JPH11234263A - 相互認証方法および装置 - Google Patents
相互認証方法および装置Info
- Publication number
- JPH11234263A JPH11234263A JP10030053A JP3005398A JPH11234263A JP H11234263 A JPH11234263 A JP H11234263A JP 10030053 A JP10030053 A JP 10030053A JP 3005398 A JP3005398 A JP 3005398A JP H11234263 A JPH11234263 A JP H11234263A
- Authority
- JP
- Japan
- Prior art keywords
- information
- verifier
- prover
- mutual authentication
- zero
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 演算能力の低いデバイスに適した相互認証を
提供する。 【解決手段】 証明者101は、コミットメントwを生
成して証明者111に送る。検証者111は、チャレン
ジS、μ、r’を証明者101に送り、証明者101と
共有する一方向性ハッシュ関数hを用いて、検証用指数
g=h(r’,μ)を計算する。証明者101は公開情
報を用いてSを検証し、さらにr’、μ、hを用いて、
検証用指数g’=h(r’,μ)を生成し、センタ12
1と共有する一方向性ハッシュ関数Fを用いて、レスポ
ンス生成情報y’≡rF(d,L,It)g' mod
nを生成し、さらにアクセスチケットt,検証用指数
g’を用いて、レスポンスy≡y’tg' mod nを
生成し、検証者111に送る。検証者111は、証明者
101の公開証明者情報JA等を用いて、検証情報w’
≡JA gEyv mod nを生成し、コミットメント
wと比較する。
提供する。 【解決手段】 証明者101は、コミットメントwを生
成して証明者111に送る。検証者111は、チャレン
ジS、μ、r’を証明者101に送り、証明者101と
共有する一方向性ハッシュ関数hを用いて、検証用指数
g=h(r’,μ)を計算する。証明者101は公開情
報を用いてSを検証し、さらにr’、μ、hを用いて、
検証用指数g’=h(r’,μ)を生成し、センタ12
1と共有する一方向性ハッシュ関数Fを用いて、レスポ
ンス生成情報y’≡rF(d,L,It)g' mod
nを生成し、さらにアクセスチケットt,検証用指数
g’を用いて、レスポンスy≡y’tg' mod nを
生成し、検証者111に送る。検証者111は、証明者
101の公開証明者情報JA等を用いて、検証情報w’
≡JA gEyv mod nを生成し、コミットメント
wと比較する。
Description
【0001】
【発明の属する技術分野】本発明は、個人認証の分野に
属し、特に検証者の認証も同時に行う相互認証の分野に
属する。
属し、特に検証者の認証も同時に行う相互認証の分野に
属する。
【0002】
【従来の技術】従来、認証を行う際にはRSA(Riv
est−Shamir−Adleman)暗号を基本と
した認証方式を用いるのが通常であった。RSA暗号
は、素因数分解の困難性にその安全性の根拠を置いた暗
号方式で、以下の式を満たすように構成された公開鍵
(e,n)、及び秘密鍵dを用いる。
est−Shamir−Adleman)暗号を基本と
した認証方式を用いるのが通常であった。RSA暗号
は、素因数分解の困難性にその安全性の根拠を置いた暗
号方式で、以下の式を満たすように構成された公開鍵
(e,n)、及び秘密鍵dを用いる。
【0003】
【数1】ed≡1 mod φ(n) ただし、上でnは二つ以上の素因数分解が困難なくらい
大きな素数の積からなる合成数法数、φ(n)は、乗法
群(Z=nZ)*の位数である。
大きな素数の積からなる合成数法数、φ(n)は、乗法
群(Z=nZ)*の位数である。
【0004】RSA暗号を用いて認証を行う場合は、上
記の秘密鍵で検証側から送信されるてくるチャレンジc
を暗号化して、レスポンスrを生成する。つまり、証明
側は
記の秘密鍵で検証側から送信されるてくるチャレンジc
を暗号化して、レスポンスrを生成する。つまり、証明
側は
【0005】
【数2】r≡cd mod n を計算して、検証側に送り返す。次に検証側は、送られ
てきたレスポンスrに対して以下の計算を行い、r’を
求める。
てきたレスポンスrに対して以下の計算を行い、r’を
求める。
【0006】
【数3】r’≡re mod n 証明側が公開鍵(e,n)に対応した秘密鍵dを知って
いるならば、チャレンジcとr’は一致する。なぜなら
ば、
いるならば、チャレンジcとr’は一致する。なぜなら
ば、
【0007】
【数4】ed≡1 mod φ(n) より、
【0008】
【数5】ed=Qφ(n)+1 が成り立つ。ただし、上記でQは適当な整数である。こ
のときオイラーの定理より、
のときオイラーの定理より、
【0009】
【数6】 となるからである。チャレンジcとr’が一致すると
き、認証は成功したと見なされる。
き、認証は成功したと見なされる。
【0010】RSA暗号を用いた相互認証を行う場合に
は、証明側の公開鍵(e,n)および秘密鍵d、そして
検証側の認証を行うための公開鍵(e’,n’)および
秘密鍵d’を用意する。(e’,n’)およびd’の生
成条件は上記に述べた(e,n)およびdの生成条件と
同じである。そしてこれら二つの鍵ペアを用いて、証明
側、検証側の双方の認証を行う。
は、証明側の公開鍵(e,n)および秘密鍵d、そして
検証側の認証を行うための公開鍵(e’,n’)および
秘密鍵d’を用意する。(e’,n’)およびd’の生
成条件は上記に述べた(e,n)およびdの生成条件と
同じである。そしてこれら二つの鍵ペアを用いて、証明
側、検証側の双方の認証を行う。
【0011】
【発明が解決しようとする課題】RSA暗号では、秘密
鍵dを法数n程度の大きな数としなければならない。こ
れは、秘密鍵dを小さい数とすると総当たり攻撃によ
り、dの値を知られてしまうためである。
鍵dを法数n程度の大きな数としなければならない。こ
れは、秘密鍵dを小さい数とすると総当たり攻撃によ
り、dの値を知られてしまうためである。
【0012】ところで、べき乗剰余計算cd mod
nの計算量は一般に指数dの値に比例する。通常、安全
性のために法数nは1024ビット程度の非常に大きな
数とされるため、RSA暗号を用いた認証では、証明を
行う側の計算量は膨大なものとなってしまう。
nの計算量は一般に指数dの値に比例する。通常、安全
性のために法数nは1024ビット程度の非常に大きな
数とされるため、RSA暗号を用いた認証では、証明を
行う側の計算量は膨大なものとなってしまう。
【0013】個人認証などにおいて、証明側はスマート
カード(ICカード)などの演算能力の低いデバイスを
用いることが多い。Bruce Schneiner,
Applied Cryptography(Seco
nd Edition),Wiley,1996によれ
ば、ワークステーション(SPARC2、米国サン・マ
イクロシステムズ社の商標))で、法数1024ビット
・公開鍵8ビットのRSA暗号系を使って1024ビッ
トのデータを処理する時間は、署名が0.97秒、検証
が0.08秒かかっている。このため、スマートカード
のような、演算能力の低いデバイスでは、認証の遅延を
引き起こすという問題があった。
カード(ICカード)などの演算能力の低いデバイスを
用いることが多い。Bruce Schneiner,
Applied Cryptography(Seco
nd Edition),Wiley,1996によれ
ば、ワークステーション(SPARC2、米国サン・マ
イクロシステムズ社の商標))で、法数1024ビット
・公開鍵8ビットのRSA暗号系を使って1024ビッ
トのデータを処理する時間は、署名が0.97秒、検証
が0.08秒かかっている。このため、スマートカード
のような、演算能力の低いデバイスでは、認証の遅延を
引き起こすという問題があった。
【0014】
【課題を解決するための手段】本発明では、相互証明に
用いられる認証方式としてゼロ知識証明方式を用いる。
すなわち、本発明によれば、上述の課題を解決するため
に、証明者が有資格者であることを保証するセンターが
生成する有資格情報を用い、証明者側の有資格性、およ
び検証者側の認証の双方をゼロ知識証明方式を用いて行
う相互認証方法において、証明者が不正な操作を施すこ
とが困難な演算方法によって生成されたレスポンス生成
情報に対して、センターが発行する有資格者情報を用い
て該レスポンス生成情報に演算を施し、演算を施した情
報をレスポンスとして検証者に提示することにより有資
格者であることを証明するようにしている。
用いられる認証方式としてゼロ知識証明方式を用いる。
すなわち、本発明によれば、上述の課題を解決するため
に、証明者が有資格者であることを保証するセンターが
生成する有資格情報を用い、証明者側の有資格性、およ
び検証者側の認証の双方をゼロ知識証明方式を用いて行
う相互認証方法において、証明者が不正な操作を施すこ
とが困難な演算方法によって生成されたレスポンス生成
情報に対して、センターが発行する有資格者情報を用い
て該レスポンス生成情報に演算を施し、演算を施した情
報をレスポンスとして検証者に提示することにより有資
格者であることを証明するようにしている。
【0015】このゼロ知識証明方式を用いた相互認証方
式では、べき乗剰余計算に用いられる指数が数ビットか
ら数十ビットで済むため、認証に必要な計算量を大幅に
削減することができ、認証の遅延を防止することが可能
となる。
式では、べき乗剰余計算に用いられる指数が数ビットか
ら数十ビットで済むため、認証に必要な計算量を大幅に
削減することができ、認証の遅延を防止することが可能
となる。
【0016】なお、本発明は、装置やコンピュータプロ
グラム製品としても実現可能である。
グラム製品としても実現可能である。
【0017】
【発明の実施の態様】以下では、認証者が検証者に送る
コミットメントwとして、
コミットメントwとして、
【0018】
【数7】w≡rv mod n を送り、検証者の認証をRSA暗号を用いて行う実施例
を説明する。ただし、上でnは素因数分解が困難な二つ
の大きな素数p,qの積からなる合成数法数、vはλ
(p−1,q−1)と互いに素なv≧3を満たす数ビッ
トから数十ビットの小さな素数とする(λ(x,y)は
x,yの最小公倍数を表わす)。
を説明する。ただし、上でnは素因数分解が困難な二つ
の大きな素数p,qの積からなる合成数法数、vはλ
(p−1,q−1)と互いに素なv≧3を満たす数ビッ
トから数十ビットの小さな素数とする(λ(x,y)は
x,yの最小公倍数を表わす)。
【0019】以下では、センタによって認証者に発行さ
れる有資格情報をアクセスチケットと呼ぶことにする。
れる有資格情報をアクセスチケットと呼ぶことにする。
【0020】図1に本実施例の基本構成を示す。
【0021】図1で、証明者101は認証プロトコルを
実行する演算装置102、及び証明者の身許を保証する
トークン103から成る。トークン103はスマートカ
ードなどのタンパープルーフな(tamper−pro
of:内部のデータや処理を外部から観察困難な状態)
装置で実現され、不正な方法では書き換えができない記
憶装置105、及びレスポンス生成情報を生成する際に
用いられ、検証者111との間で共有される一方向性ハ
ッシュ関数h、同じくレスポンス生成情報を生成する際
に用いられ、センタ121との間で共有される秘密の一
方向性ハッシュ関数Fを備えている。記憶装置105に
は証明者が受けたサービスに対応する課金情報などが記
憶される。またトークン103には証明者101の有資
格性を保証するためのアクセスチケット104が演算装
置102を通して送信され、これを内部に保持すること
ができる。
実行する演算装置102、及び証明者の身許を保証する
トークン103から成る。トークン103はスマートカ
ードなどのタンパープルーフな(tamper−pro
of:内部のデータや処理を外部から観察困難な状態)
装置で実現され、不正な方法では書き換えができない記
憶装置105、及びレスポンス生成情報を生成する際に
用いられ、検証者111との間で共有される一方向性ハ
ッシュ関数h、同じくレスポンス生成情報を生成する際
に用いられ、センタ121との間で共有される秘密の一
方向性ハッシュ関数Fを備えている。記憶装置105に
は証明者が受けたサービスに対応する課金情報などが記
憶される。またトークン103には証明者101の有資
格性を保証するためのアクセスチケット104が演算装
置102を通して送信され、これを内部に保持すること
ができる。
【0022】検証者111は認証プロトコルを実行する
演算装置112から成る。演算装置112は、チャレン
ジを生成する際に用いられ、認証者101と共有される
一方向性ハッシュ関数hを保持している。
演算装置112から成る。演算装置112は、チャレン
ジを生成する際に用いられ、認証者101と共有される
一方向性ハッシュ関数hを保持している。
【0023】センタ121は、アクセスチケット生成装
置123、証明者情報データベース124、アクセスチ
ケット発行データベース125から成る。センタ121
は証明者の要求に応じて、証明者情報データベース12
4、アクセスチケット発行データベース125から必要
な情報を取り出し、アクセスチケット生成装置123に
おいてアクセスチケット122を生成する。アクセスチ
ケット生成装置123は、アクセスチケットを生成する
際に用いられ、証明者101のトークン103との間で
共有される秘密の一方向性ハッシュ関数Fを備えてい
る。
置123、証明者情報データベース124、アクセスチ
ケット発行データベース125から成る。センタ121
は証明者の要求に応じて、証明者情報データベース12
4、アクセスチケット発行データベース125から必要
な情報を取り出し、アクセスチケット生成装置123に
おいてアクセスチケット122を生成する。アクセスチ
ケット生成装置123は、アクセスチケットを生成する
際に用いられ、証明者101のトークン103との間で
共有される秘密の一方向性ハッシュ関数Fを備えてい
る。
【0024】以下に証明者101、検証者111、セン
タ121が行う事前準備について説明する。
タ121が行う事前準備について説明する。
【0025】センタ121は、証明者101の電話番
号、FAX番号、住所などから成る公開情報IAを生成
する。次にセンタ121はIAにISO9796などで
定められる冗長性を加えて公開証明者情報JAを生成
し、これを公開する。
号、FAX番号、住所などから成る公開情報IAを生成
する。次にセンタ121はIAにISO9796などで
定められる冗長性を加えて公開証明者情報JAを生成
し、これを公開する。
【0026】またセンタ121は、このJAから証明者
秘密情報CAを以下の式に従って生成する。
秘密情報CAを以下の式に従って生成する。
【0027】
【数8】CAJA -s mod n ここで、sはセンタ121の秘密情報で、以下の式を満
たす正の整数である。
たす正の整数である。
【0028】
【数9】sv≡1 mod λ(p−1,q−1) 公開指数vはλ(p−1,q−1)と互いに素な素数な
ので、上記を満たす数sが存在する。この値は、例えば
ユークリッドの互除法などで法λ(p−1,q−1)の
下でのvの逆数を求め、これをsとすればよい。
ので、上記を満たす数sが存在する。この値は、例えば
ユークリッドの互除法などで法λ(p−1,q−1)の
下でのvの逆数を求め、これをsとすればよい。
【0029】センタ121は、上式によって生成された
CAを証明者101に付帯させた状態で、証明者情報デ
ータベース124に格納する。
CAを証明者101に付帯させた状態で、証明者情報デ
ータベース124に格納する。
【0030】次に検証者111は、RSA暗号に基づい
た認証を行うために、検証者公開鍵(eB,n’)、及
び検証者秘密鍵dBを生成する。ここで、n’はRSA
暗号に用いる法数で、素因数分解が困難な二つの大きな
素数p’,q’の積からなる合成数法数とし、eBはλ
(p’−1,q’−1)と互いに素な小さな数とする。
eBを小さな数とする理由は検証者の認証を行う証明者
101の計算量を少なくするためである。また検証者1
11の秘密鍵dBを以下の式を満たすものとする。
た認証を行うために、検証者公開鍵(eB,n’)、及
び検証者秘密鍵dBを生成する。ここで、n’はRSA
暗号に用いる法数で、素因数分解が困難な二つの大きな
素数p’,q’の積からなる合成数法数とし、eBはλ
(p’−1,q’−1)と互いに素な小さな数とする。
eBを小さな数とする理由は検証者の認証を行う証明者
101の計算量を少なくするためである。また検証者1
11の秘密鍵dBを以下の式を満たすものとする。
【0031】
【数10】 eBdBB≡1 mod λ(p’−1,q’−1) 上記の式を満たすdBを求めるには、例えばユークリッ
ドの互除法などで法λ(p’−1,q’−1)の下での
eBの逆数を求め、これをdBとすればよい。こうして生
成した公開鍵(eB,n’)を公開し、dBを検証者11
1の秘密情報として保持する。
ドの互除法などで法λ(p’−1,q’−1)の下での
eBの逆数を求め、これをdBとすればよい。こうして生
成した公開鍵(eB,n’)を公開し、dBを検証者11
1の秘密情報として保持する。
【0032】以上の検証者用の公開鍵、及び秘密鍵の生
成はセンタがこれを行い、秘密裏に秘密鍵を検証者11
1へ送付してもよい。
成はセンタがこれを行い、秘密裏に秘密鍵を検証者11
1へ送付してもよい。
【0033】以下に証明者101の要求に応じて、セン
タ121がアクセスチケット104を生成する過程を説
明する。
タ121がアクセスチケット104を生成する過程を説
明する。
【0034】まず、認証者101は検証者111から受
けたいサービスをセンタ121に通知する。センタ12
1は証明者に対して、その証明者に付帯されたトークン
秘密情報d、及び証明者秘密情報CAを証明者情報デー
タベースから検索し、検証者111から受けるサービス
からアクセスチケット識別子It、及び証明者101に
割り当てられたサービス利用制限情報Lをアクセスチケ
ット発行データベースから取り出す。サービス利用制限
情報Lには、例えば年齢、資格などに応じた証明者の受
けることのできるサービスの制限を記載する。
けたいサービスをセンタ121に通知する。センタ12
1は証明者に対して、その証明者に付帯されたトークン
秘密情報d、及び証明者秘密情報CAを証明者情報デー
タベースから検索し、検証者111から受けるサービス
からアクセスチケット識別子It、及び証明者101に
割り当てられたサービス利用制限情報Lをアクセスチケ
ット発行データベースから取り出す。サービス利用制限
情報Lには、例えば年齢、資格などに応じた証明者の受
けることのできるサービスの制限を記載する。
【0035】センタ121はd,CA,L,Itから以下
の式に従ってアクセスチケットtを計算し、証明者10
1にインターネットなどを使って送付する。
の式に従ってアクセスチケットtを計算し、証明者10
1にインターネットなどを使って送付する。
【0036】
【数11】t=CAF(d,L,It)-1 次に認証の手順について説明する。認証の手順は以下の
ステップに従って実行される。
ステップに従って実行される。
【0037】[ステップ200]証明者101は、トー
クン103において乱数rを生成する。
クン103において乱数rを生成する。
【0038】[ステップ201]続いて証明者101
は、ステップ200で生成した乱数rを用いてコミット
メントwを以下の式に従って生成する。
は、ステップ200で生成した乱数rを用いてコミット
メントwを以下の式に従って生成する。
【0039】
【数12】w≡rv mod n
【0040】[ステップ202]続いて証明者101
は、ステップ201で生成したコミットメントwを演算
装置102に送信する。
は、ステップ201で生成したコミットメントwを演算
装置102に送信する。
【0041】[ステップ203]続いて証明者101
は、演算装置102を用いて、ステップ201で生成し
たコミットメントw、検証者111から受けたいサービ
スに対応するアクセスチケット識別子It、及び対応す
るサービス利用制限情報Lを検証者111の演算装置1
12へ送信する。
は、演算装置102を用いて、ステップ201で生成し
たコミットメントw、検証者111から受けたいサービ
スに対応するアクセスチケット識別子It、及び対応す
るサービス利用制限情報Lを検証者111の演算装置1
12へ送信する。
【0042】[ステップ204]検証者111は演算装
置112において乱数r’を生成する。
置112において乱数r’を生成する。
【0043】[ステップ205]続いて検証者111は
演算装置112においてステップ204で生成された乱
数r’、サービスに対応する課金情報等のメッセージ
μ、アクセスチケット識別子Itを用いて、
演算装置112においてステップ204で生成された乱
数r’、サービスに対応する課金情報等のメッセージ
μ、アクセスチケット識別子Itを用いて、
【0044】
【数13】δ=μ|It|r’ を生成する。上記で「|」はビット結合を表わす。
【0045】[ステップ206]続いて検証者111は
演算装置112において、証明者101から送られてき
たコミットメントwの下位ビットをδで置き換えること
によって、w[δ]を生成する。
演算装置112において、証明者101から送られてき
たコミットメントwの下位ビットをδで置き換えること
によって、w[δ]を生成する。
【0046】[ステップ207]続いて検証者111は
演算装置112においてステップ206で生成されたw
[δ]を用いて、検証者111の認証データSを以下の
式に従って生成する。
演算装置112においてステップ206で生成されたw
[δ]を用いて、検証者111の認証データSを以下の
式に従って生成する。
【0047】
【数14】S≡w[δ]dB mod n’
【0048】[ステップ208]続いて検証者111は
演算装置112を用いて、ステップ207で生成された
検証者111の認証データSと、課金情報などの証明者
に対するメッセージμ、ステップ204で生成された乱
数r’をチャレンジとして証明者101に送信する。
演算装置112を用いて、ステップ207で生成された
検証者111の認証データSと、課金情報などの証明者
に対するメッセージμ、ステップ204で生成された乱
数r’をチャレンジとして証明者101に送信する。
【0049】[ステップ209]続いて検証者111は
演算装置112を用いて、課金情報などの証明者に対す
るメッセージμ、ステップ204で生成された乱数
r’、証明者101との間で共有している一方向性ハッ
シュ関数hを用いて、検証用指数gを以下の式に従って
生成する。
演算装置112を用いて、課金情報などの証明者に対す
るメッセージμ、ステップ204で生成された乱数
r’、証明者101との間で共有している一方向性ハッ
シュ関数hを用いて、検証用指数gを以下の式に従って
生成する。
【0050】
【数15】g=h(r’,μ)
【0051】[ステップ210]認証者101は演算装
置102を用いて、検証者111から送られてきた認証
データSと、課金情報などの証明者に対するメッセージ
μ、チャレンジr’をトークン103へ送信する。
置102を用いて、検証者111から送られてきた認証
データSと、課金情報などの証明者に対するメッセージ
μ、チャレンジr’をトークン103へ送信する。
【0052】[ステップ211]証明者101は、トー
クン103において、検証者111から送られてきた認
証データS、及び検証者111の公開鍵(eB,n’)
を用いて、以下の値S’を計算する。
クン103において、検証者111から送られてきた認
証データS、及び検証者111の公開鍵(eB,n’)
を用いて、以下の値S’を計算する。
【0053】
【数16】S’≡SeB mod n’
【0054】[ステップ212]続いて証明者101
は、トークン103において、ステップ211で生成し
たS’の上位ビットとステップ201で生成したwの上
位ビットを比較し、同じ場合は検証者の認証が成功した
ものとしてステップ213へ進む。異なる場合は、不正
な検証者と見なして認証の手順を中止する。
は、トークン103において、ステップ211で生成し
たS’の上位ビットとステップ201で生成したwの上
位ビットを比較し、同じ場合は検証者の認証が成功した
ものとしてステップ213へ進む。異なる場合は、不正
な検証者と見なして認証の手順を中止する。
【0055】[ステップ213]続いて証明者101
は、トークン103において、検証者111から送られ
てきた乱数r’、課金情報などの証明者に対するメッセ
ージμ、及び証明者101と共有している一方向性ハッ
シュ関数hを用いて、検証用指数g’を以下の式に従っ
て生成する。
は、トークン103において、検証者111から送られ
てきた乱数r’、課金情報などの証明者に対するメッセ
ージμ、及び証明者101と共有している一方向性ハッ
シュ関数hを用いて、検証用指数g’を以下の式に従っ
て生成する。
【0056】
【数17】g’=h(r’,μ)
【0057】[ステップ214]続いて証明者101
は、トークン103において、ステップ200で生成し
た乱数r、ステップ213で生成した検証用指数g’、
トークン103の記憶装置105内に記憶された証明者
の秘密情報d、サービス利用制限情報L、アクセスチケ
ット識別子It、センタ121と共有している秘密の一
方向性ハッシュ関数Fを用いて、以下の式に従ってレス
ポンス生成情報y’を生成する。
は、トークン103において、ステップ200で生成し
た乱数r、ステップ213で生成した検証用指数g’、
トークン103の記憶装置105内に記憶された証明者
の秘密情報d、サービス利用制限情報L、アクセスチケ
ット識別子It、センタ121と共有している秘密の一
方向性ハッシュ関数Fを用いて、以下の式に従ってレス
ポンス生成情報y’を生成する。
【0058】
【数18】y’≡rF(d,L,It)g' mod n
【0059】[ステップ215]続いて証明者101
は、ステップ213で生成した検証用指数g’、及びス
テップ214で生成したy’をトークン103から演算
装置102へ送信する。
は、ステップ213で生成した検証用指数g’、及びス
テップ214で生成したy’をトークン103から演算
装置102へ送信する。
【0060】[ステップ216]続いて証明者101
は、検証者111から送られてきた課金情報などの証明
者に対するメッセージμに基づき、トークン103内の
記憶装置105内の情報を書き換える。
は、検証者111から送られてきた課金情報などの証明
者に対するメッセージμに基づき、トークン103内の
記憶装置105内の情報を書き換える。
【0061】[ステップ217]続いて証明者101
は、演算装置102において、ステップ214で生成し
たy’、アクセスチケットt,及びステップ213で生
成した検証用指数g’を用いて、以下の式に従ってレス
ポンスyを生成する。
は、演算装置102において、ステップ214で生成し
たy’、アクセスチケットt,及びステップ213で生
成した検証用指数g’を用いて、以下の式に従ってレス
ポンスyを生成する。
【0062】
【数19】y≡y’tg' mod n
【0063】[ステップ218]続いて証明者101
は、ステップ217で生成したyを演算装置102から
検証者111の演算装置112へ送信する。
は、ステップ217で生成したyを演算装置102から
検証者111の演算装置112へ送信する。
【0064】[ステップ219]検証者111は、演算
装置112において、証明者101の公開証明者情報J
A、ステップ209で生成した検証用指数g、証明者1
01から送られてきたレスポンスy、及び公開指数vを
用いて、以下の式に従って検証情報w’を生成する。
装置112において、証明者101の公開証明者情報J
A、ステップ209で生成した検証用指数g、証明者1
01から送られてきたレスポンスy、及び公開指数vを
用いて、以下の式に従って検証情報w’を生成する。
【0065】
【数20】w’≡JA gyv mod n
【0066】[ステップ220]続いて検証者111
は、演算装置112において、証明者101から送られ
てきたコミットメントwとステップ219で生成した検
証情報w’を比較し、二つが一致すれば証明者101の
認証に成功したものとし、一致しなければ証明者101
の認証に失敗したものとする。
は、演算装置112において、証明者101から送られ
てきたコミットメントwとステップ219で生成した検
証情報w’を比較し、二つが一致すれば証明者101の
認証に成功したものとし、一致しなければ証明者101
の認証に失敗したものとする。
【0067】以下に、正当な証明者が正当なアクセスチ
ケットを用いた場合には、検証者が計算するw’と証明
者が生成したコミットメントwとが一致することを示
す。
ケットを用いた場合には、検証者が計算するw’と証明
者が生成したコミットメントwとが一致することを示
す。
【0068】証明者及び検証者上記のステップに従って
計算をすると、明らかに
計算をすると、明らかに
【0069】
【数21】g=g’ が成立するので、
【0070】
【数22】 w’≡JA gyv mod n ≡JA grvF(d,L,It)gvCA gvF(d,L,It) -gv mod n ≡JA grvCA gv mod n ≡rv(JACA v)g mod n ≡rv(JAJA -sv)g mod n となる。ここで、sの条件より、
【0071】
【数23】sv≡1 mod λ(p−1,q−1) が成り立っている。これにより、
【0072】
【数24】sv=Qλ(p−1,q−1)+1 が成立する。ここで、上式でQは適当な整数である。よ
って、
って、
【0073】
【数25】 ここで、中国人剰余定理(Chinese Remai
nder Theorem)、及びオイラーの定理よ
り、
nder Theorem)、及びオイラーの定理よ
り、
【0074】
【数26】 が成り立つので
【0075】
【数27】JA -sv≡JA -1 mod n が成立する。よって
【0076】
【数28】 w’≡rv(JAJA -sv)g mod n ≡rv(JAJA -1)g mod n ≡rv mod n となり、認証が成功することがわかる。
【0077】上記の方法では、ゼロ知識証明方式を用い
ることにより証明者側の計算は数ビットから数十ビット
の小さなべき指数に関するべき乗剰余計算を主体とした
計算しか行わないため、大きなべき指数に関するべき乗
剰余計算を行うRSA暗号を用いた方式に比較して、高
速な認証が可能なことがわかる。
ることにより証明者側の計算は数ビットから数十ビット
の小さなべき指数に関するべき乗剰余計算を主体とした
計算しか行わないため、大きなべき指数に関するべき乗
剰余計算を行うRSA暗号を用いた方式に比較して、高
速な認証が可能なことがわかる。
【0078】上記では、証明者側の認証方式においてv
をλと互いに素なv≧3を満たす素数としたが、これを
v=2としても同じ効果が得られる。
をλと互いに素なv≧3を満たす素数としたが、これを
v=2としても同じ効果が得られる。
【0079】また、証明者側の認証方式、及び検証者側
の認証方式として合成数nを法とする有理整数環の剰余
類環の乗法群(Z=nZ)*上で定義された演算を用い
たゼロ知識証明、あるいはSchnorr署名方式を用
いたゼロ知識証明方式、あるいは楕円曲線上で定義され
た有限群を用いたゼロ知識証明方式、あるいは素数pを
法とする有理整数環の剰余類環の乗法群(Z=pZ)*
を用いたゼロ知識証明方式を用いても同様な効果が得ら
れる。
の認証方式として合成数nを法とする有理整数環の剰余
類環の乗法群(Z=nZ)*上で定義された演算を用い
たゼロ知識証明、あるいはSchnorr署名方式を用
いたゼロ知識証明方式、あるいは楕円曲線上で定義され
た有限群を用いたゼロ知識証明方式、あるいは素数pを
法とする有理整数環の剰余類環の乗法群(Z=pZ)*
を用いたゼロ知識証明方式を用いても同様な効果が得ら
れる。
【0080】
【発明の効果】以上説明したように、ゼロ知識証明方式
を用いた相互認証方式では、べき乗剰余計算に用いられ
る指数が数ビットから数十ビットで済むため、認証に必
要な計算量を大幅に削減することができ、認証の遅延を
防止することが可能となる。
を用いた相互認証方式では、べき乗剰余計算に用いられ
る指数が数ビットから数十ビットで済むため、認証に必
要な計算量を大幅に削減することができ、認証の遅延を
防止することが可能となる。
【図1】 本発明の実施例の構成を示すブロック図であ
る。
る。
【図2】 上述実施例の動作を説明するフローチャート
である。
である。
101 証明者 102 演算装置 103 トークン 104 アクセスチケット 105 記憶装置 111 検証者 112 演算装置 121 センタ 122 アクセスチケット 123 アクセスチケット生成装置 124 証明者情報データベース 125 アクセスチケット発行データベース
Claims (14)
- 【請求項1】 証明者が有資格者であることを保証する
センターが生成する有資格情報を用い、証明者側の有資
格性、および検証者側の認証の双方をゼロ知識証明方式
を用いて行う相互認証方法であって、証明者が不正な操
作を施すことが困難な演算方法によって生成されたレス
ポンス生成情報に対して、センターが発行する有資格者
情報を用いて該レスポンス生成情報に演算を施し、演算
を施した情報をレスポンスとして検証者に提示すること
により有資格者であることを証明することを特徴とする
相互認証方法。 - 【請求項2】 証明者側の有資格性の証明を行うための
ゼロ知識証明方式として、零化域を求めることが計算量
的に困難な有限アーベル群を用いたゼロ知識証明方式を
用いる請求項1記載の相互認証方法。 - 【請求項3】 検証者側の認証を行うためのゼロ知識証
明方式として、零化域を求めることが計算量的に困難な
有限アーベル群を用いたゼロ知識証明方式を用いる請求
項1または2記載の相互認証方法。 - 【請求項4】 検証者側の認証を行うためのゼロ知識証
明方式において、検証者の署名を用いた認証方法を用い
る請求項1、2または3記載の相互認証方法。 - 【請求項5】 認証者側の認証を行うためのゼロ知識証
明方式として、離散対数問題が計算量的に困難な有限群
を用いたゼロ知識証明方式を用いる請求項1、2、3ま
たは4記載の相互認証方法。 - 【請求項6】 検証者側の認証を行うためのゼロ知識証
明方式として、離散対数問題が計算量的に困難な有限群
を用いたゼロ知識証明方式を用いる請求項1、2、3、
4または5記載の相互認証方法。 - 【請求項7】 検証者から送られてくるチャレンジと共
に認証者に対する指示情報を送信する請求項1、2、
3、4、5または6記載の相互認証方法。 - 【請求項8】 証明器、検証器および有資格情報生成器
を有し、証明者が有資格者であることを保証する有資格
情報を用い、証明者側の有資格性、および検証者側の認
証の双方をゼロ知識証明方式を用いて行う相互認証装置
でにおいて、 上記有資格情報生成器は、上記証明者の有資格情報を生
成する手段を有し、 上記証明器は、不正な操作を施すことが困難な演算方法
によってレスポンス生成情報を生成する手段と、 上記レスポンス生成情報に対して、上記有資格情報生成
器が発行した有資格者情報を用いて所定の演算を施しレ
スポンスを生成する手段とを有し、 上記検証器は、上記レスポンスを用いて検証を行なう検
証手段を有することを特徴とする相互認証装置。 - 【請求項9】 上記証明器は証明者の演算装置、および
該演算装置に接続された、外部から観察困難な装置内に
保持された、演算装置及び記憶装置からなり、上記レス
ポンス生成情報の生成に不可欠な証明者に付帯した秘密
情報を、該観察困難な装置内の記憶装置に保持し、該秘
密情報を用いたレスポンス生成情報の生成を該外部から
観察困難な装置内の演算装置において生成する請求項8
記載の相互認証装置。 - 【請求項10】 該外部から観察困難な装置内の演算装
置をスマートカードでもって実現する請求項9記載の相
互認証装置。 - 【請求項11】 レスポンス生成情報からレスポンスを
生成する演算を行うソフトウェアに対して難読化処理を
施すことにより、不正な操作を行うことが困難にする請
求項8、9または10記載の相互認証装置。 - 【請求項12】 検証者側の演算を行うソフトウェアに
対して難読化処理を施すことにより、不正な操作を行う
ことが困難にする請求項8、9、10または11記載の
相互認証装置。 - 【請求項13】 外部から観測困難な装置内の情報を、
検証者からの指示情報に基づいて書き換える請求項8、
9、10、11または12記載の相互認証装置。 - 【請求項14】 上記外部から観測困難な装置内の情報
として課金情報を含む請求項13記載の相互認証装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10030053A JPH11234263A (ja) | 1998-02-12 | 1998-02-12 | 相互認証方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10030053A JPH11234263A (ja) | 1998-02-12 | 1998-02-12 | 相互認証方法および装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11234263A true JPH11234263A (ja) | 1999-08-27 |
Family
ID=12293096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10030053A Pending JPH11234263A (ja) | 1998-02-12 | 1998-02-12 | 相互認証方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11234263A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
| JP2004015813A (ja) * | 2002-06-10 | 2004-01-15 | Microsoft Corp | 相互認証を使用した安全な鍵交換方法およびコンピュータ読取り可能媒体 |
| JP2004304751A (ja) * | 2002-08-26 | 2004-10-28 | Matsushita Electric Ind Co Ltd | 電子バリューの認証方式と認証システムと装置 |
| US7165176B2 (en) | 2001-01-11 | 2007-01-16 | Fuji Xerox Co., Ltd. | Access privilege authentication of client computer for services provided by server computer |
| US7337319B2 (en) | 2002-12-06 | 2008-02-26 | International Business Machines Corporation | Method of comparing documents possessed by two parties |
| JP2008515320A (ja) * | 2004-09-30 | 2008-05-08 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 多項式に基づいた認証の方法 |
| JP2012120207A (ja) * | 2000-03-02 | 2012-06-21 | Tivo Inc | 2つのディジタル・メディア装置間でデータを転送する方法 |
| US8448719B2 (en) | 2007-08-09 | 2013-05-28 | Nec Corporation | Key exchange device |
-
1998
- 1998-02-12 JP JP10030053A patent/JPH11234263A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
| JP2012120207A (ja) * | 2000-03-02 | 2012-06-21 | Tivo Inc | 2つのディジタル・メディア装置間でデータを転送する方法 |
| US7165176B2 (en) | 2001-01-11 | 2007-01-16 | Fuji Xerox Co., Ltd. | Access privilege authentication of client computer for services provided by server computer |
| JP2004015813A (ja) * | 2002-06-10 | 2004-01-15 | Microsoft Corp | 相互認証を使用した安全な鍵交換方法およびコンピュータ読取り可能媒体 |
| JP2004304751A (ja) * | 2002-08-26 | 2004-10-28 | Matsushita Electric Ind Co Ltd | 電子バリューの認証方式と認証システムと装置 |
| JP4553565B2 (ja) * | 2002-08-26 | 2010-09-29 | パナソニック株式会社 | 電子バリューの認証方式と認証システムと装置 |
| US7337319B2 (en) | 2002-12-06 | 2008-02-26 | International Business Machines Corporation | Method of comparing documents possessed by two parties |
| US8032747B2 (en) | 2002-12-06 | 2011-10-04 | International Business Machines Corporation | Comparison of documents possessed by two parties |
| JP2008515320A (ja) * | 2004-09-30 | 2008-05-08 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 多項式に基づいた認証の方法 |
| US8448719B2 (en) | 2007-08-09 | 2013-05-28 | Nec Corporation | Key exchange device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967239B2 (en) | Method and apparatus for verifiable generation of public keys | |
| US8589693B2 (en) | Method for two step digital signature | |
| Brickell et al. | Enhanced privacy ID: A direct anonymous attestation scheme with enhanced revocation capabilities | |
| US8433897B2 (en) | Group signature system, apparatus and storage medium | |
| US8689000B2 (en) | Use of certified secrets in communication | |
| US6446207B1 (en) | Verification protocol | |
| Brickell et al. | Enhanced privacy ID: A direct anonymous attestation scheme with enhanced revocation capabilities | |
| CN110247757B (zh) | 基于国密算法的区块链处理方法、装置及系统 | |
| US9882890B2 (en) | Reissue of cryptographic credentials | |
| CN110545279A (zh) | 兼具隐私和监管功能的区块链交易方法、装置及系统 | |
| JPH09128507A (ja) | 相互認証方法 | |
| JPH10133576A (ja) | 公開鍵暗号方法および装置 | |
| US7000110B1 (en) | One-way function generation method, one-way function value generation device, proving device, authentication method, and authentication device | |
| JP2002534701A (ja) | 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム | |
| JP3102692B2 (ja) | カードの真性を証明する方法 | |
| Kumar et al. | An efficient implementation of digital signature algorithm with SRNN public key cryptography | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| CN110557260B (zh) | 一种sm9数字签名生成方法及装置 | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| JPH11174957A (ja) | 認証プロトコル | |
| CN110572257B (zh) | 基于身份的数据来源鉴别方法和系统 | |
| WO2011152084A1 (ja) | 効率的相互認証方法、プログラム、及び装置 | |
| CN115314208B (zh) | 一种安全可控的sm9数字签名生成方法及系统 | |
| JP3278916B2 (ja) | 利用者認証方法 | |
| CN114978549A (zh) | 签名者掌控签名制作数据的sm2数字签名生成方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060206 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070213 |