JP2571607B2 - 認証方式 - Google Patents
認証方式Info
- Publication number
- JP2571607B2 JP2571607B2 JP63156020A JP15602088A JP2571607B2 JP 2571607 B2 JP2571607 B2 JP 2571607B2 JP 63156020 A JP63156020 A JP 63156020A JP 15602088 A JP15602088 A JP 15602088A JP 2571607 B2 JP2571607 B2 JP 2571607B2
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- sentence
- random number
- prover
- initial response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Description
【発明の詳細な説明】 [産業上の利用分野] この発明は、電気通信システムを介して資金移動を行
なう際に、消費者のプライバシィを保護できる通信プロ
トコルを実現することが出来る機能を備えたシステムに
よる認証方式に関する。
なう際に、消費者のプライバシィを保護できる通信プロ
トコルを実現することが出来る機能を備えたシステムに
よる認証方式に関する。
[従来の技術] 近年、電気通信システムを仲介した電子資金移動や、
ICカードを使用した決済が普及してきている。また、現
金の代替手段として汎用プリペイドカードや、電子財布
を利用することも研究されている。
ICカードを使用した決済が普及してきている。また、現
金の代替手段として汎用プリペイドカードや、電子財布
を利用することも研究されている。
この様なシステムを介した資金の流れが特定の組織に
管理されると、消費者の消費動向などの個人情報が組織
のシステム内に蓄積され、プライバシィ保護の観点から
問題となる。
管理されると、消費者の消費動向などの個人情報が組織
のシステム内に蓄積され、プライバシィ保護の観点から
問題となる。
これを解決するめに、D.Chaumの暗号技術を用いて資
金移動の追跡を不可能とする方式があるが、情報処理装
置におけるRSA暗号の処理量が大きいため負担がかかる
欠点がある。
金移動の追跡を不可能とする方式があるが、情報処理装
置におけるRSA暗号の処理量が大きいため負担がかかる
欠点がある。
[発明が解決しようとする課題] この発明は、システム設計者が処理速度を考慮して安
全性のパラメータを選択できるようにして、従来方式よ
りも高速な、追跡が不可能な認証方式を提供することを
目的とする。
全性のパラメータを選択できるようにして、従来方式よ
りも高速な、追跡が不可能な認証方式を提供することを
目的とする。
[課題を解決するための手段] 処理量を削減するために、問い合わせ文と応答文を用
いるFiat−Shamir法をベースとして、高速な認証処理方
式を実現する。また、第三者にA−B間及びB−C間に
おいて通信が行なわれるデータの対応関係を秘匿して、
追跡を不可能とするために、Bが問い合わせ文の対応関
係と応答文の対応関係を乱数に依って与え、その乱数を
秘密に保つことにより、従来より少ない処理量によっ
て、追跡が不可能な認証処理を可能としている。
いるFiat−Shamir法をベースとして、高速な認証処理方
式を実現する。また、第三者にA−B間及びB−C間に
おいて通信が行なわれるデータの対応関係を秘匿して、
追跡を不可能とするために、Bが問い合わせ文の対応関
係と応答文の対応関係を乱数に依って与え、その乱数を
秘密に保つことにより、従来より少ない処理量によっ
て、追跡が不可能な認証処理を可能としている。
[実施例] 第1図は、この発明の原理を示す構成図である。証明
者A(100)が設備する装置、被検証者B(200)が設備
する装置、及び検証者Cが設備する装置は、それぞれ通
信回線を介して接続されている。第1図(a)は利用者
の認証方式、また同図(b)はメッセージの認証方式に
おいて目的を達成するための交信状態を示している。な
お、第1図において、BからAへの破線は、破線の後の
手順を実行する前に必要とする場合の手順を象徴的に示
したものである。
者A(100)が設備する装置、被検証者B(200)が設備
する装置、及び検証者Cが設備する装置は、それぞれ通
信回線を介して接続されている。第1図(a)は利用者
の認証方式、また同図(b)はメッセージの認証方式に
おいて目的を達成するための交信状態を示している。な
お、第1図において、BからAへの破線は、破線の後の
手順を実行する前に必要とする場合の手順を象徴的に示
したものである。
以下の説明においては、Aは証明者(例えば銀行)、
Bは被検証者(例えば消費者)、Cは検証者(例えば商
店)であり、まず、AがBの身元を確認したことをCに
対して証明する認証方式を説明し、次にBがAの介助の
もとにメッセージmに署名するメッセージの認証方式を
説明する。
Bは被検証者(例えば消費者)、Cは検証者(例えば商
店)であり、まず、AがBの身元を確認したことをCに
対して証明する認証方式を説明し、次にBがAの介助の
もとにメッセージmに署名するメッセージの認証方式を
説明する。
ここで、上記のDavid Chaumの資金移動方式(“Secur
ity without Identification:Transaction system to m
ake Big Brother Obsolute",Communication of the AC
M,October 1985,Vol.28No.10)について概説する。
ity without Identification:Transaction system to m
ake Big Brother Obsolute",Communication of the AC
M,October 1985,Vol.28No.10)について概説する。
なお、A、B、C、m、については、それぞれ前述し
た意味で使用される。
た意味で使用される。
(ア)Bは、金額等の取引内容を含む文書mを乱数によ
り攪乱して通信文zが作成し、これをAに送信する。
り攪乱して通信文zが作成し、これをAに送信する。
(イ)AはBの正当性を認証した後に、Bの口座から金
額を引き落とし、金額に対応した署名をzに施して、署
名付き通信文z′をBに返送する。
額を引き落とし、金額に対応した署名をzに施して、署
名付き通信文z′をBに返送する。
(ウ)Bは、z′から乱数の影響を取り除いて、mに署
名を施した値としてm′を求め、これを現金にかわる手
段としてCに支払う。
名を施した値としてm′を求め、これを現金にかわる手
段としてCに支払う。
(エ)Cは、m′がAによって署名されていることを確
認し、m′に表示がある金額の価値があると判断する。
認し、m′に表示がある金額の価値があると判断する。
(オ)Cは、後日m′をAに提出することによて、対応
する金額を受け取る。
する金額を受け取る。
このように、m′は、金券としての機能を備えてい
る。この場合、zはmに乱数が付加されているので、A
及び第三者には、zからmを推定することは不可能であ
る。また、AがCと結託しても、m′とzの対応を知る
ことはできないから、誰がm′を発行したかは、秘密に
保たれる。従って、金券m′の発行元は追跡不可能であ
るから、消費者の消費動向等のプライバシィを守ること
ができる。
る。この場合、zはmに乱数が付加されているので、A
及び第三者には、zからmを推定することは不可能であ
る。また、AがCと結託しても、m′とzの対応を知る
ことはできないから、誰がm′を発行したかは、秘密に
保たれる。従って、金券m′の発行元は追跡不可能であ
るから、消費者の消費動向等のプライバシィを守ること
ができる。
しかし、この方式においては、zからz′を求めるた
めにRSA暗号を利用するから、例えば、200桁同士の整数
の乗法(剰余計算を含む)が平均して768回必要になる
というように、処理量が大きいことが問題であり、この
場合には、銀行Aの負担が重いことが欠点となる。
めにRSA暗号を利用するから、例えば、200桁同士の整数
の乗法(剰余計算を含む)が平均して768回必要になる
というように、処理量が大きいことが問題であり、この
場合には、銀行Aの負担が重いことが欠点となる。
次に、高速な認証方式として、FiatとShamirの方式を
説明する(A.Fiat,and A.Shamir,"How to prove yourse
lf:practical solutions to identification and sig
nature problems",Proceedings of Crypto 86,Santa Ba
rbara,Aug.1986,pp.18−1−18−7)。
説明する(A.Fiat,and A.Shamir,"How to prove yourse
lf:practical solutions to identification and sig
nature problems",Proceedings of Crypto 86,Santa Ba
rbara,Aug.1986,pp.18−1−18−7)。
Fiat−Shamir法によると、処理量は、平均してt(k
+2)/2回の乗酸(但し法Nにおける剰余計算を含む)
で済み、特にk=5、t=4に選ぶことが推奨されてい
るので、乗酸回数は14回となるから、RSA暗号による署
名法に比較して処理量を大幅に削減できる。具体的に
は、14/768=0.02であるから、2%で実現できることに
なる。
+2)/2回の乗酸(但し法Nにおける剰余計算を含む)
で済み、特にk=5、t=4に選ぶことが推奨されてい
るので、乗酸回数は14回となるから、RSA暗号による署
名法に比較して処理量を大幅に削減できる。具体的に
は、14/768=0.02であるから、2%で実現できることに
なる。
信頼できるセンタが、個人識別情報としてIDを使用す
る個人に対して、次の手順によりk個(kは安全性を定
めるパラメータであり、1以上の値)の秘密情報sj(1
≦j≦k)を生成する。
る個人に対して、次の手順によりk個(kは安全性を定
めるパラメータであり、1以上の値)の秘密情報sj(1
≦j≦k)を生成する。
ここで、Nは公開情報であり、秘密の素数PとQを用
いてN=P×Qと表せる。またfは一方向性関数であ
り、公開されている。
いてN=P×Qと表せる。またfは一方向性関数であ
り、公開されている。
stepl:一方向性関数fを用いて vj=f(ID,j) (1≦j≦k) を計算する。
step2:各vjに対してNの素因数PとQを用いて を計算する。変形すれば次式となる。
sj2=1/vj (mod N) step3:利用者に対してk個のsjを秘密に発行し、一方向
性関数fと合成数Nを公開する。(mod N)における
平方根の計算は、Nの素因数(PとQ)が分かっている
ときのみ実行できる。その方法は例えばRabin,M.O.:“D
igitalized Signatures and public−key Functions as
Intractable as Factorization",Tech.Rep.MIT/LCS/TR
−212MIT Lab.Comput.Sci.1979に記載されている。平方
根の計算装置の具体的な構成は、公開鍵暗号システム
(特願昭61−169350)に示されている。
性関数fと合成数Nを公開する。(mod N)における
平方根の計算は、Nの素因数(PとQ)が分かっている
ときのみ実行できる。その方法は例えばRabin,M.O.:“D
igitalized Signatures and public−key Functions as
Intractable as Factorization",Tech.Rep.MIT/LCS/TR
−212MIT Lab.Comput.Sci.1979に記載されている。平方
根の計算装置の具体的な構成は、公開鍵暗号システム
(特願昭61−169350)に示されている。
利用者の認証方式は、以下に示すとおりである。
認証者Aは、検証者Cに対して、Aが本物であること
を、次の手順で証明する。
を、次の手順で証明する。
step1:AがIDをCに送る。
step2:Cが、vj=j(ID,J) (1≦j≦k)を計算する。
次に、i=1,・・・・,tについて3−6のステップを
繰り返す(tは安全性の定めるパラメータであり、1以
上の数)。
繰り返す(tは安全性の定めるパラメータであり、1以
上の数)。
step3:乱数riを生成して、 xi=ri2(mod N) を計算して、Cに送る。
step4:Cが、0,1のビット列(eil,‥‥,eik)を生成し
て、Aに送る。
て、Aに送る。
step5:Aが署名分yiを により生成して、Cに送る。
step6:Cは、 が成り立つことを検査する。
yiの作り方より が成立するから、t回の検査にすべて合格した場合、C
はAが本物であると認める。
はAが本物であると認める。
このとき、検証者Cが、偽の証明者は本物のAと認め
てしまう誤りの生じる確率は1/2ktである。ここでkは
証明者が秘密に管理するsjの個数であり、tは通信分の
通信回数を定めている。
てしまう誤りの生じる確率は1/2ktである。ここでkは
証明者が秘密に管理するsjの個数であり、tは通信分の
通信回数を定めている。
以上の説明では、利用者の認証方式について説明した
が、メッセージの認証方式は、上記の手順を次のように
変更して実現できる。
が、メッセージの認証方式は、上記の手順を次のように
変更して実現できる。
すなわち、メッセージmと(x1,‥‥,xt)に一方向性
関数fを施して得たf(m,x1,‥‥xt)の先頭のk×t
ビットを上記手順のビット列(eii)とみなして、署名
文として、(ID,m,(eii),yz,‥‥,yt)を署名付き通
信文として検証者に送信する。
関数fを施して得たf(m,x1,‥‥xt)の先頭のk×t
ビットを上記手順のビット列(eii)とみなして、署名
文として、(ID,m,(eii),yz,‥‥,yt)を署名付き通
信文として検証者に送信する。
このようにFiat−Shamir法は高速な認証方式である
が、現在までのところ、この方式を用いた追跡不可能な
認証方式は、案出されていない。
が、現在までのところ、この方式を用いた追跡不可能な
認証方式は、案出されていない。
この発明は、第1図(a)に示すように、A−B間と
B−C間でそれぞれFiat−Shamir法の利用者認証方式を
採用し、2つのFiat−Shamir法を対応づける情報をBに
おいて秘密にすることにより、追跡不可能な利用者の認
証方式を実現できる。
B−C間でそれぞれFiat−Shamir法の利用者認証方式を
採用し、2つのFiat−Shamir法を対応づける情報をBに
おいて秘密にすることにより、追跡不可能な利用者の認
証方式を実現できる。
Fiat−Shamir法の場合と同様に、信頼できるセンタ
が、合成数Nと一方向性関数fを公開し、さらに証明者
Aの識別情報IDに対応する秘密情報sを計算して、sを
Aに配送する。以下、k=1の場合について説明する。
が、合成数Nと一方向性関数fを公開し、さらに証明者
Aの識別情報IDに対応する秘密情報sを計算して、sを
Aに配送する。以下、k=1の場合について説明する。
A(100)の概略を第2図、B(200)の概略を第3
図、C(300)の概略を第4図、にそれぞれ示す。
図、C(300)の概略を第4図、にそれぞれ示す。
認証者Aは、被検証者Bの正当性を、検証者Cに対し
て、次の手順で説明する。
て、次の手順で説明する。
step1:AがIDをBとCに送る。
step2:AとBとCは、それぞれ一方向性関数計算器(10
5,205,305)を用いて、x=f(ID)を計算する。
5,205,305)を用いて、x=f(ID)を計算する。
次に、3−6のステップをt回繰り返す。
step3:Aは初期応答文発生器(110)を用いて初期応答文
x′を発生してBに送る。
x′を発生してBに送る。
初期応答文発生器110は、乱数発生器111と、剰余付き
乗算器112により構成することができる。111を用いて乱
数rを発生し、112を用いて、 x′=x×r2(mod N) によりx′を計算する。
乗算器112により構成することができる。111を用いて乱
数rを発生し、112を用いて、 x′=x×r2(mod N) によりx′を計算する。
剰余付き乗算の効率のよい計算方法は、例えば池野、
小山著「現代暗号理論」、電子通信学会、pp.16−17、
(1986)、に示されている。
小山著「現代暗号理論」、電子通信学会、pp.16−17、
(1986)、に示されている。
step4:Bは、x′を受信すると、乱数発生器210と初期応
答文攪乱器215を用いて、210で発生した0,1のビットe
と乱数uを、x′及び先に生成したxと共に215に入力
し、攪乱された初期応答文x″を計算してCに送る。
答文攪乱器215を用いて、210で発生した0,1のビットe
と乱数uを、x′及び先に生成したxと共に215に入力
し、攪乱された初期応答文x″を計算してCに送る。
初期応答文攪乱器215は、剰余付き乗算器として構成
し、受信した初期応答文x′、x、e、及びuから x″=u2×x-e×x′(mod N) によりx″を計算する。
し、受信した初期応答文x′、x、e、及びuから x″=u2×x-e×x′(mod N) によりx″を計算する。
step5:Cは、x″を受信すると、x″を秘密情報格納器3
10に格納した後に、乱数発生器320を用いて、0,1のビッ
トβを生成して問い合わせ文としてBに送る。
10に格納した後に、乱数発生器320を用いて、0,1のビッ
トβを生成して問い合わせ文としてBに送る。
step6:Bはβを受信すると、βと先に生成したeを問い
合わせ文攪乱器220に入力して、攪乱された問い合わせ
文β′を計算してAに送る。220は、例えば、排他的論
理和計算器により構成し、 β′=β+e(mod 2) により計算する。
合わせ文攪乱器220に入力して、攪乱された問い合わせ
文β′を計算してAに送る。220は、例えば、排他的論
理和計算器により構成し、 β′=β+e(mod 2) により計算する。
step7:Aは、β′を受信すると、先に生成した乱数r
と、受信し問い合わせ文β′を証明器120に入力して、
応答文zを計算してBに送る。
と、受信し問い合わせ文β′を証明器120に入力して、
応答文zを計算してBに送る。
証明器120は、秘密情報格納器121と剰余付き乗算器12
2により構成し、121から秘密情報sを読みだして、110
から引き継いだrと、受信したβ′を乗算器122に入力
して、 z=r×sβ′(mod N) によりzを計算する。
2により構成し、121から秘密情報sを読みだして、110
から引き継いだrと、受信したβ′を乗算器122に入力
して、 z=r×sβ′(mod N) によりzを計算する。
step8:Bは、zを受信すると、zと先に生成したx、
e、及び乱数成分除去器230に入力して、応答文z′を
計算してCに送る。
e、及び乱数成分除去器230に入力して、応答文z′を
計算してCに送る。
乱数成分除去器230は、例えば、条件判定器231と、剰
余付き乗算器232によって構成し、 によりz′を計算する。
余付き乗算器232によって構成し、 によりz′を計算する。
step9:Cは、z′を受信すると、検査器330を用いてz′
の正当性を検査する。
の正当性を検査する。
検査器330は、剰余付き乗算器331と比較器332により
構成し、310から引き継いだ、x″と、305から引き続い
たxと、320から引き継いだβに対して、 x″=z′2×xβ(mod N) が成立するか否かを検査する。
構成し、310から引き継いだ、x″と、305から引き続い
たxと、320から引き継いだβに対して、 x″=z′2×xβ(mod N) が成立するか否かを検査する。
ここでは、t回の問い合わせ−応答のやりとりを順次
行う例を示したが、問い合わせ−応答のやりとりを同時
に行ってもよい。
行う例を示したが、問い合わせ−応答のやりとりを同時
に行ってもよい。
次に、第1図(b)を用いて、BがAの力を借りてメ
ッセージmに署名するメッセージの認証方式について説
明する。
ッセージmに署名するメッセージの認証方式について説
明する。
A−B間ではFiat−Shamir法の利用者認証方式を、B
−C間ではFiat−Shmir法のメッセージ認証方式を採用
する。2つの認証方式を対応付ける情報をBにおいて秘
密にすることで、追跡不可能なメッセージの認証処理を
実現する。
−C間ではFiat−Shmir法のメッセージ認証方式を採用
する。2つの認証方式を対応付ける情報をBにおいて秘
密にすることで、追跡不可能なメッセージの認証処理を
実現する。
Fiat−Shamir法と同様に、信頼できるセンタが、合成
数N一方向性関数fを公開し、さらに、証明者Aの識別
情報IDに対応する秘密情報sを計算して、sをAに配送
する。以下においては、k=1の場合について説明す
る。
数N一方向性関数fを公開し、さらに、証明者Aの識別
情報IDに対応する秘密情報sを計算して、sをAに配送
する。以下においては、k=1の場合について説明す
る。
A(100)の概略を第2図、B(200)の概略を第5
図、C(300)の概略を第6図に示す。
図、C(300)の概略を第6図に示す。
Bは、Aの力を借りて、次の手順で文書mに署名す
る。
る。
step1:AがIDをBとCに送る。
step2:AとBとCは、それぞれ一方向性関数計算器(10
5,205,305)を用いてx=f(ID)を計算する。
5,205,305)を用いてx=f(ID)を計算する。
step3:Aは初期応答文発生器110を用いてt個の初期応答
文x′i(i=1,2,…,t)からなるx′を計算してBに
送る。
文x′i(i=1,2,…,t)からなるx′を計算してBに
送る。
初期応答文発生器110は、例えば、乱数発生器111と剰
余付き乗算器112により構成し、111を用いてt個の乱数
riを発生し、112を用いて、 x′i=x×ri2(mod N)(i=1,2,…,t)により、
t個のx′iを計算する。
余付き乗算器112により構成し、111を用いてt個の乱数
riを発生し、112を用いて、 x′i=x×ri2(mod N)(i=1,2,…,t)により、
t個のx′iを計算する。
step4:Bはx′を受信すると、乱数発生器210を用いてt
組のビットeiの乱数uiのぺアを発生しその値を、受信し
たt個のx′iと先に生成したxと共に初期応答文攪乱
器215に入力し、t個の攪乱された初期応答文x″iを
計算してx″=(x″1,‥‥,x″t)を問い合わせ文発
生器250に引き継ぐ。
組のビットeiの乱数uiのぺアを発生しその値を、受信し
たt個のx′iと先に生成したxと共に初期応答文攪乱
器215に入力し、t個の攪乱された初期応答文x″iを
計算してx″=(x″1,‥‥,x″t)を問い合わせ文発
生器250に引き継ぐ。
初期応答文攪乱器215は、例えば、剰余付き乗算器に
より構成し、210が生成したt組のeiとui、受信したt
個の初期応答文x′iとxを215に入力して x″i=ui2×x-ei×x′i(mod N)(i=1,2,…,
t) によりt個のx″iを計算する。
より構成し、210が生成したt組のeiとui、受信したt
個の初期応答文x′iとxを215に入力して x″i=ui2×x-ei×x′i(mod N)(i=1,2,…,
t) によりt個のx″iを計算する。
step5:Bは、メッセージmとt個のx″iを問い合わせ
文発生器250に入力して、問い合わせ文(βとβ′)を
作成してβ′を証明者Aに送信し、βを乱数成分除去器
260に引き継ぐ。
文発生器250に入力して、問い合わせ文(βとβ′)を
作成してβ′を証明者Aに送信し、βを乱数成分除去器
260に引き継ぐ。
問い合わせ文発生器250は、例えば、一方向性関数計
算器251と排他的論理割計算器252で構成し、 (β1,‥‥,βt)=f(m,x″1,…,x″t) β′i=βi+ei(mod 2)(i=1,2,…,t)によっ
て、 β=(β1,‥‥,βt)と、β′=(β′1,‥‥,β′
t)を求める。
算器251と排他的論理割計算器252で構成し、 (β1,‥‥,βt)=f(m,x″1,…,x″t) β′i=βi+ei(mod 2)(i=1,2,…,t)によっ
て、 β=(β1,‥‥,βt)と、β′=(β′1,‥‥,β′
t)を求める。
step6:Aは、β′を受信すると、証明器120を用いて、先
に発生した乱数riと、受信した問い合わせ文β′から、
応答文zを計算してBに送る。
に発生した乱数riと、受信した問い合わせ文β′から、
応答文zを計算してBに送る。
証明器120は、例えば、秘密情報格納器121と剰余付き
乗算器122により構成し、121から秘密情報sを読み出
し、110から引き継いだrと、受信したβ′を剰余付き
乗算器122に入力して、 zi:ri×sβ′i(mod N)(i=1,2,…,t)により計
算したziを用いて、 z=(z1,‥‥‥,zt)を求める。
乗算器122により構成し、121から秘密情報sを読み出
し、110から引き継いだrと、受信したβ′を剰余付き
乗算器122に入力して、 zi:ri×sβ′i(mod N)(i=1,2,…,t)により計
算したziを用いて、 z=(z1,‥‥‥,zt)を求める。
step7:Bは、zを受信すると、zと、先に生成したxと
t組の(ei,ui)を乱数成分除去器260に入力して、応答
文z′を計算してβ,mと共にCに送る。
t組の(ei,ui)を乱数成分除去器260に入力して、応答
文z′を計算してβ,mと共にCに送る。
乱数成分除去器260は、例えば、条件判定器261と剰余
付き乗算器262によって構成し、 により計算したz′iを用いて、 z′=(z′1,‥‥,z′t)を求める。
付き乗算器262によって構成し、 により計算したz′iを用いて、 z′=(z′1,‥‥,z′t)を求める。
step8:Cは、(m,β,z′)を受信すると、検査器340を用
いて(m,β,z′)の正当性を検査する。
いて(m,β,z′)の正当性を検査する。
検査器340は、例えば、剰余付き乗算器341と一方向性
関数計算器342と比較器343によって構成し、 x″i=z′i2×xiβi(mod N) によりx″iを求めて、 β=f(m,x″1,‥‥,x″t) が成立するか否かを検査する。
関数計算器342と比較器343によって構成し、 x″i=z′i2×xiβi(mod N) によりx″iを求めて、 β=f(m,x″1,‥‥,x″t) が成立するか否かを検査する。
以上のように、Fiat−Shamir法をベースとした追跡不
可能な認証方式について説明したが、この方式において
は、Nの素因数分解が困難な場合に(mod N)での平
方根の計算が困難であるという事実に基づいている。
可能な認証方式について説明したが、この方式において
は、Nの素因数分解が困難な場合に(mod N)での平
方根の計算が困難であるという事実に基づいている。
離散対数問題等の困難性を利用した認証法をベースに
しても、同様の議論は成立する。この認証法について
は、例えば、M.Tompa and H.Woll,“Random Self−Redu
cibility and Zero Knowledge Interactive Proofs of
Possession of Information",FOCS,pp.472−482(198
7)及び、岡本、太田共著「零知識証明問題の不正使用
法とその対策及び応用について」(1988年暗号と情報セ
キュリテイシンポジウムワークショップ)に示されてい
る。
しても、同様の議論は成立する。この認証法について
は、例えば、M.Tompa and H.Woll,“Random Self−Redu
cibility and Zero Knowledge Interactive Proofs of
Possession of Information",FOCS,pp.472−482(198
7)及び、岡本、太田共著「零知識証明問題の不正使用
法とその対策及び応用について」(1988年暗号と情報セ
キュリテイシンポジウムワークショップ)に示されてい
る。
また、後述の発明の効果においても記載した、零知識
対話型証明システム性及び非転移性については、例え
ば、U.Feige,A.Fiat and A.Shamir,“Zero Knowledge P
roofs of Identity",Proceedings of the 19th Annual
ACM Symposium on Theory of Computing,1987,pp.210−
217の文献がある。
対話型証明システム性及び非転移性については、例え
ば、U.Feige,A.Fiat and A.Shamir,“Zero Knowledge P
roofs of Identity",Proceedings of the 19th Annual
ACM Symposium on Theory of Computing,1987,pp.210−
217の文献がある。
[発明の効果] 本発明は、Fiat−Shamir法をベースにしているため、
認証処理が高速に実現できる。また、Bが、問い合わせ
文の対応関係と応答文の対応関係を、秘密の乱数で与え
ているから、その値を秘密に保つことにより、A−B間
とB−C間で通信されるデータの対応関係を隠すことが
できる。すなわち、利用者の認証処理においては、Aが
Bの身元を保障していることを、Bの身元を明かすこと
なくCに証明することができる。メッセージの認証処理
においては、Bはメッセージmの内容を知られることな
しにAに署名をさせることができる。その結果として、
AとCが結託したとしても、Bの身元は明かとはなら
ず、Bがmを送信したことも検出することはできない。
従って追跡不可能な認証処理を実現できる効果を得られ
る。
認証処理が高速に実現できる。また、Bが、問い合わせ
文の対応関係と応答文の対応関係を、秘密の乱数で与え
ているから、その値を秘密に保つことにより、A−B間
とB−C間で通信されるデータの対応関係を隠すことが
できる。すなわち、利用者の認証処理においては、Aが
Bの身元を保障していることを、Bの身元を明かすこと
なくCに証明することができる。メッセージの認証処理
においては、Bはメッセージmの内容を知られることな
しにAに署名をさせることができる。その結果として、
AとCが結託したとしても、Bの身元は明かとはなら
ず、Bがmを送信したことも検出することはできない。
従って追跡不可能な認証処理を実現できる効果を得られ
る。
なお、本発明の方式の安全性は、計算量理論の理論的
な研究結果である零知識対話型証明システム性や非転移
性をみたすことによって保障することができる。
な研究結果である零知識対話型証明システム性や非転移
性をみたすことによって保障することができる。
【図面の簡単な説明】 第1図は、この発明の原理構成図、第2図は証明者Aが
設備する設置のブロック図、第3図は利用者の認証方式
における被検証者Bが設置する装置のブロック図、第4
図は利用者の認証方式における検証者Cが設置する装置
のブロック図、第5図はメッセージの認証方式における
被検証者Bが設置する装置のブロック図、第6図は検証
者Cが設置する装置のブロック図である。 105,205,305,251,342:一方向性関数計算器 110:初期応答文発生器 111,210,320:乱数発生器 112,122,232,262,331,341:剰余付き乗算器 215:初期応答文攪乱器 121,310:秘密情報格納器 220:問い合わせ文攪乱器 120:証明器 230,260:乱数成分除去器 231,261:条件判定器 250:問い合わせ文発生器 252:排他的論理和計算器 330,340:検査器 332,343:比較器
設備する設置のブロック図、第3図は利用者の認証方式
における被検証者Bが設置する装置のブロック図、第4
図は利用者の認証方式における検証者Cが設置する装置
のブロック図、第5図はメッセージの認証方式における
被検証者Bが設置する装置のブロック図、第6図は検証
者Cが設置する装置のブロック図である。 105,205,305,251,342:一方向性関数計算器 110:初期応答文発生器 111,210,320:乱数発生器 112,122,232,262,331,341:剰余付き乗算器 215:初期応答文攪乱器 121,310:秘密情報格納器 220:問い合わせ文攪乱器 120:証明器 230,260:乱数成分除去器 231,261:条件判定器 250:問い合わせ文発生器 252:排他的論理和計算器 330,340:検査器 332,343:比較器
Claims (2)
- 【請求項1】証明者A、被検証者B及び検証者Cが当事
者として関与するシステムであって、 証明者Aは、初期応答文発生器及び証明器; 被検証者Bは、乱数発生器、初期応答文攪乱器、 問い合わせ文攪乱器、及び乱数成分除去器; 検証者Cは、検査器;をそれぞれ備え、 証明者Aは、初期応答文発生器を用いて生成した初期応
答文x′を被検証者Bに送信し、 被検証者Bは、Aから受信した初期応答文x′と乱数発
生器を用いて生成した乱数成分を初期応答文攪乱器に入
力して初期応答文x″を作成して検証者Cに送信し、 検証者Cは、被検証者Bに問い合わせ文βを送信し、 被検証者Bは、Cから受信した問い合わせ文βと先に生
成した乱数成分を問い合わせ文攪乱器に入力して問い合
わせ文β′を作成して証明者Aに送信し、 証明者Aは、初期応答文x′と問い合わせ文β′に対応
した応答文zを証明器を用いて生成して被検証者Bに送
り返し、 被検証者Bは応答文zを乱数成分除去器に入力して乱数
成分の影響を取り除いて応答文z′を求め、その値を検
証者Cに送信し、 検証者Cは応答文z′を検査器に入力してz′が先に送
信した初期応答文x″と先に送信した問い合わせ文βに
対する正しい応答になっていることを検査し、 この手順を、1回か、または、安全性を向上する場合に
は、複数回繰り返すようにした、 被検証者Bが、乱数成分を秘密にすることによって、被
検証者Bと証明者A間で通信が行われる(x′,β′,
z)と、検証者Cと被検証者B間で通信が行われる
(x″,β,z′)の対応関係の秘密保持を可能ならしめ
ることを特徴とする利用者の認証方式。 - 【請求項2】通信文の正当性を確認するメッセージの認
証方式において、 証明者Aと、被検証者Bと、検証者Cとにそれぞれ設置
される装置が通信線を介して接続されるシステムにおい
て、 証明者Aは、初期応答文発生器と証明器を備え、被検証
者Bは乱数発生器、初期応答攪乱器、問い合わせ文発生
器、及び乱数成分除去器を備え、 検証者Cは検査器を備え、 証明者Aは、初期応答文発生器を用いて生成した初期応
答文x′は被検証者Bに送信し、 被検証者Bは、Aから受信した初期応答文x′と乱数発
生器を用いて生成した乱数成分と署名対象のメッセージ
mを問い合わせ文発生器に入力して問い合わせ文(βと
β′)を作成してβ′を証明者Aに送信し、 証明者Aは、先に送信した初期応答文x′と受信した問
い合わせβ′に対応した応答文zを証明器を用いて生成
して被検証者Bに送り返し、 被検証者Bは、応答文zと先に生成した乱数成分と問い
合わせ文βを乱数成分除去器に入力して乱数成分の影響
を取り除いてメッセージmに対応した値z′を求め、
z′をm、βと共に検証者Cに送信し、 検証者Cは、z′と、メッセージmと、問い合わせ文β
を検査器に入力して、βとz′がmに対する正しい署名
になっていることを検査するという段階を有し、 被検証者Bが、乱数成分を秘密にすることによって、被
検証者Bと証明者A間で通信が行われる(x′,β′,
z)と、検証者Cと被検証者B間で通信が行われる(m,
β,z′)の対応関係を秘密にできることを特徴とするメ
ッセージの認証方式。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63156020A JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
| US07/367,650 US4969189A (en) | 1988-06-25 | 1989-06-19 | Authentication system and apparatus therefor |
| DE68919923T DE68919923T2 (de) | 1988-06-25 | 1989-06-21 | Verfahren und Vorrichtung zur Authentifizierung. |
| EP89111318A EP0348812B1 (en) | 1988-06-25 | 1989-06-21 | Authentication method and apparatus therefor |
| CA000603463A CA1322600C (en) | 1988-06-25 | 1989-06-21 | Authentication system and apparatus therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63156020A JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH027638A JPH027638A (ja) | 1990-01-11 |
| JP2571607B2 true JP2571607B2 (ja) | 1997-01-16 |
Family
ID=15618558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63156020A Expired - Lifetime JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2571607B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158791A (zh) * | 2013-05-14 | 2014-11-19 | 北大方正集团有限公司 | 一种分布式环境下的安全通信认证方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4969189A (en) | 1988-06-25 | 1990-11-06 | Nippon Telegraph & Telephone Corporation | Authentication system and apparatus therefor |
-
1988
- 1988-06-25 JP JP63156020A patent/JP2571607B2/ja not_active Expired - Lifetime
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4969189A (en) | 1988-06-25 | 1990-11-06 | Nippon Telegraph & Telephone Corporation | Authentication system and apparatus therefor |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH027638A (ja) | 1990-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110781521B (zh) | 基于零知识证明的智能合约认证数据隐私保护方法及系统 | |
| US5511121A (en) | Efficient electronic money | |
| EP0772165B1 (en) | Electronic cash implementing method using an anonymous public key license | |
| US4969189A (en) | Authentication system and apparatus therefor | |
| US7958057B2 (en) | Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication | |
| Yi et al. | A new blind ECDSA scheme for bitcoin transaction anonymity | |
| US7877331B2 (en) | Token based new digital cash protocols with combined blind digital signature and pseudonym authentication | |
| Hwang et al. | A simple micro-payment scheme | |
| JP2007317200A (ja) | 方法、電子決済システム、コンピュータ・プログラム、発行者、アクセプタ、バリデータ、エミッタ(取引を自動的に妥当性検査する方法、電子支払いシステム、およびコンピュータ・プログラム) | |
| Islam et al. | Provably secure pairing-free identity-based partially blind signature scheme and its application in online e-cash system | |
| US6636969B1 (en) | Digital signatures having revokable anonymity and improved traceability | |
| JP2805493B2 (ja) | 認証方法及びそれに用いる装置 | |
| KR100971038B1 (ko) | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 | |
| JP2571607B2 (ja) | 認証方式 | |
| Jakobsson et al. | Applying anti-trust policies to increase trust in a versatile e-money system | |
| JPH0752460B2 (ja) | 電子現金実施方法及びその装置 | |
| Wang et al. | Building a consumer scalable anonymity payment protocol for Internet purchases | |
| JP2805494B2 (ja) | 認証方法及びそれに用いる装置 | |
| JP3171227B2 (ja) | 信託機関付き電子紙幣実施方法 | |
| Luo et al. | An e-cash Scheme with Multiple Denominations and Transferability | |
| KR100309560B1 (ko) | 네트워크시스템에서의내용은닉서명방법 | |
| JP2000221882A (ja) | 多重デジタル署名方法、そのシステム、その装置及びそのプログラム記録媒体 | |
| WO2023177902A1 (en) | Offline interaction blockchain system and method | |
| Batten et al. | Off-line Digital Cash Schemes Providing Unlinkability, Anonymity and Change | |
| Qiu | A fair off-line electronic payment system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071024 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081024 Year of fee payment: 12 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081024 Year of fee payment: 12 |