JP6468567B2 - 鍵交換方法、鍵交換システム - Google Patents
鍵交換方法、鍵交換システム Download PDFInfo
- Publication number
- JP6468567B2 JP6468567B2 JP2016170900A JP2016170900A JP6468567B2 JP 6468567 B2 JP6468567 B2 JP 6468567B2 JP 2016170900 A JP2016170900 A JP 2016170900A JP 2016170900 A JP2016170900 A JP 2016170900A JP 6468567 B2 JP6468567 B2 JP 6468567B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- sid
- communication device
- function
- exclusive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 40
- 238000004891 communication Methods 0.000 claims description 291
- 238000004422 calculation algorithm Methods 0.000 claims description 97
- 238000012795 verification Methods 0.000 claims description 31
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000009795 derivation Methods 0.000 claims description 9
- 230000007717 exclusion Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 76
- 238000012545 processing Methods 0.000 description 26
- 238000004364 calculation method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000005477 standard model Effects 0.000 description 1
- 239000003643 water by type Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Description
_(アンダースコア)は下付き添字を表す。例えば、xy_zはyzがxに対する上付き添字であり、xy_zはyzがxに対する下付き添字であることを表す。
кをセキュリティパラメータとする。
〔参考文献1〕O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年
〔参考文献2〕J.A.ブーフマン著、「暗号理論入門 原書第3版」、丸善出版、2007年
〔参考文献3〕D. Boneh, A. Sahai, and B. Waters, “Functional encryption: definitions and challenges”, TCC, Lecture Notes in Computer Science, vol. 6597, pp. 253-273, 2011.
〔参考文献4〕 Luther Martin, “Introduction to Identity-Based Encryption”, 1st Edition, Artech House, January 2008.
〔参考文献5〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.
実施形態の鍵交換システムは、図1に例示するように、鍵配送装置1およびN(≧2)台の通信装置21, …, 2Nを含む。この実施形態では、鍵配送装置1および通信装置21, …, 2Nはそれぞれ通信網3へ接続される。通信網3は、鍵配送装置1が通信装置21, …, 2Nそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。この実施形態では、通信装置21, …, 2N同士は通信できなくともよい。通信網3は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。
図3を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。
図4を参照して、実施形態の鍵交換方法におけるセッション鍵配送の処理手続きを説明する。
図5を参照して、実施形態の鍵交換方法におけるユーザ追加の処理手続きを説明する。
本実施形態の鍵交換システムは、鍵配送サーバSを介して通信装置Ui間でセッション鍵SKを共有するものである。その際、通信装置Uiを識別するためのユーザID(例えば、メールアドレス)を鍵配送サーバSに登録しておく必要はあるが、スタートポロジーを用いてO(1)でセッション鍵SKを共有することができるため、各種暗号通信システムの動作開始までの時間を短縮することができる。当該鍵交換システムの適用例を以下にいくつか示す。
(1)VoIP技術を用いた二地点間通話や電話会議での鍵配送に利用する。
(2)WebRTC中のDTLS(Datagram Transport Layer Security)を代替し、ブラウザやスマートフォンでのWeb会議やWeb電話の暗号化通信の鍵配送に利用する。
(3)メッセージングアプリの復号鍵の共有に使う。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
2 通信装置
3 通信網
100 記憶部
101 第一セットアップ部
102 第二セットアップ部
103 ユーザID受信部
104 初期鍵生成部
105 秘密ストリング生成部
111 ユーザ鍵送信部
113 セッションID生成部
114 認証タグ検証部
115 第三鍵生成部
116 認証タグ生成部
200 記憶部
203 ユーザID送信部
204 初期鍵受信部
205 秘密ストリング生成部
211 ユーザ鍵受信部
212 第一鍵生成部
214 第二鍵生成部
215 認証タグ生成部
216 認証タグ検証部
217 セッション鍵生成部
Claims (6)
- nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、Uiをn台の通信装置とし、U1を上記通信装置Uiから選択された1台の代表通信装置とし、Ujを上記通信装置Uiから上記代表通信装置U1を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義されるとし、
上記通信装置Uiの記憶部に、秘密ストリングsti, st'iが記憶されており、
上記通信装置Uiが、ねじれ疑似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=gr_iおよびci=gk_ihs_iを計算し、(Ri, ci)を上記鍵配送装置Sへ送信する第一鍵生成ステップと、
上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を上記通信装置Uiへ送信するセッションID生成ステップと、
上記代表通信装置U1が、疑似ランダム関数により(sid, Rn r_1)を用いてK1 lを生成し、擬似ランダム関数により(sid, R2 r_1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信する代表第二鍵生成ステップと、
上記一般通信装置Ujが、疑似ランダム関数により(sid, Rα r_j)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ r_j)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を上記鍵配送装置Sへ送信する一般第二鍵生成ステップと、
上記鍵配送装置Sが、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、k'を上記代表通信装置U1へ送信し、(k', T'j, T')を上記一般通信装置Ujへ送信する第三鍵生成ステップと、
上記一般通信装置Ujが、T'jとKj lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、
上記通信装置Uiが、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、
を含み、
timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskがさらに記憶されており、
上記鍵配送装置Sが、各iについて属性をA i =(U i , time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk i を生成するユーザ鍵送信ステップと、
上記通信装置U i が、上記ユーザ秘密鍵usk i を得るユーザ鍵受信ステップと、
をさらに含み、
上記第三鍵生成ステップは、ねじれ疑似ランダム関数により上記秘密ストリングst S , st' S を用いて共通鍵K 1 を生成し、各iについてアクセス構造をP i =(ID=U i )∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K 1 を暗号化して暗号文CT' i を生成するものであり、
上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk i を用いて上記暗号文CT' i を復号して上記共通鍵K 1 を得、疑似ランダム関数により(sid, K 1 )を用いて生成した値と疑似ランダム関数により(sid, K 2 )を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
鍵交換方法。 - 請求項1に記載の鍵交換方法であって、
上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mkiを生成するものであり、
上記ユーザ鍵受信ステップは、上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを得るものであり、
上記代表通信装置U1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, T', U1, sidを用いて認証タグσ1を生成する代表第一認証タグ生成ステップと、
上記一般通信装置Ujが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj ,sidを用いて認証タグσjを生成する一般第一認証タグ生成ステップと、
上記鍵配送装置Sが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, T', U1, sidを用いて上記認証タグσ1を検証し、各jについてメッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj ,sidを用いて上記認証タグσjを検証し、cj=gk_jhs_jが成り立つか否かを検証する第一認証タグ検証ステップと、
上記鍵配送装置Sが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, T', U1, sid, k', CT'1を用いて認証タグσ'1を生成し、各jについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T', CT'jを用いて認証タグσ'jを生成する第二認証タグ生成ステップと、
上記代表通信装置U1が、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn, R2, T1, T', U1, sid, k', CT'1を用いて上記認証タグσ'1を検証する代表第二認証タグ検証ステップと、
上記一般通信装置Ujが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkjおよびRj, cj, Rα, Rβ, kj, sj, Tj, Uj, sid, c1, k', T'j, T', CT'jを用いて上記認証タグσ'jを検証し、T'jとKj lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を求め、c1=gk_1hs_1が成り立つか否かを検証する一般第二認証タグ検証ステップと、
をさらに含む鍵交換方法。 - nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、||を連結演算子とし、α, βを次式で定義されるとし、
timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
上記鍵配送装置Sは、
秘密ストリングstS, st'S 、関数暗号のマスタ秘密鍵mskを記憶する記憶部と、
各iについて属性をA i =(U i , time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk i を生成するユーザ鍵送信部と、
各iについて上記通信装置Uiから(Ri, ci)を受信し、ターゲット衝突困難ハッシュ関数によりc1, …, cnを用いてsidを生成し、各iについて(sid, Rα, Rβ)を上記通信装置Uiへ送信するセッションID生成部と、
上記代表通信装置U1から(T1, T')を受信し、各jについて上記一般通信装置Ujから(kj, sj, Tj)を受信し、ねじれ疑似ランダム関数により上記秘密ストリングstS, st'Sを用いてks 、共通鍵K 1 を生成し、k2, …, kn, ksの排他的論理和によりk'を計算し、各jについてT1, …, Tj-1の排他的論理和によりT'jを計算し、各iについてアクセス構造をP i =(ID=U i )∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K 1 を暗号化して暗号文CT' i を生成し、(k', CT' 1 )を上記代表通信装置U1へ送信し、(k', T'j, T', CT' j )を上記一般通信装置Ujへ送信する第三鍵生成部と、
を含み、
上記代表通信装置U1は、
秘密ストリングst1, st'1を記憶する記憶部と、
上記ユーザ秘密鍵usk 1 を得るユーザ鍵受信部と、
ねじれ疑似ランダム関数により上記秘密ストリングst1, st'1を用いてr1, k1, s1を生成し、R1=gr_1およびc1=gk_1hs_1を計算し、(R1, c1)を上記鍵配送装置Sへ送信する第一鍵生成部と、
上記鍵配送装置Sから(sid, Rn, R2)を受信し、疑似ランダム関数により(sid, Rn r_1)を用いてK1 lを生成し、擬似ランダム関数により(sid, R2 r_1)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信する第二鍵生成部と、
上記鍵配送装置Sから(k', CT' 1 )を受信し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk 1 を用いて上記暗号文CT' 1 を復号して上記共通鍵K 1 を得、疑似ランダム関数により(sid, K 1 )を用いて生成した値と疑似ランダム関数により(sid, K 2 )を用いて生成した値との排他的論理和によりセッション鍵SKを計算するセッション鍵生成部と、
を含み、
上記一般通信装置Ujは、
秘密ストリングstj, st'jを記憶する記憶部と、
上記ユーザ秘密鍵usk j を得るユーザ鍵受信部と、
ねじれ疑似ランダム関数により上記秘密ストリングstj, st'jを用いてrj, kj, sjを生成し、Rj=gr_jおよびcj=gk_jhs_jを計算し、(Rj, cj)を上記鍵配送装置Sへ送信する第一鍵生成部と、
上記鍵配送装置Sから(sid, Rα, Rβ)を受信し、疑似ランダム関数により(sid, Rα r_j)を用いてKj lを生成し、疑似ランダム関数により(sid, Rβ r_j)を用いてKj rを生成し、Kj lとKj rとの排他的論理和によりTjを計算し、(kj, sj, Tj)を上記鍵配送装置Sへ送信する第二鍵生成部と、
上記鍵配送装置Sから(k', T'j, T', CT' j )を受信し、T'jとKj lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、疑似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて上記共通鍵K2を生成し、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk j を用いて上記暗号文CT' j を復号して上記共通鍵K 1 を得、疑似ランダム関数により(sid, K 1 )を用いて生成した値と疑似ランダム関数により(sid, K 2 )を用いて生成した値との排他的論理和によりセッション鍵SKを計算するセッション鍵生成部と、
を含む鍵交換システム。 - nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、Ui(i=1, …, n+k)をn+k台の通信装置とし、通信装置U1, …, Unにより確立されたセッションに通信装置Un+1, …, Un+kが新たに参加する際の鍵交換方法であって、
U1を上記通信装置U1, Un, Un+1, …, Un+kから選択された1台の代表通信装置とし、
上記鍵配送装置Sの記憶部に、秘密ストリングstS, st'Sが記憶されており、
上記通信装置Ui(i=1, …, n+k)の記憶部に、秘密ストリングsti, st'iが記憶されており、
さらに、上記通信装置U1, …, Unの記憶部に、上記通信装置U1, …, Unにより確立されたセッションで生成された秘密情報rが記憶されており、
上記通信装置Ui(i=1, n, …, n+k)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=gr_iおよびci=gk_ihs_iを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=2, …, n-1)が、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gk_ihs_iを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成ステップと、
上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc1, …, cn+kを用いてsidを生成し、i=1, 2について(sid, Ri-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, Ri+1)を、i=n+1, …, n+kについて(sid, Ri-1, Ri+1)を上記通信装置Uiへ送信する(ただし、R0=Rn+K,Rn+k+1=R1とする)セッションID生成ステップと、
上記代表通信装置U1が、擬似ランダム関数により(sid, Rn+k r_1)を用いてK1 lを生成し、擬似ランダム関数により(sid, gr_1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、上記通信装置U2が、擬似ランダム関数により(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数により(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算し、(k2, s2, T2)を上記鍵配送装置Sへ送信し、上記通信装置Ui (i=3, …, n-2)が、(ki, si)を上記鍵配送装置Sへ送信し、上記通信装置Un-1が、擬似ランダム関数により(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数により(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算し、(kn-1, sn-1, Tn-1)を上記鍵配送装置Sへ送信し、上記通信装置Unが、擬似ランダム関数により(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数により(sid, Rn+1 r_n)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算し、(kn, sn, Tn)を上記鍵配送装置Sへ送信し、上記通信装置Ui(i=n+1, …, n+k)が、擬似ランダム関数により(sid, Ri-1 r_i)を用いてKi lを生成し、擬似ランダム関数により(sid, Ri+1 r_i)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、
上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn+k, ksの排他的論理和によりk'を計算し、i=2, …, n+kについてT1, …, Ti-1(ただし、i=3, …, n-1についてTiを空とする)の排他的論理和によりT'iを計算し、k'を上記代表通信装置U1へ送信し、(k', T'i, T')を上記通信装置Ui(i=2, …, n+k)へ送信する第三鍵生成ステップと、
上記通信装置Ui(i=2, n, …, n+k)が、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、上記通信装置Ui(i=3, …, n-1)が、T'iとgrとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算する第一セッション鍵生成ステップと、
上記通信装置Ui(i=1, …, n+k)が、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成する第二セッション鍵生成ステップと、
を含み、
timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskと、上記通信装置U 1 , …, U n により確立されたセッションで生成された共通鍵K 1 がさらに記憶されており、
上記鍵配送装置Sが、i=1, …, n+kについて属性をA i =(U i , time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk i を生成するユーザ鍵送信ステップと、
上記通信装置U i (i=1, …, n+k)が、上記ユーザ秘密鍵usk i を得るユーザ鍵受信ステップと、
をさらに含み、
上記第三鍵生成ステップは、上記鍵配送装置Sの記憶部に記憶した共通鍵K 1 を読出し、i=1, …, n+kについてアクセス構造をP i =(ID=U i )∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K 1 を暗号化して暗号文CT' i を生成するものであり、
上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk i を用いて上記暗号文CT' i を復号して上記共通鍵K 1 を得、擬似ランダム関数により(sid, K 1 )を用いて生成した値と擬似ランダム関数により(sid, K 2 )を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
鍵交換方法。 - 請求項4に記載の鍵交換方法であって、
上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mkiを生成するものであり、
上記ユーザ鍵受信ステップは、上記ユーザ秘密鍵uskiおよび上記MAC鍵mkiを得るものであり、
上記代表通信装置U1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn+k, T1, T', U1, sidを用いて認証タグσ1を生成し、上記通信装置U2が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk2およびc2, R1, k2, s2, T2, U2, sidを用いて認証タグσ2を生成し、上記通信装置Ui(i=3, …, n-2)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびci, ki, si, Ui, sidを用いて認証タグσiを生成し、上記通信装置Un-1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkn-1およびcn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sidを用いて認証タグσn-1を生成し、上記通信装置Unが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mknおよびRn, cn, Rn+1, kn, sn, Tn, Un, sidを用いて認証タグσnを生成し、上記通信装置Ui(i=n+1, …, n+k)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sidを用いて認証タグσiを生成する第一認証タグ生成ステップと、
上記鍵配送装置Sが、上記代表通信装置U1から(T1, T', σ1)を、上記通信装置Ui(i=2, n-1, …, n+k)から(ki, si, Ti, σi)を、上記通信装置Ui(i=3, …, n-2)から(ki, si, σi)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mki(i=1, …, n+k)を用いて上記認証タグσiを検証し、i=2, …, n+kについてci=gk_ihs_iが成り立つか否かを検証する第一認証タグ検証ステップと、
上記鍵配送装置Sが、i=1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk1およびR1, c1, Rn+k, T1, T', U1, sid, k', CT'1を用いて認証タグσ'1を生成し、i=2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk2およびc2, R1, k2, s2, T2, U2, sid, c1, k', T'2, T', CT'2を用いて認証タグσ'2を生成し、i=3, …, n-2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびci, ki, si, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成し、i=n-1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkn-1およびcn-1, Rn, kn-1, sn-1, Tn-1, Un-1, sid, c1, k', T'n-1, T', CT'n-1を用いて認証タグσ'n-1を生成し、i=nについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mknおよびRn, cn, Rn+1, kn, sn, Tn, Un, sid, c1, k', T'n, T', CT'nを用いて認証タグσ'nを生成し、i=n+1, …, n+kについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mkiおよびRi, ci, Ri-1, Ri+1, ki, si, Ti, Ui, sid, c1, k', T'i, T', CT'iを用いて認証タグσ'iを生成する第二認証タグ生成ステップと、
上記代表通信装置U1が、上記鍵配送装置Sから(k', CT'1, σ'1)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk1を用いて上記認証タグσ'1を検証し、上記通信装置Ui (i=2, …, n+k) が、上記鍵配送装置Sから(c1, k', T'i, T', CT'i, σ'i)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mkiを用いて上記認証タグσ'iを検証し、c1=gk_1hs_1が成り立つか否かを検証する第二認証タグ検証ステップと、
をさらに含む鍵交換方法。 - nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、
鍵配送装置Sとn+k台の通信装置Ui(i=1, …, n+k)とを含む鍵交換システムであって、
U1を上記通信装置U1, Un, Un+1, …, Un+kから選択された1台の代表通信装置とし、
timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
上記鍵配送装置Sは、
秘密ストリングstS, st'S 、関数暗号のマスタ秘密鍵msk、上記通信装置U 1 , …, U n により確立されたセッションで生成された共通鍵K 1 を記憶する記憶部と、
i=1, …, n+kについて属性をA i =(U i , time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk i を生成するユーザ鍵送信部と、
上記通信装置Ui(i=1, n, …, n+k)から(Ri, ci)を、上記通信装置Ui(i=2, …, n-1)からciを受信し、ターゲット衝突困難ハッシュ関数によりc1, …, cn+kを用いてsidを生成し、i=1, 2について(sid, Ri-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, Ri+1)を、i= n+1, …, n+kについて(sid, Ri-1, Ri+1)を上記通信装置Uiへ送信する(ただし、R0=Rn+K,Rn+k+1=R1とする)セッションID生成部と、
上記代表通信装置U1から(T1, T')を、上記通信装置Ui (i=2 ,n-1 ,…, n+k)から(ki, si, Ti)を、上記通信装置Ui (i=3, …, n-2)から(ki, si)を受信し、ねじれ擬似ランダム関数により上記秘密ストリングstS, st'Sを用いてksを生成し、k2, …, kn+k, ksの排他的論理和によりk'を計算し、i=2, …, n+kについてT1, …, Ti-1(ただし、i=3, …, n-1についてTiを空とする)の排他的論理和によりT'iを計算し、上記記憶部に記憶した共通鍵K 1 を読出し、i=1, …, n+kについてアクセス構造をP i =(ID=U i )∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K 1 を暗号化して暗号文CT' i を生成し、(k', CT' 1 )を上記代表通信装置U1へ、(k', T'i, T', CT' i )を上記通信装置Ui(i=2, …, n+k)へ送信する第三鍵生成部と、
を含み、
上記通信装置Ui(i=1, …, n+k)は、
上記ユーザ秘密鍵usk i を得るユーザ鍵受信部と、
秘密ストリングsti, st'iを記憶し、i=1, …, nについては上記通信装置U1, …, Unにより確立されたセッションで生成された秘密情報rをさらに記憶する記憶部と、
i=1, n, …, n+kについて、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてri, ki, siを生成し、Ri=gr_iおよびci=gk_ihs_iを計算し、(Ri, ci)を上記鍵配送装置Sへ送信し、i=2, …, n-1について、ねじれ擬似ランダム関数により上記秘密ストリングsti, st'iを用いてki, siを生成し、ci=gk_ihs_iを計算し、ciを上記鍵配送装置Sへ送信する第一鍵生成部と、
i=1について、上記鍵配送装置Sから(sid, Rn+k)を受信し、擬似ランダム関数により(sid, Rn+k r_1)を用いてK1 lを生成し、擬似ランダム関数により(sid, gr_1r)を用いてK1 rを生成し、K1 lとK1 rとの排他的論理和によりT1を計算し、K1 lとk1||s1との排他的論理和によりT'を計算し、(T1, T')を上記鍵配送装置Sへ送信し、i=2について、上記鍵配送装置Sから(sid, R1)を受信し、擬似ランダム関数により(sid, R1 r)を用いてK2 lを生成し、擬似ランダム関数により(sid, gr)を用いてK2 rを生成し、K2 lとK2 rとの排他的論理和によりT2を計算し、(k2, s2, T2)を上記鍵配送装置Sへ送信し、i=3, …, n-2について、上記鍵配送装置Sからsidを受信し、(ki, si)を上記鍵配送装置Sへ送信し、i=n-1について、上記鍵配送装置Sから(sid, Rn)を受信し、擬似ランダム関数により(sid, gr)を用いてKn-1 lを生成し、擬似ランダム関数により(sid, Rn r)を用いてKn-1 rを生成し、Kn-1 lとKn-1 rとの排他的論理和によりTn-1を計算し、(kn-1, sn-1, Tn-1)を上記鍵配送装置Sへ送信し、i=nについて、上記鍵配送装置Sから(sid, Rn+1)を受信し、擬似ランダム関数により(sid, Rn r)を用いてKn lを生成し、擬似ランダム関数により(sid, Rn+1 r_n)を用いてKn rを生成し、Kn lとKn rとの排他的論理和によりTnを計算し、(kn, sn, Tn)を上記鍵配送装置Sへ送信し、i=n+1, …, n+kについて、上記鍵配送装置Sから(sid, Ri-1, Ri+1)を受信し、擬似ランダム関数により(sid, Ri-1 r_i)を用いてKi lを生成し、擬似ランダム関数により(sid, Ri+1 r_i)を用いてKi rを生成し、Ki lとKi rとの排他的論理和によりTiを計算し、(ki, si, Ti)を上記鍵配送装置Sへ送信する第二鍵生成部と、
i=1については上記鍵配送装置Sからk'を受信し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、i=2, n, …, n+k については上記鍵配送装置Sから (k', T'i, T')を受信し、T'iとKi lとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、i=3, …, n-1については上記鍵配送装置Sから (k', T'i, T')を受信し、T'iとgrとの排他的論理和によりK1 lを計算し、T'とK1 lとの排他的論理和によりk1||s1を計算し、擬似ランダム関数によりsidおよびk'とk1との排他的論理和を用いて共通鍵K2を生成し、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk i を用いて上記暗号文CT' i を復号して上記共通鍵K 1 を得、擬似ランダム関数により(sid, K 1 )を用いて生成した値と擬似ランダム関数により(sid, K 2 )を用いて生成した値との排他的論理和によりセッション鍵SKを計算するセッション鍵生成部と、
を含む鍵交換システム。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016170900A JP6468567B2 (ja) | 2016-09-01 | 2016-09-01 | 鍵交換方法、鍵交換システム |
US16/321,657 US11258588B2 (en) | 2016-09-01 | 2017-08-30 | Key exchange method and key exchange system |
EP17846577.9A EP3509246B1 (en) | 2016-09-01 | 2017-08-30 | Key exchange method and key exchange system |
PCT/JP2017/031188 WO2018043573A1 (ja) | 2016-09-01 | 2017-08-30 | 鍵交換方法、鍵交換システム |
CN201780048745.7A CN109565440B (zh) | 2016-09-01 | 2017-08-30 | 密钥交换方法,密钥交换系统 |
US17/350,201 US11677543B2 (en) | 2016-09-01 | 2021-06-17 | Key exchange method and key exchange system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016170900A JP6468567B2 (ja) | 2016-09-01 | 2016-09-01 | 鍵交換方法、鍵交換システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018037938A JP2018037938A (ja) | 2018-03-08 |
JP6468567B2 true JP6468567B2 (ja) | 2019-02-13 |
Family
ID=61309187
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016170900A Active JP6468567B2 (ja) | 2016-09-01 | 2016-09-01 | 鍵交換方法、鍵交換システム |
Country Status (5)
Country | Link |
---|---|
US (2) | US11258588B2 (ja) |
EP (1) | EP3509246B1 (ja) |
JP (1) | JP6468567B2 (ja) |
CN (1) | CN109565440B (ja) |
WO (1) | WO2018043573A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11451369B2 (en) * | 2019-04-16 | 2022-09-20 | Nec Corporation | Method and system for multi-authority controlled functional encryption |
CN113132976B (zh) * | 2021-05-11 | 2022-08-12 | 国网信息通信产业集团有限公司 | 一种分布式无线通信配电网差动保护方法及系统 |
WO2022256555A2 (en) * | 2021-06-03 | 2022-12-08 | Ntt Research, Inc. | Function-embedded traitor tracing for a digital content distribution system |
CN113472780A (zh) * | 2021-06-30 | 2021-10-01 | 上海和数软件有限公司 | 一种用于区块链的数据加密传输方法 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7571321B2 (en) * | 2003-03-14 | 2009-08-04 | Voltage Security, Inc. | Identity-based-encryption messaging system |
US7978848B2 (en) * | 2007-01-09 | 2011-07-12 | Microsoft Corporation | Content encryption schema for integrating digital rights management with encrypted multicast |
CN101399660B (zh) | 2007-09-28 | 2010-11-10 | 华为技术有限公司 | 协商组群密钥的方法和设备 |
CN101626364A (zh) * | 2008-07-08 | 2010-01-13 | 赵运磊 | 一类可基于口令、抗秘密数据泄露的认证和密钥交换方法 |
CN101272244A (zh) * | 2008-04-30 | 2008-09-24 | 北京航空航天大学 | 一种无线自组织网络密钥更新和撤销方法 |
CN101431414B (zh) | 2008-12-15 | 2011-06-29 | 西安电子科技大学 | 基于身份的认证群组密钥管理方法 |
US8301883B2 (en) * | 2009-08-28 | 2012-10-30 | Alcatel Lucent | Secure key management in conferencing system |
US9602276B2 (en) | 2010-06-11 | 2017-03-21 | Qualcomm Incorporated | Method and apparatus for virtual pairing with a group of semi-connected devices |
JP5784833B2 (ja) * | 2011-07-15 | 2015-09-24 | アルカテル−ルーセント | セキュアグループメッセージング |
US8584216B1 (en) * | 2012-03-15 | 2013-11-12 | Symantec Corporation | Systems and methods for efficiently deploying updates within a cryptographic-key management system |
WO2014017959A1 (en) * | 2012-07-27 | 2014-01-30 | Telefonaktiebolaget L M Ericsson (Publ) | Secure session for a group of network nodes |
-
2016
- 2016-09-01 JP JP2016170900A patent/JP6468567B2/ja active Active
-
2017
- 2017-08-30 EP EP17846577.9A patent/EP3509246B1/en active Active
- 2017-08-30 WO PCT/JP2017/031188 patent/WO2018043573A1/ja unknown
- 2017-08-30 US US16/321,657 patent/US11258588B2/en active Active
- 2017-08-30 CN CN201780048745.7A patent/CN109565440B/zh active Active
-
2021
- 2021-06-17 US US17/350,201 patent/US11677543B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN109565440A (zh) | 2019-04-02 |
US11677543B2 (en) | 2023-06-13 |
US11258588B2 (en) | 2022-02-22 |
US20200252208A1 (en) | 2020-08-06 |
JP2018037938A (ja) | 2018-03-08 |
US20210314146A1 (en) | 2021-10-07 |
EP3509246B1 (en) | 2021-05-26 |
EP3509246A4 (en) | 2020-02-19 |
EP3509246A1 (en) | 2019-07-10 |
WO2018043573A1 (ja) | 2018-03-08 |
CN109565440B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6497747B2 (ja) | 鍵交換方法、鍵交換システム | |
JP2019535153A (ja) | トラステッドコンピューティングに基づく量子鍵配送のための方法及びシステム | |
US11677543B2 (en) | Key exchange method and key exchange system | |
CN111510281A (zh) | 一种同态加密方法及装置 | |
US20230188325A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
JP2016158189A (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
US20180063105A1 (en) | Management of enciphered data sharing | |
JP2022525137A (ja) | データに基づく行為を実施するための方法および装置 | |
CN111052673B (zh) | 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 | |
JP6368047B2 (ja) | 鍵交換方法、鍵交換システム、鍵配送装置、代表通信装置、一般通信装置、およびプログラム | |
US20200235915A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
WO2014030706A1 (ja) | 暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラム | |
WO2007142170A1 (ja) | 不正者失効システム、暗号化装置、暗号化方法およびプログラム | |
JP4758110B2 (ja) | 通信システム、暗号化装置、鍵生成装置、鍵生成方法、復元装置、通信方法、暗号化方法、暗号復元方法 | |
JP2019125956A (ja) | 鍵交換方法、鍵交換システム、鍵交換サーバ装置、通信装置、プログラム | |
US11451518B2 (en) | Communication device, server device, concealed communication system, methods for the same, and program | |
JP2009141767A (ja) | 暗号鍵の生成システム、暗号鍵の生成方法、暗号化認証システム及び暗号化通信システム | |
Odelberg et al. | Distributed cipher chaining for increased security in password storage | |
Arvin S. Lat et al. | SOUL System: secure online USB login system | |
JP2019041355A (ja) | 暗号化装置、復号装置、暗号化システム、暗号化方法及び暗号化プログラム | |
Das | A hybrid algorithm for secure cloud computing | |
JP2007142897A (ja) | 署名装置、検証装置、復号装置、平文復元装置、情報提供装置、署名システム、通信システム、鍵生成装置及び署名方法 | |
CN117040860A (zh) | 网络节点数据流通验证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180802 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180802 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181009 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190109 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6468567 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |