JP3746919B2 - 可変認証情報を用いる資格認証方法 - Google Patents
可変認証情報を用いる資格認証方法 Download PDFInfo
- Publication number
- JP3746919B2 JP3746919B2 JP20732599A JP20732599A JP3746919B2 JP 3746919 B2 JP3746919 B2 JP 3746919B2 JP 20732599 A JP20732599 A JP 20732599A JP 20732599 A JP20732599 A JP 20732599A JP 3746919 B2 JP3746919 B2 JP 3746919B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- authenticated
- person
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、認証者が被認証者を認証する資格認証方法に関する。可変認証情報を用いる認証方法とは、被認証者から認証者への認証依頼毎にパスワード等の認証情報を変更して認証を行う方法である。
【0002】
【従来の技術】
従来のパスワード等の認証情報を用いて通信相手やユーザの資格を認証する方法には、公開鍵暗号方法を応用したものと共通鍵暗号方法を応用したものの二つに大別することができるが、インタネット関連の通信プロトコルなどへの組み込みにおいては、公開鍵暗号方法より格段の高速処理が可能な共通鍵系の暗号方法を応用した方法、特に、パスワード認証方法がよく用いられる。基本的なパスワード認証の手順は以下の通りである。まず、被認証者(装置を含む)が認証者(サーバ等の装置を含む)にパスワードを登録する。認証時に、被認証者が認証者にパスワードを送信する。認証者は、受信したパスワードと登録されているパスワードを比較する。
【0003】
しかし、この方法には、次のような問題点がある。
(a) 認証側にあるパスワードファイルの盗見によりパスワードが盗まれる。(b) 通信中、回線盗聴によってパスワードが盗まれる。
(c) 被認証者は認証者に、自分の秘密情報であるパスワードを公開する必要がある。
【0004】
最初の問題(a) を解決する方法として、例えば、被認証者が認証者に、パスワードに一方向性関数を施したデータを登録しておき、認証時に、認証者が受信したパスワードに同じ一方向性関数を施し、結果を比較するという方法(参考文献:A.Evans,W.Kantrowitz and E.Weiss:“A user authentication scheme notrequiring secrecy in the computer,” Commun. ACM, 17, 8, pp.437−442(1974)及びR.Morris and K.Thompson:“Password security: A case history,” UNIXProgrammer’s Manual , Seventh Edition , 2B(1979)) がある。
【0005】
一方向性関数とは、入力の総当たり以外に、出力から入力を得る効率的な手段が存在しない関数であり、総当たりの計算量を充分大きくしておけば、無資格者が入力データを算出して被認証者になりすますことを防止できる。一般に、一方向性関数は、DESやFEALなどの共通鍵暗号方法によって得ることができる。共通鍵暗号方法は、共通秘密鍵を用いて入力される平文を処理して暗号文を出力として得るもので、平文と暗号文が与えられても共通秘密鍵が算出できない。特にFEALでは、平文や共通秘密鍵の入力が1ビット変化しただけでも、その入力変化の痕跡をまったくとどめない出力を得ることができるという特徴を有している。
【0006】
以上説明した通り、一方向性関数を用いた方法によって、基本的なパスワード認証方法の問題(a)は解決できる。しかし、これを回線盗聴が簡単なインタネットに適用する場合、問題(b) を解決することはできない。また、問題(c)に関しては、この基本的なパスワード認証方法は、銀行の顧客認証などには適用できても、同一レベルのユーザ同士の資格認証には適していない。
【0007】
このような問題を解決する方法として、パスワード等の認証情報を可変にする資格認証方法がある。例えば、Lamport の方法(L.Lamport:“Password authentication with insecure communication,” Commun. ACM, 24,11, pp.770−772(1981)) (S/KEY型パスワード認証方式)及びこの出願の発明者が提案した動的パスワード認証方法 であるCINON法(Chained One−way Data VerificationMethod)(A.Shimizu, “ADynamic Password Authentication Method Using a One−way Function”Systtems and Computersin Japan, Vol. 22, No.7, 1991, pp.32−40)(「資格認証方法」 特公平8−2051/特許第2098267号)がある。
【0008】
Lamport の方法は、パスワードに一方向性関数を複数回適用しておいて、適用一回前のデータを次々と認証者側に示すことで、複数回の認証を可能にする方法である。この方法では、最初に設定した最大認証回数から認証を実行する毎に1を減算し、認証回数を使い尽くした時点で、パスワードを再設定する必要がある。最大認証回数を増やすために一方向性関数の適用回数を増加させると処理量が増大する。銀行の顧客認証では最大認証回数として数100〜1000等が用いられる。更に、認証者側に比較して処理能力の小さい、被認証者側の処理負担が大きいという問題点がある。
【0009】
CINON法は、被認証者(ユーザ)が認証者(ホスト)に対して、前回に正当性の検証を終え登録されている認証データのもとのデータ、次々回に認証に用いる認証データ、前回送信済みで次回の認証に用いる認証データの正当性検証データの3つのデータを認証フェーズ毎に送信することで、認証情報を安全に更新しながら次々と連鎖的に認証を行うことのできる方法である。このように、CINON法では、被認証者が認証者の認証を得るためには、前回生成した2つの乱数N(k-1),N(k)を使用する必要がある。そのため、ユーザが出先の端末から認証者の認証を得る場合には、ユーザはそれらの乱数を記憶した例えばICカードの様な記憶媒体を携帯し、出先の端末で使用しなければならない。また、端末は、乱数を発生する機能及びICカードを読み書きする機能を必要とする。一方、インタネットにおいては、テレビセットやワードプロセッサ、更に携帯端末などにインタネット接続機能を付加したインタネット家電と呼ばれる製品が市場投入されようとしている。
【0010】
このようなインタネット家電が普及してくることに伴い、認証処理を有する情報の送受信に対する需要が増大してくるものと思われるが、インタネット家電は、コストを最重視しているため、上述の乱数を発生したり、それらをICカード等の記憶媒体へ読み書きする機構を有していない場合がほとんどである。また、処理プログラムの格納領域も限られるため、このような認証処理をできるだけ簡易で小さいプログラムサイズで実現することが望まれる。
【0011】
この問題を解決するために、本出願の発明者が提案した「ユーザ認証機能を有する情報送受信制御方法」(特願平8−240190)におけるユーザ認証方式は、インターネット等のセキュリティが十分でないネットワーク上の被認証者と認証者間の情報送受信において、被認証者側にICカード等の記憶媒体の読み書きを行う機構を必要とせず、かつユーザ認証処理を小さいプログラムサイズで行うことができる安全な情報送受信制御方法と装置及びその方法を記録した記録媒体を提供することを目的としたもので、認証手順において、CINON法の改良として、各種認証データの値を一度きりのものにするために被認証ユーザと認証サーバとの間で同期をとらなくてはならないパラメータとして、認証データ生成時に用いていた乱数に代えて、認証回数を用いるようにしたことを主要な特徴とする。被認証ユーザが行わなければならない処理が上記「資格認証方法」よりもややシンプルになている。この発明においては、認証データの生成に用いる一方向性関数にDESやFEALなどの共通鍵暗号方法を用いる。しかるに、安全性は用いる一方向性関数、つまり共通鍵暗号方法の強度に依存し、乱数から認証回数に変更した影響はない。
【0012】
上記3方式における認証方法は全て可変認証情報を用いる資格認証方法である。かかる資格認証方法の重要な特徴は、インターネット等の通信路を通して被認証者から認証者に渡される認証用データは認証フェーズ毎に異なる(毎回異なる)ため、ある認証フェーズでそれが盗聴されたとしても、次の認証フェーズ(次回認証時)には別の認証データを被認証者から認証者に送らなければ認証されないので、盗聴した無資格者が正当な被認証者になりすますことができないという点である。
【0013】
【発明が解決しようとする課題】
Lamportの方法には、被認証ユーザ側での処理(計算)量が非常に大きいという問題と、被認証者が、定期的にパスワードを更新する必要があるという問題があった。
CINON法では、Lamportの方法の欠点であるパスワードの更新の必要性をなくすことができたが、被認証者および認証者における処理(計算)量が大きいという問題は依然残った。
「ユーザ認証機能を有する情報送受信制御方式」におけるユーザ認証方法は、CINON法の欠点である、被認証者における処理(計算量)を削減することができたが、被認証者と認証者の相互間の手順がやや複雑であり、認証サーバ側でユーザ対応に管理しなければならないデータが多く、実運用時には準正常系、異常系の処理手順を入念に検討しておく必要があるという問題があった。
【0014】
本発明の目的は、セキュリティが十分でないネットワーク上の被認証者を認証者に認証させるための可変認証情報を用いる資格認証方法において、認証フェーズ毎に被認証者側および認証者側で実行する処理量(計算量)を極めて少なくすることにより、被認証側にも認証側にも簡易で小さいプログラムサイズで実現可能とし、かつ、通信路上の盗聴に強い安全な認証を行える方法を提供することにある。
【0015】
【課題を解決するための手段】
被認証者が認証者に対して、被認証者が秘密に保持しているパスワードを教えることなく、自分を認証させることのできる方法で、かつ被認証者が利用する装置から認証者が利用する認証サーバへの認証依頼の度に送信する認証情報を可変とする可変認証情報を用いる資格認証方法において、初期登録フェーズでは、前記被認証者が利用する装置の一方向性情報生成機構が、被認証者の自己のユーザーIDとパスワードと前記被認証者が利用する装置の乱数生成機構により生成される乱数を基に、入力情報を算出することが計算量的に困難であるような一方向性を有する出力情報を生成する一方向性関数を用いて初回の認証データを生成する工程と、前記被認証者が利用する装置の情報送信機構が前記認証サーバの情報受信機構に対して、被認証者の自己のユーザーIDと初回の認証データを送信する工程と、前記情報受信機構が前記情報送信機構から受信した初回の認証データを初回認証時に用いる認証パラメータとして前記認証サーバの情報記録機構に登録する工程を有し、認証フェーズでは、前記被認証者が利用する装置の一方向性情報生成機構が、前記自己のユーザーIDと前記パスワードと前記乱数生成機構により生成される乱数を基に、前記一方向性関数を用いて今回の認証データ用中間データと今回の認証データと次回の認証データを生成し、今回の認証用中間データおよび次回の認証データのそれぞれに今回の認証データで排他的論理和演算することにより、今回認証用の排他的論理和及び次回認証用の排他的論理和を生成する工程と、前記情報送信機構が前記情報受信機構に対して、前記自己のユーザーID、今回認証用の排他的論理和及び次回認証用の排他的論理和を送信する工程と、前記認証サーバの一方向性情報生成機構が、前記情報受信機構が前記情報送信機構から受信した今回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和を入力情報として、前記一方向性関数を用いて被認証者の正当性確認パラメータを生成し、この正当性確認パラメータと前回登録された認証パラメータを比較し、一致した場合は認証が成立したものとし、一致しない場合は認証が不成立とする工程と、認証が成立した場合は、前記情報受信機構が、前記情報送信機構から受信した次回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和により次回認証用の認証パラメータを生成し、前回登録された認証パラメータの替わりに前記の次回認証用の認証パラメータを前記情報記録機構に登録する工程を有し、以上の工程を順次続けて被認証者の認証を行うことを特徴とする。
【0016】
すなわち、本発明は、被認証者(装置を含む)は、認証フェーズ毎に乱数を生成し、乱数、ユーザID、パスワードを基に今回の認証データと次回の認証データを一方向性関数を用いて算出し、これをさらに排他的論理和を用いて被認証者以外は解読できないように暗号化し、これらを被認証者自身のユーザIDと合わせて認証者(サーバ等の装置を含む)に送信し、また、認証者は、被認証者から前述の3つの情報を受信し、今回の認証データを基に一方向性関数を用いて算出した正当性確認パラメータと前回の認証フェーズにおいて登録した認証パラメータと比較し、一致したら今回の認証が成立したと判断し、次回の認証データを次回の認証パラメータとして登録するものである。
【0017】
これにより、本発明は、(1)前記の従来技術において1回の認証処理実行時に、被認証者と認証者との間で行われる認証関連情報の授受が、被認証者からみて1往復半(計3回の送受信)以上必要であったのが、被認証者が認証者に対して1回の送信のみですむようになった、(2)前記の従来技術において認証者が被認証者毎に管理している認証関連データが4以上あったのに対して、本方式ではわずか1のデータのみですむようになった、(3)認証フェーズ毎に被認証者側および認証者側で排他的論理和演算以外の暗号化又は複合処理が認証側で2回、被認証者側で4回と少なくなった、ことにより被認証者および認証者が実行する処理量(計算量)を極めて少なくすることができるという主要な効果を有する。
【0018】
また、一方向性関数としてDES,FEALなどの秘密鍵暗号方式に用いる関数を用いるのが好適である。認証情報の解読が不可能であり、さらに、FEALは高速暗号処理を実現している。
【0019】
【発明の実施の形態】
【実施例1】
本発明による可変認証情報を用いる資格認証方法の説明に先だって、まず一方向性関数について説明する。一方向性関数とは、入力データのしらみ潰し以外に、出力データから入力データを逆算する有効な方法のない関数をいう。DES、FEALなどの秘密鍵暗号アルゴリズムを用いて、このような性質を実現できる。特に、FEALは、16ビットのパーソナルコンピュータ上のソフトウェアで200Kbps、LSIとして96Mbps(クロック10MHz)の暗号化処理速度を実現しているすぐれた秘密鍵暗号方式である。
【0020】
秘密鍵暗号アルゴリズムをC=E(PA,SB)で表す。Eは一方向性関数(秘密鍵暗号化処理関数、第2パラメータが秘密鍵)で、Cは暗号文、PAは平文、SBは秘密鍵である。PAを平文、SBを入力情報、Cを出力情報とすると、平文PAと出力情報Cが分かっていても入力情報SBを逆算できない。
【0021】
続いて本発明の資格認証方法の実施例を説明する。本発明の認証方法のデータの流れを図1ないし図3に示す。図1は初期登録フェーズ、図2は初回認証フェーズ、図3はk回目認証フェーズのデータの流れを示す。データは上から下に又は矢印に沿って流れる。図及び以下の説明において、一方向演算C=E(PA,SB)をC←E(PA,SB)のように表す。また、排他的論理和演算子を@で表す。
【0022】
図4は本発明の資格認証方法を実現する機能ブロックの実施例を示す。図4において、1は認証制御機構、2は被認証制御機構、3は公開簿、4は秘密情報入力機構、5は乱数生成機構、6は一方向性情報生成機構、7は乱数記録機構、8は情報送信機構、9は情報受信機構、10は情報記録機構、11は情報比較機構、12は演算機構である。本実施例では、認証者UAを認証サーバ、被認証者UBを被認証ユーザとし、その認証手順を示す。被認証ユーザUBはPAとして公開された自己のユーザID=Aを持ち、自分のみで秘密に管理するパスーワードSを持つものとし、SBとしてパスーワードSと乱数との排他的論理和を用いるものとする。
【0023】
本実施例における認証方法は、大きく分けて、初期登録フェーズとその後の認証フェーズの2つのフェーズから成り立つ。認証フェーズは第1回目、第2回目、第3回目…と順次繰り返される。認証サーバUAの認証制御は認証制御機構1が行う。また、被認証ユーザUBの被認証制御は被認証制御機構2が行う。また、上記ユーザID Aは公開簿3に登録されている。
【0024】
[初期登録フェーズ]
まず、初期登録フェーズについて説明する。
▲1▼被認証ユーザUB側(演算処理)
パスワードSは秘密情報入力機構4によって取り込まれる。自分のユーザIDとしてPA=Aを用いる。N(0)を乱数生成機構5によって任意に設定し、乱数記録機構7によって記録しておく。一方向性情報生成機構6によって以下のデータを算出する。一方向性関数として秘密鍵暗号化処理関数Eを用いる。
まず、初回の認証用中間データ E(0)←E(A,S@N(0))を生成し、
更に、初回の認証データ E2 (0)←E(A,E(0))を生成する。
【0025】
▲2▼被認証ユーザUB側(送信処理)
以上の準備をした上で、情報送信機構8によって認証サーバUAに以下のデータを送信し、登録を依頼する。この場合、盗聴の恐れのないセキュアルート(安全なルート)により送信する。
ユーザID A,初回の認証データ E2 (0)
【0026】
▲3▼認証サーバUA側(受信、登録処理)
情報受信機構9でユーザID Aおよび初回の(次回の)認証データE2 (0)を受信し、受信したデータE2 (0)を情報記録機構10で初回の認証パラメータ(認証パラメータ初期値)Zとして記憶(登録)する。
【0027】
[認証フェーズ]
次に、認証フェーズについて説明する。
まず、初回(k=1)の認証手順について説明する。▲1▼被認証ユーザUB側(演算処理)
乱数生成機構5によりN1を任意に設定し、乱数記録機構7に記憶させる。
次に、一方向性情報生成機構6によって以下のデータを算出する。
次回の認証用中間データ E(1)←E(A,S@N(1))を生成し、
更に、次回の認証データ E2 (1)←E(A,E(1))を生成する。
次に、初期登録フェーズで乱数記録機構7に記憶させたN(0)を使って、
今回の認証用中間データ E(0)←E(A,S@N(0))を生成し、
更に、今回の認証データ E2 (0)←E(A,E(0))を生成する。
次に、演算機構12によって以下のデータを算出する。
今回認証用の排他的論理和 F(0)=E(0)@E2 (0)を算出し、
更に、次回認証用の排他的論理和 G(1)=E2 (1)@E2 (0)を算出する。
【0028】
▲2▼被認証ユーザUB側(送信処理)
情報送信機構8によって認証サーバUAに以下のデータを送信する。
ユーザID A,今回認証用の排他的論理和F(0),次回認証用の排他的論理和G(1)
この時、送信データは被認証者以外は解読できないように暗号化されているので、インターネットのような盗聴の恐れのあるルート(一般ルート)を用いてもよい。
【0029】
▲3▼認証サーバUA側(受信、認証処理)
ユーザID A,今回認証用の排他的論理和F(0),次回認証用の排他的論理和G(1)を受信し、
次に、正当性確認用中間パラメータXを、演算機構12にて以下の演算により生成する。
X=F(0)@Z
ここで、Z=E2 (0)は初期登録フェーズで情報記録機構10に登録された認証パラメータである。この排他的論理和演算処理において、F(0)=E(0)@E2 (0)が正当な被認証ユーザUBから受信したものであれば、演算結果はX=E(0)になるはずである。 次に、正当性確認パラメータYを一方向性情報生成機構6にて以下の演算により生成する。
Y←E(A,X)
もし、正当性確認パラメータYと初期登録フェーズで記憶(登録)された認証パラメータZ=E2 (0)が一致すれば、今回の認証が成立したことになり、一致しなければ認証は不成立となる。
【0030】
▲4▼認証サーバUA側(登録処理)
認証が成立した場合には、次回の認証パラメータZ’を演算機構12にて以下の演算により生成する。以下、認証パラメータZ,Z’について、受信データをもとに演算して得られたものをZ’、登録されたものをZと切り分けて用いる。
Z’=G(1)@Z
ここで、Z=E2 (0)は初期登録フェーズで情報記録機構10に登録された認証パラメータであり、G(1)=E2 (1)@E2 (0)は被認証ユーザUBから受信したデータである。既に認証が成立しているため、G(1)はユーザID=Aの被認証ユーザから正当に受信したものであり、演算結果はZ’=E2 (1)になるはずである。
最後に、Z’=E2 (1)を、次回すなわち第2回目の認証で用いる認証パラメータZとして情報記録機構10に記憶(登録)する。
認証が不成立の場合には、認証パラメータZは不変である。
【0031】
一般に、第k回目(kは正整数)の認証手順は以下の通りである。
▲1▼被認証ユーザUB側(演算処理)
乱数生成機構5によりN(k)を任意に設定し、乱数記録機構7に記憶させる。一方向性情報生成機構6によって以下のデータを算出する。
次回の認証用中間データ E(k)←E(A,S@N(k))を生成し、
更に、次回の認証データ E2 (k)←E(A,E(k))を生成する。
次に、前回の認証フェーズで乱数記録機構7に記憶させたN(k-1)を使って、
今回の認証用中間データ E(k-1)←E(A,S@N(k-1))を生成し、
更に、今回の認証データ E2 (k-1)←E(A,E(k-1))を生成する。
次に、演算機構12によって以下のデータを算出する。
今回認証用の排他論理和 F(k-1)=E(k-1)@E2 (k-1)を算出し、
更に、次回認証用の排他論理和 Gk=E2 (k)@E2 (k-1)を算出する。
【0032】
▲2▼被認証ユーザUB側(送信処理)
情報送信機構8によって認証サーバUAに以下のデータを送信する。
ユーザID A,今回認証用の排他論理和F(k-1),次回認証用の排他論理和G(k)
この時、送信データは被認証者以外は解読できないように暗号化されているので、インターネットのような盗聴の恐れのあるルート(一般ルート)を用いてもよい。
【0033】
▲3▼認証サーバUA側(受信、認証処理)
ユーザID A,今回認証用の排他論理和F(k-1),次回認証用の排他論理和G(k)を受信し、
次に、正当性確認用中間パラメータXを演算機構12にて以下の演算により生成する。
X=F(k-1)@Z
ここで、Z=E2 (k-1)は前回の認証フェーズで情報記録機構10に登録された認証パラメータを用いる。この排他的論理和演算処理において、F(k ― 1)が正当な被認証ユーザUBから受信したものであれば、演算結果はX=E(k-1)になるはずである。 次に、正当性確認パラメータYを一方向性情報生成機構6にて以下の演算により生成する。
Y←E(A,X)
もし、正当性確認パラメータYと前回の認証フェーズで登録された認証パラメータZ=E2 (k-1)が一致すれば、今回の認証が成立したことになり、一致しなければ認証は不成立となる。
【0034】
▲4▼認証サーバUA側:
認証が成立した場合には、次回の認証パラメータZ’を演算機構12にて以下の演算により生成する。
Z’=G(k)@Z
ここで、Z=E2 (k-1)は前回の認証フェーズで情報記録機構10に登録された認証パラメータであり、G(k)=E2 (k)@E2 (k-1)は被認証ユーザUBから受信したデータである。既に認証が成立しているため、G(k)はユーザID=Aの被認証ユーザから正当に受信したものであり、演算結果はZ’=E2 (k)になるはずである。
最後に、Z’=E2 (k)を、ユーザID=Aの被認証ユーザが次回の認証で用いる新たな認証パラメータZとして情報記録機構10に記憶(登録)する。
認証が不成立の場合には、認証パラメータZは不変である。
以上の認証フェーズをk=1,2,3,…と順次続けて、被認証者のパスワードの認証を行う。
【0035】
本実施例による資格認証方法の効果は、次のようである。
第k回目の認証フェーズで、被認証ユーザUBが認証サーバUAに送信する今回認証用の排他論理和F(k-1)および次回認証用の排他論理和G(k)は、一方向性関数を用いて生成したE2 (k-1)との排他的論理和演算により一種の暗号化が施されているため、第3者に不正に盗聴されても実データを解読することはできない。
【0036】
第k回目の認証フェーズで、認証サーバUAが被認証ユーザUBから受信した今回認証用の排他論理和F(k-1)および次回認証用の排他論理和G(k)は、それぞれ認証パラメータZ=E2 (k-1)との排他的論理和演算により一種の暗号化が施されているが、E2 (k-1)は、前回認証フェーズ(k=1の場合は初期登録フェーズ)において認証サーバUAに既に登録されているものであるため、E2 (k-1)と再度排他的論理和演算することによって極めて簡単に、正当性認証用中間パラメータX=E(k-1)と次回の認証パラメータZ=E2 (k)を復号することができる。排他的論理和演算は演算処理負荷が最もシンプルな一方向性関数の一つであり、かつ、2度演算すると元のデータを復元できるという特徴を持つ。
【0037】
認証サーバ側において、被認証ユーザ毎に記憶(管理)しておかなければならないデータは、上記の認証パラメータZ=E2 (k-1)のわずか1つだけであり、認証フェーズ毎に認証サーバ内で実行しなくてはならない排他的論理和演算以外の復号処理(一方向性関数の使用)はわずか2回(正当性認証パラメータY,認証パラメータZの生成)であり、処理負荷を極めて軽くすることができる。
【0038】
被認証ユーザ側において、認証フェーズ毎に実行しなくてはならない排他的論理和演算以外の暗号化処理(一方向性関数の使用)は4回(今回の認証用中間データE(k-1),今回の認証データE2 (k-1),次回の認証用中間データE(k),次回の認証データE2 (k))であり、処理負荷は十分に軽くてすむ。
【0039】
被認証ユーザと認証サーバの相互間で行われる情報授受の回数は、認証フェーズ毎に、被認証ユーザから認証サーバへの送信が1回のみであるため、通信セッション(コネクション)の状態が不安定なネットワークにおいても確実に認証処理を行うことができる。
【0040】
【実施例2】
実施例1では、第k回目の認証フェーズで、被認証ユーザUB側で、乱数生成機構5によりN(k)を任意に設定し、乱数記録機構7に記憶させることになっているが、本実施例では、N(k)に代えて、E(k)およびE2 (k)を記憶しておく。
これにより、認証フェーズ毎に被認証ユーザUB側で実行しなくてはならない排他的論理和演算以外の暗号化処理をわずか2回に削減することができる。
【0041】
以上の手順では、登録フェーズで認証者が記憶する初回認証データはE2 (0)であるが、安全性をより高めるために、一方向性関数を利用する回数を増やし、E2 (0)の代わりに初回認証データとして、Z(0)=E3 (0)←E(A,E2 (0))を記憶させ、
第k回目の認証フェーズでは、被認証者は認証者に対してユーザID A、今回認証用の排他的論理和F(k-1)=E2 (k-1)@E3 (k-1)、次回認証用の排他的論理和G(k)=E3 (k)@E3 (k-1)(ここにE2 (k-1)は今回認証用中間データ、E3 (k-1)は今回の認証データ、E3 (k)は次回の認証データである。)を送り、それを受信した認証者は、記憶していた認証パラメータZ=E3 (k-1)から今回認証用中間データE2 (k-1)と次回の認証データE3 (k)を復元し、得られたE2 (k-1)とユーザID Aから正当性確認パラメータY=E3 (k-1)を生成して、記憶していた認証パラメータZ=E3 (k-1)と比較することで認証し、認証成立した場合にはE3 (k)を次回認証パラメータZとして記憶するいう手順を採ることも可能である。または、ユーザID A、今回認証用の排他的論理和F(k-1)=E(k-1)@E3 (k-1)、次回認証用の排他的論理和G(k)=E3 (k)@E3 (k-1)を送り(ここにE(k-1)は今回認証用中間データ、E3 (k-1)は今回の認証データ、E3 (k)は次回の認証データである。)、それを受信した認証者は、記憶していた認証パラメータZ=E3 (k-1)から今回認証用中間データE(k-1)とユーザID Aから正当性確認パラメータY=E3 (k-1)を生成して、記憶していたZ=E3 (k-1)と比較することで認証し、認証成立した場合にはE3 (k)を次回認証データとして記憶するいう手順を採ることも可能である。
さらに、登録フェーズで認証者に記憶させる初回認証データを、E4 (0)=E(A,E3 (0))やE5 (0)=E(A,E4 (0))などとする手順も可能である。
【0042】
以上の実施例では、認証サーバUAと被認証ユーザUBとの間の資格認証方法について説明したが、インターネット利用者同士の資格認証にも本発明を適用できる。その他、本発明の趣旨を逸脱しない範囲で種々の変更が可能なことはいうまでもない。
【0043】
【発明の効果】
以上説明したように、本発明による可変認証情報を用いる資格認証方法は、被認証側が認証側に対して送信するデータは一方向性関数を用いて算出し、これをさらに排他的論理和を用いて被認証者以外は解読できないように暗号化しているので、自分の秘密情報を相手に示すことなく、さらに使い捨てでない資格認証方式を実現できる。また、不正行為者が通信中の認証情報を自分に都合のいいものに改ざんしたとしても、その正当性を保証できないので次回の認証は受けられない。
【0044】
また、実施例で示した認証手順では、認証される側の一方向性情報生成処理は、一回の認証につき2〜4回で済む。これはLamportの方式の数100〜1000回に比べて著しく小さい。また、CINON法においても1回の認証処理実行時に、被認証者と認証者との間で行われる認証関連情報の授受が、被認証者からみて1往復半(計3回の送受信)必要であったのが、本発明では被認証者から認証者に対する1回の送信のみですむようになった。
【0045】
さらに、従来技術において認証者が被認証者毎に管理している認証関連情報が4種類あったのに対して、本方式ではわずか1の情報のみですむようになった。
【0046】
このように、本発明は、特に、認証フェーズ毎に被認証者側および認証者側で実行する処理量(計算量)を極めて少なくすることができる。したがって、セキュリティが十分でないネットワーク上の被認証者を認証者に認証させるための認証方法として、被認証側にも認証側にも簡易で小さいプログラムサイズで実現可能な処理しかさせず、かつ、通信路上の盗聴に強い安全な認証を行える方法を提供することができる。
【0047】
本発明の可変認証情報を用いる資格認証方法は、ネットワーク、通信、コンピュータシステムにおけるあらゆる状況の資格認証に適用することができる。例えば、認証される側の処理量が少なく済むため、ICカードの認証システムに適用することができる。これを応用して、ICカード電話機などのシステムに適用できる。また、ネットワーク上の同一レベルのユーザ同士の相互認証に適用できる。データベースの情報へのアクセス資格の認証へ適用できる。さらに、利害関係の異なるユーザグループが同一のLAN上に共存しているような場合の、それぞれのグループの情報へのアクセス資格の認証への適用も可能である。この場合には、かなりの高速性が要求されるので、一方向性変換処理を実現する秘密鍵暗号はLSIを用いることが必要である。
【図面の簡単な説明】
【図1】本発明における資格認証方法(初期登録フェーズ)の実施例を示す図である。
【図2】本発明における資格認証方法(初回認証フェーズ)の実施例を示す図である。
【図3】本発明における資格認証方法(k回目認証フェーズ)の実施例を示す図である。
【図4】本発明における機能ブロックの実施例を示す図である。
【符号の説明】
1 認証制御機構
2 被認証制御機構
3 公開簿
4 秘密情報入力機構
5 乱数生成機構
6 一方向性情報生成機構
7 乱数記録機構
8 情報送信機構
9 情報受信機構
10 情報記録機構
11 情報比較機構
12 演算機構
A ユーザID
C 出力情報
E 一方向性関数(秘密鍵暗号化処理関数、第2パラメータが秘密鍵)
E2 (k-1) 今回認証用データ
E2 (k) 次回認証用データ
F(k-1) 今回認証用の排他論理和
G(k) 次回認証用の排他論理和
N(k) 乱数
PA 平文
S パスワード
SB 入力情報(秘密鍵)
UA 認証者(装置を含む)
UB 被認証者(装置を含む)
X 正当性確認用中間パラメータ
Y 正当性確認パラメータ
Z 認証パラメータ(登録されたもの)
Z’ 次回の認証パラメータ(受信データをもとに演算して得られたもの)
【発明の属する技術分野】
本発明は、認証者が被認証者を認証する資格認証方法に関する。可変認証情報を用いる認証方法とは、被認証者から認証者への認証依頼毎にパスワード等の認証情報を変更して認証を行う方法である。
【0002】
【従来の技術】
従来のパスワード等の認証情報を用いて通信相手やユーザの資格を認証する方法には、公開鍵暗号方法を応用したものと共通鍵暗号方法を応用したものの二つに大別することができるが、インタネット関連の通信プロトコルなどへの組み込みにおいては、公開鍵暗号方法より格段の高速処理が可能な共通鍵系の暗号方法を応用した方法、特に、パスワード認証方法がよく用いられる。基本的なパスワード認証の手順は以下の通りである。まず、被認証者(装置を含む)が認証者(サーバ等の装置を含む)にパスワードを登録する。認証時に、被認証者が認証者にパスワードを送信する。認証者は、受信したパスワードと登録されているパスワードを比較する。
【0003】
しかし、この方法には、次のような問題点がある。
(a) 認証側にあるパスワードファイルの盗見によりパスワードが盗まれる。(b) 通信中、回線盗聴によってパスワードが盗まれる。
(c) 被認証者は認証者に、自分の秘密情報であるパスワードを公開する必要がある。
【0004】
最初の問題(a) を解決する方法として、例えば、被認証者が認証者に、パスワードに一方向性関数を施したデータを登録しておき、認証時に、認証者が受信したパスワードに同じ一方向性関数を施し、結果を比較するという方法(参考文献:A.Evans,W.Kantrowitz and E.Weiss:“A user authentication scheme notrequiring secrecy in the computer,” Commun. ACM, 17, 8, pp.437−442(1974)及びR.Morris and K.Thompson:“Password security: A case history,” UNIXProgrammer’s Manual , Seventh Edition , 2B(1979)) がある。
【0005】
一方向性関数とは、入力の総当たり以外に、出力から入力を得る効率的な手段が存在しない関数であり、総当たりの計算量を充分大きくしておけば、無資格者が入力データを算出して被認証者になりすますことを防止できる。一般に、一方向性関数は、DESやFEALなどの共通鍵暗号方法によって得ることができる。共通鍵暗号方法は、共通秘密鍵を用いて入力される平文を処理して暗号文を出力として得るもので、平文と暗号文が与えられても共通秘密鍵が算出できない。特にFEALでは、平文や共通秘密鍵の入力が1ビット変化しただけでも、その入力変化の痕跡をまったくとどめない出力を得ることができるという特徴を有している。
【0006】
以上説明した通り、一方向性関数を用いた方法によって、基本的なパスワード認証方法の問題(a)は解決できる。しかし、これを回線盗聴が簡単なインタネットに適用する場合、問題(b) を解決することはできない。また、問題(c)に関しては、この基本的なパスワード認証方法は、銀行の顧客認証などには適用できても、同一レベルのユーザ同士の資格認証には適していない。
【0007】
このような問題を解決する方法として、パスワード等の認証情報を可変にする資格認証方法がある。例えば、Lamport の方法(L.Lamport:“Password authentication with insecure communication,” Commun. ACM, 24,11, pp.770−772(1981)) (S/KEY型パスワード認証方式)及びこの出願の発明者が提案した動的パスワード認証方法 であるCINON法(Chained One−way Data VerificationMethod)(A.Shimizu, “ADynamic Password Authentication Method Using a One−way Function”Systtems and Computersin Japan, Vol. 22, No.7, 1991, pp.32−40)(「資格認証方法」 特公平8−2051/特許第2098267号)がある。
【0008】
Lamport の方法は、パスワードに一方向性関数を複数回適用しておいて、適用一回前のデータを次々と認証者側に示すことで、複数回の認証を可能にする方法である。この方法では、最初に設定した最大認証回数から認証を実行する毎に1を減算し、認証回数を使い尽くした時点で、パスワードを再設定する必要がある。最大認証回数を増やすために一方向性関数の適用回数を増加させると処理量が増大する。銀行の顧客認証では最大認証回数として数100〜1000等が用いられる。更に、認証者側に比較して処理能力の小さい、被認証者側の処理負担が大きいという問題点がある。
【0009】
CINON法は、被認証者(ユーザ)が認証者(ホスト)に対して、前回に正当性の検証を終え登録されている認証データのもとのデータ、次々回に認証に用いる認証データ、前回送信済みで次回の認証に用いる認証データの正当性検証データの3つのデータを認証フェーズ毎に送信することで、認証情報を安全に更新しながら次々と連鎖的に認証を行うことのできる方法である。このように、CINON法では、被認証者が認証者の認証を得るためには、前回生成した2つの乱数N(k-1),N(k)を使用する必要がある。そのため、ユーザが出先の端末から認証者の認証を得る場合には、ユーザはそれらの乱数を記憶した例えばICカードの様な記憶媒体を携帯し、出先の端末で使用しなければならない。また、端末は、乱数を発生する機能及びICカードを読み書きする機能を必要とする。一方、インタネットにおいては、テレビセットやワードプロセッサ、更に携帯端末などにインタネット接続機能を付加したインタネット家電と呼ばれる製品が市場投入されようとしている。
【0010】
このようなインタネット家電が普及してくることに伴い、認証処理を有する情報の送受信に対する需要が増大してくるものと思われるが、インタネット家電は、コストを最重視しているため、上述の乱数を発生したり、それらをICカード等の記憶媒体へ読み書きする機構を有していない場合がほとんどである。また、処理プログラムの格納領域も限られるため、このような認証処理をできるだけ簡易で小さいプログラムサイズで実現することが望まれる。
【0011】
この問題を解決するために、本出願の発明者が提案した「ユーザ認証機能を有する情報送受信制御方法」(特願平8−240190)におけるユーザ認証方式は、インターネット等のセキュリティが十分でないネットワーク上の被認証者と認証者間の情報送受信において、被認証者側にICカード等の記憶媒体の読み書きを行う機構を必要とせず、かつユーザ認証処理を小さいプログラムサイズで行うことができる安全な情報送受信制御方法と装置及びその方法を記録した記録媒体を提供することを目的としたもので、認証手順において、CINON法の改良として、各種認証データの値を一度きりのものにするために被認証ユーザと認証サーバとの間で同期をとらなくてはならないパラメータとして、認証データ生成時に用いていた乱数に代えて、認証回数を用いるようにしたことを主要な特徴とする。被認証ユーザが行わなければならない処理が上記「資格認証方法」よりもややシンプルになている。この発明においては、認証データの生成に用いる一方向性関数にDESやFEALなどの共通鍵暗号方法を用いる。しかるに、安全性は用いる一方向性関数、つまり共通鍵暗号方法の強度に依存し、乱数から認証回数に変更した影響はない。
【0012】
上記3方式における認証方法は全て可変認証情報を用いる資格認証方法である。かかる資格認証方法の重要な特徴は、インターネット等の通信路を通して被認証者から認証者に渡される認証用データは認証フェーズ毎に異なる(毎回異なる)ため、ある認証フェーズでそれが盗聴されたとしても、次の認証フェーズ(次回認証時)には別の認証データを被認証者から認証者に送らなければ認証されないので、盗聴した無資格者が正当な被認証者になりすますことができないという点である。
【0013】
【発明が解決しようとする課題】
Lamportの方法には、被認証ユーザ側での処理(計算)量が非常に大きいという問題と、被認証者が、定期的にパスワードを更新する必要があるという問題があった。
CINON法では、Lamportの方法の欠点であるパスワードの更新の必要性をなくすことができたが、被認証者および認証者における処理(計算)量が大きいという問題は依然残った。
「ユーザ認証機能を有する情報送受信制御方式」におけるユーザ認証方法は、CINON法の欠点である、被認証者における処理(計算量)を削減することができたが、被認証者と認証者の相互間の手順がやや複雑であり、認証サーバ側でユーザ対応に管理しなければならないデータが多く、実運用時には準正常系、異常系の処理手順を入念に検討しておく必要があるという問題があった。
【0014】
本発明の目的は、セキュリティが十分でないネットワーク上の被認証者を認証者に認証させるための可変認証情報を用いる資格認証方法において、認証フェーズ毎に被認証者側および認証者側で実行する処理量(計算量)を極めて少なくすることにより、被認証側にも認証側にも簡易で小さいプログラムサイズで実現可能とし、かつ、通信路上の盗聴に強い安全な認証を行える方法を提供することにある。
【0015】
【課題を解決するための手段】
被認証者が認証者に対して、被認証者が秘密に保持しているパスワードを教えることなく、自分を認証させることのできる方法で、かつ被認証者が利用する装置から認証者が利用する認証サーバへの認証依頼の度に送信する認証情報を可変とする可変認証情報を用いる資格認証方法において、初期登録フェーズでは、前記被認証者が利用する装置の一方向性情報生成機構が、被認証者の自己のユーザーIDとパスワードと前記被認証者が利用する装置の乱数生成機構により生成される乱数を基に、入力情報を算出することが計算量的に困難であるような一方向性を有する出力情報を生成する一方向性関数を用いて初回の認証データを生成する工程と、前記被認証者が利用する装置の情報送信機構が前記認証サーバの情報受信機構に対して、被認証者の自己のユーザーIDと初回の認証データを送信する工程と、前記情報受信機構が前記情報送信機構から受信した初回の認証データを初回認証時に用いる認証パラメータとして前記認証サーバの情報記録機構に登録する工程を有し、認証フェーズでは、前記被認証者が利用する装置の一方向性情報生成機構が、前記自己のユーザーIDと前記パスワードと前記乱数生成機構により生成される乱数を基に、前記一方向性関数を用いて今回の認証データ用中間データと今回の認証データと次回の認証データを生成し、今回の認証用中間データおよび次回の認証データのそれぞれに今回の認証データで排他的論理和演算することにより、今回認証用の排他的論理和及び次回認証用の排他的論理和を生成する工程と、前記情報送信機構が前記情報受信機構に対して、前記自己のユーザーID、今回認証用の排他的論理和及び次回認証用の排他的論理和を送信する工程と、前記認証サーバの一方向性情報生成機構が、前記情報受信機構が前記情報送信機構から受信した今回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和を入力情報として、前記一方向性関数を用いて被認証者の正当性確認パラメータを生成し、この正当性確認パラメータと前回登録された認証パラメータを比較し、一致した場合は認証が成立したものとし、一致しない場合は認証が不成立とする工程と、認証が成立した場合は、前記情報受信機構が、前記情報送信機構から受信した次回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和により次回認証用の認証パラメータを生成し、前回登録された認証パラメータの替わりに前記の次回認証用の認証パラメータを前記情報記録機構に登録する工程を有し、以上の工程を順次続けて被認証者の認証を行うことを特徴とする。
【0016】
すなわち、本発明は、被認証者(装置を含む)は、認証フェーズ毎に乱数を生成し、乱数、ユーザID、パスワードを基に今回の認証データと次回の認証データを一方向性関数を用いて算出し、これをさらに排他的論理和を用いて被認証者以外は解読できないように暗号化し、これらを被認証者自身のユーザIDと合わせて認証者(サーバ等の装置を含む)に送信し、また、認証者は、被認証者から前述の3つの情報を受信し、今回の認証データを基に一方向性関数を用いて算出した正当性確認パラメータと前回の認証フェーズにおいて登録した認証パラメータと比較し、一致したら今回の認証が成立したと判断し、次回の認証データを次回の認証パラメータとして登録するものである。
【0017】
これにより、本発明は、(1)前記の従来技術において1回の認証処理実行時に、被認証者と認証者との間で行われる認証関連情報の授受が、被認証者からみて1往復半(計3回の送受信)以上必要であったのが、被認証者が認証者に対して1回の送信のみですむようになった、(2)前記の従来技術において認証者が被認証者毎に管理している認証関連データが4以上あったのに対して、本方式ではわずか1のデータのみですむようになった、(3)認証フェーズ毎に被認証者側および認証者側で排他的論理和演算以外の暗号化又は複合処理が認証側で2回、被認証者側で4回と少なくなった、ことにより被認証者および認証者が実行する処理量(計算量)を極めて少なくすることができるという主要な効果を有する。
【0018】
また、一方向性関数としてDES,FEALなどの秘密鍵暗号方式に用いる関数を用いるのが好適である。認証情報の解読が不可能であり、さらに、FEALは高速暗号処理を実現している。
【0019】
【発明の実施の形態】
【実施例1】
本発明による可変認証情報を用いる資格認証方法の説明に先だって、まず一方向性関数について説明する。一方向性関数とは、入力データのしらみ潰し以外に、出力データから入力データを逆算する有効な方法のない関数をいう。DES、FEALなどの秘密鍵暗号アルゴリズムを用いて、このような性質を実現できる。特に、FEALは、16ビットのパーソナルコンピュータ上のソフトウェアで200Kbps、LSIとして96Mbps(クロック10MHz)の暗号化処理速度を実現しているすぐれた秘密鍵暗号方式である。
【0020】
秘密鍵暗号アルゴリズムをC=E(PA,SB)で表す。Eは一方向性関数(秘密鍵暗号化処理関数、第2パラメータが秘密鍵)で、Cは暗号文、PAは平文、SBは秘密鍵である。PAを平文、SBを入力情報、Cを出力情報とすると、平文PAと出力情報Cが分かっていても入力情報SBを逆算できない。
【0021】
続いて本発明の資格認証方法の実施例を説明する。本発明の認証方法のデータの流れを図1ないし図3に示す。図1は初期登録フェーズ、図2は初回認証フェーズ、図3はk回目認証フェーズのデータの流れを示す。データは上から下に又は矢印に沿って流れる。図及び以下の説明において、一方向演算C=E(PA,SB)をC←E(PA,SB)のように表す。また、排他的論理和演算子を@で表す。
【0022】
図4は本発明の資格認証方法を実現する機能ブロックの実施例を示す。図4において、1は認証制御機構、2は被認証制御機構、3は公開簿、4は秘密情報入力機構、5は乱数生成機構、6は一方向性情報生成機構、7は乱数記録機構、8は情報送信機構、9は情報受信機構、10は情報記録機構、11は情報比較機構、12は演算機構である。本実施例では、認証者UAを認証サーバ、被認証者UBを被認証ユーザとし、その認証手順を示す。被認証ユーザUBはPAとして公開された自己のユーザID=Aを持ち、自分のみで秘密に管理するパスーワードSを持つものとし、SBとしてパスーワードSと乱数との排他的論理和を用いるものとする。
【0023】
本実施例における認証方法は、大きく分けて、初期登録フェーズとその後の認証フェーズの2つのフェーズから成り立つ。認証フェーズは第1回目、第2回目、第3回目…と順次繰り返される。認証サーバUAの認証制御は認証制御機構1が行う。また、被認証ユーザUBの被認証制御は被認証制御機構2が行う。また、上記ユーザID Aは公開簿3に登録されている。
【0024】
[初期登録フェーズ]
まず、初期登録フェーズについて説明する。
▲1▼被認証ユーザUB側(演算処理)
パスワードSは秘密情報入力機構4によって取り込まれる。自分のユーザIDとしてPA=Aを用いる。N(0)を乱数生成機構5によって任意に設定し、乱数記録機構7によって記録しておく。一方向性情報生成機構6によって以下のデータを算出する。一方向性関数として秘密鍵暗号化処理関数Eを用いる。
まず、初回の認証用中間データ E(0)←E(A,S@N(0))を生成し、
更に、初回の認証データ E2 (0)←E(A,E(0))を生成する。
【0025】
▲2▼被認証ユーザUB側(送信処理)
以上の準備をした上で、情報送信機構8によって認証サーバUAに以下のデータを送信し、登録を依頼する。この場合、盗聴の恐れのないセキュアルート(安全なルート)により送信する。
ユーザID A,初回の認証データ E2 (0)
【0026】
▲3▼認証サーバUA側(受信、登録処理)
情報受信機構9でユーザID Aおよび初回の(次回の)認証データE2 (0)を受信し、受信したデータE2 (0)を情報記録機構10で初回の認証パラメータ(認証パラメータ初期値)Zとして記憶(登録)する。
【0027】
[認証フェーズ]
次に、認証フェーズについて説明する。
まず、初回(k=1)の認証手順について説明する。▲1▼被認証ユーザUB側(演算処理)
乱数生成機構5によりN1を任意に設定し、乱数記録機構7に記憶させる。
次に、一方向性情報生成機構6によって以下のデータを算出する。
次回の認証用中間データ E(1)←E(A,S@N(1))を生成し、
更に、次回の認証データ E2 (1)←E(A,E(1))を生成する。
次に、初期登録フェーズで乱数記録機構7に記憶させたN(0)を使って、
今回の認証用中間データ E(0)←E(A,S@N(0))を生成し、
更に、今回の認証データ E2 (0)←E(A,E(0))を生成する。
次に、演算機構12によって以下のデータを算出する。
今回認証用の排他的論理和 F(0)=E(0)@E2 (0)を算出し、
更に、次回認証用の排他的論理和 G(1)=E2 (1)@E2 (0)を算出する。
【0028】
▲2▼被認証ユーザUB側(送信処理)
情報送信機構8によって認証サーバUAに以下のデータを送信する。
ユーザID A,今回認証用の排他的論理和F(0),次回認証用の排他的論理和G(1)
この時、送信データは被認証者以外は解読できないように暗号化されているので、インターネットのような盗聴の恐れのあるルート(一般ルート)を用いてもよい。
【0029】
▲3▼認証サーバUA側(受信、認証処理)
ユーザID A,今回認証用の排他的論理和F(0),次回認証用の排他的論理和G(1)を受信し、
次に、正当性確認用中間パラメータXを、演算機構12にて以下の演算により生成する。
X=F(0)@Z
ここで、Z=E2 (0)は初期登録フェーズで情報記録機構10に登録された認証パラメータである。この排他的論理和演算処理において、F(0)=E(0)@E2 (0)が正当な被認証ユーザUBから受信したものであれば、演算結果はX=E(0)になるはずである。 次に、正当性確認パラメータYを一方向性情報生成機構6にて以下の演算により生成する。
Y←E(A,X)
もし、正当性確認パラメータYと初期登録フェーズで記憶(登録)された認証パラメータZ=E2 (0)が一致すれば、今回の認証が成立したことになり、一致しなければ認証は不成立となる。
【0030】
▲4▼認証サーバUA側(登録処理)
認証が成立した場合には、次回の認証パラメータZ’を演算機構12にて以下の演算により生成する。以下、認証パラメータZ,Z’について、受信データをもとに演算して得られたものをZ’、登録されたものをZと切り分けて用いる。
Z’=G(1)@Z
ここで、Z=E2 (0)は初期登録フェーズで情報記録機構10に登録された認証パラメータであり、G(1)=E2 (1)@E2 (0)は被認証ユーザUBから受信したデータである。既に認証が成立しているため、G(1)はユーザID=Aの被認証ユーザから正当に受信したものであり、演算結果はZ’=E2 (1)になるはずである。
最後に、Z’=E2 (1)を、次回すなわち第2回目の認証で用いる認証パラメータZとして情報記録機構10に記憶(登録)する。
認証が不成立の場合には、認証パラメータZは不変である。
【0031】
一般に、第k回目(kは正整数)の認証手順は以下の通りである。
▲1▼被認証ユーザUB側(演算処理)
乱数生成機構5によりN(k)を任意に設定し、乱数記録機構7に記憶させる。一方向性情報生成機構6によって以下のデータを算出する。
次回の認証用中間データ E(k)←E(A,S@N(k))を生成し、
更に、次回の認証データ E2 (k)←E(A,E(k))を生成する。
次に、前回の認証フェーズで乱数記録機構7に記憶させたN(k-1)を使って、
今回の認証用中間データ E(k-1)←E(A,S@N(k-1))を生成し、
更に、今回の認証データ E2 (k-1)←E(A,E(k-1))を生成する。
次に、演算機構12によって以下のデータを算出する。
今回認証用の排他論理和 F(k-1)=E(k-1)@E2 (k-1)を算出し、
更に、次回認証用の排他論理和 Gk=E2 (k)@E2 (k-1)を算出する。
【0032】
▲2▼被認証ユーザUB側(送信処理)
情報送信機構8によって認証サーバUAに以下のデータを送信する。
ユーザID A,今回認証用の排他論理和F(k-1),次回認証用の排他論理和G(k)
この時、送信データは被認証者以外は解読できないように暗号化されているので、インターネットのような盗聴の恐れのあるルート(一般ルート)を用いてもよい。
【0033】
▲3▼認証サーバUA側(受信、認証処理)
ユーザID A,今回認証用の排他論理和F(k-1),次回認証用の排他論理和G(k)を受信し、
次に、正当性確認用中間パラメータXを演算機構12にて以下の演算により生成する。
X=F(k-1)@Z
ここで、Z=E2 (k-1)は前回の認証フェーズで情報記録機構10に登録された認証パラメータを用いる。この排他的論理和演算処理において、F(k ― 1)が正当な被認証ユーザUBから受信したものであれば、演算結果はX=E(k-1)になるはずである。 次に、正当性確認パラメータYを一方向性情報生成機構6にて以下の演算により生成する。
Y←E(A,X)
もし、正当性確認パラメータYと前回の認証フェーズで登録された認証パラメータZ=E2 (k-1)が一致すれば、今回の認証が成立したことになり、一致しなければ認証は不成立となる。
【0034】
▲4▼認証サーバUA側:
認証が成立した場合には、次回の認証パラメータZ’を演算機構12にて以下の演算により生成する。
Z’=G(k)@Z
ここで、Z=E2 (k-1)は前回の認証フェーズで情報記録機構10に登録された認証パラメータであり、G(k)=E2 (k)@E2 (k-1)は被認証ユーザUBから受信したデータである。既に認証が成立しているため、G(k)はユーザID=Aの被認証ユーザから正当に受信したものであり、演算結果はZ’=E2 (k)になるはずである。
最後に、Z’=E2 (k)を、ユーザID=Aの被認証ユーザが次回の認証で用いる新たな認証パラメータZとして情報記録機構10に記憶(登録)する。
認証が不成立の場合には、認証パラメータZは不変である。
以上の認証フェーズをk=1,2,3,…と順次続けて、被認証者のパスワードの認証を行う。
【0035】
本実施例による資格認証方法の効果は、次のようである。
第k回目の認証フェーズで、被認証ユーザUBが認証サーバUAに送信する今回認証用の排他論理和F(k-1)および次回認証用の排他論理和G(k)は、一方向性関数を用いて生成したE2 (k-1)との排他的論理和演算により一種の暗号化が施されているため、第3者に不正に盗聴されても実データを解読することはできない。
【0036】
第k回目の認証フェーズで、認証サーバUAが被認証ユーザUBから受信した今回認証用の排他論理和F(k-1)および次回認証用の排他論理和G(k)は、それぞれ認証パラメータZ=E2 (k-1)との排他的論理和演算により一種の暗号化が施されているが、E2 (k-1)は、前回認証フェーズ(k=1の場合は初期登録フェーズ)において認証サーバUAに既に登録されているものであるため、E2 (k-1)と再度排他的論理和演算することによって極めて簡単に、正当性認証用中間パラメータX=E(k-1)と次回の認証パラメータZ=E2 (k)を復号することができる。排他的論理和演算は演算処理負荷が最もシンプルな一方向性関数の一つであり、かつ、2度演算すると元のデータを復元できるという特徴を持つ。
【0037】
認証サーバ側において、被認証ユーザ毎に記憶(管理)しておかなければならないデータは、上記の認証パラメータZ=E2 (k-1)のわずか1つだけであり、認証フェーズ毎に認証サーバ内で実行しなくてはならない排他的論理和演算以外の復号処理(一方向性関数の使用)はわずか2回(正当性認証パラメータY,認証パラメータZの生成)であり、処理負荷を極めて軽くすることができる。
【0038】
被認証ユーザ側において、認証フェーズ毎に実行しなくてはならない排他的論理和演算以外の暗号化処理(一方向性関数の使用)は4回(今回の認証用中間データE(k-1),今回の認証データE2 (k-1),次回の認証用中間データE(k),次回の認証データE2 (k))であり、処理負荷は十分に軽くてすむ。
【0039】
被認証ユーザと認証サーバの相互間で行われる情報授受の回数は、認証フェーズ毎に、被認証ユーザから認証サーバへの送信が1回のみであるため、通信セッション(コネクション)の状態が不安定なネットワークにおいても確実に認証処理を行うことができる。
【0040】
【実施例2】
実施例1では、第k回目の認証フェーズで、被認証ユーザUB側で、乱数生成機構5によりN(k)を任意に設定し、乱数記録機構7に記憶させることになっているが、本実施例では、N(k)に代えて、E(k)およびE2 (k)を記憶しておく。
これにより、認証フェーズ毎に被認証ユーザUB側で実行しなくてはならない排他的論理和演算以外の暗号化処理をわずか2回に削減することができる。
【0041】
以上の手順では、登録フェーズで認証者が記憶する初回認証データはE2 (0)であるが、安全性をより高めるために、一方向性関数を利用する回数を増やし、E2 (0)の代わりに初回認証データとして、Z(0)=E3 (0)←E(A,E2 (0))を記憶させ、
第k回目の認証フェーズでは、被認証者は認証者に対してユーザID A、今回認証用の排他的論理和F(k-1)=E2 (k-1)@E3 (k-1)、次回認証用の排他的論理和G(k)=E3 (k)@E3 (k-1)(ここにE2 (k-1)は今回認証用中間データ、E3 (k-1)は今回の認証データ、E3 (k)は次回の認証データである。)を送り、それを受信した認証者は、記憶していた認証パラメータZ=E3 (k-1)から今回認証用中間データE2 (k-1)と次回の認証データE3 (k)を復元し、得られたE2 (k-1)とユーザID Aから正当性確認パラメータY=E3 (k-1)を生成して、記憶していた認証パラメータZ=E3 (k-1)と比較することで認証し、認証成立した場合にはE3 (k)を次回認証パラメータZとして記憶するいう手順を採ることも可能である。または、ユーザID A、今回認証用の排他的論理和F(k-1)=E(k-1)@E3 (k-1)、次回認証用の排他的論理和G(k)=E3 (k)@E3 (k-1)を送り(ここにE(k-1)は今回認証用中間データ、E3 (k-1)は今回の認証データ、E3 (k)は次回の認証データである。)、それを受信した認証者は、記憶していた認証パラメータZ=E3 (k-1)から今回認証用中間データE(k-1)とユーザID Aから正当性確認パラメータY=E3 (k-1)を生成して、記憶していたZ=E3 (k-1)と比較することで認証し、認証成立した場合にはE3 (k)を次回認証データとして記憶するいう手順を採ることも可能である。
さらに、登録フェーズで認証者に記憶させる初回認証データを、E4 (0)=E(A,E3 (0))やE5 (0)=E(A,E4 (0))などとする手順も可能である。
【0042】
以上の実施例では、認証サーバUAと被認証ユーザUBとの間の資格認証方法について説明したが、インターネット利用者同士の資格認証にも本発明を適用できる。その他、本発明の趣旨を逸脱しない範囲で種々の変更が可能なことはいうまでもない。
【0043】
【発明の効果】
以上説明したように、本発明による可変認証情報を用いる資格認証方法は、被認証側が認証側に対して送信するデータは一方向性関数を用いて算出し、これをさらに排他的論理和を用いて被認証者以外は解読できないように暗号化しているので、自分の秘密情報を相手に示すことなく、さらに使い捨てでない資格認証方式を実現できる。また、不正行為者が通信中の認証情報を自分に都合のいいものに改ざんしたとしても、その正当性を保証できないので次回の認証は受けられない。
【0044】
また、実施例で示した認証手順では、認証される側の一方向性情報生成処理は、一回の認証につき2〜4回で済む。これはLamportの方式の数100〜1000回に比べて著しく小さい。また、CINON法においても1回の認証処理実行時に、被認証者と認証者との間で行われる認証関連情報の授受が、被認証者からみて1往復半(計3回の送受信)必要であったのが、本発明では被認証者から認証者に対する1回の送信のみですむようになった。
【0045】
さらに、従来技術において認証者が被認証者毎に管理している認証関連情報が4種類あったのに対して、本方式ではわずか1の情報のみですむようになった。
【0046】
このように、本発明は、特に、認証フェーズ毎に被認証者側および認証者側で実行する処理量(計算量)を極めて少なくすることができる。したがって、セキュリティが十分でないネットワーク上の被認証者を認証者に認証させるための認証方法として、被認証側にも認証側にも簡易で小さいプログラムサイズで実現可能な処理しかさせず、かつ、通信路上の盗聴に強い安全な認証を行える方法を提供することができる。
【0047】
本発明の可変認証情報を用いる資格認証方法は、ネットワーク、通信、コンピュータシステムにおけるあらゆる状況の資格認証に適用することができる。例えば、認証される側の処理量が少なく済むため、ICカードの認証システムに適用することができる。これを応用して、ICカード電話機などのシステムに適用できる。また、ネットワーク上の同一レベルのユーザ同士の相互認証に適用できる。データベースの情報へのアクセス資格の認証へ適用できる。さらに、利害関係の異なるユーザグループが同一のLAN上に共存しているような場合の、それぞれのグループの情報へのアクセス資格の認証への適用も可能である。この場合には、かなりの高速性が要求されるので、一方向性変換処理を実現する秘密鍵暗号はLSIを用いることが必要である。
【図面の簡単な説明】
【図1】本発明における資格認証方法(初期登録フェーズ)の実施例を示す図である。
【図2】本発明における資格認証方法(初回認証フェーズ)の実施例を示す図である。
【図3】本発明における資格認証方法(k回目認証フェーズ)の実施例を示す図である。
【図4】本発明における機能ブロックの実施例を示す図である。
【符号の説明】
1 認証制御機構
2 被認証制御機構
3 公開簿
4 秘密情報入力機構
5 乱数生成機構
6 一方向性情報生成機構
7 乱数記録機構
8 情報送信機構
9 情報受信機構
10 情報記録機構
11 情報比較機構
12 演算機構
A ユーザID
C 出力情報
E 一方向性関数(秘密鍵暗号化処理関数、第2パラメータが秘密鍵)
E2 (k-1) 今回認証用データ
E2 (k) 次回認証用データ
F(k-1) 今回認証用の排他論理和
G(k) 次回認証用の排他論理和
N(k) 乱数
PA 平文
S パスワード
SB 入力情報(秘密鍵)
UA 認証者(装置を含む)
UB 被認証者(装置を含む)
X 正当性確認用中間パラメータ
Y 正当性確認パラメータ
Z 認証パラメータ(登録されたもの)
Z’ 次回の認証パラメータ(受信データをもとに演算して得られたもの)
Claims (2)
- 被認証者が認証者に対して、被認証者が秘密に保持しているパスワードを教えることなく、自分を認証させることのできる方法で、かつ被認証者が利用する装置から認証者が利用する認証サーバへの認証依頼の度に送信する認証情報を可変とする可変認証情報を用いる資格認証方法において、
初期登録フェーズでは、
前記被認証者が利用する装置の一方向性情報生成機構が、被認証者の自己のユーザーIDとパスワードと前記被認証者が利用する装置の乱数生成機構により生成される乱数を基に、入力情報を算出することが計算量的に困難であるような一方向性を有する出力情報を生成する一方向性関数を用いて初回の認証データを生成する工程と、
前記被認証者が利用する装置の情報送信機構が前記認証サーバの情報受信機構に対して、被認証者の自己のユーザーIDと初回の認証データを送信する工程と、
前記情報受信機構が前記情報送信機構から受信した初回の認証データを初回認証時に用いる認証パラメータとして前記認証サーバの情報記録機構に登録する工程を有し、
認証フェーズでは、
前記被認証者が利用する装置の一方向性情報生成機構が、前記自己のユーザーIDと前記パスワードと前記乱数生成機構により生成される乱数を基に、前記一方向性関数を用いて今回の認証データ用中間データと今回の認証データと次回の認証データを生成し、今回の認証用中間データおよび次回の認証データのそれぞれに今回の認証データで排他的論理和演算することにより、今回認証用の排他的論理和及び次回認証用の排他的論理和を生成する工程と、
前記情報送信機構が前記情報受信機構に対して、前記自己のユーザーID、今回認証用の排他的論理和及び次回認証用の排他的論理和を送信する工程と、
前記認証サーバの一方向性情報生成機構が、前記情報受信機構が前記情報送信機構から受信した今回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和を入力情報として、前記一方向性関数を用いて被認証者の正当性確認パラメータを生成し、この正当性確認パラメータと前回登録された認証パラメータを比較し、一致した場合は認証が成立したものとし、一致しない場合は認証が不成立とする工程と、
認証が成立した場合は、前記情報受信機構が、前記情報送信機構から受信した次回認証用の排他的論理和と前回登録された認証パラメータとの排他的論理和により次回認証用の認証パラメータを生成し、前回登録された認証パラメータの替わりに前記の次回認証用の認証パラメータを前記情報記録機構に登録する工程を有し、
以上の工程を順次続けて被認証者の認証を行うことを特徴とする可変認証情報を用いる資格認証方法。 - 前記一方向性関数としてDES,FEALなどの秘密鍵暗号方式に用いる関数を用いることを特徴とする請求項第1項記載の可変認証情報を用いる資格認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20732599A JP3746919B2 (ja) | 1999-07-22 | 1999-07-22 | 可変認証情報を用いる資格認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20732599A JP3746919B2 (ja) | 1999-07-22 | 1999-07-22 | 可変認証情報を用いる資格認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001036522A JP2001036522A (ja) | 2001-02-09 |
| JP3746919B2 true JP3746919B2 (ja) | 2006-02-22 |
Family
ID=16537900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP20732599A Expired - Lifetime JP3746919B2 (ja) | 1999-07-22 | 1999-07-22 | 可変認証情報を用いる資格認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3746919B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2387999B (en) * | 2002-04-24 | 2004-03-24 | Richard Mervyn Gardner | Sequential authentication with infinitely variable codes |
| JP4697583B2 (ja) * | 2005-03-02 | 2011-06-08 | 琢晃 伊藤 | 個人情報の漏洩を回避した個人認証システム |
| CN1905446A (zh) * | 2005-07-26 | 2007-01-31 | 国际商业机器公司 | 管理多个验证的基于客户机的方法和系统 |
| EP2858003B1 (en) * | 2012-05-29 | 2018-10-10 | Toyota Jidosha Kabushiki Kaisha | Authentication system and authentication method |
| JP2021093063A (ja) * | 2019-12-12 | 2021-06-17 | 学校法人 名城大学 | 情報処理装置、認証システム、情報処理方法、および認証方法 |
-
1999
- 1999-07-22 JP JP20732599A patent/JP3746919B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001036522A (ja) | 2001-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
| US6189098B1 (en) | Client/server protocol for proving authenticity | |
| US8583928B2 (en) | Portable security transaction protocol | |
| US8775794B2 (en) | System and method for end to end encryption | |
| US9185111B2 (en) | Cryptographic authentication techniques for mobile devices | |
| US20060036857A1 (en) | User authentication by linking randomly-generated authentication secret with personalized secret | |
| US8971540B2 (en) | Authentication | |
| CN102026195B (zh) | 基于一次性口令的移动终端身份认证方法和系统 | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| US20150244525A1 (en) | Authentication | |
| US9106644B2 (en) | Authentication | |
| US20020166048A1 (en) | Use and generation of a session key in a secure socket layer connection | |
| EP2598984A1 (en) | System and method for generating a strong multi factor personalized server key from a simple user password | |
| Chakrabarti et al. | Password-based authentication: Preventing dictionary attacks | |
| JP2002208925A (ja) | 可変認証情報を用いる資格認証方法 | |
| JP2003152716A (ja) | 可変認証情報を用いる資格認証方法 | |
| CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 | |
| JPH08335208A (ja) | 代理認証方法及びシステム | |
| JP3746919B2 (ja) | 可変認証情報を用いる資格認証方法 | |
| Srinivas et al. | An authentication framework for roaming service in global mobility networks | |
| Davaanaym et al. | A ping pong based one-time-passwords authentication system | |
| Mishra et al. | Authenticated content distribution framework for digital rights management systems with smart card revocation | |
| JP2002063139A (ja) | 端末装置、サーバ装置および端末認証方法 | |
| JP6165044B2 (ja) | 利用者認証装置、システム、方法及びプログラム | |
| JPH04213243A (ja) | 利用者認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050714 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050714 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051125 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3746919 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081202 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081202 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111202 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141202 Year of fee payment: 9 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |