密钥配送系统的制作方法

专利名称：密钥配送系统的制作方法
技术领域：
本发明涉及一种向多个接收装置配送共有密钥的密钥配送系统，尤其涉及一种通过使取得共有密钥所需的信息对每个接收装置单独设置、即便分配给接收装置的信息泄漏、也可追踪其泄漏源的接收装置的技术。
背景技术：
随着以ADSL或光纤等为代表的高速通信线路的普及，经通信线路提供数字化的音乐或影像等内容的服务兴旺起来。随着这种服务的普及，必需防止以非法拷贝等为代表的内容非法利用的著作权保护方式。通常，在该防止内容非法利用的著作权保护方式中，使用加密技术。即，使用某个内容加密密钥，加密数字内容，经通信线路分配，只有被给予了对应于该内容加密密钥的内容解密密钥的接收装置才可解密被加密的内容，再现原始的数字内容。
但是，尽管提供给接收装置的内容解密密钥通常秘密地保持，但有可能通过装置的非法解析等，攻击者取得共同提供给全部接收装置的内容解密密钥。一旦提供给某个接收装置的内容解密密钥泄漏，则担心攻击者使用这个不能追踪泄漏源的内容解密密钥，制作执行数字内容解密的非法接收装置，并执行内容的非法利用。作为防止这种内容非法利用的手段之一，考虑通过使每个接收装置具有单独的密钥，从而能够追踪泄漏源的接收装置的系统。就向全部接收装置发送相同数据的广播站型内容配送而言，作为防止内容非法利用的方式，有例如下述非专利文献1所述的密钥配送系统。
图53表示非专利文献1所述的现有的密钥配送系统。图53中，通信线路90是连接着后述的密钥发行中心91、服务器92和多个接收装置93a-93n的通信线路，由因特网或广播网等网络来实现。另外，密钥发行中心91与多个接收装置93a-93n的全部的组，事先共有一个单独密钥IKa...Ikn，例如，密钥发行中心91与接收装置93a事先共有单独密钥IKa，密钥发行中心91与接收装置93b事先共有单独密钥Ikb，密钥发行中心91与接收装置93n事先共有单独密钥Ikn。
首先，说明全部接收装置93a-93n中共有共同中间密钥SMK的方法。密钥发行中心91生成共同中间密钥SMK，并将该共同中间密钥SMK发送给服务器92。之后，根据事先与各个接收装置93a-93n共有的单独密钥IKa、IKb、...Ikn，加密该共同中间密钥SMK，将结合了该各密文Enc(IKa，SMK)、Enc(IKb，SMK)、...、Enc(IKn，SMK)的值作为加密共同中间密钥群ENCSMKG＝Enc(IKa，SMK)‖Enc(IKb，SMK)‖...Enc(IKn，SMK)，配送给多个接收装置93a-93n。这里，“‖”是结合记号，表示Enc(K，P)使用加密密钥K加密明文P时的密文。另外，在非专利文献1中，分别将加密共同中间密钥群ENCSMKG称为单独信息(EMM)，将单独密钥IKa-IKn称为主密钥(Km)，将共同中间密钥SMK称为工作密钥(Kw)。接收到加密共同中间密钥群ENCSMKG的多个接收装置93a-93n从加密共同中间密钥群ENCSMKG中抽取对应于自身具有的单独密钥的密文，根据单独密钥来执行该密文的解密，取得共同中间密钥SMK。由此，全部接收装置93a-93n可共有共同的共同中间密钥SMK。
下面，说明全部接收装置93a-93n共有例如在解密内容等时使用的共有密钥SK的方法。服务器92生成共有密钥SK，根据与接收装置93a-93n共有的共同中间密钥SMK，加密该共有密钥SK，将其密文Enc(SMK，SK)作为加密共有密钥ENCSK，配送给多个接收装置93a-93n。接收到加密共有密钥ENCSK的多个接收装置93a-93n根据共同中间密钥SMK，执行加密共有密钥ENCSK的解密，取得共有密钥SK。由此，全部接收装置93a-93n可共有共同的共有密钥SK。另外，在非专利文献1中，分别将共有密钥SK称为加扰密钥(Ks)，将加密共同密钥ENCSK称为共有信息(ECM)。另外，服务器92根据新的共有密钥SK，生成加密共有密钥ENCSK，并将该加密共有密钥ENCSK配送给多个接收装置93a-93n，由此也可更新为新的共有密钥SK。
另外，密钥发行中心91通过更新共同中间密钥SMK，也可无效化具有某个特定单独密钥的接收装置，使其不能取得共有密钥SK。这里，说明无效化具有接收装置93a的单独密钥之接收装置的情况。首先，重新生成共同中间密钥SMK，并将该共同中间密钥SMK发送给服务器92。之后，使用除了事先与接收装置93a共有的单独密钥Ika之外的全部单独密钥IKb-Ikn中的每一个，执行该共同中间密钥SMK的加密，将结合了该各密文Enc(IKb，SMK)、...、Enc(IKn，SMK)的值作为加密共同中间密钥群ENCSMKG＝Enc(IKb，SMK)‖...Enc(IKn，SMK)，配送给多个接收装置93a-93n。由此，由于接收装置93a以外的接收装置93b-93n可取得共同中间密钥SMK，所以得到共有密钥SK，但接收装置93a由于不能取得共同中间密钥SMK，所以得不到共有密钥SK。由此，密钥发行中心91可无效化接收装置。另外，在无效化接收装置93a以外的接收装置93b-93n的情况下，也与接收装置93a的情况一样操作，但不同之处在于加密共同中间密钥SMK时所用的单独密钥的改变。
利用这种系统，即便攻击者非法取得埋入接收装置93a-93n中任一接收装置中的单独密钥，攻击者制作使用该单独密钥的接收装置，也可从埋入该接收装置中的单独密钥来追踪作为泄漏源的接收装置，所以可采取对象接收装置的无效化等对策。
非专利文献1「デヅタル放送局システムのしくみ」(数字广播站系统的构造)映像情報メごイア学会編オ-ム出版局非专利文献2「現代暗号理論」(现代加密理论)池野信一、小山谦二共著 電子情報通信学会 編非专利文献3‘THE ART OF COMPUTER PROGRAMMINGVol.2～SEMINUMERICAL ALGORITHMS’DONALD E.KNUTH著ISBN 0-201-03822-6在非法取得了埋入接收装置93a-93n中任一接收装置中的单独密钥的情况下，除上述方法外，考虑攻击者使用该单独密钥取得共同中间密钥SMK，制作埋入该共同中间密钥SMK的非法接收装置的情况。对于这种攻击，在上述现有构成中，由于共同中间密钥SMK是对全部接收装置93a-93n共同的值，所以存在不能从埋入该非法接收装置中的密钥(共同中间密钥SMK)追踪泄漏源的接收装置的问题。

发明内容
本发明解决上述问题，其目的在于提供一种密钥配送系统，即便攻击者制作埋入有中间密钥的非法接收装置，也能追踪泄漏源的接收装置。
技术方案1的发明是一种密钥配送系统，配送共有密钥，其特征在于所述密钥配送系统由根据所述共有密钥生成共同信息并配送所述共同信息的服务器；以及根据所述共同信息和单独中间密钥群集合、取得所述共有密钥的多个接收装置构成，从至少包含不同的两种以上所述单独中间密钥群集合的多个所述单独中间密钥群集合中，向所述接收装置事先提供任意一个所述单独中间密钥群集合，其中所述单独中间密钥群集合包含多个由基于一个以上系统秘密变量群的一个以上单独中间密钥构成的单独中间密钥群，所述服务器与所述接收装置的每一个可经通信线路进行通信，所述服务器具备共有密钥存储部，存储所述共有密钥；系统秘密变量群存储部，存储由事先提供的一个以上所述系统秘密变量群构成的系统秘密变量群集合；多个共同信息生成部，根据所述共有密钥，生成所述共同信息；共同信息生成部选择部，从多个所述共同信息生成部中选择一个；和共同信息配送部，向多个所述接收装置同时或单独配送所述共同信息，所述多个共同信息生成部各自的共同信息生成方法不同，使用所述共同信息生成方法，根据所述系统秘密变量群集合和所述共有密钥，生成密钥更新数据，并生成包含对应于所述共同信息生成方法的共同信息识别符和所述密钥更新数据的所述共同信息，所述接收装置具备共同信息接收部，接收所述共同信息；单独中间密钥群存储部，存储由对应于多个共同信息生成方法的每一个的所述单独中间密钥群构成的所述单独中间密钥群集合；多个共有密钥取得部，对应于多个所述共同信息生成部；和共有密钥取得部选择部，从多个所述共有密钥取得部中选择一个，所述共有密钥取得部选择部根据包含于由所述共同信息接收部接收到的所述共同信息中的所述共同信息识别符，从所述多个共有密钥取得部中选择一个，所述共有密钥取得部根据对应于所述共同信息识别符的共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
技术方案2的发明，是技术方案1所述的密钥配送系统，其特征在于多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的服务器共同中间密钥生成式，向所述接收装置的每一个事先提供一个以上的接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上时变变量构成的时变变量群，根据所述第一系统秘密变量群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥；以及所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案3的发明，是技术方案1所述的密钥配送系统，其特征在于向所述服务器事先提供所述多个单独中间密钥群集合中、任意一个所述单独中间密钥群集合，所述服务器具备单独中间密钥群集合存储部，存储事先提供的所述单独中间密钥群集合，多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的接收装置共同中间密钥生成式，向所述接收装置的每一个事先提供所述接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一单独中间密钥群、所述时变变量群和所述接收装置共同中间密钥生成式，生成共同中间密钥；根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥；以及所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案4的发明，是技术方案1所述的密钥配送系统，其特征在于多个所述共同信息生成方法包含第二共同信息生成方法，多个所述共有密钥取得方法包含与所述第二共同信息生成方法成对的第二共有密钥取得方法，所述系统秘密变量群集合包含由多个第二系统秘密密钥构成的第二系统秘密密钥群，所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的一个以上所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥；生成结合了所述多个加密共有密钥的加密共有密钥群；其中所述密钥更新数据包含所述加密共有密钥群，所述第二共有密钥取得方法是如下方法，即从包含于所述密钥更新数据中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，对选定的所述加密共有密钥进行解密，由此取得所述共有密钥。
技术方案5的发明，是技术方案4所述的密钥配送系统，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的多个所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥，并生成结合了所述多个加密共有密钥的加密共有密钥群。
技术方案6的发明，是技术方案1所述的密钥配送系统，其特征在于所述密钥配送系统还具备密钥发行中心，经所述通信线路连接至所述接收装置的每一个，并配送单独信息群，所述密钥发行中心具备输出装置对应信息存储部，存储事先提供给所述接收装置的一个以上的单独密钥；多个单独信息生成部，生成所述单独信息；和单独信息群配送部，向多个所述接收装置同时或单独配送所述单独信息群，该单独信息群包含两种以上由所述单独信息和对应于所述单独信息生成部的单独信息识别符构成的组，所述单独信息生成部各自的单独信息生成方法不同，根据所述单独信息生成方法，输出所述单独信息识别符、所述系统秘密变量群和所述单独信息，所述接收装置具备单独密钥存储部，存储事先提供的所述单独密钥；单独信息群接收部，接收所述单独信息群；和多个单独中间密钥群取得部，对应于多个所述单独信息生成部，所述单独信息接收部根据包含于接收到的所述单独信息群中的所述单独信息识别符，向多个所述单独中间密钥取得部的每一个，输出对应于所述单独信息识别符的所述单独信息，所述单独中间密钥取得部使用对应于所述单独信息识别符的单独中间密钥取得方法，根据所述单独信息和所述单独密钥，取得所述单独中间密钥群。
技术方案7的发明，是技术方案6所述的密钥配送系统，其特征在于所述多个单独信息生成部还生成所述系统秘密变量群，所述密钥发行中心具备系统秘密变量群集合发送部，向所述服务器分配所述系统秘密变量群集合，该系统秘密变量群集合包含两种以上由所述系统秘密变量群和对应于所述单独信息生成部的所述单独信息识别符构成的组，所述服务器具备系统秘密变量群集合接收部，将分配的所述系统秘密变量群集合存储到所述系统秘密变量群存储部中。
技术方案8的发明，是技术方案6所述的密钥配送系统，其特征在于所述密钥发行中心经所述通信线路连接至所述服务器，所述系统秘密变量群集合发送部经所述通信线路向所述服务器配送所述系统秘密变量群集合，所述系统秘密变量群集合接收部经所述通信线路从所述密钥发行中心接收所述系统秘密变量群集合。
技术方案9的发明，是技术方案6所述的密钥配送系统，其特征在于所述系统秘密变量群集合发送部向可移动媒体记录所述系统秘密变量群集合，所述系统秘密变量群集合接收部读取记录在所述可移动媒体中的所述系统秘密变量群集合。
技术方案10的发明，是技术方案7所述的密钥配送系统，其特征在于所述密钥发行中心与所述服务器事先共有服务器密钥，所述系统秘密变量群集合发送部根据所述服务器密钥，加密所述系统秘密变量群集合，生成加密数据，分配给所述服务器，所述系统秘密变量群集合接收部根据所述服务器密钥，解密分配的所述加密数据，取得所述系统秘密变量群集合。
技术方案11的发明，是技术方案6所述的密钥配送系统，其特征在于多个所述单独信息生成方法包含第一单独信息生成方法，多个所述单独中间密钥取得方法包含与所述第一单独信息生成方法成对的第一单独中间密钥群取得方法，所述密钥发行中心具备期间信息存储部，存储一种由以上事先提供的期间密钥、与所述期间密钥对应的所述第一系统秘密变量群、和与所述期间密钥对应的期间识别符构成的组，所述接收装置的所述单独密钥存储部的每一个，存储一种以上由通过根据所述期间密钥加密所述第一单独中间密钥群而生成的加密第一单独中间密钥群、和对应于所述期间密钥的所述期间识别符构成的组，所述第一单独信息生成方法是如下方法，即从所述期间信息存储部中，选择一组所述期间密钥和所述第一系统秘密变量群及所述期间识别符；根据各个所述单独密钥，加密所述期间密钥，生成多个加密期间密钥；以及所述单独信息群包含由结合了所述多个加密期间密钥的加密期间密钥群和所述期间识别符构成的第一单独信息，所述第一单独中间密钥群取得方法是如下方法，即根据所述单独密钥，解密包含于所述第一单独信息中的所述多个加密期间密钥的任意一个所述加密期间密钥，并取得所述期间密钥；从包含于所述单独密钥存储部中的一个以上所述加密第一单独中间密钥群中，选择一个对应于所述期间识别符的所述加密第一单独中间密钥群；以及根据所述期间密钥，解密所述加密第一单独中间密钥群，由此取得所述第一单独中间密钥群。
技术方案12的发明，是技术方案6所述的密钥配送系统，其特征在于多个所述单独信息生成方法包含第二单独信息生成方法，多个所述单独中间密钥取得方法包含与所述第二单独信息生成方法成对的第二单独中间密钥群取得方法，所述第二单独信息生成方法对各个所述单独密钥，选定多个所述第二系统秘密密钥的任意一个，根据各个所述单独密钥，加密选定的所述第二系统秘密密钥，生成多个加密第二系统秘密密钥，所述单独信息群包含第二单独信息，该第二单独信息包含结合了所述多个加密第二系统秘密密钥的加密第二系统秘密密钥群，所述第二单独中间密钥群取得方法是如下方法，即从包含于所述第二单独信息中的所述多个加密第二系统秘密密钥中，选定一个对应于所述单独密钥的所述加密第二系统秘密密钥，根据所述单独密钥，解密选定的所述加密第二系统秘密密钥，由此取得所述第二系统秘密密钥，将该所述第二系统秘密密钥作为所述第二单独中间密钥群。
技术方案13的发明，是技术方案2所述的密钥配送系统，其特征在于所述单独中间密钥生成式中至少包含加法运算和乘法运算。
技术方案14的发明，是技术方案2所述的密钥配送系统，其特征在于所述时变变量生成式中至少包含加法运算和乘法运算。
技术方案15的发明，是技术方案2所述的密钥配送系统，其特征在于所述服务器共同中间密钥生成式中至少包含加法运算和乘法运算。
技术方案16的发明，是技术方案2所述的密钥配送系统，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
技术方案17的发明，是技术方案4所述的密钥配送系统，其特征在于所述第二系统秘密密钥群由10个第二系统秘密密钥构成。
技术方案18的发明是一种接收装置，用于密钥配送系统中，该密钥配送系统具备配送共有密钥的服务器、和接收所述共有密钥的多个接收装置，其特征在于所述接收装置具备共同信息接收部，从外部接收共同信息；单独中间密钥群存储部，存储由对应于多个共有密钥取得方法的每一个的单独中间密钥群构成的单独中间密钥群集合；多个共有密钥取得部，对应于多个所述共有密钥取得方法；和共有密钥取得部选择部，从多个所述共有密钥取得部中选择一个，所述共有密钥取得部选择部根据包含于由所述共同信息接收部接收到的所述共同信息中的共同信息识别符，选择一个所述共有密钥取得部，所述共有密钥取得部根据对应于所述共同信息识别符的所述共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
技术方案19的发明，是技术方案18所述的接收装置，其特征在于多个所述共有密钥取得方法包含第一共有密钥取得方法，所述单独中间密钥群集合包含由一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述接收装置的每一个，事先提供一个以上的接收装置共同中间密钥生成式，所述共同信息包含由时变变量群和加密共有密钥构成的第一共同信息，所述第一共有密钥取得方法是如下方法，即根据所述第一共同信息中包含的所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案20的发明，是技术方案18所述的接收装置，其特征在于多个所述共有密钥取得方法包含第二共有密钥取得方法，所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述共同信息包含由加密共有密钥群构成的第二共同信息，该加密共有密钥群包含通过根据所述多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥的每一个、加密所述共有密钥而生成的一个以上的加密共有密钥，所述第二共有密钥取得方法是如下方法，即从包含于所述共同第二共同信息中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
技术方案21的发明，是技术方案20所述的接收装置，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
技术方案22的发明，是技术方案18所述的接收装置，其特征在于所述密钥配送系统还具备密钥发行中心，经所述通信线路连接至所述接收装置的每一个以及服务器，并配送单独信息群，所述接收装置具备单独密钥存储部，存储事先提供的单独密钥；单独信息群接收部，从外部接收所述单独信息群；和多个单独中间密钥群取得部，对应于多个单独中间密钥取得方法，所述单独信息接收部根据包含于接收到的所述单独信息群中的单独信息识别符，向多个所述单独中间密钥取得部的每一个，输出与包含于所述单独信息群中的所述单独信息识别符相对应的所述单独信息，所述单独中间密钥取得部使用对应于所述单独信息识别符的所述单独中间密钥取得方法，根据所述单独信息和所述单独密钥，取得所述单独中间密钥群。
技术方案23的发明，是技术方案19所述的接收装置，其特征在于多个所述单独中间密钥取得方法包含第一单独中间密钥群取得方法，所述接收装置的所述单独密钥存储部的每一个，存储一种以上由通过根据期间密钥加密第一单独中间密钥群而生成的加密第一单独中间密钥群、和对应于所述期间密钥的期间识别符构成的组，所述单独信息群包含由加密期间密钥群和所述期间识别符构成的第一单独信息，其中该加密期间密钥群包含根据各个所述单独密钥加密所述期间密钥而生成的多个加密期间密钥，所述第一单独中间密钥群取得方法是如下方法，即根据所述单独密钥，解密包含于所述第一单独信息中的所述多个加密期间密钥的任意一个所述加密期间密钥，并取得所述期间密钥；从包含于所述单独密钥存储部中的一个以上所述加密第一单独中间密钥群中，选择一个对应于所述期间识别符的所述加密第一单独中间密钥群；以及根据所述期间密钥，解密所述加密第一单独中间密钥群，由此取得所述第一单独中间密钥群。
技术方案24的发明，是技术方案20所述的接收装置，其特征在于多个所述单独中间密钥取得方法包含第二单独中间密钥群取得方法，所述单独信息群包含含有加密第二系统秘密密钥群的第二单独信息，该加密第二系统秘密密钥群由通过根据各个所述单独密钥、加密所述第二系统秘密密钥之一而生成的多个加密第二系统秘密密钥构成，所述第二单独中间密钥群取得方法是如下方法，即从包含于所述第二单独信息中的所述多个加密第二系统秘密密钥中，选定一个对应于所述单独密钥的所述加密第二系统秘密密钥，根据所述单独密钥，解密选定的所述加密第二系统秘密密钥，由此取得所述第二系统秘密密钥，将该所述第二系统秘密密钥作为所述第二单独中间密钥群。
技术方案25的发明，是技术方案19所述的接收装置，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
技术方案26的发明是一种程序，使计算机执行接收共有密钥的处理，其中该计算机经通信线路与配送所述共有密钥的服务器连接，其特征在于使计算机执行如下步骤从外部接收共同信息的步骤；存储由对应于多个共有密钥取得方法的每一个的单独中间密钥群构成的单独中间密钥群集合的步骤；对应于多个所述共有密钥取得方法的多个共有密钥取得步骤；和根据包含于由所述共同信息接收部接收到的所述共同信息中的共同信息识别符，选择一个所述共有密钥取得部的步骤，所述共有密钥取得步骤根据对应于所述共同信息识别符的所述共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
技术方案27的发明，是技术方案26所述的程序，其特征在于多个所述共有密钥取得方法包含第一共有密钥取得方法，所述单独中间密钥群集合包含由一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述程序的每一个，事先提供一个以上的接收装置共同中间密钥生成式，所述共同信息包含第一共同信息，该第一共同信息由时变变量群、和通过根据共同中间密钥加密所述共有密钥而生成的加密共有密钥构成，所述第一共有密钥取得方法是如下方法，即根据所述第一共同信息中包含的时变变量群和所述第一单独中间密钥群以及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案28的发明，是技术方案26所述的程序，其特征在于多个所述共有密钥取得方法包含第二共有密钥取得方法，所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述共同信息包含含有加密共有密钥群的第二共同信息，该加密共有密钥群由通过根据所述多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥、加密所述共有密钥而生成的多个加密共有密钥构成，所述第二共有密钥取得方法是如下方法，即从包含于所述共同第二共同信息中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥，根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
技术方案29的发明，是技术方案28所述的程序，其特征在于所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
技术方案30的发明，是技术方案27所述的程序，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
技术方案31的发明是一种记录了技术方案26所述的程序的媒体。
技术方案32的发明是一种密钥配送方法，用于配送共有密钥，其特征在于所述密钥配送方法由密钥配送步骤和多个密钥接收步骤构成，该密钥配送步骤根据所述共有密钥生成共同信息，并配送所述共同信息，该多个密钥接收步骤根据所述共同信息和单独中间密钥群集合，取得所述共有密钥，从至少包含不同的两种以上所述单独中间密钥群集合的多个所述单独中间密钥群集合中，所述密钥接收步骤，被事先提供任意一个所述单独中间密钥群集合，其中所述单独中间密钥群集合包含多个由基于一个以上系统秘密变量群的一个以上单独中间密钥构成的单独中间密钥群，所述密钥配送步骤包含存储所述共有密钥的步骤；存储由事先提供的一个以上系统秘密变量群构成的系统秘密变量群集合的步骤；多个共同信息生成步骤，根据所述共有密钥，生成所述共同信息；从多个所述共同信息生成步骤中选择一个的步骤；和向多个所述接收装置同时或单独配送所述共同信息的步骤，所述多个共同信息生成步骤各自的共同信息生成方法不同，使用所述共同信息生成方法，根据所述系统秘密变量群集合和所述共有密钥，生成密钥更新数据，并生成包含对应于所述共同信息生成方法的共同信息识别符和所述密钥更新数据的所述共同信息，所述密钥接收步骤包含接收所述共同信息的步骤；存储由对应于多个共同信息生成方法的每一个的所述单独中间密钥群构成的所述单独中间密钥群集合的步骤；多个共有密钥取得步骤，对应于多个所述共同信息生成部；和根据由所述共同信息接收部接收到的所述共同信息中包含的所述共同信息识别符，从多个所述共有密钥取得步骤中选择一个的步骤，所述共有密钥取得步骤根据对应于所述共同信息识别符的共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
技术方案33的发明，是技术方案32所述的密钥配送方法，其特征在于多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，所述密钥配送步骤，被事先提供一个以上的时变变量生成式和一个以上的服务器共同中间密钥生成式，所述密钥接收步骤的每一个，被事先提供一个以上的接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一系统秘密变量群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；以及根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥，所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案34的发明，是技术方案33所述的密钥配送方法，其特征在于所述密钥配送步骤，被事先提供所述多个所述单独中间密钥群集合中、任意一个所述单独中间密钥群集合，所述密钥接收步骤包含存储事先提供的所述单独中间密钥群集合的步骤，多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的共同中间密钥生成式，所述密钥接收步骤的每一个，被事先提供所述共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一单独中间密钥群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；以及根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥，所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
技术方案35的发明，是技术方案32所述的密钥配送方法，其特征在于多个所述共同信息生成方法包含第二共同信息生成方法，多个所述共有密钥取得方法包含与所述第二共同信息生成方法成对的第二共有密钥取得方法，所述系统秘密变量群集合包含由多个第二系统秘密密钥构成的第二系统秘密密钥群，所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的一个以上所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥；以及生成结合了所述多个加密共有密钥的加密共有密钥群，所述密钥更新数据包含所述加密共有密钥群，所述第二共有密钥取得方法是如下方法，即从包含于所述密钥更新数据中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
技术方案36的发明，是技术方案35所述的密钥配送方法，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
发明效果根据本发明的密钥配送系统，即便攻击者非法取得埋入接收装置中的单独密钥，制作了埋入根据该单独密钥得到的中间密钥的非法接收装置，由于该中间密钥中包含表示由哪个单独密钥生成的信息，所以通过调查埋入非法接收装置中的中间密钥，也可追踪泄漏源的接收装置。
另外，由于该中间密钥由多个单独中间密钥构成，所以即便万一任一单独中间密钥的单独信息被伪造，也可使用其余的单独中间密钥来特定泄漏源的接收装置，所以追踪可能性增加，安全性提高。


图1是本发明实施方式1的密钥配送系统1的示意图。
图2是表示本发明实施方式1的密钥发行中心11的构成例的图。
图3是表示本发明实施方式1的第一单独信息生成部112的构成例的图。
图4是表示本发明实施方式1的期间信息存储部1122的构成例的图。
图5是表示本发明实施方式1的第一系统秘密变量群SPGI 1的一例的图。
图6是表示本发明实施方式1的第一单独信息EMMI的一例的图。
图7是表示本发明实施方式1的接收装置对应信息存储部113的构成例的图。
图8是表示本发明实施方式1的第二单独信息生成部114的构成例的图。
图9是表示本发明实施方式1的第二系统秘密变量群SPGII的一例的图。
图10是表示本发明实施方式1的第二单独中间密钥群MKIIGa的一例的图。
图11是表示本发明实施方式1的第二单独信息EMMII的一例的图。
图12是表示本发明实施方式1的系统秘密变量群集合SPGS的一例的图。
图13是表示本发明实施方式1的单独信息群EMMG的一例的图。
图14是本发明实施方式1的密钥发行中心11的密钥信息配送时的处理流程图。
图15是本发明实施方式1的密钥发行中心11的第一系统秘密变量群SPGI和第一单独信息EMMI生成时的处理流程图。
图16是本发明实施方式1的密钥发行中心11的第二系统秘密变量群SPGII和第二单独信息EMMII生成时的处理流程图。
图17是表示本发明实施方式1的服务器12的构成例的图。
图18是表示本发明实施方式1的系统秘密变量群存储部122的构成例的图。
图19是表示本发明实施方式1的第一共同信息生成部125的构成例的图。
图20是表示本发明实施方式1的时变变量群PRG的一例的图。
图21是表示本发明实施方式1的第一共同信息ECMI的一例的图。
图22是表示本发明实施方式1的第二共同信息生成部126的构成例的图。
图23是表示本发明实施方式1的加密共有密钥群ENCSKG的一例的图。
图24是表示本发明实施方式1的第二共同信息ECMII的一例的图。
图25是本发明实施方式1的服务器12接收到系统秘密变量群集合SPGS时的处理的流程图。
图26是本发明实施方式1的服务器12在共有密钥SK更新时的处理的流程图。
图27是表示本发明实施方式1的接收装置13a的构成例的图。
图28是表示本发明实施方式1的单独密钥存储部1304a的构成例的图。
图29是表示本发明实施方式1的加密第一单独中间密钥群集合ENCMKIGSa的一例的图。
图30是表示本发明实施方式1的第一单独中间密钥群MKIGa的一例的图。
图31是表示本发明实施方式1的单独中间密钥存储部1305a的构成例的图。
图32是本发明实施方式1的接收装置13a从密钥发行中心11接收到单独信息群EMMG时的处理的流程图。
图33是本发明实施方式1的接收装置13a从服务器12接收到共同信息ECM时的处理的流程图。
图34是本发明实施方式2的密钥配送系统2的示意图。
图35是表示本发明实施方式2的密钥发行中心21的构成例的图。
图36是表示本发明实施方式2的第三单独信息生成部212的构成例的图。
图37是表示本发明实施方式2的第三系统秘密变量群集合SPGIIIS的一例的图。
图38是表示本发明实施方式2的第三单独信息EMMIII的一例的图。
图39是本发明实施方式2的密钥发行中心21在密钥信息配送时的处理的流程图。
图40是本发明实施方式2的密钥发行中心21在第三系统秘密变量群集合SPGIIIS和第三单独信息EMMIII生成时的处理的流程图。
图41是表示本发明实施方式2的服务器22的构成例的图。
图42是表示本发明实施方式2的系统秘密变量群存储部222的构成例的图。
图43是表示本发明实施方式2的第三共同信息ECMIII的一例的图。
图44是本发明实施方式2的服务器22接收到第三系统秘密变量群集合SPGIIIS时的处理流程图。
图45是本发明实施方式2的服务器22在共有密钥SK更新时的处理的流程图。
图46是表示本发明实施方式2的接收装置23a的构成例的图。
图47是表示本发明实施方式2的单独密钥存储部2304a的构成例的图。
图48是表示本发明实施方式2的单独中间密钥存储部2305a的构成例的图。
图49是本发明实施方式2的接收装置23a从密钥发行中心21接收到第三单独信息群EMMIII时的处理的流程图。
图50是本发明实施方式2的接收装置23a从服务器22接收到第三共同信息ECMIII时的处理的流程图。
图51是本发明实施方式1的密钥配送系统1的变形例。
图52是本发明实施方式1的第一共同信息生成部125的变形例。
图53是现有密钥配送系统的示意图。
符号说明10 通信线路11、21 密钥发行中心12、22 服务器13a-13n、23a-23n 接收装置111、211 第一控制部112 第一单独信息生成部212 第三单独信息生成部1121 期间选择部2121 第三系统秘密变量群生成部1122 期间信息存储部2122 第一中间密钥群生成部1123 期间密钥加密部113 接收装置对应信息存储部114 第二单独信息生成部1141 第二系统秘密密钥生成部1142 第二单独中间密钥群加密部
115 系统秘密变量群集合发送部215 第三系统秘密变量群集合发送部116 单独信息群配送部216 第三单独信息配送部121、221 系统秘密变量群集合接收部122、222 系统秘密变量群存储部123 共有密钥生成部124 共同信息生成部选择部125 第一共同信息生成部225 第三共同信息生成部1251 时变变量群生成部1252 共同中间密钥取得部1253 第一共有密钥加密部1254 第二控制部126 第二共同信息生成部1261 第二共有密钥加密部1262 第三控制部127、227 共同信息配送部1301、2301 单独信息群接收部1302a 第一单独中间密钥群取得部2302a 第三单独中间密钥群取得部1303a 第二单独中间密钥群取得部1304a、2304a 单独密钥存储部1305a、2305a 单独中间密钥群存储部1306、2306a 共同信息接收部1307a 共有密钥取得部选择部1308a 第一共有密钥取得部2308a 第三共有密钥取得部1309a 第二共有密钥取得部1310 输出部
具体实施例方式
下面，参照附图来说明本发明的密钥配送系统的实施方式。
(实施方式1)说明作为本发明一个实施方式的密钥配送系统1。首先，用图1来说明本实施方式的概要。
图1中，通信线路10是连接着后述的密钥发行中心11、服务器12和多个接收装置13a-13n的通信线路，由因特网或广播网等网络来实现。密钥发行中心11向服务器12配送将共有密钥SK配送给接收装置所必需的信息——即系统秘密变量群集合SPGS，向多个接收装置13a-13n配送取得共有密钥SK所必需的单独信息群EMMG。服务器12将根据共有密钥SK和系统秘密变量群集合SPGS生成的共同信息ECM配送给多个接收装置13a-13n。多个接收装置13a-13n根据单独信息群EMMG和共同信息ECM，取得共同密钥SK，并将该共同密钥SK输出到外部。这里，设向密钥发行中心11与接收装置13a-13n的全部的组合事先提供各组合共有的一个单独密钥，例如，密钥发行中心11与接收装置13a事先共有单独密钥IKa，密钥发行中心11与接收装置13b事先共有单独密钥IKb，...，密钥发行中心11与接收装置13n事先共有单独密钥IKn。
这里，稍详细说明各构成要素的动作。首先，说明向各接收装置13a-13n分别分配不同的第一单独中间密钥群MKIGa-MKIGn和第二单独中间密钥群MKIIGa-MKIIGn的方法。首先，密钥发行中心11生成系统秘密变量群集合SPGS，将该系统秘密变量群集合SPGS发送给服务器12。另外，根据第一单独中间密钥群MKIGa-MKIGn和第二单独中间密钥群MKIIGa-MKIIGn及单独密钥IKa-IKn，生成接收装置取得第一单独中间密钥群和第二单独中间密钥群所必需的单独信息群EMMG，配送给多个接收装置13a-13n。接收到单独信息群EMMG的接收装置13a使用事先提供的单独密钥IKa，取得对应于接收装置13a的第一单独中间密钥群MKIGa和第二单独中间密钥群MKIIGa。接收装置13a以外的接收装置13b-13n的情况也一样，使用各接收装置持有的单独密钥，取得对应于各接收装置的第一单独中间密钥群和第二单独中间密钥群。这样，各接收装置13a-13n可分别保持不同的第一单独中间密钥群MKIGa-MKIGn和第二单独中间密钥群MKIIGa-MKIIGn。
下面，说明服务器12更新共有密钥SK时的动作。首先，服务器12按照事先提供的条件，根据系统秘密变量群集合SPGS，生成第一共同信息ECMI或第二共同信息ECMII之一，作为包含该第一共同信息ECMI或第二共同信息ECMII、和识别是哪个共同信息的共同信息识别符的共同信息ECM，配送给多个接收装置13a-13n。多个接收装置13a-13n接收共同信息ECM，根据该共同信息ECM中包含的共同信息识别符，判断包含于共同信息ECM中的是第一共同信息ECMI还是第二共同信息ECMII。在是第一共同信息ECMI的情况下，使用第一单独中间密钥群与第一共同信息ECMI，取得共有密钥SK。另一方面，在是第二共同信息ECMII的情况下，使用第二单独中间密钥群与第二共同信息ECMII，取得共有密钥SK。这样，更新接收装置13a-13n的共有密钥SK。
另外，在作为本实施方式的密钥配送系统1中，密钥发行中心11也可无效化持有某个特定单独密钥的接收装置，使其不能取得共有密钥SK。这可通过在密钥发行中心11中，在更新系统秘密变量群集合SPGS和第一单独中间密钥群及第二单独中间密钥群时，不使用想无效化的接收装置保持的单独密钥，以便不能对想无效化的接收装置取得第一单独中间密钥群和第二单独中间密钥群来实现。
以上是本实施方式的概要。下面，说明作为本发明密钥配送系统一实施方式的密钥配送系统1的细节。详细说明它们的构成要素。
<密钥配送系统1的构成>
密钥配送系统1如图1所示，由通信线路10、密钥发行中心11、服务器12和多个接收装置13a-13n构成。
密钥发行中心11向服务器12配送将共有密钥SK配送给接收装置13a-13n所必需的信息——即系统秘密变量群集合SPGS，向多个接收装置13a-13n配送从服务器12接收共有密钥SK所必需的单独信息群EMMG。服务器12生成共有密钥SK，根据该共有密钥SK和系统秘密变量群集合SPGS，生成共同信息ECM，将该共同信息ECM配送给多个接收装置13a-13n。接收装置13a-13n根据单独信息群EMMG和共同信息ECM，取得共有密钥SK，并输出到外部。
下面，详细说明这些构成要素。首先，描述通信线路10的构成，接着，用附图来说明密钥发行中心11、服务器12和接收装置13a-13n的构成与动作。
<通信线路10的构成>
通信线路例如是因特网、电话线路、专用线、广播网等网络。
<密钥发行中心11的构成>
密钥发行中心11如图2所示，由第一控制部111、第一单独信息生成部112、接收装置对应信息存储部113、第二单独信息生成部114、系统秘密变量群集合发送部115、单独信息群配送部116构成。
(1)第一控制部111第一控制部111在满足事先提供的单独信息更新条件的情况下、或密钥发行中心13开始动作的情况下，将第一单独信息生成请求REQEMMI输出到第一单独信息生成部112，并将第二单独信息生成请求REQEMMII输出到第二单独信息生成部114。例如，单独信息更新条件有“每规定的某个期间(例1日、1年)”或“从外部接收到某个信号的情况”等，在单独信息更新条件是“每规定的某个期间(例1日、1年)”的情况下，第一控制部111可通过具备计数器等来实现，在单独信息更新条件是“从外部接收到某个信号的情况”的情况下，第一控制部111可通过具备接收外部信号的接收部等来实现。
(2)第一单独信息生成部112第一单独信息生成部112如图3所示，由期间选择部1121、期间信息存储部1122、和期间密钥加密部1123构成。
(2-1)期间选择部1121期间选择部1121在从第一控制部111接收了第一单独信息生成请求REQEMMI的情况下，访问图4所示的存储了未使用标志(FLAG_1-FLAG_k)、期间识别符(PID_1-PID_k)、期间密钥(PK_1-PK_k)和第一系统秘密变量群(SPGI_1-SPGI_k)的k个组{(FLAG_1，PID_1，PK_1，SPGI_1)，(FLAG_2，PID_2，PK_2，SPGI_2)，...，(FLAG_k，PID_k，PK_k，SPGI_k)}的期间信息存储部1122。另外，从该k个组中选择一组未使用标志为“1”的组。之后，将选择到的组的未使用标志设定为“0”。作为从未使用标志为“1”的组中选择一组的方法，例如有使用随机数来随机选择一组的方法等。就生成随机数的方法，在非专利文献3中详细描述。之后，将由期间选择部1121选择到的组的各个值设为未使用标志FLAG_i、期间识别符PID_i、期间密钥PK_i、第一系统秘密变量群SPGI_i。这里，未使用标志FLAG_i是未使用标志FLAG_1-FLAG_k之一，期间识别符PID_i是期间识别符PID_1-PID_k之一，期间密钥PK_i是期间密钥PK_1-PK_k之一，第一系统秘密变量群SPGI_i是第一系统秘密变量群SPGI_1-SPGI_k之一。之后，将选择到的第一系统秘密变量群SPGI_i作为第一系统秘密变量群SPGI输出到系统秘密变量群集合发送部115。最后，将选择到的期间识别符PID_i和期间密钥PK_i输出到期间密钥加密部1123。
(2-2)期间信息存储部1122期间信息存储部1122如图4所示，存储事先提供的未使用标志、期间识别符、期间密钥和第一系统秘密变量群的k个组{(FLAG_1，PID_1，PK_1，SPGI_1)，(FLAG_2，PID_2，PK_2，SPGI_2)，...，(FLAG_k，PID_k，PK_k，SPGI_k}。例如，图4中表示如下状态，即对应于期间识别符PID_1来保持期间密钥PK_1、第一系统秘密变量群SPGI_1和未使用标志FLAG_1，对应于期间识别符PID_2来保持期间密钥PK_2、第一系统秘密变量群SPGI_2和未使用标志FLAG_2，对应于期间识别符PID_k来保持期间密钥PK_k、第一系统秘密变量群SPGI_k和未使用标志FLAG_k。这里，第一系统秘密变量群SPGI_1如图5所示，由5个第一系统秘密变量(s_1，t_1，u_1，v_1，c_1)构成，另外，其它第一系统秘密变量群SPGI_2-SPGI_k也分别由5个第一系统秘密变量(s_2，t_2，u_2，v_2，c_2～s_k，t_k，u_k，v_k，c_k)构成。并且，设第一系统秘密变量为事先满足第一系统秘密变量生成式“s_1*t_1＝u_1*v_1 mod N”、“s_2*t_2＝u_2*v_2 mod N”、...、“s_k*t_k＝u_k*v_k mod N”地来提供的。例如，5个第一系统秘密变量和模量N例如是128比特的自然数，这里的模量N的值为与作为共同值事先提供给后述的时变变量群生成部1251、共同中间密钥取得部1252、第一共有密钥取得部1308a的模量N相同的值，例如为2^{128}等。另外，“mod N”是剩余运算，“^”是幂运算，例如2^{4}表示16，以后在相同含义下使用。另外，作为第一系统秘密变量群(例SPGI_1)的制作方法，有如下方法等，即生成4个第一系统秘密变量(例s_1，t_1，u_1，c_1)作为随机数，将其中的3个第一系统秘密变量(例s_1、t_1、u_1)代入第一系统秘密变量生成式“s_1*t_1＝u_1*v_1mod N”，由此求出剩余的一个第一系统秘密变量(例v_1)。另外，未使用标志FLAG_1-FLAG_k中的每一个，由“0”或“1”构成，例如是自然数等。另外，在密钥发行中心11开始动作时，设未使用标志FLAG_1-FLAG_k全部为“1”。另外，接收装置识别符AIDa-AIDn是对应于各个接收装置13a-13n每个的唯一的识别符，例如是各不相同的自然数。并且，期间密钥PK_1-PK_k分别是例如非专利文献2中记载的DES加密方式的密钥等，使用随机数等来制作。另外，期间识别符PID_1-PID_k分别取不同的值，例如为各不相同的自然数等。
(2-3)期间密钥加密部1123期间密钥加密部1123在从第一系统秘密变量群选择部接收期间识别符PID_i和期间密钥PK-i的情况下，访问接收装置对应信息存储部114，取得全部接收装置识别符AIDa-AIDn和单独密钥IKa-IKn。之后，首先对接收装置识别符AIDa，根据对应的单独密钥IKa，执行期间密钥PK-i的加密，将其密文作为加密期间密钥ENCPKa＝Enc(IKa，PK_i)，与接收装置识别符AIDa对应起来。另外，对其它的接收装置识别符AIDb-AIDn也一样，根据对应的单独密钥，执行期间密钥的加密，将其密文Enc(IKb，PK_i)、...、Enc(IKn，PK_i)设为加密期间密钥ENCPKb、...、ENCPKn，与各个接收装置识别符AIDb-AIDn对应起来。之后，制作图6所示的由期间识别符PID_i和装置识别符AIDa-AIDn及加密期间密钥ENCPKa-ENCPKn构成的第一单独信息EMMI＝PID_i‖{AIDa，ENCPKa}‖{AIDb，ENCPKb}...‖{AIDn，ENCPKn}，将该第一单独信息EMMI输出到单独信息群配送部116。这里，加密期间密钥所使用的加密算法是例如非专利文献2所记载的DES加密方式等，使用与后述的接收装置13a-13n的第一单独中间密钥群取得部1302a对加密期间密钥进行解密时所用的解密算法相同的方式。
(3)接收装置对应信息存储部113接收装置对应信息存储部113如图7所示，存储识别多个接收装置13a-13n的接收装置识别符AIDa-AIDn、和事先提供给该各接收装置13a-13n的单独密钥IKa-IKn。例如，图7中表示如下状态，即对应于接收装置识别符AIDa的接收装置13a保持单独密钥IKa，对应于接收装置识别符AIDb的接收装置13b保持单独密钥IKb，对应于接收装置识别符AIDn的接收装置13n保持单独密钥IKn。可从第一单独信息生成部112内的期间密钥加密部1123和第二单独信息生成部114内的第二单独中间密钥群加密部1142来访问接收装置对应信息存储部113。
(4)第二单独信息生成部114第二单独信息生成部114如图8所示，由第二系统秘密密钥生成部1141和第二单独中间密钥群加密部1142构成。
(4-1)第二系统秘密密钥生成部1141第二系统秘密密钥生成部1141在从第一控制部111接收到第二单独信息生成请求REQEMMII的情况下，生成6个第二系统秘密密钥k1、k2、k3、k4、k5、k6。作为生成6个第二系统秘密密钥k1、k2、k3、k4、k5、k6的方法，例如有随机生成的方法等，具体而言，例如可通过使用随机数来实现。生成随机数的方法在非专利文献3中详细描述。另外，制作图9所示的由6个第二系统秘密密钥k1、k2、k3、k4、k5、k6构成的第二系统秘密变量群SPGII，输出到系统秘密变量群集合发送部115和第二单独中间密钥群加密部1142。
(4-2)第二单独中间密钥群加密部1142第二单独中间密钥群加密部1142在从第二系统秘密密钥生成部1141接收到第二系统秘密变量群SPGII的情况下，访问接收装置对应信息存储部113，取得全部接收装置识别符AIDa-AIDn和单独密钥IKa-IKn。之后，首先对接收装置识别符AIDa，从包含于第二系统秘密变量群SPGII的6个第二系统秘密密钥k1、k2、k3、k4、k5、k6中，选择一个秘密第二密钥。该一个第二系统秘密密钥的选择方法例如有随机选择的方法等，通过使用随机数来实现。这里，作为实例，将对接收装置识别符AIDa选择的密钥设为第二系统秘密密钥k1时，如图10所示，第二单独中间密钥群MKIIGa变为第二系统秘密密钥k1。之后，根据对应的单独密钥IKa，执行第二单独中间密钥群MKIIGa的加密，将其密文设为加密第二单独中间密钥群ENCMKIIGa＝Enc(IKa，MKIIGa)，与接收装置识别符AIDa对应起来。另外，对其它接收装置识别符AIDb-AIDn也一样，从第二系统秘密变量群SPGII的6个第二系统秘密密钥中，选择一个第二系统秘密密钥，将该第二系统秘密密钥设为第二单独中间密钥群，根据对应的单独密钥，执行第二单独中间密钥群的加密，将其密文Enc(IKb，MKIIGb)、...、Enc(IKn，MKIIGn)设为加密第二单独中间密钥群ENCMKIIGb、...、ENCMKIIGn，与各个接收装置识别符AIDb-AIDn对应起来。另外，制作图11所示的由接收装置识别符AIDa-AIDn及加密第二单独中间密钥群ENCMKIIGa-ENCMKIIGn构成的第二单独信息EMMII＝{AIDa，ENCMKIIGa}‖{AIDb，ENCMKIIGb}...‖{AIDn，ENCMKIIGn}，将该第二单独信息EMMII输出到单独信息群配送部116。这里，加密第二单独中间密钥群所使用的加密算法是例如非专利文献2所述的DES加密方式等，使用与后述的接收装置13a-13n的第二单独中间密钥群取得部1303a对加密第二单独中间密钥群进行解密时所用的解密算法相同的方式。
(5)系统秘密变量群集合发送部115系统秘密变量群集合发送部115在从第一单独信息生成部112的第一系统秘密变量群选择部121接收到第一系统秘密变量群SPGI，另外，从第二单独信息生成部114的第二系统秘密密钥生成部1141接收到第二系统秘密变量群SPGII的情况下，如图12所示，生成由第一系统秘密变量群SPGI和对应于该第一系统秘密变量群SPGI的系统秘密变量群识别符SPGIDI、以及第二系统秘密变量群SPGII和对应于该第二系统秘密变量群SPGII的系统秘密变量群识别符SPGIDII构成的系统秘密变量群集合SPGS。另外，将该系统秘密变量群集合SPGS发送给服务器12。这里，系统秘密变量群识别符SPGIDI与系统秘密变量群识别符SPGIDII例如为各不相同的自然数。另外，为了区别第一系统秘密变量群SPGI与第二系统秘密变量群SPGII而分别使用系统秘密变量群识别符SPGIDI与系统秘密变量群识别符SPGIDII，但在密钥发行中心11与服务器12事先共有发送接收数据中的第一系统秘密变量群SPGI与第二系统秘密变量群SPGII的比特位置等信息的情况下，系统秘密变量群集合SPGS也可没有系统秘密变量群识别符SPGIDI与系统秘密变量群识别符SPGIDII。
(6)单独信息群配送部116单独信息群配送部116在从第一单独信息生成部112的期间密钥加密部1123接收到第一单独信息EMMI，另外，从第二单独信息生成部114的第二单独中间密钥群加密部1142接收到第二单独信息EMMII的情况下，生成图13所示的、由第一单独信息EMMI和对应于该第一单独信息EMMI的单独信息识别符EMMIDI、以及第二单独信息EMMII和对应于该第二单独信息EMMII的单独信息识别符EMMIDII构成的单独信息群EMMG。另外，将该单独信息群EMMG配送给接收装置13a-13n。这里，单独信息识别符EMMIDI与单独信息识别符EMMIDII例如为各不相同的自然数。另外，为了区别第一单独信息EMMI与第二单独信息EMMII而分别使用单独信息识别符EMMIDI与单独信息识别符EMMIDII，但在密钥发行中心11与接收装置13a-13n事先共有发送接收数据中的第一单独信息EMMI与第二单独信息EMMII的比特位置等信息的情况下，单独信息群EMMG也可没有单独信息识别符EMMIDI与单独信息识别符EMMIDII。
<密钥发行中心11的动作>
以上说明了密钥发行中心11的构成，这里说明密钥发行中心11的动作。这里，用图14所示的流程图来说明在满足事先提供的单独信息更新条件的情况下、或密钥发行中心11开始动作等情况下，向服务器12和多个接收装置13a-13n配送分配、接收共有密钥所需的密钥信息时的动作。另外，用图15所示的流程图来说明第一单独信息生成部112生成第一系统秘密变量群SPGI和第一单独信息EMMI时的动作细节。最后，用图16所示的流程图来说明第二单独信息生成部114生成第二系统秘密变量群SPGII和第二单独信息EMMII时的动作细节。
《密钥发行中心11在密钥信息配送时的动作》第一控制部111向第一单独信息生成部112输出第一单独信息生成请求REQEMMI，向第二单独信息生成部114输出第二单独信息生成请求REQEMMII。(S1101)第一单独信息生成部112根据图15所示的流程图(下面说明细节)，生成第一系统秘密变量群SPGI和第一单独信息EMMI，将第一系统秘密变量群SPGI输出到系统秘密变量群集合发送部115，将第一单独信息EMMI输出到单独信息群配送部116。(S1102)第二单独信息生成部114根据图16所示的流程图(下面说明细节)，生成第二系统秘密变量群SPGII和第二单独信息EMMII，将第二系统秘密变量群SPGII输出到系统秘密变量群集合发送部115，将第二单独信息EMMII输出到单独信息群配送部116。(S1103)接收到第一系统秘密变量群SPGI和第二系统秘密变量群SPGII的系统秘密变量群集合发送部115，生成由第一系统秘密变量群SPGI和第二系统秘密变量群SPGII构成的系统秘密变量群集合SPGS，并将该系统秘密变量群集合SPGS发送给服务器12。(S1104)接收到第一单独信息EMMI和第二单独信息EMMII的单独信息群配送部116，生成由第一单独信息EMMI和第二单独信息EMMII构成的单独信息群EMMG，并将该单独信息群EMMG配送给接收装置13a-13n，结束。(S1105)《生成第一系统秘密变量群SPGI和第一单独信息EMMI时的动作(步骤S1102的详细说明)》接收到第一单独信息生成请求REQEMMI的第一系统秘密变量群选择部1121访问期间信息存储部1122，取得未使用标志为“1”的一组期间识别符(例PID_i)、期间密钥(例PK_i)和第一系统秘密变量群(例SPGI_i)。之后，将存储在期间选择部1121中的未使用标志(例FLAG_i)设定为“0”。(S11021)第一系统秘密变量群选择部1121将第一系统秘密变量群(例SPGI_i)作为第一系统秘密变量群SPGI，输出到系统秘密变量群集合发送部115。(S11022)第一系统秘密变量群选择部1121将期间识别符(例PID_i)与期间密钥(例PK_i)输出到期间密钥加密部1123。(S11023)接收到期间识别符(例PID_i)与期间密钥(例PK_i)的期间密钥加密部1123访问接收装置对应信息存储部114，取得接收装置识别符AIDa-AIDn和单独密钥IKa-IKn的全部的组。(S11024)期间密钥加密部1123根据各个单独密钥IKa-IKn，进行期间密钥(例如PK_i)的加密，生成加密期间密钥(例ENCPKa＝Enc(IKa，PK_i)、...、ENCPKn＝Enc(IKn，IKn)。(S11025)对应于加密时使用的单独密钥所对应的接收装置识别符AIDa-AIDn，还向各个加密期间密钥ENCPKa-ENCPKn添加期间识别符(例PID_i)，生成第一单独信息EMMI(例PID_i‖{AIDa，ENCPKa}‖{AIDb，ENCPKb}...‖{AIDn，ENCPKn})。(S11026)期间密钥加密部1123将第一单独信息EMMI输出到单独信息群配送部116，结束。(S11027)《生成第二系统秘密变量群SPGII和第二单独信息EMMII时的动作(步骤S1103的细节)》接收到第二单独信息生成请求REQEMMII的第二系统秘密密钥生成部1141生成6个第二系统秘密密钥k1、k2、k3、k4、k5、k6。(S11031)第二系统秘密密钥生成部1141生成由6个第二系统秘密密钥k1、k2、k3、k4、k5、k6构成的第二系统秘密变量群SPGII。(S11032)第二系统秘密密钥生成部1141将第二系统秘密变量群SPGII输出到系统秘密变量群集合发送部115和第二单独中间密钥群加密部1142。(S11033)接收到第二系统秘密变量群SPGII的第二单独中间密钥群加密部1142访问接收装置对应信息存储部113，取得全部接收装置识别符AIDa-AIDn和单独密钥IKa-IKn。(S11034)第二单独中间密钥群加密部1142对于接收装置识别符AIDa-AIDn的每一个，从第二系统秘密变量群SPGII中选择一个第二系统秘密密钥(例MKIIGa＝k1、MKIIGb＝k2、...、MKIIGn＝k6)，设为第二单独中间密钥群MKIIGa-MKIIGn。(S11035)第二单独中间密钥群加密部1142根据单独密钥IKa，执行各个第二单独中间密钥群MKIIGa-MKIIGn的加密，将其密文作为加密第二单独中间密钥群ENCMKIIGa＝Enc(IKa，MKIIGa)、ENCMKIIGb＝Enc(IKb，MKIIGb)、...、ENCMKIIGn＝Enc(IKn，MKIIGn)。(S11036)第二单独中间密钥群加密部1142制作由接收装置识别符AIDa-AIDn和加密第二单独中间密钥群ENCMKIIGa-ENCMKIIGn构成的第二单独信息EMMII＝{AIDa，ENCMKIIGa}‖{AIDb，ENCMKIIGb}...‖{AIDn，ENCMKIIGn})。(S11037)第二单独中间密钥群加密部1142将第二单独信息EMMII输出到单独信息群配送部116。(S11038)以上是作为密钥配送系统1的构成要素之密钥发行中心11的构成和动作。下面，说明服务器12的构成与动作。
<服务器12的构成>
服务器12如图17所示，由系统秘密变量群集合接收部121、系统秘密变量群存储部122、共有密钥生成部123、共同信息生成部选择部124、第一共同信息生成部125、第二共同信息生成部126、共同信息配送部127构成。
(1)系统秘密变量群集合接收部121系统秘密变量群集合接收部121在从密钥发行中心11接收到系统秘密变量群集合SPGS的情况下，根据包含于接收到的系统秘密变量群集合SPGS中的作为系统秘密变量群识别符的SPGIDI与SPGIDII，抽取第一系统秘密变量群SPGI和第二系统秘密变量群SPGII，存储在图18所示的系统秘密变量群存储部122中，向共有密钥生成部123输出共有密钥生成请求REQSK。
(2)系统秘密变量群存储部122系统秘密变量群存储部122如图18所示，存储第一系统秘密变量群SPGI和第二系统秘密变量群SPGII。可从系统秘密变量群集合接收部121和第一共同信息生成部125内的时变变量群生成部1251、以及共同中间密钥取得部1252和第二共同信息生成部126内的第二共有密钥加密部1261访问系统秘密变量群存储部122。
(3)共有密钥生成部123共有密钥生成部123在从系统秘密变量群集合接收部121接收到共有密钥生成请求REQSK的情况下，或在满足事先提供的共同信息更新条件的情况下，生成共有密钥SK。作为生成共有密钥SK的方法，例如有使用随机数来随机生成的方法等。生成随机数的方法在非专利文献3中详细描述。另外，将该共有密钥SK输出到共同信息生成部选择部124。例如，在共同信息更新条件为“每1秒”或“每1小时”等的情况下，共有密钥生成部123通过具备计数器等来实现，在共同信息更新条件为“从外部接收到特定信号的情况”等情况下，共有密钥生成部123通过具备接收外部信号的接收部等来实现。
(4)共同信息生成部选择部124共同信息生成部选择部124在从共有密钥生成部123接收到共有密钥SK的情况下，选择第一共同信息生成部125或第二共同信息生成部126之一，将共有密钥SK输出到该选择到的第一共同信息生成部125的时变变量群生成部1251与第一共有密钥加密部1253、或第二共同信息生成部126的第二共有密钥加密部1261。这里，作为选择第一共同信息生成部125或第二共同信息生成部126之一的方法，例如有根据从外部提供的时间表数据(schedule data)来选择的方法、或使用随机数来随机选择等。
(5)第一共同信息生成部125第一共同信息生成部125如图19所示，由时变变量群生成部1251、共同中间密钥取得部1252、第一共有密钥加密部1253和第二控制部1254构成。
(5-1)时变变量群生成部1251时变变量群生成部1251在从共同信息生成部选择部124接收到共有密钥SK的情况下，生成4个随机数z、w、m、n。这里，作为生成随机数z、w、m、n的方法，例如有使用随机数来随机生成的方法等。另外，随机数z、w、m、n例如分别是128比特的自然数。另外，访问系统秘密变量群存储部122，取得第一系统秘密变量群SPGI，从中抽取第一系统秘密变量s、t、u、v。之后，根据事先提供的4个时变变量生成式“r1＝s*z+v*m mod N”、“r2＝t*w+u*n N”、“r3＝u*z+t*m mod N”、“r4＝v*w+s*n N”，生成4个时变变量r1、r2、r3、r4。之后，生成由已生成的时变变量r1、r2、r3、r4构成的图20所示的时变变量群PRG，将该时变变量群PRG输出到第二控制部1254。最后，向共同中间密钥取得部1252输出随机数z、w、m、n。
(5-2)共同中间密钥取得部1252共同中间密钥取得部1252在从时变变量群生成部1251接收到随机数z、w、m、n的情况下，首先，访问系统秘密变量群存储部122，取得第一系统秘密变量群SPGI，从中抽取第一系统秘密变量s、t、u、v、c。之后，根据事先提供的服务器共同中间密钥生成式“SMK＝2*s*t*(z+w+c+n*m)+2*(u*s*n*z+t*v*m*w)mod N”，生成共同中间密钥SMK，将该生成的共同中间密钥SMK输出到第一共有密钥加密部1253。
(5-3)第一共有密钥加密部1253第一共有密钥加密部1253在从第二控制部124接收共有密钥SK，进一步，从共同中间密钥取得部1252接收共同中间密钥SMK的情况下，根据该共同中间密钥SMK，执行接收到的共有密钥SK的加密。这里，共有密钥SK的加密中使用的加密算法例如是DES加密方式等，使用与后述的接收装置13a-13n的各第一共有密钥取得部1308a中对加密共有密钥ENCSK进行解密所用的解密算法相同的方式。之后，将加密共有密钥ENCSK输出到第二控制部1254。
(5-4)第二控制部1254第二控制部1254在从时变变量群生成部1251接收时变变量群PRG，并从第一共有密钥加密部1253接收加密共有密钥ENCSK的情况下，如图21所示，生成由表示是第一共同信息ECMI的共同信息识别符ECMIDI、时变变量群PRG和加密共有密钥ENCSK构成的第一共同信息ECMI。之后，将该第一共同信息ECMI作为共同信息ECM，输出到共同信息配送部127。这里，共同信息识别符ECMIDI例如是自然数。另外，共同信息识别符ECMIDI在区别包含于共同信息ECM中的数据是第一共同信息ECMI还是第二共同信息ECMII时使用，但在服务器12与接收装置13a-13n事先共有送出第一共同信息ECMI与第二共同信息ECMII的定时的情况下，共同信息ECM中也可没有第一共同信息识别符ECMIDI和第二共同信息识别符ECMIDII。例如，是服务器12与接收装置13a-13n在某个确定的时刻发送第一共同信息ECMI，此外发送第二共同信息ECMII的情况等。
(6)第二共同信息生成部126第二共同信息生成部126如图22所示，由第二共有密钥加密部1261和第三控制部1262构成。
(6-1)第二共有密钥加密部1261第二共有密钥加密部1261在从第二控制部124接收到共有密钥SK的情况下，首先访问系统秘密变量群存储部122，取得第二系统秘密变量群SPGII，从中抽取6个第二系统秘密密钥k1、k2、k3、k4、k5、k6。之后，首先根据第二系统秘密密钥k1，加密共有密钥SK，生成加密共有密钥ENCSK1＝Enc(k1，SK)。之后，对其它的第二系统秘密密钥k2、k3、k4、k5、k6也同样加密共有密钥SK，生成加密共有密钥ENCSK2＝Enc(k2，SK)、...、ENCSK6＝Enc(k6，SK)。最后，将图23所示的、连结了加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6的组合作为加密共有密钥群ENCSKG，输出到第三控制部1262。另外，这里在共有密钥SK的加密中使用的加密算法例如是DES加密方式等，使用与后述的接收装置13a-13n的各第二共有密钥取得部1309a对加密共有密钥群ENCSKG之一的密文进行解密中所用的解密算法相同的方式。
(6-2)第三控制部1262第三控制部1262在从第二共有密钥加密部1261接收到加密共有密钥ENCSKG的情况下，如图24所示，生成由表示是第二共同信息ECMII的共同信息识别符ECMIDII和加密共有密钥群ENCSKG构成的第二共同信息ECMII。之后，将该第二共同信息ECMII作为共同信息ECM，输出到共同信息配送部127。这里，共同信息识别符ECMIDII例如是与共同信息识别符ECMIDI不同的自然数。另外，共同信息识别符ECMIDII在区别包含于共同信息ECM中的数据是第一共同信息ECMI还是第二共同信息ECMII时使用，但在服务器12与接收装置13a-13n事先共有送出第一共同信息ECMI与第二共同信息ECMII的定时的情况下，共同信息ECM中也可没有第一共同信息识别符ECMIDI和第二共同信息识别符ECMIDII。例如，是服务器12与接收装置13a-13n在某个确定的时刻发送第一共同信息ECMI，此外发送第二共同信息ECMII的情况等。
(7)共同信息配送部127共同信息配送部127在从第一共同信息生成部125的第二控制部1254或第二共同信息生成部126的第三控制部1262之一接收到共同信息ECM的情况下，向接收装置13a-13n配送该共同信息ECM。
<服务器12的动作>
以上说明了服务器12的构成，这里说明服务器12的动作。首先，用图25所示的流程图来说明从密钥发行中心11接收配送共有密钥SK时所用的系统秘密变量群集合SPGS时的动作。之后，用图26所示的流程图来说明在从系统秘密变量群集合接收部121接收到共有密钥生成请求REQSK的情况下，或在满足事先提供的共有密钥更新条件的情况下，服务器12向接收装置13a-13n配送新的共有密钥SK时的动作。
《从密钥发行中心11接收到系统秘密变量群集合SPGS时的动作》系统秘密变量群集合接收部121根据接收到的系统秘密变量群集合SPGS中包含的系统秘密变量群识别符SPGIDI-SPGIDII，抽取第一系统秘密变量群SPGI和第二系统秘密变量群SPGII。(S1201)系统秘密变量群集合接收部121将第一系统秘密变量群SPGI和第二系统秘密变量群SPGII存储在系统秘密变量群存储部122中，结束。(S1202)《服务器12向接收装置13a-13n配送新的共有密钥SK时的动作》共有密钥生成部123生成共有密钥SK，并输出到共同信息生成部选择部124。(S1251)共同信息生成部选择部124选择第一共同信息生成部125或第二共同信息生成部126之一，向选择到的一方输出共有密钥SK。这里，在选择第一共同信息生成部125的情况下，前进到步骤S1254。相反，在选择到第二共同信息生成部126的情况下，前进到步骤S 1260。(S1252)从共同信息生成部选择部124接收到共有密钥SK的第一共同信息生成部125生成随机数z、w、m、n。之后，访问系统秘密变量群存储部122，取得第一系统秘密变量群SPGI，从中抽取第一系统秘密变量s、t、u、v。之后，根据事先提供的4个时变变量生成式“r1＝s*z+v*mmod N”、“r2＝t*w+u*n N”、“r3＝u*z+t*m mod N”、“r4＝v*w+s*nN”，生成4个时变变量r1、r2、r3、r4。生成由已生成的4个时变变量r1、r2、r3、r4构成的时变变量群PRG。(S1253)将该时变变量群PRG输出到第二控制部1254。(S1254)向共同中间密钥取得部1252输出随机数z、w、m、n。(S1255)共同中间密钥取得部1252在从时变变量群生成部1251接收到随机数z、w、m、n的情况下，首先，访问系统秘密变量群存储部122，取得第一系统秘密变量群SPGI，从中抽取第一系统秘密变量s、t、u、v和c。之后，根据事先提供的服务器共同中间密钥生成式“SMK＝2*s*t*(z+w+c+n*m)+2*(u*s*n*z+t*v*m*w)mod N”，生成共同中间密钥SMK。(S1256)将生成的共同中间密钥SMK输出到第一共有密钥加密部1253。(S1257)第一共有密钥加密部1253在从第二控制部124接收共有密钥SK，还从共同中间密钥取得部1252接收到共同中间密钥SMK的情况下，根据该共同中间密钥SMK，执行接收到的共有密钥SK的加密，生成加密共有密钥ENCSK，并将该加密共有密钥ENCSK输出到第二控制部1254。(S1258)第二控制部1254在从时变变量群生成部1251接收时变变量群PRG，并从第一共有密钥加密部1253接收到加密共有密钥ENCSK的情况下，生成由表示是第一共同信息ECMI的共同信息识别符ECMIDI、时变变量群PRG和加密共有密钥ENCSK构成的第一共同信息ECMI，将该第一共同信息ECMI作为共同信息ECM输出到共同信息配送部127。前进到步骤S1264。(S1259)第二共有密钥加密部1261在从第二控制部124接收到共有密钥SK的情况下，首先访问系统秘密变量群存储部122，取得第二系统秘密变量群SPGII，从中抽取6个第二系统秘密密钥k1、k2、k3、k4、k5、k6。(S1260)第二共有密钥加密部1261根据各个第二系统秘密密钥k1、k2、k3、k4、k5、k6，加密共有密钥SK，生成加密共有密钥ENCSK1＝Enc(k1，SK)、ENCSK2＝Enc(k2，SK)、...、ENCSK6＝Enc(k6，SK)，连结加密共有密钥ENCSK1-ENCSK6，生成加密共有密钥群ENCSKG。(S1261)第二共有密钥加密部1261将加密共有密钥群ENCSKG输出到第三控制部1262。(S1262)第三控制部1262在从第二共有密钥加密部1261接收到加密共有密钥群ENCSKG的情况下，生成由表示是第二共同信息ECMII的共同信息识别符ECMIDII和加密共有密钥群ENCSKG构成的第二共同信息ECMII，并将该第二共同信息ECMII作为共同信息ECM，输出到共同信息配送部127。(S1263)接收到共同信息ECM的共同信息配送部127向接收装置13a-13n配送共同信息ECM，结束。(S1264)
以上是作为密钥配送系统1的构成要素之服务器12的构成与动作。下面，说明接收装置13a-13n的构成与动作。首先，说明接收装置13a的构成与动作，之后，描述接收装置13a与其它接收装置13b-13n的区别点。
<接收装置13a的构成>
接收装置13a如图27所示，由单独信息接收部1301、第一单独中间密钥群取得部1302a、第二单独中间密钥群取得部1303a、单独密钥存储部1304a、单独中间密钥存储部1305a、共同信息接收部1306、第二选择部1307a、第一共有密钥取得部1308a、第二共有密钥取得部1309a、输出部1310构成。这里，第一单独中间密钥群取得部1302a、第二单独中间密钥群取得部1303a、单独密钥存储部1304a、单独中间密钥存储部1305a、第二选择部1307a、第一共有密钥取得部1308a、第二共有密钥取得部1309a是接收装置13a固有的构成要素，单独信息接收部1301、共同信息接收部1306、输出部1310是接收装置13a-13n共同的构成要素。
(1)单独信息接收部1301单独信息接收部1301在从服务器12接收到单独信息群EMMG的情况下，根据包含于接收到的单独信息群EMMG中的单独信息识别符EMMIDI、EMMIDII，抽取第一单独信息EMMI和第二单独信息EMMII，并将第一单独信息EMMI输出到第一单独中间密钥群取得部1302a，将第二单独信息EMMII输出到第二单独中间密钥群取得部1303a。
(2)第一单独中间密钥群取得部1302a第一单独中间密钥群取得部1302a在从单独信息接收部1301接收到第一单独信息EMMI的情况下，首先，从图28所示的单独密钥存储部1304a取得接收装置识别符AIDa、单独密钥IKa和加密第一单独中间密钥群集合ENCMKIGSa。之后，从接收到的第一单独信息EMMI中，取得期间识别符(例如PID_iPID_i是PID_1-PID_k之一)、和对应于存储在单独密钥存储部1304a中的接收装置识别符AIDa的加密期间密钥ENCPKa。之后，根据存储在单独密钥存储部1304a中的单独密钥IKa，执行加密期间密钥ENCPKa的解密，取得对应于期间识别符PID_i的期间密钥PK_i。之后，从图29所示的加密第一单独中间密钥群集合ENCMKIGSa中，取得对应于第一单独信息EMMI中的期间识别符(例PID_i，PID_i是PID_1-PID_k之一)的加密第一单独中间密钥群(例如ENCMKIGa_iENCMKIGa_i是ENCMKIGa_1-ENCMKIGa_k之一)，根据期间密钥PK_i，执行该加密第一单独中间密钥群的解密，取得图30所示的第一单独中间密钥群MKIGa。之后，将该解密后的第一单独中间密钥群MKIGa存储在单独中间密钥存储部1305a中。
(3)第二单独中间密钥群取得部1303a第二单独中间密钥群取得部1303a在从单独信息接收部1301接收到第二单独信息EMMII的情况下，首先，从图28所示的单独密钥存储部1304a取得接收装置识别符AIDa和单独密钥IKa。之后，由接收到的第二单独信息EMMII，取得对应于存储在单独密钥存储部1304中的接收装置识别符AIDa的加密第二单独中间密钥群ENCMKIIGa。之后，根据单独密钥IKa，执行该加密第二单独中间密钥群ENCMKIIGa的解密，取得第二单独中间密钥群MKIIGa。之后，将取得的第二单独中间密钥群MKIIGa存储在单独中间密钥存储部1305a中。
(4)单独密钥存储部1304a单独密钥存储部1304a如图28所示，保持接收装置识别符AIDa、单独密钥IKa和加密第一单独中间密钥群集合ENCMKIGSa。可从第一单独中间密钥群取得部1302a和第二单独中间密钥群取得部1303a访问该单独密钥存储部1304a。另外，接收装置识别符AIDa例如是自然数，取与接收装置识别符AIDb-AIDn的每一个不同的值，单独密钥IKa例如是非专利文献2中记载的DES加密方式的密钥，埋入使用随机数等事先生成的值，取与单独密钥Ikb-IKn不同的值。
另外，存储在该单独密钥存储部1304a中的加密第一单独中间密钥群集合ENCMKIGSa被埋入了事先由密钥发行中心11按以下方法制作的值。
对与期间识别符PID_1对应的第一系统秘密变量s_1、t_1、u_1、v_1和c_1，生成满足事先提供的单独变量生成式“x*y＝c_1 mod N”的两个单独变量x、y。这里，作为生成两个单独变量x、y的方法，例如有使用随机数来生成一个单独变量(例x)，将其值代入单独变量生成式中，由此求出另一单独变量(例y)的方法等，若选择一个随机的单独变量x，则必然存在单独变量y。另外，单独变量x、y例如是128比特的自然数，另外，“*”是乘法运算，例如2*5表示10，以后在相同含义下使用。之后，使用该单独变量x和y，根据事先提供的4个第一单独中间密钥生成式“mkI1＝s_1*x mod N”、“mkI2＝t_1*ymod N”、“mkI3＝-u_1*x mod N”、“mkI4＝-v_1*y mod N”，生成4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4。之后，生成由该4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4构成的、图30所示的第一单独中间密钥群MKIGa。另外，将该第一单独中间密钥群MKIGa对应于期间识别符PID_1，根据密钥发行中心11保持的期间密钥PK_1，执行加密，生成加密第一单独中间密钥群ENCMKIGa。对其它第一系统秘密变量s_2-s_k、第二系统秘密变量t_2-t_k、第三系统秘密变量u_2-u_k、第四系统秘密变量v_2-v_k和第五系统秘密变量c_2-c_k也一样，生成单独变量x和y，根据第一单独中间密钥生成式，生成第一单独中间密钥mkI1_2-mkI1k、mkI2_2-mkI2_k、mkI3_2-mkI3k、mkI4_2-mkI4_k。另外，生成由该第一单独中间密钥的每一个构成的第一单独中间密钥群MKIGa_2(＝mkI1_2‖mkI2_2‖mkI3_2‖mkI4_2)、mkIa_3、...、mkIa_k。之后，对应于各个期间识别符PID_2、...PID_k，根据期间密钥PK_2、...PK_n，进行加密，生成加密第一单独中间密钥群ENCMKIGa_2、...ENCMKIGa_k。最后，埋入图29所示的、使与加密第一单独中间密钥群对应的期间识别符的组连结的值{(ENCMKIGa_1，PID_1)‖(ENCMKIGa_2，PID_2)‖、...‖(ENCMKIGa_k，PID_k)}，作为加密第一单独中间密钥群集合ENCMKIGSa。另外，各个加密第一单独中间密钥群集合(ENCMKIGSa-ENCMKIGSn)为对每个接收装置13a-13n不同的值。这例如通过生成并利用对每个接收装置13a-13n和每个期间识别符PID_1-PID_k不同的单独变量(x、y)来实现。
(5)单独中间密钥存储部1305a单独中间密钥存储部1305a如图31所示，保持第一单独中间密钥群MKIGa和第二单独中间密钥群MKIIGa。可从第一单独中间密钥群取得部1302a和第二单独中间密钥群取得部1303a访问该单独中间密钥存储部1305a。
(6)共同信息接收部1306共同信息接收部1306在从服务器12接收到共同信息ECM的情况下，将接收到的共同信息ECM输出到第二选择部1307a。
(7)第二选择部1307a第二选择部1307a在从共同信息接收部1306接收到共同信息ECM的情况下，根据包含于该共同信息ECM中的共同信息识别符(ECMIDI或ECMIDII)，判断该共同信息ECM是第一共同信息ECMI还是第二共同信息ECMII。并且，在该共同信息ECM是第一共同信息ECMI的情况下，从单独中间密钥存储部1305a取得第一单独中间密钥群MKIGa，并将第一共同信息ECMI与第一单独中间密钥群MKIGa输出到第一共有密钥取得部1308a。相反，在该共同信息ECM是第二共同信息ECMII的情况下，从单独中间密钥存储部1305a取得第二单独中间密钥群MKIIGa，并将第二共同信息ECMII与第二单独中间密钥群MKIIGa输出到第二共有密钥取得部1309a。
(8)第一共有密钥取得部1308a在第一共有密钥取得部1308a从第二选择部1307a接收到第一单独中间密钥群MKIGa和第一共同信息ECMI的情况下，首先从第一共同信息ECMI中抽取时变变量PRG。之后，从该时变变量群PRG中抽取时变变量r1、r2、r3、r4，之后，从第一单独中间密钥群MKIGa中抽取第一单独中间密钥mkI1、mkI2、mkI3、mkI4。然后，根据事先提供的接收装置共同中间密钥生成式“SMK＝(r1+mkI1)*(r1+mkI2)+(r1+mkI3)*(r1+mkI4)mod N”，生成共同中间密钥SMK。再从第一共同信息ECMI中抽取加密共有密钥ENCSK，根据生成的共同中间密钥SMK，解密该加密共有密钥ENCSK，取得共有密钥SK。之后，将该共有密钥SK输出到输出部1310。
(9)第二共有密钥取得部1309a第二共有密钥取得部1309a在从第二选择部1307a接收到第二单独中间密钥群MKIIGa和第二共同信息ECMII的情况下，首先从第二加密共有密钥群ENCSKG中抽取第二加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6。之后，根据包含于第二单独中间密钥群MKIIGa中的第二系统秘密密钥，从第二加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6之一中选择一个由该第二系统秘密密钥加密共有密钥SK后的密文，解密选择到的一个密文，取得共有密钥SK。之后，将该共有密钥SK输出到输出部1310。另外，作为从第二加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6之一中选择一个的方法，有如下方法等，即，在第二共同信息生成部126中，使第二加密共有密钥群ENCSKG中、识别用于加密共有密钥的第二系统秘密密钥之第二系统秘密密钥识别符对应于各个第二加密共有密钥，第二单独中间密钥群MKIIGa也一样，包含对应于所包含的第二系统秘密密钥的第二系统秘密密钥识别符，根据该第二系统秘密密钥识别符，从第二加密共有密钥ENCSK1-ENCSK6中选择一个。
(10)输出部1310输出部1310在从第一共有密钥取得部1308a、或第二共有密钥取得部1309a之一接收到共有密钥SK的情况下，将接收到的共有密钥SK输出到外部。
<接收装置13a的动作>
以上说明了接收装置13a的构成，这里说明接收装置13a的动作。首先，用图32所示的流程图来说明当接收到单独信息群EMMG时，取得第一单独中间密钥群MKIGa和第二单独中间密钥群MKIIGa时的动作。之后，用图33所示的流程图来说明当接收到共同信息ECM时，使用第一单独中间密钥群MKIGa或第二单独中间密钥群MKIIGa来取得共有密钥SK时的动作。
《从密钥发行中心11接收到单独信息群EMMG时的动作》
从密钥发行中心11接收到单独信息群EMMG的单独信息接收部1301从接收到的单独信息群EMMG中，抽取第一单独信息EMMI和第二单独信息EMMII。(S1301)单独信息接收部1301将第一单独信息EMMI输出到第一单独中间密钥群取得部1302a，将第二单独信息EMMII输出到第二单独中间密钥群取得部1303a。(S1302)接收到第一单独信息EMMI的第一单独中间密钥群取得部1302a从单独密钥存储部1304a取得接收装置识别符AIDa、单独密钥IKa和加密第一单独中间密钥群集合ENCMKIGSa。(S1303)第一单独中间密钥群取得部1302a从接收到的第一单独信息EMMI中，取得期间识别符PID_i和对应于存储在单独密钥存储部1304a中的接收装置识别符AIDa的加密期间密钥ENCPKa。(S1304)第一单独中间密钥群取得部1302a根据存储在单独密钥存储部1304中的单独密钥IKa，执行加密期间密钥ENCPKa的解密，取得期间密钥PK_i。(S1305)第一单独中间密钥群取得部1302a从加密第一单独中间密钥群集合ENCMKIGSa中，取得对应于第一单独信息EMMI中的期间识别符PID_i的加密第一单独中间密钥群，根据期间密钥PK_i，执行该加密第一单独中间密钥群的解密，取得第一单独中间密钥群MKIGa。(S1306)第一单独中间密钥群取得部1302a将解密后的第一单独中间密钥群MKIGa存储在单独中间密钥存储部1305a中。(S1307)从单独信息接收部1301接收到第二单独信息EMMII的第二单独中间密钥群取得部1303a从单独密钥存储部1304a取得接收装置识别符AIDa和单独密钥IKa。(S1308)第二单独中间密钥群取得部1303a由接收到的第二单独信息EMMII，取得对应于存储在单独密钥存储部1304中的接收装置识别符AIDa的加密第二单独中间密钥群ENCMKIIGa。(S1309)第二单独中间密钥群取得部1303a根据单独密钥IKa，执行该第二单独中间密钥群ENCMKIIGa的解密。(S1310)
第二单独中间密钥群取得部1303a将解密后的第二单独中间密钥群MKIIGa存储在单独中间密钥存储部1305a中。(S1311)《从服务器12接收到共同信息ECM时的动作》从服务器12接收到共同信息ECM的共同信息接收部1306将接收到的共同信息ECM输出到第二选择部1307a。(S1351)从共同信息接收部1306接收到共同信息ECM的第二选择部1307a取得包含于该共同信息ECM中的共同信息识别符，并且，在该共同信息识别符是ECMIDI的情况下，将该共同信息ECM作为第一共同信息ECMI，从单独中间密钥存储部1305a取得第一单独中间密钥群MKIGa，将该第一单独中间密钥群MKIGa和第一共同信息ECMI输出到第一共有密钥取得部1308a，并前进到步骤S1352。并且，在该共同信息识别符是ECMIDII的情况下，将该共同信息ECM作为第二共同信息ECMII，另外，从单独中间密钥存储部1305a取得第二单独中间密钥群MKIIGa，将该第二单独中间密钥群MKIIGa和第二共同信息ECMII输出到第二共有密钥取得部1309a，并前进到步骤S1356。(S1352)接收到第一单独中间密钥群MKIGa和第一共同信息ECMI的第一共有密钥取得部1308a从第一共同信息ECMI中抽取时变变量PRG，之后，从该时变变量群PRG中抽取时变变量r1、r2、r3、r4。之后，从第一单独中间密钥群MKIa中抽取第一单独中间密钥mkI1、mkI2、mkI3、mkI4。然后，根据事先提供的接收装置共同中间密钥生成式“SMK＝(r1+mkI1)*(r2+mkI2)+(r3+mkI3)*(r4+mkI4)modN”，计算共同中间密钥SMK。(S1353)第一共有密钥取得部1308a从第一共同信息ECMI中抽取加密共有密钥ENCSK，根据生成的共同中间密钥SMK，解密该加密共有密钥ENCSK，取得共有密钥SK。(S1354)第一共有密钥取得部1308a将该共有密钥SK输出到输出部1310，前进到步骤S1358。(S1355)接收到第二单独中间密钥群MKIIGa和第二共同信息ECMII的第二共有密钥取得部1309a从加密共有密钥群ENCSKG中抽取第二加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6。之后，根据第二单独中间密钥群MKIIGa，解密该6个第二加密共有密钥ENCSK1、ENCSK2、ENCSK3、ENCSK4、ENCSK5、ENCSK6之一对应的一个密文，取得共有密钥SK。(S1356)第二共有密钥取得部1309a将共有密钥SK输出到输出部1310。(S1357)输出部1310在从第一共有密钥取得部1308a、或第二共有密钥取得部1309a之一接收到共有密钥SK的情况下，将接收到的共有密钥SK输出到外部。(S1358)以上是作为密钥配送系统1的构成要素的接收装置13a的构成与动作。另外，接收装置13a与其它接收装置13b-13n的区别点如下。
(i)在第一单独中间密钥群取得部1302a中，为了取得第一单独中间密钥群，从单独密钥存储部1304a得到的接收装置识别符和单独密钥及加密第一单独中间密钥群集合在各个接收装置13a-13n中不同。
(ii)在第二单独中间密钥群取得部1303a中，为了取得第二单独中间密钥群，从单独密钥存储部1304a得到的接收装置识别符和单独密钥在各个接收装置13a-13n中不同。
(iii)在单独密钥存储部1304a中，存储的接收装置识别符(AIDa-AIDn)和单独密钥(IKa-IKn)及加密第一单独中间密钥群集合在各个接收装置13a-13n中不同。
(iv)在单独中间密钥存储部1305a中，存储的第一单独中间密钥群和第二单独中间密钥群在各个接收装置13a-13n中不同。
(v)在第二选择部1307a中，从单独中间密钥存储部1305a取得的第一单独中间密钥群和第二单独中间密钥群在各个接收装置13a-13n中不同。
(vi)在第一共有密钥取得部1308a中，取得共有密钥SK时所用的第一单独中间密钥群在各个接收装置13a-13n中不同。
(vii)在第二共有密钥取得部1309a中，取得共有密钥SK时所用的第二单独中间密钥群在各个接收装置13a-13n中不同。
<实施方式1的动作验证>
下面说明在本实施方式1中，尽管向各个接收装置13a-13n分配取不同值的第一单独中间密钥群MKIGa-MKIGn和第二单独中间密钥群MKIIGa-MKIIGn，但所有接收装置13a-13n中都导出相同的共有密钥SK的理由。
首先，说明使用第一共同信息ECMI和第一单独中间密钥群MKIGa-MKIGn的情况。第一单独中间密钥群MKIGa-MKIGn由分别满足事先提供的4个第一单独中间密钥生成式的第一单独中间密钥mkI1、mkI2、mkI3、mkI4构成。另外，以满足4个时变变量生成式的方式生成时变变量群PRG。由此，接收装置共同中间密钥生成式可如下变形。
SMK＝(r1+mkI1)*(r2+mkI2)+(r3+mkI3)*(r4+mkI4)＝{s*(z+x)+v*m}*{t*(w+y)+u*n}+{u*(z-x)+t*m}*{v*(w-y)+s*n}＝{s*(z+x)*t*(w+y)+u*(z-x)*v*(w-y)}+{u*n*s*(z+x)+v*m*t*(w+y)+s*n*u*(z-x)+t*m*v*(w-y)}+u*v*m*n+s*t*m*n这里，通过使用“x*y＝c”这样的条件，变为..＝2*s*t*(z*w+c*n*m)+2*(u*s*n*z+t*v*m*w)，其仅由全部接收装置13a-13n共同的参数构成(即不包含单独变量x和y)。因此，全部接收装置13a-13n导出共同中间密钥SMK共同的值。另外，这与服务器共同中间密钥生成式“SMK＝2*s*t*(z*w+c*n*m)+2*(u*s*n*z+t*v*m*w)”一致。
下面，说明第二共同信息ECMII和第二单独中间密钥群MKIIGa-MKIIGn的情况。第二单独中间密钥群MKIIGa-MKIIGn分别由事先提供的多个第二系统秘密密钥(实施例1的情况下为6个)之一的第二系统秘密密钥构成。另外，第二共有信息ECMII包含使用多个第二系统秘密密钥的每一个来加密共有密钥SK的共有密钥SK的密文。因此，保有多个第二系统秘密密钥之一的第二系统秘密密钥的全部接收装置13a-13n可导出共同的共有密钥SK。
<实施方式1的效果>
在本发明的实施方式1中，由接收装置固有的第一单独中间密钥群和第二单独中间密钥群生成全部接收装置共同的共有密钥SK。由此，即便万一伪造第一单独中间密钥群或第二单独中间密钥群中之任意一个的单独信息，也可使用另一方的单独中间密钥，特定泄漏源的接收装置，实现安全性的提高。
(实施方式2)说明作为本发明一个实施方式的密钥配送系统2。在实施方式1的密钥配送系统1中，当各输出装置13a-13n接收到共同信息ECM时，选择两个共有密钥取得方法之一的方法，取得共有密钥，但实施方式2中的内容配送系统2在接收到ECM时、利用两个共有密钥取得方法双方来取得共有密钥，这点与实施方式1大不相同。
下面，说明作为本发明的内容配送系统的一实施方式的内容配送系统2的细节。
密钥配送系统2如图34所示，由与实施方式1一样的通信线路10、与实施方式1不同的密钥发行中心21、与实施方式1不同的服务器22和多个与实施方式1不同的接收装置22a-22n构成。各个构成要素的作用分别与作为实施方式1的密钥配送系统1中的密钥发行中心11、服务器12和输出装置13a-13n相同。
下面，说明作为本发明密钥配送系统一实施方式的密钥配送系统2的细节。
详细说明这些构成要素。首先，用附图来说明密钥发行中心21、服务器22和接收装置23a-23n的构成与动作。
<密钥发行中心21的构成>
密钥发行中心21如图35所示，由第四控制部211、第三单独信息生成部212、接收装置对应信息存储部113、系统秘密变量群集合发送部215、单独信息群配送部216构成。另外，就接收装置对应信息存储部113而言，与实施方式1中的密钥配送系统1内的接收装置对应信息存储部113一样，所以省略说明。
(1)第一控制部211第一控制部211在满足事先提供的单独信息更新条件的情况下、或密钥发行中心23开始动作的情况下，将第三单独信息生成请求REQEMMIII输出到第三单独信息生成部212。例如，在单独信息更新条件是“每指定的某个期间(例每1日、每1年)”等的情况下，第一控制部211通过具备计数器等来实现，在单独信息更新条件是“从外部接收某个信号的情况”等的情况下，第一控制部211通过具备接收外部信号的接收部等来实现。
(2)第三单独信息生成部212第三单独信息生成部212如图36所示，由第三系统秘密变量群生成部2121、和第一中间密钥群生成部2122构成。
(2-1)第三系统秘密变量群生成部2121第三系统秘密变量群生成部2121在从第一控制部211接收到第三单独信息生成请求REQEMMIII的情况下，对6个第一系统秘密变量群识别符SPGIID1-SPGIID6分别生成第一系统秘密变量群{SPGI1、SPGI2、SPGI3、SPGI4、SPGI5、SPGI6}。另外，第一系统秘密变量群SPGIi(SPGI1-SPGI6)各自的构成与实施方式1的密钥配送系统1一样，如图5所示，由5个第一系统秘密变量(s_i、t_i、u_i、v_i、c_ii为1-6)构成。另外，事先满足第一系统秘密变量生成式“s_i*t_i＝u_i*v_i mod Ni为1-6”地生成各个第一系统秘密变量SPGI1-SPGI6。例如，5个第一系统秘密变量及模量N例如是128比特的自然数。另外，这里的模量N的值为与作为共同值事先提供给后述的第三共同信息生成部225、第三共有密钥生成部2308a的模量N相同的值，例如为2^{128}等。这里，“^”是幂运算，例如2^{4}表示16，以后在相同含义下使用。第一系统秘密变量群识别符SPGID1-SPGIID6是对应于各个第一系统秘密变量群SPGI1-SPGI6的识别符，例如是各不相同的自然数。例如，6个第一系统秘密变量群识别符SPGIID1-SPGIID6既可以是自然数1-6，也可以是随机数。生成随机数的方法在非专利文献3中详细描述。另外，如图37所示，生成由6组第一系统秘密变量群识别符和第一系统秘密变量群的组{SPGIID1、SPGI1}{SPGIID2、SPGI2}...{SPGIID6、SPGI6}构成的第三系统秘密变量群SPGIII，输出到第三系统秘密变量群集合发送部215和第一中间密钥群生成部2212。
(2-2)第一中间密钥群生成部2122第一中间密钥群生成部2122在从第三系统秘密变量群生成部2121接收到第三系统秘密变量群SPGIII的情况下，访问接收装置对应信息存储部113，取得接收装置识别符AIDa-AIDn。另外，首先对接收装置识别符AIDa，从包含于第三系统秘密变量群SPGIII中的6个第一系统秘密密钥群SPGI1-SPGI6中，选择一个第一系统秘密密钥群。该一个第一系统秘密密钥群的选择方法例如有随机地选择的方法等，通过使用随机数来实现。这里，作为实例，将对接收装置识别符AIDa选择的密钥设为第一秘密变量SPGIi(SPGIi是SPGI1-SPGI6之一)，第一秘密变量SPGIi由6个第一系统秘密变量s_i、t_i、u_i、v_i、和c_i构成。另外，根据该6个第一系统秘密变量s_i、t_i、u_i、v_i、和c_i，生成满足事先提供的单独变量生成式“x*y＝c_i mod N”的两个单独变量x、y。这里，作为生成两个单独变量x、y的方法，例如有使用随机数来随机生成的方法等。另外，单独变量x、y例如是128比特的自然数，另外，“*”是乘法运算，例如2*5表示10，以后在相同含义下使用。作为该单独变量x、y的求法，例如有如下方法等，即作为随机的整数值生成单独变量x，将该单独变量x代入单独变量生成式“x*y＝c_i mod N”中，由此求出其余的单独变量y，若选择一个随机的单独变量x，则必然存在单独变量y。之后，使用该单独变量x和y，根据事先提供的4个第一单独中间密钥生成式“mkI1＝s_i*xmod N”、“mkI2＝t_i*y mod N”、“mkI3＝-u_i*x mod N”、“mkI4＝-v_i*y mod N”，生成4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4。之后，生成由该4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4构成的、图30所示的第一单独中间密钥群MKIGa。之后，根据该单独密钥IKa，执行第一单独中间密钥群MKIGa的加密，将其密文作为加密第一单独中间密钥群ENCMKIGa＝Enc(IKa，MKIGa)，对应于接收装置识别符AIDa和第一秘密变量SPGIi所针对的第一系统秘密变量群识别符SPGIIDi(SPGIIDi是SPGIID1-SPGIID6之一)。另外，对其它接收装置识别符AIDb-AIDn也一样，设为加密第一单独中间密钥群ENCMKIGb、...、ENCMKIGn，对应于各自的接收装置识别符AIDb-AIDn和第一系统秘密变量群识别符SPGIIDi。之后，制作图38所示的、由接收装置识别符AIDa-AIDn、加密第一单独中间密钥群ENCMKIGa-ENCMKIGn和第一系统秘密变量群识别符构成的第三单独信息EMMIII，将该第三单独信息EMMIII输出到单独信息群配送部216。这里，加密第一单独中间密钥群所使用的加密算法是例如非专利文献2所述的DES加密方式等，使用与后述的接收装置23a-23n的第三单独中间密钥群取得部1303a对加密第一单独中间密钥群进行解密时所用的解密算法相同的方式。
(3)系统秘密变量群集合发送部215系统秘密变量群集合发送部215在从第三单独信息生成部212的第三系统秘密变量群选择部2121接收到第三系统秘密变量群SPGIII的情况下，将该第三系统秘密变量群集合SPGIII发送到服务器22。
(4)单独信息群配送部216单独信息群配送部216在从第三单独信息生成部212的第一中间密钥群生成部2122接收到第三单独信息EMMIII的情况下，将该第三单独信息EMMIII配送到接收装置23a-23n。
<密钥发行中心21的动作>
以上说明了密钥发行中心21的构成，这里说明密钥发行中心21的动作。这里，用图39所示的流程图来说明在满足事先提供的单独信息更新条件的情况下，或在密钥发行中心21开始动作的情况等下，将分配、接收共有密钥所需的密钥信息配送到服务器22和多个接收装置23a-23n时的动作。另外，用图40所示的流程图来说明第三单独信息生成部212生成第三系统秘密变量群SPGIII和第三单独信息EMMIII时的动作细节。
《密钥发行中心21在密钥信息配送时的动作》第一控制部211将第三单独信息生成请求REQEMMIII输出到第三单独信息生成部212。(S2101)第一控制部211按照图40所示的流程图(下面说明细节)，生成第三系统秘密变量群SPGIII和第三单独信息EMMIII，将第三系统秘密变量群SPGIII输出到第三系统秘密变量群集合发送部215，将第三单独信息EMMIII输出到第三单独信息配送部216。(S2102)接收到第三系统秘密变量群SPGIII的第三系统秘密变量群集合发送部215将该第三系统秘密变量群SPGIII发送给服务器22。(S2103)接收到第三单独信息EMMIII的第三单独信息配送部216将该第三单独信息EMMIII配送到接收装置23a-23n，结束。(S2104)《生成第三系统秘密变量群SPGIIIS和第三单独信息EMMIII时的动作(步骤S2102的详细说明)》接收到第三单独信息生成请求REQEMMIII的第三系统秘密变量群生成部2121生成分别由5个第一系统秘密变量(s_i、t_i、u_i、v_i、c_ii为1-6)构成的第一系统秘密变量群{SPGI1、SPGI2、SPGI3、SPGI4、SPGI5、SPGI6}，并与第一系统秘密变量群识别符SPGID1-SPGIID6的每一个对应起来。(S21021)第三系统秘密变量群生成部2121生成由6组第一系统秘密变量群识别符和第一系统秘密变量群的组{SPGIID1、SPGI1}{SPGIID2、SPGI2}...{SPGIID6、SPGI6}构成的第三系统秘密变量群SPGIII，输出到第三系统秘密变量群集合发送部215和第一中间密钥群生成部2212。(S21022)接收到第三系统秘密变量群SPGIII的第一中间密钥群生成部2122访问接收装置对应信息存储部113，取得接收装置识别符AIDa-AIDn。(S21023)接收到第三系统秘密变量群SPGIII的第一中间密钥群生成部2122从包含于第三系统秘密变量群SPGIII中的6个第一系统秘密密钥群SPGI1-SPGI6中，选择一个第一系统秘密密钥群SPGIi(i为1-6)，抽取5个第一系统秘密变量s_i、t_i、u_i、v_i、和c_i。(S21024)第一中间密钥群生成部2122根据5个第一系统秘密变量s_i、t_i、u_i、v_i、和c_i，生成满足事先提供的单独变量生成式“x*y＝c_i modN”的两个单独变量x、y。(S21025)第一中间密钥群生成部2122使用该单独变量x和y，根据事先提供的4个第一单独中间密钥生成式“mkI1＝s_i*x mod N”、“mkI2＝t_i*y mod N”、“mkI3＝-u_i*x mod N”、“mkI4＝-v_i*y modN”，生成4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4。之后，生成由该4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4构成的、图30所示的第一单独中间密钥群MKIGa。(S21026)第一中间密钥群生成部2122根据单独密钥，执行第一单独中间密钥群的加密，将其密文作为加密第一单独中间密钥群，分配给还未分配加密第一单独中间密钥群的接收装置识别符。(S21027)第一中间密钥群生成部2122若对全部接收装置识别符AIDa-AIDn分配加密第一单独中间密钥群，则前进到步骤S21029。并且，若未对全部接收装置识别符AIDa-AIDn分配加密第一单独中间密钥群，则返回到步骤S21024。(S21028)第一中间密钥群生成部2122制作由接收装置识别符AIDa-AIDn、加密第一单独中间密钥群ENCMKIGa-ENCMKIGn和第一系统秘密变量群识别符构成的第三单独信息EMMIII，将该第三单独信息EMMIII输出到单独信息群配送部216。结束。(S21029)以上是作为密钥配送系统2的构成要素的密钥发行中心21的构成与动作。下面，说明服务器22的构成与动作。
<服务器22的构成>
服务器22如图41所示，由系统秘密变量群集合接收部221、系统秘密变量群存储部222、共有密钥生成部123、第三共同信息生成部225、共同信息配送部227构成。另外，共有密钥生成部123与实施方式1的密钥配送系统1中的共有密钥生成部123相同，所以省略说明。
(1)系统秘密变量群集合接收部221系统秘密变量群集合接收部221在从密钥发行中心21接收到第三系统秘密变量群集合SPGIIIS的情况下，将接收到的第三系统秘密变量群集合SPGIIIS存储在图42所示的系统秘密变量群存储部222中，向共有密钥生成部123输出共有密钥生成请求REQSK。
(2)系统秘密变量群存储部222系统秘密变量群存储部222如图42所示，存储第三系统秘密变量群集合SPGIIIS。
(3)第三共同信息生成部225第三共同信息生成部225在从共同信息生成部选择部124接收到共同密钥SK的情况下，首先访问系统秘密变量群存储部222，取得第三系统秘密变量群SPGIII，并从中抽取6组第一系统秘密变量群识别符与第一系统秘密变量群。之后，对第一组第一系统秘密变量群识别符SPGIID1与第一系统秘密变量群SPGI1，抽取6个第一系统秘密变量s_1、t_1、u_1、v_1、c_1。之后，生成4个随机数z、w、m、n。这里，作为生成随机数z、w、m、n的方法，例如有使用随机数来随机生成的方法等。另外，随机数z、w、m、n例如分别是128比特的自然数。之后，根据事先提供的4个时变变量生成式“r1＝s_1*z+v_1*mmod N”、“r2＝t_1*w+u_1*n N”、“r3＝u_1*z+t_1*m mod N”、“r4＝v_1*w+s_1*n N”，生成4个时变变量r1、r2、r3、r4。之后，生成由已生成的4个时变变量r1、r2、r3、r4构成的图20所示的时变变量群PRG(将其设为时变变量PRG1)，将该时变变量群PRG对应于第一系统秘密变量识别符SPGIID1。之后，根据事先提供的服务器共同中间密钥生成式“SMK＝2*s_1*t_1*(z+w+c_1+n*m)+2*(u_1*s_1*n*z+t_1*v_1*m*w)mod N”，生成共同中间密钥SMK。最后，根据该共同中间密钥SMK，执行接收到的共有密钥SK的加密，生成加密共有密钥ENCSK(将其设为共有中间密钥ENCSK1)，将该加密共有密钥ENCSK对应于第一系统秘密变量识别符SPGIID1和时变变量群PRG。另外，对于其它组的第一系统秘密变量群识别符SPGIID2-SPGIID6与第一系统秘密变量群SPGI2-SPGI6，与SPGIID1一样，制作时变变量群PRG2-PRG6与加密共有密钥ENCSK2-ENCSK6。另外，制作由第一系统秘密变量群识别符SPGIID1-SPGIID6、时变变量群PRG1-PRG6与加密共有密钥ENCSK1-ENCSK6构成的、图43所示的第三共同信息ECMIII，输出到共同信息配送部。这里，共有密钥SK的加密中使用的加密算法例如是DES加密方式等，使用与后述的接收装置23a-23n的各第三共有密钥取得部2308a中对加密共有密钥ENCSK进行解密所用的解密算法相同的方式。
(4)共同信息配送部227共同信息配送部227在从第三共同信息生成部225接收到第三共同信息ECMIII的情况下，将该第三共同信息ECMIII配送给接收装置23a-23n。
<服务器22的动作>
以上说明了服务器22的构成，这里说明服务器22的动作。首先，用图44所示的流程图来说明从密钥发行中心21接收配送共有密钥SK时所用的第三系统秘密变量群集合SPGIIIS时的动作。之后，用图45所示的流程图来说明在从系统秘密变量群集合接收部221接收到共有密钥生成请求REQSK的情况下，或在满足事先提供的共有密钥更新条件的情况下，服务器22向接收装置23a-23n配送新的共有密钥SK时的动作。
《从密钥发行中心21接收到第三系统秘密变量群集合SPGIIIS时的动作》系统秘密变量群集合接收部221将接收到的第三系统秘密变量群集合SPGIIIS存储在系统秘密变量群存储部222中，结束。(S2202)《服务器22向接收装置23a-23n配送新的共有密钥SK时的动作》共有密钥生成部123生成共有密钥SK，并输出到第三共同信息生成部225。(S2251)第三共同信息生成部225访问系统秘密变量群存储部222，取得第三系统秘密变量群SPGIII，并从中抽取6组第一系统秘密变量识别符与第一系统秘密变量群。(S2252)第三共同信息生成部225对还未生成时变变量群和加密共有密钥的一组第一系统秘密变量群识别符与第一系统秘密变量群，抽取6个第一系统秘密变量s_i、t_i、u_i、v_i、c_i，之后，生成4个随机数z、w、m、n。(S2253)第三共同信息生成部225根据事先提供的4个时变变量生成式“r1＝s_i*z+v_i*m mod N”、“r2＝t_i*w+u_i*n N”、“r3＝u_i*z+t_i*mmod N”、“r4＝v_i*w+s_i*n N”，生成4个时变变量r1、r2、r3、r4。(S2254)第三共同信息生成部225生成由已生成的4个时变变量r1、r2、r3、r4构成的时变变量群PRG。(S2255)第三共同信息生成部225根据事先提供的服务器共同中间密钥生成式“SMK＝2*s_i*t_i*(z+w+c_i+n*m)+2*(u_i*s_i*n*z+t_i*v_i*m*w)mod N”，生成共同中间密钥SMK。(S2256)第三共同信息生成部225根据共同中间密钥SMK，执行接收到的共有密钥SK的加密，生成加密共有密钥ENCSK，将该加密共有密钥ENCSK对应于第一系统秘密变量识别符SPGIID1和时变变量群PRG。(S2257)若第三共同信息生成部225对全部组的第一系统秘密变量群识别符SPGIID1-SPGIID6生成时变变量群PRG1-PRG6与加密共有密钥ENCSK1-ENCSK6，则前进到步骤S2259。若未对全部组的第一系统秘密变量群识别符SPGIID1-SPGIID6生成时变变量群PRG1-PRG6与加密共有密钥ENCSK1-ENCSK6，则返回到步骤S2252。(S2258)第三共同信息生成部225制作由第一系统秘密变量识别符SPGIID1-SPGIID6、时变变量群PRG1-PRG6与加密共有密钥ENCSK1-ENCSK6构成的第三共同信息ECMIII，输出到共同信息配送部227。(S2259)共同信息配送部227将第三共同信息ECMIII配送给接收装置23a-23n。(S2260)以上是作为密钥配送系统2的构成要素的服务器22的构成与动作。接着，说明接收装置23a-23n的构成与动作。首先，说明接收装置23a的构成与动作，之后，描述接收装置23a与其它接收装置23b-23n的区别点。
<接收装置23a的构成>
接收装置23a如图46所示，由单独信息接收部2301、第三单独中间密钥群取得部2302a、单独密钥存储部2304a、单独中间密钥存储部2305a、共同信息接收部2306a、第三共有密钥取得部2308a、输出部1310构成。这里，第三单独中间密钥群取得部2302a、单独密钥存储部2304a、单独中间密钥存储部2305a、共同信息接收部2306a、第三共有密钥取得部2308a是接收装置23a固有的构成要素，单独信息接收部2301、输出部1310是接收装置23a-23n共同的构成要素。
(1)单独信息接收部2301单独信息接收部2301在从服务器22接收第三单独信息群EMMIII的情况下，将接收到的第三单独信息EMMIII输出到第三单独中间密钥群取得部2302a。
(2)第三单独中间密钥群取得部2302a第三单独中间密钥群取得部2302a在从单独信息接收部2301接收到第三单独信息EMMIII的情况下，首先，从图47所示的单独密钥存储部2304a取得接收装置识别符AIDa、和单独密钥IKa。之后，从接收到的第三单独信息EMMIII中，取得对应于存储在单独密钥存储部2304a中的接收装置识别符AIDa的加密第一中间密钥群ENCMKIGa。之后，根据单独密钥IKa，执行加密第一中间密钥群ENCMKIGa的解密，取得第一中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDi。最后，将该第一中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDi存储在图48所示的单独中间密钥存储部2305a中。
(3)单独密钥存储部2304a单独密钥存储部2304a如图47所示，保持接收装置识别符AIDa和单独密钥IKa。
(4)单独中间密钥存储部2305a单独中间密钥存储部2305a如图48所示，保持第一单独中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDi。
(5)共同信息接收部2306a共同信息接收部2306a在从服务器22接收到第三共同信息ECMIII的情况下，访问单独中间密钥存储部2305a，取得第一单独中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDi。之后，从第三共同信息ECMIII中抽取与第一系统秘密变量群识别符SPGIIDi一致的时变变量群PRGi和加密共有密钥ENCSKi。之后，将第一单独中间密钥群MKIGa、时变变量群PRGi和加密共有密钥ENCSKi输出到第三共有密钥取得部2308a。
(6)第三共有密钥取得部2308a第三共有密钥取得部2308a在从共同信息接收部2306a接收到第一单独中间密钥群MKIGa、时变变量群PRGi和加密共有密钥ENCSKi的情况下，从该时变变量群PRGi中抽取时变变量r1、r2、r3、r4。之后，从第一单独中间密钥群MKIGa中抽取第一单独中间密钥mkI1、mkI2、mkI3、mkI4。然后，根据事先提供的接收装置共同中间密钥生成式“SMK＝(r1+mkI1)*(r1+mkI2)+(r1+mkI3)*(r1+mkI4)mod N”，生成共同中间密钥SMK。然后，根据生成的共同中间密钥SMK，对加密共有密钥ENCSKi进行解密，取得共有密钥SK。之后，将该共有密钥SK输出到输出部1310。
<接收装置23a的动作>
以上说明了接收装置23a的构成，这里说明接收装置23a的动作。首先，用图49所示的流程图来说明当接收到第三单独信息群EMMIII时，取得第一单独中间密钥群MKIGa时的动作。之后，用图50所示的流程图来说明当接收到第三共同信息ECMIII时，使用第一单独中间密钥群MKIGa来取得共有密钥SK时的动作。
《从密钥发行中心21接收到第三单独信息EMMIII时的动作》从密钥发行中心21接收到第三单独信息群EMMIII的单独信息接收部2301将第三单独信息EMMIII输出到第三单独中间密钥群取得部2302a。(S2301)接收到第三单独信息EMMIII的第三单独中间密钥群取得部2302a从单独密钥存储部2304a取得接收装置识别符AIDa、和单独密钥IKa。(S2302)第三单独中间密钥群取得部2302a从接收到的第三单独信息EMMIII中，取得对应于存储在单独密钥存储部2304中的接收装置识别符AIDa的加密第一中间密钥ENCMKIa和第一系统秘密变量群识别符SPGIIDa。(S2303)第三单独中间密钥群取得部2302a根据存储在单独密钥存储部2304中的单独密钥IKa，执行加密第一中间密钥ENCMKIGa的解密，取得第一中间密钥MKIa。(S2304)第三单独中间密钥群取得部2302a将第一单独中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDa存储在单独中间密钥存储部2305a中。结束。(S2304)《从服务器22接收到第三共同信息ECMIII时的动作》从服务器22接收到第三共同信息ECMIII的共同信息接收部2306a从单独中间密钥存储部2305a取得第一单独中间密钥群MKIGa和第一系统秘密变量群识别符SPGIIDa。(S2351)共同信息接收部2306a从第三共同信息ECMIII中，抽取对应于第一系统秘密变量群识别符SPGIIDa的与第一系统秘密变量群识别符SPGIIDa一致的时变变量群PRGi和加密共有密钥ENCSKi。(S2352)共同信息接收部2306a将第一单独中间密钥群MKIGa、时变变量群PRGi和加密共有密钥ENCSKi输出到第三共有密钥取得部2308a。(S2353)第三共有密钥取得部2308a从时变变量群PRGi中抽取时变变量r1、r2、r3、r4。(S2354)第三共有密钥取得部2308a从第一单独中间密钥群MKIGa中抽取第一单独中间密钥mkI1、mkI2、mkI3、mkI4。(S2355)第三共有密钥取得部2308a根据事先提供的接收装置共同中间密钥生成式“SMK＝(r1+mkI1)*(r1+mkI2)+(r1+mkI3)*(r1+mkI4)modN”，生成共同中间密钥SMK。(S2356)第三共有密钥取得部2308a根据生成的共同中间密钥SMK，对加密共有密钥ENCSKi进行解密，取得共有密钥SK。(S2357)第三共有密钥取得部2308a将该共有密钥SK输出到输出部1310。(S2358)输出部1310在接收到共有密钥SK的情况下，将接收到的共有密钥SK输出到外部。(S2359)以上是作为密钥配送系统2的构成要素的接收装置23a的构成与动作。另外，接收装置23a与其它接收装置23b-23n的区别点如下。
(i)在第三单独中间密钥群取得部2302a中，为了取得第三单独中间密钥群，从单独密钥存储部2304a得到的接收装置识别符和单独密钥在各个接收装置23a-23n中不同。
(ii)在单独密钥存储部2304a中，存储着的接收装置识别符(AIDa-AIDn)和单独密钥(IKa-IKn)在各个接收装置23a-23n中不同。
(iii)在单独中间密钥存储部2305a中，存储着的第一单独中间密钥群和第一系统秘密变量群识别符在各个接收装置23a-23n中不同。
(iv)在共同信息接收部2306a中，从单独中间密钥存储部2305a取得的第一单独中间密钥群和第一系统秘密变量群识别符在各个接收装置23a-23n中不同。
(v)在第三共有密钥取得部2308a中，取得共有密钥SK时所用的第一单独中间密钥群在各个接收装置13a-13n中不同。
<实施方式2的动作验证>
在本实施方式2中，尽管向各个接收装置23a-23n分配取不同值的第一单独中间密钥群MKIGa-MKIGn，但所有接收装置23a-23n也都导出相同共有密钥SK，其理由与实施方式1的理由相同。
<实施方式2的效果>
在本发明的实施方式2中，由接收装置固有的第三单独中间密钥生成全部接收装置共同的共有密钥SK。由此，即便对埋入第三单独中间密钥的非法接收装置，也能特定泄漏源的接收装置。
<变形例>
上述说明的实施方式是本发明的实施一例，本发明不限于该实施方式，在不脱离其精神的范围下，可以主要方式来实施。下面的情况也包含于本发明内。
(1)通信线路10也可以是地面波或卫星等广播网。
(2)在实施方式1中，如图34所示，密钥发行中心11也可将系统秘密变量群集合SPGS记录在移动媒体15内，将该移动媒体15分配给服务器12，接受了移动媒体15的服务器12通过读取记录在移动媒体15内的系统秘密变量群集合SPGS，取得系统秘密变量群集合SPGS。这里，移动媒体15例如是软盘或CD-ROM或DVD-RAM等移动记录媒体。由此，密钥发行中心11与服务器12不必经通信线路来进行连接。另外，实施方式2也可同样实现。
(3)在实施方式1中，密钥发行中心11也可再多余生成一个第一单独中间密钥群，除系统秘密变量群SPG外，将该第一单独中间密钥群分配给服务器12，服务器12的系统秘密变量群存储部122还存储第一单独中间密钥群，如图35所示，服务器12的时变变量群生成部1251向共同中间密钥取得部1252输出时变变量群PRG，来代替随机数z、w、m、n，服务器12的共同中间密钥取得部1252在从时变变量群生成部1251接收到时变变量群PRG的情况下，首先，访问系统秘密变量群存储部122，取得第一单独中间密钥群，从中取得第一单独中间密钥mkI1、mkI2、mkI3、mkI4，另外，从接收到的时变变量群PRG中，抽取时变变量r1、r2、r3、r4，之后，根据事先提供的接收装置共同中间密钥生成式“SMK＝(r1+mkI1)*(r1+mkI2)+(r1+mkI3)*(r1+mkI4)mod N”，生成共同中间密钥SMK。由此，在服务器12的第一单独中间密钥群已泄漏的情况下，也可从服务器12对密钥泄漏已泄漏的情况进行追踪。另外，实施方式2也可同样实现。
(4)系统秘密变量生成式、单独变量生成式、第一单独中间密钥生成式、时变变量生成式、服务器共同中间密钥生成式与接收装置共同中间密钥生成式，不限于实施方式1和实施方式2中所记载的式子。只要在接收装置共同中间密钥生成式中代入单独变量生成式、第一单独中间密钥生成式和时变变量生成式后的式子，与第一共同中间密钥一致，另外，第一单独中间密钥生成式包含单独变量x、y，并且，时变变量生成式、服务器共同中间密钥生成式与接收装置共同中间密钥生成式包含单独变量x、y即可。
(5)尽管是使用一个系统秘密变量生成式来生成系统秘密变量群SPG，但也可使用两种以上的系统秘密变量生成式来生成系统秘密变量群SPG，也可不使用系统秘密变量生成式来生成系统秘密变量群SPG。例如，系统秘密变量群SPG也可以是随机数。
(6)尽管是使用一个单独变量生成式来生成单独变量，但也可使用两种以上的单独变量生成式来生成单独变量，也可不使用单独变量生成式来生成单独变量。例如，单独变量也可以是随机数。
(7)尽管是使用4个第一单独中间密钥生成式来生成中间密钥，但也可使用5种以上的第一单独中间密钥生成式来生成第一单独中间密钥，也可使用3种以下的第一单独中间密钥生成式来生成第一单独中间密钥。
(8)尽管是使用4个时变变量生成式来生成时变变量群PRG，但也可使用5种以上的时变变量生成式来生成时变变量群PRG，也可使用3种以下的时变变量生成式来生成时变变量群PRG，并且，也可不使用时变变量生成式来生成时变变量PRG。例如，时变变量群PRG也可以是随机数。
(9)尽管是使用一个服务器共同中间密钥生成式来计算共同中间密钥SMK，但也可使用两种以上的服务器共同中间密钥生成式来计算共同中间密钥SMK。
(10)尽管是使用一个接收装置共同中间密钥生成式来计算共同中间密钥SMK，但也可使用两种以上的接收装置共同中间密钥生成式来计算共同中间密钥SMK。
(11)接收装置共同中间密钥生成式，也可是对全部接收装置13a-13n或接收装置23a-23n来说，不使用共同的接收装置共同中间密钥生成式。
(12)在实施方式1中，各第一单独中间密钥群MKIGa-MKIGn由4个第一单独中间密钥mkI1、mkI2、mkI3、mkI4构成，但也可由5个以上的第一单独中间密钥构成，或由3个以下的第一单独中间密钥构成。
(13)时变变量群PRG由4个时变变量r1、r2、r3、r4构成，但也可由5个以上的时变变量构成，或由3个以下的时变变量构成。
(14)也可向任意多个接收装置分配相同的单独密钥或第一单独中间密钥群或第二单独中间密钥群。
(15)在实施方式1中，第二系统秘密密钥生成部1141生成6个第二系统秘密密钥k1、k2、k3、k4、k5、k6，但也可生成7个以上的第二系统秘密密钥，或生成5个以下的第二系统秘密密钥。例如，第二系统秘密密钥生成部1141也可生成10个第二系统秘密密钥k1、k2、k3、k4、k5、k6、k7、k8、k9、k10。此时，包含于第二系统秘密变量群SPGII中的第二系统秘密密钥数量变得不同。例如，在第二系统秘密密钥生成部1141生成10个第二系统秘密密钥k1、k2、k3、k4、k5、k6、k7、k8、k9、k10的情况下，第二系统秘密变量群SPGII包含10个第二系统秘密密钥k1、k2、k3、k4、k5、k6、k7、k8、k9、k10。
(16)在实施方式1和实施方式2中，接收装置向外部输出共有密钥SK，但也可是服务器从外部输入内容，根据共有密钥SK，加密内容，将该加密内容也配送到接收装置，接收装置接收加密内容，根据共有密钥SK，执行解密，取得内容，将该内容输出到外部。
(17)在实施方式1的服务器12中，选择第一共同信息生成部125或第二共同信息生成部126之一，仅生成第一共同信息ECMI或第二共同信息ECMII之一，但也可以是服务器12每次由第一共同信息生成部125生成第一共同信息ECMI，由第二共同信息生成部126生成第二共同信息ECMII，并在生成之后，选择第一共同信息ECMI或第二共同信息ECMII之一，配送到接收装置13a-13n。
(18)在实施方式1中，当密钥发行中心11配送单独信息群EMMG时，也可同时配送到接收装置13a-13n，或单独配送到各接收装置13a-13n。另外，服务器12配送共同信息ECM时也一样，也可同时配送到接收装置13a-13n，或单独配送到各接收装置13a-13n。
(19)在实施方式2中，第三系统秘密密钥群集合SPGIIIS包含6个第一系统秘密密钥群，但也可包含7个以上，或包含5个以下。
(20)在实施方式2中，当密钥发行中心21配送第三单独信息群EMMIII时，也可同时配送到接收装置23a-23n，或单独配送到各接收装置23a-23n。另外，服务器22配送第三共同信息ECMIII时也一样，也可同时配送到接收装置23a-23n，或单独配送到各接收装置23a-23n。
(211)在实施方式1中，服务器12向接收装置13a-13n发送共同信息ECM，但也可以是服务器12与接收装置13a-13n事先保持多个共同的共同信息ECM与共同信息识别符的组，服务器12向接收装置13a-13n配送任一共同信息识别符，接收装置13a-13n根据接收到的共同信息识别符，取得对应的共同信息ECM。
(22)在实施方式1中，密钥发行中心11也可保持接收装置识别符、与分配给对应于该接收装置识别符的第一单独中间密钥群和第二单独中间密钥群的对应信息，根据某个第一单独中间密钥群或某个第二单独中间密钥群，特定分配的接收装置。由此，在发现了某个非法接收装置时，也可根据埋入该非法接收装置中的第一单独中间密钥群或某个第二单独中间密钥群，特定已泄漏的接收装置。另外，对应信息也可在密钥发行中心11以外保持，对应信息也可仅包含第一单独中间密钥群或第二单独中间密钥群之一与接收装置识别符的组。另外，在实施方式2中，密钥发行中心21或密钥发行中心21以外的部件保持接收装置识别符、与分配给对应于该接收装置识别符的接收装置的第一单独中间密钥群和第一系统秘密变量群的对应信息同样可实现。并且，对应信息也可仅包含第一单独中间密钥群、或第一系统秘密变量群识别符之一与接收装置识别符的组。
(23)在实施方式1中，密钥发行中心11中有第一单独信息生成部和第二单独信息生成部，但也可以有第三单独信息生成部或第四单独信息生成部、第四以上的单独信息生成部，接收装置13a-13n中有第一单独中间密钥群取得部和第二单独中间密钥群取得部，但也可以有第三单独中间密钥群取得部或第四单独中间密钥群取得部、第四以上的单独中间密钥群取得部。只要密钥发行中心11与接收装置13a-13n中存在相同数量的单独信息生成部与单独中间密钥群取得部，提供相同种类的单独信息识别符即可。
(24)在实施方式1中，服务器12中有第一共同信息生成部和第二共同信息生成部，但也可以有第三共同信息生成部或第四共同信息生成部、第四以上的共同信息生成部，接收装置13a-13n中有第一共有密钥取得部和第二共有密钥取得部，但也可以有第三共有密钥取得部或第四共有密钥取得部、第四以上的共有密钥取得部。只要服务器12与接收装置13a-13n中存在相同数量的共同信息生成部与共有密钥取得部，提供相同种类的共同信息识别符即可。
(25)在实施方式1中，期间密钥PK_1-PK_k在全部接收装置13a-13n中为共同的密钥，但也可是对每个接收装置单独的密钥。
(26)本发明也可是上述所示的方法。另外，也可是由计算机来实现这些方法的计算机程序，或是由所述计算机程序构成的数字信号。另外，本发明也可记录在可由计算机读取所述计算机程序或所述数字信号的记录媒体、例如可移动盘、硬盘、CD、MO、DVD、SD存储卡、半导体存储器等中。另外，也可以是记录在这些记录媒体中的所述计算机程序或所述数字信号。另外，本发明也可作为经由以电气通信线路、无线或有线通信线路、因特网为代表的网络等来传输所述计算机程序或所述数字信号。另外，本发明也可以是具备微处理器与存储器的计算机系统，所述存储器存储上述计算机程序，所述微处理器根据所述计算机程序来动作。另外，通过将所述程序或所述数字信号记录在所述记录媒体中并移送，或经由所述网络等移送所述程序或所述数字信号，可由独立的其它计算机系统来实施。
(27)也可分别组合上述实施方式及上述变形例。
产业上的可利用性本发明的密钥配送系统具有如下效果，即，即便攻击者非法取得某个接收装置的单独密钥，使用该单独密钥制作非法接收装置，也可追踪该非法接收装置的克隆源，在希望使用因特网等通信线路、地面波广播或卫星广播等广播网来安全配送内容的情况下有用。
权利要求
1.一种密钥配送系统，配送共有密钥，其特征在于所述密钥配送系统由根据所述共有密钥生成共同信息并配送所述共同信息的服务器；以及根据所述共同信息和单独中间密钥群集合、取得所述共有密钥的多个接收装置构成，从至少包含不同的两种以上所述单独中间密钥群集合的多个所述单独中间密钥群集合中，向所述接收装置事先提供任意一个所述单独中间密钥群集合，其中所述单独中间密钥群集合包含多个由基于一个以上系统秘密变量群的一个以上单独中间密钥构成的单独中间密钥群，所述服务器与所述接收装置的每一个可经通信线路进行通信，所述服务器具备共有密钥存储部，存储所述共有密钥；系统秘密变量群存储部，存储由事先提供的一个以上所述系统秘密变量群构成的系统秘密变量群集合；多个共同信息生成部，根据所述共有密钥，生成所述共同信息；共同信息生成部选择部，从多个所述共同信息生成部中选择一个；和共同信息配送部，向多个所述接收装置同时或单独配送所述共同信息，所述多个共同信息生成部各自的共同信息生成方法不同，使用所述共同信息生成方法，根据所述系统秘密变量群集合和所述共有密钥，生成密钥更新数据，并生成包含对应于所述共同信息生成方法的共同信息识别符和所述密钥更新数据的所述共同信息，所述接收装置具备共同信息接收部，接收所述共同信息；单独中间密钥群存储部，存储由对应于多个共同信息生成方法的每一个的所述单独中间密钥群构成的所述单独中间密钥群集合；多个共有密钥取得部，对应于多个所述共同信息生成部；和共有密钥取得部选择部，从多个所述共有密钥取得部中选择一个，所述共有密钥取得部选择部根据包含于由所述共同信息接收部接收到的所述共同信息中的所述共同信息识别符，从所述多个共有密钥取得部中选择一个，所述共有密钥取得部根据对应于所述共同信息识别符的共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
2.根据权利要求1所述的密钥配送系统，其特征在于多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的服务器共同中间密钥生成式，向所述接收装置的每一个事先提供一个以上的接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上时变变量构成的时变变量群，根据所述第一系统秘密变量群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥；以及所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
3.根据权利要求1所述的密钥配送系统，其特征在于向所述服务器事先提供所述多个单独中间密钥群集合中、任意一个所述单独中间密钥群集合，所述服务器具备单独中间密钥群集合存储部，存储事先提供的所述单独中间密钥群集合，多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的接收装置共同中间密钥生成式，向所述接收装置的每一个事先提供所述接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一单独中间密钥群、所述时变变量群和所述接收装置共同中间密钥生成式，生成共同中间密钥；根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥；以及所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
4.根据权利要求1所述的密钥配送系统，其特征在于多个所述共同信息生成方法包含第二共同信息生成方法，多个所述共有密钥取得方法包含与所述第二共同信息生成方法成对的第二共有密钥取得方法，所述系统秘密变量群集合包含由多个第二系统秘密密钥构成的第二系统秘密密钥群，所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的一个以上所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥；生成结合了所述多个加密共有密钥的加密共有密钥群；其中所述密钥更新数据包含所述加密共有密钥群，所述第二共有密钥取得方法是如下方法，即从包含于所述密钥更新数据中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，对选定的所述加密共有密钥进行解密，由此取得所述共有密钥。
5.根据权利要求4所述的密钥配送系统，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的多个所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥，并生成结合了所述多个加密共有密钥的加密共有密钥群。
6.根据权利要求1所述的密钥配送系统，其特征在于所述密钥配送系统还具备密钥发行中心，经所述通信线路连接至所述接收装置的每一个，并配送单独信息群，所述密钥发行中心具备输出装置对应信息存储部，存储事先提供给所述接收装置的一个以上的单独密钥；多个单独信息生成部，生成所述单独信息；和单独信息群配送部，向多个所述接收装置同时或单独配送所述单独信息群，该单独信息群包含两种以上由所述单独信息和对应于所述单独信息生成部的单独信息识别符构成的组，所述单独信息生成部各自的单独信息生成方法不同，根据所述单独信息生成方法，输出所述单独信息识别符、所述系统秘密变量群和所述单独信息，所述接收装置具备单独密钥存储部，存储事先提供的所述单独密钥；单独信息群接收部，接收所述单独信息群；和多个单独中间密钥群取得部，对应于多个所述单独信息生成部，所述单独信息接收部根据包含于接收到的所述单独信息群中的所述单独信息识别符，向多个所述单独中间密钥取得部的每一个，输出对应于所述单独信息识别符的所述单独信息，所述单独中间密钥取得部使用对应于所述单独信息识别符的单独中间密钥取得方法，根据所述单独信息和所述单独密钥，取得所述单独中间密钥群。
7.根据权利要求6所述的密钥配送系统，其特征在于所述多个单独信息生成部还生成所述系统秘密变量群，所述密钥发行中心具备系统秘密变量群集合发送部，向所述服务器分配所述系统秘密变量群集合，该系统秘密变量群集合包含两种以上由所述系统秘密变量群和对应于所述单独信息生成部的所述单独信息识别符构成的组，所述服务器具备系统秘密变量群集合接收部，将分配的所述系统秘密变量群集合存储到所述系统秘密变量群存储部中。
8.根据权利要求6所述的密钥配送系统，其特征在于所述密钥发行中心经所述通信线路连接至所述服务器，所述系统秘密变量群集合发送部经所述通信线路向所述服务器配送所述系统秘密变量群集合，所述系统秘密变量群集合接收部经所述通信线路从所述密钥发行中心接收所述系统秘密变量群集合。
9.根据权利要求6所述的密钥配送系统，其特征在于所述系统秘密变量群集合发送部向可移动媒体记录所述系统秘密变量群集合，所述系统秘密变量群集合接收部读取记录在所述可移动媒体中的所述系统秘密变量群集合。
10.根据权利要求7所述的密钥配送系统，其特征在于所述密钥发行中心与所述服务器事先共有服务器密钥，所述系统秘密变量群集合发送部根据所述服务器密钥，加密所述系统秘密变量群集合，生成加密数据，分配给所述服务器，所述系统秘密变量群集合接收部根据所述服务器密钥，解密分配的所述加密数据，取得所述系统秘密变量群集合。
11.根据权利要求6所述的密钥配送系统，其特征在于多个所述单独信息生成方法包含第一单独信息生成方法，多个所述单独中间密钥取得方法包含与所述第一单独信息生成方法成对的第一单独中间密钥群取得方法，所述密钥发行中心具备期间信息存储部，存储一种以上由事先提供的期间密钥、与所述期间密钥对应的所述第一系统秘密变量群、和与所述期间密钥对应的期间识别符构成的组，所述接收装置的所述单独密钥存储部的每一个，存储一种以上由通过根据所述期间密钥加密所述第一单独中间密钥群而生成的加密第一单独中间密钥群、和对应于所述期间密钥的所述期间识别符构成的组，所述第一单独信息生成方法是如下方法，即从所述期间信息存储部中，选择一组所述期间密钥和所述第一系统秘密变量群及所述期间识别符；根据各个所述单独密钥，加密所述期间密钥，生成多个加密期间密钥；以及所述单独信息群包含由结合了所述多个加密期间密钥的加密期间密钥群和所述期间识别符构成的第一单独信息，所述第一单独中间密钥群取得方法是如下方法，即根据所述单独密钥，解密包含于所述第一单独信息中的所述多个加密期间密钥的任意一个所述加密期间密钥，并取得所述期间密钥；从包含于所述单独密钥存储部中的一个以上所述加密第一单独中间密钥群中，选择一个对应于所述期间识别符的所述加密第一单独中间密钥群；以及根据所述期间密钥，解密所述加密第一单独中间密钥群，由此取得所述第一单独中间密钥群。
12.根据权利要求6所述的密钥配送系统，其特征在于多个所述单独信息生成方法包含第二单独信息生成方法，多个所述单独中间密钥取得方法包含与所述第二单独信息生成方法成对的第二单独中间密钥群取得方法，所述第二单独信息生成方法对各个所述单独密钥，选定多个所述第二系统秘密密钥的任意一个，根据各个所述单独密钥，加密选定的所述第二系统秘密密钥，生成多个加密第二系统秘密密钥，所述单独信息群包含第二单独信息，该第二单独信息包含结合了所述多个加密第二系统秘密密钥的加密第二系统秘密密钥群，所述第二单独中间密钥群取得方法是如下方法，即从包含于所述第二单独信息中的所述多个加密第二系统秘密密钥中，选定一个对应于所述单独密钥的所述加密第二系统秘密密钥，根据所述单独密钥，解密选定的所述加密第二系统秘密密钥，由此取得所述第二系统秘密密钥，将该所述第二系统秘密密钥作为所述第二单独中间密钥群。
13.根据权利要求2所述的密钥配送系统，其特征在于所述单独中间密钥生成式中至少包含加法运算和乘法运算。
14.根据权利要求2所述的密钥配送系统，其特征在于所述时变变量生成式中至少包含加法运算和乘法运算。
15.根据权利要求2所述的密钥配送系统，其特征在于所述服务器共同中间密钥生成式中至少包含加法运算和乘法运算。
16.根据权利要求2所述的密钥配送系统，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
17.根据权利要求4所述的密钥配送系统，其特征在于所述第二系统秘密密钥群由10个第二系统秘密密钥构成。
18.一种接收装置，用于密钥配送系统中，该密钥配送系统具备配送共有密钥的服务器、和接收所述共有密钥的多个接收装置，其特征在于所述接收装置具备共同信息接收部，从外部接收共同信息；单独中间密钥群存储部，存储由对应于多个共有密钥取得方法的每一个的单独中间密钥群构成的单独中间密钥群集合；多个共有密钥取得部，对应于多个所述共有密钥取得方法；和共有密钥取得部选择部，从多个所述共有密钥取得部中选择一个，所述共有密钥取得部选择部根据包含于由所述共同信息接收部接收到的所述共同信息中的共同信息识别符，选择一个所述共有密钥取得部，所述共有密钥取得部根据对应于所述共同信息识别符的所述共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
19.根据权利要求18所述的接收装置，其特征在于多个所述共有密钥取得方法包含第一共有密钥取得方法，所述单独中间密钥群集合包含由一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述接收装置的每一个，事先提供一个以上的接收装置共同中间密钥生成式，所述共同信息包含由时变变量群和加密共有密钥构成的第一共同信息，所述第一共有密钥取得方法是如下方法，即根据所述第一共同信息中包含的所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
20.根据权利要求18所述的接收装置，其特征在于多个所述共有密钥取得方法包含第二共有密钥取得方法，所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述共同信息包含由加密共有密钥群构成的第二共同信息，该加密共有密钥群包含通过根据所述多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥的每一个、加密所述共有密钥而生成的一个以上的加密共有密钥，所述第二共有密钥取得方法是如下方法，即从包含于所述共同第二共同信息中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
21.根据权利要求20所述的接收装置，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
22.根据权利要求18所述的接收装置，其特征在于所述密钥配送系统还具备密钥发行中心，经所述通信线路连接至所述接收装置的每一个以及服务器，并配送单独信息群，所述接收装置具备单独密钥存储部，存储事先提供的单独密钥；单独信息群接收部，从外部接收所述单独信息群；和多个单独中间密钥群取得部，对应于多个单独中间密钥取得方法，所述单独信息接收部根据包含于接收到的所述单独信息群中的单独信息识别符，向多个所述单独中间密钥取得部的每一个，输出与包含于所述单独信息群中的所述单独信息识别符相对应的所述单独信息，所述单独中间密钥取得部使用对应于所述单独信息识别符的所述单独中间密钥取得方法，根据所述单独信息和所述单独密钥，取得所述单独中间密钥群。
23.根据权利要求19所述的接收装置，其特征在于多个所述单独中间密钥取得方法包含第一单独中间密钥群取得方法，所述接收装置的所述单独密钥存储部的每一个，存储一种以上由通过根据期间密钥加密第一单独中间密钥群而生成的加密第一单独中间密钥群、和对应于所述期间密钥的期间识别符构成的组，所述单独信息群包含由加密期间密钥群和所述期间识别符构成的第一单独信息，其中该加密期间密钥群包含根据各个所述单独密钥加密所述期间密钥而生成的多个加密期间密钥，所述第一单独中间密钥群取得方法是如下方法，即根据所述单独密钥，解密包含于所述第一单独信息中的所述多个加密期间密钥的任意一个所述加密期间密钥，并取得所述期间密钥；从包含于所述单独密钥存储部中的一个以上所述加密第一单独中间密钥群中，选择一个对应于所述期间识别符的所述加密第一单独中间密钥群；以及根据所述期间密钥，解密所述加密第一单独中间密钥群，由此取得所述第一单独中间密钥群。
24.根据权利要求20所述的接收装置，其特征在于多个所述单独中间密钥取得方法包含第二单独中间密钥群取得方法，所述单独信息群包含含有加密第二系统秘密密钥群的第二单独信息，该加密第二系统秘密密钥群由通过根据各个所述单独密钥、加密所述第二系统秘密密钥的任意一个而生成的多个加密第二系统秘密密钥构成，所述第二单独中间密钥群取得方法是如下方法，即从包含于所述第二单独信息中的所述多个加密第二系统秘密密钥中，选定一个对应于所述单独密钥的所述加密第二系统秘密密钥，根据所述单独密钥，解密选定的所述加密第二系统秘密密钥，由此取得所述第二系统秘密密钥，将该所述第二系统秘密密钥作为所述第二单独中间密钥群。
25.根据权利要求19所述的接收装置，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
26.一种程序，使计算机执行接收共有密钥的处理，其中该计算机经通信线路与配送所述共有密钥的服务器连接，其特征在于使计算机执行如下步骤从外部接收共同信息的步骤；存储由对应于多个共有密钥取得方法的每一个的单独中间密钥群构成的单独中间密钥群集合的步骤；对应于多个所述共有密钥取得方法的多个共有密钥取得步骤；和根据包含于由所述共同信息接收部接收到的所述共同信息中的共同信息识别符，选择一个所述共有密钥取得部的步骤，所述共有密钥取得步骤根据对应于所述共同信息识别符的所述共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
27.根据权利要求26所述的程序，其特征在于多个所述共有密钥取得方法包含第一共有密钥取得方法，所述单独中间密钥群集合包含由一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述程序的每一个，事先提供一个以上的接收装置共同中间密钥生成式，所述共同信息包含第一共同信息，该第一共同信息由时变变量群、和通过根据共同中间密钥加密所述共有密钥而生成的加密共有密钥构成，所述第一共有密钥取得方法是如下方法，即根据所述第一共同信息中包含的时变变量群和所述第一单独中间密钥群以及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
28.根据权利要求26所述的程序，其特征在于多个所述共有密钥取得方法包含第二共有密钥取得方法，所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述共同信息包含含有加密共有密钥群的第二共同信息，该加密共有密钥群由通过根据所述多个第二系统秘密密钥的任意一个以上所述第二系统秘密密钥、加密所述共有密钥而生成的多个加密共有密钥构成，所述第二共有密钥取得方法是如下方法，即从包含于所述共同第二共同信息中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥，根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
29.根据权利要求28所述的程序，其特征在于所述单独中间密钥群集合包含由多个第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
30.根据权利要求27所述的程序，其特征在于所述接收装置共同中间密钥生成式中至少包含加法运算和乘法运算。
31.一种记录了权利要求26所述的程序的媒体。
32.一种密钥配送方法，用于配送共有密钥，其特征在于所述密钥配送方法由密钥配送步骤和多个密钥接收步骤构成，该密钥配送步骤根据所述共有密钥生成共同信息，并配送所述共同信息，该多个密钥接收步骤根据所述共同信息和单独中间密钥群集合，取得所述共有密钥，从至少包含不同的两种以上所述单独中间密钥群集合的多个所述单独中间密钥群集合中，所述密钥接收步骤，被事先提供任意一个所述单独中间密钥群集合，其中所述单独中间密钥群集合包含多个由基于一个以上系统秘密变量群的一个以上单独中间密钥构成的单独中间密钥群，所述密钥配送步骤包含存储所述共有密钥的步骤；存储由事先提供的一个以上系统秘密变量群构成的系统秘密变量群集合的步骤；多个共同信息生成步骤，根据所述共有密钥，生成所述共同信息；从多个所述共同信息生成步骤中选择一个的步骤；和向多个所述接收装置同时或单独配送所述共同信息的步骤，所述多个共同信息生成步骤各自的共同信息生成方法不同，使用所述共同信息生成方法，根据所述系统秘密变量群集合和所述共有密钥，生成密钥更新数据，并生成包含对应于所述共同信息生成方法的共同信息识别符和所述密钥更新数据的所述共同信息，所述密钥接收步骤包含接收所述共同信息的步骤；存储由对应于多个共同信息生成方法的每一个的所述单独中间密钥群构成的所述单独中间密钥群集合的步骤；多个共有密钥取得步骤，对应于多个所述共同信息生成部；和根据由所述共同信息接收部接收到的所述共同信息中包含的所述共同信息识别符，从多个所述共有密钥取得步骤中选择一个的步骤，所述共有密钥取得步骤根据对应于所述共同信息识别符的共有密钥取得方法和所述单独中间密钥群，使用所述共同信息，取得所述共有密钥。
33.根据权利要求32所述的密钥配送方法，其特征在于多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，所述密钥配送步骤，被事先提供一个以上的时变变量生成式和一个以上的服务器共同中间密钥生成式，所述密钥接收步骤的每一个，被事先提供一个以上的接收装置共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一系统秘密变量群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；以及根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥，所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述接收装置共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
34.根据权利要求33所述的密钥配送方法，其特征在于所述密钥配送步骤，被事先提供所述多个所述单独中间密钥群集合中、任意一个所述单独中间密钥群集合，所述密钥接收步骤包含存储事先提供的所述单独中间密钥群集合的步骤，多个所述共同信息生成方法包含第一共同信息生成方法，多个所述共有密钥取得方法包含与所述第一共同信息生成方法成对的第一共有密钥取得方法，所述系统秘密变量群集合包含由一个以上第一系统秘密变量构成的第一系统秘密变量群，所述单独中间密钥群集合包含由根据所述第一系统秘密变量群和一个以上第一单独中间密钥生成式生成的、一个以上第一单独中间密钥构成的第一单独中间密钥群，向所述服务器事先提供一个以上的时变变量生成式和一个以上的共同中间密钥生成式，所述密钥接收步骤的每一个，被事先提供所述共同中间密钥生成式，所述第一共同信息生成方法是如下方法，即生成由一个以上的随机数构成的随机数群，根据所述随机数群和所述第一系统秘密变量群及所述时变变量生成式，生成由一个以上的时变变量构成的时变变量群，根据所述第一单独中间密钥群、所述随机数群和所述服务器共同中间密钥生成式，生成共同中间密钥；以及根据所述共同中间密钥，加密所述共有密钥，生成加密共有密钥，所述密钥更新数据包含所述时变变量群和所述加密共有密钥，所述第一共有密钥取得方法是如下方法，即根据所述时变变量群和所述第一单独中间密钥群及所述共同中间密钥生成式，生成所述共同中间密钥；以及根据所述共同中间密钥，执行所述加密共有密钥的解密，取得所述共有密钥。
35.根据权利要求32所述的密钥配送方法，其特征在于多个所述共同信息生成方法包含第二共同信息生成方法，多个所述共有密钥取得方法包含与所述第二共同信息生成方法成对的第二共有密钥取得方法，所述系统秘密变量群集合包含由多个第二系统秘密密钥构成的第二系统秘密密钥群，所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个以上所述第二系统秘密密钥构成的第二单独中间密钥群，所述第二共同信息生成方法是如下方法，即根据包含于所述第二系统秘密密钥群中的一个以上所述第二系统秘密密钥的每一个，执行所述共有密钥的加密，生成多个加密共有密钥；以及生成结合了所述多个加密共有密钥的加密共有密钥群，所述密钥更新数据包含所述加密共有密钥群，所述第二共有密钥取得方法是如下方法，即从包含于所述密钥更新数据中的所述加密共有密钥群中，选定与包含于所述第二单独中间密钥群中的所述第二系统秘密密钥的任意一个相对应的一个所述加密共有密钥；以及根据所述第二系统秘密密钥，解密选定的所述加密共有密钥，由此取得所述共有密钥。
36.根据权利要求35所述的密钥配送方法，其特征在于所述单独中间密钥群集合包含由多个所述第二系统秘密密钥的任意一个所述第二系统秘密密钥构成的第二单独中间密钥群。
全文摘要
过去，不能特定非法的接收装置的克隆源。本发明的密钥配送系统(1)由通信线路(10)、密钥发行中心(11)、服务器(12)和多个接收装置(13a－13n)构成。密钥发行中心(11)向服务器(12)配送将共有密钥(SK)配送给接收装置(13a－13n)所需的信息，即系统秘密变量群集合(SPGS)，向多个接收装置(13a－13n)配送从服务器(12)接收共有密钥(SK)所需的单独信息群(EMMG)。服务器(12)生成共有密钥(SK)，根据该共有密钥(SK)和系统秘密变量群集合(SPGS)生成共同信息(ECM)，并将该共同信息(ECM)配送给多个接收装置(13a－13n)。接收装置(13a－13n)根据单独信息群(EMMG)和共同信息(ECM)，取得共有密钥(SK)，输出到外部。
文档编号H04L9/08GK1860722SQ200580001180
公开日2006年11月8日 申请日期2005年1月31日 优先权日2004年2月2日
发明者野仲真佐男, 布田裕一, 大森基司, 山田茂, 井上哲也, 熊崎洋儿, 黑岩涉, 大井伸一, 吉田治 申请人:松下电器产业株式会社