JPH11220463A - 鍵更新方法 - Google Patents

鍵更新方法

Info

Publication number
JPH11220463A
JPH11220463A JP10035369A JP3536998A JPH11220463A JP H11220463 A JPH11220463 A JP H11220463A JP 10035369 A JP10035369 A JP 10035369A JP 3536998 A JP3536998 A JP 3536998A JP H11220463 A JPH11220463 A JP H11220463A
Authority
JP
Japan
Prior art keywords
terminal
key
terminal information
base station
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10035369A
Other languages
English (en)
Other versions
JP2865654B1 (ja
Inventor
Jun Anzai
潤 安齋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KODO IDO TSUSHIN SECURITY GIJU
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
KODO IDO TSUSHIN SECURITY GIJU
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KODO IDO TSUSHIN SECURITY GIJU, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical KODO IDO TSUSHIN SECURITY GIJU
Priority to JP10035369A priority Critical patent/JP2865654B1/ja
Application granted granted Critical
Publication of JP2865654B1 publication Critical patent/JP2865654B1/ja
Publication of JPH11220463A publication Critical patent/JPH11220463A/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 基地局と複数の端末からなるシステムにおい
て、特定端末だけを排除して、残りの端末でできるだけ
早急に更新鍵を共有する。 【解決手段】 予め各端末は、互いに素である第1の端
末情報niを保持する。準備として基地局は、鍵Kと秘
密鍵eを定め、第2の端末情報Xi=Ke modniを対応す
る端末に配布する。特定の端末T1を排除する場合、基
地局は(n1,X1,e)を各端末に一斉通知する。端末T
1以外の各端末Tiでは、次の手順で鍵Kを求めることが
できる。(n1,ni)より、yi=1/n1 mod ni,yk
=1/ni mod n1 (2≦i≦5)を満たす整数yi
kを求め、前記整数yi、ykと、端末iの端末情報Xi
と、端末kの端末情報Xkとから、Ke=Xi・yi・nk
k・yk・ni mod ni・nkを計算し、秘密鍵eとKeから更
新鍵Kを求める。しかし、端末T1には(n1,X1,e)
しかないので、鍵Kを求めることは、RSA暗号を破る
の同程度に困難である。したがって、基地局から各端末
に(n1,X1,e)を同報するだけで、特定端末を排除し
た残りの端末で更新鍵を共有できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、基地局および複数
端末からなるスター型通信システムにおける暗号鍵更新
方法に関し、特に、基地局が特定した端末以外のすべて
の端末に共通の秘密鍵を安全に配送する鍵更新方法に関
する。
【0002】
【従来の技術】基地局が複数の端末を管理するスター型
通信システムにおいて、基地局と傘下の複数の端末がグ
ループを形成し、グループで同じグループ秘密鍵を共有
して同報の暗号通信を行なう場合を考える。グループ秘
密鍵を用いて暗号化された情報は、同じ秘密鍵を保有す
るグル−プ内の端末だけが復号することができる。
【0003】ところで、このグループから特定の端末を
排除したい場合が生じうる。それは、例えばグループ内
のある端末が盗難にあい、その端末を用いた暗号通信の
盗聴や偽情報の送信などの不正が考えられる場合などで
ある。このとき、この秘密鍵を管理する基地局は、でき
るだけ速やかに、盗難にあった端末を排除してグループ
秘密鍵を更新し、残りの端末だけで新たな秘密鍵を共有
することが必要となる。
【0004】図9は、基地局が特定した端末以外で鍵デ
ータを共有するための、第1の従来例における鍵更新方
法を示す。図9では、2〜6で示す5個の端末T1〜T5
が、それぞれ固有鍵k1〜k5を保持しており、基地局1
が全端末の固有鍵を管理している。このとき、例えば基
地局1が端末T1を排除して、他の端末T2〜T5に新し
い共通の秘密鍵を配付する場合について説明する。
【0005】まず、基地局1は秘密鍵Kを生成し、これ
をそれぞれk2〜k5を鍵として暗号化し、それぞれ端末
2〜T5に配送する。排除される端末T1以外の各端末
2〜T5では固有鍵を用いてこれを復号し、秘密鍵Kを
獲得する。なお、図9中において、例えばEk2(K)
は、Kを固有鍵k2で暗号化した暗号文である。この通
信路上のデータは、それぞれ端末T2〜T5の固有鍵で暗
号化されているため、たとえ端末T1がこの通信データ
を盗聴したとしても、基地局1が生成した秘密鍵Kを獲
得することができない。
【0006】しかし、この方法では、一般にN個の端末
から1つの端末を排除するためには、基地局は(N−
1)回の暗号化を行ない、(N−1)個のデータを送信
しなくてはならない。グループが大きくなると、この作
業は基地局にとって非常に負担になる。また、全局更新
まではグループ内の暗号通信等の業務を停止する必要が
あるが、(N−1)局に配り終えるまでの業務停止期間
が長いと大きな問題である。
【0007】図10は、特公平5-46731号公報に示された
第2の従来例における鍵更新方法である。第2の従来例
では、公開鍵暗号の手法を用いている。図10では、2〜
6で示す5個の端末T1〜T5が、それぞれ固有の秘密鍵
(e1,d1)〜(e5,d5)を保持している。ここで、各
秘密鍵(ei,di)は、 ei・di mod(p-1) =1(pはシステム公開の素数) が成り立っているものとする。基地局1は全端末の公開
鍵 p1=ge1 mod p,・・・,p5=ge5 mod p を管理している。ここでgはシステム公開の整数であ
り、各端末の公開鍵piおよびシステム公開の情報g、
pから各端末の秘密鍵(ei,di)を求めることはビッ
ト長を長く取れば離散対数問題に帰着して困難である。
従来例1と同様に、端末T1を排除する場合、まず、基
地局は乱数Rを生成し、鍵 K=gR mod p を生成するとともに、これより Z2=p2 R mod p,・・・,Z5=p5 R mod p を求めて、端末T1を除いた各T2〜T5に配送する。端
末T1以外の各端末iでは、受け取ったZiと秘密鍵di
を用いて、基地局と共通の更新鍵 K=Zi di mod p(=(pi R)di mod p=((gei)di)R mod
p=gR mod p) を獲得する。
【0008】この方法は、第1の従来例と異なり、基地
局が各端末の秘密鍵を知り得ないため、基地局の不正を
防止できる点で、第1の実施例より安全性が向上してい
る。
【0009】
【発明が解決しようとする課題】しかし、従来の鍵更新
方法では、N個の端末から1つの端末を排除するために
は、基地局は(N−1)回の暗号化を行ない、(N−
1)個のデータを送信しなくてはならない。例えば、10
00個の端末から1個の端末を排除して、残りの999個の
端末で新たな共通の秘密鍵を共有する場合を考える。こ
のとき、第1および第2の従来例では、999回の暗号化
の処理と999個の暗号文の送信を行なう必要がある。い
ずれにしても、基地局側にとって、これら作業は非常に
負担なものとなる。
【0010】また、一般に端末は、小型で安価に実現す
る必要性により、それほど計算能力が高くない。このよ
うな端末で、高速に鍵を更新する必要がある。第2の従
来例においては、端末は鍵を獲得するために、長いビッ
ト長のべき乗剰余演算が必要である。この演算を、計算
能力が高くない端末で実現するのは、かなりの負担であ
り、鍵更新までの処理時間が長くなる。
【0011】本発明は、かかる点に鑑み、特定の端末だ
けを排除して、他の端末で分配鍵情報を共有する方法で
あって、次の点を特徴とする鍵更新方法を実現すること
を目的とする。 (1)基地局から端末への通信量が少ない。
【0012】基地局における暗号処理の手間が少なく、
暗号文の送信量が少ない。
【0013】全局更新までの業務停止期間が短い。 (2)計算能力が高くない端末で高速に鍵更新が実現で
きる。
【0014】端末での処理が削減できる。
【0015】
【課題を解決するための手段】本発明では、上記の問題
を解決するために、鍵更新方法を、基地局において、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j;N
は端末数) を満たすniを生成して、第1の端末情報として基地局
に保管するとともに、各端末iに配布し、 ni<Ke<ni・nj を満たす(K,e)を任意に決定して、 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して、第2の端末情報として基地局に保管すると
ともに、各端末iに配布し、鍵更新時に、基地局が特定
した端末kの第1の端末情報nkと第2の端末情報X
kを、基地局から全端末に一斉通知し、端末kを除く全
ての端末iで、niとnkを用いて、 yi=1/nk mod ni,yk=1/ni mod nk (i≠
k) を満たす整数yi、ykを求め、前記整数yi、ykと、端
末iの端末情報Xiと、端末kの端末情報Xkとから、 Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk を計算し、秘密鍵eとKeから更新鍵Kを求めるという
構成とした。
【0016】このように構成したことにより、基地局か
ら全端末に同報通信をするだけで鍵更新ができるので、
鍵更新のための業務停止期間を短くできるとともに、端
末での処理が削減できるので、計算能力が高くない端末
で高速に鍵更新ができる。
【0017】
【発明の実施の形態】本発明の請求項1記載の発明は、
基地局と、前記基地局と接続されたN台(Nは2以上の
整数)の端末からなる通信システムにおいて、前記基地
局は、前記端末の第1の端末情報を格納する第1の基地
局側記憶部と、第2の端末情報を格納する第2の基地局
側記憶部を備え、前記端末は、前記第1の端末情報と前
記第2の端末情報を格納する端末情報格納部と、受信部
と、第1計算部と、第2計算部とを備え、第i番目(1
≦i≦N)の端末の第1の端末情報は、互いに素であ
る、すなわち、GCD(ni,nj)=1(1≦i,j≦
N;i≠j)となる整数niであり、第2の端末情報
は、秘密鍵eを整数として、ni<Ke<ni・nj(1≦
i,j≦N;i≠j)を満たすKを、更新鍵を生成する
ための情報とするとき、前記秘密鍵eをべきとし前記整
数niを法とするKのべき乗剰余値Xi=Ke modni
(GCD(Xi,ni)=1)であり、(1)前記基地局
において、鍵更新時に、前記基地局が特定した端末kの
第1の端末情報nkと第2の端末情報Xkを、前記基地局
側記憶部から取り出して全端末に一斉通知し、(2)全
ての端末iにおいて、前記受信部で、前記端末kの第1
の端末情報nkと第2の端末情報Xkを受信し、(3)端
末kを除く全ての端末iでは、前記第1の計算部におい
て、端末iと前記端末kの第1の端末情報niとnkを用
いて、yi=1/nk mod ni,yk=1/ni mod nk
(i≠k)となる整数yi、ykを求め、前記整数yi
kと、端末iの端末情報Xiと、端末kの端末情報Xk
とから、Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk
計算し、(4)端末kを除く全ての端末iでは、前記第
2の計算部において、前記秘密鍵eとKeから更新鍵K
を求める鍵更新方法であり、基地局から各端末に(nk,
k)を同報送信するのみで、端末k以外の端末で鍵更
新を可能とするという作用を有する。
【0018】本発明の請求項2記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる通信システムの鍵更新装置において、前
記基地局は、前記端末の第1の端末情報を格納する第1
の基地局側記憶手段と、第2の端末情報を格納する第2
の基地局側記憶手段を備え、前記端末は、前記第1の端
末情報と前記第2の端末情報を格納する端末情報格納手
段とを備え、第i番目(1≦i≦N)の端末の第1の端
末情報は、互いに素である、すなわち、GCD(ni,n
j)=1(1≦i,j≦N;i≠j)となる整数niであ
り、第2の端末情報は、秘密鍵eを整数として、ni
e<ni・nj を満たすKを、更新鍵を生成するための
情報とするとき、前記秘密鍵eをべきとし前記整数ni
を法とするKのべき乗剰余値Xi=Ke mod ni(GCD
(Xi,ni)=1)であり、(1)前記基地局は、鍵更
新時に、前記基地局が特定した端末kの第1の端末情報
kと第2の端末情報Xkを、前記基地局側記憶手段から
取り出して全端末に一斉通知する手段を備え、(2)全
ての端末iは、前記端末kの第1の端末情報nkと第2
の端末情報Xkを受信する受信手段を備え、(3)端末
kを除く全ての端末iでは、前記第1の計算部におい
て、端末iと前記端末kの第1の端末情報niとnkを用
いて、yi=1/nk mod ni,yk=1/ni mod nk(i
≠k)を満たす整数yi、ykを求め、前記整数yi、yk
と、端末iの端末情報Xiと、端末kの端末情報Xkとか
ら、Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk を計算
する第1の計算手段を備え、(4)端末kを除く全ての
端末iでは前記秘密鍵eとKeから更新鍵Kを求める第
2の計算手段を備える鍵更新装置であり、基地局から各
端末に(nk,Xk)を同報送信するのみで、端末k以外
の端末で鍵更新を可能とするという作用を有する。
【0019】本発明の請求項3記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる通信システムにおいて、前記基地局は、
前記端末の第1の端末情報を格納する第1の基地局側記
憶部と、第2の端末情報を格納する第2の基地局側記憶
部を備え、前記端末は、前記第1の端末情報と前記第2
の端末情報を格納する端末情報格納部と、受信部と、第
1計算部と、第2計算部とを備え、第i番目(1≦i≦
N)の端末の第1の端末情報は、互いに素である、すな
わち、GCD(ni,nj)=1(1≦i,j≦N;i≠
j)となる整数niであり、第2の端末情報は、秘密鍵
eを整数として、任意の整数s(1≦s<N)に対し
て、ni<Ke<(niの最大値)s+1 を満たすKを、更新
鍵を生成するための情報とするとき、前記秘密鍵eをべ
きとし前記整数niを法とするKのべき乗剰余値Xi=K
e mod ni(GCD(Xi,ni)=1)であり、(1)前
記基地局において、鍵更新時に、前記基地局が特定した
端末k1〜ksの第1の端末情報nk1〜nksと第2の端末
情報Xk1〜Xksを、前記基地局側記憶部から取り出して
全端末に一斉通知し、(2)全ての端末iにおいて、前
記受信部で、前記端末k1〜ksの第1の端末情報nk1
ksと第2の端末情報Xk1〜Xksを受信し、(3)端末
1〜ksを除く全ての端末iでは、前記第1の計算部に
おいて、端末iの端末情報niと前記端末k1〜ksの第
1の端末情報nk1〜nksを用いて、Mi=M/ni,Mk1
=M/nk1,・・・,Mks=M/nks(M=ni・nk1・...・
ks;i≠k1〜ks)を求め、yi=1/Mi mod ni
k1=1/Mk1 mod nk1,・・・,yks=1/Mks mod n
ks を満たす整数yi、yk1〜yksを求め、前記整数
i、Mk1〜Mksとyi、yk1〜yks、端末iの端末情報
iと、端末k1〜ksの端末情報Xk1〜Xksを用いて、
e=Xi・Mi・yi+Xk1・Mk1・yk1+...+Xks・Mks
ksmod Mを計算し、(4)端末k1〜ksを除く全ての
端末iでは、前記第2の計算部において、前記秘密鍵e
とKeから更新鍵Kを求める鍵更新方法であり、基地局
から各端末に(nk1〜nks)と(Xk1〜Xks)を同報送
信するのみで、複数の端末を除外して鍵更新を行なうこ
とを可能とするという作用を有する。
【0020】本発明の請求項4記載の発明は、基地局
と、前記基地局と接続されたN台(Nは2以上の整数)
の端末からなる通信システムにおいて、前記基地局は、
前記端末の第1の端末情報を格納する第1の基地局側記
憶部と、第2の端末情報を格納する第2の基地局側記憶
部を備え、前記端末は、前記第1の端末情報と前記第2
の端末情報を格納する端末情報格納部と、受信部と、第
1計算部と、第2計算部とを備え、第i番目(1≦i≦
N)の端末の第1の端末情報は、互いに素である、すな
わち、GCD(ni,nj)=1(1≦i,j≦N;i≠
j)となる整数niであり、第2の端末情報は、秘密鍵
eを整数として、任意の整数s(1≦s<N)に対し
て、ni<Ke<(niの最大値)s+1 を満たすKを、更新
鍵を生成するための情報とするとき、前記秘密鍵eをべ
きとし前記整数niを法とするKのべき乗剰余値Xi=K
e mod ni(GCD(Xi,ni)=1)であり、任意の整
数t(1≦t≦s)に対して、(1)前記基地局におい
て、鍵更新時に、前記基地局が特定した端末k1〜kt
第1の端末情報nk1〜nktと第2の端末情報Xk1〜Xkt
を、前記基地局側記憶部から取り出して全端末に一斉通
知し、(2)前記基地局において、鍵更新時に、f(1
≦f<s−t)個の第1の端末情報nr1〜nrfと、f個
の第2の端末情報Xr1〜Xrfを生成して全端末に一斉通
知し、(3)全ての端末iにおいて、前記受信部で、前
記端末k1〜ksの第1の端末情報nk1〜nksと第2の端
末情報Xk1〜Xksと前記第1の端末情報nr1〜nrfと前
記第2の端末情報Xr1〜Xrfを受信し、(4)端末k1
〜ktを除く全ての端末iでは、前記第1の計算部にお
いて、端末iの第1端末情報niと前記端末k1〜ks
第1端末情報nk1〜nksおよび前記第1の端末情報nr1
〜nrfと前記第2の端末情報Xr1〜Xrfを用いて、Mi
=M/ni,Mk1=M/nk1,・・・,Mkt=M/nkt,M
r1=M/nr1,・・・,Mrf=M/nrf(M=ni・n
k1・...・nkt・nr1・...・nrf;i≠k1〜ks≠r1
f)を求め、yi=1/Mi mod ni,yk1=1/Mk1 m
od nk1,・・・,ykt=1/Mkt mod nkt,yr1=1/M
r1 mod nr1,・・・,yrf=1/Mrf mod nrf を満たす整
数yi、yk1〜yksを求め、前記整数Mi、Mk1〜Mkt
r1〜Mrfとyi、yk1〜ykt、yr1〜yrf端末iの端
末情報Xiと、端末k1〜ksの端末情報Xk1〜Xksと前
記端末情報Xr1〜Xrfを用いて、Ke=Xi・Mi・yi+X
k1・Mk1・yk1+...+Xkt・Mkt・ykt+Xr1・Mr1・yr1
+...+Xrf・Mrf・yrf mod M を計算し、(4)端末
1〜ktを除く全ての端末iでは、前記第2の計算部に
おいて、前記秘密鍵eとKeから更新鍵Kを求める鍵更
新方法であり、基地局から各端末に(nk1〜nks)と
(Xk1〜Xks)を同報送信するのみで、複数の端末を除
外して鍵更新を行なうことを可能とするという作用を有
する。
【0021】本発明の請求項5記載の発明は、請求項1
記載の鍵更新方法において、前記基地局が、鍵更新時に
前記各端末の第1の端末情報と互いに素である、GCD
(n,ni)=1(1≦i≦N)を満たす整数nと、前記
秘密鍵eをべきとし前記整数nを法とするKのべき乗剰
余値X=Ke mod n(GCD(X,n)=1)を一斉通知
し、前記任意の端末iでは、前記第1の計算部におい
て、端末iの第1の端末情報niと前記整数nを用い
て、yi=1/n mod ni,y=1/ni mod n を満たす
整数yi、yを求め、前記整数yi、yと、端末iの端末
情報Xiと、前記Xとから、Ke=Xi・yi・n+X・y・n
i mod ni・n を計算し、次に前記第2の計算部におい
て、前記秘密鍵eとKeから更新鍵Kを求めるものであ
り、基地局から各端末に(n,X)を同報送信するのみ
で、全端末で鍵更新を可能とするという作用を有する。
【0022】本発明の請求項6記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記整数n
を基地局が生成した素数pとqの積とするものであり、
暗号解読を困難にするという作用を有する。
【0023】本発明の請求項7記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記端末の
第1の計算部で、拡張ユークリッド互除法を用いて前記
整数yi、ykを求めるものであり、高速に計算するとい
う作用を有する。
【0024】本発明の請求項8記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記端末の
第2の計算部で、Newton-Raphson法を用いて前記整数K
を求めるものであり、高速に計算するという作用を有す
る。
【0025】本発明の請求項9記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記第1の
端末情報を、前記基地局が作成し、あらかじめ基地局と
端末に備えられた暗号通信手段により、対応する端末に
配布するものであり、安全に第1の端末情報を配布する
という作用を有する。
【0026】本発明の請求項10記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記基地局
が任意の秘密の整数Kとeを生成して、前記第1の基地
局側記憶部に格納している各端末iの第1の端末情報n
iを用いて第2の端末情報Xiを計算し、これを鍵更新の
前に対応する各端末に配布するものであり、端末情報の
配布の安全性を高めるという作用を有する。
【0027】本発明の請求項11記載の発明は、請求項
3、4記載の鍵更新方法において、更新鍵を生成するた
めの前記情報Kが、(niの最大値)s<Ke<(niの最大
値)s+1を満たすものであり、基地局が特定した複数の端
末が各端末の端末情報を集めたとしても整数Kを求める
ことができないようにするという作用を有する。
【0028】本発明の請求項12記載の発明は、請求項
1、4、5記載の鍵更新方法において、前記鍵更新を連
続して行なう場合において、第i回目の鍵更新で特定の
端末kの端末情報を一斉通話した後には、第(i+1)
回目の鍵更新の前に、基地局は前記端末kの第1の端末
情報を用いた第2の端末情報を計算せず、また端末kに
は配布しないものであり、不必要な計算と通信を省略す
るという作用を有する。
【0029】本発明の請求項13記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、基地局が、
新規加入の端末jに対して端末jの第2の端末情報と、
鍵更新時に一斉通話した特定端末iの第1、第2の端末
情報を通知し、端末jでは前記第1、第2の計算部を備
えて前記更新鍵Kを求めるものであり、新規加入の端末
に対して更新鍵を配布するという作用を有する。
【0030】本発明の請求項14記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記基地局
の第1、第2の基地局側記憶部および前記端末の第1、
第2の端末情報格納部は、外部より観測したり変更でき
ない領域とするものであり、基地局、端末からの鍵、準
備情報の盗難を防ぐという作用を有する。
【0031】本発明の請求項15記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記整数e
を基地局の秘密の整数とし、鍵更新時に前記基地局が送
信する端末情報に加えて整数eを一斉通知するものであ
り、正規端末同士の鍵更新前の結託防止をして安全性を
強化するという作用を有する。
【0032】本発明の請求項16記載の発明は、請求項
1、3、4、5記載の鍵更新方法において、前記鍵Kに
バージョン番号を付加し、基地局はバージョン番号が一
致していない端末jに、端末jの第2の端末情報と、鍵
更新時に一斉通話した特定端末iの第1および第2の端
末情報を対応する端末に通知し、端末jでは前記第1、
第2の計算部において、相当するバージョンの鍵Kを求
めるものであり、バージョン管理により、更新に失敗し
た端末のフォローを可能にするという作用を有する。
【0033】本発明の請求項17記載の発明は、請求項9
記載の鍵更新方法の、前記基地局と各端末にあらかじめ
備えられた暗号通信手段において、基地局のディジタル
署名を付加するものであり、端末による基地局の認証、
nの改ざん検知により、安全性を強化するという作用を
有する。
【0034】以下、本発明の実施の形態を、図1〜図8
を参照して、詳細に説明する。
【0035】(第1の実施の形態)本発明の第1の実施の
形態は、基地局と5つの端末のシステムにおいて、基地
局では、 GCD(ni,nj)=1 (1≦i,j≦5;i≠j) となる第1の端末情報ni(=pi・qi;pi,qiは素
数)を基地局と対応する各端末iの間で秘密に共有し、
基地局は ni<Ke<ni・nj (1≦i,j≦N;i≠j) を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して基地局に保管するとともに、各端末1〜5に
配布し、鍵更新時に、排除する端末1の端末情報(n1,
1)を、基地局から端末2〜5に一斉通知し、端末2
〜5で(ni,n1)を用いて、 yi=1/n1 mod ni,y1=1/ni mod n1 (2≦i
≦5) を満たす整数yi、y1を求め、前記整数yi、y1と、端
末iの端末情報Xiと、端末1の準備情報X1とから、 Ke=Xi・yi・n1+X1・y1・ni mod ni・n1 を計算し、秘密鍵eとKeから更新鍵Kを求める鍵更新
方法である。
【0036】本発明の第1の実施の形態の鍵更新方法
は、システムセットアップ、準備フェーズ、鍵更新の3
つのフェーズに分けられる。以下、基地局が5つの端末
を管理している場合について、各フェ−ズに分けて説明
する。
【0037】図1は、本発明の第1の実施の形態の鍵更
新方法のセットアップを示している。図1において、1
は基地局、2〜6は、基地局の管理下にある端末であ
る。7〜11は、各端末内の、外部より観測も変更もでき
ない記憶部である。
【0038】各端末T1,T2,T3,T4,T5は、第1
の端末情報n1,n2,n3、n4,n5を、それぞれこの
領域に秘密に保持している。第1の端末情報は、任意の
iとnj(i,j=1〜5)の最大公約数GCD(ni,
j)が1であるよう、互いに素に定める。
【0039】一方、基地局は、各端末の第1の端末情報
1〜n5を、外部より観測も変更もできない記憶部12に
秘密に保管している。
【0040】図2は、本発明の第1の実施の形態の準備
フェーズを示している。まず、基地局1は、素数pi
iを定め、これらの積ni(=pi・qi)を決定する。
そして、鍵Kと秘密鍵eを、すべての端末の第1の端末
情報において、 GCD(Ke mod ni,ni)=1 および、 ni<Ke<ni・nj (1≦i,j≦5;i≠j) を満たすように決定する。ただし、法niが素数pi、q
iの積であるため、GCD(Ke mod ni,ni)=1が満
たされる確率は、1−(1/pi+1/qi)となり、素
数pi、qiをRSA暗号のように10進100桁程度に十分
に大きくとると、ほとんど上記条件を満たす。
【0041】次に、基地局1は、端末T1の第1の端末
情報n1を法とし、前記eをべきとする鍵Kのべき乗剰
余値X1を求める。これを第2の端末情報と称し、式で
表すと X1=Ke mod n1 (GCD(Xi,ni)=1) となる。ここで、mod n1 は、n1で除したときの剰余を
示す記号である。基地局1は同様に、端末T2〜T5の第
2の端末情報X2〜X5を求め、これらを記憶部12に記憶
するとともに、対応する端末に配布する。端末は、これ
をそれぞれ記憶部7〜11に記憶する。基地局1により、
第2の端末情報を求めて配布する準備フェーズの作業
は、各端末ごとであり時間がかかるが、基地局1はもと
もと計算パワーが大きく、また、前の鍵更新と次の鍵更
新の間の、時間が空いたときにすればよいので問題はな
い。
【0042】図3は、端末T1を排除する場合の鍵更新
フェーズを示している。基地局1は、記憶部12から、排
除する端末T1の第1、第2の端末情報n1、X1および
秘密の整数eを各端末に一斉通知する。このとき、端末
2では、保持している第1、第2の端末情報を用い
て、次の計算を行ない、鍵Kを求める。 (1)端末T1および端末T2の第1の端末情報n1、n2
を用いて、 y1=1/n2 mod n1,y2=1/n1 mod n2 を満たす整数y1、y2を求め、前記整数y1、y2と、端
末2の端末情報X2と、端末1の端末情報X1とから、 Ke=X2・y2・n1+X1・y1・n2 mod n1・n2 を計算する。整数y1、y2は、n1、n2が互いに素であ
るので必ず存在し、拡張ユークリッド互除法により、計
算パワーがそれほどない端末であっても、多項式時間で
求めることができる。 (2)整数eとKeからNewton-Raphson法を用いて更新
鍵Kを求める。
【0043】以上の計算は、端末T3〜T5でも同様に行
なうことができ、結果として、T2〜T5で共通の鍵Kを
共有することができる。
【0044】一方、端末T1においては、基地局から一
斉通知された情報と保持している端末情報が同じである
ために、上記(1)でのy1、y2の算出ができない。そ
のため、鍵Kを共有することができない。
【0045】図4に、以上の処理を行なうための、各端
末の構成について示している。図4において、20は、第
1の端末情報を格納する第1の端末情報格納部、21は、
準備フェーズで基地局1から配送された第2の端末情報
を格納する第2の端末情報格納部である。また、22は、
鍵更新フェーズで基地局1から配布される情報を受信す
る一斉通知受信部、23は、上記(1)の計算を行なう第
1の計算部である。第1の計算部23で、基地局1から配
布される第1の端末情報njと、第1の端末情報格納部
の格納値niを用い、上記整数yi、yjを求める。24
は、鍵更新フェーズでの上記(2)の計算を行なう第2
の計算部であり、ここで、第1の計算部の出力Keと秘
密鍵eを用い、上記(2)の計算を行ない、鍵Kを求め
る。
【0046】図5には、基地局の構成を示している。25
は、全端末の第1の端末情報を格納する第1の端末情報
格納部、26は、秘密鍵eと鍵Kおよびpi、qiとその積
iを生成する鍵生成部である。27は、鍵生成部の出力
値と、各端末の第1の端末情報を用いて、第2の端末情
報を生成する端末情報生成部である。第2の端末情報X
iは、各端末の第1の端末情報niを法とし、eをべきと
する鍵Kのべき乗剰余値として計算され、28の第2の端
末情報格納部に格納される。
【0047】29は、排除する端末を指定する排除端末指
定部、30は、排除端末指定部の指定により、鍵更新フェ
ーズにおける、排除端末Tjの第1、第2の端末情報
j、Xjを、端末情報格納部25、28から選択して、前記
秘密鍵eとあわせて、同報で全端末に通知する同報通知
部である。
【0048】次に、第1の実施の形態における安全性の
説明を行なう。 (1)すべての端末は、準備フェーズでは、鍵Kを求め
ることは困難である。準備フェーズで、例えば端末T1
が保持する情報は、以下の2つである。 ・第1の端末情報:n1 ・第2の端末情報:X1=Ke mod n1 これらの情報はそれぞれ、RSA暗号の法、暗号文に対
応すると考えることができる。そのため、Kとnを十分
に大きくとっておけば、RSA暗号に帰着して、これら
からKを求めることが困難となる。なお秘密鍵eは、準
備フェーズで各端末に公開してもよいが、鍵更新フェー
ズで初めて明らかにすると、鍵更新前に正規端末同士の
結託により鍵Kが解読される危険を防止できるので、よ
り安全であると考えられる。ここで秘密鍵eを小さな固
定値とすることにより、端末の計算量を少なくすること
ができ、例えば、RSA暗号において最小とされている
e=3を用いることができる。また、第1の端末情報
は、総当たり攻撃に対抗できる程度の大きな数にとって
おくことが必要である。 (2)排除される端末T1は、鍵更新フェーズにおいて
も、鍵Kを求めることは困難である。鍵更新フェーズで
排除される端末T1が保持する情報は、上記(1)に追
加して、秘密鍵eだけである。そのため、 X1=Ke mod n1 を解いてKを求めることは、Kとnを十分に大きくとっ
ておけば、RSA暗号に帰着して、これらからKを求め
ることが困難となる。
【0049】図6は、以上の方法により、定期的な鍵更
新を行なう場合の鍵更新時の構成を示す。基地局は、す
べての端末の第1の端末情報と互いに素となるnを求
め、 X=Ke mod n を計算する。そして、このn、Xと秘密鍵eを全端末に
一斉通知する。このとき、端末T1では、保持している
第1、第2の端末情報n1、X1を用いて次の計算を行な
い、鍵Kを求める。 (1)端末T1の第1の端末情報n1と配布されたnを用
いて、 y1=1/n mod n1,y=1/n1 mod n を満たす整数y1、yを求める。整数y1、yはn1、n
が互いに素であるので必ず存在し、拡張ユークリッド互
除法により、計算パワーがそれほどない端末であって
も、多項式時間で求めることができる。整数y1、y
と、端末T1の第1の端末情報n1、第2の端末情報X1
と、配布されたXおよび整数nを用いて、 Ke=X・y・n1+X1・y1・n mod n1・n を計算する。整数y1、yは、n1、nが互いに素である
ので必ず存在し、拡張ユークリッド互除法により、計算
パワーがそれほどない端末であっても、多項式時間で求
めることができる。ここでKeは、 Ke<n1・n を満たしているので、mod n1・n を無視することができ
る。 (2)端末T1および端末T2の第2の端末情報X1、X2
および整数eとKeから、Newton-Raphson法を用いて更
新鍵Kを求める。
【0050】以上の計算は、端末T2〜T5でも同様に行
なうことができ、結果としてすべての端末で共通の鍵K
を共有することができる。各端末は、特定の端末を排除
する場合も、鍵の定期更新でも、同じ手続きを行ない、
端末での処理が簡素化される。また、端末において、鍵
更新の原因がわからないために、システム全体での安全
性が向上する。
【0051】また、端末T1を排除して鍵更新した後の
準備フェーズでは、引き続き端末T1を排除することが
可能である。これは、例えば5つの端末で共通の秘密鍵
を共有してグループ内の暗号通信を行なっている際に、
まず端末T1が盗難にあい、これに対応して残りの4端
末で新たな共通の秘密鍵を共有する。次に、さらに端末
2も盗難にあい、端末T1、T2両方とも排除して、次
の共通の鍵を共有する必要が生じる、といったシナリオ
である。
【0052】このためには、端末T1排除後の準備フェ
ーズにおいて、基地局1は、端末T1の第2の端末情報
を求めない。次の鍵更新フェーズで、端末T1は、自身
の第2の端末情報を保持しないために、新しい鍵を求め
ることはできない。ただし、勿論この準備フェーズで、
基地局が端末T1の第2の端末情報を求めて、端末T1
配布すると、次の鍵更新フェーズで再び端末T1を含め
て新しい鍵を更新し、端末T2だけを排除することも可
能となる。
【0053】第1の実施の形態では、各端末の第2の端
末情報は、基地局が生成して準備フェーズで各端末に配
送するとしたが、これは別の組織が生成して基地局と端
末に配送してもよい。配布はせずに、あらかじめ複数蓄
積しておいたものを、順次鍵更新に使用してもよい。
【0054】なお、前記暗号通信手段は秘密鍵暗号を用
いたものでも公開鍵暗号を用いたものでもよい。ただ
し、公開鍵暗号を用いたほうが、基地局1が各端末の公
開鍵だけを保持するため、基地局1の不正に対して安全
性が強化される。基地局と各端末の間に備えられた暗号
通信手段に、基地局のディジタル署名を付加すれば、端
末による基地局の認証ができるし、第三者によるnの改
ざん攻撃を検知することができ、安全性が強化される。
【0055】また、鍵Kにバージョン番号を付加し、基
地局はバージョン番号が一致していない端末jに、端末
jの第2の端末情報と、鍵更新時に一斉通話した特定端
末iの第1および第2の端末情報を対応する端末に通知
し、端末jでは第1、第2の計算部において、相当する
バージョンの鍵Kを求めるようにすれば、バージョン管
理により、更新に失敗した端末のフォローが可能にな
る。
【0056】上記のように、本発明の第1の実施の形態
によれば、鍵更新方法を、基地局と複数の端末のシステ
ムにおいて、基地局では、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる第1の端末情報niを生成して基地局に保管する
とともに、各端末に配布し、 ni<Ke<ni・nj を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して基地局に保管するとともに、各端末に配布
し、鍵更新時に、排除する端末1の端末情報(n1,
1)を、基地局から各端末に一斉通知し、各端末で
(ni,n1)を用いて、 yi=1/n1 mod ni,y1=1/ni mod n1 を満たす整数yi、y1を求め、前記整数yi、y1と、通
知されたX1と、端末iの準備情報Xiとから、 Ke=Xi・yi・n1+X1・y1・ni mod ni・n1 を計算し、整数eとKeからNewton-Raphson法を用いて
更新鍵Kを求める構成としたので、基地局から各端末に
(n1,X1)を同報するのみで、1つの端末を排除し
て、残りの端末で新しい鍵を更新して共有することがで
きる。
【0057】(第2の実旋の形態)本発明の第2の実施
の形態は、基地局と5つの端末のシステムにおいて、基
地局では、 GCD(ni,nj)=1 (1≦i,j≦5;i≠j) となる第1の端末情報niを生成して基地局に保管する
とともに、各端末T1〜T5に配布し、排除する盗難局の
台数を2台として (niの最大値)2<Ke<(niの最大値)3 を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して基地局に保管するとともに、各端末T1〜T5
に配布し、鍵更新時に、排除する端末T1と端末T2の端
末情報(n1,X1)、(n2,X2)を、基地局から全端末
に一斉通知し、端末T3〜T5で(ni,Xi)と通知され
た(n1,X1)、(n2,X2)を用いて、 Mi=M/ni, M1=M/n1, M2=M/n2 (M=ni・n1・n2;i≠1,2) を求め、 yi=1/Mi mod ni, y1=1/M1 mod n1, y2=1/M2 mod n2 を満たす整数yi、y1、y2を求め、前記整数Mi
1、M2とyi、y1、y2、端末iの準備情報Xiと、端
末T1、T2の準備情報X1、X2を用いて、 Ke=Xi・Mi・yi+X1・M1・y1+X2・M2・y2 mod M を計算し、秘密鍵eとKeから更新鍵Kを求めることに
より、2つの端末を同時に排除できる鍵更新方法であ
る。Keの生成時に盗難局の台数を予め設定することに
より何台でも排除することができる。例えば、一台排除
用のXi1からt台排除用のXitを予め基地局と端末の間
で共有しておけば、t台までの排除を自由に行なうこと
ができる。また、盗難局同士の結託が起こり得ないよう
なシステムにおいては、Keの範囲を、 ni<Ke<(niの最大値)3 としても良く、Keのとりうる範囲を大きくすることが
できる。
【0058】第2の実施の形態のシステムセットアップ
および準備フェーズは第1の実施の形態と同じである。
【0059】図7は、端末T1と端末T2を排除する場合
を示している。基地局1は、記憶している端末T1の第
1、第2の端末情報n1、X1および秘密の整数e、さら
に端末T2の第1、第2の端末情報n2、X2を一斉通知
する。このとき、端末T3では、保持している第1、第
2の端末情報を用いて、 (1)端末T3で保持している(n3,X3)と通知された
(n1,X1)、(e2,X2)を用いて、 M1=M/n1, M2=M/n2, M3=M/n3 (M=n1・n2・n3) を求め、 y1=1/M1 mod n1, y2=1/M2 mod n2, y3=1/M3 mod n3 を満たす整数y1、y2、y3を求める。整数y1、y2
3は、n1、n2、n3が互いに素であるので必ず存在
し、拡張ユークリッド互除法により、計算パワーがそれ
ほどない端末であっても、多項式時間で求めることがで
きる。前記整数M1、M2、M3とy1、y2、y3、端末T
3の第2の端末情報X3と、端末T1、T2の第2の端末情
報X1、X2を用いて、 Ke=X1・M1・y1+X2・M2・y2+X3・M3・y3 mod M を計算する。
【0060】(2)上記のKeと秘密鍵eからNewton-Ra
phson法を用いて更新鍵Kを求めることができる。
【0061】以上の計算は、残りの端末T4、T5でも同
様に行なうことができ、結果として、端末T3〜T5が鍵
Kを求めることができる。一方、端末T1、端末T2は鍵
K求めることができない。そのため端末T1と端末T2
同時に排除して、残りの端末で更新鍵を共有することが
できる。
【0062】図8は、2つの端末を同時に排除する第2
の実施の形態において、1つの端末だけを排除する場合
を示している。
【0063】基地局1は、すべての端末の第1の端末情
報niと互いに素となるnを求め、 X=Ke mod n を計算する。端末T1だけを排除する場合、基地局は、
記憶している端末T1の第1、第2の端末情報n1とX1
とeおよび、前記Xとnを全端末に一斉通知する。
【0064】端末T2では、保持している第1、第2の
端末情報を用いて、 M =M/n, M1=M/n1, M2=M/n2 (M=n・n1・n2) を求め、 y =1/M mod n, y1=1/M1 mod n1, y2=1/M2 mod n2 を満たす整数y、y1、y2を求め、前記整数M、M1
2とy、y1、y2、端末T2の第2の端末情報X2と、
通知されたX1、Xを用いて、 Ke=X・M・y+X1・M1・y1+X2・M2・y2 mod M を計算し、秘密鍵eとKeから更新鍵Kを求める。以上
の計算は、残りの端末T3〜T5でも同様に行なうことが
でき、結果として、端末T2〜T5が鍵Kを求めることが
できる。一方端末T1は鍵Kを求めることができない。
そのため残りの端末で共通の更新鍵を共有することがで
きる。
【0065】このようにして、端末T1だけを排除し
て、残りの端末で共通の更新鍵を共有することができ
る。Keの生成時に盗難局の台数を予め設定することに
より何台でも排除することができる。例えば、t台排除
用のXitを予め基地局と端末の間で共有し、盗難局数が
判明した時点で必要なだけ互いに素となる(X,n),
(X',n')・・・を生成して配送すれば、t台までの
排除を自由に行なうことができる。
【0066】第1の実施の形態の場合と同様に、第2の
実施の形態においても、 GCD(n,ni)=1 (i=1〜5) を用いて、更新鍵の定期更新を行なうことが可能であ
る。
【0067】また、以上の説明では特定の端末を排除す
る場合について述べたが、秘密の第1の端末情報n6
保持する新しい端末T6が追加された場合には、この端
末に第2の端末情報X6を配布することにより、端末の
追加と排除を同時に行なうことができる。つまり、端末
6は、自身の第2の端末情報X6と排除端末の第1、第
2の端末情報および秘密鍵eより更新鍵を計算すること
ができる。勿論、基地局が最新の更新鍵Kを、新規端末
の第1の端末情報n6を用いて暗号化し、その結果En6
(K)を端末T6に配布してもよい。
【0068】上記のように、本発明の第2の実施の形態
によれば、鍵更新方法を、基地局と5つの端末のシステ
ムにおいて、基地局では、 GCD(ni,nj)=1 (1≦i,j≦5;i≠j) となる第1の端末情報niを生成して基地局に保管する
とともに、各端末T1〜T5に配布し、排除する盗難局の
台数を2台として (niの最大値)2<Ke<(niの最大値)3 を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して基地局に保管するとともに、各端末T1〜T5
に配布し、鍵更新時に、排除する端末T1と端末T2の端
末情報(n1,X1)、(n2,X2)を、基地局から全端末
に一斉通知し、端末T3〜T5で(ni,Xi)と通知され
た(n1,X1)、(n2,X2)を用いて、 Mi=M/ni, M1=M/n1, M2=M/n2 (M=ni・n1・n2;i≠1,2) を求め、 yi=1/Mi mod ni, y1=1/M1 mod n1, y2=1/M2 mod n2 を満たす整数yi、y1、y2を求め、前記整数Mi
1、M2とyi、y1、y2、端末iの端末情報Xiと、端
末T1、T2の準備情報X1、X2を用いて、 Ke=Xi・Mi・yi+X1・M1・y1+X2・M2・y2 mod M を計算し、秘密鍵eとKeから更新鍵Kを求めることに
より、2つの端末を同時に排除する構成としたので、基
地局から各端末に(n1,X1)と(n2,X2)を同報する
だけで、2つ端末を同時に排除できる。また、この方法
を拡張することにより、3台以上の端末を排除すること
もできるし、さらに、所定数以下の任意の台数の端末を
排除するようにもできる。
【0069】
【発明の効果】以上説明したように、本発明では、鍵更
新方法を、基地局において、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる第1の端末情報ni(=pi・qi;pi,qiは素
数)を基地局と対応する各端末iの間で秘密に共有し、
基地局は ni<Ke<ni・nj (1≦i,j≦N;i≠j) を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,ni)=1) を計算して基地局に保管するとともに、各端末1〜Nに
配布し、鍵更新時に、基地局が特定した端末kの端末情
報(nk,Xk)を、基地局から端末1〜Nに一斉通知
し、端末k以外の端末で(ni,nk)を用いて、 yi=1/nk mod ni,yk=1/ni mod nk (i≠
k) を満たす整数yi、ykを求め、前記整数yi、ykと、端
末iの端末情報Xiと、端末kの端末情報Xkとから、 Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk を計算し、秘密鍵eとKeから更新鍵Kを求めるという
構成としたので、基地局から全端末に(nk,Xk)を同
報通信するだけで、1個の端末を排除して残りの端末で
同じ更新鍵を獲得でき、鍵更新のための業務停止期間を
短くできるという効果が得られる。
【0070】また、鍵更新方法を、基地局が鍵更新時に
各端末の第1の端末情報と互いに素である GCD(n,ni)=1 (1≦i≦N) を満たす整数nと、 X=Ke mod n (GCD(Xi,n)=1) を各端末に一斉通知し、端末iでは、(ni,n)を用い
て、 yi=1/n mod ni,y=1/ni mod n (1≦i≦
N) を満たす整数yi、yを求め、前記整数yi、yと、端末
iの準備情報Xiと、通知されたXkとから、 Ke=Xi・yi・nk+X・y・ni mod ni・n を計算し、秘密鍵eとKeから更新鍵Kを求めるという
構成としたので、すべての端末が更新鍵を獲得できる定
期更新にも使用することができ、基地局は特定端末を排
除する場合も定期更新時も意識する必要がなく、処理の
簡素化と安全性の向上が実現できるという効果が得られ
る。
【0071】また、鍵更新方法を、基地局では、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる第1の端末情報niを生成して基地局に保管する
とともに、各端末1〜Nに配布し、排除する盗難局の台
数を2台として (niの最大値)2<Ke<(niの最大値)3 を満たす鍵Kと秘密鍵eを任意に決定して、第2の端末
情報 Xi=Ke mod ni (GCD(Xi,n)=1) を計算して基地局に保管するとともに、各端末1〜Nに
配布し、鍵更新時に、基地局が特定した端末kと端末m
の端末情報(nk,Xk)、(nm,Xm)を、基地局から全
端末に一斉通知し、端末k、m以外の端末で(ni,
i)と通知された(nk,Xk)、(nm,Xm)を用い
て、 Mi=M/ni, Mk=M/nk, Mm=M/nm (M=ni・nk・nm;i≠k,m)、 yi=1/Mi mod ni, yk=1/Mk mod nk, ym=1/Mm mod nm を満たす整数yi、yk、ymを求め、前記整数Mi
k、Mmとyi、yk、ym、端末iの端末情報Xiと、端
末k、mの端末情報Xk、Xmを用いて、 Ke=Xi・Mi・yi+Xk・Mk・yk+Xm・Mm・ym mod M を計算し、秘密鍵eとKeから更新鍵Kを求めることに
より、2つの端末を同時に排除できるするという構成と
したので、基地局から全端末に(nk,Xk)と(nm,
m)を同報通信するだけで、2個の端末を同時に排除
できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態の鍵更新方法におけ
るセットアップを示す図、
【図2】第1の実施の形態の鍵更新方法における準備フ
ェーズを示す図、
【図3】第1の実施の形態の鍵更新方法において、端末
1を排除する鍵更新フェーズを示す図、
【図4】第1の実施の形態の鍵更新方法における各端末
の構成を示す図、
【図5】第1の実施の形態の鍵更新方法における基地局
側の構成を示す図、
【図6】第1の実施の形態の鍵更新方法において、定期
更新の場合の鍵更新フェーズを示す図、
【図7】第2の実施の形態の鍵更新方法において、特定
の端末T1、T2を同時に排除する場合の鍵更新フェーズ
を示す図、
【図8】第2の実施の形態において特定の端末T1だけ
を排除する場合の鍵更新フェーズを示す図、
【図9】第1の従来例における鍵更新方式を示す図、
【図10】第2の従来例における鍵更新方式を示す図で
ある。
【符号の説明】
1 基地局 2〜6 端末T1〜T5 7〜11 端末内の記憶部 12 基地局内の記憶部 20 第1の端末情報格納部 21 第2の端末情報格納部 22 一斉通知受信部 23 第1の計算部 24 第2の計算部 25 第1の端末情報格納部(基地局) 26 鍵K,p,q,n生成部 27 第2の端末情報計算部 28 第2の端末情報格納部(基地局) 29 排除端末指定部 30 同報通知部

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる通信システムにお
    いて、前記基地局は、前記端末の第1の端末情報を格納
    する第1の基地局側記憶部と、第2の端末情報を格納す
    る第2の基地局側記憶部を備え、前記端末は、前記第1
    の端末情報と前記第2の端末情報を格納する端末情報格
    納部と、受信部と、第1計算部と、第2計算部とを備
    え、第i番目(1≦i≦N)の端末の第1の端末情報
    は、互いに素である、すなわち、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる整数niであり、第2の端末情報は、秘密鍵eを
    整数として、 ni<Ke<ni・nj (1≦i,j≦N;i≠j) を満たすKを、更新鍵を生成するための情報とすると
    き、前記秘密鍵eをべきとし前記整数niを法とするK
    のべき乗剰余値 Xi=Ke mod ni (GCD(Xi,ni)=1) であり、(1)前記基地局において、鍵更新時に、前記
    基地局が特定した端末kの第1の端末情報nkと第2の
    端末情報Xkを、前記基地局側記憶部から取り出して全
    端末に一斉通知し、(2)全ての端末iにおいて、前記
    受信部で、前記端末kの第1の端末情報nkと第2の端
    末情報Xkを受信し、(3)端末kを除く全ての端末i
    では、前記第1の計算部において、端末iと前記端末k
    の第1の端末情報niとnkを用いて yi=1/nk mod ni,yk=1/ni mod nk (i≠
    k) となる整数yi、ykを求め、前記整数yi、ykと、端末
    iの端末情報Xiと、端末kの端末情報Xkとから、 Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk を計算し、(4)端末kを除く全ての端末iでは、前記
    第2の計算部において、前記秘密鍵eとKeから更新鍵
    Kを求めることを特徴とする鍵更新方法。
  2. 【請求項2】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる通信システムの鍵
    更新装置において、前記基地局は、前記端末の第1の端
    末情報を格納する第1の基地局側記憶手段と、第2の端
    末情報を格納する第2の基地局側記憶手段を備え、前記
    端末は、前記第1の端末情報と前記第2の端末情報を格
    納する端末情報格納手段とを備え、第i番目(1≦i≦
    N)の端末の第1の端末情報は、互いに素である、すな
    わち、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる整数niであり、第2の端末情報は、秘密鍵eを
    整数として、 ni<Ke<ni・nj を満たすKを、更新鍵を生成するための情報とすると
    き、前記秘密鍵eをべきとし前記整数niを法とするK
    のべき乗剰余値 Xi=Ke mod ni (GCD(Xi,ni)=1) であり、(1)前記基地局は、鍵更新時に、前記基地局
    が特定した端末kの第1の端末情報nkと第2の端末情
    報Xkを、前記基地局側記憶手段から取り出して全端末
    に一斉通知する手段を備え、(2)全ての端末iは、前
    記端末kの第1の端末情報nkと第2の端末情報Xkを受
    信する受信手段を備え、(3)端末kを除く全ての端末
    iでは、前記第1の計算部において、端末iと前記端末
    kの第1の端末情報niとnkを用いて yi=1/nk mod ni,yk=1/ni mod nk (i≠
    k) を満たす整数yi、ykを求め、前記整数yi、ykと、端
    末iの端末情報Xiと、端末kの端末情報Xkとから、 Ke=Xi・yi・nk+Xk・yk・ni mod ni・nk を計算する第1の計算手段を備え、(4)端末kを除く
    全ての端末iでは前記秘密鍵eとKeから更新鍵Kを求
    める第2の計算手段を備えることを特徴とする鍵更新装
    置。
  3. 【請求項3】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる通信システムにお
    いて、前記基地局は、前記端末の第1の端末情報を格納
    する第1の基地局側記憶部と、第2の端末情報を格納す
    る第2の基地局側記憶部を備え、前記端末は、前記第1
    の端末情報と前記第2の端末情報を格納する端末情報格
    納部と、受信部と、第1計算部と、第2計算部とを備
    え、第i番目(1≦i≦N)の端末の第1の端末情報
    は、互いに素である、すなわち、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる整数niであり、第2の端末情報は、秘密鍵eを
    整数として、任意の整数s(1≦s<N)に対して ni<Ke<(niの最大値)s+1 を満たすKを、更新鍵を生成するための情報とすると
    き、前記秘密鍵eをべきとし前記整数niを法とするK
    のべき乗剰余値 Xi=Ke mod ni (GCD(Xi,ni)=1) であり、(1)前記基地局において、鍵更新時に、前記
    基地局が特定した端末k1〜ksの第1の端末情報nk1
    ksと第2の端末情報Xk1〜Xksを、前記基地局側記憶
    部から取り出して全端末に一斉通知し、(2)全ての端
    末iにおいて、前記受信部で、前記端末k1〜ksの第1
    の端末情報nk1〜nksと第2の端末情報Xk1〜Xksを受
    信し、(3)端末k1〜ksを除く全ての端末iでは、前
    記第1の計算部において、端末iの端末情報niと前記
    端末k1〜ksの第1の端末情報nk1〜nksを用いて、 Mi =M/ni, Mk1=M/nk1, ・ ・ ・ Mks=M/nks (M=ni・nk1・...・nks;i≠k1〜ks) を求め、 yi =1/Mi mod ni, yk1=1/Mk1 mod nk1, ・ ・ ・ yks=1/Mks mod nks を満たす整数yi、yk1〜yksを求め、前記整数Mi、M
    k1〜Mksとyi、yk1〜yks、端末iの端末情報Xiと、
    端末k1〜ksの端末情報Xk1〜Xksを用いて、 Ke=Xi・Mi・yi+Xk1・Mk1・yk1+...+Xks・Mks
    ks mod M を計算し、(4)端末k1〜ksを除く全ての端末iで
    は、前記第2の計算部において、前記秘密鍵eとKe
    ら更新鍵Kを求めることを特徴とする鍵更新方法。
  4. 【請求項4】 基地局と、前記基地局と接続されたN台
    (Nは2以上の整数)の端末からなる通信システムにお
    いて、前記基地局は、前記端末の第1の端末情報を格納
    する第1の基地局側記憶部と、第2の端末情報を格納す
    る第2の基地局側記憶部を備え、前記端末は、前記第1
    の端末情報と前記第2の端末情報を格納する端末情報格
    納部と、受信部と、第1計算部と、第2計算部とを備
    え、第i番目(1≦i≦N)の端末の第1の端末情報
    は、互いに素である、すなわち、 GCD(ni,nj)=1 (1≦i,j≦N;i≠j) となる整数niであり、第2の端末情報は、秘密鍵eを
    整数として、任意の整数s(1≦s<N)に対して、 ni<Ke<(niの最大値)s+1 を満たすKを、更新鍵を生成するための情報とすると
    き、前記秘密鍵eをべきとし前記整数niを法とするK
    のべき乗剰余値 Xi=Ke mod ni (GCD(Xi,ni)=1) であり、任意の整数t(1≦t≦s)に対して、(1)
    前記基地局において、鍵更新時に、前記基地局が特定し
    た端末k1〜ktの第1の端末情報nk1〜nktと第2の端
    末情報Xk1〜Xktを、前記基地局側記憶部から取り出し
    て全端末に一斉通知し、(2)前記基地局において、鍵
    更新時に、f(1≦f<s−t)個の第1の端末情報n
    r1〜nrfと、f個の第2の端末情報Xr1〜Xrfを生成し
    て全端末に一斉通知し、(3)全ての端末iにおいて、
    前記受信部で、前記端末k1〜ksの第1の端末情報nk1
    〜nksと第2の端末情報Xk1〜Xksと前記第1の端末情
    報nr1〜nrfと前記第2の端末情報Xr1〜Xrfを受信
    し、(4)端末k1〜ktを除く全ての端末iでは、前記
    第1の計算部において、端末iの第1端末情報niと前
    記端末k1〜ksの第1端末情報nk1〜nksおよび前記第
    1の端末情報nr1〜nrfと前記第2の端末情報Xr1〜X
    rfを用いて、 Mi =M/ni, Mk1=M/nk1, ・ ・ ・ Mkt=M/nkt, Mr1=M/nr1, ・ ・ ・ Mrf=M/nrf (M=ni・nk1・...・nkt・nr1・...・nrf;i≠k1〜ks≠r1〜rf) を求め、 yi =1/Mi mod ni, yk1=1/Mk1 mod nk1, ・ ・ ・ ykt=1/Mkt mod nkt, yr1=1/Mr1 mod nr1, ・ ・ ・ yrf=1/Mrf mod nrf を満たす整数yi、yk1〜yksを求め、前記整数Mi、M
    k1〜Mkt、Mr1〜Mrfとyi、yk1〜ykt、yr1〜yrf
    端末iの端末情報Xiと、端末k1〜ksの端末情報Xk1
    〜Xksと前記端末情報Xr1〜Xrfを用いて、 Ke=Xi・Mi・yi+Xk1・Mk1・yk1+...+Xkt・Mkt
    kt+Xr1・Mr1・yr1+...+Xrf・Mrf・yrf mod M を計算し、(4)端末k1〜ktを除く全ての端末iで
    は、前記第2の計算部において、前記秘密鍵eとKe
    ら更新鍵Kを求めることを特徴とする鍵更新方法。
  5. 【請求項5】 前記基地局が、鍵更新時に前記各端末の
    第1の端末情報と互いに素である GCD(n,ni)=1 (1≦i≦N) を満たす整数nと、前記秘密鍵eをべきとし前記整数n
    を法とするKのべき乗剰余値 X=Ke mod n (GCD(X,n)=1) を一斉通知し、前記任意の端末iでは、前記第1の計算
    部において、端末iの第1の端末情報niと前記整数n
    を用いて、 yi=1/n mod ni,y=1/ni mod n を満たす整数yi、yを求め、前記整数yi、yと、端末
    iの端末情報Xiと、前記Xとから、 Ke=Xi・yi・n+X・y・ni mod ni・n を計算し、次に前記第2の計算部において、前記秘密鍵
    eとKeから更新鍵Kを求めることを特徴とする請求項
    1記載の鍵更新方法。
  6. 【請求項6】 前記整数nを基地局が生成した素数pと
    qの積とすることを特徴とする請求項1、3、4、5記
    載の鍵更新方法。
  7. 【請求項7】 前記端末の第1の計算部で、拡張ユーク
    リッド互除法を用いて前記整数yi、ykを求めることを
    特徴とする請求項1、3、4、5記載の鍵更新方法。
  8. 【請求項8】 前記端末の第2の計算部で、Newton-Rap
    hson法を用いて前記整数Kを求めることを特徴とする請
    求項1、3、4、5記載の鍵更新方法。
  9. 【請求項9】 前記第1の端末情報を、前記基地局が作
    成し、あらかじめ基地局と端末に備えられた暗号通信手
    段により、対応する端末に配布することを特徴とする請
    求項1、3、4、5記載の鍵更新方法。
  10. 【請求項10】 前記基地局が任意の秘密の整数Kとe
    を生成して、前記第1の基地局側記憶部に格納している
    各端末iの第1の端末情報niを用いて第2の端末情報
    iを計算し、これを鍵更新の前に対応する各端末に配
    布することを特徴とする請求項1、3、4、5記載の鍵
    更新方法。
  11. 【請求項11】 更新鍵を生成するための前記情報K
    が、 (niの最大値)s<Ke<(niの最大値)s+1 を満たすことを特徴とする請求項3、4記載の鍵更新方
    法。
  12. 【請求項12】 前記鍵更新を連続して行なう場合にお
    いて、第i回目の鍵更新で特定の端末kの端末情報を一
    斉通話した後には、第(i+1)回目の鍵更新の前に、
    基地局は前記端末kの第1の端末情報を用いた第2の端
    末情報を計算せず、また端末kには配布しないことを特
    徴とする請求項1、4、5記載の鍵更新方法。
  13. 【請求項13】 基地局が、新規加入の端末jに対して
    端末jの第2の端末情報と、鍵更新時に一斉通話した特
    定端末iの第1、第2の端末情報を通知し、端末jでは
    前記第1、第2の計算部を備えて前記更新鍵Kを求める
    ことを特徴とする請求項1、3、4、5記載の鍵更新方
    法。
  14. 【請求項14】 前記基地局の第1、第2の基地局側記
    憶部および前記端末の第1、第2の端末情報格納部は、
    外部より観測したり変更できない領域とすることを特徴
    とする請求項1、3、4、5記載の鍵更新方法。
  15. 【請求項15】 前記整数eを基地局の秘密の整数と
    し、鍵更新時に前記基地局が送信する端末情報に加えて
    整数eを一斉通知することを特徴とする請求項1、3、
    4、5記載の鍵更新方法。
  16. 【請求項16】 前記鍵Kにバージョン番号を付加し、
    基地局はバージョン番号が一致していない端末jに、端
    末jの第2の端末情報と、鍵更新時に一斉通話した特定
    端末iの第1および第2の端末情報を対応する端末に通
    知し、端末jでは前記第1、第2の計算部において、相
    当するバージョンの鍵Kを求めることを特徴とする請求
    項1、3、4、5記載の鍵更新方法。
  17. 【請求項17】 前記基地局と各端末にあらかじめ備え
    られた暗号通信手段において、基地局のディジタル署名
    を付加することを特徴とする請求項9記載の鍵更新方
    法。
JP10035369A 1998-02-03 1998-02-03 鍵更新方法 Expired - Lifetime JP2865654B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10035369A JP2865654B1 (ja) 1998-02-03 1998-02-03 鍵更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10035369A JP2865654B1 (ja) 1998-02-03 1998-02-03 鍵更新方法

Publications (2)

Publication Number Publication Date
JP2865654B1 JP2865654B1 (ja) 1999-03-08
JPH11220463A true JPH11220463A (ja) 1999-08-10

Family

ID=12439996

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10035369A Expired - Lifetime JP2865654B1 (ja) 1998-02-03 1998-02-03 鍵更新方法

Country Status (1)

Country Link
JP (1) JP2865654B1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6813357B1 (en) 1998-12-25 2004-11-02 Matsushita Communication Industrial Co., Ltd. Exclusive key sharing method
JP2007258822A (ja) * 2006-03-20 2007-10-04 Canon Inc 通信システム、その処理方法及び通信装置
JP2009505448A (ja) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド デジタルコンテンツの管理方法及びこのための装置
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
JP2020510334A (ja) * 2017-03-02 2020-04-02 アクティリティ 低電力広域ネットワークのための通信インターフェース、そのような通信インターフェースを使用するワイヤレスデバイスおよびサーバ

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6813357B1 (en) 1998-12-25 2004-11-02 Matsushita Communication Industrial Co., Ltd. Exclusive key sharing method
JP2009505448A (ja) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド デジタルコンテンツの管理方法及びこのための装置
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
JP2007258822A (ja) * 2006-03-20 2007-10-04 Canon Inc 通信システム、その処理方法及び通信装置
JP2020510334A (ja) * 2017-03-02 2020-04-02 アクティリティ 低電力広域ネットワークのための通信インターフェース、そのような通信インターフェースを使用するワイヤレスデバイスおよびサーバ

Also Published As

Publication number Publication date
JP2865654B1 (ja) 1999-03-08

Similar Documents

Publication Publication Date Title
EP0821504B1 (en) Method and system for depositing private key used in RSA cryptosystem
US5974144A (en) System for encryption of partitioned data blocks utilizing public key methods and random numbers
US5313521A (en) Key distribution protocol for file transfer in the local area network
JP2606419B2 (ja) 暗号通信システムと暗号通信方法
EP0735723B1 (en) Cryptographic communication method and cryptographic communication device
US6813358B1 (en) Method and system for timed-release cryptosystems
JP2002535878A (ja) 公開鍵および秘密鍵による暗号化方法
EP1330702B1 (en) Method and system of using an insecure crypto-accelerator
JPWO2018235845A1 (ja) 鍵交換システムおよび鍵交換方法
EP1059762B1 (en) Exclusive key sharing method
US7248692B2 (en) Method of and apparatus for determining a key pair and for generating RSA keys
JP2865654B1 (ja) 鍵更新方法
WO2002045340A2 (en) Threshold cryptography scheme for message authentication systems
EP2395698B1 (en) Implicit certificate generation in the case of weak pseudo-random number generators
JP3233605B2 (ja) 鍵更新方法
US7415110B1 (en) Method and apparatus for the generation of cryptographic keys
JPH10177341A (ja) Rsa暗号における秘密鍵預託方法およびシステム
JP2868759B1 (ja) 鍵更新方法
JP3074164B2 (ja) 排他的鍵共有法
US8306220B2 (en) Method to generate a private key in a boneh-franklin scheme
JP3074168B1 (ja) 排他的鍵共有法
JP2004246350A (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
JPH11168459A (ja) 同報暗号通信における暗復号化鍵の配送方法
Rastaghi Cryptanalysis and Improvement of Akleylek et al.'s cryptosystem
JP3479015B2 (ja) 暗号鍵分散生成方法、署名生成・検証方法、暗号鍵分散生成装置、署名生成・検証装置、暗号鍵分散生成プログラムおよび署名生成・検証プログラムをそれぞれ記録したコンピュータ読み取り可能な記録媒体