JP2017529807A - 事前共有鍵に基づくエンティティ認証方法及び装置 - Google Patents
事前共有鍵に基づくエンティティ認証方法及び装置 Download PDFInfo
- Publication number
- JP2017529807A JP2017529807A JP2017516887A JP2017516887A JP2017529807A JP 2017529807 A JP2017529807 A JP 2017529807A JP 2017516887 A JP2017516887 A JP 2017516887A JP 2017516887 A JP2017516887 A JP 2017516887A JP 2017529807 A JP2017529807 A JP 2017529807A
- Authority
- JP
- Japan
- Prior art keywords
- entity
- ida
- idb
- equal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Abstract
Description
ステップ1)、エンティティAが乱数NAを生成し、エンティティBに送信することと、
ステップ2)、エンティティBをNAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncは一種暗号化認証アルゴリズムであり、AADが前記暗号化認証アルゴリズムに必要な他の認証データであり、IVが初期ベクトルであることと、
ステップ3)、エンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことと、
ステップ4)、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
ステップ5)、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことと、
ステップ6)、エンティティBが共有キーシード
ステップ7)、エンティティBが第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信し、その中、MsgID2が一つのメッセージシーケンス番号であることと、
ステップ8)、エンティティAがMacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められる。
前記送受信ユニットは、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するするととに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられ、
前記処理ユニットは、乱数NAを生成するために用いられ、
前記処理ユニットは、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
前記処理ユニットは、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身元が正当であるために用いられる。
前記送受信ユニットは、他の装置が送信してくる乱数NAを受信するために用いられ、
前記送受信ユニットは、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられ、
前記送受信ユニットは、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられ、
前記処理ユニットは、乱数NBと、キーシードとしての乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、
前記処理ユニットは、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、共有キーシード
乱数NAを生成し、エンティティBに送信し、
エンティティBが送信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、
キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならばエンティティBの身元が正当であると認められることとを含み、
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティエンティティAの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1とMsgID2とがそれぞれ一つのメッセージシーケンス番号であり、
エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、
エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、
共有キーシード
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティエンティティBの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1及びMsgID2がそれぞれ一つのメッセージシーケンス番号であり、
1)両ネットワークエンティティの間の双方向認証を実現できるとともに後続の通信データを保護するためのマスター鍵を確立する、
2)認証しつつ相手の身元を確認する、
3)同一のアルゴリズム、同一の鍵を利用し、且つデータの暗号化と安全性保護の二つの算出を同時に実行することにより、並行処理の方式を効果的に利用し、効率を大幅に向上させ、ハードウェア算出リソースの消費を低減させ、データ伝送遅延と算出操作重畳の低減に有益である。
ステップ1、エンティティAが乱数NAを生成し、エンティティBに送信することと、
ステップ2、エンティティBがNAを受信した後、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、AuthEncDataBがEncDataBとMACBとを含み、KEIAにより算出して生成され、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が鍵推定アルゴリズムであり、本発明にかかる鍵推定アルゴリズムは例えば-128ビットの擬似ランダム関数(Pseudo-Random Function-128:PRF-128)等のアルゴリズムであり、AuthEncは暗号化認証アルゴリズムであり、本発明にかかる暗号化認証アルゴリズムは例えばガロアカウンタモード(Galois Counter Mode:GCM)等のアルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティBの生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルである。ここの「||」がフィールド間のカスケードを示し、フィールドの前後順序を限定せず、以下で同様である。また、本発明において「||」によりカスケーディングされた後のフィールドも一つの「フィールドグループ」を構成すると認められてもよく、なお、本発明における「フィールドグループ」がオープンであり、すなわち、「フィールドグループ」に含まれるフィールドを除いて、他のフィールドも「フィールドグループ」に含まれることを排除しないことと、
ステップ3、エンティティAがNB||NA||AuthEncDataBを受信した後に、復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ4、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
ステップ5、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に、復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ6、エンティティBが共有キーシード
ステップ7、エンティティBがメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信する。その中、MsgID2は一つのメッセージシーケンス番号である(メッセージシーケンス番号は両方が予め確定されてもよく、両方がメッセージの交換により得られても良い)ことと、
ステップ8、エンティティAがMacTagBを受信した後に、まず、メッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められることとを含む。
前記第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは鍵推定アルゴリズムから生成し、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
3.1、受信したNAと、先にエンティティBに送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
3.2、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
3.3、AuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかをチェックし、そうでないと検証が正しくなく、復号化されたNAと先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataBはEncDataBとMACBとを含み、KEIAにより復号化検証を行い、AuthDecは復号化認証アルゴリズムであり、本発明にかかる復号化認証アルゴリズムは例えばガロアカウンタモード(Galois Counter Mode,GCM)等のアルゴリズムであってもよく、AADとIV値との設置方法はステップ2におけるAADとIV値とを設置する方法と同じである。
前記第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
5.1、受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.2、受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.3、AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと、検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNAとNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataAはEncDataAとMACAとを含み、KEIAにより復号化検証を行い、AuthDecは復号化認証アルゴリズムであり、AADとIV値との設置方法はステップ4においてAADとIV値を設置する方法と同じである。
ステップ10、乱数NAを生成し、エンティティBに送信することと、
ステップ20、エンティティBが受信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ30、キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
ステップ40、エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められることとを含む。
ステップ21、受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ22、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
ステップ23、第1の認証暗号化データAuthEncDataBおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、第1の暗号化認証データAuthEncDataBはEncDataBとMACBとを含み、KEIAにより復号化検証を行い、他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者はとも規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、KDF3は一種の鍵推定アルゴリズムである。
ステップ100、エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||Z SEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信することと、
ステップ200、エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップステップ300を実行することと、
ステップ300、共有キーシード
AuthEncDataBがEncDataBとMACBとを含み、KEIAにより算出して生成され、
他の認証データAADがプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合し、
初期ベクトルIVが鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低いの96ビット値として設置されることを含む。その中、KDF3は、一種の鍵推定アルゴリズムである。
ステップ201、受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ202、受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ203、AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACA、と受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataAはEncDataAとMACAとを含み、KEIAにより復号化検証を行い、他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、KDF3は一種の鍵推定アルゴリズムである。
前記記憶ユニット11は、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDBを記憶するために用いられ、前記送受信ユニットは、乱数NAを他の装置に送信するとともに、他の装置が送信するNB||NA||AuthEncDataBを受信するために用いられる。
前記送受信ユニット13は、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するとともに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられる。
前記処理ユニット12は、乱数NAを生成するために用いられる。
前記処理ユニット12は、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられる。
前記処理ユニット12は、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
前記処理ユニット12は、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身分が正当であるために用いられる。
前記処理ユニット12が受信したNAと、他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット12が鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
前記処理ユニット12がAuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataB中的MACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに当該装置と他の装置の身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先に他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことであり、その中、AuthDecが復号化認証アルゴリズムである。
なお、以上の検証過程は厳しい順序要求がなく、上記いずれか一つの検証が正しくない場合に、他の装置が送信きたNB||NA||AuthEncDataBに対する検証結果が正しくないと認められる。
他の認証データAADはプロトコルパラメータからなり、処理ユニット12はAAD=SEP||PIDとして設置され、SEPとPIDとが規格ISO/IEC 13157-1の定義に符合する。
初期ベクトルIVは鍵推定アルゴリズムにより生成され、処理ユニット12はKDF3 (MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
前記記憶ユニット21は、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDAを記憶するために用いられる。
前記送受信ユニット23は、他の装置が送信してくる乱数NAを受信するために用いられる。
前記送受信ユニット23は、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられる。
前記送受信ユニット23は、さらに、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられる。
前記処理ユニット22は、乱数NBと、キーシードとしての乱数ZSEEDBを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルである。
前記処理ユニット22は、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられる。
前記処理ユニット22は、共有キーシード
前記処理ユニット22が受信したNAと、他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット22が受信したNBと、他の装置に送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット22がAuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに他の装置と当該装置との身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先に他の装置に送信したNA、NBとが等しいかどうかををチェックし、等しくない場合に検証が正しくないことである。
なお、以上の検証過程は厳しい順序要求がなく、上記いずれか一つの検証が正しくない場合に、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められる。
12 処理ユニット
13 送受信ユニット
21 記憶ユニット
22 処理ユニット
23 送受信ユニット
Claims (16)
- 事前共有鍵PSKを共有し且つ互いに相手の身元標識IDAとIDBとを知っているエンティティAと、エンティティBとの間に身元認証を行うための事前共有鍵に基づくエンティティ認証方法であって、前記方法は、
ステップ1)、エンティティAが乱数NAを生成し、エンティティBに送信することと、
ステップ2)、エンティティBがNAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncは一種暗号化認証アルゴリズムであり、AADが前記暗号化認証アルゴリズムに必要な他の認証データであり、IVが初期ベクトルであることと、
ステップ3)、エンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことと、
ステップ4)、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
ステップ5)、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことと、
ステップ6)、エンティティBが共有キーシード
ステップ7)、エンティティBが第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信し、その中、MsgID2が一つのメッセージシーケンス番号であることと、
ステップ8)、エンティティAがMacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められるとを含むこととを特徴とする方法。 - 前記ステップ2)における第1の暗号化認証データAuthEncDataBはEncDataB||MACBを含み、その中、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティBの生成する完全性認証コードであり、
前記ステップ4)における第2の暗号化認証データAuthEncDataAはEncDataA||MACAを含み、その中、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティAの生成する完全性認証コードであることを特徴とする請求項1に記載の方法。 - 前記ステップ2)において第1の暗号化認証データAuthEncDataBを算出し、及び前記ステップ4)において第2の暗号化認証データAuthEncDataAを算出する他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとが規格ISO/IEC13157-1の定義に符合し、
前記ステップ2)において第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、
前記ステップ4)において第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、
その中、KDF3は一種鍵推定アルゴリズムであることを特徴とする請求項1に記載の方法。 - 前記ステップ3)においてエンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
3.1)受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
3.2)鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
3.3)前記AuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAと、IDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであることと、
上記いずれか一つの検証が正しくない場合に、エンティティAが受信したNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることとを含むことを特徴とする請求項2に記載の方法。 - 前記ステップ5)においてエンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
5.1)受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.2)受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.3)前記AuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであることと、
上記いずれか一つの検証が正しくない場合に、エンティティBが受信したNA||NB||EncDataA||MACA||MacTagAに対する検証結果が正しくないと認められることとを含むことを特徴とする請求項2に記載の方法。 - エンティティAがエンティティBに送信するNAは、ACT_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するNB||NA||AuthEncDataBは、ACT_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティAがエンティティBに送信するNA||NB||AuthEncDataA||MacTagAは、VFY_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するMacTagBは、VFY_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、その中、ACT_REQ、ACT_RES、VFY_REQ及VFY_RESは規格ISO/IEC 13157-1の定義に符合するプロトコルデータユニットフォーマットであることを特徴とする請求項1-5のいずれか一項に記載の方法。
- 他の装置と身元認証を行うための装置であって、当該装置は記憶ユニットと、処理ユニットと、送受信ユニットとを含み、
前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDBを記憶するために用いられ、
前記送受信ユニットは、乱数NAを他の装置に送信し、他の装置が送信するNB||NA||AuthEncDataBを受信するために用いられ、
前記送受信ユニットは、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するするととに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられ、
前記処理ユニットは、乱数NAを生成するために用いられ、
前記処理ユニットは、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
前記処理ユニットは、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身元が正当であるために用いられることを特徴とする装置。 - 前記処理ユニットが他の装置の送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うことは、具体的に、
前記処理ユニットが受信したNAと、他の装置に送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニットが鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
前記処理ユニットがAuthEncDataにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに当該装置と他の装置の身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先に他の装置に送信してきたNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであり、
上記いずれか一つの検証が正しくない場合に、他の装置の送信してきたNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることであることを特徴とする請求項7に記載の装置。 - 他の装置と身元認証を行うための装置であって、前記装置は、記憶ユニットと、処理ユニットと、送受信ユニットとを含み、
前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDAを記憶するために用いられ、
前記送受信ユニットは、他の装置が送信してくる乱数NAを受信するために用いられ、
前記送受信ユニットは、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられ、
前記送受信ユニットは、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられ、
前記処理ユニットは、乱数NBと、キーシードとしての乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、
前記処理ユニットは、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、共有キーシード
- 前記処理ユニットがさらに他の装置の送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられることは、具体的に、
前記処理ユニットが受信したNAと、他の装置に送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと
前記処理ユニットが受信したNBと、他の装置に送信するNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニットがAuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに他の装置と当該装置との身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先に他の装置に送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
上記いずれか一つの検証が正しくない場合に、他の装置の送信してきたNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められることである請求項9に記載の装置。 - エンティティAとエンティティBとが身元認証を行う際に、エンティティAの作動方法であって、エンティティAがエンティティBとの間の事前共有鍵PSKを有し、エンティティBの身元標識IDBを知っており、当該方法は、
乱数NAを生成し、エンティティBに送信し、
エンティティBが送信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、
キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならばエンティティBの身元が正当であると認められることとを含み、
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティエンティティAの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1とMsgID2とがそれぞれ一つのメッセージシーケンス番号であり、
- 前記第2の暗号化認証データAuthEncDataAを算出する他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとがいずれも規格ISO/IEC13157-1の定義に符合し、
前記第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、
その中、KDF3は一種の鍵推定アルゴリズムであることを特徴とする請求項11に記載の方法。 - エンティティBが受信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
第1の認証暗号化データAuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
上記いずれか一つの検証が正しくない場合に、受信したNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることを特徴とする請求項11に記載の方法。 - エンティティAとエンティティBとが身元認証を行う際に、エンティティBの作動方法であって、その中、エンティティBがエンティティBとの間の事前共有鍵PSKを有し、且つエンティティAの身元標識IDAを知っており、当該方法は、
エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、
エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、
共有キーシード
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティエンティティBの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1及びMsgID2がそれぞれ一つのメッセージシーケンス番号であり、
- 前記第1の暗号化認証データAuthEncDataBを算出する他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとが規格ISO/IEC13157-1の定義に符合し、
前記第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、
その中、KDF3は一種鍵推定アルゴリズムであることを特徴とする請求項14に記載の方法。 - エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
上記いずれか一つの検証が正しくない場合に、受信したNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められることを特徴とする請求項14に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410554547.6 | 2014-10-17 | ||
CN201410554547.6A CN105577625B (zh) | 2014-10-17 | 2014-10-17 | 基于预共享密钥的实体鉴别方法及装置 |
PCT/CN2015/082041 WO2016058404A1 (zh) | 2014-10-17 | 2015-06-23 | 基于预共享密钥的实体鉴别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017529807A true JP2017529807A (ja) | 2017-10-05 |
JP6417036B2 JP6417036B2 (ja) | 2018-10-31 |
Family
ID=55746088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017516887A Active JP6417036B2 (ja) | 2014-10-17 | 2015-06-23 | 事前共有鍵に基づくエンティティ認証方法及び装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10439801B2 (ja) |
EP (1) | EP3208967B1 (ja) |
JP (1) | JP6417036B2 (ja) |
KR (1) | KR101931894B1 (ja) |
CN (1) | CN105577625B (ja) |
WO (1) | WO2016058404A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023042618A1 (ja) * | 2021-09-14 | 2023-03-23 | Kddi株式会社 | 無線通信端末装置、認証及び鍵共有方法、プログラム、認証及び鍵共有システム |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10263779B2 (en) * | 2015-09-24 | 2019-04-16 | Jonetix Corporation | Secure communications using loop-based authentication flow |
CN107820283B (zh) * | 2016-09-13 | 2021-04-09 | 华为技术有限公司 | 一种网络切换保护方法、相关设备及系统 |
US10891366B1 (en) | 2017-08-18 | 2021-01-12 | Jonetix Corporation | Secure hardware signature and related methods and applications |
US10454681B1 (en) | 2017-11-17 | 2019-10-22 | ISARA Corporation | Multi-use key encapsulation processes |
EP3742665A4 (en) * | 2018-01-19 | 2021-08-18 | Renesas Electronics Corporation | SEMICONDUCTOR COMPONENT, UPDATE DATA PROVISION PROCEDURE, UPDATE DATA RECEIVE PROCEDURE AND PROGRAM |
JP7096998B2 (ja) * | 2018-08-21 | 2022-07-07 | 村田機械株式会社 | 通信許容相手登録方法 |
CN109862040B (zh) * | 2019-03-27 | 2021-08-24 | 北京经纬恒润科技股份有限公司 | 一种安全认证方法及认证系统 |
CN112118223B (zh) * | 2020-08-11 | 2023-06-20 | 北京智芯微电子科技有限公司 | 主站与终端的认证方法、主站、终端及存储介质 |
CN112202553B (zh) * | 2020-09-27 | 2023-04-25 | 北京奇艺世纪科技有限公司 | 数据传输方法、系统、电子设备和存储介质 |
CN114124355B (zh) * | 2021-11-19 | 2024-01-23 | 西安热工研究院有限公司 | 一种基于可扩展认证协议的密钥认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003152717A (ja) * | 2001-11-19 | 2003-05-23 | Hitachi Ltd | 車載機器 |
JP2009044575A (ja) * | 2007-08-10 | 2009-02-26 | Canon Inc | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
JP2011507363A (ja) * | 2007-12-14 | 2011-03-03 | 西安西電捷通無線網絡通信有限公司 | エンティティ双方向認証の方法およびシステム |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100403742C (zh) * | 2003-07-25 | 2008-07-16 | 华为技术有限公司 | 一种媒体网关与媒体网关控制器之间安全认证的方法 |
CN101242323B (zh) * | 2007-02-06 | 2010-12-08 | 华为技术有限公司 | 设备间管道的建立方法和家庭网络系统 |
KR101520617B1 (ko) * | 2007-04-17 | 2015-05-15 | 삼성전자주식회사 | 메시지의 무결성 유지를 위한 메시지 암호화 방법 및 장치,메시지의 무결성 유지를 위한 메시지 복호화 방법 및 장치 |
EP2120393A1 (en) * | 2008-05-14 | 2009-11-18 | Nederlandse Centrale Organisatie Voor Toegepast Natuurwetenschappelijk Onderzoek TNO | Shared secret verification method |
CN101329720B (zh) * | 2008-08-01 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种基于预共享密钥的匿名双向认证方法 |
CN101442531B (zh) * | 2008-12-18 | 2011-06-29 | 西安西电捷通无线网络通信股份有限公司 | 一种安全协议第一条消息的保护方法 |
CN101853369B (zh) * | 2010-04-01 | 2012-09-26 | 西北工业大学 | 基于随机哈希的双向认证方法 |
CN102014386B (zh) * | 2010-10-15 | 2012-05-09 | 西安西电捷通无线网络通信股份有限公司 | 一种基于对称密码算法的实体鉴别方法及系统 |
-
2014
- 2014-10-17 CN CN201410554547.6A patent/CN105577625B/zh active Active
-
2015
- 2015-06-23 KR KR1020177010578A patent/KR101931894B1/ko active IP Right Grant
- 2015-06-23 WO PCT/CN2015/082041 patent/WO2016058404A1/zh active Application Filing
- 2015-06-23 JP JP2017516887A patent/JP6417036B2/ja active Active
- 2015-06-23 EP EP15851121.2A patent/EP3208967B1/en active Active
- 2015-06-23 US US15/510,006 patent/US10439801B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003152717A (ja) * | 2001-11-19 | 2003-05-23 | Hitachi Ltd | 車載機器 |
JP2009044575A (ja) * | 2007-08-10 | 2009-02-26 | Canon Inc | 通信装置、通信装置の通信方法、プログラム、記憶媒体 |
JP2011507363A (ja) * | 2007-12-14 | 2011-03-03 | 西安西電捷通無線網絡通信有限公司 | エンティティ双方向認証の方法およびシステム |
Non-Patent Citations (1)
Title |
---|
丸山不二夫: "Webサービス for Java e−ビジネスシステム構築の基礎", WEB+DB PRESS, vol. 第17巻, JPN6018019117, 25 November 2003 (2003-11-25), JP, pages 223 - 230 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023042618A1 (ja) * | 2021-09-14 | 2023-03-23 | Kddi株式会社 | 無線通信端末装置、認証及び鍵共有方法、プログラム、認証及び鍵共有システム |
Also Published As
Publication number | Publication date |
---|---|
KR20170060072A (ko) | 2017-05-31 |
JP6417036B2 (ja) | 2018-10-31 |
EP3208967A1 (en) | 2017-08-23 |
EP3208967B1 (en) | 2020-04-22 |
CN105577625B (zh) | 2019-04-23 |
EP3208967A4 (en) | 2017-11-01 |
US10439801B2 (en) | 2019-10-08 |
KR101931894B1 (ko) | 2019-03-13 |
US20170310475A1 (en) | 2017-10-26 |
CN105577625A (zh) | 2016-05-11 |
WO2016058404A1 (zh) | 2016-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6417036B2 (ja) | 事前共有鍵に基づくエンティティ認証方法及び装置 | |
US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
US9525557B2 (en) | Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method | |
CN108304902B (zh) | 一种超轻量级的移动rfid系统双向认证方法 | |
US20170085543A1 (en) | Apparatus and method for exchanging encryption key | |
US8332628B2 (en) | Method for accessing data safely suitable for electronic tag | |
CN110381055B (zh) | 医疗供应链中的rfid系统隐私保护认证协议方法 | |
CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
KR102017758B1 (ko) | 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법 | |
EP3128696B1 (en) | Entity authentication method and device | |
CN114143117B (zh) | 数据处理方法及设备 | |
CN102684872B (zh) | 基于对称加密的超高频射频识别空中接口安全通信方法 | |
CN102970676A (zh) | 一种对原始数据进行处理的方法、物联网系统及终端 | |
CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
CN109587149A (zh) | 一种数据的安全通信方法及装置 | |
CN101296077B (zh) | 一种基于总线型拓扑结构的身份认证系统 | |
WO2012075797A1 (zh) | 读写器与电子标签安全通信的方法、读写器及电子标签 | |
CN112787990B (zh) | 一种电力终端可信接入认证方法和系统 | |
CN104915689B (zh) | 一种智能卡信息处理方法 | |
CN104780049B (zh) | 一种安全读写数据的方法 | |
Abyaneh | On the privacy of two tag ownership transfer protocols for RFIDs | |
CN114666039B (zh) | 基于量子密码网络的rfid群组标签认证系统及方法 | |
JP6404958B2 (ja) | 認証システム、方法及びプログラム並びにサーバ | |
AlJanah et al. | A Multi-Factor Homomorphic Encryption based Method for Authenticated Access to IoT Devices | |
CN104954129B (zh) | 实体鉴别方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170328 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180828 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180910 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6417036 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |