JP3585397B2 - Authentication method suitable for broadcast communication - Google Patents

Authentication method suitable for broadcast communication Download PDF

Info

Publication number
JP3585397B2
JP3585397B2 JP19041299A JP19041299A JP3585397B2 JP 3585397 B2 JP3585397 B2 JP 3585397B2 JP 19041299 A JP19041299 A JP 19041299A JP 19041299 A JP19041299 A JP 19041299A JP 3585397 B2 JP3585397 B2 JP 3585397B2
Authority
JP
Japan
Prior art keywords
mod
communication device
broadcast
authenticated
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP19041299A
Other languages
Japanese (ja)
Other versions
JP2001024632A (en
Inventor
潤 安齋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Mobile Communications Co Ltd
Original Assignee
Matsushita Communication Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Communication Industrial Co Ltd filed Critical Matsushita Communication Industrial Co Ltd
Priority to JP19041299A priority Critical patent/JP3585397B2/en
Publication of JP2001024632A publication Critical patent/JP2001024632A/en
Application granted granted Critical
Publication of JP3585397B2 publication Critical patent/JP3585397B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、認証方法に関し、特に、複数の通信機からなる同報通信可能な通信システムにおける認証方法に関する。
【0002】
【従来の技術】
従来、認証方式の1つとして、並列Fiat−Shamir法が知られている(詳細は、今井秀樹著「暗号のおはなし」,日本規格協会,pp147−152を参照)。この方式は、安全性が高く演算量も少ないが、データ通信量や通信回数が多い。図6に、1対1の通信システムにおける従来の認証方式の構成を示し、図7〜図10に、複数の通信機からなる同報通信可能な通信システムに、単純に並列Fiat−Shamir法を適用した構成を示す。
【0003】
図6を参照して、1対1の通信システムにおける従来のFiat−Shamir法による認証方法を説明する。信頼できる第3者の証明センターは、大きな素数p,qを生成して秘密に保持するとともに、合成数N(=p×q)を公開する。秘密鍵s(1≦s≦N−1)を生成して、認証されることを望む通信機1(以下証明者という)に秘密に保持させるとともに、公開鍵v(s×v mod N=1)を計算して公開する。秘密鍵sを保持している者が本人であり、検証者2は、公開鍵vを使って証明者が秘密鍵sを保持しているか否かを、秘密鍵sを知ることなく検証する。
【0004】
証明者1と検証者2の間で、認証の繰返し回数wを決める。証明者1は、w個の乱数r(1≦i≦w)を生成し、
=r mod N(1≦i≦w)
を計算して、検証者2にw個の乱数r(1≦i≦w)を送る。検証者2は、w個のX(1≦i≦w)を受信すると、値が“0”または“1”のw個の乱数e(1≦i≦w)を生成して、w個のe(1≦i≦w)を証明者1に送る。証明者1は、
=r×sei mod N(1≦i≦w)
を計算して、検証者2にw個のY(1≦i≦w)を送る。検証者2は、
×vei≡X(mod N)(1≦i≦w)
を検証する。w回の検証が成功すれば、検証者2は、1−(1/2)の確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。1回でも検証に失敗すれば、証明者1は本人でないことがわかる。
【0005】
図7〜図10を参照して、並列Fiat−Shamir法による認証方法を説明する。信頼できる第3者の証明センターは、大きな素数p,qを生成して秘密に保持するとともに、合成数N(=p×q)を公開する。通信機数n=5とする。1台の通信機を証明者1とし、4台の通信機を検証者2とする。証明センターは、秘密鍵s(1≦s≦N−1)を生成して、証明者1に秘密に保持させるとともに、公開鍵v(s×v mod N=1)を計算して公開する。証明者1と検証者2の間で、認証の繰返し回数w=8を決める。
【0006】
図7に示すステップ(1)において、証明者1は、8×4個の乱数rjw(1≦j≦4,1≦w≦8)を生成し、
jw=rjw mod N
を計算して検証者2に同報する。j番目の検証者2(検証者j)は、Xj1〜Xj8を受信する(1≦j≦4)。
【0007】
図8に示すステップ(2)において、検証者jは、乱数ej1〜ej8(1≦j≦4)を発生して、証明者1に送る。証明者1は、ejw(1≦j≦4,1≦w≦8)を受信する。
【0008】
図9に示すステップ(3)において、証明者1は、
jw=rjw×sejw mod N(1≦j≦4,1≦w≦8)
を計算して、検証者2に同報する。検証者jは、Yj1〜Yj8(1≦j≦4)を受信する。
【0009】
図10に示すステップ(4)において、検証者jは、
jw ×vejw≡Xjw(mod N)(1≦j≦4,1≦w≦8)
が成立するか否か検査する。各検証者2がすべての検証に成功すれば、1−(1/2)の確率で、各検証者は証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。
【0010】
【発明が解決しようとする課題】
しかしながら、上記従来の認証方式においては、データ通信量や通信回数が多く、実用上は効率が悪いという欠点がある。特に、この方式を同報通信システムに単純に適用すると、非常にトラフィックが大きくなるという問題を有していた。
【0011】
本発明は、上記従来の問題を解決するもので、並列Fiat−Shamir法を用いた認証方法において、データ通信量と通信回数および演算量を削減して、高速に認証を行なうことを目的とする。
【0012】
【課題を解決するための手段】
上記問題を解決するために、本発明では、複数台の通信機からなる通信システムにおける認証方法を、通信機のうち認証されることを望む通信機(証明者)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s×v mod N=1)を生成して、p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、(1)証明者は、w個の乱数r(1≦i≦w)を生成し、前半情報 X=h(r mod N‖r mod N‖…‖r mod N) を計算して通信機のうち検証を依頼する通信機(検証者)に送信し、(2)検証者は、値が“0”または“1”のw個の乱数e(1≦i≦w)を生成して証明者に送信し、(3)証明者は、w個の検証情報 Y=r×se1 mod N,Y=r×se2 mod N,…,Y=r×sew mod N を計算して検証者に送信し、(4)検証者は検証式 h(Y ×ve1 mod N‖Y ×ve2 mod N‖…‖Y ×vew mod N)=X が成り立つことを検算し、成り立つ場合には証明者を認証し、成り立たない場合には証明者を認証しない構成とした。
【0013】
このように構成したことにより、証明者から検証者へのデータ通信量と通信回数を削減することができる。
【0014】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合は、n−1個の乱数rを生成して前半情報 X=r mod N(1≦j≦n−1)を計算して同報通信し、n<wの場合は、w個の乱数r,…,rを生成してw個の前半情報 X=r mod N, Xj+n−1=rj+n−1 mod N, Xj+2(n−1)=rj+2(n−1) mod N,… を計算して同報通信し、(2)検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数eを同報通信し、n<wの場合は自身のIDに対応した前半情報X,Xj+n−1,Xj+2(n−1),…を保持し、値が“0”または“1”の乱数e,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はeを用いてn−1個の検証情報 Y=r×sej mod N を計算して同報通信し、n<wの場合はe,ej+n−1,ej+2(n−1),…を用いてw個の検証情報 Y=r×sej mod N, Yj+n−1=r×sej+n−1 mod N, Yj+2(n−1)=r×sej+2(n−1) mod N,… を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 Y ×vej mod N=X が成り立つことを確認し、n<wの場合は検証式 Y ×vej mod N=X, Yj+n−1 ×vej+n−1 mod N=Xj+n−1,Yj+2(n−1) ×vej+2(n−1) mod N=Xj+2(n−1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成とした。
【0015】
このように構成したことにより、証明者から検証者への通信量と検証者の演算量を削減できる。
【0016】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合はn−1個の乱数rを生成してn−1個の前半情報 X=h(r mod N) を計算して同報通信し、n<wの場合はw個の乱数r,…,rを生成してn−1個の前半情報 X=h(r mod N‖rj+n−1 mod N‖ri+2(n−1) mod N‖…)を計算して同報通信し、(2)証検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数eを同報通信し、n<wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数e,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はeを用いてn−1個の検証情報 Y=r×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合はe,ej+n−1,ej+2(n−1),…(1≦j≦n−1)を用いてw個の検証情報 Y=r×sej mod N, Yj+n−1=r×sej+n−1 mod N, Yj+2(n−1)=r×sej+2(n−1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 h(Y ×vej mod N)=X が成り立つことを確認し、n<wの場合は検証式 h(Y ×vej mod N‖Yj+n−1 ×vej+n−1 mod N‖Yj+2(n−1) ×vej+2(n−1) mod N)=X が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成とした。
【0017】
このように構成したことにより、証明者から検証者への通信量と検証者の演算量を削減できる。
【0018】
【発明の実施の形態】
【0019】
本発明の請求項1に記載の発明は、n台(n≧)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、n≧wの場合:n−1個の乱数rjを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合:w個の乱数r1,…,rwを生成してw個の前半情報 Xj=rj 2 mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=rj+2(n-1) 2 mod N,… を計算して同報通信し、(2)前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合:自身のIDに対応した前記前半情報Xj,Xj+n-1,Xj+2(n-1),…を保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、(3)前記認証されることを望む通信機は、n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod Nを計算して同報通信し、n<wの場合:ej,ej+n-1,ej+2(n-1),…を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,… を計算して同報通信し、(4)前記認証されることを望む通信機を除く通信機jは、n≧wの場合:検証式 Yj 2×vej mod N=Xj が成り立つことを確認し、n<wの場合:検証式 Yj 2×vej mod N=Xj, Yj+n-1 2×vej+n-1 mod N=Xj+n-1, Yj+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法であり、認証されることを望む通信機の通信量と認証されることを望む通信機を除く通信機の演算量を減少するという作用を有する。
【0020】
本発明の請求項2に記載の発明は、n台(nは以上の整数)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×vmod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、n≧wの場合:n−1個の乱数rjを生成してn−1個の前半情報 Xj=h(rj 2 mod N) を計算して同報通信し、n<wの場合:w個の乱数r1,…,rwを生成してn−1個の前半情報 Xj=h(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…) を計算して同報通信し、(2)前記証認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、(3)前記認証されることを望む通信機は、n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合:ej,ej+n-1,ej+2(n-1),…(1≦j≦n−1)を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)認証されることを望む通信機を除く通信機jは、n≧wの場合:検証式 h(Yj 2×vej mod N)=Xj が成り立つことを確認し、n<wの場合:検証式 h(Yj 2×vej mod N‖Yj+n-1 2×vej+n-1 mod N‖Yj+2(n-1) 2×vej+2(n-1) mod N‖…)=Xj が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法であり、認証されることを望む通信機の通信量と認証されることを望む通信機を除く通信機の演算量を減少するという作用を有する。
【0024】
以下、本発明の実施の形態について、図1〜図5を参照しながら詳細に説明する。
【0025】
(第1の実施の形態)
本発明の第1の実施の形態は、証明者から検証者への前半のデータ送信の際に、ハッシュ関数で圧縮したデータを1回だけ送る認証方法である。
【0026】
図1は、本発明の第1の実施の形態における認証方法の1対1のシステムでの手順を示す流れ図である。図1を参照して、1対1の通信システムにおける処理手順を説明する。
【0027】
通信機のうち認証されることを望む通信機1(以下証明者という。ここでは、基地局を想定している。)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s×v mod N=1)を生成する。p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開する。任意の圧縮関数h( ‖ ‖…‖ )も公開する。
【0028】
検証者2(移動端末を想定している。)が証明者1を認証する際に、証明者1と検証者2の間で、認証の繰返し回数wを決める。証明者1は、w個の乱数r(1≦i≦w)を生成し、
=r mod N(i=1〜w)
X=h(X‖X‖・・・‖X
を計算して、Xを検証者2に送る。検証者2は、Xを受信すると、値が“0”または“1”のw個の乱数e(1≦i≦w)を生成して証明者1に送る。
【0029】
証明者1は、
=r×sei mod N(i=1〜w)
を計算して、検証者2に送る。
【0030】
検証者2は、
=Y ×vei mod N(i=1〜w)
を計算して、
h(Z‖Z‖・・・‖Z)=X
を検証する。検証が成功すれば、検証者2は、1−(1/2)の確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。検証に失敗すれば、証明者1は本人でないことがわかる。
【0031】
上記のように、本発明の第1の実施の形態では、認証方法を、証明者から検証者への前半のデータ送信の際に、ハッシュ関数で圧縮したデータを1回だけ送る構成としたので、並列Fiat−Shamir法の約半分の通信量で済む。
【0032】
(第2の実施の形態)
本発明の第2の実施の形態は、証明者から検証者への前半情報を圧縮して同報通信し、複数の端末で分担して検証する認証方法である。
【0033】
図2は、本発明の第2の実施の形態における認証方法の複数の通信機からなる同報通信可能な通信システムにおけるステップ(1)を示す図である。図3は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(2)を示す図である。図4は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(3)を示す図である。図5は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(4)を示す図である。
【0034】
図2〜図5を参照して、複数の通信機からなる同報通信可能な通信システムにおける処理手順を説明する。
【0035】
5台の通信機のうち、認証されることを望む通信機1(以下証明者という。ここでは、基地局を想定している。)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s×v mod N=1)を生成する。p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開する。任意の圧縮関数h( ‖ ‖…‖ )も公開する。証明者1を除く通信機2(以下検証者という。ここでは、4台の移動端末を想定している。)と証明者1の間で、認証の繰返し回数w=8を決める。
【0036】
図2に示すステップ(1)において、証明者1は、8個の乱数r(1≦w≦8)を生成し、
=r mod N(1≦w≦8)
=h(Z‖Zj+4)(j=1〜4)
を計算して検証者2に同報する。j番目の検証者2(以下、検証者jという)は、Xを受信する(1≦j≦4)。
【0037】
図3に示すステップ(2)において、検証者jは、値が“0”または“1”の乱数eとej+4(1≦j≦4)を発生して、証明者1に送る。証明者1は、e〜eを受信する。
【0038】
図4に示すステップ(3)において、証明者1は、
=r×sew mod N(1≦w≦8)
を計算して、検証者2に同報する。検証者jは、YとYj+4(1≦j≦4)を受信する。
【0039】
図5に示すステップ(4)において、検証者jは、
=Y ×vej mod N
j+4=Yj+4 ×vej+4 mod N
を計算し、
h(U‖Uj+4)=X(1≦j≦4)
が成立するか否か検査する。不成立時には基地局または他の移動体端末に知らせることにより、すべての検証者2が検証に成功すれば、1−(1/2)の確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。
【0040】
複数の通信機からなる同報通信可能な通信システムにおける本実施の形態と並列Fiat−Shamir法の通信量と演算量と通信回数を見積もって比較してみる。見積もり条件は、Nが1024bits、圧縮関数が128bitの出力を行うMD5とする。また、検証者が証明者に乱数を送信する確率を1/2、認証の繰返し回数w=20、通信機数n=11とする。以上の条件において、おおよそ本実施の形態では、検証者の演算時間が1/10、証明者の前半の通信量が1/2、後半の通信量が1/10、全検証者の通信回数の合計が1/2となる。
【0041】
並列Fiat−Shamir法は、合成数Nが多項式時間で素因数分解できないことに安全性の根拠を求めている。本実施の形態の認証方法も、同様の部分に安全性の根拠を求めている。したがって、十分な安全性を持たせるためには、合成数Nの大きさを1024bit程度にとる必要性がある。本実施の形態と並列Fiat−Shamir法において、安全性が異なる可能性があるのは、圧縮関数による情報量の減少である。しかし、本実施の形態においても合成数Nの大きさは1024bitのままであるから、これによる安全性の低下はない。
【0042】
全数探索法による攻撃に対しても、一般的には128bitもあれば十分安全であるとされているので、圧縮関数は、出力が128bit以上のものを用いれば安全である。圧縮関数に関しては、SHA−1やMD5などのハッシュ関数を用いるのが安全性の面から望ましいが、簡単化のために排他的論理和で代用することも可能である。圧縮しないで、検証を複数の端末で分担するだけでもよい。
【0043】
また、並列Fiat−Shamirの認証の繰返し回数wは、20から40にとるのが安全とされているので、本実施の形態においても20から40にとることで同様の安全性を保つことができる。
【0044】
なお、検証者のうち代表検証者が、その他の全ての検証者の乱数を代りに選択して証明者に送信してもよい。また、検証者は、乱数を選ぶときに、通信状態などの負荷の度合いが高い場合や省電力状態の場合は乱数を送信しないこととし、負荷の度合いが低い場合または省電力状態でない場合は乱数を送信するようにしてもよい。この場合、証明者は、前情報を同報通信してから制限時間内に検証者が乱数を送信しない場合には、該当の乱数を“0”と見なすようにする。
【0045】
上記のように、本発明の第2の実施の形態では、認証方法を、証明者から検証者への前半情報を圧縮して同報通信し、複数の端末で分担して検証する構成としたので、証明者と検証者との間の通信量と演算量を削減でき、高速に認証できる。
【0046】
【発明の効果】
以上の説明から明らかなように、本発明では、複数台の通信機からなる通信システムにおける認証方法を、通信機のうち認証されることを望む通信機(証明者)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s×v mod N=1)を生成して、p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、(1)証明者は、w個の乱数r(1≦i≦w)を生成し、前半情報 X=h(r mod N‖r mod N‖…‖r mod N) を計算して通信機のうち検証を依頼する通信機(検証者)に送信し、(2)検証者は、値が“0”または“1”のw個の乱数e(1≦i≦w)を生成して証明者に送信し、(3)証明者は、w個の検証情報 Y=r×se1 mod N,Y=r×se2 mod N,…,Y=r×sew mod N を計算して検証者に送信し、(4)検証者は検証式 h(Y ×ve1 mod N‖Y ×ve2 mod N‖…‖Y ×vew mod N)=X が成り立つことを検算し、成り立つ場合には証明者を認証し、成り立たない場合には証明者を認証しない構成としたので、証明者から検証者へのデータ通信量と通信回数を削減することができるという効果が得られる。
【0047】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合は、n−1個の乱数rを生成して前半情報 X=r mod N(1≦j≦n−1)を計算して同報通信し、n<wの場合は、w個の乱数r,…,rを生成してw個の前半情報 X=r mod N, Xj+n−1=rj+n−1 mod N, Xj+2(n−1)=rj+2(n−1) mod N,… を計算して同報通信し、(2)検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数eを同報通信し、n<wの場合は自身のIDに対応した前半情報X,Xj+n−1,Xj+2(n−1),…を保持し、値が“0”または“1”の乱数e,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はeを用いてn−1個の検証情報 Y=r×sej mod N を計算して同報通信し、n<wの場合はe,ej+n−1,ej+2(n−1),…を用いてw個の検証情報 Y=r×sej mod N, Yj+n−1=r×sej+n−1 mod N, Yj+2(n−1)=r×sej+2(n−1) mod N,… を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 Y ×vej mod N=X が成り立つことを確認し、n<wの場合は検証式 Y ×vej mod N=X, Yj+n−1 ×vej+n−1 mod N=Xj+n−1,Yj+2(n−1) ×vej+2(n−1) mod N=Xj+2(n−1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成としたので、証明者から検証者への通信量と検証者の演算量を削減できるという効果が得られる。
【0048】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合はn−1個の乱数rを生成してn−1個の前半情報 X=h(r mod N) を計算して同報通信し、n<wの場合はw個の乱数r,…,rを生成してn−1個の前半情報 X=h(r mod N‖rj+n−1 mod N‖ri+2(n−1) mod N‖…)を計算して同報通信し、(2)証検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数eを同報通信し、n<wの場合は自身のIDに対応した前半情報Xを保持し、値が“0”または“1”の乱数e,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はeを用いてn−1個の検証情報 Y=r×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合はe,ej+n−1,ej+2(n−1),…(1≦j≦n−1)を用いてw個の検証情報 Y=r×sej mod N, Yj+n−1=r×sej+n−1 mod N, Yj+2(n−1)=r×sej+2(n−1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 h(Y ×vej mod N)=X が成り立つことを確認し、n<wの場合は検証式 h(Y ×vej mod N‖Yj+n−1 ×vej+n−1 mod N‖Yj+2(n−1) ×vej+2(n−1) mod N)=X が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成としたので、証明者から検証者への通信量と検証者の演算量を削減できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における認証方法の手順を示す流れ図、
【図2】本発明の第2の実施の形態における認証方法のステップ(1)を示す図、
【図3】本発明の第2の実施の形態における認証方法のステップ(2)を示す図、
【図4】本発明の第2の実施の形態における認証方法のステップ(3)を示す図、
【図5】本発明の第2の実施の形態における認証方法のステップ(4)を示す図、
【図6】従来の1対1の通信システムにおける認証方法の説明図、
【図7】従来の並列Fiat−Shamir法のステップ(1)の説明図、
【図8】従来の並列Fiat−Shamir法のステップ(2)の説明図、
【図9】従来の並列Fiat−Shamir法のステップ(3)の説明図、
【図10】従来の並列Fiat−Shamir法のステップ(4)の説明図である。
【符号の説明】
1 証明者
2 検証者
3 同報通信網
[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication method, and more particularly, to an authentication method in a communication system including a plurality of communication devices and capable of broadcasting.
[0002]
[Prior art]
Conventionally, a parallel Fit-Shamir method is known as one of the authentication methods (for details, see Hideki Imai, "Cryptography Story", Japan Standards Association, pp. 147-152). This method has high security and a small amount of calculation, but has a large amount of data communication and the number of times of communication. FIG. 6 shows a configuration of a conventional authentication method in a one-to-one communication system. FIGS. 7 to 10 show a simple parallel Fit-Shamir method applied to a broadcast communication system including a plurality of communication devices. The applied configuration is shown.
[0003]
With reference to FIG. 6, a description will be given of a conventional authentication method using the Fiat-Shamir method in a one-to-one communication system. The trusted third-party certification center generates large prime numbers p and q, keeps them secret, and discloses the composite number N (= p × q). A secret key s (1 ≦ s ≦ N−1) is generated and kept secret by the communication device 1 (hereinafter referred to as “certifier”) that wants to be authenticated, and the public key v (s2× v mod N = 1) and publish it. The person holding the secret key s is the principal, and the verifier 2 verifies whether or not the prover holds the secret key s using the public key v without knowing the secret key s.
[0004]
The number of times w of authentication is repeated is determined between the prover 1 and the verifier 2. Prover 1 has w random numbers ri(1 ≦ i ≦ w), and
Xi= Ri 2  mod N (1 ≦ i ≦ w)
And verifier 2 gives w random numbers ri(1 ≦ i ≦ w) is sent. Verifier 2 has w XsiWhen (1 ≦ i ≦ w) is received, w random numbers e having a value of “0” or “1” are received.i(1 ≦ i ≦ w) to generate w ei(1 ≦ i ≦ w) is sent to the prover 1. Prover 1
Yi= Ri× sei  mod N (1 ≦ i ≦ w)
Is calculated, and w verifiers 2 are given to the verifier 2.i(1 ≦ i ≦ w) is sent. Verifier 2
Yi 2× vei≡Xi(Mod N) (1 ≦ i ≦ w)
Verify If the verification is successful w times, the verifier 2 obtains 1- (1/2)wWith the probability, it can be confirmed that the prover 1 holds the secret key s corresponding to the public key v, that is, the prover 1 is the principal. If the verification fails even once, it is known that the prover 1 is not himself / herself.
[0005]
An authentication method based on the parallel Fit-Shamir method will be described with reference to FIGS. The trusted third-party certification center generates large prime numbers p and q, keeps them secret, and discloses the composite number N (= p × q). It is assumed that the number of communication devices is n = 5. One communication device is a prover 1 and four communication devices are a verifier 2. The certification center generates a secret key s (1 ≦ s ≦ N−1), keeps the prover 1 secret, and generates a public key v (s2× v mod N = 1) and publish it. The number of repetitions of authentication w = 8 is determined between the prover 1 and the verifier 2.
[0006]
In the step (1) shown in FIG. 7, the prover 1 has 8 × 4 random numbers rjw(1 ≦ j ≦ 4, 1 ≦ w ≦ 8),
Xjw= Rjw 2  mod N
Is calculated and broadcast to the verifier 2. The j-th verifier 2 (verifier j) has Xj1~ Xj8(1 ≦ j ≦ 4).
[0007]
In step (2) shown in FIG. 8, the verifier j sets the random number ej1~ Ej8(1 ≦ j ≦ 4) is generated and sent to the prover 1. Prover 1 is ejw(1 ≦ j ≦ 4, 1 ≦ w ≦ 8) is received.
[0008]
In step (3) shown in FIG. 9, the prover 1
Yjw= Rjw× sejw  mod N (1 ≦ j ≦ 4, 1 ≦ w ≦ 8)
Is calculated and broadcast to the verifier 2. Verifier j is Yj1~ Yj8(1 ≦ j ≦ 4) is received.
[0009]
In step (4) shown in FIG. 10, the verifier j
Yjw 2× vejw≡Xjw(Mod N) (1 ≦ j ≦ 4, 1 ≦ w ≦ 8)
It is checked whether or not. If each verifier 2 succeeds in all verifications, 1- (1/2)8With the probability of, each verifier can confirm that the prover 1 holds the private key s corresponding to the public key v, that is, that he is the principal.
[0010]
[Problems to be solved by the invention]
However, the conventional authentication method described above has a drawback that the amount of data communication and the number of times of communication are large, and the efficiency is low in practical use. In particular, if this method is simply applied to a broadcast communication system, there is a problem that traffic becomes very large.
[0011]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned conventional problems, and an object of the present invention is to perform high-speed authentication by reducing the amount of data communication, the number of times of communication, and the amount of calculation in an authentication method using a parallel Fiat-Shamir method. .
[0012]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, according to the present invention, an authentication method in a communication system including a plurality of communication devices is described as follows. Primes p and q, their composite number N (= p × q), arbitrary integer s (1 ≦ s ≦ N−1) and integer v (s2× v mod N = 1), securely store p, q, and s as private keys, publish N and v as public keys, and publish any compression function h (‖ ‖ ‖). , The number of authentication repetitions is defined as w, and when receiving authentication, (1) the prover uses w random numbers ri(1 ≦ i ≦ w) and the first half information X = h (r1 2  mod N‖r2 2  mod N‖… ‖rw 2  mod N) is calculated and transmitted to the communication device (verifier) requesting verification among the communication devices. (2) The verifier determines that w random numbers e having a value of “0” or “1”i(1 ≦ i ≦ w) is generated and transmitted to the prover. (3) The prover determines w pieces of verification information Y.1= R1× se1  mod N, Y2= R2× se2  mod N, ..., Yw= Rw× sew  mod N is calculated and transmitted to the verifier, and (4) the verifier checks the verification formula h (Y1 2× ve1  mod N @ Y2 2× ve2  mod N‖… ‖Yw 2× vew  mod N) = X is established, and if it is established, the prover is authenticated; if not, the prover is not authenticated.
[0013]
With this configuration, the amount of data communication and the number of times of communication from the prover to the verifier can be reduced.
[0014]
In addition, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate the first half information Xj= Rj 2  mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, w random numbers r1, ..., rwAnd generate w pieces of first half information Xj= Rj 2  mod N, Xj + n-1= Rj + n-1 2  mod N, Xj + 2 (n-1)= Rj + 2 (n-1) 2  mod N,... are broadcasted. (2) The verifier j (1 ≦ j ≦ n−1), when n ≧ w, the first half information X corresponding to its own IDjAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDj, Xj + n-1, Xj + 2 (n-1), ..., and a random number e having a value of "0" or "1"j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej  mod N is calculated and broadcasted, and if n <w, ej, Ej + n-1, Ej + 2 (n-1),..., W pieces of verification information Yj= Rj× sej  mod N, Yj + n-1= Rj× sej + n-1  mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1)  mod N,... are broadcasted. (4) The verifier j verifies the verification formula Y when n ≧ w.j 2× vej  mod N = Xj  Is satisfied, and when n <w, the verification equation Yj 2× vej  mod N = Xj, Yj + n-1 2× vej + n-1  mod N = Xj + n-1, Yj + 2 (n-1) 2× vej + 2 (n-1)  mod N = Xj + 2 (n-1), ... is established, and if it is not established, it broadcasts that it is unsuccessful. Configuration.
[0015]
With this configuration, the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be reduced.
[0016]
Further, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate n-1 pieces of first half information Xj= H (rj 2  mod N) is calculated and broadcasted, and when n <w, w random numbers r1, ..., rwTo generate n-1 pieces of first half information Xj= H (rj 2  mod N‖rj + n-1 2  mod N‖ri + 2 (n-1) 2  mod N‖...), and broadcasts the data.jAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDjAnd a random number e having a value of “0” or “1”j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej  mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, e is calculated.j, Ej + n-1, Ej + 2 (n-1),... (1 ≦ j ≦ n−1), w pieces of verification information Yj= Rj× sej  mod N, Yj + n-1= Rj× sej + n-1  mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1)  mod N,... (1 ≦ j ≦ n−1) and broadcast. (4) The verifier j verifies the verification formula h (Yj 2× vej  mod N) = Xj  Is satisfied, and when n <w, the verification expression h (Yj 2× vej  mod N @ Yj + n-1 2× vej + n-1  mod N @ Yj + 2 (n-1) 2× vej + 2 (n-1)  mod N) = Xj  Is confirmed, and if it is not established, it broadcasts that it is not established. did.
[0017]
With this configuration, the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be reduced.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
[0019]
The invention described in claim 1 of the present invention provides n units (n ≧ n).3), In the communication method capable of broadcasting, comprising a communication device, a communication device which is desired to be authenticated among the communication devices includes a prime number p, q having a predetermined size and a combined number N ( = P × q) and an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (sTwo× v mod N = 1), securely store the p, q, s as a secret key, publish the N, v as a public key, determine the number of repetitions of authentication as w, and receive authentication. In this case, the ID of the communication device excluding the communication device desired to be authenticated is set to j (1 ≦ j ≦ n−1), and (1) the communication device desired to be authenticated is authenticated. For communication devices j (1 ≦ j ≦ n−1) excluding the communication device that desires to perform, if n ≧ w: n−1 random numbers rjTo generate the first half information Xj= Rj Two mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w: w random numbers r1, ..., rwAnd generate w pieces of first half information Xj= Rj Two mod N, Xj + n-1= Rj + n-1 Two mod N, Xj + 2 (n-1)= Rj + 2 (n-1) Two mod N,... and broadcast. (2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device desired to be authenticated, if n ≧ w: own ID The first half information X corresponding tojAnd a random number e having a value of “0” or “1”jAnd if n <w: the first half information X corresponding to its own IDj, Xj + n-1, Xj + 2 (n-1), ..., and a random number e having a value of "0" or "1"j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the communicator desiring to be authenticated, if n ≧ w: ejN-1 pieces of verification information Y usingj= Rj× sej Calculate and broadcast mod N, if n <w: ej, Ej + n-1, Ej + 2 (n-1),..., W pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... are broadcasted.j Two× vej mod N = Xj  Is satisfied, and if n <w: the verification equation Yj Two× vej mod N = Xj, Yj + n-1 Two× vej + n-1 mod N = Xj + n-1, Yj + 2 (n-1) Two× vej + 2 (n-1) mod N = Xj + 2 (n-1), ... is established, if not established, broadcasts that it is unsuccessful. As long as the communication is not performed, the authentication method is characterized in that authentication is performed, and reduces the amount of communication of the communication device that wants to be authenticated and the amount of calculation of the communication device excluding the communication device that wants to be authenticated. It has the action of:
[0020]
In the invention described in claim 2 of the present invention, n units (n is3In the authentication method in a communication system capable of broadcasting comprising the communication devices of the above (integers), the communication device which is desired to be authenticated among the communication devices includes a prime number p, q of a predetermined size and a combination thereof. The number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (sTwo× vmod N = 1), securely store the p, q, s as a secret key, publish the N, v as a public key, and publish an arbitrary compression function h (‖ ‖ ‖). The number of times of repetition of the authentication is defined as w, and when receiving the authentication, the ID of the communication device excluding the communication device desired to be authenticated is set to j (1 ≦ j ≦ n−1). The communication device that wants to be authenticated is, for communication device j (1 ≦ j ≦ n−1) excluding the communication device that wants to be authenticated, when n ≧ w: n−1 random numbers rjTo generate n-1 pieces of first half information Xj= H (rj Two mod N) is calculated and broadcast, and if n <w: w random numbers r1, ..., rwTo generate n-1 pieces of first half information Xj= H (rj Two mod N‖rj + n-1 Two mod N‖ri + 2 (n-1) Two mod N‖...) and broadcast. (2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device that is desired to be authenticated, if n ≧ w: itself The first half information X corresponding to the ID ofjAnd a random number e having a value of “0” or “1”jAnd if n <w: the first half information X corresponding to its own IDjAnd a random number e having a value of “0” or “1”j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the communicator desiring to be authenticated, if n ≧ w: ejN-1 pieces of verification information Y usingj= Rj× sej mod N (1 ≦ j ≦ n−1) is calculated and broadcast, and if n <w: ej, Ej + n-1, Ej + 2 (n-1),... (1 ≦ j ≦ n−1), w pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... (1 ≦ j ≦ n−1) is calculated and broadcasted. (4) The communication device j excluding the communication device that desires to be authenticated has a verification expression h ( Yj Two× vej mod N) = Xj  Is satisfied, and if n <w: the verification expression h (Yj Two× vej mod N‖Yj + n-1 Two× vej + n-1 mod N‖Yj + 2 (n-1) Two× vej + 2 (n-1) mod N‖…) = Xj  Is confirmed, if not, broadcast that it is not established, and if it is, broadcast that it is not established from any other communication device except the communication device that wants to be authenticated. Unless the authentication is performed, the authentication method is characterized in that the authentication is performed, and the operation amount of the communication device excluding the communication device desired to be authenticated and the communication amount excluding the communication device desired to be authenticated is reduced. Having.
[0024]
Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS.
[0025]
(First Embodiment)
The first embodiment of the present invention is an authentication method in which data compressed by a hash function is sent only once in the first half of data transmission from a prover to a verifier.
[0026]
FIG. 1 is a flowchart showing a procedure in a one-to-one system of an authentication method according to the first embodiment of the present invention. The processing procedure in the one-to-one communication system will be described with reference to FIG.
[0027]
Among the communication devices, the communication device 1 (hereinafter referred to as a “prover”, which is assumed to be a base station) that is desired to be authenticated has a prime number p, q of a predetermined size and a combined number N ( = P × q) and an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s2× v mod N = 1). Securely store p, q, and s as private keys and publish N and v as public keys. An arbitrary compression function h (‖ ‖ ‖ ‖) is also released.
[0028]
When the verifier 2 (assuming a mobile terminal) authenticates the prover 1, the number of repetitions w of authentication is determined between the prover 1 and the verifier 2. Prover 1 has w random numbers ri(1 ≦ i ≦ w), and
Xi= Ri 2  mod N (i = 1 to w)
X = h (X1‖X2‖ ・ ・ ・ ‖Xw)
And sends X to the verifier 2. Upon receiving X, the verifier 2 checks w random numbers e having a value of “0” or “1”.i(1 ≦ i ≦ w) is generated and sent to the prover 1.
[0029]
Prover 1
Yi= Ri× sei  mod N (i = 1 to w)
Is calculated and sent to the verifier 2.
[0030]
Verifier 2
Zi= Yi 2× vei  mod N (i = 1 to w)
Calculate
h (Z1‖Z2‖ ... ‖Zw) = X
Verify If the verification is successful, the verifier 2 calculates 1- (1/2)wWith the probability, it can be confirmed that the prover 1 holds the secret key s corresponding to the public key v, that is, the prover 1 is the principal. If the verification fails, it is known that the prover 1 is not himself / herself.
[0031]
As described above, in the first embodiment of the present invention, the authentication method has a configuration in which the data compressed by the hash function is transmitted only once during the first half of data transmission from the prover to the verifier. , The communication amount is about half that of the parallel Fit-Shamir method.
[0032]
(Second embodiment)
The second embodiment of the present invention is an authentication method in which the first half information from the prover to the verifier is compressed and broadcast, and the verification is performed by sharing the information among a plurality of terminals.
[0033]
FIG. 2 is a diagram showing a step (1) in a communication system including a plurality of communication devices and capable of broadcasting, in the authentication method according to the second embodiment of the present invention. FIG. 3 is a diagram showing step (2) in a communication system including a plurality of communication devices and capable of performing broadcast communication. FIG. 4 is a diagram illustrating step (3) in the communication system including a plurality of communication devices and capable of performing broadcast communication. FIG. 5 is a diagram illustrating step (4) in the communication system including a plurality of communication devices and capable of performing broadcast communication.
[0034]
With reference to FIGS. 2 to 5, a processing procedure in a communication system including a plurality of communication devices and capable of performing broadcast communication will be described.
[0035]
Of the five communication devices, the communication device 1 (hereinafter referred to as a “prover”, which is assumed to be a base station) that is desired to be authenticated has prime numbers p and q of a predetermined size and their The composite number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s2× v mod N = 1). Securely store p, q, and s as private keys, and publish N and v as public keys. An arbitrary compression function h (‖ ‖ ‖ ‖) is also released. The number of repetitions of authentication w = 8 is determined between the communication device 2 excluding the prover 1 (hereinafter, referred to as a verifier; here, four mobile terminals are assumed) and the prover 1.
[0036]
In the step (1) shown in FIG. 2, the prover 1 uses eight random numbers rw(1 ≦ w ≦ 8), and
Zw= Rw 2  mod N (1 ≦ w ≦ 8)
Xj= H (Zj‖Zj + 4) (J = 1 to 4)
Is calculated and broadcast to the verifier 2. The j-th verifier 2 (hereinafter referred to as verifier j) has Xj(1 ≦ j ≦ 4).
[0037]
In step (2) shown in FIG. 3, the verifier j sets a random number e having a value of “0” or “1”.jAnd ej + 4(1 ≦ j ≦ 4) is generated and sent to the prover 1. Prover 1 is e1~ E8To receive.
[0038]
In step (3) shown in FIG. 4, the prover 1
Yw= Rw× sew  mod N (1 ≦ w ≦ 8)
Is calculated and broadcast to the verifier 2. Verifier j is YjAnd Yj + 4(1 ≦ j ≦ 4) is received.
[0039]
In step (4) shown in FIG. 5, the verifier j
Uj= Yj 2× vej  mod N
Uj + 4= Yj + 4 2× vej + 4  mod N
And calculate
h (Uj‖Uj + 4) = Xj(1 ≦ j ≦ 4)
It is checked whether or not. By notifying the base station or another mobile terminal at the time of failure, if all the verifiers 2 succeed in verification, 1- (1/2)8With the probability, it can be confirmed that the prover 1 holds the secret key s corresponding to the public key v, that is, the prover 1 is the principal.
[0040]
A comparison will be made by estimating the communication amount, the calculation amount, and the number of communication times of the present embodiment and the parallel Fit-Shamir method in a communication system including a plurality of communication devices and capable of broadcasting. The estimation condition is MD5 which outputs N with 1024 bits and a compression function with 128 bits. The probability that the verifier transmits a random number to the prover is 1 /, the number of authentication repetitions is w = 20, and the number of communication devices is n = 11. Under the above conditions, in the present embodiment, the calculation time of the verifier is approximately 1/10, the communication volume of the first half of the prover is 1/2, the communication volume of the second half is 1/10, and the number of communication times of all the verifiers is The sum becomes 1 /.
[0041]
The parallel Fit-Shamir method seeks a basis for security that the composite number N cannot be factored in polynomial time. The authentication method according to the present embodiment also requires the same part as a basis for security. Therefore, in order to provide sufficient security, it is necessary to set the size of the combined number N to about 1024 bits. In the present embodiment and the parallel Fit-Shamir method, there is a possibility that the security is different due to a reduction in the amount of information by the compression function. However, also in the present embodiment, since the size of the number of synthesis N remains 1024 bits, there is no reduction in security due to this.
[0042]
Since it is generally considered that 128 bits are sufficiently safe against attacks by the exhaustive search method, it is safe to use a compression function having an output of 128 bits or more. For the compression function, it is desirable to use a hash function such as SHA-1 or MD5 from the viewpoint of security, but it is also possible to use an exclusive OR for simplification. The verification may be shared by a plurality of terminals without compression.
[0043]
In addition, since it is considered safe to set the number of repetitions w of the parallel Fit-Shamir authentication to 20 to 40, the same security can be maintained by taking 20 to 40 in the present embodiment. .
[0044]
Alternatively, the representative verifier of the verifiers may select the random numbers of all other verifiers instead and transmit them to the prover. When selecting a random number, the verifier does not transmit a random number when the degree of load such as the communication state is high or in the power saving state. May be transmitted. In this case, if the verifier does not transmit a random number within the time limit after broadcasting the previous information, the prover regards the random number as “0”.
[0045]
As described above, in the second embodiment of the present invention, the authentication method has a configuration in which the first half information from the prover to the verifier is compressed and broadcasted, and shared and verified by a plurality of terminals. Therefore, the amount of communication and the amount of calculation between the prover and the verifier can be reduced, and high-speed authentication can be performed.
[0046]
【The invention's effect】
As is apparent from the above description, according to the present invention, the authentication method in a communication system including a plurality of communication devices, the communication device (prover) of the communication devices that wants to be authenticated, has a predetermined size in advance. Prime numbers p and q, their composite number N (= p × q), arbitrary integer s (1 ≦ s ≦ N−1), and integer v (s2× v mod N = 1), securely store p, q, and s as private keys, publish N and v as public keys, and publish any compression function h (‖ ‖ ‖). , The number of authentication repetitions is defined as w, and when receiving authentication, (1) the prover uses w random numbers ri(1 ≦ i ≦ w) and the first half information X = h (r1 2  mod N‖r2 2  mod N‖… ‖rw 2  mod N) is calculated and transmitted to the communication device (verifier) requesting verification among the communication devices. (2) The verifier determines that w random numbers e having a value of “0” or “1”i(1 ≦ i ≦ w) is generated and transmitted to the prover. (3) The prover determines w pieces of verification information Y.1= R1× se1  mod N, Y2= R2× se2  mod N, ..., Yw= Rw× sew  mod N is calculated and transmitted to the verifier, and (4) the verifier checks the verification formula h (Y1 2× ve1  mod N @ Y2 2× ve2  mod N‖… ‖Yw 2× vew  mod N) = X is verified, and if it is satisfied, the prover is authenticated. If not, the prover is not authenticated. Therefore, the data communication amount and the number of times of communication from the prover to the verifier are configured. Can be reduced.
[0047]
In addition, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate the first half information Xj= Rj 2  mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, w random numbers r1, ..., rwAnd generate w pieces of first half information Xj= Rj 2  mod N, Xj + n-1= Rj + n-1 2  mod N, Xj + 2 (n-1)= Rj + 2 (n-1) 2  mod N,... are broadcasted. (2) The verifier j (1 ≦ j ≦ n−1), when n ≧ w, the first half information X corresponding to its own IDjAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDj, Xj + n-1, Xj + 2 (n-1), ..., and a random number e having a value of "0" or "1"j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej  mod N is calculated and broadcasted, and if n <w, ej, Ej + n-1, Ej + 2 (n-1),..., W pieces of verification information Yj= Rj× sej  mod N, Yj + n-1= Rj× sej + n-1  mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1)  mod N,... are broadcasted. (4) The verifier j verifies the verification formula Y when n ≧ w.j 2× vej  mod N = Xj  Is satisfied, and when n <w, the verification equation Yj 2× vej  mod N = Xj, Yj + n-1 2× vej + n-1  mod N = Xj + n-1, Yj + 2 (n-1) 2× vej + 2 (n-1)  mod N = Xj + 2 (n-1), ... is established, and if it is not established, it broadcasts that it is unsuccessful, and if it is established, it is assumed that it has been authenticated unless it is broadcast by another verifier that it is unsuccessful. With the configuration, the effect of reducing the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be obtained.
[0048]
Further, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate n-1 pieces of first half information Xj= H (rj 2  mod N) is calculated and broadcasted, and when n <w, w random numbers r1, ..., rwTo generate n-1 pieces of first half information Xj= H (rj 2  mod N‖rj + n-1 2  mod N‖ri + 2 (n-1) 2  mod N‖...), and broadcasts the data.jAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDjAnd a random number e having a value of “0” or “1”j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej  mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, e is calculated.j, Ej + n-1, Ej + 2 (n-1),... (1 ≦ j ≦ n−1), w pieces of verification information Yj= Rj× sej  mod N, Yj + n-1= Rj× sej + n-1  mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1)  mod N,... (1 ≦ j ≦ n−1) and broadcast. (4) The verifier j verifies the verification formula h (Yj 2× vej  mod N) = Xj  Is satisfied, and when n <w, the verification expression h (Yj 2× vej  mod N @ Yj + n-1 2× vej + n-1  mod N @ Yj + 2 (n-1) 2× vej + 2 (n-1)  mod N) = Xj  Is confirmed, and if it is not established, it broadcasts that it is not established. Therefore, the effect of reducing the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be obtained.
[Brief description of the drawings]
FIG. 1 is a flowchart showing a procedure of an authentication method according to a first embodiment of the present invention;
FIG. 2 is a diagram showing step (1) of the authentication method according to the second embodiment of the present invention;
FIG. 3 is a diagram showing step (2) of the authentication method according to the second embodiment of the present invention;
FIG. 4 is a diagram showing step (3) of the authentication method according to the second embodiment of the present invention;
FIG. 5 is a diagram showing a step (4) of the authentication method according to the second embodiment of the present invention;
FIG. 6 is an explanatory diagram of an authentication method in a conventional one-to-one communication system,
FIG. 7 is an explanatory diagram of step (1) of the conventional parallel Fit-Shamir method;
FIG. 8 is an explanatory diagram of step (2) of the conventional parallel Fit-Shamir method;
FIG. 9 is an explanatory diagram of step (3) of the conventional parallel Fit-Shamir method;
FIG. 10 is an explanatory diagram of step (4) of the conventional parallel Fit-Shamir method.
[Explanation of symbols]
1 Prover
2 Verifier
3 Broadcast network

Claims (2)

n台(n≧)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、
(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、
・n≧wの場合:n−1個の乱数rjを生成して前半情報
j=rj 2 mod N(1≦j≦n−1)
を計算して同報通信し、
・n<wの場合:w個の乱数r1,…,rwを生成してw個の前半情報
j=rj 2 mod N,
j+n-1=rj+n-1 2 mod N,
j+2(n-1)=rj+2(n-1) 2 mod N,…
を計算して同報通信し、
(2)前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、
・n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、
・n<wの場合:自身のIDに対応した前記前半情報Xj,Xj+n-1,Xj+2(n-1),…を保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、
(3)前記認証されることを望む通信機は、
・n≧wの場合:ejを用いてn−1個の検証情報
j=rj×sej mod Nを計算して同報通信し、
・n<wの場合:ej,ej+n-1,ej+2(n-1),…を用いてw個の検証情報
j=rj×sej mod N,
j+n-1=rj×sej+n-1 mod N,
j+2(n-1)=rj×sej+2(n-1) mod N,…
を計算して同報通信し、
(4)前記認証されることを望む通信機を除く通信機jは、
・n≧wの場合:検証式
j 2×vej mod N=Xj
が成り立つことを確認し、
・n<wの場合:検証式
j 2×vej mod N=Xj
j+n-1 2×vej+n-1 mod N=Xj+n-1
j+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),…
が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法。
In an authentication method in a communication system capable of performing broadcast communication comprising n (n ≧ 3 ) communication devices, a communication device which is desired to be authenticated among the communication devices is a prime number p, q having a predetermined size in advance. And a composite number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s 2 × v mod N = 1), and It is securely stored as a secret key, the above N and v are made public as a public key, the number of times of repetition of authentication is defined as w, and when receiving authentication, the ID of the communication device excluding the communication device that is desired to be authenticated Is j (1 ≦ j ≦ n−1),
(1) The communication device that desires to be authenticated is, with respect to the communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
When n ≧ w: n−1 random numbers r j are generated and the first half information X j = r j 2 mod N (1 ≦ j ≦ n−1)
Is calculated and broadcast,
If n <w: generate w random numbers r 1 ,..., R w to generate w first half information X j = r j 2 mod N,
X j + n-1 = r j + n-1 2 mod N,
X j + 2 (n−1) = r j + 2 (n−1) 2 mod N,.
Is calculated and broadcast,
(2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
· For n ≧ w: holding the first half information X j corresponding to its own ID, and a random number e j with a value of "0" or "1" to broadcast,
When n <w: The first half information X j , X j + n−1 , X j + 2 (n−1) ,... Corresponding to the own ID is held, and the value is “0” or “1”. random number e j, e j + n- 1, e j + 2 (n-1), ... was broadcast,
(3) The communication device that wants to be authenticated is
· For n ≧ w: calculates the n-1 pieces of verification information with e j Y j = r j × s ej mod N and broadcasting,
When n <w: w pieces of verification information Y j = r j × s ej mod N, using e j , e j + n−1 , e j + 2 (n−1) ,.
Y j + n-1 = r j × s ej + n-1 mod N,
Y j + 2 (n-1 ) = r j × s ej + 2 (n-1) mod N, ...
Is calculated and broadcast,
(4) The communication device j excluding the communication device desired to be authenticated is:
When n ≧ w: Verification formula Y j 2 × v ej mod N = X j
Make sure that
When n <w: verification formula Y j 2 × v ej mod N = X j ,
Y j + n-1 2 × v ej + n-1 mod N = X j + n-1 ,
Y j + 2 (n-1) 2 × v ej + 2 (n-1) mod N = X j + 2 (n-1) , ...
Is confirmed, and if not, broadcast that it is not established, and if it is, broadcast that it is not established from other communication devices except the communication device that wants to be authenticated. An authentication method characterized by authenticating unless otherwise performed.
n台(nは以上の整数)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×vmod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、
(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、
・n≧wの場合:n−1個の乱数rjを生成してn−1個の前半情報
j=h(rj 2 mod N)
を計算して同報通信し、
・n<wの場合:w個の乱数r1,…,rwを生成してn−1個の前半情報
j=h(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…)
を計算して同報通信し、
(2)前記証認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、
・n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、
・n<wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、
(3)前記認証されることを望む通信機は、
・n≧wの場合:ejを用いてn−1個の検証情報
j=rj×sej mod N(1≦j≦n−1)
を計算して同報通信し、
・n<wの場合:ej,ej+n-1,ej+2(n-1),…(1≦j≦n−1)を用いてw個の検証情報
j=rj×sej mod N,
j+n-1=rj×sej+n-1 mod N,
j+2(n-1)=rj×sej+2(n-1) mod N,…(1≦j≦n−1)
を計算して同報通信し、
(4) 認証されることを望む通信機を除く通信機jは、
・n≧wの場合:検証式
h(Yj 2×vej mod N)=Xj
が成り立つことを確認し、
・n<wの場合:検証式
h(Yj 2×vej mod N‖Yj+n-1 2×vej+n-1 mod N
‖Yj+2(n-1) 2×vej+2(n-1) mod N‖…)=Xj
が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法。
In an authentication method for a communication system capable of broadcast communication comprising n communication devices (n is an integer of 3 or more), a communication device desired to be authenticated among the communication devices is a prime number of a predetermined size in advance. p, q, their combined number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s 2 × vmod N = 1) are generated, and the p, q, s is securely stored as a secret key, the above N and v are disclosed as public keys, an arbitrary compression function h (‖ ‖...) is disclosed, and the number of times of repetition of authentication is defined as w. Is the ID of a communication device excluding the communication device desired to be authenticated, j (1 ≦ j ≦ n−1),
(1) The communication device that desires to be authenticated is, with respect to the communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
When n ≧ w: n−1 random numbers r j are generated, and n−1 first half information X j = h (r j 2 mod N)
Is calculated and broadcast,
If n <w: generate w random numbers r 1 ,..., R w, and generate n−1 first half information X j = h (r j 2 mod N { r j + n−1 2 mod N} r i + 2 (n-1) 2 mod N‖…)
Is calculated and broadcast,
(2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device that is desired to be authenticated,
· For n ≧ w: holding the first half information X j corresponding to its own ID, and a random number e j with a value of "0" or "1" to broadcast,
When n <w: The first half information Xj corresponding to the own ID is held, and random numbers e j , e j + n−1 , e j + 2 (n− 1) Broadcast,…
(3) The communication device that wants to be authenticated is
For · n ≧ w: n-1 pieces of verification information with e j Y j = r j × s ej mod N (1 ≦ j ≦ n-1)
Is calculated and broadcast,
When n <w: w pieces of verification information Y j = r j using e j , e j + n−1 , e j + 2 (n−1) ,... (1 ≦ j ≦ n−1) × s ej mod N,
Y j + n-1 = r j × s ej + n-1 mod N,
Y j + 2 (n−1) = r j × s ej + 2 (n−1) mod N,... (1 ≦ j ≦ n−1)
Is calculated and broadcast,
(4) The communication device j excluding the communication device that desires to be authenticated,
When n ≧ w: verification equation h (Y j 2 × v ej mod N) = X j
Make sure that
When n <w: verification equation h (Y j 2 × v ej mod N‖Y j + n−1 2 × v ej + n−1 mod N
{ Y j + 2 (n-1) 2 × v ej + 2 (n-1) mod N‖ ...) = X j
Is confirmed, and if not, broadcast that it is not established, and if it is, broadcast that it is not established from other communication devices except the communication device that wants to be authenticated. An authentication method characterized by authenticating unless otherwise performed.
JP19041299A 1999-07-05 1999-07-05 Authentication method suitable for broadcast communication Expired - Fee Related JP3585397B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP19041299A JP3585397B2 (en) 1999-07-05 1999-07-05 Authentication method suitable for broadcast communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP19041299A JP3585397B2 (en) 1999-07-05 1999-07-05 Authentication method suitable for broadcast communication

Publications (2)

Publication Number Publication Date
JP2001024632A JP2001024632A (en) 2001-01-26
JP3585397B2 true JP3585397B2 (en) 2004-11-04

Family

ID=16257720

Family Applications (1)

Application Number Title Priority Date Filing Date
JP19041299A Expired - Fee Related JP3585397B2 (en) 1999-07-05 1999-07-05 Authentication method suitable for broadcast communication

Country Status (1)

Country Link
JP (1) JP3585397B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100535626B1 (en) * 2002-06-28 2005-12-08 주식회사 케이티 Non-interactive Mobile Authentification Method
KR101094339B1 (en) 2010-03-31 2011-12-19 고려대학교 산학협력단 Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof

Also Published As

Publication number Publication date
JP2001024632A (en) 2001-01-26

Similar Documents

Publication Publication Date Title
US6064741A (en) Method for the computer-aided exchange of cryptographic keys between a user computer unit U and a network computer unit N
US11722305B2 (en) Password based threshold token generation
RU2444143C2 (en) Method of double-sided authentication of access
Pedersen Distributed provers with applications to undeniable signatures
CN101238677B (en) Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved safety
US8397062B2 (en) Method and system for source authentication in group communications
US6243811B1 (en) Method for updating secret shared data in a wireless communication system
US9419798B2 (en) Public encryption method based on user ID
EP2209254A1 (en) A method of one-way access authentication
WO2016049406A1 (en) Method and apparatus for secure non-interactive threshold signatures
CN102170352A (en) Method of using ECDSA with winternitz one time signature
CN115208586B (en) Secret sharing-based digital signature method and system
Li et al. A lightweight roaming authentication protocol for anonymous wireless communication
CN114466318A (en) Method, system and equipment for realizing multicast service effective authentication and key distribution protocol
CN111669275B (en) Master-slave cooperative signature method capable of selecting slave nodes in wireless network environment
CN112333705A (en) Identity authentication method and system for 5G communication network
US7975142B2 (en) Ring authentication method for concurrency environment
JP3585397B2 (en) Authentication method suitable for broadcast communication
Anshul et al. A ZKP-based identification scheme for base nodes in wireless sensor networks
Kwon et al. Provably-secure two-round password-authenticated group key exchange in the standard model
Godfrey A Comparison of Security Protocols in a Wireless Network Environment
KR100198810B1 (en) Multi-signature method and modular value generation method
JPH11252070A (en) User certifying system
Kwon et al. One-round protocol for two-party verifier-based password-authenticated key exchange
JP2001044987A (en) Batch authentication method

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040803

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees