JP5457848B2 - Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 - Google Patents
Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 Download PDFInfo
- Publication number
- JP5457848B2 JP5457848B2 JP2010007982A JP2010007982A JP5457848B2 JP 5457848 B2 JP5457848 B2 JP 5457848B2 JP 2010007982 A JP2010007982 A JP 2010007982A JP 2010007982 A JP2010007982 A JP 2010007982A JP 5457848 B2 JP5457848 B2 JP 5457848B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- short
- authentication
- term
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は情報セキュリティ技術の分野における認証鍵交換、特に、IDベース認証鍵交換システム、それに使用される認証交換方法、認証鍵交換装置、及びそのプログラムと記録媒体に関する。
安全性が保障されていないネットワークを介して2者間で情報の交換を安全に行う技術の1つとして2者が共通の秘密鍵(以下、共通鍵と呼ぶ)を共有し、互いに情報を共通鍵により暗号化して送信し、受信した暗号化情報を共通鍵により復号化する技術がある。このような共有鍵暗号化方式においては、2者間で予め共有鍵を安全に共有する(鍵交換する)必要がある。その技術の1つとしてペアリング技術を用いたIDベース認証鍵交換方式が提案されている(非特許文献1)。
このIDベース認証鍵交換方式について以下に説明する。ユーザUA,UBの端末装置及び鍵発行装置がネットワークを介して接続されており、ユーザUA,UB間で鍵交換を行うものとする。鍵発行装置は公開パラメータとして、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
を公開しているものとする。
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
を公開しているものとする。
鍵発行装置は、マスタ鍵s∈Zqをランダムに選び、マスタ公開鍵Z=gs∈Gを公開する。また、ユーザUiから与えられた識別子IDi∈{0, 1}*に対し、ユーザ情報
Qi=H1(IDi) ∈G
を計算し、マスタ秘密鍵sを用いてユーザ秘密鍵
Di=Qi s∈G
を生成し、ユーザUiに与える。ここで、iはユーザを区別するインデックスであり、ここではユーザUA,UBに対しそれぞれi=A,i=Bである。
Qi=H1(IDi) ∈G
を計算し、マスタ秘密鍵sを用いてユーザ秘密鍵
Di=Qi s∈G
を生成し、ユーザUiに与える。ここで、iはユーザを区別するインデックスであり、ここではユーザUA,UBに対しそれぞれi=A,i=Bである。
識別子IDAとユーザ秘密鍵DA=QA s∈Gを有するユーザUAと、識別子IDBとユーザ秘密鍵DB=QB s∈Gを有するユーザUBは、以下のようにして認証鍵交換を行なう。
ステップS1:ユーザUAは、短期秘密鍵yA∈Zqをランダムに選択し、短期公開鍵
ステップS1:ユーザUAは、短期秘密鍵yA∈Zqをランダムに選択し、短期公開鍵
ステップS2:ユーザUBは(IDprot, IDA, IDB, XA)を受信し、短期秘密鍵yB∈Zqをランダムに選択し、短期公開鍵
ステップS3:ユーザUBは共有鍵生成パラメータ
ステップS4:ユーザUAは(IDprot, IDA, IDB, XA, XB)を受信し、共有鍵生成パラメータ
まず、G上の任意の点V,Wに対してG×G→GTで定義されるペアリング関数e(V, W)は次の性質を持つことが知られている。
e(aV, bW)=e(V, W)ab=e(bV, aW) (7)
そこで、ユーザ情報を
そこで、ユーザ情報を
L. Chen, Z. Cheng, N.P. Smart, "Identity-based key agreement protocols from parings", Int. J. Inf. Sec. 6(4): 213-241 (2007)
ところが、上述の従来技術においては、短期秘密鍵xA, xBの漏洩を考慮したeCK(extended Canetti-Krawzcyk)モデル(参考文献:B. LaMacchia, K. Lauter and A. Mityagin, "Stronger security of authenticated key exchange" in W. Susilo, J.K. Liu and Y. Mu, editors, Provable Security: First International Conference, ProvSec 2007, Vol. 4784 of LNCS, pages 1-16, Springer Verlag, 2007)では安全性の証明ができないという問題があった。この発明の目的は、短期秘密鍵が漏洩しても安全性が保てるeCKモデルでの安全性の証明が可能なIDベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体を提供することである。
この発明の第1の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、認証鍵交換装置BからXBを受信し、ZyA, XA, XB, DA及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DAZyA, QBXB), σ2=e(DA, QB), σ3=XB yAを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、認証鍵交換装置AからXAを受信し、ZyB, XA, XB, DB及びQA=H1(IDA)から認証生成パラメータσ1=e(QAXA, DBZyB), σ2=e(QA, DB), σ3=XA yBを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。
この発明の第2の観点によれば、GとGTを素数qを位数とする巡回群、gをGの生成元とすると、識別子IDAとIDBをそれぞれ有する互いに認証鍵交換を行う認証鍵交換装置AとBは、予め鍵発行装置からそれぞれQA=H1(IDA)とQB=H1(IDB)からマスタ秘密鍵sを使って計算したユーザ秘密鍵DA=QA sとDB=QB sが与えられており、認証鍵交換装置Aは短期秘密鍵yAを使って秘密鍵情報ZyA, 短期公開鍵XA=gyAを生成し、XAと認証鍵交換装置Bから受信したXBから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyA, XA, XB, DA, eA, eB及びQB=H1(IDB)から、G×G→GTをペアリングとする双線形関数e(g, g)を使って認証鍵生成パラメータσ1=e(DA eAZyA, QBXB), σ2=e(DAZyA, QB eBXB), σ3=XB yAを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。認証鍵交換装置Bは短期秘密鍵yBを使って秘密鍵情報ZyB, 短期公開鍵XB=gyBを生成し、XBと認証鍵交換装置Aから受信したXAから公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ZyB, XA, XB, DB, eA, eB及びQA=H1(IDA)から認証生成パラメータσ1=e(QA eAXA, DBZyB), σ2=e(QAXA, DB eBZyB), σ3=XA yBを生成し、共有鍵K=H(σ1,σ2,σ3,Cm)を計算する。
従来技術では共有鍵生成パラメータσ1=e(g, g)s(qA+yA)(qB+yB), σ3=gyAyBとyAとからe(g, g)sqAqBを計算できないため、eCKモデルでの安全性の証明ができなかったが、この発明によればe(g, g)sqAqBを計算できるよう3つの共有鍵生成パラメータσ1, σ2, σ3を使用するため、安全性の証明が可能となる。
以下、本発明の実施形態について図を参照して詳細に説明する。
[第1実施例]
図1はこの発明が実施されるIDベース認証鍵交換システム(以下、認証鍵交換システムと呼ぶ)の概略を示すブロック図である。認証鍵交換システムは鍵発行装置100と、複数の端末装置200A, 200Bがネットワークを介して互いに接続されて構成されている。各端末装置200A, 200Bはそれぞれこの発明による認証鍵交換装置20A, 20Bを有している。認証鍵交換は任意の2つの端末装置間で行われる。図では2つの端末装置のみ示している。端末装置200A, 200BはそれぞれユーザUA, UBにより使用されているものとする。この発明では認証鍵交換にのみ係わるので、以下では認証鍵交換装置20A, 20Bがネットワークに接続されているものとして説明する。また、ユーザUA, UBが所有している識別子IDA, IDBは便宜的に認証鍵交換装置20A, 20Bの識別子でもあることとする。
[第1実施例]
図1はこの発明が実施されるIDベース認証鍵交換システム(以下、認証鍵交換システムと呼ぶ)の概略を示すブロック図である。認証鍵交換システムは鍵発行装置100と、複数の端末装置200A, 200Bがネットワークを介して互いに接続されて構成されている。各端末装置200A, 200Bはそれぞれこの発明による認証鍵交換装置20A, 20Bを有している。認証鍵交換は任意の2つの端末装置間で行われる。図では2つの端末装置のみ示している。端末装置200A, 200BはそれぞれユーザUA, UBにより使用されているものとする。この発明では認証鍵交換にのみ係わるので、以下では認証鍵交換装置20A, 20Bがネットワークに接続されているものとして説明する。また、ユーザUA, UBが所有している識別子IDA, IDBは便宜的に認証鍵交換装置20A, 20Bの識別子でもあることとする。
鍵発行装置100は認証鍵交換装置20AからユーザUAの識別子IDAを受けてユーザ秘密鍵DAを生成し、認証鍵交換装置20Aに与える。同様に、認証鍵交換装置20BからユーザUBの識別子IDBを受けてユーザ秘密鍵DBを生成し、認証鍵交換装置20Bに与える。認証鍵交換装置20Aと20Bはそれぞれ与えられたユーザ秘密鍵DA, DBを使って、この発明の認証鍵交換方法に従って認証鍵交換を実施する。
図2は鍵発行装置100の機能構成を示すブロック図であり、マスタ秘密鍵選択部110と、マスタ公開鍵生成部120と、受信部130と、ハッシュ部140と、ユーザ秘密鍵生成部150と、送信部160と、制御部10と、公開パラメータ記憶部11とから構成されている。公開パラメータ記憶部11には、前述の従来技術と同様の、
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
が格納されており、これら公開パラメータは公開されている。ペアリング関数として使用可能な双線形関数の例としては楕円曲線が知られている(参考文献1:"IEEE P1636.3TM /D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg])。制御部10はユーザ秘密鍵発行手順のプログラムに従って各部110〜160の動作を制御する
鍵発行装置100において、マスタ秘密鍵選択部110は、素数qによる剰余群Zqからランダムにマスタ秘密鍵sを選択する。マスタ公開鍵生成部120はマスタ秘密鍵sにより素数qをべき乗することによりマスタ公開鍵Z=qs∈Gを生成し、公開する。Z∈GはZが群Gの元であることを意味している。受信部130によりユーザUiから識別子IDiが密鍵発行要求として受信されると、ハッシュ部140は識別子Uiにハッシュ演算処理を行い、ユーザ情報Qi=H1(IDi)を得る。ユーザ秘密鍵生成部150はユーザ情報Qiをマスタ秘密鍵sでべき乗することによりユーザ秘密鍵Di=Qi s∈Gを生成し、送信部160からユーザUiに送信する。なお、iは複数のユーザを区別するインデックスであり、例えばユーザUA及びUBに対し、それぞれi=A及びi=Bである。
G,GT:kビットの素数qを位数とする巡回群、
g:Gの生成元、
gT=e(g, g):GTの生成元、
e(g, g):G×G→GTをペアリングとする双線形関数、
H:任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換するハッシュ関数、
H1:任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数、
IDprot:鍵交換方式の名称、
が格納されており、これら公開パラメータは公開されている。ペアリング関数として使用可能な双線形関数の例としては楕円曲線が知られている(参考文献1:"IEEE P1636.3TM /D1 Draft Standard for Identity-based Public-key Cryptography Using Parings", [URL: http://grouper.ieee.org/groups/1363/IBC/material/P1363.3-D1-200805.pdg])。制御部10はユーザ秘密鍵発行手順のプログラムに従って各部110〜160の動作を制御する
鍵発行装置100において、マスタ秘密鍵選択部110は、素数qによる剰余群Zqからランダムにマスタ秘密鍵sを選択する。マスタ公開鍵生成部120はマスタ秘密鍵sにより素数qをべき乗することによりマスタ公開鍵Z=qs∈Gを生成し、公開する。Z∈GはZが群Gの元であることを意味している。受信部130によりユーザUiから識別子IDiが密鍵発行要求として受信されると、ハッシュ部140は識別子Uiにハッシュ演算処理を行い、ユーザ情報Qi=H1(IDi)を得る。ユーザ秘密鍵生成部150はユーザ情報Qiをマスタ秘密鍵sでべき乗することによりユーザ秘密鍵Di=Qi s∈Gを生成し、送信部160からユーザUiに送信する。なお、iは複数のユーザを区別するインデックスであり、例えばユーザUA及びUBに対し、それぞれi=A及びi=Bである。
図2の例で鍵発行装置100が生成したユーザ秘密鍵DiをユーザUiに送る場合、安全性を確保するため、例えばSSL(Secure Socket Layer)による暗号化を行って送信してもよいし、あるいは鍵発行装置100と専用回線により直接接続された端末でユーザUiが受けてもよいし、あるいは鍵発行装置100がユーザ秘密鍵Diを記録した記録媒体をユーザUiに搬送してもよいし、あるいはユーザUiがその記録媒体を鍵発行装置100から直接受け取ってもよい。
図3はユーザUAの端末装置200A内の認証鍵交換装置20Aの機能構成ブロック図を示す。この第1実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ペアリング演算部28Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。記憶部21Aには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、ZyAを生成する。
一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。ペアリング演算部28AはこれらyA, ZyA, DA, XB, QBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
K=H(σ1, σ2, σ3, Cm) (15)
を計算し、出力する。共有情報として例えばCm=(IDprot, IDA, IDB, XA, XB)を使う場合は、IDprotは使用している鍵交換方式を特定し、IDA, IDBは鍵交換を行う2者を特定し、XA, XBはセッションを特定する。これらの予め決めた任意の組み合わせを共有情報として使用してもよいし、更に他の情報を加えてもよい。このような共有情報を埋め込むことにより、ユーザUAとUB以外のユーザ間で偶然に同じ共有鍵Kが生成されてしまうことを防ぐことができる。ハッシュの対象である情報σ1, σ2, σ3, Cmの入力順序は、両認証鍵交換装置20A,20Bで同じ順序をとる限り、どのような順序でもかまわない。なお、この第1実施例の共有鍵生成パラメータσ1とσ3は、従来技術における共有鍵パラメータσ1とσ3とそれぞれ同じであるが、この発明の特徴は共有鍵パラメータσ2が更に設けられていることである。
図4はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図3の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ペアリング演算部28Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。
一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ペアリング演算部28BはこれらyB, ZyB, DB, XA, QAを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
K=H(σ1, σ2, σ3, Cm) (19)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
ここで、ユーザUAが式(12), (13), (14)を使って式(15)により計算した共有鍵Kと、ユーザUBが式(16), (17), (18)を使って式(19)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。
ところで、前述の従来技術においては共有鍵生成パラメータσ1, σ3の2つを使用しており、この場合、短期秘密鍵yA, yBが漏洩した場合の安全性についての証明が不可能であった。この発明においては新たに共有鍵生成パラメータσ2を追加している。簡単に述べれば、このパラメータσ2には短期秘密鍵yA, yBが含まれていないので、短期秘密鍵yA, yBを知ったとしてもパラメータσ2を計算することは不可能であり、従って共有鍵Kを計算することができず、安全性が高い。
認証鍵交換の安全性はgapBDH(Bilinear Diffie-Hellman)仮定に基づいている。gapBDH仮定とは、U, V, W∈Gから、DBDHオラクルにアクセスしながらBDH(U, V, W)を計算することが計算量的に難しいという仮定である。ここで、BDH(U, V, W)=e(g, g)logUlogVlogWであり、DBDHオラクルは、入力(gu, gv, gw, e(g, g)x)に対してuvw=xのときb=1を返し、そうでない場合はb=0を返すオラクルである。例えば、マスタ公開鍵ZをUとし、qA=log(QA)をランダムに選び、ユーザ秘密鍵DAをZqAとする。ユーザUAの短期公開鍵XAをVとし、ユーザUBの情報QBをWとする。
もし、攻撃者がDBDH(Z, QAXA, QBXB,σ1)=1, DBDH(Z, QA, QB,σ2)=1, e(XA, XB)=σ3であり、かつXA=V, QB=Wであるσ1, σ2, σ3を計算できたとすると、gapBDH問題の答えを以下のように計算できる。
図5は、第1実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。
認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。
認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XB=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。
認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15Aで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(12), (13), (14)により計算し、ステップS16Aで式(15)により共有鍵Kを計算し、出力する。
認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15Bで公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(16), (17), (18)により計算し、ステップS16Bで共有鍵Kを式(19)により計算し、出力する。
図5に示す認証鍵交換は、セッション毎に行われ、従って、セッション毎に短期秘密鍵yA, yB、短期公開鍵XA, XB及び共有鍵Kが新しく生成され、セッションが終了すればそれらは廃棄される。従って、ステップS16A, S16Bの共有鍵計算においてハッシュの対象として共有鍵生成パラメータσ1, σ2, σ3と共に含まれる共有情報Cm=(IDprot, IDA, IDB, XA, XB)中の短期公開鍵XA, XBは、現セッションを特定する情報でもある。
[第2実施例]
この発明の第2実施例における認証鍵交換システムの全体の構成は図1と同じであり、鍵発行装置の構成と処理機能は図2と同じであるので説明を省略する。ただし、公開パラメータ記憶部11には先に示した公開パラメータに更に任意のビット長の情報をqによる剰余群の元に変換するハッシュ関数H2:{0, 1}* →Zqが追加されている。
[第2実施例]
この発明の第2実施例における認証鍵交換システムの全体の構成は図1と同じであり、鍵発行装置の構成と処理機能は図2と同じであるので説明を省略する。ただし、公開パラメータ記憶部11には先に示した公開パラメータに更に任意のビット長の情報をqによる剰余群の元に変換するハッシュ関数H2:{0, 1}* →Zqが追加されている。
図6は第2実施例におけるユーザUAの認証鍵交換装置20Aの機能構成ブロック図を示す。この第2実施例における認証鍵交換装置20Aは、記憶部21Aと、短期秘密鍵選択部22Aと、短期公開鍵生成部23Aと、送信部24Aと、べき乗部25Aと、受信部26Aと、ユーザ情報生成部27Aと、ハッシュ部281Aと、ペアリング演算部282Aと、共有鍵計算部29Aと、これら各部の動作を制御する制御部201Aとから構成されている。
記憶部21Aには前述のハッシュ関数H2を含む公開パラメータ(G, GT, g, gT, e, H, H1, H2, IDprot)、マスタ公開鍵Z,ユーザUAの識別子IDA等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。この構成は図3の構成に対し、更にハッシュ部281Aが追加され、ペアリング演算部28Aの代わりにペアリング演算部282Aが設けられている点が図3の構成と異なり、その他の構成は同じである。
認証鍵交換装置20Aは送信部24AからユーザUAの識別子IDAを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DAは受信部26Aで受信される。短期秘密鍵選択部22Aは素数qについての剰余群Zqの中からランダムに短期秘密鍵yAを選択する。短期公開鍵生成部23Aはgを短期秘密鍵yAでべき乗して短期公開鍵XA=gyAを生成する。短期公開鍵XAは識別子UAと共に送信部24AからユーザUBの認証鍵交換装置20Bに送信される。べき乗部25Aはマスタ公開鍵Zを短期秘密鍵yAでべき乗し、秘密鍵情報ZyAを生成する。
一方、認証鍵交換装置20BからユーザUBの短期公開鍵XBと識別子IDBが受信部26Aで受信され、ユーザ情報生成部27Aは識別子IDBをハッシュしてユーザ情報QB=H1(IDB)を生成する。第2実施例で追加されたハッシュ部281Aは、生成した短期公開鍵XAと受信した短期公開鍵XBをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Aに与える。ペアリング演算部282AはこれらyA, ZyA, DA, XB, QB, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
K=H(σ1, σ2, σ3, Cm) (33)
を計算し、出力する。共有情報CmとしてはIDprot, IDA, IDB, XA, XB)の任意の組み合わせを使用してもよいし、更に他の情報を加えてもよい。
図7はユーザUAと認証鍵交換を行うユーザUBの端末装置200B内の認証鍵交換装置20Bの機能構成ブロック図を示す。基本的な構成は図6の構成と同じであり、記憶部21Bと、短期秘密鍵選択部22Bと、短期公開鍵生成部23Bと、送信部24Bと、べき乗部25Bと、受信部26Bと、ユーザ情報生成部27Bと、ハッシュ部281Bと、ペアリング演算部282Bと、共有鍵計算部29Bと、これら各部の動作を制御する制御部201Bとから構成されている。記憶部21Bには前述の公開パラメータ(G, GT, g, gT, e, H, H1, IDprot)、マスタ公開鍵Z,ユーザUBの識別子IDB等が予め格納されており、各部の演算処理において必要な情報が読み出され、使用される。
認証鍵交換装置20Bは送信部24BからユーザUBの識別子IDBを秘密鍵発行要求として鍵発行装置100に送信し、鍵発行装置100から発行されたユーザ秘密鍵DBは受信部26Bで受信される。短期秘密鍵選択部22Bは素数qについての剰余群Zqの中からランダムに短期秘密鍵yBを選択する。短期公開鍵生成部23Bはgを短期秘密鍵yBでべき乗して短期公開鍵XB=gyBを生成する。短期公開鍵XBは識別子UBと共に送信部24AからユーザUAの認証鍵交換装置20Aに送信される。べき乗部25Bはマスタ公開鍵Zを短期秘密鍵yBでべき乗し、秘密鍵情報ZyBを生成する。
一方、認証鍵交換装置20AからユーザUAの短期公開鍵XAと識別子IDAが受信部26Bで受信され、ユーザ情報生成部27Bは識別子IDAをハッシュしてユーザ情報QA=H1(IDA)を生成する。ハッシュ部281Bは、受信した短期公開鍵XAと生成した短期公開鍵XBとをそれぞれハッシュ関数H2で処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、ペアリング演算部282Bに与える。ペアリング演算部282BはこれらyB, ZyB, DB, XA, QA, eA, eBを使って共有鍵生成パラメータσ1、σ2、σ3を以下のように計算する。
K=H(σ1, σ2, σ3, Cm) (37)
を計算し、出力する。共有情報Cmとしては、ユーザUAの使用した共有情報Cmと同じもの、例えばCm=(IDprot, IDA, IDB, XA, XB)を使用する。
ここで、ユーザUAが式(30), (31), (32)を使って式(33)により計算した共有鍵Kと、ユーザUBが式(34), (35), (36)を使って式(37)により計算した共有鍵Kが互いに同じものとなることが次のように証明される。
となる。一方、ユーザUAの共有鍵生成パラメータσ1, σ2, σ3は
となり、これらはユーザUBの式(38), (39), (40)により計算した共有鍵生成パラメータと一致する。従って、ユーザUA側とユーザUB側の共有鍵Kの計算結果も一致する。これにより共有鍵Kが両者UA,UB間で共有されることが証明された。
図8は、第2実施例によるユーザUAの認証鍵交換装置20AとユーザUBの認証鍵交換装置20Bとの間の認証鍵交換手順を示す。認証鍵交換装置20A,20Bはそれぞれ鍵発行装置100から前述のようにして生成されたユーザ秘密鍵DA, DBが与えられているものとする。
認証鍵交換装置20AはステップS11Aで、素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択し、ステップS12Aで短期公開鍵XA=gyAを計算し、ステップS13Aで情報(IDprot, IDA, IDB, XA)を認証鍵交換装置20Bに送信する。
認証鍵交換装置20BはステップS11Bで、素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択し、ステップS12Bで短期公開鍵XA=gyBを計算し、ステップS13Bで受信情報にXBを含めて情報(IDprot, IDA, IDB, XA, XB)として認証鍵交換装置20Aに送信する。
認証鍵交換装置20AはステップS14Aでマスタ公開鍵Zを短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成し、更に識別子IDBをハッシュ処理してユーザ情報QB=H1(IDB)を生成する。次に、ステップS15'Aで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(30), (31), (32)により計算し、ステップS16Aで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。
認証交換装置20BはステップS14Bでマスタ公開鍵Zを短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成し、更に識別子IDAをハッシュ処理してユーザ情報QA=H1(IDA)を生成する。次に、ステップS15'Bで短期公開鍵XA, XBをそれぞれハッシュ処理して公開鍵情報eA=H2(XA), eB=H2(XB)を生成し、更に公開パラメータ及び受信した情報を使って共有鍵生成パラメータσ1, σ2, σ3を式(39) (40), (41)により計算し、ステップS16Bで共有鍵Kをハッシュ処理K=H(σ1, σ2, σ3, IDprot, IDA, IDB, XA, XB)により計算し、出力する。
[変形実施例]
第2実施例である図6の認証鍵交換装置20Aにおけるペアリング演算部282Aによる共有鍵生成パラメータσ1, σ2, σ3を前式(30), (31), (32)の代わりに次式
[変形実施例]
第2実施例である図6の認証鍵交換装置20Aにおけるペアリング演算部282Aによる共有鍵生成パラメータσ1, σ2, σ3を前式(30), (31), (32)の代わりに次式
以上説明したこの発明によるIDベース認証鍵交換システムの実施例において、各認証鍵交換装置は、その機能を記録媒体に記録したプログラムに従ってコンピュータにより実行させるように構成してもよい。
本発明はネットワークを介した通信のセキュリティに利用することができる。
Claims (15)
- 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2
ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗
部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理し
てユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有
情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2
ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗
部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理し
てユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有
情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換システムであり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)
を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDB
を上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成す
る第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処
理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QBを使って認証鍵生成パラメータ
を生成する第1ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する共有
情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成す
る第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処
理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QAを使って認証鍵生成パラメータ
を生成する第2ペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する上記
共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換方法であり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵X B =gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QBを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第1ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB,, XA, XB, DB, QAを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第2ペアリング演算ステップと、上記共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とするIDベース認証鍵交換方法。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換
する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDAを上記第2
ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DA=QA sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yAを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yAでべき乗して短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yAでべき乗して秘密鍵情報ZyAを生成するべき乗
部と、
上記短期公開鍵XAを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XBを含む情報を受信する受信部と、
生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成
するハッシュ部と、
上記他の認証鍵交換装置の識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理し
てユーザ情報QB=H1(IDB)を生成するユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有
情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 - 請求項5に記載の認証鍵交換装置において、上記ペアリング演算部は、上記認証鍵生成パラメータの代わりに、
を計算することを特徴とする認証鍵交換装置。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換
する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して他の認証鍵交換装置と認証鍵交換を行う認証鍵交換装置であり、
上記認証鍵交換装置は、上記鍵発行装置が上記認証鍵交換装置の識別子IDBを上記第2
ハッシュ関数H1によりハッシュ処理して生成したユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成したユーザ秘密鍵DB=QB sが与えられており、
上記認証鍵交換装置は、
素数qによる剰余群Zqからランダムに短期秘密鍵yBを選択する短期秘密鍵選択部と、
上記生成元gを短期秘密鍵yBでべき乗して短期公開鍵XBを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記短期秘密鍵yBでべき乗して秘密鍵情報ZyBを生成するべき乗
部と、
上記短期公開鍵XBを含む情報を上記他の認証鍵交換装置に送信する送信部と、
上記他の認証鍵交換装置からその短期公開鍵XAを含む情報を受信する受信部と、
受信した上記短期公開鍵XAと生成した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成するハッシュ部と、
上記他の認証鍵交換装置の識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理し
てユーザ情報QA=H1(IDA)を生成するユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って認証鍵生成パラメータ
を生成するペアリング演算部と、
上記認証鍵生成パラメータσ1, σ2, σ3と、上記他の認証鍵交換装置と共有する共有
情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する共有鍵計算部、
とを含むことを特徴とする認証鍵交換装置。 - 請求項7記載の認証鍵交換装置において、上記ペアリング演算部は上記共有鍵生成パラメータの代わりに、
を計算することを特徴とする認証鍵交換装置。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換
する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換システムであり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)
を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDB
を上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択する第1短期秘密鍵選択部と、
上記生成元gを上記第1短期秘密鍵yAでべき乗して第1短期公開鍵XAを生成する短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成す
る第1べき乗部と、
上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信部と、
上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信部と、
生成した上記第1短期公開鍵XAと受信した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュ部と、
上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処
理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成部と、
上記ZyA, XA, XB, DA, QB, eA, eBを使って第1認証鍵生成パラメータ
を生成する第1ペアリング演算部と、
上記第1認証鍵生成パラメータσ1, σ2, σ3と、上記第2認証鍵交換装置と共有する
共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第1共有鍵計算部、
とを含んでおり、
上記第2認証鍵交換装置は、
素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択する第2短期秘密鍵選択部と、
上記生成元gを上記第2短期秘密鍵yBでべき乗して第2短期公開鍵XBを生成する第2短期公開鍵生成部と、
上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成す
る第2べき乗部と、
上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信部と、
上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信部と、
受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュ部と、
上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処
理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成部と、
上記ZyB, XA, XB, DB, QA, eA, eBを使って第2認証鍵生成パラメータ
を生成する第2ペアリング演算部と、
上記第2認証鍵生成パラメータσ1, σ2, σ3と、上記第1認証鍵交換装置と共有する
上記共有情報Cmとを上記第1ハッシュ関数Hによりハッシュ処理して共有鍵K=H(σ1, σ2, σ3, Cm)を生成し、出力する第2共有鍵計算部、
とを含むことを特徴とするIDベース認証鍵交換システム。 - 請求項9記載のIDベース認証鍵交換システムにおいて、上記第1ペアリング演算部は上記共有鍵生成パラメータの代わりに、
を計算し、上記第2ペアリング演算部は上記共有鍵生成パラメータの代わりに、
を計算することを特徴とするIDベース認証鍵交換システム。 - 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をkビット長の情報{0, 1}kに変換する第1ハッシュ関数Hと、任意のビット長の情報{0, 1}*をGの元に変換する第2ハッシュ関数H1と、任意のビット長の情報{0, 1}*をqによる剰余群Zqの元に変換する第3ハッシュ関数H2と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換方法であり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵X B =gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、生成した上記短期公開鍵XAと受信した上記短期公開鍵XBをそれぞれ第3ハッシュ関数H2によりハッシュ処理して第1公開鍵情報eA=H2(XA)及び第2公開鍵情報 eB=H2(XB)を生成する第1ハッシュステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記第2ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QB, eA, eBを使って第1共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第1ペアリング演算ステップと、上記第1共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを計算し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、受信した上記第1短期公開鍵XAと生成した上記第2短期公開鍵XBをそれぞれ第3ハッシュ関数でハッシュ処理して第1公開鍵情報eA=H2(XA)と第2公開鍵情報eB=H2(XB)を生成する第2ハッシュステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記第2ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB, XA, XB, DB, QA,eA, eBを使って第2共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第2ペアリング演算ステップと、上記第2共有鍵生成パラメータを含む情報を上記第1ハッシュ関数Hによりハッシュ処理して共有鍵Kを生成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とする認証鍵交換方法。 - 請求項11に記載の認証鍵交換方法において、上記第1ペアリング演算ステップは、上記第1共有鍵生成パラメータの代わりに、
を計算し、上記第2ペアリング演算ステップは上記第2共有鍵生成パラメータの代わりに、
を計算することを特徴とするIDベース認証鍵交換方法。 - 請求項1,2,5,6,7,8のいずれか記載の認証鍵交換装置としてコンピュータを
機能させるプログラム。 - 請求項13記載のプログラムを記録したコンピュータで読み取り可能な記録媒体。
- 予め素数q、素数qを位数とする巡回群G及びGT、巡回群Gの生成元g、G×G→GTをペアリングとする双線形関数e(g, g)、任意のビット長の情報{0, 1}*をGの元に変換するハッシュ関数H1と、鍵発行装置がqによる剰余群Zqからランダムに選択したマスタ秘密鍵sによりgをべき乗して生成したマスタ公開鍵Zと、が公開されており、ネットワークを介して第1認証鍵交換装置と第2認証鍵交換装置が認証鍵交換を行うIDベース認証鍵交換方法であり、
上記第1認証鍵交換装置は、上記鍵発行装置が上記第1認証鍵交換装置の第1識別子IDAを上記ハッシュ関数H1によりハッシュ処理して生成した第1ユーザ情報QA=H1(IDA)を上記マスタ秘密鍵sでべき乗して生成した第1ユーザ秘密鍵DA=QA sが与えられており、上記第2認証鍵交換装置は、上記鍵発行装置が上記第2認証鍵交換装置の第2識別子IDBを上記ハッシュ関数H1によりハッシュ処理して生成した第2ユーザ情報QB=H1(IDB)を上記マスタ秘密鍵sでべき乗して生成した第2ユーザ秘密鍵DB=QB sが与えられており、
上記第1認証鍵交換装置が素数qによる剰余群Zqからランダムに第1短期秘密鍵yAを選択し、第1短期公開鍵XA=gyAを計算する第1短期公開鍵生成ステップと、上記第1短期公開鍵XAを含む情報を上記第2認証鍵交換装置に送信する第1送信ステップと、
上記第2認証鍵交換装置が素数qによる剰余群Zqからランダムに第2短期秘密鍵yBを選択し、第2短期公開鍵X B =gyBを計算する第2短期公開鍵生成ステップと、上記第2短期公開鍵XBを含む情報を上記第1認証鍵交換装置に送信する第2送信ステップと、
上記第1認証鍵交換装置が上記第2認証鍵交換装置からその第2短期公開鍵XBを含む情報を受信する第1受信ステップと、上記マスタ公開鍵Zを上記第1短期秘密鍵yAでべき乗して第1秘密鍵情報ZyAを生成する第1秘密鍵情報生成ステップと、上記第2識別子IDBを上記ハッシュ関数H1によりハッシュ処理して第2ユーザ情報QB=H1(IDB)を生成する第1ユーザ情報生成ステップと、上記ZyA, XA, XB, DA, QBを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第1ペアリング演算ステップと、上記共有鍵生成パラメータを使って共有鍵Kを構成し、出力する第1共有鍵計算ステップと、
上記第2認証鍵交換装置が上記第1認証鍵交換装置からその第1短期公開鍵XAを含む情報を受信する第2受信ステップと、上記マスタ公開鍵Zを上記第2短期秘密鍵yBでべき乗して第2秘密鍵情報ZyBを生成する第2秘密鍵情報生成ステップと、上記第1識別子IDAを上記ハッシュ関数H1によりハッシュ処理して第1ユーザ情報QA=H1(IDA)を生成する第2ユーザ情報生成ステップと、上記ZyB,, XA, XB, DB, QAを使って共有鍵生成パラメータσ1, σ2, σ3を次式
により計算する第2ペアリング演算ステップと、上記共有鍵生成パラメータを使って共有鍵Kを構成し、出力する第2共有鍵計算ステップ、
とを含むことを特徴とするIDベース認証鍵交換方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010007982A JP5457848B2 (ja) | 2010-01-18 | 2010-01-18 | Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010007982A JP5457848B2 (ja) | 2010-01-18 | 2010-01-18 | Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011147060A JP2011147060A (ja) | 2011-07-28 |
| JP5457848B2 true JP5457848B2 (ja) | 2014-04-02 |
Family
ID=44461489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010007982A Active JP5457848B2 (ja) | 2010-01-18 | 2010-01-18 | Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5457848B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5498285B2 (ja) * | 2010-07-07 | 2014-05-21 | 日本電信電話株式会社 | 情報共有システム、装置、方法及びプログラム |
| JP5650630B2 (ja) * | 2011-11-22 | 2015-01-07 | 日本電信電話株式会社 | 鍵交換システム、鍵交換装置、鍵交換方法、鍵交換プログラム |
| JP6610277B2 (ja) * | 2016-01-15 | 2019-11-27 | 富士通株式会社 | 共有鍵生成プログラム、共有鍵生成方法および情報処理端末 |
| JP6635315B2 (ja) * | 2017-01-20 | 2020-01-22 | 日本電信電話株式会社 | Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム |
| EP4210271A1 (en) * | 2017-06-07 | 2023-07-12 | nChain Licensing AG | Credential generation and distribution method and system for a blockchain network |
| JP7020297B2 (ja) * | 2018-05-29 | 2022-02-16 | 日本電信電話株式会社 | 鍵共有システム、機器、鍵共有方法及びプログラム |
| US11909867B2 (en) * | 2019-05-29 | 2024-02-20 | Nippon Telegraph And Telephone Corporation | Key exchange system, method and program for generating a shared key for secure communication |
| JP7377487B2 (ja) * | 2019-07-17 | 2023-11-10 | 日本電信電話株式会社 | 鍵交換システム、通信装置、鍵交換方法及びプログラム |
-
2010
- 2010-01-18 JP JP2010007982A patent/JP5457848B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011147060A (ja) | 2011-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5457848B2 (ja) | Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体 | |
| JP5349619B2 (ja) | アイデンティティベースの認証鍵共有プロトコル | |
| CN108173639B (zh) | 一种基于sm9签名算法的两方合作签名方法 | |
| Peng et al. | Efficient and provably secure multireceiver signcryption scheme for multicast communication in edge computing | |
| US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
| US20140098960A1 (en) | Ciphertext Processing Method, Apparatus, and System | |
| US20030182554A1 (en) | Authenticated ID-based cryptosystem with no key escrow | |
| JP4897645B2 (ja) | 暗号化メッセージ送受信方法、送信者装置、受信者装置、暗号化メッセージ送受信システム及びプログラム | |
| CN109873699B (zh) | 一种可撤销的身份公钥加密方法 | |
| JPWO2016051591A1 (ja) | 再暗号化鍵生成装置、再暗号化装置、暗号化装置、復号装置及びプログラム | |
| JP2012169978A (ja) | ファイルサーバ装置およびファイルサーバシステム | |
| CN106713349B (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 | |
| WO2020164252A1 (zh) | 一种基于双线性对的身份基身份匿藏密钥协商方法 | |
| Yao et al. | A light-weight certificate-less public key cryptography scheme based on ECC | |
| CN102970144A (zh) | 基于身份的认证方法 | |
| CN110784314A (zh) | 无证书的加密信息处理方法 | |
| CN112699394A (zh) | 一种基于sm9算法的密钥应用方法 | |
| CN107682158B (zh) | 一种可托管的认证加密方法 | |
| Sun et al. | A Novel and Concise Multi-receiver Protocol Based on Chaotic Maps with Privacy Protection. | |
| CA2742530C (en) | Masking the output of random number generators in key generation protocols | |
| Zhu et al. | A Survey to Design Privacy Preserving Protocol Using Chaos Cryptography. | |
| Tian et al. | Design and implementation of SM9 Identity based Cryptograph algorithm | |
| KR101373577B1 (ko) | Id 기반 동적 임계 암호화 장치 및 그 방법 | |
| JP2009065226A (ja) | 認証付鍵交換システム、認証付鍵交換方法およびプログラム | |
| JP2005176144A (ja) | 端末装置、通信システム及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110624 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5457848 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |