JP2017529807A - 事前共有鍵に基づくエンティティ認証方法及び装置 - Google Patents

事前共有鍵に基づくエンティティ認証方法及び装置 Download PDF

Info

Publication number
JP2017529807A
JP2017529807A JP2017516887A JP2017516887A JP2017529807A JP 2017529807 A JP2017529807 A JP 2017529807A JP 2017516887 A JP2017516887 A JP 2017516887A JP 2017516887 A JP2017516887 A JP 2017516887A JP 2017529807 A JP2017529807 A JP 2017529807A
Authority
JP
Japan
Prior art keywords
entity
ida
idb
equal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017516887A
Other languages
English (en)
Other versions
JP6417036B2 (ja
Inventor
▲亞▼楠 胡
▲亞▼楠 胡
志▲強▼ 杜
志▲強▼ 杜
国▲強▼ ▲張▼
国▲強▼ ▲張▼
琴 李
琴 李
Original Assignee
西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 filed Critical 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司
Publication of JP2017529807A publication Critical patent/JP2017529807A/ja
Application granted granted Critical
Publication of JP6417036B2 publication Critical patent/JP6417036B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Abstract

本発明は、事前共有鍵に基づくエンティティ認証方法及び装置である。方法は、エンティティAが乱数NAを生成しエンティティBに送信することと、エンティティBが乱数NBとZSEEDBとを生成し、鍵MKA||KEIA、第1の暗号化認証データAuthEncDataBを算出し、エンティティAに送信して検証することと、エンティティAが乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA、共有キーシードZ、マスター鍵MK、第1のメッセージ認証標識MacTagAを算出し、エンティティBに送信して検証することと、エンティティBがZ、MK,MacTagAを算出し受信したMacTagAと比較し、等しい場合にエンティティAが正当であると認められることと、エンティティBが第2のメッセージ認証標識MacTagBを算出しエンティティAに送信することと、エンティティAがMacTagBを算出し受信したMacTagBと比較し、等しい場合にエンティティBが正当であると認められることである。

Description

本出願は、2014年10月17日に中国専利局に提出され、出願番号が201410554547.6で、発明の名称が「事前共有鍵に基づくエンティティ認証方法及び装置」である中国特許出願の優先権を要求しており、本願で、その全ての内容を援用するものとする。
本発明は、ネットワークセキュリティ技術の分野に属し、特に、事前共有鍵に基づくエンティティ認証方法及び装置に関する。
通信ネットワークについては、例えば、ローカルエリアネットワークWLAN、ワイヤレスセンサーネットワークWSN、近距離無線通信NFC、RF識別RFID、パーソナル・エリア・ネットワークWPAN等、通信の際に、偽造、盗聴、リプレイ等の攻撃を受けやすいので、通信両方の身元の正当性を確保するために、通信の前に必ず、通信両方の間の身元認証問題を解決しなければならない。現在、暗号アルゴリズムに基づく、特に対称暗号アルゴリズムに基づく認証方案において、認証の過程で、一般に認証両方の身元を確認しないことに起因して、身元認証が成功したとしても、相手がある共有する秘密を持つことしか確定できないが、実際にまだ相手が誰であるかを確定できなく、あるセキュリティ上のリスクがある。
背景技術に存在している上記技術的問題を解決するために、事前共有鍵に基づくエンティティ認証方法及び装置を提供する必要がある。事前共有鍵PSKを共有し且つ互いに相手の身元標識IDAとIDBとを知っているエンティティAと、エンティティBとの間に身元認証を行うための事前共有鍵に基づくエンティティ認証方法であって、
ステップ1)、エンティティAが乱数NAを生成し、エンティティBに送信することと、
ステップ2)、エンティティBをNAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncは一種暗号化認証アルゴリズムであり、AADが前記暗号化認証アルゴリズムに必要な他の認証データであり、IVが初期ベクトルであることと、
ステップ3)、エンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことと、
ステップ4)、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、エンティティAがNA||NB||AuthEncDataA||MacTagAをエンティティBに送信し、その中、MsgID1が一つのメッセージシーケンス番号であり、
Figure 2017529807
 がビットごとの排他的論理和を示し、KDF2が一種の鍵推定アルゴリズムであり、MACが一種のメッセージ認証コード生成アルゴリズムであることと、
ステップ5)、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことと、
ステップ6)、エンティティBが共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しいならば、エンティティAの身元が正当であると認められることと、
ステップ7)、エンティティBが第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信し、その中、MsgID2が一つのメッセージシーケンス番号であることと、
ステップ8)、エンティティAがMacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められる。
他の装置と身元認証を行うための装置であって、当該装置は記憶ユニットと、処理ユニットと、送受信ユニットとを含み、前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDBを記憶するために用いられ、前記送受信ユニットは、乱数NAを他の装置に送信し、他の装置が送信するNB||NA||AuthEncDataBを受信するために用いられ、
前記送受信ユニットは、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するするととに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられ、
前記処理ユニットは、乱数NAを生成するために用いられ、
前記処理ユニットは、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAを生成するために用いられ、その中、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAが当該装置の生成する暗号化データであり、MACAが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、IDAが当該装置の身元標識であり、IDBが他の装置の身元標識であり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1が一つのメッセージシーケンス番号であり、MACが一種のメッセージ認証コード生成アルゴリズムであり、
Figure 2017529807
 がビットごとの排他的論理和を示し、
前記処理ユニットは、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身元が正当であるために用いられる。
他の装置と身元認証を行うための装置であって、前記装置は、記憶ユニットと、処理ユニットと、送受信ユニットとを含み、前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDAを記憶するために用いられ、
前記送受信ユニットは、他の装置が送信してくる乱数NAを受信するために用いられ、
前記送受信ユニットは、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられ、
前記送受信ユニットは、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられ、
前記処理ユニットは、乱数NBと、キーシードとしての乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、
前記処理ユニットは、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられ、
前記処理ユニットは、さらに、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならば他の装置の身元が正当であると認められ、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出するために用いられる。
エンティティAとエンティティBとが身元認証を行う際に、エンティティAの作動方法であって、エンティティAがエンティティBとの間の事前共有鍵PSKを有し、エンティティBの身元標識IDBを知っており、
乱数NAを生成し、エンティティBに送信し、
エンティティBが送信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、
キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAをエンティティBに送信し、
エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならばエンティティBの身元が正当であると認められることとを含み、
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティエンティティAの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1とMsgID2とがそれぞれ一つのメッセージシーケンス番号であり、
Figure 2017529807
 がビットごとの排他的論理和を示し、MACが一種のメッセージ認証コード生成アルゴリズムである。
エンティティAとエンティティBとが身元認証を行う際に、エンティティBの作動方法であって、その中、エンティティBがエンティティBとの間の事前共有鍵PSKを有し、且つエンティティAの身元標識IDAを知っており、当該方法は、
エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、
エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、
共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならば、エンティティAの身元が正当であると認められ、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信することとを含み、
その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティエンティティBの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1及びMsgID2がそれぞれ一つのメッセージシーケンス番号であり、
Figure 2017529807
 がビットごとの排他的論理和を示し、MACが一種のメッセージ認証コード生成アルゴリズムである。
本発明は、以下の長所を含む:
1)両ネットワークエンティティの間の双方向認証を実現できるとともに後続の通信データを保護するためのマスター鍵を確立する、
2)認証しつつ相手の身元を確認する、
3)同一のアルゴリズム、同一の鍵を利用し、且つデータの暗号化と安全性保護の二つの算出を同時に実行することにより、並行処理の方式を効果的に利用し、効率を大幅に向上させ、ハードウェア算出リソースの消費を低減させ、データ伝送遅延と算出操作重畳の低減に有益である。
本発明が提供するエンティティAとエンティティBとを含むエンティティ認証システムの模式図である。 本発明においてエンティティAの実行するフローチャートである。 本発明においてエンティティBが実行するフロー模式図である。 本発明においてエンティティAに対応する装置の構成の模式図である。 本発明においてエンティティBに対応する装置の構成の模式図である。
図1を参照して、本発明は、事前共有鍵に基づくエンティティ認証方法を提供し、当該方法を実施する際に、エンティティAとエンティティBとの間に既に事前共有鍵(Pre-Shared key:PSK)を共有しており、且つ互いに相手の身元標識を知っており、エンティティAの身元標識がIDAであり、エンティティBの身元標識がIDBであり、当該方法は、
ステップ1、エンティティAが乱数NAを生成し、エンティティBに送信することと、
ステップ2、エンティティBがNAを受信した後、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、AuthEncDataBがEncDataBとMACBとを含み、KEIAにより算出して生成され、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が鍵推定アルゴリズムであり、本発明にかかる鍵推定アルゴリズムは例えば-128ビットの擬似ランダム関数(Pseudo-Random Function-128:PRF-128)等のアルゴリズムであり、AuthEncは暗号化認証アルゴリズムであり、本発明にかかる暗号化認証アルゴリズムは例えばガロアカウンタモード(Galois Counter Mode:GCM)等のアルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティBの生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルである。ここの「||」がフィールド間のカスケードを示し、フィールドの前後順序を限定せず、以下で同様である。また、本発明において「||」によりカスケーディングされた後のフィールドも一つの「フィールドグループ」を構成すると認められてもよく、なお、本発明における「フィールドグループ」がオープンであり、すなわち、「フィールドグループ」に含まれるフィールドを除いて、他のフィールドも「フィールドグループ」に含まれることを排除しないことと、
ステップ3、エンティティAがNB||NA||AuthEncDataBを受信した後に、復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ4、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出する。その中、AuthEncDataAは、EncDataAとMACAとを含み、KEIAにより算出して生成され、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティエンティティAの生成する完全性認証コードであり、KDF2は一種の鍵推定アルゴリズムであり、MsgID1は一つのメッセージシーケンス番号であり(メッセージシーケンス番号は両方が予め確定されたものであってもよく、両方がメッセージの交換により得られたものであってもよい)、
Figure 2017529807
 がビットごとの排他的論理和を示し、MACはメッセージ認証コード生成アルゴリズムであり、本発明にかかるメッセージ認証コード生成アルゴリズムは例えば暗号に基づくメッセージ認証コード(Cipher-based Message Authentication Code:CMAC)等のアルゴリズムであってもよい。エンティティAはNA||NB||AuthEncDataA||MacTagAをエンティティBに送信することと、
ステップ5、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に、復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ6、エンティティBが共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDBを算出し、メッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならばエンティティAの身元が正当であると認められ、後続のステップを実行することと、
ステップ7、エンティティBがメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信する。その中、MsgID2は一つのメッセージシーケンス番号である(メッセージシーケンス番号は両方が予め確定されてもよく、両方がメッセージの交換により得られても良い)ことと、
ステップ8、エンティティAがMacTagBを受信した後に、まず、メッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められることとを含む。
上記ステップ2において、第1の暗号化認証データAuthEncDataBを算出する他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合する。
前記第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは鍵推定アルゴリズムから生成し、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
上記ステップ3において、エンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
3.1、受信したNAと、先にエンティティBに送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
3.2、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
3.3、AuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかをチェックし、そうでないと検証が正しくなく、復号化されたNAと先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataBはEncDataBとMACBとを含み、KEIAにより復号化検証を行い、AuthDecは復号化認証アルゴリズムであり、本発明にかかる復号化認証アルゴリズムは例えばガロアカウンタモード(Galois Counter Mode,GCM)等のアルゴリズムであってもよく、AADとIV値との設置方法はステップ2におけるAADとIV値とを設置する方法と同じである。
なお、以上の検証過程は厳しい順序要求がなく、且ついずれか一つの検証が正しくなければ、エンティティAが受信したNB||NA||AuthEncDataBに対する検証結果が正しくないと認められる。
上記ステップ4において、第2の暗号化認証データAuthEncDataAを算出する他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合する。
前記第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
上記ステップ5において、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
5.1、受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.2、受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
5.3、AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと、検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNAとNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataAはEncDataAとMACAとを含み、KEIAにより復号化検証を行い、AuthDecは復号化認証アルゴリズムであり、AADとIV値との設置方法はステップ4においてAADとIV値を設置する方法と同じである。
なお、以上の検証過程は厳しい順序要求がなく、且ついずれか一つの検証が正しくない場合に、エンティティBの受信したNA||NB||EncDataA||MACA||MacTagAに対する検証が正しくないと認められる。
図2を参照して、上記エンティティ認証方法に基づいて、本発明は、上記方法を実現するためのエンティティAの作動方法を提供し、
ステップ10、乱数NAを生成し、エンティティBに送信することと、
ステップ20、エンティティBが受信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップを実行することと、
ステップ30、キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAをエンティティBに送信することと、
ステップ40、エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められることとを含む。
上記ステップ20においてエンティティBが送信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
ステップ21、受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ22、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
ステップ23、第1の認証暗号化データAuthEncDataBおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、第1の暗号化認証データAuthEncDataBはEncDataBとMACBとを含み、KEIAにより復号化検証を行い、他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者はとも規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、KDF3は一種の鍵推定アルゴリズムである。
なお、以上の検証過程は厳しい順序要求がなく、且ついずれか一つの検証が正しくない場合に、受信したNB||NA||AuthEncDataBに対する検証結果で正しくないと認められる。
上記ステップ30において算出される第2の暗号化認証データAuthEncDataAはEncDataAとMACAとを含み、KEIAにより算出して生成され、他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムに生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
図3を参照して、上記エンティティ認証方法に基づいて、本発明は、さらに、上記方法を実施するためのエンティティBの作動方法を提供し、
ステップ100、エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||Z SEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信することと、
ステップ200、エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、検証が正しくない場合に認証を終了し、検証が正しい場合に後続のステップステップ300を実行することと、
ステップ300、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、メッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならばエンティティAの身元が正当であると認められ、メッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信することとを含む。
具体的に、上記した第1の暗号化認証データAuthEncDataBを算出することは、
AuthEncDataBがEncDataBとMACBとを含み、KEIAにより算出して生成され、
他の認証データAADがプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合し、
初期ベクトルIVが鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低いの96ビット値として設置されることを含む。その中、KDF3は、一種の鍵推定アルゴリズムである。
上記ステップ200においてエンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
ステップ201、受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ202、受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
ステップ203、AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACA、と受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないこととを含む。その中、AuthEncDataAはEncDataAとMACAとを含み、KEIAにより復号化検証を行い、他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがプロトコルパラメータであり、PIDがプロトコル識別子であり、両者がいずれも規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、KDF3は一種の鍵推定アルゴリズムである。
なお、以上の検証過程は厳しい順序要求がなく、且ついずれか一つの検証が正しくない場合に、受信したNA||NB||AuthEncDataA||MacTagAに対する検証結果は正しくないと認められる。
図4を参照して、上記エンティティ認証方法に基づいて、本発明は、さらに、上記方法を実現するためのエンティティAに対応する装置を提供し、記憶ユニット11と、処理ユニット12と、送受信ユニット13とを含む。
前記記憶ユニット11は、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDBを記憶するために用いられ、前記送受信ユニットは、乱数NAを他の装置に送信するとともに、他の装置が送信するNB||NA||AuthEncDataBを受信するために用いられる。
前記送受信ユニット13は、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するとともに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられる。
前記処理ユニット12は、乱数NAを生成するために用いられる。
前記処理ユニット12は、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられる。
前記処理ユニット12は、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAを生成するために用いられ、その中、AuthEncが一種の暗号化認証アルゴリズムであり、 EncDataAが当該装置の生成する暗号化データであり、MACAが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、IDAが当該装置の身元標識であり、IDBが他の装置の身元標識であり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1が一つのメッセージシーケンス番号であり、MACが一種のメッセージ認証コード生成アルゴリズムであり、
Figure 2017529807
 がビットごとの排他的論理和を示す。
前記処理ユニット12は、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身分が正当であるために用いられる。
前記処理ユニット12が他の装置の送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられることは、具体的に、
前記処理ユニット12が受信したNAと、他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット12が鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
前記処理ユニット12がAuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataB中的MACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに当該装置と他の装置の身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先に他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことであり、その中、AuthDecが復号化認証アルゴリズムである。
なお、以上の検証過程は厳しい順序要求がなく、上記いずれか一つの検証が正しくない場合に、他の装置が送信きたNB||NA||AuthEncDataBに対する検証結果が正しくないと認められる。
上記の処理ユニット12は、さらに、暗号化認証データAuthEncDataAを算出するために用いられ、AuthEncDataAはEncDataAとMACAとを含み、KEIAにより算出して生成される。
他の認証データAADはプロトコルパラメータからなり、処理ユニット12はAAD=SEP||PIDとして設置され、SEPとPIDとが規格ISO/IEC 13157-1の定義に符合する。
初期ベクトルIVは鍵推定アルゴリズムにより生成され、処理ユニット12はKDF3 (MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置される。その中、KDF3は一種の鍵推定アルゴリズムである。
図5を参照して、上記認証方法に基づいて、本発明は、さらに、上記方法を実現するためのエンティティBに対応する装置を提供し、記憶ユニット21と、処理ユニット22と、送受信ユニット23とを含む。
前記記憶ユニット21は、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDAを記憶するために用いられる。
前記送受信ユニット23は、他の装置が送信してくる乱数NAを受信するために用いられる。
前記送受信ユニット23は、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられる。
前記送受信ユニット23は、さらに、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられる。
前記処理ユニット22は、乱数NBと、キーシードとしての乱数ZSEEDBを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルである。
前記処理ユニット22は、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられる。
前記処理ユニット22は、共有キーシード
Figure 2017529807
 を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならば他の装置の身元が正当であると認められ、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出するために用いられる。
前記処理ユニット22がさらに他の装置の送信してきた NA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられることは、具体的に、
前記処理ユニット22が受信したNAと、他の装置に送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット22が受信したNBと、他の装置に送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
前記処理ユニット22がAuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに他の装置と当該装置との身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先に他の装置に送信したNA、NBとが等しいかどうかををチェックし、等しくない場合に検証が正しくないことである。
なお、以上の検証過程は厳しい順序要求がなく、上記いずれか一つの検証が正しくない場合に、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められる。
その中、AuthEncDataBは、EncDataBとMACBとを含み、KEIAにより復号化検証を行い、他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPとPIDとが規格ISO/IEC 13157-1の定義に符合し、初期ベクトルIVは鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、KDF3は一種の鍵推定アルゴリズムである。
図4及び図5にかかるそれぞれエンティティAに対応する装置と、エンティティBに対応する装置については、本発明が提供するエンティティ認証方法における対応部分が、ここで重複しない。
以上のように、本発明は、対称暗号アルゴリズムに基づいて鍵交換機能付きエンティティ間の身元認証を実現し、適用分野が非常に広い。本発明は、RF識別RFID、センサーネットワークWSN、近距離無線通信NFC、非接触型カード、ワイヤレスローカルエリアネットワークWLAN等のエアインタフェースに基づいて通信する分野に適用することができる。エンティティAとエンティティBは、RFID分野におけるリーダライタとタグ、センサーネットワークにおけるノード、NFC分野における端末デバイスであり、非接触型カードの技術分野におけるリーダライタとカード、ワイヤレスローカルエリアネットワークにおける端末とアクセスポイントなどであってもよい。
また、本発明の好適な実施形態において、本発明の技術案がNFC分野に応用される場合に、 エンティティAがエンティティBに送信するNAはACT_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するNB||NA||AuthEncDataBはACT_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティAがエンティティBに送信するNA||NB||AuthEncDataA||MacTagAはVFY_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するMacTagBは、VFY_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、その中、ACT_REQ、ACT_RES、VFY_REQ及VFY_RESは規格ISO/IEC 13157-1の定義に符合するプロトコルデータユニットフォーマットである。このようにパッケージングされた後、本発明の技術案は従来のNFC他のセキュリティメカニズムとの互換性がより優れる。
当業者は、本発明の実施例が方法、システム、又はコンピュータープログラム製品として提供されることが分かる。従って、本発明は、完全なハードウェア実施例、完全なソフトウェア実施例、又はソフトウェアとハードウェアを組み合わせた実施例の形を採用してもよい。そして、本発明は、1つ又は複数のコンピュータ利用可能なプログラムコードを含むコンピュータ利用可能な記憶媒体(磁気ディスクメモリ、CD−ROM、光学的メモリ等を含むが、それらに限定されない)に実施されるコンピュータプログラム製品の形を採用してもよい。
本発明は本発明の実施例による方法、装置(システム)及びコンピュータプログラム製品のフローチャート及び/又はブロック図を参照しながら記述される。なお、コンピュータプログラム指令により、フローチャート及び/又はブロック図の各フロー及び/又はブロック、並びにフローチャート及び/又はブロック図のフロー及び/又はブロックの組み合わせを実現してもよい。これらのコンピュータプログラム指令を汎用コンピュータ、専用コンピュータ、埋め込みプロセッサ又は他のプログラム可能なデータ処理デバイスの処理器に提供して機器を生成し、コンピュータ又は他のプログラム可能なデータ処理デバイスの処理器により実行される指令を介して、フローチャートの1つ若しくは複数のフロー、及び/又はブロック図の1つ若しくは複数のブロックにおける指定の機能を実現するための装置を生成する。
これらのコンピュータプログラム指令は、コンピュータ又は他のプログラム可能なデータ処理デバイスに特定の方式で作動させるコンピュータ読み取り可能な記憶装置に記憶されてもよく、該コンピュータ読み取り可能な記憶装置に記憶された指令に指令装置を含む製造品を生成させ、該指令装置はフローチャートの1つ若しくは複数のフロー及び/又はブロック図の1つ若しくは複数のブロックにおける指定の機能を実現する。
これらのコンピュータプログラム指令は、コンピュータ又は他のプログラム可能なデータ処理装置にセットアップされてもよく、コンピュータ又は他のプログラム可能なデバイスにおいて一列の操作ステップを実行してコンピュータで実現される処理を生成し、コンピュータ又は他のプログラム可能なデバイスにおいて実行される指令は、フローチャートの1つ若しくは複数のフロー及び/又はブロック図の1つ若しくは複数のブロックにおける指令の機能を実現するためのステップを提供する。
本発明の好ましい実施例を記述しているが、当業者が一旦基本的な進歩性概念を知れば、これらの実施例に対して他の変更及び修正を行うことができる。このため、添付された特許請求の範囲が好ましい実施例並びに本発明の範囲に入る全ての変更及び修正を含むと解釈される。
なお、当業者は本発明の主旨及び範囲から離脱することなく本発明に対して各種の変更及び変形を行ってもよい。これにより、本発明のこれらの変更及び変形が本発明の特許請求の範囲及びそれと同等な技術的な範囲に属すれば、本発明はこれらの変更及び変形をさらに含む。
11 記憶ユニット
12 処理ユニット
13 送受信ユニット
21 記憶ユニット
22 処理ユニット
23 送受信ユニット

Claims (16)

  1. 事前共有鍵PSKを共有し且つ互いに相手の身元標識IDAとIDBとを知っているエンティティAと、エンティティBとの間に身元認証を行うための事前共有鍵に基づくエンティティ認証方法であって、前記方法は、
    ステップ1)、エンティティAが乱数NAを生成し、エンティティBに送信することと、
    ステップ2)、エンティティBがNAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncは一種暗号化認証アルゴリズムであり、AADが前記暗号化認証アルゴリズムに必要な他の認証データであり、IVが初期ベクトルであることと、
    ステップ3)、エンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことと、
    ステップ4)、エンティティAがキーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、エンティティAがNA||NB||AuthEncDataA||MacTagAをエンティティBに送信し、その中、MsgID1が一つのメッセージシーケンス番号であり、
    Figure 2017529807
     がビットごとの排他的論理和を示し、KDF2が一種の鍵推定アルゴリズムであり、MACが一種のメッセージ認証コード生成アルゴリズムであることと、
    ステップ5)、エンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことと、
    ステップ6)、エンティティBが共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しいならば、エンティティAの身元が正当であると認められることと、
    ステップ7)、エンティティBが第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信し、その中、MsgID2が一つのメッセージシーケンス番号であることと、
    ステップ8)、エンティティAがMacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならば、エンティティBの身元が正当であると認められるとを含むこととを特徴とする方法。
  2. 前記ステップ2)における第1の暗号化認証データAuthEncDataBはEncDataB||MACBを含み、その中、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティBの生成する完全性認証コードであり、
    前記ステップ4)における第2の暗号化認証データAuthEncDataAはEncDataA||MACAを含み、その中、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティAの生成する完全性認証コードであることを特徴とする請求項1に記載の方法。
  3. 前記ステップ2)において第1の暗号化認証データAuthEncDataBを算出し、及び前記ステップ4)において第2の暗号化認証データAuthEncDataAを算出する他の認証データAADはプロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとが規格ISO/IEC13157-1の定義に符合し、
    前記ステップ2)において第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、
    前記ステップ4)において第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、
    その中、KDF3は一種鍵推定アルゴリズムであることを特徴とする請求項1に記載の方法。
  4. 前記ステップ3)においてエンティティAがNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
    3.1)受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    3.2)鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
    3.3)前記AuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAと、IDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであることと、
    上記いずれか一つの検証が正しくない場合に、エンティティAが受信したNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることとを含むことを特徴とする請求項2に記載の方法。
  5. 前記ステップ5)においてエンティティBがNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
    5.1)受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    5.2)受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    5.3)前記AuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであることと、
    上記いずれか一つの検証が正しくない場合に、エンティティBが受信したNA||NB||EncDataA||MACA||MacTagAに対する検証結果が正しくないと認められることとを含むことを特徴とする請求項2に記載の方法。
  6. エンティティAがエンティティBに送信するNAは、ACT_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するNB||NA||AuthEncDataBは、ACT_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティAがエンティティBに送信するNA||NB||AuthEncDataA||MacTagAは、VFY_REQプロトコルデータユニットによりパッケージングされた後に伝送するものであり、エンティティBがエンティティAに送信するMacTagBは、VFY_RESプロトコルデータユニットによりパッケージングされた後に伝送するものであり、その中、ACT_REQ、ACT_RES、VFY_REQ及VFY_RESは規格ISO/IEC 13157-1の定義に符合するプロトコルデータユニットフォーマットであることを特徴とする請求項1-5のいずれか一項に記載の方法。
  7. 他の装置と身元認証を行うための装置であって、当該装置は記憶ユニットと、処理ユニットと、送受信ユニットとを含み、
    前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDBを記憶するために用いられ、
    前記送受信ユニットは、乱数NAを他の装置に送信し、他の装置が送信するNB||NA||AuthEncDataBを受信するために用いられ、
    前記送受信ユニットは、さらに、NA||NB||AuthEncDataA||MacTagAを他の装置に送信するするととに、他の装置が送信してくる第2のメッセージ認証標識MacTagBを受信するために用いられ、
    前記処理ユニットは、乱数NAを生成するために用いられ、
    前記処理ユニットは、さらに、他の装置が送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うために用いられ、
    前記処理ユニットは、さらに、キーシードとしての乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAを生成するために用いられ、その中、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAが当該装置の生成する暗号化データであり、MACAが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、IDAが当該装置の身元標識であり、IDBが他の装置の身元標識であり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1が一つのメッセージシーケンス番号であり、MACが一種のメッセージ認証コード生成アルゴリズムであり、
    Figure 2017529807
     がビットごとの排他的論理和を示し、
    前記処理ユニットは、さらに、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、他の装置が送信してきたMacTagBとを比較し、等しいならば、他の装置の身元が正当であるために用いられることを特徴とする装置。
  8. 前記処理ユニットが他の装置の送信してきたNB||NA||AuthEncDataBに対して復号化検証を行うことは、具体的に、
    前記処理ユニットが受信したNAと、他の装置に送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    前記処理ユニットが鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
    前記処理ユニットがAuthEncDataにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに当該装置と他の装置の身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先に他の装置に送信してきたNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、その中、AuthDecが復号化認証アルゴリズムであり、
    上記いずれか一つの検証が正しくない場合に、他の装置の送信してきたNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることであることを特徴とする請求項7に記載の装置。
  9. 他の装置と身元認証を行うための装置であって、前記装置は、記憶ユニットと、処理ユニットと、送受信ユニットとを含み、
    前記記憶ユニットは、前記他の装置との間の事前共有鍵PSK、及び前記他の装置の身元標識IDAを記憶するために用いられ、
    前記送受信ユニットは、他の装置が送信してくる乱数NAを受信するために用いられ、
    前記送受信ユニットは、さらに、他の装置にNB||NA||AuthEncDataBを送信するとともに、他の装置が送信してくるNA||NB||AuthEncDataA||MacTagAを受信するために用いられ、
    前記送受信ユニットは、他の装置に第2のメッセージ認証標識MacTagBを送信するために用いられ、
    前記処理ユニットは、乱数NBと、キーシードとしての乱数ZSEEDBとを生成し、鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出するとともに、NB||NA||AuthEncDataBを生成するために用いられ、その中、MKAが認証鍵であり、KEIAがメッセージ暗号化と完全性鍵であり、KDF1が一種の鍵推定アルゴリズムであり、IDBが当該装置の身元標識であり、IDAが他の装置の身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBが当該装置の生成する暗号化データであり、MACBが当該装置の生成する完全性認証コードであり、AADが暗号化認証算出方法に必要な他の認証データであり、IVが初期ベクトルであり、
    前記処理ユニットは、さらに、他の装置が送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられ、
    前記処理ユニットは、さらに、共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならば他の装置の身元が正当であると認められ、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出するために用いられる装置。
  10. 前記処理ユニットがさらに他の装置の送信してきたNA||NB||AuthEncDataA||MacTagAに対して復号化検証を行うために用いられることは、具体的に、
    前記処理ユニットが受信したNAと、他の装置に送信するNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと
    前記処理ユニットが受信したNBと、他の装置に送信するNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    前記処理ユニットがAuthEncDataAにおけるEncDataA||MACA、NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かに他の装置と当該装置との身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先に他の装置に送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    上記いずれか一つの検証が正しくない場合に、他の装置の送信してきたNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められることである請求項9に記載の装置。
  11. エンティティAとエンティティBとが身元認証を行う際に、エンティティAの作動方法であって、エンティティAがエンティティBとの間の事前共有鍵PSKを有し、エンティティBの身元標識IDBを知っており、当該方法は、
    乱数NAを生成し、エンティティBに送信し、
    エンティティBが送信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行い、
    キーシードとするための乱数ZSEEDAを生成し、第2の暗号化認証データAuthEncDataA=EncDataA||MACA=AuthEncKEIA(AAD,IV,NA||NB||IDA||IDB||ZSEEDA)を算出し、共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出し、NA||NB||AuthEncDataA||MacTagAをエンティティBに送信し、
    エンティティBが送信してきた第2のメッセージ認証標識MacTagBを受信した後に、まず、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、それから、算出されたMacTagBと、受信したMacTagBとを比較し、等しいならばエンティティBの身元が正当であると認められることとを含み、
    その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataAがエンティティAの生成する暗号化データであり、MACAがエンティティエンティティAの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1とMsgID2とがそれぞれ一つのメッセージシーケンス番号であり、
    Figure 2017529807
     がビットごとの排他的論理和を示し、MACが一種のメッセージ認証コード生成アルゴリズムであることを特徴とする方法。
  12. 前記第2の暗号化認証データAuthEncDataAを算出する他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとがいずれも規格ISO/IEC13157-1の定義に符合し、
    前記第2の暗号化認証データAuthEncDataAを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の高い96ビット値として設置され、
    その中、KDF3は一種の鍵推定アルゴリズムであることを特徴とする請求項11に記載の方法。
  13. エンティティBが受信してきたNB||NA||AuthEncDataBを受信した後に復号化検証を行うことは、具体的に、
    受信したNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    鍵MKA||KEIA=KDF1(NA,NB,PSK,IDA,IDB)を算出することと、
    第1の認証暗号化データAuthEncDataBにおけるEncDataB||MACB、NA||NB||IDA||IDB||ZSEEDB||MACB=AuthDecKEIA(AAD,IV,AuthEncDataB)を復号化し、算出されたMACBと、受信したAuthEncDataBにおけるMACBとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNAと、先にエンティティBに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくなく、復号化されたNBと、受信したNB||NA||AuthEncDataBにおけるNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    上記いずれか一つの検証が正しくない場合に、受信したNB||NA||AuthEncDataBに対する検証結果が正しくないと認められることを特徴とする請求項11に記載の方法。
  14. エンティティAとエンティティBとが身元認証を行う際に、エンティティBの作動方法であって、その中、エンティティBがエンティティBとの間の事前共有鍵PSKを有し、且つエンティティAの身元標識IDAを知っており、当該方法は、
    エンティティAが送信してきた乱数NAを受信した後に、乱数NBと、キーシードとするための乱数ZSEEDBを生成し、第1の暗号化認証データAuthEncDataB=EncDataB||MACB=AuthEncKEIA(AAD,IV,NB||NA||IDB||IDA||ZSEEDB)を算出し、エンティティBがNB||NA||AuthEncDataBをエンティティAに送信し、
    エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行い、
    共有キーシード
    Figure 2017529807
     を算出し、マスター鍵MK=KDF2(NA,NB,Z,IDA,IDB)を算出し、第1のメッセージ認証標識MacTagA=MAC(MK,MsgID1||IDA||IDB||NA||NB)を算出するとともに、受信したMacTagAと比較し、等しくなければ認証を終了し、等しいならば、エンティティAの身元が正当であると認められ、第2のメッセージ認証標識MacTagB=MAC(MK,MsgID2||IDB||IDA||NB||NA)を算出し、MacTagBをエンティティAに送信することとを含み、
    その中、IDAがエンティティAの身元標識であり、IDBがエンティティBの身元標識であり、AuthEncが一種の暗号化認証アルゴリズムであり、EncDataBがエンティティBの生成する暗号化データであり、MACBがエンティティエンティティBの生成する完全性認証コードであり、KDF2が一種の鍵推定アルゴリズムであり、MsgID1及びMsgID2がそれぞれ一つのメッセージシーケンス番号であり、
    Figure 2017529807
     がビットごとの排他的論理和を示し、MACが一種のメッセージ認証コード生成アルゴリズムであることを特徴とする方法。
  15. 前記第1の暗号化認証データAuthEncDataBを算出する他の認証データAADは、プロトコルパラメータからなり、AAD=SEP||PIDとして設置され、SEPがセキュリティプロトコルパラメータであり、PIDがプロトコル識別子であり、前記SEPとPIDとが規格ISO/IEC13157-1の定義に符合し、
    前記第1の暗号化認証データAuthEncDataBを算出する初期ベクトルIVは、鍵推定アルゴリズムにより生成され、KDF3(MKA,KEIA,NA,NB)の算出結果の低い96ビット値として設置され、
    その中、KDF3は一種鍵推定アルゴリズムであることを特徴とする請求項14に記載の方法。
  16. エンティティAが送信してきたNA||NB||AuthEncDataA||MacTagAを受信した後に復号化検証を行うことは、具体的に、
    受信したNAと、先にエンティティAに送信したNAとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    受信したNBと、先にエンティティAに送信したNBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    AuthEncDataAにおけるEncDataA||MACA,NA||NB||IDA||IDB||ZSEEDA||MACA=AuthDec KEIA(AAD,IV,AuthEncDataA)を復号化し、算出されたMACAと、受信したAuthEncDataAにおけるMACAとが等しいかどうかを比較し、等しくない場合に検証が正しくなく、復号化されたIDAとIDBとが確かにエンティティAとエンティティBとの身元標識であるかどうかをチェックし、そうでないと検証が正しくなく、復号化されたNA、NBと、先にエンティティAに送信したNA、NBとが等しいかどうかをチェックし、等しくない場合に検証が正しくないことと、
    上記いずれか一つの検証が正しくない場合に、受信したNA||NB||AuthEncDataA||MacTagAに対する検証結果が正しくないと認められることを特徴とする請求項14に記載の方法。
JP2017516887A 2014-10-17 2015-06-23 事前共有鍵に基づくエンティティ認証方法及び装置 Active JP6417036B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410554547.6 2014-10-17
CN201410554547.6A CN105577625B (zh) 2014-10-17 2014-10-17 基于预共享密钥的实体鉴别方法及装置
PCT/CN2015/082041 WO2016058404A1 (zh) 2014-10-17 2015-06-23 基于预共享密钥的实体鉴别方法及装置

Publications (2)

Publication Number Publication Date
JP2017529807A true JP2017529807A (ja) 2017-10-05
JP6417036B2 JP6417036B2 (ja) 2018-10-31

Family

ID=55746088

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017516887A Active JP6417036B2 (ja) 2014-10-17 2015-06-23 事前共有鍵に基づくエンティティ認証方法及び装置

Country Status (6)

Country Link
US (1) US10439801B2 (ja)
EP (1) EP3208967B1 (ja)
JP (1) JP6417036B2 (ja)
KR (1) KR101931894B1 (ja)
CN (1) CN105577625B (ja)
WO (1) WO2016058404A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023042618A1 (ja) * 2021-09-14 2023-03-23 Kddi株式会社 無線通信端末装置、認証及び鍵共有方法、プログラム、認証及び鍵共有システム

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10263779B2 (en) * 2015-09-24 2019-04-16 Jonetix Corporation Secure communications using loop-based authentication flow
CN107820283B (zh) * 2016-09-13 2021-04-09 华为技术有限公司 一种网络切换保护方法、相关设备及系统
US10891366B1 (en) 2017-08-18 2021-01-12 Jonetix Corporation Secure hardware signature and related methods and applications
US10454681B1 (en) 2017-11-17 2019-10-22 ISARA Corporation Multi-use key encapsulation processes
EP3742665A4 (en) * 2018-01-19 2021-08-18 Renesas Electronics Corporation SEMICONDUCTOR COMPONENT, UPDATE DATA PROVISION PROCEDURE, UPDATE DATA RECEIVE PROCEDURE AND PROGRAM
JP7096998B2 (ja) * 2018-08-21 2022-07-07 村田機械株式会社 通信許容相手登録方法
CN109862040B (zh) * 2019-03-27 2021-08-24 北京经纬恒润科技股份有限公司 一种安全认证方法及认证系统
CN112118223B (zh) * 2020-08-11 2023-06-20 北京智芯微电子科技有限公司 主站与终端的认证方法、主站、终端及存储介质
CN112202553B (zh) * 2020-09-27 2023-04-25 北京奇艺世纪科技有限公司 数据传输方法、系统、电子设备和存储介质
CN114124355B (zh) * 2021-11-19 2024-01-23 西安热工研究院有限公司 一种基于可扩展认证协议的密钥认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152717A (ja) * 2001-11-19 2003-05-23 Hitachi Ltd 車載機器
JP2009044575A (ja) * 2007-08-10 2009-02-26 Canon Inc 通信装置、通信装置の通信方法、プログラム、記憶媒体
JP2011507363A (ja) * 2007-12-14 2011-03-03 西安西電捷通無線網絡通信有限公司 エンティティ双方向認証の方法およびシステム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100403742C (zh) * 2003-07-25 2008-07-16 华为技术有限公司 一种媒体网关与媒体网关控制器之间安全认证的方法
CN101242323B (zh) * 2007-02-06 2010-12-08 华为技术有限公司 设备间管道的建立方法和家庭网络系统
KR101520617B1 (ko) * 2007-04-17 2015-05-15 삼성전자주식회사 메시지의 무결성 유지를 위한 메시지 암호화 방법 및 장치,메시지의 무결성 유지를 위한 메시지 복호화 방법 및 장치
EP2120393A1 (en) * 2008-05-14 2009-11-18 Nederlandse Centrale Organisatie Voor Toegepast Natuurwetenschappelijk Onderzoek TNO Shared secret verification method
CN101329720B (zh) * 2008-08-01 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种基于预共享密钥的匿名双向认证方法
CN101442531B (zh) * 2008-12-18 2011-06-29 西安西电捷通无线网络通信股份有限公司 一种安全协议第一条消息的保护方法
CN101853369B (zh) * 2010-04-01 2012-09-26 西北工业大学 基于随机哈希的双向认证方法
CN102014386B (zh) * 2010-10-15 2012-05-09 西安西电捷通无线网络通信股份有限公司 一种基于对称密码算法的实体鉴别方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152717A (ja) * 2001-11-19 2003-05-23 Hitachi Ltd 車載機器
JP2009044575A (ja) * 2007-08-10 2009-02-26 Canon Inc 通信装置、通信装置の通信方法、プログラム、記憶媒体
JP2011507363A (ja) * 2007-12-14 2011-03-03 西安西電捷通無線網絡通信有限公司 エンティティ双方向認証の方法およびシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
丸山不二夫: "Webサービス for Java e−ビジネスシステム構築の基礎", WEB+DB PRESS, vol. 第17巻, JPN6018019117, 25 November 2003 (2003-11-25), JP, pages 223 - 230 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023042618A1 (ja) * 2021-09-14 2023-03-23 Kddi株式会社 無線通信端末装置、認証及び鍵共有方法、プログラム、認証及び鍵共有システム

Also Published As

Publication number Publication date
KR20170060072A (ko) 2017-05-31
JP6417036B2 (ja) 2018-10-31
EP3208967A1 (en) 2017-08-23
EP3208967B1 (en) 2020-04-22
CN105577625B (zh) 2019-04-23
EP3208967A4 (en) 2017-11-01
US10439801B2 (en) 2019-10-08
KR101931894B1 (ko) 2019-03-13
US20170310475A1 (en) 2017-10-26
CN105577625A (zh) 2016-05-11
WO2016058404A1 (zh) 2016-04-21

Similar Documents

Publication Publication Date Title
JP6417036B2 (ja) 事前共有鍵に基づくエンティティ認証方法及び装置
US10015159B2 (en) Terminal authentication system, server device, and terminal authentication method
US9525557B2 (en) Certificate issuing system, client terminal, server device, certificate acquisition method, and certificate issuing method
CN108304902B (zh) 一种超轻量级的移动rfid系统双向认证方法
US20170085543A1 (en) Apparatus and method for exchanging encryption key
US8332628B2 (en) Method for accessing data safely suitable for electronic tag
CN110381055B (zh) 医疗供应链中的rfid系统隐私保护认证协议方法
CN112351037B (zh) 用于安全通信的信息处理方法及装置
KR102017758B1 (ko) 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법
EP3128696B1 (en) Entity authentication method and device
CN114143117B (zh) 数据处理方法及设备
CN102684872B (zh) 基于对称加密的超高频射频识别空中接口安全通信方法
CN102970676A (zh) 一种对原始数据进行处理的方法、物联网系统及终端
CN109922022A (zh) 物联网通信方法、平台、终端和系统
CN109587149A (zh) 一种数据的安全通信方法及装置
CN101296077B (zh) 一种基于总线型拓扑结构的身份认证系统
WO2012075797A1 (zh) 读写器与电子标签安全通信的方法、读写器及电子标签
CN112787990B (zh) 一种电力终端可信接入认证方法和系统
CN104915689B (zh) 一种智能卡信息处理方法
CN104780049B (zh) 一种安全读写数据的方法
Abyaneh On the privacy of two tag ownership transfer protocols for RFIDs
CN114666039B (zh) 基于量子密码网络的rfid群组标签认证系统及方法
JP6404958B2 (ja) 認証システム、方法及びプログラム並びにサーバ
AlJanah et al. A Multi-Factor Homomorphic Encryption based Method for Authenticated Access to IoT Devices
CN104954129B (zh) 实体鉴别方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181004

R150 Certificate of patent or registration of utility model

Ref document number: 6417036

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250