JP6464077B2 - 相互認証システム、相互認証方法、端末装置およびプログラム - Google Patents
相互認証システム、相互認証方法、端末装置およびプログラム Download PDFInfo
- Publication number
- JP6464077B2 JP6464077B2 JP2015237953A JP2015237953A JP6464077B2 JP 6464077 B2 JP6464077 B2 JP 6464077B2 JP 2015237953 A JP2015237953 A JP 2015237953A JP 2015237953 A JP2015237953 A JP 2015237953A JP 6464077 B2 JP6464077 B2 JP 6464077B2
- Authority
- JP
- Japan
- Prior art keywords
- mask
- terminal
- random number
- key
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は相互認証技術に関する。
複数の端末間で相互に正当な端末であることを認証する相互認証が実行されることがある。たとえば、RFIDタグとその読み取り装置との間で、RFIDタグが正当なRFIDタグであり、かつ、読み取り装置も正当な読み取り装置であることが検証される(非特許文献1〜3)。
ところで、複数の端末間で鍵を共有し、この共有している鍵を用いて認証を行うことも提案されている(非特許文献4)。
Hung-Yu Chien, SASI: "A New Ultralightweight RFID Authentication Protocol Providing Strong Authentication and Strong Integrity" IEEE Transaction on Dependable and Secure Computing, Vol. 4, No. 4, pp. 337-340, 2007.
Pedro Peris-Lop, et al. "Advanced in ultra lightweight cryptography for low-cost RFID tags: Gossamer protocol." The 9th International Workshop on Information Security Workshop, pp.56-68, 2009.
David, Mathieu, and Neeli R. Prasad. "Providing strong security and high privacy in low-cost RFID networks." International conference on Security and privacy in mobile information and communication systems, Italy, pp172-179, 2009.
Ka Ahmad Khoureich, "Light-hHB: A New Version of hHB with Improved Session Key Exchange."Cryptology ePrint Archive: Report 2015/713, https://eprint.iacr.org/2015/713, 2015.
従来技術では、認証に必要な情報を複数の端末間で同期して更新する必要があった。相互認証に必要な情報を複数の端末間で同期して更新すると複数の端末間での通信回数が増加してしまう。そこで、本発明は複数の端末間での通信回数を削減可能な相互認証のための技術を提供する。
本発明によれば、
第一端末と第二端末との間で相互認証を実行する相互認証システムであって、
前記第一端末は、
乱数raを生成する第一乱数生成手段と、
前記第二端末との間で予め共有された鍵kに基づきマスクmaを生成する第一マスク生成手段と、
前記乱数raと前記マスクmaとの排他的論理和を生成する第一排他的論理和手段と、
前記排他的論理和を前記第二端末に送信する第一送信手段と、
を有し、
前記第二端末は、
前記排他的論理和を受信する第一受信手段と、
前記鍵kに基づきマスクmaを生成する第二マスク生成手段と、
前記第一受信手段により受信された前記排他的論理和と前記第二マスク生成手段により生成されたマスクmaとに基づき乱数raを復元する第一復元手段と、
乱数rbを生成する第二乱数生成手段と、
前記鍵kと前記第二マスク生成手段により生成されたマスクmaとに基づきマスクmbを生成する第三マスク生成手段と、
前記乱数rbと前記マスクmbとの排他的論理和を生成する第二排他的論理和手段と、
前記第一復元手段により復元された乱数raと、前記第二排他的論理和手段により求められた排他的論理和を送信する第二送信手段と、
を有し、
前記第一端末は、さらに、
前記第二端末において前記第一復元手段により復元された乱数raと前記第二排他的論理和手段により求められた排他的論理和とを受信する第二受信手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致しているかどうかに基づき前記第二端末を認証する第一認証手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致している場合には、前記鍵kと前記第一マスク生成手段により生成されたマスクmaとからマスクmbを生成する第四マスク生成手段と、
前記第二端末において前記第二排他的論理和手段により求められた排他的論理和と前記第四マスク生成手段により生成されたマスクmbとから乱数rbを復元する第二復元手段と
を有し、
前記第二端末は、さらに、
前記第一端末において前記第二復元手段により復元された乱数rbを受信し、当該乱数rbと、前記第二端末において前記第三マスク生成手段により生成された乱数rbとが一致するかどうかに基づき前記第一端末を認証する第二認証手段と
を有すること特徴とする相互認証システムが提供される。
第一端末と第二端末との間で相互認証を実行する相互認証システムであって、
前記第一端末は、
乱数raを生成する第一乱数生成手段と、
前記第二端末との間で予め共有された鍵kに基づきマスクmaを生成する第一マスク生成手段と、
前記乱数raと前記マスクmaとの排他的論理和を生成する第一排他的論理和手段と、
前記排他的論理和を前記第二端末に送信する第一送信手段と、
を有し、
前記第二端末は、
前記排他的論理和を受信する第一受信手段と、
前記鍵kに基づきマスクmaを生成する第二マスク生成手段と、
前記第一受信手段により受信された前記排他的論理和と前記第二マスク生成手段により生成されたマスクmaとに基づき乱数raを復元する第一復元手段と、
乱数rbを生成する第二乱数生成手段と、
前記鍵kと前記第二マスク生成手段により生成されたマスクmaとに基づきマスクmbを生成する第三マスク生成手段と、
前記乱数rbと前記マスクmbとの排他的論理和を生成する第二排他的論理和手段と、
前記第一復元手段により復元された乱数raと、前記第二排他的論理和手段により求められた排他的論理和を送信する第二送信手段と、
を有し、
前記第一端末は、さらに、
前記第二端末において前記第一復元手段により復元された乱数raと前記第二排他的論理和手段により求められた排他的論理和とを受信する第二受信手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致しているかどうかに基づき前記第二端末を認証する第一認証手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致している場合には、前記鍵kと前記第一マスク生成手段により生成されたマスクmaとからマスクmbを生成する第四マスク生成手段と、
前記第二端末において前記第二排他的論理和手段により求められた排他的論理和と前記第四マスク生成手段により生成されたマスクmbとから乱数rbを復元する第二復元手段と
を有し、
前記第二端末は、さらに、
前記第一端末において前記第二復元手段により復元された乱数rbを受信し、当該乱数rbと、前記第二端末において前記第三マスク生成手段により生成された乱数rbとが一致するかどうかに基づき前記第一端末を認証する第二認証手段と
を有すること特徴とする相互認証システムが提供される。
本発明によれば、複数の端末間での通信回数を削減可能な相互認証のための技術が提供される。
<相互認証システム>
図1は相互認証システム100の一例を示す図である。第一端末101と第二端末103(103a、103b)は鍵共有を実行して相互認証を実行する端末装置である。これらの端末装置としては、たとえば、スマートフォンなどのコンピュータとその周辺機器などがある。なお、第一端末101と第二端末103はコンテンツを提供するコンテンツサーバとコンテンツを受信して再生するコンテンツクライアントであってもよい。また、RFIDタグとその読み書き装置なども端末装置の一例である。これらの端末は有線回線や無線回線などの通信リンク102を介して鍵共有と相互認証とを実行する。なお、第一端末101はイニシエータ端末と呼ばれ、第二端末103はレスポンダ端末と呼ばれてもよい。複数の端末間で共有された鍵はコンテンツを暗号化/復号化するためのコンテンツ鍵として使用されてもよいし、通信サービスにおけるセッションを暗号化/復号化するためのセッション鍵として使用されてもよい。
図1は相互認証システム100の一例を示す図である。第一端末101と第二端末103(103a、103b)は鍵共有を実行して相互認証を実行する端末装置である。これらの端末装置としては、たとえば、スマートフォンなどのコンピュータとその周辺機器などがある。なお、第一端末101と第二端末103はコンテンツを提供するコンテンツサーバとコンテンツを受信して再生するコンテンツクライアントであってもよい。また、RFIDタグとその読み書き装置なども端末装置の一例である。これらの端末は有線回線や無線回線などの通信リンク102を介して鍵共有と相互認証とを実行する。なお、第一端末101はイニシエータ端末と呼ばれ、第二端末103はレスポンダ端末と呼ばれてもよい。複数の端末間で共有された鍵はコンテンツを暗号化/復号化するためのコンテンツ鍵として使用されてもよいし、通信サービスにおけるセッションを暗号化/復号化するためのセッション鍵として使用されてもよい。
図2ないし図10を用いて第一端末101と第二端末103の機能と相互認証方法について説明する。図2は第一端末101の機能を示している。図3は第二端末103の機能を示している。なお、これらの機能はCPUが記憶装置に記憶されたプログラムを実行することで実現されてもよいし、ASIC(特定用途集積回路)やFPGA(フィールドプログラマブルロジックアレイ)等のハードウエアによって実現されてもよい。プログラムはコンピュータ可読記録媒体に格納されて提供されてもよい。図4は第一端末101が実行する相互認証方法の一部を示している。
S401で第一鍵生成部201はパラメータr1、r2を生成する。ここで、パラメータr1、r2は、たとえば乱数r1と乱数r2である。乱数r1はKhoureich方式にしたがって第一端末101と第二端末103との間で鍵kを共有するために必要となるパラメータの一つである。
S402で第一鍵生成部201は乱数r1に基づきマスクm1を生成する。たとえば、第一鍵生成部201は、次式にしたがってマスクm1を生成してもよい。m1=(r1≪1)+(r1≫1)。ここで、≪は左シフト演算を示している。≫は右シフト演算を示している。つまり、r1を1ビット左シフトしたものと、r1を1ビット右シフトしたものとを加算することでマスクm1が生成される。
S403で第一鍵生成部201は第一鍵テーブルSRとマスクm1との排他的論理和SR'を求める(SR'=SR XOR m1)。ここで、第一鍵テーブルSRは第一端末101と第二端末103との間で予め共有されている鍵テーブルの一つであり、第一保持部202に記憶されているものとする。XORは排他的論理和を示す演算記号である。排他的論理和を示す演算記号としては、+記号を丸で囲んだ記号が採用されてもよい。図面では演算記号の記述スペースを削減するため、後者の演算記号が用いられている。
S404で第一鍵生成部201は排他的論理和SR'と乱数r2に基づきパラメータr3を求める。たとえば、パラメータr3は、排他的論理和SR'と乱数r2との排他的論理和r3である(r3=r2 XORSR')。排他的論理和r3はKhoureich方式にしたがって第一端末101と第二端末103との間で鍵kを共有するために必要となるパラメータの一つである。
S405で第一鍵生成部201は第一端末101と第二端末103との間で予め共有されている鍵テーブルから鍵kを生成する。たとえば、第一鍵生成部201は排他的論理和SR'のビット列と第二鍵テーブルSTのビット列とでビットが共通している共通位置を求め、乱数r2における当該共通位置のビットを抽出することで鍵kを生成する。図9(A)が示すように、排他的論理和SR'と第二鍵テーブルSTとでビットが共通している共通位置は、左から3ビット目、4ビット目、6ビット目、8ビット目である。したがって、第一鍵生成部201は乱数r2から3ビット目、4ビット目、6ビット目、8ビット目にあるビットを抽出することで、鍵k(=0010)を生成する。なお、第二鍵テーブルSTは、第一端末101と第二端末103との間で予め共有されている鍵テーブルの一つであり、第一保持部202に記憶されているものとする。
S406で第一鍵生成部201は、生成された鍵kのサイズ(鍵長Lk)がセキュリティパラメータL以上であるかどうかを判定する。これは鍵の強度を確保するための判定処理である。鍵長LkがセキュリティパラメータL以上であれば第一鍵生成部201はS407に進む。鍵長LkがセキュリティパラメータL未満であれば第一鍵生成部201はS401に戻り、S401ないしS406を繰り返すことで鍵kを再生成する。これにより鍵の強度が確保される。
S407で第一乱数生成部204は乱数raを生成する。
S408で第一マスク生成部203は鍵kに基づきマスクmaを生成する。たとえば、第一マスク生成部203は次式にしたがってマスクmaを生成してもよい。ma=(k≪1)+k。つまり、鍵kを一ビット左シフトしたものに元の鍵kを加算することでマスクmaが生成されてもよい。
S409で第一排他的論理和部205は乱数raとマスクmaとの排他的論理和(ra XOR ma)を生成する。
S410で第一送信部206は鍵共有で必要となるパラメータ(乱数r1、排他的論理和r3)と、鍵kに基づき演算された排他的論理和(ra XOR ma)を第二端末103に送信する。図8が示すように、第一端末101から鍵共有で必要となるパラメータである乱数r1、排他的論理和r3、排他的論理和(ra XOR ma)とを連結して構成されたデータが第二端末103に送信される。
図5は第二端末103が実行する相互認証方法の一部を示している。
S501で第一受信部301は鍵共有で必要となるパラメータ(乱数r1、排他的論理和r3)と、鍵kに基づき演算された排他的論理和(ra XOR ma)を第一端末101から受信する。
S502で第二鍵生成部302は第一端末101から受信したパラメータ(乱数r1)からマスクm1を生成する。たとえば、第二鍵生成部302は、次式にしたがってマスクm1を生成してもよい。m1=(r1≪1)+(r1≫1)。
S503で第二鍵生成部302は第一鍵テーブルSRとマスクm1との排他的論理和SR'を求める(SR'=SR XOR m1)。なお、第二保持部303は第一保持部202と同様に第一鍵テーブルSRと第二鍵テーブルSTを予め記憶している。
S504で第二鍵生成部302は第一端末101から受信したパラメータ(排他的論理和r3)と第二鍵テーブルSTとの排他的論理和r4を求める(r4=r3 XOR ST)。
S505で第二鍵生成部302は鍵共有で必要となるパラメータと第一端末101と第二端末103との間の予め共有されている鍵テーブルから鍵kを生成する。たとえば、第二鍵生成部302は受信した乱数r1から求めた排他的論理和SR'と第二鍵テーブルSTとでビットが共通している共通位置を求め、排他的論理和r4における当該共通位置のビットを抽出することで鍵kを生成する。図9(B)が示すように、排他的論理和SR'と第二鍵テーブルSTとでビットが共通している共通位置は、左から3ビット目、4ビット目、6ビット目、8ビット目である。したがって、第一鍵生成部201は排他的論理和r4から3ビット目、4ビット目、6ビット目、8ビット目のビットを抽出することで、鍵k(=0010)を生成する。
S506で第二マスク生成部304は第二鍵生成部302により生成された鍵kに基づきマスクmaを生成する。たとえば、第二マスク生成部304は次式にしたがってマスクmaを生成してもよい。ma=(k≪1)+k。つまり、鍵kを一ビット左シフトしたものに元の鍵kを加算することでマスクmaが生成されてもよい。
S507で第一復元部305は第一受信部301により受信された排他的論理和(ra XOR ma)と第二マスク生成部304により生成されたマスクmaとに基づき乱数raを復元する。
S508で第二乱数生成部308は乱数rbを生成する。
S509で第三マスク生成部306は第二鍵生成部302により生成された鍵kと第二マスク生成部304により生成されたマスクmaとに基づきマスクmbを生成する。たとえば、第三マスク生成部306は次式にしたがってマスクmbを生成してもよい。mb=(ma≪1)+k。つまり、マスクmaを一ビット左シフトしたものに鍵kを加算することでマスクmbが生成されてもよい。
S510で第二排他的論理和部307は乱数rbとマスクmbとの排他的論理和(rb XOR mb)を生成する。
S511で第二送信部309は第一復元部305により復元された乱数raと、第二排他的論理和部307により求められた排他的論理和(rb XOR mb)を送信する。図8が示すように、第二端末103から復元された乱数raと排他的論理和(rb XOR mb)とが連結されて生成された認証データが第一端末101に送信される。
図6は第一端末101が実行する相互認証方法の一部を示している。
S601で第二受信部207は第二端末103の第一復元部305により復元された乱数raと第二排他的論理和部307により求められた排他的論理和(rb XOR mb)とを受信する。
S602で第一認証部208は第二端末103が正当な端末かどうかを認証する。たとえば、第一認証部208は第二受信部207により受信された乱数raと第一乱数生成部204により生成された乱数raとが一致しているかどうかに基づき第二端末103を認証する。第二端末103側の乱数raと第一端末101側の乱数raとが不一致であれば、第一認証部208は認証失敗(NG)と判定する。一方で、第二端末103側の乱数raと第一端末101側の乱数raとが一致している場合には、第一認証部208は認証成功(OK)と判定し、S603に進む。
S603で第四マスク生成部209は第一鍵生成部201により生成された鍵kと第一マスク生成部203により生成されたマスクmaとからマスクmbを生成する。第四マスク生成部209は、第三マスク生成部306と同様の式を用いてマスクmbを生成する。mb=(ma≪1)+k。つまり、マスクmaを一ビット左シフトしたものに鍵kを加算することでマスクmbが生成される。
S604で第二復元部210は第二受信部207により受信された排他的論理和(rb XOR mb)と第四マスク生成部209により生成されたマスクmbとから乱数rbを復元する。
S604で第一送信部206は第二復元部210により復元された乱数rbを第二端末103に送信する。図8に示すように第一端末101から第二端末103へ復元された乱数rbが認証データとして送信される。
図7は第二端末103が実行する相互認証方法の一部を示している。
S701で第一受信部301は第一端末101の第二復元部210により復元された乱数rbを受信する。
S702で第二認証部310は受信した乱数rbと、第三マスク生成部306により生成された乱数rbとが一致するかどうかに基づき第一端末101を認証する。第一端末101の第二復元部210により復元された乱数rbと、第二端末103において第三マスク生成部306により生成された乱数rbとが一致していれば、第二認証部310は第一端末101を正当な端末と判定する(認証成功)。一方で、第一端末101から受信した乱数rbと、第三マスク生成部306により生成された乱数rbとが一致していなければ、第二認証部310は第一端末101を正当な端末ではないと判定する(認証失敗)。
図8が示すように本実施例では第一端末101と第二端末103との間で三回の通信を実行することで鍵kの共有と相互認証とを実行することが可能となる。
<鍵の強度の担保>
第一端末101と第二端末103とで共有される鍵kの強度を確保するために、本実施例では以下のような工夫が採用されてもよい。ここでは、第一鍵テーブルSRと第二鍵テーブルSTの各テーブルサイズをLtビットと仮定する。鍵kの鍵長Lkは、平均がLt/2で、かつ、標準偏差が√(Lt)/2の正規分布N(Lt/2,√(Lt)/2)で近似される。このため、鍵長LkがセキュリティパラメータLを下回る確率は次式から求められる。
第一端末101と第二端末103とで共有される鍵kの強度を確保するために、本実施例では以下のような工夫が採用されてもよい。ここでは、第一鍵テーブルSRと第二鍵テーブルSTの各テーブルサイズをLtビットと仮定する。鍵kの鍵長Lkは、平均がLt/2で、かつ、標準偏差が√(Lt)/2の正規分布N(Lt/2,√(Lt)/2)で近似される。このため、鍵長LkがセキュリティパラメータLを下回る確率は次式から求められる。
ここでZはN(0,1)にしたがう確率変数である。この確率が十分に小さくなるには、(Lt−2L)/√Ltが2以上となるようにLtが選択されればよい。たとえば、セキュリティパラメータLが64である場合、Ltは192であればよい。つまり、鍵kの鍵長LkがセキュリティパラメータL未満となる確率はPr[Z<−4.619]=1.92×10−6である。このようにテーブルサイズLtを選択しておくことで、S401ないしS406の鍵生成が再実行される確率が非常に小さくなる。
<比較>
本実施例の効果を説明するために、非特許文献1ないし3と本実施例とを比較する。図10は、非特許文献1ないし3と本実施例との比較結果を示している。非特許文献1(SASIプロトコル)、非特許文献2(Gossamerプロトコル)および非特許文献3(David-Prasadプロトコル)と比較すると、本実施例は、総演算回数をほとんど増やすことなく、通信回数を3回に削減することが可能となる。また、本実施例ではワード単位での演算も可能となる点で、非特許文献1、2よりも有利である。
本実施例の効果を説明するために、非特許文献1ないし3と本実施例とを比較する。図10は、非特許文献1ないし3と本実施例との比較結果を示している。非特許文献1(SASIプロトコル)、非特許文献2(Gossamerプロトコル)および非特許文献3(David-Prasadプロトコル)と比較すると、本実施例は、総演算回数をほとんど増やすことなく、通信回数を3回に削減することが可能となる。また、本実施例ではワード単位での演算も可能となる点で、非特許文献1、2よりも有利である。
<まとめ>
本実施例によれば、図8が示すように、第一端末101から鍵共有で必要となるパラメータである乱数r1、排他的論理和r3、排他的論理和(ra XOR ma)とが第二端末103に送信される。また復元された乱数raと排他的論理和(rb XOR mb)とが認証データとして第二端末103から第一端末101に送信される。さらに、第一端末101から第二端末103へ復元された乱数rbが認証データとして送信される。つまり、本実施例では、3回の通信回数で鍵kの共有と、第一端末101と第二端末103との相互認証が実現可能となっている。本実施例では鍵共有と相互認証とを同時並行的に実行するものとして説明したが、鍵kについては事前に共有されていてもよい。つまり、相互認証だけが実行されてもよい。
本実施例によれば、図8が示すように、第一端末101から鍵共有で必要となるパラメータである乱数r1、排他的論理和r3、排他的論理和(ra XOR ma)とが第二端末103に送信される。また復元された乱数raと排他的論理和(rb XOR mb)とが認証データとして第二端末103から第一端末101に送信される。さらに、第一端末101から第二端末103へ復元された乱数rbが認証データとして送信される。つまり、本実施例では、3回の通信回数で鍵kの共有と、第一端末101と第二端末103との相互認証が実現可能となっている。本実施例では鍵共有と相互認証とを同時並行的に実行するものとして説明したが、鍵kについては事前に共有されていてもよい。つまり、相互認証だけが実行されてもよい。
第一端末101と第二端末103との間で予め共有されている鍵テーブルST、SRのサイズLtは、鍵kの長さLkがセキュリティパラメータL以上となるように予め決定されている。これにより、鍵共有(鍵生成)が再実施される確率を十分に小さくすることが可能となる。たとえば、鍵テーブルのサイズLtは、(Lt − 2L)/√Lt>2となるように決定されれば、鍵共有(鍵生成)が再実施される確率は極めて小さくなる。
また、本実施例によれば事前に鍵テーブルを共有しておくだけで、認証ごとのデータの同期は不要となる。つまり、認証ごとのデータの同期が必要となる従来技術と比較して、軽量な認証プロトコルが実現可能となっている。
Claims (11)
- 第一端末と第二端末との間で相互認証を実行する相互認証システムであって、
前記第一端末は、
乱数raを生成する第一乱数生成手段と、
前記第二端末との間で予め共有された鍵kに基づきマスクmaを生成する第一マスク生成手段と、
前記乱数raと前記マスクmaとの排他的論理和を生成する第一排他的論理和手段と、
前記排他的論理和を前記第二端末に送信する第一送信手段と、
を有し、
前記第二端末は、
前記排他的論理和を受信する第一受信手段と、
前記鍵kに基づきマスクmaを生成する第二マスク生成手段と、
前記第一受信手段により受信された前記排他的論理和と前記第二マスク生成手段により生成されたマスクmaとに基づき乱数raを復元する第一復元手段と、
乱数rbを生成する第二乱数生成手段と、
前記鍵kと前記第二マスク生成手段により生成されたマスクmaとに基づきマスクmbを生成する第三マスク生成手段と、
前記乱数rbと前記マスクmbとの排他的論理和を生成する第二排他的論理和手段と、
前記第一復元手段により復元された乱数raと、前記第二排他的論理和手段により求められた排他的論理和を送信する第二送信手段と、
を有し、
前記第一端末は、さらに、
前記第二端末において前記第一復元手段により復元された乱数raと前記第二排他的論理和手段により求められた排他的論理和とを受信する第二受信手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致しているかどうかに基づき前記第二端末を認証する第一認証手段と、
前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致している場合には、前記鍵kと前記第一マスク生成手段により生成されたマスクmaとからマスクmbを生成する第四マスク生成手段と、
前記第二端末において前記第二排他的論理和手段により求められた排他的論理和と前記第四マスク生成手段により生成されたマスクmbとから乱数rbを復元する第二復元手段と
を有し、
前記第二端末は、さらに、
前記第一端末において前記第二復元手段により復元された乱数rbを受信し、当該乱数rbと、前記第二端末において前記第三マスク生成手段により生成された乱数rbとが一致するかどうかに基づき前記第一端末を認証する第二認証手段と
を有すること特徴とする相互認証システム。 - 前記第一端末は、
Khoureich方式にしたがって前記第一端末と前記第二端末との間で鍵kを共有するために必要となるパラメータr1、r3を生成するとともに、前記第一端末と前記第二端末との間で予め共有されている鍵テーブルから鍵kを生成する第一鍵生成手段とをさらに有し、
前記第一端末の前記第一マスク生成手段は、前記第一鍵生成手段により生成された前記鍵kに基づきマスクmaを生成するように構成されており、
前記第一端末の前記第一送信手段は、前記鍵kを共有するために必要となるパラメータr1、r3を前記第二端末に送信するように構成されており、
前記第二端末の前記第一受信手段は、前記鍵kを共有するために必要となるパラメータr1、r3を受信するように構成されており、
前記第二端末は、
前記鍵kを共有するために必要となるパラメータr1、r3および、前記第一端末と前記第二端末との間の予め共有されている前記鍵テーブルから鍵kを生成する第二鍵生成手段をさらに有し、
前記第二端末の前記第二マスク生成手段は、前記第二鍵生成手段により生成された前記鍵kに基づきマスクmaを生成するように構成されており、
前記第二端末の前記第三マスク生成手段は、前記第二鍵生成手段により生成された鍵kと前記第二マスク生成手段により生成されたマスクmaとに基づきマスクmbを生成するように構成されており、
前記第一端末の前記第四マスク生成手段は、前記第二端末において前記第一復元手段により復元された乱数raと前記第一端末において前記第一乱数生成手段により生成された乱数raとが一致している場合には、前記第一鍵生成手段により生成された鍵kと前記第一マスク生成手段により生成されたマスクmaとからマスクmbを生成するように構成されていることを特徴とする請求項1に記載の相互認証システム。 - 前記第一端末と前記第二端末との間で予め共有されている鍵テーブルのサイズLtは、前記鍵kの長さLkがセキュリティパラメータL以上となるように予め決定されていることを特徴とする請求項2に記載の相互認証システム。
- 前記第一鍵生成手段で生成された鍵kの長さLkが前記セキュリティパラメータL以上でなければ、前記第一鍵生成手段は前記鍵kを再生成することを特徴とする請求項3に記載の相互認証システム。
- 前記鍵テーブルのサイズLtは、(Lt − 2L)/√Lt>2となるように決定されていることを特徴とする請求項3または4に記載の相互認証システム。
- 前記第一マスク生成手段は、前記第一鍵生成手段により生成された鍵kを1ビット左シフトして得られたものに当該鍵kを加算することでマスクmaを生成し、
前記第二マスク生成手段は、前記第二鍵生成手段により生成された鍵kを1ビット左シフトして得られたものに当該鍵kを加算することでマスクmaを生成し、
前記第三マスク生成手段は、前記第二マスク生成手段により生成されたマスクmaを1ビット左シフトして得られたものに前記第二鍵生成手段により生成された鍵kを加算することで前記マスクmbを生成し、
前記第四マスク生成手段は、前記第一マスク生成手段により生成されたマスクmaを1ビット左シフトして得られたものに前記第一鍵生成手段により生成された鍵kを加算することで前記マスクmbを生成することを特徴とする請求項2ないし5のいずれか一項に記載の相互認証システム。 - 前記第一鍵生成手段は、
乱数r1と乱数r2を生成し、
前記乱数r1に基づきマスクm1を生成し、
前記第一端末と前記第二端末との間で予め共有されている鍵テーブルの一つである第一鍵テーブルSRと前記マスクm1との排他的論理和SR'を求め、
前記排他的論理和SR'と前記乱数r2との排他的論理和r3を求め、
前記排他的論理和SR'と前記第一端末と前記第二端末との間で予め共有されている鍵テーブルの一つである第二鍵テーブルSTとでビットが共通している共通位置を求め、前記乱数r2における当該共通位置のビットを抽出することで前記鍵kを生成し、
前記第二鍵生成手段は、
前記第一端末から受信したパラメータr1からマスクm1を生成し、
前記第一端末と前記第二端末との間で予め共有されている鍵テーブルの一つである前記第一鍵テーブルSRと前記マスクm1との排他的論理和SR'を求め、
前記第一端末から受信したパラメータr3と前記第一端末と前記第二端末との間で予め共有されている鍵テーブルの一つである第二鍵テーブルSTとの排他的論理和r4を求め、
前記排他的論理和SR'と前記第一端末と前記第二端末との間で予め共有されている前記第二鍵テーブルSTとでビットが共通している共通位置を求め、前記排他的論理和r4における当該共通位置のビットを抽出することで前記鍵kを生成することを特徴とする請求項2ないし6のいずれか一項に記載の相互認証システム。 - 他の端末装置との間で相互認証を実行する端末装置であって、
乱数raを生成する第一乱数生成手段と、
前記他の端末装置との間で予め共有された鍵kに基づきマスクmaを生成する第一マスク生成手段と、
前記乱数raと前記マスクmaとの排他的論理和を生成する第一排他的論理和手段と、
前記排他的論理和を前記他の端末装置に送信する第一送信手段と、
前記他の端末装置により復元された乱数raと前記他の端末装置により求められた排他的論理和とを受信する第二受信手段と、
前記他の端末装置により復元された乱数raと前記第一乱数生成手段により生成された乱数raとが一致しているかどうかに基づき前記他の端末装置を認証する第一認証手段と、
前記他の端末装置により復元された乱数raと前記第一乱数生成手段により生成された乱数raとが一致している場合には、前記鍵kと前記第一マスク生成手段により生成されたマスクmaとからマスクmbを生成する第四マスク生成手段と、
前記他の端末装置により求められた排他的論理和と前記第四マスク生成手段により生成されたマスクmbとから乱数rbを復元して前記他の端末装置に送信する第二復元手段と
を有すること特徴とする端末装置。 - 他の端末装置との間で相互認証を実行する端末装置であって、
前記他の端末装置との間で予め共有された鍵kに基づきマスクmaを生成する第二マスク生成手段と、
前記他の端末装置において求められた排他的論理和と前記第二マスク生成手段により生成されたマスクmaとに基づき乱数raを復元する第一復元手段と、
乱数rbを生成する第二乱数生成手段と、
前記鍵kと前記第二マスク生成手段により生成されたマスクmaとに基づきマスクmbを生成する第三マスク生成手段と、
前記乱数rbと前記マスクmbとの排他的論理和を生成する第二排他的論理和手段と、
前記第一復元手段により復元された乱数raおよび前記第二排他的論理和手段により求められた排他的論理和を前記他の端末装置に送信する第二送信手段と、
前記他の端末装置の第二復元手段により復元された乱数rbを受信し、当該乱数rbと、前記第三マスク生成手段により生成された乱数rbとが一致するかどうかに基づき前記他の端末装置を認証する第二認証手段と
を有すること特徴とする端末装置。 - 請求項8または9に記載の端末装置の各手段としてコンピュータを機能させるプログラム。
- 第一端末と第二端末との間で鍵共有と相互認証を実行する相互認証方法であって、
前記第一端末は、
乱数raを生成する第一乱数生成工程と、
前記第二端末との間で予め共有された鍵kに基づきマスクmaを生成する第一マスク生成工程と、
前記乱数raと前記マスクmaとの排他的論理和を生成する第一排他的論理和工程と、
前記排他的論理和を前記第二端末に送信する第一送信工程と、
を実行し、
前記第二端末は、
前記排他的論理和を受信する第一受信工程と、
前記鍵kに基づきマスクmaを生成する第二マスク生成工程と、
前記第一受信工程により受信された前記排他的論理和と前記第二マスク生成工程により生成されたマスクmaとに基づき乱数raを復元する第一復元工程と、
乱数rbを生成する第二乱数生成工程と、
前記鍵kと前記第二マスク生成工程により生成されたマスクmaとに基づきマスクmbを生成する第三マスク生成工程と、
前記乱数rbと前記マスクmbとの排他的論理和を生成する第二排他的論理和工程と、
前記第一復元工程により復元された乱数raおよび前記第二排他的論理和工程により求められた排他的論理和を送信する第二送信工程と、
を実行し、
前記第一端末は、さらに、
前記第二端末において前記第一復元工程により復元された乱数raと前記第二排他的論理和工程により求められた排他的論理和とを受信する第二受信工程と、
前記第二端末において前記第一復元工程により復元された乱数raと前記第一端末において前記第一乱数生成工程により生成された乱数raとが一致しているかどうかに基づき前記第二端末を認証する第一認証工程と、
前記第二端末において前記第一復元工程により復元された乱数raと前記第一端末において前記第一乱数生成工程により生成された乱数raとが一致している場合には、前記鍵kと前記第一マスク生成工程により生成されたマスクmaとからマスクmbを生成する第四マスク生成工程と、
前記第二端末において前記第二排他的論理和工程により求められた排他的論理和と前記第一端末において前記第四マスク生成工程により生成されたマスクmbとから乱数rbを復元する第二復元工程と
を実行し、
前記第二端末は、さらに、
前記第一端末において前記第二復元工程により復元された乱数rbを受信し、当該乱数rbと、前記第二端末において前記第三マスク生成工程により生成された乱数rbとが一致するかどうかに基づき前記第一端末を認証する第二認証工程と
を実行すること特徴とする相互認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015237953A JP6464077B2 (ja) | 2015-12-04 | 2015-12-04 | 相互認証システム、相互認証方法、端末装置およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015237953A JP6464077B2 (ja) | 2015-12-04 | 2015-12-04 | 相互認証システム、相互認証方法、端末装置およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017103733A JP2017103733A (ja) | 2017-06-08 |
| JP6464077B2 true JP6464077B2 (ja) | 2019-02-06 |
Family
ID=59017073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015237953A Expired - Fee Related JP6464077B2 (ja) | 2015-12-04 | 2015-12-04 | 相互認証システム、相互認証方法、端末装置およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6464077B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100327494B1 (ko) * | 2000-03-24 | 2002-03-15 | 윤종용 | 다중 접근 방식을 이용한 보안 통신 시스템에서의 키 동의방법 |
| JP2009050004A (ja) * | 2007-08-21 | 2009-03-05 | Samsung Electronics Co Ltd | 挑戦応答基盤のrtt検査方法、装置及びその方法を記録したコンピュータで読み取り可能な記録媒体 |
| CN104811306B (zh) * | 2014-01-28 | 2019-07-19 | 西安西电捷通无线网络通信股份有限公司 | 实体鉴别方法、装置及系统 |
-
2015
- 2015-12-04 JP JP2015237953A patent/JP6464077B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017103733A (ja) | 2017-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057204B2 (en) | Methods for encrypted data communications | |
| CN111066285B (zh) | 基于sm2签名恢复公钥的方法 | |
| CN111566990B (zh) | 有不受信任的装置的安全密钥协议 | |
| JP6740902B2 (ja) | 認証暗号化方法、認証復号方法および情報処理装置 | |
| AU2018322689A1 (en) | Terminal identity protection method in a communication system | |
| US10411889B2 (en) | Chaotic-based synchronization for secure network communications | |
| CN106452791B (zh) | 一种无信任中心的量子数字签名方法 | |
| JP6473876B2 (ja) | セキュアネットワーク通信方法 | |
| TWI807103B (zh) | 用於共享公共秘密之電腦實施系統及方法 | |
| Hwang et al. | Quantum authencryption: one-step authenticated quantum secure direct communications for off-line communicants | |
| US20150381365A1 (en) | Network device configured to derive a shared key | |
| CN108923914B (zh) | 一种基于4粒子簇态的量子密钥分发方法 | |
| Hwang et al. | Probabilistic authenticated quantum dialogue | |
| JP6464077B2 (ja) | 相互認証システム、相互認証方法、端末装置およびプログラム | |
| KR102304831B1 (ko) | 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법 | |
| WO2021106143A1 (ja) | シャッフルシステム、シャッフル方法及びプログラム | |
| Fraczek et al. | Steg Blocks: Ensuring perfect undetectability of network steganography | |
| JP2008177815A (ja) | ブロードキャスト暗号方式およびブロードキャスト暗号装置 | |
| KR101737782B1 (ko) | 복수의 양자 통신 클라이언트로 공통키를 분배하는 방법 및 장치 | |
| KR20150135717A (ko) | 모바일 멀티홉 네트워크에서 비밀키를 공유하는 장치 및 방법 | |
| CN112163171B (zh) | 一种基于终端签名的数据记链方法 | |
| JP7119071B2 (ja) | 認証システム、認証装置、認証方法、およびプログラム | |
| US20230421357A1 (en) | Method and system for anonymous symmetric authenticated key establishment | |
| JP2017130855A (ja) | 認証システム及び方法 | |
| JP2023157175A (ja) | ユーザ拠点装置、暗号通信システム、暗号通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180307 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181217 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6464077 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |