WO2003094422A1 - Systeme de communication chiffree, serveur de remise de cle associe, terminal, et procede de partage de cle - Google Patents

Description

明細書 暗号通信システム、 その鍵配布サーバ、 端末装置及び鍵共有方法 技術分野

本発明は、 暗号化された情報を復号するための鍵を加入者端末 に配布する技術に関 し、 特に鍵の更新を安全かつ高速に行う技術 に関する。 背景技術

予め決め られたグループに対 して情報を提供する よ う なシス テムを構築する際に、 グループ加入者だけに鍵 （グループ鍵） を 配布して、 その鍵を用いた暗号通信を行う場面が多 く 登場する。 例えば、携帯電話に対するコ ンテンツ配信、 D V Dの復号再生器、 C D R O Mによる ソフ トウェア配信、 警察無線、 P 2 Pサービス におけるグループ内通信など、 広い応用分野がある。

このよ う なシステムにおいて、 一部の端末装置 （復号器） が盗 難等によ り紛失された場合、 グループ加入者以外にグループ鍵が 漏洩して しまう おそれがある。 このため、 古いグループ鍵を更新 して、 一刻も早く 新しいグループ鍵を共有 しなければな らない。 この鍵更新技術は、 一度作られたイ ンフラを長期間利用するよ う なシステムにおいて、 極めて重要な意味を持つ。 複数の加入者端末から構成される この種のシステム （以下、 放 送型暗号通信システム） において、 任意に決定 した単数または複 数の加入者端末を除く 全加入者端末に対 してメ ッセージを配布 するこ と を考える。 こ こで、 ある加入者端末をグループから除く こ と を 「排除する」、 その加入者端末を 「排除対象端末」 と呼ぶ。 一般に、 排除対象端末を排除するには、 排除対象端末以外の個々 の加入者端末に新たなグループ鍵を配送する必要がある。 そのた め、 グループの規模の拡大に伴い、 通信量や全加入者端末間で新 しいグループ鍵の共有が完了するまでの遅延が増加する。 従来、 上述したグループ鍵の更新の際における遅延を減少させ るため、 種々の方法が検討されている。 この種の従来技術と して は、 例えば特開 2 0 0 0 — 1 9 6 5 8 1 号公報に開示された技術 がある （従来技術 1 )。

同公報に開示された従来技術 1 は、 排除対象端末が決定後の通 信量や遅延がグループ加入者総数 n に比例 しない手法が用いら れている。 この手法では、 排除対象端末の最大数を kであるとす ると、 各加入者端末がグループ鍵を計算するために、 kに比例し た冪剰余演算が必要になる。 したがって、 kが n に比べて非常に. 小さいならば （ k < < n )、 一般的なグループ鍵配送法よ りも大 幅な効率化が実現できる。 例えば、 1 0 0 0 0台の加入者端末を 持つシステム （ n = 1 0 0 0 0 ) で、 排除対象端末を 1 0 0 ( k = 1 0 0 ) とすると、 一般的なグループ鍵配送法では 1 0 0 0 0 回に比例した処理が必要だったのに対し、 同公報に記載された従 来技術 1 によれば 1 0 0回に比例 した処理で実現するこ とが可 能である。 しかし、 加入者端末数が数百万台に上るようなシステム （例え ば携帯電話などのモパイル端末を対象と したシステム） 等では、 グループの大きさにあわせて、 排除対象端末の最大数 kも大きく 取る必要がある （例えば数千〜数万）。 このため、 計算能力が低 い端末などでは、 復号処理に要する kに比例した計算負荷が無視 できない。 したがって、 kに比例しない、 可能ならば定数回の復 号処理によ リグループ鍵配送が望まれる。 この問題を解決すべく なされた従来技術と して、 特開 2 0 0 1 — 2 0 3 6 8 2号公報がある （従来技術 2 )。

同公報に開示された従来技術 2は、 加入者端末数 n、 及び排除 対象端末の最大数 kに依存せず、 2回の冪剰余演算のみで復号処 理を実現する。 したがって、 非常に多く の加入者端末を持つシス テムにおいても、 高速にグループ鍵の配送を完了することができ る。 放送型暗号通信システムにおいて、 プロ トコル中のメンバーを 次のように定義する。

鍵配布サーバ ： セッ 卜アップ時に、 システムパラメータを決定 し、 各加入者端末に対して個人鍵を配布する信頼機関。 グループ 鍵配送時には、 どの加入者端末を排除するかを決定した上で、 グ ループ鍵をブロー ドキャス 卜によ り配送する。 鍵配布サーバを S と表す。

加入者端末： 鍵配布サーバからのブロー ドキャス トを受信する 端末。 加入者端末 i は、 セッ トアップ時に鍵配布サーバから個人 鍵 を受け取る。 加入者端末の集合を Φ = { 1 , ■ ■ ■ ， η } と する （ η = | Φ |は加入者端末の総数）。

排除された加入者端末： 鍵配布サーバによ り排除された加入者 端末。 I 回目のグループ鍵配送において排除される d (< k ) 個 の加入者端末の集合を Λ , ( C O ) とする。 一度排除された加入 者端末は、 それ以降のラウン ドでグループ鍵を復号することはで きないため、 複数のラウン ドで重複して排除されることはない。 すなわち、 Λ , (Ί Λ = { 0 } ( I ≠ ) を満たす。 また、 排除 された加入者端末の総数は、 ラウン ド全体を通じて k を超えない ものとする （即ち、 | υ Λ ,|≤ ι )。

有効な加入者端末 ： 排除されていない加入者端末。 I 回目のグ ループ鍵配送において有効な加入者端末の集合を Ω , ( = Φ \ U '_j=1A」) とする。 以上のように定義された放送型暗号システムでは、 I ラウン ド において、 加入者端末全体 Φ のうち、 有効な加入者端末 Ω ,に対 して が配送される。 U ,を用いてメ ッセージを暗号化するこ と で、 グループ Ω ,内における放送型暗号通信が可能になる。 すな わち、

1 . Ω。= Φ とする。鍵配布サーバは、各加入者 i e φ に対して、 グループ鍵 U。及び個人鍵 k e を Poi nt-to-Po int の鍵配送プ 口 トコルで配送する。

2 . I ≥ 1 に対して、 以下の処理を繰り返す （この処理の 1 回の 繰り返しを、 以後 Γ I ラウン ド」 と呼ぶ）。

( a ) 鍵配布サーバが Λ ,C Ω _I を決定する。

( b ) k ≥ ∑ ₌₁ | Λ Jであれば、 Φ : = Ω ^、 U ₀: = U ,— , と して 1 . へ戻る。

( c )鍵配布サーバが Ω ,に対して U ,を計算するためのヘッダ Η ,を配送する。

( d ) ν ^ Ω ,は、 及び k e y _vを用いて U ,を計算する。

( e ) 鍵配布サーバ及び Ω ,は、 U ,を用いて放送型暗号通信を行

また、 これ以降の説明では、 次のパラメータを用いる。 p 、 q は q I P — 1 を満たす大きな素数であり、 gは有限体 Z _p上の位数 qの元とする。 p 、 qのサイズは、 g を生成元と して構成される 群 G F ( q )上での離散対数問題が計算量的に困難であるよ うに 設定するものとする。 また、 これ以降の説明において、 特に記述 のない場合、 演算は、 全て m o d p上で行われるものとする。 なお、 詳述はしないが、 位数 pの素体の上での構成法以外にも、 離散対数問題が計算量的に困難となるよ うな任意の群 G F ( q ) 上で定義することができる。 例えば、 （ 1 ) 位数 pの素体上での 乗法演算を、 任意の有限体上の楕円曲線などの曲線上の加法演算 に対応させることによ リ構成される群、 （ 2 ) 素数 pに代えて素 数 P ' の冪乗数と し、 素数 p ' を法とする剰余演算に代えて G F ( P ' )の拡大体上での演算を行なう ことによ り構成される群、 な どがある。

E (key, message)は、 鍵 （key) を用いた対称鍵暗号によるメ ッセージ （message) の暗号化を示す。 n は加入者端末の総数、 k ( < n ) は排除対象端末の最大数である。 以上の前提の下で、 放送型暗号通信システムは、 以下のような 安全性 ， 効率上の 4つの要件を満たすことが要求される。

1 - 有効な加入者端末 V e Ω ,は、 単独でグループ鍵 U ,を （多項 式時間で） 復号できる。

2 . 排除された k個の加入者端末の持つ個人鍵を用いても、 排除 されたラウン ド以降のグループ鍵を （確率的多項式時間で） 復号 することができない。

3 . グループ鍵を配送するためのヘッダの長さや各加入者端末が 持つ個人鍵のサイズが加入者端末の総数に依存しない。

4 . グループ鍵を計算するためのヘッダを受け取つてから、 ダル ープ鍵の復号を完了するまで （復号処理） に要する冪剰余演算の 回数が n、 kに依存しない。 上記要件 1 は、 加入者端末が単独で効率的に復号できるための 要件である。 放送型暗号通信において、 加入者端末が復号時に他 の端末と通信する必要がないときには、 ネッ 卜ワークに対して余 計な トラフィ ックを発生させないために重要である。

要件 2は、 排除された加入者端末が結託してもセッショ ン鍵を 復号できないために必要である。

要件 3は、 非常に多く の加入者端末を持つ場合に処理が大きく なること防ぐために必要である。

要件 4は、 大規模なグループにおいて kも大きく設定する必要 がある場合に、 nや kに依存しない処理量でグループ鍵を復号す るための要件である。

しゝゎゅる Spa re Shadow Attac k 及び r pu b I i s h att ack は、 要 件 2に包含される。 Sec ret Pu b I i s h Attac k は閾値型のプロ トコ ルでは本質的に対応することはできない。 ただし、 秘密を公開し て.しまう攻撃者を w人と したとき、 不正者の結託が k一 w人以下 であれば安全性が維持されることから、 不正に加担する加入者端 末が併せて k 以下という条件でプロ 卜コルの安全性を評価する ことで、 要件 2 と同じ枠組みで安全性を議論することは可能であ る。 上述した従来技術 1 は、 上記の要件 1 、 2、 3 を満足する。 配 布される暗号文の長さが定数時間の O (k )であり、 かつ個人鍵の サイズが O ( 1 )であり、 極めて効率が良い。 しかし、 グループ鍵 の復号処理に要する幂剰余演算の回数は O (k )であ り、 またそれ を事前計算に移行させることもできないため、 要件 4を満たさな い。

従来技術 2は、 要件 4の必要性に着目 し、 これを満足する手法 を提示している。 だが、 以下に示す分析により、 従来技術 2は安 全性上最も重要である要件 2を満たしていない。 すなわち、 有限 回グループ鍵を配送されると、 排除されていない加入者端末はシ ステム全体の秘密情報を求めることが可能であり、 それ以後の排 除を無効にすることが可能である （例えば k≥ 5の場合、 3回の グループ鍵配送で攻撃可能である'）。 以下に、 従来技術 2が要件 2を満足しないことを示す。 まず、 従来技術 2による放送型暗号通信の手法を説明する。

1 . セッ 卜アップ

鍵配布サーバは、 排除対象端末の最大数 kを設定し、 次の数 1 式に示す Z _q上の k次多項式

数 1

^F(^X) ⁼∑j=o^aJ ^{xj G}(^x)

^j

をランダムに選択する。 F (0 ) = S、 G (0 ) = T (m o d q )は、 鍵配布サーバだけが知る秘密鍵である。 鍵配布サーバは、 k e y ,= ( s f = ( F ( ί ), g ^G(i)/F(i)) ( ί = 1 , , · ' , η ) を 各加入者端末 i に秘密通信路を用いて配布する。 また、 鍵配布サ ーバは、 U。s G F (q )をランダムに選択しブロー ドキャス トす る。

2. グループ鍵暗号化 I (≥ 1 ) ラウン ドにおけるグループ鍵 u , を次のように配送 する。 r ,e z_qをランダムに選び、 X ,= g を求める。 次に d個 の排除される加入者端末の集合 を決定する。 k一 d個の整数 を n + k (R— 1 )と n + k Rの間から選び、 それらからなる集合 を Θ , とする。 鍵配布サーバは、 M _M, ■ ' ■ , M _lkを次の数 2式 にて求める。

数 2

M =r₁F(j) + G(j) modq (j€A, U Θ, ) 最後に、鍵配布サーバは、 E (U Β ,) = E (U X , | I [ ( j ， M _u.) I j G Λ , U Θ ,] )を求め、 ブロー ドキャス トする。 I ラウン ドに共有されるグループ鍵は U , = g「 ^{1 S+T}である。

3. グループ鍵復号

I ラウン ドの有効な加入者端末 V e Ω , は、 V e Ω Hであるか ら、 U ,を I — 1 ラウン ドで得ている。 加入者端末 Vは、 受信し た暗号文 E (Uトい Β ,)について、 Uト， を用いて Β , を復号する。 次に、 Β ,の情報を用いて、 グループ鍵 U ,を次の数 3式にて計算 する。

数 3

こ こで、

数 4

W_u = s_v L(v) mod q

また L ( j ) は Lagrangeの多項式補間係数で、

数 5

L(j) = Π t (t~ j) modq

teAj υθϊ u |v}\(j) 次に、 上記従来技術 2の手法が要件 2を満たさないこ とを示す 具体的に、 Rラウン ドの有効な任意の加入者端末 V _v e Q _Rが、 鍵 配布サーバだけが知るべき秘密情報 S、 Tを導出する方法を示す Vは 1 〜 Rラウン ドにおいて （ j , M , j ) ( I = 1 , ■ ■ ' , R , j = 1 , ■ ■ ■ , k ) を得るが、 これは次の数 6式の関係を満た す。

数 6

M ij ^ri -^at J" ⁺∑^bt J'' modq (1 = 1, ...,R, j€A, U Θ, , |A₁ U @₁| = k)

o

こで、 j は既知であるため、 2 1< + 2 + 1^個の変数 3。 ' '， a k ' b o, - ■ ' , b _k、 rい ' ■ ■ ， r _Rに対し、 k R個の方程式 を得ることができる。 つまり、 Rが次の数 7式を満たす場合、 鍵 配布サーバが持つ全ての秘密鍵 S ( = a ₀) , T ( = b ₁₀) を導出 することができてしまう。

数 7

2k + 2 + R kR = R > ² "、 + ¹ )

k - 1

例えば、 k ≥ 5であれば、 3ラウン ドには全ての有効な加入者 端末が鍵配布サーバの秘密鍵 （ Sや Tなど） を求められる。 これ によ り、 従来技術 2が要件 2 を満たしていないことがわかる。 そこで本発明は、 上述した 4つの要件を全て満足し、 安全性が 高く高速なグループ鍵の更新方法を提供するこ とを目的とする。

また本発明は、 上記の目的に加えて、 安全性が高く効率の良い 放送型暗号通信を実現するこ とを目的とする。 発明の開示

上記の目的を達成する本発明は、 暗号化された情報を復号する ための鍵を配布する鍵配布サーバと、 当該情報を使用する所定台 数の加入者端末とを備えた暗号通信システムと して実現される。 この鍵配布サーバは、 情報の復号に用いる暗号化された第 1 のグ ループ鍵と、 この第 1 のグループ鍵の復号処理を実行するための 5482

加入者端末ごとに個別の復号情報と、 グループ鍵の更新後に更新 された第 2のグループ鍵の復号処理の一部を実行するための加 入者端末ごとに個別の鍵更新情報とを加入者端末に配布し、 この 加入者端末は、 予め取得した第 1 のグループ鍵を復号するための 鍵更新情報に基づく 処理結果と鍵配布サーバから配布された復 号情報とを用いて鍵配布サーバから配布された第 1 のグループ 鍵を復号するこ とを特徴とする。 グループ鍵の復号処理を時間的 に分散することによ り、 グループ鍵更新時の処理を軽減している , こ こで、 加入者端末は、 鍵更新情報を用いたグループ鍵の復号 処理の一部を、 このグループ鍵の配布前に実行する。 グループ鍵 を復号する処理の一部を加入者端末において事前に行ってお く ことによ り、 グループ鍵の更新において、 安全性を損なう ことな く 、 新しいグループ鍵が配布された後の処理に要する時間の短縮 を実現している。

また好ま しく は、 鍵配布サーバは、 第 1 のグループ鍵を復号す るための鍵更新情報を、 この第 1 のグループ鍵に更新される前の 第 3のグループ鍵と共に加入者端末に配布する。

さ らに、 鍵配布サーバは、 グループ鍵を更新した場合に、 加入 者端末のうち排除対象端末を設定し、 この排除対象端末以外の加 入者端末が更新されたグループ鍵を復号可能となる復号情報を、 更新されたグループ鍵と共に加入者端末に配布する。 また、 上記の目的を達成する他の本発明は、 暗号化された情報 を復号するための鍵を配布する次のよ うに構成された鍵配布サ —バと して実現される。 この鍵配布サーバは、 情報の復号に用い る第 1 のグループ鍵を生成し暗号化する手段と、 この第 1 のダル ープ鍵の復号処理を実行するための加入者端末ごとに個別の復 号情報を生成する手段と、 グループ鍵の更新後に更新された第 2 のグループ鍵の復号処理の一部を実行するための加入者端末ご とに個別の鍵更新情報を生成する手段と、 第 1 のグループ鍵と復 号情報と鍵更新情報とを加入者端末に配布する手段とを備える ことを特徴とする。 また、 上記の目的を達成するさらに他の本発明は、 次のように 構成された端末装置と しても実現される。 この端末装置は、 暗号 化された情報を復号するための暗号化されたグループ鍵と この グループ鍵を復号するための復号情報とを所定の鍵配布サーバ から取得する手段と、 グループ鍵の復号処理の一部をこのグルー プ鍵の配布前に実行する手段と、 このグループ鍵の復号処理の一 部に基づく 処理結果と鍵配布サーバから取得した復号情報と を 用いてグループ鍵を復号する手段とを備えるこ とを特徴とする。 さ らに本発明は、 コンピュータを制御して上記の鍵配布サーバ や端末装置と して機能させるプログラムと しても実現される。 こ のプログラムは、 磁気ディスクや光ディスク、 半導体メモ リその 他の記録媒体に格納して配布したり、 ネッ 卜ワークを介して配信 した りすることによ り、 提供することができる。 また、 本発明は、 暗号化された情報を復号するための鍵を、 こ の情報を使用する所定台数の端末で共有する、 次のような鍵共有 方法と して実現される。 すなわち、 この鍵共有方法は、 情報の復 号に用いる暗号化されたグループ鍵を復号するための復号処理 の一部が、 このグループ鍵の配布前に、 端末において実行される ステップと、 グループ鍵と このグループ鍵の復号処理の残りの一 部を実行するための端末ごとに個別の復号情報とが、 端末に配布 されるステップと、 配布された復号情報と事前に実行された復号 処理の一部の結果とを用いたグループ鍵の復号処理が、 端末にお いて実行されるステップとを含むことを特徴とする。 図面の簡単な説明

図 1 は本実施の形態による放送型暗号通信システムの概略構 成を説明する図である。

図 2は本実施の形態による暗号通信の処理の流れを説明する フローチヤ一卜である。

図 3は本実施の形態を適用したピア ■ ツー ■ ピア型ネッ トヮ一 クシステムの構成を示す図である。

図 4は本実施の形態を適用 したリ アルタイムコ ンテンツ配信 システムの構成を示す図である。

図 5は本実施の形態を適用 した携帯電話を対象とするサービ ス提供システムの構成を示す図である。

図 6は本実施の形態を適用 したマルチメディ アコ ンテンツ配 信システムの構成を示す図である。

図 7 は本実施の形態を適用 した秘密放送システムの構成を示 す図である。 発明を実施するための最良の態様

以下、 添付図面に示す実施の形態に基づいて、 この発明を詳細 に説明する。

図 1 は、 本実施の形態による放送型暗号通信システムの概略構 成を説明する図である。

図 1 を參照すると、 本実施の形態による放送型暗号通信システ ムは、 暗号通信に用いられるグループ鍵を生成し配布する鍵配布 サーバ 1 0 と、 鍵配布サーバ 1 0から配布されたグループ鍵を取 得しこれを用いて暗号通信を行う加入者端末 2 0 とを備える。 鍵配布サーバ 1 0は、 ワークステーショ ンやパーソナルコンビ ユータ、 その他のネッ 卜ワーク機能を備えたコンピュータ装置に て実現され、 セッ 卜アップ時に、 システムパラメータを決定し、 各加入者端末 2 0に対して個人鍵を配布する。 グループ鍵配送時 には、 どの加入者端末 2 0を排除するかを決定した上で、 グルー プ鍵を暗号化し、 ブロー ドキャス トによ り配送する。 個人鍵ゃグ ループ鍵の生成、 配送等の処理は、 例えばプログラム制御された C P Uの機能と して実現される。

加入者端末 2 0は、 ワークステーショ ンやパーソナルコ ンビュ ータ 携帯電話、 P D A (Personal Digital Assistant)、 その 他のネッ トワーク機能を備えた情報端末機器にて実現され、 鍵配 布サーバ 1 0からのブロー ドキャス 卜を受信する。 加入者端末 ί ( i 番目の加入者端末 2 0 ) は、 セッ トアップ時に鍵配布サーバ 1 0から個人鍵 _{S i}を受け取る。 そして、 この個人鍵 _{S i}を用いて 暗号化されているグループ鍵を復号し、 さ らにこのグループ鍵を 用いて所定のメ ッセージを復号して使用する。 これらの処理は、 例えば、 プログラム制御されたプロセッサにて実現される。 加入 者端末 2 0の集合を Φ = { 1 , ■ ■ ■ ， η } とする （ η = | Φ |は 加入者端末 2 0の総数）。 加入者端末 2 0は、 全体で、 鍵配布サーバ 1 0から配布された グループ鍵を用いて暗号通信を行うグループ Φ を構成する。 こ のグループを構成する個々の加入者端末 2 0は、 初期的には全て 暗号通信に参加できる 「有効な加入者端末」 であるが、 何らかの 理由によ り 「排除された加入者端末 J となった後は、 暗号通信に は参加できない。 すなわち、 個人鍵を用いてグループ鍵を復元す ることができない。

本実施の形態における通信形態は、 鍵配布サーバ 1 0あるいは 所定のサーバと加入者端末 2 0 との間で情報がやり と リ される クライアン ト サーバ型のシステムであっても良いし、 加入者端 末 2 0相互間で情報をやり と りする ピア ■ ッ一 ' ピア （P e e r to Pe e r ) 型のシステムであっても良い。 すなわち、 加入者端末 2 0 で使用されるメ ッセージ （コンテンツ） の提供者は、 鍵配布サ一 /< 1 0 とは別個に存在しても良い。 放送型暗号通信システムにおけるグループ鍵を用いた暗号通 信は、 グループ鍵のセッ 卜アップ、 グループ鍵を用いた情報の暗 号化、 グループ鍵を用いた情報の復号、 及び鍵更新の 4つのフエ ーズを含む。

図 2は、 本実施の形態による暗号通信の処理の流れを説明する フローチヤ一 卜である。

本実施の形態では、 暗号化されたグループ鍵の復号処理の中で 排除対象端末の最大数 kに依存する計算部分を事前計算 （鍵更新 処理）に切り分ける。これにより、証明可能な安全性を保ちつつ、 鍵更新処理を除く部分のグループ鍵の復号処理を 2回の冪剰余 演算で高速に実行可能と している。 以下、 本実施の形態による暗 号通信におけるプロ 卜コルの構成法を説明する。 なお、 以下の説 明において、 受信者とは、 加入者端末 2 0のユーザであり、 加入 者自身である。

1 . セッ 卜アップ

Z _q上のランダムな k次一変数多項式

数 8

F ( X ) = S + y _x SLj X」

( x) = + — x^j を選択する。 F (0 ) = S 、 6 , (0 ) = !^を鍵配布サーバ 1 0の秘 密鍵とする。 鍵配布サーバ 1 0は、 k e _{y i}= ( s f ,,) = ( F ( i ) , を第 1 ラウン ドの受信者 i の復号鍵と して、 各加入者端末 i e { 1 , ■ ■ ■ , η } に秘密に配布する。 グルー プ鍵 U。e G F ( q )は、 全ての加入者端末 2 0に対して配布され る （ステップ 2 0 1 )。

2 . I ラウン ドにおけるグループ鍵暗号化

鍵配布サーバ 1 0は、 r , s z _qをランダムに選択し、 X , :=g を求める。 次に、 d個の排除される加入者端末 2 0の集合 を 決定する （ステップ 2 0 2 ) 。 k一 d個の整数を n + k ( R - 1 ) と n + k Rの間から選び、 それらからなる集合を Θ , とする。 鍵 配布サーバ 1 0は M M, ■ ■ ■ , M _lkを次の数 9式にて求める。 数 9

M -r U G j) modq (jeA!l^ また、有効な加入者端末 2 0である Ω , (以下、加入者端末 Ω , ) が I ラウン ドの配送鍵 U ,を計算するために必要なヘッダ情報 H を、 次の数 1 0式にて計算する （ステップ 2 0 3 )。

数 1 0

B₁ =く X, || {< €： U <5>, }> こ こで、 I ラウン ドにおいて有効な加入者端末 Ω ,にて共有さ れるグループ鍵は、

g ""¹である。

次に、 I + 1 ラウン ドにグループ鍵を配送するための （すなわ ち、 加入者端末 2 0が I + 1 ラウン ドのグループ鍵の復号処理に おける鍵更新処理で用いる） 鍵更新情報を生成する。 鍵配布サー バ 1 0は、 b _{l +} Z_q( j = 〇， ■ ' ■ , k )をランダムに選択し、

bl+1 , 0 bl+1, k

( u 10， U 1 k ) = ( g g ) を求め、 次 の数 1 1 式によ り I ラウン ドのグループ鍵 U ,で暗号化して C , を求める （ステップ 2 0 4 )。

C! =E "( VU "_]l ₅？u₁₀ | I|I.…..| I|Iu "_li_kk)

そして、 鍵配布サーバ 1 0は、 （ Η ,, C ,) を全ての加入者端末 2 0 (すなわち Φ ) に対してブロー ドキャス トで配布する （ステ ップ 2 0 5 )。

3 . I ラウン ドにおけるグループ鍵復号

I ラウン ドにおける復号可能な加入者端末 2 0である加入者 端末 V ( Ε Ω ,) は、 次の数 1 2式によ り、 I ラウン ドの復号を 行う （ステップ 2 0 6 )。

数 1 2

W_n = s_v L ( v) mod a

W_I2 - ^M^LCj) modq

* < 、、、

L(j) = Tl t/(t- j) modq

八 ue> u〖v)ヽ（ jj

すなわち、 ここでは I 一 1 ラウン ドで配布された情報に基づい P T/JP03/05482

15

て事前計算された f _lvと、 ステップ 2 0 5で配布された H ,から 解読される B ,と を用いて I ラウン ドのグループ鍵 U ,を復号し ている。

4 . 1 + 1 ラウン ドへ向けての鍵更新処理 （事前計算）

有効な各加入者端末 V e Ω ,は、 鍵配布サーバ 1 0から配布さ れた に含まれる鍵更新情報を用い、 次の数 1 3式にて事前計 算 （すなわち I + 1 ラウン ドのグループ鍵の配布前の処理） であ る鍵更新処理を行う （ステップ 2 0 7 )。

数 1 3

また、 鍵配布サーバ 1 0は、 I + 1 ラウン ドのグループ鍵の生 成に先立って、 次の数 1 4式の事前計算を実行する。

数 1 4

T_I+1 = b₁₊₁,₀ modq

k

G₁₊₁(x) = . b₁₊₁ x^J modq

=0 これら加入者端末 2 0及び鍵配布サーバ 1 0による鍵更新処 理 （事前計算） は、 I ラウン ドのグループ鍵と共に配布された情 報を用いて、 I + 1 ラウン ドのグループ鍵が配布される前までに 実行しておく 。 以上のように構成される本実施の形態による放送型暗号通信 システムが、 上述した安全性 ， 効率上の 4つの要件を満たすかど うかを検討する。

まず、 本実施の形態は、 加入者端末 2 0間の通信を必要と して いないことから、 要件 1 を満たすことは明らかである。

また、 本実施の形態において配布される暗号文の長さは O ( k ) 個人鍵のサイズは O ( 1 )であり、 要件 3 も満たす。

さ らに、 本実施の形態における復号処理は 2回の幂剰余演算で 構成されており、 要件 4も満たしている。 次に、 本実施の形態が残る要件 2を満たすことを示す。

まず、 要件 2で述べられている 「排除された k個の加入者端末 の持つ個人鍵を用いる」 攻撃者をモデル化する。 この攻撃者は、 Rラウン ドまでに排除されたメ ンバ k人の復号鍵、 及び Rラウン ド以前に受け取った情報から Rラウン ドのグループ鍵を多項式 時間で求めるアルゴリズム M , と してモデル化できる。 一般性を 失わずに （ k個の） 排除された加入者端末 2 0を ί = 1 , ■ ■ ■ ， k とする。 のインプッ トは、

< , P , q , U ₀， ( s , s _k), 、 f " f _1kハ ( H C,) ( H _R, C_R)〉

である。 このようにモデル化すると、 要件 2は、 D D H問題 （Decision Diff i e-He I Iman Problem) を用いて次のよ うに言い換えることが できる。

(命題）

Γ D D H問題を解く 多項式時間アルゴリズムが存在しない限リ、 M ,は存在しない」

D D H問題とは、 g， h e G F (q ) , a , b s Z _qをランダム に選んだとき、 G F (q )上において、 D = < g , h , g ^a, h ^a> (この形を 「Diff ie - Hel Imanの組」 と呼ぶ） と R = < g , h , g h ^a〉 とを有意な確率を持って区別する判定問題である。 D D H問題を多項式時間で解くァルゴリズムは知られていない。 すな わち、 計算量的に困難であると仮定できる数学的な問題であり、 上記の命題から M ,は存在しない。 したがって、 本実施の形態は 要件 2 を満足する。 以上のよ うに、 本実施の形態による放送型暗号通信システムの 2

17

グループ鍵共有方法によれば、 グループ鍵を更新するにあたって . 証明可能な安全性を確保でき、 かつグループ鍵の復号処理の一部 を事前計算にて当該グループ鍵が配布される前に行う ことによ リ、 更新されたグループ鍵が配布された後の処理では加入者端末 数 n、 及び排除対象端末の最大数 kに依存せず、 2回の冪剰余演 算のみで復号処理を実現できる。 したがって、 加入者端末 2 0の 数が膨大であるネッ トワークシステムにおいて、 特に有効である , 次に、 本実施の形態による放送型暗号通信システムを種々のネ ッ 卜ワークシステムに適用した場合の構成例を説明する。

〔ピア ■ ツー ■ ピアにおけるグループメ ンバー管理〕

ピア ■ ッ一 ' ピア （ Peer to Peer： P 2 P ) 型のネッ トワーク システムにおいて、 グループ内通信を安全かつ高速に行うために 本実施の形態を用いることができる。 すなわち、 ネッ トワークシ ステムにおけるグループ内の全てのピア （Peer) が 1 つの鍵 （グ ループ鍵） を共有し、 放送型暗号通信を行う。

図 3は、 本実施の形態を適用したピア ' ツー ■ ピア型ネッ トヮ ークシステムの構成を示す図である。 図 3において、 対象である ネッ トワークシステムのグループマネージャ一が本実施の形態 の鍵配布サーバ 1 0を構成し、 グループ内の各ピア （Peer) が加 入者端末 2 0 を構成する。

このようなネッ トワークシステムでは、 例えば j xt aにおける leaveなどによって所定のピア （Peer) がグループから離脱した 場合、 それ以降のグループ内通信を安全に行うためには、 新たな グループ鍵を残りのピア （Peer) の間で迅速に再共有する必要が ある。 一方で、 ピア ' ツー ' ピア型ネッ 卜ワークでは様々な端末 がピア （Peer) となり得るため、 非常に計算能力の限られた端末 であっても容易にグループ鍵を入手できなければならない。 本実 施の形態は、 このようなピア ■ ツー ■ ピア型ネッ 卜ワークシステ ムにおけるグループメ ンバー管理に容易に適用できる。

本実施の形態を適用することによ り、 グループ鍵の復号処理は 2回の冪剰余乗算で完了するため、 大きな計算能力を必要と しな い。 また、 大規模なネッ 卜ワークで適用 した場合でも効率性を損 なわずに高速にグループ鍵の更新を行い利用可能とすることが でさる。 〔リ アルタイムコ ンテンツ配信システム〕

ゲーム機の高機能化に伴い、 ゲーム機をピア （Pee r ) と見立て てピア ■ ッ一 ■ ピア型ネッ トワークを構成することによ り 、 ユー ザ間のインタラクショ ンを容易にするようなオンライ ンゲーム が出現している。 すなわち、 グループマネージャに相当するサ一 バがゲームコンテンツを各ゲーム機に提供し、 各ゲーム機間でピ ァ ■ ツー ■ ピア型の通信を行いながらゲームを進行する。

図 4は、 本実施の形態を適用 したこの種のコ ンテンツ配信シス テムの構成を示す図である。 図 4において、 ゲームコンテンツを 配信するサーバが本実施の形態の鍵配布サーバ 1 0 を構成し、 各 ゲーム機が加入者端末 2 0を構成する。

このような環境においては、 グループ内での放送型暗号通信が 頻繁に必要になることが予想されるが、 その一方でグループから のメ ンバの離脱も頻繁に起こ りえると考えられる。 例えば、 利用 料金を滞納したユーザはグループへの接続を解除する必要があ る。 したがって、 グループからメ ンバが離脱する際に要する、 グ ループ鍵共有のための復号処理時間を短縮することは、 アプリケ ーショ ンの利用性を高める。

本実施の形態による放送型暗号通信は、 高速な復号処理を実現 し、 大規模なネッ 卜ワークに対応可能であるため、 図 4に示すシ ステムにおけるコンテンツの配信に適用することができる。 すな わち、 グループ鍵を高速に共有することができ、 これにより暗号 化されたコンテンツを受信と同時にリアルタイムで復号するこ とが可能になる。 また、 時間を要する鍵更新処理は、 コ ンテンツ 受信後に当該コ ンテンツ実行時の余剰処理能力を用いて行う こ とができる。 なお、 こ こではオンラインゲームを実行するための コ ンテンツ配信を例と して説明したが、 ゲームの他にも リアルタ ィムで実行するような種々のコンテンツを配信する場合に、 本実 施の形態による放送型暗号通信を適用できることは言うまでも ない。

〔携帯電話加入者へのデータ配信〕

近年、 携帯電話の利用は人口の過半数をカバ一するほどに拡大 している。 そこで、 数百万の携帯電話加入者に対してグループ暗 号化通信のサービスを行う場面を考える。 例えば、 グループを構 成した端末に対して特定のサービスを提供する場合などがある。

図 5は、 本実施の形態を適用した携帯電話を対象とするサービ ス提供システムの構成を示す図である。 図 5において、 サービス を提供するサーバが鍵配布サーバ 1 0を構成し、 サービスの利用 登録がなされている携帯電話が加入者端末 2 0を構成する。

このようなネッ 卜ワークシステムでは、 サービスの利用料金を 滞納したり、 端末の紛失や盗難があった場合に、 特定の端末の持 つグループへのアクセス権限を無効化する必要がある。 本実施の 形態は、 本発明を適用することで、 非力な携帯電話に対しても利 用可能な放送型暗号通信を実現できる。

〔マルチメディアコンテンツ配信システム〕

近年、 D V Dを用いたマルチメディアコ ンテンツ配信システム が爆発的に普及している。

図 6は、 本実施の形態を適用したマルチメディアコンテンツ配 信システムの構成を示す図である。 図 6において、 マルチメディ ァコンテンツを提供するコンテンツプロバイダが本実施の形態 の鍵配布サーバ 1 0を構成し、 当該マルチメディアコンテンツの 再生機が加入者端末 2 0を構成する。

このシステムにおいて、 D V Dメディアは暗号化されたデジタ ルコンテンツ （映画や音楽、 ソフ トウェアなど） が記憶された状 態で配布される。 暗号化されたコンテンツは再生機に搭載された 再生復号器内に保管される復号鍵を用いて復号される。 復号鍵は 再生復号器のメーカーごとに異なり、 再生復号器の安全なメモ リ エリアに格納されている。 だが、 クラッカーの解析やメーカーの 不手際によ り、 復号鍵が漏洩してしまう場面が起こ り得る。 この 場合に、 一部の復号鍵を使用不可能にする暗号化手法が必要とな る。

本実施の形態を適用することによ り、 証明可能な安全性を確保 して、 一部の復号鍵を使用不可能にするための復号鍵の更新を行 う ことが可能となる。

〔警察無線機の紛失 ■ 盗難に対応する秘密放送システム〕

警察無線は、 グループ内秘匿通信の代表例である。 警察官の所 持する無線機以外の無線受信機を用いても通信が傍受できない ようにすることが必要となる。

図 7は、 本実施の形態を適用 した秘密放送システムの構成を示 す図である。 図 7において、 秘密放送の放送局が鍵配布サーバ 1 0を構成し、 各無線受信機が加入者端末 2 0を構成する。

上記のように、 警察無線のような秘密放送では、 警察官の所持 する無線機以外の無線受信機では通信を傍受できないような工 夫が必要であるが、 警察官が無線機を紛失したり盗難されたり し た場合、 本実施の形態によ り、 かかる無線機を加入者端末 2 0の グループ （ Φ ) から排除して新しいグループ鍵を共有することに よ り、 紛失した無線機を利用不可能にすることができる。 発明の効果

以上説明したように、 本発明によれば、 安全性が高く高速なグ ループ鍵の更新方法を提供することができる。

また本発明によれば、 安全性が高く効率の良い放送型暗号通信 を実現することができる。

Claims

請求の範囲

1 . 暗号化された情報を復号するための鍵を配布する鍵配布サ —バと、 当該情報を使用する所定台数の加入者端末とを備えた暗 号通信システムにおいて、

前記鍵配布サーバは、 前記情報の復号に用いる暗号化された第

1 のグループ鍵と、 当該第 1 のグループ鍵の復号処理を実行する ための前記加入者端末ごとに個別の復号情報と、 グループ鍵の更 新後に更新された第 2のグループ鍵の復号処理の一部を実行す るための前記加入者端末ごとに個別の鍵更新情報と を前記加入 者端末に配布し、

前記加入者端末は、 予め取得した前記第 1 のグループ鍵を復号 するための前記鍵更新情報に基づく処理結果と前記鍵配布サ一 バから配布された前記復号情報と を用いて前記鍵配布サーバか ら配布された前記第 1 のグループ鍵を復号する こ とを特徴とす る暗号通信システム。

2 . 前記加入者端末は、 前記鍵更新情報を用いた前記グループ 鍵の復号処理の一部を、 当該グループ鍵の配布前に実行すること を特徴とする請求項 1 に記載の暗号通信システム。

3 . 前記鍵配布サーバは、 前記第 1 のグループ鍵を復号するた めの鍵更新情報を、 当該第 1 のグループ鍵に更新される前の第 3 のグループ鍵と共に前記加入者端末に配布するこ とを特徴とす る請求項 1 に記載の暗号通信システム。

4 . 前記鍵配布サーバは、 前記グループ鍵を更新した場合に、 前記加入者端末のうち排除対象端末を設定し、 当該排除対象端末 以外の加入者端末が更新された当該グループ鍵を復号可能な前 記復号情報を、 更新された当該グループ鍵と共に前記加入者端末 に配布する こ と を特徴とする請求項 1 に記載の暗号通信システ ム。

5 . 暗号化された情報を復号するための鍵を配布する鍵配布サ ―バにおいて、 前記情報の復号に用いる第 1 のグループ鍵を生成し暗号化す る手段と、

前記第 1 のグループ鍵の復号処理を実行するための加入者端 末ごとに個別の復号情報を生成する手段と、

グループ鍵の更新後に更新された第 2のグループ鍵の復号処 理の一部を実行するための前記加入者端末ごとに個別の鍵更新 情報を生成する手段と、

前記第 1 のグループ鍵と前記復号情報と前記鍵更新情報と を 前記加入者端末に配布する手段と

を備えるこ とを特徴とする鍵配布サーバ。

6 . 前記復号情報を生成する手段は、 前記加入者端末のうち排 除対象端末を設定し、 当該排除対象端末以外の加入者端末が当該 グループ鍵を復号可能な前記復号情報を生成するこ とを特徴と する請求項 5に記載の鍵配布サーバ。

7 . 暗号化された情報を復号するための暗号化されたグループ 鍵と当該グループ鍵を復号するための復号情報とを所定の鍵配 布サーバから取得する手段と、

前記グループ鍵の復号処理の一部を当該グループ鍵の配布前 に実行する手段と、

前記グループ鍵の復号処理の一部に基づく 処理結果と前記鍵 配布サーバから取得した前記復号情報と を用いて前記グループ 鍵を復号する手段と

を備えるこ とを特徴とする端末装置。

8 . コ ンピュータ を制御して、 暗号化された情報を復号するた めの鍵を配布するプログラムであって、

前記情報の復号に用いる第 1 のグループ鍵を生成し暗号化す る機能と、

前記第 1 のグループ鍵の復号処理を実行するための加入者端 末ごとに個別の復号情報を生成する機能と、

グループ鍵の更新後に更新された第 2のグループ鍵の復号処 理の一部を実行するための前記加入者端末ごとに個別の鍵更新 情報を生成する機能と、 所定の通信手段を介して前記第 1 のグループ鍵と前記復号情 報と前記鍵更新情報とを前記加入者端末に配布する機能と

を前記コ ンピュータに実現させること を特徴とするプロダラ ム。

9 . 前記復号情報を生成する機能は、 前記加入者端末のうち排 除対象端末を設定し、 当該排除対象端末以外の加入者端末が当該 グループ鍵を復号可能な前記復号情報を生成するこ とを特徴と する請求項 8に記載のプログラム。

1 0 . コンピュータを制御して、 所定の機能を実現するプログ ラムであって、

所定の通信手段を介して、 暗号化された情報を復号するための 暗号化されたグループ鍵と当該グループ鍵を復号するための復 号情報とを所定の鍵配布サーバから取得する機能と、

前記グループ鍵の復号処理の一部を当該グループ鍵の配布前 に実行する機能と、

前記グループ鍵の復号処理の一部に基づく 処理結果と前記鍵 配布サーバから取得した前記復号情報とを用いて前記グループ 鍵を復号する機能と

を前記コ ンピュータに実現させるこ とを特徴とするプログラ 厶 ₀

1 1 . コンピュータを制御して暗号化された情報を復号するた めの鍵を配布するプログラムを、 当該コンピュータが読み取り可 能に記録した記録媒体であって、

前記プログラムは、

前記情報の復号に用いる第 1 のグループ鍵を生成し暗号化す る機能と、

前記第 1 のグループ鍵の復号処理を実行するための加入者端 末ごとに個別の復号情報を生成する機能と、

グループ鍵の更新後に更新された第 2のグループ鍵の復号処 理の一部を実行するための前記加入者端末ごとに個別の鍵更新 情報を生成する機能と、

所定の通信手段を介して前記第 1 のグループ鍵と前記復号情 報と前記鍵更新情報とを前記加入者端末に配布する機能と を前記コ ンピュータに実現させるこ とを特徴とする記録媒体。

1 2 . コ ンピュータを制御して所定の機能を実現するプロダラ ムを、 当該コンピュータが読み取り可能に記録した記録媒体であ つて、

前記プログラムは、

所定の通信手段を介して、 暗号化された情報を復号するための 暗号化されたグループ鍵と当該グループ鍵を復号するための復 号情報とを所定の鍵配布サーバから取得する機能と、

前記グループ鍵の復号処理の一部を当該グループ鍵の配布前 に実行する機能と、

前記グループ鍵の復号処理の一部に基づく 処理結果と前記鍵 配布サーバから取得した前記復号情報と を用いて前記グループ 鍵を復号する機能と

を前記コ ンピュータに実現させるこ とを特徴とする記録媒体。

1 3 . 暗号化された情報を復号するための鍵を、 当該情報を使 用する所定台数の端末で共有する鍵共有方法において、

前記情報の復号に用いる暗号化されたグループ鍵を復号する ための復号処理の一部が、 当該グループ鍵の配布前に、 前記端末 において実行されるステップと、

前記グループ鍵と、 当該グループ鍵の復号処理の残りの一部を 実行するための前記端末ごとに個別の復号情報とが、 当該端末に 配布されるステップと、

配布された前記復号情報と事前に実行された前記復号処理の —部の結果とを用いた前記グループ鍵の復号処理が、 前記端末に おいて実行されるステップと

を含むこ とを特徴とする鍵共有方法。

1 4 . 前記グループ鍵の配布前に前記復号処理の一部を実行す るための情報が、 更新前の前記グループ鍵と共に前記端末に配布 されるこ とを特徴とする請求項 1 3に記載の鍵共有方法。