WO2020240741A1

WO2020240741A1 - 鍵交換システム、通信装置、鍵交換方法及びプログラム

Info

Publication number: WO2020240741A1
Application number: PCT/JP2019/021377
Authority: WO
Inventors: 潤一富田; 星野　文学; 彰永井
Original assignee: 日本電信電話株式会社
Priority date: 2019-05-29
Filing date: 2019-05-29
Publication date: 2020-12-03
Also published as: US11909867B2; JP7298686B2; US20220224520A1; JPWO2020240741A1

Abstract

鍵交換システムは、ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換システムであって、前記複数の通信装置の各々は、前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第１の生成手段と、前記短期秘密鍵を用いて、前記ＩＤベース暗号に用いられる非対称ペアリング群Ｇ_１及びＧ_２のうちの一方のペアリング群Ｇ_１上で、前記通信装置の短期公開鍵を生成する第２の生成手段と、前記非対称ペアリング群Ｇ_１及びＧ_２のうちの他方のペアリング群Ｇ_２上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第１のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第２のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第３の生成手段と、を有することを特徴とする。

Description

鍵交換システム、通信装置、鍵交換方法及びプログラム

　本発明は、鍵交換システム、通信装置、鍵交換方法及びプログラムに関する。

　近年、ＩｏＴ（Internet of Things）機器が普及したことに伴って、ＩｏＴ機器でも重要性の高い通信が行われるようになってきた。このため、通信時に互いが正しい機器であるかを確認するための認証技術がＩｏＴ機器でも重要になってきている。

　ＩｏＴ機器向けの認証技術としてはパスワードや電子証明書等が従来から知られているが、近年では、より安全性が高い認証付き鍵交換プロトコルの導入が求められている。認証付き鍵交換プロトコルとは、認証が成功した際に互いに共通した鍵（共有鍵）を生成し、その共有鍵で暗号化通信が可能となるプロトコルである。このような認証付き鍵交換プロトコルの１つとして、ＩＤベース暗号を用いた認証付き鍵交換プロトコルが知られている。

　ＩＤベース暗号を用いた認証付き鍵交換プロトコルが満たすべき安全性のモデルとしてｉｄ－ｅＣＫモデルと呼ばれるモデルが知られており、非常に強い安全性を要求するモデルであることが知られている。

　また、ＩＤベース暗号を用いた認証付き鍵交換プロトコルは、一般に、有限体上の楕円曲線における双線形群を用いて実現される。このような双線形群はペアリング群とも呼ばれ、対称ペアリング群と非対称ペアリング群とに分類することができる。現在、ペアリング群を暗号で用いる場合には、効率性や安全性の観点から非対称ペアリング群が用いられることが多い。非対称ペアリング群上で実現されるＩＤベース暗号を用いた認証付き鍵交換プロトコルとして、ＩＳＯ／ＩＥＣ（International Organization for Standardization / International Electrotechnical Commission）でも標準化されているＦＳＵ（Fujioka-Suzuki-Ustaoglu）が知られている（非特許文献１参照）。

Fujioka, Hoshino, Kobayashi, Suzuki, Ustaoglu, Yoneyama, "id-eCK Secure ID-Based Authenticated Key Exchange on Symmetric and Asymmetric Pairing", IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences Vol.E96-A No.6 pp.1139-1155, 2013.

　しかしながら、ＦＳＵでは、ペアリング演算と呼ばれる群演算を４回行う必要がある。ペアリング演算は一般に計算コストが高いため、ＩｏＴ機器等の計算リソースが限られた機器がＦＳＵによって鍵交換を行う場合、鍵交換に時間を要することがあった。

　本発明の実施の形態は、上記の点に鑑みてなされたもので、ＩＤベース暗号を用いた認証付き鍵交換プロトコルの計算コストを削減することを目的とする。

　上記目的を達成するため、本発明の実施の形態における鍵交換システムは、ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換システムであって、前記複数の通信装置の各々は、前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第１の生成手段と、前記短期秘密鍵を用いて、前記ＩＤベース暗号に用いられる非対称ペアリング群Ｇ_１及びＧ_２のうちの一方のペアリング群Ｇ_１上で、前記通信装置の短期公開鍵を生成する第２の生成手段と、前記非対称ペアリング群Ｇ_１及びＧ_２のうちの他方のペアリング群Ｇ_２上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第１のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第２のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第３の生成手段と、を有することを特徴とする。

　ＩＤベース暗号を用いた認証付き鍵交換プロトコルの計算コストを削減することができる。

本発明の実施の形態における鍵交換システムの全体構成の一例を示す図である。本発明の実施の形態における鍵発行装置のハードウェア構成の一例を示す図である。本発明の実施の形態における通信装置のハードウェア構成の一例を示す図である。本発明の実施の形態における鍵交換システムの機能構成の一例を示す図である。本発明の実施の形態における鍵発行処理の一例を示すフローチャートである。本発明の実施の形態における鍵交換処理の一例を示すシーケンス図である。

　以下、本発明の実施の形態について説明する。本発明の実施の形態では、ペアリング演算の回数を減らすことで、ＩＤベース暗号を用いた認証付き鍵交換プロトコルにおける計算コストを削減した鍵交換システム１について説明する。

　＜全体構成＞
　まず、本発明の実施の形態における鍵交換システム１の全体構成について、図１を参照しながら説明する。図１は、本発明の実施の形態における鍵交換システム１の全体構成の一例を示す図である。

　図１に示すように、本発明の実施の形態における鍵交換システム１には、鍵発行装置１０と、複数の通信装置２０とが含まれる。また、鍵発行装置１０と、各通信装置２０とは、例えばインターネット等の通信ネットワークＮを介して通信可能に接続されている。

　鍵発行装置１０は、ＫＧＣ（Key Generation Center）として機能するコンピュータ又はコンピュータシステムである。鍵発行装置１０は、マスター秘密鍵を用いてマスター公開鍵を予め生成した上で、当該マスター公開鍵を公開する。また、鍵発行装置１０は、通信装置２０の識別子を受け付けた場合に、この識別子からユーザ秘密鍵を生成した上で、当該識別子に対応する通信装置２０に当該ユーザ秘密鍵を配布する。

　なお、通信装置２０の識別子としては、任意の識別子を用いることが可能である。例えば、通信装置２０の製造固有番号やＩＰ（Internet Protocol）アドレス、物理アドレス等を識別子として用いることが可能である。これら以外にも、例えば、通信装置２０のユーザのユーザＩＤ、通信装置２０のユーザの氏名、通信装置２０のユーザのメールアドレス等を識別子として用いることも可能である。

　通信装置２０は、例えば、各種センサデバイス、組み込み機器、ウェアラブルデバイス、デジタル家電、監視カメラ、照明機器、医療機器、産業用機器等の種々のＩｏＴ機器である。通信装置２０は、鍵発行装置１０から配布されたユーザ秘密鍵を用いて、他の通信装置２０との間でＩＤベース暗号を用いた認証付き鍵交換プロトコルにより認証（つまり、正当性の確認）を行って、暗号化通信のための鍵（共有鍵）を交換（生成）する。以降では、複数の通信装置２０の各々を区別して表す場合は、「通信装置２０Ａ」、「通信装置２０Ｂ」等と表す。

　なお、本発明の実施の形態では、通信装置２０としてＩｏＴ機器を想定し、通信装置２０の計算リソースが限られている（すなわち、例えば、プロセッサの処理性能やメモリの容量が一般的なコンピュータ等と比較して乏しい）ものとする。ただし、これに限られず、通信装置２０がＩｏＴ機器以外（例えば、ＰＣ（パーソナルコンピュータ）やサーバ装置、スマートフォン、タブレット端末等）であっても、本発明の実施の形態を同様に適用することが可能である。

　また、図１に示す鍵交換システム１の構成は一例であって、他の構成であってもよい。例えば、鍵発行装置１０に対して各通信装置２０の識別子を送信する端末が鍵交換システム１に含まれていてもよい。

　＜ハードウェア構成＞
　次に、本発明の実施の形態における鍵発行装置１０及び通信装置２０のハードウェア構成について説明する。

　　≪鍵発行装置１０≫
　以降では、本発明の実施の形態における鍵発行装置１０のハードウェア構成について、図２を参照しながら説明する。図２は、本発明の実施の形態における鍵発行装置１０のハードウェア構成の一例を示す図である。

　図２に示すように、本発明の実施の形態における鍵発行装置１０は、入力装置１１と、表示装置１２と、ＲＡＭ（Random Access Memory）１３と、ＲＯＭ（Read Only Memory）１４と、プロセッサ１５と、外部Ｉ／Ｆ１６と、通信Ｉ／Ｆ１７と、補助記憶装置１８とを有する。これら各ハードウェアは、それぞれがバス１９を介して通信可能に接続されている。

　入力装置１１は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置１２は、例えばディスプレイ等であり、ユーザに対して各種処理結果等を表示するのに用いられる。なお、鍵発行装置１０は、入力装置１１及び表示装置１２のうちの少なくとも一方を有していなくてもよい。

　ＲＡＭ１３は、プログラムやデータを一時保持する揮発性の半導体メモリである。ＲＯＭ１４は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。プロセッサ１５は、例えばＣＰＵ（Central Processing Unit）等であり、ＲＯＭ１４や補助記憶装置１８等からプログラムやデータをＲＡＭ１３上に読み出して処理を実行する演算装置である。

　外部Ｉ／Ｆ１６は、外部装置とのインタフェースである。外部装置には、記録媒体１６ａ等がある。記録媒体１６ａとしては、例えば、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。なお、記録媒体１６ａには、鍵発行装置１０が有する各機能を実現する１以上のプログラム等が記録されていてもよい。

　通信Ｉ／Ｆ１７は、鍵発行装置１０を通信ネットワークＮに接続するためのインタフェースである。鍵発行装置１０は、通信Ｉ／Ｆ１７を介して、通信装置２０との間でデータ通信を行うことができる。

　補助記憶装置１８は、例えばＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）等の不揮発性の記憶装置である。補助記憶装置１８には、鍵発行装置１０が有する各機能を実現する１以上のプログラム等が記憶されている。

　本発明の実施の形態における鍵発行装置１０は、図２に示すハードウェア構成を有することにより、後述する鍵発行処理等を実現することができる。なお、図２では、本発明の実施の形態における鍵発行装置１０が１台の装置（コンピュータ）で実現されている場合を示したが、これに限られない。本発明の実施の形態における鍵発行装置１０は、複数台の装置（コンピュータ）で実現されていてもよい。また、１台の装置（コンピュータ）には、複数のプロセッサ１５や複数のメモリ（例えば、ＲＡＭ１３やＲＯＭ１４、補助記憶装置１８等）が含まれていてもよい。

　　≪通信装置２０≫
　以降では、本発明の実施の形態における通信装置２０のハードウェア構成について、図３を参照しながら説明する。図３は、本発明の実施の形態における通信装置２０のハードウェア構成の一例を示す図である。

　図３に示すように、本発明の実施の形態における通信装置２０は、プロセッサ２１と、メモリ装置２２と、通信Ｉ／Ｆ２３とを有する。これら各ハードウェアは、それぞれがバス２４を介して通信可能に接続されている。

　プロセッサ２１は、例えばＭＰＵ（Micro Processing Unit）やＣＰＵ等であり、メモリ装置２２からプログラムやデータを読み出して処理を実行する演算装置である。

　メモリ装置２２は、例えばＲＡＭやＲＯＭ、フラッシュメモリ等であり、各種データやプログラム等を記憶する。メモリ装置２２には、本発明の実施の形態における通信装置２０が有する各機能を実現する１以上のプログラム等が記憶されている。

　通信Ｉ／Ｆ２３は、通信装置２０を通信ネットワークＮに接続するためのインタフェースである。通信装置２０は、通信Ｉ／Ｆ２３を介して、他の通信装置２０や鍵発行装置１０等との間でデータ通信を行うことができる。

　本発明の実施の形態における通信装置２０は、図３に示すハードウェア構成を有することにより、後述する鍵交換処理を実現することができる。

　＜機能構成＞
　次に、本発明の実施の形態における鍵交換システム１の機能構成について、図４を参照しながら説明する。図４は、本発明の実施の形態における鍵交換システム１の機能構成の一例を示す図である。

　　≪鍵発行装置１０≫
　図４に示すように、本発明の実施の形態における鍵発行装置１０は、通信部１０１と、鍵発行処理部１０２とを有する。これら各部は、鍵発行装置１０にインストールされた１以上のプログラムがプロセッサ１５に実行させる処理により実現される。

　また、本発明の実施の形態における鍵発行装置１０は、記憶部１０３を有する。記憶部１０３は、例えば補助記憶装置１８等を用いて実現可能である。なお、記憶部１０３は、鍵発行装置１０と通信ネットワークＮを介して接続される記憶装置等を用いて実現されていてもよい。

　通信部１０１は、通信装置２０等との間で各種通信を行う。鍵発行処理部１０２は、通信装置２０の識別子を受け付けた場合に、この識別子からユーザ秘密鍵を生成した上で、当該識別子に対応する通信装置２０に当該ユーザ秘密鍵を配布する。記憶部１０３は、各種データ（例えば、マスター公開鍵やマスター秘密鍵等）を記憶する。

　　≪通信装置２０≫
　図４に示すように、本発明の実施の形態における通信装置２０は、通信部２０１と、鍵交換処理部２０２とを有する。

　通信部２０１は、他の通信装置２０や鍵発行装置１０等との間で各種通信を行う。鍵交換処理部２０２は、鍵発行装置１０から配布されたユーザ秘密鍵を用いて、他の通信装置２０との間でＩＤベース暗号を用いた認証付き鍵交換プロトコルにより認証を行って共有鍵を交換する。記憶部２０３は、各種データ（例えば、ユーザ秘密鍵等）を記憶する。

　＜鍵交換システム１の処理の詳細＞
　次に、本発明の実施の形態における鍵交換システム１の処理の詳細について説明する。

　　≪記号の定義≫
　まず、以降で用いる記号を次のように定義する。

　ＩＤ_Ａ：通信装置２０Ａの識別子
　ＩＤ_Ｂ：通信装置２０Ｂの識別子
　Ｄ_Ａ：通信装置２０Ａのユーザ秘密鍵
　Ｄ_Ｂ：通信装置２０Ｂのユーザ秘密鍵
　ｋ：セキュリティパラメータ
　ｐ，ｑ：ｐ≠ｑを満たす素数
　Ｇ_１：有限体Ｆ_ｐ上の楕円曲線をＥ_１として、楕円曲線Ｅ_１上の群Ｅ（Ｆ_ｐ）の部分群
　Ｇ_２：有限体Ｆ_ｐのｋ次拡大体上の楕円曲線をＥ_２として、楕円曲線Ｅ_２上の群

の部分群
　ｇ_１：Ｇ_１の生成元
　ｇ_２：Ｇ_２の生成元
　Ｚ_ｑ：ｑを法とする剰余類
　ｚ∈Ｚ_ｑ：マスター秘密鍵
　Ｚ＝ｚｇ_１：マスター公開鍵
　Ｈ_１：文字列（例えばオクテット列）からＧ_２上の元を生成する関数
　Ｈ_２：文字列からＺ_ｑ上の元を生成する関数
　Ｈ：鍵導出関数
　ｅ：Ｇ_１×Ｇ_２上で定義されたペアリング演算
　ここで、上記で定義した各記号のうち、マスター秘密鍵ｚ、ユーザ秘密鍵Ｄ_Ａ及びＤ_Ｂ以外は公開情報であるものとする。なお、Ｇ_１とＧ_２とは逆であってもよい。また、群の元やＺ_ｑ上の元を関数に入力する場合には、当該元を表す文字列を関数に入力するものとする。

　　≪鍵発行処理≫
　まず、ユーザ秘密鍵を生成するための鍵発行処理について、図５を参照しながら説明する。図５は、本発明の実施の形態における鍵発行処理の一例を示すフローチャートである。以降では、一例として、ユーザ秘密鍵Ｄ_Ａとユーザ秘密鍵Ｄ_Ｂとを発行する場合について説明する。

　鍵発行処理部１０２は、通信装置２０Ａの識別子ＩＤ_Ａと通信装置２０Ｂの識別子ＩＤ_Ｂとを受け付ける（ステップＳ１０１）。通信装置２０の識別子は、例えば、当該通信装置２０から送信されてもよいし、鍵発行装置１０と通信ネットワークＮを介して接続される端末等から送信されてもよいし、鍵発行装置１０が有する入力装置１１から入力されてもよい。

　次に、鍵発行処理部１０２は、以下によりユーザ秘密鍵Ｄ_Ａとユーザ秘密鍵Ｄ_Ｂとを生成する（ステップＳ１０２）。

　Ｑ_Ａ＝Ｈ_１（ＩＤ_Ａ）∈Ｇ_２
　Ｄ_Ａ＝ｚＱ_Ａ
　Ｑ_Ｂ＝Ｈ_１（ＩＤ_Ｂ）∈Ｇ_２
　Ｄ_Ｂ＝ｚＱ_Ｂ
　ここで、Ｑ_Ａ及びＱ_Ｂは、通信装置２０で生成されてもよいし、鍵発行装置１０で生成されてもよい。すなわち、例えば、ユーザ秘密鍵Ｄ_Ａを生成する際に、通信装置２０でＱ_Ａを生成して鍵発行装置１０に公開してもよいし、鍵発行装置１０でＱ_Ａを生成してもよい。同様に、例えば、ユーザ秘密鍵Ｄ_Ｂを生成する際に、通信装置２０でＱ_Ｂを生成して鍵発行装置１０に公開してもよいし、鍵発行装置１０でＱ_Ｂを生成してもよい。なお、通信装置２０Ａ及び通信装置２０ＢのそれぞれでＱ_Ａ及びＱ_Ｂを生成することが簡便であるが、例えば、通信装置２０の計算リソースが限られており、Ｈ_１の計算に多くの計算リソースが必要な場合等には鍵発行装置１０でＱ_Ａ及びＱ_Ｂを生成することが好ましい。

　次に、鍵発行処理部１０２は、ユーザ秘密鍵Ｄ_Ａを通信装置２０Ａに配布すると共に、ユーザ秘密鍵Ｄ_Ｂを通信装置２０Ｂに配布する（ステップＳ１０３）。なお、鍵発行処理部１０２は、任意の方法でユーザ秘密鍵を配布すればよい。例えば、鍵発行処理部１０２は、通信装置２０からのユーザ秘密鍵の配布要求に応じて、通信部１０１によって該当のユーザ秘密鍵を当該通信装置２０に送信することで、ユーザ秘密鍵を配布すればよい。又は、ユーザ秘密鍵を記録媒体等に記録した上で、通信装置２０に配布されてもよい。これにより、各通信装置２０は、他の通信装置２０との間で共有鍵を交換（生成）する際に用いるユーザ秘密鍵を得ることができる。

　　≪鍵交換処理≫
　次に、通信装置２０間で、ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより認証を行って共有鍵を交換するための鍵交換処理について、図６を参照しながら説明する。図６は、本発明の実施の形態における鍵交換処理の一例を示すシーケンス図である。以降では、一例として、通信装置２０Ａと通信装置２０Ｂとの間で共有鍵を交換（生成）する場合について説明する。

　通信装置２０Ａの鍵交換処理部２０２は、ｒ_Ａ∈Ｚ_ｑをランダムに選択した上で、短期秘密鍵

を生成すると共に、短期公開鍵Ｘ_Ａ＝ｘ_Ａｇ_１を生成する（ステップＳ２０１）。なお、短期秘密鍵ｘ_Ａ及び短期公開鍵Ｘ_Ａは、通信装置２０Ａの記憶部２０３に記憶される。

　同様に、通信装置２０Ｂの鍵交換処理部２０２は、ｒ_Ｂ∈Ｚ_ｑをランダムに選択した上で、短期秘密鍵

を生成すると共に、短期公開鍵Ｘ_Ｂ＝ｘ_Ｂｇ_１を生成する（ステップＳ２０２）。なお、短期秘密鍵ｘ_Ｂ及び短期公開鍵Ｘ_Ｂは、通信装置２０Ｂの記憶部２０３に記憶される。

　次に、通信装置２０Ａの通信部２０１は、識別子ＩＤ_Ａと短期公開鍵Ｘ_Ａとを通信装置２０Ｂに送信する（ステップＳ２０３）。同様に、通信装置２０Ｂの通信部２０１は、識別子ＩＤ_Ｂと短期公開鍵Ｘ_Ｂとを通信装置２０Ｂに送信する（ステップＳ２０４）。これにより、識別子と短期公開鍵とが通信装置２０間で交換される。

　次に、通信装置２０Ａの鍵交換処理部２０２は、上記のステップＳ２０１で生成した短期秘密鍵ｘ_Ａを記憶部２０３から削除する（ステップＳ２０５）。同様に、通信装置２０Ｂの鍵交換処理部２０２は、上記のステップＳ２０２で生成した短期秘密鍵ｘ_Ｂを記憶部２０３から削除する（ステップＳ２０６）。

　なお、上記のステップＳ２０５及びステップＳ２０６で短期秘密鍵ｘ_Ａ及び短期秘密鍵ｘ_Ｂをそれぞれ削除しているが、これは、他方の通信装置２０から識別子及び短期公開鍵を受信するまでの間に短期秘密鍵が流出することを防止するためである。すなわち、例えば、通信装置２０Ａが識別子ＩＤ_Ａ及び短期公開鍵Ｘ_Ａを通信装置２０Ｂに送信した後、通信装置２０Ａが識別子ＩＤ_Ｂ及び短期公開鍵Ｘ_Ｂを通信装置２０Ｂから受信するまでの間には或る程度の時間を要することがある。このため、この時間の間における短期秘密鍵ｘ_Ａの流出を防止するために、通信装置２０Ａは、識別子ＩＤ_Ａ及び短期公開鍵Ｘ_Ａを通信装置２０Ｂに送信した後、短期秘密鍵ｘ_Ａを削除している。短期秘密鍵ｘ_Ｂを削除している理由についても同様である。

　続いて、通信装置２０Ａの鍵交換処理部２０２は、短期秘密鍵

を再度生成する（ステップＳ２０７）。なお、短期秘密鍵ｘ_Ａは、通信装置２０Ａの記憶部２０３に記憶される。

　同様に、通信装置２０Ｂの鍵交換処理部２０２は、短期秘密鍵

を再度生成する（ステップＳ２０８）。なお、短期秘密鍵ｘ_Ｂは、通信装置２０Ｂの記憶部２０３に記憶される。

　次に、通信装置２０Ａの鍵交換処理部２０２は、共有値σ_１と共有値σ_２と共有値σ_３とを以下により計算する（ステップＳ２０９）。

　σ_１＝ｅ（Ｘ_Ｂ，Ｄ_Ａ）
　σ_２＝ｅ（ｘ_ＡＺ，Ｑ_Ｂ）
　σ_３＝ｘ_ＡＸ_Ｂ
　同様に、通信装置２０Ｂの鍵交換処理部２０２は、共有値σ_１と共有値σ_２と共有値σ_３とを以下により計算する（ステップＳ２１０）。

　σ_１＝ｅ（ｘ_ＢＺ，Ｑ_Ａ）
　σ_２＝ｅ（Ｘ_Ａ，Ｄ_Ｂ）
　σ_３＝ｘ_ＢＸ_Ａ
　次に、通信装置２０Ａの鍵交換処理部２０２は、以下によりｓｉｄを計算する（ステップＳ２１１）。なお、ｓｉｄはセッションＩＤを意味する。

　同様に、通信装置２０Ｂの鍵交換処理部２０２は、以下によりｓｉｄを計算する（ステップＳ２１２）。

　なお、上記のステップＳ２１１及びステップＳ２１２では、通信装置２０Ａと通信装置２０Ｂとの間でｓｉｄが同一とする必要があるため、例えば、暗号化通信を行う際の送信者（sender）をＩＤ_Ａ、受信者（receiver）をＩＤ_Ｂとする等と予め取り決めておくことでｓｉｄが同一となるようにしてもよいし、ＩＤ_ＡとＩＤ_ＢとＸ_ＡとＸ_Ｂとをアルファベット順にソートした上で連結することでｓｉｄが同一となるようにしてもよい。また、このとき、ＩＤ_ＡとＩＤ_ＢとＸ_ＡとＸ_Ｂとに加えて、例えば、マスター公開鍵Ｚを追加したり、プロトコル名やアルゴリズム名等を追加したりしてもよい。

　最後に、通信装置２０Ａの鍵交換処理部２０２は、以下により共有鍵Ｋを生成する（ステップＳ２１３）。

　なお、この共有鍵Ｋは、通信装置２０Ａの記憶部２０３に記憶される。

　同様に、通信装置２０Ｂの鍵交換処理部２０２は、以下により共有鍵Ｋを生成する（ステップＳ２１４）。

　なお、この共有鍵Ｋは、通信装置２０Ｂの記憶部２０３に記憶される。

　これにより、通信装置２０Ａと通信装置２０Ｂとの間で共有鍵Ｋが共有される。したがって、この共有鍵Ｋを用いて、通信装置２０Ａと通信装置２０Ｂとの間で暗号化通信を行うことができる。

　以上のように、本発明の実施の形態では、通常の認証付き鍵交換においてｅＣＫモデルで安全なＮＡＸＯＳプロトコルの技術を、ＩＤベース暗号を用いた認証付き鍵交換プロトコルに応用できるようにプロトコルを設計している。なお、ｅＣＫモデルは通常の認証付き鍵交換における安全性のモデルであり、ｉｄ－ｅＣＫモデルの元となっているモデルである。

　ところで、通常の認証付き鍵交換ではペアリング演算は不要であり、ＮＡＸＯＳプロトコルは通常の巡回群上のプロトコルとなっている。このため、ＩＤベース暗号を用いた認証付き鍵交換を行うためにはペアリング群上でプロトコルを構成する必要があり、非対称ペアリング群では２つの巡回群Ｇ_１及びＧ_２があるため、どのようにＮＡＸＯＳの技術を応用するかが問題となる。これに対して、本発明の実施の形態では、Ｇ_１を一時鍵（つまり、短期秘密鍵及び短期公開鍵）上の演算に用い、Ｇ_２をユーザ秘密鍵の要素に用いることで安全性（つまり、ｉｄ－ｅＣＫモデルを満たす安全性）を達成している。なお、ＮＡＸＯＳプロトコルはユーザ秘密鍵と短期秘密鍵とを入力としてハッシュ関数値を計算してそこから短期公開鍵を作るという技術を使った、ＣＫモデルでの安全性よりも高い安全性を持つ認証付き鍵交換プロトコルである。ＮＡＸＯＳプロトコルの詳細については、例えば参考文献「B. LaMacchia, K. Lauter, and A. Mityagin, "Stronger security of authenticated key exchange," in Provable Security, ser. LNCS, vol. 4784. Springer, 2007.」のsection 4等を参照されたい。

　また、本発明の実施の形態では、各通信装置２０でペアリング演算をそれぞれ２回行うだけで共有鍵Ｋの交換を行うことができる。一方で、上述したように、例えば、ＦＳＵではペアリング演算をそれぞれ４回行う必要がある。このため、本発明の実施の形態では、各通信装置２０は、従来技術と比較して、約１／２の時間で鍵交換を行うことが可能となる。したがって、本発明の実施の形態によれば、例えば、計算リソースが限られたＩｏＴ機器等においても、ＩＤベース暗号を用いた認証付き鍵交換プロトコルを高速に実行することが可能となる。

　本発明は、具体的に開示された上記の実施の形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更が可能である。

　１　　　　鍵交換システム
　１０　　　鍵発行装置
　２０　　　通信装置
　１０１　　通信部
　１０２　　鍵発行処理部
　１０３　　記憶部
　２０１　　通信部
　２０２　　鍵交換処理部
　２０３　　記憶部

Claims

　ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換システムであって、
　前記複数の通信装置の各々は、
　前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第１の生成手段と、
　前記短期秘密鍵を用いて、前記ＩＤベース暗号に用いられる非対称ペアリング群Ｇ_１及びＧ_２のうちの一方のペアリング群Ｇ_１上で、前記通信装置の短期公開鍵を生成する第２の生成手段と、
　前記非対称ペアリング群Ｇ_１及びＧ_２のうちの他方のペアリング群Ｇ_２上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第１のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第２のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第３の生成手段と、
　を有することを特徴とする鍵交換システム。
　前記第１の生成手段は、
　ｑを素数とした剰余類Ｚ_ｑの元をランダムに選択した上で、選択した元を表す文字列と前記通信装置の秘密鍵とを連結した文字列を入力した所定の関数により前記短期秘密鍵を生成し、
　前記第２の生成手段は、
　前記短期秘密鍵と前記ペアリング群Ｇ_１の生成元との演算により前記短期公開鍵を生成し、
　前記第３の生成手段は、
　前記第１のペアリング演算の演算結果と、前記第２のペアリング演算の演算結果と、前記短期秘密鍵と前記他の通信装置で生成された短期公開鍵とを演算した結果と、前記通信装置及び前記他の通信装置間で共通のセッションＩＤとを用いて、前記共有鍵を生成する、ことを特徴とする請求項１に記載の鍵交換システム。
　ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより、他の通信装置との間で暗号化通信を行うための共有鍵を生成する通信装置であって、
　前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第１の生成手段と、
　前記短期秘密鍵を用いて、前記ＩＤベース暗号に用いられる非対称ペアリング群Ｇ_１及びＧ_２のうちの一方のペアリング群Ｇ_１上で、前記通信装置の短期公開鍵を生成する第２の生成手段と、
　前記非対称ペアリング群Ｇ_１及びＧ_２のうちの他方のペアリング群Ｇ_２上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第１のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第２のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第３の生成手段と、
　を有することを特徴とする通信装置。
　ＩＤベース暗号を用いた認証付き鍵交換プロトコルにより、複数の通信装置の間で暗号化通信を行うための共有鍵を生成する鍵交換方法であって、
　前記複数の通信装置の各々が、
　前記通信装置の秘密鍵を用いて、短期秘密鍵を生成する第１の生成手順と、
　前記短期秘密鍵を用いて、前記ＩＤベース暗号に用いられる非対称ペアリング群Ｇ_１及びＧ_２のうちの一方のペアリング群Ｇ_１上で、前記通信装置の短期公開鍵を生成する第２の生成手順と、
　前記非対称ペアリング群Ｇ_１及びＧ_２のうちの他方のペアリング群Ｇ_２上で生成された前記通信装置の秘密鍵と他の通信装置で生成された短期公開鍵とを用いた第１のペアリング演算と、前記通信装置の短期秘密鍵と前記他の通信装置の秘密鍵を生成する際に用いられた公開情報とを用いた第２のペアリング演算とを行うことで、前記他の通信装置との間で暗号化通信を行うための共有鍵を生成する第３の生成手順と、
　を実行することを特徴とする鍵交換方法。
　コンピュータを、請求項３に記載の通信装置における各手段として機能させるためのプログラム。