WO2005041474A1 - 認証システム及び遠隔分散保存システム - Google Patents

Description

認証システム及び遠隔分散保存システム 技術分野

本発明は、 認証に関する情報の漏洩に強い認証システムとこの認証システム を用いて安全にデータを保存することができる遠隔分散保存システムに関す 明

る。 .

本願は、 2003年 10月 28日に出願された特願 2003- 367527 書 .

号に対し優先権を主張し、 その内容をここに援用する。 背景技術

従来からユーザの端末装置とサーバとの間において認証を行う方法として、 ユーザ I Dとュ一ザのみが知っているパスワードとを端末装置から入力し、 サ —バ側に蓄えられている情報と一致すれば、 正当なユーザであることを認証す る方法が知られている。

しかし、 この方法は、 端末装置とサーバ間の通信経路中において、 不正にこ れらの情報が盗まれてしまうと、 簡単に不正利用を許してしまうため、 S SL (文献 1) 、 TLS (文献 2) 、 S SH (文献 3) 等の暗号化技術を用いて、 情報の送受信を行うのが一般的である。 これは、 パスワードと秘密の値と公開 されている値とを使用して認証を行うものである。

(文献 1) A. Frier，： P.Karl ton, and P. Kocher. The SSL 3.0 Protocol. Netsca pe Communications Corp. , 1996, http://wp. netscape. com/eng/ssl3/

(文献 2 ) IETF (Internet Engineering Tas.k Force) . Transport Layer secu rity (t Is) Charter. http://ww . ietf. org/html, char ters/t Is - charter, html

(文献 3) IETF (Internet Engineering Task Force) . Secure Shell (secsh)C harter. http:// ww. ietf. org/html, char ters/secsh - charter. html しかしながら、 非特許文献 1〜 3に示す方法は、 ユーザの端末装置側からパ スヮードで暗号化された情報あるいはサーバ側からパスヮ一ド認証デ一夕が 漏れた場合は、 オフラインの解析作業によってパスワードを求めることができ てしまうという問題がある。サーバに対してオンラインでパスヮード入力を繰 り返し行う方法は、 パスワードを間違えた回数に応じてアクセスを拒否するな どの対策を講じることが可能であるが、 オフラインの解析作業は、 防止策を講 じることができないという問題もある。 また、 パスワードが漏洩してしまった 場合、 このパスワードでログインできるシステム内に保存されているデ一夕も 漏洩してしまうという問題もある。 発明の開示

本発明の目的は、 情報の漏洩に強く、 安全に暗号鍵の交換を行うことができ る認証システムを提供することである。

本発明の目的は、 本発明による認証システムを用いて安全にデータを保存す ることができる遠隔分散保存システムを提供することであ ¾。 本発明の要旨は、 端末装置とサーバ間において相互に認証を行う認証システ ムであって、 前記端末装置は、.ユーザが予め決定しておいたパスワードに基づ いて、 サーバ登録用のパスワード認証データ Hとユーザ保存用の認証情報 P ' を求めるデータ伸長手段と、 前記データ伸長手段によって求めた認証情報 P ' を予め記憶しておく記憶手段と、 前記記憶手段から読み出した認証情報 P ' と 認証時に入力されたパスヮードを入力として所定の計算式により値 Pを求め る結合手段と、 前記値 Pと内部において発生させた乱数を入力として所定の計 算式により値 Y 1を求め、 前記サーバへ送信するマスク演算手段と、 前記値 P と内部において発生させた乱数と前記サーバから受信した値 Y 2を入力とし て所定の計算式により値 MKを求めるマスター鍵生成手段と、 前記値 MKを入 力として所定の計算式により値 V 1を求め、 サーバへ送信するとともに、 前記 サーバから受信した値 V 2と前記値 MKを入力として所定の計算式による値 V 2と比較照合し、 一致した場合にサーバを認証する認証結果判断手段とを備 え、 前記サーバは、 前記データ伸長手段によって求めたパスワード認証データ Hを予め記憶しておく記憶手段と、 前記記憶手段から読み出したパスワード認 証デ一夕 Hと内部において発生させた乱数を入力として所定の計算式により 値 Y 2を求め、 前記端末装置へ送信するマスク演算手段と、 前記パスワード認 証データ Hと内部において発生させた乱数と前記端末装置から受信した値 Y 1を入力として所定の計算式により値 MKを求めるマスター鍵生成手段と、 前 記値 MKを入力として所定の計算式により値 V 2を求め、.端末装置へ送信する とともに、 前記端末装置から受信した値 V 1と前記値 MKを入力として所定の 計算式による値 V Iと比較照合し、 一致した場合に端末装置を認証する認証結 果判断手段とを備える。 " 本発明の要旨は、 端末装置とサ一パ間において相互に認証を行う認証システ ムにおける端末装置上で動作する認証プログラムであって、 ユーザが予め決定 しておいたパスヮードに基づいて、サ一パ登録用のパスヮ一ド認証データ Hと ユーザ保存用の認証情報 P ' を求めるデータ伸長処理と、 前記データ伸長処理 によって求めた認証情報 P ' を予め記憶しておく記憶処理と、 前記記憶処理に より記憶しておいた認証情報 P ' と認証時に入力されたパスワードを入力とし て所定の計算式により値 Pを求める結合処理と、 前記値 Pと内部において発生 させた乱数を入力として所定の計算式により値 Y 1を求め、 前記サーバへ送信 するマスク演算処理と、 前記値 Pと内部において発生させた乱数と前記サーバ から受信した値 Y 2を入力として所定の計算式により値 MKを求めるマスタ 一鍵生成処理と、 前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ送信するとともに、 前記サーバから受信した値 V 2と前記値 MKを入 力として所定の計算式による値 V 2と比較照合し、 一致した場合にサーバを認 証する認証結果判断処理とをコンピュータに行わせる。 本発明の要旨は、 端末装置とサーバ間において相互に認証を行う認証システ ムにおけるサーバ上で動作する認証プログラムであって、 パスワード認証デ一 夕 Hを予め記憶しておく記憶処理と、 前記記憶処理により記憶しておいたパス ヮード認証データ Hと内部において発生させた乱数を入力として所定の計算 式により値 Y 2を求め、 前記端末装置へ送信するマスク演算処理と、 前記パス ワード認証データ Hと内部において発生させた乱数と前記端末装置から受信 した値 Y 1を入力として所定の計算式により値 MKを求めるマスタ一鍵生成 処理と、 前記値 MKを入力として所定の計算式により値 V2を求め、 端末装置 へ送信するとともに、 前記端末装置から受信した値 V 1と前記値 MKを入力と して所定の計算式による値 VIと比較照合し、 一致した場合に端末装置を認証 する認証結果判断処理とをコンピュータに行わせる。 本発明の要旨は、 端末装置とサーバ間において相互に認証を行う認証システ ムであって、 前記端末装置は、 ユーザが予め決定しておいたパスワードに基づ いて、 サーバ登録用のパスワード認証データ Hとユーザ保存用の認証情報 P' を求めるデータ伸長手段と、 前記データ伸長手段によって求めた認証情報 P' と RS A鍵生成手段によって求めた RS A公開鍵 （N， e) を予め記憶してお く記憶手段と、 前記記憶手段から読み出した認証情報 P' と認証時に入力され たパスワードを入力として所定の計算式により値 Wを求める結合手段と、 前記 値 Wと前記記憶手段から読み出した RSA公開鍵 （N， e) と内部において発 生させた乱数 Tを入力として所定の計算式により値 Zを求め、 前記サーバへ送 信するマスク演算手段と、 前記サーバから受信した値 V 2と前記乱数 Tを入力 として所定の計算式による値 V 2と比較照合し、 一致した場合にサーバを認証 する認証結果判断手段と、 前記乱数 Tを入力として所定の計算式により値 VI を求め、 .前記サーバへ送信する検証子生成手段とを備え、 前記サーバは、 RS A公開鍵 （N， e) と RSA秘密鍵 （N， d) を求める R S A鍵生成手段と、 前記 RS A鍵生成手段によって求めた RSA秘密鍵 （N, d) と前記データ伸 長手段によって求めたパスヮード認証データ Hを予め記憶しておく記憶手段 と、 前記記憶手段から読み出した RSA秘密鍵 （N， d) とパスワード認証デ —夕 Hと前記端末装置から受信した値 Zを入力として所定の計算式により値 Tを求めるマスタ一鍵生成手段と、 前記値 Tを入力として所定の計算式により 値 V 2を求め、 前記端末装置へ送信する検証子生成手段と、 前記端末装置から 受信した値 V 1と前記値 Tを入力として所定の計算式による値 V 1と比較照 合し、 一致した場合に端末装置を認証する認証結果判断手段とを備える。 本発明の要旨は、 端末装置とサーバ間において相互に認証を行う認証システ ムにおける端末装置上で動作する認証プログラムであって、 ユーザが予め決定 しておいたパスワードに基づいて、 サーバ登録用のパスワード認証デ一夕 Ηと ユーザ保存用の認証情報 P' を求めるデータ伸長処理と、 ίί記データ伸長処理 によって求めた認証情報 P' と RS Α鍵生成処理によって求めた RS Α公開鍵 (N.， e) を予め記憶しておく記憶処理と、 前記記憶処理により記憶しておい た認証情報 P' と認証時に入力されたパスワードを入力として所定の計算式に より値 Wを求める結合処理と、 前記値 Wと前記記憶処理により記憶しておいた RSA公開鍵 （N, e) と内部において発生させた乱数 Tを入力として所定の 計算式により値 Zを求め、 前記サーバへ送信するマスク演算処理と、 前記サー バから受信した値 V 2と前記乱数 Tを入力として所定の計算式による値 V 2 と比較照合し、 一致した場合にサーバを認証する認証結果判断処理と、 前記乱 数 Tを入力として所定の計算式により値 V 1を求め、 前記サーバへ送信する検 証子生成処理とをコンピュータに行わせる。 本発明の要旨は、 端末装置とサーバ間において相互に認証を行う認証システ ムにおけるサーバ上で動作する認証プログラムであって、 RSA公開鍵 （N， e) と RSA秘密鍵 （N， d) を求める R S A鍵生成処理と、 前記 RSA鍵生 成処理によって求めた RS A秘密鍵 （N， d) とパスワード認証データ Hを予 め記憶しておく記憶処理と、 前記記憶処理により記憶しておいた RS A秘密鍵 (N, d) とパスワード認証データ Hと前記端末装置から受信した値 Zを入力 として所定の計算式により値 Tを求めるマスター鍵生成処理と、 前記値 Tを入 力として所定の計算式により値 V 2を求め、 前記端末装置へ送信する検証子生 成処理と、 前記端末装置から受信した値 VIと前記値 Tを入力として所定の計 算式による値 VIと比較照合し、 一致した場合に端末装置を認証する認証結果 判断処理とをコンピュータに行わせる。 本発明の要旨は、 端末装置と複数のサーバ間において相互に認証を行い、 前 記端末装置内の保存対象のデータを前記サーバ内に分散して保存する遠隔分 散保存システムであって、 前記端末装置は、 ユーザが予め決定しておいたパス ワードに基づいて、 サーバ登録用のパスヮ一ド認証データ Hとュ一ザ保存用の 認証情報 P ' を求めるデータ伸長手段と、 前記データ伸長手段によって求めた 認証情報 P ' を予め記憶しておく記憶手段と、 前記記憶手段から読み出した認 証情報 P ' と認証時に入力されたパスワードを入力として所定の計算式により 値 P.を求める結合手段と、 前記値 Pと内部において発生させた乱数を入力とし て所定の計算式により値 Y 1を求め、 前記サーバへ送信するマスク演算手段と、 前記値 Pと内部において発生させた乱数と前記サーバから受信した値 Y 2を 入力として所定の計算式により値 MKを求めるマスター鍵生成手段と、 前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ送信するととも に、 前記サーバから受信した値 V 2と値 V Iと比較照合し、 一致した場合にサ ーバを認証する認証結果判断手段と、 サーバの認証が行われた場合に、 セッシ ョン鍵 S Kをサーバの数だけ生成するセッション鍵生成手段と、 前記保存対象 のデータを分割して、 認証したサーバの数と同数の分割データを得るデ一夕分 割手段と、 前記分割データのそれぞれと保存対象のデータを識別する識別情報 とを、 保存先のサーバと共有した前記セッシヨン鍵 S Kを用いて暗号化して、 各サーバに対して送信するデータ保存手段と、 分割データが保存された各サ一 バから分割データを受信し、 前記保存対象のデータを復元するデータ復元手段 とを備え、 前記サーバは、 前記データ伸長手段によって求めたパスワード認証 データ Hを予め記憶しておく記憶手段と、 前記記憶手段から読み出したパスヮ ード認証データ Hと内部において発生させた乱数を入力として所定の計算式 により値 Y 2を求め、 前記端末装置へ送信するマスク演算手段と、 前記パスヮ ード認証データ Hと内部において発生させた乱数と前記端末装置から受信し た値 Y 1を入力として所定の計算式により値 M Kを求めるマスター鍵生成手 段と、.前記値 MKを入力として所定の計算式により値 V 2を求め、 端末装置へ 送信するとともに、 前記端末装置から受信した値 V 1と値 V 2と比較照合し、 一致した場合に端末装置を認証する認証結果判断手段と、 端末装置の認証が行 われた場合に、 セッション鍵を生成するセッション鍵生成手段と、 端末装置か ら受信した分割データを受信するデータ受信手段と、 前記分割データを記憶す るデ一夕記憶手段と、 前記データ記憶手段に保存されている分割データを読み 出して端末装置へ送信するデータ送信手段とを備えたことを特徴とする遠隔 分散保存システム。 本発明の要旨は、 端末装置と複数のサーバ間において相互に認証を行い、 前 記端末装置内の保存対象のデータを前記サーバ内に分散して保存する遠隔分 散保存システムにおける端末装置上で動作する遠隔分 ¾保存プログラムであ つて、 ユーザが予め決定しておいたパスワードに基づいて、 サーバ登録用のパ スワード認証データ Hとユーザ保存用の認証情報 P ' を求めるデータ伸長処理 と、 前記データ伸長処理によって求めた認証情報 P ' を予め記憶しておく記憶 処理と、 前記記憶処理から読み出した認証情報 P ' と認証時に入力されたパス ワードを入力として所定の計算式により値 Pを求める結合処理と、 前記値 Pと 内部において発生させた乱数を入力として所定の計算式により値 Y 1を求め、 前記サーバへ送信するマスク演算処理と、 前記値 Pと内部において発生させた 乱数と前記サーバから受信した値 Y 2を入力として所定の計算式により値 M Kを求めるマスター鍵生成処理と、 前記値 MKを入力として所定の計算式によ り値 V Iを求め、 サーバへ送信するとともに、 前記サーバから受信した値 V 2 と値 V 1と比較照合し、 一致した場合にサ一パを認証する認証結果判断処理と、 サーバの認証が行われた場合に、 セッション鍵 S Kをサーバの数だけ生成する セッション鍵生成処理と、 前記保存対象のデータを分割して、 認証したサーバ の数と同数の分割データを得るデータ分割処理と、 前記分割データのそれぞれ と保存対象のデータを識別する識別情報とを、保存先のサーバと共有した前記 セッション鍵 S Kを用いて暗号化して、 各サーバに対して送信するデータ保存 処理と、 分割データが保存された各サーバから分割データを受信し、 前記保存 対象のデータを復元するデータ復元処理とをコンピュータに行わせることを 特徴とする遠隔分散保存プログラム 本発明の要旨は、 端末装置と複数のサーバ間において相互に認証を行い、 前 記端末装置内の保存対象のデータを前記サーバ内に分散して保存する遠隔分 散保存システムにおけるサーバ上で動作する遠隔分散保存プログラムであつ て、 データ伸長処理によって求めたパスワード認証データ Hを予め記憶してお く記憶処理と、 前記記憶処理から読み出したパスワード認証データ Hと内部に おいて発生させた乱数を入力として所定の計算式により値 Y 2を求め、 前記端 末装置へ送信するマスク演算処理と、 前記パスワード認証データ Hと内部にお いて発生させた乱数と前記端末装置から受信した値 Y 1を入力として所定の 計算式により値 MKを求めるマスタ一鍵生成処理と、 前記値 MKを入力として 所定の計算式により値 V 2を求め、 端末装置へ送信するとともに、 前記端末装 置から受信した値 V 1と値 V 2と比較照合し、 一致した場合に端末装置を認証 する認証結果判断処理と、 端末装置の認証が行われた場合に、 セッション鍵を 生成するセッション鍵生成処理と、 端末装置から受信した分割デー夕を受信す るデータ受信処理と、 前記分割データを記憶するデータ記憶処理と、 前記デー タ記憶処理に保存されている分割データを読み出して端末装置へ送信するデ 一夕送信処理とをコンピュータに行わせることを特徴とする遠隔分散保存プ ログラム。 · 図面の簡単な説明

図 1は、 本発明の一実施形態における端末装置の構成を示すプロック図であ る。 .

図 2は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 3は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 4は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 5は、 相互認証及び鍵交換を行う装置の構成を示すブロック図である。 図 6は、 図 5に示す端末装置 1の構成を示すプロック図である。

図 7は、 図 5に示すサーバ 2の構成を示すブロック図である。

図 8は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 9は、 パスワード認証データ更新一 1の端末装置 1の構成を示すプロック 図である。

図 1 0は、 パスワード認証データ更新— 1のサーバ 2の構成を示すブロック 図である。

図 1 1は、 パスワード認証データ更新一 2の端末装置 1の構成を示すブロッ ク図である。

図 1 2は、 パスワード認証データ更新— 2のサーバ 2の構成を示すブロック 図である。

図 1 3は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 1 4は、 図 1に示すデータ伸長器 1 1の構成を示すブロック図である。 図 1 5は、 安全な通信を利用して初期化処理を行う場合のサーバ 2の構成を 示すブロック図である。

図 1 6は、 安全ではない通信を利用して初期化処理を行う場合の端末装置 1 及びサーバ 2の構成を示すブロック図である。

図 1 7は、 図 5に示す端末装置 1の構成を示すブロック図である。

図 1 8は、 図 5に示すサーバ 2の構成を示すブロック図である。

図 1 9は、 マスター鍵を利用して更新化処理を行う場合の端末装置 1の構成 を示すブロック図である。

図 2 0は、 マスター鍵を利用して更新化処理を行う場合のサーバ 2の構成を 示すブロック図である。

図 2 1は、 端末に分散データを保存しない場合の遠隔分散保存装置 5の構成 を示すブロック図である。

図 2 2は、 図 2 1に示すデータ分散器 5 1の構成を示すブロック図である。 図 2 3は、 端末にデータを保存しない場合の遠隔分散保存装置 5の構成を示 すブロック図である。

図 2 4は、 図 2 3に示すデータ復元器 5 4の構成を示すプロック図である。 図 2 5は、 端末にも分散データを保存する場合の遠隔分散保存装置 5の構成 を示すブロック図である。

図 2 6は、 図 2 5に示すデータ分割器 5 1の構成を示すプロック図である。 図 27は、 端末にも分散データを保存する場合の遠隔分散保存装置 5の構成 を示すブロック図である。

図 2 8は、 図 27に示すデータ復元器 54の構成を示すブロック図である。 発明を実施するための最良の形態.

<第 1実施例 >

以下、図面を参照しつつ、本発明の好適な実施例について説明する。ただし、 本発明は以下の各実施例に限定されるものではなく、 例えばこれら実施例の構 成要素同士を適宜組み合わせてもよい。

この認証システムは、 ユーザの端末装置とサーバの認証装置がお互いに相互 認証しながら同じセッション鍵を確保するためのシステムである。

ここで、 以下の説明において用いる記号について説明しておく。

P， qは素数であり、 d I p—lという関係がある。 Q I p— 1は、 Qは p — 1を割りきることのできる値であることを意味する。 また、 g, hは mod P上の位数 Qの有限体（群） G= {g ^j mod p： 0≤ j < q } の生成元であ る （楕円曲線上の群でも同じように構成できる） 。 ここで、 "g^j mod p" は、 法指数演算で、 gを j乗した値を pで割った残り （Rema i nde r) という意味である。 ここで、 gは（l<gく p— 1, g^q= lmo d p, g^j≠ lmo d p (0く j <q) )であり、 hは h = g ^amo d pである。つまり、 p, Qは演算体系 （素体の標数） を示す。 例えば、 H=h^xmo d p (0<X<QL) で xは秘密情報である （つまり、 Hが与えられた時、 x= l og_hHを求める のは数学的に難しい問題； Hの生成元 hに対する離散対数問題） 。 また、 乱数 発生器から発生される乱数は RG (Z/q Z) *を無作為に生成する。 ここで、 (Z/qZ) *は { 1, 2， · · ·， Q} の集合を示す。 また、 Nはパスヮー ドの長さを示す。 また、 IIは値を連結 （c onc a t ena t i on) すると いう意味である。

<端末装置の初期化 >

ユーザは、 サーバに対して個人登録したい時、 自分の端末装置の初期化を行 う。 図 1は、 ユーザの端末装置の初期化処理の構成を示すブロック図である。 初期化は、 ユーザがパスワードを入力すると、 データ伸張器 1 1によって、 サ ーパ登録用のパスワード認証データ Hと、 ユーザ保存用の値 P， が生成され、 パスワード認証データ Hは、 サーバに受け渡され、 値 P， は、 メモリ 12へ保 存する。 ここで、 データ伸長器 1 1は、 多項式、 多項式とハッシュ関数、 ハツ シュ関数、 擬似乱数発生器などで構成することが可能である。

(1) 多項式を利用する場合 （その 1)

初めに、 図 2を参照して、 多項式を利用する場合 （その 1) について説明す る。 "

まず、 多項式発生器 1 1 1によりランダムに多項式を発生する。 このとき、 登録するサーバの数が一つだったら Xを変数とする 1次多項式 （ρ' (χ) = ！ - xmo d q) を、 サーバの数が n個だったら n次多項式 （ρ' (χ) = α！ · χ + α 2 · χ²+ · · - + _η - xⁿmo d q) を発生する。 ここで、 αは (ZZQ Z) *から無作為に選ばれる。例えば、一つのサーバの場合、 p' (X) は、 ρ， （X) = ！ · xmo d Qとなる。 ここで、 ユーザは自分が覚えてい るパスワード （例えば、 " P o o h 9 3" ) を入力する。 多項式とユーザのパ スワードが入力されたらパスワード認証データ生成器 1 1 2は、 パスワード認 証データ Hを生成する。パスワード認証データ Hは、 例えば H=h^p' ^{(1) +Pooh 93} mo d pにより計算できる。 ここで、 p' (1) は ' （X) で Xの代わ りにサーバの I D (例えば、 「1」.） を入れて計算した値である。 パスワード 認証データ Hはユーザが直接にサーバに渡したり、 郵便で送付したり、 あるい は電話で知らせるなどして、 安全に通知する必要がある.。 ユーザの端末装置の 内部にあるメモリ 1 2は多項式発生器から発生された多項式 Ρ' =ρ' (χ) を記憶して保存する。

(2) 多項式を利用する場合 （その 2)

次に、図 2を参照して、多項式を利用する場合（その 2)について説明する。 まず、 多項式発生器 1 1 1によりランダムに多項式を発生する。 このとき、 登録するサーバの数が一つだったら χを変数とする 1次多項式 （p， （X) = l - xmo d q) を、 サーバの数が n個だったら n次多項式 （p， (x) = CE I · χ + α₂ · x²+ - · - + α_η · xⁿmo d q) を発生する。 ここで、 αは (Z/q Ζ) *から無作為に選ばれる。例えば、一つのサーバの場合、 p' (X) は、 ρ， （X) = · xmo d qとなる。 ここで、 ュ一ザは自分が覚えてい るパスワード （例えば、 " P o o h 93" ) を入力する。 多項式とユーザのパ スワードが入力されたらパスワード認証データ生成器 1 1 2は、 パスワード認 証データ Hを生成する。 パスワード認証データ Hは、 例えば H=p (1) =p， (1) + P o o h 93mo d Qにより計算できる。 ここで、 p， (1) は p， (x) で xの代わりにサーバの I D (例えば、 「1」 ） を入れて計算した値で ある。 パスワード認証デ一夕 Hはユーザが直接にサーバに渡したり、 郵便で送 付したり、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ュ 一ザの端末装置の内部にあるメモリ.1 2は多項式発生器から発生された多項 式 Ρ' = ρ ' (X) を記憶して保存する。

(3) 多項式とハッシュ関数を利用する場合 （その 1)

次に、 図 8を参照して、 多項式とハッシュ関数を利用する場合 （その 1) に ついて説明する。

まず、 多項式発生器 1 1 9によりランダムに多項式を発生する。 このとき、 登録するサーバの数が一つだったら Xを変数とする 1次多項式 （ρ ' (X) = 1 - xmo dN) を、 サーバの数が n個だったら n次多項式 （ρ' (χ) = a！ · χ τΙ- α ₂ · χ²+ · · · + Q!_N · xⁿmo dN) を発生する。 ここで、 αは (Z/Q Ζ) *から無作為に選ばれる。例えば、一つのサーバの場合、 p' (X) は、 p ' (X) = 0^ · xmo dNとなる。 そして、 ハッシュ関数発生器 1 2 0によりランダムにハッシュ関数 HASHを発生する。 HASHは一方向ハツ シュ関数である。 ここで、 ユーザは自分が覚えているパスワード （例えば、 " P o o h 93" ) を入力する。 多項式とハッシュ関数とユーザのパスワードが 入力されたらパスワード認証データ生成器 1 2 1は、 パスワード認証データ H を生成する。パスワード認証データ Hは、 例えば H = h^{p (1})mo d pにより計 算できる。 ここで！） (1) は、 p (1) =p， (1) +HASH (P o oh 9 3 II I D (U) II I D (S) ) mo dNにより計算する。 ここで、 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 ここで、 p， （1) は p ' (X) で Xの代わりに 「1」 入れて計算した値である。

例えば、 登録するサーバの数が nの場合、 パスワード認証データ生成器 1 2 1は、 i番目のサーバに対してパスワード認証データ Hを生成する。 パスヮ ード認証デ一夕 Hは、 例えば H = h^{p (i})mo d pにより計算できる。 ここで p ( i ) は、 p ( i ) =p ' ( i ) +HASH (P o o h 9 3 II I D (U) II I D (S) ) mo dNにより計算する。 ここで、 I D (U) と I D (S) はそれ ぞれユーザと i番目のサーバの I Dを表す。 ここで、 ( i) は n次多項式 p' (X) で Xの代わりに 「 i」 を入れて計算した値である。

パスワード認証データ Hはユーザが直接にサーバに渡したり、 郵便で送付 したり、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユー ザの端末装置の内部にあるメモリ 1 2は多項式発生器から発生された多項式 P ' (X) とハッシュ関数発生器から発生されたハッシュ関数 HASHとを一 緒に P' = (ρ' (x) , HASH) として記憶して保存する。

(4) 多項式とハッシュ関数を利用する場合 （その 2)

次に、 図 8を参照して、 多項式とハッシュ関数を利用する場合 （その 2) に ついて説明する。

まず、 多項式発生器 1 1 9によりランダムに多項式を発生する。 このとき、 登録する.サーバの数が一つだったら Xを変数とする 1次多項式 （ρ ' (χ) = 1 - xmo dN) を、 サーバの数が n個だったら n次多項式 （ρ' (χ) = 0；! · χ + α₂ · χ²+ - · · -I- α_η · xⁿmo dN) を発生する。 ここで、 は (Z/Q Z) *から無作為に選ばれる。例えば、.一つのサ一パの場合、 p' (X) は、 p ' (X) =ひ i · xmo dNとなる。 そして、 ハッシュ関数発生器 1 2 0によりランダムにハッシュ関数 HASHを発生する。 HASHは一方向ハツ シュ関数である。 ここで、 ユーザは自分が覚えているパスワード （例えば、 " P o o h 93 " ) を入力する。 多項式とハッシュ関数とユーザのパスワードが 入力されたらパスワード認証データ生成器 12 1は、 パスワード認証データ H を生成する。 パスワード認証データ Hは、 例えば H=P (1) =ρ' (1) + HASH (P o o h 93 II I D (U) II I D (S) ) mo dNにより計算でき る。 ここで、 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 ここで、 p ' (1) は p ' (X) で Xの代わりに 「1」 入れて計算した値であ る。

例えば、 登録するサーバの数が nの場合、 パスワード認証データ生成器 12 1は、 i番目のサーバに対してパスワード認証データ Hを生成する。 パスヮー ド認証データ Hは、 例えば H=p ( i) =ρ' ( i ) +HASH (P o oh 9 3 II I D (U) II I D (S) ) m o d Nにより計算でき ¾。 ここで、 I D (U) と I D (S) はそれぞれュ一ザと i番目のサーバの I Dを表す。 ここで、 p' ( i) は n次多項式 p' (x) で Xの代わりに 「 i」 を入れて計算した値であ る。

パスワード認証データ Hはユーザが直接にサーバに渡したり、 郵便で送付し たり、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユーザ の端末装置の内部にあるメモリ 12は多項式発生器から発生された多項式 p' (x) とハッシュ関数発生器から発生されたハッシュ関数 HASHとを一緒に P' = (ρ-' (x) , HASH) として記憶して保存する。

(5) ハッシュ関数を利用する場合 （その 1)

次に、 図 3を参照して、 八ッシュ関数を利用する場合 （その 1) について説 明する。.

まず、 ハッシュ関数発生器 1 13によりランダムにハッシュ関数 HASHを 発生する。 そして、 秘密値発生器 1 14もランダムに秘密値 Sを発生する。 こ こで、 ユーザは自分が覚えているパスワード.（例えば、 " P o oh 93" ) を 入力する。 ハッシュ関数 HASHと秘密値 Sとユーザのパスワードが入力され たらパスワード認証データ生成器 1 1 5はパスワード認証データ Hを生成す る。 パスワード認証デ一タ Hは、 例えば、 H=h^{HASH (sllp}°°^{h93II ID (u}) ^{II ID <S) )} mo d pにより計算できる。 ここで、 I D (U) と I D (S) はそれぞれユー ザとサーバの I Dを表す。 パスヮード認証データ Hはユーザが直接にサーバに 渡したり、 郵便で送付したり、 あるいは電話で知らせるなどして、 安全に通知 する必要がある。 ユーザの端末装置の内部にあるメモリ 12はハッシュ関数発 生器 1 1 3と秘密値発生器 1 14から発生されたハッシュ関数 HASHと秘 密値 Sとを一緒に P' = (S, HASH) として記憶して保存する。

(6) ハッシュ関数を利用する場合 （その 2)

次に、 図 3を参照して、 ハッシュ関数を利用する場合 （その 2) について説 明する。

まず、 ハッシュ関数発生器 1 13によりランダムにハッシュ関数 HASHを 発生する。 そして、 秘密値発生器 1 14もランダムに秘密値 Sを発生する。 こ こで、 ユーザは自分が覚えているパスワード （例えば、 " P o oh 93" ) を 入力する。 ハッシュ関数 H A S Hと秘密値 Sとユーザのパスワードが入力され たらパスワード認証データ生成器 1 1 5はパスワード認証データ Hを生成す る。 パスワード認証データ Hは、 例えば、 H = HASH (S II P o o h 93 II I D (U) II I D (S) ) mo d qにより計算できる。 ここで、 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 パスワード認証データ H はユーザが直接にサーバに渡したり、 郵便で送付したり、 あるいは電話で知ら せるなどして、 安全に通知する必要がある。 ユーザの端末装置の内部にあるメ モリ 1 2はハッシュ関数発生器 1 1 3と秘密値発生器 1 14から発生された ハッシュ関数 HASHと秘密値 Sとを一緒に P' = (S, HASH) として記 憶して保存する。

(7) 擬似乱数発生器を利用する場合 （その 1)

次に、 図 4を参照して、 擬似乱数発生器を利用する場合 （その 1) について 説明する。

まず、 擬似乱数発生器 1 16によりランダムに擬似乱数関数 PR NGを発生 する。そして、秘密値発生器 1 17もランダムに秘密値 Sを発生する。ここで、 ユーザは自分が覚えているパスワード （例えば、 " P o oh 93" ) を入力す る。擬似乱数関数 PRNGと秘密値 Sとユーザのパスワードが入力されたのを 受けて、 パスワード認証データ生成器 118はパスワード認証データ Hを生成 する。パスヮ一ド認証デ一夕 Hは、例えば、 H=h^PRNG(sllp。°^{h93llID(u) IIID (S>)} mo d pにより計算できる。 ここで、 ID (U) と ID (S) はそれぞれュ一 ザとサーバの I Dを表す。パスワード認証データ Hはユーザが直接にサーバに 渡したり、 郵便で送付したり、 あるいは電話で知らせるなどして、 安全に通知 する必要がある。ユーザの端末装置の内部にあるメモリ 1.2は擬似乱数発生器 116と秘密値発生器 117から発生させた擬似乱数関数 PRNGと秘密値 Sとを一緒に P' = (S, PRNG) として記憶して保存する。

(8) 擬似乱数発生器を利用する場合 （その 2)

次に、 図 4を参照して、 擬似乱数発生器を利用する場合 （その 2) について 説明する。

まず、 擬似乱数発生器 116によりランダムに擬似乱数関数 PRNGを発生 する。そして、秘密値発生器 117もランダムに秘密値 Sを発生する。ここで、 ユーザは自分が覚えているパスワード （例えば、 " Pooh 93" ) を入力す る。擬似乱数関数 PRNGと秘密値 Sとユーザのパスワードが入力されたのを 受けて、 パスワード認証データ生成器 118はパスワード認証データ Hを生成 する。 パスワード認証デ一夕 Hは、 例えば、 H = PRNG (S II Pooh 93 II I D (U) II I D (S) ) mo d Qにより計算できる。 ここで、 I D (U) と ID (S) はそれぞれユーザとサーバの I Dを表す。 パスワード認証データ Hはユーザが直接にサーバに渡したり、 郵便で送付したり、 あるいは電話で知 らせるなどして、 安全に通知する必要がある。 ユーザの端末装置の内部にある メモリ 12は擬似乱数発生器 116と秘密値発生器 117から発生させた擬 似乱数関数 PRNGと秘密値 Sとを一緒に Ρ'. = (S, PRNG) として記憶 して保存する。 次に、 図 6、 7を参照して、 前述した初期化を行った端末装置 1とサーバ 2 (図 5参照） との間で相互認証及び鍵交換を行う動作を説明する。 ぐ端末装置の動作 >

(1) 多項式を利用した場合 （その 1とその 2)

初めに、 多項式を利用した場合の端末装置 1の動作を説明する。 端末装置 1 は、 前述した多項式を利用した場合 （その 1) 、 多項式を利用した場合 （その 2) に関わらず次のように動作する。

まず、 ユーザの端末装置 1に備えたメモリ 12から記憶された多項式 P' = P' (x) を読み出す。 結合器 32はメモリ 12から読み出した多項式 P' と ュ一ザが入力したパスヮ一ドにより P = p (X)を計算して出力する。例えば、 p (x) = p ' (X) + P o o h 93 = ひ i · X + P o o h 93mo d qによ り計算する。 マスク演算器 34は、 結合器 32から入力された Pと乱数発生器 33において発生させた乱数 とから を、 Y gK¹ · h— ^{p (1)}mo に より計算する。 ここで p (1) は、 p (1) = ρ ' (1) +P o oh 93 = Q! 丄 · 1 +P o o h 93mo d Qにより計算する。 ここで、 「1」 はサーバの認 証 IDを表す。 通信処理部 35は をサーバ 2へ送信し、 サーバ 2から Y₂を 受信する。 マスター鍵生成器 36は結合器 32から出力される Ρと乱数発生器 33から出力される と受信した Υ ₂を入力として ΜΚを、 ΜΚ= (Υ₂ · h一 ^{p R1} mo d pにより計算して出力する。

続いて認証結果判断部 37は、 MKを入力として、 Vi-HASH (00 II Y! II Y₂ II MK) により を計算してこの を通信処理部 35によりサーバ 2へ送信し、 サーバ 2から受信した V₂と HASH (0 1 II Y _x II Y₂ II MK) を比較する。 ここで、 HASHは 方向ハッシュ関数であるし、 HASHの代 わりに MA C (Me s s a g e Au t h e n t i c a t i on Co d e) を使ってもよい。

次に、 認証結果判断部 37において V₂と HASH (01 II Y！ II Y₂ II MK) がー致しない場合、 認証結果判断部 37は、 エラー発生器 38に対して、 一致 しないことを通知する。 これを受けて、 エラー発生器 38はエラ一を発生して 処理を中断する。 一方、 認証結果判断部 37において V₂と HASH (0 1 || Yi II Y₂ II MK) がー致した場合はサーバ 2が正当な装置として認証してセッ シヨン鍵生成器 39は、 SK = HASH (1 1 II II Y₂ II MK)によりセッ ション鍵 S Kを生成する。

(2) 多項式とハッシュ関数を利用した場合 （その 1とその 2)

次に、 多項式とハッシュ関数を利用した場合の端末装置 1の動作を説明する。 端末装置 1は、 前述した多項式と八ッシュ関数を利用した場合 （その 1) 、 多 項式とハッシュ関数を利用した場合（その 2 )に関わらず次のように動作する。 まず、 ユーザの端末装置 1に備えたメモリ 1 2から記憶された多項式とハツ シュ関数 P' = (ρ' (X) , HASH) を読み出す。 結合器 32はメモリ 1 2から読み出した多項式 p ' (X) とハッシュ関数 HASHとユーザが入力し たパスワードにより P = p (x) を計算して出力する。 例えば、 p' (X) が 1次多項式の場合、 p (x) =p' (x) +HASH (P o o h 9 3 II I D (U) II I D (S) ) = a ! · x+HASH (P o o h 9 3 II I D (U) II I D (S) ) mo dNにより計算する。 マスク演算器 34は、 結合器 32から入力された P と乱数発生器 3 3において発生させた乱数 とから を、 - gK¹ ' !! ^ mo d pにより計算する。 ここで p (1) は、 p (1) =p ' (1) +HAS H (P o o h 9 3 II I D (U) II I D (S) ) = ₁ - 1 +HASH (P o o h 93 II I D (U) II I D (S) ) mo dNにより計算する。 ここで、 p' (1) は p' (x) で xの代わりに 「1」 入れて計算した値である。 通信処理部 3 5 は をサーバ 2へ送信し、 サーバ 2から Y₂を受信する。 マス夕一鍵生成器 3 6は結合器 32から出力される Ρと乱数発生器 3 3から出力される と受信 した Y ₂を入力として MKを、 MK (Y₂ · h— P ^R1 mo d pにより計算 して出力する。

ユーザの端末装置 1に備えたメモリ 1 2から読み出した多項式 p' (x) が n次多項式の場合、 結合器 32は多項式 p' (x) とハッシュ関数 HASHと ユーザが入力したパスワードにより P = p (X)を計算して出力する。例えば、 p (x) =p ' (x) +HASH (P o o h 9 3 II I D (U) II I D (S) ) mo dNにより計算する。 マスク演算器 34は、 結合器 32から入力された P と乱数発生器 3 3において発生させた乱数 1^とから を、 Yi g^' h mo d pにより計算する。 ここで p ( i ) は、 p ( i ) =p， ( i ) +HAS H (P o o h 93 II I D (U) II I D (S) ) mo dNにより計算する。 ここ で、 p ' ( i ) は i番目のサーバに対して p ' (X) で Xの代わりに 「 i」 入 れて計算した値である。 通信処理部 35は をサーバ 2へ送信し、 サーバ 2 から Y₂を受信する。 マスター鍵生成器 36は結合器 32から出力される Ρと 乱数発生器 33から出力される 1^と受信した Υ₂を入力として ΜΚを、 ΜΚ = (Υ₂ · h_^p ")) ^R1 mo d pにより計算して出力する。

続いて認証結果判断部 37は、 MKを入力として、 Vi HASH (00 II Yi II Y₂ II MK) により を計算してこの を通信処理部 35によりサーバ 2へ送信し、 サーバ 2から受信した V₂と HASH (01 II Υχ II Υ₂ II MK) を比較する。 ここで、 HASHは一方向ハッシュ関数で—あるし、 HASHの代 わりに MAC (Me s s a g e Au t h e n t i c a t i on Co d e) を使ってもよい。

次に、 認証結果判断部 37において V₂と HASH (01 II Y_x II Y₂ II MK) がー致しない場合、 認証結果判断部 37は、 エラー発生器 38に対して、 一致 しないことを通知する。 これを受けて、 エラー発生器 38はエラーを発生して 処理を中断する。 一方、 認証結果判断部 37において V₂と HASH (01 II Yi II Y₂ II MK) がー致した場合はサーバ 2が正当な装置として認証してセッ シヨン鍵生成器 39は、 SK = HASH (1 1 II II Y₂ II MK)によりセッ シヨン鍵 SKを生成する。

(3) ハッシュ関数を利用した場合 （その 1とその 2)

次に、 .八ッシュ関数を利用した場合の端末装置 1の動作を説明する。 端末装 置 1は、 前述したハッシュ関数を利用した場合 （その 1) 、 ハッシュ関数を利 用した場合 （その 2) に関わらず次のように動作する。

まず、 ユーザの端末装置 1に備えたメモリ 12から記憶された秘密値とハツ シュ関数 P' = (S, HASH) を読み出す。 結合器 32はメモリ 12から読 み出した秘密値 Sとハッシュ関数 H A S Hとユーザが入力したパスヮ一ドに より P = pを計算して出力する。 例えば、 pは、 p=HASH (S II P o o h 93 II I D (U) II I D (S) ) mo d qにより計算する。 マスク演算器 34 は、 結合器 32から入力された Pと乱数発生器 33において発生させた乱数 R iとから を、 Yi g · h一 ^pmo d pにより計算する。通信処理部 3 5は、 _Υιをサーバ ₂へ送信し、 サーバ 2から Υ₂を受信する。 マスター鍵生成器 36 は結合器 32から出力される Ρと乱数発生器 3 3から出力される と受信し た Y₂を入力として MKを、 ΜΚ- (Υ₂ · h— ^p) ^R1 mo d pにより計算して 出力する。

続いて認証結果判断部 3 7は、 MKを入力として、 V -HASH (0 0 II Y_x II Υ₂ II MK) により を計算してこの V を通信処理部 3 5によりサーバ 2へ送信し、 サーバ 2から受信した V₂と HASH ( 0 1 II Y！ II Y₂ II MK) を比較する。 ここで、 HASHは一方向ハッシュ関数であるし、 HASHの代 わりに M A C (Me s s a g e Au t h e n t i c a t i o n Co d e) を使ってもよい。

次に、 認証結果判断部 37において V₂と HASH (0 1 II Ύ₁ II Υ₂ II MK) がー致しない場合、 認証結果 断部 37は、 エラー発生器 38に対して、 一致 しないことを通知する。 これを受けて、 エラー発生器 38はエラーを発生して 処理を中断する。 一方、 認証結果判断部 37において V₂と HASH (0 1 II Yx II Υ₂ II MK) がー致した場合はサーバ 2が正当な装置として認証してセッ シヨン鍵生成器 39は、 SK = HASH (1 1 II II Y₂ II MK)によりセッ シヨン鍵 SKを生成する。

(4) 擬似乱数発生器を利用した場合 （その 1とその 2)

次に、 疑似乱数関数を利用した場合の端末装置 1の動作を説明する。 端末装 置 1は、 前述した擬似乱数発生器を利用した場合 （その 1) 、 擬似乱数発生器 を利用した場合 （その 2) に関わらず次のように動作する。

疑似乱数関数を利用した場合は、 ユーザの端末装置 1に備えたメモリ 1 2に 記憶されたハッシュ関数 H A S Hの代わりに疑似乱数関数 PRNGを用いる 以外は、 ハッシュ関数を利用した場合と同様の動作であるため、 ここでは詳細 な説明を省略する。 <サーバの動作； >

(1) 多項式を利用した場合 （その 1) 、 多項式とハッシュ関数を利用した場 合 （その 1) 、 ハッシュ関数を利用した場合 （その 1) 、 擬似乱数関数を利用 した場合 （その 1)

サーバ 2は、 前述した多項式利用した場合 （その 1) 、 多項式とハッシュ関 数を利用した場合 （その 1) 、 ハッシュ関数利用した場合 （その 1) 、 擬似乱 数発生器を利用した場合 （その 1) に関わらず次のように動作する。

サーバ 2に備えたメモリ 4 1に保存されたユーザ I Dとパスワードの認証 データ Hを読み出す。マスク演算器 43はメモリ 41から読み出した Hと乱数 発生器 42から発生させた乱数 R₂を入力として Y₂を/ Y₂=g^R2 · Hmo d Pにより計算する。 通信処理部 44は、 計算して得られた Y₂を端末装置 1に 送信し、 端末装置 1から受信した をマスタ一鍵生成器 45へ出力する。 マ スク鍵生成器 45はメモリ 41から読み出した Hと乱数発生器 42からの R₂ と通信処理部 44からの を入力として MKを、 MK= (Yi - H) ^R2mo d Pにより計算して、 MKを出力する。

続いて認証結果判断部 46は、 MKを入力として、 V₂ = HASH (0 1 II Yx II Ύ₂ II MK) により V₂を計算してこの V₂を通信処理部 44により端末装 置 1へ送信し、 端末装置 1から受信した と HASH (00 II Yi II Y₂ II Μ Κ) を比較する。 ここで、 HASHは一方向ハッシュ関数であるし、 HASH の代わりに M A C (Me s s a g e Au t h e n t i c a t i o n C o d e) を使ってもよい。

次に、.認証結果判断部 46において と HASH (00 II Y! II Y₂ II MK) がー致しない場合、 認証結果判断部 46は、 エラー発生器 47に対して、 一致 しないことを通知する。 これを受けて、 エラー発生器 47はエラーを発生して 処理を中断する。 一方、 認証結果判断部 46.において と HASH (00 II Y II Y₂ II MK) がー致した場合は端末装置 1が正当な装置として認証してセ ッシヨン鍵生成器 48は、 SK = HASH (1 1 II Y, II Y₂ II MK)によりセ ッシヨン鍵 SKを生成する。 (2) 多項式を利用した場合 （その 2) 、 多項式とハッシュ関数を利用した場 合 （その 2) 、 ハッシュ関数を利用した場合 （その 2) 、 擬似乱数関数を利用 した場合 （その 2)

サーバ 2は、 前述した多項式利用した場合 （その 2) 、 多項式とハッシュ関 数を利用した場合 （その 2) 、 ハッシュ関数を利用した場合 （その 2) 、 擬似 乱数発生器を利用した場合 （その 2) に関わらず次のように動作する。

サーバ 2に備えたメモリ 41に保存されたユーザ I Dとパスヮードの認証 データ Hを読み出す。 マスク演算器 43はメモリ 41から読み出した Hと乱数 発生器 42から発生させた乱数 R ₂を入力として Y₂を、 Y₂=g^R2 · h^Hmo d pにより計算する。 通信処理部 44は、 計算して得られた Y₂を端末装置 1に 送信し、 端末装置 1から受信した をマスター鍵生成器 45へ出力する。 マ スク鍵生成器 45はメモリ 41から読み出した Hと乱数発生器 42からの R ₂ と通信処理部 44からの を入力として MKを、 ΜΚ= (Υχ - ^H) ^R2mo dpにより計算して、 MKを出力する。

続いて認証結果判断部 46は、 MKを入力として、 V₂ = HASH (0 1 II II Y₂ II MK) により V₂を計算してこの V₂を通信処理部 44により端末装 置 1へ送信し、 端末装置 1から受信した V！と HASH (00 II II Y₂ II Μ Κ) を比較する。 ここで、 HASHは一方向ハッシュ関数であるし、 HASH の代わりに M A C (Me s s a g e Au t h e n t i c a t i on C od e) を使ってもよい。

次に、 認証結果判断部 46において と HASH (00 II Y! II Y₂ II MK) がー致しない場合、 認証結果判断部 46は、 エラ一発生器 47に対して、 一致 しないことを通知する。 これを受けて、 エラ一発生器 47はエラーを発生して 処理を中断する。 一方、 認証結果判断部 46において と HASH (00 11 Y₁ II Υ₂ II MK) がー致した場合は端末装置 1が正当な装置として認証してセ ッシヨン鍵生成器 48は、 SK = HASH (1 1 II II Y₂ II MK)によりセ ッション鍵 SKを生成する。

<パスワード認証データの更新一 1> ユーザは、 サーバに対してすでに登録されたパスワード認証データを、 自分 が覚えているパスワードを変えずに、 更新したい時、 自分の端末装置の更新化 を行う。 図 9は、 ユーザの端末装置の更新化処理の構成を示すブロック図であ る。 更新化処理は、 多項式発生器 1 3による多項式 T' とユーザの端末装置 1 に備えたメモリ 1 2から記憶された多項式 P， が入力されると、 更新値生成器 14によって、サーバ更新用の値 H' と、ユーザ保存用の更新された多項式 P' が生成され、 H' は、 サーバに受け渡され、 更新された多項式 P' は、 メモリ 12へ保存する。 ここでの更新化処理は、 前述した多項式を利用した場合 （そ の 1.) 、 多項式を利用した場合 （その 2) 、 多項式とハッシュ関数を利用した 場合 （その 1) 、 多項式とハッシュ関数を利用した場合.（その 2) に適用する ことが可能である。

<端末装置の更新化処理 >

( 1 ) 多項式を利用した場合 '(その 1 )

初めに、 図 9を参照して、 多項式を利用した場合 （その 1) の端末装置 1の 更新化処理の動作を説明する。

まず、 多項式発生器 1 3によりランダムに多項式を発生する。 このとき、 登 録したサーバの数が一つだったら Xを変数とする 1次多項式 （ t ' (χ) = β ι · xmo d q) を、 サーバの数が n個だったら n次多項式（ t， (x) = )3！ · x + ιδ ₂ · χ²+ · · · +jS_n · xⁿmo d q) を発生する。 ここで、 j3は （Z/ q Z) *から無作為に選ばれる。例えば、一つのサーバの場合、 T' = t ' (x) は、 t，. （X) =3 i · xmo d qとなる。 ここで、 ユーザの端末装置 1に備 えたメモリ 12から記憶された多項式 Ρ' =ρ' (χ) を読み出す。 多項式 t ' (x) と多項式 P' (x) が入力されたら更新値生成器 14は、 ユーザ保存用 の更新された多項式 P' とサーバ更新用の値 を生成する。 更新された多項 式 P， は、 例えば P ' = t ' (x) + p ' (x) = (α !+ iS χ) · xmo d qにより計算できる。 サーバ更新用の値 H' 、 例えば H， =h ("mo d p により計算できる。 ここで、 t， (1) は t ' (X) で Xの代わりにサーバの I D (例えば、 「1」 ） 入れて計算した値である。 サーバ更新用の値 H' はュ —ザが直接にサーバに渡したり、 郵便で送付したり、 あるいは電話で知らせる などして、 安全に通知する必要がある。 ユーザの端末装置の内部にあるメモリ 1 2は更新された多項式 P' = t ' (χ) +ρ' (x) を記憶して保存する。

(2) 多項式を利用した場合 （その 2)

次に、 図 9を参照して、 多項式を利用した場合 （その 1) の端末装置 1の更 新化処理の動作を説明する。

まず、 多項式発生器 1 3によりランダムに多項式を発生する。 このとき、 登 録したサーバの数が一つだったら Xを変数とする 1次多項式 （t ' (X) = β ！ · xmo d q) を、 サーバの数が n個だったら n次多項式（ t， (x) = ι8 i · x + j8₂ · x²+ · · · +j8_n · xⁿmo d q) を発生する。 ここで、 j3は （Z/ q Z) *から無作為に選ばれる。例えば、 一つのサーバの場合、 T' = t ' (X) は、 t， （X) =i3 · xmo d qとなる。 ここで、 ユーザの端末装置 1に備 えたメモリ 1 2から記憶された多項式 Ρ' =ρ' (χ) を読み出す。多項式 t ' (x) と多項式 P' (X) が入力されたら更新値生成器 14は、 ユーザ保存用 の更新された多項式 P' とサーバ更新用の値 H' を生成する。 更新された多項 式！⁵' は、 例えば P， = t ' (x) + p ' (x) = ( _t+ β ₁) - xmo d Qにより計算できる。 サーバ更新用の値 H' 、 例えば H' = t ' (1) mo d Qにより計算できる。 ここで、 t ' (1) は t ' (x) で xの代わりにサ一 バの I D (例えば、 「1」 ） 入れて計算した値である。 サーバ更新用の値 H' はユーザが直接にサーバに渡したり、 郵便で送付したり、 あるいは電話で知ら せるなどして、 安全に通知する必要がある。 ユーザの端末装置の内部にあるメ モリ 1 2は更新された多項式 P' = t ' (χ) +ρ' (χ) を記憶して保存 する。

(3) 多項式とハッシュ関数を利用した場合 （その 1)

次に、 図 9を参照して、 多項式とハッシュ関数を利用した場合 （その 1) の 端末装置 1の更新化処理の動作を説明する。

まず、 多項式発生器 1 3によりランダムに多項式を発生する。 このとき、 登 録したサーバの数が一つだったら xを変数とする 1次多項式 （t ' (χ) = β ₁ - xmo dN) を、 サーバの数が n個だったら n次多項式（ t ' (x) = i3！ · x + jS ₂ · x²+ - · · +j8_n · xⁿmo dN) を発生する。 ここで、 3は （Ζ/ q Z) *から無作為に選ばれる。例えば、 一つのサーバの場合、 T' = t ' (x) は、 t ' (x) =]3 i · xmo dNとなる。 ここで、 ユーザの端末装置 1に備 えたメモリ 1 2から記憶された多項式とハッシュ関数 Ρ， = (ρ' (χ) ， HASH) を読み出す。 多項式!； ' （X) と多項式 p' (X) が入力されたら 更新値生成器 14は、 ユーザ保存用の更新された多項式 P' とサーバ更新用の 値 H' を生成する。 更新された多項式 P' は、 例えば P' = t ' (X) +p，

(x) = ( ₁ + ₁) · xmo dNにより計算できる。サ一パ更新用の値 H，、 例えば H' =h ")mo d pにより計算できる。 ここで、 t， (1) は

(X) で Xの代わりに 「1」 を入れて計算した値である。

例えば、 登録したサーバの数が nの場合、 更新値生成器 14は、 i番目のサ —バに対してサーバ更新用の値 H' を生成する。 サーバ更新用の値 H' は、 例 えば H' =h ⁽ⁱ)mo d pにより計算できる。 ここで、 t ' ( i ) は n次多 項式 t ' (x) で xの代わりに 「 i」 を入れて計算した値である。

サーバ更新用の値 H' は ーザが直接にサーバに渡したり、 郵便で送付した り、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユーザの 端末装置の内部にあるメモリ 12は更新された多項式 P' = t ' (χ) +ρ'

(x) とメモリ 1 2から読み出したハッシュ関数 HASHとを一緒に Ρ' =

( t ' (x) +ρ' (χ) , HASH) として記憶して保存する。

(4) 多項式とハッシュ関数を利用した場合 （その 2)

次に、 図 9を参照して、 多項式とハッシュ関数を利用した場合 （その 2) の 端末装置 1の更新化処理の動作を説明する。 .

まず、 多項式発生器 1 3によりランダムに多項式を発生する。 このとき、 登 録したサーバの数が一つだったら Xを変数とする 1次多項式 （t ' (x) = i · xmo dN) を、サーバの数が n個だったら n次多項式（ I: ' (x) =j3！ · x + /32 · x²+ · · - + _η - xⁿmo dN) を発生する。 ここで、 は / Q Z) *から無作為に選ばれる。例えば、 一つのサーバの場合、 T' = t ' (X) は、 t， (x) =)S i · xmo dNとなる。 ここで、 ュ一ザの端末装置 1に備 えたメモリ 1 2から記憶された多項式とハッシュ関数 P' = (p， （X) ， HASH) を読み出す。 多項式 t ' (X) と多項式 p， （X) が入力されたら 更新値生成器 14は、 ユーザ保存用の更新された多項式 P' とサーバ更新用の 値 H' を生成する。 更新された多項式 P' は、 例えば P' = t ' (χ) +ρ'

(χ) = (α ^ β ^ · xmo dNにより計算できる。サーバ更新用の値 H， 、 例えば H' = t ' (1) mo dNにより計算できる。 ここで、 t ' (1) は t '. (X) で Xの代わりに 「1」 を入れて計算した値である。

例えば、 登録したサーバの数が nの場合、 更新値生成器 14は、 i番目のサ —バに対してサーバ更新用の値 H' を生成する。 サーバ更新用の値 H' は、 例 えば H' = t ' ( i ) mo dNにより計算できる。 ここで、 t ' ( i ) は n次 多項式 t ' (x) で xの代わりに 「 i」 を入れて計算した値である。

サーバ更新用の値 H' はユーザが直接にサーバに渡したり、 郵便で送付した り、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユーザの 端末装置の内部にあるメモリ 1 2は更新された多項式 P' = t ' (χ) +ρ' (χ) とメモリ 1 2から読み出したハッシュ関数 HASHとを一緒に Ρ ' = ( t ' (χ) +ρ' (χ) ， HASH) として記憶して保存する。

<サーバの更新化処理 >

(1) 多項式を利用した場合 （その 1) 、 多項式とハッシュ関数を利用した場 合 （その 1)

初めに、 図 1 0を参照して、 多項式を利用した場合 （その 1) 、 多項式とハ ッシュ関数を利用した場合 （その 1) のサーバ 2の更新化処理の動作を説明す る。 サーバ 2は、 前述した多項式利用した場合 （その 1) 、 多項式とハッシュ 関数を利用した場合 （その 1) に関わらず次のように動作する。

まず、 サーバ 2に備えたメモリ 41に保存されたユーザ I Dとパスワード認 証デー夕 Hを読み出す。 ユーザの端末装置から送られたサーバ更新用の値 H ' とメモリ 4 1から読み出したパスワード認証データ Hが入力されたら更新値 生成器 21は、 サーバ保存用の更新されたパスワード認証データ Hを生成する。 更新されたパスワード認証データ Hは、 例えば H= ^{p (1)} · ⁽¹⁾= ^{p (1) + t}' ⁽¹⁾mo d pにより計算できる。サーバの内部にあるメモリ 41は更新され たパスワード認証データ Hを記憶して保存する。

(2) 多項式を利用した場合 （その 2)

次に、 図 10を参照して、 前述した多項式を利用した場合 （その 2) のサー バ 2の更新化処理の動作を説明する。

まず、 サーバ 2に備えたメモリ 41に保存されたユーザ I Dとパスワード認 証データ Hを読み出す。 ユーザの端末装置から送られたサーバ更新用の値 H ' とメモリ 41から読み出したパスワード認証データ Hが入力されたら更新値 生成器 21は、 サーバ保存用の更新されたパスワード認証データ Hを生成する。 更新されたパスワード認証データ Hは、 例えば H= p (1) + t， (1) m o d qにより計算できる。サーバの内部にあるメモリ 41は更新されたパスヮ 一ド認証デー夕 Hを記憶して保存する。

(3) 多項式とハッシュ関数を利用した場合 （その 2)

次に、図 10を参照して、前述した多項式とハッシュ関数を利用した場合（そ の 2) のサーバ 2の更新化処理の動作を説明する。

まず、 サーバ 2に備えたメモリ 41に保存されたユーザ I Dとパスヮード認 証データ Hを読み出す。 ユーザの端末装置から送られたサーバ更新用の値 H' とメモリ 41から読み出したパスワード認証データ Hが入力されたら更新値 生成器 21は、 サーバ保存用の更新されたパスワード認証データ Hを生成する。 更新されたパスワード認証データ Hは、 例えば H= p (1) + t， (1) m o dNにより計算できる。サーバの内部にあるメモリ 41は更新されたパスヮ ―ド認証デー夕 Hを記憶して保存する。

<パスワード認証デ一夕の更新一 2 >

ユーザは、 サーバに対してすでに登録されたパスワード認証データを、 自分 が覚えているパスワードを変えながら、 更新したい時、 自分の端末装置の更新 化処理を行う。 図 1 1は、 ユーザの端末装置の更新化処理の構成を示すブロッ ク図である。 更新化処理は、 秘密値発生器 15による秘密値 S' とユーザの新 しいパスワード PW' とユーザの端末装置 1に備えたメモリ 12から記憶され た P' が入力されると、 パスワード認証データ更新器 16によって、 サーバ更 新用のパスワード認証データ H' と、 ユーザ保存用の更新された P' が生成さ れ、 H' は、 サーバ 2に受け渡され、 更新された P' は、.メモリ 12へ保存す る。 ここでの更新化処理は、前述したハッシュ関数を利用した場合（その 1)、 ハッシュ関数を利用した場合 （その.2) 、 擬似乱数発生器を利用した場合 （そ の 1) 、 擬似乱数発生器を利用した場合 （その 2) に適用することが可能であ る。 そして、 多項式を利用した場合 （その 1) 、 多項式を利用した場合 （その 2) 、 多項式とハッシュ関数を利用した場合 （その 1) 、 多項式とハッシュ関 数を利用した場合 （その 2) も同じように初期化処理と同様の動作を用いて適 用することが可能なため、 ここでは詳細な説明を省略する。 ぐ端末装置の更新化処理 >

(1) ハッシュ関数を利用した場合 （その 1)

初めに、 図 1 1を参照して、 ハッシュ関数を利用した場合 （その 1) の端末 装置 1の更新化処理の動作を説明する。

まず、 秘密値発生器 1 5によりランダムに秘密値 S' を発生する。 ここで、 ユーザの端末装置 1に備えたメモリ 12から記憶された P' = (S, HASH) を読み出す。 ユーザが覚えている新しいパスワード （PW' ) とハッシュ関数 HASHと秘密値 S， が入力されたらパスワード認証データ更新器 16は、 ュ —ザ保存用の更新された P' とサーバ更新用のパスワード認証データ H' を生 成する。 サーバ更新用のパスワード認証データ H， は、 例えば H， =h^{HASH (s}" _IIPW' _{II ID (u) II ID}(_{s) ) mo} d pにより計算できる。 ここで、 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 サーバ更新用のパスワード認証デー 夕 H' はユーザが直接にサーバ 2に渡したり、 郵便で送付したり、 あるいは電 話で知らせるなどして、 安全に通知する必要がある。 ユーザの端末装置 1の内 部にあるメモリ 12は更新された P， = (S， ， HASH) を記憶して保存す る。

(2) ハッシュ関数を利用した場合 （その 2)

次に、 図 11を参照して、 ハッシュ関数を利用した場合 （その 2) の端末装 置 1の更新化処理の動作を説明する。

まず、 秘密値発生器 15によりランダムに秘密値 S' を発生する。 ここで、 ュ一ザの端末装置 1に備えたメモリ 12から記憶された P' = (S, HASH) を読み出す。 ユーザが覚えている新しいパスワード （PW' ) とハッシュ関数 HASHと秘密値 S' が入力されたらパスワード認証データ更新器 16は、 ュ —ザ保存用の更新された P' とサーバ更新用のパスワード認証データ H' を生 成する。 サーバ更新用のパスワード認証データ H， は、 例えば H， =HASH (S ' II PW II I D (U) II ID (S) ) mo d Qにより計算できる。 ここ で、 ID (U) と ID (S) はそれぞれユーザとサーバの I Dを表す。 サ一パ 更新用のパスワード認証データ H' はユーザが直接にサーバ 2に渡したり、 郵 便で送付したり、 あるいは電話で知らせるなどして、 安全に通知する必要があ る。 ユーザの端末装置 1の内部にあるメモリ 12は更新された P' = (S' , HASH) を記憶して保存する。

(3) 擬似乱数発生器を利用した場合 （その 1) 、 擬似乱数発生器を利用した 場合 （その 2)

次に、.図 11を参照して、 擬似乱数発生器を利用した場合 （その 1) 、 擬似 乱数発生器を利用した場合 （その 2) の端末装置 1の更新化処理の動作を説明 する。

擬似乱数関数を利用した場合 （その 1とその 2) は、 メモリ 12に記憶され たハツシュ関数 H A S Hの代わりに疑似乱数関数 P RN Gを用いる以外は、 ハ ッシュ関数を利用した場合 （その 1とその 2) と同様の動作であるため、 ここ では詳細な説明を省略する。 <サーバの更新化処理 >

(1) ハッシュ関数を利用した場合 （その 1) 、 ハッシュ関数を利用した場合 (その 2) 、 擬似乱数発生器を利用した場合 （その 1) 、 擬似乱数発生器を利 用した場合 （その 2)

初めに、 図 12を参照して、 ハッシュ関数を利用した場合 （その 1) 、 ハツ シュ関数を利用した場合（その 2 )、擬似乱数発生器を利用した場合（その 1 )、 擬似乱数発生器を利用した場合 （その 2) のサーバ 2の更新化処理の動作を説 明する。サーバ 2は、前述したハツシュ関数を利用した場合（その 1とその 2 )、 擬似乱数発生器を利用した場合 （その 1とその 2) に関わらず次のように動作 する。

まず、 サ一パ 2に備えたメモリ 41に保存されたユーザ I Dとパスワード認 証デー夕 Hを読み出す。 ユーザの端末装置 1から送られたサーバ更新用のパス ワード認証データ H' とメモリ 41から読み出したパスワード認証データ Hが 入力されたらパスワード認証データ更新器 22は、 サ一バ保存用のパスワード 認証データ Hをユーザの端末装置 1から送られた H' に更新する。 サーバの内 部にあるメモリ 41は更新されたパスワード認証データ Η = Η' を記憶して保 存する。

<第 2実施例 >

以下、 本発明の公開鍵暗号方式を使った実施例について説明する。 ただし、 本発明は以下の各実施例に限定されるものではなく、 例えばこれら実施例の構 成要素同士を適宜組み合わせてもよい。

ここで、 RS Α公開鍵暗号方式を使った実施例の説明する前に、 いくつかの 背景知識及び基礎的な記号について説明しておく。

公開鍵暗号方式では、 公開鍵（PubK)および秘密鍵（P r i K) の対（P ubK, P r i K) が存在する。 公開鍵は秘密ではなく、 誰でも得ることがで きる。 暗号化は、 公開鍵を用いてメッセージ mを C = En c_PubK (m) とな るような暗号文 Cを生成することが可能である。 暗号文は、 秘密鍵を用いての み、 m = De c_{Pr iK} (C) と復号可能である。 暗号文は、 公開鍵を用いては 復号できない。 そして公開鍵署名方式では、 メッセ一ジ mを署名化して s = S i g_{Pr iK} (m) となるような署名文 （m， s) を生成することが可能である。 署名文の検証は、 公開鍵を用いて、 m' =Ve r _PubK (s) を求め、 mと m' を比較することで可能である。 つまり、 mと m' がー致した場合はその署名文 (m, s) が正しいことを検証する。 そうではない場合は、 （m， s) が正し い署名文ではないことになる。

周知の RS A公開鍵方式では、 公開鍵は （N， e) であり、 秘密鍵は （N， d) である。 ただし、 Nは、 2つのランダムに選択された大きな素数 pと の 積であり （すなわち、 Ν=ρ· Q) 、 eは、 eと （p— 1) · (q— 1) の最 大公約数が 1であるような小さい任意の数 （例えば、 e = 3あるいは e = 2¹⁶ + 1) であり、 dは、 e— imo d ( (p— 1) · (q- 1) ) である。 安全性 を最大化するには、 pと Qを同じ長さにする。 メッセージ m (meZ_N*) に対 して暗号化関数は、 En c _PubK (m) =m^emo dNであり、 復号化関数は、 D e c _{Pr iK} (C) =C^dmo dNである。 ここで、 暗号文 Cと公開鍵 （N， e) が与えられた時、メッセ一ジ mを求めるのは計算量的に困難である。 RSAは、 大きな数 Nの素因数分解が難しいことから安全性を得ている。 そして署名化関 数は、 S i g_{Pr iK} (m) =m^dmo dNであり、 検証化関数は、 Ve r _PubK (s ) = s'^emo dNである。 一般に、 暗号システムでは、 その安全性のレべ ルを記述する安全性パラメータを有する。 ここでは、 ハッシュ関数 HASHの 安全性パラメ一夕として kを用い （ただし、 lZ2^kは無視できるほど小さい と仮定する） 、 RS A公開鍵方式の安全性パラメ一夕として 1を用い、 特に、 RS Aの法 Nは長さ 1であると仮定する。 また、 { 0， 1 } *は有限の 2進数 のストリングの集合を、 { 0， 1 } ^kは長さ kの 2進数のストリングの集合を 示す。 ハッシュ関数 HASHは {0, 1 } *の入力から {0, 1 } ^kの出力を出 す安全な一方向関数であり、 FDH (Fu l l -D oma i n Ha s h) 関 数は { 0, 1 } *の入力から Z_N*\ { 1 } の出力を出す安全な一方向関数であ る。 また、 乱数発生器から発生される乱数は T (TGZ_N*) を無作為に生成す る。 また、 IIは値を連結 （c on c a t e n a t i on) するという意味であ る。 <端末装置の初期化 >

ュ一ザは、 サーバに対して個人登録したい時、 自分の端末装置の初期化を行 う。 図 1は、 ユーザの端末装置の初期化処理の構成を示すブロック図である。 初期化は、 ユーザがパスワードを入力すると、 データ伸張器 1 1によって、 サ ーパ登録用のパスワード認証データ Hと、 ユーザ保存用の値 P' が生成され、 パスワード認証データ Hは、 サーバに受け渡され、 値 Ρ' -は、 メモリ 12へ保 存する。 ここで、 データ伸長器 1 1は、 多項式と FDH関数、 FDH関数など で構成することが可能である。

(1) 多項式と FDH関数を利用する場合 （その 1)

初めに、 図 13を参照して、 多項式と FDH関数を利用する場合 （その 1) について説明する。

まず、 01"1関数発生器122によりランダムに FDH関数 FDHを発生す る。 そして、 多項式発生器 123によりランダムに多項式を発生する。 このと き、登録するサーバの数が一つだったら Xを変数とする 1次多項式（ρ' (x) = α！ · xmo dN) を、 サーバの数が n個だったら n次多項式 （ρ'' (χ) =«! · χ + α₂ · χ²+ · · · + α_η · xⁿmo dN) を発生する。 ここで、 α は Ζ_Ν*から無作為に選ばれる。 例えば、 一つのサーバの場合、 ρ' (χ) は、 ρ ' (χ) = i · xmo dNとなる。 ここで、 ユーザは自分が覚えているパ スワード （例えば、 " P o oh 93" ) を入力する。 多項式と FDH関数とュ 一ザのパスワードが入力されたらパスワード認証データ生成器 124は、 パス ワード認証データ Hを生成する。 パスワード認証データ Hは、 例えば H=p (1) =p， (1) +P o o h 93mo dNにより計算できる。 ここで、 p， (1) は ' （x) で xの代わりにサーバの I D (例えば、 「1」 ） を入れて 計算した値である。パスヮード認証データ Hはユーザが直接にサーバに渡した り、 郵便で送付したり、 あるいは電話で知らせるなどして、 安全に通知する必 要がある。 ユーザの端末装置の内部にあるメモリ 12は多項式発生器から発生 された多項式 P' (X) と FDH関数発生器から発生された FDH関数 FDH とを一緒に P， = (p (x) FDH) として記憶して保存する。

(2) 多項式と FDH関数を利用する場合 （その 2)

次に、 図 1 3を参照して、 多項式と FDH関数を利用する場合 （その 2) を 利用する場合について説明する。

まず、 FDH関数発生器 122によりランダムに FDH関数 FDHを発生す る。 そして、 多項式発生器 123によりランダムに多項式を発生する。 このと き、登録するサーバの数が一つだったら Xを変数とする 1次多項式（ρ ' (χ) = α！ · xmo dN) を、 サーバの数が n個だったら n次多項式 （ρ' (χ) = £¾ ₁ · χ + αί ₂ · χ ²+ · · · +(¾„ · xⁿmo dN) を発生する。 ここで、 α は Ζ_Ν*から無作為に選ばれる。 例えば、 一つのサーバの場合、 ρ' (X) は、 P ' (x) · xmo dNとなる。 ここで、 ユーザは自分が覚えているパ スワード （例えば、 " P o oh 93" ) を入力する。 多項式と FDH関数とュ —ザのパスワードが入力されたらパスワード認証データ生成器 124は、 パス ワード認証データ Hを生成する。 パスワード認証データ Hは、 例えば H=p (1) =p ' (1) +FDH ( P o o h 93 II I D (U) II I D (S) ) mo dNにより計算できる。 ここで、 I D (U) と I D (S) はそれぞれユーザと サーバの I Dを表す。 ここで、 p ' (1) は p ' (X) で Xの代わりに 「1」 入れて計算した値である。

例えば、 登録するサーバの数が nの場合、 パスワード認証データ生成器 1 2 4は、 i番目のサーバに対してパスワード認証データ Hを生成する。 パスヮー ド認証データ Hは、 例えば H=p ( i ) =p ' ( i ) +FDH (P o o h 93 II I D (U) II I D (S) ) mo dNによりに計算できる。 ここで、 I D (U) と I D (S) はそれぞれユーザと i番目のサーバの I Dを表す。 ここで、 p' ( i ) は n次多項式 p' (x) で Xの代わりに 「 i」 を入れて計算した値であ る。

パスワード認証データ Hはユーザが直接にサーバに渡したり、 郵便で送付し たり、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユーザ の端末装置の内部にあるメモリ 12は多項式発生器から発生された多項式 p' (x) と FDH関数発生器から発生された FDH関数 FDHとを一緒に P' = (ρ' (χ) , FDH) として記憶して保存する。

(3) FDH関数を利用する場合

次に、 図 14を参照して、 FDH関数を利用する場合について説明する。 まず、 011関数発生器125によりランダムに FDH関数 FDHを発生す る。 そして、 秘密値発生器 126によりランダムに秘密値 Sを発生する。 ただ し、 Sは全探索攻撃を防げるような長さの値である （例えば、 Sは 80ビット 以上の値） 。 ここで、 ユーザは自分が覚えているパスワード （例えば、 " P o o h 93 " ) を入力する。 FDH関数と秘密値 Sとユーザ、のパスワードが入力 されたらパスワード認証データ生成器 1 27はパスワード認証データ Hを生 成する。 パスワード認証データ Hは、 例えば、 H=FDH (S II P o o h 93 II I D (U) II I D (S) ) により計算できる。 ここで、 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 パスヮ一ド認証データ Hはユーザが 直接にサーバに渡したり、 郵便で送付したり、 あるいは電話で知らせるなどし て、 安全に通知する必要がある。 ユーザの端末装置の内部にあるメモリ 12は 秘密値発生器 1 26から発生された秘密値 Sと FDH関数発生器 1 2 5から 発生された FDH関数 FDHとを一緒に P' = (S， FDH) として記憶して 保存する。 ぐ端末装置とサーバとの初期化 > .

サーバ.は、 RS A公開鍵をユーザに送信したい時、 初期化処理を行う。 サー バは、 RS A公開鍵方式に従って公開鍵と秘密鍵の対を生成し、 その公開鍵を ユーザに送信する。 ここで、 初期化は、 安全な通信、 安全ではない通信などで 実現することが可能である。安全ではない通信を利用する場合では、ユーザは、 受信した公開鍵が正しいであるかどうかを決定する。 このユーザによる決定は、 ユーザに、 サーバが適当な方法で選択した公開鍵を生成したかどうかを決定す る方法を提供する。 つまり、 サーバが提供した公開鍵 eと （p— 1) · (q- 1) の最大公約数が 1で （すなわち、 g c d (e， (p- 1) . (q- 1) ) = 1) あるかどうかを決定するために RS A署名方式を使う。

(1) 安全な通信を利用する場合

初めに、 図 1 5を参照して、 安全な通信を利用する場合の初期化処理につい て説明する。

まず、 RS A鍵生成器 23により公開鍵 （N， e) と秘密鍵 （N, d) の対 を生成する。 RSA公開鍵 （N, e) はサーバが直接にュ一ザに渡したり、 郵 便で送付したり、 あるいは電話で知らせるなどして、 安全に通知する必要があ る。.サーバの内部にあるメモリ 41は RS A秘密鍵 （N, d) を記憶して保存 する。 -

(2) 安全ではない通信を利用する場合

次に、 図 1 6を参照して、 安全ではない通信を利用する場合の初期化処理に ついて説明する。

まず、 ユーザの端末装置 1にある乱数発生器 1 7によりランダムに乱数 (RiG { 0， 1 } ^k) を発生し、 サーバに送信する。 一方、 サーバ 2にある R SA鍵生成器 24により公開鍵（N, e) と秘密鍵（N， d) の対を生成する。 そして、 乱数発生器 2 5によりランダムに乱数 R₂ (R₂e { 0， 1 } ^k) を発 生する。 RS A署名文生成器 26は、 端末装置 1から受信した と RS A鍵 生成器 24から生成された秘密鍵 （N, d) と乱数発生器 25から発生させた 乱数 R₂を入力として、 {mj} _1≤j≤nの署名 { s _1≤j≤nを生成する （ただし、 nは n≥ 1 o g_e (PW- (e— 1) / e ) になるような整数である。 ここで、 PWはパスワードを表す。 ） 。 署名 {_{S j}} _1≤j≤nは、 { S j m mo dN} , _≤j≤nにより計算する。ここで、 {m _1≤j≤nは HASH (n II N II e II I D (U) II I D (S) II Rx II R₂) の出力から長さ 1のブロックを n個に分けて得たも のである。 I D (U) と I D (S) はそれぞれユーザとサーバの I Dを表す。 サーバ 2は、 公開鍵 （N, e) と計算して得られた署名文 （R₂, { s _1≤j≤ n) を端末装置 1に送信する。 サーバ 2の内部に備えたメモリ 41は、 RSA 鍵生成器 24から生成された秘密鍵 （N， d) を記憶して保存する。 ユーザの端末装置 1にある検証結果判断部 1 8は、 乱数発生器 1 7において 発生させた とサーバ 2から受信した （ （N， e) , (R₂， { s ,·} _1≤j≤n) ) を入力として、 署名文 （R₂， { s j} _1≤j≤n) の検証を行う。 {mj S jemo dN} _1≤j≤nにより {nij} _1≤j≤nを計算してこの {nij} _1≤j≤nと HASH (n II N II e II I D (U) II I D (S) || R₁ II R₂) を比較する。 検証結果判断部 1 8において {mj _1≤j≤nと HASH (n II N II e II I D (U) II I D (S) II Ri II R₂) がー致しない場合、 検証結果判断部 1 8は、.エラ一発生器 1 9に 対して、 一致しないことを通知する。 これを受けて、 エラ一発生器 1 9はエラ 一を発生して処理を中断する。 一方、 検証結果判断部 1 8において {mj _{1≤J ≤n}と HASH (n II N II e II I D (U) II I D (S) II R i II R ₂)がー致した 場合はサーバ 2の公開鍵 （N, e) が正当なものとして検証して、 ユーザの端 末装置 1の内部に備えたメモリ 12に、公開鍵（N, e)を記憶して保存する。 次に、 図 1 7、 1 8を参照して、 前述した初期化を行った端末装置 1とサー バ 2 (図 5参照） との間で相互認証及び鍵交換を行う動作を説明する。

<端末装置の動作 >

(1) 多項式と FDH関数を利用した場合 （その 1)

初めに、 多項式と FDH関数を利用した場合 （その 1) の端末装置 1の動作 を説明する。

まず、 ユーザの端末装置 1に備えたメモリ 1 2から記憶された多項式と FD H関数 P' = (ρ' (x) , FDH) を読み出す。 結合器 52はメモリ 1 2か ら読み出した多項式 p' (x) と FDH関数 FDHとユーザが入力したパスヮ ードにより W=FDH (p (x) II I D (U) II I D (S) ) を計算して出力 する。 ここで、 ρ (χ) =ρ' (x) +Pooh93 mo dNにより計算する。 例えば、 p ' (X) が 1次多項式の場合、 p . (x) = p (1) = p ' (1) + ?001193 = 0；! · 1 +Ρ o o h 93mo dNにより計算する。 ここで、 ρ， (1) は ρ ' (X) で Xの代わりに 「1」 入れて計算した値である。

ユーザの端末装置 1に備えたメモリ 1 2から読み出した多項式 ρ' (χ) が η次多項式の場合、 結合器 52は多項式 ρ' (X) と FDH関数 FDHとユー ザが入力したパスワードにより W=FDH (p (x) II I D (U) II I D (S) ) を計算して出力する。 ここで、 p (X) =p ' (x) +P o o h 93mo dN により計算する。 例えば、 p (x) =p ( i ) =p ' ( i ) +P o o h 93m o dNにより計算する。ここで、 p' ( i)は i番目のサーバに対して p' (x) で xの代わりに 「 i」 入れて計算した値である。

マスク演算器 54は、 メモリ 12から読み出した公開鍵 （N, e) と結合器 52から入力された Wと乱数発生器 53においてランダムに発生させた乱数 T (TeZ_N*) とから Zを、 Z = T^e · Wmo dNにより計算する。 通信処理 部 5.5は Zをサーバ 2へ送信し、 サーバ 2から V ₂を受信する。

続いて認証結果判断部 56は、乱数発生器 53から出力された Tを入力とし て、 HASH ( 0 1 II T II I D (U) II I D (S) ) を計算してサーバ 2から 受信した V₂と比較する。ここで、 HASHの代わりに MACを使ってもよい。 認証結果判断部 56において V₂と HASH(01 II T II I D (U) II I D(S)) がー致しない場合、 認証結果判断部 56は、 エラ一発生器 57に対して、 一致 しないことを通知する。 これを受けて、 エラ一発生器 57はエラーを発生して 処理を中断する。 一方、 認証結果判断部 56において V₂と HASH (0 1 II T il I D (U) II I D (S) ) がー致した場合はサーバ 2が正当な装置として 認証して、 検証子生成器 58は、 Vi HASH ( 00 II T II I D (U) II I D (S) ) により検証子 を計算してサーバ 2へ送信する。 同時に、 セッシ ョン鍵生成器 59は、 SK = HASH (1 1 II T II I D (U) II I D (S) ) によりセッション鍵 SKを生成する。

(2) 多項式と FDH関数を利用した場合 （その 2)

次に、 多項式と FDH関数を利用した場合 （その 2) の端末装置 1の動作を 説明する。

まず、 ユーザの端末装置 1に備えたメモリ 12から記憶された多項式と FD H関数 P' = (ρ' (X) ， FDH) を読み出す。 結合器 52はメモリ 12か ら読み出した多項式 p' (X) と FDH関数 FDHとユーザが入力したパスヮ ードにより W=FDH (p (X) II I D (U) || I D (S) ) を計算して出力 する。 ここで、 p (x) - ' (x) +FDH (P o oh 93 II I D (U) il I D (S) ) mo dNにより計算する。 例えば、 p' (x) が.1次多項式の場 合、 p (x) =p (1) =ρ' (1) +FDH (P o o h 93 II I D (U) II I D (S) ) = ₁ - 1 +FDH (P o o h 93 II I D (U) II I D (S) ) mo d'Nにより計算する。 ここで、 p， （1)は p， （x)で xの代わりに「1」 入れて計算した値である。

ユーザの端末装置 1に備えたメモリ 1 2から読み出した多項式 p' (x) が n次多項式の場合、 結合器 52は多項式 p' (x) と FDH関数 FDHとユー ザが入力したパスワードにより W=FDH (p (X) II I D (U) II I D (S) ) を計算して出力する。 ここで、 p (X) =p ' (X) +FDH (P o o h 93 II I D (U) II I D (S) ) mo dNにより計算する。 例えば、 p (x) =p ( i ) =p ' ( i ) +FDH (P o o h 93 II I D (U) II I D (S) ) mo dNにより計算する。 ここで、 p' ( i ) は i番目のサーバに対して p' (x) で xの代わりに 「 i」 入れて計算した値である。

マスク演算器 54は、 メモリ 12から読み出した公開鍵 （N, e) と結合器 52から入力された Wと乱数発生器 5 3においてランダムに発生させた乱数 T (TeZ_N*) とから Zを、 Z=T^e · Wmo dNにより計算する。 通信処理 部 55は Ζ·をサーバ 2へ送信し、 サーバ 2から V₂を受信する。

続いて認証結果判断部 56は、 乱数発生器 5 3から出力された Tを入力とし て、 HASH (0 1 II T II I D (U) II I D (S) ) を計算してサーバ 2から 受信した V₂と比較する。ここで、 HASHの代わりに MACを使ってもよい。 認証結果判断部 56において V₂と HASH (0 1 II T II I D (U) II I D (S)) がー致しない場合、 認証結果判断部 56は、 エラ一発生器 57に対して、 一致 しないことを通知する。 これを受けて、 エラー発生器 57はエラーを発生して 処理を中断する。 一方、 認証結果判断部 56.において V₂と HASH (0 1 II T il I D (U) II I D (S) ) がー致した場合はサーバ 2が正当な装置として 認証して、 検証子生成器 58は、 Vi-HASH (0 0 II T II I D (U) II I D (S) ) により検証子 を計算してサーバ 2へ送信する。 同時に、 セッシ ヨン鍵生成器 59は、 SK = HASH ( 1 1 II T II I D (U) II I D (S) ) によりセッション鍵 SKを生成する。 (3) FDH関数を利用した場合

次に、 FDH関数を利用した場合の端末装置 1の動作を説明する。

まず、 ユーザの端末装置 1に備えたメモリ 12から記憶された秘密値と FD H関数 P' = (S, FDH) を読み出す。 結合器 52はメモリ 12から読み出 した秘密値 Sと FDH関数 FDHとユーザが入力したパスヮードにより Wを 計算して出力する。 例えば、 Wは、 W=FDH (S II P o o h 93 II I D (U) II I D (S) ) により計算する。 マスク演算器 54は、 メモリ 12から読み出 した公開鍵 （N， e) と結合器 52から入力された Wと乱数発生器 53におい てランダムに発生させた乱数 T (TG Z_N*) とから Zを、 Z=T^e * Wmo d Nにより計算する。 通信処理部 55は Zをサーバ 2へ送信し、 サーバ 2から V ₂を受信.する。

続いて認証結果判断部 56は、 乱数発生器 53から出力された Tを入力とし て、 HASH (01 II T II I D (U) II I D ( S ) ) を計算してサーバ 2から 受信した V₂と比較する。ここで、 HASHの代わりに MACを使ってもよい。 認証結果判断部 56において V₂と HASH (0 1 II T II I D(U) II I D(S)) がー致しない場合、 認証結果判断部 56は、 エラー発生器 57に対して、 一致 しないことを通知する。 これを受けて、 エラ一発生器 57はエラ一を発生して 処理を中断する。 一方、 認証結果判断部 56において V₂と HASH (0 1 II T il I D (U) II I D (S) ) がー致した場合はサーバ 2が正当な装置として 認証して、 検証子生成器 58は、 Vi-HASH (00 II T II I D (U) II I D (S) ) により検証子 を計算してサーバ 2へ送信する。 同時に、 セッシ ョン鍵生成器 59は、 SK = HASH (1 1 II T II I D (U) II I D (S) ) によりセッション鍵 SKを生成する。

<サーバの動作 >

(1) 多項式と FDH関数を利用した場合 （その 1) 、 多項式と FDH関数を 利用した場合 （その 2) サーバ 2は、 前述レた多項式と FDH関数を利用した場合 （その 1) 、 多項 式と FDH関数を利用した場合 （その 2) に関わらず次のように動作する。 まず、 サ一パ 2に備えたメモリ 41から保存されたユーザ I Dとパスワード の認証データ Hを読み出す。 マス夕一鍵生成器 62はメモリ 41から読み出し た Hと秘密鍵 （N, d) と端末装置 1から受信した Zを入力として Tを、 T = (ZZW) ^dmo dNにより計算して出力する。 ここで、 Wは、 W=FDH (H II ID (U) II ID (S) ) により計算する。 検証子生成器 63は、 マスター 鍵生成器 62から入力された tから検証子 V₂を、 V₂ = HASH (01 II T II I (U) II ID (S) ) により計算する。 通信処理部 64は、 計算して得ら れた V ₂を端末装置 1へ送信し、 端末装置 1から受信した V iを認証結果判断部 65へ出力する。

続いて認証結果判断部 65は、 マス夕一鍵生成器 62から出力された Tを入 力として、 HASH (00 II T II I D (U) II I D (S) ) を計算して端末装 置 1から受信した と比較する。 ここで、 HASHの代わりに MACを使つ てもよい。 認証結果判断部 65において と HASH (00 II T il ID (U)

II ID (S) ) がー致しない場合、 認証結果判断部 65は、 エラー発生器 66 に対して、 一致しないことを通知する。 これを受けて、 エラー発生器 66はェ ラーを発生して処理を中断する。 一方、 認証結果判断部 65において と H ASH (00 II T il ID (U) II ID (S) ) がー致した塲合は端末装置 1が 正当な装置として認証して、 セッション鍵生成器 67は、 SK = HASH (1

I II T II I D (U) II ID (S) ). によりセッション鍵 S Kを生成する。

(2) FDH関数を利用した場合

次に、 FDH関数を利用した場合のサーバ 2の動作を説明する。

まず、 サーバ 2に備えたメモリ 41から保存されたユーザ I Dとパスワード の認証データ Ηを読み出す。 マスター鍵生成器 62はメモリ 41から読み出し た Ηと秘密鍵 （Ν, d) と端末装置 1から受信した Zを入力として Tを、 T = (Z/W) ^dmo dNにより計算して出力する。 ここで、 Wは、 W=Hである。 検証子生成器 63は、 マスター鍵生成器 62から入力された Tから検証子 V₂ を、 V₂ = HASH (01 II T II I D (U) II I D (S) ) により計算する。 通信処理部 64は、 計算して得られた V₂を端末装置 1へ送信し、 端末装置 1 から受信した を認証結果判断部 65へ出力する。

続いて認証結果判断部 65は、 マスター鍵生成器 62から出力された Tを入 力として、 HASH ( 00 II T II I D (U) II I D (S) ) を計算して端末装 置 1から受信した と比較する。 ここで、 HASHの代わりに MACを使つ てもよい。 認証結果判断部 65において と HASH (00 II T II I D (U)

II I D (S) ) がー致しない場合、 認証結果判断部 65は、 エラー発生器 66 に対して、 一致しないことを通知する。 これを受けて、 エラー発生器 66はェ ラーを発生して処理を中断する。 一方、 認証結果判断部 65において と H ASH (00 II T il I D (U) II I D (S) ) がー致した場合は端末装置 1が 正当な装置として認証して、 セッション鍵生成器 67は、 SK = HASH (1

I II T II I D (U) II I D (S) ) によりセッション鍵 SKを生成する。

<パスワード認証データの更新一 1>

ユーザは、 サーバに対してすでに登録されたパスワード認証データを、 自分 が覚えているパスワードを変えずに、 更新したい時、 自分の端末装置の更新化 を行う。 図 9、 19は、 ユーザの端末装置の更新化処理の構成を示すブロック 図である。 ここでの更新化処理は、 前述した多項式と FDH関数を利用した場 合 （その 1) 、 多項式と FDH関数を利用した場合 （その 2) とマスター鍵を 利用する場合に適用することが可能である。 また、 この更新化処理によりサー バに対する r e p 1 a y攻撃を防ぐことが可能である。

<端末装置の更新化処理 >

(1) 多項式と FDH関数を利用した場合 （その 1) 、 多項式と FDH関数を 利用した場合 （その 2)

初めに、 図 9を参照して、 多項式と FDH関数を利用した場合 （その 1) 、 多項式と FDH関数を利用した場合 （その 2) の端末装置 1の更新化処理を説 明する。端末装置 1は、前述した多項式と F DH関数を利用した場合（その 1 )、 多項式と F D H関数を利用した場合（その 2 )に関わらず次のように動作する。 まず、 多項式発生器 1 3によりランダムに多項式を発生する。 このとき、 登 録したサーバの数が一つだったら Xを変数とする 1次多項式 （ t ' (χ) = β ！ · xmo dN) を、 サーバの数が n個だったら n次多項式（ t ' (x) =i3！ · x + jS 2 · χ²+ · · · +jS_n · xⁿmo dN) を発生する。 ここで、 3は Z_N* から無作為に選ばれる。 例えば、 一つのサーバの場合、 T' = t ' (X) は、 t ' (X) =/3： · xmo dNとなる。 ここで、 ユーザの端末装置 1に備えた メモリ 1 2から記憶された多項式と FDH関数 P' = (ρ' (x) , FDH) を読み出す。 多項式 t ' (x) と多項式 p' (x) が入力されたら更新値生成 器 14は、 ュ一ザ保存用の更新された多項式 P' とサー^?更新用の値 H' を生 成する。 更新された多項式 P' は、 例えば P' = t ' (χ) +ρ' (χ) =

( ₁ + β ₁) · xmo dNにより計算できる。 サーバ更新用の値 H' 、 例えば H' = t ' (1) mo dNにより計算できる。 ここで、 t ' (1) は t ' (x) で： xの代わりに 「1」 を入れて計算した値である。

例えば、 登録したサーバの数が nの場合、 更新値生成器 14は、 i番目のサ ーバに対してサーバ更新用の値 H' を生成する。 サーバ更新用の値 H' は、 例 えば H' = t ' ( i ) mo dNにより計算できる。 ここで、 t ' ( i ) は n次 多項式 t (x) で xの代わりに 「 i」 を入れて計算した値である。

サーバ更新用の値 H' はユーザが直接にサーバに渡したり、 郵便で送付した り、 あるいは電話で知らせるなどして、 安全に通知する必要がある。 ユーザの 端末装置の内部にあるメモリ 1 2は更新された多項式 P' = t ' (χ) +ρ'

(x) とメモリ 1 2から読み出した FDH関数 FDHとを一緒に Ρ' = (t '

(χ) +ρ' (χ) , FDH) として記憶して保存する。

(2) マスター鍵を利用する場合

次に、 図 1 9を参照して、 マスター鍵を利用する場合の端末装置 1の更新化 処理の動作を説明する。

まず、 乱数発生器 53によりランダムに乱数 T (TeZ_N*) を発生する。 こ こで、 ユーザの端末装置 1に備えたメモリ 1 2から記憶された多項式と FDH 関数 P' = (ρ' (x) ， FDH) を読み出す。 乱数 Tと多項式 p' (X) が入力されたら更新値生成器 20は、 ユーザ保存用の更新された多項式 P' を 生成する。 更新された多項式 P' は、 Ρ' =Τ+ρ' (X) mo dNにより計 算できる。 ユーザの端末装置の内部にあるメモリ 12は更新された多項式 P' =T+ p ' (χ)とメモリ 12から読み出した FDH関数 FDHとを一緒に Ρ， = (Τ + ρ' (χ) , FDH) として記憶して保存する。

<サーバの更新化処理 >

(1) 多項式と FDH関数を利用した場合 （その 1) 、 多項式と FDH関数を 利用した場合 （その 2) "

初めに、図 10を参照して、多項式と FDH関数を利用した場合（その 1)、 多項式と FDH関数を利用した場合 （その 2) のサーバ 2の更新化処理の動作 を説明する。 サーバ 2は、 前述した多項式と FDH関数を利用した場合 （その 1) 、 多項式と FDH関数を利用した場合 （その 2) に関わらず次のように動 作する。

まず、 サーバ 2に備えたメモリ 41に保存されたユーザ I Dとパスヮード認 証デー夕 Hを読み出す。 一ザの端末装置から送られたサーバ更新用の値 H ' とメモリ 41から読み出したパスワード認証データ Hが入力されたら更新値 生成器 21は、 サーバ保存用の更新されたパスワード認証デ一夕 Hを生成する。 更新されたパスワード認証データ Hは、 例えば H= p (1) + t ' (1) m o dNにより計算できる。 サーバの内部にあるメモリ 41は更新されたパスヮ 一ド認証データ Hを記憶して保存する。

(2) マスター鍵を利用する場合

次に、 図 20を参照して、 マスター鍵を利用する場合のサ一パ 2の更新化処 理の動作を説明する。

まず、 マスタ一鍵生成器 62によりマスタ一鍵 Tを生成する。 ここで、 サー パ 2に備えたメモリ 41から保存されたユーザ I Dとパスワード認証データ Hを読み出す。 マスター鍵 Tとメモリ 41から読み出したパスワード認証デー タ Hが入力されたら更新値生成器 27は、 サーバ保存用の更新されたパスヮー ド認証デ一夕 Hを生成する。 更新されたパスワード認証データ Hは、 H= p (1) +Tmo dNにより計算できる。 サーバの内部にあるメモリ 41は更新 されたパスワード認証デー夕 Hを記憶して保存する。

<パスヮ一ド認証データの更新一 2 >

ユーザは、 サーバに対してすでに登録されたパスワード認証データを、 自分 が覚えているパスワードを変えながら、 更新したい時、 自分の端末装置の更新 化処理を行う。 図 1 1は、 ユーザの端末装置の更新化処理の構成を示すブロッ ク図である。更新化処理は、秘密値発生器 15による秘^値 S'とユーザの新し いパスワード PW'とユーザの端末装置 1に備えたメモリ 12から記憶された P'が入力されると、 パスワード認証データ更新器 16によって、サ一パ更新用 のパスワード認証データ H'と、 ユーザ保存用の更新された P'が生成され、 H' は、 サーバ 2に受け渡され、 更新された P'は、 メモリ 12へ保存する。 ここで の更新化処理は、 前述した F DH関数を利用した場合に適用することが可能で ある。 また、 この更新化処理によりサーバに対する r e p 1 ay攻撃を防ぐこ とが可能である。 そして、 多項式と FDH関数を利用した塲合 （その 1) , 多 項式と FDH関数を利用した場合 （その 2) も同じように初期化処理と同様の 動作を用いて適用することが可能なため、 ここでは詳細な説明を省略する。 ぐ端末装置の更新化処理 >

(1) F.DH関数を利用した場合

図 1 1を参照して、 FDH関数を利用した場合の端末装置 1の更新化処理の 動作を説明する。

まず、 秘密値発生器 1 5によりランダムに ¾密値 S'を発生する。 ここで、 ュ 一ザの端末装置 1に備えたメモリ 12から記憶された P'= (S， FDH) を読 み出す。 ユーザが覚えている新しいパスワード （PW，） と FDH関数 FDHと 秘密値 S'が入力されたらパスヮ一ド認証データ更新器 16は、ユーザ保存用の 更新された P'とサーバ更新用のパスワード認証データ H'を生成する。 サーバ 更新用のパスワード認証データ H，は、 例えば H，=FDH (S' ll PW' ll I D (U) II I D (S) ) により計算できる。 ここで、 I D (U) と I D (S) は それぞれユーザとサーバの I Dを表す。サーバ更新用のパスワード認証デ一夕 H'はユーザが直接にサーバ 2に渡したり、 郵便で送付したり、 あるいは電話で 知らせるなどして、 安全に通知する必要がある。 ユーザの端末装置 1の内部に あるメモリ 12は更新された P，= (S'， FDH) を記憶して保存する。

<サーバの更新化処理 >

(1.) FDH関数を利用した場合

図 12を参照して、 FDH関数を利用した場合のサ一バ 2の更新化処理の動 作を説明する。

まず、 サ一バ 2に備えたメモリ 41に保存されたユーザ I Dとパスワード認 証データ Hを読み出す。ユーザの端末装置 1から送られたサーバ更新用のパス ワード認証データ H' とメモリ 41から読み出したパスワード認証データ Hが 入力されたらパスワード認証データ更新器 22は、 サーバ保存用のパスワード 認証データ Hをユーザの端末装置 1から送られた H' に更新する。 サーバの内 部にあるメモリ 41は更新されたパスワード認証データ H = H， を記憶して保 存する。 このように、 多項式を利用することにより、 不正利用しようと思っている者 が他人の端末装置を持っていたと.してもユーザのパスヮードは情報理論的に 安全である。 また、 サーバ内に侵入して保存されている情報を得たとしてもュ —ザのパスワードは情報理論的に安全である。 また、 ハッシュ関数と擬似乱数 発生器と FDH関数を利用する場合には、 不正利用しようと思っている者にと つてユーザのパスワードは計算量的に安全である。 次に、 前述した技術を応用した装置について説明する。

<端末に分散デ一夕を保存しない場合の遠隔分散保存装置におけるデータ保 存処理 > 次に、 図 21を参照して、 端末に分散データを保存しない場合の遠隔分散保 存装置におけるデータ保存処理について説明する。 図 21は、 端末に分散デー タを保存しない場合の遠隔分散保存装置 5の構成を示すブロック図である。 ユーザは分散保存したいデータ DATAを自分の端末装置 21で処理し、 n 台のサーバに保存するデータ S' 1， …， S'nへと分割する。 分割データ S' iはデータの I Dである D I Dと共にユーザの端末装置 21によりサーバの 認証装置と共有された鍵 SK iを用いて作成された安全な通信路を使用可能 な通信器 52によってサーバ I D iへと送られ保存される。 同様の方法により、 保存データの一覧情報を分割し、 サーバに保存することも可能である。 また、 ユーザの端末装置 （認証データ更新モード） を適当な間隔 （記憶情報がオフラ イン全数探索で求まる間隔より短い間隔で、 例えば、 認証を行う度や 2， 3日 に 1回など） で動作させ、 P'と各サーバに記録されている Hを更新する情報 UP', UH1， …， UHnを生成させ、 それらを更新する。

これにより、 サーバに保存されるデータと認証用データをともに、 漏洩と破 損に強くなるように構成することができる。漏洩と破損への耐性は（ n , D S， LS I, L S 2) の 4組のパラメータで表現できる。 DS, LS I, LS 2は ともに （漏洩や破損の起こる） エンティティの組み合わせの集合であり、 DS はデータの破損に対する耐性、 LS I, LS 2は漏洩に対する耐性を表現して いる。 DSには、 壊れても構わないエンティティの組み合わせが記述される。 災害などの理由によりローカルバックアップを含め保存しているデータが完 全に利用できなくなったとしても、.利用者が自分のデータを復元できる範囲の 破損組み合わせが記述される。 LS Iには、 記録情報が漏れても構わないェン ティティの組み合わせが記述される。 保存データが漏洩したとしても、 攻撃者 が利用者のデータを復元することが困難な範囲の漏洩組み合わせとする。 L S 2には、 記録情報が漏れたとしても、 後 何らかの対抗策がとれる範囲のェン ティティの組み合わせが記述される。 保存デ一夕が漏洩したとしても、 攻撃者 が利用者のデータを復元することを困難にする対抗策の存在する範囲の漏洩 組み合わせとする。

また、 ユーザの記憶情報はオフラインで全数探索できる程少量であると仮定 すると、 従来の漏洩に弱い認証方式を使う場合、 攻撃者は漏洩情報と通信路上 で得た情報を使って利用者の記憶情報を全数探索でき、 結果として、 利用者に 成りすまして遠隔分散保存されているデータをすベて入手できる。 つまり、 L S 1にサーバ {S} とユーザの所有物 {U} をそれぞれ含めることはできなか つた。 これに対して、 漏洩に強い認証方式を使うことで LS 1にサーバ {S} とユーザの所有物 {U} をそれぞれ含めることが可能となる。 漏洩に強い認証 方式を含む全ての遠隔認証方式はユーザの所有物 {U} とサーバ {S} の両方 から情報が漏洩すると利用者の記憶情報を全数探索でき、 結果として、 利用者 に成りすまして遠隔分散保存されているデータをすベて入手できる。 よって、 LS 2にユーザの所有物 {U} とサーバ {S} の組み合わせ {US} を入れる ことはできなかった。 これに対して、 P'と HI, …， Hnを更新することで L S 2にユーザの所有物とサーバの組み合わせを入れることが可能となる。 次に、図 22を参照して、図 21に示すデータ分散器 5 1の構成を説明する。 調整器 51 1は入力されたパラメータ n, kを秘密分散器 5 12に渡す。 秘密 分散器 512は入力されたパラメータ n, kに従い保存データ DATAを（k， n) 分散データ S I， S 2 , …， Snに変換する。 次に、 調整器 51 1はデー 夕の I Dである D I Dからデータ伸長器 51 3の入力 Xを生成しデ一タ伸長 器 513へ渡す。 データ伸長器 5 13は対応する情報 Hを出力し、 それを暗号 器 514に渡す。 ここでの Hはオフラインでの全数探索に強い長さのものを利 用する。データ伸長器 513が短い Hを出力する場合には異なる Xを複数デー 夕伸長器 513に渡し、 得られた複数の Hを利用する。 暗号器 514は、 Hを 鍵として n— k+ 1個以上の分散データを暗号化する。 また、 S l， ···， Sn 一 k+ 1のそれぞれに改ざん検出符号を付けてもよい。 喑号器の出力が S' 1， …， S' nであり、 D I D、 I D 1 , I D 2,. ···, I Dnと共にデ一夕分割器 51の出力となる。

なお、 （k, n) 分散データとは、 元データが n個に分割されたデータであ り、 かつ、 そのどの k個からでも元のデータを復元できるが k未満からでは復 元できないような性質を有するデータである。 （k， n) 分散データ以外にも 任意のアクセス構造を持った分散デ一夕を利用することが可能である。 また、 秘密分散器は多項式や行列を使つた情報量的に安全な分散方式以外に、 暗号化 を使うことで保存データサイズを少なくできる計算量的に安全な分散方式を 用いることが可能である。

このデータ分割器 51は、 （n， D S, LS I, L S 2) = (n， {CSn -k} , {UC， CSn} , {UC S k— 1 } ) を実現している。 {CS} は ケライアントおよびサーバの記録情報およびその部分情報を意味し、 {S n} は n台のサーバの全記録情報およびその部分情報を意味する。 {C， S}は「ク ライ.アントに記録されている全情報およびその部分情報あるいはサーバに記 録されている全情報およびその部分情報」 を意味する。 UCS k— 1} から の漏洩は認証情報のアップデ一ト処理で対処できる。攻撃者が {UC S k- 1 } から記憶情報を求める間に認証情報がァップデートされれば攻撃者は利用者 のデータを求めることができなくなる。 ユーザの所有物 {U} の紛失 （Ρ'の 紛失） に対しては、 {U} に記録してあるデータをアップデートするたびにそ のコピーをローカルに作成することで解決できる。災害などでローカルコピー もろとも {U} が破損する危険性に対しては、 {U} に記録してあるデ一夕を 秘密分散器で （k'， n) 分散データで分割して各サーバにも保存しておくこ とで解決できる。 k'>=kの場合、 （n, D S, LS I, L S 2) = (n， {UCSn-k', CSn-k} , {UC, C S k' - 1 } , {UC S k - 1 } ) を実現しており、 k'<kの場合、 （n， DS, LS I, L S 2) = (n， {U CSn-k, CSn-k} , {UC, CS k'— 1 } ， {UC S k- 1, CS k - 1 } .) を実現している。

さらに、 ユーザの所有物に記録してあるデ一夕と記憶情報のすべて、 あるい はそれらの一部も秘密分散器で （k'， n) 分散データに分割して各サーバに も保存しておけば、 ユーザが仮に記憶情報を忘れたとしてもオフライン解析に より （所有物の記録情報と） 記憶情報を復元できる。 その際、 1) すべてを分 散する場合はオフライン解析を省くことができ、 2) —部を分散する場合はそ の量に応じてオフライン解析の計算量を削減することができる。 この機能によ り、 ユーザは第三者にデータを復号する権限を与える際に、 データを復元する 容易さ （攻撃者が {CS k'} を得た場合のデータ復元の容易さとも同じ） を 調整できるようになる。

<端末にデータを保存しない場合の遠隔分散保存装置におけるデータ復元処 理>

次に、 図 23を参照して、 端末にデータを保存しない場合の遠隔分散保存装 置におけるデータ復元処理について説明する。 図 23は、 端末にデータを保存 しない場合の遠隔分散保存装置 5の構成を示すプロック図である。

データ復元器 54は、 入力された D I Dに対応する分散データ S' 1, …， S' nの内少なくとも k個を通信器 52を介してサーバ I D 1 , I D 2， '··， I Dnから受け取る。 データ復元器 54は S' 1, …， S' nの内少なくとも k 個を処理して DATAを復元する。 同様の方法で、 保存データの一覧を復元す ることも可能である。 また、 ユーザの端末装置 21 (認証データ更新モード） を適当な間隔 （記憶情報がオフライン全数探索で求まる間隔より短い間隔で、 例えば、 認証を行う度や 2， 3日に 1回など） で動作させ、 P'と各サーバに 記録されている Hを更新する情報 UP', UH 1, ···, UHnを生成させ、 そ れらを更新する。 次に、図 24を参照して、図 23に示すデータ復元器 54の構成を説明する。 調整器 541は、 入力された n台のサーバ I D、 I D 1 , I D 2, ···, I Dn と D I Dを出力する。 また、 調整器 541は D I Dからデータ伸長器 542の 入力 Xを生成しデータ伸長器 542へ渡す。 データ伸長器 542は対応する情 報 Hを出力し、 それを暗号器 543に渡す。 暗号器 543は得られた分散デ一 夕 S' 1， S' 2， ···， S' nの内、 暗号化されているものを復号し S 1， S 2, …， S nを秘密分散復元器に渡す。 秘密分散復元器 544は渡された分散デー 夕から DAT Aを復元する。 なお、 改ざん検出を行い改ざんの行われていない 分散データのみを k個渡してもよい。

<端末にも分散データを保存する場合の遠隔分散保存装置におけるデータ保 存処理 >

次に、 図 25を参照して、 端末にも分散データを保存する場合の遠隔分散保 存装置におけるデータ保存処理について説明する。 図 25は、 端末にも分散デ 一夕を保存する場合の遠隔分散保存装置 5の構成を示すプロック図である。 こ こでは、 図 2 1に示す構成を異なる部分のみを説明する。

ユーザは分散保存したいデータ DATAを自分の端末装置 21で処理し、 手 元に残すデータ DLと n台のサーバに保存するデータ RS' 1， ···， RS' nへ と分割する。 DLは手元の記録装置 55に保存され、 分割データ RS' lはデ ータの I Dである D I Dと共にユーザの端末装置 2 1によりサーバの認証装 置と共有された鍵 SK iを用いて作成された安全な通信路を通ってサーバ I D iへと送られ保存される。 同様の方法で、 保存データの一覧情報を分割し、 サーバに保存することも可能である。

このように、 分散データの一部を自分の端末装置 2 1に置くことで、 サーバ との通信量を削減できる。破損したサーバの組み合わせに応じて通信量が変わ る方式と変わらない方式が可能であるが、 変わる方法の場合 n台のサーバ全体 の記憶領域を削減できる。 なお、 漏洩と破損に対する耐性は、 " '—夕を手元に 置かない場合と同等に保つことができる。 次に、図 26を参照して、図 25に示すデータ分割器 5 1の構成を説明する。 ここでは、 図 22に示す構成と異なる部分のみを説明する。 暗号器 5 1 5は乱 数生成器 5 1 6から乱数 Rを受け取り、 これを鍵として保存データを暗号化し、 それを DLとして出力する。 調整器 5 1 1は入力されたパラメ一夕 n, kを秘 密分散器 5 12に渡す。 秘密分散器 512は入力されたパラメータ n， kに従 い Rを （k， n) 分散デ一夕 RS I, RS 2, ···, RS nに変換する。 次に、 調整器 5 1 1はデータの I Dである D I Dからデータ伸長器 51 3の入力 x を生成しデータ伸長器 513へ渡す。 データ伸長器 5 13は対応する情報 Hを 出力し、 これを鍵として暗号器 514に渡す。 ここでの Hはオフラインでの全 数探索に強い長さのものを利用する。 データ伸長器 5 13が短い Hを出力する 場合には異なる: Xを複数のデータ伸長器 5 13に渡し、 得られた複数の Hを利 用する。 暗号器 5 14は、 Hを鍵として n— k+ 1個以上の分散データを暗号 化する。 また、 RS 1， ···， RSn— k+ 1のそれぞれに改ざん検出符号を付 けてもよい。 暗号器の出力が RS' l, …， RS' nである。

なお、 （k， n) 分散デ一夕以外にも任意のアクセス構造を持った分散デー 夕を利用することが可能である。 また、 秘密分散器 512には多項式や行列を 使った情報量的に安全な分散方式や、 暗号を使う計算量的に安全な分散方式を 用いることが可能であるが、 Rのサイズが小さい場合には、 計算量的に安全な 分散方式を用いることによるサイズの削減効果は小さいため、 情報量的に安全 な分散方式を用いた方がよい。

<端末にも分散データを保存する場合の遠隔分散保存装置におけるデータ復 元処理 >

次に、 図 27を参照して、 端末にも分散データを保存する場合の遠隔分散保 存装置におけるデータ復元処理について説明する。 図 27は、 端末にも分散デ —夕を保存する場合の遠隔分散保存装置 5の構成を示すブロック図である。 こ こでは 図 23に示す構成と異なる部分のみを説明する。

データ復元器 54は入ガされた D I Dに対応する分散デ一夕 RS' 1, ···, RS' nの内少なくとも k個を通信器を介してサーバ I D 1， I D 2, ···, I Dnから受け取る。 データ復元器 54は RS' 1， …， RS' nの内少なくとも k個を処理して DATAを復元する。 同様の方法で、 保存データの一覧を復元 することも可能である。 . 次に、図 28を参照して、図 27に示すデータ復元器 54の構成を説明する。 ここでは、 図 24に示す構成と異なる部分のみを説明する。 調整器 541は、 D I Dからデータ伸長器 542の入力 Xを生成しデータ伸長器 542へ渡す。 データ伸長器 542は対応する情報 Hを出力し、 それを復号器 543に渡す。 復号器 543は得られた分散データ RS' 1， RS' 2， …， RS' nの内、 暗 号化されているものを復号し RS 1， ···， R S nを秘密分散復元器 544に渡 す。秘密分散復元器 544は渡された分散データから DATAを復号器 545 によって復元する。 また、 改ざん検出を行い改ざんの行われていない分散デー 夕を k個渡してもよい。 なお、 図面に示す各処理部の機能を実現するためのプログラムをコンビユー タ読み取り可能な記録媒体に記録して、 この記録媒体に記録されたプログラム をコンピュータシステムに読み込ませ、 実行することにより認証処理、 鍵交換 処理を行ってもよい。 なお、 ここでいう 「コンピュータシステム」 とは、 O S や周辺機器等のハードウェアを含むものとする。 また、 「コンピュータシステ ム J .は、 ホームページ提供環境 （あるいは表示環境） を備えた WWWシステム も含むものとする。 また、 「コンピュータ読み取り可能な記録媒体」 とは、 フ レキシブルディスク、 光磁気ディスク、 R O M、 C D— R O M等の可搬媒体、 コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをい う。 さらに 「コンピュータ読み取り可能な記録媒体」 とは、 インターネット等 のネットワークや電話回線等の通信回線を介してプログラムが送信された場 合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ (R AM) のように、 一定時間プログラムを保持しているものも含むものとす る。 また、 上記プログラムは、 このプログラムを記憶装置等に格納したコンビュ 一夕システムから、 伝送媒体を介して、 あるいは、 伝送媒体中の伝送波により 他のコンピュータシステムに伝送されてもよい。 ここで、 プログラムを伝送す る 「伝送媒体」 は、 インターネット等のネットワーク （通信網） や電話回線等 の通信回線（通信線）のように情報を伝送する機能を有する媒体のことをいう。 また、 上記プログラムは、 前述した機能の一部を実現するためのものであって も良い。 さらに、 前述した機能をコンピュータシステムにすでに記録されてい るプログラムとの組み合わせで実現できるもの、 いわゆる差分ファイル （差分 プログラム） であっても良い。 産業上の利用の可能性 ■ この発明によれば、 端末装置側あるいはサーバ側から装置内に保存している 情報が漏れたとしてもオフライン解析によってパスワードを見つけだすこと ができないため、 サーバの不正利用を防止することが可能になるという効果が 得られる。 また、 装置内に保存されている情報を盗まれないようにするための 耐タンパ一性のモジュールを使用する必要がないため、 装置構成を簡単にする ことができる。 また、 公開鍵暗号システムのように複雑な鍵管理処理を行う必 要がないため、 計算処理を向上させることができるとともに、 処理内容.を簡単 にすることができる。 また、 複数のサ一パに対しても拡張することができる。 さらに、 各サーバと端末装置とでユーザ I Dを同期させながら動的に変化さ せることで、 盗聴者がユーザ I Dを用いてユーザのプライバシ情報を紐付けす ることを防止することができる。

Claims

請 求 の 範 囲

1 . 端末装置とサーバ間において相互に認証を行う認証システムであって、 刖 Bci端末装置は、

ユーザ保存用の認証情報 P ' を予め記憶しておく記憶手段と、

前記記憶手段から読み出した認証情報 P ' と認証時に入力されたパスヮード を入力として所定の計算式により値 Pを求める結合手段と、

前記値 Pと内部において発生させた乱数を入力として^ f定の計算式により 値 Y 1を求め、 前記サーバへ送信するマスク演算手段と、

前記値 Pと内部において発生させた乱数と前記サーバから受信した値 Y 2 を入力として所定の計算式により値 MKを求めるマス夕一鍵生成手段と を備え、

前記サーバは、

サーバ登録用のパスワード認証データ Hを予め記憶しておく記憶手段と、 前記記憶手段から読み出したパスヮード認証データ Hと内部において発生 させた乱数を入力として所定の計算式により値 Y 2を求め、 前記端末装置へ送 信するマスク演算手段と、

前記パスワード認証データ Hと内部において発生させた乱数と前記端末装 置から受信した値 Y 1を入力として所定の計算式により値 M Kを求めるマス 夕一鍵生成手段と

を備えたことを特徴とする認証システム。

2 . ユーザが予め決定したパスワードに基づいて、 前記パスワード認証デー 夕 Hと前記認証情報 P ' を求めるデータ伸長手段をさらに備えたことを特徴 とする請求項 1に記載の認証システム。

3 . 前記端末装置は、

前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ送信す るとともに、 前記サーバから受信した値 V 2と前記値 MKを入力として所定の 計算式による値 V 2と比較照合し、 一致した場合にサーバを認証する認証結果 判断手段をさらに備え、

前記サーバは、

前記値 MKを入力として所定の計算式により値 V 2を求め、 端末装置へ送信 するとともに、 前記端末装置から受信した値 V 1と前記値 MKを入力として所 定の計算式による値 V 1と比較照合し、 一致した場合に端末装置を認証する認 証結果判断手段をさらに備えた

ことを特徴とする請求項 1または 2に記載の認証システム。

4 . . 前記端末装置及びサーバは、 相互の認証が行われた場合に、 セッション 鍵を生成するセッション鍵生成手段をそれぞれに備えたことを特徴とする請 求項 3に記載の認証システム。

5 . 前記認証情報 P ' は、 多項式であることを特徴とする請求項 1から 4の いずれかに記載の認証システム。

6 . 前記認証情報 P ' は、 多項式とハッシュ関数であることを特徴とする請 求項 1から 4のいずれかに記載の認証システム。

7 . 前記認証情報 P ' は、 ハッシュ関数であることを特徵とする請求項 1か ら 4のいずれかに記載の認証システム。

8 . 前記認証情報 P ' は、 疑似乱数関数であることを特徴とする請求項 1か ら 4のいずれかに記載の認証システム。

9 . 端末装置とサーバ間において相互に認証を行う認証システムにおける端 末装置上で動作する認証プログラムであって、

ユーザ保存用の認証情報 P ' を予め記憶しておく記憶処理と、

前記記憶しておいた認証情報 P ' と認証時に入力されたパスワードを入力と して所定の計算式により値 Pを求める結合処理と、 前記値 Pと内部において発生させた乱数を入力として所定の計算式により 値 Y 1を求め、 前記サーバへ送信するマスク演算処理と、

前記値 Pと内部において発生させた乱数と前記サーバから受信した値 Y 2 を入力として所定の計算式により値 MKを求めるマスター鍵生成処理と をコンピュータに行わせることを特徴とする認証プログラム。

1 0 . ユーザが予め決定したパスワードに基づいて、 前記認証情報 P ' を求 めるデータ伸長処理をさらにコンピュータに行わせることを特徴とする請求 項 9に記載の認証プログラム。

1 1 . 前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ 送信するとともに、 前記サーバから受信した値 V 2と前記値 MKを入力として 所定の計算式による値 V 2と比較照合し、 一致した場合にサーバを認証する認 証結果判断処理をさらにコンピュー夕に行わせることを特徴とする請求項 9 または 1 0に記載の認証プログラム。

1 2 . 端末装置とサーバ間において相互に認証を行う認証システムにおける サーバ上で動作する認証プログラムであって、

サーバ登録用のパスワード認証データ Hを予め記憶しておく記憶処理と、 前記記憶しておいたパスヮ一ド認証データ Hと内部において発生させた乱 数を入力として所定の計算式により値 Y 2を求め、 前記端末装置へ送信するマ スク演算処理と、

前記パスヮード認証データ Hと内部において発生させた乱数と前記端末装 置から受信した値 Y 1を入力として所定の計算式により値 M Kを求めるマス 夕一鍵生成処理と

をコンピュータに行わせることを特徴とする認証プログラム。

1 3 . ユーザが予め決定したパスワードに基づいて、 前記パスワード認証デ —夕 Hを求めるデータ伸長処理をさらにコンピュータに行わせることを特徴 とする請求項 12に記載の認証プログラム

14. 前記値 MKを入力として所定の計算式により値 V 2を求め、 端末装置 へ送信するとともに、 前記端末装置から受信した値 V 1と前記値 MKを入力と して所定の計算式による値 V 1と比較照合し、 一致した場合に端末装置を認証 する認証結果判断処理をさらにコンピュータに行わせることを特徴とする請 求項 12または 13に記載の認証プログラム。

15. 端末装置及びサーバにおいて相互の認証が行われた塲合に、 セッショ ン鍵を生成するセッション鍵生成処理をそれぞれに備えたことを特徴とする 請求項 1 1または 14に記載の認証プログラム。

16. 前記認証情報 P' は、 多項式であることを特徴とする請求項 9から 1 5のいずれかに記載の認証プログラム。

17. 前記認証情報 P' は、 多項式とハッシュ関数であることを特徴とする 請求項 9から 15のいずれかに記載の認証プログラム。

18. 前記認証情報 P' は、 ハッシュ関数であることを特徴とする請求項 9 から 15のいずれかに記載の認証プログラム。

19. .前記認証情報 P' は、 疑似乱数関数であることを特徴とする請求項 9 から 1 5のいずれかに記載の認証プログラム。

20. 前記端末装置は、

更新情報 T' を発生させる発生手段と、

前記記憶手段に記憶されている認証情報 P' と前記更新情報 T' を入力し、 所定の計算式によってサーバ更新用のパスヮード認証データ H' と新たな認証 情報 P， を求め、 サーバ更新用のパスワード認証データ H， を前記サーバへ送 信するとともに、 新たな認証情報 P， を前記記憶手段に記憶する更新情報生成 手段と

を備え、

前記サーバは、

前記端末装置から送信されたサーバ更新用のパスワード認証デー夕 H ' と前 記記憶手段に記憶されたパスワード認証データ Hを入力し、 所定の計算式によ つて新たなパスワード認証データ Hを求めて前記記憶手段に記憶されているパ スワード認証デー夕 Hを更新する更新情報生成手段を備えた

^とを特徴とする請求項 2に記載の認証システム。

2 1 . 前記端末装置は、

秘密情報 S ' を発生させる発生手段と、

前記記憶手段に記憶されている認証情報 P ' と前記秘密情報 S ' と新しいパ スワードを入力し、 所定の計算式によつてサーバ更新用のパスヮード認証デ一 夕 H ' と新たな認証情報 P ' を求め、サーバ更新用のパスワード認証データ H ' を前記サーバへ送信するとともに、 新たな認証情報 P ' を前記記憶手段に記憶 する更新情報生成手段と

を備え、 ·

前記サーバは、

前記端末装置から送信されたサーバ更新用のパスワード認証データ H ' と前 記記憶手段に記憶されたパスワード認証データ Hを入力し、 所定の計算式によ つて新たなパスワード認証データ Hを求めて前記記憶手段に記憶されているパ スワード認証データ Hを更新する更新情報生成手段を備えた

ことを特徴とする請求項 2に記載の認証システム。

2 2 . 端末装置とサーバ間において相互に認証を行う認証システムであって、 前記端末装置は、

ユーザ保存用の認証情報 P ' と R S A公開鍵 （N, e ) を予め記憶しておく 記憶手段と、 前記記憶手段から読み出した認証情報 P' と認証時に入力されたパスヮ一ド を入力として所定の計算式により値 Wを求める結合手段と、

前記値 Wと前記記憶手段から読み出した RS A公開鍵 （N， e) と内部にお いて発生させた乱数 Tを入力として所定の計算式により値 Zを求め、 前記サ一 バへ送信するマスク演算手段と

を備え、

前言己サーバは、

サーバ登録用のパスワード認証データ Hと RS A秘密鍵 （N， d) を予め記 憶レておく記憶手段と、

前記記憶手段から読み出したパスヮ一ド認証データ Hと RS A秘密鍵 （N, d) と前記端末装置から受信した値 Zを入力として所定の計算式により値 Tを 求めるマスター鍵生成手段と

を備えたことを特徴とする認証システム。

23. ユーザが予め決定したパスワードに基づいて、 前記パスワード認証デ 一夕 Hと前記認証情報 P' を求めるデータ伸長手段をさらに備えたことを特徴 とする請求項 22に記載の認証システム。

24. 前記 RSA公開鍵.（N, e) と前記 RSA秘密鍵 （N， d) を求める RS A鍵生成手段をさらに備えたことを特徴とする請求項 22に記載の認証 システム。

25. 前記端末装置は、

前記サーバから受信した値 V 2と前記乱数 Tを入力として所定の計算式に よる値 V 2と比較照合し、 一致した場合にサ一バを認証する認証結果判断手段 と、

前記乱数 Tを入力として所定の計算式により値 V 1を求め、 前記サーバへ送 信する検証子生成手段をさらに備え、

前記サーバは、 前記値 Tを入力として所定の計算式により値 V 2を求め、 前記端末装置へ送 信する検証子生成手段と、

前記端末装置から受信した値 V 1と前記値 Τを入力として所定の計算式に よる値 VIと比較照合し、 一致した場合に端末装置を認証する認証結果判断手 段をさらに備えた

ことを特徴とする請求項 22、 23または 24に記載の認証システム。

26. 前記端末装置及びサーバは、 相互の認証が行われた場合に、 セッショ ン鍵を生成するセッション鍵生成手段をそれぞれに備えたことを特徴とする 請求項 25に記載の認証システム。

27. 前記認証情報 P' は、 多項式と FDH関数であることを特徴とする請 求項 22から 26のいずれかに記載の認証システム。

28. 前記認証情報 P' は、 FDH関数であることを特徴とする請求項 22 から 26のいずれかに記載の認証システム。

29. 前記 RSA公開鍵 （Ν, e) は、 安全な通信を用いることを特徴とす る請求項 22から 26のいずれかに記載の認証システム。

30. 前記 RSA公開鍵 （N, e) は、 安全ではない通信を用いることを特 徴とする請求項 22から 26のいずれかに記載の認証システム。

31. 端末装置とサーバ間において相互に認証を行う認証システムにおける 端末装置上で動作する認証プログラムであって、

ユーザ保存用の認証情報 P' と RSA公開鍵 （N, e) を予め記憶しておく 記憶処理と、

前記記憶しておいた認証情報 P' と認証時に入力されたパスヮードを入力と して所定の計算式により値 Wを求める結合処理と、 前記値 Wと前記記憶しておいた RS A公開鍵 （N, e) と内部において発生 させた乱数 Tを入力として所定の計算式により値 Zを求め、 前記サーバへ送信 するマスク演算処理と

をコンピュータに行わせることを特徴とする認証プログラム。

32. ユーザが予め決定したパスワードに基づいて、 前記認証情報 P' を求 めるデ一夕伸長処理をさらにコンピュータに行わせることを特徴とする請求 項 31に記載の認証プログラム。

33. 前記 RSA公開鍵 （N， e) を求める RSA鍵生成処理をさらにコン ピュー夕に行わせることを特徴とする請求項 31に記載の認証プログラム。

34. 前記サーバから受信した値 V 2と前記乱数 Tを入力として所定の計算 式による値 V 2と比較照合し、 一致した場合にサーバを認証する認証結果判断 処理と、

前記乱数 Tを入力として所定の計算式により値 V 1を求め、 前記サーバへ送 信する検証子生成処理をさらにコンピュータに行わせることを特徴とする請 求項 3 1、 32または 33に記載の認証プログラム。

35. 端末装置とサーバ間において相互に認証を行う認証システムにおける サーバ上で動作する認証プログラムであって、

サーバ登録用のパスワード認証データ Hと RSA秘密鍵 （N, d) を予め 記憶しておく記憶処理と、

前記記憶しておいたパスワード認証データ Hと RS A秘密鍵 （N, d) と前 記端末装置から受信した値 Zを入力として所定の計算式により値 Tを求める マスター鍵生成処理と

をコンピュータに行わせることを特徴とする認証プログラム。

36. ユーザが予め決定したパスワードに基づいて、 前記パスワード認証デ 一夕 Hを求めるデータ伸長処理をさらにコンピュータに行わせることを特徴 とする請求項 35に記載の認証プログラム。

37. 前記 RSA秘密鍵 （N, d) を求める RS A鍵生成処理をさらにコン ピュー夕に行わせることを特徴とする請求項 35に記載の認証プログラム。

38. 前記値 Tを入力として所定の計算式により値 V 2を求め、 前記端末装 置へ送信する検証子生成処理と、

前記端末装置から受信した値 V 1と前記値 Tを入力として所定の計算式に よる値 VIと比較照合し、 一致した場合に端末装置を認証する認証結果判断処 理をさらにコンピュータに行わせることを特徴とする請求項 35、 36または 37に記載の認証プログラム。

39. 端末装置及びサーバにおいて相互の認証が行われた場合に、 セッショ ン鍵を生成するセッション鍵生成処理をそれぞれに備えたことを特徴とする 請求項 34または 38に記載の認証プログラム。

40. 前記認証情報 P' は、 多項式と FDH関数であることを特徴とする請 求項 31から 39のいずれかに記載の認証プログラム。

41. 前記認証情報 P' は、 FDH関数であることを特徴とする請求項 3 1 から 39.のいずれかに記載の認証プログラム。

42. 前記 RS A公開鍵 （N， e) は、 安全な通信を用いる

る請求項 31から 39のいずれかに記載の認証プログラム。

43. 前記 RS A公開鍵 （N， e) は、 安全ではない通信を用いることを特 徵とする請求項 3 1から 39のいずれかに記載の認証プログラム。

4 4 . 前記端末装置は、

更新情報 T ' を発生させる発生手段と、

前記記憶手段に記憶されている認証情報 P ' と前記更新情報 T ' を入力し、 所定の計算式によってサーバ更新用のパスワード認証データ H ' と新たな認証 情報 P， を求め、 サーバ更新用のパスワード認証データ H ' を前記サーバへ送 信するとともに、 新たな認証情報 P ' を前記記憶手段に記憶する更新情報生成 手段と

を備え、

前記サーバは、

前記端末装置から送信されたサーバ更新用のパスヮード認証データ H ' と前 記記憶手段に記憶されたパスワード認証データ Hを入力し、 所定の計算式によ つて新たなパスワード認証デ一夕 Hを求めて前記記憶手段に記憶されているパ スワード認証デー夕 Hを更新する更新情報生成手段を備えた

ことを特徴とする請求項 2 3に記載の認証システム。

4 5 . 前記端末装置は、

前記記憶手段に記憶されている認証情報 P ' と前記乱数 Tを入力し、 所定の 計算式によって新たな認証情報 P ' を求め、 新たな認証情報 P ' を前記記憶手 段に記憶する更新情報生成手段と

を備え、

前記サーバは、 .

前記記憶手段に記憶されたパスヮ一ド認証データ Hと前記マスター鍵生成 手段によって求めた値 Tを入力し、 所定の計算式によって新たなパスワード認 証データ Hを求めて前記記憶手段に記憶されているパスワード認証デ一夕 Hを 更新する更新情報生成手段を備えた

ことを特徴とする請求項 2 2に記載の認証システム。

4 6 . 前記端末装置は、

秘密情報 S ' を発生させる発生手段と、 前記記憶手段に記憶されている認証情報 P ' と前記秘密情報 S ' と新しいパ スワードを入力し、 所定の計算式によつてサーバ更新用のパスヮード認証デー 夕 H ' と新たな認証情報 P ' を求め、サーバ更新用のパスワード認証データ H ' を前記サーバへ送信するとともに、 新たな認証情報 P ' を前記記憶手段に記憶 する更新情報生成手段と

を備え、

前記サーバは、

前記端末装置から送信されたサーバ更新用のパスワード認証デー夕 H ' と前 記記憶手段に記憶されたパスヮード認証デ一夕 Hを入力し、 所定の計算式によ つて新たなパスヮード認証デー夕 Hを求めて前記記憶手段に記憶されているパ スワード認証データ Hを更新する更新情報生成手段を備えた

ことを特徴とする請求項 2 3に記載の認証システム。

4 7 . 端末装置と複数のサーバ間において相互に認証を行い、 前記端末装置内 の保存対象のデータを前記サーバ内に分散して保存する遠隔分散保存システムで あって、

前記端末装置は、

ユーザが予め決定しておいたパスヮ一ドに基づいて、 サーバ登録用のパスヮー ド認証データ Hとユーザ保存用の認証情報 P ' を求めるデータ伸長手段と、 前記データ伸長手段によって求めた認証情報 P ' を予め記憶しておく記憶手段 と、

前記記憶手段から読み出した認証情報 P ' と認証時に入力されたパスヮードを 入力として所定の計算式により値 Pを求める結合手段と、

前記値 Pと内部において発生させた乱数を入力として所定の計算式により値 Y 1を求め、 前記サーバへ送信するマスク演算手段と、

前記値 Pと内部において発生させた乱数と前記サーバから受信した値 Y 2を入 力として所定の計算式により値 MKを求めるマスター鍵生成手段と、

前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ送信する とともに、 前記サーバから受信した値 V 2と値 V Iと比較照合し、 一致した場合 にサーバを認証する認証結果判断手段と、

サーバの認証が行われた場合に、 セッション鍵 S Kをサーバの数だけ生成する セッション鍵生成手段と、

前記保存対象のデ一夕を分割して、 認証したサーバの数と同数の分割データを 得るデータ分割手段と、

前記分割データのそれぞれと保存対象のデータを識別する識別情報とを、 保存 先のサーバと共有した前記セッション鍵 S Kを用いて暗号化して、 各サーバに対 して送信するデ一夕保存手段と、

分割データが保存された各サーバから分割データを受信し、 前記保存対象のデ 一夕を復元するデー夕復元手段と

を備え、

前記サーバは、

前記データ伸長手段によって求めたパスワード認証データ Hを予め記憶してお く記憶手段と、

前記記憶手段から読み出したパスワード認証デ一夕 Hと内部において発生させ た乱数を入力として所定の計算式により値 Y 2を求め、 前記端末装置へ送信する マスク演算手段と、

前記パスワード認証データ Hと内部において発生させた乱数と前記端末装置か ら受信した値 Y 1を入力として所定の計算式により値 MKを求めるマスター鍵生 成手段と、

前記値 MKを入力として所定の計算式により値 V 2を求め、 端末装置へ送信す るとともに、 前記端末装置から受信した値 V Iと値 V 2と比較照合し、 一致した 場合に端末装置を認証する認証結果判断手段と、

端末装置の認証が行われた場合に、 セッション鍵を生成するセッション鍵生成 手段と、

端末装置から受信した分割デー夕を受信するデータ受信手段と、

前記分割デー夕を記憶するデータ記憶手段と、

前記データ記憶手段に保存されている分割データを読み出して端末装置へ送信 するデータ送信手段と を備えたことを特徴とする遠隔分散保存システム

4 8 . 前記分割データの一部を前記端末装置内に保存することを特徴とする請 求項 4 7に記載の遠隔分散保存システム。

4 9 . 端末装置と複数のサーバ間において相互に認証を行い、 前記端末装置内 の保存対象のデータを前記サーバ内に分散して保存する遠隔分散保存システムに おける端末装置上で動作する遠隔分散保存プログラムであって、

ユーザが予め決定しておいたパスヮードに基づいて、 サ一バ登録用のパスヮー ド認証データ Hとユーザ保存用の認証情報 P ' を求めるデータ伸長処理と、 前記データ伸長処理によって求めた認証情報 P ' を予め記憶しておく記憶処理 と、

前記記憶処理から読み出した認証情報 P ' と認証時に入力されたパスヮードを 入力として所定の計算式により値 Pを求める結合処理と、

前記値 Pと内部において発生させた乱数を入力として所定の計算式により値 Y 1を求め、 前記サーバへ送信するマスク演算処理と、

前記値 Pと内部において発生させた乱数と前記サーバから受信した値 Y 2を入 力として所定の計算式により値 MKを求めるマスター鍵生成処理と、

前記値 MKを入力として所定の計算式により値 V 1を求め、 サーバへ送信する とともに、 前記サーバから受信した値 V 2と値 V Iと比較照合し、 一致した場合 にサーバを認証する認証結果判断処理と、

サーバの認証が行われた場合に、 セッション鍵 S Kをサーバの数だけ生成する セッション鍵生成処理と、

前記保存対象のデータを分割して、 認証したサーバの数と同数の分割データを 得るデータ分割処理と、

前記分割データのそれぞれと保存対象のデータを識別する識別情報とを、 保存 先のサーバと共有した前記セッション鍵 S Kを用いて暗号化して、 各サーバに対 して送信するデー夕保存処理と、

分割デー夕が保存された各サーバから分割デー夕を受信し、 前記保存対象のデ 一夕を復元するデータ復元処理と

をコンピュー夕に行わせることを特徴とする遠隔分散保存プログラム

5 0 . 端末装置と複数のサーバ間において相互に認証を行い、 前記端末装置内 の保存対象のデータを前記サーバ内に分散して保存する遠隔分散保存システムに おけるサーバ上で動作する遠隔分散保存プログラムであって、

データ伸長処理によって求めたパスワード認証データ Hを予め記憶しておく記 憶処理と、

前記記憶処理から読み出したパスワード認証データ Hと内部において発生させ た乱数を入力として所定の計算式により値 Y 2を求め、 前記端末装置へ送信する マスク演算処理と、

前記パスワード認証データ Hと内部において発生させた乱数と前記端末装置か ら受信した値 Y 1を入力として所定の計算式により値 MKを求めるマスター鍵生 成処理と、

前記値 MKを入力として所定の計算式により値 V 2を求め、 端末装置へ送信す るとともに、 前記端末装置から受信した値 V Iと値 V 2と比較照合し、 一致した 場合に端末装置を認証する認証結果判断処理と、

端末装置の認証が行われた場合に、 セッション鍵を生成するセッション鍵生成 処理と、

端末装置から受信した分割データを受信するデー夕受信処理と、

前記分割データを記憶するデータ.記憶処理と、

前記データ記憶処理に保存されている分割データを読み出して端末装置へ送信 するデータ送信処理と

をコンピュータに行わせることを特徴とする遠隔分散保存プログラム。