JP2805494B2 - 認証方法及びそれに用いる装置 - Google Patents
認証方法及びそれに用いる装置Info
- Publication number
- JP2805494B2 JP2805494B2 JP8727289A JP8727289A JP2805494B2 JP 2805494 B2 JP2805494 B2 JP 2805494B2 JP 8727289 A JP8727289 A JP 8727289A JP 8727289 A JP8727289 A JP 8727289A JP 2805494 B2 JP2805494 B2 JP 2805494B2
- Authority
- JP
- Japan
- Prior art keywords
- sentence
- verifier
- random number
- prover
- response sentence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 62
- 230000004044 response Effects 0.000 claims description 76
- 238000004891 communication Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 3
- 239000002131 composite material Substances 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
【発明の詳細な説明】 「産業上の利用分野」 この発明は、電気通信システムで電子資金移動等を行
う場合に、消費者のプライバシィを保護できる通信プロ
トコルを実現できる認証方法である。
う場合に、消費者のプライバシィを保護できる通信プロ
トコルを実現できる認証方法である。
「従来の技術」 電気通信システムを用いた電子資金移動やICカードを
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組織に蓄積され、プライバシィ保護の観点から問題と
なる。
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組織に蓄積され、プライバシィ保護の観点から問題と
なる。
この問題の解決策として、暗号技術を用いて、資金移
動の追跡を不可能とする安全な資金移動方式がある。例
えば、David Chaum:“Security without Identificatio
n:Transaction systems to make Big Brother Obsolut
e",Communication of the ACM,October 1985,Vol.28 N
o.10 Chaumの方式の概要は以下の通りである。
動の追跡を不可能とする安全な資金移動方式がある。例
えば、David Chaum:“Security without Identificatio
n:Transaction systems to make Big Brother Obsolut
e",Communication of the ACM,October 1985,Vol.28 N
o.10 Chaumの方式の概要は以下の通りである。
消費者(被検証者:B)が金額等の取引内容を含んだ文
書mを乱数で撹乱して通信文zを作成して、zを銀行
(証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落と
し、金額に対応した署名をzに施して、署名付き通信文
z′を消費者Bに送り返す。消費者Bは、z′から乱数
の影響を取り除いて、mに署名を施した値としてm′を
求め、これを現金にかわる手段として商店(検証者:C)
へ支払う。検証者Cは、m′が銀行Aによって署名され
ていることを確認して、m′がある金額の価値があると
判断する。Cは後日m′を銀行Aに提出することによっ
て、対応する金額を受け取る。すなわち、m′は金券と
しての機能を備えている。
書mを乱数で撹乱して通信文zを作成して、zを銀行
(証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落と
し、金額に対応した署名をzに施して、署名付き通信文
z′を消費者Bに送り返す。消費者Bは、z′から乱数
の影響を取り除いて、mに署名を施した値としてm′を
求め、これを現金にかわる手段として商店(検証者:C)
へ支払う。検証者Cは、m′が銀行Aによって署名され
ていることを確認して、m′がある金額の価値があると
判断する。Cは後日m′を銀行Aに提出することによっ
て、対応する金額を受け取る。すなわち、m′は金券と
しての機能を備えている。
ここで、zはmに乱数が付加されているので、銀行お
よび第三者はzからmを推定できないし、また、銀行と
商店が結託してもm′とzの対応を知ることができな
い。従って誰がm′を発行したかを知ることができな
い。これより、Chaumの方法では金券m′の発行元(消
費者)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライバシィを守ることができ
る。
よび第三者はzからmを推定できないし、また、銀行と
商店が結託してもm′とzの対応を知ることができな
い。従って誰がm′を発行したかを知ることができな
い。これより、Chaumの方法では金券m′の発行元(消
費者)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライバシィを守ることができ
る。
しかし、この方式は処理量の大きいRSA暗号をベース
にしているので、zからz′を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)。具体的には、RSA暗号では、200桁同志の整
数の乗法(ただし剰余計算を含む)が平均768回必要で
ある。
にしているので、zからz′を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)。具体的には、RSA暗号では、200桁同志の整
数の乗法(ただし剰余計算を含む)が平均768回必要で
ある。
ところで、高速な認証方式としてFiatとShamirと方式
がある(Fiat,A.and Shamir,A;“How to prove yoursel
f:practical solutions to ident ification and signa
ture problems",Proceedings of crypto 86,Santa Barb
ara,August 1986,pp.18−1−18−7)。
がある(Fiat,A.and Shamir,A;“How to prove yoursel
f:practical solutions to ident ification and signa
ture problems",Proceedings of crypto 86,Santa Barb
ara,August 1986,pp.18−1−18−7)。
Fiat−Shamir法では、処理量は、平均してt(k+
2)/2回の乗算(ただし法Nにおける剰余計算を含む)
で済む(kとtの意味は後述)、特に、k=5,t=4に
選ぶことが推奨されているので、この場合には、Fiat−
Shamir法の乗算回数は14回となり、RSA暗号による署名
法に比較して処理量を大幅に削減できる。具体的には、
14/768=0.02なのでRSA暗号に比べて約2%の処理量で
実現できる。
2)/2回の乗算(ただし法Nにおける剰余計算を含む)
で済む(kとtの意味は後述)、特に、k=5,t=4に
選ぶことが推奨されているので、この場合には、Fiat−
Shamir法の乗算回数は14回となり、RSA暗号による署名
法に比較して処理量を大幅に削減できる。具体的には、
14/768=0.02なのでRSA暗号に比べて約2%の処理量で
実現できる。
Fiat−Shamir法の概要は、以下の通りである。
信頼できるセンタが、個人識別情報としてIDを用いる
利用者に対して、次の手順でk個の秘密情報sj(1≦j
≦k)を生成する(kは安全性を定めるパラメータであ
り1以上の値)。ここでNは公開情報であり、秘密の素
数PとQを用いてN=P×Qと表せる。またfは一方向
性関数であり、公開されている。
利用者に対して、次の手順でk個の秘密情報sj(1≦j
≦k)を生成する(kは安全性を定めるパラメータであ
り1以上の値)。ここでNは公開情報であり、秘密の素
数PとQを用いてN=P×Qと表せる。またfは一方向
性関数であり、公開されている。
step1:一方向性関数fを用いて xj=f(ID,j)(1≦j≦k) を計算する。
step2:xjに対してNの素因数PとQを用いて を計算する。すなわち、sj 2=xj(mod N)と
なる。
なる。
注)Fiat−Shamir法では、実際には としているが、上記のようにsjを定めても同様の議論が
成り立つ。
成り立つ。
step3:利用者に対してk個のsjを秘密に発行し、一方向
性関数fと合成数Nを公開する。
性関数fと合成数Nを公開する。
(mod N)における平方根の計算は、Nの素因数
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin,M.O.:“Digita−lized Signatures
and Public−key Functions as Intractable as Factor
ization",Tech.Rep.MIT/LCS/TR−212 MIT Lab.Comput.S
ci.1979に示されている。平方根の計算装置の具体的な
構成例は、公開鍵暗号システム(特願昭61−169350)に
示されている。
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin,M.O.:“Digita−lized Signatures
and Public−key Functions as Intractable as Factor
ization",Tech.Rep.MIT/LCS/TR−212 MIT Lab.Comput.S
ci.1979に示されている。平方根の計算装置の具体的な
構成例は、公開鍵暗号システム(特願昭61−169350)に
示されている。
利用者の認証方式は以下の通りである。
証明者Aは、検証者Cに対して、Aが本物であること
を、次の手順で証明する。
を、次の手順で証明する。
step1:AがIDをCに送る。
step2:Cがxj=f(ID,j)(1≦j≦k)を計算する。
次に、i=1,…,tについて3〜6のステップを繰り返
す(tは安全性を定めるパラメータであり、1以上の
値)。
す(tは安全性を定めるパラメータであり、1以上の
値)。
step3:乱数riを生成して、 x′i=ri 2(mod N) を計算して、Cに送る。
step4:Cが、0,1のビット列(ei1,…,eik)を生成して、
Aに送る。
Aに送る。
step5:Aが署名文ziを で生成して、Cに送る。
step6:Cは、 が成り立つことを検査する。
であるから、t回の検査にすべて合格した場合、検証者
CはAが本物であると認める。
CはAが本物であると認める。
このとき、検証者Cが、偽の証明者を本物のAと認め
てしまう誤りの生じる確率は1/2ktである。ここで、k
は証明者が秘密に管理するsjの個数であり、tは通信文
の通信回数を定めている。
てしまう誤りの生じる確率は1/2ktである。ここで、k
は証明者が秘密に管理するsjの個数であり、tは通信文
の通信回数を定めている。
以上では、利用者の認証方式について説明したが、メ
ッセージの認証方式は上記の手順を次の様に変更して実
現できる。
ッセージの認証方式は上記の手順を次の様に変更して実
現できる。
メッセージmと(x′1,…,x′t)に一方向性関数f
を施して得たf(m,x′1,…,x′t)のの先頭のk×t
ビットを上記手順のビット列(eij)とみなして、署名
文として、(ID,m,(eij),z1,…,zt)を署名つき通信
文として検証者に送信する。
を施して得たf(m,x′1,…,x′t)のの先頭のk×t
ビットを上記手順のビット列(eij)とみなして、署名
文として、(ID,m,(eij),z1,…,zt)を署名つき通信
文として検証者に送信する。
このようにFiat−Shamir法は高速な認証方式である
が、現在までのところFiat−Shamir法を用いた追跡を不
可能な認証方法は提案されていない。
が、現在までのところFiat−Shamir法を用いた追跡を不
可能な認証方法は提案されていない。
「発明が解決しようとする課題」 この発明の目的は、システム設計者が処理速度を考慮
して安全性のパラメータを選択できるようにして、従来
方法よりも高速な追跡不可能な認証方法を提供すること
にある。
して安全性のパラメータを選択できるようにして、従来
方法よりも高速な追跡不可能な認証方法を提供すること
にある。
「課題を解決するための手段」 この発明では、処理量を削減するために、問い合わせ
文と応答文を用いるFiat−Shamir法をベースにして、高
速な認証処理を実現する。また、第三者に証明者装置10
0−被検証者装置200間と被検証者装置200−検証者装置3
00間で通信されるデータの対応関係を隠して、追跡不可
能とするために、被検証者装置200が問い合わせ文の対
応関係と応答文の対応関係を乱数によって与え、その乱
数を秘密にする。これによって、この発明では、追跡不
可能な認証処理、従来より少ない処理量で実現する。
文と応答文を用いるFiat−Shamir法をベースにして、高
速な認証処理を実現する。また、第三者に証明者装置10
0−被検証者装置200間と被検証者装置200−検証者装置3
00間で通信されるデータの対応関係を隠して、追跡不可
能とするために、被検証者装置200が問い合わせ文の対
応関係と応答文の対応関係を乱数によって与え、その乱
数を秘密にする。これによって、この発明では、追跡不
可能な認証処理、従来より少ない処理量で実現する。
「実施例」 第1図は、この発明の原理図である。第1図は証明者
Aの装置(以下証明者装置と記す)(100)と被検証者
Bの装置(以下被検証者装置と記す(200)と被検証者
Cの装置(以下検証者装置と記す)(300)が通信回線
を介して接続しており、利用者の認証方法(図(a))
とメッセージの認証方法(図(b))を実現するための
交信例を表している。以下では、先ず、証明者装置100
が被検証者装置200の身元を確認したことを検証者装置3
00に対して証明する利用者の認証方法を示し、その後
に、被検証者装置200が証明者装置100の力を借りてメッ
セージmに署名するメッセージの認証方法について説明
する。
Aの装置(以下証明者装置と記す)(100)と被検証者
Bの装置(以下被検証者装置と記す(200)と被検証者
Cの装置(以下検証者装置と記す)(300)が通信回線
を介して接続しており、利用者の認証方法(図(a))
とメッセージの認証方法(図(b))を実現するための
交信例を表している。以下では、先ず、証明者装置100
が被検証者装置200の身元を確認したことを検証者装置3
00に対して証明する利用者の認証方法を示し、その後
に、被検証者装置200が証明者装置100の力を借りてメッ
セージmに署名するメッセージの認証方法について説明
する。
第1図の(a)では、証明者装置100−被検証者装置2
00間と被検証者装置200−検証者装置300間でそれぞれFi
at−Shamir法の利用者認証法を採用し、2つのFiat−Sh
amir法を対応づける情報を被検証者装置200において秘
密にすることで、追跡不可能な利用者の認証処理を実現
する。
00間と被検証者装置200−検証者装置300間でそれぞれFi
at−Shamir法の利用者認証法を採用し、2つのFiat−Sh
amir法を対応づける情報を被検証者装置200において秘
密にすることで、追跡不可能な利用者の認証処理を実現
する。
Fiat−Shamir法の場合と同様に、信頼できるセンタ
が、合成数Nと一方向性関数fを公開し、さらに証明者
装置100の識別情報IDに対応する秘密情報sjを計算し
て、sjを証明者装置100に配送する。ここで、sjは、sj 2
mod N=xj=f(ID,j)をみたすことに注意。
が、合成数Nと一方向性関数fを公開し、さらに証明者
装置100の識別情報IDに対応する秘密情報sjを計算し
て、sjを証明者装置100に配送する。ここで、sjは、sj 2
mod N=xj=f(ID,j)をみたすことに注意。
証明者装置100の概略を第2図に、被検証者装置200の
概略を第3図に、検証者装置300の概略を第4図にそれ
ぞれ示す。
概略を第3図に、検証者装置300の概略を第4図にそれ
ぞれ示す。
証明者装置100は、被検証者装置200の正当性を、検証
者装置300に対して、次の手順で証明する。
者装置300に対して、次の手順で証明する。
step1:証明者装置100がIDを被検証者装置200と検証者装
置300に送る。検証者装置300には被検証者装置200を介
して送ってもよい。
置300に送る。検証者装置300には被検証者装置200を介
して送ってもよい。
step2:被検証者装置200と検証者装置300は、それぞれ一
方向性関数計算器205,305を用いてxj=f(ID,j)を計
算する。
方向性関数計算器205,305を用いてxj=f(ID,j)を計
算する。
次に、3〜6のステップをt回繰り返す。t=1のと
きが特許請求の範囲の請求項(1)に対応し、t>1の
ときが請求項(2)に対応する。
きが特許請求の範囲の請求項(1)に対応し、t>1の
ときが請求項(2)に対応する。
step3:証明者装置100は初期応答文発生器110を用いて初
期応答文x′を発生して被検証者装置200に送る。
期応答文x′を発生して被検証者装置200に送る。
例えば初期応答文発生器110を乱数発生器111と剰余付
き乗算器112で構成して、乱数発生器111を用いて乱数r
を発生し、剰余付き乗算器112を用いて x′=r2(mod N) でx′を計算する。
き乗算器112で構成して、乱数発生器111を用いて乱数r
を発生し、剰余付き乗算器112を用いて x′=r2(mod N) でx′を計算する。
剰余付き乗算の効率のよい計算方法は、例えば池野,
小山“現代暗号理論”電子通信学会,pp.16−17,(198
6),に示されている。
小山“現代暗号理論”電子通信学会,pp.16−17,(198
6),に示されている。
step4:被検証者装置200はx′を受信すると、乱数発生
器210と初期応答文撹乱器215を用いて、乱数発生器210
で発生したk個の0,1のビット{ej}と乱数uとx′と
先に生成したxと共に初期応答文撹乱器215に入力し、
撹乱された初期応答文x″を計算して検証者装置300に
送る。
器210と初期応答文撹乱器215を用いて、乱数発生器210
で発生したk個の0,1のビット{ej}と乱数uとx′と
先に生成したxと共に初期応答文撹乱器215に入力し、
撹乱された初期応答文x″を計算して検証者装置300に
送る。
例えば初期応答文撹乱器215を剰余付き乗算器として
構成し、受信した初期応答文x′とxjと{ej}とuから でx″を計算する。
構成し、受信した初期応答文x′とxjと{ej}とuから でx″を計算する。
step5:検証者装置300はx″を受信すると、x″を秘密
情報格納器310に格納した後に、乱数発生器320を用い
て、k個の0,1のビット{βj}を生成してβ=(β1,
…,βk)を問い合わせ文として被検証者装置200に送
る。
情報格納器310に格納した後に、乱数発生器320を用い
て、k個の0,1のビット{βj}を生成してβ=(β1,
…,βk)を問い合わせ文として被検証者装置200に送
る。
step6:被検証者装置200はβと受信すると、βと先に生
成した{ej}を問い合わせ文撹乱器220に入力して、撹
乱された問い合わせ文β′=(β′1,…,β′k)を計
算して証明者装置100に送る。
成した{ej}を問い合わせ文撹乱器220に入力して、撹
乱された問い合わせ文β′=(β′1,…,β′k)を計
算して証明者装置100に送る。
例えば問い合わせ文撹乱器220を排他的論理和計算器
として構成して、 β′j=βjej を計算する。
として構成して、 β′j=βjej を計算する。
step7:証明者装置100はβ′を受信すると、先に生成し
た乱数rと受信した問い合わせ文β′を証明器120に入
力して、応答文zを計算して被検証者装置200に送る。
た乱数rと受信した問い合わせ文β′を証明器120に入
力して、応答文zを計算して被検証者装置200に送る。
例えば証明器120を、秘密情報格納器121と剰余付き乗
算器122で構成し、秘密情報格納器121から秘密情報
{sj}を読み出して、初期応答文発生器110から引き継
いだrと受信したβ′を剰余付き乗算器122に入力して でzを計算する。
算器122で構成し、秘密情報格納器121から秘密情報
{sj}を読み出して、初期応答文発生器110から引き継
いだrと受信したβ′を剰余付き乗算器122に入力して でzを計算する。
step8:被検証者装置200はzを受信すると、zと先に生
成した{xj}と{ej}とuを乱数成分除去器230に入力
して、応答文z′を計算して検証者装置300に送る。
成した{xj}と{ej}とuを乱数成分除去器230に入力
して、応答文z′を計算して検証者装置300に送る。
例えば乱数成分除去器230を、条件判定器231と剰余付
き乗算器232で構成し、 を計算する。
き乗算器232で構成し、 を計算する。
step9:検証者装置300はz′を受信すると、検査器330を
用いてz′の正当性を検査する。
用いてz′の正当性を検査する。
例えば検査器330を、剰余付き乗算器331と比較器332
で構成し、秘密情報格納器310から引き継いだx″と一
方向性関数計算器305から引き継いだxjと乱数発生器320
から引き継いだβに対して が成立するかを検査する。
で構成し、秘密情報格納器310から引き継いだx″と一
方向性関数計算器305から引き継いだxjと乱数発生器320
から引き継いだβに対して が成立するかを検査する。
ここではt回の問い合わせ−応答のやりとりを順次行
う例を示したが、問い合わせ−応答のやりとりを同時に
行ってもよい。
う例を示したが、問い合わせ−応答のやりとりを同時に
行ってもよい。
次に、第1図の(b)を用いて、被検証者装置200が
証明者装置100の力を借りてメッセージmに署名するメ
ッセージの認証方法について説明する。
証明者装置100の力を借りてメッセージmに署名するメ
ッセージの認証方法について説明する。
証明者装置100−被検証者装置200間ではFiat−Shamir
法の利用者認証法を、被検証者装置200−検証者装置300
間ではFiat−Shamir法のメッセージ認証法を採用する。
2つの認証法を対応づける情報を被検証者装置200にお
いて秘密にすることで、追跡不可能なメッセージの認証
処理を実現する。
法の利用者認証法を、被検証者装置200−検証者装置300
間ではFiat−Shamir法のメッセージ認証法を採用する。
2つの認証法を対応づける情報を被検証者装置200にお
いて秘密にすることで、追跡不可能なメッセージの認証
処理を実現する。
Fiat−Shamir法と同様に、信頼できるセンタが、合成
数Nと一方向性関数fを公開し、さらに、証明者装置10
0の識別情報IDに対応する秘密情報{sj}を計算して、
{sj}を証明者装置100に配送する。
数Nと一方向性関数fを公開し、さらに、証明者装置10
0の識別情報IDに対応する秘密情報{sj}を計算して、
{sj}を証明者装置100に配送する。
証明者装置100の概略を第2図に、被検証者装置200の
概略を第5図に、検証者装置300の概略を第6図にそれ
ぞれ示す。
概略を第5図に、検証者装置300の概略を第6図にそれ
ぞれ示す。
被検証者装置200は、証明者装置100の力を借りて、次
の手順で文書mに署名する。
の手順で文書mに署名する。
step1:証明者装置100がIDを被検証者装置200と検証者装
置300に送る。検証者装置300には被検証者装置200を介
して送ってもよい。
置300に送る。検証者装置300には被検証者装置200を介
して送ってもよい。
step2:被検証者装置200と検証者装置300は、それぞれ一
方向性関数計算器205,305を用いてxj=f(ID,j)を計
算する。
方向性関数計算器205,305を用いてxj=f(ID,j)を計
算する。
step3:証明者装置100は初期応答文発生器110を用いてt
個の初期応答文x′i(i=1,2,…,t)からなるx′を
計算して被検証者装置200に送る。
個の初期応答文x′i(i=1,2,…,t)からなるx′を
計算して被検証者装置200に送る。
例えば初期応答文発生器110を、乱数発生器111と剰余
付き乗算器112で構成し、乱数発生器111を用いてt個の
riを発生し、剰余付き乗算器112を用いて x′i=ri z(mod N) (i=1,2,…,t) で、t個のx′iを計算する。
付き乗算器112で構成し、乱数発生器111を用いてt個の
riを発生し、剰余付き乗算器112を用いて x′i=ri z(mod N) (i=1,2,…,t) で、t個のx′iを計算する。
step4:被検証者装置200はx′を受信すると、乱数発生
器210を用いてt組のkビット{eij}と乱数uiのペアを
発生し、その値を受信したt個のx′iと先に生成した
{xj}と共に初期応答文撹乱器215に入力し、t個の撹
乱された初期応答文x″iを計算してx″=(x″1,
…,x″t)を問い合わせ文発生器250に引き継ぐ。
器210を用いてt組のkビット{eij}と乱数uiのペアを
発生し、その値を受信したt個のx′iと先に生成した
{xj}と共に初期応答文撹乱器215に入力し、t個の撹
乱された初期応答文x″iを計算してx″=(x″1,
…,x″t)を問い合わせ文発生器250に引き継ぐ。
例えば初期応答文撹乱器215を剰余付き乗算器で構成
し、乱数発生器210が生成したt組の{eij}とui、受信
したt個の初期応答文x′iとxjを初期応答文撹乱器21
5に入力して でt個のx″iを計算する。
し、乱数発生器210が生成したt組の{eij}とui、受信
したt個の初期応答文x′iとxjを初期応答文撹乱器21
5に入力して でt個のx″iを計算する。
step5:被検証者装置200は、メッセージmとt個のx″
iを問い合わせ文発生器250に入力して、問い合わせ文
βとβ′を作成してβ′を証明者装置100に送信し、β
を乱数成分除去器260に引き継ぐ。
iを問い合わせ文発生器250に入力して、問い合わせ文
βとβ′を作成してβ′を証明者装置100に送信し、β
を乱数成分除去器260に引き継ぐ。
例えば、問い合わせ文発生器250を一方向性関数計算
器251と排他的論理和計算器252で構成して {βij}=f(m,x″1,…,x″t) β′ij=βijeij (i=1,2,…,t,j=1,2,…,k) で、β={βij}とβ′={β′ij}を求める。
器251と排他的論理和計算器252で構成して {βij}=f(m,x″1,…,x″t) β′ij=βijeij (i=1,2,…,t,j=1,2,…,k) で、β={βij}とβ′={β′ij}を求める。
step6:証明者装置100はβ′を受信すると、証明器120を
用いて、先に発生した乱数riと受信した問い合わせ文
β′から、応答文zを計算して被検証者装置200に送
る。
用いて、先に発生した乱数riと受信した問い合わせ文
β′から、応答文zを計算して被検証者装置200に送
る。
例えば証明器120を、秘密情報格納器121と剰余付き乗
算器122で構成し、秘密情報格納器121から秘密情報
{sj}を読み出し、初期応答文発生器110から引き継い
だ{ri}と受信したβ′を剰余付き乗算器122に入力し
て 計算したziを用いて、z=(z1,…,zt)を求める。
算器122で構成し、秘密情報格納器121から秘密情報
{sj}を読み出し、初期応答文発生器110から引き継い
だ{ri}と受信したβ′を剰余付き乗算器122に入力し
て 計算したziを用いて、z=(z1,…,zt)を求める。
step7:被検証者装置200はzを受信すると、zと先に生
成した{xj}とt組の({eij},ui)を乱数成分除去器
260に入力し、応答文z′を計算して、β,mと共に検証
者装置300に送る。
成した{xj}とt組の({eij},ui)を乱数成分除去器
260に入力し、応答文z′を計算して、β,mと共に検証
者装置300に送る。
例えば乱数成分除去器260を、条件判定器261と剰余付
き乗算器262で構成し、 で計算したz′iを用いて、z′=(z′i,…,z′t)
を求める。
き乗算器262で構成し、 で計算したz′iを用いて、z′=(z′i,…,z′t)
を求める。
step8:検証者装置300はm,β,z′を受信すると、検査器3
40を用いてm,β,z′の正当性を検査する。
40を用いてm,β,z′の正当性を検査する。
例えば検査器340を、剰余付き乗算器341と一方向性関
数計算器342と比較器343で構成し、 でx*=(x* 1,…,x* t)を求めて、 {βij}=f(m,x*) が成立するかを検査する。
数計算器342と比較器343で構成し、 でx*=(x* 1,…,x* t)を求めて、 {βij}=f(m,x*) が成立するかを検査する。
以上では、Fiat−Shamir法をベースにした追跡不可能
な認証方法について説明した。Fiat−Shamir法は、Nの
素因数分解が困難な場合に(mod N)での平方根の計算
が困難なことに基づいている。離散対数問題等の困難性
を利用した認証法をベースにしても、同様の議論が成り
立つ。離散対数問題等に基づく認証法については、例え
ばM.Tompa & H.Woll,“Random Self−Reducibility an
d Zero Knowledge Interactive Proofs of Possession
of Information,"FOCS,pp472−482(1987)や岡本,太
田,“零知識証明問題の不正使用法とその対策及び応用
について”(1988年暗号と情報セキュリティシンポジウ
ムワークショップ)に示されている。
な認証方法について説明した。Fiat−Shamir法は、Nの
素因数分解が困難な場合に(mod N)での平方根の計算
が困難なことに基づいている。離散対数問題等の困難性
を利用した認証法をベースにしても、同様の議論が成り
立つ。離散対数問題等に基づく認証法については、例え
ばM.Tompa & H.Woll,“Random Self−Reducibility an
d Zero Knowledge Interactive Proofs of Possession
of Information,"FOCS,pp472−482(1987)や岡本,太
田,“零知識証明問題の不正使用法とその対策及び応用
について”(1988年暗号と情報セキュリティシンポジウ
ムワークショップ)に示されている。
「発明の効果」 この発明では、Fiat−Shamir法をベースにしたので、
高速な認証処理を実現できる。
高速な認証処理を実現できる。
また、被検証者装置200が問い合わせ文の対応関係と
応答文の対応関係を秘密の乱数で与えておりその値を秘
密にすると、証明者装置100−被検証者装置200間と被検
証者装置200−検証者装置300間で通信されるデータの対
応関係を隠すことができる。すなわち、利用者の認証処
理においては、証明者装置100が被検証者装置200の身元
を保障していることを、被検証者装置200の身元を明か
さずに、検証者装置300に証明できる。メッセージの認
証処理においては、被検証者装置200はメッセージmの
内容を知られることなしに証明者装置100に署名させる
ことができる。その結果として、証明者装置100と検証
者装置300が結託しても被検証者装置200の身元は明らか
とならず、被検証者装置200がmを送信したことも検出
できない。すなわち、追跡不可能な認証処理を実現でき
る。以上より、この発明では、従来方式より高速に追跡
不可能な認証処理を実現できる。
応答文の対応関係を秘密の乱数で与えておりその値を秘
密にすると、証明者装置100−被検証者装置200間と被検
証者装置200−検証者装置300間で通信されるデータの対
応関係を隠すことができる。すなわち、利用者の認証処
理においては、証明者装置100が被検証者装置200の身元
を保障していることを、被検証者装置200の身元を明か
さずに、検証者装置300に証明できる。メッセージの認
証処理においては、被検証者装置200はメッセージmの
内容を知られることなしに証明者装置100に署名させる
ことができる。その結果として、証明者装置100と検証
者装置300が結託しても被検証者装置200の身元は明らか
とならず、被検証者装置200がmを送信したことも検出
できない。すなわち、追跡不可能な認証処理を実現でき
る。以上より、この発明では、従来方式より高速に追跡
不可能な認証処理を実現できる。
証明者装置100と検証者装置300が結託しても、被認証
者が誰であるかを判断したり、メッセージmの送信者が
誰であるかを判断したりできないことは、この発明の方
法が計算理論の理論的な研究成果である零知識対話型証
明システム性は非転移性をみたすことによって保障でき
る。
者が誰であるかを判断したり、メッセージmの送信者が
誰であるかを判断したりできないことは、この発明の方
法が計算理論の理論的な研究成果である零知識対話型証
明システム性は非転移性をみたすことによって保障でき
る。
零知識対話型証明システム性および非転移性について
は、零えばFeige,U.,Fiat,A.and Shamir,A.“Zero know
ledge Proofs of Identity"Proceedings of the 19th A
nnual ACM Symposium on Theory of Computing,1987,p
p.218−217.を参照。
は、零えばFeige,U.,Fiat,A.and Shamir,A.“Zero know
ledge Proofs of Identity"Proceedings of the 19th A
nnual ACM Symposium on Theory of Computing,1987,p
p.218−217.を参照。
第1図はこの発明の実施例の交信例を示す図、第2図は
証明者装置100のブロック図、第3図は利用者の認証方
法における被検証者装置200のブロック図、第4図は利
用者の認証方法における検証者装置300のブロック図、
第5図はメッセージの認証方法における被検証者装置20
0のブロック図、第6図はメッセージの認証方法におけ
る検証者装置300のブロック図である。
証明者装置100のブロック図、第3図は利用者の認証方
法における被検証者装置200のブロック図、第4図は利
用者の認証方法における検証者装置300のブロック図、
第5図はメッセージの認証方法における被検証者装置20
0のブロック図、第6図はメッセージの認証方法におけ
る検証者装置300のブロック図である。
Claims (8)
- 【請求項1】証明者Aの装置(以下証明者装置と記す)
と、被検証者Bの装置(以下被検証者装置と記す)とが
相互に通信でき、被検証者装置と検証者Cの装置(以下
検証者装置と記す)とが相互に通信できるようにシステ
ムが構成され、通信相手の身元を確認する利用者の認証
方法において、 証明者装置に初期応答文発生器と証明器を備え、 被検証者装置に乱数発生器,初期応答文撹乱器,問い合
わせ文撹乱器と乱数成分除去器を備え、検証者装置に検
査器を備え、 証明者装置は、初期応答文発生器を用いて生成した初期
応答文x′を個人識別情報IDと共に被検証者装置に送信
し、また個人識別情報IDを検証者装置へ送信し、 被検証者装置は、証明者装置から受信した初期応答文
x′と乱数発生器より生成した乱数成分を初期応答文撹
乱器に入力して初期応答文x″を作成して検証者装置に
送信し、 検証者装置は、被検証者装置に問い合わせ文βを送信
し、 被検証者装置は、検証者装置から受信した問い合わせ文
βと先に生成した乱数成分を問い合わせ文撹乱器に入力
して問い合わせ文β′を作成して証明者装置に送信し、 証明者装置は、初期応答文x′と問い合わせ文β′に対
応した応答文zを、IDに対した関係式sj 2mod N=f(I
D,j)をみたす秘密情報sjを用いて動作する証明器を用
いて生成して被検証者装置に送り返し(ここで、整数N
と関数fは公開情報)、 被検証者装置は応答文zと、IDと、問い合わせ文βと、
先に生成した乱数とを乱数成分除去器に入力して乱数成
分の影響を取り除いて応答文z′を求め、その値を検証
者装置に送信し、 検証者装置は応答文z′とIDを検査器に入力してz′が
先に受信した初期応答文x″と先に送信した問い合わせ
文βに対する正しい応答になっていることを検査して、 被検証者Bが乱数成分を秘密にすることで、被検証者装
置と証明者装置間で通信されるx′,β′,zと、検証者
装置と被検証者装置間で通信されるx″,β,z′の対応
関係を秘密にできることを特徴とする利用者の認証方
法。 - 【請求項2】請求項(1)に記載の手順を繰り返して、
安全性を向上する利用者の認証方法。 - 【請求項3】証明者Aの装置(以下証明者装置と記す)
と、被検証者Bの装置(以下被検証装置と記す)とが相
互に通信でき、被検証者装置と検証者Cの装置(以下検
証者装置と記す)とが相互に通信できるようにシステム
が構成され、通信文の正当性を確認するメッセージの認
証方法において、 証明者装置に初期応答文発生器と証明器を備え、被検証
者装置に乱数発生器,初期応答文撹乱器,問い合わせ文
発生器と乱数成分除去器を備え、検証者装置に検査器を
備え、 証明者装置は、初期応答文発生器を用いて生成した初期
応答文x′を個人識別情報IDと共に被検証者装置に送信
し、また個人識別情報IDを検証者装置へ送信し、 被検証者装置は、証明者装置から受信した初期応答文
x′とIDと乱数発生器を用いて生成した乱数成分とを初
期応答文撹乱器に入力して初期応答文x″を作成し、そ
の初期応答文x″と署名対象のメッセージmを問い合わ
せ文発生器に入力して問い合わせ文βとβ′を作成して
β′を証明者装置に送信し、 証明者装置は、先に送信した初期応答文x′と受信した
問い合わせ文β′に対応した応答文zを、IDに対した関
係式sj 2mod N=f(ID,j)をみたす秘密情報sjを用いて
動作する証明器を用いて生成して被検証者装置に送り返
し(ここで、整数Nと関数fは公開情報)、 被検証者装置は応答分zとIDと先に生成した乱数成分と
問い合わせ文βを乱数成分除去器に入力して乱数成分の
影響を取り除いてメッセージmに対応した値z′を求
め、z′をm,βと共に検証者装置に送信し、 検証者装置はz′とメッセージmと問い合わせ文βとID
を検査器に入力してβとz′がmに対する正しい署名に
なっていることを検査して、 被検証者Bが乱数成分を秘密にすることで、被検証者装
置と証明者装置間で通信されるx′,β′,zと、検証者
装置と被検証者装置間で通信されるm,β,z′の対応関係
を秘密にできることを特徴とするメッセージの認証方
法。 - 【請求項4】通信相手の身元又はメッセージの認証に用
いる証明者の装置であって、 公開情報の整数N、個人識別情報IDを格納する記憶手段
と、 初期応答文x′を生成する初期応答文発生手段と、 sj 2mod N=f(ID,j)(fは公開関数)を満たす秘密情
報sjと被検証者装置より受信した問い合わせ文β′、上
記初期応答文x′とが入力され、応答文zを生成する証
明手段と、 上記初期応答文x′、上記IDを上記被検証者装置へ送信
し、上記IDを検証者装置へ送信する送信手段と、 上記被検証者装置から上記問い合わせ文β′を受信する
受信手段と を具備する証明者装置。 - 【請求項5】通信相手の身元を確認する利用者認証の被
検証者の装置であって、 証明者装置から受信した個人識別情報IDを変数とする関
数演算を複数回行ってk個(kは2以上の整数)の演算
結果xj(j=1,2,…,k)を得る関数演算手段と、 0又は1よりなるk個の第1乱数ejと、第2乱数uを生
成する乱数発生手段と、 証明者装置から受信した初期応答文x′と、上記k個の
第1乱数ej,第2乱数uと、上記k個の演算結果xjとを
入力して1個の初期応答文x″を作成する初期応答文撹
乱手段と、 検証者装置から受信したk個の要素をもつ問い合わせ文
βと、上記k個の第1乱数ejを用いて問い合わせ文β′
を作成する問い合わせ文撹乱手段と、 上記証明者装置から受信した応答文zおよび個人識別情
報IDと、上記k個の第1乱数ej,第2乱数uと、上記問
い合わせ文βと、上記k個の演算結果xjとを入力して乱
数成分の影響を取り除いた1個の応答文z′を作る乱数
成分除去手段と、 上記初期応答文x″、上記応答文z′を上記検証者装置
へ送信し、上記問い合わせ文β′を上記証明者装置へ送
信する送信手段と、 上記個人識別情報ID、上記初期応答文x′、上記応答文
zを上記証明者装置より受信し、上記問い合わせ文βを
上記検証者装置から受信する受信手段と を具備する被検証者装置。 - 【請求項6】通信相手の身元を確認する利用者認証の検
証者の装置であって、 証明者装置より受信した個人識別情報IDを変数として関
数演算を複数回行ってk個(kは2以上の整数)の演算
結果xj(j=1,2,…,k)を出力する関数演算手段と、 k個の要素をもつ問い合わせ文βを生成する問い合わせ
文生成手段と、 被検証者装置より受信した初期応答文x″と、応答文
z′と、上記k個の演算結果xjと、上記問い合わせ文β
が入力され、上記βとz′とxjの演算を行い、その演算
結果とx″とを照合して、上記βに対し、上記z′が正
しい応答か否かを検査する検査手段と、 上記問い合わせ文βを上記被検証者装置へ送信する送信
手段と、 上記IDを証明者装置から受信し、上記初期応答文x″、
上記応答文z′を被検証者装置から受信する受信手段と を具備する検証者装置。 - 【請求項7】通信文の正当性を確認するメッセージ認証
における被検証者装置であって、 証明者装置から受信した個人情報識別情報IDを変数とす
る関数演算を複数回行ってk個(kは2以上の整数)の
演算結果xj(j=1,2,…,k)を得る関数演算手段と、 0又は1よりなるk個の第1乱数ejと第2乱数uを生成
する乱数発生手段と、 証明者装置から受信した初期応答文x′と、上記k個の
演算結果xjと、上記k個の第1乱数ej,第2乱数uとが
入力され、初期応答文x″を作成する初期応答文撹乱手
段と、 上記初期応答文x″と、認証対象メッセージmと上記k
個の第1乱数ejとが入力され、問い合わせ文βとβ′を
作成する問い合わせ文発生手段と、 上記証明者装置よりの応答文zおよび個人識別情報ID
と、上記k個の演算結果xjと、上記k個の第1乱数ej,
第2乱数uと、上記問い合わせ文βとが入力され、乱数
成分の影響が取り除かれたメッセージmに対応した値
z′を生成する乱数成分除去手段と、 上記問い合わせ文β′を上記証明者装置へ、上記値
z′,m,βを検証者装置へそれぞれ送信する送信手段
と、 上記証明者装置から初期応答文x′、上記ID、応答文z
を受信する受信手段と を具備する被検証者装置。 - 【請求項8】通信文の正当性を確認するメッセージ認証
における検証者の装置であって、 証明者装置より受信した個人識別情報IDを変数として関
数演算を複数回行ってk個(kは2以上の整数)の演算
結果xj(j=1,2,…,k)を出力する関数演算手段と、 被検証者装置から受信したメッセージmと、これに対応
した値z′と問い合わせ文βと、上記k個の演算結果xj
とが入力され、βとzとxjの演算を行い、その演算結果
とmとにより上記βを得る演算を行い、この結果eをβ
と照合して、βとz′がmに対する正しい署名になって
いることを検査する検査手段と、 上記m,z′,βを上記被検証者装置から受信し、上記ID
を上記証明者装置から受信する受信手段と を具備する検証者装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727289A JP2805494B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
| US07/367,650 US4969189A (en) | 1988-06-25 | 1989-06-19 | Authentication system and apparatus therefor |
| DE68919923T DE68919923T2 (de) | 1988-06-25 | 1989-06-21 | Verfahren und Vorrichtung zur Authentifizierung. |
| EP89111318A EP0348812B1 (en) | 1988-06-25 | 1989-06-21 | Authentication method and apparatus therefor |
| CA000603463A CA1322600C (en) | 1988-06-25 | 1989-06-21 | Authentication system and apparatus therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727289A JP2805494B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02266465A JPH02266465A (ja) | 1990-10-31 |
| JP2805494B2 true JP2805494B2 (ja) | 1998-09-30 |
Family
ID=13910132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8727289A Expired - Lifetime JP2805494B2 (ja) | 1988-06-25 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2805494B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903882A (en) | 1996-12-13 | 1999-05-11 | Certco, Llc | Reliance server for electronic transaction system |
-
1989
- 1989-04-05 JP JP8727289A patent/JP2805494B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JPH02266465A (ja) | 1990-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110781521B (zh) | 基于零知识证明的智能合约认证数据隐私保护方法及系统 | |
| CN107038578B (zh) | 基于区块链的数据交易平台中多重签名交易信息处理方法 | |
| JP7244537B2 (ja) | 即時オフラインのブロックチェイントランザクションのセキュリティを高めるのに適しているコンピュータにより実装されるシステム及び方法 | |
| JP5159173B2 (ja) | 方法、電子決済システム、コンピュータ・プログラム、発行者、アクセプタ、バリデータ、エミッタ(取引を自動的に妥当性検査する方法、電子支払いシステム、およびコンピュータ・プログラム) | |
| US5511121A (en) | Efficient electronic money | |
| US4969189A (en) | Authentication system and apparatus therefor | |
| CN104717067B (zh) | 基于非交互式零知识的安全验证方法、设备及系统 | |
| Hwang et al. | A simple micro-payment scheme | |
| EP0755136A2 (en) | Method and apparatus for implementing traceable electronic cash | |
| Mambo et al. | Unlinkable electronic coupon protocol with anonymity control | |
| JP2805493B2 (ja) | 認証方法及びそれに用いる装置 | |
| JPH0752460B2 (ja) | 電子現金実施方法及びその装置 | |
| JP2805494B2 (ja) | 認証方法及びそれに用いる装置 | |
| CN108090751A (zh) | 电子现金系统 | |
| Wang et al. | Building a consumer scalable anonymity payment protocol for Internet purchases | |
| JP3171227B2 (ja) | 信託機関付き電子紙幣実施方法 | |
| JP2571607B2 (ja) | 認証方式 | |
| Kang et al. | An Off-Line Payment Scheme for Digital Content via Subliminal Channel. | |
| Liu | Efficient arbitrarily divisible e-cash applicable to secure massive transactions | |
| Luo et al. | An e-cash Scheme with Multiple Denominations and Transferability | |
| JP3171228B2 (ja) | 複数信託機関を利用した電子紙幣実施方法 | |
| Wang | Compact k-spendable E-cash with anonymity control based offline TTP | |
| EP3792857A1 (en) | Efficient partially spendable e-cash | |
| Stamenkovska et al. | Some general traits of the e-cash system and a review of a compact e-cash scheme with practical and complete tracing | |
| JP3599492B2 (ja) | 番号登録式電子現金方法および利用者装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070724 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |