アイデンティティベースの認証鍵共有プロトコル
第1のパーティと第2のパーティとの間での鍵共有プロトコルが、第1のパーティの観点から以下のステップを含む。暗号化された第1のランダム鍵コンポーネントが、第2のパーティに送信され、第1のランダム鍵コンポーネントは、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている。暗号化されたランダム鍵コンポーネントのペアが、第2のパーティから受信され、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されており、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されている。第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントが、第2のパーティに、暗号化形式で送信される。第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、暗号化技術に関し、より詳細には、改善された、アイデンティティベースの認証鍵共有プロトコルに関する。
【背景技術】
【0002】
暗号化技術は、2人以上の当事者間でのセキュアな通信を提供するためのよく知られた技術である。認証鍵共有は、2人以上の参加者が互いに認証し合い、今後の通信のために鍵に合意する暗号のプロトコルである。これらのプロトコルは、対称鍵プロトコルまたは非対称公開鍵プロトコルであり得る。対称鍵プロトコルは、秘密鍵をブートストラップするのに帯域外のセキュリティメカニズムを必要とし、一方、公開鍵プロトコルは、証明書および大規模な公開鍵インフラストラクチャ(PKI)を必要とすることを思い出されたい。明らかに、公開鍵方法の方がいくぶん柔軟ではあるが、しかしながら、証明書および大規模な公開鍵インフラストラクチャの要件は、取り組むべき問題であることが証明されている。
【0003】
近年、アイデンティティベースの暗号化(IBE)プロトコルが、PKI要件を単純化し、それを単純な鍵生成機能(KGF)に替えることによって私有鍵を生成する、公開鍵方法の実行可能な代案として提案されている。しかしながら、既存のIBE方法の1つの重大な制限は、KGFが最終的に、望ましくない成り行きを伴う、事実上の鍵エスクローサーバになり得ることである。すなわち、既存のIBEプロトコルにおけるKGFが、プロトコルにおいて使用される各私有鍵を生成するので、KGFは、それゆえに、すべてのやり取りを解読することができる。これは、KGFが侵入者によって危険にさらされた場合に、プロトコルのもとで動作する2人の当事者間のやり取りもまた危険にさらされることになるために、望ましくない成り行きである。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)
【発明の概要】
【発明が解決しようとする課題】
【0005】
改善された、アイデンティティベースの認証鍵共有プロトコルの必要性が存在する。
【課題を解決するための手段】
【0006】
本発明の実施形態が、改善された、アイデンティティベースの認証鍵共有プロトコルを提供する。
【0007】
たとえば、一実施形態において、第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法が、以下のステップを含む。暗号化された第1のランダム鍵コンポーネントが、第1のパーティから第2のパーティに送信され、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている。暗号化されたランダム鍵コンポーネントのペアが、第2のパーティから第1のパーティにおいて受信され、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている。アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントが、第1のパーティから第2のパーティに、暗号化形式で送信される。第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である。
【0008】
有利なことに、本発明の実施形態は、鍵エスクロー問題に悩まされない、アイデンティティベースの認証鍵共有プロトコルを提供する。さらに、計算された鍵情報が、いかなる過去または未来の認証鍵共有セッションにも無関係であるために、プロトコルはまた、先にも後にも万全な秘密を提供する。その上、本発明の実施形態は、さまざまな鍵共有アプリケーションに適用されてもよく、例のみとして、有線/無線ネットワーク上のアプリケーション用のエンドツーエンドの鍵共有、およびセキュアプロキシベースの経路最適化プロトコルなどのネットワーキングプロトコルのための鍵共有に適用されてもよい。
【0009】
本発明のこれらの、ならびに他の目的、特徴、および効果は、添付の図面と関連付けて読まれるべき、以下の本発明の例示的な実施形態の詳細な説明から明らかになるであろう。
【図面の簡単な説明】
【0010】
【図1】本発明の実施形態に従った、アイデンティティベースの認証鍵共有プロトコルを示す流れ図である。
【図2】本発明の実施形態によるプロトコルのうちの1つまたは複数を実装するのに好適な、データネットワークおよびコンピュータシステムの一般化されたハードウェアアーキテクチャを示すブロック図である。
【発明を実施するための形態】
【0011】
参照しやすいように、詳細な説明は、以下のように分割される。アイデンティティベースの暗号化(IBE)の概説が提供される(セクションI)。本来存在した鍵エスクロー問題を有する、関連する1つのIBEを含んだ鍵共有プロトコルのいくつかの例の検討が提供される(セクションII)。次いで、本発明による、改善された、アイデンティティベースの認証鍵共有プロトコルの実施形態が詳細に説明され(セクションIII)、いくつかの例示的なアプリケーションの説明がそれに続く(セクションIV)。次いで、本発明による、改善された、アイデンティティベースの認証鍵共有プロトコルを実装するための、例示的なコンピューティングシステムが説明される(セクションV)。
【0012】
I.アイデンティティベースの暗号化
アイデンティティベースの暗号化プロトコルは、BonehおよびFranklinにより提示された。その開示が参照により本明細書に組み込まれる、Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)を参照されたい。この非対称暗号の暗号化プロトコルは、参加者が、公開鍵として「アイデンティティ」(たとえば、電子メールid、またはドメイン名)を使用することを可能にし、RSA(Rivest、ShamirおよびAdleman)などの公開鍵暗号化方法にしばしば関係付けられている大規模な公開鍵インフラストラクチャの必要性を排除する。BonehおよびFranklinの問題に対する手法は、有限体上の楕円曲線上の双線形マップを使用し、双線形判定Diffie−Hellman問題に依拠する。
【0013】
プロトコルは、以下の数学的ツールおよびパラメータを伴う。
【0014】
Eを、有限体F上の楕円曲線、およびPを、大きな素数位数の点とする。
【0015】
e:E×E→Gを、E上の双線形マップとする。典型的な例は、Weilペアリングであり、したがって、Gは1のn乗根の群となり、ここで、nは、F上のEにおける点の数の関数である。
【0016】
sを、非ゼロの正の整数、および鍵生成機能(KGF)に記憶された秘密とする。これは、システム全体の秘密であり、KGFの外部には漏らされない。
【0017】
Ppub=sPを、すべての参加者に知られるシステムの公開鍵とする。Eは群であるので、sPは、Eにおける点を表すことを思い出されたい。
【0018】
H1を、文字列を取り、それを楕円曲線上の点に割り当てる既知のハッシュ関数とし、すなわち、H1(A)=E上のQA(ここで、Aは、通常アイデンティティである)であり、またAの公開鍵でもある。
【0019】
dA=sQAを、KGFにより計算され、Aにのみ引き渡される私有鍵とする。
【0020】
H2を、Gの要素を取り、それを文字列に割り当てる既知のハッシュ関数とする。
【0021】
mを、暗号化され、Aに送信される必要があるメッセージとする。BonehおよびFranklinにより説明される暗号化関数は、以下の通りである:
gA=e(QA,Ppub)とし、rを、乱数とする。
【0022】
暗号化A(m)=(rP,m xor H2(gAr))、言い換えれば、mの暗号化の出力は、2つの座標uおよびvを有し、ここで、u=rPおよび、v=m xor H2(gAr)である。「xor」は、排他的論理和の論理関数を指すことに留意されたい。
【0023】
(u,v)を解読するために、Aは、以下の式を使用してmを復元する:
m=v xor H2(e(dA,u)).
【0024】
式の証明は、双線形マップにおける直接的な実行であり、事実Aは、秘密dA(Aのみに知られ、他の参加者は知らない私有鍵)を有する。さらに、最初の段階でdAを計算したKGFは、メッセージもまた解読することができ、結果として、KGFが、事実上の鍵エスクローサーバとなることに注意されたい。
【0025】
II.鍵共有プロトコル
主に2つの鍵共有プロトコルのカテゴリ、すなわち、対称および非対称が存在する。対称鍵共有プロトコルは、参加者間で共有されている秘密鍵に依拠し、非対称鍵共有プロトコルは、参加者がいかなる形式での事前の通信を有することも必要としない。最近まで、公開鍵ベースの鍵共有プロトコルは、非対称鍵共有プロトコルのみであったが、IBEベースのプロトコルの普及により、以来、状況は変化している。次に、鍵共有プロトコルの例が提供される。
【0026】
対称鍵ベースの鍵共有プロトコルが非常に普及している。典型的な例は、3G無線システムに使用される、認証鍵共有(AKA)プロトコルである。これは、移動電話加入者のSIM(加入者識別モジュール)カードとホーム加入者サーバとの間の対称ルート鍵に基づいた、相互認証、およびセッション鍵共有プロトコルの例である。上記で指摘したように、対称鍵ベースの鍵交換プロトコルは、参加エンティティ間での秘密鍵のプロビジョニングを必要とする。
【0027】
公開鍵ベースの鍵共有プロトコルは、多くのネットワーク層およびトランスポート層のプロトコルで使用されており、認証局によって発行される公開鍵の証明書に基づいている。例としては、一般にIPsecと呼ばれるIP(インターネットプロトコル)層のセキュリティプロトコル用のセッション鍵を引き出すために使用される、インターネット鍵交換(IKE)プロトコルの公開鍵バージョンが含まれる。別の例には、Secure Shellで使用される鍵共有プロトコルがある。オープン設定において使用されるすべての公開鍵プロトコルは、証明書およびPKIの使用を必要とする。
【0028】
アイデンティティベースの鍵交換プロトコルは普及が高まっており、エンドツーエンドの暗号化のために提案される既存のアイデンティティベースのプロトコルの単純な例では、通信を発生するエンティティが、ランダム鍵を選択し、受信者の公開鍵を使用してそれを解読し、次いでそれを送信する。オープンネットワーク上のこの送信は、受信者のみが鍵を含むメッセージを解読することができるので、セキュアである。この既存のプロトコルは、十分に単純ではあるが、鍵交換に先立ってユーザを認証せず、既に説明した鍵エスクロー問題に悩まされる。
【0029】
III.アイデンティティベースの認証鍵共有
ここで説明される例示的な実施形態では、このプロトコルの基本的な設定が、セクションIで議論された数学的構造およびパラメータを伴う。このプロトコルは、非対称であるが、いかなるPKIのサポートも必要としないことを思い出されたい。代わりに、プロトコルは、鍵生成機能として働くオフラインサーバを用いる。プロトコルの詳細が、以下に概説される:
A、Bが、認証を試みようとする2つのエンティティ(すなわちパーティであり、ここで、Aは、第1の当事者のコンピュータシステムを表し、Bは、第2の当事者のコンピュータシステムを表す)であり、鍵に合意するものと仮定する。
【0030】
AおよびBを、それらの対応するアイデンティティを表すために使用することにし、アイデンティティは、定義によってそれらの公開鍵もまた表す。
【0031】
H1(A)=QA、およびH1(B)=QBを、公開鍵に対応する楕円曲線上のそれぞれの点とする。実際には、QAおよびQBを、公開鍵と呼ぶこともまたできる。というのは、アイデンティティと、H1を適用することによって取得される曲線上の点との間に、1対1の対応があるからである。
【0032】
xを、Aによって選択された乱数、yを、Bによって選択された乱数とする。
【0033】
図1は、AとBとの間のプロトコル交換を示す。プロトコル交換100は、以下のステップからなる:
ステップ102で、Aは、xP(すなわち、Eの加算則を使用して、E上の点としてそれ自身にx回加算されたP)を計算し、それをBの公開鍵を使用して解読し、Bに送信する。このステップにおいて、暗号化は、上記のセクションIで説明された、アイデンティティベースの暗号化を意味する。
【0034】
暗号化されたメッセージを受信すると、Bは、メッセージを解読し、xPを取得する。続いて、ステップ104で、Bは、yPを計算し、Aの公開鍵を使用して、ペア{xP,yP}を暗号化し、次いでそれをAに送信する。
【0035】
このメッセージを受信すると、Aは、メッセージを解読し、yPを取得する。続いて、ステップ106で、Aは、Bの公開鍵を使用してyPを暗号化し、それをBに送り返す。
【0036】
これに続いて、AおよびBの両方が、セッション鍵としてのxyPを計算する。
【0037】
Aは、xをランダムに選択し、プロトコル交換の第2のステップでyPを受信したことに注意されたい。これにより、Aは、yPをそれ自身にx回加算することによって、xyPを計算することが可能になる。逆に、Bは、yをランダムに選択し、プロトコル交換の第1のステップでxPを受信した。これにより、Bは、xPをそれ自身にy回加算することによって、xyPを計算することが可能になる。プロトコルのあらゆるアプリケーションが、アイデンティティを有するヘッダデータを利用して、プロトコルの適正な機能を保証することができることに留意されたい。これは、比較的標準であり、鍵共有のためのほとんどすべてのプロトコル交換に適用できる。
【0038】
xはランダムであり、しかしxPは、xについて何の情報も提供しないことに留意されたい。したがって、xPは、Aによって選択されたランダムな秘密に基づいた鍵のコンポーネントである。同様に、yはランダムであり、しかしyPは、yについて何の情報も提供しない。それゆえに、yPは、Bのみに知られるランダムな秘密に基づいた鍵のコンポーネントである。
【0039】
xyPは、セッション鍵として働くことができることにさらに留意されたい。また、セッション鍵は、xyPの任意の既知の関数であり得る。すなわち、セッション鍵は、f(xyP)と等しくてもよく、ここで、fは、両方のパーティに知られており、秘密であることが必要とされない(すなわち、誰にでも知られる)。fについての1つの実際的な要件は、fがxまたはyの知識なしには計算が困難であるべきことであり、出力は、暗号の観点から十分な長さの、たとえばおよそ128ビット以上である。
【0040】
いくつかのプロトコルの特性が、以下を含む:
鍵エスクローからの安全性:プロトコル交換におけるすべてのステップが、IBEを使用して暗号化されることに注意されたい。それゆえ、明らかに、KGFは、すべてのやり取りを解読することができる。しかしながら、KGFは、セッション鍵を計算することができない。これは、楕円曲線Diffie−Hellman問題の困難さのためである。言い換えれば、xPおよびyPが与えられたとしても、xyPを計算することはコンピュータ的に困難である。
【0041】
相互に認証された鍵共有:プロトコル交換におけるすべてのステップが、IBEを使用して暗号化されることに注意されたい。特に、ステップ102および106でAによって送信されたメッセージの内容は、Bのみが解読することができ、同様に、ステップ104でBによって送信されたメッセージの内容は、Aのみが解読することができる。さらに、xPは、ステップ102でBによる内容の解読の後でのみ、ステップ104で送信されることが可能であったことから、ステップ104の最後で、Aは、Bの信憑性を確認することができる。同様に、yPは、ステップ104の内容を正しく解読した後にのみ、ステップ106で送り返されることが可能であったこと、かつこれはAによってのみ可能であることから、ステップ106の最後で、Bは、Aの信憑性を確認することができる。最後に、AおよびBの両方が、同じセッション鍵に合意することができる。言い換えれば、プロトコルは、IBEに基づいた相互に認証された鍵共有プロトコルである。上記の説明が、プロトコルのセキュリティに対する動機付けを提供する一方で、暗号化によるセキュリティの証明が、容易に提供され得る。プロトコルの困難さは、楕円曲線Diffie−Hellman問題の困難さに依拠しており、これは、楕円曲線の選択によって左右される。
【0042】
先にも後にも万全な秘密:xおよびyはランダムであることから、xyPは常に新しく、AとBとの間のいかなる過去または未来のセッションにも無関係である。
【0043】
パスワード不要:明らかに、本発明のプロトコルは、AとBとの間で、パスワードまたは秘密鍵のいかなるオフライン交換も必要としない。実際には、方法は、任意の通信ネットワークを介して初めて通信する任意の2つのパーティに明らかに適用できる。唯一の要件は、AおよびBの両方が、たとえば、ディレクトリサービスを介して、互いの公開鍵を認識していることを確実にすることである。
【0044】
IV.例示的なアプリケーション
図1の本発明のプロトコルが使用されてもよい2つの例示的なシナリオが、次に説明される。
【0045】
A.エンドツーエンドの鍵共有
既存の、ならびに新生のインターネットおよび無線アプリケーションは、ますます「オープンな」ネットワーク上でサポートされている。加えて、セキュリティ攻撃の爆発的な増加のために、ユーザは、エンドツーエンドのプライバシーへの要求に目覚めつつある。これは、クライアントツークライアントのアプリケーション(ボイスオーバIP、インスタントメッセージング、その他など)、ならびにサーバツークライアントのアプリケーション(ウェブ上のeコマースなど)に当てはまる。これらすべてのアプリケーションでは、参加者に、対称鍵ベースの鍵共有プロトコルを使用するために秘密鍵に合意させること、または、公開鍵ベースの鍵共有プロトコルに使用するための証明書を取得するのにPKIに登録させることが、しばしば可能ではない。実際には、クライアントツークライアント通信(たとえば、音声呼)に関わるエンドユーザは、事前に互いを知らないことさえある。さらに、プライバシーおよびセキュリティを要求するエンドユーザは、道徳心のない人々にとってシステムを悪用する絶好の機会が存在することから、鍵エスクローを非常に嫌がることになる。これらの状況では、アイデンティティベースの認証鍵共有プロトコルは、極めて魅力的なオプションである。必要とされるのは、個人が、鍵生成サービスに彼らのアイデンティティで登録して、私有鍵を取得することだけである。実際には、鍵生成サービスが、一意であること、およびすべての参加者に適用できることは必要とされない。
【0046】
(本発明のプロトコルを例示的に説明する)先のセクションで概説されたプロトコル交換において、暗号化ステップ102および106は、1つの曲線(Bに適用できる)に基づくことができ、ステップ104の暗号化は、全く異なる曲線(Aに適用できる)に基づくことができることに注意されたい。これにより、鍵生成サービスは、互いに独立して作動することが可能になる。しかしながら、暗号化のために必要なすべてのパラメータが、ディレクトリサービスを介して、公にかつ容易に利用可能であることを保証することが重要である。さらに重要なことには、xPおよびyPは、同じ楕円曲線に対応すべきであるが、暗号化のために使用される楕円曲線からは独立していることができる。
【0047】
B.セキュアプロキシベースの経路最適化
移動無線ネットワークは目覚ましい進化を経験し、次世代のシステムは、完全にパケットおよびIPベースで経路制御される公有地移動無線データネットワークへの拡大を試みている。これは、音声などの従来のサービスが、IP(すなわち、移動ボイスオーバIP)を通してサポートされることを必要とするようになる。この点において、無線ネットワークが目覚ましい改良を経験している一方で、コアネットワークにおける経路制御は、最適化される必要があることが認識されている。
【0048】
訪問されたゲートウェイ間での認証鍵共有プロトコルは、パケットを互いの間でセキュアに転送するために、セキュリティアソシエーションを設定するのに使用されてもよい。特に、これらの訪問されたゲートウェイは、互いの予備知識を持たない2つの異なる事業者のネットワーク上にあることがあり、これらのネットワーク要素を所有する事業者は、いかなるサービス水準合意さえ持たないことがある。そのようなシナリオでは、アイデンティティベースの認証鍵共有プロトコルは、非常に魅力的な選択である。先の例でのように、鍵生成サービスが、一意であること、およびすべてのネットワーク要素に適用できることは必要とされない。実際には、各ネットワーク事業者は、単純なオフライン鍵生成サーバを所有し、動作させることができる。
【0049】
(本発明のプロトコルを例示的に説明する)先のセクションで概説されたプロトコル交換において、暗号化ステップ102および106は、1つの曲線(Bに適用できる)に基づくことができ、ステップ104の暗号化は、全く異なる曲線(Aに適用できる)に基づくことができることに注意されたい。これにより、鍵生成サービスは、互いに独立して作動することが可能になる。しかしながら、暗号化のために必要なすべてのパラメータが、ディレクトリサービスを介して、公にかつ容易に利用可能であることを保証することが重要である。さらに重要なことには、xPおよびyPは、同じ楕円曲線に対応すべきであるが、暗号化のために使用される楕円曲線からは独立していることができる。
【0050】
V.例示的なコンピューティングシステム
図2は、本発明による、2つのエンティティAとBとの間での、改善された、アイデンティティベースの認証鍵共有プロトコルを実装するのに好適な、データネットワークおよびコンピュータシステムの一般化されたハードウェアアーキテクチャを示す。示されるように、エンティティAは、コンピュータシステム202を含み、一方エンティティBは、コンピュータシステム204を含む。2つのコンピュータシステム202および204は、データネットワーク206を介して結合される。データネットワークは、AおよびBが通信することを要求する任意のデータネットワーク、たとえばインターネットであってもよい。しかしながら、本発明は、特定のタイプのネットワークには限定されない。典型的には、Aがクライアントマシンであり、Bがサーバマシンであってもよい。また、AおよびBの両方がクライアントであっても、または両方がサーバであってもよい。したがって、本発明の通信プロトコルは、AおよびBがクライアントおよびサーバである場合に限定されず、代わりに、AおよびBを含む任意のコンピューティングデバイスに適用できることが理解されるべきである。
【0051】
ネットワーク206を介してコンピュータシステム202および204に結合された、コンピュータシステム214もまた示される。コンピュータシステム214は、好ましくは、上記で説明されたような鍵生成機能または鍵生成サービスを実行するサーバである。
【0052】
当業者には容易に明らかであるように、サーバおよびクライアントは、コンピュータプログラムコードの制御のもとに動作する、プログラムされたコンピュータとして実装されてもよい。コンピュータプログラムコードは、コンピュータ可読記憶媒体(たとえば、メモリ)に記憶され、コードは、コンピュータのプロセッサによって実行されることになる。本発明のこの開示が与えられれば、当業者は、本明細書において説明されたプロトコルを実装するために、適切なコンピュータプログラムコードを容易に作成することができる。
【0053】
しかしながら、図2は、ネットワーク上で通信する各コンピュータシステムのための例示的なアーキテクチャを一般的に示している。示されるように、コンピュータシステムAは、I/Oデバイス208−Aと、プロセッサ210−Aと、メモリ212−Aとを含む。コンピュータシステムBは、I/Oデバイス208−Bと、プロセッサ210−Bと、メモリ212−Bとを含む。コンピュータシステム214(鍵生成器)は、I/Oデバイス208−Kと、プロセッサ210−Kと、メモリ212−Kとを含む。本明細書において使用されるとき、用語「プロセッサ」は、中央処理装置(CPU)または他の処理回路を含む、1つまたは複数の処理デバイスを含むように意図されていることが理解されるべきである。また、本明細書において使用されるとき、用語「メモリ」は、RAM、ROM、固定されたメモリデバイス(たとえば、ハードドライブ)、または着脱可能なメモリデバイス(たとえば、ディスケットまたはCDROM)などの、プロセッサまたはCPUに関連付けられたメモリを含むように意図されている。加えて、本明細書において使用されるとき、用語「I/Oデバイス」は、処理装置にデータを入力するための1つまたは複数の入力デバイス(たとえば、キーボード、マウス)、ならびに処理装置に関連付けられた結果を提供するための1つまたは複数の出力デバイス(たとえば、CRT表示装置)を含むように意図されている。それに応じて、本明細書において説明された本発明の方法論を実行するためのソフトウェア命令またはソフトウェアコードが、関連付けられたメモリデバイスのうちの1つまたは複数、たとえば、ROM、固定された、または着脱可能なメモリに記憶され、利用される準備ができたときに、RAMにロードされ、CPUによって実行されてもよい。
【0054】
本発明の例示的な実施形態が、添付の図面を参照して、本明細書において説明されてきたが、本発明は、それらの厳密な実施形態には限定されず、さまざまな他の変更形態および修正形態が、本発明の範囲または趣旨から逸脱せずに、当業者によって行われてもよいことが理解されるべきである。
【技術分野】
【0001】
本発明は、一般に、暗号化技術に関し、より詳細には、改善された、アイデンティティベースの認証鍵共有プロトコルに関する。
【背景技術】
【0002】
暗号化技術は、2人以上の当事者間でのセキュアな通信を提供するためのよく知られた技術である。認証鍵共有は、2人以上の参加者が互いに認証し合い、今後の通信のために鍵に合意する暗号のプロトコルである。これらのプロトコルは、対称鍵プロトコルまたは非対称公開鍵プロトコルであり得る。対称鍵プロトコルは、秘密鍵をブートストラップするのに帯域外のセキュリティメカニズムを必要とし、一方、公開鍵プロトコルは、証明書および大規模な公開鍵インフラストラクチャ(PKI)を必要とすることを思い出されたい。明らかに、公開鍵方法の方がいくぶん柔軟ではあるが、しかしながら、証明書および大規模な公開鍵インフラストラクチャの要件は、取り組むべき問題であることが証明されている。
【0003】
近年、アイデンティティベースの暗号化(IBE)プロトコルが、PKI要件を単純化し、それを単純な鍵生成機能(KGF)に替えることによって私有鍵を生成する、公開鍵方法の実行可能な代案として提案されている。しかしながら、既存のIBE方法の1つの重大な制限は、KGFが最終的に、望ましくない成り行きを伴う、事実上の鍵エスクローサーバになり得ることである。すなわち、既存のIBEプロトコルにおけるKGFが、プロトコルにおいて使用される各私有鍵を生成するので、KGFは、それゆえに、すべてのやり取りを解読することができる。これは、KGFが侵入者によって危険にさらされた場合に、プロトコルのもとで動作する2人の当事者間のやり取りもまた危険にさらされることになるために、望ましくない成り行きである。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)
【発明の概要】
【発明が解決しようとする課題】
【0005】
改善された、アイデンティティベースの認証鍵共有プロトコルの必要性が存在する。
【課題を解決するための手段】
【0006】
本発明の実施形態が、改善された、アイデンティティベースの認証鍵共有プロトコルを提供する。
【0007】
たとえば、一実施形態において、第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法が、以下のステップを含む。暗号化された第1のランダム鍵コンポーネントが、第1のパーティから第2のパーティに送信され、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている。暗号化されたランダム鍵コンポーネントのペアが、第2のパーティから第1のパーティにおいて受信され、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている。アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントが、第1のパーティから第2のパーティに、暗号化形式で送信される。第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である。
【0008】
有利なことに、本発明の実施形態は、鍵エスクロー問題に悩まされない、アイデンティティベースの認証鍵共有プロトコルを提供する。さらに、計算された鍵情報が、いかなる過去または未来の認証鍵共有セッションにも無関係であるために、プロトコルはまた、先にも後にも万全な秘密を提供する。その上、本発明の実施形態は、さまざまな鍵共有アプリケーションに適用されてもよく、例のみとして、有線/無線ネットワーク上のアプリケーション用のエンドツーエンドの鍵共有、およびセキュアプロキシベースの経路最適化プロトコルなどのネットワーキングプロトコルのための鍵共有に適用されてもよい。
【0009】
本発明のこれらの、ならびに他の目的、特徴、および効果は、添付の図面と関連付けて読まれるべき、以下の本発明の例示的な実施形態の詳細な説明から明らかになるであろう。
【図面の簡単な説明】
【0010】
【図1】本発明の実施形態に従った、アイデンティティベースの認証鍵共有プロトコルを示す流れ図である。
【図2】本発明の実施形態によるプロトコルのうちの1つまたは複数を実装するのに好適な、データネットワークおよびコンピュータシステムの一般化されたハードウェアアーキテクチャを示すブロック図である。
【発明を実施するための形態】
【0011】
参照しやすいように、詳細な説明は、以下のように分割される。アイデンティティベースの暗号化(IBE)の概説が提供される(セクションI)。本来存在した鍵エスクロー問題を有する、関連する1つのIBEを含んだ鍵共有プロトコルのいくつかの例の検討が提供される(セクションII)。次いで、本発明による、改善された、アイデンティティベースの認証鍵共有プロトコルの実施形態が詳細に説明され(セクションIII)、いくつかの例示的なアプリケーションの説明がそれに続く(セクションIV)。次いで、本発明による、改善された、アイデンティティベースの認証鍵共有プロトコルを実装するための、例示的なコンピューティングシステムが説明される(セクションV)。
【0012】
I.アイデンティティベースの暗号化
アイデンティティベースの暗号化プロトコルは、BonehおよびFranklinにより提示された。その開示が参照により本明細書に組み込まれる、Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)を参照されたい。この非対称暗号の暗号化プロトコルは、参加者が、公開鍵として「アイデンティティ」(たとえば、電子メールid、またはドメイン名)を使用することを可能にし、RSA(Rivest、ShamirおよびAdleman)などの公開鍵暗号化方法にしばしば関係付けられている大規模な公開鍵インフラストラクチャの必要性を排除する。BonehおよびFranklinの問題に対する手法は、有限体上の楕円曲線上の双線形マップを使用し、双線形判定Diffie−Hellman問題に依拠する。
【0013】
プロトコルは、以下の数学的ツールおよびパラメータを伴う。
【0014】
Eを、有限体F上の楕円曲線、およびPを、大きな素数位数の点とする。
【0015】
e:E×E→Gを、E上の双線形マップとする。典型的な例は、Weilペアリングであり、したがって、Gは1のn乗根の群となり、ここで、nは、F上のEにおける点の数の関数である。
【0016】
sを、非ゼロの正の整数、および鍵生成機能(KGF)に記憶された秘密とする。これは、システム全体の秘密であり、KGFの外部には漏らされない。
【0017】
Ppub=sPを、すべての参加者に知られるシステムの公開鍵とする。Eは群であるので、sPは、Eにおける点を表すことを思い出されたい。
【0018】
H1を、文字列を取り、それを楕円曲線上の点に割り当てる既知のハッシュ関数とし、すなわち、H1(A)=E上のQA(ここで、Aは、通常アイデンティティである)であり、またAの公開鍵でもある。
【0019】
dA=sQAを、KGFにより計算され、Aにのみ引き渡される私有鍵とする。
【0020】
H2を、Gの要素を取り、それを文字列に割り当てる既知のハッシュ関数とする。
【0021】
mを、暗号化され、Aに送信される必要があるメッセージとする。BonehおよびFranklinにより説明される暗号化関数は、以下の通りである:
gA=e(QA,Ppub)とし、rを、乱数とする。
【0022】
暗号化A(m)=(rP,m xor H2(gAr))、言い換えれば、mの暗号化の出力は、2つの座標uおよびvを有し、ここで、u=rPおよび、v=m xor H2(gAr)である。「xor」は、排他的論理和の論理関数を指すことに留意されたい。
【0023】
(u,v)を解読するために、Aは、以下の式を使用してmを復元する:
m=v xor H2(e(dA,u)).
【0024】
式の証明は、双線形マップにおける直接的な実行であり、事実Aは、秘密dA(Aのみに知られ、他の参加者は知らない私有鍵)を有する。さらに、最初の段階でdAを計算したKGFは、メッセージもまた解読することができ、結果として、KGFが、事実上の鍵エスクローサーバとなることに注意されたい。
【0025】
II.鍵共有プロトコル
主に2つの鍵共有プロトコルのカテゴリ、すなわち、対称および非対称が存在する。対称鍵共有プロトコルは、参加者間で共有されている秘密鍵に依拠し、非対称鍵共有プロトコルは、参加者がいかなる形式での事前の通信を有することも必要としない。最近まで、公開鍵ベースの鍵共有プロトコルは、非対称鍵共有プロトコルのみであったが、IBEベースのプロトコルの普及により、以来、状況は変化している。次に、鍵共有プロトコルの例が提供される。
【0026】
対称鍵ベースの鍵共有プロトコルが非常に普及している。典型的な例は、3G無線システムに使用される、認証鍵共有(AKA)プロトコルである。これは、移動電話加入者のSIM(加入者識別モジュール)カードとホーム加入者サーバとの間の対称ルート鍵に基づいた、相互認証、およびセッション鍵共有プロトコルの例である。上記で指摘したように、対称鍵ベースの鍵交換プロトコルは、参加エンティティ間での秘密鍵のプロビジョニングを必要とする。
【0027】
公開鍵ベースの鍵共有プロトコルは、多くのネットワーク層およびトランスポート層のプロトコルで使用されており、認証局によって発行される公開鍵の証明書に基づいている。例としては、一般にIPsecと呼ばれるIP(インターネットプロトコル)層のセキュリティプロトコル用のセッション鍵を引き出すために使用される、インターネット鍵交換(IKE)プロトコルの公開鍵バージョンが含まれる。別の例には、Secure Shellで使用される鍵共有プロトコルがある。オープン設定において使用されるすべての公開鍵プロトコルは、証明書およびPKIの使用を必要とする。
【0028】
アイデンティティベースの鍵交換プロトコルは普及が高まっており、エンドツーエンドの暗号化のために提案される既存のアイデンティティベースのプロトコルの単純な例では、通信を発生するエンティティが、ランダム鍵を選択し、受信者の公開鍵を使用してそれを解読し、次いでそれを送信する。オープンネットワーク上のこの送信は、受信者のみが鍵を含むメッセージを解読することができるので、セキュアである。この既存のプロトコルは、十分に単純ではあるが、鍵交換に先立ってユーザを認証せず、既に説明した鍵エスクロー問題に悩まされる。
【0029】
III.アイデンティティベースの認証鍵共有
ここで説明される例示的な実施形態では、このプロトコルの基本的な設定が、セクションIで議論された数学的構造およびパラメータを伴う。このプロトコルは、非対称であるが、いかなるPKIのサポートも必要としないことを思い出されたい。代わりに、プロトコルは、鍵生成機能として働くオフラインサーバを用いる。プロトコルの詳細が、以下に概説される:
A、Bが、認証を試みようとする2つのエンティティ(すなわちパーティであり、ここで、Aは、第1の当事者のコンピュータシステムを表し、Bは、第2の当事者のコンピュータシステムを表す)であり、鍵に合意するものと仮定する。
【0030】
AおよびBを、それらの対応するアイデンティティを表すために使用することにし、アイデンティティは、定義によってそれらの公開鍵もまた表す。
【0031】
H1(A)=QA、およびH1(B)=QBを、公開鍵に対応する楕円曲線上のそれぞれの点とする。実際には、QAおよびQBを、公開鍵と呼ぶこともまたできる。というのは、アイデンティティと、H1を適用することによって取得される曲線上の点との間に、1対1の対応があるからである。
【0032】
xを、Aによって選択された乱数、yを、Bによって選択された乱数とする。
【0033】
図1は、AとBとの間のプロトコル交換を示す。プロトコル交換100は、以下のステップからなる:
ステップ102で、Aは、xP(すなわち、Eの加算則を使用して、E上の点としてそれ自身にx回加算されたP)を計算し、それをBの公開鍵を使用して解読し、Bに送信する。このステップにおいて、暗号化は、上記のセクションIで説明された、アイデンティティベースの暗号化を意味する。
【0034】
暗号化されたメッセージを受信すると、Bは、メッセージを解読し、xPを取得する。続いて、ステップ104で、Bは、yPを計算し、Aの公開鍵を使用して、ペア{xP,yP}を暗号化し、次いでそれをAに送信する。
【0035】
このメッセージを受信すると、Aは、メッセージを解読し、yPを取得する。続いて、ステップ106で、Aは、Bの公開鍵を使用してyPを暗号化し、それをBに送り返す。
【0036】
これに続いて、AおよびBの両方が、セッション鍵としてのxyPを計算する。
【0037】
Aは、xをランダムに選択し、プロトコル交換の第2のステップでyPを受信したことに注意されたい。これにより、Aは、yPをそれ自身にx回加算することによって、xyPを計算することが可能になる。逆に、Bは、yをランダムに選択し、プロトコル交換の第1のステップでxPを受信した。これにより、Bは、xPをそれ自身にy回加算することによって、xyPを計算することが可能になる。プロトコルのあらゆるアプリケーションが、アイデンティティを有するヘッダデータを利用して、プロトコルの適正な機能を保証することができることに留意されたい。これは、比較的標準であり、鍵共有のためのほとんどすべてのプロトコル交換に適用できる。
【0038】
xはランダムであり、しかしxPは、xについて何の情報も提供しないことに留意されたい。したがって、xPは、Aによって選択されたランダムな秘密に基づいた鍵のコンポーネントである。同様に、yはランダムであり、しかしyPは、yについて何の情報も提供しない。それゆえに、yPは、Bのみに知られるランダムな秘密に基づいた鍵のコンポーネントである。
【0039】
xyPは、セッション鍵として働くことができることにさらに留意されたい。また、セッション鍵は、xyPの任意の既知の関数であり得る。すなわち、セッション鍵は、f(xyP)と等しくてもよく、ここで、fは、両方のパーティに知られており、秘密であることが必要とされない(すなわち、誰にでも知られる)。fについての1つの実際的な要件は、fがxまたはyの知識なしには計算が困難であるべきことであり、出力は、暗号の観点から十分な長さの、たとえばおよそ128ビット以上である。
【0040】
いくつかのプロトコルの特性が、以下を含む:
鍵エスクローからの安全性:プロトコル交換におけるすべてのステップが、IBEを使用して暗号化されることに注意されたい。それゆえ、明らかに、KGFは、すべてのやり取りを解読することができる。しかしながら、KGFは、セッション鍵を計算することができない。これは、楕円曲線Diffie−Hellman問題の困難さのためである。言い換えれば、xPおよびyPが与えられたとしても、xyPを計算することはコンピュータ的に困難である。
【0041】
相互に認証された鍵共有:プロトコル交換におけるすべてのステップが、IBEを使用して暗号化されることに注意されたい。特に、ステップ102および106でAによって送信されたメッセージの内容は、Bのみが解読することができ、同様に、ステップ104でBによって送信されたメッセージの内容は、Aのみが解読することができる。さらに、xPは、ステップ102でBによる内容の解読の後でのみ、ステップ104で送信されることが可能であったことから、ステップ104の最後で、Aは、Bの信憑性を確認することができる。同様に、yPは、ステップ104の内容を正しく解読した後にのみ、ステップ106で送り返されることが可能であったこと、かつこれはAによってのみ可能であることから、ステップ106の最後で、Bは、Aの信憑性を確認することができる。最後に、AおよびBの両方が、同じセッション鍵に合意することができる。言い換えれば、プロトコルは、IBEに基づいた相互に認証された鍵共有プロトコルである。上記の説明が、プロトコルのセキュリティに対する動機付けを提供する一方で、暗号化によるセキュリティの証明が、容易に提供され得る。プロトコルの困難さは、楕円曲線Diffie−Hellman問題の困難さに依拠しており、これは、楕円曲線の選択によって左右される。
【0042】
先にも後にも万全な秘密:xおよびyはランダムであることから、xyPは常に新しく、AとBとの間のいかなる過去または未来のセッションにも無関係である。
【0043】
パスワード不要:明らかに、本発明のプロトコルは、AとBとの間で、パスワードまたは秘密鍵のいかなるオフライン交換も必要としない。実際には、方法は、任意の通信ネットワークを介して初めて通信する任意の2つのパーティに明らかに適用できる。唯一の要件は、AおよびBの両方が、たとえば、ディレクトリサービスを介して、互いの公開鍵を認識していることを確実にすることである。
【0044】
IV.例示的なアプリケーション
図1の本発明のプロトコルが使用されてもよい2つの例示的なシナリオが、次に説明される。
【0045】
A.エンドツーエンドの鍵共有
既存の、ならびに新生のインターネットおよび無線アプリケーションは、ますます「オープンな」ネットワーク上でサポートされている。加えて、セキュリティ攻撃の爆発的な増加のために、ユーザは、エンドツーエンドのプライバシーへの要求に目覚めつつある。これは、クライアントツークライアントのアプリケーション(ボイスオーバIP、インスタントメッセージング、その他など)、ならびにサーバツークライアントのアプリケーション(ウェブ上のeコマースなど)に当てはまる。これらすべてのアプリケーションでは、参加者に、対称鍵ベースの鍵共有プロトコルを使用するために秘密鍵に合意させること、または、公開鍵ベースの鍵共有プロトコルに使用するための証明書を取得するのにPKIに登録させることが、しばしば可能ではない。実際には、クライアントツークライアント通信(たとえば、音声呼)に関わるエンドユーザは、事前に互いを知らないことさえある。さらに、プライバシーおよびセキュリティを要求するエンドユーザは、道徳心のない人々にとってシステムを悪用する絶好の機会が存在することから、鍵エスクローを非常に嫌がることになる。これらの状況では、アイデンティティベースの認証鍵共有プロトコルは、極めて魅力的なオプションである。必要とされるのは、個人が、鍵生成サービスに彼らのアイデンティティで登録して、私有鍵を取得することだけである。実際には、鍵生成サービスが、一意であること、およびすべての参加者に適用できることは必要とされない。
【0046】
(本発明のプロトコルを例示的に説明する)先のセクションで概説されたプロトコル交換において、暗号化ステップ102および106は、1つの曲線(Bに適用できる)に基づくことができ、ステップ104の暗号化は、全く異なる曲線(Aに適用できる)に基づくことができることに注意されたい。これにより、鍵生成サービスは、互いに独立して作動することが可能になる。しかしながら、暗号化のために必要なすべてのパラメータが、ディレクトリサービスを介して、公にかつ容易に利用可能であることを保証することが重要である。さらに重要なことには、xPおよびyPは、同じ楕円曲線に対応すべきであるが、暗号化のために使用される楕円曲線からは独立していることができる。
【0047】
B.セキュアプロキシベースの経路最適化
移動無線ネットワークは目覚ましい進化を経験し、次世代のシステムは、完全にパケットおよびIPベースで経路制御される公有地移動無線データネットワークへの拡大を試みている。これは、音声などの従来のサービスが、IP(すなわち、移動ボイスオーバIP)を通してサポートされることを必要とするようになる。この点において、無線ネットワークが目覚ましい改良を経験している一方で、コアネットワークにおける経路制御は、最適化される必要があることが認識されている。
【0048】
訪問されたゲートウェイ間での認証鍵共有プロトコルは、パケットを互いの間でセキュアに転送するために、セキュリティアソシエーションを設定するのに使用されてもよい。特に、これらの訪問されたゲートウェイは、互いの予備知識を持たない2つの異なる事業者のネットワーク上にあることがあり、これらのネットワーク要素を所有する事業者は、いかなるサービス水準合意さえ持たないことがある。そのようなシナリオでは、アイデンティティベースの認証鍵共有プロトコルは、非常に魅力的な選択である。先の例でのように、鍵生成サービスが、一意であること、およびすべてのネットワーク要素に適用できることは必要とされない。実際には、各ネットワーク事業者は、単純なオフライン鍵生成サーバを所有し、動作させることができる。
【0049】
(本発明のプロトコルを例示的に説明する)先のセクションで概説されたプロトコル交換において、暗号化ステップ102および106は、1つの曲線(Bに適用できる)に基づくことができ、ステップ104の暗号化は、全く異なる曲線(Aに適用できる)に基づくことができることに注意されたい。これにより、鍵生成サービスは、互いに独立して作動することが可能になる。しかしながら、暗号化のために必要なすべてのパラメータが、ディレクトリサービスを介して、公にかつ容易に利用可能であることを保証することが重要である。さらに重要なことには、xPおよびyPは、同じ楕円曲線に対応すべきであるが、暗号化のために使用される楕円曲線からは独立していることができる。
【0050】
V.例示的なコンピューティングシステム
図2は、本発明による、2つのエンティティAとBとの間での、改善された、アイデンティティベースの認証鍵共有プロトコルを実装するのに好適な、データネットワークおよびコンピュータシステムの一般化されたハードウェアアーキテクチャを示す。示されるように、エンティティAは、コンピュータシステム202を含み、一方エンティティBは、コンピュータシステム204を含む。2つのコンピュータシステム202および204は、データネットワーク206を介して結合される。データネットワークは、AおよびBが通信することを要求する任意のデータネットワーク、たとえばインターネットであってもよい。しかしながら、本発明は、特定のタイプのネットワークには限定されない。典型的には、Aがクライアントマシンであり、Bがサーバマシンであってもよい。また、AおよびBの両方がクライアントであっても、または両方がサーバであってもよい。したがって、本発明の通信プロトコルは、AおよびBがクライアントおよびサーバである場合に限定されず、代わりに、AおよびBを含む任意のコンピューティングデバイスに適用できることが理解されるべきである。
【0051】
ネットワーク206を介してコンピュータシステム202および204に結合された、コンピュータシステム214もまた示される。コンピュータシステム214は、好ましくは、上記で説明されたような鍵生成機能または鍵生成サービスを実行するサーバである。
【0052】
当業者には容易に明らかであるように、サーバおよびクライアントは、コンピュータプログラムコードの制御のもとに動作する、プログラムされたコンピュータとして実装されてもよい。コンピュータプログラムコードは、コンピュータ可読記憶媒体(たとえば、メモリ)に記憶され、コードは、コンピュータのプロセッサによって実行されることになる。本発明のこの開示が与えられれば、当業者は、本明細書において説明されたプロトコルを実装するために、適切なコンピュータプログラムコードを容易に作成することができる。
【0053】
しかしながら、図2は、ネットワーク上で通信する各コンピュータシステムのための例示的なアーキテクチャを一般的に示している。示されるように、コンピュータシステムAは、I/Oデバイス208−Aと、プロセッサ210−Aと、メモリ212−Aとを含む。コンピュータシステムBは、I/Oデバイス208−Bと、プロセッサ210−Bと、メモリ212−Bとを含む。コンピュータシステム214(鍵生成器)は、I/Oデバイス208−Kと、プロセッサ210−Kと、メモリ212−Kとを含む。本明細書において使用されるとき、用語「プロセッサ」は、中央処理装置(CPU)または他の処理回路を含む、1つまたは複数の処理デバイスを含むように意図されていることが理解されるべきである。また、本明細書において使用されるとき、用語「メモリ」は、RAM、ROM、固定されたメモリデバイス(たとえば、ハードドライブ)、または着脱可能なメモリデバイス(たとえば、ディスケットまたはCDROM)などの、プロセッサまたはCPUに関連付けられたメモリを含むように意図されている。加えて、本明細書において使用されるとき、用語「I/Oデバイス」は、処理装置にデータを入力するための1つまたは複数の入力デバイス(たとえば、キーボード、マウス)、ならびに処理装置に関連付けられた結果を提供するための1つまたは複数の出力デバイス(たとえば、CRT表示装置)を含むように意図されている。それに応じて、本明細書において説明された本発明の方法論を実行するためのソフトウェア命令またはソフトウェアコードが、関連付けられたメモリデバイスのうちの1つまたは複数、たとえば、ROM、固定された、または着脱可能なメモリに記憶され、利用される準備ができたときに、RAMにロードされ、CPUによって実行されてもよい。
【0054】
本発明の例示的な実施形態が、添付の図面を参照して、本明細書において説明されてきたが、本発明は、それらの厳密な実施形態には限定されず、さまざまな他の変更形態および修正形態が、本発明の範囲または趣旨から逸脱せずに、当業者によって行われてもよいことが理解されるべきである。
【特許請求の範囲】
【請求項1】
第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法であって、方法が、第1のパーティにおいて、
暗号化された第1のランダム鍵コンポーネントを、第1のパーティから第2のパーティに送信するステップであって、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている、送信するステップと、
暗号化されたランダム鍵コンポーネントのペアを、第2のパーティから第1のパーティにおいて受信するステップであって、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている、受信するステップと、
アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントを、第1のパーティから第2のパーティに、暗号化形式で送信するステップと
を含み、
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である、方法。
【請求項2】
第1のランダム鍵コンポーネントxPが、第1のパーティによって選択された乱数x、および有限体上の楕円曲線上の大きな素数位数の点Pから計算される、請求項1に記載の方法。
【請求項3】
第2のランダム鍵コンポーネントyPが、第2のパーティによって選択された乱数y、および有限体上の楕円曲線上の大きな素数位数の点Pから計算される、請求項1に記載の方法。
【請求項4】
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵xyPが、第1のパーティによって選択された乱数x、第2のパーティによって選択された乱数y、および有限体上の楕円曲線上の大きな素数位数の点Pから、第1のパーティおよび第2のパーティにおいて計算される、請求項1に記載の方法。
【請求項5】
第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントを計算するために使用される楕円曲線が、アイデンティティベースの暗号化演算のために使用される楕円曲線から独立している、請求項1に記載の方法。
【請求項6】
第1のパーティによって実行されるアイデンティティベースの暗号化演算のために使用される楕円曲線が、第2のパーティによって実行されるアイデンティティベースの暗号化演算のために使用される楕円曲線と異なる、請求項1に記載の方法。
【請求項7】
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、セッション鍵を形成するのに使用される、請求項1に記載の方法。
【請求項8】
認証鍵共有プロトコルが、ネットワーク上のアプリケーション用のエンドツーエンドの鍵共有、およびセキュアプロキシベースの経路最適化プロトコルのうちの1つの一部として実行される、請求項1に記載の方法。
【請求項9】
第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法であって、方法が、第2のパーティにおいて、
暗号化された第1のランダム鍵コンポーネントを、第1のパーティから第2のパーティにおいて受信するステップであって、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている、受信するステップと、
暗号化されたランダム鍵コンポーネントのペアを、第2のパーティから第1のパーティに送信するステップであって、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている、送信するステップと、
アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントを、第1のパーティから第2のパーティにおいて、暗号化形式で受信するステップと
を含み、
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である、方法。
【請求項10】
第1のパーティと第2のパーティとの間で、アイデンティティベースの認証鍵共有プロトコルを実行するための装置であって、メモリと、メモリに結合されたプロセッサとを含み、請求項1または9のステップを実行するように構成された、装置。
【請求項1】
第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法であって、方法が、第1のパーティにおいて、
暗号化された第1のランダム鍵コンポーネントを、第1のパーティから第2のパーティに送信するステップであって、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている、送信するステップと、
暗号化されたランダム鍵コンポーネントのペアを、第2のパーティから第1のパーティにおいて受信するステップであって、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている、受信するステップと、
アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントを、第1のパーティから第2のパーティに、暗号化形式で送信するステップと
を含み、
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である、方法。
【請求項2】
第1のランダム鍵コンポーネントxPが、第1のパーティによって選択された乱数x、および有限体上の楕円曲線上の大きな素数位数の点Pから計算される、請求項1に記載の方法。
【請求項3】
第2のランダム鍵コンポーネントyPが、第2のパーティによって選択された乱数y、および有限体上の楕円曲線上の大きな素数位数の点Pから計算される、請求項1に記載の方法。
【請求項4】
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵xyPが、第1のパーティによって選択された乱数x、第2のパーティによって選択された乱数y、および有限体上の楕円曲線上の大きな素数位数の点Pから、第1のパーティおよび第2のパーティにおいて計算される、請求項1に記載の方法。
【請求項5】
第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントを計算するために使用される楕円曲線が、アイデンティティベースの暗号化演算のために使用される楕円曲線から独立している、請求項1に記載の方法。
【請求項6】
第1のパーティによって実行されるアイデンティティベースの暗号化演算のために使用される楕円曲線が、第2のパーティによって実行されるアイデンティティベースの暗号化演算のために使用される楕円曲線と異なる、請求項1に記載の方法。
【請求項7】
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、セッション鍵を形成するのに使用される、請求項1に記載の方法。
【請求項8】
認証鍵共有プロトコルが、ネットワーク上のアプリケーション用のエンドツーエンドの鍵共有、およびセキュアプロキシベースの経路最適化プロトコルのうちの1つの一部として実行される、請求項1に記載の方法。
【請求項9】
第1の当事者のコンピュータシステム(第1のパーティ)と第2の当事者のコンピュータシステム(第2のパーティ)との間で、アイデンティティベースの認証鍵共有プロトコルを実行するための方法であって、方法が、第2のパーティにおいて、
暗号化された第1のランダム鍵コンポーネントを、第1のパーティから第2のパーティにおいて受信するステップであって、第1のランダム鍵コンポーネントは、第1のパーティにおいて計算されており、アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている、受信するステップと、
暗号化されたランダム鍵コンポーネントのペアを、第2のパーティから第1のパーティに送信するステップであって、ランダム鍵コンポーネントのペアは、アイデンティティベースの暗号化演算に従って第1のパーティの公開鍵を使用して第2のパーティにおいて暗号化されており、ランダム鍵コンポーネントのペアは、第1のランダム鍵コンポーネントと、第2のパーティにおいて計算された第2のランダム鍵コンポーネントとから形成されている、送信するステップと、
アイデンティティベースの暗号化演算に従って第2のパーティの公開鍵を使用して暗号化されている第2のランダム鍵コンポーネントを、第1のパーティから第2のパーティにおいて、暗号化形式で受信するステップと
を含み、
第1のパーティと第2のパーティとの間でその後の通信に使用するための鍵が、第1のランダム鍵コンポーネントおよび第2のランダム鍵コンポーネントから、第1のパーティおよび第2のパーティの両方において計算可能である、方法。
【請求項10】
第1のパーティと第2のパーティとの間で、アイデンティティベースの認証鍵共有プロトコルを実行するための装置であって、メモリと、メモリに結合されたプロセッサとを含み、請求項1または9のステップを実行するように構成された、装置。
【図1】
【図2】
【図2】
【公表番号】特表2012−518331(P2012−518331A)
【公表日】平成24年8月9日(2012.8.9)
【国際特許分類】
【出願番号】特願2011−550198(P2011−550198)
【出願日】平成22年2月10日(2010.2.10)
【国際出願番号】PCT/US2010/023736
【国際公開番号】WO2010/126638
【国際公開日】平成22年11月4日(2010.11.4)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成24年8月9日(2012.8.9)
【国際特許分類】
【出願日】平成22年2月10日(2010.2.10)
【国際出願番号】PCT/US2010/023736
【国際公開番号】WO2010/126638
【国際公開日】平成22年11月4日(2010.11.4)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]