JPH0777934A - 離散対数ベース認証方式 - Google Patents
離散対数ベース認証方式Info
- Publication number
- JPH0777934A JPH0777934A JP5225448A JP22544893A JPH0777934A JP H0777934 A JPH0777934 A JP H0777934A JP 5225448 A JP5225448 A JP 5225448A JP 22544893 A JP22544893 A JP 22544893A JP H0777934 A JPH0777934 A JP H0777934A
- Authority
- JP
- Japan
- Prior art keywords
- center
- certifier
- confirmer
- information
- prover
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】通信回数が少なくても十分な安全性が得られ、
かつ、処理負担の大きい計算の少ない効率の良い零知識
認証方式を提供する。 【構成】少ない通信回数で十分な安全性を得ることがで
きる離散対数問題の零知識プロトコルを用い、認証処理
で計算負担の大きいべき乗計算を少なくすることによ
り、認証全体の効率化を図った。また、認証処理で、認
証用情報の作成手続き正当性を零知識プロトコルを用い
て証明し、より安全な認証を可能にする。
かつ、処理負担の大きい計算の少ない効率の良い零知識
認証方式を提供する。 【構成】少ない通信回数で十分な安全性を得ることがで
きる離散対数問題の零知識プロトコルを用い、認証処理
で計算負担の大きいべき乗計算を少なくすることによ
り、認証全体の効率化を図った。また、認証処理で、認
証用情報の作成手続き正当性を零知識プロトコルを用い
て証明し、より安全な認証を可能にする。
Description
【0001】
【産業上の利用分野】本発明は、認証の基本技術に係
り、広く認証一般に適用できる。例えば、安全性が保証
されない通信ネットワーク上で、利用者が他の利用者に
対して、自分の身元を安全に証明する必要があるような
場合において特に有効である。
り、広く認証一般に適用できる。例えば、安全性が保証
されない通信ネットワーク上で、利用者が他の利用者に
対して、自分の身元を安全に証明する必要があるような
場合において特に有効である。
【0002】
【従来の技術】1985年に、ゴールドワッセル(Goldwass
er)らによって提案された零知識証明は暗号理論の分野
に大きな影響を及ぼした。特に、零知識証明は相手認証
等の認証技術に応用された。
er)らによって提案された零知識証明は暗号理論の分野
に大きな影響を及ぼした。特に、零知識証明は相手認証
等の認証技術に応用された。
【0003】現在まで、零知識認証方式は、平方剰余問
題の困難性を暗号学的仮定とするファイアット シャミ
ール(Fiat-Shamir)法,離散対数問題の困難性を暗号学
的仮定とするベス(Beth)の方式等が知られている。特
に、Fiat-Shamir 法は、証明者と確認者双方の計算負担
が小さく効率の良い方式である。
題の困難性を暗号学的仮定とするファイアット シャミ
ール(Fiat-Shamir)法,離散対数問題の困難性を暗号学
的仮定とするベス(Beth)の方式等が知られている。特
に、Fiat-Shamir 法は、証明者と確認者双方の計算負担
が小さく効率の良い方式である。
【0004】以下、文献アドヴアンシス イン クリプ
トロジィ プロシーディングス オブ クリプトロジィ
'86 レクチャー ノーツ イン コンピュータ サ
イエンス,263巻 186−194頁 シュプリンガ
ー フェルラーク社刊(Advances in Cryptology-Proce
edings of Crypto '86, Lecture Notes inComputer Sci
ence, Vol.263, Springer Verlag, Berlin, 1987, pp.1
86-194.)に記載のFiat-Shamir 法について詳しく述べ
る。
トロジィ プロシーディングス オブ クリプトロジィ
'86 レクチャー ノーツ イン コンピュータ サ
イエンス,263巻 186−194頁 シュプリンガ
ー フェルラーク社刊(Advances in Cryptology-Proce
edings of Crypto '86, Lecture Notes inComputer Sci
ence, Vol.263, Springer Verlag, Berlin, 1987, pp.1
86-194.)に記載のFiat-Shamir 法について詳しく述べ
る。
【0005】記号の説明:Zは整数環を表わし、Zpは
素数pを法とする剰余体を表わす。また、a∈Zpのオ
ーダがnであるとは、|〈a〉|=nを意味し、ord(a)
=n と書く。ここで、〈a〉はaで生成される巡回群
を表わし、|S|は集合Sの元の個数を表わす。 〔Fiat-Shamir法〕センタは、次の情報を作成する。
素数pを法とする剰余体を表わす。また、a∈Zpのオ
ーダがnであるとは、|〈a〉|=nを意味し、ord(a)
=n と書く。ここで、〈a〉はaで生成される巡回群
を表わし、|S|は集合Sの元の個数を表わす。 〔Fiat-Shamir法〕センタは、次の情報を作成する。
【0006】センタの秘密情報 ・p,q:二つの素数 センタの公開情報 ・n=pq, ・f:値域が(0,n)の擬似ランダム関数 証明者のセンタへの登録: 1)証明者はセンタに自分のID情報IDAを登録す
る。
る。
【0007】2)センタは、
【0008】
【数5】vj≡f(IDA,j), j=1,…,k と置き、 sj 2≡1/vj(mod n) から、sj(j=1,…,k)を計算し、IDA,nと
共にICカードに搭載して証明者に配付する(簡単のた
め、j=1,…,kでvj(mod n)は平方剰余になると
仮定している。)。
共にICカードに搭載して証明者に配付する(簡単のた
め、j=1,…,kでvj(mod n)は平方剰余になると
仮定している。)。
【0009】認証処理: 1)証明者は、自分のID情報IDAを確認者に送る。
【0010】2)確認者は、
【0011】
【数6】vj≡f(IDA,j), j=1,…,k を計算する。
【0012】次のステップ3から6をi=1,…,tま
で繰り返し、全てのiについてステップ6の等式が成立
すれば、確認者は証明者を受理する。
で繰り返し、全てのiについてステップ6の等式が成立
すれば、確認者は証明者を受理する。
【0013】3)証明者は、乱数ri∈Znを選び、xi
≡ri 2(mod n)を確認者に送る。
≡ri 2(mod n)を確認者に送る。
【0014】4)確認者は、k個のランダムビットの列
(ei1,…,eik)を証明者に送る。
(ei1,…,eik)を証明者に送る。
【0015】5)証明者は、
【0016】
【数7】yi≡riΠ{sj|eij=1} (mod n) を確認者に送る。
【0017】6)確認者は、
【0018】
【数8】xi≡yi 2Π{vj|eij=1} (mod n) を検査する。
【0019】Fiat-Shamir法において、偽の証明者が確
認者を騙せる確率p1は、
認者を騙せる確率p1は、
【0020】
【数9】p1≦exp(2,-kt) となる(但し、ここで、exp(a,b)はaのb乗を意味
する。)。
する。)。
【0021】前記文献には、kt=20程度で十分安全
であると記されている。また、現在のところ、256ビ
ット以上の素数p,qが推奨されている。
であると記されている。また、現在のところ、256ビ
ット以上の素数p,qが推奨されている。
【0022】一般に、実システムにおいて認証技術を適
用する場合、本質的に認証処理に必要となる通信回数を
なるだけ削減したい。
用する場合、本質的に認証処理に必要となる通信回数を
なるだけ削減したい。
【0023】Fiat-Shamir 法の場合、t=1にすると
(このとき、通信回数は3回)、k=20になる。する
と、証明者側の秘密情報は、s1,s2,…,s20となり、
各siは512ビットなので全部で512×20=10
240ビットとなり、記憶容量の小さいカードでは実現
が難しい。逆に、k=1にすると、t=20となり、証
明者側の秘密情報は512ビットだけであるが、通信回
数が60回も必要となる。k=5,t=4のとき、証明
者側の秘密情報は2560ビットで通信回数は12回と
なる。この場合も、通信回数が多いので、認証処理に時
間がかかると予想される。特に、高い安全性が要求され
るようなシステムにおいて、例えば、kt=160の場
合、Fiat-Shamir 法は必然的に通信回数を増やす必要が
あるので、認証処理に多くの時間を要する。
(このとき、通信回数は3回)、k=20になる。する
と、証明者側の秘密情報は、s1,s2,…,s20となり、
各siは512ビットなので全部で512×20=10
240ビットとなり、記憶容量の小さいカードでは実現
が難しい。逆に、k=1にすると、t=20となり、証
明者側の秘密情報は512ビットだけであるが、通信回
数が60回も必要となる。k=5,t=4のとき、証明
者側の秘密情報は2560ビットで通信回数は12回と
なる。この場合も、通信回数が多いので、認証処理に時
間がかかると予想される。特に、高い安全性が要求され
るようなシステムにおいて、例えば、kt=160の場
合、Fiat-Shamir 法は必然的に通信回数を増やす必要が
あるので、認証処理に多くの時間を要する。
【0024】
【発明が解決しようとする課題】高度情報化社会では、
通信ネットワーク上で電子投票を行ったり、重要な契約
などを行う等の他、様々なサービスが行われることが予
想される。この際、ネットワークの利用者が自分の身元
を安全に相手に証明する認証技術が必要不可欠になる。
零知識証明を用いた認証法は、安全性については申し分
のない方式であるが、一般に、何回かの通信を必要と
し、認証時間が長いという問題点がある。
通信ネットワーク上で電子投票を行ったり、重要な契約
などを行う等の他、様々なサービスが行われることが予
想される。この際、ネットワークの利用者が自分の身元
を安全に相手に証明する認証技術が必要不可欠になる。
零知識証明を用いた認証法は、安全性については申し分
のない方式であるが、一般に、何回かの通信を必要と
し、認証時間が長いという問題点がある。
【0025】本発明の目的は、通信回数が少なくても十
分な安全性が得られ、かつ、処理負担の大きい計算を少
なくした効率の良い零知識認証方式を提供することにあ
る。
分な安全性が得られ、かつ、処理負担の大きい計算を少
なくした効率の良い零知識認証方式を提供することにあ
る。
【0026】
【課題を解決するための手段】本発明における認証方式
は、通信回数が少なくても十分な安全性を得ることがで
きる離散対数問題の零知識プロトコルを認証プロトコル
に用い、また、認証処理に必要となる計算負担の大きい
べき乗計算を少なくすることを特徴とする。
は、通信回数が少なくても十分な安全性を得ることがで
きる離散対数問題の零知識プロトコルを認証プロトコル
に用い、また、認証処理に必要となる計算負担の大きい
べき乗計算を少なくすることを特徴とする。
【0027】具体的には、まず証明者のセンタへの登録
処理を行う。登録処理では、証明者はセンタに自分のI
D情報IDAを送り、センタはセンタの公開情報である
正定数α,vと、素数pと、センタの秘密情報sを用い
て、
処理を行う。登録処理では、証明者はセンタに自分のI
D情報IDAを送り、センタはセンタの公開情報である
正定数α,vと、素数pと、センタの秘密情報sを用い
て、
【0028】
【数10】zA≡exp(α,xA) (mod p), exp(v,IDA+yA)≡yA・zA (mod p) を満たす(xA,yA,zA)を作成し、(IDA,xA,
yA,zA)を記憶媒体等に搭載するなどして証明者に配
付し、証明者と確認者の間の認証処理では、証明者は確
認者に対して(IDA,yA,zA)を送付した後、確認者
は、センタの公開情報である正定数α,vと素数pを用
いて、
yA,zA)を記憶媒体等に搭載するなどして証明者に配
付し、証明者と確認者の間の認証処理では、証明者は確
認者に対して(IDA,yA,zA)を送付した後、確認者
は、センタの公開情報である正定数α,vと素数pを用
いて、
【0029】
【数11】exp(v,IDA+yA)≡yA・zA (mod p) の成立を確かめた後、確認者に対して証明者は秘密情報
xA を所持することを離散対数問題の零知識プロトコル
を用いて証明することにより、証明者の認証を行う(但
し、ここで、exp(a,b)はaのb乗を意味する)。
xA を所持することを離散対数問題の零知識プロトコル
を用いて証明することにより、証明者の認証を行う(但
し、ここで、exp(a,b)はaのb乗を意味する)。
【0030】
【作用】本発明における認証方式では、通信回数が少な
くても十分な安全性が得られる離散対数問題の零知識証
明プロトコルを認証プロトコルに用い、さらに、計算負
担の大きいべき乗計算を少なくすることにより、認証処
理の効率が向上した。
くても十分な安全性が得られる離散対数問題の零知識証
明プロトコルを認証プロトコルに用い、さらに、計算負
担の大きいべき乗計算を少なくすることにより、認証処
理の効率が向上した。
【0031】また、認証処理で、認証用情報の作成手続
き正当性を証明することにより、より安全な認証が可能
となった。
き正当性を証明することにより、より安全な認証が可能
となった。
【0032】
(実施例1)図1は、本発明のシステム構成を示すブロ
ック図である。図1は、センタ側装置100と証明者側
装置200と確認者側装置300とから構成されてお
り、センタ側装置100と証明者側装置200と確認者
側装置300は通信回線400を介して接続されてい
る。
ック図である。図1は、センタ側装置100と証明者側
装置200と確認者側装置300とから構成されてお
り、センタ側装置100と証明者側装置200と確認者
側装置300は通信回線400を介して接続されてい
る。
【0033】図2は、センタ側装置100の内部構成を
示す。センタ側装置100は、入力装置101,演算装
置102,メモリ103,乱数発生装置104,素数発
生装置105、及び、出力装置106を備えている。
示す。センタ側装置100は、入力装置101,演算装
置102,メモリ103,乱数発生装置104,素数発
生装置105、及び、出力装置106を備えている。
【0034】図3は、証明者側装置200の内部構成を
示す。証明者側装置200は、入力装置201,演算装
置202,メモリ203,乱数発生装置204、及び、
出力装置205を備えている。
示す。証明者側装置200は、入力装置201,演算装
置202,メモリ203,乱数発生装置204、及び、
出力装置205を備えている。
【0035】図4は、確認者側装置300の内部構成を
示す。確認者側装置300は、入力装置301,演算装
置302,メモリ303,乱数発生装置304、及び、
出力装置305を備えている。
示す。確認者側装置300は、入力装置301,演算装
置302,メモリ303,乱数発生装置304、及び、
出力装置305を備えている。
【0036】証明者は、確認者に対して自分の身元を証
明したい。この目的の下で、証明者はセンタを訪ねる。
明したい。この目的の下で、証明者はセンタを訪ねる。
【0037】センタの準備処理:センタはセンタ側装置
内100内の入力装置101と演算装置102とメモリ
103と乱数生成装置104と素数生成装置105を用
いて、秘密情報と公開情報を次の要領で作成し、出力装
置106を用いて公開情報のみを出力し、公開する。ま
た、秘密情報はメモリ103に格納する(但し、ここ
で、Zp は素数pを法とする剰余体を表わし、exp(a,
b)はaのb乗を意味する)。
内100内の入力装置101と演算装置102とメモリ
103と乱数生成装置104と素数生成装置105を用
いて、秘密情報と公開情報を次の要領で作成し、出力装
置106を用いて公開情報のみを出力し、公開する。ま
た、秘密情報はメモリ103に格納する(但し、ここ
で、Zp は素数pを法とする剰余体を表わし、exp(a,
b)はaのb乗を意味する)。
【0038】秘密情報: s:Zqの元 公開情報:・ p:素数,・ q:p−1を割り切る素数,・ α:位数がqのZpの元,・ v≡exp(α,s) (mod p),・ セキュリティ・パラメータ ζ(1≦ζ≦q) 証明者の登録:図5は、本実施例における認証方法の説
明図である。証明者は、自分のID情報IDA (e.g. 名
前, 住所, 電話番号,等)を通信回線400を介してセ
ンタに送る。センタは、センタ側装置内100内の乱数
生成装置104を用いて、乱数tA∈Zqを選び、
明図である。証明者は、自分のID情報IDA (e.g. 名
前, 住所, 電話番号,等)を通信回線400を介してセ
ンタに送る。センタは、センタ側装置内100内の乱数
生成装置104を用いて、乱数tA∈Zqを選び、
【0039】
【数12】xA≡s(IDA+yA)−tA (mod q), yA≡exp(α,tA) (mod p), zA≡exp(α,xA) (mod p) を演算装置102を用いて計算する。その後、センタは
(IDA,xA,yA,zA,p,q,α)を記憶媒体等に
搭載して証明者に配布する。
(IDA,xA,yA,zA,p,q,α)を記憶媒体等に
搭載して証明者に配布する。
【0040】認証処理:証明者は、秘密情報xAを所持
することを確認者に対してxAを知らせることなく証明
することにより証明者の認証を行うため、次の手順を実
行する。
することを確認者に対してxAを知らせることなく証明
することにより証明者の認証を行うため、次の手順を実
行する。
【0041】1.セットアップ. 証明者は確認者に対して自分自身の身元を証明するため
に証明者側装置200を用い、通信回線400を介して
確認者側装置300にアプローチし、最初に証明者は証
明者側装置200内の出力装置205から通信回線40
0を介して、自分のID情報IDAと情報yA,zAを確
認者側装置300に送る。
に証明者側装置200を用い、通信回線400を介して
確認者側装置300にアプローチし、最初に証明者は証
明者側装置200内の出力装置205から通信回線40
0を介して、自分のID情報IDAと情報yA,zAを確
認者側装置300に送る。
【0042】確認者側装置300は、演算装置300を
用いて、送られてきた情報が
用いて、送られてきた情報が
【0043】
【数13】exp(v,IDA+yA)≡yA・zA (mod p) を成立することを確かめる。
【0044】2.認証プロトコル. 次のプロトコルを証明者側装置200と確認者側装置3
00の間で通信回線400を介してi=1,…,tまで
繰り返す。
00の間で通信回線400を介してi=1,…,tまで
繰り返す。
【0045】Step1.証明者は証明者側装置200内の
乱数生成装置204を用いて、乱数ri∈Zqを選び、
乱数生成装置204を用いて、乱数ri∈Zqを選び、
【0046】
【数14】ui≡exp(α,ri) (mod p) を演算装置202を用いて計算し、uを通信回線400
を介して確認者側側装置300に送る。
を介して確認者側側装置300に送る。
【0047】Step2.確認者は確認者側装置300内の
乱数生成装置303を用いて、乱数ei∈{0,1,
…,ζ}を選び、eiを通信回線400を介して証明者
側装置200に送る。
乱数生成装置303を用いて、乱数ei∈{0,1,
…,ζ}を選び、eiを通信回線400を介して証明者
側装置200に送る。
【0048】Step3.証明者は証明者側装置200内の
演算装置202を用いて、
演算装置202を用いて、
【0049】
【数15】wi≡ri+ei・xA (mod q) を計算し、wiを通信回線400を介して確認者側装置
300に送る。
300に送る。
【0050】Step4.確認者は確認者側装置300内の
演算装置302を用いて、
演算装置302を用いて、
【0051】
【数16】 ui・exp(zA,ei)≡exp(α,wi) (mod p) を検査する。
【0052】確認者は、プロトコルのt回の実行で、St
ep4の式が常に正しく成立するならば、証明者を本人で
あると認める。
ep4の式が常に正しく成立するならば、証明者を本人で
あると認める。
【0053】本実施例で説明した認証方式を実際に実行
するに当って、安全面・効率面等の考察から次の様に設
定するのが望ましい。
するに当って、安全面・効率面等の考察から次の様に設
定するのが望ましい。
【0054】(1)p≧2512,(2)q≧2160,
(3)前処理計算できる箇所は計算しておく。
(3)前処理計算できる箇所は計算しておく。
【0055】(4)ID情報IDA を大きく取りたい場
合などには、センタは一方向性ハッシュ関数fを公開
し、IDA単独かまたは適当な値とハッシュ値を取る。
合などには、センタは一方向性ハッシュ関数fを公開
し、IDA単独かまたは適当な値とハッシュ値を取る。
【0056】本実施例で述べた認証方式の特徴として
は、 (1)本認証方式では、セキュリティ・パラメータζは
最大で、素数qまで取ることができる(qは160ビッ
トとする。)。ζ=qのとき、偽の証明者が確認者を騙
す確率p2はプロトコル1回につき、p2≦1/2160 と
なることから、通信回数3回で計算量をさほど増加させ
ることなく非常に高い安全性を得ることが出来る。
は、 (1)本認証方式では、セキュリティ・パラメータζは
最大で、素数qまで取ることができる(qは160ビッ
トとする。)。ζ=qのとき、偽の証明者が確認者を騙
す確率p2はプロトコル1回につき、p2≦1/2160 と
なることから、通信回数3回で計算量をさほど増加させ
ることなく非常に高い安全性を得ることが出来る。
【0057】また、認証の際に必要となる通信量や鍵の
長さも比較的少なくて済む特徴を持つ。
長さも比較的少なくて済む特徴を持つ。
【0058】(2)実システムで零知識認証を適用する
場合、証明者は自分のICカードを所持し、自分の身元
を証明する目的でICカードを端末に差し込むことで、
確認者側装置と通信回線を介して認証処理を行うような
ケースが多いと考えられるが、この際、確認者側装置は
ある程度以上の計算・記憶能力を仮定できる(例えば、
パソコンやワークステーション等)。本認証方式の場
合、認証処理Step1の計算は前処理が可能で、実際のや
りとりの中で行う必要のある計算はStep3のみであるの
で、ICカードのような計算能力の小さい媒体でも高速
に処理を行うことができる。認証処理で、計算負担の大
きい箇所は全て確認者側で行われ、確認者側はある程度
以上の計算・記憶能力を期待できるので、全体として高
速に処理できる。
場合、証明者は自分のICカードを所持し、自分の身元
を証明する目的でICカードを端末に差し込むことで、
確認者側装置と通信回線を介して認証処理を行うような
ケースが多いと考えられるが、この際、確認者側装置は
ある程度以上の計算・記憶能力を仮定できる(例えば、
パソコンやワークステーション等)。本認証方式の場
合、認証処理Step1の計算は前処理が可能で、実際のや
りとりの中で行う必要のある計算はStep3のみであるの
で、ICカードのような計算能力の小さい媒体でも高速
に処理を行うことができる。認証処理で、計算負担の大
きい箇所は全て確認者側で行われ、確認者側はある程度
以上の計算・記憶能力を期待できるので、全体として高
速に処理できる。
【0059】(3)本認証方式の認証処理によって、
(xA,yA,zA)は手続き通りに作られていることが証
明される。このことから、本認証方式は、手続き通りに
(xA,yA,zA)を作成しない限り、不正が困難な安全
性の高い認証方式であると結論付けられる。
(xA,yA,zA)は手続き通りに作られていることが証
明される。このことから、本認証方式は、手続き通りに
(xA,yA,zA)を作成しない限り、不正が困難な安全
性の高い認証方式であると結論付けられる。
【0060】(4)離散対数問題の零知識証明プロトコ
ルにおける問題点は、計算負担の大きいべき乗計算がプ
ロトコル一回につき3回あることである(実施例1を例
にとると、Step1で一回、Step4で二回の計三回)。証
明者側の一回は前処理が可能なので、実際のやりとりの
中でのべき乗計算は一回削減することができるが、離散
対数ベースで認証方式を構築する場合、この他に、何度
かべき乗計算が必要になってくる。例えば、実施例1の
場合は、セットアップに一回ある。実は、一般的に、こ
れ以上べき乗計算を減らすことは出来ないと予想され
る。
ルにおける問題点は、計算負担の大きいべき乗計算がプ
ロトコル一回につき3回あることである(実施例1を例
にとると、Step1で一回、Step4で二回の計三回)。証
明者側の一回は前処理が可能なので、実際のやりとりの
中でのべき乗計算は一回削減することができるが、離散
対数ベースで認証方式を構築する場合、この他に、何度
かべき乗計算が必要になってくる。例えば、実施例1の
場合は、セットアップに一回ある。実は、一般的に、こ
れ以上べき乗計算を減らすことは出来ないと予想され
る。
【0061】(実施例2)実施例1で、セットアップに
おける
おける
【0062】
【数17】exp(v,IDA+yA)≡yA・zA (mod p) の検査と、Step1から4までのプロトコルの実施を並列
で実行すれば、認証時間がさらに短縮される。
で実行すれば、認証時間がさらに短縮される。
【0063】(実施例3)実施例1で、認証プロトコル
の繰返し回数tが1の場合はセンタはzA の作成を行わ
ず、(IDA,xA,yA,p,q,α)をICカードに搭載し
て証明者に配付し、認証処理では、セットアップは不要
となり、Step4の
の繰返し回数tが1の場合はセンタはzA の作成を行わ
ず、(IDA,xA,yA,p,q,α)をICカードに搭載し
て証明者に配付し、認証処理では、セットアップは不要
となり、Step4の
【0064】
【数18】 ui・exp(zA,e1)≡exp(α,w1) (mod p) の検査の代わりに、
【0065】
【数19】 u1・exp(yA,e1)・exp(v1,IDA+yA)≡exp(α,w1) (mod p) を検査する。この様にすることにより、zAが不要にな
るので、通信量・計算量が削減される。
るので、通信量・計算量が削減される。
【0066】(実施例4)実施例4で用いる記号・情報
は実施例1で使用したものと同一のものである。また、
利用者側装置500は実施例1における証明者側装置2
00と同じ内部構成を持つ。
は実施例1で使用したものと同一のものである。また、
利用者側装置500は実施例1における証明者側装置2
00と同じ内部構成を持つ。
【0067】図6に示すような、ICカードリーダ70
0を持つ複数の利用者側装置500が通信回線400を介
して接続されているようなネットワーク上のシステム
で、証明者は利用者端末500を利用して、他の利用者
端末500を利用している確認者に自分の身元を証明す
ることを目的として認証を行う。証明者は自分のID情
報IDA を通信回線400を介してセンタに送り、登録
をする。センタは、センタ側装置100を用いて証明者
用の情報(xA,yA,zA)を作成し、(IDA,xA,
yA,zA,p,q,α)をICカード600のメモリ6
03に搭載して証明者に配布する。
0を持つ複数の利用者側装置500が通信回線400を介
して接続されているようなネットワーク上のシステム
で、証明者は利用者端末500を利用して、他の利用者
端末500を利用している確認者に自分の身元を証明す
ることを目的として認証を行う。証明者は自分のID情
報IDA を通信回線400を介してセンタに送り、登録
をする。センタは、センタ側装置100を用いて証明者
用の情報(xA,yA,zA)を作成し、(IDA,xA,
yA,zA,p,q,α)をICカード600のメモリ6
03に搭載して証明者に配布する。
【0068】証明者は、ICカード600を利用者側端
末500のICカードリーダ700に差し込み、ICカ
ード600内部の入力装置601と演算装置602と乱
数生成装置604と出力装置605とメモリ603上の
認証用の秘密情報を用いて、他の利用者側端末500を
利用している確認者との間で実施例1で説明した認証処
理を実行することにより、認証を行う。
末500のICカードリーダ700に差し込み、ICカ
ード600内部の入力装置601と演算装置602と乱
数生成装置604と出力装置605とメモリ603上の
認証用の秘密情報を用いて、他の利用者側端末500を
利用している確認者との間で実施例1で説明した認証処
理を実行することにより、認証を行う。
【0069】
【発明の効果】本発明における認証方式は、零知識証明
を利用した認証方式であるので、一切の秘密情報を漏ら
すことなく安全に認証処理ができる。また、認証処理
で、通信回数が少なく、かつ、処理負担の大きい計算が
少ないので効率の良い認証処理が可能である。
を利用した認証方式であるので、一切の秘密情報を漏ら
すことなく安全に認証処理ができる。また、認証処理
で、通信回数が少なく、かつ、処理負担の大きい計算が
少ないので効率の良い認証処理が可能である。
【0070】さらに、認証処理で、認証用情報の作成手
続き正当性を零知識プロトコルを用いて証明することに
より、より安全な認証が可能となった。
続き正当性を零知識プロトコルを用いて証明することに
より、より安全な認証が可能となった。
【図1】本発明の実施例1におけるシステム構成を示す
ブロック図。
ブロック図。
【図2】図1のセンタ側装置を示すブロック図。
【図3】図1の証明者側装置を示すブロック図。
【図4】図1の確認者側装置を示すブロック図。
【図5】本発明の実施例1の認証方式の概要を示す説明
図。
図。
【図6】本発明の第二の実施例のシステム構成を示すブ
ロック図。
ロック図。
【図7】本発明の第二の実施例のICカードを示すブロ
ック図。
ック図。
【符号の説明】 100…センタ側装置、200…証明者側装置、300
…確認者側装置、400…通信回線。
…確認者側装置、400…通信回線。
Claims (3)
- 【請求項1】センタが作成した証明者用の秘密の情報を
利用して、証明者が確認者に身元を証明する認証システ
ムにおいて、前記証明者は、前記センタが作成した認証
用の秘密情報が手続き通りに作成されていることを前記
確認者に対して証明することにより認証を行うことを特
徴とする離散対数ベース認証方式。 - 【請求項2】センタが作成した証明者用の秘密の情報を
利用して、証明者が確認者に身元を証明する認証システ
ムにおいて、前記証明者は前記センタに自分のID情報
IDAを送り、前記センタは前記センタの公開情報である
正定数α,vと、素数pと、センタの秘密情報sを用い
て、 【数1】zA≡exp(α,xA) (mod p), exp(v,IDA+yA)≡yA・zA (mod p) を満たす(xA,yA,zA)を作成し、(IDA,xA,y
A,zA)を記憶媒体等に搭載するなどして前記証明者に
配付し、前記証明者と前記確認者の間の認証処理では、
前記証明者は前記確認者に対して(IDA,yA,zA)を
送付した後、前記確認者は、センタの公開情報である正
定数α,vと素数pを用いて、 【数2】exp(v,IDA+yA)≡yA・zA (mod p) の成立を確かめた後、前記確認者に対して前記証明者は
秘密情報xA を所持することを証明することにより、前
記証明者の認証を行う(但し、ここで、exp(a,b)は
aのb乗を意味する。)ことを特徴とする離散対数ベー
ス認証方式。 - 【請求項3】センタが作成した証明者用の秘密の情報を
利用して、前記証明者が確認者に身元を証明する認証シ
ステムにおいて、前記証明者は前記センタに自分のID
情報IDA を送り、前記センタは前記センタの公開情報
である正定数α,vと、素数pと、前記センタの秘密情
報sを用いて、 【数3】 exp(v,IDA+yA)≡yA・exp(α,xA) (mod p) を満たす(xA,yA)を作成し、(IDA,xA,yA)を
記憶媒体等に搭載するなどして前記証明者に配付し、前
記証明者と前記確認者の間の認証処理で、前記証明者は
前記確認者に対して(IDA,yA)を送付した後、 【数4】 exp(v,IDA+yA)≡yA・exp(α,xA) (mod p) を満たす秘密情報xA を所持することを前記センタの公
開情報である正定数α,vと素数pを用いて証明するこ
とにより、前記証明者の認証を行う(但し、ここで、ex
p(a,b)はaのb乗を意味する。)ことを特徴とする
離散対数ベース認証方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5225448A JPH0777934A (ja) | 1993-09-10 | 1993-09-10 | 離散対数ベース認証方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5225448A JPH0777934A (ja) | 1993-09-10 | 1993-09-10 | 離散対数ベース認証方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0777934A true JPH0777934A (ja) | 1995-03-20 |
Family
ID=16829517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5225448A Pending JPH0777934A (ja) | 1993-09-10 | 1993-09-10 | 離散対数ベース認証方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH0777934A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
| US8121290B2 (en) | 2005-05-27 | 2012-02-21 | Nec Corporation | Pseudo-random function calculating device and method and number-limited anonymous authentication system and method |
-
1993
- 1993-09-10 JP JP5225448A patent/JPH0777934A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
| JP4592850B2 (ja) * | 1999-11-09 | 2010-12-08 | 京セラ株式会社 | 移動無線通信システムにおける認証方法 |
| US8121290B2 (en) | 2005-05-27 | 2012-02-21 | Nec Corporation | Pseudo-random function calculating device and method and number-limited anonymous authentication system and method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967239B2 (en) | Method and apparatus for verifiable generation of public keys | |
| Dodis et al. | Strong key-insulated signature schemes | |
| US7913088B2 (en) | Digital signature and authentication method and apparatus | |
| JP5201136B2 (ja) | 匿名認証システムおよび匿名認証方法 | |
| US9882890B2 (en) | Reissue of cryptographic credentials | |
| JP2017517229A (ja) | 動的鍵生成を用いるネットワーク認証システム | |
| US6959085B1 (en) | Secure user identification based on ring homomorphisms | |
| JP2008048451A (ja) | エンティティの真正性又はメッセージの完全性を証明するための方法、システム、デバイス | |
| KR20040099943A (ko) | 컨텐츠 사용자 인증 시스템 및 방법 | |
| CN1723654B (zh) | 零知识协议的有效执行 | |
| JP4772965B2 (ja) | エンティティの真正性および/またはメッセージの完全性を証明するための方法 | |
| KR0143598B1 (ko) | 하나의 비밀키를 이용한 다수의 신분인증 및 디지탈서명 생성과 확인방법 | |
| JPH0777934A (ja) | 離散対数ベース認証方式 | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| JP3316895B2 (ja) | 正当性の確認システム | |
| JPH07281595A (ja) | 認証方式 | |
| JP2570848B2 (ja) | 暗号通信装置 | |
| JPH11252070A (ja) | 利用者認証方式 | |
| JPH07336348A (ja) | 認証装置および認証方法 | |
| JP2000231330A (ja) | ブラインド署名方法、そのシステム、その装置およびプログラム記録媒体 | |
| JPH06332374A (ja) | 認証方法および認証システム | |
| CN116170145A (zh) | 一种基于椭圆曲线的无证书多因子零知识证明认证方法 | |
| JP2001044987A (ja) | 一括認証方法 | |
| JPH082051B2 (ja) | 資格認証方法 | |
| JPH07131455A (ja) | 相互証明システム |