JP5314240B2 - 通信路システム - Google Patents

Description

本発明は、スリーウェイ・ハンドシェイクによる通信セッション確立のための通信路システムに関し、より詳細には、共有乱数を自動更新する符号化通信を実装するための通信路システムに関する。

一般に、認証システムは、秘密を予め共有し、この予め共有した秘密を見せ合うことにより、秘密共有者の間で相互の認証が為される。

しかしながら、従来の認証システムでは、秘密の共有にコストが掛かり、共有する秘密を頻繁に更新することが難しかった。

このため、従来は、（１）共有した秘密を更にコストを掛けて維持するようにしており、その結果（２）万一、秘密が漏れ、それが不正に利用された時に、その不正利用者を見破ることが極めて困難であった。

この点、秘密の漏洩は、現実には人が神ならざることに起因する。

即ち、暗号の数理的強度以前の、それを運用する仕組みの中に問題があり、そこに人が介在することに起因している。

例えば、現代の暗号の鍵が漏れるとしたら、それは多分に人の介在を原因とし、同様に、カード番号或いはクレジット番号等のID情報の漏れにも、人的要素が絡む。

この種の情報漏れは、システムもユーザも認識できず、情報漏れに基づく被害がクローズアップされるのを座して待つことになる。

つまり、ＩＤ情報の保管に絡む場合を含め、認証のための秘密共有は、常に、
1) その値を一定不変に保ち、
2) その値を秘密に保管する
というメンテナンスを伴って、初めて完遂できる。

しかるに、この共有乱数（秘密）のメンテナンスは、今のところまだ人の規範に託されており、それが情報漏れの温床になっている。

こうしたメンテナンスにおける人的規範への依存性を緩和する手法として、チャレンジ・アンド・レスポンス（Challenge & Response）方式の１：１認証子であるチャップ(ＣＨＡＰ：非特許文献参照)が知られている。
CHAP（PPP Challenge Handshake Authentication Protocol）Network Working Group: W. SimpsonRequest for Comments: 1994 DayDreamerObsoletes: 1334 in August 1996Category: Standards Track

非特許文献１によると、ＰＰＰ（ポイント・ツー・ポイント・プロトコル）は、ポイント・ツー・ポイント・リンクを介してマルチプロトコル・データグラムを移送する標準方式を与える。ＰＰＰはまた、延長可能なリンク・コントロール・プロトコルを規定し、これは、ネットワーク・レイヤー・プロトコルにリンクを介した伝送を許可する前に、そのピアの認証を行う認証プロトコルの折衝を許可する。この文書は、ＰＰＰを用いた認証の方法を規定し、これはランダムなチャレンジを行い、その際、秘密鍵とそのチャレンジに依存した暗号学的ハッシュ応答を用いる。RFC1994,PPPチャップ：この認証方式は、認証者及びそのピアにのみ知られた“秘密”に依存し、この秘密はリンクを介して送信されない。

しかしながら、このチャップは、前記1)と2)の秘密（共有乱数）のメンテナンスを、人が行うものであり、後述の記載より明らかなごとく、人工的な要素が残存し、安全性に難がある。

本願は、前記1)と2)の秘密のメンテナンスを、人から通信システムへ、実用上は当然、理論面でも安全に移行することが可能な、いわば神の手に委ねた１：１認証子を備える認証システムの技術を模索する。

そして、秘密共有を通信のセッション毎に安全に更新する情報技術を考える。

この技術によれば、通信の終了時に、新しい秘密共有が成立し、通信の開始時に使われた秘密共有を使い捨てにできる。すなわち、秘密の共有が過去の出来事になり、その秘密が漏洩したとしても、それは過去の秘密になる。

この点、過去の秘密と現在の秘密とが情報論的に独立していれば、もはや情報漏れは恐れるに足らない。

それだと、正規ユーザだけを認証するシステムの構成も可能になる。

本発明は、以上の点に鑑み為された。

なお、本発明において、1:1認証子とは：
自然乱数による乱数の暗号化と復号化を行うシステム要素又はその入出力情報（例えば、暗号文）と；
自然乱数による乱数の暗号文をハッシュ関数に入力するシステム要素又はその入出力情報と；
乱数の暗号文とハッシュ関数値とを1対にして送信及び受信する通信部分としてのシステム要素又はその入出力情報（例えば、識別子及び確認子）と、を備えて構成される。

また、説明を明瞭に行うため、本明細書に、次の記号を援用する。

[X]: 自然乱数発生源である。

[Y]: 乱数発生源(自然乱数または擬似乱数)である。

[Z]: 自然乱数発生源である。

Y_n : 一定の桁数の確率変数である。

但し、n : インデックス、n = 1,2,……,n
[X_n] : 一定の桁数の自然乱数のブロックをである。

[Y_n] : 一定の桁数の乱数のブロックである。

[Z_n] : 一定の桁数の自然乱数のブロックである。

|[X_n]| : 自然乱数ブロックの桁数である。

H() : (）内の変数のシャノンエントロピ（Shannon entropy）を求める関数である。

h(): （）内の変数のハッシュ値を求める関数である。

+: 排他的論理和である。

本発明の通信路システムは、
通信線と、
前記通信線に接続された端末Ａ及び端末Ｂと、
前記端末Ａは、
初期値として、[ＸＡｎ]、[ＹＡｎ]、[ＺＡｎ]の互いに独立な３つの整数を有し、
前記初期値[ＸＡｎ]と同じ桁の自然乱数[ＸＡｎ＋１]を発生する第１の乱数発生源（Ｘ）と、
前記初期値[ＺＡｎ]と同じ桁の自然乱数「ＺＡｎ＋１」を発生する第２の乱数発生源（Ｚ）とを備え、

前記端末Ｂは、
初期値として、前記初期値[ＸＡｎ]と同じ値の[ＸＢｎ]、前記初期値[ＹＡｎ]と同じ値の[ＹＢｎ]、前記初期値[ＺＡｎ]と同じ値の[ＺＢｎ]とした互いに独立な３つの整数を有し、
前記初期値[ＹＢｎ]と同じ桁の乱数[ＹＢｎ＋１]だけを発生する第３の乱数発生源（Ｙ）を備えて、

前記通信線を介して前記端末Ａ及び前記端末Ｂがスリーウェイ・ハンドシェイクの３種類のパケットで通信を確立する通信路システムであって、
前記端末Ａと前記端末Ｂとの通信を確立する際に、
前記端末Ａは、
前記初期値[ＸＡｎ]を暗号鍵として前記自然乱数[ＸＡｎ＋１]を暗号化すると共に、この第１の暗号文{[ＸＡｎ]＋[ＸＡｎ＋１]を含む情報を第１のパケットにして前記通信線を介して前記端末Ｂに送信し、並びに前記初期値[ＺＡｎ]を暗号鍵として前記自然乱数[ＸＡｎ＋１]を暗号化し、この第３の暗号文{[ＺＡｎ]＋[ＺＡｎ＋１]}を含む情報を第３のパケットにして前記通信線を介して前記端末Ｂに送信し、
前記端末Ｂからの第２のパケットを受信し、

前記第３のパケットを受信し、
このように前記３種類のパケットに依る３つのパケットの交換により、前記自然乱数由
来の乱数[ＸＡｎ＋１]と乱数[ＹＢｎ＋１]と自然乱数由来の乱数[ＺＡｎ＋１]の値を共有
させることを要旨とする。

本発明は二者間の秘密共有やユーザＩＤの安全性を確保しつつ更新する問題を解決したものである。すなわち、二者間の秘密共有のメンテナンスを人の手からシステムに安全に移行させる技術である。

効用は、次の点にある。

（１） 漏れたＩＤ情報を無効にする。
（２） 人からの情報漏れを困難にする。

なお、以下の説明では、認証子を備える認証システムを、しばしば、認証子システム、又は単に認証子と簡略に表現する。

本発明に関し、通常の暗号化の仕組みにおいては、鍵と平文は別の確率事象に属するが、当該1:1認証子は同じ乱数発生源から出力されるところの「乱数による乱数自体の暗号と復号の仕組み」の上に構成される。

すなわち、自然乱数ブロックの独立性を鍵と平文の関係に反映させる乱数の配送法である。これが1:1の認証子を構成する基礎である。

通信路をはさんだ二者（ピア）の片方または両者とも乱数発生源[X]を備える環境にて、発生源[X]から得た(1-1)式に示す二つの乱数ブロック[X_n]と[X_n+1]の桁数が等しく
|[X₁]| = |[X_n+1]| ---------(1-1)
インデックス n = 1,2,……,n
(1-1)式のペアが下記(1-２)式の独立性
H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-２)
H(): Shannon entropyを計算する関数
を満たす時、あるいは(1-1)式のペアが(1-2)式に代わる予測困難性を満たす時、下記(1-3)(1-4)式に示すように、インデックス nが示す順に発生源[X]が出力した乱数[X_n]を鍵Ｋに用い、その後に出力した乱数[X_n+1] を平文に用いる。

即ち、
鍵Ｋ = [X_n] ---------- (1-3)
平文 = [X_n+1] --------- (1-4)
これにより、乱数ブロックの独立性(1-２)式を暗号化と復号化の必須要件に反映させる一方、通信路をはさんだ二者に対し、予め人が初期値[X₁]を設定する秘密共有を行い、それによって二者を特定の1:1関係にする「自然乱数による乱数の暗号と復号の仕組み」（図１参照）である。

本発明の暗号化と復号化の必須要件とは鍵と平文が独立に選ばれることである。この要件を乱数の配送の都度満たしたのが「自然乱数による乱数の暗号と復号の仕組み」である。この仕組みのアルゴリズム上のポイントは二つある：第一に、ランダムに選ばれた初期値[X₁]が鍵の機能を果した後、[X₁]に代わってn = 2の乱数ブロック[X₂]が鍵になることである。第二に、鍵[X₂]が設定された後に、新たな平文乱数ブロック[X₃]が乱数発生源[X]から与えられることである、その結果として、鍵と平文の独立性(1-2)式を常に維持することの二点である。

上記仕組みの結果、乱数の配送の都度、次の安全性を達成する：
まず、(1-2)式の独立性と
H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(C_n+1) - H([X_n+1]) = H(K) - H(K|C_n+1) ---------(1-5)
ここで、暗号文C_n+1は下記で決定された乱数である：
H(C_n+1 | [X_n], [X_n+1]) = 0 ---------(1-6)
ゆえに、暗号文C_n+1も乱数になるから、
H(C_n+1) - H(X_n+1) = 0 ---------(1-7)
同時に(1-8)式を導く：
H(K) - H(K|C_n+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックC_n+1から鍵Kの情報は漏れないことを示す。

なお、(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和は、常に、
H([X₁] + H([X_n]) ---------(1-9)
だけのエントロピーを持つことが容易に計算できる。

(1-9)式の意味するところは、本発明の「乱数による乱数の暗号と復号の仕組み」によって乱数ブロック[X_n]が安全に配送されること、初期値[X₁]のエントロピーは常に維持されていることである。

つまり、暗号のエントロピーは初期値[X₁]に依存するが、乱数ブロック[X_n]の系列は初期値[X₁]から派生したものではない。

また、本発明においては、上記の1:1関係を基礎とし、初期値を2個持った1:1の関係を規定する。

すなわち、通信路を挟んで空間的に離れた二者が、初期値[X₁]及び初期値[Y₁]の二つを予め秘密に共有することを特長として、二者を特定の1:1関係に規定する。

初期値[X₁]及び初期値[Y₁]の役割は異なる、初期値[X₁]と初期値[Y₁]も互いに独立であるから、請求２に係る発明は後述の図１と図２の1:1関係を重ね合わせた状態になる。

通信路の両端に居る二者AとBの内、一方のＡは(1-2)式を満たすと考えられる乱数発生源[X]を備え、他方のＢも(2-1)式を満たすと考えられる乱数発生源[Y]を備え、各々の乱数ブロックは、請求項１に係る発明の(1-2)式と下記(2-1)式の意味する独立性を満足する一方、あるいは、予測困難性を満足する一方、次の式を満たす。

H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
H([[Y_n+1]] = H([Y_n+1] | [Y_n]) ---------(2-1)
これは、AとB両者ともに、予めランダムに選ばれた[X₁]と[Y₁]を初期値として共有する「自然乱数による乱数の暗号と復号の仕組み」に相当する。

また、本発明においては、上記の乱数発生源[X]と[Y]の乱数ブロックとハッシュ関数とから1:1認証子を構成することになり、上記のように規定された1:1関係において、ハッシュ関数の鍵を乱数ブロック[X_n]又は[Y_n]とした時に、配送される乱数ブロック[X_n+1]とそのハッシュ値h([X_n+1])のペアを1:1認証子とし、或いは、配送される[Y_n+1]とそのハッシュ値h([Y_n+1])のペアを1:1認証子とする認証子システムである。

この1:1認証子は、前記チャレンジ・アンド・レスポンス方式と以下の点で異なる。
Request for Comments 1994のResponseは秘密鍵とChallengeに依存する。ChallengeとResponseは独立ではない。

なお、秘密共有を二つの初期値で行うタイプもあるが、やはりChallengeとResponseは独立ではない。

一方、本発明の1:1認証子では、ChallengeとResponseに相当する「行きと帰り」の二種類の認証子があり、以下しばしば、行きを識別子、帰りを確認子と呼ぶ。識別子と確認子は互いに独立である。

また、本発明に関し、上記の認証システムは、上記のような認証子の交換で秘密共有をも自動的に更新する。

すなわち、従来は、秘密共有の更新を人間系に頼っていたが、それを不要にしている。

本発明の認証子の交換により、初期値[X₁]と[Y₁]に始まる秘密共有は通信のセッション毎に更新される。

すなわち、識別子と確認子を経由して、セッション単位に下記のように更新される：
[X₁] ---> [X₂] ---> [X₃] --->…---> [X_n]
[Y₁] ---> [Y₂] ---> [Y₃] --->…---> [Y_n]
この安全性は請求項１に係る発明に基づく。

つまり、盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、乱数ブロック群[X_n]は初期値[X₁]から派生した値ではない。また、識別子と確認子は互いに独立である。

このようにして、通信の終了時には、新しい秘密共有が成立するから、通信開始時の秘密共有は過去のものになり、秘密が漏洩したとしても、その時点から過去の秘密になる。

以下に、図面を参照し、本発明を実施するための最良の形態を説明する。

先ず、図１及び図４を参照して、本発明の実施の形態を説明する。

図１は、本発明の実施の形態に係る認証システムの自然乱数［Ｘ_n］による乱数の暗号と復号の仕組みを示すブロック図、図４は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

図１に、鍵、平文、暗号文という３つの確率変数との関係を示す。乱数発生源［Ｘ］が端末Ａにあり、乱数ブロックがＡからＢに送られる。この仕組みは、初期値［Ｘ_１］はランダムに選ばれる確率事象で、この［Ｘ_１］は暗号化・復号化の後に、ｎ＝２の乱数ブロック［Ｘ_２］で置き換わる。そして、常に、鍵［Ｘ_ｎ］が設定された後に、平文の乱数ブロック［Ｘ_ｎ＋１］が乱数発生源［Ｘ］から与えられ、その結果、鍵と平文の独立性の（１−２）式が成立する。なお、暗号化と復号化の鍵と平文とが独立に選ばれる。自然乱数を用いることで、この要件が常に達成される。

（１）自然乱数による乱数の暗号と復号の仕組み
自然乱数発生源[X]の出力を一定の桁数に揃えて乱数ブロック[X_n]を得る：
|[X₁]| = |[X_n+1]| ---------(1-1)
インデックス n = 1,2,……,n
どの乱数ブロックも下記(1-２)式の独立式を満たす時、
H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-２)
(1-3)と(1-4)式に示すように、インデックス nの順に[X]が出力した乱数ブロック[X_n]を鍵Kに用い、[X_n]に続く乱数ブロック[X_n+1]を平文に用いることによって
鍵K = [X_n] ---------- (1-3)
平文 = [X_n+1] --------- (1-4)
鍵と平文が独立に選択されることを自動的に満たす。

一方、通信路をはさんだ二者AとBは予め[X₁]を初期値として秘密に共有することによって、当該二者は暗号化と復号化の1:1の関係に入る。これが図１に示す「自然乱数による乱数の暗号と復号の仕組み」である。

（２）暗号文の安全性の証明
この認証システムの暗号システムとしての安全性のポイントは以下の通りである。

(1-2)式の独立性と
H([[X_n+1]) = H([X_n+1] | [X_n]) ---------(1-2)
暗号と復号とが1:1写像になる要請から、次の(1-5)式が導かれる:
H(C_n+1) - H([X_n+1]) = H(K) - H(K|C_n+1) ---------(1-5)
ここで、暗号文C_n+1は下記で決定された乱数である：
H(C_n+1 | [X_n], [X_n+1]) = 0 ---------(1-6)
(1-6)式は、自然乱数[X_n]と[X_n+1]を条件として、暗号文C_n+1を一つに決めるということを表す。ゆえに、暗号文C_n+1も乱数になるから、
H(C_n+1) - H(X_n+1) = 0 ---------(1-7)
同時に(1-8)式を導く：
H(K) - H(K|C_n+1) = 0 ---------(1-8)
(1-8)式は暗号文ブロックC_n+1から鍵Kの情報は漏れないことを示す。

当然、乱数[X_n+1]の情報も漏れない。(1-6)式のアルゴリズムを排他的論理和にする。この場合、暗号文C_n+1は
C_n+1=[X_n]+[X_n+1] ---------(1-6)’
で計算される。

(1-8)式が意味する特徴は重要である、何故なら、通常の共通鍵暗号系では「意味のある平文」を暗号化する関係上、鍵の情報を漏らすからである。しかし、(1-8)式では鍵の情報が漏れない。その原因は、
1) 鍵と平文が共に自然乱数であるが故に独立になること、
2) 鍵も平文も共に乱数であること(意味を持たない)、
以上2点の理由に拠る。

なお、通常の共通鍵暗号系で鍵の情報が漏れる理由は、平文が意味を担うからである。例えば、alphabetなら4.7bit/1characterあるが、意味のある文章では1.0bitから1.5bitになるであることが知られている。この4.7bitと1.5bitの差だけ鍵の情報が暗号文から漏れる。

（３）通信路を流れる暗号文の総和
(1-1)から(1-8)式の実行の結果、通信路を流れる暗号文の総和を計算すると、常に、
H([X₁]) + H([X_n]) ---------(1-9)
となる：(1-9)式は暗号文のエントロピーの総和を示す。
[X₁]と[X_n]は独立であるから、[X₁]と[X_n]の同時確率エントロピーをH([X₁], [X_n])と表すと、
H([X₁], [X_n]) = H([X₁]) + H([X_n]) ---------(1-10)
ここで、鍵[X₁]と平文[X_n]を独立に選んで暗号文[C_n+1]を一つに決定する式、
H(C_n+1 | [X₁], [X_n]) = 0 ---------(1-11)
(1-11)式を(1-10)式の両辺に加える：
H([X₁]) + H([X_n]) = H(C_n+1| [X₁], [X_n]) + H([X₁], [X_n]) = H(C_n+1, [X₁], [X_n])
---------(1-12)
H(C_n+1, [X₁], [X_n])は暗号系を構成する三つの確率変数の同時確率エントロピーである。(1-12)式は以下の事柄の証明である：
1) 初期値[X₁]で
2) 任意の乱数[X_n]を
3)１回だけ暗号化し
4) 任意の乱数[X_n]を安全に配送した
ことを示す。その途中で使われる乱数ブロック[X_n-1]は消えることに注意する。

(1-12)式は、任意の[X_n]について成立しており、鍵としての初期値[X₁]のエントロピーを常に維持する。言い変えると、通信路を流れる暗号文C_n+1のエントロピーは初期値[X₁]に依存する一方、配送された乱数ブロック[X_n]は初期値[X₁]から派生したものでない、ということである。この関係には十分注意する必要がある。

（４）乱数ブロック[X_n]に対する端末ＡとBの対称性
(1-1)から(1-9)式は、乱数ブロック[X_n]に対して対称形である。[X_n]が端末Ａの乱数発生源の乱数であるとしても、その次の[X_n+1]が端末Ｂの発生源の乱数としても、(1-1)から(1-9)式には何ら変わりない。従って、3.1.項の仕組みは両端に乱数発生源[X]を備える場合も含む。

さらに、端末Ａの乱数発生源[X]が自然乱数であり、端末Ｂの乱数発生源[X]が擬似乱数源としても、(1-1)から(1-9)式に何ら変わりない。ただし、その場合、(1-2)式は予測困難性という概念の安全性に置き換わる。

次に、図２〜４を参照して、本発明の実施の形態についてさらに説明する。

図２は、本発明の実施の形態に係る認証システムの乱数［Ｙ_n］による乱数の暗号と復号の仕組みを示すブロック図、図３は、本発明の実施の形態に係る認証システムの自然乱数［Ｚ_n］による乱数の暗号と復号の仕組みを示すブロック図、図４は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

図４に記載の実施の形態は、上述した1:1 認証子を前提にする。

まず、上記の1:1 関係を基礎にして初期値を2 個持った1:1 の関係を規定する。すなわち、通信路を挟んで空間的に離れた二者が、初期値[X ₁ ]及び初期値[Y ₁ ]の二つを予め共有して、二者を特定の1:1 関係に規定する。

初期値[X ₁ ]及び[Y ₁ ]の役割は異なる。一方が送信専用なら、他方は受信専用の初期値
である。初期値[X ₁ ]と[Y ₁ ]も互いに独立であるから、この実施の形態は、図１と図２の1:1 関係を重ね合わせた状態になる。

また、ハッシュ関数hと上述の乱数ブロックとのペアで1:1 認証子を規定する。

この実施の形態においては、このように構成された認証子の交換で秘密共有を自動的に更新する。すなわち、従来、秘密共有の更新は人間系に頼るしかなかったが、それを不要にしている。

（１）1:1 認証子システム
以上の実施の形態に係る発明は1:1 認証子システムを構成する。これに相当する従来技術は、CHAP(Request for Comments 1994)である。

この1:1 認証子システムは、CHAP或いは従来のID 番号、パスワード等に置き換えられ、情報漏れによる被害を未然に防ぐ。

（２）初期値[X ₁ ]と[Y ₁ ]を携帯メディアに格納する。

初期値[X ₁ ]と[Y ₁ ]は、ホストとユーザを特定の1:1 関係に結びつける秘密である。

その後、ホストとユーザ間の通信は初期値[X ₁ ]に始まる1:1 暗号・復号と、初期値[Y ₁ ]に始まる1:1 暗号・復号との重ね合わせになる (図1 と図2 とを重ね合わせる)。

（３）1:1 認証子の交換
図４に示す通り、乱数ブロック[X _n ]はホストからユーザへ流れ、[Y _n ]はユーザからホストへ流れる。

なお、配送される乱数ブロック[X _n+1 ]とそのハッシュ値h([X _n+1 ])のペアを「ランダムカード携帯メデイア」へ初期値[X ₁ ] = 512 bit、初期値[Y ₁ ]= 512 bitとして保存し、それを更新するようにしても良い。

（４）識別子と確認子
識別子と確認子中の鍵に対応する部分はセッション毎に以下のように変化する：
ホストからユーザへ: [X ₁ ] ---> [X ₂ ] ---> [X ₃ ] --->…---> [X _n ]: ---> 識別子の系列
ユーザからホストへ: [Y ₁ ] ---> [Y ₂ ] ---> [Y ₃ ] --->…---> [Y _n ]: ---> 確認子の系列
図４で、配送する乱数ブロックが[X ₂ ]の時、乱数[X ₁ ]を鍵にして、乱数[X ₂ ]の暗号文[X ₁ ]+[X ₂ ]が端末Ａにて作られる。この暗号文[X ₁ ]+[X ₂ ]がハッシュ関数の入力になる。この暗号文[X₁]+[X ₂ ]とハッシュ値h([X ₁ ]+[X ₂ ])とのペアが識別子である。

端末Ｂでは、暗号文を復号した後、再度、端末Ａと同じ暗号化手続を実行し、ハッシュ値を生成する。

そして、端末Ａでのハッシュ値と、端末Ｂでのハッシュ値とを比較する。

両方のハッシュ値が等しければ、ハッシュ関数の衝突困難性に基づき、端末Ａが持つ鍵[X ₁ ] と、端末Ｂが持つ鍵[X ₁ ]とが、圧倒的な確率で等しいと判定される。

（５）1:1 の認証子の機能
識別子と確認子は、以下の機能を果したことになる：
二者間の秘密共有(鍵)
ユーザID
合言葉、パスワード
三つの機能を総称して「自然乱数による1:1 認証子」と言う。

（６）初期値[X ₁ ]と[Y ₁ ]の保存は不要
通信路を挟んだ二者は、初期値[X ₁ ]と[Y ₁ ]を与えられることにより、特定の1:1 関係になるが、その初期値を、再度の認証のために継続して保存する必要はない。初期値[X ₁ ]と[Y ₁ ]は乱数[X ₂ ]と[Y ₂ ]に変わり、一度、認証子システムに投入されたら、二度と初期値[X ₁ ]と[Y ₁ ]とが参照されることがないからである。

この時、乱数[X ₁ ]と[X ₂ ]、乱数[Y ₁ ]と[Y ₂ ]とは互いに独立である。ゆえに、認証子システムから初期値[X ₁ ]と[Y ₁ ]が漏れたとしても、乱数[X ₁ ]と[Y ₁ ]が乱数[X ₂ ]と[Y ₂ ]に変化した後では、それは過去の事件になる。漏れた[X ₁ ]と[Y ₁ ]は既に無効である。

（７）初期値[X ₁ ]と初期値[Y ₁ ]の通信のセッション毎の更新
初期値[X ₁ ]と初期値[Y ₁ ]の秘密共有は、自然乱数[X _n ]に引き継がれる。

[X ₁ ] ---> [X ₂ ] ---> [X ₃ ]…---> [Xn]
[Y ₁ ] ---> [Y ₂ ] ---> [Y ₃ ]…---> [Y _n ]
このセッション単位にメンテナンスされる場合の安全性は、上述のように、以下の手順に基づく。つまり、1) 盗聴者から見た暗号のエントロピーはランダムに選ばれた初期値に依存するが、2) 乱数ブロック群[X _n ]は初期値[X ₁ ]から派生した乱数値ではない、また、3) 識別子と確認子が互いに独立であり、さらに、4) 過去の秘密[X ₁ ]と[Y ₁ ]と現在の秘密[X _n ]と[Y _n ]は、互い暗号学的に独立である。ゆえに、もはや情報漏れは恐れるに足らない、ということになる。

（８）最大の特徴
この点、従来のセキュリテイ技術では、人間系からの情報漏れを防ぐことは不可能であった。暗号の強度を上げても人間系からの情報漏れを防げない。これは暗号の仕組みが原因である。しかし、本発明に係る自然乱数による認証子システムは、通信セッションが終了する度、自然乱数の安全性に基づいて認証用の秘密を随時更新する。秘密は、随時、自動的に、人の手を経ないで、更新される。過去の秘密と現在の秘密が独立であるから、もはや情報漏れは恐れるに足らない、漏れた情報は無効になる、従って、認証子システムは、暗証番号等が漏れても被害を未然に防ぐシステムの構築を可能にする。

人間系からの情報漏れを無効にするということは、これはセキュリテイの概念に入らない。セキュリテイは利便性を犠牲にして成り立つが、自然乱数の識別子は、その逆で、むしろ、利便性の生き残りのためのI.T だからである。

本発明は、１：１認証子を備える認証システムに利用できる。

図１は、本発明の実施の形態に係る認証システムの自然乱数［Ｘ_n］による乱数の暗号と復号の仕組みを示すブロック図。 図２は、本発明の実施の形態に係る認証システムの乱数［Ｙ_n］による乱数の暗号と復号の仕組みを示すブロック図。 図３は、本発明の実施の形態に係る認証システムの自然乱数［Ｚ_n］による乱数の暗号と復号の仕組みを示すブロック図。 図４は、本発明の実施の形態に係る認証システムの認証子の連続したトランザクションにおけるスリーウェイ動作を示すタイムチャートである。

符号の説明

[X]: 自然乱数発生源
[Y]: 乱数発生源
[Z]: 自然乱数発生源
Y_n : 確率変数
n : インデックス
[X_n] : 自然乱数のブロック
[Y_n] : 乱数のブロック
[Z_n] : 自然乱数のブロック
|[X_n]| : 自然乱数ブロックの桁数
H() : （）内の変数のシャノンエントロピを求める関数
h(): （）内の変数のハッシュ値を求める関数
+: 排他的論理和

Claims (2)

1. 通信線と、
   前記通信線に接続された端末Ａ及び端末Ｂと、
   前記端末Ａは、
   初期値として、[ＸＡｎ]、[ＹＡｎ]、[ＺＡｎ]の互いに独立な３つの整数を有し、
   前記初期値[ＸＡｎ]と同じ桁の自然乱数[ＸＡｎ＋１]を発生する第１の乱数発生源（Ｘ）と、
   前記初期値[ＺＡｎ]と同じ桁の自然乱数「ＺＡｎ＋１」を発生する第２の乱数発生源（Ｚ）とを備え、
   前記端末Ｂは、
   初期値として、前記初期値[ＸＡｎ]と同じ値の[ＸＢｎ]、前記初期値[ＹＡｎ]と同じ値の[ＹＢｎ]、前記初期値[ＺＡｎ]と同じ値の[ＺＢｎ]とした互いに独立な３つの整数を有し、
   前記初期値[ＹＢｎ]と同じ桁の乱数[ＹＢｎ＋１]だけを発生する第３の乱数発生源（Ｙ）を備えて、
   前記通信線を介して前記端末Ａ及び前記端末Ｂがスリーウェイ・ハンドシェイクの３種類のパケットで通信を確立する通信路システムであって、
   前記端末Ａと前記端末Ｂとの通信を確立する際に、
   前記端末Ａは、
   前記初期値[ＸＡｎ]を暗号鍵として前記自然乱数[ＸＡｎ＋１]を暗号化すると共に、この第１の暗号文{[ＸＡｎ]＋[ＸＡｎ＋１]を含む情報を第１のパケットにして前記通信線を介して前記端末Ｂに送信し、並びに前記初期値[ＺＡｎ]を暗号鍵として前記自然乱数[ＸＡｎ＋１]を暗号化し、この第３の暗号文{[ＺＡｎ]＋[ＺＡｎ＋１]}を含む情報を第３のパケットにして前記通信線を介して前記端末Ｂに送信し、
   前記端末Ｂからの第２のパケットを受信し、
   前記端末Ｂは、
   前記第１のパケットを受信したら、前記初期値[ＹＢｎ]で前記乱数[ＹＢｎ＋１]を暗号化した前記第２の暗号文{[ＹＢｎ]＋[ＹＢｎ＋１]}を含む情報を前記第２のパケットにして前記端末Ａに送信し、
   前記第３のパケットを受信し、
   このように前記３種類のパケットに依る３つのパケットの交換により、前記自然乱数由来の乱数[ＸＡｎ＋１]と乱数[ＹＢｎ＋１]と自然乱数由来の乱数[ＺＡｎ＋１]の値を共有させることを特徴とする通信路システム。
2. 前記端末Ａと端末Ｂにおいて共有された前記値を次回の初期値とすることを特徴とする請求項１に記載の通信路システム。

Images