JP3078841B2 - 通信システムの安全なキー配布を提供するための方法およびシステム - Google Patents
通信システムの安全なキー配布を提供するための方法およびシステムInfo
- Publication number
- JP3078841B2 JP3078841B2 JP07505504A JP50550495A JP3078841B2 JP 3078841 B2 JP3078841 B2 JP 3078841B2 JP 07505504 A JP07505504 A JP 07505504A JP 50550495 A JP50550495 A JP 50550495A JP 3078841 B2 JP3078841 B2 JP 3078841B2
- Authority
- JP
- Japan
- Prior art keywords
- user computer
- computer
- user
- key
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Description
【発明の詳細な説明】 [技術分野] 本発明は、全般的には安全な通信システムに関し、具
体的には、通信システムでの安全な暗号キー配布に関す
る。さらに具体的に言うと、本発明は、通信システムで
の安全な認証キー配布に関する。
体的には、通信システムでの安全な暗号キー配布に関す
る。さらに具体的に言うと、本発明は、通信システムで
の安全な認証キー配布に関する。
[背景技術] 認証プロトコルとキー配布プロトコルは、当技術分野
で既知である。
で既知である。
2者認証プロトコル(以下、2PAPと呼称する)は、バ
ード(R.Bird)、ゴパル(I.Gopal)、ヘルツバーグ
(A.Herzberg)、ジャンソン(P.Janson)、クッテン
(S.Kutten)、モルバ(R.Molva)、ヤング(M.Young)
共著、Systematic Design of Two−Party Authenticati
on Protocols,Proceeding of Crypto'91、1991年8月に
記載されている。これに記載の2PAPでは、2人のユーザ
が、質問(challenge)を送り、共有秘密キーを使用す
ることによってお互い認証する。このプロトコルは、イ
ンターリーブ・アタックとして既知の重要なクラスのア
タックに対して安全であることが示されている。このよ
うなアタックは、敵対者が下記のいずれかを使用する能
力に基づくものである。
ード(R.Bird)、ゴパル(I.Gopal)、ヘルツバーグ
(A.Herzberg)、ジャンソン(P.Janson)、クッテン
(S.Kutten)、モルバ(R.Molva)、ヤング(M.Young)
共著、Systematic Design of Two−Party Authenticati
on Protocols,Proceeding of Crypto'91、1991年8月に
記載されている。これに記載の2PAPでは、2人のユーザ
が、質問(challenge)を送り、共有秘密キーを使用す
ることによってお互い認証する。このプロトコルは、イ
ンターリーブ・アタックとして既知の重要なクラスのア
タックに対して安全であることが示されている。このよ
うなアタックは、敵対者が下記のいずれかを使用する能
力に基づくものである。
・ プロトコルの過去の実行から得られた合法的な処理
の流れ、または、 ・ 正当な当業者から敵対者によって引き出されたプロ
トコルの流れ。
の流れ、または、 ・ 正当な当業者から敵対者によって引き出されたプロ
トコルの流れ。
キー配布プロトコル(以下、KDPと呼称する)のグル
ープは、モバル(R.Molva)、ツディク(G.Tsudik)、
バンヘレウェーケン(E.Van Herreweghen)、ザティ
(S.Zatti)共著、KriptoKnight Authentication and K
ey Distribution Service,Proceeding of ESORICS 92,1
992年10月,Toulouse,Franceに記載の実際のネットワー
ク・セキュリティ・サービス、KryptoKnightでその後実
現された。
ープは、モバル(R.Molva)、ツディク(G.Tsudik)、
バンヘレウェーケン(E.Van Herreweghen)、ザティ
(S.Zatti)共著、KriptoKnight Authentication and K
ey Distribution Service,Proceeding of ESORICS 92,1
992年10月,Toulouse,Franceに記載の実際のネットワー
ク・セキュリティ・サービス、KryptoKnightでその後実
現された。
2者キー配布プロトコル(以下、2PKDPと呼称する)
では、ユーザが、以前に既に秘密に共有されたキーを使
用して、別のユーザに新しい秘密キーを配布する。
では、ユーザが、以前に既に秘密に共有されたキーを使
用して、別のユーザに新しい秘密キーを配布する。
3者キー配布プロトコル(以下、3PKDPと呼称する)
および多者キー配布プロトコル(以下、MPKDPと呼称す
る)では、米国特許第4649233号明細書に記載のよう
に、他のユーザのそれぞれと、対応するマスタ・キーを
共有するユーザ(しばしば「サーバ」と呼ばれる)が存
在し、各マスタ・ユーザ・キーは、サーバと、対応する
ユーザだけに知られている。ユーザ(2人以上)のグル
ープが機密を交換したい時には、彼らは共通のキーを共
有していないので、サーバとの共同作業に頼らなければ
ならない。要求時にはサーバが、2人(またはそれ以
上)の選択されたユーザのために新しいグループ・キー
を生成し、配布する。
および多者キー配布プロトコル(以下、MPKDPと呼称す
る)では、米国特許第4649233号明細書に記載のよう
に、他のユーザのそれぞれと、対応するマスタ・キーを
共有するユーザ(しばしば「サーバ」と呼ばれる)が存
在し、各マスタ・ユーザ・キーは、サーバと、対応する
ユーザだけに知られている。ユーザ(2人以上)のグル
ープが機密を交換したい時には、彼らは共通のキーを共
有していないので、サーバとの共同作業に頼らなければ
ならない。要求時にはサーバが、2人(またはそれ以
上)の選択されたユーザのために新しいグループ・キー
を生成し、配布する。
変更が存在するときに、経路指定、同報通信およびマ
ルチキャスト(経路または経路のセットに沿ったユーザ
のサブセットへのメッセージ送出)を継続して可能とす
る動的経路指定機能を提供する通信システムでは、キー
配布は、時間制約のために特に困難である。このような
動的経路指定機能自体は、当技術分野で既知であり、た
とえば、バートセカス−ギャラガ(Bertsekas−Gallage
r)著、Data Networks,Prentice−Hall,1987年,section
5.3.を参照されたい。
ルチキャスト(経路または経路のセットに沿ったユーザ
のサブセットへのメッセージ送出)を継続して可能とす
る動的経路指定機能を提供する通信システムでは、キー
配布は、時間制約のために特に困難である。このような
動的経路指定機能自体は、当技術分野で既知であり、た
とえば、バートセカス−ギャラガ(Bertsekas−Gallage
r)著、Data Networks,Prentice−Hall,1987年,section
5.3.を参照されたい。
[発明の開示] この従来技術には、いくつかの短所がある。当技術分
野で既知のキー配布プロトコルは、十分に(少なくと
も、バード他に記載の2PAPほどに)安全であることが示
されていない。すなわち、たとえばインターリーブ・ア
タックやカット・アンド・スプライス・アタックなどの
あらゆる種類のアタックに対して、抵抗力を有すると信
じられてはいるが、証明はされていない。
野で既知のキー配布プロトコルは、十分に(少なくと
も、バード他に記載の2PAPほどに)安全であることが示
されていない。すなわち、たとえばインターリーブ・ア
タックやカット・アンド・スプライス・アタックなどの
あらゆる種類のアタックに対して、抵抗力を有すると信
じられてはいるが、証明はされていない。
さらに従来技術の一部は、配布されるキーの完全性を
保証しない、すなわち、配布されるキーが敵対者によっ
て変更されえないことが保証されない。これらの制限
は、安全な認証キー配布のために最小長のメッセージを
用いるプロトコルの場合に特にあてはまる。
保証しない、すなわち、配布されるキーが敵対者によっ
て変更されえないことが保証されない。これらの制限
は、安全な認証キー配布のために最小長のメッセージを
用いるプロトコルの場合に特にあてはまる。
上記の従来技術の欠点は、請求項に示された本発明に
よって克服される。
よって克服される。
本発明は、特にインターリーブ・アタックに対して、
プロトコル・メッセージの特徴的な構造のおかげで、2P
APと同程度に安全であることが数学的に実証されている
方法およびシステムを提供する。基本的な2者キー配布
(および認証)プロトコルは、より精巧な、たとえば、
3者、多者、またはドメイン間キー配布プロトコルを構
築するための基本構成要素として使用することができ
る。上記構造によって、さらに、配布されるキーの完全
性が保証される。さらに、この認証キー配布プロトコル
は、最小長のプロトコル・メッセージを必要とし、交換
されるメッセージの数およびサイズの両方で、可能な限
りコンパクトである。
プロトコル・メッセージの特徴的な構造のおかげで、2P
APと同程度に安全であることが数学的に実証されている
方法およびシステムを提供する。基本的な2者キー配布
(および認証)プロトコルは、より精巧な、たとえば、
3者、多者、またはドメイン間キー配布プロトコルを構
築するための基本構成要素として使用することができ
る。上記構造によって、さらに、配布されるキーの完全
性が保証される。さらに、この認証キー配布プロトコル
は、最小長のプロトコル・メッセージを必要とし、交換
されるメッセージの数およびサイズの両方で、可能な限
りコンパクトである。
これらのすべてが、最小の計算要件で達成でき、暗号
化/復合化機能を使用する必要はない。
化/復合化機能を使用する必要はない。
前述およびその他の本発明の目的、特徴および長所
は、添付図面に示された本発明の好ましい実施例の下記
の詳細な説明から明らかになる。
は、添付図面に示された本発明の好ましい実施例の下記
の詳細な説明から明らかになる。
[図面および表記の簡単な説明] 下記の図面を参照して、本発明を詳細に説明する。
第1図は、本発明の方法およびシステムの実施に使用
することができる通信システムを表す図である。
することができる通信システムを表す図である。
第2図は、従来技術の2PAPを示す図である。
第3図は、本発明による2者認証キー配布プロトコル
の例を示す流れ図である。
の例を示す流れ図である。
第4図は、本発明による2PKDPの例のメッセージの流
れを示す図である。
れを示す図である。
第5図は、本発明による3者認証キー配布プロトコル
の例を示す流れ図である。
の例を示す流れ図である。
第6図は、本発明による3PKDPの例のメッセージの流
れを示す図である。
れを示す図である。
第7図は、本発明によるMPKDPの例のメッセージの流
れを示す図である。
れを示す図である。
第8図は、本発明による最適化された3PKDPの例のメ
ッセージの流れを示す図である。
ッセージの流れを示す図である。
本明細書全体を通じて、下記の用語を使用する。
A、B、C 完全なユーザ名。すべての名前が、別個
であると仮定する。これらの名前は、たとえば、名前を
直接コード化するか、その名前の元々のコーディングを
64ビット・フィールドに縮小するためにハッシュ関数を
適用するかのいずれかによって得られる64ビット値であ
る。
であると仮定する。これらの名前は、たとえば、名前を
直接コード化するか、その名前の元々のコーディングを
64ビット・フィールドに縮小するためにハッシュ関数を
適用するかのいずれかによって得られる64ビット値であ
る。
S 認証サーバの完全な名前。Sは、構成ユーザのす
べてによって例外なく信用されると仮定されるユーザで
ある。
べてによって例外なく信用されると仮定されるユーザで
ある。
Nab Nで始まる記号は、すべてがランダムな質問ま
たはナンス(nonce)すなわち、予測不能な1回だけ使
用される乱数である。これらを、新鮮度情報の単位と称
することもできる。添字の第1文字は、ナンスを生じた
ユーザを指し、添字の第2文字は、質問された目標ユー
ザを識別する(たとえば、Nabは、Aによって生成さ
れ、Bに質問するために送られたナンスである)。
たはナンス(nonce)すなわち、予測不能な1回だけ使
用される乱数である。これらを、新鮮度情報の単位と称
することもできる。添字の第1文字は、ナンスを生じた
ユーザを指し、添字の第2文字は、質問された目標ユー
ザを識別する(たとえば、Nabは、Aによって生成さ
れ、Bに質問するために送られたナンスである)。
Kab Kで始まる記号は、すべてがキーである。添字
は、そのキーを共有するユーザを識別する(たとえば、
Kabは、AとBの間で共有されるキーである)。
は、そのキーを共有するユーザを識別する(たとえば、
Kabは、AとBの間で共有されるキーである)。
排地的論理和またはXOR関数。
EK(X) キーKの下での平文ブロックXの暗号化。
本明細書では、用語「暗号化」を、クリアな(暗号化さ
れていない)テキスト入力の単一ブロック交換を指すの
に使用する。これには、DES(National Bureau of Stan
dards,Federal Information Processing Standards,Nat
ional Bureau of Standards,Publication 46、1977年に
記載)などの従来の暗号関数ならびに、キーが接頭辞ま
たは接尾辞として使用される時のMD5(リベスト(R.Riv
est)著、The MD5 Message Digest Algorithm,Internet
DRAFT、1991年7月に記載)などの強力な一方向関数
(絶対に逆関数が計算できない)が含まれる。DESの場
合、KとXの両方が、基礎となる暗号関数の基本ブロッ
ク・サイズすなわち64ビットを超えないものと仮定され
る(このような仮定は、定義によってどのようなパラメ
ータ・サイズでも受け容れるMD5などの多数の一方向ハ
ッシュ関数には無関係である)。
本明細書では、用語「暗号化」を、クリアな(暗号化さ
れていない)テキスト入力の単一ブロック交換を指すの
に使用する。これには、DES(National Bureau of Stan
dards,Federal Information Processing Standards,Nat
ional Bureau of Standards,Publication 46、1977年に
記載)などの従来の暗号関数ならびに、キーが接頭辞ま
たは接尾辞として使用される時のMD5(リベスト(R.Riv
est)著、The MD5 Message Digest Algorithm,Internet
DRAFT、1991年7月に記載)などの強力な一方向関数
(絶対に逆関数が計算できない)が含まれる。DESの場
合、KとXの両方が、基礎となる暗号関数の基本ブロッ
ク・サイズすなわち64ビットを超えないものと仮定され
る(このような仮定は、定義によってどのようなパラメ
ータ・サイズでも受け容れるMD5などの多数の一方向ハ
ッシュ関数には無関係である)。
FUNC(x,y,z) 引数x、y、zに依存する暗号関
数。関数は、その引数のすべてまたは一部だけに依存す
ることができる。すべての関数は、基礎となる暗号アル
ゴリズムの基本ブロック・サイズ、たとえばDESでは64
ビット、MD5では128ビットなどと等しいサイズの結果を
生成する。
数。関数は、その引数のすべてまたは一部だけに依存す
ることができる。すべての関数は、基礎となる暗号アル
ゴリズムの基本ブロック・サイズ、たとえばDESでは64
ビット、MD5では128ビットなどと等しいサイズの結果を
生成する。
A⇒B X この表記は、単一のプロトコルの流れを
示す。これは、AがメッセージXをBに送ったことを表
す。
示す。これは、AがメッセージXをBに送ったことを表
す。
また、「ba」は「ハットNba」と表記する。
同様に、「ba」は「チルドNba」と表記する。
[発明の詳細な説明] ここで図面、具体的には第1図を参照すると、通信シ
ステム(100)が示されている。ユーザA(101)、B
(102)、C(103)は、1組のリンク(104、105、10
6、107、108)によって接続された、ローカル・エリア
・ネットワークのコンピュータ(端末)のいずれかの位
置に存在できる。これらのユーザのうちの1つ(または
複数)が、安全なキー配布のためのサーバS(109)と
して働くことができる。一般的な方法は、マスタ・ユー
ザ・キーのテーブルを、サーバの安全な記憶域に保存す
ることである(Kasは、サーバと、名前がAのユーザと
によって共有されるマスタ・キーであり、Kbsは、同様
にBと共有されるキーである)。各ユーザは、その安全
な記憶装置(暗号化されたファイル、特殊なハードウェ
ア、スマート・カードなど)に自分のマスタ・キーを記
憶させることもできる。
ステム(100)が示されている。ユーザA(101)、B
(102)、C(103)は、1組のリンク(104、105、10
6、107、108)によって接続された、ローカル・エリア
・ネットワークのコンピュータ(端末)のいずれかの位
置に存在できる。これらのユーザのうちの1つ(または
複数)が、安全なキー配布のためのサーバS(109)と
して働くことができる。一般的な方法は、マスタ・ユー
ザ・キーのテーブルを、サーバの安全な記憶域に保存す
ることである(Kasは、サーバと、名前がAのユーザと
によって共有されるマスタ・キーであり、Kbsは、同様
にBと共有されるキーである)。各ユーザは、その安全
な記憶装置(暗号化されたファイル、特殊なハードウェ
ア、スマート・カードなど)に自分のマスタ・キーを記
憶させることもできる。
第2図は、従来技術の、バード他に記載の、共通のキ
ーKabを共有する2ユーザ(AおよびB)の間での基本
的な安全な2PAPを示す図である。このプロトコルの実行
は、ブロック201から開始され、イニシエータ当事者A
が、その名前AとナンスNabを第2ユーザBに送る。A
からのメッセージを受け取る際に、共有キーKab、ナン
スNab、Bによって生成される新ナンスNbaおよびメッセ
ージ発信元の名前Bに基づく認証関数AUTH(Kab,Nab,N
ba,B)が、第2ユーザBによって計算される。ブロック
202を参照すると、この認証関数の値とナンスNbaが、B
からAに送られる。Bからのメッセージを受け取る際
に、第1ユーザAは、認証関数AUTH(Kab,Nab,Nba,B)
の値を再計算し、Bが送ったメッセージ内の対応物と比
較する。これが一致すると、Bの認証がもたらされる。
その後、第1ユーザAは、両方向認証を完了するため、
共有キーKab、ナンスNabおよびナンスNbaに基づくもう
1つの認証関数ACK(Kab,Nab,Nba)の値を計算する。ブ
ロック203を参照すると、認証関数ACK(Kab,Nab,Nba)
の値がAからBへ送られる。Aからのメッセージを受け
取る際に、ユーザBは、認証関数ACK(Kab,Nab,Nba)の
値を再計算し、Aが送ったメッセージの対応物と比較す
る。これが一致すると、Aの認証がもたらされる。
ーKabを共有する2ユーザ(AおよびB)の間での基本
的な安全な2PAPを示す図である。このプロトコルの実行
は、ブロック201から開始され、イニシエータ当事者A
が、その名前AとナンスNabを第2ユーザBに送る。A
からのメッセージを受け取る際に、共有キーKab、ナン
スNab、Bによって生成される新ナンスNbaおよびメッセ
ージ発信元の名前Bに基づく認証関数AUTH(Kab,Nab,N
ba,B)が、第2ユーザBによって計算される。ブロック
202を参照すると、この認証関数の値とナンスNbaが、B
からAに送られる。Bからのメッセージを受け取る際
に、第1ユーザAは、認証関数AUTH(Kab,Nab,Nba,B)
の値を再計算し、Bが送ったメッセージ内の対応物と比
較する。これが一致すると、Bの認証がもたらされる。
その後、第1ユーザAは、両方向認証を完了するため、
共有キーKab、ナンスNabおよびナンスNbaに基づくもう
1つの認証関数ACK(Kab,Nab,Nba)の値を計算する。ブ
ロック203を参照すると、認証関数ACK(Kab,Nab,Nba)
の値がAからBへ送られる。Aからのメッセージを受け
取る際に、ユーザBは、認証関数ACK(Kab,Nab,Nba)の
値を再計算し、Aが送ったメッセージの対応物と比較す
る。これが一致すると、Aの認証がもたらされる。
2者キー配布プロトコル(2PKDP) 第3図は、本発明による、2ユーザAおよびBの間で
の安全な2者認証キー配布プロトコルの例を示す図であ
る。AとBは、プロトコル実行の前に共通キーKabを共
有すると仮定する。
の安全な2者認証キー配布プロトコルの例を示す図であ
る。AとBは、プロトコル実行の前に共通キーKabを共
有すると仮定する。
このプロトコル実行は、ブロック301で開始され、イ
ニシエータ当事者Aが、その名前AとナンスNabを第2
ユーザBに送る。この第2ユーザBは、Aに対してサー
バのように活動するものと見なすことができる。その
後、第2ユーザBは、ブロック302で新キーKbaを生成
し、このキーは、安全な形で保持され、AとBによる使
用だけを目的とする。少なくとも共有キーKab、ナンスN
ab、新キーKbaおよびBの名前に基づく認証関数AUTH(K
ab,Nab,Kba,B)の値ハットNbaは、ブロック303で第2ユ
ーザBによって計算される。この関数AUTH(Kab,Nab,K
ba,B)は、共有キーKabに基づく認証式とすることがで
きる。AUTHの1例を次に示す(ここでは、暗号化のすべ
てが、キーKabを用いて実行される)。
ニシエータ当事者Aが、その名前AとナンスNabを第2
ユーザBに送る。この第2ユーザBは、Aに対してサー
バのように活動するものと見なすことができる。その
後、第2ユーザBは、ブロック302で新キーKbaを生成
し、このキーは、安全な形で保持され、AとBによる使
用だけを目的とする。少なくとも共有キーKab、ナンスN
ab、新キーKbaおよびBの名前に基づく認証関数AUTH(K
ab,Nab,Kba,B)の値ハットNbaは、ブロック303で第2ユ
ーザBによって計算される。この関数AUTH(Kab,Nab,K
ba,B)は、共有キーKabに基づく認証式とすることがで
きる。AUTHの1例を次に示す(ここでは、暗号化のすべ
てが、キーKabを用いて実行される)。
E(B(E(KbaE(Nab))) 同一のユーザBが、その後、ブロック304で、少なく
とも共有キーKab、認証関数AUTH(Kab,Nab,Kba,B)の値
ハットNbaおよび新キーKbaに基づく関数BRAID(Kab,ハ
ットNba,Kba)の値を計算する。関数BRAIDは、暗号関数
とするか、共有キーKabの下での値ハットNbaの暗号化に
よって計算されるマスク式 MASK=EKab(ba) と新キーKbaのXORすなわち、 EKab(ba)Kba とすることができる。ここでブロック305を参照する
と、認証関数AUTH(Kab,Nab,Kba,B)の値および関数BRA
ID(Kab,ハットNba,Kba)の値が、BからAに送られ
る。Bからのメッセージを受け取る際に、ブロック306
で、第1ユーザAは、共有キーKabおよび値ハットNbaを
使用して、関数BRAID(Kab,ハットNba,Kba)の値から新
キーKbaを抽出することができる。関数BRAIDが、 BRAID=EKab(ba)Kba であると仮定すると、Aは、マスク式 MASK=EKab(ba) の値を計算し、その後、関数 BRAID=EKab(ba)Kba の値とこのマスク式の値をXORすることによって、新キ
ーKbaを抽出する。すなわち Kab=EKab(ba)KbaMASK =EKab(ba)KbaEKab(ba) である。このユーザが、実際に、ブロック301でBへ送
られた名前のユーザであるならば、このユーザは、キー
Kabを有し、新キーKbaを得ることができる。このユーザ
が、ユーザAを装っている場合、このユーザはキーKab
を有しておらず、新キーKbaを得ることはできない。ブ
ロック307を参照すると、第1ユーザAは、認証関数AUT
H(Kab,Nab,Kba,B)の値を再計算し、Bが送ったメッセ
ージの対応物と比較する。一致が生じると、新キーKba
の正しく認証された(秘密の)配布がもたらされる。そ
の後、この処理はブロック308に進み、第1ユーザA
が、両方向認証を完了するため、少なくとも共有キーK
ab、ナンスNabおよび新キーKbaに基づくもう1つの認証
関数ACK(Kab,Nab,Kba)の値を計算する。関数ACKは、
共有キーKabに基づく認証式とすることができる。ACKの
1例を次に示す(ここでは、すべての暗号化が、キーK
abを用いて実行される)。
とも共有キーKab、認証関数AUTH(Kab,Nab,Kba,B)の値
ハットNbaおよび新キーKbaに基づく関数BRAID(Kab,ハ
ットNba,Kba)の値を計算する。関数BRAIDは、暗号関数
とするか、共有キーKabの下での値ハットNbaの暗号化に
よって計算されるマスク式 MASK=EKab(ba) と新キーKbaのXORすなわち、 EKab(ba)Kba とすることができる。ここでブロック305を参照する
と、認証関数AUTH(Kab,Nab,Kba,B)の値および関数BRA
ID(Kab,ハットNba,Kba)の値が、BからAに送られ
る。Bからのメッセージを受け取る際に、ブロック306
で、第1ユーザAは、共有キーKabおよび値ハットNbaを
使用して、関数BRAID(Kab,ハットNba,Kba)の値から新
キーKbaを抽出することができる。関数BRAIDが、 BRAID=EKab(ba)Kba であると仮定すると、Aは、マスク式 MASK=EKab(ba) の値を計算し、その後、関数 BRAID=EKab(ba)Kba の値とこのマスク式の値をXORすることによって、新キ
ーKbaを抽出する。すなわち Kab=EKab(ba)KbaMASK =EKab(ba)KbaEKab(ba) である。このユーザが、実際に、ブロック301でBへ送
られた名前のユーザであるならば、このユーザは、キー
Kabを有し、新キーKbaを得ることができる。このユーザ
が、ユーザAを装っている場合、このユーザはキーKab
を有しておらず、新キーKbaを得ることはできない。ブ
ロック307を参照すると、第1ユーザAは、認証関数AUT
H(Kab,Nab,Kba,B)の値を再計算し、Bが送ったメッセ
ージの対応物と比較する。一致が生じると、新キーKba
の正しく認証された(秘密の)配布がもたらされる。そ
の後、この処理はブロック308に進み、第1ユーザA
が、両方向認証を完了するため、少なくとも共有キーK
ab、ナンスNabおよび新キーKbaに基づくもう1つの認証
関数ACK(Kab,Nab,Kba)の値を計算する。関数ACKは、
共有キーKabに基づく認証式とすることができる。ACKの
1例を次に示す(ここでは、すべての暗号化が、キーK
abを用いて実行される)。
E(KbaE(Nab)) ブロック309を参照すると、認証関数ACK(Kab,Nab,K
ba)の値が、AからBへ送られる。この処理は、ブロッ
ク310で終了するが、ここでは、ユーザBが認証関数ACK
(Kab,Nab,Kba)の値を再計算し、Aが送ったメッセー
ジの対応物と比較する。一致が生じると、Aの認証がも
たらされる。
ba)の値が、AからBへ送られる。この処理は、ブロッ
ク310で終了するが、ここでは、ユーザBが認証関数ACK
(Kab,Nab,Kba)の値を再計算し、Aが送ったメッセー
ジの対応物と比較する。一致が生じると、Aの認証がも
たらされる。
BRAID関数の構造の独特な特徴は、認証と、それと同
時のキー配布の両方を達成するのに重要である。さら
に、この構造によって、最小の長さのプロトコル・メッ
セージを構築することが可能になる。これは、予測不能
なランダムな値を(秘密裡に)配布すると同時に、その
配布される値を2データ単位未満の長さのメッセージを
用いて認証することが不可能だからである。本明細書で
提案される2者キー配布プロトコルは、メッセージの個
数とサイズの両方において極端にコンパクトであり、こ
のため、プロトコル階層のどの層であってもこれを適用
することは簡単である。さらに、下で説明するように、
このプロトコルは、すべてのインターリーブ・アタック
に対して抵抗力を有する。このすべてが、最小の計算要
件で達成され、暗号化/復合化機能(より強力な暗号ツ
ールであるが、常に使用可能ではない)を使用する必要
はない。
時のキー配布の両方を達成するのに重要である。さら
に、この構造によって、最小の長さのプロトコル・メッ
セージを構築することが可能になる。これは、予測不能
なランダムな値を(秘密裡に)配布すると同時に、その
配布される値を2データ単位未満の長さのメッセージを
用いて認証することが不可能だからである。本明細書で
提案される2者キー配布プロトコルは、メッセージの個
数とサイズの両方において極端にコンパクトであり、こ
のため、プロトコル階層のどの層であってもこれを適用
することは簡単である。さらに、下で説明するように、
このプロトコルは、すべてのインターリーブ・アタック
に対して抵抗力を有する。このすべてが、最小の計算要
件で達成され、暗号化/復合化機能(より強力な暗号ツ
ールであるが、常に使用可能ではない)を使用する必要
はない。
本明細書で提案される2PKDPに従って交換されるメッ
セージのリストを、第4図に示す。
セージのリストを、第4図に示す。
セキュリティの議論 説明を単純明瞭にするために、第4図に示された2PKD
Pの例を参照する。
Pの例を参照する。
認証 本明細書で提案される2PKDPのセキュリティの実証の
第1ステップは、これと2PAPが同等であることを示すこ
とである。言い換えると、本明細書で提案されるプロト
コルが、2PAPのセキュリティと等しいセキュリティを有
する2者認証のための手段を提供するものであるという
ことを明らかにする必要がある。この同等性を証明でき
るならば、本明細書で提案されるプロトコルが、2PAPの
基本特性すなわち、インターリーブ・アタックに対する
抵抗を継承することが立証される。もちろん、認証以外
のプロトコル目標を、2PAPから継承することはできな
い。具体的に言うと、本明細書で提案されるプロトコル
は、配布されるキーの非開示という追加要件に合致する
ことが示される。
第1ステップは、これと2PAPが同等であることを示すこ
とである。言い換えると、本明細書で提案されるプロト
コルが、2PAPのセキュリティと等しいセキュリティを有
する2者認証のための手段を提供するものであるという
ことを明らかにする必要がある。この同等性を証明でき
るならば、本明細書で提案されるプロトコルが、2PAPの
基本特性すなわち、インターリーブ・アタックに対する
抵抗を継承することが立証される。もちろん、認証以外
のプロトコル目標を、2PAPから継承することはできな
い。具体的に言うと、本明細書で提案されるプロトコル
は、配布されるキーの非開示という追加要件に合致する
ことが示される。
キー配布プロトコル全般に関して、いくつかの初期の
仮定から始める。
仮定から始める。
・ キーは、必ず1当事者によって生成される。
・ 配布されるキーは、ランダムで予測不能な値でなけ
ればならない。AとBが2PKDPに関与し、Bがキーを生
成する場合、Aもどの相手方も、このキーを予測できな
い。
ればならない。AとBが2PKDPに関与し、Bがキーを生
成する場合、Aもどの相手方も、このキーを予測できな
い。
・ キーは、絶対に再利用されない。
これらの仮定から、新たに生成されるキーが、ナンス
に非常に似ているという重要な所見が導かれる。実際、
ナンスNbaと新キーKbaの間の唯一の相違は、Nbaが平文
で通信されるが、Kbaが秘密に保持されることである。
に非常に似ているという重要な所見が導かれる。実際、
ナンスNbaと新キーKbaの間の唯一の相違は、Nbaが平文
で通信されるが、Kbaが秘密に保持されることである。
ここで、この2つのプロトコルの間の唯一の相違は、
第2メッセージのいわゆる「ナンス」フィールドである
ことがわかる。2PAP(202)では、ナンス・フィールド
が単にNbaであり、これに対して2PKDP(402)では、ナ
ンス・フィールドがより複雑な式 EKab(ba)Kba である。この式の目的は、ナンスとして使用されるキー
すなわちKbaを隠すことである(キー信頼性の問題は、
後で検討する)。それぞれのナンス・フィールドの同等
性を実証するためには、下記の3つの問題に対処しなけ
ればならない。
第2メッセージのいわゆる「ナンス」フィールドである
ことがわかる。2PAP(202)では、ナンス・フィールド
が単にNbaであり、これに対して2PKDP(402)では、ナ
ンス・フィールドがより複雑な式 EKab(ba)Kba である。この式の目的は、ナンスとして使用されるキー
すなわちKbaを隠すことである(キー信頼性の問題は、
後で検討する)。それぞれのナンス・フィールドの同等
性を実証するためには、下記の3つの問題に対処しなけ
ればならない。
Kbaはナンスであるか Kbaが真のナンスではない場合、同等性は保持されな
い。しかし、前に述べたように、キーが秘密に保持され
るという事実以外に、キーとナンスの区別はない。具体
的に言うと、キー生成とナンス生成の規則および手順
は、全く同一である。
い。しかし、前に述べたように、キーが秘密に保持され
るという事実以外に、キーとナンスの区別はない。具体
的に言うと、キー生成とナンス生成の規則および手順
は、全く同一である。
ハットNbaはナンスであるか Kabは真のナンスであり、ハットNbaは、Kbaの強力な
1方向関数の結果であるから、ハットNbaもナンスであ
ると断定される。
1方向関数の結果であるから、ハットNbaもナンスであ
ると断定される。
EKab(ba)KbaとKbaの間に1対1の関係があるか
または、 EKab(ba)=EKab(ba) となる別個の値チルドNbaが存在するか、と言っても同
等である。
または、 EKab(ba)=EKab(ba) となる別個の値チルドNbaが存在するか、と言っても同
等である。
EKab が、DESなどの強力な暗号関数であるという仮定の下で
は、これは明らかに不可能である。というのは、そうで
なければ復合化が1対1にならないからである。その一
方で、Eが、その入力の固定サイズのダイジェストを作
る強力な1方向ハッシュ関数(たとえばMD5)である場
合には、異なる入力値が、同一のダイジェストにハッシ
ュ化される可能性がある。その場合、この問題は、チル
ドNbaの計算の困難さになる。たとえばMD5では、所与の
入力が既知のダイジェスト(本明細書の事例では、ダイ
ジェストされ未知である)にハッシュ化される確率は、
1/2128(実際には不可能)である。
は、これは明らかに不可能である。というのは、そうで
なければ復合化が1対1にならないからである。その一
方で、Eが、その入力の固定サイズのダイジェストを作
る強力な1方向ハッシュ関数(たとえばMD5)である場
合には、異なる入力値が、同一のダイジェストにハッシ
ュ化される可能性がある。その場合、この問題は、チル
ドNbaの計算の困難さになる。たとえばMD5では、所与の
入力が既知のダイジェスト(本明細書の事例では、ダイ
ジェストされ未知である)にハッシュ化される確率は、
1/2128(実際には不可能)である。
キー配布 次に、本明細書で提案される2PKDPの追加の特徴であ
るキー配布を検討する。強力な認証は、安全なキー配布
の達成には不十分であり、したがって、前節の結果は、
これに関しては適用できない。
るキー配布を検討する。強力な認証は、安全なキー配布
の達成には不十分であり、したがって、前節の結果は、
これに関しては適用できない。
第1の問題は、安全なキー配布の定義である。キー配
布の目的に関して、プロトコルが安全と見なされるの
は、下記の3つが満たされる場合である。
布の目的に関して、プロトコルが安全と見なされるの
は、下記の3つが満たされる場合である。
非開示 すなわち、配布されるキーを敵対者が(AまたはBの
いずれかからの援助なしで)取得できないこと。
いずれかからの援助なしで)取得できないこと。
独立 すなわち、あるキーの知識を他のキーの取得に使用で
きないこと。ここでは、配布されるキーが、後程別の2P
KDPでの暗号キーとして使用されないものと仮定する
(たとえば、AとBの間で交換されるデータ・メッセー
ジに対する完全性検査の計算に、新しいキーを使用する
ことができる)。
きないこと。ここでは、配布されるキーが、後程別の2P
KDPでの暗号キーとして使用されないものと仮定する
(たとえば、AとBの間で交換されるデータ・メッセー
ジに対する完全性検査の計算に、新しいキーを使用する
ことができる)。
完全性 すなわち、配布されるキーを敵対者が変更できないこ
と。
と。
非開示 正当な当事者との共謀がないと仮定すると、キーの開
示は、敵対者がなんらかの方法でMASK値すなわち EKab(ba) を得ることができる場合に限って可能である。しかし、
各MASKは、事実上、ハットNbaの1方向変換の結果であ
るから、これは不可能である。これは、敵対者が、1)
暗号キーKabを所有するか、2)なんらかの方法で正当
な当事者のうちの1つから所望のMASK値を引き出すこと
ができるかのいずれかでなければならないことを暗示す
る。以下、後者の場合について、さらに詳しく検討す
る。
示は、敵対者がなんらかの方法でMASK値すなわち EKab(ba) を得ることができる場合に限って可能である。しかし、
各MASKは、事実上、ハットNbaの1方向変換の結果であ
るから、これは不可能である。これは、敵対者が、1)
暗号キーKabを所有するか、2)なんらかの方法で正当
な当事者のうちの1つから所望のMASK値を引き出すこと
ができるかのいずれかでなければならないことを暗示す
る。以下、後者の場合について、さらに詳しく検討す
る。
敵対者は、Bに問い合わせ、Aを装うことによってMA
SK値を得ようと試みることができる。しかし、敵対者が
どのような値をBに送っても、Bは必ずメッセージ(40
2)で新鮮なキーを生成する。敵対者が有用な情報を全
け得られないようにするのは、この新キーの新鮮さであ
る。実際に、敵対者がBに何を送ろうと試みるかは全く
無関係である。というのは、ハットNba=AUTH(Kab,
Nab,Kba,B)が、新たに生成されるKbaに強く依存するか
らである。
SK値を得ようと試みることができる。しかし、敵対者が
どのような値をBに送っても、Bは必ずメッセージ(40
2)で新鮮なキーを生成する。敵対者が有用な情報を全
け得られないようにするのは、この新キーの新鮮さであ
る。実際に、敵対者がBに何を送ろうと試みるかは全く
無関係である。というのは、ハットNba=AUTH(Kab,
Nab,Kba,B)が、新たに生成されるKbaに強く依存するか
らである。
その代わりに、敵対者はAから情報を引きだそうと試
みることができる。これは、上の場合よりかなり困難で
ある。というのは、Aは、メッセージ(402)が認証さ
れる場合に限ってメッセージ(403)で応答するからで
ある。したがって、敵対者は、メッセージ(402)内の
形式の式を生成できなければならないが、これは、メッ
セージ(402)の両方の暗号演算が、Aのランダムな質
問Nabに対して計算されるので、不可能である。
みることができる。これは、上の場合よりかなり困難で
ある。というのは、Aは、メッセージ(402)が認証さ
れる場合に限ってメッセージ(403)で応答するからで
ある。したがって、敵対者は、メッセージ(402)内の
形式の式を生成できなければならないが、これは、メッ
セージ(402)の両方の暗号演算が、Aのランダムな質
問Nabに対して計算されるので、不可能である。
独立 ここで、敵対者が、なんらかの方法で2PKDPの行程の
1つからキーi baを発見することができたと仮定する。
さらに、この敵対者は、AまたはBのいずれとも明瞭な
協力なしにこれを行ったものとする。これによって敵対
者が得ることのできる最も重要な追加の情報は、 EKab(i ba)=MASKi である。
1つからキーi baを発見することができたと仮定する。
さらに、この敵対者は、AまたはBのいずれとも明瞭な
協力なしにこれを行ったものとする。これによって敵対
者が得ることのできる最も重要な追加の情報は、 EKab(i ba)=MASKi である。
ここで、MASKiは、長期間使用されるキーKabのもとに
おけるハットKi baの暗号であるから、この敵対者は、後
程Kabを破る試みに使用することができる[平文、暗号
文]ブロック対を発見できる。しかし、これは、敵対者
がKi baを発見することによる結果として推定されるセキ
ュリティの侵害と同程度の危険である。
おけるハットKi baの暗号であるから、この敵対者は、後
程Kabを破る試みに使用することができる[平文、暗号
文]ブロック対を発見できる。しかし、これは、敵対者
がKi baを発見することによる結果として推定されるセキ
ュリティの侵害と同程度の危険である。
残りの疑問は、敵対者が新たに獲得した情報を使用し
て、下記の1または2によってこのプロトコルを解明す
ること(アタック)ができるか否かである。
て、下記の1または2によってこのプロトコルを解明す
ること(アタック)ができるか否かである。
1.他のプロトコルの行程(過去または未来のいずれか)
からキーKj ba(i≠j)を発見する 2.Bを装いながら別のプロトコルの行程でAにKi baを正
しく配布する 前に述べたように、MASKは、ハットNbaの1方向関数
の結果である。また、ハットNba自体は、Nab、Kbaおよ
びBの1方向関数である。これによって、本質的にタイ
プ1によるアタックの可能性が排除される。
からキーKj ba(i≠j)を発見する 2.Bを装いながら別のプロトコルの行程でAにKi baを正
しく配布する 前に述べたように、MASKは、ハットNbaの1方向関数
の結果である。また、ハットNba自体は、Nab、Kbaおよ
びBの1方向関数である。これによって、本質的にタイ
プ1によるアタックの可能性が排除される。
タイプ2によって解明するには、敵対者が下記の形式
(i≠j)のメッセージを構築できることが必要であ
る。
(i≠j)のメッセージを構築できることが必要であ
る。
j ba=AUTH(Kab,Nj ab,Kj ba,B), EKab(j ba)Kj ba ただし、Kj ba≠Ki ba これは、敵対者が、新鮮なナンスNj abに対するAUTH式
の計算を含むハットNj baの新鮮な値を作ることができる
場合に限って可能である。敵対者は、オラクル(oracl
e)・アタックを介してハットNj baを得ることはできな
い。というのは、敵対者によって問い合わせのために選
択された当事者が、その当事者自身のナンスによって暗
黙のうちにリフレッシュされたメッセージで応答するか
らである。
の計算を含むハットNj baの新鮮な値を作ることができる
場合に限って可能である。敵対者は、オラクル(oracl
e)・アタックを介してハットNj baを得ることはできな
い。というのは、敵対者によって問い合わせのために選
択された当事者が、その当事者自身のナンスによって暗
黙のうちにリフレッシュされたメッセージで応答するか
らである。
完全性 配布されるキーの完全性は、KDPの主要なセキュリテ
ィ上の特徴の1つではない。キーが敵対者によって選択
された特定の値に変更される可能性がない限り、純粋な
キー配布プロトコル自体は、キーの完全性に関係する必
要はない。たとえば、当技術分野で既知のKDPのいくつ
かは、バード他に記載の通り、キー自体が認証されず、
単に配布されるだけなので、キー変更アタックに弱い。
それにもかかわらず、これはプロトコルのバグとはみな
されない。というのは、敵対者がそのキーを既知の値に
変更できないからである。敵対者は、既知の値によりあ
るキーをオフセットすることしかできない。
ィ上の特徴の1つではない。キーが敵対者によって選択
された特定の値に変更される可能性がない限り、純粋な
キー配布プロトコル自体は、キーの完全性に関係する必
要はない。たとえば、当技術分野で既知のKDPのいくつ
かは、バード他に記載の通り、キー自体が認証されず、
単に配布されるだけなので、キー変更アタックに弱い。
それにもかかわらず、これはプロトコルのバグとはみな
されない。というのは、敵対者がそのキーを既知の値に
変更できないからである。敵対者は、既知の値によりあ
るキーをオフセットすることしかできない。
その一方で、この種のアタックは、本発明の2PKDPに
対して簡単に実行可能ではない。というのは、キーを変
更するために、認証式AUTH(Kab,Nab,Kba,B)を同時に
変更しなければならないからである。
対して簡単に実行可能ではない。というのは、キーを変
更するために、認証式AUTH(Kab,Nab,Kba,B)を同時に
変更しなければならないからである。
3者キー配布プロトコル(3PKDP) 第5図は、本発明による3者認証キー配布プロトコル
の流れ図である。3PKDPの目的は、新鮮なグループ・キ
ーをユーザのグループ(この例では2者)に配布するこ
とである。通常は認証サーバ(S)と呼称される相互に
信頼される第3者が存在すると仮定する。グループのユ
ーザのすべてが、プロトコル実行の前に、対応する秘密
のマスタ・ユーザ・キー(A−S間ではKas、B−S間
ではKbs)を共有すると仮定する。前記ユーザ・キーの
それぞれは、サーバと対応ユーザのみが知っている。こ
の例のプロトコルでは、Aと表記するイニンエータが存
在し、これが通信を開始する。グループは、誰がそれに
参加するかがAに判る形で決定される。このプロトコル
は、最初にグループ内の他者(ユーザ)を識別するイニ
シエータAによって開始される。
の流れ図である。3PKDPの目的は、新鮮なグループ・キ
ーをユーザのグループ(この例では2者)に配布するこ
とである。通常は認証サーバ(S)と呼称される相互に
信頼される第3者が存在すると仮定する。グループのユ
ーザのすべてが、プロトコル実行の前に、対応する秘密
のマスタ・ユーザ・キー(A−S間ではKas、B−S間
ではKbs)を共有すると仮定する。前記ユーザ・キーの
それぞれは、サーバと対応ユーザのみが知っている。こ
の例のプロトコルでは、Aと表記するイニンエータが存
在し、これが通信を開始する。グループは、誰がそれに
参加するかがAに判る形で決定される。このプロトコル
は、最初にグループ内の他者(ユーザ)を識別するイニ
シエータAによって開始される。
安全な3PKDPは、安全な2PKDPと同一の条件に、さらに
下記の要件が追加された条件を満たさなければならな
い。
下記の要件が追加された条件を満たさなければならな
い。
・ どの当事者も、配布されるグループ・キーを変更で
きてはならない。
きてはならない。
より一般的に言うと、正当な当事者のうちの1つ(A
またはB)は、任意の「ビザンチン(byzantine)」動
作を示すことができる(Sに登録された別の当事者を装
うことができる)と仮定する。もちろん、このような行
為のすべてのタイプにこのプロトコル内で対処すること
はできない。たとえば、セッション・キーの許可されて
いない開示を防止することはできない。しかし、安全な
3PKDPは、正当な当事者による攻撃に対して防御されな
ければならない。実際には、ビザンチン動作を示す正当
な当事者は、敵対者の特殊な事例(追加の知識を有する
敵対者)と見なすことができる。
またはB)は、任意の「ビザンチン(byzantine)」動
作を示すことができる(Sに登録された別の当事者を装
うことができる)と仮定する。もちろん、このような行
為のすべてのタイプにこのプロトコル内で対処すること
はできない。たとえば、セッション・キーの許可されて
いない開示を防止することはできない。しかし、安全な
3PKDPは、正当な当事者による攻撃に対して防御されな
ければならない。実際には、ビザンチン動作を示す正当
な当事者は、敵対者の特殊な事例(追加の知識を有する
敵対者)と見なすことができる。
2PKDPの2つの実体(行程)と2PAPの1つの実体を組
み合わせることによって、安全な3PKDPが得られる。2
ユーザAおよびBは、それぞれ認証サーバSとの2PKDP
に関与する。AおよびBは、それぞれがSとユーザ秘密
キーすなわちKasおよびKbsを共有すると仮定する。新キ
ーKabの配布の後に、AおよびBは、お互いがKabを知っ
ていることを確認するために2PAPに関与する。
み合わせることによって、安全な3PKDPが得られる。2
ユーザAおよびBは、それぞれ認証サーバSとの2PKDP
に関与する。AおよびBは、それぞれがSとユーザ秘密
キーすなわちKasおよびKbsを共有すると仮定する。新キ
ーKabの配布の後に、AおよびBは、お互いがKabを知っ
ていることを確認するために2PAPに関与する。
ここでブロック501を参照すると、プロトコル実行
は、第1ユーザAが、その名前A、ナンスNasおよびグ
ループのA以外のユーザ(この場合はBだけ)の名前を
サーバSに送ることから始まる。その後、サーバは、ブ
ロック502で新グループ・キーKabを生成し、この新グル
ープ・キーは、安全な形で保持され、グループのユーザ
(この例ではAおよびB)による使用だけを目的とす
る。少なくともユーザのキーKas、ユーザーのナンス
Nas、グループ・キーKabおよびグループのA以外のユー
ザ(この場合ではB)の名前に基づく認証関数AUTH(K
as,Nas,Kab,B)の値ハットNsaを、ブロック503でサーバ
が計算する。その後、サーバSはブロック504で、少な
くともユーザのキーKas、値ハットNsaおよびグループ・
キーKabに基づく関数BRAID(Kas,ハットNsa,Kab)の値
を計算する。
は、第1ユーザAが、その名前A、ナンスNasおよびグ
ループのA以外のユーザ(この場合はBだけ)の名前を
サーバSに送ることから始まる。その後、サーバは、ブ
ロック502で新グループ・キーKabを生成し、この新グル
ープ・キーは、安全な形で保持され、グループのユーザ
(この例ではAおよびB)による使用だけを目的とす
る。少なくともユーザのキーKas、ユーザーのナンス
Nas、グループ・キーKabおよびグループのA以外のユー
ザ(この場合ではB)の名前に基づく認証関数AUTH(K
as,Nas,Kab,B)の値ハットNsaを、ブロック503でサーバ
が計算する。その後、サーバSはブロック504で、少な
くともユーザのキーKas、値ハットNsaおよびグループ・
キーKabに基づく関数BRAID(Kas,ハットNsa,Kab)の値
を計算する。
次にブロック505を参照すると、認証関数AUTH(Kas,N
as,Kab,B)の値と関数BRAID(Kas,ハットNsa,Kab)の値
が、SからAに送られる。Sからのメッセージを受け取
る際に、ブロック506で、第1ユーザAは、ユーザのキ
ーKasと値ハットNsaを使用して、ユーザの関数BRAID(K
as,ハットNsa,Kab)の値からグループ・キーKabを抽出
することができる。
as,Kab,B)の値と関数BRAID(Kas,ハットNsa,Kab)の値
が、SからAに送られる。Sからのメッセージを受け取
る際に、ブロック506で、第1ユーザAは、ユーザのキ
ーKasと値ハットNsaを使用して、ユーザの関数BRAID(K
as,ハットNsa,Kab)の値からグループ・キーKabを抽出
することができる。
次にブロック507を参照すると、第1ユーザAは、ユ
ーザの認証関数AUTH(Kas,Nas,Kab,B)の値を再計算
し、Sが送ったメッセージの対応物と比較する。一致が
生じると、グループ・キーKabの正しく認証された(秘
密の)配布がもたらされる。その後、この処理はブロッ
ク508に進み、第1ユーザが、両方向認証を完了するた
め、少なくともユーザのキーKas、ユーザのナンスNasお
よびグループ・キーKabに基づく、もう1つの認証関数A
CK(Kas,Nas,Kab)の値を計算する。
ーザの認証関数AUTH(Kas,Nas,Kab,B)の値を再計算
し、Sが送ったメッセージの対応物と比較する。一致が
生じると、グループ・キーKabの正しく認証された(秘
密の)配布がもたらされる。その後、この処理はブロッ
ク508に進み、第1ユーザが、両方向認証を完了するた
め、少なくともユーザのキーKas、ユーザのナンスNasお
よびグループ・キーKabに基づく、もう1つの認証関数A
CK(Kas,Nas,Kab)の値を計算する。
次にブロック509を参照すると、認証関数ACK(Kas,N
as,Kab)の値が、AからSに送られる。第1の2PKDP
は、ブロック510で終了するが、ここでは、サーバS
が、認証関数ACK(Kas,Nas,Kab)の値を再計算し、Aが
送ったメッセージの対応物と比較する。一致が生じる
と、Aの認証がもたらされる。
as,Kab)の値が、AからSに送られる。第1の2PKDP
は、ブロック510で終了するが、ここでは、サーバS
が、認証関数ACK(Kas,Nas,Kab)の値を再計算し、Aが
送ったメッセージの対応物と比較する。一致が生じる
と、Aの認証がもたらされる。
同様のステップが、第2ユーザBとサーバSの間で実
行される。ブロック511を参照すると、第1ユーザB
は、その名前B、ナンスNbsおよびグループのB以外の
ユーザ(この場合ではAのみ)の名前をサーバSに送
る。少なくともユーザのキーKbs、ユーザのナンスNbs、
グループ・キーKabおよびグループのB以外のユーザ
(この場合ではA)の名前に基づく認証関数AUTH(Kbs,
Nbs,Kab,A)の値ハットNsbが、ブロック512でサーバに
よって計算される。その後、サーバSは、ブロック513
で、少なくともユーザのキーKbs、値ハットNsbおよびグ
ループ・キーKabに基づく関数BRAID(Kbs,ハットNsb,K
ab)の値を計算する。
行される。ブロック511を参照すると、第1ユーザB
は、その名前B、ナンスNbsおよびグループのB以外の
ユーザ(この場合ではAのみ)の名前をサーバSに送
る。少なくともユーザのキーKbs、ユーザのナンスNbs、
グループ・キーKabおよびグループのB以外のユーザ
(この場合ではA)の名前に基づく認証関数AUTH(Kbs,
Nbs,Kab,A)の値ハットNsbが、ブロック512でサーバに
よって計算される。その後、サーバSは、ブロック513
で、少なくともユーザのキーKbs、値ハットNsbおよびグ
ループ・キーKabに基づく関数BRAID(Kbs,ハットNsb,K
ab)の値を計算する。
次にブロック514を参照すると、認証関数AUTH(Kbs,N
bs,Kab,A)の値と、関数BRAID(Kbs,ハットNsb,Kab)の
値が、SからBへ送られる。Sからのメッセージ受け取
る際に、ブロック515で、第2ユーザBは、ユーザのキ
ーKbsとハットNsbを使用して、ユーザの関数BRAID
(Kbs,ハットNsb,Kab)の値からグループ・キーKabを抽
出することができる。
bs,Kab,A)の値と、関数BRAID(Kbs,ハットNsb,Kab)の
値が、SからBへ送られる。Sからのメッセージ受け取
る際に、ブロック515で、第2ユーザBは、ユーザのキ
ーKbsとハットNsbを使用して、ユーザの関数BRAID
(Kbs,ハットNsb,Kab)の値からグループ・キーKabを抽
出することができる。
次にブロック516を参照すると、第2ユーザBは、ユ
ーザの認証関数AUTH(Kbs,Nbs,Kab,A)の値を再計算
し、Sが送ったメッセージの対応物と比較する。一致が
生じると、グループ・キーKabの正しく認証された(秘
密の)配布がもたらされる。その後、この処理はブロッ
ク517に進み、第2ユーザが、両方向認証を完了するた
め、少なくともユーザのキーKbs、ユーザのナンスNbsお
よびグループ・キーKabに基づく、もう1つの認証関数A
CK(Kbs,Nbs,Kab)の値を計算する。
ーザの認証関数AUTH(Kbs,Nbs,Kab,A)の値を再計算
し、Sが送ったメッセージの対応物と比較する。一致が
生じると、グループ・キーKabの正しく認証された(秘
密の)配布がもたらされる。その後、この処理はブロッ
ク517に進み、第2ユーザが、両方向認証を完了するた
め、少なくともユーザのキーKbs、ユーザのナンスNbsお
よびグループ・キーKabに基づく、もう1つの認証関数A
CK(Kbs,Nbs,Kab)の値を計算する。
次に、ブロック518を参照すると、認証関数ACK(Kbs,
Nbs,Kab)の値が、BからSへ送られる。第2の2PKDP
は、ブロック519で終了し、ここで、サーバSは、認証
関数ACK(Kbs,Nbs,Kab)の値を再計算し、Bが送ったメ
ッセージの対応物と比較する。一致が生じると、Bの認
証がもたらされる。その後、2ユーザAおよびBは、2P
APによってお互いを認証することができる。ブロック52
0を参照すると、第1ユーザAが、その名前とナンスNab
を第2ユーザBに送る。Aからのメッセージを受け取る
際に、少なくともグループ・キーKab、ナンスNab、新ナ
ンスNbaおよびメッセージ発信元の名前Bに基づく認証
関数AUTH(Kab,Nab,Nba,B)の値が、ブロック521で第2
ユーザBによって計算される。
Nbs,Kab)の値が、BからSへ送られる。第2の2PKDP
は、ブロック519で終了し、ここで、サーバSは、認証
関数ACK(Kbs,Nbs,Kab)の値を再計算し、Bが送ったメ
ッセージの対応物と比較する。一致が生じると、Bの認
証がもたらされる。その後、2ユーザAおよびBは、2P
APによってお互いを認証することができる。ブロック52
0を参照すると、第1ユーザAが、その名前とナンスNab
を第2ユーザBに送る。Aからのメッセージを受け取る
際に、少なくともグループ・キーKab、ナンスNab、新ナ
ンスNbaおよびメッセージ発信元の名前Bに基づく認証
関数AUTH(Kab,Nab,Nba,B)の値が、ブロック521で第2
ユーザBによって計算される。
次にブロック522を参照すると、認証関数AUTH(Kab,N
ab,Nba,B)の値とナンスNbaが、BからAへ送られる。
Bからのメッセージを受け取る際に、ブロック523で、
第1ユーザAは、認証関数AUTH(Kab,Nab,Nba,B)の値
を再計算し、Bが送ったメッセージの対応物と比較す
る。一致が生じると、Bの認証がもたらされる。その
後、この処理はブロック524に進み、第1ユーザが、両
方向認証を完了するため、少なくともグループ・キーK
ab、ナンスNabおよびナンスNbaに基づく認証関数ACK(K
ab,Nab,Nba)の値を計算する。
ab,Nba,B)の値とナンスNbaが、BからAへ送られる。
Bからのメッセージを受け取る際に、ブロック523で、
第1ユーザAは、認証関数AUTH(Kab,Nab,Nba,B)の値
を再計算し、Bが送ったメッセージの対応物と比較す
る。一致が生じると、Bの認証がもたらされる。その
後、この処理はブロック524に進み、第1ユーザが、両
方向認証を完了するため、少なくともグループ・キーK
ab、ナンスNabおよびナンスNbaに基づく認証関数ACK(K
ab,Nab,Nba)の値を計算する。
次にブロック525を参照すると、認証関数ACK(Kab,N
ab,Nba)の値が、AからBへ送られる。この処理は、ブ
ロック526で終了するが、ここで、第2ユーザBは、認
証関数ACK(Kab,Nab,Nba)の値を再計算し、Aが送った
メッセージの対応物と比較する。一致が生じると、Aの
認証がもたらされる。
ab,Nba)の値が、AからBへ送られる。この処理は、ブ
ロック526で終了するが、ここで、第2ユーザBは、認
証関数ACK(Kab,Nab,Nba)の値を再計算し、Aが送った
メッセージの対応物と比較する。一致が生じると、Aの
認証がもたらされる。
本明細書で提案される3PKDPに従って交換されるメッ
セージのリストを、第6図に示す。
セージのリストを、第6図に示す。
サーバは、(サーバに加えて)ユーザの役割を演じる
こともできることに留意されたい。サーバは、サーバ自
体を含む(グループのメンバとして)グループとキーを
共有するためにこのプロトコルを使用することができ、
その場合、サーバは、それ自体へのグループ・キーの送
出と認証検証を省略し(これは不要である)、グループ
のサーバS以外のユーザから構成されるユーザのサブ・
グループのみにグループ・キーを送り、認証検証を行っ
て、プロトコル・サーバの役割とユーザの役割の両方を
演じることができる。特に、このことは、サーバと実際
のユーザだけが、それらが共有するキーを変更できるこ
とを保証する信頼性のある方法で、サーバとユーザによ
って共有されるキーのリフレッシュに使用されうる。グ
ループが、2ユーザのみからなる(たとえばAとS)場
合、このプロトコルは、前に説明した2PKDPと同一にな
ることに留意されたい。
こともできることに留意されたい。サーバは、サーバ自
体を含む(グループのメンバとして)グループとキーを
共有するためにこのプロトコルを使用することができ、
その場合、サーバは、それ自体へのグループ・キーの送
出と認証検証を省略し(これは不要である)、グループ
のサーバS以外のユーザから構成されるユーザのサブ・
グループのみにグループ・キーを送り、認証検証を行っ
て、プロトコル・サーバの役割とユーザの役割の両方を
演じることができる。特に、このことは、サーバと実際
のユーザだけが、それらが共有するキーを変更できるこ
とを保証する信頼性のある方法で、サーバとユーザによ
って共有されるキーのリフレッシュに使用されうる。グ
ループが、2ユーザのみからなる(たとえばAとS)場
合、このプロトコルは、前に説明した2PKDPと同一にな
ることに留意されたい。
セキュリティの議論 説明を単純明瞭にするために、第6図に示された3PKD
Pの例を参照する。
Pの例を参照する。
認証 2PKDPの場合と同様に、対処しなければならない最初
の問題は、認証プロトコルとしての3PKDPの強さであ
る。言い換えると、このプロトコルが、(A,S)、(B,
S)および、最後に(A,B)という対単位の認証を達成で
きるかどうかである。
の問題は、認証プロトコルとしての3PKDPの強さであ
る。言い換えると、このプロトコルが、(A,S)、(B,
S)および、最後に(A,B)という対単位の認証を達成で
きるかどうかである。
プロトコルの末尾から始めて、Kabの安全な配布を仮
定すると、AとBの間の認証プロトコルは、基礎となる
2PAPと同程度に安全である(実際に、これは2PKPであ
る)ことが簡単にわかる。
定すると、AとBの間の認証プロトコルは、基礎となる
2PAPと同程度に安全である(実際に、これは2PKPであ
る)ことが簡単にわかる。
AとSの間の2PKDPは、安全であり、したがって、B
とSの間の2PKDPも安全である。しかし、3PKDPと2つの
関連しない2PKDPの行程との間の1つの重要な相違は、
Sによって生成されるナンスが、2PKDPの両方の行程で
同一である(すなわち、Kab)ということである。各AUT
H式の計算に対等に接続された当事者の名前を明示的に
含める、すなわち、Kasを用いるAUTHにBを含め、Kbsを
用いるAUTHにAを含めることによって対処する。2PKDP
に完全に適合するための単純な方法の1つが、Kasを用
いるAUTHでKabの代わりにKabAを使用し、同時にKbs
を用いるAUTHでKabの代わりにKabBを使用することで
あることに留意されたい。
とSの間の2PKDPも安全である。しかし、3PKDPと2つの
関連しない2PKDPの行程との間の1つの重要な相違は、
Sによって生成されるナンスが、2PKDPの両方の行程で
同一である(すなわち、Kab)ということである。各AUT
H式の計算に対等に接続された当事者の名前を明示的に
含める、すなわち、Kasを用いるAUTHにBを含め、Kbsを
用いるAUTHにAを含めることによって対処する。2PKDP
に完全に適合するための単純な方法の1つが、Kasを用
いるAUTHでKabの代わりにKabAを使用し、同時にKbs
を用いるAUTHでKabの代わりにKabBを使用することで
あることに留意されたい。
キー配布 3PKDPでの非開示と独立の特性は、2PKDPから直接に継
承される。新キーの完全性は、別の問題である。両方の
当事者に同一のキーを配布することの問題点は、Sから
Aへのメッセージ内のキーをマスクするのに使用される
式を、「内部」敵対者(たとえばB)が得ることができ
ることである。
承される。新キーの完全性は、別の問題である。両方の
当事者に同一のキーを配布することの問題点は、Sから
Aへのメッセージ内のキーをマスクするのに使用される
式を、「内部」敵対者(たとえばB)が得ることができ
ることである。
MASKa=EKas(sa) =EKas(AUTH(Kas,Nas,Kba,B)) 一見したところでは、この式を知ることによって、B
が無事にKabを任意の選択されたabに変更できるよう
にみえる。それにもかかわらず、Kasを用いるAUTH式
(同一のメッセージに含まれる)によって、このアタッ
クが排除される。というのは、Bが、AUTH(Kas,Nas,K
ab,B)をAUTH(Kas,Nas,ab,B)に変更できないからで
ある。
が無事にKabを任意の選択されたabに変更できるよう
にみえる。それにもかかわらず、Kasを用いるAUTH式
(同一のメッセージに含まれる)によって、このアタッ
クが排除される。というのは、Bが、AUTH(Kas,Nas,K
ab,B)をAUTH(Kas,Nas,ab,B)に変更できないからで
ある。
関連する注意点として、3PKDPの結果としてBが得る
1つの利益は、 sa,EKas(sa) という形式の平文−暗号文対の知識である。これは、B
がブルートフォース・アタックによってKasを発見でき
る限り、脅威となる。しかし、そのために必要な平均的
な作業の量は、かなりな量になり、最初にAUTH式を破る
のに必要な量に確実に匹敵する。
1つの利益は、 sa,EKas(sa) という形式の平文−暗号文対の知識である。これは、B
がブルートフォース・アタックによってKasを発見でき
る限り、脅威となる。しかし、そのために必要な平均的
な作業の量は、かなりな量になり、最初にAUTH式を破る
のに必要な量に確実に匹敵する。
多者キー配布プロトコル 第7図は、本発明による、サーバSから選択されたユ
ーザのグループ(この例ではA、BおよびC)への安全
な多者認証キー配布プロトコルの例で交換されるメッセ
ージのリストを示す図である。この例のプロトコルに
は、Aと称する、通信を開始するイニシエータが存在す
る。このグループは、誰がその一部であるかがAに判る
形で決定されると仮定する。また、グループの全ユーザ
は、プロトコル実行の前に対応する秘密のユーザ・キー
(A−S間ではKas、B−S間ではKbs、C−S間ではK
cs)を共有すると仮定する。前記ユーザ・キーのそれぞ
れは、サーバとユーザのうちで対応するユーザのみが知
っている。このプロトコルは、最初にグループ内の他者
(ユーザ)を識別するイニシエータAによって開始され
る。
ーザのグループ(この例ではA、BおよびC)への安全
な多者認証キー配布プロトコルの例で交換されるメッセ
ージのリストを示す図である。この例のプロトコルに
は、Aと称する、通信を開始するイニシエータが存在す
る。このグループは、誰がその一部であるかがAに判る
形で決定されると仮定する。また、グループの全ユーザ
は、プロトコル実行の前に対応する秘密のユーザ・キー
(A−S間ではKas、B−S間ではKbs、C−S間ではK
cs)を共有すると仮定する。前記ユーザ・キーのそれぞ
れは、サーバとユーザのうちで対応するユーザのみが知
っている。このプロトコルは、最初にグループ内の他者
(ユーザ)を識別するイニシエータAによって開始され
る。
上記のプロトコル・メッセージを実施する実際の処理
の流れは、前の例の実施の処理の流れの詳細な説明を考
慮に入れるならば、第7図から簡単に導出できる。
の流れは、前の例の実施の処理の流れの詳細な説明を考
慮に入れるならば、第7図から簡単に導出できる。
最適化 第6図に示されたプロトコル(第7図のプロトコルに
関しても同様の考察を行うことができる)は、2PKDPと2
PAPの直裁な組み合わせによって得られた。これは、合
計9個のメッセージと3個の両方向通信(A−B、A−
S、B−S)を必要とする。メッセージの数を減らし、
プロトコルを最適化するために、メッセージのいくつか
を交互に配置することができる。さらに、AとBの両方
がSと直接通信する必要はない。より現実的なシナリオ
では、Sとの通信のすべてが、AまたはBのいずれかを
介して行われるはずである。
関しても同様の考察を行うことができる)は、2PKDPと2
PAPの直裁な組み合わせによって得られた。これは、合
計9個のメッセージと3個の両方向通信(A−B、A−
S、B−S)を必要とする。メッセージの数を減らし、
プロトコルを最適化するために、メッセージのいくつか
を交互に配置することができる。さらに、AとBの両方
がSと直接通信する必要はない。より現実的なシナリオ
では、Sとの通信のすべてが、AまたはBのいずれかを
介して行われるはずである。
次に第8図を参照すると、コンパクト化された版の3P
KDPが示されている。この例では、Aが実行を開始し、
その後、その情報をBに渡し、Bは、Aの情報をBの情
報と共にSに渡す。反対方向の移動では、サーバSが、
すべての情報をBに送り、Bは、その情報の一部をAに
配布する。このプロトコルが、互いに通信するユーザの
グループ内の通信の順序に敏感でなくなるようにするた
めに、タグを使用し、その結果、えデータのストリーム
内のどの情報を使用すべきかが特定のユーザに判るよう
にする。
KDPが示されている。この例では、Aが実行を開始し、
その後、その情報をBに渡し、Bは、Aの情報をBの情
報と共にSに渡す。反対方向の移動では、サーバSが、
すべての情報をBに送り、Bは、その情報の一部をAに
配布する。このプロトコルが、互いに通信するユーザの
グループ内の通信の順序に敏感でなくなるようにするた
めに、タグを使用し、その結果、えデータのストリーム
内のどの情報を使用すべきかが特定のユーザに判るよう
にする。
フロントページの続き (56)参考文献 特開 平5−344117(JP,A) 椿山英樹,大橋正良,古賀敬一朗“安 全な相互認証/暗号鍵配送方式およびI Cカード実験システムへの実装”電子情 報通信学会論文誌,Vol.J76−D− ▲I▼,No.12,(1993年12月),p p.695−697 椿山英樹,大橋正良,古賀敬一朗“相 互認証/暗号鍵配送方式”電子情報通信 学会論文誌,Vol.J76−D−▲I ▼,No.12,(1993年12月),pp. 698−701 (58)調査した分野(Int.Cl.7,DB名) G09C 1/00 - 5/00 H04K 1/00 - 3/00 H04L 9/00 INSPEC(DIALOG) JICSTファイル(JOIS) WPI(DIALOG)
Claims (10)
- 【請求項1】選択されたユーザ・コンピュータのグルー
プによって使用されるキーの、コンピュータ通信システ
ム内での安全な認証配布を提供する方法であって、キー
が、サーバ・コンピュータから前記サーバ・コンピュー
タ以外の前記グループのユーザ・コンピュータからなる
サブグループへ配布され、前記サブグループの各ユーザ
・コンピュータが、前記サーバ・コンピュータと秘密の
ユーザ・コンピュータ・キーを共有し、 ・ユーザ・コンピュータの名前(A)、ユーザ・コンピ
ュータの予測不能な1回だけ使用される乱数(以下「ナ
ンス(Nas)」という)および前記ユーザ・コンピュー
タ以外の前記サブグループのユーザ・コンピュータの名
前(B)を前記サブグループの各ユーザ・コンピュータ
から前記システムの使用可能な経路を介して前記サーバ
・コンピュータに送るステップ(501、511)と、 ・前記サーバ・コンピュータが、前記グループの全ユー
ザ・コンピュータ用の新しい共通グループ・キー
(Kab)を生成するステップ(502)と、 ・少なくとも前記ユーザ・コンピュータのキー
(Kas)、前記ユーザ・コンピュータのナンス(Nas)、
前記グループ・キー(Kab)および、前記ユーザ・コン
ピュータ以外の前記グループのユーザ・コンピュータの
名前(B)に依存する第1関数の値を、前記サーバ・コ
ンピュータが前記サブグループの各ユーザ・コンピュー
タについて計算するステップ(503、512)と、 ・少なくとも前記ユーザ・コンピュータのキー
(Kas)、前記ユーザ・コンピュータの第1関数の値お
よび前記グループ・キー(Kab)に依存する第2関数の
値を、前記サーバ・コンピュータが前記サブグループの
各ユーザ・コンピュータについて計算するステップ(50
4、513)と、 ・前記サーバ・コンピュータから前記システムの使用可
能な経路を介して前記サブグループの各ユーザ・コンピ
ュータへ、前記ユーザ・コンピュータの第1関数および
第2関数の値を送るステップ(505、514)と、 ・前記サブグループの各ユーザ・コンピュータが、前記
ユーザ・コンピュータのキーおよび前記ユーザ・コンピ
ュータの第1関数の値を使用して、前記ユーザ・コンピ
ュータの第2関数の値から前記グループ・キーを抽出す
るステップ(506、515)と、 ・前記サブグループの各ユーザ・コンピュータが、前記
ユーザ・コンピュータの第1関数の値を再計算し(50
7、516)、前記再計算された値が前記サーバ・コンピュ
ータによって受け取られた前記ユーザ・コンピュータの
第1関数の値と等しい場合に、前記抽出されたグループ
・キー(Kab)が認証されたとみなすステップと を含む方法。 - 【請求項2】さらに、 ・少なくとも前記ユーザ・コンピュータのキー
(Kas)、前記ユーザ・コンピュータのナンス(Nas)お
よび前記グループ・キー(Nab)に依存する第3関数の
値を、前記サブグループの各ユーザ・コンピュータが計
算するステップ(508、517)と、 ・前記サブグループの各ユーザ・コンピュータから前記
システムの使用可能な経路を介して前記サーバ・コンピ
ュータへ、前記ユーザ・コンピュータの第3関数の値を
送るステップ(509、518)と、 ・前記サーバ・コンピュータが、前記サブグループの各
ユーザ・コンピュータについて前記ユーザ・コンピュー
タの第3関数の値を再計算し(510、519)、前記再計算
された値が、前記ユーザ・コンピュータによって受け取
られた前記ユーザ・コンピュータの第3関数の値と等し
い場合に、前記サブグループの各ユーザ・コンピュータ
を認証するステップと、 を含む、請求項1に記載の方法。 - 【請求項3】さらに、 ・前記サブグループの各ユーザ・コンピュータが、前記
ユーザ・コンピュータ間で前記グループ・キー(Kab)
を用いて情報を暗号化し、交換することによって、前記
サブグループの他のユーザ・コンピュータに対して各ユ
ーザ・コンピュータ自体を認証するステップ(520ない
し526) を含む、請求項1または2に記載の方法。 - 【請求項4】前記第1、第2および第3の関数が、前記
ユーザ・コンピュータのキー(Kas)の下での暗号関数
である請求項1ないし3のいずれか一項に記載の方法。 - 【請求項5】前記第2関数が、少なくとも前記グループ
・キー(Kab)との排他的論理和をとられた前記ユーザ
・コンピュータの第1関数の、前記ユーザ・コンピュー
タのキー(Kas)の下での暗号関数である請求項1ない
し4のいずれか一項に記載の方法。 - 【請求項6】前記グループ・キー(Kab)が、前記サブ
グループの各ユーザ・コンピュータによって、前記ユー
ザ・コンピュータの暗号関数の値を再計算し、前記結果
と前記ユーザ・コンピュータの第2関数の値の排他的論
理和をとることによって抽出される請求項5に記載の方
法。 - 【請求項7】さらに、 ・前記サブグループの各ユーザ・コンピュータからサー
バ・コンピュータに送られる情報が、システムのユーザ
・コンピュータのうちの1ユーザ・コンピュータによっ
て集められ、その後、前記1ユーザ・コンピュータから
前記サーバ・コンピュータへ送られる 請求項1ないし6のいずれか一項に記載の方法。 - 【請求項8】さらに、 ・システムを介して送られる情報が、宛先のユーザ・コ
ンピュータまたはサーバ・コンピュータを識別するタグ
によって識別される 請求項1ないし7のいずれか一項に記載の方法。 - 【請求項9】選択されたユーザ・コンピュータ(101、1
02、103、109)のグループによって使用されるキーの安
全な認証配布を提供するコンピュータ通信システム(10
0)であって、キーが、サーバ・コンピュータ(109)か
ら前記サーバ・コンピュータ以外の前記グループのユー
ザ・コンピュータからなるユーザ・コンピュータ(10
1、102、103)のサブグループへ配布され、前記サブグ
ループの各ユーザ・コンピュータが、前記サーバ・コン
ピュータと秘密の対応するユーザ・コンピュータ・キー
を共有し、 ・ユーザ・コンピュータの名前、ユーザ・コンピュータ
の予測不能な1回だけ使用される乱数(以下「ナンス
(Nas)」という)および前記ユーザ・コンピュータ以
外の前記サブグループのユーザ・コンピュータの名前を
前記サブグループの各ユーザ・コンピュータから前記シ
ステムの使用可能な経路を介して前記サーバ・コンピュ
ータに送る(501、511)手段と、 ・前記サーバ・コンピュータが、前記グループの全ユー
ザ・コンピュータ用の新しい共通グループ・キーを生成
する(502)手段と、 ・少なくとも前記ユーザ・コンピュータのキー、前記ユ
ーザ・コンピュータのナンス、前記グループ・キーおよ
び、前記ユーザ・コンピュータ以外の前記グループのユ
ーザ・コンピュータの名前に依存する第1関数の値を、
前記サーバ・コンピュータが前記サブグループの各ユー
ザ・コンピュータについて計算する(503、512)手段
と、 ・少なくとも前記ユーザ・コンピュータのキー、前記ユ
ーザ・コンピュータの第1関数の値および前記グループ
・キーに依存する第2関数の値を、前記サーバ・コンピ
ュータが前記サブグループの各ユーザ・コンピュータに
ついて計算する(504、513)手段と、 ・前記サーバ・コンピュータから前記システムの使用可
能な経路を介して前記サブグループの各ユーザ・コンピ
ュータへ、前記ユーザ・コンピュータの第1関数および
第2関数の値を送る(505、514)手段と、 ・前記サブグループの各ユーザ・コンピュータが、前記
ユーザ・コンピュータのキーおよび前記ユーザ・コンピ
ュータの第1関数の値を使用して、前記ユーザ・コンピ
ュータの第2関数の値から前記グループ・キーを抽出す
る(506、515)手段と、 ・前記サブグループの各ユーザ・コンピュータが、前記
ユーザ・コンピュータの第1関数の値を再計算し(50
7、516)、前記再計算された値が前記サーバ・コンピュ
ータによって受け取られた前記ユーザ・コンピュータの
第1関数の値と等しい場合に、前記抽出されたグループ
・キーが認証されたとみなす手段と を含むコンピュータ通信システム。 - 【請求項10】さらに、 ・少なくとも前記ユーザ・コンピュータのキー、前記ユ
ーザ・コンピュータのナンスおよび前記グループ・キー
に依存する第3関数の値を、前記サブグループの各ユー
ザ・コンピュータが計算する(508、517)手段と、 ・前記サブグループの各ユーザ・コンピュータから前記
システムの使用可能な経路を介して前記サーバ・コンピ
ュータへ、前記ユーザ・コンピュータの第3関数の値を
送る(509、518)手段と、 ・前記サーバ・コンピュータが、前記サブグループの各
ユーザ・コンピュータについて前記ユーザ・コンピュー
タの第3関数の値を再計算し(510、519)、前記再計算
された値が、前記ユーザ・コンピュータによって受け取
られた前記ユーザ・コンピュータの第3関数の値と等し
い場合に、前記サブグループの各ユーザ・コンピュータ
を認証する手段と、 を含む、請求項9に記載のコンピュータ通信システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP1993/001989 WO1995004416A1 (en) | 1993-07-27 | 1993-07-27 | Method and system for authenticated secure key distribution in a communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH08511928A JPH08511928A (ja) | 1996-12-10 |
| JP3078841B2 true JP3078841B2 (ja) | 2000-08-21 |
Family
ID=8165749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP07505504A Expired - Fee Related JP3078841B2 (ja) | 1993-07-27 | 1993-07-27 | 通信システムの安全なキー配布を提供するための方法およびシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5729608A (ja) |
| EP (1) | EP0711480B1 (ja) |
| JP (1) | JP3078841B2 (ja) |
| DE (1) | DE69311581T2 (ja) |
| WO (1) | WO1995004416A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010150813A1 (ja) * | 2009-06-23 | 2010-12-29 | パナソニック電工株式会社 | 暗号鍵配布システム |
| US8656164B2 (en) | 2009-06-23 | 2014-02-18 | Panasonic Corporation | Authentication system |
Families Citing this family (75)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6041408A (en) * | 1996-06-28 | 2000-03-21 | Hitachi, Ltd. | Key distribution method and system in secure broadcast communication |
| US5953420A (en) * | 1996-10-25 | 1999-09-14 | International Business Machines Corporation | Method and apparatus for establishing an authenticated shared secret value between a pair of users |
| US6292896B1 (en) | 1997-01-22 | 2001-09-18 | International Business Machines Corporation | Method and apparatus for entity authentication and session key generation |
| US6330671B1 (en) * | 1997-06-23 | 2001-12-11 | Sun Microsystems, Inc. | Method and system for secure distribution of cryptographic keys on multicast networks |
| US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
| US6151395A (en) | 1997-12-04 | 2000-11-21 | Cisco Technology, Inc. | System and method for regenerating secret keys in diffie-hellman communication sessions |
| US6038322A (en) | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
| EP1026641B1 (en) * | 1999-02-01 | 2013-04-24 | International Business Machines Corporation | Method and system for establishing a trustworthy connection between a user and a terminal |
| US6892308B1 (en) * | 1999-04-09 | 2005-05-10 | General Instrument Corporation | Internet protocol telephony security architecture |
| SE514105C2 (sv) * | 1999-05-07 | 2001-01-08 | Ericsson Telefon Ab L M | Säker distribution och skydd av krypteringsnyckelinformation |
| US7111172B1 (en) * | 1999-07-19 | 2006-09-19 | Rsa Security Inc. | System and methods for maintaining and distributing personal security devices |
| KR100345685B1 (ko) * | 1999-11-15 | 2002-07-27 | 한국전자통신연구원 | 땋임 연산을 이용한 암호화/복호화 시스템 및 그 방법과그를 위한 키 생성 방법 |
| US6912656B1 (en) * | 1999-11-30 | 2005-06-28 | Sun Microsystems, Inc. | Method and apparatus for sending encrypted electronic mail through a distribution list exploder |
| US7203834B1 (en) * | 1999-12-02 | 2007-04-10 | International Business Machines Corporation | Method of updating encryption keys in a data communication system |
| EP1124206A1 (de) * | 2000-02-08 | 2001-08-16 | Infineon Technologies AG | Verfahren und Anordnung zur gegenseitigen Authentifizierung zweier Datenverarbeitungseinheiten |
| US6959089B1 (en) * | 2000-04-07 | 2005-10-25 | General Instrument Corporation | Method and apparatus for secure transmission of data |
| JP2002074223A (ja) * | 2000-08-25 | 2002-03-15 | Fujitsu Ltd | 認証処理方法、認証処理システム、決済方法、利用者装置及び認証処理を行うためのプログラムを格納した記憶媒体 |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US7324647B1 (en) | 2000-10-23 | 2008-01-29 | Bbn Technologies Corp. | Quantum cryptographic key distribution networks with untrusted switches |
| EP1238490A4 (en) * | 2000-11-08 | 2007-07-18 | Stanford Res Inst Int | Methods and protocols for intrusion-tolerant management of collaborative network groups |
| US7403980B2 (en) * | 2000-11-08 | 2008-07-22 | Sri International | Methods and apparatus for scalable, distributed management of virtual private networks |
| US20020150097A1 (en) * | 2001-02-21 | 2002-10-17 | Wei Yen | Method and apparatus for secured multicasting |
| US7302571B2 (en) * | 2001-04-12 | 2007-11-27 | The Regents Of The University Of Michigan | Method and system to maintain portable computer data secure and authentication token for use therein |
| US7203837B2 (en) * | 2001-04-12 | 2007-04-10 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| US20040049676A1 (en) * | 2001-04-26 | 2004-03-11 | Bruno Dutertre | Methods and protocols for intrusion-tolerant management of collaborative network groups |
| US7424615B1 (en) * | 2001-07-30 | 2008-09-09 | Apple Inc. | Mutually authenticated secure key exchange (MASKE) |
| US7428749B2 (en) * | 2001-08-03 | 2008-09-23 | International Business Machines Corporation | Secure delegation using public key authorization |
| US7487363B2 (en) * | 2001-10-18 | 2009-02-03 | Nokia Corporation | System and method for controlled copying and moving of content between devices and domains based on conditional encryption of content key depending on usage |
| FR2835670A1 (fr) * | 2001-12-20 | 2003-08-08 | Cp8 | Procede de distribution anti-piratage d'un contenu numerique par transmission diversifiee pro-active, dispositif emetteur et objet portatif recepteur associes |
| US7477748B2 (en) * | 2002-03-18 | 2009-01-13 | Colin Martin Schmidt | Session key distribution methods using a hierarchy of key servers |
| KR20030079141A (ko) * | 2002-04-02 | 2003-10-10 | 이창우 | 키합의 프로토콜 구현방법 |
| KR20030079142A (ko) * | 2002-04-02 | 2003-10-10 | 이창우 | 공개키 암호시스템을 이용한 정보의 암호화/복호화 방법 |
| US7299364B2 (en) * | 2002-04-09 | 2007-11-20 | The Regents Of The University Of Michigan | Method and system to maintain application data secure and authentication token for use therein |
| US20030212911A1 (en) * | 2002-05-13 | 2003-11-13 | International Business Machines Corporation | Secure control of access to data stored on a storage device of a computer system |
| US7523490B2 (en) | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US7246232B2 (en) * | 2002-05-31 | 2007-07-17 | Sri International | Methods and apparatus for scalable distributed management of wireless virtual private networks |
| US7370197B2 (en) * | 2002-07-12 | 2008-05-06 | Microsoft Corporation | Method and system for authenticating messages |
| US7457416B1 (en) * | 2002-07-17 | 2008-11-25 | Bbn Technologies Corp. | Key distribution center for quantum cryptographic key distribution networks |
| KR20040017487A (ko) * | 2002-08-21 | 2004-02-27 | 이창우 | 공개키 암호 시스템을 이용한 인증 방법 |
| US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
| US20040064725A1 (en) | 2002-09-18 | 2004-04-01 | Microsoft Corporation | Method and system for detecting a communication problem in a computer network |
| US7627126B1 (en) | 2002-10-15 | 2009-12-01 | Bbn Technologies Corp. | Systems and methods for implementing path length control for quantum cryptographic systems |
| US7460670B1 (en) | 2002-12-20 | 2008-12-02 | Bbn Technologies Corp. | Systems and methods for managing quantum cryptographic networks |
| US7236597B2 (en) | 2002-12-20 | 2007-06-26 | Bbn Technologies Corp. | Key transport in quantum cryptographic networks |
| DE10305730B4 (de) * | 2003-02-12 | 2005-04-07 | Deutsche Post Ag | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken |
| US7706535B1 (en) | 2003-03-21 | 2010-04-27 | Bbn Technologies Corp. | Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport |
| US7430295B1 (en) | 2003-03-21 | 2008-09-30 | Bbn Technologies Corp. | Simple untrusted network for quantum cryptography |
| US7409544B2 (en) * | 2003-03-27 | 2008-08-05 | Microsoft Corporation | Methods and systems for authenticating messages |
| US7610487B2 (en) | 2003-03-27 | 2009-10-27 | Microsoft Corporation | Human input security codes |
| US7624264B2 (en) | 2003-03-27 | 2009-11-24 | Microsoft Corporation | Using time to determine a hash extension |
| US8261062B2 (en) * | 2003-03-27 | 2012-09-04 | Microsoft Corporation | Non-cryptographic addressing |
| US20050025172A1 (en) * | 2003-07-30 | 2005-02-03 | Justin Frankel | Method and apparatus for secure distributed collaboration and communication |
| US20050102513A1 (en) * | 2003-11-10 | 2005-05-12 | Nokia Corporation | Enforcing authorized domains with domain membership vouchers |
| KR100610317B1 (ko) * | 2004-01-06 | 2006-08-09 | 삼성전자주식회사 | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 |
| US7515716B1 (en) | 2004-02-26 | 2009-04-07 | Bbn Technologies Corp. | Systems and methods for reserving cryptographic key material |
| US7697693B1 (en) | 2004-03-09 | 2010-04-13 | Bbn Technologies Corp. | Quantum cryptography with multi-party randomness |
| US7681042B2 (en) * | 2004-06-17 | 2010-03-16 | Eruces, Inc. | System and method for dis-identifying sensitive information and associated records |
| US7929689B2 (en) * | 2004-06-30 | 2011-04-19 | Microsoft Corporation | Call signs |
| GB0416479D0 (en) * | 2004-07-23 | 2004-08-25 | Hewlett Packard Development Co | Delegation protocol |
| KR101248906B1 (ko) * | 2005-05-27 | 2013-03-28 | 삼성전자주식회사 | 무선 랜에서의 키 교환 방법 |
| US8086842B2 (en) * | 2006-04-21 | 2011-12-27 | Microsoft Corporation | Peer-to-peer contact exchange |
| US8401244B2 (en) * | 2007-12-21 | 2013-03-19 | General Instrument Corporation | Method and system for securely authenticating user identity information |
| CN102143491B (zh) | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| KR101520247B1 (ko) * | 2013-02-27 | 2015-05-15 | 주식회사 케이티 | 생체 정보 관리 방법 및 시스템 |
| EP2890074A1 (en) * | 2013-12-31 | 2015-07-01 | Gemalto SA | Method for transmitting push messages |
| EP3110066B1 (en) * | 2014-02-18 | 2018-06-27 | Panasonic Intellectual Property Corporation of America | Authentication method and authentication system |
| US10516654B2 (en) * | 2016-03-15 | 2019-12-24 | Intel Corporation | System, apparatus and method for key provisioning delegation |
| US9722803B1 (en) | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| JP2018142823A (ja) * | 2017-02-27 | 2018-09-13 | Kddi株式会社 | 通信システム、及び、通信方法 |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| US20190215148A1 (en) * | 2018-01-11 | 2019-07-11 | Shenzhen University | Method of establishing anti-attack public key cryptogram |
| WO2024228716A2 (en) | 2022-07-11 | 2024-11-07 | Qwerx Inc. | Systems and methods for direct random number generation from quantum random events |
| US12238202B2 (en) | 2023-01-10 | 2025-02-25 | Qwerx Inc. | Systems and methods for continuous generation and management of ephemeral cryptographic keys |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4649233A (en) * | 1985-04-11 | 1987-03-10 | International Business Machines Corporation | Method for establishing user authenication with composite session keys among cryptographically communicating nodes |
| JP2606419B2 (ja) * | 1989-08-07 | 1997-05-07 | 松下電器産業株式会社 | 暗号通信システムと暗号通信方法 |
| JP2725478B2 (ja) * | 1991-03-05 | 1998-03-11 | 日本電気株式会社 | 暗号鍵配送方式 |
| US5222140A (en) * | 1991-11-08 | 1993-06-22 | Bell Communications Research, Inc. | Cryptographic method for key agreement and user authentication |
| US5369705A (en) * | 1992-06-03 | 1994-11-29 | International Business Machines Corporation | Multi-party secure session/conference |
-
1993
- 1993-07-27 JP JP07505504A patent/JP3078841B2/ja not_active Expired - Fee Related
- 1993-07-27 DE DE69311581T patent/DE69311581T2/de not_active Expired - Fee Related
- 1993-07-27 US US08/591,638 patent/US5729608A/en not_active Expired - Fee Related
- 1993-07-27 EP EP93917657A patent/EP0711480B1/en not_active Expired - Lifetime
- 1993-07-27 WO PCT/EP1993/001989 patent/WO1995004416A1/en not_active Ceased
Non-Patent Citations (2)
| Title |
|---|
| 椿山英樹,大橋正良,古賀敬一朗"安全な相互認証/暗号鍵配送方式およびICカード実験システムへの実装"電子情報通信学会論文誌,Vol.J76−D−▲I▼,No.12,(1993年12月),pp.695−697 |
| 椿山英樹,大橋正良,古賀敬一朗"相互認証/暗号鍵配送方式"電子情報通信学会論文誌,Vol.J76−D−▲I▼,No.12,(1993年12月),pp.698−701 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010150813A1 (ja) * | 2009-06-23 | 2010-12-29 | パナソニック電工株式会社 | 暗号鍵配布システム |
| US8656164B2 (en) | 2009-06-23 | 2014-02-18 | Panasonic Corporation | Authentication system |
| JP5432999B2 (ja) * | 2009-06-23 | 2014-03-05 | パナソニック株式会社 | 暗号鍵配布システム |
| US8817985B2 (en) | 2009-06-23 | 2014-08-26 | Panasonic Corporation | Encryption key distribution system |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH08511928A (ja) | 1996-12-10 |
| EP0711480A1 (en) | 1996-05-15 |
| US5729608A (en) | 1998-03-17 |
| DE69311581T2 (de) | 1997-12-11 |
| EP0711480B1 (en) | 1997-06-11 |
| WO1995004416A1 (en) | 1995-02-09 |
| DE69311581D1 (de) | 1997-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3078841B2 (ja) | 通信システムの安全なキー配布を提供するための方法およびシステム | |
| Agrawal et al. | PASTA: password-based threshold authentication | |
| JP2601983B2 (ja) | 秘密通信方法および装置 | |
| JP5562687B2 (ja) | 第1のユーザによって第2のユーザに送信される通信の安全化 | |
| US8484469B2 (en) | Method, system and equipment for key distribution | |
| US6941457B1 (en) | Establishing a new shared secret key over a broadcast channel for a multicast group based on an old shared secret key | |
| CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN113364576A (zh) | 一种基于区块链的数据加密存证与共享方法 | |
| CN112106322A (zh) | 基于密码的阈值令牌生成 | |
| JP5944437B2 (ja) | 耐タンパ性トークンを用いてセキュアなトランザクションを達成するための効率的な技術 | |
| Zhang et al. | Improved multiparty quantum private comparison based on quantum homomorphic encryption | |
| CN114362932B (zh) | 一种基于ecp的多注册中心匿名认证密钥协商协议方法 | |
| CN113643134A (zh) | 基于多密钥同态加密的物联网区块链交易方法及系统 | |
| Albrecht et al. | Device-oriented group messaging: a formal cryptographic analysis of matrix’core | |
| Yu et al. | Blockchain-based distributed identity cryptography key management | |
| Boshrooyeh et al. | Privado: Privacy-preserving group-based advertising using multiple independent social network providers | |
| Chen et al. | Provable secure group key establishment scheme for fog computing | |
| CN118074899A (zh) | 面向区块链的二元非对称多项式多方协同sm2密钥生成方法 | |
| Chen et al. | An efficient nonce-based authentication scheme with key agreement | |
| CN117614624A (zh) | 车联网中基于密钥协商的身份认证安全信任方法 | |
| Farash | Cryptanalysis and improvement of ‘an improved authentication with key agreement scheme on elliptic curve cryptosystem for global mobility networks’ | |
| Liu et al. | A verifiable quantum key agreement protocol based on six-qubit cluster states | |
| Tsudik et al. | On simple and secure key distribution | |
| TWI761243B (zh) | 群組即時通訊的加密系統和加密方法 | |
| CN104780049A (zh) | 一种安全读写数据的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |