JP6635315B2 - Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム - Google Patents

Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム Download PDF

Info

Publication number
JP6635315B2
JP6635315B2 JP2017008665A JP2017008665A JP6635315B2 JP 6635315 B2 JP6635315 B2 JP 6635315B2 JP 2017008665 A JP2017008665 A JP 2017008665A JP 2017008665 A JP2017008665 A JP 2017008665A JP 6635315 B2 JP6635315 B2 JP 6635315B2
Authority
JP
Japan
Prior art keywords
key
terminal
integer
secret
key generation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017008665A
Other languages
English (en)
Other versions
JP2018116231A (ja
Inventor
恆和 齋藤
恆和 齋藤
鈴木 幸太郎
幸太郎 鈴木
淳 藤岡
淳 藤岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kanagawa University
Nippon Telegraph and Telephone Corp
Original Assignee
Kanagawa University
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kanagawa University, Nippon Telegraph and Telephone Corp filed Critical Kanagawa University
Priority to JP2017008665A priority Critical patent/JP6635315B2/ja
Publication of JP2018116231A publication Critical patent/JP2018116231A/ja
Application granted granted Critical
Publication of JP6635315B2 publication Critical patent/JP6635315B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、安全に共有鍵を交換するためのIDベース認証鍵交換システム、端末、IDベース認証鍵交換方法、プログラムに関する。
多くの暗号通信では、正しい相手かどうかを認証して鍵交換を行い、その後に共有したセッション鍵を用いた共通鍵暗号方式で暗号・復号の機能を利用している。その認証と鍵交換を同時に行う認証鍵交換と呼ばれる技術があり、認証された鍵が交換できる。認証鍵交換では短期鍵と長期鍵の二種類を用い、それぞれに対して秘密鍵と公開鍵が存在する。認証鍵交換の方式として、非特許文献1のCCS、非特許文献2,3のFSUや非特許文献4の認証鍵交換方式が提案されている。FSUは認証鍵交換の方式であり、秘密鍵の漏洩に対して最も強い安全性のeCKモデル安全性を満足することが証明されている暗号方式である。具体的にeCKモデル安全性とは、認証鍵交換のための秘密鍵には短期秘密鍵と長期秘密鍵の2種類があり、発信者と受信者の秘密鍵のどの非自明な秘密鍵の組み合わせの漏洩(例えば、発信者の短期秘密鍵と受信者の短期秘密鍵の漏洩)に対しても、交換されるセッションの漏洩が無いことである。非特許文献4の認証及び鍵交換方式は発信者及び受信者の長期秘密鍵を生成する鍵生成装置が異なる場合のeCKモデル安全性を満足する方式である。
Chen, L., Cheng, Z., Smart, N.P."Identity-based key agreement protocols from pairings", Int. J. Inf. Security 6(4), 213―241 (2007). A. Fujioka, F. Hoshino, T. Kobayashi, et. al."id-eCK Secure ID-Based Authenticated Key Exchange on Symmetric and Asymmetric Pairing", IEICE Transactions 96-A(6): 1139―1155 (2013). B. Ustaoglu"Integrating identity-based and certicate-based authenticated key exchange protocols", Int J Inf Secur 10(4): 201―212 (2011). A. Fujioka,"One-Round Exposure-Resilient Identity-Based Authenticated Key Agreement with Multiple Private Key Generator", Mycrypto 2016.
従来のTLS(Transport Layer Security)などの証明書ベースの認証鍵交換の場合は、クライアントの端末同士は、別々の認証局から発行された証明書をもとに認証鍵を交換できた。しかしながら、IDベース認証鍵交換方式のFSUは、同一の鍵生成装置(KGC:Key Generate Center)が発行した秘密鍵を持つ端末同士でなければ通信できないという課題がある。非特許文献4の技術はこの課題を解決しているが、秘密鍵を生成した鍵生成装置自身が端末になりすますことができた。また、鍵生成装置からマスタ秘密鍵が漏洩した場合にはマスタ秘密鍵の情報を保有する装置であれば、端末になりすますことができた。
本発明は、少なくとも一方の端末については、1つの鍵生成装置の情報が分かっても端末になりすませないようにすることを目的とする。
本発明のIDベース認証鍵交換システムは、2つ以上の鍵生成装置と端末Aと端末Bを有する。κはセキュリティパラメータ、G,G,Gは位数がκビット長の素数qの巡回群、gは群Gの生成元、gは群Gの生成元、gは群Gの生成元、eはG×G→Gのペアリングを示す記号、g,g,gはg=e(g,g)を満足し、iは1または2、Hは任意長の0と1で表現されたビット列を群Gの元に写像するハッシュ関数、Mは2以上のあらかじめ定めた整数、Nは1以上のあらかじめ定めた整数、mは1以上M以下の整数、nは1以上N以下の整数、端末Aは識別子としてID=(IDA,1,…,IDA,M)を有し、端末Bは識別子としてID=(IDB,1,…,IDB,N)を有し、鍵生成装置KA,mはIDA,mに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KB,nはIDB,nに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KA,1,…,KA,Mの中には互いに異なる鍵生成装置が含まれており、^はべき乗を示す記号、X2,Aは前記端末Aの公開鍵、X2,Bは前記端末Bの公開鍵、H(IDA,m)とH(IDB,n)は公開された情報とする。
鍵生成装置は、マスタ鍵生成部と秘密鍵生成部を備える。マスタ鍵生成部は、鍵生成装置KA,mに該当するときは、0以上q未満の整数であるマスタ秘密鍵zA,mを生成し、マスタ公開鍵Z2,A,mをZ2,A,m=g^zA,mのように計算し、マスタ公開鍵Z2,A,mを公開する。マスタ鍵生成部は、鍵生成装置KB,nに該当するときは、0以上q未満の整数であるマスタ秘密鍵zB,nを生成し、マスタ公開鍵Z2,B,nをZ2,B,n=g^zB,nのように計算し、マスタ公開鍵Z2,B,nを公開する。秘密鍵生成部は、鍵生成装置KA,mに該当するときは、秘密鍵S1,A,mをS1,A,m=H(IDA,m)^zA,mのように計算し、端末Aに送信する。秘密鍵生成部は、鍵生成装置KB,nに該当するときは、秘密鍵S1,B,nをS1,B,n=H(IDB,n)^zB,nのように計算し、端末Bに送信する。
端末Aは、鍵生成部Aと鍵交換部Aを備える。鍵生成部Aは、0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,A
Figure 0006635315
のように計算し、秘密鍵xと秘密鍵S1,Aを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,AをX2,A=g^x’のように計算し、公開鍵X2,Aを公開する。鍵交換部Aは、
Figure 0006635315
および公開鍵X2,Bと秘密鍵x’とから計算されるσ3,Aの計算を含む所定の計算で、端末Bとの共有鍵Kを求める。
端末Bは、鍵生成部Bと鍵交換部Bを備える。鍵生成部Bは、0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,B
Figure 0006635315
のように計算し、秘密鍵xと秘密鍵S1,Bを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を生成し、公開鍵X2,BをX2,B=g^x’のように計算し、公開鍵X2,Bを公開する。鍵交換部Bは、
Figure 0006635315
および公開鍵X2,Aと秘密鍵x’とから計算されるσ3,Bの計算を含む所定の計算で、端末Aとの共有鍵Kを求める。
σ3,Aとσ3,Bは、
Figure 0006635315
または、
Figure 0006635315
のように計算される。
本発明のIDベース認証鍵交換システムによれば、少なくとも一方の端末については、2つ以上の鍵生成装置から秘密鍵を受信して処理を行うので、1つの鍵生成装置の情報が分かってもその端末にはなりすませない。
IDベース認証鍵交換システムの構成例を示す図。 本発明のIDベース認証鍵交換システムの処理フローの中の主に鍵生成装置の処理フローを示す図。 本発明の端末の処理フローを示す図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
図1にIDベース認証鍵交換システムの構成例を示す。この説明では、端末200は複数の識別子を有し、端末200は1つだけの識別子を有することも、複数の識別子を有することもあることを前提に説明する。実際には、複数の識別子を有する端末を端末200と考えればよい。図2に本発明のIDベース認証鍵交換システムの処理フローの中の主に鍵生成装置の処理フローを示す。図3に本発明の端末の処理フローを示す。本発明のIDベース認証鍵交換システムは、ネットワーク900を介して接続されている2つ以上の鍵生成装置100,…,100(Kは2以上の整数)と2つ以上の端末を有する。
κはセキュリティパラメータ、G,G,Gは位数がκビット長の素数qの巡回群、gは群Gの生成元、gは群Gの生成元、gは群Gの生成元、eはG×G→Gのペアリングを示す記号、g,g,gはg=e(g,g)を満足し、iは1または2、Hは任意長の0と1で表現されたビット列を群Gの元に写像するハッシュ関数、Hは任意長の0と1で表現されたビット列を0以上q未満の整数に写像するハッシュ関数、Hは任意長の0と1で表現されたビット列をκビット長の0と1で表現されたビット列に写像するハッシュ関数、Kは2以上の整数、kは1以上K以下の整数、Mは2以上のあらかじめ定めた整数、Nは1以上のあらかじめ定めた整数、mは1以上M以下の整数、nは1以上N以下の整数、端末200は識別子としてID=(IDA,1,…,IDA,M)を有し、端末200は識別子としてID=(IDB,1,…,IDB,N)を有し、鍵生成装置100A,mはIDA,mに対応付けられた2つ以上の鍵生成装置の中の1つ、鍵生成装置100B,nはIDB,nに対応付けられた2つ以上の鍵生成装置の中の1つ、鍵生成装置KA,1,…,KA,Mの中には互いに異なる鍵生成装置が含まれており、^はべき乗を示す記号、|を0と1で表現されたビット列をつなげることを示す記号、X2,Aは前記端末Aの公開鍵、X2,Bは前記端末Bの公開鍵とする。「鍵生成装置100A,mはIDA,mに対応付けられた2つ以上の鍵生成装置の中の1つ」とは、「鍵生成装置100A,m」は鍵生成装置100,…,100の中のいずれか1つが、IDA,mに対応つけられていることを意味している。「対応つける」方法としては、あらかじめ定める方法でもいいし、端末200がランダムに選ぶ方法でもよい。また、サービスごとにIDA,mに対応付ける鍵生成装置を変えてもよい。「鍵生成装置100」も同様である。鍵生成装置KA,1,…,KA,Mのすべてが同一の鍵生成装置であることは除くが、鍵生成装置100A,1,…,100A,Mと鍵生成装置100B,1,…,100B,Nの中に同一の鍵生成装置となる場合があってもよい。つまり、添え字の「A,m」と「B,n」は1〜Kのいずれかの整数である。なお、鍵生成装置100A,1,…,100A,Mと鍵生成装置100B,1,…,100B,Nとをできるだけ異なる装置にすれば、鍵生成装置のマスタ秘密鍵の漏えいが生じた場合のセキュリティ上のリスクを低減できる。
端末200はIDA,1,…,IDA,Mのハッシュ情報H(IDA,1),…,H(IDA,M)を公開する(S210)。端末200はIDB,1,…,IDB,Nのハッシュ情報H(IDB,1),…,H(IDB,N)を公開する(S210)。「公開する」とは、何らかの方法でだれでも入手できる状態にすることを意味し、例えば、特定のサーバなどにアクセスすることでだれでもダウンロードできる状態にする方法などがある。なお、「ハッシュ情報H(IDA,m)」は、識別子IDA,mのハッシュ値であるH(IDA,m)自体でもよいし、ハッシュ関数Hが既に公開されている場合は、識別子IDA,m自体を公開してもよい。
鍵生成装置100は、マスタ鍵生成部110と秘密鍵生成部120を備える。鍵生成装置100A,mに該当するときは、マスタ鍵生成部110A,mは、0以上q未満の整数であるマスタ秘密鍵zを生成し、マスタ公開鍵Z2,A,mをZ2,A,m=g^zA,mのように計算し(S111A,m)、マスタ公開鍵Z2,A,mを公開する(S112A,m)。この処理をm=1,…,Mに対して行う。鍵生成装置100B,nに該当するときは、マスタ鍵生成部110B,nは、0以上q未満の整数であるマスタ秘密鍵zB,nを生成し、マスタ公開鍵Z2,B,nをZ2,B,n=g^zB,nのように計算し(S111B,n)、マスタ公開鍵Z2,B,nを公開する(S112B,n)。この処理をn=1,…,Nに対して行う。
鍵生成装置100A,mに該当するときは、秘密鍵生成部120A,mは、秘密鍵S1,A,mをS1,A,m=H(IDA,m)^zA,mのように計算し(S121A,m)、端末200に送信する(S122A,m)。この処理をm=1,…,Mに対して行う。鍵生成装置100B,nに該当するときは、秘密鍵生成部120B,nは、秘密鍵S1,B,nをS1,B,n=H(IDB,n)^zB,nのように計算し(S121B,n)、端末Bに送信する(S122B,n)。この処理をn=1,…,Nに対して行う。
端末200は、鍵生成部210と鍵交換部220を備える。鍵生成部210は、0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,A
Figure 0006635315
のように計算し、秘密鍵xと秘密鍵S1,Aを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,AをX2,A=g^x’のように計算し(S213)、公開鍵X2,Aを公開する(S212)。「あらかじめ定めた方法」としては、例えば、x’=H(x|S1,A)のように計算することで秘密鍵x’を計算すればよい。
鍵交換部220は、
Figure 0006635315
および公開鍵X2,Bと秘密鍵x’とから計算されるσ3,Aの計算を含む所定の計算で、端末200との共有鍵Kを求める(S221)。「所定の計算」については後述する。
端末200も、鍵生成部210と鍵交換部220を備える。鍵生成部210は、0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,B
Figure 0006635315
のように計算し、秘密鍵xと秘密鍵S1,Bを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を生成し、公開鍵X2,BをX2,B=g^x’のように計算し(S213)、公開鍵X2,Bを公開する(S212)。「あらかじめえ定めた方法」としては、例えば、x’=H(x|S1,B)のように計算することで秘密鍵x’を計算すればよい。
鍵交換部220は、
Figure 0006635315
および公開鍵X2,Aと秘密鍵x’とから計算されるσ3,Bの計算を含む所定の計算で、端末Aとの共有鍵Kを求める(S221)。なお、正しい処理が行われていれば、
Figure 0006635315
Figure 0006635315
となるので、σ1,A=σ1,B、σ2,A=σ2,Bである。
「所定の計算」として、以下に3つの例を説明するが、σ3,A=σ3,Bとなり、同一の共有鍵Kを求められる範囲であれば、これらに限定する必要はない。第1の例では、鍵交換部220はσ3,Aを、
Figure 0006635315
のように計算し、共有鍵KをK=H(σ1,A|σ2,A|σ3,A)のように共有鍵Kを計算する。その際、Hに対する入力として、その他の変数を加えてもよい。そして、鍵交換部220はσ3,Bを、
Figure 0006635315
のように計算し、共有鍵KをK=H(σ1,B|σ2,B|σ3,B)のように共有鍵Kを計算する。なお、正しい処理が行われていれば、
Figure 0006635315
となるので、σ3,A=σ3,Bである。したがって、端末200と端末200は共有鍵Kを共有できる。
「所定の計算」の第2の例では、鍵交換部220はσ3,Aを、
Figure 0006635315
のように計算し、共有鍵KをK=H(σ1,A|σ2,A|σ3,A)のように共有鍵Kを計算する。その際、Hに対する入力として、その他の変数を加えてもよい。そして、鍵交換部220はσ3,Bを、
Figure 0006635315
のように計算し、共有鍵KをK=H(σ1,B|σ2,B|σ3,B)のように共有鍵Kを計算する。なお、正しい処理が行われていれば、
Figure 0006635315
となるので、σ3,A=σ3,Bである。したがって、端末200と端末200は共有鍵Kを共有できる。
「所定の計算」の第3の例では、鍵交換部220はσ3,Aを第2の例と同じように計算し、共有鍵KをK=H(σ1,Aσ2,Aσ3,A)のように共有鍵Kを計算する。その際、Hに対する入力として、その他の変数を加えてもよい。鍵交換部220はσ3,Bを第2の例と同じように計算し、共有鍵KをK=H(σ1,Bσ2,Bσ3,B)のように共有鍵Kを計算する。正しい処理が行われていれば、端末200と端末200は共有鍵Kを共有できる。
上述の処理では、Nも2以上であればAとBを入れ替えても同じ処理となる。したがって、識別子を2つ以上持つ1つの端末の視点で見たときには、常にその端末自体を端末200とし、鍵交換をする他の端末を端末200と扱えばよい。つまり、本発明のすべての端末は、端末200として機能すればよい。
本発明のIDベース認証鍵交換システムによれば、端末200は2つ以上の鍵生成装置から秘密鍵を受信して処理を行うので、1つの鍵生成装置の情報が分かっても端末200にはなりすませない。つまり、1つの鍵生成装置だけでは端末200になりすますことはできない。また、1つの鍵生成装置からマスタ秘密鍵が漏洩した場合でも、その情報だけでは、端末200になりすますことはできない。また、2つの端末200と200Bに対して2つの非自明な情報の組(秘密鍵S1,Aと秘密鍵x)と(秘密鍵S1,Bと秘密鍵xB)がある。そのうち(S1,AとS1,B)及び(S1,AとxB)及び(xとS1,B)及び(xとxB)のどの秘密鍵の組み合わせの漏洩が起きても、攻撃者はσ1,A(又はσ1,B),σ2,A(又はσ2,B),σ3,A(又はσ3,B)のすべては計算できない。よって、従来のFSUと同様にeCKモデル安全性が確保できている。
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
100 鍵生成装置
110 マスタ鍵生成部
120 秘密鍵生成部
200 端末
210 鍵生成部
220 鍵交換部
900 ネットワーク

Claims (7)

  1. 2つ以上の鍵生成装置と端末Aと端末Bを有するIDベース認証鍵交換システムであって、
    κはセキュリティパラメータ、G,G,Gは位数がκビット長の素数qの巡回群、gは群Gの生成元、gは群Gの生成元、gは群Gの生成元、eはG×G→Gのペアリングを示す記号、g,g,gはg=e(g,g)を満足し、iは1または2、Hは任意長の0と1で表現されたビット列を群Gの元に写像するハッシュ関数、Mは2以上のあらかじめ定めた整数、Nは1以上のあらかじめ定めた整数、mは1以上M以下の整数、nは1以上N以下の整数、端末Aは識別子としてID=(IDA,1,…,IDA,M)を有し、端末Bは識別子としてID=(IDB,1,…,IDB,N)を有し、鍵生成装置KA,mはIDA,mに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KB,nはIDB,nに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KA,1,…,KA,Mの中には互いに異なる鍵生成装置が含まれており、^はべき乗を示す記号、X2,Aは前記端末Aの公開鍵、X2,Bは前記端末Bの公開鍵、H(IDA,m)とH(IDB,n)は公開された情報とし、
    前記2つ以上の鍵生成装置のそれぞれは、
    1からMまでのすべてのmについて、鍵生成装置KA,mに該当するときは、0以上q未満の整数であるマスタ秘密鍵zA,mを生成し、マスタ公開鍵Z2,A,mをZ2,A,m=g^zA,mのように計算し、マスタ公開鍵Z2,A,mを公開し、1からNまでのすべてのnについて、鍵生成装置KB,nに該当するときは、0以上q未満の整数であるマスタ秘密鍵zB,nを生成し、マスタ公開鍵Z2,B,nをZ2,B,n=g^zB,nのように計算し、マスタ公開鍵Z2,B,nを公開するマスタ鍵生成部と、
    1からMまでのすべてのmについて、鍵生成装置KA,mに該当するときは、秘密鍵S1,A,mをS1,A,m=H(IDA,m)^zA,mのように計算し、端末Aに送信し、1からNまでのすべてのnについて、鍵生成装置KB,nに該当するときは、秘密鍵S1,B,nをS1,B,n=H(IDB,n)^zB,nのように計算し、端末Bに送信する秘密鍵生成部と、
    を備え、
    前記端末Aは、
    0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,A
    Figure 0006635315
    のように計算し、秘密鍵xと秘密鍵S1,Aを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,AをX2,A=g^x’のように計算し、公開鍵X2,Aを公開する鍵生成部Aと、
    Figure 0006635315
    および公開鍵X2,Bと秘密鍵x’とから計算されるσ3,Aの計算を含む所定の計算で、端末Bとの共有鍵Kを求める鍵交換部A
    を備え、
    前記端末Bは、
    0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,B
    Figure 0006635315
    のように計算し、秘密鍵xと秘密鍵S1,Bを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,BをX2,B=g^x’のように計算し、公開鍵X2,Bを公開する鍵生成部Bと、
    Figure 0006635315
    および公開鍵X2,Aと秘密鍵x’とから計算されるσ3,Bの計算を含む所定の計算で、端末Aとの共有鍵Kを求める鍵交換部B
    を備え、
    前記σ3,Aと前記σ3,Bは、
    Figure 0006635315
    または、
    Figure 0006635315
    のように計算される
    IDベース認証鍵交換システム。
  2. つ以上の鍵生成装置を用いて他の端末との共有鍵を求める端末であって、
    κはセキュリティパラメータ、G,G,Gは位数がκビット長の素数qの巡回群、gは群Gの生成元、gは群Gの生成元、gは群Gの生成元、eはG×G→Gのペアリングを示す記号、g,g,gはg=e(g,g)を満足し、iは1または2、Hは任意長の0と1で表現されたビット列を群Gの元に写像するハッシュ関数、Mは2以上のあらかじめ定めた整数、Nは1以上のあらかじめ定めた整数、mは1以上M以下の整数、nは1以上N以下の整数、当該端末は識別子としてID=(IDA,1,…,IDA,M)を有し、前記他の端末は識別子としてID=(IDB,1,…,IDB,N)を有し、鍵生成装置KA,mはIDA,mに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置K B,n はID B,n に対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KA,1,…,KA,Mの中には互いに異なる鍵生成装置が含まれており、^はべき乗を示す記号、X2,Aは当該端末の公開鍵、X2,Bは前記他の端末の公開鍵、H(IDA,m)とH(IDB,n)は公開された情報とし、
    鍵生成装置KA,mは、0以上q未満の整数であるマスタ秘密鍵zA,mを生成し、マスタ公開鍵Z2,A,mをZ2,A,m=g^zA,mのように計算し、マスタ公開鍵Z2,A,mを公開し、秘密鍵S1,A,mをS1,A,m=H(IDA,m)^zA,mのように計算し、端末Aに送信するとし、
    鍵生成装置K B,n は、0以上q未満の整数であるマスタ秘密鍵z B,n を生成し、マスタ公開鍵Z 2,B,n をZ 2,B,n =g ^z B,n のように計算し、マスタ公開鍵Z 2,B,n を公開するとし、
    当該端末は、
    0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,A
    Figure 0006635315
    のように計算し、秘密鍵xと秘密鍵S1,Aを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,AをX2,A=g^x’のように計算し、公開鍵X2,Aを公開する鍵生成部と、
    Figure 0006635315
     および
    Figure 0006635315
     のあらかじめ定められた一方を含む所定の計算で、前記他の端末との共有鍵Kを求める鍵交換部
    を備えた端末。
  3. 請求項2記載の端末であって、
    は任意長の0と1で表現されたビット列を0以上q未満の整数に写像するハッシュ関数、|を0と1で表現されたビット列をつなげることを示す記号とし、
    前記鍵生成部は、x’=H(x|S1,A)のように計算することで前記秘密鍵x’を計算する
    ことを特徴とする端末。
  4. 請求項2または3記載の端末であって、
    Hは任意長の0と1で表現されたビット列をκビット長の0と1で表現されたビット列に写像するハッシュ関数、|を0と1で表現されたビット列をつなげることを示す記号とし、
    前記鍵交換部は、K=H(σ1,A|σ2,A|σ3,A)のように前記共有鍵Kを計算する
    ことを特徴とする端末。
  5. 請求項2または3記載の端末であって、
    Hは任意長の0と1で表現されたビット列をκビット長の0と1で表現されたビット列に写像するハッシュ関数とし、
    前記鍵交換部の前記のあらかじめ定められた一方を含む所定の計算は、
    Figure 0006635315
    を含む所定の計算であって、
    前記鍵交換部は、σ=σ1,Aσ2,Aσ3,Aを計算し、K=H(σ)のように前記共有鍵Kを計算する
    ことを特徴とする端末。
  6. 2つ以上の鍵生成装置と端末Aと端末Bを有するIDベース認証鍵交換システムで実行するIDベース認証鍵交換方法であって、
    κはセキュリティパラメータ、G,G,Gは位数がκビット長の素数qの巡回群、gは群Gの生成元、gは群Gの生成元、gは群Gの生成元、eはG×G→Gのペアリングを示す記号、g,g,gはg=e(g,g)を満足し、iは1または2、Hは任意長の0と1で表現されたビット列を群Gの元に写像するハッシュ関数、Mは2以上のあらかじめ定めた整数、Nは1以上のあらかじめ定めた整数、mは1以上M以下の整数、nは1以上N以下の整数、端末Aは識別子としてID=(IDA,1,…,IDA,M)を有し、端末Bは識別子としてID=(IDB,1,…,IDB,N)を有し、鍵生成装置KA,mはIDA,mに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KB,nはIDB,nに対応付けられた前記2つ以上の鍵生成装置の中の1つ、鍵生成装置KA,1,…,KA,Mの中には互いに異なる鍵生成装置が含まれており、^はべき乗を示す記号、X2,Aは前記端末Aの公開鍵、X2,Bは前記端末Bの公開鍵、H(IDA,m)とH(IDB,n)は公開された情報とし、
    前記2つ以上の鍵生成装置のそれぞれは、
    1からMまでのすべてのmについて、鍵生成装置KA,mに該当するときは、0以上q未満の整数であるマスタ秘密鍵zA,mを生成し、マスタ公開鍵Z2,A,mをZ2,A,m=g^zA,mのように計算し、マスタ公開鍵Z2,A,mを公開し、1からNまでのすべてのnについて、鍵生成装置KB,nに該当するときは、0以上q未満の整数であるマスタ秘密鍵zB,nを生成し、マスタ公開鍵Z2,B,nをZ2,B,n=g^zB,nのように計算し、マスタ公開鍵Z2,B,nを公開するマスタ鍵生成ステップと、
    1からMまでのすべてのmについて、鍵生成装置KA,mに該当するときは、秘密鍵S1,A,mをS1,A,m=H(IDA,m)^zA,mのように計算し、端末Aに送信し、1からNまでのすべてのnについて、鍵生成装置KB,nに該当するときは、秘密鍵S1,B,nをS1,B,n=H(IDB,n)^zB,nのように計算し、端末Bに送信する秘密鍵生成ステップと、
    を実行し、
    前記端末Aは、
    0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,A
    Figure 0006635315
    のように計算し、秘密鍵xと秘密鍵S1,Aを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,AをX2,A=g^x’のように計算し、公開鍵X2,Aを公開する鍵生成Aステップと、
    Figure 0006635315
    および公開鍵X2,Bと秘密鍵x’とから計算されるσ3,Aの計算を含む所定の計算で、端末Bとの共有鍵Kを求める鍵交換Aステップ
    を実行し、
    前記端末Bは、
    0以上q未満の整数である秘密鍵xを生成し、秘密鍵S1,B
    Figure 0006635315
    のように計算し、秘密鍵xと秘密鍵S1,Bを用いてあらかじめ定めた方法で0以上q未満の整数である秘密鍵x’を計算し、公開鍵X2,BをX2,B=g^x’のように計算し、公開鍵X2,Bを公開する鍵生成Bステップと、
    Figure 0006635315
    および公開鍵X2,Aと秘密鍵x’とから計算されるσ3,Bの計算を含む所定の計算で、端末Aとの共有鍵Kを求める鍵交換Bステップ
    を実行し、
    前記σ3,Aと前記σ3,Bは、
    Figure 0006635315
    または、
    Figure 0006635315
    のように計算される
    IDベース認証鍵交換方法。
  7. 請求項2から5のいずれかの端末としてコンピュータを機能させるためのプログラム。
JP2017008665A 2017-01-20 2017-01-20 Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム Active JP6635315B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017008665A JP6635315B2 (ja) 2017-01-20 2017-01-20 Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017008665A JP6635315B2 (ja) 2017-01-20 2017-01-20 Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム

Publications (2)

Publication Number Publication Date
JP2018116231A JP2018116231A (ja) 2018-07-26
JP6635315B2 true JP6635315B2 (ja) 2020-01-22

Family

ID=62985466

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017008665A Active JP6635315B2 (ja) 2017-01-20 2017-01-20 Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム

Country Status (1)

Country Link
JP (1) JP6635315B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7289478B2 (ja) * 2019-08-28 2023-06-12 日本電信電話株式会社 鍵交換システム、機器、情報処理装置、鍵交換方法及びプログラム
CN115004742A (zh) * 2020-01-16 2022-09-02 中兴通讯股份有限公司 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5457848B2 (ja) * 2010-01-18 2014-04-02 日本電信電話株式会社 Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体
WO2014069783A1 (ko) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치

Also Published As

Publication number Publication date
JP2018116231A (ja) 2018-07-26

Similar Documents

Publication Publication Date Title
RU2437229C2 (ru) Способ и устройство для совместного использования секретной информации устройствами в домашней сети
Feng et al. An efficient privacy-preserving authentication model based on blockchain for VANETs
Song et al. Efficient Attribute‐Based Encryption with Privacy‐Preserving Key Generation and Its Application in Industrial Cloud
CN112491846A (zh) 一种跨链的区块链通信方法及装置
US9467281B2 (en) Information processing apparatus and program product
CN114499898B (zh) 一种区块链跨链安全接入方法及装置
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
Li et al. Cryptanalysis and improvement for certificateless aggregate signature
Murugesan et al. Analysis on homomorphic technique for data security in fog computing
Qin et al. An ECC-based access control scheme with lightweight decryption and conditional authentication for data sharing in vehicular networks
JP6594348B2 (ja) 鍵交換方法、鍵交換システム、鍵装置、端末装置、およびプログラム
Cai et al. BCSolid: a blockchain-based decentralized data storage and authentication scheme for solid
JP6635315B2 (ja) Idベース認証鍵交換システム、端末、idベース認証鍵交換方法、プログラム
CN115189903A (zh) 一种车联网中支持隐私保护的分布式访问控制方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
KR101533422B1 (ko) 브로드캐스트 암호화 방법 및 시스템
Gao et al. An Anonymous Access Authentication Scheme Based on Proxy Ring Signature for CPS‐WMNs
Guo et al. Certificateless public key encryption scheme with hybrid problems and its application to internet of things
Zheng et al. An efficient User’s attribute revocation scheme suitable for data outsourcing in cloud storage
CN115001673A (zh) 基于统一多域标识的密钥处理方法、装置及系统
Karantaidou et al. Pairing-based cryptography on the Internet of Things: A feasibility study
JP5427156B2 (ja) 鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラム
Song et al. A secure and effective anonymous integrity checking protocol for data storage in multicloud
Lin et al. FGDB‐MLPP: A fine‐grained data‐sharing scheme with blockchain based on multi‐level privacy protection
TWI747659B (zh) 物聯網系統及隱私授權方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170127

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20181109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190917

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191204

R150 Certificate of patent or registration of utility model

Ref document number: 6635315

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250