暗号鍵更新方法、暗号鍵更新装置、及び暗号鍵更新プログラム
【課題】更新後の鍵をグループ内にのみ安全に配布する。
【解決手段】例えば、グループG2,2の新たな鍵k’2,2をグループG2,2の暗号鍵とグループG0,1の暗号鍵との連接のハッシュ値で暗号化してマルチキャストする。グループG2,2のグループヘッドは、これを受信し、ノードn以外のノードに転送する。これにより、ノードnはグループG2,2から排除される。
【解決手段】例えば、グループG2,2の新たな鍵k’2,2をグループG2,2の暗号鍵とグループG0,1の暗号鍵との連接のハッシュ値で暗号化してマルチキャストする。グループG2,2のグループヘッドは、これを受信し、ノードn以外のノードに転送する。これにより、ノードnはグループG2,2から排除される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワークにおいて、安全なネットワーク通信を実施するために必要となる暗号鍵の管理方法に関し、特に鍵の更新方法に着目した暗号鍵更新方法、暗号鍵更新装置、及び暗号鍵更新プログラムに関する。
【背景技術】
【0002】
暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、特に多数のセンサ搭載無線通信機器(ノード)を用いたネットワークは、一般にセンサネットワークとよばれ、測定対象エリア内に配置されたノードが取得した情報を、無線通信によって収集し、収集した情報をアプリケーションで活用するシステムであり、様々な用途に利用することができるシステムとして注目されている。
以下、本発明においては、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、構成する通信機器として、サーバ及びサーバと接続されたノードとにより構成されるようなネットワーク、特にセンサネットワークを例に説明を行う。
【0003】
センサネットワーク利用の多くの局面において、複数のノードによってグループを構成し、グループ内で情報の共有や処理を行うケースが起こりうると考えられる。グループ鍵は、グループに属するノードだけが共通して所有する鍵であり、グループ鍵から暗号化鍵やMAC鍵を生成して利用することにより、グループ内での各種の暗号技術の利用が可能となる。その意味において、グループ鍵を安全かつ効率的に管理することは、現実的なセンサネットワークアプリケーション構築における重要な基礎技術であると考えることができる。たとえば、あるグループを対象として、秘密データのマルチキャスト配信を行う場合を考える。通信路を盗聴する不正者やデータを中継するグループ外ノードの存在を考慮すると、マルチキャスト配信されるデータは暗号化される必要がある。この際注意が必要なのは、マルチキャスト配信される暗号文は、グループ内ノード全てに対して同一でないといけない点である。もし、ノードごとに異なる暗号鍵を用い、異なる暗号文を構成する必要があるのであれば、マルチキャスト配信を行う意味がない。同一の暗号文を不特定多数がアクセスしうるネットワークに流通させ、グループに属するメンバだけが、その復号を行うことが可能となる仕組みを実現するためには、グループ鍵の存在が必須であると言える。
【0004】
グループ鍵の管理は、一対一の暗号鍵管理とは異なる困難性を伴う課題を有する。グループ鍵の管理を特徴付ける大きな点として、グループの構成が時間進行に応じて変化する点があげられる。たとえば、新しいノードが新規にグループに参加したり、これまでグループに属していたノードが、なんらかの理由でグループから脱退したりする可能性があることに注意しなければならない。グループ構成員の変化があった場合には、グループ鍵を更新し、更新後の鍵を正しく配布する必要がある。とくに、あるノードを強制的にグループから排除する場合は、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切に情報の制御を行う必要がある。
【0005】
センサネットワークを念頭に置いた鍵の更新方式として最も基本的なものは、たとえば非特許文献1に示されるように、サーバを含む任意のノード対間であらかじめ1対1に共有する鍵(リンク鍵)を用いた方式(従来方式1)がある。例えば、複数のノードで構成されるグループで1つのグループ鍵を共有している場合、あるノードを排除する際に鍵更新が必要になるが、従来方式1では、鍵更新を行う際サーバ等の代表ノードが、新しいグループ鍵を決定し、リンク鍵を用いてグループ鍵を暗号化し、暗号化したグループ鍵を、排除するノードを除くその他のノードにユニキャスト的に送信する。
【0006】
また特許文献1には、あるグループに対応するグループ鍵を根とする木構造の拡頂点に複数の鍵を割り振り、次に複数のグループに加入させる全ノードを木構造の各頂点に配置された鍵と対応付け、ノードの個々の暗号鍵を木構造の根から、木構造の該ノードに対応付けられた位置に至る鍵を有する、鍵列として生成し、生成した暗号鍵を対応するノードへ配信する方式が開示されている。(従来方式2)。このような木構造により、複数のノードの中から、排除ノードが出た場合、排除ノードが有する暗号鍵に関連する鍵のみを変更して、変更された鍵に対応するノードにのみ、変更された暗号鍵を、その鍵の直下の鍵で暗号化して配信することができる。
【0007】
また特許文献2には、複数のノードを各々が複数のグループに属するようにグループ化して構成されるネットワークシステムにおいて、グループ内の各ノード間を直接接続すると共に、各ノードが、それぞれ自ノードが属するグループの他の全てのノードに同報送信するノード接続手段を具備し、各ノードはそれぞれ自ノードが属する複数のグループのうちの1つのグループの他のノードから受信したデータを、自ノードが属する複数のグループのうちの他のグループの他のノードに同報送信によって中継する方式が開示されている。(従来方式3)。従来方式3を用いると、あるノードの集合に対して、共通のデータを送信するにあたって、各グループをまたがるノード(中継ノード)に対し、データを送信し、同報送信してもらうことによって、データを効率よく配信することができる。
【0008】
また、特許文献3には、センター及び複数の端末から構成され、各端末がグループを形成しグループで同じ秘密鍵を共有する通信システムにおいて、秘密分散法などの剰余計算を用いて、秘密鍵を更新する方式が開示されている(従来方式4)。従来方式4は、センター側における暗号処理の負担を軽減することを目的とし、秘密分散法に基づき、端末側で剰余計算を行うことを必須として秘密鍵を更新することができる。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開平11−187013号公報
【特許文献2】特許第2852586号公報
【特許文献3】特開2004−343816号公報
【非特許文献】
【0010】
【非特許文献1】Zigbee(登録商標)センサネットワークpp.118〜120、阪田史郎ら、秀和システム、2005年
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、ネットワークを構成する通信機器において、チップやメモリの小型化が望まれるような、計算資源に制限があるネットワーク通信においては、安全に通信及び暗号鍵更新を行うことはもちろんのことながら、鍵更新における通信量の低減及び鍵更新による計算量の低減が求められる。
【0012】
これに対し、従来方式1はサーバからネットワークに送信される通信量がグループ内のノード数をNとしたとき通信量はO(N)となる。すなわちノード数に比例して鍵更新のための通信量が増大するという問題がある。一方、従来方式2では、この通信量はO(log N)となる。すなわちノード数の対数に比例して鍵更新のための通信量が増大するという問題がある。従来方式1と比較して効率的であるが、ノード数が増大した場合に鍵更新のためのサーバからの通信量が問題になる点では同様の問題が生じる可能性がある。特にセンサネットワークのようなノード数が従来のシステムに比べ、桁違いに増加することが予想される環境では、通信量がノード数の対数に比例するとしても、本問題が顕在化することが予想される。
【0013】
一方、従来方式3を暗号鍵の配送用の通信手段として用いることが考えられるが、中継ノードを排除する場合に対応することができないという問題がある。また中継ノードがグループ外ノードである可能性を考慮すると、中継ノードに暗号鍵情報が漏洩する危険もある。
【0014】
また、従来方式4は秘密分散法に基づいた鍵更新方式であり,巨大な素数pのもとでの剰余計算や、大きな数の剰余演算などを用いた大きな計算量が必須とされる。このような剰余計算を用いてグループ鍵の鍵更新を行う方式では,公開鍵方式同様、一般的に非常に大きな計算量となる。しかし、特にセンサネットワークのようなノード側の通信機器に用いる計算資源において、実施可能な計算能力や記憶容量などに制限のある環境下では、ノード側での計算量が限られるために、従来方式4のような大きな数の剰余計算を要する方式は用いることができない。
【0015】
よって、本発明は上記課題を解決し、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、通信機器におけるグループの構成が時間進行に応じて変化する場合にも備え、暗号鍵であるグループ鍵を更新し、更新後の鍵をグループ内に安全に配布する仕組みを提供するものであり、鍵更新における通信量及び計算量を低減することを目的とする。
【課題を解決するための手段】
【0016】
本発明によれば、サーバと多数のノードから構成されるネットワークにおいて、ノードに属性がd種類存在する場合、ノードはd個のグループに同時に属すると考え、このように定義される各グループに対してグループ鍵を対応付け、サーバがグループ鍵をそのグループに属するノードとだけ共有して、各グループを対象とする暗号通信を実施する方法に関し、グループ構成員の変化があった場合に、サーバがグループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法が提供される。
【発明の効果】
【0017】
本発明によれば、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、ネットワーク構成が時間進行に応じて変化する場合にも備え、暗号鍵であるグループ鍵を更新し、更新後の鍵を安全に配布する仕組みを提供することができる。また、鍵更新における通信量及び計算量を低減することができる。
【図面の簡単な説明】
【0018】
【図1】本発明を実施するための一実施形態の構成を示す図である。
【図2】本発明における実施例を説明する図である。
【図3】nをグループGi,jから排除する概要動作を示す流れ図である。
【図4】nをグループGi,j(i≠0)から排除する動作を示す流れ図である。
【図5】nをグループGi,j(i=0かつj≠1)から排除する動作を示す流れ図である。
【図6】nをグループGi,j(i=0かつj=1)から排除する動作を示す流れ図である。
【図7】nをグループGi,j(i≠0)から排除する場合の例を示す図である。
【図8】nをグループGi,j(i=0かつj≠1)から排除する場合の例を示す図である。
【図9】nをグループGi,j(i=0かつj=1)から排除する場合の例を示す図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。
【0020】
一般に、一台のセンサノードには複数の属性が存在すると考えられる。例えば、製造ロット番号、ファームウェアのバージョン、設置場所、装備するセンサの種類等は、すべて属性となり得る。センサノードは、各属性に対してなんらかの属性値を有すると考えられる。
【0021】
本発明は、ある属性に対して同じ属性値を持つノードの集合で、一つのグループを構成するとし、このように定義される各グループに対してグループ鍵を対応付け、グループ鍵を、そのグループに属するノードにだけ配布する暗号鍵管理方法である。
【0022】
したがって、属性がd種類存在する場合、ノードはd個のグループに同時に属することとなる。このように定義される各グループに対してグループ鍵を対応付け、グループ鍵を、そのグループに属するノードにだけ配布することを考える。
【0023】
本発明は、グループ構成員の変化があった場合に、グループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法である。
【0024】
図1に、本発明の暗号鍵管理方法の実施形態における全体構成を示す。図1を参照すると、本実施形態において、センサネットワークに代表されるネットワークにおいて、ノード全体からなる集合Nと、Nに属さないサーバ101から構成され、サーバ101は、プログラム制御により動作し、ノード追加手段103と主ノード排除手段105と鍵記憶手段107とを、ノードは副ノード排除手段109と鍵記憶手段111とを備える。ノードは代表的にノード1のみを表記している。サーバの鍵記憶手段107とノードの鍵記憶手段111の差異は鍵記憶手段に記憶管理する鍵(秘密情報)の差異であり、主にサーバは全グループのグループ鍵を管理するのに対し、ノードは自身の属するグループの中のみで有効なグループ鍵と、ノードのグループ加入および排除の処理の際に必要になる処理用の鍵(後述するメンバ鍵)のみを管理する。
【0025】
ノードも鍵に関する動作などにおいては、プログラム制御により動作する。
【0026】
以下、対称鍵暗号を用いたデータの暗号化操作を用いるが、暗号化に用いるアルゴリズムについてはネットワーク参加者が了解しているものとし、サーバ、各ノードは暗号化、復号を実行可能であり、特にサーバ、各ノードともに自身が所有する鍵で暗号化されている情報に関して、適した鍵で復号し復号結果を取得できるものとする。
【0027】
また、属性をノード全体からなる集合Nの分割であるとし、特に、
Gi⊂N ...(条件1)
i≠jならばGi∩Gjは空集合である ...(条件2)
G1∪G2∪...Gm = N ...(条件3)
の3つの条件を満たす集合族{G1, G2, ..., Gm}を属性と呼ぶ。
【0028】
また、d個の属性A1, ..., Adを考え、Ai={Gi,1, ..., Gi,mi}とし(miはAiの要素数)、Gi,jは、属性iについてj番目の属性値を持つノードの集合であるとしたとき、k個の整数1≦ i1, ..., ik ≦ dおよびk個のグループGi1,j1,...,Gik,jk(ただし、1≦a≦kに対してGia,ja∈Aiaとする)が存在し、G=Gi1,j1∩... ∩Gik,jkとなるノード集合Gを位数kのグループであるというとき、構造化グループ間の包含関係において極小の集合である位数dのグループC(極小グループ)を構成するd個の属性に加え、
任意の極小グループCに対し、C∩G0,1がちょうど一個のノード(グループヘッド)を含む(条件4)、
任意の極小グループC,A0におけるG0,1以外のグループG0,jに対し、C∩G0,jが高々一個のノード(グループメンバ)を含む(条件5)、
の2つを満たすように構成した特殊な属性A0={G0,1, ..., G0,m0}(ただしm0 > 0)を導入して、d+1個の属性組A0, A1, ..., Adで構成するd次元グループ構造でグループ鍵を更新管理する。
【0029】
また、ノードはちょうど一個の極小グループに属すること、A0は全ノード集合Nの分割になっていることより、任意のノードnに対してd+1個の整数組j0, j1, ..., jdが存在し、G0,j0 ∩G1,j1 ∩... ∩Gd,jd={n}と表すことができ、d+1字組(j0, j1, ..., jd) をノードnの識別子(ID)として取り扱う。
【0030】
また、A0, A1, ..., Adがd次元グループ構造を定義する場合を考え、この時サーバは、位数1のグループGi,j(0≦i≦d, 1≦j≦mi) に属するノードとグループ鍵ki,j(特に要素鍵と呼ぶ)をあらかじめ共有し、位数kのグループ G=Gi1,j1 ∩... ∩Gik,jk(i1<...<ik)に対し、h(ki1,j1||...||kik,jk) (hはハッシュ関数などの連接鍵の長さを所定値にするための関数、||は鍵の連接)としてサーバおよびノードで計算できる情報をGのグループ鍵k(G)とする。
【0031】
また、位数kのグループGのグループ鍵k(G)を知るのはGに属するノードのみであり、この時、サーバあるいはGに属するノードは、Gに送信したいデータをk(G)により暗号化し、得られた暗号文をGのノードに対してマルチキャスト配信する。
【0032】
また、ノードnのIDを(j0, j1, ..., jd)とすると、nはd+1個の要素鍵 k0,j0, ..., kd,jdを所有し、これらd+1個の鍵を用いることにより、nはkn=h(k0,j0||...||kd,jd)を計算することができ、この値knはnおよびサーバだけが計算可能な値であるため、サーバはknをnとサーバとの間で共有された鍵(ノード鍵と呼ぶ)として、サーバは、各ノードに対してそれぞれのノード鍵でデータを暗号化してユニキャスト的に送信する。
【0033】
また、グループヘッドとそのグループヘッドの属する極小グループの各グループメンバとの間で安全に一対一のメッセージの交換を行うことを可能とするため、サーバは、グループヘッドと各グループメンバに対して、それぞれのノード鍵で共通のユニークな鍵(メンバ鍵)を暗号化してユニキャスト的に送信する。
【0034】
ノードnを、位数1のグループGi,jに追加する手段(ノード追加手段)は以下のようになる。たとえば、新しいノードを稼働中のセンサネットワークに追加したい場合や、既存のノードの属性値がなんらかの理由で変更される場合等、このようなケースが発生しうる。いずれにせよ、新しくグループに参加するノードnは、自分が参加する以前にGi,jのグループ鍵として使われていた鍵を知る権利はない。逆に、nをグループのメンバとして追加する過程において、nが以前のグループ鍵を知ることがあってはならない。この性質をグループ鍵における後方安全性(backward security)と呼ぶ。
【0035】
また、サーバがノードnを位数1のグループGi,jに追加したいとき、データxを鍵kにより暗号化して得られる暗号文をEk(x)と書くこととすると、サーバに備えるノード追加手段は、Gi,jに以前から所属するノードには、c=Eh(ki,j)(k’i,j)を計算し、cをGi,jに属するノードに対してマルチキャスト配信し、nに対してはユニキャスト的に新しい鍵k’i,jをサーバとそのノードだけで共有するノード鍵で暗号化してサーバから伝達することで、後方安全性を確保しつつ、新しい鍵k’i,jを新しいグループGi,jで共有する。
【0036】
それまでグループGi,jに属していたノードを、Gi,jから排除する手段(ノード排除手段)は以下のようになる。あるノードをグループから排除するケースとしては、ノードの属性値が変化した場合、故障等によって停止したノードをネットワークから除外する場合、そして、あるノードが不正者に乗っ取られたおそれがある場合等が考えられる。とくに最後のケースでは、乗っ取られたノードを通じて秘密情報がリークしたり、乗っ取られた情報が他のノードや通信基盤に対してさらなる攻撃を行うことも考えられるため、できるだけ早急にノードを排除することが強く求められる。この際、グループから排除されるノードは、不正な手段によってグループ鍵を保持しようとし続ける可能性がある点に注意しなければならない。ノードを排除するプロトコルにおいては、Gi,jに継続して残るノードには新しい鍵k’i,jを確実に配信し、排除されるユーザにはk’i,j(および、その後に使用されるグループ鍵)が渡らないようにしなければならない。この性質を、グループ鍵における前方安全性(forward security)と呼ぶ。
【0037】
前方安全性の確保は、後方安全性の確保に比べて、技術的な困難性が高い。実際、Gi,jに継続して残るノードと、排除されるノードnとの間には、鍵に関する知識に関し、本質的な差異があるわけではない。たとえば、Gi,jに残るノードも n 自身も、Gi,jにおいてこれまで使用されていたグループ鍵ki,jを知っている。したがって、前節のノード追加のように、古いグループ鍵ki,jを利用して新しい鍵k’i,jの配布を行う、といった単純な方法では前方安全性の確保は困難である。
【0038】
また、サーバがノードnを位数1のグループGi,jから排除するとき、Gi,jからnを除いた集合をG’i,jと書くと、G’i,jは、nの排除後もグループにとどまるノード集合であり、G’i,jに属するすべてのノードは、新しい鍵k’i,jを入手できなければならず、かつ、前方安全性を確保するため、排除されるノードnがk’i,jを知ることがないようにしなければならないため、サーバに備える主ノード排除手段は、極小グループに必ず一個存在するグループヘッドの備える副ノード排除手段と連携して、ノード排除の処理を実施する。
【0039】
サーバがノードnを位数1のグループGi,jから排除するとき、サーバに備える主ノード排除手段は、排除ノードnがグループヘッドでない場合に、nを排除する位数1のグループGi,jについて、i≠0である場合と、i=0である場合(後者の場合、nがグループヘッドでないので、自動的にj≠1となる)とで、グループヘッドとなるノードの備える副ノード排除手段は処理を分岐する。
【0040】
サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する位数1のグループGi,jについてi≠0である場合、位数1のグループGi,jはいくつかの極小グループに分割され、排除されるノードnは、その中の一つの極小グループに属することとなるので、基本的な考え方として、Gi,j ∩G0,1に属するノード(Gi,jに属するグループヘッド)に新しい鍵k’i,jを配送し、各グループヘッドからグループメンバに対して鍵k’i,jを転送する。
【0041】
即ち、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi≠0である場合、サーバの主ノード排除手段は、まず、ki,jをGi,j の要素鍵、k’i,j は新しいGi,j の要素鍵としたとき、k=h(k0,1||ki,j) を計算し、x =Ek(k’i,j) を求め、4字組 (i, j, IDn, x) をGi,j ∩G0,1に属するノード(グループヘッド)向けにマルチキャスト送信し(IDnは排除されるノードnのID)、その後、Gi,j ∩G0,1に属するノード(グループヘッド)の副ノード排除手段は,xを復号してGi,jの新しい鍵 k’i,jを入手し、最後に、Gi,j ∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、自ノードの属する極小グループCに排除ノードnを含まないとき、k(C) (自身の属する極小グループCのグループ鍵)を用いてk’i,jを暗号化し、Ek(C)(k’i,j)をCのグループメンバに向けてマルチキャスト配信する一方、グループヘッドの属する極小グループCに排除ノードnが含まれるとき、グループヘッドの副ノード排除手段が、n以外のCのグループメンバ全員に対してメンバ鍵を用いてユニキャスト的にk’i,jを暗号化して送信する。
【0042】
サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi=0かつj≠1である場合、Gi,j=G0,jとなり、グループGi,jは極小グループに分割することはできない。また、グループヘッドの集合G0,1とGi,jは互いに素である(共通集合を持たない)ため、グループヘッドに新しい要素鍵k’i,jを露出してはならない。
【0043】
即ち、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについて、i=0かつj≠1である場合、サーバの主ノード排除手段は、x1=Eh(k0,j)(k’0,j)およびx2=Eh(k0,1)(x1)を計算し、4字組 (0, j, IDn, x2) をグループヘッドの集合 G0,1 にマルチキャスト配信し、各グループヘッドの副ノード排除手段はx2 を復号して x1 を得て(グループヘッドは k0,j を知らないため、x1 を復号することはできない)、G0,jと自身の属する極小グループCとの積集合に、ノードn’が一個含まれ、かつn≠n’であれば、グループヘッドの副ノード排除手段が、n’にメンバ鍵でユニキャスト的にx1を暗号化して送信する。
【0044】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、nを排除するグループGi,jのグループヘッドnと、そのグループヘッドが属する極小グループ内のノードn’との役割を交換する処理を実施し、役割交換処理終了後に排除ノードがグループヘッドでない場合のノード排除処理を施行する。
【0045】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、ノードの役割交換処理は、グループヘッドn、とノードn’∈G0,j(j ≠1)は同一の極小グループに属するものとして、サーバの主ノード排除手段は、まず、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信し、その後、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信し、最後にk’0,1, k’0,jをそれぞれn’, n に送信する3つの処理からなる。
【0046】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、まずG0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信するために、G’0,1に属する各ノードに対してサーバからユニキャスト的に鍵k’0,1を暗号配信する。
【0047】
ここで、従来方式2のような方式でG0,1を構造化し、G’0,1に属する各ノードに対してk’0,1を配信しても良い。
【0048】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i =0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信するために、x1=Ek0,j(k’0,j)およびx2=Ek’0,1(x1)を計算し、x2をG’0,1のノードに対してマルチキャスト配信し、G’0,1に属するノード(グループヘッド)の副ノード排除手段はx2を復号してx1を入手し、G’0,1に属するノード(グループヘッド)の属する極小グループ内にG’0,jのノードが存在すれば、グループヘッドの副ノード排除手段が、G’0,jのノードのノード排除手段にユニキャスト的にメンバ鍵でx1を暗号化して送信する。
【0049】
役割交換にともなってG0,jを離れるノードn’については、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信した時点で対応する(正当な鍵 k’0,1を保持する)グループヘッドが存在していないため、新しい鍵k’0,jの配信を受けることはできない。結果として、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信する処理が正しく実現されたことになる。
【0050】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、k’0,1, k’0,jをそれぞれn’, nに送信するために、n’, nにユニキャスト的にk’0,1, k’0,jをノード鍵で暗号化して送信する。
【実施例】
【0051】
次に本発明の実施例について、図面を参照して詳細に説明する。ノードは図2に参照されるような、クラスタツリートポロジのネットワークを構成しているとする。ここでクラスタツリートポロジとは、サーバを根ノードとして、根ノード以外のすべての内部ノードについて、その子の中に高々一個の内部ノードしか存在しないツリーのことをいう。クラスタツリーにおいて、一つの内部ノードと、その内部ノードの子の中で葉ノードであるものから構成されるノード集合で一つのクラスタを構成する。クラスタツリートポロジ上では、各ノードの属性として、クラスタツリーにおける何番目の幹に属するかという情報および根ノードからの深さ、クラスタ内で何番目のノードであるかという順序情報を定義できる。クラスタ内での順序情報を特殊な属性A0={G0,1, G0,2, G0,3, G0,4}と考えると,幹属性A1={G1,1, G1,2, G1,3},深さ属性A2={G2,1, G2,2}で特定できる2次元グループ構造と定義できる。クラスタが2次元グループ構造における極小グループとなる。
【0052】
この時、ノードnをグループGi,jから排除するときのフローチャートは図3のようになる。図3のS31にてi≠0のとき、A1,A2の属性のうちG1,1, G1,2, G1,3, G2,1, G2,2のいずれかの属性値を持つノードの集合からノードnを排除する処理を実施する。この時、排除するノードはグループヘッドではないので、Gi,j∩G0,1に属するノード(Gi,jのグループヘッド)に新しい鍵k’i,jを配送し、各グループヘッドからグループメンバに対してk’i,jを転送する(S32)。具体的な処理のフローを図4に示している。まず、サーバがE h(k0,1||ki,j) (k’i,j)を計算し、計算結果をマルチキャストする(S311)。その後、Gi,j内のグループヘッドだけが本計算結果を復号可能であり、復号してk’i,jを入手する(S312)。最後に、グループヘッドがG’i,j=Gi,j\{n}のノードにだけk’i,jを、グループメンバとの間で共有するメンバ鍵で暗号化してユニキャストして(S313)、処理を終える。
【0053】
次に、図3のS31にてi=0のとき、S33にてj≠1ならば、A0の属性のうちG0,2あるいはG0,3あるいはG0,4の属性値を持つノードの集合からノードnを排除する処理を実施する。この時、Gi,j =G0,jとなりグループヘッドの集合G0,1とGi,jは互いに素(共通集合)を持たないため、グループヘッドにk’i,jを露出することなく、各グループヘッドからグループメンバに対してk’i,jを転送する(S34)。具体的な処理のフローを図5に示している。まず、サーバがx1=Eh(k0,j)(k’0,j)を計算し(j≠1) 、x2=Eh(k0,1)(x1)をマルチキャストする(S341)。そして、G0,j内のグループヘッドだけがx2を復号可能であり、復号してx1を入手する(S342)。グループヘッドはx1の復号はできない。その後、グループヘッドがG0,j からnを除いたノード集合G’0,j=G0,j\{n}に属するノードにだけx1 をメンバ鍵で暗号化してユニキャストする(S343)。最後に、G’0,jのノードがx1をk0,jを用いて復号し(S344)、処理を終える。
【0054】
最後に、図3のS31にてi=0のとき、S33にてj=1ならば、A0の属性のうちG0,1の属性値を持つノードの集合からノードnを排除する処理を実施する。このときnはグループヘッドであり、グループヘッドnと、そのグループヘッドが属する極小グループ内のグループメンバn’∈G0,j(j≠1)との役割を交換する処理を実行し、その後上記の(排除ノードがグループヘッドでない場合の)鍵更新を実行する(S35)。具体的な処理のフローを図6に示している。まず、サーバがk’0,1をサーバと各ノードに固有なノード鍵で暗号化し、G0,1からnを除いたノード集合G’0,1=G0,1\{n} に含まれるすべてのノードにユニキャストする(S351)。そして、サーバがx1 =Eh(k0,j)(k’0,j)を計算し(j≠1)、x2=Eh(k’0,1)(x1)をマルチキャストする(S352)。そして、G’0,1に属するグループヘッドはx2を復号してx1を入手し(S353)、G’0,j=G0,j\{n’}のノードにx1を暗号化してユニキャストする(S354)。その後、G’0,jのノードがx1をk0,jを用いて復号する(S355)。最後に、サーバがn’, n にk’0,1, k’0,jをノード鍵で暗号化してユニキャストして(S356)、役割交換の処理を終了する。この時点で、グループヘッドnはグループメンバn’とその役割を交代し、グループメンバとなる(グループヘッドの集合G0,1の鍵を所有しなくなる)。その後、図5に示す排除ノードがクラスタヘッドでない場合のノード排除処理を実施してnを排除し(S357)、処理を終える。
【0055】
図7は、図4に示す鍵更新処理1の一例として、グループG2,2の全ノードのうちグループヘッドノード以外の或るノード(グループG2,2且つグループ0,i(i≠0)(例として、i=4)且つグループ1,j(例として、j=3)のノード)をグループG2,2から排除する例を示す図である。
【0056】
図7を参照すると、まず、新たな鍵k’2,2を鍵k0,1と鍵2,2とを連接することにより得た鍵のハッシュ値により暗号化し、これをマルチキャストする(図4のステップ311)。マルチキャストする鍵には、ノードn(グループ0,4且つグループG1,3且つグループ2,2に属するノード)の鍵は更新しないという情報を付加しておく。
【0057】
そうすると、鍵k0,1と鍵2,2とを保有しているグループ2,2のグループヘッドノードがこれを受信して、鍵k’2,2を得る(図4のステップ312)。 次に、グループヘッドノードは、自己の配下にあるノードに鍵k’2,2を転送するが、上述した付加情報により特定されるノードには、例外として、鍵k’2,2を転送しない(図4のステップS313)。
【0058】
グループ2,1からあるノードを排除する場合の処理とグループ1、j(j=1〜3)からあるノードを排除する場合の処理は、図7の場合の処理(グループ2,2からあるノードを排除する場合の処理)と同様である(鍵更新処理1である)ので、説明を省略する。
【0059】
図8は、図5に示す鍵更新処理2の一例として、グループG0,3の或るノード(例として、グループG0,3且つグループG1,1且つグループG2,1に属するノード)をグループG0,3から排除する例を示す図である。
【0060】
図8を参照すると、まず、新たな鍵k’0,3を鍵k0,3のハッシュ値により暗号化して、x1を得る(図5のステップS341の前半部)。次に、x1を鍵k0,1のハッシュ値により暗号化して、x2を得る。そして、x2をマルチキャストする(図5のステップS341の後半部)。マルチキャストするx2には、ノードn(グループG0,3且つグループG1,1且つグループG2,1に属するノード)の鍵は更新しないという情報を付加しておく。
【0061】
そうすると、鍵k0,1を保有しているグループヘッドノードがこれを受信して、x1を得る(図5のステップS342)。
【0062】
次に、グループヘッドは、自己の配下にあるノードにx1をマルチキャストする。但し、付加情報により特定されたノードにはマルチキャストしない(ステップS343)。
【0063】
そうすると、鍵k0,3を保有しているグループG0,3のノードがx1を受信し、k’0,3を取得する(図5のステップS344)。但し、付加情報により特定されたノードはグループG0,3に属しているが、マルチキャストの対象から外されているので、k’0,3を取得することができない。
【0064】
グループG0,2からあるノードを排除する場合の処理とグループG0,4からあるノードを削除する場合の処理は、図8の場合の処理動作と同様である(鍵更新処理2である)ので、説明を省略する。
【0065】
図9は、図6に示す鍵更新処理3の一例(グループヘッドノード(グループG0,1に属するノード)を排除する例)として、グループG1,3且つグループG2,2のグループのグループヘッドノードn(グループG1,3且つグループG2,2且つグループ0,1に属するノード)を排除する例を示す図である。
【0066】
図9を参照すると、まず、グループG1,3且つグループG2,2のグループのグループヘッドノードnとそのグループの他のノードn’(例えば、グループG0,3に属するノード)とを交換する。この交換処理は、ステップS351、S352、S353、S355、S356を有する。
【0067】
まず、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードそれぞれに新たな鍵k’0,1を暗号化してユニキャストする(図6のステップS351)。
【0068】
次に、新たな鍵k’0,3を鍵k0,3のハッシュ値で暗号化することによりx1を生成し(図6のS352の前半部)、更に、x1をk’0,1のハッシュ値で暗号化することによりx2を生成し、x2をマルチキャストする(図6のS352の後半部)。
【0069】
そうすると、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードは、鍵k’0,1を保有しているため、x1を復号することができる(図6のステップS353)。他方、グループG1,3且つグループG2,2のグループのグループヘッドは鍵k’0,1を保有していないためx1を復号することができない。
【0070】
x1を復号することができた、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードは、配下のノードにx1を送信する(図6のステップS354)が、鍵0,3を保有しているノード(G0,3に属するノード)のみがx1を復号して、k’0,3を得ることができる(図6のステップS355)。他方、グループG1,3且つグループG2,2ではグループヘッドノードがx1を復号することができないため、このグループ内のノードはk’0,3を得ることができない。
【0071】
次に、鍵k’0,1をグループヘッドノードdとなったノードn’にユニキャストし、鍵k’0,3をグループヘッドノードdでなくなったノードnにユニキャストする(図6のステップS356)。
【0072】
この後、ノードnを排除するために図8に示す方法を実施する(図6のステップS357)。
【産業上の利用可能性】
【0073】
よって、本発明によれば、従来方式に比べ、ノード排除時の鍵更新時の通信量を大きく削減することができる。例えば、グループ鍵の更新処理において、サーバからの通信はグループヘッド宛のマルチキャスト配信1回で済み、グループヘッドからは最大でも(そのグループヘッドの属する極小グループのノード数−1)回のユニキャスト通信で鍵更新を行うことができる。極小グループはノード集合の包含関係において極小であるので、大変効率的に処理を行うことが可能である。
【0074】
また、本発明によれば、役割交換処理を用いることにより、グループヘッドに相当するノード排除による鍵更新を行うことができる。
【0075】
また、本発明によれば、従来方式に比べ、より少ない計算量で鍵更新を行うことが可能である。よって、例えばセンサネットワークのような計算資源に制限のある環境下においても鍵更新に伴う計算量を低減し、安全に鍵更新を行うことができる。
【0076】
以上、本発明は、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、構成する通信機器として、サーバ及びサーバと接続されたノードとにより構成されるようなネットワーク、特にセンサネットワークを例に説明を行ったが、特にこのようなネットワークに限られることはなく様々なネットワーク通信に応用できることはいうまでもない。
【符号の説明】
【0077】
101 サーバ
103 ノード追加手段
105 主ノード排除手段
107 鍵記憶手段
109 副ノード排除手段
111 鍵記憶手段
【技術分野】
【0001】
本発明は、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワークにおいて、安全なネットワーク通信を実施するために必要となる暗号鍵の管理方法に関し、特に鍵の更新方法に着目した暗号鍵更新方法、暗号鍵更新装置、及び暗号鍵更新プログラムに関する。
【背景技術】
【0002】
暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、特に多数のセンサ搭載無線通信機器(ノード)を用いたネットワークは、一般にセンサネットワークとよばれ、測定対象エリア内に配置されたノードが取得した情報を、無線通信によって収集し、収集した情報をアプリケーションで活用するシステムであり、様々な用途に利用することができるシステムとして注目されている。
以下、本発明においては、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、構成する通信機器として、サーバ及びサーバと接続されたノードとにより構成されるようなネットワーク、特にセンサネットワークを例に説明を行う。
【0003】
センサネットワーク利用の多くの局面において、複数のノードによってグループを構成し、グループ内で情報の共有や処理を行うケースが起こりうると考えられる。グループ鍵は、グループに属するノードだけが共通して所有する鍵であり、グループ鍵から暗号化鍵やMAC鍵を生成して利用することにより、グループ内での各種の暗号技術の利用が可能となる。その意味において、グループ鍵を安全かつ効率的に管理することは、現実的なセンサネットワークアプリケーション構築における重要な基礎技術であると考えることができる。たとえば、あるグループを対象として、秘密データのマルチキャスト配信を行う場合を考える。通信路を盗聴する不正者やデータを中継するグループ外ノードの存在を考慮すると、マルチキャスト配信されるデータは暗号化される必要がある。この際注意が必要なのは、マルチキャスト配信される暗号文は、グループ内ノード全てに対して同一でないといけない点である。もし、ノードごとに異なる暗号鍵を用い、異なる暗号文を構成する必要があるのであれば、マルチキャスト配信を行う意味がない。同一の暗号文を不特定多数がアクセスしうるネットワークに流通させ、グループに属するメンバだけが、その復号を行うことが可能となる仕組みを実現するためには、グループ鍵の存在が必須であると言える。
【0004】
グループ鍵の管理は、一対一の暗号鍵管理とは異なる困難性を伴う課題を有する。グループ鍵の管理を特徴付ける大きな点として、グループの構成が時間進行に応じて変化する点があげられる。たとえば、新しいノードが新規にグループに参加したり、これまでグループに属していたノードが、なんらかの理由でグループから脱退したりする可能性があることに注意しなければならない。グループ構成員の変化があった場合には、グループ鍵を更新し、更新後の鍵を正しく配布する必要がある。とくに、あるノードを強制的にグループから排除する場合は、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切に情報の制御を行う必要がある。
【0005】
センサネットワークを念頭に置いた鍵の更新方式として最も基本的なものは、たとえば非特許文献1に示されるように、サーバを含む任意のノード対間であらかじめ1対1に共有する鍵(リンク鍵)を用いた方式(従来方式1)がある。例えば、複数のノードで構成されるグループで1つのグループ鍵を共有している場合、あるノードを排除する際に鍵更新が必要になるが、従来方式1では、鍵更新を行う際サーバ等の代表ノードが、新しいグループ鍵を決定し、リンク鍵を用いてグループ鍵を暗号化し、暗号化したグループ鍵を、排除するノードを除くその他のノードにユニキャスト的に送信する。
【0006】
また特許文献1には、あるグループに対応するグループ鍵を根とする木構造の拡頂点に複数の鍵を割り振り、次に複数のグループに加入させる全ノードを木構造の各頂点に配置された鍵と対応付け、ノードの個々の暗号鍵を木構造の根から、木構造の該ノードに対応付けられた位置に至る鍵を有する、鍵列として生成し、生成した暗号鍵を対応するノードへ配信する方式が開示されている。(従来方式2)。このような木構造により、複数のノードの中から、排除ノードが出た場合、排除ノードが有する暗号鍵に関連する鍵のみを変更して、変更された鍵に対応するノードにのみ、変更された暗号鍵を、その鍵の直下の鍵で暗号化して配信することができる。
【0007】
また特許文献2には、複数のノードを各々が複数のグループに属するようにグループ化して構成されるネットワークシステムにおいて、グループ内の各ノード間を直接接続すると共に、各ノードが、それぞれ自ノードが属するグループの他の全てのノードに同報送信するノード接続手段を具備し、各ノードはそれぞれ自ノードが属する複数のグループのうちの1つのグループの他のノードから受信したデータを、自ノードが属する複数のグループのうちの他のグループの他のノードに同報送信によって中継する方式が開示されている。(従来方式3)。従来方式3を用いると、あるノードの集合に対して、共通のデータを送信するにあたって、各グループをまたがるノード(中継ノード)に対し、データを送信し、同報送信してもらうことによって、データを効率よく配信することができる。
【0008】
また、特許文献3には、センター及び複数の端末から構成され、各端末がグループを形成しグループで同じ秘密鍵を共有する通信システムにおいて、秘密分散法などの剰余計算を用いて、秘密鍵を更新する方式が開示されている(従来方式4)。従来方式4は、センター側における暗号処理の負担を軽減することを目的とし、秘密分散法に基づき、端末側で剰余計算を行うことを必須として秘密鍵を更新することができる。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開平11−187013号公報
【特許文献2】特許第2852586号公報
【特許文献3】特開2004−343816号公報
【非特許文献】
【0010】
【非特許文献1】Zigbee(登録商標)センサネットワークpp.118〜120、阪田史郎ら、秀和システム、2005年
【発明の概要】
【発明が解決しようとする課題】
【0011】
しかしながら、ネットワークを構成する通信機器において、チップやメモリの小型化が望まれるような、計算資源に制限があるネットワーク通信においては、安全に通信及び暗号鍵更新を行うことはもちろんのことながら、鍵更新における通信量の低減及び鍵更新による計算量の低減が求められる。
【0012】
これに対し、従来方式1はサーバからネットワークに送信される通信量がグループ内のノード数をNとしたとき通信量はO(N)となる。すなわちノード数に比例して鍵更新のための通信量が増大するという問題がある。一方、従来方式2では、この通信量はO(log N)となる。すなわちノード数の対数に比例して鍵更新のための通信量が増大するという問題がある。従来方式1と比較して効率的であるが、ノード数が増大した場合に鍵更新のためのサーバからの通信量が問題になる点では同様の問題が生じる可能性がある。特にセンサネットワークのようなノード数が従来のシステムに比べ、桁違いに増加することが予想される環境では、通信量がノード数の対数に比例するとしても、本問題が顕在化することが予想される。
【0013】
一方、従来方式3を暗号鍵の配送用の通信手段として用いることが考えられるが、中継ノードを排除する場合に対応することができないという問題がある。また中継ノードがグループ外ノードである可能性を考慮すると、中継ノードに暗号鍵情報が漏洩する危険もある。
【0014】
また、従来方式4は秘密分散法に基づいた鍵更新方式であり,巨大な素数pのもとでの剰余計算や、大きな数の剰余演算などを用いた大きな計算量が必須とされる。このような剰余計算を用いてグループ鍵の鍵更新を行う方式では,公開鍵方式同様、一般的に非常に大きな計算量となる。しかし、特にセンサネットワークのようなノード側の通信機器に用いる計算資源において、実施可能な計算能力や記憶容量などに制限のある環境下では、ノード側での計算量が限られるために、従来方式4のような大きな数の剰余計算を要する方式は用いることができない。
【0015】
よって、本発明は上記課題を解決し、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、通信機器におけるグループの構成が時間進行に応じて変化する場合にも備え、暗号鍵であるグループ鍵を更新し、更新後の鍵をグループ内に安全に配布する仕組みを提供するものであり、鍵更新における通信量及び計算量を低減することを目的とする。
【課題を解決するための手段】
【0016】
本発明によれば、サーバと多数のノードから構成されるネットワークにおいて、ノードに属性がd種類存在する場合、ノードはd個のグループに同時に属すると考え、このように定義される各グループに対してグループ鍵を対応付け、サーバがグループ鍵をそのグループに属するノードとだけ共有して、各グループを対象とする暗号通信を実施する方法に関し、グループ構成員の変化があった場合に、サーバがグループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法が提供される。
【発明の効果】
【0017】
本発明によれば、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、ネットワーク構成が時間進行に応じて変化する場合にも備え、暗号鍵であるグループ鍵を更新し、更新後の鍵を安全に配布する仕組みを提供することができる。また、鍵更新における通信量及び計算量を低減することができる。
【図面の簡単な説明】
【0018】
【図1】本発明を実施するための一実施形態の構成を示す図である。
【図2】本発明における実施例を説明する図である。
【図3】nをグループGi,jから排除する概要動作を示す流れ図である。
【図4】nをグループGi,j(i≠0)から排除する動作を示す流れ図である。
【図5】nをグループGi,j(i=0かつj≠1)から排除する動作を示す流れ図である。
【図6】nをグループGi,j(i=0かつj=1)から排除する動作を示す流れ図である。
【図7】nをグループGi,j(i≠0)から排除する場合の例を示す図である。
【図8】nをグループGi,j(i=0かつj≠1)から排除する場合の例を示す図である。
【図9】nをグループGi,j(i=0かつj=1)から排除する場合の例を示す図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。
【0020】
一般に、一台のセンサノードには複数の属性が存在すると考えられる。例えば、製造ロット番号、ファームウェアのバージョン、設置場所、装備するセンサの種類等は、すべて属性となり得る。センサノードは、各属性に対してなんらかの属性値を有すると考えられる。
【0021】
本発明は、ある属性に対して同じ属性値を持つノードの集合で、一つのグループを構成するとし、このように定義される各グループに対してグループ鍵を対応付け、グループ鍵を、そのグループに属するノードにだけ配布する暗号鍵管理方法である。
【0022】
したがって、属性がd種類存在する場合、ノードはd個のグループに同時に属することとなる。このように定義される各グループに対してグループ鍵を対応付け、グループ鍵を、そのグループに属するノードにだけ配布することを考える。
【0023】
本発明は、グループ構成員の変化があった場合に、グループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法である。
【0024】
図1に、本発明の暗号鍵管理方法の実施形態における全体構成を示す。図1を参照すると、本実施形態において、センサネットワークに代表されるネットワークにおいて、ノード全体からなる集合Nと、Nに属さないサーバ101から構成され、サーバ101は、プログラム制御により動作し、ノード追加手段103と主ノード排除手段105と鍵記憶手段107とを、ノードは副ノード排除手段109と鍵記憶手段111とを備える。ノードは代表的にノード1のみを表記している。サーバの鍵記憶手段107とノードの鍵記憶手段111の差異は鍵記憶手段に記憶管理する鍵(秘密情報)の差異であり、主にサーバは全グループのグループ鍵を管理するのに対し、ノードは自身の属するグループの中のみで有効なグループ鍵と、ノードのグループ加入および排除の処理の際に必要になる処理用の鍵(後述するメンバ鍵)のみを管理する。
【0025】
ノードも鍵に関する動作などにおいては、プログラム制御により動作する。
【0026】
以下、対称鍵暗号を用いたデータの暗号化操作を用いるが、暗号化に用いるアルゴリズムについてはネットワーク参加者が了解しているものとし、サーバ、各ノードは暗号化、復号を実行可能であり、特にサーバ、各ノードともに自身が所有する鍵で暗号化されている情報に関して、適した鍵で復号し復号結果を取得できるものとする。
【0027】
また、属性をノード全体からなる集合Nの分割であるとし、特に、
Gi⊂N ...(条件1)
i≠jならばGi∩Gjは空集合である ...(条件2)
G1∪G2∪...Gm = N ...(条件3)
の3つの条件を満たす集合族{G1, G2, ..., Gm}を属性と呼ぶ。
【0028】
また、d個の属性A1, ..., Adを考え、Ai={Gi,1, ..., Gi,mi}とし(miはAiの要素数)、Gi,jは、属性iについてj番目の属性値を持つノードの集合であるとしたとき、k個の整数1≦ i1, ..., ik ≦ dおよびk個のグループGi1,j1,...,Gik,jk(ただし、1≦a≦kに対してGia,ja∈Aiaとする)が存在し、G=Gi1,j1∩... ∩Gik,jkとなるノード集合Gを位数kのグループであるというとき、構造化グループ間の包含関係において極小の集合である位数dのグループC(極小グループ)を構成するd個の属性に加え、
任意の極小グループCに対し、C∩G0,1がちょうど一個のノード(グループヘッド)を含む(条件4)、
任意の極小グループC,A0におけるG0,1以外のグループG0,jに対し、C∩G0,jが高々一個のノード(グループメンバ)を含む(条件5)、
の2つを満たすように構成した特殊な属性A0={G0,1, ..., G0,m0}(ただしm0 > 0)を導入して、d+1個の属性組A0, A1, ..., Adで構成するd次元グループ構造でグループ鍵を更新管理する。
【0029】
また、ノードはちょうど一個の極小グループに属すること、A0は全ノード集合Nの分割になっていることより、任意のノードnに対してd+1個の整数組j0, j1, ..., jdが存在し、G0,j0 ∩G1,j1 ∩... ∩Gd,jd={n}と表すことができ、d+1字組(j0, j1, ..., jd) をノードnの識別子(ID)として取り扱う。
【0030】
また、A0, A1, ..., Adがd次元グループ構造を定義する場合を考え、この時サーバは、位数1のグループGi,j(0≦i≦d, 1≦j≦mi) に属するノードとグループ鍵ki,j(特に要素鍵と呼ぶ)をあらかじめ共有し、位数kのグループ G=Gi1,j1 ∩... ∩Gik,jk(i1<...<ik)に対し、h(ki1,j1||...||kik,jk) (hはハッシュ関数などの連接鍵の長さを所定値にするための関数、||は鍵の連接)としてサーバおよびノードで計算できる情報をGのグループ鍵k(G)とする。
【0031】
また、位数kのグループGのグループ鍵k(G)を知るのはGに属するノードのみであり、この時、サーバあるいはGに属するノードは、Gに送信したいデータをk(G)により暗号化し、得られた暗号文をGのノードに対してマルチキャスト配信する。
【0032】
また、ノードnのIDを(j0, j1, ..., jd)とすると、nはd+1個の要素鍵 k0,j0, ..., kd,jdを所有し、これらd+1個の鍵を用いることにより、nはkn=h(k0,j0||...||kd,jd)を計算することができ、この値knはnおよびサーバだけが計算可能な値であるため、サーバはknをnとサーバとの間で共有された鍵(ノード鍵と呼ぶ)として、サーバは、各ノードに対してそれぞれのノード鍵でデータを暗号化してユニキャスト的に送信する。
【0033】
また、グループヘッドとそのグループヘッドの属する極小グループの各グループメンバとの間で安全に一対一のメッセージの交換を行うことを可能とするため、サーバは、グループヘッドと各グループメンバに対して、それぞれのノード鍵で共通のユニークな鍵(メンバ鍵)を暗号化してユニキャスト的に送信する。
【0034】
ノードnを、位数1のグループGi,jに追加する手段(ノード追加手段)は以下のようになる。たとえば、新しいノードを稼働中のセンサネットワークに追加したい場合や、既存のノードの属性値がなんらかの理由で変更される場合等、このようなケースが発生しうる。いずれにせよ、新しくグループに参加するノードnは、自分が参加する以前にGi,jのグループ鍵として使われていた鍵を知る権利はない。逆に、nをグループのメンバとして追加する過程において、nが以前のグループ鍵を知ることがあってはならない。この性質をグループ鍵における後方安全性(backward security)と呼ぶ。
【0035】
また、サーバがノードnを位数1のグループGi,jに追加したいとき、データxを鍵kにより暗号化して得られる暗号文をEk(x)と書くこととすると、サーバに備えるノード追加手段は、Gi,jに以前から所属するノードには、c=Eh(ki,j)(k’i,j)を計算し、cをGi,jに属するノードに対してマルチキャスト配信し、nに対してはユニキャスト的に新しい鍵k’i,jをサーバとそのノードだけで共有するノード鍵で暗号化してサーバから伝達することで、後方安全性を確保しつつ、新しい鍵k’i,jを新しいグループGi,jで共有する。
【0036】
それまでグループGi,jに属していたノードを、Gi,jから排除する手段(ノード排除手段)は以下のようになる。あるノードをグループから排除するケースとしては、ノードの属性値が変化した場合、故障等によって停止したノードをネットワークから除外する場合、そして、あるノードが不正者に乗っ取られたおそれがある場合等が考えられる。とくに最後のケースでは、乗っ取られたノードを通じて秘密情報がリークしたり、乗っ取られた情報が他のノードや通信基盤に対してさらなる攻撃を行うことも考えられるため、できるだけ早急にノードを排除することが強く求められる。この際、グループから排除されるノードは、不正な手段によってグループ鍵を保持しようとし続ける可能性がある点に注意しなければならない。ノードを排除するプロトコルにおいては、Gi,jに継続して残るノードには新しい鍵k’i,jを確実に配信し、排除されるユーザにはk’i,j(および、その後に使用されるグループ鍵)が渡らないようにしなければならない。この性質を、グループ鍵における前方安全性(forward security)と呼ぶ。
【0037】
前方安全性の確保は、後方安全性の確保に比べて、技術的な困難性が高い。実際、Gi,jに継続して残るノードと、排除されるノードnとの間には、鍵に関する知識に関し、本質的な差異があるわけではない。たとえば、Gi,jに残るノードも n 自身も、Gi,jにおいてこれまで使用されていたグループ鍵ki,jを知っている。したがって、前節のノード追加のように、古いグループ鍵ki,jを利用して新しい鍵k’i,jの配布を行う、といった単純な方法では前方安全性の確保は困難である。
【0038】
また、サーバがノードnを位数1のグループGi,jから排除するとき、Gi,jからnを除いた集合をG’i,jと書くと、G’i,jは、nの排除後もグループにとどまるノード集合であり、G’i,jに属するすべてのノードは、新しい鍵k’i,jを入手できなければならず、かつ、前方安全性を確保するため、排除されるノードnがk’i,jを知ることがないようにしなければならないため、サーバに備える主ノード排除手段は、極小グループに必ず一個存在するグループヘッドの備える副ノード排除手段と連携して、ノード排除の処理を実施する。
【0039】
サーバがノードnを位数1のグループGi,jから排除するとき、サーバに備える主ノード排除手段は、排除ノードnがグループヘッドでない場合に、nを排除する位数1のグループGi,jについて、i≠0である場合と、i=0である場合(後者の場合、nがグループヘッドでないので、自動的にj≠1となる)とで、グループヘッドとなるノードの備える副ノード排除手段は処理を分岐する。
【0040】
サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する位数1のグループGi,jについてi≠0である場合、位数1のグループGi,jはいくつかの極小グループに分割され、排除されるノードnは、その中の一つの極小グループに属することとなるので、基本的な考え方として、Gi,j ∩G0,1に属するノード(Gi,jに属するグループヘッド)に新しい鍵k’i,jを配送し、各グループヘッドからグループメンバに対して鍵k’i,jを転送する。
【0041】
即ち、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi≠0である場合、サーバの主ノード排除手段は、まず、ki,jをGi,j の要素鍵、k’i,j は新しいGi,j の要素鍵としたとき、k=h(k0,1||ki,j) を計算し、x =Ek(k’i,j) を求め、4字組 (i, j, IDn, x) をGi,j ∩G0,1に属するノード(グループヘッド)向けにマルチキャスト送信し(IDnは排除されるノードnのID)、その後、Gi,j ∩G0,1に属するノード(グループヘッド)の副ノード排除手段は,xを復号してGi,jの新しい鍵 k’i,jを入手し、最後に、Gi,j ∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、自ノードの属する極小グループCに排除ノードnを含まないとき、k(C) (自身の属する極小グループCのグループ鍵)を用いてk’i,jを暗号化し、Ek(C)(k’i,j)をCのグループメンバに向けてマルチキャスト配信する一方、グループヘッドの属する極小グループCに排除ノードnが含まれるとき、グループヘッドの副ノード排除手段が、n以外のCのグループメンバ全員に対してメンバ鍵を用いてユニキャスト的にk’i,jを暗号化して送信する。
【0042】
サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi=0かつj≠1である場合、Gi,j=G0,jとなり、グループGi,jは極小グループに分割することはできない。また、グループヘッドの集合G0,1とGi,jは互いに素である(共通集合を持たない)ため、グループヘッドに新しい要素鍵k’i,jを露出してはならない。
【0043】
即ち、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについて、i=0かつj≠1である場合、サーバの主ノード排除手段は、x1=Eh(k0,j)(k’0,j)およびx2=Eh(k0,1)(x1)を計算し、4字組 (0, j, IDn, x2) をグループヘッドの集合 G0,1 にマルチキャスト配信し、各グループヘッドの副ノード排除手段はx2 を復号して x1 を得て(グループヘッドは k0,j を知らないため、x1 を復号することはできない)、G0,jと自身の属する極小グループCとの積集合に、ノードn’が一個含まれ、かつn≠n’であれば、グループヘッドの副ノード排除手段が、n’にメンバ鍵でユニキャスト的にx1を暗号化して送信する。
【0044】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、nを排除するグループGi,jのグループヘッドnと、そのグループヘッドが属する極小グループ内のノードn’との役割を交換する処理を実施し、役割交換処理終了後に排除ノードがグループヘッドでない場合のノード排除処理を施行する。
【0045】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、ノードの役割交換処理は、グループヘッドn、とノードn’∈G0,j(j ≠1)は同一の極小グループに属するものとして、サーバの主ノード排除手段は、まず、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信し、その後、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信し、最後にk’0,1, k’0,jをそれぞれn’, n に送信する3つの処理からなる。
【0046】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、まずG0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信するために、G’0,1に属する各ノードに対してサーバからユニキャスト的に鍵k’0,1を暗号配信する。
【0047】
ここで、従来方式2のような方式でG0,1を構造化し、G’0,1に属する各ノードに対してk’0,1を配信しても良い。
【0048】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i =0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信するために、x1=Ek0,j(k’0,j)およびx2=Ek’0,1(x1)を計算し、x2をG’0,1のノードに対してマルチキャスト配信し、G’0,1に属するノード(グループヘッド)の副ノード排除手段はx2を復号してx1を入手し、G’0,1に属するノード(グループヘッド)の属する極小グループ内にG’0,jのノードが存在すれば、グループヘッドの副ノード排除手段が、G’0,jのノードのノード排除手段にユニキャスト的にメンバ鍵でx1を暗号化して送信する。
【0049】
役割交換にともなってG0,jを離れるノードn’については、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信した時点で対応する(正当な鍵 k’0,1を保持する)グループヘッドが存在していないため、新しい鍵k’0,jの配信を受けることはできない。結果として、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信する処理が正しく実現されたことになる。
【0050】
また、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、k’0,1, k’0,jをそれぞれn’, nに送信するために、n’, nにユニキャスト的にk’0,1, k’0,jをノード鍵で暗号化して送信する。
【実施例】
【0051】
次に本発明の実施例について、図面を参照して詳細に説明する。ノードは図2に参照されるような、クラスタツリートポロジのネットワークを構成しているとする。ここでクラスタツリートポロジとは、サーバを根ノードとして、根ノード以外のすべての内部ノードについて、その子の中に高々一個の内部ノードしか存在しないツリーのことをいう。クラスタツリーにおいて、一つの内部ノードと、その内部ノードの子の中で葉ノードであるものから構成されるノード集合で一つのクラスタを構成する。クラスタツリートポロジ上では、各ノードの属性として、クラスタツリーにおける何番目の幹に属するかという情報および根ノードからの深さ、クラスタ内で何番目のノードであるかという順序情報を定義できる。クラスタ内での順序情報を特殊な属性A0={G0,1, G0,2, G0,3, G0,4}と考えると,幹属性A1={G1,1, G1,2, G1,3},深さ属性A2={G2,1, G2,2}で特定できる2次元グループ構造と定義できる。クラスタが2次元グループ構造における極小グループとなる。
【0052】
この時、ノードnをグループGi,jから排除するときのフローチャートは図3のようになる。図3のS31にてi≠0のとき、A1,A2の属性のうちG1,1, G1,2, G1,3, G2,1, G2,2のいずれかの属性値を持つノードの集合からノードnを排除する処理を実施する。この時、排除するノードはグループヘッドではないので、Gi,j∩G0,1に属するノード(Gi,jのグループヘッド)に新しい鍵k’i,jを配送し、各グループヘッドからグループメンバに対してk’i,jを転送する(S32)。具体的な処理のフローを図4に示している。まず、サーバがE h(k0,1||ki,j) (k’i,j)を計算し、計算結果をマルチキャストする(S311)。その後、Gi,j内のグループヘッドだけが本計算結果を復号可能であり、復号してk’i,jを入手する(S312)。最後に、グループヘッドがG’i,j=Gi,j\{n}のノードにだけk’i,jを、グループメンバとの間で共有するメンバ鍵で暗号化してユニキャストして(S313)、処理を終える。
【0053】
次に、図3のS31にてi=0のとき、S33にてj≠1ならば、A0の属性のうちG0,2あるいはG0,3あるいはG0,4の属性値を持つノードの集合からノードnを排除する処理を実施する。この時、Gi,j =G0,jとなりグループヘッドの集合G0,1とGi,jは互いに素(共通集合)を持たないため、グループヘッドにk’i,jを露出することなく、各グループヘッドからグループメンバに対してk’i,jを転送する(S34)。具体的な処理のフローを図5に示している。まず、サーバがx1=Eh(k0,j)(k’0,j)を計算し(j≠1) 、x2=Eh(k0,1)(x1)をマルチキャストする(S341)。そして、G0,j内のグループヘッドだけがx2を復号可能であり、復号してx1を入手する(S342)。グループヘッドはx1の復号はできない。その後、グループヘッドがG0,j からnを除いたノード集合G’0,j=G0,j\{n}に属するノードにだけx1 をメンバ鍵で暗号化してユニキャストする(S343)。最後に、G’0,jのノードがx1をk0,jを用いて復号し(S344)、処理を終える。
【0054】
最後に、図3のS31にてi=0のとき、S33にてj=1ならば、A0の属性のうちG0,1の属性値を持つノードの集合からノードnを排除する処理を実施する。このときnはグループヘッドであり、グループヘッドnと、そのグループヘッドが属する極小グループ内のグループメンバn’∈G0,j(j≠1)との役割を交換する処理を実行し、その後上記の(排除ノードがグループヘッドでない場合の)鍵更新を実行する(S35)。具体的な処理のフローを図6に示している。まず、サーバがk’0,1をサーバと各ノードに固有なノード鍵で暗号化し、G0,1からnを除いたノード集合G’0,1=G0,1\{n} に含まれるすべてのノードにユニキャストする(S351)。そして、サーバがx1 =Eh(k0,j)(k’0,j)を計算し(j≠1)、x2=Eh(k’0,1)(x1)をマルチキャストする(S352)。そして、G’0,1に属するグループヘッドはx2を復号してx1を入手し(S353)、G’0,j=G0,j\{n’}のノードにx1を暗号化してユニキャストする(S354)。その後、G’0,jのノードがx1をk0,jを用いて復号する(S355)。最後に、サーバがn’, n にk’0,1, k’0,jをノード鍵で暗号化してユニキャストして(S356)、役割交換の処理を終了する。この時点で、グループヘッドnはグループメンバn’とその役割を交代し、グループメンバとなる(グループヘッドの集合G0,1の鍵を所有しなくなる)。その後、図5に示す排除ノードがクラスタヘッドでない場合のノード排除処理を実施してnを排除し(S357)、処理を終える。
【0055】
図7は、図4に示す鍵更新処理1の一例として、グループG2,2の全ノードのうちグループヘッドノード以外の或るノード(グループG2,2且つグループ0,i(i≠0)(例として、i=4)且つグループ1,j(例として、j=3)のノード)をグループG2,2から排除する例を示す図である。
【0056】
図7を参照すると、まず、新たな鍵k’2,2を鍵k0,1と鍵2,2とを連接することにより得た鍵のハッシュ値により暗号化し、これをマルチキャストする(図4のステップ311)。マルチキャストする鍵には、ノードn(グループ0,4且つグループG1,3且つグループ2,2に属するノード)の鍵は更新しないという情報を付加しておく。
【0057】
そうすると、鍵k0,1と鍵2,2とを保有しているグループ2,2のグループヘッドノードがこれを受信して、鍵k’2,2を得る(図4のステップ312)。 次に、グループヘッドノードは、自己の配下にあるノードに鍵k’2,2を転送するが、上述した付加情報により特定されるノードには、例外として、鍵k’2,2を転送しない(図4のステップS313)。
【0058】
グループ2,1からあるノードを排除する場合の処理とグループ1、j(j=1〜3)からあるノードを排除する場合の処理は、図7の場合の処理(グループ2,2からあるノードを排除する場合の処理)と同様である(鍵更新処理1である)ので、説明を省略する。
【0059】
図8は、図5に示す鍵更新処理2の一例として、グループG0,3の或るノード(例として、グループG0,3且つグループG1,1且つグループG2,1に属するノード)をグループG0,3から排除する例を示す図である。
【0060】
図8を参照すると、まず、新たな鍵k’0,3を鍵k0,3のハッシュ値により暗号化して、x1を得る(図5のステップS341の前半部)。次に、x1を鍵k0,1のハッシュ値により暗号化して、x2を得る。そして、x2をマルチキャストする(図5のステップS341の後半部)。マルチキャストするx2には、ノードn(グループG0,3且つグループG1,1且つグループG2,1に属するノード)の鍵は更新しないという情報を付加しておく。
【0061】
そうすると、鍵k0,1を保有しているグループヘッドノードがこれを受信して、x1を得る(図5のステップS342)。
【0062】
次に、グループヘッドは、自己の配下にあるノードにx1をマルチキャストする。但し、付加情報により特定されたノードにはマルチキャストしない(ステップS343)。
【0063】
そうすると、鍵k0,3を保有しているグループG0,3のノードがx1を受信し、k’0,3を取得する(図5のステップS344)。但し、付加情報により特定されたノードはグループG0,3に属しているが、マルチキャストの対象から外されているので、k’0,3を取得することができない。
【0064】
グループG0,2からあるノードを排除する場合の処理とグループG0,4からあるノードを削除する場合の処理は、図8の場合の処理動作と同様である(鍵更新処理2である)ので、説明を省略する。
【0065】
図9は、図6に示す鍵更新処理3の一例(グループヘッドノード(グループG0,1に属するノード)を排除する例)として、グループG1,3且つグループG2,2のグループのグループヘッドノードn(グループG1,3且つグループG2,2且つグループ0,1に属するノード)を排除する例を示す図である。
【0066】
図9を参照すると、まず、グループG1,3且つグループG2,2のグループのグループヘッドノードnとそのグループの他のノードn’(例えば、グループG0,3に属するノード)とを交換する。この交換処理は、ステップS351、S352、S353、S355、S356を有する。
【0067】
まず、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードそれぞれに新たな鍵k’0,1を暗号化してユニキャストする(図6のステップS351)。
【0068】
次に、新たな鍵k’0,3を鍵k0,3のハッシュ値で暗号化することによりx1を生成し(図6のS352の前半部)、更に、x1をk’0,1のハッシュ値で暗号化することによりx2を生成し、x2をマルチキャストする(図6のS352の後半部)。
【0069】
そうすると、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードは、鍵k’0,1を保有しているため、x1を復号することができる(図6のステップS353)。他方、グループG1,3且つグループG2,2のグループのグループヘッドは鍵k’0,1を保有していないためx1を復号することができない。
【0070】
x1を復号することができた、グループG1,3且つグループG2,2のグループ以外の5つのグループのグループヘッドノードは、配下のノードにx1を送信する(図6のステップS354)が、鍵0,3を保有しているノード(G0,3に属するノード)のみがx1を復号して、k’0,3を得ることができる(図6のステップS355)。他方、グループG1,3且つグループG2,2ではグループヘッドノードがx1を復号することができないため、このグループ内のノードはk’0,3を得ることができない。
【0071】
次に、鍵k’0,1をグループヘッドノードdとなったノードn’にユニキャストし、鍵k’0,3をグループヘッドノードdでなくなったノードnにユニキャストする(図6のステップS356)。
【0072】
この後、ノードnを排除するために図8に示す方法を実施する(図6のステップS357)。
【産業上の利用可能性】
【0073】
よって、本発明によれば、従来方式に比べ、ノード排除時の鍵更新時の通信量を大きく削減することができる。例えば、グループ鍵の更新処理において、サーバからの通信はグループヘッド宛のマルチキャスト配信1回で済み、グループヘッドからは最大でも(そのグループヘッドの属する極小グループのノード数−1)回のユニキャスト通信で鍵更新を行うことができる。極小グループはノード集合の包含関係において極小であるので、大変効率的に処理を行うことが可能である。
【0074】
また、本発明によれば、役割交換処理を用いることにより、グループヘッドに相当するノード排除による鍵更新を行うことができる。
【0075】
また、本発明によれば、従来方式に比べ、より少ない計算量で鍵更新を行うことが可能である。よって、例えばセンサネットワークのような計算資源に制限のある環境下においても鍵更新に伴う計算量を低減し、安全に鍵更新を行うことができる。
【0076】
以上、本発明は、暗号鍵を利用し、複数の通信機器を用いて通信を行うネットワーク通信において、構成する通信機器として、サーバ及びサーバと接続されたノードとにより構成されるようなネットワーク、特にセンサネットワークを例に説明を行ったが、特にこのようなネットワークに限られることはなく様々なネットワーク通信に応用できることはいうまでもない。
【符号の説明】
【0077】
101 サーバ
103 ノード追加手段
105 主ノード排除手段
107 鍵記憶手段
109 副ノード排除手段
111 鍵記憶手段
【特許請求の範囲】
【請求項1】
サーバと多数のノードから構成されるネットワークにおいて、ノードに属性がd種類存在する場合、ノードはd個のグループに同時に属すると考え、このように定義される各グループに対してグループ鍵を対応付け、サーバがグループ鍵をそのグループに属するノードとだけ共有して、各グループを対象とする暗号通信を実施する方法に関し、グループ構成員の変化があった場合に、サーバがグループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法。
【請求項2】
請求項1に記載の暗号鍵更新方法において、属性を全ノード集合Nの分割であるとし、特に(条件1)Gi⊂N、(条件2)i≠jならばGi∩Gjは空集合である、(条件3)G1∪G2∪...Gm=N、の3つの条件を満たす集合族{G1,G2,...,Gm}を属性と呼ぶとき、d個の属性A1,...,Adを考え、Ai={Gi,1,...,Gi,mi}とし(miはAiの要素数)、Gi,jは、属性iについてj番目の属性値を持つノードの集合であるとしたとき、k個の整数1≦i1,...,ik,≦dおよびk個のグループGi1,j1,...,Gik,jk(ただし、1≦a≦kに対してGia,ja∈Aiaとする)が存在し、G=Gi1,j1∩...∩Gik,jkとなるノード集合Gを位数kのグループであるというとき、構造化グループ間の包含関係において極小の集合である位数dのグループC(極小グループ)を構成するd個の属性に加え、(条件4)任意の極小グループCに対し、C∩G0,1がちょうど一個のノード(グループヘッド)を含む、(条件5)任意の極小グループC,A0におけるG0,1以外のグループG0,jに対し、C∩G0,jが高々一個のノード(グループメンバ)を含む、の2つを満たすように構成した特殊な属性A0={G0,1,...,G0,m0}(ただしm0>0)を導入して、d+1個の属性組A0,A1,...,Adで構成するd次元グループ構造でグループ鍵を更新管理することを特徴とする暗号鍵更新方法。
【請求項3】
請求項2に記載の暗号鍵更新方法において、ノードはちょうど一個の極小グループに属すること、A0はノード集合Nの分割になっていることより、任意のノードnに対してd+1個の整数組j0,j1,...,jdが存在し、G0,j0∩G1,j1∩...∩Gd,jd={n}とあらわすことができ、d+1字組(j0,j1,...,jd)をノードnの識別子(ID)として取り扱うことを特徴とする暗号鍵更新方法。
【請求項4】
請求項3に記載の暗号鍵更新方法において、A0,A1,...,Adがd次元グループ構造を定義する場合を考え、この時サーバは、位数1のグループGi,j(0≦i≦d,1≦j≦mi)に属するノードとグループ鍵ki,j(特に要素鍵と呼ぶ)をあらかじめ共有し、位数kのグループG=Gi1,j1∩...∩Gik,jk(i1<...<ik)に対し、h(ki1,j1||...||kik,jk)(hはハッシュ関数、||は鍵の連接)としてサーバおよびノードで計算できる情報をGのグループ鍵k(G)とすることを特徴とする暗号鍵更新方法。
【請求項5】
請求項4に記載の暗号鍵更新方法において、位数kのグループGのグループ鍵k(G)を知るのはGに属するノードのみであり、この時、サーバあるいはGに属するノードは、Gに送信したいデータをk(G)により暗号化し、得られた暗号文をGのノードに対してマルチキャスト配信することを特徴とする暗号鍵更新方法。
【請求項6】
請求項5に記載の暗号鍵更新方法において、ノードnのIDを(j0,j1,...,jd)とすると、nはd+1個の要素鍵k0,j0,...,kd,jdを所有し、これらd+1個の鍵を用いることにより、nはkn=h(k0,j0||...||kd,jd)を計算することができ、この値knはnおよびサーバだけが計算可能な値であるため、サーバはknをnとサーバとの間で共有された鍵(ノード鍵)として、サーバは、各ノードに対してそれぞれのノード鍵でデータを暗号化してユニキャスト的に安全に送信することを特徴とする暗号鍵更新方法。
【請求項7】
請求項6に記載の暗号鍵更新方法において、グループヘッドとそのグループヘッドの属する極小グループの各グループメンバとの間で安全に一対一のメッセージの交換を行うことを可能とするため、サーバは、グループヘッドと各グループメンバに対して、それぞれのノード鍵で共通のユニークな鍵(メンバ鍵)を暗号化してユニキャスト的に送信することを特徴とする暗号鍵更新方法。
【請求項8】
請求項7に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jに追加したいとき、データxを鍵kにより暗号化して得られる暗号文をEk(x)と書くこととすると、サーバに備えさせるノード追加手段は、Gi,jに以前から所属するノードには、c=Eh(ki,j)(k’i,j)を計算し、cをGi,jに属するノードに対してマルチキャスト配信し、nに対してはユニキャスト的に新しい鍵k’i,jをサーバとそのノードだけで共有するノード鍵で暗号化してサーバから伝達することで、後方安全性を確保しつつ、新しい鍵k’i,jを新しいグループGi,jで共有することを特徴とする暗号鍵更新方法。
【請求項9】
請求項8に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、Gi,jからnを除いた集合をG’i,jと書くと、G’i,jは、nの排除後もグループにとどまるノード集合であり、G’i,jに属するすべてのノードは、新しい鍵k’i,jを入手できなければならず、かつ、前方安全性を確保するため、排除されるノードnがk’i,jを知ることがないようにしなければならないため、サーバに備えさせる主ノード排除手段は、極小グループに必ず一個存在するグループヘッドに備えさせる副ノード排除手段と連携して、ノード排除の処理を実施することを特徴とする暗号鍵更新方法。
【請求項10】
請求項9に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi≠0である場合、サーバの主ノード排除手段は、まず、ki,jをGi,jの要素鍵、k’i,jは新しいGi,jの要素鍵としたとき、k=h(k0,1||ki,j)を計算し、x=Ek(k’i,j)を求め、4字組(i,j,IDn,x)をGi,j∩G0,1に属するノード(グループヘッド)向けにマルチキャスト送信し(IDnは排除されるノードnのID)、その後、Gi,j∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、xを復号してGi,jの新しい鍵k’i,jを入手し、最後に、Gi,j∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、自ノードの属する極小グループCに排除ノードnを含まないとき、k(C)(自身の属する極小グループCのグループ鍵)を用いてk’i,jを暗号化し、Ek(C)(k’i,j)をCのグループメンバに向けてマルチキャスト配信する一方、グループヘッドの属する極小グループCに排除ノードnが含まれるとき、グループヘッドの副ノード排除手段が、n以外のCのグループメンバに対してメンバ鍵を用いてユニキャスト的にk’i,jを暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項11】
請求項10に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi=0かつj≠1である場合、サーバの主ノード排除手段は、x1=Eh(k0,j)(k’0,j)およびx2=Eh(k0,1)(x1)を計算し、4字組(0,j,IDn,x2)をグループヘッドの集合G0,1にマルチキャスト配信し、各グループヘッドの副ノード排除手段はx2を復号してx1を得て(グループヘッドはk0,jを知らないため、x1を復号することはできない)、G0,jと自身の属する極小グループCとの積集合に、ノードn’が一個含まれ、かつn≠n’であれば、グループヘッドの副ノード排除手段が、n’にメンバ鍵でユニキャスト的にx1を暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項12】
請求項11に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、nを排除するグループGi,jのグループヘッドnと、そのグループヘッドが属する極小グループ内のノードn’との役割を交換する処理を実施し、役割交換処理終了後に排除ノードがグループヘッドでない場合のノード排除処理を施行することを特徴とする暗号鍵更新方法。
【請求項13】
請求項12に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、ノードの役割交換処理は、グループヘッドn,とノードn’∈G0,j(j≠1)は同一の極小グループに属するものとして、サーバの主ノード排除手段は、まず、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信し、その後、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信し、最後にk’0,1,k’0,jをそれぞれn’,nに送信する3つの処理からなることを特徴とする暗号鍵更新方法。
【請求項14】
請求項13に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、まずG0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信するために、G’0,1に属する各ノードに対してサーバからユニキャスト的に鍵k’0,1を暗号配信することを特徴とする暗号鍵更新方法。
【請求項15】
請求項14に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信するために、x1=Ek0,j(k’0,j)およびx2=Ek’0,1(x1)を計算し、x2をG’0,1のノードに対してマルチキャスト配信し、G’0,1に属するノード(グループヘッド)の副ノード排除手段はx2を復号してx1を入手し、G’0,1に属するノード(グループヘッド)の属する極小グループ内にG’0,jのノードが存在すれば、グループヘッドの副ノード排除手段が、G’0,jのノードのノード排除手段にユニキャスト的にメンバ鍵でx1を暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項16】
請求項15に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、k’0,1,k’0,jをそれぞれn’,nに送信するために、n’,nにユニキャスト的にk’0,1,k’0,jをノード鍵で暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項1】
サーバと多数のノードから構成されるネットワークにおいて、ノードに属性がd種類存在する場合、ノードはd個のグループに同時に属すると考え、このように定義される各グループに対してグループ鍵を対応付け、サーバがグループ鍵をそのグループに属するノードとだけ共有して、各グループを対象とする暗号通信を実施する方法に関し、グループ構成員の変化があった場合に、サーバがグループ鍵を更新し、更新後の鍵を正しく配信する方法であって、特に、あるノードを強制的にグループから排除する場合に、排除されるノードが有効なグループ鍵を所有し続けることのないよう、適切にグループ鍵配信の制御を行う暗号鍵更新方法。
【請求項2】
請求項1に記載の暗号鍵更新方法において、属性を全ノード集合Nの分割であるとし、特に(条件1)Gi⊂N、(条件2)i≠jならばGi∩Gjは空集合である、(条件3)G1∪G2∪...Gm=N、の3つの条件を満たす集合族{G1,G2,...,Gm}を属性と呼ぶとき、d個の属性A1,...,Adを考え、Ai={Gi,1,...,Gi,mi}とし(miはAiの要素数)、Gi,jは、属性iについてj番目の属性値を持つノードの集合であるとしたとき、k個の整数1≦i1,...,ik,≦dおよびk個のグループGi1,j1,...,Gik,jk(ただし、1≦a≦kに対してGia,ja∈Aiaとする)が存在し、G=Gi1,j1∩...∩Gik,jkとなるノード集合Gを位数kのグループであるというとき、構造化グループ間の包含関係において極小の集合である位数dのグループC(極小グループ)を構成するd個の属性に加え、(条件4)任意の極小グループCに対し、C∩G0,1がちょうど一個のノード(グループヘッド)を含む、(条件5)任意の極小グループC,A0におけるG0,1以外のグループG0,jに対し、C∩G0,jが高々一個のノード(グループメンバ)を含む、の2つを満たすように構成した特殊な属性A0={G0,1,...,G0,m0}(ただしm0>0)を導入して、d+1個の属性組A0,A1,...,Adで構成するd次元グループ構造でグループ鍵を更新管理することを特徴とする暗号鍵更新方法。
【請求項3】
請求項2に記載の暗号鍵更新方法において、ノードはちょうど一個の極小グループに属すること、A0はノード集合Nの分割になっていることより、任意のノードnに対してd+1個の整数組j0,j1,...,jdが存在し、G0,j0∩G1,j1∩...∩Gd,jd={n}とあらわすことができ、d+1字組(j0,j1,...,jd)をノードnの識別子(ID)として取り扱うことを特徴とする暗号鍵更新方法。
【請求項4】
請求項3に記載の暗号鍵更新方法において、A0,A1,...,Adがd次元グループ構造を定義する場合を考え、この時サーバは、位数1のグループGi,j(0≦i≦d,1≦j≦mi)に属するノードとグループ鍵ki,j(特に要素鍵と呼ぶ)をあらかじめ共有し、位数kのグループG=Gi1,j1∩...∩Gik,jk(i1<...<ik)に対し、h(ki1,j1||...||kik,jk)(hはハッシュ関数、||は鍵の連接)としてサーバおよびノードで計算できる情報をGのグループ鍵k(G)とすることを特徴とする暗号鍵更新方法。
【請求項5】
請求項4に記載の暗号鍵更新方法において、位数kのグループGのグループ鍵k(G)を知るのはGに属するノードのみであり、この時、サーバあるいはGに属するノードは、Gに送信したいデータをk(G)により暗号化し、得られた暗号文をGのノードに対してマルチキャスト配信することを特徴とする暗号鍵更新方法。
【請求項6】
請求項5に記載の暗号鍵更新方法において、ノードnのIDを(j0,j1,...,jd)とすると、nはd+1個の要素鍵k0,j0,...,kd,jdを所有し、これらd+1個の鍵を用いることにより、nはkn=h(k0,j0||...||kd,jd)を計算することができ、この値knはnおよびサーバだけが計算可能な値であるため、サーバはknをnとサーバとの間で共有された鍵(ノード鍵)として、サーバは、各ノードに対してそれぞれのノード鍵でデータを暗号化してユニキャスト的に安全に送信することを特徴とする暗号鍵更新方法。
【請求項7】
請求項6に記載の暗号鍵更新方法において、グループヘッドとそのグループヘッドの属する極小グループの各グループメンバとの間で安全に一対一のメッセージの交換を行うことを可能とするため、サーバは、グループヘッドと各グループメンバに対して、それぞれのノード鍵で共通のユニークな鍵(メンバ鍵)を暗号化してユニキャスト的に送信することを特徴とする暗号鍵更新方法。
【請求項8】
請求項7に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jに追加したいとき、データxを鍵kにより暗号化して得られる暗号文をEk(x)と書くこととすると、サーバに備えさせるノード追加手段は、Gi,jに以前から所属するノードには、c=Eh(ki,j)(k’i,j)を計算し、cをGi,jに属するノードに対してマルチキャスト配信し、nに対してはユニキャスト的に新しい鍵k’i,jをサーバとそのノードだけで共有するノード鍵で暗号化してサーバから伝達することで、後方安全性を確保しつつ、新しい鍵k’i,jを新しいグループGi,jで共有することを特徴とする暗号鍵更新方法。
【請求項9】
請求項8に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、Gi,jからnを除いた集合をG’i,jと書くと、G’i,jは、nの排除後もグループにとどまるノード集合であり、G’i,jに属するすべてのノードは、新しい鍵k’i,jを入手できなければならず、かつ、前方安全性を確保するため、排除されるノードnがk’i,jを知ることがないようにしなければならないため、サーバに備えさせる主ノード排除手段は、極小グループに必ず一個存在するグループヘッドに備えさせる副ノード排除手段と連携して、ノード排除の処理を実施することを特徴とする暗号鍵更新方法。
【請求項10】
請求項9に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi≠0である場合、サーバの主ノード排除手段は、まず、ki,jをGi,jの要素鍵、k’i,jは新しいGi,jの要素鍵としたとき、k=h(k0,1||ki,j)を計算し、x=Ek(k’i,j)を求め、4字組(i,j,IDn,x)をGi,j∩G0,1に属するノード(グループヘッド)向けにマルチキャスト送信し(IDnは排除されるノードnのID)、その後、Gi,j∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、xを復号してGi,jの新しい鍵k’i,jを入手し、最後に、Gi,j∩G0,1に属するノード(グループヘッド)の副ノード排除手段は、自ノードの属する極小グループCに排除ノードnを含まないとき、k(C)(自身の属する極小グループCのグループ鍵)を用いてk’i,jを暗号化し、Ek(C)(k’i,j)をCのグループメンバに向けてマルチキャスト配信する一方、グループヘッドの属する極小グループCに排除ノードnが含まれるとき、グループヘッドの副ノード排除手段が、n以外のCのグループメンバに対してメンバ鍵を用いてユニキャスト的にk’i,jを暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項11】
請求項10に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、排除ノードnがグループヘッドでなく、nを排除する要素グループGi,jについてi=0かつj≠1である場合、サーバの主ノード排除手段は、x1=Eh(k0,j)(k’0,j)およびx2=Eh(k0,1)(x1)を計算し、4字組(0,j,IDn,x2)をグループヘッドの集合G0,1にマルチキャスト配信し、各グループヘッドの副ノード排除手段はx2を復号してx1を得て(グループヘッドはk0,jを知らないため、x1を復号することはできない)、G0,jと自身の属する極小グループCとの積集合に、ノードn’が一個含まれ、かつn≠n’であれば、グループヘッドの副ノード排除手段が、n’にメンバ鍵でユニキャスト的にx1を暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項12】
請求項11に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、nを排除するグループGi,jのグループヘッドnと、そのグループヘッドが属する極小グループ内のノードn’との役割を交換する処理を実施し、役割交換処理終了後に排除ノードがグループヘッドでない場合のノード排除処理を施行することを特徴とする暗号鍵更新方法。
【請求項13】
請求項12に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、ノードの役割交換処理は、グループヘッドn,とノードn’∈G0,j(j≠1)は同一の極小グループに属するものとして、サーバの主ノード排除手段は、まず、G0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信し、その後、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信し、最後にk’0,1,k’0,jをそれぞれn’,nに送信する3つの処理からなることを特徴とする暗号鍵更新方法。
【請求項14】
請求項13に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、まずG0,1の要素鍵を更新し、新しい要素鍵k’0,1をG0,1からnを除いたノード集合G’0,1=G0,1\{n}に配信するために、G’0,1に属する各ノードに対してサーバからユニキャスト的に鍵k’0,1を暗号配信することを特徴とする暗号鍵更新方法。
【請求項15】
請求項14に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、G0,jの要素鍵を更新し、新しい要素鍵k’0,jをG0,jからn’を除いたノード集合G’0,j=G0,j\{n’}に配信するために、x1=Ek0,j(k’0,j)およびx2=Ek’0,1(x1)を計算し、x2をG’0,1のノードに対してマルチキャスト配信し、G’0,1に属するノード(グループヘッド)の副ノード排除手段はx2を復号してx1を入手し、G’0,1に属するノード(グループヘッド)の属する極小グループ内にG’0,jのノードが存在すれば、グループヘッドの副ノード排除手段が、G’0,jのノードのノード排除手段にユニキャスト的にメンバ鍵でx1を暗号化して送信することを特徴とする暗号鍵更新方法。
【請求項16】
請求項15に記載の暗号鍵更新方法において、サーバがノードnを位数1のグループGi,jから排除するとき、i=0かつj=1すなわち排除ノードnがグループヘッドである場合に、サーバに備える主ノード排除手段は、k’0,1,k’0,jをそれぞれn’,nに送信するために、n’,nにユニキャスト的にk’0,1,k’0,jをノード鍵で暗号化して送信することを特徴とする暗号鍵更新方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−41309(P2013−41309A)
【公開日】平成25年2月28日(2013.2.28)
【国際特許分類】
【出願番号】特願2012−257932(P2012−257932)
【出願日】平成24年11月26日(2012.11.26)
【分割の表示】特願2007−170814(P2007−170814)の分割
【原出願日】平成19年6月28日(2007.6.28)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年2月28日(2013.2.28)
【国際特許分類】
【出願日】平成24年11月26日(2012.11.26)
【分割の表示】特願2007−170814(P2007−170814)の分割
【原出願日】平成19年6月28日(2007.6.28)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]