JPH11252070A - 利用者認証方式 - Google Patents
利用者認証方式Info
- Publication number
- JPH11252070A JPH11252070A JP10063867A JP6386798A JPH11252070A JP H11252070 A JPH11252070 A JP H11252070A JP 10063867 A JP10063867 A JP 10063867A JP 6386798 A JP6386798 A JP 6386798A JP H11252070 A JPH11252070 A JP H11252070A
- Authority
- JP
- Japan
- Prior art keywords
- random number
- verifier
- function
- prover
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】通信回数が3回であり、かつ零知識性を満たす
利用者認証方式を提供する。 【解決手段】全利用者が利用者名(ID)とともに、公
開鍵,秘密鍵ペアを与えられて、全利用者が公開鍵暗号
系を利用可能な通信ネットワーク上で、特定の乱数生成
プロトコルに従って、証明者と検証者が協力して生成さ
れたチャレンジ乱数を用いて、検証者が証明者の認証手
続きを行うように構成されている。
利用者認証方式を提供する。 【解決手段】全利用者が利用者名(ID)とともに、公
開鍵,秘密鍵ペアを与えられて、全利用者が公開鍵暗号
系を利用可能な通信ネットワーク上で、特定の乱数生成
プロトコルに従って、証明者と検証者が協力して生成さ
れたチャレンジ乱数を用いて、検証者が証明者の認証手
続きを行うように構成されている。
Description
【0001】
【発明の属する技術分野】本発明は、通信ネットワーク
上にて身元を証明するための利用者認証方式に関するも
のである。
上にて身元を証明するための利用者認証方式に関するも
のである。
【0002】
【従来の技術】全利用者が公開鍵暗号系〔参考文献1:
W. Diffie and M.Hellman,"New Directions in Cryptog
raphy", IEEE Trans. Inform. Theory, Vol.22, No.6,
pp.644-654,1976.参照〕を利用できる通信ネットワー
ク、すなわち、全利用者が利用者名(ID)とともに、
公開鍵,秘密鍵ペアを与えられている通信ネットワーク
において、証明者が自分のIDおよび公開鍵に対応する
秘密鍵を所持することを、検証者に証明することによ
り、利用者認証を実現する。そのためには、図5に示す
ように証明者と検証者との間でメッセージを送受信する
ことが必要である。このような利用者認証方式の安全性
を評価する手段として、利用者認証方式が零知識証明で
あることを示す方法が有名である。そのためには、完全
性,健全性,零知識性が満たされることを示す必要があ
る〔参考文献2:S. Goldwasser, S. Micali, and C. R
ackoff, "The Knowledge Complexity of Interactive P
roofSystems," SIAM Journal on Computing, Vol.18, N
o.1, pp.186-208, 1989. 参照〕。また、利用者認証方
式の効率を評価する上で、その通信回数は、代表的な評
価基準である。
W. Diffie and M.Hellman,"New Directions in Cryptog
raphy", IEEE Trans. Inform. Theory, Vol.22, No.6,
pp.644-654,1976.参照〕を利用できる通信ネットワー
ク、すなわち、全利用者が利用者名(ID)とともに、
公開鍵,秘密鍵ペアを与えられている通信ネットワーク
において、証明者が自分のIDおよび公開鍵に対応する
秘密鍵を所持することを、検証者に証明することによ
り、利用者認証を実現する。そのためには、図5に示す
ように証明者と検証者との間でメッセージを送受信する
ことが必要である。このような利用者認証方式の安全性
を評価する手段として、利用者認証方式が零知識証明で
あることを示す方法が有名である。そのためには、完全
性,健全性,零知識性が満たされることを示す必要があ
る〔参考文献2:S. Goldwasser, S. Micali, and C. R
ackoff, "The Knowledge Complexity of Interactive P
roofSystems," SIAM Journal on Computing, Vol.18, N
o.1, pp.186-208, 1989. 参照〕。また、利用者認証方
式の効率を評価する上で、その通信回数は、代表的な評
価基準である。
【0003】従来技術として、Schnorr の方式〔参考文
献3:C. P. Schnorr, "EfficientSignature Generatio
n by Smart Cards,"Journal of Cryptology, Vol.4, N
o.3,pp.161-174, 1991.参照〕とFiat-Shamir の方式
〔参考文献4:A. Fiat and A.Shamir, "How to prove
yourself: practical solution to identification and
signature problems," Proceedings of Crypto'86, 19
80.参照〕が有名である。両方式では、証明者は検証者
に対して、公開鍵に対応する秘密鍵を所持することを証
明することにより、利用者認証を実現している。これら
二つの従来方式では、検証者が証明者に送信するメッセ
ージは、すべて乱数である。これらの乱数はチャレンジ
乱数と呼ばれ、証明者は、このチャレンジ乱数を受信し
たときに、適切なメッセージを検証者に送信する必要が
ある。
献3:C. P. Schnorr, "EfficientSignature Generatio
n by Smart Cards,"Journal of Cryptology, Vol.4, N
o.3,pp.161-174, 1991.参照〕とFiat-Shamir の方式
〔参考文献4:A. Fiat and A.Shamir, "How to prove
yourself: practical solution to identification and
signature problems," Proceedings of Crypto'86, 19
80.参照〕が有名である。両方式では、証明者は検証者
に対して、公開鍵に対応する秘密鍵を所持することを証
明することにより、利用者認証を実現している。これら
二つの従来方式では、検証者が証明者に送信するメッセ
ージは、すべて乱数である。これらの乱数はチャレンジ
乱数と呼ばれ、証明者は、このチャレンジ乱数を受信し
たときに、適切なメッセージを検証者に送信する必要が
ある。
【0004】まず、参考文献3に記載されたSchnorr の
利用者認証方式についてその概要を図6のフローチャー
トを参照して説明する。証明者の公開鍵は、Q|P−1
を満たす素数P,Qと、位数Qの元GおよびVである。
証明者の秘密鍵は、V=G-Smod Pを満たすSである。
このschnorr の方式での検証者と証明者の交信ステップ
は次の通りである。ステップ1 証明者は自分のIDと公開鍵Vを検証者に送信する。さ
らに、証明者は乱数Rを生成し、M1 =GR mod Pを検
証者に送信する。ステップ2 検証者はチャレンジ乱数Cを証明者に送信する。ステップ3 証明者はM2 =R+CSmod Qを計算し、検証者に送信
する。ステップ4 検証者は、
利用者認証方式についてその概要を図6のフローチャー
トを参照して説明する。証明者の公開鍵は、Q|P−1
を満たす素数P,Qと、位数Qの元GおよびVである。
証明者の秘密鍵は、V=G-Smod Pを満たすSである。
このschnorr の方式での検証者と証明者の交信ステップ
は次の通りである。ステップ1 証明者は自分のIDと公開鍵Vを検証者に送信する。さ
らに、証明者は乱数Rを生成し、M1 =GR mod Pを検
証者に送信する。ステップ2 検証者はチャレンジ乱数Cを証明者に送信する。ステップ3 証明者はM2 =R+CSmod Qを計算し、検証者に送信
する。ステップ4 検証者は、
【数2】 が成立するかどうかを検証し、成立すれば証明者は正当
であるとみなす。しかし、このschnorr の方式は、チャ
レンジ乱数Cがtビットのとき、不正が成功する確率は
1/2t であり、また、通信回数は3回であり効率がよ
い。しかし、零知識性を満たすことは保証されていな
い。
であるとみなす。しかし、このschnorr の方式は、チャ
レンジ乱数Cがtビットのとき、不正が成功する確率は
1/2t であり、また、通信回数は3回であり効率がよ
い。しかし、零知識性を満たすことは保証されていな
い。
【0005】次に、図7のフローチャートを参照して、
参考文献4に示すFiat-Shamir の利用者認証方式につい
て説明する。証明者の公開鍵は、N=PQとVである。
ただし、P,Qは素数である。証明者の秘密鍵は、V=
S-2 mod Nを満たすSである。繰り返し回数はt回で
あり、は証明者と検証者は以下のステップをt回繰り返
す。t回すべて認証が成功したときのみ、検証者は証明
者が正当であるとみなす。このFiat-Shamir の利用者認
証方式での交信ステップは次の通りである。ステップ1 証明者は自分のIDと公開鍵Vを検証者に送信する。さ
らに、証明者は乱数Rを生成し、M1 =R2 mod Nを検
証者に送信する。ステップ2 検証者はチャレンジ乱数C∈{0,1}を証明者に送信
する。ステップ3 証明者はM2 =RSC mod Nを計算し、検証者に送信す
る。ステップ4 検証者は、M1 =VC (M2 ) 2 mod Nが成立するかど
うかを検証し、成立すれば証明者は正当であるとみな
す。このFiat-Shamir の方式は零知識性が保証されるの
で、極めて安全であるが、不正が成功する確率を1/2
t とするために、t回の繰り返しが必要となるので、通
信回数が多くなるという欠点がある。
参考文献4に示すFiat-Shamir の利用者認証方式につい
て説明する。証明者の公開鍵は、N=PQとVである。
ただし、P,Qは素数である。証明者の秘密鍵は、V=
S-2 mod Nを満たすSである。繰り返し回数はt回で
あり、は証明者と検証者は以下のステップをt回繰り返
す。t回すべて認証が成功したときのみ、検証者は証明
者が正当であるとみなす。このFiat-Shamir の利用者認
証方式での交信ステップは次の通りである。ステップ1 証明者は自分のIDと公開鍵Vを検証者に送信する。さ
らに、証明者は乱数Rを生成し、M1 =R2 mod Nを検
証者に送信する。ステップ2 検証者はチャレンジ乱数C∈{0,1}を証明者に送信
する。ステップ3 証明者はM2 =RSC mod Nを計算し、検証者に送信す
る。ステップ4 検証者は、M1 =VC (M2 ) 2 mod Nが成立するかど
うかを検証し、成立すれば証明者は正当であるとみな
す。このFiat-Shamir の方式は零知識性が保証されるの
で、極めて安全であるが、不正が成功する確率を1/2
t とするために、t回の繰り返しが必要となるので、通
信回数が多くなるという欠点がある。
【0006】
【発明が解決しようとする課題】前記のschnorr の利用
者認証方式では、通信回数は3回であるが、零知識性は
保証されていない。一方、Fiat-Shamir の利用者認証方
式の場合では、零知識性は満たされるが、通信回数が多
数回必要である。従って、従来の技術では、通信回数が
3回であり、かつ零知識性を満たす利用者認証方式は実
現されていなかった。
者認証方式では、通信回数は3回であるが、零知識性は
保証されていない。一方、Fiat-Shamir の利用者認証方
式の場合では、零知識性は満たされるが、通信回数が多
数回必要である。従って、従来の技術では、通信回数が
3回であり、かつ零知識性を満たす利用者認証方式は実
現されていなかった。
【0007】本発明の目的は、上述の問題点を解消する
ために、通信回数が3回であり、かつ、零知識性を満た
す利用者認証方式を提供することである。
ために、通信回数が3回であり、かつ、零知識性を満た
す利用者認証方式を提供することである。
【0008】
【課題を解決するための手段】この目的を達成するため
に、本発明による利用者認証方式は、証明者は整数Gと
乱数aを生成して、該整数Gと暗号A=関数F(G,
a)を検証者に送信し、該検証者は乱数bを生成して暗
号B=関数F(G,b)と暗号X=関数F(A,b)を
証明者に送信し、前記証明者は、暗号X=関数F(B,
a)の関係が成立することを検証したときには、乱数a
と暗号C=関数F(X,c)と暗号Y=関数F(A,
c)との組合せか又は乱数aと暗号C=関数F(B,
c)と暗号Y=関数F(G,c)との組合せかを検証者
に送信し、該検証者は暗号A=関数F(G,a)及び暗
号C=関数F(Y,b)の二つの関係が同時に成立する
ことを検証したときには前記暗号Cを成立された乱数と
して保持し、該検証者は該成立された乱数Cをチャレン
ジ乱数として用いて前記証明者の正当性を検証するよう
に構成されている。
に、本発明による利用者認証方式は、証明者は整数Gと
乱数aを生成して、該整数Gと暗号A=関数F(G,
a)を検証者に送信し、該検証者は乱数bを生成して暗
号B=関数F(G,b)と暗号X=関数F(A,b)を
証明者に送信し、前記証明者は、暗号X=関数F(B,
a)の関係が成立することを検証したときには、乱数a
と暗号C=関数F(X,c)と暗号Y=関数F(A,
c)との組合せか又は乱数aと暗号C=関数F(B,
c)と暗号Y=関数F(G,c)との組合せかを検証者
に送信し、該検証者は暗号A=関数F(G,a)及び暗
号C=関数F(Y,b)の二つの関係が同時に成立する
ことを検証したときには前記暗号Cを成立された乱数と
して保持し、該検証者は該成立された乱数Cをチャレン
ジ乱数として用いて前記証明者の正当性を検証するよう
に構成されている。
【0009】
【発明の実施の形態】本発明では、以下に述べる一方向
性暗号化関数と乱数生成プロトコルを利用する。
性暗号化関数と乱数生成プロトコルを利用する。
【0010】(1)本発明で利用する一方向性暗号化関
数 本発明では、以下の条件を満たす一方向性暗号化関数A
=F(G,a)を利用する。 任意の乱数a,bと整数Gに対して、F(F(G,
a),b))=F(G,a*b)が成立する。*は何らか
の演算である。 G,Aが与えられた時、aを算出することは困難で
ある。また、a,Aが与えられた時、Gを算出すること
は容易である。 GおよびA=F(G,a)が与えられたとき、あるB
=F(G,b)およびKAB=F(G,a*b)を、bの
値を知ることなしに、計算することは困難である。 上記の条件を満たす一方向性暗号化関数は離散対数問題
に基づいて実現することが可能である。P,QはQ|P
−1を満たす素数、整数Gは位数Qの元とする。関数F
(G,a)=Ga mod Pは上記条件を満たすものであ
る。
数 本発明では、以下の条件を満たす一方向性暗号化関数A
=F(G,a)を利用する。 任意の乱数a,bと整数Gに対して、F(F(G,
a),b))=F(G,a*b)が成立する。*は何らか
の演算である。 G,Aが与えられた時、aを算出することは困難で
ある。また、a,Aが与えられた時、Gを算出すること
は容易である。 GおよびA=F(G,a)が与えられたとき、あるB
=F(G,b)およびKAB=F(G,a*b)を、bの
値を知ることなしに、計算することは困難である。 上記の条件を満たす一方向性暗号化関数は離散対数問題
に基づいて実現することが可能である。P,QはQ|P
−1を満たす素数、整数Gは位数Qの元とする。関数F
(G,a)=Ga mod Pは上記条件を満たすものであ
る。
【0011】(2)本発明で利用する乱数生成プロトコ
ル 証明者と検証者は、ある特定のプロトコルに従い、ネッ
トワーク上にて乱数Cを生成する。本発明では、このプ
ロトコルによって生成される乱数をチャレンジ乱数とし
て使用することにより、安全かつ効率のよい利用者認証
方式を実現している。以下が乱数生成プロトコルであ
り、そのフローチャートを図1に、ブロック図を図2に
示す。
ル 証明者と検証者は、ある特定のプロトコルに従い、ネッ
トワーク上にて乱数Cを生成する。本発明では、このプ
ロトコルによって生成される乱数をチャレンジ乱数とし
て使用することにより、安全かつ効率のよい利用者認証
方式を実現している。以下が乱数生成プロトコルであ
り、そのフローチャートを図1に、ブロック図を図2に
示す。
【0012】図2において、1は証明者側装置、2は検
証者側装置である。証明者側装置1において、1−1は
乱数a発生器、1−2は乱数c発生器、1−3は暗号A
=関数F(G,a)を発生する暗号演算器、1−4は
B,Xを検証するための検証器、1−5は暗号C=関数
F(X,c)と暗号Y=関数F(A,c)を発生する暗
号演算器である。検証者側装置2において、2−1は乱
数b発生器、2−2は暗号B=関数F(G,b)と暗号
X=関数(A,b)を発生する暗号演算器、2−3はチ
ャレンジ乱数Cと暗号Yの検証および乱数aの検証をす
るための検証器である。ステップ1 証明者は乱数aを乱数a発生器1−1で生成し、検証者
に整数Gとこの乱数aを用いて暗号演算器1−3で発生
した暗号A=関数F(G,a)とその整数Gを送信す
る。ステップ2 検証者は乱数bを乱数b発生器2−1で生成し、この乱
数bと暗号A及び整数Gを用いて暗号演算器2−2で発
生させた暗号B=関数F(G,b)と暗号X=関数F
(A,b)を証明者に送信する。ステップ3 証明者は、検証器1−4により暗号X=関数F(B,
a)が成立するか否かを検証する。成立しなければ、本
プロトコルを中断する。成立していれば、乱数c発生器
1−4で生成された乱数cを用いて暗号演算器1−5に
より発生させた暗号C=関数F(X,c),暗号Y=関
数F(A,c)及び乱数aの組合せか、又は乱数a,暗
号C=関数F(B,c),暗号Y=関数F(G,c)の
組合せを検証者に送信する。ステップ4 検証者は、検証器2−3により暗号A=関数F(G,
a)および暗号C=関数F(Y,b)が成立することを
検証する。成立しなければ、本プロトコルを中断する。
成立していれば、暗号Cを生成された乱数とする。
証者側装置である。証明者側装置1において、1−1は
乱数a発生器、1−2は乱数c発生器、1−3は暗号A
=関数F(G,a)を発生する暗号演算器、1−4は
B,Xを検証するための検証器、1−5は暗号C=関数
F(X,c)と暗号Y=関数F(A,c)を発生する暗
号演算器である。検証者側装置2において、2−1は乱
数b発生器、2−2は暗号B=関数F(G,b)と暗号
X=関数(A,b)を発生する暗号演算器、2−3はチ
ャレンジ乱数Cと暗号Yの検証および乱数aの検証をす
るための検証器である。ステップ1 証明者は乱数aを乱数a発生器1−1で生成し、検証者
に整数Gとこの乱数aを用いて暗号演算器1−3で発生
した暗号A=関数F(G,a)とその整数Gを送信す
る。ステップ2 検証者は乱数bを乱数b発生器2−1で生成し、この乱
数bと暗号A及び整数Gを用いて暗号演算器2−2で発
生させた暗号B=関数F(G,b)と暗号X=関数F
(A,b)を証明者に送信する。ステップ3 証明者は、検証器1−4により暗号X=関数F(B,
a)が成立するか否かを検証する。成立しなければ、本
プロトコルを中断する。成立していれば、乱数c発生器
1−4で生成された乱数cを用いて暗号演算器1−5に
より発生させた暗号C=関数F(X,c),暗号Y=関
数F(A,c)及び乱数aの組合せか、又は乱数a,暗
号C=関数F(B,c),暗号Y=関数F(G,c)の
組合せを検証者に送信する。ステップ4 検証者は、検証器2−3により暗号A=関数F(G,
a)および暗号C=関数F(Y,b)が成立することを
検証する。成立しなければ、本プロトコルを中断する。
成立していれば、暗号Cを生成された乱数とする。
【0013】以下は、離散対数問題に基づいた上記の乱
数生成プロトコルの実現例である。ステップ1 証明者はQ|P−1を満たす素数P,Qと位数Qの元G
およびA=Ga mod Pを計算し、検証者に送信する。た
だし、aは乱数である。ステップ2 検証者は乱数bを生成し、B=Gb mod PとX=Ab mo
d Pを証明者に送信する。ステップ3 証明者はX=Ba mod Pが成立することを検証する。成
立しなければ、本プロトコルを中断する。成立していれ
ば、a,C=Xc mod P,Y=Ac mod Pの組合せか、
又は、a,C=Ba mod P,Y=Gc mod Pの組合せを
検証者に送信する。ステップ4 検証者は、A=Ga mod PとC=Yb mod Pが成立する
ことを検証する。成立しなければ、本プロトコルを中断
する。成立していれば、Cを生成された乱数とする。
数生成プロトコルの実現例である。ステップ1 証明者はQ|P−1を満たす素数P,Qと位数Qの元G
およびA=Ga mod Pを計算し、検証者に送信する。た
だし、aは乱数である。ステップ2 検証者は乱数bを生成し、B=Gb mod PとX=Ab mo
d Pを証明者に送信する。ステップ3 証明者はX=Ba mod Pが成立することを検証する。成
立しなければ、本プロトコルを中断する。成立していれ
ば、a,C=Xc mod P,Y=Ac mod Pの組合せか、
又は、a,C=Ba mod P,Y=Gc mod Pの組合せを
検証者に送信する。ステップ4 検証者は、A=Ga mod PとC=Yb mod Pが成立する
ことを検証する。成立しなければ、本プロトコルを中断
する。成立していれば、Cを生成された乱数とする。
【0014】本発明の利用者認証方式は、以下の条件を
満たす利用者認証方式(以下、基本方式と呼ぶ)に基づ
いて構成される。 健全性が満たされる。 検証者が証明者に送信するメッセージはすべてチャレ
ンジ乱数である。 正直な検証者に対しては、零知識性が満たされる。
満たす利用者認証方式(以下、基本方式と呼ぶ)に基づ
いて構成される。 健全性が満たされる。 検証者が証明者に送信するメッセージはすべてチャレ
ンジ乱数である。 正直な検証者に対しては、零知識性が満たされる。
【0015】本発明の利用者認証方式では、検証者が証
明者に送信するすべてのチャレンジ乱数を検証者が自分
で生成するのではなく、上述の乱数生成プロトコルにし
たがって、生成することを特徴としている。以下に本発
明の利用者認証方式を示す。ただし、基本方式の通信回
数が3回の場合について示している。図3は原理を示す
フローチャートであり、図4はこの基本方式を実現する
ためのブロック図であり、M1 ,C,M2 を基本方式に
おけるメッセージとする。
明者に送信するすべてのチャレンジ乱数を検証者が自分
で生成するのではなく、上述の乱数生成プロトコルにし
たがって、生成することを特徴としている。以下に本発
明の利用者認証方式を示す。ただし、基本方式の通信回
数が3回の場合について示している。図3は原理を示す
フローチャートであり、図4はこの基本方式を実現する
ためのブロック図であり、M1 ,C,M2 を基本方式に
おけるメッセージとする。
【0016】図4において、1−6はM1 を生成するた
めのM1 生成器、1−7はメッセージM1 に対応したメ
ッセージM2 をチャレンジ乱数Cから生成するためのM
2 生成器、1−8は証明者のIDを示す情報IDと公開
鍵Vを記憶しておく鍵情報記憶器である。証明者側装置
1における他の回路1−1,1−2,1−3,1−4,
1−5は図2の場合と同じである。また、検証者側装置
2において、検証器2−3aは図2の検証器2−3の機
能に付加してメッセージM1 ,M2 の検証も行う。ま
た、2−4は証明者側装置1から送られるID情報ID
と公開鍵Vを一時記憶する記憶器である。
めのM1 生成器、1−7はメッセージM1 に対応したメ
ッセージM2 をチャレンジ乱数Cから生成するためのM
2 生成器、1−8は証明者のIDを示す情報IDと公開
鍵Vを記憶しておく鍵情報記憶器である。証明者側装置
1における他の回路1−1,1−2,1−3,1−4,
1−5は図2の場合と同じである。また、検証者側装置
2において、検証器2−3aは図2の検証器2−3の機
能に付加してメッセージM1 ,M2 の検証も行う。ま
た、2−4は証明者側装置1から送られるID情報ID
と公開鍵Vを一時記憶する記憶器である。
【0017】証明者の公開鍵は、基本方式における公開
鍵Vである。証明者の秘密鍵は、基本方式における秘密
鍵Sである。この場合の交信ステップは次の通りであ
る。ステップ1 まず、証明者は自分のIDと公開鍵Vを鍵情報記憶器1
−8から検証者側装置2の記憶器2−4宛に送信する。
そして、証明者は、予め定めた基本方式にしたがってM
1 生成器1−6でメッセージM1 を計算する。さらに、
乱数aを乱数発生器1−2で生成し、M1 生成器1−6
で生成したメッセージM1 と、乱数aおよび整数Gを用
いて暗号演算器1−3で発生させた暗号A=関数F
(G,a)とその整数Gを検証者に送信する。ステップ2 検証者は乱数b発生器2−1から乱数bを生成し、この
乱数bと整数Gと暗号Aを用いて暗号演算器2−2で発
生させた暗号B=関数F(G,b),暗号X=関数F
(A,b)を証明者に送信する。ステップ3 証明者は、まず、検証器1−4で暗号X=関数F(B,
a)が成立することを検証する。成立しなければ、処理
を中断する。成立していれば、乱数c発生器1−2から
乱数cを用いて暗号演算器1−5から発生させたチャレ
ンジ乱数C=関数F(X,c),暗号Y=関数F(A,
c),及びM2 生成器1−7からのメッセージM2 の組
合せか、又はa,C=F(B,c),Y=F(G,
c),M2 の組合せを送信する。ただし、M2 は予め定
めた基本方式にしたがって、メッセージM1 とチャレン
ジ乱数Cの値に応じて計算される。ステップ4 検証者は、また、検証器2−3aで暗号A=関数F
(G,a)と暗号C=関数F(Y,b)が成立すること
を検証する。成立しなければ、処理を中断する。成立し
ている場合は、メッセージM2 が基本方式にしたがって
正当であることを検証する。メッセージM2 が正当であ
れば、証明者が正当であるとみなす。
鍵Vである。証明者の秘密鍵は、基本方式における秘密
鍵Sである。この場合の交信ステップは次の通りであ
る。ステップ1 まず、証明者は自分のIDと公開鍵Vを鍵情報記憶器1
−8から検証者側装置2の記憶器2−4宛に送信する。
そして、証明者は、予め定めた基本方式にしたがってM
1 生成器1−6でメッセージM1 を計算する。さらに、
乱数aを乱数発生器1−2で生成し、M1 生成器1−6
で生成したメッセージM1 と、乱数aおよび整数Gを用
いて暗号演算器1−3で発生させた暗号A=関数F
(G,a)とその整数Gを検証者に送信する。ステップ2 検証者は乱数b発生器2−1から乱数bを生成し、この
乱数bと整数Gと暗号Aを用いて暗号演算器2−2で発
生させた暗号B=関数F(G,b),暗号X=関数F
(A,b)を証明者に送信する。ステップ3 証明者は、まず、検証器1−4で暗号X=関数F(B,
a)が成立することを検証する。成立しなければ、処理
を中断する。成立していれば、乱数c発生器1−2から
乱数cを用いて暗号演算器1−5から発生させたチャレ
ンジ乱数C=関数F(X,c),暗号Y=関数F(A,
c),及びM2 生成器1−7からのメッセージM2 の組
合せか、又はa,C=F(B,c),Y=F(G,
c),M2 の組合せを送信する。ただし、M2 は予め定
めた基本方式にしたがって、メッセージM1 とチャレン
ジ乱数Cの値に応じて計算される。ステップ4 検証者は、また、検証器2−3aで暗号A=関数F
(G,a)と暗号C=関数F(Y,b)が成立すること
を検証する。成立しなければ、処理を中断する。成立し
ている場合は、メッセージM2 が基本方式にしたがって
正当であることを検証する。メッセージM2 が正当であ
れば、証明者が正当であるとみなす。
【0018】本発明の利用者認証方式は、通信回数が3
回であり、効率がよい。また、零知識性を満たすので、
安全性も高い。、以下では、本発明の利用者認証方式が
零知識証明となることを示す。
回であり、効率がよい。また、零知識性を満たすので、
安全性も高い。、以下では、本発明の利用者認証方式が
零知識証明となることを示す。
【0019】完全性,健全性 完全性は自明である。以下、健全性について述べる。ス
テップ1でのメッセージを固定し、ステップ2における
検証者の異なる乱数b,b' を考える。b≠b’である
から、X=F(A,b)とX’=F(A,b’)および
B=F(G,b)とB’=F(G,b’)も異なる。ス
テップ4での検証者のチェックC=F(Y,b)を成立
させるためには、証明者は、あるc,c’によりC=F
(X,c),C’=F(X’,c’)あるはいC=F
(B,c),C’=F(B’,c’)を計算しなければ
ならない。このとき、C=C’となる確率は無視でき
る。さもなくば、値Z(X’=F(X,Z)あるいは
B’=F(B,Z)が計算されてしまうからである。従
って、ほぼ1のかつ率でb≠b’ならばC≠C’である
ので、基本方式の健全性から、本発明の方式の健全性が
導かれる。
テップ1でのメッセージを固定し、ステップ2における
検証者の異なる乱数b,b' を考える。b≠b’である
から、X=F(A,b)とX’=F(A,b’)および
B=F(G,b)とB’=F(G,b’)も異なる。ス
テップ4での検証者のチェックC=F(Y,b)を成立
させるためには、証明者は、あるc,c’によりC=F
(X,c),C’=F(X’,c’)あるはいC=F
(B,c),C’=F(B’,c’)を計算しなければ
ならない。このとき、C=C’となる確率は無視でき
る。さもなくば、値Z(X’=F(X,Z)あるいは
B’=F(B,Z)が計算されてしまうからである。従
って、ほぼ1のかつ率でb≠b’ならばC≠C’である
ので、基本方式の健全性から、本発明の方式の健全性が
導かれる。
【0020】零知識性 本発明の利用者認証方式におけるチャレンジ乱数Cの値
は、任意の検証者に対して、一様に分布する。従って、
本発明の利用者認証方式の零知識性は、基本方式の、正
直な検証者に対する零知識性に帰着する。
は、任意の検証者に対して、一様に分布する。従って、
本発明の利用者認証方式の零知識性は、基本方式の、正
直な検証者に対する零知識性に帰着する。
【0021】
【実施例】以下、本発明の実施例を示す。動作フローチ
ャート及びブロック図は図3,図4と同様である。証明
者の公開鍵は、Q|P−1を満たす素数P,Qと、位数
Qの元GおよびVである。証明者の秘密鍵は、V=G-s
mod Pを満たすSである。ステップ1 まず、証明者は鍵情報記憶器1−8から検証者側装置2
の記憶器2−4宛に自分のIDと公開鍵Vを送信する。
さらに、証明者は乱数R,aを生成し、乱数Rを用いて
M1 生成器1−5からメッセージM1 =GR mod Pと暗
号A=Ga modPを検証者に送信する。ステップ2 検証者は乱数bを生成し、この乱数bを用いて暗号演算
器2−2から発生させた暗号B=Gb mod P ,暗号X
=Ab mod Pを証明者に送信する。ステップ3 証明者は、検証器1−4において、まず暗号X=Ba mo
d Pが成立することを検証する。成立しなければ、処理
を中断する。成立していれば、乱数c発生器1−2で乱
数cを生成し、乱数a生成器1−4からの乱数a,検証
器1−4からの暗号C=Xc と暗号Y=Ac (a,C=
Bc ,Y=Gc でもよい)を送信する。さらに、証明者
はM2生成器1−6でメッセージM2 =R+CSmod Q
を計算し、検証者に送信する。ステップ4 検証者は、検証器2−3aにおいて、まず、暗号A=G
a mod Pと暗号C=Yb mod Pが成立することを検証す
る。成立しなければ、処理を中断する。成立している場
合は、検証者は
ャート及びブロック図は図3,図4と同様である。証明
者の公開鍵は、Q|P−1を満たす素数P,Qと、位数
Qの元GおよびVである。証明者の秘密鍵は、V=G-s
mod Pを満たすSである。ステップ1 まず、証明者は鍵情報記憶器1−8から検証者側装置2
の記憶器2−4宛に自分のIDと公開鍵Vを送信する。
さらに、証明者は乱数R,aを生成し、乱数Rを用いて
M1 生成器1−5からメッセージM1 =GR mod Pと暗
号A=Ga modPを検証者に送信する。ステップ2 検証者は乱数bを生成し、この乱数bを用いて暗号演算
器2−2から発生させた暗号B=Gb mod P ,暗号X
=Ab mod Pを証明者に送信する。ステップ3 証明者は、検証器1−4において、まず暗号X=Ba mo
d Pが成立することを検証する。成立しなければ、処理
を中断する。成立していれば、乱数c発生器1−2で乱
数cを生成し、乱数a生成器1−4からの乱数a,検証
器1−4からの暗号C=Xc と暗号Y=Ac (a,C=
Bc ,Y=Gc でもよい)を送信する。さらに、証明者
はM2生成器1−6でメッセージM2 =R+CSmod Q
を計算し、検証者に送信する。ステップ4 検証者は、検証器2−3aにおいて、まず、暗号A=G
a mod Pと暗号C=Yb mod Pが成立することを検証す
る。成立しなければ、処理を中断する。成立している場
合は、検証者は
【数3】 が成立するかどうかを検証し、成立すれば証明者は正当
であるとみなす。
であるとみなす。
【0022】
【発明の効果】以上詳細に説明したように、本発明を用
いるとネットワークにおいて、正当な利用者と不正な利
用者を識別できるため、アクセス制御や電子契約などの
システムの安全性を向上させる効果が大である。さら
に、本発明の利用者認証方式は零知識性を満たし、か
つ、通信回線が3回であるので、本発明を利用したシス
テムは、従来方式を使用したシステムよりも、安全かつ
効率的である。従って、例えば、通信ネットワーク上で
のアクセス制御,電子契約などの分野に適用して効果が
大きい。
いるとネットワークにおいて、正当な利用者と不正な利
用者を識別できるため、アクセス制御や電子契約などの
システムの安全性を向上させる効果が大である。さら
に、本発明の利用者認証方式は零知識性を満たし、か
つ、通信回線が3回であるので、本発明を利用したシス
テムは、従来方式を使用したシステムよりも、安全かつ
効率的である。従って、例えば、通信ネットワーク上で
のアクセス制御,電子契約などの分野に適用して効果が
大きい。
【図1】本発明に用いる乱数生成プロトコルを示すフロ
ーチャートである。
ーチャートである。
【図2】本発明に用いる乱数生成プロトコルを実現する
構成例を示すブロック図である。
構成例を示すブロック図である。
【図3】本発明の利用者認証方式を説明するためのフロ
ーチャートである。
ーチャートである。
【図4】本発明の利用者認証方式を実現する構成例を示
すブロック図である。
すブロック図である。
【図5】利用者認証方式を説明するためのブロック図で
ある。
ある。
【図6】利用者認証方式の従来例1を説明するためのフ
ローチャートである。
ローチャートである。
【図7】利用者認証方式の従来例2を説明するためのフ
ローチャートである。
ローチャートである。
1 証明者側装置 1−1 乱数a発生器 1−2 乱数c発生器 1−3 暗号演算器 1−4 検証器 1−5 暗号演算器 1−6 M1 生成器 1−7 M2 生成器 1−8 鍵情報記憶器 2 検証者側装置 2−1 乱数b発生器 2−2 暗号演算器 2−3,2−3a 検証器 2−4 記憶器
Claims (3)
- 【請求項1】 証明者は整数Gと乱数aを生成して、該
整数Gと暗号A=関数F(G,a)を検証者に送信し、 該検証者は乱数bを生成して暗号B=関数F(G,b)
と暗号X=関数F(A,b)を証明者に送信し、 前記証明者は、暗号X=関数F(B,a)の関係が成立
することを検証したときには、乱数aと暗号C=関数F
(X,c)と暗号Y=関数F(A,c)との組合せか又
は乱数aと暗号C=関数(B,c)と暗号Y=関数F
(G,c)との組合せかを検証者に送信し、 該検証者は暗号A=関数F(G,a)及び暗号C=関数
F(Y,b)の二つの関係が同時に成立することを検証
したときには前記暗号Cを成立された乱数として保持
し、 該検証者は該成立された乱数Cをチャレンジ乱数として
用いて前記証明者の正当性を検証するようにした利用者
認証方式。 - 【請求項2】 証明者は、該証明者のIDと公開鍵Vを
検証者に送信し、予め定めた規則に従ってメッセージM
1 を計算し、さらに整数Gおよび乱数aを生成して、該
メッセージM1 と前記整数G及び暗号A=関数F(G,
a)を検証者に送信し、 該検証者は、乱数bを生成し、暗号B=関数F(G,
b)と暗号X=関数F(A,b)を前記証明者に送信
し、 前記証明者は、暗号X=関数F(B,a)の関係が成立
することを検証したときには、乱数cを生成し、前記乱
数aとチャレンジ乱数C=関数F(X,c)と暗号Y=
関数F(A,c)に付加して前記メッセージM1 と前記
チャレンジ乱数Cに従って生成されるメッセージM2 と
の第1の組合せか、又は、前記乱数aとチャレンジ乱数
C=関数F(B,c)と暗号Y=関数F(G,c)と前
記M2 との第2の組合せかを前記検証者に送信し、 前記検証者は、前記暗号A=関数F(G,a)と前記チ
ャレンジ乱数C=関数F(Y,b)の二つの関係が同時
に成立した場合において前記メッセージM2 が前記予め
定めた規則に従って前記メッセージM1 と前記チャレン
ジ乱数Cに対応した正当なメッセージであると判断され
たときに、前記証明者の正当性を検証するようにした利
用者認証方式。 - 【請求項3】 証明者の公開鍵がQ|P−1を満たす素
数P,Qと位数Qの元GおよびVであり、秘密鍵が該公
開鍵V=G-smod Pを満たすSであるとしたときに、 該証明者は、該証明者のIDと公開鍵Vを検証者に送信
し、乱数Rと乱数aを生成し、メッセージM1 =GR mo
d Pと暗号A=Ga mod Pを検証者に送信し、 該検証者は乱数bを生成し、該乱数bを用いて作成した
暗号B=Gb mod Pと暗号X=Ab mod Pを前記証明者
に送信し、 該証明者は、暗号X=Ba mod Pが成立することを検証
したときには、乱数cを生成して、前記乱数aとチャレ
ンジ乱数C=Xc mod Pと暗号Y=Ac mod Pとよりな
る第1の組合せか、又は前記乱数aとチャレンジ乱数C
=Bc mod Pと暗号Y=Gc mod Pよりなる第2の組合
せを前記検証者に送信するとともに、メッセージM2 =
R+CSmod Qを前記検証者に送信し、 該検証者は、暗号A=Ga mod Pとチャレンジ乱数C=
Yb mod Pの二つの関係が同時に成立していることを検
証した場合において、 【数1】 が成立していることを検証したときには、前記証明者の
正当性を検証するようにした利用者認証方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10063867A JPH11252070A (ja) | 1998-03-02 | 1998-03-02 | 利用者認証方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10063867A JPH11252070A (ja) | 1998-03-02 | 1998-03-02 | 利用者認証方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11252070A true JPH11252070A (ja) | 1999-09-17 |
Family
ID=13241697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10063867A Pending JPH11252070A (ja) | 1998-03-02 | 1998-03-02 | 利用者認証方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11252070A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002215027A (ja) * | 2001-01-22 | 2002-07-31 | Toshiba Corp | 属性証明プログラム及び装置 |
| JP2007049571A (ja) * | 2005-08-11 | 2007-02-22 | Nec Corp | 否認可能零知識対話証明に適用される証明装置及び検証装置 |
| JPWO2007007836A1 (ja) * | 2005-07-13 | 2009-01-29 | 日本電信電話株式会社 | 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体 |
| JP2012070460A (ja) * | 2012-01-12 | 2012-04-05 | Nec Corp | 否認可能零知識対話証明に適用される証明装置及び検証装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04117826A (ja) * | 1990-09-07 | 1992-04-17 | Matsushita Electric Ind Co Ltd | 認証機能付き鍵配送方式 |
| JPH07287515A (ja) * | 1994-03-31 | 1995-10-31 | Korea Telecommun Authority | 認証交換と電子署名方法 |
| JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
-
1998
- 1998-03-02 JP JP10063867A patent/JPH11252070A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04117826A (ja) * | 1990-09-07 | 1992-04-17 | Matsushita Electric Ind Co Ltd | 認証機能付き鍵配送方式 |
| JPH07287515A (ja) * | 1994-03-31 | 1995-10-31 | Korea Telecommun Authority | 認証交換と電子署名方法 |
| JPH08328472A (ja) * | 1995-05-26 | 1996-12-13 | Korea Telecommun Authority | 認証交換方法、復元型電子署名方法、付加型電子署名方法、鍵交換方法、復元型公衆電子署名方法、付加型公衆電子署名方法およびブラインド電子署名方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002215027A (ja) * | 2001-01-22 | 2002-07-31 | Toshiba Corp | 属性証明プログラム及び装置 |
| JP4678956B2 (ja) * | 2001-01-22 | 2011-04-27 | 株式会社東芝 | 属性証明プログラム及び装置 |
| JPWO2007007836A1 (ja) * | 2005-07-13 | 2009-01-29 | 日本電信電話株式会社 | 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体 |
| JP4555859B2 (ja) * | 2005-07-13 | 2010-10-06 | 日本電信電話株式会社 | 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体 |
| JP2007049571A (ja) * | 2005-08-11 | 2007-02-22 | Nec Corp | 否認可能零知識対話証明に適用される証明装置及び検証装置 |
| JP2012070460A (ja) * | 2012-01-12 | 2012-04-05 | Nec Corp | 否認可能零知識対話証明に適用される証明装置及び検証装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5201136B2 (ja) | 匿名認証システムおよび匿名認証方法 | |
| Park et al. | Constructing fair-exchange protocols for E-commerce via distributed computation of RSA signatures | |
| Camenisch et al. | Confirmer signature schemes secure against adaptive adversaries | |
| Blake-Wilson et al. | Unknown key-share attacks on the station-to-station (STS) protocol | |
| JP5205398B2 (ja) | 鍵認証方式 | |
| US8661240B2 (en) | Joint encryption of data | |
| US9191214B2 (en) | Procedure for a multiple digital signature | |
| US6473508B1 (en) | Auto-recoverable auto-certifiable cryptosystems with unescrowed signature-only keys | |
| US9882890B2 (en) | Reissue of cryptographic credentials | |
| Bicakci et al. | Infinite length hash chains and their applications | |
| US6122742A (en) | Auto-recoverable and auto-certifiable cryptosystem with unescrowed signing keys | |
| US20020136401A1 (en) | Digital signature and authentication method and apparatus | |
| CN106936584B (zh) | 一种无证书公钥密码系统的构造方法 | |
| CN108337092B (zh) | 用于在通信网络中执行集体认证的方法和系统 | |
| Kuppuswamy et al. | A new efficient digital signature scheme algorithm based on block cipher | |
| Huang et al. | Partially blind ECDSA scheme and its application to bitcoin | |
| JPH11252070A (ja) | 利用者認証方式 | |
| Andreevich et al. | On Using Mersenne Primes in Designing Cryptoschemes | |
| Nieto et al. | A public key cryptosystem based on the subgroup membership problem | |
| Hirose et al. | A user authentication scheme with identity and location privacy | |
| Ki et al. | Privacy-enhanced deniable authentication e-mail service | |
| Lv et al. | Ring authenticated encryption: a new type of authenticated encryption | |
| TWI248744B (en) | Multisignature scheme with message recovery for group authorization in mobile networks | |
| Witzke et al. | Key management for large scale end-to-end encryption | |
| van Tilburg | Secret-key exchange with authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060124 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060530 |