Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3278916B2 - User authentication method - Google Patents
[go: Go Back, main page]

JP3278916B2 - User authentication method - Google Patents

User authentication method

Info

Publication number
JP3278916B2
JP3278916B2 JP21581092A JP21581092A JP3278916B2 JP 3278916 B2 JP3278916 B2 JP 3278916B2 JP 21581092 A JP21581092 A JP 21581092A JP 21581092 A JP21581092 A JP 21581092A JP 3278916 B2 JP3278916 B2 JP 3278916B2
Authority
JP
Japan
Prior art keywords
authenticated
person
mod
user
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP21581092A
Other languages
Japanese (ja)
Other versions
JPH0662000A (en
Inventor
龍明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP21581092A priority Critical patent/JP3278916B2/en
Publication of JPH0662000A publication Critical patent/JPH0662000A/en
Application granted granted Critical
Publication of JP3278916B2 publication Critical patent/JP3278916B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【産業上の利用分野】この発明は、送信者の身元を確認
する利用者認証に関して、安全性が高くかつ通信量を削
減できる、効率のよい利用者認証方を提案するもので
ある。
BACKGROUND OF THE INVENTION This invention, with respect to the user authentication to verify the identity of the sender, can be reduced high and traffic safety, it is to propose good user authentication method the efficiency.

【0002】[0002]

【従来の技術】従来提案されている利用者認証方式とし
てFiat−Shamir方式がある(Fiat,A.
and Shamir,A:“How to prov
e yourself:practical solu
tions to identification a
nd signature problems”,Pr
oceedings of Crypto 86,Sa
nta Barbara,August 1986,p
p.18−1−18−7).Fiat−Shamirの
認証方式は、以下の通りである。
2. Description of the Related Art A Fiat-Shamir system has been proposed as a conventionally proposed user authentication system (Fiat, A. et al.
and Shamir, A: "How to prov
e YOURSELF: Practical Solu
tensions to identification a
nd signature problems ”, Pr
receiveds of Crypto 86, Sa
nta Barbara, August 1986, p.
p. 18-1-18-7). The Fiat-Shamir authentication scheme is as follows.

【0003】信頼できるセンタが、個人識別情報として
IDを用いる利用者に対して、次の手順でk個の秘密情
報sj (1≦j≦k)を生成する(kは安全性を定める
パラメータであり1以上の値)。 ステップ1:一方向性関数fを用いて vj =f(ID,j) (1≦j≦k) を計算する。
A reliable center generates k pieces of secret information s j (1 ≦ j ≦ k) in the following procedure for a user who uses an ID as personal identification information (k is a parameter for determining security). And 1 or more). Step 1: Calculate v j = f (ID, j) (1 ≦ j ≦ k) using the one-way function f.

【0004】ステップ2:各vj に対してNの素因数P
とQを用いて sj =√1/vj (mod N) を計算する。すなわち、sj 2 =1/vj (mod
N)となる。 ステップ3:利用者に対してk個のsj を秘密に発行
し、合成数Nを公開する。
Step 2: For each v j , the prime factor P of N
S j = √1 / v j (mod N) is calculated using Q and Q. That is, s j 2 = 1 / v j (mod
N). Step 3: k s j are issued to the user secretly, and the number of composites N is made public.

【0005】(mod N)における平方根の計算は、
Nの素因数(PとQ)が分かっているときのみ実行でき
る。その方法は、例えばRabin,M.O.:“Di
gitalized Signatures and
Public−key Functions as I
ntractable as Factorizati
on”,Tech.Rep.MIT/LCS/TR−2
12 MIT Lab.Comput.Sci.197
9に示されている。平方根の計算装置の具体的な構成例
は、公開鍵暗号システム(特願昭61−169350)
に示されている。
[0005] The calculation of the square root in (mod N) is
It can be executed only when the prime factors of N (P and Q) are known. The method is described, for example, in Rabin, M .; O. : "Di
digitized Signatures and
Public-key Functions as I
ntractable as Factorizati
on ", Tech.Rep.MIT/LCS/TR-2
12 MIT Lab. Comput. Sci. 197
9. A specific configuration example of the square root calculator is disclosed in Japanese Patent Application No. 61-169350.
Is shown in

【0006】送信者Aは、認証者Bに対して、Aが本物
であることを、次の手順で証明する。 ステップ1:AがIDをBに送る。 ステップ2:Bがvj =f(ID,j) (1≦j≦
k)を計算する。
The sender A certifies to the authenticator B that A is genuine by the following procedure. Step 1: A sends ID to B. Step 2: B is v j = f (ID, j) (1 ≦ j ≦
Calculate k).

【0007】次に、i=1,…,tについて次のステッ
プ3〜6をt回繰り返す(tは安全性を定めるパラメー
タであり、1以上の値)。 ステップ3:乱数ri を生成して、 xi =ri 2 (mod N) を計算して、Bに送る。
Next, the following steps 3 to 6 are repeated t times for i = 1,..., T (t is a parameter for determining security, and a value of 1 or more). Step 3: Generate a random number r i , calculate x i = r i 2 (mod N), and send it to B.

【0008】ステップ4:Bが、0,1のビット列(e
i1,…,eik)を生成して、Aに送る。 ステップ5:Aが署名文yi を yi =ri Πsj (mod N) で生成して、Bに送る。Πはeijについてj=1からk
まで ステップ6:Bは、 xi =yi 2 Πvj (mod N) を検査する。Πはeijについてj=1からkまで yi の作り方よりyi 2 Πvj =ri 2 Π(sj 2 ×v
j )=ri 2 =xi (mod N)であるから、t回の
検査にすべて合格した場合、認証者BはAが本物である
と認める。
Step 4: B is a bit string of 0, 1 (e
i1 , ..., eik ) are generated and sent to A. Step 5: A generates a signature sentence y i by y i = r i Πs j (mod N) and sends it to B. Π is j = 1 to k for e ij
Step 6: B checks x i = y i 2 Πv j (mod N). Π is e ij for j = y i 2 than how to make y i from 1 to k Πv j = r i 2 Π (s j 2 × v
because it is j) = r i 2 = x i (mod N), if it passes all the t times of inspection, certifier B admits A is genuine.

【0009】このとき、認証者Bが、偽の利用者を本物
のAと認めてしまう誤りの生じる確率は1/2ktであ
る。ここで、kは利用者が秘密に管理する秘密情報(s
j )の個数であり、tは通信文(xi ,(ei1,…,e
ik),yi )の通信回数を定めている。この方式は、計
算量理論的な手法で安全性が証明されている。つまり、
この方式は、零知識証明となることが前述したFiat
とShamirらの論文で証明されている。利用者認証
方式が零知識証明であるならば、いかなる不正行為も困
難であることが計算量理論的観点より保証される。
[0009] At this time, the probability that the authenticator B will mistake the false user as the real A is 1/2 kt . Here, k is secret information (s
j ), and t is the message (x i , (e i1 ,..., e)
ik ) and y i ) are determined. This method has been proven to be secure by a computational complexity method. That is,
This method has been described above as being a zero-knowledge proof.
And Shamir et al. If the user authentication method is a zero-knowledge proof, it is guaranteed from the computational complexity viewpoint that any fraudulent activity is difficult.

【0010】[0010]

【発明が解決しようとする課題】しかし、Fiat−S
hamir方式では、通信文のビット数は、Nを512
ビットとすると(1024×t+k×t)ビットであ
り、安全性を確保するにはある程度の大きさのkとtを
選ぶ必要があるので、通信量が大きくなる。このように
Fiat−Shamir方式は、転送情報量が大きいこ
とが問題である。この発明の目的は、転送情報量を少な
くできる利用者認証方を提供することにある。
However, Fiat-S
In the Hamir system, the number of bits of a message is N = 512.
The number of bits is (1024 × t + k × t) bits, and it is necessary to select k and t of a certain size in order to ensure security, so that the communication amount increases. As described above, the Fiat-Shamir method has a problem in that the amount of transfer information is large. The purpose of the invention is to provide a user authentication method that can reduce the amount of transfer information.

【0011】[0011]

【課題を解決するための手段】請求項1の発明によれ
ば、利用者(被認証者)装置は秘密鍵s1,s2を生成
し、その秘密鍵より、公開情報である整数a,k,nを
用いて、nを法とする剰余べき乗演算、剰余乗算により
公開鍵vを生成し、これらa,k,n,vを公開し、認
証処理段階において、被認証者装置は乱数r1,r2を
生成し、それとa,k,nより、nを法とする剰余べき
乗演算、剰余乗算を用いてxを計算して、それをその被
認証者のIDと共に認証者装置に送信し、これらx,I
Dを受信した認証者装置は乱数eを生成し、それを上記
被認証者装置に送付し、そのeを受信した被認証者装置
はr1,r2,s1,s2よりkを法とする剰余演算及
びnを法とする剰余演算を用いてy1,y2を計算し、
これらを上記認証者装置へ送信し、これらy1,y2を
受信した上記認証者装置はIDに基づき管理簿よりvを
検索し、そのvとa,k,n,e,y1,y2よりnを
法とする剰余べき乗演算、剰余乗算を行い、その結果が
xと一致するかを検証し、その検証に合格すれば正当と
なす。
According to the first aspect of the present invention, a user (authenticatee) device generates secret keys s1 and s2, and uses the secret keys to generate integers a, k, and public information that are public information. Using n, a public key v is generated by a modular exponentiation operation and a modular multiplication modulo n, and these a, k, n, and v are made public. In the authentication processing stage, the device to be authenticated has random numbers r1, r2 generates therewith a, k, than n, the remainder exponentiation modulo n, to calculate the x using modular multiplication, that the it
The x, I are transmitted to the certifier device together with the certifier ID.
Authenticator device receiving the D generates a random number e, and sends it to the person to be authenticated device, the authenticator device <br/> is r1, r2, s1, modulo k than s2 that received the e Y1 and y2 are calculated using the remainder operation modulo n and the remainder operation modulo n,
These were transmitted to the verifier apparatus, these y1, the verifier device receiving y2 searches for v from management book based on ID, the v and a, k, n, and n from e, y1, y2 A modular exponentiation operation and a modular multiplication are performed, and it is verified whether or not the result is equal to x.

【0012】請求項2の発明によれば利用者(被認証
者)装置は秘密鍵s1,s2を生成し、その秘密鍵よ
り、公開情報である素数p及び整数g1 ,g2 を用い
て、pを法とする剰余べき乗演算、剰余乗算により、公
開鍵vを生成し、これらp,g1 ,g2 ,vを公開し、
認証処理段階において、被認証者装置は乱数r1,r2
を生成し、それとp,g1 ,g2 より、pを法とする剰
余べき乗演算、剰余乗算を用いてxを計算し、それを
の被認証者のIDと共に認証者装置へ送信し、これら
x,IDを受信した認証者装置は乱数eを生成し、それ
を上記被認証者装置へ送付し、そのeを受信した上記被
認証者装置はr1,r2,s1,s2より剰余演算を用
いてy1,y2を計算し、これらを上記認証者装置へ送
信し、これらy1,y2を受信した上記認証者装置はI
Dに基づき管理簿より公開鍵vを検索し、そのvとp,
1 ,g2 ,e,y1,y2とよりpを法とする剰余べ
き乗演算、剰余乗算を行い、その結果が上記受信したx
と一致するかどうかを検証し、その検証に合格すれば正
当となす。
According to the invention of claim 2, the user (authenticatee) device generates secret keys s1 and s2, and uses the prime numbers p and the integers g 1 and g 2 as public information from the secret keys. , P to generate a public key v by a modular exponentiation operation and a modular multiplication, and publish these p, g 1 , g 2 , and v
In the authentication processing stage, the device to be authenticated has random numbers r1 and r2.
Generate, at the same p, g 1, from g 2, modular exponentiation modulo p, compute the x using modular multiplication, its it
Is transmitted to the authenticator device together with the ID of the subject to be authenticated, and the authenticator device receiving these x and ID generates a random number e, sends it to the device to be authenticated, and receives the e to receive the authenticated device . 's device r1, r2, s1, s2 using the modulo operation from calculate the y1, y2, they were sent to the verifier device, these y1, y2 the verifier device that receives the I
A public key v is searched from the management book based on D, and v and p,
g 1 , g 2 , e, y 1, and y 2 are subjected to a modular exponentiation operation and a modular multiplication modulo p.
Is verified, and if the verification is passed, it is valid.

【0013】[0013]

【作用】Fiat−Shamir方式が合成数を法とす
る“2次”剰余演算式を複数回(kt回)重ね合わせて
実現するのに対し、請求項1の発明の方式は、合成数を
法とする“高次”剰余演算式を基本部分で2回だけ利用
して実現する。安全性のレベルは、Fiat−Sham
ir方式での重ね合わせ回数(kt回)とこの発明方
での次数(k)のサイズ(ビット数)が同じであれば、
同等である。この安全性の証明は、発明者の論文(“P
rovably Secure andPractic
al Identification Schemes
andCorresponding Signatu
re Schemes,”toappear in t
he Proceedings of Crypto’
92,LNCS.Springer−Verlag)に
示されている。なお、この発明方の安全性は、法の合
成数の素因数分解の困難さに依存する(Fiat−Sh
amir方式も同じく、法の合成数の素因数分解の困難
さに依存する)。
The Fiat-Shamir method realizes a quadratic residue arithmetic expression modulo a composite number a plurality of times (kt times), while the method according to the first aspect of the present invention uses a modulo composite number. This is realized by using the “higher-order” remainder arithmetic expression only twice in the basic part. The level of security is Fiat-Sham
If superposition number (kt times) the size (number of bits) of the order of at Toko the invention how <br/> (k) is the same in the ir system,
Are equivalent. This security proof is based on the inventor's paper (“P
robustly secure and Practic
al Identification Schemes
andCorresponding Signature
re Schemes, "toappear int
he Proceedings of Crypto '
92, LNCS. Springer-Verlag). Incidentally, the safety of the present invention how depends on the difficulty of synthesis number of factoring law (Fiat-Sh
The amir scheme also depends on the difficulty of factoring the composite numbers of the modulus).

【0014】また請求項2の発明の方は、“素数”を
法とする“高次”剰余演算式を基本部分で2回だけ利用
して実現する。安全性のレベルは、Fiat−Sham
ir方式での重ね合わせ回数(kt回)とこの発明方
での次数(e)のサイズ(ビット数)が同じであれば、
同等である。この安全性の証明は、発明者の前記論文に
示されている。なお、この発明方の安全性は、素数を
法とする離散対数問題の困難さに依存する。
[0014] way of the invention of claim 2, "prime" the modulo realizing "higher order" modular arithmetic expression using only twice in the base portion. The level of security is Fiat-Sham
If superposition number (kt times) the size (number of bits) of the order of at Toko the invention how <br/> (e) are the same in the ir system,
Are equivalent. This proof of security is shown in the inventor's article. Incidentally, the safety of the present invention how depends on the difficulty of discrete logarithm problem modulo prime number.

【0015】Fiat−Shamir法が認証処理にお
いてYes/No(1ビット)の質問応答を繰り返した
形を基本に構成するため通信量が多くなるのに対し、こ
の発明では数100ビットの質問応答を1回半だけ行う
形を基本に構成するため通信量を削減することができ
る。
While the Fiat-Shamir method is based on a form in which a Yes / No (1 bit) query response is repeated in the authentication process, the communication amount increases, whereas in the present invention, a query response of several hundred bits is used. Since the configuration is based on the one-and-a-half operation, the amount of communication can be reduced.

【0016】[0016]

【実施例】以下請求項1の発明の実施例について説明す
る。図1はこの発明の全体構成を示す。この図に示すよ
うに、認証を受ける利用者(被認証者)装置100と認
証を行う認証者装置200が安全でない通信路300を
介して結合されているとする。
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of the present invention will be described below. FIG. 1 shows the overall configuration of the present invention. As shown in this figure, it is assumed that a user (authenticatee) device 100 to be authenticated and an authenticator device 200 to perform authentication are connected via an insecure communication path 300.

【0017】先ず、システムに加入した利用者(被認証
者)Aは、システム加入時に利用者装置100が基本的
に一度だけ行う初期情報設定段階において、図2に示す
手順で、公開鍵と秘密鍵を生成し、公開鍵を利用者の識
別情報IDと対にして、公開鍵管理簿400、認証者装
置200に登録する。まず、素数生成器101を用い
て、2つの素数p,qを定めた後、乗算器110を用い
てn=pqを計算し、1以上n−1以下の整数a及び、
安全係数kを定める。次に、乱数生成器102を用い
て、0以上k−1以下の乱数s1を生成し、さらに1以
上n−1以下の整数s2を生成し、剰余べき乗演算器1
05と剰余乗算器104を用いて、次式を演算する。
First, the user (authenticatee) A who has subscribed to the system, in the initial information setting stage which is basically performed only once by the user device 100 at the time of subscribing the system, performs the procedure shown in FIG. A key is generated, and the public key is paired with the identification information ID of the user and registered in the public key management book 400 and the authenticator apparatus 200. First, after two prime numbers p and q are determined using the prime number generator 101, n = pq is calculated using the multiplier 110, and an integer a of 1 or more and n-1 or less, and
Determine the safety factor k. Next, a random number generator 102 is used to generate a random number s1 from 0 to k-1 and an integer s2 from 1 to n-1.
05 and the remainder multiplier 104, the following equation is calculated.

【0018】v=a-s1 ・s2-kmod n 利用者Aは、(a,k,n,v)を公開鍵として公開
し、(s1,s2)を自分の秘密鍵として保持する。な
お、公開鍵の中で、v以外は、システムが利用者共通の
値として定めても良い。次に、利用者Aが認証者Bに対
して自分の正当性を証明する利用者認証手順について証
明する。以下、図3〜図5を用いて、認証手順を説明す
る。利用者認証における、被認証者Aと認証者Bの通信
文の交信の様子を図3に被認証者装置100のブロック
図を図4に、認証者装置200のブロック図を図5に示
す。
V = a− s1 · s2− k mod n User A publishes (a, k, n, v) as a public key and holds (s1, s2) as its own private key. Note that the system may determine values other than v in the public key as values common to users. Next, the user A certifies the user authentication procedure for proving his / her validity to the authenticator B. Hereinafter, the authentication procedure will be described with reference to FIGS. FIG. 3 shows a state of communication of a message between the authenticated person A and the authenticated person B in user authentication, FIG. 4 is a block diagram of the authenticated person device 100, and FIG. 5 is a block diagram of the authenticated person device 200.

【0019】利用者認証手順は以下の通りである。 ステップ1: 被認証者装置は乱数生成器102を用いて、乱数r1,
r2を生成し、剰余乗算器104と剰余べき乗演算器1
05を用いて次式を演算する。 x=ar1・r2k mod n xをその被認証者のIDと共に認証者装置に送信する。 ステップ2: 認証者装置は受信したIDに基づき管理簿400より被
認証者Aの公開鍵vを検索した後、乱数生成器202を
用いて0以上(k−1)以下の乱数eを生成し、それを
被認証者装置に送信する。 ステップ3: 被認証者装置は、メモリ109より自分の秘密鍵(s
1,s2)を取り出し、そのs1と、r1、kと受信し
たeとから剰余乗算器107と剰余加算器108を用い
て次式を演算する。
The user authentication procedure is as follows. Step 1: The device to be authenticated uses the random number generator 102 to generate a random number r1,
r2, the remainder multiplier 104 and the remainder exponentiation unit 1
The following equation is calculated by using 05. The x = a r1 · r2 k mod n x together with the ID of the person to be authenticated sends to the verifier device. Step 2: The authenticator apparatus searches the management book 400 for the public key v of the subject A based on the received ID, and then generates a random number e of 0 or more and (k-1) or less using the random number generator 202. And transmits it to the device to be authenticated. Step 3: The device to be authenticated stores its own private key (s
1, s2), and the following equation is calculated from the s1, r1, k, and the received e using the remainder multiplier 107 and the remainder adder 108.

【0020】y1=r1+e・s1 mod k また乗算器110を用いてe・s1を求め、更に加算器
111を用いてe・s1+r1を求め、それを除算器1
2によりkで割算し、その割算結果を切り捨て演算器1
13で小数点以下を切り捨て、その結果とs2,r2,
a,nと受信したeとについて剰余べき乗演算器114
と剰余乗算器115を用いて次式を演算する。
Y1 = r1 + es1 mod k Further, e · s1 is obtained by using a multiplier 110, and e · s1 + r1 is further obtained by using an adder 111.
2 is divided by k, and the result of the division is rounded down.
At 13 the fractional part is rounded down, and the result is compared with s2, r2,
Residual exponentiation unit 114 for a, n and received e
Then, the following equation is calculated using the remainder multiplier 115.

【0021】 y2=a[(r1+es1)/k]・r2・s2e mod n (y1,y2)を認証者に送信する。ここで、[ ]
は、小数点以下の切り捨て演算を意味する。 ステップ4: 認証者装置は、e,a,k,n,vと受信したy1,y
2を用いて、剰余乗算器204と剰余べき乗演算器20
5を用いて次式を演算する。
Y2 = a [(r1 + e · s1) / k] · r2 · s2 e mod n (y1, y2) is transmitted to the authenticator. here,[ ]
Means truncation operation below the decimal point. Step 4: The authenticator apparatus receives e, a, k, n, v and received y1, y
, The remainder multiplier 204 and the remainder exponentiation unit 20
The following equation is calculated by using 5.

【0022】w=ay1・y2k ・ve mod n この演算結果wが先に受信したxと一致するかどうかを
比較器208を用いて検査し、一致すれば合格と判定
し、不一致ならば不合格とする。次に請求項2の発明の
実施例を説明する。まず、システムに加入した利用者A
は、システム加入時に利用者装置100が基本的に一度
だけ行う初期情報設定段階において、図6に示す手順
で、公開鍵と秘密鍵を生成し、公開鍵を利用者の識別情
報IDと対にして、公開鍵管理簿400もしくは利用者
装置200に登録することは前記実施例と同一である
が、鍵の生成は次のようにする。まず、素数生成器10
1を用いて、2つの素数p,qを定める。ここで、q
は、p−1の因数の1つとなっているように選ぶ(つま
り、qはp−1を割り切る)。次に、乱数生成器102
を用いて、2以上p−1以下の乱数rを生成し、それを
p,qと共に位数判定器103に入力し、位数がqのも
のを2つ見つけてg1 ,g2 とする。ここで、位数判定
器103ではrq mod pを計算し、その値が1なら
ば位数がqと判定する。次に、乱数生成器106を用い
て、0以上q−1以下の2つの乱数s1,s2を生成
し、s1,s2,g1 ,g2 ,pより剰余乗算器104
と剰余べき乗演算器105を用いて次式を演算する。
[0022] w = a y1 · y2 k · v e mod n This operation result w is examined using a comparator 208 to see if it matches x previously received, and judged to be acceptable if they match, if disagreement If not, it will be rejected. Next, an embodiment of the present invention will be described. First, user A who joined the system
Generates a public key and a secret key according to the procedure shown in FIG. 6, and pairs the public key with the identification information ID of the user in the initial information setting stage which is basically performed only once by the user device 100 when joining the system. The registration in the public key management book 400 or the user device 200 is the same as in the above embodiment, but the key is generated as follows. First, the prime number generator 10
1 is used to determine two prime numbers p and q. Where q
Is chosen to be one of the factors of p-1 (i.e., q divides p-1). Next, the random number generator 102
, A random number r of 2 or more and p-1 or less is input to the order determination unit 103 together with p and q, and two of the order q are found and set as g 1 and g 2 . . Here, the order determiner 103 calculates r q mod p, and if the value is 1, the order is determined to be q. Next, using a random number generator 106 generates a 0 or q-1 following two random numbers s1, s2, s1, s2, g 1, g 2, p from modular multiplier 104
Then, the following equation is calculated using the remainder power calculator 105.

【0023】v=g1 -s1 ・g2 -s2 mod p さらに、安全性の度合いを示すパラメータtを定める
(不正利用の成功確率が1/2t となる)。利用者A
は、(p,q,g1 ,g2 ,t,v)を公開鍵として公
開し、(s1,s2)を自分の秘密鍵として保持する。
なお、公開鍵の中で、v以外は、システムが利用者共通
の値として定めても良い。
V = g 1 -s 1 · g 2 -s 2 mod p Furthermore, a parameter t indicating the degree of security is determined (the success probability of unauthorized use is 1/2 t ). User A
It is published (p, q, g 1, g 2, t, v) as a public key, hold the (s1, s2) as its own secret key.
Note that the system may determine values other than v in the public key as values common to users.

【0024】被認証者装置と認証者装置の通信文の交信
の様子は図3と同一であり、利用者(被認証者)装置1
00のブロック図を図7に、認証者装置200のブロッ
ク図を図8に示す。利用者認証手順は以下の通りであ
る。 ステップ1: 被認証者装置は乱数生成器102を用いて、乱数r1,
r2を生成し、剰余乗算器104と剰余べき乗演算器1
05を用いて次式を演算する。
The state of communication of the communication message between the authenticated person device and the authenticated person device is the same as in FIG.
7 is a block diagram of the authenticator 200, and FIG. 8 is a block diagram of the authenticator apparatus 200. The user authentication procedure is as follows. Step 1: The device to be authenticated uses the random number generator 102 to generate a random number r1,
r2, the remainder multiplier 104 and the remainder exponentiation unit 1
The following equation is calculated by using 05.

【0025】x=g1 r1・g2 r2mod p xをその被認証者のIDと共に認証者装置に送信する。 ステップ2: 認証者装置は、受信したIDに基づき管理簿より被認証
者Aの公開鍵vを検索した後、乱数生成器202を用い
てtビットの乱数eを生成し、それを被認証者装置に送
信する。 ステップ3: 被認証者装置はメモリ109より自分の秘密鍵(s1,
s2)を取り出し、それとr1,r2,qと受信したe
とから、剰余乗算器104と剰余加算器108を用いて
次式を演算する。
X = g 1 r1 · g 2 r2 mod px is transmitted to the authenticator apparatus together with the ID of the subject . Step 2: authenticator device, after searching the public key v of the person to be authenticated A from the management book based on the received ID, generates a random number e of t bits using a random number generator 202, a person to be authenticated it Send to device . Step 3: The device to be authenticated stores its own secret key (s1,
s2), and r1, r2, q and the received e
Then, the following equation is calculated using the remainder multiplier 104 and the remainder adder 108.

【0026】 y1=r1+e・s1 mod q,y2=r2+e・s2 mod q (y1,y2)を認証者装置に送信する。 ステップ4: 認証者装置は、g1 ,g2 ,v,p,eと受信したy
1,y2を用いて、剰余乗算器204と剰余べき乗演算
器205を用いて次式を演算する。
Y1 = r1 + es1 mod q, y2 = r2 + es2 mod q (y1, y2) are transmitted to the authenticator apparatus . Step 4: The verifier apparatus receives g 1 , g 2 , v, p, and e and receives y
Using 1,1 and y2, the following equation is calculated using the remainder multiplier 204 and the remainder exponentiation calculator 205.

【0027】w=g1 y1・g2 y2・ve mod p この演算結果wが先に受信したxと一致するかどうかを
比較器208を用いて検査し、一致すれば合格と判定
し、不一致ならば不合格とする。上述において、剰余乗
算器104,107,115は1個を共通に利用しても
よい。剰余べき乗演算器105,114は1個を共通に
用いてもよい。乱数生成器102,106も1個を共通
に利用してもよい。
[0027] w = g 1 y1 · g 2 y2 · v e mod p The operation result w is examined using a comparator 208 to see if it matches x previously received, and judged to be acceptable if they match, If they do not match, it is rejected. In the above description, one of the remainder multipliers 104, 107, and 115 may be commonly used. One modular exponentiation unit 105, 114 may be used in common. One random number generator 102, 106 may be commonly used.

【0028】[0028]

【発明の効果】(i)安全性 請求項1の発明の認証方が安全であるためには、次の
2条件を満足していれば良い。 (条件1)正当な被認証者(s1,s2を知っている)
は確率1で合格する。 (条件2)不正な被認証者(s1,s2を知らない)が
合格することにもし成功すると仮定したら、RSA暗号
(a,k,nを与えられてa=bk mod nを満足す
るbを求める問題)を解くことができる。これは、通
常、RSA暗号を解読するのは難しいと思われているこ
とより矛盾となるので、不正な被認証者が合格すること
はないと考えられる。
For, according to the present invention (i) safety claims authentication method of claim 1 of the invention is safe, it is sufficient to satisfy the following two conditions. (Condition 1) A valid subject (knows s1 and s2)
Passes with probability 1. (Condition 2) Assuming that an unauthorized subject (who does not know s1 and s2) passes, if it succeeds, b that satisfies a = b k mod n given RSA encryption (a, k, n) Can be solved. This is generally more inconsistent than it seems that it is difficult to decrypt the RSA cipher, so that an unauthorized subject is unlikely to pass.

【0029】請求項2の発明の認証方が安全であるた
めには、次の2条件を満足していれば良い。 (条件1)正当な被認証者(s1,s2を知っている)
は確率1で合格する。 (条件2)不正な被認証者(s1,s2を知らない)が
合格することにもし成功すると仮定したら、離散対数問
題(g1,g2,pを与えられてg2=g1a mod
pを満足するaを求める問題)を解くことができる。こ
れは、通常、離散対数問題は難しいと思われていること
より矛盾となるので、不正な被認証者が合格することは
ないと考えられる。 (ii)通信量 Fiat−Shamir方式での通信文は(ID,
1 ,…,xt ,(eij),y1 ,…,yt )であり、
この発明での通信文は(ID,x,e,y1,y2)で
ある。
[0029] for authentication method of the second aspect of the present invention is safe, it is sufficient to satisfy the following two conditions. (Condition 1) A valid subject (knows s1 and s2)
Passes with probability 1. (Condition 2) Assuming that an unauthorized subject (who does not know s1 and s2) succeeds, if it succeeds, given a discrete logarithm problem (g1, g2, p, g2 = g1 a mod)
(a problem of finding a that satisfies p) can be solved. This is generally considered more inconsistent than the discrete logarithm problem is considered difficult, and therefore it is considered that an unauthorized subject will not pass. (Ii) Traffic The message in the Fiat-Shamir system is (ID,
x 1, ..., x t, (e ij), y 1, ..., a y t),
The message according to the present invention is (ID, x, e, y1, y2).

【0030】ここで、(eij)のビット数は(k×t)
ビットで、x1 ,…,xt ,y1 ,…,yt )のビット
数はNのビット数に等しい。請求項1の発明の場合、F
iat−Shamir法のNビットがnのサイズに相当
する。そこで、xはNのビット数と同等であり、y1は
20ビット程度、y2はNのビット数程度、eは20ビ
ット程度(本方式のパラメータkのビットサイズが20
のとき)で実用的に十分である。通信文のビット数をN
が512ビットでFiat−Shamir法のパラメー
タをk=4、t=5の場合(彼らの論文での推奨値)で
比較すると Fiat−Shamirの方式:5120+20+ID
のビット数 請求項の発明:1064+IDのビット数 となる。したがって、請求項1の発明の通信量は、Fi
at−Shamir方式より5倍程度改善されているこ
とが分かる。
Here, the number of bits of (e ij ) is (k × t)
A bit, x 1, ..., x t , y 1, ..., the number of bits of y t) is equal to the number of bits of the N. In the case of the invention of claim 1, F
N bits in the iat-Shamir method correspond to the size of n. Therefore, x is equivalent to the number of bits of N, y1 is about 20 bits, y2 is about the number of bits of N, and e is about 20 bits (when the bit size of the parameter k of this method is 20 bits).
Is sufficient for practical use. Set the number of bits in the message to N
Is 512 bits and the parameters of the Fiat-Shamir method are compared when k = 4 and t = 5 (recommended values in their paper). The method of Fiat-Shamir: 5120 + 20 + ID
The number of bits of the claimed invention: 1064 + the number of bits of ID. Therefore, the communication amount of the invention of claim 1 is Fi
It can be seen that it is about 5 times better than the at-Shamir method.

【0031】請求項2の発明の場合、Fiat−Sha
mir法のNビットがpのサイズに相当する。そこで、
xはNのビット数と同等であり、y1,y2はそれぞれ
140ビット程度、eは20ビット程度(この発明方式
のパラメータt=20)で実用的に十分である。通信文
のビット数をNが512ビットでFiat−Shami
r法のパラメータをk=4、t=5の場合(彼らの論文
での推奨値)で比較すると Fiat−Shamir方式:5120+20+IDの
ビット数 請求項2の発明:812+IDのビット数 となる。したがって、請求項2の発明の通信量はFia
t−Shamir方式より6倍以上改善されていること
が分かる。
In the case of the invention of claim 2, the Fiat-Sha
N bits in the mir method correspond to the size of p. Therefore,
x is equivalent to the number of bits of N, y1 and y2 are each about 140 bits, and e is about 20 bits (the parameter t = 20 of the present invention) is practically sufficient. When the number of bits of the message is N = 512 bits, Fiat-Shami
Comparing the parameters of the r method in the case of k = 4 and t = 5 (recommended values in their paper): Fiat-Shamir method: 5120 + 20 + number of bits of the invention Claim 2 invention: 812 + number of bits of ID Therefore, the communication amount of the invention of claim 2 is Fia
It can be seen that the improvement is at least six times that of the t-Shamir method.

【図面の簡単な説明】[Brief description of the drawings]

【図1】この発明のシステム構成を示すブロック図。FIG. 1 is a block diagram showing a system configuration of the present invention.

【図2】請求項1の発明における初期情報設定段階の処
理を示すブロック図。
FIG. 2 is a block diagram showing a process at an initial information setting stage in the invention of claim 1;

【図3】利用者(被認証者)装置と認証者装置との通信
文の交信を示す図。
FIG. 3 is a diagram showing communication of a communication message between a user (authenticatee) device and an authenticator device .

【図4】請求項1の発明の実施例における被認証装置で
の利用者認証処理を示すブロック図。
FIG. 4 is a block diagram showing a user authentication process in the device to be authenticated in the embodiment of the first invention.

【図5】請求項1の発明の実施例における認証者装置で
の利用者認証処理を示すブロック図。
FIG. 5 is a block diagram showing a user authentication process in the authenticator device according to the embodiment of the first invention.

【図6】請求項2の発明における初期情報設定段階の処
理を示すブロック図。
FIG. 6 is a block diagram showing a process at an initial information setting stage in the invention of claim 2;

【図7】請求項2の発明の実施例における被認証者装置
での利用者認証処理を示すブロック図。
FIG. 7 is a block diagram showing a user authentication process in a device to be authenticated in the embodiment of the second invention.

【図8】請求項2の発明の実施例における認証者装置で
の利用者認証処理を示すブロック図。
FIG. 8 is a block diagram showing a user authentication process in the authenticator device according to the embodiment of the second invention.

───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G09C 1/00 640 JICSTファイル(JOIS)──────────────────────────────────────────────────続 き Continued on the front page (58) Fields investigated (Int. Cl. 7 , DB name) H04L 9/32 G09C 1/00 640 JICST file (JOIS)

Claims (2)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 利用者の正当性を確認するための方法
あって、予め素数p,q、1以上n−1以下の整数a、安全係数
k、n=pqとし 利用者(被認証者)の装置(以下被認
証者装置と記す)により、0以上k−1以下の乱数s1
と1以上n−1以下の乱数s2を秘密鍵として生成し、
これら秘密鍵s1,s2、及び整数a,k,nを用い
、公開鍵v=a -s1 ・s2 -k modnを生成して、
上記被認証者の識別情報IDと上記a,k,n,vを対
にして管理簿に登録し、 認証処理段階において、被認証者装置は乱数r1,r2
を生成し、これら上記a,k,nより、x=a r1 ・r2
k mod nを計算し、上記xと上記被認証者の識別
情報IDとを認証者装置に送信し、 これらx,IDを受信した認証者装置は、乱数eを生成
し、それを上記被認証者装置に送付し、 そのeを受信した上記被認証者装置は、そのe、上記r
、秘密鍵s1、上記kによりy1=r1+e・s1
mod kを計算し、上記e、上記r1,r2、秘密鍵
s2、上記a,k,nによりy2=a [(r1+e s1)/k]
r2・s2 e mod nを計算し(ただし[A]はAの
小数点以下切り捨てを表す)、これら(y1,y2)を
上記認証者装置に送信し、 これら(y1,y2)を受信した上記認証者装置は、上
記IDに対する上記公開鍵vを上記管理簿より検索し、
上記a,k,n,v,e,y1,y2よりw=a y1 ・y
k ・v e mod nを計算し、wが上記受信したxと
一致するかどうかを検証し、 その検証に合格すれば正当とみなすことにより上記被認
証者の正当性を確認することを特徴とする利用者認証方
1. A method for confirming the validity of a user, comprising: a prime number p, q, an integer a not less than n-1 and a safety factor
k, n = pq, and the device of the user (authenticatee)
Witness device), a random number s1 not less than 0 and not more than k-1
And a random number s2 of 1 or more and n-1 or less as a secret key,
These secret keys s1, s2, and integer a, k, with n, and generates a public key v = a -s1 · s2 -k modn ,
The person to be authenticated identification information ID and the a, k, and the n, the v vs. registered in management list, in the authentication process step, the person to be authenticated device random number r1, r2
Is generated, and from these a, k, and n, x = ar1 · r2
k mod n is calculated, and the above x and the identification information ID of the person to be authenticated are transmitted to the authenticator apparatus . The authenticator apparatus having received these x and ID generates a random number e, and transmits it to the object to be authenticated. 's device and send it to, the person to be authenticated device that has received the e, the e, the r
1, private key s1, the above k y1 = r1 + e · s1
mod k is calculated, and the above e, r1, r2, secret key are calculated.
s2, y2 = a [(r1 + e · s1) / k] ·
r2 · s2 e mod n (where [A] is the value of A
Represents a truncation decimal), these (y1, y2) and transmitted to the verifier apparatus, these (y1, y2) the verifier device that has received the search from the management list of the public key v with respect to the ID And
From the above a, k, n, v, e, y1, y2, w = a y1 · y
Characterized in that the 2 k · v e mod n calculated, w verifies if it matches the x received above, to confirm the validity of the user who is to be authenticated by regarded as legitimate if they pass the verification User authentication method
Law .
【請求項2】 利用者の正当性を確認するための方法
あって、予め素数p,q、qはp−1の因数の1つとし、 利用者
(被認証者)の装置(以下被認証者装置と記す)によ
位数がqの乱数g 1 ,g 2 ,および0以上q−1以
下の乱数よりなる秘密鍵s1,s2を生成し、これら
密鍵s1,s2上記素数p及び上記乱数g1 ,g2
用いて、公開鍵v=g 1 -s1 ・g 2 -s2 od pを計
算し、上記被認証者の識別情報IDと上記p,g1 ,g
2 ,vを対にして管理簿に登録し、 認証処理段階において、被認証者装置は乱数r1,r2
を生成し、これら上記p,g1 ,g2 より、x=g 1 r1
・g 2 r2 mod pを計算して、そのx上記被認証者
の識別情報IDと共に認証者装置に送信し、 これらx,IDを受信した認証者装置は、乱数eを生成
し、それを上記被認証者装置に送付し、 そのeを受信した上記被認証者装置は、上記e、上記r
1,r2、秘密鍵(s1,s2)、上記qよりy1=r
1+e・s1 mod q,y2=r2+e・s2 m
od qをそれぞれ計算し、これら(y1,y2)を上
記認証者装置に送信し、 これら(y1,y2)を受信した上記認証者装置は、上
記IDに対する公開鍵vを上記管理簿より検索し、その
vと上記p,g1 ,g2 ,e,y1,y2よw=g 1
y1 ・g 2 y2 ・v e mod pを計算し、その結果が上
記受信したxと一致するかどうかを検証し、 その検証に合格すれば正当とみなすことにより被認証者
の正当性を確認することを特徴とする利用者認証方
2. A method for confirming the legitimacy of a user, wherein a prime number p, q, q is set in advance as one of factors of p−1, and a device (hereinafter referred to as a user) of a user (authenticatee). Authenticator device)
And random numbers g 1 and g 2 of order q and 0 or more and q-1 or more
Generating a secret key s1, s2 consisting random below, these secret <br/> Mitsukagi s1, s2, with the prime number p and the random number g 1, g 2, the public key v = g 1 -s1 · g 2 -s2 m od p a total of
And the identification information ID of the person to be authenticated and the p, g 1 , g
2 and v are registered in a management list, and in the authentication processing stage, the device to be authenticated has random numbers r1 and r2.
Is generated, and from these p, g 1 and g 2 , x = g 1 r1
· G 2 calculates the r2 mod p, the x of that transmitted to the verifier device together with the identification information ID of the person to be authenticated <br/>, verifier device which has received these x, ID is a random number e produced, it was sent to the person to be authenticated device, the person to be authenticated device that has received the e is the e, the r
1, r2, secret key (s1, s2) , from the above q , y1 = r
1 + e · s1 mod q, y2 = r2 + e · s2 m
od q was calculated respectively, these (y1, y2) and transmitted to the verifier apparatus, these (y1, y2) the verifier device which has received the public key v searching than the management list for the ID , the v and the above-mentioned p, g 1, g 2, e, y1, y 2 good Ri w = g 1
y1 · g 2 y2 · v computes the e mod p, confirm the validity of the person to be authenticated by the result w verifies if it matches the x received above, regarded as legitimate if they pass the verification the user authentication method which is characterized in that.
JP21581092A 1992-08-13 1992-08-13 User authentication method Expired - Fee Related JP3278916B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP21581092A JP3278916B2 (en) 1992-08-13 1992-08-13 User authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP21581092A JP3278916B2 (en) 1992-08-13 1992-08-13 User authentication method

Publications (2)

Publication Number Publication Date
JPH0662000A JPH0662000A (en) 1994-03-04
JP3278916B2 true JP3278916B2 (en) 2002-04-30

Family

ID=16678638

Family Applications (1)

Application Number Title Priority Date Filing Date
JP21581092A Expired - Fee Related JP3278916B2 (en) 1992-08-13 1992-08-13 User authentication method

Country Status (1)

Country Link
JP (1) JP3278916B2 (en)

Also Published As

Publication number Publication date
JPH0662000A (en) 1994-03-04

Similar Documents

Publication Publication Date Title
US9967239B2 (en) Method and apparatus for verifiable generation of public keys
JP5201136B2 (en) Anonymous authentication system and anonymous authentication method
Yi et al. A new blind ECDSA scheme for bitcoin transaction anonymity
Gennaro et al. RSA-based undeniable signatures
US8589693B2 (en) Method for two step digital signature
US20110060903A1 (en) Group signature system, apparatus and storage medium
CN110545279A (en) block chain transaction method, device and system with privacy and supervision functions
US7730319B2 (en) Provisional signature schemes
JP2002534701A (en) Auto-recoverable, auto-encryptable cryptosystem using escrowed signature-only keys
CN100428682C (en) Systems and methods for authenticating content users
Huang et al. Partially blind ECDSA scheme and its application to bitcoin
KR100971038B1 (en) Encryption method for distributing load among multiple entities and their devices
US6928163B1 (en) Methods, systems and computer program products for generating user-dependent RSA values without storing seeds
CN116318736B (en) Two-level threshold signature method and device for hierarchical management
JPH11234263A (en) Method and device for mutual authentication
Kwon Virtual software tokens-a practical way to secure PKI roaming
JP3278916B2 (en) User authentication method
JP2904818B2 (en) Public key encryption / authentication method
JP3292312B2 (en) Digital signature method
JP3331321B2 (en) Method for collectively verifying a plurality of digital signatures, apparatus therefor and recording medium recording the method
JP2513169B2 (en) User authentication method
JP2513170B2 (en) User authentication method
JP3435472B2 (en) Security authentication method and system
JP2000221882A (en) Multiple digital signature method, system, apparatus and program recording medium
JPH07336348A (en) Authentication device and authentication method

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090222

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090222

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100222

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110222

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees