JP2008515320A - 多項式に基づいた認証の方法 - Google Patents

多項式に基づいた認証の方法 Download PDF

Info

Publication number
JP2008515320A
JP2008515320A JP2007534153A JP2007534153A JP2008515320A JP 2008515320 A JP2008515320 A JP 2008515320A JP 2007534153 A JP2007534153 A JP 2007534153A JP 2007534153 A JP2007534153 A JP 2007534153A JP 2008515320 A JP2008515320 A JP 2008515320A
Authority
JP
Japan
Prior art keywords
prover
verifier
polynomial
devices
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007534153A
Other languages
English (en)
Other versions
JP5001157B2 (ja
Inventor
イェー スフレイエン,ヘールト
アー エム ケフェナール,トマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2008515320A publication Critical patent/JP2008515320A/ja
Application granted granted Critical
Publication of JP5001157B2 publication Critical patent/JP5001157B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Abstract

いくつかの装置(30)を備えているシステム(10)の認証方法を提供する。方法は、a) 識別値(pi:i=1,…,n)と、多項式鍵を生成するための多項式(P)とを各装置(30)に供給する工程と、b)上記装置(30)の中に検証者装置(p1)及び証明者装置(p2)を備える工程と、c)証明者装置(p2)がその存在を検証者装置(p1)に通知するよう構成する工程と、d)検証者装置(p1)が、証明者(p2)装置の多項式(P)鍵を用いてノンスを暗号化するよう証明者装置(p2)にチャレンジし、検証者装置(p1)への応答として、暗号化されたノンスを通信するよう構成する工程と、e)検証者装置(p1)が、証明者装置(p2)からの更なるチャレンジとして、暗号化されたノンスを受信し、(i)記憶された装置識別情報組から生成される多項式鍵を用いてチャレンジを暗号化すること、又は(ii)多項式鍵組を用いて、受信チャレンジを復号することを、検証者装置(p1)が認証の一致を識別するまで行うよう構成する工程とを備えている。

Description

本発明は、多項式に基づいた認証の方法に関する。更に、本発明は、前述の方法によって動作可能なシステム及び装置にも関する。
認証プロトコルは、第1の関係者がその識別情報を第2の関係者に対して証明することを可能にする現代の通信システムにおいて用いられる。便宜上、前述の第1の関係者及び第2の関係者は、証明者及び検証者それぞれによって好都合に表される。多くの既知のプロトコルでは、証明者はまず、識別情報を要求し、その後、証明者は、証明者の要求識別情報に関連した特定の秘密を知っていることを証明する。2つの関係者が互いの識別情報を保証されるプロトコルは、「相互認証」と呼ばれる。前述の認証は多くの場合、鍵設定手順を用いて(例えば、公開鍵・秘密鍵認証プロトコルを用いて)実現される。前述の認証プロトコルは識別情報を検証するのみならず、多くの場合、更に、それとの間で更なる通信を暗号化し、認証することが可能なその対称セッション鍵を設定する。
互いに通信している関係者の識別情報を、互いに通信している関係者を観察又は盗聴している第3者によって判定することが可能でないことが望ましいことを本願発明者は認識している。実際に、スマート・カード・リーダ(例えば、セキュリティが強化されたビルの入口にあるスマート・カード・リーダ)に提示される無線スマート・カードを用いてユーザが自らを認証する場合に、前述の状況が潜在的に生じ得る。標準認証プロトコルが入口で利用された場合、盗聴者は仮説的に、単に、この場所にいるユーザが存在していることを検出することが可能である。前述の検出は潜在的には、ユーザの位置追跡を実行するための重要な初期情報を提供することが可能である。更に、この位置追跡は、個人のプライバシの侵害を構成し得る。
この問題点は、Martin Abadiによって(Springer Lecture Notes in Computer Science vol. 2482/2003, pp.27-40に講演録が公表されている、「Private Authentication」(Conference on Privacy Enhancing Technolgies (PET2002), San Francisco, USA, April 2002において発表されている)と題する科学論文において)予見されている。M. Abadiは前述の論文において、西暦1996年にJohn Wiley & Sons Inc.によって発行されたB. Schneiderによる刊行物「Applied Cryptography」(Second Edition)において明らかにされた公知のデニング・サッコ(Denning-Sacco)プロトコル及びニーダム・シュレーダー(Needham-Schroeder)プロトコルの変形である2つのプロトコルを開示している。M. Abadiによって最近提案されている前述のプロトコルの問題点は、その実現に比較的大量の処理能力を要する公開鍵暗号法が利用されていることである(前述の処理能力は多くの場合、小型の消費者向装置上(例えば、バッテリによって電源供給されるポータブル装置上)では実用的でなく、かつ/又は利用可能でない。
より最近の多項式ベースのマルチユーザ鍵生成及び認証の方法は、国際公開(PCT特許出願公開)第03/077470号(代理人整理番号PHNL020192)パンフレットに開示されている。前述のPCT出願には、第1の関係者と第2の関係者との間で共通の秘密を生成する方法が開示されている。前述の関係者は例えば、現代のディジタル著作権管理(DRM)フレームワークによって動作可能なホーム・ネットワークにおける装置であり得る。前述の装置は、先行して第三者機関(TTP)によって配布されたパラメータ及び別の装置から得られたパラメータを用いて2つの多項式P(x,y)及びQ(x,y)の積を求めることによって共通の秘密を算出する。任意的には、各関係者は、別の関係者がゼロ知識プロトコル又はコミットメント・ベースのプロトコルを用いて同じ秘密を生成したことを後に検証する。上記PCT出願公開に開示されている前述の方法は、チップインディスク・タイプの装置などの低電力装置に関して用いるのに特に適している。本発明によって本願発明者が解決しようとしている欠点及び制約を前述の最近の認証方法も有していることを本願発明者は認識している。
本発明の目的は、代替的な認証プロトコル方法を提供することである。
本発明の第1の局面によれば、互いに通信するよう動作可能な複数の装置を備えるシステムの、多項式に基づいた認証の方法を提供する。前述の方法は、
(a) 多項式鍵を生成するための関連した多項式(P)とともに、対応する識別値(pi:i=1,n)を上記複数の装置それぞれに供給する工程と、
(b) 上記複数の装置が検証者装置(p1)及び証明者装置(p2)を有するよう構成する工程と、
(c) 証明者装置(p2)がその存在を検証者装置(p1)に通知するよう構成する工程と、
(d) 検証者装置(p1)が、証明者(p2)装置の多項式(P)鍵を用いてノンスを暗号化する旨の第1のチャレンジを証明者装置(p2)に出し、検証者装置(p1)への応答として、暗号化されたノンスを通信するよう構成する工程と、
(e) 検証者装置(p1)が、証明者装置(p2)からの応答として、暗号化されたノンスを受信し、
(i) 記憶された装置識別情報組から生成される多項式鍵を用いて第1のチャレンジを暗号化すること、又は
(ii) 証明者装置(p2)から受信した暗号化応答を、多項式鍵を用いて、復号することを、検証者装置(p1)が上記応答に対する一致を識別するまで行うよう構成する工程とを備えており、上記一致は認証を示す。
多項式に基づいた認証の、より柔軟な手順を提供することができることは、本発明の利点である。
「多項式鍵」は、多項式(例えば、k=Pp1(p2)、kは鍵、Pp1は多項式、pは、多項式に代入される値である)の数値を求めた結果である。
システム内の個々の装置は、検証者としても証明者としても動作することができる。任意的には、システムの装置の1つ又は複数は、検証者及び証明者として同時に機能することができる。
任意的には、方法の工程(a)において、識別値(pi)及び関連した多項式の送出は、第三者機関を介して行われる。前述の手法によって、システムの展開が、信頼されたものになる。
任意的には、方法は、複数の装置に相互認証を供給するために上記システムにおいて、前述の認証の方法を、一般的な相互認証鍵設定プロトコルに適用する更なる工程を有する。
任意的には、上記方法では、ランダム値が、証明者装置によって更に作成され、検証者装置に送り返すために、検証者装置からの応答とともに暗号化される。前述の乱数(ランダム値)は、セッション鍵として機能するよう動作可能である。このセッション鍵は、通信のシーケンスの記録を備えるのみならず、複数の装置に対する盗聴に対する保護も備えるように効果的に更新される。
任意的には、上記方法では、検証者装置(p1)から証明者装置(p2)への第1のチャレンジはランダム値である。ランダム値として実現されるノンスを用いることによって、システムの盗聴がより難しくなる。
任意的には、方法は、複数の証明者装置及び複数の検証者装置を複数の装置が有するようにシステムを構成する工程を更に有しており、複数の証明者装置は、複数の検証者装置のうちの特定の検証者装置に対して認証するよう動作可能な証明者装置部分集合を有する。
任意的には、方法では、上記証明者装置は、特定の検証者装置に関連しており、かつ/又は結合されているサービスへのアクセスを可能にするスマート・カード又はタグとして実現される。
任意的には、方法では、多項式は、ブロム(Blom)タイプの鍵として機能するよう処理可能である。内容を本明細書及び特許請求の範囲に援用するRolf Blom(Linkoping University)による刊行物に関して、前述において明らかにしている。
任意的には、方法では、証明者装置は、ハッシュ関数又は鍵つきハッシュ関数を施して、検証者装置からの第1のチャレンジに対する応答を作成するよう動作可能である。
本発明の第2の局面によれば、本発明の第1の局面の方法によって動作可能なシステムを提供する。任意的には、
(a)銀行システム内で実行される金融取引に関連した認証と、
(b)上記方法によって動作可能なシステム内で認証するタグ又は同様なポータブル識別子によるアクセス(例えば、個人アクセス)の制御と
の少なくとも一方を備えるようシステムを適合させる。
本発明の第3の局面によれば、本発明の第1の局面による方法を実現するためにコンピューティング・ハードウェア上で実行可能なデータ担体上にソフトウェアを提供する。
本発明の第4の局面によれば、認証システムにおいて認証を行うスマート・カード又はタグが提供される。上記システムは、本発明の第1の局面による方法によって動作可能であるよう構成される。
本発明の範囲から逸脱することなくどのような組み合わせでも本発明の特徴を組み合わせることができるということが認識されよう。
本発明の実施例を、単に例として以下の添付図面を参照して次に説明する。
本発明では、公開鍵暗号法の利用に関連した問題なしで盗聴に対するプライバシ及び保護を提供するよう動作可能な認証プロトコルを本願発明者は考え出した。更に、考え出されたプロトコルは使用中に、全く対称の鍵ベースの手法よりも大きな柔軟性を提供することができる。本願発明者の認証プロトコルは、Rolf Blomによって(Advances in Cryptography, Proceedings of Crypto ’82, pp. 231-236, 1983において公表された技術論文「Non-public key distribution」において)提案された手法に基づいている。R. Blomによる科学論文における開示は、本発明を明らかにする目的で、内容を本明細書及び特許請求の範囲に援用する。
本発明の実施例(システムとして実現される)は図1を参照して説明する。システムは、(n+1)行×(n+1)列のサイズを有する対称行列Tを選ぶ第三者機関(TTPによって表す)を備える。行列Tは、tijによって表すエレメント・エントリを有し、指数iは行列の列を表し、指数jは行列の行を表す。行列Tが対称性を表すために、エレメント・エントリは、tij=tjiであるように実現される。この行列Tのエントリtijはよって、等式1(式1)によって定義されるP(x,y)によって表すn次の多項式の係数を構成する。
Figure 2008515320
 式1
行列Tが対称であるため、値のフィールドGF(2k)におけるx及びy全てについて、多項式P(x,y)=P(y,x)であることが結果として生じる。第三者機関TTPは、システム内に備えられている各装置iに、識別値pと、Ppi(y)によって表される対応するプライベートの予測多項式とを送出する。このプライベートの予測多項式Ppi(y)は、等式2(式2)によって表す装置の識別値piに等しくなるよう多項式P(x,y)の第1の引数を割り当てることによって第三者機関TTPによって生成される。
Figure 2008515320
 式2
式1から、行列Tの対称性、及び多項式P(x,y)の結果として生じる対称性が結果として生じ、等式3(式3)は、pi,pj∈GF(2k)であるような識別値pi,pjの値全てについてあてはまる。
Figure 2008515320
 式3
よって、前述のシステムは、その識別値piに対応する予測多項式Pを第三者機関TTPから各装置が得ることによって動作する。この多項式Pは、(n+1)個の係数gj (pi)(装置にセキュアに記憶される)として伝達される。前述の係数は、等式4(式4)に従って第三者機関TTPによって生成される。
Figure 2008515320
 式4
識別値piを有する特定の装置の予測多項式Ppi(y)はよって、等式5(式5)によって表すことが可能である。
Figure 2008515320
 式5
第三者機関TTPから個々の装置への多項式係数の配布は、図1に示す。図1では、前述のシステムは、全体として10で示す。第三者機関TTPは20で示し、割り当てられた識別情報i=4を有する装置の1つは30で示す。図1では、5個の装置が存在しているが、システム10は、d個の装置を有するものとする。ここで、dは、値が単位元以上の整数である。整数dは、前述のパラメータnに数値的に等しくなくてよい。システム10において必要な記憶及び処理の能力を削減するために、n<dであるよう構成し、システム10内の装置の広範囲にわたる結託が動作上生起しないものとすることが望ましい。
以上で、多項式Pが第三者機関TTP20によって生成され、装置(例えば、装置30)に割り当てられるやり方を説明したが、真正性の検証を提供するシステム10の動作は次に明らかにする。
システム10内の装置は任意的には、証明者及び検証者として機能するよう動作可能である。例えば、識別情報p2を有する装置は、検証者として動作可能な識別情報p1を有する装置に対して証明者として自らを認証することができる。本発明の実用的な応用例では、検証者として動作可能な装置は、セキュリティが強化されたビルの入口のドアにあるタグ・リーダとして実現することが可能である。更に、実際には、その場合、複数の証明者(例えば、セキュリティが強化されたビルに入るための、ユーザ着用可能なミニチュアRFIDタグとして容易に実現される)が存在することになる。検証者(例えば、前述のタグ・リーダ)は、その中に記憶された、長さがmのコンフィギュレーション・テーブル(CT)を有する。このコンフィギュレーション・テーブルは、認証することが可能であり、よって、アクセスが許容され得る証明者の識別値piを備える。任意的には、コンフィギュレーション・テーブル(CT)は、公にアクセス可能である。すなわち、秘密又は機密を保持しなくてよい。
システム10では、コンフィギュレーション・テーブルは、システム管理者のみによる更新が可能である。任意的には、管理者は、検証者の所有者である。コンフィギュレーション・テーブルの改訂において、管理者は、アクセスを付与するために、証明者の識別値をこのテーブル(CT)に加えるよう動作可能である。既知の対称鍵構成と比較対照すれば、本発明は、証明者がテーブル(CT)に加えられる際に証明者と、対応する検証者との間で新たな共有鍵を何ら設定しなくてよいという点を特徴とする。前述の利点が生じるのは、システム10が、対応するプライベートの多項式Pp2(y)及びPpi(y)それぞれを事前に証明者及び検証者に供給することを伴うからである。
次に、検証者によって受信される「ハロー」メッセージ100(すなわち、図2に表すような第1の呼び出しメッセージ)を送出することによって証明者(PR)がその存在を検証者(VE)に通知するシナリオにおいてシステム10の動作を説明する。検証者VEは次いで、110で表すランダム・チャレンジeを生成する。その後、検証者VEはチャレンジeを証明者PRにその識別値p1とともに送出する。次に、証明者PRは、その中の対応する多項式Pp2(y)の値を、y=p1を等しくさせることによって求め、その結果、等式6(式6)によって、120で表す秘密鍵Kが生成される。
Figure 2008515320
 式6
次に、証明者PRは次いでこの鍵K120を用いて、そこで受信されるチャレンジe110を暗号化する。証明者PRはよって、130によって表す応答Aを生成し、応答130Aは等式7(式7)によって表される。
Figure 2008515320
 式7
ここで、記号Eは暗号化動作を表し、応答は次いで、検証者VEにもう一度送られる。最後に、140によって表すように、検証者VEは、そのコンフィギュレーション・テーブル(CT)における識別値全てを検査して、受信された応答Aが有効な応答であるか否かを判定する。検証者VEはそれによって、テーブル(CT)における識別情報p毎に、秘密鍵Ki=Pp1(pi)を構成し、鍵Kiを用いてチャレンジeを暗号化することができる。検証者VEがそのコンフィギュレーション・テーブル(CT)においてpiの値のうちの1つに対する一致(すなわち、E(Ki)(e)=Aである)を見つけた場合、値piに対応する識別情報が認証される。この例では、検証者VEは、値p2を有する識別情報に対する一致を見つける。前述の一致は、Pp2(p1)=Pp1(p2)のためにK=K2であることから結果として生じる。
よって、図2では、識別情報p2を有する装置(すなわち、証明者PR)が、識別情報p1を有する装置(すなわち、検証者VE)に対して認証されるプライベート認証プロトコルを示している。検証者VEは、認証することが可能な装置組の識別情報を有しているコンフィギュレーション・テーブル(CT)を有している。
図2に表すプロトコルは、識別値p1を有する検証者VEの識別情報を盗聴者が検出することが可能であるが、盗聴者へのリークが可能な、証明者PRに関する識別情報は何らないようなものである。システム10に対して敵対的な関係者(例えば、敵対者やハッカー)は潜在的には、セッション鍵K=Pp2(p)=Pp1(p)を取り出すことができる(例えば、式7の暗号化の暗号の強度が低い場合)が、識別情報p1をそこから識別することができなくなり、よって、システム10は、前述のチャレンジされた状況ではプライバシを維持する。更に、式7におけるようにランダム・チャレンジeを利用するために、応答Aは、識別子p2に関する認証目的のための試行の都度、異なる。よって、盗聴する関係者は、頻度解析によって識別情報を得ることができない。
図1及び図2に表すような前述のプロトコルにおける証明者PRは、その識別情報が検証者VEに見えることが分かる。実際に、証明者は、任意的には、考えられる検証者全てと前述のプロトコルを実現する訳でない。証明者の識別情報を検証者全てが分かることが可能であるためである。潜在的には、システム10において、一検証者は、例えば敵対的な場合、システム内の装置の1つを追跡することが可能である。前述の問題点を解決するために、特定の証明者PRが通信する準備がある、システム10内の検証者装置VEの識別情報をはじめとするそれ自体のコンフィギュレーション・テーブル(CT)が特定の証明者PRに供給される。証明者PRもコンフィギュレーション・テーブル(CT)を有するこの動作モードでは、証明者PRは、証明者(PR)のCTテーブル上にない検証者からのチャレンジに対応しない。
前述の本発明の実施例を、特許請求の範囲記載の本発明の範囲から逸脱することなく修正することが可能であるということが認識されよう。
システム10内の装置は、検証機能及び証明機能を同時に提供するよう動作可能であるように構成することができる。
本発明の第1の更なる実施例では、前述のプロトコルを用いて相互認証が実現される場合に対称暗号が利用される。あるいは、証明者PRは、h()によって表す一方向ハッシュ関数を用いることによってその応答Aを生成するよう動作可能である。証明者PRによって生成される応答Aはその場合、等式8(式8)による。
Figure 2008515320
 式8
同様に、検証者VEは、等式9(式9)によって応答Aを検査するよう動作可能である。
Figure 2008515320
 式9
本発明の第2の更なる実施例では、かわりに、コンフィギュレーション・テーブル(CT)内の装置からの考えられる鍵Ki=Pp1(pi)全てによってチャレンジeを暗号化する場合、検証者VEは任意的には、前述の鍵Kiを用いて受信応答Aを復号し、復号された鍵がeに対応するか否かを検査する。
本発明の第3の更なる実施例では、チャレンジeがランダムに選ばれるかわりに、検証者VEは代替的にノンスを用いる。ノンスは、一回限り使用するための一意の数として定義される。
本発明の第4の更なる実施例では、証明者PRは、等式10(式10)によって応答を作成することによってセッション鍵rを検証者VEに伝送することが可能である。
Figure 2008515320
 式10
ここで、Eは暗号化関数を表す。
等式10では、チャレンジeもセッション鍵rも鍵K=Pp2(p1)を用いて暗号化される。セッション鍵rは任意的には、証明者PRによって生成される乱数である。検証者VEは、図1及び図2を参照して前述したように証明者PRを識別するために応答Aの第1の部分との一致を見つけるよう動作可能である。特定の証明者PRとの一致が見つかった場合、検証者VEは、更なる後の通信のためのセッション鍵として次いで用いることが可能なセッション鍵rの値を取り出すために、鍵Pp1(p2)を用いることによって応答Aの第2の部分を復号することができる。
以上で明らかにした本発明によるプロトコルは、鍵設定に関して相互認証を達成するのに用いることができる。よって、本発明の多くの実際の利用では、相互認証を提供し、相互認証された鍵を生成するプロトコルを有することが好ましい。多くの現代の相互認証プロトコルは、鍵伝送又は鍵構成に基づいている。対称鍵手法に基づいた前述の現代的なプロトコルは全て、プロトコルが呼び出される前に、相互の長期鍵が利用可能であるものとする。既知のプロトコルと比較対照すれば、本発明による前述のプロトコルは、証明者PRの識別情報を秘密に保つ一方でK=Pp2(pi)(すなわち、等式6)を等しくすることによって長期鍵を供給する。本発明による前述のプロトコルはそれによって、相互に認証された鍵を供給するよう拡張可能である。
図3には、2つの乱数セッション鍵r1、r2を利用した、通信の交換(すなわち、プロトコル)を示す。前述のセッション鍵r1、r2を用いて相互鍵を(例えば、h(r1,r2)によって)導き出すことが可能である。前述の合成プロトコルでは、関係する装置の1つの識別情報は秘密の状態に留まる。一方、別の装置の識別情報は明らかにされる。本発明による前述のプロトコルはよって、半プライベート相互認証鍵設定プロトコルとして知られている。
図3に表すプロトコルは、「Handbook of Applied Cryptography」と題する、Menezesらによる著書の第12章に提示されている、関連したチャレンジ応答を有する「ポイントツーポイント」鍵伝送プロトコルと同様である。しかし、図3のプロトコルは、図1を参照して説明した前述の多項式手法を用いて鍵Kが導き出される点で異なる。証明者PRは、観察者又は盗聴者に対して匿名状態に留まる必要があるために、通信チャネルを介してその識別情報を送出しない。よって、検証者VEがそのリストCT内をサーチして、一致する識別情報を見つけることが必要になる。
図3に表すプロトコルの工程を表1に備える。
Figure 2008515320
 図3では、ALGOR1及びALGOR2は、表2及び表3それぞれにおいて更に詳細に示す第1のアルゴリズム手順及び第2のアルゴリズム手順に対応する。
Figure 2008515320
Figure 2008515320
 D{k}(c)は、暗号文cの、鍵kを用いた復号を表す。
E{k}(m)は、メッセージmの、鍵kを用いた暗号化を表す。
動作上、検証者VEは、受信応答Aに一致する識別情報をそのコンフィギュレーション・テーブル(CT)において見つけることができない場合、図3を参照して表1において明らかにしたプロトコルを停止させないことが重要である。すなわち、検証者VEが表1のプロトコルを止めた場合、観察者は潜在的には、認証しようとしている証明者PRがテーブル(CT)においてリストされたエンティティでないことを知ることができる。当然、テーブル(CT)が公にアクセス可能であることは以上から分かるであろう。表1のプロトコルはよって任意的には、一致を見つけることができない場合に検証者VEがおとりメッセージBを作成するように前述の状況において更に精緻化される。観察者はその場合、潜在的には、おとりメッセージBを真のメッセージBと区別することができない。おとりメッセージは、表1に表すプロトコルの実現に利用される特定の形式の暗号化によって構成される。
以上で説明し、識別情報の設定に関して図1に示し、識別情報が設定されたあとのプロトコルに関して図2及び図3に示す、多項式に基づいた認証の方法は、広範囲にわたる実用的な応用例において施すことが可能である。前述の実用的な応用例には、
(a) タグ読み取り器(例えば、セキュリティが強化された施設、刑務所における要員アクセス・タグ、無線周波数識別情報RFIDに本発明を用いることは特に適切である)、
(b) セキュアでかつ認証された通信チャネルが必要な通信システム(例えば、銀行システム、個人医療記録をセキュアに記憶し、通信することを要するヘルス・ケア・システム)や、
(c) 偽造防止措置(例えば、本発明に準拠して電子タグが製品に取り付けられている場合、電子タグは、例えば、偽造品を検査するために、輸入時に/税関において電子的に取り調べられる)がある。
特許請求の範囲では、括弧内にある数字や他の記号は特許請求の範囲の理解を支援するために備えられており、いかなるやり方においても特許請求の範囲を限定することを意図するものでない。
「comprise」、「include」、「incorporate」、「contain」、「is」や「have」などの表現は、本明細書及び特許請求の範囲を解釈する場合に非排他的に解される(すなわち、明記されていない他のアイテム又は構成部分も存在することを可能にするよう解される)ものとする。単一形への言及も、複数形への言及として解されるべきであり、逆も同様である。
本発明による認証の方法を実現するよう設定されたシステムを示す図である。 証明装置p2が検証装置p1に対して認証するプライベート認証プロトコルにおける、通信の交換を表す図である。 装置pと装置pとの間の相互認証における、通信の交換を表す図である。

Claims (12)

  1. 相互に通信するよう動作可能な複数の装置を備えるシステムの、多項式に基づいた認証の方法であって、
    (a) 多項式鍵を生成するための関連した多項式とともに、対応する識別値を前記複数の装置それぞれに供給する工程と、
    (b) 前記複数の装置が検証者装置及び証明者装置を有するよう構成する工程と、
    (c) 前記証明者装置がその存在を前記検証者装置に通知するよう構成する工程と、
    (d) 前記検証者装置が、前記証明者装置の多項式鍵を用いてノンスを暗号化する旨の第1のチャレンジを前記証明者装置に出し、前記検証者装置への応答として、前記暗号化されたノンスを通信するよう構成する工程と、
    (e) 前記検証者装置が、前記証明者装置からの前記応答として、前記暗号化されたノンスを受信し、
    (i) 記憶された装置識別情報組から生成される多項式鍵を用いて前記第1のチャレンジを暗号化することと、
    (ii) 前記証明者装置から受信した前記応答を、前記多項式鍵を用いて復号することとを、
    前記検証者装置が前記応答に対する一致を識別するまで行うよう構成する工程とを備えており、前記一致が認証を示す方法。
  2. 請求項1記載の方法であって、前記識別値及び前記関連した多項式の送出が、第三者機関を介して行われる方法。
  3. 請求項1記載の方法であって、前記複数の装置に相互認証を供給するために前記システムにおいて、前記認証の方法を、一般的な相互認証鍵設定プロトコルに適用する更なる工程を有している方法。
  4. 請求項1記載の方法であって、ランダム値が、前記証明者装置によって更に作成され、前記検証者装置に送り返すために、前記検証者装置からの前記応答とともに暗号化され、前記ランダム値は、セッション鍵として機能するよう動作可能である方法。
  5. 請求項1記載の方法であって、前記検証者装置から前記証明者装置への前記第1のチャレンジは、前記ノンスが乱数であるように実現される方法。
  6. 請求項1記載の方法であって、前記複数の装置が複数の証明者装置及び複数の検証者装置を有するように前記システムを構成する工程を更に有しており、前記複数の証明者装置は、前記複数の検証者装置のうちの特定の検証者装置に対して認証するよう動作可能な証明者装置部分集合を有する方法。
  7. 請求項1記載の方法であって、前記証明者装置は、特定の検証者装置に関連しており、かつ/又は結合されているサービスへのアクセスを可能にするスマート・カード又はタグとして実現される方法。
  8. 請求項1記載の方法であって、前記証明者装置は、ハッシュ関数又は鍵つきハッシュ関数を施して、前記検証者装置からの前記第1のチャレンジに対する応答を作成するよう動作可能である方法。
  9. 請求項1記載の方法によって動作可能なシステム。
  10. 請求項9記載のシステムであって、
    (a) 銀行システム内で実行される金融取引に関連した認証と、
    (b) 前記方法によって動作可能なシステム内で認証するタグ又は同様なポータブル識別子による、アクセス、例えば、個人アクセス、の制御と
    の少なくとも一方を備えるように適合させたシステム。
  11. 請求項1記載の方法を実現するためのコンピューティング・ハードウェア上で実行可能なデータ担体上のソフトウェア。
  12. 認証システムにおいて認証を行うスマート・カード又はタグであって、前記システムが、請求項1記載の方法によって動作可能であるよう構成されたスマート・カード又はタグ。
JP2007534153A 2004-09-30 2005-09-27 多項式に基づいた認証の方法 Expired - Fee Related JP5001157B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP04104780 2004-09-30
EP04104780.4 2004-09-30
PCT/IB2005/053188 WO2006035400A1 (en) 2004-09-30 2005-09-27 Method of authentication based on polynomials

Publications (2)

Publication Number Publication Date
JP2008515320A true JP2008515320A (ja) 2008-05-08
JP5001157B2 JP5001157B2 (ja) 2012-08-15

Family

ID=35589002

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007534153A Expired - Fee Related JP5001157B2 (ja) 2004-09-30 2005-09-27 多項式に基づいた認証の方法

Country Status (6)

Country Link
US (1) US8645694B2 (ja)
EP (1) EP1797668B1 (ja)
JP (1) JP5001157B2 (ja)
KR (1) KR20070057871A (ja)
CN (1) CN101032117B (ja)
WO (1) WO2006035400A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162035B1 (en) 2000-05-24 2007-01-09 Tracer Detection Technology Corp. Authentication method and system
US8171567B1 (en) 2002-09-04 2012-05-01 Tracer Detection Technology Corp. Authentication method and system
KR100601706B1 (ko) * 2004-10-15 2006-07-18 삼성전자주식회사 Drm 시스템에 있어서 시스템 키를 공유하고 생성하는방법 및 장치
JP5009932B2 (ja) 2005-12-14 2012-08-29 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 低リソース試験器の認証方法及びシステム
GB0622623D0 (en) * 2006-11-13 2006-12-20 Global Silicon Ltd Network set-up device
US8401192B2 (en) * 2008-02-29 2013-03-19 Red Hat, Inc. Mechanism for securely ordered message exchange
US8812858B2 (en) * 2008-02-29 2014-08-19 Red Hat, Inc. Broadcast stenography of data communications
US8195949B2 (en) * 2008-02-29 2012-06-05 Red Hat, Inc. Mechanism for generating message sequence order numbers
WO2009128011A1 (en) * 2008-04-14 2009-10-22 Philips Intellectual Property & Standards Gmbh Method for distributed identification, a station in a network
US8837736B2 (en) 2008-04-14 2014-09-16 Koninklijke Philips N.V. Method for distributing encryption means
US7995196B1 (en) 2008-04-23 2011-08-09 Tracer Detection Technology Corp. Authentication method and system
EP2345200B1 (en) * 2008-10-06 2018-02-21 Philips Intellectual Property & Standards GmbH A method for operating a network, a system management device, a network and a computer program therefor
DE102009051201B4 (de) * 2009-10-29 2012-12-20 Siemens Aktiengesellschaft Authentifikation und Datenintegritätschutz eines Tokens
CN102236770B (zh) * 2010-04-20 2015-05-20 公安部第一研究所 一种机读旅行证件访问控制方法
JP5594034B2 (ja) 2010-07-30 2014-09-24 ソニー株式会社 認証装置、認証方法、及びプログラム
JP5644453B2 (ja) * 2010-12-08 2014-12-24 富士通セミコンダクター株式会社 認証システム、及び認証方法
CN103079199B (zh) * 2011-10-26 2017-08-25 中兴通讯股份有限公司 一种无线传感网络双向身份认证方法及系统
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US9722803B1 (en) * 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
EP3806071B1 (en) * 2018-05-25 2023-03-22 Nippon Telegraph And Telephone Corporation Secret collective approximation system, secret calculation device, secret collective approximation method, and program
JP7238626B2 (ja) 2019-06-25 2023-03-14 Dic株式会社 繊維強化成形材料及びそれを用いた成形品
JP2022012403A (ja) * 2020-07-01 2022-01-17 キヤノン株式会社 プログラム、情報処理装置及び制御方法
CN113285946B (zh) * 2021-05-20 2023-08-15 中国联合网络通信集团有限公司 一种设备认证方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6310839A (ja) * 1986-05-22 1988-01-18 レイカル−ガ−デ−タ リミテツド デ−タ通信システム及び方法
JPH0575598A (ja) * 1991-09-18 1993-03-26 Matsushita Electric Ind Co Ltd 鍵データ共有装置
JPH09312643A (ja) * 1996-05-22 1997-12-02 Matsushita Electric Ind Co Ltd 鍵共有方法及び暗号通信方法
JPH11234263A (ja) * 1998-02-12 1999-08-27 Fuji Xerox Co Ltd 相互認証方法および装置
JP2003234734A (ja) * 2002-02-07 2003-08-22 Nippon Telegr & Teleph Corp <Ntt> 相互認証方法及びサーバ装置及びクライアント装置及び相互認証プログラム及び相互認証プログラムを格納した記憶媒体
WO2003077470A1 (en) * 2002-03-13 2003-09-18 Koninklijke Philips Electronics N.V. Polynomial-based multi-user key generation and authentication method and system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5202921A (en) * 1991-04-01 1993-04-13 International Business Machines Corporation Method and apparatus for authenticating users of a communication system to each other
US6148405A (en) * 1997-11-10 2000-11-14 Phone.Com, Inc. Method and system for secure lightweight transactions in wireless data networks
GB0020416D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Trusted system
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US20060143453A1 (en) * 2002-06-19 2006-06-29 Secured Communications, Inc Inter-authentication method and device
US6842106B2 (en) * 2002-10-04 2005-01-11 Battelle Memorial Institute Challenged-based tag authentication model
CN1219401C (zh) * 2003-02-14 2005-09-14 清华大学 一种有线数字电视广播中防止非法广播的方法
US7987367B2 (en) * 2006-08-30 2011-07-26 Samsung Electronics Co., Ltd. Method and apparatus for key agreement between devices using polynomial ring

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6310839A (ja) * 1986-05-22 1988-01-18 レイカル−ガ−デ−タ リミテツド デ−タ通信システム及び方法
JPH0575598A (ja) * 1991-09-18 1993-03-26 Matsushita Electric Ind Co Ltd 鍵データ共有装置
JPH09312643A (ja) * 1996-05-22 1997-12-02 Matsushita Electric Ind Co Ltd 鍵共有方法及び暗号通信方法
JPH11234263A (ja) * 1998-02-12 1999-08-27 Fuji Xerox Co Ltd 相互認証方法および装置
JP2003234734A (ja) * 2002-02-07 2003-08-22 Nippon Telegr & Teleph Corp <Ntt> 相互認証方法及びサーバ装置及びクライアント装置及び相互認証プログラム及び相互認証プログラムを格納した記憶媒体
WO2003077470A1 (en) * 2002-03-13 2003-09-18 Koninklijke Philips Electronics N.V. Polynomial-based multi-user key generation and authentication method and system

Also Published As

Publication number Publication date
US8645694B2 (en) 2014-02-04
KR20070057871A (ko) 2007-06-07
US20080209214A1 (en) 2008-08-28
EP1797668B1 (en) 2016-08-03
CN101032117B (zh) 2012-06-13
WO2006035400A1 (en) 2006-04-06
EP1797668A1 (en) 2007-06-20
CN101032117A (zh) 2007-09-05
JP5001157B2 (ja) 2012-08-15

Similar Documents

Publication Publication Date Title
JP5001157B2 (ja) 多項式に基づいた認証の方法
Yeh A secure IoT-based healthcare system with body sensor networks
Zhang et al. HealthDep: An efficient and secure deduplication scheme for cloud-assisted eHealth systems
Jiang et al. A privacy preserving three-factor authentication protocol for e-health clouds
Guo et al. A privacy-preserving attribute-based authentication system for mobile health networks
Zhou et al. PSMPA: Patient self-controllable and multi-level privacy-preserving cooperative authentication in distributedm-healthcare cloud computing system
Zhang et al. Privacy protection for telecare medicine information systems using a chaotic map-based three-factor authenticated key agreement scheme
Arshad et al. An efficient and secure authentication and key agreement scheme for session initiation protocol using ECC
Amin et al. An efficient and practical smart card based anonymity preserving user authentication scheme for TMIS using elliptic curve cryptography
Amin et al. A novel user authentication and key agreement protocol for accessing multi-medical server usable in tmis
Mishra et al. A secure and efficient ECC-based user anonymity-preserving session initiation authentication protocol using smart card
Jiang et al. Robust chaotic map-based authentication and key agreement scheme with strong anonymity for telecare medicine information systems
JP5562687B2 (ja) 第1のユーザによって第2のユーザに送信される通信の安全化
Guo et al. Paas: A privacy-preserving attribute-based authentication system for ehealth networks
CN103124269B (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
Tan et al. Comments on “dual authentication and key management techniques for secure data transmission in vehicular ad hoc networks”
Khan et al. An improved user authentication protocol for healthcare services via wireless medical sensor networks
Li et al. An extended chaotic maps based user authentication and privacy preserving scheme against DoS attacks in pervasive and ubiquitous computing environments
Maitra et al. An enhanced multi‐server authentication protocol using password and smart‐card: cryptanalysis and design
Maitra et al. An efficient biometric and password-based remote user authentication using smart card for telecare medical information systems in multi-server environment
Han et al. An efficient and secure three-factor based authenticated key exchange scheme using elliptic curve cryptosystems
Odelu et al. A secure anonymity preserving authentication scheme for roaming service in global mobility networks
Kurmi et al. A survey of zero-knowledge proof for authentication
Nayak An improved user authentication scheme for electronic medical record systems
TW201628370A (zh) 網路群組認證系統與方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080926

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110916

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120424

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120517

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150525

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees