JP3585397B2 - Authentication method suitable for broadcast communication - Google Patents
Authentication method suitable for broadcast communication Download PDFInfo
- Publication number
- JP3585397B2 JP3585397B2 JP19041299A JP19041299A JP3585397B2 JP 3585397 B2 JP3585397 B2 JP 3585397B2 JP 19041299 A JP19041299 A JP 19041299A JP 19041299 A JP19041299 A JP 19041299A JP 3585397 B2 JP3585397 B2 JP 3585397B2
- Authority
- JP
- Japan
- Prior art keywords
- mod
- communication device
- broadcast
- authenticated
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、認証方法に関し、特に、複数の通信機からなる同報通信可能な通信システムにおける認証方法に関する。
【0002】
【従来の技術】
従来、認証方式の1つとして、並列Fiat−Shamir法が知られている(詳細は、今井秀樹著「暗号のおはなし」,日本規格協会,pp147−152を参照)。この方式は、安全性が高く演算量も少ないが、データ通信量や通信回数が多い。図6に、1対1の通信システムにおける従来の認証方式の構成を示し、図7〜図10に、複数の通信機からなる同報通信可能な通信システムに、単純に並列Fiat−Shamir法を適用した構成を示す。
【0003】
図6を参照して、1対1の通信システムにおける従来のFiat−Shamir法による認証方法を説明する。信頼できる第3者の証明センターは、大きな素数p,qを生成して秘密に保持するとともに、合成数N(=p×q)を公開する。秘密鍵s(1≦s≦N−1)を生成して、認証されることを望む通信機1(以下証明者という)に秘密に保持させるとともに、公開鍵v(s2×v mod N=1)を計算して公開する。秘密鍵sを保持している者が本人であり、検証者2は、公開鍵vを使って証明者が秘密鍵sを保持しているか否かを、秘密鍵sを知ることなく検証する。
【0004】
証明者1と検証者2の間で、認証の繰返し回数wを決める。証明者1は、w個の乱数ri(1≦i≦w)を生成し、
Xi=ri 2 mod N(1≦i≦w)
を計算して、検証者2にw個の乱数ri(1≦i≦w)を送る。検証者2は、w個のXi(1≦i≦w)を受信すると、値が“0”または“1”のw個の乱数ei(1≦i≦w)を生成して、w個のei(1≦i≦w)を証明者1に送る。証明者1は、
Yi=ri×sei mod N(1≦i≦w)
を計算して、検証者2にw個のYi(1≦i≦w)を送る。検証者2は、
Yi 2×vei≡Xi(mod N)(1≦i≦w)
を検証する。w回の検証が成功すれば、検証者2は、1−(1/2)wの確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。1回でも検証に失敗すれば、証明者1は本人でないことがわかる。
【0005】
図7〜図10を参照して、並列Fiat−Shamir法による認証方法を説明する。信頼できる第3者の証明センターは、大きな素数p,qを生成して秘密に保持するとともに、合成数N(=p×q)を公開する。通信機数n=5とする。1台の通信機を証明者1とし、4台の通信機を検証者2とする。証明センターは、秘密鍵s(1≦s≦N−1)を生成して、証明者1に秘密に保持させるとともに、公開鍵v(s2×v mod N=1)を計算して公開する。証明者1と検証者2の間で、認証の繰返し回数w=8を決める。
【0006】
図7に示すステップ(1)において、証明者1は、8×4個の乱数rjw(1≦j≦4,1≦w≦8)を生成し、
Xjw=rjw 2 mod N
を計算して検証者2に同報する。j番目の検証者2(検証者j)は、Xj1〜Xj8を受信する(1≦j≦4)。
【0007】
図8に示すステップ(2)において、検証者jは、乱数ej1〜ej8(1≦j≦4)を発生して、証明者1に送る。証明者1は、ejw(1≦j≦4,1≦w≦8)を受信する。
【0008】
図9に示すステップ(3)において、証明者1は、
Yjw=rjw×sejw mod N(1≦j≦4,1≦w≦8)
を計算して、検証者2に同報する。検証者jは、Yj1〜Yj8(1≦j≦4)を受信する。
【0009】
図10に示すステップ(4)において、検証者jは、
Yjw 2×vejw≡Xjw(mod N)(1≦j≦4,1≦w≦8)
が成立するか否か検査する。各検証者2がすべての検証に成功すれば、1−(1/2)8の確率で、各検証者は証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。
【0010】
【発明が解決しようとする課題】
しかしながら、上記従来の認証方式においては、データ通信量や通信回数が多く、実用上は効率が悪いという欠点がある。特に、この方式を同報通信システムに単純に適用すると、非常にトラフィックが大きくなるという問題を有していた。
【0011】
本発明は、上記従来の問題を解決するもので、並列Fiat−Shamir法を用いた認証方法において、データ通信量と通信回数および演算量を削減して、高速に認証を行なうことを目的とする。
【0012】
【課題を解決するための手段】
上記問題を解決するために、本発明では、複数台の通信機からなる通信システムにおける認証方法を、通信機のうち認証されることを望む通信機(証明者)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成して、p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、(1)証明者は、w個の乱数ri(1≦i≦w)を生成し、前半情報 X=h(r1 2 mod N‖r2 2 mod N‖…‖rw 2 mod N) を計算して通信機のうち検証を依頼する通信機(検証者)に送信し、(2)検証者は、値が“0”または“1”のw個の乱数ei(1≦i≦w)を生成して証明者に送信し、(3)証明者は、w個の検証情報 Y1=r1×se1 mod N,Y2=r2×se2 mod N,…,Yw=rw×sew mod N を計算して検証者に送信し、(4)検証者は検証式 h(Y1 2×ve1 mod N‖Y2 2×ve2 mod N‖…‖Yw 2×vew mod N)=X が成り立つことを検算し、成り立つ場合には証明者を認証し、成り立たない場合には証明者を認証しない構成とした。
【0013】
このように構成したことにより、証明者から検証者へのデータ通信量と通信回数を削減することができる。
【0014】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合は、n−1個の乱数rjを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−1)を計算して同報通信し、n<wの場合は、w個の乱数r1,…,rwを生成してw個の前半情報 Xj=rj 2 mod N, Xj+n−1=rj+n−1 2 mod N, Xj+2(n−1)=rj+2(n−1) 2 mod N,… を計算して同報通信し、(2)検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合は自身のIDに対応した前半情報Xj,Xj+n−1,Xj+2(n−1),…を保持し、値が“0”または“1”の乱数ej,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はejを用いてn−1個の検証情報 Yj=rj×sej mod N を計算して同報通信し、n<wの場合はej,ej+n−1,ej+2(n−1),…を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n−1=rj×sej+n−1 mod N, Yj+2(n−1)=rj×sej+2(n−1) mod N,… を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 Yj 2×vej mod N=Xj が成り立つことを確認し、n<wの場合は検証式 Yj 2×vej mod N=Xj, Yj+n−1 2×vej+n−1 mod N=Xj+n−1,Yj+2(n−1) 2×vej+2(n−1) mod N=Xj+2(n−1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成とした。
【0015】
このように構成したことにより、証明者から検証者への通信量と検証者の演算量を削減できる。
【0016】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合はn−1個の乱数rjを生成してn−1個の前半情報 Xj=h(rj 2 mod N) を計算して同報通信し、n<wの場合はw個の乱数r1,…,rwを生成してn−1個の前半情報 Xj=h(rj 2 mod N‖rj+n−1 2 mod N‖ri+2(n−1) 2 mod N‖…)を計算して同報通信し、(2)証検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はejを用いてn−1個の検証情報 Yj=rj×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合はej,ej+n−1,ej+2(n−1),…(1≦j≦n−1)を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n−1=rj×sej+n−1 mod N, Yj+2(n−1)=rj×sej+2(n−1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 h(Yj 2×vej mod N)=Xj が成り立つことを確認し、n<wの場合は検証式 h(Yj 2×vej mod N‖Yj+n−1 2×vej+n−1 mod N‖Yj+2(n−1) 2×vej+2(n−1) mod N)=Xj が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成とした。
【0017】
このように構成したことにより、証明者から検証者への通信量と検証者の演算量を削減できる。
【0018】
【発明の実施の形態】
【0019】
本発明の請求項1に記載の発明は、n台(n≧3)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、n≧wの場合:n−1個の乱数rjを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合:w個の乱数r1,…,rwを生成してw個の前半情報 Xj=rj 2 mod N, Xj+n-1=rj+n-1 2 mod N, Xj+2(n-1)=rj+2(n-1) 2 mod N,… を計算して同報通信し、(2)前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合:自身のIDに対応した前記前半情報Xj,Xj+n-1,Xj+2(n-1),…を保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、(3)前記認証されることを望む通信機は、n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod Nを計算して同報通信し、n<wの場合:ej,ej+n-1,ej+2(n-1),…を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,… を計算して同報通信し、(4)前記認証されることを望む通信機を除く通信機jは、n≧wの場合:検証式 Yj 2×vej mod N=Xj が成り立つことを確認し、n<wの場合:検証式 Yj 2×vej mod N=Xj, Yj+n-1 2×vej+n-1 mod N=Xj+n-1, Yj+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法であり、認証されることを望む通信機の通信量と認証されることを望む通信機を除く通信機の演算量を減少するという作用を有する。
【0020】
本発明の請求項2に記載の発明は、n台(nは3以上の整数)の通信機からなる同報通信可能な通信システムにおける認証方法において、前記通信機のうち認証されることを望む通信機は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×vmod N=1)を生成して、前記p,q,sを秘密鍵として安全に保管し、前記N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、前記認証されることを望む通信機を除く通信機のIDをj(1≦j≦n−1)とし、(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、n≧wの場合:n−1個の乱数rjを生成してn−1個の前半情報 Xj=h(rj 2 mod N) を計算して同報通信し、n<wの場合:w個の乱数r1,…,rwを生成してn−1個の前半情報 Xj=h(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…) を計算して同報通信し、(2)前記証認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、(3)前記認証されることを望む通信機は、n≧wの場合:ejを用いてn−1個の検証情報 Yj=rj×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合:ej,ej+n-1,ej+2(n-1),…(1≦j≦n−1)を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n-1=rj×sej+n-1 mod N, Yj+2(n-1)=rj×sej+2(n-1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)認証されることを望む通信機を除く通信機jは、n≧wの場合:検証式 h(Yj 2×vej mod N)=Xj が成り立つことを確認し、n<wの場合:検証式 h(Yj 2×vej mod N‖Yj+n-1 2×vej+n-1 mod N‖Yj+2(n-1) 2×vej+2(n-1) mod N‖…)=Xj が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法であり、認証されることを望む通信機の通信量と認証されることを望む通信機を除く通信機の演算量を減少するという作用を有する。
【0024】
以下、本発明の実施の形態について、図1〜図5を参照しながら詳細に説明する。
【0025】
(第1の実施の形態)
本発明の第1の実施の形態は、証明者から検証者への前半のデータ送信の際に、ハッシュ関数で圧縮したデータを1回だけ送る認証方法である。
【0026】
図1は、本発明の第1の実施の形態における認証方法の1対1のシステムでの手順を示す流れ図である。図1を参照して、1対1の通信システムにおける処理手順を説明する。
【0027】
通信機のうち認証されることを望む通信機1(以下証明者という。ここでは、基地局を想定している。)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成する。p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開する。任意の圧縮関数h( ‖ ‖…‖ )も公開する。
【0028】
検証者2(移動端末を想定している。)が証明者1を認証する際に、証明者1と検証者2の間で、認証の繰返し回数wを決める。証明者1は、w個の乱数ri(1≦i≦w)を生成し、
Xi=ri 2 mod N(i=1〜w)
X=h(X1‖X2‖・・・‖Xw)
を計算して、Xを検証者2に送る。検証者2は、Xを受信すると、値が“0”または“1”のw個の乱数ei(1≦i≦w)を生成して証明者1に送る。
【0029】
証明者1は、
Yi=ri×sei mod N(i=1〜w)
を計算して、検証者2に送る。
【0030】
検証者2は、
Zi=Yi 2×vei mod N(i=1〜w)
を計算して、
h(Z1‖Z2‖・・・‖Zw)=X
を検証する。検証が成功すれば、検証者2は、1−(1/2)wの確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。検証に失敗すれば、証明者1は本人でないことがわかる。
【0031】
上記のように、本発明の第1の実施の形態では、認証方法を、証明者から検証者への前半のデータ送信の際に、ハッシュ関数で圧縮したデータを1回だけ送る構成としたので、並列Fiat−Shamir法の約半分の通信量で済む。
【0032】
(第2の実施の形態)
本発明の第2の実施の形態は、証明者から検証者への前半情報を圧縮して同報通信し、複数の端末で分担して検証する認証方法である。
【0033】
図2は、本発明の第2の実施の形態における認証方法の複数の通信機からなる同報通信可能な通信システムにおけるステップ(1)を示す図である。図3は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(2)を示す図である。図4は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(3)を示す図である。図5は、複数の通信機からなる同報通信可能な通信システムにおけるステップ(4)を示す図である。
【0034】
図2〜図5を参照して、複数の通信機からなる同報通信可能な通信システムにおける処理手順を説明する。
【0035】
5台の通信機のうち、認証されることを望む通信機1(以下証明者という。ここでは、基地局を想定している。)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成する。p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開する。任意の圧縮関数h( ‖ ‖…‖ )も公開する。証明者1を除く通信機2(以下検証者という。ここでは、4台の移動端末を想定している。)と証明者1の間で、認証の繰返し回数w=8を決める。
【0036】
図2に示すステップ(1)において、証明者1は、8個の乱数rw(1≦w≦8)を生成し、
Zw=rw 2 mod N(1≦w≦8)
Xj=h(Zj‖Zj+4)(j=1〜4)
を計算して検証者2に同報する。j番目の検証者2(以下、検証者jという)は、Xjを受信する(1≦j≦4)。
【0037】
図3に示すステップ(2)において、検証者jは、値が“0”または“1”の乱数ejとej+4(1≦j≦4)を発生して、証明者1に送る。証明者1は、e1〜e8を受信する。
【0038】
図4に示すステップ(3)において、証明者1は、
Yw=rw×sew mod N(1≦w≦8)
を計算して、検証者2に同報する。検証者jは、YjとYj+4(1≦j≦4)を受信する。
【0039】
図5に示すステップ(4)において、検証者jは、
Uj=Yj 2×vej mod N
Uj+4=Yj+4 2×vej+4 mod N
を計算し、
h(Uj‖Uj+4)=Xj(1≦j≦4)
が成立するか否か検査する。不成立時には基地局または他の移動体端末に知らせることにより、すべての検証者2が検証に成功すれば、1−(1/2)8の確率で、証明者1が公開鍵vに対応する秘密鍵sを保持していること、すなわち本人であることを確認できる。
【0040】
複数の通信機からなる同報通信可能な通信システムにおける本実施の形態と並列Fiat−Shamir法の通信量と演算量と通信回数を見積もって比較してみる。見積もり条件は、Nが1024bits、圧縮関数が128bitの出力を行うMD5とする。また、検証者が証明者に乱数を送信する確率を1/2、認証の繰返し回数w=20、通信機数n=11とする。以上の条件において、おおよそ本実施の形態では、検証者の演算時間が1/10、証明者の前半の通信量が1/2、後半の通信量が1/10、全検証者の通信回数の合計が1/2となる。
【0041】
並列Fiat−Shamir法は、合成数Nが多項式時間で素因数分解できないことに安全性の根拠を求めている。本実施の形態の認証方法も、同様の部分に安全性の根拠を求めている。したがって、十分な安全性を持たせるためには、合成数Nの大きさを1024bit程度にとる必要性がある。本実施の形態と並列Fiat−Shamir法において、安全性が異なる可能性があるのは、圧縮関数による情報量の減少である。しかし、本実施の形態においても合成数Nの大きさは1024bitのままであるから、これによる安全性の低下はない。
【0042】
全数探索法による攻撃に対しても、一般的には128bitもあれば十分安全であるとされているので、圧縮関数は、出力が128bit以上のものを用いれば安全である。圧縮関数に関しては、SHA−1やMD5などのハッシュ関数を用いるのが安全性の面から望ましいが、簡単化のために排他的論理和で代用することも可能である。圧縮しないで、検証を複数の端末で分担するだけでもよい。
【0043】
また、並列Fiat−Shamirの認証の繰返し回数wは、20から40にとるのが安全とされているので、本実施の形態においても20から40にとることで同様の安全性を保つことができる。
【0044】
なお、検証者のうち代表検証者が、その他の全ての検証者の乱数を代りに選択して証明者に送信してもよい。また、検証者は、乱数を選ぶときに、通信状態などの負荷の度合いが高い場合や省電力状態の場合は乱数を送信しないこととし、負荷の度合いが低い場合または省電力状態でない場合は乱数を送信するようにしてもよい。この場合、証明者は、前情報を同報通信してから制限時間内に検証者が乱数を送信しない場合には、該当の乱数を“0”と見なすようにする。
【0045】
上記のように、本発明の第2の実施の形態では、認証方法を、証明者から検証者への前半情報を圧縮して同報通信し、複数の端末で分担して検証する構成としたので、証明者と検証者との間の通信量と演算量を削減でき、高速に認証できる。
【0046】
【発明の効果】
以上の説明から明らかなように、本発明では、複数台の通信機からなる通信システムにおける認証方法を、通信機のうち認証されることを望む通信機(証明者)は、あらかじめ、所定の大きさの素数p,qとその合成数N(=p×q)と任意の整数s(1≦s≦N−1)と整数v(s2×v mod N=1)を生成して、p,q,sを秘密鍵として安全に保管し、N,vを公開鍵として公開し、任意の圧縮関数h( ‖ ‖…‖ )を公開し、認証の繰返し回数をwと定め、認証を受ける際には、(1)証明者は、w個の乱数ri(1≦i≦w)を生成し、前半情報 X=h(r1 2 mod N‖r2 2 mod N‖…‖rw 2 mod N) を計算して通信機のうち検証を依頼する通信機(検証者)に送信し、(2)検証者は、値が“0”または“1”のw個の乱数ei(1≦i≦w)を生成して証明者に送信し、(3)証明者は、w個の検証情報 Y1=r1×se1 mod N,Y2=r2×se2 mod N,…,Yw=rw×sew mod N を計算して検証者に送信し、(4)検証者は検証式 h(Y1 2×ve1 mod N‖Y2 2×ve2 mod N‖…‖Yw 2×vew mod N)=X が成り立つことを検算し、成り立つ場合には証明者を認証し、成り立たない場合には証明者を認証しない構成としたので、証明者から検証者へのデータ通信量と通信回数を削減することができるという効果が得られる。
【0047】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合は、n−1個の乱数rjを生成して前半情報 Xj=rj 2 mod N(1≦j≦n−1)を計算して同報通信し、n<wの場合は、w個の乱数r1,…,rwを生成してw個の前半情報 Xj=rj 2 mod N, Xj+n−1=rj+n−1 2 mod N, Xj+2(n−1)=rj+2(n−1) 2 mod N,… を計算して同報通信し、(2)検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合は自身のIDに対応した前半情報Xj,Xj+n−1,Xj+2(n−1),…を保持し、値が“0”または“1”の乱数ej,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はejを用いてn−1個の検証情報 Yj=rj×sej mod N を計算して同報通信し、n<wの場合はej,ej+n−1,ej+2(n−1),…を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n−1=rj×sej+n−1 mod N, Yj+2(n−1)=rj×sej+2(n−1) mod N,… を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 Yj 2×vej mod N=Xj が成り立つことを確認し、n<wの場合は検証式 Yj 2×vej mod N=Xj, Yj+n−1 2×vej+n−1 mod N=Xj+n−1,Yj+2(n−1) 2×vej+2(n−1) mod N=Xj+2(n−1),… が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成としたので、証明者から検証者への通信量と検証者の演算量を削減できるという効果が得られる。
【0048】
また、(1)証明者は、検証者j(1≦j≦n−1)に対して、n≧wの場合はn−1個の乱数rjを生成してn−1個の前半情報 Xj=h(rj 2 mod N) を計算して同報通信し、n<wの場合はw個の乱数r1,…,rwを生成してn−1個の前半情報 Xj=h(rj 2 mod N‖rj+n−1 2 mod N‖ri+2(n−1) 2 mod N‖…)を計算して同報通信し、(2)証検証者j(1≦j≦n−1)は、n≧wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、n<wの場合は自身のIDに対応した前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n−1,ej+2(n−1),…を同報通信し、(3)証明者は、n≧wの場合はejを用いてn−1個の検証情報 Yj=rj×sej mod N(1≦j≦n−1) を計算して同報通信し、n<wの場合はej,ej+n−1,ej+2(n−1),…(1≦j≦n−1)を用いてw個の検証情報 Yj=rj×sej mod N, Yj+n−1=rj×sej+n−1 mod N, Yj+2(n−1)=rj×sej+2(n−1) mod N,…(1≦j≦n−1) を計算して同報通信し、(4)検証者jは、n≧wの場合は検証式 h(Yj 2×vej mod N)=Xj が成り立つことを確認し、n<wの場合は検証式 h(Yj 2×vej mod N‖Yj+n−1 2×vej+n−1 mod N‖Yj+2(n−1) 2×vej+2(n−1) mod N)=Xj が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の検証者から不成立であることが同報通信されないかぎりは、認証したとする構成としたので、証明者から検証者への通信量と検証者の演算量を削減できるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における認証方法の手順を示す流れ図、
【図2】本発明の第2の実施の形態における認証方法のステップ(1)を示す図、
【図3】本発明の第2の実施の形態における認証方法のステップ(2)を示す図、
【図4】本発明の第2の実施の形態における認証方法のステップ(3)を示す図、
【図5】本発明の第2の実施の形態における認証方法のステップ(4)を示す図、
【図6】従来の1対1の通信システムにおける認証方法の説明図、
【図7】従来の並列Fiat−Shamir法のステップ(1)の説明図、
【図8】従来の並列Fiat−Shamir法のステップ(2)の説明図、
【図9】従来の並列Fiat−Shamir法のステップ(3)の説明図、
【図10】従来の並列Fiat−Shamir法のステップ(4)の説明図である。
【符号の説明】
1 証明者
2 検証者
3 同報通信網[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication method, and more particularly, to an authentication method in a communication system including a plurality of communication devices and capable of broadcasting.
[0002]
[Prior art]
Conventionally, a parallel Fit-Shamir method is known as one of the authentication methods (for details, see Hideki Imai, "Cryptography Story", Japan Standards Association, pp. 147-152). This method has high security and a small amount of calculation, but has a large amount of data communication and the number of times of communication. FIG. 6 shows a configuration of a conventional authentication method in a one-to-one communication system. FIGS. 7 to 10 show a simple parallel Fit-Shamir method applied to a broadcast communication system including a plurality of communication devices. The applied configuration is shown.
[0003]
With reference to FIG. 6, a description will be given of a conventional authentication method using the Fiat-Shamir method in a one-to-one communication system. The trusted third-party certification center generates large prime numbers p and q, keeps them secret, and discloses the composite number N (= p × q). A secret key s (1 ≦ s ≦ N−1) is generated and kept secret by the communication device 1 (hereinafter referred to as “certifier”) that wants to be authenticated, and the public key v (s2× v mod N = 1) and publish it. The person holding the secret key s is the principal, and the
[0004]
The number of times w of authentication is repeated is determined between the
Xi= Ri 2 mod N (1 ≦ i ≦ w)
And
Yi= Ri× sei mod N (1 ≦ i ≦ w)
Is calculated, and
Yi 2× vei≡Xi(Mod N) (1 ≦ i ≦ w)
Verify If the verification is successful w times, the
[0005]
An authentication method based on the parallel Fit-Shamir method will be described with reference to FIGS. The trusted third-party certification center generates large prime numbers p and q, keeps them secret, and discloses the composite number N (= p × q). It is assumed that the number of communication devices is n = 5. One communication device is a
[0006]
In the step (1) shown in FIG. 7, the
Xjw= Rjw 2 mod N
Is calculated and broadcast to the
[0007]
In step (2) shown in FIG. 8, the verifier j sets the random number ej1~ Ej8(1 ≦ j ≦ 4) is generated and sent to the
[0008]
In step (3) shown in FIG. 9, the
Yjw= Rjw× sejw mod N (1 ≦ j ≦ 4, 1 ≦ w ≦ 8)
Is calculated and broadcast to the
[0009]
In step (4) shown in FIG. 10, the verifier j
Yjw 2× vejw≡Xjw(Mod N) (1 ≦ j ≦ 4, 1 ≦ w ≦ 8)
It is checked whether or not. If each
[0010]
[Problems to be solved by the invention]
However, the conventional authentication method described above has a drawback that the amount of data communication and the number of times of communication are large, and the efficiency is low in practical use. In particular, if this method is simply applied to a broadcast communication system, there is a problem that traffic becomes very large.
[0011]
SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned conventional problems, and an object of the present invention is to perform high-speed authentication by reducing the amount of data communication, the number of times of communication, and the amount of calculation in an authentication method using a parallel Fiat-Shamir method. .
[0012]
[Means for Solving the Problems]
In order to solve the above-mentioned problem, according to the present invention, an authentication method in a communication system including a plurality of communication devices is described as follows. Primes p and q, their composite number N (= p × q), arbitrary integer s (1 ≦ s ≦ N−1) and integer v (s2× v mod N = 1), securely store p, q, and s as private keys, publish N and v as public keys, and publish any compression function h (‖ ‖ ‖). , The number of authentication repetitions is defined as w, and when receiving authentication, (1) the prover uses w random numbers ri(1 ≦ i ≦ w) and the first half information X = h (r1 2 mod N‖r2 2 mod N‖… ‖rw 2 mod N) is calculated and transmitted to the communication device (verifier) requesting verification among the communication devices. (2) The verifier determines that w random numbers e having a value of “0” or “1”i(1 ≦ i ≦ w) is generated and transmitted to the prover. (3) The prover determines w pieces of verification information Y.1= R1× se1 mod N, Y2= R2× se2 mod N, ..., Yw= Rw× sew mod N is calculated and transmitted to the verifier, and (4) the verifier checks the verification formula h (Y1 2× ve1 mod N @ Y2 2× ve2 mod N‖… ‖Yw 2× vew mod N) = X is established, and if it is established, the prover is authenticated; if not, the prover is not authenticated.
[0013]
With this configuration, the amount of data communication and the number of times of communication from the prover to the verifier can be reduced.
[0014]
In addition, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate the first half information Xj= Rj 2 mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, w random numbers r1, ..., rwAnd generate w pieces of first half information Xj= Rj 2 mod N, Xj + n-1= Rj + n-1 2 mod N, Xj + 2 (n-1)= Rj + 2 (n-1) 2 mod N,... are broadcasted. (2) The verifier j (1 ≦ j ≦ n−1), when n ≧ w, the first half information X corresponding to its own IDjAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDj, Xj + n-1, Xj + 2 (n-1), ..., and a random number e having a value of "0" or "1"j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej mod N is calculated and broadcasted, and if n <w, ej, Ej + n-1, Ej + 2 (n-1),..., W pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... are broadcasted. (4) The verifier j verifies the verification formula Y when n ≧ w.j 2× vej mod N = Xj Is satisfied, and when n <w, the verification equation Yj 2× vej mod N = Xj, Yj + n-1 2× vej + n-1 mod N = Xj + n-1, Yj + 2 (n-1) 2× vej + 2 (n-1) mod N = Xj + 2 (n-1), ... is established, and if it is not established, it broadcasts that it is unsuccessful. Configuration.
[0015]
With this configuration, the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be reduced.
[0016]
Further, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate n-1 pieces of first half information Xj= H (rj 2 mod N) is calculated and broadcasted, and when n <w, w random numbers r1, ..., rwTo generate n-1 pieces of first half information Xj= H (rj 2 mod N‖rj + n-1 2 mod N‖ri + 2 (n-1) 2 mod N‖...), and broadcasts the data.jAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDjAnd a random number e having a value of “0” or “1”j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, e is calculated.j, Ej + n-1, Ej + 2 (n-1),... (1 ≦ j ≦ n−1), w pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... (1 ≦ j ≦ n−1) and broadcast. (4) The verifier j verifies the verification formula h (Yj 2× vej mod N) = Xj Is satisfied, and when n <w, the verification expression h (Yj 2× vej mod N @ Yj + n-1 2× vej + n-1 mod N @ Yj + 2 (n-1) 2× vej + 2 (n-1) mod N) = Xj Is confirmed, and if it is not established, it broadcasts that it is not established. did.
[0017]
With this configuration, the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be reduced.
[0018]
BEST MODE FOR CARRYING OUT THE INVENTION
[0019]
The invention described in
[0020]
In the invention described in
[0024]
Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS.
[0025]
(First Embodiment)
The first embodiment of the present invention is an authentication method in which data compressed by a hash function is sent only once in the first half of data transmission from a prover to a verifier.
[0026]
FIG. 1 is a flowchart showing a procedure in a one-to-one system of an authentication method according to the first embodiment of the present invention. The processing procedure in the one-to-one communication system will be described with reference to FIG.
[0027]
Among the communication devices, the communication device 1 (hereinafter referred to as a “prover”, which is assumed to be a base station) that is desired to be authenticated has a prime number p, q of a predetermined size and a combined number N ( = P × q) and an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s2× v mod N = 1). Securely store p, q, and s as private keys and publish N and v as public keys. An arbitrary compression function h (‖ ‖ ‖ ‖) is also released.
[0028]
When the verifier 2 (assuming a mobile terminal) authenticates the
Xi= Ri 2 mod N (i = 1 to w)
X = h (X1‖X2‖ ・ ・ ・ ‖Xw)
And sends X to the
[0029]
Yi= Ri× sei mod N (i = 1 to w)
Is calculated and sent to the
[0030]
Zi= Yi 2× vei mod N (i = 1 to w)
Calculate
h (Z1‖Z2‖ ... ‖Zw) = X
Verify If the verification is successful, the
[0031]
As described above, in the first embodiment of the present invention, the authentication method has a configuration in which the data compressed by the hash function is transmitted only once during the first half of data transmission from the prover to the verifier. , The communication amount is about half that of the parallel Fit-Shamir method.
[0032]
(Second embodiment)
The second embodiment of the present invention is an authentication method in which the first half information from the prover to the verifier is compressed and broadcast, and the verification is performed by sharing the information among a plurality of terminals.
[0033]
FIG. 2 is a diagram showing a step (1) in a communication system including a plurality of communication devices and capable of broadcasting, in the authentication method according to the second embodiment of the present invention. FIG. 3 is a diagram showing step (2) in a communication system including a plurality of communication devices and capable of performing broadcast communication. FIG. 4 is a diagram illustrating step (3) in the communication system including a plurality of communication devices and capable of performing broadcast communication. FIG. 5 is a diagram illustrating step (4) in the communication system including a plurality of communication devices and capable of performing broadcast communication.
[0034]
With reference to FIGS. 2 to 5, a processing procedure in a communication system including a plurality of communication devices and capable of performing broadcast communication will be described.
[0035]
Of the five communication devices, the communication device 1 (hereinafter referred to as a “prover”, which is assumed to be a base station) that is desired to be authenticated has prime numbers p and q of a predetermined size and their The composite number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s2× v mod N = 1). Securely store p, q, and s as private keys, and publish N and v as public keys. An arbitrary compression function h (‖ ‖ ‖ ‖) is also released. The number of repetitions of authentication w = 8 is determined between the
[0036]
In the step (1) shown in FIG. 2, the
Zw= Rw 2 mod N (1 ≦ w ≦ 8)
Xj= H (Zj‖Zj + 4) (J = 1 to 4)
Is calculated and broadcast to the
[0037]
In step (2) shown in FIG. 3, the verifier j sets a random number e having a value of “0” or “1”.jAnd ej + 4(1 ≦ j ≦ 4) is generated and sent to the
[0038]
In step (3) shown in FIG. 4, the
Yw= Rw× sew mod N (1 ≦ w ≦ 8)
Is calculated and broadcast to the
[0039]
In step (4) shown in FIG. 5, the verifier j
Uj= Yj 2× vej mod N
Uj + 4= Yj + 4 2× vej + 4 mod N
And calculate
h (Uj‖Uj + 4) = Xj(1 ≦ j ≦ 4)
It is checked whether or not. By notifying the base station or another mobile terminal at the time of failure, if all the
[0040]
A comparison will be made by estimating the communication amount, the calculation amount, and the number of communication times of the present embodiment and the parallel Fit-Shamir method in a communication system including a plurality of communication devices and capable of broadcasting. The estimation condition is MD5 which outputs N with 1024 bits and a compression function with 128 bits. The probability that the verifier transmits a random number to the prover is 1 /, the number of authentication repetitions is w = 20, and the number of communication devices is n = 11. Under the above conditions, in the present embodiment, the calculation time of the verifier is approximately 1/10, the communication volume of the first half of the prover is 1/2, the communication volume of the second half is 1/10, and the number of communication times of all the verifiers is The sum becomes 1 /.
[0041]
The parallel Fit-Shamir method seeks a basis for security that the composite number N cannot be factored in polynomial time. The authentication method according to the present embodiment also requires the same part as a basis for security. Therefore, in order to provide sufficient security, it is necessary to set the size of the combined number N to about 1024 bits. In the present embodiment and the parallel Fit-Shamir method, there is a possibility that the security is different due to a reduction in the amount of information by the compression function. However, also in the present embodiment, since the size of the number of synthesis N remains 1024 bits, there is no reduction in security due to this.
[0042]
Since it is generally considered that 128 bits are sufficiently safe against attacks by the exhaustive search method, it is safe to use a compression function having an output of 128 bits or more. For the compression function, it is desirable to use a hash function such as SHA-1 or MD5 from the viewpoint of security, but it is also possible to use an exclusive OR for simplification. The verification may be shared by a plurality of terminals without compression.
[0043]
In addition, since it is considered safe to set the number of repetitions w of the parallel Fit-Shamir authentication to 20 to 40, the same security can be maintained by taking 20 to 40 in the present embodiment. .
[0044]
Alternatively, the representative verifier of the verifiers may select the random numbers of all other verifiers instead and transmit them to the prover. When selecting a random number, the verifier does not transmit a random number when the degree of load such as the communication state is high or in the power saving state. May be transmitted. In this case, if the verifier does not transmit a random number within the time limit after broadcasting the previous information, the prover regards the random number as “0”.
[0045]
As described above, in the second embodiment of the present invention, the authentication method has a configuration in which the first half information from the prover to the verifier is compressed and broadcasted, and shared and verified by a plurality of terminals. Therefore, the amount of communication and the amount of calculation between the prover and the verifier can be reduced, and high-speed authentication can be performed.
[0046]
【The invention's effect】
As is apparent from the above description, according to the present invention, the authentication method in a communication system including a plurality of communication devices, the communication device (prover) of the communication devices that wants to be authenticated, has a predetermined size in advance. Prime numbers p and q, their composite number N (= p × q), arbitrary integer s (1 ≦ s ≦ N−1), and integer v (s2× v mod N = 1), securely store p, q, and s as private keys, publish N and v as public keys, and publish any compression function h (‖ ‖ ‖). , The number of authentication repetitions is defined as w, and when receiving authentication, (1) the prover uses w random numbers ri(1 ≦ i ≦ w) and the first half information X = h (r1 2 mod N‖r2 2 mod N‖… ‖rw 2 mod N) is calculated and transmitted to the communication device (verifier) requesting verification among the communication devices. (2) The verifier determines that w random numbers e having a value of “0” or “1”i(1 ≦ i ≦ w) is generated and transmitted to the prover. (3) The prover determines w pieces of verification information Y.1= R1× se1 mod N, Y2= R2× se2 mod N, ..., Yw= Rw× sew mod N is calculated and transmitted to the verifier, and (4) the verifier checks the verification formula h (Y1 2× ve1 mod N @ Y2 2× ve2 mod N‖… ‖Yw 2× vew mod N) = X is verified, and if it is satisfied, the prover is authenticated. If not, the prover is not authenticated. Therefore, the data communication amount and the number of times of communication from the prover to the verifier are configured. Can be reduced.
[0047]
In addition, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate the first half information Xj= Rj 2 mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, w random numbers r1, ..., rwAnd generate w pieces of first half information Xj= Rj 2 mod N, Xj + n-1= Rj + n-1 2 mod N, Xj + 2 (n-1)= Rj + 2 (n-1) 2 mod N,... are broadcasted. (2) The verifier j (1 ≦ j ≦ n−1), when n ≧ w, the first half information X corresponding to its own IDjAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDj, Xj + n-1, Xj + 2 (n-1), ..., and a random number e having a value of "0" or "1"j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej mod N is calculated and broadcasted, and if n <w, ej, Ej + n-1, Ej + 2 (n-1),..., W pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... are broadcasted. (4) The verifier j verifies the verification formula Y when n ≧ w.j 2× vej mod N = Xj Is satisfied, and when n <w, the verification equation Yj 2× vej mod N = Xj, Yj + n-1 2× vej + n-1 mod N = Xj + n-1, Yj + 2 (n-1) 2× vej + 2 (n-1) mod N = Xj + 2 (n-1), ... is established, and if it is not established, it broadcasts that it is unsuccessful, and if it is established, it is assumed that it has been authenticated unless it is broadcast by another verifier that it is unsuccessful. With the configuration, the effect of reducing the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be obtained.
[0048]
Further, (1) the prover provides the verifier j (1 ≦ j ≦ n−1) with n−1 random numbers r when n ≧ w.jTo generate n-1 pieces of first half information Xj= H (rj 2 mod N) is calculated and broadcasted, and when n <w, w random numbers r1, ..., rwTo generate n-1 pieces of first half information Xj= H (rj 2 mod N‖rj + n-1 2 mod N‖ri + 2 (n-1) 2 mod N‖...), and broadcasts the data.jAnd a random number e having a value of “0” or “1”jAnd when n <w, the first half information X corresponding to the own IDjAnd a random number e having a value of “0” or “1”j, Ej + n-1, Ej + 2 (n-1), ..., and (3) the prover is e if n ≧ wjN-1 pieces of verification information Y usingj= Rj× sej mod N (1 ≦ j ≦ n−1) is calculated and broadcasted. If n <w, e is calculated.j, Ej + n-1, Ej + 2 (n-1),... (1 ≦ j ≦ n−1), w pieces of verification information Yj= Rj× sej mod N, Yj + n-1= Rj× sej + n-1 mod N, Yj + 2 (n-1)= Rj× sej + 2 (n-1) mod N,... (1 ≦ j ≦ n−1) and broadcast. (4) The verifier j verifies the verification formula h (Yj 2× vej mod N) = Xj Is satisfied, and when n <w, the verification expression h (Yj 2× vej mod N @ Yj + n-1 2× vej + n-1 mod N @ Yj + 2 (n-1) 2× vej + 2 (n-1) mod N) = Xj Is confirmed, and if it is not established, it broadcasts that it is not established. Therefore, the effect of reducing the amount of communication from the prover to the verifier and the amount of calculation by the verifier can be obtained.
[Brief description of the drawings]
FIG. 1 is a flowchart showing a procedure of an authentication method according to a first embodiment of the present invention;
FIG. 2 is a diagram showing step (1) of the authentication method according to the second embodiment of the present invention;
FIG. 3 is a diagram showing step (2) of the authentication method according to the second embodiment of the present invention;
FIG. 4 is a diagram showing step (3) of the authentication method according to the second embodiment of the present invention;
FIG. 5 is a diagram showing a step (4) of the authentication method according to the second embodiment of the present invention;
FIG. 6 is an explanatory diagram of an authentication method in a conventional one-to-one communication system,
FIG. 7 is an explanatory diagram of step (1) of the conventional parallel Fit-Shamir method;
FIG. 8 is an explanatory diagram of step (2) of the conventional parallel Fit-Shamir method;
FIG. 9 is an explanatory diagram of step (3) of the conventional parallel Fit-Shamir method;
FIG. 10 is an explanatory diagram of step (4) of the conventional parallel Fit-Shamir method.
[Explanation of symbols]
1 Prover
2 Verifier
3 Broadcast network
Claims (2)
(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、
・n≧wの場合:n−1個の乱数rjを生成して前半情報
Xj=rj 2 mod N(1≦j≦n−1)
を計算して同報通信し、
・n<wの場合:w個の乱数r1,…,rwを生成してw個の前半情報
Xj=rj 2 mod N,
Xj+n-1=rj+n-1 2 mod N,
Xj+2(n-1)=rj+2(n-1) 2 mod N,…
を計算して同報通信し、
(2)前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、
・n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、
・n<wの場合:自身のIDに対応した前記前半情報Xj,Xj+n-1,Xj+2(n-1),…を保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、
(3)前記認証されることを望む通信機は、
・n≧wの場合:ejを用いてn−1個の検証情報
Yj=rj×sej mod Nを計算して同報通信し、
・n<wの場合:ej,ej+n-1,ej+2(n-1),…を用いてw個の検証情報
Yj=rj×sej mod N,
Yj+n-1=rj×sej+n-1 mod N,
Yj+2(n-1)=rj×sej+2(n-1) mod N,…
を計算して同報通信し、
(4)前記認証されることを望む通信機を除く通信機jは、
・n≧wの場合:検証式
Yj 2×vej mod N=Xj
が成り立つことを確認し、
・n<wの場合:検証式
Yj 2×vej mod N=Xj,
Yj+n-1 2×vej+n-1 mod N=Xj+n-1,
Yj+2(n-1) 2×vej+2(n-1) mod N=Xj+2(n-1),…
が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法。In an authentication method in a communication system capable of performing broadcast communication comprising n (n ≧ 3 ) communication devices, a communication device which is desired to be authenticated among the communication devices is a prime number p, q having a predetermined size in advance. And a composite number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s 2 × v mod N = 1), and It is securely stored as a secret key, the above N and v are made public as a public key, the number of times of repetition of authentication is defined as w, and when receiving authentication, the ID of the communication device excluding the communication device that is desired to be authenticated Is j (1 ≦ j ≦ n−1),
(1) The communication device that desires to be authenticated is, with respect to the communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
When n ≧ w: n−1 random numbers r j are generated and the first half information X j = r j 2 mod N (1 ≦ j ≦ n−1)
Is calculated and broadcast,
If n <w: generate w random numbers r 1 ,..., R w to generate w first half information X j = r j 2 mod N,
X j + n-1 = r j + n-1 2 mod N,
X j + 2 (n−1) = r j + 2 (n−1) 2 mod N,.
Is calculated and broadcast,
(2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
· For n ≧ w: holding the first half information X j corresponding to its own ID, and a random number e j with a value of "0" or "1" to broadcast,
When n <w: The first half information X j , X j + n−1 , X j + 2 (n−1) ,... Corresponding to the own ID is held, and the value is “0” or “1”. random number e j, e j + n- 1, e j + 2 (n-1), ... was broadcast,
(3) The communication device that wants to be authenticated is
· For n ≧ w: calculates the n-1 pieces of verification information with e j Y j = r j × s ej mod N and broadcasting,
When n <w: w pieces of verification information Y j = r j × s ej mod N, using e j , e j + n−1 , e j + 2 (n−1) ,.
Y j + n-1 = r j × s ej + n-1 mod N,
Y j + 2 (n-1 ) = r j × s ej + 2 (n-1) mod N, ...
Is calculated and broadcast,
(4) The communication device j excluding the communication device desired to be authenticated is:
When n ≧ w: Verification formula Y j 2 × v ej mod N = X j
Make sure that
When n <w: verification formula Y j 2 × v ej mod N = X j ,
Y j + n-1 2 × v ej + n-1 mod N = X j + n-1 ,
Y j + 2 (n-1) 2 × v ej + 2 (n-1) mod N = X j + 2 (n-1) , ...
Is confirmed, and if not, broadcast that it is not established, and if it is, broadcast that it is not established from other communication devices except the communication device that wants to be authenticated. An authentication method characterized by authenticating unless otherwise performed.
(1)前記認証されることを望む通信機は、前記認証されることを望む通信機を除く通信機j(1≦j≦n−1)に対して、
・n≧wの場合:n−1個の乱数rjを生成してn−1個の前半情報
Xj=h(rj 2 mod N)
を計算して同報通信し、
・n<wの場合:w個の乱数r1,…,rwを生成してn−1個の前半情報
Xj=h(rj 2 mod N‖rj+n-1 2 mod N‖ri+2(n-1) 2 mod N‖…)
を計算して同報通信し、
(2)前記証認証されることを望む通信機を除く通信機j(1≦j≦n−1)は、
・n≧wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ejを同報通信し、
・n<wの場合:自身のIDに対応した前記前半情報Xjを保持し、値が“0”または“1”の乱数ej,ej+n-1,ej+2(n-1),…を同報通信し、
(3)前記認証されることを望む通信機は、
・n≧wの場合:ejを用いてn−1個の検証情報
Yj=rj×sej mod N(1≦j≦n−1)
を計算して同報通信し、
・n<wの場合:ej,ej+n-1,ej+2(n-1),…(1≦j≦n−1)を用いてw個の検証情報
Yj=rj×sej mod N,
Yj+n-1=rj×sej+n-1 mod N,
Yj+2(n-1)=rj×sej+2(n-1) mod N,…(1≦j≦n−1)
を計算して同報通信し、
(4) 認証されることを望む通信機を除く通信機jは、
・n≧wの場合:検証式
h(Yj 2×vej mod N)=Xj
が成り立つことを確認し、
・n<wの場合:検証式
h(Yj 2×vej mod N‖Yj+n-1 2×vej+n-1 mod N
‖Yj+2(n-1) 2×vej+2(n-1) mod N‖…)=Xj
が成り立つことを確認し、成り立たない場合は、不成立であることを同報通信し、成り立つ場合には、他の認証されることを望む通信機を除く通信機から不成立であることが同報通信されないかぎりは、認証したとすることを特徴とする認証方法。In an authentication method for a communication system capable of broadcast communication comprising n communication devices (n is an integer of 3 or more), a communication device desired to be authenticated among the communication devices is a prime number of a predetermined size in advance. p, q, their combined number N (= p × q), an arbitrary integer s (1 ≦ s ≦ N−1) and an integer v (s 2 × vmod N = 1) are generated, and the p, q, s is securely stored as a secret key, the above N and v are disclosed as public keys, an arbitrary compression function h (‖ ‖...) is disclosed, and the number of times of repetition of authentication is defined as w. Is the ID of a communication device excluding the communication device desired to be authenticated, j (1 ≦ j ≦ n−1),
(1) The communication device that desires to be authenticated is, with respect to the communication device j (1 ≦ j ≦ n−1) excluding the communication device that desires to be authenticated,
When n ≧ w: n−1 random numbers r j are generated, and n−1 first half information X j = h (r j 2 mod N)
Is calculated and broadcast,
If n <w: generate w random numbers r 1 ,..., R w, and generate n−1 first half information X j = h (r j 2 mod N { r j + n−1 2 mod N} r i + 2 (n-1) 2 mod N‖…)
Is calculated and broadcast,
(2) The communication device j (1 ≦ j ≦ n−1) excluding the communication device that is desired to be authenticated,
· For n ≧ w: holding the first half information X j corresponding to its own ID, and a random number e j with a value of "0" or "1" to broadcast,
When n <w: The first half information Xj corresponding to the own ID is held, and random numbers e j , e j + n−1 , e j + 2 (n− 1) Broadcast,…
(3) The communication device that wants to be authenticated is
For · n ≧ w: n-1 pieces of verification information with e j Y j = r j × s ej mod N (1 ≦ j ≦ n-1)
Is calculated and broadcast,
When n <w: w pieces of verification information Y j = r j using e j , e j + n−1 , e j + 2 (n−1) ,... (1 ≦ j ≦ n−1) × s ej mod N,
Y j + n-1 = r j × s ej + n-1 mod N,
Y j + 2 (n−1) = r j × s ej + 2 (n−1) mod N,... (1 ≦ j ≦ n−1)
Is calculated and broadcast,
(4) The communication device j excluding the communication device that desires to be authenticated,
When n ≧ w: verification equation h (Y j 2 × v ej mod N) = X j
Make sure that
When n <w: verification equation h (Y j 2 × v ej mod N‖Y j + n−1 2 × v ej + n−1 mod N
{ Y j + 2 (n-1) 2 × v ej + 2 (n-1) mod N‖ ...) = X j
Is confirmed, and if not, broadcast that it is not established, and if it is, broadcast that it is not established from other communication devices except the communication device that wants to be authenticated. An authentication method characterized by authenticating unless otherwise performed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP19041299A JP3585397B2 (en) | 1999-07-05 | 1999-07-05 | Authentication method suitable for broadcast communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP19041299A JP3585397B2 (en) | 1999-07-05 | 1999-07-05 | Authentication method suitable for broadcast communication |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001024632A JP2001024632A (en) | 2001-01-26 |
JP3585397B2 true JP3585397B2 (en) | 2004-11-04 |
Family
ID=16257720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP19041299A Expired - Fee Related JP3585397B2 (en) | 1999-07-05 | 1999-07-05 | Authentication method suitable for broadcast communication |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3585397B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100535626B1 (en) * | 2002-06-28 | 2005-12-08 | 주식회사 케이티 | Non-interactive Mobile Authentification Method |
KR101094339B1 (en) | 2010-03-31 | 2011-12-19 | 고려대학교 산학협력단 | Apparatus and Method for Fiat-Shamir identification immune to Fault attacks, and Recoreding medium thereof |
-
1999
- 1999-07-05 JP JP19041299A patent/JP3585397B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2001024632A (en) | 2001-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6064741A (en) | Method for the computer-aided exchange of cryptographic keys between a user computer unit U and a network computer unit N | |
US11722305B2 (en) | Password based threshold token generation | |
RU2444143C2 (en) | Method of double-sided authentication of access | |
Pedersen | Distributed provers with applications to undeniable signatures | |
CN101238677B (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved safety | |
US8397062B2 (en) | Method and system for source authentication in group communications | |
US6243811B1 (en) | Method for updating secret shared data in a wireless communication system | |
US9419798B2 (en) | Public encryption method based on user ID | |
EP2209254A1 (en) | A method of one-way access authentication | |
WO2016049406A1 (en) | Method and apparatus for secure non-interactive threshold signatures | |
CN102170352A (en) | Method of using ECDSA with winternitz one time signature | |
CN115208586B (en) | Secret sharing-based digital signature method and system | |
Li et al. | A lightweight roaming authentication protocol for anonymous wireless communication | |
CN114466318A (en) | Method, system and equipment for realizing multicast service effective authentication and key distribution protocol | |
CN111669275B (en) | Master-slave cooperative signature method capable of selecting slave nodes in wireless network environment | |
CN112333705A (en) | Identity authentication method and system for 5G communication network | |
US7975142B2 (en) | Ring authentication method for concurrency environment | |
JP3585397B2 (en) | Authentication method suitable for broadcast communication | |
Anshul et al. | A ZKP-based identification scheme for base nodes in wireless sensor networks | |
Kwon et al. | Provably-secure two-round password-authenticated group key exchange in the standard model | |
Godfrey | A Comparison of Security Protocols in a Wireless Network Environment | |
KR100198810B1 (en) | Multi-signature method and modular value generation method | |
JPH11252070A (en) | User certifying system | |
Kwon et al. | One-round protocol for two-party verifier-based password-authenticated key exchange | |
JP2001044987A (en) | Batch authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040204 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040323 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040517 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040803 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040803 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |