JPH09298538A - 秘密保持認証方法及びシステム - Google Patents
秘密保持認証方法及びシステムInfo
- Publication number
- JPH09298538A JPH09298538A JP8110997A JP11099796A JPH09298538A JP H09298538 A JPH09298538 A JP H09298538A JP 8110997 A JP8110997 A JP 8110997A JP 11099796 A JP11099796 A JP 11099796A JP H09298538 A JPH09298538 A JP H09298538A
- Authority
- JP
- Japan
- Prior art keywords
- random number
- verifier
- remainder
- generated
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 従来の方式に比べて、通信量、計算量の少な
い効率的な範囲認証方法を実現できる秘密保持認証方法
及びシステムを提供することを目的とする。 【解決手段】 本発明は、秘密情報より生成された公開
鍵を公開し、剰余演算結果を第1の検証情報として証明
者から検証者に送信し、検証者から取得した乱数に基づ
いて、乗算器、加算器を用いて第2の検証情報を生成し
て検証者に送信し、検証者側において、所定の検証式に
基づいて証明者が秘密情報を保持しているかを認証す
る。
い効率的な範囲認証方法を実現できる秘密保持認証方法
及びシステムを提供することを目的とする。 【解決手段】 本発明は、秘密情報より生成された公開
鍵を公開し、剰余演算結果を第1の検証情報として証明
者から検証者に送信し、検証者から取得した乱数に基づ
いて、乗算器、加算器を用いて第2の検証情報を生成し
て検証者に送信し、検証者側において、所定の検証式に
基づいて証明者が秘密情報を保持しているかを認証す
る。
Description
【0001】
【発明の属する技術分野】本発明は、秘密保持認証方法
及びシステムに係り、特に、電気通信システムにおいて
秘密・署名交換や電子現金等のプロトコルにおいて使わ
れる秘密保持認証方法及びシステムに関する。
及びシステムに係り、特に、電気通信システムにおいて
秘密・署名交換や電子現金等のプロトコルにおいて使わ
れる秘密保持認証方法及びシステムに関する。
【0002】
【従来の技術】従来の秘密保持認証方法は、Brickellら
(“Gradual and Verifiable Releaseof a Secret, ”P
roc. of Crypto'87, LNCS, Springer Verlag, 1988)及
びDamgard (“Practical and Provably Secure Releas
e of a Secret and Exchange of Signatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994) によ
って提案されている。これら論文において、範囲認証方
式は、秘密・署名交換に用いられている。
(“Gradual and Verifiable Releaseof a Secret, ”P
roc. of Crypto'87, LNCS, Springer Verlag, 1988)及
びDamgard (“Practical and Provably Secure Releas
e of a Secret and Exchange of Signatures, ”Proc.
of Eurocrypt'93, LNCS, Springer Verlag, 1994) によ
って提案されている。これら論文において、範囲認証方
式は、秘密・署名交換に用いられている。
【0003】一方、岡本(“An Efficient Divisible C
ash Scheme, ”Proc. of Crypto'95, LNCS, Springer V
erlag, 1995)は、このような秘密保持認証方式を電子現
金方式に適用している。
ash Scheme, ”Proc. of Crypto'95, LNCS, Springer V
erlag, 1995)は、このような秘密保持認証方式を電子現
金方式に適用している。
【0004】
【発明が解決しようとする課題】しかしながら、上記従
来の秘密保持認証方式は、いずれも、3回のやりとりの
ある基本プロトコルを多くの回数(例えば、40回)繰
り返す必要があり、通信量、計算量が膨大になるという
問題がある。
来の秘密保持認証方式は、いずれも、3回のやりとりの
ある基本プロトコルを多くの回数(例えば、40回)繰
り返す必要があり、通信量、計算量が膨大になるという
問題がある。
【0005】本発明は、上記の点に鑑みなされたもの
で、従来の方式に比べて、通信量、計算量の少ない効率
的な範囲認証方法を実現できる秘密保持認証方法及びシ
ステムを提供することを目的とする。
で、従来の方式に比べて、通信量、計算量の少ない効率
的な範囲認証方法を実現できる秘密保持認証方法及びシ
ステムを提供することを目的とする。
【0006】
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。本発明は、登録された秘密情
報を保持していることを示す認証方法において、検証者
が秘密情報保持者である証明者の秘密情報を認証する秘
密保持認証方法において、証明者は、ある秘密情報s,
Rより剰余演算fを用いて I=f(s,R) を生成し、公開情報Iを公開(登録)し(ステップ
1)、証明者は、安全係数mとし、剰余演算の法をNと
したとき、該m、該nで関係付けられた2つの乱数
t1 ,t2 及び、同様に、該m、該Nで関係付けられた
乱数u1 ,u2 及び、4つの乱数ri,j (i=1,2;
j=1,2)を生成し(ステップ2)、それらの乱数
からNを法とする剰余演算fN を用いて、4つの値 Tij=fN (ti ,uj ,ri,j ) を生成し(ステップ3)、生成された値を検証者に送信
し(ステップ4)、検証者は、mビットの乱数eを生成
して(ステップ5)、証明者に送信し(ステップ6)、
証明者は、所定の演算hを用いて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、m及びNによって定まる一定の範囲
に入る方を選択し、yiとし(ステップ7)、所定の演
算h’を用いて、 z1 =h’(R,e,u1 ) y2 =h’(R,e,u2 ) のいずれか一方で、m及びNによって定まる一定の範囲
に入る方を選択し、zjとし(ステップ8)、(yi ,
zj ,ri,j )を検証者に送信し(ステップ9)、検証
者は、検証式vを用いて、v(yi ,zj ,ri,j ,T
i,j ,I,e N)=0を満足していれば、証明者が秘
密情報s,Rを保持していると認証する(ステップ1
0)。
説明するための図である。本発明は、登録された秘密情
報を保持していることを示す認証方法において、検証者
が秘密情報保持者である証明者の秘密情報を認証する秘
密保持認証方法において、証明者は、ある秘密情報s,
Rより剰余演算fを用いて I=f(s,R) を生成し、公開情報Iを公開(登録)し(ステップ
1)、証明者は、安全係数mとし、剰余演算の法をNと
したとき、該m、該nで関係付けられた2つの乱数
t1 ,t2 及び、同様に、該m、該Nで関係付けられた
乱数u1 ,u2 及び、4つの乱数ri,j (i=1,2;
j=1,2)を生成し(ステップ2)、それらの乱数
からNを法とする剰余演算fN を用いて、4つの値 Tij=fN (ti ,uj ,ri,j ) を生成し(ステップ3)、生成された値を検証者に送信
し(ステップ4)、検証者は、mビットの乱数eを生成
して(ステップ5)、証明者に送信し(ステップ6)、
証明者は、所定の演算hを用いて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、m及びNによって定まる一定の範囲
に入る方を選択し、yiとし(ステップ7)、所定の演
算h’を用いて、 z1 =h’(R,e,u1 ) y2 =h’(R,e,u2 ) のいずれか一方で、m及びNによって定まる一定の範囲
に入る方を選択し、zjとし(ステップ8)、(yi ,
zj ,ri,j )を検証者に送信し(ステップ9)、検証
者は、検証式vを用いて、v(yi ,zj ,ri,j ,T
i,j ,I,e N)=0を満足していれば、証明者が秘
密情報s,Rを保持していると認証する(ステップ1
0)。
【0007】図2は、本発明の原理構成図である。本発
明は、登録された秘密情報を保持していることを示す認
証システムにおいて、証明手段(秘密情報保持者)10
0と、該証明手段100の秘密情報を認証する検証手段
200からなる秘密保持認証システムであって、証明手
段100は、乱数t1 ,t2 ,u1 ,u2 ,ri,j を生
成する第1の乱数生成手段101と、秘密情報s,Rよ
り剰余演算fを用いて、 I=f(s,R) を生成し、該Iを登録する登録手段110と、安全係数
をmとし、剰余演算の法をNとしたとき、該m、該Nで
関係付けられた2つの乱数t1 ,t2 及び、u1 ,u2
及び4つの乱数ri,j (i=1,2;j=1,2)から
Nを法とする剰余演算fN を用いて、剰余演算値 Ti,j =fN (ti ,uj ,ri,j ) を生成する剰余演算手段103と、検証手段200から
受信した乱数eと第1の乱数生成手段により生成された
t 1 ,t2 を用いて、所定の第1の演算hに基づいて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、安全係数m及び剰余演算の法Nによ
って定まる一定の範囲に入る方を選択してyi とする第
1の選択手段120と、検証手段200から受信した乱
数eと第1の乱数生成手段120により生成された乱数
u1 ,u2 を用いて、所定の第2の演算h’に基づい
て、 z1 =h’(s,e,u1 ),z2 =h’(s,e,u
2 ) のいずれか一方で、安全係数m及び剰余演算の法Nによ
って定まる一定の範囲に入る方を選択してzj する第2
の選択手段130と、剰余演算手段103により求めら
れた剰余演算値Ti,j 及び、第1の選択手段120、第
2の選択手段130により取得したyi ,zj 、第1の
乱数生成手段101により生成された乱数ri,j を検証
情報として検証手段200に送信すると共に、検証手段
200からの情報を受信する第1の送受信手段140と
を有し、検証手段200は、乱数eを生成する第2の乱
数生成手段201と、第2の乱数生成手段201により
生成された乱数eを証明手段に送信すると共に、前記証
明手段からの情報を受信する第2の送受信手段210
と、証明手段100から受信した検証情報yi ,zj ,
ri,j 、及び剰余演算手段103により求められた剰余
演算値Ti,j 、登録手段110により登録されている
I、剰余演算の法N、第2の乱数生成手段201により
生成された乱数eを所定の検証式vに基づいて、 v(yi ,zj ,ri,j ,Ti,j I,e,N) を満足するかを確認し、満足していれば、証明手段10
0が秘密情報s,Rを保持していることを認証する認証
手段220を有する。
明は、登録された秘密情報を保持していることを示す認
証システムにおいて、証明手段(秘密情報保持者)10
0と、該証明手段100の秘密情報を認証する検証手段
200からなる秘密保持認証システムであって、証明手
段100は、乱数t1 ,t2 ,u1 ,u2 ,ri,j を生
成する第1の乱数生成手段101と、秘密情報s,Rよ
り剰余演算fを用いて、 I=f(s,R) を生成し、該Iを登録する登録手段110と、安全係数
をmとし、剰余演算の法をNとしたとき、該m、該Nで
関係付けられた2つの乱数t1 ,t2 及び、u1 ,u2
及び4つの乱数ri,j (i=1,2;j=1,2)から
Nを法とする剰余演算fN を用いて、剰余演算値 Ti,j =fN (ti ,uj ,ri,j ) を生成する剰余演算手段103と、検証手段200から
受信した乱数eと第1の乱数生成手段により生成された
t 1 ,t2 を用いて、所定の第1の演算hに基づいて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、安全係数m及び剰余演算の法Nによ
って定まる一定の範囲に入る方を選択してyi とする第
1の選択手段120と、検証手段200から受信した乱
数eと第1の乱数生成手段120により生成された乱数
u1 ,u2 を用いて、所定の第2の演算h’に基づい
て、 z1 =h’(s,e,u1 ),z2 =h’(s,e,u
2 ) のいずれか一方で、安全係数m及び剰余演算の法Nによ
って定まる一定の範囲に入る方を選択してzj する第2
の選択手段130と、剰余演算手段103により求めら
れた剰余演算値Ti,j 及び、第1の選択手段120、第
2の選択手段130により取得したyi ,zj 、第1の
乱数生成手段101により生成された乱数ri,j を検証
情報として検証手段200に送信すると共に、検証手段
200からの情報を受信する第1の送受信手段140と
を有し、検証手段200は、乱数eを生成する第2の乱
数生成手段201と、第2の乱数生成手段201により
生成された乱数eを証明手段に送信すると共に、前記証
明手段からの情報を受信する第2の送受信手段210
と、証明手段100から受信した検証情報yi ,zj ,
ri,j 、及び剰余演算手段103により求められた剰余
演算値Ti,j 、登録手段110により登録されている
I、剰余演算の法N、第2の乱数生成手段201により
生成された乱数eを所定の検証式vに基づいて、 v(yi ,zj ,ri,j ,Ti,j I,e,N) を満足するかを確認し、満足していれば、証明手段10
0が秘密情報s,Rを保持していることを認証する認証
手段220を有する。
【0008】従来は、基本的な3回のやりとりのプロト
コルにおいて、検証者が証明者に1ビット送るだけであ
るため、安全性を高めるため、繰り返しプロトコルを実
行する必要がある。しかし、本発明では、基本的な3回
のやりとりにおいて、検証者は、証明者にmビット(例
えば、m=50)送ることが可能となり、繰り返し実行
しなくとも、十分な安全性を保証できるため、基本的な
プロトコルを繰り返し実行する必要がない。これによ
り、処理量、通信量を圧倒的に縮小することが可能とな
る。
コルにおいて、検証者が証明者に1ビット送るだけであ
るため、安全性を高めるため、繰り返しプロトコルを実
行する必要がある。しかし、本発明では、基本的な3回
のやりとりにおいて、検証者は、証明者にmビット(例
えば、m=50)送ることが可能となり、繰り返し実行
しなくとも、十分な安全性を保証できるため、基本的な
プロトコルを繰り返し実行する必要がない。これによ
り、処理量、通信量を圧倒的に縮小することが可能とな
る。
【0009】
【発明の実施の形態】図3は、本発明のシステム構成を
示す。同図に示すシステムは、証明100と検証者20
0が通信回線300等を介して接続している場合を表
す。図4は、本発明の証明者側装置と検証者側装置の構
成を示す。同図において、証明者側装置100は、乱数
生成器101、減算器102、剰余演算器103、乗算
器104、加算器105及び比較器106より構成され
る。検証者側装置200は、乱数生成器201、剰余演
算器203及び比較器204より構成される。
示す。同図に示すシステムは、証明100と検証者20
0が通信回線300等を介して接続している場合を表
す。図4は、本発明の証明者側装置と検証者側装置の構
成を示す。同図において、証明者側装置100は、乱数
生成器101、減算器102、剰余演算器103、乗算
器104、加算器105及び比較器106より構成され
る。検証者側装置200は、乱数生成器201、剰余演
算器203及び比較器204より構成される。
【0010】乱数生成器101は、乱数t1 ∈[0,2
m N),u1 ∈[0,2m N,ri, j ∈[0,N)(i
∈{1,2})を生成する。但し、mは安全係数とし、
Nは乗算の法(N=pq)(但し、p,qは素数)とす
る。減算器102は、乱数生成器101で生成された乱
数t1 から2m Nを減算してt2 とし、また、乱数t2
から2m Nを減算してu2 とする。
m N),u1 ∈[0,2m N,ri, j ∈[0,N)(i
∈{1,2})を生成する。但し、mは安全係数とし、
Nは乗算の法(N=pq)(但し、p,qは素数)とす
る。減算器102は、乱数生成器101で生成された乱
数t1 から2m Nを減算してt2 とし、また、乱数t2
から2m Nを減算してu2 とする。
【0011】剰余演算器103は、乱数生成器101、
減算器102で減算された結果を用いて、 fN (ti ,uj ,ri,j )=Ti,j =gtiGa ujGb
ri,jmod N による剰余演算を行う。但し、g∈[1,N)、Ga ∈
[1,N)、Gb ∈[1,N)(また、[1,N)は、
1以上N未満の整数の集合を意味するものとする)。
減算器102で減算された結果を用いて、 fN (ti ,uj ,ri,j )=Ti,j =gtiGa ujGb
ri,jmod N による剰余演算を行う。但し、g∈[1,N)、Ga ∈
[1,N)、Gb ∈[1,N)(また、[1,N)は、
1以上N未満の整数の集合を意味するものとする)。
【0012】乗算器104は、秘密情報s,Rと、検証
者側装置200から送信された乱数eを用いて、s*e
及びR*eを計算し、加算器105に転送する。加算器
105は、乗算器104で取得した乗算結果se及びR
eを用いて、i=1,2,j=1,2に対して以下の計
算を行う。
者側装置200から送信された乱数eを用いて、s*e
及びR*eを計算し、加算器105に転送する。加算器
105は、乗算器104で取得した乗算結果se及びR
eを用いて、i=1,2,j=1,2に対して以下の計
算を行う。
【0013】h(s,e,ti )=yi =ti +se, h(R,e,ti )=zi =ui +Re, を計算する。比較器106は、y1 ,y2 ,z1 ,z2
中のうち、以下の条件を満足するものを選択し、これを
yi ,zj とし、ri,j と共に検証者装置200に転送
する。
中のうち、以下の条件を満足するものを選択し、これを
yi ,zj とし、ri,j と共に検証者装置200に転送
する。
【0014】yi ∈[0,2m N) zj ∈[0,2m N) 検証者側装置200は、乱数生成器201、剰余演算器
203及び比較器204より構成される。
203及び比較器204より構成される。
【0015】乱数生成器201は、乱数e∈[0,
2m )を生成し、証明者側装置100に送出する。剰余
演算器203は、以下の演算を行う。 gyiGa zjGb ri,j≡Ti,j Ie (mod N) 但し、Iは証明者側装置100により剰余演算により生
成されたf(s,R)であり(I=f(s,R))、公
開されている。
2m )を生成し、証明者側装置100に送出する。剰余
演算器203は、以下の演算を行う。 gyiGa zjGb ri,j≡Ti,j Ie (mod N) 但し、Iは証明者側装置100により剰余演算により生
成されたf(s,R)であり(I=f(s,R))、公
開されている。
【0016】比較部204は、所定の検証式vを用い
て、証明者側装置100がs,Rを保持しているかを判
定する。
て、証明者側装置100がs,Rを保持しているかを判
定する。
【0017】
【実施例】以下、図面と共に、本発明の実施例を説明す
る。図5は、本発明の一実施例の秘密保持認証システム
の構成を示す。同図中、図2及び図4と同一構成部分に
は同一符号を付し、その説明を省略する。
る。図5は、本発明の一実施例の秘密保持認証システム
の構成を示す。同図中、図2及び図4と同一構成部分に
は同一符号を付し、その説明を省略する。
【0018】証明者側装置100は、乱数生成器10
1、減算器102、剰余演算器103、乗算器104、
加算器105、比較器106、送受信部140、及びデ
ータ保持部150より構成される。送受信部140は、
検証者側装置200に公開情報であるIを検証者側装置
200に登録する、剰余演算器で生成された検証情報T
i,j を送信する、比較器106により比較された結果y
i ,zj を送信するまたは、検証者側装置200から乱
数eを受信する。
1、減算器102、剰余演算器103、乗算器104、
加算器105、比較器106、送受信部140、及びデ
ータ保持部150より構成される。送受信部140は、
検証者側装置200に公開情報であるIを検証者側装置
200に登録する、剰余演算器で生成された検証情報T
i,j を送信する、比較器106により比較された結果y
i ,zj を送信するまたは、検証者側装置200から乱
数eを受信する。
【0019】データ保持部150は、秘密情報s,Rに
加え、公開情報であるN,g,Ga,Gb ,mを保持す
る。検証者側装置200は、乱数生成器201、剰余演
算器203及び比較器204を有する検証部220、送
受信部210、結果出力部230及びデータ保持部24
0より構成される。
加え、公開情報であるN,g,Ga,Gb ,mを保持す
る。検証者側装置200は、乱数生成器201、剰余演
算器203及び比較器204を有する検証部220、送
受信部210、結果出力部230及びデータ保持部24
0より構成される。
【0020】送受信部210は、証明者側装置100か
ら、公開情報、検証情報であるTi, j 、yi ,zj を受
信すると共に、証明者側装置100に乱数eを送信す
る。結果出力部230は、検証部220で検証された結
果を出力する。データ保持部240は、公開されている
情報を保持する。
ら、公開情報、検証情報であるTi, j 、yi ,zj を受
信すると共に、証明者側装置100に乱数eを送信す
る。結果出力部230は、検証部220で検証された結
果を出力する。データ保持部240は、公開されている
情報を保持する。
【0021】なお、データ保持部150、240で保持
されている公開情報は以下の通りである。 m:安全係数 N:剰余演算の法(=pq:但し、p,qは素数) g∈[1,N) Ga ∈[1,N) Gb ∈[1,N) なお、[x,y)は、x以上y未満の整数の集合を意味
する。
されている公開情報は以下の通りである。 m:安全係数 N:剰余演算の法(=pq:但し、p,qは素数) g∈[1,N) Ga ∈[1,N) Gb ∈[1,N) なお、[x,y)は、x以上y未満の整数の集合を意味
する。
【0022】図6は、本発明の一実施例の秘密保持認証
方法の動作を示すシーケンスチャートである。以下に示
す処理の前提として、システムでは、予め上記に示す公
開情報が公開されているものとする。
方法の動作を示すシーケンスチャートである。以下に示
す処理の前提として、システムでは、予め上記に示す公
開情報が公開されているものとする。
【0023】ステップ101) 証明者側装置100
は、データ保持部150から公開鍵Iを以下の剰余演算
により生成し、Iを公開する。 f(s,R)=I=gs Ga R mod N なお、上記の剰余演算等については、池野、小山著「現
代暗号理論」電子情報通信学会、等を参照されたい。
は、データ保持部150から公開鍵Iを以下の剰余演算
により生成し、Iを公開する。 f(s,R)=I=gs Ga R mod N なお、上記の剰余演算等については、池野、小山著「現
代暗号理論」電子情報通信学会、等を参照されたい。
【0024】ステップ102) 証明者側装置100
は、乱数生成器101を用いて、乱数t1 ∈[0,2m
N),u1 ∈[0,2m N),ri,j ∈[0,N)(i
∈{1,2}、j∈{1,2})を生成して、減算器1
02、剰余演算器103を用いて、以下の演算を行う。
は、乱数生成器101を用いて、乱数t1 ∈[0,2m
N),u1 ∈[0,2m N),ri,j ∈[0,N)(i
∈{1,2}、j∈{1,2})を生成して、減算器1
02、剰余演算器103を用いて、以下の演算を行う。
【0025】t2 =t1 − 2m N, u2 =u1 − 2m N, fN (ti ,uj ,ri,j )=Ti,j =gtiGa uj G
b ri,j mod N ステップ103) 証明者側装置100の送受信部14
0は、上記の剰余演算器103から出力された結果T
1,1 ,T1,2 ,T2,1 ,T2,2 をランダムな順序で検証
者側装置200に送信する。
b ri,j mod N ステップ103) 証明者側装置100の送受信部14
0は、上記の剰余演算器103から出力された結果T
1,1 ,T1,2 ,T2,1 ,T2,2 をランダムな順序で検証
者側装置200に送信する。
【0026】ステップ104) 検証者側装置200の
乱数生成器201は、乱数e∈[0,2m )を生成し
て、送受信部210を介して証明者側装置100に送信
する。 ステップ105) 証明者側装置100は、i=1,
2、j=1,2に対して乗算器104、加算器105を
用いて、h,h’の計算を行う。
乱数生成器201は、乱数e∈[0,2m )を生成し
て、送受信部210を介して証明者側装置100に送信
する。 ステップ105) 証明者側装置100は、i=1,
2、j=1,2に対して乗算器104、加算器105を
用いて、h,h’の計算を行う。
【0027】h(s,e,ti )=yi =ti +se, h’(R,e,uj )=zj =uj +Re 上記で求められたy1 ,y2 ,z1 ,z2 の中で、比較
器104を用いて、 yi ∈[0,2m N) zi ∈[0,2m N) を満足するものを選択する。選択されたものをyi ,z
j とする。
器104を用いて、 yi ∈[0,2m N) zi ∈[0,2m N) を満足するものを選択する。選択されたものをyi ,z
j とする。
【0028】ステップ106) 送受信部140は、選
択されたyi ,zj 及び、乱数ri, j を検証者側装置2
00に送信する。また、上記のステップ103において
ランダムな順序で送信した4つのT1,1 ,T1,2 ,T
2,1 ,T2,2 の中で何番目のものがTi,j に相当するか
を示す情報も送信する。
択されたyi ,zj 及び、乱数ri, j を検証者側装置2
00に送信する。また、上記のステップ103において
ランダムな順序で送信した4つのT1,1 ,T1,2 ,T
2,1 ,T2,2 の中で何番目のものがTi,j に相当するか
を示す情報も送信する。
【0029】ステップ107) 検証者側装置200
は、証明者側装置100から受信した情報に基づいて剰
余演算器202と比較器204を用いて、以下の検証式
を満足するか否かを判定する。 gyiGa zjGb ri,j≡Ti,j Ie (mod N) 検証者側装置200は、上記の式を満足する、つまり合
格すれば、証明者が秘密情報s,Rを保持していると認
証する。
は、証明者側装置100から受信した情報に基づいて剰
余演算器202と比較器204を用いて、以下の検証式
を満足するか否かを判定する。 gyiGa zjGb ri,j≡Ti,j Ie (mod N) 検証者側装置200は、上記の式を満足する、つまり合
格すれば、証明者が秘密情報s,Rを保持していると認
証する。
【0030】なお、検証処理においては、 v(yi ,zj ,ri,j ,Ti,j I,e,N) =gyi Ga zj Gb ri,j−Ti,j Ie (mod N) =0 という検証式を用いて確認してもよい。
【0031】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内で種々変更・応用が可能
である。
ることなく、特許請求の範囲内で種々変更・応用が可能
である。
【0032】
【発明の効果】例えば、従来のDamgrdらの方法では、基
本的な3回のやりとりにおいて、証明者及び検証者のそ
れぞれの計算量は、べき乗剰余演算を少なくとも2回行
う必要があるため、繰り返し回数を40回とした場合、
べき乗剰余演算を少なくとも40回行う必要がある。
本的な3回のやりとりにおいて、証明者及び検証者のそ
れぞれの計算量は、べき乗剰余演算を少なくとも2回行
う必要があるため、繰り返し回数を40回とした場合、
べき乗剰余演算を少なくとも40回行う必要がある。
【0033】上述のように、本発明の秘密保持認証方法
及びシステムによれば、証明者、検証者のいずれでも、
べき乗剰余演算の回数は2回程度である。従って、従来
の方式に比べ、数10倍高速で、かつ同時に通信量が数
10分の1になる。
及びシステムによれば、証明者、検証者のいずれでも、
べき乗剰余演算の回数は2回程度である。従って、従来
の方式に比べ、数10倍高速で、かつ同時に通信量が数
10分の1になる。
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明のシステム構成図である。
【図4】本発明の証明者側装置と検証者側装置の構成図
である。
である。
【図5】本発明の一実施例の秘密保持認証システムの構
成図である。
成図である。
【図6】本発明の一実施例の秘密保持認証方法の動作を
示すシーケンスチャートである。
示すシーケンスチャートである。
100 認証手段、認証者側装置 101 第1の乱数生成手段、乱数生成器 102 減算器 103 剰余演算手段、剰余演算器 104 乗算器 105 加算器 106 比較器 110 登録手段 120 第1の選択手段 130 第2の選択手段 140 第1の送受信手段、送受信部 150 データ保持部 200 検証手段、検証者側装置 201 乱数生成器 203 剰余演算器 204 比較器 210 送受信部 220 認証手段、認証部 230 結果出力部 240 データ保持部
Claims (2)
- 【請求項1】 登録された秘密情報を保持していること
を示す認証方法において、検証者が秘密情報保持者であ
る証明者の秘密情報を認証する秘密保持認証方法におい
て、 前記証明者は、ある秘密情報s,Rより剰余演算fを用
いて I=f(s,R) を生成し、Iを公開(登録)し、 前記証明者は、安全係数mとし、剰余演算の法をNとし
たとき、該m、該nで関係付けられた2つの乱数t1 ,
t2 及び、同様に、該m、該Nで関係付けられた乱数u
1 ,u2 及び、4つの乱数ri,j (i=1,2; j=
1,2)を生成し、 前記乱数からNを法とする剰余演算fN を用いて、4つ
の値 Tij=fN (ti ,uj ,ri,j ) を生成し、生成された値を前記検証者に送信し、 前記検証者は、mビットの乱数eを前記証明者に送信
し、 前記証明者は、演算hを用いて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、前記m及び前記Nによって定まる一
定の範囲に入る方を選択し、yi とし、 演算h’を用いて、 z1 =h’(R,e,u1 ) y2 =h’(R,e,u2 ) のいずれか一方で、前記m及び前記Nによって定まる一
定の範囲に入る方を選択し、zj とし、(yi ,zj ,
ri,j )を検証者に送信し、 前記検証者は、検証式vを用いて、v(yi ,zj ,r
i,j ,Ti,j ,I,e,N)=0を満足していれば、前
記証明者が前記秘密情報s,Rを保持していると認証す
ることを特徴とする秘密保持認証方法。 - 【請求項2】 登録された秘密情報を保持していること
を示す認証システムにおいて、証明手段(秘密情報保持
者)と、該証明手段の秘密情報を認証する検証手段から
なる秘密保持認証システムであって、 前記証明手段は、 乱数t1 ,t2 ,u1 ,u2 ,ri,j を生成する第1の
乱数生成手段と、 秘密情報s,Rより剰余演算fを用いて、 I=f(s,R) を生成し、該Iを登録する登録手段と、 安全係数をmとし、剰余演算の法をNとしたとき、該
m、該Nで関係付けられた2つの乱数t1 ,t2 及び、
u1 ,u2 及び4つの乱数ri,j (i=1,2;j=
1,2)からNを法とする剰余演算fN を用いて、剰余
演算値 Ti,j =fN (ti ,uj ,ri,j ) を生成する剰余演算手段と、 前記検証手段から受信した乱数eと前記第1の乱数生成
手段により生成されたt1 ,t2 を用いて、所定の第1
の演算hに基づいて、 y1 =h(s,e,t1 ),y2 =h(s,e,t2 ) のいずれか一方で、安全係数m及び剰余演算の法Nによ
って定まる一定の範囲に入る方を選択してyi とする第
1の選択手段と、 前記検証手段から受信した乱数eと前記第1の乱数生成
手段により生成された乱数u1 ,u2 を用いて、所定の
第2の演算h’に基づいて、 z1 =h’(s,e,u1 ),z2 =h’(s,e,u
2 ) のいずれか一方で、前記安全係数m及び前記剰余演算の
法Nによって定まる一定の範囲に入る方を選択してzj
する第2の選択手段と、 前記剰余演算手段により求められた剰余演算値Ti,j 及
び、前記第1の選択手段、前記第2の選択手段により取
得したyi ,zj 、前記第1の乱数生成手段により生成
された乱数ri,j を検証情報として前記検証手段に送信
すると共に、前記検証手段からの情報を受信する第1の
送受信手段とを有し、 前記検証手段は、 乱数eを生成する第2の乱数生成手段と、 前記第2の乱数生成手段により生成された前記乱数eを
前記証明手段に送信すると共に、前記証明手段からの情
報を受信する第2の送受信手段と、 前記証明手段から受信した前記検証情報yi ,zj ,r
i,j 、及び前記剰余演算手段により求められた剰余演算
値Ti,j 、前記登録手段により登録されているI、剰余
演算の法N、前記第2の乱数生成手段により生成された
前記乱数eを所定の検証式vに基づいて、 v(yi ,zj ,ri,j ,Ti,j I,e,N) を満足するかを確認し、満足していれば、前記証明手段
が秘密情報s,Rを保持していることを認証する認証手
段を有することを特徴とする秘密保持認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11099796A JP3435472B2 (ja) | 1996-05-01 | 1996-05-01 | 秘密保持認証方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11099796A JP3435472B2 (ja) | 1996-05-01 | 1996-05-01 | 秘密保持認証方法及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09298538A true JPH09298538A (ja) | 1997-11-18 |
| JP3435472B2 JP3435472B2 (ja) | 2003-08-11 |
Family
ID=14549789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11099796A Expired - Fee Related JP3435472B2 (ja) | 1996-05-01 | 1996-05-01 | 秘密保持認証方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3435472B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
| JP2002502186A (ja) * | 1998-01-30 | 2002-01-22 | サーティコム コーポレーション | 1方向認証通信システム |
-
1996
- 1996-05-01 JP JP11099796A patent/JP3435472B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002502186A (ja) * | 1998-01-30 | 2002-01-22 | サーティコム コーポレーション | 1方向認証通信システム |
| JP2001136162A (ja) * | 1999-11-09 | 2001-05-18 | Kyocera Corp | 移動無線通信システムにおける認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3435472B2 (ja) | 2003-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967239B2 (en) | Method and apparatus for verifiable generation of public keys | |
| US8856524B2 (en) | Cryptographic methods, host system, trusted platform module, computer arrangement, computer program product and computer program | |
| JP5201136B2 (ja) | 匿名認証システムおよび匿名認証方法 | |
| US7590850B2 (en) | Digital signature method based on identification information of group members, and method of acquiring identification information of signed-group member, and digital signature system for performing digital signature based on identification information of group members | |
| JP5205398B2 (ja) | 鍵認証方式 | |
| US8661240B2 (en) | Joint encryption of data | |
| Camenisch | Better privacy for trusted computing platforms | |
| CN110545279A (zh) | 兼具隐私和监管功能的区块链交易方法、装置及系统 | |
| US20110264917A1 (en) | Method for two step digital signature | |
| KR20040099943A (ko) | 컨텐츠 사용자 인증 시스템 및 방법 | |
| JP3513324B2 (ja) | ディジタル署名処理方法 | |
| JP4679163B2 (ja) | デジタル署名情報生成装置、デジタル署名情報生成方法及びプログラム | |
| CN114978622A (zh) | 一种基于区块链和零知识证明的匿名凭证验证方法及系统 | |
| JPH11234263A (ja) | 相互認証方法および装置 | |
| JP5004086B2 (ja) | 短い系列を用いた認証システム | |
| JPH09298538A (ja) | 秘密保持認証方法及びシステム | |
| JP4354808B2 (ja) | 公開鍵を用いた暗号化タスク実行方法 | |
| JP5099771B2 (ja) | 二要素認証システム | |
| JP4629889B2 (ja) | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 | |
| JPH09200198A (ja) | メッセージ認証システム | |
| Kiyomoto et al. | Design of anonymous attribute authentication mechanism | |
| CN113014399A (zh) | 针对资源受限装置的配对运算方法及系统 | |
| Zhu et al. | Efficient anonymous sever-supported signature protocol based on multipath hash chain | |
| JPH09204142A (ja) | 範囲認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090606 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |