認証のためにメッセージを処理する方法
【課題】安全性の証明をも提供しながら、長短両方のメッセージがHMACより効率的にメッセージ認証されることを可能にする。
【解決手段】メッセージ認証コード(MAC)を生成するメッセージ認証システムは、メッセージが鍵つき圧縮関数の1入力ブロック内に収まるときにその圧縮関数の1回のみの実行を使用する。1ブロックより大きいメッセージに対しては、このMACシステムは、ネスト化ハッシュ関数を使用する。本発明のもう1つの特徴によれば、MACシステムは、ネスト化ハッシュ関数への入力として、メッセージの一部を使用する。例えば、メッセージ認証システムは、メッセージを第1部分と第2部分に分割することができる。ハッシュ関数がメッセージの第1部分を入力として実行されて中間結果を得、鍵つきハッシュ関数がメッセージの第2部分および中間結果を入力として使用して実行される。
【解決手段】メッセージ認証コード(MAC)を生成するメッセージ認証システムは、メッセージが鍵つき圧縮関数の1入力ブロック内に収まるときにその圧縮関数の1回のみの実行を使用する。1ブロックより大きいメッセージに対しては、このMACシステムは、ネスト化ハッシュ関数を使用する。本発明のもう1つの特徴によれば、MACシステムは、ネスト化ハッシュ関数への入力として、メッセージの一部を使用する。例えば、メッセージ認証システムは、メッセージを第1部分と第2部分に分割することができる。ハッシュ関数がメッセージの第1部分を入力として実行されて中間結果を得、鍵つきハッシュ関数がメッセージの第2部分および中間結果を入力として使用して実行される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信に関し、特に、メッセージの認証に関する。
【背景技術】
【0002】
図1は、地理的領域14および16のそれぞれの内部に位置するワイヤレス(無線)装置(例えば、ワイヤレス装置12a〜c)にワイヤレス通信サービスを提供する第1および第2のワイヤレス通信システムの概略図である。移動通信交換局(MSC)(例えば、MSC20および24)は、とりわけ、ワイヤレス装置間の呼、ワイヤレス装置とワイヤライン(有線)装置(例えば、ワイヤライン装置25)との間の呼、あるいは、ワイヤレス装置とインターネットのようなパケットデータネットワーク(PDN:packet data network)との間のコネクションを確立し維持する責任を負う。このため、MSCは、その地理的領域内のワイヤレス装置を公衆交換電話網(PSTN)28あるいはパケットデータネットワーク(PDN)29と相互接続する。MSCによってサービスされる地理的エリアは、「セル」と呼ばれる空間的に相異なるエリアに分割される。図1に示されているように、各セルは、模式的には、蜂の巣パターンの1つの六角形によって表される。しかし、実際には、各セルは、そのセルの周囲の地形に依存する不規則な形状を有する。
【0003】
一般に、各セルは基地局(例えば、基地局22a〜eおよび26a〜e)を有する。基地局は、そのセル内のワイヤレス装置と通信するために使用する無線機およびアンテナを有する。基地局はまた、その地理的エリア内のMSCと通信するために使用する伝送装置も有する。例えば、MSC20は、地理的エリア14内の基地局22a〜eに接続され、MSC24は、地理的エリア16内の基地局26a〜eに接続される。1つの地理的領域内で、MSCは、ワイヤレス装置がセル間を移動していくのとともにリアルタイムで基地局間で呼を交換する。これを呼ハンドオフという。具体的実現化に依存して、基地局コントローラ(BSC)は、いくつかの基地局に接続された別個の基地局コントローラ(BSC)(図示せず)であることも可能であり、あるいは、各基地局に配置され、基地局のワイヤレス資源を管理し情報をMSCに中継することも可能である。
【0004】
MSC20および24は、シグナリングネットワーク(信号網)32を使用する。シグナリングネットワーク32は、例えば、TIA/EIA−41−Dとして指定された、"Cellular Radiotelecommunications Intersystem Operations", December 1997(IS−41)という名称の標準に準拠するシグナリングネットワークである。これは、それぞれの地理的エリア14および16内をローミングしているワイヤレス装置に関する情報の交換を可能にする。例えば、ワイヤレス装置12aは、もともと割り当てられたMSC20(ホームMSC)の地理的エリア14を離れるとき、ローミングしている。ローミングワイヤレス装置が呼を受け取ることができることを保証するため、ローミングワイヤレス装置12aは、現在位置のMSC24(在圏MSC)にその存在を通知することによって、在圏MSC24に登録する。ローミングワイヤレス装置12aが在圏MSC24によって識別されると、在圏MSC24は、シグナリングネットワーク32を通じて、ホームMSC20に登録要求を送り、ホームMSC20は、在圏MSC24の識別によってデータベース34(ホームロケーションレジスタ(HLR)という)を更新することにより、ローミングワイヤレス装置12aの位置をホームMSC20に提供する。ローミングワイヤレス装置が認証された後、ホームMSC20は、在圏MSC24に顧客プロファイルを提供する。在圏MSC24は、顧客プロファイルを受け取った後、ホームMSC20と同じ機能を提供するために、データベース36(在圏ロケーションレジスタ(VLR)という)を更新する。HLR、VLRおよび認証局(AC:authentication center)は、MSCとコロケートされることも可能であり、リモートアクセスされることも可能である。
【0005】
UMTS(Universal Mobile Telecommunications System)および3G IS−41では、ワイヤレス装置は、呼を発信し、または、受信するとき、認証されなければ、呼設定に進むことができない。認証された後、ある秘密鍵を用いて生成された128ビットの完全性鍵(IK:integrity key)が有効化され、ワイヤレス装置とシステムの間で送信されるメッセージの完全性(integrity)のチェックすなわちメッセージ認証に使用されることが可能となる。
【0006】
よいメッセージ認証方式の設計は、暗号技術の重要な分野の1つである。メッセージ認証方式の目標は、受信側が受信するメッセージに改竄があったかどうかを受信側が判断することができるように、送信側が受信側へメッセージを効率的に送信することである。図2に、ワイヤレス通信システムにおいてワイヤレス装置でどのようにメッセージ認証が実行されるかを示す。この環境には、ワイヤレス装置およびワイヤレス通信システムという二当事者が関与し、これらは秘密鍵kに関して合意している。使用されるアルゴリズムとして、署名アルゴリズムSkおよび検証アルゴリズムVkの2つがある。ワイヤレス装置がメッセージMをワイヤレス通信システムへ送信したい場合、ワイヤレス装置は、まず、MACジェネレータ50を用いて、タグすなわちメッセージ認証コード(MAC)μ=Sk(M)を計算する。ワイヤレス装置は、メッセージとタグのペア(M,μ)をワイヤレス通信システムへ送信する。ワイヤレス通信システムは、ペア(M,μ)を受信すると、Vk(M,μ)を計算し、MACが正当な場合には1を返し、そうでない場合には0を返す。図2には、ワイヤレス通信システムがメッセージおよびkをMACジェネレータ52に入力し、MACジェネレータ52がタグ’を出力し、ワイヤレス装置から受信されたタグ(μ)とシステムで生成されたタグ’の間の比較54が行われることが示されている。これらが同一である場合、メッセージは正当であるとして受容され、そうでない場合、メッセージは拒否される。秘密鍵kを知らなければ、検証アルゴリズムが正当であるとして受容することになるメッセージおよび対応するMACを、敵が構成することはほとんど不可能である。
【0007】
同じメッセージ認証方式が、ワイヤレス通信システムからワイヤレス装置へのメッセージの送信において実行される。例えば、図3に、ワイヤレス通信システムが、保護されたメッセージをどのようにしてワイヤレス装置へ送信するかを示す。まず、ワイヤレス通信システムは、メッセージおよび秘密鍵kを入力としてMACジェネレータ56でタグを生成する。ワイヤレス通信システムは、メッセージをタグとともにワイヤレス装置へ送信する。ワイヤレス装置は、メッセージおよび秘密鍵kをMACジェネレータ58に入力してタグ’を生成する。ワイヤレス装置は、タグ’と、ワイヤレス通信システムから受信されたタグとの間の比較60を行う。これらのタグが一致した場合、メッセージは正当であるとして受容される。一致しない場合、メッセージは、変更された、あるいは、不正であるとして、拒否される。
【0008】
メッセージ認証コードに対するセキュリティ要件は次のように説明することができる。kは秘密のまま、選択されたメッセージに対するMAC Sk,Vkを問い合わせることができるときに、Vk(M*,μ*)=1であるがメッセージM*はSkへの入力となったことがないような正当なペア(M*,μ*)を敵が思いつくことができる場合、敵がMACを偽造している。
【0009】
実際に広くみられるメッセージ認証への1つの一般的なアプローチは、暗号ハッシュ関数を用いるものである。ハッシュ関数は、一般に、ある長さの入力から、より短い長さの出力に写像する関数として特徴づけることができる。さらに、同じ出力に写像される2つの入力を見つけるのは困難である。暗号ハッシュ関数に基づくこれらのMAC方式が良好であるのは、高速で安全な暗号構成ブロックを使用するからである。一般に、暗号ハッシュ関数F(x)は、任意の長さの入力xを短い出力に写像する、公開され、鍵なし(キーレス、すなわち、鍵がかけられていない)、衝突を起こしにくい(衝突耐性がある、耐衝突性)関数である。衝突を起こしにくいとは、F(x1)=F(x2)であるような2つのメッセージx1およびx2を見つけるのが計算量的に実行不能であることを意味する。MD5、SHA−1、およびRIPE−MDは、広く用いられている暗号ハッシュ関数である。耐衝突性とともに、ハッシュ関数は通常、他の目的で使用するため、および、耐衝突性の可能性を高めるために、他の性質も有するように設計される。
【0010】
MD5やSHA−1のようなほとんどの暗号ハッシュ関数は、入力メッセージがブロックごとに処理されるという反復構成を使用する。図4に示すように、基本構成ブロックは、圧縮関数fと呼ばれ、これは、サイズtおよびbの2つの入力をとり、長さtの、より短い出力に写像するハッシュ関数である。MD5では、サイズtの入力は長さ128ビットであり、サイズbの入力は長さ512ビットである。SHA−1では、サイズtの入力は長さ160ビットであり、サイズbの入力は長さ512ビットである。サイズtの入力は連鎖変数と呼ばれ、サイズbの入力(ペイロードあるいはブロック)は、実際にメッセージxを一度にbビットずつ処理するために使用される。図5に示すように、この場合、ハッシュ関数F(x)は、hiを連鎖変数とし、xiをペイロードとして、以下のステップに従って、メッセージmに対して圧縮関数fを反復して作用させることによって形成される。
1.適当な手続きを用いてメッセージ長を付加し、パディングして、入力をブロックサイズbの倍数にする。入力は、ブロックサイズの断片x=x1,...,xnに分解することができる。
2.h0=IV(一定)
3.For i=1 to n
4.hi=f(hi−1,xi)
5.hnをF(x)として出力する。
例えば、SHA−1ハッシュ関数を使用する場合、SHA−1ハッシュ関数のそれぞれへの呼出しは、160ビットの初期ベクトル(IV:initial vector)を有し、512ビットの入力(ペイロード)をとり、これが160ビットの出力に写像される。IVは、SHA−1ハッシュ関数に対する標準(National Institute of Standards and Technology, NIST FIPS PUB 180, "Secure Hash Standard", U. S. Department of Commerce, May 1993)で規定されたIVとなるように設定される。
【0011】
暗号ハッシュ関数は、設計上、鍵なし(キーレス)である。しかし、メッセージ認証は秘密鍵の使用を必要とするため、ハッシュ関数に鍵をかける方法が必要となる。ハッシュ関数に鍵をかける1つの方法は、固定された既知のIVの代わりに秘密鍵を使用することである。図6に示すように、鍵kで、圧縮関数f(連鎖変数,x1)における連鎖変数を置き換えて、fk(x1)=f(k,x1)をつくる。ただし、x1のブロックサイズはbである。反復されたハッシュ関数F(IV,x)は、固定のIVを秘密鍵kで置き換えてFk(x)=F(k,x)を形成することによって修正される。鍵がかけられた(鍵つき)関数の耐衝突性は、鍵なし関数のものとは異なる、その理由は、敵は、任意の時点に、ユーザに問い合わせることなくFk(x)を評価することはできないからである。この要件は、標準的な衝突要件より弱いため、関数Fk(x)を「弱耐衝突性」であると呼ぶことにする。
【0012】
鍵つき暗号ハッシュ関数の安全性を改善するため、次のように定義されるネスト化MAC関数(NMAC)が開発された。
NMACk(x)=Fk1(Fk2(x))
ただし、暗号ハッシュ関数Fは、まず、IVの代わりに秘密鍵k2で鍵がかけられ、メッセージxが反復的にハッシュされてFk2(x)の出力となる。次に、図7に示すように、この出力Fk2(x)が、Fのパディング方式に従って、あるブロックサイズにパディングされた後、Fk2(x)の結果は秘密鍵k1で鍵がかけられ、外側ハッシュ関数Fでハッシュされる。このように、NMAC鍵kは2つの部分k=(k1,k2)を有する。NMACの安全性を、基礎となる暗号ハッシュ関数の安全性と関連づけることに関する次の定理が、M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication", In Proc. CRYPTO 96, Lecture Notes in Computer Science, Springer-Verlag, 1996、に証明されている。
【0013】
定理1: t回のステップおよびq回の問合せで、鍵つき圧縮関数fがεf安全なMACであり、かつ、鍵つき反復ハッシュFがεF弱耐衝突性であるならば、NMAC関数は(εf+εF)安全なMACである。
【0014】
このNMACの構成は、圧縮関数への少なくとも2回の呼出しを行う。Fk2(x)への内側の呼出しは、鍵なしハッシュ関数F(x)と同じコストを有する。このため、Fk1への外側の呼出しは、鍵なしハッシュ関数によって要求されるものを超える追加の呼出しである。外側の関数呼出しは、基本的に、鍵つき圧縮関数fk1への呼出しである。その理由は、Fk2(x)のサイズ1の出力は、圧縮関数へのサイズbの入力にはめ込むことができるからである。多くのブロックからなる大きいxに対しては、追加の外側圧縮呼出しのコストは重要ではない。しかし、サイズの小さいメッセージxの場合、追加の外側圧縮関数は、鍵なしハッシュ関数に比べたとき、割合でみると、相当高い程度の非効率性を生じる。表1に、SHA−1ハッシュ関数の場合に、小さいxに対する非効率性を示す。基礎となるハッシュ関数によって、および、NMACによって必要とされる圧縮呼出しの回数が、30バイトずつ増大するさまざまな小さいxに対して比較されている。基礎となるハッシュ関数に対するNMACの非効率性も表中に記載されている。
【0015】
【表1】
表1: さまざまなサイズの短いメッセージに対する圧縮呼出し回数の比較
【0016】
表からわかるように、小さいメッセージに対する不利益は大きくなる。特に、1ブロック内に収まるメッセージの場合、不利益は100%である。その理由は、NMACでは2回の圧縮関数呼出しが要求されるのに対して、基礎となる暗号ハッシュ関数により要求されるのは1回の圧縮呼出しであるからである。
【0017】
圧縮関数fにはアクセスすることができず、メッセージで暗号ハッシュ関数Fを呼び出すことだけができるような実装に対する、NMACの実用的変形がHMACである。このような実装の場合、鍵は、連鎖変数とすることはできず、関数Fは、最初の圧縮関数で用いられた固定の既知のIVで呼び出される。HMAC関数は次のように定義される。
【数1】
ただし、鍵kが使用され、バーkは、反復されるハッシュ関数のブロックサイズbに達するようにkをゼロでパディングしたものである。バーkの値はopadとビットごとの排他的論理和がとられ、その結果がメッセージXに連結される、ハッシュ関数Fは、連結されたメッセージ全体で呼び出される。図8に示すように、圧縮関数fの最初の実行(イタレーション)の後、鍵k2がk2=f(バーk(+)ipad)として生成される。(本願の明細書および図面において、記号(+)と、数1に現れた排他的論理和の記号(円内に+)とは、同一の記号を表すものとする。)ハッシュ関数Fが完了した後、結果の値F(バーk(+)ipad,X)が生成される。次に、バーk(+)opad(すなわち、バーkとopadのビットごとの排他的論理和演算)の値からなるメッセージで、ハッシュ関数Fが再び呼び出される。ハッシュ関数Fの第2の呼出し内の最初の実行の後、圧縮関数f(IV,バーk(+)opad)から鍵k1が得られる。ipadおよびopadの値は、M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication", In Proc. CRYPTO 96, Lecture Notes in Computer Science, Springer-Verlag, 1996、に記載されているような固定された定数である。ハッシュ関数への第2の呼出し内の第2の実行は、圧縮関数f(k1,F(バーk(+)ipad,X))を用いて、HMAC関数F(バーk(+)opad,F(バーk(+)ipad,X))を生成する。
【0018】
k1=f(バーk(+)opad)およびk2=f(バーk(+)ipad)と定義することにより、HMACk(x)はNMAC(k1,k2)(x)となる。HMACは、メッセージ認証のためのインターネット標準である。示されるように、HMACの安全性の証明は、NMACに関係しており、基礎となる暗号ハッシュが(弱)耐衝突性であること、および、基礎となる圧縮関数が、両方とも適切に鍵がかけられた場合には安全なMACであること、を仮定する。HMACは、長いメッセージに対しては効率的であるが、短いメッセージに対しては、ネスト化された構成のために相当な非効率性が生じる。圧縮関数へのアクセスが許可されない場合に1ブロックより短いメッセージのMACを生成するため、HMACは、圧縮関数への4回の呼出しを必要とする。圧縮関数へのアクセスが許可されている場合、k1およびk2を事前に計算し、圧縮関数の連鎖変数に挿入することができるため、圧縮関数への呼出しは2回でよい。この非効率性は、シグナリングメッセージのメッセージ認証のようないくつかのアプリケーションでは特に大きくなることがある。その場合、個々のメッセージはすべて1個または2個のブロック内に収まるからである。TCP/IPトラフィックの場合にも、多数のパケット(例えば、確認応答(acknowledgment))が、ほとんどの暗号ハッシュの1ブロック内に収まる40バイト程度のサイズを有することがよく知られている。
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、安全性の証明をも提供しながら、長短両方のメッセージがHMACより効率的にメッセージ認証されることを可能にする改良を提案する。
【課題を解決するための手段】
【0020】
本発明の1つの特徴によれば、メッセージ認証コード(MAC)を生成するメッセージ認証システムは、メッセージが鍵つき圧縮関数の1入力ブロック内に収まるときにその圧縮関数の1回のみの実行を使用することにより、効率を改善する。1ブロックより大きいメッセージに対しては、このMACシステムは、ネスト化ハッシュ関数を使用する。本発明のもう1つの特徴によれば、MACシステムおよび方法は、ネスト化ハッシュ関数への入力として、メッセージの一部を使用する。例えば、メッセージ認証システムは、メッセージを第1部分と第2部分に分割することができる。ハッシュ関数がメッセージの第1部分を入力として実行されて中間結果を得、鍵つきハッシュ関数がメッセージの第2部分および中間結果を入力として使用して実行される。こうして、内側ハッシュ関数によって処理されることを必要とするメッセージの部分を少なくすることにより、小さいメッセージの場合には特に、効率が改善される。
【図面の簡単な説明】
【0021】
【図1】本発明の原理によるMAC生成システムを使用可能なワイヤレス通信システムの概略図である。
【図2】ワイヤレス装置からワイヤレス通信システムへ送信されるメッセージを認証するためにMACがどのように使用されるかを示す概略図である。
【図3】ワイヤレス通信システムからワイヤレス装置へ送信されるメッセージを認証するためにMACがどのように使用されるかを示す概略図である。
【図4】圧縮関数fのブロック図である。
【図5】与えられた圧縮関数fに対するハッシュ関数Fの反復構成を示すブロック図である。
【図6】鍵つきハッシュ関数を示すブロック図である。
【図7】ネスト化ハッシュ関数(NMAC)を示すブロック図である。
【図8】HMACとして知られるNMACの変形を示すブロック図である。
【図9】本発明の原理によるメッセージ認証システムにおける単一ブロックの場合のブロック図である。
【図10】本発明の原理によるメッセージ認証システムにおける多重ブロックの場合のブロック図である。
【図11】本発明の原理によるメッセージ認証システムのENMAC実施例のブロック図である。
【図12】本発明の原理によるメッセージ認証システムのENMAC実施例の流れ図である。
【図13】本発明の原理によるメッセージ認証システムのEHMAC実施例のブロック図である。
【図14】本発明の原理によるメッセージ認証システムのSMAC実施例のブロック図である。
【図15】本発明の原理によるメッセージ認証システムのSMAC実施例の流れ図である。
【発明を実施するための形態】
【0022】
任意長のメッセージを処理するための、改善された効率を提供する、本発明の原理によるMAC生成システムおよび方法の実施例について以下で説明する。以下の説明では、ハッシュ関数という用語は、圧縮関数fおよび反復ハッシュ関数Fを包含する。ハッシュ関数は、鍵なしであることも鍵つきであることも可能であり、Fkは鍵つき反復ハッシュ関数を表し、fkは鍵つき圧縮関数を表す。想起すべき点であるが、fk(x)は、鍵つき圧縮関数であり、その入力ブロックサイズはbビットであり、出力サイズはtビットであり、連鎖変数のサイズ、したがって鍵サイズもまたtビットである。本発明の1つの特徴によれば、メッセージのサイズに依存して、MACジェネレータは、異なるハッシュ関数構成を用いてMACを生成する。例えば、MACジェネレータは、メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数fの1入力ブロックに収まる場合には、ハッシュ関数として鍵つき圧縮関数の1回のみの実行を行うことが可能である。入力ブロック内に収まらないメッセージの場合、MACジェネレータは、ネスト化ハッシュ関数を使用する。図9に示すように、メッセージxは、必要なパディング、メッセージ長フィールド、ブロックインジケータフィールドあるいはメッセージxに付加されるその他のフィールドとともに、圧縮関数fに入力される。メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数の入力ブロック内に収まる場合、メッセージxおよび鍵kを用いて鍵つき圧縮関数f(90)が1回のみ実行され、メッセージxに対するMAC fk(x)が生成される。
【0023】
これに対して、図10に示すように、メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数fの1入力ブロック内に収まらない場合、メッセージブロックxは、部分1および部分2のように、複数の部分に分割される。メッセージブロックの部分部分は、メッセージxを構成するビットの重なり合うセットであることも重なり合わないセットであることも可能である。本発明のもう1つの特徴によれば、第1部分は内側ハッシュ関数Fで使用され、第2部分は外側ハッシュ関数(これは、圧縮関数fCV1として示されている)で使用される。例えば、部分2は、内側ハッシュ関数Fに提供され、そこで、圧縮関数100a〜100n(必要であれば)の呼出し(実行)が、部分2のブロックである部分21〜部分2nについて(付加されたパディングあるいはフィールドがあればそれも含む)行われる(ここで、n≧1である)。圧縮関数fの最初の実行(呼出し)100aは、連鎖変数CV2を使用する。連鎖変数CV2は、実施例に依存して、鍵であることも、鍵から導出された鍵であることも、ハッシュ関数Fの標準の初期値であることも可能である。内側ハッシュ関数FCV2(部分2)の結果は、メッセージxの部分1および連鎖変数CV1とともに、外側ハッシュ(圧縮)関数f(102)に提供される。連鎖変数CV1は、実施例に依存して、鍵であることも、鍵から導出された鍵であることも、ハッシュ関数Fの標準の初期値IVであることも可能である。その結果の値fCV1(部分1,FCV2(部分2))は、メッセージ認証で用いられるMACを生成するために使用されることが可能となる。
【0024】
上記の一般的記述を用いて、従来技術のMAC生成方式よりも改善された性能を提供することができる。例えば、短いメッセージに対してNMACよりも改善された効率を可能にするとともに、より長いメッセージに対しても多少の改善を可能にするため、以下のMAC生成法が提供される。想起すべき点であるが、fk(x)は、その入力ブロックサイズがbビットであり、出力サイズがtビットであり、連鎖変数のサイズ、したがって鍵サイズもまたtビットであるような圧縮関数である。図11aおよび図11bに示すように、本発明の原理によるMACの生成の具体的実施例は次の通りである。
【数2】
ただし、第1の場合、ブロック内の最初のb−2ビットが、メッセージxを入れるために使用される。メッセージxが最初のb−2ビットに満たない場合、パディングが必要であり、ブロックの残りは、最終ビットが義務的に1とされることを除いては、その後には0が続く(ないこともある)。メッセージの長さがb−2ビットである場合、b−1番目のビットが1にセットされる。この実施例では、ブロックの最終ビットが、ENMACで単一圧縮呼出しが使用されているかどうかを示す。ブロックの最終ビットは、単一圧縮呼出しの場合には1にセットされ、圧縮関数fの多重呼出し(実行)が必要とされるときには0にセットされる。1ブロックに収まらないという第2の場合、ストリングxは、次のような2つの部分(セグメント)xprefおよびxsuffに分解される。
xpref=x1...xb−t−1
xsuff=xb−t...x|x|
まず、xsuffが鍵値k2を用いてハッシュされ、Fk2(xsuff)のtビットの結果が生成される。次に、外側圧縮呼出しが鍵値k1を用いて実行される。ここで、最初のb−t−1ビットにxprefがセットされ、次のtビットに結果Fk2(xsuff)がセットされ、最終ビットに0がセットされる。
【0025】
上記のENMAC生成法は、具体的に図12を参照して以下で説明するように、基礎となる暗号ハッシュ関数としてSHA−1ハッシュ関数を使用することができる。ブロック110に示されているように、ENMAC生成法を実現する処理回路は、xの長さ|x|が510ビット以下であるかどうかを判断する。xの長さ|x|が510ビット以下である場合、処理回路はステップ112に進み、xを最初の510ビットにロードすることによって、fk1()の512ビットのペイロードを形成する。次に、ブロック114で、「1」をxに付加し、ステップ116で、必要な個数の0(ないこともある)を用いて511ビットを満たす。|x|が510ビットより小さい場合、1の後にゼロがパディングされるが、|x|が510ビットである場合、ゼロはパディングされず、ブロック114では、1個の1が511番目のビット位置に付加されるだけである。ブロック118で、メッセージが単一ブロックに収まることを示すために、最後の512番目のビット(ブロックインジケータビット)が1にセットされる。ブロック120で、鍵k1を160ビットの連鎖変数とし、メッセージx、パディングビットおよびブロックインジケータビットを512ビットのペイロード(入力ブロック)として、鍵つき圧縮関数fk1(x,pad,1)が実行される。その後、ブロック122で、結果fk1(x,pad,1)が出力され、MACを生成するために使用される。
【0026】
ブロック110で、メッセージxが510ビットより長い場合、処理回路はブロック124に進み、メッセージは2つの部分xprefおよびxsuffに分割される。ただし、xpref=x1...x351およびxsuff=x352...x|x|である。次に、ブロック126で、処理回路は、鍵k2と、メッセージ部分xsuffとを、追加のパディングビットやビットフィールドがあればそれとともにペイロードとして、鍵つきハッシュ関数Fk2を実行し、Fk2(xsuff)の160ビットの結果を得る。ブロック128で、外側圧縮関数fk1のペイロードの最初の351ビットにxprefをセットし、ブロック130で、ペイロードの次の160ビットに、ブロック126で計算したFk2(xsuff)の結果をセットする。ブロック132で、ペイロードの最後の512番目のビットを0にセットする。最後に、ブロック134で、外側鍵つき圧縮関数fk1が、ブロック128〜132で形成された512ビットのペイロードに適用され、ブロック136で、その結果fk1(xpref,Fk2(xsuff),0)が、MACを生成するために出力される。
【0027】
次の表2は、30バイトずつ増大するさまざまなサイズの短いメッセージに対して、基礎となるハッシュ関数SHA−1によって、および、ENMACによって必要とされる圧縮呼出しの個数を比較している。表2と、ふつうのNMACの比較をした前の表1との間には重要な相違点が存在する。短いサイズの多くのものについて、NMACは、基礎となるハッシュ関数と同じ効率を有する。長いメッセージの場合、NMAC、ENMACおよび基礎となるハッシュ関数の効率は互いに相当異なる。サイズが480ビットのメッセージの場合、表2の記載事項が意外にも示しているように、ENMACは基礎となるハッシュ関数より効率がよい。この例外的なことが起こる理由は、基礎となるSHA−1関数がサイズ情報のために64ビットを確保するのに対して、ENMACは、510ビットより短いメッセージについては2ビットしか確保しないためである。このため、ENMACを使用する結果の節約は、1ないし数ブロックに収まるメッセージについてはかなり大きい。
【0028】
【表2】
表2: さまざまなサイズの短いメッセージに対する圧縮呼出し回数の比較
【0029】
1ブロックに収まるメッセージのMACを生成するために異なる鍵k3を使用し、より長いメッセージのMACを生成するためにNMACを用いて鍵k=(k1,k2)を使用すると仮定すると、システムが安全であることを示すことができる。本質的には、これが実際に行われていることであるが、異なる鍵を用いて異なるMACを生成する代わりに、メッセージが1ブロックに収まる場合にはトレーリングビットが1にセットされ、その他の場合には0にセットされている。第2に、NMACは、外側圧縮呼出しのペイロードをゼロでパディングするのに対して、ENMACは、メッセージの一部を外側呼出しに入れる。
【0030】
ENMAC安全性の結果は、NMACと同様であり、以下で、教育的目的で主張し証明する。
【0031】
定理2: t回のステップおよびq回の問合せで、鍵つき圧縮関数fがεf安全なMACであり、かつ、鍵つき反復ハッシュFがεF弱耐衝突性であるならば、ENMAC関数は(εf+εF)安全なMACである。
【0032】
証明: 敵AEが、t回のステップと、q回の適応的に選択されたENMAC関数への問合せとを仮定して、確率εEでENMACに対して成功したとする。この敵は、以前に問い合わせていないメッセージに関して、鍵つき圧縮関数に関連するMACを偽装する別の敵Afを形成するために使用される。MACを破るこの確率は、εEと、εF、すなわち、敵が時間tおよびq回の問合せでハッシュ関数Fにおける衝突を見つける最良の確率、に関して限界づけられる。AEを用いて、この特定の方法でMACを破る確率は、任意の方法でMACを破る確率εfより小さくなければならない。これを用いて、εEについての限界を得ることができる。鍵つき圧縮MACを偽造するために用いられるアルゴリズムAfを次に示す。
【0033】
ランダムなk2を選ぶ
For i...q
AE→xi
If xi<b−2
AE←fk1(xi,pad,1)
else
AE←fk1(1,xi,pref,Fk2(xi,suff),0)
AE→(x,y)
If x<b−2
(x,pad,1),y を出力
else
(xpref,Fk2(xsuff),0),y を出力
【0034】
εE=εE1+εE+とおく。ここで、εE1は、ENMACが攻撃され、AEによって偽造されたENMACメッセージがおよそ1ブロックサイズである(正確にいえば、b−2より小さい)確率である。また、E+およびεE+はそれぞれ、ENMACが攻撃され、AEによって偽造されたENMACメッセージが1ブロックサイズより大きい事象および確率であるとする。さらに、εE+=εE+,pref≠+εE+,pref=である。ここで、εE+,pref≠は、ENMACが多重ブロックメッセージで偽造され、メッセージのプレフィクスが、以前にAEによって問合せされたいずれのメッセージのプレフィクスとも等しくない確率である。また、εE+,pref=は、ENMACが多重ブロックメッセージで偽造され、メッセージのプレフィクスが、以前にAEによって問合せされたいずれかのメッセージのプレフィクスに等しい確率である。この場合、偽造メッセージのサフィクスは、同じプレフィクスを有するメッセージのサフィクスとは異ならなければならない。
【0035】
P[fのMACを偽造]=P[fのMACがE1により偽造される]+P[fのMACがE+により偽造される] (1)
=εE1+P[fのMACがE+により偽造される]
=εE1+P[fのMACがE+,pref≠により偽造される]+P[fのMACがE+,pref=により偽造される] (2)
=εE1+εE+,pref≠+P[fのMACがE+,pref=により偽造される]
=εE1+εE+,pref≠+P[E+,pref=∩同じプレフィクスの集合内にサフィクス衝突がない] (3)
=εE1+εE+,pref≠+1−P[バーE+,pref=∪同じプレフィクスの集合内にサフィクス衝突がある] (4)
=εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合内に衝突がある]+P[バーE+,pref=∩集合内に衝突がある]
≧εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合内に衝突がある] (5)
≧εE1+εE+,pref≠+1−1+εE+,pref=−P[q個の問合せ内に衝突がある] (6)
≧εE1+εE+,pref≠+1−1+εE+,pref=−εF
≧εE1+εE+−εF
≧εE−εF (7)
εf≧P[ENMACを偽造することによりfのMACを偽造]≧εE−εF (8)
εf≧εE−εF
ゆえに、εE≦εf+εF (9)
【0036】
式1は、fの新しいMACを偽造する確率を、単一ブロックまたは多重ブロックのいずれかの、ENMACのMACを偽造することによりfの新しいMACを偽造する確率に分解する。多重ブロックENMACを破ることによりfを破る確率は、式2において、どのプレフィクスもすべての問合せされたメッセージの他のいずれかのプレフィクスに等しくない場合と、問合せされたメッセージのうちに等しいプレフィクスがある場合とに分解される。式3では、fのMACがE+,pref=により偽造される確率が、E+,pref=が起こり、かつ、同じプレフィクスを有するメッセージのうちにサフィクスのハッシュの衝突が起こらない確率と等値される。式4は、ドモルガンの法則を用いた式3の書き換えである。式6では、同じプレフィクスを有する集合中での衝突の確率が、q個のすべての問合せでの衝突の確率で置き換えられる。式9は、ENMACを偽造する確率εEが、MACを偽造する確率εfと、衝突を見つける確率εFの和より小さいという、われわれの求める結果である。
【0037】
実際には、データはバイト単位で処理されることが多いため、メッセージxの長さが、上で指定したb−2ビットではなくb−8ビットより小さいときに、単一ブロックの場合を実行するほうが適当かもしれない。多重ブロックENMACの場合、非ワード境界から開始してxsuffを形成すると、xsuffにおける全ワードの再配置(アラインメントのしなおし)を引き起こすことがある。これは、次のように、実用的な目的のために、ビットではなくバイトサイズを用いたENMACの変形を用いることにより回避することができる。
【数3】
ここで、基礎となる暗号ハッシュ関数fとしてSHA−1を用いた場合、
xpref=x1...x|x|−344
xsuff=x|x|−343...x|x|
である。63バイト(504ビット)までの長さのメッセージについては、メッセージを504ビットにパディングするための1つの1とそれに続く0の追加的なパディングに加えて、最終バイトが、ブロックインジケータのために、すなわち「X0000001」として予約される。ここで、1は単一ブロックメッセージを示し、Xは、504ビットのパディングなしメッセージにつづく「1」であることが可能である。504ビットより短いパディングなしメッセージの場合、Xは「0」である。504ビットより長いメッセージの場合、メッセージは部分xprefおよびxsuffに分割される。ここで、xsuffの長さは43バイト(344ビット)であり、xprefの長さ=メッセージの長さ−344ビット、である。
【0038】
上記の実施例に加えて、本発明の原理によるメッセージ認証システムは、入力パラメータや圧縮(ハッシュ)関数あるいはその他の演算、鍵値の省略あるいは追加を行うことや、上記のシステムの変形あるいは一部を使用することも可能である。例えば、図13aおよび図13bは、次のような改良されたHMACとして使用されるメッセージ認証システムの実施例を示す。
【数4】
第1の図13aの場合、メッセージxは単一ブロックに収まる。これは、メッセージxが、b−1−他フィールド、より小さくなければならないことを意味する。ここで、他フィールドには、ハッシュ関数Fのパディングあるいは長さ付加方式によるいくつかのビットが含まれる。xが十分小さいと仮定すると、最初の部分がk(+)opadで、それにxが続き、さらにそれに1にセットされた1ビットが続くという、より長い入力が形成される。このより長いメッセージは、基礎となるハッシュ関数Fに入力される。Fの内部を見ると、まず、鍵k1が、圧縮関数f(k(+)opad)を呼び出すことによって生成される。ここで、kは、適当な長さにパディングされなければならない可能性がある。その結果は、圧縮関数への次の呼出しのための連鎖変数として使用される。そのペイロードは、(x,1)に、ハッシュ関数Fの仕様に従ってパディングあるいは長さ付加したものである。
【0039】
図13bは、メッセージxが、必要な付加フィールドとともに、1ブロックに収まらない場合であり、この場合、ストリングxは、2つの部分(セグメント)xprefおよびxsuffに分解される。ここで、
xpref=x1...xb−t−1−other
xsuff=xの残りの部分
である。まず、内側ハッシュ関数130で、鍵kとipadの間のビットごとの排他的論理和を実行してk2を生成する。このk2は、入力ブロックxsuff1とともに連鎖変数として使用される。ブロックxsuffnが最後の圧縮関数に入力されるまで、圧縮関数fが、パディング、付加長フィールドあるいはその他のフィールドとともに呼び出され、F(k(+)ipad,xsuff)のハッシュ関数の結果が生成される。ここで、kは、適当な長さにパディングされなければならないこともある。外側ハッシュ関数132では、値IVを連鎖変数とし、k(+)opadを入力として圧縮関数134を呼び出すことによって、鍵k1が決定される。値k1は、xprefの後にF(k(+)ipad,xsuff)を付加しその後にゼロを付加したものを入力とする圧縮関数136のための連鎖変数として使用される。その結果のF(k(+)opad,xpref,F(k(+)ipad,xsuff),0)は、MACを提供するために使用することができる。
【0040】
図14aおよび図14bは、バイト単位での具体的実装例に関して以下で説明するようなSMACシステムとして使用される、メッセージ認証システムのもう1つの実施例を示す。
【数5】
xpref: バイトx1...x|x|−43
xsuff: バイトx|x|−42...x|x|
【0041】
他の実施例と同様、SMACは2つの場合からなる。すなわち、図14aの単一ブロック(≦63バイト)の場合、および、図14bの多重ブロック(>63バイト)の場合である。いずれの場合でも、SHA関数のような鍵つき圧縮関数fへの呼出しが行われる。単一ブロックの場合、他の関数呼び出しは不要である。しかし、多重ブロックの場合、標準のSHA1_HASHのような鍵なしハッシュ関数F(140)が、メッセージの最初の部分xprefに適用される。次に、そのハッシュ結果と、メッセージの残りの部分が入力すなわちペイロードブロックに入れられ、鍵つき圧縮関数f(142)への呼出しが行われる。SHA−1圧縮関数fの引数の詳細を下記の表3および表4に示す。
【0042】
示されているように、sha1圧縮関数の512番目のビットは、「単一ブロックインジケータビット」として使用され、単一ブロックの場合には1にセットされ、多重ブロックの場合には0にセットされる。この実施例ではメッセージはバイトの倍数で処理されるため、最終バイト内の残りのビットはいずれも、メッセージを処理するために使用することはできない。したがって、圧縮関数の最終(64番目の)バイト全体が予約される。多重ブロックの場合、表4に示すように、ビット505〜511もまたゼロにセットされる。単一ブロックの場合、ビット506〜511はゼロにセットされるが、505番目のビットは追加のパディングビットとして使用される。その機能は、単一ブロックの場合に使用されるパディング方式について説明した後には明らかになるであろう。
【0043】
1ブロックを部分的に満たすメッセージはパディング方法を必要とする。多重ブロックの場合は、圧縮関数を満たすためにパディング方法を必要としない。その理由は、ブロックは表4に示すように完全に満たされるからである。しかし、SHA1_HASH関数は、xprefをハッシュするときに、その固有のパディングを使用する。単一ブロックの場合にメッセージをパディングするため、1個の1をメッセージに付加した後、ブロック内の残りのビット数が満たされるまで(より正確には、505番目のビットが満たされるまで)の個数のゼロ(ないこともある)を付加する。例として、単一ブロックメッセージの長さが63バイトすなわち504ビットである特殊な場合には、1個の1が505番目のビットに付加される。残りのビット506〜512は前述のように満たされる。
【0044】
多重ブロックの場合、ハッシュ関数F(140)は、ブロックxpref1〜xprefnにおいては、メッセージの最後の43バイト以外のすべてのバイトに適用され、20バイトのダイジェストを出力する。最後の43バイトは、圧縮関数f(142)によって処理されるようにするため、ハッシュ関数Fでは処理されない。43バイトである理由は、表4に示すように、利用可能な64バイトのうち、最初の20バイトはダイジェストとして使用され、最終バイトは、SHA−1ハッシュ関数およびSHA−1圧縮関数のために特別に予約されるからである。
【0045】
【表3】
表3: 単一ブロックの場合: sha1圧縮関数の引数
【0046】
【表4】
表4: 多重ブロックの場合: sha1圧縮関数の引数
【0047】
図15に、SMAC関数の流れ図を示す。最初に、ステップ148で、鍵がIVとXORされ、sha1圧縮関数の連鎖変数にロードされる。ブロック150で、処理回路は、|x|>63バイトであるかどうかを判断する。|x|>63バイトでない場合、処理回路は単一ブロックの場合に進み、ブロック152で、メッセージxが圧縮関数fの512ビットブロックの左側にロードされる。ブロック154で、処理回路は、次のビットに「1」を付加する。ブロック156で、最後の512番目のビットまで、ブロックの残りの部分がゼロで満たされる。ブロック158で、最後の512番目のビットは1にセットされる。ブロック160で、連鎖変数(K XOR IV)と、ブロック152〜158からのペイロードとを用いて圧縮関数fが呼び出される。ブロック162で、20バイトのMACが返される。
【0048】
ブロック150で、|x|>63バイトである場合、処理回路は多重ブロックの場合に進む。ブロック164で、メッセージxは2つの断片、すなわち、xpref:バイトx1...x|x|−43と、xsuff:バイトx|x|−42...x|x|、に分割される。ブロック166で、SHA1_HASH関数がxprefで呼び出され、20バイトの結果が生成される。ブロック168で、この20バイトの結果が、sha1圧縮関数の64バイトブロックの左側にロードされ、xsuffがバイト21〜63に付加される。ブロック170で、最後の64番目のバイトが0にセットされる。最後に、ブロック172で、最初に計算された連鎖変数(K XOR IV)と、ブロック168および170からのペイロードとを用いて、sha1圧縮関数が呼び出される。ブロック162で、20バイトのMACが返される。
【0049】
SMACはHMACよりもNMACに近いため、SMACをHMACではなくNMACと比較することにする。NMACは、ハッシュ関数Fへの内側呼出しと、圧縮関数fへの外側呼出しを有する。SMACは、63バイトより長いメッセージに対しては同じことを行うが、それより短いメッセージに対してはハッシュ呼出しをスキップする。長いメッセージの場合、SMACは、メッセージの一部を外側圧縮呼出しで処理するため、内側ハッシュ関数呼び出しにより処理されるテキストが少なくなる。NMACはこれを行わないが、代わりに、外側圧縮呼出しのペイロードの残りをゼロで満たす。NMACでは、内側ハッシュ関数は鍵つきであるのに対して、SMACは、内側呼出しに鍵をかけない。SMACの内側呼出しに鍵をかけることも可能であるが、効率性の目的のために、本実施例ではそのようにしなかった。その安全性は基本的に影響を受けない。その理由は、鍵なしSHA1_HASH関数であっても衝突を見つけるのは実行不可能であると考えられているからである。
【0050】
以下は、SMACを実装するために使用可能なコードである。
【0051】
内側格納データへの出力:
MAC 32 bits
/* smacは次の関数を呼び出す */
sha1_comp(unsigned char cv[20], unsigned char temp[64], unsigned char adigest[20])
{ /* sha1_compはsha1圧縮関数であり、cvは160ビットの連鎖変数であり、tempは512ビットのペイロードであり、結果は160ビットのadigestに出力される */
...
}
SHA1_HASH(unsigned char *M, int textlen, unsigned char adigest[20])
{ /* SHA1_HASHはハッシュ関数であり、Mはメッセージであり、textlenはメッセージ内のバイト数であり、結果は160ビットのadigestに出力される */
...
}
smac(int keylen, unsigned char *K, int textlen, unsigned char *M, unsigned char mac[20])
{ int i, j;
unsigned char cv[20], temp[64];
/* 20バイトの連鎖変数cvをfips180で定義されるようにセット */
cv[0]=0x67; cv[1]=0x45; cv[2]=0x23; cv[3]=0x01; cv[4]=0xef;
cv[5]=0xcd; cv[6]=0xab; cv[7]=0x89; cv[8]=0x98; cv[9]=0xba;
cv[10]=0xdc; cv[11]=0xfe; cv[12]=0x10; cv[13]=0x32; cv[14]=0x54;
cv[15]=0x76; cv[16]=0xc3; cv[17]=0xd2; cv[18]=0xe1; cv[19]=0xf0;
/* 鍵を連鎖変数とXORする */
for(i=0; i<keylen; i++)
cv[i] = cv[i] ^ K[i];
/* temp圧縮ブロックをオールゼロにセット */
for(i=0; i<64; i++) temp[i] = 0;
if ( textlen <= 63 ) {
/* メッセージを最も左側にロード */
for(i=0; i<textlen; i++)
temp[i] = M[i];
temp[i] = 0x80; /* '1'を付加。残りのビットは事前に0にセットされる */
temp[63] = temp[63] | 0x01; /* 512番目のビットを'1'にセット */
sha1_comp(cv, temp, mac);
}
else { /* textlen > 63 */
/* Mのプレフィクスに対するSHA1_HASH */
SHA1_HASH(M, textlen-43, mac);
for(i=0; i<20; i++)
temp[i] = mac[i]; /* ダイジェストを最も左側にコピー */
for(i=20; i<63; i++)
temp[i] = M[textlen-43+(i-20)]; /* 次にMのサフィクスをコピー */
temp[63] = 0x00; /* 最終バイトをゼロにセット */
sha1_comp(cv, temp, mac);
}
}
【0052】
以上、MACシステムについて、SHA−1のような特定のハッシュ(圧縮)関数とともに使用されるものとして説明したが、他のハッシュ関数や関連する暗号関数、また、別のあるいは追加の関数を使用することも可能である。さらに、メッセージ、ペイロード、連鎖変数および鍵値について、特定のビットあるいはバイトが記載されているが、実施例に依存して、これらの数は変更可能である。さらに、鍵値は、鍵またはその一部から導出された鍵であることも可能である。理解されるべき点であるが、さまざまな値、入力およびアーキテクチャブロックについて、異なる記法、用語および特徴づけを使用することも可能である。例えば、圧縮関数fという用語が使用され、ハッシュ関数Fという用語が使用され、反復ハッシュ関数Fは、圧縮関数fの反復(連鎖)を用いて構成されている。理解されるべき点であるが、圧縮関数はハッシュ関数でもある。
【0053】
代替実施例では、メッセージ認証システムについて記載された関数は、ホーム認証センタ、ホームロケーションレジスタ(HLR)、ホームMSC、在圏認証センタ、在圏ロケーションレジスタ(VLR)あるいは在圏MSCにある処理回路で実行されることが可能である。さらに、メッセージ認証センタおよびその各部分は、ワイヤレス装置、基地局、基地局コントローラ、MSC、VLR、HLRあるいはその他のワイヤレス通信システムのサブシステムで実行されることが可能である。実施例に依存して、MACは、メッセージとともに送信されることが可能であり、その場合、MACは、受信端で生成されたMACと比較・検証される。MACがメッセージとともに送信される前に、追加機能がMACを変更あるいは変換することが可能であり、その場合、同じ機能が、比較・検証(メッセージ認証)のために、受信端で生成されるMACに対して実行されることが可能である。最後に、MACが送信され、追加機能が、受信されたMACと受信端で生成されたMACを変更あるいは変換してメッセージ認証を実行することも可能である。追加機能の一例は、メッセージ認証を実行する際の比較・検証機能のために、MACの下位32ビットを使用するものである。こうして、MAC、あるいは、変更または変換されたMACは、MACまたはタグと呼ぶことが可能である。
【0054】
さらに、上記では、メッセージ認証システムはワイヤレス通信システムに関連して説明されているが、メッセージ認証システムは、送信側から受信側へ任意のネットワークあるいは通信媒体を通じて送信される通信メッセージを認証(その完全性を検証)するために使用可能である。
【0055】
[発明の効果]
以上述べたごとく、本発明によれば、長短両方のメッセージがHMACより効率的にメッセージ認証されることが可能となる。
【0056】
特許請求の範囲の発明の要件の後に括弧で記載した番号がある場合は、本発明の一実施例の対応関係を示すものであって、本発明の範囲を限定するものと解釈すべきではない。
【符号の説明】
【0057】
12 ワイヤレス装置
14,16 地理的領域(地理的エリア)
20,24 移動通信交換局(MSC)
22,26 基地局
25 ワイヤライン装置
28 公衆交換電話網(PSTN)
29 パケットデータネットワーク(PDN)
32 シグナリングネットワーク(信号網)
34 ホームロケーションレジスタ(HLR)
36 在圏ロケーションレジスタ(VLR)
50,52,56,58 MACジェネレータ
90 鍵つき圧縮関数f
102 外側ハッシュ(圧縮)関数f
130 内側ハッシュ関数
132 外側ハッシュ関数
134,136 圧縮関数
140 鍵なしハッシュ関数F
142 鍵つき圧縮関数f
【技術分野】
【0001】
本発明は、通信に関し、特に、メッセージの認証に関する。
【背景技術】
【0002】
図1は、地理的領域14および16のそれぞれの内部に位置するワイヤレス(無線)装置(例えば、ワイヤレス装置12a〜c)にワイヤレス通信サービスを提供する第1および第2のワイヤレス通信システムの概略図である。移動通信交換局(MSC)(例えば、MSC20および24)は、とりわけ、ワイヤレス装置間の呼、ワイヤレス装置とワイヤライン(有線)装置(例えば、ワイヤライン装置25)との間の呼、あるいは、ワイヤレス装置とインターネットのようなパケットデータネットワーク(PDN:packet data network)との間のコネクションを確立し維持する責任を負う。このため、MSCは、その地理的領域内のワイヤレス装置を公衆交換電話網(PSTN)28あるいはパケットデータネットワーク(PDN)29と相互接続する。MSCによってサービスされる地理的エリアは、「セル」と呼ばれる空間的に相異なるエリアに分割される。図1に示されているように、各セルは、模式的には、蜂の巣パターンの1つの六角形によって表される。しかし、実際には、各セルは、そのセルの周囲の地形に依存する不規則な形状を有する。
【0003】
一般に、各セルは基地局(例えば、基地局22a〜eおよび26a〜e)を有する。基地局は、そのセル内のワイヤレス装置と通信するために使用する無線機およびアンテナを有する。基地局はまた、その地理的エリア内のMSCと通信するために使用する伝送装置も有する。例えば、MSC20は、地理的エリア14内の基地局22a〜eに接続され、MSC24は、地理的エリア16内の基地局26a〜eに接続される。1つの地理的領域内で、MSCは、ワイヤレス装置がセル間を移動していくのとともにリアルタイムで基地局間で呼を交換する。これを呼ハンドオフという。具体的実現化に依存して、基地局コントローラ(BSC)は、いくつかの基地局に接続された別個の基地局コントローラ(BSC)(図示せず)であることも可能であり、あるいは、各基地局に配置され、基地局のワイヤレス資源を管理し情報をMSCに中継することも可能である。
【0004】
MSC20および24は、シグナリングネットワーク(信号網)32を使用する。シグナリングネットワーク32は、例えば、TIA/EIA−41−Dとして指定された、"Cellular Radiotelecommunications Intersystem Operations", December 1997(IS−41)という名称の標準に準拠するシグナリングネットワークである。これは、それぞれの地理的エリア14および16内をローミングしているワイヤレス装置に関する情報の交換を可能にする。例えば、ワイヤレス装置12aは、もともと割り当てられたMSC20(ホームMSC)の地理的エリア14を離れるとき、ローミングしている。ローミングワイヤレス装置が呼を受け取ることができることを保証するため、ローミングワイヤレス装置12aは、現在位置のMSC24(在圏MSC)にその存在を通知することによって、在圏MSC24に登録する。ローミングワイヤレス装置12aが在圏MSC24によって識別されると、在圏MSC24は、シグナリングネットワーク32を通じて、ホームMSC20に登録要求を送り、ホームMSC20は、在圏MSC24の識別によってデータベース34(ホームロケーションレジスタ(HLR)という)を更新することにより、ローミングワイヤレス装置12aの位置をホームMSC20に提供する。ローミングワイヤレス装置が認証された後、ホームMSC20は、在圏MSC24に顧客プロファイルを提供する。在圏MSC24は、顧客プロファイルを受け取った後、ホームMSC20と同じ機能を提供するために、データベース36(在圏ロケーションレジスタ(VLR)という)を更新する。HLR、VLRおよび認証局(AC:authentication center)は、MSCとコロケートされることも可能であり、リモートアクセスされることも可能である。
【0005】
UMTS(Universal Mobile Telecommunications System)および3G IS−41では、ワイヤレス装置は、呼を発信し、または、受信するとき、認証されなければ、呼設定に進むことができない。認証された後、ある秘密鍵を用いて生成された128ビットの完全性鍵(IK:integrity key)が有効化され、ワイヤレス装置とシステムの間で送信されるメッセージの完全性(integrity)のチェックすなわちメッセージ認証に使用されることが可能となる。
【0006】
よいメッセージ認証方式の設計は、暗号技術の重要な分野の1つである。メッセージ認証方式の目標は、受信側が受信するメッセージに改竄があったかどうかを受信側が判断することができるように、送信側が受信側へメッセージを効率的に送信することである。図2に、ワイヤレス通信システムにおいてワイヤレス装置でどのようにメッセージ認証が実行されるかを示す。この環境には、ワイヤレス装置およびワイヤレス通信システムという二当事者が関与し、これらは秘密鍵kに関して合意している。使用されるアルゴリズムとして、署名アルゴリズムSkおよび検証アルゴリズムVkの2つがある。ワイヤレス装置がメッセージMをワイヤレス通信システムへ送信したい場合、ワイヤレス装置は、まず、MACジェネレータ50を用いて、タグすなわちメッセージ認証コード(MAC)μ=Sk(M)を計算する。ワイヤレス装置は、メッセージとタグのペア(M,μ)をワイヤレス通信システムへ送信する。ワイヤレス通信システムは、ペア(M,μ)を受信すると、Vk(M,μ)を計算し、MACが正当な場合には1を返し、そうでない場合には0を返す。図2には、ワイヤレス通信システムがメッセージおよびkをMACジェネレータ52に入力し、MACジェネレータ52がタグ’を出力し、ワイヤレス装置から受信されたタグ(μ)とシステムで生成されたタグ’の間の比較54が行われることが示されている。これらが同一である場合、メッセージは正当であるとして受容され、そうでない場合、メッセージは拒否される。秘密鍵kを知らなければ、検証アルゴリズムが正当であるとして受容することになるメッセージおよび対応するMACを、敵が構成することはほとんど不可能である。
【0007】
同じメッセージ認証方式が、ワイヤレス通信システムからワイヤレス装置へのメッセージの送信において実行される。例えば、図3に、ワイヤレス通信システムが、保護されたメッセージをどのようにしてワイヤレス装置へ送信するかを示す。まず、ワイヤレス通信システムは、メッセージおよび秘密鍵kを入力としてMACジェネレータ56でタグを生成する。ワイヤレス通信システムは、メッセージをタグとともにワイヤレス装置へ送信する。ワイヤレス装置は、メッセージおよび秘密鍵kをMACジェネレータ58に入力してタグ’を生成する。ワイヤレス装置は、タグ’と、ワイヤレス通信システムから受信されたタグとの間の比較60を行う。これらのタグが一致した場合、メッセージは正当であるとして受容される。一致しない場合、メッセージは、変更された、あるいは、不正であるとして、拒否される。
【0008】
メッセージ認証コードに対するセキュリティ要件は次のように説明することができる。kは秘密のまま、選択されたメッセージに対するMAC Sk,Vkを問い合わせることができるときに、Vk(M*,μ*)=1であるがメッセージM*はSkへの入力となったことがないような正当なペア(M*,μ*)を敵が思いつくことができる場合、敵がMACを偽造している。
【0009】
実際に広くみられるメッセージ認証への1つの一般的なアプローチは、暗号ハッシュ関数を用いるものである。ハッシュ関数は、一般に、ある長さの入力から、より短い長さの出力に写像する関数として特徴づけることができる。さらに、同じ出力に写像される2つの入力を見つけるのは困難である。暗号ハッシュ関数に基づくこれらのMAC方式が良好であるのは、高速で安全な暗号構成ブロックを使用するからである。一般に、暗号ハッシュ関数F(x)は、任意の長さの入力xを短い出力に写像する、公開され、鍵なし(キーレス、すなわち、鍵がかけられていない)、衝突を起こしにくい(衝突耐性がある、耐衝突性)関数である。衝突を起こしにくいとは、F(x1)=F(x2)であるような2つのメッセージx1およびx2を見つけるのが計算量的に実行不能であることを意味する。MD5、SHA−1、およびRIPE−MDは、広く用いられている暗号ハッシュ関数である。耐衝突性とともに、ハッシュ関数は通常、他の目的で使用するため、および、耐衝突性の可能性を高めるために、他の性質も有するように設計される。
【0010】
MD5やSHA−1のようなほとんどの暗号ハッシュ関数は、入力メッセージがブロックごとに処理されるという反復構成を使用する。図4に示すように、基本構成ブロックは、圧縮関数fと呼ばれ、これは、サイズtおよびbの2つの入力をとり、長さtの、より短い出力に写像するハッシュ関数である。MD5では、サイズtの入力は長さ128ビットであり、サイズbの入力は長さ512ビットである。SHA−1では、サイズtの入力は長さ160ビットであり、サイズbの入力は長さ512ビットである。サイズtの入力は連鎖変数と呼ばれ、サイズbの入力(ペイロードあるいはブロック)は、実際にメッセージxを一度にbビットずつ処理するために使用される。図5に示すように、この場合、ハッシュ関数F(x)は、hiを連鎖変数とし、xiをペイロードとして、以下のステップに従って、メッセージmに対して圧縮関数fを反復して作用させることによって形成される。
1.適当な手続きを用いてメッセージ長を付加し、パディングして、入力をブロックサイズbの倍数にする。入力は、ブロックサイズの断片x=x1,...,xnに分解することができる。
2.h0=IV(一定)
3.For i=1 to n
4.hi=f(hi−1,xi)
5.hnをF(x)として出力する。
例えば、SHA−1ハッシュ関数を使用する場合、SHA−1ハッシュ関数のそれぞれへの呼出しは、160ビットの初期ベクトル(IV:initial vector)を有し、512ビットの入力(ペイロード)をとり、これが160ビットの出力に写像される。IVは、SHA−1ハッシュ関数に対する標準(National Institute of Standards and Technology, NIST FIPS PUB 180, "Secure Hash Standard", U. S. Department of Commerce, May 1993)で規定されたIVとなるように設定される。
【0011】
暗号ハッシュ関数は、設計上、鍵なし(キーレス)である。しかし、メッセージ認証は秘密鍵の使用を必要とするため、ハッシュ関数に鍵をかける方法が必要となる。ハッシュ関数に鍵をかける1つの方法は、固定された既知のIVの代わりに秘密鍵を使用することである。図6に示すように、鍵kで、圧縮関数f(連鎖変数,x1)における連鎖変数を置き換えて、fk(x1)=f(k,x1)をつくる。ただし、x1のブロックサイズはbである。反復されたハッシュ関数F(IV,x)は、固定のIVを秘密鍵kで置き換えてFk(x)=F(k,x)を形成することによって修正される。鍵がかけられた(鍵つき)関数の耐衝突性は、鍵なし関数のものとは異なる、その理由は、敵は、任意の時点に、ユーザに問い合わせることなくFk(x)を評価することはできないからである。この要件は、標準的な衝突要件より弱いため、関数Fk(x)を「弱耐衝突性」であると呼ぶことにする。
【0012】
鍵つき暗号ハッシュ関数の安全性を改善するため、次のように定義されるネスト化MAC関数(NMAC)が開発された。
NMACk(x)=Fk1(Fk2(x))
ただし、暗号ハッシュ関数Fは、まず、IVの代わりに秘密鍵k2で鍵がかけられ、メッセージxが反復的にハッシュされてFk2(x)の出力となる。次に、図7に示すように、この出力Fk2(x)が、Fのパディング方式に従って、あるブロックサイズにパディングされた後、Fk2(x)の結果は秘密鍵k1で鍵がかけられ、外側ハッシュ関数Fでハッシュされる。このように、NMAC鍵kは2つの部分k=(k1,k2)を有する。NMACの安全性を、基礎となる暗号ハッシュ関数の安全性と関連づけることに関する次の定理が、M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication", In Proc. CRYPTO 96, Lecture Notes in Computer Science, Springer-Verlag, 1996、に証明されている。
【0013】
定理1: t回のステップおよびq回の問合せで、鍵つき圧縮関数fがεf安全なMACであり、かつ、鍵つき反復ハッシュFがεF弱耐衝突性であるならば、NMAC関数は(εf+εF)安全なMACである。
【0014】
このNMACの構成は、圧縮関数への少なくとも2回の呼出しを行う。Fk2(x)への内側の呼出しは、鍵なしハッシュ関数F(x)と同じコストを有する。このため、Fk1への外側の呼出しは、鍵なしハッシュ関数によって要求されるものを超える追加の呼出しである。外側の関数呼出しは、基本的に、鍵つき圧縮関数fk1への呼出しである。その理由は、Fk2(x)のサイズ1の出力は、圧縮関数へのサイズbの入力にはめ込むことができるからである。多くのブロックからなる大きいxに対しては、追加の外側圧縮呼出しのコストは重要ではない。しかし、サイズの小さいメッセージxの場合、追加の外側圧縮関数は、鍵なしハッシュ関数に比べたとき、割合でみると、相当高い程度の非効率性を生じる。表1に、SHA−1ハッシュ関数の場合に、小さいxに対する非効率性を示す。基礎となるハッシュ関数によって、および、NMACによって必要とされる圧縮呼出しの回数が、30バイトずつ増大するさまざまな小さいxに対して比較されている。基礎となるハッシュ関数に対するNMACの非効率性も表中に記載されている。
【0015】
【表1】
表1: さまざまなサイズの短いメッセージに対する圧縮呼出し回数の比較
【0016】
表からわかるように、小さいメッセージに対する不利益は大きくなる。特に、1ブロック内に収まるメッセージの場合、不利益は100%である。その理由は、NMACでは2回の圧縮関数呼出しが要求されるのに対して、基礎となる暗号ハッシュ関数により要求されるのは1回の圧縮呼出しであるからである。
【0017】
圧縮関数fにはアクセスすることができず、メッセージで暗号ハッシュ関数Fを呼び出すことだけができるような実装に対する、NMACの実用的変形がHMACである。このような実装の場合、鍵は、連鎖変数とすることはできず、関数Fは、最初の圧縮関数で用いられた固定の既知のIVで呼び出される。HMAC関数は次のように定義される。
【数1】
ただし、鍵kが使用され、バーkは、反復されるハッシュ関数のブロックサイズbに達するようにkをゼロでパディングしたものである。バーkの値はopadとビットごとの排他的論理和がとられ、その結果がメッセージXに連結される、ハッシュ関数Fは、連結されたメッセージ全体で呼び出される。図8に示すように、圧縮関数fの最初の実行(イタレーション)の後、鍵k2がk2=f(バーk(+)ipad)として生成される。(本願の明細書および図面において、記号(+)と、数1に現れた排他的論理和の記号(円内に+)とは、同一の記号を表すものとする。)ハッシュ関数Fが完了した後、結果の値F(バーk(+)ipad,X)が生成される。次に、バーk(+)opad(すなわち、バーkとopadのビットごとの排他的論理和演算)の値からなるメッセージで、ハッシュ関数Fが再び呼び出される。ハッシュ関数Fの第2の呼出し内の最初の実行の後、圧縮関数f(IV,バーk(+)opad)から鍵k1が得られる。ipadおよびopadの値は、M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication", In Proc. CRYPTO 96, Lecture Notes in Computer Science, Springer-Verlag, 1996、に記載されているような固定された定数である。ハッシュ関数への第2の呼出し内の第2の実行は、圧縮関数f(k1,F(バーk(+)ipad,X))を用いて、HMAC関数F(バーk(+)opad,F(バーk(+)ipad,X))を生成する。
【0018】
k1=f(バーk(+)opad)およびk2=f(バーk(+)ipad)と定義することにより、HMACk(x)はNMAC(k1,k2)(x)となる。HMACは、メッセージ認証のためのインターネット標準である。示されるように、HMACの安全性の証明は、NMACに関係しており、基礎となる暗号ハッシュが(弱)耐衝突性であること、および、基礎となる圧縮関数が、両方とも適切に鍵がかけられた場合には安全なMACであること、を仮定する。HMACは、長いメッセージに対しては効率的であるが、短いメッセージに対しては、ネスト化された構成のために相当な非効率性が生じる。圧縮関数へのアクセスが許可されない場合に1ブロックより短いメッセージのMACを生成するため、HMACは、圧縮関数への4回の呼出しを必要とする。圧縮関数へのアクセスが許可されている場合、k1およびk2を事前に計算し、圧縮関数の連鎖変数に挿入することができるため、圧縮関数への呼出しは2回でよい。この非効率性は、シグナリングメッセージのメッセージ認証のようないくつかのアプリケーションでは特に大きくなることがある。その場合、個々のメッセージはすべて1個または2個のブロック内に収まるからである。TCP/IPトラフィックの場合にも、多数のパケット(例えば、確認応答(acknowledgment))が、ほとんどの暗号ハッシュの1ブロック内に収まる40バイト程度のサイズを有することがよく知られている。
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、安全性の証明をも提供しながら、長短両方のメッセージがHMACより効率的にメッセージ認証されることを可能にする改良を提案する。
【課題を解決するための手段】
【0020】
本発明の1つの特徴によれば、メッセージ認証コード(MAC)を生成するメッセージ認証システムは、メッセージが鍵つき圧縮関数の1入力ブロック内に収まるときにその圧縮関数の1回のみの実行を使用することにより、効率を改善する。1ブロックより大きいメッセージに対しては、このMACシステムは、ネスト化ハッシュ関数を使用する。本発明のもう1つの特徴によれば、MACシステムおよび方法は、ネスト化ハッシュ関数への入力として、メッセージの一部を使用する。例えば、メッセージ認証システムは、メッセージを第1部分と第2部分に分割することができる。ハッシュ関数がメッセージの第1部分を入力として実行されて中間結果を得、鍵つきハッシュ関数がメッセージの第2部分および中間結果を入力として使用して実行される。こうして、内側ハッシュ関数によって処理されることを必要とするメッセージの部分を少なくすることにより、小さいメッセージの場合には特に、効率が改善される。
【図面の簡単な説明】
【0021】
【図1】本発明の原理によるMAC生成システムを使用可能なワイヤレス通信システムの概略図である。
【図2】ワイヤレス装置からワイヤレス通信システムへ送信されるメッセージを認証するためにMACがどのように使用されるかを示す概略図である。
【図3】ワイヤレス通信システムからワイヤレス装置へ送信されるメッセージを認証するためにMACがどのように使用されるかを示す概略図である。
【図4】圧縮関数fのブロック図である。
【図5】与えられた圧縮関数fに対するハッシュ関数Fの反復構成を示すブロック図である。
【図6】鍵つきハッシュ関数を示すブロック図である。
【図7】ネスト化ハッシュ関数(NMAC)を示すブロック図である。
【図8】HMACとして知られるNMACの変形を示すブロック図である。
【図9】本発明の原理によるメッセージ認証システムにおける単一ブロックの場合のブロック図である。
【図10】本発明の原理によるメッセージ認証システムにおける多重ブロックの場合のブロック図である。
【図11】本発明の原理によるメッセージ認証システムのENMAC実施例のブロック図である。
【図12】本発明の原理によるメッセージ認証システムのENMAC実施例の流れ図である。
【図13】本発明の原理によるメッセージ認証システムのEHMAC実施例のブロック図である。
【図14】本発明の原理によるメッセージ認証システムのSMAC実施例のブロック図である。
【図15】本発明の原理によるメッセージ認証システムのSMAC実施例の流れ図である。
【発明を実施するための形態】
【0022】
任意長のメッセージを処理するための、改善された効率を提供する、本発明の原理によるMAC生成システムおよび方法の実施例について以下で説明する。以下の説明では、ハッシュ関数という用語は、圧縮関数fおよび反復ハッシュ関数Fを包含する。ハッシュ関数は、鍵なしであることも鍵つきであることも可能であり、Fkは鍵つき反復ハッシュ関数を表し、fkは鍵つき圧縮関数を表す。想起すべき点であるが、fk(x)は、鍵つき圧縮関数であり、その入力ブロックサイズはbビットであり、出力サイズはtビットであり、連鎖変数のサイズ、したがって鍵サイズもまたtビットである。本発明の1つの特徴によれば、メッセージのサイズに依存して、MACジェネレータは、異なるハッシュ関数構成を用いてMACを生成する。例えば、MACジェネレータは、メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数fの1入力ブロックに収まる場合には、ハッシュ関数として鍵つき圧縮関数の1回のみの実行を行うことが可能である。入力ブロック内に収まらないメッセージの場合、MACジェネレータは、ネスト化ハッシュ関数を使用する。図9に示すように、メッセージxは、必要なパディング、メッセージ長フィールド、ブロックインジケータフィールドあるいはメッセージxに付加されるその他のフィールドとともに、圧縮関数fに入力される。メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数の入力ブロック内に収まる場合、メッセージxおよび鍵kを用いて鍵つき圧縮関数f(90)が1回のみ実行され、メッセージxに対するMAC fk(x)が生成される。
【0023】
これに対して、図10に示すように、メッセージx(および追加的に要求されるビットがあればそれも)が圧縮関数fの1入力ブロック内に収まらない場合、メッセージブロックxは、部分1および部分2のように、複数の部分に分割される。メッセージブロックの部分部分は、メッセージxを構成するビットの重なり合うセットであることも重なり合わないセットであることも可能である。本発明のもう1つの特徴によれば、第1部分は内側ハッシュ関数Fで使用され、第2部分は外側ハッシュ関数(これは、圧縮関数fCV1として示されている)で使用される。例えば、部分2は、内側ハッシュ関数Fに提供され、そこで、圧縮関数100a〜100n(必要であれば)の呼出し(実行)が、部分2のブロックである部分21〜部分2nについて(付加されたパディングあるいはフィールドがあればそれも含む)行われる(ここで、n≧1である)。圧縮関数fの最初の実行(呼出し)100aは、連鎖変数CV2を使用する。連鎖変数CV2は、実施例に依存して、鍵であることも、鍵から導出された鍵であることも、ハッシュ関数Fの標準の初期値であることも可能である。内側ハッシュ関数FCV2(部分2)の結果は、メッセージxの部分1および連鎖変数CV1とともに、外側ハッシュ(圧縮)関数f(102)に提供される。連鎖変数CV1は、実施例に依存して、鍵であることも、鍵から導出された鍵であることも、ハッシュ関数Fの標準の初期値IVであることも可能である。その結果の値fCV1(部分1,FCV2(部分2))は、メッセージ認証で用いられるMACを生成するために使用されることが可能となる。
【0024】
上記の一般的記述を用いて、従来技術のMAC生成方式よりも改善された性能を提供することができる。例えば、短いメッセージに対してNMACよりも改善された効率を可能にするとともに、より長いメッセージに対しても多少の改善を可能にするため、以下のMAC生成法が提供される。想起すべき点であるが、fk(x)は、その入力ブロックサイズがbビットであり、出力サイズがtビットであり、連鎖変数のサイズ、したがって鍵サイズもまたtビットであるような圧縮関数である。図11aおよび図11bに示すように、本発明の原理によるMACの生成の具体的実施例は次の通りである。
【数2】
ただし、第1の場合、ブロック内の最初のb−2ビットが、メッセージxを入れるために使用される。メッセージxが最初のb−2ビットに満たない場合、パディングが必要であり、ブロックの残りは、最終ビットが義務的に1とされることを除いては、その後には0が続く(ないこともある)。メッセージの長さがb−2ビットである場合、b−1番目のビットが1にセットされる。この実施例では、ブロックの最終ビットが、ENMACで単一圧縮呼出しが使用されているかどうかを示す。ブロックの最終ビットは、単一圧縮呼出しの場合には1にセットされ、圧縮関数fの多重呼出し(実行)が必要とされるときには0にセットされる。1ブロックに収まらないという第2の場合、ストリングxは、次のような2つの部分(セグメント)xprefおよびxsuffに分解される。
xpref=x1...xb−t−1
xsuff=xb−t...x|x|
まず、xsuffが鍵値k2を用いてハッシュされ、Fk2(xsuff)のtビットの結果が生成される。次に、外側圧縮呼出しが鍵値k1を用いて実行される。ここで、最初のb−t−1ビットにxprefがセットされ、次のtビットに結果Fk2(xsuff)がセットされ、最終ビットに0がセットされる。
【0025】
上記のENMAC生成法は、具体的に図12を参照して以下で説明するように、基礎となる暗号ハッシュ関数としてSHA−1ハッシュ関数を使用することができる。ブロック110に示されているように、ENMAC生成法を実現する処理回路は、xの長さ|x|が510ビット以下であるかどうかを判断する。xの長さ|x|が510ビット以下である場合、処理回路はステップ112に進み、xを最初の510ビットにロードすることによって、fk1()の512ビットのペイロードを形成する。次に、ブロック114で、「1」をxに付加し、ステップ116で、必要な個数の0(ないこともある)を用いて511ビットを満たす。|x|が510ビットより小さい場合、1の後にゼロがパディングされるが、|x|が510ビットである場合、ゼロはパディングされず、ブロック114では、1個の1が511番目のビット位置に付加されるだけである。ブロック118で、メッセージが単一ブロックに収まることを示すために、最後の512番目のビット(ブロックインジケータビット)が1にセットされる。ブロック120で、鍵k1を160ビットの連鎖変数とし、メッセージx、パディングビットおよびブロックインジケータビットを512ビットのペイロード(入力ブロック)として、鍵つき圧縮関数fk1(x,pad,1)が実行される。その後、ブロック122で、結果fk1(x,pad,1)が出力され、MACを生成するために使用される。
【0026】
ブロック110で、メッセージxが510ビットより長い場合、処理回路はブロック124に進み、メッセージは2つの部分xprefおよびxsuffに分割される。ただし、xpref=x1...x351およびxsuff=x352...x|x|である。次に、ブロック126で、処理回路は、鍵k2と、メッセージ部分xsuffとを、追加のパディングビットやビットフィールドがあればそれとともにペイロードとして、鍵つきハッシュ関数Fk2を実行し、Fk2(xsuff)の160ビットの結果を得る。ブロック128で、外側圧縮関数fk1のペイロードの最初の351ビットにxprefをセットし、ブロック130で、ペイロードの次の160ビットに、ブロック126で計算したFk2(xsuff)の結果をセットする。ブロック132で、ペイロードの最後の512番目のビットを0にセットする。最後に、ブロック134で、外側鍵つき圧縮関数fk1が、ブロック128〜132で形成された512ビットのペイロードに適用され、ブロック136で、その結果fk1(xpref,Fk2(xsuff),0)が、MACを生成するために出力される。
【0027】
次の表2は、30バイトずつ増大するさまざまなサイズの短いメッセージに対して、基礎となるハッシュ関数SHA−1によって、および、ENMACによって必要とされる圧縮呼出しの個数を比較している。表2と、ふつうのNMACの比較をした前の表1との間には重要な相違点が存在する。短いサイズの多くのものについて、NMACは、基礎となるハッシュ関数と同じ効率を有する。長いメッセージの場合、NMAC、ENMACおよび基礎となるハッシュ関数の効率は互いに相当異なる。サイズが480ビットのメッセージの場合、表2の記載事項が意外にも示しているように、ENMACは基礎となるハッシュ関数より効率がよい。この例外的なことが起こる理由は、基礎となるSHA−1関数がサイズ情報のために64ビットを確保するのに対して、ENMACは、510ビットより短いメッセージについては2ビットしか確保しないためである。このため、ENMACを使用する結果の節約は、1ないし数ブロックに収まるメッセージについてはかなり大きい。
【0028】
【表2】
表2: さまざまなサイズの短いメッセージに対する圧縮呼出し回数の比較
【0029】
1ブロックに収まるメッセージのMACを生成するために異なる鍵k3を使用し、より長いメッセージのMACを生成するためにNMACを用いて鍵k=(k1,k2)を使用すると仮定すると、システムが安全であることを示すことができる。本質的には、これが実際に行われていることであるが、異なる鍵を用いて異なるMACを生成する代わりに、メッセージが1ブロックに収まる場合にはトレーリングビットが1にセットされ、その他の場合には0にセットされている。第2に、NMACは、外側圧縮呼出しのペイロードをゼロでパディングするのに対して、ENMACは、メッセージの一部を外側呼出しに入れる。
【0030】
ENMAC安全性の結果は、NMACと同様であり、以下で、教育的目的で主張し証明する。
【0031】
定理2: t回のステップおよびq回の問合せで、鍵つき圧縮関数fがεf安全なMACであり、かつ、鍵つき反復ハッシュFがεF弱耐衝突性であるならば、ENMAC関数は(εf+εF)安全なMACである。
【0032】
証明: 敵AEが、t回のステップと、q回の適応的に選択されたENMAC関数への問合せとを仮定して、確率εEでENMACに対して成功したとする。この敵は、以前に問い合わせていないメッセージに関して、鍵つき圧縮関数に関連するMACを偽装する別の敵Afを形成するために使用される。MACを破るこの確率は、εEと、εF、すなわち、敵が時間tおよびq回の問合せでハッシュ関数Fにおける衝突を見つける最良の確率、に関して限界づけられる。AEを用いて、この特定の方法でMACを破る確率は、任意の方法でMACを破る確率εfより小さくなければならない。これを用いて、εEについての限界を得ることができる。鍵つき圧縮MACを偽造するために用いられるアルゴリズムAfを次に示す。
【0033】
ランダムなk2を選ぶ
For i...q
AE→xi
If xi<b−2
AE←fk1(xi,pad,1)
else
AE←fk1(1,xi,pref,Fk2(xi,suff),0)
AE→(x,y)
If x<b−2
(x,pad,1),y を出力
else
(xpref,Fk2(xsuff),0),y を出力
【0034】
εE=εE1+εE+とおく。ここで、εE1は、ENMACが攻撃され、AEによって偽造されたENMACメッセージがおよそ1ブロックサイズである(正確にいえば、b−2より小さい)確率である。また、E+およびεE+はそれぞれ、ENMACが攻撃され、AEによって偽造されたENMACメッセージが1ブロックサイズより大きい事象および確率であるとする。さらに、εE+=εE+,pref≠+εE+,pref=である。ここで、εE+,pref≠は、ENMACが多重ブロックメッセージで偽造され、メッセージのプレフィクスが、以前にAEによって問合せされたいずれのメッセージのプレフィクスとも等しくない確率である。また、εE+,pref=は、ENMACが多重ブロックメッセージで偽造され、メッセージのプレフィクスが、以前にAEによって問合せされたいずれかのメッセージのプレフィクスに等しい確率である。この場合、偽造メッセージのサフィクスは、同じプレフィクスを有するメッセージのサフィクスとは異ならなければならない。
【0035】
P[fのMACを偽造]=P[fのMACがE1により偽造される]+P[fのMACがE+により偽造される] (1)
=εE1+P[fのMACがE+により偽造される]
=εE1+P[fのMACがE+,pref≠により偽造される]+P[fのMACがE+,pref=により偽造される] (2)
=εE1+εE+,pref≠+P[fのMACがE+,pref=により偽造される]
=εE1+εE+,pref≠+P[E+,pref=∩同じプレフィクスの集合内にサフィクス衝突がない] (3)
=εE1+εE+,pref≠+1−P[バーE+,pref=∪同じプレフィクスの集合内にサフィクス衝突がある] (4)
=εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合内に衝突がある]+P[バーE+,pref=∩集合内に衝突がある]
≧εE1+εE+,pref≠+1−P[バーE+,pref=]−P[集合内に衝突がある] (5)
≧εE1+εE+,pref≠+1−1+εE+,pref=−P[q個の問合せ内に衝突がある] (6)
≧εE1+εE+,pref≠+1−1+εE+,pref=−εF
≧εE1+εE+−εF
≧εE−εF (7)
εf≧P[ENMACを偽造することによりfのMACを偽造]≧εE−εF (8)
εf≧εE−εF
ゆえに、εE≦εf+εF (9)
【0036】
式1は、fの新しいMACを偽造する確率を、単一ブロックまたは多重ブロックのいずれかの、ENMACのMACを偽造することによりfの新しいMACを偽造する確率に分解する。多重ブロックENMACを破ることによりfを破る確率は、式2において、どのプレフィクスもすべての問合せされたメッセージの他のいずれかのプレフィクスに等しくない場合と、問合せされたメッセージのうちに等しいプレフィクスがある場合とに分解される。式3では、fのMACがE+,pref=により偽造される確率が、E+,pref=が起こり、かつ、同じプレフィクスを有するメッセージのうちにサフィクスのハッシュの衝突が起こらない確率と等値される。式4は、ドモルガンの法則を用いた式3の書き換えである。式6では、同じプレフィクスを有する集合中での衝突の確率が、q個のすべての問合せでの衝突の確率で置き換えられる。式9は、ENMACを偽造する確率εEが、MACを偽造する確率εfと、衝突を見つける確率εFの和より小さいという、われわれの求める結果である。
【0037】
実際には、データはバイト単位で処理されることが多いため、メッセージxの長さが、上で指定したb−2ビットではなくb−8ビットより小さいときに、単一ブロックの場合を実行するほうが適当かもしれない。多重ブロックENMACの場合、非ワード境界から開始してxsuffを形成すると、xsuffにおける全ワードの再配置(アラインメントのしなおし)を引き起こすことがある。これは、次のように、実用的な目的のために、ビットではなくバイトサイズを用いたENMACの変形を用いることにより回避することができる。
【数3】
ここで、基礎となる暗号ハッシュ関数fとしてSHA−1を用いた場合、
xpref=x1...x|x|−344
xsuff=x|x|−343...x|x|
である。63バイト(504ビット)までの長さのメッセージについては、メッセージを504ビットにパディングするための1つの1とそれに続く0の追加的なパディングに加えて、最終バイトが、ブロックインジケータのために、すなわち「X0000001」として予約される。ここで、1は単一ブロックメッセージを示し、Xは、504ビットのパディングなしメッセージにつづく「1」であることが可能である。504ビットより短いパディングなしメッセージの場合、Xは「0」である。504ビットより長いメッセージの場合、メッセージは部分xprefおよびxsuffに分割される。ここで、xsuffの長さは43バイト(344ビット)であり、xprefの長さ=メッセージの長さ−344ビット、である。
【0038】
上記の実施例に加えて、本発明の原理によるメッセージ認証システムは、入力パラメータや圧縮(ハッシュ)関数あるいはその他の演算、鍵値の省略あるいは追加を行うことや、上記のシステムの変形あるいは一部を使用することも可能である。例えば、図13aおよび図13bは、次のような改良されたHMACとして使用されるメッセージ認証システムの実施例を示す。
【数4】
第1の図13aの場合、メッセージxは単一ブロックに収まる。これは、メッセージxが、b−1−他フィールド、より小さくなければならないことを意味する。ここで、他フィールドには、ハッシュ関数Fのパディングあるいは長さ付加方式によるいくつかのビットが含まれる。xが十分小さいと仮定すると、最初の部分がk(+)opadで、それにxが続き、さらにそれに1にセットされた1ビットが続くという、より長い入力が形成される。このより長いメッセージは、基礎となるハッシュ関数Fに入力される。Fの内部を見ると、まず、鍵k1が、圧縮関数f(k(+)opad)を呼び出すことによって生成される。ここで、kは、適当な長さにパディングされなければならない可能性がある。その結果は、圧縮関数への次の呼出しのための連鎖変数として使用される。そのペイロードは、(x,1)に、ハッシュ関数Fの仕様に従ってパディングあるいは長さ付加したものである。
【0039】
図13bは、メッセージxが、必要な付加フィールドとともに、1ブロックに収まらない場合であり、この場合、ストリングxは、2つの部分(セグメント)xprefおよびxsuffに分解される。ここで、
xpref=x1...xb−t−1−other
xsuff=xの残りの部分
である。まず、内側ハッシュ関数130で、鍵kとipadの間のビットごとの排他的論理和を実行してk2を生成する。このk2は、入力ブロックxsuff1とともに連鎖変数として使用される。ブロックxsuffnが最後の圧縮関数に入力されるまで、圧縮関数fが、パディング、付加長フィールドあるいはその他のフィールドとともに呼び出され、F(k(+)ipad,xsuff)のハッシュ関数の結果が生成される。ここで、kは、適当な長さにパディングされなければならないこともある。外側ハッシュ関数132では、値IVを連鎖変数とし、k(+)opadを入力として圧縮関数134を呼び出すことによって、鍵k1が決定される。値k1は、xprefの後にF(k(+)ipad,xsuff)を付加しその後にゼロを付加したものを入力とする圧縮関数136のための連鎖変数として使用される。その結果のF(k(+)opad,xpref,F(k(+)ipad,xsuff),0)は、MACを提供するために使用することができる。
【0040】
図14aおよび図14bは、バイト単位での具体的実装例に関して以下で説明するようなSMACシステムとして使用される、メッセージ認証システムのもう1つの実施例を示す。
【数5】
xpref: バイトx1...x|x|−43
xsuff: バイトx|x|−42...x|x|
【0041】
他の実施例と同様、SMACは2つの場合からなる。すなわち、図14aの単一ブロック(≦63バイト)の場合、および、図14bの多重ブロック(>63バイト)の場合である。いずれの場合でも、SHA関数のような鍵つき圧縮関数fへの呼出しが行われる。単一ブロックの場合、他の関数呼び出しは不要である。しかし、多重ブロックの場合、標準のSHA1_HASHのような鍵なしハッシュ関数F(140)が、メッセージの最初の部分xprefに適用される。次に、そのハッシュ結果と、メッセージの残りの部分が入力すなわちペイロードブロックに入れられ、鍵つき圧縮関数f(142)への呼出しが行われる。SHA−1圧縮関数fの引数の詳細を下記の表3および表4に示す。
【0042】
示されているように、sha1圧縮関数の512番目のビットは、「単一ブロックインジケータビット」として使用され、単一ブロックの場合には1にセットされ、多重ブロックの場合には0にセットされる。この実施例ではメッセージはバイトの倍数で処理されるため、最終バイト内の残りのビットはいずれも、メッセージを処理するために使用することはできない。したがって、圧縮関数の最終(64番目の)バイト全体が予約される。多重ブロックの場合、表4に示すように、ビット505〜511もまたゼロにセットされる。単一ブロックの場合、ビット506〜511はゼロにセットされるが、505番目のビットは追加のパディングビットとして使用される。その機能は、単一ブロックの場合に使用されるパディング方式について説明した後には明らかになるであろう。
【0043】
1ブロックを部分的に満たすメッセージはパディング方法を必要とする。多重ブロックの場合は、圧縮関数を満たすためにパディング方法を必要としない。その理由は、ブロックは表4に示すように完全に満たされるからである。しかし、SHA1_HASH関数は、xprefをハッシュするときに、その固有のパディングを使用する。単一ブロックの場合にメッセージをパディングするため、1個の1をメッセージに付加した後、ブロック内の残りのビット数が満たされるまで(より正確には、505番目のビットが満たされるまで)の個数のゼロ(ないこともある)を付加する。例として、単一ブロックメッセージの長さが63バイトすなわち504ビットである特殊な場合には、1個の1が505番目のビットに付加される。残りのビット506〜512は前述のように満たされる。
【0044】
多重ブロックの場合、ハッシュ関数F(140)は、ブロックxpref1〜xprefnにおいては、メッセージの最後の43バイト以外のすべてのバイトに適用され、20バイトのダイジェストを出力する。最後の43バイトは、圧縮関数f(142)によって処理されるようにするため、ハッシュ関数Fでは処理されない。43バイトである理由は、表4に示すように、利用可能な64バイトのうち、最初の20バイトはダイジェストとして使用され、最終バイトは、SHA−1ハッシュ関数およびSHA−1圧縮関数のために特別に予約されるからである。
【0045】
【表3】
表3: 単一ブロックの場合: sha1圧縮関数の引数
【0046】
【表4】
表4: 多重ブロックの場合: sha1圧縮関数の引数
【0047】
図15に、SMAC関数の流れ図を示す。最初に、ステップ148で、鍵がIVとXORされ、sha1圧縮関数の連鎖変数にロードされる。ブロック150で、処理回路は、|x|>63バイトであるかどうかを判断する。|x|>63バイトでない場合、処理回路は単一ブロックの場合に進み、ブロック152で、メッセージxが圧縮関数fの512ビットブロックの左側にロードされる。ブロック154で、処理回路は、次のビットに「1」を付加する。ブロック156で、最後の512番目のビットまで、ブロックの残りの部分がゼロで満たされる。ブロック158で、最後の512番目のビットは1にセットされる。ブロック160で、連鎖変数(K XOR IV)と、ブロック152〜158からのペイロードとを用いて圧縮関数fが呼び出される。ブロック162で、20バイトのMACが返される。
【0048】
ブロック150で、|x|>63バイトである場合、処理回路は多重ブロックの場合に進む。ブロック164で、メッセージxは2つの断片、すなわち、xpref:バイトx1...x|x|−43と、xsuff:バイトx|x|−42...x|x|、に分割される。ブロック166で、SHA1_HASH関数がxprefで呼び出され、20バイトの結果が生成される。ブロック168で、この20バイトの結果が、sha1圧縮関数の64バイトブロックの左側にロードされ、xsuffがバイト21〜63に付加される。ブロック170で、最後の64番目のバイトが0にセットされる。最後に、ブロック172で、最初に計算された連鎖変数(K XOR IV)と、ブロック168および170からのペイロードとを用いて、sha1圧縮関数が呼び出される。ブロック162で、20バイトのMACが返される。
【0049】
SMACはHMACよりもNMACに近いため、SMACをHMACではなくNMACと比較することにする。NMACは、ハッシュ関数Fへの内側呼出しと、圧縮関数fへの外側呼出しを有する。SMACは、63バイトより長いメッセージに対しては同じことを行うが、それより短いメッセージに対してはハッシュ呼出しをスキップする。長いメッセージの場合、SMACは、メッセージの一部を外側圧縮呼出しで処理するため、内側ハッシュ関数呼び出しにより処理されるテキストが少なくなる。NMACはこれを行わないが、代わりに、外側圧縮呼出しのペイロードの残りをゼロで満たす。NMACでは、内側ハッシュ関数は鍵つきであるのに対して、SMACは、内側呼出しに鍵をかけない。SMACの内側呼出しに鍵をかけることも可能であるが、効率性の目的のために、本実施例ではそのようにしなかった。その安全性は基本的に影響を受けない。その理由は、鍵なしSHA1_HASH関数であっても衝突を見つけるのは実行不可能であると考えられているからである。
【0050】
以下は、SMACを実装するために使用可能なコードである。
【0051】
内側格納データへの出力:
MAC 32 bits
/* smacは次の関数を呼び出す */
sha1_comp(unsigned char cv[20], unsigned char temp[64], unsigned char adigest[20])
{ /* sha1_compはsha1圧縮関数であり、cvは160ビットの連鎖変数であり、tempは512ビットのペイロードであり、結果は160ビットのadigestに出力される */
...
}
SHA1_HASH(unsigned char *M, int textlen, unsigned char adigest[20])
{ /* SHA1_HASHはハッシュ関数であり、Mはメッセージであり、textlenはメッセージ内のバイト数であり、結果は160ビットのadigestに出力される */
...
}
smac(int keylen, unsigned char *K, int textlen, unsigned char *M, unsigned char mac[20])
{ int i, j;
unsigned char cv[20], temp[64];
/* 20バイトの連鎖変数cvをfips180で定義されるようにセット */
cv[0]=0x67; cv[1]=0x45; cv[2]=0x23; cv[3]=0x01; cv[4]=0xef;
cv[5]=0xcd; cv[6]=0xab; cv[7]=0x89; cv[8]=0x98; cv[9]=0xba;
cv[10]=0xdc; cv[11]=0xfe; cv[12]=0x10; cv[13]=0x32; cv[14]=0x54;
cv[15]=0x76; cv[16]=0xc3; cv[17]=0xd2; cv[18]=0xe1; cv[19]=0xf0;
/* 鍵を連鎖変数とXORする */
for(i=0; i<keylen; i++)
cv[i] = cv[i] ^ K[i];
/* temp圧縮ブロックをオールゼロにセット */
for(i=0; i<64; i++) temp[i] = 0;
if ( textlen <= 63 ) {
/* メッセージを最も左側にロード */
for(i=0; i<textlen; i++)
temp[i] = M[i];
temp[i] = 0x80; /* '1'を付加。残りのビットは事前に0にセットされる */
temp[63] = temp[63] | 0x01; /* 512番目のビットを'1'にセット */
sha1_comp(cv, temp, mac);
}
else { /* textlen > 63 */
/* Mのプレフィクスに対するSHA1_HASH */
SHA1_HASH(M, textlen-43, mac);
for(i=0; i<20; i++)
temp[i] = mac[i]; /* ダイジェストを最も左側にコピー */
for(i=20; i<63; i++)
temp[i] = M[textlen-43+(i-20)]; /* 次にMのサフィクスをコピー */
temp[63] = 0x00; /* 最終バイトをゼロにセット */
sha1_comp(cv, temp, mac);
}
}
【0052】
以上、MACシステムについて、SHA−1のような特定のハッシュ(圧縮)関数とともに使用されるものとして説明したが、他のハッシュ関数や関連する暗号関数、また、別のあるいは追加の関数を使用することも可能である。さらに、メッセージ、ペイロード、連鎖変数および鍵値について、特定のビットあるいはバイトが記載されているが、実施例に依存して、これらの数は変更可能である。さらに、鍵値は、鍵またはその一部から導出された鍵であることも可能である。理解されるべき点であるが、さまざまな値、入力およびアーキテクチャブロックについて、異なる記法、用語および特徴づけを使用することも可能である。例えば、圧縮関数fという用語が使用され、ハッシュ関数Fという用語が使用され、反復ハッシュ関数Fは、圧縮関数fの反復(連鎖)を用いて構成されている。理解されるべき点であるが、圧縮関数はハッシュ関数でもある。
【0053】
代替実施例では、メッセージ認証システムについて記載された関数は、ホーム認証センタ、ホームロケーションレジスタ(HLR)、ホームMSC、在圏認証センタ、在圏ロケーションレジスタ(VLR)あるいは在圏MSCにある処理回路で実行されることが可能である。さらに、メッセージ認証センタおよびその各部分は、ワイヤレス装置、基地局、基地局コントローラ、MSC、VLR、HLRあるいはその他のワイヤレス通信システムのサブシステムで実行されることが可能である。実施例に依存して、MACは、メッセージとともに送信されることが可能であり、その場合、MACは、受信端で生成されたMACと比較・検証される。MACがメッセージとともに送信される前に、追加機能がMACを変更あるいは変換することが可能であり、その場合、同じ機能が、比較・検証(メッセージ認証)のために、受信端で生成されるMACに対して実行されることが可能である。最後に、MACが送信され、追加機能が、受信されたMACと受信端で生成されたMACを変更あるいは変換してメッセージ認証を実行することも可能である。追加機能の一例は、メッセージ認証を実行する際の比較・検証機能のために、MACの下位32ビットを使用するものである。こうして、MAC、あるいは、変更または変換されたMACは、MACまたはタグと呼ぶことが可能である。
【0054】
さらに、上記では、メッセージ認証システムはワイヤレス通信システムに関連して説明されているが、メッセージ認証システムは、送信側から受信側へ任意のネットワークあるいは通信媒体を通じて送信される通信メッセージを認証(その完全性を検証)するために使用可能である。
【0055】
[発明の効果]
以上述べたごとく、本発明によれば、長短両方のメッセージがHMACより効率的にメッセージ認証されることが可能となる。
【0056】
特許請求の範囲の発明の要件の後に括弧で記載した番号がある場合は、本発明の一実施例の対応関係を示すものであって、本発明の範囲を限定するものと解釈すべきではない。
【符号の説明】
【0057】
12 ワイヤレス装置
14,16 地理的領域(地理的エリア)
20,24 移動通信交換局(MSC)
22,26 基地局
25 ワイヤライン装置
28 公衆交換電話網(PSTN)
29 パケットデータネットワーク(PDN)
32 シグナリングネットワーク(信号網)
34 ホームロケーションレジスタ(HLR)
36 在圏ロケーションレジスタ(VLR)
50,52,56,58 MACジェネレータ
90 鍵つき圧縮関数f
102 外側ハッシュ(圧縮)関数f
130 内側ハッシュ関数
132 外側ハッシュ関数
134,136 圧縮関数
140 鍵なしハッシュ関数F
142 鍵つき圧縮関数f
【特許請求の範囲】
【請求項1】
ワイヤレス装置とワイヤレス通信システムが呼を設定する際、
前記ワイヤレス装置内のメッセージ認証コード(MAC)ジェネレータが、前記ワイヤレス通信システムへ送信すべきメッセージからワイヤレス装置のMACを生成し、それを前記メッセージとともに前記ワイヤレス通信システムへ送信し、
前記ワイヤレス通信システム内のMACジェネレータが送信されてきたメッセージからワイヤレス通信システムのMACを生成し、それら両方のMACが同一であることを照合した後に呼を設定するシステムにおいて、
各々のMACジェネレータがMACを生成する方法は、
前記メッセージが圧縮関数の1入力ブロック内に収まるときに、第1の鍵および前記メッセージを入力として使用して、前記圧縮関数を一度実行するステップと、
前記メッセージが前記圧縮関数の1入力ブロック内に収まらないときに、前記メッセージを処理するために、第2の鍵を使用する鍵つきハッシュ関数内にネストされたハッシュ関数を使用するステップと、
前記圧縮関数の結果を用いてMACを生成するステップとを含むことを特徴とする方法。
【請求項2】
前記使用するステップは、
前記メッセージの第1部分および第2部分を提供するステップと、
前記第1部分を入力として使用して前記ハッシュ関数を実行して結果を得るステップと、
前記第2部分および前記結果を入力として使用して前記鍵つきハッシュ関数を実行するステップとを有することを特徴とする請求項1記載の方法。
【請求項3】
前記ハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであり、前記鍵つきハッシュ関数は鍵つき圧縮関数fであることを特徴とする請求項2記載の方法。
【請求項4】
前記ハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであり、前記鍵つきハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであることを特徴とする請求項2記載の方法。
【請求項5】
前記圧縮関数の結果を用いてメッセージ認証コードを生成するステップと、
前記メッセージ認証コードを用いて前記メッセージを認証するために、前記メッセージとともに前記メッセージ認証コードを送信するステップとをさらに有することを特徴とする請求項1記載の方法。
【請求項6】
前記圧縮関数の結果を用いてメッセージ認証コードを生成するステップと、
前記メッセージ認証コードを、前記メッセージとともに受信された受信メッセージ認証コードと比較するステップとをさらに有し、
前記メッセージ認証コードと前記受信メッセージ認証コードが一致した場合に前記メッセージは真正であることを特徴とする請求項1記載の方法。
【請求項7】
メディア・アクセス制御(MAC)ジェネレータにおいて認証のためにメッセージを処理する方法において、
前記メッセージの第1部分および第2部分を用意するステップと、
結果を得るために、前記第1部分を入力として使用してハッシュ関数を実行するステップと、
前記第2部分および前記結果を入力として使用して鍵つきハッシュ関数を実行するステップと、
前記メッセージが圧縮関数の1入力ブロック内に収まるかどうかを判断するステップと、
前記メッセージが圧縮関数の1入力ブロック内に収まらないときに、前記用意するステップ、前記ハッシュ関数を実行するステップおよび前記鍵つきハッシュ関数を実行するステップを実行するステップとを有することを特徴とする方法。
【請求項8】
メディア・アクセス制御(MAC)ジェネレータ内に実装されるメッセージ認証システムであって、
メッセージが圧縮関数の1入力ブロック内に収まるときに、第1の鍵および前記メッセージを入力として使用して、前記圧縮関数を一度実行し、前記メッセージが前記圧縮関数の1入力ブロック内に収まらないときに、前記メッセージを処理するために、第2の鍵を使用する鍵つきハッシュ関数内にネストされたハッシュ関数を使用するように構成された処理回路を有することを特徴とするメッセージ認証システム。
【請求項1】
ワイヤレス装置とワイヤレス通信システムが呼を設定する際、
前記ワイヤレス装置内のメッセージ認証コード(MAC)ジェネレータが、前記ワイヤレス通信システムへ送信すべきメッセージからワイヤレス装置のMACを生成し、それを前記メッセージとともに前記ワイヤレス通信システムへ送信し、
前記ワイヤレス通信システム内のMACジェネレータが送信されてきたメッセージからワイヤレス通信システムのMACを生成し、それら両方のMACが同一であることを照合した後に呼を設定するシステムにおいて、
各々のMACジェネレータがMACを生成する方法は、
前記メッセージが圧縮関数の1入力ブロック内に収まるときに、第1の鍵および前記メッセージを入力として使用して、前記圧縮関数を一度実行するステップと、
前記メッセージが前記圧縮関数の1入力ブロック内に収まらないときに、前記メッセージを処理するために、第2の鍵を使用する鍵つきハッシュ関数内にネストされたハッシュ関数を使用するステップと、
前記圧縮関数の結果を用いてMACを生成するステップとを含むことを特徴とする方法。
【請求項2】
前記使用するステップは、
前記メッセージの第1部分および第2部分を提供するステップと、
前記第1部分を入力として使用して前記ハッシュ関数を実行して結果を得るステップと、
前記第2部分および前記結果を入力として使用して前記鍵つきハッシュ関数を実行するステップとを有することを特徴とする請求項1記載の方法。
【請求項3】
前記ハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであり、前記鍵つきハッシュ関数は鍵つき圧縮関数fであることを特徴とする請求項2記載の方法。
【請求項4】
前記ハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであり、前記鍵つきハッシュ関数は圧縮関数の連鎖を用いて構成される反復ハッシュ関数Fであることを特徴とする請求項2記載の方法。
【請求項5】
前記圧縮関数の結果を用いてメッセージ認証コードを生成するステップと、
前記メッセージ認証コードを用いて前記メッセージを認証するために、前記メッセージとともに前記メッセージ認証コードを送信するステップとをさらに有することを特徴とする請求項1記載の方法。
【請求項6】
前記圧縮関数の結果を用いてメッセージ認証コードを生成するステップと、
前記メッセージ認証コードを、前記メッセージとともに受信された受信メッセージ認証コードと比較するステップとをさらに有し、
前記メッセージ認証コードと前記受信メッセージ認証コードが一致した場合に前記メッセージは真正であることを特徴とする請求項1記載の方法。
【請求項7】
メディア・アクセス制御(MAC)ジェネレータにおいて認証のためにメッセージを処理する方法において、
前記メッセージの第1部分および第2部分を用意するステップと、
結果を得るために、前記第1部分を入力として使用してハッシュ関数を実行するステップと、
前記第2部分および前記結果を入力として使用して鍵つきハッシュ関数を実行するステップと、
前記メッセージが圧縮関数の1入力ブロック内に収まるかどうかを判断するステップと、
前記メッセージが圧縮関数の1入力ブロック内に収まらないときに、前記用意するステップ、前記ハッシュ関数を実行するステップおよび前記鍵つきハッシュ関数を実行するステップを実行するステップとを有することを特徴とする方法。
【請求項8】
メディア・アクセス制御(MAC)ジェネレータ内に実装されるメッセージ認証システムであって、
メッセージが圧縮関数の1入力ブロック内に収まるときに、第1の鍵および前記メッセージを入力として使用して、前記圧縮関数を一度実行し、前記メッセージが前記圧縮関数の1入力ブロック内に収まらないときに、前記メッセージを処理するために、第2の鍵を使用する鍵つきハッシュ関数内にネストされたハッシュ関数を使用するように構成された処理回路を有することを特徴とするメッセージ認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2009−159618(P2009−159618A)
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2009−23637(P2009−23637)
【出願日】平成21年2月4日(2009.2.4)
【分割の表示】特願2002−136120(P2002−136120)の分割
【原出願日】平成14年5月10日(2002.5.10)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成21年2月4日(2009.2.4)
【分割の表示】特願2002−136120(P2002−136120)の分割
【原出願日】平成14年5月10日(2002.5.10)
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
[ Back to top ]