JP3253060B2 - 相互認証方法及びその装置 - Google Patents
相互認証方法及びその装置Info
- Publication number
- JP3253060B2 JP3253060B2 JP35715897A JP35715897A JP3253060B2 JP 3253060 B2 JP3253060 B2 JP 3253060B2 JP 35715897 A JP35715897 A JP 35715897A JP 35715897 A JP35715897 A JP 35715897A JP 3253060 B2 JP3253060 B2 JP 3253060B2
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- key
- signature
- sta1
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Description
【0001】
【発明の属する技術分野】この発明は、交信により共通
の秘密鍵を生成し、その秘密鍵により暗号通信を行う通
信システムにおける通信相手の相互認証方法及びその装
置に関する。
の秘密鍵を生成し、その秘密鍵により暗号通信を行う通
信システムにおける通信相手の相互認証方法及びその装
置に関する。
【0002】
【従来の技術】以下では、署名とは、デジタル署名を意
味する。従来の相互認証方法にはX5056−3(IS
O/IEC9798−3)5.2Mutual Aut
hentication(相互認証)に定める相互認証
プロトコルがあった。そのおもなプロトコルとしては、
以下の2つがある。 ・5.2.1 Two Pass Authentication ・5.2.2 Three Pass Authentication また、相互認証プロトコルに対する主な攻撃(なりすま
し)として、 ・Man in the Middle 攻撃 ・Replay攻撃 がある。
味する。従来の相互認証方法にはX5056−3(IS
O/IEC9798−3)5.2Mutual Aut
hentication(相互認証)に定める相互認証
プロトコルがあった。そのおもなプロトコルとしては、
以下の2つがある。 ・5.2.1 Two Pass Authentication ・5.2.2 Three Pass Authentication また、相互認証プロトコルに対する主な攻撃(なりすま
し)として、 ・Man in the Middle 攻撃 ・Replay攻撃 がある。
【0003】まず、この従来の相互認証方法の概要を示
す。 (1)5.2.1 Two Pass Authentication 図7AにTwo Pass Authentication の概要を示す。 1:通信装置STA1は相互認証プロトコルをおこなう
時点の時刻をT1とし、[T1,STA2]に対する署
名S1を生成する。 2:通信装置STA1は通信装置STA1の公開鍵PK
1の証明書(PK1とPK1に対する認証局の署名B
1)とT1,STA2,S1とを通信装置STA2へ送
る。(図7Aの1) 3:通信装置STA2は通信装置1からSTA1の証明
書B1を用いて署名S1を検査し、検査に不合格の場合
はプロトコルを中断する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2は通信装置STA2の公開鍵PK
2の証明書(PK1とその署名B2)、T2,STA
1,S2を通信装置STA1へ送る。(図7Aの2) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
す。 (1)5.2.1 Two Pass Authentication 図7AにTwo Pass Authentication の概要を示す。 1:通信装置STA1は相互認証プロトコルをおこなう
時点の時刻をT1とし、[T1,STA2]に対する署
名S1を生成する。 2:通信装置STA1は通信装置STA1の公開鍵PK
1の証明書(PK1とPK1に対する認証局の署名B
1)とT1,STA2,S1とを通信装置STA2へ送
る。(図7Aの1) 3:通信装置STA2は通信装置1からSTA1の証明
書B1を用いて署名S1を検査し、検査に不合格の場合
はプロトコルを中断する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2は通信装置STA2の公開鍵PK
2の証明書(PK1とその署名B2)、T2,STA
1,S2を通信装置STA1へ送る。(図7Aの2) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
【0004】3、6の検査が両方とも合格だった場合
に、相互認証が成立する。 (2)5.2.2 Three Pass Authentication 図7BにThree Pass Authentication の概要を示す。 1:通信装置STA2は乱数R2を生成し、通信装置S
TA1へ送る。(図7Bの1) 2:通信装置STA1は乱数R1を生成し、[R1,R
2,STA2]に対する署名S1を生成する。 3:通信装置STA1はその公開鍵PK1の証明書、R
1,R2,STA2,S1を通信装置STA2へ送る。
(図7Bの2) 4:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査し、検査に不合格の場合はプロ
トコルを中断する。 5:通信装置STA2は[R2,R1,STA1]に対
する署名S2を生成する。 6:通信装置STA2はその公開鍵PK2の証明書、R
2,R1,STA1,S2を通信装置STA1へ送る。
(図7Bの3) 7:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
に、相互認証が成立する。 (2)5.2.2 Three Pass Authentication 図7BにThree Pass Authentication の概要を示す。 1:通信装置STA2は乱数R2を生成し、通信装置S
TA1へ送る。(図7Bの1) 2:通信装置STA1は乱数R1を生成し、[R1,R
2,STA2]に対する署名S1を生成する。 3:通信装置STA1はその公開鍵PK1の証明書、R
1,R2,STA2,S1を通信装置STA2へ送る。
(図7Bの2) 4:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査し、検査に不合格の場合はプロ
トコルを中断する。 5:通信装置STA2は[R2,R1,STA1]に対
する署名S2を生成する。 6:通信装置STA2はその公開鍵PK2の証明書、R
2,R1,STA1,S2を通信装置STA1へ送る。
(図7Bの3) 7:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
【0005】4、7の検査が両方とも合格だった場合
に、相互認証が成立する。上記で説明した、従来の認証
プロトコル ・5.2.1 Two Pass Authentication ・5.2.2 Three Pass Authentication では、以下に説明するReplay攻撃を防ぐことはできる
が、Man in the Middle 攻撃を防ぐことはできないとい
う問題点がある。 ・Man in the Middle 攻撃 通信装置STA1、STA2と平行して認証プロトコル
を実行する能力を持つ不正通信者STA3が、通信装置
STA1には不正通信者STA3通信装置(以下STA
3は不正通信者又はその通信装置を意味する)が通信装
置STA2であり、通信装置STA2には不正通信装置
STA3が通信装置STA1であると信じさせることを
目的とした攻撃方法である。
に、相互認証が成立する。上記で説明した、従来の認証
プロトコル ・5.2.1 Two Pass Authentication ・5.2.2 Three Pass Authentication では、以下に説明するReplay攻撃を防ぐことはできる
が、Man in the Middle 攻撃を防ぐことはできないとい
う問題点がある。 ・Man in the Middle 攻撃 通信装置STA1、STA2と平行して認証プロトコル
を実行する能力を持つ不正通信者STA3が、通信装置
STA1には不正通信者STA3通信装置(以下STA
3は不正通信者又はその通信装置を意味する)が通信装
置STA2であり、通信装置STA2には不正通信装置
STA3が通信装置STA1であると信じさせることを
目的とした攻撃方法である。
【0006】認証プロトコル「5.2.1 Two Pass A
uthentication 」に対するMan in the Middle 攻撃は図
8Aのようになる。不正通信装置STA3は、通信装置
STA1から送られてきたメッセージを通信装置STA
2へ送り、通信装置STA2から送られてきたメッセー
ジを通信装置STA1へ送ることによって、上記目的を
果たすことができる。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1とし、[T1,STA2]に対する署名S1を
生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1,STA2,S1を不正通信装置STA3へ送る。
(図8Aの1) 2a:不正通信装置STA3は通信装置STA1からの
公開鍵PK1の証明書、T1,STA2,S1を通信装
置STA2へ送る。(図8Aの2) 3:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2はその公開鍵の証明書、T2,S
TA1,S2を不正通信装置STA3へ送る。(図8A
の3) 5a:不正通信装置STA3は通信装置STA2からの
公開鍵の証明書、T2,STA1,S2を通信装置ST
A1へ送る。(図8Aの4) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査する。
uthentication 」に対するMan in the Middle 攻撃は図
8Aのようになる。不正通信装置STA3は、通信装置
STA1から送られてきたメッセージを通信装置STA
2へ送り、通信装置STA2から送られてきたメッセー
ジを通信装置STA1へ送ることによって、上記目的を
果たすことができる。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1とし、[T1,STA2]に対する署名S1を
生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1,STA2,S1を不正通信装置STA3へ送る。
(図8Aの1) 2a:不正通信装置STA3は通信装置STA1からの
公開鍵PK1の証明書、T1,STA2,S1を通信装
置STA2へ送る。(図8Aの2) 3:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2はその公開鍵の証明書、T2,S
TA1,S2を不正通信装置STA3へ送る。(図8A
の3) 5a:不正通信装置STA3は通信装置STA2からの
公開鍵の証明書、T2,STA1,S2を通信装置ST
A1へ送る。(図8Aの4) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査する。
【0007】ここでは5.2.1 Two Pass Authentic
ation について述べたが、5.2.2Three Pass Authe
ntication に対しても同じ攻撃を行うことができる。 ・Replay攻撃 不正通信者STA3が、通信装置STA2とSTA1の
通信を傍受し、その情報を用いて、後の認証手順におい
て通信装置STA2に不正通信装置STA3が通信装置
STA1であると信じさせることを目的とした攻撃方法
である。
ation について述べたが、5.2.2Three Pass Authe
ntication に対しても同じ攻撃を行うことができる。 ・Replay攻撃 不正通信者STA3が、通信装置STA2とSTA1の
通信を傍受し、その情報を用いて、後の認証手順におい
て通信装置STA2に不正通信装置STA3が通信装置
STA1であると信じさせることを目的とした攻撃方法
である。
【0008】認証プロトコル「5.2.1 Two Pass A
uthentication 」に対するReplay攻撃は図8Bのように
なる。まず、通信装置STA1とSTA2の認証プロト
コルが行われ、これを不正通信装置STA3が盗聴す
る。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1とし、[T1,STA2]に対する署名S1を
生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1,STA2,S1を通信装置STA2へ送る。(図8
Bの1) 3:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査し、検査に不合格の場合はプロ
トコルを中断する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2はその公開鍵PK2の証明書、T
2,STA1,S2を通信装置STA1へ送る。(図8
Bの2) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
uthentication 」に対するReplay攻撃は図8Bのように
なる。まず、通信装置STA1とSTA2の認証プロト
コルが行われ、これを不正通信装置STA3が盗聴す
る。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1とし、[T1,STA2]に対する署名S1を
生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1,STA2,S1を通信装置STA2へ送る。(図8
Bの1) 3:通信装置STA2は通信装置STA1からの証明書
を用いて署名S1を検査し、検査に不合格の場合はプロ
トコルを中断する。 4:通信装置STA2はプロトコルをおこなう時点の時
刻をT2とし、[T2,STA1]に対する署名S2を
生成する。 5:通信装置STA2はその公開鍵PK2の証明書、T
2,STA1,S2を通信装置STA1へ送る。(図8
Bの2) 6:通信装置STA1は通信装置STA2からの証明書
を用いて署名S2を検査し、検査に不合格の場合はプロ
トコルを中断する。
【0009】つぎに通信装置STA1と(通信装置ST
A2であると偽った)不正通信装置STA3の認証プロ
トコルが行われる。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1′とし、[T1′,STA2]に対する署名S
1を生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1′,STA2,S1を不正通信装置STA3へ送る。
(図8Bの3) 3:不正通信装置STA3は通信装置STA1からの証
明書を用いて署名S1を検査し、検査に不合格の場合は
プロトコルを中断する。 4:不正通信装置STA3は先の盗聴により得た通信装
置STA2の公開鍵PK2の証明書、T2,STA1,
S2を通信装置STA1へ送る。(図8Bの4) 5:通信装置STA1は通信装置STA2の証明書を用
いて署名S2を検査し、検査に不合格の場合はプロトコ
ルを中断する。
A2であると偽った)不正通信装置STA3の認証プロ
トコルが行われる。 1:通信装置STA1はプロトコルをおこなう時点の時
刻をT1′とし、[T1′,STA2]に対する署名S
1を生成する。 2:通信装置STA1はその公開鍵PK1の証明書、T
1′,STA2,S1を不正通信装置STA3へ送る。
(図8Bの3) 3:不正通信装置STA3は通信装置STA1からの証
明書を用いて署名S1を検査し、検査に不合格の場合は
プロトコルを中断する。 4:不正通信装置STA3は先の盗聴により得た通信装
置STA2の公開鍵PK2の証明書、T2,STA1,
S2を通信装置STA1へ送る。(図8Bの4) 5:通信装置STA1は通信装置STA2の証明書を用
いて署名S2を検査し、検査に不合格の場合はプロトコ
ルを中断する。
【0010】不正通信装置STA3は、通信装置STA
2が送ったのと同じメッセージを通信装置STA1へ送
るため、不正通信装置STA3は前回の認証時と同じ時
刻情報T2を使うことになり、通信装置STA1は不正
通信装置STA3が通信装置STA2でないことを見破
ることができる。鍵共有したあと、暗号化したメッセー
ジを交換して認証を行うことにより、Replay攻撃を防ぐ
ことは可能である。
2が送ったのと同じメッセージを通信装置STA1へ送
るため、不正通信装置STA3は前回の認証時と同じ時
刻情報T2を使うことになり、通信装置STA1は不正
通信装置STA3が通信装置STA2でないことを見破
ることができる。鍵共有したあと、暗号化したメッセー
ジを交換して認証を行うことにより、Replay攻撃を防ぐ
ことは可能である。
【0011】しかし、不正通信者は、鍵共有プロトコル
に対しても Man in the Middle攻撃を行うことにより、
暗号化したメッセージを交換して認証を行う場合でも、
なりすましをすることができる。また、 5.2.1 Two Pass Authentication では、Replay攻撃に対する安全性を日時情報に依ってい
るため、時刻情報を共有できない場合には完全ではな
く、 5.2.2 Three Pass Authentication では、メッセージのやりとりが1回増えて3回となると
いう問題がある。
に対しても Man in the Middle攻撃を行うことにより、
暗号化したメッセージを交換して認証を行う場合でも、
なりすましをすることができる。また、 5.2.1 Two Pass Authentication では、Replay攻撃に対する安全性を日時情報に依ってい
るため、時刻情報を共有できない場合には完全ではな
く、 5.2.2 Three Pass Authentication では、メッセージのやりとりが1回増えて3回となると
いう問題がある。
【0012】
【発明が解決しようとする課題】この発明の目的は、証
明書を交換する認証方法の、Man in the middle と呼ば
れる攻撃方法に対する弱点を解決し、しかも認証用のメ
ッセージの交換の回数を減らして効率化した、認証方法
及びその装置を提供することにある。
明書を交換する認証方法の、Man in the middle と呼ば
れる攻撃方法に対する弱点を解決し、しかも認証用のメ
ッセージの交換の回数を減らして効率化した、認証方法
及びその装置を提供することにある。
【0013】
【課題を解決するための手段】この発明は、認証プロト
コルの際に、証明書の交換に先だって交換される、鍵共
有のための通信相手の装置が発生した乱数から算出され
た情報に対してデジタル署名を行うことを最も主要な特
徴とする。従来技術とは、通信する両者が鍵共有を行う
際に交換した情報を、認証プロトコルに用いる点が異な
る。
コルの際に、証明書の交換に先だって交換される、鍵共
有のための通信相手の装置が発生した乱数から算出され
た情報に対してデジタル署名を行うことを最も主要な特
徴とする。従来技術とは、通信する両者が鍵共有を行う
際に交換した情報を、認証プロトコルに用いる点が異な
る。
【0014】
【発明の実施の形態】実施形態1(請求項1) 図1Aに、この実施形態1を実施した場合の認証方法
(プロトコル)のシーケンスを示す。 最初の1往復の信号の送受で通信装置STA1、S
TA2が各々発生した乱数A1,A2から算出された値
GA1Mod P、GA2Mod Pをそれぞれ認証要求、認証要求
付に付けて相手局に送ることにより交換し、Diffie-Hel
lman鍵配送アルゴリズムにより秘密鍵KをK=GA1・A2
Mod Pと算出して共有する。
(プロトコル)のシーケンスを示す。 最初の1往復の信号の送受で通信装置STA1、S
TA2が各々発生した乱数A1,A2から算出された値
GA1Mod P、GA2Mod Pをそれぞれ認証要求、認証要求
付に付けて相手局に送ることにより交換し、Diffie-Hel
lman鍵配送アルゴリズムにより秘密鍵KをK=GA1・A2
Mod Pと算出して共有する。
【0015】なおG,PはDiffie-Hellman鍵配送アルゴ
リズムにおける公開鍵である。 共有して以降の信号の送受は、共有された秘密鍵K
を用いて暗号化されて行われる。したがって、鍵共有し
た当事者(STA1,STA2のいずれか)以外の第三
者からの証明書の送信は、復号化処理により意味のない
データとなり、証明書の検証時に、排除することができ
る。以上により、証明書の送信者が、鍵共有を行った当
事者であることが保証される。 通信装置STA1は署名用鍵K1に対する公開鍵P
K1の証明書と、Diffie-Hellman鍵配送アルゴリズムで
用いた情報GA2Mod Pに対する署名用秘密鍵K1による
署名を通信装置STA2へ送る。同様に通信装置STA
2は署名用鍵K2に対する公開鍵PK2の証明書と、G
A1Mod Pに対する署名用秘密鍵K2による署名を通信装
置STA1へ送る。
リズムにおける公開鍵である。 共有して以降の信号の送受は、共有された秘密鍵K
を用いて暗号化されて行われる。したがって、鍵共有し
た当事者(STA1,STA2のいずれか)以外の第三
者からの証明書の送信は、復号化処理により意味のない
データとなり、証明書の検証時に、排除することができ
る。以上により、証明書の送信者が、鍵共有を行った当
事者であることが保証される。 通信装置STA1は署名用鍵K1に対する公開鍵P
K1の証明書と、Diffie-Hellman鍵配送アルゴリズムで
用いた情報GA2Mod Pに対する署名用秘密鍵K1による
署名を通信装置STA2へ送る。同様に通信装置STA
2は署名用鍵K2に対する公開鍵PK2の証明書と、G
A1Mod Pに対する署名用秘密鍵K2による署名を通信装
置STA1へ送る。
【0016】このようにしてセッション時に生成されて
送受された情報:ここでは、鍵共有用の情報GA1Mod
P、GA2Mod Pに対して、証明書中の公開鍵に対応する
署名用鍵によってデジタル署名できる能力を示すことに
より、自分が、証明書を傍受して、不正に流用している
通信者ではなく、証明書に記載されている公開鍵の本物
の所有者であることを示す。
送受された情報:ここでは、鍵共有用の情報GA1Mod
P、GA2Mod Pに対して、証明書中の公開鍵に対応する
署名用鍵によってデジタル署名できる能力を示すことに
より、自分が、証明書を傍受して、不正に流用している
通信者ではなく、証明書に記載されている公開鍵の本物
の所有者であることを示す。
【0017】つまり通信装置STA1は乱数を生成し、
GA3Mod Pを演算し、認証要求とG A3Mod Pを不正通信
装置STA3へ送り、不正通信装置STA3は乱数A4
を生成し、GA4Mod Pを演算し、これと認証要求受付と
を通信装置STA1へ送る。両通信装置STA1、ST
A3はそれぞれ秘密鍵K′=GA3・A4Mod Pを計算す
る。
GA3Mod Pを演算し、認証要求とG A3Mod Pを不正通信
装置STA3へ送り、不正通信装置STA3は乱数A4
を生成し、GA4Mod Pを演算し、これと認証要求受付と
を通信装置STA1へ送る。両通信装置STA1、ST
A3はそれぞれ秘密鍵K′=GA3・A4Mod Pを計算す
る。
【0018】次に共通した秘密鍵K′で暗号化して送受
信を行うが不正通信装置STA3は傍受した通信装置S
TA2の公開鍵PK2の証明書を用いてこれを通信装置
STA1に送ることができるが、通信装置STA2のP
K2と対応する署名用鍵K2を知らないため、GA1Mod
Pに対する正しい署名を通信装置STA1へ送ることが
できない。
信を行うが不正通信装置STA3は傍受した通信装置S
TA2の公開鍵PK2の証明書を用いてこれを通信装置
STA1に送ることができるが、通信装置STA2のP
K2と対応する署名用鍵K2を知らないため、GA1Mod
Pに対する正しい署名を通信装置STA1へ送ることが
できない。
【0019】従って通信装置STA1は、公開鍵PK2
が正しいものであることを確認することができるが、こ
のPK2を用いて、不正通信装置STA3よりのGA1Mo
d Pに対する署名と相当するものを検証した際に、不合
格となり、秘密鍵K′を共有した相手が通信装置STA
2でないことが判明する。 検証結果及び接続条件によって接続の可否を判断す
る。
が正しいものであることを確認することができるが、こ
のPK2を用いて、不正通信装置STA3よりのGA1Mo
d Pに対する署名と相当するものを検証した際に、不合
格となり、秘密鍵K′を共有した相手が通信装置STA
2でないことが判明する。 検証結果及び接続条件によって接続の可否を判断す
る。
【0020】上記により、鍵を共有した相手が証明書の
送信者であり、かつ、証明書に記載されている公開鍵と
対応する署名用鍵K1,K2を知っていることが相互に
証明できる。この実施の形態において、Diffie-Hellman
鍵配送アルゴリズムの代わりに、楕円Diffie-Hellman鍵
配送アルゴリズムを使用することが可能である。
送信者であり、かつ、証明書に記載されている公開鍵と
対応する署名用鍵K1,K2を知っていることが相互に
証明できる。この実施の形態において、Diffie-Hellman
鍵配送アルゴリズムの代わりに、楕円Diffie-Hellman鍵
配送アルゴリズムを使用することが可能である。
【0021】実施形態2(請求項2) 公開鍵暗号(RSA暗号、ElGamal暗号、など)
を用いて鍵A2を共有し、鍵A2を用いた暗号通信を行
っている状態でデジタル署名を用いた認証プロトコルを
行う場合を想定している。ここで、鍵共有に用いる公開
鍵暗号の公開鍵にたいしても認証局が証明書を発行する
ことにより、鍵共有と認証を同時に行う方法も考えられ
るが、 ・鍵共有用と署名用に別々の証明書を必要とする方式
は、認証局の負担が増えること。 ・認証プロトコルは暗号化した状態で行った方が不特定
多数に認証用の情報が漏れる危険が減ること。 などの理由から、「鍵共有プロトコル」「暗号通信で認
証プロトコル」という順に行うのが一般的である。
を用いて鍵A2を共有し、鍵A2を用いた暗号通信を行
っている状態でデジタル署名を用いた認証プロトコルを
行う場合を想定している。ここで、鍵共有に用いる公開
鍵暗号の公開鍵にたいしても認証局が証明書を発行する
ことにより、鍵共有と認証を同時に行う方法も考えられ
るが、 ・鍵共有用と署名用に別々の証明書を必要とする方式
は、認証局の負担が増えること。 ・認証プロトコルは暗号化した状態で行った方が不特定
多数に認証用の情報が漏れる危険が減ること。 などの理由から、「鍵共有プロトコル」「暗号通信で認
証プロトコル」という順に行うのが一般的である。
【0022】図2にこの実施形態の認証プロトコルのシ
ーケンスを示す。 公開鍵暗号用の公開鍵PKとデジタル署名用の公開鍵 PK1またはPK2は同じでも異なっていても良いが、 ・署名と暗号に同じ鍵を用いると、安全性に問題が有る
場合がある。 ・署名/暗号両用のアルゴリズムに比較して、どちらか
片方しか出来ないアルゴリズムにより高速なものが存在
する という理由から、一般には異なる公開鍵を用いる。 最初の1往復の信号の送受で通信装置STA1は、
通信装置STA2に通信装置STA1の公開鍵PKを認
証要求と共に送信し、通信装置STA2は、乱数A2を
発生し、公開鍵PKによって乱数A2を暗号化した値S
2と認証要求受付を通信装置STA1に送り返す。
ーケンスを示す。 公開鍵暗号用の公開鍵PKとデジタル署名用の公開鍵 PK1またはPK2は同じでも異なっていても良いが、 ・署名と暗号に同じ鍵を用いると、安全性に問題が有る
場合がある。 ・署名/暗号両用のアルゴリズムに比較して、どちらか
片方しか出来ないアルゴリズムにより高速なものが存在
する という理由から、一般には異なる公開鍵を用いる。 最初の1往復の信号の送受で通信装置STA1は、
通信装置STA2に通信装置STA1の公開鍵PKを認
証要求と共に送信し、通信装置STA2は、乱数A2を
発生し、公開鍵PKによって乱数A2を暗号化した値S
2と認証要求受付を通信装置STA1に送り返す。
【0023】通信装置STA1はS2を復号して乱数A
2を得る。以後、メッセージを暗号化する鍵としてA2
を用いる。 共有して以降の信号の送受は、共有された鍵A2を
用いて暗号化されて行われる。A2は、(a)発生した
通信装置STA2と、(b)公開鍵PKに対応する秘密
鍵SKを持っており、公開鍵PKによる暗号文を復号で
きる通信装置のみが知りえる情報である。
2を得る。以後、メッセージを暗号化する鍵としてA2
を用いる。 共有して以降の信号の送受は、共有された鍵A2を
用いて暗号化されて行われる。A2は、(a)発生した
通信装置STA2と、(b)公開鍵PKに対応する秘密
鍵SKを持っており、公開鍵PKによる暗号文を復号で
きる通信装置のみが知りえる情報である。
【0024】したがって、鍵共有した当事者(STA
1,STA2のいずれか)以外の第三者からの証明書の
送信は、復号化処理により意味のないデータとなり、証
明書の検証時に、排除することができる。以上により、
証明書の送信者が、鍵共有を行った当事者であることが
保証される。 通信装置STA1は、乱数A1を発生し、 ・通信装置STA1の公開鍵PK1の証明書、 ・通信装置STA1の秘密鍵K1による、[A1,S
2]に対する署名 ・A1,S2 を通信装置STA2に送る。
1,STA2のいずれか)以外の第三者からの証明書の
送信は、復号化処理により意味のないデータとなり、証
明書の検証時に、排除することができる。以上により、
証明書の送信者が、鍵共有を行った当事者であることが
保証される。 通信装置STA1は、乱数A1を発生し、 ・通信装置STA1の公開鍵PK1の証明書、 ・通信装置STA1の秘密鍵K1による、[A1,S
2]に対する署名 ・A1,S2 を通信装置STA2に送る。
【0025】通信装置STA2は、 ・通信装置STA2の公開鍵PK2の証明書 ・通信装置STA2の秘密鍵K2による[S2,A1]
に対する署名 ・S2,A1 を通信装置STA1に送る。
に対する署名 ・S2,A1 を通信装置STA1に送る。
【0026】ここで、STA1→STA2のときと、S
TA2→STA1の時で、S2とA1の順番が逆になっ
ているのは、従来法であるX5056−3(ISO/I
EC9798−3)5.2.2Three Pass Authenticat
ion の該当する部分にならっている。両方とも同じ順番
にしても良い。このような処理により、実施の形態1と
同様、セッション時に生成されて送受された予測不可能
な情報:ここでは、A1,S2を、証明書中の公開鍵に
対応する署名用鍵によってデジタル署名できる能力を示
すことにより、自分が、証明書を傍受して、不正に流用
している通信者ではなく、証明書に記載されている公開
鍵の本物の所有者であることを示している。 検証結果及び接続条件によって接続の可否を判断す
る。
TA2→STA1の時で、S2とA1の順番が逆になっ
ているのは、従来法であるX5056−3(ISO/I
EC9798−3)5.2.2Three Pass Authenticat
ion の該当する部分にならっている。両方とも同じ順番
にしても良い。このような処理により、実施の形態1と
同様、セッション時に生成されて送受された予測不可能
な情報:ここでは、A1,S2を、証明書中の公開鍵に
対応する署名用鍵によってデジタル署名できる能力を示
すことにより、自分が、証明書を傍受して、不正に流用
している通信者ではなく、証明書に記載されている公開
鍵の本物の所有者であることを示している。 検証結果及び接続条件によって接続の可否を判断す
る。
【0027】上記により、鍵を共有した相手が証明書の
送信者であり、かつ、証明書に記載されている公開鍵と
対応する秘密鍵K1,K2を知っていることが相互に証
明できる。この実施形態は、公開鍵暗号一般(RSA、
ElGamal、楕円ElGamal、ラビン)による
鍵配送方式に適用可能である。
送信者であり、かつ、証明書に記載されている公開鍵と
対応する秘密鍵K1,K2を知っていることが相互に証
明できる。この実施形態は、公開鍵暗号一般(RSA、
ElGamal、楕円ElGamal、ラビン)による
鍵配送方式に適用可能である。
【0028】実施形態1に用いられる通信装置STA1
の機能構成例を図3に示す。記憶部11には乱数生成部
ノイズ生成された乱数A1、鍵配送アルゴリズムに用い
られる公開情報G,P、共有鍵生成部13で生成された
共有鍵SK、その通信装置STA1の公開鍵PK1の証
明書、そのPK1と対の署名用秘密鍵K1、相手通信装
置STA2から送られた鍵配送用関数値結果G(A2)
などが記憶されている。
の機能構成例を図3に示す。記憶部11には乱数生成部
ノイズ生成された乱数A1、鍵配送アルゴリズムに用い
られる公開情報G,P、共有鍵生成部13で生成された
共有鍵SK、その通信装置STA1の公開鍵PK1の証
明書、そのPK1と対の署名用秘密鍵K1、相手通信装
置STA2から送られた鍵配送用関数値結果G(A2)
などが記憶されている。
【0029】関数演算部14では乱数A1、公開情報
P,Gが入力されて鍵配送アルゴリズムによる鍵配送用
関数F(A1)が演算される。つまり、鍵配送アルゴリ
ズムは必ずしもDiffie-Hellmanのアルゴリズムに限ら
ず、要は乱数A1を変数とした関数を利用するものであ
ればよい。共有鍵生成部13では相手通信装置STA2
からの鍵配送用関数値G(A2)と、乱数A1とから共
有の秘密鍵SKを生成して、記憶部11に記憶する。
P,Gが入力されて鍵配送アルゴリズムによる鍵配送用
関数F(A1)が演算される。つまり、鍵配送アルゴリ
ズムは必ずしもDiffie-Hellmanのアルゴリズムに限ら
ず、要は乱数A1を変数とした関数を利用するものであ
ればよい。共有鍵生成部13では相手通信装置STA2
からの鍵配送用関数値G(A2)と、乱数A1とから共
有の秘密鍵SKを生成して、記憶部11に記憶する。
【0030】前記実施例ではG(A2)に対し、K1に
よる署名を直接行ったが、G(A2)を変数とする関数
H(G(A2))、例えばG(A2)を整数倍した簡単
な関数や、複数次数の複雑な関数でもよい。更に乱数A
1も付加したものでもよい。単純にはA1+G(A2)
自体又はH(A1+G(A2))としてもよい。よって
この例では認証用演算部15でG(A2)とA1を変数
として関数H(A1,G(A2))を演算し、その演算
結果に対し、署名部16で、署名用秘密鍵K1によりデ
ジタル署名がなされる。
よる署名を直接行ったが、G(A2)を変数とする関数
H(G(A2))、例えばG(A2)を整数倍した簡単
な関数や、複数次数の複雑な関数でもよい。更に乱数A
1も付加したものでもよい。単純にはA1+G(A2)
自体又はH(A1+G(A2))としてもよい。よって
この例では認証用演算部15でG(A2)とA1を変数
として関数H(A1,G(A2))を演算し、その演算
結果に対し、署名部16で、署名用秘密鍵K1によりデ
ジタル署名がなされる。
【0031】その暗号部17では署名部16の署名結
果、つまり認証用署名C1と、公開鍵PK1の証明書に
対し、または検証結果生成部18からの検証結果に対
し、共有鍵SKで暗号化する。認証要求と鍵配送用関数
演算部14用演算結果F(A1)、や暗号部17の暗号
化出力が送信部19により通信装置STA2など相手通
信装置へ送信される。
果、つまり認証用署名C1と、公開鍵PK1の証明書に
対し、または検証結果生成部18からの検証結果に対
し、共有鍵SKで暗号化する。認証要求と鍵配送用関数
演算部14用演算結果F(A1)、や暗号部17の暗号
化出力が送信部19により通信装置STA2など相手通
信装置へ送信される。
【0032】通信装置STA2からなど外部からの信号
が受信部20で受信され、それが認証要求受付けの場合
は、G(A2)が共有鍵生成部13へ入力され、共有鍵
SKを生成以後の受信信号は復号部21で共有鍵SKで
復号される。復号部21の出力中の公開鍵PK2の証明
書に対し、公開鍵確認部22でその受信公開鍵PK2が
正しいものであることが確認され、その確認された公開
鍵PK2を用いて、受信された認証用署名C2が署名検
証部23で検証される。公開鍵確認部22、署名検証部
23の各検証結果にもとづき、検証結果生成部18で検
証結果が生成される。以上の各部に対する制御、その処
理実行が制御部24により行われる。一般には、これら
の処理はコンピュータにより行われる。
が受信部20で受信され、それが認証要求受付けの場合
は、G(A2)が共有鍵生成部13へ入力され、共有鍵
SKを生成以後の受信信号は復号部21で共有鍵SKで
復号される。復号部21の出力中の公開鍵PK2の証明
書に対し、公開鍵確認部22でその受信公開鍵PK2が
正しいものであることが確認され、その確認された公開
鍵PK2を用いて、受信された認証用署名C2が署名検
証部23で検証される。公開鍵確認部22、署名検証部
23の各検証結果にもとづき、検証結果生成部18で検
証結果が生成される。以上の各部に対する制御、その処
理実行が制御部24により行われる。一般には、これら
の処理はコンピュータにより行われる。
【0033】図4に図2に示した実施形態2の通信装置
STA1の機能構成を図3と対応する部分に同一符号を
付けて示す。この場合記憶部11には鍵配送用公開鍵α
(図2ではPK)、が鍵配送用公開情報P,Gの代りに
記憶され、またG(A2)の代りに暗号情報G(α、A
2)=S2が記憶される。鍵配送処理時には、記憶要求
と鍵配送用公開鍵αとが送信され、また受信部20で受
信された鍵配送時の暗号情報G(α、A2)は共有鍵生
成部13で公開鍵αで復号され、前記実施例ではA2が
共有鍵SKとされて記憶部11に記憶される。しかし、
この共有鍵SKはA2の関数であればよい。また認証処
理において、乱数生成部26から乱数A1を生成し、
(S2=G(α、A2),A2)に対し直接署名用秘密
鍵K1で署名したが、図3の場合と同様に認証用関数演
算部15でH(A1,S2)を演算し、これに対し、署
名部16でK1による署名を行ってもよい。その他は図
3の場合と同一である。
STA1の機能構成を図3と対応する部分に同一符号を
付けて示す。この場合記憶部11には鍵配送用公開鍵α
(図2ではPK)、が鍵配送用公開情報P,Gの代りに
記憶され、またG(A2)の代りに暗号情報G(α、A
2)=S2が記憶される。鍵配送処理時には、記憶要求
と鍵配送用公開鍵αとが送信され、また受信部20で受
信された鍵配送時の暗号情報G(α、A2)は共有鍵生
成部13で公開鍵αで復号され、前記実施例ではA2が
共有鍵SKとされて記憶部11に記憶される。しかし、
この共有鍵SKはA2の関数であればよい。また認証処
理において、乱数生成部26から乱数A1を生成し、
(S2=G(α、A2),A2)に対し直接署名用秘密
鍵K1で署名したが、図3の場合と同様に認証用関数演
算部15でH(A1,S2)を演算し、これに対し、署
名部16でK1による署名を行ってもよい。その他は図
3の場合と同一である。
【0034】この実施形態2における通信装置STA2
の場合は図4に破線で示すように、鍵配送時に、乱数生
成部27で乱数A2が生成され、その乱数A2に対し暗
号部28で公開鍵αにより暗号化されG(α、A2)と
されて送信される。共有鍵生成部ではA2とαから共有
鍵SKが生成される。その他は通信装置STA1と同様
である。通信装置STA1,STA2は何れが先に認証
要求を出すかは不明であるから通信装置としては両機能
を具備する。
の場合は図4に破線で示すように、鍵配送時に、乱数生
成部27で乱数A2が生成され、その乱数A2に対し暗
号部28で公開鍵αにより暗号化されG(α、A2)と
されて送信される。共有鍵生成部ではA2とαから共有
鍵SKが生成される。その他は通信装置STA1と同様
である。通信装置STA1,STA2は何れが先に認証
要求を出すかは不明であるから通信装置としては両機能
を具備する。
【0035】図1乃至図4において共有鍵SKの生成後
は、その共有鍵SKにより全ての送信情報と暗号化して
送信し、受信情報をSKで復号すると述べたが、前記相
互認証処理、つまり図1、図2に対する説明中の,
においては共有鍵SKにより暗号化を行うことなく相互
認証を行ってもよい。
は、その共有鍵SKにより全ての送信情報と暗号化して
送信し、受信情報をSKで復号すると述べたが、前記相
互認証処理、つまり図1、図2に対する説明中の,
においては共有鍵SKにより暗号化を行うことなく相互
認証を行ってもよい。
【0036】
【発明の効果】この発明を実施すると、証明書の送信者
が、証明書に記載されている公開鍵と対応する秘密鍵を
知っていることの証明が行えるのと同時に、不正な第三
者によるMan in the middle 攻撃の防止を、2−pat
hのメッセージ交換によって行うことができる。
が、証明書に記載されている公開鍵と対応する秘密鍵を
知っていることの証明が行えるのと同時に、不正な第三
者によるMan in the middle 攻撃の防止を、2−pat
hのメッセージ交換によって行うことができる。
【0037】この発明の実施形態1(図1)において、
不正な第三者STA3がMan in themiddle 攻撃を試み
ている状況を図5に示す。不正通信装置STA3は通信
装置STA2に対しては通信装置STA1になりすま
し、通信装置STA1に対しては通信装置STA2にな
りすますために、通信装置STA1からのメッセージを
中継して通信装置STA2に送り、通信装置STA2か
らのメッセージを中継して通信装置STA1に送る。
不正な第三者STA3がMan in themiddle 攻撃を試み
ている状況を図5に示す。不正通信装置STA3は通信
装置STA2に対しては通信装置STA1になりすま
し、通信装置STA1に対しては通信装置STA2にな
りすますために、通信装置STA1からのメッセージを
中継して通信装置STA2に送り、通信装置STA2か
らのメッセージを中継して通信装置STA1に送る。
【0038】この発明手順において、なりすましを実行
するために、不正通信装置STA3は以下の、、
、を行うことが必要である。鍵の共有のためのシー
ケンスの1番目と2番目のメッセージにおいては: 通信装置STA1にはF(A2)の代わりに自分で発
生した乱数A3から関数Hによって算出されるH(A
3)を送る。 通信装置STA2にはF(A2)の代わりに自分で発
生した乱数A4から数Iによって算出されるI(A4)
を送る。
するために、不正通信装置STA3は以下の、、
、を行うことが必要である。鍵の共有のためのシー
ケンスの1番目と2番目のメッセージにおいては: 通信装置STA1にはF(A2)の代わりに自分で発
生した乱数A3から関数Hによって算出されるH(A
3)を送る。 通信装置STA2にはF(A2)の代わりに自分で発
生した乱数A4から数Iによって算出されるI(A4)
を送る。
【0039】なおとを行わないで、F(A1)を通
信装置STA2に、G(A2)を通信装置STA1に単
に中継すると、通信装置STA1とSTA2は不正通信
装置STA3には知りえない秘密鍵SKを共有出来るこ
とになり、不正通信装置STA3が通信装置STA1、
STA2なりすますことができない。認証の1−pat
h目のシーケンスの3番目と4番目のメッセージにおい
ては: 不正通信装置STA3は通信装置STA2が送信した
G(A2)に対して、通信装置STA1のデジタル署名
用鍵K1を用いてデジタル署名(Sigl)して通信装
置STA2に、K1に対応する公開鍵PK1の証明書と
ともに送る。 不正通信装置STA3は通信装置STA1が発生した
F(A1)に対して、通信装置STA2のデジタル署名
用鍵K2を用いてデジタル署名(Sig2)して通信装
置STA1にK2に対応する公開鍵PK2の証明書とと
もに送る。
信装置STA2に、G(A2)を通信装置STA1に単
に中継すると、通信装置STA1とSTA2は不正通信
装置STA3には知りえない秘密鍵SKを共有出来るこ
とになり、不正通信装置STA3が通信装置STA1、
STA2なりすますことができない。認証の1−pat
h目のシーケンスの3番目と4番目のメッセージにおい
ては: 不正通信装置STA3は通信装置STA2が送信した
G(A2)に対して、通信装置STA1のデジタル署名
用鍵K1を用いてデジタル署名(Sigl)して通信装
置STA2に、K1に対応する公開鍵PK1の証明書と
ともに送る。 不正通信装置STA3は通信装置STA1が発生した
F(A1)に対して、通信装置STA2のデジタル署名
用鍵K2を用いてデジタル署名(Sig2)して通信装
置STA1にK2に対応する公開鍵PK2の証明書とと
もに送る。
【0040】しかしながら、 (1)不正通信装置STA3は証明書に記載されたデジ
タル署名用鍵K1,K2を知らない (2)通信装置STA1のところには、F(A2)は届
かない (3)通信装置STA2のところにはF(A1)は届か
ない ため、不正通信装置STA3にはSigl、Sig2を
正しく偽造して送信することは不可能である。
タル署名用鍵K1,K2を知らない (2)通信装置STA1のところには、F(A2)は届
かない (3)通信装置STA2のところにはF(A1)は届か
ない ため、不正通信装置STA3にはSigl、Sig2を
正しく偽造して送信することは不可能である。
【0041】次に、この発明の実施形態2(図2)にお
いて、不正な第三者STA3がManin the middle 攻撃
を試みている状況を図6に示す。この状況において、不
正通信装置STA3が、通信装置STA1,STA2に
なりすますためには、鍵配送のために送受した、乱数A
2,A3の通信装置STA1、STA3の公開鍵による
署名S3、S2を、通信装置STA1,STA2の秘密
鍵K1,K2を用いて署名できることが必要であるが、
不正通信装置STA3はK1,K2を知らないので、こ
れは不可能である。
いて、不正な第三者STA3がManin the middle 攻撃
を試みている状況を図6に示す。この状況において、不
正通信装置STA3が、通信装置STA1,STA2に
なりすますためには、鍵配送のために送受した、乱数A
2,A3の通信装置STA1、STA3の公開鍵による
署名S3、S2を、通信装置STA1,STA2の秘密
鍵K1,K2を用いて署名できることが必要であるが、
不正通信装置STA3はK1,K2を知らないので、こ
れは不可能である。
【0042】上記により、この発明がMan in the middl
e 攻撃に対して有効であることが示せた。また、この発
明は共有鍵による暗号通信が前提であって、その共有鍵
の配送処理において利用した情報を相互認証に用いるた
め、メッセージの送信回数は2回で済み、効率的に認証
を行うことができる。
e 攻撃に対して有効であることが示せた。また、この発
明は共有鍵による暗号通信が前提であって、その共有鍵
の配送処理において利用した情報を相互認証に用いるた
め、メッセージの送信回数は2回で済み、効率的に認証
を行うことができる。
【図1】この発明の実施例の認証プロトコルのシーケン
スと不正な第三者STA3がReplay攻撃を試みている状
況を示す図。
スと不正な第三者STA3がReplay攻撃を試みている状
況を示す図。
【図2】この発明を実施例2の認証プロトコルのシーケ
ンスを示す図。
ンスを示す図。
【図3】実施例1の通信装置の機能構成例を示すブロッ
ク図。
ク図。
【図4】実施例2の通信装置の機能構成例を示すブロッ
ク図。
ク図。
【図5】請求項1において、不正な第三者STA3がMa
n in the middle 攻撃を試みている状況を示す図。
n in the middle 攻撃を試みている状況を示す図。
【図6】本発明請求項4において、不正な第三者STA
3がMan in the middle 攻撃を試みている状況を示す
図。
3がMan in the middle 攻撃を試みている状況を示す
図。
【図7】AはTwo Pass Authentication の概要を示す
図、BはThree Pass Authentication の概要を示す図で
ある。
図、BはThree Pass Authentication の概要を示す図で
ある。
【図8】AはMan in the middle 攻撃を概要を示す図、
BはReplay攻撃の概要を示す図である。
BはReplay攻撃の概要を示す図である。
フロントページの続き (56)参考文献 特開 平5−344117(JP,A) 特開 平4−297156(JP,A) 太田和夫,RSA暗号を利用したID に基づく認証方式,昭和63年電子情報通 信学会秋季全国大会講演論文集,日本, 1988年8月15日,基礎・境界[分冊A− 1],A−1−91 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 H04L 9/08 G09C 1/00 640
Claims (7)
- 【請求項1】 2台の通信装置STA1、STA2の一
方の通信装置STA1が乱数A1を発生し、関数Fによ
って、F(A1)を算出してF(A1)を他方の通信装
置STA2に送信し、 通信装置STA2が乱数A2を発生し、関数Gによっ
て、G(A2)を算出してG(A2)を通信装置STA
1に送信し、 通信装置STA1は乱数A1と、受信したG(A2)か
ら秘密鍵SKを生成し、 通信装置STA2は乱数A2と、受信したF(A1)か
ら秘密鍵SKを生成し、 共有した秘密鍵SKを用いた暗号通信を行う通信システ
ムにおける相互認証方法において、 通信装置STA1は、 通信装置STA1のデジタル署名用鍵K1に対応する
公開鍵PK1 認証局によるPK1へのデジタル署名B1(以下、公
開情報PIと、認証局によるPIに対するデジタル署名
の組のことを、PIの証明書と呼ぶ。とはSTA1
の公開鍵PK1の証明書S1である。) G(A2)の通信装置STA1の署名用鍵K1による
デジタル署名C1 を通信装置STA2に送信し、 通信装置STA2は 通信装置STA2のデジタル署名用鍵K2に対応する
公開鍵PK2の証明書S2 F(A1)の通信装置STA2の署名用鍵K2による
デジタル署名C2 を通信装置STA1に送信し、通信装置STA1、ST
A2でそれぞれ受信した証明書とデジタル署名の検証を
行うことを特徴とする相互認証方法。 - 【請求項2】 上記G(A2)の署名用鍵K1によるデ
ジタル署名C1は、G(A2)を変数とする関数H(G
A2)に対するK1によるデジタル署名であり、 上記F(A1)の署名用鍵K2によるデジタル署名C2
は、F(A1)を変数とする関数I(F(A1))に対
するK2によるデジタル署名であることを特徴とする請
求項1記載の相互認証方法。 - 【請求項3】 上記関数Hの変数として、上記乱数A1
を含み、上記関数Iの変数として上記乱数A2を含むこ
とを特徴とする請求項2記載の相互認証方法。 - 【請求項4】 2台の通信装置STA1、STA2の一
方の通信装置STA1が公開鍵αを他方の通信装置ST
A2に送信し、 通信装置STA2が乱数A2を発生し、関数Gによっ
て、G(α、A2)を算出してG(α、A2)を通信装
置STA1に送信し、 通信装置STA1は、G(α、A2)から秘密鍵SKを
生成し、通信装置STA2はA2から秘密鍵SKを生成
し、 共有した秘密鍵SKを用いた暗号通信を行う通信システ
ムにおける相互認証方法において、 通信装置STA1は乱数A1を発生し、 通信装置STA1のデジタル署名用鍵K1に対応する
公開鍵PK1の証明書S1 (A1,G(α、A2))の通信装置STA1の署名
用鍵K1によるデジタル署名C1 乱数A1 を通信装置STA2に送信し、 通信装置STA2は 通信装置STA2のデジタル署名用鍵K2に対応する
公開鍵PK2の証明書S2 関数Iを用いて算出される(A1,G(α、A2))
の通信装置STA2の署名用鍵K2によるデジタル署名
C2 を通信装置STA1に送信し、通信装置STA1、ST
A2でそれぞれ受信した証明書とデジタル署名の検証を
行うことを特徴とする相互認証方法。 - 【請求項5】 上記(A1,G(α、A2))に対する
署名用鍵K1によるデジタル署名C1は、(A1,G
(α、A2))を変数とする関数H(A1,G(α、A
2))に対するK1による署名であり、 上記(A1,G(α、A2))に対する署名用鍵K2に
よるデジタル署名C2は、(A1,G(α、A2))を
変数とする関数I(A1,G(α、A2))に対するK
2による署名であることを特徴とする請求項4記載の相
互認証方法。 - 【請求項6】 乱数An、共有秘密鍵SK、認証用公開
鍵PKnの認証局の証明書、公開鍵PKnと対応する署
名用秘密鍵Kn、相手通信装置から共有鍵配送時に受信
した鍵配送用関数値G(Ai)を記憶する記憶手段と、 上記乱数Anを生成する乱数生成手段と、 上記乱数Anを変数とする関数演算を行う鍵配送用演算
手段と、 相手通信装置からの鍵配送用関数値G(Ai)と乱数A
nとを用いて上記共有の秘密鍵SKを生成する共有鍵生
成手段と、 上記鍵配送用関数値G(Ai)に対し上記署名用秘密鍵
Knによるデジタル署名Cnを生成する署名手段と、 相手通信装置からの公開鍵PKiに対する証明書からそ
の公開鍵PKiの正当性を確認する公開鍵確認手段と、 上記相手通信装置からの鍵配送用関数値G(An)に対
する署名Ciを上記公開鍵PKiで検証する署名検証手
段と、 上記公開鍵確認手段の確認結果と、上記署名検証手段の
検証結果とから相互認証に対する検証結果を生成する手
段と、 上記鍵配送用演算手段の演算結果F(An)、上記署名
Cnおよび上記公開鍵PKnの証明書、上記認証結果を
上記相手通信装置へ送信する送信手段と、 外部からの情報を受信する受信手段と、 上記各手段を制御し、順次処理を実行させる制御手段と
を具備する相互認証用通信装置。 - 【請求項7】 鍵配送用公開鍵及び秘密鍵、相手通信装
置からの暗号関数値G(α、Ai)と乱数An、共有秘
密鍵SK、認証用公開鍵PKnの証明書Sn、そのPK
nと対応する署名用秘密鍵Knを記憶する記憶手段と、 鍵配送用乱数Anを生成する乱数生成手段と、 相手通信装置からの公開鍵βにより上記乱数Anを暗号
化して暗号関数値G(β、An)を得る暗号手段と、 相手通信装置からの暗号関数値Si=G(α、Ai)と
上記鍵配送用公開鍵αとを入力して、上記共有鍵SKを
生成する共有鍵生成手段と、 認証用乱数An′を生成する乱数生成手段と、 上記認証用乱数An′と、上記相手通信装置からの暗号
関数値Siに対する上記署名用秘密鍵Knによりデジタ
ル署名Cnを生成する署名手段と、 相手通信装置からの公開鍵PKiに対する証明書からそ
の公開鍵PKiの正当性を確認する公開鍵確認手段と、 上記相手通信装置からの暗号関数値G(α、Ai)と乱
数An′に対する署名Ciを上記公開鍵PKiで検証す
る署名検証手段と、 上記公開鍵確認手段の確認結果と、上記署名検証手段の
検証結果とから相互認証に対する検証結果を生成する手
段と、 上記鍵配送用公開鍵α、上記暗号関数値G(β、A
n)、上記証明書Sn及び署名Cn、上記相互認証検証
結果を相手通信装置に送信する送信手段と、 外部からの情報を受信する受信手段と、 上記各手段を制御し、順次処理を実行させる制御手段と
を具備する相互認証用通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35715897A JP3253060B2 (ja) | 1997-12-25 | 1997-12-25 | 相互認証方法及びその装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35715897A JP3253060B2 (ja) | 1997-12-25 | 1997-12-25 | 相互認証方法及びその装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11191761A JPH11191761A (ja) | 1999-07-13 |
| JP3253060B2 true JP3253060B2 (ja) | 2002-02-04 |
Family
ID=18452686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP35715897A Expired - Lifetime JP3253060B2 (ja) | 1997-12-25 | 1997-12-25 | 相互認証方法及びその装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3253060B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100363253B1 (ko) * | 2000-01-07 | 2002-11-30 | 삼성전자 주식회사 | 통신에서 비밀키를 생성하는 방법 및 그 장치 |
| JP3702812B2 (ja) * | 2001-06-25 | 2005-10-05 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| US8341410B2 (en) | 2007-10-08 | 2012-12-25 | Microsoft Corporation | Efficient certified email protocol |
| US9954679B2 (en) * | 2014-03-05 | 2018-04-24 | Qualcomm Incorporated | Using end-user federated login to detect a breach in a key exchange encrypted channel |
-
1997
- 1997-12-25 JP JP35715897A patent/JP3253060B2/ja not_active Expired - Lifetime
Non-Patent Citations (1)
| Title |
|---|
| 太田和夫,RSA暗号を利用したIDに基づく認証方式,昭和63年電子情報通信学会秋季全国大会講演論文集,日本,1988年8月15日,基礎・境界[分冊A−1],A−1−91 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH11191761A (ja) | 1999-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108565B2 (en) | Secure communications providing forward secrecy | |
| US11323276B2 (en) | Mutual authentication of confidential communication | |
| Merkle | Protocols for public key cryptosystems | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| CN108199835B (zh) | 一种多方联合私钥解密方法 | |
| US7814320B2 (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks | |
| US6058188A (en) | Method and apparatus for interoperable validation of key recovery information in a cryptographic system | |
| CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
| CN107679847B (zh) | 一种基于近场通信双向身份认证的移动交易隐私保护方法 | |
| CN110120939A (zh) | 一种基于异构系统的可否认认证的加密方法和系统 | |
| CN113507372A (zh) | 一种接口请求的双向认证方法 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 | |
| CN114826659A (zh) | 一种加密通讯方法及系统 | |
| US11088835B1 (en) | Cryptographic module to generate cryptographic keys from cryptographic key parts | |
| US20220038267A1 (en) | Methods and devices for secured identity-based encryption systems with two trusted centers | |
| JP3253060B2 (ja) | 相互認証方法及びその装置 | |
| CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
| JPH0981523A (ja) | 認証方法 | |
| CN110572257B (zh) | 基于身份的数据来源鉴别方法和系统 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| CN112822015A (zh) | 信息传输方法及相关装置 | |
| CN111091362A (zh) | 一种基于近场通信双向身份认证的移动交易隐私保护方法 | |
| JPS62190943A (ja) | 暗号鍵の配送における認証方式 | |
| JPH04213243A (ja) | 利用者認証方法 | |
| RU2771928C2 (ru) | Безопасный обмен данными, обеспечивающий прямую секретность |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071122 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081122 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091122 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101122 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101122 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111122 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111122 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121122 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121122 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131122 Year of fee payment: 12 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |