JP3145116B2 - アクセスコントロールおよび/または識別方法および装置 - Google Patents
アクセスコントロールおよび/または識別方法および装置Info
- Publication number
- JP3145116B2 JP3145116B2 JP50208892A JP50208892A JP3145116B2 JP 3145116 B2 JP3145116 B2 JP 3145116B2 JP 50208892 A JP50208892 A JP 50208892A JP 50208892 A JP50208892 A JP 50208892A JP 3145116 B2 JP3145116 B2 JP 3145116B2
- Authority
- JP
- Japan
- Prior art keywords
- smart card
- mod
- card reader
- data
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Selective Calling Equipment (AREA)
Description
本発明は、公開鍵ディレクトリの不要なアクセスコン
トロールおよび/または識別方法および装置に関する。 従来の技術 たとえば有料テレビジョンのためのスマートカード、
クレジットカード、パスポート、ドングル、軍事指令お
よび制御システムのような多くの適用事例のために、ア
クセスコントロールまたはディジタル署名のための偽造
防止システムが必要とされている。 この種のアクセスコントロールおよび署名システムは
公開鍵を有することができる。しかし多くの公開鍵識別
ならびにアクセスコントロールシステムでは、ユーザ数
が増加すると鍵の管理が著しく複雑になる。代表的な問
題は次のとおりである。すなわち、 1)公開ディレクトリのメモリサイズ; 2)ユーザが通信を望むときには常に上記のディレクト
リとのインタラクションが必要とされる(ディレクトリ
の複製が作成されていなければ同時にアクセスした際に
問題が生じる); 3)無効な鍵および古い鍵のブラックリスト作成; 4)新しいメンバーの追加(メンバーへの“全ユーザ”
更新メール); 5)公開ディレクトリ偽造の危険性(被害にあったメン
バーと偽造者の間の公開鍵の取替) エンティティは鍵識別ディバイス(以下では“識別
子”と称する)の複写、再生または偽造を試みるかもし
れない。 なお、ドングルとは、不正コピー防止のための装置で
あって、たとえばコンピュータに挿入されていないとプ
ログラムが使用できないように構成されたものである。
また、本明細書で用いている公開ディレクトリという用
語は、公開鍵を収容している公にアクセス可能なリスト
のことである。 ディジタル形式による識別および署名のこの問題に対
するよく知られた解決手段は、FiatおよびShamirによる
ヨーロッパ特許出願第0252499号およびヨーロッパ特許
出願第0325238号に開示されている。この手段は、資格
のあるユーザに対し上記の識別子を発行する信託ないし
委任された資格性付与主体を利用している。身元および
署名の発生のためにも照合ないし検証のためにも、いか
なるセンターとの別のインタラクションも必要とされな
い。統計的にシステムの安全性を危うくすることなく、
無制限の数のユーザがシステムに加入できる。識別子と
のインタラクションによって偽造(識別子の不法生成)
は許可されない。ユーザまたはベリファイアのディレク
トリは不要である。 この方法は実践において良好に機能しているが、その
安全性を危うくするいくつかの理論的な欠点を有する。 プロトコルつまりフローチャートはヨーロッパ特許出
願第0252499号に開示されており、そこにおいて、 −Uはユーザ、たとえばスマートカード; −Vはベリファイア; −kはたとえば[1,18]の範囲内の整数; −rは[0,n]の範囲内の整数の乱数; −(e1e2e3...ek)はバイナリベクトル、 であり、以下のように動作する。 資格付与主体は擬似ランダム関数fおよびaモジュロ
n=pqを選定する。この場合、pおよびqは両方とも、
上記の資格付与主体に対してのみ既知である秘密の素数
である(A=B mod nはmod(A,n)=mod(B,n)と等価
である)。 識別子を発行するために資格付与主体は、 1)エンティティUに特有の情報を含むストリングIDを
準備する; 2)一組の値Vij=f(ID,Ji)を計算する。この場合、
jiは小さな値である; 3)平方剰余mod nであるk個のVjiの値を選択し、 sji 2*vji=1 mod n のようにして値sjiを算出する; 4)ID,j1,j2,..,jk,sj1,sj2,...,sjkおよびnを含む識
別子を発行する。 ベリファイアVによる身元照合プロトコルは以下のよ
うに進行する: 1)Uは、IDおよびj1,j2,...,jkをVへ送信する; 2)Vはvji=f(ID,ji)の算出によりvjiを生成す
る。この場合、i=1,2,...,kである; 3)Uは乱数rを選択してr2mod nをVへ送信する; 4)Vはバイナリベクトル(e1e2e3...ek)を選択して
これをUへ送信する; 5)Uはrをsjiの値の各々によりrを乗算し、この場
合、bit ei=1であり、結果yをVへ送信する。これ
は、 で表わされる。 たとえば、バイナリベクトルが1100100000であるなら
ば、sj1,sj2およびsj5だけが y=r*sj1*sj2*sj5 mod n に作用を及ぼす。 6)Vは、 を検査する。 しかし、このプロトコルを危うくする種々異なる攻撃
の実行されるおそれがある。 A)攻撃者がsjiのうちの1つだけ(sjcと呼ぶことにす
る)を見つけ出せば、システム全体は以下の図式で記載
されているようにして危うくされてしまう。ここにおけ
るUは自身を首尾よく偽称している: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiは同じであるので、Vはk回だけ同じvjc
を発生する; −Uは乱数rを選択し、r2 mod nをVへ送信する; −Vはバイナリベクトル(e1e2e3...ek)を選択し、そ
れをUへ送信する。 −UはVへ、 を送信する。 −Vは、 を検査する。 B)この攻撃は最初のものよりもやさしい。なぜならば
累乗根sjcの逆数を計算するよりも、vjiのうちの1つの
逆数(vjc -1と呼ぶことにする)を計算する方が数学的
にやさしいからである。このような値が既知であるなら
ば、上述の公知の識別システムに侵入できる確率は50%
である: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiは同じであるからVはk回、同じVjcを発
生する。 −Uは乱数rを選択し、r2mod nをVへ送信する; −Vはバイナリベクトル(e1e2e3...ek)を選択し、そ
れをUへ送信する; −Uは、 をVへ送信する。 −Vは、 を検査する。 この試行は、Σeiが偶数であれば一致してしまう。 有料テレビジョンベリファイアが公開されており、望
むだけの数を手に入れることができるならば、同時に4
つのベリファイアを使用する攻撃者は攻撃手法B)を用
いることにより、たとえば94%までデスクランブルされ
たテレビジョン番組を手に入れてしまう。さらに4つの
付加的なベリファイアを加えれるならば、この値は99.6
%まで引き上げられ、この結果、たとえば良好な画像品
質が生じてしまう。 c)署名偽造 この攻撃は最も危険なものである。その理由はこのこ
とにより、いかなるベリファイアであっても以下のよう
にして公開データだけから署名を偽造させてしまうから
である: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiが同じであることからVはk回、同じvjc
を発生する。 −Uは以下のアルゴリズムを実行する。 DO { r=random( ) (e1e2e3...ek) α=Σ ei } WHILE(α is odd) y=r*(vjc -1)α/2 このようなrを見つけ出せない確率は、2-Xの法則に
したがって指数関数的に減少する。代表的には、x=7
よりもまえに適切なrを探し出す確率は約99%である
(xはWHILEループの巡回数)。 −Uはy(e1e2e3...ek)とともにVへ送信する; −Vは と(e1e2e3...ek)を首尾よく比較する。 この欠点は、vjの値はk個の種々異なる機密事項とみ
なされることにあり、したがってそれらのうちの1つの
部分(ここでは1/18、k=18)を偽造することによりこ
の手法の安全性が損なわれる。 本発明 本発明の第1の目的は、アクセスコントロールシステ
ムの安全性を改善する方法を提供することにある。この
目的は、請求項1および16に記載の本発明による方法に
より達成される。 さらに本発明の第2の目的は、ユーザとベリファイア
との間の先行の通信からのデータを次の通信に採り入れ
ることができるようにすることにあり、このことによっ
て安全性がなおいっそう改善される。 本発明による方法の有利な実施形態は各従属請求項に
示されている。 さらに本発明の別の目的は、いかなるユーザであって
もその身元を証明できるような識別方法を提供すること
にある。この目的は、請求項16に記載の本発明の方法に
より達成される。 さらに本発明の別の目的は、本発明の方法を用いる装
置を提供することにある。この目的は、請求項25および
27に記載の本発明の装置により達成される。 本発明による装置の有利な付加的実施形態は従属請求
項に示されている。 本発明は、nの因数分解が既知でなければ平方根mod
nの計算は困難である、という認識を用いている。本発
明は式 x2{r(x+x-1)}2=r2{1+x2}2mod n (1) に基づくものである。これはユーザユニットおよびベリ
ファイアユニットを用いることにより計算され比較され
る。この式を解くのは著しく困難であり、公開データお
よび送信されたデータだけから不法ユーザが偽造するの
は著しく困難である。 保護機能を高め、以下で説明するように通信データへ
いっそう多くのノイズを導入するために、有利には式
(1)を、 xε{r(ax+bx-1)}ε=rε{b+ax2}εmod n
(2) のように一般化できる。 本発明に記載された技術により、上述の問題すべてが
簡単に解決される。公開ディレクトリを必要とするアル
ゴリズム(以下では‘ホストアルゴリズム’または‘ホ
ストプロトコル’と称する)は、少なくとも2つの大き
な素数の積であるモジュロnを用いる。公知の公開鍵デ
ィレクトリは、資格付与主体または送信機Sと、受信機
Rおよび公開鍵のための身元情報の両方を適切に処理し
た後に送出する‘もとになる’受信機Rとの間のただ1
度の送信に置き換えられている。この方法を‘仮想公開
鍵ディレクトリ、Virtual Public Key Directoryまたは
略して‘VPKD'と称する。有利にはVPKDは一般化するこ
とができ、公開のモジュロを必要とするいかなるセキュ
リティプロトコルに対しても導入可能である。 新規ユーザは、他のユーザおよびベリファイアに通報
することなく、さらにシステムの安全性を損なうことな
くまたその性能を低減することもなく、システムに加入
することができる。資格付与主体だけがnの因数分解を
認識していればよく、もとになるものを与えることにな
る。 典型的には、VPKDはホストプロトコルよりも優先され
る。実践においてこのことは、資格付与主体により署名
されたSの公開データを与える安全な予備通信として理
解できる。このことは第7図に示されている。RとSの
間の情報の展開は、識別システムについては第8図に示
されており、アクセスコントロールシステムについては
第5図に示されている。 第6図には、VPKDプリプロトコル手段の構成が示され
ている。新規ユーザUを登録するために、資格付与主体
はPKU<nであるようにして公開鍵PKUを算出し(この制
限は、モジュロベースの暗号システムで一般的に行われ
ているようにPKUが適切なサイズにスライスされるので
あれば、取り去ることができる)、物理的なエンティテ
ィUに特有のものであり、または所定のメンバーグルー
プに特有のものであり、たとえば名前、住所、クレジッ
トカードナンバー、有効期限を含むストリングIDUを準
備する。このことは第1のユニット61により行うことが
できる。第2のユニット62たとえばメモリは、値nを含
む。そしてセンタは第3のユニット63内で、IDUとPKUを
適切に選択されたbyte cと、IDU&PKU&cがd乗根モジ
ュロn(&は連結演算子を表わす)を有するように連結
する。 これをルートguと称する。guはGU=gu dmod nにより規
定され、ここにおいてGU=IDU&PKU&cである。gUを形
成する際、IDとnは検索媒体64に記録される。 SがUとのインタラクションを行う場合、SはgUをU
へ送信し、UはgUを指数dで累乗することによりGUを算
出し、次にIDUとPKUが分離され、ホストプロトコルによ
り用いられる。代表的な手法では値d=2またはd=3
が選択される。 この方法は多種多様に一般化可能である。 1)GにおけるID、PKおよびcの順序を転置できる。実
践において標準化は良好であると思われる。それという
のはVPKDは、公開鍵配送を必要とする種々異なるモジュ
ロベースのあらゆるアルゴリズムによって利用できるか
らである; 2)ID、PKおよびcを混合および分離するための公開ま
たは機密の可逆関数を、単純な連結の代わりに用いるこ
とができる。たとえば圧縮、転置または規則正しく繰り
返されるネストされたVPKD; 3)(各ユーザUに対し)k個の種々異なる公開鍵の値
PKU1、PKU2、PKU3,...,PKUK−これらはこの手法の機能
を危うくすることなく転置可能である−を必要とする手
法の場合(これはすべてのvjは各々に対しsj 2vj=1mod
nならば同じ役割を果たす公知の識別システムに係わ
る)、以下の転置によりcを使用することさえ避けられ
る: IDU&PKU1&PKU2&PKU3&...&PKUK=GU,1; IDU&PKU2&PKU1&PKU3&...&PKUK=GU,2; ; ; ; IDU&PKUK...&PKU3&PKU2&PKU1=GU,K! これはd乗mod nであるGU,μが見つかるまで行われる。
適切なGU,μが見つからない確率は、(3/4)18!<10
(-ex),ex=1014 である; 4)チェックサム、任意の‘一方向性’関数、CRC(巡
回冗長検査)およびその他の数学的手法をGに含ませる
ことができるし(たとえばf(ID,PK)、この場合、f
は長いストリングを僅かなビットに配置する)、あるい
は1つのグループ(またはすべてのエンティティ)が同
じIDを有する(または全くIDを有していない)システム
では、IDを省略できるかまたは定数に置き換えることが
できる。このことは加入者グループをアドレス指定する
ことが望まれることの多い有料テレビジョンシステムに
おいては重要な観点である; 5)IDおよび/またはPKは平文で送信できるし、あるい
は安全性を高めるために相応のgとともにサイファ暗号
化手法で送信可能である; 6)gの単純なべき乗も多項式計算に置き換えることが
できる。このようにするために資格付与主体は数値列Ω
iを発行し、
トロールおよび/または識別方法および装置に関する。 従来の技術 たとえば有料テレビジョンのためのスマートカード、
クレジットカード、パスポート、ドングル、軍事指令お
よび制御システムのような多くの適用事例のために、ア
クセスコントロールまたはディジタル署名のための偽造
防止システムが必要とされている。 この種のアクセスコントロールおよび署名システムは
公開鍵を有することができる。しかし多くの公開鍵識別
ならびにアクセスコントロールシステムでは、ユーザ数
が増加すると鍵の管理が著しく複雑になる。代表的な問
題は次のとおりである。すなわち、 1)公開ディレクトリのメモリサイズ; 2)ユーザが通信を望むときには常に上記のディレクト
リとのインタラクションが必要とされる(ディレクトリ
の複製が作成されていなければ同時にアクセスした際に
問題が生じる); 3)無効な鍵および古い鍵のブラックリスト作成; 4)新しいメンバーの追加(メンバーへの“全ユーザ”
更新メール); 5)公開ディレクトリ偽造の危険性(被害にあったメン
バーと偽造者の間の公開鍵の取替) エンティティは鍵識別ディバイス(以下では“識別
子”と称する)の複写、再生または偽造を試みるかもし
れない。 なお、ドングルとは、不正コピー防止のための装置で
あって、たとえばコンピュータに挿入されていないとプ
ログラムが使用できないように構成されたものである。
また、本明細書で用いている公開ディレクトリという用
語は、公開鍵を収容している公にアクセス可能なリスト
のことである。 ディジタル形式による識別および署名のこの問題に対
するよく知られた解決手段は、FiatおよびShamirによる
ヨーロッパ特許出願第0252499号およびヨーロッパ特許
出願第0325238号に開示されている。この手段は、資格
のあるユーザに対し上記の識別子を発行する信託ないし
委任された資格性付与主体を利用している。身元および
署名の発生のためにも照合ないし検証のためにも、いか
なるセンターとの別のインタラクションも必要とされな
い。統計的にシステムの安全性を危うくすることなく、
無制限の数のユーザがシステムに加入できる。識別子と
のインタラクションによって偽造(識別子の不法生成)
は許可されない。ユーザまたはベリファイアのディレク
トリは不要である。 この方法は実践において良好に機能しているが、その
安全性を危うくするいくつかの理論的な欠点を有する。 プロトコルつまりフローチャートはヨーロッパ特許出
願第0252499号に開示されており、そこにおいて、 −Uはユーザ、たとえばスマートカード; −Vはベリファイア; −kはたとえば[1,18]の範囲内の整数; −rは[0,n]の範囲内の整数の乱数; −(e1e2e3...ek)はバイナリベクトル、 であり、以下のように動作する。 資格付与主体は擬似ランダム関数fおよびaモジュロ
n=pqを選定する。この場合、pおよびqは両方とも、
上記の資格付与主体に対してのみ既知である秘密の素数
である(A=B mod nはmod(A,n)=mod(B,n)と等価
である)。 識別子を発行するために資格付与主体は、 1)エンティティUに特有の情報を含むストリングIDを
準備する; 2)一組の値Vij=f(ID,Ji)を計算する。この場合、
jiは小さな値である; 3)平方剰余mod nであるk個のVjiの値を選択し、 sji 2*vji=1 mod n のようにして値sjiを算出する; 4)ID,j1,j2,..,jk,sj1,sj2,...,sjkおよびnを含む識
別子を発行する。 ベリファイアVによる身元照合プロトコルは以下のよ
うに進行する: 1)Uは、IDおよびj1,j2,...,jkをVへ送信する; 2)Vはvji=f(ID,ji)の算出によりvjiを生成す
る。この場合、i=1,2,...,kである; 3)Uは乱数rを選択してr2mod nをVへ送信する; 4)Vはバイナリベクトル(e1e2e3...ek)を選択して
これをUへ送信する; 5)Uはrをsjiの値の各々によりrを乗算し、この場
合、bit ei=1であり、結果yをVへ送信する。これ
は、 で表わされる。 たとえば、バイナリベクトルが1100100000であるなら
ば、sj1,sj2およびsj5だけが y=r*sj1*sj2*sj5 mod n に作用を及ぼす。 6)Vは、 を検査する。 しかし、このプロトコルを危うくする種々異なる攻撃
の実行されるおそれがある。 A)攻撃者がsjiのうちの1つだけ(sjcと呼ぶことにす
る)を見つけ出せば、システム全体は以下の図式で記載
されているようにして危うくされてしまう。ここにおけ
るUは自身を首尾よく偽称している: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiは同じであるので、Vはk回だけ同じvjc
を発生する; −Uは乱数rを選択し、r2 mod nをVへ送信する; −Vはバイナリベクトル(e1e2e3...ek)を選択し、そ
れをUへ送信する。 −UはVへ、 を送信する。 −Vは、 を検査する。 B)この攻撃は最初のものよりもやさしい。なぜならば
累乗根sjcの逆数を計算するよりも、vjiのうちの1つの
逆数(vjc -1と呼ぶことにする)を計算する方が数学的
にやさしいからである。このような値が既知であるなら
ば、上述の公知の識別システムに侵入できる確率は50%
である: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiは同じであるからVはk回、同じVjcを発
生する。 −Uは乱数rを選択し、r2mod nをVへ送信する; −Vはバイナリベクトル(e1e2e3...ek)を選択し、そ
れをUへ送信する; −Uは、 をVへ送信する。 −Vは、 を検査する。 この試行は、Σeiが偶数であれば一致してしまう。 有料テレビジョンベリファイアが公開されており、望
むだけの数を手に入れることができるならば、同時に4
つのベリファイアを使用する攻撃者は攻撃手法B)を用
いることにより、たとえば94%までデスクランブルされ
たテレビジョン番組を手に入れてしまう。さらに4つの
付加的なベリファイアを加えれるならば、この値は99.6
%まで引き上げられ、この結果、たとえば良好な画像品
質が生じてしまう。 c)署名偽造 この攻撃は最も危険なものである。その理由はこのこ
とにより、いかなるベリファイアであっても以下のよう
にして公開データだけから署名を偽造させてしまうから
である: −UはIDおよびjc,jc,...,jcをVへ送信する; −すべてのjiが同じであることからVはk回、同じvjc
を発生する。 −Uは以下のアルゴリズムを実行する。 DO { r=random( ) (e1e2e3...ek) α=Σ ei } WHILE(α is odd) y=r*(vjc -1)α/2 このようなrを見つけ出せない確率は、2-Xの法則に
したがって指数関数的に減少する。代表的には、x=7
よりもまえに適切なrを探し出す確率は約99%である
(xはWHILEループの巡回数)。 −Uはy(e1e2e3...ek)とともにVへ送信する; −Vは と(e1e2e3...ek)を首尾よく比較する。 この欠点は、vjの値はk個の種々異なる機密事項とみ
なされることにあり、したがってそれらのうちの1つの
部分(ここでは1/18、k=18)を偽造することによりこ
の手法の安全性が損なわれる。 本発明 本発明の第1の目的は、アクセスコントロールシステ
ムの安全性を改善する方法を提供することにある。この
目的は、請求項1および16に記載の本発明による方法に
より達成される。 さらに本発明の第2の目的は、ユーザとベリファイア
との間の先行の通信からのデータを次の通信に採り入れ
ることができるようにすることにあり、このことによっ
て安全性がなおいっそう改善される。 本発明による方法の有利な実施形態は各従属請求項に
示されている。 さらに本発明の別の目的は、いかなるユーザであって
もその身元を証明できるような識別方法を提供すること
にある。この目的は、請求項16に記載の本発明の方法に
より達成される。 さらに本発明の別の目的は、本発明の方法を用いる装
置を提供することにある。この目的は、請求項25および
27に記載の本発明の装置により達成される。 本発明による装置の有利な付加的実施形態は従属請求
項に示されている。 本発明は、nの因数分解が既知でなければ平方根mod
nの計算は困難である、という認識を用いている。本発
明は式 x2{r(x+x-1)}2=r2{1+x2}2mod n (1) に基づくものである。これはユーザユニットおよびベリ
ファイアユニットを用いることにより計算され比較され
る。この式を解くのは著しく困難であり、公開データお
よび送信されたデータだけから不法ユーザが偽造するの
は著しく困難である。 保護機能を高め、以下で説明するように通信データへ
いっそう多くのノイズを導入するために、有利には式
(1)を、 xε{r(ax+bx-1)}ε=rε{b+ax2}εmod n
(2) のように一般化できる。 本発明に記載された技術により、上述の問題すべてが
簡単に解決される。公開ディレクトリを必要とするアル
ゴリズム(以下では‘ホストアルゴリズム’または‘ホ
ストプロトコル’と称する)は、少なくとも2つの大き
な素数の積であるモジュロnを用いる。公知の公開鍵デ
ィレクトリは、資格付与主体または送信機Sと、受信機
Rおよび公開鍵のための身元情報の両方を適切に処理し
た後に送出する‘もとになる’受信機Rとの間のただ1
度の送信に置き換えられている。この方法を‘仮想公開
鍵ディレクトリ、Virtual Public Key Directoryまたは
略して‘VPKD'と称する。有利にはVPKDは一般化するこ
とができ、公開のモジュロを必要とするいかなるセキュ
リティプロトコルに対しても導入可能である。 新規ユーザは、他のユーザおよびベリファイアに通報
することなく、さらにシステムの安全性を損なうことな
くまたその性能を低減することもなく、システムに加入
することができる。資格付与主体だけがnの因数分解を
認識していればよく、もとになるものを与えることにな
る。 典型的には、VPKDはホストプロトコルよりも優先され
る。実践においてこのことは、資格付与主体により署名
されたSの公開データを与える安全な予備通信として理
解できる。このことは第7図に示されている。RとSの
間の情報の展開は、識別システムについては第8図に示
されており、アクセスコントロールシステムについては
第5図に示されている。 第6図には、VPKDプリプロトコル手段の構成が示され
ている。新規ユーザUを登録するために、資格付与主体
はPKU<nであるようにして公開鍵PKUを算出し(この制
限は、モジュロベースの暗号システムで一般的に行われ
ているようにPKUが適切なサイズにスライスされるので
あれば、取り去ることができる)、物理的なエンティテ
ィUに特有のものであり、または所定のメンバーグルー
プに特有のものであり、たとえば名前、住所、クレジッ
トカードナンバー、有効期限を含むストリングIDUを準
備する。このことは第1のユニット61により行うことが
できる。第2のユニット62たとえばメモリは、値nを含
む。そしてセンタは第3のユニット63内で、IDUとPKUを
適切に選択されたbyte cと、IDU&PKU&cがd乗根モジ
ュロn(&は連結演算子を表わす)を有するように連結
する。 これをルートguと称する。guはGU=gu dmod nにより規
定され、ここにおいてGU=IDU&PKU&cである。gUを形
成する際、IDとnは検索媒体64に記録される。 SがUとのインタラクションを行う場合、SはgUをU
へ送信し、UはgUを指数dで累乗することによりGUを算
出し、次にIDUとPKUが分離され、ホストプロトコルによ
り用いられる。代表的な手法では値d=2またはd=3
が選択される。 この方法は多種多様に一般化可能である。 1)GにおけるID、PKおよびcの順序を転置できる。実
践において標準化は良好であると思われる。それという
のはVPKDは、公開鍵配送を必要とする種々異なるモジュ
ロベースのあらゆるアルゴリズムによって利用できるか
らである; 2)ID、PKおよびcを混合および分離するための公開ま
たは機密の可逆関数を、単純な連結の代わりに用いるこ
とができる。たとえば圧縮、転置または規則正しく繰り
返されるネストされたVPKD; 3)(各ユーザUに対し)k個の種々異なる公開鍵の値
PKU1、PKU2、PKU3,...,PKUK−これらはこの手法の機能
を危うくすることなく転置可能である−を必要とする手
法の場合(これはすべてのvjは各々に対しsj 2vj=1mod
nならば同じ役割を果たす公知の識別システムに係わ
る)、以下の転置によりcを使用することさえ避けられ
る: IDU&PKU1&PKU2&PKU3&...&PKUK=GU,1; IDU&PKU2&PKU1&PKU3&...&PKUK=GU,2; ; ; ; IDU&PKUK...&PKU3&PKU2&PKU1=GU,K! これはd乗mod nであるGU,μが見つかるまで行われる。
適切なGU,μが見つからない確率は、(3/4)18!<10
(-ex),ex=1014 である; 4)チェックサム、任意の‘一方向性’関数、CRC(巡
回冗長検査)およびその他の数学的手法をGに含ませる
ことができるし(たとえばf(ID,PK)、この場合、f
は長いストリングを僅かなビットに配置する)、あるい
は1つのグループ(またはすべてのエンティティ)が同
じIDを有する(または全くIDを有していない)システム
では、IDを省略できるかまたは定数に置き換えることが
できる。このことは加入者グループをアドレス指定する
ことが望まれることの多い有料テレビジョンシステムに
おいては重要な観点である; 5)IDおよび/またはPKは平文で送信できるし、あるい
は安全性を高めるために相応のgとともにサイファ暗号
化手法で送信可能である; 6)gの単純なべき乗も多項式計算に置き換えることが
できる。このようにするために資格付与主体は数値列Ω
iを発行し、
【数9】 のようにしてgUを算出する。 この方法および装置の単純さ、安全性および速度は、
スマートカード、パーソナルコンピュータ、ドングル、
パスポート、およびたとえば有料テレビジョンのための
他の遠隔システムに取り入れることのできるマイクロプ
ロセッサベースの技術により達成される。 図面 次に、図面に基づき本発明の有利な実施形態を説明す
る。 第1図には、スクランブルおよび暗号化ユニットを備
えた有料テレビジョンシステムが示されている; 第2図には、識別子U(スマートカード)のハードウ
ェアおよびソフトウェア構造が示されている; 第3図には、ベリファイアVのハードウェアおよびソ
フトウェアが示されている; 第4図は、秘密事項を含まない署名側(スマートカー
ド)およびベリファイア(身元監視手段)の間の認証プ
ロトコルが示されている; 第5図には、VPKDプリプロトコルおよびアクセスコン
トロールアルゴリズムを必要とする通信においてRとS
により保持される情報の時間順の代表的な展開が示され
ている; 第6図には、VPKDプリプロトコル装置の構成プロセス
が示されている; 第7図には、VPKDプリプロトコルおよびホストプロト
コルが示されている; 第8図には、VPKDプリプロトコルおよび識別アルゴリ
ズムを必要とする通信においてRとSにより保持される
情報の時間順の代表的な展開が示されている。 実施例 現在、衛星放送では、納付のような所定の条件を満た
した視聴者しかテレビジョン番組を利用できないように
する条件付きアクセスシステムが用いられている。この
種の有料テレビジョンシステムは2つの部分から成ると
みなすことができる。すなわち、 −たとえば走査線カットおよびローテート手法により、
資格のない視聴者により受信画像を認識できないよう
に、ビデオ信号を処理するスクランブルシステムシステ
ム。 −ビデオ信号のデスクランブルに必要とされる鍵信号を
処理する暗号化システム。 第1図には、公知の有料テレビジョンシステムたとえ
ばビデオ暗号システムが示されている。到来するスタジ
オビデオ信号10は、データ挿入ユニット121により制御
されるビデオスクランブラ122においてスクランブルさ
れる。このデータ挿入ユニットは暗号化コンピュータ11
からアクセスコントロールデータを受信し、ビデオ信号
データの垂直帰線消去期間中に挿入する。このアクセス
コントロールデータにより、資格の与えられたデコーダ
はビデオ信号のデスクランブルを行うことができる。RF
変調された送信機側の出力信号13は、受信機側では入力
信号14である。 この入力信号はチューナ15において復調されてデータ
抽出ユニット16へ導かれ、さらにビデオデスクランブラ
17へ導かれる。データ抽出回路から出力されたアクセス
コントロールデータは、スマートカード182が挿入され
ているならば、ベリファイアユニット181において評価
される。このベリファイアユニットの出力信号によりビ
デオデスクランブラ17が制御される。 スクランブルされるべきビデオ信号の走査線は、第1
のセグメントおよび第2のセグメントにより構成されて
いる。これら2つのセグメントはカットポイントcpによ
り分離される。各走査線内において、たとえば256個の
種々異なるカットポイントを用いることができる。1つ
の走査線全体は、それぞれディジタル化されたルミナン
ス信号およびクロミナンス信号の958個のサンプルによ
り構成できる。 カットポイントは擬似ランダムバイナリシーケンス
(PRBS)によって走査線ごとに規定される。そして2つ
の走査線セグメントは走査線内で循環させられる。つま
りそれらは走査線内でその位置を変える。カットポイン
トcpの相応の位置は、各テレビジョン画像の走査線内で
それぞれ変化する。2つのセグメントの本来の位置を復
元するのがデスクランブルシステムの役割である。この
役割に必要な暗号化データは、垂直帰線消去期間中へ挿
入できる。 テレビジョン信号のデスクランブルのために、デコー
ダは(暗号化コンピュータ11内の)送信機と同じPRBS発
生器を(ベリファイアユニット181内に)有している。
両方の発生器は同じコントロールバイナリシーケンス
で、つまり同じコントロールワードにより初期設定され
ている。このコントロールワードは数秒ごとに変えら
れ、暗号化された形式ですべてのデコーダに同時に送信
される。 PRBS発生器は2つの8ビットワードを出力する。これ
らのワードはルミナンス走査線およびクロミナンス走査
線中のカットポイントcpをマークすることができ、それ
ぞれ次のとおりである: Byte サンプルにおけるカットポイント 0 224 cp 224+2cp 255 734 識別子を発行する前に、資格付与主体は、身元または
署名を検査すべきものすべてに既知であるモジュロnと
べき乗指数ε(代表的にはε=2)を選定して発行す
る。そしてセンタ(つまり資格付与主体)は資格の与え
られているメンバーに対し、k個の小さい(代表的には
1〜5byteの)公開鍵値PKjを含むVPKDディバイスを形成
し、その結果、各PKjはε乗根モジュロn(これ以降SKj
-1と記す)を有する。この場合、PKjはNにおいて完全
平方ではない。可能ならば素数のPKj値を選択すべきで
ある。 通信のためにε≠2が用いられる実施形態では、Vに
対するSKj -2も識別する必要がある(VPKD、公開ディレ
クトリ等)。 これがなされると資格付与主体は、g、n、εおよび
個々のSKjの値を含む識別子Uを検索媒体に記録する。 代表的な実施形態では次の値が提示されている。すな
わち、 −それぞれ2byteの20個の値PK −128bitのIDならびにID&PK1&PK2&...&PK20におけ
る8byteのチェックサム −|n|=512bit 選択的に、式(2)で示されているようないくつかの
代数的または電子的な一対の関数aおよびbを識別子に
加えることができる。しかしこれを行う場合には、aお
よびbがベリファイアでも既知でなければならない。有
利には、代表的な小さな実施形態(たとえばスマートカ
ード)の場合、aおよびbの両方は値‘1'の定数である
が、これよりも強大なシステム(たとえばdongles)の
場合にはaおよびbはいくつかの関数の組であってもよ
い。 第2図および第3図には、代表的なアクセスコントロ
ールの実施形態が示されている。スマートカード20(つ
まり識別子U)は、そのI/Oインターフェース21を介し
てベリファイアユニット30のI/Oインターフェース31と
接続されている。スマートカード20は、たとえばマイク
ロプロセッサ24およびメモリ25たとえばROMを有する。
このメモリは値g、n、SKjならびにマイクロプロセッ
サ24制御プログロムを有することができる。ベリファイ
アユニット30もマイクロプロセッサ34とメモリ35たとえ
ばROMを有することができる。このメモリ値nとマイク
ロプロセッサ34制御プログラムを有することができる。 前記の識別子と前記のベリファイアユニットとのイン
タラクションが行われる場合、以下のステップが実行さ
れる。すなわち、 1)識別子UはVに対しgを送信する(ε≠2でありこ
のデータが送信されないかまたは別の手法でVにとって
既知である場合にはさらにSK1 -2、SK2 -2...SKk -2も送信
する); 2)Vはg2モジュロnを計算し、G=ID&PK1&PK
2&...&PKkを見つける。次にVはIDとg2モジュロnで
見つけられたK値とを分離する; 3)Uは の範囲内で乱数δを選択してδεモジュロnを算出し、
EをVへ送信する; 4)Vはランダムバイナリベクトルv=(v1v2...vkを
選択してそれをUへ送信する; 5)aとbが使用されているときだけ、選択的に:Vおよ
びUの両方は(たとえばv、δ、先行して送信された情
報等から)同一の値Ωを準備する; 6)Uは、 を算出し、zをVへ送信する; 7)Vは、 を検査する。 8)ステップ(3)〜(7)を少なくとも1回繰り返
す。 種々異なる手法でこのプロトコルを変形することがで
きる。つまり式(1)の代わりに種々異なる多項式を用
いることができる。 第4図には相応の認証プトロコルが示されている。 本発明により以下のことが付加的に改善される。すな
わち、 1)擬似ランダム関数は不要である。このことにより
(ROMにおいて)いっそう僅かなメモリ容量しか必要と
されず、さらにプログラムの複雑性もいっそう低減され
る。 2)公知の識別手法ではk個の別個の演算つまりf(I
D,J)を実行しなければならないのに対し、すべての公
開鍵値はただ1度の計算により著しく時間を省いて計算
される。 3)公知の擬似ランダム関数fでは予期できないサイズ
のvjが生成されるのに対し、本発明によればいくつかの
(PKj,SKj)対を、詳細にはSKj、PKjの両方が小さなサ
イズのものである対を選択することができる。 4)公知の識別方式をアップグレード(関数fを変更)
する場合には古い識別子はすべて無効になってしまう
が、本発明では関数fは使用されないのでこの問題は存
在しない。 検証側からインデックスjiを受け取った後にベリファ
イアにより行われる付加的なセキュリティテストを実行
すれば、前述のFiat−Shamirによる認証プロトコルまた
はディジタル署名プロトコルも改善できる。これらのセ
キュリティテストは、1≦a≦b≦kであるかぎりja≠
jbであり、および/または1≦a≦b≦kであるかぎ
り、va≠vbである。
スマートカード、パーソナルコンピュータ、ドングル、
パスポート、およびたとえば有料テレビジョンのための
他の遠隔システムに取り入れることのできるマイクロプ
ロセッサベースの技術により達成される。 図面 次に、図面に基づき本発明の有利な実施形態を説明す
る。 第1図には、スクランブルおよび暗号化ユニットを備
えた有料テレビジョンシステムが示されている; 第2図には、識別子U(スマートカード)のハードウ
ェアおよびソフトウェア構造が示されている; 第3図には、ベリファイアVのハードウェアおよびソ
フトウェアが示されている; 第4図は、秘密事項を含まない署名側(スマートカー
ド)およびベリファイア(身元監視手段)の間の認証プ
ロトコルが示されている; 第5図には、VPKDプリプロトコルおよびアクセスコン
トロールアルゴリズムを必要とする通信においてRとS
により保持される情報の時間順の代表的な展開が示され
ている; 第6図には、VPKDプリプロトコル装置の構成プロセス
が示されている; 第7図には、VPKDプリプロトコルおよびホストプロト
コルが示されている; 第8図には、VPKDプリプロトコルおよび識別アルゴリ
ズムを必要とする通信においてRとSにより保持される
情報の時間順の代表的な展開が示されている。 実施例 現在、衛星放送では、納付のような所定の条件を満た
した視聴者しかテレビジョン番組を利用できないように
する条件付きアクセスシステムが用いられている。この
種の有料テレビジョンシステムは2つの部分から成ると
みなすことができる。すなわち、 −たとえば走査線カットおよびローテート手法により、
資格のない視聴者により受信画像を認識できないよう
に、ビデオ信号を処理するスクランブルシステムシステ
ム。 −ビデオ信号のデスクランブルに必要とされる鍵信号を
処理する暗号化システム。 第1図には、公知の有料テレビジョンシステムたとえ
ばビデオ暗号システムが示されている。到来するスタジ
オビデオ信号10は、データ挿入ユニット121により制御
されるビデオスクランブラ122においてスクランブルさ
れる。このデータ挿入ユニットは暗号化コンピュータ11
からアクセスコントロールデータを受信し、ビデオ信号
データの垂直帰線消去期間中に挿入する。このアクセス
コントロールデータにより、資格の与えられたデコーダ
はビデオ信号のデスクランブルを行うことができる。RF
変調された送信機側の出力信号13は、受信機側では入力
信号14である。 この入力信号はチューナ15において復調されてデータ
抽出ユニット16へ導かれ、さらにビデオデスクランブラ
17へ導かれる。データ抽出回路から出力されたアクセス
コントロールデータは、スマートカード182が挿入され
ているならば、ベリファイアユニット181において評価
される。このベリファイアユニットの出力信号によりビ
デオデスクランブラ17が制御される。 スクランブルされるべきビデオ信号の走査線は、第1
のセグメントおよび第2のセグメントにより構成されて
いる。これら2つのセグメントはカットポイントcpによ
り分離される。各走査線内において、たとえば256個の
種々異なるカットポイントを用いることができる。1つ
の走査線全体は、それぞれディジタル化されたルミナン
ス信号およびクロミナンス信号の958個のサンプルによ
り構成できる。 カットポイントは擬似ランダムバイナリシーケンス
(PRBS)によって走査線ごとに規定される。そして2つ
の走査線セグメントは走査線内で循環させられる。つま
りそれらは走査線内でその位置を変える。カットポイン
トcpの相応の位置は、各テレビジョン画像の走査線内で
それぞれ変化する。2つのセグメントの本来の位置を復
元するのがデスクランブルシステムの役割である。この
役割に必要な暗号化データは、垂直帰線消去期間中へ挿
入できる。 テレビジョン信号のデスクランブルのために、デコー
ダは(暗号化コンピュータ11内の)送信機と同じPRBS発
生器を(ベリファイアユニット181内に)有している。
両方の発生器は同じコントロールバイナリシーケンス
で、つまり同じコントロールワードにより初期設定され
ている。このコントロールワードは数秒ごとに変えら
れ、暗号化された形式ですべてのデコーダに同時に送信
される。 PRBS発生器は2つの8ビットワードを出力する。これ
らのワードはルミナンス走査線およびクロミナンス走査
線中のカットポイントcpをマークすることができ、それ
ぞれ次のとおりである: Byte サンプルにおけるカットポイント 0 224 cp 224+2cp 255 734 識別子を発行する前に、資格付与主体は、身元または
署名を検査すべきものすべてに既知であるモジュロnと
べき乗指数ε(代表的にはε=2)を選定して発行す
る。そしてセンタ(つまり資格付与主体)は資格の与え
られているメンバーに対し、k個の小さい(代表的には
1〜5byteの)公開鍵値PKjを含むVPKDディバイスを形成
し、その結果、各PKjはε乗根モジュロn(これ以降SKj
-1と記す)を有する。この場合、PKjはNにおいて完全
平方ではない。可能ならば素数のPKj値を選択すべきで
ある。 通信のためにε≠2が用いられる実施形態では、Vに
対するSKj -2も識別する必要がある(VPKD、公開ディレ
クトリ等)。 これがなされると資格付与主体は、g、n、εおよび
個々のSKjの値を含む識別子Uを検索媒体に記録する。 代表的な実施形態では次の値が提示されている。すな
わち、 −それぞれ2byteの20個の値PK −128bitのIDならびにID&PK1&PK2&...&PK20におけ
る8byteのチェックサム −|n|=512bit 選択的に、式(2)で示されているようないくつかの
代数的または電子的な一対の関数aおよびbを識別子に
加えることができる。しかしこれを行う場合には、aお
よびbがベリファイアでも既知でなければならない。有
利には、代表的な小さな実施形態(たとえばスマートカ
ード)の場合、aおよびbの両方は値‘1'の定数である
が、これよりも強大なシステム(たとえばdongles)の
場合にはaおよびbはいくつかの関数の組であってもよ
い。 第2図および第3図には、代表的なアクセスコントロ
ールの実施形態が示されている。スマートカード20(つ
まり識別子U)は、そのI/Oインターフェース21を介し
てベリファイアユニット30のI/Oインターフェース31と
接続されている。スマートカード20は、たとえばマイク
ロプロセッサ24およびメモリ25たとえばROMを有する。
このメモリは値g、n、SKjならびにマイクロプロセッ
サ24制御プログロムを有することができる。ベリファイ
アユニット30もマイクロプロセッサ34とメモリ35たとえ
ばROMを有することができる。このメモリ値nとマイク
ロプロセッサ34制御プログラムを有することができる。 前記の識別子と前記のベリファイアユニットとのイン
タラクションが行われる場合、以下のステップが実行さ
れる。すなわち、 1)識別子UはVに対しgを送信する(ε≠2でありこ
のデータが送信されないかまたは別の手法でVにとって
既知である場合にはさらにSK1 -2、SK2 -2...SKk -2も送信
する); 2)Vはg2モジュロnを計算し、G=ID&PK1&PK
2&...&PKkを見つける。次にVはIDとg2モジュロnで
見つけられたK値とを分離する; 3)Uは の範囲内で乱数δを選択してδεモジュロnを算出し、
EをVへ送信する; 4)Vはランダムバイナリベクトルv=(v1v2...vkを
選択してそれをUへ送信する; 5)aとbが使用されているときだけ、選択的に:Vおよ
びUの両方は(たとえばv、δ、先行して送信された情
報等から)同一の値Ωを準備する; 6)Uは、 を算出し、zをVへ送信する; 7)Vは、 を検査する。 8)ステップ(3)〜(7)を少なくとも1回繰り返
す。 種々異なる手法でこのプロトコルを変形することがで
きる。つまり式(1)の代わりに種々異なる多項式を用
いることができる。 第4図には相応の認証プトロコルが示されている。 本発明により以下のことが付加的に改善される。すな
わち、 1)擬似ランダム関数は不要である。このことにより
(ROMにおいて)いっそう僅かなメモリ容量しか必要と
されず、さらにプログラムの複雑性もいっそう低減され
る。 2)公知の識別手法ではk個の別個の演算つまりf(I
D,J)を実行しなければならないのに対し、すべての公
開鍵値はただ1度の計算により著しく時間を省いて計算
される。 3)公知の擬似ランダム関数fでは予期できないサイズ
のvjが生成されるのに対し、本発明によればいくつかの
(PKj,SKj)対を、詳細にはSKj、PKjの両方が小さなサ
イズのものである対を選択することができる。 4)公知の識別方式をアップグレード(関数fを変更)
する場合には古い識別子はすべて無効になってしまう
が、本発明では関数fは使用されないのでこの問題は存
在しない。 検証側からインデックスjiを受け取った後にベリファ
イアにより行われる付加的なセキュリティテストを実行
すれば、前述のFiat−Shamirによる認証プロトコルまた
はディジタル署名プロトコルも改善できる。これらのセ
キュリティテストは、1≦a≦b≦kであるかぎりja≠
jbであり、および/または1≦a≦b≦kであるかぎ
り、va≠vbである。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI H04L 9/32 G06K 19/00 R H04N 7/167 H04L 9/00 675C (56)参考文献 Silvio Micali and Adi Shamir,“An Im provement of the F iat−Shamir Identif ication and Signat ure Scheme,”Lectur e Notes in Compute r Science,Vol.403,p p.244−247 David Naccache “A MONTGOMERY−SUITAB LE FIAT−SHAMIRR−LI KE AUTHENTICATION SCHEME,”Lecute Not es in Computer Sci ence,Vol.658,pp.488− 491 (58)調査した分野(Int.Cl.7,DB名) G09C 1/00 - 5/00 H04K 1/00 - 3/00 H04L 9/00 G07F 7/00 G06K 17/00 - 19/00 INSPEC(DIALOG) JICSTファイル(JOIS)
Claims (21)
- 【請求項1】スマートカード(182)またはスマートカ
ード(182)のグループに資格を付与するために、中央
コンピュータ(11)は、各スマートカード(182)また
はスマートカード(182)のグループに特有のIDデータ
を計算し、該IDデータに依存しmod nで算出された秘密
のデータを前記スマートカード(182)に供給し、該ス
マートカードの身元を照合するために、該スマートカー
ドは前記秘密のデータの少なくとも一部分を、スマート
カードリーダ(181)と交換し、該スマートカードリー
ダ(181)は、mod nベースで交換されたデータの有効性
を検査し、ここにおいてnは少なくとも2つの素数の積
である、たとえば有料テレビジョンシステムにおける、
アクセスコントロールまたは識別方法において、 最初のスマートカードセットアップにおいて以下の資格
付与ステップを実行する、すなわち a)前記中央コンピュータ(11)は、結合の結果として
得られる数値Gがd乗根g mod nつまりG=gdmod nを有
するように、前記IDデータを公開鍵PKjおよびバイトc
と結合し、ここにおいてPKjはSKj -1として表されるε乗
根mod nを有しており、すなわちSKj −ε=PKjmod nであ
り; b)少なくともgおよびnが前記スマートカード(18
2)に記録され、 さらに以下の照合ステップを実行する、すなわち、 c)前記スマートカード(182)は少なくともgを前記
スマートカードリーダ(181)へ送信し; d)該スマートカードリーダ(181)はG=gdmod nを計
算し、Gから前記IDデータおよび公開鍵値PKjを分離
し; e)前記スマートカード(182)は、 の範囲内の乱数δを選択し、値E=δεmod nを計算し
て、値Eを前記スマートカードリーダ(181)へ送信
し; f)該スマートカードリーダ(181)はランダムバイナ
リベクトルv=(v1v2...vk)を選択し、該ベクトルを
前記スマートカード(182)へ送信し; g)該スマートカード(182)は、 【数1】 を計算して、zを前記スマートカードリーダ(181)へ
送信し; h)核スマートカードリーダ(181)は、 【数2】 であるか否かを検査し、ここにおいてSKj -2=PKjmod n
およびε=2であり、aおよびbは定数、たとえばa=
b=1である、 ステップを実行することを特徴とする、アクセスコント
ロールまたは識別方法。 - 【請求項2】ε>2であり、前記スマートカードリーダ
(181)はさらに付加的に、たとえば該値の記録されて
いる前記スマートカード(182)を介して、値SKj -2を受
信する、請求項1記載の方法。 - 【請求項3】請求項1のステップa)において、前記バ
イトcは省略され、Gがd乗mod nになるまで、IDおよ
びPKの組合せが転置される、請求項1または2記載の方
法。 - 【請求項4】dはd=2またはd=3の値を有する、請
求項1〜3のいずれか1項記載の方法。 - 【請求項5】Gを生成するために、IDおよびPKまたはc
はID&PK&cになるように結合され、ここにおいて&は
結合演算子である、請求項1〜4のいずれか1項記載の
方法。 - 【請求項6】IDは定数である、請求項1〜5のいずれか
1項記載の方法。 - 【請求項7】gのべき乗は多項式計算に置き換えられ、
中央コンピュータは公開の数値列Ωiを用いて、 【数3】 のようにしてgを計算する、請求項1〜6のいずれか1
項記載の方法。 - 【請求項8】aおよびbは代数的または電子的関数であ
る、請求項1〜7のいずれか1項記載の方法。 - 【請求項9】前記数値nのビット数は450〜570の範囲内
である、請求項1〜8のいずれか1項記載の方法。 - 【請求項10】前記のスマートカード(182)およびス
マートカードリーダ(181)は、たとえば前記ランダム
バイナリベクトルvから、または前記乱数δから、また
は先行の計算から得られたデータまたは数値から、値Ω
を生成し、請求項1のステップg)およびh)を次のよ
うに変形し、すなわち、 g)前記スマートカード(182)は、 【数4】 を算出して(24)、zを前記スマートカードリーダ(18
1)へ送信し、 h)該スマートカードリーダ(181)は、 【数5】 であるか否かを検査する(34)、 ように変形する、請求項1〜9のいずれか1項記載の方
法。 - 【請求項11】ステップe)〜h)を、種々異なるラン
ダムバイナリベクトルvまたは乱数δを用いてt回繰返
し、ここにおいてt≧1である、請求項1〜10のいずれ
か1項記載の方法。 - 【請求項12】tは少なくともt=4の値を有する、請
求項11記載の方法。 - 【請求項13】少なくともk=18個の鍵値PKjのセット
を用いる、請求項1〜12のいずれか1項記載の方法。 - 【請求項14】積k*tは64〜80の範囲内の値を有す
る、請求項11〜13のいずれか1項記載の方法。 - 【請求項15】前記のステップe)〜h)を、2進また
は3進の論理信号を用いて実行する、請求項1〜14のい
ずれか1項記載の方法 - 【請求項16】各スマートカードまたはスマートカード
のグループに特有のIDデータを算出し、mod nで算出さ
れ前記IDデータに依存する秘密のデータをスマートカー
ド(182)またはスマートカードのグループに供給した
中央コンピュータ(11)により資格の与えられたスマー
トカード(182)であって、該スマートカードの身元照
合のために、該スマートカードは前記の秘密のデータの
少なくとも一部分を、前記スマートカードリーダ(18
1)と交換し、該スマートカードリーダ(181)は、mod
nベースで交換されたデータの正当性を検査し、ここに
おいてnは少なくとも2つの素数の積である、たとえば
有料テレビジョンシステムにおける、アクセスコントロ
ールまたは識別のためのスマートカードにおいて、 メモリ手段(25)と、前記IDデータを、結合の結果とし
て得られる数値Gがd乗根g mod nすなわちG=gdmod n
を有するように、公開鍵PKjおよびバイトcと結合する
計算手段(24)と、I/O手段(21)とが設けられてお
り、ここにおいて各PKjは、SKj -1で表わされるε乗根mo
d nを有しており、すなわちSKj −ε=PKjmod nであり、
少なくともgおよびnは前記メモリ手段(25)に記録さ
れており、 照合のために、 i)前記スマートカード(182)は前記I/O手段を介して
少なくともgを前記スマートカードリーダ(181)へ送
信し; j)前記スマートカードは の範囲内で乱数δを選択し、値E=δεを算出して、前
記I/O手段を介して値Eを前記スマートカードリーダ(1
81)へ送信し; k)前記スマートカード(182)は、前記I/O手段を介し
て前記スマートカードリーダ(181)からランダムバイ
ナリベクトルv=(v1v2...vk)を受信し; l)前記スマートカード(182)は 【数6】 を算出して、前記I/O手段を介してzを前記スマートカ
ードリーダ(181)へ送信し、ここにおいてε=2であ
り、aおよびbは定数たとえばa=b=1であることを
特徴とする、 アクセスコントロールまたは識別のためのスマートカー
ド。 - 【請求項17】各スマートカードまたはスマートカード
のグループに特有のIDデータを算出し、mod nで算出さ
れ前記IDデータに依存する秘密のデータを前記スマート
カード(182)に供給した中央コンピュータ(11)によ
り資格の与えられたスマートカード(182)の身元を照
合するベリファイアとして動作するスマートカードリー
ダ(181)であって、該スマートカードリーダ(181)に
スマートカードが挿入され、前記のスマートカードリー
ダ(181)とスマートカード(182)は、前記の秘密のデ
ータの少なくとも一部分を交換し、mod nベースで交換
されたデータの正当性を検査し、ここにおいてnは少な
くとも2つの素数の積である、たとえば有料テレビジョ
ンシステムにおける、ベリファイアとして動作するアク
セスコントロールまたは識別のためのスマートカードリ
ーダ(181)において、 メモリ手段(35)と、前記IDデータを、結合の結果とし
て得られる数値Gがd乗根g mod nつまりG=gdmod nを
有するように、公開鍵PKjおよびバイトcと結合する計
算手段(34)と、I/O手段(31)とが設けられており、
ここにおいて各PKjはSKj -1で表わされるε乗根mod nを
有しており、すなわちSKj −ε=PKjmod nであり、少な
くともnは前記メモリ手段(35)に記録されており、 照合のために、 m)前記スマートカードリーダ(181)は、前記I/O手段
を介して少なくともgを前記スマートカード(182)か
ら受信し、G=gdmod nを算出し(34)、Gから前記ID
データおよび公開値PKjを分離し; n)前記スマートカードリーダ(181)はスマートカー
ド(182)から前記I/O手段を介して、値E=δεmod n
を受信し、ランダムバイナリベクトルv=(v1v2...
vk)を選択し、前記I/O手段を介してこれをスマートカ
ード(182)へ送信し; o)スマートカードリーダ(181)は前記I/O手段を介し
てスマートカード(182)から、 【数7】 を受信し、 【数8】 であるか否かを検査し、ここにおいてSKj -2=PKjmodお
よびn、ε=2であり、aおよびbは定数たとえばa=
b=1であることを特徴とする、 ベリファイアとして動作するアクセスコントロールまた
は識別のためのスマートカードリーダ。 - 【請求項18】前記数値nのビット数は450〜570の範囲
内である、請求項16または17記載の装置。 - 【請求項19】ステップj)〜l)およびn)〜o)
は、種々異なるランダムバイナリベクトルvまたは乱数
δを用いてt回繰り返され、ここにおいてt≧1であ
る、請求項16〜18のいずれか1項記載の方法。 - 【請求項20】tは少なくともt=4の値を有する、請
求項19記載の装置。 - 【請求項21】ステップj)〜l)およびn)〜o)
は、2進または3進の論理信号を用いて実行される、請
求項16〜20のいずれか1項記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP91400111 | 1991-01-18 | ||
| AT91400111.0 | 1991-01-18 | ||
| PCT/EP1992/000044 WO1992013321A1 (en) | 1991-01-18 | 1992-01-11 | Method and apparatus for access control and/or identification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH06504626A JPH06504626A (ja) | 1994-05-26 |
| JP3145116B2 true JP3145116B2 (ja) | 2001-03-12 |
Family
ID=8208531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP50208892A Expired - Fee Related JP3145116B2 (ja) | 1991-01-18 | 1992-01-11 | アクセスコントロールおよび/または識別方法および装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US5452357A (ja) |
| EP (2) | EP0567474B1 (ja) |
| JP (1) | JP3145116B2 (ja) |
| AU (1) | AU650321B2 (ja) |
| CA (1) | CA2100576A1 (ja) |
| DE (1) | DE69206126T2 (ja) |
| HK (1) | HK135597A (ja) |
| PL (1) | PL168163B1 (ja) |
| WO (1) | WO1992013321A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69535935D1 (de) | 1994-02-24 | 2009-05-28 | Comcast Cable Holdings Llc | Verfahren und Vorrichtung zur Erstellung einer kryptographischen Verbindung zwischen Elementen eines Systems |
| FR2717286B1 (fr) * | 1994-03-09 | 1996-04-05 | Bull Cp8 | Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant. |
| AU712668B2 (en) * | 1994-03-09 | 1999-11-11 | Cp8 Technologies | Method and apparatus for authenticating a data carrier intended to enable a transaction or access to a service or a location, and corresponding carrier |
| US6473793B1 (en) * | 1994-06-08 | 2002-10-29 | Hughes Electronics Corporation | Method and apparatus for selectively allocating and enforcing bandwidth usage requirements on network users |
| US6701370B1 (en) | 1994-06-08 | 2004-03-02 | Hughes Electronics Corporation | Network system with TCP/IP protocol spoofing |
| WO1995034153A1 (en) * | 1994-06-08 | 1995-12-14 | Hughes Aircraft Company | Apparatus and method for hybrid network access |
| US5652795A (en) | 1994-11-14 | 1997-07-29 | Hughes Electronics | Method and apparatus for an adapter card providing conditional access in a communication system |
| US5727065A (en) | 1994-11-14 | 1998-03-10 | Hughes Electronics | Deferred billing, broadcast, electronic document distribution system and method |
| US5689247A (en) * | 1994-12-30 | 1997-11-18 | Ortho Pharmaceutical Corporation | Automated system for identifying authorized system users |
| FR2773406B1 (fr) * | 1998-01-06 | 2003-12-19 | Schlumberger Ind Sa | Procede d'authentification de cartes a circuit integre |
| US6012049A (en) * | 1998-02-04 | 2000-01-04 | Citicorp Development Center, Inc. | System for performing financial transactions using a smartcard |
| US6389403B1 (en) * | 1998-08-13 | 2002-05-14 | International Business Machines Corporation | Method and apparatus for uniquely identifying a customer purchase in an electronic distribution system |
| US6449651B1 (en) * | 1998-11-19 | 2002-09-10 | Toshiba America Information Systems, Inc. | System and method for providing temporary remote access to a computer |
| US6934255B1 (en) * | 1999-02-02 | 2005-08-23 | Packeteer, Inc. | Internet over satellite apparatus |
| FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
| US7188258B1 (en) * | 1999-09-17 | 2007-03-06 | International Business Machines Corporation | Method and apparatus for producing duplication- and imitation-resistant identifying marks on objects, and duplication- and duplication- and imitation-resistant objects |
| US6865550B1 (en) * | 2000-02-03 | 2005-03-08 | Eastman Kodak Company | System for secure distribution and playback of digital data |
| EP1146685B1 (en) * | 2000-04-12 | 2004-01-14 | Matsushita Electric Industrial Co., Ltd. | Decryption device |
| DE10108872B4 (de) * | 2001-02-15 | 2013-04-11 | Deutsche Telekom Ag | Verfahren zur Ermöglichung der Entschlüsselung von übertragenen Informationen |
| CA2365481C (en) | 2001-12-18 | 2006-01-03 | Ibm Canada Limited-Ibm Canada Limitee | Encryption method using synchronized continuously calculated pseudo-random key |
| US7343398B1 (en) | 2002-09-04 | 2008-03-11 | Packeteer, Inc. | Methods, apparatuses and systems for transparently intermediating network traffic over connection-based authentication protocols |
| CN112200290A (zh) * | 2020-11-04 | 2021-01-08 | 核工业理化工程研究院 | 基于sd卡的数据采集与管理装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2459595A1 (fr) * | 1979-06-15 | 1981-01-09 | Telediffusion Fse | Systeme de television a controle d'acces utilisant une cle electronique variable |
| US4748668A (en) * | 1986-07-09 | 1988-05-31 | Yeda Research And Development Company Limited | Method, apparatus and article for identification and signature |
| FR2604809B1 (fr) * | 1986-10-07 | 1988-12-02 | Thomson Csf | Carte de controle permettant d'engendrer des codes secrets de grande longueur |
| US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
| AU622915B2 (en) * | 1988-05-19 | 1992-04-30 | Ncr Corporation | Method and device for authentication |
| EP0383985A1 (de) * | 1989-02-24 | 1990-08-29 | Claus Peter Prof. Dr. Schnorr | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem |
| US4932056A (en) * | 1989-03-16 | 1990-06-05 | Yeda Research And Development Company Limited | Method and apparatus for user identification based on permuted kernels |
| US5289542A (en) * | 1991-03-04 | 1994-02-22 | At&T Bell Laboratories | Caller identification system with encryption |
| US5204901A (en) * | 1991-08-01 | 1993-04-20 | General Electric Company | Public key cryptographic mechanism |
-
1992
- 1992-01-11 PL PL92300102A patent/PL168163B1/pl unknown
- 1992-01-11 DE DE69206126T patent/DE69206126T2/de not_active Expired - Fee Related
- 1992-01-11 CA CA002100576A patent/CA2100576A1/en not_active Abandoned
- 1992-01-11 EP EP92901608A patent/EP0567474B1/en not_active Expired - Lifetime
- 1992-01-11 JP JP50208892A patent/JP3145116B2/ja not_active Expired - Fee Related
- 1992-01-11 WO PCT/EP1992/000044 patent/WO1992013321A1/en active IP Right Grant
- 1992-01-11 AU AU11579/92A patent/AU650321B2/en not_active Ceased
- 1992-01-11 EP EP92200119A patent/EP0496459A1/en active Pending
-
1995
- 1995-03-06 US US08/400,310 patent/US5452357A/en not_active Expired - Lifetime
-
1997
- 1997-06-26 HK HK135597A patent/HK135597A/xx not_active IP Right Cessation
Non-Patent Citations (2)
| Title |
|---|
| David Naccache "A MONTGOMERY−SUITABLE FIAT−SHAMIRR−LIKE AUTHENTICATION SCHEME,"Lecute Notes in Computer Science,Vol.658,pp.488−491 |
| Silvio Micali and Adi Shamir,"An Improvement of the Fiat−Shamir Identification and Signature Scheme,"Lecture Notes in Computer Science,Vol.403,pp.244−247 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK135597A (en) | 1998-08-21 |
| EP0567474B1 (en) | 1995-11-15 |
| DE69206126T2 (de) | 1996-05-15 |
| US5452357A (en) | 1995-09-19 |
| CA2100576A1 (en) | 1992-07-19 |
| AU1157992A (en) | 1992-08-27 |
| EP0567474A1 (en) | 1993-11-03 |
| DE69206126D1 (de) | 1995-12-21 |
| PL168163B1 (pl) | 1996-01-31 |
| JPH06504626A (ja) | 1994-05-26 |
| WO1992013321A1 (en) | 1992-08-06 |
| AU650321B2 (en) | 1994-06-16 |
| EP0496459A1 (en) | 1992-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3145116B2 (ja) | アクセスコントロールおよび/または識別方法および装置 | |
| CA2241052C (en) | Application level security system and method | |
| JP2942913B2 (ja) | 相手認証/暗号鍵配送方式 | |
| EP0529261B1 (en) | A hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors | |
| US6298153B1 (en) | Digital signature method and information communication system and apparatus using such method | |
| US7293176B2 (en) | Strong mutual authentication of devices | |
| US5642420A (en) | Cryptoinformation repeater, subscriber terminal connected thereto, and cryptocommunication method | |
| US5581615A (en) | Scheme for authentication of at least one prover by a verifier | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| US5664017A (en) | Internationally regulated system for one to one cryptographic communications with national sovereignty without key escrow | |
| JP2552061B2 (ja) | 公開キー暗号システムにおいてネットワーク安全保証ポリシーが狂わないようにする方法及び装置 | |
| US5953424A (en) | Cryptographic system and protocol for establishing secure authenticated remote access | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| EP0043027A1 (en) | Electronic signature verification method and system | |
| US20060256961A1 (en) | System and method for authentication seed distribution | |
| US7200752B2 (en) | Threshold cryptography scheme for message authentication systems | |
| JPH11122240A (ja) | 復号装置および方法ならびにアクセス資格認証装置および方法 | |
| MacKenzie et al. | Delegation of cryptographic servers for capture-resilient devices | |
| Tzong-Chen et al. | Authenticating passwords over an insecure channel | |
| US7451314B2 (en) | Cryptographic authentication process | |
| JPH09147072A (ja) | 個人認証システム、個人認証カードおよびセンタ装置 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| JP2002544690A (ja) | 安全な通信およびアクセス制御のためのシステム、デバイスおよび方法 | |
| Wang et al. | Using IC cards to remotely login passwords without verification tables | |
| Sugauchi et al. | Fully Subliminal-Free Schnorr Signature for Nonce |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |