WO2009110107A1

WO2009110107A1 - 共有情報の不正使用を検出し予防する情報システム

Info

Publication number: WO2009110107A1
Application number: PCT/JP2008/058794
Authority: WO
Inventors: 榮冶渡邊; 勇三篠田; 清武尾; 弘之牧; 義浩関口; 敏之鴛谷; 昌之 ▲高▼橋
Original assignee: メテオーラ・システム株式会社
Priority date: 2008-03-03
Filing date: 2008-05-13
Publication date: 2009-09-11
Also published as: JP2009212725A

Abstract

　自然乱数源（４１）が自然乱数［Ｘ_ｎ］を与え、乱数合成部（４０）が、被認証体（５０）からＩＤ及び予め共有された情報（Ｋ２）を読み取って、被認証体（５０）を認証する（Ｋ２＝Ｋ１（＝Ｘ_ｎ－１））際に、予め共有された情報（Ｘ_ｎ－１）と自然乱数（［Ｘ_ｎ］）とから乱数（Ｘ_ｎ）を合成し、被認証体（５０）が有する予め共有された情報（Ｘ_ｎ－１）を合成した乱数（Ｘ_ｎ）に書き換えることにより、合成した乱数（Ｘ_ｎ）を、被認証体（５０）の次の認証のための情報（Ｋ１、Ｋ２）として、被認証体（５０）と予め共有し、因果列生成部（６１／１０）が、予め共有された情報（Ｘ_ｎ－１）と予め共有する情報（Ｘ_ｎ）とを順序付けし、ＩＤに関係付けて保有することにより、予め共有された情報（Ｘ_ｎ－１）を因とし、予め共有する情報（Ｘ_ｎ）を果とする因果の唯一性を体現した因果列（Ｘ_１，．．．，Ｘ_ｎ）を生成し、不正使用検出部（８０／１０）が因果列（Ｘ_１，．．．，Ｘ_ｎ）の因果の唯一性を、乱数合成部（４０）により読み取られたＩＤ及び予め共有された情報（Ｘ_ｎ－１）の組に照らして監視することにより、ＩＤ及び予め共有された情報（Ｘ_ｎ－１）の組に関し予め共有された情報（Ｋ１，Ｋ２）の不正使用を検出する。

Description

共有情報の不正使用を検出し予防する情報システム

　本発明は、識別番号（以下「ＩＤ」と呼ぶ。）が登録された被認証体と予め情報が共有される情報システムであって、そのＩＤ及び共有された情報を用いて、そのＩＤ及び共有された情報を有する被認証体を認証することにより、認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムに関し、特に、共有された情報の不正な使用を検出し、また共有された情報の不正な使用を予防する情報システムに関する。

　情報システムは、通常、暗号と呼ばれる情報を被認証体と秘密に共有する。

　そこで、暗号の歴史を返り見るに、かつては、暗号の仕組みを内緒にして第三者に読ませないための工夫がなされていた。

　その後、計算機の発展に伴い、暗号の仕組みを公開し、平文を暗号文に変えた情報を鍵として秘密に共有する方式が主流となり、現在に至っている（非特許文献１、２参照）。
ＲＦＣ(request for comments) １７６０：ｓ／ｋキーＲＦＣ(request for comments) １９３８：ＯＴＰ　しかしながら、こうした方式は、多少でも共有情報が漏れると、現実的な計算量で暗号文が平文に化してしまう虞がある。つまり、共有情報の漏れは暗号の命取りとなり、特に、認証のために秘密に共有された情報は、それが漏れると、いわゆる成り済ましに安全な成功を約束する下地と成りかねない。

　しかるに、成り済ましを検出し或いは未然に防ぐ技術はまだ公開されておらず、少なくも市場で実用的な技術に出遭うことは適わない。

　例えば、パスワードの類或いは生体情報は従来の情報システムの認証用サーバが特定の被認証体と共有する認証情報であるが、そうした情報を複数の被認証体が共有している場合、言い換えれば、従来の情報システムにクローンが紛れ込んだときには、システムのログを精査しても、正規の被認証体とクローンとを識別する手だてが無く、従って、共有情報を不正に使用した犯罪者は、或る意味、常に安全であり、一方、正直者が何かと疑われることにもなる。

　つまり、従来の情報システムは、共有情報の不正使用に気付くことができず、その意味で、犯罪者は常に安全であり、正直者が疑われる。

　こうしたことは、従来の情報システムが、共有情報若しくは鍵の漏洩又は流出を防止する謂ば「守りのセキュリテイ」をシステムの構築の規範としていることに起因し、この点、守りの技術は、犯罪者にとって何ら脅威とならず、いつかは破られる。

　なお、従来の情報システムは、過去の一時点で共有した情報を使い回す（非特許文献１、非特許文献２参照）ことから、その間に共有情報が漏れやすいという懸念もある。

　本発明は、以上の点に鑑み為されたもので、その目的は、共有情報の不正使用の検出及び予防が可能な「攻めのセキュリテイ」をシステム構築の規範とし、また共有情報の使い回しを回避可能な情報システムを提供することにある。

　この点、本発明者らは、攻めのセキュリテイの本質が、共有情報の不正使用を見過ごさずに、検出し、犯人の足取りに関する捜査情報を集めることにあると考えた。また、これにより犯罪を企図する者に脅威を与えるだけでなく、共有情報の正規な使用を促すことによっても、共有情報の不正使用を未然に防ぐことが可能であると考えた。

　上記課題を解決すべく、請求項１に記載された発明は、
　ＩＤが登録された被認証体と予め情報が共有される情報システムであって、前記ＩＤ及び予め共有された情報を用いて、前記ＩＤ及び予め共有された情報を有する被認証体を認証することにより、前記認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムにおいて、前記情報工学的要素は、
　自然乱数を与える自然乱数源と、
　前記ＩＤ及び予め共有された情報を有する被認証体から前記ＩＤ及び予め共有された情報を読み取って、前記ＩＤ及び予め共有された情報を有する被認証体を認証する際に、前記予め共有された情報と前記自然乱数源から与えられた自然乱数とから乱数を合成し、前記認証する被認証体が有する予め共有された情報を前記合成した乱数に書き換えることにより、前記合成した乱数を、前記認証する被認証体の次の認証のための情報として、前記認証する被認証体と予め共有する乱数合成部と、
　前記予め共有された情報と前記予め共有する情報とを順序付けし、前記ＩＤに関係付けて保有することにより、前記予め共有された情報を因とし、前記予め共有する情報を果とする因果の唯一性を体現した因果列を生成する因果列生成部と、
　前記因果列生成部で生成された因果列の因果の唯一性を、前記乱数合成部により読み取られたＩＤ及び予め共有された情報の組に照らして監視することにより、前記ＩＤ及び予め共有された情報の組に関し前記予め共有された情報の不正使用を検出する不正使用検出部と
を備えることを特徴とする情報システムである。

　この請求項１記載の発明によれば、ＩＤが登録された被認証体と予め情報が共有される情報システムであって、前記ＩＤ及び予め共有された情報を用いて、前記ＩＤ及び予め共有された情報を有する被認証体を認証することにより、前記認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムにおいて、前記情報工学的要素を成す乱数合成部が、前記ＩＤ及び予め共有された情報を有する被認証体から前記ＩＤ及び予め共有された情報を読み取って、そこで認証を中断する状況に到らず、従って、引き続き、前記ＩＤ及び予め共有された情報を有する被認証体を認証する際、常に、前記予め共有された情報と自然乱数源から与えられた自然乱数とから乱数を合成し、前記認証する被認証体が有する予め共有された情報を前記合成した乱数に書き換えることにより、前記合成した乱数を、前記認証する被認証体の次の認証のための情報として、前記認証する被認証体と予め共有するので、前記ＩＤ及び予め共有された情報を有する被認証体が複数存在したとしても、前記予め共有する情報は前記認証する被認証体のみと共有されることになり、前記ＩＤ及び予め共有された情報を有する他の被認証体とは共有されない。

　従って、前記情報工学的要素を成す因果列生成部が、前記予め共有された情報と前記予め共有する情報とを順序付けし、前記ＩＤに関係付けて保有することにより、前記予め共有された情報を因とし、前記予め共有する情報を果とする因果列を生成すると、この因果列は前記ＩＤとの関係において因果の唯一性を体現することになる。

　この点、前記予め共有する情報は、前記認証する被認証体の次の認証に際し、予め共有された情報となり、それが繰り返されるので、前記情報工学的要素を成す不正使用検出部は、前記因果列生成部で生成された因果列の因果の唯一性を、前記乱数合成部により読み取られたＩＤ及び予め共有された情報の組に照らして監視することにより、前記ＩＤ及び予め共有された情報の組に関し前記予め共有された情報の不正使用を検出することができる。

　即ち、請求項１記載の発明に係る情報システムは、共有情報の不正使用の検出が可能であって、その抑止力により不正使用の予防も可能であり、また認証する被認証体と予め共有された情報が予め共有する情報に書き換えられるので、共有情報の使い回しも回避される。しかも、予め共有する情報を被認証体のオーナーが記憶しておく必要がなく、オーナーは暗号の管理に煩わされずに済む。

　請求項２に記載された発明は、請求項１記載の発明に係る情報システムであって、
　前記自然乱数源は前記自然乱数として次の(I)式で表される自然乱数のブロック[X_n]（ただし、ｎ＝自然乱数のブロックの付与順を因果列別に表す任意な自然数）を与え：
　　　[X_n] ---------(I)、
　前記乱数合成部は、
　　前記予め共有された情報を鍵部として使用可能な暗号化関数が定義された暗号化部と、
　　前記予め共有された情報を鍵部として使用可能な復号化関数が定義された復号化部と
を備え、
　　次の(II)式で定義される乱数合成関数F_i(X_j)：
　　　F_i(X_j)≡D_k2(E_k1(X_j))　（ｉ≠０）--------(II)、
　　　ただし、E_k1()≡暗号化部の暗号化関数、
　　　　　　　 D_k2()≡復号化部の復号化関数、
　　　　　　　 K1≡暗号化関数の鍵部、
　　　　　　　 K2≡復号化関数の鍵部、
　　　　　　　ｉ＝乱数の合成回数を因果列別に表す代数的整数、
　　　　　　　ｊ＝合成の対象となる自然乱数の順番を表す代数的整数
と、
　　次の(III)式で表される初期化関数F_i(X_j)：
　　　F_i(X_j)≡K1=K2=X₁（ｉ＝０）-------(III)、
と
を用いて、
　　次の(IV)式の条件が成立するときに：
　　　K1=X_n-1=K2-----------(IV)、
前記予め共有された情報と前記自然乱数のブロックとから、次の (V)式で表される乱数X_nを合成し前記予め共有する情報として因果列生成部へ与え：
　　　X_n= F_n-1(X_n) （ｎ＞１）----------(V)、
　　次の(VI)式の条件が成立するときには：
　　　K1=X_n-1≠K2（ｎ＞１）----------(VI)、
前記乱数の合成を中断し、前記ＩＤ及び予め共有された情報の組を前記不正使用検出部へ与える
ことを特徴とする情報システムである。

　この請求項２記載の発明によれば、暗号化部及び復号化部を備える情報システムを、例え、それが既設のシステムであっても、(III)式の初期化関数を援用することにより、所望の時期に、所望の期間、共有情報の不正使用が検出可能な状態に置くことができ、しかも(II)式の乱数合成関数の乱数の合成回数ｉと、必要であれば合成の対象となる自然乱数の順番ｊとを代数的に（例えば、負数の領域を含め、或いは行列を含む群として）管理することにより、不正使用の検出が可能な状態を、何度でも再開することができる。

　請求項３に記載された発明は、請求項１記載の発明に係る情報システムであって、
　前記不正使用検出部は、
　　前記因果列と、
　　前記ＩＤ及び予め共有された情報の組と前記ＩＤ及び予め共有された情報を有する被認証体の通信のログとの少なくとも一方と
を参照することにより、
　　1)　漏れた秘密の内容と、
　　2)　秘密の漏れた時間と、
　　3)　秘密が使われた時刻と、
　　4)　不正な被認証体の存在の確証と、
　　5)　不正な被認証体の足取りと
の内の少なくとも１つに関し情報を収集する
ことを特徴とする情報システムである。

　この請求項３記載の発明によれば、情報システムの側での秘密の不正使用の検出も可能になる。

　請求項４に記載された発明は、請求項１記載の発明に係る情報システムであって、前記共有された情報が一致することを前記乱数の合成が為されるための充分条件とすることにより、前記認証する被認証体と当該情報システムとの間の相互認証を可能にしたことを特徴とする情報システムである。

　この請求項４記載の発明によれば、同じIDの被認証体が複数存在するかも知れないとき、正規の被認証体が単に情報システムの認証を受けるだけで、不正な被認証体への認証が為されていなかったことを確認でき（相互認証）、しかも、不正な被認証体が認証を受ける可能性を潰せるので、共有情報の不正使用を予防することも可能になる。

　請求項５に記載された発明は、請求項１記載の発明に係る情報システムであって、前記共有された情報が一致しないことを前記乱数の合成が中断されるための充分条件とすることにより、前記ＩＤ及び予め共有された情報を有する被認証体に関しスキミング検知を行うことを特徴とする情報システムである。

　この請求項５記載の発明によれば、同じIDの被認証体が複数存在して、不正な被認証体が先に認証を受け、その後、正規の被認証体の認証が中断されたとき、正規の被認証体は不正な被認証体の関与を知ることができ、情報システムがスキミング検知機能を備えることになる。

　請求項６に記載された発明は、ＩＤが登録された被認証体と予め情報が共有される情報システムであって、前記ＩＤ及び予め共有された情報を用いて、前記ＩＤ及び予め共有された情報を有する被認証体を認証することにより、前記認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムにおいて、前記情報工学的要素は、自然乱数を与える自然乱数源と、前記ＩＤ及び予め共有された情報を有する被認証体から前記ＩＤ及び予め共有された情報を読み取って、前記ＩＤ及び予め共有された情報を有する被認証体を認証する際に、前記予め共有された情報と前記自然乱数源から与えられた自然乱数とから乱数を合成し、前記認証する被認証体が有する予め共有された情報を前記合成した乱数に書き換えることにより、前記合成した乱数を、前記認証する被認証体の次の認証のための情報として、前記認証する被認証体と予め共有する乱数合成部と、前記予め共有された情報と前記予め共有する情報とを順序付けし、前記ＩＤに関係付けて保有することにより、前記予め共有された情報を因とし、前記予め共有する情報を果とする因果の唯一性を体現した因果列を生成する因果列生成部と、を備えることを特徴とする情報システムである。

　この請求項６記載の発明によれば、以上の説明からも明らかなように、因果の唯一性を体現した因果列が生成され、それが動かぬ証拠となるので、その抑止力だけで、共有情報の不正使用を予防する効果があり、しかもそれと平行して、その唯一の因果列を「ネットが創出するサイバー空間の被認証体とリアル空間との間を信頼に足る確実さで結ぶ、いわば、“一本の赤い糸”」として活用することにより、例えば、サイバー空間でのワンタイムパスワードの付与が容易になる等、多大な用途が期待できる。

図１は、本発明の第１の実施の態様に係る情報システムのブロック図である。図２は、従来の情報システムを対比して示すブロック図である。図３は、図１の情報システムの作用を経時的に説明するタイムチャートである。図４は、図１の情報システムの初期化登録を説明するブロック図である。図５は、本発明の第２の実施の態様に係る情報システムのブロック図である。図６は、後述するＭＴＳＡの実施例に係る認証システムの自然乱数［Ｘ_n］による乱数の暗号と復号の仕組みを示すブロック図。図７は、ＭＴＳＡの実施例に係る認証システムの乱数［Ｙ_n］による乱数の暗号と復号の仕組みを示すブロック図。図８は、ＭＴＳＡの実施例に係る認証システムの自然乱数［Ｚ_n］による乱数の暗号と復号の仕組みを示すブロック図。図９は、ＭＴＳＡの実施例に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

　以下、図面を参照して、本発明の好適な実施の態様を説明する。なお、図面中、同じ要素又は同じ機能は適宜同じ参照番号で示し、説明の重複を避ける。

（第１の実施の態様）
　先ず、図１及び図３を参照して、本発明の第１の実施の態様に係る情報システム１を説明する。図１は情報システム１の構成を示すブロック図、図３は情報システム１の経時的作用を説明するタイムチャートである。

　情報システム１は、多くの支社を有する或る企業でICカードを携帯する社員の認証を行う多目的情報ネットワークシステム（以下、単に「ネット」とも呼ぶ。）として構成され、ユーザ５２である社員と、その社員が自己責任で管理する所持メモリである既存のアイシー（IC）カード５１とを、実質的に一体の被認証体５０と見なす。

　被認証体５０を構成するＩＣカード５１は、そのリードオンリ(Read-Only)なプライベートエリアの部分に、以下「アイディーエム（ＩＤｍ）」と参照されるシステムパラメータ(System Parameter)が製造過程で刻印されており、ユニークであることから、本実施の態様では、このＩＤｍをＩＣカード５１のカードＩＤとして用いる（表３、表４参照）。

　またＩＣカード５１には、リード／ライト(Read/Write又はＲ／Ｗ：読出・書込)タイプのサービスエリアがあり（表１参照）、そのエリアの１つに、同カード５１と本社の業務用電子計算機に実装されたサーバ４２（ソフトウェア）との間で（カード５１の前回の認証時に次回の）認証のために“予め共有された”情報（後述する暗号化側のＫ１＝Ｘ_ｎ－１及び復号化側のＫ２＝Ｘ_ｎ－１：以下、初期化前の一次情報に対する初期化以降の共有情報Ｘという意味で、しばしば「二次情報」と呼ぶ。）の内の一方側（Ｋ２）が格納されている（表３参照）。

　上記予め共有された情報の内の他方側（Ｋ１）は、図３に示すように、上記サーバ４２にデータベースサーバ４６を介して接続されたデータベース（以下、しばしば「ＤＢ」で表す。）６０内に、より詳細にはその中の履歴データベース６１に、カードＩＤ別・共有情報更新順に格納されている（表４参照）。ＤＢ６０は、更に、カードＩＤが同じクライアントとの認証の回数ｎに関係付けられた交信時刻を含む交信データを格納するログデータベース６２と、個別のＩＣカード５１の登録時にそのカードＩＤとユーザ情報とを格納する（表４参照）カードＩＤデータベース６３とを備える。なお、サーバ４２は、後述のログ監視サーバ４５及び通信路２５を介してログ監視クライアント８０に接続され、またデータベースサーバ４６及びログ監視サーバ４５と共に互いに結合されたサーバ群４７を成す。

　上述の構成において、被認証体５０の認証は、例えば一支社に勤務するユーザ５２のデスクに設置されたパーソナルコンピュータ（ＰＣ）１０（以下、「デスクＰＣ」と呼ぶ。）に実装されたクライアント４３（ソフトウェア）と、このクライアント４３にイーサネット（登録商標）(Ethernet（登録商標）)フレーム２１を含む通信路２０を介して接続されたサーバ４２との間で、ユーザ５２がそのＩＣカード５１をデスクＰＣ１０のリーダ（読込部）／ライタ（書込部）となる入出力インターフェース４４のカードスロットに差し込む都度、自動的且つ瞬時に行われる。

　つまり、クライアント４３が、インターフェース４４のリーダを介して、ＩＣカード５１からそのＩＤ及び共有情報Ｋ２を読み取り（Ｒ１），サーバ４２が、データベースサーバ４６を介して、カードＩＤデータベース６３に登録されている対応するＩＤを読み、履歴データベース６１から対応する共有情報Ｋ１を読み取って（Ｒ２），互いの情報Ｋ１、Ｋ２が一致Ｋ１＝Ｋ２（＝Ｘ_ｎ－１）していれば、サーバ４２とクライアント４３とが協同して乱数Ｘ_ｎを合成し、その乱数Ｘ_ｎを、そのＩＣカード５１の次回の認証のため予め共有する情報Ｋ１＝Ｋ２（＝Ｘ_ｎ）として、インターフェース４４のライタを介し同カード５１に書き込み（Ｗ１），同時にデータベースサーバ４６を介し履歴データベース６１に書き込む（Ｗ２）。

　具体的には、サーバ４２の暗号化部が、その時に保有する共有情報Ｋ１（＝Ｘ_ｎ－１）を暗号化関数E_k1()の鍵部Ｋ１として用い、その時に自然乱数源４１から受けた自然乱数のブロック［Ｘ_ｎ］が表す乱数Ｘｎを暗号文に変え、通信路２０を介してクライアント４３に送信しており、一方、クライアント４３の復号化部も、その時に得ていた共有情報Ｋ２を復号化関数D_k2()の鍵部Ｋ２として用いて、サーバ４２から受信した暗号文を乱数Ｘｎに復号化し、シャッフルして確認している。従って、Ｋ１＝Ｋ２（＝Ｘ_ｎ－１）の条件が満たされれば、サーバ４２側とクライアント４３側とで互いに同じ情報Ｋ１＝Ｋ２＝（Ｘ_ｎ）を保有することになり、この情報（Ｘ_ｎ）をＩＣカード５１に書き込（Ｗ１）むことにより、情報システム１は、被認証体５０と同じ情報Ｋ１＝Ｋ２（Ｘ_ｎ）を次の認証のために“予め共有する”ことになる。

　これは、通信路２０で結ばれたサーバ４２とクライアント４３とが協同し、それぞれそれまで共有していた乱数（Ｘ_ｎ－１）と、自然乱数源４１から得た自然乱数（Ｘ_ｎ）とから、それまで共有していた乱数とは異なる乱数（Ｘ_ｎ）を合成する乱数合成部４０として機能し、その合成した乱数（Ｘ_ｎ）を、ＩＣカード５１の次の認証のため予め共有する情報として、ＩＣカード５１とデータベース６０とに書き込んでいる（Ｗ１，Ｗ２）のと等価である。

　なお、本実施の形態における通信路２０は、その一端部２２が、情報システム１のＴＣＰ要素群３３及びＩＰ要素群３４を含むＯＳ３０を介してサーバ４２に接続され、そのサーバ４２がデータベースサーバ４６に結合されており、また通信路２０の別の一端部２３が、デスクＰＣ１０のＴＣＰ要素３１及びＩＰ要素３２を含むＯＳ部を介してクライアント４３に接続され、そのクライアント４３が入出力インターフェース４４を備えていることから、情報システム１は、その乱数合成部４０を構成する通信路２０の一端部（２２，４２）がデータベース６０への書込・読取部（４６）を備え、他端部（２３，４３）が被認証体５０への書込・読取部（４４）を備える構成を有する。なお、サーバ４２とクライアント４３とが同じＰＣ内に実装されている場合、通信路２０はＰＣ内部の接続部又は配線となる。

　即ち、情報システム１は、ＩＤが登録された被認証体５０と予め情報Ｋ１，Ｋ２が共有されていて、上記ＩＤ及び予め共有された情報Ｋ１，Ｋ２を用いて、上記ＩＤ及び予め共有された情報Ｋ２を有する被認証体（５０）を認証することにより、上記認証した被認証体（５０）の関与を管理するための情報工学的要素（図１）が実装された情報システムであって、上記情報工学的要素（図１）は、自然乱数Ｘ_ｎを与える自然乱数源４１と、上記ＩＤ及び予め共有された情報Ｋ２を有する被認証体（５０又はその他［or else］）から上記ＩＤ及び予め共有された情報Ｋ２を読み取って、上記ＩＤ及び予め共有された情報Ｋ２を有する被認証体（５０ or else）を認証する際に、上記予め共有された情報Ｋ１，Ｋ２と自然乱数源４１から与えられた自然乱数Ｘ_ｎとから乱数Ｘ_ｎを合成し、上記認証する被認証体（５０ or else）が有する予め共有された情報Ｋ２を上記合成した乱数Ｘ_ｎに書き換えることにより、上記合成した乱数Ｘ_ｎを、上記認証する被認証体（５０ or else）の次の認証のための情報Ｋ１，Ｋ２として、上記認証する被認証体（５０ or else）と予め共有する乱数合成部４０を備える。

　情報システム１は、更に、上記予め共有された情報Ｋ１＝Ｋ２（＝Ｘ_ｎ-1）と上記予め共有する情報Ｋ１＝Ｋ２（＝Ｘ_ｎ）とを順序付けし、上記ＩＤに関係付けて保有することにより、上記予め共有された情報Ｋ１＝Ｋ２（＝Ｘ_ｎ-1）を因とし、上記予め共有する情報Ｋ１＝Ｋ２（＝Ｘ_ｎ）を果とする因果｛Ｘ_ｎ-1, Ｘ_ｎ｝の唯一性を体現した因果列｛Ｘ_１，…,Ｘ_n-1,Ｘ_n｝を生成する因果列生成部を備える。

　この因果列生成部は、前記暗号化側で因果列を生成する場合に、少なくともデータベースサーバ４６に接続された履歴ＤＢ６１を備えて成り、前記複合化側でも因果列を生成する本実施例の場合には、更に、デスクＰＣ１０のクライアント４３及び内部サーバ（不図示）に接続されたメモリ（不図示）を含んで成る。このため、以下、便宜的に、因果列生成部を（６１／１０）で示す。

　情報システム１は、更に、上記因果列生成部（６１／１０）で生成された因果列の因果の唯一性を、前記乱数合成部４０により読み取られたＩＤ及び予め共有された情報Ｋ２（＝Ｘ_ｎ-1）の組に照らして監視することにより、上記ＩＤ及び予め共有された情報Ｋ１＝Ｋ２（＝Ｘ_ｎ-1）の組に関し上記予め共有された情報Ｋ１＝Ｋ２（＝Ｘ_ｎ-1）の不正使用を検出する不正使用検出部を備える。

　この不正使用検出部は、前記暗号化側で因果列を生成する場合に、ログ監視クライアント８０に接続されたサーバ群４７を少なくとも備えて成り、前記復号化側でも因果列を生成する本実施例の場合には、更に、デスクＰＣ１０のクライアント４３に接続された上記内部サーバを含んで成る。このため、以下、便宜的に、不正使用検出部を（８０／１０）で示す。

　上記構成に置いて、自然乱数源４１は自然乱数Ｘ_ｎとして次の(I)式で表される自然乱数のブロック[X_n]（ただし、ｎ＝自然乱数のブロックの付与順を後述の因果列｛Ｘ_１，…,Ｘ_n-1,Ｘ_n｝別に表す任意な自然数）を与え：
　　　[X_n] ---------(I)、
乱数合成部４０は、予め共有された情報（Ｘ_j－１：ただし、ｊ＝合成の対象となる自然乱数の順番を表す代数的整数）を鍵部（Ｋ１）として使用可能な暗号化関数（E_k1）が定義された暗号化部（例えば、サーバ４２のエンクリプタenryptor）と、予め共有された情報（Ｘ_j－１）を鍵部（Ｋ２）として使用可能な復号化関数（D_k2）が定義された復号化部（例えば、クライアント４３のデクリプタdecryptor）とを少なくとも備え、自然乱数のブロック[X_j]に関し、次の(II)式で定義される乱数合成関数（F_i(X_j)：ただし、ｉ＝乱数の合成回数を因果列｛…,Ｘ_i-1，Ｘ_i，…｝別に表す代数的整数）、
　　　F_i(X_j)≡D_k2(E_k1(X_j))　（ｉ≠０）--------(II)、
と、
　　次の(III)式で表される初期化関数F_i(X_j)：
　　　F_i(X_j)≡K1=K2=X₁（ｉ＝０）-------(III)、
とを用いて、次の(IV)式の条件が成立するときに：
　　　K1=X_n-1=K2-----------(IV)、
前記予め共有された情報（Ｘ_ｎ－１）と乱数X_nを代表する前記自然乱数のブロック[X_n]とから、次の (V)式で表される乱数X_nを合成し、前記予め共有する情報（Ｘ_ｎ）として、前記因果列生成部（６１／１０）へ与え：
　　　X_n= F_n-1(X_n) （ｎ＞１）----------(V)、
　　次の(VI)式の条件が成立するときには：
　　　K1=X_n-1≠K2（ｎ＞１）----------(VI)、
前記乱数X_nの合成を中断し、前記ＩＤ及び予め共有された情報（Ｘ_ｎ－１）の組を前記不正使用検出部（８０／１０）へ与える。

　この点、同等な機能を有するのであれば、乱数合成部４０、因果列生成部（６１／１０）、及び不正使用検出部（８０／１０）の構成上の差異は問わない。

　以上の構成により、ユーザ５１のICカード５１が見掛け上の鍵となり、ＰＣ非使用時にデスクPC１０のログイン認証に鍵を掛け、使用時にログイン認証の錠前を開ける仕組みになっていて、ユーザ５２が離席時にICカード５１を引き抜くと、ＰＣ画面に自動的にスクリーンセーバが働き、ＩＣカード５１以外の手段ではそのスクリーンセーバを解除できず、PC１０が他人の勝手にならない。

　なお、乱数合成部４０はICカード５１で起動され、OS３０のログイン前にも働くしログイン後でも働く。このため通信路２０の端部２３に、ウィンドウズ（登録商標）（Windows（登録商標））XPが提供するギーナ（GINA：Graphical Identification aNd Authentication）７０を接続（２４）し、独自の仕様で作動させており、OS３０とクライアント４３（乱数合成部）の間で独自のGINA７０が機能して、Windows（登録商標）ログイン画面を独自の仕様にしている。

　また、乱数合成部４０は、前述の如くクライアント４３とサーバ４２を含む機能であり、サーバ側に後述する(II)式の暗号化関数部≡E_k1()が配置され、クライアント側に(II)式の復号化関数部≡D_k2()が配置される。

　クライアント４３は、復号化機能D_k2()を有するに留まらず、ICカード５１へのリーダ／ライタを備えたインターフェース４４（R/W装置）のドライバーを起動し、これによりICカード５１からの読み込み（Ｒ１）及びICカード５１への書き込み（Ｗ１）を行う。

　この読み込み（Ｒ１）と書き込み（Ｗ１）にはカード５１自体のIDを使い、本実施例では、既述の如くIC式カードを用いる関係上、フェリカ（FeliCa）フォーマットのIDｍがカードＩＤとなる。このIDｍはEthernet（登録商標）のMACアドレスに相当する16進16桁のSystem Parameterである。FeliCaフォーマットではリードオンリ（Read-only）とリード／ライト（Read/Write）のサービスが用意されているが、本実施の態様ではそのRead/Writeサービスを用いる。

　ＩＣカード５１の使用エリアを表１に示す。

　表１に示すように、前記二次情報Xは32バイト（byte）長である。またサーバ４２とクライアント４３との間の通信の信頼性を確保するため、スリーウェイ・ハンドシェイク（3-way handshake）方式が適用され、その方式のための補助情報として便宜上”Y”情報及び”Z”情報と呼ぶ更に二つの情報を共有するが、これらの情報も同じ32byte長である（表３、表４参照）。これらの情報の詳細は、本特許出願人が平成１８年１１月１４日に出願した特願２００６－３０８１６４号（以下、エムティーエスエイ(MTSA: Meteora Systems Application)と呼ぶ。）に記載されており、その内容は後で説明する。なお、ICカード５１に初期値を登録する際に、ドメイン認証用の情報（ＩＤパスワード：表３参照）も書き込むため、表１に示すゲートビジョン（Gatevision）のR/Wエリアを用いるが、この情報を書き換えるためにR/Wエリアを使う訳ではない。

　なお、上記構成に置いて、自然乱数源４１をサーバ側とクライアント側との双方若しくはいずれか一方に配設し、或いは乱数合成部４０の外部に置いてサーバ側とクライアント側との双方若しくはいずれか一方から必要に応じ運用するようにしても良い。

　また、上記構成により、暗号化部及び復号化部を備える情報システムであれば、例え、それが既設のシステムであっても、(III)式の初期化関数を援用することにより、所望の時期に、所望の期間、共有情報の不正使用が検出可能な状態に置くことができ、しかも(II)式の乱数合成関数の乱数の合成回数ｉと、必要であれば合成の対象となる自然乱数の順番ｊとを代数的に管理することにより、不正使用の検出が可能な状態を、何度でも再開することができる。

　例えば、複数の支社を管理し、支社毎に複数回ＩＤを変更してきた役員のＩＤカードを１つにまとめる場合、支社又は管理項目を行とし、ＩＤを列とする行列により合成回数ｉを表し、その行列の各元に関係する因果列を対応させて、それぞれの因果列における自然乱数の順番ｊを、新たな再開以前の分については逆順の負の整数で表し、再開初期化時を零とし、初期化後を正の整数で表せば、再開以降、その役員は、単に一枚のＩＤカードをもつだけで済み、しかも暗証番号に対応する共有情報（乱数）を暗誦秘匿する煩わしさが無くなる。

　またサイバー空間或いは目の行き届かないリアル空間内のレジデント（例えば、情報の集合若しくは通信文、或いは多数の物品若しくは生物）の観測行為（つまり環境との係わり合い）に適度な認証条件を付し、上記同様な代数的整数の組（ｉ，ｊ）で管理すれば、これまで人海戦術に頼っても把握できなかった因果の闇が、時間的空白なく検証可能となる。

　図1の情報システム１は、IDが同じ被認証体が複数存在する「かも知れない事象」（例えば、成り済ましの介在）を扱い、秘密（共有情報）の不正使用の検出及び予防を実現する。その具体的な例を次の順序で説明する。

　（１）IDが同じ被認証体５０が複数存在する「かも知れない事象」は、時間軸上の確率事象（具体的には、二次情報Ｘの経時変化）として現れる。これを、図２に示す従来の認証システム１００と対比する仕方で最初に説明する。

　（２）次に、履歴DB６１上の二次情報Ｘの時系列と被認証体５０の所持データＸとの経時変化を追いかける仕方で、サーバ群４７による不正使用の検出機能、いわば「捜査情報の収集」に関し説明を行う。

　（３）次に、正規の被認証体５０の所持データＫ２を用いて、前記(IV)式及び(VI)式の検証を行うことが、それぞれ「相互認証」及び「スキミング検知」に対応することを説明する。

　（４）そして、前記時間軸上の確率事象の総和を計算することにより、二次情報Ｘの共有が、情報システム１への因果律の導入に相当することを説明する。

　（５）最後に、本発明における因果の唯一性を考察する。

　以下に、上記（１）～（５）項の説明を行う。

　（１）　　　従来の認証システムとの比較
　＜１．１　ワンタイム・パスワード（OTP）系の情報システム＞
　従来の認証システムの代表としてOTP系の情報システム１００を採り上げ、その構成を、図1に倣って図2に示す。図２は、情報システム１００のブロック図である。

　情報システム１００は、Ethernet（登録商標）フレーム１２１を含む通信路１２０の一端部が、システム１００のＴＣＰ要素群１３３及びＩＰ要素群１３４を含むＯＳを介してＯＴＰサーバ１４２に接続され、また通信路１２０の別の一端部が、対応するＰＣのＴＣＰ要素１３１及びＩＰ要素１３２を含むＯＳ部を介してパスワード入力が必要なログイン画面１４３に接続される。

　ユーザ１５０は、そのユーザのみが知っているパスフレーズ（秘密）をＰＣ１１０に入力して、パスワード計算を行わせ、それにより得たＯＴＰをログイン画面１４３に入力（Ｒ１）する。入力されたＯＴＰはEthernet（登録商標）フレーム１２１で運ばれる。

　一方、ＯＴＰサーバ１４２は、秘密ＤＢからユーザ１５０の秘密を読み出し（Ｒ２）て計算を行い、それにより得たＯＴＰがログイン画面に入力されたＯＴＰと合っていれば、指令Ｃを出して、ゲートを開ける（１９２）。このイベントは確率事象であるが、ユーザ１５０の秘密（ハ゜スフレース゛）を更新する（書き換える）訳ではない。

　＜１．２　図１の情報システム１と図２の情報システム１００との比較＞
　より具体的には、図１の情報システム１には書き込みイベントＷ１が有るが、図２の情報システム１００にはそれが無い。

　したがって、情報システム１００で認証のためにユーザ側とサーバ側で共有される情報（秘密のハ゜スフレース゛）は、認証の前後で不変である。

　図１の情報システム１と図２の情報システム１００との間のこうした基本的な違いを表2に分かり易くまとめて示す。

　表２中、（注２）はrfc1760（s/key）及びrfc1938(otp)を意味し、これによれば、OTPは、リプレイ攻撃に対抗するのが目的であるからIDが不変であり、またパスフレーズを秘密にして、その秘密から得たワンタイム・パスワードを通信路に流すだけであり、乱数の書き込み機能を持たない。

　現在普及している他の認証システムとの比較も、この表２に準じる。

　（２）サーバ側での捜査情報の収集
　ここで、図３を参照し、情報システム１での確率事象を追いかけ、「サーバ４２側での捜査情報の収集過程」を説明する。

　図3には、オンランイン・リアルタイムの機能要素群、つまり、被認証体５０（ユーザ５２の所持メモリとしてのＩＣカード５１）がシステム１に入場した時、直ちに反応する構成要素が示されている。

　　＜２．１　初期化設定及び認証動作の起点（Ｓ４３０；Ｓ４２０）＞
　情報システム１は、乱数合成部４０の暗号化側の鍵部K1に初回の乱数X₁=“86af…”が設定され（ステップＳ４２０）、更に復号化側の鍵部K2に同じ乱数X₁=“86af…”が設定された（ステップＳ４３０）状況を、認証動作の起点とする。

　上記初回の乱数X₁は、認証されるべきICカード５１がシステム１に最初に入場した時、乱数合成部４０により次の(III)式（初期化関数）で設定される。

　　F₀()≡K1=K2=X₁=“86af…”--------(III)
　この初期化の詳細を図４に示す。

　図４は、情報システム１がICカード５１を初期化設定する際の動作を説明するブロック図である。

　前記乱数合成部４０は、図４に示す“被認証体の初期化登録部”４８を備え、ICカード５１の初期化設定は、この初期化登録部４８が、カードＩＤデータベース６３から初回の乱数X₁=“86af…”を読み込む（Ｒ２２）と共に、ＩＣカード５１からカードID（＝ＩＤｍ）を読み込み（Ｒ１１）、このカードＩＤを引数にして上記(III)式を実行することにより、インターフェース４４を介してICカード５１に二次情報Ｘ＝X₁（=“86af…”）を書き込み（Ｗ１１ａ，Ｗ１１）、それと同時に、ＩＣカード５１のカードID（＝ＩＤｍ）をカードＩＤデータベース６３に書き込む（Ｗ２１）仕方で行われる。

　前記ステップ４２０は、この書込み（Ｗ２１）後のカードＩＤデータベース６３から、暗号化側の鍵部K1に初回の乱数X₁=“86af…”が設定された状態に対応し、また前記ステップ４３０は、上記書込み（Ｗ１１ａ，Ｗ１１）後のＩＣカード５１から、復号化側の鍵部K2に初回の乱数X₁=“86af…”が設定された状態に対応する。

　なお、上記(III)式が実行されるには、それ以前に、初期値X₁= “86af…”がカードＩＤデータベース６３に登録されていなければならないが、その実装は、クライアント４３側にワンタイムに提供されるソフトウエアによる被認証体５０の初期化登録時に一括して行われ、ユーザ５２の負担にならい操作で完了する。

　即ち、ユーザ５２が、インターフェース４４のリーダ／ライタを動作させるクライアント画面上の起動ボタンを単にマウスクリックして、
1) ドメイン認証用の情報Ｙ（普通のIDパスワード）をタイプイン（１１）すると、その情報Ｙがインターフェース４４を介してＩＣカード５１に書き込まれ（Ｗ１１ｂ）、
2) それと平行して、乱数合成部４０が、自然乱数源４１を構成する汎用物理乱数生成ASIC（ＦＤＫ製）から初期値Ｘ_１=“86af…”）を取得して、乱数合成過程を経ることなく、その初期値Ｘ_１をカードＩＤデータベース６３に書き込む（Ｗ２１）。以って、上述の如く、
3) ICカード５１に、初期値Ｘ_１= “86af…”が書き込まれ（表３参照）、
4) カードIDデータベース６３に、ICカード５１のIDｍが記録される（表４参照）。

　なお、本実施例では、履歴データベース６１にも初期値Ｘ_１= “86af…”を記録して、因果列にその初期値を含めるようにしている。

　　＜２．２　第一ステップ（Ｓ５１１，Ｓ４３１；Ｓ６１１，Ｓ４２１）＞
　その後、IＣカード５１がシステム１に入場すると、乱数合成部４０は、そのIＣカード５１及び履歴データベース６１から乱数Ｘ_１= “86af…”を読み込み（Ｒ１、Ｒ２）、同時に自然乱数源４１から(Ｉ)式で定義された自然乱数[X₂]を読み込む。

　前記初期化設定の後なのでK1=K2となって、(IV)式が成立し、従って、上記乱数Ｘ_１（=“86af…”）と自然乱数[X₂]とから、次の(Ｖ)式の乱数合成が実行される：
　　X₂= F₁(X₂) ----------(Ｖ)
これにより、自然乱数[X₂]が(Ｖ)式を満たす二次情報Ｘ＝X₂
　　X₂=“d2ab…”
に変換され、この二次情報Ｘ＝X₂が、乱数合成部４０により直ちにIＣカード５１と履歴データベース６１とに書き込まれる（Ｗ１，Ｗ２）。

　なお、(IV)式の成立時に、サーバ４２は、ＩCカード５１の二次情報Ｘ及び認証時刻を含む通信データをログデータベース６２にログしている。

　この点、クライアント４３側でも、同様な履歴データ及びログデータを取り、履歴データの活用及び不正の早期解明に資することは差し支えない。

　　＜２．３　第二ステップ（Ｓ５１２，Ｓ４３２；Ｓ６１２，Ｓ４２２）＞
　次に、IＣカード５１が二次情報Ｘ＝X₂（=“d2ab…”）を持ってシステム１に入場する。

　上記同様、二次情報Ｘ＝X₂（=“d2ab…”）が読み込まれて（Ｒ１，Ｒ２）、鍵部K1とK2とに設定され、(II)式により関数F₂()が作られる：
　　F₂()≡:K1=K2=“d2ab…”--------(II)
　今回もK1=K2であるから、(IV)式が成立し、自然乱数[X₃]が二次情報Ｘ＝X₃
　　X₃=“11f8…”
に変換され、この二次情報Ｘ＝X₃が、乱数合成部４０により直ちにIＣカード５１と履歴データベース６１とに書き込まれる（Ｗ１，Ｗ２）。

　こうした二次情報Ｘ＝X₂（=“d2ab…”），Ｘ＝X₃（=“11f8…”）は、自然乱数源４１が与える自然乱数の確率分布に従っている。

　　＜２．４　第三ステップ（Ｓ５１３，Ｓ４３３；Ｓ６１３，Ｓ４２３）＞
　次は、IＣカード５１が二次情報Ｘ＝X₃（=“11f8…”）を持ってシステム１に入場する。

　上記同様、二次情報Ｘ＝X₃（=“11f8…”）が読み込まれて（Ｒ１，Ｒ２）、鍵部K1とK2とに設定され、(II)式により関数F₃()が作られる：
　　F₃()≡:K1=K2=“11f8…”--------(II)
　今回もK1=K2であるから、(IV)式が成立し、自然乱数[X₄]が二次情報Ｘ＝X₄
　　X₄=“4c42…”
に変換され、この二次情報Ｘ＝X₄が、乱数合成部４０により直ちにIＣカード５１と履歴データベース６１とに書き込まれる（Ｗ１，Ｗ２）。

　　＜２．５　スキミング・イベント＞
　ここで、IＣカード５１のＩＤ及び上記二次情報Ｘ＝X₄（=“4c42…”）がスキミングされ、或いはＩＣカードが偽造されて、同じＩＤのIＣカード５１がAカードとCカードとの2枚存在する状況になったと仮定する。

　　＜２．６　第四ステップ（Ｓ５１４，Ｓ４３４；Ｓ６１４，Ｓ４２４）＞
　その状況下で、先ず、Aカードがその二次情報Ｘ＝X₄（=“4c42…”）を持ってシステム１に入場したとする。

　前記同様、二次情報Ｘ＝X₄（=“4c42…”）が読み込まれて（Ｒ１，Ｒ２）、鍵部K1とK2とに設定され、(II)式により関数F₄()が作られる：
　　F₄()≡:K1=K2=“4c42…”--------(II)
　今回もK1=K2であるから、(IV)式が成立し、自然乱数[X₅]が二次情報Ｘ＝X₅
　　X₅=“966f…”
に変換され、この二次情報Ｘ＝X₅が、乱数合成部４０により直ちにＡカードと履歴データベース６１とに書き込まれる（Ｗ１，Ｗ２）。

　　＜２．７　第五ステップ（Ｓ５１５（Ｋ２省略）；Ｓ６１５，Ｓ４２５）＞
　そして、再び、Aカードが二次情報Ｘ＝X₅ （=“966f…”）を持ってシステム１に入場したとすると、上記同様、二次情報Ｘ＝X₅ （=“966f…”）が読み込まれて（Ｒ１，Ｒ２）、鍵部K1とK2とに設定され、(II)式により関数F₆()が作られる：
　　F₆()≡:K1=K2=“966f…”--------(II)
　この場合も、K1=K2であるから、(IV)式が成立し、自然乱数[X₆]が第二次情報Ｘ＝X₆
　　X₆=“674e…”
に変換され、この二次情報Ｘ＝X₆が、乱数合成部４０により直ちにＡカードと履歴データベース６１とに書き込まれる（Ｗ１，Ｗ２）。

　　＜２．８　第六ステップ（（X₄省略）Ｓ４３５，Ｓ５１６；（X₆省略、Ｋ１省略）Ｓ６１６）＞
　　そこで、Aカードではなく、Cカードがシステム１に入場したとすると、このCカードは前記二次情報Ｘ＝X₄（=“4c42…”）を持っているので、上述の(IV)式ではなく、次の(VI)式が成立し：
　　K1= X₆≠ K2= X₄ ---------(VI)
つまり、K1=“674e…”≠“4c42…”= K2　となって、乱数合成部４０は、自然乱数[X₇]の二次情報Ｘ＝X₇への変換も、Ｃカードへの書き込みも行わない。これは、(VI)式が成立する場合、ＩCカード５１の入場が、二次情報Ｘの時系列の唯一性に衝突する事象となることを意味する。

　＜２．９　第七ステップ（Ｓ６２１）＞
　上記Cカードの二次情報Ｘ＝X₄（=“4c42…”）による(VI)式の成立は、クライアント側の復号化関数部D_k2()のイベントに属し、このため、クライアント４３は、上記(VI)式の成立に際し、サーバ４２へ上記Cカードの二次情報Ｘ＝X₄（=“4c42…”）及び時刻を含む通信データを転送し、サーバ４２は、(IV)式成立時におけるのと同様に、そうした通信データをログデータベース６２にログする。

　＜２．１０　第八ステップ（不正使用の検出）＞
　以上に例示したステップは時間軸上の確率事象であり、それらの履歴データベース６１での時系列（つまり、因果列）を、上記CカードのＩＤ（＝ＩＤｍ）と第二次情報“4c42…”との組でトレースすることが、サーバ側での捜査情報の収集に繋がる。

　そこで、上記Ｃカードの二次情報Ｘ＝X₄（=“4c42…”）及び時刻を含むログを用いて履歴DB６１を探索し、その二次情報Ｘ＝X₄（=“4c42…”）が、前記第四ステップで履歴DB６１に記録された乱数X₄（=“4c42…”）に一致すると、そこから、次の表５に示す判断を行う。

　１）　即ち、履歴DB６１の“第四ステップでの格納値X₄= Cカードの二次情報Ｘの値”の関係から「漏れた秘密（X₄）の内容（4c42…）」を検出し、
　２）　その秘密（X₄）が予め共有された第三ステップの時刻から、認証により次の秘密（X_５）に更新された第四ステップの時刻までに相当する「秘密（X₄）の漏れた時間」を検出し、
　３）　Ｃカードが使用され、その通信データがログされた第六及び第七ステップの時刻に相当する「漏れた秘密（X₄）が使われた時刻」を検出し、
　４）　“履歴DB６１の第四ステップでの値X₄= Cカードの二次情報Ｘ”の関係をCカードが否認できないこと、つまり前記(IV)式と(VI)式とは排他的な関係にあることから「不正な被認証体の存在の確証」を検出し、
　５）　上記第四ステップと第七ステップとの履歴から「不正な被認証体の足取り」を検出している。

　（３）相互認証及びスキミング検知
　従来の認証は、ユーザに対しサーバ側から一方向に行なわれていたが、本実施の形態によれば、ユーザ５２側も、自ら下記の相互認証又はスキミング検知のための認証を試みて、不正使用の検出と予防に参加でき、ユーザ５２に「自分専用のサービスは自分以外の者には使わせない」という確証を供与できる点で、認証の完全性に繋がり、認証の歴史に新たな一頁を添える。

　＜３．１　相互認証＞
　情報システム１は、前記共有された情報Ｋ１，Ｋ２が一致すること(IV式)を乱数の合成（V式）が為されるための充分条件とすることにより、認証する被認証体５０と情報システム１との間の相互認証を可能にしている。

　つまり、同じIDの被認証体が複数（例えば、前記＜２．５＞項のＡカード及びＣカードが）存在するかも知れないとき、正規の被認証体（例えば、Ａカード）が単に情報システム１の認証を受ける（前記第四ステップ）だけで、不正な被認証体（Ｃカード）への認証が為されていなかったことを確認でき（相互認証）、しかも、不正な被認証体（Ｃカード）が認証を受ける可能性を（前記第六ステップのように）潰せるので、対応する共有情報（この場合、Ｘ＝X₄）の不正使用を予防することも可能になる。

　＜３．２　スキミング検知＞
　情報システム１は、前記共有された情報Ｋ１，Ｋ２が一致しないこと(VI)式を前記乱数の合成（V式）が中断されるための充分条件とすることにより、対応するＩＤ（ＩＤｍ）及び予め共有された情報（Ｘ）を有する被認証体に関しスキミング検知を行う。

　つまり、同じIDの被認証体が複数（例えば、前記＜２．５＞項のＡカード及びＣカードが）存在して、不正な被認証体（例えば、Ａカード）が先に情報システム１の認証を受け（前記第四ステップ及び第五ステップ）、その後、正規の被認証体（Ｃカード）の認証が（前記第六ステップのように）中断されたとき、この正規の被認証体（Ｃカード）は不正な被認証体（例えば、Ａカード）の関与を知ることができ、情報システム１がスキミング検知機能を備えることになる。

　（４）時間軸に沿った確率事象の総和
　ここで、時間軸上にある二次情報Ｘの総和を計算し、二次情報Ｘの共有とその時系列が因果律の導入に相当することを示す。

　＜４．１　秘密（情報K1）を漏らさない乱数合成部＞
　情報システム１の乱数合成部４０は、通信路２０を介して接続された暗号化関数部（サーバ４２）及び復号化関数部（クライアント４３）を持ち、図１では、暗号化関数部の側に自然乱数発生源［Ｘ］４１を備えている。

　いま、ｊ＝ｎ、ｉ＝ｊ－１（＝ｎ－１）とおけば、暗号化関数部の暗号化関数部E_k1(X_j)のパラメータは、次の(4-1)式及び(4-2)式で決定される：
　　鍵Ｋ１= X_n-1 ---------- (4-1)
　　平文　= X_n----------- (4-2)
ここに、平文は自然乱数源４１の乱数［Ｘ］である。

　この暗号化関数E_k1(X_n)の出力が通信路２０に流れる暗号文であり、これをI_n-1と表すと、次の(4-3)式が成立する：
　　I_n-1= X_n-1+ X_n------- (4-3)
ここに、加算記号（+）は暗号化手続きを情報論的に表現している。

　然るに、前記(IV)式は、
　　　K1=X_n-1=K2-----------(IV)
また、この(IV)式を十分条件として実行される前記(Ｖ)式は、
　　　X_n= F_n-1(X_n) ----------(Ｖ)
これは、X_nに関する1:1写像を意味し、従って、I_n-1とX_nのエントロピーは次の(4-4)式を満たす：
　　　H(I_n-1)－H(X_n)= H(K)－H(K|I_n-1) ---------(4-4)
　この点、通信路２０上の暗号文I_n-1は、前記(4-3)式の暗号化手続きにより、次の(4-5)式を満たすX_n-1とX_nの同時確率で決定される乱数になる。

　　H(I_n-1|X_n-1, X_n)= 0 ---------(4-5)
従って、前記(4-4)式の左辺が、次の(4-6)式を満たし：
　　H(I_n-1)－H(X_n)= 0 ---------(4-6)
その結果、前記(4-4)式の右辺が、次の(4-7)式を満たす：
　　H(K)－H(K|I_n-1)= 0 ---------(4-7)
　この(4-7)式は、通信路２０上の暗号文I_n-1から鍵 K１の情報が漏れないことを意味する。

　＜４．２　通信路上の暗号文I_n-1の総和ΣI_n-1＞
　通信路２０上の暗号文I_n-1（n = 2,……,n）を時間軸に沿って並べ、その総和ΣI_n-1を取ると、この総和は乱数合成部４０の時間軸上での確立事象に対応し、次の(4-8)式で表される：
　ΣI_n-1= X₁ + X_n ---------(4-8)
　これは、上記総和が、ｎ＝ｎ－１以前の経緯に関わりなく、次に示す一定の値をもつことを意味する：
　　K1= X_n-1 =K2-----------(IV)
　そこで、上記(4-8)式に初期値X₁を入れると、次の(4-9)式からX_nが求まる：
　　ΣI_n-1+ X₁ = X_n ---------(4-9)
　このX_nが二次情報Ｘであり、その時系列{X_n}には時間軸を過去に遡る解が無い。これが因果律を代表するラベルである。

　実際、二次情報Ｘ＝X_nは、自然乱数の確率分布に従いながら、既述の如く、システムの要素間で共有されており、履歴DB６１におけるその時系列{X_n}は唯一のものである。

　（５）因果の唯一性に関する考察
　　＜５．１　秘密の使い回しによる不定解の発散＞
　いま、図３の第三ステップで自然乱数源４１から与えられた自然乱数X₄=“4c42…”をコピーし、続く第四ステップで乱数合成部４０を自然乱数源４１から一旦切り離して、コピーした自然乱数X₄=“4c42…”を意図的に使い回し、その次の第五ステップで自然乱数源４１に再接続したと想定すると：
　　第四ステップでは、Ａカードの二次情報Ｘが
　　　X₄（=“4c42…”）から同じX₄（=“4c42…”）に置き換えられ；
　　第五ステップでは、Ａカードの二次情報Ｘが
　　　X₄（=“4c42…”）からX₆（=“674e…”）に更新され；
　　第六ステップでは、Ｃカードの二次情報Ｘ＝X₄が
　　　X₄（=“4c42…”）≠　X₆（=“674e…”）なので、乱数合成が中断される。

　従って、履歴DB６１の対応するＩＤの領域に、次の因果列が形成され：
　｛…, X₃,　X₄（=“4c42…”），X₄（=“4c42…”），X₆（=“674e…”）｝
これをＣカードの二次情報X₄（=“4c42…”）で検索すると、第三ステップのX₄と第四ステップのX₄とにヒットし、次の疑問が生じる：
　問１）Ｃカードの二次情報X₄は第三と第四いずれのステップのものか？
　問２）第三ステップのカードは第四ステップのカードと同じなのか？
　そこで、問１）だけに絞って考えたとしても、次の２つの同様な確かさの答え（即ち、不定な解）が並立する：
　答１）Ｃカードの二次情報X₄は第三ステップのものである。

　答２）Ｃカードの二次情報X₄は第四ステップのものである。

　これは、１つの秘密（共有情報）が複数の認証イベントに使い回されると、その各回の秘密（例えば、第三ステップのX₄と第四ステップのX₄と）に関し、上記複数の認証イベントとの因果関係（上記の場合２つ）を同様な確かさで疑うことができ、またその認証イベントの数だけの被認証体（上記の場合２つ）の関与を同様な確かさで疑うことが出来るので、その組合せの総数に対応した数（上記の場合４つ）の不定な解が並立することになり、従って、その複数の認証イベントの履歴データ（例えば、X₄，X₄）の全体を単一の組と見なし、その中に不定な解を包み込んで（つまり、新たな証拠が得られるまで詮索せずに放置して）処理しなければ、因果列を運用出来なくなる。

　こうした履歴データの組により因果の列（例えば、｛…, X₃,（X₄,X₄）, X₆｝を作り、その中の特定の因（例えば、X₃）と特定の果（例えば、X₆）との関係を吟味しようとすると、その間に介在する履歴データの組（上記の場合（X₄，X₄））の要素の数（上記の場合２つ）に対応した個数の不定な解（上記の場合４つ）が並立し、そうした履歴データの組を複数組跨いだ因果関係を調べようとしたら、各組の不定な解の個数をすべて掛け合わせた乗積に対応する個数（例えば、上記同様な履歴データの組を二組跨ぐとすれば、４ｘ４＝１６個）の不定な解が並立することになり、因果の世代数が増すに連れて、いずれ解が発散してしまう。

　＜５．２　因果関係の収束と赤い糸＞
　この点、本実施の形態に係る情報システム１では、被認証体が一旦認証されると、それまでの共有情報が新たな共有情報に更新され、乱数合成部による共有情報の使い回しがないので、同じ共有情報に関与し得る認証イベントの数が常に１つだけに維持され、またそのただ１つの認証イベントに絡むことが出来る被認証体の個数もただ１つに限定される。

　このため、共有情報を含む履歴データに順序を付け因果の列として残せば、その中の任意な共有情報について、それに関与した認証イベントと、その認証イベントに絡んだ被認証体とを常にピンポイントで特定でき、従って、任意な部分列の両端点で関係する認証イベントと被認証体とを一意に特定できる因果列、つまり“因果の唯一性を体現した因果列”、いわばサイバー空間の“赤い糸”が得られる。

　この赤い糸（因果列）は、単に因果関係を検証可能なだけでなく、その検証を随時迅速に行えることから、疑念を差し挟むことなく安心して実用に供することができ、従って、サイバー空間中のライフライン（命綱）或いはスキャッフォルド（足場）として利用できる。

　なお、以上の説明から明らかなように、情報システム１の因果列生成部（６０／１０）に因果列を生成すべく保有される前記予め共有された情報Ｋ１＝Ｋ２（＝Ｘ_ｎ-1）と前記予め共有する情報Ｋ１＝Ｋ２（＝Ｘ_ｎ）とは、その因果関係を所望の仕方で特定可能な情報形式又は情報量について行えば良く、従って、因果列生成部（６０／１０）又は不正使用検出部（８０／１０）の容量及び情報処理仕様に合わせ、適宜，変換することは差し支えない。

（第２の実施の態様）
　ここで、図５を参照し、本発明の第２の実施の態様に係る情報システム２を説明する。図５は、情報システム２のブロック図である。

　情報システム２は、Ethernet（登録商標）フレーム２７を介してブラウザ（ＩＥ）９４が接続されたワールドワイドウェブ（www）ポータル９１を含むwwwポータルフレームワークに、ユーザ５１のFelicaＩＣカード５１と共有する二次情報をログイン用のワンタイム・パスワードとして提供する。

　wwwポータルフレームワークは、社員のIDとパスワードとでサービスを限定する。IDには既存の社員番号を使い、パスワードはFeliCaのRead/Writeエリア（表1）に記録されている補助情報Z（32byte）の6byteを使う。補助情報Ｚの詳細については、後述するＭＴＳＡの説明を参照されたい。

　ユーザ５２は、ブラウザ（IE）９４を使ってwwwポータル９１のサーバからwwwポータルログイン画面９５をダウンロードし、ID及びパスワードを手入力できるが、本実施の態様では、入力ソフト９３により、wwwポータルログイン画面９５にボタンを一つ設け、それをクリックして、ICカード５１から社員番号と補助情報Zの6byteとを読み出し（Ｒ３１）、自動入力する（Ｒ３１ａ）。補助情報Zの6byteは、通信路を盗聴する者にとってワンタイム・パスワードとなる。

　wwwポータル９１は、上記ID及びパスワードを受け取ると、既存IDパスワードDB９０に既に記録されている[社員番号, Zの6byte]テーブルを既存IDパスワードとして参照し（Ｗ３２，Ｒ３２ａ）、それらが一致すると、社員番号にサービスを許可する（９２）。

　［社員番号, Zの6byte］テーブルを既存のDB９０上に作る前提として、DB６０に社員情報テーブル及び社員情報対カードIDテーブル有するデータベース６４を付加する。社員情報テーブルは図４の初期化登録の際に、ICカード５１の社員情報をサーバ４２にアップして自動生成する。サーバ４２及びクライアント４３は、対応した読み書きを行う（Ｒ２３，Ｗ２３，Ｒ１３）。

　wwwポータルフレームワークは企業に広く浸透しており、詳細は省く。また第１の実施の態様と対応した要素は、同じ参照番号を付し、説明を省略する。

　以上に説明した実施の態様において、情報システム１、２は、当然ながら、社員認証を行うシステムに限られるものではなく、例えば、入退出者の認証を行うエントリシステム、患者又は動物の認証を行う医療又は保護システム、乗客の認証を行う輸送システム、顧客の認証を行う金融システム等であっても良い。また、製品又は半製品の管理システム、商品の管理ステム、物流品の管理システム、或いは美術品、貴金属、貨幣等の管理システムであっても良く、そうした場合には、管理対象となる個別の物がユーザ５２と見なされ、それに内蔵若しくは付設されたメモリがカード５１の代わりになり、それらを合わせた物が被認証体５０となる。更には、カード５１を固定式又は可動式のメモリ若しくはその分割領域、或いはサイバー空間の座標に置き換え、そこに格納され或いは貼り付けられた情報をユーザ５２とし、それらの組合せを被認証体５０と見なしても良い。

（MTSAの説明）
　前記MTSAは、以上の実施の形態に係る情報システム１，２に適用可能な認証システムに関し、より詳細には、１：１認証子を備える認証システムに関する。

　一般に、認証システムは、秘密を予め共有し、この予め共有した秘密を見せ合うことにより、秘密共有者の間で相互の認証が為される。

　しかしながら、従来の認証システムでは、秘密の共有にコストが掛かり、共有する秘密を頻繁に更新することが難しかった。

　このため、従来は、（１）共有した秘密を更にコストを掛けて維持するようにしており、その結果（２）万一、秘密が漏れ、それが不正に利用された時に、その不正利用者を見破ることが極めて困難であった。

　この点、秘密の漏洩は、現実には人が神ならざることに起因する。

　即ち、暗号の数理的強度以前の、それを運用する仕組みの中に問題があり、そこに人が介在することに起因している。

　例えば、現代の暗号の鍵が漏れるとしたら、それは多分に人の介在を原因とし、同様に、カード番号或いはクレジット番号等のID情報の漏れにも、人的要素が絡む。

　この種の情報漏れは、システムもユーザも認識できず、情報漏れに基づく被害がクローズアップされるのを座して待つことになる。

　　つまり、ＩＤ情報の保管に絡む場合を含め、認証のための秘密共有は、常に、
　1) その値を一定不変に保ち、
　2) その値を秘密に保管する
というメンテナンスを伴って、初めて完遂できる。

　しかるに、このメンテナンスは、今のところまだ人の規範(best effort)に託されており、それが情報漏れの温床になっている。

　こうしたメンテナンスにおける人的規範への依存性を緩和する手法として、チャレンジ・アンド・レスポンス（Challenge & Response）方式の１：１認証子であるチャップ(ＣＨＡＰ：非特許文献参照)が知られている。

（非特許文献）CHAP（PPP Challenge Handshake Authentication Protocol）
　　　　　　　　　　　Network Working Group: W. Simpson
　　　　　　　　　　　Request for Comments: 1994 DayDreamer
　　　　　　　　　　　Obsoletes: 1334 in August 1996
　　　　　　　　　　　Category: Standards Track
（英文要約）The Point-to-Point Protocol (PPP) provides a standard method for transporting multi-protocol　datagrams　over point-to-point links. PPP also defines an extensible Link Control Protocol, which allows negotiation of an Authentication Protocol for authenticating its peer before allowing Network Layer protocols to transmit over the link.　This document defines a method for Authentication using PPP, which uses a random Challenge, with a cryptographically hashed Response which depends upon the Challenge and a secret key. RFC 1994, PPP CHAP: This authentication method depends upon a "secret" known only to the authenticator and that peer. The secret is not sent over the link.
（和訳）ポイント・ツー・ポイント・プロトコルＰＰＰは、ポイント・ツー・ポイント・リンクを介してマルチプロトコル・データグラムを移送する標準方式を与える。ＰＰＰはまた、延長可能なリンク・コントロール・プロトコルを規定し、これは、ネットワーク・レイヤー・プロトコルにリンクを介した伝送を許可する前に、そのピアの認証を行う認証プロトコルの折衝を許可する。この文書は、ＰＰＰを用いた認証の方法を規定し、これはランダムなチャレンジを行い、その際、秘密鍵とそのチャレンジに依存した暗号学的ハッシュ応答を用いる。RFC1994,PPPチャップ：この認証方式は、認証者及びそのピアにのみ知られた“秘密”に依存し、この秘密はリンクを介して送信されない。

　しかしながら、このチャップは、前記1)と2)の秘密のメンテナンスを、人が行うものであり、後述の記載より明らかなごとく、人工的（artificial）要素が残存し、安全性に難がある。

　MTSAは、前記1)と2)の秘密のメンテナンスを、人から通信システムへ、実用上は当然、理論面でも安全に移行することが可能な、いわば神の手に委ねた１：１認証子を備える認証システムの技術を模索する。

　そして、秘密共有を通信のセッション毎に安全に更新する情報技術を考える。

　この技術によれば、通信の終了時に、新しい秘密共有が成立し、通信の開始時に使われた秘密共有を使い捨てにできる。すなわち、秘密の共有が過去の出来事になり、その秘密が漏洩したとしても、それは過去の秘密になる。

　この点、過去の秘密と現在の秘密とが情報論的に独立していれば、もはや情報漏れは恐れるに足らない。

　それだと、正規ユーザだけを認証するシステムの構成も可能になる。

　なお、MTSAにおいて、1:1認証子とは：
　　自然乱数による乱数の暗号化と復号化を行うシステム要素又はその入出力情報（例えば、暗号文）と；
　　自然乱数による乱数の暗号文をハッシュ関数に入力するシステム要素又はその入出力情報と；
　　乱数の暗号文とハッシュ関数値とを1対にして送信及び受信する通信部分としてのシステム要素又はその入出力情報（例えば、識別子及び確認子）と、を備えて構成される。

　また、説明を明瞭に行うため、MTSAの説明に、次の記号を援用する。

　　[X]:　自然乱数発生源である。

　 [Y]:　乱数発生源(自然乱数または擬似乱数)である。

　 [Z]:　自然乱数発生源である。

　 Y_n:　一定の桁数の確率変数である。

　　　　　但し、n : インデックス、n = 1,2,……,n
　 [X_n] :　一定の桁数の自然乱数のブロックをである。

　 [Y_n] :　一定の桁数の乱数のブロックである。

　 [Z_n] :　一定の桁数の自然乱数のブロックである。

　 |[X_n]| : 自然乱数ブロックの桁数である。

　 H() :　（）内の変数のシャノンエントロピ（Shannon entropy）を求める関数である。

　 h():　（）内の変数のハッシュ値を求める関数である。

　 +:　　排他的論理和である。

　MTSAの第１の側面に係る認証システムは、自然乱数を発生する第１の乱数発生源([X])と、前記第１の乱数発生源で発生した第１の乱数のブロック([X₁])により前記第１の乱数発生源で発生した第２の乱数のブロック([X_２])を暗号化した第１の暗号文([X₁]+[X_２])を含む識別子を有する１：１認証子とを備える。

　MTSAの第２の側面に係る認証システムは、MTSAの第１の側面に係る認証システムにおいて、乱数を発生する第２の乱数発生源([Ｙ])を更に備え、前記１：１認証子は、前記第２の乱数発生源で発生した第１の乱数のブロック([Ｙ₁])により前記第２の乱数発生源で発生した第２の乱数のブロック([Ｙ_２])を暗号化した第２の暗号文([Ｙ₁]+[Ｙ_２])を含む確認子を有する。

　MTSAの第３の側面に係る認証システムは、MTSAの第１または第２の側面に係る認証システムにおいて、前記識別子は、前記第１の暗号文のハッシュ値を含むことを特徴とする。

　MTSAの第４の側面に係る認証システムは、MTSAの第１乃至第３の側面のいずれかに係る認証システムにおいて、前記１：１認証子の交換により秘密の共有状態を自動的に更新する。

　MTSAは、二者間の秘密共有やユーザＩＤの安全性を確保しつつ更新する問題を解決したものである。すなわち、二者間の秘密共有のメンテナンスを人の手からシステムに安全に移行させる技術である。

　効用は、次の点にある。

　１．漏れたＩＤ情報を無効にする。

　２．人からの情報漏れを困難にする。

　なお、以下の説明では、認証子を備える認証システムを、しばしば、認証子システム、又は単に認証子と簡略に表現する。

　MTSAの第１の側面に係る認証システムに関し、通常の暗号化の仕組みにおいては、鍵と平文は別の確率事象に属するが、当該1:1認証子は同じ乱数発生源から出力されるところの「乱数による乱数自体の暗号と復号の仕組み」の上に構成される。

　すなわち、自然乱数ブロックの独立性を鍵と平文の関係に反映させる乱数の配送法である。これが1:1の認証子を構成する基礎である。

　通信路をはさんだ二者（ピア）の片方または両者とも乱数発生源[X]を備える環境にて、発生源[X]から得た(1-1)式に示す二つの乱数ブロック[X_n]と[X_n+1]の桁数が等しく
　　|[X₁]| = |[X_n+1]| ---------(1-1)
　　　　　　インデックス n = 1,2,……,n
(1-1)式のペアが下記(1-２)式の独立性
　　H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-２)
　　　　　　 H(): Shannon entropyを計算する関数
を満たす時、あるいは(1-1)式のペアが(1-2)式に代わる予測困難性を満たす時、下記(1-3)、(1-4)式に示すように、インデックス nが示す順に発生源[X]が出力した乱数[X_n]を鍵Ｋに用い、その後に出力した乱数[X_n+1] を平文に用いる。

即ち、
　　鍵Ｋ = [X_n] ---------- (1-3)
　　平文 = [X_n+1] --------- (1-4)
　これにより、乱数ブロックの独立性(1-２)式を暗号化と復号化の必須要件に反映させる一方、通信路をはさんだ二者に対し、予め人が初期値[X₁]を設定する秘密共有を行い、それによって二者を特定の1:1関係にする「自然乱数による乱数の暗号と復号の仕組み」（図６参照）である。

　MTSAの第１の側面に係る認証システムの暗号化と復号化の必須要件とは鍵と平文が独立に選ばれることである。この要件を乱数の配送の都度満たしたのが「自然乱数による乱数の暗号と復号の仕組み」である。この仕組みのアルゴリズム上のポイントは二つある：第一に、ランダムに選ばれた初期値[X₁]が鍵の機能を果した後、[X₁]に代わってn = 2の乱数ブロック[X₂]が鍵になることである。第二に、鍵[X₂]が設定された後に、新たな平文乱数ブロック[X₃]が乱数発生源[X]から与えられることである、その結果として、鍵と平文の独立性(1-2)式を常に維持することの二点である。

　上記仕組みの結果、乱数の配送の都度、次の安全性を達成する：
まず、(1-2)式の独立性と
　　H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
　　H(C_n+1) － H([X_n+1]) = H(K) － H(K|C_n+1) ---------(1-5)
ここで、暗号文C_n+1は下記で決定された乱数である：
　　H(C_n+1 | [X_n], [X_n+1]) = 0 ---------(1-6)
ゆえに、暗号文C_n+1も乱数になるから、
　　H(C_n+1) － H(X_n+1) = 0 ---------(1-7)
同時に(1-8)式を導く：
　　H(K) － H(K|C_n+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックC_n+1から鍵Kの情報は漏れないことを示す。

　なお、(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和は、常に、
　　H([X₁] + H([X_n]) ---------(1-9)
だけのエントロピーを持つことが容易に計算できる。

　(1-9)式の意味するところは、この認証システムの「乱数による乱数の暗号と復号の仕組み」によって乱数ブロック[X_n]が安全に配送されること、初期値[X₁]のエントロピーは常に維持されていることである。

　つまり、暗号のエントロピーは初期値[X₁]に依存するが、乱数ブロック[X_n]の系列は初期値[X₁]から派生したものではない。

　MTSAの第２の側面に係る認証システムに関し、これは、MTSAの第１の側面に係る認証システムの1:1関係を基礎とし、初期値を2個持った1:1の関係を規定する。

　すなわち、通信路を挟んで空間的に離れた二者が、初期値[X₁]及び初期値[Y₁]の二つを予め秘密に共有することを特長として、二者を特定の1:1関係に規定する。

　初期値[X₁]及び初期値[Y₁]の役割は異なる、初期値[X₁]と初期値[Y₁]も互いに独立であるから、MTSAの第２の側面に係る認証システムは後述の図６と図７の1:1関係を重ね合わせた状態になる。

　通信路の両端に居る二者AとBの内、一方のＡは(1-2)式を満たすと考えられる乱数発生源[X]を備え、他方のＢも(2-1)式を満たすと考えられる乱数発生源[Y]を備え、各々の乱数ブロックは、MTSAの第１の側面に係る認証システムの(1-2)式と下記(2-1)式の意味する独立性を満足する一方、あるいは、予測困難性を満足する一方、次の式を満たす。

　　H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
　　H([[Y_n+1]] = H([Y_n+1] | [Y_n]) ---------(2-1)
　これは、AとB両者ともに、予めランダムに選ばれた[X₁]と[Y₁]を初期値として共有する「自然乱数による乱数の暗号と復号の仕組み」に相当する。

　MTSAの第３の側面に係る認証システムに関し、これは、MTSAの第１の側面又は第２の側面に係る認証システムの乱数発生源[X]と[Y]の乱数ブロックとハッシュ関数とから1:1認証子を構成することになり、MTSAの第１の側面又は第２の側面に係る認証システムで規定された1:1関係において、ハッシュ関数の鍵を乱数ブロック[X_n]又は[Y_n]とした時に、配送される乱数ブロック[X_n+1]とそのハッシュ値h([X_n+1])のペアを1:1認証子とし、或いは、配送される[Y_n+1]とそのハッシュ値h([Y_n+1])のペアを1:1認証子とする認証子システムである。

　この1:1認証子は、前記チャレンジ・アンド・レスポンス方式と以下の点で異なる。

　Request for Comments 1994のResponseは秘密鍵とChallengeに依存する。ChallengeとResponseは独立ではない。

　なお、秘密共有を二つの初期値で行うタイプもあるが、やはりChallengeとResponseは独立ではない。

　一方、MTSAの1:1認証子では、ChallengeとResponseに相当する「行きと帰り」の二種類の認証子があり、以下しばしば、行きを識別子、帰りを確認子と呼ぶ。識別子と確認子は互いに独立である。

　MTSAの第４の側面に係る認証システムに関し、この認証システムは、MTSAの第３の側面に係る認証システムの認証子の交換で秘密共有をも自動的に更新する。

　すなわち、従来は、秘密共有の更新を人間系に頼っていたが、それを不要にしている。

　MTSAの第３の側面に係る認証システムの認証子の交換により、初期値[X₁]と[Y₁]に始まる秘密共有は通信のセッション毎に更新される。

　すなわち、識別子と確認子を経由して、セッション単位に下記のように更新される：
　[X₁] ---> [X₂] ---> [X₃] --->…---> [X_n]
　[Y₁] ---> [Y₂] ---> [Y₃] --->…---> [Y_n]
　この安全性はMTSAの第３の側面に基づく。

　つまり、盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、乱数ブロック群[X_n]は初期値[X₁]から派生した値ではない。また、識別子と確認子は互いに独立である。

　このようにして、通信の終了時には、新しい秘密共有が成立するから、通信開始時の秘密共有は過去のものになり、秘密が漏洩したとしても、その時点から過去の秘密になる。

　以下に、図６乃至図９を参照し、ＭＴＳＡの実施例を説明する。また本発明の第１及び第２の実施の態様に係る情報システム１，２（図１～図５）の構成要素と構成上若しくは機能上対応する実施例（図６～図９）の要素に、対応する参照符号又は記号を付すことにより、両者の関係を明示する。

　MTSAの第１の側面に係る認証システムの実施例
　先ず、図６及び図９を参照して、MTSAの第１の側面に係る認証システムの実施例を説明する。

　図６は、MTSAの実施例に係る認証システムの自然乱数［Ｘ_n］による乱数の暗号と復号の仕組みを示すブロック図、図９は、MTSAの実施例に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

　図６に、鍵、平文、暗号文という３つの確率変数とMTSAの第１の側面の説明に記載されている式との関係を示す。乱数発生源［Ｘ］（対応符号４１ａ）が端末Ａ（対応符号４２ａ）にあり、乱数ブロックがＡからＢ（対応符号４３ａ）に送られる。この仕組みは、初期値［Ｘ_１］はランダムに選ばれる確率事象で、この［Ｘ_１］は暗号化（対応記号Ｅ_ｋ１（））・復号化（対応記号Ｄ_ｋ２（））の後に、ｎ＝２の乱数ブロック［Ｘ_２］で置き換わる。そして、常に、鍵［Ｘ_ｎ］（対応記号ｋ１，ｋ２）が設定された後に、平文の乱数ブロック［Ｘ_ｎ＋１］が乱数発生源［Ｘ］から与えられ、その結果、鍵と平文の独立性の（１－２）式が成立する。なお、暗号化と復号化の鍵と平文とが独立に選ばれる。自然乱数を用いることで、この要件が常に達成される。

　（１）自然乱数による乱数の暗号と復号の仕組み
　自然乱数発生源[X]の出力を一定の桁数に揃えて乱数ブロック[X_n]を得る：
　　|[X₁]| = |[X_n+1]| ---------(1-1)
　　　　　　インデックス n = 1,2,……,n
　どの乱数ブロックも下記(1-２)式の独立式を満たす時、
　　H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-２)
　(1-3)と(1-4)式に示すように、インデックス nの順に[X]が出力した乱数ブロック[X_n]を鍵Kに用い、[X_n]に続く乱数ブロック[X_n+1]を平文に用いることによって
　　鍵K = [X_n] ---------- (1-3)
　　平文 = [X_n+1] --------- (1-4)
　鍵と平文が独立に選択されることを自動的に満たす。

　　一方、通信路をはさんだ二者AとBは予め[X₁]を初期値として秘密に共有することによって、当該二者は暗号化と復号化の1:1の関係に入る。これが図６に示す「自然乱数による乱数の暗号と復号の仕組み」である。

　（２）暗号文の安全性の証明
　　この認証システムの暗号システムとしての安全性のポイントは以下の通りである。

　　(1-2)式の独立性と
　　H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
　暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
　　H(C_n+1) － H([X_n+1]) = H(K) － H(K|C_n+1) ---------(1-5)
　　ここで、暗号文C_n+1は下記で決定された乱数である：
　　H(C_n+1 | [X_n], [X_n+1]) = 0 ---------(1-6)
　　(1-6)式は、自然乱数[X_n]と[X_n+1]を条件として、暗号文C_n+1を一つに決めるということを表す。ゆえに、暗号文C_n+1も乱数になるから、
　　H(C_n+1) － H(X_n+1) = 0 ---------(1-7)
　　同時に(1-8)式を導く：
　　H(K) － H(K|C_n+1) = 0 ---------(1-8)
　(1-8)式は暗号文ブロックC_n+1から鍵Kの情報は漏れないことを示す。

　　当然、乱数[X_n+1]の情報も漏れない。(1-6)式のアルゴリズムを排他的論理和にする。この場合、暗号文C_n+1は
　　C_n+1=[X_n]+[X_n+1] ---------(1-6)’
　で計算される。

　　(1-8)式が意味する特徴は重要である、何故なら、通常の共通鍵暗号系では「意味のある平文」を暗号化する関係上、鍵の情報を漏らすからである。しかし、(1-8)式では鍵の情報が漏れない。その原因は、
　　　1) 鍵と平文が共に自然乱数であるが故に独立になること、
　　　2) 鍵も平文も共に乱数であること(意味を持たない)、
　以上2点の理由に拠る。

　　なお、通常の共通鍵暗号系で鍵の情報が漏れる理由は、平文が意味を担うからである。例えば、alphabetなら4.7bit/1characterあるが、意味のある文章では1.0bitから1.5bitになるであることが知られている。この4.7bitと1.5bitの差だけ鍵の情報が暗号文から漏れる。

　（３）通信路を流れる暗号文の総和
　　(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和を計算すると、常に、
　　H([X₁]) + H([X_n]) ---------(1-9)
　となる：(1-9)式は暗号文のエントロピーの総和を示す。

　[X₁]と[X_n]は独立であるから、[X₁]と[X_n]の同時確率エントロピーをH([X₁], [X_n])と表すと、
　　H([X₁], [X_n]) = H([X₁]) + H([X_n]) ---------(1-10)
　　ここで、鍵[X₁]と平文[X_n]を独立に選んで暗号文[C_n+1]を一つに決定する式、
　　H(C_n+1| [X₁], [X_n]) = 0 ---------(1-11)
　(1-11)式を(1-10)式の両辺に加える：
　　H([X₁]) + H([X_n]) = H(C_n+1| [X₁], [X_n]) + H([X₁], [X_n]) = H(C_n+1, [X₁], [X_n])
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ---------(1-12)
　　H(C_n+1, [X₁], [X_n])は暗号系を構成する三つの確率変数の同時確率エントロピーである。(1-12)式は以下の事柄の証明である：
　　　1) 初期値[X₁]で
　　　2) 任意の乱数[X_n]を
　　　3)１回だけ暗号化し
　　　4) 任意の乱数[X_n]を安全に配送した
　ことを示す。その途中で使われる乱数ブロック[X_n-1]は消えることに注意する。

　(1-12)式は、任意の[X_n]について成立しており、鍵としての初期値[X₁]のエントロピーを常に維持する。言い変えると、通信路を流れる暗号文C_n+1のエントロピーは初期値[X₁]に依存する一方、配送された乱数ブロック[X_n]は初期値[X₁]から派生したものでない、ということである。この関係には十分注意する必要がある。

　（４）乱数ブロック[X_n]に対する端末ＡとBの対称性
　　(1-1)から(1-9)式は、乱数ブロック[X_n]に対して対称形である。[X_n]が端末Ａの乱数発生源の乱数であるとしても、その次の[X_n+1]が端末Ｂの発生源の乱数としても、(1-1)から(1-9)式には何ら変わりない。従って、3.1.項の仕組みは両端に乱数発生源[X]を備える場合も含む。

　　さらに、端末Ａの乱数発生源[X]が自然乱数であり、端末Ｂの乱数発生源[X] （対応符号４１ｂ）が擬似乱数源としても、(1-1)から(1-9)式に何ら変わりない。ただし、その場合、(1-2)式は予測困難性という概念の安全性に置き換わる。

　MTSAの第２～第４の側面に係る認証システムの実施例
　次に、図７～図９を参照して、MTSAの第２～第４の側面に係る認証システムの実施例を説明する。

　図７は、MTSAの実施例に係る認証システムの乱数［Ｙ_n］による乱数の暗号と復号の仕組みを示すブロック図、図８は、MTSAの実施例に係る認証システムの自然乱数［Ｚ_n］による乱数の暗号と復号の仕組みを示すブロック図、図９は、MTSAの実施例に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

　これらの実施例に係る1:1 認証子は、図９から明らかなように、MTSAの第１の側面に係る認証システムと不可分であり、それを前提にする。

　MTSAの第２の側面に係る認証システムは、MTSAの第１の側面に係る認証システムの1:1 関係を基礎にして初期値を2 個持った1:1 の関係を規定する。すなわち、通信路を挟んで空間的に離れた二者が、初期値[X1]及び初期値[Y1]の二つを予め共有して、二者を特定の1:1 関係に規定する。

　初期値[X1]及び[Y1]の役割は異なる。一方が送信専用なら、他方は受信専用の初期値である。初期値[X1]と[Y1]も互いに独立であるから、MTSAの第２の側面に係る認証システムは、図６と図７の1:1 関係を重ね合わせた状態になる。

　MTSAの第３の側面に係る認証システムは、ハッシュ関数h()とMTSAの第１又は第２の側面に係る認証システムの乱数ブロックとのペアで1:1 認証子を規定する。

　MTSAの第４の側面に係る認証システムは、MTSAの第３の側面に係る認証システムの認証子の交換で秘密共有を自動的に更新する。すなわち、従来、秘密共有の更新は人間系に頼るしかなかったが、それを不要にしている。

（１）1:1 認証子システム
　MTSAの第２～第の４側面に係る認証システムは1:1 認証子システムを構成する。これに対応する従来技術は、CHAP(Request for Comments 1994)である。

　MTSAの第２～第の４側面に係る1:1 認証子システムは、CHAP或いは従来のID 番号、パスワード等に置き換えられ、情報漏れによる被害を未然に防ぐ。

（２）初期値[X1]と[Y1]を携帯メデイアに格納する。

　初期値[X1]と[Y1]は、ホストとユーザを特定の1:1 関係に結びつける秘密である。

　その後、ホストとユーザ間の通信は初期値[X1]に始まる1:1 暗号・復号と、初期値[Y1]に始まる1:1 暗号・復号(MTSAの第１の側面)との重ね合わせになる (図６と図７とを重ね合わせる)。

（３）1:1 認証子の交換
　図９に示す通り、乱数ブロック[Xn]はホストからユーザへ流れ、[Yn]はユーザからホストへ流れる。1:1 認証子はMTSAの第３の側面で定義される。

　なお、配送される乱数ブロック[Xn+1]とそのハッシュ値h([Xn+1])のペアを「ランダムカード携帯メデイア」へ初期値[X1] = 512 bit、初期値[Y1]= 512 bitとして保存し、それを更新するようにしても良い。

（４）識別子と確認子
　識別子と確認子中の鍵に対応する部分はセッション毎に以下のように変化する：
ホストからユーザへ: [X1] ---> [X2] ---> [X3] --->…---> [Xn]: ---> 識別子の系列
ユーザからホストへ: [Y1] ---> [Y2] ---> [Y3] --->…---> [Yn]: ---> 確認子の系列
　図９で、配送する乱数ブロックが[X2]の時、乱数[X1]を鍵にして、乱数[X2]の暗号文[X1]+[X2]が端末Ａにて作られる。この暗号文[X1]+[X2]がハッシュ関数の入力になる。この暗号文[X1]+[X2]とハッシュ値h([X1]+[X2])とのペアが識別子である。

　端末Ｂでは、暗号文を復号した後、再度、端末Ａと同じ暗号化手続を実行し、ハッシュ値を生成する。

　そして、端末Ａでのハッシュ値と、端末Ｂでのハッシュ値とを比較する。

　両方のハッシュ値が等しければ、ハッシュ関数の衝突困難性に基づき、端末Ａが持つ鍵[X1] と、端末Ｂが持つ鍵[X1]とが、圧倒的な確率で等しいと判定される。

（５）1:1 の認証子の機能
　識別子と確認子は、以下の機能を果したことになる：
　　二者間の秘密共有(鍵)
　　ユーザID
　　合言葉、パスワード
三つの機能を総称して「自然乱数による1:1 認証子」と言う。

（６）初期値[X1]と[Y1]の保存は不要
　通信路を挟んだ二者は、初期値[X1]と[Y1]を与えられることにより、特定の1:1 関係になるが、その初期値を、再度の認証のために継続して保存する必要はない。初期値[X1]と[Y1]は乱数[X2]と[Y2]に変わり、一度、認証子システムに投入されたら、二度と初期値[X1]と[Y1]とが参照されることがないからである。

　この時、乱数[X1]と[X2]、乱数[Y1]と[Y2]とは互いに独立である。ゆえに、認証子システムから初期値[X1]と[Y1]が漏れたとしても、乱数[X1]と[Y1]が乱数[X2]と[Y2]に変化した後では、それは過去の事件になる。漏れた[X1]と[Y1]は既に無効である。

　（７）初期値[X1]と初期値[Y1]の通信のセッション毎の更新
　初期値[X1]と初期値[Y1]の秘密共有は、自然乱数[Xn]に引き継がれる。

　　[X1] ---> [X2] ---> [X3]…---> [Xn]
　　[Y1] ---> [Y2] ---> [Y3]…---> [Yn]
　このセッション単位にメンテナンスされる場合の安全性はMTSAの第１の側面に基づく。つまり、1) 盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、2) 乱数ブロック群[Xn]は初期値[X1]から派生した乱数値ではない、また、3) 識別子と確認子が互いに独立であり、さらに、4) 過去の秘密[X1]と[Y1]と現在の秘密[Xn]と[Yn]は、互い暗号学的に独立である。ゆえに、もはや情報漏れは恐れるに足らない、ということになる。

（８）最大の特徴
　この点、従来のセキュリテイ技術では、人間系からの情報漏れを防ぐことは不可能であった。暗号の強度を上げても人間系からの情報漏れを防げない。これは暗号の仕組みが原因である。しかし、MTSAに係る自然乱数による認証子システムは、通信セッションが終了する度、自然乱数の安全性に基づいて認証用の秘密を随時更新する。秘密は、随時、自動的に、人の手を経ないで、更新される。過去の秘密と現在の秘密が独立であるから、もはや情報漏れは恐れるに足らない、漏れた情報は無効になる、従って、認証子システムは、暗証番号等が漏れても被害を未然に防ぐシステムの構築を可能にする。

　人間系からの情報漏れを無効にするということは、これはセキュリテイの概念に入らない。セキュリテイは利便性を犠牲にして成り立つが、自然乱数の識別子は、その逆で、むしろ、利便性の生き残り(サーバイバル)のためのI.T だからである。

　MTSAの実施例の構成要件、コンセプト、ツールは次のようにも説明できる。

　　構成要件：固定ルータ間の通信、
　　目的：従来は秘密のメンテナンスを人手に頼っていて、ルータの認証はCHAPだけに依存していたが、ＭＴＳＡでは秘密のメンテナンスを乱数by乱数によって自動化した。

　　ツール：　乱数By乱数。秘密のメンテナンスという意味では乱数By乱数しか方法論が無い。

　この点、本発明の実施の態様の構成要件、コンセプト、ツールを次のようにも説明できる。

　　構成要件：移動メモリ
　　目的：二人の利用者が現れた瞬間にサービスが停止する
　　　　　　　（無条件に停止するアルゴリズム）。

　　ツール：　連続番号、時刻、乱数By乱数
　なお、以上は、本発明の実施の態様を例示的に説明したものであり、当業者であれば、特許請求の範囲内で、様々な変更が可能なこと理解できよう。

　本発明によれば共有情報の不正使用の検出及び予防が可能で、共有情報の使い回しを回避可能な情報システムが提供される。

Claims

　ＩＤが登録された被認証体と予め情報が共有される情報システムであって、前記ＩＤ及び予め共有された情報を用いて、前記ＩＤ及び予め共有された情報を有する被認証体を認証することにより、前記認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムにおいて、前記情報工学的要素は、
　自然乱数を与える自然乱数源と、
　前記ＩＤ及び予め共有された情報を有する被認証体から前記ＩＤ及び予め共有された情報を読み取って、前記ＩＤ及び予め共有された情報を有する被認証体を認証する際に、前記予め共有された情報と前記自然乱数源から与えられた自然乱数とから乱数を合成し、前記認証する被認証体が有する予め共有された情報を前記合成した乱数に書き換えることにより、前記合成した乱数を、前記認証する被認証体の次の認証のための情報として、前記認証する被認証体と予め共有する乱数合成部と、
　前記予め共有された情報と前記予め共有する情報とを順序付けし、前記ＩＤに関係付けて保有することにより、前記予め共有された情報を因とし、前記予め共有する情報を果とする因果の唯一性を体現した因果列を生成する因果列生成部と、
　前記因果列生成部で生成された因果列の因果の唯一性を、前記乱数合成部により読み取られたＩＤ及び予め共有された情報の組に照らして監視することにより、前記ＩＤ及び予め共有された情報の組に関し前記予め共有された情報の不正使用を検出する不正使用検出部と
を備えることを特徴とする情報システム。
　請求項１記載の情報システムであって、
　前記自然乱数源は前記自然乱数として次の(I)式で表される自然乱数のブロック[X_n]（ただし、ｎ＝自然乱数のブロックの付与順を因果列別に表す任意な自然数）を与え：
　　　[X_n] ---------(I)、
　前記乱数合成部は、
　　前記予め共有された情報を鍵部として使用可能な暗号化関数が定義された暗号化部と、
　　前記予め共有された情報を鍵部として使用可能な復号化関数が定義された復号化部と
を備え、
　　次の(II)式で定義される乱数合成関数F_i(X_j)：
　　　F_i(X_j)≡D_k2(E_k1(X_j))　（ｉ≠０）--------(II)、
　　　ただし、E_k1()≡暗号化部の暗号化関数、
　　　　　　　 D_k2()≡復号化部の復号化関数、
　　　　　　　 K1≡暗号化関数の鍵部、
　　　　　　　 K2≡復号化関数の鍵部、
　　　　　　　ｉ＝乱数の合成回数を因果列別に表す代数的整数、
　　　　　　　ｊ＝合成の対象となる自然乱数の順番を表す代数的整数
と、
　　次の(III)式で表される初期化関数F_i(X_j)：
　　　F_i(X_j)≡K1=K2=X₁（ｉ＝０）-------(III)、
と
を用いて、
　　次の(IV)式の条件が成立するときに：
　　　K1=X_n-1=K2-----------(IV)、
前記予め共有された情報と前記自然乱数のブロックとから、次の (V)式で表される乱数X_nを合成し前記予め共有する情報として因果列生成部へ与え：
　　　X_n= F_n-1(X_n) （ｎ＞１）----------(V)、
　　次の(VI)式の条件が成立するときには：
　　　K1=X_n-1≠K2（ｎ＞１）----------(VI)、
前記乱数の合成を中断し、前記ＩＤ及び予め共有された情報の組を前記不正使用検出部へ与える
ことを特徴とする情報システム。
　請求項１記載の情報システムであって、
　前記不正使用検出部は、
　　前記因果列と、
　　前記ＩＤ及び予め共有された情報の組と前記ＩＤ及び予め共有された情報を有する被認証体の通信のログとの少なくとも一方と
を参照することにより、
　　1) 漏れた秘密の内容と、
　　2) 秘密の漏れた時間と、
　　3) 秘密が使われた時刻と、
　　4) 不正な被認証体の存在の確証と、
　　5) 不正な被認証体の足取りと
の内の少なくとも１つに関し情報を収集する
ことを特徴とする情報システム。
　請求項１記載の情報システムであって、前記共有された情報が一致することを前記乱数の合成が為されるための充分条件とすることにより、前記認証する被認証体と当該情報システムとの間の相互認証を可能にしたことを特徴とする情報システム。
　請求項１記載の情報システムであって、前記共有された情報が一致しないことを前記乱数の合成が中断されるための充分条件とすることにより、前記ＩＤ及び予め共有された情報を有する被認証体に関しスキミング検知を行うことを特徴とする情報システム。
　ＩＤが登録された被認証体と予め情報が共有される情報システムであって、前記ＩＤ及び予め共有された情報を用いて、前記ＩＤ及び予め共有された情報を有する被認証体を認証することにより、前記認証した被認証体の関与を管理するための情報工学的要素が実装された情報システムにおいて、前記情報工学的要素は、
　自然乱数を与える自然乱数源と、
　前記ＩＤ及び予め共有された情報を有する被認証体から前記ＩＤ及び予め共有された情報を読み取って、前記ＩＤ及び予め共有された情報を有する被認証体を認証する際に、前記予め共有された情報と前記自然乱数源から与えられた自然乱数とから乱数を合成し、前記認証する被認証体が有する予め共有された情報を前記合成した乱数に書き換えることにより、前記合成した乱数を、前記認証する被認証体の次の認証のための情報として、前記認証する被認証体と予め共有する乱数合成部と、
　前記予め共有された情報と前記予め共有する情報とを順序付けし、前記ＩＤに関係付けて保有することにより、前記予め共有された情報を因とし、前記予め共有する情報を果とする因果の唯一性を体現した因果列を生成する因果列生成部と、
を備えることを特徴とする情報システム。