WO2005124537A1

WO2005124537A1 - 乱数生成装置，生成方法，生成器評価方法、および乱数使用方法

Info

Publication number: WO2005124537A1
Application number: PCT/JP2004/008611
Authority: WO
Inventors: Tomoaki Inaoka; Shunsuke Fueki
Original assignee: Fujitsu Limited
Priority date: 2004-06-18
Filing date: 2004-06-18
Publication date: 2005-12-29
Also published as: JPWO2005124537A1; EP1758020A1; US20070067375A1; EP1758020A4

Abstract

　非接触ＩＣカードに搭載された場合のように、外部の影響を受けやすい環境においても乱数性が確保された乱数の生成を目的とする。乱数を生成する乱数生成手段と、乱数生成手段に乱数生成用のパラメータを与える乱数生成制御手段と、生成された乱数の乱数性を判定する乱数性判定手段とを備え、生成された乱数の乱数性があらかじめ定められた条件を満足しないとき、乱数生成制御手段が乱数生成用パラメータを更新して乱数生成手段に乱数の再生成を行わせる。

Description

明細書

乱数生成装置、生成方法、生成器評価方法、および乱数使用方法技術分野

[0001] 本発明は乱数の生成方式に係り、さらに詳しくは、例えば非接触で電源の供給を受ける非接触 ICカードに搭載され、外部からの影響を受けやすい乱数生成装置、および乱数生成方法などに関する。

背景技術

[0002] 本発明が対象とする ICカードにおけるデータ処理装置では乱数を使用する場合が多レ、。 ICカードは住民基本台帳やクレジットカードなどに代表される個人の認証のために使用されることが多ぐ認証機能では主に公開鍵暗号が使用されており、乱数が鍵の生成などに使用される。従来は、例えばソフトウェアを使用した擬似乱数が用いられているが、この場合には乱数の元になるシードの取得方法によっては生成する乱数に偏りが発生したり、一度生成された擬似乱数から次の乱数を生成する場合に値が予測されてしまうというような危険性が指摘されている。そのような問題点を回避するためにシードの取得方法を工夫して値が予測されにくくする方法や、熱雑音などの物理現象を利用した乱数生成器を搭載することなどが検討されている。

[0003] 従来の乱数生成器によって生成された乱数の乱数性評価を行う場合には、乱数生成器単体の状態、すなわち乱数マクロのみに電源と信号を与えることによって生成された乱数の乱数性が評価されてレ、た。し力、しながら乱数生成器の動作は電源電圧などの動作条件や、サンプリング間隔などに影響され、発生する乱数に偏りが発生すること力 sある。特に非接触 ICカードでは、電磁波によってアンテナから供給される電源を使用するために、比較的に不安定な電源条件で動作することになり、また ICカードとカードリーダライタとの位置関係にも影響を受ける可能性がある。

[0004] その結果、単体での評価で発生する乱数の乱数性が確認された乱数生成器を使用しても、電磁波によってアンテナから供給される電源を使用し、電源が不安定な非接触 ICカードに搭載された状態などにおいては、乱数性が確保されているとは必ずしも判断できなレ、場合があるとレ、う問題点があった。 [0005] このような ICカードなどにおける乱数の使用について次のような従来技術がある。特許文献 1：特開平 03— 294987号公報「ICカードシステム」

特許文献 2 :特開 2002 - 268874号公報「乱数シード生成回路及びこれを備えたドライバ、並びに、 SDメモリカードシステム」

特許文献 3 :特開 2002 - 32732号公報「可搬情報処理装置における擬似乱数取得方法」

[0006] 特許文献 1には、大容量の不揮発性メモリに複数個の乱数を格納する構成の IC カードを用いてセキュリティ機能、およびメモリ機能を活用した新しいサービスを提供できるシステムが開示されている。

[0007] 特許文献 2には、カウンタのカウント値ほし数シード）をラッチするラッチに対する取込み信号を出力するパワーオンリセット回路の取込み信号の出力時点がまちまちとなるため、乱数シードを電源が投入されるたびに異なるものとできる乱数シード生成回路が開示されている。

[0008] 特許文献 3には、あらかじめ発生させた多数の乱数を、例えば不揮発性メモリに記憶させておき、乱数を必要とするときにメモリを参照することによって乱数を取得するまでの待ち時間を大幅に短縮できる乱数取得方法が開示されている。

[0009] し力ながらこのような従来技術においても、乱数生成器が非接触 ICカードに搭載された場合などにおいて、外部からの影響によって生成された乱数の乱数性が充分に確保される可能性がないという問題点を解決することはできない。

[0010] 本発明の第 1の目的は、非接触 ICカードに搭載された場合などのように、外部の影響を受けやすい環境においても乱数性が確保された乱数を生成する乱数生成装置、および生成方法を提供することである。

[0011] 第 2の目的は、 ICカードに搭載される場合などのように、比較的短いビット長の乱数を生成する乱数生成器の評価方法、およびそのような乱数生成器によって生成された乱数の効果的な使用方法を提供することである。

発明の開示

[0012] 本発明の乱数生成装置は、乱数を生成する乱数生成手段と、乱数生成手段に乱数を生成するためのパラメータを与える乱数生成制御手段と、生成された乱数の乱数性を判定する乱数性判定手段とを備えるものであり、生成された乱数の乱数性があらかじめ定められた条件を満足しないとき、乱数生成制御手段が前述のパラメータを更新して乱数生成手段に乱数の再生成を行わせるように動作する。

[0013] 本発明の乱数生成方法では、乱数生成のためのパラメータをメモリから読出し、そのパラメータを用いて乱数を生成し、生成された乱数の乱数性があらかじめ定められた条件を満足するか否力、を判定し、条件を満足しないとき乱数生成のためのパラメ一タを更新し、更新されたパラメータを用いて乱数を生成し、生成された乱数の乱数性判定以降を繰り返す方法が用いられる。

[0014] これによつて乱数性の確保された乱数の生成が可能となり、そのような乱数を用いたデータ処理が可能となる。

次に本発明の乱数生成器評価方法は、 20000ビットより小さいビット数の乱数を生成する乱数生成器を評価する方法であり、乱数生成器による乱数生成と、生成された乱数のメモリへの格納を繰返し、該メモリに格納された乱数の合計ビット数が 2000 0ビットを超えたとき、該 20000ビット以上のサンプノレを対象として乱数性を判定し、該乱数性判定結果に応じて乱数生成器の評価を行う方法が用いられる。これによつて、例えば FIPS140で規定されているような統計的判定方法を用いた乱数生成器の評価が可能となる。

[0015] 次に本発明の乱数使用方法は、バイト長単位で使用される乱数の使用方法であり、生成した乱数をバイト単位でのデータ読み書き可能な不揮発性メモリに格納し、乱数を演算に使用するとき、必要なバイト長単位の未使用の乱数を該不揮発性メモリから読出して使用する方法が用いられる。これによつてハードウェア的に同じ乱数が使用されることが制限され、乱数が予測される危険性を軽減することができる。

図面の簡単な説明

[0016] [図 1]本発明の乱数生成装置の原理構成ブロック図である。

[図 2]本発明における ICカードの基本的な構成ブロック図である。

[図 3]ICカードの第 1の実施例の構成を示すブロック図である。

[図 4]ICカードの第 2の実施例の構成を示すブロック図である。

[図 5]ICカードの第 3の実施例の構成を示すブロック図である。 [図 6]ICカードの第 4の実施例の構成を示すブロック図である。

[図 7]乱数生成制御部による乱数生成器の設定を説明する図である。

[図 8]補正テーブルパラメータの意味を説明する図である。

[図 9]補正テーブルパラメータ格納部の格納内容の例である。

[図 10]補正テーブルパラメータのフォーマットを説明する図である。

[図 11]乱数性判定部による乱数性判定動作の説明図である。

[図 12]乱数生成処理の全体フローチャートである。

[図 13]乱数生成器自体の評価方式を説明する図である。

発明を実施するための最良の形態

[0017] 図 1は、本発明の乱数生成装置の原理的な構成ブロック図である。同図において乱数生成装置 1は少なくとも乱数生成部 2、乱数生成制御部 3、および乱数性判定部 4を備える。

[0018] 乱数生成部 2は乱数を生成するものであり、乱数生成制御部 3は乱数生成部 2に対して乱数を生成するためのパラメータを与えるものであり、乱数性判定部 4は生成された乱数の乱数性を判定するものである。そして乱数生成部 2によって生成された乱数の乱数性があらかじめ定められた条件を満足しないと乱数性判定部 4によって判定されたとき、乱数生成制御部 3は前述のパラメータを更新して乱数生成部 2に乱数の再生成を行わせる。

[0019] 本発明においては、乱数生成装置 1の起動時に乱数生成のために使用されるべき前述のパラメータとしてのデフォルトパラメータを記憶するパラメータ記憶部をさらに備え、乱数生成制御部 3が乱数生成装置 1の起動時にそのデフォルトパラメータを乱数生成部 2に与えることもできる。

[0020] またこのパラメータ記憶部は、前述のパラメータとして前述のデフォルトパラメータを用いて生成された乱数の乱数性があらかじめ定められた条件を満たさないときに、乱数生成制御部 3が前述のパラメータ更新において用いるべき更新用パラメータをさらに記憶することもでき、またパラメータ記憶部は生成された乱数が 0と 1のいずれに偏る可能性があるかを示す乱数性情報に対応させて、前述の更新用パラメータを複数個記憶するとともに、乱数性判定部 4が判定結果として生成された乱数が 0と 1のいずれに偏っているかを示す判定情報を乱数生成制御部 3に与え、乱数生成制御部 3が与えられた判定情報に対応してパラメータ記憶部に記憶されている更新用パラメータを選択することもできる。

[0021] さらに乱数生成部 2によって再生成された乱数の乱数性が前述の条件を満足したときには、乱数生成制御部 3がパラメータ記憶部に格納されているデフォルトパラメ一タを該乱数の再生成に用いられたパラメータに書き換えることもできる。

[0022] また本発明においては乱数生成装置 1は、非接触で外部から電源の供給を受ける I Cカードに搭載されることもできる。

次に本発明の乱数生成方法においては、乱数生成のためのパラメータをメモリから読出し、そのパラメータを用いて乱数を生成し、生成された乱数の乱数性があらかじめ定められた条件を満足しているか否力、を判定し、その条件を満足しないときには乱数生成のためのパラメータとして更新用パラメータを読出し、その更新用パラメータを用いて乱数を生成し、生成された乱数の乱数性判定以降を繰り返す方法が用いられる。

[0023] また本発明において乱数を生成するための計算機によって使用されるプログラムとして、乱数生成のためのパラメータをメモリから読み出す手順と、該パラメータを用いて乱数を生成する手順と、生成された乱数の乱数性があらかじめ定められた条件を満足するか否かを判定する手順と、該条件を満足しないとき、乱数生成のためのパラメータとして更新用パラメータを読み出す手順と、該更新用パラメータを用いて乱数を生成し、該生成された乱数の乱数性の判定以降を繰り返す手順とを計算機に実行させるプログラムが用いられる。

[0024] 次に本発明の乱数生成器評価方法は、 20000ビットより小さいビット数の乱数を生成する乱数生成器の評価方法であり、乱数生成器による乱数の生成と、生成された乱数のメモリへの格納を繰返し、メモリに格納された乱数の合計ビット数が 20000ビットを超えたとき、 20000ビット以上のサンプルを対象として乱数性を判定し、その判定結果に応じて乱数生成器の評価を行うものである。

[0025] さらに本発明の乱数の使用方法は、バイト長単位で使用される乱数の使用方法であり、生成した乱数をバイト単位でのデータ読み書きが可能な不揮発性メモリに格納し、乱数を演算に使用するとき、必要なバイト長単位の未使用の乱数を該不揮発性メモリから読み出して使用する方法が用いられる。

[0026] 図 2は本発明における ICカードの基本的な構成ブロック図である。同図において IC カード 10は、 ICカード 10内での乱数生成を制御する乱数生成制御部 11、乱数を生成する乱数生成器 12、生成された乱数の乱数性を判定する乱数性判定部 13、生成された乱数を用いて必要な演算を行う演算部 14、乱数生成に用レ、られるパラメータなどを格納する不揮発性メモリ 15、および外部機器との間の通信を行い、電力の供給を受けるため通信 ·電源制御部 16を備えている。

[0027] 図 2において乱数生成制御部 11は、デフォルト補正テーブルパラメータ設定部 20 、補正テーブルパラメータ更新部 21、および乱数生成器制御回路 22を備えている。また不揮発性メモリ（強誘電体 RAM) 15は、デフォルト補正テーブルパラメータ格納部 23、補正テーブルパラメータ格納部 24、および乱数データ格納部 25を備えている。

[0028] ここで、本発明の請求の範囲 1における乱数生成手段は乱数生成器制御回路 22、および乱数生成器 12に相当し、乱数生成制御手段はデフォルト補正テーブルパラメータ設定部 20および補正テーブルパラメータ更新部 21に相当し、また請求の範囲 2 などにおけるパラメータ記憶手段は、デフォルト補正テーブルパラメータ格納部 23および補正テーブルパラメータ格納部 24に相当する。

[0029] ICカード 10の起動時には、乱数生成器 12による乱数生成はデフォルト補正テープノレパラメータを乱数生成用のパラメータとして実行される。すなわちデフォルト補正テ一ブルパラメータ格納部 23から読み出されたデフォルトパラメータ力デフォルト補正テーブルパラメータ設定部 20によって乱数生成器制御回路 22に対して設定され、乱数生成器制御回路 22によって乱数生成器 12の動作が制御される。生成された乱数に対しては、乱数性判定部 13によってその乱数性を示すデータ、例えば 0、または 1の乱数内での出現回数が予め定められた条件を満足しているか否かが判定され、満足している時には終了フラグが乱数生成制御部 11と演算部 14とに通知され、生成された乱数は乱数データ格納部 25に格納され、そのまま演算部 14によって演算に使用される。 [0030] 条件を満足していない時には、例えばエラーフラグによってその乱数を使用できなレ、ことが演算部 14と乱数生成制御部 11に通知される。乱数生成制御部 11内の補正テーブルパラメータ更新部 21は、不揮発性メモリ 15内の補正テーブルパラメータ格納部 24に格納されてレ、る補正テーブルパラメータを、デフォルト補正テーブルパラメータの代わりに乱数生成器制御回路 22に設定し、その結果に対応して乱数生成器 12によって再び乱数が生成され、再生成された乱数を対象として乱数性判定部 13 によって乱数性が定められた条件を満足しているか否かが判定され、満足している場合にはその乱数は乱数データ格納部 25に格納されるとともに、演算部 14によってその乱数を使用した演算が実行される。そして乱数の再生成に使用された補正テーブルパラメータの値が不揮発性メモリ 15のデフォルト補正テーブルパラメータ格納部 23に上書きされて、デフォルト補正テーブルパラメータの更新が行われる。

[0031] 再生成された乱数も予め定められた条件を満足しない場合には、前述と同様にパラメータの更新が行われ、乱数の再生成以後の動作が実行される。このように乱数の再生成が行われる場合には、デフォルト補正テーブルパラメータ格納部 23の格納内容は、その乱数性が条件を満足する乱数が生成された時点で上書きされて更新され、ICカード 10の再起動後にはその更新されたデフォルト補正テーブルパラメータが再起動直後の乱数生成に使用されることになる。なお、補正テーブルパラメータを不揮発性メモリに格納することにより、外部からの補正テーブルパラメータの追カロ'更新が容易に可能となる。

[0032] 図 3は ICカードの第 1の実施例の構成ブロック図である。同図を図 2の基本構成図と比較すると通信 ·電源制御部 16の代わりに非接触通信部 27が備えられている点と、乱数生成器 12が熱雑音発生素子 29、増幅器 30、およびサンプリング回路 31によつて構成され、乱数性判定部 13がカウンタ 33、比較判定回路 34、および乱数格納バッファ 35によって構成されている点が異なっている。

[0033] 非接触通信部 27は非接触 ICカードリーダ Zライタとの間で通信を行うと同時に、リーダ Zライタからの電磁波を受信して ICカード用の直流電源を生成し、 ICカード 10 を起動するとともに、各部のリセットを行うためのパワーオンリセット信号の生成を行うものである。非接触で電力の供給を受けるため、電源条件が必ずしも安定ではなぐ生成される乱数の乱数性が問題となる可能性がそれだけ大きいと言える。

[0034] 乱数生成器 12を構成する熱雑音発生素子 29、増幅器 30、およびサンプリング回路 31は、乱数生成制御部 11内の乱数生成器制御回路 22によって制御され、乱数発生を行うものである力その動作についてはさらに後述する。

[0035] また乱数性判定部 13内のカウンタ 33は、生成された乱数の乱数性を判定するために生成された乱数内の 0、または 1の出現回数をカウントするものであり、比較判定回路 34はその出現回数が予め定められた条件を満足しているか否かを判定するものであり、乱数格納バッファ 35は生成された乱数を一時的に格納するものである力これらの動作についてもさらに後述する。

[0036] 図 4は ICカードの第 2の実施例の構成ブロック図である。同図において、第 1の実施例を示す図 3の非接触通信部 27の代わりに、接触通信'電源制御部 37が備えられている点が第 1の実施例と異なっている。この接触通信'電源制御部 37は、接触型 I Cカードリーダ/ライタとの間で通信を行うと同時に、リーダ /ライタ側から接触状態で電源とクロックの供給を受け、外部からのリセット信号を受けることによって ICカードの動作が開始される。したがって電源条件は図 3で説明した非接触通信部 27を用いる第 1の実施例におけるより安定しており、乱数生成に用いられるパラメータ、すなわち補正テーブルパラメータの値も第 1の実施例とは異なったものとなる可能性がある。例えば ICカードリーダ/ライタとの間で接触通信と非接触通信の両方を行うことができるコンビカードの場合などは、接触/非接触の条件に応じて補正テーブルパラメ一タの値を設定することもできる。

[0037] 図 5は ICカードの第 3の実施例の構成ブロック図である。同図において通信'電源制御部 16は、図 2の基本回路と同様であり、図 3の非接触通信部 27、または図 4の接触通信'電源制御部 37のレ、ずれを用いても良レ、。この第 3の実施例にぉレ、ては、第 1、第 2の実施例とは異なり、不揮発性メモリ 15の内部に設けられていた補正テーブルパラメータ格納部 24が、読出専用メモリ（ROM) 37の内部の補正テーブルパラメータ格納部 38として実現されており、不揮発性メモリ 15より集積度の大きい ROM に多くの補正テーブルパラメータを格納し、不揮発性メモリ 15の使用容量を削減することが可能となる。 [0038] 図 6は ICカードの第 4の実施例の構成ブロック図である。同図を、例えば第 1の実施例を示す図 3と比較すると、乱数生成器制御回路 22が乱数生成器の電源を制御するための電源制御用カウンタ 45、乱数生成器による乱数の出力を制御するための出力制御用カウンタ 46、乱数生成器内のサンプリング回路 31によるサンプリング周波数を設定するためのサンプリング周波数設定レジスタ 47、および乱数の再生成を行う時に再生成フラグが格納される再生成フラグ格納部 48を備えており、また乱数生成器 12の内部に電源制御回路 41を備えている点が異なっている。

[0039] 図 7は、例えば図 6の第 4の実施例における、乱数生成制御部 11による乱数生成器 12の制御方式の説明図である。同図における制御動作を図 8から図 10に示される補正テーブルパラメータを用いて説明する。

[0040] 乱数生成制御部 11に対しては、例えば図 6の通信 ·電源制御部 16からパワーオンリセット（PONRST)信号と、クロック（CLK)信号とが与えられ、例えば 16ビットの電源制御用カウンタ 45は、コントロールレジスタ 49に対して入力された補正テーブルパラメータとしての tのカウントを開台する。

0

[0041] 図 8はこの乱数生成のための補正テーブルパラメータの説明図である。同図において ICカードの電源 Vcが投入されてから t時間後、乱数生成器 12の電源 Vrを投入す

0

るものとし、またその電源が投入されてから、時間の経過後に乱数生成器の出力が安定してから乱数生成を行うためのサンプリングを開始し、そのサンプリング終了後に乱数生成器 12の電源 Vrをオフするものとし、乱数生成のためのサンプリングの周波数を fとして乱数を生成するものとする。

[0042] 図 9は、例えば図 2の補正テーブルパラメータ格納部 24に格納されている補正テーブルパラメータの格納形式を示す。図 8に対応して時間 t、 t、およびサンプリング周

0 1

波数 fの組が、一般に複数組格納されている。

[0043] 図 10は図 9における、例えば 1行分の補正テーブルパラメータのデータフォーマットの例である。図 8における時間 tと tとの値を、例えば 10msに設定するものとし、クロ

0 1

ックの周波数を 3. 57MHzとすると、 tと tとに対応するカウント回数〖ま 35， 700回と

0 1

なり、 tと tとの格納領域として 16ビットずつが必要である。またサンプリング周波数と

0 1

しては、例えば 50kHz、 100kHz、 250kHzなどいくつかの周波数を設定しておき、その中から選択して補正テーブルパラメータとして組み合わせることとすれば、例えば周波数 fの格納領域として 4ビットを用意することにより、 16段階のサンプリング周波数の設定が可能となる。図 10における補正テーブルパラメータの格納領域の全体の長さを 64ビットとすれば、リザーブとして 28ビットが残される。

[0044] なお図 8において時間 t、および tが充分大きくなぐまたサンプリング周波数 fが大

0 1

きい場合などは生成される乱数が 0または 1に偏りやすくなる。このような乱数生成器の特性を事前に評価し、図 9に格納されている補正テーブルパラメータの組に対応して乱数生成器の特性、すなわち 0と 1のいずれの発生率が多くなるかの特性ほし数性の判定情報)を事前に調べ、補正テーブルパラメータに対応してその判定結果を格納しておくことが有効である。これによつて生成された乱数の乱数性判定結果に応じて乱数性を改善するための補正テーブルパラメータの選択が可能となる。すなわち、生成された乱数が 0に偏っていた場合には、 1の発生率が多くなる補正テーブルパラメータを選択して乱数の再生成を行うことになる。

[0045] 図 7において補正テーブルパラメータ、すなわち t、 t、および fの値は、コントロー

0 1

ルレジスタ 49を介してそれぞれ電源制御用カウンタ 45、出力制御用カウンタ 46、サンプリング周波数設定レジスタ 47に与えられる。

[0046] 乱数生成器 12側ではパワーオンリセットの後にカウンタ 45のカウント値が tに相当

0 するカウント値に達した時点で乱数生成器 12の電源がオンとされ、熱雑音発生素子 29の出力が増幅器 30によって増幅され、サンプリング回路 31に与えられる。その後カウンタ 46が時間 tに相当する回数だけカウントを行った時点でサンプリング回路 31 が増幅器 30の出力のサンプリングを開始し、サンプリング周波数設定レジスタ 47によつて設定された周波数を用いてサンプリングを行レ、、出力 SOUTを乱数性判定部 13 に出力する。

[0047] 図 11は、乱数性判定部 13の動作を説明するためのブロック図である。乱数性判定部 13は、乱数生成器 12から出力された乱数が格納される乱数格納バッファ 35、舌し数生成器 12の出力のうちの 0または 1のいずれかの生成回数をカウントするカウンタ 33、カウンタ 33の出力と乱数生成制御部 11から与えられる乱数性判定のための比較値が設定されたレジスタ 51の内容とを比較して、乱数性の判定を行うための比較判定回路 34を備える。比較判定回路 34による判定結果は、乱数生成制御部 11に対してフィードバックされ、乱数生成器 12から出力された乱数が使用可能か否かが通知される。

[0048] 図 11で乱数生成器 12によって生成された乱数の乱数性判定方法について説明する。この乱数性判定の規格の 1つとして、米国立標準技術研究所による規格 FIPS (フエデラル'インフォメーション 'プロセシング 'スタンダーズ） 140力 Sある。この規格における乱数性判定のためのテストとしてモノビット（monobit)テスト、ポーカー（poker )テスト、ラン（runs)テスト、ロングラン（long runs)テストなどレ、くつかのテスト方法が規定されている。

[0049] 本実施形態では、そのようなテストの 1つとしてのモノビットテストを基準の考え方として、生成された乱数の乱数性を判定するものとする。このモノビットテストでは、 2000 0ビットのサンプルストリームのうちの 1の数をカウントし、その数 Xが次式を満足するときテストに合格するものとされてレヽる。

[0050] 9654 <X< 10346

し力しながら、本実施形態のように ICカードに搭載された乱数生成器では、生成される乱数の長さはせいぜい 1024ビット程度であり、この 1024ビットをモノビットテストの 20000ビットに対応させて、 1024ビットの中の 1または 0のいずれかの発生数 Xが次式を満足するときにテストに合格したものと判定する。

[0051] 495 <X< 529

そこで図 11におレ、て、乱数生成器 12によって生成された乱数を対象として 1または 0の数をカウンタ 33でカウントした時に、そのカウント値が比較値設定レジスタ 51に設定されている 495から 529の間に入っていることが比較判定回路 34によって判定された場合、生成された乱数が使用可能なものと判定される。

[0052] 図 12は以上で説明した本実施形態における乱数生成処理の全体フローチャートである。同図において処理が開始されると、まずステップ S1で不揮発性メモリ 15内のデフォルト補正テーブルパラメータ格納部 23からパラメータの初期設定値として t、 t

0

、および fの値が読み出され、ステップ S2で tOの設定値を用いて乱数生成器 12に対する電源制御信号が図 7の電源制御用カウンタ 45を介して生成され、ステップ S3 で tlの設定値を用いて出力制御用カウンタ 46を介してサンプリング回路 31に対する出力制御信号が生成され、また fの設定値を用いてサンプリング周波数設定レジスタ 47を介してサンプリング周波数制御信号が生成され、サンプリング回路 31に与えられる。

[0053] その結果としてステップ S4で乱数生成器 12から乱数が出力され、ステップ S5で乱数性判定部 13によって前述のような方法で乱数性が判定され、その判定結果が乱数生成制御部 11に通知される力乱数性判定結果が OKである場合にはステップ S 6で乱数の再生成を行っていなレ、か、すなわち例えばデフォルトのパラメータを使つた乱数生成時に乱数性が不適切と判定され、他のパラメータを用いた乱数再生成を行ってレ、なレ、かが判定され、行ってレ、なレ、場合にはステップ S7でその乱数が不揮発性メモリ 15の乱数データ格納部 25に格納されて、その後 ICカードにおける処理が継続される。

[0054] ステップ S5で乱数性判定結果が NGである場合には、ステップ S8で不揮発性メモリ 15内の補正テーブルパラメータ格納部 24から新しいパラメータ、すなわち設定値 t

0

\ t '、 f 'が選択され、乱数生成制御部 11内の補正テーブルパラメータ更新部 21によって乱数生成器制御回路 22に対してその新しい設定値が与えられ、また再生成フラグ格納部 48に再生成フラグが立てられ、ステップ S 2以降の処理が行われる。

[0055] またステップ S6で乱数の再生成を行っていないかの判定が NG、すなわち乱数の再生成が行われている場合には、ステップ S9で不揮発性メモリ 15のデフォルト補正テーブルパラメータ格納部 23に最新の補正テーブルパラメータ、すなわち現時点で出力された乱数の生成に用いられた補正テーブルパラメータが上書きされて、再生成フラグ格納部 48の再生成フラグが落とされた後、ステップ S7で乱数の格納が行われる。

[0056] 次に本実施形態における乱数使用方法として、例えば図 2の不揮発性メモリ 15の乱数データ格納部 25にあらかじめ多くの乱数を格納しておき、演算に使用した乱数は、例えば消去して、その再使用を防止し、同一の乱数が使用されることをハードウエア的に制御する方法を用いることができる。

[0057] 不揮発性メモリ 15として、バイト単位でのデータ格納と消去が可能な強誘電体メモリを使用し、あらかじめ多数の乱数を生成してそのデータをメモリに格納し、使用された乱数の格納部をアクセス不可とする。すべての乱数データが使用された後に乱数の再生成と格納を行うことにより、 ICカードの処理において乱数が予測される危険性を低減すること力 Sできる。

[0058] 最後に本実施形態における乱数生成器自体の評価について図 13を用いて説明する。この乱数生成器自体の評価では、前述のように ICカードに搭載された乱数生成器が 1024ビット程度の乱数を生成するものであり、これに対して前述のように FIP S140に規定された、例えばモノビットテストでは 20000ビットのサンプルに対する乱数性が判定されるために、図 13の ICカードにおいても 1024ビットの乱数生成を繰返し、合計 20000ビットの乱数が生成された時点でその 20000ビットをサンプルとして乱数性の判定を行レ、、これによつて乱数生成器自体の評価を行うものとする。

[0059] すなわち図 13において、例えば演算部 14から乱数生成制御部 11に対して乱数生成器自体の評価の開始コマンドが発行されることで処理が開始され、乱数生成制御部 11によってデフォルトの補正テーブルパラメータが乱数生成器制御回路 22に設定された後に乱数生成器 12が起動され、生成された乱数は乱数データ格納部 25に格納される。乱数生成器 12は同じパラメータを使用して乱数生成を繰返し、 20000 ビット以上の乱数が乱数データ格納部 25に格納された時点で乱数性判定部 13が起動され、乱数性判定部 13は、例えば FIPS140に規定されているモノビットテストによつて、あるいはポーカーテスト、ランテスト、ロングランテストのいずれかによつて乱数性を判定し、判定結果を演算部 14に通知する。このような乱数生成器自体の評価は、乱数生成器 12の単体マクロと制御/判定回路に対する評価であり、基本的には非接触での電力供給など、乱数生成器が外部から影響を受ける要因を排除して行われ、デフォルト補正テーブルパラメータを用いた乱数生成器 12の動作自体の評価が行われる。

[0060] 以上の説明では、補正テーブルパラメータとして、例えば図 8で説明したようにカード電源の立ち上がりから乱数生成器電源の立ち上がりまでの時間 t、乱数生成器電

0

源の立ち上がりから乱数生成器の動作が安定するまでの安定時間 t、および乱数を

1

取得するためのサンプリング周波数 fの 3つが規定されている力例えば乱数生成器の電源電圧、すなわち電源電圧 Vrの値そのものをパラメータとして乱数生成を行うことちできる。

[0061] また乱数性の判定については、 FIPS 140のモノビットテストに準じて判定を行うものとしたが、ポーカーテスト、ランテスト、またはロングランテストに準じた判定を行うこともできる。

[0062] さらに図 12で説明したように、不揮発性メモリに保存されているデフォルト補正テーブルパラメータは、パラメータが更新されて生成された乱数に対する乱数性判定結果が〇Kの時にはその更新が行われるものとした。これは最新の通信環境に対応するパラメータをデフォルト補正テーブルパラメータとして次の乱数生成器起動時に使用するためであるが、通信条件が頻繁に変化するような使用方法などにおいては、デフオルト補正テーブルパラメータの更新を行わない実施形態も当然考えられる。

産業上の利用可能性

[0063] 本発明は、乱数生成器が搭載された ICカードを用いる全ての産業において利用することが可能であり、また必ずしも ICカードだけでなぐ外部からの影響を受けやすい環境で使用される乱数生成器を利用する全ての産業において利用可能である。

Claims

請求の範囲

[1] 乱数を生成する乱数生成手段と、

該乱数生成手段に乱数を生成するためのパラメータを与える乱数生成制御手段と、該生成された乱数の乱数性を判定する乱数性判定手段とを備え、

生成された乱数の乱数性があらかじめ定められた条件を満足しないとき、前記乱数生成制御手段が前記乱数生成のためのパラメータを更新して乱数生成手段に乱数の再生成を行わせることを特徴とする乱数生成装置。

[2] 請求の範囲 1記載の乱数生成装置において、

該乱数生成装置の起動時に乱数生成のために使用されるべき前記パラメータとしてのデフォルトパラメータを記憶するパラメータ記憶手段をさらに備え、

前記乱数生成制御手段が、該乱数生成器の起動時に該デフォルトパラメータを前記乱数生成手段に与えることを特徴とする乱数生成装置。

[3] 請求の範囲 2記載の乱数生成装置において、

前記パラメータ記憶手段が、前記デフォルトパラメータを用いて生成された乱数の乱数性が前記あらかじめ定められた条件を満足しないとき、前記乱数生成制御手段による前記パラメータ更新に用いられるべき更新用パラメータをさらに記憶することを特徴とする乱数生成装置。

[4] 請求の範囲 3記載の乱数生成装置において、

前記パラメータ記憶手段が、 0と 1のいずれに乱数が偏る可能性があるかを示す乱数性情報に対応させて前記更新用パラメータを複数個記憶するとともに、

前記乱数性判定手段が、生成された乱数が 0と 1のいずれに偏っているかを示す判定情報を前記乱数生成制御手段に与え、該乱数生成制御手段が該与えられた判定情報と前記乱数性情報とに対応してパラメータ記憶手段に記憶されている更新用パラメータを選択することを特徴とする乱数生成装置。

[5] 請求の範囲 2記載の乱数生成装置において、

前記乱数生成手段によって再生成された乱数の乱数性が前記あらかじめ定められた条件を満足したとき、前記乱数生成制御手段が前記パラメータ記憶手段に格納されているデフォルトパラメータを該乱数再生成に用いられたパラメータに書き換えることを特徴とする乱数生成装置。

[6] 請求の範囲 2記載の乱数生成装置において、

前記パラメータ記憶手段が不揮発性メモリによって構成されることを特徴とする乱数生成装置。

[7] 請求の範囲 1記載の乱数生成装置において、

前記乱数の再生成が行われるとき、該再生成を示すフラグを格納する再生成フラグ格納手段をさらに備えることを特徴とする乱数生成装置。

[8] 請求の範囲 1記載の乱数生成装置において、

前記乱数生成のためのパラメータが、前記乱数生成手段に対する電源電圧印加後の経過時間、および乱数生成のためのサンプリングの周波数を含むことを特徴とする乱数生成装置。

[9] 請求の範囲 1記載の乱数生成装置が、非接触で外部から電源の供給を受ける IC力ードに搭載されることを特徴とする乱数生成装置。

[10] 乱数生成のためのパラメータをメモリから読出し、

該パラメータを用いて乱数を生成し、

該生成された乱数の乱数性があらかじめ定められた条件を満足するか否力を判定し、

該条件を満足しないとき、乱数生成のためのパラメータとして更新用パラメータを読出し、

該更新用パラメータを用いて乱数を再生成し、該再生成された乱数の乱数性判定以降を繰り返すことを特徴とする乱数生成方法。

[11] 乱数を生成する計算機によって使用されるプログラムであって、

乱数生成のためのパラメータをメモリから読出す手順と、

該パラメータを用いて乱数を生成する手順と、

該生成された乱数の乱数性があらかじめ定められた条件を満足するか否力、を判定する手順と、

該条件を満足しないとき、乱数生成のためのパラメータとして更新用パラメータを読出す手順と、該更新用パラメータを用いて乱数を再生成し、該再生成された乱数の乱数性判定以降を繰り返す手順とを計算機に実行させるプログラム。

[12] 20000ビットより小さいビット数の乱数を生成する乱数生成器の評価方法であって該乱数生成器による乱数の生成と、該生成された乱数のメモリへの格納とを繰返し該メモリに格納された乱数の合計ビット数が 20000ビットを超えたとき、該 20000ビット以上のサンプルを対象として乱数性の判定を行い、

該乱数性の判定結果に応じて前記乱数生成器の評価を行うことを特徴とする乱数生成器評価方法。

[13] バイト長単位で使用される乱数の使用方法であって、

生成した乱数をバイト単位でのデータ読み書き可能な不揮発性メモリに格納し、乱数を演算に使用するとき、必要なバイト長単位の未使用の乱数を該不揮発性メモリから読み出して使用することを特徴とする乱数使用方法。

[14] 請求の範囲 13記載の乱数使用方法において、

前記不揮発性メモリが強誘電体メモリによって構成されることを特徴とする乱数使用方法。