パスワードを“思い出す”携帯端末
【課題】私の携帯電話だけが“思い出す”パスワードというものがあれば、その携帯電話を携帯する私は、パスワードを思い出す煩わしさが無い。そういう実用手段を提供する。
【解決手段】通信路を隔てて対向する携帯端末と乱数を発生する乱数発生源([X])を含む通信体とから構成される1:1認証子は、順次、第nの暗号文([Xn]+[Xn+1])を介在して、携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、既に使い捨てられた第1の乱数[X1]を再生する能力を持つデータが携帯端末の前記第n+1の乱数[Xn+1]である事を特徴とした前記携帯端末。
【解決手段】通信路を隔てて対向する携帯端末と乱数を発生する乱数発生源([X])を含む通信体とから構成される1:1認証子は、順次、第nの暗号文([Xn]+[Xn+1])を介在して、携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、既に使い捨てられた第1の乱数[X1]を再生する能力を持つデータが携帯端末の前記第n+1の乱数[Xn+1]である事を特徴とした前記携帯端末。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、パスワードを“思い出す能力”の有る携帯端末(ICカード、携帯電話など)とそれを携帯する事に付随する効果に関する。この携帯端末を携帯する人は、パスワードを思い出す煩わしさが無い。人に代わって、当該の携帯端末が登録した時に生成した乱数を“再現する能力”を持っているからである。
【背景技術】
【0002】
従来、記憶に基づくパスワード、及び、ワンタイム・パスワード(IETFのrfc1938、rfc1760)がある。
【0003】
(従来技術の問題点)
“思い出す”という現象、記憶を思い出すという現象は、我々の体が分子レベルで新陳代謝の変化にさらされている中で、“私は私”という不変な意識(ID)を担保する生命現象である。古来より、秘密を秘密にする手口がある;一度でも秘密文書を開いたら、直ちに燃やす。こうすれば「秘密を生命現象の中だけに留める」ことになる;それが秘密維持の鉄則である。現在、この鉄則に従うITは無い;パスワード・ファイルがその証拠である。
【0004】
紙にメモったパスワード、お誕生日パスワード、コンピュータ上のファイルとして存在するパスワード、これらは何度でも“見れるように”したものである。それゆえ、人を通して漏れる。漏れるから、またパスワードを求める、二重三重に求める。これが従来技術の問題点である。一般的に、携帯電話のIDも、繰り返し参照されることからパスワード・ファイルと同じ位置に在る。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008-124906号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
私の携帯電話だけが“思い出す”パスワード、貴方の携帯電話だけが“思い出す”パスワード、これの現実解を探す事が課題である。
【0007】
もし、私と貴方だけが“思い出せる”秘密というものが在るならば、私と貴方に中立的な第三者機関(情報論的に独立な機関)に私と貴方だけが“思い出せる”という事を担保させたい。私に味方する誰か、あるいは貴方に味方する誰か、こういう誰かが居ない事を第三者機関に保証させたい。
【0008】
これら、今世紀の情報技術に残された課題である。
【課題を解決するための手段】
【0009】
請求項1に係る発明は、
通信路を隔てて対向する携帯端末と乱数発生源([X])を含む通信体とから構成される1:1認証子は、
前記乱数発生源[X]で発生した第1の乱数[X1]により
前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した
第1の暗号文([Xl]+[X2])を介在して、
前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、
同じく、
前記乱数発生源[X]で発生した第2の乱数[X2]により
前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した
第2の暗号文([X2]+[X3])を介在して、
前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、
順次、第nの暗号文([Xn]+[Xn+1])を介在して、
前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、
既に使い捨てられた前記第1の乱数[X1]を再生する能力(“思い出す能力”)を持つデータが前記携帯端末の前記第n+1の乱数[Xn+1]である事
を特徴とした前記携帯端末である。
【0010】
また、請求項2に係る発明は、
任意分野の決済に係る携帯端末が少なくも“正”と“副”の2個用意され、
前記“正”に付随するID又はパスワードは前記決済の意思表示に用いられ、
前記“副”に付随するID又はパスワードは前記意思表示の認否に用いられ、
前記“正”の意思表示を前記“副”が追認した時に限り、決済が許可される事
を特徴とした前記複数の携帯端末である。
【0011】
上記本発明について詳述する。
1:1認証子が特開2008-124906に公開された(以降、先願という)。これは、互いに通信路を隔て対向する二者(peer-to-peer)の秘密共有のメンテナンスを人から通信システムへ移行する手段である。この1:1認証子が本願の枠組みを提供する。重要な基盤であるから、ここに改めて本願図1に1:1認証子を再掲載した;ここでは乱数発生源[X]を備えている側を暗号化関数部とした。
【0012】
本願図1と先願の定義(先願段落番号(0020))とを照らし合わせる;1:1認証子とは:乱数発生源[X](符号20)の乱数の暗号化と復号化を行うシステム要素(符号21,21-1,21-1及び22,22-1,22-2)又はその入出力情報(符号20-1,21-3,21-4、符号22-3,22-4)と;乱数の暗号文をハッシュ関数に入力するシステム要素(符号21を詳細にした図3と符号22を詳細にした図4)又はその入出力情報(符号21を詳細にした図3と符号22を詳細にした図4)と;の暗号文とハッシュ値とを1対にして送信及び受信する通信部としてのシステム要素(符号23)又はその入出力情報(符号24)、を備えて構成されるものである。
【0013】
さらに、図1の通信路(符号23)に盗聴者(符号25)が描かれている。盗聴者とは1:1認証子に対する第三者である。盗聴者(符号25)は、暗号文を解読できなくても盗聴した暗号文そのものから、システムの変化と変化の累積を計算する事が出来る。この盗聴者の機能を変化の累積計算部として登場させる;本願図2の符号25aである;ここで、暗号文Cn+1を通信路(符号23)上からコピーし、その累積ΣCn+1を計算する。
【0014】
図2に示すところの、前記累積計算部(図2の符号25a)を備えた1:1認証子が本願の基盤である;乱数発生源[X](符号20)と、乱数の暗号化を行うシステム要素(符号21,21-1,21-2)と、通信路(符号23)と、変化の累積計算部(符号25a)と、変化の累積計算部(符号25a)への入出力情報(符号24)と、により構成される通信体(a communication body)と、復号化を行うシステム要素(符号22,22-1,22-2)により構成される携帯端末(a mobile body)(符号27)と、から構成される。
【0015】
この通信体と携帯端末とが本願の主要な基盤要素である。本願で使われる記号を先願と共通にする;
【表1】
【図面の簡単な説明】
【0016】
【図1】従来技術に係る自然乱数[X]を含む1:1認証子を示すブロック図である。
【図2】本実施形態に係る変化の累積計算部を含む1:1認証子を示すブロック図である。
【図3】本実施形態に係る暗号化関数部(符号21)の詳細を示すブロック図である。
【図4】本実施形態に係る暗号化関数部の再現したハッシュ値と暗号化関数部の作ったハッシュ値との比較を示すブロック図である。
【図5】本実施形態に係る既存のATM勘定系に本願携帯端末を付加する使い方を示すブロック図である。
【図6】本実施形態に係る携帯端末“正”と“副”の複数の決済手段を示すブロック図である。
【図7】本実施形態に係る秘密漏れの警告事例を示す説明図である。
【図8】本実施形態に係る秘密漏れの警告事例における画面表示を示す説明図である。
【発明を実施するための形態】
【0017】
(請求1に関する実施の形態)
コンピュータに登録されたが、使われると直ぐに捨てられたパスワード又は秘密につき、それを再生する能力を持つ携帯端末の実施の形態を記述する。
【0018】
1.携帯端末の状態を変化させる実施の形態
図1は、先願におけるルータ問の秘密共有のメンテナンスを人から通信システムへ移行する手段を意図した。
【0019】
本願(図2)は、対向する二個のルータの一方に携帯端末を導入し、通信体(サーバ側)と携帯端末の間の秘密共有のメンテナンスを人から通信システムへ移行させる事を描く。
【0020】
したがって、本願(図2)は、図1に示した先願のアルゴリズムを継承する一方、乱数発生源[X]としては自然乱数だけでなくハッシュ関数で発生させた擬似乱数を含む。その乱数発生源[X]で発生した第1の乱数[X1]を第1の暗号鍵として用い、同じ乱数[X1]を第1の復号鍵として用いる。
【0021】
この第1の乱数[X1]を何度も参照し鍵として使うとしたら、それがパスワード・ファイルである。これを破棄しなければならない。
【0022】
第1の乱数[X1]を破棄するとは、一度でも使ったら捨てる;これは携帯端末の状態が変化する事である。それ故、課題を解決する手段の前半部分は“変化”の要件を定義したものになる。前半とは;通信路を隔てて携帯端末(符号27)と乱数を発生する乱数発生源[X]を含む通信体とが対向する1:1認証子は、前記乱数発生源[X]で発生した第1の乱数[X1]により前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した第1の暗号文([X1]+[X2])を介在して、前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、同じく、前記乱数発生源[X]で発生した第2の乱数[X2]により前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した第2の暗号文([X2]+[X3])を介在して、前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、順次、第nの暗号文([Xn]+[Xn+1])を介在して、前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させる。
【0023】
上記を要約すると;1:1認証子は、第1の乱数[X1]を第1の暗号鍵と復号鍵として用い第2の乱数[X2]を持つ状態に携帯端末(符号27)を変化させる;再び乱数[X1]を持つ状態にはならない。以降、順次、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])、…、第nの暗号文([Xn]+[Xn+1])を経て、前記携帯端末は第n+1の乱数[Xn+1]を持つ状態に変化する。
【0024】
この場合、第2の乱数[X2]、第3の乱数[X3]…第nの乱数[Xn]はそれぞれ二度と使われない。
【0025】
このような鍵の使い方は、後述するように、先願の(1-3)式と(1-6)’式に明らかに記述されている。
【0026】
(先願と構成上の違い1)
前記復号化を行うシステム要素(図1符号22,22-1,22-2)が携帯端末(図2符号27)に置き換わる。
【0027】
(先願と構成上の違い2)
前記通信体(図2)は、第1の暗号文([X1]+[X2])、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])…第nの暗号文([Xn]+[Xn+1])を通信路に送出する;
その際、通信体側の鍵部(符号21-2)は、少なくも第nの乱数[Xn]を持っている。他方、前記携帯端末(符号27)が持つ乱数は、移動体であり偽造物が紛れ込むかも知れ無いから、第nの乱数[Xn]を持つとは限らない。
【0028】
すなわち、暗号化関数部(符号21)の鍵部(符号21-2)Kと、復号化関数部(符号22)の鍵部(符号22-2)Xとは
K=[Xn]=X------(II)
の場合も有るが、
K=[Xn+1]≠X------(III)
の場合も有り得る(図2の鍵部(符号22-2)を二重線枠で描いた)。
【0029】
上記(II)式の場合に限り、前記携帯端末は第n+1の乱数[Xn+1]を受け取る。(これが先願の秘密共有の自動メンテナンスの条件である)
(先願と構成上の違い3)
前記携帯端末(符号27)は、その復号化関数部(符号22)自身において、(II)と(III)の判定を行う(後述する);この判定を行うに際し、鍵Kと鍵Xを通信路に出さない。
【0030】
(ワンタイム・パスワードとの違い)
この実施の形態だけを見ても、一般にワンタイム・パスワード(IETFではrfc1938)と言われている仕組みとは決定的に違う。ワンタイム・パスワードでは、携帯物からサーバ側に手入力の乱数を流す。また、ワンタイム・パスワードは第1の乱数[X1]に相当するパスフレーズを捨てる事は絶対に無いし、パスフレーズを自動更新するという仕組みもない;したがって、携帯物の偽造は本物と同一に扱われる。
【0031】
2.“思い出す能力”≡再生する能力
登録時に前記通信体と前記携帯端末は第1の乱数[X1]を共有する;なお、携帯端末の具体的な姿は携帯電話である。その後、第1の乱数[X1]は、前記“変化”の要件において述べたように、第1の暗号鍵及び第1の復号鍵として用いられた後、直ちに破棄される。それにもかかわらず、“今”現在、携帯電話が持っている第n+1の乱数[Xn+1]は、この第1の乱数[X1]を再生する事が可能である。次の通りである;
前記通信体と携帯端末は無線セルを含む通信路(符号23)で1:1に対峙し、その通信路(符号23)には第1の暗号文([X1]+[X2])、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])、…、第nの暗号文([Xn]+[Xn+1])が流れ、その都度、乱数[X2]が使い捨てられ、乱数[X3]が使い捨てられ…同様にして乱数[Xn]が使い捨てられ、“今”現在は乱数[Xn+1]が鍵である。
【0032】
この“今”現在に来る道筋は、インデックスnで展開される先願の(1-6)'式と(1-3)で与えられている;
Cn+1=EK(Xn+1)=Xn+Xn+1(1-6)'
鍵K=[Xn](1-3)
先願の(1-6)’式と(1-3)は、暗号鍵K(符号21-2a)と復号鍵X(符号22-2a)が共に、
K=[Xn]=X-------(II)
を満たす場合の連立式であることに注意する必要がある。
【0033】
(1-6)’をインデックスnで展開し、暗号文C1からCn+1を得る;
C1=X1+X2
C2=X2+X3
・・・
・・・
Cn=Xn-1+Xn
+) Cn+1=Xn+Xn+1
--------------------------
ΣCn+1=X1+Xn+1--------(IV)
但し、Xn+Xn=0
実際の暗号文の総和ΣCn+1の計算は変化の累積計算部(符号25a)が行う。
【0034】
上記(IV)は右を主張する;変化の累積ΣCn+1の“今”現在は、前記携帯電話が持ってる第n+1の乱数[Xn+1]と第1の乱数[X1]の排他的論理和である。なお、誤解のないように付け加えれば、乱数[Xn+1]と[X1]が分解されて存在している訳ではない。
【0035】
(第1の乱数[X1]を再生する携帯端末)
さて、ここに任意の携帯端末が有る。その携帯端末は、鍵部(22-2)Xに第n+1の乱数[Xn+1]を持つ携帯端末である。そのインデックスn(=1,2,……,n)は前記(H)式に適用されしながら、“今”現在、下記(II)’式の状態に至っている;
K=[Xn+1]=X-------(II)’
このXの値(II)’を(IV)式にインプットすると、
ΣCn+1+Xn+1=X1+Xn+1+Xn+1=X1-------(IV)’
累積計算部の出力に第1の乱数[X1]が現れる。
【0036】
前記携帯端末は、自身が持つ第n+1の乱数[Xn+1]により、変化の累積ΣCn+1の“今”現在を第1の乱数[X1]と自身が持つ乱数[Xn+1]に分解し、登録した時の第1の乱数[X1]を再生する事が出来た(請求1)。
【0037】
3.第三者の証明付き携帯端末
前記(IV)は、前記通信体と前記携帯端末とは独立に、第三者が行っている計算である。
【0038】
この第三者に携帯端末の第n+1の乱数[Xn+1]を持ち込むと、(IV)’式の通り乱数[X1]と乱数[Xn+1]に分解し、登録した時の第1の乱数[X1]を再生する。
【0039】
これは、第1の乱数[X1]を再生する事が出来る携帯端末はただ一つしか無いという証明を与える事が累積計算部(符号25a)の仕事であることを示したものである(請求項1)。
【0040】
インデックスn(=1,2,…,n)の下で(II)’式を満たす携帯端末は、そういう意味の第三者の与える証明付きの認証手段になる。
【0041】
特に、(IV)’式は生命現象である思い出す能力”を情報理論で取り扱える事を示唆した、世界初の快挙である。
【0042】
(秘密漏れの警報)
同じく、前記通信体側は(IV)式に従い、その鍵部(符号21-2)Kは、“今”現在、
K=[Xn+1]-------(IV)’
である。これは、暗号文Cn+1(=Xn+Xn+1)を受け取った携帯端末が既に存在しているという事を意味する。ここに、他にも任意の携帯電話が有る。その携帯電話は、鍵部(22-2) Xが第nの乱数[Xn]を持つ携帯電話であるとする。前記通信体側は新たな乱数[Xn+2]を携帯端末側に配送しようとする。しかし、当該携帯端末の鍵部(符号22-2)Xは
K=[Xn+1]≠[Xn]=X-----(III)
となる。当該携帯端末の鍵部(符号22-2)Xは乱数[Xn+1]を持たないから、当該の携帯端末は[Xn+2]を受信できないし、累積計算部の出力(IV)’から第1の乱数[Xl]を導けない:言い換えると、当該携帯電話は第1の乱数[X1]を“思い出せない”。このイベントが「秘密漏れの警報」になるのである。
【0043】
4.(II)又は(III)の判定
前記鍵Kと鍵Xを通信路に出さないで(II)又は(III)の判定を行う。以下に詳細を記述する。
【0044】
(図3、暗号化関数部)
図3は暗号化関数部(符号21)の詳細である;ここで、前記(1-6)’式が与える暗号文Cn+1とハッシュ値を作る;暗号鍵Kは256ビットである。K/2=128bitをハッシュ関数h()の鍵にする。この鍵K/2と暗号文Cn+1とを連結し、ハッシュ関数h()の入力にする(符号21-5)。
その結果、ハッシュ値はh(K/2||Cn+1)で与えられる:記号||は連結を表す。
【0045】
暗号文Cn+1とハッシュ値h(K/2||Cn+1)の1対が先願の1:1認証子の識別子である。この識別子がパケットに載り通信路に出る。
【0046】
(図4、複合化関数部)
他方、図4は、複合化関数部(22)の詳細である;ここで、前期受信した鑑別子から暗号文を復号し、さらに、その平文からハッシュ値を再現する。この再現したハッシュ値と受信したハッシュ値とを比較し、(II)又は(III)の判定を行うのである。次の通り;
復号化関数部(符号22)は復号化関数Dx()と暗号化関数Ex()を含む;前記Ex()とEK()とは同じ関数形であるが、鍵(符号22-2b)が任意の値Xを持つExOである(表1の通り)。
【0047】
まず受信した暗号文EK(Xn+1)を鍵XのDx()で復号する。鍵Xで復号した平文はXn+1になるとは限らないからXn+1’(符号22-3)と記号する。これを再び鍵XのEx()(符号22-4)の入力にし、その出力をEx(Xn+1)’(符号22-5)を得る。暗号化関数部(符号21)と同様のやり方で、そのハッシュ値h(X/2||Ex(Xn+1)’)を計算する(符号22-6)。このハッシュ値h(X/2||Ex(Xn+1)’)と受信したハッシュ値h(K/2||Cn+1)(符号24-2)とを比較する(符号22-7);
もし、h(k2||Ek(Xn+1)=h(X/2||EX(Xn+1)’)ならば、(II)と判定する。
もし、h(k/2||Ek(Xn+1)≠h(X/2||EX(Xn+1)’)ならば、(III)と判定する。
【0048】
ハッシュ関数の衝突困難性(collisionresistance)が健全である限り、この手続きも健全(sound)である。ハッシュ関数h()にMD5を使った。
【0049】
5.秘密漏れの警報の実施例
前記秘密(Xn)漏れの事件(III)がどのような警報として現れるか、携帯端末(図2の符号27)の出力表示部(図2の符号27-1)の事例を図7(a)及び(b)に示す。携帯端末(符号27)から前記通信体(a communication body)へのアクセス回数を時計の針で示す。針は7秒おきの時を刻む。
【0050】
不正コピーが侵入していない時は、(II)式に成るから、所定の時間間隔(7秒)で針が進む(図7(a));その針は図8に示すaである。詳細に言うと、携帯端末は、(II)を満足する復号鍵X(符号22-2a)を持つ。図8中aの針の示す方向は復号鍵Xの値である。針が進む事は、(II)式を満足したことであるから、それは7秒前の秘密(乱数)をキャンセルした事を意味する。あるいは請求1との連携を示せば次のようになる;当該携帯端末は、(IV)'式を満たす第n+1の乱数[Xn+1]を7秒ごとに記憶し、登録した時の第1の乱数[X1]を再生する能力を持つ。
【0051】
不正コピーが侵入した時は、(II)を満足しなくなり(III)式に成り、所定の時間間隔内に針を止める;図8中aの針が止まり、その代わりにbの長針が現れ(図7(b))、長い針だけが、7秒おきに進む。これは7秒おきにアクセスをし続けていることを示す;アクセスをし続けても(II)を満足しない。(III)の状態になると、図8中aの針に加え長い針が現れ、短い針は止まり、長い針だけが進む。
【0052】
詳述する;(II)を満足している時は、、前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させている時である。(III)に該当した事件が起きると、前記携帯端末が第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化しなくなる。(III)に該当するという事は、前記(IV)'式を満足する携帯端末の機能が二つあるという警報である;。
【0053】
当該携帯端末は、結局、秘密漏れの警報装置である。このようにして、携帯端末の持ち主には一目で状況が判る。
【0054】
6.初期化パスワード
第1の乱数[X1]の生成において“塩”を降りかける;登録時だけ、人のパスワードを乱数に混ぜて第1の乱数[X1]を作る。これはユーザの自覚を促す意図を持つ。前記秘密漏れの警報装置では乱数の桁数は256ビットである。この内の32ビットを“塩”に用意する。
“塩”を降りかけられた第1の乱数[X1]を、以降、初期化パスワードと参照する。
【0055】
7.既存のATM勘定系に本願携帯端末を付加する使い方
前記携帯端末として携帯電話を使う。前記(II)の時に限り、ATM勘定系の作法(既存のカードIDと暗証番号の作法)が有効になり、勘定系への経路(符号40)を開く;このように、既存の勘定系に手を加えない運用を行う事例を示す。
【0056】
図5の大きい枠は既存のATM勘定系(符号41)である;従来のキャッシュカードと暗証番号で決済を行う機能図である。ここで、二重線枠に囲まれた常時ロック(符号39)とはATMの画面の機能である;従来のカードを挿入しただけではATMの画面が切り替わらない事に相当する。
【0057】
決済主体がATMの傍に来て、前記携帯電話(符号“27”)のロック解除ボタン(符号277)を操作した時、前記(II)の事象をATM勘定系(符号41)が検出した時に限り、ATM(符号35)の画面は暗証番号を入力する作法(符号40)の画面に替わる。あるいは、暗証番号の入力作法(符号40)を省いて、即決済を許可する。以上が要点であるが、決済主体の作法を順に追って説明する。
【0058】
最初に、決済主体がカードをATM(符号35)に挿入する。カードID情報(符号36-1)を変換テーブル(符号33)に渡し、携帯IDに変換する;携帯IDを通して事件テーブル(符号29)に問い合わせする(符号29-1)。
【0059】
次に、決済主体が前記携帯電話(符号“27”)のロック解除ボタン(符号277)で合図を暗号化関数部(符号21)に送ると、無線通信路(符号23a)上に暗号文(符号24a)が前記携帯端末に向かって流れる。
【0060】
3番目に、前記携帯端末が、第n+1の乱数[Xn+1]を受け取る場合と、受け取らない場合に応じて(II)または(III)の事件が起きる。暗号化関数部(符号21)は(II)または(III)の事件を事件テーブル(符号29)に出力する。
【0061】
4番目に、その情報(符号29-2)が変換テーブル(符号33)を経由して(符号36-2)、常時ロック(符号39)画面に入る。
【0062】
(II)ならば、常時ロック(符号39)画面を既存の暗証番号入力画面(符号40)に切り替える。あるいは、即決済を許可する。
(III)ならば、常時ロック(符号39)画面を維持する。
【0063】
なお、この事件(III)を暗号化関数部(符号21)に通知するプロトコルを暗号文24aとは別に設ける(図5符号28)。
【0064】
このようにして、前記初期化パスワードを作った人が、この携帯電話を携帯する限り、預金の不正引き出し事件は起こり得ないことになる。
【0065】
(請求2に関する実施の形態)
8.意思表示への追認又は否認の実施例
前記6節で述べたように、第1の乱数[X1]を決済主体のパスワードによって初期化する。初期化された携帯端末を仮に“正”と名づける。他にも初期化された携帯端末をもう一台用意する。これを“副”と名づける。
【0066】
“正”と“副”は、それぞれの乱数系列[X1]、[X2]、[X3]、…、[Xn]を持つ。“正”と“副”の乱数系列が同一になる確率は、乱数の場合、1/2256以下になる。
【0067】
この“正”と“副”を決済手段にするシステムを図6に示す。図中、“正”(符号“27a”)は、決済意思をシステムに伝えるロック解除ボタン(符号277)を持つ一方、“副”の方は、前記ロック解除ボタンを持たない。
【0068】
暗号化関数部(符号21)はサーバに実装される。ATM勘定系、事件テーブル、携帯電話、常時ロック画面等、図5と同じ符号を継承する。
【0069】
図6の事件テーブル(符号29)には前節と違う情報が入力される;以下に説明する;
決済主体は、ATMの傍に“正”(符号“27a”)を携帯して行く;カードをATMに挿入し、前記ロック解除ボタン(符号277)を操作すると、
1)カードIDがATM勘定系(符号41)に入力され、変換テーブル(符号33)を経由して携帯IDで図6の事件テーブル(符号29)に問い合わせする(符号29-1)一方、
2)“正”は、携帯電話の呼び出し機能(符号23-1)で“副”を呼び出し、“副”に暗号化関数部サーバ(符号21a)へのアクセスを強制する。
【0070】
3)暗号化関数部サーバ(符号21a)は、“正”と“副”それぞれの事件(II)又は(III)を変換作業部(符号21-4)において表2のイベント[1]又は[0]に変換し、事件テーブル(符号29)に出力する。
【0071】
4)事件テーブル(符号29)は、問い合わせ(符号29-1)に対する応答(符号29-2)をATM勘定系(符号41)に返し、常時ロック(符号39)画面の遷移を表2の通り制御する;ここで、常時ロック画面の切り替えのイベントを[1]、常時ロック画面の維持のイベントを[0]と記号する。
【表2】
【0072】
事象[1]は“正”の意思表示を“副”が追認した場合である。預金者が外出する場合、
“副”を家族に預けるなどして“正”を紛失した場合のリスクを“副”にヘッジさせる;例えば、“副”の電源を切って家族に預けるなどして外出すれば、“副”は“正”の呼び出し機能(符号23-1)に応答しない(携帯が応答しない場合も事件(III)に含める);これはイベント[0]に等しい。イベント[1]は“正”と“副”のそれぞれが唯一の携帯である事を第三者(3節参照)として証明できる状態である。
【0073】
企業の場合、経理担当者が“正”を運用し、管理者が“副”を運用する。この時の事象[1]の意味は次の通り;
意思表示を行った“正”の携帯は唯一であるし、追認した“副”の携帯も唯一である;意思表示した携帯も追認した携帯も唯一であることを前記(IV)と(IV)’の計算をした第三者が証明できる(第三者の証明付き)。“正“を運用した人は前記初期化パスワードを作った人であり、“副”を運用した人も前記初期化パスワードを作った人である。
【0074】
9.決済の輪
事象[1]は、このように、離れた場所に居る複数の人が、オンラインかつリアルタイムに決済の輪に参画し、その決済の安定性と信頼性は第三者の証明するところの事象である。
【0075】
以降、これを決済の輪と言う。決済の輪とは;
1)離れた場所に居ても複数の人がオンラインかつリアルタイムに決済に参加すること。
2)複数の決済手段のそれぞれが唯一であること証明する第三者が存在すること。
上記決済の輪があれば、ATMまたはオンラインでも決済の金額制限を取り除くことが可能になる。この決済の輪を送金の受取人にまで拡大すると、振り込め詐欺などは起こり得ない。
【0076】
(請求1と2に共通する実施の形態)
(変化の累積計算部の省略)
第1の乱数[X1]を“思い出す”携帯電話/“思い出せない”携帯電話のどちらもハッシュ関数の判定(前記(II)と(III))で検知できる。したがって、携帯端末(符号“27”)がハッシュ値の判定部(図4符号22-7)を持って居れば、すなわち、前記(II)又は(III)の判定部を備えていれば、本願システムが変化の累積計算部を備える必要はない。
【0077】
ただし、この累積計算部は、他に重大な意味を持っている。第1の乱数[X1]を一般化して個人の秘密とする、預金でも遺言でも良い。その秘密を前記(II)'の中に隠蔽する事ができる。
【0078】
K=[Xn+1]=X------(II)’
第1の乱数[X1]は一度使われたら参照される事はない。その秘密を再現したい場合、本願の累積計算部(符号25a)に[Xn+1]を持参すれば、(IV)’式のごとく秘密[X1]を再現する。累積計算部(符号25a)の持つ情報と携帯端末の持つ情報とは、互いに独立である;乱数[Xl]のエントロピー分だけ独立。情報理論的に安全な第三者機関である。そういう点で、従来の第三者機関とは違う。
【0079】
(作用・効果)
本願が“思い出す”携帯電話であるということは、直接的には初期化パスワード“再現する”のであるが、信頼性という観点で言えば、登録時の対面審査の作法を“思い出す”のである。初期化パスワードの信頼性は、登録時の対面審査の基準と作法に在る。初期化パスワードを“塩”味にした理由は、登録の対面審査の基準と作法に関するルールを厳格にしたいからである。
【0080】
本願は従来のビジネスプロセスを変革する(改善ではない)ことが効果である。実施の仕方は様々である。様々な実施の効果を列挙する;
1)顧客情報の流出事件の再発防止、クレジット情報の流出事件の再発防止
携帯端末として、ICカード型、携帯電話型の、どちらもパスワード・ファイルを運用しない。
2)ISO運用コストの削減
従来のパスワードに対して、ISO270001が求める管理策の実施には多大なコストが発生する。この部分をバッサリ削減する。
3)預金管理の完全性;
対面取引と同様の確証をATMの利便性と共に与える。登録時の対面審査の基準と作法を“思い出す”携帯電話であるから、預金の不正引き出し事件は起こり得ない。
4)送金管理の完全性;
送金手続きと入金手続きの一部始終を全て対面取引で行うとした場合の信頼性と確証をATMやオンライン取引にも提供する。登録時の対面審査の基準と作法を“思い出す”携帯電話であるから、ATMやオンライン取引でも「金額無制限の送金」を実施できる。
5)電子通貨の完全性;
携帯電話Aから携帯電話Bへ電子データを直接(携帯端末間)送る事が出来る。発行した電子データの総量を管理するが、個々人の財布(携帯電話)の中身には無関心。
6)秘密漏れに対抗する警報装置
パスワード(秘密)漏れの警報装置。携帯電話としても壁掛け装置としても実現する。
7)次世代のパスワード;
従来の記憶に基づくパスワード及びワンタイム・パスワード(rfc1938、rfc1760)の後に続く次世代のパスワード。次世代のパスワードを運用するに当たって、次世代のパスワードにパスワードを入力する必要がないのは当然。
8)第三者認証局の存在が不要である。
【符号の説明】
【0081】
20…乱数発生源[X]
21…暗号化関数部
21a…暗号化関数部サーバ
21-2…鍵部
21-2a…暗号鍵K
21-4…変換作業部
22…復号化関数部
22-2…鍵部
22-2a…復号鍵X
22-2b…鍵
22-7…判定部
23…通信路
23a…無線通信路
23-1…呼び出し機能
24…入出力情報
24a…暗号文
25…盗聴者
25a…累積計算部
25…累積計算部
27…携帯端末
27a…初期化された携帯端末“正”
27b…他の初期化された携帯端末“副”
27-1…出力表示部
29…事件テーブル
33…変換テーブル
35…ATM
36-1…カードID情報
39…常時ロック
40…暗証番号の入力
41…ATM勘定系
42…勘定系への経路
277…ロック解除ボタン
【技術分野】
【0001】
本願は、パスワードを“思い出す能力”の有る携帯端末(ICカード、携帯電話など)とそれを携帯する事に付随する効果に関する。この携帯端末を携帯する人は、パスワードを思い出す煩わしさが無い。人に代わって、当該の携帯端末が登録した時に生成した乱数を“再現する能力”を持っているからである。
【背景技術】
【0002】
従来、記憶に基づくパスワード、及び、ワンタイム・パスワード(IETFのrfc1938、rfc1760)がある。
【0003】
(従来技術の問題点)
“思い出す”という現象、記憶を思い出すという現象は、我々の体が分子レベルで新陳代謝の変化にさらされている中で、“私は私”という不変な意識(ID)を担保する生命現象である。古来より、秘密を秘密にする手口がある;一度でも秘密文書を開いたら、直ちに燃やす。こうすれば「秘密を生命現象の中だけに留める」ことになる;それが秘密維持の鉄則である。現在、この鉄則に従うITは無い;パスワード・ファイルがその証拠である。
【0004】
紙にメモったパスワード、お誕生日パスワード、コンピュータ上のファイルとして存在するパスワード、これらは何度でも“見れるように”したものである。それゆえ、人を通して漏れる。漏れるから、またパスワードを求める、二重三重に求める。これが従来技術の問題点である。一般的に、携帯電話のIDも、繰り返し参照されることからパスワード・ファイルと同じ位置に在る。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008-124906号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
私の携帯電話だけが“思い出す”パスワード、貴方の携帯電話だけが“思い出す”パスワード、これの現実解を探す事が課題である。
【0007】
もし、私と貴方だけが“思い出せる”秘密というものが在るならば、私と貴方に中立的な第三者機関(情報論的に独立な機関)に私と貴方だけが“思い出せる”という事を担保させたい。私に味方する誰か、あるいは貴方に味方する誰か、こういう誰かが居ない事を第三者機関に保証させたい。
【0008】
これら、今世紀の情報技術に残された課題である。
【課題を解決するための手段】
【0009】
請求項1に係る発明は、
通信路を隔てて対向する携帯端末と乱数発生源([X])を含む通信体とから構成される1:1認証子は、
前記乱数発生源[X]で発生した第1の乱数[X1]により
前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した
第1の暗号文([Xl]+[X2])を介在して、
前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、
同じく、
前記乱数発生源[X]で発生した第2の乱数[X2]により
前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した
第2の暗号文([X2]+[X3])を介在して、
前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、
順次、第nの暗号文([Xn]+[Xn+1])を介在して、
前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、
既に使い捨てられた前記第1の乱数[X1]を再生する能力(“思い出す能力”)を持つデータが前記携帯端末の前記第n+1の乱数[Xn+1]である事
を特徴とした前記携帯端末である。
【0010】
また、請求項2に係る発明は、
任意分野の決済に係る携帯端末が少なくも“正”と“副”の2個用意され、
前記“正”に付随するID又はパスワードは前記決済の意思表示に用いられ、
前記“副”に付随するID又はパスワードは前記意思表示の認否に用いられ、
前記“正”の意思表示を前記“副”が追認した時に限り、決済が許可される事
を特徴とした前記複数の携帯端末である。
【0011】
上記本発明について詳述する。
1:1認証子が特開2008-124906に公開された(以降、先願という)。これは、互いに通信路を隔て対向する二者(peer-to-peer)の秘密共有のメンテナンスを人から通信システムへ移行する手段である。この1:1認証子が本願の枠組みを提供する。重要な基盤であるから、ここに改めて本願図1に1:1認証子を再掲載した;ここでは乱数発生源[X]を備えている側を暗号化関数部とした。
【0012】
本願図1と先願の定義(先願段落番号(0020))とを照らし合わせる;1:1認証子とは:乱数発生源[X](符号20)の乱数の暗号化と復号化を行うシステム要素(符号21,21-1,21-1及び22,22-1,22-2)又はその入出力情報(符号20-1,21-3,21-4、符号22-3,22-4)と;乱数の暗号文をハッシュ関数に入力するシステム要素(符号21を詳細にした図3と符号22を詳細にした図4)又はその入出力情報(符号21を詳細にした図3と符号22を詳細にした図4)と;の暗号文とハッシュ値とを1対にして送信及び受信する通信部としてのシステム要素(符号23)又はその入出力情報(符号24)、を備えて構成されるものである。
【0013】
さらに、図1の通信路(符号23)に盗聴者(符号25)が描かれている。盗聴者とは1:1認証子に対する第三者である。盗聴者(符号25)は、暗号文を解読できなくても盗聴した暗号文そのものから、システムの変化と変化の累積を計算する事が出来る。この盗聴者の機能を変化の累積計算部として登場させる;本願図2の符号25aである;ここで、暗号文Cn+1を通信路(符号23)上からコピーし、その累積ΣCn+1を計算する。
【0014】
図2に示すところの、前記累積計算部(図2の符号25a)を備えた1:1認証子が本願の基盤である;乱数発生源[X](符号20)と、乱数の暗号化を行うシステム要素(符号21,21-1,21-2)と、通信路(符号23)と、変化の累積計算部(符号25a)と、変化の累積計算部(符号25a)への入出力情報(符号24)と、により構成される通信体(a communication body)と、復号化を行うシステム要素(符号22,22-1,22-2)により構成される携帯端末(a mobile body)(符号27)と、から構成される。
【0015】
この通信体と携帯端末とが本願の主要な基盤要素である。本願で使われる記号を先願と共通にする;
【表1】
【図面の簡単な説明】
【0016】
【図1】従来技術に係る自然乱数[X]を含む1:1認証子を示すブロック図である。
【図2】本実施形態に係る変化の累積計算部を含む1:1認証子を示すブロック図である。
【図3】本実施形態に係る暗号化関数部(符号21)の詳細を示すブロック図である。
【図4】本実施形態に係る暗号化関数部の再現したハッシュ値と暗号化関数部の作ったハッシュ値との比較を示すブロック図である。
【図5】本実施形態に係る既存のATM勘定系に本願携帯端末を付加する使い方を示すブロック図である。
【図6】本実施形態に係る携帯端末“正”と“副”の複数の決済手段を示すブロック図である。
【図7】本実施形態に係る秘密漏れの警告事例を示す説明図である。
【図8】本実施形態に係る秘密漏れの警告事例における画面表示を示す説明図である。
【発明を実施するための形態】
【0017】
(請求1に関する実施の形態)
コンピュータに登録されたが、使われると直ぐに捨てられたパスワード又は秘密につき、それを再生する能力を持つ携帯端末の実施の形態を記述する。
【0018】
1.携帯端末の状態を変化させる実施の形態
図1は、先願におけるルータ問の秘密共有のメンテナンスを人から通信システムへ移行する手段を意図した。
【0019】
本願(図2)は、対向する二個のルータの一方に携帯端末を導入し、通信体(サーバ側)と携帯端末の間の秘密共有のメンテナンスを人から通信システムへ移行させる事を描く。
【0020】
したがって、本願(図2)は、図1に示した先願のアルゴリズムを継承する一方、乱数発生源[X]としては自然乱数だけでなくハッシュ関数で発生させた擬似乱数を含む。その乱数発生源[X]で発生した第1の乱数[X1]を第1の暗号鍵として用い、同じ乱数[X1]を第1の復号鍵として用いる。
【0021】
この第1の乱数[X1]を何度も参照し鍵として使うとしたら、それがパスワード・ファイルである。これを破棄しなければならない。
【0022】
第1の乱数[X1]を破棄するとは、一度でも使ったら捨てる;これは携帯端末の状態が変化する事である。それ故、課題を解決する手段の前半部分は“変化”の要件を定義したものになる。前半とは;通信路を隔てて携帯端末(符号27)と乱数を発生する乱数発生源[X]を含む通信体とが対向する1:1認証子は、前記乱数発生源[X]で発生した第1の乱数[X1]により前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した第1の暗号文([X1]+[X2])を介在して、前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、同じく、前記乱数発生源[X]で発生した第2の乱数[X2]により前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した第2の暗号文([X2]+[X3])を介在して、前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、順次、第nの暗号文([Xn]+[Xn+1])を介在して、前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させる。
【0023】
上記を要約すると;1:1認証子は、第1の乱数[X1]を第1の暗号鍵と復号鍵として用い第2の乱数[X2]を持つ状態に携帯端末(符号27)を変化させる;再び乱数[X1]を持つ状態にはならない。以降、順次、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])、…、第nの暗号文([Xn]+[Xn+1])を経て、前記携帯端末は第n+1の乱数[Xn+1]を持つ状態に変化する。
【0024】
この場合、第2の乱数[X2]、第3の乱数[X3]…第nの乱数[Xn]はそれぞれ二度と使われない。
【0025】
このような鍵の使い方は、後述するように、先願の(1-3)式と(1-6)’式に明らかに記述されている。
【0026】
(先願と構成上の違い1)
前記復号化を行うシステム要素(図1符号22,22-1,22-2)が携帯端末(図2符号27)に置き換わる。
【0027】
(先願と構成上の違い2)
前記通信体(図2)は、第1の暗号文([X1]+[X2])、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])…第nの暗号文([Xn]+[Xn+1])を通信路に送出する;
その際、通信体側の鍵部(符号21-2)は、少なくも第nの乱数[Xn]を持っている。他方、前記携帯端末(符号27)が持つ乱数は、移動体であり偽造物が紛れ込むかも知れ無いから、第nの乱数[Xn]を持つとは限らない。
【0028】
すなわち、暗号化関数部(符号21)の鍵部(符号21-2)Kと、復号化関数部(符号22)の鍵部(符号22-2)Xとは
K=[Xn]=X------(II)
の場合も有るが、
K=[Xn+1]≠X------(III)
の場合も有り得る(図2の鍵部(符号22-2)を二重線枠で描いた)。
【0029】
上記(II)式の場合に限り、前記携帯端末は第n+1の乱数[Xn+1]を受け取る。(これが先願の秘密共有の自動メンテナンスの条件である)
(先願と構成上の違い3)
前記携帯端末(符号27)は、その復号化関数部(符号22)自身において、(II)と(III)の判定を行う(後述する);この判定を行うに際し、鍵Kと鍵Xを通信路に出さない。
【0030】
(ワンタイム・パスワードとの違い)
この実施の形態だけを見ても、一般にワンタイム・パスワード(IETFではrfc1938)と言われている仕組みとは決定的に違う。ワンタイム・パスワードでは、携帯物からサーバ側に手入力の乱数を流す。また、ワンタイム・パスワードは第1の乱数[X1]に相当するパスフレーズを捨てる事は絶対に無いし、パスフレーズを自動更新するという仕組みもない;したがって、携帯物の偽造は本物と同一に扱われる。
【0031】
2.“思い出す能力”≡再生する能力
登録時に前記通信体と前記携帯端末は第1の乱数[X1]を共有する;なお、携帯端末の具体的な姿は携帯電話である。その後、第1の乱数[X1]は、前記“変化”の要件において述べたように、第1の暗号鍵及び第1の復号鍵として用いられた後、直ちに破棄される。それにもかかわらず、“今”現在、携帯電話が持っている第n+1の乱数[Xn+1]は、この第1の乱数[X1]を再生する事が可能である。次の通りである;
前記通信体と携帯端末は無線セルを含む通信路(符号23)で1:1に対峙し、その通信路(符号23)には第1の暗号文([X1]+[X2])、第2の暗号文([X2]+[X3])、第3の暗号文([X3]+[X4])、…、第nの暗号文([Xn]+[Xn+1])が流れ、その都度、乱数[X2]が使い捨てられ、乱数[X3]が使い捨てられ…同様にして乱数[Xn]が使い捨てられ、“今”現在は乱数[Xn+1]が鍵である。
【0032】
この“今”現在に来る道筋は、インデックスnで展開される先願の(1-6)'式と(1-3)で与えられている;
Cn+1=EK(Xn+1)=Xn+Xn+1(1-6)'
鍵K=[Xn](1-3)
先願の(1-6)’式と(1-3)は、暗号鍵K(符号21-2a)と復号鍵X(符号22-2a)が共に、
K=[Xn]=X-------(II)
を満たす場合の連立式であることに注意する必要がある。
【0033】
(1-6)’をインデックスnで展開し、暗号文C1からCn+1を得る;
C1=X1+X2
C2=X2+X3
・・・
・・・
Cn=Xn-1+Xn
+) Cn+1=Xn+Xn+1
--------------------------
ΣCn+1=X1+Xn+1--------(IV)
但し、Xn+Xn=0
実際の暗号文の総和ΣCn+1の計算は変化の累積計算部(符号25a)が行う。
【0034】
上記(IV)は右を主張する;変化の累積ΣCn+1の“今”現在は、前記携帯電話が持ってる第n+1の乱数[Xn+1]と第1の乱数[X1]の排他的論理和である。なお、誤解のないように付け加えれば、乱数[Xn+1]と[X1]が分解されて存在している訳ではない。
【0035】
(第1の乱数[X1]を再生する携帯端末)
さて、ここに任意の携帯端末が有る。その携帯端末は、鍵部(22-2)Xに第n+1の乱数[Xn+1]を持つ携帯端末である。そのインデックスn(=1,2,……,n)は前記(H)式に適用されしながら、“今”現在、下記(II)’式の状態に至っている;
K=[Xn+1]=X-------(II)’
このXの値(II)’を(IV)式にインプットすると、
ΣCn+1+Xn+1=X1+Xn+1+Xn+1=X1-------(IV)’
累積計算部の出力に第1の乱数[X1]が現れる。
【0036】
前記携帯端末は、自身が持つ第n+1の乱数[Xn+1]により、変化の累積ΣCn+1の“今”現在を第1の乱数[X1]と自身が持つ乱数[Xn+1]に分解し、登録した時の第1の乱数[X1]を再生する事が出来た(請求1)。
【0037】
3.第三者の証明付き携帯端末
前記(IV)は、前記通信体と前記携帯端末とは独立に、第三者が行っている計算である。
【0038】
この第三者に携帯端末の第n+1の乱数[Xn+1]を持ち込むと、(IV)’式の通り乱数[X1]と乱数[Xn+1]に分解し、登録した時の第1の乱数[X1]を再生する。
【0039】
これは、第1の乱数[X1]を再生する事が出来る携帯端末はただ一つしか無いという証明を与える事が累積計算部(符号25a)の仕事であることを示したものである(請求項1)。
【0040】
インデックスn(=1,2,…,n)の下で(II)’式を満たす携帯端末は、そういう意味の第三者の与える証明付きの認証手段になる。
【0041】
特に、(IV)’式は生命現象である思い出す能力”を情報理論で取り扱える事を示唆した、世界初の快挙である。
【0042】
(秘密漏れの警報)
同じく、前記通信体側は(IV)式に従い、その鍵部(符号21-2)Kは、“今”現在、
K=[Xn+1]-------(IV)’
である。これは、暗号文Cn+1(=Xn+Xn+1)を受け取った携帯端末が既に存在しているという事を意味する。ここに、他にも任意の携帯電話が有る。その携帯電話は、鍵部(22-2) Xが第nの乱数[Xn]を持つ携帯電話であるとする。前記通信体側は新たな乱数[Xn+2]を携帯端末側に配送しようとする。しかし、当該携帯端末の鍵部(符号22-2)Xは
K=[Xn+1]≠[Xn]=X-----(III)
となる。当該携帯端末の鍵部(符号22-2)Xは乱数[Xn+1]を持たないから、当該の携帯端末は[Xn+2]を受信できないし、累積計算部の出力(IV)’から第1の乱数[Xl]を導けない:言い換えると、当該携帯電話は第1の乱数[X1]を“思い出せない”。このイベントが「秘密漏れの警報」になるのである。
【0043】
4.(II)又は(III)の判定
前記鍵Kと鍵Xを通信路に出さないで(II)又は(III)の判定を行う。以下に詳細を記述する。
【0044】
(図3、暗号化関数部)
図3は暗号化関数部(符号21)の詳細である;ここで、前記(1-6)’式が与える暗号文Cn+1とハッシュ値を作る;暗号鍵Kは256ビットである。K/2=128bitをハッシュ関数h()の鍵にする。この鍵K/2と暗号文Cn+1とを連結し、ハッシュ関数h()の入力にする(符号21-5)。
その結果、ハッシュ値はh(K/2||Cn+1)で与えられる:記号||は連結を表す。
【0045】
暗号文Cn+1とハッシュ値h(K/2||Cn+1)の1対が先願の1:1認証子の識別子である。この識別子がパケットに載り通信路に出る。
【0046】
(図4、複合化関数部)
他方、図4は、複合化関数部(22)の詳細である;ここで、前期受信した鑑別子から暗号文を復号し、さらに、その平文からハッシュ値を再現する。この再現したハッシュ値と受信したハッシュ値とを比較し、(II)又は(III)の判定を行うのである。次の通り;
復号化関数部(符号22)は復号化関数Dx()と暗号化関数Ex()を含む;前記Ex()とEK()とは同じ関数形であるが、鍵(符号22-2b)が任意の値Xを持つExOである(表1の通り)。
【0047】
まず受信した暗号文EK(Xn+1)を鍵XのDx()で復号する。鍵Xで復号した平文はXn+1になるとは限らないからXn+1’(符号22-3)と記号する。これを再び鍵XのEx()(符号22-4)の入力にし、その出力をEx(Xn+1)’(符号22-5)を得る。暗号化関数部(符号21)と同様のやり方で、そのハッシュ値h(X/2||Ex(Xn+1)’)を計算する(符号22-6)。このハッシュ値h(X/2||Ex(Xn+1)’)と受信したハッシュ値h(K/2||Cn+1)(符号24-2)とを比較する(符号22-7);
もし、h(k2||Ek(Xn+1)=h(X/2||EX(Xn+1)’)ならば、(II)と判定する。
もし、h(k/2||Ek(Xn+1)≠h(X/2||EX(Xn+1)’)ならば、(III)と判定する。
【0048】
ハッシュ関数の衝突困難性(collisionresistance)が健全である限り、この手続きも健全(sound)である。ハッシュ関数h()にMD5を使った。
【0049】
5.秘密漏れの警報の実施例
前記秘密(Xn)漏れの事件(III)がどのような警報として現れるか、携帯端末(図2の符号27)の出力表示部(図2の符号27-1)の事例を図7(a)及び(b)に示す。携帯端末(符号27)から前記通信体(a communication body)へのアクセス回数を時計の針で示す。針は7秒おきの時を刻む。
【0050】
不正コピーが侵入していない時は、(II)式に成るから、所定の時間間隔(7秒)で針が進む(図7(a));その針は図8に示すaである。詳細に言うと、携帯端末は、(II)を満足する復号鍵X(符号22-2a)を持つ。図8中aの針の示す方向は復号鍵Xの値である。針が進む事は、(II)式を満足したことであるから、それは7秒前の秘密(乱数)をキャンセルした事を意味する。あるいは請求1との連携を示せば次のようになる;当該携帯端末は、(IV)'式を満たす第n+1の乱数[Xn+1]を7秒ごとに記憶し、登録した時の第1の乱数[X1]を再生する能力を持つ。
【0051】
不正コピーが侵入した時は、(II)を満足しなくなり(III)式に成り、所定の時間間隔内に針を止める;図8中aの針が止まり、その代わりにbの長針が現れ(図7(b))、長い針だけが、7秒おきに進む。これは7秒おきにアクセスをし続けていることを示す;アクセスをし続けても(II)を満足しない。(III)の状態になると、図8中aの針に加え長い針が現れ、短い針は止まり、長い針だけが進む。
【0052】
詳述する;(II)を満足している時は、、前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させている時である。(III)に該当した事件が起きると、前記携帯端末が第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化しなくなる。(III)に該当するという事は、前記(IV)'式を満足する携帯端末の機能が二つあるという警報である;。
【0053】
当該携帯端末は、結局、秘密漏れの警報装置である。このようにして、携帯端末の持ち主には一目で状況が判る。
【0054】
6.初期化パスワード
第1の乱数[X1]の生成において“塩”を降りかける;登録時だけ、人のパスワードを乱数に混ぜて第1の乱数[X1]を作る。これはユーザの自覚を促す意図を持つ。前記秘密漏れの警報装置では乱数の桁数は256ビットである。この内の32ビットを“塩”に用意する。
“塩”を降りかけられた第1の乱数[X1]を、以降、初期化パスワードと参照する。
【0055】
7.既存のATM勘定系に本願携帯端末を付加する使い方
前記携帯端末として携帯電話を使う。前記(II)の時に限り、ATM勘定系の作法(既存のカードIDと暗証番号の作法)が有効になり、勘定系への経路(符号40)を開く;このように、既存の勘定系に手を加えない運用を行う事例を示す。
【0056】
図5の大きい枠は既存のATM勘定系(符号41)である;従来のキャッシュカードと暗証番号で決済を行う機能図である。ここで、二重線枠に囲まれた常時ロック(符号39)とはATMの画面の機能である;従来のカードを挿入しただけではATMの画面が切り替わらない事に相当する。
【0057】
決済主体がATMの傍に来て、前記携帯電話(符号“27”)のロック解除ボタン(符号277)を操作した時、前記(II)の事象をATM勘定系(符号41)が検出した時に限り、ATM(符号35)の画面は暗証番号を入力する作法(符号40)の画面に替わる。あるいは、暗証番号の入力作法(符号40)を省いて、即決済を許可する。以上が要点であるが、決済主体の作法を順に追って説明する。
【0058】
最初に、決済主体がカードをATM(符号35)に挿入する。カードID情報(符号36-1)を変換テーブル(符号33)に渡し、携帯IDに変換する;携帯IDを通して事件テーブル(符号29)に問い合わせする(符号29-1)。
【0059】
次に、決済主体が前記携帯電話(符号“27”)のロック解除ボタン(符号277)で合図を暗号化関数部(符号21)に送ると、無線通信路(符号23a)上に暗号文(符号24a)が前記携帯端末に向かって流れる。
【0060】
3番目に、前記携帯端末が、第n+1の乱数[Xn+1]を受け取る場合と、受け取らない場合に応じて(II)または(III)の事件が起きる。暗号化関数部(符号21)は(II)または(III)の事件を事件テーブル(符号29)に出力する。
【0061】
4番目に、その情報(符号29-2)が変換テーブル(符号33)を経由して(符号36-2)、常時ロック(符号39)画面に入る。
【0062】
(II)ならば、常時ロック(符号39)画面を既存の暗証番号入力画面(符号40)に切り替える。あるいは、即決済を許可する。
(III)ならば、常時ロック(符号39)画面を維持する。
【0063】
なお、この事件(III)を暗号化関数部(符号21)に通知するプロトコルを暗号文24aとは別に設ける(図5符号28)。
【0064】
このようにして、前記初期化パスワードを作った人が、この携帯電話を携帯する限り、預金の不正引き出し事件は起こり得ないことになる。
【0065】
(請求2に関する実施の形態)
8.意思表示への追認又は否認の実施例
前記6節で述べたように、第1の乱数[X1]を決済主体のパスワードによって初期化する。初期化された携帯端末を仮に“正”と名づける。他にも初期化された携帯端末をもう一台用意する。これを“副”と名づける。
【0066】
“正”と“副”は、それぞれの乱数系列[X1]、[X2]、[X3]、…、[Xn]を持つ。“正”と“副”の乱数系列が同一になる確率は、乱数の場合、1/2256以下になる。
【0067】
この“正”と“副”を決済手段にするシステムを図6に示す。図中、“正”(符号“27a”)は、決済意思をシステムに伝えるロック解除ボタン(符号277)を持つ一方、“副”の方は、前記ロック解除ボタンを持たない。
【0068】
暗号化関数部(符号21)はサーバに実装される。ATM勘定系、事件テーブル、携帯電話、常時ロック画面等、図5と同じ符号を継承する。
【0069】
図6の事件テーブル(符号29)には前節と違う情報が入力される;以下に説明する;
決済主体は、ATMの傍に“正”(符号“27a”)を携帯して行く;カードをATMに挿入し、前記ロック解除ボタン(符号277)を操作すると、
1)カードIDがATM勘定系(符号41)に入力され、変換テーブル(符号33)を経由して携帯IDで図6の事件テーブル(符号29)に問い合わせする(符号29-1)一方、
2)“正”は、携帯電話の呼び出し機能(符号23-1)で“副”を呼び出し、“副”に暗号化関数部サーバ(符号21a)へのアクセスを強制する。
【0070】
3)暗号化関数部サーバ(符号21a)は、“正”と“副”それぞれの事件(II)又は(III)を変換作業部(符号21-4)において表2のイベント[1]又は[0]に変換し、事件テーブル(符号29)に出力する。
【0071】
4)事件テーブル(符号29)は、問い合わせ(符号29-1)に対する応答(符号29-2)をATM勘定系(符号41)に返し、常時ロック(符号39)画面の遷移を表2の通り制御する;ここで、常時ロック画面の切り替えのイベントを[1]、常時ロック画面の維持のイベントを[0]と記号する。
【表2】
【0072】
事象[1]は“正”の意思表示を“副”が追認した場合である。預金者が外出する場合、
“副”を家族に預けるなどして“正”を紛失した場合のリスクを“副”にヘッジさせる;例えば、“副”の電源を切って家族に預けるなどして外出すれば、“副”は“正”の呼び出し機能(符号23-1)に応答しない(携帯が応答しない場合も事件(III)に含める);これはイベント[0]に等しい。イベント[1]は“正”と“副”のそれぞれが唯一の携帯である事を第三者(3節参照)として証明できる状態である。
【0073】
企業の場合、経理担当者が“正”を運用し、管理者が“副”を運用する。この時の事象[1]の意味は次の通り;
意思表示を行った“正”の携帯は唯一であるし、追認した“副”の携帯も唯一である;意思表示した携帯も追認した携帯も唯一であることを前記(IV)と(IV)’の計算をした第三者が証明できる(第三者の証明付き)。“正“を運用した人は前記初期化パスワードを作った人であり、“副”を運用した人も前記初期化パスワードを作った人である。
【0074】
9.決済の輪
事象[1]は、このように、離れた場所に居る複数の人が、オンラインかつリアルタイムに決済の輪に参画し、その決済の安定性と信頼性は第三者の証明するところの事象である。
【0075】
以降、これを決済の輪と言う。決済の輪とは;
1)離れた場所に居ても複数の人がオンラインかつリアルタイムに決済に参加すること。
2)複数の決済手段のそれぞれが唯一であること証明する第三者が存在すること。
上記決済の輪があれば、ATMまたはオンラインでも決済の金額制限を取り除くことが可能になる。この決済の輪を送金の受取人にまで拡大すると、振り込め詐欺などは起こり得ない。
【0076】
(請求1と2に共通する実施の形態)
(変化の累積計算部の省略)
第1の乱数[X1]を“思い出す”携帯電話/“思い出せない”携帯電話のどちらもハッシュ関数の判定(前記(II)と(III))で検知できる。したがって、携帯端末(符号“27”)がハッシュ値の判定部(図4符号22-7)を持って居れば、すなわち、前記(II)又は(III)の判定部を備えていれば、本願システムが変化の累積計算部を備える必要はない。
【0077】
ただし、この累積計算部は、他に重大な意味を持っている。第1の乱数[X1]を一般化して個人の秘密とする、預金でも遺言でも良い。その秘密を前記(II)'の中に隠蔽する事ができる。
【0078】
K=[Xn+1]=X------(II)’
第1の乱数[X1]は一度使われたら参照される事はない。その秘密を再現したい場合、本願の累積計算部(符号25a)に[Xn+1]を持参すれば、(IV)’式のごとく秘密[X1]を再現する。累積計算部(符号25a)の持つ情報と携帯端末の持つ情報とは、互いに独立である;乱数[Xl]のエントロピー分だけ独立。情報理論的に安全な第三者機関である。そういう点で、従来の第三者機関とは違う。
【0079】
(作用・効果)
本願が“思い出す”携帯電話であるということは、直接的には初期化パスワード“再現する”のであるが、信頼性という観点で言えば、登録時の対面審査の作法を“思い出す”のである。初期化パスワードの信頼性は、登録時の対面審査の基準と作法に在る。初期化パスワードを“塩”味にした理由は、登録の対面審査の基準と作法に関するルールを厳格にしたいからである。
【0080】
本願は従来のビジネスプロセスを変革する(改善ではない)ことが効果である。実施の仕方は様々である。様々な実施の効果を列挙する;
1)顧客情報の流出事件の再発防止、クレジット情報の流出事件の再発防止
携帯端末として、ICカード型、携帯電話型の、どちらもパスワード・ファイルを運用しない。
2)ISO運用コストの削減
従来のパスワードに対して、ISO270001が求める管理策の実施には多大なコストが発生する。この部分をバッサリ削減する。
3)預金管理の完全性;
対面取引と同様の確証をATMの利便性と共に与える。登録時の対面審査の基準と作法を“思い出す”携帯電話であるから、預金の不正引き出し事件は起こり得ない。
4)送金管理の完全性;
送金手続きと入金手続きの一部始終を全て対面取引で行うとした場合の信頼性と確証をATMやオンライン取引にも提供する。登録時の対面審査の基準と作法を“思い出す”携帯電話であるから、ATMやオンライン取引でも「金額無制限の送金」を実施できる。
5)電子通貨の完全性;
携帯電話Aから携帯電話Bへ電子データを直接(携帯端末間)送る事が出来る。発行した電子データの総量を管理するが、個々人の財布(携帯電話)の中身には無関心。
6)秘密漏れに対抗する警報装置
パスワード(秘密)漏れの警報装置。携帯電話としても壁掛け装置としても実現する。
7)次世代のパスワード;
従来の記憶に基づくパスワード及びワンタイム・パスワード(rfc1938、rfc1760)の後に続く次世代のパスワード。次世代のパスワードを運用するに当たって、次世代のパスワードにパスワードを入力する必要がないのは当然。
8)第三者認証局の存在が不要である。
【符号の説明】
【0081】
20…乱数発生源[X]
21…暗号化関数部
21a…暗号化関数部サーバ
21-2…鍵部
21-2a…暗号鍵K
21-4…変換作業部
22…復号化関数部
22-2…鍵部
22-2a…復号鍵X
22-2b…鍵
22-7…判定部
23…通信路
23a…無線通信路
23-1…呼び出し機能
24…入出力情報
24a…暗号文
25…盗聴者
25a…累積計算部
25…累積計算部
27…携帯端末
27a…初期化された携帯端末“正”
27b…他の初期化された携帯端末“副”
27-1…出力表示部
29…事件テーブル
33…変換テーブル
35…ATM
36-1…カードID情報
39…常時ロック
40…暗証番号の入力
41…ATM勘定系
42…勘定系への経路
277…ロック解除ボタン
【特許請求の範囲】
【請求項1】
通信路を隔てて対向する携帯端末と乱数発生源([X])を含む通信体とから構成される1:1認証子は、
前記乱数発生源[X]で発生した第1の乱数[X1]により
前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した
第1の暗号文([Xl]+[X2])を介在して、
前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、
同じく、
前記乱数発生源[X]で発生した第2の乱数[X2]により
前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した
第2の暗号文([X2]+[X3])を介在して、
前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、
順次、第nの暗号文([Xn]+[Xn+1])を介在して、
前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、
既に使い捨てられた前記第1の乱数[X1]を再生する能力(“思い出す能力”)を持つデータが前記携帯端末の前記第n+1の乱数[Xn+1]である事
を特徴とした携帯端末。
【請求項2】
任意分野の決済に係る携帯端末が少なくも“正”と“副”の2個用意され、
前記“正”に付随するID又はパスワードは前記決済の意思表示に用いられ、
前記“副”に付随するID又はパスワードは前記意思表示の認否に用いられ、
前記“正”の意思表示を前記“副”が追認した時に限り、決済が許可される事
を特徴とした複数の携帯端末。
【請求項1】
通信路を隔てて対向する携帯端末と乱数発生源([X])を含む通信体とから構成される1:1認証子は、
前記乱数発生源[X]で発生した第1の乱数[X1]により
前記乱数発生源[X]で発生した第2の乱数[X2]を暗号化した
第1の暗号文([Xl]+[X2])を介在して、
前記携帯端末を第1の乱数[X1]を持つ状態から第2の乱数[X2]を持つ状態に変化させると共に前記第1の乱数[X1]を破棄し、
同じく、
前記乱数発生源[X]で発生した第2の乱数[X2]により
前記乱数発生源[X]で発生した第3の乱数[X3]を暗号化した
第2の暗号文([X2]+[X3])を介在して、
前記携帯端末を第2の乱数[X2]を持つ状態から第3の乱数[X3]を持つ状態に変化させると共に前記第2の乱数[X2]を破棄し、
順次、第nの暗号文([Xn]+[Xn+1])を介在して、
前記携帯端末を第nの乱数[Xn]を持つ状態から第n+1の乱数[Xn+1]を持つ状態に変化させると共に前記第nの乱数[Xn]を破棄する一方、
既に使い捨てられた前記第1の乱数[X1]を再生する能力(“思い出す能力”)を持つデータが前記携帯端末の前記第n+1の乱数[Xn+1]である事
を特徴とした携帯端末。
【請求項2】
任意分野の決済に係る携帯端末が少なくも“正”と“副”の2個用意され、
前記“正”に付随するID又はパスワードは前記決済の意思表示に用いられ、
前記“副”に付随するID又はパスワードは前記意思表示の認否に用いられ、
前記“正”の意思表示を前記“副”が追認した時に限り、決済が許可される事
を特徴とした複数の携帯端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−4079(P2011−4079A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−144545(P2009−144545)
【出願日】平成21年6月17日(2009.6.17)
【出願人】(591223231)メテオ―ラ・システム株式会社 (3)
【出願人】(500463543)
【Fターム(参考)】
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願日】平成21年6月17日(2009.6.17)
【出願人】(591223231)メテオ―ラ・システム株式会社 (3)
【出願人】(500463543)
【Fターム(参考)】
[ Back to top ]