JP5238045B2 - Secure authentication channel - Google Patents

Secure authentication channel Download PDF

Info

Publication number
JP5238045B2
JP5238045B2 JP2011020831A JP2011020831A JP5238045B2 JP 5238045 B2 JP5238045 B2 JP 5238045B2 JP 2011020831 A JP2011020831 A JP 2011020831A JP 2011020831 A JP2011020831 A JP 2011020831A JP 5238045 B2 JP5238045 B2 JP 5238045B2
Authority
JP
Japan
Prior art keywords
key
ephemeral
public key
certificate
hash value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011020831A
Other languages
Japanese (ja)
Other versions
JP2011109709A (en
Inventor
ピエール アンドロー,ジャン
デュラン,アラン
シルヴァン,トマ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Priority to JP2011020831A priority Critical patent/JP5238045B2/en
Publication of JP2011109709A publication Critical patent/JP2011109709A/en
Application granted granted Critical
Publication of JP5238045B2 publication Critical patent/JP5238045B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、一般にセキュア認証チャネルに関し、より詳細には、デジタルテレビシステムなどにおけるデジタルコンテンツのプロテクションのための当該チャネルを確立するためのセッションキーの計算に関する。   The present invention relates generally to secure authentication channels, and more particularly to the calculation of session keys for establishing such channels for the protection of digital content, such as in digital television systems.

暗号化の分野において周知であるセキュア認証チャネルは、2つの互いに認証した装置(しばしばピアと呼ばれる)が情報を秘密にやりとりすることを可能にするため確立される。セキュア認証チャネルは、好ましくは、以下の特性を有するべきである。
・ピアの相互認証
・キー確認 すなわち、共通の秘密が確立され、少なくとも1つのピアが、実際に秘密が共通であることを証明することが可能である。
・フォワード秘匿性(forward secrecy) すなわち、古いセッションキーは、長期間秘密キー(認証秘密キーなど)が知られているときでさえ計算できない。 A secure authentication channel, well known in the field of encryption, is established to allow two mutually authenticated devices (often called peers) to exchange information in a secret manner. The secure authentication channel should preferably have the following characteristics:
Peer mutual authentication key verification ie a common secret is established and at least one peer can prove that the secret is actually common.
Forward secrecy, ie old session keys cannot be calculated even when secret keys (such as authentication secret keys) are known for a long time.

これらの特性は、形式的には数学的に証明可能であり、所与の暗号化プロトコルについて上記特性の1つを回避する方法が存在する場合、プロトコル全体が比較的容易に破られるかもしれない。   These properties are formally mathematically provable, and if there is a way around one of the above properties for a given cryptographic protocol, the entire protocol may be broken relatively easily .

数年間に、暗号コミュニティは、セキュア認証チャネルについて多数のプロトコルを提案してきた。これらのチャネルのいくつかしか、上記特性を充足することが証明されていない。   Over the years, the cryptographic community has proposed a number of protocols for secure authentication channels. Only some of these channels have been proven to satisfy the above characteristics.

求められる特性をチャネルに提供するプロトコルはすべて、いくつかの異なる暗号プリミティブ、すなわち、少なくとも1つの非対称プリミティブ(非対称暗号化又はデジタルシグネチャなど)、ハッシュ関数、メッセージ認証コード(MAC)、及び上記のいくつかにおける対称暗号化などの他のプリミティブを利用する。これらのプロトコルによる問題点は、それらがリソースをとても消費するものであり、スマートカードなどの携帯セキュリティモジュールなどの限られた計算能力しか有しない装置において実現するには困難であるということである。他の問題点は、多数の暗号プリミティブの使用はプロトコルがセキュアであることを証明することを困難にするということである。   All protocols that provide the required characteristics to the channel are several different cryptographic primitives: at least one asymmetric primitive (such as asymmetric encryption or digital signature), hash function, message authentication code (MAC), and some of the above Use other primitives such as symmetric encryption in The problem with these protocols is that they are very resource consuming and difficult to implement in devices that have limited computing power, such as portable security modules such as smart cards. Another problem is that the use of multiple cryptographic primitives makes it difficult to prove that the protocol is secure.

本発明は、要求される特性を有し、特に限られた計算能力しか有しない装置における実現に適したセキュアアクセスチャネルプロトコルを提供する。   The present invention provides a secure access channel protocol suitable for implementation in a device having the required characteristics and in particular having limited computational power.

本記載を通じて、暗号化は成熟した技術であるため、基本的コンセプトは周知であるということが仮定される。これらのコンセプトは、簡単化のため、本発明の理解に必要となるもの以上は説明されない。   Throughout this description, it is assumed that the basic concept is well known since encryption is a mature technology. These concepts are not explained beyond what is necessary for understanding the present invention for the sake of simplicity.

本発明の課題は、要求される特性を有し、特に限られた計算能力しか有しない装置における実現に適したセキュアアクセスチャネルプロトコルを提供することである。   The object of the present invention is to provide a secure access channel protocol suitable for implementation in a device having the required characteristics and in particular having only limited computational power.

第1の特徴では、本発明は、第1及び第2装置(11,21)に共通のセッションキーを計算する方法に関する。第1装置は、パブリックキー(g)と自らに対応するアイデンティティ(ID)とから構成される証明書(C)を有し、自らの対応するアイデンティティ(ID)と、プライベートキー(a)と、パブリックキー(g)とを知っている。第2装置は、対応する証明書及び知識を有する。第1装置は、第1エフェメラルプライベートキー(x)を選択し、第1エフェメラルパブリックキー(g)を計算し、それの証明書(C)と第1エフェメラルパブリックキー(g)とを第2装置に送信する。第1装置の証明書(C)と第1エフェメラルパブリックキー(g)とを受信すると、第2装置は、第1装置の証明書(C)を検証し、第2エフェメラルプライベートキー(y)を選択し、第2エフェメラルパブリックキー(g)を計算し、第1エフェメラルパブリックキー(g)と第2エフェメラルプライベートキー(y)とからエフェメラル共有キー(Keph)を計算し、第1装置のパブリックキー(g)と自らのプライベートキー(b)とからパーマネントキー(Kperm)を計算し、第2エフェメラルパブリックキー(g)と、エフェメラル共有キー(Keph)と、パーマネントキー(Kperm)と、自らに対応するアイデンティティ(ID)とから第1の値(H(g,Keph,Kperm,ID))を計算し、それの証明書(C)と、第2エフェメラルパブリックキー(g)と、第1の値(H(g,Keph,Kperm,ID))とを第1装置に送信する。第2装置の証明書(C)と、第2エフェメラルパブリックキー(g)と、第1の値(H(g,Keph,Kperm,ID))とを第2装置から受信すると、第1装置は、第2装置の証明書(C)を検証し、第2エフェメラルパブリックキー(g)と第1エフェメラルプライベートキー(x)とからエフェメラル共有キー(Keph)を計算し、第1装置のパブリックキー(g)と自らのプライベートキー(a)とからパーマネントキー(Kperm)を計算し、第1の値(H(g,Keph,Kperm,ID))を検証し、第1エフェメラルパブリックキー(g)と、エフェメラル共有キー(Keph)と、パーマネントキー(Kperm)と、自らに対応するアイデンティティ(ID)とから第2の値(H(g,Keph,Kperm,ID))を計算し、第2の値(H(g,Keph,Kperm,ID))を第2装置に送信する。第2の値(H(g,Keph,Kperm,ID))を受信すると、第2装置は、第2の値(H(g,Keph,Kperm,ID))を検証し、エフェメラル共有キー(Keph)の関数としてセッションキー(Ksess)を計算する。第1装置はまた、エフェメラル共有キー(Keph)の関数としてセッションキー(Ksess)を計算する。 In a first aspect, the present invention relates to a method for calculating a session key common to first and second devices (11, 21). The first device has a certificate (C a ) composed of a public key (g a ) and an identity (ID a ) corresponding to the public key (g a ), and the corresponding identity (ID a ) and private key (ID a ) and a), we know the public key (g a). The second device has a corresponding certificate and knowledge. The first device selects a first ephemeral private key (x), first ephemeral public key (g x) is calculated, its certificate and (C a) and the first ephemeral public key (g x) Transmit to the second device. Upon receiving the first device's certificate (C a ) and the first ephemeral public key (g x ), the second device verifies the first device's certificate (C a ) and the second ephemeral private key ( y), calculate a second ephemeral public key (g y ), calculate an ephemeral shared key (K eph ) from the first ephemeral public key (g x ) and the second ephemeral private key (y), A permanent key (K perm ) is calculated from the public key (g a ) of the first device and its private key (b), a second ephemeral public key (g y ), an ephemeral shared key (K eph ), a permanent key (K perm), a first value from the identity (ID b) corresponding to itself (H (g y, K eph , K erm, ID b)) is calculated and its certificate (C b), the second ephemeral public key (g y), the first value (H (g y, K eph , K perm, ID b) ) To the first device. Receive the second device certificate (C b ), the second ephemeral public key (g y ), and the first value (H (g y , K eph , K perm , ID b )) from the second device. Then, the first device verifies the certificate (C b ) of the second device, and calculates the ephemeral shared key (K eph ) from the second ephemeral public key (g y ) and the first ephemeral private key (x). Then, a permanent key (K perm ) is calculated from the public key (g y ) of the first device and its own private key (a), and the first value (H (g y , K eph , K perm , ID b )), The first ephemeral public key (g x ), the ephemeral shared key (K eph ), the permanent key (K perm ), and the identity (ID a ) A second value from the (H (g x, K eph , K perm, ID a)) to the calculated second value (H (g x, K eph , K perm, ID a)) of the second Send to device. Upon receiving the second value (H (g x , K eph , K perm , ID a )), the second device receives the second value (H (g x , K eph , K perm , ID a )). verification, and to calculate the session key (K sess) as a function of the ephemeral shared key (K eph). The first device also calculates the session key (K sess) as a function of the ephemeral shared key (K eph).

第2の特徴では、本発明は、第2装置(21)と共にセッションキーの計算に参加する第1装置(11)に関する。第1装置は、パブリックキー(g)と自らに対応するアイデンティティ(ID)とから構成される証明書を有し、自らに対応するアイデンティティ(ID)と、プライベートキー(a)と、パブリックキー(g)とを知っている。第1装置は、エフェメラルプライベートキー(x)を選択し、第1エフェメラルパブリックキー(g)を計算し、パブリックキー(g)と第2装置のアイデンティティ(ID)とから構成されるそれの証明書(C)と、第1エフェメラルパブリックキー(g)とを第2装置に送信し、第2装置(C)の証明書と、第2エフェメラルパブリックキー(g)と、第2エフェメラルパブリックキー(g)、エフェメラル共有キー(Keph)、パーマネントキー(Kperm)、及び第2装置に対応するアイデンティティ(ID)とから計算される第1の値(H(g,Keph,Kperm,ID))とを第2装置から受信し、第2装置の証明書(C)を検証し、第2エフェメラルパブリックキー(g)とエフェメラルプライベートキー(x)とからエフェメラル共有キー(Keph)を計算し、第1装置のパブリックキー(g)と自らのプライベートキー(a)とからパーマネントキー(Kperm)を計算し、第1の値(H(g,Keph,Kperm,ID))を検証し、第1エフェメラルパブリックキー(g)と、エフェメラル共有キー(Keph)と、パーマネントキー(Kperm)と、自らに対応するアイデンティティ(ID)とから第2の値(H(g,Keph,Kperm,ID))を計算し、第2の値(H(g,Keph,Kperm,ID))を第2装置に送信し、エフェメラル共有キー(Keph)の関数としてセッションキー(Ksess)を計算するプロセッサ(12)を有する。 In a second aspect, the invention relates to a first device (11) that participates in a session key calculation together with a second device (21). The first device has a a certificate from the identity (ID a) corresponding to themselves and the public key (g a), the identity (ID a) corresponding to themselves, the private key (a), We know the public key (g a). The first device selects an ephemeral private key (x), calculates a first ephemeral public key (g x ), and consists of the public key (g b ) and the identity of the second device (ID b ) a certificate (C a), and a first ephemeral public key (g x) transmitted to the second device, and the certificate of the second device (C b), the second ephemeral public key (g y), A first value (H (g) calculated from the second ephemeral public key (g y ), the ephemeral shared key (K eph ), the permanent key (K perm ), and the identity (ID b ) corresponding to the second device. y, K eph, K perm, ID b)) receives a from the second device, the certificate of the second device (C b) verifies, the second ephemeral public key g y) and the ephemeral calculates a private key (x) from the ephemeral shared key (K eph), the public key of the first device (g b) and permanent key because his private key and (a) (K perm) Calculate and verify the first value (H (g y , K eph , K perm , ID b )), first ephemeral public key (g x ), ephemeral shared key (K eph ), permanent key ( K perm ) and the identity (ID a ) corresponding to itself, the second value (H (g x , K eph , K perm , ID a )) is calculated, and the second value (H (g x , K eph, flop transmits K perm, the ID a)) to the second device calculates the session key (K sess) as a function of the ephemeral shared key (K eph) Processor with a (12).

第3の特徴では、本発明は、第1装置(11)と共にセッションキーの計算に参加する第2装置(21)に関する。第2装置は、パブリックキー(g)と自らに対応するアイデンティティとから構成される証明書(C)を有し、自らに対応するアイデンティティ(ID)と、プライベートキー(b)と、パブリックキー(g)とを知っている。第2装置は、第1装置のパブリックキー(g)とアイデンティティ(ID)とから構成される第1装置の証明書(C)と、第1エフェメラルパブリックキー(g)とを受信し、エフェメラルプライベートキー(y)を選択し、第2エフェメラルパブリックキー(g)を計算し、第1エフェメラルパブリックキー(g)とエフェメラルプライベートキー(y)とからエフェメラル共有キー(Keph)を計算し、第1装置のパブリックキー(g)と自らのプライベートキー(b)とからパーマネントキー(Kperm)を計算し、第2エフェメラルパブリックキー(g)と、エフェメラル共有キー(Keph)と、パーマネントキー(Kperm)と、自らに対応するアイデンティティ(ID)とから第1の値(H(g,Keph,Kperm,ID))を計算し、それの証明書(C)と、第2エフェメラルパブリックキー(g)と、第1の値(H(g,Keph,Kperm,ID))とを第1装置に送信し、第1装置から、第1エフェメラルパブリックキー(g)と、エフェメラル共有キー(Keph)と、パーマネントキー(Kperm)と、第1装置に対応するアイデンティティ(ID)とから計算される第2の値(H(g,Keph,Kperm,ID))を受信し、第2の値(H(g,Keph,Kperm,ID))を検証し、エフェメラル共有キー(Keph)の関数としてセッションキー(Ksess)を計算するプロセッサ(22)を有する。 In a third aspect, the invention relates to a second device (21) that participates in a session key calculation with the first device (11). The second device has a certificate (C b ) composed of a public key (g b ) and an identity corresponding to itself, an identity (ID b ) corresponding to itself, a private key (b), I know the public key (g b ). The second device receives the first device certificate (C a ) composed of the first device public key (g a ) and the identity (ID a ), and the first ephemeral public key (g x ). Then, the ephemeral private key (y) is selected, the second ephemeral public key (g y ) is calculated, and the ephemeral shared key (K eph ) is calculated from the first ephemeral public key (g x ) and the ephemeral private key (y). And a permanent key (K perm ) is calculated from the public key (g a ) of the first device and its own private key (b), and the second ephemeral public key (g y ) and the ephemeral shared key (K y ). and eph), the permanent key (K perm), from the identity corresponding to itself (ID b) first Value (H (g y, K eph , K perm, ID b)) is calculated and its certificate (C b), the second ephemeral public key (g y), the first value (H ( g y , K eph , K perm , ID b )) to the first device. From the first device, the first ephemeral public key (g x ), the ephemeral shared key (K eph ), and the permanent key ( and K perm), (second value that is calculated from the ID a) (H (g x , K eph, K perm, ID a) the identity corresponding to the first device receives) the second value ( H (g x, K eph, K perm, ID a) verifies), a processor (22) for calculating the session key (K sess) as a function of the ephemeral shared key (K eph).

本発明によると、要求される特性を有し、特に限られた計算能力しか有しない装置における実現に適したセキュアアクセスチャネルプロトコルを提供することができる。   According to the present invention, it is possible to provide a secure access channel protocol suitable for implementation in a device having required characteristics and particularly having a limited calculation capability.

図1は、本発明の実施例によるセッションキー交換を示す。FIG. 1 illustrates session key exchange according to an embodiment of the present invention.

図1は、本発明の実施例によるセッションキー交換を示す。   FIG. 1 illustrates session key exchange according to an embodiment of the present invention.

本方法のスタート前に、第1装置11は、それのアイデンティティIDと、それ自身のプライベートキーaと、パブリックキーgとを知っている。gはg mod pの略号であり、当該技術において周知であるように、aは第1装置のプライベートキーであり、gは既知の生成器であり、pは既知の素数である。第2装置21は、対応するID、b、gを知っている。これらの装置の証明書は、パブリックキーとアイデンティティ、すなわち、C(g,ID)及びC(g,ID)をそれぞれ有する。装置11と12はまた、本方法の各ステップを実行するよう構成されるプロセッサ(CPU)12と22を有する。 Prior to the start of the method, the first device 11 knows its identity ID a , its own private key a and public key g a . g a is an abbreviation for g a mod p, and as is well known in the art, a is the private key of the first device, g is a known generator, and p is a known prime number. The second device 21 knows the corresponding ID b , b, g b . Certificates of these devices have the public key and identity, i.e., C a (g a, ID a) and C b (g b, ID b ) , respectively. Devices 11 and 12 also have processors (CPUs) 12 and 22 that are configured to perform the steps of the method.

ステップ252において、第1装置11は、好ましくは、第1のエフェメラル(ephemeral)プライベートキーxをランダムに選択し、それがメッセージ254によりそれの証明書C(g,ID)と共に送信するエフェメラルパブリックキーgを計算する。 In step 252, the first device 11, preferably, the first ephemeral the (ephemeral) private key x is randomly selected, it sends its certificate C a (g a, ID a ) by the message 254 with The ephemeral public key g x is calculated.

メッセージ254を受信すると、第2装置21は、ステップ256において、第1装置11の証明書C(g,ID)を検証する。当該検証が不成功である場合、第2装置21は本方法を放棄する。しかしながら、検証が成功した場合、それは、好ましくはランダムに、第2エフェメラルプライベートキーyを選択し、第2エフェメラルパブリックキーgと、エフェメラル共有キーKeph=gxyと、Diffie−HellmanパーマネントキーKperm=gabとを、ステップ258において計算する。 Upon receiving the message 254, the second device 21, in step 256, the certificate C a (g a, ID a ) of the first device 11 verifies. If the verification is unsuccessful, the second device 21 abandons the method. However, if the verification is successful, it is preferably randomly selects a second ephemeral private key y, and a second ephemeral public key g y, the ephemeral shared key K eph = g xy, Diffie- Hellman permanent key K perm = g ab is calculated in step 258.

ステップ260において、第2装置21は、第2エフェメラルパブリックキーg、エフェメラル共有キーKeph、Diffie−HellmanパーマネントキーKperm及びそれのアイデンティティIDと、当該分野において既知の多数の関数の1つなどの適切なハッシュ関数を利用して、第1ハッシュ値H(g,Keph,Kperm,ID)を計算する。ハッシュ関数以外の適切な関数がこのためと、本実施例の以下のハッシュ値の計算に利用されてもよい。第2装置21は、その後、第2エフェメラルパブリックキーg、それの証明書C(g,ID)及び第1ハッシュ値H(g,Keph,Kperm,ID)をメッセージ262により第1装置11に送信する。 In step 260, the second device 21 determines the second ephemeral public key g y , the ephemeral shared key K eph , Diffie-Hellman permanent key K perm and its identity ID b, and one of a number of functions known in the art. The first hash value H (g y , K eph , K perm , ID b ) is calculated using an appropriate hash function such as For this reason, an appropriate function other than the hash function may be used for the calculation of the following hash value in this embodiment. The second device 21 then sends the second ephemeral public key g y , its certificate C b (g b , ID b ) and the first hash value H (g y , K eph , K perm , ID b ) as a message. It transmits to the 1st apparatus 11 by 262.

メッセージ262を受信すると、第1装置11は、ステップ264において、第2装置21の証明書C(g,ID)を検証する。当該検証が不成功である場合、第1装置11は本方法を放棄する。しかしながら、検証が成功した場合、第1装置11は、ステップ266において、エフェメラル共有キーKephとDiffie−HellmanパーマネントキーKpermとを計算する。ステップ268において、第1装置11は、ステップ260において使用された第2装置21と同一のハッシュ関数を利用して、第1ハッシュ値を検証する。第1ハッシュ値が認証されない場合、第1装置11は本方法を中断するが、第1ハッシュ値が認証された場合、第1装置11は、ステップ270において、第1エフェメラルパブリックキーg、エフェメラル共有キーKeph、Diffie−HellmanパーマネントキーKperm及びそれのアイデンティティIDを利用して、第2ハッシュ値H(g,Keph,Kperm,ID)を計算する。第1装置11は、メッセージ272により第2ハッシュ値H(g,Keph,Kperm,ID)を第2装置21に送信する。 Upon receiving the message 262, the first device 11 verifies the certificate C b (g b , ID b ) of the second device 21 in step 264. If the verification is unsuccessful, the first device 11 abandons the method. However, if the verification is successful, the first device 11 calculates an ephemeral shared key K eph and a Diffie-Hellman permanent key K perm in step 266. In step 268, the first device 11 verifies the first hash value using the same hash function as the second device 21 used in step 260. If the first hash value is not authenticated, the first device 11 interrupts the method, but if the first hash value is authenticated, the first device 11 in step 270, the first ephemeral public key g x , ephemeral A second hash value H (g x , K eph , K perm , ID a ) is calculated using the shared key K eph , Diffie-Hellman permanent key K perm and its identity ID a . The first device 11 transmits the second hash value H (g x , K eph , K perm , ID a ) to the second device 21 by the message 272.

メッセージ272を受信すると、第2装置21は、ステップ274において、第1装置10によりステップ270において使用されたものと同一のハッシュ関数を利用して、第2ハッシュ値H(g,Keph,Kperm,ID)を検証する。第2ハッシュ値が認証されない場合、第2装置21は当該プロトコルを中断し、第2ハッシュ値が認証された場合、第2装置21は、ステップ276において、エフェメラル共有キーKephのハッシュ値を計算することによって、セッションキーKsessを計算する。その後、それは、第2ハッシュ値H(g,Keph,Kperm,ID)が認証成功し、セッションキーKsessが計算されたことを示すため、“ready”メッセージ278を第1装置11に送信する。 Upon receipt of the message 272, the second device 21 utilizes the same hash function as used in step 270 by the first device 10 in step 274 and uses the second hash value H (g x , K eph , K perm , ID a ) is verified. If the second hash value is not authenticated, the second device 21 interrupts the protocol, and if the second hash value is authenticated, the second device 21 calculates the hash value of the ephemeral shared key K eph in step 276. To calculate a session key K sess . After that, it indicates that the second hash value H (g x , K eph , K perm , ID a ) has been successfully authenticated, and the session key K sess has been calculated. Send to.

第2装置21から“ready”メッセージ278を受信すると、第1装置11は、ステップ280において、第2装置21によりステップ276において使用されたものと同一のハッシュ関数を利用して、エフェメラル共有キーKephのハッシュ値を計算することによって、同一のセッションキーKsessを計算する。その後、第1装置11は、それがまたセッションキーKsessを計算したことを示すため、“ready”メッセージ282を第2装置21に送信する。 Upon receipt of the “ready” message 278 from the second device 21, the first device 11 uses the same hash function as used in step 276 by the second device 21 in step 280 to use the ephemeral shared key K The same session key K sess is calculated by calculating the hash value of eph . The first device 11 then sends a “ready” message 282 to the second device 21 to indicate that it has also calculated the session key K sess .

この時点において、第1装置11と第2装置21は、それらの間で送信された情報をプロテクトするのに利用可能なセッションキーKsessを所有する。本発明のプロトコルによると、プライベートキーの秘匿性が保証され、認証及びキー確認が相互的なものとなる。さらに、前のセッションキーの漏洩に対するロウバストネスとフォワード秘匿性もまた保証される。ステップ212、220及び226に関して説明された3つのハッシュ関数が、異なっている、同一である、又はそのうちの2つが同一であり、他の1つが異なっていてもよいということを当業者は理解するであろう。 At this point, the first device 11 and the second device 21 have a session key K sess that can be used to protect the information transmitted between them. According to the protocol of the present invention, the confidentiality of the private key is ensured, and authentication and key confirmation are mutually reciprocal. Furthermore, robustness and forward secrecy against previous session key leaks are also guaranteed. Those skilled in the art will appreciate that the three hash functions described with respect to steps 212, 220 and 226 may be different, the same, or two of them may be the same and the other one may be different. Will.

本記載が乱数について言及する場合、これらの数はしばしば実際には擬似ランダムであるということに留意すべきである。   When this description refers to random numbers, it should be noted that these numbers are often actually pseudo-random.

「セキュリティモジュール」という表現は、プロセッサを有し、本発明によるセキュア認証チャネルを確立するのに利用可能な、スマートカード、PCカード(以前はPCMCIAカードとして知られていた)、テレビなどの装置のプリント回路ボードに結合された集積回路など、携帯又は固定的な任意のタイプのセキュリティモジュールを含むものである。   The expression “security module” refers to devices such as smart cards, PC cards (formerly known as PCMCIA cards), televisions, etc. that have a processor and can be used to establish a secure authentication channel according to the present invention. It includes any type of security module that is portable or fixed, such as an integrated circuit coupled to a printed circuit board.

上述した実施例は、特にデジタルテレビセット及びセキュリティモジュールにおける実現に適している。しかしながら、当業者は、本発明が実現可能であり、必要なリソース、すなわち、プロセッサと、好ましくは、必要な情報を格納するメモリとを有する任意のタイプの装置によって利用可能であるということを理解するであろう。他の装置の非限定的な具体例として、DVDプレーヤー、外部の付属物とやりとりするコンピュータ、ATM(Automatic Teller Machine)、銀行カードなどがあげられる。   The embodiments described above are particularly suitable for implementation in digital television sets and security modules. However, those skilled in the art will appreciate that the present invention is feasible and can be utilized by any type of device having the necessary resources, ie, a processor, and preferably a memory for storing the necessary information. Will do. Non-limiting specific examples of other devices include a DVD player, a computer that communicates with external accessories, an ATM (Automatic Teller Machine), a bank card, and the like.

11,12 装置
12,22 プロセッサ 11,12 device 12,22 processor

Claims (5)

ハッシュ値を検証するよう構成される第1装置であって、
当該第1装置は、パブリックキーと当該第1装置に対応するアイデンティティとから構成される証明書を有し、前記アイデンティティと、プライベートキーと、前記パブリックキーとを知っており、
当該第1装置は、
エフェメラルプライベートキーを選択し、
第1エフェメラルパブリックキーを計算し、
前記証明書と前記第1エフェメラルパブリックキーとを第2装置に送信し、
前記第2装置から、前記第2装置のパブリックキーとアイデンティティとから構成される前記第2装置の証明書と、第2エフェメラルパブリックキーと、前記第2エフェメラルパブリックキー、エフェメラル共有キー、パーマネントキー及び前記第2装置に対応するアイデンティティから計算される第1ハッシュ値とを受信し、
前記第2装置の証明書を検証し、
前記第2エフェメラルパブリックキーと前記エフェメラルプライベートキーとから前記エフェメラル共有キーを計算し、
前記第2装置のパブリックキーと当該第1装置のプライベートキーとから前記パーマネントキーを計算し、
前記第1ハッシュ値を検証する、
ためのプロセッサを有する第1装置。 A first device configured to verify a hash value,
The first device has a certificate composed of a public key and an identity corresponding to the first device, and knows the identity, the private key, and the public key;
The first device is
Select an ephemeral private key,
Calculate the first ephemeral public key,
Sending the certificate and the first ephemeral public key to a second device;
From said second device, said a certificate of the second device comprising the public key and the identity of the second device, the second ephemeral public key and, prior Symbol second ephemeral public key, ephemeral shared key, permanent key And a first hash value calculated from an identity corresponding to the second device,
Verifying the certificate of the second device;
Calculating the ephemeral shared key from the second ephemeral public key and the ephemeral private key;
Calculating the permanent key from the public key of the second device and the private key of the first device;
Verifying the first hash value;
A first device having a processor for. 前記プロセッサはさらに、
前記第1エフェメラルパブリックキーと、前記エフェメラル共有キーと、前記パーマネントキーと、当該第1装置に対応するアイデンティティとをハッシュ処理することによって第2ハッシュ値を計算し、
前記第2ハッシュ値を前記第2装置に送信する、請求項1記載の第1装置。 The processor further includes:
Calculating a second hash value by hashing the first ephemeral public key, the ephemeral shared key, the permanent key, and the identity corresponding to the first device;
The first apparatus according to claim 1, wherein the second hash value is transmitted to the second apparatus. ハッシュ値を検証するよう構成される第2装置であって、
当該第2装置は、パブリックキーと当該第2装置に対応するアイデンティティとから構成される証明書を有し、前記アイデンティティと、プライベートキーと、前記パブリックキーとを知っており、
当該第2装置は、
第1装置から、前記第1装置のパブリックキーとアイデンティティとから構成される前記第1装置の証明書と、第1エフェメラルパブリックキーとを受信し、
前記第1装置の証明書を検証し、
エフェメラルプライベートキーを選択し、
第2エフェメラルパブリックキーを計算し、
前記第1エフェメラルパブリックキーと前記エフェメラルプライベートキーとからエフェメラル共有キーを計算し、
前記第1装置のパブリックキーと当該第2装置のプライベートキーとからパーマネントキーを計算し、
前記第2エフェメラルパブリックキーと、前記エフェメラル共有キーと、前記パーマネントキーと、当該第2装置に対応するアイデンティティとをハッシュ処理することによって第1ハッシュ値を計算し、
当該第2装置の証明書と、前記第2エフェメラルパブリックキーと、前記第1ハッシュ値とを前記第1装置に送信し、
前記第1装置から、前記第1エフェメラルパブリックキーと、前記エフェメラル共有キーと、前記パーマネントキーと、前記第1装置に対応するアイデンティティとから計算される第2ハッシュ値を受信し、
前記第2ハッシュ値を検証する、
ためのプロセッサを有する第2装置。 A second device configured to verify a hash value,
The second device has a certificate composed of a public key and an identity corresponding to the second device, and knows the identity, the private key, and the public key;
The second device is
Receiving from the first device a certificate of the first device comprised of the public key and identity of the first device and a first ephemeral public key;
Verifying the certificate of the first device;
Select an ephemeral private key,
Calculate the second ephemeral public key,
Calculating an ephemeral shared key from the first ephemeral public key and the ephemeral private key;
A permanent key is calculated from the public key of the first device and the private key of the second device;
Calculating a first hash value by hashing the second ephemeral public key, the ephemeral shared key, the permanent key, and an identity corresponding to the second device;
Sending the second device certificate, the second ephemeral public key, and the first hash value to the first device;
Receiving from the first device a second hash value calculated from the first ephemeral public key, the ephemeral shared key, the permanent key, and an identity corresponding to the first device;
Verifying the second hash value;
A second device having a processor for パブリックキーと第1装置に対応するアイデンティティとから構成される証明書を有し、前記アイデンティティと、プライベートキーと、前記パブリックキーとを知っている前記第1装置により実行される、ハッシュ値を検証する方法であって、
エフェメラルプライベートキーを選択するステップと、
第1エフェメラルパブリックキーを計算するステップと、
前記証明書と前記第1エフェメラルパブリックキーとを第2装置に送信するステップと、
前記第2装置から、前記第2装置のパブリックキーとアイデンティティとから構成される前記第2装置の証明書と、第2エフェメラルパブリックキーと、前記第2エフェメラルパブリックキー、エフェメラル共有キー、パーマネントキー及び前記第2装置に対応するアイデンティティをハッシュ処理することによって計算される第1ハッシュ値とを受信するステップと、
前記第2装置の証明書を検証するステップと、
前記第2エフェメラルパブリックキーと前記エフェメラルプライベートキーとから前記エフェメラル共有キーを計算するステップと、
前記第2装置のパブリックキーと前記第1装置のプライベートキーとから前記パーマネントキーを計算するステップと、
前記第1ハッシュ値を検証するステップと、
を有する方法。 Verifying a hash value executed by the first device having a certificate composed of a public key and an identity corresponding to the first device and knowing the identity, the private key, and the public key A way to
Selecting an ephemeral private key;
Calculating a first ephemeral public key;
Transmitting the certificate and the first ephemeral public key to a second device;
From the second device, a certificate of the second device comprising the public key and identity of the second device, a second ephemeral public key, the second ephemeral public key, an ephemeral shared key, a permanent key, and Receiving a first hash value calculated by hashing an identity corresponding to the second device;
Verifying the certificate of the second device;
Calculating the ephemeral shared key from the second ephemeral public key and the ephemeral private key;
Calculating the permanent key from a public key of the second device and a private key of the first device;
Verifying the first hash value;
Having a method. パブリックキーと第2装置に対応するアイデンティティとから構成される証明書を有し、前記アイデンティティと、プライベートキーと、前記パブリックキーとを知っている前記第2装置により実行される、ハッシュ値を検証する方法であって、
第1装置から、前記第1装置のパブリックキーとアイデンティティとから構成される前記第1装置の証明書と、第1エフェメラルパブリックキーとを受信するステップと、
前記第1装置の証明書を検証するステップと、
エフェメラルプライベートキーを選択するステップと、
第2エフェメラルパブリックキーを計算するステップと、
前記第1エフェメラルパブリックキーと前記エフェメラルプライベートキーとからエフェメラル共有キーを計算するステップと、
前記第1装置のパブリックキーと前記第2装置のプライベートキーとからパーマネントキーを計算するステップと、
前記第2エフェメラルパブリックキーと、前記エフェメラル共有キーと、前記パーマネントキーと、前記第2装置に対応するアイデンティティとをハッシュ処理することによって第1ハッシュ値を計算するステップと、
前記第2装置の証明書と、前記第2エフェメラルパブリックキーと、前記第1ハッシュ値とを前記第1装置に送信するステップと、
前記第1装置から、前記第1エフェメラルパブリックキーと、前記エフェメラル共有キーと、前記パーマネントキーと、前記第1装置に対応するアイデンティティとから計算される第2ハッシュ値を受信するステップと、
前記第2ハッシュ値を検証するステップと、
を有する方法。 Verifying a hash value executed by the second device having a certificate composed of a public key and an identity corresponding to the second device and knowing the identity, the private key, and the public key A way to
Receiving from the first device a certificate of the first device comprised of the public key and identity of the first device and a first ephemeral public key;
Verifying the certificate of the first device;
Selecting an ephemeral private key;
Calculating a second ephemeral public key;
Calculating an ephemeral shared key from the first ephemeral public key and the ephemeral private key;
Calculating a permanent key from the public key of the first device and the private key of the second device;
Calculating a first hash value by hashing the second ephemeral public key, the ephemeral shared key, the permanent key, and an identity corresponding to the second device;
Transmitting the certificate of the second device, the second ephemeral public key, and the first hash value to the first device;
Receiving from the first device a second hash value calculated from the first ephemeral public key, the ephemeral shared key, the permanent key, and an identity corresponding to the first device;
Verifying the second hash value;
Having a method.
JP2011020831A 2011-02-02 2011-02-02 Secure authentication channel Expired - Fee Related JP5238045B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011020831A JP5238045B2 (en) 2011-02-02 2011-02-02 Secure authentication channel

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011020831A JP5238045B2 (en) 2011-02-02 2011-02-02 Secure authentication channel

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007538278A Division JP4719749B2 (en) 2004-10-29 2004-10-29 Secure authentication channel

Publications (2)

Publication Number Publication Date
JP2011109709A JP2011109709A (en) 2011-06-02
JP5238045B2 true JP5238045B2 (en) 2013-07-17

Family

ID=44232612

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011020831A Expired - Fee Related JP5238045B2 (en) 2011-02-02 2011-02-02 Secure authentication channel

Country Status (1)

Country Link
JP (1) JP5238045B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7334127B2 (en) * 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
US5761305A (en) * 1995-04-21 1998-06-02 Certicom Corporation Key agreement and transport protocol with implicit signatures
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
JP4719749B2 (en) * 2004-10-29 2011-07-06 トムソン ライセンシング Secure authentication channel

Also Published As

Publication number Publication date
JP2011109709A (en) 2011-06-02

Similar Documents

Publication Publication Date Title
JP4719749B2 (en) Secure authentication channel
US9698985B2 (en) Authentication
CN107947913B (en) Anonymous authentication method and system based on identity
US8971540B2 (en) Authentication
US9106644B2 (en) Authentication
JPWO2007125877A1 (en) Communication device and communication system
JP2011125020A (en) System and method for designing secure client-server communication based on certificateless public key infrastructure
CN102811224A (en) Method, device and system for implementation of SSL (secure socket layer)/TLS (transport layer security) connection
CN112351037B (en) Information processing method and device for secure communication
KR100989185B1 (en) A password authenticated key exchange method using the RSA
JPWO2019093478A1 (en) Key exchange device, key exchange system, key exchange method, and key exchange program
TW201531078A (en) Anonymity authentication method for global mobility networks
Castiglione et al. An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update
EP1906587A2 (en) Secure authenticated channel
Costea et al. Secure opportunistic multipath key exchange
JP5478364B2 (en) Authentication system, terminal device, IC card, computer program, authentication method, and command transmission method
JP5238045B2 (en) Secure authentication channel
Hsu et al. Password authenticated key exchange protocol for multi-server mobile networks based on Chebyshev chaotic map
CN110572788B (en) Wireless sensor communication method and system based on asymmetric key pool and implicit certificate
CN101222323B (en) Safety authentication channel
RU2359416C2 (en) Secured channel with authentication
AU2008201456B2 (en) Secure authenticated channel
Shin Two-factor Authentication LRP-AKE, Revisited
Chang et al. A multipurpose key agreement scheme in ubiquitous computing environments
Lancrenon et al. Password-based authenticated key establishment protocols

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130329

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160405

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees