JPH027638A - 認証方式 - Google Patents
認証方式Info
- Publication number
- JPH027638A JPH027638A JP63156020A JP15602088A JPH027638A JP H027638 A JPH027638 A JP H027638A JP 63156020 A JP63156020 A JP 63156020A JP 15602088 A JP15602088 A JP 15602088A JP H027638 A JPH027638 A JP H027638A
- Authority
- JP
- Japan
- Prior art keywords
- verifier
- sentence
- random number
- prover
- initial response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
[産業上の利用分野コ
この発明は、電気通信システムを介して資金移動を行な
う際に、消費者のプライバシイを保護できる通信プロト
コルを実現することが出来る機能を備えたシステムによ
る認証方式に関する。
う際に、消費者のプライバシイを保護できる通信プロト
コルを実現することが出来る機能を備えたシステムによ
る認証方式に関する。
[従来の技術]
近年、電気通信システムを仲介した電子資金移動や、I
Cカードを使用した決済が普及してきている。また、現
金の代替手段として汎用プリペイドカードや、電子財布
を利用することも研究されている。
Cカードを使用した決済が普及してきている。また、現
金の代替手段として汎用プリペイドカードや、電子財布
を利用することも研究されている。
この様なシステムを介した資金の流れが特定の組織に管
理されると、消費者の消費動向などの個人情報が組織の
システム内に蓄積され、プライバシイ保護の観点から問
題となる。
理されると、消費者の消費動向などの個人情報が組織の
システム内に蓄積され、プライバシイ保護の観点から問
題となる。
これを解決するために、D、 Chaumの暗号技術を
用いて資金移動の追跡を不可能とする方式があるが、情
報処理装置におけるR3A暗号の処理量が大きいため負
担がかかる欠点がある。
用いて資金移動の追跡を不可能とする方式があるが、情
報処理装置におけるR3A暗号の処理量が大きいため負
担がかかる欠点がある。
[発明が解決しようとする課題]
この発明は、システム設計者が処理速度を考慮して安全
性のパラメータを選択できるようにして、従来方式より
も高速な、追跡が不可能な認証方式を提供することを目
的とする。
性のパラメータを選択できるようにして、従来方式より
も高速な、追跡が不可能な認証方式を提供することを目
的とする。
[課題を解決するための手段]
処理量を削減するために、問い合わせ文と応答文を用い
るFiat−3hamir法をベースとして、高速な認
証処理方式を実現する。また、第三者にA−8間及びB
−C間において通信が行なわれるデータの対応関係を秘
匿して、追跡を不可能とするために、Bが問い合わせ文
の対応関係と応答文の対応関係を乱数に依って与え、そ
の乱数を秘密に保つことにより、従来より少ない処理量
よって、追跡が不可能な認証処理を可能としている。
るFiat−3hamir法をベースとして、高速な認
証処理方式を実現する。また、第三者にA−8間及びB
−C間において通信が行なわれるデータの対応関係を秘
匿して、追跡を不可能とするために、Bが問い合わせ文
の対応関係と応答文の対応関係を乱数に依って与え、そ
の乱数を秘密に保つことにより、従来より少ない処理量
よって、追跡が不可能な認証処理を可能としている。
[実施例]
第1図は、この発明の原理を示す構成図である。
証明者A(100)が設備する装置、被検証者B(20
0)が設備する装置、及び検証者Cが設備する装置は、
それぞれ通信回線を介して接続されている。第1図(a
)は利用者の認証方式、また同図(b)はメツセージの
認証方式において目的を達成するための交信状態を示し
ている。なお、第1図において、Bから八への破線は、
破線の後の手順を実行する前に必要とする場合の手順を
象徴的に示したものである。
0)が設備する装置、及び検証者Cが設備する装置は、
それぞれ通信回線を介して接続されている。第1図(a
)は利用者の認証方式、また同図(b)はメツセージの
認証方式において目的を達成するための交信状態を示し
ている。なお、第1図において、Bから八への破線は、
破線の後の手順を実行する前に必要とする場合の手順を
象徴的に示したものである。
以下の説明においては、Aは証明者(例えば銀行)、B
は被検証者(例えば消費者)、Cは検証者(例えば商店
)であり、まず、AがBの身元を確認したことをCに対
して証明するS8証方式を説明し、次にBがAの介助の
もとにメツセージmに署名するメツセージの認証方式を
説明する。
は被検証者(例えば消費者)、Cは検証者(例えば商店
)であり、まず、AがBの身元を確認したことをCに対
して証明するS8証方式を説明し、次にBがAの介助の
もとにメツセージmに署名するメツセージの認証方式を
説明する。
ここで、上記のDavid Chaumの資金移動方式
%式% No、 10)について概説する。
%式% No、 10)について概説する。
なお、A%B、C,・mlについては、それぞれ前述し
た意味で使用される。
た意味で使用される。
(ア)Bは、金額等の取引内容を含む文書mを乱数によ
り撹乱して通信文2を作成し、これを八に送信する。
り撹乱して通信文2を作成し、これを八に送信する。
(イ)AはBの正当性を認証した後に、Bの口座から金
額を引き落とし、金額に対応した署名を2に施して、署
名付き通信文z′を已に返送する。
額を引き落とし、金額に対応した署名を2に施して、署
名付き通信文z′を已に返送する。
(つ)Bは、2゛から乱数の影響を取り除いて、mに署
名を施した値としてmoを求め、これを現金にかわる手
段としてCに支払う。
名を施した値としてmoを求め、これを現金にかわる手
段としてCに支払う。
(1)Cは、moがAによって署名されていることを確
認し、moに表示がある金額の価値があると判断する。
認し、moに表示がある金額の価値があると判断する。
(オ)Cは、後日m°をAに提出することによって、対
応する金額を受は取る。
応する金額を受は取る。
このように、m“は、金券としての機能を備えている。
この場合、2はmに乱数が付加されているので、A及び
第三者には、2からmを推定することは不可能である。
第三者には、2からmを推定することは不可能である。
また、AがCと結託しても、m と2の対応を知ること
はできないから、誰がmoを発行したかは、秘密に保た
れる。従って、金券m゛の発行元は追跡不可能であるか
ら、消費者の消費動向等のプライバシイを守ることがで
きる。
はできないから、誰がmoを発行したかは、秘密に保た
れる。従って、金券m゛の発行元は追跡不可能であるか
ら、消費者の消費動向等のプライバシイを守ることがで
きる。
しかし、この方式においては、2から2゛を求めるため
にR3A暗号を利用するから、例えば、200桁同上の
整数の乗法(剰余計算を含む)が平均して768回必要
になるというように、処理量が大きいことが問題であり
、この場合には、銀行Aの負担が重いことが欠点となる
。
にR3A暗号を利用するから、例えば、200桁同上の
整数の乗法(剰余計算を含む)が平均して768回必要
になるというように、処理量が大きいことが問題であり
、この場合には、銀行Aの負担が重いことが欠点となる
。
次に、高速な認証方式として、FiatとSha…I「
の方式を説明する( ^、Fiat、 and^、 S
hamir、 ”Howto prove your
self: practical 5olution
s t。
の方式を説明する( ^、Fiat、 and^、 S
hamir、 ”Howto prove your
self: practical 5olution
s t。
1dentification and sign
ature problems 。
ature problems 。
Proceedings of Crypto 86,
5anta Barbara、Aug。
5anta Barbara、Aug。
1986、 pp、 18−l−18−7)。
Fiat−Shamir法によると、処理量は、平均し
てt (k+2) /2 回の乗算(但し法Nにおけ
る剰余計算を含む)で済み、特にに=5、t=4に選ぶ
ことが推奨されているので、乗算回数は14回となるか
ら、RSA暗号による署名法に比較して処理量を大幅に
削減できる。具体的には、14/768=0.02であ
るから、2%で実現できることになる。
てt (k+2) /2 回の乗算(但し法Nにおけ
る剰余計算を含む)で済み、特にに=5、t=4に選ぶ
ことが推奨されているので、乗算回数は14回となるか
ら、RSA暗号による署名法に比較して処理量を大幅に
削減できる。具体的には、14/768=0.02であ
るから、2%で実現できることになる。
信頼できるセンタが、個人識別情報としてIDを使用す
る個人に対して、次の手順により k個(kは安全性を
定めるパラメータであり、1以上の値)の秘密情報5j
(1≦j≦k)を生成する。
る個人に対して、次の手順により k個(kは安全性を
定めるパラメータであり、1以上の値)の秘密情報5j
(1≦j≦k)を生成する。
ここで、Nは公開情報であり、秘密の素数PとQを用い
てN=PXQと表せる。またfは一方向性関数であり、
公開されている。
てN=PXQと表せる。またfは一方向性関数であり、
公開されている。
5tepl: 一方向性関数fを用いてvj=f
(ID、j) (1≦j≦k)を計算する。
(ID、j) (1≦j≦k)を計算する。
5tep2: 各vjに対してNの素因数PとQを用
いて sj=めフー了 (mod N)を計算する。
いて sj=めフー了 (mod N)を計算する。
変形すれば次式となる。
s j2=1/v j (mod N)s
tep3:利用者に対してに個のsjを秘密に発行し、
一方向性関数「と合成数Nを公開する。
tep3:利用者に対してに個のsjを秘密に発行し、
一方向性関数「と合成数Nを公開する。
(mod N)における平方根の計算は、Nの素因数
(PとQ)が分かっているときのみ実行できる。その方
法は例えばRabin、 M、口、:’Digital
izedSignatures and publ
ic−key Functions as In
tractable as Factorizatio
n”、Tech、Rep、旧T/LCS/TR−212
MAT Lab、 Comput、 Sci、1979
に記載されている。平方根の計算装置の具体的な構
成は、公開鍵暗号システム(特願昭6l−169350
)に示されている。
(PとQ)が分かっているときのみ実行できる。その方
法は例えばRabin、 M、口、:’Digital
izedSignatures and publ
ic−key Functions as In
tractable as Factorizatio
n”、Tech、Rep、旧T/LCS/TR−212
MAT Lab、 Comput、 Sci、1979
に記載されている。平方根の計算装置の具体的な構
成は、公開鍵暗号システム(特願昭6l−169350
)に示されている。
利用者の認証方式は、以下に示すとおりである。
認証者Aは、□”検証者Cに灯して、Aが本物であるこ
とを、次の手順で証明する。
とを、次の手順で証明する。
5tep1: AがIDをCに送る。
5tep2: Cが、 v’ j= f (1’ D
、 j )(1′≦j≦k)を計算する。
、 j )(1′≦j≦k)を計算する。
次に、”+ ” 1.・・□・・、tについて3−6の
ステップを繰り返す(tは安全性を定めるパラメータで
あり、1以上の数)。
ステップを繰り返す(tは安全性を定めるパラメータで
あり、1以上の数)。
5tep3: 乱数riを生成して、xi=ri2
(mad N) □ を計算して、Cに送る。
(mad N) □ を計算して、Cに送る。
5tep4: Cが、0.1のビット列(eil。
・・・・、eik)を生成して、八に送る。
5tep5: Aが署名文yiを
により生成して、Cに送る。
5tep6:
Cは、
が成り立つことを検査する。
yiの作り方より
=Xi’ (n4+ o d N)
が成立するから、を回の検査にすべて合格した場合、C
は八が本物であるとλ忍める。
は八が本物であるとλ忍める。
このとき、検証者Cが、・偽の証明者を本物のAと認め
てしまう誤りの生じる確率は1/2肛である。ここで、
kは証明者が秘密1と管理するsjの個数であり、tは
通信分の通信回数を定めている。
てしまう誤りの生じる確率は1/2肛である。ここで、
kは証明者が秘密1と管理するsjの個数であり、tは
通信分の通信回数を定めている。
以上の説明では、利用者のδ瀧証方式について説明した
が、メツセージの認証方式は、上記の手順を次のように
変更して実現できる。
が、メツセージの認証方式は、上記の手順を次のように
変更して実現できる。
すなわち、メツセージmと(、xi、 ・・・・(’
x t) l+lニ一方向性関数fを施して得たf”
(m、 xl: ・・・・・x’t)の先頭のに層
上ビットを上記手順のビット列(eii)とみなして、
署名文どして、(I−D、m。
x t) l+lニ一方向性関数fを施して得たf”
(m、 xl: ・・・・・x’t)の先頭のに層
上ビットを上記手順のビット列(eii)とみなして、
署名文どして、(I−D、m。
(e目’) ’+ ”’V”I: ・・・・・、yt
)を署名付き通倍文として検証者に・送信する。
)を署名付き通倍文として検証者に・送信する。
このようにFiat−Shamir法は高速な認証方式
であるが、現在までのところ、この方式を用いた追跡不
可能な認証方式はJ案出されていない。
であるが、現在までのところ、この方式を用いた追跡不
可能な認証方式はJ案出されていない。
この発明は、第1図(a)に示すように、AB間とB−
C間でそ・れぞれ’Fli、a t−Sham i r
法の利用者認証方□式を・採用し、2つ1のFia・t
−3hamir法を対応づける情報を已において秘密に
することにより、追跡不可能な利用者の認証方式を実現
できる。
C間でそ・れぞれ’Fli、a t−Sham i r
法の利用者認証方□式を・採用し、2つ1のFia・t
−3hamir法を対応づける情報を已において秘密に
することにより、追跡不可能な利用者の認証方式を実現
できる。
F iat−3ham”i r’法の場合□と同様に、
偏傾できるセンタが、□合成数Nと一方向性関数ゴを公
開し、さらに証明者Aの・識別情報LD・に対応する秘
密情報Sを計算□して、Sを・Aに配送す□る。以下、
k=1の場合1どpいて゛証明す・る計 A(l・O’ O’)”の概略□を第2図、B(200
)・の概略を第3図、C□(300□)′・・・の概略
を第4図、にそれぞれ示す。 パ・ 認証者Aは、被検証者Bの・正当性を、検証者Cに対し
て、次の手順でミーする□。
偏傾できるセンタが、□合成数Nと一方向性関数ゴを公
開し、さらに証明者Aの・識別情報LD・に対応する秘
密情報Sを計算□して、Sを・Aに配送す□る。以下、
k=1の場合1どpいて゛証明す・る計 A(l・O’ O’)”の概略□を第2図、B(200
)・の概略を第3図、C□(300□)′・・・の概略
を第4図、にそれぞれ示す。 パ・ 認証者Aは、被検証者Bの・正当性を、検証者Cに対し
て、次の手順でミーする□。
s’teplプAがI’DをBとCに送る。
s t′e p 2 :’AとBとCは、それぞれ一方
向性関数計算器(105,205,305)を用いて、
x = f (I D>を計算する。
向性関数計算器(105,205,305)を用いて、
x = f (I D>を計算する。
次に、3−6のステップをt回繰り返す。
3t’ep3: Aは初期応答文発生器(tto>を
用いて初期応答文X゛を発生して已に送る。
用いて初期応答文X゛を発生して已に送る。
初期応答文発生器110は、乱数発生器1.11と、剰
余付き乗算器112により構成することができる。′1
11を用いて乱数rを発生し、112を用い□て、 x’ =xXr” (’m6”d N)によりXo
を計□算する。
余付き乗算器112により構成することができる。′1
11を用いて乱数rを発生し、112を用い□て、 x’ =xXr” (’m6”d N)によりXo
を計□算する。
剰余付き乗算の効率のよい計算方法は、例えば池野、小
山著「゛現代暗号理−」、電□子通信学□会、pp、:
’ L−6−17、(1986)、に示されている。
山著「゛現代暗号理−」、電□子通信学□会、pp、:
’ L−6−17、(1986)、に示されている。
5tep4: Bは、Xoを受信すると、乱数発生器2
1O,!:′初期応答文撹乱器215を用いて、210
で発生したO、]のピッ)eと乱数Uを、Xo及び先に
生成したx′と共に215に入力し、撹乱された初期応
答文X″を計算してCに送る。
1O,!:′初期応答文撹乱器215を用いて、210
で発生したO、]のピッ)eと乱数Uを、Xo及び先に
生成したx′と共に215に入力し、撹乱された初期応
答文X″を計算してCに送る。
初期応答文撹乱器215は、剰余付き乗算器として構成
し、受信した初期応答文x’ x、e。
し、受信した初期応答文x’ x、e。
及びUから
x =u’xx−@xx’ (mad N)に
よりXoを計算する。
よりXoを計算する。
5tep5: Cは、x”を受信すると、Xを秘密情
報格納器310に格納した後に、乱数発生器320を用
いて、0.1のビットβを生成して問い合わせ文として
已に送る。
報格納器310に格納した後に、乱数発生器320を用
いて、0.1のビットβを生成して問い合わせ文として
已に送る。
5tep6: Bはβを受信すると、βと先に生成し
たeを問い合わせ文撹乱器220に入力して、撹乱され
た問い合わせ文β′を計算してAに送る。220は、例
えば、排他的論理和計算器により構成し、 β′ =β+e (mod 2) により計算する。
たeを問い合わせ文撹乱器220に入力して、撹乱され
た問い合わせ文β′を計算してAに送る。220は、例
えば、排他的論理和計算器により構成し、 β′ =β+e (mod 2) により計算する。
5tep7: Aは、β′を受信すると、先に生成し
た乱数rと、受信した問い合わせ文β′を証明器120
に入力して、応答文2を計算してBに送る。
た乱数rと、受信した問い合わせ文β′を証明器120
に入力して、応答文2を計算してBに送る。
証明器120は、秘密情報格納器121と剰余付き乗算
器1.22により構成し、121がら秘密情報Sを読み
だして、110から引き継いだrと、受信したβ′を剰
余付き乗算器122に入力して、z=r’xsβ (
mod N) により2を計算する。
器1.22により構成し、121がら秘密情報Sを読み
だして、110から引き継いだrと、受信したβ′を剰
余付き乗算器122に入力して、z=r’xsβ (
mod N) により2を計算する。
5tep8: Bは、2を受信すると、Zと先に生成
したx、e、及びUを乱数成分除去器230に入力して
、応答文Z′を計算してCに送る。
したx、e、及びUを乱数成分除去器230に入力して
、応答文Z′を計算してCに送る。
乱数成分除去器230は、例えば、条件判定器23+と
、剰余付き乗算器232によって構成し、によりZ″を
計算する。
、剰余付き乗算器232によって構成し、によりZ″を
計算する。
5tep9: Cは、Z゛を受信すると、検査器33
0を用いて2°の正当性を検査する。
0を用いて2°の正当性を検査する。
検査器330は、剰余付き乗算器331と比較器332
により構成し、310から引き継いだ、Xoと、305
から引き継いだx′と、、320から引き継いだβに対
して、 x =z” xxβ (mad N)が成立
するか否かを検査する。
により構成し、310から引き継いだ、Xoと、305
から引き継いだx′と、、320から引き継いだβに対
して、 x =z” xxβ (mad N)が成立
するか否かを検査する。
ここでは、を回の問い合わせ一応答のやりとりを順次行
う例を示したが、問い合わせ一応答のやりとりを同時に
行ってもよい。
う例を示したが、問い合わせ一応答のやりとりを同時に
行ってもよい。
次に、第1図(b)を用いて、BがΔの力を借りてメツ
セージmに署名するメツセージの認証方式について説明
する。
セージmに署名するメツセージの認証方式について説明
する。
A−B間ではFiat−3hamir法の利用者認証方
式を、B−C間ではFiat−8hmir法のメツセー
ジJ忍証方式を採用する。2つの認証方式を対応付ける
情報を已において秘密にすることで、追跡不可能なメツ
セージの認証処理を実現する。
式を、B−C間ではFiat−8hmir法のメツセー
ジJ忍証方式を採用する。2つの認証方式を対応付ける
情報を已において秘密にすることで、追跡不可能なメツ
セージの認証処理を実現する。
Fiat−3hamir法と同様に、信頼できるセンタ
が、合成数Nと一方向性関数rを公開し、さらに、証明
者への識別情報IDに対応する秘密情報Sを計算して、
Sを八に配送する。以下においては、klの場合につい
て説明する。
が、合成数Nと一方向性関数rを公開し、さらに、証明
者への識別情報IDに対応する秘密情報Sを計算して、
Sを八に配送する。以下においては、klの場合につい
て説明する。
A(+00)の概略を第2図、B(200)の概略を第
5図、C(300)の概略を第6図に示す。
5図、C(300)の概略を第6図に示す。
Bは、Aの力を借りて、次の手順で文書mに署名する。
5tepl: AがIDをBとCに送る。
3tep2: AとBとCは、それぞれ一方向性関数
計算器(105,205,305)を用いて x=f
(ID) を計算する。
計算器(105,205,305)を用いて x=f
(ID) を計算する。
5tep3: Aは初期応答文発生器110を用いて
t個の初期応答文X“ i (i=1.2.・・・、1
)からなるX を計算して已に送る。
t個の初期応答文X“ i (i=1.2.・・・、1
)からなるX を計算して已に送る。
初期応答文発生器110は、例えば、乱数発生器1.1
1と剰余付き乗算器112により構成し、Illを用い
てt個の乱数r1を発生し、112を用いて、 x’ 1=xxri’ (mad N)(i=1
.2.1・、t)により、を個のx′ lを計算する。
1と剰余付き乗算器112により構成し、Illを用い
てt個の乱数r1を発生し、112を用いて、 x’ 1=xxri’ (mad N)(i=1
.2.1・、t)により、を個のx′ lを計算する。
5tep4: BはXoを受信すると、乱数発生器2
10を用いてt組のビットelと乱数 uiのペアを発
生しその値を、受信したt個のx′と先に生成したx′
と共に初期応答文撹乱器215に入力し、を個の撹乱さ
れた初期応答文xiを計算してx =(x’l、・・
・・、Xot)を問い合わせ文発生器250に引き継ぐ
。
10を用いてt組のビットelと乱数 uiのペアを発
生しその値を、受信したt個のx′と先に生成したx′
と共に初期応答文撹乱器215に入力し、を個の撹乱さ
れた初期応答文xiを計算してx =(x’l、・・
・・、Xot)を問い合わせ文発生器250に引き継ぐ
。
初期応答文撹乱器215は、例えば、剰余付き乗算器に
より構成し、210が生成したt組の01とu11受信
したt個の初期応答文x′lとXを215に入力して x 1=ui” xx−”xx’ i (mo
d N)(i=1.2.・・・、1) によりt個のxiを計算する。
より構成し、210が生成したt組の01とu11受信
したt個の初期応答文x′lとXを215に入力して x 1=ui” xx−”xx’ i (mo
d N)(i=1.2.・・・、1) によりt個のxiを計算する。
5tep5: Bは、メツセージmとt個のXoiを
問い合わせ文発生器250に入力して、問い合わせ文(
βとβ′)を作成してβ′を証明老人に送信し、βを乱
数成分除去器260に引き継ぐ。
問い合わせ文発生器250に入力して、問い合わせ文(
βとβ′)を作成してβ′を証明老人に送信し、βを乱
数成分除去器260に引き継ぐ。
問い合わせ文発生器250は、例えば、一方向性関数計
算器251と排他的論理和計算器252で構成し、 (β1. ・・−・、βt)=f (m、x”l、
・−、x ’ t)β ’i= β i+ei
(mod 2) (i=1.2.
・・・、し) によって、 β−(β1.・・・・、βt)と、β′=(β′1.・
・・・β’t)を求める。
算器251と排他的論理和計算器252で構成し、 (β1. ・・−・、βt)=f (m、x”l、
・−、x ’ t)β ’i= β i+ei
(mod 2) (i=1.2.
・・・、し) によって、 β−(β1.・・・・、βt)と、β′=(β′1.・
・・・β’t)を求める。
5tep6: Aは、β′を受信すると、証明器12
0を用いて、先に発生した乱数riと、受信した問い合
わせ文β′から、応答文2を計算して已に送る。
0を用いて、先に発生した乱数riと、受信した問い合
わせ文β′から、応答文2を計算して已に送る。
証明器120は、例えば、秘密情報格納器121と剰余
付き乗算器122により構成し、121から秘密情報S
を読み出し、110から引き継いだ「と、受信したβ′
を剰余付き乗算器122に入力して、 zi =ri xsβ”(mad N)(i=1.2
.・・・、t)により計算したziを用いて、 z=(zl、・・・・・・、zt ) を求める。
付き乗算器122により構成し、121から秘密情報S
を読み出し、110から引き継いだ「と、受信したβ′
を剰余付き乗算器122に入力して、 zi =ri xsβ”(mad N)(i=1.2
.・・・、t)により計算したziを用いて、 z=(zl、・・・・・・、zt ) を求める。
5tep7: Bは、2を受信すると、2と、先に生
成したx′とt組の(ei、ui)を乱数成分除去器2
60に入力して、応答文2′ を計算してβ1mと共に
Cに送る。
成したx′とt組の(ei、ui)を乱数成分除去器2
60に入力して、応答文2′ を計算してβ1mと共に
Cに送る。
乱数成分除去器260は、例えば、条件判定器261と
剰余付き乗算器262によって構成し、(i=1.2.
・・・、1) により計算したz′ iを用いて、 z’ = (z’ 1.・・・・、z’t) を求め
る。
剰余付き乗算器262によって構成し、(i=1.2.
・・・、1) により計算したz′ iを用いて、 z’ = (z’ 1.・・・・、z’t) を求め
る。
stepg: Cは、(m、 β、2°)を受信す
ると、検査器340を用いて(m、 β、2°)の正当
性を検査する。
ると、検査器340を用いて(m、 β、2°)の正当
性を検査する。
検査器340は、例えば、剰余付き乗算器341と一方
向性関数計算器342と比較器343によって構成し1 、βi x”i=z’i’ Xx+ (mod N)に
よりXIを求めて、 β=f(m、x”l、 =、 x″t)が成立するか否
かを検査する。
向性関数計算器342と比較器343によって構成し1 、βi x”i=z’i’ Xx+ (mod N)に
よりXIを求めて、 β=f(m、x”l、 =、 x″t)が成立するか否
かを検査する。
以上のように、Fiat−3hamir法をベースとし
た追跡不可能な認証方式について説明したが、この方式
においては、Nの素因数分解が困難な場合に(mod
N)での平方根の計算が困難であるという事実に基づ
いている。
た追跡不可能な認証方式について説明したが、この方式
においては、Nの素因数分解が困難な場合に(mod
N)での平方根の計算が困難であるという事実に基づ
いている。
離散対数問題等の困難性を利用した認証法をベースにし
ても、同様の議論は成立する。この認証法については、
例えば、 M、Tompa and H,Wall。
ても、同様の議論は成立する。この認証法については、
例えば、 M、Tompa and H,Wall。
’Random 5elf−Reducibility
and Zero Knowledge Inter
active Proofs of Po5sessi
on of Inf。
and Zero Knowledge Inter
active Proofs of Po5sessi
on of Inf。
rmation″、 FOC8,pp、 472−48
2 (1987)及び、開本、太田共著[零知識証明問
題の不正使用法とその対策及び応用についてJ (1
988年暗号色情報セキュリティシンポジウムワークシ
ョップ)に示されている。
2 (1987)及び、開本、太田共著[零知識証明問
題の不正使用法とその対策及び応用についてJ (1
988年暗号色情報セキュリティシンポジウムワークシ
ョップ)に示されている。
また、後述の発明の効果においても記載した、零知識対
話型証明システム性及び非転移性については、例えば、
11.Feige、 A、Fiat and A、Sh
amir。
話型証明システム性及び非転移性については、例えば、
11.Feige、 A、Fiat and A、Sh
amir。
” Z e r oにnowledge Proofs
of Identity’、 Proceeding
s of the 19th Annual
ACM Symposium onTheory
of Computing、1987.pp、210
−217の文献がある。
of Identity’、 Proceeding
s of the 19th Annual
ACM Symposium onTheory
of Computing、1987.pp、210
−217の文献がある。
[発明の効果]
本発明は、Fiat−Shamir法をベースにしてい
るため、認証処理が高速に実現できる。また、Bが、問
い合わせ文の対応関係と応答文の対応関係を、秘密の乱
数で与えているから、その値を秘密に保つことにより、
A−8間とB−C間で通信されるデータの対応関係を隠
すことができる。すなわち、利用者の認証処理において
は、AがBの身元を保障していることを、Bの身元を明
かすことなくCに証明することができる。メツセージの
認証処理においては、Bはメツセージmの内容を知られ
ることなしにAに署名をさせることができる。その結果
として、AとCが結託したとしても、Bの身元は明かと
はならず、Bがmを送信したことも検出することはでき
ない。従って追跡不可能な認証処理を実現できる効果を
得られる。
るため、認証処理が高速に実現できる。また、Bが、問
い合わせ文の対応関係と応答文の対応関係を、秘密の乱
数で与えているから、その値を秘密に保つことにより、
A−8間とB−C間で通信されるデータの対応関係を隠
すことができる。すなわち、利用者の認証処理において
は、AがBの身元を保障していることを、Bの身元を明
かすことなくCに証明することができる。メツセージの
認証処理においては、Bはメツセージmの内容を知られ
ることなしにAに署名をさせることができる。その結果
として、AとCが結託したとしても、Bの身元は明かと
はならず、Bがmを送信したことも検出することはでき
ない。従って追跡不可能な認証処理を実現できる効果を
得られる。
なお、本発明の方式の安全性は、計算量理論の理論的な
研究成果である零知識対話型証明システム性や非転移性
をみたすことによって保障することができる。
研究成果である零知識対話型証明システム性や非転移性
をみたすことによって保障することができる。
第1図は、この発明の原理構成図、第2図は証明老人が
設備する装置のブロック図、第3図は利用者の認証方式
における被検証者Bが設置する装置のブロック図、第4
図は利用者の認証方式における検証者Cが設置する装置
のブロック図、第5図はメツセージの認証方式における
被検証者Bが設置する装置のブロック図、第6図は検証
者Cが設置する装置のブロック図である。 105、 205. 305. 251. 342ニ一
方向性関数計算器 110:初期応答文発生器 111.210,320:乱数発生器 112.122,232,262 331,341:剰
余付き乗算器 215:初期応答文撹乱器 310:秘密情報格納器 問い合わせ文撹乱器 証明器 260:乱数成分除去器 261:条件判定器 問い合わせ文発生器 排他的論理和計算器 340:検査器 343:比較器 A(100) B (200) C(300) (a)利用者の認証方式
設備する装置のブロック図、第3図は利用者の認証方式
における被検証者Bが設置する装置のブロック図、第4
図は利用者の認証方式における検証者Cが設置する装置
のブロック図、第5図はメツセージの認証方式における
被検証者Bが設置する装置のブロック図、第6図は検証
者Cが設置する装置のブロック図である。 105、 205. 305. 251. 342ニ一
方向性関数計算器 110:初期応答文発生器 111.210,320:乱数発生器 112.122,232,262 331,341:剰
余付き乗算器 215:初期応答文撹乱器 310:秘密情報格納器 問い合わせ文撹乱器 証明器 260:乱数成分除去器 261:条件判定器 問い合わせ文発生器 排他的論理和計算器 340:検査器 343:比較器 A(100) B (200) C(300) (a)利用者の認証方式
Claims (2)
- (1)証明者A、被検証者B及び検証者Cが当事者とし
て関与するシステムであって、 証明者Aは、初期応答文発生器及び証明器;被検証者B
は、乱数発生器、初期応答文撹乱器、問い合わせ文撹乱
器、及び乱数成分除去器;検証者Cは、検査器;をそれ
ぞれ備え、証明者Aは、初期応答文発生器を用いて生成
した初期応答文x′を被検証者Bに送信し、被検証者B
は、Aから受信した初期応答文x′と乱数発生器を用い
て生成した乱数成分を初期応答文撹乱器に入力して初期
応答文x″を作成して検証者Cに送信し、 検証者Cは、被検証者Bに問い合わせ文βを送信し、 被検証者Bは、Cから受信した問い合わせ文βと先に生
成した乱数成分を問い合わせ文撹乱器に入力して問い合
わせ文β′を作成して証明者Aに送信し、 証明者Aは、初期応答文x′と問い合わせ文β′に対応
した応答文zを証明器を用いて生成して被検証者Bに送
り返し、 被検証者Bは応答文zを乱数成分除去器に入力して乱数
成分の影響を取り除いて応答文z′を求め、その値を検
証者Cに送信し、 検証者Cは応答文z′を検査器に入力してz′が先に受
信した初期応答文x″と先に送信した問い合わせ文βに
対する正しい応答にをなっていることを検査し、 この手順を、1回か、または、安全性を向上する場合に
は、複数回繰り返すようにした、被検証者Bが、乱数成
分を秘密にすることによって、被検証者Bと証明者A間
で通信が行われる(x′、β′、z)と、検証者Cと被
検証者B間で通信が行われる(x″、β、z′)の対応
関係の秘密保持を可能ならしめることを特徴とする利用
者の認証方式。 - (2)通信文の正当性を確認するメッセージの認証方式
において、 証明者Aと、被検証者Bと、検証者Cとにそれぞれ設置
される装置が通信線を介して接続されるシステムにおい
て、 証明者Aは、初期応答文発生器と証明器を備え、被検証
者Bは乱数発生器、初期応答文撹乱器、問い合わせ文発
生器、及び乱数成分除去器を備え、検証者Cは検査器を
備え、 証明者Aは、初期応答文発生器を用いて生成した初期応
答文x′を被検証者Bに送信し、被検証者Bは、Aから
受信した初期応答文x′と乱数発生器を用いて生成した
乱数成分と署名対象のメッセージmを問い合わせ文発生
器に入力して問い合わせ文(βとβ′)を作成してβ′
を証明者Aに送信し、 証明者Aは、先に送信した初期応答文x′と受信した問
い合わせ文β′に対応した応答文zを証明器を用いて生
成して被検証者Bに送り返し、被検証者Bは、応答文z
と先に生成した乱数成分と問い合わせ文βを乱数成分除
去器に入力して乱数成分の影響を取り除いてメッセージ
mに対応した値z′を求め、z′をm、βと共に検証者
Cに送信し、 検証者Cは、z′と、メッセージmと、問い合わせ文β
を検査器に入力して、βとz′がmに対する正しい署名
になっていることを検査するという段階を有し、 被検証者Bが、乱数成分を秘密にすることによって、被
検証者Bと証明者A間で通信が行われる(x′、β′、
z)と、検証者Cと被検証者B間で通信が行われる(m
、β、z′)の対応関係を秘密にできることを特徴とす
るメッセージの認証方式。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63156020A JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
| US07/367,650 US4969189A (en) | 1988-06-25 | 1989-06-19 | Authentication system and apparatus therefor |
| CA000603463A CA1322600C (en) | 1988-06-25 | 1989-06-21 | Authentication system and apparatus therefor |
| EP89111318A EP0348812B1 (en) | 1988-06-25 | 1989-06-21 | Authentication method and apparatus therefor |
| DE68919923T DE68919923T2 (de) | 1988-06-25 | 1989-06-21 | Verfahren und Vorrichtung zur Authentifizierung. |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP63156020A JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH027638A true JPH027638A (ja) | 1990-01-11 |
| JP2571607B2 JP2571607B2 (ja) | 1997-01-16 |
Family
ID=15618558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP63156020A Expired - Lifetime JP2571607B2 (ja) | 1988-06-25 | 1988-06-25 | 認証方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2571607B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016519540A (ja) * | 2013-05-14 | 2016-06-30 | ペキン ユニバーシティ ファウンダー グループ カンパニー,リミティド | 分散環境の安全通信認証方法及びシステム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4969189A (en) | 1988-06-25 | 1990-11-06 | Nippon Telegraph & Telephone Corporation | Authentication system and apparatus therefor |
-
1988
- 1988-06-25 JP JP63156020A patent/JP2571607B2/ja not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016519540A (ja) * | 2013-05-14 | 2016-06-30 | ペキン ユニバーシティ ファウンダー グループ カンパニー,リミティド | 分散環境の安全通信認証方法及びシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2571607B2 (ja) | 1997-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12021850B2 (en) | Efficient methods for authenticated communication | |
| CN112950367B (zh) | 生成和执行智能合约交易的方法及装置 | |
| US4969189A (en) | Authentication system and apparatus therefor | |
| Yi et al. | A new blind ECDSA scheme for bitcoin transaction anonymity | |
| EP0824814B1 (en) | Methods and apparatus for authenticating an originator of a message | |
| EP1687931B1 (en) | Method and apparatus for verifiable generation of public keys | |
| US12063293B2 (en) | Collation system, client and server | |
| US12200147B2 (en) | Collation system, client, and server | |
| US20220029812A1 (en) | Collation system, client and server | |
| JP2008512060A (ja) | 仮署名スキーム | |
| US6636969B1 (en) | Digital signatures having revokable anonymity and improved traceability | |
| CN104168115A (zh) | 前向安全的不可拆分数字签名方法 | |
| JP2805493B2 (ja) | 認証方法及びそれに用いる装置 | |
| CN113793149A (zh) | 离线交易认证系统、方法及中心服务器、客户端 | |
| US7382875B2 (en) | Cryptographic method for distributing load among several entities and devices therefor | |
| Wang et al. | A consumer anonymity scalable payment scheme with role based access control | |
| Chiou et al. | Design and implementation of a mobile voting system using a novel oblivious and proxy signature | |
| Pang et al. | A secure agent-mediated payment protocol | |
| JPH027638A (ja) | 認証方式 | |
| Verma | New ID-based fair blind signatures | |
| JP3171228B2 (ja) | 複数信託機関を利用した電子紙幣実施方法 | |
| JP2805494B2 (ja) | 認証方法及びそれに用いる装置 | |
| Elkamchouchi | An Improvement to the SET Protocol Based On Signcryption | |
| Chaturvedi et al. | A Secure Money Transaction Scheme (Identification Scheme) using Elliptic Curves | |
| Fan et al. | Privacy enhancement for fair PayWord‐based micropayment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071024 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081024 Year of fee payment: 12 |
|
| EXPY | Cancellation because of completion of term | ||
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081024 Year of fee payment: 12 |