WO2016199507A1

WO2016199507A1 - 鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム

Info

Publication number: WO2016199507A1
Application number: PCT/JP2016/062601
Authority: WO
Inventors: 麗生吉田; 仁冨士; 鉄太郎小林; 具英山本; 祐人川原; 一樹米山
Original assignee: 日本電信電話株式会社
Priority date: 2015-06-09
Filing date: 2016-04-21
Publication date: 2016-12-15
Also published as: JPWO2016199507A1; CN107637013A; US20180183583A1; CN107637013B; US10355856B2; JP6368047B2; EP3309995A4; EP3309995A1; EP3309995B1

Abstract

動的なメンバ変更を許しながら複数のユーザが共通鍵を共有し、鍵交換に必要な計算量を低減する。第一鍵生成部２１２がねじれ疑似ランダム関数を用いてR_i, c_iを計算する。セッションID生成部１１３がターゲット衝突困難ハッシュ関数によりsidを生成し、(sid, R_α, R_β)を通信装置U_iへ送信する。代表通信装置U₁の第二鍵生成部２１４が疑似ランダム関数を用いてT₁を計算する。一般通信装置U_jの第二鍵生成部２１４が疑似ランダム関数を用いてT_jを計算する。第三鍵生成部１１５がねじれ疑似ランダム関数を用いてk'を計算し、各jについてT'_jを計算する。一般通信装置U_jのセッション鍵生成部２１７がK_j ^l, k₁を計算する。セッション鍵生成部２１７が疑似ランダム関数により共通鍵K₂を生成する。

Description

鍵交換方法、鍵交換システム、鍵配送装置、通信装置、およびプログラム

　この発明は情報セキュリティ技術の応用に関し、特に、グループを形成する複数のユーザが共通鍵を共有する鍵交換技術に関する。

　従来からグループを形成する複数のユーザが共通鍵を共有する鍵交換技術が提案されている（例えば、非特許文献１、２参照）。非特許文献１には、そのような鍵交換技術を実現する情報システムのアーキテクチャが記載されている。非特許文献２には、そのような鍵交換技術のアルゴリズムが記載されている。

Suvo Mittra, "Iolus: a framework for scalable secure multicasting", SIGCOMM '97, pp. 277-288 "Scalable Multicast Key Distribution"、［online］、［平成27年6月5日検索］、インターネット<URL:https://tools.ietf.org/html/rfc1949>

　非特許文献１、２に記載の従来技術では、予め共通鍵を共有するユーザを登録しておく必要があるため、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することはできない。また、ユーザ数をnとして、全体として鍵交換に必要な計算量はO(log n)となるため、ユーザ数の増大に従って鍵交換の計算量が増えるという問題がある。

　この発明の目的は、このような点に鑑みて、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができ、鍵交換に必要な計算量を低減することができる鍵交換技術を提供することである。

　上記の課題を解決するために、この発明の鍵交換方法は、nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、U_iをn台の通信装置とし、U₁をn台の通信装置U_iから選択された1台の代表通信装置とし、U_jをn台の通信装置U_iから代表通信装置U₁を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義される整数とし、

鍵配送装置Sの記憶部に、鍵配送装置Sの公開鍵暗号の秘密鍵sk_Sおよび秘密ストリングst_S, st'_Sが記憶されており、通信装置U_iの記憶部に、通信装置U_iの公開鍵暗号の秘密鍵sk_iおよび秘密ストリングst_i, st'_iが記憶されており、通信装置U_iが、ねじれ疑似ランダム関数により秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^riおよびc_i=g^kih^siを計算し、(R_i, c_i)を鍵配送装置Sへ送信する第一鍵生成ステップと、鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を通信装置U_iへ送信するセッションID生成ステップと、代表通信装置U₁が、疑似ランダム関数により(sid, R_n ^r1)を用いてK₁ ^lを生成し、K₁ ^lとk₁||s₁との排他的論理和によりT₁を計算し、T₁を鍵配送装置Sへ送信する代表第二鍵生成ステップと、一般通信装置U_jが、疑似ランダム関数により(sid, R_α ^rj)を用いてK_j ^lを生成し、疑似ランダム関数により(sid, R_β ^rj)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を鍵配送装置Sへ送信する一般第二鍵生成ステップと、鍵配送装置Sが、ねじれ疑似ランダム関数により秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を代表通信装置U₁へ送信し、(k', T'_j, T₁)を一般通信装置U_jへ送信する第三鍵生成ステップと、一般通信装置U_jが、T'_jとK_j ^rとの排他的論理和によりK_j ^lを計算し、T₁とK_j ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、通信装置U_iが、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップと、を含む。

　この発明によれば、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。鍵交換に必要な計算量が、ユーザ数の定数回、すなわちO(1)となり、従来よりも削減されている。

図１は、鍵交換システムの機能構成を例示する図である。図２（Ａ）は、鍵配送装置の機能構成を例示する図である。図２（Ｂ）は、通信装置の機能構成を例示する図である。図３は、鍵交換方法の処理フローを例示する図である。図４は、鍵交換方法の処理フローを例示する図である。

　実施形態の説明に先立って、この明細書における表記方法について説明する。

　ある集合Setについて、Setから要素mをランダムに選ぶことを、m∈_RSetと表記する。

　あるアルゴリズムALGについて、入力xと乱数rに対してALGがyを出力することを、y←ALG(x;r)と表記する。なお、ALGが確定的アルゴリズムの場合は、乱数rは空である。

　|・|は値・のビット長とする。

　кをセキュリティパラメータとする。

　F={F_к: Dom_к×FS_к→Rng_к}_кを定義域{Dom_к}_к、鍵空間{FS_к}_к、値域{Rng_к}_кを持つ関数族とする。このとき、もし任意の多項式時間の識別者Dに対して、関数F_кと真正ランダム関数RF_к: Dom_к→Rng_кが見分けられなければ、F={F_к}_кを疑似ランダム関数族と呼ぶ。疑似ランダム関数の具体例は、例えば、下記参考文献１に記載されている。
〔参考文献１〕O.ゴールドライヒ著、「現代暗号・確率的証明・擬似乱数」、シュプリンガー・フェアラーク東京、2001年

　H={H_к: Dom_к→Rng_к}_кを定義域{Dom_к}_к、値域{Rng_к}_кを持つハッシュ関数族とする。このとき、もし任意の多項式時間の攻撃者Aに対して、x∈_RDom_кを与えた上でH_к(x)=H_к(x')となるようなx'(≠x)を見つけられなければ、H={H_к}_кをターゲット衝突困難ハッシュ関数族と呼ぶ。ターゲット衝突困難ハッシュ関数の具体例は、例えば、下記参考文献２に記載されている。
〔参考文献２〕J.A.ブーフマン著、「暗号理論入門　原書第3版」、丸善出版、2007年

　公開鍵暗号アルゴリズムを(Gen, Enc, Dec)とする。鍵生成アルゴリズムGenはセキュリティパラメータкを入力とし、公開鍵pkと秘密鍵skを出力する。暗号化アルゴリズムEncは公開鍵pkと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムDecは秘密鍵skと暗号文CTを入力とし、平文mを出力する。公開鍵暗号アルゴリズムの具体例は、例えば、上記参考文献２に記載されている。

　メッセージ認証コードアルゴリズムを(MGen, Tag, Ver)とする。MAC鍵生成アルゴリズムMGenはセキュリティパラメータкを入力とし、MAC鍵mkを出力する。タグ生成アルゴリズムTagはMAC鍵mkと平文mを入力とし、認証タグσを出力する。検証アルゴリズムVerはMAC鍵mkと平文mと認証タグσを入力とし、認証タグσが正しければ1を、正しくなければ0を出力する。メッセージ認証コードアルゴリズムの具体例は、例えば、上記参考文献２に記載されている。

　関数暗号アルゴリズムを(Setup, Der, FEnc, FDec)とする。セットアップアルゴリズムSetupはセキュリティパラメータкを入力とし、マスタ秘密鍵mskと公開パラメータParamsを出力する。鍵導出アルゴリズムDerは公開パラメータParamsとマスタ秘密鍵mskと属性Aを入力とし、ユーザ秘密鍵uskを出力する。暗号化アルゴリズムFEncは公開パラメータParamsとアクセス構造Pと平文mを入力とし、暗号文CTを出力する。復号アルゴリズムFDecはユーザ秘密鍵uskと暗号文CTを入力とし、属性Aがアクセス構造Pを満たすならば平文mを出力する。関数暗号アルゴリズムの具体例は、例えば、下記参考文献３に記載されている。
〔参考文献３〕D. Boneh, A. Sahai, and B. Waters, “Functional encryption: definitions and challenges”, TCC, Lecture Notes in Computer Science, vol. 6597, pp. 253-273, 2011.

　関数tPRF: {0, 1}^к×FS_к×{0, 1}^к×FS_к→Rng_кをねじれ擬似ランダム関数と呼び、擬似ランダム関数F_кを用いて、

と定義する。ただし、a, b'∈{0, 1}^кであり、a', b∈FS_кである。ねじれ擬似ランダム関数の具体例は、例えば、下記参考文献４に記載されている。
〔参考文献４〕Kazuki Yoneyama, “One-Round Authenticated Key Exchange with Strong Forward Secrecy in the Standard Model against Constrained Adversary”, IEICE Transactions, vol. E96-A, no. 6, pp. 1124-1138, 2013.

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　実施形態の鍵交換システムは、図１に例示するように、鍵配送装置１およびN（≧2）台の通信装置２₁, …, ２_Nを含む。この実施形態では、鍵配送装置１および通信装置２₁, …, ２_Nはそれぞれ通信網３へ接続される。通信網３は、鍵配送装置１が通信装置２₁, …, ２_Nそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網である。この実施形態では、通信装置２₁, …, ２_N同士は通信できなくともよい。通信網３は安全が確保された通信路である必要はなく、例えばインターネットなどを用いることができる。

　鍵配送装置１は、図２（Ａ）に例示するように、記憶部１００、セットアップ部１０１、公開鍵生成部１０２、秘密ストリング生成部１０３、ユーザ鍵送信部１１１、セッションID生成部１１３、認証タグ検証部１１４、第三鍵生成部１１５、および認証タグ生成部１１６を含む。通信装置２は、図２（Ｂ）に例示するように、記憶部２００、公開鍵生成部２０２、秘密ストリング生成部２０３、ユーザ鍵受信部２１１、第一鍵生成部２１２、第二鍵生成部２１４、認証タグ生成部２１５、認証タグ検証部２１６、およびセッション鍵生成部２１７を含む。この鍵配送装置１および通信装置２₁, …, ２_Nが、図３および図４に例示する各ステップの処理を行うことにより実施形態の鍵交換方法が実現される。

　鍵配送装置１および通信装置２₁, …, ２_Nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。各装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。各装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。各装置が備える各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　鍵配送装置１が備える記憶部１００および通信装置２₁, …, ２_Nが備える記憶部２００は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。各記憶部は秘密情報を記憶するため、耐タンパ性を有する記憶装置（例えば、SIMカードなど）であることが望ましい。

　図３を参照して、実施形態の鍵交換方法におけるシステムセットアップの処理手続きを説明する。

　以降の説明では、以下のように記号を定義する。Sは鍵配送装置１を示し、U_i（i∈{1, …, N}）はN台の通信装置２₁, …, ２_Nを示すものとする。Gをкビットの素数位数pの乗法巡回群とする。g, hをそれぞれ群Gの生成元とする。H: {0, 1}^*→{0, 1}^кをターゲット衝突困難ハッシュ関数とする。tPRF: {0, 1}^к×FS_к×{0, 1}^к×FS_к→Z_p、tPRF': {0, 1}^к×FS_к×{0, 1}^к×FS_к→FS_кをねじれ疑似ランダム関数とする。F: {0, 1}^к×G→Z_p ²、F': {0, 1}^к×Z_p→FS_к、F": {0, 1}^к×FS_к→{0, 1}^кを疑似ランダム関数とする。

　ステップＳ１０１において、鍵配送装置Sのセットアップ部１０１は、関数暗号のセットアップアルゴリズムSetupにより公開パラメータParamsおよびマスタ秘密鍵mskを生成する。セットアップ部１０１は、公開パラメータParamsを通信装置U₁, …, U_Nそれぞれへ送信する。マスタ秘密鍵mskは記憶部１００へ記憶される。

　ステップＳ１０２において、鍵配送装置Sの公開鍵生成部１０２は、公開鍵暗号の鍵生成アルゴリズムGenにより、鍵配送装置Sの公開鍵pk_Sおよび秘密鍵sk_Sのペアを生成する。鍵配送装置Sの公開鍵pk_Sは、例えば公開鍵基盤等を用いて公開される。鍵配送装置Sの秘密鍵sk_Sは記憶部１００へ記憶される。

　ステップＳ２０２において、通信装置U_iの公開鍵生成部２０２は、公開鍵暗号の鍵生成アルゴリズムGenにより、通信装置U_iの公開鍵pk_iおよび秘密鍵sk_iのペアを生成する。通信装置U_iの公開鍵pk_iは、例えば公開鍵基盤等を用いて公開される。通信装置U_iの秘密鍵sk_iは記憶部２００へ記憶される。

　ステップＳ１０３において、鍵配送装置Sの秘密ストリング生成部１０３は、ねじれ疑似ランダム関数で用いる秘密ストリング(st_S, st'_S)をst_S∈_RFS_к、st'_S∈{0, 1}_кとして生成する。秘密ストリング(st_S, st'_S)は記憶部１００へ記憶される。

　ステップＳ２０３において、通信装置U_iの秘密ストリング生成部２０３は、ねじれ疑似ランダム関数で用いる秘密ストリング(st_i, st'_i)をst_i∈_RFS_к、st'_i∈{0, 1}_кとして生成する。秘密ストリング(st_i, st'_i)は記憶部２００へ記憶される。

　ステップＳ１０４において、鍵配送装置Sは、各通信装置U₁, …, U_Nの公開鍵pk₁, …, pk_Nを例えば公開鍵基盤等から取得し、記憶部１００へ記憶する。

　ステップＳ２０４において、通信装置U_iは、鍵配送装置Sの公開鍵pk_Sを例えば公開鍵基盤等から取得し、記憶部２００へ記憶する。また、鍵配送装置Sから受信した公開パラメータParamsを記憶部２００へ記憶する。

　図４を参照して、実施形態の鍵交換方法におけるセッション鍵配送の処理手続きを説明する。

　以下では、N台の通信装置２₁, …, ２_Nのうち任意のn（≦N）台の通信装置U_i（i∈{1, …, n}）がセッション鍵SKの共有を行うものとする。また、S, U_iを各アルゴリズムの入力とする場合、各装置を一意に特定する識別子を表すものとする。

　ステップＳ１１１において、鍵配送装置Sのユーザ鍵送信部１１１は、通信装置U_iがセッションを開始したときに、そのセッションが通信装置U_iのタイムフレームTFにおける最初のセッションだった場合、現在時刻をtimeとし、属性をA_i=(U_i, time)として、関数暗号の鍵導出アルゴリズムDerにより、通信装置U_iのユーザ秘密鍵usk_i←Der(Params, msk, A_i)を生成する。また、メッセージ認証コードの鍵生成アルゴリズムMGenにより、通信装置U_iのMAC鍵mk_i←MGenを生成する。そして、公開鍵暗号の暗号化アルゴリズムEncにより、通信装置U_iの公開鍵pk_iを用いてユーザ秘密鍵usk_iおよびMAC鍵mk_iを暗号化し、暗号文CT_i←Enc_pki(usk_i, mk_i)を生成する。ユーザ鍵送信部１１１は、暗号文CT_iを通信装置U_iへそれぞれ送信する。

　ステップＳ２１１において、通信装置U_iのユーザ鍵受信部２１１は、公開鍵暗号の復号アルゴリズムDecにより、通信装置U_iの秘密鍵sk_iを用いて鍵配送装置Sから受信した暗号文CT_iを復号し、ユーザ秘密鍵およびMAC鍵(usk_i, mk_i)←Dec_ski(CT_i)を得る。ユーザ鍵受信部２１１は、ユーザ秘密鍵usk_iおよびMAC鍵mk_iを記憶部２００へ記憶する。

　ステップＳ２１２において、通信装置U_iの第一鍵生成部２１２は、~r_i∈_R{0, 1}^к, ~r'_i∈_RFS_к, ~k_i∈_R{0, 1}^к, ~k'_i∈_RFS_к, ~s_i∈_R{0, 1}^к, ~s'_i∈_RFS_кを生成し、ねじれ疑似ランダム関数tPRFにより、r_i=tPRF(~r_i, ~r'_i, st_i, st'_i), k_i=tPRF(~k_i, ~k'_i, st_i, st'_i), s_i=tPRF(~s_i, ~s'_i, st_i, st'_i)を計算する。また、R_i=g^ri, c_i=g^kih^siを計算する。そして、第一鍵生成部２１２は、(R_i, c_i)を鍵配送装置Sへ送信する。

　ステップＳ１１２において、鍵配送装置Sは、通信装置U_iから(R_i, c_i)を受信する。このとき、すべての通信装置U₁, …, U_nから(R₁, c₁), …, (R_n, c_n)を受信するまで待機する。

　ステップＳ１１３において、鍵配送装置SのセッションID生成部１１３は、ターゲット衝突困難ハッシュ関数Hにより、通信装置U₁, …, U_nから受信したc₁, …, c_nを用いて、sid=H(c₁, …, c_n)を生成する。また、n台の通信装置U₁, …, U_nから1台の通信装置を代表者として選択する。代表者の選択方法は任意であり、例えば、予め定めておいた優先順位が最も高い通信装置を選択してもよいし、直近でセッションを開始した通信装置を選択してもよい。ここでは、通信装置U₁が選択されたものとし、U₁を代表通信装置と呼ぶ。また、代表通信装置U₁以外のn-1台の通信装置U_j（j∈{2, …, n}）を一般通信装置と呼ぶ。セッションID生成部１１３は、次式のようにα, βを計算し、(sid, R_α, R_β)を通信装置U_iへそれぞれ送信する。

　ステップＳ２１３において、通信装置U_iは、鍵配送装置Sから(sid, R_α, R_β)をそれぞれ受信する。通信装置U_iは、(sid, R_α, R_β)を受け取り次第、以降の処理を実行する。i=2, …, nの場合、すなわち通信装置U_iが通信装置U_j（i=j）であれば、ステップＳ２１４_jへ処理を進める。i=1の場合、すなわち通信装置U_iが代表通信装置U₁であれば、ステップＳ２１４₁へ処理を進める。

　ステップＳ２１４_jにおいて、一般通信装置U_jの第二鍵生成部２１４は、次式のように、疑似ランダム関数Fにより(sid, R_α ^rj)を用いてK_j ^lを生成し、疑似ランダム関数Fにより(sid, R_β ^rj)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算する。

　ステップＳ２１５_jにおいて、一般通信装置U_jの認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk_jを用いて、認証タグσ_j=Tag_mkj(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid)を生成する。認証タグ生成部２１５は、(k_j, s_j, T_j, σ_j)を鍵配送装置Sへ送信する。

　ステップＳ２１４₁において、代表通信装置U₁の第二鍵生成部２１４は、次式のように、疑似ランダム関数Fにより(sid, R_n ^r1)を用いてK₁ ^lを生成し、K₁ ^lとk₁||s₁との排他的論理和によりT₁を計算する。ただし、||は連結演算子である。

　ステップＳ２１５₁において、代表通信装置U₁の認証タグ生成部２１５は、メッセージ認証コードのタグ生成アルゴリズムTagにより、MAC鍵mk₁を用いて、認証タグσ₁=Tag_mk1(R₁, c₁, R_n, R₂, T₁, U₁, sid)を生成する。認証タグ生成部２１５は、(T₁, σ₁)を鍵配送装置Sへ送信する。

　ステップＳ１１４_jにおいて、鍵配送装置Sの認証タグ検証部１１４は、j=2, …, nについて、一般通信装置U_jから(k_j, s_j, T_j, σ_j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置U_jのMAC鍵mk_jを用いて、Ver_mkj(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, σ_j)を検証する。認証タグσ_jが正当でなければ一般通信装置U_jのセッションを終了する。また、j=2, …, nについて、c_j=g^kjh^sjが成り立つか否かを検証する。成り立たなければ一般通信装置U_jのセッションを終了する。

　ステップＳ１１４₁において、鍵配送装置Sの認証タグ検証部１１４は、代表通信装置U₁から(T₁, σ₁)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U₁のMAC鍵mk₁を用いて、Ver_mk1(R₁, c₁, R_n, R₂, T₁, U₁, sid, σ₁)を検証する。認証タグσ₁が正当でなければ代表通信装置U₁のセッションを終了する。

　ステップＳ１１５ａにおいて、鍵配送装置Sの第三鍵生成部１１５は、~k_S∈_R{0, 1}^к, ~k'_S∈_RFS_к, ~K₁∈_R{0, 1}^к, ~K'₁∈_RFS_кを生成し、ねじれ疑似ランダム関数tPRFにより、k_S=tPRF(~k_S, ~k'_S, st_S, st'_S), K₁=tPRF(~K₁, ~K'₁, st_S, st'_S)を計算する。また、次式により、k'を計算する。

　ステップＳ１１５ｂにおいて、鍵配送装置Sの第三鍵生成部１１５は、j=2, …, nについて、次式により、T'_jを計算する。

　ステップＳ１１５ｃにおいて、鍵配送装置Sの第三鍵生成部１１５は、i=1, …, nについて、アクセス構造P_i=(ID=U_i)∧(time∈TF)として、関数暗号の暗号化アルゴリズムFEncにより共通鍵K₁を暗号化して、暗号文CT'_i=FEnc(Params, P_i, K₁)を生成する。ここで、IDは通信装置を表す述語変数であり、TFは通信装置のタイムフレームを表す述語変数である。

　ステップＳ１１６_ｉにおいて、鍵配送装置Sの認証タグ生成部１１６は、j=2, …, nについて、メッセージ認証コードのタグ生成アルゴリズムTagにより、一般通信装置U_jのMAC鍵mk_jを用いて認証タグσ'_j=Tag_mkj(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T₁, CT'_j)を生成する。認証タグ生成部１１６は、(c₁, k', T'_j, T₁, CT'_j, σ'_j)を一般通信装置U_jへ送信する。

　ステップＳ１１６₁において、鍵配送装置Sの認証タグ生成部１１６は、メッセージ認証コードのタグ生成アルゴリズムTagにより、代表通信装置U₁のMAC鍵mk₁を用いて、認証タグσ'₁=Tag_mk1(R₁, c₁, R_n, R₂, T₁, U₁, sid, k', CT'₁)を生成する。認証タグ生成部１１６は、(k', CT'₁, σ'₁)を代表通信装置U₁へ送信する。

　ステップＳ２１６_jにおいて、一般通信装置U_jの認証タグ検証部２１６は、鍵配送装置Sから(c₁, k', T'_j, T₁, CT'_j, σ'_j)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、一般通信装置U_jのMAC鍵mk_jを用いて、Ver_mkj(R_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T₁, CT'_j, σ'_j)を検証する。認証タグσ'_jが正当でなければ一般通信装置U_jのセッションを終了する。また、次式のように、T'_jとK_j ^rとの排他的論理和によりK_j ^lを計算し、T₁とK_j ^lとの排他的論理和によりk₁||s₁を計算する。

　そして、c₁=g^k1h^s1が成り立つか否かを検証する。成り立たなければ一般通信装置U_jのセッションを終了する。

　ステップＳ２１６₁において、代表通信装置U₁の認証タグ検証部２１６は、鍵配送装置Sから(k', CT'₁, σ'₁)を受信し、メッセージ認証コードの検証アルゴリズムVerにより、代表通信装置U₁のMAC鍵mk₁を用いて、Ver_mk1(R₁, c₁, R_n, R₂, T₁, U₁, sid, k', CT'₁, σ'₁)を検証する。認証タグσ'₁が正当でなければ代表通信装置U₁のセッションを終了する。

　ステップＳ２１７において、通信装置U_iのセッション鍵生成部２１７は、関数暗号の復号アルゴリズムFDecにより、通信装置U_iのユーザ秘密鍵usk_iを用いて、共通鍵K₁←FDec_uski(CT'_i, P_i)を復号する。また、次式のように、疑似ランダム関数F'により共通鍵K₂を計算する。

　そして、次式のように、疑似ランダム関数F"によりセッション鍵SKを計算する。

　上記のように構成することにより、この発明の鍵交換技術によれば、従来のように事前に鍵交換を行うユーザの情報を登録しておく必要がなく、動的なメンバ変更を許しながら複数のユーザが共通鍵を共有することができる。また、従来は鍵交換に必要な全体の計算量がユーザ数をnとしてO(log n)となるが、この発明によればユーザ数の定数回、すなわちO(1)となるため、従来よりも少ない計算量で鍵交換ができる。

　この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、Sを鍵配送装置とし、U_iをn台の通信装置とし、U₁を上記通信装置U_iから選択された1台の代表通信装置とし、U_jを上記通信装置U_iから上記代表通信装置U₁を除いたn-1台の一般通信装置とし、||を連結演算子とし、α, βを次式で定義される整数とし、

　上記鍵配送装置Sの記憶部に、上記鍵配送装置Sの公開鍵暗号の秘密鍵sk_Sおよび秘密ストリングst_S, st'_Sが記憶されており、
　上記通信装置U_iの記憶部に、上記通信装置U_iの公開鍵暗号の秘密鍵sk_iおよび秘密ストリングst_i, st'_iが記憶されており、
　上記通信装置U_iが、ねじれ疑似ランダム関数により上記秘密ストリングst_i, st'_iを用いてr_i, k_i, s_iを生成し、R_i=g^riおよびc_i=g^kih^siを計算し、(R_i, c_i)を上記鍵配送装置Sへ送信する第一鍵生成ステップと、
　上記鍵配送装置Sが、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成ステップと、
　上記代表通信装置U₁が、疑似ランダム関数により(sid, R_n ^r1)を用いてK₁ ^lを生成し、K₁ ^lとk₁||s₁との排他的論理和によりT₁を計算し、T₁を上記鍵配送装置Sへ送信する代表第二鍵生成ステップと、
　上記一般通信装置U_jが、疑似ランダム関数により(sid, R_α ^rj)を用いてK_j ^lを生成し、疑似ランダム関数により(sid, R_β ^rj)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を上記鍵配送装置Sへ送信する一般第二鍵生成ステップと、
　上記鍵配送装置Sが、ねじれ疑似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T₁)を上記一般通信装置U_jへ送信する第三鍵生成ステップと、
　上記一般通信装置U_jが、T'_jとK_j ^rとの排他的論理和によりK_j ^lを計算し、T₁とK_j ^lとの排他的論理和によりk₁||s₁を計算する第一セッション鍵生成ステップと、
　上記通信装置U_iが、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成する第二セッション鍵生成ステップと、
　を含む鍵交換方法。
　請求項１に記載の鍵交換方法であって、
　timeを現在時刻とし、IDを上記通信装置を表す述語変数とし、TFを上記通信装置のタイムフレームを表す述語変数とし、
　上記鍵配送装置Sの記憶部に、関数暗号のマスタ秘密鍵mskがさらに記憶されており、
　上記鍵配送装置Sが、各iについて属性をA_i=(U_i, time)として関数暗号の鍵導出アルゴリズムにより上記マスタ秘密鍵mskを用いてユーザ秘密鍵usk_iを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置U_iの公開鍵pk_iを用いて上記ユーザ秘密鍵usk_iを暗号化して暗号文CT_iを生成するユーザ鍵送信ステップと、
　上記通信装置U_iが、公開鍵暗号の復号アルゴリズムにより上記秘密鍵sk_iを用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iを得るユーザ鍵受信ステップと、
　をさらに含み、
　上記第三鍵生成ステップは、ねじれ疑似ランダム関数により上記秘密ストリングst_S, st'_Sを用いて共通鍵K₁を生成し、各iについてアクセス構造をP_i=(ID=U_i)∧(time∈TF)として関数暗号の暗号化アルゴリズムにより上記共通鍵K₁を暗号化して暗号文CT'_iを生成するものであり、
　上記第二セッション鍵生成ステップは、関数暗号の復号アルゴリズムにより上記ユーザ秘密鍵usk_iを用いて上記暗号文CT'_iを復号して上記共通鍵K₁を得、疑似ランダム関数により(sid, K₁)を用いて生成した値と疑似ランダム関数により(sid, K₂)を用いて生成した値との排他的論理和によりセッション鍵SKを計算するものである、
　鍵交換方法。
　請求項２に記載の鍵交換方法であって、
　上記ユーザ鍵送信ステップは、メッセージ認証コードの鍵生成アルゴリズムによりMAC鍵mk_iを生成し、公開鍵暗号の暗号化アルゴリズムにより上記通信装置U_iの公開鍵pk_iを用いて上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを暗号化して上記暗号文CT_iを生成するものであり、
　上記ユーザ鍵受信ステップは、公開鍵暗号の復号アルゴリズムにより上記秘密鍵sk_iを用いて上記暗号文CT_iを復号して上記ユーザ秘密鍵usk_iおよび上記MAC鍵mk_iを得るものであり、
　上記代表通信装置U₁が、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, U₁, sidを用いて認証タグσ₁を生成する代表第一認証タグ生成ステップと、
　上記一般通信装置U_jが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j ,sidを用いて認証タグσ_jを生成する一般第一認証タグ生成ステップと、
　上記鍵配送装置Sが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, U₁, sidを用いて上記認証タグσ₁を検証し、各jについてメッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j ,sidを用いて上記認証タグσ_jを検証し、c_j=g^kjh^sjが成り立つか否かを検証する第一認証タグ検証ステップと、
　上記鍵配送装置Sが、メッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, U₁, sid, k', CT'₁を用いて認証タグσ'₁を生成し、各jについてメッセージ認証コードのタグ生成アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T₁, CT'_jを用いて認証タグσ'_jを生成する第二認証タグ生成ステップと、
　上記代表通信装置U₁が、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk₁およびR₁, c₁, R_n, R₂, T₁, U₁, sid, k', CT'₁を用いて上記認証タグσ'₁を検証する代表第二認証タグ検証ステップと、
　上記一般通信装置U_jが、メッセージ認証コードの検証アルゴリズムにより上記MAC鍵mk_jおよびR_j, c_j, R_α, R_β, k_j, s_j, T_j, U_j, sid, c₁, k', T'_j, T₁, CT'_jを用いて上記認証タグσ'_jを検証し、T'_jとK_j ^lとの排他的論理和によりK₁ ^lを計算し、T₁とK₁ ^lとの排他的論理和によりk₁||s₁を求め、c₁=g^k1h^s1が成り立つか否かを検証する一般第二認証タグ検証ステップと、
　をさらに含む鍵交換方法。
　nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、||を連結演算子とし、α, βを次式で定義される整数とし、

　鍵配送装置Sとn台の通信装置U_iとを含み、上記通信装置U_iは代表通信装置U₁とn-1台の一般通信装置U_jとからなる鍵交換システムであって、
　上記鍵配送装置Sは、
　　上記鍵配送装置Sの公開鍵暗号の秘密鍵sk_Sおよび秘密ストリングst_S, st'_Sを記憶する記憶部と、
　　各iについて上記通信装置U_iから(R_i, c_i)を受信し、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成部と、
　　上記代表通信装置U₁からT₁を受信し、各jについて上記一般通信装置U_jから(k_j, s_j, T_j)を受信し、ねじれ疑似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T₁)を上記一般通信装置U_jへ送信する第三鍵生成部と、
　を含み、
　上記代表通信装置U₁は、
　　上記代表通信装置U₁の公開鍵暗号の秘密鍵sk₁および秘密ストリングst₁, st'₁を記憶する記憶部と、
　　ねじれ疑似ランダム関数により上記秘密ストリングst₁, st'₁を用いてr₁, k₁, s₁を生成し、R₁=g^r1およびc₁=g^k1h^s1を計算し、(R₁, c₁)を上記鍵配送装置Sへ送信する第一鍵生成部と、
　　上記鍵配送装置Sから(sid, R_n, R₂)を受信し、疑似ランダム関数により(sid, R_n ^r1)を用いてK₁ ^lを生成し、K₁ ^lとk₁||s₁との排他的論理和によりT₁を計算し、T₁を上記鍵配送装置Sへ送信する第二鍵生成部と、
　　上記鍵配送装置Sからk'を受信し、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成するセッション鍵生成部と、
　を含み、
　上記一般通信装置U_jは、
　　上記一般通信装置U_jの公開鍵暗号の秘密鍵sk_jおよび秘密ストリングst_j, st'_jを記憶する記憶部と、
　　ねじれ疑似ランダム関数により上記秘密ストリングst_j, st'_jを用いてr_j, k_j, s_jを生成し、R_j=g^rjおよびc_j=g^kjh^sjを計算し、(R_j, c_j)を上記鍵配送装置Sへ送信する第一鍵生成部と、
　　上記鍵配送装置Sから(sid, R_α, R_β)を受信し、疑似ランダム関数により(sid, R_α ^rj)を用いてK_j ^lを生成し、疑似ランダム関数により(sid, R_β ^rj)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を上記鍵配送装置Sへ送信する第二鍵生成部と、
　　上記鍵配送装置Sから(k', T'_j, T₁)を受信し、T'_jとK_j ^rとの排他的論理和によりK_j ^lを計算し、T₁とK_j ^lとの排他的論理和によりk₁||s₁を計算し、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて上記共通鍵K₂を生成するセッション鍵生成部と、
　を含む鍵交換システム。
　nを2以上の整数とし、iを1からnまでの各整数とし、jを2からnまでの各整数とし、α, βを次式で定義される整数とし、

　公開鍵暗号の秘密鍵sk_Sおよび秘密ストリングst_S, st'_Sを記憶する記憶部と、
　各iについて通信装置U_iから(R_i, c_i)を受信し、ターゲット衝突困難ハッシュ関数によりc₁, …, c_nを用いてsidを生成し、各iについて(sid, R_α, R_β)を上記通信装置U_iへ送信するセッションID生成部と、
　代表通信装置U₁からT₁を受信し、各jについて一般通信装置U_jから(k_j, s_j, T_j)を受信し、ねじれ疑似ランダム関数により上記秘密ストリングst_S, st'_Sを用いてk_sを生成し、k₂, …, k_n, k_sの排他的論理和によりk'を計算し、各jについてT₁, …, T_j-1の排他的論理和によりT'_jを計算し、k'を上記代表通信装置U₁へ送信し、(k', T'_j, T₁)を上記一般通信装置U_jへ送信する第三鍵生成部と、
　を含む鍵配送装置。
　nを2以上の整数とし、||を連結演算子とし、
　公開鍵暗号の秘密鍵sk₁および秘密ストリングst₁, st'₁を記憶する記憶部と、
　ねじれ疑似ランダム関数により上記秘密ストリングst₁, st'₁を用いてr₁, k₁, s₁を生成し、R₁=g^r1およびc₁=g^k1h^s1を計算し、(R₁, c₁)を鍵配送装置Sへ送信する第一鍵生成部と、
　上記鍵配送装置Sから(sid, R_n, R₂)を受信し、疑似ランダム関数により(sid, R_n ^r1)を用いてK₁ ^lを生成し、K₁ ^lとk₁||s₁との排他的論理和によりT₁を計算し、T₁を上記鍵配送装置Sへ送信する第二鍵生成部と、
　上記鍵配送装置Sからk'を受信し、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成するセッション鍵生成部と、
　を含む通信装置。
　nを2以上の整数とし、jを2以上n以下の整数とし、||を連結演算子とし、α, βを次式で定義される整数とし、

　公開鍵暗号の秘密鍵sk_jおよび秘密ストリングst_j, st'_jを記憶する記憶部と、
　ねじれ疑似ランダム関数により上記秘密ストリングst_j, st'_jを用いてr_j, k_j, s_jを生成し、R_j=g^rjおよびc_j=g^kjh^sjを計算し、(R_j, c_j)を鍵配送装置Sへ送信する第一鍵生成部と、
　上記鍵配送装置Sから(sid, R_α, R_β)を受信し、疑似ランダム関数により(sid, R_α ^rj)を用いてK_j ^lを生成し、疑似ランダム関数により(sid, R_β ^rj)を用いてK_j ^rを生成し、K_j ^lとK_j ^rとの排他的論理和によりT_jを計算し、(k_j, s_j, T_j)を上記鍵配送装置Sへ送信する第二鍵生成部と、
　上記鍵配送装置Sから(k', T'_j, T₁)を受信し、T'_jとK_j ^rとの排他的論理和によりK_j ^lを計算し、T₁とK_j ^lとの排他的論理和によりk₁||s₁を計算し、疑似ランダム関数によりsidおよびk'とk₁との排他的論理和を用いて共通鍵K₂を生成するセッション鍵生成部と、
　を含む通信装置。
　請求項５に記載の鍵配送装置もしくは請求項６または７に記載の通信装置としてコンピュータを機能させるためのプログラム。