JP2013513302A - 埋め込みsfe:ハードウェアトークンを使用したサーバおよびネットワークの負荷軽減 - Google Patents

埋め込みsfe:ハードウェアトークンを使用したサーバおよびネットワークの負荷軽減 Download PDF

Info

Publication number
JP2013513302A
JP2013513302A JP2012542093A JP2012542093A JP2013513302A JP 2013513302 A JP2013513302 A JP 2013513302A JP 2012542093 A JP2012542093 A JP 2012542093A JP 2012542093 A JP2012542093 A JP 2012542093A JP 2013513302 A JP2013513302 A JP 2013513302A
Authority
JP
Japan
Prior art keywords
processor
key
token
secure
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012542093A
Other languages
English (en)
Inventor
コレスニコフ,ブラジーミル
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2013513302A publication Critical patent/JP2013513302A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

ネットワーク内におけるデバイス間のセキュアなトランザクションを容易にするための、改良されたセキュアなトランザクションシステムが説明される。システムは、第1のデバイスを含む。第1のデバイスに代わってメッセージを暗号化し、それを配送するように構成された、セキュアなエージェントが提供される。セキュアなエージェントは、第1のデバイスによってエージェント内に埋め込まれた大きな定義域からランダムに取り出された、秘密鍵を有する。セキュアなエージェントから、セッションIDに基づいて、メッセージを獲得するように構成された、第2のデバイスが提供される。第2のデバイスは、第1のデバイスへの問い合わせに基づいて、エージェントからの対応するメッセージの真実性を選択的にテストすることができる。テストは、トランザクション中、セキュアなエージェントには知られず、予測不可能である。このようにして、第1のデバイスとエージェントは、不正行為を防ぐために、分離された状態に保たれる。

Description

本発明は、一般に、秘匿関数計算(SFE:Secure Function Evaluation)システムおよび方法に関し、より詳細には、耐タンパ性トークン(tamper−resistant token)を利用するSFEシステムおよび方法に関する。
現代暗号法の起源は、20世紀初頭の戦時中に無線が広く利用可能になったことにある。具体的には、現代暗号法は、転置式暗号ツールであるスキュタレ(scytale)を戦争時に使用した古代スパルタ人の実践の上を行くものである。現代では、メッセージを送るために利用される媒体を考慮すると、傍受問題および解読問題が、暗号専門家によって対処されなければならない。現代通信は、メッセージの暗号化などによるプライバシと、メッセージの送信元の保証の両方を要求する。実際に、現代通信における最重要事項は、我々が情報源またはコミュニケーション源を信用できることである。
SFEは、互いに相手を信用していない当事者が、結果の計算中、自らの入力を秘匿したまま、その入力上で関数を評価できるようにする技法である。関数によっては、SFEは、大きな計算コストがかかることがある。SFEは、個人および企業との通信のために現在利用可能な計算リソースおよび通信リソースが増加したために、多くのセキュアなトランザクションアプリケーションにとって実用的なものになっている。セキュリティのためにSFEを使用して行うことができるトランザクションのタイプには、いくつかの名前を挙げれば、例えば、オークション、契約の署名、および分散データベースマイニングがある。
現在、SFEの使用は、SFEアルゴリズムの使用に関連する計算の高いコストのせいで、制限されている。
これまで、SFEは、例えば、ヤオ(Yao)のガーブル回路としても知られている、ガーブル回路(GC:Garbled Circuit)アルゴリズムを含む、様々なアルゴリズムを使用して達成されてきた。P1などのサーバは、ブール回路Cによって表される、計算される関数Fを暗号化またはガーブル(garble)するが、それは、ブラインドでゲート毎に評価することができる。Cの結果は、P2などの別のサーバに直接的に送られる。その後、P2は、暗号化されたままのGCを評価し、GCの暗号化された出力を獲得し、暗号化された出力をP1に直接的に送り返す。サーバP1は、P2から受け取った出力を暗号解除し、暗号解除された出力をP2に直接的に送り返す。
GCは、ガーブルする必要がある回路Cのワイヤ毎に2つの秘密をP1が選択することによって、構成することができる。ゲートGi毎に、P1は、ガーブル表(garbled table)Tiを生成し、それをP2に送る。生成された各ガーブル表は、以下の特性を有する:対応するゲートの1組の入力ワイヤに対して1組のガーブリング(garbling)が与えられた場合、Giに基づいて生成された各表Tiは、対応する出力値のガーブリングのみを計算することが可能である。すなわち、P2は、表Tiと、Giの入力のガーブリングから、各ゲートGiの単一のガーブルされた出力だけを回復することができる。表Tiは、通常、1組の暗号化として実施され、Giを形成する入力ガーブリングの各ペアは、対応する出力ガーブリングTiの暗号化に対する鍵としての役割を果たす。
図1は、ANDゲートについての、T0が以下の表によって表される、知られている従来技術のGCの一例である。
Figure 2013513302
 表T0は、P1から直接的に、P2によって受け取られる。さらに、例えば、入力ガーブリングw_1^0およびw_2^0が与えられると、P2は、表の各行を暗号解除するよう試み、G0の暗号化された出力W0を回復する。表T0の暗号解除からは、ただ1つの暗号解除だけが成功し、出力ワイヤ秘密W0を明らかにする。その後、P2は、上述のようにガーブル回路全体の評価を進め、最終的に、出力ワイヤWのガーブリングを獲得する。その後、P2は、ガーブリングを暗号解除のためにP1に送る。P1は、出力を暗号解除し、P2に直接的に送り返すことができる。P2は、入力ワイヤまたは内部ワイヤの値を決して学習することはない。
SFEにおいてガーブル回路技術を使用する最大の難点は、サーバなどのプロセッサによるガーブル回路の生成および計算と、入力ガーブリングの転送とに関連する複雑さである。ガーブル回路の評価は、回路のサイズに対して線形であり、ゲート当たり平均で4回のAESコールを必要とする。さらに、回路構成は、ゲート当たり最大で8回のAESコールを必要とすることがある。サーバ間の通信は、主にガーブル表Ti(各ゲートにつき4つのAES暗号化)を送ることから成る。最後に、入力ガーブリングの転送は、転送される入力当たり数回(2回または3回)の公開鍵演算を必要とする。
ガーブル回路の転送は、大きな関数の場合、通信コストが高くなることがある。加えて、ガーブル回路の計算は、多くのクライアントのためにサーバによって大量に行われる場合は特に、大きな計算コストをもたらす。
ガーブル回路演算の使用に関連する複雑さは、耐タンパ性計算デバイス(トークン)をシステムに導入することによって、低減させることができる。トークンは、ガーブル回路を生成するように構成することができる。その場合、サーバP1などの第1のプロセッサは、ガーブル回路を生成し、それをサーバP2などの第2のプロセッサに送信する必要はない。代わりに、サーバP1は、トークンTを生成し、それをサーバP2に送ることができる。その後、Tは、ガーブル回路を生成し、それを送信し、トークンTは、サーバP1と同期させられる。TとP1の同期は、サーバP1によって秘密鍵kをトークンT内に埋め込むことによって、達成することができる。その後、(SFEの実行)中、サーバP2は、T内に埋め込まれたPRFG関数Fの定義域から要素xを選択する。その後、Tは、ランダム性に基づいて、GCを生成し、それをP2に出力する。これによって、プロセッサP1における計算コストおよび複雑さが解消され、信号が暗号化されるが、Tが信用できる情報源であり、P2がTを信用できることは保証されない。
このタイプの回路が、すなわち、第1のプロセッサP1のトークンTによって生成されたガーブル回路が与えられる場合、第2のプロセッサP2は、トークンTの不良行為(または不正行為)、すなわち、GCの誤った生成から保護されることを望むことがある。
Tの不正行為からP2を保護するための1つの知られている方法は、P1またはそのエージェントのTに、2つ以上のメッセージをP2へ送らせることである。例えば、Tは、2つのメッセージをP2に送ることができる。P2は、1つのメッセージがライブ(live)になるように選択し、他のメッセージが適切に構成されているかを調べるために、他のすべてのメッセージの構成に使用されたランダム性を明かすようにP1に求める。メッセージが2つである場合、ライブメッセージが適切に構成された確率は1/2である。
ネットワーク内におけるデバイス間のセキュアなトランザクションを容易にするための、改良されたセキュアなトランザクションシステムが説明される。システムは、第1のデバイスを含む。第1のデバイスに代わってメッセージを暗号化し、それを配送するように構成された、セキュアなエージェントが提供される。セキュアなエージェントは、第1のデバイスによってエージェント内に埋め込まれた大きな定義域からランダムに取り出された、秘密鍵を有する。セキュアなエージェントからメッセージおよびセッションIDを獲得するように構成された、第2のデバイスが提供される。第2のデバイスは、第1のデバイスに問い合わせを行うことによって、セキュアなエージェントによるメッセージの生成の正しさを選択的にテストすることができる。テストは、トランザクション中、セキュアなエージェントには知られず、予測不可能である。このようにして、第1のデバイスとエージェントは、不正行為を防ぐために、分離された状態に保たれる。
セキュアなSFEトランザクションを提供するための方法も説明される。方法は、以下のステップを含む。最初に、セキュアなトークンが生成される。セキュアなトークンは、埋め込みPRFG鍵を有し、この鍵は、大きな定義域を有し、第1のプロセッサと同期させられる。次に、第2のプロセッサを用いて、トークンのセッションid定義域から、要素が選択される。その後、要素の値に基づいて、セッションIDが生成される。第2のプロセッサを用いて、セキュアなトークンから、メッセージが選択的に受け取られる。第2のプロセッサによって、ランダムな文字列が選択される。ランダムな文字列は、第2のプロセッサを介して、第1のプロセッサに送られる。その後、文字列は、第1のプロセッサ内に記憶される。第2のプロセッサによって選択されたランダムな文字列に基づいて、ライブ定義域集合(live domain set)およびテスト定義域集合(test domain set)が、第1のプロセッサと第2のプロセッサによって合意される。
本発明の例示的な実施の特徴は、明細書、特許請求の範囲、および添付の図面から明らかになろう。
知られているガーブル回路100の図である。 耐タンパ性トークンを有し、耐タンパ性トークンを介して図1の知られているガーブル回路などのメッセージを中継するように構成された、セキュアなSFEシステムの例示的な構成200を示すブロック図である。 本発明の原理によって構成されたシステムの例示的な構成300を示すブロック図である。
SFEシステムは、図1で説明されたガーブル回路100(従来技術)などの、知られているセキュアなアルゴリズムを使用して、メッセージを生成することができる。
図2は、ネットワーク内におけるデバイス間のセキュアなトランザクションを容易にするための、改良されたセキュアなトランザクションシステム200についての、例示的な一実施形態を示している。システム200は、第1のデバイス210を含む。第1のデバイス210に代わってメッセージを暗号化し、それを配送するように構成された、セキュアなエージェント220が提供される。セキュアなエージェント220は、第1のデバイス210によってエージェント220内に埋め込まれた大きな定義域240からランダムに取り出された、秘密鍵230を有する。セキュアなエージェント220からメッセージを獲得し、セキュアなエージェント220にセッションIDを与えるように構成された、第2のデバイス250が提供される。第2のデバイス250は、第2のデバイス250によって選択されたセッションIDに基づいて、対応するセッション鍵260を第1のデバイス210に要求することによって、セキュアなエージェント220によるメッセージ生成の正しさを選択的にテストすることができる。テストは、トランザクション中、セキュアなエージェント220には知られず、予測不可能である。このようにして、第1のデバイス210とエージェント220は、不正行為を防ぐために、分離された状態に保たれる。
第1のデバイス210と動作可能に通信するメモリ270などの記憶デバイスを提供することができる。記憶デバイス270は、例えば、第2のデバイス250との通信を追跡するために第1のデバイス210によって生成されたデータベース、第2のデバイス250によって第1のデバイス210に送られた合意されたランダムな文字列、またはシステム200においてSFEを容易にするための他の任意の適切なデータを含むことができる。
第1のデバイス210および第2のデバイス250は、サーバ、コンピュータ、セルフォン、PDA、またはSFEを容易にするのに適した他の任意のデバイスなどの、適切なデバイスの任意の組み合わせを含むことができる。
システム200においてメッセージを生成し、暗号化するために、適切な疑似ランダム関数発生器(PRFG:pseudorandom function generator)を、セキュアなエージェント220によって使用することができる。本明細書の原理に従って、本明細書のPRFG機能を説明する目的で、基本ツールとしてのAESの使用について説明するが、それは単に、AESが現在最も一般的なPRFGだからであり、AESが一般的な乱数発生器の特性を満たすからである。AESアルゴリズムの一例では、すべての定義域は、指定されたサイズ、すなわち、128ビットを取る。AESは、鍵とメッセージの2つの入力を有する。したがって、AESを利用する場合、セキュアなエージェント220毎に、2つの異なる定義域が存在し、2128が定義域のサイズである。
AESの使用は、システムの定義域を定義する。最初に、マスタ鍵とセッション鍵のための定義域が存在する。次に、メッセージとセッションIDのための定義域が存在する。これらの定義域の各々は、攻撃を防ぐために、大きくなければならない。また、定義域が大きいため、各エージェントは、多くのメッセージを生成することができる。
第2のデバイス250が生成できるセッションIDの使用に関して、第2のデバイス250には3つの可能性が起こり得る。第2のデバイス250は、セッションIDを用いて何もしなくてよく、もしくはエージェント220がメッセージ内で真実を告げているかどうかを調べるテストのためにセッションIDを使用することができ、またはセッションIDは、ライブSFEのために使用することができる。
第1のデバイス210によって、または第1のデバイス210と動作可能に通信する周辺デバイスによって、第2のデバイス250から第1のデバイス210への要求を追跡するためにも異なる方法が存在する。1つの方法は、例えば、第1のデバイス210に関連付けられた、または第1のデバイス210内に備えられたメモリ270内に要求を記憶することによって、要求を追跡することを含む。クライアントが第1のデバイス210からのセッション鍵260を要求する場合、第1のデバイス210は、例えば、メモリ270内のデータベースにセッション鍵260を追加することができる。第1のデバイス210は、このシナリオにおいて与えられるメモリ270などの、関連付けられたメモリ内に2つのデータベースを維持することができる。最初に、第1のデバイスは、セッション鍵が第2のデバイス250からの要求によってオープンされた場合に、セッション鍵を記録するデータベースを維持することができる。次に、第1のデバイスは、ライブSFEのために使用されたセッション鍵260のためのデータベースも維持しなければならない。
第1のデバイス210、クライアントが、関連付けられたプロセッサもしくはサーバP1などを介して、またはそれ自体がプロセッサもしくはサーバである第1のデバイス210が、セッション鍵260をオープンした後は、もはやライブSFEのために鍵260を使用することはできない。加えて、第2のデバイス250に関連付けられたプロセッサもしくはサーバP2、またはそれ自体がプロセッサもしくはサーバである第2のデバイス250、クライアントが、第1のデバイス210または関連付けられたプロセッサもしくはサーバP1を用いて、ライブSFEを実行した後は、もはや鍵260をオープンすることはできない。
第2のデバイス250は、第1のデバイス210にセッションIDを与えることによって、セッション鍵260を要求することができる。次に、第1のデバイス210は、セッション鍵260を返してよいかどうかを調べるチェックを行う。セッション鍵260が、例えば、メモリ270内に含まれる実行ライブデータベースのメンバでない場合、第1のデバイス210は、セッション鍵260を返してよい。
代替として、第1のデバイス210および第2のデバイス250は、それぞれ、ライブ定義域およびテスト定義域に合意することができる。この場合、SFEリプレイ(SFE replay)の可能性が、ある状況下では存在し得る。これらの状況下では、以下で説明される図3に示されたカウンタ380などの、カウンタを維持することができる。カウンタ380は、セッションIDが、SFE実行のために以前に受け取ったセッションIDの繰り返しでないことを確認するために、セッションID(または関連する値)が増加しているかどうかを判定することができる。
合意および内容は、直接的に第1のデバイス210と第2のデバイス250の間のものであり、エージェント220とは共有されないので、エージェント220は、定義域がライブであるか、それともテストであるかを知らないばかりでなく、定義域は、エージェント220には完全に予測不可能である。
さらに、エージェント220からのメッセージは、第2のデバイス250によって第1のデバイス210に大量に送ることができる。バルクメッセージが送られる場合、第1のデバイス210と第2のデバイス250の間で必要とされるラウンドトリップ通信は、それぞれ1回のみである。
第1のデバイス210はセッション鍵260を知っており、第2のデバイス250は要求とともにセッションIDを第1のデバイス210に送るので、第1のデバイス210は、第2のデバイス250からの要求をオープンすることができるという点で、システム200は有利である。第1のデバイス210とエージェント220の分離は、不正行為を防ぐうえで重要な役割を果たす。具体的には、エージェント220は、第2のデバイス250宛てのメッセージを生成したとき、このメッセージがいつオープンされるか(またはオープンされるかどうか)を決して知ることはない。さらに、エージェント220は、第2のデバイス250を保有しており、第2のデバイス250は、第2のデバイス210またはネットワークに負担を掛けることなく、任意の頻度でエージェント220に問い合わせを行うことができる。本明細書で説明される改良を用いる場合、オープンは、第2のデバイス250が第1のデバイス210に短い文字列を送ることから成る。そのため、エージェント220を第2のデバイス250に与える前に、エージェント220をプログラミングすることによって、エージェント220の戦略を最終的に決定する第1のデバイス210は、エージェント220が不正行為を行った場合、1に任意に近い確率でそれを見出す。
この見出す確率は、標準的な従来技術の切断選択法(cut−and−choose technique)と著しい対照をなしており、切断選択法では、実行環境とプロトコル記述が、そのような任意に大きい抑止ファクタを妨げている。具体的には、実際上、オーバヘッドのせいで、標準的な切断選択を用いる場合の見出す確率は、通常、たかだか
Figure 2013513302
Figure 2013513302
 の間に設定される。
図3に示される別の例示的な実施形態では、SFEにおいて耐タンパ性トークンを利用するためのシステム300が説明される。システム300は、埋め込み秘密マスタ鍵330を有する、少なくとも1つのセキュアな、または耐タンパ性のトークン320を生成し、それを送るように構成された、第1のプロセッサまたはサーバ310を含む。秘密マスタ鍵330は、大きな定義域340からランダムに取り出される。トークン320は、セッションIDを受け取ったときに、メッセージを生成し、それを送ることが可能である。セッションIDをトークンに送り、トークンがセッションIDを受け取った後にトークン320によって送られたメッセージを獲得するように構成された、第2のプロセッサまたはサーバ350も提供される。第2のプロセッサ350は、第1のプロセッサ310からの対応するセッション鍵360を選択的に要求する。
大きな定義域340は、例えばAESとともに使用される、2128の鍵定義域によってさらに定義することができる。
本明細書で説明されるトークン320は、耐タンパ性トークンでなければならない。耐タンパ性とは、トークン320のメモリを見ること、または発見することができず、そのメモリを変更できないことを意味する。トークン320が耐タンパ性トークンではない場合、クライアントまたは第2のサーバP1は、不正行為を行うことができる。
トークン320は、実行と実行の間に、状態(例えば、カウンタおよび他の変数)を維持する必要がない。したがって、本発明のプロトコルは、第2のプロセッサ350など、攻撃者によって、トークン320を「リセット」できる場合であっても、安全である。リセットとは、トークンの状態が、通信の開始時に提供された元の状態にリセットされることを意味する。
対応するセッション鍵360は、第2のプロセッサ350によって第1のプロセッサ310から要求された後、第1のプロセッサ310によってデータベース内に保持することができる。対応するセッション鍵360は、それが第1のプロセッサ310のデータベースのメンバでない場合にのみ、SFE評価のための基礎として使用することができる。
第1のプロセッサ310および第2のプロセッサ350は、それぞれ、サーバ、コンピュータ、電話、関連デバイス、またはSFE評価に適した他の任意のデバイスなど、任意の適切なデバイスを含むことができる。
図2に関して上で説明したように、対応するセッション鍵360は、それが第2のプロセッサ350によってまだ要求されていない場合、第1のプロセッサ310のメモリ370内に記憶されたランダムな文字列に基づいて、ライブ評価のために利用可能とすることができる。
メッセージは、図1に示された、知られている例示的なガーブル回路100などの、ガーブル回路とすることができ、少なくとも1つのセキュアなトークン320によって生成される。
別の実施形態では、通信ネットワークにおいてSFEトランザクションを生成するための費用効果の高いシステムが説明される。システムは、耐タンパ性トークンを生成するように構成された第1のサーバを含む。トークンは、大きな定義域から取り出された埋め込みランダム鍵を有する。鍵は、第1のサーバと同期させられ、または等しい。トークンは、メッセージを生成し、送ることが可能である。メッセージをトークンから受け取り、トークンのセッションIDの定義域から要素を選択するように構成された、第2のサーバも提供される。第2のサーバは、第1のサーバからの対応するセッション鍵を選択的に要求することができ、またはライブSFEを実行することができる。
第1のサーバと第2のサーバは、ランダムなライブ定義域およびテスト定義域に合意することができる。ライブ定義域およびテスト定義域は、トークンには知られず、全く予測不可能である。第1のサーバと第2のサーバは、ライブ定義域およびテスト定義域を決定する鍵をランダムに選択し、記憶する。
第1のサーバは、第2のサーバからの要求で、セッションIDがテスト定義域のメンバである場合は、対応するセッション鍵を計算し、対応するセッション鍵を第2のサーバに送り返すことができる。
メッセージは、ガーブル回路生成アルゴリズムに従って、トークンによって生成されたガーブル回路とすることができる。
また別の実施形態では、セキュアなSFEトランザクションを提供するための方法が説明される。方法は、以下のステップを含む。最初に、第1のプロセッサを使用して、セキュアなトークンが生成される。セキュアなトークンは、大きな定義域から取り出された埋め込みマスタ鍵を有する。トークンは、メッセージを生成し、送ることが可能である。次に、第2のプロセッサを使用して、セッションIDの定義域から、要素が選択される。その後、セッション鍵が、マスタ鍵とセッションIDとに基づいて、セキュアなトークンを介して生成される。セッションIDは、第2のサーバのために、要素を使用して生成される。その後、第2のプロセッサを使用して、セキュアなトークンから、メッセージが選択的に受け取られる。最後に、トークンによって生成され、出力されたメッセージの真実性を検証するために、セッションIDを使用して、セッション鍵を第1のプロセッサから第2のプロセッサによって選択的に獲得することができる。
また別の実施形態では、セキュアなSFEシステムが説明される。システムは、第1のサーバP1を含む。第2のサーバP2も提供される。第1のサーバP1は、セキュアなトークンTを生成するように構成される。セキュアなトークンTは、P1からの暗号化メッセージを生成するための回路と、大きな定義域を有する埋め込み鍵の両方を含む。第2のサーバP2は、セッションIDを生成し、セッションIDを選択的に送信することができる。
P2は、セッションIDを使用して、対応するセッション鍵をP1に選択的に要求することができ、その場合、対応するセッション鍵が要求されたかどうかをTが知ることはないため、TとP1とは分離され、不正行為が防がれる。
さらなる一実施形態では、セキュアなSFEトランザクションを提供するための方法が説明される。方法は、以下のステップを含む。最初に、セキュアなトークンが生成される。セキュアなトークンは、埋め込みPRFG鍵を有し、その鍵は、大きな定義域を有し、第1のプロセッサと同期させられる。次に、第2のプロセッサを用いて、トークンのセッションid定義域から、要素が選択される。その後、要素の値に基づいて、セッションIDが生成される。第2のプロセッサを用いて、セキュアなトークンから、メッセージが選択的に受け取られる。第2のプロセッサによって、ランダムな文字列が選択される。ランダムな文字列は、第2のプロセッサを介して、第1のプロセッサに送られる。その後、文字列は、第1のプロセッサ内に記憶される。第2のプロセッサによって選択されたランダムな文字列に基づいて、ライブ定義域集合およびテスト定義域集合が、第1のプロセッサと第2のプロセッサによって合意される。
方法は、セッションIDに基づいて、第2のプロセッサによって、対応するセッション鍵を第1のプロセッサに選択的に要求することをさらに含むことができる。
さらに、ランダムな文字列は、AES生成器から選択された128ビット文字列によってさらに定義することができ、第2のプロセッサからのテストクエリおよびライブクエリはどれも、第1のプロセッサによってログに記録される必要がない。
方法は、第2のプロセッサによって受け取られたいくつかのメッセージに基づいて、大量の対応するセッション鍵を第1のプロセッサに選択的に要求するステップをさらに含むことができる。
方法は、ライブ実行のために第2のサーバによって第1のサーバに提示されたセッションidに関連するカウンタを維持するステップも含むことができる。カウンタは、セッションIDが常に増加しているかどうかを判定することができ、それによって、リプレイが防止される。これは、同じシード(seed)を用いて複数の実行が発生し得る場合に、特に重要である。
方法は、テスト定義域集合およびライブ定義域集合を以下のように形成することによって、さらに定義することができる:疑似ランダム順列生成器(PRPG:pseudo−random permutation generator)を使用し、定義域をDによって、PRPGの鍵空間をFによって表す。ランダムな文字列は、第2のプロセッサを介して、Fの鍵であるkDとして選択される。kは、第2のプロセッサを介して、第1のプロセッサに送られる。最後に、文字列は、第1のプロセッサ内に記憶され、第1のプロセッサと第2のプロセッサは、集合
Figure 2013513302
 および
Figure 2013513302
 に合意し、t∈TESTは、第1のプロセッサによって実行のために受け入れられることはなく、任意の要素l∈LIVEは、第1のプロセッサによってオープンされることはなく、第1のプロセッサは、トークンTが、定義域LIVEとTESTを見分ける能力を、実際には予測可能性を有さないように、鍵kを記憶する。
さらに、方法は、バルクの対応セッション鍵要求(bulk corresponding session keys request)を形成するために、要求とともに第1のサーバに送られる対応するセッション鍵を求める複数の要求を含むことができ、第1のサーバと第2のサーバの間の通信は、バルクの対応セッション鍵要求を用いることで減少させられる。
ネットワーク内におけるデバイス間のセキュアなトランザクションを容易にするためのセキュアなトランザクションシステムについてのまた別の実施形態は、第1のデバイスを提供することを含む。第1のデバイスの代わりにメッセージを暗号化し、それを配送するように構成された、セキュアなエージェントが提供される。セキュアなエージェントは、第1のデバイスによってエージェント内に埋め込まれた大きな定義域からランダムに取り出された、秘密鍵を有する。セキュアなエージェントからメッセージを獲得するように構成された、第2のデバイスが提供される。第2のデバイスは、セキュアなエージェントから獲得したメッセージの真実性を、第1のデバイスから獲得したセッション鍵を用いて、選択的にテストすることができる。テストは、トランザクション中、セキュアなエージェントには知られず、予測不可能である。
本明細書で説明された実施形態は、SFEシステムおよび方法に関し、SFEシステムおよび方法は、アナログ電子システム、デジタル電子システム、マイクロプロセッサおよび他の処理要素、ならびにそのようなシステムおよび処理要素と連携して、方法、プロセス、または方針を実施するための、ソフトウェアおよび他の方法で具現されるステップおよび命令などの集まりを含むが、それらに限定されない、様々な電子的および光学的な技術を使用して実施することができる。電気通信技術では、情報または信号を伝達するための機構、構造、または方法を実施するために、様々な信号リード線、バス、データ経路、データ構造、チャネル、バッファ、メッセージパッシングインタフェース、および他の通信経路を使用することができ、それらはしばしば機能的には等価であることが理解されよう。したがって、別途言及されない限り、信号または情報を伝達するための装置またはデータ構造に対する言及は、一般にすべての機能的に等価な装置およびデータ構造に対する言及であることが意図されている。
しかし、本出願の教示は、本発明の主旨から逸脱することなく、(おそらく当業者が理解できる変更が施された)他のタイプのワイヤレスネットワークにも適用できることが当業者には理解されよう。
具体的には、コストが最小の、セキュアなSFEの新規なシステムおよび方法は、本発明の主旨から逸脱することなく、様々な通信環境において提供することができる。例えば、ステップは、異なる順序で実行することができ、またはステップは、追加、削除、または変更することができる。さらに、シグナリングおよび媒体レイヤは、本明細書で説明された原理から逸脱することなく、内部加入者網に結び付けることができる。
本明細書で説明された実施形態は、例示的なものである。したがって、実施形態は特定の技術に関して説明されたが、本発明の主旨との調和を保ちながら、他の同等の技術を使用して、システムを実施できることが理解されよう。
本明細書で説明された方法は、プログラムされたプロセッサ上で実行されたときに、新規なプロトコルを達成する命令を記憶する、コンピュータ可読記憶媒体を含むことができる。
本明細書では、本発明の例示的な実施が詳細に示され、説明されたが、本発明の主旨から逸脱することなく、様々な変更、追加、および置換などを施すことができ、したがって、これらは、以下の特許請求の範囲において明確に定められる本発明の範囲内にあると見なされることが当業者には明らかであろう。

Claims (10)

  1. SFEにおいて耐タンパ性トークンを利用するためのシステムであって、
    埋め込み秘密マスタ鍵を有する少なくとも1つのセキュアなトークンを生成し、それを送るように構成された第1のプロセッサであって、埋め込みマスタ鍵は、大きな定義域からランダムに取り出され、トークンは、セッションIDを受け取ったときに、メッセージを生成し、それを送ることが可能である、第1のプロセッサと、
    セッションIDをトークンに送り、トークンがセッションIDを受け取った後にトークンによって送られたメッセージを獲得するように構成された第2のプロセッサと
    を備え、
    第2のプロセッサが、第1のプロセッサからの対応するセッション鍵を選択的に要求する、
    システム。
  2. 大きな定義域が、AESとともに使用される2128の鍵定義域によってさらに定義される、請求項1に記載のシステム。
  3. 対応するセッション鍵が、第1のプロセッサに要求された後、対応するセッション鍵が、第1のプロセッサによってデータベース内に保持され、対応するセッション鍵が、第1のプロセッサのデータベースのメンバでない場合にのみ、対応するセッション鍵が、SFE評価のための基礎として使用される、請求項1に記載のシステム。
  4. 第2のプロセッサが、サーバである、請求項1に記載のシステム。
  5. 対応するセッション鍵が、第2のサーバによってまだ要求されていない場合、対応するセッション鍵が、ライブ評価のために利用可能である、請求項4に記載のシステム。
  6. メッセージが、少なくとも1つのセキュアなトークンによって生成されたガーブル回路である、請求項1に記載のシステム。
  7. セキュアなSFEトランザクションを提供するための方法であって、
    埋め込みPRFG鍵を有するセキュアなトークンを生成するステップであって、鍵は、大きな定義域を有し、鍵は、第1のプロセッサと同期させられる、ステップと、
    b)第2のプロセッサを用いて、トークンのセッションid定義域から要素を選択するステップと、
    c)要素の値に基づいて、第2のプロセッサを介してセッションIDを生成するステップと、
    d)第2のプロセッサを用いて、セキュアなトークンからメッセージを受け取るステップと、
    e)第2のプロセッサによって選択されたランダムな文字列に基づいて、第1のプロセッサと第2のプロセッサによって合意されたライブ定義域集合およびテスト定義域集合を形成するステップと、
    f)第2のプロセッサを介して第1のプロセッサにランダムな文字列を送るステップと、
    g)文字列を第1のプロセッサ内に記憶するステップと
    を含む、方法。
  8. h)セッションIDに基づいて、第2のプロセッサによって、第1のプロセッサからの対応するセッション鍵を選択的に要求するステップをさらに含む、請求項7に記載の方法。
  9. ステップe)のランダムな文字列が、AES生成器から選択された128ビット文字列によってさらに定義され、第2のプロセッサからのテストクエリおよびライブクエリはどれも、第1のプロセッサによってログに記録される必要がない、請求項7に記載の方法。
  10. ステップe)が、疑似ランダム順列生成器(PRPG)を使用し、定義域をDによって、PRPGの鍵空間をFによって表し、ランダムな文字列を、第2のプロセッサを介して、Fの鍵であるkDとして選択し、kを第1のプロセッサに送ることによってさらに定義され、第1のプロセッサと第2のプロセッサが、集合
    Figure 2013513302
     および
    Figure 2013513302
     に合意し、t∈TESTは、第1のプロセッサによって実行のために受け入れられることはなく、任意の要素l∈LIVEは、第1のプロセッサによってオープンされることはなく、第1のプロセッサは、トークンTが、定義域LIVEとTESTを見分ける能力を有さないように、鍵kを記憶する、請求項7に記載の方法。
JP2012542093A 2009-12-04 2010-11-23 埋め込みsfe:ハードウェアトークンを使用したサーバおよびネットワークの負荷軽減 Pending JP2013513302A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/592,907 US8683204B2 (en) 2009-12-04 2009-12-04 Efficient techniques for achieving secure transactions using tamper-resistant tokens
US12/592,907 2009-12-04
PCT/US2010/057769 WO2011068719A1 (en) 2009-12-04 2010-11-23 Embedded sfe: offloading server and network using hardware token

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2014123153A Division JP5944437B2 (ja) 2009-12-04 2014-06-16 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術

Publications (1)

Publication Number Publication Date
JP2013513302A true JP2013513302A (ja) 2013-04-18

Family

ID=43589918

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2012542093A Pending JP2013513302A (ja) 2009-12-04 2010-11-23 埋め込みsfe:ハードウェアトークンを使用したサーバおよびネットワークの負荷軽減
JP2014123153A Expired - Fee Related JP5944437B2 (ja) 2009-12-04 2014-06-16 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2014123153A Expired - Fee Related JP5944437B2 (ja) 2009-12-04 2014-06-16 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術

Country Status (6)

Country Link
US (1) US8683204B2 (ja)
EP (1) EP2507934A1 (ja)
JP (2) JP2013513302A (ja)
KR (2) KR101580485B1 (ja)
CN (1) CN102668445B (ja)
WO (1) WO2011068719A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019049641A (ja) * 2017-09-11 2019-03-28 日本電信電話株式会社 難読化回路生成装置、難読化回路計算装置、難読化回路生成方法、難読化回路計算方法、プログラム
US10973238B2 (en) 2011-03-11 2021-04-13 Intercontinental Great Brands Llc System and method of forming multilayer confectionery

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8782408B2 (en) 2009-03-25 2014-07-15 Pacid Technologies, Llc Method and system for securing communication
WO2010111447A1 (en) 2009-03-25 2010-09-30 Pacid Technologies, Llc Method and system for securing a file
WO2010111438A2 (en) 2009-03-25 2010-09-30 Pacid Technologies, Llc System and method for protecting a secrets file
US8539220B2 (en) 2010-02-26 2013-09-17 Microsoft Corporation Secure computation using a server module
US9077539B2 (en) * 2011-03-09 2015-07-07 Microsoft Technology Licensing, Llc Server-aided multi-party protocols
EP2983156B1 (fr) * 2014-08-06 2019-07-24 Secure-IC SAS Système et procédé de protection de circuit
KR102314917B1 (ko) * 2015-03-19 2021-10-21 삼성전자주식회사 통신 시스템에서 디바이스들 간의 연결 설정 방법 및 장치
CN110661764A (zh) 2018-06-29 2020-01-07 阿里巴巴集团控股有限公司 安全多方计算协议的输入获取方法和装置
US10999082B2 (en) 2018-09-28 2021-05-04 Analog Devices, Inc. Localized garbled circuit device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5717756A (en) * 1995-10-12 1998-02-10 International Business Machines Corporation System and method for providing masquerade protection in a computer network using hardware and timestamp-specific single use keys
US7231526B2 (en) * 2001-10-26 2007-06-12 Authenex, Inc. System and method for validating a network session
JP2005258606A (ja) * 2004-03-10 2005-09-22 Hitachi Ltd 情報漏洩監査機能付きネットワークシステム
US9171187B2 (en) * 2005-05-13 2015-10-27 Nokia Technologies Oy Implementation of an integrity-protected secure storage
JP2009048283A (ja) * 2007-08-15 2009-03-05 Fujitsu Broad Solution & Consulting Inc 改ざん防止プログラム、改ざん防止装置、改ざん防止システム、および改ざん防止方法
US8761390B2 (en) * 2008-06-30 2014-06-24 Gm Global Technology Operations Production of cryptographic keys for an embedded processing device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6013052441; Yu, Y. et al.: 'Securely Utilizing External Computing Power' Proceedings of the Information Conference on Information Technology:Coding and Computing , 2005 *
JPN6013052442; Ibrahim, M. H. et al.: 'Secure Function Collection with Sublinear Storage' Lecture Notes in Computere Science Vol.5556, 200907, p.534-545 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10973238B2 (en) 2011-03-11 2021-04-13 Intercontinental Great Brands Llc System and method of forming multilayer confectionery
US11930830B2 (en) 2011-03-11 2024-03-19 Intercontinental Great Brands Llc System and method of forming multilayer confectionery
JP2019049641A (ja) * 2017-09-11 2019-03-28 日本電信電話株式会社 難読化回路生成装置、難読化回路計算装置、難読化回路生成方法、難読化回路計算方法、プログラム

Also Published As

Publication number Publication date
EP2507934A1 (en) 2012-10-10
KR101467067B1 (ko) 2014-12-10
US20110138184A1 (en) 2011-06-09
KR20120088809A (ko) 2012-08-08
WO2011068719A1 (en) 2011-06-09
JP2014197885A (ja) 2014-10-16
JP5944437B2 (ja) 2016-07-05
KR20140080559A (ko) 2014-06-30
CN102668445B (zh) 2015-08-19
KR101580485B1 (ko) 2015-12-28
US8683204B2 (en) 2014-03-25
CN102668445A (zh) 2012-09-12

Similar Documents

Publication Publication Date Title
JP5944437B2 (ja) 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術
CN110914851B (zh) 提高区块链网络与外部数据源之间的通信的完整性
CA2197915C (en) Cryptographic key recovery system
CA2747891C (en) Method for generating an encryption/decryption key
US20230254129A1 (en) Key management for multi-party computation
US11374910B2 (en) Method and apparatus for effecting a data-based activity
WO2007103906A2 (en) Secure data transmission using undiscoverable or black data
JP6950745B2 (ja) 鍵交換装置、鍵交換システム、鍵交換方法、及び鍵交換プログラム
CN108768647B (zh) 一种区块链的随机数产生方法
US20230188325A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
US11637817B2 (en) Method and apparatus for effecting a data-based activity
US20200235915A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
EP2892206A1 (en) A system and method for push framework security
CN113722749A (zh) 基于加密算法的区块链baas服务的数据处理方法及装置
Yang et al. Provable Ownership of Encrypted Files in De-duplication Cloud Storage.
Blaze Oblivious key escrow
Sarumi A review of encryption methods for secure data communication
WO2023115603A1 (zh) 一种基于半可信硬件的多方隐私计算方法及装置
Kim et al. A Secure Encapsulation Schemes Based on Key Recovery System
CN117294522A (zh) 基于区块链的金融数据共享方法、装置、设备和存储介质
CN116846547A (zh) 一种基于量子技术的政法数据跨域安全传输模型
JPH1141227A (ja) 暗号データの期間制限付き解読方法
NAZZIWA APPLICATION FRAMEWORK FOR ENCRYPTING DATA FOR CLOUD TRANSMISSION USING A HOMOMORPHIC TOKEN

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140123

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140218