JP5378702B2 - 秘匿認証システム - Google Patents
秘匿認証システム Download PDFInfo
- Publication number
- JP5378702B2 JP5378702B2 JP2008112375A JP2008112375A JP5378702B2 JP 5378702 B2 JP5378702 B2 JP 5378702B2 JP 2008112375 A JP2008112375 A JP 2008112375A JP 2008112375 A JP2008112375 A JP 2008112375A JP 5378702 B2 JP5378702 B2 JP 5378702B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- authentication
- function
- verification
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本発明は、他人に知られることなく認証データを被認証装置から認証装置に通知して認証を行う秘匿認証システムに関するものである。
インターネットバンキングやインターネットショッピングなどのインターネット商取引システムなど、近年、ネットワークを介して接続された端末に対してサーバから種々のサービスを提供するシステムが急速に普及しており、このようなシステムにおいては、ユーザが正規登録された者か否かを検証する認証システムが必要となるが、パスワードなどの認証データがネットワーク上に送出されるため、認証データを盗取して正規のユーザになりすまして不正に利益を受ける行為を阻止するための様々な技術が知られている(例えば特許文献1参照)。
また、近年、電子マネー機能を有する非接触型ICカードが急速に普及しており、入退室管理システムや商品管理システムでも、非接触型ICカードやRFIDタグが利用されるようになってきたが、この種のRFIDデバイスを用いたシステムでは、スキミングにより認証データを盗取してなりすましにより不正に利益を受ける行為を阻止する必要があり、このようなRFIDデバイスの安全性を高める技術としては、Randomized Hash Lock方式、ハッシュチェーン方式(特許文献2参照)、再暗号化方式(特許文献3参照)が知られている。
特開2007−293787号公報
特再表2005−031579号公報
特開2004−317764号公報
しかるに、従来の様々な技術では、複雑な演算処理により認証データの秘匿性を高めることができる反面、高速な演算手段が必要になることから、コストが嵩み、低コスト化の要望を十分に満足することができず、低コスト化と高度な秘匿性とを両立させることが可能な技術が望まれる。また、秘匿認証システムにおいては、認証に関する事実(認証相手、認証日時など)を過去に遡って探索されることのないフォワードセキュアや、認証に関する事実を未来に渡って探索されることのないバックセキュアを実現することが望まれる。
本発明は、このような従来技術の問題点を解消するべく案出されたものであり、その主な目的は、高度な秘匿性を確保すると共に演算負荷を軽減してコストを削減することができるように構成された秘匿認証システムを提供することにある。また本発明は、フォワードセキュア及びバックセキュアを実現することができる秘匿認証システムを提供することを目的とする。
本発明の秘匿認証システムは、被認証装置と認証装置とに前記被認証装置またはユーザの正当性を示す認証データと、第1、第2、第3の分散データとを共有する認証システムであって、前記被認証装置は、前記第1の分散データを前記認証データ、前記第2の分散データを所定データと対応づけて第1の関数を生成し、前記第1の関数において、前記第3の分散データに対応するデータを求め第4の分散データとする第1の関数処理部と、前記第4の分散データを暗号化し第1の検証データを生成する第1の検証データ生成部と、前記所定のデータと前記第1の検証データとを前記認証装置へ送信する送信部と、を備え、前記認証装置は、前記所定のデータと前記第1の検証データとを受信する受信部と、前記前記第1、第2の分散データ、前記認証データ、前記被認証装置から受信した前記所定のデータをもとに第2の関数を求め、前記第2の関数において第3の分散データに対応するデータを求め第5の分散データとする第2の関数処理部と、前記第1の検証データ生成装置と同じ方式で前記第5の分散データを暗号化し第2の検証データを生成する第2の検証データ生成部と、前記第1の検証データと前記第2の検証データとに基づいて前記被認証装置の正当性を検証する照合部と、を備えたことを特徴とする。
本発明によれば、分散データが全て揃わないと認証データを求めることができないため、高度な秘匿性を確保することができ、また、1次関数のように次数の小さな関数を用いることで、演算負荷を軽減することができるため、低速な演算手段で済み、コストを削減することができる。
上記課題を解決するためになされた第1の発明は、被認証装置と認証装置とに前記被認証装置またはユーザの正当性を示す認証データと、第1、第2、第3の分散データとを共有する認証システムであって、前記被認証装置は、前記第1の分散データを前記認証データ、前記第2の分散データを所定データと対応づけて第1の関数を生成し、前記第1の関数において、前記第3の分散データに対応するデータを求め第4の分散データとする第1の関数処理部と、前記第4の分散データを暗号化し第1の検証データを生成する第1の検証データ生成部と、前記所定のデータと前記第1の検証データとを前記認証装置へ送信する送信部と、を備え、前記認証装置は、前記所定のデータと前記第1の検証データとを受信する受信部と、前記前記第1、第2の分散データ、前記認証データ、前記被認証装置から受信した前記所定のデータをもとに第2の関数を求め、前記第2の関数において第3の分散データに対応するデータを求め第5の分散データとする第2の関数処理部と、前記第1の検証データ生成装置と同じ方式で前記第5の分散データを暗号化し第2の検証データを生成する第2の検証データ生成部と、前記第1の検証データと前記第2の検証データとに基づいて前記被認証装置の正当性を検証する照合部と、を備えたことを特徴とする。
これによると、被認証装置と認証装置との通信に介入する中間者により、被認証装置から認証装置に送られる分散データが盗み見されたとしても、中間者は、分散データが全て揃わないと認証データを求めることができないため、高度な秘匿性を確保することができ、また、1次関数のように次数の小さな関数を用いることで、演算負荷を軽減することができるため、低速な演算手段で済み、コストを削減することができる。
また、分散データを検証データに変換せずに認証装置に送ることも考えられるが、この場合、中間者が、認証時の送信データを複数回収集することで認証データを推測することが可能になる余地がある。一方、本発明のように分散データを検証データに変換して送るようにすると、検証データの元になる分散データの内容がわからないため、認証データを推測することが困難になり、不正な認証を確実に阻止することができる。
但し、中間者は、検証データから元になる分散データを逆算できずとも、元データの値に、適当な値を入れて計算結果が合致するか否かを確かめるオフライン攻撃を行うことは可能であるので、認証データの値は十分大きなものであることが望ましい。
この場合、分散データの内、固定値のものは、予めあるいは認証時とは別の手順で被認証装置及び認証装置に保有させ、固定値でないものは、認証時に送受信を行って、被認証装置及び認証装置で共有するとすると効率が良い。但し、少なくとも1部の分散データは、演算処理された上で、認証時に被認証装置から認証装置に送られる。
ここで、分散データの内、関数データとは、関数を一意に定めるものであり、例えば関数が示す1次直線あるいはn次曲線上の点の座標値、関数式の係数、傾き、及び切片などの値である。ここで、n次関数の直線あるいは曲線上の点の座標値を関数データとした場合には、関数データはn+1個の点のX値及びY値となり、これらの値により関数が一意に定められる。
また、分散データの内、規則データとは、関数から認証データを特定する取り決めであり、例えば関数が示す1次直線あるいはn次曲線上の点のY値を認証データとした場合には、その点のX値が規則データとなる。さらに、関数が示す1次直線あるいはn次曲線と別の1次直線あるいはn次曲線との交点の座標値を認証データとすることもでき、この場合、その交点を形成する別の1次直線あるいはn次曲線を示す関数を特定する値が規則データとなる。また、関数の式の係数を認証データとすることもでき、この場合、係数を認証データとする指定情報が規則データとなる。
また、認証データとは、被認証装置の正当性を示すものであり、被認証装置やこれを操作するユーザに与えられたパスワードや、被認証装置を操作するユーザに関するバイオメトリクス情報などである。
なお、検証データを得るための演算処理は、1つの分散データの全てに対して行う他、その一部に対して行うものとしても良い。
前記課題を解決するためになされた第2の発明は、前記第1の発明において、前記第4の分散データは、前記第1の検証データ生成部にて一方向性関数を用いて暗号化され、第5の分散データは前記第2の検証データ生成部にて一方向性関数を用いて暗号化されることを特徴とする。
これによると、逆関数の計算が困難であるため、被認証装置と認証装置との通信に介入する中間者は、検証データの元になる分散データを求めることができない。
この場合、一方向性関数としては、逆関数の計算が困難で、元データを求めることが事実上できないものであり、その代表的なものとしてハッシュ関数があるが、べき乗関数、特に2乗関数でも、データ量(桁数)が大きくなると、実用上十分な一方向性が得られ、また演算負荷が低いことから、低速の演算機能しか備えていない簡易な装置にも適用することができる。なお、以下の一方向性関数も同様である。
前記課題を解決するためになされた第3の発明は、前記第1の発明において、前記第4、第5の分散データは、認証データを乗じることで暗号化することを特徴とする。
これによると、被認証装置と認証装置との通信に介入する中間者は、認証データを知らないと、検証データの元になる分散データを求めることができない。
なお、分散データに認証データを乗じる演算処理とは、分散データや認証データの一部分のデータを乗じる演算処理でも、またこれらを一定の演算処理した値を乗じる演算処理でも良い。
前記課題を解決するためになされた第4の発明は、前記第1の発明において、前記第4、第5の分散データは、前記公開鍵、または前記被認証装置及び前記認証装置の双方において共有する共通鍵を用いて暗号化することを特徴とする。
これによると、被認証装置と認証装置との通信に介入する中間者は、暗号鍵を持っていないので、検証データの元になる分散データを求めることができない。これは、一見、パスワードを暗号して認証するのと等価に見えるが、パスワードを暗号化する方法は、パスワードが変わらない間は常に同じ値になるので、問題である。
前記課題を解決するためになされた第5の発明は、前記第1〜第2の発明において、前記被認証装置及び前記認証装置の双方において、互いに同一の一方向性関数を用いて前記認証データを変換して、その変換結果で前記認証データを更新する構成とする。
これによると、他者により被認証装置や認証装置が保持する認証データが盗取されたとしても、被認証装置や認証装置が過去に保持していた認証データが分からないため、認証に関する事実(認証相手、認証日時など)を過去に遡って探索されることのないフォワードセキュアを実現することができる。また、自装置内での変換処理のみで済むため、コストを削減することができる。
なお、一方向性関数を用いた認証データの変換は、認証データの全てに対して行う他、その一部に対して行うものとしても良い。
以下、本発明の実施の形態を、図面を参照しながら説明する。
図1は、本発明による秘匿認証システムを示すシステム構成図である。ここでは、クライアント装置(被認証装置)5とサーバ装置(認証装置)6とがネットワーク接続され、サーバ装置2においてクライアント装置1の認証を行うための認証データ(パスワードなど)をクライアント装置1からサーバ装置2に通知するものである。このような認証システムでは、クライアント装置1とサーバ装置2との間の通信に介入した中間者装置3により認証データを盗取されたり、中間者装置3が正規のクライアント装置1になりすましてサーバ装置2で不正に認証を受けることを阻止するために、以下のような秘匿認証システムが採用される
図2・図3は、本発明における秘匿認証の要領を説明する図である。ここでは、認証データmが、点S(x2,s)と点K(x3,k)とを通過する1次直線上でX値がx1となる点M(x1,m)のY値として与えられ、この直線の関数式は、関数データx2・x3・s・kにより一義的に定められ、これらの関数データと、直線の関数式から認証データmを特定するための規則データx1とから認証データmが求められる。
なおここでは、認証データmを特定するものは、規則データx1としているが、これは関数データx2・x3・s・kにより一義的に定められる関数と、x=x1との交点のことであり、これを別の任意の関数との交点とすることも可能である。
ここで、関数データx2・x3・s・k及び規則データx1は、認証データmを分散して規定する分散データとして位置付けられ、これらの分散データx1〜x3・s・kが全て揃わないと認証データmを求めることができない。
分散データx1〜x3・s・kは、その一部が、認証時とは別の手順で事前にあるいは事後に、クライアント装置1とサーバ装置2との間で共有させ、クライアント装置1からサーバ装置2に対する認証要求時に、クライアント装置1において、認証データmから、サーバ装置2との間で共有しない分散データを生成して、その分散データをサーバ装置2に送り、サーバ装置2において、自装置が保持する分散データとクライアント装置1から受け取った分散データとから認証データを求めることができる。
図2(A)に示す方式1では、1つの点SのY値である分散データsのみをクライアント装置1からサーバ装置2に送り、残りの分散データx1〜x3・kは、クライアント装置1とサーバ装置2との間で共有している。この残りの分散データx1〜x3・kは固定値であり、少なくとも一部の情報は秘密に保持する。この場合、認証データmに応じて分散データsのみが変動する。
図2(B)に示す方式1の改良では、1つの点SのX値及びY値である分散データs・x2を送り、残りの分散データx1・x3・kは、クライアント装置1とサーバ装置2との間で共有している。この残りの分散データx1・x3・kは固定値であり、少なくとも一部の情報は秘密に保持する。この場合、分散データx2は任意の値、例えば乱数で生成して、2つの点M・Kを通る直線上に点Sがくるように分散データsが定められる。
図3(A)に示す方式2では、2つの点S・KのY値である分散データs・kを送り、残りの分散データx1〜x3は、クライアント装置1とサーバ装置2との間で共有している。この残りの分散データx1〜x3は固定値であり、少なくとも一部の情報は秘密に保持する。この場合、分散データsは任意の値、例えば乱数で生成して、2つの点M・Sを通る直線上でX値がx3となる点KのY値として分散データkが定められる。
図3(B)に示す方式2の改良では、点SのX値及びY値と点KのY値である分散データs・x2・kを送り、残りの分散データx1・x3は、クライアント装置1とサーバ装置2との間で共有している。この残りの分散データx1・x3は固定値であり、少なくとも一部の情報は秘密に保持する。この場合、分散データs・x2は任意の値、例えば乱数で生成して、2つの点M・Sを通る直線上でX値がx3となる点KのY値として分散データkが定められる。
ここで、図2(A)の方式1では、同じ認証データmでは、毎回同じ値が送られることになり、その値を用いて中間者はなりすましを簡単に行うことができる。図2(B)の方式1の改良では、複数回認証を行うと、同じクライアント装置1では点S(x2,s)が同一直線上に並ぶため、この直線上の任意の点で分散データs・x2を決定すればなりすましが可能となる。
図3(A)の方式2では、点S・Kを通る直線の傾きが認証のたびに変化するが、複数回認証を行うと、認証データmを特定する点M(x1,m)が、点S・Kを通る直線の交点として現れるため、認証データmが見破られる可能性がある。図3の方式2の改良でも同様である。
図4は、本発明による秘匿認証の別の例による要領を説明する図である。ここでは、認証データm1が、点M2(x1,m2)と点K(x3,k)と点S(x4,s)とを通過する2次曲線上でX値がx1となる点M1(x1,m1)のY値として与えられ、この曲線の関数式は、関数データx2〜x4・m2・s・kにより一義的に定められ、これらの関数データと、曲線の関数式から認証データm1を特定するための規則データx1とから認証データmが求められる。
ここで、関数データx2〜x4・m2・s・k及び規則データx1は、認証データm1を分散して規定する分散データとして位置付けられ、これらの分散データx1〜x4・m2・s・kが全て揃わないと認証データm1を求めることができない。
分散データx1〜x4・m2・s・kは、その一部が、認証時とは別の手順で事前にあるいは事後に、クライアント装置1とサーバ装置2との間で共有させ、認証要求時に、クライアント装置1において、認証データmから、サーバ装置2との間で共有しない分散データを生成して、その分散データをサーバ装置2に送り、サーバ装置2において、自装置が保持する分散データとクライアント装置1から受け取った分散データとから認証データを求めることができる。
ここで、クライアント装置1とサーバ装置2との間で共有させる分散データと、認証時にクライアント装置1からサーバ装置2に送る分散データをどのように設定するかは、図2・図3の1次直線を用いた例と同様に、種々の組み合わせが考えられるが、この2次関数による方式でも、図2・図3の例と同様に、中間者によるなりすましや認証データの盗取の余地がある。
そこで、以下に示すように、クライアント装置1からサーバ装置2に分散データをそのまま送ることはせず、クライアント装置1において、分散データに所要の演算処理を行った検証データを生成して、その検証データをサーバ装置2に送り、サーバ装置2において、自身が保持する認証データと、クライアント装置1から受け取った検証データとに基づいて、クライアント装置1の正当性を検証する。
<一方向性関数による検証データの例>
図5は、図1に示したクライアント装置及びサーバ装置の第1の例を示すブロック図である。ここでは、図3(A)の方式2が採用され、分散データx1〜x3がクライアント装置1とサーバ装置2との間で共有され、分散データkに所要の演算処理を行った検証データF(k)と分散データsがクライアント装置1からサーバ装置2に送られる。
図5は、図1に示したクライアント装置及びサーバ装置の第1の例を示すブロック図である。ここでは、図3(A)の方式2が採用され、分散データx1〜x3がクライアント装置1とサーバ装置2との間で共有され、分散データkに所要の演算処理を行った検証データF(k)と分散データsがクライアント装置1からサーバ装置2に送られる。
クライアント装置1は、自装置の正当性を示す認証データmを秘密に記憶する認証データ記憶部101と、分散データx1〜x3を秘密に記憶する分散データ記憶部102と、分散データsを乱数で生成する乱数生成部103と、認証データ記憶部101に記憶された認証データm、分散データ記憶部102に記憶された分散データx1〜x3、及び乱数生成部103で生成した分散データsから分散データkを求める関数処理部104と、関数処理部104で算出された分散データkを一方向性関数を用いて変換して検証データF(k)を求める検証データ生成部105とを有しており、クライアント装置1からサーバ装置2に対する認証要求時に、検証データ生成部105で得られた検証データF(k)と乱数生成部103で生成した分散データsとがサーバ装置2に送られる。関数処理部104では、分散データx1・x2・sと認証データmから関数が特定され、この関数と分散データx3から分散データkが求められる。
検証データ生成部105で用いられる一方向性関数としては、ハッシュ関数などの典型的な一方向性関数も可能であるが、実用上十分な一方向性が得られる2乗関数が好適であり、演算負荷が低いことから、低速の演算機能しか備えていない簡易な装置(RFIDタグなど)にも適用することができる。
サーバ装置2は、複数のクライアント装置1ごとの認証データmを蓄積する認証データ蓄積部201と、分散データx1〜x3を記憶する分散データ記憶部202と、分散データ記憶部202に記憶された分散データx1〜x3、認証データ蓄積部201に蓄積された認証データm、及びクライアント装置1から受け取った分散データsから分散データkを求める関数処理部203と、関数処理部203で算出された分散データkに対して、クライアント装置1の検証データ生成部105と同一の一方向性関数を用いて変換して検証データF(k)を求める検証データ生成部204と、検証データ生成部204で得られた検証データF(k)とクライアント装置1から受け取った検証データF(k)とを比較してクライアント装置1の正当性を検証する照合部205とを有している。
関数処理部203では、分散データx1・x2・m・sから関数が復元され、この関数と分散データx3から分散データkが求められる。このとき、認証データ蓄積部201から認証データmが順次読み出され、照合部205において、検証データ生成部204で算出された検証データF(k)とクライアント装置1から受け取った検証データF(k)とが一致すれば認証が成功したものとし、両者が一致しなければ、次の認証データmを認証データ蓄積部201から読み出して同様の処理が行われ、一致するものがなければ認証が失敗したものとする。
この構成では、中間者装置3が、分散データx1〜x3を知っていて、かつ中間者装置3により、クライアント装置1からサーバ装置2に送られる分散データsとF(k)を盗み見されたとしても、つまり、中間者装置3が、k以外のすべての分散データとF(k)を知りえたとしても、中間者装置3では、F(k)からkを求めることができないため、、認証データmを求めることはできない。
なお、クライアント装置1の認証データmを識別するIDデータを、検証データF(k)及び乱数データsと共に、クライアント装置1からサーバ装置2に送るようにしても良い。このようにすると、クライアント装置1から受け取ったIDデータに対応する認証データmを認証データ蓄積部201から読み出すことで、照合部205での比較処理が1回で済み、処理が簡便になる。
<積演算による検証データの例>
図6は、図1に示したクライアント装置及びサーバ装置の第2の例を示すブロック図である。ここでは、クライアント装置1が、関数処理部104で算出された分散データkに認証データmを乗じる演算処理を行って検証データm×kを求める検証データ生成部111を有しており、この検証データm×kと乱数データsとがサーバ装置2に送られる。サーバ装置2は、クライアント装置1から受け取った検証データm×kに対して、クライアント装置1の検証データ生成部111での演算処理と逆方向の演算処理、すなわち関数処理部203で算出された分散データkの逆数を検証データm×kに乗じて認証データmを求めるデータ抽出部211と、データ抽出部211で求められた認証データmと認証データ蓄積部201から取り出した認証データmとを比較してクライアント装置1の正当性を検証する照合部212とを有している。その他の構成は、図5の例と同様である。
図6は、図1に示したクライアント装置及びサーバ装置の第2の例を示すブロック図である。ここでは、クライアント装置1が、関数処理部104で算出された分散データkに認証データmを乗じる演算処理を行って検証データm×kを求める検証データ生成部111を有しており、この検証データm×kと乱数データsとがサーバ装置2に送られる。サーバ装置2は、クライアント装置1から受け取った検証データm×kに対して、クライアント装置1の検証データ生成部111での演算処理と逆方向の演算処理、すなわち関数処理部203で算出された分散データkの逆数を検証データm×kに乗じて認証データmを求めるデータ抽出部211と、データ抽出部211で求められた認証データmと認証データ蓄積部201から取り出した認証データmとを比較してクライアント装置1の正当性を検証する照合部212とを有している。その他の構成は、図5の例と同様である。
なお、サーバ装置2では、クライアント装置1と同様に、関数処理部203で算出された分散データkに認証データmを乗じて検証データm×kを求め、この検証データm×kと、クライアント装置1から受け取った検証データm×kとを比較してクライアント装置1の正当性を検証するものとしても良い。
<暗号化による検証データの例>
図7は、図1に示したクライアント装置及びサーバ装置の第3の例を示すブロック図である。ここでは、クライアント装置1が、関数処理部104で算出された分散データkを、サーバ装置2の公開鍵を用いて暗号化する暗号化部121を有しており、暗号化された分散データE(k)と分散データsとがサーバ装置2に送られる。サーバ装置2は、クライアント装置1から受け取った暗号化された分散データE(k)を自身の秘密鍵を用いて復号化する復号化部221と、復号化部221で求められた分散データk、分散データ記憶部202に記憶された分散データx1〜x3、及びクライアント装置1から受け取った分散データsから認証データmを求める関数処理部222と、関数処理部222で求められた認証データmと認証データ蓄積部201から取り出した認証データmとを比較してクライアント装置1の正当性を検証する照合部223とを有している。その他の構成は、図5の例と同様である。
図7は、図1に示したクライアント装置及びサーバ装置の第3の例を示すブロック図である。ここでは、クライアント装置1が、関数処理部104で算出された分散データkを、サーバ装置2の公開鍵を用いて暗号化する暗号化部121を有しており、暗号化された分散データE(k)と分散データsとがサーバ装置2に送られる。サーバ装置2は、クライアント装置1から受け取った暗号化された分散データE(k)を自身の秘密鍵を用いて復号化する復号化部221と、復号化部221で求められた分散データk、分散データ記憶部202に記憶された分散データx1〜x3、及びクライアント装置1から受け取った分散データsから認証データmを求める関数処理部222と、関数処理部222で求められた認証データmと認証データ蓄積部201から取り出した認証データmとを比較してクライアント装置1の正当性を検証する照合部223とを有している。その他の構成は、図5の例と同様である。
なお、分散データkの値が非常に大きい場合は、乱数で共通鍵を発生させ、この共通鍵で分散データkの暗号化を行い、共通鍵は、サーバ装置2の公開鍵で暗号化を行うというハイブリッド暗号とすると良い。なおここでは、暗号鍵として、サーバ装置2の公開鍵を用いているが、これは、クライアント装置1とサーバ装置2との間で共有される、共通鍵であっても構わない。
<フォワードセキュアを図る例>
図8は、図1に示したクライアント装置及びサーバ装置の第4の例を示すブロック図である。ここでは、クライアント装置1が、認証データ記憶部101に記憶された認証データmを一方向性関数を用いて変換して、その変換結果で認証データmを更新するデータ更新部131を有している。また、サーバ装置2が、認証データ蓄積部201に蓄積された認証データmを一方向性関数を用いて変換して、その変換結果で認証データmを更新するデータ更新部231を有している。その他の構成は、図5の例と同様である。
図8は、図1に示したクライアント装置及びサーバ装置の第4の例を示すブロック図である。ここでは、クライアント装置1が、認証データ記憶部101に記憶された認証データmを一方向性関数を用いて変換して、その変換結果で認証データmを更新するデータ更新部131を有している。また、サーバ装置2が、認証データ蓄積部201に蓄積された認証データmを一方向性関数を用いて変換して、その変換結果で認証データmを更新するデータ更新部231を有している。その他の構成は、図5の例と同様である。
クライアント装置1のデータ更新部131とサーバ装置2のデータ更新部231では互いに同一の一方向性関数が用いられる。この一方向性関数としては、ハッシュ関数などの典型的な一方向性関数も可能であるが、実用上十分な一方向性が得られる2乗関数が好適であり、演算負荷が低いことから、低速の演算機能しか備えていない簡易な装置(RFIDタグなど)にも適用することができる。
また、クライアント装置1のデータ更新部131とサーバ装置2のデータ更新部231での更新処理は同一のタイミングで行われ、例えば1回の認証のたびに、クライアント装置1のデータ更新部131で認証データが更新されると同時に、サーバ装置2のデータ更新部231でクライアント装置1に関する認証データが更新される。
これにより、他者によりクライアント装置1やサーバ装置2が保持する認証データが盗取され、かつこの者が、サーバ装置2と通信した、すべてのクライアント装置の過去の通信履歴を保持していたとしても、クライアント装置1やサーバ装置2が過去に保持していた認証データが分からないため、認証に関する事実(認証相手、認証日時など)を過去に遡って探索されることのないフォワードセキュアを実現することができる。また、自装置内での変換処理のみで済むため、コストを削減することができる。これによると、クライアント装置がカードであるカード認証などにおいて、カード廃棄を行う際に、カードに対して特に特別な対処を行わずとも、安全性が確保されるので良い。
なお、データ更新部131・231において、分散データ記憶部102・202に記憶された分散データx1〜x3、特に認証データmの特定に必須の分散データx1を一方向性関数で更新するものとしても良い。
<フォワード・バックセキュアを図る例>
図9は、図1に示したクライアント装置及びサーバ装置の第5の例を示すブロック図である。ここでは、クライアント装置1が、乱数生成部103で生成した分散データsをサーバ装置2の公開鍵を用いて暗号化する暗号化部141を有しており、ここで得られた暗号化データE(s)がサーバ装置2に送られる。また、サーバ装置2が、クライアント装置1から受け取った暗号化データE(s)を自身の秘密鍵を用いて復号化する復号化部241を有しており、ここで得られた分散データsが関数処理部203に送られる。その他の構成は、図5の例と同様である。
図9は、図1に示したクライアント装置及びサーバ装置の第5の例を示すブロック図である。ここでは、クライアント装置1が、乱数生成部103で生成した分散データsをサーバ装置2の公開鍵を用いて暗号化する暗号化部141を有しており、ここで得られた暗号化データE(s)がサーバ装置2に送られる。また、サーバ装置2が、クライアント装置1から受け取った暗号化データE(s)を自身の秘密鍵を用いて復号化する復号化部241を有しており、ここで得られた分散データsが関数処理部203に送られる。その他の構成は、図5の例と同様である。
これにより、他者によりクライアント装置1やサーバ装置2が保持する認証データが盗取されたとしても、クライアント装置1からサーバ装置2に送られる分散データが暗号化されているため、クライアント装置1とサーバ装置2との通信に介入する中間者装置3では、サーバ装置2の秘密鍵がない限り、送信される分散データの内容がわからず、認証に関する事実を未来に渡って探索されることのないバックセキュアを実現することができる。また、認証に関する事実を過去に遡って探索されることのないフォワードセキュアを実現することができる。これによると、クライアント装置がカードであるカード認証などにおいて、他者に、カードの中身をカード所持者に分からないように盗み見されても、少なくともカード所持者の行動が監視されることはなくなる。
なおここでは、クライアント装置1からサーバ装置2に送られる検証データF(k)及び分散データsのうち、分散データsのみを暗号化したが、その両方を暗号化する、または検証データF(k)のみを暗号化するものとしても良い。
また、分散データsやkの値が非常に大きい場合は、乱数で共通鍵を発生させ、この共通鍵で分散データsやkの暗号化を行い、共通鍵は、サーバ装置2の公開鍵で暗号化を行うというハイブリッド暗号とすると良い。
<双方向認証の例>
図10は、図1に示したクライアント装置及びサーバ装置の第6の例を示すブロック図である。ここでは、サーバ装置2が、関数処理部203で算出された分散データkに認証データmを乗じる演算処理を行って応答データm×kを求める応答データ生成部251を有しており、この応答データm×kがクライアント装置1に送られる。クライアント装置1は、関数処理部104で算出された分散データkに認証データmを乗じる演算処理を行って応答データm×kを求める応答データ生成部151と、応答データ生成部151で算出された応答データm×kとサーバ装置2から受け取った応答データm×kとを比較してサーバ装置2の正当性を検証する照合部152とを有している。その他の構成は、図5の例と同様である。
図10は、図1に示したクライアント装置及びサーバ装置の第6の例を示すブロック図である。ここでは、サーバ装置2が、関数処理部203で算出された分散データkに認証データmを乗じる演算処理を行って応答データm×kを求める応答データ生成部251を有しており、この応答データm×kがクライアント装置1に送られる。クライアント装置1は、関数処理部104で算出された分散データkに認証データmを乗じる演算処理を行って応答データm×kを求める応答データ生成部151と、応答データ生成部151で算出された応答データm×kとサーバ装置2から受け取った応答データm×kとを比較してサーバ装置2の正当性を検証する照合部152とを有している。その他の構成は、図5の例と同様である。
これにより、クライアント装置1がサーバ装置2の正当性を確認することができ、双方向認証が可能になる。
ここで、応答データは、図5の例で示した検証データと同様に、分散データkを一方向性関数を用いて変換する演算処理により得られるものとしても良く、また、図7の例で示した検証データと同様に、分散データkを暗号化したものとすることも可能であるが、いずれにしても応答データは、検証データを求める処理とは異なる処理により得る必要がある。
<チャレンジ・レスポンス方式でリトライ攻撃防御を図る例>
図11は、図1に示したクライアント装置及びサーバ装置の第7の例を示すブロック図である。ここでは、サーバ装置2が、分散データsを乱数で生成する乱数生成部261を有しており、ここで得られた分散データsがクライアント装置1に送られる。クライアント装置1では、サーバ装置2から受け取った分散データs、認証データ記憶部101に記憶された認証データm、及び分散データ記憶部102に記憶された分散データx1〜x3から分散データkを求める処理が関数処理部104にて行われ、ここで得られた分散データkがサーバ装置2に送られる。その他の構成は、図5の例と同様である。
図11は、図1に示したクライアント装置及びサーバ装置の第7の例を示すブロック図である。ここでは、サーバ装置2が、分散データsを乱数で生成する乱数生成部261を有しており、ここで得られた分散データsがクライアント装置1に送られる。クライアント装置1では、サーバ装置2から受け取った分散データs、認証データ記憶部101に記憶された認証データm、及び分散データ記憶部102に記憶された分散データx1〜x3から分散データkを求める処理が関数処理部104にて行われ、ここで得られた分散データkがサーバ装置2に送られる。その他の構成は、図5の例と同様である。
この構成では、サーバ装置2からクライアント装置1に送られる分散データsが不規則に変化するため、クライアント装置1とサーバ装置2との間での遣り取りを真似してここで用いられた分散データを使用して不正に認証を受けることができなくなり、リトライ攻撃を防御することができる。
<逆認証の例>
図12は、図1に示したクライアント装置及びサーバ装置の第8の例を示すブロック図である。ここでは、前記の例とは逆に、クライアント装置1においてサーバ装置2の正当性を検証するものであり、クライアント装置1が認証装置となり、サーバ装置2が被認証装置となっている。
図12は、図1に示したクライアント装置及びサーバ装置の第8の例を示すブロック図である。ここでは、前記の例とは逆に、クライアント装置1においてサーバ装置2の正当性を検証するものであり、クライアント装置1が認証装置となり、サーバ装置2が被認証装置となっている。
クライアント装置(認証装置)1は、自装置の認証データmを識別するIDデータを記憶するIDデータ記憶部181を有しており、ここから取り出されたIDデータと乱数生成部103で生成した分散データsとがサーバ装置2に送られる。サーバ装置(被認証装置)2では、クライアント装置1から受け取ったIDデータに基づいて該当する認証データmが認証データ蓄積部201から取り出され、検証データ生成部204で得られた検証データF(k)がクライアント装置1に送られる。クライアント装置1は、検証データ生成部105で得られた検証データF(k)とサーバ装置2から受け取った検証データF(k)とを比較してサーバ装置2の正当性を検証する照合部182を有している。
また、サーバ装置2が、分散データsを乱数で生成する乱数生成部281を有し、ここで得られた分散データsがクライアント装置1に送られるものとしても良い。これによると、クライアント装置が認証を受ける前に、サーバ装置が正規のものであるか否かを確かめることができる。
なお、前記の各図に示された例を適宜に組み合わせて構成することも可能である。また図5以降の各例では、1次関数による方式を採用したが、図4に示した2次関数による方式も採用することができ、この他、3次関数など種々の関数による方式も可能である。
また、前記の各図で、クライアント装置1においては、認証データmは、認証データ記憶部101に記憶されているものとして説明したが、認証データを保持するカード認証のようなものでなければ、ユーザが、認証のたびに、認証データをキー入力するものであっても良い。
本発明にかかる秘匿認証システムは、高度な秘匿性を確保すると共に演算負荷を軽減してコストを削減することができる効果を有し、他人に知られることなく認証データを被認証装置から認証装置に通知して認証を行う秘匿認証システムなどとして有用である。
1 クライアント装置
2 サーバ装置
3 中間者装置
101 認証データ記憶部、102 分散データ記憶部、103 乱数生成部、104 関数処理部、105 検証データ生成部、111 検証データ生成部、121 暗号化部、131 データ更新部、141 暗号化部、151 応答データ生成部、152 照合部、181 データ記憶部、182 照合部
201 認証データ蓄積部、202 分散データ記憶部、203 関数処理部、204 検証データ生成部、205 照合部、211 データ抽出部、212 照合部、221 復号化部、222 関数処理部、223 照合部、231 データ更新部、241 復号化部、251 応答データ生成部、261 乱数生成部、281 乱数生成部
2 サーバ装置
3 中間者装置
101 認証データ記憶部、102 分散データ記憶部、103 乱数生成部、104 関数処理部、105 検証データ生成部、111 検証データ生成部、121 暗号化部、131 データ更新部、141 暗号化部、151 応答データ生成部、152 照合部、181 データ記憶部、182 照合部
201 認証データ蓄積部、202 分散データ記憶部、203 関数処理部、204 検証データ生成部、205 照合部、211 データ抽出部、212 照合部、221 復号化部、222 関数処理部、223 照合部、231 データ更新部、241 復号化部、251 応答データ生成部、261 乱数生成部、281 乱数生成部
Claims (6)
- 被認証装置と認証装置とに前記被認証装置またはユーザの正当性を示す認証データと、第1、第2、第3の分散データとを共有する認証システムであって、
前記被認証装置は、
前記第1の分散データを前記認証データ、前記第2の分散データを所定データと対応づけて第1の関数を生成し、前記第1の関数において、前記第3の分散データに対応するデータを求め第4の分散データとする第1の関数処理部と、
前記第4の分散データを暗号化し第1の検証データを生成する第1の検証データ生成部と、
前記所定のデータと前記第1の検証データとを前記認証装置へ送信する送信部と、を備え、
前記認証装置は、
前記所定のデータと前記第1の検証データとを受信する受信部と、
前記前記第1、第2の分散データ、前記認証データ、前記被認証装置から受信した前記所定のデータをもとに第2の関数を求め、前記第2の関数において第3の分散データに対応するデータを求め第5の分散データとする第2の関数処理部と、
前記第1の検証データ生成装置と同じ方式で前記第5の分散データを暗号化し第2の検証データを生成する第2の検証データ生成部と、
前記第1の検証データと前記第2の検証データとに基づいて前記被認証装置の正当性を検証する照合部と、を備えたことを特徴とする秘匿認証システム。 - 前記第4の分散データは前記第1の検証データ生成部にて一方向性関数を用いて暗号化され、第5の分散データは前記第2の検証データ生成部にて一方向性関数を用いて暗号化されることを特徴とする請求項1に記載の秘匿認証システム。
- 前記第4、第5の分散データは、認証データを乗じることで暗号化することを特徴とする請求項1に記載の秘匿認証システム。
- 前記第4、第5の分散データは、前記公開鍵、または前記被認証装置及び前記認証装置の双方において共有する共通鍵を用いて暗号化することを特徴とする請求項1に記載の秘匿認証システム。
- 前記被認証装置及び前記認証装置の双方において、互いに同一の一方向性関数を用いて前記認証データを変換して、その変換結果で前記認証データを更新することを特徴とする請求項1または請求項2に記載の秘匿認証システム。
- 前記所定のデータは乱数であることを特徴とする請求項1乃至請求項5いずれかに記載の秘匿認証システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008112375A JP5378702B2 (ja) | 2008-04-23 | 2008-04-23 | 秘匿認証システム |
| US12/424,809 US8261088B2 (en) | 2008-04-23 | 2009-04-16 | Secret authentication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008112375A JP5378702B2 (ja) | 2008-04-23 | 2008-04-23 | 秘匿認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009267583A JP2009267583A (ja) | 2009-11-12 |
| JP5378702B2 true JP5378702B2 (ja) | 2013-12-25 |
Family
ID=41216154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008112375A Active JP5378702B2 (ja) | 2008-04-23 | 2008-04-23 | 秘匿認証システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8261088B2 (ja) |
| JP (1) | JP5378702B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8289920B2 (en) * | 2007-03-16 | 2012-10-16 | Qualcomm Incorporated | Method and apparatus for handoff between access systems |
| US8527758B2 (en) * | 2009-12-09 | 2013-09-03 | Ebay Inc. | Systems and methods for facilitating user identity verification over a network |
| JP5471632B2 (ja) * | 2010-03-11 | 2014-04-16 | 富士ゼロックス株式会社 | 情報入力支援装置及びプログラム |
| JP6008316B2 (ja) | 2012-08-24 | 2016-10-19 | パナソニックIpマネジメント株式会社 | 秘密分散装置および秘密分散プログラム |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4759063A (en) * | 1983-08-22 | 1988-07-19 | Chaum David L | Blind signature systems |
| JP2000244483A (ja) * | 1999-02-23 | 2000-09-08 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ配送方法、受信方法、コンテンツ配送装置、受信装置、およびそれらのプログラム記録媒体 |
| JP4070915B2 (ja) * | 1999-09-22 | 2008-04-02 | 村田機械株式会社 | 秘密分散法を利用した認証方法、認証システム及び認証方式 |
| JP2004040717A (ja) * | 2002-07-08 | 2004-02-05 | Matsushita Electric Ind Co Ltd | 機器認証システム |
| JP4584545B2 (ja) | 2003-04-16 | 2010-11-24 | 日本電信電話株式会社 | 可変識別子送信装置および可変識別子送信プログラム |
| KR100720602B1 (ko) * | 2003-09-26 | 2007-05-21 | 니뽄 덴신 덴와 가부시키가이샤 | 태그 프라이버시 보호 방법, 태그 장치, 백엔드 장치, 갱신 장치, 갱신 의뢰 장치, 그들 프로그램 및 이들 프로그램을 격납한 기록 매체 |
| WO2005052802A1 (ja) * | 2003-11-25 | 2005-06-09 | Matsushita Electric Industrial Co.,Ltd. | 認証システム |
| KR20110031506A (ko) * | 2003-12-18 | 2011-03-28 | 파나소닉 주식회사 | 애플리케이션 프로그램을 인증 및 실행하는 방법 |
| CN101668166A (zh) * | 2003-12-18 | 2010-03-10 | 松下电器产业株式会社 | 用于存储、认证以及执行应用程序的方法 |
| US7961873B2 (en) * | 2004-03-03 | 2011-06-14 | King Fahd University Of Petroleum And Minerals | Password protocols using XZ-elliptic curve cryptography |
| CN1713570A (zh) * | 2004-06-14 | 2005-12-28 | 松下电器产业株式会社 | 先授权后认证的服务方法及其装置 |
| EP1766974A1 (en) * | 2004-07-14 | 2007-03-28 | Matsushita Electric Industrial Co., Ltd. | Method for authenticating and executing an application program |
| WO2007072814A1 (ja) * | 2005-12-19 | 2007-06-28 | Nippon Telegraph And Telephone Corporation | 端末識別方法、認証方法、認証システム、サーバ、端末、無線基地局、プログラムおよび記録媒体 |
| JP4776378B2 (ja) * | 2006-01-11 | 2011-09-21 | 日本電信電話株式会社 | 複数鍵認証端末装置及び複数鍵認証管理装置及び複数鍵認証システム及びプログラム |
| JP2007233960A (ja) * | 2006-03-03 | 2007-09-13 | Matsushita Electric Ind Co Ltd | 認証処理装置および認証処理方法 |
| JP4439493B2 (ja) | 2006-03-29 | 2010-03-24 | 株式会社三菱東京Ufj銀行 | 本人認証システム及び本人認証方法 |
| WO2007110973A1 (ja) * | 2006-03-29 | 2007-10-04 | The Bank Of Tokyo-Mitsubishi Ufj, Ltd. | 本人認証システム及び本人認証方法 |
| JP4881119B2 (ja) * | 2006-09-29 | 2012-02-22 | 株式会社東芝 | ユーザ認証方法、ユーザ側認証装置、および、プログラム |
| JP2008181178A (ja) * | 2007-01-23 | 2008-08-07 | Matsushita Electric Ind Co Ltd | ネットワーク出力システム、認証情報登録方法、および認証情報登録プログラム |
-
2008
- 2008-04-23 JP JP2008112375A patent/JP5378702B2/ja active Active
-
2009
- 2009-04-16 US US12/424,809 patent/US8261088B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US8261088B2 (en) | 2012-09-04 |
| US20090271632A1 (en) | 2009-10-29 |
| JP2009267583A (ja) | 2009-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115209B2 (en) | Methods and systems for preparing and performing an object authentication | |
| US20200106600A1 (en) | Progressive key encryption algorithm | |
| US20080170695A1 (en) | Method and Apparatus to Provide Authentication and Privacy with Low Complexity Devices | |
| WO2007103906A2 (en) | Secure data transmission using undiscoverable or black data | |
| JP2009272671A (ja) | 秘匿認証システム | |
| CN109918888B (zh) | 基于公钥池的抗量子证书颁发方法及颁发系统 | |
| Bai et al. | Elliptic curve cryptography based security framework for Internet of Things (IoT) enabled smart card | |
| JP2009272737A (ja) | 秘匿認証システム | |
| US9553729B2 (en) | Authentication method between a reader and a radio tag | |
| Lee et al. | Mutual authentication protocol for enhanced RFID security and anti-counterfeiting | |
| Calmels et al. | Low-cost cryptography for privacy in RFID systems | |
| CN103493428A (zh) | 数据加密 | |
| JP5378702B2 (ja) | 秘匿認証システム | |
| Dowlatshah et al. | A secure and robust smart card-based remote user authentication scheme | |
| CN110620764B (zh) | 基于非对称密钥池和二次剩余的抗量子计算rfid认证方法及系统 | |
| Wang et al. | Two-level path authentication in epcglobal network | |
| JP2003198541A (ja) | データ検証システムとその装置 | |
| CN110650004B (zh) | 基于对称密钥池和在线离线签名的抗量子计算rfid认证方法及系统 | |
| CN104363096B (zh) | 匿名的不可追踪的rfid相互认证方法 | |
| CN104780049B (zh) | 一种安全读写数据的方法 | |
| CN110768782B (zh) | 基于非对称密钥池和ibs的抗量子计算rfid认证方法及系统 | |
| Abyaneh | On the privacy of two tag ownership transfer protocols for RFIDs | |
| JP2009271107A (ja) | 秘匿通信システム及び秘匿認証システム | |
| Chang et al. | A secure improvement on the user-friendly remote authentication scheme with no time concurrency mechanism | |
| JP2513169B2 (ja) | 利用者認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110421 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110819 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121211 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130618 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130724 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130903 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130926 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |