数据解密装置、属性基密码系统、随机数要素去除装置、随机化秘密密钥生成装置、数据解 ...的制作方法
【技术领域】
[0001] 本发明涉及例如使用属性基密码方式的数据解密装置、属性基密码系统、随机数 要素去除装置、随机化秘密密钥生成装置、数据解密方法和数据解密程序。
【背景技术】
[0002] 近年来,已提出被称作属性基密码或函数型密码的融合了访问控制功能和密码功 能的新型密码(例如非专利文献1和非专利文献2)。
[0003] 这种新型密码是通过指定可解密的利用者的属性来对数据进行加密,使得仅具有 指定属性的利用者能够对已被加密的数据进行解密。
[0004] 在该属性基密码方式中存在密钥生成服务器和对数据进行加密或解密的利用者。
[0005] 密钥生成服务器对利用者的属性进行管理,进而根据利用者的期望生成嵌入有利 用者的属性的秘密密钥,将生成的秘密密钥发送给利用者。
[0006] 例如,密钥生成服务器针对属于A部B课的田中,生成嵌入有3个属性"A部、B课、 田中"的秘密密钥。
[0007] 对数据进行加密的利用者利用使用AND或OR等逻辑算子的逻辑式来指定可解密 的利用者应该具有的属性的条件。
[0008] 例如,在属于A部的人是可解密的利用者的情况下,对数据进行加密的利用者指 定条件式"A部"。并且,在属于A部或B部的人是可解密的利用者的情况下,对数据进行加 密的利用者指定条件式"A部OR B部"。
[0009] 该情况下,属于A部的田中能够对使用任意条件式加密的数据进行解密。这是因 为,田中的属性"A部"符合条件式"A部"和条件式"A部OR B部"双方。
[0010] 另一方面,属于B部的佐藤能够对使用条件式"A部OR B部"加密的数据进行解 密,但是,无法对使用条件式"A部"加密的数据进行解密。这是因为,佐藤的属性"B部"符 合条件式"A部OR B部",但是不符合条件式"A部"。
[0011] 并且,属于C部的铃木无法对使用任意条件式加密的数据进行解密。这是因为,铃 木的属性"C部"不符合条件式"A部"和条件式"A部OR B部"双方。
[0012] 但是,这种属性基密码具有高功能性,因此,存在解密处理花费时间这样的缺点。
[0013] 这是因为,在解密处理时,执行对用于不篡改条件式的秘密方差进行解码的解码 处理以及作为复杂运算的配对运算。
[0014] 因此,很难使用组入设备或IC卡等处理速度较慢且存储容量较少的终端设备进 行解密处理。
[0015] 因此,提出了将解密处理授权给其它装置的解密授权方式。
[0016] 例如,非专利文献3提出了如下方案:通过针对属性基密码的算法(参照非专利文 献2)追加解密授权的结构,代理执行秘密方差的解码或配对运算,在组入设备或IC卡等终 端设备中仅执行解密处理最后进行的随机数去除。由此,在使用计算能力较低的终端设备 对加密数据进行解密的情况下,也能够在短时间内执行解密处理。
[0017] 但是,非专利文献3提出的方式存在只能在对攻击者设有制约的状况 (Selective-secure)下确保安全性,在未对攻击者设有制约的状况(Adaptive-secure)下 无法确保安全性的课题。
[0018] 现有技术文献
[0019] 非专利文献
[0020] 非专利文献 I :T. 0kamoto、K. Takashima、"Fully secure functional encryption with general relations from the decisional linear assumption''、CRYPT0、2010
[0021] 非专利文献 2 :B. Waters、"Ciphertext_policy attibute-based encryption :an expressive, efficient, and provably secure realization''、PKC、2011
[0022] 非专利文献 3 :M. Green、S. Hohenberger、B. Waters、"Outsourcing the Decryption of ABE Ciphertexts''、Proceedings of the 20th USENIX conference on Security、2011
【发明内容】
[0023] 发明要解决的课题
[0024] 本发明的目的在于,例如能够通过分成多个阶段来执行属性基密码方式的解密处 理,提高加密数据的安全性。
[0025] 用于解决课题的手段
[0026] 本发明的数据解密装置具有:公共密钥部分解密部,其利用在使用表示属性的属 性值以属性基密码方式生成的利用者秘密密钥中包含随机数要素而得到的随机化秘密密 钥,对使用包含所述属性值的属性条件式加密后的公共密钥即加密公共密钥进行解密处 理,由此,生成包含所述随机数要素的随机化掩码公共密钥;掩码公共密钥取得部,其取得 从由所述公共密钥部分解密部生成的所述随机化掩码公共密钥中去除所述随机数要素而 得到的掩码公共密钥;掩码去除部,其使用由所述掩码公共密钥取得部取得的所述掩码公 共密钥生成公共密钥;以及数据解密部,其使用由所述掩码去除部生成的所述公共密钥,对 使用所述公共密钥加密后的对象数据进行解密。
[0027] 发明效果
[0028] 根据本发明,例如能够通过分成多个阶段来执行属性基密码方式的解密处理,提 高加密数据的安全性。
【附图说明】
[0029] 图1是实施方式1中的属性基密码系统100的结构图。
[0030] 图2是实施方式1中的密钥生成服务器200的功能结构图。
[0031] 图3是实施方式1中的访问终端300的功能结构图。
[0032] 图4是实施方式1中的IC卡400的功能结构图。
[0033] 图5是示出实施方式1中的属性基密码系统100的处理概要的流程图。
[0034] 图6是示出实施方式1中的初始设定处理(S100)的流程图。
[0035] 图7是示出实施方式1中的利用者属性表291的一例的图。
[0036] 图8是示出实施方式1中的r-利用者秘密密钥发行处理(S200)的流程图。
[0037] 图9是示出实施方式1中的r-利用者秘密密钥生成处理(S220)的流程图。
[0038] 图10是示出实施方式1中的数据加密处理(S300)的流程图。
[0039] 图11是示出实施方式1中的KEM密钥加密处理(S340)的流程图。
[0040] 图12是示出实施方式1中的数据解密处理(S400)的流程图。
[0041] 图13是示出实施方式1中的随机数要素去除处理(S450)的流程图。
[0042] 图14是示出实施方式1中的访问终端300的硬件资源的一例的图。
[0043] 图15是实施方式2中的密钥生成服务器200的功能结构图。
[0044] 图16是实施方式2中的IC卡400的功能结构图。
[0045] 图17是示出实施方式2中的属性基密码系统100的处理概要的流程图。
[0046] 图18是示出实施方式2中的利用者秘密密钥发行处理(S200B)的流程图。
[0047] 图19是示出实施方式2中的利用者秘密密钥生成处理(S220B)的流程图。
[0048] 图20是示出实施方式2中的数据解密处理(S400B)的流程图。
[0049] 图21是示出实施方式2中的r-利用者秘密密钥取得处理(S420B)的流程图。
[0050] 图22是实施方式3中的密钥生成服务器200的功能结构图。
[0051] 图23是实施方式3中的访问终端300的功能结构图。
[0052] 图24是示出实施方式3中的属性基密码系统100的处理概要的流程图。
[0053] 图25是示出实施方式3中的r-利用者秘密密钥生成处理(S200C)的流程图。
[0054] 图26是示出实施方式3中的数据解密处理(S400C)的流程图。
【具体实施方式】
[0055] 实施方式1
[0056] 对将属性基密码系统的解密处理的一部分授权给IC卡的方式进行说明。
[0057] 图1是实施方式1中的属性基密码系统100的结构图。
[0058] 根据图1对实施方式1中的属性基密码系统100的结构进行说明。
[0059] 属性基密码系统100是以属性基密码方式(参照非专利文献1)对数据进行加密 或解密的系统。
[0060] 属性基密码方式是如下的密码方式:使用与被赋予用于访问数据的访问权限的利 用者具有的属性有关的条件式对数据进行加密,由此,仅具有满足条件式的属性的利用者 能够对数据进行解密。属性基密码方式也被称作"函数型密码方式"。
[0061] 属性基密码系统100具有1个密钥生成服务器200 (随机化秘密密钥生成装置的 一例)、1个以上的访问终端300 (数据解密装置的一例)、每个利用者的IC卡400 (随机数 要素去除装置的一例)、1个文件服务器190。IC是Integrated Circuit (集成电路)的简 称。
[0062] 但是,属性基密码系统100也可以具有其它结构,各结构的数量也可以是1个或多 个。
[0063] 密钥生成服务器200、访问终端300、文件服务器190与公司内的局域网(以下称 作公司内LAN101)连接。公司内LANlOl也可以是经由路由器或专用线等的复杂通信路径。
[0064] 但是,这些结构也可以与公司内LANlOl以外的网络(例如因特网)连接。
[0065] 密钥生成服务器200是生成用于对数据进行加密解密的公开参数、使用随机数进 行随机化的利用者秘密密钥、与用于对利用者秘密密钥进行随机化的随机数有关的值(以 下称作掩码值)的装置。装置也称作计算机。
[0066] 访问终端300是使用由密钥生成服务器200生成的公开参数212对数据进行加密 的装置(例如个人计算机)。并且,访问终端300是与IC卡400 -起对加密的数据进行解 密的装置。
[0067] IC卡400是存储由密钥生成服务器200生成的利用者秘密密钥和掩码值的装置。 并且,IC卡400是与访问终端300 -起对加密的数据进行解密的装置。
[0068] 文件服务器190是存储加密的数据的装置。例如,文件服务器190是搭载有 Windows OS (Windows为注册商标)的市售的文件服务器。
[0069] 图2是实施方式1中的密钥生成服务器200的功能结构图。
[0070] 根据图2对实施方式1中的密钥生成服务器200的功能结构进行说明。
[0071] 密钥生成服务器200具有主秘密密钥生成部210、r-利用者秘密密钥生成部220、 r_利用者秘密密钥写入部230、服务器通信部280、服务器存储部290。
[0072] 主秘密密钥生成部210使用公开参数212中设定的密钥长度201和利用者具有的 属性的种类数量(以下称作属性数量202),生成主秘密密钥211和公开参数212。
[0073] r-利用者秘密密钥生成部220使用主秘密密钥211、公开参数212和包含表示利 用者具有的属性的属性值的信息(以下称作利用者属性信息292),生成r-利用者秘密密钥 221和掩码值222。r-利用者秘密密钥221是使用随机数进行随机化的利用者秘密密钥,掩 码值222是与用于对利用者秘密密钥进行随机化的随机数有关的值。
[0074] r-利用者秘密密钥写入部230将r-利用者秘密密钥221和掩码值222写入IC卡 400 中。
[0075] 服务器通信部280对密钥生成服务器200中使用的数据进行通信。
[0076] 例如,服务器通信部280向访问终端300发送公开参数212。
[0077] 服务器存储部290存储密钥生成服务器200中使用的数据。
[0078] 例如,服务器存储部290存储主秘密密钥211、公开参数212和利用者属性表291。
[0079] 利用者属性表291是按照不同利用者而包含利用者属性信息292的表。
[0080] 图3是实施方式1中的访问终端300的功能结构图。
[0081] 根据图3对实施方式1中的访问终端300的功能结构进行说明。
[0082] 访问终端300 (数据解密装置的一例)具有数据加密部310、KEM密钥部分解密部 320 (公共密钥部分解密部的一例)、随机数要素去除委托部330 (掩码公共密钥取得部的一 例)、掩码去除部340、数据解密部350、终端通信部380、终端存储部390。
[0083] 数据加密部310使用与被赋予用于访问数据的访问权限的利用者具有的属性有 关的条件式(以下称作属性条件式302)和公开参数212,对作为加密对象的对象数据301 进行加密,生成加密数据311。加密数据311包含加密后的对象数据301即加密数据主体 312、以及对用于对对象数据301进行加密的公共密钥(以下称作KEM密钥341)加密后的 加密KEM密钥313。KEM是Key Encapsulation Mechanism(密钥封装机制)的简称。
[0084] KEM密钥部分解密部320使用公开参数212和r-利用者秘密密钥221,对加密KEM 密钥313进行局部解密。以下将局部解密的加密KEM密钥313称作"r-KEM密钥掩码值321"。
[0085] 随机数要素去除委托部330委托IC卡400去除r-KEM密钥掩码值321中包含的 随机数要素,从IC卡400取得去除随机数要素后的r-KEM密钥掩码值321 (以下称作KEM 密钥掩码值411)。
[0086] 掩码去除部340使用KEM密钥掩码值411计算KEM密钥