【発明の詳細な説明】
双方向認証および暗号化システム
関連出願
同一発明者による米国特許出願番号第 号"Bilateral Authenticat
ion And Information Encryption Token System And Method"(双方向認証および
情報暗号化トークン・システムおよび方法)、米国特許出願番号第
号"File Encryption Method And System"(ファイル暗号化方法およびシステム
)および米国特許出願番号第 号"Secure Deterministic Encryption
Key Generator System And Method"(安全決定性暗号鍵発生システムおよび方
法)は、同日に出願された同時係属中の出願である。
発明の背景
送受信局間で機密情報を交換する場合、発信局は、当該情報が局間の通信媒体
上を伝達する際に、不正者の作為的な行為によって傍受され得ること、およびメ
ッセージが無許可の受信局によって偶然受信される場合があることを懸念してい
る。
同様の懸念は、第1の局に位置するコンピュータ・システム側が、第2の局に
位置するコンピュータ・システムに格納されている機密データ・ファイルへのア
クセスを要求する際にも生ずる。不正な開示からファイルを保護するためには、
第2の局が関心があるのは、要求側がファイルにアクセスすることを許可されて
いるか否か、および許可されている場合、局間伝送中に第三者によって情報がコ
ピーされ得ないか否かについてであろう。
ネットワーク上において最も広く受け入れられている情報保護方法は、暗号化
を用いることであり、送信側および受信側が暗号鍵を共用し、交換する情報の暗
号化および解読を行う。かかるシステムでは、クリア
テキスト(cleartext)の交換によって認証を行い、用いられる暗号鍵は頻繁には
変更されない。何故なら、対人交換(person-to-person exchange)が、公開する
危険を犯さずに暗号鍵の共用化を保証する唯一の手段であるからである。その結
果、暗号鍵を発見し、ネットワーク上で交換される全暗号化情報へのアクセスを
得ようとするアタッカ(attacker)に、貴重な情報と時間を使用させることになる
。
従来の認証および暗号化システムが、米国特許第5,060,263号、第5
,065,429号、第5,068,894号、第5,153,919号、第5
,355,413号、第5,361,062号、第5,474,758号、およ
び第5,495,533号に開示されている。米国特許第5,060,263号
は、可逆暗号化アルゴリズムを用い、ホストおよびクライアント間の全ての交換
をクリアテキストで行うが、一方向認証(unilateral authentication)を備える
に過ぎない。米国特許第5,065,429号は、一方向認証を備えるに過ぎず
、その暗号鍵を記憶媒体上に格納するため、アタッカがこの媒体を読み取れば、
暗号鍵にアクセスできてしまう。米国特許第5,068,894号は、全く変更
されない可逆暗号化アルゴリズムを用いるため、クリアテキスト・チャレンジ(c
leartext challenge)および暗号化レスポンス(encrypted response)の双方が、
アタッカに可能となる。米国特許第5,153,919号は、局間の交換におい
てアタッカに有用なクリアテキスト情報を与え、レイテンシ(latency)
の問題を避けるために弱い暗号化アルゴリズムを用い、トークンを所有する者は
だれでもそれを使用できるので、安全なトークンの活性化を実現するものではな
い。米国特許第5,355,413号は、ランダムなチャンレンジを暗号化する
が、ホストおよびクライアント間で交換される情報を暗号化しない。米国特許第
5,361,062号は、ホストおよびクライアント間で情報をクリアテキスト
で交換し、可逆暗号化アルゴリズムを用い、一方向認証を備えるに過ぎず、時間
の関数として暗号化を繰り返しトリガするがこれがコンピュータのオーバーヘッ
ドおよびシステム・レイテンシの一因と
なり、しかもトークンおよびホストを同期状態に保持するためには、再同期プロ
トコルを必要とする。米国特許第5,474,758号は、一方向認証を備える
に過ぎず、ユーザがその認証証明書の格納を秘匿できることを前提とする。米国
特許第5,495,533号は、一方向認証を備えるに過ぎず、レイテンシの一
因となる大きなネットワーク・オーバーヘッドを招き、アタッカによる侵入を受
ける可能性が高い鍵ディレクトリに依存する。
この他にも、米国特許番号第5,233,655号、第5,367,572号
、第5,421,006号、および第5,481,611号に、従来の認証シス
テムが開示されている。米国特許第5,233,655号は、一方向認証を備え
るに過ぎず、交換する情報の暗号化は行われない。米国特許第5,367,57
2号は、一方向認証を備えるに過ぎず、ホストおよびクライアントを同期状態に
保持するためには、再同期化プロトコルを必要とし、情報交換の際全てをクリア
テキストで送信する。米国特許第5,421,006号は、一方向認証を備える
に過ぎず、ウインドウ化環境(windowed environment)で動作するが、これが実質
的にCPUのオーバーヘッド、即ち、システムのレイテンシの一因となる。米国
特許第5,481,611号は、一方向認証を備えるに過ぎず、全ての情報交換
をクリアテキストで行う。米国特許第5,309,516号は、キー・ディレク
トリを格納する必要がある。
先に引用した従来技術には、本発明において用いるような、二重化多数−少数
ビット・マッピングを使用して、決定性の予測不可能な対称的暗号鍵を発生する
ことを開示するものはない。
前述の開示に加えて、セキュア・ハッシュ・アルゴリズム(SHA:secure ha
sh algorithm)の使用が、FIPS Pub.180-1 Secure Hash Standard(1995年4
月17日)に開示されており、更にトークン・システムにおける安全性の要件が
、FIPS Pub.140-1,Security Requirements For Cryptographic Modules(19
94年1月11日)に記載されている。
本発明は、認証および暗号化を併合し、そのパラメータとして、システム・パ
スワード、暗号鍵、ならびに動的秘密鍵(dynamic secret)を変更して新たな擬似
ランダム・システム・パスワードおよび暗号鍵を生成するために用いる変更値を
含み、これらを単一のシステム接続の間でのみ用い、その後以前の対応部とは既
知の関係を有さない新たなパラメータと置換する。ネットワークにおける発信側
システムおよび応答側システムは、個別に発生したパスワードを交換する。その
際に使用する暗号鍵発生器は、ビット・シャフリング(bit-shuffling)、多数−
少数ビット・マッピング(many-to-few bit-mapping)、およびセキュア・ハッ
シュ処理を採用して前述のようなパラメータを生成し、暗号分析または力任せの
(brute force)試行錯誤による攻撃で、暗号鍵発生器への秘密鍵(secret)の入
力を発見しようとするあらゆる行為に対して強力に対抗する。更に、発信側シス
テムおよび応答側システム間のハンドシェーク・プロトコルは、ネットワークを
通じてシステム識別子のみをクリアテキストで交換するだけでよく、暗号鍵発生
器、システム・パスワード、暗号鍵、および変更値を公開から保護する。加えて
、システム接続の完了時、または一方のシステムから他方への要求によってシス
テムIDを変更し、アタッカもどき(would-be attacker)によるプレイバック(
再生)なりすまし(playback impersonation)に対して、一層強力な保護を与える
。
発明の概要
本発明によれば、発信側システムおよび応答側システムには1つ以上の秘密鍵
が知らされているが、これらの間での交換は行われない。一方の秘密鍵は静的、
即ち、一定の秘密鍵であり、他方は、システム接続が完了する毎に、または一方
のシステムが新たなメッセージ・ダイジェストを他方に要求する毎に、発信側シ
ステムおよび応答側システムが個別に変更するという点において動的な秘密鍵で
ある。即ち、2つのシステムは、多数対少数(多数−少数)ビット・マッピング
を採用したビット・
シャフリング・アルゴリズムにしたがって、静的秘密鍵および動的秘密鍵を個別
に(別々に)組み合わせ、同様に多数対少数ビット・マッピングを採用したセキ
ュア・ハッシュ・プロセスをその結果に適用し、メッセージ・ダイジェストを生
成する。メッセージ・ダイジェストから、発信側システムに対する一時的パスワ
ード(one-time password)、応答側システムに対する一時的パスワード、秘密セ
ッション暗号鍵、および動的秘密鍵を更新するための変更値が、ビット長セクタ
として得られる。秘密セッション暗号鍵も変更値も、いずれの形態でもシステム
の外部には開示されない。暗号鍵を用いて、送信対象の情報を暗号化する。一時
的パスワードを用いて、発信側システムおよび応答側システム双方の認証を行い
、システム接続が完了する毎に、変更値を用いて動的秘密鍵を変更する。
本発明の一態様においては、発信側システムと応答側システムとの間のシステ
ム接続に対する認証サイクルが発生する毎に、ビット・シャフリング処理への入
力として用いられる動的秘密鍵を更新し、新たなシステム接続には、新たな擬似
ランダム・メッセージ・ダイジェストを発生する。
本発明の別の態様では、各システム接続の後に発信側システムおよび応答側シ
ステムの認証を行うことによって、パスワードおよび暗号鍵の更新、ならびにパ
スワードおよび暗号鍵を得るメッセージ・ダイジェストを発生する個別のプロセ
スを確実に同期させる。
本発明の更に別の態様では、動的秘密鍵の2進長を、静的秘密鍵のそれと異な
るものとするとよい。
本発明の更にまた別の態様では、秘密セッション暗号鍵は、決定性の予測不可
能な擬似ランダム対称暗号鍵であり、各システム接続の後または一方のシステム
から他方への要求時に変更する。
本発明の更に他の態様では、システム接続に対する認証サイクルが全て完了し
た後、または一方のシステムから他方のシステムへの要求時に、動的秘密鍵およ
びシステムIDの双方を、メッセージ・ダイジェストの
構成要素によって変更し、アタッカもどきによる再生なりすましに対する保護を
強化することも可能である。
図面の簡単な説明
本発明の更に別の目的、特徴および利点は、添付図面と関連付けながら、以下
の詳細な説明を読むことによって明らかとなろう。
図1は、通信媒体を通じて通信する2つのコンピュータ・システムの機能ブロ
ック図である。
図2は、メッセージ・ダイジェスト、即ち、対称的かつ決定性の予測不可能な
暗号鍵を発生する論理プロセスを表す図である。
図3aおよび図3bは、本発明による発信側コンピュータ・システムが用いる
アプリケーション・ソフトウエアの論理フロー図である。
図4aおよび図4bは、本発明による応答側コンピュータ・システムが用いる
アプリケーション・ソフトウエアの論理フロー図である。
詳細な説明
これより、添付図面を参照しながら本発明の好適な実施形態について説明する
。
以下に続く説明では、「ランダム」、「擬似ランダム」、「接続」、および「
セッション」という用語は、次のような意味を有するものとする。
「ランダム」とは、予測不可能で非反復性の結果を意味する。
「擬似ランダム」とは、その結果が決定性であるが、結果を生成する秘密鍵に
アクセスできない観察者または秘密鍵の知識がない観察者にはランダムのように
思われる場合を意味する。
「接続(connection)」とは、発信側システムと応答側システムとの間の通信
リンクの確立を意味し、1回以上のセッションの間持続する。
「セッション(session)」とは、発信側システムと応答側システムとの
間であるタスクを遂行するための、1回以上の情報交換を意味する。1回のシス
テム接続の間には、数回のセッションがある場合もある。本発明によれば、各シ
ステム接続の後、鍵(キー)およびパスワードを自動的に変更する。任意に、各
セッション後に鍵および/またはパスワードを変更することが可能である。
図1を参照すると、通信リンク12を通じて、第2コンピュータ・システム1
1に通信する第1コンピュータ・システム10が示されている。通信リンクは、
LAN(ローカル・エリア・ネットワーク)、WAN(ワイド・エリア・ネット
ワーク)、VAN(付加価値ネットワーク)、TELCO(電話会社の交換ネッ
トワーク)、インターネット、ローカル・イントラネット、あるいはセルラ・フ
ォン(携帯電話)接続またはその他の無線周波数送受信インターフェースのよう
な空中リンク(air link)とすることができる。
コンピュータ・システム10は、キー・マトリクス・インターフェース・アレ
イ3を有するキーボード・プロセッサ2に導くI/Oインターフェース1bを備
えた、中央演算装置(CPU)1を含む。更に、CPU1は、プロセッサ1a、
ROM1c、およびRAM1dを含む。加えて、コンピュータ・システム10は
、表示装置4、フロッピ・ディスク・ドライブ5a、ハード・ディスク・ドライ
ブ5b、および通信アダプタ6を含み、これらの各々は、I/Oインターフェー
ス1bと電気的に通信状態にある。加えて、通信アダプタ6はリンク12とも電
気的に通信状態にある。
コンピュータ・システム11は、CPU13を含み、CPU13は、プロセッ
サ13a、I/Oインターフェース13b、RAM13c、およびROM13d
から成る。I/Oインターフェース13bは、表示装置14、キー・マトリクス
・アレイ16を有するキーボード・プロセッサ15、フロッピ・ディスク・ドラ
イブ17a、ハード・ディスク・ドライブ17b、およびリンク12と電気的に
通信状態にある通信アダプタ18と電気的に通信状態にある。
プロセッサ1aは、ソフトウエア・アルゴリズムおよび論理フローを実行し、
セキュリティ・システム・プログラムの動作を行うために用いられる。ROM1
cは、コンピュータ・システム10をブート(boot)させ更に動作させるために
必要である(ブート・セクタにアクセスするために必要なコードを内蔵する)。
キー・アレイ3および表示装置4は、コンピュータとユーザとの相互動作を支援
するために用いられる。RAM1dは、スクラッチ・パッド(scratch pad)、ス
タック、あるいはプログラムが用いる値またはプログラムによって処理される値
の一時的記憶領域として用いられる。ハード・ディスク・ドライブ5bは、シス
テムID、共用秘密鍵(shared secret)、およびこのプログラムのための実行可
能コードを格納するための不揮発性メモリである。フロッピ・ディスク・ドライ
ブ5aは、システムIDや共用秘密鍵を格納するための着脱自在の不揮発性メモ
リとして用いることができる。
以下に詳細に説明する本発明の動作において、システムID、静的秘密鍵およ
び動的秘密鍵は、コンピュータ・システム10のハード・ディスク5b上に格納
され、発信局および応答局の認証が行われるときに、プロセッサ1aによってR
AM1dに移動させられる。更に、システム・パスワードおよび秘密セッション
暗号鍵が認証プロセスの間に発生すると、RAM1dに格納される。各認証およ
び暗号化情報の交換後、RAM1dは、次に行われるセッションの間に発生する
データによって上書きされるか、あるいは現システム接続の終了時に消去され、
新たな動的秘密鍵がハード・ディスク・ドライブ5bに書き込まれる。
同様に、コンピュータ・システム11では、システムID、静的秘密鍵、およ
び動的秘密鍵が、ハード・ディスク・ドライブ17b上に格納され、発信局およ
び応答局の認証が行われるときに、プロセッサ13aによってRAM13cに移
動させられる。更に、システム・パスワードおよび秘密セッション暗号鍵が認証
プロセスの間に発生すると、RAM13cに格納される。各認証および暗号の交
換後、RAM13cは、次に行われるセッションの間に発生するデータによって
上書きされるか、
消去され、新たな動的秘密鍵がハード・ディスク・ドライブ17bに書き込まれ
る。
メッセージ・ダイジェスト(message digest)の発生に用いられるセキュア・ハ
ッシュ・アルゴリズムおよびビット・シャフリング・アルゴリズムは、ハード・
ディスク・ドライブ5bおよびハード・ディスク・ドライブ17b上に格納され
ている。これらのアルゴリズムについては、以下で更に詳細に説明する。
コンピュータ・システム10とコンピュータ・システム11との間で交換され
る情報は、それぞれプロセッサ1aおよび13aの制御の下で、通信リンク12
を通じて通信アダプタ6および18との間で転送される。
コンピュータ・システム10とコンピュータ・システム11との間の情報交換
が確実に機密性(confidential)を維持するためには、コンピュータ・システムの
双方向認証および情報交換の暗号化を行わなければならない。
本発明によれば、コンピュータ・システム10およびコンピュータ・システム
11双方には、一意の複数ビットの識別子がそれぞれのハード・ディスク・ドラ
イブ上に格納されており、コンピュータ・システム同士でクリアテキストで交換
することができる。この識別子は、数値および/またはテキストで構成すること
ができる。静的秘密鍵は各システムに知られているが、通信リンクを通じて交換
されることはない。静的秘密鍵は、現在値を故意に新たな値で上書きしない限り
、変更することはない。
また、動的秘密鍵は、双方のコンピュータ・システムによって共用され、極秘
に保持されており、通信リンク12を通じて送信されることは決してない。この
秘密鍵が動的であるというのは、コンピュータ・システムの双方向認証が行われ
る毎に、動的秘密鍵が変更されるという意味である。用いられる変更値は、擬似
乱数である。以下で更に詳しく説明するが、動的秘密鍵があるので、静的秘密鍵
および動的秘密鍵双方の知
識がなければ、暗号鍵発生器の暗号結果(cryptographic result)を予測すること
は不可能である。本発明の一態様として、変更値は、いずれのアクセス要求また
はコンピュータ・システム間で交換される情報の一部も形成しない。したがって
、変更値は、通信リンク12を通じた情報伝達の結果として、発見されることは
ない。
静的秘密鍵、動的秘密鍵、変更値、およびセッション暗号鍵は、これらが発生
され格納されているコンピュータ・システムから外部に伝達されることは決して
ないことは理解されよう。
一旦識別子、静的秘密鍵および動的秘密鍵を保有したなら、両側のコンピュー
タ・システムは、図2に示すように、個別に秘密鍵を組み合わせ始める。図2を
参照すると、続いて行われるコンピュータ・プロセスの図が示されており、複数
ビットの静的秘密鍵20、および複数ビットの動的秘密鍵21が、ビット・シャ
フリング発生器22への入力として印加される。ビット・シャフリング発生器は
、多数対少数ビット・マッピングを採用し、静的秘密鍵および動的秘密鍵のビッ
トを混ぜ合わせる(shuffe)。即ち、静的秘密鍵および動的秘密鍵のビットを混合
し、第1擬似ランダム結果を形成する。ビット・シャフリング・アルゴリズムは
、大きい方の入力の全ビットが処理され終わるまで、大きい方の入力で小さい方
の入力をラップする(wrap)ことによって、ビットを混ぜ合わせ続ける。
発生器22が行うプロセスは、いずれかの数学的または論理的機能で
示す。発生器22の出力は擬似ランダム結果であり、入力として、セキュア一方
向ハッシュ発生器23に印加され、メッセージ・ダイジェスト24を生成する。
本発明の好適な実施形態では、発生器23が用いるハッシュ関数は、FIPS PUB 1
80-1(1995年4月17日)に定義されている、セキュア・ハッシュ・アルゴ
リズム(SHA)である。
本発明の目的のために、メッセージ・ダイジェスト24を4つのセク
タに分割する。最初のセクタは、発信側システムのパスワード25であり、1度
だけ用いられる。2番目のセクタは、応答側システムのパスワード26であり、
これも1度だけ用いられる。3番目のセクタは、秘密セッション暗号鍵27であ
り、4番目のセクタは変更値28である。メッセージ・ダイジェストを構成する
各セクタの内容は、擬似乱数であり、コンピュータ・システム10および11の
各々が、同期を必要とせずに、個別に生成したものである。したがって、コンピ
ュータ・システム10は、それ自体の一時的パスワード25を有し、コンピュー
タ・システム11の一時的パスワード26を知っている。更に、各々は秘密セッ
ション暗号鍵27を有し、通信媒体を通じてシステムID以外の交換を全く行う
ことはない。
図3aおよび図3bを参照すると、コンピュータ・システム10(発信側シス
テム)が実施する通信ハンドシェーク・プロトコルが、論理フロー図の形態で示
されている。コンピュータ・システム10は、論理ステップ100から開始して
、この論理フロー図を巡回する。論理ステップ101において、発信側システム
は、ハード・ディスク・ドライブ5b上に保持されている共用秘密鍵表から、シ
ステムIDおよび秘密鍵を引き出す。論理ステップ101から、フローは論理ス
テップ102に進み、発信側システムIDと共にアクセス要求を送り、IDおよ
び共用秘密鍵をRAM1dに書き込む。目標の応答側コンピュータ・システムの
IDをタグとして用いることにより、コンピュータ・システム10のハード・デ
ィスク・ドライブ5bから、静的秘密鍵および動的秘密鍵を引き出す。
その後、論理フローは、論理ステップ104に移り、コンピュータ・システム
11のIDの受信を待つ。コンピュータ・システム11のIDが所定の時間期間
以内に受信されない場合、論理フローは論理ステップ105に分岐し、「I/O
時間切れ」エラー・メッセージを発生する。論理ステップ105から、論理フロ
ー・プロセスは論理ステップ106に進み、試行失敗記録(failed attempt reco
rd)を更新し、次いで論理ス
テップ107に移り、アプリケーション・プログラムおよびユーザにエラー・メ
ッセージを報告する。
論理ステップ104において時間切れとなる前にコンピュータ・システム11
のIDが受信された場合、論理ステップ108において、コンピュータ・システ
ム11の表参照IDを、コンピュータ・システム11から受信したIDと比較す
る。一致が得られない場合、論理フロー・プロセスは論理ステップ109に分岐
し、エラー・メッセージ「システム認識されず」を発生する。その後、先に説明
したように、論理フロー・プロセスは論理ステップ106に進む。
しかしながら、論理ステップ108において一致が得られた場合、論理フロー
・プロセスは論理ステップ110に移り、コンピュータ・システム10は、応答
側システムのIDの承認をコンピュータ・システム11に発行する。論理ステッ
プ111において、多数対少数ビット・マッピングを採用した数学関数または論
理関数を用いることによって、静的秘密鍵および動的秘密鍵を組み合わせる。ビ
ット・シャフリング・アルゴリズムは、大きい方の入力の全ビットを処理し終わ
るまで、小さい方の入力を大きい方の入力でラップすることによって、ビットを
混ぜ合わせ続ける。ビット・シャフリング・アルゴリズムは、2つの入力にビッ
ト・シャフリングおよび/または多数対少数ビット・マッピングを行う数学関数
または論理関数であれば、いずれでもよい。次に、擬似ランダム結果に、セキュ
ア一方向ハッシュ処理を施す。セキュア・ハッシュ処理も、多数対少数ビット・
マッピングを採用してメッセージ・ダイジェスト24を与え、これから、発信側
システムのパスワード25,応答側システムのパスワード26、秘密セッション
暗号鍵27、および変更値28を抽出する。
論理ステップ111から、論理フロー・プロセスは論理ステップ112に進み
、応答側システムのID,発信側システムのパスワード25、応答側システムの
パスワード26、秘密セッション暗号鍵27、および変更値28を、コンピュー
タ・システム10のRAM1dに書き込む。
次に、論理フロー・プロセスは論理ステップ113に移り、秘密セッション暗号
鍵27を、DESのようなユーザ供給暗号化エンジンにロードし、コンピュータ
・システム10とコンピュータ・システム11との間でその後に行われる交換(e
xchange)を全て暗号化する。
論理ステップ113から、論理フロー・プロセスは論理ステップ114に進み
、コンピュータ・システム11からの暗号化した応答側システムのパスワードを
待つ。所定の時間期間以内に暗号化パスワードが受信されない場合、論理ステッ
プ115において「I/O時間切れ」エラー・メッセージを発生し、先に説明し
たように論理フロー・プロセスは次に論理ステップ106に移る。時間切れにな
る前に暗号化パスワードを受信した場合、論理フロー・プロセスは論理ステップ
114から論理ステップ116に進み、秘密セッション暗号鍵27を用いること
によってコンピュータ・システム11の暗号化パスワードを解読し、論理ステッ
プ118に進む。解読したコンピュータ・システム11のパスワードが、論理ス
テップ111で発生した応答側システムのパスワード26と一致しない場合、論
理フローは論理ステップ119において「パスワード異常」エラー・メッセージ
を発生し、先に説明したように論理ステップ106に進む。しかしながら、論理
ステップ118において一致が得られた場合、論理フロー・プロセスは論理ステ
ップ118から論理ステップ120に進み、秘密セッション暗号鍵27を用いる
ことによって発信側システムのパスワード25を暗号化し、通信リンク12を通
じてコンピュータ・システム11に送信する。次に、論理フロー・プロセスは論
理ステップ121に移り、コンピュータ・システム11からの応答を待つ。この
応答は、コンピュータ・システムのアクセス要求が許可されたことを示す。
所定の時間期間が過ぎる前にアクセス許可応答がコンピュータ・システム11
から受信されない場合、論理フローは論理ステップ121から論理ステップ12
2に分岐し、「I/O時間切れ」エラー・メッセージを発生し、次いで先に説明
したように論理ステップ106に進む。しか
しながら、I/O時間切れの前に、コンピュータ・システム11からアクセス付
与応答を受信した場合、論理フロー・プロセスは論理ステップ121から論理ス
テップ123に進み、変更値28および素(数)定数(prime constant)によって
動的秘密鍵21を変更する。
システムIDは、変更値28および素定数によって、またはメッセージ・ダイ
ジェストの別の構成要素によって変更し、再生なりすましに対抗する追加の保護
層を与えてもよいことは理解されよう。再生なりすましでは、アタッカもどきが
発信側システムと応答側システムとの間のシステムIDのクリアテキストの交換
を監視し、その後、以前に用いられた情報を用いることによって、システムの一
方になりすまそうとすることができる。各システム接続が完了した後にシステム
IDを変更することによって、かかる再生なりすましを防止する。
論理ステップ123から、論理フロー・プロセスは、論理ステップ124にお
いて、更新した動的秘密鍵をハード・ディスク・ドライブ5bの不揮発性メモリ
内に書き込む。その後、論理フローは論理ステップ125に進み、現行の秘密セ
ッション暗号鍵を用いて、現セッションの間にコンピュータ・システム11との
暗号化情報の交換を行う。その後、論理ステップ126において、現システム接
続が完了したか否かについて判定を行う。完了していない場合、論理フロー・プ
ロセスは、論理ステップ127において、新たな秘密セッション暗号鍵を発生す
べきか否かについて判定を行う。すべきである場合、論理フロー・プロセスは論
理ステップ127から論理ステップ128に移り、秘密セッション暗号鍵の変更
が指示されたことを、コンピュータ・システム11に通知する。その後、論理フ
ローは論理ステップ111における入力に戻り、先に説明したように継続する。
論理ステップ127において秘密セッション暗号鍵を変更しないと判定された場
合、論理プロセスは、論理ステップ125における入力に移り、先に説明したよ
うに継続する。
秘密セッション暗号鍵は、双方向認証が行われた後に自動的に発生するだけで
なく、要求に応じて発生することも可能であることは理解され
よう。
論理ステップ107から、または接続が完了した場合は論理ステップ126か
ら、論理フロー・プロセスは論理ステップ129に進み、プログラムから出る。
上述のプロセスと同時に、応答側システム(コンピュータ・システム11)は
、図4aおよび図4bに示す論理フロー・プロセスを個別に実行する。即ち、こ
の論理フロー・プロセスは論理ステップ200から入る。論理ステップ201に
おけるコンピュータ・システム10からのアクセス要求およびシステム識別子の
受信時に、論理フロー・プロセスは論理ステップ202に進み、ハード・ディス
ク・ドライブ17b上に格納されているアクセス・テーブルの検索を実行して発
信側システムのIDを求め、対応する静的秘密鍵および動的秘密鍵にアクセスす
る。次に、論理ステップ203において、コンピュータ・システム10によって
供給された発信側システムの識別子を、表参照システムの識別子と比較する。一
致が得られない場合、論理フロー・プロセスは論理ステップ204に分岐し、「
システム認識されず」というエラー・メッセージを発生する。その後、論理フロ
ー・プロセスは、図4bの論理ステップ205に移り、ハード・ディスク・ドラ
イブ17b上にこのエラー・メッセージを記録し、その後ステップ206におい
て、アプリケーション・プログラムおよびユーザにエラー・メッセージを報告す
る。
しかしながら、論理ステップ203においてIDが得られた場合、論理フロー
・プロセスは論理ステップ207に進み、応答側システムのシステム識別子を発
信側システムに送信する。次に、論理フロー・プロセスは論理ステップ208に
移り、応答側システムの識別子を承認したことを示す、発信側システムからの応
答を待つ。所定の時間期間以内に発信側システムから応答が受信されない場合、
時間切れとなり、論理フロー・プロセスは論理ステップ209に分岐し、エラー
・メッセージ「I/O時間切れ」を発生する。論理ステップ209から、論理フ
ロー・プロセスは図4bの論理ステップ205に移り、前述のようにプロセスは
継続する。
論理ステップ208において、時間切れとなる前に応答側システムのIDを承
認する応答を受信した場合、論理フロー・プロセスは論理ステップ208から図
4bの論理ステップ210に進み、プロセッサ13aは発信側システム10のシ
ステム識別子をタグとして用い、RAM13cに格納されている静的秘密鍵およ
び動的秘密鍵を見つけ出し、獲得する。その後、静的秘密鍵および動的秘密鍵を
、ビット・シャフリング・アルゴリズムへの入力として印加する。ビット・シャ
フリング・アルゴリズムは、ハード・ディスク・ドライブ17b上に格納されて
いるソフトウエア・プログラムである。ビット・シャフリング・アルゴリズムは
、大きい方の入力の全ビットが処理され終わるまで、小さい方の入力を大きい方
の入力でラップすることによって、ビットを混ぜ合わせ続ける。ビット・シャフ
リング・アルゴリズムは、2つの入力にビット・シャフリング処理および/また
は多数対少数ビット・マッピングを行う数学関数または論理関数であれば、いず
れでもよい。次に、ビット・シャフリング処理の結果に、セキュア一方向ハッシ
ュ処理を施し、第2の多数対少数ビット・マッピングを行ってメッセージ・ダイ
ジェストを生成する。論理ステップ211において、発信側システムのパスワー
ド25,応答側システムのパスワード26、秘密セッション暗号鍵27、および
変更値28をメッセージ・ダイジェストから抽出し、RAM13cのある領域に
書き込む。
発信側システムおよび応答側システムは、このようにして、アクセス要求およ
びそれぞれのシステム識別子をクリアテキストで交換するだけで、同一のパスワ
ード、秘密セッション暗号鍵および変更値を発生する。
図4bの論理ステップ211から、論理フロー・プロセスは論理ステップ21
2に進み、ユーザが供給した暗号化エンジンに、秘密セッション暗号鍵27をロ
ードする。この通信セッションの間今後行われるコンピュータ・システム10と
コンピュータ・システム11との間の交換は
全て暗号化される。
論理フロー・プロセスは、論理ステップ212から論理ステップ213に移り
、暗号鍵27を用いることによって応答側システムのパスワード26を暗号化し
、発信側システム10に送信する。その後、論理フロー・プロセスは、論理ステ
ップ214において、コンピュータ・システム10からの暗号化された発信側シ
ステムのパスワード25の受信を待つ。所定の時間期間経過の前に暗号化パスワ
ードが受信されない場合、論理フロー・プロセスは論理ステップ214から論理
ステップ215に分岐し、エラー・メッセージ「I/O時間切れ」を発生する。
その後、論理フロー・プロセスは論理ステップ205に移り、先に説明したよう
に論理プロセスは継続する。
論理ステップ214において、時間切れとなる前にコンピュータ・システム1
0から暗号化パスワードを受信した場合、論理フロー・プロセスは論理ステップ
216に進み、秘密セッション暗号鍵27を用いて、発信側システム10から受
信したパスワードを解読する。その後、ステップ217において、発信側システ
ムから受信したパスワードを、論理ステップ210で発生した発信側システムの
パスワード25と比較する。論理ステップ217において一致が得られない場合
、論理フローは論理ステップ217から論理ステップ218に分岐し、エラー・
メッセージ「パスワード異常」を発生する。次に、論理フロー・プロセスは論理
ステップ205に移り、先に説明したように論理プロセスは継続する。
しかしながら、論理ステップ217において一致が得られた場合、論理フロー
・プロセスは論理ステップ219に移り、アクセス許可信号を発信側システムに
送信する。その後、論理ステップ220において、RAM13c内に格納されて
いる動的秘密鍵を、変更値28および素定数によって変更する。論理ステップ2
20から、論理プロセスは論理ステップ221に進み、ハード・ディスク・ドラ
イブ17bの不揮発性メモリに、更新した動的秘密鍵を書き込む。論理ステップ
221から、論理フロー・プロセスは論理ステップ222に進み、秘密セッショ
ン暗号鍵
を用いて、現セッションの間にコンピュータ・システム10と交換する情報を暗
号化する。その後、ステップ223において、現システム接続が完了したか否か
について判定を行う。完了していない場合、論理フロー・プロセスは論理ステッ
プ224において、新たな秘密セッション暗号鍵を発生すべきか否かについて判
定を行う。発生すべきでない場合、論理フロー・プロセスは論理ステップ222
の入力に戻り、先に説明したように継続する。しかしながら、秘密セッション暗
号鍵を変更すべき場合、論理フロー・プロセスは論理ステップ224から論理ス
テップ225に移り、新たな秘密セッション暗号鍵が指示されたことを、コンピ
ュータ・システム10に通知する。その後、論理フロー・プロセスは論理ステッ
プ210に戻り、先に説明したように継続する。
論理ステップ206から、またはシステム接続が完了した後では論理ステップ
223から、ステップ226において論理フロー・プロセスはプログラムから出
る。
前述の説明から、最初の双方向認証を行うためのクリアテキスト・アクセス要
求およびシステム識別子の交換の後、2つのコンピュータ・システム間の交換は
以後全て暗号テキスト(ciphertext)で行われることは、今や明白であろう。即ち
、交換は、暗号化形態でのみ行われる。更に、静的秘密鍵および初期の動的秘密
鍵は各システムに知られているが、これらは発信側システムおよび応答側システ
ムの外部には公開されない。加えて、パスワード、動的秘密鍵、および秘密セッ
ション暗号鍵は、現システム接続の間でのみ用いられる。動的秘密鍵は、各シス
テム接続の後、擬似ランダム変更値および素数(prime number)によって変更され
るので、セキュア・ハッシュ・アルゴリズムのメッセージ・ダイジェスト出力は
、各擬似乱数毎に完全に変化する。更に、セキュア・ハッシュ・アルゴリズムへ
の入力には、ビット・シャフリングが行われ、更にセキュア・ハッシュ発生に先
立って、第1の多数対少数ビット・マッピングが行われ、更にセキュア・ハッシ
ュ処理の間に第2の多数体少数ビット・マッピングが行われる。したがって、暗
号分析または総当たり攻撃
のいずれかによって静的秘密鍵または現動的秘密鍵が発見される可能性は、実質
的に不可能な程低い。暗号化した情報を交換する前に、暗号化パスワードの交換
において第2の双方向認証を行うことにより、更にセキュリティが強化される。
最後に、各システム接続の後にシステムIDも変更し、アタッカもどきの再生な
りすましに対抗する保護を強化することも可能である。
以上、好適な実施形態を参照しながら本発明を特定的に示しかつ詳細に説明し
たが、これらは本発明の原理の例示に過ぎず、その範囲の限定と見なすべきでな
い。更に、本発明の精神から逸脱することなく、多数の変更や修正も可能である
ことは、当業者には容易に理解されよう。例えば、メッセージ・ダイジェストの
発生の結果得られる変更値を用いて、動的秘密鍵だけでなくシステムIDも変更
してもよい。更に、メッセージ・ダイジェストの構成要素を変更値として用いる
代わりに、セキュア・ハッシュ発生器への擬似ランダム入力を用いることも可能
である。その他の例として、メッセージ・ダイジェストを4つよりも多い構成要
素または4つ未満の構成要素に分割し、セキュア・ハッシュ発生器への擬似ラン
ダム入力を用いて、メッセージ・ダイジェストによって供給されない構成要素を
与えるようにすることも可能である。加えて、発信側システムおよび応答側シス
テムが、メッセージ・ダイジェストの異なる構成要素を暗号鍵として用いて全二
重モードで動作し、情報交換する両側に侵入するには2倍の労力がかかるするこ
とも可能である。更に別の例では、図2に示した論理フローを多数回繰り返し(p
ass)、ビット長を更に延長した暗号鍵を構成要素として有するメッセージ・ダイ
ジェストを発生することも可能である。更にまた、セキュア・ハッシュ発生器へ
の擬似ランダム入力に別個の構成要素を用いて静的秘密鍵および動的秘密鍵を変
更し、こうして双方の秘密鍵を動的としつつ、メッセージ・ダイジェストの構成
要素を用いてシステムIDを変更することも可能である。また、図2の論理フロ
ーでは、2回のビット・シャフリングを用い、最初のビット・シャフリングの擬
似ランダム出力の構成要素を用
いて静的秘密鍵(ここでは、第2動的秘密鍵)を変更し、2回目のビット・シャ
フリングの擬似ランダム出力の構成要素を用いて動的秘密鍵を変更し、メッセー
ジ・ダイジェストのある構成要素を用いてシステムIDを変更することも可能で
ある。DETAILED DESCRIPTION OF THE INVENTION
Two-way authentication and encryption system
Related application
U.S. Patent Application No. Issue "Bilateral Authenticat
ion And Information Encryption Token System And Method "
Information encryption token system and method), U.S. Patent Application No.
Issue "File Encryption Method And System"
) And US Patent Application No. Issue "Secure Deterministic Encryption
Key Generator System And Method "
) Is a co-pending application filed on the same day.
Background of the Invention
When exchanging confidential information between transmitting and receiving stations, the transmitting station must transmit the information to the communication medium between the stations.
In communicating above, may be intercepted by fraudulent acts of deception, and
We are concerned that messages may be accidentally received by unauthorized receiving stations.
You.
A similar concern is that the computer system located at the first station may have
Access sensitive data files stored on the local computer system.
Also occurs when requesting access. To protect your files from unauthorized disclosure,
The second station is interested in that the requester is allowed to access the file
Information and, if permitted, information shared by third parties during transmission between stations.
It will be about whether it can not be copied.
The most widely accepted information protection method on networks is encryption
In this case, the sender and the receiver share the encryption key and encrypt the information to be exchanged.
Encrypt and decrypt. In such a system, clear
Authentication is performed by exchanging clear text, and the encryption key used is often
Not changed. Because the person-to-person exchange is open to the public
This is because it is the only means to guarantee the sharing of the encryption key without danger. The result
As a result, it discovers the encryption key and provides access to all the encrypted information exchanged on the network.
Have your attackers use valuable information and time
.
A conventional authentication and encryption system is disclosed in US Pat. No. 5,060,263, US Pat.
No. 5,065,429, No. 5,068,894, No. 5,153,919, No. 5,
No. 5,355,413, No. 5,361,062, No. 5,474,758, and
And 5,495,533. US Patent No. 5,060,263
Uses a reversible encryption algorithm and performs all exchanges between host and client
In clear text but with unilateral authentication
It's just U.S. Pat. No. 5,065,429 merely provides one-way authentication
In order to store the encryption key on a storage medium, if the attacker reads this medium,
You can access the encryption key. U.S. Pat. No. 5,068,894 is completely modified
Cleartext challenge (c
leartext challenge) and encrypted response (encrypted response)
It becomes possible for attackers. U.S. Pat. No. 5,153,919 describes an exchange between offices.
To provide useful clear text information to the attacker, and to provide latency
Use a weak encryption algorithm to avoid the problem of
It does not provide secure token activation because anyone can use it.
No. US Pat. No. 5,355,413 encrypts a random challenge
Does not encrypt information exchanged between the host and the client. U.S. Patent No.
No. 5,361,062 clear text information between host and client
Exchange, use a reversible encryption algorithm, and only provide one-way authentication.
Repeatedly triggers encryption as a function of
And system latency
Resync process to keep the token and host synchronized.
Need tocol. US Patent No. 5,474,758 provides one-way authentication
It is assumed that the user can conceal the storage of the authentication certificate. USA
No. 5,495,533 merely provides one-way authentication and has a lower latency.
Intrusion by attackers, causing significant network overhead
Depends on the key directory which is likely to be deleted.
In addition, U.S. Patent Nos. 5,233,655 and 5,367,572.
Nos. 5,421,006 and 5,481,611 describe conventional authentication systems.
Systems are disclosed. US Patent No. 5,233,655 provides one-way authentication
Only the exchanged information is not encrypted. US Patent No. 5,367,57
No. 2 only provides one-way authentication and keeps hosts and clients in sync
Retention requires a resynchronization protocol and clears everything when exchanging information
Send by text. US Patent No. 5,421,006 provides one-way authentication
Works in a windowed environment, which is essentially
This contributes to CPU overhead, that is, system latency. USA
Patent No. 5,481,611 merely provides one-way authentication and all information exchange
In clear text. U.S. Pat. No. 5,309,516 is a key director.
Need to store birds.
The prior art cited above includes multiple-minority duplexing as used in the present invention.
Use bit mapping to generate deterministic and unpredictable symmetric encryption keys
There is nothing to disclose.
In addition to the above disclosure, a secure hash algorithm (SHA)
sh algorithm) is used in FIPS Pub. 180-1 Secure Hash Standard (April 1995
17), and furthermore, the security requirements of the token system
, FIPS Pub. 140-1, Security Requirements For Cryptographic Modules (19
Jan. 11, 1994).
The present invention combines authentication and encryption, and uses the system parameters as its parameters.
Password, encryption key, and dynamic secret
Change values used to generate the random system password and encryption key
And use them only during a single system connection, and
Replace with a new parameter that has no knowledge relationship. Initiator in network
The system and the responding system exchange individually generated passwords. That
The encryption key generator used at this time is bit-shuffling,
Many-to-few bit-mapping and secure hat
To generate parameters such as those described above for cryptanalysis or brute force
(Brute force) Attack of secret key to cryptographic key generator by trial and error
Strongly oppose any attempt to discover power. In addition, the originating system
The handshake protocol between the system and the responding system
Only the system identifier needs to be exchanged in clear text through the
Passwords, system passwords, encryption keys, and changed values from public disclosure. in addition
System upon completion of a system connection or upon request from one system to the other.
Change the system ID and play back with the attacker (would-be attacker)
Replay) Provides stronger protection against playback impersonation
.
Summary of the Invention
According to the invention, the originating system and the responding system have one or more private keys.
, But no exchange takes place between them. One secret key is static,
That is, it is a certain secret key, the other is each time a system connection is completed, or
Each time one system requests a new message digest from the other, the originating system
Dynamic private key in that the system and responder change individually.
is there. That is, the two systems have a many-to-few (many-few) bit mapping
The bit which adopted
Separate static and dynamic secret keys according to shuffling algorithm
(Separately) and similarly employs many-to-small bit mapping.
A hash digest process to the result, producing a message digest.
To achieve. From the message digest, a temporary password to the originating system
Password (one-time password), temporary password for the responding system, secret
If the change value for updating the session encryption key and the dynamic secret key is
Is obtained as Both the secret session encryption key and the changed value
Is not disclosed outside. The information to be transmitted is encrypted using the encryption key. Temporary
Authenticates both originating and responding systems using a static password
Each time the system connection is completed, the dynamic secret key is changed using the changed value.
In one aspect of the present invention, a system between an originating system and a responding system is provided.
Each time an authentication cycle for a network connection occurs,
Update the dynamic secret key used as the
Generate a random message digest.
In another aspect of the invention, the originating system and the responding system follow each system connection.
By authenticating the system, passwords and encryption keys can be updated, and passwords can be updated.
A separate process to generate a message digest to obtain the password and encryption key.
Ensure that the source is synchronized.
In yet another aspect of the invention, the binary length of the dynamic secret key is different from that of the static secret key.
It should be good.
In yet another aspect of the invention, the secret session encryption key is deterministically unpredictable.
Pseudo-random symmetric cryptographic key, after each system connection or one system
Change when requesting from the other.
In yet another aspect of the invention, the authentication cycle for the system connection has been completed completely.
Dynamic secret key and after a request from one system to the other
And the system ID in the message digest
Modified by components to protect against spoofing caused by attacker
It is also possible to enhance.
BRIEF DESCRIPTION OF THE FIGURES
Further objects, features and advantages of the present invention will be described below with reference to the accompanying drawings.
Will become apparent upon reading the detailed description of.
FIG. 1 is a functional block diagram of two computer systems communicating over a communication medium.
FIG.
FIG. 2 shows the message digest, a symmetric and deterministic unpredictable
FIG. 4 is a diagram illustrating a logical process for generating an encryption key.
3a and 3b are used by the originating computer system according to the invention.
It is a logic flow figure of application software.
4a and 4b are used by a responding computer system according to the present invention.
It is a logic flow figure of application software.
Detailed description
Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.
.
In the discussion that follows, "random", "pseudorandom", "connection", and "
The term "session" shall have the following meaning.
"Random" means an unpredictable and non-repeating result.
"Pseudo-random" means that the result is deterministic, but the secret key that produces the result is
Like random for observers with no access or no knowledge of the secret key
Means when it seems.
"Connection" means a communication between an originating system and a responding system.
Indicates the establishment of a link and lasts for one or more sessions.
A "session" is a connection between the originating system and the responding system.
Means one or more exchanges of information to perform a task in between. One cis
There may be several sessions between system connections. According to the present invention,
Automatically change the key and password after connecting the system. Optionally, each
It is possible to change the key and / or password after the session.
Referring to FIG. 1, a second computer system 1 is connected via a communication link 12.
1, a first computer system 10 is shown communicating with the first computer system. The communication link is
LAN (Local Area Network), WAN (Wide Area Net)
Work), VAN (value added network), TELCO (telco exchange network)
Network), the Internet, a local intranet, or a cellular network.
Like mobile phone connection or other radio frequency transmission and reception interface
Air links.
The computer system 10 includes a key matrix interface array.
An I / O interface 1b leading to a keyboard processor 2 having
And a central processing unit (CPU) 1. Further, the CPU 1 includes a processor 1a,
It includes a ROM 1c and a RAM 1d. In addition, the computer system 10
, Display device 4, floppy disk drive 5a, hard disk drive
5b, and a communication adapter 6, each of which is an I / O interface.
In electrical communication with the device 1b. In addition, the communication adapter 6 is connected to the link 12 as well.
I am in a communication state.
The computer system 11 includes a CPU 13, and the CPU 13
, An I / O interface 13b, a RAM 13c, and a ROM 13d.
Consists of The I / O interface 13b includes a display device 14, a key matrix
A keyboard processor 15 having an array 16, a floppy disk drive
Electrically with the drive 17a, the hard disk drive 17b, and the link 12.
The communication adapter 18 is in a communication state with the communication adapter 18 in the communication state.
Processor 1a executes software algorithms and logic flows,
Used to perform the operation of the security system program. ROM1
c to boot and further operate the computer system 10
Required (includes the code needed to access the boot sector).
Key array 3 and display 4 support computer and user interaction
Used to The RAM 1d includes a scratch pad, a scratch pad,
Tack or values used by or processed by the program
Is used as a temporary storage area. The hard disk drive 5b is
System ID, shared secret, and executable for this program
This is a nonvolatile memory for storing function codes. Floppy disk dry
5a is a removable nonvolatile memo for storing the system ID and the shared secret key.
Can be used as
In the operation of the present invention described in detail below, a system ID, a static secret key,
And the dynamic secret key are stored on the hard disk 5b of the computer system 10.
And when the originating and responding stations are authenticated, the processor 1a
It is moved to AM1d. In addition, system password and secret session
When an encryption key is generated during the authentication process, it is stored in the RAM 1d. Each certification and
After the exchange of the encrypted information and the encrypted information, the RAM 1d is generated during the next session.
Overwritten by data or erased at the end of the current system connection,
The new dynamic secret key is written to the hard disk drive 5b.
Similarly, in the computer system 11, the system ID, the static secret key, and the
And the dynamic secret key are stored on the hard disk drive 17b,
When authentication of the response station is performed, the processor 13a transfers the data to the RAM 13c.
Be moved. In addition, system passwords and secret session encryption keys are authenticated
If it occurs during the process, it is stored in the RAM 13c. Exchange of each authentication and encryption
After the conversion, the RAM 13c stores the data generated during the next session.
Overwritten or
Erased and a new dynamic secret key written to the hard disk drive 17b.
You.
The secure hash used to generate the message digest
The hash algorithm and the bit shuffling algorithm are hard
Stored on the disk drive 5b and the hard disk drive 17b
ing. These algorithms are described in further detail below.
Exchanged between computer system 10 and computer system 11
Information under communication processor 12a under the control of processors 1a and 13a, respectively.
Is transferred to and from the communication adapters 6 and 18 through the network.
Information exchange between computer system 10 and computer system 11
To ensure confidentiality of computer systems,
Two-way authentication and information exchange encryption must be performed.
According to the present invention, a computer system 10 and a computer system
11 both have a unique multi-bit identifier on each hard disk drive.
Stored on Eve and exchanged in clear text between computer systems
can do. This identifier must consist of a number and / or text
Can be. The static secret key is known to each system, but is exchanged over a communication link.
It will not be done. Unless a static secret key intentionally overwrites the current value with a new value,
, Never change.
Also, the dynamic secret key is shared by both computer systems and is
And is never transmitted over the communication link 12. this
A dynamic secret key means that the computer system has two-way authentication.
Each time the dynamic secret key is changed. The change value used is pseudo
It is a random number. As explained in more detail below, since there is a dynamic secret key,
And dynamic secret key
Without knowledge, predict the cryptographic result of the cryptographic key generator
Is impossible. As one aspect of the present invention, the change value may be any access request or
Does not form part of the information exchanged between the computer systems. Therefore
, The changed value may not be discovered as a result of communicating over the communication link 12.
Absent.
Static secret keys, dynamic secret keys, modified values, and session encryption keys
Never transmitted from a stored and stored computer system
It will be understood that there is no.
Once you have the identifier, static secret key and dynamic secret key,
The data system begins to combine private keys individually, as shown in FIG. Figure 2
For reference, a diagram of the ensuing computer process is shown, in which
The bit static secret key 20 and the dynamic secret key 21
Applied as an input to fling generator 22. Bit shuffling generator
Adopts a many-to-few bit mapping and provides a static secret key and a dynamic secret key.
Mix (shuffe). That is, the bits of the static secret key and the dynamic secret key are mixed.
To form a first pseudo-random result. The bit shuffling algorithm is
, The smaller of the larger input until all bits of the larger input have been processed
Keep mixing the bits by wrapping the input.
The process performed by the generator 22 may be any mathematical or logical function.
Show. The output of generator 22 is a pseudo-random result, and as input,
Applied to the directional hash generator 23 to generate a message digest 24.
In a preferred embodiment of the present invention, the hash function used by generator 23 is FIPS PUB 1
Secure Hash Algo as defined in 80-1 (April 17, 1995)
Rhythm (SHA).
For the purposes of the present invention, message digest 24 is divided into four sections.
Divided into The first sector is the originating system password 25, once
Used only. The second sector is the responding system password 26,
This is also used only once. The third sector is the secret session encryption key 27.
The fourth sector has a change value of 28. Construct a message digest
The content of each sector is a pseudo-random number,
Each was generated individually without the need for synchronization. Therefore, the compilation
Computer system 10 has its own temporary password 25 and
Knows the temporary password 26 of the data system 11. In addition, each has a secret
Exchanges other than the system ID through a communication medium.
Never.
Referring to FIGS. 3a and 3b, the computer system 10 (the originating system)
System) implements the communication handshake protocol in the form of a logic flow diagram.
Have been. Computer system 10 starts at logic step 100
Circulate through this logic flow diagram. In logic step 101, the originating system
Is obtained from the shared secret key table held on the hard disk drive 5b.
Extract stem ID and secret key. From logical step 101, the flow is logical
Proceed to step 102 to send an access request together with the caller system ID,
And writes the shared secret key into the RAM 1d. Target responding computer system
By using the ID as a tag, the hardware
The static secret key and the dynamic secret key are extracted from the disk drive 5b.
Thereafter, the logic flow moves to logic step 104, where the computer system
Wait for the reception of the ID No. 11. The ID of the computer system 11 is a predetermined time period
If not received, the logic flow branches to logic step 105, where "I / O
Generates "time out" error message. From the logic step 105, the logic flow
-The process proceeds to logic step 106 where a failed attempt record
rd) and then the logical
Proceeding to step 107, the error message is displayed to the application program and the user.
Report a message.
Before the time out in logic step 104, the computer system 11
If the ID of the computer system is received, in a logic step 108, the computer system
The table reference ID of the system 11 is compared with the ID received from the computer system 11.
You. If no match is found, the logic flow process branches to logic step 109
Error message "System not recognized". Then explain first
As noted, the logic flow process proceeds to logic step 106.
However, if a match is obtained in logic step 108, the logic flow
The process moves to logic step 110, where computer system 10 responds
The approval of the ID of the side system is issued to the computer system 11. Logical step
In step 111, a mathematical function or argument employing a many-to-small bit mapping.
By using a logical function, a static secret key and a dynamic secret key are combined. Bi
The bit shuffling algorithm has processed all bits of the larger input
Bits by wrapping the smaller input with the larger input until
Continue mixing. The bit shuffling algorithm uses a bit on two inputs.
Math functions for shuffling and / or many-to-few bit mapping
Alternatively, any logic function may be used. Next, the security
A) One-way hash processing is performed. Secure hashing also works
The mapping is employed to provide the message digest 24, and
System password 25, responder system password 26, secret session
The encryption key 27 and the change value 28 are extracted.
From logic step 111, the logic flow process proceeds to logic step 112
, Response system ID, originating system password 25, response system
The password 26, the secret session encryption key 27, and the changed value 28
To the RAM 1d of the data system 10.
Next, the logic flow process moves to logic step 113 where the secret session encryption
Load the key 27 into a user-supplied encryption engine such as DES
A subsequent exchange between the system 10 and the computer system 11 (e
xchange) is encrypted.
From logic step 113, the logic flow process proceeds to logic step 114
The encrypted password of the responding system from the computer system 11
wait. If an encrypted password is not received within a predetermined time period, a logical step
Generates an "I / O Timeout" error message at
The logic flow process then proceeds to logic step 106, as described above. Run out of time
If the encrypted password is received before the logical flow process
Go from 114 to logic step 116 and use the secret session encryption key 27
Decrypts the encrypted password of the computer system 11 by the
Proceed to step 118. The password of the decrypted computer system 11 is
If it does not match the password 26 of the responding system generated in step 111,
The logical flow proceeds to logic step 119 with the "password failure" error message
And goes to logic step 106 as described above. However, logical
If a match is obtained in step 118, the logic flow process proceeds to the logic step.
Proceeding from step 118 to logic step 120, using the secret session encryption key 27
Thus, the password 25 of the originating system is encrypted and transmitted through the communication link 12.
And sends it to the computer system 11. Next, the logical flow process is discussed.
The process proceeds to the management step 121 and waits for a response from the computer system 11. this
The response indicates that the access request for the computer system has been granted.
Before the predetermined time period elapses, the access permission response is sent to the computer system 11.
If not, the logic flow is from logic step 121 to logic step 12
Branch to 2 and generate an "I / O Timeout" error message, then described above
Proceed to logic step 106 as described. Only
Before the I / O time-out, access from the computer system 11
If an answer is received, the logic flow process proceeds from logic step 121 to the logic flow.
Proceeding to step 123, the change value 28 and the prime (number) constant
The dynamic secret key 21 is changed.
The system ID can be specified by the change value 28 and the prime constant, or by the message
Additional protection against replay spoofing, modified by another component of the gest
It will be appreciated that layers may be provided. Attack mock during replay impersonation
Clear text exchange of system ID between the originating system and the responding system
Monitoring the system and then using the information previously used to
You can try to impersonate. System after each system connection is completed
By changing the ID, such reproduction spoofing is prevented.
From logic step 123, the logic flow process proceeds to logic step 124.
And stores the updated dynamic secret key in the non-volatile memory of the hard disk drive 5b.
Write in. Thereafter, the logic flow proceeds to logic step 125, where the current secret
Using the session encryption key with the computer system 11 during the current session.
Exchanges encryption information. Thereafter, at logic step 126, the current system connection
A determination is made as to whether the connection has been completed. If not, the logical flow
The process generates a new secret session encryption key at logic step 127.
A determination is made as to whether or not it should be. If it should, the logical flow process
Moves from the logical step 127 to the logical step 128 to change the secret session encryption key.
Is notified to the computer system 11. Then,
Row returns to the input at logic step 111 and continues as described above.
If it is determined in logical step 127 that the secret session encryption key is not to be changed,
If so, the logic process moves to the input at logic step 125, as described above.
To continue.
The secret session encryption key is only generated automatically after the two-way authentication has taken place.
It is understood that they can also occur on demand.
Like.
From logic step 107, or logic step 126 if the connection is complete
From there, the logic flow process proceeds to logic step 129 and exits the program.
At the same time as the above process, the responding system (computer system 11)
, 4a and 4b, respectively. That is,
The logic flow process enters from logic step 200. To logic step 201
Of access request from computer system 10 and system identifier
Upon receipt, the logic flow process proceeds to logic step 202 where the hard disk
Searches the access table stored on the disk drive 17b and issues it.
Determine the ID of the relying system and access the corresponding static secret key and dynamic secret key.
You. Next, in a logic step 203, the computer system 10
The supplied identifier of the originating system is compared with the identifier of the table look-up system. one
If no match is found, the logic flow process branches to logic step 204, where "
System not recognized "error message. After that, the logic flow
The process proceeds to logic step 205 in FIG. 4b, where the hard disk drive
Record this error message on Eve 17b and then go to step 206.
To report error messages to application programs and users.
You.
However, if the ID is obtained in logic step 203, the logic flow
The process proceeds to logic step 207, where the system identifier of the responding system is issued.
Send to the receiving system. Next, the logic flow process proceeds to logic step 208.
The response from the originating system indicates that the responding system has accepted the identifier of the responding system.
Wait for the answer. If no response is received from the calling system within the specified time period,
When the time expires, the logic flow process branches to logic step 209, where the error
Generate the message "I / O time out". From logic step 209, the logic
The raw process moves to logic step 205 in FIG. 4b, where the process
continue.
In logic step 208, the responding system ID is acknowledged before the timeout expires.
If an acknowledgment response is received, the logic flow process proceeds from logic step 208 to the diagram
Proceeding to a logic step 210 in FIG.
Using the stem identifier as a tag, the static secret key stored in the RAM 13c and the
And find and acquire a dynamic secret key. After that, the static secret key and the dynamic secret key are
, Applied as an input to the bit shuffling algorithm. Bit Sha
The fling algorithm is stored on the hard disk drive 17b.
Software program. The bit shuffling algorithm is
, The smaller input to the larger input until all bits of the larger input have been processed.
Keep mixing bits by wrapping in the input. Bit Shuff
The ring algorithm uses bit shuffling and / or two inputs.
Is a mathematical or logical function that performs a many-to-few bit mapping.
It may be. Next, a secure one-way hash is added to the result of the bit shuffling process.
And performs a second many-to-few bit mapping to create a message
Generate a gesture. In logic step 211, the password of the originating system
25, the password 26 of the responding system, the secret session encryption key 27, and
The change value 28 is extracted from the message digest and stored in a certain area of the RAM 13c.
Write.
The originating system and the responding system thus determine the access request and
The same password can be obtained simply by exchanging
Generate a secret key, a secret session encryption key, and a modified value.
From logic step 211 in FIG. 4b, the logic flow process proceeds to logic step 21.
Proceed to step 2 to store the secret session encryption key 27 in the encryption engine supplied by the user.
To load. During this communication session, the computer system 10 and
Exchange with the computer system 11
All are encrypted.
The logic flow process moves from logic step 212 to logic step 213.
Encrypts the password 26 of the responding system by using the encryption key 27.
, To the originating system 10. After that, the logic flow process
In step 214, the encrypted originator system from computer system 10 is
Wait for the receipt of the stem password 25. Before the specified time period elapses, the encryption password
If no code is received, the logic flow process proceeds from logic step 214 to logic
Branch to step 215 to generate the error message "I / O timeout".
Thereafter, the logic flow process moves to logic step 205, as described above.
The logical process continues.
At logic step 214, the computer system 1
If an encrypted password is received from 0, the logic flow process is a logic step
Proceeding to 216, using the secret session encryption key 27,
Decrypt the password you sent. Then, at step 217, the originating system
Password received from the originating system generated in logic step 210.
Compare with password 25. If no match is obtained in logic step 217
, The logic flow branches from logic step 217 to logic step 218,
The message "Password error" occurs. Next, the logical flow process is logical
Moving to step 205, the logic process continues as described above.
However, if a match is obtained in logic step 217, the logic flow
• The process moves to logic step 219, where an access grant signal is sent to the originating system.
Send. Then, in a logic step 220, the
The current dynamic secret key is changed by the change value 28 and the prime constant. Logical step 2
From 20, the logical process proceeds to logical step 221, where the hard disk drive
The updated dynamic secret key is written to the nonvolatile memory of Eve 17b. Logical steps
From 221, the logic flow process proceeds to logic step 222 where the secret session
Encryption key
Is used to encrypt information exchanged with the computer system 10 during the current session.
Encoding. Then, in step 223, whether or not the current system connection is completed
Is determined. If not, the logical flow process will go to a logical step.
In step 224, it is determined whether a new secret session encryption key should be generated.
Perform settings. If not, the logic flow process proceeds to logic step 222
And continue as described above. However, the secret session dark
If the key is to be changed, the logical flow process proceeds from logical step 224 to the logical flow
Proceeding to step 225, the computer indicates that the new secret session encryption key has been designated.
To the computer system 10. After that, the logic flow process
Return to step 210 and continue as described above.
From logic step 206 or after the system connection is complete
From 223, the logic flow process exits the program at step 226.
You.
From the above discussion, it is clear that cleartext access is required for initial two-way authentication.
After the request and the exchange of the system identifier, the exchange between the two computer systems is
It will now be clear that everything that follows is done in ciphertext. That is
, The exchange takes place only in encrypted form. In addition, the static secret key and the initial dynamic secret
The keys are known to each system, but these are the originating and responding systems.
It is not exposed outside the system. In addition, passwords, dynamic secret keys, and secret
The encryption key is used only during the current system connection. The dynamic secret key is
After the system connection, it is changed by the pseudo-random change value and the prime number.
Therefore, the message digest output of the secure hash algorithm is
, Completely changing for each pseudorandom number. Furthermore, to secure hash algorithm
Bit shuffling is applied to the input of
Standing up, a first many-to-minor bit mapping is performed, and a secure hash
During processing, a second majority field mapping is performed. Therefore, the dark
Issue analysis or brute force attack
The possibility that a static secret key or a current dynamic secret key will be discovered by either of
Low enough to be impossible. Before exchanging encrypted information, replace the encrypted password.
By performing the second two-way authentication in, security is further enhanced.
Finally, change the system ID after each system connection, and
It is possible to increase protection against spoofing.
The present invention has been particularly shown and described in detail with reference to preferred embodiments.
However, these are merely illustrative of the principles of the present invention and should not be considered as limiting its scope.
No. In addition, many changes and modifications may be made without departing from the spirit of the invention.
This will be easily understood by those skilled in the art. For example, the message digest
Change the system ID as well as the dynamic secret key using the changed value resulting from the generation
May be. In addition, use the components of the message digest as change values
Alternatively, a pseudo-random input to a secure hash generator can be used
It is. As another example, more than four message digests need to be configured.
Pseudo-run into a secure hash generator
Use dumb input to identify components that are not supplied by the message digest
It is also possible to give. In addition, the originating and responding systems
System uses the different components of the message digest as encryption keys
It operates in heavy mode and requires twice as much effort to penetrate both sides for information exchange.
Both are possible. In yet another example, the logic flow shown in FIG. 2 is repeated many times (p
ass), a message die having a cryptographic key with a longer bit length as a component.
It is also possible to generate a gesture. Furthermore, to secure hash generator
Change the static and dynamic secret keys using separate components for
In addition, the composition of the message digest while making both private keys dynamic
It is also possible to change the system ID using the element. The logic flow of FIG.
Uses two bit shufflings to simulate the first bit shuffling.
Use similar random output components
To change the static secret key (here, the second dynamic secret key)
The dynamic secret key is changed using the pseudo random output component
It is also possible to change the system ID using a component with the digest
is there.
─────────────────────────────────────────────────────
【要約の続き】
トを更新する。更に、システムIDは、新たなシステム
接続の実施時に、メッセージ・ダイジェストの構成要素
によって変更し、再生なりすましに対する保護を強化す
ることも可能である。────────────────────────────────────────────────── ───
[Continuation of summary]
Update the list. In addition, the system ID is the new system
Components of the message digest when making the connection
And increase protection against playback spoofing
It is also possible.