JPH02181537A - 利用者認証方式 - Google Patents
利用者認証方式Info
- Publication number
- JPH02181537A JPH02181537A JP64000725A JP72589A JPH02181537A JP H02181537 A JPH02181537 A JP H02181537A JP 64000725 A JP64000725 A JP 64000725A JP 72589 A JP72589 A JP 72589A JP H02181537 A JPH02181537 A JP H02181537A
- Authority
- JP
- Japan
- Prior art keywords
- function
- information
- authentication
- user
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 57
- 238000010586 diagram Methods 0.000 description 13
- 238000012795 verification Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 150000001768 cations Chemical class 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明は、情報通信システムにおいて、送信者の身元を
確認する利用者認証方式に関する。
確認する利用者認証方式に関する。
従来、認証方式の代表的なものとしては、R8A暗号系
を利用した方式がある。R8A暗号系は、例えばCom
munication of the ACM、 Vo
l、 2is &2t pp−120〜126 (19
78)においてRivest、 R,L、らにより”A
Method forObtaining Dig
ital Signatures and Pub
lic−K ay Cryptosystems”と題
して詳述されているが、その概要は以下の通りである。
を利用した方式がある。R8A暗号系は、例えばCom
munication of the ACM、 Vo
l、 2is &2t pp−120〜126 (19
78)においてRivest、 R,L、らにより”A
Method forObtaining Dig
ital Signatures and Pub
lic−K ay Cryptosystems”と題
して詳述されているが、その概要は以下の通りである。
利用者Aは、署名用鍵(d、N)と検査用鍵(a、N)
を N=PXQ eXDミ1 (sod L) たゾし、L=LCM ((P−1)、(Q−1))をみ
たすように生成し、検査用鍵を公開し、署名用鍵を秘密
を管理する。こ\で、LCM(a、b)は整数aとbの
最小公倍数を表して、PとQは相異なる2つの大きな素
数とする。また、aミb(nod L)は、a−bがL
の倍数であることを表す。
を N=PXQ eXDミ1 (sod L) たゾし、L=LCM ((P−1)、(Q−1))をみ
たすように生成し、検査用鍵を公開し、署名用鍵を秘密
を管理する。こ\で、LCM(a、b)は整数aとbの
最小公倍数を表して、PとQは相異なる2つの大きな素
数とする。また、aミb(nod L)は、a−bがL
の倍数であることを表す。
認証者Bは、利用者の検査用1!(e、N)を個人識別
情報(ID)と組合わせて検査用鍵ファイルとして管理
する。
情報(ID)と組合わせて検査用鍵ファイルとして管理
する。
署名関数りと検査関数Eを
D (P)=P ’(nod N)E (C)=
C” (sod N)で定義すると、0≦P≦Nをみ
たす整数Pに対して E (D (P) ) =p が成り立つことが示せる。こ−で、a (sod N)
は、aをNで割ったときの余りを表す。
C” (sod N)で定義すると、0≦P≦Nをみ
たす整数Pに対して E (D (P) ) =p が成り立つことが示せる。こ−で、a (sod N)
は、aをNで割ったときの余りを表す。
R5A暗号系は、Nが大きいときNの素因数分解が困難
なことに安全性の根拠を持つ暗号系であり、公開された
検査用鍵(N、e)から秘密の署名分備のd成分を求め
ることは困難である。このR8A暗号系を利用した認証
方式は以下の通りである。
なことに安全性の根拠を持つ暗号系であり、公開された
検査用鍵(N、e)から秘密の署名分備のd成分を求め
ることは困難である。このR8A暗号系を利用した認証
方式は以下の通りである。
利用者Aは、一方向性関数fを用いてMから生成したf
(M)に対して、秘密の署名関数りを適用してC=D
(f (M) )で署名文Cを生成し。
(M)に対して、秘密の署名関数りを適用してC=D
(f (M) )で署名文Cを生成し。
個人識別情報IDとMと署名文Cの組合せを(より、M
、C)を署名文として認証者Bに送信する。
、C)を署名文として認証者Bに送信する。
認証者Bは、よりをキーに検査用鍵ファイルを検索して
検査関数Eを求めて、署名文CからE(C)で復号文を
求め、Mから求めたf (M)と一致するか検査する。
検査関数Eを求めて、署名文CからE(C)で復号文を
求め、Mから求めたf (M)と一致するか検査する。
E (C) =f (M)が成り立てば、Dを知って
いるのは真の利用者Aだけなので、送信者が本物であり
、(ID、M、C)は改ざんされていないと判断する。
いるのは真の利用者Aだけなので、送信者が本物であり
、(ID、M、C)は改ざんされていないと判断する。
こぎで、fが一方向性関数とは、f (x)の計算は容
易であるが、f (x)からXを求めるのが困難な関数
である。fは高速な慣用暗号化装置。
易であるが、f (x)からXを求めるのが困難な関数
である。fは高速な慣用暗号化装置。
例えばDES暗号(D ata E ncryptio
n S tandardF edaral I nfo
rmation P rocessing S tan
dardsPublication 46 、1977
)による慣用暗号化装置を用いて生成できる。高速な
構成要素を用いれば、fの計算時間はほとんど無視でき
る。
n S tandardF edaral I nfo
rmation P rocessing S tan
dardsPublication 46 、1977
)による慣用暗号化装置を用いて生成できる。高速な
構成要素を用いれば、fの計算時間はほとんど無視でき
る。
以上で述べたR8A暗号を利用した認証方式は。
通信文の冗長度が小さく、秘密に管理する情報量が少な
いが、その安全性が計算量理論的に証明されていない、
つまり、相手に自分の秘密情報に関する情報を漏らさな
いという保証がない。
いが、その安全性が計算量理論的に証明されていない、
つまり、相手に自分の秘密情報に関する情報を漏らさな
いという保証がない。
安全性が計算量理論的に証明されている方式としてF
iatとS hamirの方式がある(Fiat、 A
。
iatとS hamirの方式がある(Fiat、 A
。
and Shamir、A : “How to
prove yourself :practical
5olutions to 1dentifi
cation andsignature prob
lems”、Proceedings of Cry
pt。
prove yourself :practical
5olutions to 1dentifi
cation andsignature prob
lems”、Proceedings of Cry
pt。
86.5anta Barbara、August
1986.pp。
1986.pp。
18−1〜18−7)、FiatとS hamirの認
証方式は以下の通りである。
証方式は以下の通りである。
信頼できるセンタが、個人識別情報としてよりを用いる
利用者に対して、次の手順でに個の秘密情報Si (1
≦j≦k)を生成する(kは安全性を定めるパラメータ
であり1以上の値)。
利用者に対して、次の手順でに個の秘密情報Si (1
≦j≦k)を生成する(kは安全性を定めるパラメータ
であり1以上の値)。
ステップ1ニ一方向性関数fを用いて
■j=f(より、j) (1≦j≦k)を計算する
。
。
ステップ2:各vjに対してNの素因数PとQを用いて
s j =V’ 1 / v j (mod N
)を計算する。すなわち、 s j ” = 1 /
v j(mad N)となる。
s j =V’ 1 / v j (mod N
)を計算する。すなわち、 s j ” = 1 /
v j(mad N)となる。
ステップ3:利用者に対してに個のsjを秘密に発行し
、合成数Nを公開する。
、合成数Nを公開する。
(Ilod N)における平方根の計算は、Nの素因数
(PとQ)が分かっているときのみ実行できる。
(PとQ)が分かっているときのみ実行できる。
その方法は、例えばRabin 、 M 、○:“D
igitalizedSignatures and
Public−Key Functions asIn
tractable as Factorizatio
n”、Tech、 Rep。
igitalizedSignatures and
Public−Key Functions asIn
tractable as Factorizatio
n”、Tech、 Rep。
MIT/LC3/TR−212MIT Lab。
Comput、 Sci、 1979に示されている。
平方根の計算装置の具体的な構成例は、特開昭63−2
637号″公開鍵暗号システム″に示されている。
637号″公開鍵暗号システム″に示されている。
送信者Aは認証者Bに対して、Aが本物であることを、
次の手順で証明する。
次の手順で証明する。
ステップ1:AがよりをBに送る。
ステップ2:Bがvj=f (ID、j) (1≦
j≦k)を計算する。
j≦k)を計算する。
次に、i=1.・・・ tについて3〜6のステップを
t回繰り返す(tは安全性を定めるパラメータであり、
1以上の値)。
t回繰り返す(tは安全性を定めるパラメータであり、
1以上の値)。
ステップ3:乱数riを生成して、
xi=ri” (modN)
を計算して、Bに送る。
ステップ4:Bが0.1のビット列(e□0.・・・+
eik)を生成して、Aに送る。
eik)を生成して、Aに送る。
ステップ5:Aが署名文yiを
yi=rirIsj (mad N)eij=1
で生成して、Bに送る。
ステップ6:Bは、
xi=yi”rIvj (modN)eij=1
を検査する。
査にすべて合格した場合、認証者BはAが本物であると
認める。このとき、認証者Bが、偽の利用者を本物のA
と認めてしまう誤りの生じる確率は1/2ktである。
認める。このとき、認証者Bが、偽の利用者を本物のA
と認めてしまう誤りの生じる確率は1/2ktである。
ニーで、には利用者が秘密に管理する秘密情報(sj)
の個数であり、tは通信文(X i 、 (e 11.
−、 e 1k) 、Y i )の通信回数を定めてい
る。
の個数であり、tは通信文(X i 、 (e 11.
−、 e 1k) 、Y i )の通信回数を定めてい
る。
このFiatとS hamirの方式は、計算量理論的
や手法で安全性が証明されている。つまり、この方式は
、零知識証明となることが前述したF iatとS h
a+mirらの論文で証明されている。利用者認証方式
が零知識証明であるならば、いかなる不正行為も困難で
あることが計算量理論的観点より保証される0通信文の
ビット数は(1000Xt+kXt)ビットであり、安
全性を確保するにはある程度の大きさのkとtを選ぶ必
要があるので1通信量が大きくなる。
や手法で安全性が証明されている。つまり、この方式は
、零知識証明となることが前述したF iatとS h
a+mirらの論文で証明されている。利用者認証方式
が零知識証明であるならば、いかなる不正行為も困難で
あることが計算量理論的観点より保証される0通信文の
ビット数は(1000Xt+kXt)ビットであり、安
全性を確保するにはある程度の大きさのkとtを選ぶ必
要があるので1通信量が大きくなる。
以上では、利用者認証について説明したが、ディジタル
署名は上記の手順を次の様に変更して実現できる。
署名は上記の手順を次の様に変更して実現できる。
平文(M)と(xl、・・・+Xt)に一方向性関数f
を施こして得たf (M、 Xl、・・・pXt)の先
頭のkXtビットを上記手順のビット列(e、、)とみ
なして、署名つき認証文として、(ID、M。
を施こして得たf (M、 Xl、・・・pXt)の先
頭のkXtビットを上記手順のビット列(e、、)とみ
なして、署名つき認証文として、(ID、M。
(eir) + ytt・・・t yt)を署名つき通
信文として認証者に送信するmFxatとS hami
rの方式によるディジタル署名は、利用者認証法と同様
に処理量を大幅に削減できるが、通信文の冗長度が大き
いことが問題となる。
信文として認証者に送信するmFxatとS hami
rの方式によるディジタル署名は、利用者認証法と同様
に処理量を大幅に削減できるが、通信文の冗長度が大き
いことが問題となる。
以上のように、R8A暗号を利用した認証方式は、通信
文の冗長度が小さく、秘密に管理する情報量が少ないが
、その安全性が計算量理論的に証明されていない(つま
り、相手に自分の秘密情報に関する情報を漏らさないと
いう保証がない)。
文の冗長度が小さく、秘密に管理する情報量が少ないが
、その安全性が計算量理論的に証明されていない(つま
り、相手に自分の秘密情報に関する情報を漏らさないと
いう保証がない)。
一方、F iatとS hamirの方式は、その安全
性が計算量理論的に証明されており、安全であるが、転
送情報量が大きいことが問題である。
性が計算量理論的に証明されており、安全であるが、転
送情報量が大きいことが問題である。
本発明の目的は、安全性が高くかつ通信量を削減できる
、効率のよい利用者認証方式を提案することにある。
、効率のよい利用者認証方式を提案することにある。
上記目的を達成するために1本発明の第1の方式では、
利用者のシステム加入時に基本的に一度だけ行う初期情
報設定段階において、被認証側は、暗号関数(A)及び
その逆関数(復号関数)(B)及びAと独立の一方向性
関数(F)を生成し、Bを秘密に保持し、A及びFを公
開情報として、利用者の識別情報(I D)と対にして
、公開管理簿もしくは認証側の管理簿に登録し、該初期
情報設定段階以降の認証処理段階においては、被認証側
は、よりを認証側に送信し、よりを受信した認証側は、
よりに基づき管理簿よりA、Fを検索した後、関数Aの
定義域よりランダムに1つの変数(X)を選び、それよ
り関数値Y=A (X)及びZ=F(X)を計算し、認
証情報1 (Y、Z)として被認証側に送信し、(Y,
Z)を受信した被認証側は、秘密のBを用いてX’ =
B (Y)を計算し、さらに公開のFを用いてZ’ =
F (X’ )を計算し、2と2′が一致するかどうか
を検証し、一致しなければ処理を中断し、一致すればX
′を認証情報2として認証側に送信し、X′を受信した
認証側は、X′がXと一致するかどうかを検査し、一致
すれば正当とみなすことにより被認証側の正当性を確認
する。
利用者のシステム加入時に基本的に一度だけ行う初期情
報設定段階において、被認証側は、暗号関数(A)及び
その逆関数(復号関数)(B)及びAと独立の一方向性
関数(F)を生成し、Bを秘密に保持し、A及びFを公
開情報として、利用者の識別情報(I D)と対にして
、公開管理簿もしくは認証側の管理簿に登録し、該初期
情報設定段階以降の認証処理段階においては、被認証側
は、よりを認証側に送信し、よりを受信した認証側は、
よりに基づき管理簿よりA、Fを検索した後、関数Aの
定義域よりランダムに1つの変数(X)を選び、それよ
り関数値Y=A (X)及びZ=F(X)を計算し、認
証情報1 (Y、Z)として被認証側に送信し、(Y,
Z)を受信した被認証側は、秘密のBを用いてX’ =
B (Y)を計算し、さらに公開のFを用いてZ’ =
F (X’ )を計算し、2と2′が一致するかどうか
を検証し、一致しなければ処理を中断し、一致すればX
′を認証情報2として認証側に送信し、X′を受信した
認証側は、X′がXと一致するかどうかを検査し、一致
すれば正当とみなすことにより被認証側の正当性を確認
する。
また1本発明の第2の方式では、初期情報設定段階にお
いては、被認証側は、暗号関数(A)及びその逆関数(
復号関数)(B)及びAと独立の2つの一方向性関数(
FとG)を生成し、Bを秘密に保持し、A及びF及びG
を公開情報として。
いては、被認証側は、暗号関数(A)及びその逆関数(
復号関数)(B)及びAと独立の2つの一方向性関数(
FとG)を生成し、Bを秘密に保持し、A及びF及びG
を公開情報として。
利用者の識別情報(ID)と対にして、公開管理簿もし
くは認証側の管理簿に登録し、認証処理段階においては
、被認証側は、よりを認証側に送信し、よりを受信した
認証側は、よりに基づき管理簿よりA、F、Gを検索し
た後、関数Aの定義域よりランダムに1つの変数(X)
を選び、それより関数値Y=A (X)及びZ=F (
X)を計算し、認証情報i (y、z)として被認証側
に送信し。
くは認証側の管理簿に登録し、認証処理段階においては
、被認証側は、よりを認証側に送信し、よりを受信した
認証側は、よりに基づき管理簿よりA、F、Gを検索し
た後、関数Aの定義域よりランダムに1つの変数(X)
を選び、それより関数値Y=A (X)及びZ=F (
X)を計算し、認証情報i (y、z)として被認証側
に送信し。
(Y,Z)を受信した被認証側は、秘密のBを用いてX
’ =B (Y)を計算し、さらに公開のFを用いてZ
’ =F (X’ )を計算し、Zと2′が一致するか
どうかを検証し、一致しなければ処理を中断し、一致す
ればW’ =G (X’ )を計算し、W′を認証情報
2として認証側に送信し、W′を受信した認証側は、W
=G (X)を計算し、W′がWと一致するかどうかを
検査して、一致すれば正当とみなすことにより被認証側
の正当性を確認する。
’ =B (Y)を計算し、さらに公開のFを用いてZ
’ =F (X’ )を計算し、Zと2′が一致するか
どうかを検証し、一致しなければ処理を中断し、一致す
ればW’ =G (X’ )を計算し、W′を認証情報
2として認証側に送信し、W′を受信した認証側は、W
=G (X)を計算し、W′がWと一致するかどうかを
検査して、一致すれば正当とみなすことにより被認証側
の正当性を確認する。
本発明では、安全性を保証するため、 Fiat−8h
amir法等の安全性の証明で用いられている零知識証
明の手法を用いる。また、F 1at−S hamir
法が認証処理においてYes/No (1ビツト)の質
問応答を繰返した形を基本に構成するため通信量が多く
なるのに対し1本発明では数100ビツトの質問応答を
1回だけ行う形を基本に構成するため1通信量を削減す
ることができる。なお、Fiat−S ha+sir法
がべき乗演算に限定された方式であるのに比べ1本発明
は、多くの暗号関数を基本にして構成することができる
。
amir法等の安全性の証明で用いられている零知識証
明の手法を用いる。また、F 1at−S hamir
法が認証処理においてYes/No (1ビツト)の質
問応答を繰返した形を基本に構成するため通信量が多く
なるのに対し1本発明では数100ビツトの質問応答を
1回だけ行う形を基本に構成するため1通信量を削減す
ることができる。なお、Fiat−S ha+sir法
がべき乗演算に限定された方式であるのに比べ1本発明
は、多くの暗号関数を基本にして構成することができる
。
以下、本発明の一実施例について図面により説明する。
第1図は本発明で対象とする通信システムの概略ブロッ
ク図である。第1図において、100は認証を受ける利
用者局(被認証局)、200は認証を行う認証者局(認
証局)であり、両者は安全でない通信路300を介して
結合されている。
ク図である。第1図において、100は認証を受ける利
用者局(被認証局)、200は認証を行う認証者局(認
証局)であり、両者は安全でない通信路300を介して
結合されている。
最初に、本発明の利用者認証方式の第1の実施例につい
て説明する。
て説明する。
先ず、システムに加入した局100は、システム加入時
に局が基本的に一度だけ行う初期情報設定段階において
、公開情報と秘密情報を生成し、公開情報を利用者の識
別情報(I D)と対にして、公開情報管理簿もしくは
局200に登録する。
に局が基本的に一度だけ行う初期情報設定段階において
、公開情報と秘密情報を生成し、公開情報を利用者の識
別情報(I D)と対にして、公開情報管理簿もしくは
局200に登録する。
第2図を用いて、この手順を説明する。まず、こ\で用
いる暗号アルゴリズム(P)130を定め、暗号鍵生成
器120を用いて、暗号化N (E)と復号化鍵(D)
を生成する。R8A暗号の場合の生成例は、従来技術で
示した通りである。二5で、暗号関数A=P[、、その
逆関数B=PDとし、さらにAと独立な一方向性関数(
F)140を定める。このようにして、定めたものNう
ち、A。
いる暗号アルゴリズム(P)130を定め、暗号鍵生成
器120を用いて、暗号化N (E)と復号化鍵(D)
を生成する。R8A暗号の場合の生成例は、従来技術で
示した通りである。二5で、暗号関数A=P[、、その
逆関数B=PDとし、さらにAと独立な一方向性関数(
F)140を定める。このようにして、定めたものNう
ち、A。
Fを公開情報とし、Bを秘密情報とする。
次に、局100が局200に対して自分の正当性を証明
する利用者認証手順について説明する。
する利用者認証手順について説明する。
以下では、局100を被認証者、局200を認証者と呼
ぶことにするが、同様にして1局200が被認証者、局
100が認証者として動作することも可能である。以下
、第3図、第4図、及び第5図を用いて、認証手順を示
す。利用者認証における被認証者(局)100と認証者
(局)200の通信文の交信の様子を第3図に、被認証
者100のブロック図を第4図に、認証者200のブロ
ック図を第5図に示す。
ぶことにするが、同様にして1局200が被認証者、局
100が認証者として動作することも可能である。以下
、第3図、第4図、及び第5図を用いて、認証手順を示
す。利用者認証における被認証者(局)100と認証者
(局)200の通信文の交信の様子を第3図に、被認証
者100のブロック図を第4図に、認証者200のブロ
ック図を第5図に示す。
ステップ1:被認証者100は、自分のよりを認証者2
00に送信する。
00に送信する。
ステップ2:認証者200は、よりに基づき管理簿27
0よりA、Fを検索した後、乱数発生器210を用いて
関数Aの定義域内の乱数Xを生成し、公開情報の暗号演
算器250及び一方向性関数演算器240に入力してY
=A (X)及びZ=F (X)を計算し、このY、Z
を認証情報1として被認証者100に送信する。
0よりA、Fを検索した後、乱数発生器210を用いて
関数Aの定義域内の乱数Xを生成し、公開情報の暗号演
算器250及び一方向性関数演算器240に入力してY
=A (X)及びZ=F (X)を計算し、このY、Z
を認証情報1として被認証者100に送信する。
ステップ3:被認証者100は、秘密の復号演算器18
0を用いてX’ =B (Y)を計算し、さらに一方向
性関数演算器140を用いて2′=F (X’ )を計
算し、z′とZを一致検査器190に入力して一致する
ことを検査する。一致しなければ処理を中断し、一致す
れば、X″を認証情報2として認証者200に送信する
。
0を用いてX’ =B (Y)を計算し、さらに一方向
性関数演算器140を用いて2′=F (X’ )を計
算し、z′とZを一致検査器190に入力して一致する
ことを検査する。一致しなければ処理を中断し、一致す
れば、X″を認証情報2として認証者200に送信する
。
ステップ4:認証者200は、X′とXを一致検査器2
90に入力して一致することを検査する。
90に入力して一致することを検査する。
一致検査器290は、2つの値が同じなら“合格”、異
なれば“不合格″を出力する。
なれば“不合格″を出力する。
次に、本発明の利用者認証方式の第2の実施例について
説明する。
説明する。
先ず、システムに加入した局100は、システム加入時
に局が基本的に一度だけ行う初期情報設定段階において
、公開情報と秘密情報を生成し、公開情報を利用者の識
別情報IDと対にして、公開情報管理簿もしくは局20
0に登録する。
に局が基本的に一度だけ行う初期情報設定段階において
、公開情報と秘密情報を生成し、公開情報を利用者の識
別情報IDと対にして、公開情報管理簿もしくは局20
0に登録する。
第6図を用いて、この手順を説明する。まず、二Nで用
いる暗号アルゴリズム(P)130を定め、暗号鍵生成
器120を用いて、暗号化鍵Eと復号化#!Dを生成す
る。R5A暗号の場合の生成例は、従来技術で示した通
りである。二Nで、暗号関数A=PE、その逆関数B=
PDとし、さらにAと独立な一方向性関数(F)140
及び一方向性関数(G)160を定める。このようにし
て、定めたもの\うち、A、F、Gを公開情報とし、B
を秘密情報とする。
いる暗号アルゴリズム(P)130を定め、暗号鍵生成
器120を用いて、暗号化鍵Eと復号化#!Dを生成す
る。R5A暗号の場合の生成例は、従来技術で示した通
りである。二Nで、暗号関数A=PE、その逆関数B=
PDとし、さらにAと独立な一方向性関数(F)140
及び一方向性関数(G)160を定める。このようにし
て、定めたもの\うち、A、F、Gを公開情報とし、B
を秘密情報とする。
次に、局100が局200に対して自分の正当性を証明
する利用者認証手順について説明する。
する利用者認証手順について説明する。
以下では1局100を被認証者1局200を認証者と呼
ぶことにするが、同様にして、局200が被認証者、局
100が認証者として動作することも可能である。以下
、第7図、第8図、及び第9図を用いて、認証手順を示
す。利用者認証における、被認証者(局)100と認証
者(局)200の通信文の交信の様子を第7図に、被認
証者100のブロック図を第8図に、認証者200のブ
ロック図を第9図に示す。
ぶことにするが、同様にして、局200が被認証者、局
100が認証者として動作することも可能である。以下
、第7図、第8図、及び第9図を用いて、認証手順を示
す。利用者認証における、被認証者(局)100と認証
者(局)200の通信文の交信の様子を第7図に、被認
証者100のブロック図を第8図に、認証者200のブ
ロック図を第9図に示す。
ステップ1:被認証者100は、自分のよりを認証者2
00に送信する。
00に送信する。
ステップ2:認証者200は、よりに基づき管理簿27
0よりA、FGを検索した後、乱数発生器210を用い
て関数Aの定義域内の乱数Xを生成し、公開情報の暗号
演算器250及び一方向性関数演算器240に入力して
Y=A (X)及びZ=F (X)を計算し、とのY、
zを認証情報1.として被認証者100に送信する。
0よりA、FGを検索した後、乱数発生器210を用い
て関数Aの定義域内の乱数Xを生成し、公開情報の暗号
演算器250及び一方向性関数演算器240に入力して
Y=A (X)及びZ=F (X)を計算し、とのY、
zを認証情報1.として被認証者100に送信する。
ステップ3:被認証者100は、秘密の復号演算器18
0を用いてX’ =B (Y)を計算し、さらに一方向
性関数演算器140を用いてZ′=F (X’ )を計
算し、Z′とZを一致検査器190に入力して一致する
ことを検査する。一致しなければ処理を中断し、一致す
れば、一方向性関数演算器160を用いてW’ =G
(X’ )を計算し、このW″を認証情報2として認証
者200に送信するゆステップ4:認証者200は、一
致検査器260を用いてW=G (X)を計算した後、
WlとWを一致検査器290に入力して一致することを
検査する。一致検査器290は、2つの値が同じなら゛
合格″、異なれば“不合格″を出力する。
0を用いてX’ =B (Y)を計算し、さらに一方向
性関数演算器140を用いてZ′=F (X’ )を計
算し、Z′とZを一致検査器190に入力して一致する
ことを検査する。一致しなければ処理を中断し、一致す
れば、一方向性関数演算器160を用いてW’ =G
(X’ )を計算し、このW″を認証情報2として認証
者200に送信するゆステップ4:認証者200は、一
致検査器260を用いてW=G (X)を計算した後、
WlとWを一致検査器290に入力して一致することを
検査する。一致検査器290は、2つの値が同じなら゛
合格″、異なれば“不合格″を出力する。
次に、本発明の方式が、安全性が計算量理論的に保証さ
れ、且つ、転送情報量を少なくできることを説明する。
れ、且つ、転送情報量を少なくできることを説明する。
(i) 安全性
以下の仮定の下で1本発明は、零知識証明となり、安全
である。ニーでは、第1の実施例について説明するが、
第2の実施例も同様に説明できる。
である。ニーでは、第1の実施例について説明するが、
第2の実施例も同様に説明できる。
[仮定]
関数Bを知らない場合、関数F、Gは、以下のような性
質を持つ。
質を持つ。
(i)Y、ZよりXを求めることが困難。
(ii) Xを知らずに、Y、Zを生成すことが困難。
[零知識証明の証明]
零知識証明であることを証明するには、完全性。
健全性、零知識性を証明すればよい。
(完全性) 正当な被認証者は、確率1で合格する。
(健全性) 仮定(i)より、不正な被認証者が合格す
る確率は無視できるくらい低い。
る確率は無視できるくらい低い。
(零知識性)仮定(…)より、Xを用いずに、検査に合
格するY、Zを生成することが困難、従って、あらゆる
認証者に対して、認証者の内部変数を含む被認証者との
交信をシミュレートできる。
格するY、Zを生成することが困難、従って、あらゆる
認証者に対して、認証者の内部変数を含む被認証者との
交信をシミュレートできる。
(五)通信量
F iatとS hamirの方式での通信文は(ID
eXx+・・・+ Xtt (eijL Xtt・・・
e’/l)であり1本発明での通信文は(ID、Y、Z
、X’ )もしくは(ID、Y、Z、W’ )である、
二Nで(e it)のビット数は(kxt)ビットで、
xl、・・・、 ”Xt。
eXx+・・・+ Xtt (eijL Xtt・・・
e’/l)であり1本発明での通信文は(ID、Y、Z
、X’ )もしくは(ID、Y、Z、W’ )である、
二Nで(e it)のビット数は(kxt)ビットで、
xl、・・・、 ”Xt。
’l t y・・・p3’tのビット数はNのビット数
に等しい。
に等しい。
本発明の場合、ビット数は用いた暗号関数等の入力サイ
ズに依存するが、 FiatとS hamirの方法の
Nビットが暗号関数等の入力サイズに相当する。
ズに依存するが、 FiatとS hamirの方法の
Nビットが暗号関数等の入力サイズに相当する。
そこで、Y、Z、X’、W’は、いずれもNのビット数
と同等である。
と同等である。
通信文のビット数をNが512ビツトでに=4゜y=5
の場合(彼らの論文での推奨値)で比較すると F iatとS hamirの方式: 5120+20+IDのビット数 本発明方式: 1536+IDのビット数となる。した
がって1、本発明の方式の通信量は、F iatとSh
a膳irの方式より改善されていることが分かる。
の場合(彼らの論文での推奨値)で比較すると F iatとS hamirの方式: 5120+20+IDのビット数 本発明方式: 1536+IDのビット数となる。した
がって1、本発明の方式の通信量は、F iatとSh
a膳irの方式より改善されていることが分かる。
以上説明したように、本発明によれば、従来方式に比べ
て安全性が高く通信量が削減できる効率のよい利用者認
証方式を実現できる。
て安全性が高く通信量が削減できる効率のよい利用者認
証方式を実現できる。
第1図は本発明で対象とする通信システムの概略ブロッ
ク図、第2図は第1の実施例における局の初期情報設定
段階の処理を示すブロック図、第3図は同じく利用者認
証における被認証局と認証局の通信文の交信の様子を示
す図、第4図は同じく被認証局の利用者認証処理を示す
ブロック図、第5図は同じく認証局の利用者認証処理を
示すブロック図、第6図は第2の実施例における局の初
期情報設定段階の処理を示すブロック図J第7図は同じ
く利用者認証における被認証局と認証局の通信文の交信
の様子を示す図、第8図は同じく被認証局の利用者認証
処理を示すブロック図、第9図は同じく認証局の利用者
認証処理を示すブロック図である。 100・・・被認証局(署名作成局)、200・・・認
証局(署名検証局)、 300・・・安全でない通信路、 120・・・暗号鍵生成器。 130・・・暗号アルゴリズム、 140.160,240・・・一方向性関数演算器、1
80・・・復号演算器、 190.290・・・一致検査器。 210・・・乱数発生器、 250・・・暗号演算器、
270・・・(公開)管理簿。 第3 図 第4 図 第6図 第8図 第9図
ク図、第2図は第1の実施例における局の初期情報設定
段階の処理を示すブロック図、第3図は同じく利用者認
証における被認証局と認証局の通信文の交信の様子を示
す図、第4図は同じく被認証局の利用者認証処理を示す
ブロック図、第5図は同じく認証局の利用者認証処理を
示すブロック図、第6図は第2の実施例における局の初
期情報設定段階の処理を示すブロック図J第7図は同じ
く利用者認証における被認証局と認証局の通信文の交信
の様子を示す図、第8図は同じく被認証局の利用者認証
処理を示すブロック図、第9図は同じく認証局の利用者
認証処理を示すブロック図である。 100・・・被認証局(署名作成局)、200・・・認
証局(署名検証局)、 300・・・安全でない通信路、 120・・・暗号鍵生成器。 130・・・暗号アルゴリズム、 140.160,240・・・一方向性関数演算器、1
80・・・復号演算器、 190.290・・・一致検査器。 210・・・乱数発生器、 250・・・暗号演算器、
270・・・(公開)管理簿。 第3 図 第4 図 第6図 第8図 第9図
Claims (2)
- (1)通信路を介して情報を送信する利用者の正当性を
確認する方式において、 初期情報設定処理時、被認証側は、暗号関数(A)及び
その逆関数(復号関数)(B)及びAと独立の一方向性
関数(F)を生成し、Bを秘密に保持し、A及びFを公
開情報として、利用者の識別情報(ID)と対にして、
公開管理簿もしくは認証側の管理簿に登録し、 認証処理時、被認証側は、IDを認証側に送信し、より
を受信した認証側は、よりに基づき管理簿よりA,Fを
検索した後、関数Aの定義域よりランダムに1つの変数
(X)を選び、それより関数値Y=A(X)及びZ=F
(X)を計算し、認証情報1(Y,Z)として被認証側
に送信し、(Y,Z)を受信した被認証側は、秘密のB
を用いてX′=B(Y)を計算し、さらに公開のFを用
いてZ′=F(X′)を計算し、ZとZ′が一致するか
どうかを検証し、一致しなければ処理を中断し、一致す
ればX′を認証情報2として認証側に送信し、X′を受
信した認証側は、X′がXと一致するかどうかを検査し
、一致すれば正当とみなすことを特徴とする利用者認証
方式。 - (2)通信路を介して情報を送信する利用者の正当性を
確認する方式において、 初期情報設定処理時、被認証側は、暗号関数(A)及び
その逆関数(復号関数)(B)及びAと独立の2つの一
方向性関数(FとG)を生成し、Bを秘密に保持し、A
及びF及びGを公開情報として、利用者の識別情報(I
D)と対にして、公開管理簿もしくは認証側の管理簿に
登録し、 認証処理時、被認証側は、IDを認証側に送信し、ID
を受信した認証側は、IDに基づき管理簿よりA、F、
Gを検索した後、関数Aの定義域よりランダムに1つの
変数(X)を選び、それより関数値Y=A(X)及びZ
=F(X)を計算し、認証情報1(Y,Z)として被認
証側に送信し、(Y,Z)を受信した被認証側は、秘密
のBを用いてX′=B(Y)を計算し、さらに公開のF
を用いてZ′=F(X′)を計算し、ZとZ′が一致す
るかどうかを検証し、一致しなければ処理を中断し、一
致すればW′=G(X′)を計算し、W′を認証情報2
として認証側に送信し、W′を受信した認証側は、W=
G(X)を計算し、W′がWと一致するかどうかを検査
して、一致すれば正当とみなすことを特徴とする利用者
認証方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP64000725A JPH02181537A (ja) | 1989-01-05 | 1989-01-05 | 利用者認証方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP64000725A JPH02181537A (ja) | 1989-01-05 | 1989-01-05 | 利用者認証方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH02181537A true JPH02181537A (ja) | 1990-07-16 |
Family
ID=11481717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP64000725A Pending JPH02181537A (ja) | 1989-01-05 | 1989-01-05 | 利用者認証方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH02181537A (ja) |
-
1989
- 1989-01-05 JP JP64000725A patent/JPH02181537A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0786178B1 (en) | Secret-key certificates | |
| US6738912B2 (en) | Method for securing data relating to users of a public-key infrastructure | |
| US8589693B2 (en) | Method for two step digital signature | |
| US7730319B2 (en) | Provisional signature schemes | |
| US9882890B2 (en) | Reissue of cryptographic credentials | |
| CA2543796A1 (en) | Method and apparatus for verifiable generation of public keys | |
| Chen | Efficient fair exchange with verifiable confirmation of signatures | |
| US7171559B1 (en) | Method of exchanging digital data | |
| JP2002534701A (ja) | 寄託されない署名専用キーを用いた自動回復可能な自動可能暗号システム | |
| Kwon | Virtual software tokens-a practical way to secure PKI roaming | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| Modares et al. | Make a Secure Connection Using Elliptic Curve Digital Signature | |
| JP2513169B2 (ja) | 利用者認証方法 | |
| Babenko et al. | Distributed E-voting system based on blind intermediaries using homomorphic encryption | |
| JPH02181537A (ja) | 利用者認証方式 | |
| EP1267516B1 (en) | Method for securing data relating to users of a public-key infrastructure | |
| De Lacerda Filho et al. | Improving Data Security, Privacy, and Interoperability for the IEEE Biometric Open Protocol Standard | |
| JP3278916B2 (ja) | 利用者認証方法 | |
| Xu et al. | Retrofitting fairness on the original RSA-based E-cash | |
| Khudhair | A New Multiple Blind Signatures Using El-Gamal Scheme | |
| JPH04177563A (ja) | 利用者認証方式 | |
| JPH0621939A (ja) | 利用者認証方式 | |
| CN114666032A (zh) | 基于同态加密的区块链交易数据隐私保护方法 | |
| JPH07273757A (ja) | 鍵管理センタへのユーザ登録方法 | |
| Bosselaers et al. | Integrity concepts |