JP2823103B2 - 通信ネットワークにおけるユーザを確認する方法および装置 - Google Patents

通信ネットワークにおけるユーザを確認する方法および装置

Info

Publication number
JP2823103B2
JP2823103B2 JP4060593A JP6059392A JP2823103B2 JP 2823103 B2 JP2823103 B2 JP 2823103B2 JP 4060593 A JP4060593 A JP 4060593A JP 6059392 A JP6059392 A JP 6059392A JP 2823103 B2 JP2823103 B2 JP 2823103B2
Authority
JP
Japan
Prior art keywords
user
response
challenge
equation
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP4060593A
Other languages
English (en)
Other versions
JPH07170257A (ja
Inventor
レイモンド・フレデリック・バード
インダー・サラト・ゴーパル
フィリップ・アルノー・ジャンソン
シェイ・クッテン
レフィク・アハメット・モルヴァ
マーセル・モーデチャイ・ユング
Original Assignee
インターナショナル・ビジネス・マシーンズ・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インターナショナル・ビジネス・マシーンズ・コーポレイション filed Critical インターナショナル・ビジネス・マシーンズ・コーポレイション
Publication of JPH07170257A publication Critical patent/JPH07170257A/ja
Application granted granted Critical
Publication of JP2823103B2 publication Critical patent/JP2823103B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は概して、無許可のネット
ワーク・ユーザやプログラム等その他のネットワーク・
エンティティに対して機密保護を維持するための方法に
関するものである。具体的には、他のネットワーク・ユ
ーザまたはネットワーク・ノードとの通信を確立しよう
とするユーザが、本当にそのユーザ本人であることを確
認するための方法に関するものである。
【0002】
【従来の技術とその問題点】ネットワーク内でユーザが
確認できると、通信しようとしている一組のユーザが互
いに自分の身元を証明することが可能になる。文献中で
考察されている確認プロトコルには多数の変形がある。
適当なパラメータに適用される秘密のディジタル・キー
や秘密の数理関数など、共有の秘密の使用を必要とする
ものもあり、公開キー式プロトコルを使用するものもあ
る。本発明は主として共有の秘密を使用する確認プロト
コルに関するものであるが、公開キー方式で使用できる
ように容易に適合させることもできる。
【0003】従来技術に関連して、米国特許第4890
323号明細書は、第1の専用キーを使って、メッセー
ジの内容に対する暗号化された検査合計を計算する、フ
ァイルおよび送信側の確認について記載している。この
検査合計が「呼かけ」としてユーザに出され、ユーザは
第2の専用キーを使って結果を計算する。この結果が確
認コードとして応答に付加されてから、応答が送信され
る。したがって前記第1および第2の暗号キーを有する
応答の受信側は、受け取った応答から予想される確認コ
ードを計算し、それを受け取ったコードと比較すること
により、メッセージの内容および送信側の身元をチェッ
クすることができる。
【0004】米国特許第4919545号明細書は、フ
ァイル確認の方法を開示している。実行ノードが、資格
および署名を呼出しノードに送る。資格としては、ファ
イルの識別子とファイルに対するアクセス権が含まれ
る。署名は、実行ノードで、呼出しノードに固有なキー
を使って資格を暗号化することによって形成され、実行
ノードにのみ記憶される。ファイルに対するアクセス要
求は、資格および署名と一緒に呼出しノードから実行ノ
ードに送られる。実行ノードで、呼出しノードと関連す
る暗号化キーを使って資格を暗号化することによって要
求が確認される。ファイルに対するアクセスは、実行ノ
ードで生成された署名が、呼出しノードから受け取った
署名と一致したときのみ許可される。
【0005】米国特許第4193131号明細書は、暗
号化キーの配布および共有の非公開キーを使ったユーザ
確認方法を開示している。第1の局はこのキーを使って
第1の検証番号を暗号化して、第1の局の暗号文を作成
し、これを第2の局に送る。第2の局では、キーを使っ
て第1の局の暗号文をさらに暗号化して、第2の局の暗
号文を作成し、これを第1の局に送り返す。第1の局は
第1の検証用暗号文を再暗号化し、これを受け取った第
2の局の暗号文と比較して、第2の局が第2の局の暗号
文の発信元であることを検証する。この確認は、2つの
局の操作キーが同一である場合のみ可能である。
【0006】米国特許第4386233号明細書も、問
題のユーザに関連する識別子から導かれた認証キーと、
許可された暗号機能ユーザにのみアクセス可能な交換キ
ーとを使って暗号キーを暗号化することにより暗号キー
を認証する、キー配布システムおよびユーザ確認方法を
開示している。暗号機能ユーザの身元が、交換キーにア
クセスするための条件として確認される。この確認は、
ユーザから供給されたパスワード指定を、当該の許可さ
れたユーザの識別子から導かれた認証暗号キーと交換キ
ーとを使って暗号機能で暗号化することによって認証さ
れた、予め記憶されたパスワードと比較することによっ
て行われる。
【0007】米国特許第4218738号明細書は、ネ
ットワーク内のユーザの確認を試みるさらに別の方法を
開示している。ユーザ検証番号は、ユーザの識別子と、
別に入力されたユーザに関連するパスワードと、記憶さ
れたテスト・パターンとの関数である。ユーザ用のテス
ト・パターンは、中央コンピュータの物理的機密保護下
でホスト・コンピュータのマスター・キーの変形を使っ
て生成される。
【0008】米国特許第4549075号明細書は、そ
の中で要約されている従来技術の確認方法のいくつかの
問題点を克服すると称する、共用機密形の確認プロトコ
ルを開示している。この従来技術の方法では、ユーザB
がユーザAを確認する。AとBの両方が情報項目I、秘
密Sおよび関数f( )を共有する。確認を開始するに
当たって、AはIをBに送る。Bは乱数Nbで応答す
る。AおよびBは共にf(I,Nb,S)を計算する。
Aはその計算の答をBに送り、Bはこの答を自分の計算
結果と比較する。Aも同様にしてBを確認することがで
きると称する。上記特許は、この従来技術のプロトコル
が一般ネットワーク環境では容易に解読される可能性が
あることを指摘していない。むしろ、AとBが情報項目
Iを共有せず、それぞれ個別の情報項目IaおよびIb
を有する場合に従来技術の方法で出てくる問題を解決し
ようとしている。上記特許は、要約された従来の方法を
この新たなシナリオに適用し、その結果得られるプロト
コルは容易に解読できると結論している。
【0009】したがって、上記発明により、ユーザがそ
れぞれ異なる情報単位IaおよびIbを有するときに互
いに確認することが可能になる。さらに、AとBは関数
f()および秘密Sを共有する。Aは情報項目Iaを有
し、Bは情報項目Ibを有する。AはIaおよび乱数N
aをBに送る。Bは項目Ibおよび別の乱数NbをAに
返す。AはR1=f(Na,S,p(Ia,Ib))お
よびK1=f(Nb,S,p(Ia,Ib))を計算
し、K1をBに送る。p( )はAおよびBの両方にと
って既知の対称関数である。対称とはp(Ia,Ib)
=p(Ib,Ia)であることを意味する。BはK2=
f(Na,S,p(Ib,Ia))およびR2=f(N
b,S,p(Ib,Ia))を計算し、K2をAに送
る。AはK2を自分の結果R1と比較してBを確認し、
BはK1を自分の結果R2と比較してAを確認する。こ
のプロトコルは、秘密Sの故にAとBが同じグループの
一部であり、かつ項目IaおよびIbが対称関数p(
)を使って互いに確認されるので、AおよびBが本人
であることを保証すると称する。上記特許のアルゴリズ
ムは最低4つのメッセージ・フローを必要とすることが
わかる。この方法が以下に簡潔に述べる方法によって解
読されるのを防止するのが、第4のメッセージ・フロー
である。
【0010】さらに別の既知の確認方法では、ユーザA
がまず乱数の形の呼かけNaをユーザBに送る(メッセ
ージ1)。Bは、非公開の共用キーを使って暗号化を実
行した乱数の暗号化値および平文テキストの第2の乱数
Nbを返す(メッセージ2)。Aは次に第2の乱数の暗
号化値をBに返し(メッセージ3)、Bは、この応答が
共用キーで正しく暗号化されていることを検証する。こ
のプロトコルは3つのメッセージを必要とする。しか
し、以下に示すように、このプロトコルも容易に解読で
きる。
【0011】以上に要約した従来技術からわかるよう
に、種々の形式の共有の秘密およびユーザによるデータ
の暗号化を用いる既存の確認方法では、共用キーを使っ
て、ユーザが当人であることを確認する。しかし、既存
の方法にはいくつかの問題がある。理論的には、共有の
秘密を知らないユーザによって正しい暗号化または解読
あるいはその両方が生成されることはあり得ないので、
各ユーザは、他方のユーザを確認する。しかし、実際に
は、これらの確認方法は、あまりに多くのメッセージ・
フローを必要とするか、あまりに多くの暗号化または解
読操作を必要とするか、あるいは様々な巧妙な攻撃を受
け易い。
【0012】たとえば、第1のタイプの巧妙な攻撃で
は、最後に述べた確認方法を使って、Aのふりをした侵
入者Xが、第1の呼かけNa(メッセージ1)をBに送
ることにより攻撃を開始する。Bは第1の呼かけの暗号
化値E(Na)および第2の呼かけNb(メッセージ
3)をAに返す。秘密のキーを知らないXは、本当の
A、またはキーを知っている他のユーザCとの別の接続
(本明細書の全体を通じて参照接続と呼ぶ)を開始する
ことにより、Nbの正しい暗号化を得、参照接続の第1
の呼かけとしてNbを送る。AまたはCは応答としてE
(Nb)をXに返す。Xはそこで攻撃目標である最初の
接続の第2の呼かけに対する応答としてE(Nb)をB
に送る。
【0013】もう1つの例として、第2のタイプの攻撃
では、Xは、Naを含むAからのB宛の第1のメッセー
ジを傍受する。XはBのふりをしてA(またはC)との
参照接続を開始し、参照接続のメッセージ1でNaを送
る。A(またはC)はE(Na)および第2の乱数Nb
で応答する。Xはそこで参照接続を中止し、攻撃目標の
接続でAに第2のメッセージでE(Na)を送る。
【0014】上記の先制攻撃および傍受攻撃にはいくつ
かの変形がある。しかし、これらすべての攻撃におい
て、正当なユーザが共有する秘密を知らない侵入者X
は、他の接続から情報を拾い集め、この情報を使って、
攻撃目標のユーザが提示した呼かけに対する必要な応答
を得る。情報を拾い集めるための接続は、攻撃目標のユ
ーザとの接続でもよいし、そうでなくてもよい。確認で
きる限り、3つのメッセージ・フローしか含まない既知
の従来技術の方法は全て解読可能であるか、あるいは非
効率的で、かつ使用また評価が不必要に複雑である。4
つ以上のメッセージ・フローを含むその他の既知の方法
は、安全なものも、安全でないものもある。しかし、安
全な方法でも、必要とされるメッセージ・フロー数が増
すと、ネットワークに重いトラフィックの負担がかかる
可能性がある。この余計な負担は他の点で非生産的であ
り、ユーザから見るとネットワークの容量が制限され
る。
【0015】したがって、秘密の確認キーを知らない侵
入者による巧妙な攻撃を受ける恐れのない、確認プロト
コルおよび方法を確立する必要がはっきりと存在する。
さらに、確認を実行するために必要なメッセージ・フロ
ーの数をできるだけ少なく(好ましくは3つ)すること
が、プロトコルを実施する際に常に重要である(さもな
いと、ネットワークに過大な負担がかかる危険があ
る)。
【0016】
【課題を解決するための手段】本発明の一実施例は、ネ
ットワーク内の通信接続上のユーザを確認するための方
法および手段に関するものである。第1のユーザAが、
呼かけN1を第2のユーザBに送る。ユーザBは呼かけ
に対する応答をユーザAに返し、ユーザAはその応答が
正しいことを検証する。応答は最低限表現形式 f(S1,N1,D1,...) である。ここで、S1はユーザ間で共有する秘密、D1
は、f( )を含むメッセージの流れ方向の標識、f
( )は、S1を知らなければ、 f’(S1,N1’,D1’,...)=f(S1,N1,D1,...) をN1’について解くことができないように選ばれた関
数である。f’( )、N1’およびD1’は参照接続
に関する表現すなわち関数、呼かけおよびメッセージの
流れ方向の標識を示す。上記発明に基づいて設計された
プロトコルは、いわゆる傍受攻撃に対して安全である。
傍受攻撃とは、侵入者が待ち伏せしてユーザAからの呼
かけを含むメッセージを傍受するものである。侵入者は
次に、傍受した呼かけの所期の受信者以外の別のユーザ
との参照接続を開始し、参照接続上で情報を拾い集め、
傍受した呼かけに対する正しい応答を生成しようとす
る。
【0017】本発明のもう1つの実施例は、ユーザを互
いに確認する方法および手段である。第1の呼かけN1
が第1のユーザAから第2のユーザBに送信される。第
1の呼かけに応答して、Bは第1の呼かけに対する第1
の応答および第2の呼かけN2を生成してAに送信す
る。Aは、第1の応答が正しいことを検証する。Aは次
に第2の呼かけに対する第2の応答を生成してBに送信
する。Bは第2の応答を検証する。第1の応答は最低限
表現形式 f(S1,N1,...) でなければならず、第2の応答は最低限表現形式 g(S2,N2,...) でなければならない。S1およびS2はAとBが共有す
る秘密である。さらに、f( )およびg( )は、S
1およびS2を知らなければ、式 f’(S1,N1’,...)=g(S2,N2,...) をN1’について解くことができないように選ばれた関
数である。f’( )およびN1’は、侵入者が攻撃目
標の接続上でプロトコルを解読しようとして情報を得る
ために使用する別の参照接続に関する表現すなわち関数
および呼かけを示す。
【0018】第2の実施例に基づいて設計された特定の
確認プロトコルは、いわゆる先制攻撃に対して安全であ
る。先制攻撃とは、侵入者がまずあるユーザに第1の呼
かけを送ることによってユーザとの接続を開始し、応答
および第2の呼かけを受信してから、あるユーザとの第
2の参照接続を開始して、第2の呼かけに応答する助け
となる情報を得ようとするものである。
【0019】以上に要約した要件を満たすいくつかのプ
ロトコルでは、秘密は、使用される特定の関数f( )
およびg( )に存在する。他のプロトコルでは、使用
される特定の暗号化キーに秘密が存在する状態でデータ
暗号化を使用することができる。
【0020】本発明の2つの実施例を組み合わせて1つ
のプロトコルにすることができる。この場合は、関数f
( )は、f(S1,N1,D1,...)におけるよ
うに、f( )を含むメッセージの流れの方向D1に関
するある標識を含む。組み合わせた実施例の上記条件を
全て満たすプロトコルは、表に現れない秘密、すなわち
許可されたユーザが共有する秘密と同じように、先制攻
撃に対しても傍受攻撃に対しても安全である。必要な
ら、S1をS2に等しくできることに留意されたい。さ
らに、秘密は事実上どのような種類のものでもよい。例
えば、秘密は、データの暗号化を実行するために使用さ
れる特定のキーでよい。また、許可されたユーザ間で使
用される特定の関数f( )およびg( )でもよい。
あるいは、データ等を暗号化または解読するために使用
される特定のアルゴリズムでもよい。
【0021】
【実施例】図1は、本発明が実施できる例示的なデータ
通信システムの概略的構成を示す。この例示的システム
は、いくつかのデータ処理ユーザ100、102、およ
び104を含む。各ユーザは106等のコンピュータま
たはデータ処理装置に対するアクセス権、および110
等のチャネルを介してシステムの他のユーザと通信する
ための適当な周辺装置108を有する。ユーザにおける
コンピュータは、本明細書に開示する原理に従ってプロ
グラミングすることが可能なものであれば、どんなタイ
プの汎用コンピュータまたは専用コンピュータでもよ
い。好ましい実施例では、そのようなコンピュータは、
IBM社から販売されているシステム370を含む。
【0022】図1で、ユーザ100が別のユーザ102
との論理接続を確立しようとする場合、両方のユーザが
秘密Sに関する知識を共有し、論理接続を介する意味の
ある通信が許可される前に、これらのユーザが適当な確
認プロトコルを用いて互いに確認することが必要であ
る。
【0023】図2は、侵入者Xによる攻撃に対して安全
であると思われる一群のプロトコルの一般的形式を示
す。接続を開始するユーザAが、通信を確立したい相手
であるユーザBに、呼かけN1を含むメッセージ1を送
る。N1および全ての呼かけは乱数であることが好まし
い。いずれにせよ、過去の事象に基づいて侵入者が使用
できないように、呼かけは新たに生成すべきである。B
はf(S,N1,N2,X2)、N2の形のメッセージ
2をAに返す。ただし、f( )は、呼かけN1に対す
る応答である関数であり、Sは、応答を生成するために
必要な、正当なユーザAおよびBが共有する秘密を示
し、N2はBからAへの呼かけである。f()内の変数
SおよびN1は、関数f( )内にある形式で存在しな
ければならないことを示すため、図2では肉太文字で示
してある。残りの変数N2およびX2は存在してもしな
くてもよい。X2は、ここでf( )に含まれる可能性
がある任意の所望の定数または式を示すために使用する
一般変数である。たとえば、X2はアクセス情報、名
前、タイム・スタンプ等を含むことができる。X2に含
まれるものは秘密Sの一部ではないと仮定する。言い換
えると、侵入者XはX2を知っていると仮定する。ユー
ザAは次に、呼かけN2に対する応答g(S,N2,N
1およびX3)を含むメッセージ3を返す。変数Sおよ
びN2も、関数g( )内にある形式で存在しなければ
ならないことを示すため、同様に肉太文字で示してあ
る。X3は、g( )に含まれる可能性がある任意の所
望の定数または式を示す点でX2と類似している。Xは
X3を知っていると仮定する。さらに、侵入者Xが接続
を開始しようとする攻撃に対してプロトコルが安全であ
るためには、f( )は、侵入者が参照接続上で第1の
呼かけN1’を、f’( )=g( )になるように選
ぶことができないという第1の条件を満たさねばならな
い。ここで、f’( )は参照接続上のf( )を示
す。この条件が満たされる場合は、その結果得られるプ
ロトコルは、表に現れない秘密Sと同じように攻撃に対
して安全である。
【0024】上記のプライム付き表記(’)の意味は、
図3を参照すればいっそう明らかになろう。図3は、真
の接続を攻撃するための情報を集めるために侵入者が使
用する参照接続を示す。図3で、侵入者Xは、攻撃目標
の接続のメッセージ1中で第1の呼かけN1を送ること
により、ユーザAとの接続を開始する。Aは攻撃目標の
接続のメッセージ2中で、呼かけに対するその応答f
( )および呼かけN2をXに返す。Xは、N2に対す
る応答を生成するために必要な秘密Sを知らない。その
ような情報を得ようとして、Xは別の第1の呼かけN
1’を300にいるユーザに送ることにより、参照接続
を開始する。この第2のユーザは、Aまたは他のユーザ
BまたはCでよい。選ばれた他のユーザが秘密Sを知っ
ている限り、誰でもよい。ユーザ300は以下の応答で
呼かけN1’に応答する。 式1 f’( )=(S,N1’,N2’,X2’) Xは次に、攻撃目標の接続のメッセージ3上で応答g
( )を生成するために、300から受け取った情報を
操作しようとする。したがって、この攻撃を防ぐための
必要条件は次の通りである。C1: Xが、f’( )
=g( )になるようなN1’を選ぶことができない。
【0025】図4は、安全に見えるが、条件C1を満た
さないので実際には容易に解読することが可能な特定の
プロトコルを示す。図4のメッセージ2中の関数f(
)は次の通りである。 式2 f( )=E[N1]+N2 ただし、Eは秘密キーKによる暗号化を示す。式中の+
演算子は、たとえば、ブール演算の排他的論理和であ
る。したがって、f( )は、それがN1とSの関数で
あるという要件を満たす(SはキーKによる暗号化Eで
ある)。このプロトコルをテストするため、条件C1を
数学的に適用する。 条件C1: 式3 f’( )=g( )または 式4 E[N1’]+N2’=E[N2]
【0026】図5は、プロトコルを解読しようとして侵
入者が使用する可能性がある攻撃目標の接続および参照
接続を示す。参照接続のメッセージ2中の応答は次の通
りであることに留意されたい。 E[N1’]+N2’ これは上記の式2と全く同じ形式である。したがって、
攻撃目標の接続のメッセージ2から知られるN1’=N
2を選ぶだけで、Xは参照接続のメッセージ2上で次式
を受け取る。 E[N2]+N2’、N2’
【0027】N2’は参照接続上の新たな呼かけであ
り、N2に等しくない。それにもかかわらず、Xはこの
ときE[N2]+N2’を知る。N2’も、参照接続の
同じメッセージ2中で平文テキストの呼かけとして受け
取ったため既知であるので、XはN2’とE[N2]+
N2’の排他的論理和をとることによってE[N2]を
引き出し、この値を攻撃目標の接続のメッセージ3中で
応答として返す。 式5 E[N2]+N2’+N2’=E[N2]
【0028】図6は、先制攻撃に対して安全な例示的プ
ロトコルを示す。このプロトコルでは、次式が成立す
る。 式6 f( )=E[N1+E[N1]]および 式7 g( )=E[N2] f( )は、それが呼かけN1と秘密Sの関数であり、
g( )が呼かけN2と秘密Sの関数であるという条件
を満たす。次に、このプロトコルが本当に先制攻撃に対
して安全かどうか判定するため、条件C1をテストす
る。 条件C1: 式8 f’( )=g( )または 式9 E[N1’+E[N1’]]=E[N2] 式9を検査すると、暗号化キーKを知らなくてもE[N
2]をもたらす代入可能なN1’の既知の値はないこと
が明らかになる。さらに、式の両辺に適用された暗号化
を取り除くと、次式が得られる。 式10 N1’+E[N1’]=N2または 式11 N1’=E[N1’]+N2 XはEを知らないので、XがN1’を導き出す方法はな
い。したがって、このプロトコルは先制攻撃に対して安
全である。
【0029】しかし、先制攻撃に対して安全なプロトコ
ルでさえ攻撃可能なもう1つの攻撃方式がある。この方
式は傍受攻撃と呼ばれる。図7はこの傍受攻撃を攻撃目
標の接続および参照接続に関して示す。この種の攻撃で
は、Xは待ち伏せし、結局ユーザAから別のユーザBに
宛てられた最初の呼かけを傍受する。Xは次に第3のユ
ーザとの参照接続を開始する。第3のユーザはAまたは
Cでよい。この分析では、参照ユーザは最初に意図され
た受信者Bであってはならないことを指摘しておく。侵
入者が単にAからのメッセージを傍受し、それらのメッ
セージを意図された宛先Bに転送する傍受攻撃は、侵入
者XがAからBへのデータ・フローを単に監視するのと
同等である。こうした攻撃はユーザ確認プロトコルによ
っては決して防御できない。たとえば、データ回線を物
理的に盗聴から保護できないため、このような攻撃が心
配な場合は、データ暗号化等の他の対策によって後続の
接続データ・フローを保護しなければならない。
【0030】図7に関して、傍受攻撃のための接続に成
功するには、Xは攻撃目標の接続のメッセージ1中の呼
かけN1に対する応答を推論しなければならない。そう
しようと試みるため、Xは呼かけN1’を参照接続の第
1のメッセージとして第3のユーザAまたはCに送る。
Xは参照接続の第2のメッセージで、その呼かけに対す
る応答としてのf’(S,N1’,...)と第2の呼
かけN2’を受け取る。したがって、次式を解く必要が
ある。 式12 f’(S,N1’,...)=f(S,N
1,...) したがって、傍受攻撃に対してプロトコルを安全なもの
にするために必要な条件C2は、Xが次式のような呼か
けN1’を選ぶことができないようにすることである。 式13 f’( )=f( ) しかし、式13を単に検査するだけで、図7のプロトコ
ル形式で常にそのようにできることが明らかになる。し
たがって、図6のプロトコルは傍受攻撃を使用すると簡
単に解読できる。侵入者がなすべきことはN1’=N1
を盗むことだけである。
【0031】この問題を解くに当たって、傍受タイプの
攻撃を防ぐための必要条件は、図8に示すように、メッ
セージの流れ方向を示す標識Dをf( )に含めること
である。これはメッセージ2中でf(S,N1,
D,...)として示されており、Dは流れ方向標識で
ある。特定の方向にとって一意的である限り、Dはどの
ような形式でもよい。たとえば、Dは、図8ではBであ
る送信ユーザの識別に等しくてもよい。あるいは、Aお
よびBが問題のユーザである場合は、Aはその方向標識
としてBを使用することができ、BはAを使用すること
ができる。必要なことは、所与の接続上で、流れ標識が
メッセージのどの流れ方向に対しても一意的であること
だけである。
【0032】上記に示したように、Dをf( )に含め
ることが必要である。しかし、それだけでは十分ではな
い。後で説明するように、条件C2を数学的にテストす
ることが依然として必要である。
【0033】図9の例を取り上げる。図9で、f( )
はE[N1+D]と考えられ、AからBへの流れの場合
はD=Aであり、BからAへの流れの場合はD=Bであ
る。この分析では、AおよびB等の値は侵入者Xにとっ
て既知であることを認識されたい。侵入者XはAとの参
照接続を確立するものと仮定する。条件C2を適用す
る。 式14 f’( )=f( ) 式15 E[N1’+A’]=E[N1+B] 式14および15におけるプライム表記A’およびその
他の場所での同様な表記は、変数が参照接続上に存在す
ることを意味するにすぎない。言い換えるとA’=Aで
ある。式15は暗号化キーKを知らなければ解くことは
できない。なぜならば、A’とBは異なっており、かつ
データにコード化されているからである。式の両辺から
暗号化演算子Eを除去すると、次式が得られる。 式16 N1’+A’=N1+Bまたは 式17 N1’=N1+B+A’ XはBおよびA’の両方を知っているので、参照接続の
メッセージ1中でN1’をN1+B+A’に設定するだ
けでよい。N1は攻撃目標の接続のメッセージ1から得
られる。Xは参照接続のメッセージ2上で次式を受け取
る。 式18 E[N1+B+A’+A’]=E[N1+B] これはもちろん攻撃目標の接続のメッセージ2中で必要
とされる応答である。したがって、このプロトコルは傍
受タイプの攻撃に対しては安全でない。さらに、このプ
ロトコルは先制攻撃に対しても安全でない。このこと
は、前に考察した条件C1[f’( )=g( )]を
テストすることにより容易に検証することができる。
【0034】図10は、条件C2に合格するプロトコル
を示す。すなわち、このプロトコルは傍受攻撃に対して
安全である。しかし、このプロトコルは先制攻撃に対し
ては安全でないことがわかる。このプロトコルでは、 式19 f( )=E[D+E[N1]]および 式20 g( )=E[D+E[N2]] であり、Dは流れ方向標識である。流れ方向はこれらの
関数のそれぞれで異なるので、Dはf( )およびg
( )で異なることを想起されたい。XはユーザAから
のB宛のメッセージ1を傍受する。Xは次に情報を集め
るためにCとの参照接続を開始する。条件Cを図10
に適用する。 式21 f’( )=f() 式22 E[C’+E[N1’]]=E[B+E[N1]]、または 式23 C’+E[N1’]=B+E[N1] これを解くために、式23を次のような異なる2つの条
件に分割することができる。 式24 C’=Bおよび 式25 E[N1’]=E[N1] C’がBと等しくなることは不可能なので、このプロト
コルは傍受攻撃に対して安全である。しかし、このプロ
トコルは先制攻撃に対しては依然として安全でない。図
11はこのプロトコルに対する先制攻撃を示す。XはB
のふりをするので、攻撃目標の接続のメッセージ3中の
方向標識はBであることを想起されたい。条件C1を適
用する。 式26 f’( )=g( ) 式27 E[B’+E[N1’]]=E[B+E[N2]]、または 式28 B’+E[N1’]=B+E[N2] 式28を分割すると、次式が得られる。 式29 B’=B(これは常に真)および 式30 E[N1’]=E[N2]、または 式31 N1’=N2 したがって、Xは単に参照接続のメッセージ1中の、N
1’を、攻撃目標の接続のメッセージ2中でAから受け
取ったN2に等しくセットするだけで、このプロトコル
に対して首尾よく攻撃を開始することができる。
【0035】図12は、先制攻撃および傍受攻撃の両方
に対して安全な特定のプロトコルを示す。このプロトコ
ルでは、次式が成立する。 式32 f( )=E[B+E[N1]]および 式33 g( )=E[N2] このプロトコルは、先制攻撃に対して安全でないことを
示した図11のプロトコルに非常に類似していることに
留意されたい。このことは、たとえ特定のプロトコルが
列挙したその他の要件に適合していても、そのプロトコ
ルについて常に条件C1およびC2をテストする必要が
あることの非常によい例である。C1を適用する(かつ
Aとの参照接続が保持されているものとする)。 式34 f’( )=g( ) 式35 E[A’+E[N1’]]=E[N2] 式36 A’+E[N1’]=N2 式37 E[N1’]=N2+A’ 侵入者Xは参照接続を開始する前にE[N1’]を得る
ことができるが、Xは依然として、キーKを知らずに、
参照接続上で最初の呼かけに関するN1’を得ることが
できない。したがって、C1が満たされる。
【0036】条件C2を適用する。 式38 f’( )=f( ) 式39 E[A’+E[N1’]]=E[B+E[N1]] 最後の式の両辺からE演算子を取り除き、結果を2つの
部分に分割すると次式が得られる。 式40 A’=Bおよび 式41 N1’=N1 しかし、A’がBに等しくなることは絶対あり得ない。
したがって、C2が満足され、このプロトコルは安全で
ある。
【0037】上記の分析は、次に当業者が完全な確認機
密保護のためのプロトコル・ファミリーを設計し、分析
するのを可能にするのに十分である。先制攻撃および傍
受攻撃の両方に対する完全な機密保護のための条件は次
のように簡潔に述べることができる。 1.AからBへの第1の呼かけに対する応答は、この呼
かけの秘密の関数でなければならない。 2.BからAへの第2の呼かけに対する応答は、この第
2の呼かけの秘密の関数でなければならない。 3.AからBへの第1の呼かけに対する応答は、応答の
流れ方向の標識を含まなければならない。 4.条件C1およびC2を共に満足しなければならな
い。
【0038】図13は、上記で略述した機密保護の4つ
の要件に合致するプロトコル・ファミリーの一般的形式
を示す。この一般的形式に適合する特定のプロトコルに
は安全なものと安全でないものがある。どの特定のプロ
トコルについても条件C1およびC2をテストしなけれ
ばならない。第1の呼かけN1に対する応答は次の形式
である。 E[q op E[r]] 第2の呼かけN2に対する応答は次の形式である。 E[t] この一般的形式で定義されるあるファミリーにおいては
次式が成立する。 式42 q=q(N1,...) 式43 r=r(D,...) 式44 t=t(N2,...) 別のファミリーでは次式が成立する。 式45 q=q(D,...) 式46 r=r(N1,...) 式47 t=t(N2,...)
【0039】これら2つの一般的形式のどちらか一方を
満たし、かつ条件C1およびC2を満足するいくつかの
例示的プロトコルを次に検討する。
【0040】図12に関して使用したのと同様な分析を
用いると、図12のプロトコルの両方、すなわち、 式48 f( )=E[N1+E[D]]および 式49 g( )=E[N2] も完全に安全であることを示すことができる。これら2
つのプロトコル、および安全であることを示すことがで
きる無数の関連プロトコルに対するキーは、第1の呼か
け(または方向標識)のネストされた暗号化と結合され
た、方向標識(または第1の呼かけ)の暗号化である。
【0041】図14は本発明によるプロトコルの好まし
い実施例である。この好ましい実施例では次式が成立す
る。 式50 f( )=E[j( )+( )] 式51 g( )=k( )+E[N1] ただし、j( )およびk( )は次の通りである。 式52 j( )=N1+B 式53 k( )=E[N2+E[N1]] 関数f( )およびg( )の特定の要素の理論的根拠
は次の通りである。j()の最初の要素N1は上記の条
件から厳密に必要となるわけではない。しかし、この要
素は式f( )全体にさらに無作為性を追加する。この
要素は省略でき、省略してもプロトコルは依然として十
分に働く。f( )に無作為性を追加すると、プロトコ
ルの暗号強度が増大し、侵入者が既知のキー解読手法を
使って暗号化アルゴリズム自体を解読するのが一層困難
になる。
【0042】j( )に要素B(呼び出されたユーザの
名前)を含めることは条件C2から必要であり、傍受攻
撃を防ぐ。
【0043】k( )内の要素N2はメッセージ2に対
する応答に、さらに無作為性を追加する。この要素も省
略でき、省略してもプロトコルは依然として十分に働
く。k( )内の要素E(N1)は条件C1から必要で
ある。ユーザBの応答中にユーザAの呼かけを含めるこ
とは不可欠である。この要素を暗号化することは不可欠
ではないが、そうするとプロトコルの強度がさらに強ま
る。
【0044】上述の一般的形式および条件を満足するプ
ロトコル・ファミリーの最後の例を次に示す。このファ
ミリーでは、メッセージ流れ方向標識を、暗号化される
データに明示的に組み込むのではなく、暗号化のために
使用される秘密のキーに組み込む。ファミリーの1つの
メンバーを図16に示す。ユーザAおよびBは共に秘密
キーKを知っている。BはN1をK+Bで暗号化するこ
とによってAの呼かけN1に対するメッセージ2中のそ
の応答を作成する。ここで、BはB’の識別を表す。
‘十’演算子はやはりブール演算の排他的論理和と見な
すが、その他のどんな種類のブール演算または数理演算
でもよい。Aは未修正のKの値を使ってBの呼かけN2
を暗号化することにより、N2に対するその応答を暗号
化する。本発明で必要とされるように、呼かけN1に対
するBの応答は呼かけN1の秘密の関数である。同様
に、呼かけN2に対するAの応答はN2の秘密の関数で
ある。メッセージの流れの方向は、応答を暗号化するた
めに使用される異なる暗号化キーを使ってAおよびBの
両方が推論できるような形で、応答に組み込まれる。次
に、条件C1およびC2に従って結果をテストする。 C1: 式54 f’( )=g( )または 式55 Eb[N1’]=E[N2] ここで、Eは秘密キーKによる暗号化であり、EbはK
+Bによる暗号化である。
【0045】条件を書くと自ら答が出てくる。式の両辺
の暗号化キーは異なり、かつ侵入者にとって未知である
ので、必要とされるN1’を導き出すために項を数学的
に消去する方法はない。Kを知らない者は式を解くこと
ができない。 C2: 式56 f’( )=f( )または 式57 Eb[N1’]=Ea[N1] 式の右辺はキーEaで暗号化されていることに留意され
たい。これは、情報を集めるために参照接続で侵入者が
通信することが可能なユーザA、またはB以外の任意の
他のユーザを表す。しかし、Eaは、式の左辺を暗号化
するために使用されるEbとは異なる。参照接続がAに
よる場合は、Ea=K+Aである。したがって、キーK
を知らなければ、N1’について式を解くことができな
い。したがって、これは完全に安全である。
【0046】確認処理の例示的な流れ図を図17ないし
図21に示す。これらの流れ図の例は、図15に示すプ
ロトコル、およびAとBの間で共用される暗号化キー
(Kab)の使用に基づくものである。図17ないし図
21のこれらの処理はそれぞれ各ユーザのもとに存在
し、1次(ユーザA)かそれとも2次(ユーザB)かと
いうユーザの役割、およびプロトコル変換中の時点に応
じて適当な時機に実行される。図17は、Bとの通信を
開始しようとするAによって実行される。ステップ17
00で、Bに対する呼かけとして乱数N1を生成する。
ステップ1702で、呼かけN1をBに送り、処理は終
了し、N1に対する応答および新しい呼かけN2を待
つ。
【0047】図18は、Bが最初の呼かけN1を受け取
ったときに、Bによって実行される。ステップ1800
でまず、Aに対する新しい呼かけとして使用される呼か
けN2を生成する。ステップ1804で、変数N1、N
2、およびユーザAと共用される適当なキーKabを、
図21に示すサブルーチンENCODEに渡してこのサ
ブルーチンを実行し、呼かけN1に対する応答を作成す
る。図21を参照すると、サブルーチンENCODEの
ステップ2100で、まずキーKabおよび例えばDE
Sアルゴリズムを使ってN1の値を暗号化する。暗号化
された結果は変数S1に一時的に記憶される。ステップ
2102で、N2とS1の排他的論理和をとり、結果を
S2に一時的に記憶する。ステップ2104で、N1と
このユーザ(B)の識別の排他的論理和をとり、次にそ
の結果とS2の排他的論理和をとって、暗号化された値
Rを得る。値Rは図18の呼出し処理に返される。図1
8のステップ1806で、返された暗号化値Rを変数R
1に割り当て、テップ1808でR1を新しい呼かけ
N2と共にユーザAに返す。
【0048】R1および呼かけN2を受け取ると、それ
に応答して図19の処理がAで実行される。次にN1、
N2および共用キーKabがサブルーチンENCODE
に渡される。上で考察したように、サブルーチンENC
ODEは最初の呼かけN1に対する正しい応答を計算
し、変数R中で応答を返す。ステップ1904で、R中
の正しい応答を、ユーザBから受け取った応答R1と比
較する。RがR1と等しくない場合は、確認は失敗し、
ステップ1906で、この通信を直ちに中止する。しか
し、RがR1に等しい場合は、Bは自らをAに対して正
しく確認させたことになる。
【0049】次にA自らをBに対して確認させなけれ
ばならない。ステップ1907で、サブルーチンENC
ODEからのS2の値を、第3のメッセージとしてBに
送られる応答R2に割り当てる。図14に示すように、
この応答は次の通りである。 E[N2+E[N1]] R2=E[N2+E[N1]]の値は、別の暗号化ステ
ップを実行することなく変数S2から得られ、ステップ
1908で、Bに送られる。
【0050】図20は、ユーザBからの呼かけN2に対
するユーザAからの応答であるメッセージ3をユーザB
が受け取ったとき、ユーザBによって実行されるステッ
プを示す。この実施例では、メッセージ2がf( )=
j( )+g( )の形である場合、この応答はg(
)の形であることを想起されたい。g( )=E[N
E[N1]]の値は、図18の諸ステップの実行の
際にすでに生成されていた場合、ユーザBの所で変数S
2中で得られる。図20のステップ2000で、変数S
2をAからの応答と比較する。この比較が正確に一致し
ない場合は、Aは自らをBに対して正しく確認させ得
かったことになる。この場合は、ステップ2002で、
直ちに通信を終了する。値が一致する場合は、Aは正し
く確認されたことになる。この場合は、図20の処理か
ら出て、ユーザが続けて通信できるようになる。
【図面の簡単な説明】
【図1】本発明が実施できる例示的なデータ通信システ
ムの概略構成図である。
【図2】侵入者による先制攻撃から保護する、本発明に
よるプロトコルの一般的形式を示す図である。
【図3】侵入者による先制攻撃の詳細を示す図である。
【図4】先制攻撃を受け易いプロトコルの一例を示す図
である。
【図5】先制攻撃を受け易いプロトコルの一例を示す図
である。
【図6】先制攻撃に対しては安全であるが、傍受攻撃に
対しては安全でない特定のプロトコルを示す図である。
【図7】傍受攻撃の詳細を示す図である。
【図8】傍受攻撃に対して安全なプロトコルの一般的形
式を示す図である。
【図9】傍受攻撃および先制攻撃のどちらに対しても安
全でない例示的プロトコルを示す図である。
【図10】傍受攻撃に対しては安全であるが、先制攻撃
に対しては安全でない例示的プロトコルを示す図であ
る。
【図11】傍受攻撃に対しては安全であるが、先制攻撃
に対しては安全でない例示的プロトコルを示す図であ
る。
【図12】先制攻撃および傍受攻撃のどちらに対しても
安全な例示的プロトコルを示す図である。
【図13】先制攻撃および傍受攻撃に対して安全であ
る、本発明によるプロトコルの一般的形式の別の表現を
示す図である。
【図14】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図15】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図16】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図17】本発明の方法を実行するために汎用コンピュ
ータまたは専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図18】本発明の方法を実行するために汎用コンピュ
ータまたは専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図19】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図20】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図21】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【符号の説明】
100 データ処理ユーザ 102 データ処理ユーザ 104 データ処理ユーザ 106 データ処理装置 108 周辺装置 110 チャネル
───────────────────────────────────────────────────── フロントページの続き (72)発明者 インダー・サラト・ゴーパル アメリカ合衆国07024、ニュージャージ ー州フォート・リー、ノース・アベニュ ー 555番地、19エヌ号室 (72)発明者 フィリップ・アルノー・ジャンソン スイス連邦シーエイチ8820、ヴェデンス ヴィル、オーベレ・ライホーフ・シュト ラーセ 69番地 (72)発明者 シェイ・クッテン アメリカ合衆国07866、ニュージャージ ー州ロッカウェイ、マウンテン・アベニ ュー 5番地 (72)発明者 レフィク・アハメット・モルヴァ スイス連邦シーエイチ8002、チューリ ヒ、リーター・シュトラーセ 52番地 (72)発明者 マーセル・モーデチャイ・ユング アメリカ合衆国10012、ニューヨーク州 ニューヨーク、ワシントン・スクウェ ア・ビレッジ 1番地(10エイチ) (56)参考文献 特開 平1−202047(JP,A) 特開 昭62−210791(JP,A) 特開 平2−65542(JP,A)

Claims (10)

    (57)【特許請求の範囲】
  1. 【請求項1】ネットワークにおける通信接続のときにユ
    ーザを確認する方法において、 第1のユーザAから第2のユーザBに第1の呼かけN1
    を送信するステップと、 第1の呼かけに対する第1の応答を第2のユーザから第
    1のユーザに送信するステップと、 第1の応答が正しいことを第1のユーザにおいて検証す
    るステップとを含み、上記第1の応答が関数 f(S1,N1,D1,...), であり、上式でS1は第1のユーザと第2のユーザが共
    有する秘密であり、D1は、f( )を含むメッセージ
    の流れの方向の標識であり、f( )は、S1を知らな
    ければ、式 f’(S1,N1’,D1’,...)=(S1,N1,D1,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )、N1’およびD1’は参照接続
    における関数、呼かけおよびメッセージの流れ方向の標
    識を示すことを特徴とする方法。
  2. 【請求項2】秘密Sが数理関数f( )である、請求項
    1の方法。
  3. 【請求項3】ネットワークにおける通信接続のときにユ
    ーザを確認するための方法において、 第1のユーザAから第2のユーザBに第1の呼かけN1
    を送信するステップと、 第1の呼かけに対する第1の応答と第2のユーザからの
    第2の呼かけN2を第1のユーザに送信するステップ
    と、 第1の応答が正しいことを第1のユーザにおいて検証す
    るステップと、 第2の呼かけに対する第2の応答を第1のユーザから第
    2のユーザに送信するステップと、 第2の応答が正しいことを第2のユーザにおいて検証す
    るステップとを含み、上記第1の応答が関数 f(S1,N1,...) であり、上記第2の応答が関数 g(S2,N2,...) であり、上式でS1およびS2は第1のユーザと第2の
    ユーザが共有する秘密であり、f( )およびg( )
    は、S1およびS2を知らなければ、式 f’(S1,N1’,...)=g(S2,N2,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )およびN1’は参照接続における
    関数および呼かけを示すことを特徴とする方法。
  4. 【請求項4】秘密S1が数理関数f( )であり、秘密
    S2が数理関数g( )である、請求項3の方法。
  5. 【請求項5】S1=S2=Sである、請求項3の方法。
  6. 【請求項6】f( )が、さらに f(S1,N1,D1,...)におけるように、f
    ( )を含むメッセージ流れ方向標識D1を含み、f
    ( )は、S1およびS2を知らなければ、式 f’(S,N1’,D1’,...)=f(S,N2,
    D1,...)をN1’について解くことができないよ
    うに選ばれ、D1’が参照接続上のf’( )を含むメ
    ッセージの流れ方向の標識である、請求項3の方法。
  7. 【請求項7】ネットワーク・ノードにある、ネットワー
    ク・ユーザを確認するための装置において、 呼かけN1をユーザに送信する手段と、 呼かけに対する応答をユーザから受信する手段と、 応答を検証する手段とを含み、 上記応答が関数 f(S1,N1,D1,...) であり、上式でS1は第1のユーザと第2のユーザが共
    有する秘密であり、D1は、f( )を含むメッセージ
    の流れの方向の標識であり、f( )は、S1を知らな
    ければ、式 f’(S1,N1’,D1’,...)=f(S1,N1,D1,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )、N1’およびD1’は参照接続
    における関数、呼かけおよびメッセージの流れ方向の標
    識を示すことを特徴とする装置。
  8. 【請求項8】ネットワーク・ノードにある、ネットワー
    ク・ユーザを確認するための装置において、 第1の呼かけN1をユーザに送信する手段と、 第1の呼かけに対する第1の応答と第2の呼かけN2を
    ユーザから受信する手段と、 第1の応答を検証する手段と、 第2の呼かけに対する第2の応答を送信する手段と、 第2の応答を検証する手段とを含み、 上記第1の応答が関数 f(S1,N1,...) であり、上記第2の応答が関数 g(S2,N2,...) であり、上式でS1およびS2は許可されたユーザ間で
    共有する秘密であり、f( )およびg( )は、S1
    およびS2を知らなければ、式 f’(S1,N1’,...)=g(S2,N2,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )およびN1’は参照接続における
    関数および呼かけを示すことを特徴とする装置。
  9. 【請求項9】秘密S1が数理関数f( )であり、秘密
    S2が数理関数g( )である、請求項8の装置。
  10. 【請求項10】S1=S2=Sである、請求項8の装
    置。
JP4060593A 1991-03-20 1992-03-17 通信ネットワークにおけるユーザを確認する方法および装置 Expired - Fee Related JP2823103B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US07/672,226 US5148479A (en) 1991-03-20 1991-03-20 Authentication protocols in communication networks
US672226 1991-03-20

Publications (2)

Publication Number Publication Date
JPH07170257A JPH07170257A (ja) 1995-07-04
JP2823103B2 true JP2823103B2 (ja) 1998-11-11

Family

ID=24697681

Family Applications (1)

Application Number Title Priority Date Filing Date
JP4060593A Expired - Fee Related JP2823103B2 (ja) 1991-03-20 1992-03-17 通信ネットワークにおけるユーザを確認する方法および装置

Country Status (5)

Country Link
US (1) US5148479A (ja)
EP (1) EP0505302B1 (ja)
JP (1) JP2823103B2 (ja)
CA (1) CA2059172C (ja)
DE (1) DE69213062T2 (ja)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9101796A (nl) * 1991-10-25 1993-05-17 Nederland Ptt Werkwijze voor het authenticeren van communicatiedeelnemers, systeem voor toepassing van de werkwijze en eerste communicatiedeelnemer en tweede communicatiedeelnemer voor toepassing in het systeem.
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5369705A (en) * 1992-06-03 1994-11-29 International Business Machines Corporation Multi-party secure session/conference
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5311596A (en) * 1992-08-31 1994-05-10 At&T Bell Laboratories Continuous authentication using an in-band or out-of-band side channel
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US5483598A (en) * 1993-07-01 1996-01-09 Digital Equipment Corp., Patent Law Group Message encryption using a hash function
US5351295A (en) * 1993-07-01 1994-09-27 Digital Equipment Corporation Secure method of neighbor discovery over a multiaccess medium
US5475763A (en) * 1993-07-01 1995-12-12 Digital Equipment Corp., Patent Law Group Method of deriving a per-message signature for a DSS or El Gamal encryption system
US5544246A (en) * 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
JP2828218B2 (ja) * 1993-09-20 1998-11-25 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム
US5381480A (en) * 1993-09-20 1995-01-10 International Business Machines Corporation System for translating encrypted data
EP0656708A1 (en) * 1993-12-03 1995-06-07 International Business Machines Corporation System and method for the transmission and validation of an updated encryption key between two users
US5594921A (en) * 1993-12-17 1997-01-14 Object Technology Licensing Corp. Authentication of users with dynamically configurable protocol stack
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
EP1808999A1 (en) * 1994-05-24 2007-07-18 Sony Corporation Data bus communication
USRE38898E1 (en) 1994-05-24 2005-11-29 Sony Corporation Video data bus communication system and method
EP0693836A1 (en) * 1994-06-10 1996-01-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols.
GB9422389D0 (en) * 1994-11-05 1995-01-04 Int Computers Ltd Authenticating access control for sensitive functions
US5822431A (en) * 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
GB9606593D0 (en) * 1996-03-29 1996-06-05 Symmetricom Inc An antenna system
US20060195595A1 (en) 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US7324972B1 (en) 1997-03-07 2008-01-29 Clickshare Service Corporation Managing transactions on a network: four or more parties
US20020133412A1 (en) * 1997-03-07 2002-09-19 David M. Oliver System for management of transactions on networks
US5953424A (en) * 1997-03-18 1999-09-14 Hitachi Data Systems Corporation Cryptographic system and protocol for establishing secure authenticated remote access
JP3864401B2 (ja) * 1997-04-23 2006-12-27 ソニー株式会社 認証システム、電子機器、認証方法、および記録媒体
US6591291B1 (en) * 1997-08-28 2003-07-08 Lucent Technologies Inc. System and method for providing anonymous remailing and filtering of electronic mail
US6263446B1 (en) * 1997-12-23 2001-07-17 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
US7328350B2 (en) * 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
US6151676A (en) * 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US6243811B1 (en) * 1998-07-31 2001-06-05 Lucent Technologies Inc. Method for updating secret shared data in a wireless communication system
CA2313081A1 (en) * 1998-10-14 2000-04-20 Ultra Information Systems Llc System and method of authenticating a key and transmitting secure data
US6941454B1 (en) 1998-10-14 2005-09-06 Lynn Spraggs System and method of sending and receiving secure data with a shared key
US6349338B1 (en) * 1999-03-02 2002-02-19 International Business Machines Corporation Trust negotiation in a client/server data processing network using automatic incremental credential disclosure
US6507908B1 (en) 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
US7549056B2 (en) 1999-03-19 2009-06-16 Broadcom Corporation System and method for processing and protecting content
US7810152B2 (en) * 2002-05-08 2010-10-05 Broadcom Corporation System and method for securely controlling access to device functions
US7257554B1 (en) 1999-03-19 2007-08-14 Hewlett-Packard Development Company, L.P. Anonymous purchases while allowing verifiable identities for refunds returned along the paths taken to make the purchases
US6424953B1 (en) * 1999-03-19 2002-07-23 Compaq Computer Corp. Encrypting secrets in a file for an electronic micro-commerce system
US6826686B1 (en) * 2000-04-14 2004-11-30 International Business Machines Corporation Method and apparatus for secure password transmission and password changes
US7870599B2 (en) * 2000-09-05 2011-01-11 Netlabs.Com, Inc. Multichannel device utilizing a centralized out-of-band authentication system (COBAS)
US7596223B1 (en) 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
US6769060B1 (en) 2000-10-25 2004-07-27 Ericsson Inc. Method of bilateral identity authentication
JP4149126B2 (ja) 2000-12-05 2008-09-10 ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー 画像処理方法、画像処理装置および画像撮影装置
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
ATE413060T1 (de) * 2002-04-05 2008-11-15 Abb Research Ltd Verfahren zur fernsteuerung eines systems
US7293284B1 (en) 2002-12-31 2007-11-06 Colligo Networks, Inc. Codeword-enhanced peer-to-peer authentication
US8108429B2 (en) 2004-05-07 2012-01-31 Quest Software, Inc. System for moving real-time data events across a plurality of devices in a network for simultaneous data protection, replication, and access services
US7565661B2 (en) 2004-05-10 2009-07-21 Siew Yong Sim-Tang Method and system for real-time event journaling to provide enterprise data services
US7680834B1 (en) 2004-06-08 2010-03-16 Bakbone Software, Inc. Method and system for no downtime resychronization for real-time, continuous data protection
US7979404B2 (en) 2004-09-17 2011-07-12 Quest Software, Inc. Extracting data changes and storing data history to allow for instantaneous access to and reconstruction of any point-in-time data
US7904913B2 (en) 2004-11-02 2011-03-08 Bakbone Software, Inc. Management interface for a system that provides automated, real-time, continuous data protection
KR100848541B1 (ko) * 2005-05-13 2008-07-25 삼성전자주식회사 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법
US7689602B1 (en) 2005-07-20 2010-03-30 Bakbone Software, Inc. Method of creating hierarchical indices for a distributed object system
US7788521B1 (en) 2005-07-20 2010-08-31 Bakbone Software, Inc. Method and system for virtual on-demand recovery for real-time, continuous data protection
US8059819B2 (en) 2007-01-17 2011-11-15 Panasonic Electric Works Co., Ltd. Systems and methods for distributing updates for a key at a maximum rekey rate
US8131723B2 (en) 2007-03-30 2012-03-06 Quest Software, Inc. Recovering a file system to any point-in-time in the past with guaranteed structure, content consistency and integrity
US8364648B1 (en) 2007-04-09 2013-01-29 Quest Software, Inc. Recovering a database to any point-in-time in the past with guaranteed data consistency
CN101447872B (zh) * 2007-11-27 2011-09-28 阿里巴巴集团控股有限公司 一种用户身份验证方法、系统及验证码生成维护子系统
KR20090067551A (ko) * 2007-12-21 2009-06-25 삼성전자주식회사 클러스터 기반의 컨텐츠 사용 제한 및 컨텐츠 사용 방법,컨텐츠 접근 권한 인증 방법, 장치, 및 기록매체

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
US4386233A (en) * 1980-09-29 1983-05-31 Smid Miles E Crytographic key notarization methods and apparatus
FR2530053B1 (fr) * 1982-07-08 1986-04-25 Bull Sa Procede pour certifier la provenance d'au moins une information enregistree dans une memoire d'un premier dispositif electronique et transmise a un deuxieme dispositif electronique, et systeme pour la mise en oeuvre d'un tel procede
US4723284A (en) * 1983-02-14 1988-02-02 Prime Computer, Inc. Authentication system
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
JPS619052A (ja) * 1984-06-25 1986-01-16 Toshiba Corp 通信ネツトワ−クシステム
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
LU86203A1 (fr) * 1985-12-11 1987-07-24 Cen Centre Energie Nucleaire Procede et appareil verifiant l'authenticite de documents lies a une personne et l'identite de leurs porteurs
EP0239749B1 (de) * 1986-03-05 1990-07-25 Holger Sedlak Kryptographie-Verfahren und Kryptographie-Prozessor zur Durchführung des Verfahrens
JPS62210791A (ja) * 1986-03-12 1987-09-16 Pioneer Electronic Corp Catvシステムの盗視聴防止方式
EP0246823A3 (en) * 1986-05-22 1989-10-04 Racal-Guardata Limited Data communication systems and methods
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
GB2194415B (en) * 1986-08-20 1990-10-17 Plessey Co Plc Improvements in or relating to methods of achieving key variable exchange with mutual authentication of participants
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4933970A (en) * 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme
JP2521785B2 (ja) * 1988-02-08 1996-08-07 日本電信電話株式会社 端末認証処理システム
AU3560989A (en) * 1988-03-16 1989-10-05 David Chaum One-show blind signature systems
JP3102692B2 (ja) * 1988-05-19 2000-10-23 エヌ・シー・アール・インターナショナル・インコーポレイテッド カードの真性を証明する方法
IL87549A0 (en) * 1988-08-24 1989-01-31 Amos Fiat Rsa computation method for efficient batch processing
JPH082051B2 (ja) * 1988-08-31 1996-01-10 日本電信電話株式会社 資格認証方法
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
US4932056A (en) * 1989-03-16 1990-06-05 Yeda Research And Development Company Limited Method and apparatus for user identification based on permuted kernels
DE69019593T2 (de) * 1989-04-27 1996-01-25 Ibm Sichere Handhabung von Schlüsseln unter Verwendung von Kontrollvektoren mit Mehrwegüberwachung.

Also Published As

Publication number Publication date
CA2059172C (en) 1996-01-16
EP0505302A1 (en) 1992-09-23
EP0505302B1 (en) 1996-08-28
CA2059172A1 (en) 1992-09-21
DE69213062D1 (de) 1996-10-02
US5148479A (en) 1992-09-15
DE69213062T2 (de) 1997-03-13
JPH07170257A (ja) 1995-07-04

Similar Documents

Publication Publication Date Title
JP2823103B2 (ja) 通信ネットワークにおけるユーザを確認する方法および装置
CN109728909B (zh) 基于USBKey的身份认证方法和系统
US8239676B2 (en) Secure proximity verification of a node on a network
US6732270B1 (en) Method to authenticate a network access server to an authentication server
US9917692B2 (en) Key exchange system, key exchange method, key exchange device, control method thereof, and recording medium for storing control program
CN108418691A (zh) 基于sgx的动态网络身份认证方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
JP2000083018A (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
KR100675472B1 (ko) 암호화 시스템에서 약화된 키를 처리하기 위한 방법
CN107820239A (zh) 信息处理方法及装置
CN106888092A (zh) 信息处理方法及装置
CN109075973A (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
KR20050007830A (ko) 기기간 컨텐츠 교환을 위한 도메인 인증 방법
TW200537959A (en) Method and apparatus for authentication in wireless communications
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
US11032069B2 (en) Methods and systems of securely transferring data
CN114499837A (zh) 一种报文防泄露方法、装置、系统和设备
CN112769789A (zh) 一种加密通信方法及系统
WO2022135383A1 (zh) 一种身份鉴别方法和装置
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
JP3983561B2 (ja) 秘密分散法による鍵管理システム、検証センタ、通信端末、検証センタ用プログラム、通信端末用プログラム、並びに秘密分散法による鍵管理方法
CN109784032B (zh) 测试设备验证方法、测试设备、验证设备和存储装置
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
JP3078666B2 (ja) 相互認証/暗号鍵配送方式
WO2022135382A1 (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees