JP3600161B2 - 複製端末発見方法 - Google Patents

複製端末発見方法 Download PDF

Info

Publication number
JP3600161B2
JP3600161B2 JP2001011089A JP2001011089A JP3600161B2 JP 3600161 B2 JP3600161 B2 JP 3600161B2 JP 2001011089 A JP2001011089 A JP 2001011089A JP 2001011089 A JP2001011089 A JP 2001011089A JP 3600161 B2 JP3600161 B2 JP 3600161B2
Authority
JP
Japan
Prior art keywords
terminal
center
key
random number
duplicate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001011089A
Other languages
English (en)
Other versions
JP2002217888A (ja
Inventor
潤 安齋
なつめ 松崎
勉 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Mobile Communications Co Ltd
Original Assignee
Matsushita Communication Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Communication Industrial Co Ltd filed Critical Matsushita Communication Industrial Co Ltd
Priority to JP2001011089A priority Critical patent/JP3600161B2/ja
Publication of JP2002217888A publication Critical patent/JP2002217888A/ja
Application granted granted Critical
Publication of JP3600161B2 publication Critical patent/JP3600161B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、複製端末発見方法に関し、特に、センタと複数の端末からなる通信システムにおける複製端末の存在を自動的に発見する複製端末発見方法に関する。
【0002】
【従来の技術】
センタと複数の端末からなる通信システムにおいて、情報の秘匿や端末の認証を行なう方法として、以下のような方法がある。すなわち、センタは、セッション鍵で端末に暗号化通信を行なう。端末は、予め格納された個別の秘密鍵を用いてセッション鍵を生成または入手して、センタからの暗号通信を復号する。センタは、端末の秘密鍵で作成された認証情報を検査して端末認証を行なう。
【0003】
このような方法では、秘密鍵をいかに安全に端末に格納するかが問題となる。そこで、不正なアクセスを物理的に困難にする対タンパー性を備えた耐タンパーデバイスに、秘密鍵を格納することが多く行なわれている。一般的に、耐タンパーデバイスとしてICカードが用いられる。ICカードに端末固有の秘密鍵を保持し、端末にこのICカードを挿入して使用する方式が、GSM方式の携帯電話や有料衛星放送のSTBなどに実装されている。
【0004】
しかしながら、近年はICカードに対する攻撃の研究が進み、ICカードの消費電流などから内部の秘密鍵を解読するPower Analysis Attacksなどが考案されており、ICカードの安全性は充分ではない。秘密鍵が漏洩した場合は、秘密鍵を用いた複製端末の偽造が可能になる。複製端末による暗号通信の傍受を防ぐために、暗号通信を中止して、複製端末を排除するなどの対策を講じなくてはならない。
【0005】
複製端末を発見する方法としては、暗号通信の内容が外部に漏れていることから推測する方法や、ブラックマーケットにおいて複製端末を定期的に調査するといった方法があった。このような方法は、発見の確実性が低く、発見までの時間もかかるうえ、人手によらず自動的に行なうことが困難である。
【0006】
これに対処するために、複製端末を事前に検出する方法が、文献1[松下達之,渡邉祐治,古原和邦,今井秀樹,“ITSに適したコンテンツ配信における不正加入者の事前検出法,”2000年暗号と情報セキュリティシンポジウム,SCIS2000−C09,2000.]で提案されている。
【0007】
【発明が解決しようとする課題】
しかし、上記従来の事前検出法では、同報通信網とElGamal暗号と秘密分散法を前提としており、前提条件が多くて汎用性が低い。秘密分散法を利用して秘密鍵を作成すると、結託しきい値が存在することになり、結託に対して安全でない。センタが信頼できるものであっても、通信量と演算量が減らない。同一ラウンドにおいて、1端末あたり複数の秘密情報を扱うことができない。未受信対策が無い。乱数の条件が不明で安全性が不十分である。データベースが大きい。このように、システムの構成条件や動作手順が不十分で、不正端末を自動的に効率的に完全に排除することは困難であるという問題がある。
【0008】
本発明は、上記従来の問題を解決して、複製端末を効率的に発見して排除することを目的とする。
【0009】
【課題を解決するための手段】
上記の課題を解決するために、本発明では、センタとn台(nは自然数)の端末を含む通信システムの複製端末発見方法を、端末は、ラウンドごとに端末乱数を生成し、端末乱数に対する端末認証文を端末秘密鍵により生成し、端末認証文と端末乱数とをセンタ公開鍵で暗号化して端末暗号文としてセンタに送信し、センタは、センタ秘密鍵で端末暗号文を復号して端末認証文と端末乱数とを得て、端末公開鍵(センタが端末秘密鍵を管理している場合は端末秘密鍵)で端末認証文を検証し、ラウンドごとに、秘密情報の配送に使用した端末乱数と、端末の端末IDとを、対応させて登録したデータベースを検索して、同一端末IDでかつ異なる端末乱数が登録されている重複登録の有無を検査し、端末認証文の検証結果が正しく、かつ重複登録が無い端末の端末乱数と端末IDをデータベースに登録し、この端末乱数を用いて、共通鍵を生成し、共通鍵により秘密情報を暗号化してセンタ暗号文として端末に送信し、端末は、センタ暗号文を受信し、端末乱数から共通鍵を生成し、センタ暗号文を共通鍵により復号して秘密情報を得る構成とした。
【0010】
このように構成したことにより、端末はラウンドごとの秘密情報を入手するために、端末乱数に対する認証文を自身の秘密鍵により生成し、端末乱数と認証文をセンタの公開鍵により暗号化してセンタに送信しなければならないので、センタは同一ラウンドにおいて同じ端末秘密鍵をもつ端末から異なる端末乱数が送られてきた場合に複製端末の存在を発見できる。発見を恐れて複製端末が端末乱数を送らない場合には、複製端末は秘密情報を入手できないので、無効化することができる。同報通信網とElGamal暗号と秘密分散法を前提とせず、前提条件が少ないため、汎用性(さまざまなシステムへの適用性)が高く、適用できるシステムが多い。結託しきい値がなく、任意に作成した秘密鍵を使用することができるので、結託に対して安全である。
【0011】
また、データベース手段を、ラウンドごとに、秘密情報の配送に使用した端末乱数と端末IDとを対応させて登録するデータベース手段とした。このような構成にしたことにより、データベースのサイズを小さくできる。
【0012】
また、認証文生成手段および認証文検証手段を、ディジタル署名方式とした。このような構成にしたことにより、センタは、各端末の秘密鍵を直接管理する必要がなく、管理が容易となり、かつセンタの不正による端末の陥れを防ぐことができる。
【0013】
また、認証文生成手段および認証文検証手段を、鍵付きハッシュまたは共通鍵暗号を用いたメッセージ認証符号(MAC)方式とした。このような構成にしたことにより、センタは認証文の検証を高速に行うことができる。センタが信頼できるという前提があれば、端末とその乱数の認証にMACを利用できるので、通信量と演算量を最小限に抑えられる。
【0014】
また、共通鍵生成手段を、端末乱数をそのまま共通鍵として出力する手段とした。このような構成にしたことにより、共通鍵を容易に生成できる。
【0015】
また、公開鍵暗号化手段および公開鍵暗号復号手段の代わりに、乱数を用いた鍵共有法(例えばDiffie−Hellman鍵共有法)を用いて共有した鍵を乱数として用いる構成とした。このような構成にしたことにより、端末とセンタが平等に乱数を生成することができる。
【0016】
また、センタ暗号文にMACを含ませて改ざんや成りすましを検出する構成とした。このような構成にしたことにより、改ざんや成りすましを高速に検出できる。
【0017】
また、センタ暗号文にディジタル署名を含ませて改ざんや成りすましを検出する構成とした。このような構成にしたことにより、センタは各端末の秘密鍵を管理することなく改ざんや成りすましを検出できる。
【0018】
また、秘密情報を、センタと端末のセッション鍵とする構成とした。このような構成にしたことにより、センタと各端末の間において一時的な暗号通信や認証に利用できるセッション鍵を共有できる。
【0019】
また、秘密情報を、センタと複数の端末で共有されるグループ鍵とする構成とした。このような構成にしたことにより、センタと各端末の暗号化同報通信に利用できるグループ鍵を共有できる。
【0020】
また、センタの送信情報としてセンタ乱数を追加し、前記センタ乱数に対して端末が認証文を生成し、センタは前記認証文を検証することにより、認証方式がチャレンジ−レスポンス認証となり安全性を向上できる。
【0021】
また、センタ乱数を、複数の端末に共通のセンタ乱数とした。このような構成にしたことにより、端末総数だけ必要であったセンタ乱数が1つで済む。
【0022】
また、1ラウンドにおいて秘密情報が複数種類存在する場合、端末が端末暗号文に所望の秘密情報の種類を指定し、かつ同一ラウンドにおいては常に同じ端末乱数を端末暗号文に使用し、センタは、同一ラウンドにおいて同一の端末乱数が使用された端末暗号文に対して指定された種類の秘密情報を端末乱数より生成した共通鍵により暗号化して配送する構成とした。このような構成にしたことにより、秘密情報が複数種類存在しても複製端末を発見することができる。
【0023】
また、端末がセンタからの通信を受信できない場合、センタに対して現在のラウンド番号を問い合わせる問い合わせ手段を端末に備え、問い合わせた結果、端末とセンタのラウンド番号が異なる場合に、端末がセンタに再送を要求する再送要求手段とを備えた構成とした。このような構成にしたことにより、端末がセンタからの情報を受信できない場合にも、複製端末の発見および秘密情報の配布を再開できる。
【0024】
また、通信システムを、同報通信システムとした。このような構成にしたことにより、センタ乱数を同報通信して通信量を削減でき、グループ鍵を用いた暗号化同報通信も実現できる。
【0025】
また、端末乱数生成手段を、同じ乱数を出力する乱数生成器を他に作成できず、かつ偶然他の乱数生成器の出力と同じ出力となる確率が無視できる出力長を持つという条件を満たすものとした。このような構成にしたことにより、一定の攻撃に対して充分安全を確保できる。
【0026】
また、グループ鍵の配布の途中において、複製端末が発見された場合、グループ鍵を未配布の端末の端末公開鍵(センタが端末秘密鍵を管理している場合は端末秘密鍵)によりグループ鍵を暗号化して未配布の端末に配布する手段を備えた。このような構成にしたことにより、早期にグループ通信を再開することができる。ただし、端末数に依存した通信量が必要となるので、端末数が小さい場合にのみ有効である。
【0027】
【発明の実施の形態】
以下、本発明の実施の形態について、図1〜図8を参照しながら詳細に説明する。
【0028】
(第1の実施の形態)
本発明の第1の実施の形態は、センタと複数台の端末が、個々のセッション鍵で暗号通信する通信網により接続された通信システムにおいて、センタが各端末に新規セッション鍵を配布する際に、端末で発生した乱数が複製困難なことを利用して端末IDの重複を検査することで複製端末を発見する方法である。
【0029】
図1は、本発明の第1の実施の形態における複製端末発見方法の流れ図である。図1において、センタCは、各端末にセッション鍵を配布する機関である。通信路Nは、暗号通信可能な無線または有線の通信媒体である。端末Tは、センタCとセッション鍵で暗号通信を行なう通信装置である。端末は複数台あり、iは各端末にユニークな端末IDである。端末は1台でもよい。フェーズ#1は、複製端末を発見するための手続きを行なう段階である。フェーズ#2は、センタCから端末Tにセッション鍵を配送するための手続きを行なう段階である。
【0030】
図2は、本発明の第1の実施の形態における複製端末発見方法に用いるセンタの構成図である。図2において、乱数生成手段1は、擬似乱数を生成する手段である。送信手段2は、有線または無線でデータを端末に送信する手段である。公開鍵暗号復号手段3は、センタCの公開鍵で暗号化された暗号文を復号する手段である。認証文検証手段4は、端末秘密鍵で暗号化された認証文を端末公開鍵で復号して検証する手段である。データベース手段5は、端末との交信記録をまとめたデータベースである。検出手段6は、データベースを検索して端末の重複を検出する手段である。共通鍵生成手段7は、端末との共通鍵を端末乱数から生成する手段である。共通鍵暗号化手段8は、端末との共通鍵でセッション鍵を暗号化する手段である。
【0031】
図3は、本発明の第1の実施の形態における複製端末発見方法に用いる端末の構成図である。図3において、乱数生成手段1は、複製困難な擬似乱数を生成する手段である。送信手段2は、有線または無線でデータをセンタに送信する手段である。共通鍵生成手段7は、センタとの共通鍵を端末乱数から生成する手段である。共通鍵暗号復号手段9は、共通鍵で暗号化されたセッション鍵を復号する手段である。認証文生成手段10は、端末乱数とセンタ乱数を端末秘密鍵で暗号化して認証文を生成する手段である。公開鍵暗号化手段11は、認証文と端末乱数をセンタ公開鍵で暗号化する手段である。
【0032】
図4は、本発明の第1の実施の形態における複製端末発見方法の複製端末発見フェーズ(フェーズ#1)の流れ図である。図5は、本発明の第1の実施の形態における複製端末発見方法のセッション鍵配送フェーズ(フェーズ#2)の流れ図である。
【0033】
上記のように構成された本発明の第1の実施の形態における複製端末発見方法の動作を説明する。最初に、図1を参照して、複製端末発見方法の原理を説明する。複製端末発見方法は、センタCにしか解読できないように暗号化されて端末Tから送信された端末乱数R と端末認証文を、センタCで検証し、端末認証文が正しく、かつ現時点において同じ端末IDを持つ端末から異なる端末乱数R が送信されていない場合にのみ、この端末乱数R に依存して端末Tにセッション鍵SK を与えるプロトコルである。ただし、上付きのbはラウンド番号であり、ベキ乗の意味ではない。ラウンドは、セッション鍵の有効期間である。ラウンド番号は、端末ごとに独立であるので、厳密には端末IDで識別できるようにすべきであるが、記載が煩雑になり、紛れることもないので、単にbと書く。端末IDのiやラウンド番号bを省略することもある。
【0034】
複製端末発見方法は、複製端末発見フェーズとセッション鍵配送フェーズの2つのフェーズからなる。複製端末発見フェーズ(フェーズ#1)では、センタCは、チャレンジ−レスポンス認証により、端末Tと、その端末TがセンタCの公開鍵により暗号化して配信した端末乱数R を認証する。この端末乱数R を用いて、端末Tと共通鍵を共有する。センタCは、データベースを検索して、端末識別符号の重複を検査する。同一端末IDを持ち、異なる端末乱数を送信した端末T’を検出すると、この端末IDを持つオリジナル端末Tの複製端末が存在すると判定できる。セッション鍵配送フェーズ(フェーズ#2)では、センタCは、複製端末のない端末Tに対して、セッション鍵SK を共通鍵CK により暗号化して配送する。
【0035】
チャレンジ−レスポンス認証を説明する。センタCは、センタ乱数Z を生成して、チャレンジCHAとして端末Tに送信する。端末Tは、センタCから受信したセンタ乱数Z と、自身が生成した端末乱数R に対して、自身の秘密鍵により生成した認証文を、レスポンスRESとしてセンタCに送信する。これをセンタCが検証することにより、端末Tとその端末乱数R を認証する。ここで、センタCは、端末Tとその端末乱数R との対応を確認する。ディジタル署名を用いる場合は、センタCに各端末の秘密鍵を保管する必要がなく、鍵管理が容易となる。
【0036】
端末乱数R の暗号化を説明する。同じ端末秘密鍵を保持する複製端末に対して端末乱数R を秘密にするために、センタ公開鍵により端末乱数R を暗号化する。または、Diffie−Hellman鍵共有法のような乱数を用いた方法により共有した鍵を、端末乱数の代わりに利用する。
【0037】
データベースの検索を説明する。センタCは、データベースを検索して、端末Tに既にセッション鍵SK を配送済みか確認する。配送済みならば、配送に使用した端末乱数R ’と、送信されてきた端末乱数R とを比較して、不一致ならば、端末Tの複製端末が存在すると判断する。端末Tは、同一ラウンドでは同じ乱数を用いるので、複製端末が存在しない限り、異なる端末乱数R を用いたレスポンスRES は来ない。ただし、端末乱数R ’と端末乱数R のどちらが複製端末の乱数であるかは区別できない。また、複製端末が複数ならば、端末乱数R ’と端末乱数R が共に複製端末の乱数である可能性があるが、複製端末が単数複数いずれの場合でも、複製端末発見方法により複製端末の存在を検出できる。
【0038】
共通鍵CK の生成を説明する。正しく認証され、かつ複製端末が発見されない端末Tと、センタCは、その端末Tの端末乱数を使って共通鍵を共有する。ここで、共通鍵の生成には、センタCと端末乱数の保持者のみが生成できる方法を使う必要がある。最も単純な方法は、端末乱数をそのまま共通鍵として用いる方法である。
【0039】
セッション鍵SK の暗号化を説明する。センタCは、共通鍵CK を用いて、セッション鍵SK を暗号化する。端末Tは、センタCと同様に、端末乱数R より共通鍵CK を生成する。共通鍵CK を使ってセッション鍵SK を復号する。端末秘密鍵Sが漏洩しても、端末乱数R がなければ、共通鍵CK は生成できないため、オリジナル端末と複製端末の集合の中で、セッション鍵SK を得ることができるのは、1台のみとなる。また、ここで使う暗号は、レスポンスRES の場合と異なり、共通鍵暗号でよい。また、必要であればMAC(Message Authentication Code:メッセージ認証符号)を併用して、改ざんや成りすましを検出する機能を追加できる。
【0040】
セッション鍵SK の更新を説明する。センタCは、一時横流しによるセッション鍵の漏洩に対処するために、定期的にセッション鍵を更新して、複製端末発見方法を実行する必要がある。この期間が短いほど、早く複製端末を発見・無効化できる。
【0041】
セッション鍵SK が複数の場合を説明する。セッション鍵の種類が複数の場合は、各端末Tは、同一ラウンドであれば同じ端末乱数を用いて、セッション鍵の種類を指定したレスポンスRES を送信する。センタCは、データベースより乱数が同じことを確認して、端末Tが指定したセッション鍵を、同じ乱数による鍵で暗号化して配送する。
【0042】
未受信対策を説明する。端末Tが電源オフや、通信できない地域へ移動したことなどにより、チャレンジCHA やセッション鍵を受信できない場合のために、現在のラウンド番号をセンタに問い合わせる機能を、端末Tに付加する。ラウンドが進んでいる場合に、端末Tはセンタに再送を要求する。
【0043】
以上のようにすることにより、複製端末を発見できる。正規の端末Tが先にレスポンスRES を送信し、複製端末がレスポンスRES を送信しない場合には、複製端末は発見できないが、複製端末はセッション鍵を得ることができないので、実質的に無効化することができる。
【0044】
第2に、図2、図3、図4を参照しながら、複製端末発見の手順(フェーズ#1)の各ステップについて説明する。準備段階において、図示していない信頼できるシステム管理者は、センタ秘密鍵Scと、センタ公開鍵Ycと、各端末Tの端末秘密鍵Sと、端末公開鍵Yを生成する。センタCに、センタ秘密鍵Scと端末公開鍵Yを秘密に配布する。各端末Tに、対応する端末秘密鍵Sとセンタ公開鍵Ycを秘密に配布する。
【0045】
図4に示すフェーズ#1−1で、図1に示すセンタCは、図2の乱数生成手段1でセンタ乱数Z を生成する。端末Tに、セッション鍵の更新通知を兼ねるチャレンジ
CHA =Z
を、送信手段2により送信する。
【0046】
フェーズ#1−2で、図3に示す端末Tは、図3の乱数生成手段1により、端末乱数R を生成する。自身の端末秘密鍵Sを用いて、端末IDのiと、センタCからチャレンジCHA として送られたセンタ乱数Z と、端末乱数R とに対するディジタル署名SIG(S,(i‖Z ‖R ))を、認証文生成手段10で生成する。ただし、(x‖y)は、xを上位桁とし、yを下位桁とする、符号の連接を示す。SIG(x,y)は、鍵xを使ってyのディジタル署名を計算することを示す。このディジタル署名を、端末認証文D とする。
【0047】
センタ公開鍵Ycを用いて、端末IDのiと、端末乱数R と、端末認証文D とに対する端末暗号文
Figure 0003600161
を、公開鍵暗号化手段11で生成する。ただし、x[y]は、yを鍵xで暗号化することを示す。これを、センタCに、セッション鍵要求通知を兼ねるレスポンス
Figure 0003600161
として、送信手段2で送信する。
【0048】
フェーズ#1−3で、図2のセンタCは、図示しない受信手段で、端末TからのレスポンスRES を受信し、公開鍵暗号復号手段3で、センタ秘密鍵Scを使ってレスポンスRES を復号して、端末乱数R を得る。認証文検証手段4で、端末Tの端末公開鍵Yを用いて、SIG(S,(i‖Z ‖R ))を検証する。検証結果が正しい場合は、端末Tと端末乱数R を認証したとして受付けて、フェーズ#1−4へ進む。検証結果が不正の場合は、プロトコルを終了する。
【0049】
フェーズ#1−4で、センタCは、検出手段6により、端末IDをキーとして、端末IDと配送に用いた乱数を関連付けて登録したデータベースが格納されたデータベース手段5を参照する。配送に用いた乱数が登録されていない、つまりセッション鍵SK が未配送の場合は、データベースに端末乱数R を記録して、フェーズ#1−5へ進む。配送に用いた乱数が登録されている、つまりセッション鍵SK が配送済みの場合は、データベースに記録された端末乱数R ’と受信した端末乱数R が等しいならフェーズ#1−5へ進む。異なるなら、複製端末を発見したと判断して、プロトコルを終了する。
【0050】
フェーズ#1−5で、センタCは、図2の共通鍵生成手段7により、端末乱数R を共通鍵CK とする。
【0051】
第3に、図2、図3、図5を参照しながら、セッション鍵配送の手順(フェーズ#2)の各ステップを説明する。重複が検出されなかった端末に対してのみ、センタCはセッション鍵を配送する。
【0052】
図5に示すフェーズ#2−1で、センタCは、共通鍵暗号化手段8により、セッション鍵SK を共通鍵CK で暗号化したセンタ暗号文
EC =CK [SK
を生成して、送信手段2により端末Tに送信する。
【0053】
フェーズ#2−2で、端末Tは、図示してない受信手段により、センタ暗号文EC (=CK [SK ])を受信する。端末乱数R を共通鍵CK として、図3の共通暗号復号手段9により、センタ暗号文EC (=CK [SK ])を復号し、セッション鍵SK を得る。端末Tが、センタ暗号文EC (=CK [SK ])を受信できなかった場合は、フェーズ#1−2において生成したレスポンスRESiを、センタCに再送する。
【0054】
第4に、乱数生成器の条件を説明する。端末に組込まれる乱数生成手段が満たすべき条件は、「同じ乱数を出力する乱数生成器を他に作成できないこと、かつ偶然他の乱数生成器の出力と同じ出力となる確率が無視できる出力長を持つこと」である。これは、乱数生成器の構造は複製できても、乱数またはシードの元となる状態が複製できないものであって、かつ出力が128bit程度あるものであれば満たされる。したがって、次の128bit乱数生成器は条件を満たす。
・ホワイトノイズなどを利用した真性乱数生成器
・予測困難な常に変化する各端末固有の状態により更新されるシードを入力とする擬似乱数生成器または擬似乱数生成ソフトウェア
【0055】
このようなシードとして、以下のものやその組合せがある。
・端末のメモリの状態やシステムクロックの値
・端末の動作に関する時間,時刻,回数
【0056】
第5に、安全性について説明する。複製端末発見方法は、複製端末の発見を目的とする。攻撃者は複製端末を偽造して暗号通信を解読することを目的とする。まず、複製端末発見方法において想定される攻撃について説明する。複製端末発見方法では、既に攻撃者が複製対象となるオリジナル端末の秘密鍵を保持していることを前提とした攻撃を想定する。端末秘密鍵を不正に取得できる機会には、メンバが自身の端末を解析する場合と、メンバが自身の端末から目を離している間(紛失・充電時など)に攻撃者が端末を解析する場合と、複数のメンバの結託により他のメンバの秘密鍵を作成する場合などがある。この前提において、攻撃者は、複製端末を偽造して暗号通信の解読を試みる。
【0057】
攻撃は、オリジナル端末はそのままに、攻撃者が残りの秘密情報(セッション鍵、乱数)を入手できる横流し攻撃と、オリジナル端末を改変するか、別の端末(複製端末)に入れ替えてしまうことにより、オリジナル端末を無効化する改変攻撃に分けられる。
【0058】
横流し攻撃のうち、一時横流し攻撃では、ある時点において、オリジナル端末のセッション鍵か、このセッション鍵を得るための乱数が漏洩し、攻撃者が複製端末を偽造する。常時横流し攻撃では、定期的に、オリジナル端末のセッション鍵か、このセッション鍵を得るための乱数を、不正なメンバが横流しして、攻撃者が複製端末を偽造する。改変攻撃は、オリジナル端末を改変するか、複製端末に入れ替えることにより、オリジナル端末を無効化し、複製端末を使用しても発見させない攻撃である。
【0059】
本実施の形態における複製端末発見方法は、一時横流し攻撃に対して複製端末を発見することを目的とする。常時横流し攻撃および改変攻撃は、以下の理由により考慮する必要がないと考える。
【0060】
常時横流し攻撃は、横流しの頻度に依存して不正なメンバの通信コストや不正発覚の可能性が増加するため、不正なメンバは容易に実行できないと考えられる。
【0061】
改変として、具体的に以下の2つの場合が考えられる。1つ目は、オリジナル端末の使用者が目を離した隙などに、攻撃者がオリジナル端末を複製端末と入れ替える場合である。この複製端末は、他の複製端末と乱数が同期しているとすれば、改変されたオリジナル端末を使用し続ける限り、乱数による複製端末の発見はできない。しかし、常時端末を使用しているオリジナル端末の使用者に気付かれない複製端末を偽造することは、時間やコストの面から難しいと考える。また、物理的な改変を検出することは、情報の複製を検知することに比べ、一般に容易かつ低コストであるので、これを併用して対処できる。
【0062】
2つ目は、オリジナル端末の使用者が、攻撃者または攻撃者に協力する不正なメンバの場合である。オリジナル端末の乱数生成器を複製端末と同期するように改変するか、同期する複製端末に入れ替えることにより、オリジナル端末を無効化する。1つ目より、不正なメンバの協力により成功する可能性が高い。しかし、不正発覚時に所有する改変した端末または複製端末により、不正なメンバであることを特定されてしまうため、容易に実行できない。また、端末を故障させて常に同じ乱数を出力させることにより、複製端末と乱数生成器を同期させる攻撃は、一定期間ログを保存・解析することにより検出できる。
【0063】
以上の検討より、複製端末発見方法では、以下の仮定が満たされるとする。このとき、複製端末発見方法は安全である。
1.攻撃者は複製対象となる端末の秘密鍵を保持する。
2.一時横流し攻撃が可能である。
3.常時横流し攻撃および改変攻撃は困難である。
4.端末に上に定義した乱数生成器が組込まれる。
5.オリジナル端末はメンバにより使用される。
6.共通鍵暗号方式、公開鍵暗号方式、MACおよびディジタル署名方式は安全である。
【0064】
仮定1と2は現実的に起こりうる。一方、仮定3の攻撃は理論的には可能だが、攻撃者の負担が大きく、現実的にはあまり起こりえないと予測されるため考慮しない。仮定3〜5により、オリジナル端末に対する入替えや改変は行われず、かつ前述の乱数生成器をメンバが必ず使用すると仮定できる。仮定6については、共通鍵暗号方式として鍵長128bit程度の共通鍵暗号を利用し、公開鍵暗号方式として鍵長1024bit程度のRSA暗号やElGamal暗号や、鍵長160bit程度の楕円ElGamal暗号を利用し、MACとして鍵長128bit程度の共通鍵暗号や、出力128bit程度の鍵付きハッシュ関数を利用し、ディジタル署名として鍵長1024bit程度のDSA署名やRSA署名や、鍵長160bit程度の楕円DSA署名を利用することにより満たされる。
【0065】
一時横流し攻撃に対する安全性について説明する。攻撃者が入手可能な情報は、オリジナル端末の秘密鍵と、攻撃に成功した時点のラウンドのセッション鍵と、対応する乱数である。以上により偽造された単数または複数の複製端末と、オリジナル端末が存在すると考える。
【0066】
攻撃時点のラウンドのセッション鍵が更新されたとき、オリジナル端末が先にレスポンスRESを送信し、後から複製端末がレスポンスRESを送信した場合は、乱数の違いから複製端末を発見できる。レスポンスRESを送信しなければ、複製端末はセッション鍵を得られないため、実質的に無効化される。一方、複製端末が先にレスポンスRESを送信し、後からオリジナル端末がレスポンスRESを送信した場合は、乱数の違いから複製端末を発見できる。
【0067】
つまり、オリジナル端末と複製端末の集合の内、セッション鍵を得られるのは常に1台であり、この内1台でもレスポンスRESを送信すれば、複製端末を発見または無効化できる。ここで、前述の仮定により、集合の内最低1台はレスポンスRESを送信するので、この攻撃に対して複製端末発見方法は安全である。
【0068】
他の攻撃に対する安全性について説明する。偽造以外には、レスポンスRESを再送するReplay Attackがある。レスポンスRESに対して、センタは、共通鍵により暗号化したセッション鍵を配送するので、通信量は増加するが、乱数が無ければ復号はできないので問題ない。また、仮定により、暗号化関数と認証文生成関数が安全なので、暗号文の解読・レスポンスRESに対する成りすまし・改ざんは困難である。改変攻撃で述べたような端末を故障させる攻撃に対しては、センタが過去のデータベースを記録・検査すれば対処できる。したがって、過去の全てのラウンドのデータベースを保持・検査することが最も安全であるが、実際にはコストと安全性のトレードオフで、一定期間のデータベースのみを保持することになる。センタによる端末の陥れに関しては、センタが端末の秘密鍵を保持していないために困難である。
【0069】
第6に、従来技術と比較して違いを説明する。本方法は、公開鍵e33bit、法・秘密鍵1024bitのRSAとし、従来法は、pを1024bit、qを160bit、ハッシュ関数の出力を128bitとして比較する。ただし、RSAは一般に良く用いられる中国人剰余定理により秘密鍵の演算を高速化する方法の利用を考慮する。演算量は、全パラメータ1024bitのベキ乗剰余1回を1として換算する。また、nは端末総数、kは結託しきい値である。共通鍵暗号・MACの演算量とIDのサイズは無視する。このとき、本方法はレスポンス検証の演算量以外は従来法より効率的である。
【0070】
Figure 0003600161
【0071】
上記のように、本発明の第1の実施の形態では、複製端末発見方法を、センタと複数台の端末が、個々のセッション鍵で暗号通信する通信網により接続された通信システムにおいて、センタが各端末に新規セッション鍵を配布する際に、端末で発生した乱数が複製困難なことを利用して端末IDの重複を検査することで複製端末を発見する構成としたので、複製端末の存在を自動的に検出して排除できる。
【0072】
(第2の実施の形態)
本発明の第2の実施の形態は、センタと複数台の端末が、共通のグループ鍵により暗号通信する同報通信網により接続された通信システムにおいて、センタが各端末に新規グループ鍵を配布する際に、端末で発生した乱数が複製困難なことを利用して端末IDの重複を検査することで複製端末を発見する方法である。
【0073】
図6は、本発明の第2の実施の形態における複製端末発見方法の流れ図である。図6において、センタCは、各端末にグループ鍵を配布する局である。通信路Nは、同報暗号通信可能な無線または有線の通信媒体である。端末Tは、センタCとグループ鍵で暗号通信を行なう通信装置である。端末は複数台あり、iは各端末にユニークな端末IDである。端末は1台でもよい。フェーズ#1は、複製端末を発見するための手続きを行なう段階である。フェーズ#2は、センタCから端末Tにグループ鍵を配送するための手続きを行なう段階である。本発明の第2の実施の形態における複製端末発見方法のシステム構成は、基本的に第1の実施の形態と同じである。
【0074】
図7は、本発明の第2の実施の形態における複製端末発見方法の複製端末発見フェーズ(フェーズ#1)の流れ図である。図8は、本発明の第2の実施の形態における複製端末発見方法のグループ鍵配送フェーズ(フェーズ#2)の流れ図である。
【0075】
上記のように構成された本発明の第2の実施の形態における複製端末発見方法の動作を説明する。最初に、図6を参照して、複製端末発見方法の全体の動作を説明する。準備段階において、信頼できるセンタCは、自身のセンタ秘密鍵Scとセンタ公開鍵Ycと、各端末の端末秘密鍵Sを生成して、各端末に、対応する端末秘密鍵Sとセンタ公開鍵Ycを秘密に配布する。
【0076】
複製端末発見方法は、複製端末発見フェーズとグループ鍵配送フェーズの2つのフェーズからなる。複製端末発見フェーズ(フェーズ#1)では、センタCは、チャレンジ−レスポンス認証により、端末Tと、その端末TがセンタCの公開鍵により暗号化して送信した端末乱数R を認証する。この端末乱数R を用いて、端末Tと共通鍵を共有する。センタCは、データベースを検索して、端末IDの重複を検査する。同一端末IDを持ち、異なる端末乱数を送信した端末T’を検出すると、この端末IDを持つオリジナル端末Tの複製端末が存在すると判定できる。グループ鍵配送フェーズ(フェーズ#2)では、センタCは、複製端末のない端末Tに対して、グループ鍵GKを共通鍵CK により暗号化して配送する。第1の実施の形態と表現を合わせるために、チャレンジ−レスポンス認証による形態を示したが、本発明においては、センタによるチャレンジは必須でないため、実装するシステムにおける制限や安全性より効率を重視する場合は、センタはチャレンジを送信しなくても構わない。
【0077】
複製端末発見フェーズ(フェーズ#1)において、センタCは、全端末に、同報通信網Nを用いて、共通のチャレンジCHAを同報する。各端末が、共通のチャレンジCHAに対して、個別のレスポンスRESを返す。
【0078】
チャレンジ−レスポンス認証を説明する。端末は、センタからの全端末共通のセンタ乱数Zと、自身が生成した端末乱数R に対して、自身の端末秘密鍵により生成したMACをレスポンスRESとして、センタに送信する。これをセンタが検証することにより、端末とその端末乱数R を認証する。ここで、センタは、端末とその端末乱数との対応を確認する。MACでは、センタが全端末の端末秘密鍵を保管する必要があるが、処理が軽い。同報通信網を利用したことにより、チャレンジCHAを、各端末で共通化できる。
【0079】
端末乱数R の暗号化を説明する。同じ端末秘密鍵を保持する複製端末に対して、端末乱数を秘密にするため、センタ公開鍵により端末乱数を暗号化する。または、Diffie−Hellman鍵共有法のような乱数を用いた方法により共有した鍵を、端末乱数の代わりに利用する。
【0080】
データベースの検索を説明する。センタは、データベースを検索して、端末Tに、既にグループ鍵GKを配送済み(端末乱数R ’が登録されている)か確認する。配送済みならば、配送に使用した端末乱数R ’と、送信されてきた端末乱数R を比較して、不一致ならば、端末Tの複製端末が存在すると判断する。端末Tは、同一ラウンドでは同じ乱数を用いるので、複製端末が存在しない限り、異なる端末乱数R を用いたレスポンスRESは来ない。ただし、端末乱数R ’と端末乱数R のどちらが複製端末の乱数であるかは区別できない。また、複製端末が複数ならば、端末乱数R ’と端末乱数R が共に複製端末の端末乱数である可能性があるが、いずれの場合でも、複製端末発見方法により複製端末を発見できる。
【0081】
共通鍵CK の生成を説明する。センタは、正しく認証され、かつ複製端末が発見されない端末と、その乱数により共通鍵を共有する。ここで、共通鍵の生成には、センタと端末乱数の保持者のみが生成できる方法を使用する必要がある。最も単純な方法は、端末乱数をそのまま共通鍵として用いる方法である。
【0082】
グループ鍵配送フェーズ(フェーズ#2)において、センタCは、複製端末のない端末Tに対して、グループ鍵GKを共通鍵CK により暗号化して配送する。グループ鍵GKの暗号化を説明する。センタは、共通鍵CK を用いて、グループ鍵GKを暗号化する。端末Tは、センタと同様に、端末乱数R より共通鍵CK を生成する。共通鍵CK で、グループ鍵GKを復号する。端末秘密鍵Sが漏洩しても、端末乱数R がなければ、共通鍵CK を生成できないため、オリジナル端末と複製端末の集合の中で、グループ鍵GKを得ることができるのは1台のみとなる。また、必要であればMACを併用して、改ざんや成りすましを検出する機能を追加できる。
【0083】
グループ鍵GKの更新を説明する。センタは、一時横流しによるグループ鍵の漏洩に対処するために、定期的にグループ鍵を更新して複製端末発見方法を実行する必要がある。この期間が短いほど、早く複製端末を発見・無効化できる。
【0084】
グループ鍵GKが複数の場合を説明する。グループ鍵の種類が複数の場合は、各端末は、同一ラウンドであれば同じ乱数を用いて、グループ鍵の種類を指定したレスポンスRESを送信する。センタは、データベースより、端末乱数が同じことを確認して、端末が指定したグループ鍵を、同じ乱数により暗号化して配送する。
【0085】
未受信対策を説明する。端末が電源オフや通信できない地域へ移動したことなどにより、チャレンジCHAやグループ鍵を受信できない場合のために、現在のラウンド番号をセンタに問い合わせる機能を端末に付加し、ラウンドが進んでいる場合に、端末はセンタに再送を要求する。
【0086】
以上のようにすることにより、複製端末を発見できる。正規の端末が先にレスポンスRESを送信し、複製端末がレスポンスRESを送信しない場合には、複製端末は発見できないが、複製端末はグループ鍵を得ることができないので、実質的に無効化することができる。第1の実施の形態との違いは、ディジタル署名の代わりにMACを使用しているため、処理が高速であること、同報通信網の利用により、チャレンジCHAを各端末で共通化できるので、通信量が少ないこと、セッション鍵の代わりにグループ鍵を配送していることである。安全性の違いは、センタは各端末の端末秘密鍵を保管するため、信頼できる機関であることが必要である点である。
【0087】
第2に、図2、図3、図7を参照しながら、複製端末発見(フェーズ#1)の各手順を説明する。図7のフェーズ#1−1で、センタCは、図2の乱数生成手段1によりセンタ乱数Zを生成し、全端末に、グループ鍵の更新通知を兼ねるチャレンジ
CHA=Z
を、送信手段2により送信する。ただし、上付きのbはラウンド番号であり、ベキ乗の意味ではない。ラウンドは、グループ鍵の有効期間である。
【0088】
フェーズ#1−2で、各端末Tは、図3の乱数生成手段1により、端末乱数R を生成する。認証文生成手段10により、自身の端末秘密鍵Sを用いて、端末IDであるiと、センタCからのチャレンジCHAであるセンタ乱数Zと、端末乱数R とに対するMAC(Message Authentication Code:メッセージ認証符号)を生成して、端末認証文D とする。すなわち、
=MAC(S,(i‖Z‖R ))
を生成する。ただし、MAC(x,y)は、鍵xを使って、yのメッセージ認証符号を計算することを示す。公開鍵暗号化手段11により、センタCのセンタ公開鍵Ycを用いて、端末IDと、端末乱数R と、端末認証文D とに対する端末暗号文
Figure 0003600161
を生成する。これを、センタCに、セッション鍵要求通知を兼ねるレスポンス
Figure 0003600161
として、送信手段2により送信する。
【0089】
フェーズ#1−3で、図2のセンタCは、図示しない受信手段により、端末TからのレスポンスRES を受信する。公開鍵暗号復号手段3により、自身のセンタ秘密鍵Scを使って、レスポンスRES を復号して、端末乱数R を得る。認証文検証手段4により、端末Tの端末秘密鍵Sを用いて、端末認証文D を検証する。検証結果が正しい場合は、端末Tと端末乱数R を認証したとして受付けて、フェーズ#1−4へ進む。検証結果が不正の場合は、プロトコルを終了する。
【0090】
フェーズ#1−4で、センタCは、端末IDと、グループ鍵の配送に用いた乱数とを関連付けて登録したデータベースが格納されているデータベース手段5を、検出手段6により、端末IDをキーとして参照する。グループ鍵GKが未配送(端末乱数が登録されていない)の場合は、データベースに、端末乱数R を記録して、フェーズ#1−5へ進む。グループ鍵GKが配送済み(端末乱数が登録されている)の場合は、データベースに記録された端末乱数R ’と、受信した端末乱数R が等しいなら、フェーズ#1−5へ進む。異なるなら、複製端末を発見したと判断して、プロトコルを終了する。
【0091】
フェーズ#1−5で、センタCは、共通鍵生成手段7により、端末乱数R を共通鍵CK とする。
【0092】
第3に、図2、図3、図8を参照しながら、グループ鍵配送(フェーズ#2)の各手順を説明する。図8に示すフェーズ#2−1で、センタCは、共通鍵暗号化手段8により、共通鍵CK を用いて、グループ鍵GKを暗号化したセンタ暗号文
EC =CK [GK
を生成して、送信手段2により、端末Tに送信する。
【0093】
フェーズ#2−2で、図3の端末Tは、図示していない受信手段により、センタ暗号文EC (=CK [GK])を受信する。共通鍵暗号復号手段9により、端末乱数R を共通鍵CK とし、センタ暗号文EC (=CK [GK])を復号して、グループ鍵GKを得る。端末Tが、センタ暗号文EC (=CK [GK])を受信できなかった場合は、フェーズ#1−2において生成したレスポンスRESを、センタCに再送する。
【0094】
従来技術と比較して違いを説明する。
Figure 0003600161
【0095】
本方法では、レスポンス検証の演算量以外は従来法より効率的である。特に、センタが信頼でき、かつ全体の通信量と端末の演算量が少ないという条件は移動体通信に適している。RSAの代わりに楕円ElGamal暗号を用いることにより通信量をさらに削減することができるが、端末の演算量はRSAの場合より増加する。従来法では、PKIにおける端末の公開鍵の証明書を検証する必要がない点が利点としてあるが、センタは予め検証した公開鍵を保管しておくことが可能なので、証明書の検証の演算量は無視できる。
【0096】
グループに属する端末数が多いグループ通信システムにおいて、グループ鍵GKを配布中に複製端末を発見した場合、現在のグループ鍵GKb−1を用いた暗号通信を中止し、早期にGKを用いた暗号通信を再開する必要がある。しかしながら、グループ鍵GKの配布に、端末ごとに双方向通信を必要とし、全端末にグループ鍵GKを配布完了するまでに時間がかかる場合がある。そこで、残りの端末の複製端末の検査は後回しとして、未検査の端末Tに対して、端末秘密鍵Sまたは端末公開鍵Yによりグループ鍵GKを暗号化して配布することにより、高速に配布することが可能となる。
【0097】
上記のように、本発明の第2の実施の形態では、複製端末発見方法を、センタと複数台の端末が、共通のグループ鍵により暗号通信する同報通信網により接続された通信システムにおいて、センタが各端末に新規グループ鍵を配布する際に、端末で発生した乱数が複製困難なことを利用して端末IDの重複を検査することで複製端末を発見する構成としたので、複製端末の存在を自動的に検出して排除して、グループ鍵を配布できる。
【0098】
【発明の効果】
以上の説明から明らかなように、本発明では、センタと複数台の端末を含む通信システムの複製端末発見方法を、センタで、ラウンドごとにセンタ乱数を生成し、前回ラウンドにおける秘密情報の更新通知とセンタ乱数をチャレンジとして端末に送信し、端末で、チャレンジを受信し、ラウンドごとの端末乱数を生成し、センタ乱数と端末乱数に対する端末認証文を端末秘密鍵により生成し、端末認証文と端末乱数とをセンタ公開鍵で暗号化して端末暗号文としてセンタに送信し、センタCで、センタ秘密鍵で端末暗号文を復号して端末認証文と端末乱数とを得て、端末公開鍵で端末認証文を検証し、秘密情報の配送に使用した端末乱数と、端末IDとを、対応させて登録したデータベースを検索して、同一端末IDでかつ異なる端末乱数が登録されている重複登録の有無を検査し、端末認証文の検証結果が正しく、かつ重複登録が無い端末の端末乱数をデータベースに登録し、この端末乱数を用いて、共通鍵を生成し、共通鍵により秘密情報を暗号化してセンタ暗号文として端末に送信し、端末で、センタ暗号文を受信し、端末乱数から共通鍵を生成し、センタ暗号文を共通鍵により復号して秘密情報を得る構成としたので、センタは自動的に複製端末の存在を検知でき、発見を恐れて複製端末が乱数を送らない場合には、複製端末は秘密情報を入手できないので無効化することができるという効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態における複製端末発見方法の流れ図、
【図2】本発明の第1の実施の形態における複製端末発見方法で使用するセンタの構成図、
【図3】本発明の第1の実施の形態における複製端末発見方法で使用する端末の構成図、
【図4】本発明の第1の実施の形態における複製端末発見方法の複製端末発見フェーズ(フェーズ#1)の流れ図、
【図5】本発明の第1の実施の形態における複製端末発見方法のセッション鍵配送フェーズ(フェーズ#2)の流れ図、
【図6】本発明の第2の実施の形態における複製端末発見方法の流れ図、
【図7】本発明の第2の実施の形態における複製端末発見方法の複製端末発見フェーズ(フェーズ#1)の流れ図、
【図8】本発明の第2の実施の形態における複製端末発見方法のグループ鍵配送フェーズ(フェーズ#2)の流れ図である。
【符号の説明】
1 乱数生成手段
2 送信手段
3 公開鍵暗号復号手段
4 認証文検証手段
5 データベース手段
6 検出手段
7 共通鍵生成手段
8 共通鍵暗号化手段
9 共通鍵暗号復号手段
10 認証文生成手段
11 公開鍵暗号化手段

Claims (18)

  1. センタCとn台(nは自然数)の端末T(iは端末ID)を含む通信システムの複製端末発見方法において、
    前記端末Tは、ラウンドbにおける端末乱数R (上付きbはラウンド番号を示す添字)を生成し、前記端末乱数R に対する端末認証文D を端末秘密鍵Sにより生成し、前記端末認証文D と前記端末乱数R とをセンタ公開鍵Ycで暗号化して端末暗号文E として前記センタCに送信し、
    前記センタCは、センタ秘密鍵Scで前記端末暗号文E を復号して前記端末認証文D と前記端末乱数R とを得て、端末公開鍵Y(センタが端末秘密鍵を管理している場合は端末秘密鍵S)で前記端末認証文D を検証し、ラウンドごとに、秘密情報の配送に使用した前記端末乱数R と、前記端末Tの端末IDとを、対応させて登録したデータベースを検索して、同一端末IDでかつ異なる端末乱数が登録されている重複登録の有無を検査し、前記端末認証文D の検証結果が正しく、かつ前記重複登録が無い前記端末Tの前記端末乱数R と前記端末IDを前記データベースに登録し、この端末乱数R を用いて、前記共通鍵CK を生成し、前記共通鍵CK により秘密情報K を暗号化してセンタ暗号文EC として前記端末Tに送信し、
    前記端末Tは、前記センタ暗号文EC を受信し、前記端末乱数R から共通鍵CK を生成し、前記センタ暗号文EC を前記共通鍵CK により復号して前記秘密情報K を得ることを特徴とする複製端末発見方法。
  2. センタCとn台(nは自然数)の端末T(iは端末ID)を含む通信システムの複製端末発見方式において、
    前記端末Tは、ラウンドbにおける端末乱数R (上付きbはラウンド番号を示す添字)を生成する端末乱数生成手段と、前記端末乱数R に対する端末認証文D を端末秘密鍵Sにより生成する認証文生成手段と、前記端末認証文D と前記端末乱数R をセンタ公開鍵Ycで暗号化して端末暗号文E を生成する公開鍵暗号化手段と、前記端末暗号文E を送信する端末側送信手段と、前記端末乱数R から共通鍵CK を生成する端末側共通鍵生成手段と、秘密情報K を前記共通鍵CK により暗号化したセンタ暗号文EC を前記共通鍵CK により復号化する共通鍵暗号復号手段とを備え、
    前記センタCは、センタ秘密鍵Scで前記端末暗号文E を復号して前記端末認証文D と前記端末乱数R を得る公開鍵暗号復号手段と、前記端末認証文D を端末公開鍵Yi(センタが端末秘密鍵を管理している場合は端末秘密鍵S)で検証する認証文検証手段と、ラウンドごとに、秘密情報の配送に使用した前記端末乱数R と前記端末Tの端末IDとを対応させて登録するデータベース手段と、前記データベースを検索して同一端末IDでかつ異なる端末乱数が登録されている重複登録を検出する検出手段と、前記端末認証文D の検証結果が正しく、かつ前記重複登録が無い前記端末Tの前記端末乱数R を用いて前記共通鍵CK を生成するセンタ側共通鍵生成手段と、前記共通鍵CK により秘密情報K を暗号化した前記センタ暗号文EC を生成する共通鍵暗号化手段と、前記センタ暗号文EC を前記端末Tに送信する送信手段とを備えたことを特徴とする複製端末発見方式。
  3. 前記認証文生成手段および前記認証文検証手段を、ディジタル署名を用いる手段としたことを特徴とする請求項2記載の複製端末発見方式。
  4. 前記認証文生成手段および前記認証文検証手段を、鍵付きハッシュまたは共通鍵暗号を用いたメッセージ認証符号(MAC)を用いる手段としたことを特徴とする請求項2記載の複製端末発見方式。
  5. 前記センタ側共通鍵生成手段および前記端末側共通鍵生成手段を、前記端末乱数R をそのまま前記共通鍵CK として出力する手段としたことを特徴とする請求項2記載の複製端末発見方式。
  6. 前記公開鍵暗号化手段と前記公開鍵暗号復号手段に代えて、Diffie−Hellman鍵共有法を含む乱数を用いた鍵共有法の1つを用いて鍵を共有する手段と、共有した鍵を改めて端末乱数として用いる手段とを設けたことを特徴とする請求項2記載の複製端末発見方式。
  7. 前記センタCに、前記センタ暗号文EC にメッセージ認証符号(MAC)を含める手段を設け、前記端末Tに、改ざんや成りすましを検出する手段を設けたことを特徴とする請求項2記載の複製端末発見方式。
  8. 前記センタCに、前記センタ暗号文EC にディジタル署名を含める手段を設け、前記端末Tに、改ざんや成りすましを検出する手段を設けたことを特徴とする請求項2記載の複製端末発見方式。
  9. 前記秘密情報K が、前記センタCと前記端末Tのセッション鍵SK であることを特徴とする請求項2記載の複製端末発見方式。
  10. 前記秘密情報K を、前記センタCと複数の端末で共有されるグループ鍵GKとしたことを特徴とする請求項2記載の複製端末発見方式。
  11. 前記端末Tは、前記センタCから受信したセンタ乱数Z と前記端末乱数R に対する端末認証文D を端末秘密鍵Sにより生成する認証文生成手段を備え、
    前記センタCは、前記センタ乱数Z を生成するセンタ乱数生成手段と、前回ラウンドにおける秘密情報の更新通知と前記センタ乱数Z を前記端末Tに送信するセンタ側送信手段とを備えたことを特徴とする請求項2記載の複製端末発見方式。
  12. 前記センタ乱数Z を、複数の端末に共通のセンタ乱数Zとしたことを特徴とする請求項2記載の複製端末発見方式。
  13. 前記端末Tに、同一ラウンドにおいて前記秘密情報が複数種類存在する場合に前記端末暗号文E に所望の秘密情報の種類を指定する手段と、同一ラウンドにおいては常に同じ前記端末乱数R を前記端末暗号文E に使用する手段とを設け、前記センタCに、同一ラウンドにおいて同一の前記端末乱数R が使用された前記端末暗号文E において指定された種類の秘密情報を、前記端末乱数R より生成した前記共通鍵CK により暗号化して配送する手段を設けたことを特徴とする請求項2記載の複製端末発見方式。
  14. 前記端末Tに、前記センタCからの通信を受信できない場合に前記センタCに対して現在のラウンド番号を問い合わせる問い合わせ手段と、前記端末Tと前記センタCの前記ラウンド番号bが異なる場合に前記センタCに再送を要求する再送要求手段とを設けたことを特徴とする請求項2記載の複製端末発見方式。
  15. 前記通信システムが、同報通信システムであることを特徴とする請求項2記載の複製端末発見方式。
  16. 前記センタ公開鍵Ycと前記センタ秘密鍵Scと前記端末公開鍵Yと前記端末秘密鍵Sとを生成する手段と、前記センタ公開鍵Ycを全端末に配布する手段と、前記センタ秘密鍵Scとすべての前記端末公開鍵Yとを前記センタCに配布する手段と、前記端末秘密鍵Sを対応する前記端末Tに配布する手段とを有する信頼できるシステム管理手段を前記通信システムに備えたことを特徴とする請求項2記載の複製端末発見方式。
  17. 前記端末乱数生成手段は、同じ乱数を出力する乱数生成器を他に作成できず、かつ偶然他の乱数生成器の出力と同じ出力となる確率が無視できる出力長を持つという条件を満たすことを特徴とする請求項2記載の複製端末発見方式。
  18. 前記グループ鍵GKの配布の途中において、複製端末が発見された場合、前記グループ鍵GKを未配布の端末Tの端末公開鍵Y(センタが端末秘密鍵を管理している場合は端末秘密鍵S)により前記グループ鍵GKを暗号化して前記未配布の端末Tに配布する手段を備えたことを特徴とする請求項10記載の複製端末発見方式。
JP2001011089A 2001-01-19 2001-01-19 複製端末発見方法 Expired - Lifetime JP3600161B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001011089A JP3600161B2 (ja) 2001-01-19 2001-01-19 複製端末発見方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001011089A JP3600161B2 (ja) 2001-01-19 2001-01-19 複製端末発見方法

Publications (2)

Publication Number Publication Date
JP2002217888A JP2002217888A (ja) 2002-08-02
JP3600161B2 true JP3600161B2 (ja) 2004-12-08

Family

ID=18878268

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001011089A Expired - Lifetime JP3600161B2 (ja) 2001-01-19 2001-01-19 複製端末発見方法

Country Status (1)

Country Link
JP (1) JP3600161B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100554799B1 (ko) 2002-11-19 2006-02-22 엘지전자 주식회사 Gsm이동통신 시스템의 전송 데이타 암호화 및 암호화 해제 방법
WO2005069295A1 (en) * 2004-01-16 2005-07-28 Matsushita Electric Industrial Co., Ltd. Authentication server, method and system for detecting unauthorized terminal
US8554889B2 (en) * 2004-04-21 2013-10-08 Microsoft Corporation Method, system and apparatus for managing computer identity
DE102004049026B4 (de) 2004-10-05 2007-06-21 Nec Europe Ltd. Verfahren zur Authentifizierung von Elementen einer Gruppe
CN101288260A (zh) * 2005-01-27 2008-10-15 美商内数位科技公司 使用未由他人分享联合随机衍生秘钥方法及系统
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
JP2009505448A (ja) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド デジタルコンテンツの管理方法及びこのための装置
JP5248930B2 (ja) * 2008-06-12 2013-07-31 株式会社東海理化電機製作所 暗号通信システム及び暗号鍵更新方法
JP5585097B2 (ja) * 2010-01-25 2014-09-10 ソニー株式会社 電力管理装置及び電子機器登録方法
WO2022044142A1 (ja) * 2020-08-26 2022-03-03 日本電信電話株式会社 公開鍵認証装置及び公開鍵認証方法

Also Published As

Publication number Publication date
JP2002217888A (ja) 2002-08-02

Similar Documents

Publication Publication Date Title
JP4599852B2 (ja) データ通信装置および方法、並びにプログラム
US9602290B2 (en) System and method for vehicle messaging using a public key infrastructure
KR101019006B1 (ko) 암호 키들의 대체를 위한 인증 및 분할 시스템 및 방법
CN101090316B (zh) 离线状态下存储卡与终端设备之间的身份认证方法
US7653713B2 (en) Method of measuring round trip time and proximity checking method using the same
EP1696602A1 (en) Cryptographic communication system and method
US9614868B2 (en) System and method for mitigation of denial of service attacks in networked computing systems
CA2730588C (en) Multipad encryption
US20130312072A1 (en) Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product
JP2011521548A (ja) トークンとベリファイアとの間の認証のためのネットワーク・ヘルパー
CN1611031A (zh) 从公共服务器请求内容时提供客户端保密性的方法和系统
US20080005034A1 (en) Method and Apparatus for Efficient Use of Trusted Third Parties for Additional Content-Sharing Security
CN111080299B (zh) 一种交易信息的防抵赖方法及客户端、服务器
JP2022521525A (ja) データを検証するための暗号方法
Khalil et al. Sybil attack prevention through identity symmetric scheme in vehicular ad-hoc networks
CN110855597B (zh) 消息传输方法、服务器及客户端
JP3600161B2 (ja) 複製端末発見方法
CN108964895B (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法
CN108880799A (zh) 基于群组密钥池的多次身份认证系统和方法
KR20200060193A (ko) 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법
JP2002314532A (ja) 複製端末発見方法
CN108965266B (zh) 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法
JP2002217890A (ja) 複製端末発見方法
JP2003087232A (ja) 複製端末発見方法
JP2004159063A (ja) 暗号通信システム及び暗号通信装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040915

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100924

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110924

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120924

Year of fee payment: 8