従来例における鍵共有方法を示す図、
【図8】第2の従来例における鍵共有方法を示す図、
【図9】第3の従来例における鍵共有方法を示す図であ
る。
【符号の説明】
0 基地局 1〜6 端末1〜端末6 7〜12 端末内の記憶部 13 同報通信網 14 基地局内の記憶部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 松本 勉 神奈川県横浜市青葉区柿の木台13−45 (56)参考文献 特開 平9−212089(JP,A) 特許2865654(JP,B2) 安斉潤 他;“マスク付きグループ鍵 共有法”1999年暗号と情報セキュリティ シンポジウム予稿集 Vol.2/2 (1999.1.26)p.835−840 松崎なつめ 他;“マスク付きグルー プ鍵共有法(その2)”電子情報通信学 会技術研究報告(SST98−113−129) Vol.98,No.657(1999.3.10) p.835−840 松崎なつめ 他;“マスク付きグルー プ鍵共有を少量の加入者計算で行う方 法”2000年暗号と情報セキュリティ・シ ンポジウム(2000.1.27)C−18 R.Cramer and V.Sh oup;“A Practical P ublic Key Cryptosy stem Provably Secu re against Adaptiv e Chosen Ciphertex t Attack”Lecture N ote in Computer Sc ience(Advances in Cryptology CRYPTO’ 98),Vol.1462(1998.8月)p. 13−25 K.Nyberg and R.A. Rueppel;“Message R ecovery for Signat ure Schemes Based on the Discrete Lo garithm Problem”Le cture Note in Comp uter Science (Adva nces in Cryptology EUROCRYPT’94)Vol. 950(1994.5月)p.182−193 (58)調査した分野(Int.Cl.7,DB名) H04L 9/08 H04L 9/32 H04B 7/26 G09C 1/00

Claims (25)

    (57)【特許請求の範囲】
  1. 【請求項1】 相互に接続されたN台(Nは2以上の整
    数)の端末からなる同報通信が可能な通信システムの排
    他的鍵共有法において、秘密鍵をSとし、前記Sおよび
    前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、前記各端末i
    (1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報Siを秘密に保持しており、シ
    ステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、前記素数pと前記約数qと前記元gを利用でき、
    (1)前記議長端末は、零でないGF(q)の元kを任意
    に生成し、d台の特定端末i1,…,idの公開情報yi1,
    …,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、自身の秘密情報Sφ
    を用いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、前記署名Zを排除情報C2i1,…,C2idと特定
    端末番号i1,…,idと自身の端末番号φと共に全端末に
    同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
    議長端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id modq) modp (署名者が確かに議長端末φであり、かつ署名Zと排除
    情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
    末の端末番号φが改ざんされていなければ、C1=gk m
    odpとなる。)を求め、(5)前記各端末jは、Λ=
    {j, i1,…,id }として、λ(j,Λ)とλ(i1,Λ),
    …,λ(id,Λ)を求め、前記C1と前記排除情報C2
    i1,・・・,C2idと自身の秘密情報Sjを用いて、C1∧
    (Sj×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ) modq)
    ×・・・×C2id∧(λ(id,Λ) modq) modpを計算す
    ることにより、共有鍵Kを求めることを特徴とする排他
    的鍵共有法。
  2. 【請求項2】 相互に接続されたN台(Nは2以上の整
    数)の端末からなる同報通信が可能な通信システムの排
    他的鍵共有法において、秘密鍵をSとし、前記Sおよび
    前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、前記各端末i
    (1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報Siを秘密に保持しており、シ
    ステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、ハッシュ関数hash( )と前記素数pと前記約数qと
    前記元gを利用でき、(1)前記議長端末は、零でない
    GF(q)の元kを任意に生成し、d台の特定端末i1,
    …,idの公開情報yi1,…,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、前記ハッシュ関数ha
    sh( )を用いて前記排除情報C2i1,…,C2idを圧縮した
    ハッシュ値 H=hash(C2i1,…,C2id) を求め、(3)前記議長端末は、自身の秘密情報Sφ
    用いて署名 Z=H×(−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2idと特定
    端末番号i1,…,idと自身の端末番号φと共に全端末に
    同報通信し、(4)前記議長端末は、共有鍵 K=yk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
    前記ハッシュ関数hash( )を用いて前記排除情報C2i1,
    …,C2idを圧縮したハッシュ値H'を求め、(6)前記
    各端末jは、議長端末の公開情報yφを用いて C1=gZ×yφ H' modp (署名者が確かに議長端末φであり、かつ署名Zと排除
    情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
    末の端末番号φが改ざんされていなければ、C1=gk m
    odpかつH'=Hとなる。)を求め、(7)前記各端末
    jは、Λ={j, i1,…,id }として、λ(j,Λ)とλ
    (i1,Λ),…,λ(id,Λ)を求め、前記C1と前記排
    除情報C2i1,・・・,C2idと自身の秘密情報Sjを用い
    て、C1∧(Sj×λ(j,Λ) modq)×C2i1∧(λ(i1,
    Λ) modq) ×・・・×C2id∧(λ(id,Λ) modq)
    modpを計算することにより、共有鍵Kを求めることを
    特徴とする請求項1記載の排他的鍵共有法。
  3. 【請求項3】 相互に接続されたN台(Nは2以上の整
    数)の端末からなる同報通信が可能な通信システムの排
    他的鍵共有法において、秘密鍵をSとし、前記Sおよび
    前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、鍵共有時に実
    際に前記議長端末が特定する端末数(以下、実際特定端
    末数という)Dを、前記特定端末数dより小さい1以上
    の数とし、前記各端末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報Siを秘密に保持しており、 SN+1=S+f1×(N+1)1+…+fd×(N+1)d mod
    q,・・・,SN+d-1=S+f1×(N+d−1)1+…+
    d×(N+d−1)d modq を計算することにより分割された秘密情報SN+1,…,S
    N+d-1と、前記秘密情報S 1,・・・,SNより求めた公
    開情報 y1=gS1 modp,・・・,yN=gSN modp,yN+1=g
    SN+1 modp,・・・,yN+d-1=gSN+d-1 modp と、システムの公開鍵 y=gS modp と、前記素数pと前記約数qと前記元gを利用でき、
    (1)前記議長端末は、前記D台の特定端末i1,…,iD
    の公開情報yi1,…,yiDと前記公開情報yN+1,…,y
    N+d-1の内任意のv(=d−D)個の公開情報yb1,…,y
    bvとから、排除情報 C2i1=yi1 k modp,・・・,C2iD=yiD k modp,C2b1
    =yb1 k modp,・・・,C2bv=ybv k modp (kは零でないGF(q)の元)を計算し、(2)前記議
    長端末は、自身の秘密情報Sφを用いて署名 Z=C2i1×・・・×C2iD×C2b1×・・・×C2bv×
    (−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2iD,C2
    b1,…,C2bvと特定端末番号i1,…,iDと前記公開情
    報yb1,…,ybvに対応した端末番号b1,…,bvと自身の
    端末番号φと共に全端末に同報通信し、(3)前記議長
    は、前記特定端末i1,…,iDを除く全ての端末j(j≠
    1,…,i D,b1,…,bv,φ)との共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,iD,b1,…,
    v,φ)は、議長端末の公開情報y φを用いて C1=gZ×yφ∧(C2i1×・・・×C2iD×C2b1×・・
    ・×C2bv modq) modp (署名者が確かに議長端末φであり、かつ署名Zと排除
    情報C2i1,…,C2iD,C2 b1,…,C2bvと特定端末番号
    1,…,iDと前記公開情報yb1,…,ybvに対応した端末
    番号b1,…,bvと議長端末の端末番号φが改ざんされて
    いなければ、C1=gk modpとなる。)を求め、(5)
    前記各端末jは、Λ={j,i1,…,iD,b1,…,bv}とし
    て、λ(j,Λ),λ(i1,Λ),…,λ(iD,Λ),λ(b1,Λ),
    …,λ(bv,Λ)を求め、前記C1と前記排除情報C2i1,
    …,C2iD,C2b1,…,C2bvと自身の前記秘密情報Sjを用
    いて、べき乗剰余値C1∧(Sj×λ(j,Λ) modq)と、
    べき乗剰余値C2i1∧(λ(i1,Λ) modq),…,C2iD
    (λ(iD,Λ) modq)×C2b1∧(λ(b1,Λ) modq),…,
    C2bv∧(λ(bv,Λ) modq)との法p上での積C1∧(Sj
    ×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ)modq)×…×
    C2iD∧(λ(iD,Λ) modq)×C2b1∧(λ(b1,Λ) mod
    q)×…×C2b v∧(λ(bv,Λ) modq) modpを計算する
    ことにより、前記基地局との共有鍵Kを求めることを特
    徴とする請求項1および2記載の排他的鍵共有法。
  4. 【請求項4】 前記議長端末は、秘密鍵Sを任意の整数
    θ個の特定端末数d 1,…,dθに対してそれぞれ分割し
    たθ組の秘密情報より作成された公開情報を利用でき、
    一方、前記端末は各組の中から自身の端末番号に対応し
    たθ個の秘密情報を保持しておき、前記特定端末を排除
    した鍵共有を行う場合には、前記議長端末および前記端
    末jが、前記実際特定端末数Dと等しい前記特定端末数
    w(1≦w≦θ)を前記d1,…,dθより選択し、前記議
    長端末は選択された特定端末数dwに対応した1組の前
    記公開情報を用いて前記署名と前記排除情報と特定端末
    番号と自身の端末番号を同報通信し、端末との共有鍵K
    を求め、一方前記端末jは署名を検証し、dwに対応し
    た秘密情報を用いて議長端末との共有鍵Kを求めること
    を特徴とする請求項1および2記載の排他的鍵共有法。
  5. 【請求項5】 基地局と基地局に接続されたN台(Nは
    2以上の整数)の端末からなる同報通信が可能な通信シ
    ステムの排他的鍵共有法において、秘密鍵をSとし、前
    記Sおよび前記Nより大きい素数または素数のべき数を
    pとし、(p−1)の約数をqとし、GF(p)の元をg
    とし、特定端末数をd(1≦d<N−1)とし、前記各端
    末i(1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報Siを秘密に保持しており、基
    地局μは、全ての前記秘密情報Siを秘密に保持してお
    り、前記各端末iと前記基地局μは、基地局の公開情報 yμ=g modp と、前記素数pと前記約数qと前記元gを利用でき、
    (1)前記基地局は、零でないGF(q)の元kを任意に
    生成し、d台の特定端末i1,…,idの公開情報yi1,…,
    idから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記基地局は、自身の秘密情報Sμ
    用いて署名 Z=C2i1×・・・×C2id×(−Sμ)+k modq を計算し、前記署名Zを排除情報C2i1,…,C2idと特定
    端末番号i1,…,idと共に全端末に同報通信し、(3)
    前記基地局は、共有鍵 K=g∧(k×S modq) modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
    議長端末の公開情報yμを用いてC1=gZ×yμ∧(C2
    i1×・・・×C2id modq) modp(署名者が確かに基地
    局μであり、かつ署名Zと排除情報C2i1,…,C2idと特
    定端末番号i1,…,idが改ざんされていなければ、C1
    =gk modpとなる。)を求め、(5)前記各端末j
    は、Λ={j,i1,…,id }として、λ(j,Λ)とλ(i1,
    Λ),…,λ(id,Λ)を求め、前記C1と前記排除情報
    C2i1,・・・,C2idと自身の秘密情報Sjを用いて、C1
    ∧(Sj×λ(j,Λ) modq)×C2i1∧(λ(i1,Λ) mod
    q)×・・・×C2id∧(λ(id,Λ) modq) modpを計算
    することにより、共有鍵Kを求めることを特徴とする請
    求項1および2記載の排他的鍵共有法。
  6. 【請求項6】 相互に接続されたN台(Nは2以上の整
    数)の端末からなる同報通信が可能な通信システムの排
    他的鍵共有法において、秘密鍵をα1,α2,β1,β2,
    γ1,γ2とし、前記α1,α2,β1,β2,γ1,γ2およ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をg1,g2
    し、議長端末φ(任意の端末がなることができる)が特
    定できる特定端末数をd(1≦d<N−1)とし、前記各
    端末i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
    q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
    q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
    q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
    q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
    q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
    q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ
    1i,γ2iを秘密に保持しており、システムの公開鍵 A=g1 α12 α2 modp,B=g1 β12 β2 modp,Г
    =g1 γ12 γ2 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2i
    より求めた公開情報 Α1=g1 α112 α21 modp,…,ΑN=g1 α1N2 α2N
    modp Β1=g1 β112 β21 modp,…,ΒN=g1 β1N2 β2N
    modp Γ1=g1 γ112 γ21 modp,…,ΓN=g1 γ1N2 γ2N
    modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
    ュ関数hash( )を利用でき、(1)前記議長端末は、零
    でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
    …,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{(c×k) modq} modp(c=hash(C11,
    C12) modq),vi1=Αi1 kΒi1∧{(c×k) modq} m
    odp,・・・,vid=Αi1 kΒid∧{(c×k) modq} mo
    dp を計算し、上記排除情報C2i1,…,C2idと特定端末番号
    1,…,idと共に全端末に同報通信し、(4)前記議長
    端末は、共有鍵 K=Γk modpを求め、(5)前記各端末j(j≠i1,
    …,id,φ)は、Λ={j,i1,…,id}として、λ(j,
    Λ),λ(i1,Λ),…,λ(id,Λ)を求め、前記システムの
    公開鍵Α,Βと自身の前記秘密情報α1j,α2j,β1j
    β2jを用いて検証式 (C11 α1jC12 α2j(C11 β1jC12 β2jc)∧{λ(j,
    Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
    {λ(id,Λ) modq} modp=v(c=hash(C11,C12)
    modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
    つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
    (i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
    記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
    γ2jを用いて、(C11 γ1jC12 γ2j)∧{λ(j,Λ) mod
    q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
    (id,Λ) modq} modpを計算することにより、共有鍵
    Kを求めることを特徴とする請求項1記載の排他的鍵共
    有法。
  7. 【請求項7】 相互に接続されたN台(Nは2以上の整
    数)の端末からなる同報通信が可能な通信システムの排
    他的鍵共有法において、秘密鍵をα1,α2,β1,β2,
    γ1,γ2とし、前記α1,α2,β1,β2,γ1,γ2およ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をg1,g2
    し、議長端末φ(任意の端末がなることができる)が特
    定できる特定端末数をd(1≦d<N−1)とし、鍵共有
    時に実際に前記議長端末が特定する端末数(以下、実際
    特定端末数という)Dを、前記特定端末数dより小さい
    1以上の数とし、前記各端末i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
    q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
    q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
    q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
    q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
    q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
    q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
    iを秘密に保持しており、システムの公開鍵 Α=g1 α12 α2 modp,Β=g1 β12 β2 modp,Γ=
    1 γ12 γ2 modp と、 α1N+1=α1+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,α1N+d-1=α1+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq β1N+1=β1+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,β1N+d-1=β1+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq γ1N+1=γ1+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,γ1N+d-1=γ1+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq α2N+1=α2+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,α2N+d-1=α2+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq β2N+1=β2+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,β2N+d-1=β2+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq γ2N+1=γ2+f1×(N+1)1+…+fd×(N+1)d mo
    dq,・・・,γ2N+d-1=γ2+f1×(N+d−1)1+…
    +fd×(N+d−1)d modq を計算することにより分割された秘密情報α1N+1,…,α
    1N+d-1,α2N+1,…,α2N+ d-1とβ1N+1,…,β1N+d-1,β2
    N+1,…,β2N+d-1とγ1N+1,…,γ1N+d-1,γ2N+1,…,γ2
    N+d-1より求めた公開情報 ΑN+1=g1 α1N+12 α2N+1 modp,…,ΑN+d-1=g1
    α1N+d-12 α2N+d-1 modp ΒN+1=g1 β1N+12 β2N+1 modp,…,ΒN+d-1=g1
    β1N+d-12 β2N+d-1 modp ΓN+1=g1 γ1N+12 γ2N+1 modp,…,ΓN+d-1=g1
    γ1N+d-12 γ2N+d-1 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
    求めた公開情報 Α1=g1 α112 α21 modp,…,ΑN=g1 α1N2 α2N
    modp Β1=g1 β112 β21 modp,…,ΒN=g1 β1N2 β2N
    modp Γ1=g1 γ112 γ21 modp,…,ΓN=g1 γ1N2 γ2N
    modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
    ュ関数hash( )を利用でき、(1)前記議長端末は、零
    でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、前記D台の特定端末
    1,…,iDの公開情報Γi1,…,ΓiDと前記公開情報Γ
    N+1,…,ΓN+d-1の内任意のv(=d−D)個の公開情報Γ
    b1,…,Γbvとから、排除情報 C2i1=Γi1 k modp,・・・,C2iD=ΓiD k modp,C2b1
    =Γb1 k modp,・・・,C2bv=Γbv k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
    2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
    iD=ΑiD kΒiD∧{c×k modq} modp vb1=Αb1 kΒb1∧{c×k modq} modp,・・・,v
    bv=Αbv kΒbv∧{c×k modq} modp を計算し、前記検証情報v,vi1,…,viD,vb1,…,vbv
    と前記排除情報C2i1,…,C2iDとC2b1,…,C2bvと特定
    端末番号i1,…,iDと前記公開情報Γb1,…,Γbvに対応
    した端末番号b1,…,bvと共に全端末に同報通信し、
    (4)前記議長端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,iD,b1,…,
    v,φ)は、Λ={j,i1,…,iD,b1,…,bv}として、
    λ(j,Λ),λ(i1,Λ),…,λ(iD,Λ) ,λ(b1,Λ),…,
    λ(bv,Λ)を求め、前記システムの公開鍵Α,Βと自身
    の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11 α1jC12 α2j(C11 β1jC12 β2jc)∧{λ(j,
    Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×viD
    {λ(iD,Λ) modq}×vb1∧{λ(b1,Λ) modq}×…×
    bv∧{λ(bv,Λ) modq} modp=v(c=hash(C11,
    C12) modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
    つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
    (i1,Λ),…,λ(iD,Λ),λ(b1,Λ),…,λ(bv,Λ)と
    前記準備情報C11,C12と前記排除情報C2i1,…,C2iD
    とC2b1,…,C2bvと自身の前記秘密情報γ1j,γ2jを用
    いて、(C11 γ1jC12 γ2j)∧{λ(j,Λ) modq}×C2
    i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ(id,Λ)
    modq}×C2 b1∧{λ(b1,Λ) modq}×・・・×C2
    bv∧{λ(bv,Λ) modq} modpを計算することにより、
    共有鍵Kを求めることを特徴とする請求項1および6記
    載の排他的鍵共有法。
  8. 【請求項8】 前記議長端末は、前記秘密鍵α1,α2,β
    1,β2,γ1,γ2を任意の整数θ個の特定端末数d1,…,d
    θに対してそれぞれ分割したθ組の秘密情報より作成さ
    れた公開情報を利用でき、一方、前記端末は各組の中か
    ら自身の端末番号に対応したθ個の秘密情報を保持して
    おき、前記特定端末を排除した鍵共有を行う場合には、
    前記議長端末および前記端末jが、前記実際特定端末数
    Dと等しい前記特定端末数dw(1≦w≦θ)を前記d1,
    …,dθより選択し、前記議長端末は選択された特定端
    末数dwに対応した1組の前記公開情報を用いて前記検
    証情報と前記排除情報と特定端末番号と自身の端末番号
    を同報通信し、端末との共有鍵Kを求め、一方前記端末
    jは検証式を確認し、dwに対応した秘密情報を用いて
    議長端末との共有鍵Kを求めることを特徴とする請求項
    1および6記載の排他的鍵共有法。
  9. 【請求項9】 基地局と基地局に接続されたN台(Nは
    2以上の整数)の端末からなる同報通信が可能な通信シ
    ステムの排他的鍵共有法において、秘密鍵をα1,α2,β
    1,β2,γ1,γ2とし、前記α1,α2,β1,β2,γ1,γ2およ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をg1,g2
    し、特定端末数をd(1≦d<N−1)とし、前記各端末
    i(1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
    q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
    q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
    q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
    q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
    q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
    q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
    iを秘密に保持しており、システムの公開鍵 Α=g1 α12 α2 modp,Β=g1 β12 β2 modp,Γ=
    1 γ12 γ2 modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
    ュ関数hash( )を利用でき、前記基地局は、前記秘密情
    報α11,…,α1N,α21,…,α2N,β1i,…,β1N,β21,…,
    β2N,γ1i,…,γ1N,γ21,…,γ2Nを保持しており、
    (1)前記基地局は、零でないGF(q)の元kを任意に
    生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記基地局は、d台の特定端末i1,
    …,idの秘密情報γ1i1,…,γ1id,γ2 i1,…,γ2idから
    排除情報 C2i1=g1∧{γ1i1×k modq} modp,・・・,C2id
    =g2∧{γ2id×k modq} modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
    2) modq) vi1=(g1 α1i12 α2i1k(g1 β1i12 β2i1)∧
    {c×k modq} modp,・・・,vid=(g1 α1id2
    α2idk(g1 β1id2 β2id)∧{c×k modq} modp を計算し、上記排除情報C2i1,…,C2idと特定端末番号
    1,…,idと共に全端末に同報通信し、(4)前記議長
    端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
    Λ={j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),
    …,λ(id,Λ)を求め、前記システムの公開鍵Α,Βと
    自身の前記秘密情報α1j,α2j,β1j,β2jを用いて検証
    式 (C11 α1jC12 α2j(C11 β1jC12 β2jc)∧{λ(j,
    Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
    {λ(id,Λ) modq} modp=v(c=hash(C11,C12)
    modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
    つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
    (i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
    記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
    γ2jを用いて、(C11 γ1jC12 γ2j)∧{λ(j,Λ) mod
    q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
    (id,Λ) modq} modpを計算することにより、共有鍵
    Kを求めることを特徴とする請求項1および6記載の排
    他的鍵共有法。
  10. 【請求項10】 相互に接続されたN台(Nは2以上の
    整数)の端末からなる同報通信が可能な通信システムの
    排他的鍵共有法において、秘密鍵をα1,α2,β1,β2,γ
    1,γ2とし、前記α1,α2,β1,β2,γ1,γ2および前記N
    より大きい素数または素数のべき数をpとし、(p−
    1)の約数をqとし、GF(p)の元をg 1,g2とし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、前記各端末i
    (1≦i≦N)は、前記秘密情報α1i,α2i,β1i,β2i
    1i,γ2iを秘密に保持しており、システムの公開鍵 Α=g1 α12 α2 modp,Β=g1 β12 β2 modp,Γ=
    1 γ12 γ2 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
    求めた公開情報 Α1=g1 α112 α21 modp,…,ΑN=g1 α1N2 α2N
    modp Β1=g1 β112 β21 modp,…,ΒN=g1 β1N2 β2N
    modp Γ1=g1 γ112 γ21 modp,…,ΓN=g1 γ1N2 γ2N
    modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
    ュ関数hash( )を利用でき、(1)前記議長端末は、零
    でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
    …,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、共有鍵 K=Γk modp を求め、(4)前記議長端末は、任意のグループ鍵Mを
    生成し、共有鍵Kを用いて暗号文 C=M×K modp を求め、(5)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
    2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
    id=Αi1 kΒid∧{c×k modq} modp を計算し、前記暗号文Cと前記検証情報v,vi1,…,v
    idと前記排除情報C2i1,…,C2idと特定端末番号i1,
    …,idと共に全端末に同報通信し、(6)前記各端末j
    (j≠i1,…,id,φ)は、Λ={j,i1,…,id}として、
    λ(j,Λ),λ(i1,Λ),…,λ(id,Λ)を求め、前記シス
    テムの公開鍵Α,Βと自身の前記秘密情報α1j,α2j,β1
    j,β2jを用いて検証式 (C11 α1jC12 α2j(C11 β1jC12 β2jc)∧{λ(j,
    Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
    {λ(id,Λ) modq} modp=v(c=hash(C11,C12)
    modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
    つ場合は、(7)前記各端末jは、前記λ(j,Λ),λ
    (i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
    記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
    γ2jを用いて、(C11 γ1jC12 γ2j)∧{λ(j,Λ) mod
    q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
    (id,Λ) modq} modpを計算することにより、共有鍵
    Kを求め、(8)前記各端末jは、前記共有鍵Kと暗号
    文Cよりグループ鍵 M=C/K modp を求めることを特徴とする請求項1および6記載の排他
    的鍵共有法。
  11. 【請求項11】 前記基地局が、前記秘密鍵Sまたはα
    1,α2,β1,β2,γ1,γ2の分割、前記公開鍵yまたはΑ,
    Β,Γ、公開情報y1,y2,…,yNまたはΑ1,…,ΑN1,
    …,ΒN1,…,ΓNの算出と公開、および前記端末iに
    対応した前記秘密情報Siまたはα1i,α2i,β1i,β2i,
    γ1i,γ2iの埋め込みを行うことを特徴とする請求項1
    および6記載の排他的鍵共有法。
  12. 【請求項12】 前記基地局とは別の第三機関が、前記
    秘密鍵Sまたはα1,α2,β1,β2,γ1,γ2の分割、前記
    公開鍵yまたはΑ,Β,Γ、公開情報y1,y2,…,yNまた
    はΑ1,…,ΑN1,…,ΒN1,…,ΓNの算出と公開、お
    よび前記端末iに対応した前記秘密情報Siまたはα1i,
    α2i,β1i,β2i,γ1i,γ2iの埋め込みを行うことを特徴
    とする請求項1および6記載の排他的鍵共有法。
  13. 【請求項13】 前記同報通信可能な通信システムに新
    規に加入する端末に対して、新たな端末番号I(I>
    N)を設定し、 SI=S+f1×I1+…+fd×Id modq を計算することにより求められた秘密情報SIまたは α1I=α1+f1×I1+…+fd×Id modq α2I=α2+f1×I1+…+fd×Id modq β1I=β1+f1×I1+…+fd×Id modq β2I=β2+f1×I1+…+fd×Id modq γ1I=γ1+f1×I1+…+fd×Id modq γ2I=γ2+f1×I1+…+fd×Id modq を秘密に保持させることを特徴とする請求項1および6
    記載の排他的鍵共有法。
  14. 【請求項14】 前記端末iは、前記秘密情報Siまた
    はα1i,α2i,β1i,β2i,γ1i,γ2iの代わりに前記pを
    法とし、前記Siまたはα1i,α2i,β1i,β2i,γ1i,γ2i
    を指数とする前記C1または前記C11,C12のべき乗剰余
    値(=C1 Si modpまたはC11 α1iC12 α2i modp,C1
    1 β1iC12 β2i modp,C11 γ1iC12 γ 2i modp)を秘
    密に保存することを特徴とする請求項1および6記載の
    排他的鍵共有法。
  15. 【請求項15】 前記議長端末または前記基地局が、前
    記特定端末を含む全ての前記Λについての前記λ(i,
    Λ)を求め、前記法q上で求めた各前記λ(i,Λ)を指数
    とし、前記pを法とする前記排除情報C2iのべき乗剰余
    値C2i∧(λ(i,Λ) modq) modpを計算し、鍵共有時
    に同報通信し、前記特定端末を除く全ての端末jでは、
    前記jを含む前記Λに対応した前記べき乗剰余値を用い
    て共有鍵Kを求めることを特徴とする請求項1および6
    記載の排他的鍵共有法。
  16. 【請求項16】 前記基地局と前記特定端末を除く全て
    の端末jが共有した前記共有鍵Kと前回の鍵共有時に共
    有した共有鍵K1から新規共有鍵K2を生成することを特
    徴とする請求項1および6記載の排他的鍵共有法。
  17. 【請求項17】 前記基地局と前記端末にあらかじめ備
    えられたディジタル署名手段において、基地局から配送
    されるデータに対して基地局のディジタル署名を付加す
    ることを特徴とする請求項6記載の排他的鍵共有法。
  18. 【請求項18】 前記端末が保持する秘密情報の数を、
    端末の権限に応じて増減させることを特徴とする請求項
    1および6記載の排他的鍵共有法。
  19. 【請求項19】 前記議長端末および前記基地局が特定
    端末として自身のみを選択し、前記共有鍵Kを用いた暗
    号通信路を用い鍵共有に必要な情報を同報通信すること
    を特徴とする請求項1および6記載の排他的鍵共有法。
  20. 【請求項20】 相互に接続されたN台(Nは2以上の
    整数)の端末からなる同報通信が可能な通信システムの
    排他的鍵共有法において、秘密鍵をSとし、前記Sおよ
    び前記Nより大きい素数または素数のべき数をpとし、
    (p−1)の約数をqとし、GF(p)の元をgとし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、前記各端末i
    (1≦i≦N)は、 S=Σλ(i,Λ)×Si(和はi∈Λについて行う) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) Si=S+f1×i1+…+fd×id modq (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報Siを秘密に保持しており、シ
    ステム管理者が管理するシステムの公開鍵 y=gS modp と、公開情報 y1=gS1 modp,y2=gS2 modp,…,yN=gSN modp と、前記素数pと前記約数qと前記元gを利用でき、
    (1)前記議長端末は、零でないGF(q)の元kを任意
    に生成し、d台の特定端末i1,…,idの公開情報yi1,
    …,yidから、排除情報 C2i1=yi1 k modp,・・・,C2id=yid k modp を計算し、(2)前記議長端末は、自身の秘密情報Sφ
    を用いて署名 Z=C2i1×・・・×C2id×(−Sφ)+k modq を計算し、上記署名Zを排除情報C2i1,…,C2idと特定
    端末番号i1,…,idと自身の端末番号φと共に全端末に
    同報通信し、(3)前記議長端末は、共有鍵 K=yk modp を求め、(4)前記各端末j(j≠i1,…,id,φ)は、
    議長端末の公開情報yφを用いて C1=gZ×yφ∧(C2i1×・・・×C2id modq) mod
    p (署名者が確かに議長端末φであり、かつ署名Zと排除
    情報C2i1,…,C2idと特定端末番号i1,…,idと議長端
    末の端末番号φが改ざんされていなければ、C1=gk m
    odpとなる。)を求め、(5)前記各端末jは、Λ=
    {j,i1,…,id }として、λ(j,Λ)とλ(i1,Λ),…,
    λ(id,Λ)を求め、前記C1と前記排除情報C2i1,・・
    ・,C2idと自身の秘密情報Sjを用いて、C1∧(Sj×λ
    (j,Λ) modq)×C2i1∧(λ(i1,Λ) modq)×・・・
    ×C2id∧(λ(id,Λ) modq) modpを計算することに
    より、前記議長端末との共有鍵Kを求め、(i)前記シ
    ステム管理者は、零でないGF(q)の元εを任意に生成
    し、前記εを全端末に同報通信し、(ii)前記システム
    管理者は、新規元 g'=g∧{(1/ε) modq} modp を求め、管理する前記元gと置き換え、(iii)前記各
    端末iは、新規秘密情報 Si'=Si×ε modq (このとき、(g')Si' modp=(g)Si modpが成り立
    つ)を求めることを特徴とする請求項1記載の排他的鍵
    共有法。
  21. 【請求項21】 相互に接続されたN台(Nは2以上の
    整数)の端末からなる同報通信が可能な通信システムの
    排他的鍵共有法において、秘密鍵をα1,α2,β1,β2,γ
    1,γ2とし、前記α1,α2,β1,β2,γ1,γ2および前記N
    より大きい素数または素数のべき数をpとし、(p−
    1)の約数をqとし、GF(p)の元をg 1,g2とし、議
    長端末φ(任意の端末がなることができる)が特定でき
    る特定端末数をd(1≦d<N−1)とし、前記各端末i
    (1≦i≦N)は、 α1=Σλ(i,Λ)×α1i(和はi∈Λについて行う) (ただし、α1i=α1+f1×i1+…+fd×id mod
    q) α2=Σλ(i,Λ)×α2i(和はi∈Λについて行う) (ただし、α2i=α2+f1×i1+…+fd×id mod
    q) β1=Σλ(i,Λ)×β1i(和はi∈Λについて行う) (ただし、β1i=β1+f1×i1+…+fd×id mod
    q) β2=Σλ(i,Λ)×β2i(和はi∈Λについて行う) (ただし、β2i=β2+f1×i1+…+fd×id mod
    q) γ1=Σλ(i,Λ)×γ1i(和はi∈Λについて行う) (ただし、γ1i=γ1+f1×i1+…+fd×id mod
    q) γ2=Σλ(i,Λ)×γ2i(和はi∈Λについて行う) (ただし、γ2i=γ2+f1×i1+…+fd×id mod
    q) λ(i,Λ)=Π{L/(L−i)}(積はL∈Λ−{i}に
    ついて行う) (ただし、f1,…,fdはd個のGF(q)の元、fd
    0、Λは前記N台の端末の任意の(d+1)台からなる
    集合)を満たす秘密情報α1i,α2i,β1i,β2i,γ1i,γ2
    iを秘密に保持しており、システム管理者が管理するシ
    ステムの公開鍵 Α=g1 α12 α2 modp,Β=g1 β12 β2 modp,Γ=
    1 γ12 γ2 modp と、前記秘密情報α1i,α2i,β1i,β2i,γ1i,γ2iより
    求めた公開情報 Α1=g1 α112 α21 modp,…,ΑN=g1 α1N2 α2N
    modp Β1=g1 β112 β21 modp,…,ΒN=g1 β1N2 β2N
    modp Γ1=g1 γ112 γ21 modp,…,ΓN=g1 γ1N2 γ2N
    modp と、前記素数pと前記約数qと前記元g1,g2とハッシ
    ュ関数hash( )を利用でき、(1)前記議長端末は、零
    でないGF(q)の元kを任意に生成し、準備情報 C11=g1 k modp,C12=g2 k modp を計算し、(2)前記議長端末は、d台の特定端末i1,
    …,idの公開情報Γi1,…,Γidから、排除情報 C2i1=Γi1 k modp,・・・,C2id=Γid k modp を計算し、(3)前記議長端末は、検証情報 v=ΑkΒ∧{c×k modq} modp(c=hash(C11,C1
    2) modq) vi1=Αi1 kΒi1∧{c×k modq} modp,・・・,v
    id=Αi1 kΒid∧{c×k modq} modp を計算し、上記排除情報C2i1,…,C2idと特定端末番号
    1,…,idと共に全端末に同報通信し、(4)前記議長
    端末は、共有鍵 K=Γk modp を求め、(5)前記各端末j(j≠i1,…,id,φ)は、
    Λ={j,i1,…,id}として、λ(j,Λ),λ(i1,Λ),
    …,λ(id,Λ)を求め、前記システムの公開鍵Α,Βと自
    身の前記秘密情報α1j,α2j,β1j,β2jを用いて検証式 (C11 α1jC12 α2j(C11 β1jC12 β2jc)∧{λ(j,
    Λ) modq}×vi1∧{λ(i1,Λ) modq}×…×vid
    {λ(id,Λ) modq} modp=v(c=hash(C11,C12)
    modq) を計算し、成り立たない場合は鍵共有を中止し、成り立
    つ場合は、(6)前記各端末jは、前記λ(j,Λ),λ
    (i1,Λ),…,λ(id,Λ)と前記準備情報C11,C12と前
    記排除情報C2i1,…,C2idと自身の前記秘密情報γ1j,
    γ2jを用いて、(C11 γ1jC12 γ2j)∧{λ(j,Λ) mod
    q}×C2i1∧{λ(i1,Λ) modq}×・・・×C2id∧{λ
    (id,Λ) modq} modpを計算することにより、前記議
    長端末との共有鍵Kを求め、(i)前記システム管理者
    は、零でないGF(q)の元εを任意に生成し、前記εを
    全端末に同報通信し、(ii)前記システム管理者は、新
    規元 g1'=g1∧(1/ε modq) modp,g2'=g2∧(1/
    ε modq) modp を求め、管理する前記元gと置き換え、(iii)前記各
    端末iは、新規秘密情報 α1i'=α1i×ε modq α2i'=α2i×ε modq β1i'=β1i×ε modq β2i'=β2i×ε modq γ1i'=γ1i×ε modq γ2i'=γ2i×ε modq (このとき、 (g')α1i' modp=(g)α1i modp (g')α2i' modp=(g)α2i modp (g')β1i' modp=(g)β1i modp (g')β2i' modp=(g)β2i modp (g')γ1i' modp=(g)γ1i modp (g')γ2i' modp=(g)γ2i modp が成り立つ)を求めることを特徴とする請求項6記載の
    排他的鍵共有法。
  22. 【請求項22】 前記議長端末または前記基地局は、前
    記共有鍵Kを用いて暗号化した暗号化εを全端末に同報
    通信することを特徴とする請求項20および21記載の
    排他的鍵共有法。
  23. 【請求項23】 前記議長端末のみが各端末の前記公開
    情報を利用できることを特徴とする請求項1および6記
    載の排他的鍵共有法。
  24. 【請求項24】 各端末が自身の前記公開情報以外の全
    ての前記公開情報を保有することを特徴とする請求項1
    および6記載の排他的鍵共有法。
  25. 【請求項25】 前記乗法演算を、任意の有限体上の楕
    円曲線などの曲線上の加法演算に対応させることを特徴
    とする請求項1〜24記載の排他的鍵共有法。
JP11062247A 1998-12-25 1999-03-09 排他的鍵共有法 Expired - Lifetime JP3074168B1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP11062247A JP3074168B1 (ja) 1999-03-09 1999-03-09 排他的鍵共有法
EP99961331A EP1059762B1 (en) 1998-12-25 1999-12-22 Exclusive key sharing method
PCT/JP1999/007234 WO2000039957A1 (fr) 1998-12-25 1999-12-22 Procede de partage de cle exclusive
US09/622,941 US6813357B1 (en) 1998-12-25 1999-12-22 Exclusive key sharing method
DE69940842T DE69940842D1 (de) 1998-12-25 1999-12-22 Verfahren zur gemeinsamen nutzung eines exklusiven schlüssels

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11062247A JP3074168B1 (ja) 1999-03-09 1999-03-09 排他的鍵共有法

Publications (2)

Publication Number Publication Date
JP3074168B1 true JP3074168B1 (ja) 2000-08-07
JP2000261425A JP2000261425A (ja) 2000-09-22

Family

ID=13194633

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11062247A Expired - Lifetime JP3074168B1 (ja) 1998-12-25 1999-03-09 排他的鍵共有法

Country Status (1)

Country Link
JP (1) JP3074168B1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2824212A1 (fr) 2001-04-25 2002-10-31 Thomson Licensing Sa Procede de gestion d'une cle symetrique dans un reseau de communication et dispositifs pour la mise en oeuvre
KR100872817B1 (ko) 2006-12-07 2008-12-09 인하대학교 산학협력단 변형 디피 헬만 기반 키교환 방법
JP5012574B2 (ja) * 2008-03-03 2012-08-29 日本電気株式会社 共通鍵自動共有システム及び共通鍵自動共有方法
JP5911289B2 (ja) * 2011-12-16 2016-04-27 セコム株式会社 鍵管理システム
JP6295185B2 (ja) * 2014-11-18 2018-03-14 株式会社日立製作所 電力送配電網運用システム、電力送配電網運用方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
K.Nyberg and R.A.Rueppel;"Message Recovery for Signature Schemes Based on the Discrete Logarithm Problem"Lecture Note in Computer Science (Advances in Cryptology EUROCRYPT’94)Vol.950(1994.5月)p.182−193
R.Cramer and V.Shoup;"A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack"Lecture Note in Computer Science(Advances in Cryptology CRYPTO’98),Vol.1462(1998.8月)p.13−25
安斉潤 他;"マスク付きグループ鍵共有法"1999年暗号と情報セキュリティシンポジウム予稿集 Vol.2/2(1999.1.26)p.835−840
松崎なつめ 他;"マスク付きグループ鍵共有を少量の加入者計算で行う方法"2000年暗号と情報セキュリティ・シンポジウム(2000.1.27)C−18
松崎なつめ 他;"マスク付きグループ鍵共有法(その2)"電子情報通信学会技術研究報告(SST98−113−129)Vol.98,No.657(1999.3.10)p.835−840

Also Published As

Publication number Publication date
JP2000261425A (ja) 2000-09-22

Similar Documents

Publication Publication Date Title
JP6799061B2 (ja) ウォレット管理システムと併せたブロックチェーンベースのシステムのための暗号鍵のセキュアなマルチパーティ損失耐性のある記憶及び転送
CN108199835B (zh) 一种多方联合私钥解密方法
US5920630A (en) Method of public key cryptography that includes key escrow
US5937066A (en) Two-phase cryptographic key recovery system
JP4588874B2 (ja) 内在的証明書方式
CN108667625B (zh) 协同sm2的数字签名方法
US20110307698A1 (en) Masking the output of random number generators in key generation protocols
EP0695056A2 (en) A method for sharing secret information, generating a digital signature, and performing certification in a communication system that has a plurality of information processing apparatuses and a communication system that employs such a method
EP1526676A1 (en) Conference session key distribution method on an id-based cryptographic system
US20060177067A1 (en) Hybrid broadcast encryption method
CN110545169B (zh) 基于非对称密钥池和隐式证书的区块链方法和系统
WO2013087629A1 (en) Group encryption methods and devices
JP2003521197A (ja) 鍵暗号化の供託および回復システムによる通信方法
CN111586064A (zh) 一种匿名的基于身份广播加密方法及其系统
US6813357B1 (en) Exclusive key sharing method
JP3074168B1 (ja) 排他的鍵共有法
EP2395698B1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
US7958354B1 (en) High-order knowledge sharing system to distribute secret data
CN114189338B (zh) 基于同态加密技术的sm9密钥安全分发和管理系统及方法
CN114205077B (zh) 基于Blom密钥分配算法的混合加密安全通信方法
Takaragi et al. A threshold digital signature issuing scheme without secret communication
JP3074164B2 (ja) 排他的鍵共有法
JP2868759B1 (ja) 鍵更新方法
CN114697001B (zh) 一种基于区块链的信息加密传输方法、设备及介质
JP2865654B1 (ja) 鍵更新方法