JP3497936B2 - 個人認証方法 - Google Patents

個人認証方法

Info

Publication number
JP3497936B2
JP3497936B2 JP00512596A JP512596A JP3497936B2 JP 3497936 B2 JP3497936 B2 JP 3497936B2 JP 00512596 A JP00512596 A JP 00512596A JP 512596 A JP512596 A JP 512596A JP 3497936 B2 JP3497936 B2 JP 3497936B2
Authority
JP
Japan
Prior art keywords
information
authentication
authenticated
person
mod
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP00512596A
Other languages
English (en)
Other versions
JPH08262976A (ja
Inventor
基司 大森
誠 館林
なつめ 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP00512596A priority Critical patent/JP3497936B2/ja
Publication of JPH08262976A publication Critical patent/JPH08262976A/ja
Application granted granted Critical
Publication of JP3497936B2 publication Critical patent/JP3497936B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、個人認証方法に関
し、より特定的には、被認証局から送られてくる被認証
者に関する情報を、第1および第2の認証局が協働して
認証する方法に関する。
【0002】
【従来の技術】近年、クレジットカードを利用して商品
購入の決済を行うことが、日常化している。クレジット
カードによる決済の場合、カード利用者が間違いなくカ
ード所有者であることが確認されなければならない。こ
れを本人確認という。以下には、この本人確認のために
従来行われてきた方法について述べ、その問題点を明ら
かにする。
【0003】(第1の従来例)本人確認のためクレジッ
トカード利用者が購入伝票に署名を行い、カード裏面に
書かれたカード所有者の署名との照合を行う。この署名
の照合確認は通常、人間が行う。コンピュータにより署
名確認を行うことは不可能でないにしろ非常に困難であ
る。したがって、この種の本人確認が行われるのは、店
頭における販売に限定される。
【0004】(第2の従来例)最近では、クレジットカ
ードによる支払いは、店頭販売だけではなく、商品販売
装置(自動販売機など)による購入の場合にも利用され
ている。この場合、カード利用者の署名によりカード所
有者の本人確認を行うことは、技術的に困難であるた
め、暗証番号により本人確認を行うのが一般的である。
すなわち、図23に示すように、ユーザは販売装置に対
して商品購入の操作を行う。この販売装置は、クレジッ
トカード会社と通信回線により結ばれている。ユーザが
クレジットカードによる支払いを行うために、クレジッ
トカードを販売装置のカードリーダに装着すると、カー
ドリーダはこのクレジットカードの識別番号やユーザの
氏名などの情報を読み込む。そして、販売装置は、カー
ド利用者がカード所有者かどうか確認するために、ユー
ザに対し、カード番号IDiとそのクレジットカードに
対して登録されているカード暗証番号とを入力するよう
に督促する。これに対してユーザが暗証番号を入力する
と、その暗証番号は通信回線を介してクレジットカード
会社に伝送される。クレジットカード会社は、当該カー
ド番号をキーとしてデータベースを検索し、当該クレジ
ットカードに関する情報を取り出す。そして、ユーザが
クレジット会員加入時に登録した時点で設定した暗証番
号と、現在ユーザから送られてきた暗証番号とを比較す
る。比較の結果、クレジットカード会社は、暗証番号が
一致すればカード利用者がカード所有者本人である旨の
情報を、一致しなければ本人ではない旨の情報を、販売
装置に対して送出する。この情報を受けた販売装置は、
通知された本人認証情報に従って販売処理を続行するか
中止するかを決定する。
【0005】カード暗証番号による本人確認が成立する
ためには、カード暗証番号が、クレジットカード会社と
カード所有者本人以外には知らされないということが必
要である。上記の販売システムの場合、販売装置が物理
的に保護された領域に設置されるなど十分な管理の下で
運用されることが必要となる。また、販売装置へ入力操
作中の暗証番号や販売装置とクレジットカード会社との
間の通信回線からカード暗証番号が盗聴されないことが
必要となる。このようなシステムが実現されるために
は、上記条件を満たしていると、クレジットカード会社
が判断することが必要となる。このために、上記システ
ムの適用範囲は、クレジットカード会社自身が販売装置
を管理する場合や、電車の定期券などのように販売装置
の管理者をクレジットカード会社が信頼できる場合な
ど、ごく限られた商品の販売に限定されている。
【0006】(第3の従来例)一方、最近個人がパソコ
ン(パーソナルコンピュータ)通信により商品の注文を
行う通信販売が普及してきている。このようなネットワ
ークを用いた通信販売における料金の支払いに、クレジ
ットカードを用いる場合が多い。この理由は、(1)ユ
ーザにとって、現金書留や銀行振込に比べて支払いが簡
単である、(2)販売会社にとって、受注時に支払保証
を得ることができる、などがあげられる。通信販売にお
ける料金支払にクレジットカードを用いる場合、従来は
会員番号を提示するだけであった。しかし、カード会員
番号は領収書などにより第3者に知られる可能性が高
い。そこで本人確認が必要となる。最も自然に考えられ
るのは先に述べたカード暗証番号による本人確認であ
る。以下にこのことを説明する。
【0007】ユーザは自宅にあるパソコンの通信販売ソ
フトを起動し、このパソコンは電話回線により通信販売
会社の販売装置と接続されており、この販売装置は通信
回線によりクレジットカード会社と接続されている。ユ
ーザがカードによる支払いを行うためには、カード番号
を販売会社に通知する。このとき、販売会社の販売装置
は、カード利用者がカード所有者かどうかを確認するた
めに、ユーザに対してそのカードに対して登録されてい
る暗証番号を入力するよう督促する。これに対してユー
ザが暗証番号を入力すると、その暗証番号は電話回線を
介してクレジットカード会社に伝送される。カード会社
は、当該カード番号をキーとしてデータベースを検索
し、当該カードに関する情報を取り出す。そして、ユー
ザがクレジット会員加入時に設定した暗証番号と、現在
通信販売会社から送られてきた暗証番号とを比較する。
その結果、一致すればカード利用者はカード所有者であ
る旨の情報を、一致しなければ本人ではない旨の情報を
通信販売会社の販売装置に対して送出する。この情報を
受けた販売装置は、通知された本人認証情報にしたがっ
て販売処理を続行するか中止するかを決定する。
【0008】上記第3の従来例のシステムを第2の従来
例と比較すると、第2の従来例における「販売装置」
が、「ユーザのパソコン」、「電話回線」、「通信販売
会社の販売装置」からなる装置に対応している。ここ
で、この装置においてユーザの暗証番号が他に知られる
リスクについて考えると、このリスクは第2の従来例の
リスクに比べて大きくなる可能性が2つある。第1の可
能性は、電話回線上の盗聴の問題である。一般家庭と通
信販売会社を結ぶ電話回線は容易に盗聴できると考えら
れる。第2の可能性は、販売装置の物理的安全性であ
る。第2の従来例では、販売装置は物理的に保護された
領域に設置される必要性があることを述べた。そして、
定期券の自動販売機のように一般ユーザからのアクセス
はもとより関係者以外からのアクセスを厳重に管理でき
るような場合に限定されることを述べた。一方、第3の
従来例では、通信販売会社の販売装置は通常販売会社内
に設置されたコンピュータとして実現され、そのコンピ
ュータに対して上記のような厳重なアクセス管理を義務
づけることが必要となる。しかしながら、実際にはこの
ような厳重な物理的なアクセス管理が行われないと想定
されるので、その結果、ユーザの暗証番号が厳重に保護
されるのは困難である、とクレジットカード会社が判断
せざるを得ない。
【0009】(第4の従来例)そこで、図24に示すよ
うな個人認証システムが考えられる。図24において、
予め消費者とクレジットカード会社は、カード番号ID
iおよびパスワードpwを共有すると共に、ある関数f
を共有している。関数fは、xからf(x)は容易に計
算できるが、f(x)の値からxの値は容易に推測でき
ないという性質を持っている。以下では、このような性
質を持つ関数を一方向性関数という。以降では、パスワ
ードpwに対してf(pw)を変換パスワードという。
販売会社の販売装置がユーザに対して本人確認情報を入
力するように督促した場合、ユーザはパスワードpwを
パソコンに入力し、パソコンはパスワードpwから変換
パスワードf(pw)を計算する。そして、パソコン
は、カード番号IDiと共に、変換パスワードf(p
w)を通信販売会社に送出する。通信販売会社は、この
カード番号IDiと変換パスワードf(pw)とをクレ
ジットカード会社に転送する。これを受信したクレジッ
トカード会社は、データベースにおいて当該カード番号
に対応して格納されているパスワードPWに対してf
(PW)を計算し、上記のように送られた変換パスワー
ドf(pw)と比較する。この結果が一致すればユーザ
はカード所有者本人であると認証し、一致しなければユ
ーザはカード所有者ではないと判断する。そして、その
旨の情報を通信販売会社に対して通知する。
【0010】この第4の従来例の個人認証システムで
は、パスワードpwがそのままの形で電話回線上を流れ
ることはなく、また必ずしもセキュリティが万全ではな
いと想定される通信販売会社の販売装置において処理さ
れないので、前述の第3の従来例に比べて安全性は高
い。しかしながら、電話回線上を流れる変換パスワード
f(pw)はいつも同じ値となり、電話回線を盗聴した
不正者が通信販売会社に対してカード番号IDiとf
(pw)を送信すれば、この情報はクレジットカード会
社において正しい対であると判断され、その結果不正者
は正しいカード所有者と見なされてしまう。そして、不
正者がカードの本来の所有者になり済まして、不正な物
品購入とカード支払いを行うことに成功してしまう。
【0011】(第5の従来例)そこで、通信回線を流れ
る情報が毎回変わる個人認証システムとして、図25に
示すものが考えられる。図25において、予めユーザと
クレジットカード会社は、カード番号およびこれに対応
するパスワードpwを共有している。クレジットカード
会社は、多数のユーザのカード番号とそれに対応するパ
スワードの組をデータベースに記憶している。さらに、
ユーザとクレジットカード会社とは、ある2入力1出力
関数gを共有している。関数gは、g(x,y)とyの
値を知っていてもxの値は推測できないという性質を持
っている。販売会社の販売装置が乱数rを発生し、この
乱数をユーザに対して送信して本人確認の情報を入力す
るように督促した場合、ユーザはカード番号IDiとパ
スワードpwをパソコンに入力し、パソコンはpwから
変換パスワードg(r,pw)を計算する。そして、パ
ソコンは、カード番号IDiと変換パスワードg(r,
pw)を通信販売会社に対して送出する。通信販売会社
は、このカード番号IDiと変換パスワードg(r,p
w)と乱数rとを、クレジットカード会社に転送する。
これを受信したクレジットカード会社は、上記データベ
ースにおいて当該カード番号に対応して格納されている
パスワードPWに対してg(r,PW)を計算し、上記
のように送られてきた変換パスワードg(r,pw)と
比較する。この結果が一致すればユーザはカード所有者
本人であると認証し、一致しなければユーザはカード所
有者本人ではないと判断する。そして、クレジット会社
は、その旨の情報を通信販売会社に対して通知する。
【0012】
【発明が解決しようとする課題】しかしながら、上記第
5の従来例における個人認証システムの場合、クレジッ
トカード会社においてg(r,PW)の計算を行う必要が
ある。第2の従来例で示した物理的に保護された販売装
置における個人認証システムでは、クレジットカード会
社は、データベースを参照するだけの情報処理で済むの
に対して、このことはクレジットカード会社に大きな情
報処理上の負担をかける、という問題点がある。また、
このためにクレジットカード会社のオンラインシステム
に大きな変更を与えるという欠点もある。
【0013】それゆえに、本発明の目的は、第1の認証
局(例えば、クレジット会社)の負担およびシステムの
変更を軽減しつつ、安全性の高い認証が行える個人認証
方法を提供することである。
【0014】
【課題を解決するための手段】本発明の第1の局面は、
被認証局から送られてくる被認証者に関する情報を、第
1および第2の認証局が協働して認証する方法に向けら
れており、第1の認証局は、被認証者の識別情報と、当
該識別情報に対応する秘密情報に対して第1の一方向性
変換を行った結果である変換秘密情報との組を予めデー
タベースに記憶しており、被認証局は、被認証者が認証
を希望するとき、第1の可変パラメータを発生し、当該
第1の可変パラメータに対して第2の一方向性変換を施
すことにより、当該第1の可変パラメータに依存した認
証申込情報を生成して第2の認証局に送信し、第2の認
証局は、認証申込情報を受信したとき、第2の可変パラ
メータを発生し、当該第2の可変パラメータおよび受信
した認証申込情報に対して第3の一方向性変換を施すこ
とにより、第1および第2の可変パラメータに依存した
認証用質問情報を生成して被認証局に送信し、被認証局
は、受信した認証用質問情報,第1の可変パラメータお
よび認証を受けるべき被認証者に固有の秘密情報に対し
て第4の一方向性変換を施すことにより、第1の可変パ
ラメータに依存しない認証用応答情報を生成し、当該被
認証者の識別情報と共に、第2の認証局に送信し、第2
の認証局は、受信した認証用応答情報および第2の可変
パラメータに対して第5の一方向性変換を施すことによ
り、第2の可変パラメータに依存しない認証用照会情報
を生成し、受信した被認証者の識別情報と共に、第1の
認証局に送信し、第1の認証局は、受信した識別情報に
対応する変換秘密情報をデータベースから検索し、検索
された変換秘密情報が受信した認証用照会情報と一致す
るかどうか調べ、一致した場合には被認証者を正規の被
認証者であることを、一致しない場合には被認証者を正
規の被認証者とは認証しないことを表す認否情報を、第
2の認証局に送信し、第2の認証局は、受信した認否情
報によって被認証者を認証することを特徴とする。
【0015】本発明の第2の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法に向けられており、第1の
認証局は、被認証者の識別情報と、当該識別情報に対応
する秘密情報に対して第1の一方向性変換を行った結果
である変換秘密情報との組を予めデータベースに記憶し
ており、第2の認証局は、被認証局から認証申込があっ
たとき、第1の可変パラメータを発生し、当該第1の可
変パラメータに対して第2の一方向性変換を施すことに
より、当該第1の可変パラメータに依存する認証用質問
情報を生成して被認証局に送信し、被認証局は、認証用
質問情報を受信したとき、第2の可変パラメータを発生
し、当該第2の可変パラメータ,認証用質問情報および
認証を受けるべき被認証者に固有の秘密情報に対して第
3の一方向性変換を施すことにより、秘密情報,第1お
よび第2の可変パラメータに依存する第1の認証用応答
情報と、第2の可変パラメータに依存する第2の認証用
応答情報とを生成し、当該被認証者の識別情報と共に、
第2の認証局に送信し、第2の認証局は、第1の可変パ
ラメータと受信した第1および第2の認証用応答情報と
に対して第4の一方向性変換を施すことにより、第1お
よび第2の可変パラメータに依存しない認証用照会情報
を生成し、受信した被認証者の識別情報と共に、第1の
認証局に送信し、第1の認証局は、受信した被認証者の
識別情報に対応する変換秘密情報をデータベースから検
索し、検索された変換秘密情報が受信した認証用照会情
報と一致するか否かを調べ、一致した場合には被認証者
が正規の被認証者であることを、一致しない場合には正
規の被認証でないことを表す認否情報を、第2の認証局
に送信し、第2の認証局は、受信した認否情報によって
被認証者を認証することを特徴とする。
【0016】本発明の第3の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法に向けられており、第1の
認証局は、被認証者の識別情報と、当該識別情報に対応
する秘密情報に対して第1の一方向性変換を行った結果
である変換秘密情報との組を予めデータベースに記憶し
ており、第2の認証局は、被認証局から認証申込があっ
たとき、可変パラメータを発生し、当該可変パラメータ
に対して第2の一方向性変換を施すことにより、当該可
変パラメータに依存した認証用質問情報を生成して被認
証局に送信し、被認証局は、受信した認証用質問情報お
よび認証を受けるべき被認証者に固有の秘密情報に対し
て第3の一方向性変換を施すことにより、認証用応答情
報を生成し、当該被認証者の識別情報と共に、第2の認
証局に送信し、第2の認証局は、可変パラメータおよび
受信した認証用応答情報に対して第4の一方向性変換を
施すことにより、可変パラメータに依存しない認証用照
会情報を生成し、受信した被認証者の識別情報と共に、
第1の認証局に送信し、第1の認証局は、受信した被認
証者の識別情報に対応する変換秘密情報をデータベース
から検索し、検索された変換秘密情報が受信した認証用
照会情報と一致するか否かを調べ、一致した場合には被
認証者が正規の被認証者であることを、一致しない場合
には正規の被認証でないことを表す認否情報を、第2の
認証局に送信し、第2の認証局は、受信した認否情報に
よって被認証者を認証することを特徴とする。
【0017】本発明の第4の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法に向けられており、第1の
認証局は、被認証者の識別情報と、当該識別情報に対応
する秘密情報に対して第1の一方向性変換を行った結果
である変換秘密情報との組を予めデータベースに記憶し
ており、被認証局は、被認証者が認証を希望するとき、
第1の可変パラメータを発生し、当該第1の可変パラメ
ータと第2の認証局についての公開情報に対して第2の
一方向性変換を施すことにより、当該第1の可変パラメ
ータおよび当該公開情報に依存する認証申込情報を生成
して第2の認証局に送信し、第2の認証局は、認証申込
情報を受信したとき、当該認証申込情報と自局に固有の
秘密情報に対して第3の一方向性変換を施すことによ
り、公開情報に依存しない第1の共有鍵情報を生成し、
第2の可変パラメータを発生して、当該第2の可変パラ
メータおよび第1の共有鍵情報に対して第4の一方向性
変換を施すことにより、第1および第2の可変パラメー
タに依存する認証用質問情報を生成して被認証局に送信
し、被認証局は、受信した認証用質問情報,第1の可変
パラメータおよび認証を受けるべき被認証者に固有の秘
密情報に対して第5の一方向性変換を施すことにより、
第1の可変パラメータに依存しない認証用応答情報を生
成し、第1の可変パラメータに対して第6の一方向性変
換を施すことにより第2の共有鍵情報を生成し、当該被
認証者の識別情報を第2の共有鍵情報で暗号化して、認
証用応答情報と共に、第2の認証局に送信し、第2の認
証局は、受信した第2の共有鍵情報で暗号化された被認
証者の識別情報を第1の共有鍵情報で復号し、受信した
認証用応答情報および第2の可変パラメータに対して第
7の一方向性変換を施すことにより、第2の可変パラメ
ータに依存しない認証用照会情報を生成し、当該認証用
照会情報を復号した被認証者の識別情報と共に、第1の
認証局に送信し、第1の認証局は、受信した識別情報に
対応する変換秘密情報をデータベースから検索し、検索
された変換秘密情報が受信した認証用照会情報と一致す
るかどうか調べ、一致した場合には被認証者を正規の被
認証者であることを、一致しない場合には被認証者を正
規の被認証者とは認証しないことを表す認否情報を、第
2の認証局に送信し、第2の認証局は、受信した認否情
報によって被認証者を認証することを特徴とする。
【0018】本発明の第5の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法に向けられており、第1の
認証局は、被認証者の識別情報と、当該識別情報に対応
する秘密情報に対して第1の一方向性変換を行った結果
である変換秘密情報との組を予めデータベースに記憶し
ており、被認証局は、被認証者が認証を希望するとき、
第1の可変パラメータを発生し、当該第1の可変パラメ
ータと第2の認証局についての公開情報に対して第2の
一方向性変換を施すことにより、当該第1の可変パラメ
ータおよび当該公開情報に依存する認証申込情報を生成
して第2の認証局に送信し、第2の認証局は、認証申込
情報を受信したとき、当該認証申込情報と自局に固有の
秘密情報に対して第3の一方向性変換を施すことによ
り、公開情報に依存しない第1の共有鍵情報を生成し、
第2の可変パラメータを発生して、当該第2の可変パラ
メータおよび第1の共有鍵情報に対して第4の一方向性
変換を施すことにより、第1および第2の可変パラメー
タに依存する認証用質問情報を生成して被認証局に送信
し、被認証局は、受信した認証用質問情報,第1の可変
パラメータおよび認証を受けるべき被認証者に固有の秘
密情報に対して第5の一方向性変換を施すことにより、
第1の可変パラメータに依存しない認証用応答情報を生
成し、第1の可変パラメータに対して第6の一方向性変
換を施すことにより第2の共有鍵情報を生成し、所定の
情報を第2の共有鍵情報で暗号化して、認証用応答情報
および被認証者の識別情報と共に、第2の認証局に送信
し、第2の認証局は、受信した第2の共有鍵情報で暗号
化された所定の情報を第1の共有鍵情報で復号し、受信
した認証用応答情報および第2の可変パラメータに対し
て第7の一方向性変換を施すことにより、第2の可変パ
ラメータに依存しない認証用照会情報を生成し、当該認
証用照会情報を受信した被認証者の識別情報と共に、第
1の認証局に送信し、第1の認証局は、受信した識別情
報に対応する変換秘密情報をデータベースから検索し、
検索された変換秘密情報が受信した認証用照会情報と一
致するかどうか調べ、一致した場合には被認証者を正規
の被認証者であることを、一致しない場合には被認証者
を正規の被認証者とは認証しないことを表す認否情報
を、第2の認証局に送信し、第2の認証局は、受信した
認否情報によって被認証者を認証することを特徴とす
る。
【0019】本発明の第6の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法であって、第1の認証局
は、被認証者の識別情報と、当該識別情報に対応する秘
密情報に対して第1の一方向性変換を行った結果である
変換秘密情報との組を予めデータベースに記憶してお
り、第2の認証局は、被認証局から認証申込があったと
き、第1の可変パラメータを発生し、当該第1の可変パ
ラメータに対して第2の一方向性変換を施すことによ
り、当該第1の可変パラメータに依存する認証用質問情
報を生成して被認証局に送信し、被認証局は、認証用質
問情報を受信したとき、第2の可変パラメータを発生
し、当該第2の可変パラメータ,認証用質問情報および
認証を受けるべき被認証者に固有の秘密情報に対して第
3の一方向性変換を施すことにより、秘密情報,第1お
よび第2の可変パラメータに依存する第1の認証用応答
情報を生成し、当該第2の可変パラメータと第2の認証
局についての公開情報に対して第4の一方向性変換を施
すことにより、当該第2の可変パラメータおよび当該公
開情報に依存する第2の認証用応答情報を生成し、当該
第2の可変パラメータに対して第5の一方向性変換を施
すことにより第1の共有鍵情報を生成し、被認証者の識
別情報を第1の共有鍵情報で暗号化して、第1および第
2の認証用応答情報と共に、第2の認証局に送信し、第
2の認証局は、受信した第2の認証用応答情報と自局に
固有の秘密情報に対して第6の一方向性変換を施すこと
により、公開情報に依存しない第2の共有鍵情報を生成
し、受信した第1の共有鍵情報で暗号化された被認証者
の識別情報を当該第2の共有鍵情報で復号し、当該第2
の共有鍵情報と第1の可変パラメータと受信した第1認
証用応答情報とに対して第7の一方向性変換を施すこと
により、第1および第2の可変パラメータに依存しない
認証用照会情報を生成し、当該認証用照会情報を復号し
た被認証者の識別情報と共に、第1の認証局に送信し、
第1の認証局は、受信した被認証者の識別情報に対応す
る変換秘密情報をデータベースから検索し、検索された
変換秘密情報が受信した認証用照会情報と一致するか否
かを調べ、一致した場合には被認証者が正規の被認証者
であることを、一致しない場合には正規の被認証でない
ことを表す認否情報を、第2の認証局に送信し、第2の
認証局は、受信した認否情報によって被認証者を認証す
ることを特徴とする。
【0020】本発明の第7の局面は、被認証局から送ら
れてくる被認証者に関する情報を、第1および第2の認
証局が協働して認証する方法に向けられており、第1の
認証局は、被認証者の識別情報と、当該識別情報に対応
する秘密情報に対して第1の一方向性変換を行った結果
である変換秘密情報との組を予めデータベースに記憶し
ており、第2の認証局は、被認証局から認証申込があっ
たとき、第1の可変パラメータを発生し、当該第1の可
変パラメータに対して第2の一方向性変換を施すことに
より、当該第1の可変パラメータに依存する認証用質問
情報を生成して被認証局に送信し、被認証局は、認証用
質問情報を受信したとき、第2の可変パラメータを発生
し、当該第2の可変パラメータ,認証用質問情報および
認証を受けるべき被認証者に固有の秘密情報に対して第
3の一方向性変換を施すことにより、秘密情報,第1お
よび第2の可変パラメータに依存する第1の認証用応答
情報を生成し、当該第2の可変パラメータと第2の認証
局についての公開情報に対して第4の一方向性変換を施
すことにより、当該第2の可変パラメータおよび当該公
開情報に依存する第2の認証用応答情報を生成し、当該
第2の可変パラメータに対して第5の一方向性変換を施
すことにより第1の共有鍵情報を生成し、所定の情報を
第1の共有鍵情報で暗号化して、第1および第2の認証
用応答情報ならびに被認証者の識別情報と共に、第2の
認証局に送信し、第2の認証局は、受信した第2の認証
用応答情報と自局に固有の秘密情報に対して第6の一方
向性変換を施すことにより、公開情報に依存しない第2
の共有鍵情報を生成し、受信した第1の共有鍵情報で暗
号化された所定の情報を当該第2の共有鍵情報で復号
し、当該第2の共有鍵情報と第1の可変パラメータと受
信した第1認証用応答情報とに対して第7の一方向性変
換を施すことにより、第1および第2の可変パラメータ
に依存しない認証用照会情報を生成し、当該認証用照会
情報を受信した被認証者の識別情報と共に、第1の認証
局に送信し、第1の認証局は、受信した被認証者の識別
情報に対応する変換秘密情報をデータベースから検索
し、検索された変換秘密情報が受信した認証用照会情報
と一致するか否かを調べ、一致した場合には被認証者が
正規の被認証者であることを、一致しない場合には正規
の被認証でないことを表す認否情報を、第2の認証局に
送信し、第2の認証局は、受信した認否情報によって被
認証者を認証することを特徴とする。
【0021】上記のように、本発明の第1〜第7の局面
では、被認証局から第2の認証局には、被認証者の秘密
情報を含む認証用応答情報が送られるが、この認証用応
答情報は、一方向性変換が施されているため、第2の認
証局は、認証用応答情報から被認証者の秘密情報を知る
ことはできない。また、第1の認証局は、何ら演算を行
うことなく、データベースの検索のみを行い、認証結果
の認否を示す認否情報を第2の認証局に送信する。第2
の認証局は、第1の認証局から送られてくる認否情報に
よって被認証者の認証を行う。被認証局と第2の認証局
との間で交わされる通信、および第1の認証局と第2の
認証局との間で交わされる通信は、いずれも通信情報が
一方向性変換されているため、盗聴されても情報が漏れ
るおそれがない。
【0022】また、第4および第6の局面では、被認証
局から第2の認証局に送られる被認証者の識別情報が暗
号化して送られるので、第3者に当該識別情報が知られ
る恐れがない。しかも、この暗号化のために使用する鍵
情報は、被認証局で発生する第1の可変パラメータに従
ってダイナミックに変化するので、鍵が解読されて識別
情報が漏れる恐れがない。なお、被認証者の識別情報に
加えて、その他の情報(例えば、商品の発注情報)も暗
号化して送信するようにしても良い。また、第5および
第7の局面のように、被認証者の識別情報は暗号化せ
ず、それに付随するその他の情報を暗号化して送信する
ようにしても良い。どのような情報を暗号化して送信す
るかは、本発明が適用されるシステムの用途に応じて決
定されればよい。
【0023】上記第1〜第7の局面において、第1およ
び第2の可変パラメータとして、乱数パラメータを用い
ることもできる。この場合、第1および第2の可変パラ
メータが毎回不規則的に変化するので、データの機密性
がより向上する。なお、データの機密性がそれほど要求
されない場合は、規則的に変化するようなパラメータを
用いてもよい。
【0024】また、上記第1〜第7の局面において、被
認証者の識別情報に対応する秘密情報を正の整数siと
し、pを素数とし、gを不等式1<g<pを満たす整数
値とするとき、変換秘密情報として、gsiを素数pで除
算したときの剰余値を用いるようにしてもよい。さら
に、hをハッシュ関数とするとき、変換秘密情報とし
て、gh(si) を素数pで除算したときの剰余値を用いる
ようにしてもよい。ハッシュ関数を用いることは、特
に、秘密情報siの桁数が少ないときに有効である。上
記整数値gは、各被認証者毎に変更されることが、デー
タの機密性を向上する上で、効果的である。同様に、ハ
ッシュ関数hも、各被認証者毎に変更されることが、デ
ータの機密性を向上する上で、効果的である。
【0025】
【発明の実施の形態】
(1)第1の実施形態 図1は、本発明の第1の実施形態に係る個人認証システ
ムの構成を示すブロック図である。なお、本第1の実施
形態の個人認証システムは、複数のユーザi、販売会社
a、クレジット会社bから成り立っている。また、本第
1の実施形態の個人認証システムは、ネットワークを介
した通信販売システムにおける代金の支払いをクレジッ
トカードで行う際に、クレジット会社bが販売会社aに
依頼されて正当なユーザであるかどうか認証し、知らせ
るものである。
【0026】図1において、ユーザiにはコンピュータ
等によって構成された認証申込装置10が設けられる。
販売会社aには、コンピュータ等によって構成された認
証中継装置20が設けられる。クレジット会社bには、
コンピュータ等によって構成されたユーザ認証装置30
が設けられる。ユーザiは、販売会社aとパソコン通信
でつながっていて、双方向に情報をやりとりする。販売
会社aは、ユーザi、クレジット会社bとパソコン通信
でつながっていて、双方向に情報をやりとりする。クレ
ジット会社bは、販売会社aとパソコン通信でつながっ
ていて、双方向に情報をやりとりする。
【0027】図2は、図1に示すユーザiに設けられた
認証申込装置10の構成の一例を示すブロック図であ
る。図2において、この認証申込装置10は、制御部1
01と、ROM102と、RAM103と、入力操作器
104と、表示器105と、乱数発生器106と、通信
部107とを備えている。
【0028】ROM102には、プログラムデータが格
納され、制御部101は、このプログラムデータに従っ
て動作する。RAM103は、制御部101の動作に必
要な種々のデータを記憶する。入力操作器104は、ユ
ーザによって操作されるキーボードやマウス等を含み、
制御部101に種々のデータや指示を入力する。表示器
105は、CRTディスプレイや液晶表示器によって構
成され、制御部101から与えられる画像データを表示
する。乱数発生器106は、認証申込に必要な乱数を生
成する。通信部107は、販売会社aとパソコン通信で
つながっており、各種データを送受信する。
【0029】図3は、図1に示す販売会社aに設けられ
た認証中継装置20の構成の一例を示すブロック図であ
る。図3において、この認証中継装置20は、制御部2
01と、ROM202と、RAM203と、乱数発生器
204と、秘密鍵保管部205と、通信部206とを備
えている。
【0030】ROM202には、プログラムデータが格
納され、制御部201は、このプログラムデータに従っ
て動作する。RAM203は、制御部201の動作に必
要な種々のデータを記憶する。乱数発生器204は、認
証用質問情報生成に必要な乱数を生成する。秘密鍵保管
部205は、クレジット会社bと暗号通信を行う際に必
要な秘密鍵を保管し、外部から読み出しはできないよう
に構成されている。通信部206は、各ユーザと、クレ
ジット会社bと、パソコン通信でつながっており、各種
データを送受信する。
【0031】図4は、図1に示すクレジット会社bに設
けられたユーザ認証装置30の構成の一例を示すブロッ
ク図である。図4において、このユーザ認証装置30
は、制御部301と、ROM302と、RAM303
と、個人別データ記憶部304と、秘密鍵保管部305
と、通信部306とを備えている。
【0032】ROM302には、プログラムデータが格
納され、制御部301は、このプログラムデータに従っ
て動作する。RAM303は、制御部301の動作に必
要な種々のデータを記憶する。個人別データ記憶部30
4は、各ユーザの識別番号と変換秘密情報とを保管し、
外部から読み出しはできないように構成されている。秘
密鍵保管部305は、販売会社aと暗号通信を行う際に
必要な秘密鍵を保管し、外部から読み出しはできないよ
うに構成されている。通信部306は、販売会社aと、
パソコン通信でつながっており、各種データを送受信す
る。
【0033】図5は、図1に示す第1の実施形態の個人
認証システム全体の動作を示すシーケンスチャートであ
る。図6は、図1の認証申込装置10の認証申込時の動
作を示すフローチャートである。この動作は、図5の
(1)に対応する。図7は、図1の認証中継装置20の
認証用質問情報生成時の動作を示すフローチャートであ
る。この動作は、図5の(3)に対応する。図8は、図
1の認証申込装置10の認証用応答情報生成時の動作を
示すフローチャートである。この動作は、図5の(5)
に対応する。図9は、図1の認証中継装置20の認証用
照会情報生成時の動作を示すフローチャートである。こ
の動作は、図5の(7)に対応する。図10は、図1の
ユーザ認証装置30のユーザ認証照合時の動作を示すフ
ローチャートである。この動作は、図5の(9)に対応
する。以下、これら図5〜図10を参照して、上記第1
の実施形態の動作を説明する。
【0034】本システムでは、512ビット程度の大き
な素数pを法とする有限体での演算でユーザ認証を行
う。pは、システムにより予め定められており、各ユー
ザiと販売会社aとクレジット会社bとに与えられてい
る。また、不等式1<g<pを満たす整数gが共通で使
われ、各ユーザiとクレジット会社bに与えられてい
る。さらに、関数hを、任意の負でない整数xから0<
h(x)<p−1を満たす整数値を生成し、h(x)か
らxを推定するのが難しいような関数とする。関数h
は、各ユーザiとクレジット会社bに与えられている。
なお、このような関数hは、ハッシュ関数と呼ばれ、そ
の存在、実現性については岡本栄司著「暗号理論入門」
(共立出版)に詳しく述べられている。
【0035】各ユーザには、クレジット会社bに会員登
録をした際に、識別番号IDiが与えられている。ま
た、そのときに自分のパスワードである負でない整数s
iを、クレジット会社bに知らせる。クレジット会社b
は、パスワードsiと関数hとを用いて、変換秘密情報
{gh(si) mod p }を予め計算し、個人別データ記
憶部304に、識別番号IDiおよびパスワードsiと
組にして記憶しておく。ただし、α mod βは、αを
βで割ったときの余りを示している。また、販売会社a
およびクレジット会社bは、予め秘密鍵kを共有してお
り、それぞれ、秘密鍵保管部205および秘密鍵保管部
305に保管されている。また、販売会社aとクレジッ
ト会社bは、秘密鍵暗号アルゴリズムEおよび秘密鍵復
号アルゴリズムDを保持している。
【0036】ユーザiからクレジット会社bに直接認証
の申込をする場合は、自分の識別番号IDiとパスワー
ドsiをクレジット会社に提示する。クレジット会社b
は、提示されたIDiから個人別データ記憶部304を
検索し、記憶されているパスワードが提示された値と等
しい場合にはユーザを認証し、等しくない場合はユーザ
を認証しない。
【0037】次に、販売会社bがユーザiの認証を行う
場合の手続きについて述べる。以下の処理は全てリアル
タイム処理で行うものとする。
【0038】ネットワークを介した通信販売システムに
おいて、ユーザiが販売会社aの商品を購入するとき
に、代金支払をクレジットカードにより済ます場合、販
売会社aは、ユーザiが正規のユーザであるかどうか
を、クレジット会社の力を借りて認証する。つまり、ユ
ーザiは、認証申込装置10に、ユーザ認証申込を指示
する(図6のステップS101)。これに対して認証申
込装置10の制御部101は、乱数発生器106を用い
て乱数パラメータxを発生する(ステップS102)。
このとき、乱数パラメータxは、 0<x<p−1 gcd(x,p−1)=1 の条件を満たす整数である。ただし、gcd(α,β)
は、αとβの最大公約数を示している。次に、制御部1
01は、この乱数パラメータxを用いて認証申込情報A
ppを、 App=gx mod p で計算し、乱数パラメータxをRAM103に格納する
(ステップS103)。次に、制御部101は、通信部
107を介して販売会社aにパソコン通信で、ユーザ認
証を受けたい旨を伝え、認証申込情報Appを送信する
(ステップS104)。
【0039】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信した認証申込情報Ap
pを、RAM203に格納する(図7のステップS20
1)。次に、制御部201は、乱数発生器204を用い
て、乱数パラメータrを発生する(ステップS20
2)。このとき、乱数パラメータrは、 0<r<p−1 gcd(r,p−1)=1 の条件を満たす整数である。次に、制御部201は、R
AM203から認証申込情報Appを取り出し、この乱
数パラメータrを用いて認証用質問情報Chaを、 Cha=Appr mod p =gxr mod p で計算し、乱数パラメータrをRAM203に格納する
(ステップS203)。次に、制御部201は、通信部
206を介してユーザiにパソコン通信で、認証用質問
情報Chaを送信する(ステップS204)。
【0040】ユーザiでは、制御部101は、通信部1
07を介して販売会社aから受信した認証用質問情報C
haを、RAM103に格納する(図8のステップS3
01)。次に、ユーザiは、自分のクレジット会員の識
別番号IDiと、パスワードsiとを入力する(ステッ
プS302)。次に、制御部101は、RAM103に
格納されている乱数パラメータxを読み込み、 xy mod p−1=1 0<y<p−1 の条件を満たす整数yを計算する(ステップS30
3)。このとき、 gcd(x,p−1)=1 であるから、このようなyは必ず存在する。なお、この
ようなyを求めるアルゴリズムについては、池野信一,
小山謙二著「現在暗号理論」(電子情報通信学会)に詳
しく述べられている。
【0041】次に、制御部101は、入力されたパスワ
ードsiをハッシュ関数hに代入し、ハッシュ値h(s
i)を計算する(ステップS304)。そして、制御部
101は、RAM103から認証用質問情報Chaを取
り出し、Chaに対する認証用応答情報Respを、 Resp=Chayh(si) mod p =gxryh(si) mod p で計算する(ステップS305)。このとき、0<a<
pを満たす任意の整数aに対して、 ap-1 mod p =1 が成り立っている。このことについては、池野信一,小
山謙二著「現在暗号理論」(電子情報通信学会)に詳し
く述べられている。また、 xy mod p−1=1 より、 xy=n(p−1)+1 (nは整数) と表される。したがって、 Resp=gxryh(si) mod p =(gxyrh(si) mod p =[g{n(p-1)+1}rh(si) mod p =[{g(p-1)n×g]rh(si) mod p =(1n×g)rh(si) mod p =grh(si) mod p となる。そして、制御部101は、通信部107を介し
て販売会社aにパソコン通信で、ユーザiの識別番号I
Diと、認証用応答情報Respとを送信する(ステッ
プS306)。
【0042】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信した識別番号IDiと
認証用応答情報Respとを、RAM203に格納する
(図9のステップS401)。次に、制御部201は、
RAM203に格納されている乱数パラメータrを読み
込み、 rs mod p−1=1 0<s<p−1 の条件を満たす整数sを計算する(ステップS40
2)。このとき、 gcd(r,p−1)=1 であるから、このようなsは必ず存在する。
【0043】次に、制御部201は、RAM203から
認証用応答情報Respを取り出し、認証用照会情報A
utを、 Aut=Resps mod p =grh(si)s mod p で計算する(ステップS403)。このとき、 rs mod p−1=1 を満たすので、ステップS305で述べたのと同様の理
由で、 Aut=gh(si) mod p となる。次に、制御部201は、RAM203に格納さ
れているユーザiの識別番号IDiを取り出し、秘密鍵
保管部205で保管されている秘密鍵kを読み出し、こ
れらを鍵として、識別番号IDiと認証用照会情報Au
tとを連結したものを、秘密鍵暗号Eで、 E(k,IDi‖Aut) のように暗号化する(ステップS404)。ただし、記
号‖は、情報の連結を表す。そして、制御部201は、
通信部206を介してクレジット会社bにパソコン通信
で、E(k,IDi‖Aut)を送信する(ステップS
405)。
【0044】クレジット会社bでは、制御部301は、
通信部306を介して販売会社aから送信されたE
(k,IDi‖Aut)を受信する(図10のステップ
S501)。次に、制御部301は、秘密鍵保管部30
5で保管されている秘密鍵kを読み出し、これを鍵とし
て、E(k,IDi‖Aut)を、復号アルゴリズムD
で、 D{k,E(k,IDi‖Aut)}=IDi‖Aut のように復号する(ステップS502)。
【0045】次に、制御部301は、復号した識別番号
IDiと組になって記録されている変換秘密情報{g
h(si) mod p }を個人別データ記憶部304から検
索して読み出す(ステップS503)。次に、制御部3
01は、復号した認証用照会情報Autと、個人別デー
タ記憶部304から読み出した{gh(si) mod p }
の値とが一致するか否かを照合する(ステップS50
4)。次に、制御部301は、照合の結果を通信部30
6を介して販売会社aに送信する(ステップS50
4)。
【0046】販売会社aでは、制御部201は、通信部
206を介してクレジット会社bから送信された照合結
果を受信し、クレジット会社による認証を受けた場合
は、ユーザiに商品の発注をするよう送信し、認証を受
けれなかった場合は、ユーザiに認証が不可であったこ
とを送信する。
【0047】ユーザiでは、制御部101は、販売会社
aから送信された情報を受信し、商品を発注するよう指
示された場合は、表示器105に商品の発注を促す情報
を表示する。その後、ユーザiは、商品の発注操作を行
う。一方、認証が不可であると受信した場合は、表示器
105に認証できなかったことを表示する。
【0048】以上説明したように、第1の実施形態の個
人認証システムにおいては、販売会社aにユーザiのパ
スワードsiを知られることなく、クレジット会社b
は、ユーザiが正規のユーザiであるかどうかを、デー
タベースを参照するだけで確認できる。これは、販売会
社aが知り得る情報{gh(si) mod p }からh(s
i)を求めることは、gの値を知っていてもpの値が大
きければ(上記第1の実施形態では、512ビット程度
の値としている)、極めて難しいことによる。なお、 Y=gX mod p なる関係があるとき,Y,g,pからXを求める問題
は、「離散対数問題」と呼ばれている。「離散対数問
題」を解くことの困難性については、池野信一,小山謙
二著「現在暗号理論」(電子情報通信学会)に詳しく述
べられている。
【0049】また、ユーザiのパスワードsiは、ユー
ザi自身が認証申込装置10に入力することから、10
進4桁程度の数であることが多い。その場合に、 gh(si) mod p の値を知る販売会社aは、siの値として全ての場合に
ついて当てはめてみてsiの値を見つけようとしても、
実際には関数hが販売会社aには与えられていないの
で、siの値を見つけることは不可能である。
【0050】なお、各ユーザの認証申込装置にICカー
ドを付加し、ユーザiのパスワードをICカードで管理
すると、siの値は10進4桁程度の小さい値にしなく
てもよく、関数hを使用する必要はなくなる。ただし、
この場合でも関数hを使用すれば、さらに安全性が増
す。
【0051】また、ユーザiと販売会社aとの間でやり
とりされるパソコン通信の回線を盗聴するものがあって
も、{gh(si) mod p }の値を知ることはできな
い。なぜならば、パソコン通信の回線を流れる情報は、 App =gx mod p Cha =gxr mod p Resp=grh(si) mod p であり,Respからgh(si) mod p の値を知るに
は、乱数パラメータrの値が必要となるからである。乱
数パラメータrの値をApp,Chaから求めるには、
「離散対数問題」を解くことになり、現実的に不可能で
ある。
【0052】また、販売会社aとクレジット会社bとの
間で、識別番号IDiと認証用照会情報Autとを送る
ときには、両者で共有している秘密鍵kで暗号化してい
るので、盗聴しても意味がない。
【0053】このように、第1の実施形態では、ユーザ
i以外の人間がユーザiのパスワードsiを知ることは
できず、上記実施形態の動作でユーザiが正規のもので
あるかどうか認証できる。
【0054】なお、第1の実施形態においては、gの値
を本実施形態の個人認証システム共通の値としたが、g
の値を各ユーザ毎に変えることもできる。この場合、ユ
ーザiがgの値を決めて{gh(si) mod p }を計算
して、クレジット会社bに知らせるようにする。この場
合、gの値自身が秘密なので、より安全性が高まる。同
様に、ハッシュ関数hを各ユーザ毎に変えるようにして
もよく、この場合も安全性が高まる。
【0055】なお、上記第1の実施形態においては、ユ
ーザi、販売会社a、クレジット会社b間の双方向通信
を、パソコン通信を用いて行っているが、デジタルCA
TV網、B−ISDNなどの双方向通信が行えるもので
あれば、それらを用いて通信を行っても、上記と同様の
効果が得られる。
【0056】(2)第2の実施形態 本発明の第2の実施形態は、第1の実施形態で述べた個
人認証システムと同じ構成を用いた個人認証システムで
ある。第1の実施形態とは、同じ構成で実現可能である
が、実行手順が異なる。またシステムにおける設定もほ
とんど同じであるが、システム共通の値である整数値g
の値が販売会社aにも与えられている。したがって、以
下には、図1の個人認証システムの構成を援用しつつ、
第2の実施形態について説明する。
【0057】図11は、第2の実施形態の個人認証シス
テム全体の動作を示すシーケンスチャートである。図1
2は、第2の実施形態において、図1の認証中継装置2
0の認証用質問情報生成時の動作を示すフローチャート
である。この動作は、図11の(2)に対応する。図1
3は、第2の実施形態において、図1の認証申込装置1
0の認証用応答情報生成時の動作を示すフローチャート
である。この動作は、図11の(4)に対応する。図1
4は、第2の実施形態において、図1の認証中継装置2
0の認証用照会情報生成時の動作を示すフローチャート
である。この動作は、図11の(6)に対応する。図1
5は、第2の実施形態において、図1のユーザ認証装置
30のユーザ認証照合時の動作を示すフローチャートで
ある。この動作は、図11の(8)に対応する。以下、
第1の実施形態で述べた構成を援用ししつつ、これら図
11〜図15を参照して、第2の実施形態の動作を説明
する。
【0058】ユーザiからクレジット会社bに直接認証
の申込をする場合は、自分の識別番号IDiとパスワー
ドsiとをクレジット会社に提示する。クレジット会社
bは、提示されたIDiから個人別データ記憶部304
を検索し、記憶されているパスワードが提示された値と
等しい場合にはユーザを認証し、等しくない場合はユー
ザを認証しない。
【0059】次に、販売会社aがユーザiの認証を行う
場合の手続きについて述べる。以下の処理は、全てリア
ルタイム処理で行うものとする。ネットワークを介した
通信販売システムにおいて、ユーザiが販売会社aの商
品を購入するとき、代金支払をクレジットカードにより
済ます場合、ユーザiは、発注の前にクレジット会社に
よりユーザ認証を受けなければならない。このとき、ユ
ーザiは、認証申込装置に、ユーザ認証申込を指示す
る。応じて制御部101は、通信部107を介して販売
会社aにパソコン通信で、ユーザ認証を受けたい旨を伝
える。
【0060】販売会社aでは、乱数発生器204を用い
て乱数パラメータrを発生する(図12のステップS6
01)。このとき、乱数パラメータrは、 0<r<p−1 gcd(r,p−1)=1 の条件を満たす整数である。次に、制御部201は、こ
の乱数パラメータrを用いて認証用質問情報Chaを、 Cha=gr mod p で計算し、当該乱数パラメータrをRAM203に格納
する(ステップS602)。次に、制御部201は、通
信部206を介してユーザiにパソコン通信で、認証用
質問情報Chaを送信する(ステップS603)。
【0061】ユーザiでは、制御部101は、通信部1
07を介して販売会社aから受信した認証用質問情報C
haを、RAM103に格納する(図13のステップS
701)。次に、ユーザiは、自分のクレジット会員の
識別番号IDiと、パスワードsiとを入力する(ステ
ップS702)。次に、制御部101は、乱数発生器1
06を用いて、乱数パラメータxを発生する(ステップ
S703)。このとき、乱数パラメータxは、 0<x<p−1 gcd(x,p−1)=1 の条件を満たす整数である。ただし、gcd(α,β)
は、αとβの最大公約数を示している。次に、制御部1
01は、RAM103から認証用質問情報Chaを取り
出し、乱数パラメータxを用いて、第1認証用応答情報
Respと、第2認証用応答情報Cとを、 Resp=Cha{x+h(si)} mod p C=gx mod p で計算する(ステップS704)。次に、制御部101
は、通信部107を介して販売会社aにパソコン通信
で、ユーザiの識別番号IDiと、第1および第2認証
用応答情報RespおよびCとを送信する(ステップS
705)。
【0062】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信した識別番号IDi
と、第1および第2認証用応答情報RespおよびCと
を、RAM203に格納する(図14のステップS80
1)。次に、制御部201は、RAM203に格納され
ている乱数パラメータrを読み込み、 rs mod p−1=1 を満たす整数s(0<s<p−1)を計算する(ステッ
プS802)。このとき、 gcd(r,p−1)=1 であるから、このようなsは必ず存在する。そして、制
御部201は、RAM203から第2認証用応答情報C
を読み込み、 Cz mod p=1 を満たす整数z(0<z<p)を計算する(ステップS
803)。このとき、 1<g<p C=gx mod p であり、 gcd(C,p)=1 であるから、このようなzは必ず存在する。そして、制
御部201は、 w=zr mod p でwを計算する(ステップS804)。このとき、z
は、 z=C-1 mod p であると考えられるので、wは、 w=g-xr mod p であると考えられる。
【0063】次に、制御部201は、認証用照会情報A
utを、 Aut=(Resp×w)s mod p =[gr{x+h(si)}-xrs mod p ={grh(si)s mod p で計算する(ステップS805)。このとき、 rs mod p−1=1 を満たすので、第1の実施形態のステップS305で述
べたことと同様の理由で、 Aut=gh(si) mod p となる。次に制御部201は、RAM203に格納され
ている識別番号IDiを取り出し、秘密鍵保管部205
で保管されている秘密鍵kを読み出し、これを鍵とし
て、識別番号IDiと認証用照会情報Autを連結した
ものを、秘密鍵暗号Eで、 E(k,IDi‖Aut) のように暗号化する(ステップS806)。ただし、記
号‖は、情報の連結を表す。そして、制御部201は、
通信部206を介してクレジット会社bにパソコン通信
で、E(k,IDi‖Aut)を送信する(ステップS
807)。
【0064】クレジット会社bでは、制御部301は、
通信部306を介して販売会社aから送信されたE
(k,IDi‖Aut)を受信する(図15のステップ
S901)。次に、制御部301は、秘密鍵保管部30
5で保管されている秘密鍵kを読み出し、これを鍵とし
て、E(k,IDi‖Aut)を、復号アルゴリズムD
で、 D{k,E(k,IDi‖Aut)}=IDi‖Aut のように復号する(ステップS902)。
【0065】次に、制御部301は、復号した識別番号
IDiと組になって記録されている変換秘密情報{g
h(si) mod p }を、個人別データ記憶部304から
検索して読み出す(ステップS903)。次に、制御部
301は、復号した認証用照会情報Autと個人別デー
タ記憶部304から読み出した変換秘密情報{gh(si)
mod p }の値とが一致するか否かを照合する(ステ
ップS904)。次に、制御部301は、照合の結果を
通信部306を介して販売会社aに送信する(ステップ
S904)。
【0066】販売会社aでは、制御部201は、通信部
206を介してクレジット会社bから送信された照合結
果を受信し、クレジット会社による認証を受けた場合
は、ユーザiに商品の発注をするよう送信し、認証を受
けれなかった場合は、ユーザiに認証が不可であったこ
とを送信する。
【0067】ユーザiでは、制御部101は、販売会社
aから送信された情報を受信し、商品を発注するよう指
示された場合は、表示器105に商品の発注を促す情報
を表示する。その後、ユーザiは、商品の発注を行う。
認証が不可であると受信した場合は、表示器105に、
認証できなかったことを表示する。
【0068】以上説明したように、第2の実施形態の個
人認証システムにおいては、販売会社aにユーザiのパ
スワードsiを知られることなく、クレジット会社b
は、ユーザiが正規のユーザiであるかどうかを、デー
タベースを参照するだけで確認できる。これは、販売会
社aが知り得る情報{gh(si) mod p }からh(s
i)を求めることは,gの値を知っていてもpの値が大
きければ(上記第2の実施形態では、512ビット程度
の値としている)、極めて難しいことによる。
【0069】また、ユーザiのパスワードsiが小さい
数字の場合の考察については、第1の実施形態の場合と
同じである。
【0070】なお、各ユーザの認証申込装置にICカー
ドを付加し、ユーザiのパスワードをICカードで管理
すると、siの値は10進4桁程度の小さい値にしなく
てもよく、関数hを使用する必要はなくなる。ただし、
この場合でも関数hを使用すれば、さらに安全性が増
す。
【0071】また、第1の実施形態の時と同様に、ユー
ザiと販売会社aの間でやりとりされるパソコン通信の
回線を盗聴するものがあっても、{gh(si) mod p
}の値を知ることはできない。なぜならば、パソコン
通信の回線を流れる情報は、 Cha =gr mod p Resp=gr{x+h(si)} mod p C =gx mod p であり、Respから{gh(si) mod p }の値を知
るには、乱数パラメータr,xの値が必要となるからで
ある。これら乱数パラメータr,xの値をCha,Cか
ら求めるには、「離散対数問題」を解くことになり、現
実的に不可能である。
【0072】また、販売会社aとクレジット会社bとの
間で、IDiとAutとを送るときには、両者で共有し
ている秘密鍵kで暗号化しているので、盗聴しても意味
がない。
【0073】また、第2の実施形態では、送信データの
機密性を上げるために、ユーザiから販売会社aに送信
される第1認証用応答情報Respに乱数パラメータx
を含めるようにしたが、ある程度の機密性さえ確保でき
ればよい場合には、乱数パラメータxを含まない認証用
応答情報Resp’(=Chah(si) )を、ユーザiか
ら販売会社aに送信するようにしても良い。この場合、
販売会社aでは、認証用応答情報から乱数パラメータx
を外す必要がないので、ユーザiは第2認証用応答情報
Cを販売会社に送信する必要がない。
【0074】また、第2の実施形態においては、gの値
を個人認証システム共通の値としたが、これらgの値を
各ユーザ毎に変えることもできる。この場合、ユーザi
がgの値を決めて{gh(si) mod p }を計算して、
クレジット会社bに知らせるようにする。この場合、g
の値自身が秘密なので、より安全性が高まる。同様に、
ハッシュ関数hを各ユーザ毎に変えるようにしてもよ
く、この場合も安全性が高まる。
【0075】このように、第2の実施形態でも、ユーザ
i以外の人間がユーザiのパスワードsiを知ることは
できず、上記実施形態の動作でユーザiが正規のもので
あるかどうか認証できる。
【0076】なお、上記第2の実施形態においては、ユ
ーザi、販売会社a、クレジット会社b間の双方向通信
を、パソコン通信を用いて行っているが、デジタルCA
TV網、B−ISDNなどの双方向通信が行えるもので
あれば、それらを用いて通信を行っても、上記と同様の
効果が得られる。
【0077】(3)第3の実施形態 本発明の第3の実施形態は、第1の実施形態で述べた個
人認証システムと同じ構成を用いた個人認証システムで
ある。第1の実施形態とは、同じ構成で実現可能である
が、本システムで、ユーザiが正当なユーザであるかど
うかを認証する時には、ユーザiと販売会社aの間に
は、2者しか知らない共有鍵を生成することができ、ユ
ーザiと販売会社aは、暗号通信を行うことが可能とな
る。また、システムにおける設定もほとんど同じである
が、ユーザiには販売会社aの公開鍵が与えられていて
ROM102に記憶されている。この販売会社aの公開
鍵は、電話帳などの公開出版物または公開データベース
に管理されており、誰もが容易に獲得することができ
る。また、販売会社aは、クレジット会社bと共有して
いる秘密鍵kとは異なる値である自分しか知らない秘密
鍵sa を定める。以下、kを第1の秘密鍵、sa を第2
の秘密鍵を呼ぶ。k、sa はともに、秘密鍵保管部20
5に保管される。また、システム共通の値である整数値
gの値が販売会社aにも与えられている。以下には、図
1の個人認証システムの構成を援用しつつ、第3の実施
形態について説明する。
【0078】図16は、図1に示す第3の実施形態の個
人認証システム全体の動作を示すシーケンスチャートで
ある。図17は、図1の認証申込装置10の認証申込時
の動作を示すフローチャートである。この動作は、図1
6の(1)に対応する。図18は、図1の認証中継装置
20の認証用質問情報生成時の動作を示すフローチャー
トである。この動作は、図16の(3)に対応する。図
19は、図1の認証申込装置10の認証用応答情報生成
時の動作を示すフローチャートである。この動作は、図
16の(5)に対応する。図20は、図1の認証中継装
置20の認証用照会情報生成時の動作を示すフローチャ
ートである。この動作は、図16の(7)に対応する。
図21は、図1のユーザ認証装置30のユーザ認証照合
時の動作を示すフローチャートである。この動作は、図
16の(9)に対応する。以下、これら図16〜図21
を参照して、上記第3の実施形態の動作を説明する。
【0079】初めに、販売会社aは、自分の第2の秘密
鍵sa を、 0<sa <p−1 gcd(sa ,p−1)=1 の条件を満たす整数として選ぶ。このとき、 usa mod p−1=1 0<u<p−1 の条件を満たす整数uを計算する。このとき、 gcd(sa ,p−1)=1 であるから、このようなuは必ず存在する。ここで、販
売会社aの公開鍵Pa を、 Pa =gu mod p で計算する。各ユーザは、本システムに加入する販売会
社aの公開鍵Pa を、公開データベースなどで獲得す
る。
【0080】以下の処理は全てリアルタイム処理で行う
ものとする。ネットワークを介した通信販売システムに
おいて、ユーザiが販売会社aの商品を購入するとき
に、代金支払をクレジットカードにより済ます場合、販
売会社aは、ユーザiが正規のユーザであるかどうか
を、クレジット会社の力を借りて認証する。本実施形態
では、ユーザiが販売会社aに知らせる注文内容Ord
を、ユーザiから販売会社aに暗号化して送信すること
もできる。
【0081】ユーザiは、販売会社aに発注する注文内
容Ordを作成し、制御部101はRAM103に注文
内容Ordを格納する(図17のステップS100
1)。そして、ユーザiは、認証申込装置10に、ユー
ザ認証申込を指示する(ステップS1002)。これに
対して認証申込装置10の制御部101は、乱数発生器
106を用いて乱数パラメータxを発生する(ステップ
S1003)。このとき、乱数パラメータxは、 0<x<p−1 gcd(x,p−1)=1 の条件を満たす整数である。次に、制御部101は、こ
の乱数パラメータxを用いて認証申込情報Appを、 App=Pa x mod p=gux mod p で計算し、乱数パラメータxをRAM103に格納する
(ステップS1004)。次に、制御部101は、通信
部107を介して販売会社aにパソコン通信で、ユーザ
認証を受けたい旨を伝え、認証申込情報Appを送信す
る(ステップS1005)。
【0082】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信したAppを、RAM
203に格納する(図18のステップS1101)。次
に、制御部201は、秘密鍵保管部205に保管されて
いる第2の秘密鍵sa を読み込み、販売会社a側の共有
鍵情報C0 を C0 =Appsa mod p=guxsa mod p で計算し(ステップS1102)、RAM203に格納
する。このとき、 usa mod p−1=1 を満たすので、第1の実施形態のステップS305で述
べたのと同様の理由で、 C0 =gx mod p となる。次に、制御部201は、乱数発生器204を用
いて、乱数パラメータrを発生する(ステップS110
3)。このとき、乱数パラメータrは、 0<r<p−1 gcd(r,p−1)=1 の条件を満たす整数である。次に、制御部201は、R
AM203からC0 を取り出し、この乱数パラメータr
を用いて認証用質問情報Chaを、 Cha=C0 r mod p =gxr mod p で計算し、乱数パラメータrをRAM203に格納する
(ステップS1104)。次に、制御部201は、通信
部206を介してユーザiにパソコン通信で、認証用質
問情報Chaを送信する(ステップS1105)。
【0083】ユーザiでは、制御部101は、通信部1
07を介して販売会社aから受信した認証用質問情報C
haを、RAM103に格納する(図19のステップS
1201)。次に、ユーザiは、自分のクレジット会員
の識別番号IDiと、パスワードsiとを入力する(ス
テップS1202)。次に、制御部101は、RAM1
03に格納されている乱数パラメータxを読み込み、 xy mod p−1=1 0<y<p−1 の条件を満たす整数yを計算する(ステップS120
3)。このとき、 gcd(x,p−1)=1 であるから、このようなyは必ず存在する。
【0084】次に、制御部101は、入力されたパスワ
ードsiをハッシュ関数hに代入し、ハッシュ値h(s
i)を計算する(ステップS1204)。そして、制御
部101は、RAM103から認証用質問情報Chaを
取り出し、Chaに対する認証用応答情報Respを、 Resp=Chayh(si) mod p =gxryh(si) mod p で計算する(ステップS1205)。このとき、 xy mod p−1=1 を満たすので、第1の実施形態のステップS305で述
べたのと同様の理由で、 Resp=grh(si) mod p となる。次に、制御部101は、RAM103に格納さ
れている乱数パラメータxを読み込み、ユーザi側の共
有鍵情報C1 を、 C1 =gx mod p で計算する(ステップS1206)。そして制御部10
1は、RAM103から注文内容Ordを読み込み、注
文内容Ordとユーザiの識別番号IDiを、このユー
ザi側の共有鍵情報C1 を鍵として秘密鍵暗号アルゴリ
ズムEで、 E(C1 ,IDi‖Ord) のように暗号化する(ステップS1207)。そして、
制御部101は、通信部107を介して販売会社aにパ
ソコン通信で、E(C1 ,IDi‖Ord)と、認証用
応答情報Respとを送信する(ステップS120
8)。
【0085】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信したE(C1 ,IDi
‖Ord)と認証用応答情報Respとを、RAM20
3に格納する(図20のステップS1301)。次に、
制御部201は、RAM203に格納されている販売会
社a側の共有鍵情報C0 を読み込み、これを鍵として、
E(C1 ,IDi‖Ord)を、復号アルゴリズムD
で、 D{C0 ,E(C1 ,IDi‖Ord)} のように復号する(ステップS1302)。このとき、
0 =C1 であるから、 D{C0 ,E(C1 ,IDi‖Ord)}=IDi‖O
rd である。次に、制御部201は、RAM203に格納さ
れている乱数パラメータrを読み込み、 rs mod p−1=1 0<s<p−1 の条件を満たす整数sを計算する(ステップS130
3)。このとき、 gcd(r,p−1)=1 であるから、このようなsは必ず存在する。
【0086】次に、制御部201は、RAM203から
認証用応答情報Respを取り出し、認証用照会情報A
utを、 Aut=Resps mod p =grh(si)s mod p で計算する(ステップS1304)。このとき、 rs mod p−1=1 を満たすので、第1の実施形態のステップS305で述
べたのと同様の理由で、 Aut=gh(si) mod p となる。次に、制御部201は、RAM203に格納さ
れているユーザiの識別番号IDiを取り出し、秘密鍵
保管部205で保管されている秘密鍵kを読み出し、こ
れらを鍵として、識別番号IDiと認証用照会情報Au
tとを連結したものを、秘密鍵暗号アルゴリズムEで、 E(k,IDi‖Aut) のように暗号化する(ステップS1305)。ただし、
記号‖は、情報の連結を表す。そして、制御部201
は、通信部206を介してクレジット会社bにパソコン
通信で、E(k,IDi‖Aut)を送信する(ステッ
プS1306)。
【0087】クレジット会社bでは、制御部301は、
通信部306を介して販売会社aから送信されたE
(k,IDi‖Aut)を受信する(図21のステップ
S1401)。次に、制御部301は、秘密鍵保管部3
05で保管されている秘密鍵kを読み出し、これを鍵と
して、E(k,IDi‖Aut)を、復号アルゴリズム
Dで、 D{k,E(k,IDi‖Aut)}=IDi‖Aut のように復号する(ステップS1402)。
【0088】次に、制御部301は、復号した識別番号
IDiと組になって記録されている変換秘密情報{g
h(si) mod p}を個人別データ記憶部304から検
索して読み出す(ステップS1403)。次に、制御部
301は、復号した認証用照会情報Autと、個人別デ
ータ記憶部304から読み出した{gh(si) mod
p}の値とが一致するか否かを照合する(ステップS1
404)。次に、制御部301は、照合の結果を通信部
306を介して販売会社aに送信する(ステップS14
04)。
【0089】販売会社aでは、制御部201は、通信部
206を介してクレジット会社bから送信された照合結
果を受信し、クレジット会社による認証を受けた場合
は、ユーザiが送信した注文内容Ordを受け入れ、認
証を受けれなかった場合は、ユーザiに認証が不可であ
ったことを送信する。
【0090】ユーザiでは、制御部101は、販売会社
aから送信された情報を受信し、注文内容が受け入れら
れた場合は、表示器105に注文の受注を行なった旨を
表示する。一方、認証が不可であると受信した場合は、
表示器105に認証できなかったことを表示する。
【0091】以上説明したように、第3の実施形態の個
人認証システムにおいては、販売会社aにユーザiのパ
スワードsiを知られることなく、クレジット会社b
は、ユーザiが正規のユーザであるかどうかを、データ
ベースを参照するだけで確認できる。これは、販売会社
aが知り得る情報{gh(si) mod p}からh(si)
を求めることは、gの値を知っていてもpの値が大きけ
れば(上記第3の実施形態では、512ビット程度の値
としている)、極めて難しいことによる。また、第3の
実施形態では、予め共有鍵を持たないユーザiと販売会
社aが、乱数パラメータxに基づいて共有鍵を生成し、
この共有鍵を用いて注文内容Ordや識別番号IDi
を、ユーザiから販売会社aに暗号化して送信すること
ができる。従って、他人に注文内容Ordや識別番号I
Diを知られることがない。なお、注文内容Ordおよ
び識別番号IDiのいずれか一方を暗号化して送信する
ようにしても良い。
【0092】また、ユーザiのパスワードsiが小さい
数字の場合の考察については、第1の実施形態の場合と
同じである。
【0093】なお、各ユーザの認証申込装置にICカー
ドを付加し、ユーザiのパスワードをICカードで管理
すると、siの値は10進4桁程度の小さい値にしなく
てもよく、関数hを使用する必要はなくなる。ただし、
この場合でもハッシュ関数hを使用すれば、さらに安全
性が増す。
【0094】また、第1の実施形態の場合と同様に、ユ
ーザiと販売会社aとの間でやりとりされるパソコン通
信の回線を盗聴するものがあっても、{gh(si) mo
d p}の値を知ることはできない。なぜならば、パソ
コン通信の回線を流れる情報は、 App =gux mod p Cha =gxr mod p Resp=grh(si) mod p であり,Respから{gh(si) mod p}の値を知
るには、乱数パラメータrの値が必要となるからであ
る。乱数パラメータrの値をApp,Chaから求める
には、「離散対数問題」を解くことになり、現実的に不
可能である。
【0095】また、販売会社aとクレジット会社bとの
間で、識別番号IDiと認証用照会情報Autとを送る
ときには、両者で共有している秘密鍵kで暗号化してい
るので、盗聴しても意味がない。
【0096】このように、第3の実施形態では、ユーザ
i以外の人間がユーザiのパスワードsiを知ることは
できず、上記実施形態の動作でユーザiが正規のもので
あるかどうか認証でき、しかも注文内容Ordおよびユ
ーザiの識別番号IDiは、暗号化されて送信されるの
で、第3者にはわからない。
【0097】なお、第3の実施形態においては、gの値
を本実施形態の個人認証システム共通の値としたが、g
の値を各ユーザ毎に変えることもできる。この場合、ユ
ーザiがgの値を決めて{gh(si) mod p}を計算
して、クレジット会社bに知らせるようにする。この場
合、gの値自身が秘密なので、より安全性が高まる。同
様に、ハッシュ関数hを各ユーザ毎に変えるようにして
もよく、この場合も安全性が高まる。
【0098】なお、上記第3の実施形態においては、ユ
ーザi、販売会社a、クレジット会社b間の双方向通信
を、パソコン通信を用いて行っているが、デジタルCA
TV網、B−ISDNなどの双方向通信が行えるもので
あれば、それらを用いて通信を行っても、上記と同様の
効果が得られる。
【0099】上記第3の実施形態は、ユーザiと販売会
社a間で共有鍵を持ちつつ暗号化通信が行えるように、
前述の第1の実施形態を改良したものであるが、同様の
暗号化通信を第2の実施形態に適用することもできる。
このような実施形態を、第4の実施形態として以下に示
す。
【0100】(4)第4の実施形態 本発明の第4の実施形態は、第1の実施形態で述べた個
人認証システムと同じ構成を用いた個人認証システムで
ある。すなわち、第1の実施形態とは、同じ構成で実現
可能であるが、ユーザiが正当なユーザであるかどうを
認証する時には、第3の実施形態と同様に、ユーザiと
販売会社aの間には、2者しか知らない共有鍵を生成す
ることができ、ユーザiと販売会社aは、暗号通信を行
うことが可能となる。また、販売会社aは、クレジット
会社bと共有している秘密鍵kとは異なる値である自分
しか知らない秘密鍵sa を定める。以下、kを第1の秘
密鍵、sa を第2の秘密鍵を呼ぶ。k、sa はともに、
秘密鍵保管部205に保管される。また、システム共通
の値である整数値gの値が販売会社aにも与えられてい
る。さらに、ユーザiには、販売会社aの公開鍵Pa
与えられていてROM102に記憶されている。前述し
たように、この公開鍵Pa は、電話帳などの公開出版物
または公開データベースに管理されており、誰もが容易
に獲得することができる。
【0101】図22は、第4の実施形態の個人認証シス
テム全体の動作を示すシーケンスチャートである。以下
には、図1の個人認証システムの構成を援用しつつ、図
22を参照して第4の実施形態について説明する。初め
に、販売会社aは、自分の第2の秘密鍵sa を、 0<sa <p−1 gcd(sa ,p−1)=1 の条件を満たす整数として選ぶ。このとき、 usa mod p−1=1 0<u<p−1 の条件を満たす整数uを計算する。このとき、 gcd(sa ,p−1)=1 であるから、このようなuは必ず存在する。ここで、販
売会社aの公開鍵Pa を、 Pa =gu mod p で計算する。各ユーザは、本システムに加入する販売会
社aの公開鍵Pa を、公開データベースなどで獲得す
る。
【0102】ネットワークを介した通信販売システムに
おいて、ユーザiが販売会社aの商品を購入するとき、
代金支払をクレジットカードにより済ます場合、ユーザ
iは、発注の前にクレジット会社によりユーザ認証を受
けなければならない。本実施形態では、ユーザiが販売
会社aに知らせる注文内容Ordを、ユーザiから販売
会社aに暗号化して送信することもできる。
【0103】まず、ユーザiは、販売会社aに発注する
注文内容Ordを作成し、制御部101はRAM103
に注文内容Ordを格納する。そして、ユーザiは、認
証申込装置10に、ユーザ認証申込を指示する。応じて
制御部101は、通信部107を介して販売会社aにパ
ソコン通信で、ユーザ認証を受けたい旨を伝える(図2
2の手順(1))。
【0104】販売会社aでは、乱数発生器204を用い
て乱数パラメータrを発生する。このとき、乱数パラメ
ータrは、 0<r<p−1 gcd(r,p−1)=1 の条件を満たす整数である。次に、制御部201は、こ
の乱数パラメータrを用いて認証用質問情報Chaを、 Cha=gr mod p で計算し、当該乱数パラメータrをRAM203に格納
する(図22の手順(2))。次に、制御部201は、
通信部206を介してユーザiにパソコン通信で、認証
用質問情報Chaを送信する(図22の手順(3))。
【0105】ユーザiでは、制御部101は、通信部1
07を介して販売会社aから受信した認証用質問情報C
haを、RAM103に格納する。次に、ユーザiは、
入力操作器104を用いて、自分のクレジット会員の識
別番号IDiと、パスワードsiとを、制御部101に
入力する。応じて、制御部101は、乱数発生器106
を用いて、乱数パラメータxを発生する。このとき、乱
数パラメータxは、 0<x<p−1 gcd(x,p−1)=1 の条件を満たす整数である。次に、制御部101は、R
AM103から認証用質問情報Chaを取り出し、乱数
パラメータxを用いて、第1認証用応答情報Resp
と、第2認証用応答情報Cと、ユーザi側の共有鍵情報
1 とを、 Resp=Cha{x+h(si)} mod p C=Pa x mod p =gux mod p C1 =gx mod p で計算する(図22の手順(4))。そして、制御部1
01は、RAM103から注文内容Ordを読み込み、
注文内容Ordとユーザiの識別番号IDiを、このユ
ーザi側の共有鍵情報C1 を鍵として秘密鍵暗号アルゴ
リズムEで、 E(C1 ,IDi‖Ord) のように暗号化する(図22の手順(4))。そして、
制御部101は、通信部107を介して販売会社aにパ
ソコン通信で、E(C1 ,IDi‖Ord)と、認証用
応答情報Respと、第2認証用応答情報Cとを送信す
る(図22の手順(5))。
【0106】販売会社aでは、制御部201は、通信部
206を介してユーザiから受信したE(C1 ,IDi
‖Ord)と、認証用応答情報Respと、第2認証用
応答情報Cとを、RAM203に格納し、以下に示す図
22の手順(6)の動作を行う。
【0107】まず制御部201は、秘密鍵保管部205
に保管されている第2の秘密鍵saを読み込み、販売会
社a側の共有鍵情報C0 を、 C0 =Csa mod p=gx mod p(=C1 ) で計算し、RAM203に格納する(図22の手順
(6))。次に、制御部201は、計算によって得た販
売会社a側の共有鍵情報C0 を鍵として、E(C1 ,I
Di‖Ord)を、復号アルゴリズムDで、 D{C0 ,E(C1 ,IDi‖Ord)} のように復号する。このとき、C0 =C1 であるから、 D{C0 ,E(C1 ,IDi‖Ord)}=IDi‖O
rd である。
【0108】次に、制御部201は、RAM203に格
納されている乱数パラメータrを読み込み、 rs mod p−1=1 を満たす整数s(0<s<p−1)を計算する。このと
き、 gcd(r,p−1)=1 であるから、このようなsは必ず存在する。そして、制
御部201は、RAM203から共有鍵COを読み込
み、 COz mod p=1 を満たす整数z(0<z<p)を計算する。このとき、 1<g<p CO=gx mod p であり、 gcd(CO,p)=1 であるから、このようなzは必ず存在する。そして、ま
た制御部201は w=zr mod p でwを計算する。このとき、zは、 z=C0 -1 mod p であると考えられるので、wは、 w=g-xr mod p であると考えられる。
【0109】次に、制御部201は、認証用照会情報A
utを、 Aut=(Resp×w)s mod p =[gr{x+h(si)}-xrs mod p ={grh(si)s mod p で計算する。このとき、 rs mod p−1=1 を満たすので、第1の実施形態のステップS305で述
べたことと同様の理由で、 Aut=gh(si) mod p となる。
【0110】次に制御部201は、RAM203に格納
されている識別番号IDiを取り出し、秘密鍵保管部2
05で保管されている秘密鍵kを読み出し、これを鍵と
して、識別番号IDiと認証用照会情報Autを連結し
たものを、秘密鍵暗号アルゴリズムEで、 E(k,IDi‖Aut) のように暗号化する。そして、制御部201は、通信部
206を介してクレジット会社bにパソコン通信で、E
(k,IDi‖Aut)を送信する(図22の手順
(7))。
【0111】クレジット会社bでは、制御部301は、
通信部306を介して販売会社aから送信されたE
(k,IDi‖Aut)を受信すると、秘密鍵保管部3
05で保管されている秘密鍵kを読み出し、これを鍵と
して復号アルゴリズムDで、 D{k,E(k,IDi‖Aut)}=IDi‖Aut のように復号する(図22の手順(8))。
【0112】次に、制御部301は、復号した識別番号
IDiと組になって記録されている変換秘密情報{g
h(si) mod p }を、個人別データ記憶部304から
検索して読み出す。次に、制御部301は、復号した認
証用照会情報Autと個人別データ記憶部304から読
み出した変換秘密情報{gh(si) mod p }の値とが
一致するか否かを照合する。次に、制御部301は、照
合の結果を通信部306を介して販売会社aに送信する
(図22の手順(9))。
【0113】販売会社aでは、制御部201は、通信部
206を介してクレジット会社bから送信された照合結
果を受信し、クレジット会社による認証を受けた場合
は、ユーザiが送信した注文内容Ordを受け入れ、認
証を受けれなかった場合は、ユーザiに認証が不可であ
ったことを送信する(図22の(10))。
【0114】ユーザiでは、制御部101は、販売会社
aから送信された情報を受信し、注文内容が受け入れら
れた場合は、表示器105に注文の受注を行なった旨を
表示する。一方、認証が不可であると受信した場合は、
表示器105に認証できなかったことを表示する。
【0115】以上説明した第4の実施形態は、前述の第
2の実施形態と同様に、販売会社aにユーザiのパスワ
ードsiを知られることなく、クレジット会社bは、ユ
ーザiが正規のユーザであるかどうかを、データベース
を参照するだけで確認できる。また、第4の実施形態で
は、予め共有鍵を持たないユーザiと販売会社aが、乱
数パラメータxに基づいて共有鍵を生成し、この共有鍵
を用いて注文内容Ordや識別番号IDiを、ユーザi
から販売会社aに暗号化して送信することができる。従
って、他人に注文内容Ordや識別番号IDiを知られ
ることがない。なお、注文内容Ordおよび識別番号I
Diのいずれか一方を暗号化して送信するようにしても
良い。
【0116】また、ユーザiのパスワードsiが小さい
数字の場合の考察については、第1の実施形態の場合と
同じである。
【0117】なお、各ユーザの認証申込装置にICカー
ドを付加し、ユーザiのパスワードをICカードで管理
すると、siの値は10進4桁程度の小さい値にしなく
てもよく、関数hを使用する必要はなくなる。ただし、
この場合でもハッシュ関数hを使用すれば、さらに安全
性が増す。
【0118】また、第1の実施形態の場合と同様に、ユ
ーザiと販売会社aとの間でやりとりされるパソコン通
信の回線を盗聴するものがあっても、{gh(si) mo
d p}の値を知ることはできない。なぜならば、パソ
コン通信の回線を流れる情報は、 Cha =gr mod p Resp=gr{x+h(si)} mod p C =gux mod p であり、Respから{gh(si) mod p }の値を知
るには、乱数パラメータr,xの値が必要となるからで
ある。これら乱数パラメータr,xの値をCha,Cか
ら求めるには、「離散対数問題」を解くことになり、現
実的に不可能である。
【0119】また、販売会社aとクレジット会社bとの
間で、識別番号IDiと認証用照会情報Autとを送る
ときには、両者で共有している秘密鍵kで暗号化してい
るので、盗聴しても意味がない。
【0120】このように、第4の実施形態では、ユーザ
i以外の人間がユーザiのパスワードsiを知ることは
できず、上記実施形態の動作でユーザiが正規のもので
あるかどうか認証でき、しかも注文内容Ordおよびユ
ーザiの識別番号IDiは、暗号化されて送信されるの
で、第3者にはわからない。
【0121】なお、第4の実施形態においては、gの値
を本実施形態の個人認証システム共通の値としたが、g
の値を各ユーザ毎に変えることもできる。この場合、ユ
ーザiがgの値を決めて{gh(si) mod p}を計算
して、クレジット会社bに知らせるようにする。この場
合、gの値自身が秘密なので、より安全性が高まる。同
様に、ハッシュ関数hを各ユーザ毎に変えるようにして
もよく、この場合も安全性が高まる。
【0122】なお、上記第4の実施形態においては、ユ
ーザi、販売会社a、クレジット会社b間の双方向通信
を、パソコン通信を用いて行っているが、デジタルCA
TV網、B−ISDNなどの双方向通信が行えるもので
あれば、それらを用いて通信を行っても、上記と同様の
効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係る個人認証システ
ムの構成を示すブロック図である
【図2】図1に示すユーザiに設けられた認証申込装置
10の構成の一例を示すブロック図である。
【図3】図1に示す販売会社aに設けられた認証中継装
置20の構成の一例を示すブロック図である。
【図4】図1に示すクレジット会社bに設けられたユー
ザ認証装置30の構成の一例を示すブロック図である。
【図5】第1の実施形態の個人認証システム全体の動作
を示すシーケンスチャートである。
【図6】第1の実施形態の認証申込装置10の認証申込
時の動作を示すフローチャートである。
【図7】第1の実施形態の認証中継装置20の認証用質
問情報生成時の動作を示すフローチャートである。
【図8】第1の実施形態の認証申込装置10の認証用応
答情報生成時の動作を示すフローチャートである。
【図9】は、第1の実施形態の認証中継装置20の認証
用照会情報生成時の動作を示すフローチャートである。
【図10】第1の実施形態のユーザ認証装置30のユー
ザ認証照合時の動作を示すフローチャートである。
【図11】第2の実施形態の個人認証システム全体の動
作を示すシーケンスチャートである。
【図12】第2の実施形態の認証中継装置20の認証用
質問情報生成時の動作を示すフローチャートである。
【図13】第2の実施形態の認証申込装置10の認証用
応答情報生成時の動作を示すフローチャートである。
【図14】第2の実施形態の認証中継装置20の認証用
照会情報生成時の動作を示すフローチャートである。
【図15】第2の実施形態のユーザ認証装置30のユー
ザ認証照合時の動作を示すフローチャートである。
【図16】第3の実施形態の個人認証システム全体の動
作を示すシーケンスチャートである。
【図17】第3の実施形態の認証申込装置10の認証申
込時の動作を示すフローチャートである。
【図18】第3の実施形態の認証中継装置20の認証用
質問情報生成時の動作を示すフローチャートである。
【図19】第3の実施形態の認証申込装置10の認証用
応答情報生成時の動作を示すフローチャートである。
【図20】は、第3の実施形態の認証中継装置20の認
証用照会情報生成時の動作を示すフローチャートであ
る。
【図21】第3の実施形態のユーザ認証装置30のユー
ザ認証照合時の動作を示すフローチャートである。
【図22】第4の実施形態の個人認証システム全体の動
作を示すシーケンスチャートである。
【図23】第2の従来例の全体の動作を示すシーケンス
チャートである。
【図24】第4の従来例の全体の動作を示すシーケンス
チャートである。
【図25】第5の従来例の全体の動作を示すシーケンス
チャートである。
【符号の説明】
i…ユーザ 10…認証申込装置 a…販売会社 20…認証中継装置 b…クレジット会社 30…ユーザ認証装置 101,201,301…制御部 102,202,302…ROM 103,203,303…RAM 104…入力操作器 105…表示器 106,204…乱数発生器 107,206,306…通信部 205,305…秘密鍵保管部 304…個人別データ記憶部
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平9−50465(JP,A) 特開 平8−111679(JP,A) 特開 平7−302288(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G09C 1/00 640 H04L 9/08 G06F 15/00 330

Claims (42)

    (57)【特許請求の範囲】
  1. 【請求項1】 被認証局から送られてくる被認証者に関
    する情報を、第1および第2の認証局が協働して認証す
    る方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記被認証局は、前記被認証者が認証を希望するとき、
    第1の可変パラメータを発生し、当該第1の可変パラメ
    ータに対して第2の一方向性変換を施すことにより、当
    該第1の可変パラメータに依存した認証申込情報を生成
    して前記第2の認証局に送信し、 前記第2の認証局は、前記認証申込情報を受信したと
    き、第2の可変パラメータを発生し、当該第2の可変パ
    ラメータおよび受信した認証申込情報に対して第3の一
    方向性変換を施すことにより、第1および第2の可変パ
    ラメータに依存した認証用質問情報を生成して前記被認
    証局に送信し、 前記被認証局は、受信した前記認証用質問情報,前記第
    1の可変パラメータおよび認証を受けるべき被認証者に
    固有の秘密情報に対して第4の一方向性変換を施すこと
    により、第1の可変パラメータに依存しない認証用応答
    情報を生成し、当該被認証者の識別情報と共に、前記第
    2の認証局に送信し、 前記第2の認証局は、受信した前記認証用応答情報およ
    び前記第2の可変パラメータに対して第5の一方向性変
    換を施すことにより、第2の可変パラメータに依存しな
    い認証用照会情報を生成し、受信した前記被認証者の識
    別情報と共に、前記第1の認証局に送信し、 前記第1の認証局は、受信した前記識別情報に対応する
    前記変換秘密情報を前記データベースから検索し、検索
    された変換秘密情報が受信した前記認証用照会情報と一
    致するかどうか調べ、一致した場合には前記被認証者を
    正規の被認証者であることを、一致しない場合には前記
    被認証者を正規の被認証者とは認証しないことを表す認
    否情報を、第2の認証局に送信し、 前記第2の認証局は、受信した認否情報によって前記被
    認証者を認証することを特徴とする、個人認証方法。
  2. 【請求項2】 前記第1および第2の可変パラメータ
    は、乱数パラメータである、請求項1に記載の個人認証
    方法。
  3. 【請求項3】 前記被認証者の識別情報に対応する秘密
    情報を正の整数siとし、pを素数とし、gを不等式1
    <g<pを満たす整数値とするとき、 前記変換秘密情報は、gsiを素数pで除算したときの剰
    余値であることを特徴とする、請求項1または2に記載
    の個人認証方法。
  4. 【請求項4】 前記被認証者の識別情報に対応する秘密
    情報を正の整数siとし、pを素数とし、gを不等式1
    <g<pを満たす整数値とし、hをハッシュ関数とする
    とき、 前記変換秘密情報は、gh(si) を素数pで除算したとき
    の剰余値であることを特徴とする、請求項1または2に
    記載の個人認証方法。
  5. 【請求項5】 前記第1の可変パラメータxを、 0<x<p−1 gcd(x,p−1)=1 を満たす整数値とし(ただし、gcd(α,β)はαと
    βとの最大公約数を示す)、 前記第2の可変パラメータrを、 0<r<p−1 gcd(r,p−1)=1 を満たす整数値とし、 yを、 xy mod p−1=1 を満たす整数値(0<y<p−1)とし(ただし、α
    mod βはαをβで除算したときの剰余値を示すもの
    とする)、 sを、 rs mod p−1=1 を満たす整数値(0<s<p−1)とするとき、 前記認証申込情報App、前記認証用質問情報Cha、
    前記認証用応答情報Resp、前記認証用照会情報Au
    tは、それぞれ App =gx mod p Cha =Appr mod p=gxr mod p Resp=Chayh(si) mod p=grh(si) mod
    p Aut =Resps mod p=gh(si) =gh(si)
    mod p で求められることを特徴とする、請求項4に記載の個人
    認証方法。
  6. 【請求項6】 前記整数値gは、各被認証者毎に変更さ
    れる、請求項3〜5のいずれかに記載の個人認証方法。
  7. 【請求項7】 前記ハッシュ関数hは、各被認証者毎に
    変更される、請求項4または5に記載の個人認証方法。
  8. 【請求項8】 被認証局から送られてくる被認証者に関
    する情報を、第1および第2の認証局が協働して認証す
    る方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記第2の認証局は、前記被認証局から認証申込があっ
    たとき、第1の可変パラメータを発生し、当該第1の可
    変パラメータに対して第2の一方向性変換を施すことに
    より、当該第1の可変パラメータに依存する認証用質問
    情報を生成して被認証局に送信し、 前記被認証局は、前記認証用質問情報を受信したとき、
    第2の可変パラメータを発生し、当該第2の可変パラメ
    ータ,前記認証用質問情報および認証を受けるべき被認
    証者に固有の秘密情報に対して第3の一方向性変換を施
    すことにより、秘密情報,第1および第2の可変パラメ
    ータに依存する第1の認証用応答情報と、第2の可変パ
    ラメータに依存する第2の認証用応答情報とを生成し、
    当該被認証者の識別情報と共に、第2の認証局に送信
    し、 前記第2の認証局は、前記第1の可変パラメータと受信
    した前記第1および第2の認証用応答情報とに対して第
    4の一方向性変換を施すことにより、第1および第2の
    可変パラメータに依存しない認証用照会情報を生成し、
    受信した被認証者の識別情報と共に、前記第1の認証局
    に送信し、 前記第1の認証局は、受信した被認証者の識別情報に対
    応する前記変換秘密情報を前記データベースから検索
    し、検索された変換秘密情報が受信した前記認証用照会
    情報と一致するか否かを調べ、一致した場合には前記被
    認証者が正規の被認証者であることを、一致しない場合
    には正規の被認証でないことを表す認否情報を、第2の
    認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  9. 【請求項9】 前記第1および第2の可変パラメータ
    は、乱数パラメータである、請求項8に記載の個人認証
    方法。
  10. 【請求項10】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とするとき、前記変換秘密情
    報は、gsiを素数pで除算したときの剰余値であること
    を特徴する、請求項8または9に記載の個人認証方法。
  11. 【請求項11】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とし、hをハッシュ関数とす
    るとき、 前記変換秘密情報は、gh(si) を素数pで除算したとき
    の剰余値であることを特徴とする、請求項8または9に
    記載の個人認証方法。
  12. 【請求項12】 前記第1の可変パラメータrを、 0<r<p−1 gcd(r,p−1)=1 を満たす整数値とし(ただし、gcd(α,β)はαと
    βとの最大公約数を示す)、 前記第2の可変パラメータxを、 0<x<p−1 gcd(x,p−1)=1 を満たす整数値とし、 前記第2の認証用応答情報Cを、 C=gx mod p で求められる値とし(ただし、α mod βはαをβで
    除算したときの剰余値を示すものとする)、 zを、 Cz mod p=1 を満たす整数値(0<z<p)とし、 wを、 w=zr mod p=g-xr mod p で求められる値とし、 sを、 rs mod p−1=1 を満たす整数値(0<s<p−1)とするとき、 前記認証用質問情報Cha、前記第1の認証用応答情報
    Resp、前記認証用照会情報Autは、それぞれ Cha =gr mod p Resp=Chax+h(si) mod p=gr{x+h(si)}
    mod p Aut =(Resp×w)s mod p=gh(si)
    mod p で求められることを特徴とする、請求項11に記載の個
    人認証方法。
  13. 【請求項13】 前記整数値gは、各被認証者毎に変更
    される、請求項10〜12のいずれかに記載の個人認証
    方法。
  14. 【請求項14】 前記ハッシュ関数hは、各被認証者毎
    に変更される、請求項11または12に記載の個人認証
    方法。
  15. 【請求項15】 被認証局から送られてくる被認証者に
    関する情報を、第1および第2の認証局が協働して認証
    する方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記第2の認証局は、前記被認証局から認証申込があっ
    たとき、可変パラメータを発生し、当該可変パラメータ
    に対して第2の一方向性変換を施すことにより、当該可
    変パラメータに依存した認証用質問情報を生成して被認
    証局に送信し、 前記被認証局は、受信した前記認証用質問情報および認
    証を受けるべき被認証者に固有の秘密情報に対して第3
    の一方向性変換を施すことにより、認証用応答情報を生
    成し、当該被認証者の識別情報と共に、第2の認証局に
    送信し、 前記第2の認証局は、前記可変パラメータおよび受信し
    た前記認証用応答情報に対して第4の一方向性変換を施
    すことにより、可変パラメータに依存しない認証用照会
    情報を生成し、受信した被認証者の識別情報と共に、前
    記第1の認証局に送信し、 前記第1の認証局は、受信した被認証者の識別情報に対
    応する前記変換秘密情報を前記データベースから検索
    し、検索された変換秘密情報が受信した前記認証用照会
    情報と一致するか否かを調べ、一致した場合には前記被
    認証者が正規の被認証者であることを、一致しない場合
    には正規の被認証でないことを表す認否情報を、第2の
    認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  16. 【請求項16】 前記可変パラメータは、乱数パラメー
    タである、請求項15に記載の個人認証方法。
  17. 【請求項17】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とするとき、前記変換秘密情
    報は、gsiを素数pで除算したときの剰余値であること
    を特徴とする、請求項15または16に記載の個人認証
    方法。
  18. 【請求項18】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とし、hをハッシュ関数とす
    るとき、 前記変換秘密情報は、gh(si) を素数pで除算したとき
    の剰余値であることを特徴とする、請求項15または1
    6に記載の個人認証方法。
  19. 【請求項19】 前記整数値gは、各被認証者毎に変更
    される、請求項17または18に記載の個人認証方法。
  20. 【請求項20】 前記ハッシュ関数hは、各被認証者毎
    に変更される、請求項18または19に記載の個人認証
    方法。
  21. 【請求項21】 被認証局から送られてくる被認証者に
    関する情報を、第1および第2の認証局が協働して認証
    する方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記被認証局は、前記被認証者が認証を希望するとき、
    第1の可変パラメータを発生し、当該第1の可変パラメ
    ータと第2の認証局についての公開情報に対して第2の
    一方向性変換を施すことにより、当該第1の可変パラメ
    ータおよび当該公開情報に依存する認証申込情報を生成
    して前記第2の認証局に送信し、 前記第2の認証局は、前記認証申込情報を受信したと
    き、当該認証申込情報と自局に固有の秘密情報に対して
    第3の一方向性変換を施すことにより、前記公開情報に
    依存しない第1の共有鍵情報を生成し、第2の可変パラ
    メータを発生して、当該第2の可変パラメータおよび第
    1の共有鍵情報に対して第4の一方向性変換を施すこと
    により、第1および第2の可変パラメータに依存する認
    証用質問情報を生成して前記被認証局に送信し、 前記被認証局は、受信した前記認証用質問情報,前記第
    1の可変パラメータおよび認証を受けるべき被認証者に
    固有の秘密情報に対して第5の一方向性変換を施すこと
    により、第1の可変パラメータに依存しない認証用応答
    情報を生成し、前記第1の可変パラメータに対して第6
    の一方向性変換を施すことにより第2の共有鍵情報を生
    成し、当該被認証者の識別情報を第2の共有鍵情報で暗
    号化して、前記認証用応答情報と共に、前記第2の認証
    局に送信し、 前記第2の認証局は、受信した前記第2の共有鍵情報で
    暗号化された被認証者の識別情報を前記第1の共有鍵情
    報で復号し、受信した前記認証用応答情報および前記第
    2の可変パラメータに対して第7の一方向性変換を施す
    ことにより、第2の可変パラメータに依存しない認証用
    照会情報を生成し、当該認証用照会情報を復号した前記
    被認証者の識別情報と共に、前記第1の認証局に送信
    し、 前記第1の認証局は、受信した識別情報に対応する前記
    変換秘密情報を前記データベースから検索し、検索され
    た変換秘密情報が受信した認証用照会情報と一致するか
    どうか調べ、一致した場合には前記被認証者を正規の被
    認証者であることを、一致しない場合には前記被認証者
    を正規の被認証者とは認証しないことを表す認否情報
    を、第2の認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  22. 【請求項22】 前記第1および第2の可変パラメータ
    は、乱数パラメータである、請求項21に記載の個人認
    証方法。
  23. 【請求項23】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とするとき、前記変換秘密情
    報は、gsiを素数pで除算したときの剰余値であること
    を特徴とする、請求項21または22に記載の個人認証
    方法。
  24. 【請求項24】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とし、hをハッシュ関数とす
    るとき、 前記変換秘密情報は、gh(si) を素数pで除算したとき
    の剰余値であることを特徴する、請求項21または22
    に記載の個人認証方法。
  25. 【請求項25】 前記第1の可変パラメータxを、 0<x<p−1 gcd(x,p−1)=1 を満たす整数値とし(ただし、gcd(α,β)はαと
    βとの最大公約数を示す)、 前記第2の可変パラメータrを、 0<r<p−1 gcd(r,p−1)=1 を満たす整数値とし、 yを、 xy mod p−1=1 を満たす整数値(0<y<p−1)とし(ただし、α
    mod βはαをβで除算したときの剰余値を示すもの
    とする)、 sを、 rs mod p−1=1 を満たす整数値(0<s<p−1)とし、 前記第2の認証局に固有の秘密情報sa を、 0<sa <p−1 gcd(sa ,p−1)=1 を満たす整数とし、 uを、 usa mod p−1=1 を満たす整数値(0<u<p−1)とし、 前記第2の認証局についての公開情報Pa を、 Pa =gu mod p で表される値とするとき、 前記認証申込情報App、前記第1の共有鍵情報C0
    前記認証用質問情報Cha、前記認証用応答情報Res
    p、前記第2の共有鍵情報C1 、前記認証用照会情報A
    utは、それぞれ App =Pa x mod p=gux mod p C0 =Appsa mod p=gx mod p Cha =C0 r mod p=gxr mod p Resp=Chayh(si) mod p=grh(si) mod
    p C1 =gx mod p Aut =Resps mod p=gh(si) mod p で求められることを特徴とする、請求項24に記載の個
    人認証方法。
  26. 【請求項26】 前記整数値gは、各被認証者毎に変更
    される、請求項23〜25のいずれかに記載の個人認証
    方法。
  27. 【請求項27】 前記ハッシュ関数hは、各被認証者毎
    に変更される、請求項24または25に記載の個人認証
    方法。
  28. 【請求項28】 前記被認証局は、前記被認証者の識別
    情報に加えて所定の情報を第2の共有鍵情報で暗号化し
    て、前記認証用応答情報と共に、前記第2の認証局に送
    信することを特徴とする、請求項21に記載の個人認証
    方法。
  29. 【請求項29】 前記所定の情報は、商品の発注情報で
    ある、請求項28に記載の個人認証方法。
  30. 【請求項30】 被認証局から送られてくる被認証者に
    関する情報を、第1および第2の認証局が協働して認証
    する方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記被認証局は、前記被認証者が認証を希望するとき、
    第1の可変パラメータを発生し、当該第1の可変パラメ
    ータと第2の認証局についての公開情報に対して第2の
    一方向性変換を施すことにより、当該第1の可変パラメ
    ータおよび当該公開情報に依存する認証申込情報を生成
    して前記第2の認証局に送信し、 前記第2の認証局は、前記認証申込情報を受信したと
    き、当該認証申込情報と自局に固有の秘密情報に対して
    第3の一方向性変換を施すことにより、前記公開情報に
    依存しない第1の共有鍵情報を生成し、第2の可変パラ
    メータを発生して、当該第2の可変パラメータおよび第
    1の共有鍵情報に対して第4の一方向性変換を施すこと
    により、第1および第2の可変パラメータに依存する認
    証用質問情報を生成して前記被認証局に送信し、 前記被認証局は、受信した前記認証用質問情報,前記第
    1の可変パラメータおよび認証を受けるべき被認証者に
    固有の秘密情報に対して第5の一方向性変換を施すこと
    により、第1の可変パラメータに依存しない認証用応答
    情報を生成し、前記第1の可変パラメータに対して第6
    の一方向性変換を施すことにより第2の共有鍵情報を生
    成し、所定の情報を第2の共有鍵情報で暗号化して、前
    記認証用応答情報および被認証者の識別情報と共に、前
    記第2の認証局に送信し、 前記第2の認証局は、受信した前記第2の共有鍵情報で
    暗号化された所定の情報を前記第1の共有鍵情報で復号
    し、受信した前記認証用応答情報および前記第2の可変
    パラメータに対して第7の一方向性変換を施すことによ
    り、第2の可変パラメータに依存しない認証用照会情報
    を生成し、当該認証用照会情報を受信した前記被認証者
    の識別情報と共に、前記第1の認証局に送信し、 前記第1の認証局は、受信した識別情報に対応する前記
    変換秘密情報を前記データベースから検索し、検索され
    た変換秘密情報が受信した認証用照会情報と一致するか
    どうか調べ、一致した場合には前記被認証者を正規の被
    認証者であることを、一致しない場合には前記被認証者
    を正規の被認証者とは認証しないことを表す認否情報
    を、第2の認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  31. 【請求項31】 前記被認証局は、前記所定の情報とし
    て商品の発注情報を前記第2の共有鍵情報で暗号化し
    て、前記認証用応答情報および前記被認証者の識別情報
    と共に、前記第2の認証局に送信することを特徴とす
    る、請求項30に記載の個人認証方法。
  32. 【請求項32】 被認証局から送られてくる被認証者に
    関する情報を、第1および第2の認証局が協働して認証
    する方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記第2の認証局は、前記被認証局から認証申込があっ
    たとき、第1の可変パラメータを発生し、当該第1の可
    変パラメータに対して第2の一方向性変換を施すことに
    より、当該第1の可変パラメータに依存する認証用質問
    情報を生成して被認証局に送信し、 前記被認証局は、前記認証用質問情報を受信したとき、
    第2の可変パラメータを発生し、当該第2の可変パラメ
    ータ,前記認証用質問情報および認証を受けるべき被認
    証者に固有の秘密情報に対して第3の一方向性変換を施
    すことにより、秘密情報,第1および第2の可変パラメ
    ータに依存する第1の認証用応答情報を生成し、当該第
    2の可変パラメータと第2の認証局についての公開情報
    に対して第4の一方向性変換を施すことにより、当該第
    2の可変パラメータおよび当該公開情報に依存する第2
    の認証用応答情報を生成し、当該第2の可変パラメータ
    に対して第5の一方向性変換を施すことにより第1の共
    有鍵情報を生成し、被認証者の識別情報を前記第1の共
    有鍵情報で暗号化して、前記第1および第2の認証用応
    答情報と共に、前記第2の認証局に送信し、 前記第2の認証局は、受信した第2の認証用応答情報と
    自局に固有の秘密情報に対して第6の一方向性変換を施
    すことにより、前記公開情報に依存しない第2の共有鍵
    情報を生成し、受信した前記第1の共有鍵情報で暗号化
    された被認証者の識別情報を当該第2の共有鍵情報で復
    号し、当該第2の共有鍵情報と前記第1の可変パラメー
    タと受信した前記第1認証用応答情報とに対して第7の
    一方向性変換を施すことにより、第1および第2の可変
    パラメータに依存しない認証用照会情報を生成し、当該
    認証用照会情報を復号した被認証者の識別情報と共に、
    前記第1の認証局に送信し、 前記第1の認証局は、受信した被認証者の識別情報に対
    応する前記変換秘密情報を前記データベースから検索
    し、検索された変換秘密情報が受信した前記認証用照会
    情報と一致するか否かを調べ、一致した場合には前記被
    認証者が正規の被認証者であることを、一致しない場合
    には正規の被認証でないことを表す認否情報を、第2の
    認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  33. 【請求項33】 前記第1および第2の可変パラメータ
    は、乱数パラメータである、請求項32に記載の個人認
    証方法。
  34. 【請求項34】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とするとき、 前記変換秘密情報は、gsiを素数pで除算したときの剰
    余値であることを特徴する、請求項32または33に記
    載の個人認証方法。
  35. 【請求項35】 前記被認証者の識別情報に対応する秘
    密情報を正の整数siとし、pを素数とし、gを不等式
    1<g<pを満たす整数値とし、hをハッシュ関数とす
    るとき、 前記変換秘密情報は、gh(si) を素数pで除算したとき
    の剰余値であることを特徴とする、請求項32または3
    3に記載の個人認証方法。
  36. 【請求項36】 前記第1の可変パラメータrを、 0<r<p−1 gcd(r,p−1)=1 を満たす整数値とし(ただし、gcd(α,β)はαと
    βとの最大公約数を示す)、 前記第2の可変パラメータxを、 0<x<p−1 gcd(x,p−1)=1 を満たす整数値とし、 前記第2の認証局に固有の秘密情報sa を、 0<sa <p−1 gcd(sa ,p−1)=1 を満たす整数値とし、 uを、 usa mod p−1=1 を満たす整数値(0<u<p−1)とし、 前記第2の認証局についての公開情報Pa を、 Pa =gu mod p で表される値とし(ただし、α mod βはαをβで除
    算したときの剰余値を示すものとする)、 前記第2の認証用応答情報Cを、 C=Pax mod p=gux mod p で計算される値とし、 前記第1の共有鍵情報C1 を、 C1 =gx mod p で計算される値とし、 前記第2の共有鍵情報C0 を、 C0 =Csa mod p=gx mod p で計算される値とし、 zを、 z=C0 -1 mod p で計算される値とし、 wを、 w=zr mod p=g-xr mod p で計算される値とし、 sを、 rs mod p−1=1 を満たす整数値(0<s<p−1)としたとき、 前記認証用質問情報Cha、前記第1の認証用応答情報
    Resp、前記認証用照会情報Autは、それぞれ Cha =gr mod p Resp=Chax+h(si) mod p=gr{x+h(si)}
    mod p Aut =(Resp×w)s mod p =gh(si)
    od p で求められることを特徴とする、請求項35に記載の個
    人認証方法。
  37. 【請求項37】 前記整数値gは、各被認証者毎に変更
    される、請求項34〜36のいずれかに記載の個人認証
    方法。
  38. 【請求項38】 前記ハッシュ関数hは、各被認証者毎
    に変更される、請求項35または36に記載の個人認証
    方法。
  39. 【請求項39】 前記被認証局は、前記被認証者の識別
    情報に加えて所定の情報を第1の共有鍵情報で暗号化し
    て、前記認証用応答情報と共に、前記第2の認証局に送
    信することを特徴とする、請求項32に記載の個人認証
    方法。
  40. 【請求項40】 前記所定の情報は、商品の発注情報で
    ある、請求項39に記載の個人認証方法。
  41. 【請求項41】 被認証局から送られてくる被認証者に
    関する情報を、第1および第2の認証局が協働して認証
    する方法であって、 前記第1の認証局は、前記被認証者の識別情報と、当該
    識別情報に対応する秘密情報に対して第1の一方向性変
    換を行った結果である変換秘密情報との組を予めデータ
    ベースに記憶しており、 前記第2の認証局は、前記被認証局から認証申込があっ
    たとき、第1の可変パラメータを発生し、当該第1の可
    変パラメータに対して第2の一方向性変換を施すことに
    より、当該第1の可変パラメータに依存する認証用質問
    情報を生成して被認証局に送信し、 前記被認証局は、前記認証用質問情報を受信したとき、
    第2の可変パラメータを発生し、当該第2の可変パラメ
    ータ,前記認証用質問情報および認証を受けるべき被認
    証者に固有の秘密情報に対して第3の一方向性変換を施
    すことにより、秘密情報,第1および第2の可変パラメ
    ータに依存する第1の認証用応答情報を生成し、当該第
    2の可変パラメータと第2の認証局についての公開情報
    に対して第4の一方向性変換を施すことにより、当該第
    2の可変パラメータおよび当該公開情報に依存する第2
    の認証用応答情報を生成し、当該第2の可変パラメータ
    に対して第5の一方向性変換を施すことにより第1の共
    有鍵情報を生成し、所定の情報を前記第1の共有鍵情報
    で暗号化して、前記第1および第2の認証用応答情報な
    らびに被認証者の識別情報と共に、前記第2の認証局に
    送信し、 前記第2の認証局は、受信した第2の認証用応答情報と
    自局に固有の秘密情報に対して第6の一方向性変換を施
    すことにより、前記公開情報に依存しない第2の共有鍵
    情報を生成し、受信した前記第1の共有鍵情報で暗号化
    された所定の情報を当該第2の共有鍵情報で復号し、当
    該第2の共有鍵情報と前記第1の可変パラメータと受信
    した前記第1認証用応答情報とに対して第7の一方向性
    変換を施すことにより、第1および第2の可変パラメー
    タに依存しない認証用照会情報を生成し、当該認証用照
    会情報を受信した被認証者の識別情報と共に、前記第1
    の認証局に送信し、 前記第1の認証局は、受信した被認証者の識別情報に対
    応する前記変換秘密情報を前記データベースから検索
    し、検索された変換秘密情報が受信した前記認証用照会
    情報と一致するか否かを調べ、一致した場合には前記被
    認証者が正規の被認証者であることを、一致しない場合
    には正規の被認証でないことを表す認否情報を、第2の
    認証局に送信し、 前記第2の認証局は、受信した前記認否情報によって前
    記被認証者を認証することを特徴とする、個人認証方
    法。
  42. 【請求項42】 前記被認証局は、前記所定の情報とし
    て商品の発注情報を前記第1の共有鍵情報で暗号化し
    て、前記第1および第2の認証用応答情報ならびに前記
    被認証者の識別情報と共に、前記第2の認証局に送信す
    ることを特徴とする、請求項41に記載の個人認証方
    法。
JP00512596A 1995-01-20 1996-01-16 個人認証方法 Expired - Fee Related JP3497936B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP00512596A JP3497936B2 (ja) 1995-01-20 1996-01-16 個人認証方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP768995 1995-01-20
JP7-7689 1995-01-20
JP00512596A JP3497936B2 (ja) 1995-01-20 1996-01-16 個人認証方法

Publications (2)

Publication Number Publication Date
JPH08262976A JPH08262976A (ja) 1996-10-11
JP3497936B2 true JP3497936B2 (ja) 2004-02-16

Family

ID=26339029

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00512596A Expired - Fee Related JP3497936B2 (ja) 1995-01-20 1996-01-16 個人認証方法

Country Status (1)

Country Link
JP (1) JP3497936B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6353812B2 (en) * 1998-02-19 2002-03-05 Certco, Inc. Computer-based method and system for aiding transactions
US6944765B1 (en) * 1999-12-21 2005-09-13 Qualcomm, Inc. Method of authentication anonymous users while reducing potential for “middleman” fraud
JP4942245B2 (ja) * 2000-11-20 2012-05-30 大日本印刷株式会社 クレジットカードを用いた決済処理方法
JP2002312707A (ja) * 2001-04-13 2002-10-25 Dainippon Printing Co Ltd クレジットカードを用いた決済処理方法
JP6647378B1 (ja) * 2018-12-14 2020-02-14 明雄 小田中 デジタル割符方式を利用した認証システム

Also Published As

Publication number Publication date
JPH08262976A (ja) 1996-10-11

Similar Documents

Publication Publication Date Title
US5790667A (en) Personal authentication method
US6247129B1 (en) Secure electronic commerce employing integrated circuit cards
US9258296B2 (en) System and method for generating a strong multi factor personalized server key from a simple user password
US6269445B1 (en) Electronic shopping method, electronic shopping system and document authenticating method relating thereto
AU2001243658B2 (en) Method and system for secure payments over a computer network
US7379919B2 (en) Method and system for conducting secure payments over a computer network
US6061791A (en) Initial secret key establishment including facilities for verification of identity
US20100153273A1 (en) Systems for performing transactions at a point-of-sale terminal using mutating identifiers
CN100595748C (zh) 电子值的认证方法、认证系统与装置
US20020073045A1 (en) Off-line generation of limited-use credit card numbers
US6978380B1 (en) System and method for secure authentication of a subscriber of network services
US10089627B2 (en) Cryptographic authentication and identification method using real-time encryption
US20040260657A1 (en) System and method for user-controlled on-line transactions
WO1998040982A9 (en) Secure electronic commerce employing integrated circuit cards
AU2001243658A1 (en) Method and system for secure payments over a computer network
US20070074027A1 (en) Methods of verifying, signing, encrypting, and decrypting data and file
CA2406375C (en) An improved method and system for conducting secure payments over a computer network
JP3497936B2 (ja) 個人認証方法
JP3886964B2 (ja) 認証端末装置、認証サーバ及び認証システム
US20130132726A1 (en) Digital certification method and apparatus
EP0886248B1 (en) Method and apparatus for registration of information with plural institutions and recording medium with registration program stored thereon
JPH10149396A (ja) 商取引システム
JP2003066836A (ja) 電子署名方法
AU2007216920B2 (en) An improved method and system for conducting secure payments over a computer network
AU2012201255B2 (en) An improved method and system for conducting secure payments over a computer network

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees