JPH07170257A - 通信ネットワークにおけるユーザを確認する方法および装置 - Google Patents

通信ネットワークにおけるユーザを確認する方法および装置

Info

Publication number
JPH07170257A
JPH07170257A JP4060593A JP6059392A JPH07170257A JP H07170257 A JPH07170257 A JP H07170257A JP 4060593 A JP4060593 A JP 4060593A JP 6059392 A JP6059392 A JP 6059392A JP H07170257 A JPH07170257 A JP H07170257A
Authority
JP
Japan
Prior art keywords
user
response
challenge
protocol
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP4060593A
Other languages
English (en)
Other versions
JP2823103B2 (ja
Inventor
Raymond F Bird
レイモンド・フレデリック・バード
Inder S Gopal
インダー・サラト・ゴーパル
Philippe A Janson
フィリップ・アルノー・ジャンソン
Shay Kutten
シェイ・クッテン
Refik A Molva
レフィク・アハメット・モルヴァ
Marcel M Yung
マーセル・モーデチャイ・ユング
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH07170257A publication Critical patent/JPH07170257A/ja
Application granted granted Critical
Publication of JP2823103B2 publication Critical patent/JP2823103B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【目的】本発明の目的は、通信ネットワーク・ユーザを
確認するための装置、およびこの装置を実現するための
手段を提供することにある。 【構成】第1の呼かけN1が第1のユーザAから第2の
ユーザBに送信される。第1の呼かけに応答して、Bは
呼かけに対する第1の形式の第1の応答と第2の呼かけ
N2を生成してAに送信する。Aは、第1の応答が正し
いことを検証する。Aは次に第2の呼かけに対する第2
の形式の第2の応答を生成してBに送信し、Bは第2の
応答を検証する。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は概して、無許可のネット
ワーク・ユーザやプログラム等その他のネットワーク・
エンティティに対して機密保護を維持するための方法に
関するものである。具体的には、他のネットワーク・ユ
ーザまたはネットワーク・ノードとの通信を確立しよう
とするユーザが、本当にそのユーザ本人であることを確
認するための方法に関するものである。
【0002】
【従来の技術とその問題点】ネットワーク内でユーザが
確認できると、通信しようとしている一組のユーザが互
いに自分の身元を証明することが可能になる。文献中で
考察されている確認プロトコルには多数の変形がある。
適当なパラメータに適用される秘密のディジタル・キー
や秘密の数理関数など、共有の秘密の使用を必要とする
ものもあり、公開キー式プロトコルを使用するものもあ
る。本発明は主として共有の秘密を使用する確認プロト
コルに関するものであるが、公開キー方式で使用できる
ように容易に適合させることもできる。
【0003】従来技術に関連して、米国特許第4890
323号明細書は、第1の専用キーを使って、メッセー
ジの内容に対する暗号化された検査合計を計算する、フ
ァイルおよび送信側の確認について記載している。この
検査合計が「呼かけ」としてユーザに出され、ユーザは
第2の専用キーを使って結果を計算する。この結果が確
認コードとして応答に付加されてから、応答が送信され
る。したがって前記第1および第2の暗号キーを有する
応答の受信側は、受け取った応答から予想される確認コ
ードを計算し、それを受け取ったコードと比較すること
により、メッセージの内容および送信側の身元をチェッ
クすることができる。
【0004】米国特許第4919545号明細書は、フ
ァイル確認の方法を開示している。実行ノードが、資格
および署名を呼出しノードに送る。資格としては、ファ
イルの識別子とファイルに対するアクセス権が含まれ
る。署名は、実行ノードで、呼出しノードに固有なキー
を使って資格を暗号化することによって形成され、実行
ノードにのみ記憶される。ファイルに対するアクセス要
求は、資格および署名と一緒に呼出しノードから実行ノ
ードに送られる。実行ノードで、呼出しノードと関連す
る暗号化キーを使って資格を暗号化することによって要
求が確認される。ファイルに対するアクセスは、実行ノ
ードで生成された署名が、呼出しノードから受け取った
署名と一致したときのみ許可される。
【0005】米国特許第4193131号明細書は、暗
号化キーの配布および共有の非公開キーを使ったユーザ
確認方法を開示している。第1の局はこのキーを使って
第1の検証番号を暗号化して、第1の局の暗号文を作成
し、これを第2の局に送る。第2の局では、キーを使っ
て第1の局の暗号文をさらに暗号化して、第2の局の暗
号文を作成し、これを第1の局に送り返す。第1の局は
第1の検証用暗号文を再暗号化し、これを受け取った第
2の局の暗号文と比較して、第2の局が第2の局の暗号
文の発信元であることを検証する。この確認は、2つの
局の操作キーが同一である場合のみ可能である。
【0006】米国特許第4386233号明細書も、問
題のユーザに関連する識別子から導かれた認証キーと、
許可された暗号機能ユーザにのみアクセス可能な交換キ
ーとを使って暗号キーを暗号化することにより暗号キー
を認証する、キー配布システムおよびユーザ確認方法を
開示している。暗号機能ユーザの身元が、交換キーにア
クセスするための条件として確認される。この確認は、
ユーザから供給されたパスワード指定を、当該の許可さ
れたユーザの識別子から導かれた認証暗号キーと交換キ
ーとを使って暗号機能で暗号化することによって認証さ
れた、予め記憶されたパスワードと比較することによっ
て行われる。
【0007】米国特許第4218738号明細書は、ネ
ットワーク内のユーザの確認を試みるさらに別の方法を
開示している。ユーザ検証番号は、ユーザの識別子と、
別に入力されたユーザに関連するパスワードと、記憶さ
れたテスト・パターンとの関数である。ユーザ用のテス
ト・パターンは、中央コンピュータの物理的機密保護下
でホスト・コンピュータのマスター・キーの変形を使っ
て生成される。
【0008】米国特許第4549075号明細書は、そ
の中で要約されている従来技術の確認方法のいくつかの
問題点を克服すると称する、共用機密形の確認プロトコ
ルを開示している。この従来技術の方法では、ユーザB
がユーザAを確認する。AとBの両方が情報項目I、秘
密Sおよび関数f( )を共有する。確認を開始するに
当たって、AはIをBに送る。Bは乱数Nbで応答す
る。AおよびBは共にf(I,Nb,S)を計算する。
Aはその計算の答をBに送り、Bはこの答を自分の計算
結果と比較する。Aも同様にしてBを確認することがで
きると称する。上記特許は、この従来技術のプロトコル
が一般ネットワーク環境では容易に解読される可能性が
あることを指摘していない。むしろ、AとBが情報項目
Iを共有せず、それぞれ個別の情報項目IaおよびIb
を有する場合に従来技術の方法で出てくる問題を解決し
ようとしている。上記特許は、要約された従来の方法を
この新たなシナリオに適用し、その結果得られるプロト
コルは容易に解読できると結論している。
【0009】したがって、上記発明により、ユーザがそ
れぞれ異なる情報単位IaおよびIbを有するときに互
いに確認することが可能になる。さらに、AとBは関数
f()および秘密Sを共有する。Aは情報項目Iaを有
し、Bは情報項目Ibを有する。AはIaおよび乱数N
aをBに送る。Bは項目Ibおよび別の乱数NbをAに
返す。AはR1=f(Na,S,p(Ia,Ib))お
よびK1=f(Nb,S,p(Ia,Ib))を計算
し、K1をBに送る。p( )はAおよびBの両方にと
って既知の対称関数である。対称とはp(Ia,Ib)
=p(Ib,Ia)であることを意味する。BはK2=
f(Na,S,p(Ib,Ia))およびR2=f(N
b,S,p(Ib,Ia))を計算し、K2をAに送
る。AはK2を自分の結果R1と比較してBを確認し、
BはK1を自分の結果R2と比較してAを確認する。こ
のプロトコルは、秘密Sの故にAとBが同じグループの
一部であり、かつ項目IaおよびIbが対称関数p
( )を使って互いに確認されるので、AおよびBが本
人であることを保証すると称する。上記特許のアルゴリ
ズムは最低4つのメッセージ・フローを必要とすること
がわかる。この方法が以下に簡潔に述べる方法によって
解読されるのを防止するのが、第4のメッセージ・フロ
ーである。
【0010】さらに別の既知の確認方法では、ユーザA
がまず乱数の形の呼かけNaをユーザBに送る(メッセ
ージ1)。Bは、非公開の共用キーを使って暗号化を実
行した乱数の暗号化値および平文テキストの第2の乱数
Nbを返す(メッセージ2)。Aは次に第2の乱数の暗
号化値をBに返し(メッセージ3)、Bは、この応答が
共用キーで正しく暗号化されていることを検証する。こ
のプロトコルは3つのメッセージを必要とする。しか
し、以下に示すように、このプロトコルも容易に解読で
きる。
【0011】以上に要約した従来技術からわかるよう
に、種々の形式の共有の秘密およびユーザによるデータ
の暗号化を用いる既存の確認方法では、共用キーを使っ
て、ユーザが当人であることを確認する。しかし、既存
の方法にはいくつかの問題がある。理論的には、共有の
秘密を知らないユーザによって正しい暗号化または解読
あるいはその両方が生成されることはあり得ないので、
各ユーザは、他方のユーザを確認する。しかし、実際に
は、これらの確認方法は、あまりに多くのメッセージ・
フローを必要とするか、あまりに多くの暗号化または解
読操作を必要とするか、あるいは様々な巧妙な攻撃を受
け易い。
【0012】たとえば、第1のタイプの巧妙な攻撃で
は、最後に述べた確認方法を使って、Aのふりをした侵
入者Xが、第1の呼かけNa(メッセージ1)をBに送
ることにより攻撃を開始する。Bは第1の呼かけの暗号
化値E(Na)および第2の呼かけNb(メッセージ
3)をAに返す。秘密のキーを知らないXは、本当の
A、またはキーを知っている他のユーザCとの別の接続
(本明細書の全体を通じて参照接続と呼ぶ)を開始する
ことにより、Nbの正しい暗号化を得、参照接続の第1
の呼かけとしてNbを送る。AまたはCは応答としてE
(Nb)をXに返す。Xはそこで攻撃目標である最初の
接続の第2の呼かけに対する応答としてE(Nb)をB
に送る。
【0013】もう1つの例として、第2のタイプの攻撃
では、Xは、Naを含むAからのB宛の第1のメッセー
ジを傍受する。XはBのふりをしてA(またはC)との
参照接続を開始し、参照接続のメッセージ1でNaを送
る。A(またはC)はE(Na)および第2の乱数Nb
で応答する。Xはそこで参照接続を中止し、攻撃目標の
接続でAに第2のメッセージでE(Na)を送る。
【0014】上記の先制攻撃および傍受攻撃にはいくつ
かの変形がある。しかし、これらすべての攻撃におい
て、正当なユーザが共有する秘密を知らない侵入者X
は、他の接続から情報を拾い集め、この情報を使って、
攻撃目標のユーザが提示した呼かけに対する必要な応答
を得る。情報を拾い集めるための接続は、攻撃目標のユ
ーザとの接続でもよいし、そうでなくてもよい。確認で
きる限り、3つのメッセージ・フローしか含まない既知
の従来技術の方法は全て解読可能であるか、あるいは非
効率的で、かつ使用また評価が不必要に複雑である。4
つ以上のメッセージ・フローを含むその他の既知の方法
は、安全なものも、安全でないものもある。しかし、安
全な方法でも、必要とされるメッセージ・フロー数が増
すと、ネットワークに重いトラフィックの負担がかかる
可能性がある。この余計な負担は他の点で非生産的であ
り、ユーザから見るとネットワークの容量が制限され
る。
【0015】したがって、秘密の確認キーを知らない侵
入者による巧妙な攻撃を受ける恐れのない、確認プロト
コルおよび方法を確立する必要がはっきりと存在する。
さらに、確認を実行するために必要なメッセージ・フロ
ーの数をできるだけ少なく(好ましくは3つ)すること
が、プロトコルを実施する際に常に重要である(さもな
いと、ネットワークに過大な負担がかかる危険があ
る)。
【0016】
【課題を解決するための手段】本発明の一実施例は、ネ
ットワーク内の通信接続上のユーザを確認するための方
法および手段に関するものである。第1のユーザAが、
呼かけN1を第2のユーザBに送る。ユーザBは呼かけ
に対する応答をユーザAに返し、ユーザAはその応答が
正しいことを検証する。応答は最小形式 f(S1,N1,D1,...) である。ここで、S1はユーザ間で共有する秘密、D1
は、f( )を含むメッセージの流れ方向の標識、f
( )は、S1を知らなければ、 f’(S1,N1’,D1’,...)=f(S1,N
1,D1,...) をN1’について解くことができないように選ばれた関
数である。f’( )、N1’およびD1’は参照接続
に関する表現を示す。上記発明に基づいて設計されたプ
ロトコルは、いわゆる傍受攻撃に対して安全である。傍
受攻撃とは、侵入者が待ち伏せしてユーザAからの呼か
けを含むメッセージを傍受するものである。侵入者は次
に、傍受した呼かけの所期の受信者以外の別のユーザと
の参照接続を開始し、参照接続上で情報を拾い集め、傍
受した呼かけに対する正しい応答を生成しようとする。
【0017】本発明のもう1つの実施例は、ユーザを互
いに確認する方法および手段である。第1の呼かけN1
が第1のユーザAから第2のユーザBに送信される。第
1の呼かけに応答して、Bは第1の呼かけに対する第1
の応答および第2の呼かけN2を生成してAに送信す
る。Aは、第1の応答が正しいことを検証する。Aは次
に第2の呼かけに対する第2の応答を生成してBに送信
する。Bは第2の応答を検証する。第1の応答は最小形
式 f(S1,N1,...) でなければならず、第2の応答は最小形式 g(S2,N2,...) でなければならない。S1およびS2はAとBが共有す
る秘密である。さらに、f( )およびg( )は、S
1およびS2を知らなければ、式 f’(S1,N1’,...)=g(S2,N
2,...) をN1’について解くことができないように選ばれた関
数である。f’( )およびN1’は、侵入者が攻撃目
標の接続上でプロトコルを解読しようとして情報を得る
ために使用する別の参照接続に関する表現を示す。
【0018】第2の実施例に基づいて設計された特定の
確認プロトコルは、いわゆる先制攻撃に対して安全であ
る。先制攻撃とは、侵入者がまずあるユーザに第1の呼
かけを送ることによってユーザとの接続を開始し、応答
および第2の呼かけを受信してから、あるユーザとの第
2の参照接続を開始して、第2の呼かけに応答する助け
となる情報を得ようとするものである。
【0019】以上に要約した要件を満たすいくつかのプ
ロトコルでは、秘密は、使用される特定の関数f( )
およびg( )に存在する。他のプロトコルでは、使用
される特定の暗号化キーに秘密が存在する状態でデータ
暗号化を使用することができる。
【0020】本発明の2つの実施例を組み合わせて1つ
のプロトコルにすることができる。この場合は、関数f
( )は、f(S1,N1,D1,...)におけるよ
うに、f( )を含むメッセージの流れの方向D1に関
するある標識を含む。組み合わせた実施例の上記条件を
全て満たすプロトコルは、表に現れない秘密、すなわち
許可されたユーザが共有する秘密と同じように、先制攻
撃に対しても傍受攻撃に対しても安全である。必要な
ら、S1をS2に等しくできることに留意されたい。さ
らに、秘密は事実上どのような種類のものでもよい。例
えば、秘密は、データの暗号化を実行するために使用さ
れる特定のキーでよい。また、許可されたユーザ間で使
用される特定の関数f( )およびg( )でもよい。
あるいは、データ等を暗号化または解読するために使用
される特定のアルゴリズムでもよい。
【0021】
【実施例】図1は、本発明が実施できる例示的なデータ
通信システムの概略的構成を示す。この例示的システム
は、いくつかのデータ処理ユーザ100、102、およ
び104を含む。各ユーザは106等のコンピュータま
たはデータ処理装置に対するアクセス権、および110
等のチャネルを介してシステムの他のユーザと通信する
ための適当な周辺装置108を有する。ユーザにおける
コンピュータは、本明細書に開示する原理に従ってプロ
グラミングすることが可能なものであれば、どんなタイ
プの汎用コンピュータまたは専用コンピュータでもよ
い。好ましい実施例では、そのようなコンピュータは、
IBM社から販売されているシステム370を含む。
【0022】図1で、ユーザ100が別のユーザ102
との論理接続を確立しようとする場合、両方のユーザが
秘密Sに関する知識を共有し、論理接続を介する意味の
ある通信が許可される前に、これらのユーザが適当な確
認プロトコルを用いて互いに確認することが必要であ
る。
【0023】図2は、侵入者Xによる攻撃に対して安全
であると思われる一群のプロトコルの一般的形式を示
す。接続を開始するユーザAが、通信を確立したい相手
であるユーザBに、呼かけN1を含むメッセージ1を送
る。N1および全ての呼かけは乱数であることが好まし
い。いずれにせよ、過去の事象に基づいて侵入者が使用
できないように、呼かけは新たに生成すべきである。B
はf(S,N1,N2,X2)、N2の形のメッセージ
2をAに返す。ただし、f( )は、呼かけN1に対す
る応答である関数であり、Sは、応答を生成するために
必要な、正当なユーザAおよびBが共有する秘密を示
し、N2はBからAへの呼かけである。f()内の変数
SおよびN1は、関数f( )内にある形式で存在しな
ければならないことを示すため、図2では肉太文字で示
してある。残りの変数N2およびX2は存在してもしな
くてもよい。X2は、ここでf( )に含まれる可能性
がある任意の所望の定数または式を示すために使用する
一般変数である。たとえば、X2はアクセス情報、名
前、タイム・スタンプ等を含むことができる。X2に含
まれるものは秘密Sの一部ではないと仮定する。言い換
えると、侵入者XはX2を知っていると仮定する。ユー
ザAは次に、呼かけN2に対する応答g(S,N2,N
1およびX3)を含むメッセージ3を返す。変数Sおよ
びN2も、関数g( )内にある形式で存在しなければ
ならないことを示すため、同様に肉太文字で示してあ
る。X3は、g( )に含まれる可能性がある任意の所
望の定数または式を示す点でX2と類似している。Xは
X3を知っていると仮定する。さらに、侵入者Xが接続
を開始しようとする攻撃に対してプロトコルが安全であ
るためには、f( )は、侵入者が参照接続上で第1の
呼かけN1’を、f’( )=g( )になるように選
ぶことができないという第1の条件を満たさねばならな
い。ここで、f’( )は参照接続上のf( )を示
す。この条件が満たされる場合は、その結果得られるプ
ロトコルは、表に現れない秘密Sと同じように攻撃に対
して安全である。
【0024】上記のプライム付き表記(’)の意味は、
図3を参照すればいっそう明らかになろう。図3は、真
の接続を攻撃するための情報を集めるために侵入者が使
用する参照接続を示す。図3で、侵入者Xは、攻撃目標
の接続のメッセージ1中で第1の呼かけN1を送ること
により、ユーザAとの接続を開始する。Aは攻撃目標の
接続のメッセージ2中で、呼かけに対するその応答f
( )および呼かけN2をXに返す。Xは、N2に対す
る応答を生成するために必要な秘密Sを知らない。その
ような情報を得ようとして、Xは別の第1の呼かけN
1’を300にいるユーザに送ることにより、参照接続
を開始する。この第2のユーザは、Aまたは他のユーザ
BまたはCでよい。選ばれた他のユーザが秘密Sを知っ
ている限り、誰でもよい。ユーザ300は以下の応答で
呼かけN1’に応答する。 式1 f’( )=(S,N1’,N2’,X2’) Xは次に、攻撃目標の接続のメッセージ3上で応答g
( )を生成するために、300から受け取った情報を
操作しようとする。したがって、この攻撃を防ぐための
必要条件は次の通りである。C1: Xが、f’( )
=g( )になるようなN1’を選ぶことができない。
【0025】図4は、安全に見えるが、条件C1を満た
さないので実際には容易に解読することが可能な特定の
プロトコルを示す。図4のメッセージ2中の関数f
( )は次の通りである。 式2 f( )=E[N1]+N2 ただし、Eは秘密キーKによる暗号化を示す。式中の+
演算子は、たとえば、ブール演算の排他的論理和であ
る。したがって、f( )は、それがN1とSの関数で
あるという要件を満たす(SはキーKによる暗号化Eで
ある)。このプロトコルをテストするため、条件C1を
数学的に適用する。 条件C1: 式3 f’( )=g( )または 式4 E[N1’]+N2’=E[N2]
【0026】図5は、プロトコルを解読しようとして侵
入者が使用する可能性がある攻撃目標の接続および参照
接続を示す。参照接続のメッセージ2中の応答は次の通
りであることに留意されたい。 E[N1’]+N2’ これは上記の式2と全く同じ形式である。したがって、
攻撃目標の接続のメッセージ2から知られるN1’=N
2を選ぶだけで、Xは参照接続のメッセージ2上で次式
を受け取る。 E[N2]+N2’、N2’
【0027】N2’は参照接続上の新たな呼かけであ
り、N2に等しくない。それにもかかわらず、Xはこの
ときE[N2]+N2’を知る。N2’も、参照接続の
同じメッセージ2中で平文テキストの呼かけとして受け
取ったため既知であるので、XはN2’とE[N2]+
N2’の排他的論理和をとることによってE[N2]を
引き出し、この値を攻撃目標の接続のメッセージ3中で
応答として返す。 式5 E[N2]+N2’+N2’=E[N2]
【0028】図6は、先制攻撃に対して安全な例示的プ
ロトコルを示す。このプロトコルでは、次式が成立す
る。 式6 f( )=E[N1+E[N1]]および 式7 g( )=E[N2] f( )は、それが呼かけN1と秘密Sの関数であり、
g( )が呼かけN2と秘密Sの関数であるという条件
を満たす。次に、このプロトコルが本当に先制攻撃に対
して安全かどうか判定するため、条件C1をテストす
る。 条件C1: 式8 f’( )=g( )または 式9 E[N1’+E[N1’]]=E[N2] 式9を検査すると、暗号化キーKを知らなくてもE[N
2]をもたらす代入可能なN1’の既知の値はないこと
が明らかになる。さらに、式の両辺に適用された暗号化
を取り除くと、次式が得られる。 式10 N1’+E[N1’]=N2または 式11 N1’=E[N1’]+N2 XはEを知らないので、XがN1’を導き出す方法はな
い。したがって、このプロトコルは先制攻撃に対して安
全である。
【0029】しかし、先制攻撃に対して安全なプロトコ
ルでさえ攻撃可能なもう1つの攻撃方式がある。この方
式は傍受攻撃と呼ばれる。図7はこの傍受攻撃を攻撃目
標の接続および参照接続に関して示す。この種の攻撃で
は、Xは待ち伏せし、結局ユーザAから別のユーザBに
宛てられた最初の呼かけを傍受する。Xは次に第3のユ
ーザとの参照接続を開始する。第3のユーザはAまたは
Cでよい。この分析では、参照ユーザは最初に意図され
た受信者Bであってはならないことを指摘しておく。侵
入者が単にAからのメッセージを傍受し、それらのメッ
セージを意図された宛先Bに転送する傍受攻撃は、侵入
者XがAからBへのデータ・フローを単に監視するのと
同等である。こうした攻撃はユーザ確認プロトコルによ
っては決して防御できない。たとえば、データ回線を物
理的に盗聴から保護できないため、このような攻撃が心
配な場合は、データ暗号化等の他の対策によって後続の
接続データ・フローを保護しなければならない。
【0030】図7に関して、傍受攻撃のための接続に成
功するには、Xは攻撃目標の接続のメッセージ1中の呼
かけN1に対する応答を推論しなければならない。そう
しようと試みるため、Xは呼かけN1’を参照接続の第
1のメッセージとして第3のユーザAまたはCに送る。
Xは参照接続の第2のメッセージで、その呼かけに対す
る応答としてのf’(S,N1’,...)と第2の呼
かけN2’を受け取る。したがって、次式を解く必要が
ある。 式12 f’(S,N1’,...)=f(S,N
1,...) したがって、傍受攻撃に対してプロトコルを安全なもの
にするために必要な条件C2は、Xが次式のような呼か
けN1’を選ぶことができないようにすることである。 式13 f’( )=f( ) しかし、式13を単に検査するだけで、図7のプロトコ
ル形式で常にそのようにできることが明らかになる。し
たがって、図6のプロトコルは傍受攻撃を使用すると簡
単に解読できる。侵入者がなすべきことはN1’=N1
を盗むことだけである。
【0031】この問題を解くに当たって、傍受タイプの
攻撃を防ぐための必要条件は、図8に示すように、メッ
セージの流れ方向を示す標識Dをf( )に含めること
である。これはメッセージ2中でf(S,N1,
D,...)として示されており、Dは流れ方向標識で
ある。特定の方向にとって一意的である限り、Dはどの
ような形式でもよい。たとえば、Dは、図8ではBであ
る送信ユーザの識別に等しくてもよい。あるいは、Aお
よびBが問題のユーザである場合は、Aはその方向標識
としてBを使用することができ、BはAを使用すること
ができる。必要なことは、所与の接続上で、流れ標識が
メッセージのどの流れ方向に対しても一意的であること
だけである。
【0032】上記に示したように、Dをf( )に含め
ることが必要である。しかし、それだけでは十分ではな
い。後で説明するように、条件C2を数学的にテストす
ることが依然として必要である。
【0033】図9の例を取り上げる。図9で、f( )
はE[N1+D]と考えられ、AからBへの流れの場合
はD=Aであり、BからAへの流れの場合はD=Bであ
る。この分析では、AおよびB等の値は侵入者Xにとっ
て既知であることを認識されたい。侵入者XはAとの参
照接続を確立するものと仮定する。条件C2を適用す
る。 式14 f’( )=f( ) 式15 E[N1’+A’]=E[N1+B] 式14および15におけるプライム表記A’およびその
他の場所での同様な表記は、変数が参照接続上に存在す
ることを意味するにすぎない。言い換えるとA’=Aで
ある。式15は暗号化キーKを知らなければ解くことは
できない。なぜならば、A’とBは異なっており、かつ
データにコード化されているからである。式の両辺から
暗号化演算子Eを除去すると、次式が得られる。 式16 N1’+A’=N1+Bまたは 式17 N1’=N1+B+A’ XはBおよびA’の両方を知っているので、参照接続の
メッセージ1中でN1’をN1+B+A’に設定するだ
けでよい。N1は攻撃目標の接続のメッセージ1から得
られる。Xは参照接続のメッセージ2上で次式を受け取
る。 式18 E[N1+B+A’+A’]=E[N1+B] これはもちろん攻撃目標の接続のメッセージ2中で必要
とされる応答である。したがって、このプロトコルは傍
受タイプの攻撃に対しては安全でない。さらに、このプ
ロトコルは先制攻撃に対しても安全でない。このこと
は、前に考察した条件C1[f’( )=g( )]を
テストすることにより容易に検証することができる。
【0034】図10は、条件C2に合格するプロトコル
を示す。すなわち、このプロトコルは傍受攻撃に対して
安全である。しかし、このプロトコルは先制攻撃に対し
ては安全でないことがわかる。このプロトコルでは、 式19 f( )=E[D+E[N1]]および 式20 g( )=E[D+E[N2]] であり、Dは流れ方向標識である。流れ方向はこれらの
関数のそれぞれで異なるので、Dはf( )およびg
( )で異なることを想起されたい。XはユーザAから
のB宛のメッセージ1を傍受する。Xは次に情報を集め
るためにCとの参照接続を開始する。条件Cを図10に
適用する。 式21 f’( )=f() 式22 E[C’+E[N1’]]=E[B+E[N
1]]、または 式23 C’+E[N1’]=B+E[N1] これを解くために、式23を次のような異なる2つの条
件に分割することができる。 式24 C’=Bおよび 式25 E[N1’]=E[N1] C’がBと等しくなることは不可能なので、このプロト
コルは傍受攻撃に対して安全である。しかし、このプロ
トコルは先制攻撃に対しては依然として安全でない。図
11はこのプロトコルに対する先制攻撃を示す。XはB
のふりをするので、攻撃目標の接続のメッセージ3中の
方向標識はBであることを想起されたい。条件C1を適
用する。 式26 f’( )=g( ) 式27 E[B’+E[N1’]]=E[B+E[N
2]]、または 式28 B’+E[N1’]=B+E[N2] 式28を分割すると、次式が得られる。 式29 B’=B(これは常に真)および 式30 E[N1’]=E[N2]、または 式31 N1’=N2 したがって、Xは単に参照接続のメッセージ1中の、N
1’を、攻撃目標の接続のメッセージ2中でAから受け
取ったN2に等しくセットするだけで、このプロトコル
に対して首尾よく攻撃を開始することができる。
【0035】図12は、先制攻撃および傍受攻撃の両方
に対して安全な特定のプロトコルを示す。このプロトコ
ルでは、次式が成立する。 式32 f( )=E[B+E[N1]]および 式33 g( )=E[N2] このプロトコルは、傍受攻撃に対して安全でないことを
示した図11のプロトコルに非常に類似していることに
留意されたい。このことは、たとえ特定のプロトコルが
列挙したその他の要件に適合していても、そのプロトコ
ルについて常に条件C1およびC2をテストする必要が
あることの非常によい例である。C1を適用する(かつ
Aとの参照接続が保持されているものとする)。 式34 f’( )=g( ) 式35 E[A’+E[N1’]]=E[N2] 式36 A’+E[N1’]=N2 式37 E[N1’]=N2+A’ 侵入者Xは参照接続を開始する前にE[N1’]を得る
ことができるが、Xは依然として、キーKを知らずに、
参照接続上で最初の呼かけに関するN1’を得ることが
できない。したがって、C1が満たされる。
【0036】条件C2を適用する。 式38 f’( )=f( ) 式39 E[A’+E[N1’]]=E[B+E[N1]] 最後の式の両辺からE演算子を取り除き、結果を2つの
部分に分割すると次式が得られる。 式40 A’=Bおよび 式41 N1’=N1 しかし、A’がBに等しくなることは絶対あり得ない。
したがって、C2が満足され、このプロトコルは安全で
ある。
【0037】上記の分析は、次に当業者が完全な確認機
密保護のためのプロトコル・ファミリーを設計し、分析
するのを可能にするのに十分である。先制攻撃および傍
受攻撃の両方に対する完全な機密保護のための条件は次
のように簡潔に述べることができる。 1.AからBへの第1の呼かけに対する応答は、この呼
かけの秘密の関数でなければならない。 2.BからAへの第2の呼かけに対する応答は、この第
2の呼かけの秘密の関数でなければならない。 3.AからBへの第1の呼かけに対する応答は、応答の
流れ方向の標識を含まなければならない。 4.条件C1およびC2を共に満足しなければならな
い。
【0038】図13は、上記で略述した機密保護の4つ
の要件に合致するプロトコル・ファミリーの一般的形式
を示す。この一般的形式に適合する特定のプロトコルに
は安全なものと安全でないものがある。どの特定のプロ
トコルについても条件C1およびC2をテストしなけれ
ばならない。第1の呼かけN1に対する応答は次の形式
である。 E[q op E[r]] 第2の呼かけN2に対する応答は次の形式である。 E[t] この一般的形式で定義されるあるファミリーにおいては
次式が成立する。 式42 q=q(N1,...) 式43 r=r(D,...) 式44 t=t(N2,...) 別のファミリーでは次式が成立する。 式45 q=q(D,...) 式46 r=r(N1,...) 式47 t=t(N2,...)
【0039】これら2つの一般的形式のどちらか一方を
満たし、かつ条件C1およびC2を満足するいくつかの
例示的プロトコルを次に検討する。
【0040】図12に関して使用したのと同様な分析を
用いると、図12のプロトコルの両方、すなわち、 式48 f( )=E[N1+E[D]]および 式49 g( )=E[N2] も完全に安全であることを示すことができる。これら2
つのプロトコル、および安全であることを示すことがで
きる無数の関連プロトコルに対するキーは、第1の呼か
け(または方向標識)のネストされた暗号化と結合され
た、方向標識(または第1の呼かけ)の暗号化である。
【0041】図14は本発明によるプロトコルの好まし
い実施例である。この好ましい実施例では次式が成立す
る。 式50 f( )=E[j( )+K( )] 式51 g( )=k( )+E[N1] ただし、j( )およびk( )は次の通りである。 式52 j( )=N1+B 式53 k( )=E[N2+E[N1]] 関数f( )およびg( )の特定の要素の理論的根拠
は次の通りである。j()の最初の要素N1は上記の条
件から厳密に必要となるわけではない。しかし、この要
素は式f( )全体にさらに無作為性を追加する。この
要素は省略でき、省略してもプロトコルは依然として十
分に働く。f( )に無作為性を追加すると、プロトコ
ルの暗号強度が増大し、侵入者が既知のキー解読手法を
使って暗号化アルゴリズム自体を解読するのが一層困難
になる。
【0042】j( )に要素B(呼び出されたユーザの
名前)を含めることは条件C2から必要であり、傍受攻
撃を防ぐ。
【0043】k( )内の要素N2はメッセージ2に対
する応答に、さらに無作為性を追加する。この要素も省
略でき、省略してもプロトコルは依然として十分に働
く。k( )内の要素E(N1)は条件C1から必要で
ある。ユーザBの応答中にユーザAの呼かけを含めるこ
とは不可欠である。この要素を暗号化することは不可欠
ではないが、そうするとプロトコルの強度がさらに強ま
る。
【0044】上述の一般的形式および条件を満足するプ
ロトコル・ファミリーの最後の例を次に示す。このファ
ミリーでは、メッセージ流れ方向標識を、暗号化される
データに明示的に組み込むのではなく、暗号化のために
使用される秘密のキーに組み込む。ファミリーの1つの
メンバーを図16に示す。ユーザAおよびBは共に秘密
キーKを知っている。BはN1をK+Bで暗号化するこ
とによってAの呼かけN1に対するメッセージ2中のそ
の応答を作成する。ここで、BはB’の識別を表す。
‘十’演算子はやはりブール演算の排他的論理和と見な
すが、その他のどんな種類のブール演算または数理演算
でもよい。Aは未修正のKの値を使ってBの呼かけN2
を暗号化することにより、N2に対するその応答を暗号
化する。本発明で必要とされるように、呼かけN1に対
するBの応答は呼かけN1の秘密の関数である。同様
に、呼かけN2に対するAの応答はN2の秘密の関数で
ある。メッセージの流れの方向は、応答を暗号化するた
めに使用される異なる暗号化キーを使ってAおよびBの
両方が推論できるような形で、応答に組み込まれる。次
に、条件C1およびC2に従って結果をテストする。 C1: 式54 f’( )=g( )または 式55 Eb[N1’]=E[N2] ここで、Eは秘密キーKによる暗号化であり、EbはK
+Bによる暗号化である。
【0045】条件を書くと自ら答が出てくる。式の両辺
の暗号化キーは異なり、かつ侵入者にとって未知である
ので、必要とされるN1’を導き出すために項を数学的
に消去する方法はない。Kを知らない者は式を解くこと
ができない。 C2: 式56 f’( )=f( )または 式57 Eb[N1’]=Ea[N1] 式の右辺はキーEaで暗号化されていることに留意され
たい。これは、情報を集めるために参照接続で侵入者が
通信することが可能なユーザA、またはB以外の任意の
他のユーザを表す。しかし、Eaは、式の左辺を暗号化
するために使用されるEbとは異なる。参照接続がAに
よる場合は、Ka=K+Aである。したがって、キーK
を知らなければ、N1’について式を解くことができな
い。したがって、これは完全に安全である。
【0046】確認処理の例示的な流れ図を図17ないし
図21に示す。これらの流れ図の例は、図15に示すプ
ロトコル、およびAとBの間で共用される暗号化キー
(Kab)の使用に基づくものである。図17ないし図
21のこれらの処理はそれぞれ各ユーザのもとに存在
し、1次(ユーザA)かそれとも2次(ユーザB)かと
いうユーザの役割、およびプロトコル変換中の時点に応
じて適当な時機に実行される。図17は、Bとの通信を
開始しようとするAによって実行される。ステップ17
00で、Bに対する呼かけとして乱数N1を生成する。
ステップ1702で、呼かけN1をBに送り、処理は終
了し、N1に対する応答および新しい呼かけN2を待
つ。
【0047】図18は、Bが最初の呼かけN1を受け取
ったときに、Bによって実行される。ステップ1800
でまず、Aに対する新しい呼かけとして使用される呼か
けN2を生成する。ステップ1804で、変数N1、N
2、およびユーザAと共用される適当なキーKabを、
図21に示すサブルーチンENCODEに渡してこのサ
ブルーチンを実行し、呼かけN1に対する応答を作成す
る。図21を参照すると、サブルーチンENCODEの
ステップ2100で、まずキーKabおよび例えばDE
Sアルゴリズムを使ってN1の値を暗号化する。暗号化
された結果は変数S1に一時的に記憶される。ステップ
2102で、N2とS1の排他的論理和をとり、結果を
S2に一時的に記憶する。ステップ2104で、N1と
このユーザ(B)の識別の排他的論理和をとり、次にそ
の結果とS2の排他的論理和をとって、暗号化された値
Rを得る。値Rは図18の呼出し処理に返される。図1
8のステップ1806で、返された暗号化値Rを変数R
1に割り当て、Rステップ1808でR1を新しい呼か
けN2と共にユーザAに返す。
【0048】R1および呼かけN2を受け取ると、それ
に応答して図19の処理がAで実行される。次にN1、
N2および共用キーKabがサブルーチンENCODE
に渡される。上で考察したように、ENCODEは最初
の呼かけN1に対する正しい応答を計算し、変数R中で
応答を返す。ステップ1904で、R中の正しい応答
を、ユーザBから受け取った応答R1と比較する。Rが
R1と等しくない場合は、確認は失敗し、ステップ19
06で、この通信を直ちに中止する。しかし、RがR1
に等しい場合は、Bは自らをAに対して正しく確認した
ことになる。
【0049】次にAが自らをBに対して確認しなければ
ならない。ステップ1907で、サブルーチンENCO
DEからのS2の値を、第3のメッセージとしてBに送
られる応答R2に割り当てる。図14に示すように、こ
の応答は次の通りである。 E[N2+E[N1]] R2=E[N2+E[N1]]の値は、別の暗号化ステ
ップを実行することなく変数S2から得られ、ステップ
1908で、Bに送られる。
【0050】図20は、ユーザBからの呼かけN2に対
するユーザAからの応答であるメッセージ3をユーザB
が受け取ったとき、ユーザBによって実行されるステッ
プを示す。この実施例では、メッセージ2がf( )=
j( )+g( )の形である場合、この応答はg
( )の形であることを想起されたい。g( )=E
[N2E[N1]]の値は、図18の諸ステップの実行
の際にすでに生成されていた場合、ユーザBの所で変数
S2中で得られる。図20のステップ2000で、変数
S2をAからの応答と比較する。この比較が正確に一致
しない場合は、Aは自らをBに対して正しく確認できな
かったことになる。この場合は、ステップ2002で、
直ちに通信を終了する。値が一致する場合は、Aは正し
く確認されたことになる。この場合は、図20の処理か
ら出て、ユーザが続けて通信できるようになる。
【図面の簡単な説明】
【図1】本発明が実施できる例示的なデータ通信システ
ムの概略構成図である。
【図2】侵入者による先制攻撃から保護する、本発明に
よるプロトコルの一般的形式を示す図である。
【図3】侵入者による先制攻撃の詳細を示す図である。
【図4】先制攻撃を受け易いプロトコルの一例を示す図
である。
【図5】先制攻撃を受け易いプロトコルの一例を示す図
である。
【図6】先制攻撃に対しては安全であるが、傍受攻撃に
対しては安全でない特定のプロトコルを示す図である。
【図7】傍受攻撃の詳細を示す図である。
【図8】傍受攻撃に対して安全なプロトコルの一般的形
式を示す図である。
【図9】傍受攻撃および先制攻撃のどちらに対しても安
全でない例示的プロトコルを示す図である。
【図10】傍受攻撃に対しては安全であるが、先制攻撃
に対しては安全でない例示的プロトコルを示す図であ
る。
【図11】傍受攻撃に対しては安全であるが、先制攻撃
に対しては安全でない例示的プロトコルを示す図であ
る。
【図12】先制攻撃および傍受攻撃のどちらに対しても
安全な例示的プロトコルを示す図である。
【図13】先制攻撃および傍受攻撃に対して安全であ
る、本発明によるプロトコルの一般的形式の別の表現を
示す図である。
【図14】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図15】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図16】攻撃に対して安全であり、かつ図13、図8
および図2の一般的形式に合致する例示的な特定のプロ
トコルを示す図である。
【図17】本発明の方法を実行するために汎用コンピュ
ータまたは専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図18】本発明の方法を実行するために汎用コンピュ
ータまたは専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図19】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図20】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【図21】本発明の方法を実行するために汎用コンピュ
ータおよび専用コンピュータで使用できるプログラムの
例示的な流れ図である。
【符号の説明】
100 データ処理ユーザ 102 データ処理ユーザ 104 データ処理ユーザ 106 データ処理装置 108 周辺装置 110 チャネル
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 12/22 (72)発明者 インダー・サラト・ゴーパル アメリカ合衆国07024、ニュージャージー 州フォート・リー、ノース・アベニュー 555番地、19エヌ号室 (72)発明者 フィリップ・アルノー・ジャンソン スイス連邦シーエイチ8820、ヴェデンスヴ ィル、オーベレ・ライホーフ・シュトラー セ 69番地 (72)発明者 シェイ・クッテン アメリカ合衆国07866、ニュージャージー 州ロッカウェイ、マウンテン・アベニュー 5番地 (72)発明者 レフィク・アハメット・モルヴァ スイス連邦シーエイチ8002、チューリヒ、 リーター・シュトラーセ 52番地 (72)発明者 マーセル・モーデチャイ・ユング アメリカ合衆国10012、ニューヨーク州ニ ューヨーク、ワシントン・スクウェア・ビ レッジ 1番地(10エイチ)

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】ネットワークにおける通信接続のときにユ
    ーザを確認する方法において、 第1のユーザAから第2のユーザBに第1の呼かけNI
    を送信するステップと、 第1の呼かけに対する第1の応答を第2のユーザから第
    1のユーザに送信するステップと、 第1の応答が正しいことを第1のユーザにおいて検証す
    るステップとを含み、 上記第1の応答が最小形式 f(S1,N1,D1...), であり、上式でS1は第1のユーザと第2のユーザが共
    有する秘密であり、D1は、f( )を含むメッセージ
    の流れの方向の標識であり、f( )は、S1を知らな
    ければ f(S1,N1’,D1’,...)=f(S1,N
    1,D1,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )、 N1’およびD1’は参照接続における式を示すことを
    特徴とする方法。
  2. 【請求項2】秘密Sが数理関数f( )である、請求項
    1の方法。
  3. 【請求項3】ネットワークにおける通信接続のときにユ
    ーザを確認するための方法において、 第1のユーザAから第2のユーザBに第1の呼かけN1
    を送信するステップと、 第1の呼かけに対する第1の応答と第2のユーザからの
    第2の呼かけN2を第1のユーザに送信するステップ
    と、 第1の応答が正しいことを第1のユーザにおいて検証す
    るステップと、 第2の呼かけに対する第2の応答を第1のユーザから第
    2のユーザに送信するステップと、 第2の応答が正しいことを第2のユーザにおいて検証す
    るステップとを含み、 上記第1の応答が最小形式 f(S1,N1,...) であり、上記第2の応答が最小形式 g(S2,W2,...) であり、上式でS1およびS2は第1のユーザと第2の
    ユーザが共有する秘密であり、f( )およびg( )
    は、S1およびS2を知らなければ、 f’(S1,N1’,...)=g(S2,N2) をN’について解くことができないように選ばれた関数
    であり、f’( )およびN1’は参照接続における式
    を示すことを特徴とする方法。
  4. 【請求項4】秘密S1が数理関数f( )であり、S2
    が数理関数g( )である、請求項3の方法。
  5. 【請求項5】S1=S2=Sである、請求項3の方法。
  6. 【請求項6】f( )が、さらにf(S1,N1、D
    1,...)におけるように、f( )を含むメッセー
    ジ流れ方向標識D1を含み、f( )が、S1およびS
    2を知らなければ、 f’(S,N1’,D1,...)=f(S,N2,D
    1,...) をN1’について解くことができないように選ばれ、D
    1’が参照接続上のf’( )を含むメッセージの流れ
    方向標識である、請求項3の方法。
  7. 【請求項7】ネットワーク・ノードにある、ネットワー
    ク・ユーザを確認するための装置において、 呼かけN1をユーザに送信する手段と、 呼かけに対する応答をユーザから受信する手段と、 応答を検証する手段とを含み、 上記応答が最小形式 f(S1,N1,D1,...) であり、上式でS1は第1のユーザと第2のユーザが共
    有する秘密であり、D1は、f( )を含むメッセージ
    の流れの方向の標識であり、f( )は、S1を知らな
    ければ、 f’(S1,N1’,D1’,...)=f(S1,N
    1,D1,...) をN1’について解くことができないように選ばれた関
    数であり、f’( )およびN1’は参照接続における
    式を示すことを特徴とする装置。
  8. 【請求項8】ネットワーク・ノードにある、ネットワー
    ク・ユーザを確認するための装置において、 第1の呼かけN1をユーザに送信する手段と、 第1の呼かけに対する第1の応答と第2の呼かけN2を
    ユーザから受信する手段と、 第1の応答を検証する手段と、 第2の呼かけに対する第2の応答を送信する手段と、 第2の応答を検証する手段とを含み、 上記第1の応答が最小形式 f(S1,N1,...) であり、上記第2の応答が最小形式 g(S2,N2,...) であり、上式でS1およびS2は許可されたユーザ間で
    共有する秘密であり、f( )およびg( )は、S1
    およびS2を知らなければ、 f’(S1,N1’,...)=g(S2,N2) をN1’について解くことができないように選ばれた関
    数であり、f’( )およびN1’は参照接続における
    式を示すことを特徴とする装置。
  9. 【請求項9】秘密S1が数理関数f( )であり、S2
    が数理関数g( )である、請求項8の装置。
  10. 【請求項10】S1=S2=Sである、請求項8の装
    置。
JP4060593A 1991-03-20 1992-03-17 通信ネットワークにおけるユーザを確認する方法および装置 Expired - Fee Related JP2823103B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US672226 1984-11-16
US07/672,226 US5148479A (en) 1991-03-20 1991-03-20 Authentication protocols in communication networks

Publications (2)

Publication Number Publication Date
JPH07170257A true JPH07170257A (ja) 1995-07-04
JP2823103B2 JP2823103B2 (ja) 1998-11-11

Family

ID=24697681

Family Applications (1)

Application Number Title Priority Date Filing Date
JP4060593A Expired - Fee Related JP2823103B2 (ja) 1991-03-20 1992-03-17 通信ネットワークにおけるユーザを確認する方法および装置

Country Status (5)

Country Link
US (1) US5148479A (ja)
EP (1) EP0505302B1 (ja)
JP (1) JP2823103B2 (ja)
CA (1) CA2059172C (ja)
DE (1) DE69213062T2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002538701A (ja) * 1999-03-02 2002-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 自動増分証明書を使用するクライアント/サーバ・データ処理ネットワークでの信頼ネゴシエーション
KR100625503B1 (ko) * 1998-07-31 2006-09-20 루센트 테크놀러지스 인크 무선 통신 시스템에서 비밀 공유 데이터를 갱신하는 방법

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9101796A (nl) * 1991-10-25 1993-05-17 Nederland Ptt Werkwijze voor het authenticeren van communicatiedeelnemers, systeem voor toepassing van de werkwijze en eerste communicatiedeelnemer en tweede communicatiedeelnemer voor toepassing in het systeem.
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5369705A (en) * 1992-06-03 1994-11-29 International Business Machines Corporation Multi-party secure session/conference
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5311596A (en) * 1992-08-31 1994-05-10 At&T Bell Laboratories Continuous authentication using an in-band or out-of-band side channel
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US5351295A (en) * 1993-07-01 1994-09-27 Digital Equipment Corporation Secure method of neighbor discovery over a multiaccess medium
US5483598A (en) * 1993-07-01 1996-01-09 Digital Equipment Corp., Patent Law Group Message encryption using a hash function
US5475763A (en) * 1993-07-01 1995-12-12 Digital Equipment Corp., Patent Law Group Method of deriving a per-message signature for a DSS or El Gamal encryption system
US5544246A (en) * 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
JP2828218B2 (ja) * 1993-09-20 1998-11-25 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム
US5381480A (en) * 1993-09-20 1995-01-10 International Business Machines Corporation System for translating encrypted data
EP0656708A1 (en) * 1993-12-03 1995-06-07 International Business Machines Corporation System and method for the transmission and validation of an updated encryption key between two users
US5594921A (en) * 1993-12-17 1997-01-14 Object Technology Licensing Corp. Authentication of users with dynamically configurable protocol stack
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
EP1737185A3 (en) * 1994-05-24 2007-01-24 Sony Corporation Data bus communication
USRE38898E1 (en) 1994-05-24 2005-11-29 Sony Corporation Video data bus communication system and method
EP0693836A1 (en) * 1994-06-10 1996-01-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols.
GB9422389D0 (en) * 1994-11-05 1995-01-04 Int Computers Ltd Authenticating access control for sensitive functions
US5822431A (en) * 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
GB9606593D0 (en) * 1996-03-29 1996-06-05 Symmetricom Inc An antenna system
US20060195595A1 (en) 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US7324972B1 (en) 1997-03-07 2008-01-29 Clickshare Service Corporation Managing transactions on a network: four or more parties
US20020133412A1 (en) * 1997-03-07 2002-09-19 David M. Oliver System for management of transactions on networks
US5953424A (en) * 1997-03-18 1999-09-14 Hitachi Data Systems Corporation Cryptographic system and protocol for establishing secure authenticated remote access
JP3864401B2 (ja) * 1997-04-23 2006-12-27 ソニー株式会社 認証システム、電子機器、認証方法、および記録媒体
US6591291B1 (en) * 1997-08-28 2003-07-08 Lucent Technologies Inc. System and method for providing anonymous remailing and filtering of electronic mail
US6263446B1 (en) * 1997-12-23 2001-07-17 Arcot Systems, Inc. Method and apparatus for secure distribution of authentication credentials to roaming users
US7328350B2 (en) * 2001-03-29 2008-02-05 Arcot Systems, Inc. Method and apparatus for secure cryptographic key generation, certification and use
US6151676A (en) * 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
US6941454B1 (en) 1998-10-14 2005-09-06 Lynn Spraggs System and method of sending and receiving secure data with a shared key
WO2000022773A1 (en) * 1998-10-14 2000-04-20 Aegis Systems Inc. System and method of sending and receiving secure data with a shared key
US6507908B1 (en) 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
US7810152B2 (en) * 2002-05-08 2010-10-05 Broadcom Corporation System and method for securely controlling access to device functions
US7549056B2 (en) 1999-03-19 2009-06-16 Broadcom Corporation System and method for processing and protecting content
US6424953B1 (en) * 1999-03-19 2002-07-23 Compaq Computer Corp. Encrypting secrets in a file for an electronic micro-commerce system
US7257554B1 (en) 1999-03-19 2007-08-14 Hewlett-Packard Development Company, L.P. Anonymous purchases while allowing verifiable identities for refunds returned along the paths taken to make the purchases
US6826686B1 (en) * 2000-04-14 2004-11-30 International Business Machines Corporation Method and apparatus for secure password transmission and password changes
US7870599B2 (en) * 2000-09-05 2011-01-11 Netlabs.Com, Inc. Multichannel device utilizing a centralized out-of-band authentication system (COBAS)
US7596223B1 (en) 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
US6769060B1 (en) 2000-10-25 2004-07-27 Ericsson Inc. Method of bilateral identity authentication
JP4149126B2 (ja) 2000-12-05 2008-09-10 ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー 画像処理方法、画像処理装置および画像撮影装置
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
DE50212956D1 (de) * 2002-04-05 2008-12-11 Abb Research Ltd Verfahren zur Fernsteuerung eines Systems
US7293284B1 (en) 2002-12-31 2007-11-06 Colligo Networks, Inc. Codeword-enhanced peer-to-peer authentication
US8108429B2 (en) 2004-05-07 2012-01-31 Quest Software, Inc. System for moving real-time data events across a plurality of devices in a network for simultaneous data protection, replication, and access services
US7565661B2 (en) 2004-05-10 2009-07-21 Siew Yong Sim-Tang Method and system for real-time event journaling to provide enterprise data services
US7680834B1 (en) 2004-06-08 2010-03-16 Bakbone Software, Inc. Method and system for no downtime resychronization for real-time, continuous data protection
US7979404B2 (en) 2004-09-17 2011-07-12 Quest Software, Inc. Extracting data changes and storing data history to allow for instantaneous access to and reconstruction of any point-in-time data
US7904913B2 (en) 2004-11-02 2011-03-08 Bakbone Software, Inc. Management interface for a system that provides automated, real-time, continuous data protection
KR100848541B1 (ko) * 2005-05-13 2008-07-25 삼성전자주식회사 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법
US7788521B1 (en) 2005-07-20 2010-08-31 Bakbone Software, Inc. Method and system for virtual on-demand recovery for real-time, continuous data protection
US7689602B1 (en) 2005-07-20 2010-03-30 Bakbone Software, Inc. Method of creating hierarchical indices for a distributed object system
US8059819B2 (en) 2007-01-17 2011-11-15 Panasonic Electric Works Co., Ltd. Systems and methods for distributing updates for a key at a maximum rekey rate
US8131723B2 (en) 2007-03-30 2012-03-06 Quest Software, Inc. Recovering a file system to any point-in-time in the past with guaranteed structure, content consistency and integrity
US8364648B1 (en) 2007-04-09 2013-01-29 Quest Software, Inc. Recovering a database to any point-in-time in the past with guaranteed data consistency
CN101447872B (zh) * 2007-11-27 2011-09-28 阿里巴巴集团控股有限公司 一种用户身份验证方法、系统及验证码生成维护子系统
KR20090067551A (ko) * 2007-12-21 2009-06-25 삼성전자주식회사 클러스터 기반의 컨텐츠 사용 제한 및 컨텐츠 사용 방법,컨텐츠 접근 권한 인증 방법, 장치, 및 기록매체

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62210791A (ja) * 1986-03-12 1987-09-16 Pioneer Electronic Corp Catvシステムの盗視聴防止方式
JPH01202047A (ja) * 1988-02-08 1989-08-15 Nippon Telegr & Teleph Corp <Ntt> 端末認証処理システム
JPH0265542A (ja) * 1988-08-31 1990-03-06 Nippon Telegr & Teleph Corp <Ntt> 資格認証方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
US4386233A (en) * 1980-09-29 1983-05-31 Smid Miles E Crytographic key notarization methods and apparatus
FR2530053B1 (fr) * 1982-07-08 1986-04-25 Bull Sa Procede pour certifier la provenance d'au moins une information enregistree dans une memoire d'un premier dispositif electronique et transmise a un deuxieme dispositif electronique, et systeme pour la mise en oeuvre d'un tel procede
US4723284A (en) * 1983-02-14 1988-02-02 Prime Computer, Inc. Authentication system
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
JPS619052A (ja) * 1984-06-25 1986-01-16 Toshiba Corp 通信ネツトワ−クシステム
US4649233A (en) * 1985-04-11 1987-03-10 International Business Machines Corporation Method for establishing user authenication with composite session keys among cryptographically communicating nodes
LU86203A1 (fr) * 1985-12-11 1987-07-24 Cen Centre Energie Nucleaire Procede et appareil verifiant l'authenticite de documents lies a une personne et l'identite de leurs porteurs
EP0239749B1 (de) * 1986-03-05 1990-07-25 Holger Sedlak Kryptographie-Verfahren und Kryptographie-Prozessor zur Durchführung des Verfahrens
EP0246823A3 (en) * 1986-05-22 1989-10-04 Racal-Guardata Limited Data communication systems and methods
US4748668A (en) * 1986-07-09 1988-05-31 Yeda Research And Development Company Limited Method, apparatus and article for identification and signature
GB2194415B (en) * 1986-08-20 1990-10-17 Plessey Co Plc Improvements in or relating to methods of achieving key variable exchange with mutual authentication of participants
US4850017A (en) * 1987-05-29 1989-07-18 International Business Machines Corp. Controlled use of cryptographic keys via generating station established control values
US4933970A (en) * 1988-01-19 1990-06-12 Yeda Research And Development Company Limited Variants of the fiat-shamir identification and signature scheme
DE68929263T2 (de) * 1988-03-16 2001-07-12 Digicash Inc Blindunterschriftensysteme mit einer einzigen vorlage
AU622915B2 (en) * 1988-05-19 1992-04-30 Ncr Corporation Method and device for authentication
IL87549A0 (en) * 1988-08-24 1989-01-31 Amos Fiat Rsa computation method for efficient batch processing
US4919545A (en) * 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
US4932056A (en) * 1989-03-16 1990-06-05 Yeda Research And Development Company Limited Method and apparatus for user identification based on permuted kernels
EP0396894B1 (en) * 1989-04-27 1995-05-24 International Business Machines Corporation Secure management of keys using control vectors with multi-path checking

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62210791A (ja) * 1986-03-12 1987-09-16 Pioneer Electronic Corp Catvシステムの盗視聴防止方式
JPH01202047A (ja) * 1988-02-08 1989-08-15 Nippon Telegr & Teleph Corp <Ntt> 端末認証処理システム
JPH0265542A (ja) * 1988-08-31 1990-03-06 Nippon Telegr & Teleph Corp <Ntt> 資格認証方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100625503B1 (ko) * 1998-07-31 2006-09-20 루센트 테크놀러지스 인크 무선 통신 시스템에서 비밀 공유 데이터를 갱신하는 방법
JP2002538701A (ja) * 1999-03-02 2002-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション 自動増分証明書を使用するクライアント/サーバ・データ処理ネットワークでの信頼ネゴシエーション

Also Published As

Publication number Publication date
DE69213062D1 (de) 1996-10-02
EP0505302B1 (en) 1996-08-28
EP0505302A1 (en) 1992-09-23
JP2823103B2 (ja) 1998-11-11
DE69213062T2 (de) 1997-03-13
US5148479A (en) 1992-09-15
CA2059172C (en) 1996-01-16
CA2059172A1 (en) 1992-09-21

Similar Documents

Publication Publication Date Title
JP2823103B2 (ja) 通信ネットワークにおけるユーザを確認する方法および装置
CN109728909B (zh) 基于USBKey的身份认证方法和系统
US8239676B2 (en) Secure proximity verification of a node on a network
US6732270B1 (en) Method to authenticate a network access server to an authentication server
CN102036242B (zh) 一种移动通讯网络中的接入认证方法和系统
EP0354774B1 (en) Data cryptography using control vectors
CN106888092B (zh) 信息处理方法及装置
JPH07202882A (ja) 通信方法
KR20080058460A (ko) 네트워크 엔티티들 사이에서 데이터 협정을 인증하기 위한시스템, 방법 및 컴퓨터 프로그램 제품
CN107820239A (zh) 信息处理方法及装置
CN100580652C (zh) 用于光纤信道公共传输的机密性保护的方法和装置
WO2021113034A1 (en) Full-duplex password-less authentication
EP2418822A1 (en) Mobile station authentication
CN103118363A (zh) 一种互传秘密信息的方法、系统、终端设备及平台设备
CN110493162A (zh) 基于可穿戴设备的身份认证方法及系统
CN116886288A (zh) 一种量子会话密钥分发方法及装置
CN116633530A (zh) 量子密钥传输方法、装置及系统
CN112769789A (zh) 一种加密通信方法及系统
CN104820807B (zh) 一种智能卡数据处理方法
JPH11331181A (ja) ネットワーク端末認証装置
CN104915689B (zh) 一种智能卡信息处理方法
JP3983561B2 (ja) 秘密分散法による鍵管理システム、検証センタ、通信端末、検証センタ用プログラム、通信端末用プログラム、並びに秘密分散法による鍵管理方法
KR20220135899A (ko) 차량의 전자 제어 장치, 게이트웨이 장치 및 이들을 포함하는 차량
CN104780049B (zh) 一种安全读写数据的方法
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees