JP2926699B2 - 通信パートナの認証方法及びシステム - Google Patents

通信パートナの認証方法及びシステム

Info

Publication number
JP2926699B2
JP2926699B2 JP6278074A JP27807494A JP2926699B2 JP 2926699 B2 JP2926699 B2 JP 2926699B2 JP 6278074 A JP6278074 A JP 6278074A JP 27807494 A JP27807494 A JP 27807494A JP 2926699 B2 JP2926699 B2 JP 2926699B2
Authority
JP
Japan
Prior art keywords
communication partner
communication
key
shared secret
authenticating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP6278074A
Other languages
English (en)
Other versions
JPH07212356A (ja
Inventor
フィリップ・ダブリュー・ロガウェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH07212356A publication Critical patent/JPH07212356A/ja
Application granted granted Critical
Publication of JP2926699B2 publication Critical patent/JP2926699B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、一般的には情報の流れ
を敵対者から保護するための方法に関し、より具体的に
は、通信パートナの身元を検査し、複数の通信パートナ
間でセッション・キーを分配するための方法に関する。
【0002】
【従来の技術】分散データ処理システムを使用して、機
密情報を共用し、やりとりする機会が増しているため、
コンピュータ業界および関連業界は、電話回線などの安
全でない通信チャネルおよびセルラー・ネットワークな
どの電磁方式の通信システムを介してやりとりされるデ
ータを保護するための既知の方法の改善および向上にさ
らに多くの注意を払っている。
【0003】長年に渡り業界が目標としてきたものは3
つある。まず1つ目として、分散データ処理システム内
の特定の通信パートナが、分散データ処理システム内の
他の通信パートナの身元を認証できることが重要であ
る。一般に、このエンティティ認証要件は、データ処理
システム内の2つまたはそれ以上の通信ノードに永続的
な(long-lived)共用秘密キーを置くことによって満た
される。たとえば、ユーザは、データ処理システム内の
ホスト・コンピュータも把握している秘密のパスワード
を所有することができる。認証が必要な場合は、この共
用秘密キーに基づいて一方の当事者をもう一方の当事者
に対して認証するか、あるいはそれぞれの当事者を残り
の当事者に対して認証するためのプロトコルが実行され
る。たとえば、DES暗号化などの従来の暗号化動作で
は、この永続的な共用秘密キーを使用することができ
る。最も一般的なのは、もう一方の通信パートナの認証
を希望する通信パートナが、ランダム・ビット・ストリ
ームの形式になっている「識別要求(challenge)」を
もう一方の通信パートナに送る方法である。認証の対象
となるパートナは、通常、永続的な共用秘密キーを使っ
てこの識別要求ビット・ストリームに対して暗号化動作
を実行してから、このデータを要求側に返す。このデー
タは解読されて、応答側が永続的な共用秘密キーを所有
しているかまたはそれを知っているかどうか、あるい
は、求めている応答を生成し、正しい回答に対する応答
を圧縮するための暗号化エンジンを要求側が使用してい
るかどうかを判別する。このような認証動作は、一方的
に行うか、相互に行うことができる。一方的な動作の場
合は、一方の当事者が分散データ処理システム内のもう
一方の当事者の身元の認証を取得する。相互エンティテ
ィ認証手順の場合は、通常、両方の当事者が相手側に対
して「識別要求」を出すが、この識別要求に対して正し
く応答しないと、通信ノード間の通信が可能にならな
い。
【0004】業界の2つ目の目標は、様々な通信パート
ナすべての認証を取得した後で分散データ処理システム
内の2人またはそれ以上の通信パートナが共用する、一
時的な(short-lived)秘密セッション・キーを生成し
て分配するための方法を提供することである。本発明に
よれば、一時的な秘密セッション・キーの分配は、エン
ティティ認証動作と緊密に結び付いている。セッション
・キーを使用すると、絶対的に必要な回数を上回るほど
永続的な共用秘密キーを使用する必要がなくなり、通信
パートナが関与する通信セッションで「再生攻撃(repl
ay attack)」から保護することがさらに有効であるこ
とを保証する。一般に、永続的な共用秘密キーの使用
は、エンティティ認証動作中に限られる。通信当事者の
認証の取得後、ただちに一時的な秘密セッション・キー
が分配され、特定のセッションの当事者間の通信に対し
て認証または暗号化あるいはその両方を実行できるよう
にするためにそのキーが使用される。
【0005】業界の3つ目の目標は、安全でない回線を
介してデータを受け取った通信当事者に対し、伝送中に
そのデータが変更されていないことを保証することであ
る。多くの場合、このようなメッセージ認証は、送信す
るメッセージと通信パートナ間で共用される秘密キーと
の関数として短い「認証タグ」を発信側が計算すること
によって行っている。この認証タグは、通常、当事者間
でやりとりされるデータ・ストリームに付加される。デ
ータ・ストリームと認証タグを受け取ると、受信側は、
独自の認証タグを生成するために送信側がデータ・セッ
トに対して行ったのと同じ動作を行うことで、認証タグ
を分析する。送信側の認証タグが受信側が認証したタグ
と完全に一致すると、データの受信側は、そのデータが
一切変更されていないという保証が得られる。この種の
保護対策は、活動的な敵対者(adversary)が安全でな
い通信チャネルに入り込んで、データを改ざんするのを
防止するものである。
【0006】通信パートナ間の安全な通信を可能にする
ためのセキュリティ・システムを考案する場合、一般
に、敵対者は、(1)受動的で、分散データ処理システ
ム内の当事者間のすべての通信を監視して記録するため
に盗聴作業を行うか、(2)活動的で、データまたは資
源へのアクセスを要求して、認証用の識別要求を発行し
たり、それに応答することで、分散データ処理システム
内の通信に実際に参加する可能性があるものとして想定
される。活動的な敵対者の能力は、受動的な敵対者の能
力すべてを含むものと見なされる。企図されるある種の
敵対攻撃(attack)は、監視および記録活動を行う初期
の受動期間と、それに続いて、監視活動中に入手したデ
ータをオフラインで分析して操作する期間、さらにそれ
に続いて、データおよびデータ処理資源へのアクセスを
要求する短い間隔の活動で構成される。あるいは、敵対
者は、単に受動的な監視および記録活動に関与し、その
後、分析し、データの各部分を暗号解読する試み、特
に、セッション・キーを回復する試みを行うだけの可能
性があるが、回復したセッション・キーは、当事者間で
送信され、敵対者が記録した暗号化データの解読に使用
される。
【0007】監視、記録、およびその後のオフライン分
析を行うだけの受動的な敵対者は、1人または複数の許
可通信当事者と対話せざるを得ない活動的な敵対者に比
べ、検出するのが難しいので、敵対者は受動的な攻撃を
好む。敵対者がオフライン分析の方を好むさらに重要な
理由は、通信チャネルに存在する帯域制限である。つま
り、敵対者は、システム体系によって定義され許可され
ている速度でしか通信パートナに話しかけることができ
ないが、オフライン分析は、敵対者のコンピューティン
グ資源の速度で実行することができる。したがって、敵
対者が受動的な活動中に有効なデータを収集するのを防
止できるデータ・セキュリティ・システムを提供するこ
とが特に重要である。また、永続的な共用秘密キーだけ
でなく、使われた可能性のある一時的な秘密セッション
・キーについても被害を防止できるようにセキュリティ
・システムを設計することが特に重要である。セキュリ
ティ・システムは、受動的な敵対者がオフライン分析中
に永続的または一時的なキーを正確に推測し、それから
オフライン活動中にその推測の正確さを確認するのを防
止できることが特に重要である。正確に推測したキーの
正確さを確認するためには、敵対者は1人または複数の
通信当事者と積極的に関わらざるを得ないことが重要で
ある。この種の保護対策は、「オフライン攻撃からの保
護」と呼ばれるもので、「辞書攻撃(dictionary attac
k)」と呼ばれるある種のオフライン攻撃の具体的な例
の場合に最もよく理解することができる。「辞書攻撃」
については、後述する。
【0008】辞書攻撃が効果的である理由は、エンティ
ティ認証に使用する永続的なキーがユーザのパスワード
に基づくもので、これらのパスワードの選び方が不適切
な場合がよくあるためである。多くのデータ処理システ
ムは、オペレータが自分のパスワードを選択できるよう
になっている。後でパスワードを思い出しやすくするた
め、ありふれた単語を選んでしまうのは当然のことであ
る。ユーザが固有の名前または普通名詞または動詞をパ
スワードとして使用することは、まれなことではない。
言語はかなり小さな固定集合なので、受動的な敵対者
が、1つまたは複数の特定の言語からなる候補を反復し
て推測し、盗聴活動中に以前のセッションで記録したト
ランスクリプトをこのような推測が「説明している」か
どうかを判断することは可能である。一致が判明する
と、通常、正確なパスワードに基づいて分配が行われる
一時的なキーのようにこのパスワードが回復される。当
然、辞書のサイズが非常に大きければ、この種のオフラ
イン攻撃がコンピュータ使用の上で大変な労力を要する
場合もあり得るが、処理速度や能力が継続的に大幅に進
歩しているため、この辞書に膨大な数の単語が収容され
ていても、このようなオフライン攻撃が実際的である。
【0009】
【発明が解決しようとする課題】本発明の一目的は、敵
対者が候補となるキーについて行う上記の推測ごとにそ
の正確さを1人または複数の通信当事者との対話により
確認せざるを得ないようにすることで、辞書攻撃などの
オフライン攻撃の影響を受けにくい、セキュリティ・シ
ステムを提供することである。
【0010】本発明の他の目的は、エンティティ認証動
作およびキー分配時に通信当事者間でやりとりしなけれ
ばならない通信の流れの数を最小限にする、セキュリテ
ィ・システムを提供することである。
【0011】本発明の他の目的は、先行技術による既存
のセキュリティ・システムに比べ、暗号化動作および解
読動作への依存度が低く、システム・セキュリティを最
大化するために、永続的な共用秘密キーまたはその派生
物を含む複数のパラメータに適用されるメッセージ認証
コードや暗号化ハッシュ関数などの変換への依存度がか
なり高い、セキュリティ・システムを提供することであ
る。
【0012】本発明の他の目的は、DESアルゴリズム
などの暗号化技術を従来通り利用する代わりに、エンテ
ィティ認証を行うために永続的な共用秘密キーまたはそ
の派生物を含む複数のパラメータに適用される1つまた
は複数のコンピュータによる不可逆性の変換を利用す
る、セキュリティ・システムを提供することである。実
施例では、この種の認証タグ方式のエンティティ認証を
指数キー交換と組み合わせて使用する。本方法は、2人
または3人の当事者を含む、一方的または多角的な認証
の実行に使用することができる。
【0013】
【課題を解決するための手段】上記およびその他の目的
は、以下に説明するように達成される。永続的な共用秘
密キーを所有していることによって通信パートナの信憑
性が判別される、安全でない通信チャネルでの通信パー
トナを認証するための方法を提供する。本方法はいくつ
かのステップを含む。最初のステップでは、通信パート
ナ間のデータの流れで「複合キー」が交換されるが、デ
ータの流れの少なくとも一部は、永続的な共用秘密キー
を使用できるように、暗号化されるか、その他の方法で
マスキングされている。次のステップでは、少なくとも
1つの認証タグが通信パートナ間でやりとりされるが、
少なくとも1つの認証タグは、少なくとも部分的に複合
キーに基づくものである。最後のステップでは、少なく
とも一方の通信パートナが認証タグを使用して、もう一
方の通信パートナの信憑性を判別する。本発明の実施例
では、少なくとも1つの認証タグは、(1)前記永続的
な共用秘密キーによって複数のパラメータを変換して生
成されるメッセージ認証コード、(2)永続的な共用秘
密キーおよび複数のその他のパラメータに対して適用さ
れる暗号ハッシュ関数、および(3)前記永続的なキー
によって変換され、複数のパラメータの暗号ハッシュを
介して生成される暗号化またはメッセージ認証コードの
うちの少なくとも1つを含む変換によって定義される。
第1の当事者と第2の当事者間で相互認証が必要な、本
発明の特定の実施例では、両当事者は、まず従来の秘密
キー交換を使用して複合キーの部分を交換する。ただ
し、米国特許第4241599号に記載されるように、
この交換の流れの一部または全部が暗号化される。次
に、第1および第2の通信当事者間で第1および第2の
認証タグが交換される。この認証タグは、第1および第
2の通信パートナのエンティティ認証を行うために分析
される。本発明の具体的な一実施例では、第1および第
2の通信パートナ間の通信の流れの数を最小限にするた
め、第1および第2の認証タグの少なくとも1つが、複
合セッション・キーの少なくとも一部とともに、第1お
よび第2の通信パートナ間でやりとりされる。本発明の
特定の実施例では、新たに分配したセッション・キーを
含む複数のパラメータにハッシュ関数を適用し、このハ
ッシュ関数の接頭部を認証タグとして使用することで認
証タグを生成する。
【0014】要約すると、本発明で提示されるのは、通
信パートナ間の安全でない通信チャネルを介して、エン
ティティ認証動作と一時的な秘密キーの分配動作をほぼ
同時に実行するための方法である。この方法では、通信
パートナの信憑性は、永続的な共用秘密キーの所有によ
って判別される。本方法は、いくつかのステップを含
む。複合キーを定義するために、通信パートナ間でデー
タの流れが交換される。データの流れの少なくとも一部
は、永続的な共用秘密キーを使用できるように暗号化さ
れているか、あるいはマスキングされている。少なくと
も1つの認証タグが、通信チャネルを介して通信パート
ナ間でやりとりされる。少なくとも1つの認証タグは、
その少なくとも一部が複合キーに基づくものである。認
証タグは、少なくとも一方の通信パートナの信憑性を判
別するために使用される。分散データ処理システムにお
ける主な商用応用例の1つを参照して本発明を説明する
が、本発明は汎用性のあるもので、考えられるどのよう
な通信チャネルでメッセージをやりとりする場合にも使
用でき、特に秘話通信に有効であることは明らかであ
る。
【0015】
【実施例】図1、図2、および図3は、データのやりと
りを保護するための先行技術を示す図である。これらの
先行技術を理解すると、図4および図5に示す本発明の
実施例が理解しやすくなる。
【0016】図1には、先行技術による3パス・メッセ
ージ認証方法を示す。図示の通り、AおよびBは通信パ
ートナで、永続的な共用秘密キーaを共用している。通
信パートナAおよびBは、安全でない(insecure)通信
チャネルを介して通信する。図1には3つのデータの流
れが示されている。第1のデータの流れは、通信パート
ナAから通信パートナBに送られるもので、エンティテ
ィ認証識別要求を表すランダム・ビット・ストリングR
Aを含む。第1のデータの流れは、任意のテキスト・ス
トリングText1も含む。通信パートナBは、ランダ
ム・ビット・ストリングRB、任意のテキスト・ストリ
ングText2、および変換h1の結果であるビット・
ストリングを通信パートナAに送ることによって、第1
の通信の流れに応答する。この変換h1は、変換キーと
して永続的な共用秘密キーaを使用し、通信パートナA
およびBの識別コード、通信パートナAおよびBによっ
て生成された認証識別要求RAおよびRB、ならびにテキ
スト・ストリングText1およびText2を含む複
数のデータ項目に適用される。
【0017】通信パートナAは永続的な共用秘密キーa
を所有しているので、パートナAは、変換ha 1を使用し
た結果として通信パートナBが提供するものと同一の
(第2の流れが正しく計算され、送信したとおりに受信
される場合)ビット・ストリームを生成するために、通
信パートナBからの認証識別要求RBを使用することが
できる。通信パートナBが、通信パートナAが生成した
ものと同一であるビット・ストリームを変換ha 1を使用
して生成するには、永続的な共用秘密キーを所有してい
ることが必要なので、通信の流れ2の終了時に、通信パ
ートナAは通信パートナBが「本物」であることを確認
できる。
【0018】第3の通信の流れでは、通信パートナA
が、Text3と、認証識別要求RBおよびText3
に変換ha 2を適用した結果とを送出する。通信パートナ
Bは、通信パートナAが提供するものに匹敵するビット
・ストリームを生成するために、永続的な共用秘密キー
a、認証識別要求RB、Text3、および変換h2を使
用することができる。両方のビット・ストリームが同じ
であれば、通信パートナBは、通信パートナAが「本
物」であることを確認できる。図1に示した方法は、M.
BellareおよびP. Rogawayによる"Entity Authenticati
on and Key Distribution"(Springer-VerlagによってT
he Proceeding of Crypto '93で発表)でさらに詳しく
論じられている。基本的に、図1の方法では、従来のエ
ンティティ認証識別要求方法が、従来のメッセージ認証
方法と組み合わせて使用されている。
【0019】図2は、"New Directions in Cryptograph
y"(IEEE Transactions On Information Theory, IT-2
2, No.6, 1976)という論文に記載された、W. Diffieお
よびM. Hellmanの教示による従来のキー交換を示してい
る。この方法は、具体的にはDiffie-Hellmanキー交換と
呼ばれる場合もある。この方法の目的は、特定の通信セ
ッションに使用できる共用秘密キーを生成するために結
合できる情報を公に交換することである。このプロトコ
ルによれば、通信パートナAは、一定の素数pの乗法群
モジュロなどの公知のベキ数群から秘密に選択されたベ
キ数αで公知の基数gを累乗することによって生成した
ビット・ストリームを通信パートナBに送る。通信パー
トナBは、αが選択されたのと同じ公知のベキ数群から
秘かに選択したベキ数βで公知の基数gを累乗すること
によって生成したビット・ストリームを通信パートナA
に送ることで、通信の流れ2で応答する。共用秘密キー
σは、上記2つの通信の流れで通信パートナAとBとの
間でやりとりされる情報を使用して生成される。図2に
示すように、共用秘密キーσは、gのα乗とgのβ乗と
の指数積に適用される変換H1の関数である。αおよび
βの値は、事前に定義された一連の整数から通信パート
ナAおよびBが任意に選択したものであることが好まし
い。
【0020】Diffie-Hellmanキー交換は、受動的な敵対
者の影響を受ける可能性があるが、活動的な敵対者の影
響を受けない通信チャネルでのみ有効である。つまり、
通信チャネルが敵対者による対話の影響を受けやすい場
合、敵対者は、通信パートナAまたはBを装い、許可を
受けた当事者から情報を入手するのに使用できる共用秘
密キーの生成を開始することができるので、Diffie-Hel
lmanキー交換プロトコルはあまり有効ではない。
【0021】図2のDiffie-Hellmanキー交換プロトコル
のような従来のキー交換方法は、BellovinおよびMerrit
tによって"Encrypted Key Exchange: Password Based P
rotocol Secure Against Dictionary Attacks"(IEEE S
ymposium On Research And Security And Privacy, 199
2の議事録に掲載)という論文に詳しく述べられている
と同時に、米国特許第5241599号の主題でもあ
る。BellovinおよびMerrittの方法の裏にある広い概念
は、図3に示されている。図示の通り、通信パートナA
およびBは永続的な秘密キーaを共用する。図3には2
つの通信の流れが示されているが、さらに通信の流れを
追加することも可能である。第1の通信の流れでは、通
信パートナAは、公知の基数gに対して、任意に選択さ
れた秘密キーα(一定の基礎群から拾った認証キー)を
指数として適用し、永続的な共用秘密キーaを用いるマ
スキング変換Ea 1でgのα乗を表すビット・ストリーム
を暗号化する。第2の通信の流れでは、通信パートナB
は、基数gに対して、任意に選択された秘密キーβを指
数として適用し、gのβ乗によって生成されたビット・
ストリームに対し、変換Ea 2を適用することで応答して
いる。この方法によれば、この対話の結果として生成さ
れたキーは、特定の関数H1の場合のH1(gのαβ乗)
に等しいσになる。このプロトコルでは、変換E1およ
びE2は排他的論理和演算またはその他のマスキング演
算にすることができる。この方法を使用して、Bellovin
およびMerrittは、Diffie-Hellmanキー交換により、活
動的な敵対者と受動的な敵対者のどちらについても安全
な一時的なセッション・キーを定期的に生成するのに使
用できるプロトコルを考案した。交換するデータが、永
続的な共用秘密キーaを変換キーとして用いる変換によ
って暗号化され、その結果、辞書攻撃などの受動的なオ
フライン攻撃の影響を受けなくなるため、通信の流れ1
および2に含まれる情報は盗聴の影響を受けない。
【0022】本発明の一実施例について、図4を参照し
て説明する。本発明は、以下の結果を同時に得るのに使
用できるセキュリティ・プロトコルを提示する。その結
果とは、(1)通信システムにおいて2人またはそれ以
上の当事者間のエンティティ認証に対応すること、
(2)通信システムにおいて当事者間でやりとりされる
メッセージのエンティティ認証を達成するために、暗号
化の代わりにタグを使用すること、(3)通信システム
内の2人またはそれ以上の当事者が一時的なセッション
・キーを分配できるようにすること、(4)エンティテ
ィ認証およびセッション・キーの分配の目的が、通信シ
ステム内の複数の当事者間の最低数の通信の流れで達成
され、特に、それぞれの特定のデータの流れでエンティ
ティ認証とキー分配という目標をほぼ同時に追求するこ
とによって達成されること、(5)通信システムがオフ
ライン攻撃に対して安全で、特に、辞書攻撃に対して安
全であること、および(6)敵対者が永続的なキーの知
識を利用して記録したセッションの機密性に害を及ぼさ
ないようにする、セキュリティ・システムの完璧で前向
きな機密性を提供することである。
【0023】図4に示すように、この実施例では、永続
的な秘密キーaを共用する通信パートナAおよびBの間
に3つの連続するデータの流れが必要であるが、代替実
施例では、データの流れの特定部分を個別の通信用に分
離することで、さらに多くのデータの流れ、たとえば、
4つまたは5つのデータの流れで本発明の諸目的を達成
できるはずである。
【0024】図4のシナリオでは、通信パートナAは通
信パートナBにText1を渡そうとしている。通信パ
ートナBは、通信パートナAにText2を送ることで
応答する。次に通信パートナAは、通信パートナBにT
ext3を送ることで通信パートナBに応答する。この
データ交換の間、通信パートナAおよびBは、それぞれ
の通信が「本物」の発信源によって生成されていること
と、テキスト・メッセージまたはデータが敵対者によっ
て一切変更されていないことを確認したいと考えてい
る。また、これらの通信パートナは、その後のメッセー
ジ認証または暗号化あるいはその両方に使用する最新の
セッション・キーを分配したいと考えている。このよう
な目標を達成するため、第1の通信の流れで通信パート
ナAは、Text1とともに、暗号化またはその他の方
法でマスキングを行ったビット・ストリームを通信パー
トナBに送る。より具体的には、通信パートナAは、図
2に示した前述のDiffie-Hellmanキー交換により、αを
選択する。αは、モジュルpの整数の乗法的群からO及
びp−2の間で任意に選択する。任意に選択したαを公
知の基数gに指数として適用し、数値gのα乗に対して
変換E1を行う。この変換E1は、永続的な共用秘密キー
aを変換キーとして用い、gのα乗と永続的な共用秘密
キーaとを使用して行う排他的論路和演算を含むことが
できる。通信の流れでは、この動作はEa 1として表され
る。したがって、従来の秘密キー交換の第1の流れに対
して変換Ea 1によるマスキングが行われる。
【0025】第2の通信の流れでは、通信パートナB
は、テキスト部分Text2と、2つのその他の構成要
素を通信パートナAに送る。第1の構成要素は、Diffie
-Hellmanキー交換モデルなどの従来のキー交換の第2の
流れである。より具体的には、通信パートナBは、αが
選択された整数の組から任意のβを選択する。任意に選
択したβを公知の基数gに指数として適用する。数値g
のβ乗については、永続的な共用秘密キーaを変換キー
として用い、その結果、通信の流れ2でEa 2として表さ
れる変換E2を行うことができる。第2の構成要素は、
マスキング変換h1を適用した結果である。このマスキ
ング変換h1は、永続的な共用秘密キーaを変換キーと
して用い、通信パートナBの識別コード、通信パートナ
Aの識別コード、第1のデータの流れで送信されたテキ
スト部分Text1、第2のデータの流れで送信された
テキスト部分Text2、およびEa 1(gのα乗)とE
a 2(gのβ乗)の変換を含む複数のパラメータに適用さ
れる。さらに、σも変換ha 1の対象になるが、σは、図
2のDiffie-Hellmanプロトコルにより、gのαβ乗モジ
ュロpとして定義される。
【0026】このようにして、最初の2つの通信の流れ
では、通信パートナAおよびBが、2つのテキスト部分
だけでなく、σとして定義された一時的な(セッショ
ン)キーを共同定義する2つの流れも交換する。ただ
し、このキーの流れは、永続的な共用秘密キーaにアク
セスできない敵対者にとって役に立たないものになるよ
うに暗号化が行われている。第2の通信の流れでは、変
換ha 1によって生成されたビット・ストリームが2重の
機能を果たしている。1つは、Text1とText2
のデータに対してメッセージ認証手順を実行すること
で、もう1つは、(σまたはaを含むパラメータ群に暗
号化変換h1を適用することで)通信パートナAに対し
て通信パートナBが本物であると認証することである。
【0027】第3の通信の流れでは、テキスト部分Te
xt3が通信パートナAから通信パートナBに送信され
る。さらに、暗号変換h2は、永続的な共用秘密キーa
を変換キーとして用い、Ea 2により変換が行われる変換
済みの複合キー部分gのβ乗、テキスト部分Text
3、およびセッション・キーを表すσを含む、少なくと
も3つのパラメータに適用される。この第3の通信の流
れの結果、通信パートナAは、暗号化変換ha 2が行われ
るパラメータにσを含めることで、自分自身が本物であ
ることを通信パートナBに対して認証している。同時
に、変換ha 2がメッセージ認証変換として機能するの
で、Text3に含まれるデータの正確さが保証され
る。
【0028】本発明の実施例では、変換E1、E2
1、およびh2の暗号化または暗号変換関数を実行する
ために、複数の従来の変換を使用することができる。た
とえば、暗号化または暗号変換Ea 1では、gのα乗に対
する永続的な共用秘密キーaの排他的論理和を取ること
ができる。ビット・ストリームgのβ乗に対する永続的
な共用秘密キーaの排他的論理和は、暗号変換E2とし
て使用することができるはずである。
【0029】本発明によれば、暗号化またはマスキング
変換h1およびh2は、(1)永続的な共用秘密キーaを
変換キーとして用い、σまたは複合キー部分を含む複数
のパラメータに適用されるメッセージ認証コード演算、
または(2)永続的な共用秘密キーaを変換キーとして
用い、複合セッション・キーσまたは複合セッション・
キーの一部を含む複数のパラメータに適用される暗号ハ
ッシュ関数、または(3)永続的なキーaを変換キーと
して用い、複数のパラメータの暗号ハッシュに対して生
成される暗号化またはメッセージ認証コードのいずれか
であることが好ましい。
【0030】本発明の実施例では、変換ha 1およびha 2
は、従来のメッセージ認証コード方法または従来のハッ
シュ関数のいずれかである。メッセージ認証コード演算
の目的を達成するための機構は数多く存在するが、主な
機構は以下のものを含む。 (1)"CBCaC(x)"として表される、永続的な秘
密キーaの下で特定のビット・ストリームのブロック暗
号α(すなわち、暗号ブロック連鎖)を使用したCBC
暗号の最後のワードの接頭部 (2)"hash(x,a)"として表される、特定のビット
・ストリームと永続的な共用秘密キーaとの暗号ハッシ
ュの接頭部 (3)"CBCa(hash(x,a))"として表され、上
記の演算(2)の暗号ハッシュ関数について行われる暗
号ブロック連鎖演算の接頭部を生成する上記(1)の演
算と(2)の演算の組合せ (4)"Encryption(hash(x))"として表すことがで
きる、ハッシュ演算と暗号化演算(DESアルゴリズム
など)の組合せ。
【0031】メッセージ認証コード演算 メッセージ認証コード(Message Authentication Cod
e:MAC)は、通信の信憑性を保証するために暗号化
で使用される。このようなタイプの演算は、「メッセー
ジ認証演算」と呼ばれることが多い。通常、メッセージ
認証演算によって、受信側は、メッセージの発信元と宛
先、内容、適時性、通信者間でやりとりされる他のメッ
セージとの相対的な順序を確認することができる。
【0032】メッセージ認証コード(MAC)演算を実
行するために様々なアルゴリズムを使用することができ
るが、最もよく知られている正式体系はDES MODES OF O
PERATION、より具体的には、1980年12月2日にNa
tional Bureau of Standardsから発行されたFederal In
formation Processing Standards Publication, FIPSPU
B 81に記載されている。暗号ブロック連鎖(Cipher Blo
ck Chaining:CBC)モードは、非暗号テキストを暗
号化するのに使用することが好ましいが、この非暗号化
テキストは、長さが64ビットの倍数であることが必要
な場合は(ゼロ・ビットなどで)埋込みを行わなければ
ならない。MACは、暗号テキストの最後のkビットで
構成され、残りのビットは破棄される。このプロセス
は、C. H.MeyerおよびS. M. Matyasによる"Cryptograph
y: A New Dimension in ComputerData Security"(John
Wiley & Sons, New York, 1982)という論文で論じら
れている。暗号ブロック連鎖モードの演算でDESアル
ゴリズムを使用すると、十分確立した順方向エラー伝播
特性が立証される。このため、非暗号テキストで単一ビ
ット程度の変化があると、MAC内のすべてのビットが
予定外に変更され、各ビットの確率が50%になる恐れ
がある。長さがkビットのMACを使用して、認証すべ
き関連メッセージとともにMACを送信し、その部分を
宛先で受信されたメッセージについて再計算すると、送
信したメッセージが改ざんされた場合に受信したMAC
が再計算したMACと一致する確率はわずか2-kにな
る。kとして十分大きい値を選択すれば、この確率を所
望の低い数値にすることができる。
【0033】本発明の実施例では、暗号ブロック連鎖演
算を使用して、メッセージ認証コード(MAC)を生成
する。暗号ブロック連鎖で使用するDES演算は、特定
の秘密キーを変換キーとして用いている。本明細書で論
じる実施例では、秘密キーを用いてメッセージ認証コー
ド(MAC)を変換することで、メッセージ認証コード
変換の結果として生成される認証タグが1人または複数
の通信当事者を確実に認証できるようにしている。
【0034】IEEE Communications Magazineの第23
巻、No.9に掲載された、R. R. Jueneman、S. M. Ma
tyas、およびC. H. Meyerによる論文"Message Authenti
cation"には、暗号ブロック連鎖演算に代わる方法が記
載されている。
【0035】認証プロトコルの応用例 本発明のプロトコルは、分散データ処理システムの1人
または複数の通信パートナを認証するために分散データ
処理システムで使用することができる。このような環境
では、1台または複数のデータ処理装置が承認された媒
介物の各種機能を実行する。図5は、本明細書に記載し
たプロトコルを実行できるようにプログラミング可能な
分散データ処理システム8を示す。
【0036】図5に示すように、分散データ処理システ
ム8は、ローカル・エリア・ネットワーク(LAN)1
0および32などの複数のネットワークを含んでもよい
が、それぞれのネットワークは、複数の個別のコンピュ
ータ12および30をそれぞれ含むことが好ましい。当
然のことながら、当業者は、ホスト・コンピュータに連
結した複数の高機能ワークステーションをそれぞれのネ
ットワークに使用できることを認識できるだろう。この
ような分散データ処理システムでは一般的なように、そ
れぞれの個人用コンピュータは、記憶装置14またはプ
リンタ/出力装置16あるいはその両方に連結してもよ
い。複数のユーザが同時にまたは連続してアクセスして
処理することができる各種の「グループウェア」アプリ
ケーションまたは文書を格納するために、本発明の方法
およびシステムにより、1台または複数のこのような記
憶装置14を使用してもよい。さらに、従来技術によ
り、グループウェア・アプリケーションおよび文書を含
む、データ処理資源を管理するための1台または複数の
システムを含めてもよい。
【0037】さらに図5を参照すると、分散データ処理
システム8はメインフレーム・コンピュータ18などの
複数のメインフレーム・コンピュータも含むことがで
き、そのメインフレーム・コンピュータは好ましくは通
信リンク22によりローカル・エリア・ネットワーク
(LAN)10に連結できるものであることが分かるだ
ろう。メインフレーム・コンピュータ18は、ローカル
・エリア・ネットワーク(LAN)10用の遠隔記憶装
置として機能できる記憶装置20に連結することがで
き、通信制御装置26および通信リンク34を介してゲ
ートウェイ・サーバ28に連結することもできる。ゲー
トウェイ・サーバ28は、ローカル・エリア・ネットワ
ーク(LAN)32をローカル・エリア・ネットワーク
(LAN)10にリンクする機能を果たす個別のコンピ
ュータまたは高機能ワークステーション(IWS)であ
ることが好ましい。
【0038】ローカル・エリア・ネットワーク(LA
N)32およびローカル・エリア・ネットワーク(LA
N)10に関連して前述した通り、複数のデータ・オブ
ジェクト、アプリケーション・プログラム、およびデー
タ・ファイル、グループウェア・プログラムまたはグル
ープウェア文書は、記憶装置20内に格納し、このよう
に格納したデータ・オブジェクトおよび文書用の資源マ
ネージャまたはライブラリ・サービスとして、メインフ
レーム・コンピュータ18で制御することができる。当
業者は、このようなデータ・オブジェクト、アプリケー
ション・プログラム、データ・ファイル、グループウェ
ア・アプリケーション、またはグループウェア文書に対
する同時アクセスまたは連続アクセスと同時に、制限付
きアクセスを許可して、グループ作業の有益な共同効果
に対応することが望ましい場合が多いことを認識できる
だろう。さらに、当業者は、メインフレーム・コンピュ
ータ18はローカル・エリア・ネットワーク(LAN)
10から地理的にかなり離れた位置に配置でき、同様
に、ローカル・エリア・ネットワーク(LAN)10は
ローカル・エリア・ネットワーク(LAN)32からか
なり離れた位置に配置できることを認識できるだろう。
つまり、ローカル・エリア・ネットワーク(LAN)3
2をカリフォルニアに配置する一方、ローカル・エリア
・ネットワーク(LAN)10をテキサスに配置し、メ
インフレーム・コンピュータ18をニューヨークに配置
してもよい。
【0039】その他の重要な利点 本発明は、通信パートナを認証すると同時に一時的なセ
ッション・キーを通信パートナに分配するための安全か
つ効率的な手段を提供し、もって「完璧で前向きな機密
性」を提供する。つまり、敵対者が永続的な秘密キーを
手に入れた場合、永続的な秘密キーを使用して分配した
一時的なセッション・キーが被害を受けないことを意味
する。言い換えれば、永続的なキーを知っているか所有
していても、敵対者は、一時的なキーに関する利点が得
られない。このため、敵対者が一時的なセッション・キ
ーも知っているか所有していない限り、記録したセッシ
ョンを「破壊」することができない。もう1つの重要な
利点は、一方の特定の当事者から相当量の情報を得るた
めに、敵対者が通信パートナを装い、連続してまたは順
番に複数の通信パートナに関わり、その情報を使用して
もう一方の通信当事者より優位に立つような「インタリ
ーブ攻撃(interleaving attack)」から本発明のプロ
トコルが完全に保護されていることである。この種のイ
ンタリーブ攻撃は、通常、文献では「セッション」攻撃
と呼ばれている。最も一般的な形態では、活動的な敵対
者が2人の別々の通信パートナとの通信を開始し、一方
のパートナから受信した通信を使用して、もう一方のパ
ートナとのキー交換に入る。本発明は、この種の攻撃か
ら完全に保護されている。
【0040】
【発明の効果】本発明は、通信パートナを認証すると同
時に一時的なセッション・キーを通信パートナに分配す
るための安全かつ効率的な手段を提供し、もって「完璧
で前向きな機密性」を提供する。つまり、敵対者が永続
的な秘密キーを手に入れた場合、永続的な秘密キーを使
用して分配した一時的なセッション・キーが被害を受け
ないことを意味する。言い換えれば、永続的なキーを知
っているか所有していても、敵対者は、一時的なキーに
関する利点が得られない。このため、敵対者が一時的な
セッション・キーも知っているか所有していない限り、
記録したセッションを「破壊」することができない。も
う1つの重要な利点は、一方の特定の当事者から相当量
の情報を得るために、敵対者が通信パートナを装い、連
続してまたは順番に複数の通信パートナに関わり、その
情報を使用してもう一方の通信当事者より優位に立つよ
うな「インタリーブ攻撃(interleaving attack)」か
ら本発明のプロトコルが完全に保護されていることであ
る。この種のインタリーブ攻撃は、通常、文献では「セ
ッション」攻撃と呼ばれている。最も一般的な形態で
は、活動的な敵対者が2人の別々の通信パートナとの通
信を開始し、一方のパートナから受信した通信を使用し
て、もう一方のパートナとのキー交換に入る。本発明
は、この種の攻撃から完全に保護されている。
【図面の簡単な説明】
【図1】先行技術による2当事者間のメッセージ認証を
示す図である。
【図2】先行技術による従来のキー交換、すなわち、Di
ffie-Hellmanキー交換などの指数キー交換を示す図であ
る。
【図3】BellovinおよびMerrittの教示による先行技術
のキー交換を示す図である。
【図4】本発明の一実施例による2当事者間の相互認証
動作を示す図である。
【図5】本発明の認証動作を実行するためにプログラミ
ング可能な分散データ処理システムを示す図である。
【符号の説明】
A 通信パートナ B 通信パートナ a 永続的な共用秘密キー Text1 テキスト・ストリング Text2 テキスト・ストリング Text3 テキスト・ストリング Ea 1 変換 Ea 2 変換 ha 1 変換 ha 2 変換 g 基数 α 秘密キー β 秘密キー σ 一時的なセッション・キー
フロントページの続き (56)参考文献 特開 平2−305039(JP,A) 特開 平1−99159(JP,A) 欧州特許出願公開535863(EP,A 2) 欧州特許出願公開223122(EP,A 2) 欧州特許出願公開661844(EP,A 2) 欧州特許出願公開307627(EP,A 1) (58)調査した分野(Int.Cl.6,DB名) H04L 9/00 - 9/38 G09C 1/00 - 5/00 G06F 15/00

Claims (18)

    (57)【特許請求の範囲】
  1. 【請求項1】安全でない通信チャネルの通信パートナの
    信憑性を永続的な共用秘密キーの所有によって判別す
    る、通信パートナを認証する方法において、 (a)第1の要素及び第2の要素によって規定される複
    合キーの第1の要素を前記永続的な共用秘密キーにより
    暗号化したもの、及び第1のテキスト・データを含むデ
    ータ流を第1の通信パートナから第2の通信パートナに
    通信するステップと、 (b)前記第1の通信パートナから第2の通信パートナ
    への通信に応答して、前記複合キーの第2の要素を前記
    永続的な共用秘密キーにより暗号化したもの,及び前記
    第1の通信パートナから第2の通信パートナに通信され
    たデータ流を前記永続的な共用秘密キーにより変換した
    ものを含むデータ流を第2の通信パートナから第1の通
    信パートナに通信するステップと、 (c)前記第2の通信パートナから第1の通信パートナ
    に通信されたデータ流を使用して、前記第2の通信パー
    トナの信憑性及び前記第1のテキスト・データの認証を
    前記第1の通信パートナにおいて判別するステップと、 を含む方法。
  2. 【請求項2】前記複合キーの第1の要素は指数関数の第
    1の指数要素であり、 前記複合キーの第2の要素は指数関数の第2の指数要素
    である、 ことを特徴とする請求項1に記載の通信パートナを認証
    する方法。
  3. 【請求項3】前記第1の指数要素が、公知の基数と、前
    記第1の通信パートナが事前に定義された整数群から選
    択した任意の秘密の指数とを含むことを特徴とする、請
    求項2に記載の通信パートナを認証する方法。
  4. 【請求項4】前記第2の指数要素が、公知の基数と、前
    記第2の通信パートナが事前に定義された整数群から選
    択した任意の秘密の指数とを含むことを特徴とする、請
    求項3に記載の通信パートナを認証する方法。
  5. 【請求項5】(d)第2の通信パートナから第1の通信
    パートナに通信されるデータ流が第2のテキスト・デー
    タを含み、 (e)第2の通信パートナから第1の通信パートナに通
    信されるデータ流に応答して、第3のテキスト・データ
    と、該第3のテキスト・データ及び前記複合キーを前記
    永続的な共用秘密キーにより暗号化したものを含むデー
    タ流を第1の通信パートナから第2の通信パートナに通
    信する前記第1の通信パートナにある手段を更に含む事
    を特徴とする請求項1に記載の通信パートナを認証する
    方法。
  6. 【請求項6】前記複合キーがgのαβ乗で表され、 第1の通信パートナのために、特定のg及び事前に定義
    された群から秘密に選択されたαの値からgのα乗の値
    を計算するサブステップと、 第2の通信パートナのために、前記特定のg及び事前に
    定義された群から秘密に選択されたβの値からgのβ乗
    の値を計算するサブステップと、 前記安全でない通信チャネルを介して前記第1および第
    2の通信パートナ間で行われる通信を保護する場合に一
    時的な共用秘密キーとしての複合キーであるgのαβ乗
    を生成するサブステップとを含む、請求項2に記載の通
    信パートナを認証する方法。
  7. 【請求項7】前記複合キーの一部がgのα乗で表され、
    永続的な共用秘密キーを用いて前記gのα乗の値を変換
    するサブステップと、 前記複合キーの別の一部がgのβ乗で表され、永続的な
    共用秘密キーを用いて前記gのβ乗の値を変換するサブ
    ステップと、 を含む、請求項1に記載の通信パートナを認証する方
    法。
  8. 【請求項8】前記変換が排他的論理和演算を含む、請求
    項7に記載の通信パートナを認証する方法。
  9. 【請求項9】前記変換が暗号化演算を含む、請求項7に
    記載の通信パートナを認証する方法。
  10. 【請求項10】安全でない通信チャネルの通信パートナ
    の信憑性を永続的な共用秘密キーの所有によって判別す
    る、第1の通信パートナと第2の通信パートナとの間で
    通信パートナを認証するシステムにおいて、 (a)第1の要素及び第2の要素によって規定される複
    合キーの第1の要素を前記永続的な共用秘密キーにより
    暗号化したもの、及び第1のテキスト・データを含むデ
    ータ流を第1の通信パートナから第2の通信パートナに
    通信する前記第1通信パートナにある手段と、 (b)前記第1の通信パートナから第2の通信パートナ
    への通信に応答して、前記複合キーの第2の要素を前記
    永続的な共用秘密キーにより暗号化したもの,及び前記
    第1の通信パートナから第2の通信パートナに通信され
    たデータ流を前記永続的な共用秘密キーにより変換した
    ものを含むデータ流を第2の通信パートナから第1の通
    信パートナに通信する前記第2通信パートナにある手段
    と、 (c)前記第2の通信パートナから第1の通信パートナ
    に通信されたデータ流を使用して、前記第2の通信パー
    トナの信憑性及び前記第1のテキスト・データの認証を
    前記第1の通信パートナにおいて判別する前記第1通信
    パートナにある手段と、 を含むシステム。
  11. 【請求項11】前記複合キーの第1の要素は指数関数の
    第1の指数要素であり、 前記複合キーの第2の要素は指数関数の第2の指数要素
    である、 ことを特徴とする請求項10に記載の通信パートナを認
    証するシステム。
  12. 【請求項12】前記第1の指数要素が、公知の基数と、
    前記第1の通信パートナが事前に定義された整数群から
    選択した任意の秘密の指数とを含むことを特徴とする、
    請求項11に記載の通信パートナを認証するシステム。
  13. 【請求項13】前記第2の指数要素が、公知の基数と、
    前記第2の通信パートナが事前に定義された整数群から
    選択した任意の秘密の指数とを含むことを特徴とする、
    請求項12に記載の通信パートナを認証するシステム。
  14. 【請求項14】(d)第2の通信パートナから第1の通
    信パートナに通信されるデータ流が第2のテキスト・デ
    ータを含み、 (e)第2の通信パートナから第1の通信パートナに通
    信されるデータ流に応答して、第3のテキスト・データ
    と、該第3のテキスト・データ及び前記複合キーを前記
    永続的な共用秘密キーにより暗号化したものを含むデー
    タ流を第1の通信パートナから第2の通信パートナに通
    信する前記第1の通信パートナにある手段を更に含む事
    を特徴とする請求項10に記載の通信パートナを認証す
    るシステム。
  15. 【請求項15】前記複合キーがgのαβ乗で表され、 第1の通信パートナのために、特定のg及び事前に定義
    された群から秘密に選択されたαの値からgのα乗の値
    を計算する前記第1の通信パートナにある手段と、 第2の通信パートナのために、前記特定のg及び事前に
    定義された群から秘密に選択されたβの値からgのβ乗
    の値を計算する前記第2の通信パートナにある手段と、 前記安全でない通信チャネルを介して前記第1および第
    2の通信パートナ間で行われる通信を保護する場合に一
    時的な共用秘密キーとしての複合キーであるgのαβ乗
    を生成する前記第1の通信パートナにある手段とを含
    む、請求項11に記載の通信パートナを認証するシステ
    ム。
  16. 【請求項16】前記複合キーの一部がgのα乗で表さ
    れ、永続的な共用秘密キーを用いて前記gのα乗の値を
    変換する前記第1の通信パートナにある手段と、 前記複合キーの別の一部がgのβ乗で表され、永続的な
    共用秘密キーを用いて前記gのβ乗の値を変換する前記
    第2の通信パートナにある手段と、 を含む、請求項10に記載の通信パートナを認証するシ
    ステム。
  17. 【請求項17】前記変換が排他的論理和演算を含む、請
    求項16に記載の通信パートナを認証するシステム。
  18. 【請求項18】前記変換が暗号化演算を含む、請求項1
    6に記載の通信パートナを認証するシステム。
JP6278074A 1993-12-30 1994-11-11 通信パートナの認証方法及びシステム Expired - Fee Related JP2926699B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US175881 1993-12-30
US08/175,881 US5491749A (en) 1993-12-30 1993-12-30 Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks

Publications (2)

Publication Number Publication Date
JPH07212356A JPH07212356A (ja) 1995-08-11
JP2926699B2 true JP2926699B2 (ja) 1999-07-28

Family

ID=22642042

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6278074A Expired - Fee Related JP2926699B2 (ja) 1993-12-30 1994-11-11 通信パートナの認証方法及びシステム

Country Status (4)

Country Link
US (1) US5491749A (ja)
EP (1) EP0661844B1 (ja)
JP (1) JP2926699B2 (ja)
DE (1) DE69416809T2 (ja)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5673319A (en) * 1995-02-06 1997-09-30 International Business Machines Corporation Block cipher mode of operation for secure, length-preserving encryption
GB9507885D0 (en) * 1995-04-18 1995-05-31 Hewlett Packard Co Methods and apparatus for authenticating an originator of a message
US7243232B2 (en) * 1995-04-21 2007-07-10 Certicom Corp. Key agreement and transport protocol
US7334127B2 (en) 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
US6785813B1 (en) * 1997-11-07 2004-08-31 Certicom Corp. Key agreement and transport protocol with implicit signatures
US6487661B2 (en) 1995-04-21 2002-11-26 Certicom Corp. Key agreement and transport protocol
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
US6260144B1 (en) 1996-11-21 2001-07-10 Pitney Bowes Inc. Method for verifying the expected postal security device in a postage metering system
US6292896B1 (en) 1997-01-22 2001-09-18 International Business Machines Corporation Method and apparatus for entity authentication and session key generation
US6134597A (en) * 1997-05-28 2000-10-17 International Business Machines Corporation CRC hash compressed server object identifier
US5991414A (en) * 1997-09-12 1999-11-23 International Business Machines Corporation Method and apparatus for the secure distributed storage and retrieval of information
US7587044B2 (en) 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
US6094487A (en) * 1998-03-04 2000-07-25 At&T Corporation Apparatus and method for encryption key generation
US6189096B1 (en) * 1998-05-06 2001-02-13 Kyberpass Corporation User authentification using a virtual private key
DE19822795C2 (de) * 1998-05-20 2000-04-06 Siemens Ag Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit
CA2241705C (en) 1998-06-26 2006-06-20 Certicom Corp. A method for preventing key-share attacks
US6192474B1 (en) * 1998-07-31 2001-02-20 Lucent Technologies Inc. Method for establishing a key using over-the-air communication and password protocol and password protocol
US6192349B1 (en) * 1998-09-28 2001-02-20 International Business Machines Corporation Smart card mechanism and method for obtaining electronic tickets for goods services over an open communications link
DE19850665A1 (de) * 1998-11-03 2000-05-04 Siemens Ag Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz
JP3776619B2 (ja) * 1999-03-05 2006-05-17 株式会社東芝 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体
US7450717B1 (en) * 1999-06-08 2008-11-11 General Instruments Corporation Self authentication ciphertext chaining
CA2277633C (en) 1999-07-19 2009-10-20 Certicom Corp. Split-key key-agreement protocol
US6718467B1 (en) * 1999-10-28 2004-04-06 Cisco Technology, Inc. Password based protocol for secure communications
US6831982B1 (en) 1999-11-19 2004-12-14 Storage Technology Corporation Encryption key management system using multiple smart cards
US6590981B2 (en) 2000-02-22 2003-07-08 Zyfer, Inc. System and method for secure cryptographic communications
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US20020091931A1 (en) * 2001-01-05 2002-07-11 Quick Roy Franklin Local authentication in a communication system
US8204929B2 (en) * 2001-10-25 2012-06-19 International Business Machines Corporation Hiding sensitive information
WO2003088612A2 (fr) * 2002-04-12 2003-10-23 Thomson Licensing S.A. Procede d'authentification anonyme d'un emetteur de donnees
US7623497B2 (en) 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
US7464265B2 (en) * 2002-05-03 2008-12-09 Microsoft Corporation Methods for iteratively deriving security keys for communications sessions
US7523490B2 (en) 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7937578B2 (en) * 2002-11-14 2011-05-03 Qualcomm Incorporated Communications security methods for supporting end-to-end security associations
US7385957B2 (en) * 2002-11-14 2008-06-10 Qualcomm Incorporated Methods and apparatus for extending mobile IP
US7624277B1 (en) 2003-02-25 2009-11-24 Microsoft Corporation Content alteration for prevention of unauthorized scripts
US7606915B1 (en) 2003-02-25 2009-10-20 Microsoft Corporation Prevention of unauthorized scripts
JP3854954B2 (ja) * 2003-09-05 2006-12-06 キヤノン株式会社 データ共有装置
US7885411B2 (en) 2004-04-02 2011-02-08 Research In Motion Limited Key agreement and re-keying over a bidirectional communication path
US7606918B2 (en) * 2004-04-27 2009-10-20 Microsoft Corporation Account creation via a mobile device
US7716480B2 (en) * 2005-07-15 2010-05-11 Honeywell International Inc. Property-based data authentication mechanism
EP1764970A1 (en) * 2005-09-19 2007-03-21 Matsushita Electric Industrial Co., Ltd. Multiple interface mobile node with simultaneous home- and foreign network connection
US7783041B2 (en) * 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
JP4763447B2 (ja) * 2005-12-19 2011-08-31 株式会社ソニー・コンピュータエンタテインメント 認証システム及び認証対象装置
US8127135B2 (en) * 2006-09-28 2012-02-28 Hewlett-Packard Development Company, L.P. Changing of shared encryption key
JP4995667B2 (ja) 2007-08-28 2012-08-08 富士通株式会社 情報処理装置、サーバ装置、情報処理プログラム及び方法
US8386800B2 (en) 2009-12-04 2013-02-26 Cryptography Research, Inc. Verifiable, leak-resistant encryption and decryption
JP6019453B2 (ja) 2012-07-05 2016-11-02 株式会社クリプト・ベーシック 暗号化装置、復号化装置、及びプログラム
GB201310084D0 (en) 2013-06-06 2013-07-17 Mastercard International Inc Improvements to electronic authentication systems
RU2663972C1 (ru) 2015-02-27 2018-08-14 Телефонактиеболагет Лм Эрикссон (Пабл) Обеспечение безопасности при связи между устройством связи и сетевым устройством
US10594720B2 (en) 2017-11-03 2020-03-17 International Business Machines Corporation Exercising security control point (SCP) capabilities on live systems based on internal validation processing
US11212106B2 (en) * 2019-01-02 2021-12-28 Bank Of America Corporation Data protection using universal tagging

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
SE426128B (sv) * 1981-04-08 1982-12-06 Philips Svenska Ab Metod vid overforing av datameddelanden mellan tva stationer, samt overforingsanleggning for utforande av metoden
US4438824A (en) * 1981-04-22 1984-03-27 Siemens Corporation Apparatus and method for cryptographic identity verification
FR2530053B1 (fr) * 1982-07-08 1986-04-25 Bull Sa Procede pour certifier la provenance d'au moins une information enregistree dans une memoire d'un premier dispositif electronique et transmise a un deuxieme dispositif electronique, et systeme pour la mise en oeuvre d'un tel procede
US4723284A (en) * 1983-02-14 1988-02-02 Prime Computer, Inc. Authentication system
US4588985A (en) * 1983-12-30 1986-05-13 International Business Machines Corporation Polynomial hashing
US4799061A (en) * 1985-11-18 1989-01-17 International Business Machines Corporation Secure component authentication system
US4805216A (en) * 1987-01-08 1989-02-14 Compfax Corporation Method and apparatus for continuously acknowledged link encrypting
EP0307627B1 (de) * 1987-09-04 1992-04-29 Ascom Radiocom AG Verfahren zur Erzeugung und Verteilung von Geheimschlüsseln
JPH0199159A (ja) * 1987-10-13 1989-04-18 Matsushita Electric Ind Co Ltd 端末認証方法
JPH02305039A (ja) * 1989-05-18 1990-12-18 Mitsubishi Electric Corp 認証方式
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
US5153919A (en) * 1991-09-13 1992-10-06 At&T Bell Laboratories Service provision authentication protocol
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
DE4133675A1 (de) * 1991-10-11 1993-04-15 Bayer Ag Verfahren zur herstellung eines gemisches aus cyclohexylamin und dicyclohexylamin
US5299263A (en) * 1993-03-04 1994-03-29 Bell Communications Research, Inc. Two-way public key authentication and key agreement for low-cost terminals

Also Published As

Publication number Publication date
US5491749A (en) 1996-02-13
EP0661844A3 (en) 1997-01-02
JPH07212356A (ja) 1995-08-11
EP0661844A2 (en) 1995-07-05
EP0661844B1 (en) 1999-03-03
DE69416809D1 (de) 1999-04-08
DE69416809T2 (de) 1999-10-07

Similar Documents

Publication Publication Date Title
JP2926699B2 (ja) 通信パートナの認証方法及びシステム
US11621833B2 (en) Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
CN112106322B (zh) 基于密码的阈值令牌生成
Lin et al. Three-party encrypted key exchange: attacks and a solution
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US7373507B2 (en) System and method for establishing secure communication
US5491752A (en) System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US7865936B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
JPH07288517A (ja) 暗号通信システム及び暗号通信方法
KR19990072733A (ko) 데이터네트워크상의박형의클라이언트장치와서버장치사이에암호-발효프로세스를실행시키기위한방법및장치
US20230188325A1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
KR102172181B1 (ko) 실시간 데이터 전송을 위한 블록 암호 장치 및 방법
CN111192050B (zh) 一种数字资产私钥存储提取方法及装置
JPH07325785A (ja) ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ
US20050141718A1 (en) Method of transmitting and receiving message using encryption/decryption key
US6986045B2 (en) Single algorithm cipher suite for messaging
Chen et al. An efficient nonce-based authentication scheme with key agreement
Chang et al. Password authentication without the server public key
KR100381710B1 (ko) 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템
CN117134904B (zh) 一种基于身份识别与动态加解密通信的方法
CN118214558B (zh) 一种数据流通处理方法、系统、装置及存储介质
Rastogi et al. Enhanced authentication scheme using password integrated challenge response protocol
Schwenk Nonce-based kerberos is a secure delegated AKE protocol
Wang et al. READ: Resource efficient authentication scheme for digital twin edge networks

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees