JP7298686B2 - 鍵交換システム、通信装置及びプログラム - Google Patents

鍵交換システム、通信装置及びプログラム Download PDF

Info

Publication number
JP7298686B2
JP7298686B2 JP2021521662A JP2021521662A JP7298686B2 JP 7298686 B2 JP7298686 B2 JP 7298686B2 JP 2021521662 A JP2021521662 A JP 2021521662A JP 2021521662 A JP2021521662 A JP 2021521662A JP 7298686 B2 JP7298686 B2 JP 7298686B2
Authority
JP
Japan
Prior art keywords
key
communication device
short
term
pairing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021521662A
Other languages
English (en)
Other versions
JPWO2020240741A1 (ja
Inventor
潤一 富田
文学 星野
彰 永井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2020240741A1 publication Critical patent/JPWO2020240741A1/ja
Application granted granted Critical
Publication of JP7298686B2 publication Critical patent/JP7298686B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、鍵交換システム、通信装置及びプログラムに関する。
近年、IoT(Internet of Things)機器が普及したことに伴って、IoT機器でも重要性の高い通信が行われるようになってきた。このため、通信時に互いが正しい機器であるかを確認するための認証技術がIoT機器でも重要になってきている。
IoT機器向けの認証技術としてはパスワードや電子証明書等が従来から知られているが、近年では、より安全性が高い認証付き鍵交換プロトコルの導入が求められている。認証付き鍵交換プロトコルとは、認証が成功した際に互いに共通した鍵(共有鍵)を生成し、その共有鍵で暗号化通信が可能となるプロトコルである。このような認証付き鍵交換プロトコルの1つとして、IDベース暗号を用いた認証付き鍵交換プロトコルが知られている。
IDベース暗号を用いた認証付き鍵交換プロトコルが満たすべき安全性のモデルとしてid-eCKモデルと呼ばれるモデルが知られており、非常に強い安全性を要求するモデルであることが知られている。
また、IDベース暗号を用いた認証付き鍵交換プロトコルは、一般に、有限体上の楕円曲線における双線形群を用いて実現される。このような双線形群はペアリング群とも呼ばれ、対称ペアリング群と非対称ペアリング群とに分類することができる。現在、ペアリング群を暗号で用いる場合には、効率性や安全性の観点から非対称ペアリング群が用いられることが多い。非対称ペアリング群上で実現されるIDベース暗号を用いた認証付き鍵交換プロトコルとして、ISO/IEC(International Organization for Standardization / International Electrotechnical Commission)でも標準化されているFSU(Fujioka-Suzuki-Ustaoglu)が知られている(非特許文献1参照)。
Fujioka, Hoshino, Kobayashi, Suzuki, Ustaoglu, Yoneyama, "id-eCK Secure ID-Based Authenticated Key Exchange on Symmetric and Asymmetric Pairing", IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences Vol.E96-A No.6 pp.1139-1155, 2013.
しかしながら、FSUでは、ペアリング演算と呼ばれる群演算を4回行う必要がある。ペアリング演算は一般に計算コストが高いため、IoT機器等の計算リソースが限られた機器がFSUによって鍵交換を行う場合、鍵交換に時間を要することがあった。
本発明の実施の形態は、上記の点に鑑みてなされたもので、IDベース暗号を用いた認証付き鍵交換プロトコルの計算コストを削減することを目的とする。
上記目的を達成するため、本発明の実施の形態における鍵交換システムは、IDベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換システムであって、前記複数の通信装置の各々は、前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第1の生成手段と、前記短期秘密鍵を用いて、前記IDベース暗号に用いられる非対称ペアリング群G及びGのうちの一方のペアリング群G上で、前記通信装置の短期公開鍵を生成する第2の生成手段と、前記非対称ペアリング群G及びGのうちの他方のペアリング群G上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第1のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第2のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第3の生成手段と、を有することを特徴とする。
IDベース暗号を用いた認証付き鍵交換プロトコルの計算コストを削減することができる。
本発明の実施の形態における鍵交換システムの全体構成の一例を示す図である。 本発明の実施の形態における鍵発行装置のハードウェア構成の一例を示す図である。 本発明の実施の形態における通信装置のハードウェア構成の一例を示す図である。 本発明の実施の形態における鍵交換システムの機能構成の一例を示す図である。 本発明の実施の形態における鍵発行処理の一例を示すフローチャートである。 本発明の実施の形態における鍵交換処理の一例を示すシーケンス図である。
以下、本発明の実施の形態について説明する。本発明の実施の形態では、ペアリング演算の回数を減らすことで、IDベース暗号を用いた認証付き鍵交換プロトコルにおける計算コストを削減した鍵交換システム1について説明する。
<全体構成>
まず、本発明の実施の形態における鍵交換システム1の全体構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における鍵交換システム1の全体構成の一例を示す図である。
図1に示すように、本発明の実施の形態における鍵交換システム1には、鍵発行装置10と、複数の通信装置20とが含まれる。また、鍵発行装置10と、各通信装置20とは、例えばインターネット等の通信ネットワークNを介して通信可能に接続されている。
鍵発行装置10は、KGC(Key Generation Center)として機能するコンピュータ又はコンピュータシステムである。鍵発行装置10は、マスター秘密鍵を用いてマスター公開鍵を予め生成した上で、当該マスター公開鍵を公開する。また、鍵発行装置10は、通信装置20の識別子を受け付けた場合に、この識別子からユーザ秘密鍵を生成した上で、当該識別子に対応する通信装置20に当該ユーザ秘密鍵を配布する。
なお、通信装置20の識別子としては、任意の識別子を用いることが可能である。例えば、通信装置20の製造固有番号やIP(Internet Protocol)アドレス、物理アドレス等を識別子として用いることが可能である。これら以外にも、例えば、通信装置20のユーザのユーザID、通信装置20のユーザの氏名、通信装置20のユーザのメールアドレス等を識別子として用いることも可能である。
通信装置20は、例えば、各種センサデバイス、組み込み機器、ウェアラブルデバイス、デジタル家電、監視カメラ、照明機器、医療機器、産業用機器等の種々のIoT機器である。通信装置20は、鍵発行装置10から配布されたユーザ秘密鍵を用いて、他の通信装置20との間でIDベース暗号を用いた認証付き鍵交換プロトコルにより認証(つまり、正当性の確認)を行って、暗号化通信のための鍵(共有鍵)を交換(生成)する。以降では、複数の通信装置20の各々を区別して表す場合は、「通信装置20A」、「通信装置20B」等と表す。
なお、本発明の実施の形態では、通信装置20としてIoT機器を想定し、通信装置20の計算リソースが限られている(すなわち、例えば、プロセッサの処理性能やメモリの容量が一般的なコンピュータ等と比較して乏しい)ものとする。ただし、これに限られず、通信装置20がIoT機器以外(例えば、PC(パーソナルコンピュータ)やサーバ装置、スマートフォン、タブレット端末等)であっても、本発明の実施の形態を同様に適用することが可能である。
また、図1に示す鍵交換システム1の構成は一例であって、他の構成であってもよい。例えば、鍵発行装置10に対して各通信装置20の識別子を送信する端末が鍵交換システム1に含まれていてもよい。
<ハードウェア構成>
次に、本発明の実施の形態における鍵発行装置10及び通信装置20のハードウェア構成について説明する。
≪鍵発行装置10≫
以降では、本発明の実施の形態における鍵発行装置10のハードウェア構成について、図2を参照しながら説明する。図2は、本発明の実施の形態における鍵発行装置10のハードウェア構成の一例を示す図である。
図2に示すように、本発明の実施の形態における鍵発行装置10は、入力装置11と、表示装置12と、RAM(Random Access Memory)13と、ROM(Read Only Memory)14と、プロセッサ15と、外部I/F16と、通信I/F17と、補助記憶装置18とを有する。これら各ハードウェアは、それぞれがバス19を介して通信可能に接続されている。
入力装置11は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置12は、例えばディスプレイ等であり、ユーザに対して各種処理結果等を表示するのに用いられる。なお、鍵発行装置10は、入力装置11及び表示装置12のうちの少なくとも一方を有していなくてもよい。
RAM13は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM14は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ15は、例えばCPU(Central Processing Unit)等であり、ROM14や補助記憶装置18等からプログラムやデータをRAM13上に読み出して処理を実行する演算装置である。
外部I/F16は、外部装置とのインタフェースである。外部装置には、記録媒体16a等がある。記録媒体16aとしては、例えば、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。なお、記録媒体16aには、鍵発行装置10が有する各機能を実現する1以上のプログラム等が記録されていてもよい。
通信I/F17は、鍵発行装置10を通信ネットワークNに接続するためのインタフェースである。鍵発行装置10は、通信I/F17を介して、通信装置20との間でデータ通信を行うことができる。
補助記憶装置18は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性の記憶装置である。補助記憶装置18には、鍵発行装置10が有する各機能を実現する1以上のプログラム等が記憶されている。
本発明の実施の形態における鍵発行装置10は、図2に示すハードウェア構成を有することにより、後述する鍵発行処理等を実現することができる。なお、図2では、本発明の実施の形態における鍵発行装置10が1台の装置(コンピュータ)で実現されている場合を示したが、これに限られない。本発明の実施の形態における鍵発行装置10は、複数台の装置(コンピュータ)で実現されていてもよい。また、1台の装置(コンピュータ)には、複数のプロセッサ15や複数のメモリ(例えば、RAM13やROM14、補助記憶装置18等)が含まれていてもよい。
≪通信装置20≫
以降では、本発明の実施の形態における通信装置20のハードウェア構成について、図3を参照しながら説明する。図3は、本発明の実施の形態における通信装置20のハードウェア構成の一例を示す図である。
図3に示すように、本発明の実施の形態における通信装置20は、プロセッサ21と、メモリ装置22と、通信I/F23とを有する。これら各ハードウェアは、それぞれがバス24を介して通信可能に接続されている。
プロセッサ21は、例えばMPU(Micro Processing Unit)やCPU等であり、メモリ装置22からプログラムやデータを読み出して処理を実行する演算装置である。
メモリ装置22は、例えばRAMやROM、フラッシュメモリ等であり、各種データやプログラム等を記憶する。メモリ装置22には、本発明の実施の形態における通信装置20が有する各機能を実現する1以上のプログラム等が記憶されている。
通信I/F23は、通信装置20を通信ネットワークNに接続するためのインタフェースである。通信装置20は、通信I/F23を介して、他の通信装置20や鍵発行装置10等との間でデータ通信を行うことができる。
本発明の実施の形態における通信装置20は、図3に示すハードウェア構成を有することにより、後述する鍵交換処理を実現することができる。
<機能構成>
次に、本発明の実施の形態における鍵交換システム1の機能構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における鍵交換システム1の機能構成の一例を示す図である。
≪鍵発行装置10≫
図4に示すように、本発明の実施の形態における鍵発行装置10は、通信部101と、鍵発行処理部102とを有する。これら各部は、鍵発行装置10にインストールされた1以上のプログラムがプロセッサ15に実行させる処理により実現される。
また、本発明の実施の形態における鍵発行装置10は、記憶部103を有する。記憶部103は、例えば補助記憶装置18等を用いて実現可能である。なお、記憶部103は、鍵発行装置10と通信ネットワークNを介して接続される記憶装置等を用いて実現されていてもよい。
通信部101は、通信装置20等との間で各種通信を行う。鍵発行処理部102は、通信装置20の識別子を受け付けた場合に、この識別子からユーザ秘密鍵を生成した上で、当該識別子に対応する通信装置20に当該ユーザ秘密鍵を配布する。記憶部103は、各種データ(例えば、マスター公開鍵やマスター秘密鍵等)を記憶する。
≪通信装置20≫
図4に示すように、本発明の実施の形態における通信装置20は、通信部201と、鍵交換処理部202とを有する。
通信部201は、他の通信装置20や鍵発行装置10等との間で各種通信を行う。鍵交換処理部202は、鍵発行装置10から配布されたユーザ秘密鍵を用いて、他の通信装置20との間でIDベース暗号を用いた認証付き鍵交換プロトコルにより認証を行って共有鍵を交換する。記憶部203は、各種データ(例えば、ユーザ秘密鍵等)を記憶する。
<鍵交換システム1の処理の詳細>
次に、本発明の実施の形態における鍵交換システム1の処理の詳細について説明する。
≪記号の定義≫
まず、以降で用いる記号を次のように定義する。
ID:通信装置20Aの識別子
ID:通信装置20Bの識別子
:通信装置20Aのユーザ秘密鍵
:通信装置20Bのユーザ秘密鍵
k:セキュリティパラメータ
p,q:p≠qを満たす素数
:有限体F上の楕円曲線をEとして、楕円曲線E上の群E(F)の部分群
:有限体Fのk次拡大体上の楕円曲線をEとして、楕円曲線E上の群
Figure 0007298686000001
 の部分群
:Gの生成元
:Gの生成元
:qを法とする剰余類
z∈Z:マスター秘密鍵
Z=zg:マスター公開鍵
:文字列(例えばオクテット列)からG上の元を生成する関数
:文字列からZ上の元を生成する関数
H:鍵導出関数
e:G×G上で定義されたペアリング演算
ここで、上記で定義した各記号のうち、マスター秘密鍵z、ユーザ秘密鍵D及びD以外は公開情報であるものとする。なお、GとGとは逆であってもよい。また、群の元やZ上の元を関数に入力する場合には、当該元を表す文字列を関数に入力するものとする。
≪鍵発行処理≫
まず、ユーザ秘密鍵を生成するための鍵発行処理について、図5を参照しながら説明する。図5は、本発明の実施の形態における鍵発行処理の一例を示すフローチャートである。以降では、一例として、ユーザ秘密鍵Dとユーザ秘密鍵Dとを発行する場合について説明する。
鍵発行処理部102は、通信装置20Aの識別子IDと通信装置20Bの識別子IDとを受け付ける(ステップS101)。通信装置20の識別子は、例えば、当該通信装置20から送信されてもよいし、鍵発行装置10と通信ネットワークNを介して接続される端末等から送信されてもよいし、鍵発行装置10が有する入力装置11から入力されてもよい。
次に、鍵発行処理部102は、以下によりユーザ秘密鍵Dとユーザ秘密鍵Dとを生成する(ステップS102)。
=H(ID)∈G
=zQ
=H(ID)∈G
=zQ
ここで、Q及びQは、通信装置20で生成されてもよいし、鍵発行装置10で生成されてもよい。すなわち、例えば、ユーザ秘密鍵Dを生成する際に、通信装置20でQを生成して鍵発行装置10に公開してもよいし、鍵発行装置10でQを生成してもよい。同様に、例えば、ユーザ秘密鍵Dを生成する際に、通信装置20でQを生成して鍵発行装置10に公開してもよいし、鍵発行装置10でQを生成してもよい。なお、通信装置20A及び通信装置20BのそれぞれでQ及びQを生成することが簡便であるが、例えば、通信装置20の計算リソースが限られており、Hの計算に多くの計算リソースが必要な場合等には鍵発行装置10でQ及びQを生成することが好ましい。
次に、鍵発行処理部102は、ユーザ秘密鍵Dを通信装置20Aに配布すると共に、ユーザ秘密鍵Dを通信装置20Bに配布する(ステップS103)。なお、鍵発行処理部102は、任意の方法でユーザ秘密鍵を配布すればよい。例えば、鍵発行処理部102は、通信装置20からのユーザ秘密鍵の配布要求に応じて、通信部101によって該当のユーザ秘密鍵を当該通信装置20に送信することで、ユーザ秘密鍵を配布すればよい。又は、ユーザ秘密鍵を記録媒体等に記録した上で、通信装置20に配布されてもよい。これにより、各通信装置20は、他の通信装置20との間で共有鍵を交換(生成)する際に用いるユーザ秘密鍵を得ることができる。
≪鍵交換処理≫
次に、通信装置20間で、IDベース暗号を用いた認証付き鍵交換プロトコルにより認証を行って共有鍵を交換するための鍵交換処理について、図6を参照しながら説明する。図6は、本発明の実施の形態における鍵交換処理の一例を示すシーケンス図である。以降では、一例として、通信装置20Aと通信装置20Bとの間で共有鍵を交換(生成)する場合について説明する。
通信装置20Aの鍵交換処理部202は、r∈Zをランダムに選択した上で、短期秘密鍵
Figure 0007298686000002
 を生成すると共に、短期公開鍵X=xを生成する(ステップS201)。なお、短期秘密鍵x及び短期公開鍵Xは、通信装置20Aの記憶部203に記憶される。
同様に、通信装置20Bの鍵交換処理部202は、r∈Zをランダムに選択した上で、短期秘密鍵
Figure 0007298686000003
 を生成すると共に、短期公開鍵X=xを生成する(ステップS202)。なお、短期秘密鍵x及び短期公開鍵Xは、通信装置20Bの記憶部203に記憶される。
次に、通信装置20Aの通信部201は、識別子IDと短期公開鍵Xとを通信装置20Bに送信する(ステップS203)。同様に、通信装置20Bの通信部201は、識別子IDと短期公開鍵Xとを通信装置20Bに送信する(ステップS204)。これにより、識別子と短期公開鍵とが通信装置20間で交換される。
次に、通信装置20Aの鍵交換処理部202は、上記のステップS201で生成した短期秘密鍵xを記憶部203から削除する(ステップS205)。同様に、通信装置20Bの鍵交換処理部202は、上記のステップS202で生成した短期秘密鍵xを記憶部203から削除する(ステップS206)。
なお、上記のステップS205及びステップS206で短期秘密鍵x及び短期秘密鍵xをそれぞれ削除しているが、これは、他方の通信装置20から識別子及び短期公開鍵を受信するまでの間に短期秘密鍵が流出することを防止するためである。すなわち、例えば、通信装置20Aが識別子ID及び短期公開鍵Xを通信装置20Bに送信した後、通信装置20Aが識別子ID及び短期公開鍵Xを通信装置20Bから受信するまでの間には或る程度の時間を要することがある。このため、この時間の間における短期秘密鍵xの流出を防止するために、通信装置20Aは、識別子ID及び短期公開鍵Xを通信装置20Bに送信した後、短期秘密鍵xを削除している。短期秘密鍵xを削除している理由についても同様である。
続いて、通信装置20Aの鍵交換処理部202は、短期秘密鍵
Figure 0007298686000004
 を再度生成する(ステップS207)。なお、短期秘密鍵xは、通信装置20Aの記憶部203に記憶される。
同様に、通信装置20Bの鍵交換処理部202は、短期秘密鍵
Figure 0007298686000005
 を再度生成する(ステップS208)。なお、短期秘密鍵xは、通信装置20Bの記憶部203に記憶される。
次に、通信装置20Aの鍵交換処理部202は、共有値σと共有値σと共有値σとを以下により計算する(ステップS209)。
σ=e(X,D
σ=e(xZ,Q
σ=x
同様に、通信装置20Bの鍵交換処理部202は、共有値σと共有値σと共有値σとを以下により計算する(ステップS210)。
σ=e(xZ,Q
σ=e(X,D
σ=x
次に、通信装置20Aの鍵交換処理部202は、以下によりsidを計算する(ステップS211)。なお、sidはセッションIDを意味する。
Figure 0007298686000006
 同様に、通信装置20Bの鍵交換処理部202は、以下によりsidを計算する(ステップS212)。
Figure 0007298686000007
 なお、上記のステップS211及びステップS212では、通信装置20Aと通信装置20Bとの間でsidが同一とする必要があるため、例えば、暗号化通信を行う際の送信者(sender)をID、受信者(receiver)をIDとする等と予め取り決めておくことでsidが同一となるようにしてもよいし、IDとIDとXとXとをアルファベット順にソートした上で連結することでsidが同一となるようにしてもよい。また、このとき、IDとIDとXとXとに加えて、例えば、マスター公開鍵Zを追加したり、プロトコル名やアルゴリズム名等を追加したりしてもよい。
最後に、通信装置20Aの鍵交換処理部202は、以下により共有鍵Kを生成する(ステップS213)。
Figure 0007298686000008
 なお、この共有鍵Kは、通信装置20Aの記憶部203に記憶される。
同様に、通信装置20Bの鍵交換処理部202は、以下により共有鍵Kを生成する(ステップS214)。
Figure 0007298686000009
 なお、この共有鍵Kは、通信装置20Bの記憶部203に記憶される。
これにより、通信装置20Aと通信装置20Bとの間で共有鍵Kが共有される。したがって、この共有鍵Kを用いて、通信装置20Aと通信装置20Bとの間で暗号化通信を行うことができる。
以上のように、本発明の実施の形態では、通常の認証付き鍵交換においてeCKモデルで安全なNAXOSプロトコルの技術を、IDベース暗号を用いた認証付き鍵交換プロトコルに応用できるようにプロトコルを設計している。なお、eCKモデルは通常の認証付き鍵交換における安全性のモデルであり、id-eCKモデルの元となっているモデルである。
ところで、通常の認証付き鍵交換ではペアリング演算は不要であり、NAXOSプロトコルは通常の巡回群上のプロトコルとなっている。このため、IDベース暗号を用いた認証付き鍵交換を行うためにはペアリング群上でプロトコルを構成する必要があり、非対称ペアリング群では2つの巡回群G及びGがあるため、どのようにNAXOSの技術を応用するかが問題となる。これに対して、本発明の実施の形態では、Gを一時鍵(つまり、短期秘密鍵及び短期公開鍵)上の演算に用い、Gをユーザ秘密鍵の要素に用いることで安全性(つまり、id-eCKモデルを満たす安全性)を達成している。なお、NAXOSプロトコルはユーザ秘密鍵と短期秘密鍵とを入力としてハッシュ関数値を計算してそこから短期公開鍵を作るという技術を使った、CKモデルでの安全性よりも高い安全性を持つ認証付き鍵交換プロトコルである。NAXOSプロトコルの詳細については、例えば参考文献「B. LaMacchia, K. Lauter, and A. Mityagin, "Stronger security of authenticated key exchange," in Provable Security, ser. LNCS, vol. 4784. Springer, 2007.」のsection 4等を参照されたい。
また、本発明の実施の形態では、各通信装置20でペアリング演算をそれぞれ2回行うだけで共有鍵Kの交換を行うことができる。一方で、上述したように、例えば、FSUではペアリング演算をそれぞれ4回行う必要がある。このため、本発明の実施の形態では、各通信装置20は、従来技術と比較して、約1/2の時間で鍵交換を行うことが可能となる。したがって、本発明の実施の形態によれば、例えば、計算リソースが限られたIoT機器等においても、IDベース暗号を用いた認証付き鍵交換プロトコルを高速に実行することが可能となる。
本発明は、具体的に開示された上記の実施の形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更が可能である。
1 鍵交換システム
10 鍵発行装置
20 通信装置
101 通信部
102 鍵発行処理部
103 記憶部
201 通信部
202 鍵交換処理部
203 記憶部

Claims (4)

  1. IDベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換システムであって、
    前記複数の通信装置の各々は、
    自身の秘密鍵を用いて、自身の短期秘密鍵を生成する第1の生成手段と、
    前記短期秘密鍵を用いて、前記IDベース暗号に用いられる非対称ペアリング群G及びGのうちの一方のペアリング群G上で、自身の短期公開鍵を生成する第2の生成手段と、
    前記非対称ペアリング群G及びGのうちの他方のペアリング群G上で生成された自身の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第1のペアリング演算と、自身の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第2のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第3の生成手段と、
    を有することを特徴とする鍵交換システム。
  2. 前記第1の生成手段は、
    qを素数とした剰余類Zの元をランダムに選択した上で、選択した元を表す文字列と自身の秘密鍵とを連結した文字列を入力した所定の関数により前記短期秘密鍵を生成し、
    前記第2の生成手段は、
    前記短期秘密鍵と前記ペアリング群Gの生成元との演算により前記短期公開鍵を生成し、
    前記第3の生成手段は、
    前記第1のペアリング演算の演算結果と、前記第2のペアリング演算の演算結果と、前記短期秘密鍵と前記他の通信装置で生成された短期公開鍵とを演算した結果と、自身及び前記他の通信装置間で共通のセッションIDとを用いて、前記共有鍵を生成する、ことを特徴とする請求項1に記載の鍵交換システム。
  3. IDベース暗号を用いた認証付き鍵交換プロトコルにより、他の通信装置との間で暗号化通信を行うための共有鍵を生成する通信装置であって、
    自身の秘密鍵を用いて、自身の短期秘密鍵を生成する第1の生成手段と、
    前記短期秘密鍵を用いて、前記IDベース暗号に用いられる非対称ペアリング群G及びGのうちの一方のペアリング群G上で、自身の短期公開鍵を生成する第2の生成手段と、
    前記非対称ペアリング群G及びGのうちの他方のペアリング群G上で生成された自身の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第1のペアリング演算と、自身の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第2のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第3の生成手段と、
    を有することを特徴とする通信装置。
  4. コンピュータを、請求項3に記載の通信装置における各手段として機能させるためのプログラム。
JP2021521662A 2019-05-29 2019-05-29 鍵交換システム、通信装置及びプログラム Active JP7298686B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/021377 WO2020240741A1 (ja) 2019-05-29 2019-05-29 鍵交換システム、通信装置、鍵交換方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2020240741A1 JPWO2020240741A1 (ja) 2020-12-03
JP7298686B2 true JP7298686B2 (ja) 2023-06-27

Family

ID=73553682

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021521662A Active JP7298686B2 (ja) 2019-05-29 2019-05-29 鍵交換システム、通信装置及びプログラム

Country Status (3)

Country Link
US (1) US11909867B2 (ja)
JP (1) JP7298686B2 (ja)
WO (1) WO2020240741A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20240048382A1 (en) * 2022-08-03 2024-02-08 1080 Network, Llc Systems, methods, and computing platforms for executing credential-less network-based communication exchanges

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011147060A (ja) 2010-01-18 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体
JP2013157711A (ja) 2012-01-27 2013-08-15 Nippon Telegr & Teleph Corp <Ntt> 鍵交換装置、鍵交換システム、鍵交換方法、プログラム
WO2018169489A1 (en) 2017-03-14 2018-09-20 Huawei International Pte. Ltd. System and method for computing common session keys in a forward secure identity-based authenticated key exchange scheme

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4839554B2 (ja) * 2000-10-19 2011-12-21 ソニー株式会社 無線通信システム、クライアント装置、サーバ装置および無線通信方法
GB2419787B (en) * 2004-10-28 2007-07-04 Hewlett Packard Development Co Method and apparatus for providing short-term private keys in public-key cryptographic systems
US9515823B2 (en) * 2013-08-30 2016-12-06 L-3 Communications Corporation Cryptographic device with detachable data planes
US9641328B1 (en) * 2014-03-10 2017-05-02 Ionu Security, Inc. Generation of public-private key pairs
EP3232603B1 (en) * 2015-01-16 2023-05-31 Nippon Telegraph and Telephone Corporation Key-exchange method, key-exchange system, terminal device, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011147060A (ja) 2010-01-18 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> Idベース認証鍵交換システム、認証鍵交換方法、認証鍵交換装置及びそのプログラムと記録媒体
JP2013157711A (ja) 2012-01-27 2013-08-15 Nippon Telegr & Teleph Corp <Ntt> 鍵交換装置、鍵交換システム、鍵交換方法、プログラム
WO2018169489A1 (en) 2017-03-14 2018-09-20 Huawei International Pte. Ltd. System and method for computing common session keys in a forward secure identity-based authenticated key exchange scheme

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
岩井 光輝 ほか,非対称Pairingを利用したIDベース認証鍵交換:IoT機器への適用,2019年 暗号と情報セキュリティシンポジウム(SCIS2019)予稿集 [USB],日本,2019年01月15日,3E3-3,p.1-8
永井 彰 ほか,Cortex-M系での認証付き鍵交換方式FSUの実装評価,2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集 [USB],日本,2018年 暗号と情報セキュリティシンポジウム実行,2018年01月23日,4E1-4,p.1-7
齋藤 恆和 ほか,非対称ペアリングを用いた多重かつ分散されたKGCを満足するIDベース認証鍵交換,2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集 [USB],日本,2017年 暗号と情報セキュリティシンポジウム実行,2017年01月24日,2F2-4,p.1-7

Also Published As

Publication number Publication date
JPWO2020240741A1 (ja) 2020-12-03
WO2020240741A1 (ja) 2020-12-03
US11909867B2 (en) 2024-02-20
US20220224520A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
US10361841B2 (en) Proxy computing system, computing apparatus, capability providing apparatus, proxy computing method, capability providing method, program, and recording medium
US20180013555A1 (en) Data transmission method and apparatus
CN109756329B (zh) 基于私钥池的抗量子计算共享密钥协商方法和系统
JP3864249B2 (ja) 暗号通信システム、その端末装置及びサーバ
US20200195446A1 (en) System and method for ensuring forward &amp; backward secrecy using physically unclonable functions
CN111783136A (zh) 一种数据保护方法、装置、设备和存储介质
TW202118271A (zh) 使用參與實體之網絡識別符促進與區塊鏈關聯之交易的電腦實施系統及方法
JP7020297B2 (ja) 鍵共有システム、機器、鍵共有方法及びプログラム
Djellali et al. User authentication scheme preserving anonymity for ubiquitous devices
JP7298686B2 (ja) 鍵交換システム、通信装置及びプログラム
CN114128209B (zh) 密钥交换系统、通信装置、密钥交换方法及记录介质
JP7125857B2 (ja) 暗号化システム、暗号化装置、復号装置、暗号化方法、復号方法、及びプログラム
JP7231051B2 (ja) 端末、サーバ、方法及びプログラム
CN110572788B (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统
JP7115556B2 (ja) 認証認可システム及び認証認可方法
TWI701931B (zh) 具分級機制的數位簽章方法及適用該方法的硬體錢包裝置
JP7289478B2 (ja) 鍵交換システム、機器、情報処理装置、鍵交換方法及びプログラム
JP7377495B2 (ja) 暗号システム及び方法
Song et al. A novel multiserver authentication protocol with multifactors for cloud service
TWI702820B (zh) 具分級機制的秘密共享簽章系統及其方法
JP7254296B2 (ja) 鍵交換システム、情報処理装置、鍵交換方法及びプログラム
CN110572256B (zh) 基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统
WO2022244151A1 (ja) 鍵交換システム、端末、サーバ、鍵交換方法、及びプログラム
JP2023087337A (ja) 認証鍵交換システム、機器、方法、及びプログラム
JP2023175540A (ja) 鍵交換システム、情報処理装置、方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230516

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230529

R150 Certificate of patent or registration of utility model

Ref document number: 7298686

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150