知財求人 - 知財ポータルサイト「IP Force」
特開2024-125533B5G/6G移動体通信システム向けカスタマイズ可能暗号化装置、B5G/6G移動体通信システム向けカスタマイズ可能暗号化方法及び暗号化プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024125533
(43)【公開日】2024-09-19
(54)【発明の名称】B5G/6G移動体通信システム向けカスタマイズ可能暗号化装置、B5G/6G移動体通信システム向けカスタマイズ可能暗号化方法及び暗号化プログラム
(51)【国際特許分類】
H04L 9/22 20060101AFI20240911BHJP
【FI】
H04L9/22
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023033393
(22)【出願日】2023-03-06
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和4年度、総務省、「安全な無線通信サービスのための新世代暗号技術に関する研究開発」委託事業、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】福島 和英
(72)【発明者】
【氏名】仲野 有登
(72)【発明者】
【氏名】清本 晋作
(57)【要約】
【課題】B5G/6G移動体通信システムにおける多種多様な性能要件を満たすことができるカスタマイズ可能なストリーム暗号化装置を提供すること。
【解決手段】暗号化装置100は、初期化処理部200と暗号化処理部300を備えている。初期化処理部200は、ラウンド関数を備えており、内部状態を撹拌する。暗号化処理部300は、撹拌された内部状態から抽出された鍵シーケンスと平文との演算により暗号文を生成する。第1の構成指定データS1により、ラウンド関数における処理の並列数が指定され、第2の構成指定データS2により、ラウンド関数における非線形関数と論理演算の割合が指定されるので、性能、消費電力及び安全性に対する多種多様な要件に適合した暗号化装置を提供できる。
【選択図】図1
【解決手段】暗号化装置100は、初期化処理部200と暗号化処理部300を備えている。初期化処理部200は、ラウンド関数を備えており、内部状態を撹拌する。暗号化処理部300は、撹拌された内部状態から抽出された鍵シーケンスと平文との演算により暗号文を生成する。第1の構成指定データS1により、ラウンド関数における処理の並列数が指定され、第2の構成指定データS2により、ラウンド関数における非線形関数と論理演算の割合が指定されるので、性能、消費電力及び安全性に対する多種多様な要件に適合した暗号化装置を提供できる。
【選択図】図1
【特許請求の範囲】
【請求項1】
ラウンド関数を含み、内部状態を撹拌する初期化処理部と、
ラウンド関数を含み、内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理部と、
を備えた暗号化装置であって、
構成指定データに基づいて、前記ラウンド関数をカスタマイズする暗号化装置。
ラウンド関数を含み、内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理部と、
を備えた暗号化装置であって、
構成指定データに基づいて、前記ラウンド関数をカスタマイズする暗号化装置。
【請求項2】
前記構成指定データは、前記ラウンド関数における処理の並列数を指定する、請求項1に記載の暗号化装置。
【請求項3】
前記構成指定データは、前記ラウンド関数における非線形関数と論理演算の割合を指定する、請求項1に記載の暗号化装置。
【請求項4】
前記暗号化処理部の後段に認証タグ生成処理部を備え、
前記ラウンド関数は外部入力を有し、
前記暗号化処理部の前記外部入力として平文を入力することにより、前記認証タグ生成処理部が認証タグを生成する請求項1から請求項3のいずれかに記載の暗号化装置。
前記ラウンド関数は外部入力を有し、
前記暗号化処理部の前記外部入力として平文を入力することにより、前記認証タグ生成処理部が認証タグを生成する請求項1から請求項3のいずれかに記載の暗号化装置。
【請求項5】
ラウンド関数によって内部状態を撹拌する初期化処理ステップと、
ラウンド関数によって内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理ステップと、
を備えた暗号化方法であって、
構成指定データに基づいて、前記ラウンド関数をカスタマイズする暗号化方法。
ラウンド関数によって内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理ステップと、
を備えた暗号化方法であって、
構成指定データに基づいて、前記ラウンド関数をカスタマイズする暗号化方法。
【請求項6】
請求項1から請求項3のいずれかに記載の暗号化装置としてコンピュータを機能させるための暗号化プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
3GPP(登録商標)のセキュリティアーキテクチャでは、鍵導出アルゴリズムを用いて、単一の鍵から、異なる目的のために利用する複数の鍵を派生している。3G~5Gの通信システムにおいては、前述の鍵導出アルゴリズムとして、MILENAGEやTUAKが利用されている。現在、B5G(Beyond 5G)/6G向けの鍵導出アルゴリズムとして、256ビット版の鍵導出アルゴリズムが検討されている。
【0002】
本発明は、このB5G/6G移動体通信システムおける様々な端末に応じてチューニング可能な暗号化装置を提案するものである。
【背景技術】
【0003】
従来、非特許文献1、2において、5G移動体通信システムにおける共通鍵暗号アルゴリズムAES、SNOW-3G、ZUGが定義されている。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】3GPP(登録商標) TS 35.216: ”Specification of the 3GPP(登録商標) Confidentiality and Integrity Algorithms UEA2 & UIA2; Document 2: SNOW 3G specification”.
【非特許文献2】3GPP(登録商標) TS 33.501: ”Security architecture and procedures for 5G System”
【発明の概要】
【発明が解決しようとする課題】
【0005】
B5G/6G移動体通信システムにおいては、5Gの特徴的機能をさらに高度化させ、「超高速且つ大容量」、「超低遅延」、「超多数同時接続」といった機能を具備することにより、あらゆる場所からの膨大なデータを瞬時に正確に処理できるようになる。一方で、特にIoT機器等においては、「超低消費電力」の要件を満たす必要がある。低消費電力化の技術開発がなされない場合、2030年のIT関連の電力消費量は、2016年の36倍となると見込まれている。この2016年の36倍という電力消費量は、2018年の総電力消費量の1.5倍でもある。
【0006】
このような状況において、B5G/6Gで必要となる暗号アルゴリズムは、様々なユースケースや端末の要件に対応してカスタマイズできることが求められる。例えば、スマートフォンやPC(パーソナルコンピュータ)においては、超高速且つ大容量の通信を実現させるために、高い性能を持つ暗号方式が必要である。ここでいう「性能が高い」とは、単位時間当たりに暗号化することができる平文の量が多いことを意味する。他方、電力の供給に制約があるIoT機器等においては、性能をある程度犠牲にしても、消費電力を最小化する必要がある。
【0007】
現行の5G移動体通信システムで利用している暗号は、カスタマイズすることができないので、暗号化処理が、B5G/6G移動体通信システムにおける性能要件のボトルネックとなる可能性がある。
【0008】
そこで、本発明は、B5G/6G移動体通信システムにおける多種多様な性能要件を満たすことができるカスタマイズ可能なストリーム暗号化装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明者らは、ストリーム暗号の処理の並列数、及び処理の割合(例えば、非線形関数と論理演算の割合)をカスタマイズすることで、性能要件を満たすことができることを見出し、本発明を完成するに至った。
【0010】
(1)本発明に係る暗号化装置は、ラウンド関数を含み、内部状態を撹拌する初期化処理部と、ラウンド関数を含み、内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理部と、を備えた暗号化装置であって、構成指定データに基づいて、前記ラウンド関数をカスタマイズする。
【0011】
(2)前記構成指定データは、前記ラウンド関数における処理の並列数を指定してもよい。
【0012】
(3)前記構成指定データは、前記ラウンド関数における非線形関数と論理演算の割合を指定してもよい。
【0013】
(4)前記暗号化処理部の後段に認証タグ生成処理部を備え、前記ラウンド関数は外部入力を有し、前記暗号化処理部の前記外部入力として平文を入力することにより、前記認証タグ生成処理部が認証タグを生成してもよい。
【0014】
(5)本発明に係る暗号化方法は、ラウンド関数によって内部状態を撹拌する初期化処理ステップと、ラウンド関数によって内部状態を撹拌し、撹拌された内部状態から抽出した鍵ストリームと平文の排他的論理和を算出することにより暗号文を生成する暗号化処理ステップと、を備えた暗号化方法であって、構成指定データに基づいて、前記ラウンド関数をカスタマイズする。
【0015】
(6)本発明に係る暗号化プログラムは前記暗号化装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0016】
本発明によれば、B5G/6G移動体通信システムにおける多種多様な性能要件を満たすことができるカスタマイズ可能なストリーム暗号化装置を提供できる。
【図面の簡単な説明】
【0017】
【図1】本発明の実施形態1の暗号化装置の概略構成を示す図である。
【図2】本発明の実施形態1の暗号化装置のハードウェア構成を示す図である。
【図3】本発明の実施形態1の暗号化装置の詳細構成を示す図である。
【図4】本発明の実施形態1の暗号化装置のラウンド関数の一例を示す図である。
【図5】本発明の実施形態1の暗号化装置のラウンド関数の一例を示す図である。
【図6】本発明の実施形態2の暗号化装置の概略構成を示す図である。
【図7】本発明の実施形態2の暗号化装置の詳細構成を示す図である。
【図8】本発明の実施形態2の暗号化装置のラウンド関数の一例を示す図である。
【発明を実施するための形態】
【0018】
以下、本発明の実施形態について図面とともに説明する。
[実施形態1]
図1は、実施形態1の暗号化装置100の概略構成を示す。実施形態1の暗号化装置100は、初期化処理部200と暗号化処理部300を備えている。初期化処理部200は、鍵と乱数を基に撹拌された内部状態を作成する。暗号化処理部300は、初期化処理部200により作成された内部状態を用いて、平文を暗号化して暗号文を出力する。
[実施形態1]
図1は、実施形態1の暗号化装置100の概略構成を示す。実施形態1の暗号化装置100は、初期化処理部200と暗号化処理部300を備えている。初期化処理部200は、鍵と乱数を基に撹拌された内部状態を作成する。暗号化処理部300は、初期化処理部200により作成された内部状態を用いて、平文を暗号化して暗号文を出力する。
【0019】
暗号化装置100には、第1の構成指定データS1と第2の構成指定データS2とが入力されている。第1の構成指定データS1は、暗号化装置100における処理の並列数を指定するデータである。第2の構成指定データS2は、処理の割合、例えば、非線形関数と論理演算の割合を指定するデータである。第1の構成指定データS1と第2の構成指定データS2を合わせて、「構成指定データ」いう。構成指定データについては、暗号化装置100の外部から入力してもよいが、暗号化装置100の内部にデータを持たせる構成としてもよい。
【0020】
図2は、実施形態1の暗号化装置100のハードウェア構成を示す図である。暗号化装置100は、制御部10及び記憶部20の他、各種のインターフェース等を備えた情報処理装置(コンピュータ)である。
【0021】
制御部10は、暗号化装置100の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、実施形態1における各機能を実現する。制御部10は、CPUであってもよい。
【0022】
記憶部20は、ハードウェア群を暗号化装置100として機能させるための各種プログラム、及び各種データの記憶領域であり、ROM、RAM、フラッシュメモリ、又はハードディスクドライブ(HDD)等であってよい。したがって、構成指定データを記憶部20に記憶させてもよい。
具体的には、記憶部20は、実施形態1の各機能を制御部10に実行させるためのプログラム(暗号化プログラム)等を記憶する。
具体的には、記憶部20は、実施形態1の各機能を制御部10に実行させるためのプログラム(暗号化プログラム)等を記憶する。
【0023】
制御部10は、暗号化プログラムを実行することにより、処理部11として機能する。
【0024】
図3は、第1の構成指定データS1により、処理の並列数が「4」と指定された場合の暗号化装置100の詳細構成を示す図である。図3に示すように、処理の並列数は、図1の内部状態の信号の数を意味している。図3の31~3mや、51~5mのように内部に「R」が記載されているブロックは、ラウンド関数を意味する。ラウンド関数は、入力された内部状態を撹拌して、撹拌後の内部状態を出力する。
【0025】
ストリーム暗号の処理の開始時において、鍵と初期値を内部状態に格納する。次に、初期化処理部200において、後で詳述するラウンド関数を内部状態に複数回適用することで、内部状態を撹拌する。また、加算器41~44において、ラウンド関数の適用後の内部状態に鍵を再度加えることにより、内部状態をさらに撹拌する構成をとることもできる。
【0026】
暗号化処理部300においては、排他的論理和演算器61~6nにより、内部状態から抽出した鍵ストリームと平文との排他的論理和を計算することで暗号文を得る。鍵ストリームを抽出するたびにラウンド関数を適用し、内部状態を更新する。
また、鍵ストリームの抽出においては、非線形関数や論理演算等から構成される鍵ストリーム生成関数を利用する構成も可能である。
また、鍵ストリームの抽出においては、非線形関数や論理演算等から構成される鍵ストリーム生成関数を利用する構成も可能である。
【0027】
図4に、第1の構成指定データS1により指定された処理の並列数が「4」である場合のラウンド関数の構成の一例を示す。更新前の内部状態がa1~d1で表されている。また更新後の内部状態がa2~d2で表されている。更新後の内部状態は、更新前の内部状態の非線形関数や論理演算によって算出される。非線形関数の例としてはAESのラウンド関数があり、論理演算の例としては、排他的論理和演算がある。
図4は、処理の並列数が「4」である場合のラウンド関数の構成の一例に過ぎず、更新前の内部状態a1とb1の論理演算を計算することとしてもよく、また更新前の内部状態c1とd1を非線形関数の入力としてもよい。
図4は、処理の並列数が「4」である場合のラウンド関数の構成の一例に過ぎず、更新前の内部状態a1とb1の論理演算を計算することとしてもよく、また更新前の内部状態c1とd1を非線形関数の入力としてもよい。
【0028】
処理の並列数を変えて、処理の処理数を増やす、又は減らすことも可能である。
処理の並列数を増やすことで内部状態のサイズが増大し、ラウンド関数の適用毎に生成できる鍵ストリームのサイズも向上する。このためストリーム暗号の性能も向上する。一方で、実装の規模が増加するため、消費電力が増大する。処理の処理数を減らすことで実装の規模を縮小し、消費電力を抑えることができる。ただし、トレードオフとして、一度に生成できる鍵ストリームのサイズも縮小するため、性能は低下する。
処理の並列数を増やすことで内部状態のサイズが増大し、ラウンド関数の適用毎に生成できる鍵ストリームのサイズも向上する。このためストリーム暗号の性能も向上する。一方で、実装の規模が増加するため、消費電力が増大する。処理の処理数を減らすことで実装の規模を縮小し、消費電力を抑えることができる。ただし、トレードオフとして、一度に生成できる鍵ストリームのサイズも縮小するため、性能は低下する。
【0029】
図5に、処理の並列数が「2」の場合のラウンド関数の構成の一例を示す。
【0030】
また、図4は、非線形関数と論理演算の割合が、「1対1」である場合のラウンド関数を示している。しかし、第2の構成指定データS2の値を変更することにより、非線形関数と論理演算の割合を「1対3」や「3対1」に変更することができる。非線形関数と論理演算の割合を調整することで安全性と性能のチューニングを行うことが可能である。非線形関数の割合を増やすことで、安全性は向上するが処理性能は低下する。一方、論理演算の割合を増やすことで性能は向上するが、安全性は低下する。
【0031】
以上のように、実施形態1の暗号化装置は、構成指定データによって、暗号化装置の性能、消費電力、及び安全性を調整することができるので、多種多様な性能要件を満たす暗号化装置を提供することができる。
【0032】
[実施形態2]
図6は、実施形態2の暗号化装置900の概略構成を示す。
実施形態2の暗号化装置900は、外部入力を持つラウンド関数を利用することで認証暗号を発生する暗化号装置である。この認証暗号は、一般に「認証付き暗号」とも呼ばれているもので、暗号文を作成するとともに、認証タグ(メッセージ認証符号、MAC(Message Authentication Code))も同時に作成するものである。
図6は、実施形態2の暗号化装置900の概略構成を示す。
実施形態2の暗号化装置900は、外部入力を持つラウンド関数を利用することで認証暗号を発生する暗化号装置である。この認証暗号は、一般に「認証付き暗号」とも呼ばれているもので、暗号文を作成するとともに、認証タグ(メッセージ認証符号、MAC(Message Authentication Code))も同時に作成するものである。
【0033】
暗号化装置900は、実施形態1の暗号化装置100に加えて、関連データ処理部400と認証タグ生成処理部500を備えている。各部で使用されているラウンド関数は、外部入力を備えている。初期化処理部200では、ラウンド関数の外部入力として、追加入力を用いる。追加入力としてはある固定値でもよく、また、0又は1のビット列であってもよい。
【0034】
関連データ処理部400では、ラウンド関数の外部入力として、関連情報を用いる。関連情報は、利用者が指定する情報であるが、セッション番号やシーケンス番号であってよく、また、オール零の値であってもよい。また、関連情報を入力することは、必須ではなく、関連データ処理部400のラウンド関数を、実施形態1のラウンド関数と同様に、外部入力のないものとしてもよい。
【0035】
暗号化処理部300では、ラウンド関数の外部入力として、平文を用いる。
認証タグ生成処理部500では、ラウンド関数の外部入力として、追加入力を用いる。この追加入力としては、初期化処理部200と同様に、ある固定値でもよく、また、0又は1のビット列であってもよい。
認証タグ生成処理部500では、ラウンド関数の外部入力として、追加入力を用いる。この追加入力としては、初期化処理部200と同様に、ある固定値でもよく、また、0又は1のビット列であってもよい。
【0036】
実施形態2の暗号化装置900のハードウェア構成は、実施形態1の暗号化装置100のハードウェア構成と同様であるので、説明を省略する。
【0037】
【0038】
初期化処理部200では、ラウンド関数を内部状態に複数回適用することで内部状態を撹拌する。図7の加算器40は、実施形態1の加算器41~44をまとめたものである。図7の加算器40は必須ではなく、加算器40が無い構成とすることもできる。
【0039】
関連データ処理部400では、すべての関連情報がラウンド関数に入力されるまで、ラウンド関数を繰り返し適用し、内部状態を更新する。
【0040】
暗号化処理部300において、排他的論理和演算器61~6nにより、内部状態から抽出した鍵ストリームと平文との排他的論理和を計算することで暗号文を得る点は、実施形態1と変わりない。暗号化処理部300においては、鍵ストリームを抽出するたびにラウンド関数を適用し、内部状態を更新する。鍵ストリームの抽出においては、非線形関数や論理演算から構成される鍵ストリーム生成関数を利用する構成も可能である。
【0041】
認証タグ生成処理部500では、ラウンド関数を内部状態に複数回適用することで、内部状態を撹拌し、認証タグ生成処理部500の最後の段のラウンド関数8qの更新後の内部状態として、認証タグを得る。認証タグの抽出については、非線形関数や論理演算から構成される認証タグ生成関数を利用する構成も可能である。
【0042】
図8に、外部入力を持つラウンド関数の構成の一例を示す。この構成においても、実施形態1と同様に、暗号化装置900の外部から入力される、又は暗号化装置900の記憶部20に記憶されている構成指定データに基づいて、処理の並列数の変更、及び非線形関数と論理演算の割合を調整することが可能である。図8は、外部入力を持つラウンド関数の構成の一例に過ぎず、外部入力が論理演算に入力する構成としてもよい。
【0043】
このようにして生成された暗号文と認証タグ(暗号化装置900にて生成された認証タグを「認証タグ甲」と呼ぶことにする。)は、通信システムを介して受信側に送られる。
受信側では、受信した暗号文、及び送信側と共通の鍵を用いて所定の処理を行うことにより認証タグを生成する。この受信側で生成された認証タグを「認証タグ乙」と呼ぶことにする。認証タグ乙が認証タグ甲と一致することを確認することにより、受信したメッセージが改竄されていないことを確認することができる。
受信側では、受信した暗号文、及び送信側と共通の鍵を用いて所定の処理を行うことにより認証タグを生成する。この受信側で生成された認証タグを「認証タグ乙」と呼ぶことにする。認証タグ乙が認証タグ甲と一致することを確認することにより、受信したメッセージが改竄されていないことを確認することができる。
【0044】
実施形態1及び2で示したラウンド関数における処理の並列数の「4」や「2」は、例示に過ぎず、「5」や「8」や「13」など任意の数とすることができる。
実施形態1及び2で示した非線形関数と論理演算の割合の「1対1」や「1対3」や「3対1」は、例示に過ぎず、「1対9」や「4対5」など任意の割合とすることができる。
実施形態1及び2で示した非線形関数と論理演算の割合の「1対1」や「1対3」や「3対1」は、例示に過ぎず、「1対9」や「4対5」など任意の割合とすることができる。
【0045】
以上のように、本発明によれば、性能要件に合わせたカスタマイズが可能なストリーム暗号及び認証暗号を構築できる。
また、本発明によれば、ラウンド関数における処理の並列数、及び非線形関数と論理演算の割合を調整することで、性能と消費電力と安全性のチューニングを行うことができる。
さらに、AESのラウンド関数を非線形関数として利用する場合、AESのハードウェア命令を利用した高速な処理が期待できる。
また、本発明によれば、ラウンド関数における処理の並列数、及び非線形関数と論理演算の割合を調整することで、性能と消費電力と安全性のチューニングを行うことができる。
さらに、AESのラウンド関数を非線形関数として利用する場合、AESのハードウェア命令を利用した高速な処理が期待できる。
【0046】
本発明により、「超高速且つ大容量」の通信を行うスマートフォンやPC、消費電力を最小化する必要があるIoT機器、それぞれの要求に応じてカスタマイズすることが可能な暗号化装置を提供することができる。
したがって、国連が主導する持続可能な開発目標(SDGs)の目標9「強靭(レジリエント)なインフラ構成、包摂的かつ持続可能な産業化の促進及びイノベーションの推進を図る」に貢献することが可能となる。
したがって、国連が主導する持続可能な開発目標(SDGs)の目標9「強靭(レジリエント)なインフラ構成、包摂的かつ持続可能な産業化の促進及びイノベーションの推進を図る」に貢献することが可能となる。
【符号の説明】
【0047】
100 暗号化装置
200 初期化処理部
300 暗号化処理部
400 関連データ処理部
500 認証タグ生成処理部
600 更新前の内部状態
700 更新後の内部状態
900 暗号化装置
200 初期化処理部
300 暗号化処理部
400 関連データ処理部
500 認証タグ生成処理部
600 更新前の内部状態
700 更新後の内部状態
900 暗号化装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】