JPH06504626A - アクセスコントロールおよび/または識別方法および装置 - Google Patents
アクセスコントロールおよび/または識別方法および装置Info
- Publication number
- JPH06504626A JPH06504626A JP4502088A JP50208892A JPH06504626A JP H06504626 A JPH06504626 A JP H06504626A JP 4502088 A JP4502088 A JP 4502088A JP 50208892 A JP50208892 A JP 50208892A JP H06504626 A JPH06504626 A JP H06504626A
- Authority
- JP
- Japan
- Prior art keywords
- value
- data
- numerical value
- root
- modulo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Finance (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Selective Calling Equipment (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。
Description
【発明の詳細な説明】
アクセスコントロールおよび/または識別方法および装置
本発明は、公開鍵ディレクトリの不要なアクセスコントロールおよび/または識
別方法および装置に関する。
従来の技術
たとえば有料テレビジョンのためのスマートカード、クレジットカード、パスポ
ート、トングレス(dongles)、軍事指令および制御システムのような多
くの適用事例のために、アクセスコントロールまたはディジタル署名のための偽
造防止システムが必要とされている。
この種のアクセスコントロールおよび署名システムは公開鍵を有することができ
る。しかし多くの公開鍵識別ならびにアクセスコントロールシステムでは、ユー
ザ数が増加すると鍵の管理が著しく複雑になる3代表的な問題は次のとおりであ
る。すなわち、1)公開ディレクトリのメモリサイズ:2)ユーザが通信を望む
ときには常に上記のディレクトリとのインタラクションが必要とされる(ディレ
クトリの複製が作成されていなければ同時にアクセスした際に問題が生じる)
;
3)無効な鍵および古い鍵のブラックリスト作成;4)新しいメンバーの追加(
メンバーへの”全ユーザ更新メール);
5)公開ディレクトリ偽造の危険性(被害にあったメンバーと偽造者の間の公開
鍵の取替)
エンティティは鍵識別ディバイス(以下では“識別子”と称する)の複写、再生
または偽造を試みるかもしれない。
ディジタル形式による識別および署名のこの問題に対するよく知られた解決手段
は、 Fiat およびShamirによるヨーロッパ特許出願第025249
9号およびヨーロッパ特許出願第0325238号に開示されている。この手法
は、資格のあるユーザに対し上記の識別子を発行する信託ないし委任された資格
性付与主体を利用している。身元および署名の発生のためにも照合ないし検証の
ためにも、いかなるセンターとの別のインタラクションも必要とされない。統計
的にシステムの安全性を危うくすることなく、無制限の数のユーザがシステムに
加入できる。識別子とのインタラクションによって偽造(jI別子の不法生成)
は許可されない、ユーザまたはべりファイアのディレクトリは不要である。
この方法は実践において良好に機能しているが、その安全性を危うくするいくつ
かの理論的な欠点を有する。
プロトコルつまりフローチャートはヨーロッパ特許出願第0252499号に開
示されており、そこにおいて、
−Uはユーザ、たとえばスマートカード;−Vはべりファイア;
−にはたとえば[1,18]の範囲内の整数;−rは[0,n]の範囲内の整数
の乱数;(e、e2 es、−e k )はバイナリベクトル、であり、以下の
ように動作する。
資格付与主体は擬似ランダム関数fおよびaモジュロnニルqを選定する。この
場合、pおよびqは両方とも、上記の資格付与主体に対してのみ既知である秘密
の素数である (A=B nod n はmad (A、 n)= mad (
B、 n)と等価である)。
ras子を発行するために資格付与主体は、l)エンティティUに特有の情報を
含むストリングIDを準備する;
2)−組の値v、、==r (ID、Jl )を計算する。この場合、j、は小
さな値である;
3)平方剰余mad n であるに個のV、lの値を選択し。
SI +” * V j+ = l IQd nのようにして値sllを算出す
る:
4) I D+ Jl+J2+1.、jk+SII+s11+−1,+SIkお
よびnを含む識別子を発行する。
ベリファイアVによる身元照合プロトコルは以下のように進行する;
1)Uは、IDJ9よび j In j t、−9,j * をvへ送信する:
2)Vはv、、−r (I DI J + )の算出によりWitを生成する。
この場合、i = 1 、2.、、、、 kである;3)Uは乱数rを選択して
r” nod nをVへ送信する;4)Vはバイナリベクトル(el el e
xl、+ eh)を選択してこれをUへ送信する;
5)Uはrを51.の値の各々によりrを乗算し、この場合、bite、wlで
あり、結果yをVへ送信する。これは、
yz r n 31+ 1Iod n
e、=1
で表わされる。
たとえば、バイナリベクトルが1100100000であスf>L−11!:、
:4.および2.。だけがy= r * SI+* S1m本sja+5odn
に作用を及ぼす。
6)Vは、
r”=y’ n vIImad n
e1=1
を検査する。
しかし、このプロトコルを危うくする種々異なる攻撃の実行されるおそれがある
。
A)攻撃者がsl+のうちの1つだけ(S+cと呼ぶことにする)を見つけ出せ
ば、システム全体は以下の図式で記載されているようにして危うくされてしまう
。
ここにおけるUは自身を首尾よく偽称しているニーUはIDおよびj 、、 j
、、、、、、 j 、をvへ送信スル;−すべてのjl は同じであるので、
Vはに回だけ同じVl、を発生する;
−Uは乱数rを選択し、r” mad nをVへ送信する一一■はバイナリベク
トル(ele2es、、、6m )を選択し、それをUへ送信する。
−UはVへ、
(Σe
y=r n 81!=rs、、 i ) l1od ne、el
を送信する。
B)この攻撃は最初のものよりもやさしい、なぜならば累乗機SIm の逆数を
計算するよりも、Vl+のうする方が数学的にやさしいからである。このような
値が既知であるならば、上述の公知の識別システムに侵入できる確率は50%で
あるニ
ーUはIDおよびj 、、 j 、、、、、、 j 、をVへ送信する;−すべ
てのjlは同じであるからVはに回、同じVlを発生する。
−Uは乱数rを選択し、r”modnをVへ送信する;−■はバイナリベクトル
(e(eles−、、eh )を選択し、それをUへ送信するニ
ーUは、
−+ 1nt(Lel/2)
y−r (V+c ) nod n
を■へ送信する。
一■は、
r”−V” n V、+ nod n
e+xl
を検査する。
この試行は、Lel が偶数であれば一致してしまう。
有料テレビジョンベリファイアが公開されており、望むだけの数を手に入れるこ
とができるならば、同時に4つのベリファイアを使用する攻撃者は攻撃手法B)
を用いることにより、たとえば94%までデスクランブルされたテレビジョン番
組を手に入れてしまう、さらに4つの付加的なベリファイアを加えれるならば、
この値は99.6%まで引き上げられ、この結果、たとば良好な画像品賀が生じ
てしまう。
C)署名偽造
この攻撃は最も危険なものである。その理由はこのことにより、いかなるベリフ
ァイアであっても以下のようにして公開データだけから署名を偽造させてしまう
からであるニ
ーUはIDおよびJ cl J @14141 J t をVへ送信する;−す
べてのj、が同じであることがらVはに回、同じvlよを発生する。
−Uは以下のアルゴリズムを実行する。
D。
rxrandom ()
(e、e、e、、、、ek)
α=Σ ei
Wt−ixL、jl、tα Is 0Qd)このようなrを見つけ出せない確率
は、2 の法則にしたがって指数関数的に減少する0代表的には、X=7よりも
まえに適切なrを探し出す確率は約99%である(XはWHILE ループの巡
回数)。
−Uはyを(e+exes+++eh )とともにvへ送信e、=1
を首尾よ(比較する。
この欠点は、V、の値はに個の種々異なる機密事項とみなされることにあり、し
たがってそれらのうちの1つの部分(ここでは1/18.に= 18)を偽造す
ることによりこの手法の安全性が損なわれる。
本発明
本発明の第1の目的は、アクセスコントロールシステムの安全性を改善する方法
を提供することにある。
この目的は、請求項1および16に記載の本発明による方法により達成される。
さらに本発明の第2の目的は、ユーザとベリファイアとの間の先行の通信からの
データを次の通信に採り入れることができるようにすることにあり、このことに
よって安全性がなおいっそう改善される。
本発明による方法の有利な実施形態は各従属請求項に示されている。
さらに本発明の別の目的は、いかなるユーザであってもその身元を証明できるよ
うな識別方法を提供することにある。この目的は、請求項16に記載の本発明の
方法により達成される。
さらに本発明の別の目的は、本発明の方法を用いる装置を提供することにある。
この目的は、請求項25および27に記載の本発明の装置により達成される。
本発明による装置の有利な付加的実施形態は従属請求項に示されている。
本発明は、nの因数分解が既知でなければ平方根nod nの計算は困難である
、という認識を用いている。
本発明は式
に基づくものである。これはユーザユニットおよびベリファイアユニットを用い
ることにより計算され比較される。この式を解くのは著しく困難であり、公開デ
ータおよび送信されたデータだけから不法ユーザが偽造するのは著しく困難であ
る。
保護機能を高め、以下で説明するように通信データへいっそう多くのノイズを導
入するために、有利にはのように−膜化できる。
本発明に記載された技術により、上述の問題すべてが簡単に解決される。公開デ
ィレクトリを必要とするアルゴリズム(以下では゛ホストアルゴリズム′または
′ホストプロトコル′と称する)は、少なくとも2つの大きな素数の積であるモ
ジュロnを用いる。公知の公開鍵ディレクトリは、資格付与主体または送信機S
と、受信機Rおよび公開鍵のための身元情報の両方を適切に処理した後に送出す
る゛もとになる′受信機Rとの間のただ1度の送信に置き換えられている。この
方法を′仮想公開鍵ディレクトリ、 Virtual PublicKey D
irectory または略して’ VPKD’ と称する。
有利にはVPKDは一般化することができ、公開のモジュロを必要とするいかな
るセキュリティプロトコルに対しても導入可能である。
新規ユーザは、他のユーザおよびベリファイアに通報することなく、さらにシス
テムの安全性を損なうことなくまたその性能を低減することもなく、システムに
加入することができる。資格付与主体だけがnの因数分解を認識していればよく
、もとになるものを与えることになる。
典型的には、VPKDはホストプロトコルよりも優先される。実践においてこの
ことは、資格付与主体により署名されたSの公開データを与える安全な予備通信
として理解できる。このことは第7図に示されている。RとSの間の情報の展開
は、識別システムについては第8図に示されており、アクセスコントロールシス
テムについては第5図に示されている。
第6図には、VPKDブリプロトコル手段の構成が示されている。新規ユーザU
を登録するために、資格付与主体はP K g (nであるようにして公開II
PKυを算出しくこの制限は、モジュロベースの暗号システムで一般的に行われ
ているようにPK、が適切なサイズにスライスされるのであれば、取り去ること
ができる)、物理的なエンティティUに特有のものであり、または所定のメンバ
ーグループに特有のものであり、たとえば名前、住所、クレジットカードナンバ
ー、有効期限を含むストリングID、を準備する。このことは第1のユニット6
1により行うことができる。第2のユニット6またとえばメモリは、値nを含む
、そしてセンタは第3のユニット63内で、IDuとPKUを適切に選択された
byte a と、IDIJ&PKu&Cがd乗根モジュロn(&は連結演算子
を表わす)を有するように連結する。
これをルートg、と称する。g、はQ、= g、 +iod nにより規定され
、ここにおいてGU−I DU&PK、j&Cである。guを形成する際、ID
とnは検索媒体64に記録される。
SがUとのインタラクションを行う場合、SはguをUへ送信し、Uはguを指
数dで累乗することによりGuを算出し、次にIDUとPKuが分離され、ホス
トプロトコルにより用いられる。代表的な手法では値d=2またはd=3が選択
される。
この方法は多種多様に一般化可能である。
1)GにおけるID、PKおよびCの順序を転置できる。実践において標準化は
良好であると思われる。
それというのはVPKDは、公開鍵配送を必要とする種々異なるモジュロベース
のあらゆるアルゴリズムによって利用できるからである;
2)ID、PKおよびCを混合および分離するための公開または機密の可逆関数
を、単純な連結の代わりに用いることができる。たとえば圧縮、転置または規則
正しく繰り返されるホストされたVPKD;3) (各ユーザUに対し)k個の
種々異なる公開鍵の値P KU、、PKux、PK□、、、、、PKUt−これ
らはこの手法の機能を危うくすることなく転置可能である−を必要とする手法の
場合(これはすべてのV。
は各々に対しS、’V、≠l IIod n ならば同じ役割を果たす公知の識
別システムに係わる)、以下の転置によりCを使用することさえ避けられる:I
Du& P Ku+ & P Ku*& P Kus&、、、 & P Ku
x−GU、l。
I D u & P K u 、& P K u r & P K u s &
、−& P K UEI D u& P Kui、−& P Kux & P
Ku、& P Ku+工G u 、に「
これはd*tsodn であるGU、μが見つかるまで行われる。適切なGU、
μが見つからない確率は、4)チェックサム、任意の′一方向性′関数、CRC
(巡回冗長検査)およびその他の数学的手法をGに含ませることができるしくた
とえばf (ID、PK)、この場合、fは長いストリングを僅かなビットに配
置する〕、あるいは1つのグループ(またはすべてのエンティティ)が同じID
を有する(または全<IDを有していない)システムでは、IDを省略できるか
または定数に置き換えることができる。このことは加入者グループをアドレス指
定することが望まれることの多い有料テレビジョンシステムにおいては重要な観
点である;
5)IDおよび/またはPKは平文で送信できるし、あるいは安全性を高めるた
めに相応のgとともにサイファ暗号化手法で送信可能である;
6)gの単純なべき乗も多項式計算に置き換えることができる。このようにする
ために資格付与主体は数値列Ωiを発行し、
? D 、、l、 P K 、 jp= C==Σg、Ω1・のようにしてgu
を算出する。
この方法および装置の単純さ、安全性および速度は、スマートカード、パーソナ
ルコンピュータ、トングレス(dongles)、パスポート、およびたとえば
有料テレビジョンのための他の遠隔システムに取り入れることのできるマイクロ
プロセッサベースの技術により達成される。
図面
次に、図面に基づき本発明の有利な実施形態を説明する。
第1図には、スクランブルおよび暗号化ユニットを備えた有料テレビジョンシス
テムが示されている:第2図には、識別子U(スマートカード)のハードウェア
およびソフトウェア構造が示されている;第3図には、ベリファイアVのハード
ウェアおよびソフトウェアが示されている;
第4図は、秘密事項を含まない署名側(スマートカード)およびベリファイア(
身元監視手段)の間の認証プロトコルが示されている:
第5図には、VPKDブリプロトコルおよびアクセスコントロールアルゴリズム
を必要とする通信においてRとSにより保持される情報の時間順の代表的な展開
が示されている;
第6図には、VPKDプリプロトコル装置の構成プロセスが示されている;
第7図には、VPKDプリプロトコルおよびホストプロトコルが示されている;
第8図には、VPKDプリプロトコルおよび識別アルゴリズムを必要とする通信
においてRとSにより保持される情報の時間順の代表的な展開が示されている。
実施例
現在、衛星放送では、納付のような所定の条件を満たした視聴者しかテレビジョ
ン番組を利用できないようにする条件付きアクセスシステムが用いられている。
この種の有料テレビジョンシステムは2つの部分から成るとみなすことができる
。すなわち、−たとえば走査線カットおよびローテート手法により、資格のない
視聴者により受信画像を認識できないように、ビデオ信号を処理するスクランブ
ルシステムシステム。
一ビデオ信号のデスクランブルに必要とされる鍵信号を処49るawぢ1らメス
1ム。
第1図には、公知の有料テレビジョンシステムたとえばビデオ暗号システムが示
されている。到来するスタジオビデオ信号10は、データ挿入ユニット121に
より制御されるビデオスクランブラ122においてスクランブルされる。このデ
ータ押入ユニットは暗号化コンピュータ11からアクセスコントロールデータを
受信し、ビデオ信号データの垂直帰線消去期間中に挿入する。このアクセスコン
トロールデータにより、資格の与えられたデコーダはビデオ信号のデスクランブ
ルを行うことができる。RF変調された送信機側の出力信号13は、受信機側で
は入力信号14である。
この入力信号はチューナ15において復調されてデ−タ抽出ユニット16へ導か
れ、さらにビデオデスクランブラ17へ導かれる9デ一タ抽出回路から出力され
たアクセスコントロールデータは、スマートカード182が挿入されているなら
ば、ベリファイアユニット181において評価される。このベリファイアユニッ
トの出力信号によりビデオデスクランブラ17が制御される。
スクランブルされるべきビデオ信号の走査線は、第1のセグメントおよび第2の
セグメントにより構成されている。これら2つのセグメントはカットポイントc
pにより分離される。各走査線内において、たとえば256個の種々異なるカッ
トポイントを用いることができる。1つの走査線全体は、それぞれディジタル化
されたルミナンス信号およびクロミナンス信号の958個のサンプルにより構成
できる。
カットポイントは擬似ランダムバイナリシーケンス(PRBS)によって走査線
ごとに規定される。そして2つの走査線セグメントは走査線内で循環させられる
。つまりそれらは走査線内でその位置を変える。カットポイントcpの相応の位
置は、各テレビジョン画像の走査線内でそれぞれ変化する。2つのセグメントの
本来の位置を復元するのがデスクランブルシステムの役割である。この役割に必
要な暗号化データは、垂直帰線消去期間中へ挿入できる。
テレビジョン信号のデスクランブルのために、デコーダは(暗号化コンピュータ
11内の)送信機と同じPRBS発生器を(ベリファイアユニット181内に)
有している0両方の発生器は同じコントロールバイナリシーケンスで、つまり同
じコントロールワードにより初期設定されている。このコントロールワードは数
秒ごとに変えられ、暗号化された形式ですべてのデコーダに同時に送信される。
PRBS発生器は2つの8ビツトワードを出力する。
これらのワードはルミナンス走査線およびクロミナンス走査線中のカットポイン
トcpをマークすることができ、それぞれ次のとおりである:
Byte サンプルにおけるカットポイントcp 224 + 2cp
識別子を発行する前に、資格付与主体は、身元または署名を検査すべきものすべ
てに既知であるモジュロnとべき乗指数ε(代表的にはε=2)を選定して発行
する。そしてセンタ(つまり資格付与主体)は資格の与えられているメンバーに
対し、k個の小さい(代表的には1〜5byteの)公開鍵値PK、を含むVP
KDディバイスを形成し、その結果、各PK、はε東根モジュロn(これ以降S
K、と記す)を有する。
この場合、PK、はNにおいて完全平方ではない。可能ならば素数のPK、値を
選択すべきである。
ε≠2が通信を表わす実施形態では、■に対するSこれがなされると資格付与主
体は、g、n、εおよび個々のSK、の値を含む識別子Uを検索媒体に記録する
。
代表的な実施形態では次の値が提示されている。すなわち、
−それぞれ2byteの20個の値PK−128bitのTDならびに ID&
PK、&PK。
&、、、 & P K、。における8byteのチェックサム−1nl=512
bit
選択的に、式(2)で示されているようないくつかの代数的または電子的な一対
の関数aおよびbを識別子に加えることができる。しかしこれを行う場合には、
aおよびbがベリファイアでも既知でなければならない。有利には、代表的な小
さな実施形態(たとえばスマートカード)の場合、aおよびbの両方は値′ l
′の定数であるが、これよりも強大なシステム(たとえばdongles)の場
合にはaおよびbはいくつかの関数の組であってもよい。
第2図および第3図には、代表的なアクセスコントロールの実施形態が示されて
いる。スマートカード20(つまり識別子U)は、そのI10インターフェース
21を介してベリファイアユニット30のI10インターフェース31と接続さ
れている。スマートカード20は、たとえばマイクロプロセッサ24およびメモ
リ25たとえばROMを有する。このメモリは値g、n、SK、ならびにマイク
ロプロセッサ24制御プログラムを有することができる。ベリファイアユニット
30もマイクロプロセッサ34とメモリ35たとえばROMを有することができ
る。このメモリは値nとマイクロプロセッサ34制御プログラムを有することが
できる。
前記の識別子と前記のベリファイアユニットとのインタラクションが行われる場
合、以下のステップが実行される。すなわち、
1)識別子UはVに対しgを送信する(ε≠2でありこのデータが送信されない
かまたは別の手法でVにとって既知である場合にはさらにSK、、SK。
、、、SKk も送信する);
2)Vはg2 モジュロnを計算し、G=ID&PK。
&PK、&、、、&PKkを見−)ける、次1:VG!IDとg!モジュロnで
見つけられたに値とを分離する:3)Uは[4n+l、n/2コの範囲内で乱数
δを選択してδ モジュロnを算出し、EをVへ送信する;4)Vはランダムバ
イナリベクトルv = (v、 v、、、。
V、を選択してそれをUへ送信する;
5)選択的に−aとbが使用されているときだけ:VおよびUの両方は(たとえ
ばV、δ、先行して送信された情報等から)同一の値Ωを準備する:を算出し、
2をVへ送信する;
を検査する。
8)ステップ(3)〜(7)を少なくとも1回繰り返す。
種々異なる手法でこのプロトコルを変形することができる。つまり式(1)の代
わりに種々異なる多項式を用いることができる。
第4図には相応の認証プロトコルが示されている。
本発明により以下のことが付加的に改善される。すなわち、
l)擬似ランダム関数は不要である。このことにより(ROMにおいて)いっそ
う僅かなメモリ容量しか特表平e−5o4e2e (9)
必要とされず、さらにプログラムの複雑性もいっそう低減される。
2)公知の識別手法ではに個の別個の演算つまりf(ID、J)を実行しなけれ
ばならないのに対し、すべての公開鍵値はただ1度の計算により著しく時間を書
いて計算される。
3)公知の擬似ランダム関数fでは予期できないサイズのV、が生成されるのに
対し、本発明によればいくつかの(P K + 、 S K I)対を、詳細に
はSK、、PK、の両方が小さなサイズのものである対を選択することができる
。
4)公知の識別方式をアップグレード(III!fを変更)する場合には古い識
別子はすべて無効になってしまうが、本発明では関数fは使用されないのでこの
問題は存在しない。
検証側からインデックスj+ を受け取った後にベリファイアにより行われる付
加的なセキュリティテストを実行すれば、前述のF i at−8hami r
による認証プロトコルまたはディジタル署名プロトコルも改善できる。これらの
セキュリティテストは、■≦a≦b≦にであるかぎりj、≠j、であり、および
/または1≦a≦bskであるかぎり、■、≠V、である。
送信側
受信側
Fig、 3
受信側 送信側
goの送信を要求
rDaとPK++を導出
Fig、 7
補正書の翻訳文提出書(特許法第184条の8)゛平成 5年 7月16日
Claims (1)
- 【特許請求の範囲】 1.ユーザ(Uと称する)およびペリファイア(Vと称する)がデータを交換し 、第1の数値nのモジュロ関数を用いて第1のデータを算出し、ここにおいてn は少なくとも2つの素数の積であり、Vは前記の第1のデータから導出された第 2の数値を比較する、アクセスコントロール方法において、Vにとって既知であ る秘密の第2のデータのべき乗指数および/または累乗指数の逆数が、Uにのみ 既知である第3のデータとUにおいて結合され、前記第1のデータを算出する際 に、および/または前記第2の数値を算出する際に、乗算および/または指数関 数化が実行されることを特徴とするアクセスコントロール方法。 2.資格付与主体は、公開鍵、名前、住所、カード番号および/または有効期限 のような第4のデータと、第3の数値cとを計算し、前記の第4のデータと前記 の第3の数値を結合してd乗根guモジュロnを有するような第4の数値Guを 生成し、ここにおいて前記のd乗根guはUに記憶されている、請求項1記載の 方法。 3.前記の第4のデータおよび前記の第3の数値は、前記の第4の数値が前記の d乗根モジュロnのd乗になるまで、転置により処理される、請求項2記載の方 法。 4.前記d乗根の数値dはd=2またはd=3の値を有する、請求項2または3 記載の方法。 5.前記の第4のデータは、特定のユーザまたは特定のユーザ群に特有の公開鍵 PKuおよび/またはストリングIDuを含み、前記公開鍵、前記ストリングお よび前記第3の数値は、前記の第4の数値Gu,Gu=IDu&PKu&cと連 結され、ここにおいてキャラクタ′&′は連結演算子である、請求項2〜4のい ずれか1項記載の方法。 6.前記公開鍵PKuおよび前記ストリングIDuは、前記第1のデータがUお よび/またはVにおいて算出される前に、前記第4の数値から分離される、請求 項5記載の方法。 7.前記公開鍵PKu、前記ストリングIDuおよび前記第3の数値は、前記の 資格付与主体により結合される際に可逆関数により処理され、前記第4の数値か ら分離される際にそれぞれの逆関数で処理される、請求項5または6記載の方法 。 8.前記d乗根guは、前記資格付与主体により生成される公開の第5の数値列 Ω1を用いて導出され、ここにおいて、 (IDu&PKu&c)=Σ1gu1Ω1である、請求項2、4、5、6のいず れか1項記載の方法。 9.前記の第3の数値は値′I′を有する、請求項2〜8のいずれか1項記載の 方法。 10.前記第1の数値nのピット数は450〜570の範囲内である、請求項1 〜9のいずれか1項記載の方法。 11.整数である公開のべき乗指数εを選択するステップと、 k個の小さな−たとえば1〜5byte長の−値PKjを選択するステップを有 しており、各jに対して前記の値PKjはε乗根モジュロnを有し、前記の乗根 は以下ではSKj−1と称し、ここにおいて前記の値PKjはNにおける完全平 方ではなく、前記のε乗根の逆数SKjを計算するステップと、一対の代数的ま たは電子的関数aおよびbを選定するステップと、 前記d乗根gu、前記逆数SKjおよび前記の電子的関数aおよびbを、Uのた めの媒体に記録するステップとを有する、請求項1〜10のいずれか1項記載の 方法。 12.前記Uのすべては、前記のk個のPKj値の同一セットを受け取る、請求 項11記載の方法。 13.前記のk個のPKj値のセットは、前記ε乗根モジュロnの最小値を含む 、請求項12記載の方法。 14.前記の記録は2造データにより実行される、請求項11〜13のいずれか 1項記載の方法。 15.前記の電子的な関数aおよびbは定数に置き換えられる、請求項11〜1 4のいずれか1項記載の方法。 16.a)前記のストリングIDuと前記のk個の値PKuをUにおいて算出し 、値SKj−3を評価するステップと、 b)[√n+1,n/2]の範囲内で乱数δを選択するステップと、 c)Uにおいて値E=δ■モジュロnを送出し、該値EをVへ送信するステップ と、 d)Vにおいてランダムバイナリベクトルv=(v1v2・・・vk)を選択し 、該ランダムバイナリベクトルをUへ送信するステップと、 e)Uにおいて、 z=δ{aПnSKj+bПSKj−1}modnvj=1 vj=1 を算出し、τをVへ送信するステップと、f)Vにおいて、 E{bПSKj−3+a}■=zПPKjmodnvj=1 vj=1を検査するステップとを有する、 請求項1〜15のいずれか1項記載の方法。 17.UとVは、たとえば前記ランダムバイナリベクトルvおよび/または前記 乱数δから、および/または先行の計算によりえられたデータおよび/または数 値から、値Ωを生成し、ここにおいてUは、z=δ{a(Ω)ПSKj+b(Ω )ПSKj−3}mod nvj=1 vj=1 を算出し、zをVへ送信し、 Vは、 E{b(Ω)ПSKj−2+a(Ω)}6=z6ПPKjmod nvj=1 vj1 を検査する、請求項16記載の方法。 18.請求項16の前記のステップb)〜f)は、種々異なるランダムバイナリ ベクトルvおよび/または前記乱数δによりt回繰り返され、ここにおいてt≧ 1である、請求項16または17記載の方法。 19.べき指数εはε=2の値を有する、請求項11〜18のいずれか1項記載 の方法。 20.kは少なくともk=18の値を有する、請求項11〜19のいずれか1項 記載の方法。 21.tは少なくともt=4の値を有する、請求項11〜20のいずれか1項記 載の方法。 22.積k*tは64〜80の範囲内の値を有する、請求項11〜21のいずれ か1項記載の方法。 23.請求項16の前記のステップb)〜f)は、2進または3進の論理信号を 用いて実行される、請求項16〜22のいずれか1項記載の方法。 24.前記の値SKj−2およびPKjはUからVへ直接送信されるか、または 、 前記の値SKj−2は、仮想公開鍵ディレクトリを介してVへ送信され、前記の 値PKjは直接、Vへ送信されるか、または、 前記の値PKjは仮想公開鍵ディレクトリを介してVへ送信され、前記の値SK j−2は直接、Vへ送信されるか、または、 前記の値SKj−2およびPKjは両方とも、前記の仮想公開鍵ディレクトリを 介してVへ送信される、請求項16〜23のいずれか1項記載の方法。 25.ユーザUとして動作する、請求項1〜24のいずれか1項記載の方法を用 いたアクセスコントロールまたは識別装置において、 第1のメモリ手段(25)と、第1の計算手段(24)と、第1のI/O手段( 21)が設けられており、 当該装置は、前記第1のI/O手段を介して、請求項27または28による第2 の装置とデータを交換し、前記第1の計算手段により、前記の第1の数値nの前 記モジュロ関数と乗算および/またはべき乗を用いて前記第1のデータの第1の 部分を算出し、これにより前記の第1のデータの第1の部分の、および前記第1 の計算手段により前記の第3のデータと結合された前記の第2のデータの異乗根 、累乗根の逆数、および/またはべき乗指数が生成されることを特徴とする、 ユーザUとして動作するアクセスコントロールまたは識別装置。 26.前記の第1メモリ手段(25)は、前記のd乗根guモジュロn、前記の 第1の数値n、および前記の値SKjを含む、請求項25記載の装置。 27.ベリファイアVとして動作する、請求項1〜24のいずれか1項記載の方 法を用いたアクセスコントロールまたは識別装置において、 第2のメモリ手段(35)、第2の計算手段(34)、および第2のI/O手段 (31)を有しており、 当該装置は、前記の第2のI/O手段を介して、請求項25または26による前 記の装置とデータを交換し、前記第2の計算手段により、前記の第1の数値nの 前記のモジュロ関数を用いて前記の第1のデータの第2の部分を算出し、前記第 2の計算手段により、前記の第2の数値と比較することを特徴とする、 ベリファイアVとして動作するアクセスコントロールまたは識別装置。 28.前記第2のメモリ手段(35)は前記の第1の数値nを含む、請求項27 記載の装置。 29.資格付与主体として動作する、請求項2〜10のいずれか1項記載の装置 を用いた装置において、第3の計算手段が設けられており、該計算手段は前記の 第4のデータおよび第3の数値を生成し、前記の連結により前記の第4のデータ および第3の数値を結合することを特徴とする、資格付与主体として動作する装 置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP91400111 | 1991-01-18 | ||
| AT91400111.0 | 1991-01-18 | ||
| PCT/EP1992/000044 WO1992013321A1 (en) | 1991-01-18 | 1992-01-11 | Method and apparatus for access control and/or identification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH06504626A true JPH06504626A (ja) | 1994-05-26 |
| JP3145116B2 JP3145116B2 (ja) | 2001-03-12 |
Family
ID=8208531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP50208892A Expired - Fee Related JP3145116B2 (ja) | 1991-01-18 | 1992-01-11 | アクセスコントロールおよび/または識別方法および装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US5452357A (ja) |
| EP (2) | EP0567474B1 (ja) |
| JP (1) | JP3145116B2 (ja) |
| AU (1) | AU650321B2 (ja) |
| CA (1) | CA2100576A1 (ja) |
| DE (1) | DE69206126T2 (ja) |
| HK (1) | HK135597A (ja) |
| PL (1) | PL168163B1 (ja) |
| WO (1) | WO1992013321A1 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69535935D1 (de) * | 1994-02-24 | 2009-05-28 | Comcast Cable Holdings Llc | Verfahren und Vorrichtung zur Erstellung einer kryptographischen Verbindung zwischen Elementen eines Systems |
| AU712668B2 (en) * | 1994-03-09 | 1999-11-11 | Cp8 Technologies | Method and apparatus for authenticating a data carrier intended to enable a transaction or access to a service or a location, and corresponding carrier |
| FR2717286B1 (fr) * | 1994-03-09 | 1996-04-05 | Bull Cp8 | Procédé et dispositif pour authentifier un support de données destiné à permettre une transaction ou l'accès à un service ou à un lieu, et support correspondant. |
| US6473793B1 (en) * | 1994-06-08 | 2002-10-29 | Hughes Electronics Corporation | Method and apparatus for selectively allocating and enforcing bandwidth usage requirements on network users |
| US6701370B1 (en) | 1994-06-08 | 2004-03-02 | Hughes Electronics Corporation | Network system with TCP/IP protocol spoofing |
| JPH09510596A (ja) * | 1994-06-08 | 1997-10-21 | エイチイー・ホールディングス・インコーポレーテッド・ディー ビーエー・ヒューズ・エレクトロニクス | ハイブリッドネットワークアクセスのための装置および方法 |
| US5652795A (en) | 1994-11-14 | 1997-07-29 | Hughes Electronics | Method and apparatus for an adapter card providing conditional access in a communication system |
| US5727065A (en) | 1994-11-14 | 1998-03-10 | Hughes Electronics | Deferred billing, broadcast, electronic document distribution system and method |
| US5689247A (en) * | 1994-12-30 | 1997-11-18 | Ortho Pharmaceutical Corporation | Automated system for identifying authorized system users |
| FR2773406B1 (fr) * | 1998-01-06 | 2003-12-19 | Schlumberger Ind Sa | Procede d'authentification de cartes a circuit integre |
| US6012049A (en) | 1998-02-04 | 2000-01-04 | Citicorp Development Center, Inc. | System for performing financial transactions using a smartcard |
| US6389403B1 (en) * | 1998-08-13 | 2002-05-14 | International Business Machines Corporation | Method and apparatus for uniquely identifying a customer purchase in an electronic distribution system |
| US6449651B1 (en) * | 1998-11-19 | 2002-09-10 | Toshiba America Information Systems, Inc. | System and method for providing temporary remote access to a computer |
| US6934255B1 (en) | 1999-02-02 | 2005-08-23 | Packeteer, Inc. | Internet over satellite apparatus |
| FR2790844B1 (fr) * | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
| US7188258B1 (en) * | 1999-09-17 | 2007-03-06 | International Business Machines Corporation | Method and apparatus for producing duplication- and imitation-resistant identifying marks on objects, and duplication- and duplication- and imitation-resistant objects |
| US6865550B1 (en) * | 2000-02-03 | 2005-03-08 | Eastman Kodak Company | System for secure distribution and playback of digital data |
| EP1146685B1 (en) * | 2000-04-12 | 2004-01-14 | Matsushita Electric Industrial Co., Ltd. | Decryption device |
| DE10108872B4 (de) * | 2001-02-15 | 2013-04-11 | Deutsche Telekom Ag | Verfahren zur Ermöglichung der Entschlüsselung von übertragenen Informationen |
| CA2365481C (en) | 2001-12-18 | 2006-01-03 | Ibm Canada Limited-Ibm Canada Limitee | Encryption method using synchronized continuously calculated pseudo-random key |
| US7343398B1 (en) | 2002-09-04 | 2008-03-11 | Packeteer, Inc. | Methods, apparatuses and systems for transparently intermediating network traffic over connection-based authentication protocols |
| CN112200290B (zh) * | 2020-11-04 | 2024-06-18 | 核工业理化工程研究院 | 基于sd卡的数据采集与管理装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2459595A1 (fr) * | 1979-06-15 | 1981-01-09 | Telediffusion Fse | Systeme de television a controle d'acces utilisant une cle electronique variable |
| US4748668A (en) * | 1986-07-09 | 1988-05-31 | Yeda Research And Development Company Limited | Method, apparatus and article for identification and signature |
| FR2604809B1 (fr) * | 1986-10-07 | 1988-12-02 | Thomson Csf | Carte de controle permettant d'engendrer des codes secrets de grande longueur |
| US4933970A (en) * | 1988-01-19 | 1990-06-12 | Yeda Research And Development Company Limited | Variants of the fiat-shamir identification and signature scheme |
| WO1989011706A1 (en) * | 1988-05-19 | 1989-11-30 | Ncr Corporation | Method and device for authentication |
| EP0383985A1 (de) * | 1989-02-24 | 1990-08-29 | Claus Peter Prof. Dr. Schnorr | Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem |
| US4932056A (en) * | 1989-03-16 | 1990-06-05 | Yeda Research And Development Company Limited | Method and apparatus for user identification based on permuted kernels |
| US5289542A (en) * | 1991-03-04 | 1994-02-22 | At&T Bell Laboratories | Caller identification system with encryption |
| US5204901A (en) * | 1991-08-01 | 1993-04-20 | General Electric Company | Public key cryptographic mechanism |
-
1992
- 1992-01-11 CA CA002100576A patent/CA2100576A1/en not_active Abandoned
- 1992-01-11 PL PL92300102A patent/PL168163B1/pl unknown
- 1992-01-11 EP EP92901608A patent/EP0567474B1/en not_active Expired - Lifetime
- 1992-01-11 DE DE69206126T patent/DE69206126T2/de not_active Expired - Fee Related
- 1992-01-11 EP EP92200119A patent/EP0496459A1/en active Pending
- 1992-01-11 WO PCT/EP1992/000044 patent/WO1992013321A1/en active IP Right Grant
- 1992-01-11 JP JP50208892A patent/JP3145116B2/ja not_active Expired - Fee Related
- 1992-01-11 AU AU11579/92A patent/AU650321B2/en not_active Ceased
-
1995
- 1995-03-06 US US08/400,310 patent/US5452357A/en not_active Expired - Lifetime
-
1997
- 1997-06-26 HK HK135597A patent/HK135597A/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| WO1992013321A1 (en) | 1992-08-06 |
| CA2100576A1 (en) | 1992-07-19 |
| DE69206126D1 (de) | 1995-12-21 |
| PL168163B1 (pl) | 1996-01-31 |
| EP0567474B1 (en) | 1995-11-15 |
| EP0496459A1 (en) | 1992-07-29 |
| AU650321B2 (en) | 1994-06-16 |
| JP3145116B2 (ja) | 2001-03-12 |
| HK135597A (en) | 1998-08-21 |
| AU1157992A (en) | 1992-08-27 |
| EP0567474A1 (en) | 1993-11-03 |
| US5452357A (en) | 1995-09-19 |
| DE69206126T2 (de) | 1996-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH06504626A (ja) | アクセスコントロールおよび/または識別方法および装置 | |
| US5664017A (en) | Internationally regulated system for one to one cryptographic communications with national sovereignty without key escrow | |
| JP2942913B2 (ja) | 相手認証/暗号鍵配送方式 | |
| US6298153B1 (en) | Digital signature method and information communication system and apparatus using such method | |
| CN108199835B (zh) | 一种多方联合私钥解密方法 | |
| US4326098A (en) | High security system for electronic signature verification | |
| US5581615A (en) | Scheme for authentication of at least one prover by a verifier | |
| US8712046B2 (en) | Cryptographic key split combiner | |
| US5602918A (en) | Application level security system and method | |
| CA2197915C (en) | Cryptographic key recovery system | |
| CA2518032A1 (en) | Methods and software program product for mutual authentication in a communications network | |
| Goots et al. | Modern Cryptography Protect your data with fast block CIPHERS | |
| US20020091932A1 (en) | Qualification authentication method using variable authentication information | |
| CN101997835B (zh) | 网络安全通讯方法、数据安全处理装置和用于金融的*** | |
| JPH09147072A (ja) | 個人認証システム、個人認証カードおよびセンタ装置 | |
| US20230327884A1 (en) | Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge | |
| US20030097559A1 (en) | Qualification authentication method using variable authentication information | |
| Abiega-L’Eglisse et al. | A new fuzzy vault based biometric system robust to brute-force attack | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| JP2002539489A (ja) | 暗号鍵スプリットコンバイナを用いる音声及びデータ暗号化方法 | |
| Wang et al. | Using IC cards to remotely login passwords without verification tables | |
| JPH0827812B2 (ja) | 電子取引方法 | |
| JPH0373633A (ja) | 暗号通信方式 | |
| Carroll | Key escrow and distribution for telecommunications | |
| Janbandhu | Novel biometric digital signature system for electronic commerce applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |