JPH11340962A - 鍵配送方法及び装置 - Google Patents

鍵配送方法及び装置

Info

Publication number
JPH11340962A
JPH11340962A JP10142887A JP14288798A JPH11340962A JP H11340962 A JPH11340962 A JP H11340962A JP 10142887 A JP10142887 A JP 10142887A JP 14288798 A JP14288798 A JP 14288798A JP H11340962 A JPH11340962 A JP H11340962A
Authority
JP
Japan
Prior art keywords
key
creator
information
user
secret
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10142887A
Other languages
English (en)
Inventor
Genji Nishioka
玄次 西岡
Masanori Yamazaki
正憲 山▲崎▼
Hisashi Umeki
久志 梅木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10142887A priority Critical patent/JPH11340962A/ja
Publication of JPH11340962A publication Critical patent/JPH11340962A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】受信者(鍵利用者)が多い場合でも鍵共有のた
めのデータ長を短くすることができ、かつ、結託攻撃に
対して有効な鍵配送方法を提供する。 【解決手段】放送局100は、自身の秘密情報でなる有限
集合A(={s(ij)|1≦i≦m,1≦j≦n})と集合Vj(={(X1〜X
m)|fj(X1〜Xm,s(1j)〜s(mj))=0}、fjは集合{(z1〜z2m)|
ziは整数}から集合Wj(∋0)への写像)を作成する。(r
(x,ij)) (1≦i≦m)∈Vjをランダムに選び、s(x,i)=r(x,
γ(i))(1≦i≦mn)(γは集合{1〜mn}から集合{ij}への
写像で、放送局の秘密とする)を受信者xの秘密鍵とす
る。s(ij)に対応する情報としてu(ij)を作成し、y(i)=u
(γ(i))(1≦i≦mn)とする。s(x,i)を用いて受信者xの
識別情報dxを計算し、y(1)〜y(mn)、識別情報dxを受信
者xに送信する。受信者x200は、適当な関数hを用いて、
K=h(s(x,1)〜s(x,mn),y(1)〜y(mn),dx)により共通鍵Kを
計算する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、同報暗号通信を行
なうことを目的として、送信者(鍵作成者)と受信者
(鍵利用者)とが、送信データを暗号化/復号化するた
めの共通の鍵を共有するための、鍵配送方法および装置
に関する。
【0002】
【従来の技術】従来より、同報暗号通信(鍵管理)方法
について、幾つかの方法が提案されている。
【0003】たとえば、文献「S.J.Kent:Security requ
irement and protocols for a broadcast scenario,IEE
E Trans. Commun.,COM-29,6,pp.778-786(1981)」に記載
のコピー鍵方式は基本的である。
【0004】コピー鍵方式とは、従来の1対1の暗号個
別通信を、単純に同報通信に拡張したものである。1種
類の鍵のコピーを、送信者と複数の正規の受信者に配送
する。送信者は、そのコピー鍵を用いて送信データを暗
号化し、送信する。正規の受信者は、同一のコピー鍵を
用いて、暗号化された送信データを復号化する。
【0005】その他には、文献「小山:マスタ鍵による
同報通信の暗号方式,信学論(D),J65-D,9,pp.11
51-1158(1982)」に記載のRSAの個別鍵代替用マスタ
鍵を用いた同報暗号通信方法や、文献「李,常盤他:多
重化・多重分離法を用いた同報通信,1986年暗号と情報
セキュリティシンポジウム」に記載の中国人の剰余定理
を用いた情報系列の多重化・多重分離法による鍵配送方
式、あるいは、文献「満保他:効率的な同報暗号通信方
式,信学技法ISEC93-34(1993-10)」に記載の方式など
がある。
【0006】まず、中国人の剰余定理を用いて情報系列
の多重化・多重分離法を行う方式について説明する。
【0007】(1)鍵生成処理:受信者i (1≦i≦s)に
対して、互いに素なs個の整数g1,g2,...,gS (r≦s)
を作成し、giを受信者iの秘密情報として予め受信者i
に配布する。
【0008】(2)暗号化処理:多重化すべきs個の情
報系列をM1,M2,...,MSとする。送信者は、多重化送信文
Fを,
【0009】
【数51】
【0010】により計算し、Fを同報送信する。ただ
し、G,Gi,Aiは、
【0011】
【数52】
【0012】であり、Aiは、上式を満たす最小の整数で
ある。
【0013】(3)復号化処理:受信者iは、Fからgi
用いて、
【0014】
【数53】
【0015】によりMiを分離化する。
【0016】次に、文献「満保他:効率的な同報暗号通
信方式,信学技法ISEC93-34(1993-10)」に記載の方式
について、説明する。
【0017】(1)鍵生成処理:信頼できるセンタは、
秘密情報として、
【0018】
【数54】
【0019】を作成し、公開情報として、
【0020】
【数55】
【0021】を作成する。
【0022】次に、センタは、σ∈Sに対して,
【0023】
【数56】
【0024】を満たすSσを計算し、受信者Uσの秘密
情報として配布する。ただし、集合S={f|1対1写像f:A
={1,2,...,k}→B={1,2,...,m}, k<m}とする。
【0025】(2)鍵配送処理:送信者は、整数rをラ
ンダムに選び、
【0026】
【数57】
【0027】なる共通鍵Kを受信者との間で共有するこ
とを目的として、
【0028】
【数58】
【0029】を満たすziを計算し、zi (1≦i≦m)を同報
送信する。
【0030】受信者Uσは、
【0031】
【数59】
【0032】を用いて、共通鍵Kを計算する。
【0033】
【発明が解決しようとする課題】上記の中国人の剰余定
理を用いた多重化方法を利用した鍵配送などでは、受信
者数に比例して鍵配送データの長さが長くなる。このこ
とは、衛星放送サービスのように数百万人以上の多くの
受信者を対象とする場合には、効率上問題となる。
【0034】これに対し、上記文献「満保他:効率的な
同報暗号通信方式,信学技法ISEC93-34(1993-10)」に
記載の方法によれば、受信者数が大きい場合であっても
鍵配送データの長さを短くできる。しかしながら、この
方法では、適当な数の受信者が結託し互いの秘密情報を
出し合うことで、他受信者の秘密情報を計算できるとい
う問題(このことについては、文献「西岡:同報暗号通
信における鍵配送方式に関する考察,信学技法ISEC96-4
8(1996-11)」にて報告されている)がある。また、任
意の受信者集合に属する受信者のみと鍵共有を行なうこ
とができないという問題もある。
【0035】本発明は、上記事情に鑑みてなされたもの
であり、以下に挙げる特徴を有する鍵配送方法および装
置を提供することを主目的とする。
【0036】(1)各受信者がそれぞれ個別の鍵情報を
所持して、鍵の共有を行う。
【0037】(2)受信者数が大きい場合であっても、
鍵配送データの長さを短くすることができる。
【0038】(3)適当な数の受信者が結託して互いの
秘密情報を出し合った場合でも、他受信者の鍵情報およ
び鍵作成者の秘密情報を計算することを困難にする。
【0039】(4)任意の受信者集合に属する受信者の
みと鍵共有を行なうことができる。
【0040】
【課題を解決するための手段】上記課題を解決するため
に、本発明は以下の構成を採用する。
【0041】1.準備処理鍵作成者の装置において、当
該鍵作成者の秘密情報からなる有限集合A A={s(ij)|1≦i≦m,1≦j≦n} および、集合Vj Vj={(X1,...,Xm)|fj(X1,...,Xm, s(1j),...,s(mj))=
0} (1≦j≦n) (ただし、fjは集合{(z1,...,z2m)|ziは整数}から集合W
j (∋0)への適当な写像)を作成する。
【0042】次に、(r(x,ij)) (1≦i≦m) ∈Vj (1≦j≦
n)をランダムに選び、鍵利用者xの秘密鍵として、 s(x,i)=r(x,γ(i)) (1≦i≦mn) (ただし、γは集合{1,2,…,mn}から集合{ij|1≦i≦m,1
≦j≦n}への1対1写像で、鍵作成者の秘密とする)を求
め、これを配布する。
【0043】2.鍵配送処理鍵作成者の装置において、
当該鍵作成者の秘密情報s(ij)に対応する情報として、 u(ij) (1≦i≦m,1≦j≦n) を作成し、 y(i)=u(γ(i)) (1≦i≦mn) とする。
【0044】次に、鍵利用者xの秘密鍵s(x,i)を用い
て、当該鍵利用者xの識別情報dxを計算し、y(1),...,y
(mn)と識別情報dxとを、鍵利用者xに送信する。
【0045】これを受けて、鍵利用者xの装置におい
て、適当な関数hを用いて、 K=h(s(x,1),...,s(x,mn), y(1),…,y(mn), dx) により、鍵作成者と共有する共通鍵Kを計算する。
【0046】ここで、2.鍵配送処理として、鍵作成者
の装置において、乱数rを選び、適当な関数gにより、 z(i)=g(y(i),r) (1≦i≦mn) を計算し、z(1),...,z(mn)を、鍵利用者xに送信し、鍵
利用者xの装置において、適当な関数hを用いて、 K=h(s(x,1),...,s(x,mn), z(1),…,z(mn), dx) により、鍵作成者と共有する共通鍵Kを計算するように
してもよい。
【0047】このようにすることで、乱数rを変えるこ
とで、共有鍵Kを変更することが可能となる。
【0048】以下に、本発明の実現方法の一例について
説明する。
【0049】1.準備処理 鍵作成者の装置において、
【0050】
【数60】
【0051】であるとして、鍵作成者の秘密情報の集合
KSと公開情報の集合KP(集合KPは有限アーベル(乗法)
群Gを決定する要素を含む)とを作成する(ただし、γ
∈{γ|1対1写像γ:C={1,2,...,mn}→D={ij|1≦
i≦m,1≦j≦n}}であり、ordG(g)は、
【0052】
【数61】
【0053】なる最小の正整数xを表わす)。
【0054】次に、整数r(x,ij)(1≦i≦m,1≦j≦
n)をランダムに選び、s(x,i)=r(x,γ(i)) (1≦i≦m
n)に対して、(s(x,i)) (1≦i≦mn)を、鍵利用者xの秘
密鍵として配布する。
【0055】2.鍵配送処理 鍵作成者の装置において、整数ξFをランダムに選び、
【0056】
【数62】
【0057】を満たす鍵Kを、鍵利用者全体の集合のう
ちの任意の部分集合Fに属する鍵利用者とのみ共有する
ことを目的に、
【0058】
【数63】
【0059】から、同報通信データとして、
【0060】
【数64】
【0061】を満たすy(i)、および、
【0062】
【数65】
【0063】を満たす整数d(x,ξF)を計算し、前記同報
通信データy(i)、d(x,ξF)を同報送信する。
【0064】これを受けて、鍵利用者x(x∈F)の装置
において、前記同報通信データy(i)、d(x,ξF)と鍵作成
者によって配布された自身(鍵利用者x)の鍵情報(s(x,
i)) (1≦i≦mn)とから、
【0065】
【数66】
【0066】(ただし、fi (1≦i≦mn)は鍵作成者によ
り公開された関数で、fi(s(x,i),y(i))=c(x,γ(i),ξF)
とする)により、共通鍵Kを計算する。
【0067】ここで、鍵作成者および鍵利用者x間で共
有する鍵Kを変更する場合、以下の処理を行う。
【0068】2.鍵配送処理として、鍵作成者の装置に
おいて、整数ζをランダムに選び、
【0069】
【数67】
【0070】を満たす鍵Kを、鍵利用者全体の集合に含
まれる任意の部分集合Fに属する鍵利用者とのみ共有す
ることを目的に、同報通信データとして、
【0071】
【数68】
【0072】を満たすz(i)を計算して、前記同報通信デ
ータz(i)を同報送信し、鍵利用者x(x∈F)の装置にお
いて、前記同報通信データz(i)と予め同報送信されたd
(x,ξF)と鍵作成者によって配布された自身(鍵利用者
x)の鍵情報(s(x,i)) (1≦i≦mn)とから、
【0073】
【数69】
【0074】により、共通鍵Kを計算する。
【0075】上記説明した実現方法の一例をさらに具体
的に説明すると、以下のとおりである。
【0076】1.準備処理 鍵作成者の装置において、鍵作成者の秘密情報として、
【0077】
【数70】
【0078】を作成し、公開情報として、
【0079】
【数71】
【0080】を作成する(ただし、0<g1, g2<Nであ
り、ordG(g)は、
【0081】
【数72】
【0082】なる最小の正整数xを表わす)。
【0083】次に、整数r(x,ij) (1≦i≦m,1≦j≦
2)をランダムに選び、s(x,i)=r(x,γ(i))(1≦i≦2
m)に対して、(s(x,i)) (1≦i≦2m)を、鍵利用者xの鍵
情報として配布する。
【0084】2.鍵配送処理 鍵作成者の装置において、整数ξFをランダムに選び、
【0085】
【数73】
【0086】を満たす共通鍵Kを、鍵利用者全体の集合
のうちの任意の部分集合Fに属する鍵利用者とのみ共有
することを目的に、
【0087】
【数74】
【0088】から、同報通信データとして、
【0089】
【数75】
【0090】を満たすy(i)、および、
【0091】
【数76】
【0092】を満たす整数d(x,ξF)を計算し、前記同報
通信データy(i)、d(x,ξF)を同報送信する。
【0093】これを受けて、鍵利用者x (x∈F) の装置
において、前記同報通信データy(i)、d(x,ξF)と鍵作成
者によって配布された自身(鍵利用者x)の鍵情報(s(x,
i)) (1≦i≦2m)とから、
【0094】
【数77】
【0095】(ただし、fi (1≦i≦2m)は鍵作成者によ
り公開された関数、fi(s(x,i),y(i))=c(x,γ(i),ξF)と
する)により、共通鍵Kを計算する。
【0096】ここで、鍵作成者および鍵利用者x間で共
有する鍵Kを変更する場合、以下の処理を行う。
【0097】2.鍵配送処理として、鍵作成者の装置に
おいて、整数ζをランダムに選び、
【0098】
【数78】
【0099】を満たす共通鍵Kを、鍵利用者全体の集合
に含まれる任意の部分集合Fに属する鍵利用者とのみ共
有することを目的に、同報通信データとして、
【0100】
【数79】
【0101】を満たすz(i)を計算して前記同報通信デー
タz(i)を同報送信し、鍵利用者x(x∈F)の装置におい
て、前記同報通信データz(i)と予め同報送信されたd(x,
ξF)と鍵作成者によって配布された自身(鍵利用者x)
の鍵情報(s(x,i)) (1≦i≦2m)とから、
【0102】
【数80】
【0103】により、共通鍵Kを計算する。
【0104】
【発明の実施の形態】以下に、本発明の実施の形態につ
いて説明する。
【0105】なお、以下に説明する各実施の形態におい
て、正整数Nおよび正整数gに対して、ordN(g)=mとは、
【0106】
【数81】
【0107】となる最小の正整数xがmであることを表わ
す。
【0108】まず、本発明の第一実施形態として、同報
暗号通信のための鍵配送方法を、衛星放送を用いた情報
配信サービスシステムに適用した場合について説明す
る。すなわち、放送局が衛星を用いて同報暗号通信した
マルチメディア情報などの情報(有償データを含む)
を、視聴資格のある受信者(あるいは、対価を支払うこ
とを了承した受信者)のみが復号化できるようにするた
めに、放送局および受信者間で鍵共有を行なうための鍵
配送方法について説明する。
【0109】図1は、本発明の第一実施形態が適用され
た鍵配送システムの概略構成を示している。図1に示す
ように、本実施形態のシステムは、鍵作成者の装置であ
る放送局側装置100と、鍵利用者の装置である複数の
受信者側装置200とで構成されている。放送局側装置
100および複数の受信者側装置200は、通信回線3
00により互いに接続されている。放送局側装置100
は、通信衛星500を用いて、マルチメディア情報など
の情報(有償データを含む)を同報暗号通信する。受信
者側装置200は、放送局側装置100により同報暗号
通信されたデータを、受信者および放送局間で共有して
いる鍵を用いて復号化する。
【0110】図2は、図1に示す放送局側装置100の
概略構成を示している。図2に示すように、放送局側装
置100は、乱数生成器101、素数生成器102、演
算装置103、べき乗算器104、剰余演算器105、
鍵生成器106、暗復号化装置107、通信装置10
8、認証装置109、課金装置110、そして、メモリ
111を備えている。ここで、乱数生成器101、素数
生成器102、演算装置103、べき乗算器104、剰
余演算器105、鍵生成器106、暗復号化装置10
7、認証装置109、および、課金装置110は、論理
回路を組み合わせるなどして、ハードウエアとして設け
てもよいし、あるいは、情報処理装置において、所定の
プログラムを実行することで実現されるようにしてもよ
い。この所定のプログラムはCD−ROMなどの記憶媒
体に記憶しておくことも可能である。
【0111】図3は、図1に示す受信側装置200の概
略構成を示している。図3に示すように、受信側装置2
00は、メモリ201、べき乗算器202、剰余演算器
203、演算装置204、認証装置205、通信装置2
06、鍵生成器207、暗復号化装置208、そして、
ICカード連結装置209を備えている。ここで、べき
乗算器202、剰余演算器203、演算装置204、認
証装置205、鍵生成器207、および、暗復号化装置
208は、論理回路を組み合わせるなどして、ハードウ
エアとして設けてもよいし、あるいは、情報処理装置に
おいて、所定のプログラムを実行することで実現される
ようにしてもよい。この所定のプログラムは、CD−R
OMなどの記憶媒体に記憶しておくことも可能である。
【0112】上記構成の本実施形態が適用された鍵配送
システムの動作について、図4を参照して説明する。図
4は、図1に示す鍵配送システムにおける情報の流れを
説明するための図である。
【0113】1.準備処理 放送局側装置100において、以下の処理を行う。
【0114】演算装置103は、放送局の信頼できる鍵
作成者の指示にしたがい、乱数生成装置101、素数生
成装置102、べき乗算器104、および剰余演算器1
05の協力を得て、次の情報を作成する。
【0115】秘密情報:
【0116】
【数82】
【0117】公開情報:
【0118】
【数83】
【0119】作成された秘密情報はメモリ111に格納
される。一方、公開情報は、受信者の秘密情報と共に配
布するか、あるいは、同報送信データに含めて受信者に
配布するなどの方法により公開される。
【0120】次に、演算装置103は、乱数生成器10
1を用いて、整数r(x,ij)(1≦i≦m,1≦j≦2)をラ
ンダムに選び、s(x,i)=r(x,γ(i)) (1≦i≦2m)に対
して、(s(x,i)) (1≦i≦2m)を、鍵利用者xの秘密鍵とす
る。この受信者xの秘密鍵は、たとえば、フローピーデ
ィスク、ICカードなどの記憶媒体に記憶して、受信者
xに配布される。
【0121】2.鍵配送処理 まず、放送局側装置100において、以下の処理を行
う。
【0122】鍵生成器106は、乱数生成器101を用
いて、整数ξFをランダムに選ぶ。次に、べき乗算器1
04、剰余演算器105、および、演算装置103の協
力を得て、
【0123】
【数84】
【0124】を満たす共通鍵Kを生成する。そして、生
成した共通鍵Kを、鍵利用者全体の集合のうちの任意の
部分集合Fに属する鍵利用者とのみ共有することを目的
に、
【0125】
【数85】
【0126】から、同報通信データとして、
【0127】
【数86】
【0128】を満たすy(i)、および、
【0129】
【数87】
【0130】を満たす整数d(x,ξF)を計算する。
【0131】暗復号化装置107は、マルチメディア情
報などの送信データPを、上記の鍵Kを用いて暗号化し、
暗号文Cを作成する。
【0132】通信装置108は、作成した同報通信デー
タy(i) (1≦i≦2m)、d(x,ξF)を、上記従来の技術で説
明した中国人の剰余定理を用いた多重化方法などにより
多重化して、多重化データWを作成する。そして、作成
した多重化データWを、通信衛星500を介して、受信
者側装置200に同報送信する。
【0133】また、暗復号化装置107で作成した暗号
文Cを、通信衛星500を介して、受信者側装置200
に同報送信する。
【0134】一方、受信者x(x∈F)の受信者側装置2
00では、以下の処理を行う。
【0135】通信装置206は、通信衛星500を介し
て同報送信された多重化データWおよび暗号文Cを受信す
る。このうち、多重化データWについては、分離化してy
(i)(1≦i≦2m)、d(x,ξF)を得る。
【0136】鍵生成器207は、べき乗算器202、剰
余演算器203、および演算装置204の協力を得て、
通信装置206で分離化されたy(i) (1≦i≦2m)、d(x,
ξF)と、放送局により配布され、予めメモリ201に格
納された受信者xの秘密鍵(s(x,i)) (1≦i≦2m)とから、
【0137】
【数88】
【0138】(ただし、fi (1≦i≦2m)は鍵作成者によ
り公開された関数で、fi(s(x,i),y(i))=c(x,γ(i),ξF)
とする)により、共通鍵Kを計算する。
【0139】暗復号化装置208は、通信装置206に
より受信した暗号文Cを、鍵生成器207で生成された
共通鍵Kを用いて復号化し、元の送信データPを得る。
【0140】上記従来の技術で説明したように、文献
「満保他:効率的な同報暗号通信方式,信学技法ISEC93
-34(1993-10)」に記載の方式では、文献「西岡:同報
暗号通信における鍵配送方式に関する考察,信学技法IS
EC96-48(1996-11)」で報告されているように、適当な
数の受信者が結託して、互いに自己の秘密情報を出し合
って、所定の連立方程式を解くことにより、他の受信者
の秘密情報を計算することができる。つまり、受信者の
結託攻撃が有効になる。
【0141】これに対し、本実施形態によれば、受信者
の秘密情報を計算するのに用いたγを、放送局の秘密情
報として、受信者に対して秘密にしながら、共通鍵Kの
共有を行うことができるので、受信者の結託攻撃を有効
とする情報を知らせることなく、放送局および受信者間
で鍵共有を行うことができる。このため、受信者の秘密
情報が第三者に漏れる可能性をさらに低くすることがで
きる。
【0142】なお、本実施形態では、送信データPに対
応して乱数生成器101で生成するξFの値を変えるこ
とにより、送信データPの識別、すなわち、送信データP
の内容に応じてその暗号文Cを復号するための共通鍵Kを
設定することが可能である。
【0143】また、本実施形態において、送信データP
に対する共通鍵Kを変更する場合、上記の2.鍵配送処
理において、以下の処理をさらに行うことで実現可能で
ある。
【0144】まず、放送局側装置100において、以下
の処理をさらに行う。
【0145】鍵生成器106は、乱数生成器101を用
いて、整数ζをランダムに選ぶ。次に、べき乗算器10
4、剰余演算器105、および、演算装置103の協力
を得て、
【0146】
【数89】
【0147】を満たす共通鍵Kを生成する。そして、生
成した共通鍵Kを、鍵利用者全体の集合のうちの任意の
部分集合Fに属する鍵利用者とのみ共有することを目的
に、同報通信データとして、
【0148】
【数90】
【0149】を満たすz(i)を計算する。
【0150】通信装置108は、作成した同報通信デー
タz(i) (1≦i≦2m)を、上記従来の技術で説明した中国
人の剰余定理を用いた多重化方法などにより多重化し
て、通信衛星500を介し同報送信する。
【0151】一方、受信者x(x∈F)の受信者側装置2
00では、以下の処理を行う。
【0152】通信装置206は、通信衛星500を介し
て同報送信された多重化データを受信し、これを分離化
して、z(i) (1≦i≦2m)を得る。
【0153】鍵生成器207は、べき乗算器202、剰
余演算器203、および演算装置204の協力を得て、
通信装置206で分離化されたz(i) (1≦i≦2m)と、先
に取得したd(x,ξF)と、放送局により配布されメモリ2
01に格納された受信者xの秘密鍵(s(x,i)) (1≦i≦2m)
とから、
【0154】
【数91】
【0155】(ただし、fi (1≦i≦2m)は鍵作成者によ
り公開された関数で、fi(s(x,i),z(i))=c(x,γ(i),
ξF)とする)により、共通鍵Kを計算する。
【0156】このようにすることで、整数ζを変えるこ
とにより、共有鍵Kを変更することができる。
【0157】以上、本発明の第一実施形態について説明
した。
【0158】以下に、本発明の第二実施形態について説
明する。
【0159】本実施形態では、上記の第一実施形態にお
いて、送信データPが有償である場合における受信者に
対する課金方法について説明する。ここでは、第一実施
形態の2.鍵配送処理において、放送局側装置100
は、同報通信データy(i) (1≦i≦2m)、d(x,ξF)を多重
化して同報送信する代わりに、y(i) (1≦i≦2m)のみを
多重化して同報送信するようにしている。そして、d(x,
ξF)については、放送局および受信者間で認証処理を行
い、認証された受信者の受信者側装置200に対しての
み、通信回線300を介して送信するようにしている。
【0160】以下、放送局および受信者間で行われる認
証処理について説明する。
【0161】まず、放送局側装置100は、鍵生成器1
06を用いて、受信者xの秘密鍵(s(x,i)) (1≦i≦2m)に
対応する公開鍵p(x)を、第一実施形態の2.鍵配送処理
に先立って予め作成し、メモリ109に格納する。
【0162】受信者x(x∈F)の受信者側装置200
は、放送局側装置100が同報送信した送信データPの
暗号文Cを復号する権限を得ることを目的として、通信
装置206により、通信回線300を介して、放送局側
装置100(あるいは、それに付随する装置)にアクセ
スする。
【0163】放送局側装置100は、受信者xの受信者
側装置200からアクセスを受けると、乱数生成器10
1により乱数rを生成する。そして、通信装置108に
より、通信回線300を介して、受信者xの受信者側装
置200に送信する。
【0164】受信者xの受信者側装置200は、放送局
側装置100から乱数rを受け取ると、認証装置205
により、放送局により予め配布されメモリ201に格納
された受信者xの秘密鍵(s(x,i)) (1≦i≦2m)を用いて、
乱数rに対する署名sgnX(r)を作成する。そして、作成し
た署名sgnX(r)を、通信装置206により、通信回線3
00を介して、放送局側装置100に送信する。
【0165】ここで、署名を行なう具体的な方法につい
ては、多くの方法が知られている。たとえば、文献「R.
L.Rivest,A.Shamir,L.Adleman.:A method for obtainin
g digital signatures and publickey cryptosystems,C
ommun. of the ACM, Vol.21,No.2, pp.120-126, 198
7.」に掲載のRSA暗号を用いる方法や、文献「Propos
ed Federal Information Processing Standard (DSS),
Federal Register, v.56,n.169,30,pp.42980-42982 (1
991)」に記載のDSAによる方法などがある。
【0166】放送局側装置100は、受信者xの受信者
側装置200から署名sgnX(r)を受けると、認証装置1
09により、メモリ109に格納しておいた受信者xの
公開鍵p(x)を用いて、署名sgnX(r)の正当性を確認す
る。そして、正当性が確認された場合にのみ、d(x,ξF)
を、通信回線300を介して、受信者xの受信者側装置
200に送信する。また、課金装置110により、受信
者xに対する課金を行う。
【0167】本実施形態では、上述したように、受信者
の結託攻撃を有効とする情報を知らせることなく、放送
局および受信者間で鍵共有を行うことができる。したが
って、第三者が送信データPの暗号文Cを復号化するため
には、すなわち、共通鍵Kを得るためには、受信者xから
受信者xの秘密鍵(s(x,i)) (1≦i≦2m)を取得する(すな
わち、横流ししてもらう)しかないと推測される。
【0168】本実施形態では、受信者xに対して、秘密
鍵(s(x,i)) (1≦i≦2m)を用いて認証した場合にのみ、
送信データPの暗号文Cを復号化する権限を与えるように
している。したがって、受信者xから秘密鍵(s(x,i)) (1
≦i≦2m)を横流ししてもらった第三者が、秘密鍵(s(x,
i)) (1≦i≦2m)を用いて認証処理を行い、受信者xにな
りすまして送信データPの暗号文Cを復号化する権限を受
けた場合、送信データPについての課金は、横流しをし
た受信者xに対して行われることになる。このように、
横流しを行なった受信者xに不利益が及ぶようにシステ
ムを構築することにより、不正な受信者が、送信データ
を見る権限を持たない第三者に自身の秘密情報を横流し
して、不正に視聴権限を譲渡することを防止することが
できる。
【0169】以上、本発明の第二実施形態について説明
した。
【0170】次に、本発明の第三実施形態について説明
する。
【0171】本実施形態では、上記の第一実施形態にお
いて、受信者xが、放送局から配布された、自身の秘密
鍵(s(x,i)) (1≦i≦2m)を格納したICカードを利用す
ることで、自身の秘密鍵(s(x,i)) (1≦i≦2m)が第三者
に漏れるのをより効率的に防ぎながら、放送局との間で
共有する共通鍵Kを計算する方法について説明する。
【0172】図5は、本発明の第三実施形態で用いるI
Cカード400の概略構成を示す。
【0173】図5に示すように、ICカード400は、
べき乗算器401、メモリ402、演算装置403、剰
余演算器404、認証情報作成装置405、そして、入
出力装置406を備えている。ここで、べき乗算器40
1、演算装置403、剰余演算器404、および認証情
報作成装置405は、論理回路を組み合わせるなどし
て、ハードウエアとして設けてもよいし、あるいは、I
Cカードが備えるCPUにおいて、所定のプログラムを
実行することで実現されるようにしてもよい。
【0174】本実施形態の動作は、受信者側装置200
で行われる共通鍵Kの算出処理が異なる点を除いて、第
一実施形態のものと基本的に同じである。
【0175】本実施形態では、第一実施形態の2.鍵配
送処理において、ICカード400が受信者xの受信者
側装置200のICカード連結装置209に差し込まれ
ると、ICカード400内の演算装置403は、べき乗
算器401および剰余演算器404の協力を得て、予め
メモリ402に格納された受信者xの秘密鍵(s(x,i))(1
≦i≦2m)と、受信者側装置200の通信装置206によ
り多重化データWから分離化されたy(i)あるいはz(i)と
を基に、
【0176】
【数92】
【0177】あるいは、
【0178】
【数93】
【0179】を満たすK(x,i)を計算する。求めた結果K
(x,i)は、入出力装置406により、受信者側装置20
0のICカード連結装置209を介して、当該装置20
0のメモリ201に格納される。
【0180】受信者xの受信者側装置200において、
鍵生成器106は、剰余演算器203および演算装置2
04の協力を得て、通信装置206により多重化データ
Wから分離化されたd(x,ξF)と、ICカード連結装置2
09を介してICカード400から送られてきたK(x,i)
とを基に、
【0181】
【数94】
【0182】あるいは、
【0183】
【数95】
【0184】により、共通鍵Kを計算する。
【0185】なお、本実施形態において、上記の第二実
施形態と同様の認証処理を行う場合、ICカード400
内の認証情報作成装置405により、メモリ402に格
納された受信者xの秘密鍵(s(x,i)) (1≦i≦2m)を用い
て、受信者側装置200が放送局側装置100から受け
取った乱数rに対する署名sgnX(r)を作成する。そして、
作成した署名sgnX(r)を、受信者側装置200の通信装
置206により、通信回線300を介して、放送局側装
置100に送信する。その後の認証処理は、放送局側装
置100の認証装置109および受信者側装置200の
認証装置205間において、上記の第二実施形態と同じ
要領で行えばよい。
【0186】以上、本発明の各実施形態について説明し
た。なお、本発明は、上記説明した各実施形態に限定さ
れるものではなく、その要旨の範囲内で数々の変形が可
能である。
【0187】たとえば、上記の各実施形態において、共
通鍵Kを計算するのに用いるfi(s(x,i),y(i))およびfi(s
(x,i),z(i))の代わりとして、放送局および受信者xの双
方が知ることができ、ξFの値に応じて変化し、かつ、
受信者xに固有の値を用いてもよい。たとえば、放送局
側装置100の乱数生成器101で生成され、通信装置
108により送信された乱数ri (1≦i≦2m)を用いて作
成したfi(ri,ID(x))を用いてもよい(ただし、ID(x)は
受信者xのID情報)。あるいは、受信者xがランダムに選
んで公開した値を用いてもよい。
【0188】また、共通鍵Kの配送方法も、上記の各実
施形態に挙げられた数式に限定されるものではない。本
発明は、以下の処理を実行するものであればよい。
【0189】1.準備処理 放送局側装置100において、以下の処理を行う。
【0190】放送局の秘密情報からなる有限集合A A={s(ij)|1≦i≦m,1≦j≦n} および、集合Vj Vj={(X1,...,Xm)|fj(X1,...,Xm, s(1j),...,s(mj))=
0} (1≦j≦n) (ただし、fjは集合{(z1,...,z2m)|ziは整数}から集合W
j (∋0)への適当な写像)を作成する。
【0191】次に、(r(x,ij)) (1≦i≦m) ∈Vj (1≦j≦
n)をランダムに選び、受信者xの秘密鍵として、 s(x,i)=r(x,γ(i)) (1≦i≦mn) (ただし、γは集合{1,2,…,mn}から集合{ij|1≦i≦m,1
≦j≦n}への1対1写像で、鍵作成者の秘密とする)を求
め、これを配布する。
【0192】2.鍵配送処理 放送局側装置100において、以下の処理を行う。
【0193】放送局の秘密情報s(ij)に対応する情報と
して、 u(ij) (1≦i≦m,1≦j≦n) を作成し、 y(i)=u(γ(i)) (1≦i≦mn) とする。
【0194】次に、受信者xの秘密鍵s(x,i)を用いて、
当該受信者xの識別情報dxを計算し、y(1),...,y(mn)と
識別情報dxとを、受信者xに送信する。
【0195】これを受けて、鍵利用者xの装置におい
て、適当な関数hを用いて、 K=h(s(x,1),...,s(x,mn), y(1),…,y(mn), dx) により、鍵作成者と共有する共通鍵Kを計算する。
【0196】
【発明の効果】以上説明したように、本発明によれば、
同報暗号通信において受信者(鍵利用者)数が大きい場
合であっても鍵配送データ(同報送信データ)の長さを
短く(一定)することができる。
【0197】また、不正な受信者が互いの秘密情報を出
し合って他の受信者の秘密情報を計算するといった結託
攻撃を困難にすることができる。これにより、効率よく
かつ安全に鍵配送を行うことができる。
【図面の簡単な説明】
【図1】本発明の第一実施形態が適用された鍵配送シス
テムの概略構成図である。
【図2】図1に示す放送局側装置100の概略構成図で
ある。
【図3】図1に示す受信者側装置200の概略構成図で
ある。
【図4】図1に示す鍵配送システムにおける情報の流れ
を説明するための図である。
【図5】本発明の第三実施形態で用いるICカード40
0の概略構成図である。
【符号の説明】
100 放送局側装置 101 乱数生成器 102 素数生成器 103、204、403 演算装置 104、202、401 べき乗算器 105、203、404 剰余演算器 106、207 鍵生成器 107、208 暗復号化装置 108、206 通信装置 109、205 認証装置 110 課金装置 111、201、402 メモリ 200 受信者側装置 209 ICカード連結装置 400 ICカード 405 認証情報作成装置 406 入出力装置

Claims (32)

    【特許請求の範囲】
  1. 【請求項1】複数の鍵利用者が鍵作成者によって予め作
    成された個々の鍵情報を利用して、暗号通信を行うため
    の共通の鍵情報を鍵作成者と共有するための鍵配送方法
    であって、 1.準備処理として、 鍵作成者の装置において、 当該鍵作成者の秘密情報からなる有限集合A A={s(ij)|1≦i≦m,1≦j≦n} および、集合Vj Vj={(X1,...,Xm)|fj(X1,...,Xm, s(1j),...,s(mj))=
    0} (1≦j≦n) (ただし、fjは集合{(z1,...,z2m)|ziは整数}から集合W
    j (∋0)への適当な写像)を作成するステップと、 (r(x,ij)) (1≦i≦m) ∈Vj (1≦j≦n)をランダムに選
    び、鍵利用者xの秘密鍵として、 s(x,i)=r(x,γ(i)) (1≦i≦mn) (ただし、γは集合{1,2,…,mn}から集合{ij|1≦i≦m,1
    ≦j≦n}への1対1写像で、鍵作成者の秘密とする)を求
    め、これを配布するステップと、を備え、 2.鍵配送処理として、 鍵作成者の装置において、 当該鍵作成者の秘密情報s(ij)に対応する情報として、 u(ij) (1≦i≦m,1≦j≦n) を作成し、 y(i)=u(γ(i)) (1≦i≦mn) とするステップと、 鍵利用者xの秘密鍵s(x,i)を用いて、当該鍵利用者xの識
    別情報dxを計算するステップと、 y(1),...,y(mn)と識別情報dxとを、鍵利用者xに送信す
    るステップと、を備え、 鍵利用者xの装置において、 適当な関数hを用いて、 K=h(s(x,1),...,s(x,mn), y(1),…,y(mn), dx) により、鍵作成者と共有する共通鍵Kを計算するステッ
    プと、を備えることを特徴とする鍵配送方法。
  2. 【請求項2】請求項1記載の鍵配送方法であって、 2.鍵配送処理として、 鍵作成者の装置において、 乱数rを選び、適当な関数gにより、 z(i)=g(y(i),r) (1≦i≦mn) を計算するステップと、 z(1),...,z(mn)を、鍵利用者xに送信するステップと、
    をさらに備え、 鍵利用者xの装置において、 適当な関数hを用いて、 K=h(s(x,1),...,s(x,mn), z(1),…,z(mn), dx) により、鍵作成者と共有する共通鍵Kを計算するステッ
    プをさらに備えることを特徴とする鍵配送方法。
  3. 【請求項3】複数の鍵利用者が鍵作成者によって予め作
    成された個々の鍵情報を利用して、暗号通信を行うため
    の共通の鍵情報を鍵作成者と共有するための鍵配送方法
    であって、 1.準備処理として、 鍵作成者の装置において、 【数1】 であるとして、鍵作成者の秘密情報の集合KSと公開情報
    の集合KP(集合KPは有限アーベル(乗法)群Gを決定す
    る要素を含む)とを作成するステップ(ただし、γ∈
    {γ|1対1写像γ:C={1,2,...,mn}→D={ij|1≦i
    ≦m,1≦j≦n}}であり、ordG(g)は、 【数2】 なる最小の正整数xを表わす)と、 整数r(x,ij)(1≦i≦m,1≦j≦n)をランダムに選ぶ
    ステップと、 s(x,i)=r(x,γ(i)) (1≦i≦mn)に対して、(s(x,i))
    (1≦i≦mn)を、鍵利用者xの秘密鍵として配布するステ
    ップと、を備え、 2.鍵配送処理として、 鍵作成者の装置において、 整数ξFをランダムに選び、 【数3】 を満たす鍵Kを、鍵利用者全体の集合のうちの任意の部
    分集合Fに属する鍵利用者とのみ共有することを目的
    に、 【数4】 から、同報通信データとして、 【数5】 を満たすy(i)、および、 【数6】 を満たす整数d(x,ξF)を計算するステップと、 前記同報通信データy(i)、d(x,ξF)を同報送信するステ
    ップと、を備え、 鍵利用者x(x∈F)の装置において、 前記同報通信データy(i)、d(x,ξF)と鍵作成者によって
    配布された自身(鍵利用者x)の鍵情報(s(x,i)) (1≦i
    ≦mn)とから、 【数7】 (ただし、fi (1≦i≦mn)は鍵作成者により公開された
    関数で、fi(s(x,i),y(i))=c(x,γ(i),ξF)とする)によ
    り、共通鍵Kを計算するステップを備えることを特徴と
    する鍵配送方法。
  4. 【請求項4】請求項3記載の鍵配送方法であって、 2.鍵配送処理として、 鍵作成者の装置において、 整数ζをランダムに選び、 【数8】 を満たす鍵Kを、鍵利用者全体の集合に含まれる任意の
    部分集合Fに属する鍵利用者とのみ共有することを目的
    に、同報通信データとして、 【数9】 を満たすz(i)を計算するステップと、 前記同報通信データz(i)を同報送信するステップと、を
    さらに備え、 鍵利用者x(x∈F)の装置において、 前記同報通信データz(i)と予め同報送信されたd(x,ξF)
    と鍵作成者によって配布された自身(鍵利用者x)の鍵
    情報(s(x,i)) (1≦i≦mn)とから、 【数10】 により、共通鍵Kを計算するステップをさらに備えるこ
    とを特徴とする鍵配送方法。
  5. 【請求項5】請求項4記載の鍵配送方法であって、 fi(s(x,i),y(i))およびfi(s(x,i),z(i)) (1≦i≦mn)の
    代わりとして、鍵作成者および鍵利用者xの双方が知る
    ことができ、ξFの値に応じて変化し、かつ、鍵利用者x
    に固有の値を用いることを特徴とする鍵配送方法。
  6. 【請求項6】請求項5記載の鍵配送方法であって、 鍵作成者の装置において、 乱数ri (1≦i≦mn)を送信するステップをさらに備え、 fi(s(x,i),y(i))およびfi(s(x,i),z(i))の代わりとし
    て、fi(ri,ID(x))とする(ただし、ID(x)は鍵利用者xの
    ID情報)ことを特徴とする鍵配送方法。
  7. 【請求項7】請求項5記載の鍵配送方法であって、 fi(s(x,i),y(i))およびfi(s(x,i),z(i))の代わりとし
    て、鍵利用者xがランダムに選んで公開した値とするこ
    とを特徴とする鍵配送方法。
  8. 【請求項8】請求項3、4、5、6または7記載の鍵配
    送方法であって、 鍵利用者xの装置において、 鍵作成者の装置に対して、鍵利用者xが自身の鍵情報(s
    (x,i)) (1≦i≦mn)を所持することの認証処理を行うス
    テップと、 前記認証が成立した場合にのみd(x,ξF)を受け取るステ
    ップと、をさらに備えることを特徴とする暗号通信にお
    ける鍵配送方法。
  9. 【請求項9】請求項8記載の鍵配送方法であって、 鍵作成者の装置において、 鍵利用者xの認証処理が終了したとき、あるいは、d(x,
    ξF)を送信したときに、鍵利用者xに対して課金を行な
    うステップをさらに備えることを特徴とする鍵配送方
    法。
  10. 【請求項10】複数の鍵利用者が鍵作成者によって予め
    作成された個々の鍵情報を利用して、暗号通信を行うた
    めの共通の鍵情報を鍵作成者と共有するための鍵配送方
    法であって、 1.準備処理として、 鍵作成者の装置において、 鍵作成者の秘密情報として、 【数11】 を作成し、公開情報として、 【数12】 を作成するステップ(ただし、0<g1, g2<Nであり、or
    dG(g)は、 【数13】 なる最小の正整数xを表わす)と、 整数r(x,ij) (1≦i≦m,1≦j≦2)をランダムに選ぶ
    ステップと、 s(x,i)=r(x,γ(i))(1≦i≦2m)に対して、(s(x,i))
    (1≦i≦2m)を、鍵利用者xの鍵情報として配布するステ
    ップと、を備え、 2.鍵配送処理として、 鍵作成者の装置において、 整数ξFをランダムに選び、 【数14】 を満たす共通鍵Kを、鍵利用者全体の集合のうちの任意
    の部分集合Fに属する鍵利用者とのみ共有することを目
    的に、 【数15】 から、同報通信データとして、 【数16】 を満たすy(i)、および、 【数17】 を満たす整数d(x,ξF)を計算するステップと、 前記同報通信データy(i)、d(x,ξF)を同報送信するステ
    ップと、を備え、 鍵利用者x (x∈F) の装置において、 前記同報通信データy(i)、d(x,ξF)と鍵作成者によって
    配布された自身(鍵利用者x)の鍵情報(s(x,i)) (1≦i
    ≦2m)とから、 【数18】 (ただし、fi (1≦i≦2m)は鍵作成者により公開された
    関数、fi(s(x,i),y(i))=c(x,γ(i),ξF)とする)によ
    り、共通鍵Kを計算するステップを備えることを特徴と
    する鍵配送方法。
  11. 【請求項11】請求項10記載の鍵配送方法であって、 2.鍵配送処理として、 鍵作成者の装置において、 整数ζをランダムに選び、 【数19】 を満たす共通鍵Kを、鍵利用者全体の集合に含まれる任
    意の部分集合Fに属する鍵利用者とのみ共有することを
    目的に、同報通信データとして、 【数20】 を満たすz(i)を計算するステップと、 前記同報通信データz(i)を同報送信するステップと、を
    さらに備え、 鍵利用者x(x∈F)の装置において、 前記同報通信データz(i)と予め同報送信されたd(x,ξF)
    と鍵作成者によって配布された自身(鍵利用者x)の鍵
    情報(s(x,i)) (1≦i≦2m)とから、 【数21】 により、共通鍵Kを計算するステップをさらに備えるこ
    とを特徴とする鍵配送方法。
  12. 【請求項12】請求項11記載の鍵配送方法であって、 fi(s(x,i),y(i))およびfi(s(x,i),z(i)) (1≦i≦2m)の
    代わりとして、鍵作成者および鍵利用者xの双方が知る
    ことができ、ξFの値に応じて変化し、かつ、鍵利用者x
    に固有の値を用いることを特徴とする鍵配送方法。
  13. 【請求項13】請求項12記載の鍵配送方法であって、 鍵作成者の装置において、 乱数ri (1≦i≦2m)を送信するステップをさらに備え、 fi(s(x,i),y(i))およびfi(s(x,i),z(i))の代わりとし
    て、fi(ri,ID(x))とする(ただし、ID(x)は鍵利用者xの
    ID情報)ことを特徴とする鍵配送方法。
  14. 【請求項14】請求項12記載の鍵配送方法であって、 fi(s(x,i),y(i))およびfi(s(x,i),z(i))の代わりとし
    て、鍵利用者xがランダムに選んで公開した値とするこ
    とを特徴とする鍵配送方法。
  15. 【請求項15】請求項10、11、12、13または1
    4記載の鍵配送方法であって、 鍵利用者xの装置において、 鍵作成者の装置に対して、鍵利用者xが自身の鍵情報(s
    (x,i)) (1≦i≦2m)を所持することの認証処理を行うス
    テップと、 前記認証が成立した場合にのみd(x,ξF)を受け取るステ
    ップと、をさらに備えることを特徴とする鍵配送方法。
  16. 【請求項16】請求項15記載の鍵配送方法であって、 鍵作成者の装置において、 鍵利用者xの認証処理が終了したとき、あるいは、d(x,
    ξF)を送信したときに、鍵利用者xに対して課金を行な
    うステップをさらに備えることを特徴とする鍵配送方
    法。
  17. 【請求項17】請求項4、5、6、7、8、9、11、
    12、13、14、15または16記載の鍵配送方法で
    あって、 ζの値を変えることにより共有鍵Kの変更を行なうこと
    を特徴とする鍵配送方法。
  18. 【請求項18】複数の鍵利用者が鍵作成者によって予め
    作成された個々の鍵情報を利用して、暗号通信を行うた
    めの共通の鍵情報を鍵作成者と共有するための鍵配送プ
    ログラムが記憶された記憶媒体であって、 当該鍵配送プログラムは、情報処理装置に、 請求項1、2、3、4、5、6、7、8、9、10、1
    1、12、13、14、15、16または17記載の鍵
    配送方法の、鍵作成者の装置におけるステップを実行す
    るものであることを特徴とする鍵配送プログラムが記憶
    された記憶媒体。
  19. 【請求項19】複数の鍵利用者が鍵作成者によって予め
    作成された個々の鍵情報を利用して、暗号通信を行うた
    めの共通の鍵情報を鍵作成者と共有するための鍵共有プ
    ログラムが記憶された記憶媒体であって、 当該鍵共有プログラムは、情報処理装置に、 請求項1、2、3、4、5、6、7、8、9、10、1
    1、12、13、14、15、16または17記載の鍵
    配送方法の、鍵利用者xの装置におけるステップを実行
    するものであることを特徴とする鍵共有プログラムが記
    憶された記憶媒体。
  20. 【請求項20】鍵作成者が複数の鍵利用者との間で暗号
    通信を行うための共通の鍵情報を共有するための鍵配送
    装置であって、 鍵作成者の秘密情報からなる有限集合A A={s(ij)|1≦i≦m,1≦j≦n} および、集合Vj Vj={(X1,...,Xm)|fj(X1,...,Xm, s(1j),...,s(mj))=
    0} (1≦j≦n) (ただし、fjは集合{(z1,...,z2m)|ziは整数}から集合W
    j (∋0)への適当な写像)を作成する手段と、 (r(x,ij)) (1≦i≦m) ∈Vj (1≦j≦n)をランダムに選
    び、鍵利用者xの秘密鍵として、 s(x,i)=r(x,γ(i)) (1≦i≦mn) (ただし、γは集合{1,2,…,mn}から集合{ij|1≦i≦m,1
    ≦j≦n}への1対1写像で、鍵作成者の秘密とする)を求
    める手段と、 鍵作成者の秘密情報s(ij)に対応する情報として、 u(ij) (1≦i≦m,1≦j≦n) を作成し、 y(i)=u(γ(i)) (1≦i≦mn) を求める手段と、 鍵利用者xの秘密鍵s(x,i)を用いて、当該鍵利用者xの識
    別情報dxを求める手段と、 y(1),...,y(mn)と識別情報dxとを、鍵利用者xに送信す
    る手段と、を備えることを特徴とする鍵配送装置。
  21. 【請求項21】請求項20記載の鍵配送装置であって、 乱数rを選び、適当な関数gにより、 z(i)=g(y(i),r) (1≦i≦mn) を計算する手段と、 z(1),...,z(mn)を、鍵利用者xに送信する手段と、をさ
    らに備えることを特徴とする鍵配送装置。
  22. 【請求項22】請求項21記載の鍵配送装置から送信さ
    れたデータを基に、鍵利用者xが鍵作成者と共有する共
    通の鍵情報を求める鍵共有装置であって、 前記鍵配送装置から送信されたデータy(1),...,y(mn)
    (あるいはz(1),...,z(mn))およびdxと、鍵作成者より
    配布された鍵利用者xの秘密鍵s(x,i)とを基に、適当な
    関数hを用いて、 K=h(s(x,1),...,s(x,mn), y(1),…,y(mn), dx) あるいは、 K=h(s(x,1),...,s(x,mn), z(1),...,z(mn), dx) により、鍵作成者と共有する共通鍵Kを計算する手段を
    備えることを特徴とする鍵共有装置。
  23. 【請求項23】鍵作成者が複数の鍵利用者との間で暗号
    通信を行うための共通の鍵情報を共有するための鍵配送
    装置であって、 【数22】 であるとして、鍵作成者の秘密情報の集合KSと公開情報
    の集合KP(集合KPは有限アーベル(乗法)群Gを決定す
    る要素を含む)とを作成する手段(ただし、γ∈{γ|
    1対1写像γ:C={1,2,...,mn}→D={ij|1≦i≦m,
    1≦j≦n}}であり、ordG(g)は、 【数23】 なる最小の正整数xを表わす)と、 整数r(x,ij)(1≦i≦m,1≦j≦n)をランダムに選
    び、s(x,i)=r(x,γ(i)) (1≦i≦mn)に対して、(s(x,
    i)) (1≦i≦mn)を、鍵利用者xの秘密鍵とする手段と、
    整数ξFをランダムに選び、 【数24】 を満たす共通鍵Kを、鍵利用者全体の集合のうちの任意
    の部分集合Fに属する鍵利用者とのみ共有することを目
    的に、 【数25】 から、同報通信データとして、 【数26】 を満たすy(i)、および、 【数27】 を満たす整数d(x,ξF)を計算する手段と、 前記同報通信データy(i)、d(x,ξF)を同報送信する手段
    と、を備えることを特徴とする鍵配送装置。
  24. 【請求項24】請求項23記載の鍵配送装置であって、 整数ζをランダムに選び、 【数28】 を満たす共通鍵Kを、鍵利用者全体の集合に含まれる任
    意の部分集合Fに属する鍵利用者とのみ共有することを
    目的に、同報通信データとして、 【数29】 を満たすz(i)を計算する手段と、 前記同報通信データz(i)を同報送信する手段と、をさら
    に備えることを特徴とする鍵配送装置。
  25. 【請求項25】請求項24記載の鍵配送装置から送信さ
    れたデータを基に、鍵利用者xが鍵作成者と共有する共
    通の鍵情報を求める鍵共有装置であって、 前記鍵配送装置から送信されたデータy(i)(あるいはz
    (i))およびd(x,ξF)と、鍵作成者より配布された鍵利
    用者xの秘密鍵(s(x,i)) (1≦i≦mn)とを基に、 【数30】 あるいは、 【数31】 (ただし、fi (1≦i≦mn)は鍵作成者により公開された
    関数であり、fi(s(x,i),y(i))=c(x,γ(i),ξF)あるいは
    fi(s(x,i),z(i))=c(x,γ(i),ξF)とする)により、鍵作
    成者と共有する共通鍵Kを計算する手段を備えることを
    特徴とする鍵共有装置。
  26. 【請求項26】鍵作成者が複数の鍵利用者との間で暗号
    通信を行うための共通の鍵情報を共有するための鍵配送
    装置であって、 鍵作成者の秘密情報として、 【数32】 を作成し、公開情報として、 【数33】 を作成する手段(ただし、0<g1, g2<Nであり、ord
    G(g)は、 【数34】 なる最小の正整数xを表わす)と、 整数r(x,ij) (1≦i≦m,1≦j≦2)をランダムに選
    び、s(x,i)=r(x,γ(i))(1≦i≦2m)に対して、(s(x,
    i)) (1≦i≦2m)を、鍵利用者xの鍵情報とする手段と、
    整数ξFをランダムに選び、 【数35】 を満たす共通鍵Kを、鍵利用者全体の集合のうちの任意
    の部分集合Fに属する鍵利用者とのみ共有することを目
    的に、 【数36】 から、同報通信データとして、 【数37】 を満たすy(i)、および、 【数38】 を満たす整数d(x,ξF)を計算する手段と、 前記同報通信データy(i)、d(x,ξF)を同報送信する手段
    と、を備えることを特徴とする鍵配送装置。
  27. 【請求項27】請求項26記載の鍵配送装置であって、 整数ζをランダムに選び、 【数39】 を満たす共通鍵Kを、鍵利用者全体の集合に含まれる任
    意の部分集合Fに属する鍵利用者とのみ共有することを
    目的に、同報通信データとして、 【数40】 を満たすz(i)を計算する手段と、 前記同報通信データz(i)を同報送信する手段と、をさら
    に備えることを特徴とする鍵配送装置。
  28. 【請求項28】請求項27記載の鍵配送装置から送信さ
    れたデータを基に、鍵利用者xが鍵作成者と共有する共
    通の鍵情報を求める鍵共有装置であって、 前記鍵配送装置から送信されたデータy(i)(あるいはz
    (i))およびd(x,ξF)と、鍵作成者より配布された鍵利
    用者xの秘密鍵(s(x,i)) (1≦i≦2m)とを基に、 【数41】 あるいは、 【数42】 (ただし、fi (1≦i≦2m)は鍵作成者により公開された
    関数であり、fi(s(x,i),y(i))=c(x,γ(i),ξF)あるいは
    fi(s(x,i),z(i))=c(x,γ(i),ξF)とする)により、鍵作
    成者と共有する共通鍵Kを計算する手段、を備えること
    を特徴とする鍵共有装置。
  29. 【請求項29】請求項24記載の鍵配送装置から送信さ
    れたデータを受信する受信装置であって、 前記鍵配送装置から送信されたデータd(x,ξF)と、当該
    受信装置に接続された計算機能付き記憶媒体から送信さ
    れたデータK(x,i)(ただし、K(x,i)=y(i)S(x,i)あるい
    は、K(x,i)=z(i)S(x,i) (∈G))とを基に、 【数43】 あるいは、 【数44】 (ただし、fi (1≦i≦mn)は鍵作成者により公開された
    関数であり、fi(s(x,i),y(i))=c(x,γ(i),ξF)あるいは
    fi(s(x,i),z(i))=c(x,γ(i),ξF)とする)により、鍵利
    用者xが鍵作成者と共有する共通鍵Kを求める手段を備え
    ることを特徴とする受信装置。
  30. 【請求項30】請求項29記載の受信装置に接続可能に
    構成された計算機能付き記憶媒体であって、 鍵作成者より配布された鍵利用者xの秘密鍵(s(x,i)) (1
    ≦i≦mn)を記憶する記憶手段と、 前記記憶手段に記憶された鍵利用者xの秘密鍵(s(x,i))
    (1≦i≦mn)と、前記受信装置が受信した、前記鍵配送装
    置から送信されたデータy(i)あるいはz(i)と、を基に、 【数45】 あるいは、 【数46】 を満たすK(x,i)を求め、前記受信装置に送信する演算手
    段と、を備えることを特徴とする計算機能付き記憶媒
    体。
  31. 【請求項31】請求項27記載の鍵配送装置から送信さ
    れたデータを受信する受信装置であって、 前記鍵配送装置から送信されたデータd(x,ξF)と、当該
    受信装置に接続された計算機能付き記憶媒体から送信さ
    れたデータK(x,i)(ただし、K(x,i)=y(i)S(x,i)modNあ
    るいは、K(x,i)=z(i)S(x,i)modN (∈G))とを基に、 【数47】 あるいは、 【数48】 (ただし、fi (1≦i≦2m)は鍵作成者により公開された
    関数であり、fi(s(x,i),y(i))=c(x,γ(i),ξF)あるいは
    fi(s(x,i),z(i))=c(x,γ(i),ξF)とする)により、鍵利
    用者xが鍵作成者と共有する共通鍵Kを求める手段を備え
    ることを特徴とする受信装置。
  32. 【請求項32】請求項31記載の受信装置に接続可能に
    構成された計算機能付き記憶媒体であって、 鍵作成者より配布された鍵利用者xの秘密鍵(s(x,i)) (1
    ≦i≦2m)を記憶する記憶手段と、 前記記憶手段に記憶された鍵利用者xの秘密鍵(s(x,i))
    (1≦i≦2m)と、前記受信装置が受信した、前記鍵配送装
    置から送信されたデータy(i)あるいはz(i)と、を基に、 【数49】 あるいは、 【数50】 を満たすK(x,i)を求め、前記受信装置に送信する演算手
    段と、を備えることを特徴とする計算機能付き記憶媒
    体。
JP10142887A 1998-05-25 1998-05-25 鍵配送方法及び装置 Pending JPH11340962A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10142887A JPH11340962A (ja) 1998-05-25 1998-05-25 鍵配送方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10142887A JPH11340962A (ja) 1998-05-25 1998-05-25 鍵配送方法及び装置

Publications (1)

Publication Number Publication Date
JPH11340962A true JPH11340962A (ja) 1999-12-10

Family

ID=15325914

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10142887A Pending JPH11340962A (ja) 1998-05-25 1998-05-25 鍵配送方法及び装置

Country Status (1)

Country Link
JP (1) JPH11340962A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010193226A (ja) * 2009-02-19 2010-09-02 Mitsubishi Electric Corp 通信装置及び通信方法及び通信プログラム
JP2011041038A (ja) * 2009-08-12 2011-02-24 Hitachi Information & Control Solutions Ltd 秘匿された暗号コードを用いた位置情報認証方法および位置情報認証システム
JP2013130395A (ja) * 2011-12-20 2013-07-04 Hitachi Information & Control Solutions Ltd 位置情報認証システムおよび位置情報認証方法
JP2013534622A (ja) * 2010-06-15 2013-09-05 ジ ヨーロピアン ユニオン,リプレゼンテッド バイ ジ ヨーロピアン コミッション 認証可能な時間および場所の指標を提供する方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010193226A (ja) * 2009-02-19 2010-09-02 Mitsubishi Electric Corp 通信装置及び通信方法及び通信プログラム
JP2011041038A (ja) * 2009-08-12 2011-02-24 Hitachi Information & Control Solutions Ltd 秘匿された暗号コードを用いた位置情報認証方法および位置情報認証システム
JP2013534622A (ja) * 2010-06-15 2013-09-05 ジ ヨーロピアン ユニオン,リプレゼンテッド バイ ジ ヨーロピアン コミッション 認証可能な時間および場所の指標を提供する方法
JP2013130395A (ja) * 2011-12-20 2013-07-04 Hitachi Information & Control Solutions Ltd 位置情報認証システムおよび位置情報認証方法

Similar Documents

Publication Publication Date Title
US6512829B1 (en) Key distribution method and system in secure broadcast communication
US11870891B2 (en) Certificateless public key encryption using pairings
CN112906030B (zh) 基于多方全同态加密的数据共享方法和系统
Hwang et al. An ElGamal-like cryptosystem for enciphering large messages
US20100098253A1 (en) Broadcast Identity-Based Encryption
JPH10301491A (ja) 暗号通信方法とシステム
Blake et al. Scalable, server-passive, user-anonymous timed release public key encryption from bilinear pairing
Kim et al. Improving fairness and privacy of Zhou-Gollmann's fair non-repudiation protocol
US6912654B2 (en) Secret key generating method, encryption method, cryptographic communication method and cryptographic communication system
JPH11298470A (ja) 鍵の配布方法およびシステム
US12206767B2 (en) Methods and devices for secured identity-based encryption systems with two trusted centers
Kim et al. Robust e-mail protocols with perfect forward secrecy
JP3657439B2 (ja) 同報暗号通信における暗復号化鍵の配送方法
JPH11340962A (ja) 鍵配送方法及び装置
Khatoon et al. An efficient and secure, ID-based authenticated, asymmetric group key agreement protocol for ubiquitous pay-TV networks
KR20030047148A (ko) Rsa를 이용한 클라이언트/서버 기반의 메신저 보안 방법
Yi et al. ID-based key agreement for multimedia encryption
JPH1022991A (ja) 同報暗号通信方法および装置
US20010010721A1 (en) Common key generating method, common key generating apparatus, encryption method, cryptographic communication method and cryptographic communication system
JP3697364B2 (ja) 鍵配送方法及び装置
Liaw Broadcasting cryptosystem in computer networks
JPH06112935A (ja) 暗号通信方法
JPH11187010A (ja) 暗号通信における鍵配送方法及び鍵配送システム
Yoon et al. Cryptanalysis of two user identification schemes with key distribution preserving anonymity
KR20130042388A (ko) 아이디 기반의 브로드캐스트 암호화 방법