鍵交換装置、鍵生成装置、鍵交換システム、鍵交換方法、プログラム
【課題】鍵交換時にアクセスポリシーを指定でき、マスタ秘密鍵とマスタ公開鍵を生成した後にも任意の属性を扱うことができる鍵交換システムを提供する。
【解決手段】本発明の鍵交換システムは、少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する。本発明の鍵交換システムは、線形秘密分散法を利用することにより、長期秘密鍵の生成を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定する。また、本発明では、属性集合とは独立なマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)を用いる。
【解決手段】本発明の鍵交換システムは、少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する。本発明の鍵交換システムは、線形秘密分散法を利用することにより、長期秘密鍵の生成を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定する。また、本発明では、属性集合とは独立なマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)を用いる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報セキュリティに関するものであり、特に、二者間でセッション鍵を共有するための鍵交換装置、鍵生成装置、鍵交換システム、鍵交換方法、プログラムに関する。
【背景技術】
【0002】
非特許文献1の述語認証鍵交換方式が従来技術として知られている。図1は、非特許文献1の鍵交換システムの構成例を示す図である。このシステムは、ネットワーク1000で接続された鍵生成手段900、鍵抽出手段800、鍵交換装置7001,…,700Q(ただし、Qは2以上の整数、AとBは1以上Q以下の異なる整数)で構成されている。以下に、このシステムを用いた鍵交換について説明する。
【0003】
[準備]
γを根付き木とし、L(γ)をγの全ての葉ノードの集合とする。葉ノードでないノードに対してcuを子ノードの数とし、葉ノードについてはcu=1として扱う。つまり、葉ノードを1つだけ持つノードと葉ノードのcuが1である。
【0004】
それぞれのノードuにはしきい値ku(1≦ku≦cu)が割り当てられる。ここで、葉ノードを1つだけ持つノードと葉ノードについてはku=cu=1となる。それぞれのノードuに対して、
index(u)∈{1,…,cw}
を割り当てる。ただし、ノードwはノードuの親ノードとし、ノードuはノードwのindex(u)番目の子ノードとする。このとき、根付き木のそれぞれのノードuにはku−out−of−cuのしきい値ゲートが割り当てられる。
【0005】
U={1,2,…,n}
を属性の全体集合とする。それぞれの葉ノードに対して
att(u)∈U
を割り当てる。すなわち、根付き木のそれぞれの葉ノードuに1つの属性が割り当てられる。(ku,index(u),att(u)) を持つ根付き木γをアクセス木と呼ぶ。
【0006】
属性集合δ⊂Uがアクセス木γを満たすことを次のように定義する。葉ノードuについて、
att(u)⊂δ
が成り立つとき、uは満たされたという。葉ノードでないノードuについて、uの満たされた子ノードの数がku以上であるとき、uは満たされたという。根ノードurが満たされたとき、属性集合δ⊂Uがアクセス木γを満たすという。
【0007】
[公開パラメータ]
pidはプロトコルIDであって、プロトコル仕様に対応した固有の識別子とする。セキュリティパラメータをκとする。pをκビット素数とし、GとGTをそれぞれ双線形ペアリング関数e:G×G→GTを効率的に計算可能なgとgTを生成元とする群とする。Hは任意長の整数をκビットの整数に変換するハッシュ関数、H’は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数とする。0以上p−1以下の整数iと0以上p−1以下の整数のある要素Sについて、Δi,S(x)を
【0008】
【数1】
【0009】
となるようなラグランジュ係数とする。
[鍵生成]
鍵生成手段900は、マスタ秘密鍵zを0以上p−1以下の整数からランダムに選定する。また、すべての属性i(ただし、i∈U)について、tiを0以上p−1以下の整数からランダムに選定する。さらに、鍵生成手段900は、群GTの元であるマスタ公開鍵Z=gT^zと{Ti=g^ti}(ただし、i∈U)を公開する。ここで、^はべき乗を示している。
【0010】
[鍵抽出]
鍵抽出手段800は、鍵交換装置700Aのアクセス木γAが入力されると、長期秘密鍵{Du}(ただし、u∈L(γA))をγAのそれぞれのノードについて多項式quを選ぶことによって次のように計算する。
【0011】
まず、鍵抽出手段800は、多項式quの次数をdu=ku−1に設定する。根ノードurについて、qu_r(0)=zとしqu_rのその他のdu_r点を0以上p−1以下の整数からランダムに選ぶ。よって、qu_rが一意に定まるため、残りcu_r−du_r点も一意に決まる。なお、qu_r、cu_r、du_rの下付きの添え字である“u_r”は、“ur”を意味している。その他のノードuについて、qu(0)=qu’(index(u))とする。ただし、u’はuの親ノードである。quのその他のdu点を0以上p−1以下の整数からランダムに選ぶ。このように全てのノードの多項式を再帰的に決定していく。次に、それぞれの葉ノードuの秘密の値を
【0012】
【数2】
【0013】
として計算する。ただし、i=att(u)である。最後に、鍵抽出手段800は、u∈L(γA)であるすべてのuについての秘密の値Duの集合(以下では、{Du}(u∈L(γA)と表記する)を長期秘密鍵として出力する。
鍵交換装置700Bのアクセス木γBに対する長期秘密鍵{Du}(u∈L(γB))も同様の手続きによって計算する。
【0014】
[鍵交換]
以下では、鍵交換装置700Aを鍵交換処理でのイニシエータ、鍵交換装置700Bをレスポンダとする。鍵交換装置700Aはアクセス木γAに対応する長期秘密鍵{Du}(u∈L(γA))を持ち、鍵交換装置700Bはアクセス木γBに対応する長期秘密鍵{Du}(u∈L(γB))を持つ。このとき、鍵交換装置700Aは属性集合δAに対応する短期公開鍵(X,{Tix})(ただし、i∈δA)を鍵交換装置700Bに送り、鍵交換装置700Bは属性集合δBに対応する短期公開鍵(Y,{Tiy})(ただし、i∈δB)を鍵交換装置700Aに送る。最後に、鍵交換装置700Aと鍵交換装置700Bは、属性集合δBがアクセス木γAを満たし、属性集合δAがアクセス木γBを満たしたとき、またはその限りにおいて、セッション鍵Kを共有できる。なお、属性集合δBがアクセス木γAを満たし、属性集合δAがアクセス木γBを満たすとは、
述語P:{0,1}L×{0,1}L→{0,1}
を用いて、それぞれP(γA,δB)=1,P(γB,δA)=1と表現する。なお、LはL(γ)に属する全葉ノードの数である。本発明の場合、Pは「属性集合がアクセス木を満たす」という命題を表す。
【0015】
つまり、鍵交換装置700Aは、属性集合δAが鍵交換装置700Bのアクセス木γBを満たすならば認証成功となることを期待して属性集合δAを設定する。また、鍵交換装置700Bは、属性集合δBが鍵交換装置700Aのアクセス木γAを満たすならば認証成功となることを期待して属性集合δBを設定する。なお、鍵交換の具体的な処理については、非特許文献1を参照されたい。
【先行技術文献】
【非特許文献】
【0016】
【非特許文献1】A.Fujioka, K.Suzuki, K.Yoneyama,”Predicate-based Authenticated Key Exchange Resilient to Ephemeral Key Leakage”, In: WISA 2010.
【発明の概要】
【発明が解決しようとする課題】
【0017】
しかしながら、従来技術は以下のような2つの課題がある。
(課題1)アクセスポリシーを鍵交換時に指定できない。
(課題2)マスタ秘密鍵とマスタ公開鍵が属性の全体集合にパラメータライズされるため、鍵生成時に属性の全体集合をあらかじめ決めておかなければならない。したがって、あらかじめ決めた属性以外の任意の属性を扱うことができない。
【0018】
本発明はこのような課題に鑑みてなされたものであり、鍵交換時にアクセスポリシーを指定でき、マスタ秘密鍵とマスタ公開鍵を生成した後にも任意の属性を扱うことができる鍵交換システムを提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明の鍵交換システムは、少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する。ここで、κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【0020】
【数3】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号とする。
【0021】
鍵交換装置αは、第1のアクセス構造決定部、第1の短期秘密鍵生成部、第1の交換情報生成部、第1の送信部、第1の受信部、第1の属性確認部、第1の秘密情報取得部、第1のセッション鍵計算部、第1の中間情報消去部を備える。鍵交換装置βは、第2のアクセス構造決定部、第2の短期秘密鍵生成部、第2の交換情報生成部、第2の送信部、第2の受信部、第2の属性確認部、第2の秘密情報取得部、第2のセッション鍵計算部、第2の中間情報消去部を備える。
【0022】
第1のアクセス構造決定部は、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する。第1の短期秘密鍵生成部は、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する。第1の交換情報生成部は、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)、
X=g^u1、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)
を計算する。第1の送信部は、(X,{U})、MA、ρAを鍵交換装置βに送信する。第1の受信部は、鍵交換装置βから、(Y,{V})、MB、ρBを受信する。第1の属性確認部は、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する。第1の秘密情報取得部は、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【0023】
【数4】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める。第1のセッション鍵計算部は、
【0024】
【数5】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。第1の中間情報消去部は、uj(1≦j≦NA)を消去する。
【0025】
第2のアクセス構造決定部は、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する。第2の短期秘密鍵生成部は、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する。
【0026】
第2の交換情報生成部は、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する。第2の送信部は、(Y,{V})、MB、ρBを鍵交換装置αに送信する。第2の受信部は、鍵交換装置αから、(X,{U})、MA、ρAを受信する。第2の属性確認部は、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する。第2の秘密情報取得部は、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【0027】
【数6】
【0028】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める。第2のセッション鍵計算部は、
【0029】
【数7】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。第2の中間情報消去部は、vj(1≦j≦NB)を消去する。
【0030】
なお、本発明の鍵交換システムは、さらに、マスタ鍵生成部と長期秘密鍵生成部とを有する鍵生成装置を備えてもよい。マスタ鍵生成部がランダムにrとzを選定し、前記マスタ鍵生成部がマスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zを生成すればよい。また、前記長期秘密鍵生成部がtA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]をランダムに選定し、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]を計算する。そして、鍵交換装置αは、鍵生成装置から長期秘密鍵としてS’A,{TA},{SA}を取得し、鍵交換装置βは、鍵生成装置から長期秘密鍵としてS’B,{TB},{SB}を取得すればよい。
【発明の効果】
【0031】
本発明の鍵交換システムによれば、線形秘密分散法を利用することにより、鍵抽出(長期秘密鍵の生成)を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定することが可能となった。このことによって、課題1を解決できる。また、本発明のマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)は、属性集合とは独立なので、属性の全体集合をあらかじめ決めておく必要がない。つまり、鍵抽出時に任意の属性に基づき長期秘密鍵を発行することができるので、課題2を解決できる。
【図面の簡単な説明】
【0032】
【図1】従来の鍵交換システムの構成例を示す図。
【図2】本発明の鍵交換システムの構成例を示す図。
【図3】本発明の鍵交換装置の機能構成例を示す図。
【図4】鍵生成装置の機能構成例を示す図。
【図5】マスタ秘密鍵とマスタ公開鍵と長期秘密鍵の生成の処理フローの例を示す図。
【図6】セッション鍵を共有する鍵交換の処理のフローの例を示す図。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
【実施例1】
【0034】
[準備]
本発明の鍵交換システムについて説明する前に、本発明を理解する上で必要な理論について説明する。本発明では、アクセスポリシーを次のようなアクセス構造として表すものとする。
【0035】
まず、{P1,P2,…,Pn,…,PN}を属性集合とする。ただし、Nは整数、nは1以上N以下の整数である。Pnは、例えば、「性別が男性である。」や「○○会社の社員である。」などの鍵生成装置の利用者(ユーザ)の属性を示している。なお、以下の説明では、「鍵生成装置の利用者の属性」を単に「鍵生成装置の属性」と表現する。アクセス構造は{P1,P2,…,PN}の空でない部分集合のべき集合Aとして表わす。すなわち、
A⊆2^{P1,P2,…,PN}\{φ}
ただし、“^”はべき乗を示す記号、“φ”は空集合を示す記号、“\{φ}”は空集合を除くことを示す記号
に属する集合を許可集合、属さない集合を不許可集合とよぶ。本発明では、上記のアクセス構造に基づきアクセスコントロールを行うために次のように線形秘密分散法を用いる。
【0036】
各属性集合に対応するシェア情報は0以上p−1以下の整数の集合ZP上のベクトルとして表される。シェア情報を生成する行列としてL行N列のシェア情報生成行列Mを次のように用意する。i=1,…,Lについて、属性ラベリング関数ρを用いてシェア情報生成行列Mのi行目を属性ρ(i)に対応させる。属性ラベリング関数ρは、iを特定すると属性ρ(i)が決まる関数である。また、「属性ρ(i)に対応させる」とは、例えば、属性ρ(1)がP1∧P2∧P3であれば、1,1,1,0,0,…,0のようにシェア情報生成行列Mの1行目を設定し、属性ρ(2)がP1∧PNであれば、1,0,0,…,0,1のようにシェア情報生成行列Mの2行目を設定するように、属性ρ(i)と対応させてi行目を決めることである。なお、上記の例では、アンド条件に含まれる属性Pnに対応する要素を“1”とし、含まれない属性Pnに対応する要素を“0”としたが、これに限る必要はない。異なる条件に対応する行が同じ行にならないように対応付けされていればよいので、属性ラベリング関数ρは単射性を有する範囲で他の対応でもよい。
【0037】
次に、0以上p−1以下の整数sを秘密情報とし、0以上p−1以下の整数からr2,…,rNをランダムに選び、列ベクトルv=(s,r2,…,rN)Tを生成する。ただし、Tは転置を示す記号である。この時、Mvは秘密情報sのL個のシェア情報のベクトルとなる。属性集合ρ(i)にシェア情報(Mv)iを割り当てる。ただし、(Mv)iはベクトルMvのi番目の成分を示している。
【0038】
このようにシェア情報生成行列Mと秘密情報sを含む列ベクトルvを用いると、線形秘密分散法の線形復元性を利用できる。ここで、線形復元性について説明する。あるアクセス構造Aを考え、集合SをS∈Aの任意の許可集合とし、I⊂{1,2,…,L}をI={i:ρ(i)∈S}と定義する。このとき、{λi}がsの正しいシェア情報の集合の場合、
【0039】
【数8】
【0040】
となるような0以上p−1以下の整数の集合{wi}が存在する。このような集合{wi}はMのサイズの多項式時間で見つけられることが知られている。一方、{λi}がsの正しいシェア情報の集合でない場合、集合{wi}のすべての要素を求めることができない。本発明では、上述のようにシェア情報生成行列Mと秘密情報sを含む列ベクトルvを用いることで、線形秘密分散法の線形復元性を利用してセッション鍵を交換する。
【0041】
[構成]
図2に本発明の鍵交換システムの構成例を示す。本発明の鍵交換システムは、ネットワーク1000を介して接続された鍵交換装置1001,…,100Q(ただし、Qは2以上の整数、qは1以上Q以下の整数、AとBは1以上Q以下の異なる整数)、鍵生成装置300で構成される。図3に本発明の鍵交換装置の機能構成例、図4に鍵生成装置の機能構成例を示す。鍵交換装置100qは、アクセス構造決定部110q、短期秘密鍵生成部120q、交換情報生成部130q、送信部140q、受信部145q、属性確認部150q、秘密情報取得部160q、セッション鍵計算部170q、中間情報消去部180q、記録部190qを備える。また、鍵生成装置300は、マスタ鍵生成部310、長期秘密鍵生成部320、記録部390を備える。以下の説明では、鍵交換装置100A(鍵交換装置αに相当)がイニシエータとして機能し、鍵交換装置100B(鍵交換装置βに相当)がレスポンダとして機能してセッション鍵を共有する場合について説明する。
【0042】
なお、κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置100Aの属性を示す属性要素Pnの組み合わせの集合、属性集合SBは鍵交換装置100Bの属性を示す属性要素Pnの組み合わせの集合、NMAXはあらかじめ定めた整数、jとnは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合である。
【0043】
[鍵生成、鍵抽出]
図5に、マスタ秘密鍵とマスタ公開鍵と長期秘密鍵の生成の処理フローの例を示す。なお、長期秘密鍵生成の処理が従来技術の鍵抽出に相当する。鍵生成装置300のマスタ鍵生成部310は、0以上p−1以下の整数からランダムにrとzを選定する。そして、マスタ公開鍵を(g,g^r,gT^z)、マスタ秘密鍵をg^zとして記録部390に記録し、マスタ公開鍵(g,g^r,gT^z)を公開する(S310)。鍵交換装置100Aと鍵交換装置100Bは、それぞれマスタ公開鍵を(g,g^r,gT^z)を受信し、記録部190Aと記録部190Bに記録する。
【0044】
長期秘密鍵生成部320は、0以上p−1以下の整数からランダムにtA[1],…,tA[NMAX]を選び、S’A=g^z・g^(rtA[1])を計算し、1以上NMAX以下のjについてTA[j]=g^tA[1]を計算し、属性集合SAの要素kAについて
【0045】
【数9】
【0046】
を計算し、長期秘密鍵として(S’A,{TA},{SA})を鍵交換装置100Aに送信する(S320A)。鍵交換装置100Aは、長期秘密鍵(S’A,{TA},{SA})を受信し、記録部190Aに記録する(S192A)。
【0047】
さらに、長期秘密鍵生成部320は、0以上p−1以下の整数からランダムにtB[1],…,tB[NMAX]を選び、S’B=g^z・g^(rtB[1])を計算し、1以上NMAX以下のjについてTB[j]=g^tB[1]を計算し、属性集合SBの要素kBについて
【0048】
【数10】
【0049】
を計算し、長期秘密鍵として(S’B,{TB},{SB})を鍵交換装置100Bに送信する(S320B)。鍵交換装置100Bは、長期秘密鍵(S’B,{TB},{SB})を受信し、記録部190Bに記録する(S192B)。
【0050】
なお、あらかじめ鍵交換装置100Aの記録部190Aにマスタ公開鍵(g,g^r,gT^z)と長期秘密鍵(S’A,{TA},{SA})とを記録させ、鍵交換装置100Bの記録部190Bにマスタ公開鍵(g,g^r,gT^z)と長期秘密鍵(S’B,{TB},{SB})とを記録させておけば、ネットワーク1000を介して接続された鍵交換装置100Aと鍵交換装置100Bだけで最低限の鍵交換システムが構成できる。
【0051】
[鍵交換]
図6にセッション鍵を共有する鍵交換の処理のフローの例を示す。この例は、鍵交換装置100A(鍵交換装置αに相当)がイニシエータとして機能し、鍵交換装置100B(鍵交換装置βに相当)がレスポンダとして機能する場合を示している。
【0052】
鍵交換装置100Aは、アクセス構造決定部110A(第1のアクセス構造決定部)、短期秘密鍵生成部120A(第1の短期秘密鍵生成部)、交換情報生成部130A(第1の交換情報生成部)、送信部140A(第1の送信部)、受信部145A(第1の受信部)、属性確認部150A(第1の属性確認部)、秘密情報取得部160A(第1の秘密情報取得部)、セッション鍵計算部170A(第1のセッション鍵計算部)、中間情報消去部180A(第1の中間情報消去部)を備える。鍵交換装置100Bは、アクセス構造決定部110B(第2のアクセス構造決定部)、短期秘密鍵生成部120B(第2の短期秘密鍵生成部)、交換情報生成部130B(第2の交換情報生成部)、送信部140B(第2の送信部)、受信部145B(第2の受信部)、属性確認部150B(第2の属性確認部)、秘密情報取得部160B(第2の秘密情報取得部)、セッション鍵計算部170B(第2のセッション鍵計算部)、中間情報消去部180B(第2の中間情報消去部)を備える。
【0053】
アクセス構造決定部110Aは、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する(S110A)。短期秘密鍵生成部120Aは、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する(S120A)。交換情報生成部130Aは、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)、
X=g^u1、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)
を計算する(130A)。送信部140Aは、(X,{U})、MA、ρAを鍵交換装置100Bに送信する(S140A)。中間情報消去部180Aは、uj(1≦j≦NA)を消去する(S180A)。
【0054】
受信部145Bは、鍵交換装置100Aから、(X,{U})、MA、ρAを受信する(S145B)。属性確認部150Bは、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する(S150B)。
【0055】
アクセス構造決定部110Bは、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する(S110B)。短期秘密鍵生成部120Bは、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する(S120B)。交換情報生成部130Bは、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)、
Y=g^v1、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)
を計算する(S130B)。送信部140Bは、(Y,{V})、MB、ρBを鍵交換装置100Aに送信する(S140B)。
【0056】
秘密情報取得部160Bは、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置100Aが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【0057】
【数11】
【0058】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める(S160B)。セッション鍵計算部170Bは、
【0059】
【数12】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める(S170B)。中間情報消去部180Bは、vj(1≦j≦NB)を消去する(S180B)。
【0060】
受信部145Aは、鍵交換装置100Bから、(Y,{V})、MB、ρBを受信する(S145A)。属性確認部150Aは、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する(S150A)。秘密情報取得部160Aは、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置100Bが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【0061】
【数13】
【0062】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める(S160A)。セッション鍵計算部170Aは、
【0063】
【数14】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。
【0064】
最後に鍵交換装置100Aと鍵交換装置100Bが取得したセッション鍵Kが等しいことを説明する。
【0065】
【数15】
【0066】
【数16】
σ3=X^v1=Y^u1=g^u1v1
よって、正しくセッション鍵を共有できる。
【0067】
本発明の鍵交換システムによれば、線形秘密分散法を利用することにより、鍵抽出(長期秘密鍵の生成)を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定することが可能となる。このことによって、課題1を解決できる。また、本発明のマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)は、属性集合とは独立なので、属性の全体集合をあらかじめ決めておく必要がない。つまり、鍵抽出時に任意の属性に基づき長期秘密鍵を発行することができるので、課題2を解決できる。
【0068】
さらに、従来技術と本発明との違いを属性集合とアクセスポリシーの観点から説明する。従来技術では、マスタ秘密鍵、マスタ公開鍵を生成する際には、属性の全体集合に対応したマスタ秘密鍵、マスタ公開鍵を生成する。長期秘密鍵を生成する際には、鍵交換装置(の使用者)がアクセスできるポリシーを決定する。そして、鍵交換のときに、属性集合を指定する。一方、本発明では、マスタ秘密鍵、マスタ公開鍵を生成する際には、属性集合とは独立にマスタ秘密鍵、マスタ公開鍵を生成する。長期秘密鍵を生成する際には、鍵交換装置(の使用者)が持っている属性に応じて、長期秘密鍵を生成する。そして、鍵交換のときに、アクセスポリシーを指定する。このように、本発明は、従来とは異なるアクセスコントロールの考え方を採用し、この考え方を実現できるセッション鍵を共有する技術を創作したものである。
【0069】
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
【0070】
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
【0071】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0072】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0073】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0074】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【産業上の利用可能性】
【0075】
本発明は、二者間でセッション鍵を共有した暗号通信に利用することができる。
【符号の説明】
【0076】
100q、700 鍵交換装置 110q アクセス構造決定部
120q 短期秘密鍵生成部 130q 交換情報生成部
140q 送信部 145q 受信部
150q 属性確認部 160q 秘密情報取得部
170q セッション鍵計算部 180q 中間情報消去部
190q、390 記録部 300 鍵生成装置
310 マスタ鍵生成部 320 長期秘密鍵生成部
800 鍵抽出手段 900 鍵生成手段
1000 ネットワーク
【技術分野】
【0001】
本発明は情報セキュリティに関するものであり、特に、二者間でセッション鍵を共有するための鍵交換装置、鍵生成装置、鍵交換システム、鍵交換方法、プログラムに関する。
【背景技術】
【0002】
非特許文献1の述語認証鍵交換方式が従来技術として知られている。図1は、非特許文献1の鍵交換システムの構成例を示す図である。このシステムは、ネットワーク1000で接続された鍵生成手段900、鍵抽出手段800、鍵交換装置7001,…,700Q(ただし、Qは2以上の整数、AとBは1以上Q以下の異なる整数)で構成されている。以下に、このシステムを用いた鍵交換について説明する。
【0003】
[準備]
γを根付き木とし、L(γ)をγの全ての葉ノードの集合とする。葉ノードでないノードに対してcuを子ノードの数とし、葉ノードについてはcu=1として扱う。つまり、葉ノードを1つだけ持つノードと葉ノードのcuが1である。
【0004】
それぞれのノードuにはしきい値ku(1≦ku≦cu)が割り当てられる。ここで、葉ノードを1つだけ持つノードと葉ノードについてはku=cu=1となる。それぞれのノードuに対して、
index(u)∈{1,…,cw}
を割り当てる。ただし、ノードwはノードuの親ノードとし、ノードuはノードwのindex(u)番目の子ノードとする。このとき、根付き木のそれぞれのノードuにはku−out−of−cuのしきい値ゲートが割り当てられる。
【0005】
U={1,2,…,n}
を属性の全体集合とする。それぞれの葉ノードに対して
att(u)∈U
を割り当てる。すなわち、根付き木のそれぞれの葉ノードuに1つの属性が割り当てられる。(ku,index(u),att(u)) を持つ根付き木γをアクセス木と呼ぶ。
【0006】
属性集合δ⊂Uがアクセス木γを満たすことを次のように定義する。葉ノードuについて、
att(u)⊂δ
が成り立つとき、uは満たされたという。葉ノードでないノードuについて、uの満たされた子ノードの数がku以上であるとき、uは満たされたという。根ノードurが満たされたとき、属性集合δ⊂Uがアクセス木γを満たすという。
【0007】
[公開パラメータ]
pidはプロトコルIDであって、プロトコル仕様に対応した固有の識別子とする。セキュリティパラメータをκとする。pをκビット素数とし、GとGTをそれぞれ双線形ペアリング関数e:G×G→GTを効率的に計算可能なgとgTを生成元とする群とする。Hは任意長の整数をκビットの整数に変換するハッシュ関数、H’は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数とする。0以上p−1以下の整数iと0以上p−1以下の整数のある要素Sについて、Δi,S(x)を
【0008】
【数1】
【0009】
となるようなラグランジュ係数とする。
[鍵生成]
鍵生成手段900は、マスタ秘密鍵zを0以上p−1以下の整数からランダムに選定する。また、すべての属性i(ただし、i∈U)について、tiを0以上p−1以下の整数からランダムに選定する。さらに、鍵生成手段900は、群GTの元であるマスタ公開鍵Z=gT^zと{Ti=g^ti}(ただし、i∈U)を公開する。ここで、^はべき乗を示している。
【0010】
[鍵抽出]
鍵抽出手段800は、鍵交換装置700Aのアクセス木γAが入力されると、長期秘密鍵{Du}(ただし、u∈L(γA))をγAのそれぞれのノードについて多項式quを選ぶことによって次のように計算する。
【0011】
まず、鍵抽出手段800は、多項式quの次数をdu=ku−1に設定する。根ノードurについて、qu_r(0)=zとしqu_rのその他のdu_r点を0以上p−1以下の整数からランダムに選ぶ。よって、qu_rが一意に定まるため、残りcu_r−du_r点も一意に決まる。なお、qu_r、cu_r、du_rの下付きの添え字である“u_r”は、“ur”を意味している。その他のノードuについて、qu(0)=qu’(index(u))とする。ただし、u’はuの親ノードである。quのその他のdu点を0以上p−1以下の整数からランダムに選ぶ。このように全てのノードの多項式を再帰的に決定していく。次に、それぞれの葉ノードuの秘密の値を
【0012】
【数2】
【0013】
として計算する。ただし、i=att(u)である。最後に、鍵抽出手段800は、u∈L(γA)であるすべてのuについての秘密の値Duの集合(以下では、{Du}(u∈L(γA)と表記する)を長期秘密鍵として出力する。
鍵交換装置700Bのアクセス木γBに対する長期秘密鍵{Du}(u∈L(γB))も同様の手続きによって計算する。
【0014】
[鍵交換]
以下では、鍵交換装置700Aを鍵交換処理でのイニシエータ、鍵交換装置700Bをレスポンダとする。鍵交換装置700Aはアクセス木γAに対応する長期秘密鍵{Du}(u∈L(γA))を持ち、鍵交換装置700Bはアクセス木γBに対応する長期秘密鍵{Du}(u∈L(γB))を持つ。このとき、鍵交換装置700Aは属性集合δAに対応する短期公開鍵(X,{Tix})(ただし、i∈δA)を鍵交換装置700Bに送り、鍵交換装置700Bは属性集合δBに対応する短期公開鍵(Y,{Tiy})(ただし、i∈δB)を鍵交換装置700Aに送る。最後に、鍵交換装置700Aと鍵交換装置700Bは、属性集合δBがアクセス木γAを満たし、属性集合δAがアクセス木γBを満たしたとき、またはその限りにおいて、セッション鍵Kを共有できる。なお、属性集合δBがアクセス木γAを満たし、属性集合δAがアクセス木γBを満たすとは、
述語P:{0,1}L×{0,1}L→{0,1}
を用いて、それぞれP(γA,δB)=1,P(γB,δA)=1と表現する。なお、LはL(γ)に属する全葉ノードの数である。本発明の場合、Pは「属性集合がアクセス木を満たす」という命題を表す。
【0015】
つまり、鍵交換装置700Aは、属性集合δAが鍵交換装置700Bのアクセス木γBを満たすならば認証成功となることを期待して属性集合δAを設定する。また、鍵交換装置700Bは、属性集合δBが鍵交換装置700Aのアクセス木γAを満たすならば認証成功となることを期待して属性集合δBを設定する。なお、鍵交換の具体的な処理については、非特許文献1を参照されたい。
【先行技術文献】
【非特許文献】
【0016】
【非特許文献1】A.Fujioka, K.Suzuki, K.Yoneyama,”Predicate-based Authenticated Key Exchange Resilient to Ephemeral Key Leakage”, In: WISA 2010.
【発明の概要】
【発明が解決しようとする課題】
【0017】
しかしながら、従来技術は以下のような2つの課題がある。
(課題1)アクセスポリシーを鍵交換時に指定できない。
(課題2)マスタ秘密鍵とマスタ公開鍵が属性の全体集合にパラメータライズされるため、鍵生成時に属性の全体集合をあらかじめ決めておかなければならない。したがって、あらかじめ決めた属性以外の任意の属性を扱うことができない。
【0018】
本発明はこのような課題に鑑みてなされたものであり、鍵交換時にアクセスポリシーを指定でき、マスタ秘密鍵とマスタ公開鍵を生成した後にも任意の属性を扱うことができる鍵交換システムを提供することを目的とする。
【課題を解決するための手段】
【0019】
本発明の鍵交換システムは、少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する。ここで、κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【0020】
【数3】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号とする。
【0021】
鍵交換装置αは、第1のアクセス構造決定部、第1の短期秘密鍵生成部、第1の交換情報生成部、第1の送信部、第1の受信部、第1の属性確認部、第1の秘密情報取得部、第1のセッション鍵計算部、第1の中間情報消去部を備える。鍵交換装置βは、第2のアクセス構造決定部、第2の短期秘密鍵生成部、第2の交換情報生成部、第2の送信部、第2の受信部、第2の属性確認部、第2の秘密情報取得部、第2のセッション鍵計算部、第2の中間情報消去部を備える。
【0022】
第1のアクセス構造決定部は、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する。第1の短期秘密鍵生成部は、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する。第1の交換情報生成部は、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)、
X=g^u1、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)
を計算する。第1の送信部は、(X,{U})、MA、ρAを鍵交換装置βに送信する。第1の受信部は、鍵交換装置βから、(Y,{V})、MB、ρBを受信する。第1の属性確認部は、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する。第1の秘密情報取得部は、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【0023】
【数4】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める。第1のセッション鍵計算部は、
【0024】
【数5】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。第1の中間情報消去部は、uj(1≦j≦NA)を消去する。
【0025】
第2のアクセス構造決定部は、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する。第2の短期秘密鍵生成部は、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する。
【0026】
第2の交換情報生成部は、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する。第2の送信部は、(Y,{V})、MB、ρBを鍵交換装置αに送信する。第2の受信部は、鍵交換装置αから、(X,{U})、MA、ρAを受信する。第2の属性確認部は、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する。第2の秘密情報取得部は、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【0027】
【数6】
【0028】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める。第2のセッション鍵計算部は、
【0029】
【数7】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。第2の中間情報消去部は、vj(1≦j≦NB)を消去する。
【0030】
なお、本発明の鍵交換システムは、さらに、マスタ鍵生成部と長期秘密鍵生成部とを有する鍵生成装置を備えてもよい。マスタ鍵生成部がランダムにrとzを選定し、前記マスタ鍵生成部がマスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zを生成すればよい。また、前記長期秘密鍵生成部がtA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]をランダムに選定し、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]を計算する。そして、鍵交換装置αは、鍵生成装置から長期秘密鍵としてS’A,{TA},{SA}を取得し、鍵交換装置βは、鍵生成装置から長期秘密鍵としてS’B,{TB},{SB}を取得すればよい。
【発明の効果】
【0031】
本発明の鍵交換システムによれば、線形秘密分散法を利用することにより、鍵抽出(長期秘密鍵の生成)を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定することが可能となった。このことによって、課題1を解決できる。また、本発明のマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)は、属性集合とは独立なので、属性の全体集合をあらかじめ決めておく必要がない。つまり、鍵抽出時に任意の属性に基づき長期秘密鍵を発行することができるので、課題2を解決できる。
【図面の簡単な説明】
【0032】
【図1】従来の鍵交換システムの構成例を示す図。
【図2】本発明の鍵交換システムの構成例を示す図。
【図3】本発明の鍵交換装置の機能構成例を示す図。
【図4】鍵生成装置の機能構成例を示す図。
【図5】マスタ秘密鍵とマスタ公開鍵と長期秘密鍵の生成の処理フローの例を示す図。
【図6】セッション鍵を共有する鍵交換の処理のフローの例を示す図。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
【実施例1】
【0034】
[準備]
本発明の鍵交換システムについて説明する前に、本発明を理解する上で必要な理論について説明する。本発明では、アクセスポリシーを次のようなアクセス構造として表すものとする。
【0035】
まず、{P1,P2,…,Pn,…,PN}を属性集合とする。ただし、Nは整数、nは1以上N以下の整数である。Pnは、例えば、「性別が男性である。」や「○○会社の社員である。」などの鍵生成装置の利用者(ユーザ)の属性を示している。なお、以下の説明では、「鍵生成装置の利用者の属性」を単に「鍵生成装置の属性」と表現する。アクセス構造は{P1,P2,…,PN}の空でない部分集合のべき集合Aとして表わす。すなわち、
A⊆2^{P1,P2,…,PN}\{φ}
ただし、“^”はべき乗を示す記号、“φ”は空集合を示す記号、“\{φ}”は空集合を除くことを示す記号
に属する集合を許可集合、属さない集合を不許可集合とよぶ。本発明では、上記のアクセス構造に基づきアクセスコントロールを行うために次のように線形秘密分散法を用いる。
【0036】
各属性集合に対応するシェア情報は0以上p−1以下の整数の集合ZP上のベクトルとして表される。シェア情報を生成する行列としてL行N列のシェア情報生成行列Mを次のように用意する。i=1,…,Lについて、属性ラベリング関数ρを用いてシェア情報生成行列Mのi行目を属性ρ(i)に対応させる。属性ラベリング関数ρは、iを特定すると属性ρ(i)が決まる関数である。また、「属性ρ(i)に対応させる」とは、例えば、属性ρ(1)がP1∧P2∧P3であれば、1,1,1,0,0,…,0のようにシェア情報生成行列Mの1行目を設定し、属性ρ(2)がP1∧PNであれば、1,0,0,…,0,1のようにシェア情報生成行列Mの2行目を設定するように、属性ρ(i)と対応させてi行目を決めることである。なお、上記の例では、アンド条件に含まれる属性Pnに対応する要素を“1”とし、含まれない属性Pnに対応する要素を“0”としたが、これに限る必要はない。異なる条件に対応する行が同じ行にならないように対応付けされていればよいので、属性ラベリング関数ρは単射性を有する範囲で他の対応でもよい。
【0037】
次に、0以上p−1以下の整数sを秘密情報とし、0以上p−1以下の整数からr2,…,rNをランダムに選び、列ベクトルv=(s,r2,…,rN)Tを生成する。ただし、Tは転置を示す記号である。この時、Mvは秘密情報sのL個のシェア情報のベクトルとなる。属性集合ρ(i)にシェア情報(Mv)iを割り当てる。ただし、(Mv)iはベクトルMvのi番目の成分を示している。
【0038】
このようにシェア情報生成行列Mと秘密情報sを含む列ベクトルvを用いると、線形秘密分散法の線形復元性を利用できる。ここで、線形復元性について説明する。あるアクセス構造Aを考え、集合SをS∈Aの任意の許可集合とし、I⊂{1,2,…,L}をI={i:ρ(i)∈S}と定義する。このとき、{λi}がsの正しいシェア情報の集合の場合、
【0039】
【数8】
【0040】
となるような0以上p−1以下の整数の集合{wi}が存在する。このような集合{wi}はMのサイズの多項式時間で見つけられることが知られている。一方、{λi}がsの正しいシェア情報の集合でない場合、集合{wi}のすべての要素を求めることができない。本発明では、上述のようにシェア情報生成行列Mと秘密情報sを含む列ベクトルvを用いることで、線形秘密分散法の線形復元性を利用してセッション鍵を交換する。
【0041】
[構成]
図2に本発明の鍵交換システムの構成例を示す。本発明の鍵交換システムは、ネットワーク1000を介して接続された鍵交換装置1001,…,100Q(ただし、Qは2以上の整数、qは1以上Q以下の整数、AとBは1以上Q以下の異なる整数)、鍵生成装置300で構成される。図3に本発明の鍵交換装置の機能構成例、図4に鍵生成装置の機能構成例を示す。鍵交換装置100qは、アクセス構造決定部110q、短期秘密鍵生成部120q、交換情報生成部130q、送信部140q、受信部145q、属性確認部150q、秘密情報取得部160q、セッション鍵計算部170q、中間情報消去部180q、記録部190qを備える。また、鍵生成装置300は、マスタ鍵生成部310、長期秘密鍵生成部320、記録部390を備える。以下の説明では、鍵交換装置100A(鍵交換装置αに相当)がイニシエータとして機能し、鍵交換装置100B(鍵交換装置βに相当)がレスポンダとして機能してセッション鍵を共有する場合について説明する。
【0042】
なお、κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置100Aの属性を示す属性要素Pnの組み合わせの集合、属性集合SBは鍵交換装置100Bの属性を示す属性要素Pnの組み合わせの集合、NMAXはあらかじめ定めた整数、jとnは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合である。
【0043】
[鍵生成、鍵抽出]
図5に、マスタ秘密鍵とマスタ公開鍵と長期秘密鍵の生成の処理フローの例を示す。なお、長期秘密鍵生成の処理が従来技術の鍵抽出に相当する。鍵生成装置300のマスタ鍵生成部310は、0以上p−1以下の整数からランダムにrとzを選定する。そして、マスタ公開鍵を(g,g^r,gT^z)、マスタ秘密鍵をg^zとして記録部390に記録し、マスタ公開鍵(g,g^r,gT^z)を公開する(S310)。鍵交換装置100Aと鍵交換装置100Bは、それぞれマスタ公開鍵を(g,g^r,gT^z)を受信し、記録部190Aと記録部190Bに記録する。
【0044】
長期秘密鍵生成部320は、0以上p−1以下の整数からランダムにtA[1],…,tA[NMAX]を選び、S’A=g^z・g^(rtA[1])を計算し、1以上NMAX以下のjについてTA[j]=g^tA[1]を計算し、属性集合SAの要素kAについて
【0045】
【数9】
【0046】
を計算し、長期秘密鍵として(S’A,{TA},{SA})を鍵交換装置100Aに送信する(S320A)。鍵交換装置100Aは、長期秘密鍵(S’A,{TA},{SA})を受信し、記録部190Aに記録する(S192A)。
【0047】
さらに、長期秘密鍵生成部320は、0以上p−1以下の整数からランダムにtB[1],…,tB[NMAX]を選び、S’B=g^z・g^(rtB[1])を計算し、1以上NMAX以下のjについてTB[j]=g^tB[1]を計算し、属性集合SBの要素kBについて
【0048】
【数10】
【0049】
を計算し、長期秘密鍵として(S’B,{TB},{SB})を鍵交換装置100Bに送信する(S320B)。鍵交換装置100Bは、長期秘密鍵(S’B,{TB},{SB})を受信し、記録部190Bに記録する(S192B)。
【0050】
なお、あらかじめ鍵交換装置100Aの記録部190Aにマスタ公開鍵(g,g^r,gT^z)と長期秘密鍵(S’A,{TA},{SA})とを記録させ、鍵交換装置100Bの記録部190Bにマスタ公開鍵(g,g^r,gT^z)と長期秘密鍵(S’B,{TB},{SB})とを記録させておけば、ネットワーク1000を介して接続された鍵交換装置100Aと鍵交換装置100Bだけで最低限の鍵交換システムが構成できる。
【0051】
[鍵交換]
図6にセッション鍵を共有する鍵交換の処理のフローの例を示す。この例は、鍵交換装置100A(鍵交換装置αに相当)がイニシエータとして機能し、鍵交換装置100B(鍵交換装置βに相当)がレスポンダとして機能する場合を示している。
【0052】
鍵交換装置100Aは、アクセス構造決定部110A(第1のアクセス構造決定部)、短期秘密鍵生成部120A(第1の短期秘密鍵生成部)、交換情報生成部130A(第1の交換情報生成部)、送信部140A(第1の送信部)、受信部145A(第1の受信部)、属性確認部150A(第1の属性確認部)、秘密情報取得部160A(第1の秘密情報取得部)、セッション鍵計算部170A(第1のセッション鍵計算部)、中間情報消去部180A(第1の中間情報消去部)を備える。鍵交換装置100Bは、アクセス構造決定部110B(第2のアクセス構造決定部)、短期秘密鍵生成部120B(第2の短期秘密鍵生成部)、交換情報生成部130B(第2の交換情報生成部)、送信部140B(第2の送信部)、受信部145B(第2の受信部)、属性確認部150B(第2の属性確認部)、秘密情報取得部160B(第2の秘密情報取得部)、セッション鍵計算部170B(第2のセッション鍵計算部)、中間情報消去部180B(第2の中間情報消去部)を備える。
【0053】
アクセス構造決定部110Aは、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する(S110A)。短期秘密鍵生成部120Aは、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する(S120A)。交換情報生成部130Aは、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)、
X=g^u1、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)
を計算する(130A)。送信部140Aは、(X,{U})、MA、ρAを鍵交換装置100Bに送信する(S140A)。中間情報消去部180Aは、uj(1≦j≦NA)を消去する(S180A)。
【0054】
受信部145Bは、鍵交換装置100Aから、(X,{U})、MA、ρAを受信する(S145B)。属性確認部150Bは、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する(S150B)。
【0055】
アクセス構造決定部110Bは、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する(S110B)。短期秘密鍵生成部120Bは、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する(S120B)。交換情報生成部130Bは、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)、
Y=g^v1、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)
を計算する(S130B)。送信部140Bは、(Y,{V})、MB、ρBを鍵交換装置100Aに送信する(S140B)。
【0056】
秘密情報取得部160Bは、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置100Aが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【0057】
【数11】
【0058】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める(S160B)。セッション鍵計算部170Bは、
【0059】
【数12】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める(S170B)。中間情報消去部180Bは、vj(1≦j≦NB)を消去する(S180B)。
【0060】
受信部145Aは、鍵交換装置100Bから、(Y,{V})、MB、ρBを受信する(S145A)。属性確認部150Aは、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する(S150A)。秘密情報取得部160Aは、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置100Bが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【0061】
【数13】
【0062】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める(S160A)。セッション鍵計算部170Aは、
【0063】
【数14】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める。
【0064】
最後に鍵交換装置100Aと鍵交換装置100Bが取得したセッション鍵Kが等しいことを説明する。
【0065】
【数15】
【0066】
【数16】
σ3=X^v1=Y^u1=g^u1v1
よって、正しくセッション鍵を共有できる。
【0067】
本発明の鍵交換システムによれば、線形秘密分散法を利用することにより、鍵抽出(長期秘密鍵の生成)を行うときには鍵生成装置が、鍵交換装置αの属性集合SAに基づき線形秘密分散法のシェア情報として長期秘密鍵S’A,{TA},{SA}を発行する。また、鍵交換時にアクセスポリシーとして線形秘密分散のアクセス構造AAを割り当てることによって、相手のアクセスポリシーを鍵交換時に指定することが可能となる。このことによって、課題1を解決できる。また、本発明のマスタ秘密鍵g^zとマスタ公開鍵(g,g^r,gT^z)は、属性集合とは独立なので、属性の全体集合をあらかじめ決めておく必要がない。つまり、鍵抽出時に任意の属性に基づき長期秘密鍵を発行することができるので、課題2を解決できる。
【0068】
さらに、従来技術と本発明との違いを属性集合とアクセスポリシーの観点から説明する。従来技術では、マスタ秘密鍵、マスタ公開鍵を生成する際には、属性の全体集合に対応したマスタ秘密鍵、マスタ公開鍵を生成する。長期秘密鍵を生成する際には、鍵交換装置(の使用者)がアクセスできるポリシーを決定する。そして、鍵交換のときに、属性集合を指定する。一方、本発明では、マスタ秘密鍵、マスタ公開鍵を生成する際には、属性集合とは独立にマスタ秘密鍵、マスタ公開鍵を生成する。長期秘密鍵を生成する際には、鍵交換装置(の使用者)が持っている属性に応じて、長期秘密鍵を生成する。そして、鍵交換のときに、アクセスポリシーを指定する。このように、本発明は、従来とは異なるアクセスコントロールの考え方を採用し、この考え方を実現できるセッション鍵を共有する技術を創作したものである。
【0069】
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
【0070】
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
【0071】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0072】
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0073】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
【0074】
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
【産業上の利用可能性】
【0075】
本発明は、二者間でセッション鍵を共有した暗号通信に利用することができる。
【符号の説明】
【0076】
100q、700 鍵交換装置 110q アクセス構造決定部
120q 短期秘密鍵生成部 130q 交換情報生成部
140q 送信部 145q 受信部
150q 属性確認部 160q 秘密情報取得部
170q セッション鍵計算部 180q 中間情報消去部
190q、390 記録部 300 鍵生成装置
310 マスタ鍵生成部 320 長期秘密鍵生成部
800 鍵抽出手段 900 鍵生成手段
1000 ネットワーク
【特許請求の範囲】
【請求項1】
セッション鍵を交換する鍵交換装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは当該鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは当該鍵交換装置が鍵交換の対象となる装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、アクセス構造ABは鍵交換の対象となる装置が当該鍵交換装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、TA[j]=g^tA[1]、
【数17】
、{TA}はTA[1],…,TA[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成するアクセス構造決定部と、
1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する短期秘密鍵生成部と、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する交換情報生成部と、
(X,{U})、MA、ρAを鍵交換する対象の装置に送信する送信部と、
鍵交換する対象の装置から、(Y,{V})、MB、ρBを受信する受信部と、
属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する属性確認部と、
IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換する対象の装置が生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数18】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める秘密情報取得部と、
【数19】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求めるセッション鍵計算部と、
uj(1≦j≦NA)を消去する中間情報消去部と、
を備える鍵交換装置。
【請求項2】
セッション鍵を交換する鍵交換装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SBは当該鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは当該鍵交換装置が鍵交換の対象となる装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、アクセス構造AAは鍵交換の対象となる装置が当該鍵交換装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’B=g^z・g^(rtB[1])、TB[j]=g^tB[1]、
【数20】
、{TB}はTB[1],…,TB[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成するアクセス構造決定部と、
1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する短期秘密鍵生成部と、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する交換情報生成部と、
(Y,{V})、MB、ρBを鍵交換する対象の装置に送信する送信部と、
鍵交換する対象の装置から、(X,{U})、MA、ρAを受信する受信部と、
属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する属性確認部と、
IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換する対象の装置が生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数21】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める秘密情報取得部と、
【数22】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求めるセッション鍵計算部と、
vj(1≦j≦NB)を消去する中間情報消去部と、
を備える鍵交換装置。
【請求項3】
鍵交換装置用のマスタ秘密鍵、マスタ公開鍵、長期秘密鍵を生成する鍵生成装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは前記鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、NMAXはあらかじめ定めた整数、jは1以上NMAX以下の整数、kAは属性集合SAの要素、{TA}はTA[1],…,TA[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、^はべき乗を示す記号であり、
0以上p−1以下の整数からランダムにrとzを選定し、マスタ公開鍵を(g,g^r,gT^z)、マスタ秘密鍵をg^zとするマスタ鍵生成部と、
0以上p−1以下の整数からランダムにtA[1],…,tA[NMAX]を選び、S’A=g^z・g^(rtA[1])を計算し、1以上NMAX以下のjについてTA[j]=g^tA[1]を計算し、属性集合SAの要素kAについて
【数23】
を計算し、長期秘密鍵として(S’A,{TA},{SA})を出力する長期秘密鍵生成部と、
を備える鍵生成装置。
【請求項4】
少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する鍵交換システムであって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【数24】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
前記鍵交換装置αは、
アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する第1のアクセス構造決定部と、
1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する第1の短期秘密鍵生成部と、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する第1の交換情報生成部と、
(X,{U})、MA、ρAを鍵交換装置βに送信する第1の送信部と、
鍵交換装置βから、(Y,{V})、MB、ρBを受信する第1の受信部と、
属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する第1の属性確認部と、
IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数25】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める第1の秘密情報取得部と、
【数26】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第1のセッション鍵計算部と、
uj(1≦j≦NA)を消去する第1の中間情報消去部と、
を備え、
前記鍵交換装置βは、
アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する第2のアクセス構造決定部と、
1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する第2の短期秘密鍵生成部と、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する第2の交換情報生成部と、
(Y,{V})、MB、ρBを鍵交換装置αに送信する第2の送信部と、
鍵交換装置αから、(X,{U})、MA、ρAを受信する第2の受信部と、
属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する第2の属性確認部と、
IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数27】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める第2の秘密情報取得部と、
【数28】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第2のセッション鍵計算部と、
vj(1≦j≦NB)を消去する第2の中間情報消去部と、
を備える
鍵交換システム。
【請求項5】
請求項4記載の鍵交換システムであって、
さらに、マスタ鍵生成部と長期秘密鍵生成部とを有する鍵生成装置を備え、
前記rとzは、前記マスタ鍵生成部がランダムに選定したものであり、マスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zは前記マスタ鍵生成部が生成したものであり、
前記tA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]は前記長期秘密鍵生成部がランダムに選定したものであり、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]は前記長期秘密鍵生成部が計算したものであり、
前記鍵交換装置αは、前記鍵生成装置から長期秘密鍵としてS’A,{TA},{SA}を取得し、前記鍵交換装置βは、前記鍵生成装置から長期秘密鍵としてS’B,{TB},{SB}を取得する
ことを特徴とする鍵交換システム。
【請求項6】
少なくとも鍵交換装置αと鍵交換装置βとを備える鍵交換システムを用いて、セッション鍵を交換する鍵交換方法であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【数29】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
前記鍵交換装置αが、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する第1のアクセス構造決定ステップと、
前記鍵交換装置αが、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する第1の短期秘密鍵生成ステップと、
前記鍵交換装置αが、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する第1の交換情報生成ステップと、
前記鍵交換装置αが、(X,{U})、MA、ρAを鍵交換装置βに送信する第1の送信ステップと、
前記鍵交換装置αが、uj(1≦j≦NA)を消去する第1の中間情報消去ステップと、
前記鍵交換装置βが、鍵交換装置αから、(X,{U})、MA、ρAを受信する第2の受信ステップと、
前記鍵交換装置βが、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する第2の属性確認ステップと、
前記鍵交換装置βが、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する第2のアクセス構造決定ステップと、
前記鍵交換装置βが、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する第2の短期秘密鍵生成ステップと、
前記鍵交換装置βが、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する第2の交換情報生成ステップと、
前記鍵交換装置βが、(Y,{V})、MB、ρBを鍵交換装置αに送信する第2の送信ステップと、
前記鍵交換装置βが、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数30】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める第2の秘密情報取得ステップと、
前記鍵交換装置βが、
【数31】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第2のセッション鍵計算ステップと、
前記鍵交換装置βが、vj(1≦j≦NB)を消去する第2の中間情報消去ステップと、
前記鍵交換装置αが、鍵交換装置βから、(Y,{V})、MB、ρBを受信する第1の受信ステップと、
前記鍵交換装置αが、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する第1の属性確認ステップと、
前記鍵交換装置αが、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数32】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める第1の秘密情報取得ステップと、
前記鍵交換装置αが、
【数33】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第1のセッション鍵計算ステップと、
を有する鍵交換方法。
【請求項7】
請求項6記載の鍵交換方法であって、
前記鍵交換システムは、さらにマスタ鍵生成手段と長期秘密鍵生成手段も備え、
前記マスタ鍵生成手段が、前記rとzをランダムに選定し、マスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zを生成する前記マスタ鍵生成ステップと、
前記長期秘密鍵生成手段が、前記tA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]をランダムに選定し、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]を計算する長期秘密鍵生成ステップと、
前記鍵交換装置αが、長期秘密鍵としてS’A,{TA},{SA}を取得する第1の長期秘密鍵取得ステップと、
前記鍵交換装置βが、長期秘密鍵としてS’B,{TB},{SB}を取得する第2の長期秘密鍵取得ステップ
も有することを特徴とする鍵交換方法。
【請求項8】
請求項1または2記載の鍵交換装置、もしくは請求項3記載の鍵生成装置としてコンピュータを機能させるためのプログラム。
【請求項1】
セッション鍵を交換する鍵交換装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは当該鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは当該鍵交換装置が鍵交換の対象となる装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、アクセス構造ABは鍵交換の対象となる装置が当該鍵交換装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、TA[j]=g^tA[1]、
【数17】
、{TA}はTA[1],…,TA[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成するアクセス構造決定部と、
1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する短期秘密鍵生成部と、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する交換情報生成部と、
(X,{U})、MA、ρAを鍵交換する対象の装置に送信する送信部と、
鍵交換する対象の装置から、(Y,{V})、MB、ρBを受信する受信部と、
属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する属性確認部と、
IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換する対象の装置が生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数18】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める秘密情報取得部と、
【数19】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求めるセッション鍵計算部と、
uj(1≦j≦NA)を消去する中間情報消去部と、
を備える鍵交換装置。
【請求項2】
セッション鍵を交換する鍵交換装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SBは当該鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは当該鍵交換装置が鍵交換の対象となる装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、アクセス構造AAは鍵交換の対象となる装置が当該鍵交換装置に求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’B=g^z・g^(rtB[1])、TB[j]=g^tB[1]、
【数20】
、{TB}はTB[1],…,TB[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成するアクセス構造決定部と、
1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する短期秘密鍵生成部と、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する交換情報生成部と、
(Y,{V})、MB、ρBを鍵交換する対象の装置に送信する送信部と、
鍵交換する対象の装置から、(X,{U})、MA、ρAを受信する受信部と、
属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する属性確認部と、
IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換する対象の装置が生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数21】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める秘密情報取得部と、
【数22】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求めるセッション鍵計算部と、
vj(1≦j≦NB)を消去する中間情報消去部と、
を備える鍵交換装置。
【請求項3】
鍵交換装置用のマスタ秘密鍵、マスタ公開鍵、長期秘密鍵を生成する鍵生成装置であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは前記鍵交換装置の属性を示す属性要素Pnの組み合わせの集合、NMAXはあらかじめ定めた整数、jは1以上NMAX以下の整数、kAは属性集合SAの要素、{TA}はTA[1],…,TA[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、^はべき乗を示す記号であり、
0以上p−1以下の整数からランダムにrとzを選定し、マスタ公開鍵を(g,g^r,gT^z)、マスタ秘密鍵をg^zとするマスタ鍵生成部と、
0以上p−1以下の整数からランダムにtA[1],…,tA[NMAX]を選び、S’A=g^z・g^(rtA[1])を計算し、1以上NMAX以下のjについてTA[j]=g^tA[1]を計算し、属性集合SAの要素kAについて
【数23】
を計算し、長期秘密鍵として(S’A,{TA},{SA})を出力する長期秘密鍵生成部と、
を備える鍵生成装置。
【請求項4】
少なくとも鍵交換装置αと鍵交換装置βとを備え、セッション鍵を交換する鍵交換システムであって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【数24】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
前記鍵交換装置αは、
アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する第1のアクセス構造決定部と、
1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する第1の短期秘密鍵生成部と、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する第1の交換情報生成部と、
(X,{U})、MA、ρAを鍵交換装置βに送信する第1の送信部と、
鍵交換装置βから、(Y,{V})、MB、ρBを受信する第1の受信部と、
属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する第1の属性確認部と、
IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数25】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める第1の秘密情報取得部と、
【数26】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第1のセッション鍵計算部と、
uj(1≦j≦NA)を消去する第1の中間情報消去部と、
を備え、
前記鍵交換装置βは、
アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する第2のアクセス構造決定部と、
1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する第2の短期秘密鍵生成部と、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する第2の交換情報生成部と、
(Y,{V})、MB、ρBを鍵交換装置αに送信する第2の送信部と、
鍵交換装置αから、(X,{U})、MA、ρAを受信する第2の受信部と、
属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する第2の属性確認部と、
IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数27】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める第2の秘密情報取得部と、
【数28】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第2のセッション鍵計算部と、
vj(1≦j≦NB)を消去する第2の中間情報消去部と、
を備える
鍵交換システム。
【請求項5】
請求項4記載の鍵交換システムであって、
さらに、マスタ鍵生成部と長期秘密鍵生成部とを有する鍵生成装置を備え、
前記rとzは、前記マスタ鍵生成部がランダムに選定したものであり、マスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zは前記マスタ鍵生成部が生成したものであり、
前記tA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]は前記長期秘密鍵生成部がランダムに選定したものであり、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]は前記長期秘密鍵生成部が計算したものであり、
前記鍵交換装置αは、前記鍵生成装置から長期秘密鍵としてS’A,{TA},{SA}を取得し、前記鍵交換装置βは、前記鍵生成装置から長期秘密鍵としてS’B,{TB},{SB}を取得する
ことを特徴とする鍵交換システム。
【請求項6】
少なくとも鍵交換装置αと鍵交換装置βとを備える鍵交換システムを用いて、セッション鍵を交換する鍵交換方法であって、
κは整数、pはκビットの素数、GとGTは位数pの群、gは群Gの生成元、gTは群GTの生成元、eはG×G→GTのように写像する双線形写像、H1は任意長の整数を群Gの元に変換するハッシュ関数、H2は任意長の整数を0以上p−1以下の整数に変換するハッシュ関数、H3は任意長の整数をκビットの整数に変換するハッシュ関数、Pnは属性を示す属性要素、属性集合SAは鍵交換装置αの属性を示す属性要素Pnの組み合わせの集合、アクセス構造AAは鍵交換装置αが鍵交換装置βに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρAは前記アクセス構造AAを示す関数、属性集合ρA(i)は前記アクセス構造AAに対応するi番目の集合、シェア情報生成行列MAはi行目が属性集合ρA(i)に対応するLA行NA列の行列、(MA)i,jはシェア情報生成行列MAのi行j列の要素、属性集合SBは鍵交換装置βの属性を示す属性要素Pnの組み合わせの集合、アクセス構造ABは鍵交換装置βが鍵交換装置αに求める属性要素Pnの組み合わせの集合、単射ラベリング関数ρBは前記アクセス構造ABを示す関数、属性集合ρB(i)は前記アクセス構造ABに対応するi番目の集合、シェア情報生成行列MBはi行目が属性集合ρB(i)に対応するLB行NB列の行列、(MB)i,jはシェア情報生成行列MBのi行j列の要素、LA、NA、LB、NBは整数、NMAXはNAとNBが取りうる最大の整数、nとjは1以上NMAX以下の整数、kAは属性集合SAの要素、kBは属性集合SBの要素、rとzは0以上p−1以下の整数、(g,g^r,gT^z)はマスタ公開鍵、g^zはマスタ秘密鍵、tA[1],…,tA[NMAX]は0以上p−1以下の整数、tB[1],…,tB[NMAX]は0以上p−1以下の整数、S’A=g^z・g^(rtA[1])、S’B=g^z・g^(rtB[1])、TA[j]=g^tA[1]、TB[j]=g^tB[1]、
【数29】
、{TA}はTA[1],…,TA[NMAX]の集合、{TB}はTB[1],…,TB[NMAX]の集合、{SA}はSA[1],…,SA[NMAX]の集合、{SB}はSB[1],…,SB[NMAX]の集合、{U}はUi,jの集合、{V}はVi,jの集合、^はべき乗を示す記号であり、
前記鍵交換装置αが、アクセス構造AAを決定し、当該アクセス構造AAに対応するシェア情報生成行列MAと単射ラベリング関数ρAを生成する第1のアクセス構造決定ステップと、
前記鍵交換装置αが、1≦j≦NAについて、u〜jを0以上p−1以下の整数からランダムに選定する第1の短期秘密鍵生成ステップと、
前記鍵交換装置αが、
1≦j≦NAについて、uj=H2(S’A,{TA},{SA},u〜j)と、
X=g^u1と、
1≦i≦LAと1≦j≦NAについて、
Ui,j=g^(r(MA)i,juj)・H1(j,ρA(i))^(−u1)と、
1≦i≦LAとNA+1≦j≦NMAXについて、
Ui,j=H1(j,ρA(i))^(−u1)と
を計算する第1の交換情報生成ステップと、
前記鍵交換装置αが、(X,{U})、MA、ρAを鍵交換装置βに送信する第1の送信ステップと、
前記鍵交換装置αが、uj(1≦j≦NA)を消去する第1の中間情報消去ステップと、
前記鍵交換装置βが、鍵交換装置αから、(X,{U})、MA、ρAを受信する第2の受信ステップと、
前記鍵交換装置βが、属性集合SBがシェア情報生成行列MAと単射ラベリング関数ρAを満たすか、Xと{U}が群Gの要素かを確認する第2の属性確認ステップと、
前記鍵交換装置βが、アクセス構造ABを決定し、当該アクセス構造ABに対応するシェア情報生成行列MBと単射ラベリング関数ρBを生成する第2のアクセス構造決定ステップと、
前記鍵交換装置βが、1≦j≦NBについて、v〜jを0以上p−1以下の整数からランダムに選定する第2の短期秘密鍵生成ステップと、
前記鍵交換装置βが、
1≦j≦NBについて、vj=H2(S’B,{TB},{SB},v〜j)と、
Y=g^v1と、
1≦i≦LBと1≦j≦NBについて、
Vi,j=g^(r(MB)i,jvj)・H1(j,ρB(i))^(−v1)と、
1≦i≦LBとNB+1≦j≦NMAXについて、
Vi,j=H1(j,ρB(i))^(−v1)と
を計算する第2の交換情報生成ステップと、
前記鍵交換装置βが、(Y,{V})、MB、ρBを鍵交換装置αに送信する第2の送信ステップと、
前記鍵交換装置βが、IB={k:ρA(k)∈SB}となる集合IBを求め、鍵交換装置αが生成した秘密情報u1に対する正当なシェア情報集合{(MA)i,juj}について
【数30】
が成り立つ0以上p−1以下の整数wB[k](ただし、kは集合IBの要素)を求める第2の秘密情報取得ステップと、
前記鍵交換装置βが、
【数31】
σ2=(gT^z)^v1
σ3=X^v1
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第2のセッション鍵計算ステップと、
前記鍵交換装置βが、vj(1≦j≦NB)を消去する第2の中間情報消去ステップと、
前記鍵交換装置αが、鍵交換装置βから、(Y,{V})、MB、ρBを受信する第1の受信ステップと、
前記鍵交換装置αが、属性集合SAがシェア情報生成行列MBと単射ラベリング関数ρBを満たすか、Yと{V}が群Gの要素かを確認する第1の属性確認ステップと、
前記鍵交換装置αが、IA={k:ρB(k)∈SA}となる集合IAを求め、鍵交換装置βが生成した秘密情報v1に対する正当なシェア情報集合{(MB)i,jvj}について
【数32】
が成り立つ0以上p−1以下の整数wA[k](ただし、kは集合IAの要素)を求める第1の秘密情報取得ステップと、
前記鍵交換装置αが、
【数33】
σ1=(gT^z)^H2(S’A,{TA},{SA},u〜1)
σ3=Y^H2(S’A,{TA},{SA},u〜1)
を計算し、セッション鍵Kを、
K=H3(σ1,σ2,σ3,(X,{U},MA,ρA),(Y,{V},MB,ρB))
のように求める第1のセッション鍵計算ステップと、
を有する鍵交換方法。
【請求項7】
請求項6記載の鍵交換方法であって、
前記鍵交換システムは、さらにマスタ鍵生成手段と長期秘密鍵生成手段も備え、
前記マスタ鍵生成手段が、前記rとzをランダムに選定し、マスタ公開鍵(g,g^r,gT^z)とマスタ秘密鍵g^zを生成する前記マスタ鍵生成ステップと、
前記長期秘密鍵生成手段が、前記tA[1],…,tA[NMAX]とtB[1],…,tB[NMAX]をランダムに選定し、S’AとS’B、TA[j]とTB[j]、SA[kA]とSB[kB]を計算する長期秘密鍵生成ステップと、
前記鍵交換装置αが、長期秘密鍵としてS’A,{TA},{SA}を取得する第1の長期秘密鍵取得ステップと、
前記鍵交換装置βが、長期秘密鍵としてS’B,{TB},{SB}を取得する第2の長期秘密鍵取得ステップ
も有することを特徴とする鍵交換方法。
【請求項8】
請求項1または2記載の鍵交換装置、もしくは請求項3記載の鍵生成装置としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−109917(P2012−109917A)
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願番号】特願2010−259053(P2010−259053)
【出願日】平成22年11月19日(2010.11.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願日】平成22年11月19日(2010.11.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]