JP2003051821A - 認証のためにメッセージを処理する方法 - Google Patents

認証のためにメッセージを処理する方法

Info

Publication number
JP2003051821A
JP2003051821A JP2002136120A JP2002136120A JP2003051821A JP 2003051821 A JP2003051821 A JP 2003051821A JP 2002136120 A JP2002136120 A JP 2002136120A JP 2002136120 A JP2002136120 A JP 2002136120A JP 2003051821 A JP2003051821 A JP 2003051821A
Authority
JP
Japan
Prior art keywords
message
function
hash function
block
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002136120A
Other languages
English (en)
Other versions
JP2003051821A5 (ja
Inventor
Sarvar Patel
パテール シャールバール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JP2003051821A publication Critical patent/JP2003051821A/ja
Publication of JP2003051821A5 publication Critical patent/JP2003051821A5/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/20Manipulating the length of blocks of bits, e.g. padding or block truncation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/30Compression, e.g. Merkle-Damgard construction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Telephonic Communication Services (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)

Abstract

(57)【要約】 【課題】 安全性の証明をも提供しながら、長短両方の
メッセージがHMACより効率的にメッセージ認証され
ることを可能にする。 【解決手段】 メッセージ認証コード(MAC)を生成
するメッセージ認証システムは、メッセージが鍵つき圧
縮関数の1入力ブロック内に収まるときにその圧縮関数
の1回のみの実行を使用する。1ブロックより大きいメ
ッセージに対しては、このMACシステムは、ネスト化
ハッシュ関数を使用する。本発明のもう1つの特徴によ
れば、MACシステムは、ネスト化ハッシュ関数への入
力として、メッセージの一部を使用する。例えば、メッ
セージ認証システムは、メッセージを第1部分と第2部
分に分割することができる。ハッシュ関数がメッセージ
の第1部分を入力として実行されて中間結果を得、鍵つ
きハッシュ関数がメッセージの第2部分および中間結果
を入力として使用して実行される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、通信に関し、特
に、メッセージの認証に関する。
【0002】
【従来の技術】図1は、地理的領域14および16のそ
れぞれの内部に位置するワイヤレス(無線)装置(例え
ば、ワイヤレス装置12a〜c)にワイヤレス通信サー
ビスを提供する第1および第2のワイヤレス通信システ
ムの概略図である。移動通信交換局(MSC)(例え
ば、MSC20および24)は、とりわけ、ワイヤレス
装置間の呼、ワイヤレス装置とワイヤライン(有線)装
置(例えば、ワイヤライン装置25)との間の呼、ある
いは、ワイヤレス装置とインターネットのようなパケッ
トデータネットワーク(PDN:packet data networ
k)との間のコネクションを確立し維持する責任を負
う。このため、MSCは、その地理的領域内のワイヤレ
ス装置を公衆交換電話網(PSTN)28あるいはパケ
ットデータネットワーク(PDN)29と相互接続す
る。MSCによってサービスされる地理的エリアは、
「セル」と呼ばれる空間的に相異なるエリアに分割され
る。図1に示されているように、各セルは、模式的に
は、蜂の巣パターンの1つの六角形によって表される。
しかし、実際には、各セルは、そのセルの周囲の地形に
依存する不規則な形状を有する。
【0003】一般に、各セルは基地局(例えば、基地局
22a〜eおよび26a〜e)を有する。基地局は、そ
のセル内のワイヤレス装置と通信するために使用する無
線機およびアンテナを有する。基地局はまた、その地理
的エリア内のMSCと通信するために使用する伝送装置
も有する。例えば、MSC20は、地理的エリア14内
の基地局22a〜eに接続され、MSC24は、地理的
エリア16内の基地局26a〜eに接続される。1つの
地理的領域内で、MSCは、ワイヤレス装置がセル間を
移動していくのとともにリアルタイムで基地局間で呼を
交換する。これを呼ハンドオフという。具体的実現化に
依存して、基地局コントローラ(BSC)は、いくつか
の基地局に接続された別個の基地局コントローラ(BS
C)(図示せず)であることも可能であり、あるいは、
各基地局に配置され、基地局のワイヤレス資源を管理し
情報をMSCに中継することも可能である。
【0004】MSC20および24は、シグナリングネ
ットワーク(信号網)32を使用する。シグナリングネ
ットワーク32は、例えば、TIA/EIA−41−D
として指定された、"Cellular Radiotelecommunication
s Intersystem Operations",December 1997(IS−4
1)という名称の標準に準拠するシグナリングネットワ
ークである。これは、それぞれの地理的エリア14およ
び16内をローミングしているワイヤレス装置に関する
情報の交換を可能にする。例えば、ワイヤレス装置12
aは、もともと割り当てられたMSC20(ホームMS
C)の地理的エリア14を離れるとき、ローミングして
いる。ローミングワイヤレス装置が呼を受け取ることが
できることを保証するため、ローミングワイヤレス装置
12aは、現在位置のMSC24(在圏MSC)にその
存在を通知することによって、在圏MSC24に登録す
る。ローミングワイヤレス装置12aが在圏MSC24
によって識別されると、在圏MSC24は、シグナリン
グネットワーク32を通じて、ホームMSC20に登録
要求を送り、ホームMSC20は、在圏MSC24の識
別によってデータベース34(ホームロケーションレジ
スタ(HLR)という)を更新することにより、ローミ
ングワイヤレス装置12aの位置をホームMSC20に
提供する。ローミングワイヤレス装置が認証された後、
ホームMSC20は、在圏MSC24に顧客プロファイ
ルを提供する。在圏MSC24は、顧客プロファイルを
受け取った後、ホームMSC20と同じ機能を提供する
ために、データベース36(在圏ロケーションレジスタ
(VLR)という)を更新する。HLR、VLRおよび
認証局(AC:authentication center)は、MSCと
コロケートされることも可能であり、リモートアクセス
されることも可能である。
【0005】UMTS(Universal Mobile Telecommunic
ations System)および3G IS−41では、ワイヤレ
ス装置は、呼を発信し、または、受信するとき、認証さ
れなければ、呼設定に進むことができない。認証された
後、ある秘密鍵を用いて生成された128ビットの完全
性鍵(IK:integrity key)が有効化され、ワイヤレ
ス装置とシステムの間で送信されるメッセージの完全性
(integrity)のチェックすなわちメッセージ認証に使用
されることが可能となる。
【0006】よいメッセージ認証方式の設計は、暗号技
術の重要な分野の1つである。メッセージ認証方式の目
標は、受信側が受信するメッセージに改竄があったかど
うかを受信側が判断することができるように、送信側が
受信側へメッセージを効率的に送信することである。図
2に、ワイヤレス通信システムにおいてワイヤレス装置
でどのようにメッセージ認証が実行されるかを示す。こ
の環境には、ワイヤレス装置およびワイヤレス通信シス
テムという二当事者が関与し、これらは秘密鍵kに関し
て合意している。使用されるアルゴリズムとして、署名
アルゴリズムS および検証アルゴリズムVの2つが
ある。ワイヤレス装置がメッセージMをワイヤレス通信
システムへ送信したい場合、ワイヤレス装置は、まず、
MACジェネレータ50を用いて、タグすなわちメッセ
ージ認証コード(MAC)μ=S (M)を計算する。
ワイヤレス装置は、メッセージとタグのペア(M,μ)
をワイヤレス通信システムへ送信する。ワイヤレス通信
システムは、ペア(M,μ)を受信すると、V(M,
μ)を計算し、MACが正当な場合には1を返し、そう
でない場合には0を返す。図2には、ワイヤレス通信シ
ステムがメッセージおよびkをMACジェネレータ52
に入力し、MACジェネレータ52がタグ′を出力し、
ワイヤレス装置から受信されたタグ(μ)とシステムで
生成されたタグ′の間の比較54が行われることが示さ
れている。これらが同一である場合、メッセージは正当
であるとして受容され、そうでない場合、メッセージは
拒否される。秘密鍵kを知らなければ、検証アルゴリズ
ムが正当であるとして受容することになるメッセージお
よび対応するMACを、敵が構成することはほとんど不
可能である。
【0007】同じメッセージ認証方式が、ワイヤレス通
信システムからワイヤレス装置へのメッセージの送信に
おいて実行される。例えば、図3に、ワイヤレス通信シ
ステムが、保護されたメッセージをどのようにしてワイ
ヤレス装置へ送信するかを示す。まず、ワイヤレス通信
システムは、メッセージおよび秘密鍵kを入力としてM
ACジェネレータ56でタグを生成する。ワイヤレス通
信システムは、メッセージをタグとともにワイヤレス装
置へ送信する。ワイヤレス装置は、メッセージおよび秘
密鍵kをMACジェネレータ58に入力してタグ′を生
成する。ワイヤレス装置は、タグ′と、ワイヤレス通信
システムから受信されたタグとの間の比較60を行う。
これらのタグが一致した場合、メッセージは正当である
として受容される。一致しない場合、メッセージは、変
更された、あるいは、不正であるとして、拒否される。
【0008】メッセージ認証コードに対するセキュリテ
ィ要件は次のように説明することができる。kは秘密の
まま、選択されたメッセージに対するMAC S,V
を問い合わせることができるときに、V(M,μ
)=1であるがメッセージMはSへの入力となっ
たことがないような正当なペア(M,μ)を敵が思
いつくことができる場合、敵がMACを偽造している。
【0009】実際に広くみられるメッセージ認証への1
つの一般的なアプローチは、暗号ハッシュ関数を用いる
ものである。ハッシュ関数は、一般に、ある長さの入力
から、より短い長さの出力に写像する関数として特徴づ
けることができる。さらに、同じ出力に写像される2つ
の入力を見つけるのは困難である。暗号ハッシュ関数に
基づくこれらのMAC方式が良好であるのは、高速で安
全な暗号構成ブロックを使用するからである。一般に、
暗号ハッシュ関数F(x)は、任意の長さの入力xを短
い出力に写像する、公開され、鍵なし(キーレス、すな
わち、鍵がかけられていない)、衝突を起こしにくい
(衝突耐性がある、耐衝突性)関数である。衝突を起こ
しにくいとは、F(x)=F(x)であるような2
つのメッセージxおよびxを見つけるのが計算量的
に実行不能であることを意味する。MD5、SHA−
1、およびRIPE−MDは、広く用いられている暗号
ハッシュ関数である。耐衝突性とともに、ハッシュ関数
は通常、他の目的で使用するため、および、耐衝突性の
可能性を高めるために、他の性質も有するように設計さ
れる。
【0010】MD5やSHA−1のようなほとんどの暗
号ハッシュ関数は、入力メッセージがブロックごとに処
理されるという反復構成を使用する。図4に示すよう
に、基本構成ブロックは、圧縮関数fと呼ばれ、これ
は、サイズtおよびbの2つの入力をとり、長さtの、
より短い出力に写像するハッシュ関数である。MD5で
は、サイズtの入力は長さ128ビットであり、サイズ
bの入力は長さ512ビットである。SHA−1では、
サイズtの入力は長さ160ビットであり、サイズbの
入力は長さ512ビットである。サイズtの入力は連鎖
変数と呼ばれ、サイズbの入力(ペイロードあるいはブ
ロック)は、実際にメッセージxを一度にbビットずつ
処理するために使用される。図5に示すように、この場
合、ハッシュ関数F(x)は、hを連鎖変数とし、x
をペイロードとして、以下のステップに従って、メッ
セージmに対して圧縮関数fを反復して作用させること
によって形成される。 1.適当な手続きを用いてメッセージ長を付加し、パデ
ィングして、入力をブロックサイズbの倍数にする。入
力は、ブロックサイズの断片x=x,...,xに分
解することができる。 2.h=IV(一定) 3.For i=1 to n 4.h=f(h−1,x) 5.hをF(x)として出力する。 例えば、SHA−1ハッシュ関数を使用する場合、SH
A−1ハッシュ関数のそれぞれへの呼出しは、160ビ
ットの初期ベクトル(IV:initial vector)を有し、
512ビットの入力(ペイロード)をとり、これが16
0ビットの出力に写像される。IVは、SHA−1ハッ
シュ関数に対する標準(National Institute of Standa
rds and Technology, NIST FIPS PUB 180, "Secure Has
h Standard", U. S. Department of Commerce, May 199
3)で規定されたIVとなるように設定される。
【0011】暗号ハッシュ関数は、設計上、鍵なし(キ
ーレス)である。しかし、メッセージ認証は秘密鍵の使
用を必要とするため、ハッシュ関数に鍵をかける方法が
必要となる。ハッシュ関数に鍵をかける1つの方法は、
固定された既知のIVの代わりに秘密鍵を使用すること
である。図6に示すように、鍵kで、圧縮関数f(連鎖
変数,x1)における連鎖変数を置き換えて、f(x
1)=f(k,x1)をつくる。ただし、x1のブロッ
クサイズはbである。反復されたハッシュ関数F(I
V,x)は、固定のIVを秘密鍵kで置き換えてF
(x)=F(k,x)を形成することによって修正さ
れる。鍵がかけられた(鍵つき)関数の耐衝突性は、鍵
なし関数のものとは異なる、その理由は、敵は、任意の
時点に、ユーザに問い合わせることなくF(x)を評
価することはできないからである。この要件は、標準的
な衝突要件より弱いため、関数F(x)を「弱耐衝突
性」であると呼ぶことにする。
【0012】鍵つき暗号ハッシュ関数の安全性を改善す
るため、次のように定義されるネスト化MAC関数(N
MAC)が開発された。 NMAC(x)=Fk1(Fk2(x)) ただし、暗号ハッシュ関数Fは、まず、IVの代わりに
秘密鍵kで鍵がかけられ、メッセージxが反復的にハ
ッシュされてFk2(x)の出力となる。次に、図7に
示すように、この出力Fk2(x)が、Fのパディング
方式に従って、あるブロックサイズにパディングされた
後、Fk2(x)の結果は秘密鍵kで鍵がかけられ、
外側ハッシュ関数Fでハッシュされる。このように、N
MAC鍵kは2つの部分k=(k,k)を有する。
NMACの安全性を、基礎となる暗号ハッシュ関数の安
全性と関連づけることに関する次の定理が、M. Bellar
e, R.Canetti, and H. Krawczyk, "Keying Hash Functi
ons for Message Authentication", In Proc. CRYPTO 9
6, Lecture Notes in Computer Science, Springer-Ver
lag, 1996、に証明されている。
【0013】定理1: t回のステップおよびq回の問
合せで、鍵つき圧縮関数fがε安全なMACであり、
かつ、鍵つき反復ハッシュFがε弱耐衝突性であるな
らば、NMAC関数は(ε+ε)安全なMACであ
る。
【0014】このNMACの構成は、圧縮関数への少な
くとも2回の呼出しを行う。Fk2(x)への内側の呼
出しは、鍵なしハッシュ関数F(x)と同じコストを有
する。このため、Fk1への外側の呼出しは、鍵なしハ
ッシュ関数によって要求されるものを超える追加の呼出
しである。外側の関数呼出しは、基本的に、鍵つき圧縮
関数fk1への呼出しである。その理由は、F
k2(x)のサイズ1の出力は、圧縮関数へのサイズb
の入力にはめ込むことができるからである。多くのブロ
ックからなる大きいxに対しては、追加の外側圧縮呼出
しのコストは重要ではない。しかし、サイズの小さいメ
ッセージxの場合、追加の外側圧縮関数は、鍵なしハッ
シュ関数に比べたとき、割合でみると、相当高い程度の
非効率性を生じる。表1に、SHA−1ハッシュ関数の
場合に、小さいxに対する非効率性を示す。基礎となる
ハッシュ関数によって、および、NMACによって必要
とされる圧縮呼出しの回数が、30バイトずつ増大する
さまざまな小さいxに対して比較されている。基礎とな
るハッシュ関数に対するNMACの非効率性も表中に記
載されている。
【0015】
【表1】 表1: さまざまなサイズの短いメッセージに対する圧
縮呼出し回数の比較
【0016】表からわかるように、小さいメッセージに
対する不利益は大きくなる。特に、1ブロック内に収ま
るメッセージの場合、不利益は100%である。その理
由は、NMACでは2回の圧縮関数呼出しが要求される
のに対して、基礎となる暗号ハッシュ関数により要求さ
れるのは1回の圧縮呼出しであるからである。
【0017】圧縮関数fにはアクセスすることができ
ず、メッセージで暗号ハッシュ関数Fを呼び出すことだ
けができるような実装に対する、NMACの実用的変形
がHMACである。このような実装の場合、鍵は、連鎖
変数とすることはできず、関数Fは、最初の圧縮関数で
用いられた固定の既知のIVで呼び出される。HMAC
関数は次のように定義される。
【数1】 ただし、鍵kが使用され、バーkは、反復されるハッシ
ュ関数のブロックサイズbに達するようにkをゼロでパ
ディングしたものである。バーkの値はopadとビッ
トごとの排他的論理和がとられ、その結果がメッセージ
Xに連結される、ハッシュ関数Fは、連結されたメッセ
ージ全体で呼び出される。図8に示すように、圧縮関数
fの最初の実行(イタレーション)の後、鍵k2がk2
=f(バーk(+)ipad)として生成される。(本
願の明細書および図面において、記号(+)と、数1に
現れた排他的論理和の記号(円内に+)とは、同一の記
号を表すものとする。)ハッシュ関数Fが完了した後、
結果の値F(バーk(+)ipad,X)が生成され
る。次に、バーk(+)opad(すなわち、バーkと
opadのビットごとの排他的論理和演算)の値からな
るメッセージで、ハッシュ関数Fが再び呼び出される。
ハッシュ関数Fの第2の呼出し内の最初の実行の後、圧
縮関数f(IV,バーk(+)opad)から鍵k1が
得られる。ipadおよびopadの値は、M. Bellar
e, R. Canetti, and H. Krawczyk, "KeyingHash Functi
ons for Message Authentication", In Proc. CRYPTO 9
6, LectureNotes in Computer Science, Springer-Verl
ag, 1996、に記載されているような固定された定数であ
る。ハッシュ関数への第2の呼出し内の第2の実行は、
圧縮関数f(k1,F(バーk(+)ipad,X))
を用いて、HMAC関数F(バーk(+)opad,F
(バーk(+)ipad,X))を生成する。
【0018】k=f(バーk(+)opad)および
=f(バーk(+)ipad) と定義することにより、HMAC(x)はNMAC
(k1,k2)(x)となる。HMACは、メッセージ
認証のためのインターネット標準である。示されるよう
に、HMACの安全性の証明は、NMACに関係してお
り、基礎となる暗号ハッシュが(弱)耐衝突性であるこ
と、および、基礎となる圧縮関数が、両方とも適切に鍵
がかけられた場合には安全なMACであること、を仮定
する。HMACは、長いメッセージに対しては効率的で
あるが、短いメッセージに対しては、ネスト化された構
成のために相当な非効率性が生じる。圧縮関数へのアク
セスが許可されない場合に1ブロックより短いメッセー
ジのMACを生成するため、HMACは、圧縮関数への
4回の呼出しを必要とする。圧縮関数へのアクセスが許
可されている場合、k1およびk2を事前に計算し、圧
縮関数の連鎖変数に挿入することができるため、圧縮関
数への呼出しは2回でよい。この非効率性は、シグナリ
ングメッセージのメッセージ認証のようないくつかのア
プリケーションでは特に大きくなることがある。その場
合、個々のメッセージはすべて1個または2個のブロッ
ク内に収まるからである。TCP/IPトラフィックの
場合にも、多数のパケット(例えば、確認応答(acknowl
edgment))が、ほとんどの暗号ハッシュの1ブロック内
に収まる40バイト程度のサイズを有することがよく知
られている。
【0019】
【発明が解決しようとする課題】本発明は、安全性の証
明をも提供しながら、長短両方のメッセージがHMAC
より効率的にメッセージ認証されることを可能にする改
良を提案する。
【0020】
【課題を解決するための手段】本発明の1つの特徴によ
れば、メッセージ認証コード(MAC)を生成するメッ
セージ認証システムは、メッセージが鍵つき圧縮関数の
1入力ブロック内に収まるときにその圧縮関数の1回の
みの実行を使用することにより、効率を改善する。1ブ
ロックより大きいメッセージに対しては、このMACシ
ステムは、ネスト化ハッシュ関数を使用する。本発明の
もう1つの特徴によれば、MACシステムおよび方法
は、ネスト化ハッシュ関数への入力として、メッセージ
の一部を使用する。例えば、メッセージ認証システム
は、メッセージを第1部分と第2部分に分割することが
できる。ハッシュ関数がメッセージの第1部分を入力と
して実行されて中間結果を得、鍵つきハッシュ関数がメ
ッセージの第2部分および中間結果を入力として使用し
て実行される。こうして、内側ハッシュ関数によって処
理されることを必要とするメッセージの部分を少なくす
ることにより、小さいメッセージの場合には特に、効率
が改善される。
【0021】
【発明の実施の形態】任意長のメッセージを処理するた
めの、改善された効率を提供する、本発明の原理による
MAC生成システムおよび方法の実施例について以下で
説明する。以下の説明では、ハッシュ関数という用語
は、圧縮関数fおよび反復ハッシュ関数Fを包含する。
ハッシュ関数は、鍵なしであることも鍵つきであること
も可能であり、Fは鍵つき反復ハッシュ関数を表し、
は鍵つき圧縮関数を表す。想起すべき点であるが、
(x)は、鍵つき圧縮関数であり、その入力ブロッ
クサイズはbビットであり、出力サイズはtビットであ
り、連鎖変数のサイズ、したがって鍵サイズもまたtビ
ットである。本発明の1つの特徴によれば、メッセージ
のサイズに依存して、MACジェネレータは、異なるハ
ッシュ関数構成を用いてMACを生成する。例えば、M
ACジェネレータは、メッセージx(および追加的に要
求されるビットがあればそれも)が圧縮関数fの1入力
ブロックに収まる場合には、ハッシュ関数として鍵つき
圧縮関数の1回のみの実行を行うことが可能である。入
力ブロック内に収まらないメッセージの場合、MACジ
ェネレータは、ネスト化ハッシュ関数を使用する。図9
に示すように、メッセージxは、必要なパディング、メ
ッセージ長フィールド、ブロックインジケータフィール
ドあるいはメッセージxに付加されるその他のフィール
ドとともに、圧縮関数fに入力される。メッセージx
(および追加的に要求されるビットがあればそれも)が
圧縮関数の入力ブロック内に収まる場合、メッセージx
および鍵kを用いて鍵つき圧縮関数f(90)が1回の
み実行され、メッセージxに対するMACf(x)が
生成される。
【0022】これに対して、図10に示すように、メッ
セージx(および追加的に要求されるビットがあればそ
れも)が圧縮関数fの1入力ブロック内に収まらない場
合、メッセージブロックxは、部分1および部分2のよ
うに、複数の部分に分割される。メッセージブロックの
部分部分は、メッセージxを構成するビットの重なり合
うセットであることも重なり合わないセットであること
も可能である。本発明のもう1つの特徴によれば、第1
部分は内側ハッシュ関数Fで使用され、第2部分は外側
ハッシュ関数(これは、圧縮関数fCV1として示され
ている)で使用される。例えば、部分2は、内側ハッシ
ュ関数Fに提供され、そこで、圧縮関数100a〜10
0n(必要であれば)の呼出し(実行)が、部分2のブ
ロックである部分2〜部分2について(付加された
パディングあるいはフィールドがあればそれも含む)行
われる(ここで、n≧1である)。圧縮関数fの最初の
実行(呼出し)100aは、連鎖変数CV2を使用す
る。連鎖変数CV2は、実施例に依存して、鍵であるこ
とも、鍵から導出された鍵であることも、ハッシュ関数
Fの標準の初期値であることも可能である。内側ハッシ
ュ関数FCV2(部分2)の結果は、メッセージxの部
分1および連鎖変数CV1とともに、外側ハッシュ(圧
縮)関数f(102)に提供される。連鎖変数CV1
は、実施例に依存して、鍵であることも、鍵から導出さ
れた鍵であることも、ハッシュ関数Fの標準の初期値I
Vであることも可能である。その結果の値fCV1(部
分1,F V2(部分2))は、メッセージ認証で用い
られるMACを生成するために使用されることが可能と
なる。
【0023】上記の一般的記述を用いて、従来技術のM
AC生成方式よりも改善された性能を提供することがで
きる。例えば、短いメッセージに対してNMACよりも
改善された効率を可能にするとともに、より長いメッセ
ージに対しても多少の改善を可能にするため、以下のM
AC生成法が提供される。想起すべき点であるが、f
(x)は、その入力ブロックサイズがbビットであり、
出力サイズがtビットであり、連鎖変数のサイズ、した
がって鍵サイズもまたtビットであるような圧縮関数で
ある。図11aおよび図11bに示すように、本発明の
原理によるMACの生成の具体的実施例は次の通りであ
る。
【数2】 ただし、第1の場合、ブロック内の最初のb−2ビット
が、メッセージxを入れるために使用される。メッセー
ジxが最初のb−2ビットに満たない場合、パディング
が必要であり、ブロックの残りは、最終ビットが義務的
に1とされることを除いては、その後には0が続く(な
いこともある)。メッセージの長さがb−2ビットであ
る場合、b−1番目のビットが1にセットされる。この
実施例では、ブロックの最終ビットが、ENMACで単
一圧縮呼出しが使用されているかどうかを示す。ブロッ
クの最終ビットは、単一圧縮呼出しの場合には1にセッ
トされ、圧縮関数fの多重呼出し(実行)が必要とされ
るときには0にセットされる。1ブロックに収まらない
という第2の場合、ストリングxは、次のような2つの
部分(セグメント)xprefおよびxsuffに分解
される。 xpref=x...xb−t−1suff=xb−t...x|x| まず、xsuffが鍵値k2を用いてハッシュされ、F
k2(xsuff)のtビットの結果が生成される。次
に、外側圧縮呼出しが鍵値k1を用いて実行される。こ
こで、最初のb−t−1ビットにxprefがセットさ
れ、次のtビットに結果Fk2(xsuff)がセット
され、最終ビットに0がセットされる。
【0024】上記のENMAC生成法は、具体的に図1
2を参照して以下で説明するように、基礎となる暗号ハ
ッシュ関数としてSHA−1ハッシュ関数を使用するこ
とができる。ブロック110に示されているように、E
NMAC生成法を実現する処理回路は、xの長さ|x|
が510ビット以下であるかどうかを判断する。xの長
さ|x|が510ビット以下である場合、処理回路はス
テップ112に進み、xを最初の510ビットにロード
することによって、fk1()の512ビットのペイロ
ードを形成する。次に、ブロック114で、「1」をx
に付加し、ステップ116で、必要な個数の0(ないこ
ともある)を用いて511ビットを満たす。|x|が5
10ビットより小さい場合、1の後にゼロがパディング
されるが、|x|が510ビットである場合、ゼロはパ
ディングされず、ブロック114では、1個の1が51
1番目のビット位置に付加されるだけである。ブロック
118で、メッセージが単一ブロックに収まることを示
すために、最後の512番目のビット(ブロックインジ
ケータビット)が1にセットされる。ブロック120
で、鍵k1を160ビットの連鎖変数とし、メッセージ
x、パディングビットおよびブロックインジケータビッ
トを512ビットのペイロード(入力ブロック)とし
て、鍵つき圧縮関数fk1(x,pad,1)が実行さ
れる。その後、ブロック122で、結果fk1(x,p
ad,1)が出力され、MACを生成するために使用さ
れる。
【0025】ブロック110で、メッセージxが510
ビットより長い場合、処理回路はブロック124に進
み、メッセージは2つの部分xprefおよびx
suffに分割される。ただし、xpref=x...
351およびxsuff=x352...x|x|であ
る。次に、ブロック126で、処理回路は、鍵k2と、
メッセージ部分xsuffとを、追加のパディングビッ
トやビットフィールドがあればそれとともにペイロード
として、鍵つきハッシュ関数Fk2を実行し、F
k2(x suff)の160ビットの結果を得る。ブロ
ック128で、外側圧縮関数f のペイロードの最初
の351ビットにxprefをセットし、ブロック13
0で、ペイロードの次の160ビットに、ブロック12
6で計算したFk2(x uff)の結果をセットす
る。ブロック132で、ペイロードの最後の512番目
のビットを0にセットする。最後に、ブロック134
で、外側鍵つき圧縮関数fk1が、ブロック128〜1
32で形成された512ビットのペイロードに適用さ
れ、ブロック136で、その結果fk1(xpref
k2(xsuff),0)が、MACを生成するため
に出力される。
【0026】次の表2は、30バイトずつ増大するさま
ざまなサイズの短いメッセージに対して、基礎となるハ
ッシュ関数SHA−1によって、および、ENMACに
よって必要とされる圧縮呼出しの個数を比較している。
表2と、ふつうのNMACの比較をした前の表1との間
には重要な相違点が存在する。短いサイズの多くのもの
について、NMACは、基礎となるハッシュ関数と同じ
効率を有する。長いメッセージの場合、NMAC、EN
MACおよび基礎となるハッシュ関数の効率は互いに相
当異なる。サイズが480ビットのメッセージの場合、
表2の記載事項が意外にも示しているように、ENMA
Cは基礎となるハッシュ関数より効率がよい。この例外
的なことが起こる理由は、基礎となるSHA−1関数が
サイズ情報のために64ビットを確保するのに対して、
ENMACは、510ビットより短いメッセージについ
ては2ビットしか確保しないためである。このため、E
NMACを使用する結果の節約は、1ないし数ブロック
に収まるメッセージについてはかなり大きい。
【0027】
【表2】 表2: さまざまなサイズの短いメッセージに対する圧
縮呼出し回数の比較
【0028】1ブロックに収まるメッセージのMACを
生成するために異なる鍵kを使用し、より長いメッセ
ージのMACを生成するためにNMACを用いて鍵k=
(k ,k)を使用すると仮定すると、システムが安
全であることを示すことができる。本質的には、これが
実際に行われていることであるが、異なる鍵を用いて異
なるMACを生成する代わりに、メッセージが1ブロッ
クに収まる場合にはトレーリングビットが1にセットさ
れ、その他の場合には0にセットされている。第2に、
NMACは、外側圧縮呼出しのペイロードをゼロでパデ
ィングするのに対して、ENMACは、メッセージの一
部を外側呼出しに入れる。
【0029】ENMAC安全性の結果は、NMACと同
様であり、以下で、教育的目的で主張し証明する。
【0030】定理2: t回のステップおよびq回の問
合せで、鍵つき圧縮関数fがε安全なMACであり、
かつ、鍵つき反復ハッシュFがε弱耐衝突性であるな
らば、ENMAC関数は(ε+ε)安全なMACで
ある。
【0031】証明: 敵Aが、t回のステップと、q
回の適応的に選択されたENMAC関数への問合せとを
仮定して、確率εでENMACに対して成功したとす
る。この敵は、以前に問い合わせていないメッセージに
関して、鍵つき圧縮関数に関連するMACを偽装する別
の敵Aを形成するために使用される。MACを破るこ
の確率は、εと、ε、すなわち、敵が時間tおよび
q回の問合せでハッシュ関数Fにおける衝突を見つける
最良の確率、に関して限界づけられる。Aを用いて、
この特定の方法でMACを破る確率は、任意の方法でM
ACを破る確率εより小さくなければならない。これ
を用いて、εについての限界を得ることができる。鍵
つき圧縮MACを偽造するために用いられるアルゴリズ
ムAを次に示す。
【0032】ランダムなkを選ぶ For i...q A→x If x<b−2 A←fk1(x,pad,1) else A←fk1(1,xi,pref,Fk2(xi,suff),0) A→(x,y) If x<b−2 (x,pad,1),y を出力 else (xpref,Fk2(xsuff),0),y を出力
【0033】ε=εE1+εE+とおく。ここで、ε
E1は、ENMACが攻撃され、A によって偽造され
たENMACメッセージがおよそ1ブロックサイズであ
る(正確にいえば、b−2より小さい)確率である。ま
た、EおよびεE+はそれぞれ、ENMACが攻撃さ
れ、Aによって偽造されたENMACメッセージが1
ブロックサイズより大きい事象および確率であるとす
る。さらに、εE+=ε E+,pref≠+ε
E+,pref=である。ここで、εE+,pref≠
は、ENMACが多重ブロックメッセージで偽造され、
メッセージのプレフィクスが、以前にAによって問合
せされたいずれのメッセージのプレフィクスとも等しく
ない確率である。また、εE+,pref=は、ENM
ACが多重ブロックメッセージで偽造され、メッセージ
のプレフィクスが、以前にAによって問合せされたい
ずれかのメッセージのプレフィクスに等しい確率であ
る。この場合、偽造メッセージのサフィクスは、同じプ
レフィクスを有するメッセージのサフィクスとは異なら
なければならない。
【0034】 P[fのMACを偽造]=P[fのMACがEにより偽造される]+P[fの MACがEにより偽造される] (1) =εE1+P[fのMACがEにより偽造される] =εE1+P[fのMACがE+,pref≠により偽造される]+P[fの MACがE+,pref=により偽造される] (2) =εE1+εE+,pref≠+P[fのMACがE+,pref=により偽 造される] =εE1+εE+,pref≠+P[E+,pref=∩同じプレフィクスの 集合内にサフィクス衝突がない] (3) =εE1+εE+,pref≠+1−P[バーE+,pref=∪同じプレフ ィクスの集合内にサフィクス衝突がある] (4) =εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合 内に衝突がある]+P[バーE+,pref=∩集合内に衝突がある] ≧εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合 内に衝突がある] (5) ≧εE1+εE+,pref≠+1−1+εE+,pref=−P[q個の問 合せ内に衝突がある] (6) ≧εE1+εE+,pref≠+1−1+εE+,pref=−ε ≧εE1+εE+−ε ≧ε−ε (7) ε≧P[ENMACを偽造することによりfのMACを偽造]≧ε−ε (8) ε≧ε−ε ゆえに、ε≦ε+ε (9)
【0035】式1は、fの新しいMACを偽造する確率
を、単一ブロックまたは多重ブロックのいずれかの、E
NMACのMACを偽造することによりfの新しいMA
Cを偽造する確率に分解する。多重ブロックENMAC
を破ることによりfを破る確率は、式2において、どの
プレフィクスもすべての問合せされたメッセージの他の
いずれかのプレフィクスに等しくない場合と、問合せさ
れたメッセージのうちに等しいプレフィクスがある場合
とに分解される。式3では、fのMACがE
,pref=により偽造される確率が、E
+,pref=が起こり、かつ、同じプレフィクスを有
するメッセージのうちにサフィクスのハッシュの衝突が
起こらない確率と等値される。式4は、ドモルガンの法
則を用いた式3の書き換えである。式6では、同じプレ
フィクスを有する集合中での衝突の確率が、q個のすべ
ての問合せでの衝突の確率で置き換えられる。式9は、
ENMACを偽造する確率εが、MACを偽造する確
率εと、衝突を見つける確率εの和より小さいとい
う、われわれの求める結果である。
【0036】実際には、データはバイト単位で処理され
ることが多いため、メッセージxの長さが、上で指定し
たb−2ビットではなくb−8ビットより小さいとき
に、単一ブロックの場合を実行するほうが適当かもしれ
ない。多重ブロックENMACの場合、非ワード境界か
ら開始してxsuffを形成すると、xsuffにおけ
る全ワードの再配置(アラインメントのしなおし)を引
き起こすことがある。これは、次のように、実用的な目
的のために、ビットではなくバイトサイズを用いたEN
MACの変形を用いることにより回避することができ
る。
【数3】 ここで、基礎となる暗号ハッシュ関数fとしてSHA−
1を用いた場合、 xpref=x...x|x|−344suff=x|x|−343...x|x| である。63バイト(504ビット)までの長さのメッ
セージについては、メッセージを504ビットにパディ
ングするための1つの1とそれに続く0の追加的なパデ
ィングに加えて、最終バイトが、ブロックインジケータ
のために、すなわち「X0000001」として予約さ
れる。ここで、1は単一ブロックメッセージを示し、X
は、504ビットのパディングなしメッセージにつづく
「1」であることが可能である。504ビットより短い
パディングなしメッセージの場合、Xは「0」である。
504ビットより長いメッセージの場合、メッセージは
部分xprefおよびxsuffに分割される。ここ
で、xsuffの長さは43バイト(344ビット)で
あり、xprefの長さ=メッセージの長さ−344ビ
ット、である。
【0037】上記の実施例に加えて、本発明の原理によ
るメッセージ認証システムは、入力パラメータや圧縮
(ハッシュ)関数あるいはその他の演算、鍵値の省略あ
るいは追加を行うことや、上記のシステムの変形あるい
は一部を使用することも可能である。例えば、図13a
および図13bは、次のような改良されたHMACとし
て使用されるメッセージ認証システムの実施例を示す。
【数4】 第1の図13aの場合、メッセージxは単一ブロックに
収まる。これは、メッセージxが、b−1−他フィール
ド、より小さくなければならないことを意味する。ここ
で、他フィールドには、ハッシュ関数Fのパディングあ
るいは長さ付加方式によるいくつかのビットが含まれ
る。xが十分小さいと仮定すると、最初の部分がk
(+)opadで、それにxが続き、さらにそれに1に
セットされた1ビットが続くという、より長い入力が形
成される。このより長いメッセージは、基礎となるハッ
シュ関数Fに入力される。Fの内部を見ると、まず、鍵
k1が、圧縮関数f(k(+)opad)を呼び出すこ
とによって生成される。ここで、kは、適当な長さにパ
ディングされなければならない可能性がある。その結果
は、圧縮関数への次の呼出しのための連鎖変数として使
用される。そのペイロードは、(x,1)に、ハッシュ
関数Fの仕様に従ってパディングあるいは長さ付加した
ものである。
【0038】図13bは、メッセージxが、必要な付加
フィールドとともに、1ブロックに収まらない場合であ
り、この場合、ストリングxは、2つの部分(セグメン
ト)xprefおよびxsuffに分解される。ここ
で、 xpref=x...xb−t−1−othersuff=xの残りの部分 である。まず、内側ハッシュ関数130で、鍵kとip
adの間のビットごとの排他的論理和を実行してk2を
生成する。このk2は、入力ブロックxsuff とと
もに連鎖変数として使用される。ブロックxsuffn
が最後の圧縮関数に入力されるまで、圧縮関数fが、パ
ディング、付加長フィールドあるいはその他のフィール
ドとともに呼び出され、F(k(+)ipad,x
suff)のハッシュ関数の結果が生成される。ここ
で、kは、適当な長さにパディングされなければならな
いこともある。外側ハッシュ関数132では、値IVを
連鎖変数とし、k(+)opadを入力として圧縮関数
134を呼び出すことによって、鍵k1が決定される。
値k1は、xprefの後にF(k(+)ipad,x
su ff)を付加しその後にゼロを付加したものを入力
とする圧縮関数136のための連鎖変数として使用され
る。その結果のF(k(+)opad,xpref,F
(k(+)ipad,xsuff),0)は、MACを
提供するために使用することができる。
【0039】図14aおよび図14bは、バイト単位で
の具体的実装例に関して以下で説明するようなSMAC
システムとして使用される、メッセージ認証システムの
もう1つの実施例を示す。
【数5】 pref: バイトx...x|x|−43suff: バイトx|x|−42...x|x|
【0040】他の実施例と同様、SMACは2つの場合
からなる。すなわち、図14aの単一ブロック(≦63
バイト)の場合、および、図14bの多重ブロック(>
63バイト)の場合である。いずれの場合でも、SHA
関数のような鍵つき圧縮関数fへの呼出しが行われる。
単一ブロックの場合、他の関数呼び出しは不要である。
しかし、多重ブロックの場合、標準のSHA1_HAS
Hのような鍵なしハッシュ関数F(140)が、メッセ
ージの最初の部分xprefに適用される。次に、その
ハッシュ結果と、メッセージの残りの部分が入力すなわ
ちペイロードブロックに入れられ、鍵つき圧縮関数f
(142)への呼出しが行われる。SHA−1圧縮関数
fの引数の詳細を下記の表3および表4に示す。
【0041】示されているように、sha1圧縮関数の
512番目のビットは、「単一ブロックインジケータビ
ット」として使用され、単一ブロックの場合には1にセ
ットされ、多重ブロックの場合には0にセットされる。
この実施例ではメッセージはバイトの倍数で処理される
ため、最終バイト内の残りのビットはいずれも、メッセ
ージを処理するために使用することはできない。したが
って、圧縮関数の最終(64番目の)バイト全体が予約
される。多重ブロックの場合、表4に示すように、ビッ
ト505〜511もまたゼロにセットされる。単一ブロ
ックの場合、ビット506〜511はゼロにセットされ
るが、505番目のビットは追加のパディングビットと
して使用される。その機能は、単一ブロックの場合に使
用されるパディング方式について説明した後には明らか
になるであろう。
【0042】1ブロックを部分的に満たすメッセージは
パディング方法を必要とする。多重ブロックの場合は、
圧縮関数を満たすためにパディング方法を必要としな
い。その理由は、ブロックは表4に示すように完全に満
たされるからである。しかし、SHA1_HASH関数
は、xprefをハッシュするときに、その固有のパデ
ィングを使用する。単一ブロックの場合にメッセージを
パディングするため、1個の1をメッセージに付加した
後、ブロック内の残りのビット数が満たされるまで(よ
り正確には、505番目のビットが満たされるまで)の
個数のゼロ(ないこともある)を付加する。例として、
単一ブロックメッセージの長さが63バイトすなわち5
04ビットである特殊な場合には、1個の1が505番
目のビットに付加される。残りのビット506〜512
は前述のように満たされる。
【0043】多重ブロックの場合、ハッシュ関数F(1
40)は、ブロックxpref1〜xprefnにおい
ては、メッセージの最後の43バイト以外のすべてのバ
イトに適用され、20バイトのダイジェストを出力す
る。最後の43バイトは、圧縮関数f(142)によっ
て処理されるようにするため、ハッシュ関数Fでは処理
されない。43バイトである理由は、表4に示すよう
に、利用可能な64バイトのうち、最初の20バイトは
ダイジェストとして使用され、最終バイトは、SHA−
1ハッシュ関数およびSHA−1圧縮関数のために特別
に予約されるからである。
【0044】
【表3】 表3: 単一ブロックの場合: sha1圧縮関数の引
【0045】
【表4】 表4: 多重ブロックの場合: sha1圧縮関数の引
【0046】図15に、SMAC関数の流れ図を示す。
最初に、ステップ148で、鍵がIVとXORされ、s
ha1圧縮関数の連鎖変数にロードされる。ブロック1
50で、処理回路は、|x|>63バイトであるかどう
かを判断する。|x|>63バイトでない場合、処理回
路は単一ブロックの場合に進み、ブロック152で、メ
ッセージxが圧縮関数fの512ビットブロックの左側
にロードされる。ブロック154で、処理回路は、次の
ビットに「1」を付加する。ブロック156で、最後の
512番目のビットまで、ブロックの残りの部分がゼロ
で満たされる。ブロック158で、最後の512番目の
ビットは1にセットされる。ブロック160で、連鎖変
数(K XOR IV)と、ブロック152〜158か
らのペイロードとを用いて圧縮関数fが呼び出される。
ブロック162で、20バイトのMACが返される。
【0047】ブロック150で、|x|>63バイトで
ある場合、処理回路は多重ブロックの場合に進む。ブロ
ック164で、メッセージxは2つの断片、すなわち、
ref:バイトx...x|x|−43と、x
suff:バイトx|x|−42...x|x|、に分割
される。ブロック166で、SHA1_HASH関数が
refで呼び出され、20バイトの結果が生成され
る。ブロック168で、この20バイトの結果が、sh
a1圧縮関数の64バイトブロックの左側にロードさ
れ、xsuffがバイト21〜63に付加される。ブロ
ック170で、最後の64番目のバイトが0にセットさ
れる。最後に、ブロック172で、最初に計算された連
鎖変数(K XOR IV)と、ブロック168および
170からのペイロードとを用いて、sha1圧縮関数
が呼び出される。ブロック162で、20バイトのMA
Cが返される。
【0048】SMACはHMACよりもNMACに近い
ため、SMACをHMACではなくNMACと比較する
ことにする。NMACは、ハッシュ関数Fへの内側呼出
しと、圧縮関数fへの外側呼出しを有する。SMAC
は、63バイトより長いメッセージに対しては同じこと
を行うが、それより短いメッセージに対してはハッシュ
呼出しをスキップする。長いメッセージの場合、SMA
Cは、メッセージの一部を外側圧縮呼出しで処理するた
め、内側ハッシュ関数呼び出しにより処理されるテキス
トが少なくなる。NMACはこれを行わないが、代わり
に、外側圧縮呼出しのペイロードの残りをゼロで満た
す。NMACでは、内側ハッシュ関数は鍵つきであるの
に対して、SMACは、内側呼出しに鍵をかけない。S
MACの内側呼出しに鍵をかけることも可能であるが、
効率性の目的のために、本実施例ではそのようにしなか
った。その安全性は基本的に影響を受けない。その理由
は、鍵なしSHA1_HASH関数であっても衝突を見
つけるのは実行不可能であると考えられているからであ
る。
【0049】以下は、SMACを実装するために使用可
能なコードである。
【0050】 内側格納データへの出力: MAC 32 bits /* smacは次の関数を呼び出す */ sha1_comp(unsigned char cv[20], unsigned char temp[64], unsigned char adigest[20]) { /* sha1_compはsha1圧縮関数であり、cvは160ビットの連鎖変数であ り、tempは512ビットのペイロードであり、結果は160ビットのadigestに 出力される */ ... } SHA1_HASH(unsigned char *M, int textlen, unsigned char adigest[20]) { /* SHA1_HASHはハッシュ関数であり、Mはメッセージであり、textlenはメッ セージ内のバイト数であり、結果は160ビットのadigestに出力される */ ... } smac(int keylen, unsigned char *K, int textlen, unsigned char *M, unsign ed char mac[20]) { int i, j; unsigned char cv[20], temp[64]; /* 20バイトの連鎖変数cvをfips180で定義されるようにセット */ cv[0]=0x67; cv[1]=0x45; cv[2]=0x23; cv[3]=0x01; cv[4]=0xef; cv[5]=0xcd; cv[6]=0xab; cv[7]=0x89; cv[8]=0x98; cv[9]=0xba; cv[10]=0xdc; cv[11]=0xfe; cv[12]=0x10; cv[13]=0x32; cv[14]=0x54; cv[15]=0x76; cv[16]=0xc3; cv[17]=0xd2; cv[18]=0xe1; cv[19]=0xf0; /* 鍵を連鎖変数とXORする */ for(i=0; i<keylen; i++) cv[i] = cv[i] ^ K[i]; /* temp圧縮ブロックをオールゼロにセット */ for(i=0; i<64; i++) temp[i] = 0; if ( textlen <= 63 ) { /* メッセージを最も左側にロード */ for(i=0; i<textlen; i++) temp[i] = M[i]; temp[i] = 0x80; /* '1'を付加。残りのビットは事前に0にセットされる */ temp[63] = temp[63] | 0x01; /* 512番目のビットを'1'にセット */ sha1_comp(cv, temp, mac); } else { /* textlen > 63 */ /* Mのプレフィクスに対するSHA1_HASH */ SHA1_HASH(M, textlen-43, mac); for(i=0; i<20; i++) temp[i] = mac[i]; /* ダイジェストを最も左側にコピー */ for(i=20; i<63; i++) temp[i] = M[textlen-43+(i-20)]; /* 次にMのサフィクスをコピー */ temp[63] = 0x00; /* 最終バイトをゼロにセット */ sha1_comp(cv, temp, mac); } }
【0051】以上、MACシステムについて、SHA−
1のような特定のハッシュ(圧縮)関数とともに使用さ
れるものとして説明したが、他のハッシュ関数や関連す
る暗号関数、また、別のあるいは追加の関数を使用する
ことも可能である。さらに、メッセージ、ペイロード、
連鎖変数および鍵値について、特定のビットあるいはバ
イトが記載されているが、実施例に依存して、これらの
数は変更可能である。さらに、鍵値は、鍵またはその一
部から導出された鍵であることも可能である。理解され
るべき点であるが、さまざまな値、入力およびアーキテ
クチャブロックについて、異なる記法、用語および特徴
づけを使用することも可能である。例えば、圧縮関数f
という用語が使用され、ハッシュ関数Fという用語が使
用され、反復ハッシュ関数Fは、圧縮関数fの反復(連
鎖)を用いて構成されている。理解されるべき点である
が、圧縮関数はハッシュ関数でもある。
【0052】代替実施例では、メッセージ認証システム
について記載された関数は、ホーム認証センタ、ホーム
ロケーションレジスタ(HLR)、ホームMSC、在圏
認証センタ、在圏ロケーションレジスタ(VLR)ある
いは在圏MSCにある処理回路で実行されることが可能
である。さらに、メッセージ認証センタおよびその各部
分は、ワイヤレス装置、基地局、基地局コントローラ、
MSC、VLR、HLRあるいはその他のワイヤレス通
信システムのサブシステムで実行されることが可能であ
る。実施例に依存して、MACは、メッセージとともに
送信されることが可能であり、その場合、MACは、受
信端で生成されたMACと比較・検証される。MACが
メッセージとともに送信される前に、追加機能がMAC
を変更あるいは変換することが可能であり、その場合、
同じ機能が、比較・検証(メッセージ認証)のために、
受信端で生成されるMACに対して実行されることが可
能である。最後に、MACが送信され、追加機能が、受
信されたMACと受信端で生成されたMACを変更ある
いは変換してメッセージ認証を実行することも可能であ
る。追加機能の一例は、メッセージ認証を実行する際の
比較・検証機能のために、MACの下位32ビットを使
用するものである。こうして、MAC、あるいは、変更
または変換されたMACは、MACまたはタグと呼ぶこ
とが可能である。
【0053】さらに、上記では、メッセージ認証システ
ムはワイヤレス通信システムに関連して説明されている
が、メッセージ認証システムは、送信側から受信側へ任
意のネットワークあるいは通信媒体を通じて送信される
通信メッセージを認証(その完全性を検証)するために
使用可能である。
【0054】
【発明の効果】以上述べたごとく、本発明によれば、長
短両方のメッセージがHMACより効率的にメッセージ
認証されることが可能となる。
【0055】特許請求の範囲の発明の要件の後に括弧で
記載した番号がある場合は、本発明の一実施例の対応関
係を示すものであって、本発明の範囲を限定するものと
解釈すべきではない。
【図面の簡単な説明】
【図1】本発明の原理によるMAC生成システムを使用
可能なワイヤレス通信システムの概略図である。
【図2】ワイヤレス装置からワイヤレス通信システムへ
送信されるメッセージを認証するためにMACがどのよ
うに使用されるかを示す概略図である。
【図3】ワイヤレス通信システムからワイヤレス装置へ
送信されるメッセージを認証するためにMACがどのよ
うに使用されるかを示す概略図である。
【図4】圧縮関数fのブロック図である。
【図5】与えられた圧縮関数fに対するハッシュ関数F
の反復構成を示すブロック図である。
【図6】鍵つきハッシュ関数を示すブロック図である。
【図7】ネスト化ハッシュ関数(NMAC)を示すブロ
ック図である。
【図8】HMACとして知られるNMACの変形を示す
ブロック図である。
【図9】本発明の原理によるメッセージ認証システムに
おける単一ブロックの場合のブロック図である。
【図10】本発明の原理によるメッセージ認証システム
における多重ブロックの場合のブロック図である。
【図11】本発明の原理によるメッセージ認証システム
のENMAC実施例のブロック図である。
【図12】本発明の原理によるメッセージ認証システム
のENMAC実施例の流れ図である。
【図13】本発明の原理によるメッセージ認証システム
のEHMAC実施例のブロック図である。
【図14】本発明の原理によるメッセージ認証システム
のSMAC実施例のブロック図である。
【図15】本発明の原理によるメッセージ認証システム
のSMAC実施例の流れ図である。
【符号の説明】
12 ワイヤレス装置 14,16 地理的領域(地理的エリア) 20,24 移動通信交換局(MSC) 22,26 基地局 25 ワイヤライン装置 28 公衆交換電話網(PSTN) 29 パケットデータネットワーク(PDN) 32 シグナリングネットワーク(信号網) 34 ホームロケーションレジスタ(HLR) 36 在圏ロケーションレジスタ(VLR) 50,52,56,58 MACジェネレータ 90 鍵つき圧縮関数f 102 外側ハッシュ(圧縮)関数f 130 内側ハッシュ関数 132 外側ハッシュ関数 134,136 圧縮関数 140 鍵なしハッシュ関数F 142 鍵つき圧縮関数f
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596077259 600 Mountain Avenue, Murray Hill, New Je rsey 07974−0636U.S.A. (72)発明者 シャールバール パテール アメリカ合衆国、07045 ニュージャージ ー州、モントヴィル、ミラー レーン 34 Fターム(参考) 5J104 AA08 JA01 JA21 LA01 LA03 LA05 NA12 PA01 5K067 AA30 DD51 EE02 EE10 EE16 GG01 GG11 HH24

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 認証のためにメッセージを処理する方法
    において、 前記メッセージが圧縮関数の1入力ブロック内に収まる
    ときに、鍵および前記メッセージを入力として使用し
    て、前記圧縮関数の単一の適用を実行するステップと、 前記メッセージが前記圧縮関数の1入力ブロック内に収
    まらないときに、前記メッセージを処理するために、鍵
    つきハッシュ関数内にネストされたハッシュ関数を使用
    するステップとを有することを特徴とする、認証のため
    にメッセージを処理する方法。
  2. 【請求項2】 前記使用するステップは、 前記メッセージの第1部分および第2部分を提供するス
    テップと、 前記第1部分を入力として使用してハッシュ関数を実行
    して結果を得るステップと、 前記第2部分および前記結果を入力として使用して鍵つ
    きハッシュ関数を実行するステップとを有することを特
    徴とする請求項1記載の方法。
  3. 【請求項3】 前記ハッシュ関数は反復ハッシュ関数F
    であり、前記鍵つきハッシュ関数は鍵つき圧縮関数fで
    あることを特徴とする請求項2記載の方法。
  4. 【請求項4】 前記ハッシュ関数は反復ハッシュ関数F
    であり、前記鍵つきハッシュ関数は反復ハッシュ関数F
    であることを特徴とする請求項2記載の方法。
  5. 【請求項5】 前記圧縮関数の結果を用いてメッセージ
    認証コードを生成するステップと、 前記メッセージ認証コードを用いて前記メッセージを認
    証するために、前記メッセージとともに前記メッセージ
    認証コードを送信するステップとをさらに有することを
    特徴とする請求項1記載の方法。
  6. 【請求項6】 前記圧縮関数の結果を用いてメッセージ
    認証コードを生成するステップと、 前記メッセージ認証コードを、前記メッセージとともに
    受信された受信メッセージ認証コードと比較するステッ
    プとをさらに有し、 前記メッセージ認証コードと前記受信メッセージ認証コ
    ードが一致した場合に前記メッセージは真正であること
    を特徴とする請求項1記載の方法。
  7. 【請求項7】 認証のためにメッセージを処理する方法
    において、 前記メッセージの第1部分および第2部分を提供するス
    テップと、 結果を得るために、前記第1部分を入力として使用して
    ハッシュ関数を実行するステップと、 前記第2部分および前記結果を入力として使用して鍵つ
    きハッシュ関数を実行するステップとを有することを特
    徴とする、認証のためにメッセージを処理する方法。
  8. 【請求項8】 前記メッセージが圧縮関数の1入力ブロ
    ック内に収まるかどうかを判断するステップと、 前記メッセージが圧縮関数の1入力ブロック内に収まら
    ないときに、前記提供するステップ、前記ハッシュ関数
    を実行するステップおよび前記鍵つきハッシュ関数を実
    行するステップを実行するステップとを有することを特
    徴とする請求項7記載の方法。
  9. 【請求項9】 メッセージが圧縮関数の1入力ブロック
    内に収まるときに、鍵および前記メッセージを入力とし
    て使用して、前記圧縮関数の単一の適用を実行し、前記
    メッセージが前記圧縮関数の1入力ブロック内に収まら
    ないときに、前記メッセージを処理するために、鍵つき
    ハッシュ関数内にネストされたハッシュ関数を使用する
    ように構成された処理回路を有することを特徴とするメ
    ッセージ認証システム。
  10. 【請求項10】 メッセージの第1部分および第2部分
    を提供し、結果を得るために、前記第1部分を入力とし
    て使用してハッシュ関数を実行し、前記第2部分および
    前記結果を入力として使用して鍵つきハッシュ関数を実
    行するように構成された処理回路を有することを特徴と
    するメッセージ認証システム。
JP2002136120A 2001-05-11 2002-05-10 認証のためにメッセージを処理する方法 Pending JP2003051821A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/854251 2001-05-11
US09/854,251 US20030041242A1 (en) 2001-05-11 2001-05-11 Message authentication system and method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009023637A Division JP2009159618A (ja) 2001-05-11 2009-02-04 認証のためにメッセージを処理する方法

Publications (2)

Publication Number Publication Date
JP2003051821A true JP2003051821A (ja) 2003-02-21
JP2003051821A5 JP2003051821A5 (ja) 2005-08-04

Family

ID=25318149

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2002136120A Pending JP2003051821A (ja) 2001-05-11 2002-05-10 認証のためにメッセージを処理する方法
JP2009023637A Withdrawn JP2009159618A (ja) 2001-05-11 2009-02-04 認証のためにメッセージを処理する方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2009023637A Withdrawn JP2009159618A (ja) 2001-05-11 2009-02-04 認証のためにメッセージを処理する方法

Country Status (8)

Country Link
US (1) US20030041242A1 (ja)
EP (2) EP1257084B1 (ja)
JP (2) JP2003051821A (ja)
KR (1) KR100884488B1 (ja)
AT (1) ATE268963T1 (ja)
DE (1) DE60103737T2 (ja)
ES (1) ES2220679T3 (ja)
TR (1) TR200402260T4 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006041684A (ja) * 2004-07-23 2006-02-09 Sony Corp 暗号処理装置および暗号処理方法
WO2007052477A1 (ja) * 2005-11-04 2007-05-10 Nec Corporation メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式
JP2008219746A (ja) * 2007-03-07 2008-09-18 Fujitsu Ltd 情報送信装置、情報送信方法、情報送信プログラムおよび該プログラムを記録した記録媒体
JP2009129391A (ja) * 2007-11-28 2009-06-11 Nippon Telegr & Teleph Corp <Ntt> メッセージ認証子生成装置、メッセージ認証子検証装置、メッセージ認証子生成方法、メッセージ認証子検証方法、プログラム、および記録媒体
JP2009188794A (ja) * 2008-02-07 2009-08-20 Nippon Telegr & Teleph Corp <Ntt> メッセージ認証子生成装置、メッセージ認証子検証装置、メッセージ認証子生成方法、メッセージ認証子検証方法、プログラム、および記録媒体
WO2010024379A1 (ja) * 2008-08-29 2010-03-04 日本電気株式会社 通信システム、送信側及び受信又は転送側の通信装置、データ通信方法、データ通信プログラム
JP2010128154A (ja) * 2008-11-27 2010-06-10 Nippon Telegr & Teleph Corp <Ntt> ハッシュ値生成装置、検証装置、ハッシュ値生成方法、検証方法、プログラム、および記録媒体
JP2011210278A (ja) * 2005-09-14 2011-10-20 Sandisk Corp メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック
JP2014232301A (ja) * 2013-05-29 2014-12-11 韓國電子通信研究院Electronics and Telecommunications Research Institute ハッシュアルゴリズムにおける圧縮演算を行うための装置および方法
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
JP2017522807A (ja) * 2014-06-25 2017-08-10 アナログ ディヴァイスィズ インク メタデータをハードウェア固有の特性とバインドするシステムおよびデバイス
US10771267B2 (en) 2014-05-05 2020-09-08 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050271246A1 (en) * 2002-07-10 2005-12-08 Sharma Ravi K Watermark payload encryption methods and systems
US7702910B2 (en) 2002-10-24 2010-04-20 Telefonaktiebolaget L M Ericsson (Publ) Message authentication
US7284127B2 (en) 2002-10-24 2007-10-16 Telefonktiebolaget Lm Ericsson (Publ) Secure communications
US7539304B1 (en) * 2002-11-18 2009-05-26 Silicon Image, Inc. Integrated circuit having self test capability using message digest and method for testing integrated circuit having message digest generation circuitry
CN100449986C (zh) * 2003-01-28 2009-01-07 华为技术有限公司 一种提高键入-散列法运算速度的方法
WO2005039100A1 (en) * 2003-10-16 2005-04-28 Matsushita Electric Industrial Co., Ltd. Encrypted communication system and communication device
US8127137B2 (en) 2004-03-18 2012-02-28 Digimarc Corporation Watermark payload encryption for media including multiple watermarks
US20070153766A1 (en) * 2004-04-16 2007-07-05 Nortel Networks Limited System and method for providing early ringback by a home legacy mobile station domain network
US9094429B2 (en) * 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
US7953971B2 (en) * 2005-10-27 2011-05-31 Research In Motion Limited Synchronizing certificates between a device and server
WO2007108660A1 (en) * 2006-03-22 2007-09-27 Lg Electronics Inc. Asymmetric cryptography for wireless systems
JP4810289B2 (ja) * 2006-04-17 2011-11-09 ルネサスエレクトロニクス株式会社 メッセージ認証子生成装置、メッセージ認証子検証装置、及びメッセージ認証システム
FR2918830B1 (fr) * 2007-07-13 2009-10-30 Viaccess Sa Verification de code mac sans revelation.
US20090245506A1 (en) * 2008-04-01 2009-10-01 Mathieu Ciet Fourier series based authentication/derivation
US8543820B2 (en) * 2009-05-11 2013-09-24 Nec Corporation Tag generation apparatus, tag verification apparatus, communication system, tag generation method, tag verification method, and recording medium
KR101072277B1 (ko) * 2009-08-31 2011-10-11 주식회사 아나스타시스 실시간 데이터 무결성 보장 장치 및 방법과 이를 이용한 블랙박스 시스템
US8923218B2 (en) 2009-11-02 2014-12-30 Qualcomm Incorporated Apparatus and method for random access signaling in a wireless communication system
DE102010042539B4 (de) * 2010-10-15 2013-03-14 Infineon Technologies Ag Datensender mit einer sicheren, aber effizienten Signatur
DE102012201164B4 (de) * 2012-01-26 2017-12-07 Infineon Technologies Ag Vorrichtung und verfahren zur erzeugung eines nachrichtenauthentifizierungscodes
EP2683112B1 (en) 2012-07-03 2017-09-27 ABB Research Ltd. Secure message transmission
KR101516573B1 (ko) * 2013-07-26 2015-05-04 한국전자통신연구원 해시 알고리즘에서의 압축 연산을 수행하기 위한 장치 및 방법
KR101572935B1 (ko) 2014-10-02 2015-12-11 현대자동차주식회사 메시지 인증 코드 혼합을 통한 can 패킷 인증 방법 및 그 장치
KR102021177B1 (ko) * 2017-01-17 2019-09-11 인제대학교 산학협력단 동적 분리 채널에서의 메시지 인증코드 전송을 통한 위변조 검증 방법 및 시스템
EP3574608B1 (en) * 2017-01-25 2022-03-30 Koninklijke KPN N.V. Guaranteeing authenticity and integrity in signalling exchange between mobile networks
RU2697953C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ вынесения решения о компрометации данных
US10885170B1 (en) * 2018-11-20 2021-01-05 Apotheka Systems Inc. Methods, systems, and storage media for managing patient information using a blockchain network
WO2021201779A1 (en) * 2020-03-31 2021-10-07 Agency For Science, Technology And Research Method and system for generating a hash-based message authentication code (hmac) based on white-box implementation

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5664016A (en) * 1995-06-27 1997-09-02 Northern Telecom Limited Method of building fast MACS from hash functions
KR19980050938A (ko) * 1996-12-21 1998-09-15 양승택 인터넷 상에서 암호환된 문서 전송방법
KR19990053174A (ko) * 1997-12-23 1999-07-15 정선종 해쉬함수를 이용한 정보의 무결성 확인방법

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006041684A (ja) * 2004-07-23 2006-02-09 Sony Corp 暗号処理装置および暗号処理方法
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
JP2011210278A (ja) * 2005-09-14 2011-10-20 Sandisk Corp メモリカードコントローラファームウェアのハードウェアドライバ完全性チェック
JP4735644B2 (ja) * 2005-11-04 2011-07-27 日本電気株式会社 メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体
WO2007052477A1 (ja) * 2005-11-04 2007-05-10 Nec Corporation メッセージ認証装置、メッセージ認証方法、メッセージ認証プログラムとその記録媒体
US8589688B2 (en) 2005-11-04 2013-11-19 Nec Corporation Message authentication device, message authentication method, message authentication program and storage medium therefor
JP2008219746A (ja) * 2007-03-07 2008-09-18 Fujitsu Ltd 情報送信装置、情報送信方法、情報送信プログラムおよび該プログラムを記録した記録媒体
JP2009129391A (ja) * 2007-11-28 2009-06-11 Nippon Telegr & Teleph Corp <Ntt> メッセージ認証子生成装置、メッセージ認証子検証装置、メッセージ認証子生成方法、メッセージ認証子検証方法、プログラム、および記録媒体
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式
JP2009188794A (ja) * 2008-02-07 2009-08-20 Nippon Telegr & Teleph Corp <Ntt> メッセージ認証子生成装置、メッセージ認証子検証装置、メッセージ認証子生成方法、メッセージ認証子検証方法、プログラム、および記録媒体
WO2010024379A1 (ja) * 2008-08-29 2010-03-04 日本電気株式会社 通信システム、送信側及び受信又は転送側の通信装置、データ通信方法、データ通信プログラム
JP2010128154A (ja) * 2008-11-27 2010-06-10 Nippon Telegr & Teleph Corp <Ntt> ハッシュ値生成装置、検証装置、ハッシュ値生成方法、検証方法、プログラム、および記録媒体
JP2014232301A (ja) * 2013-05-29 2014-12-11 韓國電子通信研究院Electronics and Telecommunications Research Institute ハッシュアルゴリズムにおける圧縮演算を行うための装置および方法
US10771267B2 (en) 2014-05-05 2020-09-08 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
US10931467B2 (en) 2014-05-05 2021-02-23 Analog Devices, Inc. Authentication system and device including physical unclonable function and threshold cryptography
JP2017522807A (ja) * 2014-06-25 2017-08-10 アナログ ディヴァイスィズ インク メタデータをハードウェア固有の特性とバインドするシステムおよびデバイス
US10958452B2 (en) 2017-06-06 2021-03-23 Analog Devices, Inc. System and device including reconfigurable physical unclonable functions and threshold cryptography

Also Published As

Publication number Publication date
TR200402260T4 (tr) 2004-12-21
DE60103737T2 (de) 2005-07-07
EP1257084B1 (en) 2004-06-09
EP1257084A1 (en) 2002-11-13
KR20020086232A (ko) 2002-11-18
JP2009159618A (ja) 2009-07-16
DE60103737D1 (de) 2004-07-15
ES2220679T3 (es) 2004-12-16
ATE268963T1 (de) 2004-06-15
US20030041242A1 (en) 2003-02-27
KR100884488B1 (ko) 2009-02-18
EP1387524A1 (en) 2004-02-04

Similar Documents

Publication Publication Date Title
JP2003051821A (ja) 認証のためにメッセージを処理する方法
US8473744B2 (en) Methods and systems for unilateral authentication of messages
EP1554834B1 (en) Secure communications
CN109559122A (zh) 区块链数据传输方法及区块链数据传输系统
ES2279868T3 (es) Autenticacion local en un sistema de comunicacion.
EP1554835B1 (en) Message authentication code based on error correcting code
CN101771992B (zh) 国际移动用户标识符imsi机密性保护的方法、设备及系统
US6532290B1 (en) Authentication methods
CN109376824B (zh) 动态二维码生成方法和系统
KR20000011999A (ko) 무선통신시스템에서보안공유된데이터를갱신하는방법
JPH10242959A (ja) 通信システムで安全に通信を行う方法
CN103765809A (zh) 隐式认证的公钥
US11165592B2 (en) Systems and methods for a butterfly key exchange program
CN114826656A (zh) 一种数据链路可信传输方法和系统
Windarta et al. Lightweight cryptographic hash functions: Design trends, comparative study, and future directions
JP2002232962A (ja) 移動通信認証インターワーキング方式
Patel An efficient MAC for short messages
CN114244531A (zh) 基于强puf的轻量级自更新消息认证方法
CN114186998A (zh) 一种基于区块链隐私通讯方法
JP4631423B2 (ja) メッセージの認証方法と該認証方法を用いたメッセージ認証装置およびメッセージ認証システム
Al-juaifari Secure SMS Mobile Transaction with Peer to Peer Authentication Design for Mobile Government
CN101707770B (zh) 一种可保障系统安全性的密钥交换认证方法
Sasaki Cryptanalyses on a Merkle-Damgård based MAC—almost universal forgery and distinguishing-H attacks
US20170366355A1 (en) Parity check message authentication code
KR101875528B1 (ko) 경량 장치를 위한 스테가노그래피 기법에 기반한 통신 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041227

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070604

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070904

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081001