WO2005093594A1

WO2005093594A1 - 認証システム

Info

Publication number: WO2005093594A1
Application number: PCT/JP2005/006447
Authority: WO
Inventors: Shougo Hayashida; Osamu Atsumi
Original assignee: Sangikyo Corporation
Priority date: 2004-03-26
Filing date: 2005-03-25
Publication date: 2005-10-06
Also published as: US20050216737A1; JPWO2005093594A1

Description

明細書言忍証ンステム技術分野

本発明は認証システムに関し、特に "なりすまし"や認証システムに関する。背景技術

携帯電話機や P D A等、ュビキタス社会の進展に伴い、各種の通信端末が非常に広い範囲で使用されるようになっている。このような通信分野においては、携帯電話機のように通話やデータ送受に課金される通信端末も多い。また、当該通信端末を利用して決済するようなサービスも現実化している。

課金や決済を伴う通信端末では、通信端末の本来の所有者の利用であることはきわめて重要であり大前提である。そのためには、本人認証が必須であり、認証技術としては各種の手法が提案されている。その中で最も広く用いられている携帯電話機は、もし真のユーザでない人の"なりすまし"が可能になった場合には、上記決済機能の拡大も考慮すると、被害は甚大なものになり得る。このような状態は、真のユーザ（本人）ではない他人が本人に "なりすましをする" ことになる。より正確には、他人が所有する携帯電話機が、本人の携帯電話機であるとして機能することになる。すなわち、いわゆるクローン携帯電話機の存在による問題が生ずることになる。このクローン携帯電話機の存在が明らかになれば（通信事業者が認めると）、ユーザ自身が事後においてユーザ自身の行動を否認する"事後否認" により課金や決済を回避することが可能になり、問題の拡大は大きくなつてしまう。

携帯電話機では、通常、ユーザ個人を認証するユーザ認証（User Authentication ) が実行される。この認証以外に通信内容に対する認証技術 (Message Authentication, いわゆる電子署名）がある。

上記 "なりすまし" を目的とした、クローン携帯電話機の作成には、ユーザ認証技術をくぐりぬけなければならず、ユーザ認証に必要な情報を取得しなければならない。

従来のユーザ認証においては、携帯電話機自体の認証情報と、ユーザ個人の情報とに基づいて認証処理が実行される。携帯電話機認証情報としては、通常、携帯電話機製造会社が当該携帯電話機に付与する例えば固定型認証識別子^と、通信事業者が当該携帯電話機に付与する例え可変型認証識別子ひと、当該携帯電話機に付与されている電話番号や I Pアドレスのような多種類の認証情報が設定されている。この認証情報の付与の流れと、通信の流れの説明について図 3を参照しながら説明する。

図 3において、携帯電話機を製造する製造会社 1 0 0では製造した携帯電話機に固定型の認証識別子としての例えば認証識別子/?を付与した携帯電話機を流通システム Bを介して通信事業者 2 0 0に渡し、通信事業者 2 0 0で可変型の認証識別子としての例えば認証識別子 αを付与し、流通システム Αを介して販売店 3

0 0に納品される。販売店 3 0 0においては、電話番号、 I Pアドレスを付与してユーザ 4 0 0に手渡しする。ユーザ 4 0 0は、認証識別子ひ、 ?及び電話番号、

1 Pアドレスの多種類の認証情報が付与された携帯電話機を用いて通話やデータ情報授受を通信回線を介して行なうが、認証情報は通信事業者側の認証サーバ 5 0 0に送出されて認証処理が実行される。

図 3において、不法行為者によって、製造会社 1 0 0内部や流通システム Bの段階で（流通システム Bでの入手の可能性が高い）認証識別子/?が入手され、通信事業者 2 0 0内部や流通システム Aの段階で（流通システム Aでの入手の可能性が高い）認証識別子 αが入手される恐れがあり、一般公開情報である電話番号情報と I Ρァドレス情報の入手が容易であることを考えると、認証に必要な多種類の認証情報を用いたいわゆるクローン携帯電話機を作成できることになる。また、製造会社 1 0 0からの認証識別子/?の入手や通信事業者 2 0 0からの認証識別子ひの入手が困難であっても、ユーザ 4 0 0が通信回線を介して通話ゃデ一夕通信を行なうに際して最初に実行される言忍証処理に必要な上記種類の認証情報の当該通信回線を介しての認証サーバ 5 0 0への送信時、不法行為者によって通信回線を介して盗聴、傍受により上記認証識別情報を入手される恐れがある。そこで、携帯電話機から認証サーバへの通信回線を介して送信される認証情報の盗聴や傍受を回避するため、送信される認証情報を暗号化し、認証サーバ側で暗号化された認証情報を復号した後、認証処理を実行するシステムが提案されている。

かかる暗号ィ匕処理は、暗号処理と解読処理（復号処理）に要する計算量の大きさに応じて安全性が定まることが多く、クローン携帯電話機の作成を不可能とするような絶対的な安全性を得るためには、必要な計算量を大きくしなければならないが、画像通信等の膨大な計算量を必要とする携帯電話機では、既にその処理のために複雑な演算を実行する L S Iとメモリを要し、消費電力の問題も考えると、低価格化、省電力化、小型化が最重要課題である携帯電話機では計算量の大きい高度な暗号化は搭載困難である。

一方、当該携帯電話機には上記認証情報が格納されている記憶媒体 (R O M) が搭載されており、この記憶媒体から上記認証情報（認証識別子）をそっくり盗み取り複写される恐れもある。この複写技術によれば、携帯電話機を製造からュ一ザまでの流通過程において記憶媒体にある認証識別子、暗号アルゴリズムなど全てを盗み取ることが可能となり、この場合は暗号化しても対策とはなり得なくなる。このような記憶媒体 (R O M) の複写に対しては R O Mに記憶されている情報自体に対する不法な読み込みを不可能とするような対策が望まれるところである。しかし、この問題の解決は、本発明の主課題ではないのでこれ以上の言及はしない。

上述したように、認証情報の取得が可能であれば、クローン携帯電話機等の作成が可能となり、第三世代〜第四世代の携帯電話機の電子財布としての機能を使う場合には被害が通信料金だけでなく社会一般の商取り引きにおいても拡大し社会問題になる。また、麻薬取引など最初から大掛かりな犯罪行為を計画しているグループでは、犯行時に警察の盗聴、追跡を逃れるためにクローン携帯電話機は活用される恐れもある。

以上の説明は、携帯電話機についてのものであるが、上述の問題は、同様なシステムを採用している通信端末についても同様である。また、電子商取引のような認証が重要なシステムにおいても同様である。

電子商取引における認証システムの一例としては、特許文献 1に開示されているように、一定時間おきに通信端末からユーザ I Dとパスワードを送信し、取引システムのサーバ側が認証を行って、二重ログインや取引途中からの "なりすまし"等の不法行為を防止するシステムがある。

【特許文献 1】特開平 2 0 0 0 - 2 1 5 2 4 1 (段落番号〔0 0 0 8〕〜〔0 0 1 7〕、図 1 )

本発明は、従来技術の上述した課題に鑑み、なされたものであり、その主要な目的は、通信端末の認証情報の盗聴や詐取を不可能とする認証システムを提供することである。

本発明の他の目的は、クローン携帯電話機の作成を阻止する認証システムを提供することにある。

本発明の更に他の目的は、 "なりすまじ，を防止する認証システムを提供することにある。発明の開示

前述の課題を解決するため、本発明によ認証システムは、次のような特徴的な構成を採用している。

( 1 ) 認証請求側では、 2組の乱数データ R i、 R ₂のそれぞれについて、予め定めた少なくとも一つの非公開の固有値 Nをパラメ一夕として、所定の暗号化ァルゴリズムを実行して 2つの暗号化データ y iと y ₂を求め、求められた 2つの暗号化データと y ₂の排他的論理和を取って排他的論理和値 Yを求め、前記 2組の乱数データ Rい R ₂とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ、 R ₂と予め認証請求側から非公開で登録した認証請求側と同じ値の初期値に基づく固有値 Nをパラメ一夕として前記所定の暗号化アルゴリズムを実行して 2つの暗号化デ一夕と y ₂を求め、求められた 2つの暗号化データ y！と y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Υと前記認証請求側から受信した排他的論理和値 Υとを比較し、両値が一致しているときに認証 0 Κと判断する認証システム。

(2)認証請求側では、初期状態の 2組の乱数データ R₀₁ R_{Q 2}のそれそれについて、予め定めた少なくとも一つの非公開の固有値 N。をパラメ一夕として、所定の暗号化ァルゴリズムを実行して 2つの暗号化データ y。と y。 ₂を求め、求められた 2つの暗号化デ一夕 y 01と y₀₂の排他的論理和を取って排他的論理和値 Y。を求め、前記 2組の乱数データ R₀₁、 R₀₂とともに認証側に送信し、引き続く認証請求側では、前記暗号化データ y。 iと y Q ₂のいずれかを予め定めた方法で選択し割り当てた固有値と、新たな 2組の乱数データ ; い R₁₂のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データ y i iと y i ₂のお也的論理和を取って得られた排他的論理和値を求め、前記 2組の乱数データい R₁₂とともに認証側に送信し、

認証側では、受信した前記 2組の乱数デ一夕 R₀₁、 R₀₂と予め認証請求側から非公開で登録された前記認証請求側と同じ値の固有値 N₀をパラ一夕として前記所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y 0 iと y ₀

₂の排他的論理和を取って得られた排他的論理和値 Y Qを求め、前記認証請求側から受信した排他的論理和値 Y。とを比較し、両値が一致しているときに認証〇 K と判断し、

前記引き続く認証側では、前記暗号化データと y。₂のいずれかを予め定め認証請求側と同一の方法で選択し割当てた固有値 N！と、受信し fe前記新たな 2 組の乱数デ一夕い ₂のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y iと y i ₂の排他的論理和を取って得られた排他的論理和値 Y iを求め、前記認証請求側から受信した排他的論理和値 Y iとを比較し、両値が一致しているときに認証 OKと判断する処理をカスケードに実行する認証システム。

(3) 認証請求側には、 2組の乱数デ一夕 R,、 R₂を出力する乱数発生部と、予め定めた少なくとも一つの非公開の固有値 Nをパラメ一夕として、所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y_tと y₂を求める暗号化部と、

求められた前記 2つの暗号化データ y！と y ₂の排他的論理和値 Yを取る排他的論理和部と、

前記排他的論理和値 Yと、前記 2組の乱数データ Ri、 R₂を認証側に送信する送信部とを備え、

認証側には、前記送信部から送信されたデータを受信する受信部と、前記受信部で受信した前記 2組の乱数データ Rい R ₂と予め認証請求側から非公開で登録した認証請求側と同じ値の初期値に基づく固有値 Nをパラメータとして前記所定の暗号化ァルゴリズムを実行して 2つの暗号化デ一夕 y と;^ ₂を求める復号化部と、

前記復号化部から出力される 2つの暗号化データ y iと y ₂の排他的論理和を取つて排他的論理和値 Yを出力する排他的論理和部と、

前記排他的論理和部で得られた排他的論理和値 Yと、前記認証請求側から受信した排他的論理和値 Yとを比較し、両値がー致しているときに認証〇 Kと半 j断する比較部とを備えている認証システム。

(4)上記（2) における引き続く認証請求側では、前記暗号化データと y₁₂のいずれかを予め定めた方法で選択し割り当てた固有値 N₂と新たな 2組の乱数データ R₂い R₂₂のそれぞれについて、前記固有値 N₂をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データ y ₂ iと y ₂2の排他的論理和を取って得られた排他的論理和値 Y ₂を求め、前記 2組の乱数デ一夕 R₂₁、 R₂₂とともに認証側に送信し、

前記引き続く認証側では、前記'暗号化デ一夕 y i iと y i 2のいずれかを予¾定めた認証請求側と同一の方法で選択し割り当てた固有値 N ₂と、受信した前言 3新たな 2組の乱数デ一夕 R₂い R₂₂のそれぞれについて、前記固有値 N₂をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化デー夕 y₂₁と y₂₂の排他的論理和を取って得られた排他的論理和値 Y ₂を求め、前記認証請求側から受信した排他的論理和値 Y ₂とを比較し、両値が一致しているときに認証〇κと判断する処理をカスケードに実行する認証システム。

(5) 初期状態の前記固有値 Ν。は、認iE請求側と認証側のみが既知で非公開情報である上記 (2) または（4) の'認証システム。

(6) 前記固有値 N。は、認証請求者毎 (こ定められた ID (認証識別子）である上記 (1) 乃至（5) のいずれかの認証システム。

(7) 前記認証請求側と前記認証側間のデータ伝送は、通信回線を介して行われる上記（1) 乃至（6) のいずれかの認露正システム。

(8)前記固有値 N₀は、携帯電話機個で定められた固有値である上記（1) 乃至（7) のいずれかの認証システム。

(9) 前記認証対象は、通信端末である _h記（1) 乃至（7) のいずれかの認 g正システム。

(10) 前記認証対象は、通信を行う通信者である上記（1) 乃至（7) のいずれかの認証システム。

(11) 前記所定の暗号化アルゴリズムは、一方向性関数の演算処理である上記 ( 1) 乃至 (10) のいずれかの認証システム。

(12)前記一方向性関数の演算処理は、 2種類の乱数を R iと R ₂、固有値を N、暗号化デ一夕をと y₂としたとき、

Yi= (Ri + N) mod N 1^〉！^

y₂= (R₂ + N) mod N R₂> Ή

を実行し、暗号化データと y₂を求め、求められた 2つの暗号化デ一夕 _{y i}と y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Yの桁数を予め定めた方法で減らして Y，を求め、乱数と R₂を既知の数値として Nから Y' を求めることを順方向計算とし、 Y' から Nを求めることを逆方向計算とそれぞれ定義し、順方向計算は容易に計算できるが、前記排他的論理和値 Yの桁数を予め定めた方法で減らして得られた Y，から Νを求める逆方向計算は計算式が存在しないことにより計算不可能となり、固有値 Νの盗聴、詐取を防止する上記（1 1) の認証システム。 ( 1 3 ) 認証請求側では、 2組の乱数データ Rい R ₂のそれぞれについて、予め定めた少なくとも一つの非公開で 1 6進法の 2桁以上で 2進法の最上位桁に 1 を割り当てた固有値 Nをパラメ一夕として、所定の暗号化アルゴリズムを実行して 2つの暗号化デ一夕 y iと y ₂を求め、求められた 2つの暗号化データ y iと y ₂ の排他的論理和を取って排他的論理和値 Yを求め、求められた前記排他的論理和値 Yの桁数を予め定めた方法で減らした認証暗号データ Y ' と、前記 2組の乱数データ 1^、 R ₂とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ 1 ぃ R ₂と予め認証請求側から非公開で登録した認証請求側と同じ値の初期値に基づく固有値 Nをパラメ一夕として前記所定の暗号化アルゴリズムを実行して 2つの暗号化データ y iと y ₂を求め、求められた 2つの暗号化データ y！と y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Yの桁数を予め定めた認証請求側と同一の方法で減らした認証識別デ一夕 Y ' と、前記認証請求側から受信した認証暗号データ Y ' とを比較し、両値がー致しているときに認証 O Kと判断する認証システム。

( 1 4 ) 認証請求側では、初期状態の 2組の乱数データ R。い 1^ ₂のそれぞれについて、予め定めた少なくとも一つの非公開で 1 6進法の 2桁以上で 2進法の最上位桁に 1を割り当てた固有値 N。をパラメ一夕として、所定の暗号化ァルゴリズムを実行して 2つの暗号化データ y 0 iと y 0 ₂を求め、求められた 2つの暗号化データ y_{0 1}と y _{0 2}の排他的論理和を取って排他的論理和値 Y。を求め、求められた排他的論理和値 Y。の桁数を予め定めた方法で減らした認証暗号データ Υ₀ ' を前記 2組の乱数データ R 0い R 0 ₂とともに認証側に送信し、

引き続く認証請求側では、前記 2つの暗号化デ一夕 y 0 iと y o 2のいずれかを予め定めた方法で選択して 2進値に変換し、最上位桁が常に 1となるようにして割 'り当てた値を固有値として、新たな 2組の乱数データ R _{1 1} R _{1 2}のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化デ一夕 y t と y i ₂の排他的論理和を取って得られた排他的論理和値 Y！を求め、求められた排他的論理和値 Y Jの桁数を予め定めた方法で減らした認証暗号デ一夕 Y i ' を前記 2組の乱数データい R _{1 2}とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ R _{0 1}、 R _{0 2}と予め認証請求側から非公開で登録された認証請求側と同じ値の固有値 N 。をパラメ一夕として前記所定の暗号化ァルゴリズムを実行して得られた 2つ ( 暗号化データ y 0 iと y 0 ₂の排他的論理和を取って得られた排他的論理和値 Y ₀を求め、求められた排他的論理和値 Y ₀の桁数を予め定めた認証請求側と同一の方法で減らした認証識別デー夕 Υ。' を前記認証請求側から受信した認証暗号データ Υ ₀，と比較し、両値がー致しているときに認証 Ο Κと判断し、

前記引き続く認証側では、前記 2つの暗号化データ y _{0 1}と y。 ₂のいずれかを予め定めた認証請求側と同一の方法で選択して 2進値こ変換し、最上位桁が常に 1 となるようにして割り当てた値を固有値 N！とし、受信した前記新たな 2組の乱数デ一夕 R u、 R _{1 2}のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られこ 2つの暗号化データ _{y i} iと y i ₂の排他的論理和を取って得られた排他的論理和ィ直 Y！を求め、求められた排他的論理和値 Y iの桁数を予め定めた認証請求側と同一の方法で減らした認証識別データ Y i 'と、前記認証請求側から受信した認証暗号データ Y 'とを比較し、両値が一致しているときに認証 0 Kと判断する処理をカスケードに実行する認証システム。

本発明の認証システムによると次の如き実用上の顕著な効果を有する。即ち、一般的な認証暗号信号は、計算量的安全性に依拠した高度暗号技術で暗号化して送付されるが、本発明では認証暗号信号を乱数に置換えて通信し、この乱数から抽出される相手確認認証アルゴリズムを最初の通信開始から毎回カスケ一ドに関連づけてワンタイムの使い捨てとする。その結果、通信回線を傍受して相手確認認証アルゴリズム解読を試みても送信される乱数と認証暗号信号の関係は全くアルゴリズムが存在しない乱数と乱数の関係となるので通信回線傍受による解読は完全に不可能であるから、認証暗号信号自体は暗号化しないで通信回線に送信することができるようになると共に、不法行為者が携帯電話機の認証識別子及び相手確認認証アルゴリズムを製造業者又は流通過程などで、携帯電話機の記憶媒体（R O M) から不法に複写して盗み出し、いわゆるクローン携帯電話機を製作して "なりすまし" を試みても、前記相手確認認証アルゴリズムがカスケ一ドに関連づけてある為、不法行為者は前記乱数と認証暗号データユーザが通信開始時から継続的に全て盗聴し、デ一夕ベースに蓄積して解析しければならず "なりすまし"は極めて困難であり、万一、不法行為者がクローン携帯電話機を使用して "なりすまし" に成功しても、ユーザの携帯電話機は不法行為者が "なりすまし" を実行した時点で無効化されるため、ユーザは "なりすまし" が行われたことに気づくことになり、不法行為者が "なりすまし" を継親して実行することは困難となる。

ユーザ認証においては、通常、ワンタイムの使い捨て相手確認認証信号は、過去の全ての通信履歴を継続的に記録管理して同じワンタイム目手確認認証信号が繰り返すことを避ける方法がとられているが、本発明では、去の全ての通信履歴を継続的に記録管理することなく、直前に使用した固有値; I を記録し、ワン夕ィムの使い捨て相手確認認証信号を確立することができる。その結果、通信事業者の認証サーバ内のメモリを節約し、プロクラムを簡素化することができる。図面の簡単な説明

第 1図は、本発明による認証システムの一実施例における ϋ証請求（送信）側のシステム構成図である。 .

第 2図は、本発明による認証システムの一実施例における証（受信）側のシステム構成図である。

第 3図は、従来の携帯電話機の認証処理の手順を示すシステム構成図である。発明を実施するための最良な形態

以下、本発明による認証システムの実施例について説明する。

一般のユーザ認証技術は、通信回線で傍受解読を避けるたに認証暗号データを計算量的安全性に依拠した高度暗号技術で暗号化して送付されるが、本発明では認証暗号データを乱数に置き換えて通信し、この乱数から抽出される相手確認認証アルゴリズムを最初の通信開始から毎回カスケードに関連づけてワンタイムの使い捨てとする。その結果、通信回線を傍受して相手確認認証アルゴリズム解読を試みても送信される乱数 Rい R ₂と認証暗号データ Y，の関係は全くアルゴリズムが存在しない乱数と乱数の関係となるので通信回線傍受による解読は完全に不可能であるから、認証暗号データ自体は暗号化しないで通信回線に送信することができるようになると共に過去の通信履歴から乱数デ一夕 Rい R ₂と認証暗号データ Y ' の数値を模倣して "なりすまし"を試みても、乱数 I^、 R ₂と認証暗号デ一ダ Y ' の関係が偶然一致することを除き、合理的に "なりすまし" をすることは不可能となり、乱数 R i、 R ₂と認証暗号デ一夕の関係が偶然に一致する確率は乱数 R !s R ₂と認証暗号データ Y 'の 2進値の総当り数に反比例するので、乱数 R ₂と認証暗号デ一夕 Y' の 2進値の全ての乗算値が少なくとも 1 2 8 桁（1 2 8ビット）以上になるような乱数デ一夕 Rい R ₂と認証暗号デ一夕 Y，を選択することにより、偶然一致による "なりすまし" を殆ど防止することができる。

ユーザ認証においては、通常、ワンタイムの使い捨て相手確認認証信号は、過去の全ての通信履歴を継続的記録管理して同じワンタイム相手確認認証信号が繰り返すことを避ける方法がとられているが、本発明では、認証暗号データを乱数に置き換えて通信し、この乱数から抽出される相手確認認証アルゴリズムを最初の通信開始から毎回カスケードに関連付けてヮンタイムの使い捨てとすることにより、過去の全ての通信履歴を継続的に記録管理することなく、直前に使用した固有値 Νを記録し、ワンタイムの使い捨て相手確認認証信号を確立することができる。その結果、通信事業者の認証サーバ内のメモリを節約し、プログラムを簡素化することができる。

図 1は、本発明による認証システムの一実施例における認証請求側としての送信側のシステム構成図である。

本実施例では、送信側である認証請求側に、乱数発生部 1 1、乱数選択部 1 2、暗号化部 1 3、排他的論理和（Ε Χ— O R ) 部 1 4、送信部 1 5を備える。乱数選択部 12は、乱数発生部 11で発生された乱数から所望の乱数デ一夕を選択して出力するもので、本実施例では、 2つの乱数データと R₂を出力する。

2つの乱数デ一夕と R₂は、乱数発生部 11から発生される乱数から、例えば 256ビットの乱数データを 2組切り出して出力する。乱数発生部 11からなる 2組の乱数デ一夕 R_tと R₂が得られるような構成であれば、乱数選択部 1 2は必ずしも必要ではない。ここで、乱数は真性乱数が好ましいが、疑似乱数で 2¾つても適用可能である。

暗号化部 13は、乱数選択部 12から出力される 2組の乱数データ Ri、 R₂と、予め定めた少なくとも一つの、例えば、 128ビヅトで最上位桁の数値が 2 it法の 1を割り当てた固有値 Nをパラメータとして入力とし、所定の暗号化ァルゴ'リズム、例えば、（1)及び（2)式に示すような一方向性関数を実行して暗号匕された暗号化データ y！と y₂の排他的論理和を取って得られた排他的論理和 ί Υ を求めて、求められた排他的論理和値 Υの桁数を予め定めた方法で減らして霞忍証暗号データ Y' として前記 2組の乱数データ Rい R₂とともに受信側である 11証側に送信する。

y_z= (R₂ + N) mo d N R₂>N (2)

こうして得られた認証暗号データ Y，と 2組の乱数データ 1^、 R₂が送信

5から通信回線に向けて送信される。

図 1に示す送信側の構成と動作を以下より具体的に説明する。

先ず、初期段階の乱数発生部 11で発生された異なる 2組のそれぞれ、例え ί 、 256ビッ卜の乱数データ R₀₁と R₀₂が暗号化部 13に出力される。暗号化き I 3には、認証請求側の、特別な、例えば、 128ビットで最上位桁の数値が 2進法の 1を割り当てた固有値 N₀をパラメ一夕として入力されている。この固有値 N。としては、例えば ID (認証識別子）を用いることができる。

暗号化部 13は、かかる乱数データ R。、 R₀₂及び固有値 N₀を用いて上記（ 1) 及び（2)式のような関数演算を実行する。ここで、固有値 N。<乱数データ H₀ t又は R₀₂とする。 2組の乱数デ一夕 R₀い R₀₂のそれぞれに対して下記（3)及び（4) 式による 2つの暗号化データ y₀₁と y₀₂が得られる。すなわち、

y₀₁= (R₀₁ + N₀) mod N₀ (3)

y₀₂= (R₀₂ + N₀) mod N₀ (4)

こうして得られた 2つの暗号化データ y₀₁と y₀₂は、排他的論理和部 14で、次のような排他的論理和の処理が実行され、排他的論理和値 Y。を求め、求められた排他的論理和値 Y。の桁数を予め定めた方法で減らした認証暗号データ Υ₀' が得られる。 '

Y₀ = y₀₁(EX - 0R)y。₂ (5)

ここで、 y₀₁(EX- 0R)y_O2は、 y ₀ iと y ₀₂の排他的論理和を示す。

この認証暗号デ一夕 Υ₀' と 2組の乱数データ R₀₁、 R₀₂が、通信回線を介して認証側に送信される。この認証暗号データ Υ₀' は、一方向性相手確認認証信号である。

さて、一方、認証側では、認証請求側から送信された乱数デ一ダ R₀い R₀₂ 及び固有値 N₀が渡されている。固有値 N₀は、非公開とし、認証側に手渡しのような、他の媒体を介在させずに渡され、乱数データ R₀₁、 R₀₂のデータは通信回線を介して送信される。

本発明が適用されるシステムにおいては、認証請求側と認証側との間で使用される上記（ 1)及び（2)式の関数が取り決められており、お互いに既知である。そして、固有値 N。と乱数データ R₀い R₀₂も既知であるから、認証側においては、認証請求側における上記（3)、（4) 式による関数演算を実行でき、暗号ィ匕データ y₀₁と y₀₂が求められる。

したがって、求められた暗号化データ y₀₁と y₀₂を用いて（5)式により排他的論理和値 Y_Qを求め、求められた排他的論理和値 Y。の桁数を予め定めた認証請求側と同一の方法で桁数を減らして認証識別データ Υ₀' が得られる。一方、認証暗号デ一夕 Υ₀' は通信回線を介して認証請求側から送出されているから、認証側では、受信した認証暗号データ Υ₀' と、上記得られた暗号化データ y₀₁と y 02の排他的論理和の結果、得られた排他的論理和値 Y。に予め定めた桁数を認証請求側と同一方法で減らして得られる認証識別データ Y。 ' がー致していれば、認証請求側と認証側間で秘密裏に所持するパラメ一夕が一致していることを示し、認証請求者が本人であると認証することができる。

図 2には、かかる動作を実行する認証側のシステム構成図が示されている。通信回線を介して送信される認証暗号データ Y₀'、乱数データ R₀₁及び R₀₂ を受信部 21で受信し、復号化部 22において、固有値 N₀、乱数データ 1^₀₁及び R₀₂に基づいて上記（3)、（4)式を演算し、暗号化データ y₀₁と y₀₂を得る。得られた暗号化データ y₀₁と y₀₂を用いて、排他的論理和部 23で（5)式に従つて排他的論理和演算が実行され、排他的論理和値 Y。を求めて、求められた排他的論理和値 Y。の桁数を予め定めた認証請求側と同一の方法で減らして認証識別データ Y₀，を得る。得られた認証識別データ Υ₀' は、比較部 24により受信部 21で受信した認証暗号データ Υ₀' と比較される。比較の結果、両値が一致していれば、認証 ΟΚで本人と判断され、不一致であれば、認証不可で本人ではないと判断する。この認証判断結果は、送信部 25から通信回線を介して認証請求側に送信される。

ここで、次回の認証時に用レ、る固有値 Ν として暗号化データ y ₀₁と y ₀₂のいずれかを用いることを予め認証請求側と認証側の約束事とする。例えば、次回認証時に認証請求側で選択する固有値としては暗号化データ y₀₁を用いることとする。初期時の N値としての固有値 Ν₀は、前述のように認証請求者の ID等の、例えば、 128ビットで最上位桁の数値が 2進法の 1を割り当てた固有値とするが、次回以降の N値を初期固有値 N₀の桁数と同一桁数とするため、選択された暗号化デ一夕 y₀₁の 2進法の最上位桁に固定値 1を割り当て、第 2回目の固有値とし、第 2回目以降も同様な処理を行う。この処理は、認証請求側及び認証側双方でそれぞれ実施される。その後の実際の運用時には、認証回数が最初から数えて n回目とすれば直前の認証処理で用いられた暗号化データ y (_η—_υ , を用いることとする。

次の第 2回目の認証のタイミングでは、認証請求側では、固有値として暗号化データ y₀₁を与え、同様に乱数発生部 11から異なる 2組の乱数データ 1^ い R₁₂を取り出し、上記（3)式と（4)式と同様に、暗号化データ _{yi l}と; 5^ 2を下記（6)、 (7) 式により求める。

Yn= (Rn+N mod Nj (6)

こうして得られた 2つの暗号ィヒデ一夕と y₁₂は排他的論理和部 14で、次のような（8) 式に従う排他的論理和演算が実行され、排他的論理和値を求め、求められた排他的論理和値の桁数を予め定めた方法で減らし最終的に送出する認証暗号データ Yi' が得られる。

Y₁ = y₁₁(EX-0R)y₁₂ (8)

したがって、認証請求側の送信部 15からは、（3) 式で求めた y₀₁をデータの最上位桁の数値が 2進法の 1を割り当てた固有値 N ,とした N 値、 2組の舌し数デ一夕い R₁₂及び上記（8) 式で排他的論理和値を求め、求めた排他的論理和値の桁数を予め定めた方法で減らした認証暗号データ Y として通信回線を介して認証側に送信されることになる。

認証側では、受信部 21で受信した乱数データ R iい R i ₂と、前記認証請求則で選択された暗号化データ y₀₁と同一の暗号ィ匕デ一夕を認証側で前記（3)式により求められた y₀₁を選択し、選択された暗号化デ一夕 yenを 2進値に変換し、最上位桁が常に 1となるように割り当てた固有値を用いて、復号化部 22 において、上記（6) 式と（7) 式に基づいて暗号化デ一夕と y₁₂を求める。得られた暗号化データと y₁₂は、排他的論理和部 23で（8)式による排ィ也的論理和処理が実行され、排他的論理和値が求まり、求められた排他的論和値 Y iの桁数を予め定めた認証請求側と同一の方法で減らして認証識別デ一が求まる。

比較部 24は、こうして排他的論理和部 23で得られた認証識別データ Υ！ ³ と、受信部 21で認証請求側から送出され、認証側で受信した認証暗号デ一タ ~Υ とを比較する。比較の結果、両値が一致していれば、認証 ΟΚで本人と判斷され、不一致であれば、認証不可で本人ではないと判断する。この認証判断結;^ は、送信部 25から通信回線を介して認証請求側に送出される。同様な認証処理は引き続く認証処理においても実行される。

例えば、第 3回目の認証のタイミングでは、認証請求側では、同様に、当該認証時に用いる固有値 N ₂として前回の認証時に得た暗号化データ y_{t l}を用いる。そして、乱数発生部 1 1力ら 2組の乱数データ R ₂ i、 R ₂₂を取り出し、上記（ 3 ) 式と（4) 式と同様に、暗号化データ y₂₁と y₂₂を（9) 式と（1 0) 式により求める。

y₂₁= (R₂₁ + N₂) mod N₂ R₂₁>N₂ (9)

y₂₂= (R₂₂ + N₂) mod N₂ R₂₂>N₂ ( 10)

こうして得られた 2つの暗号化データ y ₂ iと y ₂₂はお他的論理和部 1 4で、次 © ( 1 1) 式に従う排他的論理和演算が実行され、排他的論理和値 Y₂が求められ、求められた珠他的論理和値 Υ₂の桁数を予め定めた方法で減らし最終的に送信する認証暗号データ Υ₂，が得られる。

Y₂=y₂₁(EX-0R)y₂₂ (1 1 )

したがって、認証請求側の送信部 1 5からは、 2組の乱数デ一夕 R₂₁、 ₂₂ 及び上記（1 1 ) 式で求めた排他的論理和値 Y₂を予め定めた方法で桁数を減らして求められた認証暗号データ Υ₂' が通信回線を介して認証側に送信されることになる。

認証側の受信側では、受信部 2 1により受信した乱数データ R₂₁、 R₂₂及び前記認証請求側で選択された暗号化データ y！ iと同一の暗号化データ y ,！を認証側で前記（6) 式により求められたを選択し、選択された暗号化デ一夕 tを 2進値に変換し、最上位桁が常に 1となるように割り当てた固有値 N₂を用いて、復号化部 22において、上記（9) 式と（1 0) 式に基づいて暗号化データ y₂₁と y₂₂を求める。得られた暗号化データ y₂₁と y₂₂は、排他的論理和部 2 3で（1 1) 式による排他的論理和処理が実行され、排他的論理和値 Y₂が求まり、求められた排他的論理和値 Υ₂の桁数を予め定められた認証請求側と同一の方法で減らして認証識別デ一夕 Υ₂' が求まる。

比較部 24は、こうして排他的論理和部 23で得られた認証識別データ Υ₂' と、受信部 2 1で認証請求側から送出され、受信した認証暗号デ一夕 Υ₂' とを比較する。比較の結果、両値が一致していれば、認証 O Kで本人と判断され、不

—致であれば、認証不可で本人ではないと判断する。この認証判断結果は、送信部 2 5から通信回線を介して認証請求側に送出される。

以上の処理が認証請求側と認証側間で各認証請求毎に実行される。

上述システムでは、所定の暗号化アルゴリズムは 2つの同一関数に 2組の乱数値 R iと R ₂とを既知として 1種類の 1 6進数の 2桁以上で 2進値の最上位桁が常に 1を割り当てた固有値 Nを代入し、 2つの演算処理値 y丄と y ₂の排他的論理和をとり、この排他的論理和値 Yを 2進値に変換し予め定めた方法で桁数を減らした値 Y ' を求め、 Nから Y' を求める計算を順方向計算とし、順方向計算で求められた値 Y，から前記 2組の乱数 R iと R ₂を代入して前記固有値 Nを求める計算を逆方向計算どそれぞれ定義する。前記排他的論理和を実行した結果、求められる排他的論理輪値 Yの 2進法の桁数を減らすことによる Nから Y' の計算は一方向不可逆性の関係が成立し、順方向では計算可能であるが、逆方向は計算不可能であり、総当り法による計算方法で前記固定値 Nを求めることを試みても複数の値が求められ、断定的に前記固有値 Nであることを確認することは不可能である。

ここで、データ

として y _{0 1}〜y _(η_ iを選択してカスケードに代入して使い捨てる場合、 R _{0 1}〜： _{( n}- D iが乱数であるので、 y_{0 1}〜y (_n一 _u iの信号も乱数となり、 Nの桁数が変動する。つまり、 yの数値の上位桁に偶然 0が発生することにより Nの桁数が減少し、 Nの桁数が減少すれば yの桁数もそれに従つて小さくなり、 Nと yの桁数が二度と元の桁数に戻ることはない。その結果、認証請求側と認証側双方において、排他的論理輪値 Y、認証暗号データ Υ'、認証識別データ Y' の桁数が前記 Νと yの桁数が減少するのに一致して減少して、最終的に前記 Nい yい Y、 Υ，の値がすべてゼロとなり、相手確認認証信号としての機能は消失し、前記、 _{y i}、 Y、 Υ，の値が元の桁数に戻ることはない。前記 Νい y _l Y、 Υ，の桁数を一定に保っために yの 2進値の最上位桁に常に 1となるように割り当てた y _{0 1}〜y _(n__u iの最上位から二番目以下の桁の数値を y 0 〜 y ( _n- i ) iの数値の変化に一致して前記 N i〜 N _rの 2進値の最上位桁の数値に続いて割り当てることにより yの数値の変化に一致して、 Nの数値に yの数値を割り当てる。

上述実施例の説明は、一般的な認証処理についてのものであるが、前述携帯電話機の認証処理に用いることができることは容易に理解できるところである。すなわち、最初に設定する N値として、携帯電話機の保有者の格別な固有情報 I D を用いれば良い。

以上説明したように、本発明では、一方向性相手確認認証（一方向性関数）において独立に発生した 2種類の（2つの）乱数データ R_{0 1}と R ₀₂に基づいて（3 ) 式や（4 ) 式の関数演算で得られた暗号化データ y_{0 1}と y_{0 2}を用いて（5 ) 式に従って排他的論理和処理を実行して得られる排他的論理和値 Y。を予め定めた方法で桁数を減らして得られる認証暗号データ Υ ₀ ' は一方向不可逆性を確保できる。また、最初の登録時には認証請求者の I D等の固有値 Ν。を秘、密に手渡しで認証側に登録し、次回の認証以降は予め取り決めた前回認証処理時に得られた暗号化データ（例えば、 y_{0 1} ) とすることを決めておき、認証請求側から認証側に送出するデータとしては、認証暗号データ Y₀'、 2種類の乱数データ R _{0 1}と R。 ₂だけであり、これらデータ自体はアルゴリズムの関係を有しないから、通信回線からこれらデータを盗聴したとしても "なりすまし"はきわめて困難である。つまり、固有値 Nは、初期固有値 N。（認証請求者の I D等の秘密情報）から継続するカスケ一ド的に関連するデータであり、過去の通信履歴を記録管理することなく、直前の認証処理で用いられた固有値 Nのみ記録管理するだけで、他人による "なりすまし" を防止できる。

以上、本発明による認証システムの好適実施例の構成および動作を詳述した。しかし、斯かる実施例は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではない。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であること、当該業者には容易に理解できょう。

Claims

1 . 認証請求側では、 2組の乱数データ Rい R ₂のそれそれについて、予め定めた少なくとも一つの非公開の固有値 Nをパラメ一夕として、所定の暗号化ァルゴリズムを実行して 2つの暗号化データ y iと y₂を求め、求められた 2つの暗号化デ一夕 y iと y ₂の排他的論理和請を取って排他的論理和値 Yを求め、前記 2組の乱数デ一夕 R i、； ₂とともに認証側に送信し、

認証側では、'受信した前記 2組の乱数のデータ Rい R ₂と予め認証請求側から非公開で登た認証請求側と同じ値の初期値に基づく固有値 Nをパラメ一夕として前記所定の暗号化ァルゴリズムを実行して 2つの暗号化データ

囲 y iと y ₂を求め、求められた 2つの暗号化データ y！と y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Yと前記認証請求側から受信した排他的論理和値 Yとを比較し、両値が一致しているときに認証 0 Kと判断することを特徴とする認証システム。

2 . 認証請求側では、初期状態の 2組の乱数デ一夕 R。い R _{0 2}のそれぞれについて、予め定めた少なくとも一つの非公開の固有値 N。をパラメ一夕として、所定の暗号化ァルゴリズムを実行して 2つの暗号化デ一夕 y 0 iと y 0 ₂を求め、求められた 2つの暗号化デ一夕 y ₀ iと y _{0 2}の排他的論理和を取って排他的論理和値 Y₀ を求め、前記 2組の乱数データ R_{0 1}、 R_{0 2}とともに認証側に送信し、

引き続く認証請求側では、前記暗号化デ一夕 y。 iと y_{0 2}のいずれかを予め定めた方法で選択し割り当てた固有値と、新たな 2組の乱数データい R _{1 2}のそれぞれについて、前記固有値をパラメータとして、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データ y iと y i ₂の排他的論理和を取って得られた排他的論理和値 Y _tを求め、前記 2組の乱数データ: い R _{1 2}とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ R _{0 1}、 R _{0 2}と予め認証請求側から非公開で登録された前記認証請求側と同じ値の固有値 N。をパラメータとして前記所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y Q iと y ₀ ₂の排他的論理和を取って得られた排他的論理和値 Y 0を求め、前記認証請求側から受信した排他的論理和値 Y 0とを比較し、両値が一致しているときに認証 0 K と判断し、 .

前記引き続く認証側では、前記暗号化データ y ₀ iと y 0 ₂のいずれかを予め定め認証請求側と同一の方法で選択し割当てた固有値と、受信した前記新たな 2 組の乱数データ 1^い R _{1 2}のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データ y i と y i ₂の排他的論理和を取って得られた排他的論理和値 Y！を求め、前記認証請求側から受信した排他的論理和値 Y iとを比較し、両値が一致しているときに認証 O Kと判断する処理をカスケードに実行することを特徴とする認証システム。

3 . 認証請求側には、 2組の乱数データ R i、 R ₂を出力する乱数発生部と、予め定めた少なくとも一つの非公開の固有値 Nをパラメ一夕として、所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y iと y ₂を求める暗号化部と、

求められた前記 2つの暗号化データ y iと y ₂の排他的論理和値 Yを取る排他的論理和部と、

前記排他的論理和値 Yと、前記 2組の乱数デ一夕 R R ₂を認証側に送信する送信部とを備え、

認証側には、前記送信部から送信されたデ一夕を受信する受信部と、

前記受信部で受信した前記 2組の乱数データ Rい R ₂と予め認証請求側から非公開で登録した認証請求側と同じ値の初期値に基づく固有値 Nをパラメ一夕として前記所定の暗号化アルゴリズムを実行して 2つの暗号化データと y ₂を求める復号化部と、

前記復号化部から出力される 2つの暗号化データ y Jと y ₂の排他的論理和を取つて排他的論理和値 Yを出力する排他的論理和部と、

前記排他的論理和部で得られた排他的論理和値 Yと、前記認証請求側から受信した排他的論理和値 Yとを比較し、両値が一致しているときに認証 0 Κと判断する比較部とを備えていることを特徴とする認証システム。

4. 請求項 2における引き続く認証請求側では、前記暗号化データと y₁₂ のいずれかを予め定めた方法で選択し割り当てた固有値 N₂と新たな 2組の乱数データ R₂₁、 R₂₂のそれぞれについて、前記固有値 N₂をパラメ一夕として、前記所定の暗号化ァルゴリズムを実行して得られた 2つの暗号化データ y ₂ iと y ₂ ₂の排他的論理和を取って得られた排他的論理和値 Y ₂を求め、前記 2組の乱数デ一夕 R₂₁、 R₂₂とともに認証側に送信し、

前記引き続く認証側では、前記暗号化データ y i iと y ₂のいずれかを予め定めた認証請求側と同一の方法で選択し割り当てた固有値 N₂と、受信した前記新たな 2組の乱数データ R₂₁、 R₂₂のそれぞれについて、前記固有値 N₂をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化デー夕 y₂₁と y₂₂の排他的論理和を取つて得られた排他的論理和値 Y ₂を求め、前記認証請求側から受信した排他的論理和値 Y₂とを比較し、両値がー致しているときに認証 0 Κと判断する処理をカスケ一ドに実行することを特徴とする認証システム。

5. 初期状態の前記固有値 Ν₀は、認証請求側と認証側のみが既知で非公開情報であることを特徴とする請求項 2または 4に記載の認証システム。

6. 前記固有値 N₀は、認証請求者毎に定められた I D (認証識別子）であることを特徴とする請求項 1乃至 5のいずれかに記載の認証システム。

7. 前記認証請求側と前記認証側間のデ一夕伝送は、通信回線を介して行われることを特徴とする請求項 1乃至 6のいずれかに記載の認証システム。

8. 前記固有値 N₀は、携帯電話機個々で定められた固有値であることを特徴とする請求項 1乃至 Ίのいずれかに記載の認証システム

9. 前記認証対象は、通信端末であることを特徴とする請求項 1乃至 7のいずれかに記載の認証システム。

10. 前記認証対象は、通信を行う通信者であることを特徴とする請求項 1乃至 7のいずれかに記載の認証システム。

11. 前記所定の暗号化アルゴリズムば、一方向性関数の演算処理であることを特徴とする請求項 1乃至 10のいずれかに記載の認証システム。

12，前記一方向性関数の演算処理は、 2種類の乱数をと R₂、固有値を N、暗号化データをと y₂としたとき、

y₂= (R₂ + N) mod N R₂〉N

を実行し、暗号化データと y₂を求め、求められた 2つの暗号化データ _yiと y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Yの桁数を予め定めた方法で減らして Y' を求め、乱数と R₂を既知の数値として Nから Y' を求めることを順方向計算とし、 Y，から Νを求めることを逆方向計算とそれぞれ定義し、順方向計算は容易に計算できるが、前記排他的論理和値 Υの桁数を予め定めた方法で減らして得られた Y' から Νを求める逆方向計算は計算式が存在しないことにより計算不可能となり、固有値 Νの盗聴、詐取を防止することを特徴とする請求項 11に記載の認証システム。

13.認証請求側では、 2組の乱数デ一夕 Ri、 R₂のそれぞれについて、予め定めた少なくとも一つの非公開で 16進法の 2桁以上で 2進法の最上位桁に 1を割り当てた固有値 Nをパラメ一夕として、所定の暗号化アルゴリズムを実行して 2 つの暗号化データ y tと y ₂を求め、求められた 2つの暗号化データ y iと y ₂の排他的論理和を取って排他的論理和値 Yを求め、求められた前記排他的論理和値 Υ の桁数を予め定めた方法で減らした認証暗号データ Y' と、前記 2組の乱数デー夕 Rい R₂とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ R₂と予め認証請求側から非公開で登録した認証請求側と同じ値の初期値に基づく固有値 Nをパラメ一夕として前記所定の暗号化アルゴリズムを実行して 2つの暗号化データ _yiと y₂を求め、求められた 2つの暗号化データ y _xと y 2の排他的論理和を取って排他的論理和値 Yを求め、求められた排他的論理和値 Yの桁数を予め定めた認証請求側と同 —の方法で減らした認証識別データ Y' と、前記認証請求側から受信した認証暗号データ Y，とを比較し、両値が一致しているときに認証 ΟΚと判断することを特徴とする認証システム。

14. 認証請求側では、初期状態の 2組の乱数データ R。₁ R。₂のそれぞれについて、予め定めた少なくとも一つの非公開で 16進法の 2桁以上で 2進法の最上位桁に 1を割り当てた固有値 N。をパラメータとして、所定の暗号化ァルゴリズムを実行して 2つの暗号化データ y₀₁と y₀₂を求め、求められた 2つの暗号化デ一夕 y₀₁と y₀₂の排他的論理和を取つて排他的論理和値 Y。を求め、求められた排他的論理和値 Y₀の桁数を予め定めた方法で減らした認証暗号データ Υ₀ ⁵ を前記 2組の乱数デ一夕 R 0い： R 0₂とともに認証側に送信し、

引き続く認証請求側では、前記つの暗号化データ y 0 と y o ₂のいずれかを予め定めた方法で選択して 2進値に変換し、最上位桁が常に 1となるようにして割り当てた値を固有値として、新たな 2組の乱数データ R_{11 2}のそれぞれについて、前記固有値をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化デ一夕 _{yi l}と y₁₂の排他的論理和を取って得られた排他的論理和値を求め、求められた排他的論理和値の桁数を予め定めた方法で減らした認証暗号データを前記 2組の乱数デ一夕 R_il R₁₂とともに認証側に送信し、

認証側では、受信した前記 2組の乱数データ R₀₁、 R₀₂と予め認証請求側から非公開で登録された認証請求側と同じ値の固有値 N ₀をパラメータとして前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データ y ₀ iと y _{0 2}の排他的論理和を取って得られた排他的論理和値 Y。を求め、求められた排他的論理和値 Y。の桁数を予め定めた認証請求側と同一の方法で減らした認証識別デー夕 Y₀，を前記認証請求側から受信した認証暗号データ Υ。，と比較し、両値がー致しているときに認証 0 Κと判断し、

前記引き続く認証側では、前記 2つの暗号化データ y 0 ,と y 0 ₂のいずれかを予め定めた認証請求側と同一の方法で選択して 2進値に変換し、最上位桁が常に 1 となるようにして割り当てた値を固有値 N，とし、受信した前記新たな 2組の乱数デ一夕 ₂のそれぞれについて、前記固有値 Ν，をパラメ一夕として、前記所定の暗号化アルゴリズムを実行して得られた 2つの暗号化データと y , ₂の排他的論理和を取って得られた排他的論理和値 Υ ,を求め、求められた排他的論理和値 Υ の桁数を予め定めた認証請求側と同一の方法で減らした認証識別データ Y， 'と、前記認証請求側から受信した認証暗号データ Y， 'とを比較し、両値が一致しているときに認証 O Kと判断する処理をカスケ一ドに実行することを特徴とする認証システム。