識別子に基づく鍵交換装置
【課題】二つの鍵交換装置が、互いに通信して同一の鍵を共有し、通信する相手装置の識別子に基づき互いに認証可能な、鍵交換装置を提供する。
【解決手段】開示される識別子に基づく鍵交換装置は、鍵交換装置200が、システムパラメター201,システム公開鍵202,自己識別子203及び自己秘密鍵204を含むメッセージが入力されたとき長期記憶装置205に保存し、鍵交換開始命令206と相手識別子207が入力されたとき、乱数208を取り込んで暫定鍵210を生成し、暫定識別子212を暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを内部状態装置213に保存し、暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信することによって、二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されている。
【解決手段】開示される識別子に基づく鍵交換装置は、鍵交換装置200が、システムパラメター201,システム公開鍵202,自己識別子203及び自己秘密鍵204を含むメッセージが入力されたとき長期記憶装置205に保存し、鍵交換開始命令206と相手識別子207が入力されたとき、乱数208を取り込んで暫定鍵210を生成し、暫定識別子212を暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを内部状態装置213に保存し、暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信することによって、二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有するシステムであって、両装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能な、認証付き鍵交換装置に関する。
【背景技術】
【0002】
鍵交換方式には、二つの装置が参加して、これら両装置が互いに通信することによって、同一の鍵を共有する方式がある。特に、各装置が自装置であることの認証を受ける手段を備えていて、これによって鍵を交換した相手の装置を認証する方式を、認証付き鍵交換方式と呼んでいる。
【0003】
図5は、従来の認証付き鍵交換方式の例として、非特許文献1に記載された、否認可能認証付き鍵交換方式の構成を示したものである。以下、図5に基づいて従来の認証付き鍵交換方式の概略を説明する。なお以下の説明は、上記非特許文献1の内容を要約して示したものである。
【0004】
図5に示すように、鍵交換を行う二つの装置500は、自装置の秘密鍵501と相手装置の公開鍵503と乱数513が入力される鍵交換装置A507と、自装置の秘密鍵504と相手装置の公開鍵502と乱数514が入力される鍵交換装置B508とからなっている。
ここで、鍵交換装置A507に入力される自装置の秘密鍵501をskA 、相手装置B508の公開鍵503を spkB 、乱数513を rA と呼び、鍵交換装置B508に入力される自装置の秘密鍵504をskB 、相手装置A507の公開鍵502を spkA 、乱数514を rB と呼ぶものとする。
【0005】
鍵交換装置A507,鍵交換装置B508は、公開鍵暗号方式の暗号化装置と復号装置を内蔵しており、上述の鍵 skA,spkB 等は、二つの鍵交換装置500が対応する公開鍵暗号方式で利用される秘密鍵と公開鍵である。
鍵交換装置A507,鍵交換装置B508は、この他に、認証装置と疑似乱数発生装置をそれぞれ内蔵している。
【0006】
いま、p を素数とし、g を (Z/pZ) * の素数位数q の部分群の生成元とする。ここで、p,q は十分に大きいものとする。
装置500においては、最初に鍵交換装置A507が通信を開始するものとするが、この仮定は一般性を否定するものはない。
【0007】
鍵交換装置A507は、 x∈Z/qZ 及び認証装置の鍵 kA を無作為に選ぶ。鍵交換装置A507は hA = gx と、認証装置の鍵 kA の公開鍵 pkB による暗号文として cA を生成して、図5において515で示すように、鍵交換装置B508へ送信する。
【0008】
鍵交換装置B508は、 y∈Z/qZ 及び認証装置の鍵 kB を無作為に選ぶ。鍵交換装置B508は hB = gy と、認証装置の鍵 kB の公開鍵 pkA による暗号文として cB を生成する。
次に、暗号文 cA を公開鍵 pkB を用いて復号して、結果としてkA’を得たとする。
次に、hA,hB に対する認証コード tB を、kA’を用いて生成する。
最後に、図5において516で示すように、鍵交換装置B508から hB,cB,tB を鍵交換装置A507へ送信する。
【0009】
鍵交換装置A507は認証装置の鍵 kA を用いて、hA,hB に対する認証コード tB を検証する。検証結果が正しくないときは、ここで動作を停止する。
【0010】
その他の場合は、暗号文 cB を認証装置の鍵 kA を用いて復号し、その結果を kB'とする。
次に、hA,hB に対する認証コード tA を kB'を用いて生成する。
次に、hBX から、認証装置の鍵として kA を用いて、疑似乱数生成装置によって疑似乱数 qA を生成する。
次に、hBX から、認証装置の鍵として kB' を用いて、疑似乱数生成装置によって疑似乱数 qB'を生成する。
【0011】
交換結果である鍵510を、疑似乱数 qA と疑似乱数 qB'のビットごとの排他的論理和として出力する。
最後に、認証コード tA を517で示すように、鍵交換装置A507から鍵交換装置B508へ送信する。
【0012】
鍵交換装置B508は認証装置の鍵 kB を用いて、hA,hB に対する認証コード tA を検証する。検証結果が正しくないときは、ここで動作を停止する。
【0013】
次に、hAy から、認証装置の鍵として kA' を用いて、疑似乱数生成装置によって疑似乱数 qA'を生成する。
次に、hAy から、認証装置の鍵として kB を用いて、疑似乱数生成装置によって疑似乱数 qB を生成する。
最後に、交換結果である鍵511を、疑似乱数 qA'と疑似乱数 qB のビットごとの排他的論理和として出力する。
【0014】
鍵交換装置A507は、鍵交換装置B508と通信を行った結果得られた知識を、履歴509として出力する可能性がある。
【0015】
これに対して、1回目の鍵交換は、Diffie−Hellmanの鍵交換方式において必要なすべてのパラメータの生成、および、そのうち公開情報の共有処理を行った上で、鍵交換処理を行い、2回目以降の鍵交換においては、既に共有されている秘密情報を、新たな鍵交換における公開情報の一つとして使用し、このパラメータの生成および共有処理は行わずに、鍵交換処理を行うようにする。2回目以降の鍵交換処理時に、共有すべき公開情報の一部を生成する必要がないため、鍵交換処理において任意数発生の処理が省略でき、また、通知すべきパラメータが少なくなるため、共有すべき公開情報を含むパケットのサイズが小さくなり、ひいては通信量を少なくすることができ、通信路に公開情報を送信する必要をなくすことが可能な、共通鍵暗号方式を用いた秘密通信を行うための通信量が少なく、効率的で安全な鍵交換方法を提供する、共通鍵交換方法が知られている(特許文献1参照)。
【0016】
特許文献1記載の技術によれば、鍵交換処理時に必要な通信量を少なくすることができる旨が記載されている(〔0057〕)。
【0017】
また、デジタルTV装置およびHDDレコーダは、DTCP−IP対応機器であり、著作権保護されたコンテンツをIPネットワーク経由で送受信する。デジタルTV装置は、HDDレコーダとの間の認証鍵交換処理を開始する際、当該認証鍵交換処理用に最初に送信するTCPパケットのTTL値をDTCP−IPでの許容数に設定し、このTCPパケットに対する応答がなかった場合、IPネットワークの構成上の不具合を警告するメッセージを表示する。一方、HDDレコーダは、この認証鍵交換処理時、デジタルTV装置との間のRTT値を計測し、その計測値がDTCP−IPでの許容値を超えていた場合、IPネットワークのパフォーマンス上の不具合を警告するメッセージを表示することによって、ユーザに対する報知を適切に行うことを実現した、通信装置、デジタルテレビジョン装置および通信装置の報知方法が知られている(特許文献2参照)。
【0018】
特許文献2記載の技術によれば、互いに相手を認証しあうための認証鍵を送受信する認証鍵交換処理を行えるようになる旨が記載されている(〔0008〕)。
【0019】
また、少なくとも秘密鍵x(ただし、xは0からp−1の整数)と公開鍵g1、g2、w、u、v(ただし、w=g2x 、uとvはG2 の元)を生成し、文書mを取得する。次に、乱数r、sを生成し、
σ={g1m φ(u)φ(v)s }1/(x+r)
を計算し、署名(σ、r、s)と文書mとを署名検証装置に送信する。署名検証装置では、署名(σ、r、s)と文書mを受信し、署名生成装置の公開鍵g1、g2、w、u、vを取得する。次に、
e(σ,wg2r )=e(g1,g2m uvs )
が成り立つことを確認し、真の場合には署名は有効、偽の場合には署名は無効と判断することによって、ハッシュ関数を使わない署名方式であり、かつ他のタイプの署名(グループ署名やブラインド署名など)に利用できる署名方式を提供する、デジタル署名方法、デジタル署名生成方法、デジタル署名検証方法、それらの方法を用いたシステム、装置、プログラム、および記録媒体が知られている(特許文献3参照)。
【0020】
特許文献3記載の技術によれば、双線形写像の群演算を効率的に計算できる旨が記載されている(〔0009〕,〔0010〕)。
【0021】
また、動的に変化するネットワークアドレスと完全修飾ドメイン名とを対応づけて管理するサーバと、相互間で暗号化通信を行う複数のネットワーク端末とを備え、各ネットワーク端末は、自らのネットワークアドレスをサーバに登録し、暗号化通信を行う相手先のネットワークアドレスをDDNSサーバに問い合わせ、相手先のネットワークアドレスを得られなかったときは、鍵交換待ち状態に入り、相手先のネットワークアドレスを得られたときは、相手先に対して鍵交換通信を開始、もしくは鍵交換通信に先立つ通知を行うことによって、動的にIPアドレスが変化し、いずれが先にネットワークに接続するか分からない二つのネットワーク端末間で確実に鍵交換を行うことができるようにする、ネットワークシステムおよび鍵交換方法が知られている(特許文献4参照)。
【0022】
特許文献4記載の技術によれば、鍵交換を行う二つのネットワーク端末が、いずれもネットワークアドレスが動的に変わる環境にあっても確実に二つの端末間で鍵情報を交換することを可能にする旨が記載されている(〔0011〕)。
【0023】
また、暗号システムにおける秘密鍵が、秘密鍵を明かすことなく入れ替えられ得る方法及び/又はシステムにおける、1つの実施形態は、第1のプライベート鍵と対応する第1の公開鍵を創出すること、を具備する。第1のプライベート鍵に関係付けられた第2のプライベート鍵および第2のプライベート鍵に対応する第2の公開鍵もまた創出される。第2のプライベート鍵は、それが再創出されることが可能であるように一回アウトプットされ、そして、第2の公開鍵は、第1の公開鍵をアウトプットする時にアウトプットされる。第1のプライベート鍵は、認証のために使用される。本方法は、第2のプライベート鍵を再創出すること、及び第2のプライベート鍵を認証のために使用することを、さらに具備する。別の1つの実施形態は、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出すること、公開鍵をアウトプットする時にシステムパラメータをアウトプットすること、及び、プライベート鍵を認証のために使用すること、を具備する。本方法は、更に、以前のプライベート鍵とシステムパラメータを利用して新しいプライベート鍵を創出すること、を具備する。このような、暗号鍵を入れ替えるためのシステム、装置および方法が知られている(特許文献5参照)。
【0024】
特許文献5記載の技術によれば、公開暗号システムにおける認証のための方法として、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出する旨が記載されている(〔0011〕)。
【非特許文献1】Mario Di Raimond,Rosario Gennaro,Hugo Krawczyk: Deniable Authentication and Key Exachange. 13-th ACM Conference on Computear and Communication Security.
【特許文献1】特開2000−278258号公報
【特許文献2】特開2007−067905号公報
【特許文献3】特開2007−088906号公報
【特許文献4】特開2007−208683号公報
【特許文献5】特表2006−513641号公報
【発明の開示】
【発明が解決しようとする課題】
【0025】
非特許文献1に記載された従来の認証付き鍵交換方式における第一の問題点は、装置A と装置B との間で3回の通信が発生しているということである。通信が多数回発生すると、各装置は相手装置が返信するのを待たなければならなくなり、実行速度が低下するので、通信回数が少ない方が好ましい。
【0026】
第2の問題点は、各装置が暗号化装置、復号装置を備えている点と、この暗号化装置で生成された暗号文を送信する必要があるということである。暗号化装置は、重い計算を行わねばならず、これによって鍵交換の実行速度を低下させるという問題を生じるとともに、暗号文のデータ量が大きいため、装置間の通信量を増大させるという問題を引き起こす。
【0027】
第3の問題点は、各装置は、鍵を交換する相手装置の公開鍵を予め入手する必要があるということである。もしも相手装置の公開鍵を持っていなければ、各装置はさらに通信を行う必要が生じる。特に、最初に通信を開始する装置A は、装置B から公開鍵 pkB を最初に受信することが必要になるため、少なくとも4回の通信が必要となる。
【課題を解決するための手段】
【0028】
上記課題を解決するため、この発明は識別子に基づく鍵交換装置に係り、互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを上記長期記憶領域に保存する機能を備えた記憶手段と、鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を上記乱数から生成し、暫定識別子を上記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを上記内部状態に保存して、上記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、上記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴としている。
【発明の効果】
【0029】
この発明の識別子に基づく鍵交換装置によれば、鍵交換装置を二つ走らせることによって、互いに認証しあった鍵を交換することができる。
【発明を実施するための最良の形態】
【0030】
以下、本発明を実施するための最良の形態について、図面を参照しながら詳細に説明する。
【実施形態】
【0031】
図1は、この発明の実施形態における、鍵交換装置が利用する秘密鍵発行装置の構成を示す図、図2は、この発明の実施形態における、鍵交換装置の起動時に関わる構成を示す図、図3は、この発明の実施形態における、鍵交換装置の鍵交換開始時に関わる構成を示す図、図4は、この発明の実施形態における、鍵交換装置の交換鍵の生成に関わる構成を示す図である。
【0032】
以下、図1〜図4を用いて説明する。最初に、この発明の全体構成を説明する。なお、以下の説明において、鍵交換装置、暫定識別子生成装置、秘密鍵発行装置等は、コンピュータのハードウェアによって構成されているものとする。
いま、q を素数、G, G' を位数q の乗法的巡回群、e を Gの二つの要素をG'の要素に写す双線形写像とする。なおe が双線形であるとは、G の任意の要素 u,vと Z/qZ の任意の要素 a,bに対して、e( ua ,vb ) =(u ,v)abが成り立つことである。
g をG の生成元とする。Hashをハッシュ関数とする。鍵交換装置は、群G,G'における双線形写像 e, 群演算装置 Z/qZ の体演算の装置およびハッシュ関数の演算装置が備わっているものとする。また生成元g を保持しているとする。
【0033】
なお、Hash をその値域がZ/qZ、Hash' をその値域がG であるハッシュ関数、Hash''をその値域が交換鍵の空間であるハッシュ関数とする。φ は、対応するデータが空であることを表す。 "開始" のように引用記号で括られる単語は、文字列データとして扱われる。(q,G,G',e,g,Hash,Hash',Hash'')をシステムパラメターと呼ぶ。
【0034】
鍵交換装置以外に、秘密鍵発行装置100がある。この装置は全ての鍵交換装置が作動する前に、一回だけ次の動作を行う。システムパラメター101と乱数102が入力され、これよりシステム秘密鍵生成装置103がシステム秘密鍵104 s∈Z/qZをランダムに生成する。次にシステム公開鍵生成装置105がシステム公開鍵106として z= gs を生成し、これを公開する。この操作の後、識別子107idに対する鍵発行の依頼があったならば、秘密鍵生成装置108が, yid= Hash'(id,z)を計算し、さらに xid=yids を計算する。xidを識別子 id の秘密鍵209として返送するとする。
【0035】
交換結果である効果鍵は、図示されない読み出し装置により読み込まれ、外部のアプリケーションにより利用される。
【0036】
起動時には、鍵交換装置200は、システムパラメター201(q,G,G',e,g,Hash,Hash',Hash'')、システム公開鍵202 z、自己識別子203 Aと、秘密鍵発行装置100が、自己識別子203が識別子107として入力されたときに生成した秘密鍵109である自己秘密鍵204 xA が入力されて起動されると、 yA =Hash'(A,z)を生成して、(q,G,G',e,g,Hash,Hash',Hash''), z, A, yA , xA を長期記憶装置205に保存して、命令待ち状態に入る。
【0037】
命令待ち状態の鍵交換装置200が、鍵交換開始命令206,相手識別子B 207を入力された場合、次のように動作する。
【0038】
1.乱数208を取り込む。
2.暫定鍵生成装置209は、暫定鍵210r ∈Z/qZを、乱数208から生成する。
3.暫定識別子生成装置211は、暫定識別子212 hA = gr を生成する。
4.内部状態装置213に(A,B,hA,r)を保存する。
5.メッセージ214(A,B,hA ) を識別子B を持つ鍵交換装置に送信する。
6.命令待ち状態に入る。
【0039】
命令待ち状態の鍵交換装置が、鍵交換続行命令215,メッセージ216(B',A , hB')を入力された場合、次のように動作する。ただし、A は長期記憶装置205に保存されている自己識別子203でなければならない。
ここで、メッセージ216は相手の鍵交換装置が生成したもの、B'は相手の自己識別子217、A は相手から見た相手識別子218、すなわち自己識別子203、 hB'は相手の暫定識別子219である。
【0040】
1.データ (h'A ,B',r') が内部状態装置213に存在すれば次の処理へ進む。
2.第一ハッシュ装置220は第一ハッシュ値221 u=Hash( h'A, B' )、第二ハッシュ装置222は第二ハッシュ値223 v=Hash ( hB',A ) 、第三ハッシュ装置224は第三ハッシュ値225 yB'= Hash'(B',z)を生成する。
3.第一要素生成装置226はペアリング第一要素227p1= zr xAu を生成し、第一要素生成装置228はペアリング第一要素229p2= hB' yB'v を生成する。
ペアリング- ハッシュ装置230は交換鍵231 K=Hash''( e(p1,p2)) を生成する。
4.k を交換鍵231として出力する。
【0041】
以上説明した鍵交換装置を二つ走らせると、互いに認証しあった鍵を交換することができる。このことは、次のようにして確認することができる。
鍵交換装置200において、鍵交換装置A は、システムパラメター(q,G,G',e,g, Hash,Hash',Hash''),システム公開鍵 z, 自己識別子 A,自己秘密鍵xAが入力されて起動され、yA=Hash'(A,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, A, yA,xAを長期記憶装置205に保存して、命令待ち状態に入る。
【0042】
鍵交換装置B は、システムパラメター(q,G,G',e,g,Hash,Hash',Hash''), システム公開鍵 z, 自己識別子 B, 自己秘密鍵xBが入力されて起動され、yB=Hash'(B,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, B, yB,xBを長期記憶装置205に保存して、命令待ち状態に入る。
【0043】
命令待ち状態の鍵交換装置A が、鍵交換開始命令, 相手識別子B を入力されて、
1.乱数を取り込み、
2. r∈Z/qZを乱数から生成し、
3. hA = gr を生成し、
4.内部状態に(A,B,hA,r)を保存し、
5.メッセージ (A,B,hA) を識別子B を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
【0044】
命令待ち状態の鍵交換装置B が、鍵交換開始命令, 相手識別子A を入力されて、
1.乱数を取り込み、
2. t∈Z/qZを乱数から生成し、
3. hB = gt を生成し、
4.内部状態に(B,A,hB,t)を保存し、
5.メッセージ (B,A,hB) を識別子A を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
【0045】
命令待ち状態の鍵交換装置A が、鍵交換続行命令, メッセージ (B,A,hB) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yB = Hash'(B,z) を生成し、
2. K= Hash''( e(zr xAu ,hB yBv )) を生成して、
3. Kを交換鍵として出力する。
【0046】
命令待ち状態の鍵交換装置B が、鍵交換続行命令, メッセージ (A,B,hA) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yA =Hash'(A,z)を生成し、
2. K' =Hash''( e( zt xBv ,hA yAu )) を生成して、
3. K' を交換鍵として出力する。
【0047】
ここで、交換鍵K と交換鍵K'が等しいことを示す。これは、
e( zr xAu ,hB yBv ) = e(zt xBv ,hA yAu ) を言えればよいが、実際に、
e( zr xAu ,hB yBv )
= e(gsryAsu,gt yBv )
= e(gr yAu ,gstyBsv)
= e(hA yAu ,zt xBv )
= e(zt xBv ,hA yAu )
である。
【0048】
以上に示した通り、鍵交換装置A と鍵交換装置B は同じ鍵を交換することに成功する。また、両者は、それぞれの秘密鍵xAあるいは xB を用いなければならず、これを持たないものが両者の通信 hA,hBを見ても、交換された鍵を知ることができない。
また、秘密鍵xAを知らないものが、適当にhAを生成して鍵交換装置B に送付しても、鍵交換装置B が生成した交換鍵を知ることはできない。
【0049】
以上、この発明の実施形態を図面により詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく,この発明の要旨を逸脱しない範囲の設計の変更等があってもこの発明に含まれる。例えば、鍵交換を行う装置は、二つのみの場合に限らず、任意の複数の鍵交換装置から選択された二つの鍵交換装置であってもよい。
【産業上の利用可能性】
【0050】
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有する共通鍵方式を用いたシステムにおいて、一般的に利用可能なものである。
【図面の簡単な説明】
【0051】
【図1】本発明の実施形態における、鍵交換装置が利用する秘密鍵発行装置の構成を示す図である。
【図2】本発明の実施形態における、鍵交換装置の起動時に関わる構成を示す図である。
【図3】本発明の実施形態における、鍵交換装置の鍵交換開始時に関わる構成を示す図である。
【図4】本発明の実施形態における、鍵交換装置の交換鍵の生成に関わる構成を示す図である。
【図5】従来の認証付き鍵交換方式の例である、否認可能認証付き鍵交換方式の概略の構成を示す図である。
【符号の説明】
【0052】
100 秘密鍵発行装置
101,201 システムパラメター
102,208 乱数
103 システム秘密鍵生成装置
104 システム秘密鍵
105 システム公開鍵生成装置
106,202 システム公開鍵
107 識別子
108 秘密鍵生成装置
109 秘密鍵
200 鍵交換装置
202 システム公開鍵
203,232 自己識別子
204 自己秘密鍵
205 長期記憶装置
206 鍵交換開始命令
207 相手識別子
209 暫定鍵生成装置
210 暫定鍵
211 暫定識別子生成装置
212 暫定識別子
213 内部状態装置
214,216 メッセージ
215 鍵交換続行命令
217 (相手)自己識別子
218 (相手)相手識別子
219 (相手)暫定識別子
220 第一ハッシュ装置
221 第一ハッシュ値
222 第二ハッシュ装置
223 第二ハッシュ値
224 第三ハッシュ装置
225 第三ハッシュ値
226 第一要素生成装置
227 ペアリング第一要素
228 第二要素生成装置
229 ペアリング第二要素
230 ペアリング−ハッシュ装置
231 交換鍵
【技術分野】
【0001】
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有するシステムであって、両装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能な、認証付き鍵交換装置に関する。
【背景技術】
【0002】
鍵交換方式には、二つの装置が参加して、これら両装置が互いに通信することによって、同一の鍵を共有する方式がある。特に、各装置が自装置であることの認証を受ける手段を備えていて、これによって鍵を交換した相手の装置を認証する方式を、認証付き鍵交換方式と呼んでいる。
【0003】
図5は、従来の認証付き鍵交換方式の例として、非特許文献1に記載された、否認可能認証付き鍵交換方式の構成を示したものである。以下、図5に基づいて従来の認証付き鍵交換方式の概略を説明する。なお以下の説明は、上記非特許文献1の内容を要約して示したものである。
【0004】
図5に示すように、鍵交換を行う二つの装置500は、自装置の秘密鍵501と相手装置の公開鍵503と乱数513が入力される鍵交換装置A507と、自装置の秘密鍵504と相手装置の公開鍵502と乱数514が入力される鍵交換装置B508とからなっている。
ここで、鍵交換装置A507に入力される自装置の秘密鍵501をskA 、相手装置B508の公開鍵503を spkB 、乱数513を rA と呼び、鍵交換装置B508に入力される自装置の秘密鍵504をskB 、相手装置A507の公開鍵502を spkA 、乱数514を rB と呼ぶものとする。
【0005】
鍵交換装置A507,鍵交換装置B508は、公開鍵暗号方式の暗号化装置と復号装置を内蔵しており、上述の鍵 skA,spkB 等は、二つの鍵交換装置500が対応する公開鍵暗号方式で利用される秘密鍵と公開鍵である。
鍵交換装置A507,鍵交換装置B508は、この他に、認証装置と疑似乱数発生装置をそれぞれ内蔵している。
【0006】
いま、p を素数とし、g を (Z/pZ) * の素数位数q の部分群の生成元とする。ここで、p,q は十分に大きいものとする。
装置500においては、最初に鍵交換装置A507が通信を開始するものとするが、この仮定は一般性を否定するものはない。
【0007】
鍵交換装置A507は、 x∈Z/qZ 及び認証装置の鍵 kA を無作為に選ぶ。鍵交換装置A507は hA = gx と、認証装置の鍵 kA の公開鍵 pkB による暗号文として cA を生成して、図5において515で示すように、鍵交換装置B508へ送信する。
【0008】
鍵交換装置B508は、 y∈Z/qZ 及び認証装置の鍵 kB を無作為に選ぶ。鍵交換装置B508は hB = gy と、認証装置の鍵 kB の公開鍵 pkA による暗号文として cB を生成する。
次に、暗号文 cA を公開鍵 pkB を用いて復号して、結果としてkA’を得たとする。
次に、hA,hB に対する認証コード tB を、kA’を用いて生成する。
最後に、図5において516で示すように、鍵交換装置B508から hB,cB,tB を鍵交換装置A507へ送信する。
【0009】
鍵交換装置A507は認証装置の鍵 kA を用いて、hA,hB に対する認証コード tB を検証する。検証結果が正しくないときは、ここで動作を停止する。
【0010】
その他の場合は、暗号文 cB を認証装置の鍵 kA を用いて復号し、その結果を kB'とする。
次に、hA,hB に対する認証コード tA を kB'を用いて生成する。
次に、hBX から、認証装置の鍵として kA を用いて、疑似乱数生成装置によって疑似乱数 qA を生成する。
次に、hBX から、認証装置の鍵として kB' を用いて、疑似乱数生成装置によって疑似乱数 qB'を生成する。
【0011】
交換結果である鍵510を、疑似乱数 qA と疑似乱数 qB'のビットごとの排他的論理和として出力する。
最後に、認証コード tA を517で示すように、鍵交換装置A507から鍵交換装置B508へ送信する。
【0012】
鍵交換装置B508は認証装置の鍵 kB を用いて、hA,hB に対する認証コード tA を検証する。検証結果が正しくないときは、ここで動作を停止する。
【0013】
次に、hAy から、認証装置の鍵として kA' を用いて、疑似乱数生成装置によって疑似乱数 qA'を生成する。
次に、hAy から、認証装置の鍵として kB を用いて、疑似乱数生成装置によって疑似乱数 qB を生成する。
最後に、交換結果である鍵511を、疑似乱数 qA'と疑似乱数 qB のビットごとの排他的論理和として出力する。
【0014】
鍵交換装置A507は、鍵交換装置B508と通信を行った結果得られた知識を、履歴509として出力する可能性がある。
【0015】
これに対して、1回目の鍵交換は、Diffie−Hellmanの鍵交換方式において必要なすべてのパラメータの生成、および、そのうち公開情報の共有処理を行った上で、鍵交換処理を行い、2回目以降の鍵交換においては、既に共有されている秘密情報を、新たな鍵交換における公開情報の一つとして使用し、このパラメータの生成および共有処理は行わずに、鍵交換処理を行うようにする。2回目以降の鍵交換処理時に、共有すべき公開情報の一部を生成する必要がないため、鍵交換処理において任意数発生の処理が省略でき、また、通知すべきパラメータが少なくなるため、共有すべき公開情報を含むパケットのサイズが小さくなり、ひいては通信量を少なくすることができ、通信路に公開情報を送信する必要をなくすことが可能な、共通鍵暗号方式を用いた秘密通信を行うための通信量が少なく、効率的で安全な鍵交換方法を提供する、共通鍵交換方法が知られている(特許文献1参照)。
【0016】
特許文献1記載の技術によれば、鍵交換処理時に必要な通信量を少なくすることができる旨が記載されている(〔0057〕)。
【0017】
また、デジタルTV装置およびHDDレコーダは、DTCP−IP対応機器であり、著作権保護されたコンテンツをIPネットワーク経由で送受信する。デジタルTV装置は、HDDレコーダとの間の認証鍵交換処理を開始する際、当該認証鍵交換処理用に最初に送信するTCPパケットのTTL値をDTCP−IPでの許容数に設定し、このTCPパケットに対する応答がなかった場合、IPネットワークの構成上の不具合を警告するメッセージを表示する。一方、HDDレコーダは、この認証鍵交換処理時、デジタルTV装置との間のRTT値を計測し、その計測値がDTCP−IPでの許容値を超えていた場合、IPネットワークのパフォーマンス上の不具合を警告するメッセージを表示することによって、ユーザに対する報知を適切に行うことを実現した、通信装置、デジタルテレビジョン装置および通信装置の報知方法が知られている(特許文献2参照)。
【0018】
特許文献2記載の技術によれば、互いに相手を認証しあうための認証鍵を送受信する認証鍵交換処理を行えるようになる旨が記載されている(〔0008〕)。
【0019】
また、少なくとも秘密鍵x(ただし、xは0からp−1の整数)と公開鍵g1、g2、w、u、v(ただし、w=g2x 、uとvはG2 の元)を生成し、文書mを取得する。次に、乱数r、sを生成し、
σ={g1m φ(u)φ(v)s }1/(x+r)
を計算し、署名(σ、r、s)と文書mとを署名検証装置に送信する。署名検証装置では、署名(σ、r、s)と文書mを受信し、署名生成装置の公開鍵g1、g2、w、u、vを取得する。次に、
e(σ,wg2r )=e(g1,g2m uvs )
が成り立つことを確認し、真の場合には署名は有効、偽の場合には署名は無効と判断することによって、ハッシュ関数を使わない署名方式であり、かつ他のタイプの署名(グループ署名やブラインド署名など)に利用できる署名方式を提供する、デジタル署名方法、デジタル署名生成方法、デジタル署名検証方法、それらの方法を用いたシステム、装置、プログラム、および記録媒体が知られている(特許文献3参照)。
【0020】
特許文献3記載の技術によれば、双線形写像の群演算を効率的に計算できる旨が記載されている(〔0009〕,〔0010〕)。
【0021】
また、動的に変化するネットワークアドレスと完全修飾ドメイン名とを対応づけて管理するサーバと、相互間で暗号化通信を行う複数のネットワーク端末とを備え、各ネットワーク端末は、自らのネットワークアドレスをサーバに登録し、暗号化通信を行う相手先のネットワークアドレスをDDNSサーバに問い合わせ、相手先のネットワークアドレスを得られなかったときは、鍵交換待ち状態に入り、相手先のネットワークアドレスを得られたときは、相手先に対して鍵交換通信を開始、もしくは鍵交換通信に先立つ通知を行うことによって、動的にIPアドレスが変化し、いずれが先にネットワークに接続するか分からない二つのネットワーク端末間で確実に鍵交換を行うことができるようにする、ネットワークシステムおよび鍵交換方法が知られている(特許文献4参照)。
【0022】
特許文献4記載の技術によれば、鍵交換を行う二つのネットワーク端末が、いずれもネットワークアドレスが動的に変わる環境にあっても確実に二つの端末間で鍵情報を交換することを可能にする旨が記載されている(〔0011〕)。
【0023】
また、暗号システムにおける秘密鍵が、秘密鍵を明かすことなく入れ替えられ得る方法及び/又はシステムにおける、1つの実施形態は、第1のプライベート鍵と対応する第1の公開鍵を創出すること、を具備する。第1のプライベート鍵に関係付けられた第2のプライベート鍵および第2のプライベート鍵に対応する第2の公開鍵もまた創出される。第2のプライベート鍵は、それが再創出されることが可能であるように一回アウトプットされ、そして、第2の公開鍵は、第1の公開鍵をアウトプットする時にアウトプットされる。第1のプライベート鍵は、認証のために使用される。本方法は、第2のプライベート鍵を再創出すること、及び第2のプライベート鍵を認証のために使用することを、さらに具備する。別の1つの実施形態は、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出すること、公開鍵をアウトプットする時にシステムパラメータをアウトプットすること、及び、プライベート鍵を認証のために使用すること、を具備する。本方法は、更に、以前のプライベート鍵とシステムパラメータを利用して新しいプライベート鍵を創出すること、を具備する。このような、暗号鍵を入れ替えるためのシステム、装置および方法が知られている(特許文献5参照)。
【0024】
特許文献5記載の技術によれば、公開暗号システムにおける認証のための方法として、プライベート鍵及び対応する公開鍵を関連するシステムパラメータを用いて創出する旨が記載されている(〔0011〕)。
【非特許文献1】Mario Di Raimond,Rosario Gennaro,Hugo Krawczyk: Deniable Authentication and Key Exachange. 13-th ACM Conference on Computear and Communication Security.
【特許文献1】特開2000−278258号公報
【特許文献2】特開2007−067905号公報
【特許文献3】特開2007−088906号公報
【特許文献4】特開2007−208683号公報
【特許文献5】特表2006−513641号公報
【発明の開示】
【発明が解決しようとする課題】
【0025】
非特許文献1に記載された従来の認証付き鍵交換方式における第一の問題点は、装置A と装置B との間で3回の通信が発生しているということである。通信が多数回発生すると、各装置は相手装置が返信するのを待たなければならなくなり、実行速度が低下するので、通信回数が少ない方が好ましい。
【0026】
第2の問題点は、各装置が暗号化装置、復号装置を備えている点と、この暗号化装置で生成された暗号文を送信する必要があるということである。暗号化装置は、重い計算を行わねばならず、これによって鍵交換の実行速度を低下させるという問題を生じるとともに、暗号文のデータ量が大きいため、装置間の通信量を増大させるという問題を引き起こす。
【0027】
第3の問題点は、各装置は、鍵を交換する相手装置の公開鍵を予め入手する必要があるということである。もしも相手装置の公開鍵を持っていなければ、各装置はさらに通信を行う必要が生じる。特に、最初に通信を開始する装置A は、装置B から公開鍵 pkB を最初に受信することが必要になるため、少なくとも4回の通信が必要となる。
【課題を解決するための手段】
【0028】
上記課題を解決するため、この発明は識別子に基づく鍵交換装置に係り、互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを上記長期記憶領域に保存する機能を備えた記憶手段と、鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を上記乱数から生成し、暫定識別子を上記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを上記内部状態に保存して、上記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、上記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴としている。
【発明の効果】
【0029】
この発明の識別子に基づく鍵交換装置によれば、鍵交換装置を二つ走らせることによって、互いに認証しあった鍵を交換することができる。
【発明を実施するための最良の形態】
【0030】
以下、本発明を実施するための最良の形態について、図面を参照しながら詳細に説明する。
【実施形態】
【0031】
図1は、この発明の実施形態における、鍵交換装置が利用する秘密鍵発行装置の構成を示す図、図2は、この発明の実施形態における、鍵交換装置の起動時に関わる構成を示す図、図3は、この発明の実施形態における、鍵交換装置の鍵交換開始時に関わる構成を示す図、図4は、この発明の実施形態における、鍵交換装置の交換鍵の生成に関わる構成を示す図である。
【0032】
以下、図1〜図4を用いて説明する。最初に、この発明の全体構成を説明する。なお、以下の説明において、鍵交換装置、暫定識別子生成装置、秘密鍵発行装置等は、コンピュータのハードウェアによって構成されているものとする。
いま、q を素数、G, G' を位数q の乗法的巡回群、e を Gの二つの要素をG'の要素に写す双線形写像とする。なおe が双線形であるとは、G の任意の要素 u,vと Z/qZ の任意の要素 a,bに対して、e( ua ,vb ) =(u ,v)abが成り立つことである。
g をG の生成元とする。Hashをハッシュ関数とする。鍵交換装置は、群G,G'における双線形写像 e, 群演算装置 Z/qZ の体演算の装置およびハッシュ関数の演算装置が備わっているものとする。また生成元g を保持しているとする。
【0033】
なお、Hash をその値域がZ/qZ、Hash' をその値域がG であるハッシュ関数、Hash''をその値域が交換鍵の空間であるハッシュ関数とする。φ は、対応するデータが空であることを表す。 "開始" のように引用記号で括られる単語は、文字列データとして扱われる。(q,G,G',e,g,Hash,Hash',Hash'')をシステムパラメターと呼ぶ。
【0034】
鍵交換装置以外に、秘密鍵発行装置100がある。この装置は全ての鍵交換装置が作動する前に、一回だけ次の動作を行う。システムパラメター101と乱数102が入力され、これよりシステム秘密鍵生成装置103がシステム秘密鍵104 s∈Z/qZをランダムに生成する。次にシステム公開鍵生成装置105がシステム公開鍵106として z= gs を生成し、これを公開する。この操作の後、識別子107idに対する鍵発行の依頼があったならば、秘密鍵生成装置108が, yid= Hash'(id,z)を計算し、さらに xid=yids を計算する。xidを識別子 id の秘密鍵209として返送するとする。
【0035】
交換結果である効果鍵は、図示されない読み出し装置により読み込まれ、外部のアプリケーションにより利用される。
【0036】
起動時には、鍵交換装置200は、システムパラメター201(q,G,G',e,g,Hash,Hash',Hash'')、システム公開鍵202 z、自己識別子203 Aと、秘密鍵発行装置100が、自己識別子203が識別子107として入力されたときに生成した秘密鍵109である自己秘密鍵204 xA が入力されて起動されると、 yA =Hash'(A,z)を生成して、(q,G,G',e,g,Hash,Hash',Hash''), z, A, yA , xA を長期記憶装置205に保存して、命令待ち状態に入る。
【0037】
命令待ち状態の鍵交換装置200が、鍵交換開始命令206,相手識別子B 207を入力された場合、次のように動作する。
【0038】
1.乱数208を取り込む。
2.暫定鍵生成装置209は、暫定鍵210r ∈Z/qZを、乱数208から生成する。
3.暫定識別子生成装置211は、暫定識別子212 hA = gr を生成する。
4.内部状態装置213に(A,B,hA,r)を保存する。
5.メッセージ214(A,B,hA ) を識別子B を持つ鍵交換装置に送信する。
6.命令待ち状態に入る。
【0039】
命令待ち状態の鍵交換装置が、鍵交換続行命令215,メッセージ216(B',A , hB')を入力された場合、次のように動作する。ただし、A は長期記憶装置205に保存されている自己識別子203でなければならない。
ここで、メッセージ216は相手の鍵交換装置が生成したもの、B'は相手の自己識別子217、A は相手から見た相手識別子218、すなわち自己識別子203、 hB'は相手の暫定識別子219である。
【0040】
1.データ (h'A ,B',r') が内部状態装置213に存在すれば次の処理へ進む。
2.第一ハッシュ装置220は第一ハッシュ値221 u=Hash( h'A, B' )、第二ハッシュ装置222は第二ハッシュ値223 v=Hash ( hB',A ) 、第三ハッシュ装置224は第三ハッシュ値225 yB'= Hash'(B',z)を生成する。
3.第一要素生成装置226はペアリング第一要素227p1= zr xAu を生成し、第一要素生成装置228はペアリング第一要素229p2= hB' yB'v を生成する。
ペアリング- ハッシュ装置230は交換鍵231 K=Hash''( e(p1,p2)) を生成する。
4.k を交換鍵231として出力する。
【0041】
以上説明した鍵交換装置を二つ走らせると、互いに認証しあった鍵を交換することができる。このことは、次のようにして確認することができる。
鍵交換装置200において、鍵交換装置A は、システムパラメター(q,G,G',e,g, Hash,Hash',Hash''),システム公開鍵 z, 自己識別子 A,自己秘密鍵xAが入力されて起動され、yA=Hash'(A,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, A, yA,xAを長期記憶装置205に保存して、命令待ち状態に入る。
【0042】
鍵交換装置B は、システムパラメター(q,G,G',e,g,Hash,Hash',Hash''), システム公開鍵 z, 自己識別子 B, 自己秘密鍵xBが入力されて起動され、yB=Hash'(B,z)を生成して、( q,G,G',e,g,Hash,Hash',Hash''), z, B, yB,xBを長期記憶装置205に保存して、命令待ち状態に入る。
【0043】
命令待ち状態の鍵交換装置A が、鍵交換開始命令, 相手識別子B を入力されて、
1.乱数を取り込み、
2. r∈Z/qZを乱数から生成し、
3. hA = gr を生成し、
4.内部状態に(A,B,hA,r)を保存し、
5.メッセージ (A,B,hA) を識別子B を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
【0044】
命令待ち状態の鍵交換装置B が、鍵交換開始命令, 相手識別子A を入力されて、
1.乱数を取り込み、
2. t∈Z/qZを乱数から生成し、
3. hB = gt を生成し、
4.内部状態に(B,A,hB,t)を保存し、
5.メッセージ (B,A,hB) を識別子A を持つ鍵交換装置に送信して、
6.命令待ち状態に入る。
【0045】
命令待ち状態の鍵交換装置A が、鍵交換続行命令, メッセージ (B,A,hB) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yB = Hash'(B,z) を生成し、
2. K= Hash''( e(zr xAu ,hB yBv )) を生成して、
3. Kを交換鍵として出力する。
【0046】
命令待ち状態の鍵交換装置B が、鍵交換続行命令, メッセージ (A,B,hA) を入力されて、
1. u= Hash(hA,B), v= Hash(hB,A), yA =Hash'(A,z)を生成し、
2. K' =Hash''( e( zt xBv ,hA yAu )) を生成して、
3. K' を交換鍵として出力する。
【0047】
ここで、交換鍵K と交換鍵K'が等しいことを示す。これは、
e( zr xAu ,hB yBv ) = e(zt xBv ,hA yAu ) を言えればよいが、実際に、
e( zr xAu ,hB yBv )
= e(gsryAsu,gt yBv )
= e(gr yAu ,gstyBsv)
= e(hA yAu ,zt xBv )
= e(zt xBv ,hA yAu )
である。
【0048】
以上に示した通り、鍵交換装置A と鍵交換装置B は同じ鍵を交換することに成功する。また、両者は、それぞれの秘密鍵xAあるいは xB を用いなければならず、これを持たないものが両者の通信 hA,hBを見ても、交換された鍵を知ることができない。
また、秘密鍵xAを知らないものが、適当にhAを生成して鍵交換装置B に送付しても、鍵交換装置B が生成した交換鍵を知ることはできない。
【0049】
以上、この発明の実施形態を図面により詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく,この発明の要旨を逸脱しない範囲の設計の変更等があってもこの発明に含まれる。例えば、鍵交換を行う装置は、二つのみの場合に限らず、任意の複数の鍵交換装置から選択された二つの鍵交換装置であってもよい。
【産業上の利用可能性】
【0050】
この発明は、二つの鍵交換装置が互いに通信して同一の鍵を共有する共通鍵方式を用いたシステムにおいて、一般的に利用可能なものである。
【図面の簡単な説明】
【0051】
【図1】本発明の実施形態における、鍵交換装置が利用する秘密鍵発行装置の構成を示す図である。
【図2】本発明の実施形態における、鍵交換装置の起動時に関わる構成を示す図である。
【図3】本発明の実施形態における、鍵交換装置の鍵交換開始時に関わる構成を示す図である。
【図4】本発明の実施形態における、鍵交換装置の交換鍵の生成に関わる構成を示す図である。
【図5】従来の認証付き鍵交換方式の例である、否認可能認証付き鍵交換方式の概略の構成を示す図である。
【符号の説明】
【0052】
100 秘密鍵発行装置
101,201 システムパラメター
102,208 乱数
103 システム秘密鍵生成装置
104 システム秘密鍵
105 システム公開鍵生成装置
106,202 システム公開鍵
107 識別子
108 秘密鍵生成装置
109 秘密鍵
200 鍵交換装置
202 システム公開鍵
203,232 自己識別子
204 自己秘密鍵
205 長期記憶装置
206 鍵交換開始命令
207 相手識別子
209 暫定鍵生成装置
210 暫定鍵
211 暫定識別子生成装置
212 暫定識別子
213 内部状態装置
214,216 メッセージ
215 鍵交換続行命令
217 (相手)自己識別子
218 (相手)相手識別子
219 (相手)暫定識別子
220 第一ハッシュ装置
221 第一ハッシュ値
222 第二ハッシュ装置
223 第二ハッシュ値
224 第三ハッシュ装置
225 第三ハッシュ値
226 第一要素生成装置
227 ペアリング第一要素
228 第二要素生成装置
229 ペアリング第二要素
230 ペアリング−ハッシュ装置
231 交換鍵
【特許請求の範囲】
【請求項1】
互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。
【請求項2】
互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、二つのペアリング要素の双線形写像の像を生成し、そのハッシュ関数の像を交換鍵として出力することによって鍵交換のための通信回数を少なくしながら、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。
【請求項3】
前記各鍵交換装置が、鍵交換続行命令と相手の暫定識別子を含むメッセージが入力されたとき、暫定識別子,自己識別子,相手識別子の一部または全部を含む二種類のデータのそれぞれのハッシュ値である第一ハッシュ値と第二ハッシュ値を生成するとともに、相手識別子を含むデータのハッシュ値である第三ハッシュ値を生成することを特徴とする請求項1又は2記載の識別子に基づく鍵交換装置。
【請求項4】
前記各鍵交換装置が、システム公開鍵に暫定鍵を乗じたものと、自己秘密鍵に前記第一ハッシュ値を乗じたものとの積をペアリング第一要素とし、相手の暫定識別子と、前記第三ハッシュ値に前記第二ハッシュ値を乗じたものとの積をペアリング第二要素として生成することを特徴とする請求項3記載の識別子に基づく鍵交換装置。
【請求項5】
前記ペアリング第一要素と前記ペアリング第二要素の双線形写像を生成して、該双線形写像のハッシュ関数の像を交換鍵として出力することを特徴とする請求項4記載の識別子に基づく鍵交換装置。
【請求項1】
互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。
【請求項2】
互いに通信して同一の鍵を共有するシステムにおける二つの鍵交換装置が、
ある乗法群で双線形写像を計算する演算部位を備えた演算手段と、
長期記憶領域と内部状態を保存するための領域を設定されていて、システムパラメター,システム公開鍵,自己識別子及び自己秘密鍵が入力されたとき、これらを前記長期記憶領域に保存する機能を備えた記憶手段と、
鍵交換開始命令と相手識別子が入力されたとき、乱数を取り込んで暫定鍵を前記乱数から生成し、暫定識別子を前記暫定鍵を用いて生成して、暫定鍵,暫定識別子及び相手識別子を含むデータを前記内部状態に保存して、前記暫定識別子を含むデータを相手識別子を持つ鍵交換装置に送信する通信手段とをそれぞれ備え、
前記二つの鍵交換装置が、二つのペアリング要素の双線形写像の像を生成し、そのハッシュ関数の像を交換鍵として出力することによって鍵交換のための通信回数を少なくしながら、通信を行う相手の装置を相手の識別子に基づいて互いに認証することが可能なように構成されていることを特徴とする識別子に基づく鍵交換装置。
【請求項3】
前記各鍵交換装置が、鍵交換続行命令と相手の暫定識別子を含むメッセージが入力されたとき、暫定識別子,自己識別子,相手識別子の一部または全部を含む二種類のデータのそれぞれのハッシュ値である第一ハッシュ値と第二ハッシュ値を生成するとともに、相手識別子を含むデータのハッシュ値である第三ハッシュ値を生成することを特徴とする請求項1又は2記載の識別子に基づく鍵交換装置。
【請求項4】
前記各鍵交換装置が、システム公開鍵に暫定鍵を乗じたものと、自己秘密鍵に前記第一ハッシュ値を乗じたものとの積をペアリング第一要素とし、相手の暫定識別子と、前記第三ハッシュ値に前記第二ハッシュ値を乗じたものとの積をペアリング第二要素として生成することを特徴とする請求項3記載の識別子に基づく鍵交換装置。
【請求項5】
前記ペアリング第一要素と前記ペアリング第二要素の双線形写像を生成して、該双線形写像のハッシュ関数の像を交換鍵として出力することを特徴とする請求項4記載の識別子に基づく鍵交換装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−199325(P2011−199325A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2008−159793(P2008−159793)
【出願日】平成20年6月18日(2008.6.18)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成20年6月18日(2008.6.18)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]