ホーム > 特許ランキング > 日本電信電話株式会社
▶ 日本電信電話株式会社の特許一覧 ▶ サイボウズ・ラボ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023175540
(43)【公開日】2023-12-12
(54)【発明の名称】鍵交換システム、情報処理装置、方法、及びプログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20231205BHJP
【FI】
H04L9/08 D
H04L9/08 F
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022088032
(22)【出願日】2022-05-30
(71)【出願人】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(71)【出願人】
【識別番号】506118098
【氏名又は名称】サイボウズ・ラボ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100124844
【弁理士】
【氏名又は名称】石原 隆治
(72)【発明者】
【氏名】村上 啓造
(72)【発明者】
【氏名】小林 鉄太郎
(72)【発明者】
【氏名】光成 滋生
(57)【要約】
【課題】IDベース認証付き鍵交換を行う際に通信相手のIDを取得可能な技術を提供すること。
【解決手段】本開示の一態様による鍵交換システムは、複数の通信端末とサーバとが含まれる鍵交換システムであって、前記複数の通信端末に含まれる各通信端末は、通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信部と、前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換部と、を有し、前記サーバは、前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信部、を有する。
【選択図】図7
【解決手段】本開示の一態様による鍵交換システムは、複数の通信端末とサーバとが含まれる鍵交換システムであって、前記複数の通信端末に含まれる各通信端末は、通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信部と、前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換部と、を有し、前記サーバは、前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信部、を有する。
【選択図】図7
【特許請求の範囲】
【請求項1】
複数の通信端末とサーバとが含まれる鍵交換システムであって、
前記複数の通信端末に含まれる各通信端末は、
通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信部と、
前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換部と、を有し、
前記サーバは、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信部、
を有する鍵交換システム。
前記複数の通信端末に含まれる各通信端末は、
通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信部と、
前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換部と、を有し、
前記サーバは、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信部、
を有する鍵交換システム。
【請求項2】
前記サーバは、
前記アドレス情報を受信すると、前記アドレス情報とIDとが対応付けて格納されているテーブルを参照して、前記アドレス情報に対応するIDを取得するように構成されている取得部を更に有し、
前記第2の送信部は、
前記取得部が取得したIDを前記通信端末に送信するように構成されている、請求項1に記載の鍵交換システム。
前記アドレス情報を受信すると、前記アドレス情報とIDとが対応付けて格納されているテーブルを参照して、前記アドレス情報に対応するIDを取得するように構成されている取得部を更に有し、
前記第2の送信部は、
前記取得部が取得したIDを前記通信端末に送信するように構成されている、請求項1に記載の鍵交換システム。
【請求項3】
前記アドレス情報は、前記他の通信端末のFQDN又はIPアドレスである、請求項2に記載の鍵交換システム。
【請求項4】
前記第1の送信部は、
自身が、前記IDベース認証付き鍵交換のイニシエータである場合、前記他の通信端末のアドレス情報を前記サーバに送信するように構成されている、請求項1乃至3の何れか一項に記載の鍵交換システム。
自身が、前記IDベース認証付き鍵交換のイニシエータである場合、前記他の通信端末のアドレス情報を前記サーバに送信するように構成されている、請求項1乃至3の何れか一項に記載の鍵交換システム。
【請求項5】
IDベース認証付き鍵交換により他の通信端末との間で相互認証及び鍵交換を行う通信端末と通信可能に接続される情報処理装置であって、
前記他の通信端末のアドレス情報を前記通信端末から受信するように構成されている受信部と、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている送信部と、
を有する情報処理装置。
前記他の通信端末のアドレス情報を前記通信端末から受信するように構成されている受信部と、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている送信部と、
を有する情報処理装置。
【請求項6】
複数の通信端末とサーバとが含まれる鍵交換システムに用いられる方法であって、
前記複数の通信端末に含まれる通信端末が、
通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信手順と、
前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換手順と、を実行し、
前記サーバが、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信手順、
を実行する方法。
前記複数の通信端末に含まれる通信端末が、
通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信手順と、
前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換手順と、を実行し、
前記サーバが、
前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信手順、
を実行する方法。
【請求項7】
コンピュータを、請求項1に記載の鍵交換システムに含まれる通信端末又はサーバとして機能させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、鍵交換システム、情報処理装置、方法、及びプログラムに関する。
【背景技術】
【0002】
IoT(Internet of Things)機器の普及やスマートシティの実現により、通信端末同士でアドホックに高速な通信を確立したいというニーズが高まっている。従来のHTTP/2(Hypertext Transfer Protocol version 2)では通信確立までに鍵交換と相互認証に2往復の通信を必要としていたが、HTTP/3(Hypertext Transfer Protocol version 3)では1往復で鍵交換と相互認証が完了する。鍵交換と相互認証には、これまで主にDH(Diffie-Hellman)鍵交換やECDHE(Elliptic curve Diffie-Hellman)鍵交換等といった鍵交換プロトコルとRSA(Rivest-Shamir-Adleman)署名やECDSA(Elliptic Curve Digital Signature Algorithm)等といった署名技術とを組み合わせることで実現していた。これに対して、IDベース認証付き鍵交換と呼ばれる技術を用いることで、証明書不要で鍵交換と相互認証を1つのプロトコルで実現できる。IDベース認証付き鍵交換には様々な方式が存在するが、演算効率のよい方式として通信開始前に通信相手のIDを知っている必要がある方式が存在する(例えば、非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】木下魁,永井彰,鈴木幸太郎,"TLS1.3へのIDベース認証鍵交換の適用と実装評価",コンピュータセキュリティシンポジウム2019, 824-830.
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、通信相手が固定であればその通信相手のIDが既知であるものとして実装可能であるが、不特定多数との通信に適用する場合には通信開始前に通信相手のIDを何等かの方法で知る必要があった
本開示は、上記の点に鑑みてなされたもので、IDベース認証付き鍵交換を行う際に通信相手のIDを取得可能な技術を提供する。
本開示は、上記の点に鑑みてなされたもので、IDベース認証付き鍵交換を行う際に通信相手のIDを取得可能な技術を提供する。
【課題を解決するための手段】
【0005】
本開示の一態様による鍵交換システムは、複数の通信端末とサーバとが含まれる鍵交換システムであって、前記複数の通信端末に含まれる各通信端末は、通信相手となる他の通信端末のアドレス情報を前記サーバに送信するように構成されている第1の送信部と、前記サーバから送信されたIDと、自身のIDとを用いて、IDベース認証付き鍵交換により前記他の通信端末との間で相互認証及び鍵交換を行うように構成されている鍵交換部と、を有し、前記サーバは、前記アドレス情報を受信すると、前記アドレス情報に対応するIDを前記通信端末に送信するように構成されている第2の送信部、を有する。
【発明の効果】
【0006】
IDベース認証付き鍵交換を行う際に通信相手のIDを取得可能な技術が提供される。
【図面の簡単な説明】
【0007】
【図1】本実施形態に係る認証付き鍵交換システムの全体構成の一例を示す図である。
【図2】本実施形態に係る鍵配布サーバの機能構成の一例を示す図である。
【図3】本実施形態に係るID解決サーバの機能構成の一例を示す図である。
【図4】IDテーブルの一例を示す図である。
【図5】本実施形態に係る通信端末の機能構成の一例を示す図である。
【図6】本実施形態に係るセットアップ処理の一例を示すフローチャートである。
【図7】本実施形態に係る認証付き鍵交換処理の一例を示すシーケンス図である。
【図8】コンピュータのハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0008】
以下、本発明の一実施形態について説明する。以下の実施形態では、IDベース認証付き鍵交換を行う際に通信相手のIDを取得可能な認証付き鍵交換システム1について説明する。ここで、IDベース認証付き鍵交換には様々な方式が存在するが、例えば、参考文献1に記載されている方式が存在する。参考文献1に記載されている方式は、通信開始前に通信相手のIDを知っている必要があるが、演算効率のよい方式である。本実施形態では、IDベース認証付き鍵交換として、参考文献1に記載されている方式のように、通信開始前に通信相手のIDを知っている必要がある方式を想定する。なお、IDベース認証付き鍵交換の詳細については、適宜、参考文献1等を参照されたい。
【0009】
<全体構成>
本実施形態に係る認証付き鍵交換システム1の全体構成例を図1に示す。図1に示すように、本実施形態に係る認証付き鍵交換システム1には、エンティティとして、鍵配布サーバ10と、ID解決サーバ20と、複数の通信端末30とが含まれる。これらの各エンティティは、インターネット等の通信ネットワークNを介して通信可能に接続される。
本実施形態に係る認証付き鍵交換システム1の全体構成例を図1に示す。図1に示すように、本実施形態に係る認証付き鍵交換システム1には、エンティティとして、鍵配布サーバ10と、ID解決サーバ20と、複数の通信端末30とが含まれる。これらの各エンティティは、インターネット等の通信ネットワークNを介して通信可能に接続される。
【0010】
鍵配布サーバ10は、鍵生成局(KGC:Key Generation Center)として機能する汎用サーバ等のコンピュータ又はコンピュータシステム(情報処理装置又は情報処理システム)である。
【0011】
ID解決サーバ20は、通信相手となる通信端末30のアドレスからそのIDを解決する機能を持つ汎用サーバ等のコンピュータ又はコンピュータシステム(情報処理装置又は情報処理システム)である。IDは通信端末30を一意に識別可能な識別子であり、その通信端末30の長期秘密鍵の生成に用いられる。IDとしては、例えば、通信端末30の製造固有番号、通信端末30に対して一意に割り当てられた番号や文字列、通信端末30を利用又は管理するユーザのユーザID等が挙げられる。
【0012】
通信端末30は、IDベース認証付き鍵交換により、通信相手となる他の通信端末30との間で鍵交換と相互認証とを行う各種端末である。通信端末30としては、例えば、汎用サーバ、PC(パーソナルコンピュータ)、スマートフォン、タブレット端末、デジタル家電、車載器、センサデバイス等が挙げられる。なお、受信側の通信端末30には、例えば、汎用サーバ、PC(パーソナルコンピュータ)等が用いられる場合が多く、送信側の通信端末30には、例えば、スマートフォン、タブレット端末、デジタル家電、車載器、センサデバイス等が用いられる場合が多い。ただし、これに限られるものではない。以下、複数の通信端末30の各々を区別する場合は「通信端末30A」、「通信端末30B」等と表記する。また、通信端末30AのIDを「IDA」、通信端末30BのIDを「IDB」等と表記する。
【0013】
なお、図1に示す認証付き鍵交換システム1の全体構成は一例であって、これに限られるものではない。例えば、鍵配布サーバ10とID解決サーバ20とが別体ではなく、一体で構成されていてもよい。
【0014】
<機能構成>
以下、本実施形態に係る鍵配布サーバ10、ID解決サーバ20及び通信端末30の機能構成例について説明する。
以下、本実施形態に係る鍵配布サーバ10、ID解決サーバ20及び通信端末30の機能構成例について説明する。
【0015】
≪鍵配布サーバ10≫
本実施形態に係る鍵配布サーバ10の機能構成例を図2に示す。図2に示すように、本実施形態に係る鍵配布サーバ10は、公開パラメータ生成部101と、マスター秘密鍵生成部102と、マスター公開鍵生成部103と、通信部104と、長期秘密鍵生成部105とを有する。これら各部は、例えば、鍵配布サーバ10にインストールされた1以上のプログラムが、CPU(Central Processing Unit)等のプロセッサに実行させる処理により実現される。また、本実施形態に係る鍵配布サーバ10は、記憶部106を有する。記憶部106は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
本実施形態に係る鍵配布サーバ10の機能構成例を図2に示す。図2に示すように、本実施形態に係る鍵配布サーバ10は、公開パラメータ生成部101と、マスター秘密鍵生成部102と、マスター公開鍵生成部103と、通信部104と、長期秘密鍵生成部105とを有する。これら各部は、例えば、鍵配布サーバ10にインストールされた1以上のプログラムが、CPU(Central Processing Unit)等のプロセッサに実行させる処理により実現される。また、本実施形態に係る鍵配布サーバ10は、記憶部106を有する。記憶部106は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
【0016】
公開パラメータ生成部101は、公開パラメータppを生成する。ここで、例えば、素数pと、位数pの巡回群G1、G2、GTと、G1の生成元g1と、G2の生成元g2と、以下の双線形性及び非退化性を満たす双線形写像e:G1×G2→GTとで構成される双線形群をG=(p,G1,G2,GT,g1,g2,e)とする。ただし、Zpは、整数の加法群におけるpを法とする剰余類のなす加法群である。
【0017】
双線形性:任意のh1∈G1、h2∈G2、a,b∈Zpに対して、e(h1
a,h2
b)=e(h1,h2)abが成り立つ。
【0018】
非退化性:e(g1,g2)はGTの生成元である。
【0019】
このとき、公開パラメータ生成部101は、例えば、公開パラメータとしてpp=Gを生成すればよい。ただし、後述するマスター公開鍵mpk=Wも含めて、例えば、pp=(G,W)を公開パラメータとしてもよいし、双線形群Gは既知であるものとして、pp=Wを公開パラメータとしてもよい。ただし、これらの公開パラメータppの生成方法は一例であって、これに限られるものではない。なお、公開パラメータppは公開されるパラメータである。
【0020】
マスター秘密鍵生成部102は、マスター秘密鍵mskを生成する。マスター秘密鍵生成部102は、例えば、Zpから一様ランダムにwを生成し、このw∈Zpをマスター秘密鍵msk=wとすればよい。ただし、このマスター秘密鍵mskの生成方法は一例であって、これに限られるものではない。
【0021】
マスター公開鍵生成部103は、マスター公開鍵mpkを生成する。マスター公開鍵生成部103は、例えば、W=g1
wを生成し、このWをマスター公開鍵mpk=Wとすればよい。ただし、このマスター公開鍵mpkの生成方法は一例であって、これに限られるものではない。
【0022】
通信部104は、通信端末30からIDを受信する。また、通信部104は、公開パラメータppと、マスター公開鍵mpkと、そのIDに対応する長期秘密鍵sskとを当該通信端末30に送信する。
【0023】
長期秘密鍵生成部105は、通信部104が受信したIDに対応する長期秘密鍵sskを生成する。長期秘密鍵生成部105は、例えば、ssk=g2
(1/(w+i))(ただし、i=H1(ID)、H1(・)はIDのビット列を入力としてZpの元を出力するハッシュ関数である。)を、当該IDに対応する長期秘密鍵sskとして生成すればよい。ただし、この長期秘密鍵sskの生成方法は一例であって、これに限られるものではない。
【0024】
記憶部106は、公開パラメータpp、マスター秘密鍵msk及びマスター公開鍵mpk等を記憶する。
【0025】
≪ID解決サーバ20≫
本実施形態に係るID解決サーバ20の機能構成例を図3に示す。図3に示すように、本実施形態に係るID解決サーバ20は、通信部201と、検索部202とを有する。これら各部は、例えば、ID解決サーバ20にインストールされた1以上のプログラムが、CPU等のプロセッサに実行させる処理により実現される。また、本実施形態に係るID解決サーバ20は、記憶部203を有する。記憶部203は、例えば、HDD、SSD、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
本実施形態に係るID解決サーバ20の機能構成例を図3に示す。図3に示すように、本実施形態に係るID解決サーバ20は、通信部201と、検索部202とを有する。これら各部は、例えば、ID解決サーバ20にインストールされた1以上のプログラムが、CPU等のプロセッサに実行させる処理により実現される。また、本実施形態に係るID解決サーバ20は、記憶部203を有する。記憶部203は、例えば、HDD、SSD、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
【0026】
通信部201は、通信端末30の通信相手となる他の通信端末30のアドレスを受信する。また、通信部201は、そのアドレスから得られたID(つまり、通信相手となる他の通信端末30のID)を、当該通信端末30に送信する。
【0027】
検索部202は、通信部201が受信したアドレスに対応するIDをIDテーブル1000から検索する。なお、IDテーブル1000とは、アドレスとIDとが対応付けられたテーブル形式のデータのことである。ただし、IDテーブル1000は必ずしもテーブル形式である必要はなく、アドレスからIDを取得(検索)可能なデータ形式であれば任意のデータ形式でよい。IDテーブル1000の例については後述する。
【0028】
記憶部203は、IDテーブル1000を記憶する。ここで、IDテーブル1000の一例を図4に示す。図4に示すように、IDテーブル1000には、アドレスとIDとが対応付けられている。これにより、検索部202は、通信端末30のアドレスからその通信端末30のIDを検索することができる。アドレスには、通信端末30が通信相手との通信開始前にその通信相手から取得可能な様々なアドレス情報を用いることが可能である。例えば、アドレスとして、FQDN(Fully Qualified Domain Name)やIP(Internet Protocol)アドレス等を用いることが可能である。なお、IDテーブル1000は、例えば、認証付き鍵交換システム1の管理者等によって予め作成される。
【0029】
≪通信端末30≫
本実施形態に係る通信端末30の機能構成例を図5に示す。図5に示すように、本実施形態に係る通信端末30は、通信部301と、短期鍵生成部302と、セッション鍵生成部303とを有する。これら各部は、例えば、通信端末30にインストールされた1以上のプログラムが、CPU等のプロセッサに実行させる処理により実現される。また、本実施形態に係る通信端末30は、記憶部304を有する。記憶部304は、例えば、HDD、SSD、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
本実施形態に係る通信端末30の機能構成例を図5に示す。図5に示すように、本実施形態に係る通信端末30は、通信部301と、短期鍵生成部302と、セッション鍵生成部303とを有する。これら各部は、例えば、通信端末30にインストールされた1以上のプログラムが、CPU等のプロセッサに実行させる処理により実現される。また、本実施形態に係る通信端末30は、記憶部304を有する。記憶部304は、例えば、HDD、SSD、フラッシュメモリ等のストレージ装置(記憶装置)により実現される。
【0030】
通信部301は、自身のIDを鍵配布サーバ10に送信したり、公開パラメータpp、マスター公開鍵mpk及び当該IDに対応する長期秘密鍵sskを鍵配布サーバ10から受信したりする。また、通信部301は、自身の通信相手となる他の通信端末30のアドレスをID解決サーバ20に送信したり、そのアドレスに対応するID(つまり、自身の通信相手となる他の通信端末30のID)をID解決サーバ20から受信したりする。更に、通信部301は、自身がイニシエータである場合に、自身のIDと後述する自身の短期公開鍵epkとを通信相手となる他の通信端末30に送信したり、通信相手の短期公開鍵epkを当該他の通信端末30から受信したりする。
【0031】
なお、自身がレスポンダである場合、通信部301は、自身の通信相手となる他の通信端末30のアドレスをID解決サーバ20に送信する必要はない。また、自身がレスポンダである場合、通信部301は、自身の通信相手となる他の通信端末30からID及び短期公開鍵epkを受信し、自身の短期公開鍵epkを当該他の通信端末30に送信する。
【0032】
短期鍵生成部302は、自身の短期秘密鍵eskと短期公開鍵epkとの鍵ペア(esk,epk)を生成する。短期鍵生成部302は、例えば、{0,1}λ(ただし、λはセキュリティパラメータである。)から一様ランダムにrを生成し、このr∈{0,1}λを短期秘密鍵esk=rとすればよい。また、このとき、短期鍵生成部302は、x=H2(ssk,r)(ただし、H2(・)はビット列を入力としてZpの元を出力するハッシュ関数である。)も生成する。更に、短期鍵生成部302は、例えば、X=(Wg1
i')x(ただし、i'=H1(ID')、ID'は通信相手となる他の通信端末30のIDである。)を生成し、このXを短期公開鍵epk=Xとすればよい。ただし、これらの短期秘密鍵esk及び短期公開鍵epkの生成方法は一例であって、これに限られるものではない。
【0033】
セッション鍵生成部303は、通信相手となる他の通信端末30との暗号化通信に用いられるセッション鍵(つまり、暗号化鍵)SKを生成する。セッション鍵生成部303は、例えば、以下によりセッション鍵SKを生成すればよい。ただし、H3(・)はビット列を入力としてZpの元を出力するハッシュ関数、H4(・)はビット列を入力として{0,1}λの元を出力するハッシュ関数である。
【0034】
d=H3(X,ID,ID')
d'=H3(X',ID,ID')(ただし、X'は通信相手となる他の通信端末30の短期公開鍵epk=X')
σ=e((X'(Wg1 i)d')x+d,ssk)
SK=H4(σ,ID,ID',X,X')
ただし、このセッション鍵SKの生成方法は一例であって、これに限られるものではない。
d'=H3(X',ID,ID')(ただし、X'は通信相手となる他の通信端末30の短期公開鍵epk=X')
σ=e((X'(Wg1 i)d')x+d,ssk)
SK=H4(σ,ID,ID',X,X')
ただし、このセッション鍵SKの生成方法は一例であって、これに限られるものではない。
【0035】
記憶部304は、公開パラメータpp、マスター公開鍵mpk、自身の長期秘密鍵ssk、自身のID、通信相手のID、自身の短期秘密鍵esk、自身の短期公開鍵epk、及びセッション鍵SK等を記憶する。
【0036】
<処理の詳細>
以下、本実施形態に係る認証付き鍵交換システム1が実行するセットアップ処理及び認証付き鍵交換処理について説明する。なお、セットアップ処理は認証付き鍵交換処理が実行されるよりも前に実行される。
以下、本実施形態に係る認証付き鍵交換システム1が実行するセットアップ処理及び認証付き鍵交換処理について説明する。なお、セットアップ処理は認証付き鍵交換処理が実行されるよりも前に実行される。
【0037】
≪セットアップ処理≫
本実施形態に係るセットアップ処理について、図6を参照しながら説明する。
本実施形態に係るセットアップ処理について、図6を参照しながら説明する。
【0038】
鍵配布サーバ10の公開パラメータ生成部101は、公開パラメータppを生成する(ステップS101)。
【0039】
次に、鍵配布サーバ10のマスター秘密鍵生成部102は、マスター秘密鍵mskを生成する(ステップS102)。
【0040】
次に、鍵配布サーバ10のマスター公開鍵mpkを生成する(ステップS103)。
【0041】
以下のステップS104~ステップS106は各通信端末30のID毎に繰り返し実行される。以下では、或る通信端末30のIDに関するステップS104~ステップS106について説明する。
【0042】
鍵配布サーバ10の通信部104は、当該通信端末30からIDを受信する(ステップS104)。
【0043】
次に、鍵配布サーバ10の長期秘密鍵生成部105は、上記のステップS104で受信したIDに対応する長期秘密鍵sskを生成する(ステップS105)。
【0044】
そして、鍵配布サーバ10の通信部104は、公開パラメータppとマスター公開鍵mpkと長期秘密鍵sskとを当該通信端末30に送信する(ステップS106)。なお、ここでは公開パラメータppとマスター公開鍵mpkと長期秘密鍵sskとを通信端末30に送信するものとしたが、公開パラメータpp、マスター公開鍵mpk及び長期秘密鍵sskの配布方法はこれに限定されるものではない。
【0045】
≪認証付き鍵交換処理≫
本実施形態に係る認証付き鍵交換処理について、図7を参照しながら説明する。以下では、一例として、通信端末30Aをイニシエータ、通信端末30Bをレスポンダとし、通信端末30Aと通信端末30Bとの間で認証付き鍵交換を行う場合について説明する。
本実施形態に係る認証付き鍵交換処理について、図7を参照しながら説明する。以下では、一例として、通信端末30Aをイニシエータ、通信端末30Bをレスポンダとし、通信端末30Aと通信端末30Bとの間で認証付き鍵交換を行う場合について説明する。
【0046】
通信端末30Aの通信部301は、通信端末30Bのアドレス(例えば、通信端末30BのFQDN又はIPアドレス等)をID解決サーバ20に送信する(ステップS201)。
【0047】
ID解決サーバ20の検索部202は、通信端末30Bのアドレスを通信部201が受信すると、そのアドレスに対応するIDをIDテーブル1000から検索及び取得する(ステップS202)。以下、通信端末30BのIDとしてIDBが検索及び取得されたものとする。
【0048】
次に、ID解決サーバ20の通信部201は、上記のステップS202で取得されたIDBを通信端末30Aに送信する(ステップS203)。
【0049】
通信端末30Aの短期鍵生成部302は、公開パラメータppと、マスター公開鍵mpkと、自身のIDAと、通信部301が受信したIDBとを用いて、自身の短期秘密鍵と短期公開鍵の鍵ペア(eskA,epkA)を生成する(ステップS204)。
【0050】
次に、通信端末30Aの通信部301は、自身のIDAと自身の短期公開鍵epkAとを通信端末30Bに送信する(ステップS205)。
【0051】
通信端末30Bの短期鍵生成部302は、公開パラメータppと、マスター公開鍵mpkと、自身のIDBと、通信部301が受信したIDAとを用いて、自身の短期秘密鍵と短期公開鍵の鍵ペア(eskB,epkB)を生成する(ステップS206)。
【0052】
次に、通信端末30Bの通信部301は、自身の短期公開鍵epkBを通信端末30Aに送信する(ステップS207)。
【0053】
通信端末30Aのセッション鍵生成部303は、公開パラメータppと、マスター公開鍵mpkと、自身のIDAと、通信端末30BのIDBと、自身の短期公開鍵epkAと、通信端末30Bの短期公開鍵epkBと、自身の長期秘密鍵sskAとを用いて、セッション鍵SKを生成する(ステップS208)。
【0054】
同様に、通信端末30Bのセッション鍵生成部303は、公開パラメータppと、マスター公開鍵mpkと、自身のIDBと、通信端末30AのIDAと、自身の短期公開鍵epkBと、通信端末30Aの短期公開鍵epkAと、自身の長期秘密鍵sskBとを用いて、セッション鍵SKを生成する(ステップS209)。なお、本ステップは、上記のステップS207の前に実行されてもよい。
【0055】
以上により、通信端末30Aと通信端末30Bとの間で相互認証と暗号化通信に用いられるセッション鍵SKの鍵交換とが行われたことになる。
【0056】
<ハードウェア構成>
本実施形態に係る鍵配布サーバ10、ID解決サーバ20及び各通信端末30は、例えば、図8に示すコンピュータ500のハードウェア構成により実現可能である。図8に示すコンピュータ500は、入力装置501と、表示装置502と、外部I/F503と、通信I/F504と、RAM(Random Access Memory)505と、ROM(Read Only Memory)506と、補助記憶装置507と、プロセッサ508とを有する。これらの各ハードウェアは、それぞれがバス509を介して通信可能に接続されている。
本実施形態に係る鍵配布サーバ10、ID解決サーバ20及び各通信端末30は、例えば、図8に示すコンピュータ500のハードウェア構成により実現可能である。図8に示すコンピュータ500は、入力装置501と、表示装置502と、外部I/F503と、通信I/F504と、RAM(Random Access Memory)505と、ROM(Read Only Memory)506と、補助記憶装置507と、プロセッサ508とを有する。これらの各ハードウェアは、それぞれがバス509を介して通信可能に接続されている。
【0057】
入力装置501は、例えば、キーボード、マウス、タッチパネル、物理ボタン等である。表示装置502は、例えば、ディスプレイ、表示パネル等である。なお、コンピュータ500は、例えば、入力装置501及び表示装置502の少なくとも一方を有していなくてもよい。
【0058】
外部I/F503は、記録媒体503a等の外部装置とのインタフェースである。コンピュータ500は、外部I/F503を介して、記録媒体503aの読み取りや書き込み等を行うことができる。記録媒体503aとしては、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等が挙げられる。
【0059】
通信I/F504は、コンピュータ500を通信ネットワークに接続するためのインタフェースである。RAM505は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。ROM506は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。補助記憶装置507は、例えば、HDD、SSD、フラッシュメモリ等のストレージ装置(記憶装置)である。プロセッサ508は、例えば、CPU等の演算装置である。
【0060】
本実施形態に係る鍵配布サーバ10、ID解決サーバ20及び各通信端末30は、例えば、図8に示すコンピュータ500のハードウェア構成を有することにより、上述した各種処理を実現することができる。なお、図8に示すコンピュータ500のハードウェア構成は一例であって、これに限られるものではない。例えば、コンピュータ500は、複数の補助記憶装置507や複数のプロセッサ508を有していてもよいし、図示したハードウェアの一部を有していなくてもよいし、図示したハードウェア以外の様々なハードウェアを有していてもよい。
【0061】
<まとめ>
以上のように、本実施形態に係る認証付き鍵交換システム1では、各通信端末30が通信相手のアドレスからその通信相手のIDを取得することができる。このため、各通信端末30が事前に通信相手のIDを知らない状態であっても、その通信相手のアドレスを知っていれば、IDベース認証付き鍵交換により相互認証及び鍵交換を行うことが可能となる。
以上のように、本実施形態に係る認証付き鍵交換システム1では、各通信端末30が通信相手のアドレスからその通信相手のIDを取得することができる。このため、各通信端末30が事前に通信相手のIDを知らない状態であっても、その通信相手のアドレスを知っていれば、IDベース認証付き鍵交換により相互認証及び鍵交換を行うことが可能となる。
【0062】
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。
【0063】
[参考文献]
参考文献1:J. Tomida, A. Fujioka, A. Nagai, and K. Suzuki, "Strongly Secure Identity-Based Key Exchange with Single Pairing Operation", in Computer Security - ESORICS 2019, 2019, pp. 484-503.
参考文献1:J. Tomida, A. Fujioka, A. Nagai, and K. Suzuki, "Strongly Secure Identity-Based Key Exchange with Single Pairing Operation", in Computer Security - ESORICS 2019, 2019, pp. 484-503.
【符号の説明】
【0064】
1 認証付き鍵交換システム
10 鍵配布サーバ
20 ID解決サーバ
30 通信端末
101 公開パラメータ生成部
102 マスター秘密鍵生成部
103 マスター公開鍵生成部
104 通信部
105 長期秘密鍵生成部
106 記憶部
201 通信部
202 検索部
203 記憶部
301 通信部
302 短期鍵生成部
303 セッション鍵生成部
304 記憶部
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 通信I/F
505 RAM
506 ROM
507 補助記憶装置
508 プロセッサ
509 バス
1000 IDテーブル
N 通信ネットワーク
10 鍵配布サーバ
20 ID解決サーバ
30 通信端末
101 公開パラメータ生成部
102 マスター秘密鍵生成部
103 マスター公開鍵生成部
104 通信部
105 長期秘密鍵生成部
106 記憶部
201 通信部
202 検索部
203 記憶部
301 通信部
302 短期鍵生成部
303 セッション鍵生成部
304 記憶部
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 通信I/F
505 RAM
506 ROM
507 補助記憶装置
508 プロセッサ
509 バス
1000 IDテーブル
N 通信ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】