KR100489327B1 - 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법 - Google Patents

겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법 Download PDF

Info

Publication number
KR100489327B1
KR100489327B1 KR10-2002-0056937A KR20020056937A KR100489327B1 KR 100489327 B1 KR100489327 B1 KR 100489327B1 KR 20020056937 A KR20020056937 A KR 20020056937A KR 100489327 B1 KR100489327 B1 KR 100489327B1
Authority
KR
South Korea
Prior art keywords
prover
verifier
evidence
personal identification
transmitting
Prior art date
Application number
KR10-2002-0056937A
Other languages
English (en)
Other versions
KR20020079685A (ko
Inventor
김명선
김광조
Original Assignee
학교법인 한국정보통신학원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인 한국정보통신학원 filed Critical 학교법인 한국정보통신학원
Priority to KR10-2002-0056937A priority Critical patent/KR100489327B1/ko
Publication of KR20020079685A publication Critical patent/KR20020079685A/ko
Priority to US10/600,560 priority patent/US20040064700A1/en
Application granted granted Critical
Publication of KR100489327B1 publication Critical patent/KR100489327B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 개인 식별 기법에 관한 것으로, 인터넷과 같은 사이버 공간의 비대면(非對面) 상황에서 증명자 자신의 비밀을 노출시키지 않으면서 검증자에게 자신의 신분을 확인하는 다양한 서비스에 요구된다. 인수분해의 어려움이나 이산대수 문제의 어려움에 기반을 두고 있는 기존의 방법은 수차례의 대화식 질의-응답 과정을 필요로 하며 안전성에 대한 증명이 직관적이지 못하다. 본 발명에서는 일방향 함수로 알려진 겹선형 디피-헬만 문제(Bilinear Diffie-Hellman Problem)에 기반한 식별 프로토콜을 설계하고 이것의 안전성에 대한 정량적 근거를 복잡도 이론에 근거한 암호학적 축소 방법을 사용하여 엄격하게 제시한다.

Description

겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법{IDENTIFICATION SCHEME BASED ON THE BILINEAR DIFFIE-HELLMAN PROBLEM}
본 발명은 네트워크상의 개인 식별 기법에 관한 것으로, 특히, 겹선형 디피-헬만 문제(Bilinear Diffie-Hellman Problem)를 이용하여 가상 공간에서 개인 식별 과정을 안전하게 설계하는데 적합한 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법에 관한 것이다.
현재, 네트워크 환경의 꾸준한 발전과 더불어 기존의 오프-라인(off-line)에서만 국한되던 각종 서비스들이 인터넷을 통한 사이버 공간으로 확산되고 있는 추세이다. 이러한 사이버 공간의 가장 큰 장점중 하나는 언제 어디서나 네트워크를 통해 원격 비대면(非對面) 연결이 가능하다는 점이다. 원격 비대면이라 함은, 통신하는 양자간이 직접 대면하지 않고 원거리에서 통신하는 상황을 일컫는다.그러나, 이러한 비대면성을 갖는 가상 공간에서는, 오프-라인 상에서처럼 상대방을 직접 확인할 수 없는 바, 정당한 사용자인지 아니면 정당한 사용자를 가장한 불법적인 사용자인지를 구별여야만 하는 근본적인 해결 과제가 존재한다.
일반적으로, '개인 식별 기술'은 사이버 공간을 포함한 대부분의 비대면 상황에서 암호학적 기술 요소들을 사용하여 이러한 문제들을 해결한다.
이하에서는, 이러한 개인 식별 기술의 보다 구체적인 내용을 도 1을 참조하여 설명하기로 한다.
도 1은, 전형적인 개인 식별 과정을 기술한 것으로서, 인터넷을 통한 사이버 은행거래를 대표적인 예로 들 수 있다.
인터넷을 통한 사이버 은행거래에서는, 공개키와 비밀키를 가진 공개키 암호시스템을 이용하는데, 통상, 비밀키는 그 소유자만이 인지하고 있으며, 공개키는 공개된다.
먼저, 비밀키를 소유한 것으로 예상되는 증명자 P가 검증자 V가 소유한 서비스를 요청한다. 이때, 증명자 P는 검증자 V의 어떠한 질의에 대하여 자신의 비밀을 누출시키기 않으면서 자신이 공개한 공개키에 대응하는 비밀키를 소유하고 있는 정당한 사용자라는 것을 증명하려고 한다. 동시에 검증자 V는 증명자 P의 공개된 정보만을 이용하여 증명자의 정당성을 검증하고자 한다.
가장 기본적인 개인 식별 방법은 사용자별로 특정한 아이디 정보와 사용자만이 알고 있는 패스워드 정보을 이용한 것으로서, 대부분의 유닉스 운영체제 하에서 이용되는 방법이다. 그러나, 이 방법은 자신의 비밀키, 즉, 증명자 P의 패스워드가 안전하지 않은 통신 채널을 통하여 전송될 때 제 3 자에게 노출될 가능성이 대단히 높아 불법적인 위장 공격이 가능하다는 문제가 있다.
한편, 정수론에 기반을 둔 공개키 암호 시스템을 이용하는 개인 식별 방법은 크게 두 가지로 분류될 수 있다. 첫 번째는 피아트(Fiat)와 샤미르(Shamir)에 의해 제안된 식별 기법으로 피아트-샤미르 기법이라 하며, 두 번째는 슈노르(Schnorr)에 의해서 제안된 슈노르 기법이다. 피아트-샤미르 기법은 정수의 소인수분해 문제의 어려움에 기반한 식별 방법이며, 슈노르 기법은 이산대수 문제의 어려움에 기반한 식별 방법이다.
먼저, 피아트-샤미르 방법 및 이 방법의 변형된 동작 원리는 다음과 같다.
신뢰할 수 있는 시스템 관리자는 충분히 큰 수 n값을 결정한다. 증명자 P는 n과 서로 소인 자신의 비밀키 a를 선택하여 b=a 2 mod n 을 계산한다. 증명자 P는 b를 공개한다. 그리고, 증명자 P와 검증자 V 상호간에는 다음과 같은 프로토콜이 수 회 반복 실행된다.
가. 먼저, 증명자 P는 인 임의의 r을 선택하고 x=r 2 을 계산하여 x를 검증자 V에게 전송한다.
나. 검증자 V는 증명자 P에게 임의의 을 선택하여 전송한다.
다. 증명자 P가 ε을 받으면 y=r·a ε mod n을 계산하여 전송한다.
라. 검증자 V는 y 2 =x·b ε mod n인지 검사하여 참이면 증명자 P를 정당한 증명자로 받아들이고 거짓이면 위 프로토콜을 즉시 중단한다.
다음으로, 슈노르에 의해서 제안된 개인 식별 기법에 대해 기술하기로 한다.
여기서, p는 충분히 큰 소수이며, 법 p의 곱셈군의 법 p의 부분군을 이용한다. 이때 p-1q로 나누어진다. 또한, 임의의 한 원소 β가 선택되며 이것의 위수는 q이다. 그러면, 증명자 P의 비밀키 a1 ≤a ≤q-1의 범위에서 선택되어 v=β -a mod p를 계산하여 공개키로 한다. 그 후 다음 프로토콜을 1회 실행한다. 여기서 cert p 는 증명자 P의 인증서이다.
가. 증명자 P가 인증서와 x=β r mod p를 계산하여 검증자 V에게 전송한다.
나. 검증자 V는 임의의 를 선택하여 증명자 P에게 전송한다.
다. 증명자 P는 y=aε+ r mod q를 계산하여 검증자 V에게 전송한다.
라. 검증자 V는 x=β y ·v ε mod p인지 검사하여 참이면 P를 정당한 증명자로 받아들이고 거짓이면 즉시 프로토콜을 중단한다.
이상과 같이, 피아트-샤미르와 슈노르에 의한 각각의 개인 식별 기법을 간략히 설명하였다.
그런데, 이러한 기법들에서는 몇 가지 문제점들이 존재한다.
먼저, 피아트-샤미르 방법의 단점은 크게 두 가지이다. 첫째는 증명 과정이 복잡하다는 것이고, 둘째는 도 1에서 주어진 "신분 증명 요청" 단계를 수 회 반복해야만 한다는 것이다. 피아트-샤미르 기법의 증명은 대화식 영지식 증명(Zero-Knowledge Proof)(어떠한 정보를 노출하지 않은 상태로 증명을 가능하게 하는 것)이라는 복잡도 이론에 근거하여 안전성을 증명하였으나, 증명 과정이 매우 복잡하여 직관적 이해를 주지 못한다. 또한, 피아트-샤미르 방법이 제안된 이후 몇 가지 방법이 제안되었으나 대부분 대화식 영지식 증명에 의해서 안전성 증명이 이루어지며, 샤우프에 의해서 수학적 이론에 근거한 증명이 주어지기는 하지만 인수분해 문제의 어려움에 기반을 두었다는 점에서 여전히 단점으로 남아있다.
슈노르 기법의 문제는 인증서와 관련된 것으로 인증서의 확인 및 철회 등은 이미 널리 알려진 바와 같이 운영상의 문제뿐 아니라 성능 저하에도 영향을 미친다. 슈노르 개인 식별 기법도 기본적 동작원리 측면에서 보면, 도 1의 방식으로 동작하며 기본적으로 계산 능력이 상대적으로 낮은 클라이언트와 이에 비해 상대적으로 계산 능력이 높은 서버와의 식별을 위한 방법으로 제안되었으며 최근에 이르러서야 대화식 영지식 증명으로 안전성이 분석되었다. 즉, 슈노르 기법은, 안전성과 간편성을 제공하고는 있으나 계산능력이 비대칭적인 환경에만 주안점을 두고, 서버 대 서버의 식별 같은 대칭적인 환경에 적용하기에는 여러 가지 어려움이 있는 것이다.
따라서, 직관적 이해를 주는 엄밀한 안전성 증명과 한 번만 수행해도 되는 간편성을 제공하고, 대칭적 환경에 적용이 용이한 네트워크상의 개인 식별 기술이 요망된다.
본 발명은 상술한 요망에 의해 안출한 것으로, 사이버 공간의 비대면이라는 특수한 상황에서 겹선형 디피-헬만 문제를 이용하여 상대방이 정당한 사용자라는 것을 검증함으로써, 대칭적 계산 능력을 갖는 환경에 적합한 개인 식별 기법을 마련하도록 한 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법을 제공하는데 그 목적이 있다.
본 발명의 또 다른 목적은, 암호학적 축소 방법(암호학적으로 안전하다는 것을 현대 암호학계에서 가장 엄밀하게 증명하는 방법)을 사용하여 수동 공격자에 대해서 뿐만 아니라 능동 공격자에 대해서도 안전한 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법을 제공하는데 있다.
이러한 목적을 달성하기 위한 본 발명에 따른 개인 식별 방법은, 시스템관리자가 시스템 매개변수를 생성하는 단계; 증명자의 공개키 v와 비밀키 (a,b,c)쌍을 생성하는 단계; 증명자가 난수 (r 1 ,r 2 ,r 3 )를 발생하여 자신이 비밀을 알고 있다는 증거 (x,Q)를 제시하는 단계; 검증자가 검증을 위해 자신이 생성한 임의의 수로 계산한 질의 R을 제시하는 단계; 제시된 질의에 대해서 응답 Y를 자신의 비밀키와 상술한 질의를 이용하여 계산한 후 검증자에게 제시하는 단계; 상기 검증자가 증명자가 제시한 최종값 Y, 증거 (x,Q) 및 공개키 v를 이용하여 증명자의 신분을 확인하는 단계를 포함하는 것을 특징으로 하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법을 제공한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 상세히 설명한다.
도 2는 본 발명에 따른 개인 식별 기법의 개략적인 구성도를 도시한 것으로, 식별 프로토콜의 주 참여자는 증명자(100), 검증자(200) 및 시스템 관리자(300)를 포함하며, 이들 각각의 참여자는 컴퓨터 시스템으로 구현될 수 있다. 개인 식별 기법을 구성하는 각각의 참여자는 다음과 같은 기능을 수행한다.
먼저, 증명자(100)는 주어진 시스템 매개변수에 따라 공개키와 비밀키를 각각 생성하고, 생성된 공개키는 공개한 후 자신의 신분을 증명하기 위해서 공개키에 해당하는 비밀을 자신만이 안다는 것을 검증자(200)에게 제시하는 역할을 담당한다.
검증자(200)는 증명자(100)가 제시하는 값들의 유효성을 시스템 매개변수를 참조하여 검증하고, 증명자(100)가 제시하는 증거와 공개키 값을 근거로 하여 증명자(100)가 정당한 사용자인지를 판단하는 역할을 담당한다.
시스템 관리자(300)는 시스템 초기화시에만 동작하며, 자신이 생성한 시스템 매개변수들을 공지한다. 경우에 따라, 증명자(100)의 공개키와 비밀키 쌍을 생성하여 안전한 채널로 전송할 수 있다. 그러나 식별 과정에는 참여하지 않는다.
이하, 상술한 구성과 함께, 본 발명의 바람직한 실시예에 따른 네트워크 환경에서의 개인 식별 방법을 첨부한 도 3 내지 도 5를 참조하여 상세히 설명하기로 한다.
도 3에 도시한 바와 같이, 본 발명에 따른 개인 식별 기법은, 시스템 매개변수 생성 및 증명자(100) 공개키/비밀키 생성 과정(단계410), 증명자(100)와 검증자(200)간의 증거 제시, 질의 및 응답 과정(단계420, 단계430), 검증자(200)가 증명자(100)의 유효성을 판단하는 과정(단계440, 단계450)을 각각 포함하며, 이러한 과정에 의해 검증자(200)가 증명자(100)의 신분을 최종적으로 확인 할 수 있다.
먼저, 시스템 매개변수 생성 과정(단계410)은, 도 4a에 도시한 바와 같이, 증명자(100)와 검증자(200) 모두가 공유하는 시스템 매개변수들이 시스템 관리자(300)에 의해서 생성되어 공개되는 과정이다. 본 과정에서 임의의 순환군(Cyclic Group) G 1 G 2 가 생성되며, 이때 두 순환군의 위수는 m이다. 순환군 G 1 상의 임의의 생성자 P를 생성한다. 끝으로, 두 순환군에 대한 겹선형 사상을 정의하고 변형된 겹선형 사상 를 생성한다.
다음으로, 증거 제시, 질의 및 응답 과정(단계420, 단계430)은, 도 4b에 도시한 바와 같이, 시스템 관리자(300)가 공개한 시스템 매개변수에 기반하여 증명자(100)가 임의의 난수를 생성하여 증거를 제시하는 단계, 검증자(200)가 증명자(100)에게 질의 내용을 전송하는 단계, 증명자(100)가 자신의 비밀키와 전송된 질의 내용을 이용하여 응답을 계산한 후 이를 검증자(200)에게 전송하는 단계로 이루어진다.
그리고, 유효성 판단 과정(단계440, 단계450)은, 도 4c에 도시한 바와 같이, 검증자(200)가 자신이 생성한 질의와 증명자(100)의 비밀키에 대응하는 공개키 값을 이용하여 증명자(100)가 정당한 사용자인지 검증하는 과정이다. 본 과정에서 참 값을 얻으면 증명자(100)는 정당한 사용자로 판명되며, 거짓이면 즉시 식별 프로토콜 수행을 중단한다.
이때, 본 발명의 개인 식별 기법의 안전성은 크립토2001 학회에서 보네-프랭크린(Boneh-Franklin)에 의해서 제안된 겹선형 디피-헬만 문제의 어려움을 기반으로 하여 구성됨을 특징으로 한다.시스템 관리자(300)는 타원곡선 상의 점들의 군과 유한 개의 원소로 이루어진 유한 체를 생성하고 이 두 순환군 간을 사상하는 변형 겹선형 사상(寫像 : map)을 생성한다.변형 겹선형 사상이라 함은, 필요에 의해 변형된 겹선형 사상을 의미한다. 집합 A에서 집합 B로의 함수 f:A→B를 흔히 A에서 B로의 사상이라 하는데, 동일한 위수 q를 갖는 덧셈군 G 1 과 곱셈군 G 2 가 존재하고 이러한 그룹 내에서 이산대수 문제를 푸는 것이 어렵다고 가정했을 때, P를 덧셈군 G 1 의 생성자, 그리고 ^e : G 1 ×G 1 G 2 를 겹선형성(Bilinearity)을 만족하는 겹선형 사상이라 한다.이 값들은 공개되어 증명자(100)와 검증자(200) 모두에 의해서 이용되도록 한다.
한편, 본 발명의 주요 특징인 도 3에 예시된 개인 식별 과정의 흐름을 도 5의 흐름도를 참조하여 보다 상세히 설명된다.
먼저, 단계(510)에서는, 시스템 매개변수를 도 4a에 나타나는 것처럼 시스템 관리자에 의해서 위수(order)가 m인(m의 위수를 갖는) 타원곡선상의 점들의 군 G 1 과, 역시 위수가 m인 유한체 G 2 를 생성하고 변형 겹선형 사상을 정의한다. 이는 다음 수학식 1과 같이 표현될 수 있다.
[수학식 1]
그 다음 단계(520)에서, 상술한 시스템 매개변수를 이용하여 증명자(100) 또는 시스템 관리자(300)는 증명자(100)의 공개키와 비밀키 쌍을 생성한다. 먼저 에 속하는 임의의 값들, 즉 1부터 m사이의 임의의 정수값들인 <a,b,c> 를 비밀키로 선택하고, 다음 수학식 2에 의해서 공개키 v를 지정한다.
[수학식 2]
여기서, P는 임의의 생성자(Generator)를 의미한다.이렇게 하여 계산된 공개키는 증명자(100)나 시스템 관리자(300)에 의해서 공개되며, 비밀키는 증명자(100)가 안전하게 보관한다. 그러므로, 검증자(200)는 언제든지 증명자(100)의 공개키에 접근할 수 있다.
삭제
그리고, 단계(530)에서는, 서비스에 접속하기 원하는 증명자(100)가 하기 수학식 3을 기반으로 증거를 생성하여 검증자(200)에게 제시한다. 이때, 수학식 3을 계산하기 위해 증명자(100)는 먼저 임의의 값 을 선택한다.
[수학식 3]
이후, 이러한 수학식 3에 의해서 계산된 두 값 (x,Q) 를 검증자(200)에게 전송한다. 즉, 단계(530)에서와 같이, 본 발명은 하나의 증거 대신 두값(x,G), 즉, 제 1 증거와 제 2 증거를 동시에 계산하여 검증자(200)에게 전송함으로써, 증명자(100)가 자신의 증거를 계산할 때, 증명자(100)가 생성한 난수(random number)의 위변조를 방지할 수 있도록 구현한 것이다.
그 다음 단계(540)에서, 검증자(200)는 증명자(100)의 증거로서 (x,Q)을 받으면, 역시 난수 을 생성하여 질의를 계산하고 이를 증명자(100)에게 전송한다. 이러한 질의 R은 다음 수학식 4와 같이 표현될 수 있다.
[수학식 4]
이때, 본 발명은, 난수 자체를 전송하는 대신, 단계(540)에서 생성된 난수를 선택하여 순환군 G 1 에 속하는 값을 변형하여 전송, 즉 생성된 난수 ω를 선택하여 P에 곱하고 그 곱셈값을 전송함으로써 검증자(200)가 증명자(100)에게 질의를 보낼 때 질의 내용의 위변조를 방지하는 것을 특징으로 한다.
그 다음 단계(550)에서, 증명자(100)는 자신이 생성한 난수와 검증자(200)에게서 받은 질의를 사용하여 다음 수학식 5에 나타난 바와 같은 중간값을 먼저 계산한다.
[수학식 5]
이러한 중간값 계산은 후술하는 응답값의 위변조를 방지하기 위함이다.
이러한 중간값을 계산한 후, 증명자(100)는 검증자(200)에게 제시할 응답을 계산하고, 계산된 응답을 검증자(200)에게 전송한다. 이러한 응답 Y는 다음 수학식 6과 같이 표현될 수 있다.
[수학식 6]
이때, 본 발명에서는, 이러한 응답값 계산시 연산의 효율성을 위하여 타원곡선상의 2회 스칼라 곱셈(abcP와 (a+b+c)S)과 1회 덧셈(abcP+( a+b+c)S)만을 필요로 하는 것을 특징으로 한다.
단계(560)에서 검증자(200)가 응답을 받으면, 검증자(200)는 상기한 단계(550)에서 얻은 값과 공개키를 사용하여 증명자(100)의 정당성 여부를 검증한 후 단계(570)에서와 같이 검증 결과를 통보한다.
먼저, 단계(560)에서 증명자(100)의 정당성은 다음 수학식 7과 같은 증거 유효성 결정에 의해 검증될 수 있다.
[수학식 7]
만일, 수학식 7의 값이 유효하다면 다음 수학식 8을 계산하고, 유효하지 않다면 단계(570)를 수행하여 증명자(100)에게 무효한 사용자임을 알린다. 즉, 수학식 7은 상술한 수학식 3에서 계산된 값 중 하나인 x=^e(P,P)r1r2r3 (제1증거)와 ^e(P,Q)의 계산값이 동일한지에 대한 판단을 의미한다.
[수학식 8]
수학식 8의 결과가 참인 것으로 검증되면 검증자(200)는 단계(570)를 수행하여 증명자(100)에게 서비스에 접근할 수 있다는 것을 통보하며(단계470), 거짓인 경우에는 단계(570)를 수행하여 증명자(100)가 잘못된 사용자임을 알리고 서비스 접근을 거부한다(단계460).
이상과 같이, 상술한 본 발명의 개인 식별 기법을 이용하면 증명자는 자신의 비밀 정보를 검증자에게 알리지 않고도 자신이 올바른 사용자라는 것을 3번의 상호 대화식 작용을 이용하여 효율적으로 증명할 수 있다.
상술한 내용 중 시스템 관리자가 증명자에게 공개키와 비밀키를 생성하여 제공할 수도 있다. 그러나, 본 발명은 서로의 성능이 대칭적인 경우를 주요 대상으로 하였다는 것을 감안한 바, 증명자 스스로 자신의 공개키와 비밀키를 생성할 충분한 능력을 보유한 것으로 볼 수 있다. 즉, 시스템 관리자가 공개키와 비밀키 쌍을 생성하여 제공하는 것은 선택사항이다.
본 발명은 겹선형 디피-헬만 문제에 기반한 안전한 식별 방법이 구성될 수 있음을 보여주고 있다. 동시에 안전성 증명이 수학적 모델링을 통하여 매우 엄밀하게 제시되고 있다. 특히, 기반 문제가 블랙박스 시뮬레이터(Black Box Simulator ; 내용은 공개되지 않은(또는 사양이 지정되지 않은) 가상의 실험체로서, 입력값에 대한 예상 결과값을 출력한다.)를 갖는지 증명되지 않은 경우에 대화식 영지식 증명으로 프로토콜의 안전성(Security of Protocol ; 프로토콜이 프로토콜 설계 목표에 대해 이론적으로 보안 취약점이 없음을 의미한다. 안전성의 증명은 프로토콜이 목적에 대한 보안 취약점이 없음을 이론적으로 증명한 것을 말한다.)을 증명할 수 없었으나, 본 발명에서는 위와 같은 선행 조건에 관계없이 안전성 증명이 영지식 상호 증명(Zero Knowledge Mutual Proof)(양자간에 노출된 정보 교환없이 서로에 대한 증명을 하는 것)만큼 엄밀하게 이루어질 수 있음을 보였다.
특히, 개인 사용자 컴퓨터의 계산 능력이 서버에 대응할 수 있을 정도로 급변하고 있는 시대에 즈음하여, 서버 대 서버의 상호 식별뿐만 아니라 개인 대 서버의 식별에도 적용할 수 있다.
겹선형 사상은 테이트 쌍(Tate Pairing)이나 베일 쌍(Weil Pairing)(타원곡선 상의 두 원소를 입력으로 받아 한 개의 값을 출력하는 함수의 종류들)을 타원곡선 상에서 구현하여 사용하였다. 이때, 테이트 쌍이나 베일 쌍의 계산이 상대적으로 복잡하여 연산의 비효율성이 지적되었다. 그러나, 현재 암호학자들의 지속적인 연구로 인하여 연산 시간 개선이 꾸준히 이루어지고 있으며 최근에는 계산량을 줄이는 알고리즘의 연구에 힘입어 테이트 쌍이나 베일 쌍의 연산도 매우 효율적으로 계산되고 있다. 그러므로, 본 발명은 서버 대 서버 같은 대칭적 계산 능력을 요구하는 상황뿐 아니라 클라이언트 대 서버같은 비대칭적인 상황에도 적용할 수 있다.
이상, 본 발명을 실시예에 근거하여 구체적으로 설명하였지만, 본 발명은 이러한 실시예에 한정되는 것이 아니라, 하기 특허청구범위의 요지를 벗어나지 않는 범위내에서 여러 가지 변형이 가능한 것을 물론이다.
도 1은 일반적인 개인 식별 과정을 나타낸 순서도,
도 2는 본 발명에 따른 개인 식별 프로토콜 참가자들간의 상호작용 구성도,
도 3은 본 발명에 따른 개인 식별 방법의 전체 순서도,
도 4a 내지 도 4c는 도 2의 구성도에 기반하여 도 3의 개인 식별 방법의 세부 과정을 설명하기 위한 도면,
도 5는 본 발명에 따른 개인 식별 방법으로서, 도 3의 상세 메시지 계산 및 동작 과정을 나타낸 순서도.
<도면의 주요부분에 대한 부호의 설명>
100 : 증명자 200 : 검증자
300 : 시스템 관리자

Claims (5)

  1. 증명자, 검증자 및 시스템 관리자로 구성되는 네트워크 환경에서의 개인 식별 방법에 있어서,
    상기 시스템 관리자를 통해 시스템 매개변수를 생성하는 제 1 단계와;
    상기 증명자 또는 상기 시스템 관리자를 통해 비밀키 <a,b,c> 와 공개키 v를 생성하는 제 2 단계와;
    상기 증명자를 통해 난수 을 생성하여 증거를 계산한 후, 그 결과를 상기 검증자로 전송하는 제 3 단계;
    상기 검증자에서 상기 증거 계산 결과에 대한 난수 ω를 생성하고, 질의 R을 계산하여 상기 증명자로 전송하는 제 4 단계;
    상기 증명자에서 상기 질의에 대한 중간값 S와 응답 Y를 계산하여 상기 검증자로 전송하는 제 5 단계;
    상기 시스템 매개변수, 상기 증명자의 공개키, 상기 증명자의 증거, 상기 검증자의 난수 중 적어도 하나 이상의 데이터를 이용하여 상기 증거의 유효성과 상기 증명자의 정당성을 검증하는 제 6 단계
    를 포함하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법.
  2. 제 1 항에 있어서,
    상기 제 3 단계는, 제 1 증거() 및 제 2 증거()를 동시에 계산하여 검증자로 전송하되, 상기 P는 임의의 덧셈군의 생성자인 것을 특징으로 하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 4 단계는, 생성된 난수를 선택하여 상기 P에 곱하고 그 곱셈값을 전송하는 단계인 것을 특징으로 하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법.
  4. 제 1 항에 있어서,
    상기 제 5 단계는, 상기 증명자를 통해 증거로 제시한 값을 포함하는 중간값을 사용하며, 타원곡선상의 2회 스칼라 곱셈(abcP(a+b+c)S)과 1회 뎃셈(abcP+(a+b+c)S)만을 필요로 하는 단계인 것을 특징으로 하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법.
  5. 제 1 항에 있어서,
    상기 제 6 단계는,
    하기 수학식
    를 만족하는지를 검증하는 단계인 것을 특징으로 하는 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의 개인 식별 방법.
KR10-2002-0056937A 2002-09-18 2002-09-18 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법 KR100489327B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2002-0056937A KR100489327B1 (ko) 2002-09-18 2002-09-18 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법
US10/600,560 US20040064700A1 (en) 2002-09-18 2003-06-19 Method for identification based on bilinear diffie-hellman problem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0056937A KR100489327B1 (ko) 2002-09-18 2002-09-18 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법

Publications (2)

Publication Number Publication Date
KR20020079685A KR20020079685A (ko) 2002-10-19
KR100489327B1 true KR100489327B1 (ko) 2005-05-12

Family

ID=27728374

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0056937A KR100489327B1 (ko) 2002-09-18 2002-09-18 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법

Country Status (2)

Country Link
US (1) US20040064700A1 (ko)
KR (1) KR100489327B1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100507809B1 (ko) * 2003-03-19 2005-08-17 학교법인 한국정보통신학원 네트워크상에서의 겹선형쌍 디피-헬만 문제를 이용한 익명핑거프린팅 방법
US7245718B2 (en) * 2003-08-26 2007-07-17 Mitsubishi Electric Research Laboratories, Inc. Low bandwidth zero knowledge authentication protocol and device
GB2407948B (en) * 2003-11-08 2006-06-21 Hewlett Packard Development Co Smartcard with cryptographic functionality and method and system for using such cards
EP1675299B1 (en) * 2004-12-23 2018-08-01 Hewlett-Packard Development Company, L.P. Authentication method using bilinear mappings
IL185285A0 (en) * 2007-08-14 2008-01-06 Yeda Res & Dev A method and apparatus for implementing a novel one-way hash function on highly constrained devices such as rfid tags
US8254569B2 (en) * 2007-12-29 2012-08-28 Nec (China) Co., Ltd. Provable data integrity verifying method, apparatuses and system
KR100969203B1 (ko) * 2009-12-11 2010-07-09 맹보영 비닐장갑 제조장치

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010000738A (ko) * 2000-10-17 2001-01-05 안병엽 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
KR20010008102A (ko) * 2000-11-08 2001-02-05 안병엽 안전한 디피-헬만형 키 합의 프로토콜 구현 방법
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
KR20010090167A (ko) * 2000-03-23 2001-10-18 윤종용 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
KR100323799B1 (ko) * 1999-11-18 2002-02-19 안병엽 안전성이 증명가능한 타원곡선 공개키 암호화 시스템
EP1248408A2 (en) * 2001-04-05 2002-10-09 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1425874B1 (en) * 2001-08-13 2010-04-21 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US7353395B2 (en) * 2002-03-21 2008-04-01 Ntt Docomo Inc. Authenticated ID-based cryptosystem with no key escrow

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
KR100323799B1 (ko) * 1999-11-18 2002-02-19 안병엽 안전성이 증명가능한 타원곡선 공개키 암호화 시스템
KR20010090167A (ko) * 2000-03-23 2001-10-18 윤종용 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
KR20010000738A (ko) * 2000-10-17 2001-01-05 안병엽 계산적 디피-헬만 가정에 기반하는 안전성 증명 가능한공개키 암호화 방법
KR20010008102A (ko) * 2000-11-08 2001-02-05 안병엽 안전한 디피-헬만형 키 합의 프로토콜 구현 방법
EP1248408A2 (en) * 2001-04-05 2002-10-09 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Paper 2001.01.31 : p38~40, Journal of Communication and Information Security *

Also Published As

Publication number Publication date
KR20020079685A (ko) 2002-10-19
US20040064700A1 (en) 2004-04-01

Similar Documents

Publication Publication Date Title
Blake-Wilson et al. Unknown key-share attacks on the station-to-station (STS) protocol
Zhang et al. ID-based blind signature and ring signature from pairings
Nakanishi et al. Revocable group signature schemes with constant costs for signing and verifying
Kaliski Jr An unknown key-share attack on the MQV key agreement protocol
Liu et al. Certificateless signcryption scheme in the standard model
Chen et al. ID-based restrictive partially blind signatures and applications
Dodis et al. Optimistic fair exchange in a multi-user setting
Brickell et al. Enhanced privacy ID from bilinear pairing
Hwang et al. Generalization of proxy signature based on elliptic curves
Li et al. Generalization of proxy signature-based on discrete logarithms
Xiaofeng et al. Direct anonymous attestation for next generation TPM
Lin et al. Efficient proxy signcryption scheme with provable CCA and CMA security
US7461261B2 (en) Method to generate, verify and deny an undeniable signature
KR100489327B1 (ko) 겹선형 디피-헬만 문제에 기반한 네트워크 환경에서의개인 식별 방법
Juels et al. RSA key generation with verifiable randomness
KR0143598B1 (ko) 하나의 비밀키를 이용한 다수의 신분인증 및 디지탈서명 생성과 확인방법
Dehkordi et al. Identity-based multiple key agreement scheme
Horster et al. Discrete logarithm based protocols
Shao et al. Certificate‐based verifiably encrypted RSA signatures
Chin et al. An efficient and provable secure identity-based identification scheme in the standard model
Huang et al. New constructions of convertible undeniable signature schemes without random oracles
Shao Certificate-based fair exchange protocol of signatures from pairings
Liang et al. Efficient and secure protocol in fair document exchange
Su et al. Secure Computation Outsourcing for Inversion in Finite Field.
Shin et al. An RSA-based leakage-resilient authenticated key exchange protocol secure against replacement attacks, and its extensions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100503

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee