認証装置及び暗号処理装置
【課題】認証相手の装置と乱数を相互にやり取りして相互に認証を行う認証システムにおいて、通信路には秘密鍵を用いて暗号化されたデータが存在せず、かつ、共有鍵が毎回変化する、共有鍵の推定が困難であるシステムを提供する。
【解決手段】装置A、Bは、同一の構成である。認証装置A,Bは、認証の対象となる認証対象装置と乱数を相互にやり取りして認証対象装置の認証を行う。装置Aは、乱数生成部2a,秘密鍵保持部4a、鍵生成部5a、を備えている。乱数生成部2aは、乱数を生成する。秘密鍵保持部4aは、装置Bが保有する秘密鍵と同一の秘密鍵を予め格納している。鍵生成部5aは、乱数生成部2aにより生成された乱数Rbと、秘密鍵保持部4aに格納されている秘密鍵とに基づいて、装置Bと共有する共有鍵を生成する。認証実行部10aは鍵生成部生成5aにより生成された共有鍵を使用して装置Bの認証を実行する。
【解決手段】装置A、Bは、同一の構成である。認証装置A,Bは、認証の対象となる認証対象装置と乱数を相互にやり取りして認証対象装置の認証を行う。装置Aは、乱数生成部2a,秘密鍵保持部4a、鍵生成部5a、を備えている。乱数生成部2aは、乱数を生成する。秘密鍵保持部4aは、装置Bが保有する秘密鍵と同一の秘密鍵を予め格納している。鍵生成部5aは、乱数生成部2aにより生成された乱数Rbと、秘密鍵保持部4aに格納されている秘密鍵とに基づいて、装置Bと共有する共有鍵を生成する。認証実行部10aは鍵生成部生成5aにより生成された共有鍵を使用して装置Bの認証を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は認証の対象となる装置と乱数をやり取りしてその装置を認証する認証装置、認証方法に関する。
【背景技術】
【0002】
従来の「無線通信システムの通信方式」は、チャレンジ&レスポンス方式によって、乱数を交換し片側認証を行う。交換した乱数は無線端末、基地局に共有され、これらの乱数を使用し鍵共有手段により鍵が生成されていた(例えば、特許文献1)。また、「鍵共有方法及び暗号通信方法」では、生成した乱数を固定鍵で暗号化し送付する。受信側ではそれを復号し、乱数を得る。この動作を送信側、受信側を交換し、再度行い乱数を共有する。その後、共有した乱数を使用して鍵生成を行い、鍵を共有していた(例えば、特許文献2)。
【特許文献1】特開平5−347617号公報、第4頁〜5頁、第1図
【特許文献2】特開平9−312643号公報、第7頁、第4図
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来の「無線通信システムの通信方式」は、共有される乱数が平文の形で通信路を伝搬するので、通信路をモニタすると共有される乱数がわかるという課題があった。
【0004】
また、従来の「鍵共有方法及び暗号通信方法」では、暗号化された乱数が通信路を伝搬するが、直接、固定鍵使って乱数を暗号化するため、装置が攻撃者の手に渡り、その動作を調べることで、使用している固定鍵がサイドチャネル情報から判別してしまう恐れがあった。
【0005】
さらに、従来の「無線通信システムの通信方式」及び「鍵共有方法及び暗号通信方法」では、鍵生成を乱数の連接等で行っているため、推定が容易であったという課題もあった。
【0006】
この発明は上記のような問題点を解決するためになされたもので、通信路には秘密鍵を用いて暗号化されたデータが存在せず、かつ、共有する鍵が毎回変化する、共有鍵の推定が困難である方法を提供するとともに、鍵共有のために乱数などを通信するシーケンスの必要のない効率的な認証方式を提供することを目的とする。
【課題を解決するための手段】
【0007】
この発明の認証装置は、
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
乱数を生成する乱数生成部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする。
【発明の効果】
【0008】
この発明により、相手認証と乱数を相互にやり取りして相手装置の認証を行う認証装置において、通信路には秘密鍵を用いて暗号化されたデータが存在せず、かつ、共有する鍵が毎回変化するシステムを構築できる認証装置を提供できる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
図1は、実施の形態1の暗号通信装置A,B(認証装置、暗号処理装置)を備えた暗号通信システム100のブロック図を示している。図1は、暗号通信装置(以下、単に装置ともいう)どうしのデータのやり取りも示している。装置Aと装置Bとは同一の構成であるが、装置Aと装置Bとを区別するため、装置Aの構成要素には「a」を付し、装置Bの構成要素には「b」を付して説明する。
【0010】
装置Aの具体例としては、ETC(Electronic Toll Collection System)車載器である。装置Bの具体例としてはETC料金所サーバ装置である。しかしこれらは一例であり、限定されない。
【0011】
装置は、図1に示すように、通信部1、乱数生成部2、データ保持部3、秘密鍵保持部4、鍵生成部5、暗号処理部7、共有鍵保持部6、比較部8を備える。
【0012】
また、認証実行部10は、暗号処理部7と比較部8とで構成される。認証実行部10は、鍵生成部5により生成された共有鍵を使用(特に暗号処理部)して、相手装置の認証(特に比較部8)を実行する。
【0013】
図1において、
(1)通信部1はデータを送受信する機能を有する。通信方式は特に限定しないが、どのような通信方式でも本発明の鍵共有方式、認証方式は適用可能である。
(2)乱数生成部2は認証の度ごとに変化する数値を発生する機能を有し、その発生パターンは推定不可能なものである。よって鍵生成部5により生成される後述の共有鍵は毎回変化する。
(3)データ保持部3は通信部で受信したデータを保持する機能を有する。
(4)秘密鍵保持部4は通信装置A、通信装置Bで共有している秘密鍵を保持する機能を有する。秘密鍵は予め安全な方法で格納され保持されており、外部から秘密鍵を参照するには特別な方法でしか参照できないものとする。
(5)鍵生成部5は秘密鍵とデータ保持部3のデータを用いて鍵を生成する機能を有する。鍵生成方法は後で詳しく述べる。
(6)共有鍵保持部6は鍵生成部5で生成した鍵を保持する機能を有する。
(7)暗号処理部7は、暗号アルゴリズムに従ってデータを暗号化、または、復号化する機能を有する。実施の形態1,2では暗号アルゴリズムを特に限定しない。暗号アルゴリズムであれば、公開暗号アルゴリズム、非公開暗号アルゴリズムを問わず、適用可能である。
(8)比較部8は、後述のように暗号かされたデータどうしが一致するかどうかを比較する。
(9)通信路11は装置A、装置Bの通信部1a,1bの間をデータが行き交う伝送路であり、電気信号、電波信号、光信号など通信媒体は特に問わない。この通信路11は装置A、装置B以外の第三者により盗聴可能な伝送路であるとする。なお、図中の矢印は各処理部の依存関係を示している。
【0014】
ここで、秘密鍵保持部4と暗号処理部7とは直接の依存関係がない点が特徴である。また、図1では表示していないが、各処理部のシーケンスを制御する制御部も各装置にある。
【0015】
(動作)
次に動作について説明する。図2は実施の形態1の認証/鍵共有シーケンスを示す図である。図に示すように、中央のAより左側が装置Aで行われる処理を示し、Bより右側が装置Bで行われる処理を示す。
【0016】
(共有鍵の生成)
まず共有鍵の生成を説明する。
【0017】
まずT01で、乱数生成部2で「乱数Ra」が生成される。次に、T02で、「乱数Ra」が通信部1aにより装置Aから装置Bに向けて送信される。
【0018】
(装置B)
T03で、通信部1bにより「乱数Ra」が装置Bに受信される。T04で、受信された「乱数Ra」がデータ保持部3bに保持される。T05で、装置Bが保持している秘密鍵Kbが鍵生成部5bにより参照され、T06で、「乱数Ra」と秘密鍵Kbを使用して、鍵生成部5bが鍵生成を行い、共有鍵KGb(Ra,Kb)を得る。鍵生成部5による鍵生成方法については後ほど説明する。
【0019】
(装置A)
一方、装置AではT07で鍵生成部5aにより秘密鍵Kaが参照される。本実施の形態1では、装置A、装置Bで共有している秘密鍵であるため、T07で参照する秘密鍵KaとT05で参照する秘密鍵Kbは表記が異なっているが、実体は同じもの(Ka=Kb)である。T08では「乱数Ra」と秘密鍵Kbとを使用して、鍵生成部5aが鍵生成を行い、共有鍵KGa(Ra,Ka)を得る。ここで、後ほど述べる鍵生成方法は、装置A、装置Bで予め生成方法がネゴシエーションされ、同一の鍵生成方法を使用する。よって、T08(装置a)で生成された共有鍵KGa(Ra,Ka)とT06(装置B)で生成された共有鍵KGb(Ra,Kb)は同一のものとなり、装置Aと装置Bで,同一の鍵が共有出来たことになる。図2では、T06とT08で鍵共有ができたことを両矢印で示した。
【0020】
(認証処理)
鍵共有ができた後は、以下のように認証処理が行われる。認証処理を説明する。
【0021】
(装置B)
まずT09では、暗号処理部7bで、共有鍵KGbで乱数Raを暗号化し、暗号化乱数Eb(KGb,Ra)を得る。また、T18で乱数生成部2bにより「乱数Rb」が生成される。暗号化乱数Eb(KGb,Ra)と乱数Rbとは、通信部1bによりT10で合わせて装置Aに送信される。
【0022】
(装置A)
T11で通信部1aにより受信された乱数Rb、暗号化乱数Eb(KGb,Ra)がT12でデータ保持部3aにより保持される。一方、T21では暗号処理部7aにより共有鍵KGaで乱数Raを暗号化し、暗号化乱数Ea(KGa,Ra)を得る。T13では、暗号化乱数Ea(KGa,Ra)と暗号化乱数Eb(KGb,Ra)とが一致するか否かを比較部8aにより判断する。一致すれば、装置Aは装置Bを正当なものとして認証する。不一致の場合は、認証が不成立なので、以後の処理は行わない。
【0023】
(装置A)
T14で、暗号処理部7aにより共有鍵KGaで乱数Rbを暗号化し、暗号化乱数Ea(KGa,Rb)を得る。T15で暗号化乱数Ea(KGa,Rb)を装置Aから装置Bに向けて通信部1aで送信する。
【0024】
(装置B)
T16で通信部1bで受信された暗号化乱数Ea(KGa,Rb)は、T17でデータ保持部3bにより保持される。一方、T19において暗号処理部7bは乱数Rbを共有鍵KGbで暗号化し、暗号化乱数Eb(KGb,Rb)を得る。T20で、比較部8bは、暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)とを比較し、一致すれば装置Bは装置Aを正当と認めて認証する。不一致の場合は、認証不成立となる。
【0025】
装置A、装置Bで相互に認証が成立すれば、以後は共有鍵(KGa(Ra,Ka),KGb(Ra,Kb))を用いてデータを暗号化した秘匿通信を行う。
【0026】
(鍵生成部5による共有鍵生成方法)
図3は、鍵生成部5により生成される共有鍵の具体的な鍵生成方法の例を示す図である。
ここで、秘密鍵Kは、
K=Kn:Kn−1:.......:K2:K1:K0、
と表記する。
Kn等は1ビットの数値を表し、
「:」は連接を示す。
また、図3では乱数Rは装置Aまたは装置Bで発生した乱数の全部または一部のビット列を示すことにする。
【0027】
図3(1)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを右ローテイトすることを示す。所定ビットは連続していてもよいし、不連続であっても構わない。
【0028】
図3(2)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを左ローテイトすることを示す。所定ビットは連続していてもよいし、不連続であっても構わない。
【0029】
図3(3)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを循環シフトレジスタで右循環する。所定ビットは連続していてもよいし、不連続であっても構わない。また、XORを設置する数、設置する位置は変更しても構わない。
【0030】
図3(4)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを循環シフトレジスタで左循環する。所定ビットは連続していてもよいし、不連続であっても構わない。また、XORを設置する数、設置する位置は変更しても構わない。
【0031】
図3(5)は、乱数Rの上位または下位の所定ビットを鍵付きHASH関数の鍵とし、秘密鍵KのHASH値を計算するものである。所定ビットは連続していてもよいし、不連続であっても構わない。
【0032】
図3(6)は、乱数Rの上位または下位の所定ビットを暗号の鍵として、秘密鍵Kの暗号を求めるものである。所定ビットは連続していてもよいし、不連続であっても構わない。また、暗号アルゴリズムは、認証で使用する暗号アルゴリズムと同一であってもなくてもよい。
【0033】
さらに、乱数Rの所定ビットの値を見て、(1)から(6)の何れかを選択し、鍵生成を行うことも可能である。
【0034】
以上のように、実施の形態1における暗号通信装置、暗号通信システムでは、認証以前に交換される乱数Raを用いて、装置A、装置Bのそれぞれが保持する秘密鍵Ka、秘密鍵Kbを図3で述べたように各装置内で加工する。したがって、秘密情報が通信路上に現れない、秘密情報を使用した暗号文が通信路上に現れない、共有鍵が認証の度ごとに変化するという効果があり、これにより安全性が向上する。
【0035】
また、共有鍵を生成するために認証に使用する乱数Raを利用することにしたので、3パスで認証と鍵共有ができる効果があり、安全性を維持しつつ認証と鍵共有に要する時間を短縮できる。
【0036】
また、乱数Raは保持されるが共有されるデータではないので、通信路を平文で伝搬しても差し支えない。
【0037】
実施の形態1では装置Aから装置Bに送られた乱数RaをT04でそのまま保持したが、保持している以前の乱数と比較し、同一または類似の乱数であるかを判定し、同一または類似の乱数であれば処理を中止してもよい。
【0038】
また、実施の形態1では暗号化した乱数を認証子として比較したが、受信した暗号化乱数を復号した復号化乱数を認証子として使用してもよい。
【0039】
また、実施の形態1では乱数Raを図3における乱数Rとして扱ったが、乱数Raを装置A、装置Bで共有されている方法、たとえば、固定値で乱数Raをマスクする、乱数Raを反転する方法で乱数Raを加工して乱数Rとしてもよい。
【0040】
実施の形態2.
【0041】
次に図、を参照して実施の形態2を説明する。以上の実施の形態1では、「乱数Ra」を使用して、装置A、Bで鍵共有を実現するようにしたものであるが、次に「乱数Ra」と「乱数Rb」とを使用して鍵共有を行い、その後、認証を行う実施の形態を示す。
【0042】
実施の形態2の通信装置は図1で示したブロック図と同一であるので、説明を省略する。
【0043】
次に動作について説明する。図4は実施の形態2における認証/鍵共有シーケンスを示す図である。図4に示すように、中央のAより左側が装置Aで行われる処理を示し、Bより右側が装置Bで行われる処理を示す。
【0044】
(共有鍵の生成)
まず共有鍵の生成を説明する。
【0045】
(装置A)
まずU01で、乱数生成部2で「乱数Ra」が生成される。次に、U02で「乱数Ra」が装置Aから通信部1aを介して装置Bに向けて送信される。
【0046】
(装置B)
U03で「乱数Ra」が装置Bに受信される。U04では受信された乱数Raがデータ保持部3bに保持される。U05で鍵生成部5bにより秘密鍵Kbが参照される。U07では装置Bの乱数生成部2で「乱数Rb」が生成される。U08では、鍵生成部5bにより「乱数Ra」、「乱数Rb」、秘密鍵Kbとから鍵生成を行い、共有鍵KGb(Ra,Rb,Kb)を生成する。次いで、U09では暗号処理部7bにより「乱数Ra」を共有鍵KGb(Ra,Rb,Kb)で暗号化し、暗号化乱数Eb(KGb,Ra)を得る。U10では、乱数Rbと暗号化乱数Eb(KGb,Ra)を合わせて通信部1bを介して装置Aに向けて送信する。
【0047】
(装置A)
装置Aでは、U13で通信部1aにより「乱数Rb」と暗号化乱数Eb(KGb,Ra)を受信する。U14では受信した「乱数Rb」と暗号化乱数Eb(KGb,Ra)をデータ保持部3aで保持する。U11で鍵生成部5aにより秘密鍵Kaが参照される。U12では、「乱数Ra」(U01で生成)と、「乱数Rb」(U14で保持)と、秘密鍵Kaとから、鍵生成部5aが共有鍵KGa(Ra,Rb,Ka)を生成する。秘密鍵Kaと秘密鍵Kbとは共有されている同一の鍵であり、装置A、装置Bで予め生成方法がネゴシエーションされ、同一の鍵生成方法を使用するので、生成された共有鍵KGa(Ra,Rb,Ka)と共有鍵KGb(Ra,Rb,Kb)とは同一のものとなり、装置Aと装置Bで同一の鍵が共有出来たことになる。図4ではU08とU12で鍵共有ができたことを両矢印で示す。
【0048】
(認証処理)
U16では暗号処理部7aによって共有鍵KGa(Ra,Rb,Ka)で乱数Raを暗号化して暗号化乱数Ea(KGa,Ra)を生成する。U17では比較部8aによって暗号化乱数Ea(KGa,Ra)と暗号化乱数Eb(KGb,Ra)とを比較し、一致すれば、装置Aが装置Bを正当なものとして認証する。不一致の場合は、認証が不成立なので、以後の処理は行わない。
【0049】
U15では暗号処理部7aにより、保持された「乱数Rb」を共有鍵KGa(Ra,Rb,Ka)で暗号化し、暗号化乱数Ea(KGa,Rb)を得る。U18で通信部1aを介して暗号化乱数Ea(KGa,Rb)を装置Bに向けて送信する。
【0050】
(装置B)
装置BではU19で通信部1bにより暗号化乱数Ea(KGa,Rb)を受信し、U20でデータ保持部3bに保持する。また、U21において、暗号処理部7bにより乱数Rb(U07で静止)を共有鍵KGb(Ra,Rb,Kb)で暗号化し、暗号化乱数Eb(KGb,Rb)を得る。U22において、比較部8bにより、データ保持部3bに受信保持されている暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)とを比較し、一致すれば、装置Bが装置Aを正当なものとして認証する。不一致の場合は、認証が不成立となる。
【0051】
装置A、装置Bで相互に認証が成立すれば、以後は共有鍵を用いてデータを暗号化した秘匿通信を行う。
【0052】
(鍵生成部による共有鍵の生成)
鍵生成部は図3で示したものと基本的に同一であるが、実施の形態2の場合は、乱数Raと乱数Rbとを組み合わせたもの(組み合わせ乱数)を図3で言う乱数Rと読み替える。
【0053】
図5は、乱数Raと乱数Rbとの組合せの方法を示す図である。
ここで、
「Ra=Ran:Ran−1:......:Ra2:Ra1:Ra0」、
「Rb=Rbn:Rbn−1:....:Rb2:Rb1:Rb0」、
と表記する。
Ran等は1ビットの数値を表わし、:は連接を示す。
【0054】
図5(1)は乱数Raと乱数Rbの構造を図化したものである。
図5(2)は乱数Rbの後に乱数Raを連接したものである。
図5(3)は乱数Raの上位、下位を反転させ、その後ろに乱数Rbを連接したものである。
図5(4)は乱数Raと乱数Rbを上位から1ビットずつ交互に連接したものである。
【0055】
このように組み合わせた乱数を図3の乱数Rと読み替え、秘密鍵Kのローテイト、循環シフト、鍵付きHASH、暗号化を行う。すなわち、図5(1)から(4)のいずれかの方式で得られた「組み合わせ乱数」を使用する。また、「組み合わせ乱数」の所定ビットの値をみて、共有鍵の生成方法(図3の(1)〜(6))を選択することも可能である。
【0056】
以上のように、暗号通信装置、暗号通信システム100では、認証以前に交換される乱数Ra、乱数Rbを用いて、装置A、装置Bのそれぞれが保持する秘密鍵Ka、秘密鍵Kbを各装置内で加工(図3)するので、
秘密情報が通信路上に現れない、
秘密情報を使用した暗号文が通信路上に現れない、
共有鍵が認証の度ごとに変化する等の効果があり、
これにより安全性が向上する。
【0057】
また、共有鍵を生成するために、認証に使用する乱数Ra、乱数Rbを利用することにしたので、3パスで認証と鍵共有ができる効果があり、安全性を維持しつつ認証と鍵共有に要する時間を短縮できる。
【0058】
また、乱数Raは保持されるが共有されるデータではないので、通信路を平文で伝搬しても差し支えない。
【0059】
実施の形態2では、乱数Ra、乱数Rbのすべてのビットを組み合わせて組合せ乱数を得たが、乱数Ra、乱数Rbの一部のビットを組み合わせてもよい。
【0060】
また実施の形態2では、乱数Ra、乱数Rbのすべてのビットを暗号化して、暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)を得たが、乱数Ra、乱数Rbの一部のビットを暗号化してもよい。
【0061】
実施の形態3.
実施の形態3は実施の形態1、2の装置A、Bのハードウェア構成の一例を説明する。前述のように装置Aは例えばETC車載器であり装置BはETC料金所サーバ装置でる。装置A,Bはコンピュータである。
【0062】
図6、コンピュータで実現される装置A(あるいは装置B)のハードウェア資源の一例を示す図である。図6において、装置Aは、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、操作キー815、通信ボード816、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
【0063】
RAM812は、揮発性メモリの一例である。ROM811、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、保持部、バッファの一例である。通信ボード816、操作キー814などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813などは、出力部、出力装置の一例である。
【0064】
通信ボード816は、ネットワーク(LAN等)に接続されている。
【0065】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0066】
上記プログラム群823には、以上に述べた実施の形態1、2の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0067】
ファイル群824には、以上に述べた実施の形態1、2の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0068】
また、以上に述べた実施の形態1、2の説明においては、データや信号値は、RAM812のメモリ、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0069】
また、以上に述べた実施の形態1、2の説明において、「〜部」として説明したものは、「手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」をコンピュータに機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
【0070】
以上の実施の形態1、2では、認証装置、あるい暗号処理装置として、装置A、Bを説明したが、装置A,B動作を、装置A(あるいは装置B)が行う認証処置方法、暗号処理方法として把握することも可能である。また、認証処置方法、暗号処理方法をコンピュータに実行させる認証処理プログラム、暗号処理プログラムとして把握することも可能である。また、認証処理プログラム、あるいは暗号処理プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。
【0071】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証装置であって、認証を行う以前に共有している秘密鍵から共有鍵を生成することを特徴とする認証装置を説明した。
【0072】
以上の実施の形態では、鍵共有は一方の乱数で行うことを特徴とする認証装置を説明した。
【0073】
以上の実施の形態では、鍵共有は双方の乱数で行う認証装置を説明した。
【0074】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵から共有鍵を生成し、その共有鍵を用いて認証を行うことを特徴とする認証装置、暗号通信システムを説明した。
【0075】
以上の実施の形態では、秘密鍵をローテイトして共有鍵を生成することを特徴とする認証装置を説明した。
【0076】
以上の実施の形態では、秘密鍵を循環シフトして共有鍵を生成することを特徴とする認証装置を説明した。
【0077】
以上の実施の形態では、秘密鍵を鍵付きHASHの演算を行い、共有鍵を生成することを特徴とする認証装置を説明した。
【0078】
以上の実施の形態では、秘密鍵を暗号化して共有鍵を生成することを特徴とする認証装置を説明した。
【0079】
以上の実施の形態では、上記の認証装置を備えた暗号通信装置または暗号通信システムを説明した。
【0080】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵を乱数で加工して共有鍵を生成することを特徴とする認証装置を説明した。
【0081】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵を乱数で加工して共有鍵を生成し、その共有鍵を用いて認証を行うことを特徴とする認証装置を説明した。
【図面の簡単な説明】
【0082】
【図1】実施の形態1における装置A,Bのブロック構成図。
【図2】実施の形態1における認証/鍵共有シーケンスを示す図。
【図3】実施の形態1における鍵生成部5が生成する共有鍵の鍵生成方法を示す図。
【図4】実施の形態2における認証/鍵共有シーケンスを示す図。
【図5】実施の形態2における乱数Ra、乱数Rbの組合せを示す図。
【図6】実施の形態3における装置Aのハードウェア構成を示す図。
【符号の説明】
【0083】
A,B 装置、1a,1b 通信部、2a,2b 乱数生成部、3a,3b データ保持部、4a,4b 秘密鍵保持部、5a,5b 鍵生成部、6a,6b 共有鍵保持部、7a,7b 暗号処理部、8a,8b 比較部、10a,10b 認証実行部、11 通信路、100 暗号通信システム。
【技術分野】
【0001】
この発明は認証の対象となる装置と乱数をやり取りしてその装置を認証する認証装置、認証方法に関する。
【背景技術】
【0002】
従来の「無線通信システムの通信方式」は、チャレンジ&レスポンス方式によって、乱数を交換し片側認証を行う。交換した乱数は無線端末、基地局に共有され、これらの乱数を使用し鍵共有手段により鍵が生成されていた(例えば、特許文献1)。また、「鍵共有方法及び暗号通信方法」では、生成した乱数を固定鍵で暗号化し送付する。受信側ではそれを復号し、乱数を得る。この動作を送信側、受信側を交換し、再度行い乱数を共有する。その後、共有した乱数を使用して鍵生成を行い、鍵を共有していた(例えば、特許文献2)。
【特許文献1】特開平5−347617号公報、第4頁〜5頁、第1図
【特許文献2】特開平9−312643号公報、第7頁、第4図
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来の「無線通信システムの通信方式」は、共有される乱数が平文の形で通信路を伝搬するので、通信路をモニタすると共有される乱数がわかるという課題があった。
【0004】
また、従来の「鍵共有方法及び暗号通信方法」では、暗号化された乱数が通信路を伝搬するが、直接、固定鍵使って乱数を暗号化するため、装置が攻撃者の手に渡り、その動作を調べることで、使用している固定鍵がサイドチャネル情報から判別してしまう恐れがあった。
【0005】
さらに、従来の「無線通信システムの通信方式」及び「鍵共有方法及び暗号通信方法」では、鍵生成を乱数の連接等で行っているため、推定が容易であったという課題もあった。
【0006】
この発明は上記のような問題点を解決するためになされたもので、通信路には秘密鍵を用いて暗号化されたデータが存在せず、かつ、共有する鍵が毎回変化する、共有鍵の推定が困難である方法を提供するとともに、鍵共有のために乱数などを通信するシーケンスの必要のない効率的な認証方式を提供することを目的とする。
【課題を解決するための手段】
【0007】
この発明の認証装置は、
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
乱数を生成する乱数生成部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする。
【発明の効果】
【0008】
この発明により、相手認証と乱数を相互にやり取りして相手装置の認証を行う認証装置において、通信路には秘密鍵を用いて暗号化されたデータが存在せず、かつ、共有する鍵が毎回変化するシステムを構築できる認証装置を提供できる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
図1は、実施の形態1の暗号通信装置A,B(認証装置、暗号処理装置)を備えた暗号通信システム100のブロック図を示している。図1は、暗号通信装置(以下、単に装置ともいう)どうしのデータのやり取りも示している。装置Aと装置Bとは同一の構成であるが、装置Aと装置Bとを区別するため、装置Aの構成要素には「a」を付し、装置Bの構成要素には「b」を付して説明する。
【0010】
装置Aの具体例としては、ETC(Electronic Toll Collection System)車載器である。装置Bの具体例としてはETC料金所サーバ装置である。しかしこれらは一例であり、限定されない。
【0011】
装置は、図1に示すように、通信部1、乱数生成部2、データ保持部3、秘密鍵保持部4、鍵生成部5、暗号処理部7、共有鍵保持部6、比較部8を備える。
【0012】
また、認証実行部10は、暗号処理部7と比較部8とで構成される。認証実行部10は、鍵生成部5により生成された共有鍵を使用(特に暗号処理部)して、相手装置の認証(特に比較部8)を実行する。
【0013】
図1において、
(1)通信部1はデータを送受信する機能を有する。通信方式は特に限定しないが、どのような通信方式でも本発明の鍵共有方式、認証方式は適用可能である。
(2)乱数生成部2は認証の度ごとに変化する数値を発生する機能を有し、その発生パターンは推定不可能なものである。よって鍵生成部5により生成される後述の共有鍵は毎回変化する。
(3)データ保持部3は通信部で受信したデータを保持する機能を有する。
(4)秘密鍵保持部4は通信装置A、通信装置Bで共有している秘密鍵を保持する機能を有する。秘密鍵は予め安全な方法で格納され保持されており、外部から秘密鍵を参照するには特別な方法でしか参照できないものとする。
(5)鍵生成部5は秘密鍵とデータ保持部3のデータを用いて鍵を生成する機能を有する。鍵生成方法は後で詳しく述べる。
(6)共有鍵保持部6は鍵生成部5で生成した鍵を保持する機能を有する。
(7)暗号処理部7は、暗号アルゴリズムに従ってデータを暗号化、または、復号化する機能を有する。実施の形態1,2では暗号アルゴリズムを特に限定しない。暗号アルゴリズムであれば、公開暗号アルゴリズム、非公開暗号アルゴリズムを問わず、適用可能である。
(8)比較部8は、後述のように暗号かされたデータどうしが一致するかどうかを比較する。
(9)通信路11は装置A、装置Bの通信部1a,1bの間をデータが行き交う伝送路であり、電気信号、電波信号、光信号など通信媒体は特に問わない。この通信路11は装置A、装置B以外の第三者により盗聴可能な伝送路であるとする。なお、図中の矢印は各処理部の依存関係を示している。
【0014】
ここで、秘密鍵保持部4と暗号処理部7とは直接の依存関係がない点が特徴である。また、図1では表示していないが、各処理部のシーケンスを制御する制御部も各装置にある。
【0015】
(動作)
次に動作について説明する。図2は実施の形態1の認証/鍵共有シーケンスを示す図である。図に示すように、中央のAより左側が装置Aで行われる処理を示し、Bより右側が装置Bで行われる処理を示す。
【0016】
(共有鍵の生成)
まず共有鍵の生成を説明する。
【0017】
まずT01で、乱数生成部2で「乱数Ra」が生成される。次に、T02で、「乱数Ra」が通信部1aにより装置Aから装置Bに向けて送信される。
【0018】
(装置B)
T03で、通信部1bにより「乱数Ra」が装置Bに受信される。T04で、受信された「乱数Ra」がデータ保持部3bに保持される。T05で、装置Bが保持している秘密鍵Kbが鍵生成部5bにより参照され、T06で、「乱数Ra」と秘密鍵Kbを使用して、鍵生成部5bが鍵生成を行い、共有鍵KGb(Ra,Kb)を得る。鍵生成部5による鍵生成方法については後ほど説明する。
【0019】
(装置A)
一方、装置AではT07で鍵生成部5aにより秘密鍵Kaが参照される。本実施の形態1では、装置A、装置Bで共有している秘密鍵であるため、T07で参照する秘密鍵KaとT05で参照する秘密鍵Kbは表記が異なっているが、実体は同じもの(Ka=Kb)である。T08では「乱数Ra」と秘密鍵Kbとを使用して、鍵生成部5aが鍵生成を行い、共有鍵KGa(Ra,Ka)を得る。ここで、後ほど述べる鍵生成方法は、装置A、装置Bで予め生成方法がネゴシエーションされ、同一の鍵生成方法を使用する。よって、T08(装置a)で生成された共有鍵KGa(Ra,Ka)とT06(装置B)で生成された共有鍵KGb(Ra,Kb)は同一のものとなり、装置Aと装置Bで,同一の鍵が共有出来たことになる。図2では、T06とT08で鍵共有ができたことを両矢印で示した。
【0020】
(認証処理)
鍵共有ができた後は、以下のように認証処理が行われる。認証処理を説明する。
【0021】
(装置B)
まずT09では、暗号処理部7bで、共有鍵KGbで乱数Raを暗号化し、暗号化乱数Eb(KGb,Ra)を得る。また、T18で乱数生成部2bにより「乱数Rb」が生成される。暗号化乱数Eb(KGb,Ra)と乱数Rbとは、通信部1bによりT10で合わせて装置Aに送信される。
【0022】
(装置A)
T11で通信部1aにより受信された乱数Rb、暗号化乱数Eb(KGb,Ra)がT12でデータ保持部3aにより保持される。一方、T21では暗号処理部7aにより共有鍵KGaで乱数Raを暗号化し、暗号化乱数Ea(KGa,Ra)を得る。T13では、暗号化乱数Ea(KGa,Ra)と暗号化乱数Eb(KGb,Ra)とが一致するか否かを比較部8aにより判断する。一致すれば、装置Aは装置Bを正当なものとして認証する。不一致の場合は、認証が不成立なので、以後の処理は行わない。
【0023】
(装置A)
T14で、暗号処理部7aにより共有鍵KGaで乱数Rbを暗号化し、暗号化乱数Ea(KGa,Rb)を得る。T15で暗号化乱数Ea(KGa,Rb)を装置Aから装置Bに向けて通信部1aで送信する。
【0024】
(装置B)
T16で通信部1bで受信された暗号化乱数Ea(KGa,Rb)は、T17でデータ保持部3bにより保持される。一方、T19において暗号処理部7bは乱数Rbを共有鍵KGbで暗号化し、暗号化乱数Eb(KGb,Rb)を得る。T20で、比較部8bは、暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)とを比較し、一致すれば装置Bは装置Aを正当と認めて認証する。不一致の場合は、認証不成立となる。
【0025】
装置A、装置Bで相互に認証が成立すれば、以後は共有鍵(KGa(Ra,Ka),KGb(Ra,Kb))を用いてデータを暗号化した秘匿通信を行う。
【0026】
(鍵生成部5による共有鍵生成方法)
図3は、鍵生成部5により生成される共有鍵の具体的な鍵生成方法の例を示す図である。
ここで、秘密鍵Kは、
K=Kn:Kn−1:.......:K2:K1:K0、
と表記する。
Kn等は1ビットの数値を表し、
「:」は連接を示す。
また、図3では乱数Rは装置Aまたは装置Bで発生した乱数の全部または一部のビット列を示すことにする。
【0027】
図3(1)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを右ローテイトすることを示す。所定ビットは連続していてもよいし、不連続であっても構わない。
【0028】
図3(2)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを左ローテイトすることを示す。所定ビットは連続していてもよいし、不連続であっても構わない。
【0029】
図3(3)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを循環シフトレジスタで右循環する。所定ビットは連続していてもよいし、不連続であっても構わない。また、XORを設置する数、設置する位置は変更しても構わない。
【0030】
図3(4)は、乱数Rの上位または下位の所定ビットの値だけ、秘密鍵Kを循環シフトレジスタで左循環する。所定ビットは連続していてもよいし、不連続であっても構わない。また、XORを設置する数、設置する位置は変更しても構わない。
【0031】
図3(5)は、乱数Rの上位または下位の所定ビットを鍵付きHASH関数の鍵とし、秘密鍵KのHASH値を計算するものである。所定ビットは連続していてもよいし、不連続であっても構わない。
【0032】
図3(6)は、乱数Rの上位または下位の所定ビットを暗号の鍵として、秘密鍵Kの暗号を求めるものである。所定ビットは連続していてもよいし、不連続であっても構わない。また、暗号アルゴリズムは、認証で使用する暗号アルゴリズムと同一であってもなくてもよい。
【0033】
さらに、乱数Rの所定ビットの値を見て、(1)から(6)の何れかを選択し、鍵生成を行うことも可能である。
【0034】
以上のように、実施の形態1における暗号通信装置、暗号通信システムでは、認証以前に交換される乱数Raを用いて、装置A、装置Bのそれぞれが保持する秘密鍵Ka、秘密鍵Kbを図3で述べたように各装置内で加工する。したがって、秘密情報が通信路上に現れない、秘密情報を使用した暗号文が通信路上に現れない、共有鍵が認証の度ごとに変化するという効果があり、これにより安全性が向上する。
【0035】
また、共有鍵を生成するために認証に使用する乱数Raを利用することにしたので、3パスで認証と鍵共有ができる効果があり、安全性を維持しつつ認証と鍵共有に要する時間を短縮できる。
【0036】
また、乱数Raは保持されるが共有されるデータではないので、通信路を平文で伝搬しても差し支えない。
【0037】
実施の形態1では装置Aから装置Bに送られた乱数RaをT04でそのまま保持したが、保持している以前の乱数と比較し、同一または類似の乱数であるかを判定し、同一または類似の乱数であれば処理を中止してもよい。
【0038】
また、実施の形態1では暗号化した乱数を認証子として比較したが、受信した暗号化乱数を復号した復号化乱数を認証子として使用してもよい。
【0039】
また、実施の形態1では乱数Raを図3における乱数Rとして扱ったが、乱数Raを装置A、装置Bで共有されている方法、たとえば、固定値で乱数Raをマスクする、乱数Raを反転する方法で乱数Raを加工して乱数Rとしてもよい。
【0040】
実施の形態2.
【0041】
次に図、を参照して実施の形態2を説明する。以上の実施の形態1では、「乱数Ra」を使用して、装置A、Bで鍵共有を実現するようにしたものであるが、次に「乱数Ra」と「乱数Rb」とを使用して鍵共有を行い、その後、認証を行う実施の形態を示す。
【0042】
実施の形態2の通信装置は図1で示したブロック図と同一であるので、説明を省略する。
【0043】
次に動作について説明する。図4は実施の形態2における認証/鍵共有シーケンスを示す図である。図4に示すように、中央のAより左側が装置Aで行われる処理を示し、Bより右側が装置Bで行われる処理を示す。
【0044】
(共有鍵の生成)
まず共有鍵の生成を説明する。
【0045】
(装置A)
まずU01で、乱数生成部2で「乱数Ra」が生成される。次に、U02で「乱数Ra」が装置Aから通信部1aを介して装置Bに向けて送信される。
【0046】
(装置B)
U03で「乱数Ra」が装置Bに受信される。U04では受信された乱数Raがデータ保持部3bに保持される。U05で鍵生成部5bにより秘密鍵Kbが参照される。U07では装置Bの乱数生成部2で「乱数Rb」が生成される。U08では、鍵生成部5bにより「乱数Ra」、「乱数Rb」、秘密鍵Kbとから鍵生成を行い、共有鍵KGb(Ra,Rb,Kb)を生成する。次いで、U09では暗号処理部7bにより「乱数Ra」を共有鍵KGb(Ra,Rb,Kb)で暗号化し、暗号化乱数Eb(KGb,Ra)を得る。U10では、乱数Rbと暗号化乱数Eb(KGb,Ra)を合わせて通信部1bを介して装置Aに向けて送信する。
【0047】
(装置A)
装置Aでは、U13で通信部1aにより「乱数Rb」と暗号化乱数Eb(KGb,Ra)を受信する。U14では受信した「乱数Rb」と暗号化乱数Eb(KGb,Ra)をデータ保持部3aで保持する。U11で鍵生成部5aにより秘密鍵Kaが参照される。U12では、「乱数Ra」(U01で生成)と、「乱数Rb」(U14で保持)と、秘密鍵Kaとから、鍵生成部5aが共有鍵KGa(Ra,Rb,Ka)を生成する。秘密鍵Kaと秘密鍵Kbとは共有されている同一の鍵であり、装置A、装置Bで予め生成方法がネゴシエーションされ、同一の鍵生成方法を使用するので、生成された共有鍵KGa(Ra,Rb,Ka)と共有鍵KGb(Ra,Rb,Kb)とは同一のものとなり、装置Aと装置Bで同一の鍵が共有出来たことになる。図4ではU08とU12で鍵共有ができたことを両矢印で示す。
【0048】
(認証処理)
U16では暗号処理部7aによって共有鍵KGa(Ra,Rb,Ka)で乱数Raを暗号化して暗号化乱数Ea(KGa,Ra)を生成する。U17では比較部8aによって暗号化乱数Ea(KGa,Ra)と暗号化乱数Eb(KGb,Ra)とを比較し、一致すれば、装置Aが装置Bを正当なものとして認証する。不一致の場合は、認証が不成立なので、以後の処理は行わない。
【0049】
U15では暗号処理部7aにより、保持された「乱数Rb」を共有鍵KGa(Ra,Rb,Ka)で暗号化し、暗号化乱数Ea(KGa,Rb)を得る。U18で通信部1aを介して暗号化乱数Ea(KGa,Rb)を装置Bに向けて送信する。
【0050】
(装置B)
装置BではU19で通信部1bにより暗号化乱数Ea(KGa,Rb)を受信し、U20でデータ保持部3bに保持する。また、U21において、暗号処理部7bにより乱数Rb(U07で静止)を共有鍵KGb(Ra,Rb,Kb)で暗号化し、暗号化乱数Eb(KGb,Rb)を得る。U22において、比較部8bにより、データ保持部3bに受信保持されている暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)とを比較し、一致すれば、装置Bが装置Aを正当なものとして認証する。不一致の場合は、認証が不成立となる。
【0051】
装置A、装置Bで相互に認証が成立すれば、以後は共有鍵を用いてデータを暗号化した秘匿通信を行う。
【0052】
(鍵生成部による共有鍵の生成)
鍵生成部は図3で示したものと基本的に同一であるが、実施の形態2の場合は、乱数Raと乱数Rbとを組み合わせたもの(組み合わせ乱数)を図3で言う乱数Rと読み替える。
【0053】
図5は、乱数Raと乱数Rbとの組合せの方法を示す図である。
ここで、
「Ra=Ran:Ran−1:......:Ra2:Ra1:Ra0」、
「Rb=Rbn:Rbn−1:....:Rb2:Rb1:Rb0」、
と表記する。
Ran等は1ビットの数値を表わし、:は連接を示す。
【0054】
図5(1)は乱数Raと乱数Rbの構造を図化したものである。
図5(2)は乱数Rbの後に乱数Raを連接したものである。
図5(3)は乱数Raの上位、下位を反転させ、その後ろに乱数Rbを連接したものである。
図5(4)は乱数Raと乱数Rbを上位から1ビットずつ交互に連接したものである。
【0055】
このように組み合わせた乱数を図3の乱数Rと読み替え、秘密鍵Kのローテイト、循環シフト、鍵付きHASH、暗号化を行う。すなわち、図5(1)から(4)のいずれかの方式で得られた「組み合わせ乱数」を使用する。また、「組み合わせ乱数」の所定ビットの値をみて、共有鍵の生成方法(図3の(1)〜(6))を選択することも可能である。
【0056】
以上のように、暗号通信装置、暗号通信システム100では、認証以前に交換される乱数Ra、乱数Rbを用いて、装置A、装置Bのそれぞれが保持する秘密鍵Ka、秘密鍵Kbを各装置内で加工(図3)するので、
秘密情報が通信路上に現れない、
秘密情報を使用した暗号文が通信路上に現れない、
共有鍵が認証の度ごとに変化する等の効果があり、
これにより安全性が向上する。
【0057】
また、共有鍵を生成するために、認証に使用する乱数Ra、乱数Rbを利用することにしたので、3パスで認証と鍵共有ができる効果があり、安全性を維持しつつ認証と鍵共有に要する時間を短縮できる。
【0058】
また、乱数Raは保持されるが共有されるデータではないので、通信路を平文で伝搬しても差し支えない。
【0059】
実施の形態2では、乱数Ra、乱数Rbのすべてのビットを組み合わせて組合せ乱数を得たが、乱数Ra、乱数Rbの一部のビットを組み合わせてもよい。
【0060】
また実施の形態2では、乱数Ra、乱数Rbのすべてのビットを暗号化して、暗号化乱数Ea(KGa,Rb)と暗号化乱数Eb(KGb,Rb)を得たが、乱数Ra、乱数Rbの一部のビットを暗号化してもよい。
【0061】
実施の形態3.
実施の形態3は実施の形態1、2の装置A、Bのハードウェア構成の一例を説明する。前述のように装置Aは例えばETC車載器であり装置BはETC料金所サーバ装置でる。装置A,Bはコンピュータである。
【0062】
図6、コンピュータで実現される装置A(あるいは装置B)のハードウェア資源の一例を示す図である。図6において、装置Aは、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、操作キー815、通信ボード816、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
【0063】
RAM812は、揮発性メモリの一例である。ROM811、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、保持部、バッファの一例である。通信ボード816、操作キー814などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813などは、出力部、出力装置の一例である。
【0064】
通信ボード816は、ネットワーク(LAN等)に接続されている。
【0065】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0066】
上記プログラム群823には、以上に述べた実施の形態1、2の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0067】
ファイル群824には、以上に述べた実施の形態1、2の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0068】
また、以上に述べた実施の形態1、2の説明においては、データや信号値は、RAM812のメモリ、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0069】
また、以上に述べた実施の形態1、2の説明において、「〜部」として説明したものは、「手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」をコンピュータに機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
【0070】
以上の実施の形態1、2では、認証装置、あるい暗号処理装置として、装置A、Bを説明したが、装置A,B動作を、装置A(あるいは装置B)が行う認証処置方法、暗号処理方法として把握することも可能である。また、認証処置方法、暗号処理方法をコンピュータに実行させる認証処理プログラム、暗号処理プログラムとして把握することも可能である。また、認証処理プログラム、あるいは暗号処理プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。
【0071】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証装置であって、認証を行う以前に共有している秘密鍵から共有鍵を生成することを特徴とする認証装置を説明した。
【0072】
以上の実施の形態では、鍵共有は一方の乱数で行うことを特徴とする認証装置を説明した。
【0073】
以上の実施の形態では、鍵共有は双方の乱数で行う認証装置を説明した。
【0074】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵から共有鍵を生成し、その共有鍵を用いて認証を行うことを特徴とする認証装置、暗号通信システムを説明した。
【0075】
以上の実施の形態では、秘密鍵をローテイトして共有鍵を生成することを特徴とする認証装置を説明した。
【0076】
以上の実施の形態では、秘密鍵を循環シフトして共有鍵を生成することを特徴とする認証装置を説明した。
【0077】
以上の実施の形態では、秘密鍵を鍵付きHASHの演算を行い、共有鍵を生成することを特徴とする認証装置を説明した。
【0078】
以上の実施の形態では、秘密鍵を暗号化して共有鍵を生成することを特徴とする認証装置を説明した。
【0079】
以上の実施の形態では、上記の認証装置を備えた暗号通信装置または暗号通信システムを説明した。
【0080】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵を乱数で加工して共有鍵を生成することを特徴とする認証装置を説明した。
【0081】
以上の実施の形態では、乱数を相互にやり取りして認証を行う認証方式であって、認証を行う以前に共有している秘密鍵を乱数で加工して共有鍵を生成し、その共有鍵を用いて認証を行うことを特徴とする認証装置を説明した。
【図面の簡単な説明】
【0082】
【図1】実施の形態1における装置A,Bのブロック構成図。
【図2】実施の形態1における認証/鍵共有シーケンスを示す図。
【図3】実施の形態1における鍵生成部5が生成する共有鍵の鍵生成方法を示す図。
【図4】実施の形態2における認証/鍵共有シーケンスを示す図。
【図5】実施の形態2における乱数Ra、乱数Rbの組合せを示す図。
【図6】実施の形態3における装置Aのハードウェア構成を示す図。
【符号の説明】
【0083】
A,B 装置、1a,1b 通信部、2a,2b 乱数生成部、3a,3b データ保持部、4a,4b 秘密鍵保持部、5a,5b 鍵生成部、6a,6b 共有鍵保持部、7a,7b 暗号処理部、8a,8b 比較部、10a,10b 認証実行部、11 通信路、100 暗号通信システム。
【特許請求の範囲】
【請求項1】
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
乱数を生成する乱数生成部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする認証装置。
【請求項2】
前記認証装置は、さらに、
他の装置から乱数を受信する通信部を備え、
前記鍵生成部は、
前記通信部により受信された前記乱数と、前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する前記共有鍵を生成することを特徴とする請求項1記載の認証装置。
【請求項3】
前記鍵生成部は、
前記乱数に基いて前記秘密鍵に所定の加工処理を加えることにより、前記共有鍵を生成することを特徴とする請求項1または2のいずれかに記載の認証装置。
【請求項4】
前記鍵生成部は、
前記所定の加工処理として、
前記秘密鍵のローテイト処理と、前記秘密鍵の循環シフト処理と、前記秘密鍵の鍵付きハッシュ演算処理と、前記秘密鍵の暗号化演算処理とのいずれかを加えることを特徴とする請求項3記載の認証装置
【請求項5】
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
他の装置から乱数を受信する通信部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記通信部により受信された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする認証装置。
【請求項6】
前記認証装置は、さらに、
乱数を生成する乱数生成部を備え、
前記鍵生成部は、
前記乱数生成部により生成された前記乱数と、前記通信部により受信された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する前記共有鍵を生成することを特徴とする請求項5記載の認証装置。
【請求項7】
請求項1〜6記載のいずれかの認証装置を備え、前記認証装置の前記鍵生成部によって生成された前記共有鍵を使用して、暗号化処理を実行する暗号処理部を備えたことを特徴とする暗号処理装置。
【請求項1】
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
乱数を生成する乱数生成部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする認証装置。
【請求項2】
前記認証装置は、さらに、
他の装置から乱数を受信する通信部を備え、
前記鍵生成部は、
前記通信部により受信された前記乱数と、前記乱数生成部により生成された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する前記共有鍵を生成することを特徴とする請求項1記載の認証装置。
【請求項3】
前記鍵生成部は、
前記乱数に基いて前記秘密鍵に所定の加工処理を加えることにより、前記共有鍵を生成することを特徴とする請求項1または2のいずれかに記載の認証装置。
【請求項4】
前記鍵生成部は、
前記所定の加工処理として、
前記秘密鍵のローテイト処理と、前記秘密鍵の循環シフト処理と、前記秘密鍵の鍵付きハッシュ演算処理と、前記秘密鍵の暗号化演算処理とのいずれかを加えることを特徴とする請求項3記載の認証装置
【請求項5】
認証の対象となる認証対象装置と乱数を相互にやり取りして前記認証対象装置の認証を行う認証装置において、
他の装置から乱数を受信する通信部と、
前記認証対象装置が保有する秘密鍵と同一の秘密鍵を予め格納する秘密鍵保持部と、
前記通信部により受信された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する共有鍵を生成する鍵生成部と、
前記鍵生成部により生成された前記共有鍵を使用して前記認証対象装置の認証を実行する認証実行部と
を備えたことを特徴とする認証装置。
【請求項6】
前記認証装置は、さらに、
乱数を生成する乱数生成部を備え、
前記鍵生成部は、
前記乱数生成部により生成された前記乱数と、前記通信部により受信された前記乱数と、前記秘密鍵保持部に格納されている前記秘密鍵とに基づいて、前記認証対象装置と共有する前記共有鍵を生成することを特徴とする請求項5記載の認証装置。
【請求項7】
請求項1〜6記載のいずれかの認証装置を備え、前記認証装置の前記鍵生成部によって生成された前記共有鍵を使用して、暗号化処理を実行する暗号処理部を備えたことを特徴とする暗号処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−124376(P2010−124376A)
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願番号】特願2008−297978(P2008−297978)
【出願日】平成20年11月21日(2008.11.21)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成22年6月3日(2010.6.3)
【国際特許分類】
【出願日】平成20年11月21日(2008.11.21)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]