鍵管理サーバ
【課題】 鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めることにより、利用者の負担を軽減し、利便性を高めるとともに、サーバの負荷をも軽減できる鍵管理サーバを提供する。
【解決手段】 鍵管理サーバ1は、N人の利用者をlog4N人ずつグループに所属させる。そして、グループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびグループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する。
【解決手段】 鍵管理サーバ1は、N人の利用者をlog4N人ずつグループに所属させる。そして、グループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびグループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、木構造を用いてコンテンツを暗号化する共有鍵を管理する鍵管理サーバに関する。
【背景技術】
【0002】
近年、高速なインターネット環境や大容量メディアが急速に普及している。これに伴い、映画、音楽、およびソフトウェアなどのディジタルコンテンツを、インターネットを介して配布するサービスが広がりつつある。
【0003】
ところで、これらのサービスでは著作権保護が大きな問題となる。ディジタルコンテンツのコピーは容易にでき、なおかつ劣化を生じない。このため、不正コピーにより、違法なコンテンツが広く流通することが考えられる。このため、不正コピーを防止し、利用者の適正な利用を促すために、配布時にコンテンツを暗号化することにより、正当な利用者のみがコンテンツを利用できるようにする方法がある。
【0004】
こうした技術に関しては、具体的に、木構造を持つ鍵を用いてコンテンツを暗号化するための共有鍵を共有し、管理する方法が従来から多数提案されている(例えば、特許文献1、非特許文献1、2、3、4参照)。
【特許文献1】特開2001−186119号公報
【非特許文献1】Mike Burmester and Yvo Desmedt.Asecure and efficient conference key distribution system (extended abstract).In EUROCRYPT,pages275−286,1994.
【非特許文献2】Daisuke Inoue and Masahiro Kuroda. Fdlkh:Fully decentralized key managment scheme on logical key hierarchy. In Proc. of 2nd International Conference on Applied Cryptography and Network Security(LNCS3089),pages pp.339−354,2004.
【非特許文献3】Hyungkyu Yang Junghyun Nam, Seungjoo Kim and Dongho Won.Secure group communica−tions over combined wired/wired/wireless networks. Cryptology ePrint Archive, Report 2004/260,2004.http://eprint.iacr.org/.
【非特許文献4】Chung Kei Wong,Mohamed G.Gouda S,Lam.Secure group communications using key graphs. In Proc.of the ACM SIGCOMM’98conference on Applications, tech−nologies, architectures, and protocols for computer communication, pages68−79,1998.
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、上記した特許文献1、および非特許文献1〜4に開示された技術に従い、木構造を持つ共有鍵の設計方法、共有鍵の生成方式、あるいは利用者間の負荷負担方法を工夫し、鍵更新の効率化を図ってきた。
しかしながら、これらの方式では共通して、利用者が新規入会、または脱会するたびに共有鍵を更新する必要がある。このことは、利用者が多いサービスでは、入会、または脱会を希望する利用者が頻繁に発生するため、規模が大きいサービスにこれらの方式を適用するのは現実的ではないことを意味する。
【0006】
こうした問題に対応して、複数の利用者をグループとして管理し、鍵の更新を行う方法も考えられるが、こうした複数の利用者をグループ化する鍵管理方式においては、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めなければ、サーバの負荷が大きくなるという問題がある。
【0007】
そこで、本発明は上記事情に鑑みてなされたものであり、サービスに入会した利用者は共有鍵を直ちに入手したいことと、サービスから脱会した利用者が保持している共有鍵はいずれ使えなくなることに着目し、かつ、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めることにより、利用者の負担を軽減し、利便性を高めるとともに、サーバの負荷をも軽減できる鍵管理サーバを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記した課題を解決するために本発明は、ネットワークを介してコンテンツを配信するコンテンツ配信サーバと該コンテンツを利用する利用者端末とに接続され、木構造を用いて、コンテンツを暗号化する共有鍵を管理する鍵管理サーバであって、N人の利用者をlog4N人ずつグルーピングし、余りの利用者を前記それぞれのグループとは独立したグループに所属させるグループ構成部と、前記グループ毎に、当該グループに属する利用者全員が共有するグループ鍵、および前記グループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、前記利用者端末に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、前記利用者端末を介して受信される利用者の入会もしくは脱会要求に基づき、前記それぞれのグループ単位に一括して前記共有鍵の更新を行い、当該更新した共有鍵を前記コンテンツ配信サーバに提供する鍵更新処理部とを備えたことを特徴とする。
【0009】
また、本発明は、前記鍵更新処理部が前記利用者端末を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員がm−1以下となった場合に、次回の共有鍵更新時に前記グループを解体することを意味するフラグ情報を有効にすることを特徴とする。
【発明の効果】
【0010】
本発明によれば、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めることにより、利用者の負担を軽減し、利便性を高めるとともに、サーバの負荷をも軽減できるという効果がある。
【発明を実施するための最良の形態】
【0011】
図1は、本発明の実施形態に係わる鍵管理サーバが用いられる鍵配信システムのネットワーク接続形態を説明するために引用した図である。
図1において、鍵配信サーバ1、コンテンツ配信サーバ2、利用者端末3は、いずれもIP網等のネットワーク4に接続されている。
【0012】
鍵配信サーバ1は、後述するように、N人の利用者をm人ずつグルーピングし、N/m個のグループと、余りのN mod m人の利用者を前記それぞれのグルプとは独立したグループに所属させる。また、そのグループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびそのグループ鍵を持つ全てのグループ間で共有する前記木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の新規入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する役割を持つ。
また、コンテンツ配信サーバ2は、全てのグループに属する利用者が共有する共有鍵、および新規入会した利用者が属しているグループのグループ鍵を用いてコンテンツを暗号化し、それぞれのグループに属している利用者の利用者端末3に配信する役割を持つ。
【0013】
図2は、本発明の実施形態に係わる鍵管理サーバの内部構成を示すブロック図である。
本発明の実施形態の鍵管理サーバ1は、鍵更新処理部10と、グループ構成部11によって構成される。グループ構成部11は、N人の利用者をm人ずつグルーピングし、N/m個のグループと、余りのN mod m人の利用者を前記それぞれのグルプとは独立したグループに所属させる。また、鍵更新処理部10は、グループ構成部11によって構成されたグループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびそのグループ鍵を持つ全てのグループ間で共有する前記木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の新規入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する
【0014】
鍵更新処理部10は、さらに、グループ鍵作成部12と、暗号化処理部13と、鍵管理木構成部14と、共有鍵配布部15と、利用者要求受信部16と、グループ鍵更新部17と、グループ解体フラグ18と、グループ管理部19と、グループ解体処理部20と、グループ再構成部21で構成される。
【0015】
ここで、利用者要求受信部16は、利用者端末3を介して利用者の入会要求を受信したとき、当該利用者を独立した新規のグループに所属させ、グループ鍵更新部17を起動し、当該グループ鍵更新部17が対応するグループ鍵を更新してグループ鍵作成部12へ供給する。
このとき、暗号化処理部13は、更新したグループ鍵を独立したグループに属する全ての利用者の利用者端末3に対して暗号化して配布すると共に、既存の利用者の利用者端末3に対し、更新前のグループ鍵で暗号化した共有鍵を配布し、新規入会した利用者の利用者端末3に対し、その利用者の個人鍵で暗号化した共有鍵を配布する。
【0016】
利用者要求受信部16はまた、利用者端末3を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員が閾値以下となった場合に、次回の共有鍵更新時にグループを解体することを意味するフラグ情報(グループ解体フラグ18)を有効にする。
また、グループ解体処理部20は、グループ管理部19により、新規のグループに属する利用者がm人になったことが通知されたとき、グループ解体フラグ18を参照し、グループ解体フラグ18が有効になっているグループの解体を行い、当該解体されたグループのグループ鍵を廃棄する機能を持つ。
【0017】
グループ再構成部21は、グループ構成部12を制御してグループ解体処理部20により解体されたグループに所属していた利用者からm人ずつのグループに再構成し、残った利用者を新規のグループに所属させ、また、グループ鍵作成部12を制御して当該グループの新たなグループ鍵を生成し、暗号化処理部13を介してそれぞれの利用者の個人鍵で暗号化し、利用者の利用者端末3へ配布する。
なお、鍵管理木構成部14は、グループ解体処理部20により解体されたグループ鍵が配置されていた節点に新たなグループ鍵を優先して配置し、当該解体されたグループが存在しない場合は鍵管理木に新たな節点を追加し、当該接点に新たなグループ鍵を配置する。また、共有鍵配布部15は、新たに配置されたグループ鍵の上位に位置する全ての共有鍵を更新し、暗号化処理部13を介して当該更新された全ての共有鍵を暗号化し、各グループに所属している利用者の利用者端末3に配布する。
【0018】
次に、上記のように利用者をグループ化する鍵管理方式において、鍵管理サーバの処理負荷および利用者の負荷軽減の観点から、利用者Nに対して、最適なグループの人数m、鍵管理木の次数dおよびグループを解体する場合のグループ構成人員の閾値tを最適化する方法について説明する。
【0019】
上記パラメータを最適化するために、まず、サーバの負荷および利用者の負荷を定式化して評価する。ここでは、単位時間あたり平均1人の利用者が参加をし、平均1人の利用者が脱退すると仮定し、サーバの負荷Sをサーバが単位時間あたり発行するメッセージの平均数、利用者の負荷を利用者が単位時間あたりに受け取るメッセージの最大数として評価する。ただし、メッセージとはサーバが利用者に配布する暗号化した鍵のことである。
【0020】
評価にあたって、まず、鍵更新処理の間隔を求める。鍵更新処理は、新規参加者のグループGnewに所属する参加者がm人になった時点で実行される。鍵更新処理が行われた直後に、Gnewに所属している利用者は平均でm/2人であるから、これから、鍵更新処理の平均間隔は、m/2単位時間となる。
【0021】
次に、サーバが利用者にメッセージを送信するのは、1)利用者の参加処理、2)利用者の脱退処理、3)グループの再構築、4)共有鍵の再配布のときであることから、これらの処理について評価を行う。
【0022】
<利用者の参加処理>
この場合、サーバは、既存の利用者に新しい鍵を古い鍵で暗号化して配布し、新規参加者に対しては、新しい鍵をその新規参加者の個人鍵で暗号化して配布する。すなわち、この処理に関して、サーバは単位時間あたり、平均2種類のメッセージを発行する。また、Gnewに所属する利用者は単位時間あたり、1個のメッセージを受け取ることになる。
【0023】
<利用者の脱退処理>
新規参加者の所属するグループGnewから利用者が脱退した場合、サーバは秘密鍵を更新し、これを残った利用者それぞれの個人鍵で暗号化して配布する。ここで、単位時間に利用者がグループGnewから脱退する確率はm/Nであるから、サーバは単位時間あたり、m2/N種類のメッセージを発行する。また、Gnewに所属する利用者は単位時間あたり、1個のメッセージを受け取ることになる。
【0024】
<グループの再構築>
単位時間あたり解体されるグループは、1/(mlog(m/t))個となる。これは、以下のことにより証明できる。すなわち、定常状態における利用者の人数がi人のグループの分布確率をpiとすると、単位時間にグループの人数が減少する確率はi/Nとなる。ただし、t+1≦i≦mである。
【0025】
また、グループの人数がt人以下になると、そのグループは解体され、新たなm人のグループが生成される。このため、定常状態における利用者の人数がi人のグループの分布確率をpiは、数1のようになる。また、piについては、数2の関係が成り立つため、piは、数3のように求まる。
【0026】
【数1】
【0027】
【数2】
【0028】
【数3】
【0029】
ここで、グループの総数はN/mであって、単位時間にグループが解体される確率は、pt+1・(t+1)/Nであるから、単位時間あたり解体されるグループの数は、数4のようになる。
【0030】
【数4】
【0031】
解体されたグループの利用者には、新たなグループ鍵を夫々の個人鍵で暗号化して配布する。このため、サーバが単位時間あたりに発行するメッセージは、1/log(m/t)個となる。また、解体されたグループの利用者は、新しいグループの鍵を1つ受け取るので、単位時間あたり2/m個のメッセージを受け取ることになる。
【0032】
<共有鍵の再配布>
本手法を用いた場合、鍵管理木の高さは、数5のようになる。この処理でサーバは、更新された共有鍵をこの鍵の子の位置にある共有鍵またはグループ鍵で暗号化し、利用者に配布する。ここで、新たに配置されるグループの数は、m/2個であるため、サーバは、数6に示す種類のメッセージを配布する必要がある。また、鍵更新処理は、m/2単位時間ごとに行われるため、この処理に関して、サーバは単位時間あたり、平均で数7に示す種類のメッセージを発行する。さらに、利用者は最大で数5に示すメッセージを受け取るため、これを単位時間に換算すると、受け取るメッセージの数は、数8のようになる。これらから、サーバの負荷は、各処理でサーバが発行するメッセージ数の和になるから、数9のようになる。
【0033】
【数5】
【0034】
【数6】
【0035】
【数7】
【0036】
【数8】
【0037】
【数9】
【0038】
次に、利用者の負荷を求める。ここで、新規参加者のグループGnewが、次回の鍵更新処理で解体されることはない。そのため、利用者の参加処理および利用者の脱退処理で受け取るメッセージ数の和と、グループの再構築および共有鍵の再配布で受け取るメッセージ数の和のうち、大きい方が、単位時間あたりに利用者が受け取るメッセージの最大数となる。すなわち、単位時間あたりに利用者が受け取るメッセージの最大数は、数10のようになる。
【0039】
【数10】
【0040】
次に、上記の内容に基づき、グループの人数m、鍵管理木の次数dおよびグループを解体する場合のグループ構成人員の閾値tの3つのパラメータを最適化する方法について説明する。
【0041】
<グループを解体する場合のグループ構成人員の閾値tの最適化>
グループを解体する場合のグループ構成人員の閾値tとサーバの負荷SN(m、d、t)とは、tを小さくするとサーバの負荷SN(m、d、t)が減少する関係にある。一方で、tを小さくすると、サービスを脱退した利用者が共有鍵を入手できる期間Δは、数11のようになる。
【0042】
【数11】
【0043】
つまり、i人のグループが、i−1人になるまでの期間をXi単位時間とすると、Xiは幾何分布Ge(i/N)に従うため、E[Xi]は、E[Xi]=N/iとなる。また、グループの人数がt人となったときにグループの解体を行うため、グループの更新間隔をX単位時間とすると、Xは、数12のようになる。これらから、E[X]は、数13のようになる。
【0044】
【数12】
【0045】
【数13】
【0046】
次に、最初にグループを脱退した利用者が、共有鍵を入手できる期間について考察すると、グループが買いたいされるまで、脱退した利用者は鍵更新処理で更新される共有鍵を入手でき、最初の利用者が脱退する時刻は、N/mからNlog(m/m−1)であることから、サービスを脱退した利用者が共有鍵を入手できる期間Δは、数14のようになる。
【0047】
【数14】
【0048】
なお、閾値tがm−1のとき、Δ=0となるが、閾値tがt<m−1のときには、数15のような関係となり、Nが大きいときΔも極めて大きくなる。このため、閾値tは、t=m−1とするのが最も最適である。
【0049】
【数15】
【0050】
<グループ人数の最適化>
数9に示されるように、サーバの負荷はmに従い増加する。一方で、数10に示すように、利用者の負荷はmの増加に従い減少するが、2より小さくなることはない。すなわち、利用者の負荷が2となる最小のmを選択すれば、利用者の負荷は最小となり、なおかつサーバの負担も大きくならない。ここで、利用者の負荷が2となるためには、数16、すなわち、数17に示すような関係になることが必要である。つまり、数17の関係を満足する最小の自然数が最適なmの値となる。
【0051】
【数16】
【0052】
【数17】
【0053】
ここで、数17を満たす最小の自然数を求めると、f(x)=xdX−1は、x>1において単調増加である。すなわち、f(x)≧Nとなる最小のx=mに対して、数18が成立する。ここで、両辺に対しdを底とする対数を取り、mで割ると、数19となる。ここで、mを無限大にすると、右辺、左辺ともに1に近づくため、はさみうちの定理により、数20のようになる。これから、最適なグループの人数mは、数21のようになる。
【0054】
【数18】
【0055】
【数19】
【0056】
【数20】
【0057】
【数21】
【0058】
<鍵管理木の次数の最適化>
数9に、先に求めたグループを解体する場合のグループ構成人員に関する最適な閾値t、すなわち、t=m−1および最適なグループの人数m=logdNを代入すると、数22のようになる。この数22の両辺をdで微分すると、数23になる。そして、S´=0とすれば、数24が得られる。
ここで、数24を満たすd=αは、3<α<4となり、S(N、4)<S(N、3)より、最適な鍵管理木の次数dは、d=4となる。
【0059】
【数22】
【0060】
【数23】
【0061】
【数24】
【0062】
ここで、上記最適化した値を用いて、サーバの負荷SNおよび利用者の負荷UNを算出すると、SN=5log4N、UN=2となる。一方、先に示した例えば、非特許文献1に示された方法によるサーバの負荷SNおよび利用者の負荷UNは、SN=N、UN=2であり、非特許文献4に示された方法によるサーバの負荷SNおよび利用者の負荷UNは、SN=7log5N、UN=log5Nである。これらのことから、本実施形態における方法は、従来の方法と比較して、サーバや利用者の負荷を軽減する方法であることがわかる。
【0063】
以上、本実施形態によれば、利用者をグループ化する鍵配送方式において、与えられた利用者数Nに対する各種パラメータ(グループの人数、鍵管理の次数、閾値)を最適化することにより、サーバおよび利用者の負荷を軽減できる。
【0064】
以上、この本発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0065】
【図1】本発明の実施形態に係わる本発明実施形態に係わる鍵配信システムのネットワーク接続形態を説明するために引用した図である。
【図2】本発明の実施形態に係わる鍵管理サーバの内部構成を示したブロック図である。
【符号の説明】
【0066】
1…鍵管理サーバ、2…コンテンツ配信サーバ、3…利用者端末、4…ネットワーク、10…鍵更新処理部、11…グループ構成部、12…グループ鍵作成部、13…暗号化処理部、14…鍵管理木構成部、15…共有鍵配布部、16…利用者要求受信部、17…グループ鍵更新部、18…グループ解体フラグ、19…グループ管理部、20…グループ解体処理部、21…グループ再構成部
【技術分野】
【0001】
本発明は、木構造を用いてコンテンツを暗号化する共有鍵を管理する鍵管理サーバに関する。
【背景技術】
【0002】
近年、高速なインターネット環境や大容量メディアが急速に普及している。これに伴い、映画、音楽、およびソフトウェアなどのディジタルコンテンツを、インターネットを介して配布するサービスが広がりつつある。
【0003】
ところで、これらのサービスでは著作権保護が大きな問題となる。ディジタルコンテンツのコピーは容易にでき、なおかつ劣化を生じない。このため、不正コピーにより、違法なコンテンツが広く流通することが考えられる。このため、不正コピーを防止し、利用者の適正な利用を促すために、配布時にコンテンツを暗号化することにより、正当な利用者のみがコンテンツを利用できるようにする方法がある。
【0004】
こうした技術に関しては、具体的に、木構造を持つ鍵を用いてコンテンツを暗号化するための共有鍵を共有し、管理する方法が従来から多数提案されている(例えば、特許文献1、非特許文献1、2、3、4参照)。
【特許文献1】特開2001−186119号公報
【非特許文献1】Mike Burmester and Yvo Desmedt.Asecure and efficient conference key distribution system (extended abstract).In EUROCRYPT,pages275−286,1994.
【非特許文献2】Daisuke Inoue and Masahiro Kuroda. Fdlkh:Fully decentralized key managment scheme on logical key hierarchy. In Proc. of 2nd International Conference on Applied Cryptography and Network Security(LNCS3089),pages pp.339−354,2004.
【非特許文献3】Hyungkyu Yang Junghyun Nam, Seungjoo Kim and Dongho Won.Secure group communica−tions over combined wired/wired/wireless networks. Cryptology ePrint Archive, Report 2004/260,2004.http://eprint.iacr.org/.
【非特許文献4】Chung Kei Wong,Mohamed G.Gouda S,Lam.Secure group communications using key graphs. In Proc.of the ACM SIGCOMM’98conference on Applications, tech−nologies, architectures, and protocols for computer communication, pages68−79,1998.
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、上記した特許文献1、および非特許文献1〜4に開示された技術に従い、木構造を持つ共有鍵の設計方法、共有鍵の生成方式、あるいは利用者間の負荷負担方法を工夫し、鍵更新の効率化を図ってきた。
しかしながら、これらの方式では共通して、利用者が新規入会、または脱会するたびに共有鍵を更新する必要がある。このことは、利用者が多いサービスでは、入会、または脱会を希望する利用者が頻繁に発生するため、規模が大きいサービスにこれらの方式を適用するのは現実的ではないことを意味する。
【0006】
こうした問題に対応して、複数の利用者をグループとして管理し、鍵の更新を行う方法も考えられるが、こうした複数の利用者をグループ化する鍵管理方式においては、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めなければ、サーバの負荷が大きくなるという問題がある。
【0007】
そこで、本発明は上記事情に鑑みてなされたものであり、サービスに入会した利用者は共有鍵を直ちに入手したいことと、サービスから脱会した利用者が保持している共有鍵はいずれ使えなくなることに着目し、かつ、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めることにより、利用者の負担を軽減し、利便性を高めるとともに、サーバの負荷をも軽減できる鍵管理サーバを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記した課題を解決するために本発明は、ネットワークを介してコンテンツを配信するコンテンツ配信サーバと該コンテンツを利用する利用者端末とに接続され、木構造を用いて、コンテンツを暗号化する共有鍵を管理する鍵管理サーバであって、N人の利用者をlog4N人ずつグルーピングし、余りの利用者を前記それぞれのグループとは独立したグループに所属させるグループ構成部と、前記グループ毎に、当該グループに属する利用者全員が共有するグループ鍵、および前記グループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、前記利用者端末に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、前記利用者端末を介して受信される利用者の入会もしくは脱会要求に基づき、前記それぞれのグループ単位に一括して前記共有鍵の更新を行い、当該更新した共有鍵を前記コンテンツ配信サーバに提供する鍵更新処理部とを備えたことを特徴とする。
【0009】
また、本発明は、前記鍵更新処理部が前記利用者端末を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員がm−1以下となった場合に、次回の共有鍵更新時に前記グループを解体することを意味するフラグ情報を有効にすることを特徴とする。
【発明の効果】
【0010】
本発明によれば、鍵管理木の次数やグループの人数、グループ解体の閾値等を適切に定めることにより、利用者の負担を軽減し、利便性を高めるとともに、サーバの負荷をも軽減できるという効果がある。
【発明を実施するための最良の形態】
【0011】
図1は、本発明の実施形態に係わる鍵管理サーバが用いられる鍵配信システムのネットワーク接続形態を説明するために引用した図である。
図1において、鍵配信サーバ1、コンテンツ配信サーバ2、利用者端末3は、いずれもIP網等のネットワーク4に接続されている。
【0012】
鍵配信サーバ1は、後述するように、N人の利用者をm人ずつグルーピングし、N/m個のグループと、余りのN mod m人の利用者を前記それぞれのグルプとは独立したグループに所属させる。また、そのグループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびそのグループ鍵を持つ全てのグループ間で共有する前記木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の新規入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する役割を持つ。
また、コンテンツ配信サーバ2は、全てのグループに属する利用者が共有する共有鍵、および新規入会した利用者が属しているグループのグループ鍵を用いてコンテンツを暗号化し、それぞれのグループに属している利用者の利用者端末3に配信する役割を持つ。
【0013】
図2は、本発明の実施形態に係わる鍵管理サーバの内部構成を示すブロック図である。
本発明の実施形態の鍵管理サーバ1は、鍵更新処理部10と、グループ構成部11によって構成される。グループ構成部11は、N人の利用者をm人ずつグルーピングし、N/m個のグループと、余りのN mod m人の利用者を前記それぞれのグルプとは独立したグループに所属させる。また、鍵更新処理部10は、グループ構成部11によって構成されたグループ毎、当該グループに属する利用者全員が共有するグループ鍵、およびそのグループ鍵を持つ全てのグループ間で共有する前記木構造を持つ共有鍵を生成し、利用者端末3に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、利用者端末3を介して受信される利用者の新規入会もしくは脱会要求に基づき、それぞれのグループを単位に一括して共有鍵の更新を行い、当該更新した共有鍵をコンテンツ配信サーバ2に提供する
【0014】
鍵更新処理部10は、さらに、グループ鍵作成部12と、暗号化処理部13と、鍵管理木構成部14と、共有鍵配布部15と、利用者要求受信部16と、グループ鍵更新部17と、グループ解体フラグ18と、グループ管理部19と、グループ解体処理部20と、グループ再構成部21で構成される。
【0015】
ここで、利用者要求受信部16は、利用者端末3を介して利用者の入会要求を受信したとき、当該利用者を独立した新規のグループに所属させ、グループ鍵更新部17を起動し、当該グループ鍵更新部17が対応するグループ鍵を更新してグループ鍵作成部12へ供給する。
このとき、暗号化処理部13は、更新したグループ鍵を独立したグループに属する全ての利用者の利用者端末3に対して暗号化して配布すると共に、既存の利用者の利用者端末3に対し、更新前のグループ鍵で暗号化した共有鍵を配布し、新規入会した利用者の利用者端末3に対し、その利用者の個人鍵で暗号化した共有鍵を配布する。
【0016】
利用者要求受信部16はまた、利用者端末3を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員が閾値以下となった場合に、次回の共有鍵更新時にグループを解体することを意味するフラグ情報(グループ解体フラグ18)を有効にする。
また、グループ解体処理部20は、グループ管理部19により、新規のグループに属する利用者がm人になったことが通知されたとき、グループ解体フラグ18を参照し、グループ解体フラグ18が有効になっているグループの解体を行い、当該解体されたグループのグループ鍵を廃棄する機能を持つ。
【0017】
グループ再構成部21は、グループ構成部12を制御してグループ解体処理部20により解体されたグループに所属していた利用者からm人ずつのグループに再構成し、残った利用者を新規のグループに所属させ、また、グループ鍵作成部12を制御して当該グループの新たなグループ鍵を生成し、暗号化処理部13を介してそれぞれの利用者の個人鍵で暗号化し、利用者の利用者端末3へ配布する。
なお、鍵管理木構成部14は、グループ解体処理部20により解体されたグループ鍵が配置されていた節点に新たなグループ鍵を優先して配置し、当該解体されたグループが存在しない場合は鍵管理木に新たな節点を追加し、当該接点に新たなグループ鍵を配置する。また、共有鍵配布部15は、新たに配置されたグループ鍵の上位に位置する全ての共有鍵を更新し、暗号化処理部13を介して当該更新された全ての共有鍵を暗号化し、各グループに所属している利用者の利用者端末3に配布する。
【0018】
次に、上記のように利用者をグループ化する鍵管理方式において、鍵管理サーバの処理負荷および利用者の負荷軽減の観点から、利用者Nに対して、最適なグループの人数m、鍵管理木の次数dおよびグループを解体する場合のグループ構成人員の閾値tを最適化する方法について説明する。
【0019】
上記パラメータを最適化するために、まず、サーバの負荷および利用者の負荷を定式化して評価する。ここでは、単位時間あたり平均1人の利用者が参加をし、平均1人の利用者が脱退すると仮定し、サーバの負荷Sをサーバが単位時間あたり発行するメッセージの平均数、利用者の負荷を利用者が単位時間あたりに受け取るメッセージの最大数として評価する。ただし、メッセージとはサーバが利用者に配布する暗号化した鍵のことである。
【0020】
評価にあたって、まず、鍵更新処理の間隔を求める。鍵更新処理は、新規参加者のグループGnewに所属する参加者がm人になった時点で実行される。鍵更新処理が行われた直後に、Gnewに所属している利用者は平均でm/2人であるから、これから、鍵更新処理の平均間隔は、m/2単位時間となる。
【0021】
次に、サーバが利用者にメッセージを送信するのは、1)利用者の参加処理、2)利用者の脱退処理、3)グループの再構築、4)共有鍵の再配布のときであることから、これらの処理について評価を行う。
【0022】
<利用者の参加処理>
この場合、サーバは、既存の利用者に新しい鍵を古い鍵で暗号化して配布し、新規参加者に対しては、新しい鍵をその新規参加者の個人鍵で暗号化して配布する。すなわち、この処理に関して、サーバは単位時間あたり、平均2種類のメッセージを発行する。また、Gnewに所属する利用者は単位時間あたり、1個のメッセージを受け取ることになる。
【0023】
<利用者の脱退処理>
新規参加者の所属するグループGnewから利用者が脱退した場合、サーバは秘密鍵を更新し、これを残った利用者それぞれの個人鍵で暗号化して配布する。ここで、単位時間に利用者がグループGnewから脱退する確率はm/Nであるから、サーバは単位時間あたり、m2/N種類のメッセージを発行する。また、Gnewに所属する利用者は単位時間あたり、1個のメッセージを受け取ることになる。
【0024】
<グループの再構築>
単位時間あたり解体されるグループは、1/(mlog(m/t))個となる。これは、以下のことにより証明できる。すなわち、定常状態における利用者の人数がi人のグループの分布確率をpiとすると、単位時間にグループの人数が減少する確率はi/Nとなる。ただし、t+1≦i≦mである。
【0025】
また、グループの人数がt人以下になると、そのグループは解体され、新たなm人のグループが生成される。このため、定常状態における利用者の人数がi人のグループの分布確率をpiは、数1のようになる。また、piについては、数2の関係が成り立つため、piは、数3のように求まる。
【0026】
【数1】
【0027】
【数2】
【0028】
【数3】
【0029】
ここで、グループの総数はN/mであって、単位時間にグループが解体される確率は、pt+1・(t+1)/Nであるから、単位時間あたり解体されるグループの数は、数4のようになる。
【0030】
【数4】
【0031】
解体されたグループの利用者には、新たなグループ鍵を夫々の個人鍵で暗号化して配布する。このため、サーバが単位時間あたりに発行するメッセージは、1/log(m/t)個となる。また、解体されたグループの利用者は、新しいグループの鍵を1つ受け取るので、単位時間あたり2/m個のメッセージを受け取ることになる。
【0032】
<共有鍵の再配布>
本手法を用いた場合、鍵管理木の高さは、数5のようになる。この処理でサーバは、更新された共有鍵をこの鍵の子の位置にある共有鍵またはグループ鍵で暗号化し、利用者に配布する。ここで、新たに配置されるグループの数は、m/2個であるため、サーバは、数6に示す種類のメッセージを配布する必要がある。また、鍵更新処理は、m/2単位時間ごとに行われるため、この処理に関して、サーバは単位時間あたり、平均で数7に示す種類のメッセージを発行する。さらに、利用者は最大で数5に示すメッセージを受け取るため、これを単位時間に換算すると、受け取るメッセージの数は、数8のようになる。これらから、サーバの負荷は、各処理でサーバが発行するメッセージ数の和になるから、数9のようになる。
【0033】
【数5】
【0034】
【数6】
【0035】
【数7】
【0036】
【数8】
【0037】
【数9】
【0038】
次に、利用者の負荷を求める。ここで、新規参加者のグループGnewが、次回の鍵更新処理で解体されることはない。そのため、利用者の参加処理および利用者の脱退処理で受け取るメッセージ数の和と、グループの再構築および共有鍵の再配布で受け取るメッセージ数の和のうち、大きい方が、単位時間あたりに利用者が受け取るメッセージの最大数となる。すなわち、単位時間あたりに利用者が受け取るメッセージの最大数は、数10のようになる。
【0039】
【数10】
【0040】
次に、上記の内容に基づき、グループの人数m、鍵管理木の次数dおよびグループを解体する場合のグループ構成人員の閾値tの3つのパラメータを最適化する方法について説明する。
【0041】
<グループを解体する場合のグループ構成人員の閾値tの最適化>
グループを解体する場合のグループ構成人員の閾値tとサーバの負荷SN(m、d、t)とは、tを小さくするとサーバの負荷SN(m、d、t)が減少する関係にある。一方で、tを小さくすると、サービスを脱退した利用者が共有鍵を入手できる期間Δは、数11のようになる。
【0042】
【数11】
【0043】
つまり、i人のグループが、i−1人になるまでの期間をXi単位時間とすると、Xiは幾何分布Ge(i/N)に従うため、E[Xi]は、E[Xi]=N/iとなる。また、グループの人数がt人となったときにグループの解体を行うため、グループの更新間隔をX単位時間とすると、Xは、数12のようになる。これらから、E[X]は、数13のようになる。
【0044】
【数12】
【0045】
【数13】
【0046】
次に、最初にグループを脱退した利用者が、共有鍵を入手できる期間について考察すると、グループが買いたいされるまで、脱退した利用者は鍵更新処理で更新される共有鍵を入手でき、最初の利用者が脱退する時刻は、N/mからNlog(m/m−1)であることから、サービスを脱退した利用者が共有鍵を入手できる期間Δは、数14のようになる。
【0047】
【数14】
【0048】
なお、閾値tがm−1のとき、Δ=0となるが、閾値tがt<m−1のときには、数15のような関係となり、Nが大きいときΔも極めて大きくなる。このため、閾値tは、t=m−1とするのが最も最適である。
【0049】
【数15】
【0050】
<グループ人数の最適化>
数9に示されるように、サーバの負荷はmに従い増加する。一方で、数10に示すように、利用者の負荷はmの増加に従い減少するが、2より小さくなることはない。すなわち、利用者の負荷が2となる最小のmを選択すれば、利用者の負荷は最小となり、なおかつサーバの負担も大きくならない。ここで、利用者の負荷が2となるためには、数16、すなわち、数17に示すような関係になることが必要である。つまり、数17の関係を満足する最小の自然数が最適なmの値となる。
【0051】
【数16】
【0052】
【数17】
【0053】
ここで、数17を満たす最小の自然数を求めると、f(x)=xdX−1は、x>1において単調増加である。すなわち、f(x)≧Nとなる最小のx=mに対して、数18が成立する。ここで、両辺に対しdを底とする対数を取り、mで割ると、数19となる。ここで、mを無限大にすると、右辺、左辺ともに1に近づくため、はさみうちの定理により、数20のようになる。これから、最適なグループの人数mは、数21のようになる。
【0054】
【数18】
【0055】
【数19】
【0056】
【数20】
【0057】
【数21】
【0058】
<鍵管理木の次数の最適化>
数9に、先に求めたグループを解体する場合のグループ構成人員に関する最適な閾値t、すなわち、t=m−1および最適なグループの人数m=logdNを代入すると、数22のようになる。この数22の両辺をdで微分すると、数23になる。そして、S´=0とすれば、数24が得られる。
ここで、数24を満たすd=αは、3<α<4となり、S(N、4)<S(N、3)より、最適な鍵管理木の次数dは、d=4となる。
【0059】
【数22】
【0060】
【数23】
【0061】
【数24】
【0062】
ここで、上記最適化した値を用いて、サーバの負荷SNおよび利用者の負荷UNを算出すると、SN=5log4N、UN=2となる。一方、先に示した例えば、非特許文献1に示された方法によるサーバの負荷SNおよび利用者の負荷UNは、SN=N、UN=2であり、非特許文献4に示された方法によるサーバの負荷SNおよび利用者の負荷UNは、SN=7log5N、UN=log5Nである。これらのことから、本実施形態における方法は、従来の方法と比較して、サーバや利用者の負荷を軽減する方法であることがわかる。
【0063】
以上、本実施形態によれば、利用者をグループ化する鍵配送方式において、与えられた利用者数Nに対する各種パラメータ(グループの人数、鍵管理の次数、閾値)を最適化することにより、サーバおよび利用者の負荷を軽減できる。
【0064】
以上、この本発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【図面の簡単な説明】
【0065】
【図1】本発明の実施形態に係わる本発明実施形態に係わる鍵配信システムのネットワーク接続形態を説明するために引用した図である。
【図2】本発明の実施形態に係わる鍵管理サーバの内部構成を示したブロック図である。
【符号の説明】
【0066】
1…鍵管理サーバ、2…コンテンツ配信サーバ、3…利用者端末、4…ネットワーク、10…鍵更新処理部、11…グループ構成部、12…グループ鍵作成部、13…暗号化処理部、14…鍵管理木構成部、15…共有鍵配布部、16…利用者要求受信部、17…グループ鍵更新部、18…グループ解体フラグ、19…グループ管理部、20…グループ解体処理部、21…グループ再構成部
【特許請求の範囲】
【請求項1】
ネットワークを介してコンテンツを配信するコンテンツ配信サーバと該コンテンツを利用する利用者端末とに接続され、木構造を用いて、コンテンツを暗号化する共有鍵を管理する鍵管理サーバであって、
N人の利用者をlog4N人ずつグルーピングし、余りの利用者を前記それぞれのグループとは独立したグループに所属させるグループ構成部と、
前記グループ毎に、当該グループに属する利用者全員が共有するグループ鍵、および前記グループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、前記利用者端末に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、前記利用者端末を介して受信される利用者の入会もしくは脱会要求に基づき、前記それぞれのグループ単位に一括して前記共有鍵の更新を行い、当該更新した共有鍵を前記コンテンツ配信サーバに提供する鍵更新処理部と、
を備えたことを特徴とする鍵管理サーバ。
【請求項2】
前記鍵更新処理部は、
前記利用者端末を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員がm−1以下となった場合に、次回の共有鍵更新時に前記グループを解体することを意味するフラグ情報を有効にすることを特徴とする請求項1に記載の鍵管理サーバ。
【請求項1】
ネットワークを介してコンテンツを配信するコンテンツ配信サーバと該コンテンツを利用する利用者端末とに接続され、木構造を用いて、コンテンツを暗号化する共有鍵を管理する鍵管理サーバであって、
N人の利用者をlog4N人ずつグルーピングし、余りの利用者を前記それぞれのグループとは独立したグループに所属させるグループ構成部と、
前記グループ毎に、当該グループに属する利用者全員が共有するグループ鍵、および前記グループ鍵を持つ全てのグループ間で共有する4次の木構造を持つ共有鍵を生成し、前記利用者端末に対し、それぞれの利用者の個人鍵で暗号化して配布すると共に、前記利用者端末を介して受信される利用者の入会もしくは脱会要求に基づき、前記それぞれのグループ単位に一括して前記共有鍵の更新を行い、当該更新した共有鍵を前記コンテンツ配信サーバに提供する鍵更新処理部と、
を備えたことを特徴とする鍵管理サーバ。
【請求項2】
前記鍵更新処理部は、
前記利用者端末を介して脱会要求を受信したとき、脱会する利用者が属していたグループの構成人員がm−1以下となった場合に、次回の共有鍵更新時に前記グループを解体することを意味するフラグ情報を有効にすることを特徴とする請求項1に記載の鍵管理サーバ。
【図1】
【図2】
【図2】
【公開番号】特開2006−303998(P2006−303998A)
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願番号】特願2005−123962(P2005−123962)
【出願日】平成17年4月21日(2005.4.21)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成18年11月2日(2006.11.2)
【国際特許分類】
【出願日】平成17年4月21日(2005.4.21)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]