密钥交换方法、密钥交换系统、密钥分发装置、通信装置、及程序制造方法及图纸

在允许动态的成员变更的同时，多个用户共享公共密钥，降低密钥交换所需的计算量。第一密钥生成单元(212)使用扭曲伪随机函数计算Ri,ci。会话ID生成单元(113)通过目标碰撞困难散列函数生成sid，并将(sid,Rα,Rβ)发送到通信装置Ui。代表通信装置U1的第二密钥生成单元(214)使用伪随机函数计算T1。普通通信装置Uj的第二密钥生成单元(214)使用伪随机函数计算Tj。第三密钥生成单元(115)使用扭曲伪随机函数计算k'，对于各j计算T'j。普通通信装置Uj的会话密钥生成单元(217)计算Kj

Key exchange method, key exchange system, key distribution device, communication device, and program

While allowing dynamic members to change, multiple users share the public key to reduce the amount of computation needed for key exchange. The first key generation unit (212) uses a distorted pseudorandom function to calculate Ri, CI. The session ID generation unit (113) generates Sid through the target collision hash function, and sends (SID, R a, R beta) to the communication device Ui. The second key generation unit (214) representing the communication device U1 (214) uses a pseudo random function to calculate the T1. The second key generation unit (214) of the common communication device Uj uses a pseudo random function to calculate the Tj. The third key generation unit (115) uses a distorted pseudorandom function to calculate k'and T'j for each J. The session key generation unit (217) of the common communication device Uj (217) computing Kj

【技术实现步骤摘要】
【国外来华专利技术】密钥交换方法、密钥交换系统、密钥分发装置、通信装置、及程序
本专利技术涉及信息安全技术的应用，特别是涉及形成组的多个用户共享公共密钥的密钥交换技术。
技术介绍
目前，提出有形成组的多个用户共享公共密钥的密钥交换技术(例如，参照非专利文献1、2)。非专利文献1中记载有实现这种密钥交换技术的信息系统的构架。非专利文献2中记载有这种密钥交换技术的算法。现有技术文献非专利文献非专利文献1：SuvoMittra,“Iolus:aframeworkforscalablesecuremulticasting”,SIGCOMM'97,pp.277-288非专利文献2：“ScalableMulticastKeyDistribution”、[online]、[平成27年6月5日检索]、因特网<URL:https://tools.ietf.org/html/rfc1949>专利技术所要解决的课题非专利文献1、2所记载的现有技术中，需要预先注册共享公共密钥的用户，因此，不能在允许动态成员变更的同时，多个用户共享公共密钥。另外，因为将用户数设为n，作为整体，密钥交换所需的计算量成为O(logn)，所以存在随着用户数的增大而密钥交换的计算量增加的问题。
技术实现思路
本专利技术的目的是，鉴于这一点，提供能够在允许动态成员变更的同时，多个用户共享公共密钥，能够降低密钥交换所需的计算量的密钥交换技术。用于解决课题的技术方案为了解决所述的课题，本专利技术提供一种密钥交换方法，将n设为2以上的整数，将i设为1至n的各整数，将j设为2至n的各整数，将S设为密钥分发装置，将Ui设为n台的通信装置，将U1设为从所述通信装置Ui选择的1台代表通信装置，将Uj设为从所述通信装置Ui除去了所述代表通信装置U1的n-1台的普通通信装置，将||设为连结运算符，将α,β设为由下式定义的整数，在密钥分发装置S的存储单元存储有密钥分发装置S的公开密钥密码的秘密密钥skS及秘密字符串stS,st'S，在通信装置Ui的存储单元存储有通信装置Ui的公开密钥密码的秘密密钥ski及秘密字符串sti,st'i，密钥交换方法包含：通信装置Ui通过扭曲伪随机函数，使用秘密字符串sti,st'i生成ri,ki,si，计算Ri＝gri及ci＝gkihsi，将(Ri,ci)发送到密钥分发装置S的第一密钥生成步骤；密钥分发装置S通过目标碰撞困难散列函数，使用c1,…,cn生成sid，对于各i，将(sid,Rα,Rβ)发送到通信装置Ui的会话ID生成步骤；代表通信装置U1通过伪随机函数，使用(sid,Rnr1)生成K1l，通过K1l和k1||s1的“异或”计算T1，并将T1发送到密钥分发装置S的代表第二密钥生成步骤；普通通信装置Uj通过伪随机函数，使用(sid,Rαrj)生成Kjl，通过伪随机函数，使用(sid,Rβrj)生成Kjr，通过Kjl和Kjr的“异或”计算Tj，并将(kj,sj,Tj)发送到密钥分发装置S的普通第二密钥生成步骤；密钥分发装置S通过扭曲伪随机函数，使用秘密字符串stS,st'S生成ks，通过k2,…,kn,ks的“异或”计算k'，对于各j，通过T1,…,Tj-1的“异或”计算T'j，并将k'发送到代表通信装置U1，将(k',T'j,T1)发送到普通通信装置Uj的第三密钥生成步骤；普通通信装置Uj通过T'j和Kjr的“异或”计算Kjl，并通过T1和Kjl的“异或”计算k1||s1的第一会话密钥生成步骤；通信装置Ui通过伪随机函数，使用sid及k'和k1的“异或”生成公共密钥K2的第二会话密钥生成步骤。专利技术效果根据本专利技术，能够在允许动态成员变更的同时，多个用户共享公共密钥。密钥交换所需的计算量成为用户数的常数次、即O(1)，与以往相比被消减。附图说明图1是示例密钥交换系统的功能结构的图。图2(A)是示例密钥分发装置的功能结构的图，图2(B)是示例通信装置的功能结构的图。图3是表示密钥交换方法的处理流程的图。图4是示例密钥交换方法的处理流程的图。具体实施方式在说明实施方式之前，说明该说明书的表述方法。关于某集合Set，将从Set随机选择要素m表述为m∈RSet。关于某算法ALG，将ALG对于输入x和随机数r输出y表述为y←ALG(x；r)。此外，ALG为确定的算法的情况下，随机数r为空。|·|为值·的位长。将к设为安全参数。将F＝{Fк:Domк×FSк→Rngк}к设为具有定义域{Domк}к、密钥空间{FSк}к、值域{Rngк}к的函数族。此时，如果相对于任意的多项式时间的识别者D不能分辨函数Fк和真正随机函数RFк:Domк→Rngк，则将F＝{Fк}к称作伪随机函数族。伪随机函数的具体例例如记载于下述参考文献1。〔参考文献1〕O.ゴールドライヒ著、“現代暗号·確立証明·擬似乱数”、シュプリンガー·フェアラーク東京、2001年将H＝{Hк:Domк→Rngк}к设为具有定义域{Domк}к、值域{Rngк}к的散列函数族。此时，如果对于任意的多项式时间的攻击者A，在赋予了x∈RDomк之后未发现成为Hк(x)＝Hк(x')那种的x'(≠x)，则将H＝{Hк}к称作目标碰撞困难散列函数族。目标碰撞困难散列函数的具体例例如记载于下述参考文献2。〔参考文献2〕J.A.ブーフマン著、“暗号理論入門原書第3版”、丸善出版、2007年将公开密钥密码算法设为(Gen,Enc,Dec)。密钥生成算法Gen以安全参数к为输入，以公开密钥pk和秘密密钥sk为输出。加密算法Enc以公开密钥pk和明文m为输入，以密文CT为输出。解密算法Dec以秘密密钥sk和密文CT为输入，以明文m为输出。公开密钥密码算法的具体例例如记载于上述参考文献2。将消息认证码算法设为(MGen,Tag,Ver)。MAC密钥生成算法MGen以安全参数к为输入，以MAC密钥mk为输出。标志生成算法Tag以MAC密钥mk和明文m为输入，以认证标志σ为输出。验证算法Ver以MAC密钥mk、明文m、认证标志σ为输入，如果认证标志σ正确，则输出1，如果不正确，则输出0。消息认证码算法的具体例例如记载于上述参考文献2。将函数加密算法设为(Setup,Der,FEnc,FDec)。设置算法Setup以安全参数к为输入，输出主秘密密钥msk和公开参数Params。密钥导出算法Der以公开参数Params、主秘密密钥msk、属性A为输入，输出用户秘密密钥usk。加密算法FEnc以公开参数Params、访问结构P、明文m为输入，输出密文CT。解密算法FDec以用户秘密密钥usk和密文CT为输入，如果属性A满足访问结构P，则输出明文m。函数加密算法的具体例例如记载于下述参考文献3。〔参考文献3〕D.Boneh,A.Sahai,andB.Waters,“Functionalencryption:definitionsandchallenges”,TCC,LectureNotesinComputerScience,vol.6597,pp.253-273,2011.将函数tPRF:{0,1}к×FSк×{0,1}к×FSк→Rngк称作扭曲伪随机函数，使用伪随机函数Fк，定义为：其中，a,b'∈{0,1}к，a',本文档来自技高网...

【技术保护点】
一种密钥交换方法，将n设为2以上的整数，将i设为1至n的各整数，将j设为2至n的各整数，将S设为密钥分发装置，将Ui设为n台的通信装置，将U1设为从所述通信装置Ui选择的1台代表通信装置，将Uj设为从所述通信装置Ui除去了所述代表通信装置U1的n‑1台的普通通信装置，将||设为连结运算符，将α、β设为由下式定义的整数，

【技术特征摘要】
【国外来华专利技术】2015.06.09 JP 2015-1163221.一种密钥交换方法，将n设为2以上的整数，将i设为1至n的各整数，将j设为2至n的各整数，将S设为密钥分发装置，将Ui设为n台的通信装置，将U1设为从所述通信装置Ui选择的1台代表通信装置，将Uj设为从所述通信装置Ui除去了所述代表通信装置U1的n-1台的普通通信装置，将||设为连结运算符，将α、β设为由下式定义的整数，在所述密钥分发装置S的存储单元存储有所述密钥分发装置S的公开密钥密码的秘密密钥skS及秘密字符串stS,st'S，在所述通信装置Ui的存储单元存储有所述通信装置Ui的公开密钥密码的秘密密钥ski及秘密字符串sti,st'i，所述密钥交换方法包含：所述通信装置Ui通过扭曲伪随机函数，使用所述秘密字符串sti,st'i生成ri,ki,si，计算Ri＝gri及ci＝gkihsi，将(Ri,ci)发送到所述密钥分发装置S的第一密钥生成步骤；所述密钥分发装置S通过目标碰撞困难散列函数，使用c1,…,cn生成sid，对于各i，将(sid,Rα,Rβ)发送到所述通信装置Ui的会话ID生成步骤；所述代表通信装置U1通过伪随机函数，使用(sid,Rnr1)生成K1l，通过K1l和k1||s1的“异或”计算T1，并将T1发送到所述密钥分发装置S的代表第二密钥生成步骤；所述普通通信装置Uj通过伪随机函数，使用(sid,Rαrj)生成Kjl，通过伪随机函数，使用(sid,Rβrj)生成Kjr，通过Kjl和Kjr的“异或”计算Tj，并将(kj,sj,Tj)发送到所述密钥分发装置S的普通第二密钥生成步骤；所述密钥分发装置S通过扭曲伪随机函数，使用所述秘密字符串stS,st'S生成ks，通过k2,…,kn,ks的“异或”计算k'，对于各j，通过T1,…,Tj-1的“异或”计算T'j，并将k'发送到所述代表通信装置U1，将(k',T'j,T1)发送到所述普通通信装置Uj的第三密钥生成步骤；所述普通通信装置Uj通过T'j和Kjr的“异或”计算Kjl，并通过T1和Kjl的“异或”计算k1||s1的第一会话密钥生成步骤；以及所述通信装置Ui通过伪随机函数，使用sid及k'和k1的“异或”生成公共密钥K2的第二会话密钥生成步骤。2.如权利要求1所述的密钥交换方法，其中，将time设为当前时刻，将ID设为表示所述通信装置的谓词变量，将TF设为表示所述通信装置的时帧的谓词变量，在所述密钥分发装置S的存储单元还存储有函数加密的主秘密密钥msk，所述密钥交换方法还包含：所述密钥分发装置S对于各i，将属性设为Ai＝(Ui,time)，通过函数加密的密钥导出算法，使用所述主秘密密钥msk生成用户秘密密钥uski，通过公开密钥密码的加密算法，使用所述通信装置Ui的公开密钥pki将所述用户秘密密钥uski加密而生成密文CTi的用户密钥发送步骤；所述通信装置Ui通过公开密钥密码的解密算法，使用所述秘密密钥ski将所述密文CTi解密而得到所述用户秘密密钥uski的用户密钥接收步骤，所述第三密钥生成步骤通过扭曲伪随机函数，使用所述秘密字符串stS,st'S生成公共密钥K1，对于各i，将访问结构设为Pi＝(ID＝Ui)∧(time∈TF)，通过函数加密的加密算法加密所述公共密钥K1而生成密文CT'i，所述第二会话密钥生成步骤通过函数加密的解密算法，使用所述用户秘密密钥uski解密所述密文CT'i而得到所述公共密钥K1，且利用通过伪随机函数使用(sid,K1)生成的值和通过伪随机函数使用(sid,K2)生成的值的“异或”计算会话密钥SK。3.如权利要求2所述的密钥交换方法，其中，所述用户密钥发送步骤通过消息认证码的密钥生成算法生成MAC密钥mki，通过公开密钥密码的加密算法，使用所述通信装置Ui的公开密钥pki加密所述用户秘密密钥uski及所述MAC密钥mki而生成所述密文CTi，所述用户密钥接收步骤通过公开密钥密码的解密算法，使用所述秘密密钥ski解密所述密文CTi而得到所述用户秘密密钥uski及所述MAC密钥mki，密钥交换方法还包含：所述代表通信装置U1通过消息认证码的标志生成算法，使用所述MAC密钥mk1及R1,c1,Rn,R2,T1,U1,sid，生成认证标志σ1的代表第一认证标志生成步骤；所述普通通信装置Uj通过消息认证码的标志生成算法，使用所述MAC密钥mkj及Rj,cj,Rα,Rβ,kj,sj,Tj,Uj,sid，生成认证标志σj的普通第一认证标志生成步骤；所述密钥分发装置S通过消息认证码的验证算法，使用所述MAC密钥mk1及R1,c1,Rn,R2,T1,U1,sid验证所述认证标志σ1，对于各j，通过消息认证码的验证算法，使用所述MAC密钥mkj及Rj,cj,Rα,Rβ,kj,sj,Tj,Uj,sid验证所述认证标志σj，验证cj＝gkjhsj是否成立的第一认证标志验证步骤；所述密钥分发装置S通过消息认证码的标志生成算法，使用所述MAC密钥mk1及R1,c1,Rn,R2,T1,U1,sid,k',CT'1生成认证标志σ'1，对于各j，通过消息认证码的标志生成算法，使用所述MAC密钥mkj及Rj,cj,Rα,Rβ,kj,sj,Tj,Uj,sid,c1,k',T'j,T1,CT'j生成认证标志σ'j的第二认证标志生成步骤；所述代表通信装置U1通过消息认证码的验证算法，使用所述MAC密钥mk1及R1,c1,Rn,R2,T1,U1,sid,k',CT'1验证所述认证标志σ'1的代表第二认证标志验证步骤；以及所述普通通信装置Uj通过消息认证码的验证算法，使用所述MAC密钥mkj及Rj,cj,Rα,Rβ,kj,sj,Tj,Uj,sid,c1,k',T'j,T1,...

【专利技术属性】
技术研发人员：吉田丽生，富士仁，小林铁太郎，山本具英，川原祐人，米山一树，
申请(专利权)人：日本电信电话株式会社，
类型：发明
国别省市：日本,JP