JP5097137B2 - Cryptographic communication system, terminal device, secret key generation method and program - Google Patents

Cryptographic communication system, terminal device, secret key generation method and program Download PDF

Info

Publication number
JP5097137B2
JP5097137B2 JP2009001347A JP2009001347A JP5097137B2 JP 5097137 B2 JP5097137 B2 JP 5097137B2 JP 2009001347 A JP2009001347 A JP 2009001347A JP 2009001347 A JP2009001347 A JP 2009001347A JP 5097137 B2 JP5097137 B2 JP 5097137B2
Authority
JP
Japan
Prior art keywords
information
secret
secret key
hierarchical
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009001347A
Other languages
Japanese (ja)
Other versions
JP2010161527A (en
Inventor
鉄太郎 小林
美也子 大久保
幸太郎 鈴木
ホン ソウ チェ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009001347A priority Critical patent/JP5097137B2/en
Publication of JP2010161527A publication Critical patent/JP2010161527A/en
Application granted granted Critical
Publication of JP5097137B2 publication Critical patent/JP5097137B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、IDベース暗号技術に関し、特に、IDベース暗号の秘密鍵の生成に関する。   The present invention relates to ID-based encryption technology, and more particularly to generation of a secret key for ID-based encryption.

RSAなどの通常の公開鍵暗号方式では、送信側の端末装置が事前に公開鍵を取得する必要がある。この場合、送信側の端末装置は、取得した公開鍵が正当な受信側の端末装置の公開鍵であることを何らかの形で担保する必要がある。送信側の端末装置が不正な端末装置の公開鍵を用いて暗号文を生成し、不正な端末装置に暗号文が復号されることを防止するためである。そのため、通常の公開鍵暗号方式では、認証局(Certificate Authority)が発行する公開鍵証明書によって公開鍵の正当性が担保される。しかし、この場合には、暗号通信を開始する前に公開鍵証明書の取得・検証といった煩雑な処理を行わなければならない。   In a normal public key cryptosystem such as RSA, the terminal device on the transmission side needs to obtain a public key in advance. In this case, it is necessary for the transmitting terminal device to guarantee in some way that the acquired public key is the public key of the valid receiving terminal device. This is because the terminal device on the transmission side generates a ciphertext using the public key of the unauthorized terminal device and prevents the encrypted text from being decrypted by the unauthorized terminal device. Therefore, in a normal public key cryptosystem, the validity of the public key is secured by a public key certificate issued by a certificate authority. However, in this case, complicated processing such as acquisition / verification of the public key certificate must be performed before the encryption communication is started.

これに対し、IDベース暗号(Identify-based encryption)方式が提案された(例えば、非特許文献1〜3参照)。IDベース暗号方式では、鍵発行装置がマスター秘密鍵と取得した受信装置のID(例えば、電話番号やURLなど)を用いて受信側の端末装置の秘密鍵を生成し、当該受信側の端末装置に発行する。送信側の端末装置は、受信側の端末装置のIDと公開パラメータのみを用いて暗号文を生成できる。IDベース暗号方式の場合、受信側の端末装置のIDを知っている端末装置であれば、このIDを用いて生成した暗号文が正当な端末装置でのみ復号可能であることを確信できる。そのため、IDベース暗号方式では、通常の公開鍵暗号方式のように事前に公開鍵証明書を取得する必要がなく、通常の公開鍵暗号方式に比べて利便性が高い。   On the other hand, an ID-based encryption scheme has been proposed (see, for example, Non-Patent Documents 1 to 3). In the ID-based encryption method, the key issuing device generates a secret key of the receiving terminal device using the master secret key and the ID (for example, telephone number or URL) of the receiving device acquired, and the receiving terminal device To issue. The transmitting terminal device can generate a ciphertext using only the ID and public parameter of the receiving terminal device. In the case of the ID-based encryption method, if the terminal device knows the ID of the terminal device on the receiving side, it can be confident that the ciphertext generated using this ID can be decrypted only by a valid terminal device. For this reason, the ID-based encryption method does not need to obtain a public key certificate in advance unlike the ordinary public key encryption method, and is more convenient than the ordinary public key encryption method.

D. Boneh and M. Franklin, "Identify-based encryption from the Weil pairing", Advances in Cryptology 0 CRYTPO '01, volume 2139 of LNCS, pages 213-229, Springer, 2001.D. Boneh and M. Franklin, "Identify-based encryption from the Weil pairing", Advances in Cryptology 0 CRYTPO '01, volume 2139 of LNCS, pages 213-229, Springer, 2001. Matthew Green and Susan Hohenberge, "Blind Identity-Based Encryption and Simulatable Oblivious Transfer", ASIACRYPT 2007, LNCS 4833, pp. 265-282, 2007.Matthew Green and Susan Hohenberge, "Blind Identity-Based Encryption and Simulatable Oblivious Transfer", ASIACRYPT 2007, LNCS 4833, pp. 265-282, 2007. Le Trieu Phong and Wakaha Ogata, "Blind HIBE and its Application to Blind Decryption", SCIS 2008, Jan. 2008.Le Trieu Phong and Wakaha Ogata, "Blind HIBE and its Application to Blind Decryption", SCIS 2008, Jan. 2008.

IDベース暗号方式では、鍵発行装置が受信側の端末装置のIDを取得して当該端末装置の秘密鍵を生成する。そのため、鍵発行装置にとって当該受信側の端末装置の秘密鍵は既知であり、このIDを用いて生成した暗号文は、当該受信側の端末装置だけではなく、鍵発行装置でも復号可能である(エスクロー性)。エスクロー性は、鍵発行装置が暗号文の内容を検閲する場面では役に立つ性質であるが、用途によってはプライバシー保護の観点から好ましくない性質である。   In the ID-based encryption method, the key issuing device acquires the ID of the receiving terminal device and generates a secret key for the terminal device. For this reason, the secret key of the receiving terminal device is known to the key issuing device, and the ciphertext generated using this ID can be decrypted not only by the receiving terminal device but also by the key issuing device ( Escrow properties). The escrow property is a property that is useful in a situation where the key issuing device censors the contents of the ciphertext, but it is an undesirable property from the viewpoint of privacy protection depending on the application.

本発明はこのような点に鑑みてなされたものであり、送信側の端末装置が受信側の端末装置のIDと公開パラメータとを用いて暗号文を生成でき、なおかつ、エスクロー性を回避できる技術を提供することを目的とする。   The present invention has been made in view of the above points, and a technology that enables a terminal device on the transmission side to generate a ciphertext using the ID and public parameters of the terminal device on the reception side, and avoids escrow properties. The purpose is to provide.

本発明の第1形態では、階層型IDベース暗号方式の各秘密鍵を生成するためのマスター秘密鍵と、秘密鍵を利用する利用者に対応する公開ID情報と、が少なくとも格納された第1記憶部と、第1記憶部から読み込んだマスター秘密鍵と何れかの利用者に対応する公開ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成する第1秘密鍵生成部と、第1秘密鍵を出力する出力部と、を含む鍵生成装置と、或る利用者に対応する秘密ID情報が格納された第2記憶部と、鍵生成装置から出力された第1秘密鍵が入力される入力部と、第2記憶部から読み込んだ秘密ID情報と入力部に入力された第1秘密鍵とを用い、階層型IDベース暗号方式の鍵生成手順に従って、公開ID情報と秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成する第2秘密鍵生成部と、を含む端末装置とを有する暗号通信システム及びその秘密鍵生成方法が提供される。ここで、鍵生成装置と端末装置とは互いに独立した装置であり、秘密ID情報は鍵生成装置に対して非公開な情報であり、第2秘密鍵は公開ID情報と秘密ID情報との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵である。   In the first aspect of the present invention, the master secret key for generating each secret key of the hierarchical ID-based encryption method and the public ID information corresponding to the user who uses the secret key are stored at least in the first form. Using the storage unit, the master secret key read from the first storage unit and the public ID information corresponding to one of the users, the public ID information is set as an ID according to the key generation procedure of the hierarchical ID-based encryption method. A key generation device including a first secret key generation unit that generates a first secret key of a hierarchical ID-based encryption method, an output unit that outputs the first secret key, and secret ID information corresponding to a certain user , A second storage unit in which is stored, an input unit to which the first secret key output from the key generation device is input, secret ID information read from the second storage unit, and the first secret key input to the input unit And the hierarchical ID-based encryption method A cryptographic communication system comprising: a terminal device including a second secret key generation unit that generates a second secret key of a hierarchical ID-based encryption scheme using a set of public ID information and secret ID information as an ID according to a generation procedure And a secret key generation method thereof. Here, the key generation device and the terminal device are devices independent from each other, the secret ID information is private information to the key generation device, and the second secret key is a combination of the public ID information and the secret ID information. Is a secret key for decrypting the ciphertext of the hierarchical ID-based encryption scheme with ID as the ID.

また、本発明の第2形態では、階層型IDベース暗号方式の各秘密鍵を生成するためのマスター秘密鍵と、秘密鍵を利用する利用者に対応する公開ID情報と、が少なくとも格納された第1記憶部と、或る利用者に対応する秘密ID情報をランダム数によってランダム化して得られたランダム化秘密ID情報が入力される入力部と、マスター秘密鍵と、ランダム化秘密ID情報に対応する利用者に対応する公開ID情報とを第1記憶部から読み込み、これらを用いた階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成する第1秘密鍵生成部と、
第1秘密鍵とランダム化秘密ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、公開ID情報とランダム化秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成する第2秘密鍵生成部と、第2秘密鍵を出力する出力部と、を含む鍵生成装置と、鍵生成装置から出力された第2秘密鍵が入力される入力部と、第2秘密鍵とランダム数とを用い、公開ID情報と秘密ID情報との組をIDとする階層型IDベース暗号方式の第3秘密鍵を復元するランダム除去部と、を含む端末装置とを有する暗号通信システム及びその秘密鍵生成方法が提供される。ここで、鍵生成装置と端末装置とは互いに独立した装置であり、秘密ID情報は鍵生成装置に対して非公開な情報であり、第3秘密鍵は公開ID情報と秘密ID情報との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵である。 In the second embodiment of the present invention, at least a master secret key for generating each secret key of the hierarchical ID-based encryption method and public ID information corresponding to a user who uses the secret key are stored. A first storage unit, an input unit to which randomized secret ID information obtained by randomizing secret ID information corresponding to a certain user is randomized, a master secret key, and randomized secret ID information The public ID information corresponding to the corresponding user is read from the first storage unit, and in accordance with the key generation procedure of the hierarchical ID-based encryption method using these, the ID of the hierarchical ID-based encryption method using the public ID information as an ID A first secret key generation unit for generating a first secret key;
Using the first secret key and the randomized secret ID information, according to the key generation procedure of the hierarchical ID-based encryption method, the first of the hierarchical ID-based encryption method using the combination of the public ID information and the randomized secret ID information as an ID. A key generation device including a second secret key generation unit that generates two secret keys, an output unit that outputs the second secret key, and an input unit to which the second secret key output from the key generation device is input A random removal unit that restores the third secret key of the hierarchical ID-based encryption scheme using the second secret key and a random number as an ID, and a set of public ID information and secret ID information; and And a secret key generation method therefor are provided. Here, the key generation device and the terminal device are devices independent from each other, the secret ID information is private information to the key generation device, and the third secret key is a combination of the public ID information and the secret ID information. Is a secret key for decrypting the ciphertext of the hierarchical ID-based encryption scheme with ID as the ID.

本発明では、鍵生成装置に秘密ID情報を知られることなく、端末装置が自らの秘密鍵を得ることができる。そのため、端末装置が使用する秘密鍵が鍵生成装置に知られることもない。また、この秘密鍵は階層型IDベース暗号方式の秘密鍵であり、送信側の端末装置は、受信側の端末装置のIDと公開パラメータとを用いて暗号文を生成できる。   In the present invention, the terminal device can obtain its own secret key without the secret ID information being known to the key generation device. Therefore, the secret key used by the terminal device is not known to the key generation device. The secret key is a secret key of the hierarchical ID-based encryption method, and the terminal device on the transmission side can generate a ciphertext using the ID of the terminal device on the reception side and the public parameter.

本発明では、送信側の端末装置が受信側の端末装置のIDと公開パラメータとを用いて暗号文を生成でき、なおかつ、エスクロー性を回避できる。   In the present invention, the terminal device on the transmission side can generate the ciphertext using the ID of the terminal device on the reception side and the public parameter, and the escrow property can be avoided.

第1実施形態の暗号通信システムの機能構成を例示したブロック図。The block diagram which illustrated the functional composition of the encryption communications system of a 1st embodiment. (a)は、鍵生成装置の鍵生成部の詳細構成の一例を示す図であり、(b)は、端末装置の鍵生成部の詳細構成の一例を示す図である。(A) is a figure which shows an example of a detailed structure of the key generation part of a key generation apparatus, (b) is a figure which shows an example of a detailed structure of the key generation part of a terminal device. 第1実施形態の秘密鍵の生成方法を説明するためのフローチャート。The flowchart for demonstrating the production | generation method of the private key of 1st Embodiment. (a)は、ステップS3の一例を説明するためのフローチャートであり、(b)は、ステップS6の一例を説明するためのフローチャートである。(A) is a flowchart for demonstrating an example of step S3, (b) is a flowchart for demonstrating an example of step S6. 第2実施形態の暗号通信システムの機能構成を例示したブロック図。The block diagram which illustrated the functional composition of the encryption communications system of a 2nd embodiment. (a)は、鍵生成装置の鍵生成部の詳細構成の一例を示す図であり、(b)は、端末装置のランダム除去部の詳細構成の一例を示す図である。(A) is a figure which shows an example of a detailed structure of the key generation part of a key generation apparatus, (b) is a figure which shows an example of a detailed structure of the random removal part of a terminal device. 第2実施形態の秘密鍵の生成方法を説明するためのフローチャート。The flowchart for demonstrating the production | generation method of the private key of 2nd Embodiment. (a)は、ステップS17の一例を説明するためのフローチャートであり、(b)は、ステップS20の一例を説明するためのフローチャートである。(A) is a flowchart for demonstrating an example of step S17, (b) is a flowchart for demonstrating an example of step S20.

以下、図面を参照して本発明の実施形態を説明する。
〔記号・用語の定義〕
まず、実施形態で使用する記号・用語を定義する。
E:位数Tの有限体FT上で定義された楕円曲線。アフィン(affine)座標版のWeierstrass方程式
y2+a1・x・y+a3・y=x3+a2・x2+a4・x+a6 …(1)
(ただし、a1,a2,a3,a4,a6∈FT)を満たす点(x,y)の集合に無限遠点と呼ばれる特別な点Oを付加したもので定義される。楕円曲線E上の任意の2点に対して楕円加算と呼ばれる二項演算及び楕円曲線E上の任意の1点に対して楕円逆元と呼ばれる単項演算がそれぞれ定義できる。また、この楕円加算に関して群をなすこと、楕円加算を用いて楕円スカラー倍算と呼ばれる演算が定義できることはよく知られている。また、それらの演算をコンピュータ上で効率的に実行する様々なアルゴリズムもよく知られている(例えば、参考文献1“イアン・F・ブラケ、ガディエル・セロッシ、ナイジェル・P・スマート=著、「楕円曲線暗号」、出版=ピアソン・エデュケーション、ISBN4-89471-431-0”等参照)。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[Definition of symbols and terms]
First, symbols and terms used in the embodiment are defined.
E: An elliptic curve defined on a finite field F T of order T. Weierstrass equation of the affine coordinate version
y 2 + a 1・ x ・ y + a 3・ y = x 3 + a 2・ x 2 + a 4・ x + a 6 … (1)
It is defined as a set of points (x, y) satisfying (where a 1 , a 2 , a 3 , a 4 , a 6 ∈ F T ) and a special point O called an infinite point. A binary operation called elliptic addition can be defined for any two points on the elliptic curve E, and a unary operation called elliptic inverse can be defined for any one point on the elliptic curve E. In addition, it is well known that a group can be defined for this elliptic addition, and an operation called elliptic scalar multiplication can be defined using elliptic addition. Also, various algorithms for efficiently executing these operations on a computer are well known (for example, Reference 1 “Ian F. Braque, Gadiel Selossi, Nigel P. Smart = Author,“ Ellipse ”). "Curve cryptography", publication = Pearson Education, ISBN4-89471-431-0 "etc.).

#E:楕円曲線E上の有理点からなる有限集合の要素数。有限体FT上で定義された楕円曲線Eの有理点の個数#Eは有限である。
p:#Eを割り切る大きい素数。 #E: Number of elements in a finite set of rational points on the elliptic curve E. Number #E of rational points of the elliptic curve E defined on a finite field F T is finite.
p: A large prime number that divides #E.

G:位数pの巡回群。本形態では、楕円曲線Eのp等分点からなる有限集合E[p]を巡回群Gとして用いる。楕円曲線E上の点Aのうち、楕円曲線E上での楕円スカラー倍算値p・Aがp・A=Oを満たす点Aの有限集合として定義される。E[p]は、Eの部分群である。なお、ε・η∈Gは、Gの元εとηとに対し、Gで定義された演算を行うことを意味する。また、εν∈G(ν∈Z)は、Gの元εに対し、Gで定義された演算をν回行うこと(ε・ε...ε・ε∈G)を意味する。本形態のGは、楕円曲線E上の有理点からなる有限集合の部分群であるため、ε・η∈Gは楕円曲線E上での点εとηとの楕円加算に相当し、εν∈Gは楕円曲線E上での点εの楕円スカラー倍算(ν倍算)に相当する。 G: A cyclic group of order p. In the present embodiment, a finite set E [p] composed of p equal points of the elliptic curve E is used as the cyclic group G. Of the points A on the elliptic curve E, the elliptic scalar multiplication value p · A on the elliptic curve E is defined as a finite set of points A satisfying p · A = O. E [p] is a subgroup of E. Note that ε · ηεG means that an operation defined by G is performed on the elements ε and η of G. Furthermore, ε ν εG (νεZ) means that the operation defined by G is performed ν times on the element ε of G (ε · ε ... ε · εεG). Since G in this embodiment is a subgroup of a finite set of rational points on the elliptic curve E, ε · η∈G corresponds to elliptic addition of the points ε and η on the elliptic curve E, and ε ν ΕG corresponds to elliptic scalar multiplication (ν multiplication) of the point ε on the elliptic curve E.

g:巡回群Gの生成元。本形態の巡回群Gの位数pは素数であるため、巡回群Gのいずれかの元を生成元gとして選択すればよい。
Zp:pによる剰余類の加群(Z/pZ)。本実施形態では、その代表元をZpと表現する。また、代表元の一例は、0以上p-1以下の整数である。なお、ε∈Zpは、εが集合Zpの元であることを示す。
Zp *:pによる剰余類の乗法群(Z/pZ)*。Zpかつpと互いに素な整数の集合である。 g: Source of the cyclic group G. Since the order p of the cyclic group G in this embodiment is a prime number, any element of the cyclic group G may be selected as the generation source g.
Z p : Module of residue class by p (Z / pZ). In the present embodiment, to represent the typical source and Z p. An example of the representative element is an integer of 0 or more and p−1 or less. Note that εεZ p indicates that ε is an element of the set Z p .
Z p * : Multiplicative group of residue class by p (Z / pZ) * . Z is a set of integers disjoint with p and p.

GT:有限体FTを基礎体とする拡大体である有限集合。その一例は、有限体FTの代数閉包における1のp乗根からなる有限集合である。
e:非退化双線形ペアリング(pairing)関数(以下「ペアリング関数」と呼ぶ)であり、以下の式で定義される。
G×G=GT …(2) G T : A finite set that is an extension field based on the finite field F T. An example is a finite set of one of the p th root of the algebraic closure of the finite field F T.
e: non-degenerate bilinear pairing function (hereinafter referred to as “pairing function”), which is defined by the following equation.
G × G = G T … (2)

本形態で使用するペアリング関数eは次の性質を持つ。
[性質1]G上の任意の点A1に対して、e(A1,A1)=1が成り立つ。
[性質2]G上の任意の2点A1,A2に対して、e(A1,A2)=e(A2,A1)が成り立つ。
[性質3]G上の任意の3点A1,A2,A3に対して、e(A1+A2,A3)=e(A1,A3)e(A2,A3)であり、e(A1,A2+A3)=e(A1,A2)e(A1,A3)が成り立つ。
[性質4]G上の任意の点A1に対して、e(A1,O)=1が成り立つ。
[性質5]G上のある点A1がG上のすべての点Aに対して、e(A1,A2)=1を満たすなら、A1=Oが成り立つ。 The pairing function e used in this embodiment has the following properties.
[Property 1] For any point A 1 on G, e (A 1 , A 1 ) = 1 holds.
[Property 2] For any two points A 1 and A 2 on G, e (A 1 , A 2 ) = e (A 2 , A 1 ) holds.
[Property 3] For any three points A 1 , A 2 , A 3 on G, e (A 1 + A 2 , A 3 ) = e (A 1 , A 3 ) e (A 2 , A 3 ), And e (A 1 , A 2 + A 3 ) = e (A 1 , A 2 ) e (A 1 , A 3 ) holds.
[Property 4] For an arbitrary point A 1 on G, e (A 1 , O) = 1 holds.
[Property 5] If a certain point A 1 on G satisfies e (A 1 , A 2 ) = 1 for all points A 2 on G, then A 1 = O holds.

なお、このようなペアリング関数eの具体例としては、例えば、参考文献2「"IEEE P1636.3TM/D1 Draft Standard for Identity-based Public-key Cryptography Using Pairings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdf], pp.24-25, April 2008」に開示された関数e(A1,φ(A2))を例示できる。参考文献2にあるように、この関数は、WeilペアリングやTateペアリングなどの関数に写像φを組み合わせたもので実現できる。ここで、写像φは以下のようになる。
φ(x,y) = (v-1x,v-3/2y)(楕円曲線Eが2次のツイストを持つ場合)
φ(x,y) = (v-1/3x,v-1/2y)(楕円曲線Eが4又は6次のツイストを持つ場合) In addition, as a specific example of such a pairing function e, for example, Reference Document 2 ““ IEEE P1636.3 TM / D1 Draft Standard for Identity-based Public-key Cryptography Using Pairings ”, [URL: http: // grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdf], pp.24-25, April 2008 "e (A 1 , φ (A 2 )) Can be illustrated. As described in Reference Document 2, this function can be realized by combining a mapping φ with a function such as Weil pairing or Tate pairing. Here, the mapping φ is as follows.
φ (x, y) = (v -1 x, v -3/2 y) (when elliptic curve E has a quadratic twist)
φ (x, y) = (v -1/3 x, v -1/2 y) (when elliptic curve E has a 4th or 6th order twist)

ただし、vは有限体FTの平方非剰余な元v∈FTである。また、WeilペアリングやTateペアリングについては、例えば、参考文献3「Alfred. J. Menezes,ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6,pp. 61-81」等に開示されている。また、ペアリング関数が効率的に計算可能な非超特異楕円曲線(non-supersingular curve)の生成方法については、参考文献4「A. Miyaji, M. Nakabayashi, S.Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献5「P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003」などに開示されている。また、ペアリング関数をコンピュータ上で計算するためのアルゴリズムとしては、周知のMiller のアルゴリズム(参考文献6「V. S. Miller, “Short Programs for functions on Curves,” 1986,インターネット<http://crypto.stanford.edu/miller/miller.pdf>」などが存在する。 Where v is the square non-residue element vεF T of the finite field F T. For Weil pairing and Tate pairing, refer to Reference 3 “Alfred. J. Menezes, ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6, pp. 61-81”. It is disclosed. For the method of generating a non-supersingular curve that can be efficiently calculated by the pairing function, see Reference 4 “A. Miyaji, M. Nakabayashi, S. Takano,“ New explicit conditions of elliptic curve Traces for FR-Reduction, "IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001", reference 5 "PSLM Barreto, B. Lynn, M. Scott," Constructing elliptic curves with prescribed embedding degrees, "Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003". As an algorithm for calculating the pairing function on a computer, the well-known Miller algorithm (reference document 6 “VS Miller,“ Short Programs for functions on Curves, ”1986, Internet <http: //crypto.stanford .edu / miller / miller.pdf>".

階層型IDベース暗号方式(Hierarchical Identity-Based Encryption):IDベース暗号方式のIDを階層化し、階層化された各IDが階層化された各装置に対応させ、各装置の秘密鍵を階層的に生成できるIDベース暗号方式。この方式では、マスター秘密鍵を利用可能な装置が、マスター秘密鍵と各IDとを用い、各IDに対応する秘密鍵を生成でき、マスター秘密鍵を利用できない装置であっても、上位層のIDに対して生成された秘密鍵とその下位層のIDとを用い、当該下位層のIDに対応する秘密鍵を生成できる。IDベース暗号の具体的な構成は、様々な文献に開示されており、例えば、非特許文献2,3のほか、参考文献7「C. Gentry, A. Silverberg, "Hierarchical ID-based cryptography," Proceedings of ASIACRYPT 2002, Lecture Notes in Computer Science, Springer-Verlag, 2002.」、参考文献8「Dan Boneh, Xavier Boyen, and Eu-Jin Goh, "Hierarchical identity based encryption with constant size ciphertext," Proceedings of Eurocrypt 2005, volume 3494 of LNCS, pages 440-456.」、参考文献9「Xavier Boyen and Brent Waters, "Anonymous Hierarchical Identity-Based Encryption," Proceedings of CRYPTO 2006, volume 4117 of LNCS.」などに開示されている。   Hierarchical Identity-Based Encryption: Hierarchical Identity-Based Encryption: Hierarchical ID-based encryption is hierarchized, and each hierarchized ID is associated with each hierarchized device, and the secret key of each device is hierarchized. ID-based encryption method that can be generated. In this method, a device that can use the master secret key can generate a secret key corresponding to each ID by using the master secret key and each ID, and even if the device cannot use the master secret key, Using the secret key generated for the ID and the ID of the lower layer, a secret key corresponding to the ID of the lower layer can be generated. Specific configurations of the ID-based encryption are disclosed in various documents. For example, in addition to Non-Patent Documents 2 and 3, Reference 7 “C. Gentry, A. Silverberg,“ Hierarchical ID-based cryptography, ” Proceedings of ASIACRYPT 2002, Lecture Notes in Computer Science, Springer-Verlag, 2002. ", Reference 8" Dan Boneh, Xavier Boyen, and Eu-Jin Goh, "Hierarchical identity based encryption with constant size ciphertext," Proceedings of Eurocrypt 2005 , volume 3494 of LNCS, pages 440-456. ”, reference 9“ Xavier Boyen and Brent Waters, “Anonymous Hierarchical Identity-Based Encryption,” Proceedings of CRYPTO 2006, volume 4117 of LNCS. ”, and the like.

H:任意のビット長のビット列をZpの元へ移す衝突困難なハッシュ関数({0,1}*→Zp)。このようなハッシュ関数HはSHA-1などの公知のハッシュ関数と剰余演算等などから容易に構成できる。 H: arbitrary bit length collision hash function to transfer the bit stream to Z p of the original ({0,1} * → Z p ). Such a hash function H can be easily configured from a known hash function such as SHA-1 and a remainder operation.

〔第1実施形態〕
まず、本発明の第1実施形態を説明する。本形態では、鍵生成装置で公開ID情報を用い、階層型IDベース暗号方式の第1階層目の秘密鍵生成処理を行って第1秘密鍵を生成し、受信側の端末装置で第1秘密鍵と秘密ID情報とを用い、階層型IDベース暗号方式の第2階層目の秘密鍵生成処理を行って第2秘密鍵を生成する。 [First Embodiment]
First, a first embodiment of the present invention will be described. In this embodiment, the public ID information is used in the key generation device, the first secret key is generated by performing the first-level secret key generation processing of the hierarchical ID-based encryption method, and the first secret key is generated in the terminal device on the receiving side. Using the key and the secret ID information, a second secret key is generated by performing a second-layer secret key generation process of the hierarchical ID-based encryption scheme.

<全体構成>
図1は、第1実施形態の暗号通信システム1の機能構成を例示したブロック図である。また、図2(a)は、鍵生成装置10の鍵生成部16の詳細構成の一例を示す図であり、図2(b)は、端末装置30の鍵生成部36の詳細構成の一例を示す図である。なお、図2(a)(b)の構成は、階層型IDベース暗号方式として非特許文献3の方式を用いた例である。しかし、本発明はこれに限定されず、上述した非特許文献2や参考文献7〜9などに開示されたその他の階層型IDベース暗号方式を用いてもよい。 <Overall configuration>
FIG. 1 is a block diagram illustrating a functional configuration of the cryptographic communication system 1 according to the first embodiment. 2A is a diagram illustrating an example of a detailed configuration of the key generation unit 16 of the key generation device 10, and FIG. 2B is an example of a detailed configuration of the key generation unit 36 of the terminal device 30. FIG. 2A and 2B is an example in which the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method. However, the present invention is not limited to this, and other hierarchical ID-based encryption methods disclosed in Non-Patent Document 2 and Reference Documents 7 to 9 described above may be used.

図1に例示するように、本形態の暗号通信システム1は、階層型IDベース暗号方式の秘密鍵を生成する鍵生成装置10と、暗号文を生成して送信する送信側の端末装置20と、暗号文を受信して復号する受信側の端末装置30とを有する。鍵生成装置10及び端末装置20,30は、それぞれ、通信機能を備える。鍵生成装置10と端末装置30とは、これらの間での相互通信が可能なように構成され、端末装置20と端末装置30とは、端末装置20から端末装置30への送信が可能なように構成される。また、鍵生成装置10と端末装置30とは、互いに独立した装置であり、それらは独立の管理者によって管理されるか、或いは、互いに特定の秘密情報を漏らさない旨のセキュリティポリシーのもと、同一の管理者によって管理されている。   As illustrated in FIG. 1, the cryptographic communication system 1 of the present embodiment includes a key generation device 10 that generates a secret key of a hierarchical ID-based encryption method, and a transmission-side terminal device 20 that generates and transmits a ciphertext. A receiving-side terminal device 30 that receives and decrypts the ciphertext. The key generation device 10 and the terminal devices 20 and 30 each have a communication function. The key generation device 10 and the terminal device 30 are configured to be able to communicate with each other, and the terminal device 20 and the terminal device 30 can transmit from the terminal device 20 to the terminal device 30. Configured. Further, the key generation device 10 and the terminal device 30 are devices independent of each other, and they are managed by an independent administrator or based on a security policy that does not leak specific secret information to each other, Managed by the same administrator.

<鍵生成装置10の構成>
鍵生成装置10は、例えば、CPU(central processing unit)、RAM(random-access memory)、磁気記録装置、光磁気記録媒体、通信装置等を備える公知のコンピュータに所定のプログラムが読み込まれて実行されることで構成される装置である。図1に例示するように、本形態の鍵生成装置10は、記憶部11(「第1記憶部」に相当)と、一時メモリ12と、制御部13と、送信部14(「出力部」に相当)と、受信部15と、鍵生成部(TA0)16(「第1鍵生成部」に相当)とを有する。また、図2(a)に例示した鍵生成部(TA0)16は、ランダム数生成部16aと、第1階層演算部16bとを有し、第1階層演算部16bは、演算部16ba,16bbを有する。なお、記憶部11と一時メモリ12とは、例えば、RAM、磁気記録装置、光磁気記録媒体やそれらの少なくとも一部の結合によって構成される記憶領域である。また、制御部13と、鍵生成部(TA0)16とは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部であり、送信部14と受信部15とは、例えば、所定のプログラムが読み込まれたCPUの制御のもと駆動する通信装置である。また、鍵生成装置10は、制御部13の制御のもと各処理を実行する。また、各演算処理で生成されたデータは、逐一、一時メモリ12に格納され、その他の演算処理の際に読み出されて利用される。 <Configuration of Key Generation Device 10>
The key generation device 10 is executed by reading a predetermined program into a known computer including, for example, a CPU (central processing unit), a RAM (random-access memory), a magnetic recording device, a magneto-optical recording medium, a communication device, and the like. It is a device constituted by. As illustrated in FIG. 1, the key generation device 10 of the present embodiment includes a storage unit 11 (corresponding to a “first storage unit”), a temporary memory 12, a control unit 13, and a transmission unit 14 (“output unit”). ), A receiving unit 15, and a key generation unit (TA 0 ) 16 (corresponding to “first key generation unit”). The key generation unit (TA 0 ) 16 illustrated in FIG. 2A includes a random number generation unit 16a and a first hierarchy calculation unit 16b, and the first hierarchy calculation unit 16b includes calculation units 16ba, 16 bb. The storage unit 11 and the temporary memory 12 are storage areas configured by, for example, a RAM, a magnetic recording device, a magneto-optical recording medium, or a combination of at least some of them. The control unit 13 and the key generation unit (TA 0 ) 16 are, for example, processing units configured by reading a predetermined program into the CPU, and the transmission unit 14 and the reception unit 15 are, for example, predetermined The communication device is driven under the control of the CPU loaded with the program. The key generation device 10 executes each process under the control of the control unit 13. In addition, data generated by each calculation process is stored in the temporary memory 12 one by one, and read and used in other calculation processes.

<送信側の端末装置(Sender)20の構成>
送信側の端末装置20は、例えば、CPU、RAM、磁気記録装置、光磁気記録媒体、通信装置等を備える公知のコンピュータに所定のプログラムが読み込まれて実行されることで構成される装置である。図1に例示するように、本形態の端末装置20は、記憶部21と、一時メモリ22と、制御部23と、送信部24(「出力部」に相当)と、暗号化部25と、入力インタフェース部26とを有する。なお、記憶部21と一時メモリ22とは、例えば、RAM、磁気記録装置、光磁気記録媒体やそれらの少なくとも一部の結合によって構成される記憶領域である。また、制御部23と暗号化部25とは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。また、送信部24は、例えば、所定のプログラムが読み込まれたCPUの制御のもと駆動する通信装置であり、入力インタフェースは、所定のプログラムが読み込まれたCPUの制御のもと機能するキーボードやマウスなどの入力装置である。また、端末装置20は、制御部23の制御のもと各処理を実行する。また、各演算処理で生成されたデータは、逐一、一時メモリ22に格納され、その他の演算処理の際に読み出されて利用される。 <Configuration of Sending Terminal Device (Sender) 20>
The transmission-side terminal device 20 is a device configured by, for example, reading and executing a predetermined program on a known computer including a CPU, a RAM, a magnetic recording device, a magneto-optical recording medium, a communication device, and the like. . As illustrated in FIG. 1, the terminal device 20 of the present embodiment includes a storage unit 21, a temporary memory 22, a control unit 23, a transmission unit 24 (corresponding to “output unit”), an encryption unit 25, And an input interface unit 26. The storage unit 21 and the temporary memory 22 are storage areas configured by, for example, a RAM, a magnetic recording device, a magneto-optical recording medium, or a combination of at least a part thereof. The control unit 23 and the encryption unit 25 are processing units configured by, for example, reading a predetermined program into the CPU. The transmission unit 24 is a communication device that is driven under the control of a CPU loaded with a predetermined program, for example, and the input interface is a keyboard functioning under the control of the CPU loaded with the predetermined program, An input device such as a mouse. In addition, the terminal device 20 executes each process under the control of the control unit 23. Further, data generated in each arithmetic process is stored in the temporary memory 22 one by one, and read and used in other arithmetic processes.

<受信側の端末装置(Receiver)30の構成>
受信側の端末装置30は、例えば、CPU、RAM、磁気記録装置、光磁気記録媒体、通信装置等を備える公知のコンピュータに所定のプログラムが読み込まれて実行されることで構成される装置である。図1に例示するように、本形態の端末装置30は、記憶部31(「第2記憶部」に相当)と、一時メモリ32と、制御部33と、送信部34と、受信部35(「入力部」に相当)と、鍵生成部(TA1)36(「第2秘密鍵生成部」に相当)と、復号部37と、出力インタフェース部38とを有する。また、図2(b)に例示した鍵生成部(TA1)36は、ランダム数生成部34aと、第2階層演算部34bとを有し、第2階層演算部34bは、演算部34ba,34bbを有する。なお、記憶部31と一時メモリ32とは、例えば、RAM、磁気記録装置、光磁気記録媒体やそれらの少なくとも一部の結合によって構成される記憶領域である。制御部33と鍵生成部(TA1)36と復号部37とは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。また、送信部34と受信部35とは、例えば、所定のプログラムが読み込まれたCPUの制御のもと駆動する通信装置であり、出力インタフェース部38は、所定のプログラムが読み込まれたCPUの制御のもと駆動する液晶ディスプレイやスピーカーなどの出力装置である。また、端末装置30は、制御部33の制御のもと各処理を実行する。また、各演算処理で生成されたデータは、逐一、一時メモリ32に格納され、その他の演算処理の際に読み出されて利用される。 <Configuration of Receiving Terminal Device (Receiver) 30>
The terminal device 30 on the receiving side is a device configured by, for example, reading and executing a predetermined program on a known computer including a CPU, a RAM, a magnetic recording device, a magneto-optical recording medium, a communication device, and the like. . As illustrated in FIG. 1, the terminal device 30 of this embodiment includes a storage unit 31 (corresponding to a “second storage unit”), a temporary memory 32, a control unit 33, a transmission unit 34, and a reception unit 35 ( A key generation unit (TA 1 ) 36 (corresponding to a “second secret key generation unit”), a decryption unit 37, and an output interface unit 38. The key generation unit (TA 1 ) 36 illustrated in FIG. 2B includes a random number generation unit 34a and a second hierarchy calculation unit 34b, and the second hierarchy calculation unit 34b includes calculation units 34ba, 34bb. The storage unit 31 and the temporary memory 32 are storage areas configured by, for example, a RAM, a magnetic recording device, a magneto-optical recording medium, or a combination of at least a part thereof. The control unit 33, the key generation unit (TA 1 ) 36, and the decryption unit 37 are, for example, processing units configured by reading a predetermined program into the CPU. The transmission unit 34 and the reception unit 35 are, for example, communication devices that are driven under the control of a CPU loaded with a predetermined program. The output interface unit 38 is a control of the CPU loaded with a predetermined program. It is an output device such as a liquid crystal display or a speaker that is driven under the control. In addition, the terminal device 30 executes each process under the control of the control unit 33. In addition, data generated in each calculation process is stored in the temporary memory 32 one by one, and read and used in other calculation processes.

<処理>
次に、本形態の処理を説明する。
[前処理]
まず、鍵生成装置10(図1)の管理者によって階層型IDベース暗号方式の各秘密鍵を生成するためのマスター秘密鍵(MK)と公開パラメータ(P)とが設定される。マスター秘密鍵(MK)は、秘密情報であり鍵生成装置10の記憶部11のみに格納される。一方、公開パラメータ(P)は公開情報であり、鍵生成装置10の記憶部11と、端末装置20の記憶部21と、端末装置30の記憶部31とに格納される。また、端末装置30の記憶部31には、さらに、公開ID情報(ID1)と秘密ID情報(ID2)とが格納される。これらの公開ID情報(ID1)と秘密ID情報(ID2)との組が、秘密鍵を利用する利用者のIDとして用いられる。 <Processing>
Next, the processing of this embodiment will be described.
[Preprocessing]
First, a master secret key (MK) and a public parameter (P) for generating each secret key of the hierarchical ID-based encryption method are set by an administrator of the key generation device 10 (FIG. 1). The master secret key (MK) is secret information and is stored only in the storage unit 11 of the key generation device 10. On the other hand, the public parameter (P) is public information and is stored in the storage unit 11 of the key generation device 10, the storage unit 21 of the terminal device 20, and the storage unit 31 of the terminal device 30. The storage unit 31 of the terminal device 30 further stores public ID information (ID 1 ) and secret ID information (ID 2 ). A set of these public ID information (ID 1 ) and secret ID information (ID 2 ) is used as the ID of the user who uses the secret key.

なお、公開ID情報(ID1)は、広く公開された公開情報に対応する情報であり、その例は、秘密鍵を利用する利用者の正式名(本名など)や住所や電話番号やメールアドレスやURL(Uniform Resource Locator)や所属組織名や経歴情報に対応する情報などである。一方、秘密ID情報(ID2)は、秘密鍵を利用する利用者と特定の関係がある者のみに開示された情報に対応する情報であり、その例は、秘密鍵を利用する利用者のニックネームやそのペットの名前や所有物の名称や趣味の名称に対応する情報などである。 The public ID information (ID 1 ) is information corresponding to publicly disclosed information, and examples thereof include the official name (real name, etc.), address, telephone number, and email address of the user who uses the private key. And URL (Uniform Resource Locator), information corresponding to the organization name and career information. On the other hand, the secret ID information (ID 2 ) is information corresponding to information disclosed only to a person who has a specific relationship with the user who uses the secret key, and an example thereof is that of the user who uses the secret key. Information corresponding to the nickname, the name of the pet, the name of the property, the name of the hobby, etc.

《非特許文献3の方式を用いた場合の前処理》
階層型IDベース暗号方式として非特許文献3の方式を用いる場合の例を示す。
この例の公開ID情報(ID1)及び秘密ID情報(ID2)は、以下のように構成される。
ID1∈Zp …(3)
ID2∈Zp …(4)
具体的には、例えば、広く公開された公開情報(利用者の正式名など)を前述のハッシュ関数Hに入力して得られたハッシュ値を公開ID情報(ID1)とし、秘密鍵を利用する利用者と特定の関係がある者のみに開示された情報(利用者のニックネームなど)を前述のハッシュ関数Hに入力して得られたハッシュ値を秘密ID情報(ID2)とする。 << Pre-processing when using the method of Non-Patent Document 3 >>
An example in which the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method is shown.
The public ID information (ID 1 ) and the secret ID information (ID 2 ) in this example are configured as follows.
ID 1 ∈Z p … (3)
ID 2 ∈Z p … (4)
Specifically, for example, the public key information (ID 1 ) is obtained by inputting public information (such as the user's official name) that has been made public to the hash function H described above, and the secret key is used. The secret value information (ID 2 ) is a hash value obtained by inputting information (such as a user's nickname) disclosed only to a person who has a specific relationship with the user to be entered into the hash function H described above.

また、ランダム数α∈Zp *を選択し、
g1=gα∈G …(5)
とする。また、ランダムな要素
h1, h2∈G …(6)
と、巡回群Gの無限遠点Oを除く元から乗法群G*を為す生成元
g2∈G* …(7)
が選択される。そして、マスター秘密鍵(MK)と公開パラメータ(P)が
MK=g2 α∈G* …(8)
P=[g, g1, g2, h1, h2] …(9)
のように設定される(《非特許文献3の方式を用いた場合の前処理》の説明終わり)。 Also choose a random number α∈Z p * ,
g 1 = g α ∈G… (5)
And Also random elements
h 1 , h 2 ∈G… (6)
And the generator of the multiplicative group G * from the elements excluding the infinity point O of the cyclic group G
g 2 ∈G * … (7)
Is selected. And the master secret key (MK) and public parameter (P)
MK = g 2 α ∈G * … (8)
P = [g, g 1 , g 2 , h 1 , h 2 ]… (9)
(End of explanation of << preprocessing when using the method of Non-Patent Document 3 >>).

[秘密鍵生成処理]
図3は、第1実施形態の秘密鍵の生成方法を説明するためのフローチャートである。また、図4(a)は、ステップS3の一例を説明するためのフローチャートであり、図4(b)は、ステップS6の一例を説明するためのフローチャートである。なお、図4(a)(b)の一例は、階層型IDベース暗号方式として非特許文献3の方式を用いた例であるが、本発明はこれに限定されない。 [Secret key generation process]
FIG. 3 is a flowchart for explaining a secret key generation method according to the first embodiment. FIG. 4A is a flowchart for explaining an example of step S3, and FIG. 4B is a flowchart for explaining an example of step S6. 4A and 4B is an example using the method of Non-Patent Document 3 as a hierarchical ID-based encryption method, the present invention is not limited to this.

秘密鍵の生成を依頼する受信側の端末装置30(図1)では、まず、記憶部31に格納された公開ID情報(ID1)が読み出され、送信部34が公開ID情報(ID1)を鍵生成装置10に送信する(出力する)(ステップS1)。公開ID情報(ID1)は、鍵生成装置10の受信部15で受信され(ステップS2)、鍵生成部(TA0)16に入力される。 In the receiving side terminal device 30 (FIG. 1) requesting generation of the secret key, first, the public ID information (ID 1 ) stored in the storage unit 31 is read, and the transmission unit 34 transmits the public ID information (ID 1). ) Is transmitted (output) to the key generation apparatus 10 (step S1). The public ID information (ID 1 ) is received by the reception unit 15 of the key generation device 10 (step S 2) and input to the key generation unit (TA 0 ) 16.

鍵生成部(TA0)16は、記憶部11からマスター秘密鍵(MK)と公開パラメータ(P)とを読み込み、これらと公開ID情報(ID1)とを用い、階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報(ID1)をIDとする階層型IDベース暗号方式の第1秘密鍵(SK(ID1))を生成する(ステップS3)。 The key generation unit (TA 0 ) 16 reads the master secret key (MK) and the public parameter (P) from the storage unit 11, uses these and the public ID information (ID 1 ), and uses the hierarchical ID-based encryption method. In accordance with the key generation procedure, a first secret key (SK (ID 1 )) of a hierarchical ID-based encryption scheme using the public ID information (ID 1 ) as an ID is generated (step S3).

《非特許文献3の方式を用いた場合のステップS3》
階層型IDベース暗号方式として非特許文献3の方式を用いた場合のステップS3では、まず、鍵生成部(TA0)16のランダム数生成部16a(図2)がランダム数
r1∈Zp …(10)
を選択して出力する(ステップS3a)。次に、第1階層演算部16bの演算部16baが、記憶部11から読み込んだマスター秘密鍵(MK=g2 α)及び公開パラメータ(P)の要素(g1, h1)と、送られた公開ID情報(ID1)と、出力されたランダム数(r1)とを用い、 << Step S3 when the method of Non-Patent Document 3 is used >>
In step S3 when the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method, first, the random number generation unit 16a (FIG. 2) of the key generation unit (TA 0 ) 16 performs random numbers.
r 1 ∈Z p … (10)
Is selected and output (step S3a). Next, the calculation unit 16ba of the first hierarchy calculation unit 16b sends the master secret key (MK = g 2 α ) read from the storage unit 11 and the elements (g 1 , h 1 ) of the public parameter (P). The public ID information (ID 1 ) and the output random number (r 1 ),

Figure 0005097137
の演算を行い(ステップS3b)、演算部16bbが、記憶部11から読み込んだ公開パラメータ(P)の要素(g)と、出力されたランダム数(r1)とを用い、
Figure 0005097137
 (Step S3b), the calculation unit 16bb uses the element (g) of the public parameter (P) read from the storage unit 11 and the output random number (r 1 ),

Figure 0005097137
の演算を行い(ステップS3b)、第1階層演算部16bが、第1秘密鍵
Figure 0005097137
 Is calculated (step S3b), and the first hierarchy calculation unit 16b receives the first secret key.

Figure 0005097137
を出力する(ステップS3d/《非特許文献3の方式を用いた場合のステップS3》の説明終わり)。
Figure 0005097137
 (Step S3d / << End of description of Step S3 when the method of Non-Patent Document 3 is used).

生成された第1秘密鍵(SK(ID1))は送信部14に送られ、送信部14は、第1秘密鍵(SK(ID1))を端末装置30に送信する(出力する)(ステップS4)。第1秘密鍵(SK(ID1))は、端末装置30(図1)の受信部35に受信され(入力され)(ステップS5)、鍵生成部(TA1)36に送られる。鍵生成部(TA1)36は、記憶部31から秘密ID情報(ID2)と公開パラメータ(P)とを読み込み、これらと第1秘密鍵(SK(ID1))とを用い、階層型IDベース暗号方式の鍵生成手順に従って、公開ID情報(ID1)と秘密ID情報(ID2)との組をIDとする階層型IDベース暗号方式の第2秘密鍵(SK(ID1, ID2))を生成する(ステップS6)。この第2秘密鍵(SK(ID1, ID2))は、公開ID情報(ID1)と秘密ID情報(ID2)との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵である。 The generated first secret key (SK (ID 1 )) is sent to the transmission unit 14, and the transmission unit 14 transmits (outputs) the first secret key (SK (ID 1 )) to the terminal device 30 ( Step S4). The first secret key (SK (ID 1 )) is received (input) by the receiving unit 35 of the terminal device 30 (FIG. 1) (step S5) and sent to the key generating unit (TA 1 ) 36. The key generation unit (TA 1 ) 36 reads the secret ID information (ID 2 ) and the public parameter (P) from the storage unit 31, and uses these and the first secret key (SK (ID 1 )) to create a hierarchical type In accordance with the key generation procedure of the ID-based encryption method, the second secret key (SK (ID 1, ID) of the hierarchical ID-based encryption method using the combination of the public ID information (ID 1 ) and the secret ID information (ID 2 ) as an ID. 2 )) is generated (step S6). This second secret key (SK (ID 1, ID 2 )) decrypts the ciphertext of the hierarchical ID-based encryption method using the combination of the public ID information (ID 1 ) and the secret ID information (ID 2 ) as an ID. It is a secret key to do.

《非特許文献3の方式を用いた場合のステップS6》
階層型IDベース暗号方式として非特許文献3の方式を用いた場合のステップS6では、まず、鍵生成部(TA1)36のランダム数生成部34a(図2)がランダム数
r2∈Zp …(14)
を選択して出力する(ステップS6a)。次に、第2階層演算部34bの演算部34baが、入力された第1秘密鍵(SK(ID1)=(d0, d1))(式(13))と、記憶部31から読み込んだ秘密ID情報(ID2)及び公開パラメータ(P)の要素(g1, h2)と、出力されたランダム数r2とを用い、 << Step S6 when the method of Non-Patent Document 3 is used >>
In step S6 when the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method, first, the random number generation unit 34a (FIG. 2) of the key generation unit (TA 1 ) 36 performs random numbers.
r 2 ∈Z p … (14)
Is selected and output (step S6a). Next, the calculation unit 34ba of the second hierarchy calculation unit 34b reads the input first secret key (SK (ID 1 ) = (d 0 , d 1 )) (formula (13)) from the storage unit 31. Using the secret ID information (ID 2 ) and public parameters (P) elements (g 1 , h 2 ) and the output random number r 2 ,

Figure 0005097137
の演算を行い(ステップS6b)、演算部34bbが、記憶部31から読み込んだ公開パラメータPの要素gと、出力されたランダム数r2とを用い、
Figure 0005097137
 It performs the operation of (step S6b), the arithmetic unit 34bb is used and elements g of public parameters P read from the storage unit 31, and a random number r 2 output,

Figure 0005097137
の演算を行い(ステップS6c)、第2階層演算部34bが、第2秘密鍵
Figure 0005097137
 Is calculated (step S6c), and the second hierarchy calculation unit 34b receives the second secret key.

Figure 0005097137
を出力する(ステップS6d/《非特許文献3の方式を用いた場合のステップS6》の説明終わり)。
Figure 0005097137
 (Step S6d / << end of description of step S6 when using the method of Non-Patent Document 3).

[暗号化・復号処理]
暗号化を行う端末装置20(図1)の入力インタフェース部26には、端末装置30に対応する公開ID情報(ID1)と秘密ID情報(ID2)と暗号化対象の平文Mとが入力され、これらは暗号化部25に送られる。暗号化部25は、これと記憶部21から読み込んだ公開パラメータPとを用い、階層型IDベース暗号方式の暗号化手順に従って暗号文HIBE(ID1,ID2,M)を生成する。 [Encryption / decryption processing]
Public ID information (ID 1 ), secret ID information (ID 2 ) and plaintext M to be encrypted corresponding to the terminal device 30 are input to the input interface unit 26 of the terminal device 20 (FIG. 1) that performs encryption. These are sent to the encryption unit 25. The encryption unit 25 uses this and the public parameter P read from the storage unit 21 to generate a ciphertext HIBE (ID 1 , ID 2 , M) according to the encryption procedure of the hierarchical ID-based encryption method.

例えば、非特許文献3の方式を用いる場合、暗号化部25は、ランダム数s∈Zpを生成し、入力された公開ID情報(ID1∈Zp)と、秘密ID情報(ID2∈Zp)と、平文(M∈GT)と、公開パラメータP=[g, g1, g2, h1, h2]と、ランダム数s∈Zpとを用い、

Figure 0005097137
のように、暗号文HIBE(ID1,ID2,M)を生成する。 For example, when the method of Non-Patent Document 3 is used, the encryption unit 25 generates a random number sεZ p and inputs the input public ID information (ID 1 εZ p ) and secret ID information (ID 2 ε Z p ), plaintext (M∈G T ), public parameters P = [g, g 1 , g 2 , h 1 , h 2 ] and a random number s∈Z p
Figure 0005097137
 The ciphertext HIBE (ID 1 , ID 2 , M) is generated as shown in FIG.

生成された暗号文HIBE(ID1,ID2,M)は送信部24から送信され、端末装置30の受信部35で受信され、復号部37に送られる。復号部37は、鍵生成部(TA1)36で生成された第2秘密鍵(SK(ID1, ID2))を用い、暗号文HIBE(ID1,ID2,M)を復号する。 The generated ciphertext HIBE (ID 1 , ID 2 , M) is transmitted from the transmission unit 24, received by the reception unit 35 of the terminal device 30, and sent to the decryption unit 37. The decryption unit 37 decrypts the ciphertext HIBE (ID 1 , ID 2 , M) using the second secret key (SK (ID 1, ID 2 )) generated by the key generation unit (TA 1 ) 36.

例えば、非特許文献3の方式を用いる場合、復号部37は、(SK(ID1, ID2))=(δ012)(式(17))を用い、 For example, when using the method of Non-Patent Document 3, the decoding unit 37 uses (SK (ID 1, ID 2 )) = (δ 0 , δ 1 , δ 2 ) (formula (17)),

Figure 0005097137
の演算によって復号を行う。なお、式(19)の左辺は、
Figure 0005097137
 Decoding is performed by the operation of The left side of equation (19) is

Figure 0005097137
となり、前述の[性質2][性質3]よって、式(20)は
Figure 0005097137
 Therefore, according to the above [Property 2] [Property 3], the equation (20) is

Figure 0005097137
と変形できる。これにより、式(19)の演算によって平文Mが復号されることが分かる。
Figure 0005097137
 And can be transformed. Thereby, it is understood that the plaintext M is decrypted by the calculation of the equation (19).

<本形態の特徴>
本形態で、端末装置30から鍵生成装置10に送信されるのは公開ID情報(ID1)のみであり、秘密ID情報(ID2)は送信されない。そのため、秘密ID情報(ID2)を知らない鍵生成装置10は、端末装置30の第2秘密鍵(SK(ID1, ID2))を知ることができない。これにより、エスクロー性を回避できる。また、端末装置20は、端末装置30の公開ID情報(ID1)と秘密ID情報(ID2)との組からなるIDと公開パラメータとを用いて暗号文を生成でき、利便性が高い。 <Features of this embodiment>
In this embodiment, only the public ID information (ID 1 ) is transmitted from the terminal device 30 to the key generation device 10, and the secret ID information (ID 2 ) is not transmitted. Therefore, the key generation device 10 that does not know the secret ID information (ID 2 ) cannot know the second secret key (SK (ID 1, ID 2 )) of the terminal device 30. Thereby, escrow property can be avoided. Further, the terminal device 20 can generate a ciphertext using an ID and a public parameter that are a set of the public ID information (ID 1 ) and the secret ID information (ID 2 ) of the terminal device 30, and is highly convenient.

なお、前述のように、本発明で利用する階層型IDベース暗号方式には、公知のどのような方式のものを用いてもよいが、当該階層型IDベース暗号方式に従って生成された暗号文から当該暗号文に対応するIDを特定することが困難な匿名階層型IDベース暗号方式(Anonymous Hierarchical Identity-Based Encryption)(例えば、非特許文献3、参考文献9など参照)を用いることが望ましい。   As described above, as the hierarchical ID-based encryption method used in the present invention, any known method may be used, but from a ciphertext generated according to the hierarchical ID-based encryption method. It is desirable to use Anonymous Hierarchical Identity-Based Encryption (for example, see Non-Patent Document 3, Reference Document 9, etc.), which makes it difficult to specify an ID corresponding to the ciphertext.

〔第2実施形態〕
次に、本発明の第2実施形態を説明する。本形態では、鍵生成装置で公開ID情報を用い、階層型IDベース暗号方式の第1階層目の秘密鍵生成処理を行って第1秘密鍵を生成し、さらに、第1秘密鍵とランダム化秘密ID情報を用い、階層型IDベース暗号方式の第2階層目の秘密鍵生成処理を行って第2秘密鍵を生成する。そして、受信側の端末装置で第2秘密鍵のランダム性を除去し、公開ID情報と秘密ID情報との組をIDとする階層型IDベース暗号方式の第3秘密鍵を復元する。なお、鍵生成装置が階層型IDベース暗号方式によってランダム化された鍵を発行し、端末装置がそれを復元するブラインド鍵発行方式としては、例えば、非特許文献2,3などに開示された公知の方式を用いることができる。本形態では、一例として非特許文献3のブラインド鍵発行方式を用いた例を示す。
なお、以下では、第1実施形態の相違点を中心に説明し、第1実施形態と共通する事項については説明を省略する。 [Second Embodiment]
Next, a second embodiment of the present invention will be described. In the present embodiment, the public ID information is used in the key generation device to generate the first secret key by performing the first-level secret key generation process of the hierarchical ID-based encryption method, and further randomize with the first secret key Using the secret ID information, the second-level secret key is generated by performing the second-level secret key generation process of the hierarchical ID-based encryption method. Then, the randomness of the second secret key is removed by the terminal device on the receiving side, and the third secret key of the hierarchical ID-based encryption method using the combination of the public ID information and the secret ID information as an ID is restored. In addition, as a blind key issuing method in which the key generation device issues a key randomized by the hierarchical ID-based encryption method and the terminal device restores the key, for example, publicly disclosed in Non-Patent Documents 2 and 3 This method can be used. In this embodiment, an example using the blind key issuing method of Non-Patent Document 3 is shown as an example.
In the following description, differences from the first embodiment will be mainly described, and description of matters common to the first embodiment will be omitted.

<全体構成>
図5は、第2実施形態の暗号通信システム100の機能構成を例示したブロック図である。また、図6(a)は、鍵生成装置110の鍵生成部116の詳細構成の一例を示す図であり、図6(b)は、端末装置130のランダム除去部139の詳細構成の一例を示す図である。なお、図6(a)(b)の構成は、階層型IDベース暗号方式として非特許文献3の方式を用いた例である。しかし、本発明はこれに限定されず、上述した非特許文献2や参考文献7〜9などに開示されたその他の階層型IDベース暗号方式を用いてもよい。なお、これらの図において、第1実施形態の構成と共通する部分については、第1実施形態と同じ符号を用いることとし、説明を省略する。 <Overall configuration>
FIG. 5 is a block diagram illustrating a functional configuration of the cryptographic communication system 100 according to the second embodiment. 6A is a diagram illustrating an example of a detailed configuration of the key generation unit 116 of the key generation device 110, and FIG. 6B is an example of a detailed configuration of the random removal unit 139 of the terminal device 130. FIG. 6A and 6B is an example in which the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method. However, the present invention is not limited to this, and other hierarchical ID-based encryption methods disclosed in Non-Patent Document 2 and Reference Documents 7 to 9 described above may be used. In these drawings, the same reference numerals as those in the first embodiment are used for portions common to the configuration of the first embodiment, and description thereof is omitted.

図5に例示するように、本形態の暗号通信システム100は、階層型IDベース暗号方式の秘密鍵を生成する鍵生成装置110と、暗号文を生成して送信する送信側の端末装置20と、暗号文を受信して復号する受信側の端末装置130とを有する。鍵生成装置110及び端末装置20,130は、それぞれ、通信機能を備える。鍵生成装置110と端末装置130とは、これらの間での相互通信が可能なように構成され、端末装置20と端末装置130とは、端末装置20から端末装置130への送信が可能なように構成される。また、鍵生成装置110と端末装置130とは、互いに独立した装置であり、それらは独立の管理者によって管理されるか、或いは、互いに特定の秘密情報を漏らさない旨のセキュリティポリシーのもと、同一の管理者によって管理されている。   As illustrated in FIG. 5, the cryptographic communication system 100 according to the present embodiment includes a key generation device 110 that generates a secret key of a hierarchical ID-based encryption method, and a transmission-side terminal device 20 that generates and transmits a ciphertext. A receiving-side terminal device 130 that receives and decrypts the ciphertext. The key generation device 110 and the terminal devices 20 and 130 each have a communication function. The key generation device 110 and the terminal device 130 are configured to be able to communicate with each other, and the terminal device 20 and the terminal device 130 can transmit from the terminal device 20 to the terminal device 130. Configured. In addition, the key generation device 110 and the terminal device 130 are devices independent of each other, and they are managed by an independent administrator, or based on a security policy that specific secret information is not leaked to each other, Managed by the same administrator.

<鍵生成装置110の構成>
鍵生成装置110は、例えば、CPU、RAM、磁気記録装置、光磁気記録媒体、通信装置等を備える公知のコンピュータに所定のプログラムが読み込まれて実行されることで構成される装置である。図5に例示するように、本形態の鍵生成装置110は、記憶部11(「第1記憶部」に相当)と、一時メモリ12と、制御部13と、送信部14(「出力部」に相当)と、受信部15と、鍵生成部(TA0)16(「第1鍵生成部」に相当)と、鍵生成部(TA1)117(「第2鍵生成部」に相当)と、検証部118とを有する。また、図6(a)に例示した鍵生成部(TA1)117は、ランダム数生成部117aと、第2階層演算部117bとを有し、第2階層演算部117bは、演算部117ba,117bbを有する。なお、鍵生成部(TA1)117と検証部118は、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。また、鍵生成装置110は、制御部13の制御のもと各処理を実行する。また、各演算処理で生成されたデータは、逐一、一時メモリ12に格納され、その他の演算処理の際に読み出されて利用される。 <Configuration of Key Generation Device 110>
The key generation device 110 is a device configured by reading and executing a predetermined program on a known computer including a CPU, a RAM, a magnetic recording device, a magneto-optical recording medium, a communication device, and the like. As illustrated in FIG. 5, the key generation device 110 of the present embodiment includes a storage unit 11 (corresponding to a “first storage unit”), a temporary memory 12, a control unit 13, and a transmission unit 14 (“output unit”). ), Receiving unit 15, key generation unit (TA 0 ) 16 (corresponding to “first key generation unit”), and key generation unit (TA 1 ) 117 (corresponding to “second key generation unit”). And a verification unit 118. Further, the key generation unit (TA 1 ) 117 illustrated in FIG. 6A includes a random number generation unit 117a and a second hierarchy calculation unit 117b, and the second hierarchy calculation unit 117b includes calculation units 117ba, 117bb. The key generation unit (TA 1 ) 117 and the verification unit 118 are, for example, processing units configured by reading a predetermined program into the CPU. Further, the key generation device 110 executes each process under the control of the control unit 13. In addition, data generated by each calculation process is stored in the temporary memory 12 one by one, and read and used in other calculation processes.

<送信側の端末装置(Sender)20の構成>
第1実施形態と同じであるため説明を省略する。 <Configuration of Sending Terminal Device (Sender) 20>
Since it is the same as 1st Embodiment, description is abbreviate | omitted.

<受信側の端末装置(Receiver)130の構成>
受信側の端末装置130は、例えば、CPU、RAM、磁気記録装置、光磁気記録媒体、通信装置等を備える公知のコンピュータに所定のプログラムが読み込まれて実行されることで構成される装置である。図5に例示するように、本形態の端末装置130は、記憶部31(「第2記憶部」に相当)と、一時メモリ32と、制御部33と、送信部34と、受信部35(「入力部」に相当)と、復号部37と、出力インタフェース部38と、ゼロ知識証明部131と、ランダム値生成部136と、ランダム化部137と、ランダム除去部139とを有する。また、図6(b)に例示したランダム除去部139は、ランダム数生成部139aと、ランダム除去演算部139bとを有し、ランダム除去演算部139bは、演算部139ba,139bbを有する。なお、ゼロ知識証明部131と、ランダム値生成部136と、ランダム化部137と、ランダム除去部139とは、例えば、CPUに所定のプログラムが読み込まれて構成される処理部である。また、端末装置130は、制御部33の制御のもと各処理を実行する。また、各演算処理で生成されたデータは、逐一、一時メモリ32に格納され、その他の演算処理の際に読み出されて利用される。 <Configuration of Receiving Terminal Device (Receiver) 130>
The terminal device 130 on the reception side is a device configured by, for example, reading and executing a predetermined program on a known computer including a CPU, a RAM, a magnetic recording device, a magneto-optical recording medium, a communication device, and the like. . As illustrated in FIG. 5, the terminal device 130 according to the present embodiment includes a storage unit 31 (corresponding to a “second storage unit”), a temporary memory 32, a control unit 33, a transmission unit 34, and a reception unit 35 ( Equivalent to an “input unit”), a decoding unit 37, an output interface unit 38, a zero knowledge proving unit 131, a random value generating unit 136, a randomizing unit 137, and a random removing unit 139. The random removal unit 139 illustrated in FIG. 6B includes a random number generation unit 139a and a random removal calculation unit 139b, and the random removal calculation unit 139b includes calculation units 139ba and 139bb. Note that the zero knowledge proving unit 131, the random value generating unit 136, the randomizing unit 137, and the random removing unit 139 are, for example, processing units configured by reading a predetermined program into the CPU. The terminal device 130 executes each process under the control of the control unit 33. In addition, data generated in each calculation process is stored in the temporary memory 32 one by one, and read and used in other calculation processes.

<処理>
次に、本形態の処理を説明する。
[前処理]
第1実施形態と同じであるため説明を省略する。 <Processing>
Next, the processing of this embodiment will be described.
[Preprocessing]
Since it is the same as 1st Embodiment, description is abbreviate | omitted.

[秘密鍵生成処理]
図7は、第2実施形態の秘密鍵の生成方法を説明するためのフローチャートである。また、図8(a)は、ステップS17の一例を説明するためのフローチャートであり、図8(b)は、ステップS20の一例を説明するためのフローチャートである。なお、図8(a)(b)の一例は、階層型IDベース暗号方式として非特許文献3の方式を用いた例であるが、本発明はこれに限定されない。 [Secret key generation process]
FIG. 7 is a flowchart for explaining a secret key generation method according to the second embodiment. FIG. 8A is a flowchart for explaining an example of step S17, and FIG. 8B is a flowchart for explaining an example of step S20. 8A and 8B is an example in which the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method, the present invention is not limited to this.

受信側の端末装置130(図5)のランダム値生成部136がランダム値y∈Zpを生成し、記憶部31に格納する。次にランダム化部137が、記憶部から秘密ID情報(ID2)とランダム値(y)と公開パラメータ(P)を読み込み、これらを用いて秘密ID情報(ID2)をランダム値(y)によってランダム化し、ランダム化秘密ID情報(R(ID2))生成する(ステップS11)。 The random value generation unit 136 of the terminal device 130 on the receiving side (FIG. 5) generates a random value yεZ p and stores it in the storage unit 31. Next, the randomizing unit 137 reads the secret ID information (ID 2 ), the random value (y), and the public parameter (P) from the storage unit, and uses them to convert the secret ID information (ID 2 ) to the random value (y). And randomized secret ID information (R (ID 2 )) is generated (step S11).

例えば、非特許文献3の方式を用いる場合、ランダム化部137は、

Figure 0005097137
の演算によってランダム化秘密ID情報(R(ID2))生成する。 For example, when using the method of Non-Patent Document 3, the randomizing unit 137
Figure 0005097137
 To generate randomized secret ID information (R (ID 2 )).

生成されたランダム化秘密ID情報(R(ID2))は記憶部31に格納される。そして、記憶部31に格納された公開ID情報(ID1)とランダム化秘密ID情報(R(ID2))とが読み出され、送信部34がこれらを鍵生成装置110に送信する(出力する)(ステップS12)。公開ID情報(ID1)とランダム化秘密ID情報(R(ID2))とは、鍵生成装置110の受信部15(「入力部」に相当)に受信される(入力される)(ステップS13)。そして、公開ID情報(ID1)は鍵生成部(TA0)16に送られ、ランダム化秘密ID情報(R(ID2))は、鍵生成部(TA1)117と検証部118とに送られる。 The generated randomized secret ID information (R (ID 2 )) is stored in the storage unit 31. Then, the public ID information (ID 1 ) and the randomized secret ID information (R (ID 2 )) stored in the storage unit 31 are read, and the transmission unit 34 transmits them to the key generation device 110 (output). (Step S12). The public ID information (ID 1 ) and the randomized secret ID information (R (ID 2 )) are received (input) by the receiving unit 15 (corresponding to “input unit”) of the key generation device 110 (step) S13). The public ID information (ID 1 ) is sent to the key generation unit (TA 0 ) 16, and the randomized secret ID information (R (ID 2 )) is sent to the key generation unit (TA 1 ) 117 and the verification unit 118. Sent.

次に、端末装置130のゼロ知識証明部131と鍵生成装置110の検証部118とが送信部14,35及び受信部15,34を用いて通信を行い、ゼロ知識証明部131が鍵生成装置110の検証部118に対し、端末装置130が秘密ID情報(ID2)とランダム値(y)とを知っていることのゼロ知識証明を行う(ステップS14)。このゼロ知識証明には周知の方法を用いればよい(例えば、「岡本龍明、山本博資、“現代暗号(シリーズ・情報科学の数学)”、産業図書株式会社」等参照)。例えば、以下の手順によってゼロ知識証明が為される。 Next, the zero knowledge proof unit 131 of the terminal device 130 and the verification unit 118 of the key generation device 110 communicate using the transmission units 14 and 35 and the reception units 15 and 34, and the zero knowledge proof unit 131 performs the key generation device. A zero knowledge proof that the terminal device 130 knows the secret ID information (ID 2 ) and the random value (y) is given to the verification unit 118 of 110 (step S14). A well-known method may be used for this zero knowledge proof (for example, see “Tatsuaki Okamoto, Hiroshi Yamamoto,“ Contemporary Cryptography (Series / Mathematics of Information Science) ”, Sangyo Tosho, etc.). For example, zero knowledge proof is made by the following procedure.

1.ゼロ知識証明部131は、ランダム値u∈Zpを一様に選択し、a1=gu∈G, a2=g1 u∈Gを算出する。
2.ゼロ知識証明部131は、a1∈G, a2∈Gを検証部118に送る。
3.検証部118は、ランダム値w∈{0,1}を一様に選択してゼロ知識証明部131に送る。
4.ゼロ知識証明部131は、b1=u+w・y∈Zp,b2=u+w・ID2∈Zpを検証部118に送る。
5.検証部118は、gb1・g1 b2={R(ID2)}w・gu・g1 u∈Gを満たすか否かを検証する。 1. The zero knowledge proof unit 131 uniformly selects a random value uεZ p and calculates a 1 = g u εG and a 2 = g 1 u εG.
2. The zero knowledge proof unit 131 sends a 1 ∈G and a 2 ∈G to the verification unit 118.
3. The verification unit 118 uniformly selects the random value wε {0, 1} and sends it to the zero knowledge proof unit 131.
4). The zero knowledge proof unit 131 sends b 1 = u + w · yεZ p and b 2 = u + w · ID 2 εZ p to the verification unit 118.
5. The verification unit 118 verifies whether or not g b1 · g 1 b2 = {R (ID 2 )} w · g u · g 1 u ∈G is satisfied.

鍵生成装置110の検証部118が、ゼロ知識証明が不合格であると判断した場合、処理がエラー終了となる。一方、検証部118が、ゼロ知識証明が合格であると判断した場合、鍵生成部(TA0)16が、記憶部11から読み出したマスター秘密鍵(MK)と、ステップS13で受信された公開ID情報(ID1)とを用い、階層型IDベース暗号方式の鍵生成手順に従って、公開ID情報(ID1)をIDとする階層型IDベース暗号方式の第1秘密鍵(SK(ID1))を生成する(ステップS16)。この処理は、第1実施形態のステップS3と同じであるため、説明を省略する。 If the verification unit 118 of the key generation device 110 determines that the zero knowledge proof is unacceptable, the process ends in error. On the other hand, when the verification unit 118 determines that the zero knowledge proof is acceptable, the key generation unit (TA 0 ) 16 and the master secret key (MK) read from the storage unit 11 and the public received in step S13. The first secret key (SK (ID 1 ) of the hierarchical ID-based encryption method using the ID information (ID 1 ) and the public ID information (ID 1 ) as an ID according to the key generation procedure of the hierarchical ID-based encryption method. ) Is generated (step S16). Since this process is the same as step S3 of the first embodiment, a description thereof will be omitted.

次に、鍵生成部(TA1)117が、記憶部11から公開パラメータ(P)を読み込み、これとステップS13で受信されたランダム化秘密ID情報(R(ID2))とを用い、階層型IDベース暗号方式の鍵生成手順に従って、公開ID情報(ID1)とランダム化秘密ID情報(R(ID2))との組をIDとする階層型IDベース暗号方式の第2秘密鍵(SK(ID1,R(ID2))を生成する(ステップS17)。 Next, the key generation unit (TA 1 ) 117 reads the public parameter (P) from the storage unit 11, and uses this and the randomized secret ID information (R (ID 2 )) received in step S 13, In accordance with the key generation procedure of the type ID-based encryption scheme, the second secret key of the hierarchical ID-based encryption scheme (ID) is a set of public ID information (ID 1 ) and randomized secret ID information (R (ID 2 )). SK (ID 1 , R (ID 2 )) is generated (step S17).

《非特許文献3の方式を用いた場合のステップS17》
階層型IDベース暗号方式として非特許文献3の方式を用いた場合のステップS17では、まず、鍵生成部(TA1)117のランダム数生成部117a(図6)がランダム数
r2∈Zp …(23)
を選択して出力する(ステップS17a)。次に、第2階層演算部117bの演算部117baが、入力された第1秘密鍵(SK(ID1)=(d0, d1))(式(13))と、記憶部11から読み込んだ公開パラメータPの要素g1, h2と、受信されたランダム化秘密ID情報(R(ID2))と、出力されたランダム数r2とを用い、 << Step S17 when the method of Non-Patent Document 3 is used >>
In step S17 when the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method, first, the random number generation unit 117a (FIG. 6) of the key generation unit (TA 1 ) 117 performs random numbers.
r 2 ∈Z p … (23)
Is selected and output (step S17a). Next, the calculation unit 117ba of the second hierarchy calculation unit 117b reads the input first secret key (SK (ID 1 ) = (d 0 , d 1 )) (formula (13)) from the storage unit 11 The elements g 1 and h 2 of the public parameter P, the received randomized secret ID information (R (ID 2 )), and the output random number r 2 are used.

Figure 0005097137
の演算を行い(ステップS17b)、演算部117bbが、記憶部11から読み込んだ公開パラメータPの要素gと、出力されたランダム数r2とを用い、
Figure 0005097137
 Performs the operation of (step S17b), calculating unit 117bb is used and elements g of public parameters P read from the storage unit 11, and a random number r 2 output,

Figure 0005097137
の演算を行い(ステップS17c)、第2階層演算部117bが、第2秘密鍵
Figure 0005097137
 Is calculated (step S17c), and the second hierarchy calculation unit 117b receives the second secret key.

Figure 0005097137
を出力する(ステップS17d/《非特許文献3の方式を用いた場合のステップS17》の説明終わり)。
Figure 0005097137
 (Step S17d / << End of description of Step S17 when the method of Non-Patent Document 3 is used).

第2秘密鍵(SK(ID1,R(ID2))は、送信部14から送信され(出力され)(ステップS18)、端末装置130の受信部35に受信される(入力される)(ステップS19)。第2秘密鍵(SK(ID1,R(ID2))は、ランダム除去部139に送られ、ランダム除去部139は、受信された第2秘密鍵(SK(ID1,R(ID2))と、記憶部31から読み込んだランダム数(y)及び公開パラメータ(P)とを用い、公開ID情報(ID1)と秘密ID情報(ID2)との組をIDとする階層型IDベース暗号方式の第3秘密鍵(SK(ID1,ID2))を復元する(ステップS20)。この第3秘密鍵(SK(ID1,ID2))が、公開ID情報(ID1)と秘密ID情報(ID2)との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵となる。 The second secret key (SK (ID 1 , R (ID 2 )) is transmitted (output) from the transmission unit 14 (step S 18), and is received (input) by the reception unit 35 of the terminal device 130 ( Step S19) The second secret key (SK (ID 1 , R (ID 2 )) is sent to the random removal unit 139, and the random removal unit 139 receives the received second secret key (SK (ID 1 , R (ID 2 )), the random number (y) read from the storage unit 31 and the public parameter (P), and a set of public ID information (ID 1 ) and secret ID information (ID 2 ) is used as an ID The third secret key (SK (ID 1 , ID 2 )) of the hierarchical ID-based encryption method is restored (step S20), and the third secret key (SK (ID 1 , ID 2 )) is used as public ID information ( It becomes a secret key for decrypting a ciphertext of a hierarchical ID-based encryption scheme in which a set of ID 1 ) and secret ID information (ID 2 ) is an ID.

《非特許文献3の方式を用いた場合のステップS20》
階層型IDベース暗号方式として非特許文献3の方式を用いた場合のステップS20では、まず、ランダム除去部139のランダム数生成部139a(図6)がランダム数
z∈Zp …(27)
を選択して出力する(ステップS20a)。次に、ランダム除去演算部139bの演算部139baが、入力された第2秘密鍵(SK(ID1,R(ID2))(式(26))と、記憶部31から読み込んだ公開パラメータ(P)の要素(g,g1,h2)及びランダム数(y)と、出力されたランダム数(z)とを用い、 << Step S20 when the method of Non-Patent Document 3 is used >>
In step S20 when the method of Non-Patent Document 3 is used as the hierarchical ID-based encryption method, first, the random number generation unit 139a (FIG. 6) of the random removal unit 139 performs random numbers.
z∈Z p … (27)
Is selected and output (step S20a). Next, the calculation unit 139ba of the random removal calculation unit 139b inputs the input second secret key (SK (ID 1 , R (ID 2 )) (formula (26)) and the public parameter read from the storage unit 31 ( P) using the elements (g, g 1 , h 2 ) and random number (y) and the output random number (z)

Figure 0005097137
の演算を行い(ステップS20b)、演算部139bbが、入力された第2秘密鍵(SK(ID1,R(ID2))(式(26))と、記憶部31から読み込んだ公開パラメータ(P)の要素(g)と、出力されたランダム数(z)とを用い、
Figure 0005097137
 (Step S20b), the calculation unit 139bb inputs the input second secret key (SK (ID 1 , R (ID 2 )) (formula (26)) and the public parameter read from the storage unit 31 ( P) element (g) and the output random number (z)

Figure 0005097137
の演算を行い(ステップS20c)、ランダム除去演算部139bが、
Figure 0005097137
 (Step S20c), the random removal calculation unit 139b

Figure 0005097137
を出力する(ステップS20d/《非特許文献3の方式を用いた場合のステップS20》の説明終わり)。
Figure 0005097137
 (Step S20d / << End of description of Step S20 when the method of Non-Patent Document 3 is used).

[暗号化・復号処理]
第1実施形態と同じであるため説明を省略する。 [Encryption / decryption processing]
Since it is the same as 1st Embodiment, description is abbreviate | omitted.

<本形態の特徴>
本形態で、端末装置130から鍵生成装置110に送信されるのは公開ID情報(ID1)とランダム化秘密ID情報(R(ID2))のみであり、秘密ID情報(ID2)は送信されない。また、端末装置130は、鍵生成装置110で生成された第2秘密鍵(SK(ID1,R(ID2))のランダム性を解除し、公開ID情報(ID1)と秘密ID情報(ID2)との組をIDとする階層型IDベース暗号方式の第3秘密鍵(SK(ID1,ID2))を復元し、この第3秘密鍵(SK(ID1,ID2))を秘密鍵として用いる。秘密ID情報(ID2)を知らない鍵生成装置110は、この第3秘密鍵(SK(ID1,ID2))を知ることができない。これにより、エスクロー性を回避できる。また、端末装置20は、端末装置130の公開ID情報(ID1)と秘密ID情報(ID2)との組からなるIDと公開パラメータとを用いて暗号文を生成でき、利便性が高い。 <Features of this embodiment>
In this embodiment, only public ID information (ID 1 ) and randomized secret ID information (R (ID 2 )) are transmitted from the terminal device 130 to the key generation device 110, and the secret ID information (ID 2 ) is Not sent. Further, the terminal device 130 cancels the randomness of the second secret key (SK (ID 1 , R (ID 2 )) generated by the key generation device 110, and the public ID information (ID 1 ) and the secret ID information ( the third private key hierarchical ID-based encryption scheme to set the ID of ID 2) (SK (ID 1 , ID 2)) to restore, the third secret key (SK (ID 1, ID 2 )) The key generation device 110 that does not know the secret ID information (ID 2 ) cannot know the third secret key (SK (ID 1 , ID 2 )), thereby avoiding the escrow property. In addition, the terminal device 20 can generate a ciphertext by using an ID made up of a set of the public ID information (ID 1 ) and the secret ID information (ID 2 ) of the terminal device 130 and a public parameter, which is convenient. high.

なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の各実施形態では、鍵生成装置と端末装置と及び端末装置同士がネットワークを通じて情報を送受信する構成であった。しかし、鍵生成装置と端末装置及び/又は端末装置同士が可搬型の記録媒体を通じて情報を入出力される構成であってもよい。すなわち、鍵生成装置又は端末装置から出力される情報が可搬型の記録媒体に格納され、この可搬型の記録媒体が他の端末装置又は鍵生成装置に装着され、そこから情報が読み込まれる構成であってもよい。   The present invention is not limited to the embodiment described above. For example, in each of the above-described embodiments, the key generation device, the terminal device, and the terminal devices transmit and receive information via the network. However, the key generation device and the terminal device and / or the terminal devices may be configured such that information is input / output through a portable recording medium. That is, the information output from the key generation device or the terminal device is stored in a portable recording medium, and the portable recording medium is mounted on another terminal device or the key generation device, and the information is read therefrom. There may be.

また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。 In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.
Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

本発明は、IDベース暗号方式を用いた暗号通信に利用できる。   The present invention can be used for encrypted communication using an ID-based encryption method.

1,100 暗号通信システム 1,100 cryptographic communication system

Claims (10)

階層型IDベース暗号方式の各秘密鍵を生成するためのマスター秘密鍵と、秘密鍵を利用する利用者に対応する公開ID情報と、が少なくとも格納された第1記憶部と、
前記第1記憶部から読み込んだ前記マスター秘密鍵と何れかの利用者に対応する公開ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成する第1秘密鍵生成部と、
前記第1秘密鍵を出力する出力部と、を含む鍵生成装置と、
或る利用者に対応する秘密ID情報が格納された第2記憶部と、
前記鍵生成装置から出力された前記第1秘密鍵が入力される入力部と、
前記第2記憶部から読み込んだ前記秘密ID情報と前記入力部に入力された前記第1秘密鍵とを用い、階層型IDベース暗号方式の鍵生成手順に従って、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成する第2秘密鍵生成部と、を含む端末装置とを有し、
前記鍵生成装置と前記端末装置とが、互いに独立した装置であり、
前記秘密ID情報が、前記鍵生成装置に対して非公開な情報であり、
前記第2秘密鍵が、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵である、
ことを特徴とする暗号通信システム。 A first storage unit storing at least a master secret key for generating each secret key of the hierarchical ID-based encryption method and public ID information corresponding to a user who uses the secret key;
A hierarchical type using the master secret key read from the first storage unit and public ID information corresponding to any user as an ID according to a key generation procedure of a hierarchical ID-based encryption method A first secret key generation unit that generates a first secret key of an ID-based encryption method;
An output unit that outputs the first secret key; and a key generation device including:
A second storage unit storing secret ID information corresponding to a certain user;
An input unit for inputting the first secret key output from the key generation device;
Using the secret ID information read from the second storage unit and the first secret key input to the input unit, according to a key generation procedure of a hierarchical ID-based encryption method, the public ID information and the secret ID information A second secret key generation unit that generates a second secret key of a hierarchical ID-based encryption scheme that uses a set of
The key generation device and the terminal device are independent devices,
The secret ID information is private information to the key generation device;
The second secret key is a secret key for decrypting a ciphertext of a hierarchical ID-based encryption scheme having a set of the public ID information and the secret ID information as an ID;
A cryptographic communication system characterized by the above. 階層型IDベース暗号方式の各秘密鍵を生成するためのマスター秘密鍵と、秘密鍵を利用する利用者に対応する公開ID情報と、が少なくとも格納された第1記憶部と、
或る利用者に対応する秘密ID情報をランダム数によってランダム化して得られたランダム化秘密ID情報が入力される入力部と、
前記マスター秘密鍵と、前記ランダム化秘密ID情報に対応する利用者に対応する公開ID情報とを第1記憶部から読み込み、これらを用いた階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成する第1秘密鍵生成部と、
前記第1秘密鍵と前記ランダム化秘密ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、前記公開ID情報と前記ランダム化秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成する第2秘密鍵生成部と、
前記第2秘密鍵を出力する出力部と、を含む鍵生成装置と、
前記鍵生成装置から出力された前記第2秘密鍵が入力される入力部と、
前記第2秘密鍵と前記ランダム数とを用い、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の第3秘密鍵を復元するランダム除去部と、を含む端末装置とを有し、
前記鍵生成装置と前記端末装置とが、互いに独立した装置であり、
前記秘密ID情報が、前記鍵生成装置に対して非公開な情報であり、
前記第3秘密鍵が、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の暗号文を復号するための秘密鍵である、
ことを特徴とする暗号通信システム。 A first storage unit storing at least a master secret key for generating each secret key of the hierarchical ID-based encryption method and public ID information corresponding to a user who uses the secret key;
An input unit for inputting randomized secret ID information obtained by randomizing secret ID information corresponding to a certain user by a random number;
The master secret key and the public ID information corresponding to the user corresponding to the randomized secret ID information are read from the first storage unit, and the public key information is generated according to the key generation procedure of the hierarchical ID-based encryption method using them. A first secret key generation unit that generates a first secret key of a hierarchical ID-based encryption scheme using ID information as an ID;
A hierarchical ID base that uses the first secret key and the randomized secret ID information as an ID for a set of the public ID information and the randomized secret ID information according to a key generation procedure of a hierarchical ID base encryption scheme A second secret key generation unit for generating a second secret key of the encryption method;
An output unit that outputs the second secret key; and a key generation device including:
An input unit for inputting the second secret key output from the key generation device;
A random removal unit that uses the second secret key and the random number to restore a third secret key of a hierarchical ID-based encryption scheme that uses a set of the public ID information and the secret ID information as an ID. A terminal device,
The key generation device and the terminal device are independent devices,
The secret ID information is private information to the key generation device;
The third secret key is a secret key for decrypting a ciphertext of a hierarchical ID-based encryption scheme having a set of the public ID information and the secret ID information as an ID;
A cryptographic communication system characterized by the above. 請求項1又は2の暗号通信システムであって、
前記公開ID情報が、秘密鍵を利用する利用者の公開情報に対応する情報であり、
前記秘密ID情報が、秘密鍵を利用する利用者と特定の関係にある者のみに公開された当該利用者の情報に対応する情報である、
ことを特徴とする暗号通信システム。 The encryption communication system according to claim 1 or 2,
The public ID information is information corresponding to public information of a user who uses a secret key,
The secret ID information is information corresponding to the information of the user that is disclosed only to those who have a specific relationship with the user who uses the secret key.
A cryptographic communication system characterized by the above. 請求項3の暗号通信システムであって、
前記公開ID情報が、秘密鍵を利用する利用者の正式名に対応する情報であり、
前記秘密ID情報が、秘密鍵を利用する利用者のニックネームに対応する情報である、
ことを特徴とする暗号通信システム。 The cryptographic communication system of claim 3,
The public ID information is information corresponding to the official name of the user who uses the secret key,
The secret ID information is information corresponding to a nickname of a user who uses a secret key.
A cryptographic communication system characterized by the above. 請求項1から4の何れかの暗号通信システムであって、
前記階層型IDベース暗号方式が、当該階層型IDベース暗号方式に従って生成された暗号文から当該暗号文に対応するIDを特定することが困難な匿名階層型IDベース暗号方式である、
ことを特徴とする暗号通信システム。 The cryptographic communication system according to any one of claims 1 to 4,
The hierarchical ID-based encryption method is an anonymous hierarchical ID-based encryption method in which it is difficult to specify an ID corresponding to the ciphertext from a ciphertext generated according to the hierarchical ID-based encryption method.
A cryptographic communication system characterized by the above. 或る利用者に対応する公開ID情報を出力する出力部と、
前記利用者に対応する秘密ID情報が格納された第2記憶部と、
前記公開ID情報に対応する階層型IDベース暗号方式の第1秘密鍵が入力される入力部と、
前記第2記憶部から読み込んだ前記秘密ID情報と前記入力部に入力された前記第1秘密鍵とを用い、階層型IDベース暗号方式の鍵生成手順に従って、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成する第2秘密鍵生成部と、
を有する端末装置。 An output unit that outputs public ID information corresponding to a certain user;
A second storage unit storing secret ID information corresponding to the user;
An input unit for inputting a first secret key of a hierarchical ID-based encryption scheme corresponding to the public ID information;
Using the secret ID information read from the second storage unit and the first secret key input to the input unit, according to a key generation procedure of a hierarchical ID-based encryption method, the public ID information and the secret ID information A second secret key generation unit that generates a second secret key of a hierarchical ID-based encryption scheme with a set of
A terminal device. 或る利用者に対応する公開ID情報と、当該利用者に対応する秘密ID情報をランダム数によってランダム化して得られたランダム化秘密ID情報を出力する出力部と、
前記公開ID情報と前記ランダム化秘密ID情報とに対応する階層型IDベース暗号方式の秘密鍵が入力される入力部と、
前記秘密鍵と前記ランダム数とを用い、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の秘密鍵を復元するランダム除去部と、
を有する端末装置。 An output unit that outputs public ID information corresponding to a certain user and randomized secret ID information obtained by randomizing the secret ID information corresponding to the user with a random number;
An input unit for inputting a secret key of a hierarchical ID-based encryption scheme corresponding to the public ID information and the randomized secret ID information;
A random removal unit that restores a secret key of a hierarchical ID-based encryption scheme using the secret key and the random number as an ID of a set of the public ID information and the secret ID information;
A terminal device. 請求項1の暗号通信システムにおいて秘密鍵を生成する秘密鍵生成方法であって、
前記鍵生成装置の第1秘密鍵生成部が、前記第1記憶部から読み込んだ前記マスター秘密鍵と何れかの利用者に対応する公開ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成するステップと、
前記鍵生成装置の出力部が、前記第1秘密鍵を出力するステップと、
前記端末装置の入力部に、前記第1秘密鍵が入力されるステップと、
前記端末装置の第2秘密鍵生成部が、前記第2記憶部から読み込んだ前記秘密ID情報と前記入力部に入力された前記第1秘密鍵とを用い、階層型IDベース暗号方式の鍵生成手順に従って、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を生成するステップと、
を有する秘密鍵生成方法。 A secret key generation method for generating a secret key in the cryptographic communication system according to claim 1, comprising:
A first secret key generation unit of the key generation device uses the master secret key read from the first storage unit and public ID information corresponding to any user to generate a key of a hierarchical ID-based encryption method Generating a first secret key of a hierarchical ID-based encryption scheme using the public ID information as an ID according to the procedure;
An output unit of the key generation device outputting the first secret key;
Inputting the first secret key to the input unit of the terminal device;
A second secret key generation unit of the terminal device uses the secret ID information read from the second storage unit and the first secret key input to the input unit to generate a key of a hierarchical ID-based encryption scheme Generating a second secret key of a hierarchical ID-based encryption scheme having a set of the public ID information and the secret ID information as an ID according to a procedure;
A secret key generation method comprising: 請求項2の暗号通信システムにおいて秘密鍵を生成する秘密鍵生成方法であって、
前記鍵生成装置の入力部に、或る利用者に対応する秘密ID情報をランダム数によってランダム化して得られたランダム化秘密ID情報が入力されるステップと、
前記鍵生成装置の第1秘密鍵生成部が、前記マスター秘密鍵と、前記ランダム化秘密ID情報に対応する利用者に対応する公開ID情報とを第1記憶部から読み込み、これらを用いた階層型IDベース暗号方式の鍵生成手順に従って、当該公開ID情報をIDとする階層型IDベース暗号方式の第1秘密鍵を生成するステップと、
前記鍵生成装置の第2秘密鍵生成部が、前記第1秘密鍵と前記ランダム化秘密ID情報とを用い、階層型IDベース暗号方式の鍵生成手順に従って、前記公開ID情報と前記ランダム化秘密ID情報との組をIDとする階層型IDベース暗号方式の第2秘密鍵を復元するステップと、
前記鍵生成装置の出力部が、前記第2秘密鍵を出力するステップと、
前記端末装置の入力部に、前記第2秘密鍵が入力されるステップと、
前記端末装置のランダム除去部が、前記第2秘密鍵と前記ランダム数とを用い、前記公開ID情報と前記秘密ID情報との組をIDとする階層型IDベース暗号方式の第3秘密鍵を復元するステップと、
を有する秘密鍵生成方法。 A secret key generation method for generating a secret key in the cryptographic communication system according to claim 2, comprising:
Randomized secret ID information obtained by randomizing secret ID information corresponding to a certain user with a random number is input to the input unit of the key generation device;
The first secret key generation unit of the key generation device reads the master secret key and public ID information corresponding to the user corresponding to the randomized secret ID information from the first storage unit, and uses these Generating a first secret key of a hierarchical ID-based encryption scheme using the public ID information as an ID according to a key generation procedure of the type ID-based encryption scheme;
A second secret key generation unit of the key generation device uses the first secret key and the randomized secret ID information, and follows the public ID information and the randomized secret according to a key generation procedure of a hierarchical ID-based encryption method. Restoring a second secret key of a hierarchical ID-based encryption scheme having a pair with ID information as an ID;
An output unit of the key generation device outputting the second secret key;
Inputting the second secret key to the input unit of the terminal device;
A random removal unit of the terminal device uses the second secret key and the random number to obtain a third secret key of a hierarchical ID-based encryption scheme having a set of the public ID information and the secret ID information as an ID. Steps to restore,
A secret key generation method comprising: 請求項6又は7の端末装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as a terminal device of Claim 6 or 7.
JP2009001347A 2009-01-07 2009-01-07 Cryptographic communication system, terminal device, secret key generation method and program Active JP5097137B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009001347A JP5097137B2 (en) 2009-01-07 2009-01-07 Cryptographic communication system, terminal device, secret key generation method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009001347A JP5097137B2 (en) 2009-01-07 2009-01-07 Cryptographic communication system, terminal device, secret key generation method and program

Publications (2)

Publication Number Publication Date
JP2010161527A JP2010161527A (en) 2010-07-22
JP5097137B2 true JP5097137B2 (en) 2012-12-12

Family

ID=42578378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009001347A Active JP5097137B2 (en) 2009-01-07 2009-01-07 Cryptographic communication system, terminal device, secret key generation method and program

Country Status (1)

Country Link
JP (1) JP5097137B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5480763B2 (en) * 2010-09-21 2014-04-23 日本電信電話株式会社 Decryption system, general-purpose terminal, high-reliability terminal, key generation device, decryption method, program
JP2015208043A (en) * 2015-08-06 2015-11-19 国立研究開発法人情報通信研究機構 host device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4143036B2 (en) * 2004-01-26 2008-09-03 株式会社エヌ・ティ・ティ・ドコモ Key generation system, key generation server, and key generation method
JP2009232149A (en) * 2008-03-24 2009-10-08 Nec Soft Ltd Key utilizing terminal, key utilizing program, public key system, and key utilizing method

Also Published As

Publication number Publication date
JP2010161527A (en) 2010-07-22

Similar Documents

Publication Publication Date Title
US10361841B2 (en) Proxy computing system, computing apparatus, capability providing apparatus, proxy computing method, capability providing method, program, and recording medium
JP5422053B2 (en) Encryption system, encryption communication method, encryption device, key generation device, decryption device, content server device, program, storage medium
JP4809598B2 (en) Use of isojani in the design of cryptographic systems
JP4859933B2 (en) Ciphertext generation apparatus, cryptographic communication system, and group parameter generation apparatus
JP5618881B2 (en) Cryptographic processing system, key generation device, encryption device, decryption device, cryptographic processing method, and cryptographic processing program
JP5466763B2 (en) ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION METHOD, DECRYPTION METHOD, PROGRAM, AND RECORDING MEDIUM
Rao et al. Efficient attribute-based signature and signcryption realizing expressive access structures
US8589679B2 (en) Identifier-based signcryption with two trusted authorities
CN107086912B (en) Ciphertext conversion method, decryption method and system in heterogeneous storage system
Kanna et al. Enhancing the security of user data using the keyword encryption and hybrid cryptographic algorithm in cloud
Pugila et al. An efficeient encrpytion algorithm based on public key cryptography
Owens et al. An identity based encryption system
JP2010160235A (en) Retrieval system, terminal device, database device, retrieval method, and program
JP5596616B2 (en) Information providing system, mediating apparatus, mediating method, information providing method, and program
JP5097137B2 (en) Cryptographic communication system, terminal device, secret key generation method and program
Nayak A secure ID-based signcryption scheme based on elliptic curve cryptography
Lu et al. Efficient certificate-based signcryption secure against public key replacement attacks and insider attacks
Nayak Signcryption schemes based on elliptic curve cryptography
Yeh et al. P2P email encryption by an identity-based one-way group key agreement protocol
JP5612494B2 (en) Timed cryptographic system, timed cryptographic method, apparatus, and program using function encryption
JP2010272899A (en) Key generating system, key generating method, blind server device, and program
JP2002023626A (en) Method for ciphering public key and communication system using public key cryptograph
Yu et al. Achieving flexibility for ABE with outsourcing via proxy re-encryption
Yong et al. An Efficient Anonymous IBE Scheme based on a Probabilistic Mapping Technique.
Sahana Raj et al. Identity based cryptography using matrices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110228

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110715

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120921

R150 Certificate of patent or registration of utility model

Ref document number: 5097137

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350