栗原 淳

秘密分散法は，秘密情報を漏洩や破壊から保護する技術である．この手法は，秘密情報を符号化して 複数のシェアを生成する．そして，各シェアを別の記憶媒体に分散することで情報を保護する．また，分散されたシェアのうち，特定の部分集合からのみ秘密情報を復号できる．これまで，秘密分散法のうち，線形性を有する「線形秘密分散法」について，Perfect Security，????-strong Security という 2 つの安全性が考えられてきた．前者は，秘密情報全体に対する安全性を議論しており，後者は秘密情報の部分集合に対する安全 性を議論している.しかし，秘密情報を構成する個々の要素に対する安全性は考えられていない．そこで， 本稿では秘密情報の個々の要素に着目し，新たな安全性の尺度「Individual Insecurity Threshold(IIT)」を与える．IITはシェアの集合の大きさで与えられ，IIT以下のシェアの任意の集合からは，秘密情報の各要素は 復号されることはない．さらに本稿では，IIT が符号パラメータ RGHW(Relative Generalized Hamming Weight)により表現できることを明らかにする．また，既存の線形秘密分散法の IIT を一定以上に担保可能とする，秘密情報のPrecoding 手法を与える．最後に，ユニバーサルセキュアネットワーク符号化へと拡張し，Universal IIT を与える．そして，このUniversal IITは，線形秘密分散法のIIT 同様に，符号パラメータ RGRW(Relative Generalized Rank Weight)により表現できることを示す．

Beyond 5G での活用も考慮したモバイルネットワークのユースケースの一つとして，低消費電力かつ計算能力の低い IoT 端末を多数接続する Massive IoT 環境が挙げられる．本環境下で効率的にネットワーク資源を利用するためには，多数の IoT 端末からアップロードされるデータの圧縮・通信量の削減が必要である．本検討では，Multi-access Edge Computing (MEC) 環境を想定し，エッジノードを用いた Massive IoT 環境におけるデータ圧縮について検討する．特に，近年注目が集まりつつある，軽量かつ IoT センシングデータ等を効率的に圧縮できる，重複削除によるストリームデータ圧縮手法 “Generalized Deduplication (GD)” の適用を考慮する．基本的な GD のアルゴリズムは，1 対 1 でのストリーム送受信を前提としている．そのため本報告では，その手法を拡張して，1 対多（エッジノード対 IoT 端末）の MEC 環境に適した，効率的なアルゴリズムを提案する．具体的には，1 対多環境における GD 活用での辞書構築に関する検討と，その効率についての基礎的な評価について報告する． One of the use cases of mobile networks that can be considered for use in Beyond 5G is a massive IoT environment where many IoT terminals with low power consumption and computing power are connected. In order to efficiently use network resources in this environment, it is necessary to compress and reduce the amount of data uploaded by a large number of IoT terminals. In this study, we consider data compression in a Massive IoT environment using edge nodes, assuming a Multi-access Edge Computing (MEC) environment. In particular, we consider the application of "Generalized De-duplication (GD)", a stream data compression method based on duplicate deletion, which has been attracting attention in recent years for its lightweight and efficient compression of IoT sensing data and other data. The basic GD algorithm assumes one-to-one stream transmission and reception. In this report, we propose an extension of the GD algorithm that is suitable for one-to-multi (edge node and IoT terminals) MEC environments and has more efficient performance. Specifically, we examine dictionary construction for GD utilization in a one-to-multi environment and report a basic evaluation of the efficiency of the proposed algorithm.

In Named Data Networking (NDN), security is imposed on contents instead of end-to-end connections; therefore, every content contains a signature to prove its authenticity and integrity. While this property has many significant advantages, it causes big message overhead in some cases, especially if the content size is small. This overhead further increases if the content is generated by multiple authorities, e.g., in a moderator-controlled information sharing service, and needs to contain multiple signatures. We propose the use of Identity-Based Aggregate Signatures (IBAS) to decrease this overhead. Also, we provide a proof-of-concept IBAS implementation in NDN and compare its performance with existing Public Key Infrastructure RSA signatures.

本稿ではまずShamirの手法を具体例として取り上げ,代表的な線形秘密分散法である(k,n)しきい値法を紹介する.続いて,(k,n)しきい値法の拡張である(k,l,n)ランプ型しきい値法を,山本とBlakley-Meadowsの手法を例として取り上げて解説する.そして,(k,l,n)ランプ型しきい値法の構成を線形符号C_1とその部分符号C_2を用いて一般化することで,線形秘密分散法の線形符号による表現法を与える.C_1とC_2を適切に選ぶことで,全ての線形秘密分散法をこの手法で表現できる.具体例として,Shamirの(k,n)しきい値法と,山本とBlakley-Meadowsの(k,l,n)ランプ型しきい値法を線形符号によって表現する.さらに,各シェアが有限体の1要素で表される線形秘密分散法において,盗聴されたシェアから漏洩する秘密メッセージの情報量の最大値や,秘密メッセージの部分的な暴露も許さない強安全性が,C_1とC_2の相対符号パラメータ「相対一般化Hamming重み」(Relative generalized Hamming weight, RGHW)によって表現されることを具体例を交えて解説する.

近年,コンテンツ配信に適したネットワークアーキテクチャーとしてCCN(Content-Centric Networking)が注目されている.CCNでは,高いスループットを達成するためにはコンテンツのチャンクに対する要求メッセージ(Interest)を一度に多く送信する必要がある.そのため,大量のInterestによるルータ負荷やトラヒックの増加という問題がある.この問題を解決するために,Interestを集約する手法(集約Interest)が提案されている.集約Interestを使用した場合は通常のCCNとは異なる輻輳制御手法が必要であるが,現状では提案されていない.そこで本稿では,集約Interestが用いられたCCNに対しても適用可能な,TCP-likeな輻輳制御手法を提案する.提案手法は,ネットワークの輻輳状況に応じて,ウィンドウサイズとInterestの集約数の両方を同時に制御する.このことにより,応答待ちInterest数を変化させて輻輳制御を行う.例えInterestを集約していた場合でも,提案手法を用いることで,Interestを集約せずにTCPと同じ輻輳制御を用いた場合と同程度のスループットを実現できる.本稿では,このことをシミュレーションにより明らかにすると共に,提案手法とTCPの輻輳制御との違いについて分析する.

現在のインターネットでは,ホストが常時オンラインで相互接続していることを前提として,名前解決に中央集中型のDNSを用いてアプリケーションが作られているため,災害などでネットワークが分断されてしまうとアプリケーションが利用できない.コンテンツ指向型のネットワークであるICN (Information Centric Network)は,それ自体がコンテンツへのルーティング機能も持ち,災害時の安否情報配信ネットワークへの利用が提案されているが,この手法では目的のオリジナルコンテンツまでの経路上にあるキャッシュしか利用できず,ネットワーク内の限られた資源を最大限利用するという災害時の設計に十分合致するものではない.本稿では,キャッシュの可用性を高めるため,トポロジーの変化に強いポテンシャルルーティングの最適化を検討する.

本稿ではまずShamirの手法を具体例として取り上げ,代表的な線形秘密分散法である(k,n)しきい値法を紹介する.続いて,(k,n)しきい値法の拡張である(k,l,n)ランプ型しきい値法を,山本とBlakley-Meadowsの手法を例として取り上げて解説する.そして,(k,l,n)ランプ型しきい値法の構成を線形符号C_1とその部分符号C_2を用いて一般化することで,線形秘密分散法の線形符号による表現法を与える.C_1とC_2を適切に選ぶことで,全ての線形秘密分散法をこの手法で表現できる.具体例として,Shamirの(k,n)しきい値法と,山本とBlakley-Meadowsの(k,l,n)ランプ型しきい値法を線形符号によって表現する.さらに,各シェアが有限体の1要素で表される線形秘密分散法において,盗聴されたシェアから漏洩する秘密メッセージの情報量の最大値や,秘密メッセージの部分的な暴露も許さない強安全性が,C_1とC_2の相対符号パラメータ「相対一般化Hamming重み」(Relative generalized Hamming weight, RGHW)によって表現されることを具体例を交えて解説する.

本稿ではまずShamirの手法を具体例として取り上げ,代表的な線形秘密分散法である(k,n)しきい値法を紹介する.続いて,(k,n)しきい値法の拡張である(k,l,n)ランプ型しきい値法を,山本とBlakley-Meadowsの手法を例として取り上げて解説する.そして,(k,l,n)ランプ型しきい値法の構成を線形符号C_1とその部分符号C_2を用いて一般化することで,線形秘密分散法の線形符号による表現法を与える.C_1とC_2を適切に選ぶことで,全ての線形秘密分散法をこの手法で表現できる.具体例として,Shamirの(k,n)しきい値法と,山本とBlakley-Meadowsの(k,l,n)ランプ型しきい値法を線形符号によって表現する.さらに,各シェアが有限体の1要素で表される線形秘密分散法において,盗聴されたシェアから漏洩する秘密メッセージの情報量の最大値や,秘密メッセージの部分的な暴露も許さない強安全性が,C_1とC_2の相対符号パラメータ「相対一般化Hamming重み」(Relative generalized Hamming weight, RGHW)によって表現されることを具体例を交えて解説する.

秘密分散法は,安全な清報管理を実現する手法として注目を浴びている.その中で,線形ブロック符号を用いて構成される秘密分散法について,符号とアクセス構造の関連性の解析が行われてきている.しかしながら,符号の構造と,非資格者集合から漏洩する情報量の関連性は未知である.すなわち,既存の手法によって任意の線形符号から構成された秘密分散法では,'弱いランプ型しきい値法'のように,秘密の一部の要素が非資格者集合から確定的に復号されうる.小文では,秘密分散において秘密の一要素たりとも確定的には復号できない非資格者集合を'アクセス拒絶集合'と定義し,線形符号を用いた秘密分散法において,指定した集合がアクセス拒絶集合となるための,符号ならびにその双対符号の満たすべき条件を明らかにする.また,組織的パリティ倹査行列を有するCを双対符号とする線形符号C^⊥を用いた秘密分散法の構成法を与える.提案した構成法は,しきい値型と同様のアクセス構造を実現できることに加え,要素数α以下の全ての集合がアンチアクセス集合であるという特性('α-強秘密保護特性'と呼ぶ)を有する.さらに,この構成はCの有する一般化ハミング重みとMDS-rankによって特徴づけられることを明らかにする.

ストリーム暗号を構成要素としたハッシュ関数(Stream-Cipher-based Hash function,SCH)は,高速なハッシュ生成処理を可能とする.しかしながら,SCHの安全性に関する検証は十分に行われていない.そこで本論文では,「事前処理」と「ストリーム暗号」の二つの構成要素から成るSCHのモデル化を提案し,安全性の検討を行う.脆弱性を含む既存のSCH(AbacusおよびBoole)にモデルを適用し,解析を行うことで,脆弱性を持つ構成要素を明らかにする.さらに,脆弱な構成要素に変更を加えることで,既存の攻撃に対して安全性を向上できることを示す.本検討より,安全なSCHを構成するための構成要素の必要条件を導出する.

ストリーム暗号を構成要素としたハッシュ関数(Stream-Cipher-based Hash function,SCH)は,高速なハッシュ生成処理を可能とする.しかしながら,SCHの安全性に関する検証は十分に行われていない.そこで本論文では,「事前処理」と「ストリーム暗号」の二つの構成要素から成るSCHのモデル化を提案し,安全性の検討を行う.脆弱性を含む既存のSCH(AbacusおよびBoole)にモデルを適用し,解析を行うことで,脆弱性を持つ構成要素を明らかにする.さらに,脆弱な構成要素に変更を加えることで,既存の攻撃に対して安全性を向上できることを示す.本検討より,安全なSCHを構成するための構成要素の必要条件を導出する.

本論文では,排他的論理和(XOR)を用いて高速に動作する(k,n)閾値秘密分散法(閾値法)において,いくつかの機能拡張を提案する.従来の高速な閾値法における復元手法では,分散情報の生成行列の逆行列の探索を行うため,実装上では条件分岐の多用による処理遅延が問題となる.そこで,復元時に生成行列を使用せず,分散情報のインデックスの値のみから,秘密情報を復元するための分散情報の断片の組み合わせを示す行列を,機械的に導出する手法を提案する.提案手法は,従来手法における逆行列の探索の計算量を削減し,ハードウェアおよびソフトウェアに適した実装が可能である.

本論文では,排他的論理和(XOR)を用いて高速に動作する(k,n)閾値秘密分散法(閾値法)において,いくつかの機能拡張を提案する.本論文では,part 1.で新たに導入した分散情報の構成に関する概念「特異点」を用いて,XORを用いた高速(k,n)閾値法を基にした閾値ランプ型秘密分散法と,分散情報への付加情報埋め込み方式を提案する.高速ランプ法は,従来のShamirの手法に対するランプ法と同様に,安全性をわずかに劣化させる代わりに分散情報のサイズを大幅に削減することを可能とする.また,付加情報の埋め込み方式は,ディーラーと事前に共有した権限を有する管理者のみが,秘密情報に加えて権限に対応する付加情報を復元可能とし,秘密分散法の特徴を用いた秘匿通信やアクセス制御方式を可能とする.

排他的論理和演算のみを用いて高速な秘密情報の分散・復元を可能とする(4,n)閾値秘密分散法を提案する.更に,(4,n)閾値法の分散情報の構成法を一般化して拡張し,(k,n)閾値法の構成法を示す.提案する(k,n)閾値法は,任意の閾値kと任意の分散数nで構成でき,排他的論理和演算のみで高速な分散・復元処理が可能な理想的秘密分散法である.

PA(Product Accumulate)符号は, BPSKにおけるシャノン限界に接近する性能を持ち, 符号化・復号化の計算処理量が小さく, 高符号化率における符号化率設定の柔軟性の高い符号である.本論文では, マルチレベル符号化や反復復号を行うBICM(Bit Interleaved Coded Modulation)を用いて, PA符号を多値変調に適用するための新たな手法を提案する.最初に, 符号化率をより柔軟に設定するために, PA符号あるいはGPA(Generalized Product Accumulate)符号の要素符号として2つの相異なる単一パリティ検査符号を用いる手法を提案し, その性能を明らかにすると共に, 広範囲な符号化率に対してPAあるいはGPA符号を設計する手順を示す.次に, PA符号を用いたマルチレベル符号化および反復復号を行うBICMにおいて, 復号誤り確率を最小にするシンボル点のラベリング方式を明らかにする.最後に, 提案した設計手順によって設計した符号をマルチレベル符号化および反復復号を行うBICMの成分符号に用い, 最適なシンボル点のラベリングを行うことによって得られる性能を計算機シミュレーションによって調べ, シャノン限界に漸近する性能を示すことを確認している.

PA(Product Accumulate)符号は, BPSKにおけるシャノン限界に接近する性能を持ち, 符号化・復号化の計算処理量が小さく, 高符号化率における符号化率設定の柔軟性の高い符号である.本論文では, マルチレベル符号化や反復復号を行うBICM(Bit Interleaved Coded Modulation)を用いて, PA符号を多値変調に適用するための新たな手法を提案する.最初に, 符号化率をより柔軟に設定するために, PA符号あるいはGPA(Generalized Product Accumulate)符号の要素符号として2つの相異なる単一パリティ検査符号を用いる手法を提案し, その性能を明らかにすると共に, 広範囲な符号化率に対してPAあるいはGPA符号を設計する手順を示す.次に, PA符号を用いたマルチレベル符号化および反復復号を行うBICMにおいて, 復号誤り確率を最小にするシンボル点のラベリング方式を明らかにする.最後に, 提案した設計手順によって設計した符号をマルチレベル符号化および反復復号を行うBICMの成分符号に用い, 最適なシンボル点のラベリングを行うことによって得られる性能を計算機シミュレーションによって調べ, シャノン限界に漸近する性能を示すことを確認している.