JP2001318600A - Message authentication method - Google Patents
Message authentication methodInfo
- Publication number
- JP2001318600A JP2001318600A JP2000137990A JP2000137990A JP2001318600A JP 2001318600 A JP2001318600 A JP 2001318600A JP 2000137990 A JP2000137990 A JP 2000137990A JP 2000137990 A JP2000137990 A JP 2000137990A JP 2001318600 A JP2001318600 A JP 2001318600A
- Authority
- JP
- Japan
- Prior art keywords
- message
- data
- authentication
- authenticator
- boundary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、電子データ化され
たメッセージに対する認証をメッセージ認証子を使用し
て実行するメッセージ認証方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a message authentication method for executing authentication of a message converted into electronic data using a message authenticator.
【0002】[0002]
【従来の技術】コンピュータネットワークや通信ネット
ワークにおいて、電子データ化されたメッセージの認証
処理が実行される。その認証処理を実行するメッセージ
認証システムは、例えば金融システム、入退室管理シス
テム、そして道路通行料電子収受システムにおいて稼動
している。2. Description of the Related Art In a computer network or a communication network, authentication processing of a message converted into electronic data is executed. The message authentication system that executes the authentication process is operating in, for example, a financial system, an entry / exit management system, and a road toll electronic collection system.
【0003】認証処理において、認証子を生成するた
め、例えば一方向関数処理(例えばハッシュ関数処理)
と暗号化処理を組み合わせた処理が実行される。このよ
うな認証処理では、認証されるべきメッセージに対して
パディング処理を実行される。パディング処理により、
メッセージにはパッドが付加され、そして所定のデータ
長からなるメッセージデータが生成される。そのメッセ
ージデータは、一方向関数処理と暗号化鍵を用いた暗号
化処理によりメッセージ認証子に変換される。メッセー
ジの認証は、メッセージとメッセージ認証子を参照して
実行される。メッセージ認証子の生成及びメッセージの
認証は、メッセージ認証システムにおいて実行される。In the authentication processing, in order to generate an authenticator, for example, one-way function processing (for example, hash function processing)
And a process combining the encryption process and the encryption process. In such authentication processing, padding processing is performed on a message to be authenticated. By padding process,
A pad is added to the message, and message data having a predetermined data length is generated. The message data is converted into a message authenticator by a one-way function process and an encryption process using an encryption key. Message authentication is performed with reference to the message and the message authenticator. Generation of the message authenticator and authentication of the message are performed in the message authentication system.
【0004】図3は、従来のメッセージ認証システムの
構成を示す。図に示されたメッセージ認証システム100
は、認証要求装置101と認証装置102を備える。認証要求
装置101は、中央演算装置110と、外部記憶装置111と、
キーボード112と、暗号化装置113と、通信装置114と、
外部バス115を備える。認証装置102は、中央演算装置12
0と、外部記憶装置121と、キーボード122と、暗号解読
装置123と、通信装置124と、外部バス125を備える。FIG. 3 shows the configuration of a conventional message authentication system. Message authentication system 100 shown in the figure
Comprises an authentication request device 101 and an authentication device 102. The authentication request device 101 includes a central processing unit 110, an external storage device 111,
A keyboard 112, an encryption device 113, a communication device 114,
An external bus 115 is provided. The authentication device 102 includes a central processing unit 12
0, an external storage device 121, a keyboard 122, a decryption device 123, a communication device 124, and an external bus 125.
【0005】メッセージ認証システム100が、例えば道
路通行料金電子収受システムからなる場合、認証要求装
置101は、車に搭載される携帯端末からなる。また、認
証装置102は、料金所に設置される収受管理装置からな
る。When the message authentication system 100 is, for example, a road toll electronic collection system, the authentication request device 101 is a portable terminal mounted on a car. The authentication device 102 is composed of a collection management device installed at a tollgate.
【0006】中央演算装置110と、外部記憶装置111と、
キーボード112と、暗号化装置113と、通信装置114は、
外部バス115を介して相互接続される。中央演算装置120
と、外部記憶装置121と、キーボード122と、暗号解読装
置123と、通信装置124は、外部バス125を介して相互接
続される。認証要求装置101と認証装置102は、通信回線
103を介して結合される。The central processing unit 110, the external storage device 111,
The keyboard 112, the encryption device 113, and the communication device 114
They are interconnected via an external bus 115. Central processing unit 120
The external storage device 121, the keyboard 122, the decryption device 123, and the communication device 124 are interconnected via the external bus 125. The authentication request device 101 and the authentication device 102
Combined via 103.
【0007】中央演算装置110は、認証要求装置101の動
作を制御するプロセッサである。外部記憶装置111は、
中央演算装置110及び暗号化装置113が参照するプログラ
ムやデータを記憶するメモリ又はハードディスク装置で
ある。キーボード112は、中央演算装置110に対する情報
の入力に使用される入力装置である。暗号化装置113
は、暗号化されたメッセージ認証子を生成する装置であ
る。通信装置114は、所定のプロトコルに従って認証要
求装置102との通信を実行する。外部バス115は、中央演
算装置110と、外部記憶装置111と、キーボード112と、
暗号化装置113と、通信装置114を相互接続するメモリバ
ス及びデータバスからなる。The central processing unit 110 is a processor that controls the operation of the authentication requesting device 101. The external storage device 111
It is a memory or a hard disk device that stores programs and data referenced by the central processing unit 110 and the encryption device 113. The keyboard 112 is an input device used for inputting information to the central processing unit 110. Encryption device 113
Is a device that generates an encrypted message authenticator. The communication device 114 performs communication with the authentication request device 102 according to a predetermined protocol. The external bus 115 includes a central processing unit 110, an external storage device 111, a keyboard 112,
It comprises a memory bus and a data bus for interconnecting the encryption device 113 and the communication device 114.
【0008】中央演算装置120は、認証装置102の動作を
制御するプロセッサである。外部記憶装置121は、中央
演算装置120及び暗号化装置123が参照するプログラムや
データを記憶する記憶装置である。キーボード122は、
中央演算装置120に対する情報の入力に使用される入力
装置である。暗号解読装置123は、暗号化されたメッセ
ージ認証子の解読を実行する装置である。通信装置124
は、所定のプロトコルに従って認証要求装置101との通
信を実行する。外部バス125は、中央演算装置110と、外
部記憶装置111と、キーボード112と、暗号化装置113
と、通信装置114を相互接続するアドレスバス及びデー
タバスからなる。The central processing unit 120 is a processor that controls the operation of the authentication device 102. The external storage device 121 is a storage device that stores programs and data referred to by the central processing unit 120 and the encryption device 123. The keyboard 122
The input device is used for inputting information to the central processing unit 120. The decryption device 123 is a device that decrypts an encrypted message authenticator. Communication device 124
Executes communication with the authentication requesting apparatus 101 according to a predetermined protocol. The external bus 125 includes a central processing unit 110, an external storage device 111, a keyboard 112, and an encryption device 113.
And an address bus and a data bus for interconnecting the communication devices 114.
【0009】以上の構成のメッセージ認証システム100
において、認証要求装置100の中央演算装置110は、認証
が必要なメッセージを参照してメッセージデータを生成
する。中央演算装置110は、メッセージデータに対して
一方向関数処理(ハッシュ関数処理)を実行する。その
ハッシュ関数処理により、メッセージデータはハッシュ
値に変換される。暗号化装置113は、ハッシュ値に対し
て、所定の暗号化鍵を使用した暗号化を実行する。その
暗号化処理により、ハッシュ値がメッセージ認証子に変
換される。中央線残装置110は、通信装置114を介してメ
ッセージ及びメッセージ認証子を送信する。The message authentication system 100 having the above configuration
In, the central processing unit 110 of the authentication requesting device 100 generates message data with reference to a message requiring authentication. The central processing unit 110 executes one-way function processing (hash function processing) on the message data. The message data is converted into a hash value by the hash function processing. The encryption device 113 performs encryption on the hash value using a predetermined encryption key. The hash value is converted into a message authenticator by the encryption process. The center line remaining device 110 transmits the message and the message authenticator via the communication device 114.
【0010】認証装置102において、通信装置124を介し
てメッセージ及びメッセージ認証子を受信すると、暗号
解読装置123は、解読鍵(暗号化鍵と同一)を使用して
メッセージ認証子の暗号解読が実行してメッセージデー
タを生成する。中央演算装置120は、メッセージデータ
からメッセージを再生し、その再生メッセージと受信し
たメッセージを照合してメッセージの認証を実行する。
認証結果は、必要に応じて、認証装置102から認証要求
装置101に向けて通知される。When the authentication device 102 receives the message and the message authenticator via the communication device 124, the decryption device 123 executes the decryption of the message authenticator using the decryption key (same as the encryption key). To generate message data. The central processing unit 120 reproduces the message from the message data, and authenticates the message by comparing the reproduced message with the received message.
The authentication result is notified from the authentication device 102 to the authentication requesting device 101 as necessary.
【0011】なお、上記構成において、キーボード112
は必須ではない。例えば、メッセージが磁気カードやI
Cカード等の記録媒体から供給されてもよい。磁気記録
媒体が使用される場合、外部バス115には、媒体読取装
置(図示されず)が接続される。In the above configuration, the keyboard 112
Is not required. For example, if the message is a magnetic card or I
It may be supplied from a recording medium such as a C card. When a magnetic recording medium is used, a medium reading device (not shown) is connected to the external bus 115.
【0012】ここでメッセージ認証子を生成する過程に
ついて、図4を参照して説明する。図4は、従来のメッ
セージ認証子の生成処理を示す図である。図に示された
メッセージデータ50は、メッセージ51と冗長データ
52と冗長データ53からなる。冗長データ52は、内
容"1"の1ビットデータである。冗長データ53は、内
容"0"のデータである。冗長データ52と冗長データ5
3は、パッド(パディング)54を形成する。パッド5
4は、メッセージデータ50のデータ長が、所定のデー
タ長のブロックの整数倍になるように付加される。従っ
て、冗長データ53のデータ長は、メッセージ51のデ
ータ長に応じて変更される。メッセージ51に基づいて
メッセージデータ50を生成する処理は、中央演算装置
110が実行する。The process of generating a message authenticator will now be described with reference to FIG. FIG. 4 is a diagram showing a conventional message authentication code generation process. The message data 50 shown in the figure includes a message 51, redundant data 52, and redundant data 53. The redundant data 52 is 1-bit data having the content “1”. The redundant data 53 is data having the content “0”. Redundant data 52 and redundant data 5
3 forms a pad (padding) 54. Pad 5
4 is added so that the data length of the message data 50 is an integral multiple of a block having a predetermined data length. Therefore, the data length of the redundant data 53 is changed according to the data length of the message 51. Processing for generating message data 50 based on message 51 is performed by a central processing unit.
110 executes.
【0013】メッセージデータ50には、ハッシュ関数
55を参照したハッシュ関数処理が実行される。そのハ
ッシュ関数処理により、メッセージデータ50は、ハッシ
ュ値56に変換される。ハッシュ関数処理は、中央演算
装置110が実行する。ハッシュ値56は、暗号化鍵57
を用いた暗号化処理58が実行される。その暗号化処理
により、ハッシュ値56がメッセージ認証子59に変換
される。The message data 50 is subjected to a hash function process with reference to a hash function 55. By the hash function processing, the message data 50 is converted into a hash value 56. The hash function processing is executed by the central processing unit 110. The hash value 56 is an encryption key 57
Is performed using the encryption processing 58. The hash value 56 is converted into the message authenticator 59 by the encryption processing.
【0014】[0014]
【発明が解決しようとする課題】以上の構成のメッセー
ジ認証システムは、暗号化処理及び暗号解読処理が必須
であった。暗号化処理及び暗号解読処理は、処理能力の
高い装置が要求される。その処理能力が低いと、暗号化
及び暗号解読に要する時間が長くなる。例えば、高速道
路料金自動収受システムにこの様なメッセージ認証シス
テムが適用された場合、短時間で暗号化及び暗号解読、
即ち短時間でメッセージ認証子に関する処理を実行する
性能が要求される。この様な要求を満たすために処理能
力の高い装置を搭載することは、システムのコスト上昇
を招く。In the message authentication system having the above configuration, encryption processing and decryption processing are essential. The encryption processing and the decryption processing require a device having a high processing capability. If the processing capability is low, the time required for encryption and decryption becomes long. For example, when such a message authentication system is applied to an expressway toll collection system, encryption and decryption in a short time,
In other words, the ability to execute the process related to the message authenticator in a short time is required. Equipped with a device having a high processing capability to satisfy such demands causes an increase in system cost.
【0015】本発明は、暗号処理のために処理能力の高
い装置を搭載しなくとも、暗号を使用する場合と同様に
メッセージ認証子の秘匿性が確保され、そしてメッセー
ジ認証子に関する処理を迅速に実行することができるメ
ッセージ認証方法を提供することを目的とする。According to the present invention, the confidentiality of the message authenticator is ensured in the same manner as in the case of using the encryption without installing a device having a high processing capability for the encryption processing, and the processing relating to the message authenticator can be performed quickly. It is an object to provide a message authentication method that can be performed.
【0016】[0016]
【課題を解決するための手段】その課題を解決するため
の手段が、下記のように表現される。その表現中に現れ
る技術的事項には、括弧()付きで、番号、記号等が添
記されている。その番号、記号等は、本発明の実施の複
数の形態又は複数の実施例のうちの少なくとも1つの実
施の形態又は複数の実施例を構成する技術的事項、特
に、その実施の形態又は実施例に対応する図面に表現さ
れている技術的事項に付せられている参照番号、参照記
号等に一致している。このような参照番号、参照記号
は、請求項記載の技術的事項と実施の形態又は実施例の
技術的事項との対応・橋渡しを明確にしている。このよ
うな対応・橋渡しは、請求項記載の技術的事項が実施の
形態又は実施例の技術的事項に限定されて解釈されるこ
とを意味しない。Means for solving the problem are described as follows. The technical items appearing in the expression are appended with numbers, symbols, etc. in parentheses (). The numbers, symbols, etc. are technical items that constitute at least one embodiment or a plurality of examples of the embodiments or examples of the present invention, in particular, the embodiments or the examples. Corresponds to the reference numerals, reference symbols, and the like assigned to the technical matters expressed in the drawings corresponding to the above. Such reference numbers and reference symbols clarify the correspondence and bridging between the technical matters described in the claims and the technical matters of the embodiments or examples. Such correspondence / bridge does not mean that the technical matters described in the claims are interpreted as being limited to the technical matters of the embodiments or the examples.
【0017】本発明によるメッセージ認証方法は、メッ
セージ(11)と、メッセージ(11)との境界を示す
境界データ(12)と、鍵データ(14)と、境界デー
タ(12)と鍵データ(14)を分離する冗長データ
(13)を含むパッド(15)を備えるメッセージデー
タ(10)が生成され、メッセージデータ(10)に対
する一方向関数処理により、メッセージ(11)の認証
用のメッセージ認証子(17)が生成される。The message authentication method according to the present invention comprises a message (11), boundary data (12) indicating a boundary between the message (11), key data (14), boundary data (12) and key data (14). The message data (10) including the pad (15) including the redundant data (13) that separates the message data (10) is generated, and a one-way function process is performed on the message data (10) to authenticate the message (11). 17) is generated.
【0018】本発明による更なるメッセージ認証方法
は、一方向関数処理が、ハッシュ関数処理からなる。In a further message authentication method according to the present invention, the one-way function processing comprises a hash function processing.
【0019】本発明による更なるメッセージ認証方法
は、冗長データ(13)が、メッセージ(11)のデー
タ長と境界データ(12)のデータ長と鍵データ(1
4)のデータ長に応じて、メッセージデータ(10)の
データ長が所定の値に設定されるデータ長からなる。In a further message authentication method according to the present invention, the redundant data (13) includes a data length of the message (11), a data length of the boundary data (12), and a key data (1).
The data length of the message data (10) is set to a predetermined value according to the data length of 4).
【0020】本発明による更なるメッセージ認証方法
は、メッセージ認証子(17)とメッセージ(11)を
参照して、メッセージ(11)の認証が実行される。In a further message authentication method according to the present invention, the message (11) is authenticated with reference to the message authenticator (17) and the message (11).
【0021】本発明による認証要求装置は、メッセージ
(11)と、メッセージ(11)との境界を示す境界デ
ータ(12)と鍵データ(14)と境界データ(12)
と鍵データ(14)を分離する冗長データ(13)を含
むパッド(15)を備えるメッセージデータ(10)が
生成され、且つ、メッセージデータ(11)に一方向関
数処理を実行してメッセージ(10)に対するメッセー
ジ認証子(17)を生成する演算装置(20)を備え
る。The authentication request apparatus according to the present invention comprises a message (11), boundary data (12) indicating a boundary between the message (11), key data (14), and boundary data (12).
Message data (10) including a pad (15) including redundant data (13) for separating the message (10) from the message data (11) is generated. ) Is provided with an arithmetic unit (20) for generating a message authenticator (17) for (1).
【0022】本発明による更なる認証要求装置は、一方
向関数処理が、ハッシュ関数処理からなる。In a further authentication request device according to the present invention, the one-way function processing comprises a hash function processing.
【0023】本発明による更なる認証要求装置は、冗長
データ(13)が、メッセージ(11)のデータ長と境
界データ(12)のデータ長と鍵データ(14)のデー
タ長に応じて、メッセージデータ(10)のデータ長が
所定の値に設定されるデータ長からなる。A further authentication requesting device according to the present invention is characterized in that the redundant data (13) has a message length corresponding to the data length of the message (11), the data length of the boundary data (12) and the data length of the key data (14). The data length of the data (10) is a data length set to a predetermined value.
【0024】本発明による更なる認証要求装置は、メッ
セージ認証子(17)とメッセージ(11)を送信する
通信装置(23)を備える。A further authentication request device according to the invention comprises a message authenticator (17) and a communication device (23) for transmitting the message (11).
【0025】本発明による認証装置は、上記認証要求装
置から送信されたメッセージ認証子(17)及びメッセ
ージ(11)を受信する通信装置(33)と、メッセー
ジ認証子(17)を参照してメッセージ(11)の認証
を実行する演算装置(30)を備える。An authentication device according to the present invention comprises a communication device (33) for receiving the message authenticator (17) and the message (11) transmitted from the authentication requesting device, and a message referring to the message authenticator (17). An arithmetic unit (30) for performing the authentication of (11) is provided.
【0026】本発明によるメッセージ認証システムは、
上記何れかの認証要求装置と、上記何れかの認証装置を
備える。The message authentication system according to the present invention comprises:
Any one of the above authentication requesting devices and any one of the above authentication devices is provided.
【0027】[0027]
【発明の実施の形態】図1は、本発明によるメッセージ
認証システムの構成を示す。図に示されたメッセージ認
証システム1は、認証要求装置2と認証装置3を備え
る。認証要求装置2は、中央演算装置20と、外部記憶
装置21と、キーボード22と、通信装置23と、外部
バス24を備える。中央演算装置20は、認証要求部2
0aを備える。認証装置3は、中央演算装置30と、外
部記憶装置31と、キーボード32と、通信装置33
と、外部バス34を備える。中央演算装置30は、認証
解析部30aを備える。FIG. 1 shows the configuration of a message authentication system according to the present invention. The message authentication system 1 shown in the figure includes an authentication request device 2 and an authentication device 3. The authentication request device 2 includes a central processing unit 20, an external storage device 21, a keyboard 22, a communication device 23, and an external bus 24. The central processing unit 20 includes the authentication request unit 2
0a. The authentication device 3 includes a central processing unit 30, an external storage device 31, a keyboard 32, and a communication device 33.
And an external bus 34. The central processing unit 30 includes an authentication analysis unit 30a.
【0028】メッセージ認証システム1が、例えば道路
通行料金電子収受システムからなる場合、認証要求装置
20は、車に搭載される携帯端末からなる。また、認証
装置3は、料金所に設置される収受管理装置からなる。When the message authentication system 1 comprises, for example, a road toll electronic collection system, the authentication requesting device 20 comprises a portable terminal mounted on a car. The authentication device 3 is composed of a collection management device installed at a tollgate.
【0029】中央演算装置20と、外部記憶装置21
と、キーボード22と、通信装置23は、外部バス24
を介して相互接続される。中央演算装置30と、外部記
憶装置31と、キーボード32と、通信装置33は、外
部バス34を介して相互接続される。認証要求装置2と
認証装置3は、通信回線4を介して結合される。Central processing unit 20 and external storage device 21
, Keyboard 22 and communication device 23 are connected to external bus 24
Interconnected via The central processing unit 30, the external storage device 31, the keyboard 32, and the communication device 33 are interconnected via an external bus. The authentication request device 2 and the authentication device 3 are connected via a communication line 4.
【0030】中央演算装置20は、認証要求装置2の動
作を制御するプロセッサである。認証要求部20aは、
メッセージを基にメッセージ認証子を生成する。外部記
憶装置21は、中央演算装置20が参照するプログラム
やデータを記憶するメモリ又はハードディスク装置であ
る。キーボード22は、中央演算装置20に対する情報
の入力に使用される入力装置である。通信装置23は、
所定のプロトコルに従って認証装置3との通信を実行す
る。外部バス24は、中央演算装置20と、外部記憶装
置21と、キーボード22と、通信装置23を相互接続
するメモリバス及びデータバスからなる。認証要求部2
0aは、メッセージ認証子を生成する処理を実行する。The central processing unit 20 is a processor that controls the operation of the authentication requesting device 2. The authentication request unit 20a
Generate a message authenticator based on the message. The external storage device 21 is a memory or a hard disk device that stores programs and data referred to by the central processing unit 20. The keyboard 22 is an input device used for inputting information to the central processing unit 20. The communication device 23
The communication with the authentication device 3 is executed according to a predetermined protocol. The external bus 24 includes a memory bus and a data bus for interconnecting the central processing unit 20, the external storage device 21, the keyboard 22, and the communication device 23. Authentication request part 2
0a executes a process of generating a message authenticator.
【0031】中央演算装置30は、認証装置3の動作を
制御するプロセッサである。認証解析部30aは、メッ
セージ及びメッセージ認証子を参照して、メッセージの
認証を実行する。外部記憶装置31は、中央演算装置3
0が参照するプログラムやデータを記憶するメモリ又は
ハードディスク装置である。キーボード32は、中央演
算装置30に対する情報の入力に使用される入力装置で
ある。通信装置33は、所定のプロトコルに従って認証
要求装置2との通信を実行する。外部バス34は、中央
演算装置30と、外部記憶装置31と、キーボード32
と、通信装置33を相互接続するアドレスバス及びデー
タバスからなる。The central processing unit 30 is a processor that controls the operation of the authentication device 3. The authentication analysis unit 30a executes message authentication with reference to the message and the message authenticator. The external storage device 31 stores the central processing unit 3
0 is a memory or a hard disk device that stores programs and data referred to. The keyboard 32 is an input device used for inputting information to the central processing unit 30. The communication device 33 executes communication with the authentication request device 2 according to a predetermined protocol. The external bus 34 includes a central processing unit 30, an external storage device 31, and a keyboard 32.
And an address bus and a data bus for interconnecting the communication devices 33.
【0032】メッセージ認証システム1において、認証
要求装置2の中央演算装置20は、メッセージの認証を
実行する場合、認証要求部20aを起動する。認証要求
部20aは、外部記憶装置21に格納されたプログラム
及びデータ、そしてメッセージを参照して、メッセージ
データを生成する。認証要求部20aは、メッセージデ
ータに対して一方向関数処理(ハッシュ関数処理)を実
行してハッシュ値を生成する。認証要求部20aは、メ
ッセージデータを生成する際、パディング処理を実行し
てメッセージデータのデータ長を所定の長さに設定す
る。認証要求部20aによるパディング処理の際、パッ
ドにはメッセージデータを特定する鍵データが設定され
る。中央演算装置20は、通信装置23を介して、メッ
セージと、認証要求部20aが生成したハッシュ値(メ
ッセージ認証子)を認証装置3に向けて送信する。In the message authentication system 1, the central processing unit 20 of the authentication requesting device 2 activates the authentication requesting unit 20a when executing message authentication. The authentication request unit 20a generates message data by referring to the program and data and the message stored in the external storage device 21. The authentication requesting unit 20a performs a one-way function process (hash function process) on the message data to generate a hash value. When generating the message data, the authentication request unit 20a performs a padding process and sets the data length of the message data to a predetermined length. At the time of padding processing by the authentication request unit 20a, key data for specifying message data is set in the pad. The central processing unit 20 transmits the message and the hash value (message authenticator) generated by the authentication request unit 20a to the authentication device 3 via the communication device 23.
【0033】認証装置3において、中央演算装置30
は、通信装置33を介してメッセージ及びメッセージ認
証子を受信すると、認証解析部30aを起動する。認証
解析部30aは、外部記憶装置31に格納されたプログ
ラム及びデータ、そしてメッセージ認証子を参照し、一
方向関数処理(ハッシュ関数処理)を解除してメッセー
ジ認証子からメッセージと鍵データを取り出す。認証解
析部30aは、中央演算装置30は、メッセージと鍵デ
ータの組み合わせから、受信したメッセージの認証を実
行する。認証の際に参照される鍵データは、例えば、外
部記憶装置31に予め登録された登録鍵データと照合さ
れる。中央演算装置30は、受信したメッセージを承認
する場合、その旨を認証要求装置2に通知する。中央演
算装置30は、受信したメッセージを否認する場合、そ
の旨を認証要求装置2に通知する。In the authentication device 3, the central processing unit 30
Starts the authentication analyzing unit 30a when receiving the message and the message authenticator via the communication device 33. The authentication analysis unit 30a refers to the program and data stored in the external storage device 31 and the message authenticator, cancels the one-way function process (hash function process), and extracts the message and the key data from the message authenticator. In the authentication analysis unit 30a, the central processing unit 30 executes authentication of the received message based on a combination of the message and the key data. The key data referred to at the time of authentication is compared with, for example, registration key data registered in the external storage device 31 in advance. When approving the received message, the central processing unit 30 notifies the authentication requesting device 2 of that. When rejecting the received message, the central processing unit 30 notifies the authentication request device 2 of that fact.
【0034】なお、上記構成において、キーボード22
は必須ではない。例えば、メッセージが磁気カードやI
Cカード等の記録媒体から供給されてもよい。磁気記録
媒体が使用される場合、外部バス24には、媒体読取装
置(図示されず)が接続される。In the above configuration, the keyboard 22
Is not required. For example, if the message is a magnetic card or I
It may be supplied from a recording medium such as a C card. When a magnetic recording medium is used, a medium reading device (not shown) is connected to the external bus 24.
【0035】ここでメッセージ認証子を生成する過程に
ついて、図2を参照して説明する。図2は、本発明に係
るメッセージ認証子の生成処理を示す図である。図に示
されたメッセージデータ10は、メッセージ11と冗長
データ12と冗長データ13と鍵データ14からなる。
冗長データ52は、内容"1"の1ビットデータである。
冗長データ53は、内容"0"のデータである。鍵データ
14は、例えばメッセージデータ11の内容に対応する
固有データである。鍵データ14は、例えばメッセージ
データ11の所有者に固有の暗証番号からなる。冗長デ
ータ52と冗長データ53と鍵データ11は、パッド
(パディング)15を形成する。パッド15は、メッセ
ージデータ10のデータ長が、所定のデータ長のブロッ
クの整数倍になるように付加される。そのデータ長の調
整は、冗長データ13のデータ長により調整される。冗
長データ13のデータ長は、メッセージ11及び鍵デー
タ14のデータ長に応じて変更される。冗長データ12
は、メッセージ11とパッド15の境界を示すデータで
ある。認証要求部20(図1)は、メッセージデータ1
0に対してハッシュ関数16を参照したハッシュ関数処
理が実行される。そのハッシュ関数処理により、メッセ
ージデータ10は、メッセージ認証子(ハッシュ値)1
7に変換される。メッセージ認証子17は、認証装置3
(図1)に送信され、そして認証処理の際に参照され
る。Here, the process of generating a message authenticator will be described with reference to FIG. FIG. 2 is a diagram showing a process of generating a message authenticator according to the present invention. The message data 10 shown in the figure includes a message 11, redundant data 12, redundant data 13, and key data 14.
The redundant data 52 is 1-bit data having the content “1”.
The redundant data 53 is data having the content “0”. The key data 14 is, for example, unique data corresponding to the content of the message data 11. The key data 14 includes, for example, a personal identification number unique to the owner of the message data 11. The redundant data 52, the redundant data 53, and the key data 11 form a pad (padding) 15. The pad 15 is added so that the data length of the message data 10 is an integral multiple of a block having a predetermined data length. The adjustment of the data length is adjusted by the data length of the redundant data 13. The data length of the redundant data 13 is changed according to the data lengths of the message 11 and the key data 14. Redundant data 12
Is data indicating the boundary between the message 11 and the pad 15. The authentication request unit 20 (FIG. 1)
Hash function processing with reference to the hash function 16 is performed on 0. As a result of the hash function processing, the message data 10 becomes the message authenticator (hash value) 1
7 is converted. The message authenticator 17 is the authentication device 3
(FIG. 1) and referenced during the authentication process.
【0036】メッセージ認証システムは、鍵データ14
と一方向性関数処理によりメッセージ認証子17の秘匿
性が確保される。即ち、暗号化処理を実行することな
く、鍵データ14の参照と一方向性関数処理の実行によ
り、メッセージ認証子17の秘匿性が確保される。この
ため、メッセージ認証子17の迅速な生成及び解析を実
現することができる。The message authentication system uses the key data 14
Then, the confidentiality of the message authenticator 17 is ensured by the one-way function processing. That is, the confidentiality of the message authenticator 17 is ensured by referring to the key data 14 and executing the one-way function process without performing the encryption process. Therefore, quick generation and analysis of the message authenticator 17 can be realized.
【0037】[0037]
【発明の効果】以上説明の本発明によるメッセージ認証
システムは、暗号処理を実行する必要が無いため、暗号
処理を実行するために処理能力の高い装置を用意するこ
となく、迅速にメッセージ認証子の生成及び解析を実行
することができる。また、一方向性関数処理が施された
メッセージデータに鍵データが含まれるため、暗号を使
用する場合と同様の秘匿性を確保することができる。As described above, the message authentication system according to the present invention does not need to execute cryptographic processing, so that a message authenticator can be quickly identified without preparing a device having a high processing capability to execute cryptographic processing. Generation and analysis can be performed. Further, since the key data is included in the message data on which the one-way function processing has been performed, the same confidentiality as in the case of using encryption can be ensured.
【図1】図は、本発明によるメッセージ認証システムの
構成図である。FIG. 1 is a configuration diagram of a message authentication system according to the present invention.
【図2】図は、本発明によるメッセージ認証子の生成処
理を示す図である。FIG. 2 is a diagram illustrating a process of generating a message authenticator according to the present invention.
【図3】図は、従来のメッセージ認証システムの構成図
である。FIG. 3 is a configuration diagram of a conventional message authentication system.
【図4】図は、従来のメッセージ認証子の生成処理を示
す図である。FIG. 4 is a diagram illustrating a conventional message authenticator generation process.
1:メッセージ認証システム 2:認証要求装置 3:認証装置 4:通信回線 10:メッセージデータ 11:メッセージ 12:境界データ 13:冗長データ 14:鍵データ 15:パッド(パディング部) 16:ハッシュ関数 17:メッセージ認証子 20,30:中央演算装置 20a:認証要求部 21,31:外部記憶装置 22,32:キーボード 23,33:通信装置 24,34:外部バス 30a:認証解析部 1: Message authentication system 2: Authentication requesting device 3: Authentication device 4: Communication line 10: Message data 11: Message 12: Boundary data 13: Redundant data 14: Key data 15: Pad (padding portion) 16: Hash function 17: Message authenticator 20, 30: Central processing unit 20a: Authentication request unit 21, 31, External storage device 22, 32: Keyboard 23, 33: Communication device 24, 34: External bus 30a: Authentication analysis unit
Claims (10)
を示す境界データと、鍵データと、前記境界データと前
記鍵データを分離する冗長データを含むパッドを備える
メッセージデータが生成され、 前記メッセージデータに対する一方向関数処理により、
前記メッセージの認証用のメッセージ認証子が生成され
るメッセージ認証方法。1. Message data including a message, boundary data indicating a boundary between the message, key data, and a pad including redundant data for separating the boundary data and the key data is generated. By one-way function processing,
A message authentication method, wherein a message authenticator for authenticating the message is generated.
おいて、 前記一方向関数処理は、ハッシュ関数処理からなるメッ
セージ認証方法。2. The message authentication method according to claim 1, wherein said one-way function processing comprises a hash function processing.
方法において、 前記冗長データは、前記メッセージのデータ長と前記境
界データのデータ長と前記鍵データのデータ長に応じ
て、前記メッセージデータのデータ長が所定の値に設定
されるデータ長からなるメッセージ認証方法。3. The message authentication method according to claim 1, wherein the redundant data is a message data of the message data according to a data length of the message, a data length of the boundary data, and a data length of the key data. A message authentication method comprising a data length whose data length is set to a predetermined value.
ッセージ認証方法において、 前記メッセージ認証子と前記メッセージを参照して、前
記メッセージの認証が実行されるメッセージ認証方法。4. The message authentication method according to claim 1, wherein the message is authenticated by referring to the message authenticator and the message.
を示す境界データと鍵データと前記境界データと前記鍵
データを分離する冗長データを含むパッドを備えるメッ
セージデータが生成し、且つ、前記メッセージデータに
一方向関数処理を実行して前記メッセージに対するメッ
セージ認証子を生成する演算装置を備える認証要求装
置。5. Message data comprising a message, boundary data indicating a boundary between the message, key data, and a pad including a redundant data for separating the boundary data and the key data is generated, and the message data is generated. An authentication requesting device comprising an arithmetic device for executing a one-way function process to generate a message authenticator for the message.
て、 前記一方向関数処理は、ハッシュ関数処理からなるメッ
セージ認証装置。6. The message authentication device according to claim 5, wherein the one-way function processing comprises a hash function processing.
て、 前記冗長データは、前記メッセージのデータ長と前記境
界データのデータ長と前記鍵データのデータ長に応じ
て、前記メッセージデータのデータ長が所定の値に設定
されるデータ長からなる認証要求装置。7. The authentication request device according to claim 6, wherein the redundant data is a data length of the message data according to a data length of the message, a data length of the boundary data, and a data length of the key data. An authentication request device having a data length set to a predetermined value.
証要求装置において、 前記メッセージ認証子と前記メッセージを送信する通信
装置を備える認証要求装置。8. The authentication request device according to claim 5, further comprising: a communication device that transmits the message authenticator and the message.
証要求装置から送信された前記メッセージ認証子及び前
記メッセージを受信する通信装置と、 前記メッセージ認証子を参照して前記メッセージの認証
を実行する演算装置を備える認証装置。9. A communication device for receiving the message authenticator and the message transmitted from the authentication requesting device according to claim 5, and referring to the message authenticator for the message authenticator. An authentication device including an arithmetic device that performs authentication.
た認証要求装置と、請求項9に記載された認証装置を備
えるメッセージ認証システム。10. A message authentication system comprising the authentication request device according to any one of claims 5 to 8 and the authentication device according to claim 9.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000137990A JP2001318600A (en) | 2000-05-11 | 2000-05-11 | Message authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000137990A JP2001318600A (en) | 2000-05-11 | 2000-05-11 | Message authentication method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001318600A true JP2001318600A (en) | 2001-11-16 |
Family
ID=18645671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000137990A Withdrawn JP2001318600A (en) | 2000-05-11 | 2000-05-11 | Message authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001318600A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1724962A2 (en) * | 2005-02-08 | 2006-11-22 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| EP1724963A2 (en) * | 2005-02-08 | 2006-11-22 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| US7457954B2 (en) | 2003-06-18 | 2008-11-25 | Denso Corporation | Communications system and packet structure |
| JP2009105633A (en) * | 2007-10-23 | 2009-05-14 | Ntt Software Corp | Message authenticating apparatus, authenticating center apparatus, and message authenticating system |
| WO2012131856A1 (en) * | 2011-03-25 | 2012-10-04 | 富士通株式会社 | Information processing device, tampering detection device, information processing method, tampering detection method, information processing program, and tampering detection program |
-
2000
- 2000-05-11 JP JP2000137990A patent/JP2001318600A/en not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7457954B2 (en) | 2003-06-18 | 2008-11-25 | Denso Corporation | Communications system and packet structure |
| EP1724962A2 (en) * | 2005-02-08 | 2006-11-22 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| EP1724963A2 (en) * | 2005-02-08 | 2006-11-22 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| EP1724962A3 (en) * | 2005-02-08 | 2006-11-29 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| EP1724963A3 (en) * | 2005-02-08 | 2006-11-29 | Kabushiki Kaisha Toshiba | Data processing apparatus |
| JP2009105633A (en) * | 2007-10-23 | 2009-05-14 | Ntt Software Corp | Message authenticating apparatus, authenticating center apparatus, and message authenticating system |
| WO2012131856A1 (en) * | 2011-03-25 | 2012-10-04 | 富士通株式会社 | Information processing device, tampering detection device, information processing method, tampering detection method, information processing program, and tampering detection program |
| JP5641133B2 (en) * | 2011-03-25 | 2014-12-17 | 富士通株式会社 | Information processing apparatus, falsification detection apparatus, information processing method, falsification detection method, information processing program, and falsification detection program |
| US9071420B2 (en) | 2011-03-25 | 2015-06-30 | Fujitsu Limited | Information processing apparatus, tampering detection apparatus, information processing method, tampering detection method, and computer product |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4240297B2 (en) | Terminal device, authentication terminal program, device authentication server, device authentication program | |
| US6948065B2 (en) | Platform and method for securely transmitting an authorization secret | |
| US6484259B1 (en) | Methods and arrangements for mapping widely disparate portable tokens to a static machine concentric cryptographic environment | |
| JP4790574B2 (en) | Apparatus and method for managing a plurality of certificates | |
| JP4470941B2 (en) | Data communication method and system | |
| JP5572209B2 (en) | Electronic ticket processing method and apparatus | |
| US7353385B2 (en) | Authentication system, authentication method, authentication apparatus, and authentication method therefor | |
| US20050044377A1 (en) | Method of authenticating user access to network stations | |
| US20050132182A1 (en) | System and method for providing endorsement certificate | |
| JPH09128507A (en) | Mutual certifying method | |
| JP4197311B2 (en) | Security policy generation method, security policy generation device, program, and recording medium | |
| JPH10507324A (en) | Loving software license for hardware agents | |
| WO2021190197A1 (en) | Method and apparatus for authenticating biometric payment device, computer device and storage medium | |
| KR101038133B1 (en) | Data processing method, recording medium for recording its program, and its device | |
| US8081758B2 (en) | Communication support server, communication support method, and communication support system | |
| KR20000006633A (en) | Private Key, Certificate Administration System and Method Thereof | |
| JP2004274211A (en) | Data processing apparatus, its method and its program | |
| JP2003143131A (en) | Electronic information management device, portable information terminal device, management server device and program | |
| JP4998314B2 (en) | Communication control method and communication control program | |
| JP2000215280A (en) | Identity certification system | |
| JP2001318600A (en) | Message authentication method | |
| JP2000078128A (en) | Communication system, ic card and recording medium | |
| JP2000232442A (en) | Information processing method/system | |
| CN1889420B (en) | Method for realizing encrypting | |
| CN115361140B (en) | Method and device for verifying security chip key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070807 |