JPWO2019093478A1 - 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム - Google Patents

Abstract

鍵交換装置は、i≠sとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、当該鍵交換装置の秘密鍵とは異なる情報である共有秘密情報mkikが記憶される共有秘密鍵記憶部と、共有秘密情報mkikを用いて、外部へ出力する鍵交換情報eiに対して認証及び改ざんを検知する認証情報σiを生成する認証情報付加部と、外部から鍵交換情報es及び鍵交換情報esに対応する認証情報σsを受け取り、上記共有秘密情報mkikを用いて上記認証情報σsを検証し、検証に失敗した場合、鍵交換を停止する認証情報検証部とを含み、上記共有秘密情報mkikは、鍵交換の生成過程で利用する値である。

Description

本発明は、情報通信分野における鍵交換技術で、他の通信装置と通信する通信装置、通信装置が実行する通信システムに関するものである。

複数装置の間で暗号化等に使用する同一の鍵（セッション鍵）を共有する技術に鍵交換プロトコルがある。鍵交換プロトコルの中には、長期的に使用する秘密鍵（長期秘密鍵）を用いてセッション鍵を交換するものがある。

その一例として、Two-round Dynamic Multi-Cast Key Distribution Protocol（以下KY Protocolともいう、非特許文献１参照）がある。KY Protocolを利用すれば、ユーザの動的な変更（通話やメッセージグループへの参加や退出等）に合わせて効率的に再度セッション鍵の交換が可能である。そして、KY Protocolには、いくらユーザ数が増加しても各ユーザの鍵交換に必要なコスト（計算コストや通信コスト等）は一定であるといった特徴がある。

K. Yoneyama, R. Yoshida, Y. Kawahara, T. Kobayashi, H. Fuji,and T. Yamamoto: "Multi-cast Key Distribution: Scalable, Dynamic and Provably Secure Construction", Proc. of ProvSec 2016, pp. 207-226, Nanjing, China, Nov. 2016.

長期秘密鍵を使用して鍵交換を行うプロトコルでは、長期秘密鍵が攻撃者に漏洩した後に、攻撃者が漏洩した装置になりすまし、鍵交換に加わる攻撃が可能になる場合がある。すると、鍵交換技術における長期秘密鍵漏洩後になりすましによりセッション鍵が漏洩する。

例えば、KY Protocolでも長期秘密鍵が漏洩した後に攻撃者はセッション鍵を取得することができる。KY Protocolはサーバを中心として複数のユーザがサーバと通信を行うスター型のネットワークを使用している。鍵交換に際して、ユーザとサーバはそれぞれ長期秘密鍵と短期秘密鍵を使用して、ユーザ間でセッション鍵の交換をする。しかし、長期秘密鍵は不揮発メモリ上に長期間保管して使用される。そのため、長期秘密鍵は攻撃者に漏洩しないように安全に保管する必要が生じる。KY Protocolの安全性に関しては、以下の特徴がある。
１．Ephemeral Key Exposure Resilience：ユーザの短期秘密鍵が漏洩しても漏洩前のセッション鍵は安全である
２．Time-based Backward Secrecy：あるセッション鍵の前後のセッション鍵が漏洩してもあるセッション鍵自体を推測することはできない
３．Strong Server Key Forward Secrecy：ユーザやサーバの長期秘密鍵が漏洩しても漏洩前にセッションコンプリートしたセッション鍵は安全である

上記の３．のようにKY Protocolでは長期秘密鍵が漏洩しても、漏洩前のセッションで共有されたセッション鍵の情報は漏れない。しかし、長期秘密鍵が漏洩した後に行われるセッションで共有されたセッション鍵は攻撃者の手に渡る可能性がある。具体的にはサーバの長期秘密鍵が漏洩した際、攻撃者はサーバに成りすまして鍵交換に参加することができる。攻撃者がサーバに成りすました後、ユーザ間でセッションが行われる際に秘密裏に攻撃者が鍵交換に加わることで攻撃者にもセッション鍵が共有される。また、ユーザの長期秘密鍵が漏洩した場合は、攻撃者はユーザに成りすまし、セッションに参加することができるため、セッション鍵が攻撃者に共有される。

このように実際に鍵交換プロトコルには長期秘密鍵が攻撃者に漏洩した後に攻撃者によってセッション鍵が取得されるプロトコルが存在する。現状、サーバやユーザ端末等への侵入によって、情報が漏洩するケースは容易に考えられる。このような問題を防ぐためには、サーバやユーザが長期秘密鍵を漏洩しないように安全に保管する必要がある。安全な保管は、サーバやユーザの負担となる。

本発明は、長期鍵漏洩後のセッション鍵の推測を防ぐことができる鍵交換装置、鍵交換システム、鍵交換方法、鍵交換プログラムを提供することを目的とする。

上記の課題を解決するために、本発明の一態様によれば、鍵交換装置は、i≠sとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、当該鍵交換装置の秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶される共有秘密鍵記憶部と、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加部と、外部から鍵交換情報e_s及び鍵交換情報e_sに対応する認証情報σ_sを受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_sを検証し、検証に失敗した場合、鍵交換を停止する認証情報検証部とを含み、上記共有秘密情報mk_i ^kは、鍵交換の生成過程で利用する値である。

上記の課題を解決するために、本発明の他の態様によれば、鍵交換システムは、鍵交換サーバ装置とn台の鍵交換装置iとを含む。i≠sとし、i=1,2,…,nとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、鍵交換装置iは、当該鍵交換装置iの秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶される共有秘密鍵記憶部と、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加部と、外部から鍵交換情報e_{s_i}及び鍵交換情報e_{s_i}に対応する認証情報σ_{s_i}を受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_{s_i}を検証し、検証に失敗した場合、鍵交換を停止する認証情報検証部とを含む。鍵交換サーバ装置は、当該鍵交換サーバ装置の秘密鍵とは異なる情報である共有秘密情報mk₁ ^k,…,mk_n ^kが記憶される第二共有秘密鍵記憶部と、共有秘密情報mk₁ ^k,…,mk_n ^kを用いて、外部へ出力する鍵交換情報e_{s_1},…,e_{s_n}に対して認証及び改ざんを検知する認証情報σ_{s_1},…,σ_{s_n}を生成する第二認証情報付加部と、外部から鍵交換情報e₁,…,e_n及び鍵交換情報e₁,…,e_nにそれぞれ対応する認証情報σ₁,…,σ_nを受け取り、上記共有秘密情報mk₁ ^k,…,mk_n ^kを用いて上記認証情報σ₁,…,σ_nをそれぞれ検証し、検証に失敗した場合、失敗した鍵交換装置との鍵交換を停止する第二認証情報検証部とを含む。

上記の課題を解決するために、本発明の他の態様によれば、鍵交換方法は鍵交換装置を用いる。i≠sとし、kを0以上の整数の何れかとし、鍵交換装置の共有秘密鍵記憶部には、鍵交換装置の秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶されるものとし、鍵交換装置が、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加ステップと、鍵交換装置が、外部から鍵交換情報e_s及び鍵交換情報e_sに対応する認証情報σ_sを受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_sを検証し、検証に失敗した場合、鍵交換を停止する認証情報検証ステップとを含む。

上記の課題を解決するために、本発明の他の態様によれば、鍵交換方法は鍵交換サーバ装置とn台の鍵交換装置iとを用いる。i≠sとし、i=1,2,…,nとし、kを0以上の整数の何れかとし、鍵交換装置iの共有秘密鍵記憶部には、鍵交換装置iの秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶されるものとし、鍵交換サーバ装置の共有秘密鍵記憶部には、当該鍵交換サーバ装置の秘密鍵とは異なる情報である共有秘密情報mk₁ ^k,…,mk_n ^kが記憶されるものとし、鍵交換サーバ装置とn台の鍵交換装置iとの間でそれぞれ共有秘密情報mk_i ^kを共有する初回共有秘密鍵共有ステップと、鍵交換装置iが、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加ステップと、鍵交換サーバ装置が、外部から鍵交換情報e₁,…,e_n及び鍵交換情報e₁,…,e_nにそれぞれ対応する認証情報σ₁,…,σ_nを受け取り、上記共有秘密情報mk₁ ^k,…,mk_n ^kを用いて上記認証情報σ₁,…,σ_nをそれぞれ検証し、検証に失敗した場合、失敗した鍵交換装置との鍵交換を停止する第二認証情報検証ステップと、鍵交換サーバ装置が、共有秘密情報mk₁ ^k,…,mk_n ^kを用いて、外部へ出力する鍵交換情報e_{s_1},…,e_{s_n}に対して認証及び改ざんを検知する認証情報σ_{s_1},…,σ_{s_n}を生成する第二認証情報付加ステップと、鍵交換装置iが、外部から鍵交換情報e_{s_i}及び鍵交換情報e_{s_i}に対応する認証情報σ_{s_i}を受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_{s_i}を検証し、検証に失敗した場合、鍵交換を停止する認証情報検証ステップとを含む。

本発明によれば、長期鍵漏洩後のセッション鍵の推測を防ぐことができるという効果を奏する。

第一実施形態に係る鍵交換システムの構成図。 第一実施形態に係る鍵交換装置の機能ブロック図。 第一実施形態に係る鍵交換サーバ装置の機能ブロック図。

以下、本発明の実施形態について、説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。以下の説明において、テキスト中で使用する記号「^」「~」等は、本来直前の文字の真上に記載されるべきものであるが、テキスト記法の制限により、当該文字の直後に記載する。式中においてはこれらの記号は本来の位置に記述している。また、ベクトルや行列の各要素単位で行われる処理は、特に断りが無い限り、そのベクトルやその行列の全ての要素に対して適用されるものとする。

＜第一実施形態のポイント＞
第一実施形態では、攻撃者がユーザやサーバに成りすますことを防ぐために、以前のセッション鍵の交換の過程で使用した情報（共有秘密情報=MAC鍵）と長期秘密鍵の二つの情報を用いた認証を行う鍵交換プロトコルを提案する。

本実施形態では、共有秘密情報固定方式について説明する。

本実施形態では、既存の鍵交換プロトコルに対して、以下のステップを鍵交換ステップの前に加える。

（初回共有秘密鍵共有ステップ）
鍵交換装置と鍵交換の相手の鍵交換装置は、認証に使える長期秘密鍵を所有していない場合のみ自身の長期秘密鍵SSKと長期公開鍵SPKを作成し、SSKを保存し、PKI等の技術を使用し改ざんを防止しながらSPKの交換を行う。そして、鍵交換装置と鍵交換の相手の鍵交換装置は、自身の長期秘密鍵SSKを利用してなりすましや改ざんを防止する情報を付け足しながら、鍵共有を行い、初回共有秘密鍵mk_i ⁰を共有、保存する。

次に、既存の鍵交換アルゴリズムの鍵交換装置間の送受信時に以下の様にステップを修正する。

（鍵交換の送受信時ステップ）
鍵交換装置２００−ｉと鍵交換の相手の鍵交換装置２００−ｍの間でj回目の鍵交換を行うとする。その際に、各鍵交換装置は、情報送信時には、各鍵交換装置間で必要な情報に対して、j回目以前の共有秘密鍵mk_i ^k(0≦k<j)を使用して、なりすましと改ざん検知のための情報を付け足してから送信する。各鍵交換装置は、情報受信時には、最初になりすましと検知のための情報を共有秘密鍵mk_i ^kを使用してチェックし、正しくなければ鍵交換アルゴリズムを停止し、正しいときに鍵交換アルゴリズムを継続する。

なお、本実施形態では、前提として、初回共有秘密鍵共有ステップ時は攻撃者の関与なしに正しくアルゴリズムを終える事ができるとする。鍵交換の送受信時ステップとして、鍵交換装置と鍵交換の相手の鍵交換装置は、その間で送信する情報に対して、自身のSSKとj回目以前の共有秘密鍵mk_i ^kを使ってなりすましと改ざんを防止するための情報を付け加える。すると、長期秘密鍵が漏洩しても、共有秘密鍵mk_i ^kは安全に保管されているため、鍵交換を行う際の各通信のなりすましと改ざん検知のための情報を攻撃者は偽造する事ができない。これにより、鍵交換装置と鍵交換の相手の鍵交換装置は、攻撃者によるなりすましを防ぐ事ができる。従って、長期秘密鍵の漏洩によりセッション鍵が漏洩するという課題を解決する事ができる。

＜表記法＞
以下に、本実施形態で使用する記号の表記法を説明する。
U:={u_1,u_2,…u_N} グループに所属するユーザの集合
u:={u_1,u_2,…u_n|u_i∈U} 鍵交換に参加するユーザの集合。なお、グループに所属するユーザの全部または一部が鍵交換に参加するものとする。よって、n≦Nである。
(sk_i,pk_i) u_iの秘密鍵と公開鍵
(sk_s,pk_s) サーバの秘密鍵と公開鍵
mk_i ^j u_iとサーバの間で共有されるj回目の共有秘密鍵(本実施形態ではセキュリティパラメータkのメッセージ認証子（MAC）の鍵)
p 素数
G 位数pの有限巡回群
g_,h Gの生成元
κ セキュリティパラメータ
Kspace_κ κビットの鍵空間
TCR:{0,1}^*→{0,1}^κ 標的衝突困難ハッシュ関数
tPRF:{0,1}^κ×Kspace_κ×Kspace_κ×{0,1}^κ→ Z _p ねじれ疑似ランダム関数(参考文献１参照)
tPRF’:{0,1}^κ×Kspace_κ×Kspace_κ×{0,1}^κ→ Z_p ねじれ擬似ランダム関数
F:{0,1}^κ×G→ Z_p ² 疑似ランダム関数
F':{0,1}^κ×Z_p→ Kspace_κ 擬似ランダム関数
F'':{0,1}^κ×Kspace_κ→{0,1}^κ 疑似ランダム関数
F''':{0,1}^κ×Kspace_κ→Z _p 擬似ランダム関数
TF_ti:={time_{ti_1},time_{ti_2},…,time_{ti_tn}} 特定区間の時間の集合（Time Frame）、ti=1,2,…,fn
TF:={TF₁,TF₂,…,TF_fn} Time Frameの集合
PRF: {0,1}^*→{0,1}^κ 擬似ランダム関数
(参考文献１) Atsushi Fujioka, Koutarou Suzuki, Keita Xagawa, and Kazuki Yoneyama. "Strongly secure authenticated key exchange from factoring, codes, and lattices". Des. Codes Cryptography, 76(3):469-504, 2015.

＜第一実施形態＞
図１は第一実施形態に係る鍵交換システムの構成図を示す。

鍵交換システムは、鍵交換サーバ装置１００と、n台の鍵交換装置２００−ｉとを含む。各装置は、通信回線等を介して接続されており、相互に通信可能とする。i=1,2,…,nとする。

鍵交換サーバ装置１００及びn台の鍵交換装置２００−ｉはそれぞれ、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。鍵交換サーバ装置１００及びn台の鍵交換装置２００−ｉはそれぞれ、例えば、中央演算処理装置の制御のもとで各処理を実行する。鍵交換サーバ装置１００及びn台の鍵交換装置２００−ｉに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。鍵交換サーバ装置１００及びn台の鍵交換装置２００−ｉの各処理部はそれぞれ、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。鍵交換サーバ装置１００及びn台の鍵交換装置２００−ｉがそれぞれ備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。

図２は鍵交換サーバ装置１００の機能ブロック図を示す。鍵交換サーバ装置１００は、秘密鍵記憶部１０１、共有秘密鍵記憶部１０２、鍵交換アルゴリズム部１０３、認証情報検証部１０４、認証情報付加部１０５、共有秘密鍵共有部１０６とを含む。まず、各部の処理概要を説明する。

＜秘密鍵記憶部１０１＞
秘密鍵記憶部１０１には、鍵交換サーバ装置１００の秘密鍵が記憶される。

＜共有秘密鍵記憶部１０２＞
共有秘密鍵記憶部１０２には、鍵交換サーバ装置１００の秘密鍵とは異なる情報であり、鍵交換装置２００−ｉとの間で共有可能な共有秘密情報mk₁ ^k-1,…,mk_n ^k-1が記憶される。本実施形態では、共有秘密情報を固定とするため、k-1=0とする。

＜鍵交換アルゴリズム部１０３＞
鍵交換アルゴリズム部１０３は、外部(鍵交換装置２００−ｉ)からの鍵交換情報e₁,…,e_nを入力として受け入れ、鍵交換の途中に生成される関連情報xを共有秘密鍵共有部１０６へ出力し、鍵交換に必要な鍵交換情報e_{s_1},…,e_{s_n}を外部(鍵交換装置２００−ｉ)へ出力する。

＜認証情報検証部１０４＞
認証情報検証部１０４は、外部(鍵交換装置２００−ｉ)からの認証情報σ₁,…,σ_nを入力とし、それぞれ共有秘密情報mk₁ ^k-1,…,mk_n ^k-1を使用して認証情報σ₁,…,σ_nを検証する。認証情報検証部１０４は、検証に失敗した場合、失敗した鍵交換装置との鍵交換アルゴリズムを停止させる。

＜認証情報付加部１０５＞
認証情報付加部１０５は、鍵交換アルゴリズム部１０３が出力した鍵交換情報e_{s_1},…,e_{s_n}を入力とし、それぞれ共有秘密情報mk₁ ^k-1,…,mk_n ^k-1を使用して鍵交換情報e_{s_1},…,e_{s_n}に対して認証及び改ざんを検知する認証情報σ_{s_1},…,σ_{s_n}を生成し、鍵交換アルゴリズム部１０３へ送信する。

＜共有秘密鍵共有部１０６＞
共有秘密鍵共有部１０６は、鍵交換アルゴリズム部１０３の鍵交換が出力する上記関連情報xを入力とし、秘密鍵と共有秘密情報mk₁ ^k-1,…,mk_n ^k-1を使用して、共有秘密情報mk₁ ^k,…,mk_n ^kを求め、共有秘密鍵記憶部１０２に保存する。

次に鍵交換装置２００−ｉについて説明する。

図３は、鍵交換装置２００−ｉの機能ブロック図を示す。n台の鍵交換装置２００−ｉはそれぞれ、秘密鍵記憶部２０１、共有秘密鍵記憶部２０２、鍵交換アルゴリズム部２０３、認証情報検証部２０４、認証情報付加部２０５、共有秘密鍵共有部２０６とを含む。まず、各部の処理概要を説明する。

＜秘密鍵記憶部２０１＞
秘密鍵記憶部２０１には、鍵交換装置２００−ｉの秘密鍵が記憶される。

＜共有秘密鍵記憶部２０２＞
共有秘密鍵記憶部２０２には、鍵交換装置２００−ｉの秘密鍵とは異なる情報であり、鍵交換サーバ装置１００との間で共有可能な共有秘密情報mk_i ^kが記憶される。

＜鍵交換アルゴリズム部２０３＞
鍵交換アルゴリズム部２０３は、外部(鍵交換サーバ装置１００)からの鍵交換情報e_{s_i}を入力として受け入れ、鍵交換の途中に生成される関連情報xを共有秘密鍵共有部２０６へ出力し、鍵交換に必要な鍵交換情報e_iを外部(鍵交換サーバ装置１００)へ出力する。

＜認証情報検証部２０４＞
認証情報検証部２０４は、外部(鍵交換サーバ装置１００)からの認証情報σ_{s_i}を入力とし、それぞれ共有秘密情報mk_i ^k-1を使用して鍵交換アルゴリズム部２０３の認証情報σ_{s_i}を検証する。認証情報検証部２０４は、検証に失敗した場合、鍵交換サーバ装置１００との鍵交換アルゴリズムを停止させる。

＜認証情報付加部２０５＞
認証情報付加部２０５は、鍵交換アルゴリズム部２０３が出力した鍵交換情報e_iを入力とし、共有秘密情報mk_i ^k-1を使用して鍵交換アルゴリズム部２０３の鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成し、鍵交換アルゴリズム部２０３へ送信する。

＜共有秘密鍵共有部２０６＞
共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３の鍵交換の途中に生成される関連情報xを入力とし、秘密鍵と共有秘密情報mk_i ^k-1を使用して、共有秘密情報mk₁ ^k,…,mk_n ^kを求め、鍵交換装置２００−ｉの共有秘密鍵記憶部２０２に保存する。

以下、処理の流れに沿って、各部の処理内容を説明する。

第一実施形態では、KY Protocolをベースとした応用プロトコルを提案する。KY Protocol同様、本応用プロトコルは｛Setup, Dist, Join, Leave, Update｝の5つのフェーズで構成される。｛Join, Leave, Update｝フェーズについても同様の適応が可能であるが、SetupとDistフェーズのみ記載する。また、本応用プロトコルでは、サーバSとユーザu:={u₁,u₂,…u_n|u_i∈U}の間で鍵交換が行われるとし、PKIベースのKY Protocolを記述する。

本応用プロトコルは、初回共有秘密鍵共有ステップと共有秘密鍵更新ステップでは、長期秘密鍵としてRSA暗号の秘密鍵を、共有秘密鍵としてMAC鍵を用いる。本応用プロトコルは、共有秘密鍵共有時はRSA暗号の署名を用いて認証及び改ざん検知を行い、DH鍵共有で鍵を共有する。なお、本発明はRSA暗号の署名以外にも、DSAやECDSA等、認証及び改ざん検知に使用される一般的な署名技術を利用する事が可能であり、DH鍵共有も同様に一般的な鍵交換技術を利用する事が可能である。

本実施形態では、共有秘密情報固定方式を採用するため、j回目の鍵交換の送受信時ステップにおいて初回共有秘密鍵mk_i ⁰を使ってMACのタグを付加して認証及び改ざん防止を行う。ただし、共有秘密情報固定方式を採用し、1つ以上前の共有秘密鍵のMAC鍵mk_i ^kを使ってMACのタグを付加して認証及び改ざん防止を行ってもよい。なお、kは0以上jより小さい整数の何れかであり、鍵交換の相手との間で予めkをどのような値にするかを決定しておけばよい。

従来のKY ProtocolではDistの最初にMAC鍵を作り、Distの一部通信に対してMACのタグを生成する。本実施形態では、MAC鍵を共有秘密鍵として使用しているため、これを使用しないでプロトコルを構成する。他にも、Round1とRound2のユーザの同一性を確認するコミットメントC_i=g^k_ih^s_iや各ユーザが代表ユーザ(本実施形態ではユーザu₁を代表ユーザとしている)のk_iやs_iを持っているかを確認するコミットメントC₁=g^k_1h^s_1も使用しないで構成する。なお、上付き添え字及び上付き添え字において、A_BはA_Bを、A^BはA^Bを意味する。また、集合Sから一様ランダムに集合Sの元xを取り出す事を意味する記号として、x∈_RSと表記する。

・Setup:
1. 各ユーザu_iの利用する鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_i、公開鍵pk_iを生成する((sk_i,pk_i)←Gen(1^k))。さらに、鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_i,st'_i)を生成する（st_i∈_RKspace_κ、st'_i∈_R{0,1}^k）。

鍵交換アルゴリズム部２０３は、(sk_i,st_i,st'_i)を長期秘密鍵SSK_iとして秘密鍵記憶部２０１に保存し、PKIなどの公開鍵pk_iとユーザを紐付ける技術を用いて、pk_iを長期公開鍵SPK_iとして鍵交換サーバ装置１００に公開する。
2. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、属性情報A_iを定義するために使われる情報attを用いて、属性ベース暗号の秘密鍵生成(Params,msk)←Setup(1^k、att)を行う。鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_s、公開鍵pk_sを生成する((sk_s,pk_s)←Gen(1^k))。さらに、鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_s,st'_s)を生成する（st_s∈_RKspace_κ、st'_s∈_R{0,1}^k）。

鍵交換アルゴリズム部１０３は、(msk,sk_s,st_s,st'_s)を長期秘密鍵SSK_sとして秘密鍵記憶部１０１に保存し、PKIなどの公開鍵pk_sとユーザを紐付ける技術を用いて、(Params,p,G,g,h,TCR,tPRF,tPRF',F,F',F'',F''',pk_s)を長期公開鍵SPK_sとして図示しない記憶部に保存し、各鍵交換装置２００−ｉに公開する。

・初回共有秘密鍵共有ステップ：
1. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、長期公開鍵SPK_sを取得し、長期公開鍵SPK_sに含まれるgを用いて、乱数a_iとg^a_iを作成する。共有秘密鍵共有部２０６は、秘密鍵記憶部２０１から秘密鍵sk_iを取り出し、秘密鍵sk_iを用いて、署名アルゴリズムSigにより、署名σ_i ⁰を作成し(σ_i ⁰←Sig_{sk_i}(g^a_i))、鍵交換アルゴリズム部２０３に署名データを渡す。鍵交換アルゴリズム部２０３が鍵交換サーバ装置１００に(g^a_i、σ_i ⁰)を送信する。
2. 鍵交換サーバ装置１００の共有秘密鍵共有部１０６は、鍵交換アルゴリズム部１０３を経由して(g^a_i,σ_i ⁰)を受け取り、検証アルゴリズムVerを用いて、署名σ_i ⁰を検証する(1 or ⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共有秘密鍵共有部１０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部１０６は、検証に成功した場合(1が出力された場合)、長期公開鍵SPK_sに含まれるgを用いて、乱数bとg^bを作成する。共有秘密鍵共有部１０６は、秘密鍵記憶部１０１から秘密鍵sk_sを取り出し、秘密鍵sk_sを用いて、署名アルゴリズムSigにより、署名σ_s ⁰を作成し(σ_s ⁰←Sig_{sk_s}(g^b))、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉに(g^b,σ_s ⁰)を送信する。さらに、共有秘密鍵共有部１０６は、各鍵交換装置２００−ｉから受け取ったg^a_iと作成した乱数bとを用いてg^a_ibを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ⁰←MGen(g^a_ib)を作成する。共有秘密鍵共有部１０６は、mk_i ⁰(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部１０２に保存する。
3. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３を経由して(g^b,σ_s ⁰)を受け取り、長期公開鍵SPK_sに含まれるpk_sと検証アルゴリズムVerを用いて、署名σ_s ⁰を検証する(1 or ⊥←Ver_{pk_s}(g^b,σ_s ⁰))。共有秘密鍵共有部２０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部２０６は、検証に成功した場合(1が出力された場合)、鍵交換装置２００−ｉが生成した乱数a_iと鍵交換サーバ装置１００から受け取ったg^bとを用いてg^a_ibを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ⁰←MGen(g^a_ib)を作成する。共有秘密鍵共有部２０６は、mk_i ⁰(ここでは、ｉは鍵交換装置２００−ｉに対応する1つの値)を共有秘密鍵として共有秘密鍵記憶部２０２に保存する。

ここまでの処理により、鍵交換サーバ装置１００と鍵交換装置２００−ｉとが共有秘密鍵mk_i ⁰を共有する。

・Dist:
(State Update at New Time Frame)
特定のTF_tiにはじめてセッションを行う鍵交換装置２００−ｉは鍵交換サーバ装置１００と以下のプロセスを行う。
1. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、鍵交換装置２００−ｉから接続要求があった場合、その現在時刻に対応する特定区間の時間time_jiとユーザの識別子u_iからA_i=(u_i,time_ji)を作成し、属性情報とする。ただし、特定区間の時間time_jiを含む特定区間の時間の集合をTF_ji:={time_{ji_1},time_{ji_2},…,time _{ji_tn}}とすると、jiはji_1,ji_2,…,ji_tnのうちの現在時刻に対応する値である。鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、属性ベース暗号の暗号化アルゴリズムであり、ユーザの属性情報に対応する鍵を生成するアルゴリズムDerを用いて、Params、msk、A_iからユーザの属性秘密鍵usk_iを生成する(usk_i←Der(Params,msk,A_i))。さらに、鍵交換アルゴリズム部１０３は、鍵交換装置２００−ｉの公開鍵pk_iを取得し、公開鍵pk_iを用いて公開鍵暗号方式の暗号化アルゴリズムEncによりusk_iを暗号化し(CT_i←Enc_{pk_i}(usk_i))、暗号文CT_iを鍵交換装置２００−ｉに送信する。ここでは、i=1,2,…,nである。
2. 各鍵交換装置２００−ｉは、暗号文CT_iを受け取り、秘密鍵記憶部２０１から秘密鍵sk_iを取り出し、公開鍵暗号方式の復号アルゴリズムDecにより暗号文CT_iを復号し(usk_i←Dec_{sk_i}(CT_i))、属性秘密鍵usk_iを図示しない記憶部state_iに保存する。

（Round1 for Users）
1. 各鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、r~_i∈_R {0,1}^k、r~'_i∈_RKspace_κ、k~_i∈_R {0,1}^k、k~'_i∈_R Kspace_κ、s~_i∈_R {0,1}k、s~'_i∈_R Kspace_κを作成し、図示しない記憶部ESK_iに保存する。そして、鍵交換アルゴリズム部２０３は、r_i=tPRF(r~_i,r~'_i,st_i,st'_i)、k_i=tPRF(k~_i,k~'_i,st_i,st'_i)、s_i=tPRF(s~_i,s~'_i,st_i,st'_i)を生成する。さらに、鍵交換アルゴリズム部２０３は、R_i=g^r_i、C_i=g^k_ih^s_iを作成する。
2. 各鍵交換装置２００−ｉの認証情報付加部２０５は、共有秘密鍵mk_i ^j-1を共有秘密鍵記憶部２０２から取り出し、署名アルゴリズムTagにより、作成したR_iとC_iとから署名σ_i ¹を次式により計算する。
σ_i ¹=Tag_(mk_i ^j-1)(R_i,C_i)
鍵交換アルゴリズム部２０３は（R_i,C_i,σ_i ¹）を鍵交換サーバ装置１００に送付する。ただし、Tag_(mk_i ^j-1)は

を意味する。また、本実施形態では、共有秘密鍵固定方式を採用しているため、mk_i ^j-1=mk_i ⁰である。なお、R_iとC_iを鍵交換情報ともいい、署名σ_i ¹を認証情報ともいう。

（Round1 for Server）
1. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉから（R_i,C_i,σ_i ¹）を取得し、共有秘密鍵mk_i ^j-1を共有秘密鍵記憶部２０２から取り出し、検証アルゴリズムVerにより、次式により検証を行う。Ver_(mk_i ^j-1)(R_i,C_i,σ_i ¹)
認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。ただし、Ver_(mk_i ^j-1)は

を意味する。
2. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、各鍵交換装置２００−ｉから（R_i,C_i,σ_i ¹）を取得し、sid=TCR(C₁,…,C_n)を計算し、代表ユーザを一人選ぶ。本実施形態ではユーザu₁を代表ユーザとする。認証情報付加部１０５は、sidとR₁,…,R_nを用いて署名アルゴリズムTagにより、
σ_{sev_i} ¹=Tag_(mk_i ^j-1)(sid,R_i-1,R_i+1)
を計算し、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉへ（sid,R_i-1,R_i+1,σ_{sev_i} ¹）を送付し、代表ユーザに対しては代表ユーザである事も伝える。

（Round2 for Users）
1. i∈[1,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、（sid,R_i-1,R_i+1,σ_{sev_i} ¹）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(sid,R_i-1,R_i+1,σ_{sev_i} ¹)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。なお、sid,R_i-1,R_i+1を外部(鍵交換サーバ装置１００)からの鍵交換情報ともいい、σ_{sev_i} ¹を認証情報ともいう。
2. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K_i ^(l)=F(sid,R_i-1 ^r_i)、K_i ^(r)=F(sid,R_i+1 ^r_i)、T_i=K_i ^(l) xor K_i ^(r)を計算する。ただし、xorは

を意味する。認証情報付加部２０５は署名アルゴリズムTagを用いて署名σ_i ²を計算し(σ_i ²=Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid))、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に対して、(k_i,s_i,T_i,σ_i ²)を送信する。
3. 代表ユーザであるユーザu₁の鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=F(sid,R_n ^r_1)、K₁ ^(r)=F(sid,R₂ ^r_1)、T₁=K₁ ^(l) xor K₁ ^(r)、T'=K₁ ^(l) xor (k₁||s₁)を計算する。認証情報付加部２０５は署名アルゴリズムTagを用いて署名σ₁ ²を計算し(σ₁ ²=Tag_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid))、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に対して、(T₁,T',σ₁ ²)を送信する。

（Round2 for Server）
1. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由してi∈[2,n]である鍵交換装置２００−ｉから(k_i,s_i,T_i,σ_i ²)を取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,σ_i ²)
認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由して代表ユーザであるユーザu₁の鍵交換装置２００−１から(T₁,T',σ₁ ²)を取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,σ₁ ²)
認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
3. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、k_S~∈_R {0,1}^k、k_S~'∈_R Kspace_κ、K₁~∈_R {0,1}^k、K₁~'∈_R Kspace_κを生成し、k_S=tPRF(k_S~,k_S~',st_s,st'_s)とK₁=tPRF(K₁~,K₁~',st_s,st'_s)とk'=( xor_2≦i≦n k_i) xor k_sを計算する。
4. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、i∈[2,n]である鍵交換装置２００−ｉに対してT_i'=( xor_1≦j≦i-1 T_j)を計算する。
5. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、i∈[1,n]である鍵交換装置２００−ｉに対して、P_i:=(ID=U_i)∧(time∈TF)、CT_i'=AEnc(Params,P_i,K₁)を計算する。ただし、AEncは属性ベース暗号の暗号化アルゴリズムである。
6. 鍵交換サーバ装置１００の認証情報付加部１０５は、i∈[2,n]である鍵交換装置２００−ｉに対して、署名アルゴリズムTagを用いて、次式により署名σ_i ²を計算する。
σ_i ²=Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')
次に、認証情報付加部１０５は、(c₁,k',T'_i,T',CT_i',σ_i ²)を鍵交換アルゴリズム部１０３を経由しi∈[2,n]である鍵交換装置２００−ｉに送信する。
7. 鍵交換サーバ装置１００の認証情報付加部１０５は、代表ユーザであるユーザu₁の鍵交換装置２００−１に対して、署名アルゴリズムTagを用いて、次式により署名σ₁ ²を計算する。
σ₁ ²=Tag_(mk_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)
次に、認証情報付加部１０５は、鍵交換アルゴリズム部１０３を経由して(k',CT₁',σ₁ ²)を鍵交換装置２００−１に送信する。

（Session Key Generation and Post Computation）
1. i∈[2,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、(c₁,k',sid,T'_i,T',CT_i',σ_i ²）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i',σ_i ²)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=T'_ixor K_i ^(l)とk₁||s₁=T' xor K₁ ^(l)を計算し、属性ベース暗号の復号アルゴリズムADecにより、暗号文CT'_iを次式により復号する。
K₁←ADec_{usk_i}(CT'_i,P_i)

さらに、鍵交換アルゴリズム部２０３は、K₂=F'(sid,k' xor k₁)を計算し、セッション鍵SKをSK=F''(sid,K₁) xor F''(sid,K₂)により求める。
3. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、sid、H_i ^(l)=R_i-1 ^r_i、H_i ^(r)=R_i+1 ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。
4. 代表ユーザであるユーザu₁の鍵交換装置２００−１の認証情報検証部２０４は、(k',CT₁',σ₁ ²)を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁,σ₁ ²)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
5. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、属性ベース暗号の復号アルゴリズムADecにより、暗号文CT'₁を次式により復号する。
K₁←ADec_{usk_1}(CT'₁,P₁)

さらに、鍵交換アルゴリズム部２０３は、K₂=F'(sid, k' xor k₁)を計算し、セッション鍵SKをSK=F''(sid,K₁) xor F''(sid,K₂)により求める。
6. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、sid、H₁ ^(l)=R_n ^r_i、H₁ ^(r)=R₂ ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state₁に保存する。

＜効果＞
以上の構成により、鍵交換サーバ装置に対してセッション鍵SKを秘匿したまま鍵交換装置間で鍵交換装置はセッション鍵SKを共有することができ、共有秘密情報=MAC鍵と長期秘密鍵の二つの情報を用いた認証を行い、長期鍵漏洩後のセッション鍵の推測を防ぐことができる。サーバやユーザの長期秘密鍵が情報漏洩しても、共有秘密鍵が漏洩していなければ、攻撃者によるセッション鍵の交換を防ぐことができる。

例えば、共有秘密情報を耐タンパ領域(サーバのHSMやスマートフォンのSIM等)に保存し、使用することが考えられる。共有秘密情報をMAC鍵等の鍵サイズが小さく計算コストの小さい情報とすることで、限られた耐タンパ領域を有効に利用することができる。

＜変形例＞
本実施形態では、鍵交換の相手が鍵交換サーバ装置の場合について、つまり、鍵交換装置と鍵交換サーバ装置との間での鍵交換について説明したが、鍵交換装置と鍵交換装置との間での鍵交換において本発明を適用してもよい。ある鍵交換装置が本実施形態の鍵交換装置として機能し、他の鍵交換装置が本実施形態の鍵交換サーバ装置として機能するように構成すればよい。

＜第二実施形態のポイント＞
第一実施形態と異なる部分を中心に説明する。

本実施形態では、上記の第一実施形態の共有秘密鍵部分をMAC鍵(mk_i ^j-1)ではなくAESの鍵(key_i ^j-1)とし、各通信に付加する情報を署名σ_iではなくAESによる暗号文c'_iとして送信し、復号に失敗した場合に鍵交換アルゴリズムを停止する。

＜第二実施形態＞
・Setup:
1. 各ユーザu_iの利用する鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_i、公開鍵pk_iを生成する((sk_i,pk_i)←Gen(1^k))。さらに、鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_i,st'_i)を生成する（st_i∈_RKspace_κ、st'_i∈_R{0,1}^k）。

鍵交換アルゴリズム部２０３は、(sk_i,st_i,st'_i)を長期秘密鍵SSK_iとして秘密鍵記憶部２０１に保存し、PKIなどの公開鍵pk_iとユーザを紐付ける技術を用いて、pk_iを長期公開鍵SPK_iとして鍵交換サーバ装置１００に公開する。
2. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、属性情報A_iを定義するために使われる情報attを用いて、属性ベース暗号の秘密鍵生成(Params,msk)←Setup(1^k、att)を行う。鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_s、公開鍵pk_sを生成する((sk_s,pk_s)←Gen(1^k))。さらに、鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_s,st'_s)を生成する（st_s∈_RKspace_κ、st'_s∈_R{0,1}^k）。

鍵交換アルゴリズム部１０３は、(msk,sk_s,st_s,st'_s)を長期秘密鍵SSK_sとして秘密鍵記憶部１０１に保存し、PKIなどの公開鍵pk_sとユーザを紐付ける技術を用いて、(Params,p,G,g,h,TCR,tPRF,tPRF',F,F',F'',F''',pk_s)を長期公開鍵SPK_sとして図示しない記憶部に保存し、各鍵交換装置２００−ｉに公開する。

・初回共有秘密鍵共有ステップ：
1. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、長期公開鍵SPK_sを取得し、長期公開鍵SPK_sに含まれるgを用いて、乱数a_iとg^a_iを作成する。共有秘密鍵共有部２０６は、秘密鍵記憶部２０１から秘密鍵sk_iを取り出し、秘密鍵sk_iを用いて、署名アルゴリズムSigにより、署名σ_i ⁰を作成し(σ_i ⁰←Sig_{sk_i}(g^a_i))、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に(g^a_i、σ_i ⁰)を送信する。
2. 鍵交換サーバ装置１００の共有秘密鍵共有部１０６は、鍵交換アルゴリズム部１０３を経由して(g^a_i,σ_i ⁰)を受け取り、検証アルゴリズムVerを用いて、署名σ_i ⁰を検証する(1 or ⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共有秘密鍵共有部１０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部１０６は、検証に成功した場合(1が出力された場合)、長期公開鍵SPK_sに含まれるgを用いて、乱数bとg^bを作成する。共有秘密鍵共有部１０６は、秘密鍵記憶部１０１から秘密鍵sk_sを取り出し、秘密鍵sk_sを用いて、署名アルゴリズムSigにより、署名σ_sを作成し(σ_s←Sig_{sk_s}(g^b))、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉに(g^b,σ_s)を送信する。さらに、共有秘密鍵共有部１０６は、各鍵交換装置２００−ｉから受け取ったg^a_iと作成した乱数bとを用いてg^a_ibを作成し、AES鍵を生成するアルゴリズムKeyGenを用いて、key_i ⁰←KeyGen(g^a_ib)を作成する。共有秘密鍵共有部１０６は、key_i ⁰(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部１０２に保存する。
3. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、(g^b,σ_s ⁰)を受け取り、長期公開鍵SPK_sに含まれるpk_sと検証アルゴリズムVerを用いて、署名σ_s ⁰を検証する(1 or ⊥←Ver_{pk_s}(g^b,σ_s ⁰))。共有秘密鍵共有部２０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部２０６は、検証に成功した場合(1が出力された場合)、鍵交換装置２００−ｉが生成した乱数a_iと鍵交換サーバ装置１００から受け取ったg^bとを用いてg^a_ibを作成し、AESの鍵を生成するアルゴリズムKeyGenを用いて、key_i ⁰←KeyGen(g^a_ib)を作成する。共有秘密鍵共有部２０６は、key_i ⁰(ここでは、ｉは鍵交換装置２００−ｉに対応する1つの値)を共有秘密鍵として共有秘密鍵記憶部２０２に保存する。

ここまでの処理により、鍵交換サーバ装置１００と鍵交換装置２００−ｉとが共有秘密鍵key_i ⁰を共有する。

・Dist:
(State Update at New Time Frame)
特定のTF_tiにはじめてセッションを行う鍵交換装置２００−ｉは鍵交換サーバ装置１００と以下のプロセスを行う。
1. 鍵交換サーバ装置１００の鍵交換アルゴリズム部２０３は、鍵交換装置２００−ｉから接続要求があった場合、その現在時刻に対応する特定区間の時間time_jiとユーザの識別子u_iからA_i=(u_i,time_ji)を作成し、属性情報とする。ただし、特定区間の時間time_jiを含む特定区間の時間の集合をTF_ji:={time_{ji_1},time_{ji_2},…,time _{ji_tn}}とすると、jiはji_1,ji_2,…,ji_tnのうちの現在時刻に対応する値である。鍵交換サーバ装置１００の鍵交換アルゴリズム部２０３は、属性ベース暗号の暗号化アルゴリズムであり、ユーザの属性情報に対応する鍵を生成するアルゴリズムDerを用いて、Params、msk、A_iからユーザの属性秘密鍵usk_iを生成する(usk_i←Der(Params,msk,A_i))。さらに、鍵交換アルゴリズム部２０３は、鍵交換装置２００−ｉの公開鍵pk_iを取得し、公開鍵pk_iを用いて公開鍵暗号方式の暗号化アルゴリズムEncによりusk_iを暗号化し(CT_i←Enc_{pk_i}(usk_i))、暗号文CT_iを鍵交換装置２００−ｉに送信する。ここでは、i=1,2,…,nである。
2. 各鍵交換装置２００−ｉは、暗号文CT_iを受け取り、秘密鍵記憶部２０１から秘密鍵sk_iを取り出し、公開鍵暗号方式の復号アルゴリズムDecにより暗号文CT_iを復号し(usk_i←Dec_{sk_i}(CT_i))、属性秘密鍵usk_iを図示しない記憶部state_iに保存する。

（Round1 for Users）
1. 各鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、r~_i∈_R{0,1}^k、r~'_i∈_RKspace_κ、k~_i∈_R{0,1}^k、k~'_i∈_RKspace_κ、s~_i∈_R{0,1}^k、s~'_i∈_RKspace_κを作成し、図示しない記憶部ESK_iに保存する。そして、認証情報付加部２０５は、r_i=tPRF(r~_i,r~'_i,st_i,st'_i)、k_i=tPRF(k~_i,k~'_i,st_i,st'_i)、s_i=tPRF(s~_i,s~'_i,st_i,st'_i)を生成する。さらに、認証情報付加部２０５は、R_i=g^r_i、C_i=g^k_ih^s_iを作成する。
2. 各鍵交換装置２００−ｉの認証情報付加部２０５は、共有秘密鍵key_i ^j-1を共有秘密鍵記憶部２０２から取り出し、公開鍵暗号方式の暗号化アルゴリズムEncにより、作成したR_iとC_iとから暗号文c_i ¹を次式により計算する。
c_i ¹=Enc_(key_i ^j-1)(R_i,C_i)
認証情報付加部２０５は、（R_i,C_i,c_i ¹）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に送付する。ただし、Enc_(key_i ^j-1)は

を意味する。また、本実施形態では、共有秘密鍵固定方式を採用しているため、key_i ^j-1=key_i ⁰である。

（Round1 for Server）
1. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉから（R_i,C_i,c_i ¹）を取得し、共有秘密鍵key_i ^j-1を共有秘密鍵記憶部２０２から取り出し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key_i ^j-1)(R_i,C_i)
を計算し、計算結果がc_i ¹と等しいかを検証する。認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換サーバ装置１００の鍵交換アルゴリズム部1０３は、各鍵交換装置２００−ｉから（R_i,C_i,c_i ¹）を取得し、sid=TCR(C₁,…,C_n)を計算し、代表ユーザを一人選ぶ。本実施形態ではユーザu₁を代表ユーザとする。認証情報付加部１０５は、sidとR₁,…,R_nを用いて公開鍵暗号方式の暗号化アルゴリズムEncにより、
c_{sev_i} ¹=Enc_(key_i ^j-1)(sid,R_i-1,R_i+1)
を計算し、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉへ（sid,R_i-1,R_i+1,c_{sev_i} ¹）を送付する。鍵交換アルゴリズム部１０３はその際、代表ユーザに対しては代表ユーザである事も伝える。

（Round2 for Users）
1. i∈[1,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、鍵交換アルゴリズム部２０３を経由して（sid,R_i-1,R_i+1,c_{sev_i} ¹）を鍵交換サーバ装置１００から取得し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key_i ^j-1)(sid,R_i-1,R_i+1)
を計算し、計算結果がc_{sev_i} ¹と等しいかを検証する。
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K_i ^(l)=F(sid,R_i-1 ^r_i)、K_i ^(r)=F(sid,R_i+1 ^r_i)、T_i=K_i ^(l) xor K_i ^(r)を計算し、公開鍵暗号方式の暗号化アルゴリズムEncを用いて
c_i ²=Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid)
を計算し、鍵交換サーバ装置１００に対して、鍵交換アルゴリズム部２０３を経由して(k_i,s_i,T_i,c_i ²)を送信する。
3. 代表ユーザであるユーザu₁の鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=F(sid,R_n ^r_1)、K₁ ^(r)=F(sid,R₂ ^r_1)、T₁=K₁ ^(l) xor K₁ ^(r)、T'=K₁ ^(l) xor (k₁||s₁)を計算し、公開鍵暗号方式の暗号化アルゴリズムEncを用いて
c₁ ²=Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid)
を計算し、鍵交換サーバ装置１００に対して、鍵交換アルゴリズム部２０３を経由して(T₁,T',c₁ ²)を送信する。

（Round2 for Server）
1. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由してi∈[2,n]である鍵交換装置２００−ｉから(k_i,s_i,T_i,c_i ²)を取得し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid)
を計算し、計算結果がc_i ²と等しいかを検証する。認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由して代表ユーザであるユーザu₁の鍵交換装置２００−１から(T₁,T',c₁ ²)を取得し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid)
を計算し、計算結果がc₁ ²と等しいかを検証する。認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
3. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、k_S~∈_R{0,1}^k、k_S~'∈_RKspace_κ、K₁~∈_R{0,1}^k、K₁~'∈_RKspace_κを生成し、k_S=tPRF(k_S~,k_S~',st_s,st'_s)とK₁=tPRF(K₁~,K₁~',st_s,st'_s)とk'=( xor_2≦i≦n k_i) xor k_sを計算する。
4. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、i∈[2,n]である鍵交換装置２００−ｉに対してT_i'=( xor_1≦j≦i-1 T_j)を計算する。
5. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、i∈[1,n]である鍵交換装置２００−ｉに対して、P_i:=(ID=U_i)∧(time∈TF)、CT_i'=AEnc(Params,P_i,K₁)を計算する。
6. 鍵交換サーバ装置１００の認証情報付加部１０５は、i∈[2,n]である鍵交換装置２００−ｉに対して、公開鍵暗号方式の暗号化アルゴリズムEncにより、
c_{sev_i} ²=Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')
を計算し、(c₁,k',T'_i,T',CT_i',c_{sev_i} ²)を鍵交換アルゴリズム部１０３を経由してi∈[2,n]である鍵交換装置２００−ｉに送信する。
7. 鍵交換サーバ装置１００の認証情報付加部１０５は、代表ユーザであるユーザu₁の鍵交換装置２００−１に対して、公開鍵暗号方式の暗号化アルゴリズムEncにより、
c_{sev_1} ²=Enc_(key_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)
を計算し、鍵交換アルゴリズム部１０３を経由して(k',CT₁',c_{sev_1} ²)を鍵交換装置２００−１に送信する。

（Session Key Generation and Post Computation）
1. i∈[2,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、(c₁,k',sid,T'_i,T',CT_i',c_{sev_i} ²）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',CT_i')
を計算し、計算結果がc_{sev_i} ²と等しいかを検証する。認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=T'_ixor K_i ^(l)とk₁||s₁=T' xor K₁ ^(l)を計算し、属性ベース暗号の復号アルゴリズムADecにより、暗号文CT'_iを次式により復号する。
K₁←ADec_{usk_i}(CT'_i,P_i)

さらに、鍵交換アルゴリズム部２０３は、K₂=F'(sid,k' xor k₁)を計算し、セッション鍵SKをSK=F''(sid,K₁) xor F''(sid,K₂)により求める。
3. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、sid、H_i ^(l)=R_i-1 ^r_i、H_i ^(r)=R_i+1 ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。
4. 代表ユーザであるユーザu₁の鍵交換装置２００−１の認証情報検証部２０４は、(k',CT₁',c_{sev_1} ²)を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、公開鍵暗号方式の暗号化アルゴリズムEncにより、
Enc_(key₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',CT'₁)
を計算し、計算結果がc_{sev_1} ²と等しいかを検証する。認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
5. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、属性ベース暗号の復号アルゴリズムADecにより、暗号文CT'₁を次式により復号する。
K₁←ADec_{usk_1}(CT'₁,P₁)

さらに、鍵交換アルゴリズム部２０３は、K₂=F'(sid,k' xor k₁)を計算し、セッション鍵SKをSK=F''(sid,K₁) xor F''(sid,K₂)により求める。
6. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、sid、H₁ ^(l)=R_n ^r_i、H₁ ^(r)=R₂ ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。

＜効果＞
このような構成とすることで、第一実施形態と同様の効果を得ることができる。

＜第三実施形態のポイント＞
第一実施形態と異なる部分を中心に説明する。

第三実施形態では、共有秘密鍵更新方式を採用する。共有秘密鍵更新方式では、共有秘密鍵固定方式のステップに加えて、鍵交換アルゴリズムがセッション鍵を共有する前に以下のステップも挟む。

共有秘密鍵更新ステップ：
j回目のセッション鍵が交換される前に、鍵交換装置２００−ｉと鍵交換の相手の鍵交換装置２００−ｍの間で、鍵交換装置２００−ｉと鍵交換の相手の鍵交換装置２００−ｍが、自身の長期秘密鍵SSKとj回目以前(つまりk<j)の共有秘密鍵key_i ^kを使用して、鍵共有を行い、j回目の共有秘密鍵key_i ^jを共有する。その際の通信において、鍵交換装置２００−ｉと鍵交換の相手の鍵交換装置２００−ｍは、自身の長期秘密鍵SSKとj回目以前(つまりk<j)の共有秘密鍵key_i ^kを利用してなりすましや改ざんを防止するための情報を付け加えながら共有する。共有後は、鍵交換装置２００−ｉと鍵交換の相手の鍵交換装置２００−ｍは、新しい共有秘密鍵key_i ^jを保存する。

＜第三実施形態＞
第一実施形態と第三実施形態は、setup、初回共有秘密鍵共有ステップ、（Round2 for Users）、（Round2 for Server）及び（Session Key Generation and Post Computation）における処理内容が異なる。異なる部分を中心に説明する。

・Setup:
第三実施形態では、属性ベース暗号を用いない実施例で記述する。なお、本明細書で記述されるすべての実施形態は属性ベース暗号を用いても用いなくても構成可能である。
1. 各ユーザu_iの利用する鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_i、公開鍵pk_iを生成する((sk_i,pk_i)←Gen(1^k))。さらに、鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_i,st'_i)を生成する（st_i∈_RKspace_κ、st'_i∈_R{0,1}^k）。

鍵交換アルゴリズム部２０３は、(sk_i,st_i,st'_i)を長期秘密鍵SSK_iとして秘密鍵記憶部２０１に保存し、PKIなどの公開鍵pk_iとユーザを紐付ける技術を用いて、pk_iを長期公開鍵SPK_iとして鍵交換サーバ装置１００に公開する。
2. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、公開鍵暗号方式(Gen,Enc,Dec)の鍵生成アルゴリズムGenを用いて、公開鍵暗号方式の秘密鍵sk_s、公開鍵pk_sを生成する((sk_s,pk_s)←Gen(1^k))。さらに、鍵交換アルゴリズム部１０３は、kをセキュリティパラメータとして、ランダムビット列からなる秘密情報(st_s,st'_s)を生成する（st_s∈_RKspace_κ、st'_s∈_R{0,1}^k）。

鍵交換アルゴリズム部１０３は、(sk_s,st_s,st'_s)を長期秘密鍵SSK_sとして秘密鍵記憶部１０１に保存し、PKIなどの公開鍵pk_sとユーザを紐付ける技術を用いて、(p,G,g,h,TCR,tPRF,tPRF',F,F',F'',F''',pk_s)を長期公開鍵SPK_sとして図示しない記憶部に保存し、各鍵交換装置２００−ｉに公開する。

・初回共有秘密鍵共有ステップ：
1. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、長期公開鍵SPK_sを取得し、長期公開鍵SPK_sに含まれるtPRFを用いて、a~_i∈_R{0,1}^κ、a~_i'∈_RKspace_κ、a_i=tPRF(a~_i,a~_i',st_i,st'_i)により、a_iを求め、(a~_i,a~_i')を図示しない記憶部ESK_iに保存し、g^a_iを作成する。共有秘密鍵共有部２０６は、秘密鍵記憶部２０１から秘密鍵sk_iを取り出し、秘密鍵sk_iを用いて、署名アルゴリズムSigにより、署名σ_i ⁰を作成し(σ_i ⁰←Sig_{sk_i}(g^a_i))、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に(g^a_i、σ_i ⁰)を送信する。
2. 鍵交換サーバ装置１００の共有秘密鍵共有部１０６は、(g^a_i,σ_i ⁰)を受け取り、検証アルゴリズムVerを用いて、署名σ_i ⁰を検証する(1 or ⊥←Ver_{pk_i}(g^a_i,σ_i ⁰))。共有秘密鍵共有部１０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部１０６は、検証に成功した場合(1が出力された場合)、鍵交換アルゴリズムを継続する。

共有秘密鍵共有部１０６は、各鍵交換装置２００−ｉに対して、tPRFを用いて、b~_i∈_R{0,1}^κ、b~_i'∈_RKspace_κ、b_i=tPRF(b~_i,b~_i',st_s,st'_s)により、b_iを求め、(b~_i,b~_i')を図示しない記憶部ESK_sに保存し、g^b_iを作成する。

共有秘密鍵共有部１０６は、秘密鍵記憶部１０１から秘密鍵sk_sを取り出し、秘密鍵sk_sを用いて、署名アルゴリズムSigにより、署名σ_s ⁰を作成し(σ_s ⁰←Sig_{sk_s}(g^b_i))、鍵交換アルゴリズム部１０３を経由して各鍵交換装置２００−ｉに(g^b_i,σ_s ⁰)を送信する。さらに、共有秘密鍵共有部１０６は、各鍵交換装置２００−ｉから受け取ったg^a_iと作成した乱数b_iとを用いてg^a_ib_iを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ⁰←MGen(g^a_ib_i)を作成する。共有秘密鍵共有部１０６は、mk_i ⁰(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部１０２に保存する。
3. 各鍵交換装置２００−ｉの共有秘密鍵共有部２０６は、(g^b_i,σ_s ⁰)を受け取り、長期公開鍵SPK_sに含まれるpk_sと検証アルゴリズムVerを用いて、署名σ_s ⁰を検証する(1 or ⊥←Ver_{pk_s}(g^b_i,σ_i ⁰))。共有秘密鍵共有部２０６は、検証に失敗した場合(⊥が出力された場合)、鍵交換アルゴリズムを停止する。共有秘密鍵共有部２０６は、検証に成功した場合(1が出力された場合)、鍵交換装置２００−ｉが生成したa_iと鍵交換サーバ装置１００から受け取ったg^b_iとを用いてg^a_ib_iを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ⁰←MGen(g^a_ib_i)を作成する。共有秘密鍵共有部２０６は、mk_i ⁰(ここでは、ｉは鍵交換装置２００−ｉに対応する1つの値)を共有秘密鍵として共有秘密鍵記憶部２０２に保存する。

ここまでの処理により、鍵交換サーバ装置１００と鍵交換装置２００−ｉとが共有秘密鍵mk_i ⁰を共有する。

（Round2 for Users）
1. i∈[1,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、（sid,R_i-1,R_i+1,σ_{sev_i} ¹）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(sid,R_i-1,R_i+1,σ_{sev_i} ¹)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K_i ^(l)=F(sid,R_i-1 ^r_i)、K_i ^(r)=F(sid,R_i+1 ^r_i)、T_i=K_i ^(l) xor K_i ^(r)を計算する。共有秘密鍵共有部２０６は、さらに、d~_i∈_R{0,1}^κ、d~_i'∈_RKspace_κ、d_i=tPRF(d~_i,d~_i',st_i,st'_i)により、d_iを求め、(d~_i,d~_i')を図示しない記憶部ESK_iに保存し、g^d_iを作成する。共有秘密鍵共有部２０６は、署名アルゴリズムTagを用いて署名σ_i ²を計算し(σ_i ²=Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,g^d_i))、鍵交換サーバ装置１００に対して、鍵交換アルゴリズム部２０３を経由して(k_i,s_i,T_i,g^d_i,σ_i ²)を送信する。
3. 代表ユーザであるユーザu₁の鍵交換アルゴリズム部２０３は、K₁ ^(l)=F(sid,R_n ^r_i)、K₁ ^(r)=F(sid,R₂ ^r_i)、T₁=K₁ ^(l) xor K₁ ^(r)、T'=K₁ ^(l) xor (k₁||s₁)を計算する。共有秘密鍵共有部２０６は、さらに、d~₁∈_R{0,1}^κ、d~₁'∈_RKspace_κ、d₁=tPRF(d~₁,d~₁',st₁,st'₁)により、d₁を求め、(d~₁,d~₁')を図示しない記憶部ESK₁に保存し、g^d_1を作成する。共有秘密鍵共有部２０６は、署名アルゴリズムTagを用いて署名σ_i ²を計算し(σ_i ²=Tag_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,g^d_1))、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００に対して、(T_i,T',g^d_1,σ_i ²)を送信する。

（Round2 for Server）
1. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由してi∈[2,n]である鍵交換装置２００−ｉから(k_i,s_i,T_i,g^d_i,σ_i ²)を取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,g^d_i,σ_i ²)
認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換サーバ装置１００の認証情報検証部１０４は、鍵交換アルゴリズム部１０３を経由して代表ユーザであるユーザu₁の鍵交換装置２００−１から(k_i,s_i,T_i,g^d_1,σ_i ²)を取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(k_i,s_i,T_i,g^d_1,σ_i ²)
認証情報検証部１０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部１０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
3. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、k_S~∈_R{0,1}^*、k_S~'∈_RKspace_κ、K₁~∈_R{0,1}^*、K₁~'∈_RKspace_κを生成し、k_S=tPRF(k_S~,k_S~',st_s,st'_s)とK₁=tPRF(K₁~,K₁~',st_s,st'_s)とk'=( xor_2≦i≦n k_i) xor k_sを計算する。
4. 共有秘密鍵共有部１０６は、e~_i∈_R{0,1}^κ、e~_i'∈_RKspace_κ、e_i=tPRF(e~_i,e~_i',st_i,st'_i)により、e_iを求め、(e~_i,e~_i')を図示しない記憶部ESK_sに保存し、g^e_iを作成する。さらに、共有秘密鍵共有部１０６は、各鍵交換装置２００−ｉから受け取ったg^d_iと作成したg^e_iとを用いてg^d_ie_iを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ¹←MGen(g^d_ie_i)を作成する。共有秘密鍵共有部１０６は、mk_i ¹(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部１０２に保存し、mk_i ⁰を削除する。
5. 鍵交換サーバ装置１００の鍵交換アルゴリズム部１０３は、i∈[2,n]である鍵交換装置２００−ｉに対してT_i'=( xor_1≦j≦i-1 T_j)を計算する。
6. 鍵交換サーバ装置１００の認証情報付加部１０５は、i∈[2,n]である鍵交換装置２００−ｉに対して、署名アルゴリズムTagを用いて、次式により署名σ_i ²を計算する。
σ_i ²=Tag_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',g^e_i)
さらに、認証情報付加部１０５は、(c₁,k',sid,T'_i,T',g^e_i,σ_i ²)を鍵交換アルゴリズム部１０３を経由してi∈[2,n]である鍵交換装置２００−ｉに送信する。
7. 鍵交換サーバ装置１００の認証情報付加部１０５は、代表ユーザであるユーザu₁の鍵交換装置２００−１に対して、署名アルゴリズムTagを用いて、次式により署名σ_i ²を計算する。
σ₁ ²=Tag_(mk_i ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',g^e_1)
さらに、認証情報付加部１０５は、(k',g^e_1,σ₁ ²)を鍵交換アルゴリズム部１０３を経由して鍵交換装置２００−１に送信する。

（Session Key Generation and Post Computation）
1. i∈[2,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、(c₁,k',sid,T'_i,T',g^e_i,σ_i ²）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',g^e_i,σ_i ²)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=T'_ixor K_i ^(l)とk₁||s₁=T' xor K₁ ^(l)を計算し、K₁=F'(sid,k' xor k₁)を計算する。

さらに、鍵交換アルゴリズム部２０３は、セッション鍵SKをSK=F''(sid,K₁)により求める。
3. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、sid、H_i ^(l)=R_i-1 ^r_i、H_i ^(r)=R_i+1 ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。

さらに、共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から受け取ったg^e_iとRound2 for Usersで作成したg^d_iとを用いてg^d_ie_iを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ¹←MGen(g^d_ie_i)を作成する。共有秘密鍵共有部２０６は、mk_i ¹(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部２０２に保存し、mk_i ⁰を削除する。
4. 代表ユーザであるユーザu₁の鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、(k',g^e_1,σ₁ ²)を鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',g^e_1,σ₁ ²)
鍵交換アルゴリズム部２０３は、検証に失敗したら鍵交換アルゴリズムを停止する。鍵交換アルゴリズム部２０３は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
5. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、K₁=F'(sid,k' xor k₁)を計算する。さらに、鍵交換アルゴリズム部２０３は、セッション鍵SKをSK=F''(sid,K₁)により求める。
6. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、sid、H₁ ^(l)=R_n ^r_i、H₁ ^(r)=R₂ ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。

さらに、共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から受け取ったg^e_iとRound2 for Usersで作成したg^d_iとを用いてg^d_ie_iを作成し、MAC鍵を生成するアルゴリズムMGenを用いて、mk_i ¹←MGen(g^d_ie_i)を作成する。共有秘密鍵共有部２０６は、mk_i ¹(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部２０２に保存し、mk_i ⁰を削除する。

＜効果＞
このような構成により、第一実施形態と同様の効果を得ることができる。さらに、共有秘密鍵を更新することでより安全性を高めることができる。

＜変形例＞
なお、本実施形態では、mk_i ⁰←MGen(g^a_ib_i)、mk_i ¹←MGen(g^d_ie_i)として、共有秘密鍵を求めているが、seed←TCR(g^a_ib_i)、mk_i ⁰←MGen(seed)、seed←TCR(g^d_ie_i)、mk_i ¹←MGen(seed)として共有秘密鍵を求めてもよい。

本実施形態では、共有秘密鍵mk_i ¹について説明しているが、セッションj毎に共有秘密鍵mk_i ^jを更新してもよい。更新時には、1つ前の共有秘密鍵mk_i ^j-1だけでなく、1つ以上前の共有秘密鍵mk_i ^k(0<k<j)を用いることができる。なお、kの値は鍵交換の相手と何らかの方法で予め特定しておけばよい。

＜第四実施形態のポイント＞
第三実施形態と異なる部分を中心に説明する。
第四実施形態では、共有秘密鍵更新方式を採用する。
ただし、第三実施形態とは異なり、共有秘密鍵の更新は毎回DH鍵更新を行うのではなく、前回のセッションの共有秘密鍵と関連情報を擬似ランダム関数の入力に入れ、出力された値を更新された共有秘密鍵とする。
なお、第四実施形態では、関連情報を該当セッションで共有されたセッション鍵とする。
＜第四実施形態＞
第三実施形態と第四実施形態は、（Round2 for Users）、（Round2 for Server）及び（Session Key Generation and Post Computation）における処理内容が異なる。異なる部分を中心に説明する。（Round2 for Users）と（Round2 for Server）は、第二実施形態の（Round2 for Users）と（Round2 for Server）それぞれと同様である。
（Session Key Generation and Post Computation）は以下の処理を行う。なお、mk_i ⁰を第三実施形態と同じ初回共有秘密鍵共有ステップを実施する事で鍵交換サーバ装置１００と鍵交換装置２００−iの間で交換している事とする。
（Session Key Generation and Post Computation）
1. i∈[2,n]である鍵交換装置２００−ｉの認証情報検証部２０４は、(c₁,k',sid,T'_i,T',σ_i ²）を鍵交換アルゴリズム部２０３を経由して鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk_i ^j-1)(R_i,c_i,R_i-1,R_i+1,k_i,s_i,T_i,U_i,sid,c₁,k',T_i',T',σ_i ²)
認証情報検証部２０４は、検証に失敗したら鍵交換アルゴリズムを停止する。認証情報検証部２０４は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
2. 鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、K₁ ^(l)=T'_ixor K_i ^(l)とk₁||s₁=T' xor K₁ ^(l)を計算し、K₁=F'(sid,k' xor k₁)を計算する。
さらに、鍵交換アルゴリズム部２０３は、セッション鍵SKをSK=F''(sid,K₁)により求める。
3. i∈[2,n]である鍵交換装置２００−ｉの鍵交換アルゴリズム部２０３は、sid、H_i ^(l)=R_i-1 ^r_i、H_i ^(r)=R_i+1 ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。
さらに、共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３を経由してSKとmk_i ⁰を擬似ランダム関数PRFに入力し、mk_i ¹←PRF(SK,mk_i ⁰)を作成する。共有秘密鍵共有部２０６は、mk_i ¹(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部２０２に保存し、mk_i ⁰を削除する。
4. 代表ユーザであるユーザu₁の鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、(k',σ₁ ²)を鍵交換サーバ装置１００から取得し、検証アルゴリズムVerにより、次式により検証を行う。
Ver_(mk₁ ^j-1)(R₁,c₁,R_n,R₂,T₁,T',U₁,sid,k',σ₁ ²)
鍵交換アルゴリズム部２０３は、検証に失敗したら鍵交換アルゴリズムを停止する。鍵交換アルゴリズム部２０３は、検証に成功した場合のみ、鍵交換アルゴリズムを継続する。
5. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、K₁=F'(sid,k' xor k₁)を計算する。さらに、鍵交換アルゴリズム部２０３は、セッション鍵SKをSK=F''(sid,K₁)により求める。
6. 鍵交換装置２００−１の鍵交換アルゴリズム部２０３は、sid、H₁ ^(l)=R_n ^r_i、H₁ ^(r)=R₂ ^r_i、r=F'''(sid,K₁) xor F'''(sid,K₂)を図示しない記憶部state_iに保存する。
さらに、共有秘密鍵共有部２０６は、鍵交換アルゴリズム部２０３を経由してSKとmk_i ⁰を擬似ランダム関数PRFに入力し、mk_i ¹←PRF(SK, mk_i ⁰)を作成する。共有秘密鍵共有部２０６は、mk_i ¹(ただしi=1,2,…,n)を共有秘密鍵として共有秘密鍵記憶部２０２に保存し、mk_i ⁰を削除する。
これ以後、上記のアルゴリズムに従って、再度DistやJoin、Leave、Updateを実施する度に、その際に共有されるセッション鍵SK^v（v∈N を鍵交換を実施した回数とする）をもちいて、（Session Key Generation and Post Computation）フェーズでmk_i ^v←PRF(SK, mk_i ^v-1)を行い、共有秘密鍵の更新を行う。
＜効果＞
このような構成により、第三実施形態と同様の効果を得ることができる。
＜その他の変形例＞
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

＜プログラム及び記録媒体＞
また、上記の実施形態及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶部に格納する。そして、処理の実行時、このコンピュータは、自己の記憶部に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実施形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよい。さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、プログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、コンピュータ上で所定のプログラムを実行させることにより、各装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (8)

1. 鍵交換装置であって、
   i≠sとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、
   当該鍵交換装置の秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶される共有秘密鍵記憶部と、
   共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加部と、
   外部から鍵交換情報e_s及び鍵交換情報e_sに対応する認証情報σ_sを受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_sを検証し、検証に失敗した場合、鍵交換を停止する認証情報検証部とを含み、
   上記共有秘密情報mk_i ^kは、鍵交換の生成過程で利用する値である、
   鍵交換装置。
2. 請求項１の鍵交換装置であって、
   当該鍵交換装置の秘密鍵が記憶される記憶部と、
   鍵交換の過程で生成される関連情報xと上記秘密鍵と上記共有秘密情報mk_i ^kとを用いて、共有秘密情報mk_i ^jを求める共有秘密鍵共有部とを含む、
   鍵交換装置。
3. 請求項１または請求項２の鍵交換装置であって、
   上記共有秘密情報は、MAC鍵、または、AES鍵であり、
   外部から鍵交換情報e_sを受け取る際、及び、鍵交換情報e_iを外部へ出力する際に、KY Protocolに基づき処理を行う、
   鍵交換装置。
4. 鍵交換サーバ装置とn台の鍵交換装置iとを含む鍵交換システムであって、
   i≠sとし、i=1,2,…,nとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、
   上記鍵交換装置iは、
   当該鍵交換装置iの秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶される共有秘密鍵記憶部と、
   共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加部と、
   外部から鍵交換情報e_{s_i}及び鍵交換情報e_{s_i}に対応する認証情報σ_{s_i}を受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_{s_i}を検証し、検証に失敗した場合、鍵交換を停止する認証情報検証部とを含み、
   上記鍵交換サーバ装置は、当該鍵交換サーバ装置の秘密鍵とは異なる情報である共有秘密情報mk₁ ^k,…,mk_n ^kが記憶される第二共有秘密鍵記憶部と、
   共有秘密情報mk₁ ^k,…,mk_n ^kを用いて、外部へ出力する鍵交換情報e_{s_1},…,e_{s_n}に対して認証及び改ざんを検知する認証情報σ_{s_1},…,σ_{s_n}を生成する第二認証情報付加部と、
   外部から鍵交換情報e₁,…,e_n及び鍵交換情報e₁,…,e_nにそれぞれ対応する認証情報σ₁,…,σ_nを受け取り、上記共有秘密情報mk₁ ^k,…,mk_n ^kを用いて上記認証情報σ₁,…,σ_nをそれぞれ検証し、検証に失敗した場合、失敗した鍵交換装置との鍵交換を停止する第二認証情報検証部とを含む、
   鍵交換システム。
5. 請求項４の鍵交換システムであって、
   上記共有秘密情報は、MAC鍵、または、AES鍵であり、
   外部から鍵交換情報e₁,…,e_nを受け取る際、及び、鍵交換情報e_{s_1},…,e_{s_n}を外部へ出力する際に、KY Protocolに基づき処理を行う、
   鍵交換システム。
6. 鍵交換装置を用いる鍵交換方法であって、
   i≠sとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、
   上記鍵交換装置の共有秘密鍵記憶部には、上記鍵交換装置の秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶されるものとし、
   上記鍵交換装置が、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加ステップと、
   上記鍵交換装置が、外部から鍵交換情報e_s及び鍵交換情報e_sに対応する認証情報σ_sを受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_sを検証し、検証に失敗した場合、鍵交換を停止する認証情報検証ステップとを含む、
   鍵交換方法。
7. 鍵交換サーバ装置とn台の鍵交換装置iとを用いる鍵交換方法であって、
   i≠sとし、i=1,2,…,nとし、jを鍵交換の回数とし、kを0以上jより小さい整数の何れかとし、
   上記鍵交換装置iの共有秘密鍵記憶部には、上記鍵交換装置iの秘密鍵とは異なる情報である共有秘密情報mk_i ^kが記憶されるものとし、上記鍵交換サーバ装置の共有秘密鍵記憶部には、当該鍵交換サーバ装置の秘密鍵とは異なる情報である共有秘密情報mk₁ ^k,…,mk_n ^kが記憶されるものとし、
   上記鍵交換サーバ装置と上記n台の鍵交換装置iとの間でそれぞれ共有秘密情報mk_i ^kを共有する初回共有秘密鍵共有ステップと、
   上記鍵交換装置iが、共有秘密情報mk_i ^kを用いて、外部へ出力する鍵交換情報e_iに対して認証及び改ざんを検知する認証情報σ_iを生成する認証情報付加ステップと、
   上記鍵交換サーバ装置が、外部から鍵交換情報e₁,…,e_n及び鍵交換情報e₁,…,e_nにそれぞれ対応する認証情報σ₁,…,σ_nを受け取り、上記共有秘密情報mk₁ ^k,…,mk_n ^kを用いて上記認証情報σ₁,…,σ_nをそれぞれ検証し、検証に失敗した場合、失敗した鍵交換装置との鍵交換を停止する第二認証情報検証ステップと、
   上記鍵交換サーバ装置が、共有秘密情報mk₁ ^k,…,mk_n ^kを用いて、外部へ出力する鍵交換情報e_{s_1},…,e_{s_n}に対して認証及び改ざんを検知する認証情報σ_{s_1},…,σ_{s_n}を生成する第二認証情報付加ステップと、
   上記鍵交換装置iが、外部から鍵交換情報e_{s_i}及び鍵交換情報e_{s_i}に対応する認証情報σ_{s_i}を受け取り、上記共有秘密情報mk_i ^kを用いて上記認証情報σ_{s_i}を検証し、検証に失敗した場合、鍵交換を停止する認証情報検証ステップとを含む、
   鍵交換方法。
8. 請求項１から請求項３の何れかの鍵交換装置として、コンピュータを機能させるための鍵交換プログラム。

Images