密钥更新方法、加密处理方法、密码系统以及终端装置的制作方法

专利名称：密钥更新方法、加密处理方法、密码系统以及终端装置的制作方法
技术领域：
本发明涉及密钥隔离型密码系统的密钥更新方法、加密处理方法、密钥隔离型密码系统以及在密钥隔离型密码系统中使用的终端装置。
背景技术：
随着信息技术的进步，目前对收发的信息进行加密处理的密码系统被广泛使用。
在这样的密码系统中，存在当用于加密处理的密码算法被破译后，无法保障被加密信息的安全性。
但在实际上，与其说是加密算法被破译，不如说成由于使用密码系统的用户的不注意，用于加密处理的密钥被泄漏给外部的问题。
因此，为了应对这样的密钥的泄漏，公知所谓的“密钥隔离型密码系统”(例如，Y.Dodis，J.Katz，S.Xu and M.Yung、“Key-Insulated Public-KeyCryptosystems”、Proc.of Eurocrypt 2002，Lecture Notes in Computer Scicnce Vol.2332、2002年、Springer-Verlag，p-65-82(以下参考文献1)、以及M.Bellareand A.Palacio，“Protecting against Key ExposureStrongly Key-InsulatedEurocrypt with Optimal Threshold”，Cyptology ePrint Archive 064，因特网<URL:http://eprint.iacr.org/2002>(以下参考文献2)。在密钥隔离型加密系统中，使用存储在与通信网络连接的终端装置中的用户解密钥，可以在规定的期间对密钥隔离型密码系统内的由其他用户加密的信息进行解密。
此外，在密钥隔离型密码系统中，使用存储在与终端装置连接的外部装置(例如IC卡)中的“机密信息”生成“密钥更新信息”。该终端装置的用户可以使用密钥更新信息对该终端装置中使用的用户的解密钥进行更新。
即，密钥隔离型密码系统最大的特征为即使在几个在某个期间使用的用户解密钥被泄漏给外部的情况下，只要被泄漏的解密钥的总数不超过一定的数量，该用户以外的人仍然无法得知在该泄漏的解密钥使用期以外的其他期间所使用的解密钥。即，对该泄漏的解密钥的使用期以外的其他期间的安全性没有任何影响。
这里，对密钥隔离型密码系统的具体的构成例进行简单的说明。例如将用户解密钥的更新间隔设为1天，假设(N-1)次的密钥更新，即假设N天的情况。
密钥隔离型密码系统内的用户(终端装置)使用一般的公钥密码(例如RSA密码、ElGamal密码)来生成N个公钥·解密钥对((pki，ski)1≤i≤N)，作为公钥公开pk＝(pki)0≤i≤N。
此外，该用户存储dk0＝sk0作为初始解密钥。而且，将解密钥sk＝(ski)1≤i≤N设为主钥hk*(机密信息)，并将主钥hk*封入外部装置中(例如IC卡等抗篡改区域)。
例如在第j次的密钥更新中，外部装置根据主钥hk*和第j次的密钥更新，生成密钥更新信息dj＝skj。所生成的密钥更新信息dj被发送给由安全的通信路径连接的终端装置。
该用户(终端装置)使用密钥更新信息dj生成新的解密钥dkj＝dj，并且消除到此为止的解密钥dkj-1以及dj。
但是在上述现有的密钥隔离型密码系统中存在如下的问题。即，密钥隔离型密码系统内的用户使用的外部装置基本只有一台，所以存在用户无法柔性地对解密钥进行更新的问题。
例如在外部装置在自己家中保管时，该用户无法在外出的期间对解密钥进行更新。
虽然也考虑了由该用户携带该外部装置，但由于丢失或被盗，引起威胁密钥隔离型密码系统的其他问题。此外，虽然还考虑了准备多台封入相同主钥hk*(机密信息)的外部装置，但此时也会由于某个外部装置的丢失或被盗而威胁密钥隔离型密码系统，所以与外部装置为l台的情况相比，被进行了加密的信息的安全性下降。

发明内容
因此，本发明是鉴于这样的状况而发明的，其目的在于提供可以不降低被加密的信息的安全性，而能更灵活地进行密钥更新的密钥更新方法、加密处理方法、密钥隔离型密码系统以及终端装置。
为了解决上述的问题，本发明具有如下的特征。首先，本发明的第一特征是一种具备执行加密处理的终端装置(终端装置20)和用于所述终端装置中存储的终端私钥(例如解密钥dkj)的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置的密钥隔离型密码系统的密钥更新方法，使多个所述外部装置(外部装置40A、40B)与已更新的所述终端私钥的更新次数(例如更新次数是偶数还是奇数)相对应，并在所述各个外部装置中存储了不同的机密信息(主钥hk*odd以及主钥hk*even)，包括根据所述更新次数来选择所述外部装置的步骤；和所述被选择的外部装置根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息的步骤。
根据这样的特征，使不同的多个外部装置对应于终端私钥的已更新次数，并在各个外部装置中存储了不同的机密信息。即，终端装置的用户对应终端私钥的更新次数连接对应的外部装置，由此分开使用设置在不同场所的多个外部装置。此外，因为在各个外部装置中存储了不同的机密信息，所以即使在发生了某个外部装置丢失或被盗的情况时，也无法取得一定数量的解密钥，所以可以维持密钥隔离型密码系统的安全性。
即，根据这样的特征，可以不降低被加密的信息的安全性，可以更灵活地进行密钥更新。
本发明的第二特征是根据本发明的第一特征，所述终端装置还具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的步骤，在选择所述外部装置的步骤中，所述终端装置根据所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置。
本发明的第三特征为一种具备执行加密处理的终端装置(终端装置20)和用于所述终端装置中存储的终端私钥(例如解密钥dkj)的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置的密钥隔离型密码系统，使多个所述外部装置(外部装置40A、40B)与已更新的所述终端私钥的更新次数(例如更新次数是偶数还是奇数)相对应，在所述各个外部装置中存储了不同的机密信息(主钥hk*odd以及主钥hk*even)，所述终端装置具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的外部装置识别信息取得部(更新部205)、和根据所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置(例如外部装置40A)是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部(更新部205)，所述外部装置，具有根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥更新的密钥更新信息(例如dj)的密钥更新信息生成部(密钥更新信息生成部403)。
本发明的第四特征为一种与存储作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息的外部装置连接的、在密钥隔离型密码系统中使用的终端装置，使多个所述外部装置与已更新的所述终端私钥的更新次数相对应，并在所述各个外部装置中存储了不同的机密信息，具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的外部装置识别信息取得部、和根据所述外部装置识别信息取得部取得的所述外部装置识别信息和所述终端私钥已更新的更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部。
此外，本发明具有如下的特征。本发明的第五特征为一种具备执行加密处理的终端装置(例如终端装置10A)和用于所述终端装置中存储的终端私钥(例如解密钥dkj)的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置(外部装置40A、40B)的密钥隔离型密码系统的加密处理方法，所述密钥隔离型密码系统至少包含第一外部装置(外部装置40A)以及第二外部装置(外部装置40B)，所述第一外部装置以及所述第二外部装置与已更新的所述终端私钥的更新次数(例如更新次数是奇数次还是偶数次)相对应，并在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息(主钥hk*odd以及主钥hk*even)，具有对应所述更新次数选择所述第一外部装置以及所述第二外部装置的某一个的步骤；所述被选择的第一外部装置或第二外部装置根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息(例如dj)的步骤；使用所述第一外部装置所生成的所述密钥更新信息，将所述终端私钥更新为第一更新后终端私钥(解密钥dkj-1)的步骤；在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置所生成的所述密钥更新信息，将所述终端私钥更新为第二更新后终端私钥(解密钥dkj)的步骤；所述终端装置使用与所述第一更新后终端私钥对应的第一公钥(公钥pkj-1)以及与所述第二更新后终端私钥对应的第二公钥(公钥pkj)对信息(明文m)进行加密的步骤；和与所述终端装置不同的其他终端装置(例如终端装置20)使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的步骤。
根据这样的特征，使用与终端私钥的更新次数对应的公钥(第二公钥)以及与比该公钥更前一个期间对应的公钥(第一公钥)的两个公钥，对信息进行加密。此外，被加密的信息如果不使用第二更新后终端私钥以及比第二更新后终端私钥更前一个的第一更新后终端私钥的两个解密钥则无法进行解密。
因此，即使在发生了第一外部装置或第二外部装置的某一个丢失或被盗的情况时，得到该外部装置的攻击者，也无法使用该外部装置对已加密的信息进行完全解密，可以提高密钥隔离型密码系统的安全性。
根据本发明的第五特征，本发明的第六特征为还具有下述步骤，即所述终端装置从第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的步骤，在选择所述第一外部装置或所述第二外部装置的步骤中，所述终端装置，根据所述外部装置识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置。
根据本发明的第五特征，本发明的第七特征为所述第一外部装置与生成密钥更新信息的第一周期(例如为一个月)对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息(密钥更新信息δi)的第二周期(例如为一天)对应，在选择所述第一外部装置或所述第二外部装置中的某一个的步骤中，对应所述终端私钥的更新时期(例如某月的第一天)来选择所述第一外部装置或所述第二外部装置中的某一个；在生成所述密钥更新信息的步骤中，所述第一外部装置或所述第二外部装置根据所述更新时期和所存储的所述机密信息生成所述密钥更新信息，在更新为所述第二更新后终端私钥的步骤中，所述终端装置使用所述第二外部装置所生成的所述密钥更新信息更新为所述第二更新后终端私钥。
根据本发明的第五特征，本发明的第八特征为在所述进行加密的步骤中，所述终端装置使用与所述终端私钥对应的公钥(公钥pkall)以及表示所述更新时期的更新时期信息(日期)对所述信息进行加密。
根据本发明的第五特征，本发明的第九特征为将G1和G2设为位数为q的组，以及将g设为所述G1的生成源，并且将eG1×G2→G2设为满足e(gn，gb)＝e(g，g)ab的双线性映射，所述密钥更新信息使用根据所述双线性映射决定的散列(hash)函数来生成。
本发明的第十特征为一种具备执行加密处理的终端装置(例如终端装置10A，终端装置20)和用于所述终端装置中存储的终端私钥(例如解密钥dkj)的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置(外部装置40A，40B)的密钥隔离型密码系统，所述密钥隔离型密码系统，至少包含第一外部装置(外部装置40A)以及第二外部装置(外部装置40B)，所述第一外部装置以及所述第二外部装置，与已更新的所述终端私钥的更新次数(例如更新次数是奇数次还是偶数次)相对应，并在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息(主钥hk*odd以及主钥hk*even)，所述第一外部装置以及所述第二外部装置，具有根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息(例如dj)的密钥更新信息生成部(密钥更新信息生成部403)，所述终端装置，具有从所述第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的外部装置识别信息取得部(更新部205)；根据所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部(更新部205)；以及使用第一公钥(公钥pkj-1)以及第二公钥(公钥pkj)、对信息(明文m)进行加密的加密部(加密部105)，所述第一公钥(公钥pkj-1)与作为使用所述第一外部装置生成的所述密钥更新信息更新的所述终端私钥的第一更新后终端私钥(解密钥dkj-1)相对应，所述第二公钥(公钥pkj-1)与作为在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置生成的所述密钥更新信息更新的所述终端私钥的第二更新后终端私钥(解密钥dkj)相对应。
根据本发明的第十特征，本发明的第十一特征为所述终端装置还具备使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的解密部(解密部209)。
根据本发明的第十特征，本发明的第十二特征为所述第一外部装置与生成密钥更新信息的第一周期(例如为一个月)对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息(密钥更新信息δi)的第二周期(例如为一天)对应，所述外部装置判定部对应所述终端私钥的更新时期(例如某月的第一天)来选择所述第一外部装置或所述第二外部装置中的某一个，所述密钥更新信息生成部通过所述第一外部装置或所述第二外部装置根据所述更新时期和所存储的所述机密信息生成所述密钥更新信息，所述加密部使用与所述终端私钥对应的公钥(公钥pkall)以及表示所述更新时期的更新时期信息(日期)对所述信息进行加密。
本发明的第十三特征为一种与存储作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息的外部装置(外部装置40A、40B)连接的、在密钥隔离型密码系统中使用的终端装置(例如终端装置10A、终端装置20)，所述外部装置至少包含第一外部装置(外部装置40A)以及第二外部装置(外部装置40B)，所述第一外部装置以及所述第二外部装置与已更新的所述终端私钥的更新次数(例如更新次数是奇数次还是偶数次)相对应，并在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息(主钥hk*odd以及主钥hk*even)，具有从所述第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的外部装置识别信息取得部(更新部205)；根据所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述终端私钥已更新的更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部(更新部205)；以及使用第一公钥(公钥pkj-1)以及第二公钥(公钥pkj)对信息(明文m)进行加密的加密部(加密部105)，所述第一公钥(公钥pkj-1)与作为使用所述第一外部装置生成的所述密钥更新信息更新的所述终端私钥的第一更新后终端私钥(解密钥dkj-1)相对应，所述第二公钥(公钥pkj-1)与作为在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置生成的所述密钥更新信息更新的所述终端私钥的第二更新后终端私钥(解密钥dkj)相对应。
根据本发明的第十三特征，本发明的第十五特征为还具备使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的解密部(解密部209)。
根据本发明的第十三特征，本发明的第十五特征为所述第一外部装置与生成密钥更新信息的第一周期(例如为一个月)对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息(密钥更新信息δi)的第二周期(例如为一天)对应，所述外部装置判定部对应所述终端私钥的更新时期(例如某月的第一天)来选择所述第一外部装置或所述第二外部装置中的某一个，所述加密部使用与所述终端私钥对应的公钥(公钥pkall)以及表示所述更新时期的更新时期信息(日期)对所述信息进行加密。
根据本发明的第十三特征，本发明的第十六特征为将G1和G2设为位数为q的组，以及将g设为所述G1的生成源，并且将eG1×G2→G2设为满足e(gn，gb)＝e(g，g)ab的双线性映射，所述密钥更新信息使用根据所述双线性映射决定的散列(hash)函数来生成。
根据本发明的特征，可以提供不降低被加密的信息的安全性，灵活地进行密钥更新的密钥更新方法、加密处理方法、密钥隔离型密码系统以及终端装置。


图1是本发明第一实施方式的密钥隔离型密码系统的整体概略结构图。
图2是本发明第一实施方式的密文发送侧的终端装置的逻辑方框结构图。
图3是本发明第一实施方式的密文接收侧的终端装置的逻辑方框结构图。
图4是本发明第一实施方式的公开信息服务器的逻辑方框结构图。
图5是本发明实施方式中的外部装置的逻辑方框结构图。
图6是本发明第一实施方式的密钥隔离型密码系统的动作流程图。
图7是本发明第一实施方式的密钥隔离型密码系统的动作流程图。
图8是本发明第一实施方式的密钥隔离型密码系统的动作流程图。
图9是本发明第二实施方式的密钥隔离型密码系统的动作流程图。
图10是本发明第三实施方式的密钥隔离型密码系统的动作流程图。
图11是本发明第三实施方式的密钥隔离型密码系统的动作流程图。
图12是本发明第三实施方式的密钥隔离型密码系统的动作流程图。
具体实施例方式
(第一实施方式)然后，对本发明的第一实施方式进行说明。此外，在下面附图的记述中，对相同或相似的部分付以相同或相似的符号。其中，附图是示意性的，应注意其各个尺寸的比例等与实际的不同。
因此，具体的尺寸等应参照以下的说明进行判断。此外，当然在附图相互之间也包含相互尺寸的关系、比例不同的部分。
(密钥隔离型密码系统的整个概略结构)图1是本发明第一实施方式的密钥隔离型密码系统的整体概略结构图。如图1所示，本实施方式的密钥隔离型密码系统具备终端装置10A，10B、终端装置20、公开信息服务器30以及外部装置40A、40B。
终端装置10A，10B、终端装置20、公开信息服务器30与通信网络1连接。
在本实施方式的密钥隔离型密码系统中，使用与通信网络1连接的终端装置20(终端装置)中存储的用户的解密钥dk(终端私钥)可以仅在规定的期间对通过密钥隔离型密码系统内的其他用户所使用的发送终端(例如终端装置10A)已加密的信息进行解密。
此外，在本实施方式的密钥隔离型密码系统中，按照上述非专利文献1或非专利文献2中记载的密码方式执行收发的信息的加密处理。
终端装置10A、10B，使用终端装置20的用户的公钥pk对明文m进行加密，并把对明文m进行了加密的密文c发送给终端装置20。
终端装置20接收由终端装置10A(或10B)发送来密文c，并使用终端装置20的用户的解密钥dk将接收到的密文c复原为明文m。在本实施方式中，终端装置10A、10B以及终端装置20构成执行加密处理的终端装置。
作为终端装置10A、10B以及终端装置20，可以使用具有用于访问通信网络1的通信接口的个人计算机、PDA(personal digital assistant)等。
此外，作为终端装置，如终端装置10B那样，可以使用经由无线基站1a可以访问通信网络的移动通信终端(例如移动电话)。
公开信息服务器30经由通信网络1将构成密钥隔离型密码系统的终端装置10A、10B以及终端装置20的用户的公钥pk向其他的用户进行公开。
外部装置40A、40B，对用于终端装置20中存储的终端装置20的用户解密钥dk(终端私钥)的更新的主钥hk*(机密信息)进行存储。在本实施方式中，外部装置40被设置在自己家RG中。此外，外部装置40B设置在公司OF。
主钥hk*是使用一般的公钥密码(例如RSA密码、ElGamal密码)从规定数量的公钥以及私钥的对中选择出的私钥。主钥hk*用于生成更新终端装置20的用户解密钥dk(终端私钥)的密钥更新信息d。
在本实施方式中，外部装置40A、40B，即多个外部装置与已更新的解密钥dk的更新次数对应。
此外，分别在外部装置40A和外部装置40B中存储了不同的主钥hk*(具体地说，主钥hk*odd、主钥hk*even)。对于外部装置40A、40B中存储的主钥hk*，在后面进行详细地说明。
外部装置40A、40B，例如可以由具有抗篡改区域的IC卡、IC卡读/写器构成。此外，在终端装置为移动终端装置的情况下，也可以做成在终端装置的充电器中具有外部装置40A(40B)的功能。
(密钥隔离型密码系统的理论方框结构)然后，对构成本实施方式的密钥隔离型密码系统的终端装置10A(10B)、终端装置20、公开信息服务器30以及外部装置40A(40B)的逻辑方框结构进行说明。
(1)终端装置10A图2终端装置10A的逻辑方框结构图。终端装置10B也具有与终端装置10A相同的结构。此外，下面主要对与本发明有关联的部分进行说明。因此，要注意具有以下的情况终端装置10A除了实现终端装置10A的功能，还具备一些必须的未图示或省略了说明的逻辑方框(语音通信部等)(对于下面说明的终端装置20、公开信息服务器30以及外部装置40A也相同。)。
如图2所示，终端装置10A具备通信部101、输入部103、加密部105以及存储部107。
通信部101提供用于与通信网络1进行连接的通信接口。此外，通信部101对由加密部105发送的密文c等进行中继。
输入部103是用于输入在加密部105中加密的明文m的接口(例如键盘、数据记录媒体的驱动装置)。
加密部105对由输入部103输入的明文m进行加密，生成密文c。具体地说，加密部105取得在公开信息服务器30中公开的终端装置20的用户公钥pk，使用所取得的终端装置20的用户公钥pk对明文m进行加密。
存储部107存储从公开信息服务器30取得的终端装置20的用户公钥pk等。
(2)终端装置20图3是终端装置20的逻辑方框结构图。如图3所示，终端装置20具有通信部201、生成部203、更新部205、存储部207、解密部209以及输出部211。
通信部201提供用于与通信网络1连接的通信接口。此外，通信部201与生成部203、更新部205、存储部207、解密部209以及输出部211相连接，对在该逻辑方框之间收发的密钥更新信息d或解密钥dk等进行中继。
生成部203使用一般的公钥密码(例如RSA密码、ElGamal密码)生成规定数量的公钥以及私钥的对。
更新部205对终端装置20的用户解密钥dk进行更新。具体地说，更新部205使用由外部装置40A或外部装置40B所生成的密钥更新信息d对解密钥dk进行更新。
特别地，在本实施方式中，外部装置40A与奇数次的解密钥dk的更新对应。另一方面，外部装置40B与偶数次的解密钥dk的更新对应。
此外，更新部205可以从相应的外部装置中取得唯一识别外部装置40A、40B的外部装置识别信息。在本实施方式中，更新部205构成外部装置识别信息取得部。
而且，更新部205可以根据所取得的外部装置识别信息和终端装置20的用户解密钥dk(终端私钥)已更新的更新次数，判定与终端装置20连接的外部装置是否为可以委托其进行解密钥dk更新的外部装置。在本实施方式中，更新部205构成外部装置判定部。
存储部207存储由生成部203所生成的规定数量的公钥以及私钥的对、终端装置20的用户解密钥dk等。
解密部209对终端装置10A(10B)发送的密文c进行解密。具体地说，解密部209使用存储部207中存储的终端装置20的用户解密钥dk对密文c进行解密。解密部209可以由存储部207存储通过对密文c进行解密复原的明文m，或者可以输出给输出部211。
输出部211输出通过对密文c进行解密得到的明文m等。例如，输出部211由对明文m等内容进行显示的液晶显示器、将明文m等数据记录在记录媒体(例如存储卡)中的驱动装置构成。
此外，在本实施方式中，终端装置10A(10B)具有与终端装置20不同的逻辑方框，但终端装置10A(10B)除了终端装置10A的逻辑方框之外，还可以具有终端装置20的逻辑方框。
(3)公开信息服务器30图4是公开信息服务器30的逻辑方框结构图。如图4所示，公开信息服务器30具有通信部301、控制部303以及公开信息数据库305。
通信部301提供用于与通信网络1进行连接的通信接口。此外，通信部301对由控制部303发送的终端装置20的用户公钥pk等进行中继。
控制部303，将由终端装置20发送的终端装置20的用户公钥pk等存储在公开信息数据库305中。此外，控制部303根据终端装置10A等的请求，将公开信息数据库305中存储的终端装置20的用户公钥pk等发送给终端装置10A。
公开信息数据库305存储终端装置20的用户公钥pk等，形成由密钥隔离型密码系统内的用户公钥pk构成的公开信息数据库。
(4)外部装置40A图5是外部装置40A的逻辑方框结构图。此外，外部装置40B也具有和外部装置40A相同的结构。如图5所示，外部装置40A具有通信部401、密钥更新信息生成部403以及存储部405。
通信部401，提供用于与通信网络1进行连接的通信接口。此外，通信部401对由密钥更新信息生成部403发送的密钥更新信息d等进行中继。
密钥更新信息生成部403使用存储部405中存储的主钥hk*(具体地说主钥hk*odd)，生成用于更新终端装置20的用户解密钥dk的密钥更新信息d。
此外，在本实施方式中，如上所述，外部装置40A与第奇数次的解密钥dk的更新对应。
即，密钥更新信息生成部403根据解密钥dk的更新次数和存储的主钥hk*(具体地说主钥hk*odd)，生成用于解密钥dk更新的密钥更新信息d。具体地说，密钥更新信息生成部403在为第奇数次的解密钥dk的更新时，根据来自终端装置20的指示生成密钥更新信息d。在本实施方式中，密钥更新信息生成部403构成密钥生成信息生成部。
此外，密钥更新信息生成部403根据来自终端装置20(更新部205)的请求，可以将唯一识别外部装置40A的外部装置识别信息发送给终端装置20。此外，作为外部装置识别信息，例如可以使用外部装置40A的设备类别信息和制造系列号。
存储部405存储主钥hk*(具体地说主钥hk*odd)。此外，主钥hk*优选存储在存储部405的抗篡改区域。
(密钥隔离型密码系统的动作)然后，参照图6～图8对上述实施方式的密钥隔离型密码系统的动作进行说明。
在本实施方式的密钥隔离型密码系统中，不对一次生成的终端装置20的用户公钥pk进行变更，在每个规定的期间仅对解密钥dk进行更新。
此外，在本实施方式中，将解密钥dk的更新间隔设为半天(规定的期间)，对终端装置20的用户使用密钥隔离型密码系统N天的情况进行说明。
终端装置20的用户交互地使用设置在自己家R G中的外部装置40A和设置在公司OF的外部装置40B，每半天对解密钥dk进行更新。
(1)主钥的存储图6表示到终端装置20生成主钥hk*(主钥hk*odd以及主钥hk*even)，并将生成的主钥hk*存储在外部装置40A、40B为止的动作的流程。
在步骤S101中，终端装置20使用一般的公钥密码(例如RSA密码、ElGamal密码)生成规定数量的公钥以及私钥的对。
具体地说，终端装置20对应N天的使用，生成2N个公钥以及私钥的对((pki，ski)1≤i≤N)。
在步骤S102中，终端装置20将公钥((pki)0≤i≤2N)设为密钥隔离型密码系统中的终端装置20的用户公钥pk。
在步骤S103中，终端装置20将公钥pk发送给公开信息服务器30。
在步骤S104中，公开信息服务器30把从终端装置20接收到的公钥pk存储在公开信息数据库305中。
在步骤S105中，终端装置20作为初始解密钥在存储部207中存储dk0＝sk0。
在步骤S106中，终端装置20将私钥sk＝(ski)(i＝odd，1≤i≤N)设为外部装置40A的主钥hk*odd，并将主钥hk*odd发送给外部装置40A。
在步骤S107中，外部装置40A将主钥hk*odd存储在存储部405中。
在步骤S108中，终端装置20将私钥sk＝(ski)(i＝even，1≤i≤N)设为外部装置40B的主钥hk*even，并将主钥hk*even发送给外部装置40B。
在步骤S109中，外部装置40B将主钥hk*even存储在存储部405中。
(2)解密钥dk的更新图7表示终端装置20对解密钥dk进行更新的动作流程。如图7所示，在步骤S201中，终端装置20判定从前一次解密钥dk的更新经过了规定期间(半天)的情况，识别需要进行第j次解密钥dk的更新。
在步骤S202中，终端装置20判断第j次解密钥dk的更新是第奇数次还是第偶数次。
在为第奇数次的解密钥dk的更新时(步骤S202的“j＝奇数”)，在步骤S203中，终端装置20对外部装置40A请求生成解密钥dk(具体地说，为解密钥dkj-1)的更新所需要的密钥更新信息d。
此外，在步骤S203的处理之前，终端装置20的用户，将终端装置20与外部装置40A连接。
此外，可以与终端装置20的步骤S203的处理合起来，从外部装置40A取得唯一识别外部装置40A的外部装置识别信息，判定外部装置40A是否为要用于第j次(第奇数次)解密钥dk的更新的外部装置。
在步骤S204中，外部装置40A使用存储部405中存储的主钥hk*odd和与第j次解密钥dk的更新对应的期间信息j，生成密钥更新信息dj＝skj。此外，具体的密钥更新信息dj的生成按照上述非专利文献1等文献中公开的方法。
在步骤S205中，外部装置40A将生成的密钥更新信息dj发送给终端装置20。
另一方面，在为第偶数次的解密钥dk的更新时(步骤S202的“j＝偶数”)，在步骤S206中，终端装置20对外部装置40B请求生成解密钥dk(具体地说，为解密钥dkj-1)的更新所需要的密钥更新信息d。
此外，在步骤S206的处理之前，终端装置20的用户将终端装置20与外部装置40B连接。
此外，可以与终端装置20的步骤S206的处理合起来，从外部装置40B取得唯一识别外部装置40B的外部装置识别信息，判定外部装置40B是否为要用于第j次(第偶数次)解密钥dk的更新的外部装置。
在步骤S207中，外部装置40B使用存储部405中存储的主钥hk*even和与第j次解密钥dk的更新对应的期间信息j，生成密钥更新信息dj＝skj。
在步骤S208中，外部装置40B将生成的密钥更新信息dj发送给终端装置20。
在步骤S209中，终端装置20使用从外部装置40A或外部装置40B接收到的密钥更新信息dj和期间信息j生成解密钥dkj＝dj。具体的密钥更新信息-的生成按照上述非专利文献1等文献中公开的方法。
在步骤S210中，终端装置20将密钥更新信息dj和旧的解密钥dk(具体地说，为解密钥dkj-1)从存储部207中消除。
(3)密文的收发图8表示终端装置10A将密文c发送给终端装置20，终端装置20对密文c进行解密的动作流程。如图8所示，在步骤S301中，终端装置10A向公开信息服务器30请求终端装置20的用户公钥pk的发送。
在步骤S302中，公开信息服务器30，根据来自终端装置10A的请求，将终端装置20的用户公钥pk发送给终端装置10A。
在步骤S303中，终端装置10A，从接收到的公钥pk中选择与密文c生成时的期间i对应的公钥pki，使用公钥pki和规定的密码算法(例如RSA密码)对包含发送给终端装置20的用户的消息的内容的明文m进行加密来生成密文c。
在步骤S304中，终端装置10A将生成的密文c发送给终端装置20。
在步骤S305中，终端装置20使用存储部207中存储的解密钥dk和规定的密码算法(例如RSA密码)，对接收到的密文进行解密，复原明文m。
(作用·效果)根据以上说明的本实施方式的密钥隔离型密码系统，不同的多个外部装置，即外部装置40A、40B对应于解密钥dk的更新次数，在各个外部装置中存储不同的主钥hk*(主钥hk*odd以及主钥hk*even)。
即，终端装置20的用户，根据解密钥dk的更新次数，连接对应的外部装置(例如，如果是第奇数次的解密钥dk的更新，则为外部装置40A)，由此可以分开使用设置在不同场所(自己家RG以及公司OF)的外部装置。
此外，因为在各个外部装置中存储了不同的主钥hk*(主钥hk*odd以及主钥hk*even)，所以即使在发生了某个外部装置丢失或被盗的情况时，也无法取得一定数量的解密钥dk，所以可以维持密钥隔离型密码系统的安全性。
即，根据本实施方式的密钥隔离型密码系统，可以不降低被加密的信息(例如密文c)的安全性，可以更灵活地进行解密钥dk的更新。
(第二实施方式)然后，对本发明的第二实施方式进行说明。以下，主要对与上述第一实施方式不同的部分进行说明。
(密钥隔离型密码系统的逻辑方框结构)构成本实施方式的密钥隔离型密码系统的终端装置10A(10B)、终端装置20、公开信息服务器30以及外部装置40(40B)的逻辑方框结构与本发明第一实施方式的终端装置10A(10B)、终端装置20、公开信息服务器30以及外部装置40(40B)相同。
(1)终端装置10A在本实施方式中，加密部105使用以下的公钥pk对明文m进行加密。第一、加密部105使用与解密钥dkj-1(第一更新后终端私钥)对应的公钥pkj-1(第一公钥)，所述解密钥dkj-1使用外部装置40A(第一外部装置)生成的密钥更新信息(例如密钥更新信息dj-1)进行了更新。
第二、加密部105在刚刚生成了解密钥dkj-1之后的更新定时(j)，使用与解密钥dkj(第二更新后终端私钥)对应的公钥pkj(第二公钥)，所述解密钥dkj使用外部装置40B(第二外部装置)生成的密钥更新信息(例如密钥更新信息dj)进行了更新。
加密部105使用公钥pkj-1以及公钥pkj两个公钥对明文m(信息)进行加密。
(2)终端装置20在本实施方式中，解密部209，使用解密钥dkj-1(第一更新后终端私钥)和解密钥dkj(第二更新后终端私钥)的两个解密钥对密文c进行解密。解密部209可以将通过对密文c进行解密来将复原的明文m存储在存储部207中，或者输出给输出部211。
(密钥隔离型密码系统的动作)然后，参照图9，对本实施方式的密钥隔离型密码系统的动作进行说明。
在本实施方式的密钥隔离型密码系统中，与上述第一实施方式相同，不对一次生成的终端装置20的用户公钥pk进行变更，在每个规定的期间仅对解密钥dk进行更新。
此外，将解密钥dk的更新间隔设为半天(规定的期间)，对终端装置20的用户使用密钥隔离型密码系统N天的情况进行说明。
终端装置20的用户交互地使用设置在自己家R G中的外部装置40A(第一外部装置)和设置在公司OF的外部装置40B(第二外部装置)，每半天对解密钥dk进行更新。
(1)主钥的存储本实施方式的主钥的存储动作流程与上述第一实施方式相同(参照图6)。
(2)解密钥dk的更新图9表示终端装置20对解密钥dk进行更新的动作流程。如图9所示，步骤S201A～步骤S209A的处理与上述第一实施方式相同(参照图7)。
在步骤S210A中，终端装置20把密钥更新信息dj以及旧的解密钥dk(具体地说为解密钥dkj-2)从存储部207中消除。
(3)密文的收发本实施方式的密文的收发动作流程与上述第一实施方式相同(参照图8)。
但是，在本实施方式中，在步骤S303中，终端装置10A从接收到的公钥pk中选择与密文c生成时的期间j对应的公钥pkj以及与比公钥pkj更前一个期间j-1对应的公钥pkj-1。
而且，终端装置10A将公钥pkj-1以及公钥pki的组合应用于规定的密码算法(例如RSA密码)。终端装置10A通过将公钥pkj-1以及公钥pki的组合应用于该密码算法，对包含发送给终端装置20的用户的消息的内容的明文m进行加密，生成密文c。
此外，在步骤S305中，终端装置20将存储部207中存储的解密钥dkj以及与比解密钥dkj更前一个期间j-1对应的解密钥dkj-1应用于规定的密码算法(例如RSA密码)。终端装置20通过将解密钥dkj以及解密钥dkj-1的组合应用于该密码算法，对接收到的密文c进行解密复原明文m。
(作用·效果)
在本实施方式中，使用与密文c生成时的期间j对应的公钥pkj以及与比公钥pkj更前一个期间j-1对应的公钥pkj-1两个公钥，对明文m进行加密。此外，如果不使用解密钥dkj以及与比解密钥dkj更前一个期间j-1对应的解密钥dkj-1两个解密钥，则无法将对明文m进行了加密后的密文c解密为明文m。
因此，即使在发生了外部装置40A或外部装置40B的某一个丢失或被盗的情况时，得到该外部装置的攻击者，也无法使用该外部装置对密文c进行完全解密，可以提高密钥隔离型密码系统的安全性。
此外，即使假设攻击者使用了该外部装置中存储的密钥更新信息d以及在特定的时刻泄漏的终端装置20的用户解密钥dk，也可以保证包含该特定时刻的期间、以及在该期间的前后期间生成的解密钥dk以外的全部期间的安全性。
即，根据本实施方式的密钥隔离型密码系统，在不降低被加密的信息(例如密文c)的安全性的情况下，可以更灵活地进行解密钥dk的更新和加密处理。
(第三实施方式)以下对本发明的第三实施方式进行说明。在上述第一实施方式以及第二实施方式中，必须交互地使用两台外部装置(外部装置40A、40B)生成了用于更新解密钥dk(终端私钥)的密钥更新信息，但在本实施方式中可以不交互地使用该两台外部装置。即，本实施方式考虑一边确保一定等级的密钥隔离型密码系统的安全性，同时提高用户的便利性。
具体地说，在本实施方式中，解密钥dk每天更新。终端装置20的用户使用设置在OF的外部装置40B每天对解密钥dk进行更新。而且，终端装置20的用户每月一次地使用设置在自己家RG中的外部装置40A更新解密钥dk。
终端装置20的用户没有必要必须交互地使用外部装置40A和外部装置40B来更新解密钥dk。因此，用户可以将每月只使用一次的外部装置40A保管在自己家RG的金库(未图示)等物理上安全的场所。
以下，主要对与第一实施方式或第二实施方式不同的部分进行说明，对与第一实施方式或第二实施方式相同的部分适当地省略说明。
(密钥隔离型密码系统的逻辑方框结构)本实施方式的密钥隔离型密码系统的逻辑方框结构与第一实施方式以及第二实施方式的密钥隔离型密码系统的逻辑方框结构(参照图2～图5)相同。
在本实施方式中，外部装置40A(第一外部装置)每月仅一次被用于生成密钥更新信息δi。即，外部装置40A与每个月(第一周期)使用的相对应。
另一方面，外部装置40B(第二外部装置)，除了使用外部装置40A的情况，每天被用于生成密钥更新信息δi。即，外部装置40B与为一天的周期(第二周期)相对应。如此，将为了生成密钥更新信息δi使用外部装置40B的周期设定为短于为了生成密钥更新信息δi使用外部装置40A的周期(为一个月的周期)。
在本实施方式中，根据满足规定条件的双线性映射，来实施密钥更新信息δi的生成、密文c的生成以及明文m的复原。具体地说，将G1和G2设为位数为q的组，以及将g设为所述G1的生成源。并且将eG1×G2→G2设为满足(式1)的双线性映射。
e(gn，gb)＝e(g，g)ab(式1)此外，将G以及H设为(式2)中表示的散列函数。
GG2→{0，1}n，H{0，1}*→G1 (式2)而且，从作为1～q-1的整数集合的集合Zq中随机选择s1以及s2。被选择出的s1作为主钥1被存储在外部装置40B中。此外，被选择出的s2作为主钥2被存储在外部装置40A中。
此外，在本实施方式中，在初期解密钥dk0以及密文c的生成(运算)中使用日期i。日期i以年/月/日的形式表现。例如，如果为2006年8月1日，则表现为2006/08/01。
然后，对执行与第一实施方式或第二实施方式不同的处理的功能方框进行说明。本实施方式的终端装置20的更新部205对应解密钥dk(终端私钥)的更新时期，选择外部装置40A或外部装置40B中的某一个。具体地说，通过使用外部装置40A中所存储的主钥2来更新昨日，即上月最后一天的解密钥dk，由此来生成每月1日的解密钥dk。
另一方面，使用外部装置40B中存储的主钥1来更新昨日的解密钥dk，由此来生成每月1日以外每天的解密钥dk。
更新部205例如在从2006年8月1日开始使用(解密钥dk的更新从次日开始)时，使用(式3)来生成初期解密钥dk0。
初期解密钥dk0＝H(2006/08/01)s1·H(2006/08/01)N2(式3)此外，更新部205使用包含昨日的解密钥dki-1以及密钥更新信息δi的(式4)生成日期i的解密钥dki。
解密钥dki＝δi·dki-1(式4)此外，更新部205在生成了解密钥dki之后，从存储部207中消除昨日的解密钥dki-1以及密钥更新信息δi。
此外，在本实施方式的公开信息服务器30中，作为终端装置20的用户的公钥pkall，公开下一信息。
公钥pkall＝＜q，G1，G2，g，e，n，h1，h2，G，H>
此外，h1以及h2通过(式5)来求得。此外，公钥pkall在整个期间通用。
h1＝gs1h2＝gN2(式5)此外，外部装置40A，40B的解密更新信息生成部403使用根据上述双线性映射而决定的散列函数来生成密钥更新信息δi。具体地说，在日期i为每月第一天(例如2006年9月1日)时，解密更新信息生成部403使用(式6)来生成密钥更新信息δi。
密钥更新信息δi＝H(上月第一天的日期)s2·H(i)s2(式6)即，在日期i为每月第一天时，使用外部装置40A中存储的主钥2(s2)来生成密钥更新信息δi。
此外，在日期i为每月第二天(例如2006年9月2日)时，解密更新信息生成部403使用(式7)来生成密钥更新信息δi。
密钥更新信息δi＝H(前天的日期)-s1·H(i)s1(式7)即，在日期i为每月第二天时，使用外部装置40B中存储的主钥2(s2)来生成密钥更新信息δi。此外，所谓(式7)中的“前天的日期”在日期i为2006年9月2日时，表示2006年8月31日。
此外，在日期i不是每月第一天或第二天时，解密更新信息生成部403使用(式8)来生成密钥更新信息δi。
密钥更新信息δi＝H(昨日的日期)-s1·H(i)s1(式8)即，在日期i不是每月第一天或第二天时，使用外部装置40B中存储的主钥1(s1)来生成密钥更新信息δi。
此外，本实施方式的终端装置10A(10B)的加密部105使用(式9)对明文m进行加密，来生成密文c。
密文c＝<i，c0，c1> (式9)这里，c0使用(式10)来求得。
c0＝gr(式10)而且，加密部105使用与公钥pkall以及解密钥dk的更新时期对应的更新时期信息来对明文m进行加密，生成密文c。具体地说，在日期i为每月第一天时，加密部105使用(式11)生成密文c1。
密文c1＝m XOR G((e(h1，H(昨日日期))·e(h2，H(i)))^r)(式11)此外，在日期i不是每月第一天时，加密部105使用(式12)生成密文c1。
密文c1＝m XOR G((e(h1，H(i))·e(h2，H(当月第一天日期)))^r)(式12)即，在日期i为每月第一天(例如2006年9月1日)时，加密部105作为与解密钥dk的更新时期对应的更新时期信息，使用昨日的日期(2006年8月31日)。此外，在日期i不是每月第一天(例如2006年9月3日)时，加密部105作为与解密钥dk的更新时期对应的更新时期信息，使用当月第一天的日期(2006年9月1日)。此外，在本实施方式中，明文m设为n位的位串。
此外，本实施方式的终端装置20的解密部209根据公钥pkall、日期i以及密文c(＝<i，c0，c1>)，使用(式13)对密文c进行解密，恢复明文m。
明文m＝c1 XOR G(e(c0，dki)) (式13)(密钥隔离型密码系统的动作)然后，参照图10～图12，对本发明的密钥隔离型密码系统的动作进行说明。图10～图12分别与表示第一实施方式的密钥隔离型密码系统的动作流程的图6～图8对应。具体地说，图10表示主钥的存储动作，图11表示解密钥dk的更新动作以及图12表示密文的收发动作。
以下，主要对与上述第二实施方式的密钥隔离型密码系统的动作不同的部分进行说明。
(1)主钥的存储如图10所示，在步骤S1101中，终端装置20从集合Zq中随机选择s1以及s2。
在步骤1102中，终端装置20将所选择的s1作为主钥1发送给外部装置40A。
在步骤S1103中，外部装置40A将主钥1存储在存储部405中。
在步骤S1104中，终端装置20将所选择出的s2作为主钥2发送给外部装置40B。
在步骤S1105中，外部装置40B将主钥2存储在存储部405中。
在步骤S1106中，终端装置20决定公钥pkall(＝＜q，G1，G2，g，e，n，h1，h2，G，H)。
在步骤S1107中，终端装置20将公钥pkall发送给公开信息服务器30。
在步骤S1108中，公开信息服务器30把从终端装置20接收到的公钥pkall存储在公开信息数据库305中。
在步骤S1109中，终端装置20将初期解密钥dk0存储在存储部207中。如上所述，解密钥dk0使用(式3)来生成。
(2)解密钥dk的更新如图11所示，在步骤S1201中，终端装置20判定从上次的解密钥dk的更新开始经过了规定的期间(一天)，识别需要第i次的解密钥dk的更新。
在步骤S1202中，终端装置20判定当前的日期i。在日期i为每月第一天(例如2006年9月1日)时，在步骤S1203中，终端装置20对外部装置40B请求生成密钥更新信息δi。
在步骤S1204中，外部装置40B使用上述(式6)生成密钥更新信息δi。在步骤S1205中，外部装置40B将所生成的密钥更新信息δi发送给终端装置20。
此外，在日期i为每月第二天(例如2006年9月2日)时，在步骤S1206中，终端装置20对外部装置40A请求生成密钥更新信息δi。
在步骤S1207中，外部装置40A使用上述(式7)生成密钥更新信息δi。在步骤S1208中，外部装置40A将所生成的密钥更新信息δi发送给终端装置20。
而且，在日期i不是每月第一天或第二天时，在步骤S1209中，终端装置20对外部装置40A请求生成密钥更新信息δi。
在步骤S1210中，外部装置40A使用上述(式8)生成密钥更新信息δi。在步骤S1211中，外部装置40A将所生成的密钥更新信息δi发送给终端装置20。
在步骤S1212中，终端装置20根据从外部装置40A或外部装置40B接收到的密钥更新信息δi，使用上述(式4)生成解密钥dki。
在步骤S1213中，终端装置20从存储部207中除去密钥更新信息δi以及解密钥dki-1。
(3)密文的收发图12表示的步骤S1301以及S1302的处理与图8所示的步骤S301以及S302的处理相同，在步骤S1303中，终端装置10A从集合Zq中随机选择r。
在当前的日期i，即生成密文c的定时为每月的第一天时，在步骤S1304中，终端装置10A使用上述(式11)生成密文c。
此外，在当前的日期i不是每月的第一天时，在步骤S1305中，终端装置10A使用上述(式12)生成密文c。
在步骤S1306中，终端装置10A将所生成的密文c发送给终端装置20。
在步骤S1307中，终端装置10A使用上述的(式13)，对接收到的密文c进行解密，恢复明文m。(作用·效果)根据本实施方式的密钥隔离型密码系统，根据满足规定条件的双线性映射，来实施密钥更新信息δi的生成、密文c的生成以及明文m的恢复。此外，如(式11)以及(式12)所示，根据解密钥dk的更新时期，用于密钥更新信息δi生成的日期(昨日的日期或当月第一天的日期)不同，所以可以在外部装置40A和外部装置40B的使用频率上附加差异。
具体地说，外部装置40A可以每月只使用一次，所以使用外部装置40A和外部装置40B来更新解密钥dk的终端装置20的用户在不使用时，可以将外部装置40A保管在自己家RG的金库(未图示)等物理上安全的场所。
即，终端装置20的用户，几乎不需要意识交互地使用外部装置40A和外部装置40B来更新解密钥dk。因此，用户可以只集中于管理几乎每天使用的外部装置40B，便利性提高。
此外，与必须交互地使用外部装置40A和外部装置40B的第一实施方式以及第二实施方式的密钥隔离型密码系统相比，虽然加密通信的安全性降低，但可以确保高于现有的密钥隔离型密码系统的安全性，并且提供用户的便利性。
(其他实施方式)如上所述，通过本发明的一实施方式说明了本发明的内容，但不应该理解为构成该公开的一部分的论述以及附图，是限定本发明的。根据该公开，对于本行业的从业人员来说各种各样的替代实施方式会更加清晰。
例如，在上述本发明的实施方式中，将两台外部装置(外部装置40A、40B)做成了与第奇数次的解密钥dk的更新和第偶数次的解密钥dk的更新对应的形态，但外部装置的数量也可以不为两台而为三台。
在外部装置为三台的情况下，与上述的本发明的实施方式相同，在各个外部装置(例如外部装置#1～#3)中存储不同的主钥hk*。此外，各个外部装置与解密钥dk的更新次数相对应。例如，外部装置#1用于第1、4、7...次的解密钥dk的更新，外部装置#2用于第2、5、8...次的解密钥dk的更新，外部装置#3用于第3、6、9...次的解密钥dk的更新。
此外，在预先判明了用于解密钥dk更新的外部装置的顺序时，外部装置的使用顺序可以是不规则的。
用户(终端装置20)按照预先规定了三台外部装置的顺序(外部装置#1～外部装置#2～外部装置#3)，委托外部装置生成密钥更新信息d。
此外，上述终端装置10A(10B)、终端装置20、公开信息服务器30以及外部装置40A(40B)的各个逻辑方框的功能(除了存储部等特定的方框)，也可以作为程序提供。
如此，本发明当然还包括在这里没有记载的各种各样的实施方式。因此，本发明的技术范围，根据上述的说明，仅由恰当的权利要求范围所涉及的发明特定事项来确定。
权利要求
1.一种密钥更新方法，其是具备执行加密处理的终端装置和用于在所述终端装置中存储的终端私钥的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置的密钥隔离型密码系统的密钥更新方法，其特征在于，多个所述外部装置，与已更新的所述终端私钥的更新次数相对应，在所述各个外部装置中存储了不同的机密信息，包括下述步骤根据所述更新次数选择所述外部装置的步骤；和所述被选择的外部装置，根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息的步骤。
2.根据权利要求1所述的密钥更新方法，其特征在于，所述终端装置，还具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的步骤，在选择所述外部装置的步骤中，所述终端装置，根据所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置。
3.一种密钥隔离型密码系统，其具备执行加密处理的终端装置和用于所述终端装置中存储的终端私钥的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置，其特征在于，多个所述外部装置与已更新的所述终端私钥的更新次数相对应，在所述各个外部装置中存储了不同的机密信息，所述终端装置具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的外部装置识别信息取得部；和根据所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部；所述外部装置具有根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥更新的密钥更新信息的密钥更新信息生成部。
4.一种终端装置，其与存储作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息的外部装置连接，在密钥隔离型密码系统中使用，其特征在于，多个所述外部装置与已更新的所述终端私钥的更新次数相对应，在所述各个外部装置中存储了不同的机密信息，具有从所述外部装置中取得唯一识别所述外部装置的外部装置识别信息的外部装置识别信息取得部；和根据所述外部装置识别信息取得部取得的所述外部装置识别信息和所述终端私钥已更新的更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置的外部装置判定部。
5.一种加密处理方法，其是具备执行加密处理的终端装置和用于所述终端装置中存储的终端私钥的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置的密钥隔离型密码系统的密钥更新方法，其特征在于，所述密钥隔离型密码系统至少包含第一外部装置以及第二外部装置，所述第一外部装置以及所述第二外部装置与已更新的所述终端私钥的更新次数相对应，在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息，包括下述步骤根据所述更新次数选择所述第一外部装置以及所述第二外部装置的某一个的步骤；所述被选择的第一外部装置或第二外部装置，根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息的步骤；所述终端装置，使用所述第一外部装置所生成的所述密钥更新信息，将所述终端私钥更新为第一更新后终端私钥的步骤；所述终端装置，在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置所生成的所述密钥更新信息，将所述终端私钥更新为第二更新后终端私钥的步骤；所述终端装置，使用与所述第一更新后终端私钥对应的第一公钥以及与所述第二更新后终端私钥对应的第二公钥对信息进行加密的步骤；和与所述终端装置不同的其他终端装置，使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的步骤。
6.根据权利要求5所述的加密处理方法，其特征在于，还具有所述终端装置从第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的步骤，在选择所述第一外部装置或所述第二外部装置的步骤中，所述终端装置，根据所述外部装置识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥更新的外部装置。
7.根据权利要求5所述的加密处理方法，其特征在于，所述第一外部装置与生成密钥更新信息的第一周期对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息的第二周期对应，在选择所述第一外部装置或所述第二外部装置中的某一个的步骤中，对应所述终端私钥的更新时期，来选择所述第一外部装置或所述第二外部装置中的某一个，在生成所述密钥更新信息的步骤中，所述第一外部装置或所述第二外部装置根据所述更新时期和所存储的所述机密信息生成所述密钥更新信息，在更新为所述第二更新后终端私钥的步骤中，所述终端装置使用所述第二外部装置所生成的所述密钥更新信息，更新为所述第二更新后终端私钥。
8.根据权利要求5所述的加密处理方法，其特征在于，在所述进行加密的步骤中，所述终端装置使用与所述终端私钥对应的公钥以及表示所述更新时期的更新时期信息对所述信息进行加密。
9.根据权利要求5所述的加密处理方法，其特征在于，将G1和G2设为位数为q的组，以及将g设为所述G1的生成源，并且将e:G1×G2→G2设为满足e(gn，gb)＝e(g，g)ab的双线性映射，所述密钥更新信息使用根据所述双线性映射决定的散列函数来生成。
10.一种密钥隔离型密码系统，具备执行加密处理的终端装置和用于所述终端装置中存储的终端私钥的更新的、对作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息进行存储的外部装置，其特征在于，所述密钥隔离型密码系统至少包含第一外部装置以及第二外部装置，所述第一外部装置以及所述第二外部装置，与已更新的所述终端私钥的更新次数相对应，在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息，所述第一外部装置以及所述第二外部装置，具有根据所述更新次数和所存储的所述机密信息，生成用于所述终端私钥的更新的密钥更新信息的密钥更新信息生成部，所述终端装置具有从所述第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的外部装置识别信息取得部；根据由所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥的更新的外部装置的外部装置判定部；和使用第一公钥以及第二公钥对信息进行加密的加密部，所述第一公钥与作为使用所述第一外部装置生成的所述密钥更新信息更新的所述终端私钥的第一更新后终端私钥相对应，所述第二公钥与作为在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置生成的所述密钥更新信息更新的所述终端私钥的第二更新后终端私钥相对应。
11.根据权利要求10所述的密钥隔离型密码系统，其特征在于，所述终端装置还具备使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的解密部。
12.根据权利要求10所述的密钥隔离型密码系统，其特征在于，所述第一外部装置与生成密钥更新信息的第一周期对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息的第二周期对应，所述外部装置判定部对应所述终端私钥的更新时期来选择所述第一外部装置或所述第二外部装置中的某一个，所述密钥更新信息生成部通过所述第一外部装置或所述第二外部装置根据所述更新时期和所存储的所述机密信息生成所述密钥更新信息，所述加密部使用与所述终端私钥对应的公钥以及表示所述更新时期的更新时期信息对所述信息进行加密。
13.一种终端装置，其与存储作为从规定数量的公钥以及私钥的对中选择出的私钥的机密信息的外部装置连接，在密钥隔离型密码系统中使用，其特征在于，所述外部装置至少包含第一外部装置以及第二外部装置，所述第一外部装置以及所述第二外部装置与已更新的所述终端私钥的更新次数相对应，在所述第一外部装置以及所述第二外部装置中存储了不同的机密信息，具有从所述第一外部装置以及所述第二外部装置分别取得唯一识别所述第一外部装置的外部装置识别信息以及唯一识别所述第二外部装置的外部装置识别信息的外部装置识别信息取得部；根据由所述外部装置识别信息取得部取得的所述外部装置的识别信息和所述终端私钥已更新的更新次数，判定与所述终端装置连接的外部装置是否为可以委托其进行所述终端私钥的更新的外部装置的外部装置判定部；和使用第一公钥以及第二公钥对信息进行加密的加密部，所述第一公钥与作为使用所述第一外部装置生成的所述密钥更新信息更新的所述终端私钥的第一更新后终端私钥相对应，所述第二公钥与作为在刚刚生成了所述第一更新后终端私钥之后的更新定时，使用所述第二外部装置生成的所述密钥更新信息更新的所述终端私钥的第二更新后终端私钥相对应。
14.根据权利要求13所述的终端装置，其特征在于，还具备使用所述第一更新后终端私钥以及所述第二更新后终端私钥对所述信息进行解密的解密部。
15.根据权利要求13所述的终端装置，其特征在于，所述第一外部装置与生成密钥更新信息的第一周期对应，所述第二外部装置与短于所述第一周期的、生成密钥更新信息的第二周期对应，所述外部装置判定部对应所述终端私钥的更新时期来选择所述第一外部装置或所述第二外部装置中的某一个，所述加密部使用与所述终端私钥对应的公钥以及表示所述更新时期的更新时期信息对所述信息进行加密。
16.根据权利要求13所述的终端装置，其特征在于，将G1和G2设为位数为q的组，以及将g设为所述G1的生成源，并且将e:G1×G2→G2设为满足e(gn，gb)＝e(g，g)ab的双线性映射，所述密钥更新信息使用根据所述双线性映射决定的散列函数来生成。
全文摘要
在本发明的密钥隔离型密码系统中，多个外部装置(外部装置40A、40B)与已更新的终端私钥的更新次数对应，在各个外部装置中存储了不同的机密信息。此外，在本发明的密钥隔离型密码系统的密钥更新方法中，具有根据终端私钥的更新次数，选择外部装置的步骤；和被选择的外部装置根据更新次数和所存储的机密信息生成用于终端私钥更新的密钥更新信息的步骤。
文档编号H04L9/20GK1921381SQ200610115078
公开日2007年2月28日 申请日期2006年8月23日 优先权日2005年8月23日
发明者花冈裕都子 申请人:株式会社Ntt都科摩