JPH07281595A - 認証方式 - Google Patents

認証方式

Info

Publication number
JPH07281595A
JPH07281595A JP6068313A JP6831394A JPH07281595A JP H07281595 A JPH07281595 A JP H07281595A JP 6068313 A JP6068313 A JP 6068313A JP 6831394 A JP6831394 A JP 6831394A JP H07281595 A JPH07281595 A JP H07281595A
Authority
JP
Japan
Prior art keywords
center
prover
confirmer
certifier
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP6068313A
Other languages
English (en)
Inventor
Genji Nishioka
玄次 西岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP6068313A priority Critical patent/JPH07281595A/ja
Publication of JPH07281595A publication Critical patent/JPH07281595A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【目的】証明者側装置と確認者側装置と通信回線とを介
して行われる認証処理において、認証に必要な最小限の
情報量と通信量・通信回数で通信系列がそのまま認証の
証拠となる認証方式を提供する。 【構成】センタは二つの素数p,qの積であるnを公開
し、センタの秘密情報p,qを用いることにより、前記
証明者の認証のための秘密情報を作成した後、前記証明
者に前記秘密情報を配布し、前記証明者は、前記秘密情
報sを所持することを他者にとって有用な情報を漏らす
ことなく、nを法とする剰余環Zn 上の離散対数問題の
困難性を利用した認証プロトコルにより、前記確認者に
対して証明を行うことにより認証処理を行う。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、本人認証や端末認証等
の認証処理一般に適用できる認証基本技術に関する。
【0002】
【従来の技術】1985年に、ゴールドワッサー(Gold
wasser)らによって提案された零知識証明は暗号理論の
分野に大きな影響を及ぼした。特に、零知識証明は本人
認証等の認証技術に応用された。
【0003】現在まで、零知識認証方式は、平方剰余問
題の困難性を暗号学的仮定とするフィアト−シャミール
(Fiat-Shamir)法,離散対数問題の困難性を暗号学的
仮定とするBethの方式等が知られている。特に、Fiat
-Shamir法は、証明者と確認者双方の計算負担が小さく
効率の良い方式である。
【0004】以下、文献「エイ,フィアト アンド エイ
シャミール ハウ トウ プルーブ ユアセルフ;プ
ラクティカル ソルーションズ オブ アィデンティフ
ィケーション アンド シグネイチャー プロブレムズ
(A.Fiat and A.Shamir,How to prove yourself:
Practical solutions of identification and sig
nature problems.), Advances in Cryptology−Proc
eedings of Crypto'86,Lecture Notes in Computer
Science, Vol.263, Springer Verlag,Berlin, 19
87, pp.186−194.」に記載のFiat-Shamir法について
詳しく述べる。
【0005】ここでは、Zは整数環を表わし、Zn は正
数nを法とする剰余環を表わす。
【0006】〔Fiat-Shamir法〕センタは、センタの
秘密情報を作成する。すなわち、 ・p,q:二つの素数 s.t p,q≧2256. センタの公開情報
【0007】
【数14】 ・n=p・q, ・f:値域が〔0,n〕の擬似ランダム関数 …(数14) 証明者のセンタへの登録: 1)証明者はセンタに自分のID情報IDAを登録す
る。
【0008】2)センタは、次式
【0009】
【数15】 vj≡f(IDA,j), sj 2≡1/vj(mod n) j=1,…,k, …(数15) から、sj(j=1,…,k)を計算し、IDA,nと共
にICカードに搭載して証明者に配付する(簡単のた
め、j=1,…,kでvj(mod n)は平方剰余になると
仮定している。)。
【0010】認証処理: 1)証明者は、自分のID情報IDAを確認者に送る。
【0011】2)確認者は、
【0012】
【数16】 vj=f(IDA,j) j=1,…,k …(数16) を計算する。
【0013】次の3)から6)をi=1,…,tまで繰
り返し、全てのiについて6)の等式が成立すれば、確
認者は証明者を受理する。
【0014】3)証明者は、乱数ri∈Znを選び、xi
≡ri 2(mod n)を確認者に送る。
【0015】4)確認者は、k個のランダムビットの列
(ei1,…,eik)を証明者に送る。
【0016】5)証明者は、
【0017】
【数17】 yi≡riΠ{sj|eij=1} (mod n) …(数17) を確認者に送る。
【0018】6)確認者は、
【0019】
【数18】 xi≡yi 2Π{vj|eij=1} (mod n) …(数18) を検査する。
【0020】Fiat-Shamir 法において、平方剰余問題
を多項式時間で解けないという仮定の下で、秘密情報s
jを持たない偽の証明者が確認者を騙せる確率p1は、
【0021】
【数19】 p1≦exp(2,−kt) …(数19) となる(但し、ここで、exp(a,b)はaのb乗を意味
する。)。
【0022】kt=100の場合について、Fiat-Sha
mir法に関して考察を行う。まず、t=1にすると(こ
のとき、通信回数は3回)、k=100になる。する
と、証明者側の秘密情報は、s1,s2,…,s100となり、
各si は512ビットなので全部で512×100=5
1200ビットとなり、記憶容量の小さいICカードで
は実現が難しい。逆に、k=1にすると、t=100と
なり、証明者側の秘密情報は512ビットだけである
が、通信回数が300回も必要となり、認証処理にかな
りの時間がかかってしまう。
【0023】Fiat-Shamir 法は、プロトコル1回につ
き、認証用の秘密情報を持たない偽の証明者が確認者を
騙す確率が1/2と比較的大きいため、認証処理に高い
安全性を設定すると必然的に通信回数または秘密情報を
増大させる必要があるので、効率の良い認証が難しい。
【0024】その他の零知識認証方式は、体上の離散対
数問題の困難性を暗号学的仮定とする文献「ティ ベス
エフィシェント ゼロナリジ スキーム フォー ス
マート カーズ,アドヴァンセズ イン クリプトロジ
ー(T.Beth, Efficientzero-knowledge scheme for
smart cards, Advances in Cryptology)− Proce
edings of Eurocrypt'88, Lecture Notes in Compu
ter Science, vol.330, Springer-Verlag, Berlin,
1989, pp.77−84.」に記載のBethの方式があるが、こ
の方式の場合は、Fiat-Shamir 法のように通信回数の
増大の問題は起こらないが、計算負担の大きいべき乗計
算が数回存在し、結果として認証処理時間が長くなると
いう欠点がある。
【0025】また、零知識証明プロトコルを用いた認証
方式は秘密情報の漏洩という面についての安全性では申
し分ないが、その性質から認証処理の際に生じる通信系
列が認証を行った証拠とはならない。そのため、証明者
と確認者間で正当な認証が行われた後、証明者が認証の
事実を否定するという不正が行われる可能性がある。
【0026】
【発明が解決しようとする課題】高度情報化社会では、
通信ネットワーク上で電子投票を行ったり、重要な契約
などを行う等の他、様々なサービスが行われることが予
想される。この際、ネットワークの利用者が自分の身元
を安全に相手に証明する認証技術が必要不可欠になる。
零知識証明を用いた認証方式は、秘密情報の漏洩という
面についての安全性では申し分のない方式であるが、一
般に、何回かの通信を必要とし、認証時間が長いという
問題点がある。また、零知識証明による認証は、その性
質から、認証を行った証拠が残らない。そのため、証明
者と確認者間で正当な認証が行われた後、証明者が認証
の事実を否定するというような不正が行われる可能性が
ある。
【0027】そこで、本発明の目的は、 (1)認証の証拠となる情報を新たに増やすことなく、
認証処理に必要な最小限の情報と通信で通信系列がその
まま認証の証拠となる。
【0028】(2)センタの公開情報と証明者のID情
報のみの公開情報で認証処理が可能。
【0029】(3)証明者が他者にとって有用な情報を
一切漏らすことのない高い安全性。
【0030】(4)通信回数,通信量、及び、計算負担
の大きい計算が少ない高効率認証処理。
【0031】を満足する認証方式を提供することにあ
る。
【0032】
【課題を解決するための手段】上記目的を達成するため
に、本発明は、二つの大きな素数p,qの積からなる合
成数nを法とする剰余環Zn 上の離散対数問題の困難性
を利用した認証プロトコルを用いることで、証明者と確
認者間で行われる認証処理の際に現れる通信系列におい
て、他者にとって有用な情報は一切漏らさないが、証明
者以外の者が作成困難な情報が存在するようにプロトコ
ルを設計した。具体的には、証明者のセンタへの登録処
理として、証明者はセンタに自分のID情報IDA を送
り、センタはセンタの秘密情報である十分大きな二つの
素数p,qと、センタの公開情報であるn=p・q及び
αを用いて、
【0033】
【数20】 IDA≡yA・zA 2 (mod n), yA≡exp(α,xA) (mod n) …(数20) を満たす(xA,yA,zA)を作成し、(IDA,xA,y
A,zA)をICカードに搭載するなどして証明者に配付
する。
【0034】証明者と確認者の間の認証処理では、証明
者は確認者に対して(IDA,yA,zA)を送付した
後、確認者は、センタの公開情報であるnを用いて、
【0035】
【数21】 IDA≡yA・zA 2 (mod n) …(数21) の成立を確かめ、証明者は、センタの公開情報である正
定数kに対し、ri∈{0,1,…,k}をランダムに選
び、
【0036】
【数22】 ui≡exp(α,ri/2) (mod n) …(数22) を計算し、ui を確認者に送る。確認者は、センタの公
開情報である正定数ζに対し、ei∈{0,1,…,
ζ}をランダムに選び、eiを証明者に送る。
【0037】証明者はeiを受け取った後、
【0038】
【数23】 wi=ri+ei・xA …(数23) を計算し、wiを確認者に送る。確認者は、
【0039】
【数24】exp(α,wi)(mod n)=ui 2・exp(yA
i)(mod n) …(数24)の成立を確かめる。以上
のプロトコルを、i=1からtまで繰り返すことによ
り、証明者の認証を行う(但し、ここで、tはセキュリ
ティパラメータ,exp(a,b)はaのb乗を意味す
る。)。
【0040】
【作用】本発明における認証方式では、二つの素数p,
qの積からなる合成数nを法とする剰余環Zn 上の離散
対数問題の困難性を利用した認証プロトコルを用いるこ
とで、証明者と確認者間で行われる認証処理の際に生じ
る通信系列の中に有用な情報は一切漏らさないが、証明
者以外の者が作成困難な情報が存在するようにして、認
証の証拠となる情報を新たに増やすことなく、認証処理
に必要な最小の情報および通信で通信系列がそのまま認
証の証拠となるようにすることができる。
【0041】また、認証処理において、計算負担の大き
いべき乗計算、及び、通信回数を削減することで、効率
の良い認証処理が可能となった。特に、通信ネットワー
ク上での認証処理において、証明者がICカードのよう
な記憶容量および計算能力の小さい媒体を用いても、効
率の良い認証が可能である。
【0042】さらに、本発明によると、秘密鍵暗号や公
開鍵暗号を用いた認証方式の場合とは異なり、センタの
公開情報と証明者のID情報のみの公開情報で認証処理
が可能なので、面倒な鍵配送や公開鍵ファイルの作成が
不要となる。
【0043】
【実施例】図1は、本発明のシステム構成を示すブロッ
ク図である。図1は、センタ側装置100と証明者側装
置200と確認者側装置300とから構成されており、
それぞれは通信回線500を介して接続されている。
【0044】証明者はセンタ発行のICカード400を
所持し、ICカード400を利用して証明者側装置20
0と確認者側装置300間で通信回線500を介して認
証処理を行う。
【0045】図2は、センタ側装置100の内部構成を
示す。センタ側装置100は、入力装置101,演算装
置102,メモリ103,乱数発生装置104,素数発
生装置105,通信装置106、及び、出力装置107
を備えている。
【0046】図3は、証明者側装置200の内部構成を
示す。証明者側装置200は、入力装置201,演算装
置202,メモリ203,ICカード差し込み口20
4,通信装置205、及び、出力装置206を備えてい
る。
【0047】図4は、確認者側装置300の内部構成を
示す。確認者側装置300は、入力装置301,演算装
置302,メモリ303,乱数発生装置304,通信装
置305、及び、出力装置306を備えている。
【0048】図5は、ICカード400の内部構成を示
す。ICカード400は、入力装置401,演算装置4
02,メモリ403,乱数発生装置404、及び、出力
装置405を備えている。
【0049】(実施例1)証明者は、確認者に対して自
分の身元を証明したい。この目的の下で、証明者はセン
タを訪ねる。
【0050】センタの準備処理:センタはセンタ側装置
内100内の入力装置101と演算装置102とメモリ
103と乱数生成装置104と素数生成装置105を用
いて、秘密情報と公開情報を次の要領で作成し、通信装
置106および出力装置107を用いて公開情報のみを
通信回線500を介して公開する。また、秘密情報はメ
モリ103に格納する(但し、ここで、Znは合成数n
を法とする剰余環を表わし、exp(a,b)はaのb乗を
意味する)。
【0051】秘密情報:
【0052】
【数25】 ・ p,q:二つの素数 s.t p,q≧2256. …(数25) 公開情報:
【0053】
【数26】 ・ n=p・q, ・ α:位数がl.c.d(p−1,q−1)のZnの元, …(数26) ・ k:2160程度の正定数, ・ ζ:セキュリティ・パラメータ(ζは2100程度). ただし、ここで、l.c.d(x,y)はxとyの最小公倍
数を表わす。
【0054】証明者の登録:図6は、本実施例における
認証方法の説明図である。
【0055】証明者は、自分のID情報IDA(e.g.
名前, 住所, 電話番号,等)をセンタに渡す。センタ
は、センタ側装置内100内の演算装置102とメモリ
103と乱数発生装置104とを用いて、
【0056】
【数27】 IDA≡yA・zA 2 (mod n), …(数27) となるように、xA∈Zkと、
【0057】
【数28】 yA≡exp(α,xA) (mod n), …(数28) と、zA(mod n)をランダムに選ぶ。
【0058】その後、センタは(IDA,xA,yA,zA,
α,n,k)をICカード400内のメモリ403に格納
して、ICカード400を証明者に配布する。
【0059】認証処理:証明者は、ICカード400内
にある秘密情報xA を所持することを証明者側装置20
0を用いて、確認者側装置300の確認者に対してxA
を示すことなく証明することにより証明者の認証を行う
ことを目的として、次の手順を実行する。
【0060】1.セットアップ 証明者は確認者に対して自分自身の身元を証明するため
に、ICカード400を証明者側装置200のICカー
ド差し込み口204に差し込み、ICカード400内の
メモリ403に格納された証明者のID情報IDA と情
報yA,zAを出力装置405を用いて、証明者側装置2
00に出力し、通信装置205を用いることで通信回線
500を介して確認者側装置300に送る。
【0061】確認者側装置300は、演算装置302と
メモリ303を用いて、送られてきた情報が
【0062】
【数29】 IDA≡yA・zA 2 (mod n) …(数29) を満足することを確かめる。上式が成立すれば、次の認
証プロトコルを実行する。もし、上式が成立しなけれ
ば、確認者は証明者を拒否する。
【0063】2.認証プロトコル 次のプロトコルを証明者側装置200と確認者側装置3
00の間で通信回線500を介してi=1,…,tまで
繰り返し、全てのiについて、4)の式が常に正しく成
立するならば、確認者は証明者を本人であると認める。
【0064】1)ICカード400内の乱数発生装置40
4を用いて、乱数ri∈Zkを選び、
【0065】
【数30】 ui≡exp(α,ri/2) (mod n) …(数30) を演算装置402を用いて計算して、ui を出力装置4
06から出力し、証明者側装置200内の通信装置20
5および出力装置206を用い、通信回線500を介し
て確認者側装置300に送る。
【0066】2)確認者側装置300はuiを受け取っ
た後、乱数発生装置303を用いて、乱数ei∈{0,
1,…,ζ}を選び、eiを通信装置305および出力
装置306を用い、通信回線400を介して証明者側装
置200に送る。
【0067】3)証明者側装置200はeiを受け取っ
た後、演算装置202を用いて、
【0068】
【数31】 wi=ri+ei・xA, …(数31) を計算し、wi を通信装置205および出力装置206
を用い、通信回線400を介して確認者側装置300に送
る。
【0069】4)確認者側装置300は演算装置302とメモ
リ303を用いて、
【0070】
【数32】 ui 2・exp(yA,ei)(mod n)=exp(α,wi)(mod n) …(数32) を検査する。
【0071】本実施例で説明した認証方式を実現するに
当って、安全面・効率面等の考察から次の様に設定する
のが望ましい。
【0072】(a)前処理計算できる箇所は計算してお
く。例えば、認証プロトコル中の1)におけるuiの計
算。
【0073】(b)ID情報IDA を大きく取りたい場
合などには、センタは一方向性ハッシュ関数fを公開
し、IDA単独かまたは適当な値とハッシュ値を取る。
【0074】本実施例で述べた認証方式の特徴として、
次の諸点を挙げることができる。
【0075】本認証方式では、少ない通信回数でも十分
な安全性が得られる体上の離散対数問題の零知識プロト
コルを改良した認証プロトコルを用いている。体上の離
散対数ベースで認証方式を構築すると、認証方式全体と
して計算負担の大きいべき乗計算が数回出現する。そこ
で、べき乗計算を最大限に抑えるために、二つの素数の
積nを法とする剰余環Zn 上の離散対数問題に基づき認
証プロトコルを設計した。このことにより、計算負担の
大きいべき乗計算が最大限に抑えられ、また、認証の証
拠を残すプロトコルを構築する上においても有効であ
る。
【0076】証明者と確認者間の認証の際に生じる通信
系列(ui,ei,wi)は、関係式
【0077】
【数33】 ui 2・exp(yA,ei)(mod n)=exp(α,wi)(mod n) …(数33) を満たし、この関係を満足するui,ei,wiを作成す
るのはxAを知らないと困難なことから、通信系列
(ui,ei,wi)は証明者との認証の証拠となる。
【0078】本認証方式は、認証の際に必要となる通信
量や鍵の長さが比較的少なく、容易に実現できる特徴を
持つ。
【0079】秘密鍵暗号や公開鍵暗号を用いた認証方式
の場合と異なり、面倒な鍵配送や公開鍵ファイルの作成
が不要となる。
【0080】実システムで零知識認証を適用する場合、
証明者は自分のICカードを所持し、自分の身元を証明
する目的でICカードを端末に差し込むことで、確認者
側装置と通信回線を介して認証処理を行うようなケース
が多いと考えられるが、この際、確認者側装置はある程
度以上の計算・記憶能力を仮定できる(例えば、パソコ
ンやワークステーション等)。本認証方式の場合、上記
認証処理中の1)の計算は前処理が可能で、実際のやり
とりの中で行う必要のある計算は3)のみであるので、
ICカードのような計算能力の小さい媒体でも高速に処
理を行うことができる。認証処理で、計算負担の大きい
箇所は全て確認者側で行われ、確認者側はある程度以上
の計算・記憶能力を期待できるので、全体として非常に
高速に処理できる。
【0081】(実施例2)実施例1において、セットア
ップにおける
【0082】
【数34】 IDA≡yA・zA 2 (mod n) …(数34) の検査と、プロトコルの実施を並列で実行する。これに
より、認証時間がさらに短縮される。
【0083】(実施例3)実施例1において、認証プロ
トコルの繰返し回数tが1の場合はセンタはzAの作成
を行わず、(IDA,xA,yA,α,n,k)をICカード4
00内のメモリ403に格納して、ICカード400を
証明者に配付し、認証処理では、セットアップは不要と
なり、認証プロトコル中の4)の
【0084】
【数35】 u1・exp(yA,e1)≡exp(α,w1) (mod n) …(数35) の検査の代わりに、
【0085】
【数36】 u1・exp(IDA/zA 2,e1)≡exp(α,w1) (mod n)…(数36) を検査する。この様にすることにより、zA が不要にな
るので、通信量・計算量が削減される。
【0086】(実施例4)証明者は、確認者に対して自
分の身元を証明したい。この目的の下で、証明者はセン
タを訪ねる。
【0087】センタの準備処理:センタはセンタ側装置
内100内の入力装置101と演算装置102とメモリ
103と乱数発生装置104と素数生成装置105を用
いて、秘密情報と公開情報を次の要領で作成し、通信装
置106および出力装置107を用い、通信回線500
を介して公開情報のみ公開する。また、秘密情報はメモ
リ103に格納する(但し、ここで、Znは正数nを法
とする剰余環を表わし、exp(a,b)はaのb乗を意味
する)。
【0088】秘密情報:
【0089】
【数37】 ・ p,q:二つの素数 s.t p,q≧2256, …(数37) ・ S:署名用の秘密情報. 公開情報:
【0090】
【数38】 ・ n=p・q, …(数38) ・ α:位数がl.c.d(p−1,q−1)のZnの元, ・ k:2160程度の正定数, ・ ζ:セキュリティ・パラメータ(ζは2100程度), ・ P:署名用の公開情報. ただし、ここで、l.c.d(x,y)はxとyの最小公倍
数を表わす。署名用の秘密情報Sがp,qと一致する場
合は、公開情報Pは不要となる。
【0091】証明者の登録:図5は、本実施例における
認証方法のブロック図である。
【0092】センタ側装置100内の乱数発生装置10
4(または、ICカード400内の乱数発生装置40
4)を用いて、xA∈Zkをランダムに選び、演算装置1
02(または、演算装置402)を用いて、
【0093】
【数39】 yA≡exp(α,xA) (mod n), …(数39) を計算する。
【0094】証明者は、自分のID情報IDA (e.g. 名
前, 住所, 電話番号,等)をセンタに登録する。センタ
は、署名用の秘密情報Sから、センタ側装置内100内
の演算装置102を用いて、(IDA,yA)に対する署
名SAを作成する。
【0095】その後、センタは(IDA,xA,yA,SA,n,
k)をICカード400内のメモリ403に格納して、
ICカード400を証明者に配布する。
【0096】認証処理:証明者は、ICカード400内
にある秘密情報xAを所持することを証明者側装置20
0を用いて、確認者側装置300の確認者に対してxA
を示すことなく証明することにより証明者の認証を行う
ことを目的として、次の手順を実行する。
【0097】1.セットアップ. 証明者は確認者に対して自分自身の身元を証明するため
に、ICカード400を証明者側装置200のICカー
ド差し込み口204に差し込み、ICカード400内の
メモリ403に格納された証明者のID情報IDA と情
報yA,SAを出力装置405を用いて、証明者側装置2
00に出力し、通信装置205を用いることで通信回線
500を介して確認者側装置300に送る。
【0098】確認者側装置300は、センタの署名用の
公開情報Pと演算装置302とメモリ303を用いて、
送られてきた署名SAが正当なものであることを確かめ
る。
【0099】2.認証プロトコル. 次のプロトコルを証明者側装置200と確認者側装置3
00の間で通信回線400を介してi=1,…,tまで
繰り返し、全てのiについて、数41が常に正しく成立
するならば、証明者を本人であると認める。
【0100】ICカード400内の乱数発生装置404
を用いて、乱数ri∈Zkを選び、
【0101】
【数40】 ui≡exp(α,ri/2) (mod n) …(数40) を演算装置402を用いて計算し、出力装置405を用
いてui を証明者側装置200に出力し、通信装置20
5および出力装置206を用いて、通信回線400を介し
て確認者側装置300に送る。
【0102】確認者側装置300はui を受け取った
後、乱数発生装置303を用いて乱数ei∈{0,1,
…,ζ}を選び、eiを通信装置305および出力装置
306を用いて、通信回線400を介して証明者側装置
200に送る。
【0103】証明者側装置200はeiを受け取った
後、演算装置202を用いて、 wi=ri+ei・xA, を計算し、通信装置205および出力装置206を用い
て、wi を通信回線400を介して確認者側装置300に
送る。
【0104】確認者側装置300内は演算装置302を
用いて、
【0105】
【数41】 ui 2・exp(yA,ei)(mod n)=exp(α,wi)(mod n) …(数41) を検査する。
【0106】(実施例5)実施例4で、セットアップに
おける署名SA の正当性の確認と、上記認証プロトコル
の実施を並列で実行する。これにより、認証時間がさら
に短縮される。
【0107】
【発明の効果】本発明における認証方式は、二つの素数
p,qの積からなる合成数nを法とする剰余環Zn 上の
離散対数問題に基づく認証プロトコルで認証スキームを
構築することにより、安全性が高く、通信回数及び通信
量が少なく効率の良い認証が可能となった。
【0108】さらに、認証の証拠となる情報を新たに増
やすことなく、認証に必要な最小の情報,通信で通信系
列がそのまま認証処理の証拠となることができる。この
ことにより、証明者と確認者間で正当な認証が行われた
後、証明者が認証の事実を否定するといった不正が防止
できる。
【0109】また、本発明における認証方式は、センタ
の公開情報と証明者のID情報のみの公開情報で認証処
理が実行できるので、秘密鍵暗号や公開鍵暗号を用いた
認証方式の場合と異なり、面倒な鍵配送や公開鍵ファイ
ルの作成の必要がなくなる。
【図面の簡単な説明】
【図1】本発明の実施例におけるシステム構成を示すブ
ロック図。
【図2】本発明のシステム構成内のセンタ側装置の内部
構成を示すブロック図。
【図3】本発明のシステム構成内の証明者側装置の内部
構成を示すブロック図。
【図4】本発明のシステム構成内の確認者側装置を示す
ブロック図。
【図5】本発明のシステム構成内のICカードの内部構
成を示すブロック図。
【図6】実施例1の認証方式の概要を示す説明図。
【図7】実施例4の認証方式の概要を示す説明図。
【符号の説明】
100…センタ側装置、200…証明者側装置、300
…確認者側装置、400…ICカード、500…通信回
線。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/12

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】証明者が確認者に対して自分の身元を証明
    する目的で信頼できるセンタを訪れ、前記センタが作成
    した前記証明者用の秘密の情報を利用して、前記証明者
    が前記確認者に身元を証明する認証システムにおいて、
    前記証明者と前記確認者は、前記センタの公開情報と前
    記証明者のID情報のみの公開情報で認証処理を実行す
    ることができ、前記証明者と前記確認者間の認証処理の
    際に生じる通信系列が、前記認証処理に必要な最小限の
    情報および通信で、認証の通信系列がそのまま認証処理
    の証拠となることができることを特徴とする認証方式。
  2. 【請求項2】請求項1において、前記センタは二つの素
    数p,qの積であるnを公開し、センタの秘密情報p,
    qを用いることにより、前記証明者の認証のための秘密
    情報を作成した後、前記証明者に前記秘密情報を配布
    し、前記証明者は、前記秘密情報sを所持することを他
    者にとって有用な情報を漏らすことなく、nを法とする
    剰余環Zn 上の離散対数問題の困難性を利用した認証プ
    ロトコルにより、前記確認者に対して証明を行うことに
    より認証処理を行うことを特徴とする認証方式。
  3. 【請求項3】証明者が確認者に対して自分の身元を証明
    する目的で信頼できるセンタを訪れ、前記センタが作成
    した前記証明者用の秘密の情報を利用して、前記証明者
    が前記確認者に身元を証明する認証システムにおいて、
    前記証明者の前記センタへの登録処理として、前記証明
    者はセンタに自分のID情報IDA を送り、前記センタ
    は前記センタの秘密情報である二つの素数p,qと、セ
    ンタの公開情報であるn=p・q及びαを用いて、 【数1】 IDA≡yA・zA 2 (mod n), yA≡exp(α,xA) (mod n) …(数1) を満たす(xA,yA,zA)を作成し、(IDA,xA,y
    A,zA)を計算機能付記憶媒体に搭載するなどして証明
    者に配付し、前記証明者と前記確認者間の認証処理で
    は、前記証明者は前記確認者に対して(IDA,yA
    A)を送付した後、前記確認者は、前記センタの公開
    情報であるnを用いて、 【数2】 IDA≡yA・zA 2 (mod n) …(数2) の成立を確かめ、前記証明者は、前記センタの公開情報
    である正定数kに対し、ri∈{0,1,…,k}をラ
    ンダムに選び、 【数3】 ui≡exp(α,ri/2) (mod n) …(数3) を計算し、uiを確認者に送り、前記確認者はuiを受け
    取った後、センタの公開情報である正定数ζに対し、e
    i∈{0,1,…,ζ}をランダムに選び、eiを前記証
    明者に送り、前記証明者はeiを受け取った後、 【数4】 wi=ri+ei・xA …(数4) を計算し、wiを確認者に送り、前記確認者は、 【数5】 exp(α,wi)(mod n)=ui 2・exp(yA,ei)(mod n) …(数5) の成立を確かめることを、i=1からtまで繰り返すこ
    とにより、前記証明者の認証を行う(但し、ここで、t
    はセキュリティパラメータ,exp(a,b)はaのb乗を
    意味する)ことを特徴とする認証方式。
  4. 【請求項4】証明者が確認者に対して自分の身元を証明
    するためセンタを訪れ、前記センタが作成した前記証明
    者用の秘密の情報を利用して、前記証明者が前記確認者
    に身元を証明する認証システムにおいて、 前記証明者の前記センタへの登録処理として、 前記証明者は前記センタに自分のID情報IDAを送
    り、前記センタは前記センタの秘密情報である二つの素
    数p,qと、前記センタの公開情報であるn=p・q及
    びαを用いて、 【数6】 IDA≡yA 2・exp(α,xA) (mod n), …(数6) を満たす(xA,yA)を作成し、(IDA,xA,yA)を
    計算機能付記憶媒体に搭載するなどして前記証明者に配
    付し、 前記証明者と前記確認者の間の認証処理では、前記証明
    者は確認者に対して(IDA,yA)を送付し、前記証明
    者は、センタの公開情報である正定数kに対し、r∈
    {0,1,…,k}をランダムに選び、 【数7】 u≡exp(α,r/2) (mod n) …(数7) を計算し、uを前記確認者に送り、前記確認者はuを受
    け取った後、前記センタの公開情報である正定数ζに対
    し、e∈{0,1,…,ζ}をランダムに選び、eを証
    明者に送り、 前記証明者はeを受け取った後、 【数8】 w=r+e・xA …(数8) を計算し、wを確認者に送り、前記確認者は、 【数9】 exp(α,w)(mod n)=u2・exp(yA,e)(mod n) …(数9) の成立を確かめることにより、前記証明者の認証を行う
    (但し、ここで、tはセキュリティパラメータ,exp
    (a,b)はaのb乗を意味する。)ことを特徴とする
    認証方式。
  5. 【請求項5】証明者が確認者に対して自分の身元を証明
    するため信頼できるセンタを訪れ、前記センタが作成し
    た前記証明者用の秘密の情報を利用して、前記証明者が
    前記確認者に身元を証明する認証システムにおいて、前
    記センタは、前記センタの秘密情報である二つの素数
    p,qからn=p・qを前記センタの公開情報とし、 前記証明者の前記センタへの登録処理として、前記セン
    タ、または、前記証明者は認証用の秘密情報xAをラン
    ダムに作成し、前記証明者のID情報IDAと、 【数10】 yA≡exp(α,xA) (mod n) …(数10) の組(IDA,yA)に対して、前記センタの秘密情報を
    用いることにより署名SAを作成し、前記センタは、前
    記証明者に対して、(IDA,xA,SA)を計算機能付
    記憶媒体に搭載するなどして前記証明者に配付し、前記
    証明者と前記確認者の間の認証処理では、前記証明者は
    前記確認者に対して(IDA,yA,SA)を送付した後、
    前記確認者は、前記センタの公開情報を用いて、署名S
    A の正当性を確かめ、前記証明者は、前記センタの公開
    情報である正定数kに対し、ri∈{0,1,…,k}
    をランダムに選び、 【数11】 ui≡exp(α,ri/2) (mod n) …(数11) を計算し、uiを前記確認者に送り、前記確認者はui
    受け取った後、前記センタの公開情報である正定数ζに
    対し、ei∈{0,1,…,ζ}をランダムに選び、ei
    を前記証明者に送り、前記証明者はeiを受け取った
    後、 【数12】 wi=ri+ei・xA …(数12) を計算し、wiを前記確認者に送り、前記確認者は、 【数13】 exp(α,wi)(mod n)=ui 2・exp(IDA/yA 2,ei)(mod n) …(数13) の成立を確かめることをi=1からtまで繰り返すこと
    により、前記証明者の認証を行う(但し、ここで、αは
    センタの公開情報,tはセキュリティパラメータ,exp
    (a,b)はaのb乗を意味する。)ことを特徴とする
    認証方式。
JP6068313A 1994-04-06 1994-04-06 認証方式 Pending JPH07281595A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6068313A JPH07281595A (ja) 1994-04-06 1994-04-06 認証方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6068313A JPH07281595A (ja) 1994-04-06 1994-04-06 認証方式

Publications (1)

Publication Number Publication Date
JPH07281595A true JPH07281595A (ja) 1995-10-27

Family

ID=13370209

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6068313A Pending JPH07281595A (ja) 1994-04-06 1994-04-06 認証方式

Country Status (1)

Country Link
JP (1) JPH07281595A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007007836A1 (ja) * 2005-07-13 2007-01-18 Nippon Telegraph And Telephone Corporation 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007007836A1 (ja) * 2005-07-13 2007-01-18 Nippon Telegraph And Telephone Corporation 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体
JPWO2007007836A1 (ja) * 2005-07-13 2009-01-29 日本電信電話株式会社 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体
JP4555859B2 (ja) * 2005-07-13 2010-10-06 日本電信電話株式会社 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体
US8001384B2 (en) 2005-07-13 2011-08-16 Nippon Telegraph And Telephone Corporation Authentication system, authentication method, attesting device, verification device, their programs, and recording medium

Similar Documents

Publication Publication Date Title
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
Brickell et al. Enhanced privacy ID: A direct anonymous attestation scheme with enhanced revocation capabilities
Damgård Payment systems and credential mechanisms with provable security against abuse by individuals
JP3522447B2 (ja) 認証交換方法および付加型公衆電子署名方法
US4969189A (en) Authentication system and apparatus therefor
EP0786178B1 (en) Secret-key certificates
US7716484B1 (en) System and method for increasing the security of encrypted secrets and authentication
Gennaro et al. RSA-based undeniable signatures
EP0697776A2 (en) Method and apparatus for secure electronic voting
US20020174339A1 (en) Data card verification system
US20160269397A1 (en) Reissue of cryptographic credentials
JP3513324B2 (ja) ディジタル署名処理方法
JP4772965B2 (ja) エンティティの真正性および/またはメッセージの完全性を証明するための方法
Gaud et al. On the anonymity of fair offline e-cash systems
US6978372B1 (en) Verification of correct exponentiation or other operations in cryptographic applications
WO2016187689A1 (en) Signature protocol
Lei et al. Provably secure blind threshold signatures based on discrete logarithm
JPH11234263A (ja) 相互認証方法および装置
JPH07281595A (ja) 認証方式
JP3316895B2 (ja) 正当性の確認システム
JP3292342B2 (ja) ディジタル署名方式
JPH0777934A (ja) 離散対数ベース認証方式
Ng et al. ECDSA-compatible privacy preserving signature with designated verifier
JPH07336348A (ja) 認証装置および認証方法
Yu et al. An online/offline signature scheme based on the strong rsa assumption