認証方法および認証のための通信システム
本発明は、通信システムの加入者間での、楕円曲線に基づく非対称暗号生成アルゴリズムを使用する認証方法に関するものであり、以下のステップを有する。・第1の加入者と少なくとも1つの第2の加入者に公開鍵を生成するステップ、前記第1の加入者ないし第2の加入者はそれぞれの加入者だけに既知の秘密鍵を有しており、・第1の加入者から送信された問い合わせを、その中に含まれており、前記第1の加入者に所属する第1の証明書の有効性に関して認証するステップ、・前記問い合わせに所属する、第2の加入者の応答を計算するステップ、・前記計算された応答と、前記第2の加入者に所属する第2の証明書を、公開鍵を使用してランダム暗号化するステップ、・前記第2の加入者から送信された応答を復号し、その中に含まれる第2の証明書の有効性に関して認証するステップ。本発明は、両側認証のための通信システムに関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証方法および認証のための通信システムに関する。
【0002】
本発明は、認証のための無線通信におけるトランスポンダ技術の分野に関連するものである。基本的に任意の通信システムに適用することができるが、本発明ならびに本発明の基礎となる問題を以下では、いわゆるRFID通信システムおよびその適用に基づいて説明する。RFIDとは"Radio Frequency Identification"に対する略語である。このRFID技術の一般的背景に関しては、Klaus Finkenzeller著, Hansa-Verlag出版, 第3版, 2002を参照されたい。
【背景技術】
【0003】
現在公知のRFIDシステムでは、典型的には、基地局(または読出し局またはリーダー)から送信された電磁信号がパッシブトランスポンダ(またはタグ)により受信され、このパッシブトランスポンダは受信した電磁信号からトランスポンダで必要なエネルギを獲得する。UHFまたはマイクロ波ベースの多くのRFIDシステムでは、単方向のエネルギ伝達の他に典型的には双方向データ通信が、いわゆるチャレンジ/レスポンス方式をベースにして行われる。ここで基地局は絶え間なく問い合わせ信号(データリクエスト、チャレンジ)を送信し、この問い合わせ信号は、相応のトランスポンダが基地局の作用領域内に存在する場合だけ応答される。この場合、基地局の直接的環境内に存在するトランスポンダは応答信号(レスポンス)を以て応答する。完全で有効なコマンドを受信して初めて、トランスポンダと基地局との間のデータ通信が行われる。トランスポンダは、基地局と同期して、または非同期で動作することができる。このようなRFIDトランスポンダは対象物、例えば物品、文書等の識別に使用される。
【0004】
従来の有線データ通信とは異なり、この形式のデータ通信では、基地局と相応のトランスポンダとの間のデータ通信がほぼ自立的にバックグランドで行われ、ユーザが存在している必要はまったくない。すなわち、認証されたトランスポンダが所属の基地局の作用領域内に存在すると直ちにデータ通信が開始される。データ担体、例えばディスケット、USBメモリ等の読出しの際には、このデータ担体はユーザにより相応の読出し機器に意図的に接触されなければならず、有線接続のデータ通信の場合、データ通信もユーザにより同様に意図的に開始されなければならない。このことはRFIDベースのデータ通信には当てはまらない。
【0005】
このことは、例えばロジスティクス領域、百貨店等での識別の場合には確かに有利である。しかしRFIDベースのデータ通信技術は、多くの適用の際に注意しなければならない重大な欠点も有する。
【0006】
このような問題は、RFIDトランスポンダに含まれるデータが、とくにこのデータが保安上重要なデータである場合に不正に読み出されることに関係する。この理由から、RFIDベースのデータ通信システムは典型的にはセキュリティ機構も有している。このセキュリティ機構はデータ通信を、基地局からのセキュリティコードを送信信号に変調することにより保安する。このセキュリティコードは、データ通信で許可されたトランスポンダだけがデコードし、評価することができる。評価が上手くいくと、データ通信で許可された、すなわち認証されたトランスポンダは応答信号を送信する。この応答信号も同様にセキュリティコードを含んでおり、基地局に返信され、基地局で再び評価することができる。したがってこのセキュリティコードによって、トランスポンダでも基地局でも両側で認証が行われ、これにより不当な使用者(またはハッカー)が気付かれずにデータ通信に入り込み、保安上重要なデータを取り出すことが回避される。
【0007】
このような認証は、コストをかければ任意に構成することができる。とりわけRFIDベースのデータ通信での重要な周辺条件は、できるだけ簡単かつ迅速に基地局とトランスポンダとの間のデータ通信が行われることである。そのためには一方では、トランスポンダがわずかなリソース、すなわち小さなエネルギリソースと、小さなメモリリソースおよびコンピュータリソースしか有しておらず、認証の際にできるだけ小さいデータ量を評価し、認証されることが重要である。他方では、この認証はできるだけ迅速に実行されるべきである。なぜならRFIDベースのとくに動的なデータ通信システムでは、認証すべきトランスポンダがわずかな時間しか、それぞれの基地局の作用領域内に存在しないことが非常に頻繁だからである。この短い時間内に、データ通信接続が確立され、認証され、引き続きデータ交換が行われなければならない。
【0008】
産業分野、またはプライベート分野で将来期待される、RFIDベースデータ通信システムの大量適用では、ユーザのデータ保護のために、RFIDベースのデータを無許可で盗み見することに対抗する、単純ではあるが効率的な手段がますます必要となる。ここでは以下の3つの保護カテゴリー、すなわち盗聴セキュリティが区別される。
【0009】
1. プライベートデータの保護(データプライバシー):
プライベートデータ保護を保障する際には、不当なユーザが基地局とトランスポンダとの間のデータ通信を盗聴することにより、または択一的にトランスポンダにアクティブに応答することにより、トランスポンダのIDを推測できてしまわないようにしなければならない。そうでないとこの不当なユーザが、トランスポンダに記憶されていて保安上重要であり、取扱注意のデータを入手してしまうことになる。このような取扱注意のデータは、例えばユーザ固有の情報を含んでいることがある。
【0010】
2. 位置的なプライベートエリア保護(ロケーションプライバシー):
位置的なプライベートエリアを保障するためには、不当なユーザが2つの異なる時点で基地局とトランスポンダとの間のデータ通信を盗聴することによって、またはトランスポンダにアクティブに応答することによって、トランスポンダに関する位置情報を入手することを阻止しなければならない。とりわけ不当なユーザがそこから、それが同じトランスポンダであるか、または違うトランスポンダであるかを推測できないことを保障しなければならない。なぜならそうでないと、個々のトランスポンダの運動プロフィールを推定でき(トラッキング)、ひいてはトランスポンダのユーザを特定できてしまうからである。ここでも保安上重要な、取扱注意の情報を保護しなければならない。
【0011】
3. フォワードセキュアの保障:
最後に、不当なユーザが、例えば過去に記録された基地局とトランスポンダとの間のデータ通信をそれぞれ特定のトランスポンダに割り当てることができてはならない。このことはたとえ不当なユーザが後の時点で、この特定のトランスポンダの秘密データを探り出したとしても可能であってはならない。
【0012】
前記の保護、ないしは相応のセキュリティを保障するために、トランスポンダから基地局へ返信される応答信号が、複数の問い合わせの際に不当なユーザには異なっておりランダムに現れるようにしなければならない。このためには種々のアプローチがあり、できるだけ高いセキュリティを保障しなければならない。そのうちのいくつかを、以下に簡単にまとめる。
【0013】
[非特許文献1]には、RFIDタグのプライバシー保護のための手段が記載されている。この解決手段では、一義的な識別コード(ID)が存在し、この識別コードは一時的なランダム識別数META−IDにより置換される。トランスポンダは引き続き、このMETA−IDを含む問い合わせに応答する。このとき、システムに所属していて、権限のある基地局だけがそこからトランスポンダの実際のIDを導出することができる。ここでは確かにデータプライバシー保護は得られるが、2つの異なる時点でのトラッキングないしは盗聴に対しては保護されず、したがって不所望なことには運動プロフィールが識別できてしまう。
[非特許文献2]は、識別コード(ID)が各送信の際にランダム化される方法を開示する。ここでランダム化は、いわゆるハッシュ関数を用いて行われる。しかしこのハッシュ関数は、トランスポンダ上で実現するためには比較的大きなハードウエアコスト、ひいては計算コストを必要とする。さらにここでの欠点は、この方法はフォワードセキュアを提供しないことである。
【0014】
AESに基づくハードウエア実現ベースの方法が[非特許文献3]に記載されている。この方法は、ISO規格 9798によるいわゆる3パス相互認証プロトコルの変形である。このプロトコルはトラッキングに対する保護を提供するが、フォワードセキュアは提供しない。
【0015】
[非特許文献4]には、ハッシュ関数に基づく方法が記載されている。ここでは未必情報S1がトランスポンダ上で、リーダーの各問い合わせ後に、Si+1=Hash (Si) に更新される。この手段によって、フォワードセキュアが保障される。なぜなら目下の状態Siを知っても、以前の状態Sk(ただし、k>i)を推測することはできないからである。しかしこのために必要なハードウエアコストおよび必要なコストが大きいため、この方法は実際上、トランスポンダにはほとんど適さない。
【0016】
基地局とトランスポンダとの間のデータ通信を保安するために、デ―タ通信は暗号データの交換によって行われる。これまで公知の方法、例えば上の[非特許文献l],[非特許文献2],[非特許文献3],[非特許文献4]に記載された方法のほとんどすべてが対称暗号方式に基づく。このようなシステムでは、それぞれのトランスポンダが1つの秘密鍵を有し、この秘密鍵は基地局にファイルされているか、または少なくとも基地局がこの秘密鍵にセキュアアクセスできるよう、中央の保安されたデータバンクにファイルされている。
【0017】
対称暗号方式の他に、いわゆる非対称暗号方式も存在する。この非対称暗号方式は、個人鍵および公開鍵に基づいている。ここで公開鍵は、あらかじめ定めたアルゴリズムを用いて個人鍵から生成される。この暗号方式で重要なのは反転である。すなわち有限の時間内で利用可能な計算能力により、公開鍵から個人鍵を決定できないようにすることである。
【0018】
ここで有利であることが判明しているのは、楕円曲線に基づく暗号鍵生成アルゴリズムを使用することである。なぜならこのアルゴリズムにより、高いセキュリティが小さい鍵で得られるからである。このような楕円曲線に基づく暗号鍵生成方法は非常に効率的である。これはこの方法では、公知の暗号生成方法とは異なり、準指数関数所要時間での攻撃方法が知られていないためである。このことは言い替えると、楕円曲線に基づく方法では使用されるセキュリティパラメータのビット当たりの保安利得が比較的に高く、したがって実際の使用に対しては長さの格段に短い鍵を使用することができることを意味する。このように、楕円曲線に基づいた暗号生成方法は他の暗号生成方法よりも効率的であり、同程度のセキュリティレベルを達成する場合でも、システムパラメータの伝送に必要な帯域幅が小さい。
【0019】
このように暗号生成方法は、データを暗号化する際に期待されるセキュリティと計算コストとの妥協である。DE 101 61 138 A1には、y座標を使用せずにx座標だけで点のスカラー倍数を決定できることが記載されている。相応の計算規則が任意の体に対して同様にこの刊行物に記載されている。これによって点算術、例えばスカラー乗算に対するモンゴメリー関数を格段に効率的に実現することができ、点加算当たりの体の乗算回数を少なくし、また点を表すためおよび中間結果に対するレジスタの数を少なくすることができる。
【先行技術文献】
【非特許文献】
【0020】
【非特許文献1】Daniel Engels, Ronald Rivest, Sanjay Sarma, Stephen Weis, "Security and privacy aspects of low-cost radio frequency identification Systems", International Conference on Security in Pervasive Computing, March 2003.
【非特許文献2】Daniel Engels, Sanjay Sarma, Stephen Weis, "RFID Systems and security and privacy implications", Cryptographic Hardware and Embedded Systems - CHES, August 2003.
【非特許文献3】Martin Feldhofer, Sandra Dominikus, Johannes Wolkerstor-fer, "Strong Authentication for RFID Systems Using the AES Algorithm", Workshop on Cryptographic Hardware Embedded Systems -CHES, August 2004.
【非特許文献4】Miyako Ohkubo, Koutarou Suzuki, Shingo Kinoshita, "Cryptographic Approach to Privacy-Friendly Tags", RFID Privacy Workshop, November 2003.
【発明の概要】
【発明が解決しようとする課題】
【0021】
この背景から本発明の課題は、一方ではできるだけ高いセキュリティを保障し、他方ではそのためにできるだけ低いハードウエアコストしか必要としない、通信システムでの認証方法および認証装置を提供することである。
【課題を解決するための手段】
【0022】
本発明によればこの課題は、請求項1記載の特徴を備えた認証方法および/または請求項19記載の特徴を備えた通信システムによって解決される。ここでは次のようにする。
【0023】
本発明は、通信システムの加入者間での、楕円曲線に基づく非対称暗号方式を使用する認証方法であって、以下のステップを有する。
・第1の加入者と少なくとも1つの第2の加入者に公開鍵を提供するステップ、
ただし前記第1の加入者ないし第2の加入者はそれぞれの加入者だけに既知の秘密鍵を有している、
・第1の加入者から送信された問い合わせを、その中に含まれており、前記第1の加入者に所属する第1の証明書の有効性に関して認証するステップ、
・前記問い合わせに所属する、第2の加入者の応答を計算するステップ、
・前記計算された応答と、前記第2の加入者に所属する第2の証明書を、公開鍵を使用してランダム暗号化するステップ、
・前記第2の加入者から送信された応答を復号し、その中に含まれる第2の証明書の有効性に関して認証するステップ。
【0024】
本発明の認証方法による、楕円曲線に基づく非対称暗号方式を使用した両側認証のための通信システム。
【発明の効果】
【0025】
本発明の基礎となる技術思想は、チャレンジ/レスポンス法による新規の両側認証プロトコルを提供することであり、ここでは基地局とトランスポンダが相互に認証する。この認証は、楕円曲線をベースにする非対称暗号生成に基づく。したがってこの認証方法では、トランスポンダから基地局に返信されたデータが非対称にランダム暗号化される。そのことの利点は、正しい個人鍵、すなわち認可された個人鍵を有する基地局だけが、トランスポンダから返信された応答を解読するように、すなわち「理解」するように構成されることである。他のすべての基地局、すなわち認可されない基地局またはユーザには、トランスポンダから返信された応答はランダムに映る。このようにしてトランスポンダのプライベートエリアの保護が保障される。
【0026】
本発明の認証方法は、データ通信用の新規の拡張された保安プロトコルに基づく。この新規の保安プロトコルは、楕円曲線のためのいわゆるローコスト計算に基づく。
【0027】
したがって本発明によれば、プライベートデータ(データプライバシー)と位置的プライベートエリア(ロケーションプライバシー、トラッキング)を保護するための効率的で新規の識別プロトコルが作成され、このプロトコルは最大限のフォワードセキュアも含む。さらにそのために必要な装置も記載される。本発明の方法は、指数2の有限体による楕円曲線に基づく現代の非対称暗号方式をベースにするものであり、その計算は非常に安価なハードウエアモジュールで実現可能であり、したがってとりわけRFIDベース適用に適するという利点を有すUr。
【0028】
他の対称認証方法に対して本発明の認証方法は、基地局の側には、トランスポンダのための個人鍵、秘密鍵を探すために、中央バックエンドデータバンクへのセキュアアクセスが必要ないという利点を有する。このことは、実現のためのハードウエアコストをさらに低減する。
【0029】
対称解決手段と比較して、いわゆるマスターキーにより到達することのできる基地局が存在するという危険性もない。このようなことがあると、秘密全体が突破されたり、不当なユーザが自分で有効なトランスポンダを作製できたりする。本発明の公開鍵解決手段では、正しい鍵を備える基地局だけがデータを相応のトランスポンダから取り出せる。
【0030】
本発明により非常に効率的に、不当なユーザがリーダーまたはトランスポンダにある秘密鍵に、例えば中央バンクを介して到達できるということが阻止される。そして基地局をシミュレートできることも阻止される。このようなことができると、不当なユーザはデータ通信システムに所属するトランスポンダを同定することができたり、そのプライベートエリア(ローカルプライバシーおよびデータプライバシー)を確定できたりする。
【0031】
本発明の認証方法のさらに重要な利点は、非常に簡単に、種々の基地局によるトランスポンダへの種々のアクセス権限を、いわゆる証明書に符号化できることである。このことはそれぞれの証明書に、基地局が例えば読出し権限だけを有するか、または付加的に相応のトランスポンダへの書込み権限も有するのかという情報が含まれていることを意味する。
【0032】
本発明の認証方法では、両側認証プロトコルが使用される。このプロトコルでは、第1の加入者、例えば基地局と第2の加入者、例えばトランスポンダが相互に認証する。本発明の方法は、楕円曲線に基づく非対称暗号方式を使用する。この暗号化方法は他の方法に対して、認証のために必要なビット量が他の方法に対して格段に小さいという利点を有し、そのためバンド幅が比較的に小さい。
【0033】
このことは、トランスポンダに使用されるアンテナ受信器とも関連して格段に有利である。
【0034】
本発明の有利な実施形態および発展形態は従属請求項ならびに図面を参照する説明より明らかになる。
【0035】
本発明を以下、図面に示した実施例に基づいて詳しく説明する。
【図面の簡単な説明】
【0036】
【図1】楕円曲線の例を示す図である。
【図2】楕円曲線を使用した加算の例を示す図である。
【図3】本発明の通信システムの構造を示すブロック回路図である。
【図4】本発明の認証方法の基本を示すブロック回路図である。
【図5】楕円曲線に基づく本発明の認証方法を説明するフローチャートである。
【発明を実施するための形態】
【0037】
図中、同じ要素ないしは同じ機能の要素には特にことわりがないかぎり同じ参照符号を付してある。
【0038】
本発明の認証方法は新規の保安プロトコルを有し、このプロトコルは楕円曲線のための計算に基づく。したがって本発明の認証方法を説明する前に、まず楕円曲線の重要な特性について図1aと1bに基づき説明する。
【0039】
有限体(ガロア域)GF(2d)上の楕円曲線は三次方程式のゼロ位置量
y2 + xy = x3 + ax2 + b. (1)
であり、ここでxとyは変数、係数aとb、b≠0はガロア域GF(2d)中の係数を表す。
【0040】
図1aと1bには、例として2つの楕円が実数上に示されている。
【0041】
無限に離れた点を中立要素として追加すれば、このゼロ位置集合は加算群を形成し、その群規則は少なくとも楕円曲線で実体を介して幾何学的に解釈することができる。このような加算群は数集合と足し算(群演算)からなる。さらにこの群には中立要素が存在する。この中立要素は、数集合の数を足し算する際にその値を変化しない(例えばゼロ)。さらに数集合の各値に対して逆要素が存在する。したがって相応する値をこの逆要素と加算すると中立要素が得られる。ここで重要なのは、代数幾何学からの2つの結果である(図2参照)。
【0042】
各直線は楕円曲線と、必ずしも相互に異なっていない3つの点で交差する。必ずしも異なっていない各2つの点について第3の点を計算することができ、したがって3つの点の和が中立要素である。PとQ(ただしP≠−Q)が2つの点であり、gがこれらの点P、Qを通る直線であれば、この直線は楕円曲線と第3の点Rで交差する。RのX軸での対称によってS=P+Qが得られる。P=−Qの場合に対して、gの勾配は無限であり、第3の交点Rは無限に離れた点である。
【0043】
ベクトル空間でのスカラー乗算の定義と同じように、楕円曲線でのスカラー乗算が定義される。Pは楕円曲線の点であり、kは自然数とする。スカラー乗算k*Pは、Pそれ自体をk回加算することに相当する。このスカラー乗算k*Pは、楕円曲線に基づいた暗号生成システムの主要なブロックを形成する。頑強な暗号生成楕円曲線では、スカラー乗算が一方向関数となる。すなわちスカラー乗算は多項式時間で計算できるが、指数関数的時間でしか反転できない。したがってスカラーを効率的アルゴリズムで復元することは困難であると考えられる。この一方向関数は、楕円関数に基づく暗号認証方法の基礎を形成する。
【0044】
楕円曲線ベースでのこのようなスカラー乗算を実現するための公知の方法は、いわゆるモンゴメリー関数である。モンゴメリー関数は、点Pのスカラー倍のx座標の計算に、Pのx座標だけと、もっぱらガロア域GF(2d)での加算と乗算だけが使用されるようにして実現される。ここでは面倒な反転は必要ない。
【0045】
モンゴメリー関数の正確なアルゴリズムは、次式により呼び出される
(Xkp, Zkp) ← MonMul (k,Xp),
次のとおりである。
【0046】
インプットパラメータ:
二進表現でのスカラーk=(kn−1,....,k0)
点Pのx座標。
【0047】
アウトプットパラメータ:
点k*Pの座標(X,Z)、したがってX/Zはアフィンx座標である。
【0048】
モンゴメリー関数のアルゴリズムの方法ステップ(プログラム言語C++):
【数1】
【0049】
上記の加算および乗算は、ガロア域GF(2d)で比較的小さいハードウエアコストにより実行できる。ここで相応のトランスポンダおよび基地局は、この計算処理を実行するために簡単で安価な計算機構しか必要としない。この計算機構の主構成部分であるシフトレジスタを帰還結合することによって、乗算をdクロックで実行することができ、このとき加算は1つのクロックで実現することができる。
【0050】
上記のモンゴメリーアルゴリズムは、スカラー乗算の効率的計算に用いられ、シフトレジスタにより実現することができる。
【0051】
以下に説明する本発明の両側認証方法は、このモンゴメリーアルゴリズムに基づくものである。本発明の認証方法のプロトコルは、トランスポンダがまず基地局に対して公知のチャレンジ/レスポンス法によって認証する片側認証の拡張である。さらに本発明の認証方法は、トランスポンダのプライベートエリアとフォワードセキュアに対して最大のセキュリティを提供する。
【0052】
本発明の両側認証方法を説明する前に、以下では図3のブロック回路図に基づいて本発明の通信システムの基本構造をまず詳細に説明する。
【0053】
図3には、参照符合1により通信システム、例えばRFID通信システムが示されている。RFID通信システム1は、第1の加入者(基地局2)と、トランスポンダ3を含む。基地局2と第2の加入者(トランスポンダ3)は無線通信区間4を介して双方向通信接続している。通信システム1は例えばマスタ−スレーブ通信システムとして構成することもできる。この場合、基地局2はマスタとして、トランスポンダ3はそれぞれスレーブとして機能する。
【0054】
基地局2は制御装置5、送受信装置6、ならびに送受信アンテナ7を有する。同じようにトランスポンダも制御装置8、送受信装置9、ならびに送受信アンテナ10を有する。
【0055】
送受信アンテナ7,10は、誘導性コイルアンテナまたはダイポールアンテナとして構成することができる。
【0056】
それぞれの制御装置5,8では、データ通信フローが制御される。典型的には制御装置は計算装置(計算機構、CPU等)を含んでおり、この計算装置でとりわけ認証のための計算処理が実行される。
【0057】
データ通信の制御は、それぞれ基地局側の制御装置5とトランスポンダ側の制御装置8により行われる。基地局2の制御装置5は、アンテナ7を介して高周波搬送信号11をトランスポンダ3のアンテナ10に送信するように構成されている。同じように、トランスポンダ3の制御装置8と送受信装置9は、送信された搬送信号11に対して相応する応答信号12を基地局2へ返信するように構成されている。制御装置5,8はプログラム制御される装置、例えばマイクロコントローラまたはマイクロプロセッサとして構成することができる。または固定配線された論理回路、例えばFPGAまたはPLDに実現することもできる。
【0058】
メモリ18,19は典型的にはRAMであり、例えば計算結果がファイルされている。付加的にまたは択一的に、このメモリ18,19はEEPROMを有することができ、このEEPROMには、システムパラメータ、種々の通信加入者のパラメータ、例えば加入者固有の個人鍵、公開鍵、加入者固有の証明書等がファイルされている。
【0059】
基地局2はさらに評価装置14を有する。この評価装置14は基地局2の受信経路に配置されており、送受信装置6の受信器に後置して配置されている。同じようにトランスポンダ3も評価装置15を、トランスポンダ3の受信経路23に有する。それぞれの評価装置14,15では、データ通信の受信データが評価される。とりわけそこでは、まず受信データの復調そして復号が行われる。
【0060】
本発明によれば、基地局2とトランスポンダ3の両者が認証モジュール16,17を有し、この認証モジュールはそれぞれの送受信装置6,9と基地局2ないしトランスポンダ3の制御装置5,8との間に配置されている。この認証モジュール16,17はここでは別個のモジュールとして構成されている。しかし有利には認証モジュール16、17はそれぞれの制御装置5,8の構成部分である。
【0061】
認証モジュール16,17はさらにメモリ18,19を有する。このメモリには認証に必要なデータ、またはバッファしなければならないデータ、鍵等がファイルされている。
【0062】
本発明の認証方法(または認証プロトコル)の基本原理を以下、図4の概略図に基づいて説明する。
【0063】
図4は、通信システム1の基地局2とトランスポンダ3を概略的に示す。そこにはこの装置2,3内の認証モジュール16,17だけが認証方法の説明のために示されている。基地局側の記憶装置18には、証明書Zと基地局2の基地局側秘密鍵がファイルされており、トランスポンダ3の記憶装置19には、前記とは異なる証明書Z′とトランスポンダ側の秘密鍵がファイルされていることを前提とする。
【0064】
本発明の認証方法では以下のことが行われる:
・認証方法の開始時に、基地局側の認証モジュール16が問い合せC(C=Challenge)を形成する。
・認証モジュール16はこの問い合わせCを、記憶されている基地局側証明書Zとともに問い合わせ信号11として送信する。この基地局2の直接的環境内に存在する1つまたは複数のトランスポンダ3が、証明書Zと問い合わせCを備えるこの問い合わせ信号11を受信し、この問い合わせ信号11はそれぞれのトランスポンダ3で公知のように復調され、復号される。
・引き続きトランスポンダ3の認証モジュール17が、このようにして受信された証明書Zをその有効性について検査する。
・続いて認証モジュール17は、この問い合わせCに適合する応答R(R=Response)を計算する。
・続いて認証モジュール17は応答信号として、この応答Rならびにトランスポンダ3のメモリ19にファイルされているトランスポンダ固有の証明書Z′を基地局2に返信する。ここで重要なことは、トランスポンダ3から返信されたデータ、すなわち応答Rと証明書Z′が認証モジュール17によって前もって非対称にランダム暗号化されており、したがってこの非対称にランダム暗号化されたデータA = f(R, Z′)が基地局2に送信されることである。ここで暗号生成(Enc)は、例えば基地局2から送信された証明書Zに含まれている基地局2の公開鍵(PublicKeyReader)を用いて行われる。
・基地局2およびそこの認証モジュール16で、この非対称にランダム暗号化されたデータA = f(R, Z′)を含む受信応答信号12が個人鍵(PrivateKeyReader)によって解読され、したがって認証モジュール16にも同様に応答Rとこの証明書Z′が存在するようになる。
・認証モジュール16は解読された証明書Z′ならびに応答Rを検査する。これらデータR、Z′の検査が肯定であれば、トランスポンダ3は基地局2に対して認証され、これに続いて本来のデータ通信を基地局2とトランスポンダ3との間で行うことができる。
【0065】
この両側認証プロトコルを実現するためには、基地局が問い合わせCを、トランスポンダ3にファイルされている秘密鍵(証明書Z′)に依存しないで形成することが重要である。そうでないと、トランスポンダ3が基地局2に前もって自分のIDまたは公開鍵を通知できるようにするため、付加的な通信ステップが必要となろう。本発明のプロトコルにより認証方法全体が短くなる。
【0066】
さらに重要なのは、問い合わせCと応答Rの形成ならびに相応の証明書Z、Z′が、認証プロトコルを楕円曲線に基づガロア域GF(2d)上で実行できるようにあらかじめ設定されていることである。従来公知の両側非対称認証方法との相違は、それぞれ問いかけられたトランスポンダ3のプライベートエリアの保護が付加的に得られることである。
【0067】
上に図4に基づいて説明した認証プロトコルは以下の特性を有する。
【0068】
認証性:
トランスポンダ3は基地局2に対して、有効な証明書Z′を、基地局2から送信された問い合わせCに対する有効な応答Rとともにこの基地局2に返信することによって認証される。証明書Z′からの公開鍵xTに所属する秘密鍵ζTについてトランスポンダが知っていれば、トランスポンダ3はこのような有効な応答Rを単に計算して返信することができる。
【0069】
トランスポンダのプライバシー保護:
トランスポンダ3に相応する通信システム1に所属する基地局2だけが、すなわち有効な証明書Zを送信し、証明書Z内の公開鍵xRと同時に適合する秘密鍵ζRを有する基地局2だけが、ここではトランスポンダ3から返信されたデータAを解読することができ、これを解釈することができる。他のすべての基地局2には、トランスポンダ3のデータはランダムである。このようにしてそれぞれのトランスポンダ3のデータ保護(データプライバシー)が得られる。
【0070】
付加的に基地局2からトランスポンダ3への各問い合わせCの際に新たなランダム鍵Kが選択される。したがってトランスポンダ3から返信されたデータAは、基地局2の各問い合わせの際に、繰り返し同じ問い合わせが行われたにしても異なっている。この場合不当なユーザは、その度に異なる問い合わせデータと応答データを識別しなければならないことになり、したがってこの問い合わせデータと、異なる時点で1つの同じトランスポンダ3から基地局に送信される相応する応答データとを結び付けることはできないであろう。このことにより不所望のいわゆるトラッキング(ロケーションプライバシー)に対する最大のセキュリティが可能である。
【0071】
フォワードセキュア:
認証プロトコルが再度実行される際(インスタンス)に、トランスポンダ3は鍵Kを新たにランダムに選択し、自分の証明書Z′、ならびにトランスポンダ側の秘密鍵ζTに依存する相応の応答Rをこれにより暗号化するから、不当なユーザはこの認証プロトコルの記録されたインスタンスをそれぞれのトランスポンダ3に前もって割り当てることはできない。このために不当なユーザはそれぞれの鍵Kを知らなければならない。しかしこの鍵は認証プロトコルの各インスタンス後にトランスポンダ3により破棄され、トランスポンダ3自体には記憶されない。不当なユーザが例えばトランスポンダ3を分解して分析することにより知ることのできる唯一の秘密は秘密鍵ζTである。しかしこの秘密鍵ζTは、鍵Kには何の影響も及ぼさない。不当なユーザがこの秘密鍵ζTを知ることになれば、トランスポンダの認証が不可能となる。したがって、基地局2とのデータ通信をこのトランスポンダ3は継続することができなくなる。これは認証方法全体のさらなる保護である。
【0072】
したがい全体として、認証に関しても、フォワードセキュアおよびデータ保護(プライバシー保護)に関してもデータ通信の最大のセキュリティが比較的小さな手段で可能である。
【0073】
以下、楕円曲線に基づく本発明の認証方法の例を、図5のフローチャートで説明する。
【0074】
認証のためには、通信システム1、基地局2およびトランスポンダ3に対して次のパラメータが設定される。
【0075】
システムパラメータとして、すなわち通信システム全体と認証全体に適用されるパラメータとして、次のパラメータが設定される。
・適切な楕円曲線が設定される。
・xpは、原点Pのアフィンx座標である。
・xsは、署名認証のための公開鍵である。
【0076】
基地局2だけに対して次のパラメータが適用される。
・ζRは、基地局側の秘密鍵である。
・xR、rR、sRは証明書Zを表し、ここでxRは公開鍵(点R=ζR*Pのアフィンx座標)を、rR、sRは公開鍵xSにより検証することのできるxRのECGDSA署名を表す。
【0077】
トランスポンダ3に対してだけ次のパラメータが設けられる。
・ζTは、トランスポンダ側の秘密鍵である。
・xT、rT、sTは証明書Z′を表し、ここでxTは公開鍵(点T=ζT*Pのアフィンx座標)を、rT、sTは公開鍵xSにより検証することのできるxTの署名を表す。
【0078】
図5に示された例としての認証方法は次のように実行される。
【0079】
図5に示された本発明の認証プロトコルのステップ1)から4)で基地局は問い合わせC=xiを形成する。この問い合わせxiは、ランダムなスカラーに対する点P1=r1*Pのx座標である。基地局2はこの問い合せxi、ならびに基地局2の公開鍵xRおよび署名成分rR、sRからなる基地局3の証明書Z=[xR、rR、sR]をトランスポンダ3に送信する。
【0080】
ステップ5)では署名検査が行われる。署名検査では、トランスポンダ3が基地局2の証明書Zの有効性を検査する。鍵xRは基地局3により、証明書Zが有効であれば真正であると見なされる。署名検査は例えば「ローコスト証明アルゴリズム」により実行することができる。これについては例えばドイツ特許願DE 101 61 137 A1に記載されている。この刊行物を、署名検査方法に関して本願の内容に取り入れる。
【0081】
この署名検査では、3つのスカラー乗算(XA, ZA) ← MonMul(rR, rR) , (XB, ZB) ← MonMul sR, xs) , (Xc, Zc) ← MonMul (xR, xP)が実行される。次式が成立するときだけ
【数2】
証明書Zは有効として検証される。したがってこの式(2)は、ガロア域GF(2d)における非常に簡単な11の乗算により評価することができる。
【0082】
証明書Zが有効と見なされない場合に対しては、トランスポンダ3が証明書Zを送信する基地局2を、真正ではない、すなわち無効であるとして拒絶する。これらの場合にはさらなるデータ通信は行われない。
【0083】
ステップ6)では応答計算が行われる。ここでトランスポンダ3は問い合わせx1に対して相応の応答を計算する。この応答は、点P2 = ζT*P1 = ζT*(r1*P)の投影x座標を表す。
【0084】
続いてステップ7)から10)でトランスポンダ3ではランダム化された鍵が形成される。トランスポンダ3は対称鍵K=X3を形成し、この鍵は点P3=r2*R=r2*(ζR*P)の投影x座標を表す。ここでr2はランダムなスカラーである。点P4の投影x座標(X4, Z4)および成分Z3は、基地局2が対称鍵Kを計算するために用いられる。
【0085】
ステップ11)および12)では、トランスポンダ3が応答(X2, Z2)を自分の証明書Z′とともに暗号化する。ここで証明書Z′は、トランスポンダ3の公開鍵XTと署名成分rTおよびsTからなる。ステップ11)ではまずデータ(x2, Z2)と証明書Z′が順次配置される。ステップ12)では本来の暗号生成が行われる。ここでは任意の、詳細に説明しない暗号生成方法を使用することができる。
【0086】
暗号化された応答情報C′を得るために、例えば対称暗号法が使用される。対称暗号生成のための装置はリニアシフトレジスタに基づくことができ、このリニアシフトレジスタはトランスポンダ3のGF(2d)計算部にすでに組み込まれている。わずかな付加的ハードウエアコストにより、このシフトレジスタで暗号化を行うことができる。
【0087】
ステップ11)と12)の変形では、トランスポンダ3が鍵K=x3=X3/Z3とx4=X4/Z4を計算し、Z3, X4, Z4の代わりに値x4だけを伝送する。ただしこれは、GF(2d)のトランスポンダ3上で反転でき、dビット長の値の伝送が反転よりも長く掛かる場合である。
【0088】
続いてステップ13)で、暗号化された応答情報C′がデータ(X4,Z4)、Z3とともに基地局2に返信される。この応答情報C′は使用データを含んでいるが、データ(X4,Z4)、Z3はランダム化されたメッセージに所属する付加的成分である。
【0089】
ステップ14)から16)では、基地局2で対称鍵KがデータZ3,X4,Z4から計算される。ここで重要なことは、秘密鍵ζRを知る基地局2だけが、Z3,X4,Z4からそれぞれの対称鍵Kを得ることができることである。
【0090】
上記の変形実施例では、基地局が鍵をK=X5/Z5により計算する。
【0091】
ステップ17)で基地局2は、トランスポンダ3の応答(X2,Z2)と証明書xT,rT,STを解読する。例えばここでは、El−Gamal暗号/解読法を使用することができる。この方法はいわゆる公開鍵方式であり、ランダム化して暗号化および解読するように構成されている。
【0092】
基地局2はトランスポンダ3の証明書Z′をステップ18)で検査する。証明書Z′が有効でなければ、基地局2はトランスポンダ3を真正ではないとして拒絶する。
【0093】
変形実施例では、トランスポンダ3と基地局2が異なる署名方法ないしは異なる公開鍵をそれぞれの証明書に対して有することができる。
【0094】
ステップ19)〜20)で、基地局2はトランスポンダ3の応答を検査する。基地局2は点P6=r1*T=r1*(ζT*P)の投影x座標を計算し、このとき(X2,Z2)と(X6,Z6)が同じ点の投影座標であり得るかを検査する。これはちょうど、X6Z2=X2Z6が成り立つ場合である。この応答が正しければ、トランスポンダ3は真正である。この応答が間違っていれば、基地局2はトランスポンダ3を真正ではないとして拒絶する。
【0095】
この有利なプロトコルによって、非常に簡単ではあっても非常に安全な認証、最大のプライバシー保護(データおよびロケーションプライバシー)が得られ、加えて最大のフォワードセキュアが提供される。
【0096】
トランスポンダを基地局に対して、トランスポンダについての付加的なプライバシー保護を備えるとともに安全に認証する本発明の方法は、公開鍵暗号方式に基づくものであり、これによりこれまでの対称性解決手段に対して格段の利点を有する。すなわち、基地局側には、トランスポンダのための鍵を中央バックエンドデータバンクで探すために、この中央バックエンドデータバンクへのセキュアアクセスが存在しなくても良いという格段の利点を有する。したがって基地局は、システム全体で統一された秘密鍵を有する必要がない。公知の対称性解決手段では、基地局を「拐かし」、そのマスターキーを入手できたとすると、システム全体が突破され、自分で「有効な」トランスポンダを作製できることとなる。このようなことは本発明では生じ得ない。公開鍵解決手段の場合、基地局は、「有効な」トランスポンダを作製するために不当なユーザが使用することのできる鍵を有していない。
【0097】
この非対称性変形実施例のさらに重要な利点は、種々異なる正当な基地局によるトランスポンダへの種々異なるアクセス権限を、証明書に符号化できることである。すなわち証明書には、基地局が例えば読出し権限だけを有するのか、またはトランスポンダへの書込み権限も有するのかという情報を含むことができる。
【0098】
変形実施例として、全ての基地局が同等の権限を有している場合、各基地局に同じ秘密鍵を設け、相応してトランスポンダにはこれに所属の公開鍵を設けることができる。このことは、トランスポンダへの読出し証明書を検査する必要がない場合に有利である。これによりトランスポンダが遂行しなければならない計算コストが約半分になる。
【0099】
上記においては本発明を有利な実施例に基づき説明したが、本発明はそれらに実施例に制限されるものではなく、種々様々に変更することができる。
【0100】
本発明はRFIDシステムだけに制限されるものではなく、例えば個別部品識別(アイテム識別)に拡張することができる。しばしばこのような部品は一義的に識別する必要はない。ここでは、例えばエラーのある部品の存在を排除することができれば十分であることがしばしばである。これは通常、一義的識別とは称さない。この関連でトランスポンダが動作するとき、トランスポンダはセンサの機能を示す。したがって本発明は明らかに、データ担体ないしはセンサのデータを読出しおよび書込みするための通信が行われるセンサに係るものである。
【0101】
本発明はまた、必ずしもRFIDシステムではなく、また必ずしも無線に構成されていない任意のデータ通信システムにも関連するものである。
【0102】
図3と4では、分かりやすくするためにRFIDシステムの構造、とりわけトランスポンダと基地局の構造は意図的に大きく簡略化して図示されている。基地局と相応のトランスポンダは、基地局とトランスポンダとの間のデータ通信に必要な機能ユニット、例えばデモジュレータ、モジュレータ、エネルギ供給部、同期装置、デコーダ等も同様に含んでいることは自明である。
【0103】
図3と4では、制御装置、評価装置、および認証モジュールをそれぞれ区別した。これらの装置は、例えば制御装置の構成部分とすることも、またはこれとは別個に構成できることも自明である。同様に基地局もトランスポンダも、ただ1つの送受信装置と、所属の送受信アンテナを有することができることを述べておく。基地局および/またはトランスポンダが別個の送受信装置と、とりわけ送信アンテナとこれとは別個の受信アンテナを有することができることももちろん自明である。
【0104】
前記のデータ通信システムとデータ通信方法は、「Reader-talks-first」方式に基づいて記載された。もちろん、基地局がまずトランスポンダの問い合わせを待機する「Tag-talks-first」方式ももちろん考えられる。しかし後者の方式では応答時間が長くなる。したがって例えばRFIDで使用されるような現在の「ロングレンジ」データ通信システムでは「Reader-talks-first」方式を使用するのが有利である。
【0105】
図5に基づいて説明した本発明の認証方法は単なる例として理解すべきである。もちろん、そこでの個々の方法ステップおよび適用される算術演算は本発明の枠内で、例えば機能的に同じ方法ステップまたは択一的方法ステップによって変更または変形することができる。
【図1A】
【図1B】
【技術分野】
【0001】
本発明は、認証方法および認証のための通信システムに関する。
【0002】
本発明は、認証のための無線通信におけるトランスポンダ技術の分野に関連するものである。基本的に任意の通信システムに適用することができるが、本発明ならびに本発明の基礎となる問題を以下では、いわゆるRFID通信システムおよびその適用に基づいて説明する。RFIDとは"Radio Frequency Identification"に対する略語である。このRFID技術の一般的背景に関しては、Klaus Finkenzeller著, Hansa-Verlag出版, 第3版, 2002を参照されたい。
【背景技術】
【0003】
現在公知のRFIDシステムでは、典型的には、基地局(または読出し局またはリーダー)から送信された電磁信号がパッシブトランスポンダ(またはタグ)により受信され、このパッシブトランスポンダは受信した電磁信号からトランスポンダで必要なエネルギを獲得する。UHFまたはマイクロ波ベースの多くのRFIDシステムでは、単方向のエネルギ伝達の他に典型的には双方向データ通信が、いわゆるチャレンジ/レスポンス方式をベースにして行われる。ここで基地局は絶え間なく問い合わせ信号(データリクエスト、チャレンジ)を送信し、この問い合わせ信号は、相応のトランスポンダが基地局の作用領域内に存在する場合だけ応答される。この場合、基地局の直接的環境内に存在するトランスポンダは応答信号(レスポンス)を以て応答する。完全で有効なコマンドを受信して初めて、トランスポンダと基地局との間のデータ通信が行われる。トランスポンダは、基地局と同期して、または非同期で動作することができる。このようなRFIDトランスポンダは対象物、例えば物品、文書等の識別に使用される。
【0004】
従来の有線データ通信とは異なり、この形式のデータ通信では、基地局と相応のトランスポンダとの間のデータ通信がほぼ自立的にバックグランドで行われ、ユーザが存在している必要はまったくない。すなわち、認証されたトランスポンダが所属の基地局の作用領域内に存在すると直ちにデータ通信が開始される。データ担体、例えばディスケット、USBメモリ等の読出しの際には、このデータ担体はユーザにより相応の読出し機器に意図的に接触されなければならず、有線接続のデータ通信の場合、データ通信もユーザにより同様に意図的に開始されなければならない。このことはRFIDベースのデータ通信には当てはまらない。
【0005】
このことは、例えばロジスティクス領域、百貨店等での識別の場合には確かに有利である。しかしRFIDベースのデータ通信技術は、多くの適用の際に注意しなければならない重大な欠点も有する。
【0006】
このような問題は、RFIDトランスポンダに含まれるデータが、とくにこのデータが保安上重要なデータである場合に不正に読み出されることに関係する。この理由から、RFIDベースのデータ通信システムは典型的にはセキュリティ機構も有している。このセキュリティ機構はデータ通信を、基地局からのセキュリティコードを送信信号に変調することにより保安する。このセキュリティコードは、データ通信で許可されたトランスポンダだけがデコードし、評価することができる。評価が上手くいくと、データ通信で許可された、すなわち認証されたトランスポンダは応答信号を送信する。この応答信号も同様にセキュリティコードを含んでおり、基地局に返信され、基地局で再び評価することができる。したがってこのセキュリティコードによって、トランスポンダでも基地局でも両側で認証が行われ、これにより不当な使用者(またはハッカー)が気付かれずにデータ通信に入り込み、保安上重要なデータを取り出すことが回避される。
【0007】
このような認証は、コストをかければ任意に構成することができる。とりわけRFIDベースのデータ通信での重要な周辺条件は、できるだけ簡単かつ迅速に基地局とトランスポンダとの間のデータ通信が行われることである。そのためには一方では、トランスポンダがわずかなリソース、すなわち小さなエネルギリソースと、小さなメモリリソースおよびコンピュータリソースしか有しておらず、認証の際にできるだけ小さいデータ量を評価し、認証されることが重要である。他方では、この認証はできるだけ迅速に実行されるべきである。なぜならRFIDベースのとくに動的なデータ通信システムでは、認証すべきトランスポンダがわずかな時間しか、それぞれの基地局の作用領域内に存在しないことが非常に頻繁だからである。この短い時間内に、データ通信接続が確立され、認証され、引き続きデータ交換が行われなければならない。
【0008】
産業分野、またはプライベート分野で将来期待される、RFIDベースデータ通信システムの大量適用では、ユーザのデータ保護のために、RFIDベースのデータを無許可で盗み見することに対抗する、単純ではあるが効率的な手段がますます必要となる。ここでは以下の3つの保護カテゴリー、すなわち盗聴セキュリティが区別される。
【0009】
1. プライベートデータの保護(データプライバシー):
プライベートデータ保護を保障する際には、不当なユーザが基地局とトランスポンダとの間のデータ通信を盗聴することにより、または択一的にトランスポンダにアクティブに応答することにより、トランスポンダのIDを推測できてしまわないようにしなければならない。そうでないとこの不当なユーザが、トランスポンダに記憶されていて保安上重要であり、取扱注意のデータを入手してしまうことになる。このような取扱注意のデータは、例えばユーザ固有の情報を含んでいることがある。
【0010】
2. 位置的なプライベートエリア保護(ロケーションプライバシー):
位置的なプライベートエリアを保障するためには、不当なユーザが2つの異なる時点で基地局とトランスポンダとの間のデータ通信を盗聴することによって、またはトランスポンダにアクティブに応答することによって、トランスポンダに関する位置情報を入手することを阻止しなければならない。とりわけ不当なユーザがそこから、それが同じトランスポンダであるか、または違うトランスポンダであるかを推測できないことを保障しなければならない。なぜならそうでないと、個々のトランスポンダの運動プロフィールを推定でき(トラッキング)、ひいてはトランスポンダのユーザを特定できてしまうからである。ここでも保安上重要な、取扱注意の情報を保護しなければならない。
【0011】
3. フォワードセキュアの保障:
最後に、不当なユーザが、例えば過去に記録された基地局とトランスポンダとの間のデータ通信をそれぞれ特定のトランスポンダに割り当てることができてはならない。このことはたとえ不当なユーザが後の時点で、この特定のトランスポンダの秘密データを探り出したとしても可能であってはならない。
【0012】
前記の保護、ないしは相応のセキュリティを保障するために、トランスポンダから基地局へ返信される応答信号が、複数の問い合わせの際に不当なユーザには異なっておりランダムに現れるようにしなければならない。このためには種々のアプローチがあり、できるだけ高いセキュリティを保障しなければならない。そのうちのいくつかを、以下に簡単にまとめる。
【0013】
[非特許文献1]には、RFIDタグのプライバシー保護のための手段が記載されている。この解決手段では、一義的な識別コード(ID)が存在し、この識別コードは一時的なランダム識別数META−IDにより置換される。トランスポンダは引き続き、このMETA−IDを含む問い合わせに応答する。このとき、システムに所属していて、権限のある基地局だけがそこからトランスポンダの実際のIDを導出することができる。ここでは確かにデータプライバシー保護は得られるが、2つの異なる時点でのトラッキングないしは盗聴に対しては保護されず、したがって不所望なことには運動プロフィールが識別できてしまう。
[非特許文献2]は、識別コード(ID)が各送信の際にランダム化される方法を開示する。ここでランダム化は、いわゆるハッシュ関数を用いて行われる。しかしこのハッシュ関数は、トランスポンダ上で実現するためには比較的大きなハードウエアコスト、ひいては計算コストを必要とする。さらにここでの欠点は、この方法はフォワードセキュアを提供しないことである。
【0014】
AESに基づくハードウエア実現ベースの方法が[非特許文献3]に記載されている。この方法は、ISO規格 9798によるいわゆる3パス相互認証プロトコルの変形である。このプロトコルはトラッキングに対する保護を提供するが、フォワードセキュアは提供しない。
【0015】
[非特許文献4]には、ハッシュ関数に基づく方法が記載されている。ここでは未必情報S1がトランスポンダ上で、リーダーの各問い合わせ後に、Si+1=Hash (Si) に更新される。この手段によって、フォワードセキュアが保障される。なぜなら目下の状態Siを知っても、以前の状態Sk(ただし、k>i)を推測することはできないからである。しかしこのために必要なハードウエアコストおよび必要なコストが大きいため、この方法は実際上、トランスポンダにはほとんど適さない。
【0016】
基地局とトランスポンダとの間のデータ通信を保安するために、デ―タ通信は暗号データの交換によって行われる。これまで公知の方法、例えば上の[非特許文献l],[非特許文献2],[非特許文献3],[非特許文献4]に記載された方法のほとんどすべてが対称暗号方式に基づく。このようなシステムでは、それぞれのトランスポンダが1つの秘密鍵を有し、この秘密鍵は基地局にファイルされているか、または少なくとも基地局がこの秘密鍵にセキュアアクセスできるよう、中央の保安されたデータバンクにファイルされている。
【0017】
対称暗号方式の他に、いわゆる非対称暗号方式も存在する。この非対称暗号方式は、個人鍵および公開鍵に基づいている。ここで公開鍵は、あらかじめ定めたアルゴリズムを用いて個人鍵から生成される。この暗号方式で重要なのは反転である。すなわち有限の時間内で利用可能な計算能力により、公開鍵から個人鍵を決定できないようにすることである。
【0018】
ここで有利であることが判明しているのは、楕円曲線に基づく暗号鍵生成アルゴリズムを使用することである。なぜならこのアルゴリズムにより、高いセキュリティが小さい鍵で得られるからである。このような楕円曲線に基づく暗号鍵生成方法は非常に効率的である。これはこの方法では、公知の暗号生成方法とは異なり、準指数関数所要時間での攻撃方法が知られていないためである。このことは言い替えると、楕円曲線に基づく方法では使用されるセキュリティパラメータのビット当たりの保安利得が比較的に高く、したがって実際の使用に対しては長さの格段に短い鍵を使用することができることを意味する。このように、楕円曲線に基づいた暗号生成方法は他の暗号生成方法よりも効率的であり、同程度のセキュリティレベルを達成する場合でも、システムパラメータの伝送に必要な帯域幅が小さい。
【0019】
このように暗号生成方法は、データを暗号化する際に期待されるセキュリティと計算コストとの妥協である。DE 101 61 138 A1には、y座標を使用せずにx座標だけで点のスカラー倍数を決定できることが記載されている。相応の計算規則が任意の体に対して同様にこの刊行物に記載されている。これによって点算術、例えばスカラー乗算に対するモンゴメリー関数を格段に効率的に実現することができ、点加算当たりの体の乗算回数を少なくし、また点を表すためおよび中間結果に対するレジスタの数を少なくすることができる。
【先行技術文献】
【非特許文献】
【0020】
【非特許文献1】Daniel Engels, Ronald Rivest, Sanjay Sarma, Stephen Weis, "Security and privacy aspects of low-cost radio frequency identification Systems", International Conference on Security in Pervasive Computing, March 2003.
【非特許文献2】Daniel Engels, Sanjay Sarma, Stephen Weis, "RFID Systems and security and privacy implications", Cryptographic Hardware and Embedded Systems - CHES, August 2003.
【非特許文献3】Martin Feldhofer, Sandra Dominikus, Johannes Wolkerstor-fer, "Strong Authentication for RFID Systems Using the AES Algorithm", Workshop on Cryptographic Hardware Embedded Systems -CHES, August 2004.
【非特許文献4】Miyako Ohkubo, Koutarou Suzuki, Shingo Kinoshita, "Cryptographic Approach to Privacy-Friendly Tags", RFID Privacy Workshop, November 2003.
【発明の概要】
【発明が解決しようとする課題】
【0021】
この背景から本発明の課題は、一方ではできるだけ高いセキュリティを保障し、他方ではそのためにできるだけ低いハードウエアコストしか必要としない、通信システムでの認証方法および認証装置を提供することである。
【課題を解決するための手段】
【0022】
本発明によればこの課題は、請求項1記載の特徴を備えた認証方法および/または請求項19記載の特徴を備えた通信システムによって解決される。ここでは次のようにする。
【0023】
本発明は、通信システムの加入者間での、楕円曲線に基づく非対称暗号方式を使用する認証方法であって、以下のステップを有する。
・第1の加入者と少なくとも1つの第2の加入者に公開鍵を提供するステップ、
ただし前記第1の加入者ないし第2の加入者はそれぞれの加入者だけに既知の秘密鍵を有している、
・第1の加入者から送信された問い合わせを、その中に含まれており、前記第1の加入者に所属する第1の証明書の有効性に関して認証するステップ、
・前記問い合わせに所属する、第2の加入者の応答を計算するステップ、
・前記計算された応答と、前記第2の加入者に所属する第2の証明書を、公開鍵を使用してランダム暗号化するステップ、
・前記第2の加入者から送信された応答を復号し、その中に含まれる第2の証明書の有効性に関して認証するステップ。
【0024】
本発明の認証方法による、楕円曲線に基づく非対称暗号方式を使用した両側認証のための通信システム。
【発明の効果】
【0025】
本発明の基礎となる技術思想は、チャレンジ/レスポンス法による新規の両側認証プロトコルを提供することであり、ここでは基地局とトランスポンダが相互に認証する。この認証は、楕円曲線をベースにする非対称暗号生成に基づく。したがってこの認証方法では、トランスポンダから基地局に返信されたデータが非対称にランダム暗号化される。そのことの利点は、正しい個人鍵、すなわち認可された個人鍵を有する基地局だけが、トランスポンダから返信された応答を解読するように、すなわち「理解」するように構成されることである。他のすべての基地局、すなわち認可されない基地局またはユーザには、トランスポンダから返信された応答はランダムに映る。このようにしてトランスポンダのプライベートエリアの保護が保障される。
【0026】
本発明の認証方法は、データ通信用の新規の拡張された保安プロトコルに基づく。この新規の保安プロトコルは、楕円曲線のためのいわゆるローコスト計算に基づく。
【0027】
したがって本発明によれば、プライベートデータ(データプライバシー)と位置的プライベートエリア(ロケーションプライバシー、トラッキング)を保護するための効率的で新規の識別プロトコルが作成され、このプロトコルは最大限のフォワードセキュアも含む。さらにそのために必要な装置も記載される。本発明の方法は、指数2の有限体による楕円曲線に基づく現代の非対称暗号方式をベースにするものであり、その計算は非常に安価なハードウエアモジュールで実現可能であり、したがってとりわけRFIDベース適用に適するという利点を有すUr。
【0028】
他の対称認証方法に対して本発明の認証方法は、基地局の側には、トランスポンダのための個人鍵、秘密鍵を探すために、中央バックエンドデータバンクへのセキュアアクセスが必要ないという利点を有する。このことは、実現のためのハードウエアコストをさらに低減する。
【0029】
対称解決手段と比較して、いわゆるマスターキーにより到達することのできる基地局が存在するという危険性もない。このようなことがあると、秘密全体が突破されたり、不当なユーザが自分で有効なトランスポンダを作製できたりする。本発明の公開鍵解決手段では、正しい鍵を備える基地局だけがデータを相応のトランスポンダから取り出せる。
【0030】
本発明により非常に効率的に、不当なユーザがリーダーまたはトランスポンダにある秘密鍵に、例えば中央バンクを介して到達できるということが阻止される。そして基地局をシミュレートできることも阻止される。このようなことができると、不当なユーザはデータ通信システムに所属するトランスポンダを同定することができたり、そのプライベートエリア(ローカルプライバシーおよびデータプライバシー)を確定できたりする。
【0031】
本発明の認証方法のさらに重要な利点は、非常に簡単に、種々の基地局によるトランスポンダへの種々のアクセス権限を、いわゆる証明書に符号化できることである。このことはそれぞれの証明書に、基地局が例えば読出し権限だけを有するか、または付加的に相応のトランスポンダへの書込み権限も有するのかという情報が含まれていることを意味する。
【0032】
本発明の認証方法では、両側認証プロトコルが使用される。このプロトコルでは、第1の加入者、例えば基地局と第2の加入者、例えばトランスポンダが相互に認証する。本発明の方法は、楕円曲線に基づく非対称暗号方式を使用する。この暗号化方法は他の方法に対して、認証のために必要なビット量が他の方法に対して格段に小さいという利点を有し、そのためバンド幅が比較的に小さい。
【0033】
このことは、トランスポンダに使用されるアンテナ受信器とも関連して格段に有利である。
【0034】
本発明の有利な実施形態および発展形態は従属請求項ならびに図面を参照する説明より明らかになる。
【0035】
本発明を以下、図面に示した実施例に基づいて詳しく説明する。
【図面の簡単な説明】
【0036】
【図1】楕円曲線の例を示す図である。
【図2】楕円曲線を使用した加算の例を示す図である。
【図3】本発明の通信システムの構造を示すブロック回路図である。
【図4】本発明の認証方法の基本を示すブロック回路図である。
【図5】楕円曲線に基づく本発明の認証方法を説明するフローチャートである。
【発明を実施するための形態】
【0037】
図中、同じ要素ないしは同じ機能の要素には特にことわりがないかぎり同じ参照符号を付してある。
【0038】
本発明の認証方法は新規の保安プロトコルを有し、このプロトコルは楕円曲線のための計算に基づく。したがって本発明の認証方法を説明する前に、まず楕円曲線の重要な特性について図1aと1bに基づき説明する。
【0039】
有限体(ガロア域)GF(2d)上の楕円曲線は三次方程式のゼロ位置量
y2 + xy = x3 + ax2 + b. (1)
であり、ここでxとyは変数、係数aとb、b≠0はガロア域GF(2d)中の係数を表す。
【0040】
図1aと1bには、例として2つの楕円が実数上に示されている。
【0041】
無限に離れた点を中立要素として追加すれば、このゼロ位置集合は加算群を形成し、その群規則は少なくとも楕円曲線で実体を介して幾何学的に解釈することができる。このような加算群は数集合と足し算(群演算)からなる。さらにこの群には中立要素が存在する。この中立要素は、数集合の数を足し算する際にその値を変化しない(例えばゼロ)。さらに数集合の各値に対して逆要素が存在する。したがって相応する値をこの逆要素と加算すると中立要素が得られる。ここで重要なのは、代数幾何学からの2つの結果である(図2参照)。
【0042】
各直線は楕円曲線と、必ずしも相互に異なっていない3つの点で交差する。必ずしも異なっていない各2つの点について第3の点を計算することができ、したがって3つの点の和が中立要素である。PとQ(ただしP≠−Q)が2つの点であり、gがこれらの点P、Qを通る直線であれば、この直線は楕円曲線と第3の点Rで交差する。RのX軸での対称によってS=P+Qが得られる。P=−Qの場合に対して、gの勾配は無限であり、第3の交点Rは無限に離れた点である。
【0043】
ベクトル空間でのスカラー乗算の定義と同じように、楕円曲線でのスカラー乗算が定義される。Pは楕円曲線の点であり、kは自然数とする。スカラー乗算k*Pは、Pそれ自体をk回加算することに相当する。このスカラー乗算k*Pは、楕円曲線に基づいた暗号生成システムの主要なブロックを形成する。頑強な暗号生成楕円曲線では、スカラー乗算が一方向関数となる。すなわちスカラー乗算は多項式時間で計算できるが、指数関数的時間でしか反転できない。したがってスカラーを効率的アルゴリズムで復元することは困難であると考えられる。この一方向関数は、楕円関数に基づく暗号認証方法の基礎を形成する。
【0044】
楕円曲線ベースでのこのようなスカラー乗算を実現するための公知の方法は、いわゆるモンゴメリー関数である。モンゴメリー関数は、点Pのスカラー倍のx座標の計算に、Pのx座標だけと、もっぱらガロア域GF(2d)での加算と乗算だけが使用されるようにして実現される。ここでは面倒な反転は必要ない。
【0045】
モンゴメリー関数の正確なアルゴリズムは、次式により呼び出される
(Xkp, Zkp) ← MonMul (k,Xp),
次のとおりである。
【0046】
インプットパラメータ:
二進表現でのスカラーk=(kn−1,....,k0)
点Pのx座標。
【0047】
アウトプットパラメータ:
点k*Pの座標(X,Z)、したがってX/Zはアフィンx座標である。
【0048】
モンゴメリー関数のアルゴリズムの方法ステップ(プログラム言語C++):
【数1】
【0049】
上記の加算および乗算は、ガロア域GF(2d)で比較的小さいハードウエアコストにより実行できる。ここで相応のトランスポンダおよび基地局は、この計算処理を実行するために簡単で安価な計算機構しか必要としない。この計算機構の主構成部分であるシフトレジスタを帰還結合することによって、乗算をdクロックで実行することができ、このとき加算は1つのクロックで実現することができる。
【0050】
上記のモンゴメリーアルゴリズムは、スカラー乗算の効率的計算に用いられ、シフトレジスタにより実現することができる。
【0051】
以下に説明する本発明の両側認証方法は、このモンゴメリーアルゴリズムに基づくものである。本発明の認証方法のプロトコルは、トランスポンダがまず基地局に対して公知のチャレンジ/レスポンス法によって認証する片側認証の拡張である。さらに本発明の認証方法は、トランスポンダのプライベートエリアとフォワードセキュアに対して最大のセキュリティを提供する。
【0052】
本発明の両側認証方法を説明する前に、以下では図3のブロック回路図に基づいて本発明の通信システムの基本構造をまず詳細に説明する。
【0053】
図3には、参照符合1により通信システム、例えばRFID通信システムが示されている。RFID通信システム1は、第1の加入者(基地局2)と、トランスポンダ3を含む。基地局2と第2の加入者(トランスポンダ3)は無線通信区間4を介して双方向通信接続している。通信システム1は例えばマスタ−スレーブ通信システムとして構成することもできる。この場合、基地局2はマスタとして、トランスポンダ3はそれぞれスレーブとして機能する。
【0054】
基地局2は制御装置5、送受信装置6、ならびに送受信アンテナ7を有する。同じようにトランスポンダも制御装置8、送受信装置9、ならびに送受信アンテナ10を有する。
【0055】
送受信アンテナ7,10は、誘導性コイルアンテナまたはダイポールアンテナとして構成することができる。
【0056】
それぞれの制御装置5,8では、データ通信フローが制御される。典型的には制御装置は計算装置(計算機構、CPU等)を含んでおり、この計算装置でとりわけ認証のための計算処理が実行される。
【0057】
データ通信の制御は、それぞれ基地局側の制御装置5とトランスポンダ側の制御装置8により行われる。基地局2の制御装置5は、アンテナ7を介して高周波搬送信号11をトランスポンダ3のアンテナ10に送信するように構成されている。同じように、トランスポンダ3の制御装置8と送受信装置9は、送信された搬送信号11に対して相応する応答信号12を基地局2へ返信するように構成されている。制御装置5,8はプログラム制御される装置、例えばマイクロコントローラまたはマイクロプロセッサとして構成することができる。または固定配線された論理回路、例えばFPGAまたはPLDに実現することもできる。
【0058】
メモリ18,19は典型的にはRAMであり、例えば計算結果がファイルされている。付加的にまたは択一的に、このメモリ18,19はEEPROMを有することができ、このEEPROMには、システムパラメータ、種々の通信加入者のパラメータ、例えば加入者固有の個人鍵、公開鍵、加入者固有の証明書等がファイルされている。
【0059】
基地局2はさらに評価装置14を有する。この評価装置14は基地局2の受信経路に配置されており、送受信装置6の受信器に後置して配置されている。同じようにトランスポンダ3も評価装置15を、トランスポンダ3の受信経路23に有する。それぞれの評価装置14,15では、データ通信の受信データが評価される。とりわけそこでは、まず受信データの復調そして復号が行われる。
【0060】
本発明によれば、基地局2とトランスポンダ3の両者が認証モジュール16,17を有し、この認証モジュールはそれぞれの送受信装置6,9と基地局2ないしトランスポンダ3の制御装置5,8との間に配置されている。この認証モジュール16,17はここでは別個のモジュールとして構成されている。しかし有利には認証モジュール16、17はそれぞれの制御装置5,8の構成部分である。
【0061】
認証モジュール16,17はさらにメモリ18,19を有する。このメモリには認証に必要なデータ、またはバッファしなければならないデータ、鍵等がファイルされている。
【0062】
本発明の認証方法(または認証プロトコル)の基本原理を以下、図4の概略図に基づいて説明する。
【0063】
図4は、通信システム1の基地局2とトランスポンダ3を概略的に示す。そこにはこの装置2,3内の認証モジュール16,17だけが認証方法の説明のために示されている。基地局側の記憶装置18には、証明書Zと基地局2の基地局側秘密鍵がファイルされており、トランスポンダ3の記憶装置19には、前記とは異なる証明書Z′とトランスポンダ側の秘密鍵がファイルされていることを前提とする。
【0064】
本発明の認証方法では以下のことが行われる:
・認証方法の開始時に、基地局側の認証モジュール16が問い合せC(C=Challenge)を形成する。
・認証モジュール16はこの問い合わせCを、記憶されている基地局側証明書Zとともに問い合わせ信号11として送信する。この基地局2の直接的環境内に存在する1つまたは複数のトランスポンダ3が、証明書Zと問い合わせCを備えるこの問い合わせ信号11を受信し、この問い合わせ信号11はそれぞれのトランスポンダ3で公知のように復調され、復号される。
・引き続きトランスポンダ3の認証モジュール17が、このようにして受信された証明書Zをその有効性について検査する。
・続いて認証モジュール17は、この問い合わせCに適合する応答R(R=Response)を計算する。
・続いて認証モジュール17は応答信号として、この応答Rならびにトランスポンダ3のメモリ19にファイルされているトランスポンダ固有の証明書Z′を基地局2に返信する。ここで重要なことは、トランスポンダ3から返信されたデータ、すなわち応答Rと証明書Z′が認証モジュール17によって前もって非対称にランダム暗号化されており、したがってこの非対称にランダム暗号化されたデータA = f(R, Z′)が基地局2に送信されることである。ここで暗号生成(Enc)は、例えば基地局2から送信された証明書Zに含まれている基地局2の公開鍵(PublicKeyReader)を用いて行われる。
・基地局2およびそこの認証モジュール16で、この非対称にランダム暗号化されたデータA = f(R, Z′)を含む受信応答信号12が個人鍵(PrivateKeyReader)によって解読され、したがって認証モジュール16にも同様に応答Rとこの証明書Z′が存在するようになる。
・認証モジュール16は解読された証明書Z′ならびに応答Rを検査する。これらデータR、Z′の検査が肯定であれば、トランスポンダ3は基地局2に対して認証され、これに続いて本来のデータ通信を基地局2とトランスポンダ3との間で行うことができる。
【0065】
この両側認証プロトコルを実現するためには、基地局が問い合わせCを、トランスポンダ3にファイルされている秘密鍵(証明書Z′)に依存しないで形成することが重要である。そうでないと、トランスポンダ3が基地局2に前もって自分のIDまたは公開鍵を通知できるようにするため、付加的な通信ステップが必要となろう。本発明のプロトコルにより認証方法全体が短くなる。
【0066】
さらに重要なのは、問い合わせCと応答Rの形成ならびに相応の証明書Z、Z′が、認証プロトコルを楕円曲線に基づガロア域GF(2d)上で実行できるようにあらかじめ設定されていることである。従来公知の両側非対称認証方法との相違は、それぞれ問いかけられたトランスポンダ3のプライベートエリアの保護が付加的に得られることである。
【0067】
上に図4に基づいて説明した認証プロトコルは以下の特性を有する。
【0068】
認証性:
トランスポンダ3は基地局2に対して、有効な証明書Z′を、基地局2から送信された問い合わせCに対する有効な応答Rとともにこの基地局2に返信することによって認証される。証明書Z′からの公開鍵xTに所属する秘密鍵ζTについてトランスポンダが知っていれば、トランスポンダ3はこのような有効な応答Rを単に計算して返信することができる。
【0069】
トランスポンダのプライバシー保護:
トランスポンダ3に相応する通信システム1に所属する基地局2だけが、すなわち有効な証明書Zを送信し、証明書Z内の公開鍵xRと同時に適合する秘密鍵ζRを有する基地局2だけが、ここではトランスポンダ3から返信されたデータAを解読することができ、これを解釈することができる。他のすべての基地局2には、トランスポンダ3のデータはランダムである。このようにしてそれぞれのトランスポンダ3のデータ保護(データプライバシー)が得られる。
【0070】
付加的に基地局2からトランスポンダ3への各問い合わせCの際に新たなランダム鍵Kが選択される。したがってトランスポンダ3から返信されたデータAは、基地局2の各問い合わせの際に、繰り返し同じ問い合わせが行われたにしても異なっている。この場合不当なユーザは、その度に異なる問い合わせデータと応答データを識別しなければならないことになり、したがってこの問い合わせデータと、異なる時点で1つの同じトランスポンダ3から基地局に送信される相応する応答データとを結び付けることはできないであろう。このことにより不所望のいわゆるトラッキング(ロケーションプライバシー)に対する最大のセキュリティが可能である。
【0071】
フォワードセキュア:
認証プロトコルが再度実行される際(インスタンス)に、トランスポンダ3は鍵Kを新たにランダムに選択し、自分の証明書Z′、ならびにトランスポンダ側の秘密鍵ζTに依存する相応の応答Rをこれにより暗号化するから、不当なユーザはこの認証プロトコルの記録されたインスタンスをそれぞれのトランスポンダ3に前もって割り当てることはできない。このために不当なユーザはそれぞれの鍵Kを知らなければならない。しかしこの鍵は認証プロトコルの各インスタンス後にトランスポンダ3により破棄され、トランスポンダ3自体には記憶されない。不当なユーザが例えばトランスポンダ3を分解して分析することにより知ることのできる唯一の秘密は秘密鍵ζTである。しかしこの秘密鍵ζTは、鍵Kには何の影響も及ぼさない。不当なユーザがこの秘密鍵ζTを知ることになれば、トランスポンダの認証が不可能となる。したがって、基地局2とのデータ通信をこのトランスポンダ3は継続することができなくなる。これは認証方法全体のさらなる保護である。
【0072】
したがい全体として、認証に関しても、フォワードセキュアおよびデータ保護(プライバシー保護)に関してもデータ通信の最大のセキュリティが比較的小さな手段で可能である。
【0073】
以下、楕円曲線に基づく本発明の認証方法の例を、図5のフローチャートで説明する。
【0074】
認証のためには、通信システム1、基地局2およびトランスポンダ3に対して次のパラメータが設定される。
【0075】
システムパラメータとして、すなわち通信システム全体と認証全体に適用されるパラメータとして、次のパラメータが設定される。
・適切な楕円曲線が設定される。
・xpは、原点Pのアフィンx座標である。
・xsは、署名認証のための公開鍵である。
【0076】
基地局2だけに対して次のパラメータが適用される。
・ζRは、基地局側の秘密鍵である。
・xR、rR、sRは証明書Zを表し、ここでxRは公開鍵(点R=ζR*Pのアフィンx座標)を、rR、sRは公開鍵xSにより検証することのできるxRのECGDSA署名を表す。
【0077】
トランスポンダ3に対してだけ次のパラメータが設けられる。
・ζTは、トランスポンダ側の秘密鍵である。
・xT、rT、sTは証明書Z′を表し、ここでxTは公開鍵(点T=ζT*Pのアフィンx座標)を、rT、sTは公開鍵xSにより検証することのできるxTの署名を表す。
【0078】
図5に示された例としての認証方法は次のように実行される。
【0079】
図5に示された本発明の認証プロトコルのステップ1)から4)で基地局は問い合わせC=xiを形成する。この問い合わせxiは、ランダムなスカラーに対する点P1=r1*Pのx座標である。基地局2はこの問い合せxi、ならびに基地局2の公開鍵xRおよび署名成分rR、sRからなる基地局3の証明書Z=[xR、rR、sR]をトランスポンダ3に送信する。
【0080】
ステップ5)では署名検査が行われる。署名検査では、トランスポンダ3が基地局2の証明書Zの有効性を検査する。鍵xRは基地局3により、証明書Zが有効であれば真正であると見なされる。署名検査は例えば「ローコスト証明アルゴリズム」により実行することができる。これについては例えばドイツ特許願DE 101 61 137 A1に記載されている。この刊行物を、署名検査方法に関して本願の内容に取り入れる。
【0081】
この署名検査では、3つのスカラー乗算(XA, ZA) ← MonMul(rR, rR) , (XB, ZB) ← MonMul sR, xs) , (Xc, Zc) ← MonMul (xR, xP)が実行される。次式が成立するときだけ
【数2】
証明書Zは有効として検証される。したがってこの式(2)は、ガロア域GF(2d)における非常に簡単な11の乗算により評価することができる。
【0082】
証明書Zが有効と見なされない場合に対しては、トランスポンダ3が証明書Zを送信する基地局2を、真正ではない、すなわち無効であるとして拒絶する。これらの場合にはさらなるデータ通信は行われない。
【0083】
ステップ6)では応答計算が行われる。ここでトランスポンダ3は問い合わせx1に対して相応の応答を計算する。この応答は、点P2 = ζT*P1 = ζT*(r1*P)の投影x座標を表す。
【0084】
続いてステップ7)から10)でトランスポンダ3ではランダム化された鍵が形成される。トランスポンダ3は対称鍵K=X3を形成し、この鍵は点P3=r2*R=r2*(ζR*P)の投影x座標を表す。ここでr2はランダムなスカラーである。点P4の投影x座標(X4, Z4)および成分Z3は、基地局2が対称鍵Kを計算するために用いられる。
【0085】
ステップ11)および12)では、トランスポンダ3が応答(X2, Z2)を自分の証明書Z′とともに暗号化する。ここで証明書Z′は、トランスポンダ3の公開鍵XTと署名成分rTおよびsTからなる。ステップ11)ではまずデータ(x2, Z2)と証明書Z′が順次配置される。ステップ12)では本来の暗号生成が行われる。ここでは任意の、詳細に説明しない暗号生成方法を使用することができる。
【0086】
暗号化された応答情報C′を得るために、例えば対称暗号法が使用される。対称暗号生成のための装置はリニアシフトレジスタに基づくことができ、このリニアシフトレジスタはトランスポンダ3のGF(2d)計算部にすでに組み込まれている。わずかな付加的ハードウエアコストにより、このシフトレジスタで暗号化を行うことができる。
【0087】
ステップ11)と12)の変形では、トランスポンダ3が鍵K=x3=X3/Z3とx4=X4/Z4を計算し、Z3, X4, Z4の代わりに値x4だけを伝送する。ただしこれは、GF(2d)のトランスポンダ3上で反転でき、dビット長の値の伝送が反転よりも長く掛かる場合である。
【0088】
続いてステップ13)で、暗号化された応答情報C′がデータ(X4,Z4)、Z3とともに基地局2に返信される。この応答情報C′は使用データを含んでいるが、データ(X4,Z4)、Z3はランダム化されたメッセージに所属する付加的成分である。
【0089】
ステップ14)から16)では、基地局2で対称鍵KがデータZ3,X4,Z4から計算される。ここで重要なことは、秘密鍵ζRを知る基地局2だけが、Z3,X4,Z4からそれぞれの対称鍵Kを得ることができることである。
【0090】
上記の変形実施例では、基地局が鍵をK=X5/Z5により計算する。
【0091】
ステップ17)で基地局2は、トランスポンダ3の応答(X2,Z2)と証明書xT,rT,STを解読する。例えばここでは、El−Gamal暗号/解読法を使用することができる。この方法はいわゆる公開鍵方式であり、ランダム化して暗号化および解読するように構成されている。
【0092】
基地局2はトランスポンダ3の証明書Z′をステップ18)で検査する。証明書Z′が有効でなければ、基地局2はトランスポンダ3を真正ではないとして拒絶する。
【0093】
変形実施例では、トランスポンダ3と基地局2が異なる署名方法ないしは異なる公開鍵をそれぞれの証明書に対して有することができる。
【0094】
ステップ19)〜20)で、基地局2はトランスポンダ3の応答を検査する。基地局2は点P6=r1*T=r1*(ζT*P)の投影x座標を計算し、このとき(X2,Z2)と(X6,Z6)が同じ点の投影座標であり得るかを検査する。これはちょうど、X6Z2=X2Z6が成り立つ場合である。この応答が正しければ、トランスポンダ3は真正である。この応答が間違っていれば、基地局2はトランスポンダ3を真正ではないとして拒絶する。
【0095】
この有利なプロトコルによって、非常に簡単ではあっても非常に安全な認証、最大のプライバシー保護(データおよびロケーションプライバシー)が得られ、加えて最大のフォワードセキュアが提供される。
【0096】
トランスポンダを基地局に対して、トランスポンダについての付加的なプライバシー保護を備えるとともに安全に認証する本発明の方法は、公開鍵暗号方式に基づくものであり、これによりこれまでの対称性解決手段に対して格段の利点を有する。すなわち、基地局側には、トランスポンダのための鍵を中央バックエンドデータバンクで探すために、この中央バックエンドデータバンクへのセキュアアクセスが存在しなくても良いという格段の利点を有する。したがって基地局は、システム全体で統一された秘密鍵を有する必要がない。公知の対称性解決手段では、基地局を「拐かし」、そのマスターキーを入手できたとすると、システム全体が突破され、自分で「有効な」トランスポンダを作製できることとなる。このようなことは本発明では生じ得ない。公開鍵解決手段の場合、基地局は、「有効な」トランスポンダを作製するために不当なユーザが使用することのできる鍵を有していない。
【0097】
この非対称性変形実施例のさらに重要な利点は、種々異なる正当な基地局によるトランスポンダへの種々異なるアクセス権限を、証明書に符号化できることである。すなわち証明書には、基地局が例えば読出し権限だけを有するのか、またはトランスポンダへの書込み権限も有するのかという情報を含むことができる。
【0098】
変形実施例として、全ての基地局が同等の権限を有している場合、各基地局に同じ秘密鍵を設け、相応してトランスポンダにはこれに所属の公開鍵を設けることができる。このことは、トランスポンダへの読出し証明書を検査する必要がない場合に有利である。これによりトランスポンダが遂行しなければならない計算コストが約半分になる。
【0099】
上記においては本発明を有利な実施例に基づき説明したが、本発明はそれらに実施例に制限されるものではなく、種々様々に変更することができる。
【0100】
本発明はRFIDシステムだけに制限されるものではなく、例えば個別部品識別(アイテム識別)に拡張することができる。しばしばこのような部品は一義的に識別する必要はない。ここでは、例えばエラーのある部品の存在を排除することができれば十分であることがしばしばである。これは通常、一義的識別とは称さない。この関連でトランスポンダが動作するとき、トランスポンダはセンサの機能を示す。したがって本発明は明らかに、データ担体ないしはセンサのデータを読出しおよび書込みするための通信が行われるセンサに係るものである。
【0101】
本発明はまた、必ずしもRFIDシステムではなく、また必ずしも無線に構成されていない任意のデータ通信システムにも関連するものである。
【0102】
図3と4では、分かりやすくするためにRFIDシステムの構造、とりわけトランスポンダと基地局の構造は意図的に大きく簡略化して図示されている。基地局と相応のトランスポンダは、基地局とトランスポンダとの間のデータ通信に必要な機能ユニット、例えばデモジュレータ、モジュレータ、エネルギ供給部、同期装置、デコーダ等も同様に含んでいることは自明である。
【0103】
図3と4では、制御装置、評価装置、および認証モジュールをそれぞれ区別した。これらの装置は、例えば制御装置の構成部分とすることも、またはこれとは別個に構成できることも自明である。同様に基地局もトランスポンダも、ただ1つの送受信装置と、所属の送受信アンテナを有することができることを述べておく。基地局および/またはトランスポンダが別個の送受信装置と、とりわけ送信アンテナとこれとは別個の受信アンテナを有することができることももちろん自明である。
【0104】
前記のデータ通信システムとデータ通信方法は、「Reader-talks-first」方式に基づいて記載された。もちろん、基地局がまずトランスポンダの問い合わせを待機する「Tag-talks-first」方式ももちろん考えられる。しかし後者の方式では応答時間が長くなる。したがって例えばRFIDで使用されるような現在の「ロングレンジ」データ通信システムでは「Reader-talks-first」方式を使用するのが有利である。
【0105】
図5に基づいて説明した本発明の認証方法は単なる例として理解すべきである。もちろん、そこでの個々の方法ステップおよび適用される算術演算は本発明の枠内で、例えば機能的に同じ方法ステップまたは択一的方法ステップによって変更または変形することができる。
【図1A】
【図1B】
【特許請求の範囲】
【請求項1】
通信システム(1)の加入者間(2,3)での、楕円曲線に基づく非対称暗号方式を使用する認証方法であって、以下のステップを有する:
(a)第1の加入者(2)と少なくとも1つの第2の加入者(3)に公開鍵を提供するステップ、
ただし前記第1の加入者ないし第2の加入者はそれぞれの加入者(2,3)だけが知る秘密鍵を有しており、
(b)第1の加入者(2)から送信された問い合わせを、その中に含まれており、前記第1の加入者(2)に所属する第1の証明書の有効性に関して認証するステップ、
(c)前記問い合わせに所属する、第2の加入者(3)の応答を計算するステップ、
(d)前記計算された応答と、前記第2の加入者(3)に所属する第2の証明書を、公開鍵を使用してランダム暗号化するステップ、
(e)前記第2の加入者(3)から送信された応答を復号し、その中に含まれる第2の証明書の有効性に関して認証するステップ、
ことを特徴とする認証方法。
【請求項2】
請求項1記載の方法において、
それぞれの加入者(2,3)に所属する秘密鍵は、これに所属の公開鍵を有する、ことを特徴とする方法。
【請求項3】
請求項2記載の方法において、
前記公開鍵は第1の証明書に含まれており、第2の加入者(3)によって第1の加入者(2)の前記第1の証明書から求められる、ことを特徴とする方法。
【請求項4】
請求項1から3までのいずれか一項記載の方法において、
データ通信はチャレンジ/レスポンス法に基づいて行われ、該チャンレンジ/レスポンス法では、
第1の加入者が問い合わせを第2の加入者に送信し、該問い合わせはその中に含まれる第1の証明書の他に問い合わせ情報(チャレンジ)も含んでおり、
第2の加入者が応答を第1の加入者に返信し、該応答はその中に含まれる第2の証明書の他に応答情報(レスポンス)も含んでいる、ことを特徴とする方法。
【請求項5】
請求項4記載の方法において、
前記ステップ(e)で、送信された応答をその中に含まれる応答情報に関して検査する、ことを特徴とする方法。
【請求項6】
請求項1から5までのいずれか一項記載の方法において、
前記第1の加入者(2)の問い合わせは、前記第2の加入者(3)の第2の証明書には依存しない、ことを特徴とする方法。
【請求項7】
請求項1から6までのいずれか一項記載の方法において、
通信システム(1)のシステムパラメータとして、暗号生成方法に適した楕円曲線、原点のアフィンx座標、および署名検査のための公開鍵を生成する、ことを特徴とする方法。
【請求項8】
請求項1から7までのいずれか一項記載の方法において、
第1の加入者(2)のパラメータとして、第1の加入者だけに既知の第1の鍵と、第1の加入者(2)の第1の証明書を生成する、ことを特徴とする方法。
【請求項9】
請求項1から8までのいずれか一項記載の方法において、
第2の加入者(3)のパラメータとして、第2の加入者だけに既知の第2の鍵と、第2の加入者(3)の第2の証明書を生成する、ことを特徴とする方法。
【請求項10】
請求項1から9までのいずれか一項記載の方法において、
前記ステップ(e)で署名検査を実行し、
該署名検査では第1の証明書の有効性を、公開鍵を使用して検査する、ことを特徴とする方法。
【請求項11】
請求項1から10までのいずれか一項記載の方法において、
前記ステップ(d)で、対称鍵をランダムに生成し、
ランダム暗号化を、対称鍵暗号生成法を使用して行う、ことを特徴とする方法。
【請求項12】
請求項1から11までのいずれか一項記載の方法において、
前記ステップ(d)で、計算された応答と第2の証明書を、ランダム暗号化の前に連鎖によって順次配置する、ことを特徴とする方法。
【請求項13】
請求項11記載の方法において、
前記ステップ(e)で第1の加入者(2)は対称鍵を、第2の加入者(3)から送信された情報に基づき第1の鍵を使用して計算する、ことを特徴とする方法。
【請求項14】
請求項13記載の方法において、
前記ステップ(e)で第1の加入者(2)は、計算された応答および第2の加入者(3)の第2の証明書を、計算された対称鍵を使用して解読する、ことを特徴とする方法。
【請求項15】
請求項13または14項記載の方法において、
前記ステップ(e)で、第2の加入者(3)の第2の証明書および計算された応答を、それらの真正に関して検査する、ことを特徴とする方法。
【請求項16】
請求項1から15までのいずれか一項記載の方法において、
暗号生成アルゴリズムは、適切な楕円曲線上でのスカラー乗算に基づいて実現される、ことを特徴とする方法。
【請求項17】
請求項16記載の方法において、
スカラー乗算はモンゴメリーアルゴリズムによって実現される、ことを特徴とする方法。
【請求項18】
請求項16または17項記載の方法において、
スカラー乗算はシフトレジスタによって実行され、
該シフトレジスタはクロック毎に乗算ステップおよび/または加算ステップを実行する、ことを特徴とする方法。
【請求項19】
請求項1から18までのいずれか一項記載の認証方法による、楕円曲線に基づく非対称暗号生成アルゴリズムを使用した両側認証のための通信システム(1)。
【請求項20】
請求項19記載のシステムにおいて、
第1の加入者(2)と少なくとも1つの第2の加入者(3)が設けられており、
前記第1と第2の加入者は相互にデータ通信接続(4)しており、
前記第1と第2の加入者(2,3)は、両側認証のためにそれぞれ認証モジュール(16,18)を有する、ことを特徴とするシステム。
【請求項21】
請求項20記載のシステムにおいて、
それぞれの加入者(2,3)の認証モジュール(16,17)は計算装置を有し、
該計算装置は、それぞれの認証モジュール(16,17)内での計算、検査および認証のために設けられている、ことを特徴とするシステム。
【請求項22】
請求項20または21項記載のシステムにおいて、
それぞれの加入者(2,3)の認証モジュール(17,18)は暗号化/解読装置を有し、
該暗号化/解読装置は、それぞれの暗号化および/または解読のために設けられている、ことを特徴とするシステム。
【請求項23】
請求項19から22までのいずれか一項記載のシステムにおいて、
各加入者(2,3)はメモリ(18,19)を有し、
該メモリには、システムパラメータならびに当該加入者(2,3)に所属するそれぞれのパラメータがファイルされている、ことを特徴とするシステム。
【請求項24】
請求項19から23までのいずれか一項記載のシステムにおいて、
前記第1と第2の加入者(2,3)は、通信システム(1)、とりわけRFIDシステムとして構成された通信システム(1)の通信加入者である、ことを特徴とするシステム。
【請求項25】
請求項19から24までのいずれか一項記載のシステムにおいて、
前記第1の加入者(2)は基地局(2)であり、前記第2の加入者(3)はトランスポンダ(3)、とりわけパッシブまたはセミパッシブ型のトランスポンダ(3)である、ことを特徴とするシステム。
【請求項1】
通信システム(1)の加入者間(2,3)での、楕円曲線に基づく非対称暗号方式を使用する認証方法であって、以下のステップを有する:
(a)第1の加入者(2)と少なくとも1つの第2の加入者(3)に公開鍵を提供するステップ、
ただし前記第1の加入者ないし第2の加入者はそれぞれの加入者(2,3)だけが知る秘密鍵を有しており、
(b)第1の加入者(2)から送信された問い合わせを、その中に含まれており、前記第1の加入者(2)に所属する第1の証明書の有効性に関して認証するステップ、
(c)前記問い合わせに所属する、第2の加入者(3)の応答を計算するステップ、
(d)前記計算された応答と、前記第2の加入者(3)に所属する第2の証明書を、公開鍵を使用してランダム暗号化するステップ、
(e)前記第2の加入者(3)から送信された応答を復号し、その中に含まれる第2の証明書の有効性に関して認証するステップ、
ことを特徴とする認証方法。
【請求項2】
請求項1記載の方法において、
それぞれの加入者(2,3)に所属する秘密鍵は、これに所属の公開鍵を有する、ことを特徴とする方法。
【請求項3】
請求項2記載の方法において、
前記公開鍵は第1の証明書に含まれており、第2の加入者(3)によって第1の加入者(2)の前記第1の証明書から求められる、ことを特徴とする方法。
【請求項4】
請求項1から3までのいずれか一項記載の方法において、
データ通信はチャレンジ/レスポンス法に基づいて行われ、該チャンレンジ/レスポンス法では、
第1の加入者が問い合わせを第2の加入者に送信し、該問い合わせはその中に含まれる第1の証明書の他に問い合わせ情報(チャレンジ)も含んでおり、
第2の加入者が応答を第1の加入者に返信し、該応答はその中に含まれる第2の証明書の他に応答情報(レスポンス)も含んでいる、ことを特徴とする方法。
【請求項5】
請求項4記載の方法において、
前記ステップ(e)で、送信された応答をその中に含まれる応答情報に関して検査する、ことを特徴とする方法。
【請求項6】
請求項1から5までのいずれか一項記載の方法において、
前記第1の加入者(2)の問い合わせは、前記第2の加入者(3)の第2の証明書には依存しない、ことを特徴とする方法。
【請求項7】
請求項1から6までのいずれか一項記載の方法において、
通信システム(1)のシステムパラメータとして、暗号生成方法に適した楕円曲線、原点のアフィンx座標、および署名検査のための公開鍵を生成する、ことを特徴とする方法。
【請求項8】
請求項1から7までのいずれか一項記載の方法において、
第1の加入者(2)のパラメータとして、第1の加入者だけに既知の第1の鍵と、第1の加入者(2)の第1の証明書を生成する、ことを特徴とする方法。
【請求項9】
請求項1から8までのいずれか一項記載の方法において、
第2の加入者(3)のパラメータとして、第2の加入者だけに既知の第2の鍵と、第2の加入者(3)の第2の証明書を生成する、ことを特徴とする方法。
【請求項10】
請求項1から9までのいずれか一項記載の方法において、
前記ステップ(e)で署名検査を実行し、
該署名検査では第1の証明書の有効性を、公開鍵を使用して検査する、ことを特徴とする方法。
【請求項11】
請求項1から10までのいずれか一項記載の方法において、
前記ステップ(d)で、対称鍵をランダムに生成し、
ランダム暗号化を、対称鍵暗号生成法を使用して行う、ことを特徴とする方法。
【請求項12】
請求項1から11までのいずれか一項記載の方法において、
前記ステップ(d)で、計算された応答と第2の証明書を、ランダム暗号化の前に連鎖によって順次配置する、ことを特徴とする方法。
【請求項13】
請求項11記載の方法において、
前記ステップ(e)で第1の加入者(2)は対称鍵を、第2の加入者(3)から送信された情報に基づき第1の鍵を使用して計算する、ことを特徴とする方法。
【請求項14】
請求項13記載の方法において、
前記ステップ(e)で第1の加入者(2)は、計算された応答および第2の加入者(3)の第2の証明書を、計算された対称鍵を使用して解読する、ことを特徴とする方法。
【請求項15】
請求項13または14項記載の方法において、
前記ステップ(e)で、第2の加入者(3)の第2の証明書および計算された応答を、それらの真正に関して検査する、ことを特徴とする方法。
【請求項16】
請求項1から15までのいずれか一項記載の方法において、
暗号生成アルゴリズムは、適切な楕円曲線上でのスカラー乗算に基づいて実現される、ことを特徴とする方法。
【請求項17】
請求項16記載の方法において、
スカラー乗算はモンゴメリーアルゴリズムによって実現される、ことを特徴とする方法。
【請求項18】
請求項16または17項記載の方法において、
スカラー乗算はシフトレジスタによって実行され、
該シフトレジスタはクロック毎に乗算ステップおよび/または加算ステップを実行する、ことを特徴とする方法。
【請求項19】
請求項1から18までのいずれか一項記載の認証方法による、楕円曲線に基づく非対称暗号生成アルゴリズムを使用した両側認証のための通信システム(1)。
【請求項20】
請求項19記載のシステムにおいて、
第1の加入者(2)と少なくとも1つの第2の加入者(3)が設けられており、
前記第1と第2の加入者は相互にデータ通信接続(4)しており、
前記第1と第2の加入者(2,3)は、両側認証のためにそれぞれ認証モジュール(16,18)を有する、ことを特徴とするシステム。
【請求項21】
請求項20記載のシステムにおいて、
それぞれの加入者(2,3)の認証モジュール(16,17)は計算装置を有し、
該計算装置は、それぞれの認証モジュール(16,17)内での計算、検査および認証のために設けられている、ことを特徴とするシステム。
【請求項22】
請求項20または21項記載のシステムにおいて、
それぞれの加入者(2,3)の認証モジュール(17,18)は暗号化/解読装置を有し、
該暗号化/解読装置は、それぞれの暗号化および/または解読のために設けられている、ことを特徴とするシステム。
【請求項23】
請求項19から22までのいずれか一項記載のシステムにおいて、
各加入者(2,3)はメモリ(18,19)を有し、
該メモリには、システムパラメータならびに当該加入者(2,3)に所属するそれぞれのパラメータがファイルされている、ことを特徴とするシステム。
【請求項24】
請求項19から23までのいずれか一項記載のシステムにおいて、
前記第1と第2の加入者(2,3)は、通信システム(1)、とりわけRFIDシステムとして構成された通信システム(1)の通信加入者である、ことを特徴とするシステム。
【請求項25】
請求項19から24までのいずれか一項記載のシステムにおいて、
前記第1の加入者(2)は基地局(2)であり、前記第2の加入者(3)はトランスポンダ(3)、とりわけパッシブまたはセミパッシブ型のトランスポンダ(3)である、ことを特徴とするシステム。
【図2】
【図3】
【図4】
【図5】
【図3】
【図4】
【図5】
【公表番号】特表2010−505315(P2010−505315A)
【公表日】平成22年2月18日(2010.2.18)
【国際特許分類】
【出願番号】特願2009−529697(P2009−529697)
【出願日】平成19年9月26日(2007.9.26)
【国際出願番号】PCT/EP2007/060221
【国際公開番号】WO2008/037742
【国際公開日】平成20年4月3日(2008.4.3)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
【公表日】平成22年2月18日(2010.2.18)
【国際特許分類】
【出願日】平成19年9月26日(2007.9.26)
【国際出願番号】PCT/EP2007/060221
【国際公開番号】WO2008/037742
【国際公開日】平成20年4月3日(2008.4.3)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
[ Back to top ]