JP2008526078A - 鍵生成、及び認証の承認に関する方法及び装置 - Google Patents

鍵生成、及び認証の承認に関する方法及び装置 Download PDF

Info

Publication number
JP2008526078A
JP2008526078A JP2007547761A JP2007547761A JP2008526078A JP 2008526078 A JP2008526078 A JP 2008526078A JP 2007547761 A JP2007547761 A JP 2007547761A JP 2007547761 A JP2007547761 A JP 2007547761A JP 2008526078 A JP2008526078 A JP 2008526078A
Authority
JP
Japan
Prior art keywords
node
random number
representative value
verification
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007547761A
Other languages
English (en)
Inventor
ピン ティー トゥイルス
ヤスペル ヒォセリンヒ
ボリス スコリック
ヒェールト ジェイ スヒレイエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2008526078A publication Critical patent/JP2008526078A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法であって、身体的識別子の測定結果から代表値を決定するステップと、ランダム数を生成するステップと、暗号鍵を提供するために代表値とランダム数を組み合わせるステップと、を有する方法が提供される。本発明は、更に、ノード、照合ノード、及び照合ノードによるノードの認証のためのシステムに関する。前記システムは、本発明による暗号鍵生成を適用する。本発明は、前記計算機プログラムを認証するのに用いるノードの代表値を含む計算機プログラムを提供する。

Description

本発明は、セキュリティシステムにおいて用いるための鍵の生成、及び特に、例えばバイオメトリクス識別子又は身体的クローン不可能な機能(PUF)などからの鍵の生成に関する。
より信頼度が高く利便性のあるセキュリティシステムに対する需要が増しており、また指紋、虹彩パターン、音声データ、及び歩き方のデータなどのバイオメトリクス識別子を使用することに関しての興味が存在している。バイオメトリクス識別子は、計算機パスワードが例えば忘れられ得るようには失われたり忘れられ得ないので、バイオメトリクス法は、ユーザに対してより高いセキュリティ及び利便性を提供する可能性を有する。
バイオメトリクス識別システムの同一の有利な点のいくつかは、身体的クローン不可能な機能(Physical Uncloneable Function:PUF)の使用によっても達成され得る。PUFは、身体的システムによって実現される機能であるので、これにより、当該機能は、容易に評価され得るが、この身体的システムは、特徴化するのが難しい。身体的システムは、複雑な方法でチャレンジ(challenge(負荷))と呼ばれる刺激と相互作用し、特有であるが予測不可能であるレスポンス(response)を生じさせるように設計されている。例えば、光学的PUFは、ある程度ランダムに分布された散乱材料を含む身体的構造からなる。したがって、例えば特定の特性を有する入力レーザー光の形式などの特定のチャレンジへ応答して、光学的PUFは、斑点状の特有のレスポンスを生成する。1つ又は複数のチャレンジ−レスポンスの対は、この場合、PUFを識別するのに用いられ得る。
バイオメトリクス法又は光学的PUFなどの身体的識別子は、暗号鍵の導出のために用いられ得る。特に、ユーザが照合器とプライベートなチャネルを介して通信する事を望む状況を想定するか、又は照合器が製品の認証(authenticity)を、前記製品の使用に関する承認を許諾する前に確立したいと望む状況を想定されたい。ユーザ及び照合器によって用いられるプロトコルは、通常、エンロールメント段階及びアプリケーション段階の2つの段階からなる。
エンロールメント段階において、照合器は、ユーザのバイオメトリクスを測定し(又は代替的にユーザのPUFから特定のチャレンジ−レスポンスの対を獲得し)、測定結果から鍵として(又は認証を証明するチャレンジ−レスポンスの対として)用いられるべき代表値を導出し、アプリケーション段階において用いるために前記代表値を記憶する。照合器は、ユーザがアプリケーション段階において同一の代表値(及び同一の鍵)を導出するのを助ける参照情報も記憶する。
アプリケーション段階において、バイオメトリクスの新しい(雑音のある)測定が行われ(すなわち、特定のチャレンジに対するPUFのレスポンスが検出され)、照合器の参照情報がユーザによって用いられ、これにより、バイオメトリクス(すなわちレスポンス)の雑音のある測定結果から同一の代表値を導出する。雑音のある測定結果から正確に鍵を導出するために、ユーザ及び照合器は、公開された(認証された)チャネルを介して通信する。
ユーザに対する利便性は、ユーザがパスワードを覚える又は追加的な秘密鍵を記憶することを必要とされていないという事実から生じる。加えて、バイオメトリクス及びPUFがクローン不可能であるので、ユーザによる同一の鍵の導出及び使用(そして、照合器が、ユーザの鍵を使用して暗号化されたデータを暗号化解除するのを可能にすること)が意味することは、照合器が、意図されたユーザ(又は元のPUF)がアプリケーション段階において存在することを確認し得るということである。
(「ファジー鍵生成」として既知である)この種類の鍵生成は上述の有利な点を提供するものの、いくつかの問題が存在する。
始めに、バイオメトリクス識別子は、多くの場所において意図せずに残され得る。例えば、指紋は、触られるいかなる表面にも残され得、又は虹彩の走査はカメラで撮影され得る。このことは、攻撃者が、端末のセンサで測定されるテンプレートに密接に関連するバイオメトリクスのノイズのあるものを容易に捕捉し得ることを意味する。この情報は、攻撃者によって使用され得、攻撃者は、特定のユーザのバイオメトリクスから導出される鍵の推定値を測定し、よって端末及び照合器間で送信されるトラフィックを暗号解除し得る。
光学的PUFの場合、斑点状パターンを記録するカメラは、カードから分離されている。加えて、カメラは、斑点状パターンの暗号化されていないデジタル像を含み得る。このことは、攻撃者が、記録される斑点状パターン、すなわち斑点状パターンから導出される鍵に関する情報を得るためにカメラを攻撃し得ることを意味する。つまり、攻撃者は、PUFを含むカードへの完全なアクセスを、例えば攻撃者がユーザからカードを盗み後にカードを戻し得るような限られた時間において有し得る。この状況において、攻撃者は、PUFの特定のチャレンジ−レスポンスの対を測定することが可能であり得る。
したがって、身体的識別子から鍵の生成を可能にし、前記身体的識別子の測定結果に関して明かされた情報の量を低減する、鍵生成プロトコルを提供する必要がある。
本発明の第1の態様によると、第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法であって、ユーザの身体的識別子の測定結果から代表値を決定するステップと、ランダム数を生成するステップと、暗号鍵を提供するために代表値とランダム数を組み合わせるステップと、を有する方法が提供される。
本発明は、鍵生成のために身体的識別子から導出された測定情報を用いる方法であって、一方で前記暗号鍵を用いて暗号化された通信を覗いている攻撃者に晒された前記身体的識別子に関する情報の量を制限するような方法を提供する。暗号鍵を用いる場合、意図しなくても、実際の暗号鍵に関する少量の情報が攻撃者へ漏れる。暗号鍵から導出されない独立した、容易に更新可能な値を用いることによって、身体的識別子に関する情報は、更に攻撃者から分からないようにされる。攻撃者が前記暗号鍵を用いて暗号化されたデータを分析することによって暗号鍵に関する情報を獲得するかもしれないものの、この暗号鍵は、身体的識別子及びランダム数からの両方の情報の組合せに基づく。したがって、攻撃者は、もはや、身体的識別子から導出される情報を単純に分離することが出来ない。ランダム数を頻繁に更新することによって、セキュリティは更に向上され得る。
好ましくは、ユーザの身体的識別子の測定結果から代表値を決定するステップは、前記ユーザのバイオメトリクス識別子の測定結果を得るステップを含む。
好ましくは、身体的識別子の測定結果から代表値を決定するステップは、前記測定結果から前記代表値を抽出するために、秘密抽出コードを用いるステップを含む。
好ましくは、前記鍵が前記第1ノードにおいて導出され、身体的識別子の前記測定結果から前記代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給される秘密抽出コードアイデンティティデータに応答して、秘密抽出コードの一群から前記秘密抽出コードを選択するステップを、更に含む。
好ましくは、前記秘密抽出コードアイデンティティデータが、照合段階において、前記第2ノードにおいて導出及び記憶される。
代替的には、ユーザの身体的識別子の測定結果から代表値を決定するステップが、ユーザの身体的クローン不可能な機能にチャレンジを与えるステップと、レスポンスを測定するステップと、を更に含む。
好ましくは、身体的識別子の測定結果から代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給されるヘルパーデータ及び前記測定されたレスポンスから前記代表値を導出するステップを更に含む。
好ましくは、前記身体的クローン不可能な機能にチャレンジを与えるステップが、一群のチャレンジから選択される少なくとも1つのチャレンジを適用するステップを含む。
本発明の第2の態様によると、第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法であって、前記第2ノードが、メモリに記憶されたユーザの身体的識別子測定結果から決定された第2代表値を有し、当該方法が、前記第1及び第2ノードに関して共通のランダム数を生成するステップと、前記第1ノードにおいて:ユーザの身体的識別子の測定結果から第1代表値を決定するステップと、暗号鍵を提供するために前記第1代表値と前記共通のランダム数とを組み合わせるステップと、前記第2ノードにおいて:暗号鍵を提供するために、前記第2ノードの前記メモリに記憶された前記第2代表値と前記共通のランダム数とを組み合わせるステップと、を有する方法が提供される。
好ましくは、前記第1及び第2ノードに関して前記共通のランダム数を生成するステップが、前記第1ノードにおいて前記ランダム数を生成するステップと、前記生成されたランダム数を、前記第1ノードから前記第2ノードへセキュアに伝送するステップと、を含む。
好ましくは、前記生成されたランダム数を前記第1ノードから前記第2ノードへセキュアに伝送するステップが、前記第1ノードにおいて前記ランダム数を暗号化するステップと、前記第2ノードにおいて前記暗号化されたランダム数を復号するステップと、を含む。
好ましくは、前記第1ノードが、メモリに記憶される前記第2ノードに関する公開鍵を有し、前記第2ノードが、前記第2ノードのメモリに記憶される対応する秘密鍵を有し、前記生成されたランダム数を前記第1ノードから前記第2ノードへセキュアに伝送するステップが、前記ランダム数を前記第2ノードの前記記憶された公開鍵を用いて暗号化するステップと、前記第2ノードにおいて、前記暗号化されたランダム数を前記第2ノードの前記記憶された秘密鍵を用いて復号するステップと、を含む。
代替的には、前記第1及び第2ノードに関する共通のランダム数を生成するステップが、セッション鍵生成プロトコルを用いるステップを含む。
好ましくは、ユーザの身体的識別子の測定結果から第1代表値を決定するステップが、前記ユーザのバイオメトリクスの結果を得るステップを含む。
好ましくは、身体的識別子の測定結果から第1代表値を決定するステップが、前記測定結果から前記第1代表値を抽出するための秘密抽出コードを用いるステップを更に含む。
好ましくは、身体的識別子の前記測定結果から前記第1代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給される秘密抽出コードアイデンティティデータに応答して、秘密抽出コードの一群から前記秘密抽出コードを選択するステップを、更に含む。
好ましくは、前記秘密抽出コードアイデンティティデータが、照合段階において、前記第2ノードにおいて導出及び記憶される。
代替的には、ユーザの身体的識別子の測定結果から第1代表値を決定するステップが、ユーザの身体的クローン不可能な機能にチャレンジを与えるステップと、レスポンスを測定するステップと、を含む。
好ましくは、身体的識別子の測定結果から第1代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給されるヘルパーデータ及び前記測定されたレスポンスから前記第1代表値を導出するステップを更に含む。
好ましくは、前記身体的クローン不可能な機能にチャレンジを与えるステップが、一群のチャレンジから選択される少なくとも1つのチャレンジを適用するステップを含む。
好ましくは、当該方法が、前記第1ノードにおいて前記第2ノードへユーザアイデンティティを伝送するステップを更に有する。
本発明の第3の態様によると、ノードであって、前記ノードのユーザの身体的識別子の測定結果を得る手段と、前記測定結果から代表値を決定する手段と、ランダム数を生成する手段と、暗号鍵を提供するために、前記代表値及び前記ランダム数を組み合わせる手段と、を有するノードが提供される。
好ましくは、ユーザの身体的識別子の測定結果を得る手段が、バイオメトリクス識別子の測定結果を得る手段を含む。
好ましくは、ノードが、秘密抽出コードの一群を有するメモリと、照合ノードから秘密抽出コードアイデンティティデータを受信する手段と、を更に有し、測定結果から代表値を決定する手段は、代表値を、メモリに記憶された秘密抽出コード及びバイオメトリクス識別子の測定結果のうちの1つを用いて決定するように構成され、秘密抽出コードの選択は、照合コードから受信される秘密抽出コードアイデンティティデータに基づき行われる。
代替的には、ユーザの身体的識別子の測定結果を得る手段が、ユーザの身体的クローン不可能な機能にチャレンジを与えるとともに、レスポンスを測定する手段を含む。
好ましくは、ノードが、記憶されるチャレンジの一群を有するメモリと、照合ノードからチャレンジアイデンティティデータを受信する手段と、を更に有し、身体的識別子の測定結果を得る手段が、前記メモリに記憶されるチャレンジのうちの少なくとも1つを用いて前記ユーザの前記身体的クローン不可能な機能にチャレンジを与えるように構成され、前記又は各チャレンジの選択が、前記照合ノードから受信される前記チャレンジアイデンティティデータに基づき行われる。
好ましくは、ノードは、前記照合ノードからヘルパーデータを受信する手段を更に含み、前記測定結果から代表値を決定する手段が、前記照合ノードから受信されるヘルパーデータ及び前記測定されたレスポンスを用いて前記代表値を決定するように構成される。
好ましくは、前記ノードが、前記生成されたランダム数を前記ノードから照合ノードへ伝送する手段を更に備える。
好ましくは、前記生成されたランダム数を前記ノードから照合ノードへ伝送する手段が、前記ランダム数を、前記ノードから前記照合ノードへ伝送する前に暗号化するように更に構成される。
好ましくは、前記ノードが、記憶される前記照合ノードに関する公開鍵を有するメモリを有し、前記生成されたランダム数を前記ノードから前記照合ノードへ伝送する手段が、更に、前記ランダム数を前記照合ノードの前記記憶された公開鍵を用いて暗号化するように構成される。
代替的には、ランダム数を生成する手段が、セッション鍵生成プロトコルを用いて前記ランダム数を生成するように構成される。
本発明の第4の態様によると、読み取り器と用いるスマートカードであって、当該スマートカードが、身体的クローン不可能な関数と、処理器チップと、を備え、前記処理器チップが、前記読み取り器から前記身体的クローン不可能な機能の測定結果を受信し、前記測定結果から代表値を決定し、ランダム数を生成し、暗号鍵を生成するために、前記代表値及び前記ランダム数を組み合わせる、ように構成される、スマートカードが提供される。
好ましくは、前記処理器チップが、前記照合ノードから受信されるヘルパーデータを用いて前記測定結果から代表値を決定するように構成される。
本発明の第5の態様によると、各代表値が特定のユーザと関連付けられる複数の代表値を含むメモリと、ユーザノードからユーザアイデンティティを受信する手段と、前記受信されたアイデンティティに応答して前記メモリから代表値を取得する手段と、暗号鍵を提供するために前記取得された代表値をランダム数と組み合わせる処理手段と、含む照合ノードが提供される。
好ましくは、前記メモリは、前記代表値のそれぞれに関連付けられる秘密抽出コードアイデンティティデータを更に含み、前記取得する手段が、前記メモリから前記関連付けられる秘密抽出コードアイデンティティデータを取得するように更に構成され、前記照合ノードが、前記取得された秘密抽出コードアイデンティティデータを、前記ユーザノードへ伝送する手段を更に含む。
代替的には、前記メモリは、前記代表値のそれぞれに関連付けられるチャレンジアイデンティティデータを含み、各ユーザが、複数のチャレンジ及びそれに関連付けられる代表値を有し、前記取得する手段が、前記メモリから前記関連付けられるチャレンジアイデンティティデータを取得するように更に構成され、前記照合ノードが、前記取得されたチャレンジアイデンティティデータを前記ユーザノードへ伝送する手段を更に含む。
好ましくは、前記メモリは、前記代表値のそれぞれに関連付けられるヘルパーデータを含み、前記取得する手段が、前記メモリから前記関連付けられるヘルパーデータを取得するように更に構成され、前記伝送する手段が、前記取得されたヘルパーデータを前記ユーザノードへ伝送するように更に構成される。
好ましくは、前記ランダム数が、前記受信する手段によって前記ユーザノードから受信される。
好ましくは、前記ユーザノードから受信される前記ランダム数が暗号化され、前記受信する手段が、前記暗号化されたランダム数を復号するように更に構成される。
好ましくは、前記メモリは、前記照合ノードに関する秘密鍵を更に有し、前記ユーザノードから受信される前記生成されたランダム数が、前記照合ノードの公開鍵を用いて暗号化され、前記受信する手段が、前記秘密鍵を用いて前記暗号化されたランダム数を復号するように構成される。
代替的には、前記処理手段が、セッション鍵生成プロトコルを用いて前記ランダム数を生成するように構成される。
本発明の第6の態様によると、認証システムにおいて用いるための、認証を照明するノードが提供される。当該ノードは、測定された代表値に基づき特定の暗号鍵を生成し、これを照合ノードへ伝送することによって本物(authentic)であることを証明する。照合ノードは、その後、生成された暗号鍵が、ノード及びランダム数のエンロールメント処理において記録された特定の代表値を用いて生成される暗号鍵に対応するかを照合し得る。
ノードは、ノードの身体的識別子の測定結果を得る手段と、測定結果から代表値を決定する手段と、ランダム数を得る手段と、暗号鍵を提供するために代表値及びランダム数を組み合わせる手段と、を備える。
前記ノードの身体的識別子の測定結果を得る手段と、前記測定結果から代表値を決定する手段が、本発明の第3の態様において述べられるのと等価な態様に従う。
好ましくは、本発明の第6の態様によるノードにおいて、ランダム数を得る手段は、前記伴う照合ノードから前記ランダム数を受信するように構成される。
好ましくは、このランダム数は、照合ノードから受信される。ランダム数は、認証において用いる暗号鍵の生成において用いられ得る。ランダム数をノードに送信することは可能であり、明らかなように、このことは、システムを攻撃するために用いられ得るプレーンテキストを攻撃者に提供し得る。セキュリティの理由のために、ランダム数は、例えば、ノードの公開鍵を用いて暗号化され得る。これにより、暗号化された形式でノードが、ノードによる更なる利用のために前記ランダム数を復号することを可能にされる。
代替的に、ランダム数は、照合ノードによって暗号化されない形式で送信され得、これによると、認証処理のセキュリティを低減し得る。
本発明の第6の態様によるノードが、身体的識別子を測定するために身体的クローン不可能な機能と一致される場合、照合ノードは、前記身体的クローン不可能な機能に対するチャレンジも提供するべきである。
好ましくは、ノードは、アイデンティティを送信する手段を備え、バイオメトリクスが用いられる場合、これは、ユーザのアイデンティティであり得、代替的に、身体的クローン不可能な機能の場合、これは、前記機能と関連付けられる固有の識別子であり得る。
特定の実施例において、本発明の第6の態様によるノードを含む認証の証明は、以下のように処理され得る。身体的クローン不可能な機能と一致されるノードは、照合ノードの近くに配置され、無線通信チャネルを用いて、照合ノードは、固有のノード識別子をノードに要求する。ノードによって提出されるノード識別子に基づき、照合ノードは、前記ノード識別子に関連付けられるデータベースからチャレンジを取得する。加えて、照合ノードは、ランダム数を生成し、ランダム数および前記チャレンジをノードへ送信し、任意選択的にこのデータは、始めに暗号化される。
認証を証明するノードにおいて、チャレンジ及びランダム数が受信され、その後復号される。秘密鍵及び公開鍵の使用から、両方のノード間において初期に確立されるセッション鍵までの範囲にあるような、暗号化の様々な従来の方法が着想され得る。復号の後に、ノードは、身体的クローン不可能な機能にチャレンジを与え、そのレスポンスを測定し、測定結果から代表値を決定する。次に、暗号鍵は、例えば、代表値を用いてランダム数を暗号化することによって、又はランダム数及び代表値の両方を暗号法的にハッシュ値を持つことによって、ノードにおいて生成される。斯様にして、ノードは、照合ノードに、前記暗号鍵の有効性を確証させることが可能であり、これよって、攻撃者は、代表値に関する情報を獲得しない。
本発明の第6の態様によるノードは、計算機プログラムの認証を証明するのに有利に用いられ得る。この認証の証明は、計算プラットフォームに前記プログラムをインストールする又は使用するための承認を当事者(a party)に許諾する前提条件として用いられ得る。上述の例は、身体的クローン不可能な機能に適合されたノードの使用を強調しているが、バイオメトリクスも代わりに用いられ得る。斯様な実施例は、ユーザの認証を証明するバイオメトリクスデータを使用することを可能にし得、これにより、承認されたユーザのみに、計算機プログラムを使用する又はインストールする鍵を生成させることを可能にする。
本発明は、CD、DVD、文書(例えば、パスポート)、バッジ、タグ、及びトークンなどの物理的オブジェクトの認証を証明することに関して、同等に有利な態様で用いられ得る。前記証明に応じて、正しいバイオメトリクスがユーザによって照合ノードへ提示される場合、アクセスが許諾される。
本発明の第7の態様によると、ノードが本物であることを照合するためにノードによって生成される暗号鍵を受信する照合ノードが提供される。斯様な照合ノードは、認証を証明するシステムを形成するために、本発明の第6の態様によるノードと組み合わせて用いられ得る。本発明の第7の態様による照合ノードは、ノードからアイデンティティを受信する手段と、ランダム数を得る手段と、前記アイデンティティに関連付けられる代表値を取得する手段、ノードから暗号鍵を受信する手段と、ノードから受信された暗号鍵が、取得された代表値及びランダム数を用いても生成され得るかを照合する処理手段と、前記照合の結果に基づき前記ノードを認証する手段と、を有する。
最適なセキュリティのために、ランダム数は、新しいチャレンジを更に選択することによって、装置が認証される度に新たに選択されるべきであり、したがって、各認証セキュリティに関する新しいレスポンスが更に増加される。
好ましくは、照合ノードは、認証されているノードのアイデンティティを受信する。このアイデンティティに基づき、照合ノードは、データベースからチャレンジレスポンスの対を取得しようと試みる。このデータベースは、照合ノードのメモリに記憶され得る、又は複数のノード用にチャレンジレスポンスデータを有する中央ファイルサーバに記憶され得る。実際には、照合ノードが、例えば信頼できるサードパーティからの署名を照合することなどによって、チャレンジレスポンスの対の認証を確立し得る場合、これらのチャレンジレスポンスの対は、前記ノードによっても提供され得る。
好ましくは、照合ノードは、前記ノードに対してチャレンジレスポンスの対を選択する。
好ましくは、照合ノードは、ランダム数を生成し得、これにより、照合器が、ランダム数生成器を制御させることを可能にし、高価な安全なランダム数生成器を必要としない低コストのノードを促進する。
好ましくは、照合ノードは、前記チャレンジ及びランダム数をノードへ伝送し、特定の実施例において、ランダム数は暗号化され、他の実施例においてランダム数は暗号化されてなく状態にあり得る。ノードは、その後、照合コードへ送信される暗号鍵を生成する。
好ましくは、照合ノードは、ノードにおいて生成された前記暗号鍵を受信する。
好ましくは、処理手段は、前記受信された暗号鍵を生成したノードが本物であるかを照合するために、取得された代表値及びランダム数を用いる。
好ましくは、照合ノードにおける照合処理は、前記受信された暗号鍵を生成した、ノードにおいて後に続く同一の工程を適用し、斯様にして、照合ノードは、例えば、照合ノードにおいて利用可能な代表値を用いてランダム数を暗号化することによって、更なる暗号鍵を生成する。その後、両方の生成された暗号鍵は、比較され得る。
代替的に、照合ノードは、暗号化するよりも復号することによって認証を照合し得る。斯様にして、照合ノードは、ノードにおいて生成された受信された暗号鍵を復号するために、照合ノードにおいて利用可能な代表値を用い得、その後、生じる結果を、照合ノードにおいて入手可能なランダム数を用いて一致させる。
例えば、暗号法的ハッシュ関数を用いることによる暗号鍵の生成などの、更に代替的な解決法も着想され得る。例えば、ノード及び照合ノードの両方において入手可能な代表値及びランダム数の両方のハッシュ値を取り、その後これらを比較することによってなどである。
照合処理は、照合ノードが、取得される代表値及びランダム数に基づき同一の暗号鍵を生成し得るかを立証し、これにより、ノードが認証されているかを立証するこの照合の結果は、当事者へ承認を許諾するのに用いられ得る。
特に有利な照合ノードは、計算プラットフォームにおける計算機プログラムの認証を照合する信頼できるプラットホームモジュールすなわちTPMとして機能する照合ノードである。("Trusted Platform Module (TPM) based Security on Notebook PCs" White Paper by Sundeep Bajikar, Mobile Platforms Group, Intel Corporation, June 20, 2002.(http://developer.intel.com/design/mobile/platform/downloads/Trusted_Platform_Module_White_Paper.pdf)
好ましくは、照合ノードは、信頼できるプラットフォームモジュール(TPM)である。照合ノードは、代表値を計算機プログラムから暗号化された形式で得る。例えば、照合ノード(TPM)の装置鍵を用いて、照合ノードは、この代表値を復号し得る。生じる代表値は、その場合、例えば前記計算機プログラムと組み合わせて配布されるトークンなどにチャレンジを与えるために、上述のように用いられる。斯様にして、この第7の態様は、計算機プログラムの内容を、人物のバイオメトリクス結果又は身体的クローン不可能な機能の測定結果から導出される代表値に有効に結び付ける。後者は、たとえ可能であるとしても、複製、模写、又は偽造をするのは相当困難であるので、このことは、役に立つコンテンツ保護の仕組みを効果的に提供する。
本発明の第8の態様によると、上述のノード及び上述の照合ノードを備える認証システムが提供される。
本発明の第9の態様によると、上述のスマートカード及び上述の照合ノードを備える認証システムが提供される。
本発明は、以下の図面を参照にして、例として以下に説明される。
図面を通して、同一の参照符号は、類似の要素、又は類似の機能を実行する要素を参照する。
本発明は、"New Shielding Functions to Enhance Privacy and Prevent Misuse of Biometric Templates"by J.P. Linnartz and P. Tuyls, AVBPA 2003に記載される方法を用いて、代表値がユーザの身体的識別子から導出されるシステムを参照にして以下に説明される。この方法によると、照合器は、エンロールメント段階において身体的識別子の測定結果から「ヘルパーデータ」を導出し、このヘルパーデータをアプリケーション段階においてユーザの端末へ送信する。このヘルパーデータは、端末が、身体的識別子の雑音がある測定結果から照合器のものと同一の鍵を決定するようにさせる。
しかし、当業者によって、本発明が鍵生成の他の方法を用いるシステムに適用され得ることを理解され得る。
本発明が対称的又は非対照的な鍵を生成するシステムに適用され得ることも理解される。
本発明がデータを暗号化する鍵を導出する方法に関して主に説明されているものの、本発明がデータを認証する鍵を導出する方法にも関することを理解され得る。
結果として、導出される鍵がここでは「暗号鍵」と呼ばれるものの、暗号鍵は認証鍵として用いるのにも適していることを理解される。
図1は、本発明による第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法を示す。
ステップ101において、代表値は、ユーザの身体的識別子の測定結果から決定される。
身体的識別子が、例えば指紋又は虹彩などのバイオメトリクス識別子である場合、ステップは、例えば指紋又は虹彩を走査することによってバイオメトリクス識別子の測定結果を得るステップと、測定結果から代表値を抽出するために、一群のコードから選択される秘密抽出コードを用いるステップを有する。
秘密抽出コード("Capacity and Examples of Template Protecting Biometric Authentication Systems" by P. Tuyls and J. Goseling, BiOAW 2004に記載されるもの)は、代表値がバイオメトリクス識別子から導出されることを可能にし、また特に、同一の代表値が、同一のバイオメトリクス識別子のわずかに異なる測定結果から導出されるのを可能にする。様々に異なる秘密抽出コードが利用可能であり、各抽出ステップは、特定のバイオメトリクス識別子から異なる代表値を抽出する。
代替的に、身体的識別子が、身体的クローン不可能な機能である場合、ステップは、身体的クローン不可能な機能にチャレンジを与えるステップと、そのレスポンスを測定するステップとを有する。代表値は、測定されるレスポンスから(チャレンジに関する秘密抽出コード又は用いられたチャレンジを用いて)導出され、当該測定されたレスポンスは、当該身体的クローン不可能な機能及び特定のチャレンジ又は用いられたチャレンジに関して固有であり得る。
第1のノードが、身体的クローン不可能な機能からのレスポンス又はバイオメトリクス識別子の測定結果からの代表値であって、エンロールメント段階において第2ノードにおいて導出及び記憶されたものと同じ代表値を導出するために、第2ノードは、第1ノードにヘルパーデータを提供する。秘密抽出コードが用いられる場合、ヘルパーデータは、第1ノードに適切な秘密抽出コードを選択させる。
身体的識別子の測定結果から代表値を決定するステップは、エンロールメント段階において(第1ノードが通信する第2ノードであるか、導出された代表値及びヘルパーデータを第2ノードへ供給するように設計された別個のエンティティであり得る)照合器によって、又はアプリケーション段階において第1ノードによって、の両方により実行されることが理解される。
入手される(ガラスにおける指紋など)雑音のあるバイオメトリクス識別子、又は攻撃者による身体的クローン不可能な機能の一時的な獲得に関連付けられる問題を解決するために、本発明は、アプリケーション段階においてランダム数を生成し、また生成されたランダム数を代表値と組み合わせることによって、鍵導出プロトコルを強化する。
ステップ103において、ランダム数が生成される。好ましくは、第1ノードは、段ラム数を生成し、これを第2ノードへ供給する。代替的に、第2ノードは、ランダム数を生成し、これを第1ノードへ供給し得る。
身体的識別子が、スマートカードに含まれる身体的クローン不可能な機能である場合、当該スマートカードは、ランダム数を生成することが可能なチップを有し得る。代替的に、スマートカードに関する第1ノードにおける読み取り器が、ランダム数を生成し得る。
新しいランダム数は、第1ノードが、第2ノードとの新しい通信セッションを開始する度に(すなわち、アプリケーション段階が開始される度に)生成され得る、又は代替的には新しいランダム数は、より長い通信セッションにおいて更にセキュリティを増加させるために周期的に生成され得る。
上述のように、生成されるランダム数は、他のノードへ供給されなければならない。このことは、セキュアに行われなければならず、そうでなければ、攻撃者が、ランダム数を獲得し得、これにより通信セッションにおいて用いられる鍵を決定し得る。
好ましくは、ランダム数は、公開鍵暗号プロトコルを用いて他のノードへ供給される。すなわち、ランダム数を生成するノードは、他のノードに関する公開鍵を具備され、この公開鍵は、他のノードへ送信するためにランダム数を暗号化するのに用いられる。他のノードは、暗号化されたランダム数を復号するのに用いられる対応する秘密鍵を具備される。
公開鍵暗号プロトコルが好ましいが、他の多くのプロトコルが、他のノードへランダム数をセキュアに供給するのに用いられ得ることを理解され得る。
1つのノードにおいてランダム数を生成し、これをセキュアに他のノードへ送信する代替態様の一つとして、第1及び第2ノードが、ランダムセッション鍵を決定するために、セッション鍵生成プロトコルを実行し得る。例えば、第1及び第2ノードが公開鍵gを共有する、Diffie-Hellmannセッション鍵生成プロトコルが用いられ得る。第1ノードは、xをランダムに選択し、gxを第2ノードへ送信する。第2ノードは、yをランダムに選択し、gyを第1ノードへ送信する。両方のノードは、共通のランダム数gxy=(gx)y=(gy)xを計算する。
中間者攻撃(man in the middle攻撃)を打ち負かすためには、セッション鍵生成プロトコルは認証される方法で実行されることが好ましい。例えば、公開鍵暗号プロトコルは、セッション鍵生成プロトコルにおけるノード間の送信を認証するのに用いられ得る。
ステップ105において、暗号鍵は、ステップ101において決定された代表値を生成されたランダム数と組み合わせることによって導出される。
ステップ105は、アプリケーション段階において決定された代表値で第1ノードによって、及びエンロールメント段階において第2ノード(又は別個の照合器)によって決定された代表値で第2ノードによって、の両方により実行される。
第1ノードによって導出された代表値が第2ノードによって導出された代表値と一致する場合、第1及び第2ノードによって導出される暗号鍵は、同一になり、1つのノードの鍵を用いて暗号化され、他方のノードによって受信される通信が復号及び読み出しされるのを可能にする。
図2は、バイオメトリクス識別子を用いるシステムにおける本発明による方法の好ましい実施例を示す。この好ましい実施例において、第1ノードにおけるセンサは、改竄耐性があり(すなわち、センサ内部のイベント又は読み取りを盗み見ることが不可能である)、センサが人工的に構築されたバイオメトリクスを検出することが可能であることを仮定される。
第1ノード及び第2ノードにおけるセンサ間の通信ラインは、盗み見することが可能であり得る。したがって、この好ましい実施例において、第1ノードが第2ノードの公開鍵pkを有し、第2ノードが対応する秘密鍵skを有するような、公開鍵暗号プロトコルが用いられる。第1ノードは、(ビット形式の)ランダム数を生成するランダム数生成器を有する。
当該方法は、ステップ201において開始し、ユーザ名などのユーザアイデンティティがユーザによって第1ノードへ入力される。
ステップ203において、ユーザは、自身のバイオメトリクス識別子を第1ノードのセンサへ供給し、センサは、このバイオメトリクス識別子を測定する。
ステップ205において、ユーザアイデンティティは、好ましくは公開鍵暗号プロトコルを用いて、第1ノードから第2ノードへ伝送される。
ステップ207において、第2ノードにおけるデータベースにアクセスされ、受信されたユーザアイデンティティと関連付けられるヘルパーデータ及び代表値が取得される。
ステップ209において、取得されたヘルパーデータは、第1ノードへ伝送される。
ステップ211において、第1ノードは、受信されたヘルパーデータを用いて、バイオメトリクス識別子の測定結果から代表値を抽出する。
ステップ213において、第1ノードは、ランダムビット文字列を生成する。
ステップ215において、第1ノードは、ランダムビット文字列を第2ノードへ公開鍵暗号プロトコルを用いて伝送する。
ステップ217において、第1ノードは、ランダムビット文字列及び決定された代表値を組み合わせて、暗号鍵を導出する。
ステップ219において、第2ノードは、ステップ215で第1ノードから受信されたランダムビット文字列と、ステップ207で取得された代表値を組み合わせて、別の暗号鍵を導出する。
ステップ211においてバイオメトリクス識別子の測定結果から第1ノードにおいて決定された代表値が、第2ノードのデータベースに記憶される代表値と同一である場合、両方のノードは、他方のノードの暗号鍵を用いて暗号化されたデータを復号および読み取することが可能になる。
代表値が異なる場合、各ノードによって導出される暗号又は認証鍵は異なり、これにより、いずれのノードも、他方のノードの暗号鍵を用いて暗号化されたデータを復号及び読み取りをすることが可能になるのを防いでいる。
ランダムビット文字列を第2ノードへ供給するのに用いられる暗号システムが、攻撃者に、ランダムビット文字列についてのいかなる情報も発見させない場合(すなわち、暗号化されたランダムビット文字列が、ランダムビット文字列自体に関するいかなる情報も漏らさない場合)、(エンロールメント段階において作成されたバイオメトリクス識別子の測定結果と極めて類似し得る)バイオメトリクス識別子の雑音のある測定結果を得る攻撃者は、アプリケーション段階において用いられる暗号鍵に関するいかなる情報も有していない。
バイオメトリクス識別子の雑音を含むものを有する攻撃者はランダムビット文字列を知らず(すなわち、攻撃者は、センサ内部で生じることを盗み見ることが出来ず)、また攻撃者は、この情報を、ステップ215において第1ノードから第2ノードへ伝送された暗号化されたビット文字列から導出し得ないので、ランダムビット文字列を推測することしか出来ない。
攻撃者は、バイオメトリクス識別子の雑音を含むもの、及び第2ノードから第1ノードへ送信されるヘルパーデータを有し得る。たとえ、バイオメトリクス識別子の雑音を含むものが、記憶された代表値を導出するのに用いるバイオメトリクス識別子に十分近いこと、またこれにより、同一の代表値がバイオメトリクス識別子及びヘルパーデータの雑音を含むものから決定され得ると仮定した場合でも、(代表値がランダムであると仮定して)暗号鍵を正しく推測する可能性は、
Figure 2008526078
によって拘束され、この値は、|S|>>|I|である場合小さくなり、ここで、Sは、代表値であり、Iは、ランダムビット文字列である。
図3は、スマートカードにおいて光学的身体的クローン不可能な機能を用いるシステムにおける、本発明による方法の好ましい実施例を示す。この好ましい実施例において、身体的クローン不可能な機能へのチャレンジからレスポンスを記録する読み取り器(第1ノード)におけるカメラが、盗み見られ得ることを仮定される。
読み取り器及び第2ノード間の通信ラインも、盗み見られ得る。したがって、この好ましい実施例においては、公開鍵暗号プロトコルである暗号プロトコルが用いられる。したがって、スマートカードにおけるチップは、第2ノードの公開鍵pkを有し、第2ノードは、対応する秘密鍵skを有する。チップは、(ビット形式で)ランダム数を生成するランダム数生成器も有する。
当該方法は、ステップ301で開始し、スマートカードは、読み取り器に挿入される。ステップ303において、スマートカードに記憶されるユーザ名などのユーザアイデンティティは、第2ノードへ伝送される。
ステップ305において、第2ノードにおけるデータベースは、受信されたユーザアイデンティティを用いてアクセスされ、両方とも特定のチャレンジ及びユーザに関連付けられる代表値及びヘルパーデータが取得される。
ステップ307において、ヘルパーデータ及びヘルパーデータに関連付けられたチャレンジは、読み取り器及びスマートカードに送信される。
ステップ309及び311において、読み取り器は、受信されたチャレンジに従い身体的クローン不可能な機能にチャレンジを与え、レスポンスを測定する。このレスポンスは、スマートカードにおけるチップへ渡される。
ステップ313において、代表値は、測定されたレスポンスおよびヘルパーデータを用いて、スマートカードにおけるチップによって計算される。
ステップ315において、チップは、ランダム数文字列を生成するために、ランダム数生成器を用いる。
ステップ317において、スマートカードは、読み取り器を介して、ランダムビット文字列を、公開鍵暗号プロトコルを用いて第2ノードへ伝送する。
ステップ319において、スマートカードにおけるチップは、暗号鍵を導出するために、ランダム数文字列及び決定された代表値を組み合わせる。
ステップ321において、第2ノードは、別の暗号鍵を導出するために、ランダム数文字列及び取得された代表値を組み合わせる。
正しいスマートカードが存在することを照合するために、第2ノードは、ランダムメッセージを読み取り器を介してスマートカードへ送信する。スマートカードは、導出された暗号鍵を用いてランダムメッセージを暗号化し、これを第2ノードへ送信して戻す。第2ノードは、暗号化されたメッセージを、導出された暗号化鍵を用いて復号し、復号されたメッセージが読み取り器及びスマートカードへ送信されたランダムメッセージと同じであるかを確認する。これらが同一である場合、スマートカードは認証され、トランザクションは継続さ得るが、一致しない場合、トランザクションは停止される。
読み取り器を又は読み取り器及びスマートカード間のチャネルを盗み見をし、チャレンジ、ヘルパーデータ及びレスポンスを捕捉する攻撃者は、代表値を計算し得るが、暗号鍵は計算し得ないことを特記される。
本発明による修正された方法において、ランダムビット文字列は、当該方法の開始においてチップによって生成され得る。
身体的クローン不可能な機能が定義としてクローン不可能であるので、攻撃者が、元の身体的クローン不可能な機能と同一のチャレンジレスポンスの対を提供する身体的クローン不可能な機能を有する偽造カードを作成することは不可能であることを特記されるべきである。
図4は、図2に示される方法を実行するシステムを示す。システム401は、第1ノード403及び第2ノード405を有する。
第1ノード401は、例えばカメラ又は指紋読み取り器などのセンサ407の形式の身体的識別子の測定結果を得る手段と、ランダム数生成器409と、メモリ411と、通信モジュール413と、を備え、それぞれ処理器415に接続される。
第2ノード405は、メモリ417と、通信モジュール419の形式の、第1ノード403からランダム数及びユーザアイデンティティを受信する手段と、を備え、それぞれ処理器421に接続される。
センサ407は、ユーザのバイオメトリクス識別子Yの測定結果を得て、測定結果を処理器415へ渡す。処理器415は、測定結果と、第2ノード405から通信モジュール403を介して受信されたヘルパーデータとを用い、代表値を決定する。
ランダム数生成器409は、ランダム数を生成し、処理器415は、ランダム数と代表値とを組合せ、暗号鍵を提供する。
また処理器415は、ランダム数を、通信モジュール413を用いて、第2ノード405へ伝送するようにも構成され得る。
好ましい実施例において、メモリ411は、記憶された複数の秘密抽出コードを有し、処理器415は、第2ノード405から受信されたヘルパーデータによって示される秘密抽出コードを使用し、代表値を決定する。
別の好ましい実施例において、メモリ411は、記憶された第2ノード405に関する公開鍵を有し、この公開鍵は、ランダム数を、第2ノード405へ伝送する前に暗号化するために用いられる。
第2ノード405において、処理器421は、特定のユーザに関連付けられたメモリ417に記憶される代表値を取得するとともに、取得された値を、暗号鍵を提供するために、第1ノード403から通信モジュール419を介して受信されるランダム数と組み合わせられるように構成される。
好ましい実施例において、メモリ417は、公開鍵暗号プロトコルにおいて用いられる第2ノード405に関する秘密鍵も有する。
図5は、図3の方法を実施するシステムを示す。システム501は、第1ノード503及び第2ノード505を有する。第1ノード503は、読み取り器509へ挿入されるスマートカード507を有する。スマートカード507は、光学的身体的クローン不可能な機能511と、処理器チップ513と、を有する。読み取り器509は、処理器519に接続されるセンサ515及び通信モジュール517を有する。
第2ノード505は、処理器525に接続されるメモリ521及び通信モジュール523を有する。
センサ515は、第2ノード505により設定されたチャレンジに対する光学的身体的クローン不可能な機能511からのレスポンスを得る。センサ515は、測定されたレスポンスを、通信モジュール517を介して処理器チップ513へ渡す。処理器チップ513は、代表値を決定するために、通信モジュール517を介して第2ノード505から受信されたヘルパーデータと測定されたレスポンスとを用いる。
処理器チップ513は、暗号鍵を提供するために、処理器513によって代表値と組み合わせられるランダム数を生成するランダム数生成器527も有する。
また処理器513は、ランダム数を、通信モジュール517を用いて、第2ノード505へ伝送するようにも構成され得る。
好ましい実施例において、処理器チップ513は、記憶される第2ノード505に関する公開鍵を有し、この公開鍵は、ランダム数を、第2ノード505へ伝送する前に暗号化するために用いられる。
第2ノード505において、処理器525は、特定のユーザに関連付けられたメモリ521に記憶される代表値を取得するとともに、取得された値を、暗号鍵を提供するために、読み取り器509から通信モジュール523を介して受信されるランダム数と組み合わせられるように構成される。
好ましい実施例において、メモリ521は、公開鍵暗号プロトコルにおいて用いられる第2ノード505に関する秘密鍵も有する。
図6は、照合ノードによって関連付けられるアイデンティティを用いたノードの認証のための好ましい方法を示す。認証の方法は、ノード及び照合ノードの両方が同一の暗号鍵を生成し得るという事実に基づく。照合ノードは、関連付けられたアイデンティティを有するノードが生成し得る特定の暗号鍵を生成させるために、ノードにチャレンジを与え得る。照合ノードは、前記ノードによって生成された暗号鍵が正しいかを照合し得る。照合ノードは、暗号鍵を類似の対象で計算し得る、又は前記ノードから受信された暗号鍵を、取得された代表値と照合ノードにおいて入手可能なランダム数とを用いて分析し得る。
ノードが照合ノードに近づけられる場合、照合ノードは、ステップ601において、無線通信チャネルを用いて、前記ノードのアイデンティティを得る。
受信されたアイデンティティは、ステップ602において、前記アイデンティティを用いてノードに関連付けられたヘルパーデータ、代表値、及びチャレンジを取得するために、照合ノードによって用いられる。ヘルパーデータは、チャレンジデータと一緒に記憶され得るが、ヘルパーデータは、ノードにローカルにも記憶され得る。ヘルパーデータがノードに記憶される場合、このことは、ノードに記憶領域を必要とするが、照合ノードによって前記ヘルパーデータを取得する必要はない。
照合ノードは、ステップ603において、ランダム数を更に生成する。
照合ノードは、この場合、ステップ604において、チャレンジ、ヘルパーデータ、及び前記ランダム数を、ノードへ伝送する。
チャレンジは、ステップ309において身体的クローン不可能な機能へ供給され、このチャレンジに対するレスポンスが、ステップ311において測定される。その後、代表値は、ステップ313において、ヘルパーデータ及びレスポンスを用いて生成される。
ここで今、代表値がノードにおいて確立されているので、この代表値は、ランダム数と組み合わせられて暗号鍵にされ、ステップ605において照合ノードへ送信される。
照合ノードは、ステップ606において、前記暗号鍵を受信し、ステップ607において、ノードによって生成された暗号鍵が予想された暗号鍵に対応するかを照合する。この照合を用いて、照合ノードは、ステップ608において、ノードが本物であるかを立証する。任意選択的に、照合ノードは、ステップ609において、認証に基づき当事者を認証し得る。
本発明による1つの方法において、ノードは、暗号鍵を生成するために、測定された代表値を用いてランダム数を暗号化する。そして、照合ノードは、ランダム数を、取得された代表値を用いて暗号化し、両方の暗号化結果を比較し、この比較に基づき、照合ノードはノードを認証し得る。
本発明による第2の方法において、ノードは、測定された代表値を用いてランダム数を暗号化するが、代わりに照合ノードは、ノードにおいて暗号化された暗号鍵を得るために、取得された代表値を用いてノードによって生成される受信された暗号鍵を復号する。復号結果は、その後、照合ノードにおいて、ランダム数と比較され、この比較に基づき、照合ノードは、ノードを認証し得る。
より更なる方法において、ノードは、少なくとも測定された代表値及びランダム数に暗号法的ハッシュを適用することによって、暗号鍵を生成する。生じる暗号鍵は、照合ノードへ送信される。そして、照合ノードは、ランダム数及び取得された代表値を用いて、類似のハッシュを形成する。その後、両方のハッシュは比較され、この比較に基づき、照合ノードは、ノードを認証し得る。
図7は、ノードの認証に関するシステムを示す。当該システムは、信頼できるプラットフォームモジュールすなわちTPMとして機能する照合ノード720を有する。システムは、データ担体703で配布される計算機プログラムの認証を証明するのに用いられる。前記計算機プログラムの認証を証明するノード710は、データ担体に関連付けられ、このノードは、計算機プログラムのマニュアルにあるか、又はデータ担体が出荷されるときのジュエルケースに埋め込まれるタグであり得る。
システムは、ノード710、照合ノード720、及びデータ担体730を有する。この特定の認証システムは、ノード710及び照合ノード720の両方が同一の暗号鍵を生成し得るという事実に基づく。照合ノードは、実際のノード710のみが前記身体的クローン不可能な機能を用いて生成し得る暗号鍵を生成するために、ノード710に対してチャレンジを与え得る。そして、照合ノードは、ノード710によって生成された暗号鍵が正しいかを照合し得る。
ノード710は、身体的クローン不可能な機能711、並びに処理器714に接続されたセンサ713及び通信モジュール712を有する。照合ノード720は、処理器722に全て接続された、データ担体読み取り器723、通信モジュール721、ランダム数生成器を有する。
通信モジュール712及び721は、無線チャネルを介して通信するように構成される。斯様な無線通信チャネルは、RF、又はIR受信器及び送信器に基づき得る。有線通信チャネルを用いた代替的な実施例も着想され得る。
上記されるように、照合ノード720は、ノード710を認証するのに用いられ得るTPMである。これを実現するためには、データ担体730は、身体的クローン不可能な機能711の代表値を有する。この代表値は、前記ノード710のエンロールメントにおいて確立されてあり得る。代表値は、前記データ担体に暗号化されて記憶される。照合ノード720は、データ担体読み取り器723を用いて、データ担体から、暗号化された代表値を取得し得る。暗号化された代表値は、その後、例えば、照合ノード720(TPM)の装置鍵を用いて復号され得、そして取得された代表値を生じさせ得る。加えて、データ担体は、前記身体的にクローン不可能な機能に関連するヘルパーデータ及びチャレンジも有し得る。
ノード710が照合ノード720に近づけられる場合、照合ノード710は、ノード710にアイデンティティを要求する。そして、ノード710は、照合ノードに前記アイデンティティを提供する。このアイデンティティに基づき、照合ノードは、その後、データ担体730から、代表値、チャレンジ、及びヘルパーデータを取得し得る。
チャレンジが得られると、ノード710は、照合ノード720によってチャレンジを提供される。加えて、照合ノードは、ノード710にランダム数を提供する。そして、ノード710の処理器714は、前記ランダム数を復号するために公開鍵を用い得る。
その後、身体的クローン不可能な機能711はチャレンジを与えられ、そのレスポンスがセンサ713によって測定される。センサ713は、測定されたレスポンスを処理器714へ渡す。処理器714は、測定されたレスポンスと、通信モジュール712を介して照合ノード720から受信されたヘルパーデータとを用い、代表値を決定する。
処理器714は、測定された身体的識別子に基づく代表値を、照合ノード720から受信されるランダム数と組み合わせることによって、暗号鍵を更に生成する。前記暗号鍵は、照合ノード720と通信され得る。
暗号鍵が認証に加えてデータ暗号化に関して用いられる場合、暗号鍵は、セキュアな態様で伝送されるべきである。暗号鍵がノード710を認証するためにのみ用いられ、毎回装置が新しいランダム数を用いて認証される場合、暗号鍵を照合ノード720へ伝送するために、何の更なる暗号化も必要とされない。ノードが認証される度に新しいチャレンジを選択して(新しい代表値を生じさせ)、セキュリティは更に向上され得る。
照合ノード720は、そして、ノード710が実際に要求された暗号鍵を生成したかを照合するために、取得された代表値及びランダム数を用いる。
図7のシステムは、身体的クローン不可能な機能を用いるが、類似の対処法がバイオメトリクス法に基づくシステムで用いられ得る。斯様な実施例は、計算機プログラムを、ユーザのバイオメトリクスから導出される測定された代表値にリンクさせ、これにより、前記ユーザが前記計算機プログラムをインストール又は使用することを可能にする。更に、本発明は、前記計算機プログラムの認証に関する代表値を有する担体による計算機プログラムの配布を可能にする。任意選択的に、計算機プログラムは、前記バイオメトリクスから導出される(更なる)鍵を用いて暗号化され得る。
図7における表現は、ディスクの形式でデータ担体730を描写しているが、本発明は、斯様なデータ担体を用いて配布される計算機プログラムに制限されない。また代表値は、フラッシュメモリなどの他の媒体で配布され得るか、又は例えばインターネット若しくはファイルサーバなどからダウンロード可能な計算機プログラムにも埋め込まれ得る。
「有する」という動詞及びその活用形の使用は、請求項に記載される以外の異なる他の要素又はステップの存在を排除しないことは明らかである。単数形の構成要素は、複数個の斯様な構成要素の存在を排除しない。請求項における如何なる参照符号も請求項を制限するように解釈されてはならない。
図1は、本発明による方法におけるステップを例示するフローチャートである。 図2は、バイオメトリクス識別子を用いるシステムにおける、本発明による好ましい方法を示すフローチャートである。 図3は、身体的クローン不可能な機能を用いるシステムにおける、本発明による好ましい方法を示すフローチャートである。 図4は、図2の方法を実行するシステムの概略図である。 図5は、図3の方法を実行するシステムの概略図である。 図6は、照合コードによって、ノードを認証する本発明による好ましい方法を示すフローチャートである。 図7は、本発明による照合ノードによるノードを認証するためのシステムの概略図である。

Claims (39)

  1. 第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法であって、
    −身体的識別子の測定結果から代表値を決定するステップと、
    −ランダム数を生成するステップと、
    −暗号鍵を提供するために前記代表値と前記ランダム数を組み合わせるステップと、
    を有する方法。
  2. 前記身体的識別子が、ユーザの身体的識別子である、請求項1に記載の方法。
  3. 身体的識別子の測定結果から代表値を決定するステップが、前記ユーザのバイオメトリクス識別子の測定結果を得るステップを含む、請求項2に記載の方法。
  4. 身体的識別子の測定結果から代表値を決定するステップが、前記測定結果から前記代表値を抽出するために、秘密抽出コードを用いるステップを含む、請求項3に記載の方法。
  5. 前記鍵が前記第1ノードにおいて導出され、身体的識別子の前記測定結果から前記代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給される秘密抽出コードアイデンティティデータに応答して、秘密抽出コードの一群から前記秘密抽出コードを選択するステップを、更に含む、請求項4に記載の方法。
  6. 前記秘密抽出コードアイデンティティデータが、照合段階において、前記第2ノードにおいて導出及び記憶される、請求項5に記載の方法。
  7. 身体的識別子の測定結果から代表値を決定するステップが、身体的クローン不可能な機能にチャレンジを与えるステップと、レスポンスを測定するステップと、を含む、請求項1に記載の方法。
  8. 身体的識別子の測定結果から代表値を決定するステップが、前記第2ノードによって前記第1ノードへ供給されるヘルパーデータ及び前記測定されたレスポンスから前記代表値を導出するステップを更に含む、請求項7に記載の方法。
  9. 前記身体的クローン不可能な機能にチャレンジを与えるステップが、一群のチャレンジから選択される少なくとも1つのチャレンジを適用するステップを含む、請求項7又は8に記載の方法。
  10. 第1及び第2ノード間で送信されるデータを暗号化又は認証する鍵を導出する方法であって、前記第2ノードが、メモリに記憶された身体的識別子の測定結果から決定された第2代表値を有し、当該方法が、
    −前記第1及び第2ノードに関して共通のランダム数を生成するステップと、
    −前記第1ノードにおいて:
    −ユーザの身体的識別子の測定結果から第1代表値を決定するステップと、
    −暗号鍵を提供するために前記第1代表値と前記共通のランダム数とを組み合わせるステップと、
    −前記第2ノードにおいて:
    −暗号鍵を提供するために、前記第2ノードの前記メモリに記憶された前記第2代表値と前記共通のランダム数とを組み合わせるステップと、
    を有する方法。
  11. 前記身体的識別子が、ユーザの身体的識別子である、請求項10に記載の方法。
  12. 前記第1及び第2ノードに関して前記共通のランダム数を生成するステップが、
    −前記第1ノードにおいて前記ランダム数を生成するステップと、
    −前記生成されたランダム数を、前記第1ノードから前記第2ノードへセキュアに伝送するステップと、
    を含む、請求項10に記載の方法。
  13. 前記生成されたランダム数を前記第1ノードから前記第2ノードへセキュアに伝送するステップが、前記第1ノードにおいて前記ランダム数を暗号化するステップと、前記第2ノードにおいて前記暗号化されたランダム数を復号するステップと、を含む、請求項12に記載の方法。
  14. 前記第1ノードが、メモリに記憶される前記第2ノードに関する公開鍵を有し、前記第2ノードが、前記第2ノードの前記メモリに記憶される対応する秘密鍵を有し、前記生成されたランダム数を前記第1ノードから前記第2ノードへセキュアに伝送するステップが、前記ランダム数を前記第2ノードの前記記憶された公開鍵を用いて暗号化するステップと、前記第2ノードにおいて、前記暗号化されたランダム数を前記第2ノードの前記記憶された秘密鍵を用いて復号するステップと、を含む、請求項13に記載の方法。
  15. 前記第1及び第2ノードに関する共通のランダム数を生成するステップが、セッション鍵生成プロトコルを用いるステップを含む、請求項10に記載の方法。
  16. ノードであって、
    −前記ノードの身体的識別子の測定結果を得る手段と、
    −前記測定結果から代表値を決定する手段と、
    −ランダム数を得る手段と、
    −暗号鍵を提供するために、前記代表値及び前記ランダム数を組み合わせる手段と、
    を有するノード。
  17. 前記身体的識別子が、ユーザの身体的識別子である、請求項16に記載の方法。
  18. 前記ランダム数を得る手段が、前記ランダム数を生成する手段を含む、請求項16に記載のノード。
  19. 前記ノードが、アイデンティティを伝送する手段を更に含む、請求項16に記載のノード。
  20. 前記ノードが、
    −身体的クローン不可能な機能と、
    −照合ノードからチャレンジを受信する手段と、
    を更に含む、請求項16に記載のノード。
  21. 前記ランダム数を得る手段が、照合ノードから前記ランダム数を受信するように構成される、請求項16に記載のノード。
  22. 前記照合ノードから前記ランダム数を受信する手段が、前記照合ノードから受信された暗号化されたランダム数を受信及び復号するように構成される、請求項21に記載のノード。
  23. 計算機プログラムの認証を証明する、請求項16に記載のノードの使用法。
  24. 読み取り器とともに用いるスマートカードであって、当該スマートカードが、
    −身体的クローン不可能な関数と、
    −処理器チップと、
    を備え、
    前記処理器チップが、
    −前記読み取り器から前記身体的クローン不可能な機能の測定結果を受信し、
    −前記測定結果から代表値を決定し、
    −ランダム数を生成し、
    −暗号鍵を生成するために、前記代表値及び前記ランダム数を組み合わせる、
    ように構成される、
    スマートカード。
  25. 照合ノードであって、
    −ノードからアイデンティティ及び暗号鍵を受信する手段と、
    −ランダム数を得る手段と、
    −前記アイデンティティに関連付けられる代表値を取得する手段と、
    −前記ノードから受信された前記暗号鍵が、前記取得された代表値及び前記ランダム数を用いても生成され得るかを照合する処理手段と、
    を備える、照合ノード。
  26. 前記処理手段が、暗号鍵を提供するために、前記取得された代表値をランダム数と組み合わせるように構成される、請求項25に記載の照合ノード。
  27. 前記アイデンティティに関連付けられる前記代表値を取得する手段が、
    −各代表値が特定のユーザに関連付けられるような、複数の代表値を含むメモリと、
    −前記受信されたユーザアイデンティティに応答して、前記メモリから代表値を取得する手段と、
    を有する、請求項25に記載の照合ノード。
  28. 前記処理手段が、前記照合の結果に基づき前記ノードを認証するように更に構成される、請求項25に記載の照合ノード。
  29. 前記照合ノードが、
    −前記アイデンティティと関連付けられるチャレンジを得る手段と、
    −前記チャレンジを前記ノードへ伝送する手段と、
    を更に備える、請求項28に記載の照合ノード。
  30. 前記照合ノードが、前記照合の結果に基づき当事者を承認するように更に構成される、請求項25に記載の照合ノード。
  31. 前記照合ノードが、
    −ランダム数を生成する手段と、
    −前記ランダム数を前記ノードへ送信する手段と、
    を更に有する、請求項25に記載の照合ノード。
  32. 前記ランダム数を送信する手段が、送信の前に前記ランダム数を暗号化するように更に構成される、請求項31に記載の照合ノード。
  33. 当該照合ノードが、信頼できるプラットフォームモジュールである、請求項25に記載の照合ノード。
  34. 前記アイデンティティに関連付けられる前記代表値を取得する手段が、計算機プログラムから前記代表値を取得するように構成される、請求項25に記載の照合ノード。
  35. 前記計算機プログラムが、データ担体で配布される、請求項34に記載の照合ノード。
  36. 前記代表値を取得する手段が、暗号化されたデータから前記代表値を抽出するように構成される、請求項25に記載の照合ノード。
  37. 請求項16に記載のノード及び請求項25に記載の照合ノードを備える、認証システム。
  38. 請求項24に記載のスマートカード及び請求項25に記載の照合ノードを備える、認証システム。
  39. 計算機読取可能媒体に記憶された、プログラムコード手段を含む計算機プログラムであって、前記計算機読取可能媒体が、前記計算機プログラムを認証するのに用いる、請求項16に記載のノードの代表値を有する、計算機プログラム。
JP2007547761A 2004-12-22 2005-12-20 鍵生成、及び認証の承認に関する方法及び装置 Withdrawn JP2008526078A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP04106865 2004-12-22
EP05106189 2005-07-07
PCT/IB2005/054330 WO2006067739A2 (en) 2004-12-22 2005-12-20 Method and device for key generation and proving authenticity

Publications (1)

Publication Number Publication Date
JP2008526078A true JP2008526078A (ja) 2008-07-17

Family

ID=36498944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007547761A Withdrawn JP2008526078A (ja) 2004-12-22 2005-12-20 鍵生成、及び認証の承認に関する方法及び装置

Country Status (4)

Country Link
EP (1) EP1832036A2 (ja)
JP (1) JP2008526078A (ja)
KR (1) KR20070095908A (ja)
WO (1) WO2006067739A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003431A (ja) * 2011-06-20 2013-01-07 Renesas Electronics Corp 半導体装置及び半導体装置へのデータ書き込み方法
US9330270B2 (en) 2011-07-27 2016-05-03 Fujitsu Limited Encryption processing device and authentication method
JP2018117269A (ja) * 2017-01-19 2018-07-26 ブリルニクスジャパン株式会社 固体撮像装置、固体撮像装置の駆動方法、および電子機器
US10805093B2 (en) 2014-10-13 2020-10-13 Intrinsic-Id B.V. Cryptographic device comprising a physical unclonable function

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006053304A2 (en) 2004-11-12 2006-05-18 Pufco, Inc. Volatile device keys and applications thereof
EP1977511B1 (en) 2006-01-24 2011-04-06 Verayo, Inc. Signal generator based device security
JP2008085567A (ja) * 2006-09-27 2008-04-10 Ricoh Co Ltd 暗号化装置、暗号化方法、暗号化プログラム、復号装置、復号方法、復号プログラムおよび記録媒体
JP5291628B2 (ja) * 2006-11-28 2013-09-18 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ シードが与えられる任意数を生成する方法
EP2214117B1 (en) 2007-09-19 2012-02-01 Verayo, Inc. Authentication with physical unclonable functions
WO2010035202A1 (en) * 2008-09-26 2010-04-01 Koninklijke Philips Electronics N.V. Authenticating a device and a user
CN102388386B (zh) * 2009-04-10 2015-10-21 皇家飞利浦电子股份有限公司 设备和用户认证
WO2012018326A1 (en) * 2010-08-04 2012-02-09 Research In Motion Limited Method and apparatus for providing continuous authentication based on dynamic personal information
DE102011081421A1 (de) * 2011-08-23 2013-02-28 Siemens Ag System zur sicheren Übertragung von Daten und Verfahren
FR2988197B1 (fr) * 2012-03-19 2015-01-02 Morpho Procede de generation et de verification d'identite portant l'unicite d'un couple porteur-objet
GB2507988A (en) * 2012-11-15 2014-05-21 Univ Belfast Authentication method using physical unclonable functions
DE102013203436A1 (de) * 2013-02-28 2014-08-28 Siemens Aktiengesellschaft Generieren eines Schlüssels zum Bereitstellen von Berechtigungsinformationen
US9219722B2 (en) * 2013-12-11 2015-12-22 Globalfoundries Inc. Unclonable ID based chip-to-chip communication
US10136310B2 (en) 2015-04-24 2018-11-20 Microsoft Technology Licensing, Llc Secure data transmission
DE102017118520A1 (de) 2017-08-14 2019-02-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Reifenventil

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR0008595A (pt) * 1999-03-11 2002-01-08 Tecsec Inc Processo de formação de chaves criptográficas e respectivo combinador de desdobramentos

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003431A (ja) * 2011-06-20 2013-01-07 Renesas Electronics Corp 半導体装置及び半導体装置へのデータ書き込み方法
US9330270B2 (en) 2011-07-27 2016-05-03 Fujitsu Limited Encryption processing device and authentication method
US10805093B2 (en) 2014-10-13 2020-10-13 Intrinsic-Id B.V. Cryptographic device comprising a physical unclonable function
JP2018117269A (ja) * 2017-01-19 2018-07-26 ブリルニクスジャパン株式会社 固体撮像装置、固体撮像装置の駆動方法、および電子機器

Also Published As

Publication number Publication date
WO2006067739A2 (en) 2006-06-29
WO2006067739A3 (en) 2007-03-15
KR20070095908A (ko) 2007-10-01
EP1832036A2 (en) 2007-09-12

Similar Documents

Publication Publication Date Title
JP2008526078A (ja) 鍵生成、及び認証の承認に関する方法及び装置
US9887989B2 (en) Protecting passwords and biometrics against back-end security breaches
Gunasinghe et al. PrivBioMTAuth: Privacy preserving biometrics-based and user centric protocol for user authentication from mobile phones
JP5859953B2 (ja) 生体認証システム、通信端末装置、生体認証装置、および生体認証方法
US9654468B2 (en) System and method for secure remote biometric authentication
US9384338B2 (en) Architectures for privacy protection of biometric templates
US7623659B2 (en) Biometric non-repudiation network security systems and methods
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
US20070118758A1 (en) Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
JP5104188B2 (ja) サービス提供システム及び通信端末装置
JP2018521417A (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
US20170171183A1 (en) Authentication of access request of a device and protecting confidential information
KR20060127080A (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
JP2001512589A (ja) 安全なプロクシ署名装置および使用方法
KR20070024633A (ko) 갱신가능한 그리고 개인적인 바이오메트릭
KR100449484B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법
CN101124767A (zh) 密钥生成以及证明真实性的方法和设备
WO2014141263A1 (en) Asymmetric otp authentication system
JP2008167107A (ja) 公開鍵基盤を利用したチャレンジ・レスポンス認証方法
CN117424709B (zh) 终端设备的登录方法、设备以及可读存储介质
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
JP7250960B2 (ja) ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法
Itakura et al. Proposal on a multifactor biometric authentication method based on cryptosystem keys containing biometric signatures
JP2014230156A (ja) 認証システム、認証方法、認証プログラムおよび認証装置
JP2022123403A5 (ja)

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090303