JP2001523407A

JP2001523407A - 二つのエンティティの相互認証方法

Info

Publication number: JP2001523407A
Application number: JP54497298A
Authority: JP
Inventors: フローリッヒ，ハンス−ハーマン; ガル，ウィンフリード
Original assignee: Giesecke and Devrient GmbH
Current assignee: Giesecke and Devrient GmbH
Priority date: 1997-04-17
Filing date: 1998-04-16
Publication date: 2001-11-20
Also published as: EP1010146A2; AU8013598A; WO1998048389A3; IL132374A0; WO1998048389A2; DE19716111A1

Abstract

(57)【要約】本発明は２つの交信中のエンティティの相互認証のための方法に関し、エンティティＡからエンティティＢに暗号化形態で送られるメッセージの暗号化に対してエンティティＡにより用いられるキーとは異なるキーもまた、同じメッセージで送られる。次いでエンティティＢはエンティティＡから受け取ったキーを用いて、エンティティＢがエンティティＡにより認証される、エンティティＡ宛のメッセージを暗号化する。

Description

【発明の詳細な説明】二つのエンティティの相互認証方法本発明は交信中の２つのエンティティの相互認証方法に関する。国際基準ＩＳＯ／ＩＥＣ（国際標準化機構／国際電気標準会議）９７９８−２においては、例えばエンティティＢが乱数を発生しこれをエンティティＡに送ることにより、３段階認証が実行される。エンティティＡは同じく乱数を発生し、この乱数とエンティティＢから受け取った乱数を秘密キーを用いて暗号化する。次いで、この暗号化結果はエンティティＡからエンティティＢへのメッセージとして送られる。次に、エンティティＢは同じ秘密キーにより前記メッセージを解読し、先にエンティティＡに送った乱数が前記暗号化されたメッセージから得た乱数と一致するか否かを調べる。一致していれば、エンティティＢはエンティティＡも同様に同じ秘密キーをもっていることを知る。このようにしてエンティティＡはエンティティＢに対して認証される。続いて、エンティティＢは前記２つの乱数を入れ換え、これらを前記共有秘密キーにより暗号化する。エンティティＢから送られたメッセージは、次いでエンティティＡにより解読され、エンティティＡは先にエンティティＢに送った乱数をこのメッセージから得られた乱数と比較する。ここで得られた数もまたエンティティＡが発生した前記乱数と一致すれば、エンティティＢもエンティティＡに対して認証される。この相互認証は、エンティティＡとＢがそれぞれのメッセージの暗号化に対して同じ秘密キーを用いることに基づいている。上記の既に知られた方法においては、暗号化されたメッセージは乱数が入れ換えられているために異なっているが、暗号化アルゴリズムが知られていれば、前記乱数の入れ換え及びその結果生じるメッセージの変化のために、メッセージを傍受することにより秘密キーを椎定することが可能である。すなわち本発明は、通信中における平文及び対応する暗号符の出現を防止することによる、平文の不法入手しようとする試みを妨害するという課題に基づく。この課題は請求の範囲第１項に述べられる特徴により解決される。本発明の基本的概念は、第１のエンティティから第２のエンティティに暗号化形態で送られる第１のメッセージにおいて、第１のエンティティによりこのメッセージの暗号化に対して用いられたキーとは異なるキーも送られることである。次いで、第２のエンティティは第１のエンティティから得た前記キーを用いて第１のエンティティ宛の第２のメッセージを暗号化する。次にこのメッセージを根拠にして、第２のエンティティは第１のエンティティにより認証される。前記関係エンティティが認証されるメッセージの暗号化には異なるキーが用いられ、前記２つの乱数の入れ換えは全く行われないから、関係エンティティ間で交換されるメッセージを傍受することによる秘密キーの探り出しが妨害される。これにより保全性が高まる。本発明の方法におけるさらなる利点は、管理上の作業をすることなく認証中のキー交換が可能なことである。このキーはまた、認証後のエンティティ間のデータ交換を暗号化するためにも用いられる。前記交換されたキーは認証毎に変化し、すなわち認証毎に異なることができる、さらに、交換されるべきキーの暗号化に用いられるキーも、特定のエンティティに独自のものとすることができる。前記交換されるべきキーはシステムのエンティティにより共有される基本キーから、先に定められたアルゴリズムに従い、前記エンティティの特定の識別子を要件にして導かれることが望ましい。次いで、第２のエンティティは同様に、メッセージの暗号化のために第１のエンティティが用いたキーを、例えば前記基本キーから出発し第１のエンティティから受け取った識別子を用いて、計算する。前記システムを確実に保全するために、この基本キーは当然秘密にされていなければならない。基本キーから導かれるキーを用いることにより、前記導出されたキーがあるエンティティにとり安全でなくなった場合にも、そのエンティティを認証するための根拠として、変更されるべきでありまたエンティティ間で暗号化形態で交換された前記基本キーがなくとも、定められたアルゴリズムに従って別の導出キーをとることができるという利点が得られる。しかし、他のエンティティを認証中のエンティティが、認証されるべきエンティティによりメッセージの暗号化に用いられているキーを、両エンティティ間で取り決めたいくつかの秘密キーから定められた規則に従って、選ぶことも可能である。交信中のエンティティは、例えば電子支払いに用いられるようなスマートカード及び端末であってもよい。このスマートカードは例えば顧客に結びつけられ、端末は販売業者あるいは銀行に結びつけられる。本発明の方法がこのような用途に限定されないことは当然であって、システムに属しているエンティティの真性さを確認する必要がある、いかなる場合にも使用できる。例えば、本方法は移動無線システムにも用いることができる。本発明の実施の形態は、図面を参照して以下に説明する。図は交信中のエンティティＡとＢの本発明の認証方法の過程を示す。エンティティＢはエンティティＢが発生した乱数Ｚ_b、をエンティティＡに送る。これはエンティティＡからの照会Ａ_bにより間始されることが望ましいが、必ずしも必要ではない。エンティティＡは同様に乱数Ｚ_aを発生させる。さらに、エンティティＡはエンティティＡだけが知っている秘密キーＫ_sを選択する。本方法の次の段階において、エンティティＡは乱数Ｚ_a及びＺ_b並びにエンティティＡが選択したキーＫ_sをエンティティＡとＢが共有する秘密キーＫ_abで暗号化する。この暗号化にはシーケンスナンバーＳＮを任意に含めることもできる。次いで、暗号化結果がメッセージＮ１としてエンティティＢに送られる。エンティティＢは受け取ったメッセージＮ１をキーＫ_abにより解読する。すなわち乱数Ｚ_a’、乱数Ｚ_b’、任意のシーケンスナンバーＳＮ'及びエンティティＡに選択されたキーＫ_s'がメッセージＮ１'から平文で得られる。続いてエンティティＢは解読によりメッセージＮ１から得られた乱数Ｚ_b'をエンティティＢが発生させてエンティティＡに送った乱数Ｚ_bと比較する。乱数Ｚ_b'と乱数Ｚ_bが一致すれば、エンティティＡはエンティティＢにより当該システムに属していると認識される。一致しなければ、エンティティＡは真性ではなく、当該システムには属していない。シーケンスナンバーＳＮ' もその正当性に関してエンティティＢにより任意に鑑定される。しかし、エンティティＡがエンティティＢと先に取り決めた別の秘密キーＫ_ab 'をメッセージＮ１の暗号化に用いていることもあり得る。この場合エンティティＢは先に定められた規則に従っていくつかの秘密キーＫ_ab’，.Ｋ_ab”，Ｋ_abn の保護リストの中からキーＫ_ab'を選ぶ。次いで、上述したように、キーＫ_ab'を用いてメッセージＮ１を解読する。これにより、正しくキーＫ_ab'を選択すれば、やはりエンティティＢはエンティティＡの認証を首尾よく行うことができる。エンティティＡとＢはそれぞれ先に取り決めた秘密キーをいくつかもっているから、エンティティＡとＢは認証に用いられる秘密キーＫ_ab'をいつでも変更することができ、この変更はエンティティ間で先に定められた規則に従って実施される。上述の選択方法により、キーの１つか知られてしまったとしても、エンティティＡとＢはあらためて管理上の作業をすることなく両者問で取り決めた他の秘密キーを採ることができる。しかし、エンティティＡとＢの相互認証が新しい共有秘密キーの選択とは無関係に本発明に従ってなされ得ることは、明確に強調しておかなければならない。続いて、エンティティＡによるエンティティＢの認証を説明する。エンティティＢはメッセージＮ１から得られたキーＫ_s’を用いて乱数Ｚ_a'及びＺ_b'を暗号化する。この暗号化結果がメッセージＮ２としてエンティティＡに送られる。エンティティＡは先にエンティティＡが選んだキーＫ_SによりＮ２を解読し、よってメッセージＮ２’として平文で乱数Ｚ_b”及びＺ_a”を得る。次いで、乱数Ｚ_a ”はエンティティＡが発生させた乱数Ｚ_aと比較される。さらにエンティティＡは、メッセージＮ２から解読により得られた乱数Ｚ_b"をエンティティＢから受け取った乱数Ｚ_bと比較することもできる。比較がいずれの場合にも一致すれば、エンティティＢはエンティティＡにより真性であると認識される。しかしエンティティＢを認証するためには、乱数Ｚ_a"と乱数Ｚ_aの比較のみを行うだけで十分であることも当然である。

───────────────────────────────────────────────────── フロントページの続き (81)指定国ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＣＹ，ＤＥ，ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，ＬＵ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ，ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＧＨ，ＧＭ，ＫＥ，ＬＳ，ＭＷ，ＳＤ，ＳＺ，ＵＧ，ＺＷ)，ＥＡ(ＡＭ，ＡＺ，ＢＹ，ＫＧ，ＫＺ，ＭＤ，ＲＵ，ＴＪ，ＴＭ)，ＡＬ，ＡＭ，ＡＴ，ＡＵ，ＡＺ，ＢＡ，ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＨ，ＣＮ，ＣＵ，ＣＺ，ＤＫ，ＥＥ，ＥＳ，ＦＩ，ＧＢ，ＧＥ，ＧＨ，ＧＭ，ＧＷ，ＨＵ，ＩＤ，ＩＬ，ＩＳ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ，ＫＺ，ＬＣ，ＬＫ，ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ，ＭＤ，ＭＧ，ＭＫ，ＭＮ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，ＰＬ，ＰＴ，ＲＯ，ＲＵ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ，ＳＬ，ＴＪ，ＴＭ，ＴＲ，ＴＴ，ＵＡ，ＵＧ，ＵＳ，ＵＺ，ＶＮ，ＹＵ，ＺＷ

Claims

【特許請求の範囲】１．交信中の２つのエンティティ（Ａ）と（Ｂ）の相互認証方法において、前記方法が：前記エンティティ（Ｂ）が、前記エンティティ（Ａ）に送られる乱数（Ｚ_b）を発生させ；前記エンティティ（Ａ）は、前記エンティティ（Ａ）のみが知る秘密キー（Ｋ _s）を選択し；前記エンティティ（Ａ）は前記エンティティ（Ａ）と（Ｂ）が共有する秘密キー（Ｋ_ab）を用いて、前記エンティティー（Ａ）が発生させる少なくとも１つの乱数（Ｚ_a），前記エンティティ（Ｂ）から受け取った前記乱数（Ｚ_b），及び前記エンティティ（Ａ）に選択された前記秘密キー（Ｋ_s）を暗号化し；前記エンティティ（Ａ）は前記暗号化結果をメッセージ（Ｎ１）として前記エンティティ（Ｂ）に送り、前記エンティティ（Ｂ）は前記乱数（Ｚ_a’）及び（Ｚ_b’）並びに前記エンティティ（Ａ）に選択された前記キー（Ｋ_s’）が平文で得られるように、受け取った前記メッセージ（Ｎ１）を前記共有秘密キー（Ｋ_ab’）を用いて解読し；前記エンティティ（Ｂ）は、前記メッセージ（Ｎ１）から得られた少なくとも前記乱数（Ｚ_b’）を前記エンティティ（Ｂ）が発生させた乱数（Ｚ_b）と比較し；少なくとも前記乱数（Ｚ_b’）と（Ｚ_b）とが一致すれば、前記エンティティ（Ａ）は真性であると前記エンティティ（Ｂ）に認識され；次いで、前記エンティティ（Ｂ）は前記受け取られたメッセージ（Ｎ１）から得られた少なくとも前記乱数（Ｚ_a’）を前記エンティティ（Ａ）から受けとった前記キー（Ｋ_s’）を用いて暗号化し；前記エンティティ（Ｂ）は、前記暗号化結果をメッセージ（Ｎ２）として前記エンティティ（Ａ）に送り；前記エンティティ（Ａ）は少なくとも前記乱数（Ｚ_a”）が平文で得られるように、前記エンティティ（Ｂ）から受け取った前記メッセージ（Ｎ２）を解読し；前記エンティティ（Ａ）は、前記エンティティ（Ａ）が発生させた少なくとも前記乱数（Ｚ_a）を前記メッセージ（Ｎ２）から得られた前記乱数（Ｚ_a”）と比較し；前記乱数（Ｚ_a）と（Ｚ_a”）とが一致すれば、前記エンティティ（Ｂ）は真性であると前記エンティティ（Ａ）により認識される；各工程を有することを特徴とする方法。２．前記エンティティ（Ａ）から前記エンティティ（Ｂ）に送られる前記メッセージ（Ｎ１）が、前記エンティティ（Ａ）の認証のために前記エンティティ（Ｂ）により鑑定されるシーケンスナンバー（ＳＮ）をさらに含むことを特徴とする請求の範囲第１項記載の方法。３．前記エンティティ（Ａ）がさらに、前記キー（Ｋ_s）を用いた解読により前記メッセージ（Ｎ２）から平文で得られた前記乱数（Ｚ_b”）を前記エンティティ（Ｂ）から受け取った前記乱数（Ｚ_b）と比較し、前記乱数（Ｚ_b”）と（Ｚ_b）とが一致すれば、前記エンティティ（Ｂ）が真性であると前記エンティティ（Ａ）に認識されることを特徴とする請求の範囲第１項または第２項のいずれかに記載の方法。４．前記キー（Ｋ_ab）は前記エンティティ（Ａ）に個別的に結びつき、前記エンティティ（Ｂ）が、前記エンティティ（Ａ）には知られていない秘密基本キー（Ｋ）からあるアルゴリズムに従って、前記エンティティ（Ａ）から受け取った識別子により前記エンティティ（Ａ）に個別的に結びつけられている前記キーを導くことを特徴とする請求の範囲第１項から第３項のいずれかに記載の方法。５．前記エンティティ（Ａ）と（Ｂ）が共にある定められた規則に従ういくつかの秘密キーを取り決め、認証のために前記エンティティ（Ａ）と（Ｂ）とにより用いられる前記特定の共有秘密キーが、何らかの出来事がおこった場合に、前記エンティティ（Ａ）と（Ｂ）とにより変更され得ることを特徴とする請求の範囲第１項から第４項のいずれかに記載の方法。