WO2018043573A1

WO2018043573A1 - 鍵交換方法、鍵交換システム

Info

Publication number: WO2018043573A1
Application number: PCT/JP2017/031188
Authority: WO
Inventors: 麗生吉田; 鉄太郎小林; 祐人川原; 仁冨士; 一樹米山
Original assignee: 日本電信電話株式会社
Priority date: 2016-09-01
Filing date: 2017-08-30
Publication date: 2018-03-08
Also published as: JP6468567B2; CN109565440B; CN109565440A; EP3509246A1; US11677543B2; US20210314146A1; JP2018037938A; US20200252208A1; EP3509246A4; US11258588B2; EP3509246B1

Abstract

共通鍵を共有するメンバの変更を許しながら複数のユーザが共通鍵を共有し、鍵交換に必要な計算量を低減する。第一鍵生成ステップでねじれ擬似ランダム関数を用いてR_i, c_iを計算する。セッションID生成ステップでターゲット衝突困難ハッシュ関数によりsidを生成し、(sid,R_α, R_β)を通信装置U_iへ送信する。代表第二鍵生成ステップで擬似ランダム関数を用いてT₁, T'を計算する。一般第二鍵生成ステップで擬似ランダム関数を用いてT_jを計算する。第三鍵生成ステップでねじれ擬似ランダム関数を用いてk'を計算し、各jについてT'_jを計算する。第一セッション鍵生成ステップでK₁ ^l, k₁を計算する。第二セッション鍵生成ステップで擬似ランダム関数により共通鍵K₂を生成する。

Description

鍵交換方法、鍵交換システム

　この発明は情報セキュリティ技術の応用に関し、特に、グループを形成する複数のユーザが共通鍵を共有する鍵交換技術に関する。

　従来からグループを形成する複数のユーザが共通鍵を共有する鍵交換技術が提案されている（例えば、非特許文献１、２参照）。非特許文献１には、そのような鍵交換技術を実現する情報システムのアーキテクチャが記載されている。非特許文献２には、そのような鍵交換技術のアルゴリズムが記載されている。

Suvo Mittra, "Iolus: a framework for scalable secure multicasting", SIGCOMM '97, pp. 277-288 "Scalable Multicast Key Distribution"、［online］、［平成28年7月12日検索］、インターネット<URL:https://tools.ietf.org/html/rfc1949>

　非特許文献１、２に記載の従来技術では、共通鍵を共有したユーザ以外のユーザと新たに共有するなど動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することはできない。また、ユーザ数をnとして、全体として鍵交換に必要な計算量はO(log n)となるため、ユーザ数の増大に従って鍵交換の計算量が増えるという問題がある。

　この発明の目的は、このような点に鑑みて、共通鍵を共有するメンバの変更を許しながら複数のユーザが共通鍵を共有することができ、鍵交換に必要な計算量を低減することができる鍵交換技術を提供することである。

　本発明の一態様は、nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、U_iをn台の通信装置とし、U₁を上記通信装置U_iから選択された1台の代表通信装置とし、U_jを上記通信装置U_iから上記代表通信装置U₁を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義されるとし、

上記鍵配送装置Sの記憶部に、秘密ストリングst_S, st'_Sが記憶されており、上記通信装置U_iの記憶部に、秘密ストリングst_i, st'_iが記憶されており、上記通信装置U_iが、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^r_iおよびc_i=g^k_ih^s_iを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信する第一鍵生成ステップと、上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成ステップと、上記代表通信装置U₁が、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信する代表第二鍵生成ステップと、上記一般通信装置U_jが、擬似ランダム関数により(sid, R_α ^r_j)を用いてK_j ^lを生成し、擬似ランダム関数により(sid, R_β ^r_j)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j,T_j)を上記鍵配送装置Sへ送信する一般第二鍵生成ステップと、上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T')を上記一般通信装置U_jへ送信する第三鍵生成ステップと、上記一般通信装置U_jが、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、上記通信装置U_iが、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップとを含む。

　本発明の一態様は、nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、U_i(i=1, …, n+k)をn+k台の通信装置とし、通信装置U₁, …, U_nにより確立されたセッションに通信装置U_n+1, …, U_n+kが新たに参加する際の鍵交換方法であって、U₁を上記通信装置U₁, U_n, U_n+1, …, U_n+kから選択された1台の代表通信装置とし、上記鍵配送装置Sの記憶部に、秘密ストリングst_S, st'_Sが記憶されており、上記通信装置U_i(i=1, …, n+k)の記憶部に、秘密ストリングst_i, st'_iが記憶されており、さらに、上記通信装置U₁, …, U_nの記憶部に、上記通信装置U₁, …, U_nにより確立されたセッションで生成された秘密情報rが記憶されており、上記通信装置U_i(i=1, n, …, n+k)が、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^r_iおよびc_i=g^k_ih^s_iを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信し、上記通信装置U_i(i=2, …, n-1)が、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてk_i, s_iを生成し、c_i=g^k_ih^s_iを計算し、c_iを上記鍵配送装置Sへ送信する第一鍵生成ステップと、上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_n+kを用いてsidを生成し、i=1, 2について(sid, R_i-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, R_i+1)を、i=n+1, …, n+kについて(sid, R_i-1, R_i+1)を上記通信装置U_iへ送信する（ただし、R₀=R_n+K,R_n+k+1=R₁とする）セッションID生成ステップと、上記代表通信装置U₁が、擬似ランダム関数により(sid, R_n+k ^r_1)を用いてK₁ ^lを生成し、擬
似ランダム関数により(sid, g^r_1r)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信し、上記通信装置U₂が、擬似ランダム関数により(sid, R₁ ^r)を用いてK₂ ^lを生成し、擬似ランダム関数により(sid, g^r)を用いてK₂ ^rを生成し、K₂ ^lとK₂ ^rとの排他的論理和によりT₂を計算し、(k₂, s₂, T₂)を上記鍵配送装置Sへ送信し、上記通信装置U_i (i=3, …, n-2)が、(k_i, s_i)を上記鍵配送装置Sへ送信し、上記通信装置U_n-1が、擬似ランダム関数により(sid, g^r)を用いてK_n-1 ^lを生成し、擬似ランダム関数により(sid, R_n ^r)を用いてK_n-1 ^rを生成し、K_n-1 ^lとK_n-1 ^rとの排他的論理和によりT_n-1を計算し、(k_n-1, s_n-1, T_n-1)を上記鍵配送装置Sへ送信し、上記通信装置U_nが、擬似ランダム関数により(sid, R_n ^r)を用いてK_n ^lを生成し、擬似ランダム関数により(sid, R_n+1 ^r_n)を用いてK_n ^rを生成し、K_n ^lとK_n ^rとの排他的論理和によりT_nを計算し、(k_n, s_n, T_n)を上記鍵配送装置Sへ送信し、上記通信装置U_i(i=n+1, …, n+k)が、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^lを生成し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^rを生成し、K_i ^lとK_i ^rとの排他的論理和によりT_iを計算し、(k_i, s_i, T_i)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n+k, k_sの排他的論理和によりk'を計算し、i=2,…, n+kについてT₁, …, T_i-1（ただし、i=3, …, n-1についてT_iを空とする）の排他的論理和によりT'_iを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_i, T')を上記通信装置U_i(i=2, …, n+k)へ送信する第三鍵生成ステップと、上記通信装置U_i(i=2, n, …, n+k)が、T'_iとK_i ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算し、上記通信装置U_i(i=3, …, n-1)が、T'_iとg^rとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、上記通信装置U_i(i=1, …, n+k)が、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップとを含む。

　この発明によれば、共通鍵を共有するメンバの変更を許しながら複数のユーザが共通鍵を共有することができる。鍵交換に必要な計算量が、ユーザ数の定数回、すなわちO(1)となり、従来よりも削減されている。

鍵交換システムの機能構成を例示する図である。鍵配送装置の機能構成を例示する図である。通信装置の機能構成を例示する図である。鍵交換方法の処理フロー（システムセットアップ）を例示する図である。鍵交換方法の処理フロー（セッション鍵配送）を例示する図である。鍵交換方法の処理フロー（ユーザ追加）を例示する図である。

　実施形態の説明に先立って、この明細書における表記方法等について説明する。

＜表記方法＞
　_（アンダースコア）は下付き添字を表す。例えば、x^y_zはy_zがxに対する上付き添字であり、x_{y_z}はy_zがxに対する下付き添字であることを表す。

　ある集合Setについて、Setから要素mをランダムに選ぶことを、m∈_RSetと表記する。

　あるアルゴリズムALGについて、入力xと乱数rに対してALGがyを出力することを、y←ALG(x;r)と表記する。なお、ALGが確定的アルゴリズムの場合は、乱数rは空である。

　|・|は値・のビット長とする。

＜定義＞
　кをセキュリティパラメータとする。

　F={F_к: Dom_к×FS_к→Rng_к}_кを定義域{Dom_к}_к、鍵空間{FS_к}_к、値域{Rng_к}_к
を持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数F_кと真正ランダム関数RF_к: Dom_к→Rng_кが見分けられなければ、F={F_к}_кを擬似ランダム関数族と呼ぶ。擬似ランダム関数の具体例は、例えば、下記参考文献１に記載されている。
〔参考文献１〕O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年

　H={H_к: Dom_к→Rng_к}_кを定義域{Dom_к}_к、値域{Rng_к}_кを持つハッシュ関数族とする。このとき、もし任意の多項式時間の攻撃者Aに対して、x∈_RDom_кを与えた上でH_к(x)=H_к(x')となるようなx'(≠x)を見つけられなければ、H={H_к}_кをターゲット衝突困難ハッシュ関数族と呼ぶ。ターゲット衝突困難ハッシュ関数の具体例は、例えば、下記参考文献２に記載されている。
〔参考文献２〕J.A.ブーフマン著、「暗号理論入門　原書第3版」、丸善出版、2007年

　メッセージ認証コードアルゴリズムを(MGen, Tag, Ver)とする。MAC鍵生成アルゴリズムMGenはセキュリティパラメータкを入力とし、MAC鍵mkを出力する。タグ生成アルゴリズムTagはMAC鍵mkと平文mを入力とし、認証タグσを出力する。検証アルゴリズムVerはMAC鍵mkと平文mと認証タグσを入力とし、認証タグσが正しければ1を、正しくなければ0を出力する。メッセージ認証コードアルゴリズムの具体例は、例えば、上記参考文献２に記載されている。

　関数暗号アルゴリズムを(Setup, Der, FEnc, FDec)とする。セットアップアルゴリズムSetupはセキュリティパラメータкを入力とし、マスタ秘密鍵mskと公開パラメータParamsを出力する。鍵導出アルゴリズムDerは公開パラメータParamsとマスタ秘密鍵mskと属性Aを入力とし、ユーザ秘密鍵uskを出力する。暗号化アルゴリズムFEncは公開パラメータParamsとアクセス構造Pと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムFDecはユーザ秘密鍵uskと暗号文CTを入力とし、属性Aがアクセス構造Pを満たすならば平文mを出力する。関数暗号アルゴリズムの具体例は、例えば、下記参考文献３に記載されている。
〔参考文献３〕D. Boneh, A. Sahai, and B. Waters, “Functional encryption: definitions and challenges”, TCC, Lecture Notes in Computer Science, vol. 6597, pp. 253-273, 2011.

　IDベース暗号アルゴリズムを(IBE-Setup, IBE-Der, IBE-Enc, IBE-Dec)とする。セットアップアルゴリズムIBE-Setup はセキュリティパラメータкを入力とし、マスタ秘密鍵mskと公開パラメータParamsを出力する。鍵導出アルゴリズムIBE-Der は公開パラメータParams、マスタ秘密鍵mskとID∈{0, 1}^*を入力とし、ユーザ秘密鍵uskを出力する。暗号化アルゴリズムIBE-Encは公開パラメータParams、ID∈{0, 1}^*と平文mを入力とし、暗号文CTを出力する。復号アルゴリズムIBE-Decは公開パラメータParams、ユーザ秘密鍵uskと暗号文CTを入力とし、平文mを出力する。IDベース暗号アルゴリズムの具体例は、例えば、下記参考文献４の８章“Boneh-Franklin IBE”、９章“Boneh-Boyen IBE”に記載されている。
〔参考文献４〕 Luther Martin, “Introduction to Identity-Based Encryption”, 1stEdition, Artech House, January 2008.

　関数tPRF: {0, 1}^к×FS_к×FS_к×{0, 1}^к→Rng_кをねじれ擬似ランダム関数と呼び、擬似ランダム関数F_кを用いて、

と定義する。ただし、a, b'∈{0, 1}^кであり、a', b∈FS_кである。ねじれ擬似ランダム関数の具体例は、例えば、下記参考文献５に記載されている。
〔参考文献５〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜システム構成＞
　実施形態の鍵交換システムは、図１に例示するように、鍵配送装置１およびN（≧2）台の通信装置２₁, …, ２_Nを含む。この実施形態では、鍵配送装置１および通信装置２₁,…, ２_Nはそれぞれ通信網３へ接続される。通信網３は、鍵配送装置１が通信装置２₁, …, ２_Nそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。この実施形態では、通信装置２₁, …, ２_N同士は通信できなくともよい。通信網３は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。

　鍵配送装置１は、図２Ａに例示するように、記憶部１００、第一セットアップ部１０１、第二セットアップ部１０２、ユーザID受信部１０３、初期鍵生成部１０４、秘密ストリング生成部１０５、ユーザ鍵送信部１１１、セッションID生成部１１３、認証タグ検証部１１４、第三鍵生成部１１５、および認証タグ生成部１１６を含む。通信装置２は、図２Ｂに例示するように、記憶部２００、ユーザID送信部２０３、初期鍵受信部２０４、秘密ストリング生成部２０５、ユーザ鍵受信部２１１、第一鍵生成部２１２、第二鍵生成部２１４、認証タグ生成部２１５、認証タグ検証部２１６、およびセッション鍵生成部２１７を含む。この鍵配送装置１および通信装置２₁, …, ２_Nが、図３～図５に例示する各ステップの処理を行うことにより実施形態の鍵交換方法が実現される。

　鍵配送装置１および通信装置２₁, …, ２_Nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。各装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。各装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。各装置が備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　鍵配送装置１が備える記憶部１００および通信装置２₁, …, ２_Nが備える記憶部２００は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。各記憶部は秘密情報を記憶するため、耐タンパ性を有する記憶装置（例えば、SIMカードなど）であることが望ましい。

＜システムセットアップ＞
　図３を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。

　以降の説明では、以下のように記号を定義する。Sは鍵配送装置１を示し、U_i（i∈{1, …, N}）はN台の通信装置２₁, …, ２_Nを示すものとする。Gをкビットの素数位数pの乗法巡回群とする。g, hをそれぞれ群Gの生成元とする。H: {0, 1}^*→{0, 1}^кをターゲット衝突困難ハッシュ関数とする。tPRF: {0, 1}^к×FS_к×FS_к×{0, 1}^к→Z_p、tPRF': {0, 1}^к×FS_к×FS_к×{0, 1}^к→FS_кをねじれ擬似ランダム関数とする。F: {0, 1}^к×G→Z_p ²、F': {0, 1}^к×Z_p→FS_к、F": {0, 1}^к×FS_к→{0, 1}^к、F''': {0, 1}^к×FS_к→Z_pを擬似ランダム関数とする。

　なお、S, U_iを各アルゴリズムの入力とする場合、各装置を一意に特定する識別子を表すものとする。

　ステップＳ１０１において、鍵配送装置Sの第一セットアップ部１０１は、関数暗号のセットアップアルゴリズムSetupにより公開パラメータParamsおよびマスタ秘密鍵mskを生成する。第一セットアップ部１０１は、公開パラメータParamsを通信装置U₁, …, U_Nそれぞれへ送信する。公開パラメータParamsおよびマスタ秘密鍵mskは記憶部１００へ記憶される。また、通信装置U_iは、鍵配送装置Sから受信した公開パラメータParamsを記憶部２００へ記憶する。

　ステップＳ１０２において、鍵配送装置Sの第二セットアップ部１０２は、IDベース暗号のセットアップアルゴリズムIBE-Setupにより、鍵配送装置Sの公開パラメータParams'およびマスタ秘密鍵msk'を生成する。公開パラメータParams'およびマスタ秘密鍵msk'は記憶部１００へ記憶される。

　ステップＳ２０３において、通信装置U_iのユーザID送信部２０３は、鍵配送装置SへユーザIDを登録するため、U_iを鍵配送装置Sへ送信する。ユーザIDは、ユーザを識別することができる任意の文字列であればよいので、例えば、メールアドレスを用いることができる。

　ステップＳ１０３において、鍵配送装置SのユーザID受信部１０３は、ユーザIDであるU_iを受信する。ステップＳ１０４において、鍵配送装置Sの初期鍵生成部１０４は、IDベース暗号の鍵導出アルゴリズムIBE-Derにより、通信装置U_iの初期鍵sk_{U_i}←IBE-Der(Params’, msk’, U_i)を生成し、通信装置U_iに送信する。

　ステップＳ２０４において、通信装置U_iの初期鍵受信部２０４は、通信装置U_iの初期鍵sk_{U_i}を受信する。通信装置U_iは、初期鍵sk_{U_i}を記憶部２００へ記憶する。

　ステップＳ１０５において、鍵配送装置Sの秘密ストリング生成部１０５は、ねじれ擬似ランダム関数で用いる秘密ストリング(st_S, st'_S)をst_S∈_RFS_к、st'_S∈{0, 1}_кとして生成する。秘密ストリング(st_S, st'_S)は記憶部１００へ記憶される。

　ステップＳ２０５において、通信装置U_iの秘密ストリング生成部２０５は、ねじれ擬似ランダム関数で用いる秘密ストリング(st_i, st'_i)をst_i∈_RFS_к、st'_i∈{0, 1}_кとして生成する。秘密ストリング(st_i, st'_i)は記憶部２００へ記憶される。

＜セッション鍵配送＞
　図４を参照して、実施形態の鍵交換方法におけるセッション鍵配送の処理手続きを説明する。

　以下では、N台の通信装置２₁, …, ２_Nのうち任意のn（≦N）台の通信装置U_i（i∈{1, …, n}）が共通鍵であるセッション鍵SKの共有を行うものとする。

　ステップＳ１１１において、鍵配送装置Sのユーザ鍵送信部１１１は、通信装置U_iがセッションを開始したときに、そのセッションが通信装置U_iのタイムフレームTFにおける最初のセッションだった場合、現在時刻をtimeとし、属性をA_i=(U_i, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置U_iのユーザ秘密鍵usk_i←Der(Params, msk, A_i)を生成する。また、ユーザ鍵送信部１１１は、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置U_iのMAC鍵mk_i←MGenを生成する。そして、ユーザ鍵送信部１１１は、IDベース暗号の暗号化アルゴリズムIBE-Encにより、ユーザ秘密鍵usk_iおよびMAC鍵mk_iを暗号化し、暗号文CT_i←IBE-Enc(Params', U_i, (usk_i, mk_i))を生成する。ユーザ鍵送信部１１１は、暗号文CT_iを通信装置U_iへそれぞれ送信する。

　ステップＳ２１１において、通信装置U_iのユーザ鍵受信部２１１は、IDベース暗号の復号アルゴリズムIBE-Decにより、通信装置U_iの初期鍵sk_{U_i}を用いて鍵配送装置Sから受信した暗号文CT_iを復号し、ユーザ秘密鍵およびMAC鍵(usk_i, mk_i)←IBE-Dec_{sk_Ui}(CT_i, Params')を得る。ユーザ鍵受信部２１１は、ユーザ秘密鍵usk_iおよびMAC鍵mk_iを記憶部２００へ記憶する。

　ステップＳ２１２において、通信装置U_iの第一鍵生成部２１２は、~r_i∈_R{0, 1}^к, ~r'_i∈_RFS_к, ~k_i∈_R{0, 1}^к, ~k'_i∈_RFS_к, ~s_i∈_R{0, 1}^к, ~s'_i∈_RFS_кを生成し、ねじれ擬似ランダム関数tPRFにより、r_i=tPRF(~r_i, ~r'_i, st_i, st'_i), k_i=tPRF(~k_i, ~k'_i, st_i, st'_i), s_i=tPRF(~s_i, ~s'_i, st_i, st'_i)を計算する。また、第一鍵生成部２１２は、R_i=g^r_i, c_i=g^k_ih^s_iを計算する。そして、第一鍵生成部２１２は、(R_i, c_i)を鍵配送装置Sへ送信する。

　ステップＳ１１２において、鍵配送装置Sは、通信装置U_iから(R_i, c_i)を受信する。このとき、すべての通信装置U₁, …, U_nから(R₁, c₁), …, (R_n, c_n)を受信するまで鍵配送装置Sは待機する。

　ステップＳ１１３において、鍵配送装置SのセッションID生成部１１３は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U₁, …, U_nから受信したc₁, …, c_nを用いて、sid=H(c₁, …, c_n)を生成する。また、n台の通信装置U₁, …, U_nから1台の通信装置を代表者として選択する。代表者の選択方法は任意であり、例えば、予め定めておいた優先順位が最も高い通信装置を選択してもよいし、直近でセッションを開始した通信装置を選択してもよい。ここでは、通信装置U₁が選択されたものとし、U₁を代表通信装置と呼ぶ。また、代表通信装置U₁以外のn-1台の通信装置U_j（j∈{2, …, n}）を一般通信装置と呼ぶ。セッションID生成部１１３は、次式のようにα, βを計算し、(sid, R_α, R_β)を通信装置U_iへそれぞれ送信する。また、鍵配送装置Sは、U₁には代表通信装置であることを通知しておく。

　ステップＳ２１３において、通信装置U_iは、鍵配送装置Sから(sid, R_α, R_β)をそれぞれ受信する。通信装置U_iは、(sid, R_α, R_β)を受け取り次第、以降の処理を実行する。i=2, …, nの場合、すなわち通信装置U_iが通信装置U_j（i=j）であれば、ステップＳ２１４_jへ処理を進める。i=1の場合、すなわち通信装置U_iが代表通信装置U₁であれば、ステップＳ２１４₁へ処理を進める。

　ステップＳ２１４_jにおいて、一般通信装置U_jの第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R_α ^r_j)を用いてK_j ^lを生成し、擬似ランダム関数Fにより(sid, R_β ^r_j)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算する。

　ステップＳ２１５_jにおいて、一般通信装置U_jの認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_jを用いて、認証タグσ_j=Tag_{mk_j}(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid)を生成する。認証タグ生成部２１５は、(k_j, s_j, T_j, σ_j)を鍵配送装置Sへ送信する。

　ステップＳ２１４₁において、代表通信装置U₁の第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R_n ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数Fにより(sid, R₂ ^r_1)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算する。ただし、||は連結演算子である。

　ステップＳ２１５₁において、代表通信装置U₁の認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk₁を用いて、認証タグσ₁=Tag_{mk_1}(R₁, c₁, R_n, R₂, T₁, T', U₁, sid)を生成する。認証タグ生成部２１５は、(T₁, T', σ₁)を鍵配送装置Sへ送信する。

　ステップＳ１１４_jにおいて、鍵配送装置Sの認証タグ検証部１１４は、j=2, …, nについて、一般通信装置U_jから(k_j, s_j, T_j, σ_j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置U_jのMAC鍵mk_jを用いて、Ver_{mk_j}(R_j, c_j, R_α, R_β,k_j, s_j, T_j, U_j, sid, σ_j)を検証する。認証タグσ_jが正当でなければ、認証タグ検証部１１４は、一般通信装置U_jのセッションを終了する。また、認証タグ検証部１１４は、j=2, …, nについて、c_j=g^k_jh^s_jが成り立つか否かを検証する。成り立たなければ、認証タグ検証部１１４は、一般通信装置U_jのセッションを終了する。

　ステップＳ１１４₁において、鍵配送装置Sの認証タグ検証部１１４は、代表通信装置U₁から(T₁, T', σ₁)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U₁のMAC鍵mk₁を用いて、Ver_{mk_1}(R₁, c₁, R_n, R₂, T₁, T', U₁, sid, σ₁)を検証する。認証タグσ₁が正当でなければ、認証タグ検証部１１４は、代表通信装置U₁のセッションを終了する。

　ステップＳ１１５ａにおいて、鍵配送装置Sの第三鍵生成部１１５は、~k_S∈_R{0, 1}^к,~k'_S∈_RFS_к, ~K₁∈_R{0, 1}^к, ~K'₁∈_RFS_кを生成し、ねじれ擬似ランダム関数tPRFにより、k_S=tPRF(~k_S, ~k'_S, st_S, st'_S), K₁=tPRF' (~K₁, ~K'₁, st_S, st'_S)を計算する。また、第三鍵生成部１１５は、次式により、k'を計算する。

　ステップＳ１１５ｂにおいて、鍵配送装置Sの第三鍵生成部１１５は、j=2, …, nについて、次式により、T'_jを計算する。

　ステップＳ１１５ｃにおいて、鍵配送装置Sの第三鍵生成部１１５は、i=1, …, nについて、アクセス構造P_i=(ID=U_i)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K₁を暗号化して、暗号文CT'_i=FEnc(Params, P_i, K₁)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。

　ステップＳ１１６_jにおいて、鍵配送装置Sの認証タグ生成部１１６は、j=2, …, nについて、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_jのMAC鍵mk_jを用いて認証タグσ'_j=Tag_{mk_j}(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T', CT'_j)を生成する。認証タグ生成部１１６は、(c₁, k', T'_j, T', CT'_j, σ'_j)を一般通信装置U_jへ送信する。

　ステップＳ１１６₁において、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U₁のMAC鍵mk₁を用いて、認証タグσ'₁=Tag_{mk_1}(R₁, c₁, R_n, R₂, T₁, T', U₁, sid, k', CT'₁)を生成する。認証タグ生成部１１６は、(k', CT'₁, σ'₁)を代表通信装置U₁へ送信する。

　ステップＳ２１６_jにおいて、一般通信装置U_jの認証タグ検証部２１６は、鍵配送装置Sから(c₁, k', T'_j, T', CT'_j, σ'_j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置U_jのMAC鍵mk_jを用いて、Ver_{mk_j}(R_j, c_j, R_α, R_β, k_j, s_j,T_j, U_j, sid, c₁, k', T'_j, T', CT'_j, σ'_j)を検証する。認証タグσ'_jが正当でなければ、認証タグ検証部２１６は、一般通信装置U_jのセッションを終了する。また、認証タグ検証部２１６は、次式のように、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する。

　そして、認証タグ検証部２１６は、c₁=g^k_1h^s_1が成り立つか否かを検証する。成り立たなければ、認証タグ検証部２１６は、一般通信装置U_jのセッションを終了する。

　ステップＳ２１６₁において、代表通信装置U₁の認証タグ検証部２１６は、鍵配送装置Sから(k', CT'₁, σ'₁)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U₁のMAC鍵mk₁を用いて、Ver_{mk_1}(R₁, c₁, R_n, R₂, T₁, T', U₁, sid, k', CT'₁, σ'₁)を検証する。認証タグσ'₁が正当でなければ、認証タグ検証部２１６は、代表通信装置U₁のセッションを終了する。

　ステップＳ２１７において、通信装置U_iのセッション鍵生成部２１７は、関数暗号の復号アルゴリズムFDecにより、通信装置U_iのユーザ秘密鍵usk_iを用いて、共通鍵K₁←FDec_{usk_i}(CT'_i, P_i)を復号する。また、セッション鍵生成部２１７は、次式のように、擬似ランダム関数F'により共通鍵K₂を計算する。

　そして、セッション鍵生成部２１７は、次式のように、擬似ランダム関数F"によりセッション鍵SKを計算する。

　上記のように構成することにより、この発明の鍵交換技術によれば、鍵交換を行う可能性があるユーザの情報としてユーザIDのみを登録しておけば、複数のユーザが共通鍵を共有することができる。特に、鍵配送装置Sに対してユーザID以外のいかなる情報も漏らさずに複数のユーザが共通鍵K₂とセッション鍵SKを共有することができる。また、従来は鍵交換に必要な全体の計算量がユーザ数をnとしてO(log n)となるが、この発明によればユーザ数の定数回、すなわちO(1)となるため、従来よりも少ない計算量で鍵交換ができる。

　また、IDベース暗号を用いることにより、既存のIDを使って鍵を発行することができるため、一般の公開鍵暗号の場合に必要となる公開鍵データベースを用意する必要がなくなり、運用するコストが下がるという効果がある。

　以下では、セッション鍵を共有した複数のユーザに新たなユーザを追加する時の鍵交換方法の処理手続きについて説明する。通信装置U_i（i∈{1, …, n}）でセッション鍵SKの共有が済んでいるものとする。鍵交換処理終了時（Ｓ２１７の後）に、ユーザ追加のために用いる秘密情報を各通信装置U_iは記憶部２００に記憶する。代表通信装置U₁は、次式で計算される秘密情報H₁ ^l、H₁ ^r、rを記憶部２００に記憶する。

　一般通信装置U_j（j∈{2, …, n}）は、次式で計算される秘密情報H_j ^l、H_j ^r、rを記憶部２００に記憶する。

＜ユーザ追加＞
　図５を参照して、実施形態の鍵交換方法におけるユーザ追加の処理手続きを説明する。

　通信装置U₁, …, U_nにより確立されたセッションに通信装置U_n+1, …, U_n+kが新たに参加するものとする（kは1以上の整数、n+kはN以下の整数）。以下、i∈{1, …, n+k}とする。

　ステップＳ３１１において、鍵配送装置Sのユーザ鍵送信部１１１は、通信装置U_i(i=1,…, n+k)がセッションを開始したときに、そのセッションが通信装置U_iのタイムフレームTF'における最初のセッションだった場合、現在時刻をtimeとし、属性をA_i=(U_i, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置U_iのユーザ秘密鍵usk_i←Der(Params, msk, A_i)を生成する。また、ユーザ鍵送信部１１１は、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置U_iのMAC鍵mk_i←MGenを生成する。そして、ユーザ鍵送信部１１１は、IDベース暗号の暗号化アルゴリズムIBE-Encにより、ユーザ秘密鍵usk_iおよびMAC鍵mk_iを暗号化し、暗号文CT_i←IBE-Enc(Params', U_i, (usk_i, mk_i))を生成する。ユーザ鍵送信部１１１は、暗号文CT_iを通信装置U_iへそれぞれ送信する。

　ステップＳ４１１において、通信装置U_iのユーザ鍵受信部２１１は、IDベース暗号の復号アルゴリズムIBE-Decにより、通信装置U_iの初期鍵sk_{U_i}を用いて鍵配送装置Sから受信した暗号文CT_iを復号し、ユーザ秘密鍵およびMAC鍵(usk_i, mk_i)←IBE-Dec_{sk_Ui}(CT_i, Params')を得る。ユーザ鍵受信部２１１は、ユーザ秘密鍵usk_iおよびMAC鍵mk_iを記憶部２００へ記憶する。

　ステップＳ４１２において、i∈{1}∪[n, n+k]の場合、通信装置U_iの第一鍵生成部２１２は、~r_i∈_R{0, 1}^к, ~r'_i∈_RFS_к, ~k_i∈_R{0, 1}^к, ~k'_i∈_RFS_к, ~s_i∈_R{0, 1}^к, ~s'_i∈_RFS_кを生成し、ねじれ擬似ランダム関数tPRFにより、r_i=tPRF(~r_i, ~r'_i, st_i, st'_i), k_i=tPRF(~k_i, ~k'_i, st_i, st'_i), s_i=tPRF(~s_i, ~s'_i, st_i, st'_i)を計算する。また、第一鍵生成部２１２は、R_i=g^r_i, c_i=g^k_ih^s_iを計算する。そして、第一鍵生成部２１２は、(R_i, c_i)を鍵配送装置Sへ送信する。

　i∈[2, n-1]の場合、通信装置U_iの第一鍵生成部２１２は、~k_i∈_R{0, 1}^к, ~k'_i∈_RFS_к, ~s_i∈_R{0, 1}^к, ~s'_i∈_RFS_кを生成し、ねじれ擬似ランダム関数tPRFにより、k_i=tPRF(~k_i, ~k'_i, st_i, st'_i), s_i=tPRF(~s_i, ~s'_i, st_i, st'_i)を計算する。また、第一鍵生成部２１２は、c_i=g^k_ih^s_iを計算する。そして、第一鍵生成部２１２は、c_iを鍵配送装置Sへ送信する。

　ステップＳ３１２において、鍵配送装置Sは、通信装置U_iから(R_i, c_i)またはc_iを受信する。このとき、すべての通信装置U₁, …, U_n+kから(R₁, c₁), c₂,…, c_n-1, (R_n, c_n) ,…, (R_n+k, c_n+k)を受信するまで鍵配送装置Sは待機する。

　ステップＳ３１３において、鍵配送装置SのセッションID生成部１１３は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U₁, …, U_n+kから受信したc₁, …, c_n+kを用いて、sid=H(c₁, …, c_n+k)を生成する。また、k+2台の通信装置U₁, U_n , U_n+1 ,…, U_n+kから1台の通信装置を代表者として選択する。ここでは、通信装置U₁が選択されたものとし、U₁を代表通信装置と呼ぶ。また、代表通信装置U₁以外のn+k-1台の通信装置U_i（i∈{2, …, n+k}）を一般通信装置と呼ぶ。セッションID生成部１１３は、i∈[n+1, n+k]の場合、(sid, R_i-1, R_i+1)を通信装置U_iへそれぞれ送信する（ただし、R_n+k+1=R₁とする）。また、セッションID生成部１１３は、i∈[1, 2]の場合、(sid, R_i-1)を通信装置U_iへそれぞれ送信する（ただし、R₀=R_n+kとする）。セッションID生成部１１３は、i∈[3, n-2]の場合、sidを通信装置U_iへそれぞれ送信する。セッションID生成部１１３は、i∈[n-1, n]の場合、(sid, R_i+1)を通信装置U_iへそれぞれ送信する。また、鍵配送装置Sは、U₁には代表通信装置であることを通知しておく。

　ステップＳ４１３において、通信装置U_iは、鍵配送装置Sから(sid, R_i-1, R_i+1)、(sid, R_i-1)、sid、(sid, R_i+1)のいずれかをそれぞれ受信する。具体的には、i∈[n+1, n+k]の場合、通信装置U_iは、(sid, R_i-1, R_i+1)を受信する（ただし、R_n+k+1=R₁とする）。i∈[1, 2]の場合、通信装置U_iは、(sid, R_i-1)を受信する（ただし、R₀=R_n+kとする）。i∈[3, n-2]の場合、通信装置U_iは、sidを受信する。i∈[n-1, n]の場合、通信装置U_iは、(sid, R_i+1)を受信する。

　通信装置U_iは、(sid, R_i-1, R_i+1)、(sid, R_i-1)、sid、(sid, R_i+1)のいずれかを受け取り次第、ステップＳ４１４とステップＳ４１５の処理を実行する。この処理は、i=1の場合、i=2の場合、i∈[3, n-2]の場合、i=n-1の場合、i=nの場合、i∈[n+1, n+k]の場合の６つに場合分けして実行される。ただし、i∈[3, n-2]の場合、ステップＳ４１４ではなにも処理しない。つまり、通信装置U_iは、sidを受け取り次第、ステップＳ４１５の処理を実行する。

　i=1の場合、ステップＳ４１４において、代表通信装置U₁の第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R_n+k ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数Fにより(sid, g^r_1r)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算する。ただし、||は連結演算子である。

　ステップＳ４１５において、代表通信装置U₁の認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk₁を用いて、認証タグσ₁=Tag_{mk_1}(R₁, c₁, R_n+k, T₁, T', U₁, sid)を生成する。認証タグ生成部２１５は、(T₁, T', σ₁)を鍵配送装置Sへ送信する。

　i=2の場合、ステップＳ４１４において、通信装置U₂の第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R₁ ^r)を用いてK₂ ^lを生成し、擬似ランダム関数Fにより(sid, g^r)を用いてK₂ ^rを生成し、K₂ ^lとK₂ ^rとの排他的論理和によりT₂を計算する。

　ステップＳ４１５において、通信装置U₂の認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk₂を用いて、認証タグσ₂=Tag_{mk_2}(c₂, R₁, k₂, s₂, T₂, U₂, sid)を生成する。認証タグ生成部２１５は、(k₂, s₂, T₂, σ₂)を鍵配送装置Sへ送信する。

　i∈[3, n-2]の場合、ステップＳ４１５において、通信装置U_iの認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_iを用いて、認証タグσ_i=Tag_{mk_i}(c_i, k_i, s_i, U_i, sid)を生成する。認証タグ生成部２１５は、(k_i, s_i,σ_i)を鍵配送装置Sへ送信する。

　i=n-1の場合、ステップＳ４１４において、通信装置U_n-1の第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, g^r)を用いてK_n-1 ^lを生成し、擬似ランダム関数Fにより(sid, R_n ^r)を用いてK_n-1 ^rを生成し、K_n-1 ^lとK_n-1 ^rとの排他的論理和によりT_n-1を計算する。

　ステップＳ４１５において、通信装置U_n-1の認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_n-1を用いて、認証タグσ_n-1=Tag_{mk_n-1}(c_n-1, R_n, k_n-1, s_n-1, T_n-1, U_n-1, sid)を生成する。認証タグ生成部２１５は、(k_n-1, s_n-1, T_n-1, σ_n-1)を鍵配送装置Sへ送信する。

　i=nの場合、ステップＳ４１４において、通信装置U_nの第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R_n ^r)を用いてK_n ^lを生成し、擬似ランダム関数Fにより(sid, R_n+1 ^r_n)を用いてK_n ^rを生成し、K_n ^lとK_n ^rとの排他的論理和によりT_nを計算する。

　ステップＳ４１５において、通信装置U_nの認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_nを用いて、認証タグσ_n=Tag_{mk_n}(R_n, c_n, R_n+1, k_n, s_n, T_n, U_n, sid)を生成する。認証タグ生成部２１５は、(k_n, s_n, T_n, σ_n)を鍵配送装置Sへ送信する。

　i∈[n+1, n+k]の場合、ステップＳ４１４において、通信装置U_iの第二鍵生成部２１４は、次式のように、擬似ランダム関数Fにより(sid, R_i-1 ^r_i)を用いてK_i ^lを生成し、擬似ランダム関数Fにより(sid, R_i+1 ^r_i)を用いてK_i ^rを生成し、K_i ^lとK_i ^rとの排他的論理和によりT_iを計算する。

　ステップＳ４１５において、通信装置U_iの認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_iを用いて、認証タグσ_i=Tag_{mk_i}(R_i, c_i, R_i-1, R_i+1, k_i, s_i, T_i, U_i, sid)を生成する。認証タグ生成部２１５は、(k_i, s_i, T_i, σ_i)を鍵配送装置Sへ送信する。

　ステップＳ３１４において、鍵配送装置Sの認証タグ検証部１１４は、代表通信装置U₁から(T₁, T', σ₁)を受信し、i=2, n-1, …, n+kについて、一般通信装置U_iから(k_i, s_i,T_i, σ_i)を受信し、i=3, …, n-2について、一般通信装置U_iから(k_i, s_i, σ_i)を受信し、メッセージ認証コードの検証アルゴリズムVerにより検証する。認証タグσ_i (i=1, …,n+k) が正当でなければ、認証タグ検証部１１４は、通信装置U_iのセッションを終了する。また、認証タグ検証部１１４は、i=2, …, n+kについて、c_i=g^k_ih^s_iが成り立つか否かを検証する。成り立たなければ、認証タグ検証部１１４は、一般通信装置U_iのセッションを終了する。

　ステップＳ３１５ａにおいて、鍵配送装置Sの第三鍵生成部１１５は、~k_S∈_R{0, 1}^к,~k'_S∈_RFS_кを生成し、ねじれ擬似ランダム関数tPRFにより、k_S=tPRF(~k_S, ~k'_S, st_S, st'_S)を計算する。また、第三鍵生成部１１５は、次式により、k'を計算する。

　ステップＳ３１５ｂにおいて、鍵配送装置Sの第三鍵生成部１１５は、i=2, …, n+kについて、次式により、T'_iを計算する。

ただし、i=3, …, n-1について、T_iを空とする。したがって、T₃'=…=T_n-1'=0となる。

　ステップＳ３１５ｃにおいて、鍵配送装置Sの第三鍵生成部１１５は、i=1, …, n+kについて、アクセス構造P_i=(ID=U_i)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K₁を暗号化して、暗号文CT'_i=FEnc(Params, P_i, K₁)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。また、共通鍵K₁はステップＳ１１５ｃで生成したものである。

　ステップＳ３１６において、鍵配送装置Sは認証タグを生成し、通信装置U_iに送信する。この処理は、i=1の場合、i=2の場合、i∈[3, n-2]の場合、i=n-1の場合、i=nの場合、i∈[n+1, n+k]の場合の６つに場合分けして実行される。

　i=1の場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U₁のMAC鍵mk₁を用いて、認証タグσ'₁=Tag_{mk_1}(R₁, c₁, R_n+k, T₁, T', U₁, sid, k', CT'₁)を生成する。認証タグ生成部１１６は、(k', CT'₁, σ'₁)を代表通信装置U₁へ送信する。

　i=2の場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U₂のMAC鍵mk₂を用いて認証タグσ'₂=Tag_{mk_2}(c₂, R₁, k₂, s₂, T₂, U₂, sid, c₁, k', T'₂, T', CT'₂)を生成する。認証タグ生成部１１６は、(c₁, k', T'₂, T', CT'₂, σ'₂)を一般通信装置U₂へ送信する。

　i∈[3, n-2]の場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_iのMAC鍵mk_iを用いて認証タグσ'_i= Tag_{mk_i}(c_i, k_i, s_i, U_i, sid, c₁, k', T'_i, T', CT'_i)を生成する。認証タグ生成部１１６は、(c₁, k', T'_i, T', CT'_i, σ'_i)を一般通信装置U_iへ送信する。

　i=n-1の場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_n-1のMAC鍵mk_n-1を用いて認証タグσ'_n-1= Tag_{mk_n-1}(c_n-1, R_n, k_n-1, s_n-1, T_n-1, U_n-1, sid, c₁, k', T'_n-1, T', CT'_n-1)を生成する。認証タグ生成部１１６は、(c₁, k', T'_n-1, T', CT'_n-1, σ'_n-1)を一般通信装置U_n-1へ送信する。

　i=nの場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_nのMAC鍵mk_nを用いて認証タグσ'_n=Tag_{mk_n}(R_n, c_n, R_n+1, k_n, s_n, T_n, U_n, sid, c₁, k', T'_n, T', CT'_n)を生成する。認証タグ生成部１１６は、(c₁, k', T'_n, T', CT'_n, σ'_n)を一般通信装置U_nへ送信する。

　i∈[n+1, n+k]の場合、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_iのMAC鍵mk_iを用いて認証タグσ'_i= Tag_{mk_i}(R_i, c_i, R_i-1, R_i+1, k_i, s_i, T_i, U_i, sid, c₁, k', T'_i, T', CT'_i)を生成する。認証タグ生成部１１６は、(c₁, k', T'_i, T', CT'_i, σ'_i)を一般通信装置U_iへ送信する。

　ステップＳ４１６において、i∈[2, n+k]の場合、一般通信装置U_iの認証タグ検証部２１６は、鍵配送装置Sから(c₁, k', T'_i, T', CT'_i, σ'_i)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'_iが正当でなければ、認証タグ検証部２１６は、一般通信装置U_iのセッションを終了する。また、認証タグ検証部２１６は、i=2, n, …, n+kについては、T'_iとK_i ^lとの排他的論理和によりK₁ ^lを計算し、i=3, …, n-1については、T'_iとg^rとの排他的論理和によりK₁ ^lを計算する。

　さらに、認証タグ検証部２１６は、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する。

　そして、認証タグ検証部２１６は、c₁=g^k_1h^s_1が成り立つか否かを検証する。成り立たなければ、認証タグ検証部２１６は、一般通信装置U_iのセッションを終了する。

　i=1の場合、代表通信装置U₁の認証タグ検証部２１６は、鍵配送装置Sから(k', CT'₁,σ'₁)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、検証する。認証タグσ'₁が正当でなければ、認証タグ検証部２１６は、代表通信装置U₁のセッションを終了する。

　ステップＳ４１７において、通信装置U_iのセッション鍵生成部２１７は、関数暗号の復号アルゴリズムFDecにより、通信装置U_iのユーザ秘密鍵usk_iを用いて、共通鍵K₁←FDec_{usk_i}(CT'_i, P_i)を復号する。また、セッション鍵生成部２１７は、次式のように、擬似ランダム関数F'により共通鍵K₂を計算する。

　最後に、ユーザ追加のために用いる秘密情報を通信装置U_i(i=1, …, n)は更新する。また、通信装置U_i(i=n+1, …, n+k) は新たに記憶部２００に記憶する。代表通信装置U₁は、次式で計算される秘密情報H₁ ^l、rで記憶部２００に記憶しているものを更新する。

　通信装置U_i(i=2, …, n-1)は、次式で計算される秘密情報rで記憶部２００に記憶しているものを更新する。

　通信装置U_nは、次式で計算される秘密情報H_n ^r、rで記憶部２００に記憶しているものを更新する。

　通信装置U_i(i=n+1, …, n+k) は、次式で計算される秘密情報H_i ^l、H_i ^r、rを記憶部２００に記憶する。

　上記のように構成することにより、この発明の鍵交換技術によれば、鍵交換を行う可能性があるユーザの情報としてユーザIDのみを登録しておけば、その範囲で動的にユーザを追加することができる。また、ユーザ追加時にも効率的に複数のユーザが共通鍵を共有することができる。具体的には、鍵交換に必要な全体の計算量はユーザ数の定数回、すなわちO(1)となる。

＜応用例＞
　本実施形態の鍵交換システムは、鍵配送サーバSを介して通信装置U_i間でセッション鍵SKを共有するものである。その際、通信装置U_iを識別するためのユーザID（例えば、メールアドレス）を鍵配送サーバSに登録しておく必要はあるが、スタートポロジーを用いてO(1)でセッション鍵SKを共有することができるため、各種暗号通信システムの動作開始までの時間を短縮することができる。当該鍵交換システムの適用例を以下にいくつか示す。
(1)VoIP技術を用いた二地点間通話や電話会議での鍵配送に利用する。
(2)WebRTC中のDTLS(Datagram Transport Layer Security)を代替し、ブラウザやスマートフォンでのWeb会議やWeb電話の暗号化通信の鍵配送に利用する。
(3)メッセージングアプリの復号鍵の共有に使う。

＜変形例＞
　この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　上述の本発明の実施形態の記載は、例証と記載の目的で提示されたものである。網羅的であるという意思はなく、開示された厳密な形式に発明を限定する意思もない。変形やバリエーションは上述の教示から可能である。実施形態は、本発明の原理の最も良い例証を提供するために、そして、この分野の当業者が、熟考された実際の使用に適するように本発明を色々な実施形態で、また、色々な変形を付加して利用できるようにするために、選ばれて表現されたものである。すべてのそのような変形やバリエーションは、公正に合法的に公平に与えられる幅にしたがって解釈された添付の請求項によって定められた本発明のスコープ内である。

１　鍵配送装置
２　通信装置
３　通信網
１００　記憶部
１０１　第一セットアップ部
１０２　第二セットアップ部
１０３　ユーザID受信部
１０４　初期鍵生成部
１０５　秘密ストリング生成部
１１１　ユーザ鍵送信部
１１３　セッションID生成部
１１４　認証タグ検証部
１１５　第三鍵生成部
１１６　認証タグ生成部
２００　記憶部
２０３　ユーザID送信部
２０４　初期鍵受信部
２０５　秘密ストリング生成部
２１１　ユーザ鍵受信部
２１２　第一鍵生成部
２１４　第二鍵生成部
２１５　認証タグ生成部
２１６　認証タグ検証部
２１７　セッション鍵生成部

Claims

　nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、U_iをn台の通信装置とし、U₁を上記通信装置U_iから選択された1台の代表通信装置とし、U_jを上記通信装置U_iから上記代表通信装置U₁を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義されるとし、

　上記鍵配送装置Sの記憶部に、秘密ストリングst_S, st'_Sが記憶されており、
　上記通信装置U_iの記憶部に、秘密ストリングst_i, st'_iが記憶されており、
　上記通信装置U_iが、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^r_iおよびc_i=g^k_ih^s_iを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信する第一鍵生成ステップと、
　上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成ステップと、
　上記代表通信装置U₁が、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信する代表第二鍵生成ステップと、
　上記一般通信装置U_jが、擬似ランダム関数により(sid, R_α ^r_j)を用いてK_j ^lを生成し、擬似ランダム関数により(sid, R_β ^r_j)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を上記鍵配送装置Sへ送信する一般第二鍵生成ステップと、
　上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …,T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T')を上記一般通信装置U_jへ送信する第三鍵生成ステップと、
　上記一般通信装置U_jが、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、
　上記通信装置U_iが、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップと、
　を含む鍵交換方法。
　請求項１に記載の鍵交換方法であって、
　timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
　上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskがさらに記憶されており、
　上記通信装置U_iの記憶部に、IDベース暗号の鍵導出アルゴリズムによりマスタ秘密鍵msk'を用いて通信装置U_iの識別子U_iから生成した初期鍵sk_{U_i}がさらに記憶されており、
　上記鍵配送装置Sが、各iについて属性をA_i=(U_i, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk_iを生成し、IDベース暗号の暗号化アルゴリズムにより上記識別子U_iを用いて上記ユーザ秘密鍵usk_iを暗号化して暗号文CT_iを生成するユーザ鍵送信ステップと、
　上記通信装置U_iが、IDベース暗号の復号アルゴリズムにより上記初期鍵sk_{U_i}を用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iを得るユーザ鍵受信ステップと、
　をさらに含み、
　上記第三鍵生成ステップは、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いて共通鍵K₁を生成し、各iについてアクセス構造をP_i=(ID=U_i)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K₁を暗号化して暗号文CT'_iを生成するものであり、
　上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk_iを用いて上記暗号文CT'_iを復号して上記共通鍵K₁を得、擬似ランダム関数により(sid, K₁)を用いて生成した値と擬似ランダム関数により(sid, K₂)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
　鍵交換方法。
　請求項２に記載の鍵交換方法であって、
　上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mk_iを生成し、IDベース暗号の暗号化アルゴリズムにより上記識別子U_iを用いて上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを暗号化して上記暗号文CT_iを生成するものであり、
　上記ユーザ鍵受信ステップは、IDベース暗号の復号アルゴリズムにより上記初期鍵sk_{U_i}を用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを得るものであり、
　上記代表通信装置U₁が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, T', U₁, sidを用いて認証タグσ₁を生成する代表第一認証タグ生成ステップと、
　上記一般通信装置U_jが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j ,sidを用いて認証タグσ_jを生成する一般第一認証タグ生成ステップと、
　上記鍵配送装置Sが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, T', U₁, sidを用いて上記認証タグσ₁を検証し、各jについてメッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j ,sidを用いて上記認証タグσ_jを検証し、c_j=g^k_jh^s_jが成り立つか否かを検証する第一認証タグ検証ステップと、
　上記鍵配送装置Sが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, T', U₁, sid, k', CT'₁を用いて認証タグσ'₁を生成し、各jについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T', CT'_jを用いて認証タグσ'_jを生成する第二認証タグ生成ステップと、
　上記代表通信装置U₁が、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, T', U₁, sid, k', CT'₁を用いて上記認証タグσ'₁を検証する代表第二認証タグ検証ステップと、
　上記一般通信装置U_jが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T', CT'_jを用いて上記認証タグσ'_jを検証し、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を求め、c₁=g^k_1h^s_1が成り立つか否かを検証する一般第二認証タグ検証ステップと、
　をさらに含む鍵交換方法。
　nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、||を連結演算子とし、α, βを次式で定義されるとし、

　鍵配送装置Sとn台の通信装置U_iとを含み、上記通信装置U_iは代表通信装置U₁とn-1台の一般通信装置U_jとからなる鍵交換システムであって、
　上記鍵配送装置Sは、
　　秘密ストリングst_S, st'_Sを記憶する記憶部と、
　　各iについて上記通信装置U_iから(R_i, c_i)を受信し、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成部と、
　　上記代表通信装置U₁から(T₁, T')を受信し、各jについて上記一般通信装置U_jから(k_j, s_j, T_j)を受信し、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T')を上記一般通信装置U_jへ送信する第三鍵生成部と、
　を含み、
　上記代表通信装置U₁は、
　　秘密ストリングst₁, st'₁を記憶する記憶部と、
　　ねじれ擬似ランダム関数により上記秘密ストリングst₁, st'₁を用いてr₁, k₁, s₁を生成し、R₁=g^r_1およびc₁=g^k_1h^s_1を計算し、(R₁, c₁)を上記鍵配送装置Sへ送信する第一鍵生成部と、
　　上記鍵配送装置Sから(sid, R_n, R₂)を受信し、擬似ランダム関数により(sid, R_n ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数により(sid, R₂ ^r_1)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信する第二鍵生成部と、
　　上記鍵配送装置Sからk'を受信し、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成するセッション鍵生成部と、
　を含み、
　上記一般通信装置U_jは、
　　秘密ストリングst_j, st'_jを記憶する記憶部と、
　　ねじれ擬似ランダム関数により上記秘密ストリングst_j, st'_jを用いてr_j, k_j, s_jを生成し、R_j=g^r_jおよびc_j=g^k_jh^s_jを計算し、(R_j, c_j)を上記鍵配送装置Sへ送信する第一鍵生成部と、
　　上記鍵配送装置Sから(sid, R_α, R_β)を受信し、擬似ランダム関数により(sid, R_α ^r_j)を用いてK_j ^lを生成し、擬似ランダム関数により(sid, R_β ^r_j)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を上記鍵配送装置Sへ送信する第二鍵生成部と、
　　上記鍵配送装置Sから(k', T'_j, T')を受信し、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算し、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて上記共通鍵K₂を生成するセッション鍵生成部と、
　を含む鍵交換システム。
　nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、Sを鍵配送装置とし、U_i(i=1, …, n+k)をn+k台の通信装置とし、通信装置U₁, …, U_nにより確立されたセッションに通信装置U_n+1, …, U_n+kが新たに参加する際の鍵交換方法であって、
　U₁を上記通信装置U₁, U_n, U_n+1, …, U_n+kから選択された1台の代表通信装置とし、
　上記鍵配送装置Sの記憶部に、秘密ストリングst_S, st'_Sが記憶されており、
　上記通信装置U_i(i=1, …, n+k)の記憶部に、秘密ストリングst_i, st'_iが記憶されており、
　さらに、上記通信装置U₁, …, U_nの記憶部に、上記通信装置U₁, …, U_nにより確立されたセッションで生成された秘密情報rが記憶されており、
　上記通信装置U_i(i=1, n, …, n+k)が、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^r_iおよびc_i=g^k_ih^s_iを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信し、上記通信装置U_i(i=2, …, n-1)が、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてk_i, s_iを生成し、c_i=g^k_ih^s_iを計算し、c_iを上記鍵配送装置Sへ送信する第一鍵生成ステップと、
　上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_n+kを用いてsidを生成し、i=1, 2について(sid, R_i-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, R_i+1)を、i=n+1, …, n+kについて(sid, R_i-1, R_i+1)を上記通信装置U_iへ送信する（ただし、R₀=R_n+K ,R_n+k+1=R₁とする）セッションID生成ステップと、
　上記代表通信装置U₁が、擬似ランダム関数により(sid, R_n+k ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数により(sid, g^r_1r)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信し、上記通信装置U₂が、擬似ランダム関数により(sid, R₁ ^r)を用いてK₂ ^lを生成し、擬似ランダム関数により(sid, g^r)を用いてK₂ ^rを生成し、K₂ ^lとK₂ ^rとの排他的論理和によりT₂を計算し、(k₂, s₂, T₂)を上記鍵配送装置Sへ送信し、上記通信装置U_i (i=3, …, n-2)が、(k_i, s_i)を上記鍵配送装置Sへ送信し、上記通信装置U_n-1が、擬似ランダム関数により(sid, g^r)を用いてK_n-1 ^lを生成し、擬似ランダム関数により(sid, R_n ^r)を用いてK_n-1 ^rを生成し、K_n-1 ^lとK_n-1 ^rとの排他的論理和によりT_n-1を計算し、(k_n-1, s_n-1, T_n-1)を上記鍵配送装置Sへ送信し、上記通信装置U_nが、擬似ランダム関数により(sid, R_n ^r)を用いてK_n ^lを生成し、擬似ランダム関数により(sid, R_n+1 ^r_n)を用いてK_n ^rを生成し、K_n ^lとK_n ^rとの排他的論理和によりT_nを計算し、(k_n, s_n, T_n)を上記鍵配送装置Sへ送信し、上記通信装置U_i(i=n+1, …, n+k)が、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^lを生成し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^rを生成し、K_i ^lとK_i ^rとの排他的論理和によりT_iを計算し、(k_i, s_i, T_i)を上記鍵配送装置Sへ送信する第二鍵生成ステップと、
　上記鍵配送装置Sが、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n+k, k_sの排他的論理和によりk'を計算し、i=2, …, n+kについてT₁, …, T_i-1（ただし、i=3, …, n-1についてT_iを空とする）の排他的論理和によりT'_iを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_i, T')を上記通信装置U_i(i=2, …, n+k)へ送信する第三鍵生成ステップと、
　上記通信装置U_i(i=2, n, …, n+k)が、T'_iとK_i ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算し、上記通信装置U_i(i=3, …, n-1)が、T'_iとg^rとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、
　上記通信装置U_i(i=1, …, n+k)が、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップと、
　を含む鍵交換方法。
　請求項５に記載の鍵交換方法であって、
　timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
　上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskと、上記通信装置U₁, …, U_nにより確立されたセッションで生成された共通鍵K₁がさらに記憶されており、
　上記通信装置U_i(i=1, …, n+k)の記憶部に、IDベース暗号の鍵導出アルゴリズムによりマスタ秘密鍵msk'を用いて通信装置U_iの識別子U_iから生成した初期鍵sk_{U_i}がさらに記憶されており、
　上記鍵配送装置Sが、i=1, …, n+kについて属性をA_i=(U_i, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk_iを生成し、IDベース暗号の暗号化アルゴリズムにより上記識別子U_iを用いて上記ユーザ秘密鍵usk_iを暗号化して暗号文CT_iを生成するユーザ鍵送信ステップと、
　上記通信装置U_i(i=1, …, n+k)が、IDベース暗号の復号アルゴリズムにより上記初期鍵sk_{U_i}を用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iを得るユーザ鍵受信ステップと、
　をさらに含み、
　上記第三鍵生成ステップは、上記鍵配送装置Sの記憶部に記憶した共通鍵K₁を読出し、i=1, …, n+kについてアクセス構造をP_i=(ID=U_i)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K₁を暗号化して暗号文CT'_iを生成するものであり、
　上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk_iを用いて上記暗号文CT'_iを復号して上記共通鍵K₁を得、擬似ランダム関数により(sid, K₁)を用いて生成した値と擬似ランダム関数により(sid, K₂)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
　鍵交換方法。
　請求項６に記載の鍵交換方法であって、
　上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mk_iを生成し、IDベース暗号の暗号化アルゴリズムにより上記識別子U_iを用いて上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを暗号化して上記暗号文CT_iを生成するものであり、
　上記ユーザ鍵受信ステップは、IDベース暗号の復号アルゴリズムにより上記初期鍵sk_{U_i}を用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを得るものであり、
　上記代表通信装置U₁が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n+k, T₁, T', U₁, sidを用いて認証タグσ₁を生成し、上記通信装置U₂が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₂およびc₂, R₁, k₂, s₂, T₂, U₂, sidを用いて認証タグσ₂を生成し、上記通信装置U_i(i=3, …, n-2)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_iおよびc_i, k_i, s_i, U_i, sidを用いて認証タグσ_iを生成し、上記通信装置U_n-1が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_n-1およびc_n-1, R_n, k_n-1, s_n-1, T_n-1, U_n-1, sidを用いて認証タグσ_n-1を生成し、上記通信装置U_nが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_nおよびR_n, c_n, R_n+1, k_n, s_n, T_n, U_n, sidを用いて認証タグσ_nを生成し、上記通信装置U_i(i=n+1, …, n+k)が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_iおよびR_i, c_i, R_i-1, R_i+1, k_i, s_i, T_i, U_i, sidを用いて認証タグσ_iを生成する第一認証タグ生成ステップと、
　上記鍵配送装置Sが、上記代表通信装置U₁から(T₁, T', σ₁)を、上記通信装置U_i(i=2, n-1, …, n+k)から(k_i, s_i, T_i, σ_i)を、上記通信装置U_i(i=3, …, n-2)から(k_i, s_i,σ_i)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_i(i=1, …, n+k)を用いて上記認証タグσ_iを検証し、i=2, …, n+kについてc_i=g^k_ih^s_iが成り立つか否かを検証する第一認証タグ検証ステップと、
　上記鍵配送装置Sが、i=1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n+k, T₁, T', U₁, sid, k', CT'₁を用いて認証タグσ'₁を生成し、i=2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₂およびc₂, R₁, k₂, s₂, T₂, U₂, sid, c₁, k', T'₂, T', CT'₂を用いて認証タグσ'₂を生成し、i=3, …, n-2についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_iおよびc_i, k_i, s_i, U_i, sid, c₁, k', T'_i, T', CT'_iを用いて認証タグσ'_iを生成し、i=n-1についてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_n-1およびc_n-1, R_n, k_n-1, s_n-1, T_n-1, U_n-1, sid, c₁, k', T'_n-1, T', CT'_n-1を用いて認証タグσ'_n-1を生成し、i=nについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_nおよびR_n, c_n, R_n+1, k_n, s_n, T_n, U_n, sid, c₁, k', T'_n, T', CT'_nを用いて認証タグσ'_nを生成し、i=n+1, …, n+kについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_iおよびR_i, c_i, R_i-1, R_i+1, k_i, s_i, T_i, U_i, sid, c₁, k', T'_i, T', CT'_iを用いて認証タグσ'_iを生成する第二認証タグ生成ステップと、
　上記代表通信装置U₁が、上記鍵配送装置Sから(k', CT'₁, σ'₁)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk₁を用いて上記認証タグσ'₁を検証し、上記通信装置U_i (i=2, …, n+k) が、上記鍵配送装置Sから(c₁, k', T'_i, T', CT'_i, σ'_i)を受信し、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_iを用いて上記認証タグσ'_iを検証し、c₁=g^k_1h^s_1が成り立つか否かを検証する第二認証タグ検証ステップと、
　をさらに含む鍵交換方法。
　nを2以上の整数とし、kを1以上の整数とし、||を連結演算子とし、
　鍵配送装置Sとn+k台の通信装置U_i(i=1, …, n+k)とを含む鍵交換システムであって、
　U₁を上記通信装置U₁, U_n, U_n+1, …, U_n+kから選択された1台の代表通信装置とし、
　上記鍵配送装置Sは、
　　秘密ストリングst_S, st'_Sを記憶する記憶部と、
　　上記通信装置U_i(i=1, n, …, n+k)から(R_i, c_i)を、上記通信装置U_i(i=2, …, n-1)からc_iを受信し、ターゲット衝突困難ハッシュ関数によりc₁, …, c_n+kを用いてsidを生成し、i=1, 2について(sid, R_i-1)を、i=3, …, n-2についてsidを、i=n-1, nについて(sid, R_i+1)を、i= n+1, …, n+kについて(sid, R_i-1, R_i+1)を上記通信装置U_iへ送信する（ただし、R₀=R_n+K,R_n+k+1=R₁とする）セッションID生成部と、
　　上記代表通信装置U₁から(T₁, T')を、上記通信装置U_i (i=2 ,n-1 ,…, n+k)から(k_i,s_i, T_i)を、上記通信装置U_i (i=3, …, n-2)から(k_i, s_i)を受信し、ねじれ擬似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n+k, k_sの排他的論理和によりk'を計算し、i=2, …, n+kについてT₁, …, T_i-1（ただし、i=3, …, n-1についてT_iを空とする）の排他的論理和によりT'_iを計算し、k'を上記代表通信装置U₁へ、(k', T'_i, T')を上記通信装置U_i(i=2, …, n+k)へ送信する第三鍵生成部と、
　を含み、
　上記通信装置U_i(i=1, …, n+k)は、
　　秘密ストリングst_i, st'_iを記憶し、i=1, …, nについては上記通信装置U₁, …, U_nにより確立されたセッションで生成された秘密情報rをさらに記憶する記憶部と、
　　i=1, n, …, n+kについて、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^r_iおよびc_i=g^k_ih^s_iを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信し、i=2, …, n-1について、ねじれ擬似ランダム関数により上記秘密ストリングst_i, st'_iを用いてk_i, s_iを生成し、c_i=g^k_ih^s_iを計算し、c_iを上記鍵配送装置Sへ送信する第一鍵生成部と、
　　i=1について、上記鍵配送装置Sから(sid, R_n+k)を受信し、擬似ランダム関数により(sid, R_n+k ^r_1)を用いてK₁ ^lを生成し、擬似ランダム関数により(sid, g^r_1r)を用いてK₁ ^rを生成し、K₁ ^lとK₁ ^rとの排他的論理和によりT₁を計算し、K₁ ^lとk₁||s₁との排他的論理和によりT'を計算し、(T₁, T')を上記鍵配送装置Sへ送信し、i=2について、上記鍵配送装置Sから(sid, R₁)を受信し、擬似ランダム関数により(sid, R₁ ^r)を用いてK₂ ^lを生成し、擬似ランダム関数により(sid, g^r)を用いてK₂ ^rを生成し、K₂ ^lとK₂ ^rとの排他的論理和によりT₂を計算し、(k₂, s₂, T₂)を上記鍵配送装置Sへ送信し、i=3, …, n-2について、上記鍵配送装置Sからsidを受信し、(k_i, s_i)を上記鍵配送装置Sへ送信し、i=n-1について、上記鍵配送装置Sから(sid, R_n)を受信し、擬似ランダム関数により(sid, g^r)を用いてK_n-1 ^lを生成し、擬似ランダム関数により(sid, R_n ^r)を用いてK_n-1 ^rを生成し、K_n-1 ^lとK_n-1 ^rとの排他的論理和によりT_n-1を計算し、(k_n-1, s_n-1, T_n-1)を上記鍵配送装置Sへ送信し、i=nについて、上記鍵配送装置Sから(sid, R_n+1)を受信し、擬似ランダム関数により(sid, R_n ^r)を用いてK_n ^lを生成し、擬似ランダム関数により(sid, R_n+1 ^r_n)を用いてK_n ^rを生成し、K_n ^lとK_n ^rとの排他的論理和によりT_nを計算し、(k_n, s_n, T_n)を上記鍵配送装置Sへ送信し、i=n+1, …, n+kについて、上記鍵配送装置Sから(sid, R_i-1, R_i+1)を受信し、擬似ランダム関数により(sid, R_i-1 ^r_i)を用いてK_i ^lを生成し、擬似ランダム関数により(sid, R_i+1 ^r_i)を用いてK_i ^rを生成し、K_i ^lとK_i ^rとの排他的論理和によりT_iを計算し、(k_i, s_i, T_i)を上記鍵配送装置Sへ送信する第二鍵生成部と、
　　i=1については上記鍵配送装置Sからk'を受信し、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成し、i=2, n, …, n+k については上記鍵配送装置Sから (k', T'_i, T')を受信し、T'_iとK_i ^lとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算し、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成し、i=3, …, n-1については上記鍵配送装置Sから(k', T'_i, T')を受信し、T'_iとg^rとの排他的論理和によりK₁ ^lを計算し、T'とK₁ ^lとの排他的論理和によりk₁||s₁を計算し、擬似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成するセッション鍵生成部と、
　を含む鍵交換システム。