JP2001024632A - 同報通信に適した認証方法 - Google Patents

同報通信に適した認証方法

Info

Publication number
JP2001024632A
JP2001024632A JP11190412A JP19041299A JP2001024632A JP 2001024632 A JP2001024632 A JP 2001024632A JP 11190412 A JP11190412 A JP 11190412A JP 19041299 A JP19041299 A JP 19041299A JP 2001024632 A JP2001024632 A JP 2001024632A
Authority
JP
Japan
Prior art keywords
mod
verifier
prover
communication
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11190412A
Other languages
English (en)
Other versions
JP3585397B2 (ja
Inventor
Jun Anzai
潤 安齋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP19041299A priority Critical patent/JP3585397B2/ja
Publication of JP2001024632A publication Critical patent/JP2001024632A/ja
Application granted granted Critical
Publication of JP3585397B2 publication Critical patent/JP3585397B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 並列Fiat-Shamir法による相手認証の通信量
を削減し、同報通信システムにおける認証を高速化す
る。 【解決手段】 並列Fiat-Shamir法における証明者1か
ら検証者2への前半のw個の送信データを1つに圧縮し
て送る。検証者2は、証明者1へw個の乱数を1回で送
る。証明者1は、後半のw個のデータを検証者2へ送
る。検証者2は、後半のデータを圧縮して前半のデータ
と比較する。一致すれば、1−(1/2) wの確率で、証
明者1が本人であることを確認できる。通信量は、並列
Fiat-Shamir法の約半分になる。また、証明者1から圧
縮した複数の前半データを同報送信し、複数の検証者2
で分担して検証することで、通信量と演算量を大幅に削
減できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、認証方法に関し、
特に、複数の通信機からなる同報通信可能な通信システ
ムにおける認証方法に関する。
【0002】
【従来の技術】従来、認証方式の1つとして、並列Fiat
-Shamir法が知られている(詳細は、今井秀樹著「暗号
のおはなし」,日本規格協会,pp147-152を参照)。こ
の方式は、安全性が高く演算量も少ないが、データ通信
量や通信回数が多い。図6に、1対1の通信システムに
おける従来の認証方式の構成を示し、図7〜図10に、
複数の通信機からなる同報通信可能な通信システムに、
単純に並列Fiat-Shamir法を適用した構成を示す。
【0003】図6を参照して、1対1の通信システムに
おける従来のFiat-Shamir法による認証方法を説明す
る。信頼できる第3者の証明センターは、大きな素数
p,qを生成して秘密に保持するとともに、合成数N
(=p×q)を公開する。秘密鍵s(1≦s≦N−1)
を生成して、認証されることを望む通信機1(以下証明
者という)に秘密に保持させるとともに、公開鍵v(s
2×v mod N=1)を計算して公開する。秘密鍵sを保
持している者が本人であり、検証者2は、公開鍵vを使
って証明者が秘密鍵sを保持しているか否かを、秘密鍵
sを知ることなく検証する。
【0004】証明者1と検証者2の間で、認証の繰返し
回数wを決める。証明者1は、w個の乱数ri(1≦i
≦w)を生成し、 Xi=ri 2 mod N(1≦i≦w) を計算して、検証者2にw個の乱数ri(1≦i≦w)
を送る。検証者2は、w個のXi(1≦i≦w)を受信
すると、値が“0”または“1”のw個の乱数ei(1
≦i≦w)を生成して、w個のei(1≦i≦w)を証
明者1に送る。証明者1は、 Yi=ri×sei mod N(1≦i≦w) を計算して、検証者2にw個のYi(1≦i≦w)を送
る。検証者2は、 Yi 2×vei≡Xi(mod N)(1≦i≦w) を検証する。w回の検証が成功すれば、検証者2は、1
−(1/2)wの確率で、証明者1が公開鍵vに対応する
秘密鍵sを保持していること、すなわち本人であること
を確認できる。1回でも検証に失敗すれば、証明者1は
本人でないことがわかる。
【0005】図7〜図10を参照して、並列Fiat-Shami
r法による認証方法を説明する。信頼できる第3者の証
明センターは、大きな素数p,qを生成して秘密に保持
するとともに、合成数N(=p×q)を公開する。通信
機数n=5とする。1台の通信機を証明者1とし、4台
の通信機を検証者2とする。証明センターは、秘密鍵s
(1≦s≦N−1)を生成して、証明者1に秘密に保持
させるとともに、公開鍵v(s2×v mod N=1)を計
算して公開する。証明者1と検証者2の間で、認証の繰
返し回数w=8を決める。
【0006】図7に示すステップ(1)において、証明
者1は、8×4個の乱数rjw(1≦j≦4,1≦w≦
8)を生成し、 Xjw=rjw 2 mod N を計算して検証者2に同報する。j番目の検証者2(検
証者j)は、Xj1〜Xj8を受信する(1≦j≦4)。
【0007】図8に示すステップ(2)において、検証
者jは、乱数ej1〜ej8(1≦j≦4)を発生して、証
明者1に送る。証明者1は、ejw(1≦j≦4,1≦w
≦8)を受信する。
【0008】図9に示すステップ(3)において、証明
者1は、 Yjw=rjw×sejw mod N(1≦j≦4,1≦w≦8) を計算して、検証者2に同報する。検証者jは、Yj1
j8(1≦j≦4)を受信する。
【0009】図10に示すステップ(4)において、検
証者jは、 Yjw 2×vejw≡Xjw(mod N)(1≦j≦4,1≦w≦
8) が成立するか否か検査する。各検証者2がすべての検証
に成功すれば、1−(1/2)8の確率で、各検証者は証
明者1が公開鍵vに対応する秘密鍵sを保持しているこ
と、すなわち本人であることを確認できる。
【0010】
【発明が解決しようとする課題】しかしながら、上記従
来の認証方式においては、データ通信量や通信回数が多
く、実用上は効率が悪いという欠点がある。特に、この
方式を同報通信システムに単純に適用すると、非常にト
ラフィックが大きくなるという問題を有していた。
【0011】本発明は、上記従来の問題を解決するもの
で、並列Fiat-Shamir法を用いた認証方法において、デ
ータ通信量と通信回数および演算量を削減して、高速に
認証を行なうことを目的とする。
【0012】
【課題を解決するための手段】上記問題を解決するため
に、本発明では、複数台の通信機からなる通信システム
における認証方法を、通信機のうち認証されることを望
む通信機(証明者)は、あらかじめ、所定の大きさの素
数p,qとその合成数N(=p×q)と任意の整数s
(1≦s≦N−1)と整数v(s2×v mod N=1)を
生成して、p,q,sを秘密鍵として安全に保管し、
N,vを公開鍵として公開し、任意の圧縮関数h( ‖
‖…‖ )を公開し、認証の繰返し回数をwと定め、認証
を受ける際には、(1)証明者は、w個の乱数ri(1≦
i≦w)を生成し、前半情報 X=h(r1 2 mod N‖r2
2 mod N‖…‖rw 2 mod N) を計算して通信機のうち検
証を依頼する通信機(検証者)に送信し、(2)検証者
は、値が“0”または“1”のw個の乱数ei(1≦i
≦w)を生成して証明者に送信し、(3)証明者は、w個
の検証情報 Y1=r1×se1 mod N,Y2=r2×se2 m
od N,…,Yw=rw×sewmod N を計算して検証者に
送信し、(4)検証者は検証式 h(Y1 2×ve1 modN‖Y
2 2×ve2 mod N‖…‖Yw 2×vew mod N)=X が成り
立つことを検算し、成り立つ場合には証明者を認証し、
成り立たない場合には証明者を認証しない構成とした。
【0013】このように構成したことにより、証明者か
ら検証者へのデータ通信量と通信回数を削減することが
できる。
【0014】また、(1)証明者は、検証者j(1≦j≦
n−1)に対して、n≧wの場合は、n−1個の乱数r
jを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−
1)を計算して同報通信し、n<wの場合は、w個の乱
数r1,…,rwを生成してw個の前半情報 Xj=rj 2
mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=r
j+2(n-1) 2 mod N,… を計算して同報通信し、(2)検
証者j(1≦j≦n−1)は、n≧wの場合は自身のI
Dに対応した前半情報Xjを保持し、値が“0”または
“1”の乱数ejを同報通信し、n<wの場合は自身の
IDに対応した前半情報Xj,Xj+n-1,Xj+2(n-1),…
を保持し、値が“0”または“1”の乱数ej
j+n-1,ej+2(n-1),…を同報通信し、(3)証明者
は、n≧wの場合はejを用いてn−1個の検証情報
j=rj×sej mod N を計算して同報通信し、n<w
の場合はej,ej+n-1,ej+2(n-1),…を用いてw個の
検証情報Yj=rj×sej mod N, Yj+n-1=rj×s
ej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod
N,… を計算して同報通信し、(4)検証者jは、n≧
wの場合は検証式 Yj 2×vej mod N=Xj が成り立
つことを確認し、n<wの場合は検証式 Yj 2×vej m
od N=Xj, Yj+n-1 2×vej+n-1 mod N=Xj+n-1,Y
j+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),… が成
り立つことを確認し、成り立たない場合は、不成立であ
ることを同報通信し、成り立つ場合には、他の検証者か
ら不成立であることが同報通信されないかぎりは、認証
したとする構成とした。
【0015】このように構成したことにより、証明者か
ら検証者への通信量と検証者の演算量を削減できる。
【0016】また、(1)証明者は、検証者j(1≦j≦
n−1)に対して、n≧wの場合はn−1個の乱数rj
を生成してn−1個の前半情報 Xj=h(rj 2 mod N)
を計算して同報通信し、n<wの場合はw個の乱数r
1,…,rwを生成してn−1個の前半情報 Xj=h(r
j 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…)を
計算して同報通信し、(2)証検証者j(1≦j≦n−
1)は、n≧wの場合は自身のIDに対応した前半情報
jを保持し、値が“0”または“1”の乱数ejを同報
通信し、n<wの場合は自身のIDに対応した前半情報
jを保持し、値が“0”または“1”の乱数ej,e
j+n-1,ej+2(n-1),…を同報通信し、(3)証明者は、
n≧wの場合はejを用いてn−1個の検証情報 Yj
j×sejmod N(1≦j≦n−1) を計算して同報通
信し、n<wの場合はej,ej+n -1,ej+2(n-1),…
(1≦j≦n−1)を用いてw個の検証情報 Yj=rj
×s ej mod N, Yj+n-1=rj×sej+n-1 mod N, Y
j+2(n-1)=rj×sej+2(n-1)mod N,…(1≦j≦n−
1) を計算して同報通信し、(4)検証者jは、n≧w
の場合は検証式 h(Yj 2×vej mod N)=Xj が成り
立つことを確認し、n<wの場合は検証式 h(Yj 2×
ej mod N‖Yj+n-1 2×vej+n-1 mod N‖Yj+2 (n-1) 2
×vej+2(n-1) mod N)=Xj が成り立つことを確認
し、成り立たない場合は、不成立であることを同報通信
し、成り立つ場合には、他の検証者から不成立であるこ
とが同報通信されないかぎりは、認証したとする構成と
した。
【0017】このように構成したことにより、証明者か
ら検証者への通信量と検証者の演算量を削減できる。
【0018】
【発明の実施の形態】本発明の請求項1に記載の発明
は、複数台の通信機からなる通信システムにおいて、前
記通信機のうち認証されることを望む通信機(以下証明
者という)は、あらかじめ、所定の大きさの素数p,q
とその合成数N(=p×q)と任意の整数s(1≦s≦
N−1)と整数v(s2×v mod N=1)を生成して、
前記p,q,sを秘密鍵として安全に保管し、前記N,
vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…
‖ )を公開し、認証の繰返し回数をwと定め、認証を受
ける際には、(1)前記証明者は、w個の乱数ri(1≦
i≦w)を生成し、前半情報 X=h(r1 2 mod N‖r2
2 mod N‖…‖rw 2 mod N) を計算して前記通信機のう
ち検証を依頼する通信機(以下検証者という)に送信
し、(2)前記検証者は、値が“0”または“1”のw個
の乱数ei(1≦i≦w)を生成して前記証明者に送信
し、(3)前記証明者は、w個の検証情報 Y1=r1×s
e1 mod N,Y2=r2×se2 mod N,…,Yw=rw×sew
mod N を計算して前記検証者に送信し、(4)前記検証
者は検証式 h(Y1 2×ve1 mod N‖Y2 2×ve2 mod N
‖…‖Yw 2×vew mod N)=X が成り立つことを検算
し、成り立つ場合には証明者を認証し、成り立たない場
合には証明者を認証しない認証方法であり、証明者の通
信量を減少するという作用を有する。
【0019】本発明の請求項2に記載の発明は、n台
(n≧2)の通信機からなる同報通信可能な通信システ
ムにおいて、前記通信機のうち認証されることを望む通
信機(以下証明者という)は、あらかじめ、所定の大き
さの素数p,qとその合成数N(=p×q)と任意の整
数s(1≦s≦N−1)と整数v(s2×v mod N=
1)を生成して、前記p,q,sを秘密鍵として安全に
保管し、前記N,vを公開鍵として公開し、認証の繰返
し回数をwと定め、認証を受ける際には、前記証明者を
除く通信機(以下検証者という)のIDをj(1≦j≦
n−1)とし、(1)前記証明者は、前記検証者j(1≦
j≦n−1)に対して、n≧wの場合:n−1個の乱数
jを生成して前半情報 Xj=rj 2 mod N(1≦j≦n
−1)を計算して同報通信し、n<wの場合:w個の乱
数r1,…,rwを生成してw個の前半情報 Xj=rj 2
mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=r
j+2(n- 1) 2 mod N,… を計算して同報通信し、(2)前
記検証者j(1≦j≦n−1)は、n≧wの場合:自身
のIDに対応した前記前半情報Xjを保持し、値が
“0”または“1”の乱数ejを同報通信し、n<wの
場合:自身のIDに対応した前記前半情報Xj
j+n-1,Xj+2(n-1),…を保持し、値が“0”または
“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信
し、(3)前記証明者は、n≧wの場合:ejを用いてn
−1個の検証情報 Yj=rj×sej mod N を計算して
同報通信し、n<wの場合:ej,ej+n-1
j+2(n-1),…を用いてw個の検証情報 Yj=rj×s
ej mod N, Yj+n-1=rj×sej+n-1 mod N, Y
j+2(n-1)=rj×sej+2(n-1) mod N,… を計算して同
報通信し、(4)前記検証者jは、n≧wの場合:検証式
j 2×vej mod N=Xj が成り立つことを確認し、
n<wの場合:検証式 Yj 2×vej mod N=Xj, Y
j+n-1 2×vej+n-1 mod N=Xj+n-1, Yj+2(n-1) 2×v
ej+2(n-1) mod N=Xj+2(n-1),… が成り立つことを
確認し、成り立たない場合は、不成立であることを同報
通信し、成り立つ場合には、他の検証者から不成立であ
ることが同報通信されないかぎりは、認証したとする認
証方法であり、証明者の通信量と検証者の演算量を減少
するという作用を有する。
【0020】本発明の請求項3に記載の発明は、n台
(nは2以上の整数)の通信機からなる同報通信可能な
通信システムにおいて、前記通信機のうち認証されるこ
とを望む通信機(以下証明者という)は、あらかじめ、
所定の大きさの素数p,qとその合成数N(=p×q)
と任意の整数s(1≦s≦N−1)と整数v(s2×vm
od N=1)を生成して、前記p,q,sを秘密鍵として
安全に保管し、前記N,vを公開鍵として公開し、任意
の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回
数をwと定め、認証を受ける際には、前記証明者を除く
通信機(以下検証者という)のIDをj(1≦j≦n−
1)とし、(1)前記証明者は、前記検証者j(1≦j≦
n−1)に対して、n≧wの場合:n−1個の乱数rj
を生成してn−1個の前半情報 Xj=h(rj 2 mod N)
を計算して同報通信し、n<wの場合:w個の乱数
1,…,rwを生成してn−1個の前半情報 Xj=h
(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖
…) を計算して同報通信し、(2)前記証検証者j(1
≦j≦n−1)は、n≧wの場合:自身のIDに対応し
た前記前半情報Xjを保持し、値が“0”または“1”
の乱数ejを同報通信し、n<wの場合:自身のIDに
対応した前記準備情報Xjを保持し、値が“0”または
“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信
し、(3)前記証明者は、n≧wの場合:ejを用いてn
−1個の検証情報 Yj=rj×sej mod N(1≦j≦n
−1) を計算して同報通信し、n<wの場合:ej
j+n-1,ej+2(n- 1),…(1≦j≦n−1)を用いて
w個の検証情報 Yj=rj×sej mod N,Yj+n-1=rj
×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) m
od N,…(1≦j≦n−1) を計算して同報通信し、
(4)検証者jは、n≧wの場合:検証式 h(Yj 2×v
ej mod N)=Xj が成り立つことを確認し、n<wの
場合:検証式 h(Yj 2×vej mod N‖Yj+n-1 2×v
ej+n-1 mod N‖Yj+2(n-1) 2×vej +2(n-1) mod N‖…)
=Xj が成り立つことを確認し、成り立たない場合
は、不成立であることを同報通信し、成り立つ場合に
は、他の検証者から不成立であることが同報通信されな
いかぎりは、認証したとする認証方法であり、証明者の
通信量と検証者の演算量を減少するという作用を有す
る。
【0021】本発明の請求項4に記載の発明は、請求項
2、3記載の認証方法において、前記証明者は、前記前
半情報を同報通信してから制限時間内に前記検証者jが
前記乱数ejまたはej,ej+n-1,ej+2(n-1),…を送
信しない場合には、ejまたはej,ej+n-1,e
j+2(n-1),…を“0”と見なすものであり、検証者の通
信回数を減少するという作用を有する。
【0022】本発明の請求項5に記載の発明は、請求項
2、3記載の認証方法において、前記検証者jのうち代
表検証者dが、その他の全ての検証者j(≠d)の前記
乱数ejまたはej,ej+n-1,ej+2(n-1),…を代りに
選択して送信するものであり、検証者の通信回数を減少
するという作用を有する。
【0023】本発明の請求項6に記載の発明は、請求項
4記載の認証方法において、前記検証者jは、前記乱数
jまたはej,ej+n-1,ej+2(n-1),…を選ぶとき
に、通信状態などの負荷の度合いが高い場合や省電力状
態の場合はejまたはej,ej+ n-1,ej+2(n-1),…を
同報通信しないこととし、負荷の度合いが低い場合また
は省電力状態でない場合はej=“1”またはej,e
j+n-1,ej+2(n-1),…=“1”を同報通信するもので
あり、検証者の負荷の度合いが高い場合または省電力状
態の場合に通信回数を減らすという作用を有する。
【0024】以下、本発明の実施の形態について、図1
〜図5を参照しながら詳細に説明する。
【0025】(第1の実施の形態)本発明の第1の実施
の形態は、証明者から検証者への前半のデータ送信の際
に、ハッシュ関数で圧縮したデータを1回だけ送る認証
方法である。
【0026】図1は、本発明の第1の実施の形態におけ
る認証方法の1対1のシステムでの手順を示す流れ図で
ある。図1を参照して、1対1の通信システムにおける
処理手順を説明する。
【0027】通信機のうち認証されることを望む通信機
1(以下証明者という。ここでは、基地局を想定してい
る。)は、あらかじめ、所定の大きさの素数p,qとそ
の合成数N(=p×q)と任意の整数s(1≦s≦N−
1)と整数v(s2×v modN=1)を生成する。p,
q,sを秘密鍵として安全に保管し、N,vを公開鍵と
して公開する。任意の圧縮関数h( ‖ ‖…‖ )も公開
する。
【0028】検証者2(移動端末を想定している。)が
証明者1を認証する際に、証明者1と検証者2の間で、
認証の繰返し回数wを決める。証明者1は、w個の乱数
i(1≦i≦w)を生成し、 Xi=ri 2 mod N(i=1〜w) X=h(X1‖X2‖・・・‖Xw) を計算して、Xを検証者2に送る。検証者2は、Xを受
信すると、値が“0”または“1”のw個の乱数e
i(1≦i≦w)を生成して証明者1に送る。
【0029】証明者1は、 Yi=ri×sei mod N(i=1〜w) を計算して、検証者2に送る。
【0030】検証者2は、 Zi=Yi 2×vei mod N(i=1〜w) を計算して、 h(Z1‖Z2‖・・・‖Zw)=X を検証する。検証が成功すれば、検証者2は、1−(1
/2)wの確率で、証明者1が公開鍵vに対応する秘密鍵
sを保持していること、すなわち本人であることを確認
できる。検証に失敗すれば、証明者1は本人でないこと
がわかる。
【0031】上記のように、本発明の第1の実施の形態
では、認証方法を、証明者から検証者への前半のデータ
送信の際に、ハッシュ関数で圧縮したデータを1回だけ
送る構成としたので、並列Fiat-Shamir法の約半分の通
信量で済む。
【0032】(第2の実施の形態)本発明の第2の実施
の形態は、証明者から検証者への前半情報を圧縮して同
報通信し、複数の端末で分担して検証する認証方法であ
る。
【0033】図2は、本発明の第2の実施の形態におけ
る認証方法の複数の通信機からなる同報通信可能な通信
システムにおけるステップ(1)を示す図である。図3
は、複数の通信機からなる同報通信可能な通信システム
におけるステップ(2)を示す図である。図4は、複数の
通信機からなる同報通信可能な通信システムにおけるス
テップ(3)を示す図である。図5は、複数の通信機から
なる同報通信可能な通信システムにおけるステップ(4)
を示す図である。
【0034】図2〜図5を参照して、複数の通信機から
なる同報通信可能な通信システムにおける処理手順を説
明する。
【0035】5台の通信機のうち、認証されることを望
む通信機1(以下証明者という。ここでは、基地局を想
定している。)は、あらかじめ、所定の大きさの素数
p,qとその合成数N(=p×q)と任意の整数s(1
≦s≦N−1)と整数v(s2×v mod N=1)を生成
する。p,q,sを秘密鍵として安全に保管し、N,v
を公開鍵として公開する。任意の圧縮関数h( ‖ ‖…
‖ )も公開する。証明者1を除く通信機2(以下検証者
という。ここでは、4台の移動端末を想定している。)
と証明者1の間で、認証の繰返し回数w=8を決める。
【0036】図2に示すステップ(1)において、証明
者1は、8個の乱数rw(1≦w≦8)を生成し、 Zw=rw 2 mod N(1≦w≦8) Xj=h(Zj‖Zj+4)(j=1〜4) を計算して検証者2に同報する。j番目の検証者2(以
下、検証者jという)は、Xjを受信する(1≦j≦
4)。
【0037】図3に示すステップ(2)において、検証
者jは、値が“0”または“1”の乱数ejとej+4(1
≦j≦4)を発生して、証明者1に送る。証明者1は、
1〜e8を受信する。
【0038】図4に示すステップ(3)において、証明
者1は、 Yw=rw×sew mod N(1≦w≦8) を計算して、検証者2に同報する。検証者jは、Yj
j+4(1≦j≦4)を受信する。
【0039】図5に示すステップ(4)において、検証
者jは、 Uj=Yj 2×vej mod N Uj+4=Yj+4 2×vej+4 mod N を計算し、 h(Uj‖Uj+4)=Xj(1≦j≦4) が成立するか否か検査する。不成立時には基地局または
他の移動体端末に知らせることにより、すべての検証者
2が検証に成功すれば、1−(1/2)8の確率で、証明
者1が公開鍵vに対応する秘密鍵sを保持しているこ
と、すなわち本人であることを確認できる。
【0040】複数の通信機からなる同報通信可能な通信
システムにおける本実施の形態と並列Fiat-Shamir法の
通信量と演算量と通信回数を見積もって比較してみる。
見積もり条件は、Nが1024bits、圧縮関数が128bitの出
力を行うMD5とする。また、検証者が証明者に乱数を
送信する確率を1/2、認証の繰返し回数w=20、通信
機数n=11とする。以上の条件において、おおよそ本実
施の形態では、検証者の演算時間が1/10、証明者の前
半の通信量が1/2、後半の通信量が1/10、全検証者
の通信回数の合計が1/2となる。
【0041】並列Fiat-Shamir法は、合成数Nが多項式
時間で素因数分解できないことに安全性の根拠を求めて
いる。本実施の形態の認証方法も、同様の部分に安全性
の根拠を求めている。したがって、十分な安全性を持た
せるためには、合成数Nの大きさを1024bit程度にとる
必要性がある。本実施の形態と並列Fiat-Shamir法にお
いて、安全性が異なる可能性があるのは、圧縮関数によ
る情報量の減少である。しかし、本実施の形態において
も合成数Nの大きさは1024bitのままであるから、これ
による安全性の低下はない。
【0042】全数探索法による攻撃に対しても、一般的
には128bitもあれば十分安全であるとされているので、
圧縮関数は、出力が128bit以上のものを用いれば安全で
ある。圧縮関数に関しては、SHA−1やMD5などの
ハッシュ関数を用いるのが安全性の面から望ましいが、
簡単化のために排他的論理和で代用することも可能であ
る。圧縮しないで、検証を複数の端末で分担するだけで
もよい。
【0043】また、並列Fiat-Shamirの認証の繰返し回
数wは、20から40にとるのが安全とされているので、本
実施の形態においても20から40にとることで同様の安全
性を保つことができる。
【0044】なお、検証者のうち代表検証者が、その他
の全ての検証者の乱数を代りに選択して証明者に送信し
てもよい。また、検証者は、乱数を選ぶときに、通信状
態などの負荷の度合いが高い場合や省電力状態の場合は
乱数を送信しないこととし、負荷の度合いが低い場合ま
たは省電力状態でない場合は乱数を送信するようにして
もよい。この場合、証明者は、前情報を同報通信してか
ら制限時間内に検証者が乱数を送信しない場合には、該
当の乱数を“0”と見なすようにする。
【0045】上記のように、本発明の第2の実施の形態
では、認証方法を、証明者から検証者への前半情報を圧
縮して同報通信し、複数の端末で分担して検証する構成
としたので、証明者と検証者との間の通信量と演算量を
削減でき、高速に認証できる。
【0046】
【発明の効果】以上の説明から明らかなように、本発明
では、複数台の通信機からなる通信システムにおける認
証方法を、通信機のうち認証されることを望む通信機
(証明者)は、あらかじめ、所定の大きさの素数p,q
とその合成数N(=p×q)と任意の整数s(1≦s≦
N−1)と整数v(s2×v mod N=1)を生成して、
p,q,sを秘密鍵として安全に保管し、N,vを公開
鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公
開し、認証の繰返し回数をwと定め、認証を受ける際に
は、(1)証明者は、w個の乱数ri(1≦i≦w)を生
成し、前半情報 X=h(r1 2 mod N‖r2 2 mod N‖…
‖rw 2 mod N) を計算して通信機のうち検証を依頼す
る通信機(検証者)に送信し、(2)検証者は、値が
“0”または“1”のw個の乱数ei(1≦i≦w)を
生成して証明者に送信し、(3)証明者は、w個の検証情
報 Y1=r1×se1 mod N,Y2=r2×se2 mod N,
…,Yw=rw×sew mod N を計算して検証者に送信
し、(4)検証者は検証式 h(Y1 2×ve1 mod N‖Y2 2
×ve2 mod N‖…‖Yw 2×vew mod N)=X が成り立
つことを検算し、成り立つ場合には証明者を認証し、成
り立たない場合には証明者を認証しない構成としたの
で、証明者から検証者へのデータ通信量と通信回数を削
減することができるという効果が得られる。
【0047】また、(1)証明者は、検証者j(1≦j≦
n−1)に対して、n≧wの場合は、n−1個の乱数r
jを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−
1)を計算して同報通信し、n<wの場合は、w個の乱
数r1,…,rwを生成してw個の前半情報 Xj=rj 2
mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=r
j+2(n-1) 2 mod N,… を計算して同報通信し、(2)検
証者j(1≦j≦n−1)は、n≧wの場合は自身のI
Dに対応した前半情報Xjを保持し、値が“0”または
“1”の乱数ejを同報通信し、n<wの場合は自身の
IDに対応した前半情報Xj,Xj+n-1,Xj+2(n-1),…
を保持し、値が“0”または“1”の乱数ej
j+n-1,ej+2(n-1),…を同報通信し、(3)証明者
は、n≧wの場合はejを用いてn−1個の検証情報
j=rj×sej mod N を計算して同報通信し、n<w
の場合はej,ej+n-1,ej+2(n-1),…を用いてw個の
検証情報Yj=rj×sej mod N, Yj+n-1=rj×s
ej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod
N,… を計算して同報通信し、(4)検証者jは、n≧
wの場合は検証式 Yj 2×vej mod N=Xj が成り立
つことを確認し、n<wの場合は検証式 Yj 2×vej m
od N=Xj, Yj+n-1 2×vej+n-1 mod N=Xj+n-1,Y
j+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),… が成
り立つことを確認し、成り立たない場合は、不成立であ
ることを同報通信し、成り立つ場合には、他の検証者か
ら不成立であることが同報通信されないかぎりは、認証
したとする構成としたので、証明者から検証者への通信
量と検証者の演算量を削減できるという効果が得られ
る。
【0048】また、(1)証明者は、検証者j(1≦j≦
n−1)に対して、n≧wの場合はn−1個の乱数rj
を生成してn−1個の前半情報 Xj=h(rj 2 mod N)
を計算して同報通信し、n<wの場合はw個の乱数r
1,…,rwを生成してn−1個の前半情報 Xj=h(r
j 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…)を
計算して同報通信し、(2)証検証者j(1≦j≦n−
1)は、n≧wの場合は自身のIDに対応した前半情報
jを保持し、値が“0”または“1”の乱数ejを同報
通信し、n<wの場合は自身のIDに対応した前半情報
jを保持し、値が“0”または“1”の乱数ej,e
j+n-1,ej+2(n-1),…を同報通信し、(3)証明者は、
n≧wの場合はejを用いてn−1個の検証情報 Yj
j×sejmod N(1≦j≦n−1) を計算して同報通
信し、n<wの場合はej,ej+n -1,ej+2(n-1),…
(1≦j≦n−1)を用いてw個の検証情報 Yj=rj
×s ej mod N, Yj+n-1=rj×sej+n-1 mod N, Y
j+2(n-1)=rj×sej+2(n-1)mod N,…(1≦j≦n−
1) を計算して同報通信し、(4)検証者jは、n≧w
の場合は検証式 h(Yj 2×vej mod N)=Xj が成り
立つことを確認し、n<wの場合は検証式 h(Yj 2×
ej mod N‖Yj+n-1 2×vej+n-1 mod N‖Yj+2 (n-1) 2
×vej+2(n-1) mod N)=Xj が成り立つことを確認
し、成り立たない場合は、不成立であることを同報通信
し、成り立つ場合には、他の検証者から不成立であるこ
とが同報通信されないかぎりは、認証したとする構成と
したので、証明者から検証者への通信量と検証者の演算
量を削減できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における認証方法の
手順を示す流れ図、
【図2】本発明の第2の実施の形態における認証方法の
ステップ(1)を示す図、
【図3】本発明の第2の実施の形態における認証方法の
ステップ(2)を示す図、
【図4】本発明の第2の実施の形態における認証方法の
ステップ(3)を示す図、
【図5】本発明の第2の実施の形態における認証方法の
ステップ(4)を示す図、
【図6】従来の1対1の通信システムにおける認証方法
の説明図、
【図7】従来の並列Fiat-Shamir法のステップ(1)の説
明図、
【図8】従来の並列Fiat-Shamir法のステップ(2)の説
明図、
【図9】従来の並列Fiat-Shamir法のステップ(3)の説
明図、
【図10】従来の並列Fiat-Shamir法のステップ(4)の
説明図である。
【符号の説明】
1 証明者 2 検証者 3 同報通信網
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5J104 AA07 BA03 KA05 KA06 KA08 NA02 NA08 NA12 NA37 5K067 AA33 BB04 CC14 DD23 EE02 GG01 GG11 HH00 HH22 HH23 HH24 9A001 BB02 BB03 BB04 CC02 DD10 EE03 GG01 GG05 GG22 JJ18 KK56 LL03

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 複数台の通信機からなる通信システムに
    おける認証方法において、前記通信機のうち認証される
    ことを望む通信機(以下証明者という)は、あらかじ
    め、所定の大きさの素数p,qとその合成数N(=p×
    q)と任意の整数s(1≦s≦N−1)と整数v(s2
    ×v mod N=1)を生成して、前記p,q,sを秘密鍵
    として安全に保管し、前記N,vを公開鍵として公開
    し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の
    繰返し回数をwと定め、認証を受ける際には、 (1)前記証明者は、w個の乱数ri(1≦i≦w)を生
    成し、前半情報 X=h(r1 2 mod N‖r2 2 mod N‖…‖rw 2 mod N) を計算して前記通信機のうち検証を依頼する通信機(以
    下検証者という)に送信し、 (2)前記検証者は、値が“0”または“1”のw個の乱
    数ei(1≦i≦w)を生成して前記証明者に送信し、 (3)前記証明者は、w個の検証情報 Y1=r1×se1 mod N,Y2=r2×se2 mod N,…,Yw
    w×sew mod N を計算して前記検証者に送信し、 (4)前記検証者は検証式 h(Y1 2×ve1 mod N‖Y2 2×ve2 mod N‖…‖Yw 2×
    ew mod N)=X が成り立つことを検算し、成り立つ場合には証明者を認
    証し、成り立たない場合には証明者を認証しないことを
    特徴とする認証方法。
  2. 【請求項2】 n台(n≧2)の通信機からなる同報通
    信可能な通信システムにおける認証方法において、前記
    通信機のうち認証されることを望む通信機(以下証明者
    という)は、あらかじめ、所定の大きさの素数p,qと
    その合成数N(=p×q)と任意の整数s(1≦s≦N
    −1)と整数v(s2×v mod N=1)を生成して、前
    記p,q,sを秘密鍵として安全に保管し、前記N,v
    を公開鍵として公開し、認証の繰返し回数をwと定め、
    認証を受ける際には、前記証明者を除く通信機(以下検
    証者という)のIDをj(1≦j≦n−1)とし、 (1)前記証明者は、前記検証者j(1≦j≦n−1)に
    対して、 ・n≧wの場合:n−1個の乱数rjを生成して前半情
    報 Xj=rj 2 mod N(1≦j≦n−1) を計算して同報通信し、 ・n<wの場合:w個の乱数r1,…,rwを生成してw
    個の前半情報 Xj=rj 2 mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=rj+2(n-1) 2 mod N,… を計算して同報通信し、 (2)前記検証者j(1≦j≦n−1)は、 ・n≧wの場合:自身のIDに対応した前記前半情報X
    jを保持し、値が“0”または“1”の乱数ejを同報通
    信し、 ・n<wの場合:自身のIDに対応した前記前半情報X
    j,Xj+n-1,Xj+2(n-1),…を保持し、値が“0”また
    は“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通
    信し、 (3)前記証明者は、 ・n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod N を計算して同報通信し、 ・n<wの場合:ej,ej+n-1,ej+2(n-1),…を用い
    てw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,… を計算して同報通信し、 (4)前記検証者jは、 ・n≧wの場合:検証式 Yj 2×vej mod N=Xj が成り立つことを確認し、 ・n<wの場合:検証式 Yj 2×vej mod N=Xj, Yj+n-1 2×vej+n-1 mod N=Xj+n-1, Yj+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),… が成り立つことを確認し、成り立たない場合は、不成立
    であることを同報通信し、成り立つ場合には、他の検証
    者から不成立であることが同報通信されないかぎりは、
    認証したとすることを特徴とする認証方法。
  3. 【請求項3】 n台(nは2以上の整数)の通信機から
    なる同報通信可能な通信システムにおける認証方法にお
    いて、前記通信機のうち認証されることを望む通信機
    (以下証明者という)は、あらかじめ、所定の大きさの
    素数p,qとその合成数N(=p×q)と任意の整数s
    (1≦s≦N−1)と整数v(s2×vmod N=1)を生
    成して、前記p,q,sを秘密鍵として安全に保管し、
    前記N,vを公開鍵として公開し、任意の圧縮関数h(
    ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、
    認証を受ける際には、前記証明者を除く通信機(以下検
    証者という)のIDをj(1≦j≦n−1)とし、 (1)前記証明者は、前記検証者j(1≦j≦n−1)に
    対して、 ・n≧wの場合:n−1個の乱数rjを生成してn−1
    個の前半情報 Xj=h(rj 2 mod N) を計算して同報通信し、 ・n<wの場合:w個の乱数r1,…,rwを生成してn
    −1個の前半情報 Xj=h(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mo
    d N‖…) を計算して同報通信し、 (2)前記証検証者j(1≦j≦n−1)は、 ・n≧wの場合:自身のIDに対応した前記前半情報X
    jを保持し、値が“0”または“1”の乱数ejを同報通
    信し、 ・n<wの場合:自身のIDに対応した前記前半情報X
    jを保持し、値が“0”または“1”の乱数ej,e
    j+n-1,ej+2(n-1),…を同報通信し、 (3)前記証明者は、 ・n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod N(1≦j≦n−1) を計算して同報通信し、 ・n<wの場合:ej,ej+n-1,ej+2(n-1),…(1≦
    j≦n−1)を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,…(1≦j≦n
    −1) を計算して同報通信し、 (4)検証者jは、 ・n≧wの場合:検証式 h(Yj 2×vej mod N)=Xj が成り立つことを確認し、 ・n<wの場合:検証式 h(Yj 2×vej mod N‖Yj+n-1 2×vej+n-1 mod N‖Y
    j+2(n-1) 2×vej+2(n-1) mod N‖…)=Xj が成り立つことを確認し、成り立たない場合は、不成立
    であることを同報通信し、成り立つ場合には、他の検証
    者から不成立であることが同報通信されないかぎりは、
    認証したとすることを特徴とする認証方法。
  4. 【請求項4】 前記証明者は、前記前半情報を同報通信
    してから制限時間内に前記検証者jが前記乱数ejまた
    はej,ej+n-1,ej+2(n-1),…を送信しない場合に
    は、ejまたはej,ej+n-1,ej+2(n-1),…を“0”
    と見なすことを特徴とする請求項2、3記載の認証方
    法。
  5. 【請求項5】 前記検証者jのうち代表検証者dが、そ
    の他の全ての検証者j(≠d)の前記乱数ejまたは
    j,ej+n-1,ej+2(n-1),…を代りに選択して送信す
    ることを特徴とする請求項2、3記載の認証方法。
  6. 【請求項6】 前記検証者jは、前記乱数ejまたは
    j,ej+n-1,ej+2(n -1),…を選ぶときに、通信状態
    などの負荷の度合いが高い場合や省電力状態の場合はe
    jまたはej,ej+n-1,ej+2(n-1),…を送信しないこ
    ととし、負荷の度合いが低い場合または省電力状態でな
    い場合はej=“1”またはej,ej+n- 1
    j+2(n-1),…=“1”を送信することを特徴とする請
    求項4記載の認証方法。
JP19041299A 1999-07-05 1999-07-05 同報通信に適した認証方法 Expired - Fee Related JP3585397B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP19041299A JP3585397B2 (ja) 1999-07-05 1999-07-05 同報通信に適した認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP19041299A JP3585397B2 (ja) 1999-07-05 1999-07-05 同報通信に適した認証方法

Publications (2)

Publication Number Publication Date
JP2001024632A true JP2001024632A (ja) 2001-01-26
JP3585397B2 JP3585397B2 (ja) 2004-11-04

Family

ID=16257720

Family Applications (1)

Application Number Title Priority Date Filing Date
JP19041299A Expired - Fee Related JP3585397B2 (ja) 1999-07-05 1999-07-05 同報通信に適した認証方法

Country Status (1)

Country Link
JP (1) JP3585397B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100535626B1 (ko) * 2002-06-28 2005-12-08 주식회사 케이티 단방향 무선인증 방법
KR101094339B1 (ko) 2010-03-31 2011-12-19 고려대학교 산학협력단 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100535626B1 (ko) * 2002-06-28 2005-12-08 주식회사 케이티 단방향 무선인증 방법
KR101094339B1 (ko) 2010-03-31 2011-12-19 고려대학교 산학협력단 오류주입 공격에 안전한 피아트 샤미르 개인 식별 장치, 방법 및 그 기록 매체

Also Published As

Publication number Publication date
JP3585397B2 (ja) 2004-11-04

Similar Documents

Publication Publication Date Title
US11722305B2 (en) Password based threshold token generation
RU2444143C2 (ru) Способ двусторонней аутентификации доступа
US6064741A (en) Method for the computer-aided exchange of cryptographic keys between a user computer unit U and a network computer unit N
US9036818B2 (en) Private key generation apparatus and method, and storage media storing programs for executing the methods
US8397062B2 (en) Method and system for source authentication in group communications
US9419798B2 (en) Public encryption method based on user ID
Cao et al. Identity-based anonymous remote authentication for value-added services in mobile networks
WO2016049406A1 (en) Method and apparatus for secure non-interactive threshold signatures
CN101902476A (zh) 移动p2p用户身份认证方法
JP2011504318A (ja) 一方向アクセス認証の方法
CN108337092B (zh) 用于在通信网络中执行集体认证的方法和系统
Li et al. A lightweight roaming authentication protocol for anonymous wireless communication
Win et al. A lightweight multi-receiver encryption scheme with mutual authentication
Ki et al. Constructing Strong Identity‐Based Designated Verifier Signatures with Self‐Unverifiability
Bicakci et al. Server assisted signatures revisited
CN112333705B (zh) 一种用于5g通信网络的身份认证方法及系统
US7975142B2 (en) Ring authentication method for concurrency environment
CN111669275A (zh) 一种无线网络环境下可选择从节点的主从协作签名方法
Brusilovsky et al. Password-authenticated key (pak) Diffie-Hellman exchange
JP3585397B2 (ja) 同報通信に適した認証方法
Mu et al. Compact sequential aggregate signatures
Kwon et al. Provably-secure two-round password-authenticated group key exchange in the standard model
Yang et al. Password-based access control scheme with remote user authentication using smart cards
Guo et al. A provably secure authenticated key agreement protocol for wireless communications
Kwon et al. One-round protocol for two-party verifier-based password-authenticated key exchange

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040803

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees