JP2671649B2 - 認証方式 - Google Patents

認証方式

Info

Publication number
JP2671649B2
JP2671649B2 JP16691291A JP16691291A JP2671649B2 JP 2671649 B2 JP2671649 B2 JP 2671649B2 JP 16691291 A JP16691291 A JP 16691291A JP 16691291 A JP16691291 A JP 16691291A JP 2671649 B2 JP2671649 B2 JP 2671649B2
Authority
JP
Japan
Prior art keywords
sentence
verifier
prover
random number
inquiry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP16691291A
Other languages
English (en)
Other versions
JPH0512321A (ja
Inventor
幸一 桜井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP16691291A priority Critical patent/JP2671649B2/ja
Priority to US07/907,717 priority patent/US5245657A/en
Priority to DE69224238T priority patent/DE69224238T2/de
Priority to EP92111360A priority patent/EP0522473B1/en
Publication of JPH0512321A publication Critical patent/JPH0512321A/ja
Application granted granted Critical
Publication of JP2671649B2 publication Critical patent/JP2671649B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3678Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes e-cash details, e.g. blinded, divisible or detecting double spending
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Debugging And Monitoring (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Storage Device Security (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、相手認証(例えば、電
話の話し相手が本当に自分の話し相手であることを認証
する),本人認証(例えば、自分が本当にその本人であ
ることを相手や他人に認証してもらう),などを行う認
証方法に関するものであり、とくに電気通信システムを
もちいたクレジットカ−ドシステムに有用である。
【0002】
【従来の技術】従来、暗号通信の分野における認証で
は、ある秘密情報S(例えば、パスワ−ドやIDナンバ
−など)を知っている者(以下、証明者と呼ぶ。)を本
人と検証者が確かめることで、認証が行われている。こ
うした認証方法の中で、零知識証明技術に基づいた暗号
認証方法が数多く提案されている。この代表的な認証方
法として、FiatとShamirの提案した、いわゆ
るFiat−Shamir法(USP第4,748,6
68号明細書に開示されている。)は、(完全性)検証
者は、秘密情報Sを知っている者を、本人と認める。
(健全性)検証者は、秘密情報Sを知らない者は、本人
と認めない。(零知識性)証明者は、検証者に、秘密情
報Sを知っているということだけを伝え、秘密情報Sに
関する内容は、一切漏らさない。という意味で、いかな
る攻撃(例えば、なりすましや通信回線の盗聴など)に
対しても安全であり、認証方法としては有望である。
【0003】以下この従来の認証方法について説明す
る。図2はこの従来の認証方法に用いられる装置のブロ
ック図であり、1は証明者の操作により乱数を生成する
乱数発生器、2は証明者の操作により演算を行う演算
器、3は証明者が生成する乱数や、証明者の持つ秘密情
報や、検証者から送られるデ−タを記憶する証明者側メ
モリ、4は検証者の操作により乱数を生成する乱数発生
器、5は検証者の操作により演算を行う演算器、6は検
証者が生成する乱数や、証明者から送られるデ−タを記
憶する検証者側メモリ、9は証明者と検証者とがデ−タ
のやりとりを行う通信回線である。上記、乱数発生器
1,演算器2,メモリ3により証明者側装置11が構成
され、乱数発生器4,演算器5,メモリ6により検証者
側装置12が構成される。まず、信頼できるセンタが、
個人識別情報としてIDを用いる利用者に対して、次の
手順で秘密情報sを生成する。ここでNは公開情報であ
り、秘密の情報pとqを用いてN=p×qと表せる。ま
た、一方向性関数fも公開されている。
【0004】ステップA−1 一方向性関数fを用いて I=f(ID) を計算する。
【0005】ステップA−2 Iに対してNの素因数pとqとを用いて s2 = I mod N を満たすsを計算する。
【0006】ステップA−3 利用者に対してsを秘密に発行し、一方向性関数fと合
成数Nを公開する。
【0007】利用者の認証方式は以下の通りである。証
明者Pは、検証者Vに対して、Pが本人であることを、
以下の手順で示す。
【0008】ステップA−4 証明者PがIDを検証者Vに送る。
【0009】ステップA−5 検証者VがI=f(ID)を計算する。下記のステップ
A−6〜A−9をt回繰り返す。
【0010】ステップA−6 証明者Pは、 r∈ZN * をランダムに選び、
【0011】x=r2 mod N を計算し、xを検証者に送る。
【0012】ステップA−7 検証者は、0または1をランダムかつ一様に選び、eと
して検証者に送る。
【0013】ステップA−8 証明者は、 z=r+e×s mod N を検証者に送る。
【0014】ステップA−9 検証者は、 z2=x×Ie mod N が成立するかどうかをを確かめる。成立すれば、検証者
は証明者を正当であると判定する。さもなくば、検証者
は証明者を不当であると判定する。
【0015】また、こうしたFiat−Shamirの
認証方法をもちいて、電気通信システム電子資金移動等
を行う方式が太田・岡本(特開平2−266464号)
により、提案されている。
【0016】
【発明が解決しようとする課題】従来の認証方法は以上
のように構成されているので、計算量理論に基づき、零
知識証明であることが証明され、安全性の観点からは申
し分ない方式であるが、証明者と検証者の通信履歴が、
後日、本当に通信したことの証拠として意味をなさない
という問題があった。とくに太田・岡本(特開平2−2
66464号)の方式を銀行の電子現金システムに用い
た場合、電子現金発行の証拠が残らない為、銀行内部の
犯罪者(横領)に対しては無防備であり、また、電子現
金を受け取った人が、あとでその事実を否定しても、立
証する証拠が何も無く、証明者と検証者とが認証した
後、本当に通信したことの証拠が残る認証方法を得るこ
とが課題であった。
【0017】
【課題を解決するための手段】この発明の認証方式に係
わる第1の発明は、証明者から最初に送られる応答文X
と検証者がランダムに生成した乱数メツセージMとか
ら、検証者は、問い合わせ文E=f(M,X)を生成
し、この問い合わせ文Eと乱数メッセ−ジMとを証明者
に送り、証明者は、初期応答文Xと検証者から送信され
た乱数メッセ−ジMと問い合わせ文Eとが、E=f
(M,X)を満たすことを確認した後、初期応答文Xと
問い合わせ文Eに対応した応答文Yを、秘密情報sを用
いて生成して、検証者に送信し、検証者は、公開情報I
を用いて、応答文Yが先に受信した初期応答文Xと先に
送信した問い合わせ文Eに対する正しい応答になってい
ることを検査して、証明者の秘密情報sを漏らすことな
く、証明者が秘密情報sを知っていることを認証し、証
明者から最初に送られる応答文Xと検証者がランダムに
生成した乱数Mと証明者の応答文Yとを認証の証拠とす
る。
【0018】また、第2の発明は、証明者を検証者が認
証した後で、検証者は、証明者を認証したということ
を、調停者に伝えるのに認証時の履歴デ−タH=(X,
M,Y)を調停者に送信し、履歴デ−タHを受け取った
調停者は、履歴デ−タHの正当性を、応答文Yと公開情
報Iとから応答文Yが初期応答文Xと問い合わせ文Eに
対する正しい応答になっていることを検査し、検証者が
証明者を認証したことを認めるものである。
【0019】また、第3の発明は、証明者は初期応答文
Xと要求文Rを検証者に送信し、検証者は、乱数メッセ
−ジMを生成し、証明者から送られた初期応答文Xと要
求文Rと乱数メッセ−ジMとから問い合わせ文E=f
(M,X,R)を演算し、問い合わせ文Eと乱数メッセ
−ジMとを証明者に送信し、証明者は、初期応答文Xと
要求文Rと検証者から送られてきた乱数メッセ−ジMと
問い合わせ文Eとが、E=f(M,X,R)を満たすこ
とを確認した後、初期応答文Xと問い合わせ文Eに対応
した応答文Yを秘密情報sを用いて生成し、検証者に応
答文Yを送信し、検証者は、応答文Yと公開情報Iとを
演算器に入力して、応答文Yが先に受信した初期応答文
Xと先に送信した問い合わ文Eに対する正しい応答にな
っていることを検査して、証明者が要求文Rを要求した
ことを認証するものである。
【0020】第4の発明は証明者を検証者が認証した後
で、検証者は、証明者が認証時に要求文Rを用いたとい
うことを、調停者に、伝えるのに認証時の履歴デ−タ
(X,R,M,Y)を第3者に送信し、履歴デ−タ
(X,R,M,Y)を受けとった調停者は、履歴デ−タ
(X,R,M,Y)の正当性を、応答文Yと公開情報I
とから、応答文Yが初期応答文Xと問い合わせ文E=f
(M,X,R)に対する正しい応答になっていることを
検査して、検証者が要求文Rを要求する証明者を認証し
たことを認めるものである。
【0021】第5の発明は証明者の認証回数が制限され
た認証方式において、検証者は、認証ごとに異なる乱数
メッセ−ジを用いて、履歴デ−タを保持し、異なる履歴
デ−タが、許された認証回数に達したら、以降の証明者
の認証は受け付けないことで認証を行うものである。
【0022】第6の発明は、検証者が問い合わせ文を計
算する際、検証者の乱数メッセ−ジMと、証明者の初期
応答文Xと要求文R(あるいはMとX)とから検証者の
デジタル署名D(M,X,R)を生成し、E=f(D
(M,X,R))とし、問い合わせ文Eと乱数メッセ−
ジMと、デジタル署名D(M,X,R)とを証明者に送
信することで認証を行うものである。
【0023】
【作用】この発明の認証方式に係る第1の発明により、
証明者を検証者が認証するに、検証者は、証明者からの
初期応答文Xと乱数メッセ−ジMとから問い合わせ文E
=f(M,X)を生成し、証明者は問い合わせ文EがE
=f(M,X)を満足することを確認して、秘密情報s
を用いて作成した応答文Yを検証者に送信し、検証者は
応答文Yが初期応答文Xと問い合わせ文E=f(M,
X)に対する正しい応答になっていることを検査して、
検証者が証明者を認証したことを認め、証明者から最初
に送られる応答文Xと検証者がランダムに生成した乱数
Mと証明者の応答文Yとを認証の証拠とする。
【0024】また第2の発明により、問い合わせ文E
が、証明者の初期応答文Xと検証者の乱数メッセ−ジM
とから構成されH=(X,M,Y)を履歴デ−タとして
調停者に送信しているので、第三者である調停者により
H=(X,M,Y)が履歴デ−タして、検証者が証明者
を認証したことの証拠として使われる。
【0025】また第3の発明により、証明者は初期応答
文Xと要求文Rを検証者に送信するので、証明者が要求
文Rを要求したことを、証明者は秘密情報を漏らすこと
なく示し、H=(X,R,M,Y)を履歴デ−タして、
検証者が要求文Rを要求する証明者を認証したことの証
拠として使う。
【0026】また第4の発明により、問い合わせ文E
が、証明者の初期応答文Xとと要求文Rと検証者の乱数
メッセ−ジMとから構成されているので、H=(X,
R,M,Y)を履歴デ−タし、この履歴デ−タH=
(X,R,M,Y)を調停者に送信しているので、第三
者である調停者により検証者が要求文Rを要求する証明
者を認証したことの証拠として使う。
【0027】また第5の発明により、検証者は、認証ご
とに異なる乱数メッセ−ジを用いて、履歴デ−タを保持
し、異なる履歴デ−タが、許された認証回数に達した
ら、以降の証明者の認証は受け付けないことで認証を行
うので、証明者の認証回数を制限する。
【0028】また第6の発明により、検証者が問い合わ
せ文を計算する際、検証者の乱数メッセ−ジMと、証明
者の初期応答文Xと要求文R(あるいはMとX)とから
検証者のデジタル署名D(M,X,R)を生成し、E=
f(D(M,X,R))として、問い合わせ文Eと乱数
メッセ−ジMと、デジタル署名D(M,X,R)とを証
明者に送信するので、履歴デ−タを、検証者の協力なし
に証明者のみが、単独で生成することを防止する。
【0029】
【実施例】以下、この発明の一実施例を図について説明
する。図1はこの発明の一実施例を示すブロック図であ
る。図において、1は証明者の操作により乱数を生成す
る乱数発生器、2は証明者の操作により演算を行う演算
器、3は証明者が生成する乱数や、証明者の持つ秘密情
報や、検証者から送られるデ−タを記憶する証明者側メ
モリ、4は検証者の操作により乱数を生成する乱数発生
器、5は検証者の操作により演算を行う演算器、6は検
証者が生成する乱数や、証明者から送られるデ−タを記
憶する検証者側メモリ、7は調停者の操作により演算を
行う演算器、8は検証者から送られるデ−タや調停者の
演算結果を記憶する調停者側メモリ、9は証明者と検証
者とがデ−タのやりとりを行う通信回線、10は検証者
と調停者とがデ−タのやりとりを行う通信回線である。
上記、乱数発生器1,演算器2,メモリ3により証明者
側装置11が構成され、乱数発生器4,演算器5,メモ
リ6により検証者側装置12が構成され、演算器7,メ
モリ8により調停者側装置13が構成されている。
【0030】次に上記実施例の動作についてFiat−
Shamir法をもとに説明する。まず、信頼できるセ
ンタが、個人識別情報としてIDを用いる利用者に対し
て、次の手順で秘密情報sを生成する。ここでNは公開
情報であり、秘密の情報pとqを用いてN=p×qと表
せる。また、一方向性関数f、ランダムハッシュ関数h
も公開されている。
【0031】ステップB−1 一方向性関数fを用いて I=f(ID) を計算する。
【0032】ステップB−2 Iに対してNの素因数pとqとを用いて s2 = I mod N を満たすsを計算する。
【0033】ステップB−3 利用者に対してsを秘密に発行し、一方向性関数fと合
成数Nを公開する。
【0034】利用者の認証方式は以下の通りである。
明者Pは、検証者Vに対して、Pが本人であることを、
以下の手順で示す。 ステップB−4a 証明者PがIDを検証者Vに送る。 ステップB−4b 検証者VがI=f(ID)を計算する。 ステップB−4c 証明者は、乱数発生器1を用いて、 ri∈ZN (i=1,…,k) をランダムに選び、
【0035】演算器2を用いて、 xi=ri2 mod N (i=1,…,k) を計算し、要求文Rと共にxi(i=1,…,k)を通
信回線9を通じて検証者に送る。
【0036】ステップB−5 検証者は、乱数発生器4を用いて、ランダムにメッセ−
ジMを生成し、演算器5を用いて、 (e1,…,ek)=h(M,R,x1,…,xk) を計算し、(e1,…,ek)を通信回線9を通じてメ
ッセ−ジMと共に検証者に送る。
【0037】ステップB−6 証明者は、演算器2を用いて、 (e1,…,ek)=h(M,R,x1,…,xk) が成立するかどうかを確かめ、成立しない場合は、通信
を止める。さもなくば、演算器2を用いて、 yi=ri+ei×s mod N (i=1,…,k) を計算し、通信回線9を通じてyi(i=1,…,k)
検証者に送る。
【0038】ステップB−7 検証者は、演算器5を用いて、 yi2=xi×Iei mod N (i=1,…,k) が成立するかどうかをを確かめる。成立すれば、検証者
は証明者を正当であると判定し、さもなくば、証明者を
本人と認めない。さらに、検証者が証明者を正当である
と判定した場合、検証者は H=(x1,…,xk,M,R,y1,…,yk) を認証履歴として、メモリ6に保存する。
【0039】後日、証明者が、要求文Rを用いて、身分
証明をした事を否定した場合、検証者は、要求文Rを用
いて、証明者を認証したということを、調停者に伝える
のに認証時の履歴デ−タHを通信回線10を通じて調停
者に送信し、履歴デ−タHを受け取った調停者は、履歴
デ−タHの正当性を、 (e1,…,ek)=h(M,x1,…,xk,R) yi2=xi×Iei mod N (i=1,…,k) が成立するかどうかで確かめる。
【0040】また、検証者が、要求文Rを用いて証明者
の身分証明をした事を主張する場合、調停者は、認証時
の履歴デ−タHを要求し、履歴デ−タHが (e1,…,ek)=h(m,x1,…,xk,R) yi2=xi×Iei mod N (i=1,…,k) が成立するかどうかで確かめる。
【0041】また、上記実施例では、要求文Rを用いて
認証を行っているが、要求文Rを用いずに、証明者の身
分証明のみを行うことも可能である。その際、履歴デ−
タはH=(x1,…,xk,M,y1,…,yk) となることはいうまでもない。
【0042】以上では、Fiat−Shamir法に基
づいた立証可能な認証方式について説明した。本方式は
Nの素因数分解が困難なことに安全性の根拠をおくが、
拡張Fiat−Shamir法(たとえば太田−岡本
『Fiat−Shamir法の高次への拡張』、電子情
報通信学会技術研究報告ISEC88−13に示されて
いる)でも同様の議論が成り立ち、、岡本−太田、”H
ow to utilize the randomn
ess of zero−knowledgeproo
fs,” Crypto´90に記された、schem
e3.3およびscheme4に対しても適用できる。
【0043】また離散対数問題等の困難性に安全性の根
拠をおく認証方式(たとえばM.Tompa & H.
Woll,”Random Self−Reducib
ility and Zero Knowledge
Interactive Proofs of Pos
ession of Information,”IE
EE Annual Symposium on Fo
undation of Computer Scie
nce,pp472−482(1987)に示されてい
る、)を用いても同様の議論が成りたつ。
【0044】上記の認証方式は太田・岡本(特開平2−
266464号)のメッセ−ジの認証方式において、検
証者が証明者の認証を行う前に、証明者が検証者の認証
を本提案方式を用いて行うことで、証明者と検証者の間
でメッセ−ジの認証方式が行われたことを、後で調停者
に示すことが可能となる。
【0045】また、本方式はDesmedt,Y.,G
outier,C. and Bengino,S.”
Special Uses and Abuses o
fthe Fait−Shamir Passport
Protocol,(Crypto´87,198
7)や岡本,太田,”零知識証明の不正使用法とその対
策及び応用について(1988年暗号と情報セキュリテ
ィシンポジィウムワ−クショップ)で指摘される零知識
認証方式の転用性の防止にもなっている。
【0046】
【発明の効果】以上に述べたように、この発明によれ
ば、検証者は証明者から送られた初期応答文Xと乱数メ
ッセ−ジMとから、演算器を用いて、問い合わせ文E=
f(M,X)を生成し、この問い合わせ文Eを証明者に
送信するので、証明者を検証者が認証した後で、検証者
は、証明者を認証したということを、調停者に、履歴デ
−タ(X,M,Y)も用いて示すことが可能であり立証
可能な信頼性の高い、安全な認証を得ることができる。
【図面の簡単な説明】
【図1】この発明の一実施例を示すブロック図である。
【図2】従来の方法に用いられる装置を示すブロック図
である。
【符号の説明】
1、4 乱数発生器 3、6、8 メモリ 2、5、7 演算器 9、10 通信回線 11 証明者側装置 12 検証者側装置 13 調停者側装置
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/32 G07F 7/08 B (56)参考文献 KOUICHI SAKURAI,T OSHIYA ITOH,“WHY D OES THE IMMEDIATE PARALLELIZATION FA IL TO BE ZERO KNOW LEDGE?,”電子情報通信学会技術 研究報告,VOL.91,NO.128, 1991年7月16日,PP.53−64(ISE C91−22) 川村,新保「FIAT−SHAMIR 署名法を利用した一方向鍵共有方式」 1991年電子情報通信学会春季全国大会講 演論文集,分冊1,P.1−294 新保,川村「FIAT−SHAMIR 署名に基づく一方向鍵共有方式の安全性 について」電子情報通信学会技術研究報 告,VOL.91,NO.111,1991年6 月26日,PP.1−6(CS91−17)

Claims (6)

    (57)【特許請求の範囲】
  1. 【請求項1】 証明者と検証者とから構成されたシステ
    ムで、通信相手の身元を確認する利用者の認証方式にお
    いて、 証明者は初期応答文Xを検証者に送信し、 検証者は、乱数発生器を用いて乱数メッセ−ジMを生成
    し、証明者から送られた初期応答文Xと乱数メッセ−ジ
    Mとから、演算器を用いて、問い合わせ文E=f(M,
    X)を生成し、この問い合わせ文E=f(M,X)と乱
    数メッセ−ジMとを証明者に送信し、 証明者は、初期応答文Xと検証者から送られてきた乱数
    メッセ−ジMと問い合わせ文Eとが,E=f(M,X)
    を満たすことを確認した後、初期応答文Xと問い合わせ
    文Eに対応した応答文Yを、秘密情報sを用いて生成し
    て、検証者に応答文Yを送信し、 検証者は、応答文Yと公開情報Iとを演算器に入力し
    て、応答文Yが先に受信した初期応答文Xと先に送信し
    た問い合わせ文Eに対する正しい応答になっていること
    を検査して、証明者の秘密情報sを漏らすことなく、証
    明者が秘密情報sを知っていることを検証者が認証する
    ことを特徴とする認証方式。
  2. 【請求項2】 請求項1に記載の認証方式において、証
    明者を検証者が認証した後で、 検証者は、、調停者に認証時の履歴デ−タ(X,M,
    Y)を送信して証明者を認証したことを伝え、 履歴デ−タ(X,M,Y)を受け取った調停者は、履歴
    デ−タ(X,M,Y)の正当性を、応答文Yと公開情報
    Iとを演算器に入力して、応答文Yが初期応答文Xと問
    い合わせ文E=f(M,X)に対する正しい応答になっ
    ていることを検査して、検証者が証明者を認証したこと
    を認めることを特徴とする認証方式。
  3. 【請求項3】 証明者と検証者とから構成されたシステ
    ムで、通信相手の身元を確認する利用者の認証方式にお
    いて、 証明者は初期応答文Xと要求文Rを検証者に送信し、 検証者は、乱数発生器を用いて乱数メッセ−ジMを生成
    し、証明者から送られた初期応答文Xと要求文Rと乱数
    メッセ−ジMとから演算器を用いて、問い合わせ文E=
    f(M,X,R)を生成し、この問い合わせ文E=f
    (M,X,R)と乱数メッセ−ジMとを証明者に送信
    し、 証明者は、初期応答文Xと要求文Rと検証者から送られ
    てきた乱数メッセ−ジMと問い合わせ文Eとが、E=f
    (M,X,R)を満たすことを確認した後、証明者は初
    期応答文Xと問い合わせ文Eに対応した応答文Yを、秘
    密情報sを用いて生成して、検証者に応答文Yを送信
    し、 検証者は、応答文Yと公開情報Iとを演算器に入力し
    て、応答文Yが先に受信した初期応答文Xと先に送信し
    た問い合わせ文Eに対する正しい応答になっていること
    を検査して、証明者の秘密情報sを漏らすことなく、秘
    密情報sを知っている証明者が要求文Rを用いて、認証
    を行うことを特徴とする認証方式。
  4. 【請求項4】 請求項3に記載の認証方式において、証
    明者を検証者が認証した後で、検証者は、調停者に認証
    時の履歴デ−タ(X,R,M,Y)を送信して、証明者
    が認証時に要求文Rを用いたことを伝え、 履歴デ−タ(X,R,M,Y)を受け取った調停者は、
    履歴デ−タ(X,R,M,Y)の正当性を、応答文Yと
    公開情報Iとを演算器に入力して、応答文Yが初期応答
    文Xと問い合わせ文E=f(M,X,R)に対する正し
    い応答になっていることを検査して、検証者が証明者を
    認証したことを認めることを特徴とする認証方式。
  5. 【請求項5】 請求項1又は請求項3の何れかに記載の
    認証方式であって、証明者の認証回数が制限された認証
    方式において、検証者は、認証ごとに異なる乱数メッセ
    −ジを用いて、履歴デ−タを保持し、 異なる履歴デ−タが、許された認証回数に達したら、以
    降の証明者の認証は受け付けないことで、証明者の認証
    回数を制限することを特徴とする認証方式。
  6. 【請求項6】 請求項1から請求項5の何れかに記載の
    認証方式であって、検証者が問い合わせ文を計算する
    際、 MとX(あるいはMとXとR)とから検証者のデジタル
    署名D(M,X,R)を生成し、 E=f(D(M,
    X,R))とし、問い合わせ文Eと、 乱数メッセ−ジMと、デジタル署名D(M,X,R)と
    を証明者に送信することで、履歴デ−タを証明者が検証
    者の協力なしで作成することをふせぐことを特徴とする
    認証方式。
JP16691291A 1991-07-08 1991-07-08 認証方式 Expired - Lifetime JP2671649B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP16691291A JP2671649B2 (ja) 1991-07-08 1991-07-08 認証方式
US07/907,717 US5245657A (en) 1991-07-08 1992-07-02 Verification method and apparatus
DE69224238T DE69224238T2 (de) 1991-07-08 1992-07-03 Geheimübertragungsverfahren zur Identitätsverifizierung
EP92111360A EP0522473B1 (en) 1991-07-08 1992-07-03 Cryptographic identity verification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP16691291A JP2671649B2 (ja) 1991-07-08 1991-07-08 認証方式

Publications (2)

Publication Number Publication Date
JPH0512321A JPH0512321A (ja) 1993-01-22
JP2671649B2 true JP2671649B2 (ja) 1997-10-29

Family

ID=15839949

Family Applications (1)

Application Number Title Priority Date Filing Date
JP16691291A Expired - Lifetime JP2671649B2 (ja) 1991-07-08 1991-07-08 認証方式

Country Status (4)

Country Link
US (1) US5245657A (ja)
EP (1) EP0522473B1 (ja)
JP (1) JP2671649B2 (ja)
DE (1) DE69224238T2 (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5539826A (en) * 1993-12-29 1996-07-23 International Business Machines Corporation Method for message authentication from non-malleable crypto systems
FR2714780B1 (fr) * 1993-12-30 1996-01-26 Stern Jacques Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification.
WO1995020802A1 (en) * 1994-01-27 1995-08-03 Sc-Info+Inno Technologie Informationen + Innovationen Gmbh + Co Authentifying method
EP0697687A4 (en) * 1994-03-07 2000-09-20 Nippon Telegraph & Telephone METHOD AND SYSTEM FOR PROVIDING AUTHENTICATION PROTOCOL BASED ON ZERO KNOWLEDGE
US5606609A (en) * 1994-09-19 1997-02-25 Scientific-Atlanta Electronic document verification system and method
DE4445615A1 (de) * 1994-12-21 1996-06-27 Sel Alcatel Ag Verfahren zur Gewährleistung der Vertraulichkeit in leitungsgebundenen Zugangsnetzen mit Punkt-zu-Mehrpunkt-Strukturen sowie Netzkomponenten und Programm-Modul hierfür
US5884277A (en) * 1995-05-01 1999-03-16 Vinod Khosla Process for issuing coupons for goods or services to purchasers at non-secure terminals
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
GB9621274D0 (en) * 1996-10-11 1996-11-27 Certicom Corp Signature protocol for mail delivery
AUPO799197A0 (en) * 1997-07-15 1997-08-07 Silverbrook Research Pty Ltd Image processing method and apparatus (ART01)
US6212637B1 (en) * 1997-07-04 2001-04-03 Nippon Telegraph And Telephone Corporation Method and apparatus for en-bloc verification of plural digital signatures and recording medium with the method recorded thereon
US7743262B2 (en) * 1997-07-15 2010-06-22 Silverbrook Research Pty Ltd Integrated circuit incorporating protection from power supply attacks
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
US7249108B1 (en) 1997-07-15 2007-07-24 Silverbrook Research Pty Ltd Validation protocol and system
US7346586B1 (en) 1997-07-15 2008-03-18 Silverbrook Research Pty Ltd Validation protocol and system
US7403922B1 (en) * 1997-07-28 2008-07-22 Cybersource Corporation Method and apparatus for evaluating fraud risk in an electronic commerce transaction
IL122106A (en) * 1997-11-04 2010-11-30 Enco Tone Ltd Method and algorithms for identification and validation
US6816968B1 (en) * 1998-07-10 2004-11-09 Silverbrook Research Pty Ltd Consumable authentication protocol and system
RU2153191C2 (ru) * 1998-09-29 2000-07-20 Закрытое акционерное общество "Алкорсофт" Способ изготовления вслепую цифровой rsa-подписи и устройство для его реализации (варианты)
RU2157001C2 (ru) 1998-11-25 2000-09-27 Закрытое акционерное общество "Алкорсофт" Способ проведения платежей (варианты)
FR2792789B1 (fr) * 1999-04-20 2001-08-31 Bull Cp8 Procede de verification de signature ou d'authentification
US7006999B1 (en) * 1999-05-13 2006-02-28 Xerox Corporation Method for enabling privacy and trust in electronic communities
US7246244B2 (en) * 1999-05-14 2007-07-17 Fusionarc, Inc. A Delaware Corporation Identity verification method using a central biometric authority
JP4592850B2 (ja) * 1999-11-09 2010-12-08 京セラ株式会社 移動無線通信システムにおける認証方法
SG127734A1 (en) * 2000-02-15 2006-12-29 Silverbrook Res Pty Ltd Consumables validation chip
US7685423B1 (en) 2000-02-15 2010-03-23 Silverbrook Research Pty Ltd Validation protocol and system
EP1164744A1 (en) * 2000-06-16 2001-12-19 Koninklijke KPN N.V. Cryptographic comparison of selections from small ranges
US7499889B2 (en) * 2000-10-23 2009-03-03 Cyota Inc. Transaction system
AU2002236184A1 (en) * 2001-03-08 2002-09-19 Cyota Inc. Transaction system
US7082313B2 (en) * 2001-09-24 2006-07-25 Qualcomm Incorporated Secure short message service
US8239917B2 (en) * 2002-10-16 2012-08-07 Enterprise Information Management, Inc. Systems and methods for enterprise security with collaborative peer to peer architecture
US7840806B2 (en) * 2002-10-16 2010-11-23 Enterprise Information Management, Inc. System and method of non-centralized zero knowledge authentication for a computer network
US8046589B2 (en) * 2004-06-25 2011-10-25 Koninklijke Philips Electronics N.V. Renewable and private biometrics
CN115333748B (zh) * 2022-07-26 2023-10-10 深圳市明源云科技有限公司 防伪造通信方法、系统、电子设备及计算机可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
JP2805493B2 (ja) * 1989-04-05 1998-09-30 日本電信電話株式会社 認証方法及びそれに用いる装置
US4977595A (en) * 1989-04-03 1990-12-11 Nippon Telegraph And Telephone Corporation Method and apparatus for implementing electronic cash

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KOUICHI SAKURAI,TOSHIYA ITOH,"WHY DOES THE IMMEDIATE PARALLELIZATION FAIL TO BE ZERO KNOWLEDGE?,"電子情報通信学会技術研究報告,VOL.91,NO.128,1991年7月16日,PP.53−64(ISEC91−22)
川村,新保「FIAT−SHAMIR署名法を利用した一方向鍵共有方式」1991年電子情報通信学会春季全国大会講演論文集,分冊1,P.1−294
新保,川村「FIAT−SHAMIR署名に基づく一方向鍵共有方式の安全性について」電子情報通信学会技術研究報告,VOL.91,NO.111,1991年6月26日,PP.1−6(CS91−17)

Also Published As

Publication number Publication date
US5245657A (en) 1993-09-14
EP0522473A3 (en) 1994-11-09
JPH0512321A (ja) 1993-01-22
DE69224238D1 (de) 1998-03-05
DE69224238T2 (de) 1998-05-20
EP0522473A2 (en) 1993-01-13
EP0522473B1 (en) 1998-01-28

Similar Documents

Publication Publication Date Title
JP2671649B2 (ja) 認証方式
US6148404A (en) Authentication system using authentication information valid one-time
US6119227A (en) Methods and apparatus for authenticating an originator of a message
US6738912B2 (en) Method for securing data relating to users of a public-key infrastructure
US6085320A (en) Client/server protocol for proving authenticity
Degabriele et al. On the joint security of encryption and signature in EMV
US20030070074A1 (en) Method and system for authentication
EP0661845B1 (en) System and method for message authentication in a non-malleable public-key cryptosystem
US20020031225A1 (en) User selection and authentication process over secure and nonsecure channels
JP2004530331A (ja) 一時的(エフェメラル)モジュールを用いた暗号認証法
CN104660412A (zh) 一种移动设备无密码安全认证方法及系统
JP3970243B2 (ja) 暗号認証方法
US20190007218A1 (en) Second dynamic authentication of an electronic signature using a secure hardware module
CN113364597A (zh) 一种基于区块链的隐私信息证明方法及系统
JP2001249901A (ja) 認証装置およびその方法、並びに、記憶媒体
Horn et al. Authentication and payment in future mobile systems
CN110866754A (zh) 一种基于动态口令的纯软件dpva身份认证方法
US7366911B2 (en) Methods and apparatus for computationally-efficient generation of secure digital signatures
Dandash et al. Fraudulent Internet Banking Payments Prevention using Dynamic Key.
CN111062029A (zh) 一种基于标识密码的多因子认证协议
CN111353780A (zh) 授权验证方法、装置及存储介质
WO2023022584A1 (en) System and method for decentralising digital identification
CN113495924A (zh) 一种基于区块链的可防伪数据安全共享方法
CN110855444A (zh) 一种基于可信第三方的纯软件cava身份认证方法
EP1267516B1 (en) Method for securing data relating to users of a public-key infrastructure