JPH02266464A - 認証方法及びそれに用いる装置 - Google Patents
認証方法及びそれに用いる装置Info
- Publication number
- JPH02266464A JPH02266464A JP1087271A JP8727189A JPH02266464A JP H02266464 A JPH02266464 A JP H02266464A JP 1087271 A JP1087271 A JP 1087271A JP 8727189 A JP8727189 A JP 8727189A JP H02266464 A JPH02266464 A JP H02266464A
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- sentence
- random number
- prover
- initial response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 61
- 238000004891 communication Methods 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims description 50
- 238000012545 processing Methods 0.000 abstract description 15
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 239000002131 composite material Substances 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000190020 Zelkova serrata Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003094 perturbing effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
「産業上の利用分野」
この発明は、電気通信システムで電子資金移動等を行う
場合に、消費者のプライバシイを保護できる通信プロト
コルを実現できる認証方式である。
場合に、消費者のプライバシイを保護できる通信プロト
コルを実現できる認証方式である。
「従来の技術」
電気通信システムを用いた電子資金移動やICカードを
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組繊に蓄積され、ブライバシイ保護の観点から問題と
なる。
用いた決済が普及している。また、現金の代替手段とし
ての汎用プリペイドカードの利用法や、電子財布の使用
法が研究されている。このとき、資金の流れが特定の組
織に管理されると、消費者の消費動向等の個人情報がそ
の組繊に蓄積され、ブライバシイ保護の観点から問題と
なる。
この問題の解決策として、暗号技術を用いて、資金移動
の追跡を不可能とする安全な資金移動方式がある0例え
ば、David Chaum : ”Securit
ywithout Identi ftcation
: Transaction systemsto m
ake Big BroLher 0bSolute”
、 Communicationof the A
CM、0ctober 1985.Vol、28
N11110(:haumO方式の概要は以下の遺りで
ある。
の追跡を不可能とする安全な資金移動方式がある0例え
ば、David Chaum : ”Securit
ywithout Identi ftcation
: Transaction systemsto m
ake Big BroLher 0bSolute”
、 Communicationof the A
CM、0ctober 1985.Vol、28
N11110(:haumO方式の概要は以下の遺りで
ある。
消費者(被検証者二B)が金額等の取引内容を含んだ文
書mを乱数で撹乱して通信文Zを作成して、2を銀行(
証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落とし
、金額に対応した署名を2に施して、署名付き通信文2
゛を消費者Bに送り返す。消費者Bは、Z′から乱数の
影響を取り除いて、mに署名を施した値としてmoを求
め、これを現金にかわる手段として商店(検証者二〇)
へ支払う。検証者Cは、moが銀行Aによって署名され
ていることをl+I LWして、moがある金額の価値
があると判断する。Cは後日m゛を銀行Aに提出するこ
とによって、対応する金額を受は取る。すなわち、mo
は金券としての機能を備えている。
書mを乱数で撹乱して通信文Zを作成して、2を銀行(
証明者:A)に送信する。銀行Aは、消費者Bの正当性
を認証した後にその消費者の口座から金額を引き落とし
、金額に対応した署名を2に施して、署名付き通信文2
゛を消費者Bに送り返す。消費者Bは、Z′から乱数の
影響を取り除いて、mに署名を施した値としてmoを求
め、これを現金にかわる手段として商店(検証者二〇)
へ支払う。検証者Cは、moが銀行Aによって署名され
ていることをl+I LWして、moがある金額の価値
があると判断する。Cは後日m゛を銀行Aに提出するこ
とによって、対応する金額を受は取る。すなわち、mo
は金券としての機能を備えている。
ここで、Zはmに乱数が付加されているので、銀行およ
び第三者はZからmを推定できないし、また、銀行と商
店が結託してもm゛と2の対応を知ることができない。
び第三者はZからmを推定できないし、また、銀行と商
店が結託してもm゛と2の対応を知ることができない。
従って誰がm゛を発行したかを知ることができない。こ
れより、Chaumの方法では金券m゛の発行元(消費
4f)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライハシイを守ることができる
。
れより、Chaumの方法では金券m゛の発行元(消費
4f)を推定できない(すなわち、追跡不可能)ので、
消費者の消費動向等のプライハシイを守ることができる
。
しかし、この方式は処理量の大きいR3A暗号をヘース
にしているので、2からZ゛を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)、具体的には、R3A暗号では、200桁同
志の整数の乗法(ただし剰余計算を含む)が平均768
回必要である。
にしているので、2からZ゛を求めるための処理量の大
きいことが問題となる(この例では銀行Aの処理量が大
きくなる)、具体的には、R3A暗号では、200桁同
志の整数の乗法(ただし剰余計算を含む)が平均768
回必要である。
ところで、秘密情報を保持するためのメモリ量が少なく
、通信効率に優れ、かつ高速な認証方式として拡張Fi
at−5hamir法がある(太田、開本:「k乗根の
計算の困難性を用いた効率のよい認証方式J (19
88年暗号と情報セキュリティシンポジウム))。
、通信効率に優れ、かつ高速な認証方式として拡張Fi
at−5hamir法がある(太田、開本:「k乗根の
計算の困難性を用いた効率のよい認証方式J (19
88年暗号と情報セキュリティシンポジウム))。
拡張Fiat−5hamir法では、処理量は、平均し
て(5fi+2)/2回の乗算(ただし法Nにおける剰
余計算を含む)で済む(尼の意味は後述)。特に、!−
20に選ぶことが推奨されているので、この場合には、
拡張Fiat−5hamir法の乗算回数は51回とな
り、R3A暗号による署名法に比較して処理量を大幅に
削減できる。具体的には、5I/768=0.066な
のでR3A暗号に比べて約7%の処理量で実現できる。
て(5fi+2)/2回の乗算(ただし法Nにおける剰
余計算を含む)で済む(尼の意味は後述)。特に、!−
20に選ぶことが推奨されているので、この場合には、
拡張Fiat−5hamir法の乗算回数は51回とな
り、R3A暗号による署名法に比較して処理量を大幅に
削減できる。具体的には、5I/768=0.066な
のでR3A暗号に比べて約7%の処理量で実現できる。
拡張Fiat−3hamir法の概要は、以下の通りで
ある。
ある。
信頬できるセンタが、個人識別情報としてIDを用いる
利用者に対して、次の手順で秘密情報Sを生成する。こ
こでNは公開情報であり、秘密の素数PとQを用いてN
=PXQと表せる。また、Lは整数、fは一方向性関数
であり、公開されている。
利用者に対して、次の手順で秘密情報Sを生成する。こ
こでNは公開情報であり、秘密の素数PとQを用いてN
=PXQと表せる。また、Lは整数、fは一方向性関数
であり、公開されている。
5tepl ニ一方向性関数fを用いてx=f (ID
) を計算する。
) を計算する。
5tep2 : Xに対してNの素因数PとQを用い
て5L=x (mod N) をみたすSを計算する(すなわち、S はXの15乗m)。
て5L=x (mod N) をみたすSを計算する(すなわち、S はXの15乗m)。
3tep3 :利用者に対してSを秘密に発行し、方向
性関数fと合成数Nを公開する。
性関数fと合成数Nを公開する。
(mod N)におけるL乗根の計算は、Nの素因数
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin、M、O,+ ”fligit
alized Signatures and Pub
lic−key Functions asIntra
ctable as Factorization
、 Tech、 Rep旧T/LC5/TR−212M
IT Lab、’ Comput、 Sci、 197
9に示されている。
(PとQ)が分かっているときのみ実行できる。その方
法は、例えばRabin、M、O,+ ”fligit
alized Signatures and Pub
lic−key Functions asIntra
ctable as Factorization
、 Tech、 Rep旧T/LC5/TR−212M
IT Lab、’ Comput、 Sci、 197
9に示されている。
利用者の認証方式は以下の通りである。
証明者Aは、検証者Cに対して、Aが本物であることを
、次の手順で証明する。
、次の手順で証明する。
5tepl : AがIDをCに送る。
5Lep2 : Cがx=f (ID)を計算する。
下記の、3〜6のステップを0回繰り返す、Dは安全性
を定めるパラメータであり、1以上の値)。
を定めるパラメータであり、1以上の値)。
5Lep3 :乱数rを生成して、
x =r’ (mod N)を計算して、C
に送る。
に送る。
5tep4 : Cが、0以上、L未満の整数eを生成
して、Aに送る。
して、Aに送る。
5tep5 二Aが署名文2を
z=rXs” (mod N)
で生成して、Cに送る。
5tep6 : Cは、
x =z” Xx−’ (mod N)が成り
立つことを検査する。(x−1は、mad NでのX
の送元) 2の作り方よりz’xx−”=r’x(s’xx−’)
a=r’ =x’ (mod N)であるから、5
tep6の検査に合格した場合、検証者CはAが本物で
あると認める。このとき、検証者Cが、偽の証明者を本
物のAと認めてしまう誤りの生じる確立は1/Ltであ
る。
立つことを検査する。(x−1は、mad NでのX
の送元) 2の作り方よりz’xx−”=r’x(s’xx−’)
a=r’ =x’ (mod N)であるから、5
tep6の検査に合格した場合、検証者CはAが本物で
あると認める。このとき、検証者Cが、偽の証明者を本
物のAと認めてしまう誤りの生じる確立は1/Ltであ
る。
拡張Fiat−3hamir法では、1個の秘密情報S
と、5tep3〜6の繰り返し回数を1としても、整数
りを適切に選ぶことで安全性を保障できる。
と、5tep3〜6の繰り返し回数を1としても、整数
りを適切に選ぶことで安全性を保障できる。
以上では、利用者の認証方式について説明したが、メン
セージの認証方式は上記の手順を次の欅に変更して実現
できる。
セージの認証方式は上記の手順を次の欅に変更して実現
できる。
メンセージmとXoに一方向性関数rを施して得たf
(m、x’ )の先頭の!ビットを整数eの2進表示と
みなして、署名文として、(ID、me、z)を署名つ
き通信文として検証者に送信する。
(m、x’ )の先頭の!ビットを整数eの2進表示と
みなして、署名文として、(ID、me、z)を署名つ
き通信文として検証者に送信する。
このように拡張Fiat−5hamir法は秘密情報を
保持するためのメモリ量を小さくでき、かつ通信効率に
優れた高速な認証方式である。しかし、現在までのとこ
ろ拡張Fiat−3hamir法を用いた追跡不可能な
認証方式は提案されていない。
保持するためのメモリ量を小さくでき、かつ通信効率に
優れた高速な認証方式である。しかし、現在までのとこ
ろ拡張Fiat−3hamir法を用いた追跡不可能な
認証方式は提案されていない。
「発明が解決しようとする課題」
この発明の目的は、拡張Fiat−5hamjr法をベ
ースにして、従来方式よりも高速な追跡不可能な認証方
式を提供することにある。
ースにして、従来方式よりも高速な追跡不可能な認証方
式を提供することにある。
「課題を解決するための手段」
この発明では、秘密情報のメモリ量を削減し、通信効率
を向上させ、かつ処理量を削減するために、問い合わせ
文と応答文を用いる拡張FiatShamir法をベー
スにして、認証処理を実現する。
を向上させ、かつ処理量を削減するために、問い合わせ
文と応答文を用いる拡張FiatShamir法をベー
スにして、認証処理を実現する。
また、第三者にA−B間とB−C間で通信されるデータ
の対応関係を隠して、追跡不可能とするために、Bが問
い合わせ文の対応関係と応答文の対応関係を乱数によっ
て与え、その乱数を秘密にする。これによって、この発
明では、追跡不可能な認証処理を実現する。
の対応関係を隠して、追跡不可能とするために、Bが問
い合わせ文の対応関係と応答文の対応関係を乱数によっ
て与え、その乱数を秘密にする。これによって、この発
明では、追跡不可能な認証処理を実現する。
「実施例」
第1図はこの発明の原理図である。第1図は証明者A(
100)と被検証者B(200)と検証者C(300)
が通信回線等を介して接続しており、利用者の認証方式
(図(a))とメツセージの認証方式(図(b))を実
現するための交信例を表している。以下では、先ず、A
がBの身元を確認したことをCに対して証明する利用者
の認証方式を示し、その後に、BがAの力を借りてメツ
セージmに署名するメンセージの認証方式について説明
する。
100)と被検証者B(200)と検証者C(300)
が通信回線等を介して接続しており、利用者の認証方式
(図(a))とメツセージの認証方式(図(b))を実
現するための交信例を表している。以下では、先ず、A
がBの身元を確認したことをCに対して証明する利用者
の認証方式を示し、その後に、BがAの力を借りてメツ
セージmに署名するメンセージの認証方式について説明
する。
第1図の(a)では、A−B間とB−C間でそれぞれ拡
張F1at−5has+ir法の利用者認証法を採用し
、2つの拡張Fiat−3hamir法を対応づける情
報をBにおいて秘密にすることで、追跡不可能な利用者
の認証処理を実現する。
張F1at−5has+ir法の利用者認証法を採用し
、2つの拡張Fiat−3hamir法を対応づける情
報をBにおいて秘密にすることで、追跡不可能な利用者
の認証処理を実現する。
拡張Fiat−5hamir法の場合と同様に、信頼で
きるセンタが、合成数Nと一方向性関数fと整数りを公
開し、さらに証明者Aの識別情報IDに対応する秘密情
報Sを計算して、SをAに配送する。
きるセンタが、合成数Nと一方向性関数fと整数りを公
開し、さらに証明者Aの識別情報IDに対応する秘密情
報Sを計算して、SをAに配送する。
ここで、Sは5Lraod N=x=f (JD)をみ
たす。
たす。
証明者A(100)の概略を第2図に、被検証者B (
200)の概略を第3図に、検証者C(300)の概略
を第4図にそれぞれ示す。
200)の概略を第3図に、検証者C(300)の概略
を第4図にそれぞれ示す。
証明者Aは、被検証者Bの正当性を、検証者Cに対して
、次の手順で証明する。
、次の手順で証明する。
5tepl : Aカ月りをBとCに送る。
5tep2 : BとCは、それぞれ一方向性関数計算
器205,305を用いてx=f (ID)を計算する
。
器205,305を用いてx=f (ID)を計算する
。
次に、3〜6のステップをt回繰り返す。1−1のとき
が特許請求範囲の請求項(1)に対応し、t>1のとき
が請求項(2)に対応する。
が特許請求範囲の請求項(1)に対応し、t>1のとき
が請求項(2)に対応する。
5tep3 : Aは初期応答文発生器110を用いて
初期応答文X“を発生してBに送る。例えば初期応答文
発生器110を、乱数発生器IIIと剰余付き乗算B1
12で構成して、乱数発生器111を用いて乱数rを発
生し、剰余付き乗算器112を用いて x −r” (mod N) でχ゛を計算する。
初期応答文X“を発生してBに送る。例えば初期応答文
発生器110を、乱数発生器IIIと剰余付き乗算B1
12で構成して、乱数発生器111を用いて乱数rを発
生し、剰余付き乗算器112を用いて x −r” (mod N) でχ゛を計算する。
剰余付き乗算の効率のよい計算方法は、例えば池野、小
山゛現代暗号理論”電子通信学会、 pp、 +6−1
7. (1986)、に示されている。
山゛現代暗号理論”電子通信学会、 pp、 +6−1
7. (1986)、に示されている。
5tep4 : BはXoを受信すると、乱数発生器2
10と初期応答文撹乱器215を用いて。
10と初期応答文撹乱器215を用いて。
乱数発生器210で発生した0以上、L未満の整数eと
1以上N未満の乱数UとXoと先に生成したXを初期応
答文撹乱器215に入力し、撹乱された初期応答文χ′
を計算してCに送る。
1以上N未満の乱数UとXoと先に生成したXを初期応
答文撹乱器215に入力し、撹乱された初期応答文χ′
を計算してCに送る。
例えば初期応答文撹乱器215を剰余付き乗算器として
構成し、受信した初期応答文XとXとeとUから x =x’ Xu’Xx” (mod N)でx
”を計算する。
構成し、受信した初期応答文XとXとeとUから x =x’ Xu’Xx” (mod N)でx
”を計算する。
5tep5 : Cはx ”を受信すると、x”を情報
格納器310に格納した後に、乱数発生器320を用い
て、0以上、L未満の整数βを生成して問い合わせ文と
してBに送る。
格納器310に格納した後に、乱数発生器320を用い
て、0以上、L未満の整数βを生成して問い合わせ文と
してBに送る。
5tep6 : Bはβを受信すると、βと先に生成
したeを問い合わせ文撹乱器220に入力して、撹乱さ
れた問い合わせ文β’を計算してAに送る。
したeを問い合わせ文撹乱器220に入力して、撹乱さ
れた問い合わせ文β’を計算してAに送る。
例えば問い合わせ文撹乱器220を剰余付き加算器とし
て構成して、 β −e+β (mod L) を計算する。
て構成して、 β −e+β (mod L) を計算する。
3tep7 : Aはβ”を受信すると、先に生成した
乱数rと受信した問い合わせ文β”を証明器120に入
力して、応答文Zを計算してBに送る。
乱数rと受信した問い合わせ文β”を証明器120に入
力して、応答文Zを計算してBに送る。
例えば証明器120を、秘密情報格納器121と剰余付
き乗算器122で構成し、秘密情報格納器121から秘
密情報Sを読み出して、初期応答文発生器110から引
き継いだrと受信したβ’を剰余付き乗算器122に入
力して β z=rXs (mod N)でZを計算する
。
き乗算器122で構成し、秘密情報格納器121から秘
密情報Sを読み出して、初期応答文発生器110から引
き継いだrと受信したβ’を剰余付き乗算器122に入
力して β z=rXs (mod N)でZを計算する
。
5tep8 : BはZを受信すると、2と先に生成
したχとeとUを乱数成分除去器230に入力して、応
答文z’を計算し?PCに送る。
したχとeとUを乱数成分除去器230に入力して、応
答文z’を計算し?PCに送る。
例えば乱数成分除去器230を、条件判定器231と剰
余付き乗算器232で構成し、z −uxz¥xC(
mod N)ただし、c=1 (β’くe) c−0(上記以外) を計算する。
余付き乗算器232で構成し、z −uxz¥xC(
mod N)ただし、c=1 (β’くe) c−0(上記以外) を計算する。
5Lep9 : Cは2°を受信すると、検査器33
0を用いて2′の正当性を検査する。
0を用いて2′の正当性を検査する。
例えば検査器330を、剰余付き乗算器331と比較器
332で構成し、情報格納器310から引き継いだx”
と一方向性関数計算器305から引き継いだXと乱数発
生器320から引き継いだβに対して が成立するかを検査する。
332で構成し、情報格納器310から引き継いだx”
と一方向性関数計算器305から引き継いだXと乱数発
生器320から引き継いだβに対して が成立するかを検査する。
ここでは問い合わせ一応答のやりとりをL回繰り返して
順次行う例を示したが、問い合わせ一応答のやりとりの
1個の成分を並列に並べて同時に行ってもよい。
順次行う例を示したが、問い合わせ一応答のやりとりの
1個の成分を並列に並べて同時に行ってもよい。
次に、第1図の(b)を用いて、Bがへの力をIgりて
メンセージmに署名するメツセージの認証方式について
説明する。
メンセージmに署名するメツセージの認証方式について
説明する。
A−B間では拡彊F1at−3haが1r法の利用者認
証法を、B−C間では拡張Fiat−5hamtr法の
メンセージ認証法を採用する。2つの認証法を対応づけ
る情報をBにおいて秘密にすることで、追跡不可能なメ
ツセージの認証処理を実現する。
証法を、B−C間では拡張Fiat−5hamtr法の
メンセージ認証法を採用する。2つの認証法を対応づけ
る情報をBにおいて秘密にすることで、追跡不可能なメ
ツセージの認証処理を実現する。
拡張Fiat−3hamir法と同様に、信頼できるセ
ンタが、合成数Nと一方向性関数rと整数りを公開し、
さらに、証明者Aの識別情報IDに対応する秘密情報S
を計算して、SをAに配送する。
ンタが、合成数Nと一方向性関数rと整数りを公開し、
さらに、証明者Aの識別情報IDに対応する秘密情報S
を計算して、SをAに配送する。
A(100)の概略を第2回に、B (200)の概略
を第5図に、C(300)の概略を第6図にそれぞれ示
す。
を第5図に、C(300)の概略を第6図にそれぞれ示
す。
Bは、Aの力を借りて、次の手順で文書mに署名する。
5tepl : AがIDをBとCに送る。
5Lep2 : BとCは、それぞれ一方向性関数計算
器205.305を用いてx−r (IDJを計算する
。
器205.305を用いてx−r (IDJを計算する
。
5tep3 : Aは初期応答文発生器1. I Oを
用いて1個の初期応答文x’r (i=]、 2.・
・・、1)からなるXoを計算してBに送る。
用いて1個の初期応答文x’r (i=]、 2.・
・・、1)からなるXoを計算してBに送る。
例えば初期応答文発生器110を、乱数発生器1.11
と剰余付き乗算器112で構成し、乱数発生器111を
用いて1個のriを発生し、剰余付き乗算器112を用
いて X’r =r、L (mod N)(i=1 2.
・・・、1) で、L個のX ’ tを計算する。
と剰余付き乗算器112で構成し、乱数発生器111を
用いて1個のriを発生し、剰余付き乗算器112を用
いて X’r =r、L (mod N)(i=1 2.
・・・、1) で、L個のX ’ tを計算する。
5tep4 : BはX゛を受信すると、乱数発生器2
10を用いて1&ilの0以上り未満のe、と1以上N
未満の乱数uIのベアを発生し、その値を受信したL個
のx゛、と先に生成したXと共に初期応答文撹乱器21
5に入力し、L個の撹乱された初期応答文X”、を計算
して問い合わせ文発生器250に引き継ぐ。
10を用いて1&ilの0以上り未満のe、と1以上N
未満の乱数uIのベアを発生し、その値を受信したL個
のx゛、と先に生成したXと共に初期応答文撹乱器21
5に入力し、L個の撹乱された初期応答文X”、を計算
して問い合わせ文発生器250に引き継ぐ。
例えば初期応答文撹乱器215を剰余付き乗算器で構成
し、乱数発生器210が生成したL組のe、とul、受
信したL個の初期応答文χ゛、とXを初期応答文撹乱器
215に入力して x 1=ulLXX”XX’+ (mad N)(
i=1.2.・・・、1) でむ個のX”、を計算する。
し、乱数発生器210が生成したL組のe、とul、受
信したL個の初期応答文χ゛、とXを初期応答文撹乱器
215に入力して x 1=ulLXX”XX’+ (mad N)(
i=1.2.・・・、1) でむ個のX”、を計算する。
5tep5 : Bは、メンセージmとL個のX′lを
問い合わせ文発生器250に入力して、問い合わせ文β
とβ’を作成してβ’をAに送信し、β’を乱数成分除
去器260に引き継ぐ。
問い合わせ文発生器250に入力して、問い合わせ文β
とβ’を作成してβ’をAに送信し、β’を乱数成分除
去器260に引き継ぐ。
例えば、問い合わせ文発生器250を一方向性関数計算
器251と剰余付き加算器252で構成して、 (β1.・・・、 βL)=f(m、x″、。
器251と剰余付き加算器252で構成して、 (β1.・・・、 βL)=f(m、x″、。
X″t )
β+、””e、 +β、 (nod L)(i
=1. 2. ・・・、1) で、β’=(β’1.・・・、β’t)とβ=(β、。
=1. 2. ・・・、1) で、β’=(β’1.・・・、β’t)とβ=(β、。
・・・、βt)を求めるや
ここで、β’、とβ、は0以上、L未満の整数。
5tep6 : Aはβ’を受信すると、証明器120
を用いて、先に発生した乱数r、と受信した問い合わせ
文β’から、応答文Zを計算してBに送る。
を用いて、先に発生した乱数r、と受信した問い合わせ
文β’から、応答文Zを計算してBに送る。
例えば証明器120を、秘密情報格納器121と剰余付
き乗算器122で構成し、秘密情報格納器121から秘
密情報Sを読み出し、初期応答文発生器110から引き
継いだr、と受信したβ’−(β’1.・・・、β’t
)を剰余付き乗算器122に入力して (i=1.2. ・・・、1) でZ、を計算し、z=(z、、 ・・・、Z、)を求め
る。
き乗算器122で構成し、秘密情報格納器121から秘
密情報Sを読み出し、初期応答文発生器110から引き
継いだr、と受信したβ’−(β’1.・・・、β’t
)を剰余付き乗算器122に入力して (i=1.2. ・・・、1) でZ、を計算し、z=(z、、 ・・・、Z、)を求め
る。
5tep7 : BはZを受信すると、2と先に生成
したXとL組の(e、、u、)を乱数成分除去器260
に入力して、応答文Z′を計算して、β1mと共にCに
送る。
したXとL組の(e、、u、)を乱数成分除去器260
に入力して、応答文Z′を計算して、β1mと共にCに
送る。
例えば乱数成分除去器260を、条件判定器261と剰
余付き乗算器262で構成し、z 、wuIXz、X
x” (mad N)ただし、C”−1(β’這〈e
、) C・−0(上記以外) でzl、を計算して、2″−(z Z、・・・、2″、
)を求める。
余付き乗算器262で構成し、z 、wuIXz、X
x” (mad N)ただし、C”−1(β’這〈e
、) C・−0(上記以外) でzl、を計算して、2″−(z Z、・・・、2″、
)を求める。
5tep8 : Cはm、β、Z″を受信すると、検査
器340を用いてm、β、Z゛の正当性を検査する。
器340を用いてm、β、Z゛の正当性を検査する。
例えば検査器340を、剰余付き乗算器341と一方向
性関数計算器342と比較器343でx” ” (x”
l、−・・、x″1)を求めて、β=f (m、
x” ) が成立するかを検査する。
性関数計算器342と比較器343でx” ” (x”
l、−・・、x″1)を求めて、β=f (m、
x” ) が成立するかを検査する。
以上では、拡張Fiat−3hamir法をベースにし
た追跡不可能な認証方式について説明した。拡張Fia
t−5hamir法は、Nの素因数分解が困難な場合に
(mod N)でのL乗根の計算が困難なことに基づい
ている。離散対数問題等の困難性を利用した認証法をベ
ースにしても、同様のtilt論が成り立つ。
た追跡不可能な認証方式について説明した。拡張Fia
t−5hamir法は、Nの素因数分解が困難な場合に
(mod N)でのL乗根の計算が困難なことに基づい
ている。離散対数問題等の困難性を利用した認証法をベ
ースにしても、同様のtilt論が成り立つ。
離散対数問題等に基づく認証法については、例えばM、
Tompa & H,Woll+’Random 5e
lf−Reducibtlityand Zero K
nowledge Interactive Proo
fs of Po5−session of Info
rmation、’ FOC511)p472−482
(19B7)や開本、太田、“零知識証明問題の不正使
用法とその対策及び応用について” (1988年暗
号と情報セキュリティシンポジウムワークショップ)に
示されている。
Tompa & H,Woll+’Random 5e
lf−Reducibtlityand Zero K
nowledge Interactive Proo
fs of Po5−session of Info
rmation、’ FOC511)p472−482
(19B7)や開本、太田、“零知識証明問題の不正使
用法とその対策及び応用について” (1988年暗
号と情報セキュリティシンポジウムワークショップ)に
示されている。
「発明の効果」
この発明では、拡張Fiat−5hamir法をベース
にしたので、秘密情報保持のためのメモリ量を削減でき
、通信効率を向上でき、かつ高速な認証処理を実現でき
る。
にしたので、秘密情報保持のためのメモリ量を削減でき
、通信効率を向上でき、かつ高速な認証処理を実現でき
る。
また、Bが問い合わせ文の対応関係と応答文の対応関係
を秘密の乱数で与えておりその値を秘密にすると、A−
B間とB−C間で通信されるデータの対応関係を隠すこ
とができる。すなわち、利用者の認証処理においては、
AがBの身元を保障していることを、Bの身元を明かさ
ずに、Cに証明できる。メツセージの認証処理において
は、Bはメツセージmの内容を知られることなしにAに
署名させることができる。その結果として、AとCが結
託しても、Bの身元は明らかとならず、Bがmを送信し
たことも検出できない、すなわち、証明者Aと検証者C
が結託しても、被認証者が誰であるかを判断したり、メ
ツセージmの送信者カ誰であるかを判断したりできない
ことは、この発明の方式が計算量理論の理論的な研究成
果である零知識対話型証明システム性や非転移性をみた
すことによって保障できる。
を秘密の乱数で与えておりその値を秘密にすると、A−
B間とB−C間で通信されるデータの対応関係を隠すこ
とができる。すなわち、利用者の認証処理においては、
AがBの身元を保障していることを、Bの身元を明かさ
ずに、Cに証明できる。メツセージの認証処理において
は、Bはメツセージmの内容を知られることなしにAに
署名させることができる。その結果として、AとCが結
託しても、Bの身元は明らかとならず、Bがmを送信し
たことも検出できない、すなわち、証明者Aと検証者C
が結託しても、被認証者が誰であるかを判断したり、メ
ツセージmの送信者カ誰であるかを判断したりできない
ことは、この発明の方式が計算量理論の理論的な研究成
果である零知識対話型証明システム性や非転移性をみた
すことによって保障できる。
零知識対話型証明システム性および非転移性については
、例えばFeige、U、、Fiat、A、 and
ShamirA、 ”Zero Knowledge
Proofs of Identity″Proce−
edings of the 19th Annual
ACM Symposium onTheory o
r Computing、 1987. pp、210
−217.を参照。
、例えばFeige、U、、Fiat、A、 and
ShamirA、 ”Zero Knowledge
Proofs of Identity″Proce−
edings of the 19th Annual
ACM Symposium onTheory o
r Computing、 1987. pp、210
−217.を参照。
第1図はこの発明の実施例の交信例を示す図、第2図は
証明者Aのブロック図、第3図は利用者の認証方式にお
ける被検証者Bのブロック図、第4図は利用者の認証方
式における検証者Cのブロック図、第5図はメツセージ
の認証方式における被検証者Bのブロック図、第6図は
メツセージの認証方式における検証者Cのブロック図で
ある。
証明者Aのブロック図、第3図は利用者の認証方式にお
ける被検証者Bのブロック図、第4図は利用者の認証方
式における検証者Cのブロック図、第5図はメツセージ
の認証方式における被検証者Bのブロック図、第6図は
メツセージの認証方式における検証者Cのブロック図で
ある。
Claims (3)
- (1)通信相手の身元を確認する利用者の認証方式にお
いて、 証明者Aと被検証者Bと検証者Cから構成されたシステ
ムで、 証明者Aは初期応答文発生器と証明器を備え、被検証者
Bは乱数発生器、初期応答文撹乱器、問い合わせ文撹乱
器と乱数成文除去器を備え、検証者Cは検査器を備え、 証明者Aは、初期応答文発生器を用いて生成した初期応
答文x’を個人識別情報IDと共に被検証者Bに送信し
、 被検証者Bは、証明者Aから受信した初期応答文x’と
乱数発生器を用いて生成した乱数成分とを初期応答文撹
乱器に入力して初期応答文x”を作成して受信したID
と共に検証者Cに送信し、検証者Cは、被検証者Bに問
い合わせ文βを送信し、 被検証者Bは、検証者Cから受信した問い合わせ文βと
先に生成した乱数成分を問い合わせ文撹乱器に入力して
問い合わせ文β’を作成して証明者Aに送信し、 証明者Aは、初期応答文x’と問い合わせ文β’に対応
した応答文zを、IDに対した関係式s^1modN=
f(ID)をみたす秘密情報sを用いて動作する証明器
を用いて生成して被検証者Bに送り返し(ここで、整数
N、整数Lと関数fは公開情報)、 被検証者Bは応答文zとIDと先に生成した乱数成分と
問い合わせ文βを乱数成分除去器に入力して乱数成分の
影響を取り除いて応答文z’を求め、その値を検証者C
に送信し、 検証者Cは応答文z’とIDを検査器に入力してz’が
先に受信した初期応答文x”先に送信した問い合わせ文
βに対する正しい応答になっていることを検査して、 被検証者Bが乱数成分を秘密にすることで、被検証者B
と証明者A間で通信されるx’、β’、zと、検証者C
と被検証者B間で通信されるx”、β、z’の対応関係
を秘密にできることを特徴とする利用者の認証方式。 - (2)請求項(1)に記載の手順を繰り返して、安全性
を向上する利用者の認証方式。 - (3)通信文の正当性を確認するメッセージの認証方式
において、 証明者Aと被検証者Bと検証者Cから構成されたシステ
ムで、 証明者Aは初期応答文発生器と証明器を備え、被検証者
Bは乱数発生器、初期応答文撹乱器、問い合わせ文発生
器と乱数成文除去器を備え、検証者Cは検査器を備え、 証明者Aは、初期応答文発生器を用いて生成した初期応
答文x’を個人識別情報IDと共に被検証者Bに送信し
、 被検証者Bは、証明者Aから受信した初期応答文x’と
IDと乱数発生器を用いて生成した乱数成分とを初期応
答文撹乱器に入力して初期応答文x”を作成し、その初
期応答文x”と署名対象のメッセージmを問い合わせ文
発生器に入力して問い合わせ文β’とβを作成してβ’
を証明者Aに送信し、 証明者Aは、先に送信した初期応答文x’と受信した問
い合わせ文β’に対応した応答文zを、IDに対した関
係式s^LmodN=f(1D)をみたす秘密情報sを
用いて動作する証明器を用いて生成して被検証者Bに送
り返し(ここで、整数N、整数Lと関数fは公開情報)
、 被検証者Bは応答文zとIDと先に生成した乱数成分と
問い合わせ文β’を乱数成分除去器に入力して乱数成分
の影響を取り除いてメッセージmに対応した値z’を求
め、z’をm、ID、βと共に検証者Cに送信し、 検証者Cはz’とメッセージmと問い合わせ文βとID
を検査器に入力してβとz’がmに対する正しい署名に
なっていることを検査して、被検証者Bが乱数成分を秘
密にすることで、被検証者Bと証明者A間で通信される
x’、β’、zと、検証者Cと被検証者B間で通信され
るm、β、z’の対応関係を秘密にできることを特徴と
するメッセージの認証方式。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727189A JP2805493B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
| US07/367,650 US4969189A (en) | 1988-06-25 | 1989-06-19 | Authentication system and apparatus therefor |
| CA000603463A CA1322600C (en) | 1988-06-25 | 1989-06-21 | Authentication system and apparatus therefor |
| EP89111318A EP0348812B1 (en) | 1988-06-25 | 1989-06-21 | Authentication method and apparatus therefor |
| DE68919923T DE68919923T2 (de) | 1988-06-25 | 1989-06-21 | Verfahren und Vorrichtung zur Authentifizierung. |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8727189A JP2805493B2 (ja) | 1989-04-05 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02266464A true JPH02266464A (ja) | 1990-10-31 |
| JP2805493B2 JP2805493B2 (ja) | 1998-09-30 |
Family
ID=13910101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8727189A Expired - Lifetime JP2805493B2 (ja) | 1988-06-25 | 1989-04-05 | 認証方法及びそれに用いる装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2805493B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5245657A (en) * | 1991-07-08 | 1993-09-14 | Mitsubishi Denki Kabushiki Kaisha | Verification method and apparatus |
| WO1995024708A1 (fr) * | 1994-03-07 | 1995-09-14 | Nippon Telegraph And Telephone Corporation | Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles |
| WO2013024630A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| WO2013024628A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| WO2013024633A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| JP2013048350A (ja) * | 2011-08-29 | 2013-03-07 | Sony Corp | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム |
| WO2013031420A1 (ja) * | 2011-08-29 | 2013-03-07 | ソニー株式会社 | 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法 |
-
1989
- 1989-04-05 JP JP8727189A patent/JP2805493B2/ja not_active Expired - Lifetime
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5245657A (en) * | 1991-07-08 | 1993-09-14 | Mitsubishi Denki Kabushiki Kaisha | Verification method and apparatus |
| WO1995024708A1 (fr) * | 1994-03-07 | 1995-09-14 | Nippon Telegraph And Telephone Corporation | Procede et systeme d'emission d'informations a protocole d'authentification a base de connaissances nulles |
| WO2013024630A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| WO2013024628A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| WO2013024633A1 (ja) * | 2011-08-12 | 2013-02-21 | ソニー株式会社 | 情報処理装置、及び情報処理方法 |
| JP2013041072A (ja) * | 2011-08-12 | 2013-02-28 | Sony Corp | 情報処理装置、及び情報処理方法 |
| US9184914B2 (en) | 2011-08-12 | 2015-11-10 | Sony Corporation | Information processing apparatus and information processing method |
| US9490978B2 (en) | 2011-08-12 | 2016-11-08 | Sony Corporation | Information processing apparatus and information processing method |
| JP2013048350A (ja) * | 2011-08-29 | 2013-03-07 | Sony Corp | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム |
| WO2013031420A1 (ja) * | 2011-08-29 | 2013-03-07 | ソニー株式会社 | 情報処理装置、署名生成装置、署名検証装置、情報処理方法、署名生成方法、及び署名検証方法 |
| WO2013031555A1 (ja) * | 2011-08-29 | 2013-03-07 | ソニー株式会社 | 情報処理装置、署名生成装置、情報処理方法、署名生成方法、及びプログラム |
| US9276735B2 (en) | 2011-08-29 | 2016-03-01 | Sony Corporation | Information processing apparatus, signature generation apparatus, information processing method, signature generation method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2805493B2 (ja) | 1998-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4969189A (en) | Authentication system and apparatus therefor | |
| US10535065B2 (en) | Secure payment transactions based on the public bankcard ledger | |
| Eslami et al. | A new untraceable off-line electronic cash system | |
| US6061791A (en) | Initial secret key establishment including facilities for verification of identity | |
| US8191772B2 (en) | Method for generating customer one-time unique purchase order numbers | |
| Asokan et al. | State of the art in electronic payment systems | |
| Jacobson et al. | Mix-based electronic payments | |
| Batten et al. | Off-line digital cash schemes providing untraceability, anonymity and change | |
| JPH02266464A (ja) | 認証方法及びそれに用いる装置 | |
| Kang et al. | Secure electronic cash scheme with anonymity revocation | |
| KR100971038B1 (ko) | 다수의 엔티티와 그에 따른 장치에 부하를 분배하는암호화 방법 | |
| Alexandris et al. | Secure linking of customers, merchants and banks in electronic commerce | |
| Bo et al. | An anonymity-revoking e-payment system with a smart card | |
| JP3171228B2 (ja) | 複数信託機関を利用した電子紙幣実施方法 | |
| Luo et al. | An e-cash Scheme with Multiple Denominations and Transferability | |
| Lee et al. | Smart card based off-line micropayment framework using mutual authentication scheme | |
| CN111709741B (zh) | 区块链系统中权限隔离的方法、计算机可读存储介质和区块链系统 | |
| CN112166577B (zh) | 高效的并发标量积计算方法和系统 | |
| Muleravičius | The e-wallet in an e-commerce system | |
| JP2805494B2 (ja) | 認証方法及びそれに用いる装置 | |
| Wang et al. | The credit card visual authentication scheme based on GF (2 8) field | |
| CEBECİ | ISTANBUL TECHNICAL UNIVERSITY★ GRADUATE SCHOOL | |
| JP2571607B2 (ja) | 認証方式 | |
| Wahaballa | Lightweight and Secure IoT-based Payment Protocols from an Identity-Based Signature Scheme. Electronics 2022, 11, 3445 | |
| Jeong et al. | IPTV micropayment system based on hash chain using RFID-USB module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20070724 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080724 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090724 Year of fee payment: 11 |