CN105474575A - 多方安全认证系统、认证服务器、中间服务器、多方安全认证方法以及程序 - Google Patents

Abstract

即使在存在中间服务器的情况下，多个服务器也同时对用户安全地进行认证。用户装置(1)对密码wˊ进行分散。用户装置(1)得到对分散值[wˊ]_i进行了加密的密文EncUS_i([wˊ]_i)。中间服务器(2)将密文Enc_{US_i}([wˊ]_i)发送给认证服务器(3)。认证服务器(3)对密文Enc_{US_i}([wˊ]_i)进行解密而得到分散值[wˊ]_i。认证服务器(3)求得验证值q_{a_i} ^(W)。认证服务器(3)得到密文Enc_{WS_a_i}(q_{a_i} ^(W))。中间服务器(2)对密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)。中间服务器(2)验证验证值的总和是否等于0。认证服务器(3)求得验证值q_{a_i} ^(a_j)。认证服务器(3)得到密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))。认证服务器(3)对密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到验证值q_{a_j} ^(a_i)。认证服务器(3)验证验证值的总和是否等于0。

Description

多方安全认证系统、认证服务器、中间服务器、多方安全认证方法以及程序

技术领域

本发明涉及在网络上的认证中，多个服务器同时对用户安全地进行认证的技术。

背景技术

作为在用户接受横跨多个服务器的服务时，在各服务器中同时安全地接受认证的技术，已知在非专利文献1～3中记载的技术(例如，参照非专利文献1～3。)。在非专利文献1～3中记载的技术是安全的储存服务中的认证技术，用户设定密码，将数据通过被称为秘密分散的安全的方法而分散至多个服务器并进行保管。若在认证时输入的密码正确则用户能够复原正确的数据，若密码错误则复原失败。

现有技术文献

非专利文献

非专利文献1：AliBagherzandi,StanislawJarecki,NiteshSaxena,andYanbinLu,“Password-protectedsecretsharing”,ACMConferenceonComputerandCommunicationsSecurity,pp.433-444,2011.

非专利文献2：JanCamenisch,AnnaLysyanskaya,andGregoryNeven,“Practicalyetuniversallycomposabletwo-serverpassword-authenticatedsecretsharing”,ACMConferenceonComputerandCommunicationsSecurity,pp.525-536,2012.

非专利文献3：尾形わかは，「情報論理的に安全なパスワード付秘密分散法の安全性と効率化」，SCIS2013

发明内容

发明要解决的课题

但是，在现有技术中，以用户和储存服务器直接连结为前提，不能保证存在如Web服务等中的Web服务器那样作为网关的中间服务器的情况下的安全性。此外，还存在不能应用于储存服务以外的课题。

本发明的目的在于，提供即使在存在中间服务器的情况下，也能够保证安全性的多方安全认证技术。

用于解决课题的手段

为了解决上述的课题，本发明的第一方式的多方安全认证方法包含：密码分散步骤、密码分散值加密步骤、密码分散值转发步骤、密码分散值解密步骤、中间服务器验证值生成步骤、中间服务器验证值加密步骤、中间服务器验证值解密步骤、中间服务器验证步骤、认证服务器验证值生成步骤、认证服务器验证值加密步骤、认证服务器验证值解密步骤以及认证服务器验证步骤。

以下，设为n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r^(W)]₁,……,[r^(W)]_n是基于若进行复原则成为随机数r^(W)的(k,n)秘密分散的分散值，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(W)]₁,……,[0^(W)]_n是基于若进行复原则成为0的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值。

在密码分散步骤中，用户装置将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n。在密码分散值加密步骤中，用户装置关于i＝1,……,n，使用用户装置与第i个认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)。在密码分散值转发步骤中，中间服务器关于i＝1,……,n，将从用户装置接收到的密文Enc_{US_i}([w']_i)发送给第i个认证服务器。在密码分散值解密步骤中，认证服务器使用用户终端与该认证服务器的公共密钥，对从中间服务器接收到的密文Enc_{US_i}([w']_i)进行解密而得到分散值[w']_i。在中间服务器验证值生成步骤中，λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数1】

$r^{\left(W\right)}w=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\λ}}_{a_i}^{\left(W\right)}{\[r^{\left(W\right)}\]}_{a_i}{\[w\]}_{a_i}$

^λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数2】

$0=\underset{i=1}{\overset{m}{\Σ}}{\widehat{\mathrm{\λ}}}_{a_i}^{\left(W\right)}{\[0^{\left(W\right)}\]}_{a_i}$

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数3】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\λ}}_{a_i}^{\left(j\right)}{\[r^{\left(j\right)}\]}_{a_i}{\[w\]}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数4】

$0=\underset{i=1}{\overset{m}{\Σ}}{\widehat{\mathrm{\λ}}}_{a_i}^{\left(j\right)}{\[0^{\left(j\right)}\]}_{a_i}$

认证服务器通过以下式而求得验证值q_{a_i} ^(W)。

【数5】

$q_{a_i}^{\left(W\right)}={\mathrm{\λ}}_{a_i}^{\left(W\right)}{\[r^{\left(W\right)}\]}_{a_i}({\[w\]}_{a_i}-{\[w^{\′}\]}_{a_i})+{\widehat{\mathrm{\λ}}}_{a_i}^{\left(W\right)}{\[0^{\left(W\right)}\]}_{a_i}$

在中间服务器验证值加密步骤中，认证服务器使用中间服务器与该认证服务器的公共密钥，得到对验证值q_{a_i} ^(W)进行了加密的密文Enc_{WS_a_i}(q_{a_i} ^(W))。在中间服务器验证值解密步骤中，中间服务器关于i＝1,……,m，使用中间服务器与第a_i个认证服务器的公共密钥，对从第a_i个认证服务器接收到的密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)。在中间服务器验证步骤中，中间服务器验证验证值q_{a_1} ^(W),……,q_{a_m} ^(W)的总和是否等于0。在认证服务器验证值生成步骤中，认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)。

【数6】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\λ}}_{a_i}^{\left(a_j\right)}{\[r^{\left(a_j\right)}\]}_{a_i}({\[w\]}_{a_i}-{\[w^{\′}\]}_{a_i})+{\widehat{\mathrm{\λ}}}_{a_i}^{\left(a_j\right)}{\[0^{\left(a_j\right)}\]}_{a_i}$

在认证服务器验证值加密步骤中，认证服务器关于j＝1,……,m，使用第a_j个认证服务器与该认证服务器的公共密钥，得到对验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))。在认证服务器验证值解密步骤中，认证服务器关于j＝1,……,m，使用第a_j个认证服务器与该认证服务器的公共密钥，对从第a_j个认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到验证值q_{a_j} ^(a_i)。在认证服务器验证步骤中，认证服务器验证验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。

本发明的第二方式的多方安全认证方法包含密码分散步骤、密码分散值加密步骤、密码分散值转发步骤、第一密码分散值解密步骤、第二密码分散值解密步骤、第一认证服务器验证值生成步骤、第二认证服务器验证值生成步骤、第一认证服务器验证值加密步骤、第二认证服务器验证值加密步骤、第一认证服务器验证值解密步骤、第二认证服务器验证值解密步骤、第一认证服务器验证步骤以及第二认证服务器验证步骤。

以下，设为n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是a_m＝n且分别为1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数7】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\Σ}}{\mathrm{\λ}}_{a_i}^{\left(j\right)}{\[r^{\left(j\right)}\]}_{a_i}{\[w\]}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数。

【数8】

$0=\underset{i=1}{\overset{m}{\Σ}}{\widehat{\mathrm{\λ}}}_{a_i}^{\left(j\right)}{\[0^{\left(j\right)}\]}_{a_i}$

在密码分散步骤中，用户装置将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n。在密码分散值加密步骤中，用户装置关于i＝1,……,n-1，使用用户装置与第i个认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)，使用用户装置与中间认证服务器的公共密钥，得到对分散值[w']_n进行了加密的密文Enc_{US_n}([w']_n)。在密码分散值转发步骤中，中间认证服务器关于i＝1,……,n-1，将从用户装置接收到的密文Enc_{US_i}([w']_i)发送给第i个认证服务器。在第一密码分散值解密步骤中，认证服务器使用用户终端与该认证服务器的公共密钥，对从中间认证服务器接收到的密文Enc_{US_i}([w']_i)进行解密而得到分散值[w']_i。在第二密码分散值解密步骤中，中间认证服务器使用用户终端与该中间认证服务器的公共密钥，对密文Enc_{US_n}([w']_n)进行解密而得到分散值[w']_n。在第一认证服务器验证值生成步骤中，认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)。

【数9】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\λ}}_{a_i}^{\left(a_j\right)}{\[r^{\left(a_j\right)}\]}_{a_i}({\[w\]}_{a_i}-{\[w^{\′}\]}_{a_i})+{\widehat{\mathrm{\λ}}}_{a_i}^{\left(a_j\right)}{\[0^{\left(a_j\right)}\]}_{a_i}$

在第二认证服务器验证值生成步骤中，中间认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_m} ^(a_j)。

【数10】

$q_{a_m}^{\left(a_j\right)}={\mathrm{\λ}}_{a_m}^{\left(a_j\right)}{\[r^{\left(a_j\right)}\]}_{a_m}({\[w\]}_{a_m}-{\[w^{\′}\]}_{a_m})+{\widehat{\mathrm{\λ}}}_{a_m}^{\left(a_j\right)}{\[0^{\left(a_j\right)}\]}_{a_m}$

在第一认证服务器验证值加密步骤中，认证服务器关于j＝1,……,m，使用第a_j个认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，得到对验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))。在第二认证服务器验证值加密步骤中，中间认证服务器关于j＝1,……,m-1，使用第a_j个认证服务器与该中间认证服务器的公共密钥，得到对验证值q_{a_m} ^(a_j)进行了加密的密文Enc_{S_a_mS_a_j}(q_{a_m} ^(a_j))。在第一认证服务器验证值解密步骤中，认证服务器关于j＝1,……,m，使用第a_j个认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，对从第a_j个认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到验证值q_{a_j} ^(a_i)。在第二认证服务器验证值解密步骤中，中间认证服务器关于j＝1,……,m-1，使用第a_j个认证服务器与该中间认证服务器的公共密钥，对从第a_j个认证服务器接收到的密文Enc_{S_a_mS_a_j}(q_{a_j} ^(a_m))进行解密而得到验证值q_{a_j} ^(a_m)。在第一认证服务器验证步骤中，认证服务器验证验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。在第二认证服务器验证步骤中，中间认证服务器验证验证值q_{a_1} ^(a_m),……,q_{a_m} ^(a_m)的总和是否等于0。

发明效果

根据本发明，即使在存在中间服务器的情况下，多个服务器也能够同时对用户安全地进行认证。

附图说明

图1是例示第一实施方式所涉及的多方安全认证系统的功能结构的图。

图2是例示第一实施方式所涉及的用户终端的功能结构的图。

图3是例示第一实施方式所涉及的中间服务器的功能结构的图。

图4是例示第一实施方式所涉及的认证服务器的功能结构的图。

图5是例示第一实施方式所涉及的多方安全认证方法的密码注册阶段的处理流程的图。

图6是例示第一实施方式所涉及的多方安全认证方法的随机数生成阶段的处理流程的图。

图7是例示第一实施方式所涉及的多方安全认证方法的认证阶段的处理流程的图。

图8是例示第一实施方式所涉及的多方安全认证方法的认证阶段的处理流程的图。

图9是例示第一实施方式所涉及的多方安全认证方法的认证阶段的处理流程的图。

图10是例示第二实施方式所涉及的多方安全认证系统的功能结构的图。

图11是例示第二实施方式所涉及的用户终端的功能结构的图。

图12是例示第二实施方式所涉及的中间服务器的功能结构的图。

图13是例示第二实施方式所涉及的认证服务器的功能结构的图。

图14是例示第二实施方式所涉及的多方安全认证方法的随机数生成阶段的处理流程的图。

图15是例示第二实施方式所涉及的多方安全认证方法的认证阶段的处理流程的图。

图16是例示第三实施方式所涉及的多方安全认证系统的功能结构的图。

图17是例示第三实施方式所涉及的用户终端的功能结构的图。

图18是例示第三实施方式所涉及的中间服务器的功能结构的图。

图19是例示第三实施方式所涉及的认证服务器的功能结构的图。

图20是例示第三实施方式所涉及的多方安全认证方法的随机数生成阶段的处理流程的图。

图21是例示第二实施方式所涉及的多方安全认证方法的随机数生成阶段的处理流程的图。

具体实施方式

以下，详细说明本发明的实施方式。另外，在附图中对具有相同的功能的构成部分赋予相同的序号，省略重复说明。

[记载方法]

在实施方式的说明之前，对在本说明书中使用的记载方法以及用语进行定义。

·_(下划线)表示下标符。例如，x^y_z表示y_z是对于x的上标符，x_{y_z}表示y_z是对于x的下标符。

·^(插入符)表示对紧后的字符赋予抑扬符(circumflex)。例如，^λ表示算式内的以下的字符。

【数11】

·^→(上标右箭头)表示矢量。

·[](角括号)表示括号内的数据的分散值。例如，[w]是w的分散值。

·Enc_AB(X)表示通过节点A和节点B的公共密钥而对数据X进行了加密的密文。

[基本的考虑方法]

说明本发明的多方安全认证技术的基本的考虑方法。

贯穿整体的出场物是用户终端1、中间服务器2以及n台认证服务器3₁,……,3_n。其中，n是3以上的整数。

首先，将利用系统的用户终端1的密码为w的情况注册到认证服务器群3₁,……,3_n。关于在实施认证时一并使用的几个随机数也由用户生成，并传送给各认证服务器3₁,……,3_n。此时，为了不让进入其间的中间服务器2滥用这些信息而冒充用户终端1，所发送的分散值等通过与各认证服务器3₁,……,3_n的公共密钥而加密。此外，密码本身也使用秘密分散，在各认证服务器3₁,……,3_n中仅保存密码的分散值。因此，各认证服务器3₁,……,3_n不知晓密码本身。

接着，叙述认证的实施过程。在用户终端1通过密码w’来尝试认证的情况下，为了确认所注册的用户终端1的密码w和所输入的密码w’一致的情况，通过协调计算而导入w与w’的差为0。为了不让认证的权限偏向构成系统的各参加者(具体而言，中间服务器2以及认证服务器3₁,……,3_n)的其中一个，各参加者进行用于认证的计算。为了不让各参加者知晓通过协调计算而注册的密码w以及所输入的密码w’，与随机数组合而进行协调计算。此外，为了不在下次的认证中重复使用此时使用的随机数，在认证的过程的最后更新随机数。

进而，叙述以下改良方法：为了应对在认证过程中滥用经由中间服务器2交换的密文所导致的重放(Replay)攻击，预先通过认证服务器3₁,……,3_n生成随机数而与用户终端1共享，从而不能再利用在认证时发送的密码的密文。另外，重放攻击是再利用认证成功后的密文，中间服务器2冒充用户装置1而使认证成功的攻击。

[秘密分散技术]

在本发明中，作为结构要素而使用秘密分散技术。在本发明中使用的秘密分散技术中，使用如2k-1<n那样的(k,n)秘密分散。(k,n)秘密分散是将某数据分割为n个，其中即使聚集至k-1个为止，关于原数据也什么都不知晓，但若聚集k个以上则能够复原原数据的技术。

具体而言，秘密分散技术由以下说明的Share算法和Reconst算法构成。

Share算法是对数据进行分割的算法。分割后的数据被称为Share或者分散值。Share算法将秘密s作为输入，分割为n个并进行输出。将该步骤(手続き)如以下式那样进行记述。

【数12】

([s]₁,…,[s]_n)←Share(s)…(1)

Reconst算法是对数据进行复原的算法。Reconst算法将m个(k≤m≤n)Share作为输入而输出原始的秘密s。在本发明中利用的秘密分散技术中，存在由m和{a₁,……,a_m}决定的λ_{a_i}(i＝1,……,m)，设为以下式成立。a₁,……,a_m是1以上且n以下的不同的m个整数。

【数13】

$s={\&Sigma;}_{i=1}^m{\mathrm{\&lambda;}}_{a_i}{\&lsqb;s\&rsqb;}_{a_i}\mathrm{...}\left(2\right)$

[第一实施方式]

参照图1，说明第一实施方式所涉及的多方安全认证系统的功能结构的一例。多方安全认证系统包含用户装置1、中间服务器2以及n台认证服务器3₁,……,3_n。

参照图2，说明用户装置1的功能结构的一例。用户装置1包含控制部101、存储器102、公共密钥存储部11、密码分散部12以及密码分散值加密部13。用户装置1例如是在具有中央运算处理装置(中央处理单元(CentralProcessingUnit)、CPU)、主存储装置(随机存取存储器(RandomAccessMemory)、RAM)等的公知或专用的计算机中读入特殊的程序而构成的特殊的装置。用户装置1例如在控制部101的控制下执行各处理。被输入至用户装置1的数据、在各处理中得到的数据例如被储存至存储器102，在存储器102中储存的数据根据需要而被读出，被利用于其他处理。用户装置1所具备的各存储部例如能够由RAM(随机存取存储器)等主存储装置、由硬盘、光盘或者闪速存储器(FlashMemory)那样的半导体存储器元件构成的辅助存储装置、或关系数据库(relationaldatabase)、密钥值存储器(keyvaluestore)等中间件而构成。

参照图3，说明中间服务器2的功能结构的一例。中间服务器2包含控制部201、存储器202、公共密钥存储部21、密码分散值转发部22、中间服务器验证值解密部23以及中间服务器验证部24。中间服务器2例如是在具有中央运算处理装置(中央处理单元、CPU)、主存储装置(随机存取存储器、RAM)等的公知或专用的计算机中读入特殊的程序而构成的特殊的装置。中间服务器2例如在控制部201的控制下执行各处理。被输入至用户装置1的数据、在各处理中得到的数据例如被储存至存储器202，在存储器202中储存的数据根据需要而被读出，被利用于其他处理。中间服务器2所具备的各存储部例如能够由RAM(随机存取存储器)等主存储装置、由硬盘、光盘或者闪速存储器(FlashMemory)那样的半导体存储器元件构成的辅助存储装置、或关系数据库、密钥值存储器等中间件而构成。

参照图4，说明认证服务器3的功能结构的一例。认证服务器3包含控制部301、存储器302、随机数分散值生成部31、零分散值生成部32、密码分散值解密部33、中间服务器验证值生成部34、中间服务器验证值加密部35、认证服务器验证值生成部36、认证服务器验证值加密部37、认证服务器验证值解密部38、认证服务器验证部39、公共密钥存储部41以及分散值存储部42。认证服务器3例如是在具有中央运算处理装置(中央处理单元、CPU)、主存储装置(随机存取存储器、RAM)等的公知或专用的计算机中读入特殊的程序而构成的特殊的装置。认证服务器3例如在控制部301的控制下执行各处理。被输入至认证服务器3的数据、在各处理中得到的数据例如被储存至存储器302，在存储器302中储存的数据根据需要而被读出，被利用于其他处理。认证服务器3所具备的各存储部例如能够由RAM(随机存取存储器)等主存储装置、由硬盘、光盘或者闪速存储器(FlashMemory)那样的半导体存储器元件构成的辅助存储装置、或关系数据库、密钥值存储器等中间件而构成。认证服务器3所具备的各存储部分别在逻辑上分割即可，也可以被存储于一个物理的存储装置。

参照图5～10，按照实际进行的步骤的顺序说明多方安全认证方法的处理流程的一例。

在用户终端1的公共密钥存储部11中，存储有用户终端1与进行加密通信的各装置的公共密钥。具体而言，是用户终端1与各认证服务器3₁,……,3_n的公共密钥，共计n个公共密钥被存储。

在中间服务器2的公共密钥存储部21中，存储有中间服务器2与进行加密通信的各装置的公共密钥。具体而言，是中间服务器2与各认证服务器3₁,……,3_n的公共密钥，共计n个公共密钥被存储。

在第i个认证服务器3_i的公共密钥存储部41中，存储有认证服务器3_i与进行加密通信的各装置的公共密钥。具体而言，是用户终端1、中间服务器2与其他n-1台认证服务器3_j(j＝1,……,n、j≠i)的公共密钥，在1台认证服务器3的公共密钥存储部41中存储有共计n+1个公共密钥。

在本发明中使用的公共密钥密码方式也可以是已有的任何公共密钥密码方式，考虑应用本发明的信息系统中寻求的安全性、处理速度等而选择即可。各装置所存储的公共密钥是遵照所选择的公共密钥密码方式而生成的公共密钥，通过该公共密钥密码方式允许的密钥交换方式而共享即可。

＜＜密码注册阶段＞＞

参照图5，说明多方安全认证方法的密码注册阶段的处理。密码注册阶段在新注册用户的情况或变更注册完毕用户的密码的情况下被执行。

在步骤S101中，用户终端1的密码分散部12将密码w分散为n个分散值[w]₁,……,[w]_n。密码w是由用户U操作用户终端1而输入的任意的密码。也就是说，密码分散部12进行以下的式(3)的计算。

【数14】

([w]₁,…,[w]_n)←Share(w)…(3)

在步骤S102中，用户终端1的密码分散值加密部13关于i＝1,……,n，使用用户装置1与第i个认证服务器3_i的公共密钥，得到对分散值[w]_i进行了加密的密文Enc_{US_i}([w]_i)。

在步骤S103中，用户终端1的密码分散值加密部13将在步骤S102中得到的n个密文Enc_{US_1}([w]₁),……,Enc_{US_n}([w]_n)发送给中间服务器2。

在步骤S201中，中间服务器2的密码分散值转发部22对从用户终端1接收到的n个密文Enc_{US_1}([w]₁),……,Enc_{US_n}([w]_n)进行接收，关于i＝1,……,n，将密文Enc_{US_i}([w]_i)分别发送给认证服务器3_i。

在步骤S301中，认证服务器3_i的密码分散值解密部33接收从中间服务器2转发的密文Enc_{US_i}([w]_i)。

在步骤S302中，认证服务器3_i的密码分散值解密部33使用用户终端1与认证服务器3_i的公共密钥，对从中间服务器2接收到的密文Enc_{US_i}([w]_i)进行解密而得到分散值[w]_i。分散值[w]_i被存储至分散值存储部42。

＜＜随机数生成阶段＞＞

参照图6，说明多方安全认证方法的随机数生成阶段的处理。随机数生成阶段至少需要在注册了密码的用户进行认证之前被执行。

在步骤S311中，认证服务器3_i的随机数分散值生成部31生成若进行复原则成为随机数r₁,……,r_d的d个分散值[r₁]_i,……,[r_d]_i。所生成的分散值[r₁]_i,……,[r_d]_i被存储至分散值存储部42。在此，d≥1。

在步骤S312中，认证服务器3_i的零分散值生成部32生成若进行复原则成为0的d个分散值[0₁]_i,……,[0_d]_i。所生成的分散值[0₁]_i,……,[0_d]_i被存储至分散值存储部42。

步骤S311至步骤S312的处理也可以与步骤S101至步骤S302的处理并行执行，也可以独立预先进行。

＜＜认证阶段＞＞

参照图7～9，说明多方安全认证方法的认证阶段的处理。认证阶段在注册有密码的用户寻求认证时被执行。认证阶段的处理不需要n台认证服务器3₁,……,3_n全部进行，仅任意选择的m台执行即可。在以后的说明中，将a₁,……,a_m设为1以上且n以下的不同的m个整数，设为m台认证服务器3_{a_1},……,3_{a_m}进行认证阶段的处理。

认证服务器3_{a_i}从在分散值存储部42中存储的分散值[r₁]_{a_i},……,[r_d]_{a_i}选择[r^(W)]_{a_i}，[r⁽¹⁾]_{a_i},……,[r^(m)]_{a_i}。此外，同样，认证服务器3_{a_i}从在分散值存储部42中存储的分散值[0₁]_{a_i},……,[0_d]_{a_i}选择[0^(W)]_{a_i，}[0⁽¹⁾]_{a_i},……,[0^(m)]_{a_i}。

在图7所示的步骤S121中，注册了密码w的用户U操作用户终端1，输入用于寻求认证的密码w’。

在步骤S122中，用户终端1的密码分散部12将密码w’分散为n个分散值[w’]₁,……,[w’]_n。也就是说，密码分散部12进行以下的计算。

【数15】

([w′]₁,…,[w′]_n)←Share(w′)…(4)

在步骤S123中，用户终端1的密码分散值加密部13关于i＝1,……,m，得到对分散值[w']_{a_i}使用用户装置1与第a_i个认证服务器3_{a_i}的公共密钥进行了加密的密文Enc_{US_a_i}([w']_{a_i})。

在步骤S124中，用户终端1的密码分散值加密部13将在步骤S123中得到的n个密文Enc_{US_1}([w']₁),……,Enc_{US_n}([w']_n)发送给中间服务器2。

在步骤S221中，中间服务器2的密码分散值转发部22对从用户终端1接收到的n个密文Enc_{US_1}([w']₁),……,Enc_{US_n}([w']_n)进行接收，关于i＝1,……,m，将密文Enc_{US_a_i}([w']_{a_i})发送给认证服务器3_{a_i}。

在步骤S321中，认证服务器3_{a_i}的密码分散值解密部33接收从中间服务器2转发的密文Enc_{US_a_i}([w']_{a_i})。

在步骤S322中，认证服务器3_{a_i}的密码分散值解密部33对从中间服务器2接收到的密文Enc_{US_a_i}([w']_{a_i})使用用户终端1与认证服务器3_{a_i}的公共密钥进行解密，得到分散值[w']_{a_i}。

在图8所示的步骤S331中，认证服务器3_{a_i}的中间服务器验证值生成部34使用在分散值存储部42中存储的分散值[w]_{a_i}，[r^(W)]_{a_i}，[0^(W)]_{a_i}以及密码分散值解密部33所输出的分散值[w']_{a_i}，通过下述的式(5)求得验证值q_{a_i} ^(W)。

【数16】

$q_{a_i}^{\left(W\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i}\mathrm{...}\left(5\right)$

在此，λ_{a_i} ^(W)是满足式(6)的已知的常数，^λ_{a_i} ^(W)是满足式(7)的已知的常数。

【数17】

$r^{\left(W\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}\mathrm{...}\left(6\right)$

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i}\mathrm{...}\left(7\right)$

在步骤S332中，认证服务器3_{a_i}的中间服务器验证值加密部35使用中间服务器2与认证服务器3_{a_i}的公共密钥，得到对验证值q_{a_i} ^(W)进行了加密的密文Enc_{WS_a_i}(q_{a_i} ^(W))。

在步骤S333中，认证服务器3_{a_i}的中间服务器验证值加密部35将在步骤S332中得到的密文Enc_{WS_a_i}(q_{a_i} ^(W))发送给中间服务器2。

在步骤S231中，中间服务器2的中间服务器验证值解密部23对从m台认证服务器3_{a_1},……,3_{a_m}接收到的m个密文Enc_{WS_a_1}(q_{a_1} ^(W)),……,Enc_{WS_a_m}(q_{a_m} ^(W))进行接收。

在步骤S232中，中间服务器2的中间服务器验证值解密部23关于i＝1,……,m，使用中间服务器2与第a_i个认证服务器3_{a_i}的公共密钥，对密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)。中间服务器验证值解密部23将m个验证值q_{a_1} ^(W),……,q_{a_m} ^(W)输出至中间服务器验证部24。

在步骤S233中，中间服务器2的中间服务器验证部24验证验证值q_{a_1} ^(W),……,q_{a_m} ^(W)的总和是否等于0。中间服务器验证部24具体而言确认式(8)的等式是否成立。

【数18】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{q}_{a_i}^{\left(W\right)}\mathrm{...}\left(8\right)$

中间服务器验证部24在式(8)成立的情况下，向用户装置1通知认证成功，在式(8)不成立的情况下，向用户装置1通知认证失败。

在图9所示的步骤S341i中，认证服务器3_{a_i}的认证服务器验证值生成部36关于j＝1,……,m，使用在分散值存储部42中存储的分散值[w]_{a_i}，[r^(a_j)]_{a_i}，[0^(a_j)]_{a_i}以及密码分散值解密部33所输出的分散值[w']_{a_i}，通过下述的式(9)而求得验证值q_{a_i} ^(a_j)。

【数19】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i}\mathrm{...}\left(9\right)$

在此，λ_{a_i} ^(j)是满足式(10)的已知的常数，^λ_{a_i} ^(j)是满足式(11)的已知的常数。

【数20】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}\mathrm{...}\left(10\right)$

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}\mathrm{...}\left(11\right)$

在步骤S342i中，认证服务器3_{a_i}的认证服务器验证值加密部37关于j＝1,……,m(j≠i)，使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥，得到对验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))。作为结果，认证服务器验证值加密部37得到m-1个密文Enc_{S_a_iS_a_1}(q_{a_i} ^(a_1)),……,Enc_{S_a_iS_a_m}(q_{a_i} ^(a_m))(其中，除了Enc_{S_a_iS_a_i}(q_{a_i} ^(a_i)))。

在步骤S343i中，认证服务器3_{a_i}的认证服务器验证值加密部37关于j＝1,……,m(j≠i)，将在步骤S342i中得到的m-1个密文Enc_{S_a_iS_a_1}(q_{a_i} ^(a_1)),……,Enc_{S_a_iS_a_m}(q_{a_i} ^(a_m))(其中，除了Enc_{S_a_iS_a_i}(q_{a_i} ^(a_i)))分别发送给认证服务器3_{a_j}。

在步骤S344i中，认证服务器3_{a_i}的认证服务器验证值解密部38从m-1台认证服务器3_{a_j}(j＝1,……,m(j≠i))接收m-1个密文Enc_{S_a_1S_a_i}(q_{a_1} ^(a_i)),……,Enc_{S_a_mS_a_i}(q_{a_m} ^(a_i))(其中，除了Enc_{S_a_iS_a_i}(q_{a_i} ^(a_i)))。

在步骤S345i中，认证服务器3_{a_i}的认证服务器验证值解密部38关于j＝1,……,m(j≠i)，使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥，对密文Enc_{S_a_jS_a_i}(q_{a_j} ^(a_i))进行解密而得到验证值q_{a_i} ^(a_j)。认证服务器验证值解密部38与在步骤S341i中认证服务器验证值生成部36生成的验证值q_{a_i} ^(a_i)一起，将m个验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)输出至认证服务器验证部39。

在步骤S345i中，认证服务器3_{a_i}的认证服务器验证部39验证验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。认证服务器验证部39具体而言确认式(12)的等式是否成立。

【数21】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{q}_{a_j}^{\left(a_i\right)}\mathrm{...}\left(12\right)$

认证服务器验证部39在式(12)成立的情况下，向用户装置1通知认证成功，在式(12)不成立的情况下，向用户装置1通知认证失败。

＜＜随机数更新阶段＞＞

在每一次执行认证阶段的处理时，执行随机数更新阶段的处理。随机数更新阶段是为了在下次的认证时不重复使用随机数而更新随机数的处理。在随机数更新阶段中，设定为若在通过以前的随机数生成阶段的处理而生成的随机数之中存在未使用的随机数，则在下次的认证阶段的处理中使用该随机数。若不存在未使用的随机数，则与随机数生成阶段的处理内容同样地生成新的随机数。随机数更新阶段的处理也可以与认证阶段的处理并行进行。即，在认证阶段中利用了随机数时确认未使用的随机数是否充分地残留，若不足则生成新的随机数即可。

[第二实施方式]

在用户所利用的用户终端和各认证服务器之间存在的Web服务器等中间服务器中，除了认证的成否之外，还知晓在用户终端和认证服务器中交换的密文。存在中间服务器能够滥用在认证成功时在认证过程中使用的密码、随机数的分散值的密文而冒充用户从而使认证成功的危险性。第二实施方式的多方安全认证系统是用于防止基于滥用了发送完毕的密文的中间服务器的重放攻击的改良方式。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

参照图10，说明第二实施方式所涉及的多方安全认证系统的功能结构的一例。多方安全认证系统包含用户装置4、中间服务器5以及n台认证服务器6₁,……,6_n。

参照图11，说明用户装置4的功能结构的一例。用户装置4与第一实施方式所涉及的用户装置1同样，包含控制部101、存储器102、公共密钥存储部11以及密码分散部12。在第二实施方式所涉及的用户装置4中，还包含密码分散值加密部14以及随机数接收部15。密码分散值加密部14与第一实施方式所涉及的密码分散值加密部13处理不同。

参照图12，说明中间服务器5的功能结构的一例。中间服务器5与第一实施方式所涉及的中间服务器2同样，包含控制部201、存储器202、公共密钥存储部21、中间服务器验证值解密部23以及中间服务器验证部24。在第二实施方式所涉及的中间服务器5中，还包含密码分散值转发部25以及随机数转发部26。密码分散值转发部25与第一实施方式所涉及的密码分散值转发部22处理不同。

参照图13，说明认证服务器6的功能结构的一例。认证服务器6与第一实施方式所涉及的认证服务器3同样，包含控制部301、存储器302、随机数分散值生成部31、零分散值生成部32、中间服务器验证值生成部34、中间服务器验证值加密部35、认证服务器验证值生成部36、认证服务器验证值加密部37、认证服务器验证值解密部38、认证服务器验证部39、公共密钥存储部41以及分散值存储部42。在第二实施方式所涉及的认证服务器6中，还包含密码分散值解密部43、随机数生成部44、随机数加密部45以及随机数验证部46。密码分散值解密部43与第一实施方式所涉及的密码分散值解密部33处理不同。

参照图14、15，按照实际进行的步骤的顺序说明第二实施方式所涉及的多方安全认证方法的处理流程的一例。

参照图14，说明为了防止重放攻击而利用的随机数的生成过程。该随机数需要在执行认证阶段之前预先进行。由于该处理是比较小的处理，所以也可以在执行认证阶段的紧前进行。该处理不需要n台认证服务器6₁,……,6_n全部进行，仅任意选择的m台执行即可。在以后的说明中，将a₁,……,a_m设为1以上且n以下的不同的m个整数，设为m台认证服务器6_{a_1},……,6_{a_m}进行处理。

在步骤S351中，认证服务器6_{a_i}的随机数生成部44生成随机数t_{a_i}。

在步骤S352中，认证服务器6_{a_i}的随机数加密部45使用用户装置1与第a_i个认证服务器3_{a_i}的公共密钥，得到对随机数t_{a_i}进行了加密的密文Enc_{US_a_i}(t_{a_i})。

在步骤S353中，认证服务器6_{a_i}的随机数加密部45将密文Enc_{US_a_i}(t_{a_i})发送给中间服务器5。

在步骤S251中，中间服务器5的随机数转发部26从m台认证服务器6_{a_i}(i＝1,……,m)接收m个密文Enc_{US_a_i}(t_{a_i})(i＝1,……,m)。将所接收到的m个密文Enc_{US_a_i}(t_{a_i})(i＝1,……,m)发送给用户终端4。

在步骤S151中，用户终端6的随机数解密部15从中间服务器6接收m个密文Enc_{US_a_i}(t_{a_i})(i＝1,……,m)。

在步骤S152中，随机数解密部15关于i＝1,……,m，对密文Enc_{US_a_i}(t_{a_i})进行解密而得到分散值t_{a_i}。将分散值t_{a_i}存储至存储器102、公共密钥存储部11等的其中一个存储部。

参照图15，说明为了防止重放攻击而进行了改良的认证阶段的处理。与第一实施方式的认证阶段的不同点是，步骤S123以及步骤S221的处理不同、追加了步骤S323的处理。

在步骤S123中，用户终端4的密码分散值加密部14关于i＝1,……,m，得到将分散值[w']_{a_i}与随机数t_{a_i}一起，使用用户装置4与第a_i个认证服务器6_{a_i}的公共密钥进行了加密的密文Enc_{US_a_i}(t_{a_i},[w']_{a_i})。

在步骤S221中，中间服务器5的密码分散值转发部25对从用户终端4接收到的m个密文Enc_{US_a_1}(t_{a_i},[w']_{a_1}),……,Enc_{US_a_m}(t_{a_i},[w']_{a_m})进行接收，关于i＝1,……,m，将密文Enc_{US_a_i}(t_{a_i},[w']_{a_i})发送给认证服务器3_{a_i}。

在步骤S323中，认证服务器3_{a_i}的随机数验证部46确认对密文Enc_{US_a_i}(t_{a_i},[w']_{a_i})进行解密而得到的随机数t_{a_i}是否与在步骤S351中生成的随机数t_{a_i}相等。随机数验证部46在解密而得到的随机数t_{a_i}与在步骤S351中生成的随机数t_{a_i}不相等的情况下，向用户装置4通知认证失败。在其他情况下，继续进行认证阶段的步骤S331以后的处理。

[第三实施方式]

第一实施方式的多方安全认证系统中，各认证服务器执行了随机数生成阶段的处理。第三实施方式的多方安全认证系统中，用户终端执行随机数生成阶段的处理。以下，说明在应用于第一实施方式的多方安全认证系统的情况下的例子，但第三实施方式的结构方法也同样地能够应用于第二实施方式的多方安全认证系统。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

参照图16，说明第三实施方式所涉及的多方安全认证系统的功能结构的一例。多方安全认证系统包含用户装置7、中间服务器8以及n台认证服务器9₁,……,9_n。

参照图17，说明用户装置7的功能结构的一例。用户装置7与第一实施方式所涉及的用户装置1同样，包含控制部101、存储器102、公共密钥存储部11、密码分散部12以及密码分散值加密部13。在第三实施方式所涉及的用户装置7中，还包含随机数分散值生成部16、随机数分散值加密部17、零分散值生成部18以及零分散值加密部19。

参照图18，说明中间服务器8的功能结构的一例。中间服务器8与第一实施方式所涉及的中间服务器2同样，包含控制部201、存储器202、公共密钥存储部21、密码分散值转发部22、中间服务器验证值解密部23以及中间服务器验证部24。在第三实施方式所涉及的中间服务器8中，还包含随机数分散值转发部27以及零分散值转发部28。

参照图19，说明认证服务器9的功能结构的一例。认证服务器9与第一实施方式所涉及的认证服务器3同样，包含控制部301、存储器302、中间服务器验证值生成部34、中间服务器验证值加密部35、认证服务器验证值生成部36、认证服务器验证值加密部37、认证服务器验证值解密部38、认证服务器验证部39、公共密钥存储部41以及分散值存储部42。在第三实施方式所涉及的认证服务器9中，还包含随机数分散值解密部47以及零分散值解密部48。

参照图20、21，按照实际进行的步骤的顺序而说明第三实施方式所涉及的多方安全认证方法的处理流程的一例。

＜＜随机数生成阶段＞＞

参照图20、21，说明第三实施方式所涉及的随机数生成阶段的处理。

在图20所示的步骤S111中，用户终端7的随机数分散值生成部16生成n+1个随机数r^(W)，r⁽¹⁾,……,r⁽ⁿ⁾。

在步骤S112中，用户终端7的随机数分散值生成部16将各随机数r^(W)，r⁽¹⁾,……,r⁽ⁿ⁾分别分散为n个分散值[r^(W)]₁,……,[r^(W)]_n，[r⁽¹⁾]₁,……,[r⁽¹⁾]_n,……,[r⁽ⁿ⁾]₁,……,[r⁽ⁿ⁾]_n。也就是说，随机数分散值生成部16进行以下的式(13)(14)的计算。

【数22】

([r^(W)]1,…,[r^(W)]_n)←Share(r^(W))…(13)

([r⁽ⁱ⁾]1,…,[r⁽ⁱ⁾]_n)←Share(r⁽ⁱ⁾)for1≤i≤n…(14)

在步骤S113中，用户终端7的随机数分散值加密部17关于i＝1,……,n，使用用户装置7与第i个认证服务器9_i的公共密钥，得到对分散值[r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i进行了加密的密文Enc_{US_i}([r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i)。

在步骤S114中，用户终端7的随机数分散值加密部17将在步骤S113中得到的n个密文Enc_{US_1}([r^(W)]₁,[r⁽¹⁾]₁,……,[r⁽ⁿ⁾]₁),……,Enc_{US_n}([r^(W)]_n,[r⁽¹⁾]_n,……,[r⁽ⁿ⁾]_n)发送给中间服务器8。

在步骤S211中，中间服务器8的随机数分散值转发部27对从用户终端7接收到的n个密文Enc_{US_1}([r^(W)]₁,[r⁽¹⁾]₁,……,[r⁽ⁿ⁾]₁),……,Enc_{US_n}([r^(W)]_n,[r⁽¹⁾]_n,……,[r⁽ⁿ⁾]_n)进行接收，关于i＝1,……,n，将密文Enc_{US_i}([r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i)分别发送给认证服务器9_i。

在步骤S313中，认证服务器9_i的随机数分散值解密部47接收从中间服务器8转发的密文Enc_{US_i}([r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i)。

在步骤S314中，认证服务器9_i的随机数分散值解密部47使用用户终端7与认证服务器9_i的公共密钥，对从中间服务器8接收到的密文Enc_{US_i}([r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i)进行解密而得到n+1个分散值[r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i。分散值[r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i存储至分散值存储部42。

在图21所示的步骤S115中，用户终端7的零分散值生成部18生成若进行复原则成为0的m+1组分散值[0^(W)]₁,……,[0^(W)]_n,[0⁽¹⁾]₁,……,[0⁽¹⁾]_n,……,[0^(m)]₁,……,[0^(m)]_n。

在步骤S116中，用户终端7的零分散值加密部19关于i＝1,……,n，使用用户装置7与第i个认证服务器9_i的公共密钥，得到对分散值[0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i进行了加密的密文Enc_{US_i}([0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i)。

在步骤S117中，用户终端7的零分散值加密部19将在步骤S116中得到的n个密文Enc_{US_1}([0^(W)]₁,[0⁽¹⁾]₁,……,[0^(m)]₁),……,Enc_{US_n}([0^(W)]_n,[0⁽¹⁾]_n,……,[0^(m)]_n)发送给中间服务器8。

在步骤S212中，中间服务器8的零分散值转发部28对从用户终端7接收到的n个密文Enc_{US_1}([0^(W)]₁,[0⁽¹⁾]₁,……,[0^(m)]₁),……,Enc_{US_n}([0^(W)]_n,[0⁽¹⁾]_n,……,[0^(m)]_n)进行接收，关于i＝1,……,n，将密文Enc_{US_i}([0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i)分别发送给认证服务器9_i。

在步骤S315中，认证服务器9_i的零分散值解密部48接收从中间服务器8转发的密文Enc_{US_i}([0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i)。

在步骤S316中，认证服务器9_i的零分散值解密部48使用用户终端7与认证服务器9_i的公共密钥，对从中间服务器8接收到的密文Enc_{US_i}([0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i)进行解密而得到m+1个分散值[0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i。将分散值[0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i存储至分散值存储部42。

步骤S111至步骤S316的处理与第一实施方式的多方安全认证方法同样，也可以与步骤S101至步骤S302的处理并行执行，也可以独立预先进行。

[第四实施方式]

第四实施方式的多方安全认证系统中，仅随机数生成阶段的处理与上述的实施方式不同。第四实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

＜＜随机数生成阶段＞＞

说明第四实施方式所涉及的随机数生成阶段的处理。在该实施方式中，将n台认证服务器3₁,……,3_n之中任意的n？k+1台组合的集合设为{b₁,……,b_B}。其中，B由以下式来定义。

【数23】

$B=\left(\begin{array}{c}n\\ n-k+1\end{array}\right)$

将n台认证服务器3₁,……,3_n之中任意的n？m+2台组合的集合设为{c₁,……,c_C}。其中，C由以下式来定义。

【数24】

$C=\left(\begin{array}{c}n\\ n-m+2\end{array}\right)$

将n台认证服务器3₁,……,3_n之中任意的n？m+1台组合的集合设为{d₁,……,d_D}。其中，D由以下式来定义。

【数25】

$D=\left(\begin{array}{c}n\\ n-m+1\end{array}\right)$

在图6所示的步骤S311中，认证服务器3_i的随机数分散值生成部31生成随机数或者伪随机数u^(W) ₁,……,u^(W) _B，关于i∈b_j具有{u^(W) _{b_j}}，将其设为分散值[r^(W)]_i。随机数u^(W) ₁,……,u^(W) _B也可以由用户终端1生成而发送给各认证服务器3₁,……,3_n，也可以由认证服务器3₁,……,3_n相互生成而相互传送，也可以预先根据认证服务器3₁,……,3_n保持的伪随机数的种子(seed)而生成。

接着，认证服务器3_i的随机数分散值生成部31关于j＝1,……,n，生成随机数或者伪随机数u^(j) ₁,……,u^(j) _B，关于j∈b_h具有{u^(j) _{b_h}}，将其设为分散值[r^(j)]_i。随机数u^(j) ₁,……,u^(j) _B也可以由用户终端1生成而发送给各认证服务器3₁,……,3_n，也可以由认证服务器3₁,……,3_n相互生成而相互传送，也可以预先根据认证服务器3₁,……,3_n保持的伪随机数的种子而生成。

所生成的分散值[r^(W)]_i，[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i存储至分散值存储部42。

在图6所示的步骤S312中，认证服务器3_i的零分散值生成部32生成随机数或者伪随机数u^(W) ₁,……,u^(W) _C，关于i∈c_j具有{u^(W) _{c_j}}，通过以下的式(15)，计算分散值[0^(W)]_i。

【数26】

${\&lsqb;0^{\left(W\right)}\&rsqb;}_i=(\underset{c_j}{\overset{i\&Element;c_j}{\&Sigma;}}{\mathrm{\&delta;}}_{c_j,d_1}{u}_{c_j}^{\left(W\right)},...,\underset{c_j}{\overset{i\&Element;c_j}{\&Sigma;}}{\mathrm{\&delta;}}_{c_j,d_D}{u}_{c_j}^{\left(W\right)})\mathrm{...}\left(15\right)$

在此，δ_{c_1},……,δ_{c_D}是已知的常数。

接着，认证服务器3_i的随机数分散值生成部31关于j＝1,……,m，生成随机数或者伪随机数u^(j) ₁,……,u^(j) _C，关于i∈c_h具有{u^(j) _{c_h}}，通过以下的式(16)，计算分散值[0^(j)]_i。

【数27】

${\&lsqb;0^{\left(j\right)}\&rsqb;}_i=(\underset{c_h}{\overset{i\&Element;c_h}{\&Sigma;}}{\mathrm{\&delta;}}_{c_h,d_1}{u}_{c_h}^{\left(j\right)},...,\underset{c_h}{\overset{i\&Element;c_h}{\&Sigma;}}{\mathrm{\&delta;}}_{c_h,d_D}{u}_{c_h}^{\left(j\right)})\mathrm{...}\left(16\right)$

所生成的分散值[0^(W)]_i，[0⁽¹⁾]_i,……,[0^(m)]_i存储至分散值存储部42。

[第五实施方式]

第五实施方式的多方安全认证系统中，仅随机数生成阶段的处理与上述的实施方式不同。第四实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

＜＜随机数生成阶段＞＞

说明第五实施方式所涉及的随机数生成阶段的处理。在该实施方式的随机数生成阶段中，步骤S311的处理与第四实施方式同样，仅步骤S312的处理与第四实施方式不同。

在步骤S312中，认证服务器3_i的零分散值生成部32生成随机数或者伪随机数u^(W) ₁,……,u^(W) _C，关于i∈c_j具有{u^(W) _{c_j}}，通过以下的式(17)，计算分散值[0^(W)]_i。

【数28】

${\&lsqb;0^{\left(W\right)}\&rsqb;}_i=i\&times;\underset{c_j}{\overset{i\&Element;c_j}{\&Sigma;}}{f}_{c_j}\left(i\right)u_{c_j}^{\left(W\right)}\mathrm{...}\left(17\right)$

在此，f_{c_j}是对各u^(W) _{c_j}(1≤j≤C)独有的函数，f_{c_j}(0)＝1、f_{c_j}(g)＝0(g不属于c_j)成立。

接着，认证服务器3_i的随机数分散值生成部31关于j＝1,……,m，生成随机数或者伪随机数u^(j) ₁,……,u^(j) _C，关于i∈c_h具有{u^(j) _{c_h}}，通过以下的式(18)，计算分散值[0^(j)]_i。

【数29】

${\&lsqb;0^{\left(j\right)}\&rsqb;}_i=i\&times;\underset{c_h}{\overset{i\&Element;c_h}{\&Sigma;}}{f}_{c_h}\left(i\right)u_{c_h}^{\left(j\right)}\mathrm{...}\left(18\right)$

[第六实施方式]

第六实施方式的多方安全认证系统中，仅随机数生成阶段的处理与上述的实施方式不同。第四实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

＜＜随机数生成阶段＞＞

说明第五实施方式所涉及的随机数生成阶段的处理。在该实施方式的随机数生成阶段中，步骤S312的处理与第四实施方式同样，仅步骤S311的处理与第四实施方式不同。

在步骤S311中，认证服务器3_i的随机数分散值生成部31生成随机数或者伪随机数u^(W) ₁,……,u^(W) _B，关于i∈b_j具有{u^(W) _{b_j}}，通过以下的式(19)，计算分散值[r^(W)]_i。

【数30】

${\&lsqb;r^{\left(W\right)}\&rsqb;}_i=\underset{b_j}{\overset{i\&Element;b_j}{\&Sigma;}}{f}_{b_j}\left(i\right)u_{b_j}^{\left(W\right)}\mathrm{...}\left(19\right)$

在此，f_{b_j}是对各u^(W) _{b_j}(1≤j≤B)独有的函数，f_{b_j}(0)＝1、f_{b_j}(g)＝0(g不属于b_j)成立。关于该方法，在「RonaldCramer,IvanDamgard,andYuvalIshai,“Shareconversion,pseudorandomsecret-sharingandapplicationstosecurecomputation”,TCC,Vol.3378ofLectureNotesinComputerScience,pp.342-362,2005.(参考文献1)」中详细地被记载。

接着，认证服务器3_i的随机数分散值生成部31关于j＝1,……,m，生成随机数或者伪随机数u^(j) ₁,……,u^(j) _B，关于i∈b_h具有{u^(j) _{b_h}}，通过以下的式(20)，计算分散值[r^(j)]_i。

【数31】

${\&lsqb;r^{\left(j\right)}\&rsqb;}_i=\underset{b_h}{\overset{i\&Element;b_h}{\&Sigma;}}{f}_{b_h}\left(i\right)u_{b_h}^{\left(j\right)}\mathrm{...}\left(20\right)$

[第七实施方式]

第七实施方式的多方安全认证系统中，仅随机数生成阶段的处理与上述的实施方式不同。第七实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第七实施方式的随机数生成阶段的处理内容中，步骤S311的处理内容与第六实施方式同样，步骤S312的处理内容与第五实施方式同样。详细的处理的过程请参照上述的第六实施方式以及第五实施方式的说明。

[第八实施方式]

第八实施方式的多方安全认证系统中，仅随机数生成阶段的处理与上述的实施方式不同。第八实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

在以后的说明中，以与第一实施方式不同的点为中心进行说明，关于与第一实施方式同样的部分省略说明。

＜＜随机数生成阶段＞＞

说明第八实施方式所涉及的随机数生成阶段的处理。在该实施方式中，设为n台认证服务器3₁,……,3_n之中k≤q≤n那样的任意的q台参加而进行。以下，a₁,……,a_q是1以上且n以下的不同的q个整数。

在图6所示的步骤S311中，认证服务器3_{a_i}的随机数分散值生成部31生成随机数u_i，将随机数u_i使用(k,n)秘密分散而分散为n个分散值[u_i]₁,……,[u_i]_n。随机数分散值生成部31关于j＝1,……,q，得到将分散值[u_i]_{a_j}使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥进行了加密的密文Enc_{S_a_iS_a_j}([u_i]_{a_j})。随机数分散值生成部31关于j＝1,……,q，向认证服务器3_{a_j}发送密文Enc_{S_a_iS_a_j}([u_i]_{a_j})。

接着，认证服务器3_{a_i}的随机数分散值生成部31从q-1台认证服务器3_{a_j}(j＝1,……,q、a_j≠a_i)接收q-1个密文Enc_{S_a_1S_a_i}([u₁]_{a_i}),……,Enc_{S_a_qS_a_i}([u_q]_{a_i})(其中，除了Enc_{S_a_iS_a_i}([u_i]_{a_i}))，关于j＝1,……,q，将密文Enc_{S_a_jS_a_i}([u_j]_{a_i})使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥进行解密而得到分散值[u_j]_{a_i}。作为结果，随机数分散值生成部31与自身生成的分散值[u_i]_{a_i}一起，得到q个分散值[u₁]_{a_i},……,[u_q]_{a_i}。

接着，认证服务器3_{a_i}的随机数分散值生成部31将A设为q×(q-k+1)矩阵，将[u₁]_{a_i},……,[u_q]_{a_i}看作列矢量^→u，计算矢量^→u’＝A^→u。

矩阵A例如能够使用vandermonde矩阵或者Hyper-Invertible矩阵。关于Hyper-Invertible矩阵的细节请参照「ZuzanaBeerliova-TrubiniovaandMartinHirt,“Perfectly-securempcwithlinearcommuni-cationcomplexity”,TCC,Vol.4948ofLectureNotesinComputerScience,pp.213-230,2008」。

接着，认证服务器3_{a_i}的随机数分散值生成部31将矢量^→u’的各要素分别看作[r^(W)]_{a_i},[r⁽¹⁾]_{a_i},……,[r^(m)]_{a_i}。另外，在q？k+1<m+1时，从最初再次执行步骤S311而追加生成矢量^→u’，直至得到m+1个要素为止反复。相反，如果多的情况下，为了在下次的认证中使用而进行保管。

在图6所示的步骤S312中，认证服务器3_{a_i}的零分散值生成部32生成随机数u_i，将随机数u_i使用(m-1,n)秘密分散而分散为n个分散值[u_i]₁,……,[u_i]_n。随机数分散值生成部31关于j＝1,……,q，得到将分散值[u_i]_{a_j}使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥进行了加密的密文Enc_{S_a_iS_a_j}([u_i]_{a_j})。随机数分散值生成部31关于j＝1,……,q，向认证服务器3_{a_j}发送密文Enc_{S_a_iS_a_j}([u_i]_{a_j})。

接着，认证服务器3_{a_i}的随机数分散值生成部31从q-1台认证服务器3_{a_j}(j＝1,……,q、a_j≠a_i)接收q-1个密文Enc_{S_a_1S_a_i}([u₁]_{a_i}),……,Enc_{S_a_qS_a_i}([u_q]_{a_i})(其中，除了Enc_{S_a_iS_a_i}([u_i]_{a_i}))，关于j＝1,……,q，将密文Enc_{S_a_jS_a_i}([u_j]_{a_i})使用第a_j个认证服务器3_{a_j}与第a_i个认证服务器3_{a_i}的公共密钥进行解密而得到分散值[u_j]_{a_i}。作为结果，随机数分散值生成部31与自身生成的分散值[u_i]_{a_i}一起，得到q个分散值[u₁]_{a_i},……,[u_q]_{a_i}。

接着，认证服务器3_{a_i}的随机数分散值生成部31将A设为q×(q-k+1)矩阵，将[u₁]_{a_i},……,[u_q]_{a_i}看作列矢量^→u，计算矢量^→u’＝A^→u。

接着，认证服务器3_{a_i}的随机数分散值生成部31将对矢量^→u’的各要素乘以a_i后的值分别看作[0^(W)]_{a_i},[0⁽¹⁾]_{a_i},……,[0^(m)]_{a_i}。另外，在q？k+1<m+1时，从最初再次执行步骤S312而追加生成矢量^→u’，直至得到m+1个要素为止反复。相反，如果多的情况下，为了在下次的认证中使用而进行保管。

[第九实施方式]

第九实施方式的多方安全认证系统中，仅随机数更新阶段的处理与上述的实施方式不同。第九实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第九实施方式的随机数更新阶段的处理内容与第四实施方式的随机数生成阶段的处理内容同样，因此请参照上述的第四实施方式的说明。

[第十实施方式]

第十实施方式的多方安全认证系统中，仅随机数更新阶段的处理与上述的实施方式不同。第十实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第十实施方式的随机数更新阶段的处理内容与第五实施方式的随机数生成阶段的处理内容同样，因此请参照上述的第四实施方式的说明。

[第十一实施方式]

第十一实施方式的多方安全认证系统中，仅随机数更新阶段的处理与上述的实施方式不同。第十一实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第十一实施方式的随机数更新阶段的处理内容与第六实施方式的随机数生成阶段的处理内容同样，因此请参照上述的第六实施方式的说明。

[第十二实施方式]

第十二实施方式的多方安全认证系统中，仅随机数更新阶段的处理与上述的实施方式不同。第十二实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第十二实施方式的随机数更新阶段的处理内容与第七实施方式的随机数生成阶段的处理内容同样，因此请参照上述的第六实施方式的说明。

[第十三实施方式]

第十三实施方式的多方安全认证系统中，仅随机数更新阶段的处理与上述的实施方式不同。第十三实施方式的结构方法能够应用于第一实施方式至第三实施方式的多方安全认证系统。

第十三实施方式的随机数更新阶段的处理内容与第八实施方式的随机数生成阶段的处理内容同样，因此请参照上述的第八实施方式的说明。

[变形例]

在上述的各实施方式中，以多方安全认证系统包含用户装置1、中间服务器2以及n台认证服务器3₁,……,3_n的结构为例进行了说明，但还能够将中间服务器2和1台认证服务器3作为1台中间认证服务器而构成。即，多方安全认证系统例如能够设为包含用户装置1、n-1台认证服务器3₁,……,3_n-1、1台中间认证服务器3_n的结构。

中间认证服务器3_n一并具有中间服务器2所具备的构成部分、和认证服务器3所具备的构成部分而构成。其中，在上述的实施方式中，通过中间服务器2和认证服务器3_n而发送接收的数据能够经由存储器102在服务器内部转交，因此不是必须加密。具体而言，不需要对通过中间服务器2和认证服务器3_n的公共密钥而加密的中间服务器验证值q_{a_n} ^(W)进行加密。因此，中间认证服务器3_n也可以不具备中间服务器验证值加密部35。此外，中间认证服务器3_n中的验证能够以认证服务器验证值来进行，所以不需要中间服务器验证值。因此，中间认证服务器3_n也可以不具备中间服务器验证值生成部34、中间服务器验证值加密部35、中间服务器验证值解密部23以及中间服务器验证部24。

此外，在将中间服务器2和认证服务器3_n作为1台中间认证服务器3_n而构成的情况下，能够将中间服务器2与各认证服务器3₁,……,3_n的公共密钥、和认证服务器3_n与其他认证服务器3₁,……,3_n-1的公共密钥并用，所以能够在系统整体上将公共密钥的数目减少n个。

[应用例]

本发明的多方安全认证技术能够应用于利用密码认证的各种应用系统。

例如，也可以构成为在用户经由Web页接受基于外部的第三者的信息系统的服务时，将各服务提供商作为认证服务器而进行第一实施方式或第二实施方式的认证后，各服务将对应服务提供给用户。另外，该外部服务也可以是多个服务器联合进行的服务，也可以是能够通过各个单一的服务器来实施的服务。

此外，例如，考虑使用第三实施方式的多方安全认证技术作为单点登录的方式的应用例。若这样构成，用户能够以一个密码来接受各服务器的各个服务。若使用本发明，能够降低在基于单点登录的认证的过程中的冒充所导致的泄漏的风险。

进而，例如，考虑将第三实施方式的多方安全认证技术设为使用了(k,n)秘密分散的储存服务的应用例。(k,n)秘密分散是将数据分割为n个分散值的分割方法，仅以其中任k-1个分散值完全不能得到原数据的信息，但只要有任意k个分散值就能够完全复原原数据的秘密分散方式。使用了(k,n)秘密分散的储存服务是服务器联合进行的服务，但服务器之间不需要直接通信。本发明的多方安全认证技术由于也不需要服务器之间的通信，所以可以说是能够充分地享受优点的应用例。

[发明的效果]

通过使用本发明，从而即使经由Web服务器等中间服务器，非法者也不能冒充用户而使认证成功。还设想非法者是中间者、服务器。即，包含中间者和服务器都不能知晓密码的情况。

此外，本发明除了能够应用Web的服务模型之外，实现以下的四个要件。

1.用户不需要多个密码、繁琐的证书的安装

2.即使是中间者、服务器也不能进行冒充

3.在服务器间不需要通信路径

4.由于直至对用户的响应为止的通信次数为最低限，能够在互联网环境中将响应时间设为最低限

上述第1以及第4要件是自明的。上述第2要件中，在服务器为单一主体的模型中，服务器自己具有数据，所以特意从外部通过认证而进行非法行为的优点小，但在服务器存在多个且分别具有不同的数据的情况下，存在将其他服务器具有的数据从外部进行阅览的优点。特别是在秘密分散中，若数据聚集二个则安全的效力丧失，所以该问题是重大的。上述第3要件中，意味着即使在系统构筑时相互之间不具有通信路径的服务器上，也能够展开联合的服务。例如，能够在云服务上应用提供商在适当的多个云服务上展开本公司服务。换言之，不需要云服务之间联合。

在本发明中，为了上述第1要件，密码为一个，为了第2要件，通过服务器和中间者都不能知晓密码的秘密分散来保护密码。另外，由于能够通过密码的Hash值等在服务器的本地进行辞典攻击所以是不充分的。此外，为了上述第3以及第4要件，允许服务器间通信即可，使用已知的保密电路计算即可(对应于上述第3要件)，此外若通信次数增加，能够进行与使用加密通信路径而没有中间者的情况等同的设定(对应于上述第4要件)，对其专门设计经由中间者的低通信次数的保密电路计算。

[程序、记录介质]

本发明不限定于上述的实施方式，在不脱离本发明的意旨的范围内能够进行适当变更是不言而喻的。在上述实施例中说明的各种处理不仅按照记载的顺序而时序地执行，也可以根据执行处理的装置的处理能力或根据需要并行或单独执行。

此外，在通过计算机来实现上述实施方式中说明的各装置中的各种处理功能的情况下，各装置应具有的功能的处理内容通过程序来记述。并且，通过计算机来执行该程序，从而上述各装置中的各种处理功能在计算机上实现。

记述了该处理内容的程序能够记录至能够由计算机读取的记录介质。作为能够由计算机读取的记录介质，例如也可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意记录介质。

此外，该程序的流通例如通过将记录了该程序的DVD、CD－ROM等可移动记录介质进行销售、转让、借出等来进行。进而，也可以设为将该程序储存至服务器计算机的存储装置，经由网络，从服务器计算机向其他计算机转发该程序，从而使该程序流通的结构。

执行这样的程序的计算机例如首先将在可移动记录介质中记录的程序或者从服务器计算机转发的程序暂时储存至自己的存储装置。并且，在处理的执行时，该计算机读取在自己的记录介质中储存的程序，执行按照所读取到的程序的处理。此外，作为该程序的另一执行方式，也可以是计算机从可移动记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机向该计算机转发程序时，依次执行按照所接受到的程序的处理。此外，也可以不进行从服务器计算机向该计算机的程序的转发，而是设为通过仅通过其执行指示和结果取得来实现处理功能的所谓ASP(应用服务提供商(ApplicationServiceProvider))型的服务，执行上述的处理的结构。另外，设为在本方式中的程序中，包含用于电子计算机的处理的信息且是遵循程序的信息(不是对于计算机的直接的指令但具有对计算机的处理进行规定的性质的数据等)。

此外，在该方式中，设为通过在计算机上执行规定的程序而构成本装置，但也可以将这些处理内容的至少一部分以硬件的方式来实现。

Claims (10)

1.一种多方安全认证系统，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m为1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r^(W)]₁,……,[r^(W)]_n是基于若进行复原则成为随机数r^(W)的(k,n)秘密分散的分散值，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(W)]₁,……,[0^(W)]_n是基于若进行复原则成为0的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

上述多方安全认证系统包含用户装置、中间服务器以及n台认证服务器，

其中，

上述用户装置包含：

密码分散部，将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n；以及

密码分散值加密部，关于i＝1,……,n，使用上述用户装置与第i个上述认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)，

上述中间服务器包含：

密码分散值转发部，关于i＝1,……,n，将从上述用户装置接收到的上述密文Enc_{US_i}([w']_i)发送给第i个上述认证服务器；

中间服务器验证值解密部，关于i＝1,……,m，使用上述中间服务器与第a_i个上述认证服务器的公共密钥，对从第a_i个上述认证服务器接收到的密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)；以及

中间服务器验证部，验证上述验证值q_{a_1} ^(W),……,q_{a_m} ^(W)的总和是否等于0，

上述认证服务器包含：

分散值存储部，存储将密码w分散为n个的分散值[w]₁,……,[w]_n之中第i个分散值[w]_i、第i个上述分散值[r^(W)]_i、各个第i个上述分散值[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i；

密码分散值解密部，使用上述用户终端与该认证服务器的公共密钥，对从上述中间服务器接收到的上述密文Enc_{US_i}([w']_i)进行解密而得到上述分散值[w']_i；

中间服务器验证值生成部，

λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数32】

$r^{\left(W\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数33】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i}$

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数34】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数35】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}$

通过以下式而求得验证值q_{a_i} ^(W)，

【数36】

$q_{a_i}^{\left(W\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i};$

中间服务器验证值加密部，使用上述中间服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(W)进行了加密的上述密文Enc_{WS_a_i}(q_{a_i} ^(W))；

认证服务器验证值生成部，关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)，

【数37】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i};$

认证服务器验证值加密部，关于j＝1,……,m，使用第a_j个上述认证服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))；

认证服务器验证值解密部，关于j＝1,……,m，使用第a_j个上述认证服务器与该认证服务器的公共密钥，对从第a_j个上述认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到上述验证值q_{a_j} ^(a_i)；以及

认证服务器验证部，验证上述验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。

2.如权利要求1所述的多方安全认证系统，

上述认证服务器还包含：

随机数生成部，生成随机数t_{a_i}；

随机数加密部，使用上述用户终端与该认证服务器的公共密钥，得到对上述随机数t_{a_i}进行了加密的密文Enc_{US_a_i}(t_{a_i})；以及

随机数验证部，验证对从上述中间服务器接收到的密文Enc_{US_a_i}(t_{a_i},[w']_{a_i})进行解密而得到的随机数t_{a_i}是否与由上述随机数生成部生成的上述随机数t_{a_i}相等，

上述中间服务器还包含：

随机数转发部，关于j＝1,……,m，将从第a_j个认证服务器接收到的上述密文Enc_{US_a_j}(t_{a_j})发送给上述用户装置，

上述用户终端还包含：

随机数解密部，关于i＝1,……,m，使用该用户终端与第a_i个认证服务器的公共密钥，对从上述中间服务器接收到的上述密文Enc_{US_a_i}(t_{a_i})进行解密而得到上述随机数t_{a_i}，

上述密码加密部关于i＝1,……,n，使用上述用户装置与第i个上述认证服务器的公共密钥，得到将分散值[w']_i与上述随机数t_{a_i}一起进行了加密的密文Enc_{US_a_i}(t_{a_i},[w']_{a_i})。

3.如权利要求1或2所述的多方安全认证系统，

上述认证服务器还包含：

随机数分散值生成部，生成上述分散值[r^(W)]_i,[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i；以及

零分散值生成部，生成上述分散值[0^(W)]_i,[0^(a_1)]_i,……,[r^(a_m)]_i。

4.如权利要求1或2所述的多方安全认证系统，

上述用户装置还包含：

随机数分散值生成部，生成上述随机数r^(W),r⁽¹⁾,……,r⁽ⁿ⁾，将上述随机数r^(W),r⁽¹⁾,……,r⁽ⁿ⁾分别分散为n个而生成上述分散值[r^(W)]₁,……,[r^(W)]_n以及上述分散值[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)；

随机数分散值加密部，关于i＝1,……,n，使用上述用户装置与第i个上述认证服务器的公共密钥，得到对分散值[r^(W)]_i,[r⁽ⁱ⁾]_i,……,[r⁽ⁿ⁾]_i进行了加密的密文Enc_{US_i}([r^(W)]_i,[r⁽ⁱ⁾]_i,……,[r⁽ⁿ⁾]_i)；

零分散值生成部，生成上述分散值[0^(W)]₁,……,[0^(W)]_n以及上述分散值[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)；以及

随机数分散值加密部，关于i＝1,……,m，使用上述用户装置与第a_i个上述认证服务器的公共密钥，得到对分散值[0^(W)]_i,[0⁽¹⁾]_i,……,[0^(m)]_i进行了加密的密文Enc_{US_i}([0^(W)]_i,[0^(a_1)]_i,……,[0^(a_m)]_i)，

上述中间服务器包含：

随机数分散值转发部，关于i＝1,……,n，将从上述用户装置接收到的上述密文Enc_{US_i}([r^(W)]_i,[r⁽ⁱ⁾]_i,……,[r⁽ⁿ⁾]_i)发送给第i个上述认证服务器；以及

零分散值转发部，关于i＝1,……,n，将从上述用户装置接收到的上述密文Enc_{US_i}([0^(W)]_i,[0^(a_1)]_i,……,[0^(a_m)]_i)发送给第i个上述认证服务器。

5.一种多方安全认证系统，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是a_m＝n且分别为1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数38】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数39】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}$

上述多方安全认证系统包含用户装置、中间认证服务器以及n-1台认证服务器，

其中，

上述用户装置包含：

密码分散部，将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n；以及

密码分散值加密部，关于i＝1,……,n-1，使用上述用户装置与第i个上述认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)，使用上述用户装置与上述中间认证服务器的公共密钥，得到对分散值[w']_n进行了加密的密文Enc_{US_n}([w']_n)，

上述中间认证服务器包含：

分散值存储部，存储将密码w分散为n个的分散值[w]₁,……,[w]_n之中第n个分散值[w]_n、各个第n个上述分散值[r⁽¹⁾]_n,……,[r⁽ⁿ⁾]_n；

密码分散值转发部，关于i＝1,……,n-1，将从上述用户装置接收到的上述密文Enc_{US_i}([w']_i)发送给第i个上述认证服务器；

密码分散值解密部，使用上述用户终端与该中间认证服务器的公共密钥，对上述密文Enc_{US_n}([w']_n)进行解密而得到上述分散值[w']_n；

认证服务器验证值生成部，关于j＝1,……,m，通过以下式而求得验证值q_{a_m} ^(a_j)，

【数40】

$q_{a_m}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_m}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_m}({\&lsqb;w\&rsqb;}_{a_m}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_m})+{\widehat{\mathrm{\&lambda;}}}_{a_m}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_m};$

认证服务器验证值加密部，关于j＝1,……,m-1，使用第a_j个上述认证服务器与该中间认证服务器的公共密钥，得到对上述验证值q_{a_m} ^(a_j)进行了加密的密文Enc_{S_a_mS_a_j}(q_{a_m} ^(a_j))；

认证服务器验证值解密部，关于j＝1,……,m-1，使用第a_j个上述认证服务器与该中间认证服务器的公共密钥，对从第a_j个上述认证服务器接收到的密文Enc_{S_a_mS_a_j}(q_{a_j} ^(a_m))进行解密而得到上述验证值q_{a_j} ^(a_m)；以及

认证服务器验证部，验证上述验证值q_{a_1} ^(a_m),……,q_{a_m} ^(a_m)的总和是否等于0，

上述认证服务器包含：

分散值存储部，存储第i个上述分散值[w]_i、各个第i个上述分散值[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i；

密码分散值解密部，使用上述用户终端与该认证服务器的公共密钥，对从上述中间认证服务器接收到的上述密文Enc_{US_i}([w']_i)进行解密而得到上述分散值[w']_i；

认证服务器验证值生成部，关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)，

【数41】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i};$

认证服务器验证值加密部，关于j＝1,……,m，使用第a_j个上述认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))；

认证服务器验证值解密部，关于j＝1,……,m，使用第a_j个上述认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，对从第a_j个上述认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到上述验证值q_{a_j} ^(a_i)；以及

认证服务器验证部，验证上述验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。

6.一种认证服务器，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r^(W)]₁,……,[r^(W)]_n是基于若进行复原则成为随机数r^(W)的(k,n)秘密分散的分散值，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(W)]₁,……,[0^(W)]_n是基于若进行复原则成为0的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

上述认证服务器包含：

分散值存储部，存储将密码w分散为n个的分散值[w]₁,……,[w]_n之中第i个分散值[w]_i、第i个上述分散值[r^(W)]_i、各个第i个上述分散值[r⁽¹⁾]_i,……,[r⁽ⁿ⁾]_i；

密码分散值解密部，使用用户终端与该认证服务器的公共密钥，对从中间服务器接收到的密文Enc_{US_i}([w']_i)进行解密而得到将密码w'分散为n个的分散值[w']_i；

中间服务器验证值生成部，

λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数42】

$r^{\left(W\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数43】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i}$

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数44】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数45】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}$

通过以下式而求得验证值q_{a_i} ^(W)，

【数46】

$q_{a_i}^{\left(W\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i};$

中间服务器验证值加密部，使用上述中间服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(W)进行了加密的密文Enc_{WS_a_i}(q_{a_i} ^(W))；

认证服务器验证值生成部，关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)，

【数47】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i};$

认证服务器验证值加密部，关于j＝1,……,m，使用第a_j个认证服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))；

认证服务器验证值解密部，关于j＝1,……,m，使用第a_j个认证服务器与该认证服务器的公共密钥，对从第a_j个认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到上述验证值q_{a_j} ^(a_i)；以及

认证服务器验证部，验证上述验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。

7.一种中间服务器，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是1以上且n以下的不同的m个整数，

上述中间服务器包含：

密码分散值转发部，关于i＝1,……,n，将从用户装置接收到的密文Enc_{US_i}([w']_i)发送给第i个认证服务器；

中间服务器验证值解密部，关于i＝1,……,m，使用该中间服务器与第a_i个认证服务器的公共密钥，对从第a_i个认证服务器接收到的密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)；以及

中间服务器验证部，验证上述验证值q_{a_1} ^(W),……,q_{a_m} ^(W)的总和是否等于0。

8.一种多方安全认证方法，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r^(W)]₁,……,[r^(W)]_n是基于若进行复原则成为随机数r^(W)的(k,n)秘密分散的分散值，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(W)]₁,……,[0^(W)]_n是基于若进行复原则成为0的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

上述多方安全认证方法包含：

密码分散步骤，用户装置将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n；

密码分散值加密步骤，上述用户装置关于i＝1,……,n，使用上述用户装置与第i个认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)；

密码分散值转发步骤，中间服务器关于i＝1,……,n，将从上述用户装置接收到的上述密文Enc_{US_i}([w']_i)发送给第i个上述认证服务器；

密码分散值解密步骤，上述认证服务器使用上述用户终端与该认证服务器的公共密钥，对从上述中间服务器接收到的上述密文Enc_{US_i}([w']_i)进行解密而得到上述分散值[w']_i；

中间服务器验证值生成步骤，

λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数48】

$r^{\left(W\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(W)(i∈1,……,m)是满足以下式的常数，

【数49】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i}$

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数50】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数51】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}$

上述认证服务器通过以下式而求得验证值q_{a_i} ^(W)，

【数52】

$q_{a_i}^{\left(W\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(W\right)}{\&lsqb;r^{\left(W\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(W\right)}{\&lsqb;0^{\left(W\right)}\&rsqb;}_{a_i};$

中间服务器验证值加密步骤，上述认证服务器使用上述中间服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(W)进行了加密的密文Enc_{WS_a_i}(q_{a_i} ^(W))；

中间服务器验证值解密步骤，上述中间服务器关于i＝1,……,m，使用上述中间服务器与第a_i个上述认证服务器的公共密钥，对从第a_i个上述认证服务器接收到的密文Enc_{WS_a_i}(q_{a_i} ^(W))进行解密而得到验证值q_{a_i} ^(W)；

中间服务器验证步骤，上述中间服务器验证上述验证值q_{a_1} ^(W),……,q_{a_m} ^(W)的总和是否等于0；

认证服务器验证值生成步骤，上述认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)，

【数53】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i};$

认证服务器验证值加密步骤，上述认证服务器关于j＝1,……,m，使用第a_j个上述认证服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))；

认证服务器验证值解密步骤，上述认证服务器关于j＝1,……,m，使用第a_j个上述认证服务器与该认证服务器的公共密钥，对从a_j个上述认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到上述验证值q_{a_j} ^(a_i)；以及

认证服务器验证步骤，上述认证服务器验证上述验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0。

9.一种多方安全认证方法，

n≥3，2k-1≤n，k≤m，m≤n，a₁,……,a_m是a_m＝n且分别为1以上且n以下的不同的m个整数，(k,n)秘密分散是若有n个分散值之中的k个以上则能够复原的秘密分散，[r⁽ⁱ⁾]₁,……,[r⁽ⁱ⁾]_n(i＝1,……,n)是基于若进行复原则成为随机数r⁽ⁱ⁾的(k,n)秘密分散的分散值，[0^(a_i)]₁,……,[0^(a_i)]_n(i＝1,……,m)是基于若进行复原则成为0的(k,n)秘密分散的分散值，

上述多方安全认证方法包含：

密码分散步骤，

λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数54】

$r^{\left(j\right)}w=\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&lambda;}}_{a_i}^{\left(j\right)}{\&lsqb;r^{\left(j\right)}\&rsqb;}_{a_i}{\&lsqb;w\&rsqb;}_{a_i}$

^λ_{a_i} ^(j)(i∈1,……,m)是满足以下式的常数，

【数55】

$0=\underset{i=1}{\overset{m}{\&Sigma;}}{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(j\right)}{\&lsqb;0^{\left(j\right)}\&rsqb;}_{a_i}$

用户装置将所输入的密码w'分散为n个分散值[w']₁,……,[w']_n；

密码分散值加密步骤，上述用户装置关于i＝1,……,n-1，使用上述用户装置与第i个认证服务器的公共密钥，得到对分散值[w']_i进行了加密的密文Enc_{US_i}([w']_i)，使用上述用户装置与中间认证服务器的公共密钥，得到对分散值[w']_n进行了加密的密文Enc_{US_n}([w']_n)；

密码分散值转发步骤，上述中间认证服务器关于i＝1,……,n-1，将从上述用户装置接收到的上述密文Enc_{US_i}([w']_i)发送给第i个上述认证服务器；

第一密码分散值解密步骤，上述认证服务器使用上述用户终端与该认证服务器的公共密钥，对从上述中间认证服务器接收到的上述密文Enc_{US_i}([w']_i)进行解密而得到上述分散值[w']_i；

第二密码分散值解密步骤，上述中间认证服务器使用上述用户终端与该中间认证服务器的公共密钥，对上述密文Enc_{US_n}([w']_n)进行解密而得到上述分散值[w']_n；

第一认证服务器验证值生成步骤，上述认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_i} ^(a_j)，

【数56】

$q_{a_i}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_i}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_i}({\&lsqb;w\&rsqb;}_{a_i}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_i})+{\widehat{\mathrm{\&lambda;}}}_{a_i}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_i};$

第二认证服务器验证值生成步骤，上述中间认证服务器关于j＝1,……,m，通过以下式而求得验证值q_{a_m} ^(a_j)，

【数57】

$q_{a_m}^{\left(a_j\right)}={\mathrm{\&lambda;}}_{a_m}^{\left(a_j\right)}{\&lsqb;r^{\left(a_j\right)}\&rsqb;}_{a_m}({\&lsqb;w\&rsqb;}_{a_m}-{\&lsqb;w^{\&prime;}\&rsqb;}_{a_m})+{\widehat{\mathrm{\&lambda;}}}_{a_m}^{\left(a_j\right)}{\&lsqb;0^{\left(a_j\right)}\&rsqb;}_{a_m};$

第一认证服务器验证值加密步骤，上述认证服务器关于j＝1,……,m，使用第a_j个上述认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，得到对上述验证值q_{a_i} ^(a_j)进行了加密的密文Enc_{S_a_iS_a_j}(q_{a_i} ^(a_j))；

第二认证服务器验证值加密步骤，上述中间认证服务器关于j＝1,……,m-1，使用第a_j个上述认证服务器与该中间认证服务器的公共密钥，得到对上述验证值q_{a_m} ^(a_j)进行了加密的密文Enc_{S_a_mS_a_j}(q_{a_m} ^(a_j))；

第一认证服务器验证值解密步骤，上述认证服务器关于j＝1,……,m，使用第a_j个上述认证服务器以及第a_m个中间认证服务器与该认证服务器的公共密钥，对从第a_j个上述认证服务器接收到的密文Enc_{S_a_iS_a_j}(q_{a_j} ^(a_i))进行解密而得到上述验证值q_{a_j} ^(a_i)；

第二认证服务器验证值解密步骤，上述中间认证服务器关于j＝1,……,m-1，使用第a_j个上述认证服务器与该中间认证服务器的公共密钥，对从第a_j个上述认证服务器接收到的密文Enc_{S_a_mS_a_j}(q_{a_j} ^(a_m))进行解密而得到上述验证值q_{a_j} ^(a_m)；

第一认证服务器验证步骤，上述认证服务器验证上述验证值q_{a_1} ^(a_i),……,q_{a_m} ^(a_i)的总和是否等于0；以及

第二认证服务器验证步骤，上述中间认证服务器验证上述验证值q_{a_1} ^(a_m),……,q_{a_m} ^(a_m)的总和是否等于0。

10.一种程序，用于作为权利要求6所述的认证服务器或权利要求7所述的中间服务器而使计算机发挥作用。