JP2870163B2 - Key distribution method with authentication function - Google Patents
Key distribution method with authentication functionInfo
- Publication number
- JP2870163B2 JP2870163B2 JP2237498A JP23749890A JP2870163B2 JP 2870163 B2 JP2870163 B2 JP 2870163B2 JP 2237498 A JP2237498 A JP 2237498A JP 23749890 A JP23749890 A JP 23749890A JP 2870163 B2 JP2870163 B2 JP 2870163B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- random number
- certificate
- communication path
- power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】 産業上の利用分野 本発明は、互いにチャレンジとレスポンスをやり取り
することによって相手を認証し、その結果、秘密の共有
鍵を得る認証機能付き鍵配送方式に関する。なお、相手
からのレスポンスの正当性確認に用いる相手端末の公開
情報は、信頼のおけるセンターがあらかじめ生成した証
明書によって保証されている。Description: BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a key distribution system with an authentication function that authenticates a partner by exchanging a challenge and a response with each other, thereby obtaining a secret shared key. The public information of the partner terminal used to confirm the validity of the response from the partner is guaranteed by a certificate generated in advance by a trusted center.
従来の技術 暗号系に秘密鍵暗号方式を用いる場合、各通信対で対
ごとに異なった鍵を秘密に共有する必要がある。従来の
集中鍵配送方式では、鍵共有のたびに、ネットワーク上
にある鍵配送センターが各共有鍵を生成し、端末に秘密
に配送する必要があるため、鍵配送センターに鍵負担が
集中し、端末数の多い大規模ネットワークには適してい
ない。一方、鍵の配送と同時に、鍵を共有する相手をき
ちんと認証することも要望されている。したがって、こ
こでは認証機能を組み込んだ分散型の鍵配送方式につい
て説明する。分散型の鍵配送方法として、1976年にディ
フィとヘルマン(Diffe、Hellman)によって提案された
ディエイチ(DH)鍵配送方式がある。詳細については、
アイイーイーイー・トランザクションズ・オン・インフ
ォメーション・セオリー(IEEE Trans.Inf.TheoryIT−2
2,6,pp644〜654(Nov.1976))を参照すること、DH鍵配
送方式は、有限体GF(p)上での離散対数問題が難しい
ことに安全性の根拠をおいている。ここではこれに認証
機能を組み込んだ方法について説明する。認証を可能と
するため、信頼のおけるセンター発行の証明書を用い
る。2. Description of the Related Art When a secret key cryptosystem is used for a cryptosystem, it is necessary for each communication pair to secretly share a different key for each pair. In the conventional centralized key distribution method, each time a key is shared, a key distribution center on the network needs to generate each shared key and distribute it secretly to the terminal. It is not suitable for large networks with many terminals. On the other hand, at the same time as the delivery of the key, it is also required to properly authenticate the party sharing the key. Therefore, here, a distributed key distribution system incorporating an authentication function will be described. As a distributed key distribution method, there is a DH key distribution method proposed by Diffie and Hellman in 1976. For more information,
IEE Transactions on Information Theory (IEEE Trans.Inf.TheoryIT-2
2, 6, pp 644-654 (Nov. 1976)), the DH key distribution system is based on security that the discrete logarithm problem on the finite field GF (p) is difficult. Here, a method in which the authentication function is incorporated will be described. To enable authentication, use a certificate issued by a reliable center.
DH鍵配送方式(第1の従来例) 以下、この第1の従来例の手順を、センターによる証
明書の発行のフェーズと、端末1と端末2の間の鍵配送
のフェーズに分けて説明する。DH Key Distribution Method (First Conventional Example) Hereinafter, the procedure of the first conventional example will be described by dividing it into a certificate issuing phase by the center and a key distribution phase between the terminal 1 and the terminal 2. .
<証明書の発行フェーズ> (1)システムの構築時、素数pとGF(p)の原始元g
を決定し各端末に公開する。ここで安全性を確保するた
め、pは例えば512ビット程度の大きな素数に決定す
る。<Certificate issuance phase> (1) When constructing the system, the primitive element g of the prime number p and GF (p)
And publish it to each terminal. Here, in order to ensure security, p is determined to be a large prime number of, for example, about 512 bits.
(2)端末1は秘密情報x1を生成して、y1=gx1modpを
計算する。(2) the terminal 1 generates a secret information x1, calculates the y1 = g x1 modp.
なお、ここで‘X modp'は値Xをpで除した時の剰余
を示す。Here, 'X modp' indicates a remainder when the value X is divided by p.
(3)端末1はy1と名前、住所など自分を特定できる情
報(識別情報、又はID情報と称する)ID1を信頼のおけ
るセンターに送信し、証明書を請求する。(3) The terminal 1 transmits y1 and information (referred to as identification information or ID information) ID1 such as name and address that can identify itself to a reliable center, and requests a certificate.
(4)センターは端末1の正当性を調べ、センターだけ
が知っている秘密変換fを用いて、証明書Cert1を生成
し、例えば磁気カード等に格納して端末1に配付する。(4) The center checks the legitimacy of the terminal 1 and generates the certificate Cert1 using the secret conversion f known only to the center, stores the certificate Cert1 in a magnetic card or the like, and distributes it to the terminal 1.
ここで、 は連結を示している。なお、秘密変換fの逆変換hはシ
ステムにおいて公開であるとする。従って、Cert1を得
た任意の端末はh(Cert1)を計算することで、センタ
ーによって保証された端末1の公開情報y1を得ることが
できる。端末2についても同様に証明書Cert2を発行す
る。 here, Indicates connection. It is assumed that the inverse conversion h of the secret conversion f is public in the system. Therefore, any terminal that has obtained Cert1 can obtain the public information y1 of the terminal 1 guaranteed by the center by calculating h (Cert1). Similarly, the terminal 2 issues a certificate Cert2.
<鍵配送フェーズ> (1)端末1は自身の証明書Cert1を端末2に、端末2
は自身の証明書Cert2を端末1にそれぞれ配送する。<Key distribution phase> (1) The terminal 1 sends its own certificate Cert1 to the terminal 2,
Distributes its own certificate Cert2 to the terminal 1.
(2)端末1は を計算し、自分の秘密情報x1を用いて、 K12=y2x1modp=gx1 × x2 modp を求める。(2) Terminal 1 The calculated, by using its own secret information x1, determine the K12 = y2 x1 modp = g x1 × x2 modp.
(3)一方、端末2は を計算し、自分の秘密情報x2を用いて、 K21=y2x2 modp=gx1 × x2 modp を求める。なお、K12=K21は端末1と2の間の共有鍵で
ある。(3) On the other hand, the terminal 2 The calculated, by using its own secret information x2, determine the K21 = y2 x2 modp = g x1 × x2 modp. Note that K12 = K21 is a shared key between the terminals 1 and 2.
ところで、暗号通信で用いられる暗号鍵は、安全上時
々変更することが望ましい。上記で述べたDH鍵配送方式
では共有鍵を変更するのにもう1度センターに依頼して
証明書を発行してもらう必要があり、非常に手間であ
る。Incidentally, it is desirable that the encryption key used in the encryption communication be changed from time to time for security. In the DH key distribution method described above, it is necessary to request the center again to have the certificate issued to change the shared key, which is very troublesome.
第2の従来例 特開昭61−30829では、証明書は変更せずに共有鍵を
変更する方法が提案されている。証明書の発行フェーズ
は第1の従来例と同じである。第2図に鍵配送フェーズ
の手順を示している。端末1、2間の動作を以下に示
す。Second conventional example Japanese Patent Application Laid-Open No. 61-30829 proposes a method of changing a shared key without changing a certificate. The certificate issuing phase is the same as in the first conventional example. FIG. 2 shows the procedure of the key distribution phase. The operation between the terminals 1 and 2 will be described below.
(1)端末1は次のようにして配送情報Z12を生成し、
これと自分の証明書Cert1を端末2に送付する。(1) The terminal 1 generates the delivery information Z12 as follows,
It sends this and its own certificate Cert1 to the terminal 2.
(a)乱数r1を発生する。 (A) Generate a random number r1.
(b)Z12=y1r1 modp ……(1) (2)端末2は次のようにして配送情報Z21を生成し、
これと自分の証明書Cert2を端末1に送付する。(B) Z12 = y1 r1 modp (1) (2) The terminal 2 generates the delivery information Z21 as follows.
It sends this and its certificate Cert2 to the terminal 1.
(a)乱数r2を発生する。 (A) Generate a random number r2.
(b)Z21=y2r2 modp ……(2) また、端末1から送付されてきた情報を用いて、以下
のとおり端末1との共有鍵K21を生成する。(B) Z21 = y2 r2 modp (2) Also, using the information sent from the terminal 1, a shared key K21 with the terminal 1 is generated as follows.
(a)Cert1より、 を計算し、センターの認めた端末1の公開情報y1を得
る。(A) From Cert1, Is calculated, and the public information y1 of the terminal 1 recognized by the center is obtained.
(b)端末1からの配送情報Z12より次のように共有
鍵を算出する。(B) The shared key is calculated from the delivery information Z12 from the terminal 1 as follows.
K21=(Z12×y1r2)x2 modp ……(3) (3)端末1は、端末2から送付されてきた情報を用い
て、以下のとおり端末2との共有鍵共有鍵K12を生成す
る。K21 = (Z12 × y1 r2 ) × 2 modp (3) (3) The terminal 1 generates a shared key shared key K12 with the terminal 2 as follows using the information sent from the terminal 2.
(a)Cert2より、 を計算し、センターの認めた端末2の公開情報y2を得
る。(A) From Cert2, Is calculated, and the public information y2 of the terminal 2 recognized by the center is obtained.
(b)端末2からの配送情報Z21より次のように共有
鍵を算出する。(B) The shared key is calculated from the delivery information Z21 from the terminal 2 as follows.
K12=(Z21×y2r1)x1 modp ……(4) なお、端末1における共有鍵K12と端末2における共
有鍵生成手段K21は(1)〜(4)式より同じ値にな
る。 K12 = (Z21 × y2 r1) x1 modp ...... (4) In addition, the shared key generating unit K21 in the shared key K12 and the terminal 2 in the terminal 1 is the same value from (1) to (4) below.
K12=(Z21×y2r1)x1modp=(y2r2+r1)x1modp=gx1 x2 × (r1+r2)modp K21=(Z21×y1r2)x2modp=(y1r2+r1)x2modp=gx1 x2 × (r1+r2)modp 発明が解決しようとする課題 第1の従来例では、特定の2者間の鍵が毎回同じであ
るという欠点がある。第1の従来例で毎回の鍵を変更す
るためには、センターにおいて端末の証明書を作り替え
てもらわなくてはならず、かなり手間がかかる。また、
第2の従来例では証明書を変更せずに毎回の鍵を変更す
ることができる。但し、この方式における認証機能は間
接的な認証であり、自分の認識している相手とのみ同じ
鍵を共有できることが保証されているというものであっ
た。従って、きちんと相手からのデータにより相手を認
証するものではない。さらに共有鍵を得るには、配送デ
ータの生成に1回、共有鍵の生成に2回の計3回のべき
乗剰余演算が必要である。本発明の認証機能付き鍵配送
方式は、上述の問題点に鑑みて試みられたもので、証明
書を変更せずに毎回の鍵を変更する鍵配送方式であっ
て、さらに、相手にデータ(チャレンジ)を与え、その
応答(レスポンス)によってきちんと相手を確認する認
証機能を付加した鍵配送方式を提供することを目的とす
る。なお、この際に従来の間接的認証を付加した方法に
比べて計算量の増加を最小限とする。K12 = (Z21 × y2 r1 ) x1 modp = (y2 r2 + r1 ) x1 modp = g x1 x2 × (r1 + r2) modp K21 = (Z21 × y1 r2 ) x2 modp = (y1 r2 + r1 ) x2 modp = g x1 x2 × (r1 + r2) modp Problems to be Solved by the Invention The first conventional example has a disadvantage that the key between two specific parties is the same each time. In order to change the key every time in the first conventional example, it is necessary to have the terminal re-create the certificate of the terminal, which is quite troublesome. Also,
In the second conventional example, the key can be changed each time without changing the certificate. However, the authentication function in this method is an indirect authentication, and it is guaranteed that the same key can be shared only with the other party that he or she recognizes. Therefore, the other party is not properly authenticated based on data from the other party. Further, in order to obtain a shared key, a modular exponentiation operation is required three times, once for generating the delivery data and twice for generating the shared key. The key distribution method with an authentication function of the present invention has been attempted in view of the above-described problem, and is a key distribution method in which a key is changed each time without changing a certificate. It is an object of the present invention to provide a key distribution method to which a challenge is given and an authentication function for confirming the other party properly by the response is provided. At this time, an increase in the amount of calculation is minimized as compared with the conventional method to which indirect authentication is added.
課題を解決するための手段 前記目的を達成するために、本発明における認識機能
付き鍵配送方式は、重複しない固有の識別情報を持った
第1、第2の端末と、端末間を結ぶ通信路と、各端末が
生成した公開情報に署名を施して証明書を発行する信頼
のおけるセンターからなるシステムにおいて、証明書の
発行時は、前記第1の端末は秘密情報x1を生成し、シス
テムで公開の数pとpを法とする剰余環の原始元gを用
いてx1をべきとし前記pを法とするgのべき乗剰余値y1
を算出し、このy1を第1の公開情報としてセンターに通
知し、前記第2の端末は秘密情報x2を生成し、x2をべき
とし前記pを法とするgのべき乗剰余値y2を算出し、こ
のy2を第2の公開情報としてセンターに通知し、センタ
ーは前記第1、2の公開情報に端末の識別情報を含め
て、署名を施して証明書を生成し、各端末それぞれに配
付し、鍵配送時、前記第1の端末は、前記通信路に接続
し、前記センターから配付された第1の端末の証明書を
格納して、通信路を通じて第2の端末に送信する第1の
証明書格納手段と、乱数r1を生成する第1の乱数発生手
段と、前記第1の乱数発生手段と前記通信路に接続し、
前記r1をべきとし前記pを法とするgのべき乗剰余値C1
を算出して、前記通信路を通じて第2の端末にデータC1
を送信する第1の送信データ生成手段から構成され、前
記第2の端末は、前記通信路に接続し、前記センターか
ら送信された第2の端末の証明書を格納して、通信路を
通じて第1の端末に送信する第2の証明書格納手段と、
前記第1の端末から送信された第1の端末の証明書から
第1の端末の第1の公開情報y1を求める第1の公開情報
算出手段と、乱数r2を生成する第2の乱数発生手段と、
前記第2の乱数発生手段と前記通信路に接続し、前記r2
をべきとし前記pを法とするgのべき乗剰余値C2を算出
して、前記通信路を通じて第1の端末にデータC2を送信
する第2の送信データ生成手段と、前記第2の端末の秘
密情報x2を格納する第1の秘密情報格納手段と前記第1
の秘密情報格納手段と前記第2の乱数発生手段と前記通
信路に接続し、前記乱数r2と第2の端末の秘密情報x2の
和をべきとし、前記pを法とする前記送信データC1のべ
き乗剰余値R2を算出し、前記通信路を通じて第1の端末
にデータR2を送信する第3の送信データ生成手段から構
成され、前記第1の端末は、前記第2の端末から送信さ
れた第2の端末の証明書から第2の端末の公開情報y2を
求める第2の公開情報算出手段と、前記第2の公開情報
算出手段と前記第1の乱数発生手段と前記通信路に接続
し、前記乱数r1をべきとし前記pを法とする前記C2とy2
の積のべき乗剰余値を求め、これと前記第2の端末から
送信された第3の送信データR2を比較してこれらが同じ
であることによって第2の端末を認証する第1の認証手
段と、前記第1の端末の秘密情報x1を格納する第2の秘
密情報格納手段と、前記第2の秘密情報格納手段と前記
第1の乱数発生手段と前記通信路に接続し、前記乱数r1
と第1の端末の秘密情報x1の和をべきとし、前記pを法
とする前記第2の送信データC2のべき乗剰余値R1を算出
し、前記通信路を通じて第2の端末にデータR1を送信す
る第4の送信データ生成手段と、前記第1の乱数発生手
段と前記通信路に接続し、乱数r1をべきとし前記pを法
とする前記第2の端末から送信された第2の送信データ
C2のべき乗剰余値を、前記第2の端末との共有鍵とする
第1の共有鍵生成手段から構成され、前記第2の端末
は、前記第1の公開情報算出手段と前記第2の乱数発生
手段と前記通信路に接続し、前記乱数r2をべきとし前記
pを法とする前記C1とy1の積のべき乗剰余値を求め、こ
れと前記第1の端末から送信された第4の送信データR1
を比較してこれらが同じであることによって第1の端末
を認証する第2の認証手段と、前記第2の乱数発生手段
と前記通信路に接続し、乱数r2をべきとし前記pを法と
する前記第1の端末から送信された第1の送信データC1
のべき乗剰余値を前記第1の端末との共有鍵とする第2
の共有鍵生成手段から構成される。Means for Solving the Problems In order to achieve the above object, a key distribution method with a recognition function according to the present invention uses a communication path connecting between first and second terminals having unique identification information that does not overlap with each other. And a trusted center that issues a certificate by signing the public information generated by each terminal, when the certificate is issued, the first terminal generates secret information x1 and Using the number of publications p and the primitive element g of the remainder ring modulo p, x1 is raised to the power and the power remainder value g1 of g modulo the p
And notifies the center of this y1 as first public information, and the second terminal generates secret information x2, and calculates the power-of-greativity value y2 of g by multiplying x2 and modulating the p. The center notifies the center of the y2 as the second public information, and the center includes the identification information of the terminal in the first and second public information, applies a signature, generates a certificate, and distributes the certificate to each terminal. When the key is distributed, the first terminal connects to the communication path, stores the certificate of the first terminal distributed from the center, and transmits the certificate to the second terminal through the communication path. Certificate storing means, first random number generating means for generating a random number r1, connecting the first random number generating means to the communication path,
The power remainder value C1 of g modulo the p and the p
Is calculated, and the data C1 is transmitted to the second terminal through the communication path.
The second terminal is connected to the communication path, stores the certificate of the second terminal transmitted from the center, and transmits the second terminal through the communication path. Second certificate storage means for transmitting to one terminal;
First public information calculating means for obtaining first public information y1 of the first terminal from the certificate of the first terminal transmitted from the first terminal, and second random number generating means for generating a random number r2 When,
Connecting the second random number generating means to the communication path,
A second transmission data generating means for calculating a power remainder value C2 of g modulo the p and transmitting the data C2 to the first terminal through the communication channel; and a secret of the second terminal. First secret information storage means for storing information x2 and the first secret information storage means;
Secret information storing means, the second random number generating means, and the communication path, and the sum of the random number r2 and the secret information x2 of the second terminal is exponentiated, and the transmission data C1 modulo p is calculated. A third transmission data generating means for calculating a power-residue value R2 and transmitting data R2 to the first terminal through the communication path, wherein the first terminal transmits the second terminal transmitted from the second terminal. A second public information calculating means for obtaining public information y2 of the second terminal from a certificate of the second terminal, connecting the second public information calculating means, the first random number generating means and the communication path, The C2 and y2 modulo the random number r1 and the p
And a first authentication means for authenticating the second terminal by comparing the power residue value of the product of the second and the third transmission data R2 transmitted from the second terminal with each other. A second secret information storage unit for storing the secret information x1 of the first terminal, a second secret information storage unit, the first random number generation unit, and a connection to the communication path, wherein the random number r1
And the secret information x1 of the first terminal and calculate the power remainder value R1 of the second transmission data C2 modulo the p, and transmit the data R1 to the second terminal through the communication path. Fourth transmission data generating means, the first random number generating means, and the second transmission data transmitted from the second terminal modulo p by connecting to the communication path and modulating the random number r1.
The first terminal comprises a first shared key generation unit that uses a modular exponentiation value of C2 as a shared key with the second terminal, wherein the second terminal includes the first public information calculation unit and the second random number. A generator is connected to the communication path, a power of the product of C1 and y1 is obtained by modulating the random number r2 and modulating the p, and a fourth power transmitted from the first terminal is calculated. Data R1
And a second authentication means for authenticating the first terminal by the fact that they are the same, connecting the second random number generation means and the communication path, and applying a random number r2 to the p The first transmission data C1 transmitted from the first terminal
The second power residue value is used as a shared key with the first terminal.
Of shared key generation means.
作用 第2の端末は第1の端末の出力するチャレンジデータ
C1に対するレスポンスR2を、自分の秘密情報x2と自分の
生成した乱数r2を用いて生成する。従って、このレスポ
ンスは正規の第2の端末しか生成することができない。
第1の端末はこのレスポンスを、第2の端末の証明書か
ら得た正規の公開情報y2によって認証する。また、レス
ポンスに自分の生成した秘密の乱数r2を含めているた
め、第1の端末および第3者はレスポンスから第2の端
末の秘密情報x2を得ることはできない。同様に端末2は
チャレンジデータC2に対するレスポンスR1により端末1
を認証する。そして互いに相手を認証した後、相手から
のチャレンジデータを用いて共有鍵を求める。Action The second terminal is challenge data output from the first terminal.
A response R2 to C1 is generated using its own secret information x2 and its generated random number r2. Therefore, this response can only be generated by a legitimate second terminal.
The first terminal authenticates this response with the formal public information y2 obtained from the certificate of the second terminal. Further, since the response includes the secret random number r2 generated by itself, the first terminal and the third party cannot obtain the secret information x2 of the second terminal from the response. Similarly, the terminal 2 responds to the challenge data C2 by a response R1 to the terminal 1
Authenticate. After mutually authenticating each other, a shared key is obtained using challenge data from the other party.
実施例 第1図は、本発明の認証機能付き鍵配送方式の鍵配送
フェーズにおけるプロトコルを示す。証明書発行フェー
ズは従来例と同じである。Embodiment FIG. 1 shows a protocol in a key distribution phase of a key distribution system with an authentication function according to the present invention. The certificate issuing phase is the same as the conventional example.
(1)端末1は次のようにして配送情報C1を生成し、こ
れと自分の証明書Cert1を端末2に送付する。(1) The terminal 1 generates the delivery information C1 as follows, and sends this and its own certificate Cert1 to the terminal 2.
(a)乱数r1を発生する。 (A) Generate a random number r1.
(b)C1=gr1 modp (2)端末2は次のようにして配送情報C2を生成する。(B) C1 = gr1 modp (2) The terminal 2 generates the delivery information C2 as follows.
(a)乱数r2を発生する。 (A) Generate a random number r2.
(b)C2=gr2 modp また、前記C1に対するレスポンスとして以下のR2を生
成する。そして自分の証明書CERT2とともに前記C2,R2を
第1の端末に送信する。(B) C2 = gr2 modp Also, the following R2 is generated as a response to the C1. Then, it transmits the C2 and R2 together with its own certificate CERT2 to the first terminal.
R2=C1r2+x2 modp (3)端末1は端末2から送信された証明書Cert2から を計算し、センターが認めた端末2の公開鍵y2を得る。
次に、この公開鍵y2を用いて、 R2=(C2×y2)r1 modp が成り立つことを確かめる。もし成り立てば、通信相手
が端末2であることを認証し、次の計算で端末2との共
有鍵を求める。異なっていれば、この鍵配送プロトコル
を取りやめる。R2 = C1 r2 + x2 modp (3) Terminal 1 receives the certificate Cert2 transmitted from terminal 2 Is calculated, and the public key y2 of the terminal 2 recognized by the center is obtained.
Next, using this public key y2, it is confirmed that R2 = (C2 × y2) r1 modp holds. If this is the case, the communication partner is authenticated as the terminal 2, and a shared key with the terminal 2 is obtained by the following calculation. If they are different, cancel this key distribution protocol.
K12=C2r1 modp また、前記第2の端末からチャレンジC2に対するレス
ポンスとして以下のR1を生成する。そして第1の端末に
送信する。K12 = C2 r1 modp Also, the following R1 is generated as a response to the challenge C2 from the second terminal. Then, it transmits to the first terminal.
R1=C2r1+x1 modp (4)端末2は端末1から送信された証明書Cert1から を計算し、センターが認めた端末1の公開鍵y1を得る。
次に、この公開鍵y1を用いて、 R1=(C1×y1)r2 modp が成り立つことを確かめる。もし成り立てば、通信相手
が端末1であることを認証し、次の計算で端末1との共
有鍵を求める。異なっていれば、この鍵配送プロトコル
を取りやめる。R1 = C2 r1 + x1 modp (4) Terminal 2 receives certificate Cert1 transmitted from terminal 1 Is calculated, and the public key y1 of the terminal 1 recognized by the center is obtained.
Next, using this public key y1, it is confirmed that R1 = (C1 × y1) r2 modp holds. If this is the case, the communication partner is authenticated as the terminal 1, and a shared key with the terminal 1 is obtained by the following calculation. If they are different, cancel this key distribution protocol.
K21=C1r2 modp なお、K12=K21=gr1 × r2 modpである。K21 = C1 r2 modp Note that K12 = K21 = g r1 × r2 modp.
この実施例において、相手からチャレンジに対するレ
スポンスを生成するためには、正規の秘密情報が必要で
ある。そして、このレスポンスをセンターの認めた公開
情報を用いて確認する。このため、この方法は直接的な
相手認証を含んだ鍵配送方式であるといえる。なお、鍵
の共有は相手からうけたチャレンジを用いDH鍵配送方式
と同様にして行なう。また、鍵共有までの計算量につい
ては以下の通り評価する。なお、計算量の評価は、べき
乗剰余演算の回数を行なう。これは、安全性を確保する
(公開情報から端末の秘密情報を得ることを困難にす
る)ために各計算の法pの数を大きく(例えば512ビッ
ト)取ると、べき乗剰余演算が全体の計算時間のネック
となるためである。双方の端末ともに、 ・チャレンジの生成に1回 ・レスポンスの生成に1回 ・相手のレスポンスの正当性確認に1回 ・共有鍵の生成に1回 の計4回のべき乗剰余演算が必要である。従って、従
来の間接的な認証機能が付加された鍵配送方式に比べて
わずか1回のべき乗剰余演算が増加しているだけであ
る。なお、この実施例では、チャレンジとレスポンスを
用いた認証を鍵配送と合わせて構成したが、認証方式単
独として取り扱ってもよいことは言うまでもない。In this embodiment, in order to generate a response to the challenge from the other party, legitimate secret information is required. Then, the response is confirmed using the public information recognized by the center. For this reason, it can be said that this method is a key distribution method including direct partner authentication. The sharing of the key is performed in the same manner as in the DH key distribution method using the challenge received from the partner. The calculation amount up to key sharing is evaluated as follows. The calculation amount is evaluated by the number of power-residue calculations. This is because if the number of modulo p in each calculation is set to be large (for example, 512 bits) to ensure security (make it difficult to obtain the secret information of the terminal from the public information), the power-residue operation becomes This is because it becomes a time bottleneck. Both terminals require: • once to generate a challenge • once to generate a response • once to confirm the validity of the other party's response • once to generate a shared key, a total of four power-residue calculations are required . Therefore, only one exponentiation operation is increased compared to the conventional key distribution method to which an indirect authentication function is added. In this embodiment, the authentication using the challenge and the response is configured together with the key distribution. However, it goes without saying that the authentication may be handled as a single authentication method.
発明の効果 以上の説明から明らかなように本発明は、証明書を変
更せずに毎回の共有鍵を変更することができる。また、
相手を自身が発したチャレンジに対する応答を、センタ
ーの認めた相手の公開鍵を用いて直接的に確認する。チ
ャレンジとレスポンスによる相手認証では、レスポンス
に秘密の乱数を含めることによって端末の秘密情報を保
護している。また、これにかかる計算量はべき乗剰余演
算4回であり、間接的な認証しかできなかった従来の鍵
配送方式と比べても最小限の計算量の増加となってい
る。Effect of the Invention As is clear from the above description, the present invention can change the shared key each time without changing the certificate. Also,
The response to the challenge issued by the partner is directly confirmed using the public key of the partner recognized by the center. In partner authentication using a challenge and a response, the secret information of the terminal is protected by including a secret random number in the response. In addition, the amount of calculation involved is four exponentiation remainder operations, which is a minimum increase in the amount of calculation as compared with the conventional key distribution method in which only indirect authentication was possible.
第1図は本発明の認証機能付き鍵配送方式における一実
施例の鍵配送フェーズブロトコル図、第2図は従来にお
ける鍵配送フェーズプロトコル図である。FIG. 1 is a key distribution phase protocol diagram of one embodiment in a key distribution system with an authentication function of the present invention, and FIG. 2 is a conventional key distribution phase protocol diagram.
フロントページの続き (56)参考文献 Josep Domingo−Fer ver,Llorenc Huguet −Rotger,”Secure Ne twork Bootstrappin g An Algorithm for Authentic Key Exc hange and Digital Signatures,”Comput ers&Security,Vol. 9,No.2,(1990),p.145−152 (58)調査した分野(Int.Cl.6,DB名) G09C 1/00 - 5/00 H04L 9/00 - 9/38 H04K 1/00 - 3/00 JICSTファイル(JOIS) INSPEC(DIALOG)Continuation of the front page (56) References: Josep Domingo-Ferver, Llorenc Huguet-Rotger, "Secure Network Bootstrapping An Algorithm Information Authentic Key Authentic Key Authentic Key Authentic Key Authentic Key Authentic Key Agency. 2, (1990), p. 145-152 (58) Fields investigated (Int.Cl. 6 , DB name) G09C 1/00-5/00 H04L 9/00-9/38 H04K 1/00-3/00 JICST file (JOIS) INSPEC ( DIALOG)
Claims (1)
第2の端末と、端末間を結ぶ通信路と、各端末が生成し
た公開情報に署名を施して証明書を発行するセンターと
からなるシステムにおいて、証明書の発行時は、前記第
1の端末は秘密情報x1を生成し、システムで公開の数p
とpを法とする剰余環の原始元gを用いてx1をべきとし
前記pを法とするgのべき乗剰余値y1を算出し、このy1
を第1の公開情報としてセンターに通知し、前記第2の
端末は秘密情報x2を生成し、x2をべきとし前記pを法と
するgのべき乗剰余値y2を算出し、このy2を第2の公開
情報としてセンターに通知し、センターは前記第1、2
の公開情報に端末の識別情報を含めて、署名を施して証
明書を生成し、各端末それぞれに配付し、鍵配送時、前
記第1の端末は、前記通信路に接続し、前記センターか
ら配付された第1の端末の証明書を格納して、通信路を
通じて第2の端末に送信する第1の証明書格納手段と、
乱数r1を生成する第1の乱数発生手段と、前記第1の乱
数発生手段と前記通信路に接続し、前記r1をべきとし前
記pを法とするgのべき乗剰余値C1を算出して、前記通
信路を通じて第2の端末にデータC1を送信する第1の送
信データ生成手段から構成され、前記第2の端末は、前
記通信路に接続し、前記センターから送信された第2の
端末の証明書を格納して、通信路を通じて第1の端末に
送信する第2の証明書格納手段と、前記第1の端末から
送信された第1の端末の証明書から第1の端末の第1の
公開情報y1を求める第1の公開情報算出手段と、乱数r2
を生成する第2の乱数発生手段と、前記第2の乱数発生
手段と前記通信路に接続し、前記r2をべきとし前記pを
法とするgのべき乗剰余値C2を算出して、前記通信路を
通じて第1の端末にデータC2を送信する第2の送信デー
タ生成手段と、前記第2の端末の秘密情報x2を格納する
第1の秘密情報格納手段と、前記第1の秘密情報格納手
段と前記第2の乱数発生手段と前記通信路に接続し、前
記乱数r2と第2の端末の秘密情報x2の和をべきとし、前
記pを法とする前記送信データC1のべき乗剰余値R2を算
出し、前記通信路を通じて第1の端末にデータR2を送信
する第3の送信データ生成手段から構成され、前記第1
の端末は、前記第2の端末から送信された第2の端末の
証明書から第2の端末の公開情報y2を求める第2の公開
情報算出手段と、前記第2の公開情報算出手段と前記第
1の乱数発生手段と前記通信路に接続し、前記乱数r1を
べきとし前記pを法とする前記C2とy2の積のべき乗剰余
値を求め、これと前記第2の端末から送信された第3の
送信データR2を比較してこれらが同じであることによっ
て第2の端末を認証する第1の認証手段と、前記第1の
端末の秘密情報x1を格納する第2の秘密情報格納手段
と、前記第2の秘密情報格納手段と前記第1の乱数発生
手段と前記通信路に接続し、前記乱数r1と第1の端末の
秘密情報x1の和をべきとし、前記pを法とする前記第2
の送信データC2のべき乗剰余値R1を算出し、前記通信路
を通じて第2の端末にデータR1を送信する第4の送信デ
ータ生成手段と、前記第1の乱数発生手段と前記通信路
に接続し、乱数r1をべきとし前記pを法とする前記第2
の端末から送信された第2の送信データC2のべき乗剰余
値を、前記第2の端末との共有鍵とする第1の共有鍵生
成手段から構成され、前記第2の端末は、前記第1の公
開情報算出手段と前記第2の乱数発生手段と前記通信路
に接続し、前記乱数r2をべきとし前記pを法とする前記
C1とy1の積のべき乗剰余値を求め、これと前記第1の端
末から送信された第4の送信データR1を比較してこれら
が同じであることによって第1の端末を認証する第2の
認証手段と、前記第2の乱数発生手段と前記通信路に接
続し、乱数r2をべきとし前記pを法とする前記第1の端
末から送信された第1の送信データC1のべき乗剰余値を
前記第1の端末との共有鍵とする第2の共有鍵生成手段
から構成される認証機能付き鍵配送方式。A first device having unique identification information that does not overlap.
In a system comprising a second terminal, a communication path connecting the terminals, and a center for issuing a certificate by signing public information generated by each terminal, when the certificate is issued, the first terminal Generates secret information x1 and publishes p
Using the primitive element g of the remainder ring modulo p, x1 is exponentiated, and the power remainder value y1 of g modulo p is calculated.
To the center as first public information, the second terminal generates secret information x2, calculates a power remainder value y2 of g by modulating x2 and modulating p, and To the Center as public information of the first and second
The public information includes the identification information of the terminal, generates a certificate by applying a signature, distributes the certificate to each terminal, and distributes the key. At the time of key distribution, the first terminal connects to the communication path and First certificate storing means for storing the distributed first terminal certificate and transmitting the certificate to the second terminal via a communication path;
A first random number generating means for generating a random number r1, connecting the first random number generating means to the communication path, calculating a modular exponentiation value C1 of g by multiplying r1 and modulating p, A first transmission data generating unit for transmitting data C1 to a second terminal through the communication path, wherein the second terminal is connected to the communication path, and is connected to the second terminal transmitted from the center. Second certificate storing means for storing the certificate and transmitting the certificate to the first terminal through the communication path; and storing the certificate of the first terminal from the certificate of the first terminal transmitted from the first terminal. First public information calculating means for obtaining the public information y1 of the
A second random number generating means for generating a second power, a second power generating means for connecting the second random number generating means to the communication path, and calculating a power surplus value C2 of the power of g by modulating the power of r2 and modulating the power of p. Second transmission data generating means for transmitting data C2 to a first terminal through a path, first secret information storing means for storing secret information x2 of the second terminal, and first secret information storing means And the second random number generating means and the communication path are connected, the sum of the random number r2 and the secret information x2 of the second terminal is exponentiated, and the power remainder value R2 of the transmission data C1 modulo p is calculated as A third transmission data generating means for calculating and transmitting data R2 to the first terminal through said communication path;
The second public information calculating means for obtaining the public information y2 of the second terminal from the certificate of the second terminal transmitted from the second terminal; the second public information calculating means; The first random number generating means is connected to the communication path, and the power of the product of C2 and y2 obtained by exponentiating the random number r1 and modulating p is determined, and transmitted from this and the second terminal. First authentication means for comparing the third transmission data R2 and authenticating them by the fact that they are the same, and second secret information storage means for storing secret information x1 of the first terminal And the second secret information storing means, the first random number generating means, and the communication path are connected to each other, and the sum of the random number r1 and the secret information x1 of the first terminal is exponentiated, and p is modulo. The second
Calculating a power residue value R1 of the transmission data C2, transmitting the data R1 to the second terminal through the communication path, connecting to the first random number generating means and the communication path. The second power modulo the random number r1 and modulating the p
The first terminal comprises first shared key generation means that uses a power residue value of the second transmission data C2 transmitted from the first terminal as a shared key with the second terminal, and wherein the second terminal The public information calculation means, the second random number generation means, and the communication path are connected to each other, and the random number r2 is exponential and the p is modulo.
A second power that derives a power residue value of the product of C1 and y1, compares the fourth power data with the fourth transmission data R1 transmitted from the first terminal, and authenticates the first terminal when they are the same. The authentication means, the second random number generation means, and the communication path are connected to each other, and the power modulo value of the first transmission data C1 transmitted from the first terminal modulo the random number r2 and modulating the p is calculated. A key distribution system with an authentication function, comprising a second shared key generation unit that is used as a shared key with the first terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2237498A JP2870163B2 (en) | 1990-09-07 | 1990-09-07 | Key distribution method with authentication function |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2237498A JP2870163B2 (en) | 1990-09-07 | 1990-09-07 | Key distribution method with authentication function |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH04117826A JPH04117826A (en) | 1992-04-17 |
| JP2870163B2 true JP2870163B2 (en) | 1999-03-10 |
Family
ID=17016210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2237498A Expired - Fee Related JP2870163B2 (en) | 1990-09-07 | 1990-09-07 | Key distribution method with authentication function |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2870163B2 (en) |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05347617A (en) * | 1992-06-15 | 1993-12-27 | Toshiba Corp | Communication method for radio communication system |
| US5311596A (en) * | 1992-08-31 | 1994-05-10 | At&T Bell Laboratories | Continuous authentication using an in-band or out-of-band side channel |
| JP3485221B2 (en) * | 1996-03-27 | 2004-01-13 | 日本電信電話株式会社 | Computer system authentication method |
| JP3433413B2 (en) * | 1996-12-04 | 2003-08-04 | 富士ゼロックス株式会社 | User authentication device and method |
| JPH10301492A (en) | 1997-04-23 | 1998-11-13 | Sony Corp | Enciphering device and method therefor, decoding device and method therefor, and information processing device and method therefor |
| JPH11252070A (en) * | 1998-03-02 | 1999-09-17 | Kdd Corp | User certifying system |
| JPH11265349A (en) * | 1998-03-17 | 1999-09-28 | Toshiba Corp | Computer system and secret protection method, transmitting/receiving log management method, mutual checking method, and a disclosed key generation management method to be applied to its system |
| ES2760905T3 (en) * | 1998-10-30 | 2020-05-18 | Virnetx Inc | An agile network protocol for secure communications with assured system availability |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US6839759B2 (en) | 1998-10-30 | 2005-01-04 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network without user entering any cryptographic information |
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US6886095B1 (en) | 1999-05-21 | 2005-04-26 | International Business Machines Corporation | Method and apparatus for efficiently initializing secure communications among wireless devices |
| AU5084500A (en) * | 1999-05-21 | 2000-12-12 | International Business Machines Corporation | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices |
| JP2001111538A (en) * | 1999-10-05 | 2001-04-20 | Dainippon Printing Co Ltd | Communication system, method therefor, communication equipment and ic card |
| JP4366620B2 (en) * | 1999-12-15 | 2009-11-18 | 横河電機株式会社 | Agent-based production system |
| JP3719646B2 (en) * | 2000-09-13 | 2005-11-24 | 日本電信電話株式会社 | Communication partner authentication system and authentication communication terminal device thereof |
| JP4761336B2 (en) * | 2000-09-29 | 2011-08-31 | Kddi株式会社 | Proxy authentication method |
| JP3748052B2 (en) * | 2001-06-06 | 2006-02-22 | 三菱電機株式会社 | Content distribution server, content receiving terminal, encryption key communication device, content communication system, content communication method, encryption key communication method, program, and computer-readable recording medium recording the program |
| JP2003178369A (en) * | 2002-08-09 | 2003-06-27 | Sony Corp | Right management method, record regeneration method and right providing device |
| DE102006060760A1 (en) * | 2006-09-29 | 2008-04-10 | Siemens Ag | Subscribers authenticating method for radio frequency identification communication system, involves encrypting calculated response and certificate associated with subscriber in randomized manner, and decrypting and authenticating response |
| JP5182100B2 (en) * | 2007-02-15 | 2013-04-10 | 日本電気株式会社 | Key exchange device, key exchange processing system, key exchange method and program |
| JP4962117B2 (en) * | 2007-04-25 | 2012-06-27 | コニカミノルタホールディングス株式会社 | Encryption communication processing method and encryption communication processing apparatus |
| CN101159639B (en) | 2007-11-08 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | One-way access authentication method |
| CN100488099C (en) | 2007-11-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | Bidirectional access authentication method |
| JP2010246158A (en) * | 2010-07-13 | 2010-10-28 | Sony Corp | Encryption apparatus and method, and decryption apparatus and method |
| JP2013546033A (en) | 2010-09-24 | 2013-12-26 | エックスペッド ホールディングス ピーティワイ リミテッド | Remote control and remote control system |
| JP2012070430A (en) * | 2011-12-07 | 2012-04-05 | Sony Corp | Decoder and decoding method |
| JP2013017225A (en) * | 2012-09-18 | 2013-01-24 | Sony Corp | Encryption device and method |
| US9729517B2 (en) * | 2013-01-22 | 2017-08-08 | Amazon Technologies, Inc. | Secure virtual machine migration |
| JP2013192267A (en) * | 2013-06-12 | 2013-09-26 | Sony Corp | Encryption processing apparatus, encryption processing method, decryption processing apparatus, and decryption processing method |
| JP2013179701A (en) * | 2013-06-12 | 2013-09-09 | Sony Corp | Encryption device and method |
| JP2014064318A (en) * | 2013-12-05 | 2014-04-10 | Sony Corp | Encryption device and method |
| CN104954130B (en) * | 2014-03-31 | 2019-08-20 | 西安西电捷通无线网络通信股份有限公司 | A kind of method for authenticating entities and device |
| JP2014147109A (en) * | 2014-04-07 | 2014-08-14 | Sony Corp | Information processing apparatus and information processing method |
| JP2015019430A (en) * | 2014-10-15 | 2015-01-29 | ソニー株式会社 | Decoding device |
| JP2015043611A (en) * | 2014-10-15 | 2015-03-05 | ソニー株式会社 | Decoding device |
| CN107040369B (en) * | 2016-10-26 | 2020-02-11 | 阿里巴巴集团控股有限公司 | Data transmission method, device and system |
-
1990
- 1990-09-07 JP JP2237498A patent/JP2870163B2/en not_active Expired - Fee Related
Non-Patent Citations (1)
| Title |
|---|
| Josep Domingo−Ferver,Llorenc Huguet−Rotger,"Secure Network Bootstrapping An Algorithm for Authentic Key Exchange and Digital Signatures,"Computers&Security,Vol.9,No.2,(1990),p.145−152 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH04117826A (en) | 1992-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2870163B2 (en) | Key distribution method with authentication function | |
| JP4545831B2 (en) | Data card verification device | |
| US5029208A (en) | Cipher-key distribution system | |
| EP1582024B1 (en) | System, apparatus and method for replacing a cryptographic key | |
| Park | On certificate-based security protocols for wireless mobile communication systems | |
| CA2288192C (en) | Two way authentication protocol | |
| Bicakci et al. | Infinite length hash chains and their applications | |
| JPH02288746A (en) | Safety key generator and safety session key generating method in code system | |
| US20060215837A1 (en) | Method and apparatus for generating an identifier-based public/private key pair | |
| CN114710275B (en) | Cross-domain authentication and key negotiation method based on blockchain in Internet of things environment | |
| JP2001134534A (en) | Authentication delegate method, authentication delegate service system, authentication delegate server device, and client device | |
| JP2956709B2 (en) | Public key generation method and apparatus | |
| JP2948294B2 (en) | Terminal in key distribution system with authentication function | |
| JP3513324B2 (en) | Digital signature processing method | |
| JP2001308851A (en) | User authenticating method, storage medium, device and system | |
| GB2421407A (en) | Generating a shared symmetric key using identifier based cryptography | |
| Oishi et al. | Anonymous public key certificates and their applications | |
| Kwon | Virtual software tokens-a practical way to secure PKI roaming | |
| Horster et al. | Discrete logarithm based protocols | |
| JP3074164B2 (en) | Exclusive key agreement | |
| Fiore et al. | Identity-based key exchange protocols without pairings | |
| JP3275812B2 (en) | ID-authenticated key distribution method and apparatus, and machine-readable recording medium recording program | |
| JP2831685B2 (en) | Encryption communication method | |
| EP1768300B1 (en) | Key agreement and transport protocol with implicit signatures | |
| Saeednia | How to maintain both privacy and authentication in digital libraries |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |