JP2002217888A - Method for finding replicated terminal - Google Patents

Method for finding replicated terminal

Info

Publication number
JP2002217888A
JP2002217888A JP2001011089A JP2001011089A JP2002217888A JP 2002217888 A JP2002217888 A JP 2002217888A JP 2001011089 A JP2001011089 A JP 2001011089A JP 2001011089 A JP2001011089 A JP 2001011089A JP 2002217888 A JP2002217888 A JP 2002217888A
Authority
JP
Japan
Prior art keywords
terminal
center
random number
key
duplicate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001011089A
Other languages
Japanese (ja)
Other versions
JP3600161B2 (en
Inventor
Jun Anzai
潤 安齋
Natsume Matsuzaki
なつめ 松崎
Tsutomu Matsumoto
勉 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Original Assignee
ADVANCED MOBILE TELECOMM SECUR
Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ADVANCED MOBILE TELECOMM SECUR, Advanced Mobile Telecommunications Security Technology Research Laboratory Co Ltd filed Critical ADVANCED MOBILE TELECOMM SECUR
Priority to JP2001011089A priority Critical patent/JP3600161B2/en
Publication of JP2002217888A publication Critical patent/JP2002217888A/en
Application granted granted Critical
Publication of JP3600161B2 publication Critical patent/JP3600161B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To automatically find and exclude a replicated terminal in a communication system, consisting of a center and a plurality of terminals. SOLUTION: The center and a plurality of the terminal are connected through a communication network for ciphering communication with individual session keys. The center sends challenge information in the case of delivering a new session key to the terminals. Each of the terminals sends response information obtained by ciphering terminal ID and a terminal random number to a center public key to the center, which retrieves a communication log and inspects the presence/absence of terminals, having the same terminal ID and different terminal random numbers. If corresponding terminals exist, it decides that the replicated terminal exists, and the session key will not be delivered. Since random number generated by an original terminal is difficult to replicate, the replicated terminals cannot generate the same random number. Thus, the existence of the replicated terminal can be detected.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、複製端末発見方法
に関し、特に、センタと複数の端末からなる通信システ
ムにおける複製端末の存在を自動的に発見する複製端末
発見方法に関する。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a duplicate terminal finding method, and more particularly, to a duplicate terminal finding method for automatically detecting the presence of a duplicate terminal in a communication system including a center and a plurality of terminals.

【0002】[0002]

【従来の技術】センタと複数の端末からなる通信システ
ムにおいて、情報の秘匿や端末の認証を行なう方法とし
て、以下のような方法がある。すなわち、センタは、セ
ッション鍵で端末に暗号化通信を行なう。端末は、予め
格納された個別の秘密鍵を用いてセッション鍵を生成ま
たは入手して、センタからの暗号通信を復号する。セン
タは、端末の秘密鍵で作成された認証情報を検査して端
末認証を行なう。
2. Description of the Related Art In a communication system including a center and a plurality of terminals, there are the following methods for concealing information and authenticating terminals. That is, the center performs encrypted communication with the terminal using the session key. The terminal generates or obtains a session key using an individual secret key stored in advance, and decrypts the encrypted communication from the center. The center checks the authentication information created with the secret key of the terminal and performs terminal authentication.

【0003】このような方法では、秘密鍵をいかに安全
に端末に格納するかが問題となる。そこで、不正なアク
セスを物理的に困難にする対タンパー性を備えた耐タン
パーデバイスに、秘密鍵を格納することが多く行なわれ
ている。一般的に、耐タンパーデバイスとしてICカード
が用いられる。ICカードに端末固有の秘密鍵を保持し、
端末にこのICカードを挿入して使用する方式が、GSM方
式の携帯電話や有料衛星放送のSTBなどに実装されてい
る。
In such a method, there is a problem how to securely store the secret key in the terminal. Therefore, a secret key is often stored in a tamper-resistant device having tamper resistance, which makes unauthorized access physically difficult. Generally, an IC card is used as a tamper-resistant device. Keep the terminal-specific secret key on the IC card,
A method of inserting this IC card into a terminal and using it is implemented in a GSM mobile phone, a pay satellite broadcasting STB, and the like.

【0004】しかしながら、近年はICカードに対する攻
撃の研究が進み、ICカードの消費電流などから内部の秘
密鍵を解読するPower Analysis Attacksなどが考案され
ており、ICカードの安全性は充分ではない。秘密鍵が漏
洩した場合は、秘密鍵を用いた複製端末の偽造が可能に
なる。複製端末による暗号通信の傍受を防ぐために、暗
号通信を中止して、複製端末を排除するなどの対策を講
じなくてはならない。
However, in recent years, research on attacks on IC cards has been advanced, and Power Analysis Attacks, which decipher internal secret keys based on current consumption of IC cards, have been devised, and the security of IC cards is not sufficient. If the secret key is leaked, it becomes possible to forge a duplicate terminal using the secret key. In order to prevent the encrypted terminal from intercepting the encrypted communication, it is necessary to take measures such as stopping the encrypted communication and eliminating the duplicated terminal.

【0005】複製端末を発見する方法としては、暗号通
信の内容が外部に漏れていることから推測する方法や、
ブラックマーケットにおいて複製端末を定期的に調査す
るといった方法があった。このような方法は、発見の確
実性が低く、発見までの時間もかかるうえ、人手によら
ず自動的に行なうことが困難である。
[0005] As a method of finding a duplicated terminal, a method of inferring that the contents of encrypted communication are leaked to the outside,
There was a method of regularly examining the duplicate terminal in the black market. Such a method has a low degree of certainty of discovery, takes a long time until discovery, and is difficult to perform automatically without manual intervention.

【0006】これに対処するために、複製端末を事前に
検出する方法が、文献1[松下達之,渡邉祐治,古原和
邦,今井秀樹,“ITSに適したコンテンツ配信における不
正加入者の事前検出法,”2000年暗号と情報セキュリテ
ィシンポジウム,SCIS2000-C09,2000.]で提案されてい
る。
[0006] To cope with this, a method of detecting duplicate terminals in advance is described in Reference 1 [Tatsuyuki Matsushita, Yuji Watanabe, Kazukuni Furuhara, Hideki Imai, "Pre-authorization of unauthorized subscribers in content distribution suitable for ITS". Detection Methods, "2000 Cryptography and Information Security Symposium, SCIS2000-C09, 2000.]

【0007】[0007]

【発明が解決しようとする課題】しかし、上記従来の事
前検出法では、同報通信網とElGamal暗号と秘密分散法
を前提としており、前提条件が多くて汎用性が低い。秘
密分散法を利用して秘密鍵を作成すると、結託しきい値
が存在することになり、結託に対して安全でない。セン
タが信頼できるものであっても、通信量と演算量が減ら
ない。同一ラウンドにおいて、1端末あたり複数の秘密
情報を扱うことができない。未受信対策が無い。乱数の
条件が不明で安全性が不十分である。データベースが大
きい。このように、システムの構成条件や動作手順が不
十分で、不正端末を自動的に効率的に完全に排除するこ
とは困難であるという問題がある。
However, in the above-mentioned conventional pre-detection method, a broadcast network, ElGamal encryption, and a secret sharing method are premised, and there are many preconditions and low versatility. When a secret key is created using a secret sharing scheme, there is a collusion threshold, which is not secure against collusion. Even if the center is reliable, the amount of communication and the amount of calculation do not decrease. In the same round, multiple pieces of secret information cannot be handled per terminal. There is no countermeasure for non-receiving. The condition of the random number is unknown and the security is insufficient. The database is large. As described above, there is a problem that the system configuration conditions and the operation procedure are insufficient, and it is difficult to automatically and completely eliminate unauthorized terminals.

【0008】本発明は、上記従来の問題を解決して、複
製端末を効率的に発見して排除することを目的とする。
An object of the present invention is to solve the above-mentioned conventional problems and to efficiently find and eliminate duplicate terminals.

【0009】[0009]

【課題を解決するための手段】上記の課題を解決するた
めに、本発明では、センタとn台(nは自然数)の端末
を含む通信システムの複製端末発見方法を、端末は、ラ
ウンドごとに端末乱数を生成し、端末乱数に対する端末
認証文を端末秘密鍵により生成し、端末認証文と端末乱
数とをセンタ公開鍵で暗号化して端末暗号文としてセン
タに送信し、センタは、センタ秘密鍵で端末暗号文を復
号して端末認証文と端末乱数とを得て、端末公開鍵(セ
ンタが端末秘密鍵を管理している場合は端末秘密鍵)で
端末認証文を検証し、ラウンドごとに、秘密情報の配送
に使用した端末乱数と、端末の端末IDとを、対応させ
て登録したデータベースを検索して、同一端末IDでか
つ異なる端末乱数が登録されている重複登録の有無を検
査し、端末認証文の検証結果が正しく、かつ重複登録が
無い端末の端末乱数と端末IDをデータベースに登録
し、この端末乱数を用いて、共通鍵を生成し、共通鍵に
より秘密情報を暗号化してセンタ暗号文として端末に送
信し、端末は、センタ暗号文を受信し、端末乱数から共
通鍵を生成し、センタ暗号文を共通鍵により復号して秘
密情報を得る構成とした。
In order to solve the above-mentioned problems, the present invention provides a method for finding a duplicate terminal of a communication system including a center and n (n is a natural number) terminals. A terminal random number is generated, a terminal authentication statement for the terminal random number is generated using a terminal secret key, the terminal authentication statement and the terminal random number are encrypted with a center public key and transmitted to the center as a terminal ciphertext. Decrypts the terminal ciphertext, obtains the terminal authentication text and the terminal random number, verifies the terminal authentication text with the terminal public key (or terminal secret key if the center manages the terminal secret key), and The terminal random number used for the delivery of the secret information and the terminal ID of the terminal are searched in a database in correspondence with each other, and it is checked whether there is a duplicate registration in which the same terminal ID and a different terminal random number are registered. , Terminal authentication statement The terminal random number and terminal ID of the terminal whose verification result is correct and there is no duplicate registration are registered in a database, a common key is generated using the terminal random number, secret information is encrypted with the common key, and the terminal is encrypted as a center ciphertext. , The terminal receives the center cipher text, generates a common key from the terminal random number, and decrypts the center cipher text with the common key to obtain secret information.

【0010】このように構成したことにより、端末はラ
ウンドごとの秘密情報を入手するために、端末乱数に対
する認証文を自身の秘密鍵により生成し、端末乱数と認
証文をセンタの公開鍵により暗号化してセンタに送信し
なければならないので、センタは同一ラウンドにおいて
同じ端末秘密鍵をもつ端末から異なる端末乱数が送られ
てきた場合に複製端末の存在を発見できる。発見を恐れ
て複製端末が端末乱数を送らない場合には、複製端末は
秘密情報を入手できないので、無効化することができ
る。同報通信網とElGamal暗号と秘密分散法を前提とせ
ず、前提条件が少ないため、汎用性(さまざまなシステ
ムへの適用性)が高く、適用できるシステムが多い。結
託しきい値がなく、任意に作成した秘密鍵を使用するこ
とができるので、結託に対して安全である。
[0010] With this configuration, in order to obtain secret information for each round, the terminal generates an authentication statement for the terminal random number using its own secret key, and encrypts the terminal random number and the authentication statement using the public key of the center. Therefore, the center can detect the presence of a duplicate terminal when a different terminal random number is sent from a terminal having the same terminal secret key in the same round. If the duplication terminal does not send the terminal random number for fear of discovery, the duplication terminal cannot obtain the confidential information, and thus can be invalidated. Broadcasting network, ElGamal encryption, and secret sharing method are not premised, and there are few prerequisites. Therefore, versatility (applicability to various systems) is high, and many systems can be applied. Since there is no collusion threshold and an arbitrarily created secret key can be used, it is secure against collusion.

【0011】また、データベース手段を、ラウンドごと
に、秘密情報の配送に使用した端末乱数と端末IDとを
対応させて登録するデータベース手段とした。このよう
な構成にしたことにより、データベースのサイズを小さ
くできる。
Further, the database means is a database means for registering the terminal random number and the terminal ID used for the delivery of the secret information in correspondence with each round. With this configuration, the size of the database can be reduced.

【0012】また、認証文生成手段および認証文検証手
段を、ディジタル署名方式とした。このような構成にし
たことにより、センタは、各端末の秘密鍵を直接管理す
る必要がなく、管理が容易となり、かつセンタの不正に
よる端末の陥れを防ぐことができる。
Further, the authentication text generation means and the authentication text verification means are digital signature systems. By adopting such a configuration, the center does not need to directly manage the secret key of each terminal, so that the center can be easily managed and the terminal can be prevented from falling due to unauthorized use of the center.

【0013】また、認証文生成手段および認証文検証手
段を、鍵付きハッシュまたは共通鍵暗号を用いたメッセ
ージ認証符号(MAC)方式とした。このような構成にし
たことにより、センタは認証文の検証を高速に行うこと
ができる。センタが信頼できるという前提があれば、端
末とその乱数の認証にMACを利用できるので、通信量と
演算量を最小限に抑えられる。
Further, the authentication text generation means and the authentication text verification means are a message authentication code (MAC) system using a keyed hash or a common key encryption. With such a configuration, the center can verify the authentication statement at high speed. If the center is assumed to be reliable, the MAC can be used to authenticate the terminal and its random number, minimizing the amount of communication and computation.

【0014】また、共通鍵生成手段を、端末乱数をその
まま共通鍵として出力する手段とした。このような構成
にしたことにより、共通鍵を容易に生成できる。
Further, the common key generating means is means for outputting the terminal random number as a common key as it is. With such a configuration, a common key can be easily generated.

【0015】また、公開鍵暗号化手段および公開鍵暗号
復号手段の代わりに、乱数を用いた鍵共有法(例えばDi
ffie-Hellman鍵共有法)を用いて共有した鍵を乱数とし
て用いる構成とした。このような構成にしたことによ
り、端末とセンタが平等に乱数を生成することができ
る。
Further, instead of the public key encrypting means and the public key encrypting / decrypting means, a key sharing method using random numbers (for example,
A key shared using the ffie-Hellman key agreement method is used as a random number. With this configuration, the terminal and the center can generate random numbers equally.

【0016】また、センタ暗号文にMACを含ませて改ざ
んや成りすましを検出する構成とした。このような構成
にしたことにより、改ざんや成りすましを高速に検出で
きる。
Further, the center ciphertext includes a MAC to detect tampering and spoofing. With such a configuration, falsification and impersonation can be detected at high speed.

【0017】また、センタ暗号文にディジタル署名を含
ませて改ざんや成りすましを検出する構成とした。この
ような構成にしたことにより、センタは各端末の秘密鍵
を管理することなく改ざんや成りすましを検出できる。
In addition, a digital signature is included in the center ciphertext to detect tampering or spoofing. With this configuration, the center can detect falsification or impersonation without managing the secret key of each terminal.

【0018】また、秘密情報を、センタと端末のセッシ
ョン鍵とする構成とした。このような構成にしたことに
より、センタと各端末の間において一時的な暗号通信や
認証に利用できるセッション鍵を共有できる。
The secret information is used as a session key between the center and the terminal. With such a configuration, a session key that can be used for temporary encrypted communication and authentication can be shared between the center and each terminal.

【0019】また、秘密情報を、センタと複数の端末で
共有されるグループ鍵とする構成とした。このような構
成にしたことにより、センタと各端末の暗号化同報通信
に利用できるグループ鍵を共有できる。
The secret information is configured as a group key shared by the center and a plurality of terminals. With such a configuration, the group and the terminal can share a group key that can be used for encrypted broadcast communication.

【0020】また、センタの送信情報としてセンタ乱数
を追加し、前記センタ乱数に対して端末が認証文を生成
し、センタは前記認証文を検証することにより、認証方
式がチャレンジ-レスポンス認証となり安全性を向上で
きる。
Further, a center random number is added as transmission information of the center, a terminal generates an authentication statement for the center random number, and the center verifies the authentication statement, so that the authentication method becomes challenge-response authentication and secure. Performance can be improved.

【0021】また、センタ乱数を、複数の端末に共通の
センタ乱数とした。このような構成にしたことにより、
端末総数だけ必要であったセンタ乱数が1つで済む。
The center random number is a center random number common to a plurality of terminals. With this configuration,
Only one center random number required for the total number of terminals is required.

【0022】また、1ラウンドにおいて秘密情報が複数
種類存在する場合、端末が端末暗号文に所望の秘密情報
の種類を指定し、かつ同一ラウンドにおいては常に同じ
端末乱数を端末暗号文に使用し、センタは、同一ラウン
ドにおいて同一の端末乱数が使用された端末暗号文に対
して指定された種類の秘密情報を端末乱数より生成した
共通鍵により暗号化して配送する構成とした。このよう
な構成にしたことにより、秘密情報が複数種類存在して
も複製端末を発見することができる。
If there are a plurality of types of secret information in one round, the terminal specifies the type of desired secret information in the terminal cipher text, and always uses the same terminal random number in the terminal cipher text in the same round, The center has a configuration in which, in the same round, secret information of a specified type is encrypted with a common key generated from the terminal random number and delivered for the terminal ciphertext in which the same terminal random number is used. With such a configuration, a duplicated terminal can be found even if there are a plurality of types of secret information.

【0023】また、端末がセンタからの通信を受信でき
ない場合、センタに対して現在のラウンド番号を問い合
わせる問い合わせ手段を端末に備え、問い合わせた結
果、端末とセンタのラウンド番号が異なる場合に、端末
がセンタに再送を要求する再送要求手段とを備えた構成
とした。このような構成にしたことにより、端末がセン
タからの情報を受信できない場合にも、複製端末の発見
および秘密情報の配布を再開できる。
When the terminal cannot receive the communication from the center, the terminal is provided with an inquiry means for inquiring the center about the current round number. And a retransmission requesting means for requesting retransmission to the center. With this configuration, even when the terminal cannot receive the information from the center, the discovery of the duplicate terminal and the distribution of the secret information can be resumed.

【0024】また、通信システムを、同報通信システム
とした。このような構成にしたことにより、センタ乱数
を同報通信して通信量を削減でき、グループ鍵を用いた
暗号化同報通信も実現できる。
The communication system is a broadcast communication system. With such a configuration, the communication amount can be reduced by broadcasting the center random number, and the encrypted broadcasting using the group key can be realized.

【0025】また、端末乱数生成手段を、同じ乱数を出
力する乱数生成器を他に作成できず、かつ偶然他の乱数
生成器の出力と同じ出力となる確率が無視できる出力長
を持つという条件を満たすものとした。このような構成
にしたことにより、一定の攻撃に対して充分安全を確保
できる。
Also, the terminal random number generation means must be capable of generating another random number generator that outputs the same random number, and have an output length that can neglect the probability of being the same output as the output of another random number generator by chance. Must be satisfied. With such a configuration, sufficient security against a certain attack can be ensured.

【0026】また、グループ鍵の配布の途中において、
複製端末が発見された場合、グループ鍵を未配布の端末
の端末公開鍵(センタが端末秘密鍵を管理している場合
は端末秘密鍵)によりグループ鍵を暗号化して未配布の
端末に配布する手段を備えた。このような構成にしたこ
とにより、早期にグループ通信を再開することができ
る。ただし、端末数に依存した通信量が必要となるの
で、端末数が小さい場合にのみ有効である。
Also, during the distribution of the group key,
If a duplicate terminal is found, the group key is encrypted with the terminal public key of the terminal to which the terminal has not been distributed (or the terminal private key if the center manages the terminal private key) and distributed to the terminal to which the terminal has not been distributed. With means. With such a configuration, group communication can be restarted at an early stage. However, since a communication amount depending on the number of terminals is required, it is effective only when the number of terminals is small.

【0027】[0027]

【発明の実施の形態】以下、本発明の実施の形態につい
て、図1〜図8を参照しながら詳細に説明する。
DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiments of the present invention will be described below in detail with reference to FIGS.

【0028】(第1の実施の形態)本発明の第1の実施
の形態は、センタと複数台の端末が、個々のセッション
鍵で暗号通信する通信網により接続された通信システム
において、センタが各端末に新規セッション鍵を配布す
る際に、端末で発生した乱数が複製困難なことを利用し
て端末IDの重複を検査することで複製端末を発見する方
法である。
(First Embodiment) In a first embodiment of the present invention, in a communication system in which a center and a plurality of terminals are connected by a communication network for performing cryptographic communication using individual session keys, the center is used. In this method, when a new session key is distributed to each terminal, a duplicate terminal is detected by checking for duplication of terminal IDs by using the fact that random numbers generated at the terminals are difficult to duplicate.

【0029】図1は、本発明の第1の実施の形態におけ
る複製端末発見方法の流れ図である。図1において、セ
ンタCは、各端末にセッション鍵を配布する機関であ
る。通信路Nは、暗号通信可能な無線または有線の通信
媒体である。端末Tiは、センタCとセッション鍵で暗
号通信を行なう通信装置である。端末は複数台あり、i
は各端末にユニークな端末IDである。端末は1台でもよ
い。フェーズ#1は、複製端末を発見するための手続き
を行なう段階である。フェーズ#2は、センタCから端
末Tiにセッション鍵を配送するための手続きを行なう
段階である。
FIG. 1 is a flowchart of a duplicate terminal finding method according to the first embodiment of the present invention. In FIG. 1, a center C is an organization that distributes a session key to each terminal. The communication path N is a wireless or wired communication medium capable of performing encrypted communication. The terminal T i is a communication device that performs encrypted communication with the center C using a session key. There are multiple terminals, i
Is a unique terminal ID for each terminal. The number of terminals may be one. Phase # 1 is a step of performing a procedure for finding a duplicate terminal. Phase # 2 is a step of performing a procedure for delivering the session key from the center C to the terminal T i.

【0030】図2は、本発明の第1の実施の形態におけ
る複製端末発見方法に用いるセンタの構成図である。図
2において、乱数生成手段1は、擬似乱数を生成する手
段である。送信手段2は、有線または無線でデータを端
末に送信する手段である。公開鍵暗号復号手段3は、セ
ンタCの公開鍵で暗号化された暗号文を復号する手段で
ある。認証文検証手段4は、端末秘密鍵で暗号化された
認証文を端末公開鍵で復号して検証する手段である。デ
ータベース手段5は、端末との交信記録をまとめたデー
タベースである。検出手段6は、データベースを検索し
て端末の重複を検出する手段である。共通鍵生成手段7
は、端末との共通鍵を端末乱数から生成する手段であ
る。共通鍵暗号化手段8は、端末との共通鍵でセッショ
ン鍵を暗号化する手段である。
FIG. 2 is a configuration diagram of a center used in the duplicate terminal finding method according to the first embodiment of the present invention. In FIG. 2, a random number generating means 1 is a means for generating a pseudo random number. The transmitting unit 2 is a unit that transmits data to a terminal by wire or wirelessly. The public key decryption means 3 is a means for decrypting a cipher text encrypted with the public key of the center C. The authentication text verification unit 4 is a unit that decrypts and verifies the authentication text encrypted with the terminal private key using the terminal public key. The database means 5 is a database in which communication records with terminals are compiled. The detecting means 6 is a means for searching a database to detect terminal duplication. Common key generation means 7
Is a means for generating a common key with the terminal from the terminal random number. The common key encrypting means 8 is a means for encrypting the session key with a common key with the terminal.

【0031】図3は、本発明の第1の実施の形態におけ
る複製端末発見方法に用いる端末の構成図である。図3
において、乱数生成手段1は、複製困難な擬似乱数を生
成する手段である。送信手段2は、有線または無線でデ
ータをセンタに送信する手段である。共通鍵生成手段7
は、センタとの共通鍵を端末乱数から生成する手段であ
る。共通鍵暗号復号手段9は、共通鍵で暗号化されたセ
ッション鍵を復号する手段である。認証文生成手段10
は、端末乱数とセンタ乱数を端末秘密鍵で暗号化して認
証文を生成する手段である。公開鍵暗号化手段11は、認
証文と端末乱数をセンタ公開鍵で暗号化する手段であ
る。
FIG. 3 is a configuration diagram of a terminal used in the duplicate terminal finding method according to the first embodiment of the present invention. FIG.
, The random number generation means 1 is means for generating pseudo-random numbers that are difficult to copy. The transmitting means 2 is a means for transmitting data to the center by wire or wirelessly. Common key generation means 7
Is means for generating a common key with the center from terminal random numbers. The common key encryption / decryption means 9 is means for decrypting the session key encrypted with the common key. Authentication statement generation means 10
Is a means for encrypting a terminal random number and a center random number with a terminal secret key to generate an authentication text. The public key encryption unit 11 is a unit for encrypting the authentication text and the terminal random number with the center public key.

【0032】図4は、本発明の第1の実施の形態におけ
る複製端末発見方法の複製端末発見フェーズ(フェーズ
#1)の流れ図である。図5は、本発明の第1の実施の
形態における複製端末発見方法のセッション鍵配送フェ
ーズ(フェーズ#2)の流れ図である。
FIG. 4 is a flowchart of a duplicate terminal discovery phase (phase # 1) of the duplicate terminal discovery method according to the first embodiment of the present invention. FIG. 5 is a flowchart of the session key distribution phase (phase # 2) of the duplicate terminal finding method according to the first embodiment of the present invention.

【0033】上記のように構成された本発明の第1の実
施の形態における複製端末発見方法の動作を説明する。
最初に、図1を参照して、複製端末発見方法の原理を説
明する。複製端末発見方法は、センタCにしか解読でき
ないように暗号化されて端末Tiから送信された端末乱
数Ri bと端末認証文を、センタCで検証し、端末認証文
が正しく、かつ現時点において同じ端末IDを持つ端末か
ら異なる端末乱数Ri bが送信されていない場合にのみ、
この端末乱数Ri bに依存して端末Tiにセッション鍵SKi
bを与えるプロトコルである。ただし、上付きのbはラ
ウンド番号であり、ベキ乗の意味ではない。ラウンド
は、セッション鍵の有効期間である。ラウンド番号は、
端末ごとに独立であるので、厳密には端末IDで識別でき
るようにすべきであるが、記載が煩雑になり、紛れるこ
ともないので、単にbと書く。端末IDのiやラウンド番
号bを省略することもある。
The operation of the duplicate terminal finding method according to the first embodiment of the present invention configured as described above will be described.
First, the principle of the duplicate terminal finding method will be described with reference to FIG. Replication terminal discovery methods, only the center C is encrypted so that it can not decrypt the terminal random number R i b and terminal authentication statements sent from the terminal T i, verified in the center C, terminal authentication statement is correct and current only when the terminal random number different from the terminal having the same terminal ID in R i b is not transmitted,
Session key SK i depending on the terminal random number R i b to the terminal T i
This is the protocol that gives b . However, the superscript b is a round number and does not mean a power. A round is the validity period of a session key. The round number is
Since each terminal is independent, it should be strictly identified by the terminal ID. However, since the description is complicated and will not be confused, it is simply written as b. The terminal ID i and the round number b may be omitted.

【0034】複製端末発見方法は、複製端末発見フェー
ズとセッション鍵配送フェーズの2つのフェーズからな
る。複製端末発見フェーズ(フェーズ#1)では、セン
タCは、チャレンジ-レスポンス認証により、端末T
iと、その端末TiがセンタCの公開鍵により暗号化して
配信した端末乱数Ri bを認証する。この端末乱数Ri b
用いて、端末Tiと共通鍵を共有する。センタCは、デ
ータベースを検索して、端末識別符号の重複を検査す
る。同一端末IDを持ち、異なる端末乱数を送信した端末
i'を検出すると、この端末IDを持つオリジナル端末T
iの複製端末が存在すると判定できる。セッション鍵配
送フェーズ(フェーズ#2)では、センタCは、複製端
末のない端末Tiに対して、セッション鍵SKi bを共通鍵C
Ki bにより暗号化して配送する。
The duplicate terminal discovery method includes two phases: a duplicate terminal discovery phase and a session key distribution phase. In the duplicate terminal discovery phase (phase # 1), the center C performs the terminal T
and i, the terminal T i to authenticate the terminal random number R i b that delivered encrypted by a public key of the center C. Using this terminal random number R i b, sharing a common key with the terminal T i. The center C searches the database to check for duplicate terminal identification codes. When a terminal T i ′ having the same terminal ID and transmitting a different terminal random number is detected, the original terminal T having this terminal ID is detected.
It can be determined that a duplicate terminal of i exists. In the session key distribution phase (phase # 2), the center C transmits the session key SK i b to the terminal T i having no duplicate terminal by using the common key C
To deliver encrypted by K i b.

【0035】チャレンジ-レスポンス認証を説明する。
センタCは、センタ乱数Zi bを生成して、チャレンジCH
Aとして端末Tiに送信する。端末Tiは、センタCから
受信したセンタ乱数Zi bと、自身が生成した端末乱数R
i bに対して、自身の秘密鍵により生成した認証文を、レ
スポンスRESとしてセンタCに送信する。これをセンタ
Cが検証することにより、端末Tiとその端末乱数Ri b
を認証する。ここで、センタCは、端末Tiとその端末
乱数Ri bとの対応を確認する。ディジタル署名を用いる
場合は、センタCに各端末の秘密鍵を保管する必要がな
く、鍵管理が容易となる。
The challenge-response authentication will be described.
The center C generates a center random number Z i b and generates a challenge CH
It sent as A to the terminal T i. The terminal T i receives the center random number Z i b received from the center C and the terminal random number R generated by itself.
against i b, the authentication statements generated by its own secret key, and transmits to the center C as a response RES. By verifying this by the center C, the terminal T i and its terminal random number R i b
Authenticate. Here, the center C checks the correspondence between the terminal T i and the terminal random number R i b . When a digital signature is used, there is no need to store the secret key of each terminal in the center C, and key management becomes easy.

【0036】端末乱数Ri bの暗号化を説明する。同じ端
末秘密鍵を保持する複製端末に対して端末乱数Ri bを秘
密にするために、センタ公開鍵により端末乱数Ri bを暗
号化する。または、Diffie-Hellman鍵共有法のような乱
数を用いた方法により共有した鍵を、端末乱数の代わり
に利用する。
[0036] described the encryption of the terminal random number R i b. The terminal random number R i b to the secret to the facsimile reproduction terminal for holding the same terminal secret key, encrypts the terminal random number R i b by center public key. Alternatively, a key shared by a method using a random number such as the Diffie-Hellman key sharing method is used instead of the terminal random number.

【0037】データベースの検索を説明する。センタC
は、データベースを検索して、端末Tiに既にセッショ
ン鍵SKi bを配送済みか確認する。配送済みならば、配送
に使用した端末乱数Ri b’と、送信されてきた端末乱数
i bとを比較して、不一致ならば、端末Tiの複製端末
が存在すると判断する。端末Tiは、同一ラウンドでは
同じ乱数を用いるので、複製端末が存在しない限り、異
なる端末乱数Ri bを用いたレスポンスRESi bは来ない。
ただし、端末乱数Ri b’と端末乱数Ri bのどちらが複製
端末の乱数であるかは区別できない。また、複製端末が
複数ならば、端末乱数Ri b’と端末乱数Ri bが共に複製
端末の乱数である可能性があるが、複製端末が単数複数
いずれの場合でも、複製端末発見方法により複製端末の
存在を検出できる。
The search of the database will be described. Center C
Searches the database to confirm whether the session key SK i b has already been delivered to the terminal T i . If Shipped, a terminal random number R i b 'used for delivery, by comparing the sent terminal random number R i b, if a mismatch, it is determined that the duplicate terminal of the terminal T i is present. Terminal T i, since using the same random number is the same round, as long as the duplicate terminal does not exist, a response RES i b using different terminal random number R i b will not come.
However, whether the one terminal random number R i b 'and a terminal random number R i b is a random number of replicas terminal it can not be distinguished. Also, if replication terminal plurality, but could be a terminal random number R i b 'terminal random number R i b is a random number of both replication terminal, even if duplication terminal of any single multiple, by replicating the terminal discovery method The presence of a duplicate terminal can be detected.

【0038】共通鍵CKi bの生成を説明する。正しく認証
され、かつ複製端末が発見されない端末Tiと、センタ
Cは、その端末Tiの端末乱数を使って共通鍵を共有す
る。ここで、共通鍵の生成には、センタCと端末乱数の
保持者のみが生成できる方法を使う必要がある。最も単
純な方法は、端末乱数をそのまま共通鍵として用いる方
法である。
The generation of the common key CK i b will be described. Properly authenticated and the terminal T i replication terminal is not found, the center C may share a common key with the terminal random number of the terminal T i. Here, for generating the common key, it is necessary to use a method that can be generated only by the center C and the holder of the terminal random number. The simplest method is to use the terminal random number as a common key.

【0039】セッション鍵SKi bの暗号化を説明する。セ
ンタCは、共通鍵CKi bを用いて、セッション鍵SKi bを暗
号化する。端末Tiは、センタCと同様に、端末乱数Ri
bより共通鍵CKi bを生成する。共通鍵CKi bを使ってセッ
ション鍵SKi bを復号する。端末秘密鍵Siが漏洩して
も、端末乱数Ri bがなければ、共通鍵CKi bは生成できな
いため、オリジナル端末と複製端末の集合の中で、セッ
ション鍵SKi bを得ることができるのは、1台のみとな
る。また、ここで使う暗号は、レスポンスRESi bの場合
と異なり、共通鍵暗号でよい。また、必要であればMAC
(Message Authentication Code:メッセージ認証符
号)を併用して、改ざんや成りすましを検出する機能を
追加できる。
The encryption of the session key SK i b will be described. The center C encrypts the session key SK i b using the common key CK i b . The terminal T i is, like the center C, a terminal random number R i
It generates a common key CK i b than b. The session key SK i b is decrypted using the common key CK i b . Even if the terminal secret key S i is leaked, the common key CK i b cannot be generated without the terminal random number R i b, so that the session key SK i b can be obtained from the set of the original terminal and the copy terminal. Only one can be used. In addition, the encryption used here, unlike in the case of the response RES i b, may be a common key encryption. Also, if necessary, MAC
(Message Authentication Code), you can add a function to detect tampering or spoofing.

【0040】セッション鍵SKi bの更新を説明する。セン
タCは、一時横流しによるセッション鍵の漏洩に対処す
るために、定期的にセッション鍵を更新して、複製端末
発見方法を実行する必要がある。この期間が短いほど、
早く複製端末を発見・無効化できる。
The updating of the session key SK i b will be described. The center C needs to periodically update the session key and execute the duplicate terminal discovery method in order to cope with the leakage of the session key due to the temporary passing. The shorter this period, the more
Quickly find and invalidate duplicate terminals.

【0041】セッション鍵SKi bが複数の場合を説明す
る。セッション鍵の種類が複数の場合は、各端末T
iは、同一ラウンドであれば同じ端末乱数を用いて、セ
ッション鍵の種類を指定したレスポンスRESi bを送信す
る。センタCは、データベースより乱数が同じことを確
認して、端末Tiが指定したセッション鍵を、同じ乱数
による鍵で暗号化して配送する。
A case where there are a plurality of session keys SK i b will be described. If there are a plurality of types of session keys, each terminal T
i, if the same round using the same terminal random number, and transmits the response RES i b you specify the type of session key. Center C is a random number from the database to verify the same, the session key terminal T i-specified delivery encrypted with key by the same random number.

【0042】未受信対策を説明する。端末Tiが電源オ
フや、通信できない地域へ移動したことなどにより、チ
ャレンジCHAi bやセッション鍵を受信できない場合のた
めに、現在のラウンド番号をセンタに問い合わせる機能
を、端末Tiに付加する。ラウンドが進んでいる場合
に、端末Tiはセンタに再送を要求する。
A countermeasure against unreceived data will be described. Terminal T i is or power-off, such as by having moved to not communicate areas, in the event that can not receive the challenge CHA i b and the session key, the ability to query the current round number to the center, is added to the terminal T i . If the round is advanced, the terminal T i requests a retransmission to the center.

【0043】以上のようにすることにより、複製端末を
発見できる。正規の端末Tiが先にレスポンスRESi bを送
信し、複製端末がレスポンスRESi bを送信しない場合に
は、複製端末は発見できないが、複製端末はセッション
鍵を得ることができないので、実質的に無効化すること
ができる。
As described above, a duplicate terminal can be found. Proper terminal T i transmits a response RES i b above, when the replication terminal does not send a response RES i b is duplicated terminal can not be found, since replication terminal can not obtain the session key, substantially Can be invalidated.

【0044】第2に、図2、図3、図4を参照しなが
ら、複製端末発見の手順(フェーズ#1)の各ステップ
について説明する。準備段階において、図示していない
信頼できるシステム管理者は、センタ秘密鍵Scと、セ
ンタ公開鍵Ycと、各端末Tiの端末秘密鍵Siと、端末
公開鍵Yiを生成する。センタCに、センタ秘密鍵Scと
端末公開鍵Yiを秘密に配布する。各端末Tiに、対応す
る端末秘密鍵Siとセンタ公開鍵Ycを秘密に配布する。
Second, each step of the procedure for finding a duplicate terminal (phase # 1) will be described with reference to FIGS. 2, 3, and 4. In preparation stage, the system administrator trusted not shown, a center private key Sc, a center public key Yc, a terminal secret key S i of each terminal T i, to generate a terminal public key Y i. The center C, to distribute the center secret key Sc and the terminal public key Y i in secret. The corresponding terminal secret key S i and center public key Yc are secretly distributed to each terminal T i .

【0045】図4に示すフェーズ#1−1で、図1に示
すセンタCは、図2の乱数生成手段1でセンタ乱数Zi b
を生成する。端末Tiに、セッション鍵の更新通知を兼
ねるチャレンジ CHAi b=Zi b を、送信手段2により送信する。
[0045] In phase # 1-1 shown in FIG. 4, center C as shown in Figure 1, center random number Z i b by the random number generator 1 in FIG. 2
Generate The transmitting unit 2 transmits a challenge CHA i b = Z i b that also serves as a session key update notification to the terminal T i .

【0046】フェーズ#1−2で、図3に示す端末Ti
は、図3の乱数生成手段1により、端末乱数Ri bを生成
する。自身の端末秘密鍵Siを用いて、端末IDのiと、
センタCからチャレンジCHAi bとして送られたセンタ乱
数Zi bと、端末乱数Ri bとに対するディジタル署名SIG
(Si,(i‖Zi b‖Ri b))を、認証文生成手段10で生成す
る。ただし、(x‖y)は、xを上位桁とし、yを下位桁
とする、符号の連接を示す。SIG(x,y)は、鍵xを使っ
てyのディジタル署名を計算することを示す。このディ
ジタル署名を、端末認証文Di bとする。
In phase # 1-2, terminal T i shown in FIG.
It is the number generating means 1 in FIG. 3, to produce a terminal random number R i b. Using its own terminal secret key S i ,
A center random number Z i b sent as a challenge CHA i b from the center C, the digital signature SIG for the terminal random number R i b
(S i, (i‖Z i b ‖R i b)) , and generates the authentication sentence generating means 10. Here, (x‖y) indicates a concatenation of codes in which x is the upper digit and y is the lower digit. SIG (x, y) indicates that the key x is used to calculate the digital signature of y. The digital signature, and terminal authentication statement D i b.

【0047】センタ公開鍵Ycを用いて、端末IDのi
と、端末乱数Ri bと、端末認証文Di bとに対する端末暗
号文 Ei b=Yc[i‖Ri b‖Di b] =Yc[i‖Ri b‖SIG(Si,(i‖Zi b‖Ri b))] を、公開鍵暗号化手段11で生成する。ただし、x[y]
は、yを鍵xで暗号化することを示す。これを、センタ
Cに、セッション鍵要求通知を兼ねるレスポンス RESi b=Ei b=Yc[i‖Ri b‖Di b] =Yc[i‖Ri b‖SIG(Si,(i‖Zi b‖Ri b))] として、送信手段2で送信する。
Using the center public key Yc, the terminal ID i
When the terminal random number R i b and the terminal ciphertext for the terminal authentication statement D i b E i b = Yc [i‖R i b ‖D i b] = Yc [i‖R i b ‖SIG (S i, (i‖Z i b ‖R i b) )] , and it produces a public key encryption means 11. Where x [y]
Indicates that y is encrypted with the key x. This, the center C, the response also serves as a session key request notification RES i b = E i b = Yc [i‖R i b ‖D i b] = Yc [i‖R i b ‖SIG (S i, (i as ‖Z i b ‖R i b)) ], and transmits the transmitting unit 2.

【0048】フェーズ#1−3で、図2のセンタCは、
図示しない受信手段で、端末TiからのレスポンスRESi b
を受信し、公開鍵暗号復号手段3で、センタ秘密鍵Sc
を使ってレスポンスRESi bを復号して、端末乱数Ri b
得る。認証文検証手段4で、端末Tiの端末公開鍵Yi
用いて、SIG(Si,(i‖Zi b‖Ri b))を検証する。検証
結果が正しい場合は、端末Tiと端末乱数Ri bを認証し
たとして受付けて、フェーズ#1−4へ進む。検証結果
が不正の場合は、プロトコルを終了する。
In phase # 1-3, the center C in FIG.
The response RES i b from the terminal T i is received by a receiving unit (not shown ).
Is received by the public key encryption / decryption means 3, and the center secret key Sc
It decodes the response RES i b with to give a terminal random number R i b. Authentication text verifying unit 4, using the terminal's public key Y i of the terminal T i, SIG (S i, (i‖Z i b ‖R i b)) to verify. If the verification is correct, it accepted as authenticating the terminal T i and the terminal random number R i b, the process proceeds to Phase # 1-4. If the verification result is invalid, the protocol ends.

【0049】フェーズ#1−4で、センタCは、検出手
段6により、端末IDをキーとして、端末IDと配送に用い
た乱数を関連付けて登録したデータベースが格納された
データベース手段5を参照する。配送に用いた乱数が登
録されていない、つまりセッション鍵SKi bが未配送の場
合は、データベースに端末乱数Ri bを記録して、フェー
ズ#1-5へ進む。配送に用いた乱数が登録されてい
る、つまりセッション鍵SKi bが配送済みの場合は、デー
タベースに記録された端末乱数Ri b’と受信した端末乱
数Ri bが等しいならフェーズ#1-5へ進む。異なるな
ら、複製端末を発見したと判断して、プロトコルを終了
する。
In phase # 1-4, the center C refers to the database means 5 in which the detection means 6 stores a database in which the terminal ID and the random number used for delivery are registered in association with the terminal ID as a key. Random number used for the delivery is not registered, that is, if the session key SK i b is undelivered records the terminal random number R i b in the database, the process proceeds to Phase # 1-5. If the random number used for delivery has been registered, that is, if the session key SK i b has been delivered, if the terminal random number R i b ′ recorded in the database is equal to the received terminal random number R i b, phase # 1- Go to 5. If not, it is determined that a duplicate terminal has been found, and the protocol is terminated.

【0050】フェーズ#1−5で、センタCは、図2の
共通鍵生成手段7により、端末乱数Ri bを共通鍵CKi b
する。
[0050] In phase # 1-5, the center C is the common key generation unit 7 in FIG. 2, the terminal random number R i b and the common key CK i b.

【0051】第3に、図2、図3、図5を参照しなが
ら、セッション鍵配送の手順(フェーズ#2)の各ステ
ップを説明する。重複が検出されなかった端末に対して
のみ、センタCはセッション鍵を配送する。
Third, each step of the session key delivery procedure (phase # 2) will be described with reference to FIGS. 2, 3, and 5. The center C distributes the session key only to terminals for which no duplication has been detected.

【0052】図5に示すフェーズ#2−1で、センタC
は、共通鍵暗号化手段8により、セッション鍵SKi bを共
通鍵CKi bで暗号化したセンタ暗号文 ECi b=CKi b[SKi b] を生成して、送信手段2により端末Tiに送信する。
In phase # 2-1 shown in FIG.
Terminal by a common key encryption unit 8, generates a session key SK i b the common key CK i b in encrypted center ciphertext EC i b = CK i b [ SK i b], the transmission unit 2 to send to the T i.

【0053】フェーズ#2−2で、端末Tiは、図示し
てない受信手段により、センタ暗号文ECi b(=CKi b[SKi
b])を受信する。端末乱数Ri bを共通鍵CKi bとして、図
3の共通暗号復号手段9により、センタ暗号文ECi b(=
CKi b[SKi b])を復号し、セッション鍵SKi bを得る。端末
iが、センタ暗号文ECi b(=CKi b[SKi b])を受信でき
なかった場合は、フェーズ#1-2において生成したレ
スポンスRESibを、センタCに再送する。
[0053] In phase # 2-2, terminal T i is the receiving unit, not shown, the center ciphertext EC i b (= CK i b [SK i
b ]). The terminal random number R i b as the common key CK i b, by common decryption means 9 of FIG. 3, the center ciphertext EC i b (=
CK i b [SK i b] ) decodes to obtain the session key SK i b. Terminal T i is the case of not receiving a center ciphertext EC i b (= CK i b [SK i b]), the response RESi b generated in phase # 1-2, retransmits the center C.

【0054】第4に、乱数生成器の条件を説明する。端
末に組込まれる乱数生成手段が満たすべき条件は、「同
じ乱数を出力する乱数生成器を他に作成できないこと、
かつ偶然他の乱数生成器の出力と同じ出力となる確率が
無視できる出力長を持つこと」である。これは、乱数生
成器の構造は複製できても、乱数またはシードの元とな
る状態が複製できないものであって、かつ出力が128bit
程度あるものであれば満たされる。したがって、次の12
8bit乱数生成器は条件を満たす。 ・ホワイトノイズなどを利用した真性乱数生成器 ・予測困難な常に変化する各端末固有の状態により更新
されるシードを入力とする擬似乱数生成器または擬似乱
数生成ソフトウェア
Fourth, the conditions of the random number generator will be described. The condition that the random number generation means incorporated in the terminal should satisfy is that it cannot create another random number generator that outputs the same random number,
And have an output length that can neglect the probability of being the same output as the output of another random number generator by chance. " This means that although the structure of the random number generator can be duplicated, the state of the random number or seed cannot be duplicated, and the output is 128 bits.
It is satisfied if there is some degree. Therefore, the next 12
The 8-bit random number generator satisfies the condition. -True random number generator using white noise, etc.-Pseudo random number generator or pseudo random number generator software that receives a seed that is difficult to predict and is updated based on the constantly changing unique state of each terminal

【0055】このようなシードとして、以下のものやそ
の組合せがある。 ・端末のメモリの状態やシステムクロックの値 ・端末の動作に関する時間,時刻,回数
As such seeds, there are the following and combinations thereof. • Terminal memory status and system clock value • Time, time, and count related to terminal operation

【0056】第5に、安全性について説明する。複製端
末発見方法は、複製端末の発見を目的とする。攻撃者は
複製端末を偽造して暗号通信を解読することを目的とす
る。まず、複製端末発見方法において想定される攻撃に
ついて説明する。複製端末発見方法では、既に攻撃者が
複製対象となるオリジナル端末の秘密鍵を保持している
ことを前提とした攻撃を想定する。端末秘密鍵を不正に
取得できる機会には、メンバが自身の端末を解析する場
合と、メンバが自身の端末から目を離している間(紛失
・充電時など)に攻撃者が端末を解析する場合と、複数
のメンバの結託により他のメンバの秘密鍵を作成する場
合などがある。この前提において、攻撃者は、複製端末
を偽造して暗号通信の解読を試みる。
Fifth, security will be described. The duplicate terminal finding method aims at finding a duplicate terminal. The purpose of the attacker is to forge a duplicate terminal to decrypt the encrypted communication. First, an attack assumed in the duplicate terminal finding method will be described. The duplicate terminal discovery method assumes an attack on the assumption that the attacker already holds the secret key of the original terminal to be duplicated. At the opportunity to illegally obtain the terminal secret key, an attacker analyzes the terminal when the member analyzes his / her terminal and while the member keeps his / her eyes away from the terminal (when lost or charged). In some cases, a secret key of another member is created by collusion of a plurality of members. On this assumption, the attacker forges the duplicate terminal and attempts to decrypt the encrypted communication.

【0057】攻撃は、オリジナル端末はそのままに、攻
撃者が残りの秘密情報(セッション鍵、乱数)を入手で
きる横流し攻撃と、オリジナル端末を改変するか、別の
端末(複製端末)に入れ替えてしまうことにより、オリ
ジナル端末を無効化する改変攻撃に分けられる。
The attack is a side attack in which the attacker can obtain the remaining secret information (session key, random number) without changing the original terminal, and the original terminal is modified or replaced with another terminal (duplicate terminal). Thus, it is divided into a modification attack that invalidates the original terminal.

【0058】横流し攻撃のうち、一時横流し攻撃では、
ある時点において、オリジナル端末のセッション鍵か、
このセッション鍵を得るための乱数が漏洩し、攻撃者が
複製端末を偽造する。常時横流し攻撃では、定期的に、
オリジナル端末のセッション鍵か、このセッション鍵を
得るための乱数を、不正なメンバが横流しして、攻撃者
が複製端末を偽造する。改変攻撃は、オリジナル端末を
改変するか、複製端末に入れ替えることにより、オリジ
ナル端末を無効化し、複製端末を使用しても発見させな
い攻撃である。
Of the side-by-side attacks, in the temporary side-by-side attack,
At some point, the session key of the original terminal
A random number for obtaining this session key is leaked, and an attacker forges a duplicate terminal. In a constant diversion attack,
An unauthorized member circulates a session key of the original terminal or a random number for obtaining the session key, and an attacker forges a duplicate terminal. The alteration attack is an attack in which the original terminal is invalidated by altering the original terminal or replacing it with a duplicate terminal, and the original terminal is not found even when the duplicate terminal is used.

【0059】本実施の形態における複製端末発見方法
は、一時横流し攻撃に対して複製端末を発見することを
目的とする。常時横流し攻撃および改変攻撃は、以下の
理由により考慮する必要がないと考える。
The method of finding a duplicated terminal in the present embodiment aims at finding a duplicated terminal against a temporary sneak attack. We do not consider that always-on and tamper attacks need to be considered for the following reasons.

【0060】常時横流し攻撃は、横流しの頻度に依存し
て不正なメンバの通信コストや不正発覚の可能性が増加
するため、不正なメンバは容易に実行できないと考えら
れる。
It is considered that an always-distributed attack cannot easily be executed by an unauthorized member because the communication cost and the possibility of unauthorized detection of the unauthorized member increase depending on the frequency of the dissemination.

【0061】改変として、具体的に以下の2つの場合が
考えられる。1つ目は、オリジナル端末の使用者が目を
離した隙などに、攻撃者がオリジナル端末を複製端末と
入れ替える場合である。この複製端末は、他の複製端末
と乱数が同期しているとすれば、改変されたオリジナル
端末を使用し続ける限り、乱数による複製端末の発見は
できない。しかし、常時端末を使用しているオリジナル
端末の使用者に気付かれない複製端末を偽造すること
は、時間やコストの面から難しいと考える。また、物理
的な改変を検出することは、情報の複製を検知すること
に比べ、一般に容易かつ低コストであるので、これを併
用して対処できる。
The following two cases are specifically considered as modifications. The first is a case where an attacker replaces the original terminal with a duplicate terminal when the user of the original terminal takes his eyes off. As long as the random number is synchronized with another duplicate terminal, the duplicate terminal cannot find the duplicate terminal by the random number as long as the modified original terminal is used. However, it is considered difficult to forge a duplicate terminal that is not noticed by the user of the original terminal who always uses the terminal in terms of time and cost. Detecting physical alteration is generally easier and less expensive than detecting duplicated information, and can be dealt with together.

【0062】2つ目は、オリジナル端末の使用者が、攻
撃者または攻撃者に協力する不正なメンバの場合であ
る。オリジナル端末の乱数生成器を複製端末と同期する
ように改変するか、同期する複製端末に入れ替えること
により、オリジナル端末を無効化する。1つ目より、不
正なメンバの協力により成功する可能性が高い。しか
し、不正発覚時に所有する改変した端末または複製端末
により、不正なメンバであることを特定されてしまうた
め、容易に実行できない。また、端末を故障させて常に
同じ乱数を出力させることにより、複製端末と乱数生成
器を同期させる攻撃は、一定期間ログを保存・解析する
ことにより検出できる。
The second is a case where the user of the original terminal is an attacker or an unauthorized member cooperating with the attacker. The original terminal is invalidated by modifying the random number generator of the original terminal so as to synchronize with the duplicate terminal or replacing the original terminal with a synchronous duplicate terminal. First, there is a high likelihood of success with the cooperation of unauthorized members. However, it cannot be easily executed because an unauthorized member is identified by a modified terminal or a duplicated terminal possessed at the time of detecting a fraud. In addition, an attack for synchronizing a duplicate terminal and a random number generator by causing a terminal to fail and always output the same random number can be detected by storing and analyzing a log for a certain period.

【0063】以上の検討より、複製端末発見方法では、
以下の仮定が満たされるとする。このとき、複製端末発
見方法は安全である。 1.攻撃者は複製対象となる端末の秘密鍵を保持する。 2.一時横流し攻撃が可能である。 3.常時横流し攻撃および改変攻撃は困難である。 4.端末に上に定義した乱数生成器が組込まれる。 5.オリジナル端末はメンバにより使用される。 6.共通鍵暗号方式、公開鍵暗号方式、MACおよびディ
ジタル署名方式は安全である。
From the above examination, the duplicate terminal finding method is
Suppose the following assumptions are satisfied: At this time, the duplicate terminal finding method is secure. 1. The attacker holds the secret key of the terminal to be copied. 2. A temporary diversion attack is possible. 3. It is difficult to constantly circumvent and alter attacks. 4. The terminal is equipped with the random number generator defined above. 5. The original terminal is used by the member. 6. The common key cryptosystem, public key cryptosystem, MAC and digital signature system are secure.

【0064】仮定1と2は現実的に起こりうる。一方、
仮定3の攻撃は理論的には可能だが、攻撃者の負担が大
きく、現実的にはあまり起こりえないと予測されるため
考慮しない。仮定3〜5により、オリジナル端末に対す
る入替えや改変は行われず、かつ前述の乱数生成器をメ
ンバが必ず使用すると仮定できる。仮定6については、
共通鍵暗号方式として鍵長128bit程度の共通鍵暗号を利
用し、公開鍵暗号方式として鍵長1024bit程度のRSA暗号
やElGamal暗号や、鍵長160bit程度の楕円ElGamal暗号を
利用し、MACとして鍵長128bit程度の共通鍵暗号や、出
力128bit程度の鍵付きハッシュ関数を利用し、ディジタ
ル署名として鍵長1024bit程度のDSA署名やRSA署名や、
鍵長160bit程度の楕円DSA署名を利用することにより満
たされる。
Assumptions 1 and 2 are realistic. on the other hand,
Although the attack of Assumption 3 is theoretically possible, it is not considered because the burden on the attacker is heavy and it is predicted that it is unlikely to occur in reality. According to assumptions 3 to 5, it can be assumed that no replacement or modification is performed on the original terminal, and that the members always use the above-described random number generator. Assumption 6
Use a common key cryptosystem with a key length of about 128 bits as a common key cryptosystem, use RSA encryption or ElGamal cryptography with a key length of about 1024 bits, or use an elliptical ElGamal cryptography with a key length of about 160 bits as a public key cryptosystem, and use a key length as a MAC Using a common key encryption of about 128 bits and a hash function with a key of about 128 bits output, a DSA signature or RSA signature with a key length of about 1024 bits,
It is satisfied by using an elliptical DSA signature with a key length of about 160 bits.

【0065】一時横流し攻撃に対する安全性について説
明する。攻撃者が入手可能な情報は、オリジナル端末の
秘密鍵と、攻撃に成功した時点のラウンドのセッション
鍵と、対応する乱数である。以上により偽造された単数
または複数の複製端末と、オリジナル端末が存在すると
考える。
The security against a temporary sneak attack will be described. The information available to the attacker is the secret key of the original terminal, the session key of the round at the time of successful attack, and the corresponding random number. It is assumed that one or more duplicated terminals and the original terminal are forged as described above.

【0066】攻撃時点のラウンドのセッション鍵が更新
されたとき、オリジナル端末が先にレスポンスRESを送
信し、後から複製端末がレスポンスRESを送信した場合
は、乱数の違いから複製端末を発見できる。レスポンス
RESを送信しなければ、複製端末はセッション鍵を得ら
れないため、実質的に無効化される。一方、複製端末が
先にレスポンスRESを送信し、後からオリジナル端末が
レスポンスRESを送信した場合は、乱数の違いから複製
端末を発見できる。
When the session key of the round at the time of the attack is updated, if the original terminal transmits the response RES first and the duplicate terminal transmits the response RES later, the duplicate terminal can be found from the difference in the random numbers. response
If the RES is not transmitted, the duplicate terminal cannot obtain the session key, and thus is effectively invalidated. On the other hand, if the duplicate terminal transmits the response RES first and the original terminal transmits the response RES later, the duplicate terminal can be found from the difference in the random numbers.

【0067】つまり、オリジナル端末と複製端末の集合
の内、セッション鍵を得られるのは常に1台であり、こ
の内1台でもレスポンスRESを送信すれば、複製端末を
発見または無効化できる。ここで、前述の仮定により、
集合の内最低1台はレスポンスRESを送信するので、こ
の攻撃に対して複製端末発見方法は安全である。
That is, among the set of the original terminal and the duplicate terminal, only one can obtain the session key at any time, and if at least one of them transmits the response RES, the duplicate terminal can be found or invalidated. Here, according to the above assumption,
Since at least one of the sets transmits a response RES, the method of finding a duplicated terminal is safe against this attack.

【0068】他の攻撃に対する安全性について説明す
る。偽造以外には、レスポンスRESを再送するReplay At
tackがある。レスポンスRESに対して、センタは、共通
鍵により暗号化したセッション鍵を配送するので、通信
量は増加するが、乱数が無ければ復号はできないので問
題ない。また、仮定により、暗号化関数と認証文生成関
数が安全なので、暗号文の解読・レスポンスRESに対す
る成りすまし・改ざんは困難である。改変攻撃で述べた
ような端末を故障させる攻撃に対しては、センタが過去
のデータベースを記録・検査すれば対処できる。したが
って、過去の全てのラウンドのデータベースを保持・検
査することが最も安全であるが、実際にはコストと安全
性のトレードオフで、一定期間のデータベースのみを保
持することになる。センタによる端末の陥れに関して
は、センタが端末の秘密鍵を保持していないために困難
である。
The security against other attacks will be described. Other than forgery, Replay At which resends the response RES
There is tack. In response to the response RES, the center distributes the session key encrypted with the common key, so that the communication volume increases. However, since there is no random number, there is no problem because the communication cannot be decrypted. In addition, since the encryption function and the authentication text generation function are safe by assumption, it is difficult to decrypt the ciphertext and forgery / falsify the response RES. The attack that breaks down the terminal as described in the alteration attack can be dealt with if the center records and inspects the past database. Therefore, it is safest to maintain and inspect the databases of all the past rounds, but in practice, only the database for a certain period is kept due to a trade-off between cost and security. It is difficult for the center to fall into the terminal because the center does not hold the secret key of the terminal.

【0069】第6に、従来技術と比較して違いを説明す
る。本方法は、公開鍵e33bit、法・秘密鍵1024bitのRS
Aとし、従来法は、pを1024bit、qを160bit、ハッシュ
関数の出力を128bitとして比較する。ただし、RSAは一
般に良く用いられる中国人剰余定理により秘密鍵の演算
を高速化する方法の利用を考慮する。演算量は、全パラ
メータ1024bitのベキ乗剰余1回を1として換算する。ま
た、nは端末総数、kは結託しきい値である。共通鍵暗
号・MACの演算量とIDのサイズは無視する。このとき、
本方法はレスポンス検証の演算量以外は従来法より効率
的である。
Sixth, differences from the conventional art will be described. This method uses RS with public key e33bit and legal / private key 1024bit.
In the conventional method, p is 1024 bits, q is 160 bits, and the output of the hash function is 128 bits. However, RSA considers the use of a method to speed up the operation of the secret key by the commonly used Chinese Remainder Theorem. The calculation amount is converted with one power residue of 1024 bits for all parameters as one. Also, n is the total number of terminals, and k is the collusion threshold. Ignore the amount of computation and ID size of common key cryptography / MAC. At this time,
This method is more efficient than the conventional method except for the amount of computation for response verification.

【0070】 従来方法 本方法 チャレンジ通信量 (1024bit×(k+2))×n 128bit×n チャレンジ演算量 0.16×(2k+1) なし レスポンス通信量 2176bit 1024bit レスポンス生成演算量 0.48 0.28 レスポンス検証演算量 0.16 0.28 データベースサイズ 2176bit×n 128bit×nConventional method This method Challenge communication amount (1024bit × (k + 2)) × n 128bit × n Challenge operation amount 0.16 × (2k + 1) None Response communication amount 2176bit 1024bit Response generation operation amount 0.48 0.28 Response verification operation amount 0.16 0.28 Database size 2176bit × n 128bit × n

【0071】上記のように、本発明の第1の実施の形態
では、複製端末発見方法を、センタと複数台の端末が、
個々のセッション鍵で暗号通信する通信網により接続さ
れた通信システムにおいて、センタが各端末に新規セッ
ション鍵を配布する際に、端末で発生した乱数が複製困
難なことを利用して端末IDの重複を検査することで複製
端末を発見する構成としたので、複製端末の存在を自動
的に検出して排除できる。
As described above, according to the first embodiment of the present invention, the method of finding a duplicate terminal includes the steps of:
In a communication system connected by a communication network that performs cryptographic communication using individual session keys, when the center distributes a new session key to each terminal, terminal ID duplication is performed using the fact that random numbers generated at terminals are difficult to duplicate. Is inspected to find a duplicated terminal, so that the presence of the duplicated terminal can be automatically detected and eliminated.

【0072】(第2の実施の形態)本発明の第2の実施
の形態は、センタと複数台の端末が、共通のグループ鍵
により暗号通信する同報通信網により接続された通信シ
ステムにおいて、センタが各端末に新規グループ鍵を配
布する際に、端末で発生した乱数が複製困難なことを利
用して端末IDの重複を検査することで複製端末を発見す
る方法である。
(Second Embodiment) A second embodiment of the present invention relates to a communication system in which a center and a plurality of terminals are connected by a broadcast network that performs cryptographic communication using a common group key. In this method, when a center distributes a new group key to each terminal, a duplicate terminal is detected by checking for duplication of terminal IDs by using the fact that random numbers generated at the terminals are difficult to duplicate.

【0073】図6は、本発明の第2の実施の形態におけ
る複製端末発見方法の流れ図である。図6において、セ
ンタCは、各端末にグループ鍵を配布する局である。通
信路Nは、同報暗号通信可能な無線または有線の通信媒
体である。端末Tiは、センタCとグループ鍵で暗号通
信を行なう通信装置である。端末は複数台あり、iは各
端末にユニークな端末IDである。端末は1台でもよい。
フェーズ#1は、複製端末を発見するための手続きを行
なう段階である。フェーズ#2は、センタCから端末T
iにグループ鍵を配送するための手続きを行なう段階で
ある。本発明の第2の実施の形態における複製端末発見
方法のシステム構成は、基本的に第1の実施の形態と同
じである。
FIG. 6 is a flowchart of a duplicate terminal finding method according to the second embodiment of the present invention. In FIG. 6, a center C is a station that distributes a group key to each terminal. The communication path N is a wireless or wired communication medium capable of broadcast encryption communication. The terminal T i is a communication device that performs encrypted communication with the center C using a group key. There are a plurality of terminals, and i is a terminal ID unique to each terminal. The number of terminals may be one.
Phase # 1 is a step of performing a procedure for finding a duplicate terminal. Phase # 2 is from terminal C to terminal T
In this step, the procedure for delivering the group key to i is performed. The system configuration of the duplicate terminal discovery method according to the second embodiment of the present invention is basically the same as that of the first embodiment.

【0074】図7は、本発明の第2の実施の形態におけ
る複製端末発見方法の複製端末発見フェーズ(フェーズ
#1)の流れ図である。図8は、本発明の第2の実施の
形態における複製端末発見方法のグループ鍵配送フェー
ズ(フェーズ#2)の流れ図である。
FIG. 7 is a flowchart of the duplicate terminal discovery phase (phase # 1) of the duplicate terminal discovery method according to the second embodiment of the present invention. FIG. 8 is a flowchart of the group key distribution phase (phase # 2) of the duplicate terminal finding method according to the second embodiment of the present invention.

【0075】上記のように構成された本発明の第2の実
施の形態における複製端末発見方法の動作を説明する。
最初に、図6を参照して、複製端末発見方法の全体の動
作を説明する。準備段階において、信頼できるセンタC
は、自身のセンタ秘密鍵Scとセンタ公開鍵Ycと、各端
末の端末秘密鍵Siを生成して、各端末に、対応する端
末秘密鍵Siとセンタ公開鍵Ycを秘密に配布する。
The operation of the duplicate terminal finding method according to the second embodiment of the present invention configured as described above will be described.
First, the overall operation of the duplicate terminal finding method will be described with reference to FIG. In the preparation stage, a reliable center C
Is, and its own center secret key Sc and the center public key Yc, to generate a terminal secret key S i of each terminal, to each terminal, the corresponding terminal secret key S i and the center public key Yc be distributed to the secret.

【0076】複製端末発見方法は、複製端末発見フェー
ズとグループ鍵配送フェーズの2つのフェーズからな
る。複製端末発見フェーズ(フェーズ#1)では、セン
タCは、チャレンジ-レスポンス認証により、端末T
iと、その端末TiがセンタCの公開鍵により暗号化して
送信した端末乱数Ri bを認証する。この端末乱数Ri b
用いて、端末Tiと共通鍵を共有する。センタCは、デ
ータベースを検索して、端末IDの重複を検査する。同一
端末IDを持ち、異なる端末乱数を送信した端末Ti'を検
出すると、この端末IDを持つオリジナル端末Tiの複製
端末が存在すると判定できる。グループ鍵配送フェーズ
(フェーズ#2)では、センタCは、複製端末のない端
末Tiに対して、グループ鍵GKbを共通鍵CKi bにより暗号
化して配送する。第1の実施の形態と表現を合わせるた
めに、チャレンジ-レスポンス認証による形態を示した
が、本発明においては、センタによるチャレンジは必須
でないため、実装するシステムにおける制限や安全性よ
り効率を重視する場合は、センタはチャレンジを送信し
なくても構わない。
The duplicate terminal discovery method includes two phases, a duplicate terminal discovery phase and a group key distribution phase. In the duplicate terminal discovery phase (phase # 1), the center C performs the terminal T
and i, the terminal T i to authenticate the terminal random number R i b which is sent encrypted with the public key of the center C. Using this terminal random number R i b, sharing a common key with the terminal T i. The center C searches the database and checks for duplicate terminal IDs. When a terminal T i ′ having the same terminal ID and transmitting a different terminal random number is detected, it can be determined that a duplicate terminal of the original terminal T i having this terminal ID exists. In group key distribution phase (phase # 2), center C, to the no replication terminal terminal T i, delivers encrypted group key GK b by the common key CK i b. In order to match the expression with the first embodiment, a form using challenge-response authentication has been described. However, in the present invention, since a challenge by the center is not essential, efficiency is more important than restrictions and security in a system to be mounted. In that case, the center does not have to send the challenge.

【0077】複製端末発見フェーズ(フェーズ#1)に
おいて、センタCは、全端末に、同報通信網Nを用い
て、共通のチャレンジCHAを同報する。各端末が、共通
のチャレンジCHAに対して、個別のレスポンスRESを返
す。
In the duplicate terminal discovery phase (phase # 1), the center C broadcasts a common challenge CHA to all terminals using the broadcast network N. Each terminal returns an individual response RES to the common challenge CHA.

【0078】チャレンジ-レスポンス認証を説明する。
端末は、センタからの全端末共通のセンタ乱数Zbと、
自身が生成した端末乱数Ri bに対して、自身の端末秘密
鍵により生成したMACをレスポンスRESとして、センタに
送信する。これをセンタが検証することにより、端末と
その端末乱数Ri bを認証する。ここで、センタは、端末
とその端末乱数との対応を確認する。MACでは、センタ
が全端末の端末秘密鍵を保管する必要があるが、処理が
軽い。同報通信網を利用したことにより、チャレンジCH
Aを、各端末で共通化できる。
The challenge-response authentication will be described.
Terminal, and the total terminal common center random Z b of the center,
Against itself generated terminal random number R i b, and transmits the MAC generated by its own terminal secret key as a response RES, to the center. By this center to verify, authenticate the terminal and the terminal random number R i b. Here, the center checks the correspondence between the terminal and the terminal random number. In the MAC, the center needs to store the terminal secret keys of all terminals, but the processing is light. Challenge CH by using broadcast network
A can be shared by each terminal.

【0079】端末乱数Ri bの暗号化を説明する。同じ端
末秘密鍵を保持する複製端末に対して、端末乱数を秘密
にするため、センタ公開鍵により端末乱数を暗号化す
る。または、Diffie-Hellman鍵共有法のような乱数を用
いた方法により共有した鍵を、端末乱数の代わりに利用
する。
[0079] described the encryption of the terminal random number R i b. The terminal random number is encrypted with the center public key in order to keep the terminal random number secret from the duplicate terminal holding the same terminal secret key. Alternatively, a key shared by a method using a random number such as the Diffie-Hellman key sharing method is used instead of the terminal random number.

【0080】データベースの検索を説明する。センタ
は、データベースを検索して、端末T iに、既にグルー
プ鍵GKbを配送済み(端末乱数Ri b’が登録されてい
る)か確認する。配送済みならば、配送に使用した端末
乱数Ri b’と、送信されてきた端末乱数Ri bを比較し
て、不一致ならば、端末Tiの複製端末が存在すると判
断する。端末Tiは、同一ラウンドでは同じ乱数を用い
るので、複製端末が存在しない限り、異なる端末乱数R
i bを用いたレスポンスRESは来ない。ただし、端末乱数
i b’と端末乱数Ri bのどちらが複製端末の乱数である
かは区別できない。また、複製端末が複数ならば、端末
乱数Ri b’と端末乱数Ri bが共に複製端末の端末乱数で
ある可能性があるが、いずれの場合でも、複製端末発見
方法により複製端末を発見できる。
The search of the database will be described. center
Searches the database and finds terminal T iAlready glue
Key GKbHas been delivered (terminal random number Ri b’Is registered
Check). If delivered, the terminal used for delivery
Random number Ri b’And the transmitted terminal random number Ri bCompare
If they do not match, the terminal TiIt is determined that a duplicate terminal exists.
Refuse. Terminal TiUses the same random number in the same round
Therefore, unless a duplicate terminal exists, a different terminal random number R
i bNo response RES using. However, the terminal random number
Ri b’And terminal random number Ri bIs the random number of the duplicate terminal
Cannot be distinguished. If there are multiple duplicate terminals,
Random number Ri b’And terminal random number Ri bAre both terminal random numbers of the duplicate terminal
There may be, but in any case, duplicate terminal discovery
A duplicate terminal can be found by the method.

【0081】共通鍵CKi bの生成を説明する。センタは、
正しく認証され、かつ複製端末が発見されない端末と、
その乱数により共通鍵を共有する。ここで、共通鍵の生
成には、センタと端末乱数の保持者のみが生成できる方
法を使用する必要がある。最も単純な方法は、端末乱数
をそのまま共通鍵として用いる方法である。
The generation of the common key CK i b will be described. The center is
Terminals that are correctly authenticated and whose duplicate terminals are not found,
The common key is shared by the random number. Here, for generating the common key, it is necessary to use a method that can be generated only by the center and the holder of the terminal random number. The simplest method is to use the terminal random number as a common key.

【0082】グループ鍵配送フェーズ(フェーズ#2)
において、センタCは、複製端末のない端末Tiに対し
て、グループ鍵GKbを共通鍵CKi bにより暗号化して配送
する。グループ鍵GKbの暗号化を説明する。センタは、
共通鍵CKi bを用いて、グループ鍵GKbを暗号化する。端
末Tiは、センタと同様に、端末乱数Ri bより共通鍵CKi
bを生成する。共通鍵CKi bで、グループ鍵GKbを復号す
る。端末秘密鍵Siが漏洩しても、端末乱数Ri bがなけ
れば、共通鍵CKi bを生成できないため、オリジナル端末
と複製端末の集合の中で、グループ鍵GKbを得ることが
できるのは1台のみとなる。また、必要であればMACを
併用して、改ざんや成りすましを検出する機能を追加で
きる。
Group Key Distribution Phase (Phase # 2)
, The center C encrypts the group key GK b with the common key CK i b and delivers it to the terminal T i having no copy terminal. Explaining the encryption of the group key GK b. The center is
By using the common key CK i b, to encrypt the group key GK b. The terminal T i , like the center, receives the common key CK i from the terminal random number R i b.
Generate b . In the common key CK i b, to decrypt the group key GK b. Even if the terminal secret key S i is leaked, the common key CK i b cannot be generated without the terminal random number R i b, so that the group key GK b can be obtained from the set of the original terminal and the duplicate terminal. There is only one. If necessary, a function for detecting tampering or impersonation can be added by using a MAC.

【0083】グループ鍵GKbの更新を説明する。センタ
は、一時横流しによるグループ鍵の漏洩に対処するため
に、定期的にグループ鍵を更新して複製端末発見方法を
実行する必要がある。この期間が短いほど、早く複製端
末を発見・無効化できる。
[0083] described the update of the group key GK b. The center needs to periodically update the group key and execute the duplicate terminal discovery method in order to cope with the leakage of the group key due to the temporary passing. The shorter this period is, the sooner the duplicate terminal can be found and invalidated.

【0084】グループ鍵GKbが複数の場合を説明する。
グループ鍵の種類が複数の場合は、各端末は、同一ラウ
ンドであれば同じ乱数を用いて、グループ鍵の種類を指
定したレスポンスRESを送信する。センタは、データベ
ースより、端末乱数が同じことを確認して、端末が指定
したグループ鍵を、同じ乱数により暗号化して配送す
る。
[0084] group key GK b will be described a case of multiple.
When there are a plurality of types of group keys, each terminal transmits a response RES specifying the type of the group key using the same random number in the same round. The center confirms that the terminal random numbers are the same from the database, encrypts the group key specified by the terminal using the same random number, and delivers the encrypted group key.

【0085】未受信対策を説明する。端末が電源オフや
通信できない地域へ移動したことなどにより、チャレン
ジCHAやグループ鍵を受信できない場合のために、現在
のラウンド番号をセンタに問い合わせる機能を端末に付
加し、ラウンドが進んでいる場合に、端末はセンタに再
送を要求する。
The measures against non-reception will be described. When the terminal is turned off or moved to an area where communication is not possible, a challenge CHA or group key cannot be received. , The terminal requests retransmission to the center.

【0086】以上のようにすることにより、複製端末を
発見できる。正規の端末が先にレスポンスRESを送信
し、複製端末がレスポンスRESを送信しない場合には、
複製端末は発見できないが、複製端末はグループ鍵を得
ることができないので、実質的に無効化することができ
る。第1の実施の形態との違いは、ディジタル署名の代
わりにMACを使用しているため、処理が高速であるこ
と、同報通信網の利用により、チャレンジCHAを各端末
で共通化できるので、通信量が少ないこと、セッション
鍵の代わりにグループ鍵を配送していることである。安
全性の違いは、センタは各端末の端末秘密鍵を保管する
ため、信頼できる機関であることが必要である点であ
る。
As described above, a duplicate terminal can be found. If the legitimate terminal sends the response RES first and the duplicate terminal does not send the response RES,
Although the duplication terminal cannot be found, the duplication terminal cannot obtain the group key, and thus can be substantially revoked. The difference from the first embodiment is that, since a MAC is used instead of a digital signature, the processing is fast and the challenge CHA can be shared by each terminal by using a broadcast network. That is, the communication volume is small, and the group key is delivered instead of the session key. The difference in security is that the center needs to be a trusted organization to store the terminal private key of each terminal.

【0087】第2に、図2、図3、図7を参照しなが
ら、複製端末発見(フェーズ#1)の各手順を説明す
る。図7のフェーズ#1−1で、センタCは、図2の乱
数生成手段1によりセンタ乱数Zbを生成し、全端末
に、グループ鍵の更新通知を兼ねるチャレンジ CHAb=Zb を、送信手段2により送信する。ただし、上付きのbは
ラウンド番号であり、ベキ乗の意味ではない。ラウンド
は、グループ鍵の有効期間である。
Second, each procedure of duplicate terminal discovery (phase # 1) will be described with reference to FIG. 2, FIG. 3, and FIG. In phase # 1-1 of Figure 7, the center C generates a center random number Z b by the random number generator 1 in FIG. 2, in all terminals, Challenge CHA b = Z b serving as the update notification group key, transmits Transmit by means 2. However, the superscript b is a round number and does not mean a power. A round is the validity period of a group key.

【0088】フェーズ#1−2で、各端末Tiは、図3
の乱数生成手段1により、端末乱数Ri bを生成する。認
証文生成手段10により、自身の端末秘密鍵Siを用い
て、端末IDであるiと、センタCからのチャレンジCHAb
であるセンタ乱数Zbと、端末乱数Ri bとに対するMAC
(Message Authentication Code:メッセージ認証符
号)を生成して、端末認証文Di bとする。すなわち、 Di b=MAC(Si,(i‖Zb‖Ri b)) を生成する。ただし、MAC(x,y)は、鍵xを使って、y
のメッセージ認証符号を計算することを示す。公開鍵暗
号化手段11により、センタCのセンタ公開鍵Ycを用い
て、端末IDと、端末乱数Ri bと、端末認証文Di bとに対
する端末暗号文 Ei b=Yc[i‖Ri b‖Di b] =Yc[i‖Ri b‖MAC(Si,(i‖Zb‖Ri b))] を生成する。これを、センタCに、セッション鍵要求通
知を兼ねるレスポンス RESi b=Ei b=Yc[i‖Ri b‖Di b] =Yc[i‖Ri b‖MAC(Si,(i‖Zb‖Ri b))] として、送信手段2により送信する。
In phase # 1-2, each terminal T i
The random number generator 1 generates a terminal random number R i b. The authentication statement generation means 10 uses the terminal secret key S i of its own and the terminal ID i and the challenge CHA b from the center C.
MAC for the center random number Z b and the terminal random number R i b
(Message Authentication Code: message authentication code) to generate, and the terminal authentication statement D i b. That, D i b = MAC (S i, (i‖Z b ‖R i b)) to generate a. However, MAC (x, y) uses key x and y
Is calculated. The public key encryption unit 11, using the center public key Yc of the center C, the terminal ID and the terminal random number R i b and the terminal ciphertext for the terminal authentication statement D i b E i b = Yc [i‖R i b ‖D i b] = Yc [i‖R i b ‖MAC (S i, (i‖Z b ‖R i b)) for generating a. This, the center C, the response also serves as a session key request notification RES i b = E i b = Yc [i‖R i b ‖D i b] = Yc [i‖R i b ‖MAC (S i, (i as ‖Z b ‖R i b))] , it is transmitted by the transmitting means 2.

【0089】フェーズ#1−3で、図2のセンタCは、
図示しない受信手段により、端末T iからのレスポンスR
ESi bを受信する。公開鍵暗号復号手段3により、自身の
センタ秘密鍵Scを使って、レスポンスRESi bを復号し
て、端末乱数Ri bを得る。認証文検証手段4により、端
末Tiの端末秘密鍵Siを用いて、端末認証文Di bを検証
する。検証結果が正しい場合は、端末Tiと端末乱数Ri
bを認証したとして受付けて、フェーズ#1−4へ進
む。検証結果が不正の場合は、プロトコルを終了する。
In phase # 1-3, the center C in FIG.
The terminal T is received by a receiving unit (not shown). iResponse R from
ESi bTo receive. The public key decryption means 3
Response RES using center secret key Sci bDecrypt
And the terminal random number Ri bGet. The authentication statement verification means 4
End TiTerminal secret key SiUsing the terminal authentication statement Di bVerify
I do. If the verification result is correct, the terminal TiAnd terminal random number Ri
bAnd proceed to phase # 1-4.
No. If the verification result is invalid, the protocol ends.

【0090】フェーズ#1−4で、センタCは、端末ID
と、グループ鍵の配送に用いた乱数とを関連付けて登録
したデータベースが格納されているデータベース手段5
を、検出手段6により、端末IDをキーとして参照する。
グループ鍵GKbが未配送(端末乱数が登録されていな
い)の場合は、データベースに、端末乱数Ri bを記録し
て、フェーズ#1-5へ進む。グループ鍵GKbが配送済み
(端末乱数が登録されている)の場合は、データベース
に記録された端末乱数Ri b’と、受信した端末乱数Ri b
が等しいなら、フェーズ#1-5へ進む。異なるなら、
複製端末を発見したと判断して、プロトコルを終了す
る。
In phase # 1-4, the center C receives the terminal ID
Database means 5 storing a database in which the database is registered in association with a random number used for delivering the group key.
Is referred to by the detecting means 6 using the terminal ID as a key.
If the group key GK b is undelivered (terminal random number is not registered), in the database, and record the terminal random number R i b, the process proceeds to Phase # 1-5. If the group key GK b has been delivered (terminal random number is registered), the terminal random number R i b ′ recorded in the database and the received terminal random number R i b
If are equal, proceed to phase # 1-5. If different,
It determines that a duplicate terminal has been found, and terminates the protocol.

【0091】フェーズ#1−5で、センタCは、共通鍵
生成手段7により、端末乱数Ri bを共通鍵CKi bとする。
[0091] In phase # 1-5, the center C is the common key generation unit 7, the terminal random number R i b and the common key CK i b.

【0092】第3に、図2、図3、図8を参照しなが
ら、グループ鍵配送(フェーズ#2)の各手順を説明す
る。図8に示すフェーズ#2−1で、センタCは、共通
鍵暗号化手段8により、共通鍵CKi bを用いて、グループ
鍵GKbを暗号化したセンタ暗号文 ECi b=CKi b[GKb] を生成して、送信手段2により、端末Tiに送信する。
Third, each procedure of group key distribution (phase # 2) will be described with reference to FIGS. 2, 3, and 8. In phase # 2-1 shown in FIG. 8, the center C is the common key encryption means 8, the common key CK i b using a center ciphertext by encrypting the group key GK b EC i b = CK i b generates a [GK b], the transmission unit 2 to the terminal T i.

【0093】フェーズ#2−2で、図3の端末Tiは、
図示していない受信手段により、センタ暗号文ECi b(=
CKi b[GKb])を受信する。共通鍵暗号復号手段9によ
り、端末乱数Ri bを共通鍵CKi bとし、センタ暗号文ECi b
(=CKi b[GKb])を復号して、グループ鍵GKbを得る。端
末Tiが、センタ暗号文ECi b(=CKi b[GKb])を受信でき
なかった場合は、フェーズ#1-2において生成したレ
スポンスRESを、センタCに再送する。
In phase # 2-2, terminal T i of FIG.
The center ciphertext EC i b (=
CK i b [GK b ]) is received. The common key decryption means 9, a terminal random number R i b and common key CK i b, center ciphertext EC i b
(= CK i b [GK b ]) to obtain the group key GK b . Terminal T i is the case of not receiving a center ciphertext EC i b (= CK i b [GK b]), a response RES generated in phase # 1-2, retransmits the center C.

【0094】従来技術と比較して違いを説明する。 従来方法 本方法 条件 チャレンジ通信量 1024bit×(k+2) 128bit チャレンジ演算量 0.16×(2k+1) なし レスポンス通信量 2176bit 1024bit レスポンス生成演算量 0.48 0.03 レスポンス検証演算量 0.16 0.25 本方法の検証はMAC データベースサイズ 2176bit×n 128bit×nThe difference from the prior art will be described. Conventional method This method Condition Challenge communication amount 1024bit × (k + 2) 128bit Challenge operation amount 0.16 × (2k + 1) None Response communication amount 2176bit 1024bit Response generation operation amount 0.48 0.03 Response verification operation amount 0.16 0.25 Verification of this method is MAC Database size 2176bit × n 128bit × n

【0095】本方法では、レスポンス検証の演算量以外
は従来法より効率的である。特に、センタが信頼でき、
かつ全体の通信量と端末の演算量が少ないという条件は
移動体通信に適している。RSAの代わりに楕円ElGamal暗
号を用いることにより通信量をさらに削減することがで
きるが、端末の演算量はRSAの場合より増加する。従来
法では、PKIにおける端末の公開鍵の証明書を検証する
必要がない点が利点としてあるが、センタは予め検証し
た公開鍵を保管しておくことが可能なので、証明書の検
証の演算量は無視できる。
The present method is more efficient than the conventional method except for the operation amount of the response verification. In particular, the center is reliable,
The condition that the total communication amount and the operation amount of the terminal are small is suitable for mobile communication. The communication volume can be further reduced by using the elliptical ElGamal encryption instead of the RSA, but the calculation amount of the terminal increases more than in the case of the RSA. The conventional method has the advantage that there is no need to verify the certificate of the terminal's public key in the PKI, but the center can store the verified public key in advance, so the amount of computation for certificate verification is Can be ignored.

【0096】グループに属する端末数が多いグループ通
信システムにおいて、グループ鍵GK bを配布中に複製端
末を発見した場合、現在のグループ鍵GKb-1を用いた暗
号通信を中止し、早期にGKbを用いた暗号通信を再開す
る必要がある。しかしながら、グループ鍵GKbの配布
に、端末ごとに双方向通信を必要とし、全端末にグルー
プ鍵GKbを配布完了するまでに時間がかかる場合があ
る。そこで、残りの端末の複製端末の検査は後回しとし
て、未検査の端末Tiに対して、端末秘密鍵Siまたは端
末公開鍵Yiによりグループ鍵GKbを暗号化して配布する
ことにより、高速に配布することが可能となる。
Group communication with a large number of terminals belonging to a group
Group key GK bThe distribution end during distribution
If found, the current group key GKb-1Dark using
Canceled communication and early GKbResumes encrypted communication using
Need to be However, the group key GKbDistribution
Requires two-way communication for each terminal,
Key GKbMay take some time to complete distribution
You. Therefore, the inspection of the duplicate terminal of the remaining terminals is postponed.
And the untested terminal TiFor the terminal secret key SiOr end
End public key YiBy group key GKbAnd encrypt and distribute
As a result, it is possible to distribute at high speed.

【0097】上記のように、本発明の第2の実施の形態
では、複製端末発見方法を、センタと複数台の端末が、
共通のグループ鍵により暗号通信する同報通信網により
接続された通信システムにおいて、センタが各端末に新
規グループ鍵を配布する際に、端末で発生した乱数が複
製困難なことを利用して端末IDの重複を検査することで
複製端末を発見する構成としたので、複製端末の存在を
自動的に検出して排除して、グループ鍵を配布できる。
As described above, according to the second embodiment of the present invention, the method for finding a duplicated terminal includes the steps of:
In a communication system connected by a broadcast network that performs cryptographic communication using a common group key, when the center distributes a new group key to each terminal, it uses the fact that random numbers generated at the terminals are difficult to duplicate, and the terminal ID is used. Since the configuration is such that duplicate terminals are found by checking for duplication, the existence of the duplicate terminals is automatically detected and eliminated, and the group key can be distributed.

【0098】[0098]

【発明の効果】以上の説明から明らかなように、本発明
では、センタと複数台の端末を含む通信システムの複製
端末発見方法を、センタで、ラウンドごとにセンタ乱数
を生成し、前回ラウンドにおける秘密情報の更新通知と
センタ乱数をチャレンジとして端末に送信し、端末で、
チャレンジを受信し、ラウンドごとの端末乱数を生成
し、センタ乱数と端末乱数に対する端末認証文を端末秘
密鍵により生成し、端末認証文と端末乱数とをセンタ公
開鍵で暗号化して端末暗号文としてセンタに送信し、セ
ンタCで、センタ秘密鍵で端末暗号文を復号して端末認
証文と端末乱数とを得て、端末公開鍵で端末認証文を検
証し、秘密情報の配送に使用した端末乱数と、端末ID
とを、対応させて登録したデータベースを検索して、同
一端末IDでかつ異なる端末乱数が登録されている重複
登録の有無を検査し、端末認証文の検証結果が正しく、
かつ重複登録が無い端末の端末乱数をデータベースに登
録し、この端末乱数を用いて、共通鍵を生成し、共通鍵
により秘密情報を暗号化してセンタ暗号文として端末に
送信し、端末で、センタ暗号文を受信し、端末乱数から
共通鍵を生成し、センタ暗号文を共通鍵により復号して
秘密情報を得る構成としたので、センタは自動的に複製
端末の存在を検知でき、発見を恐れて複製端末が乱数を
送らない場合には、複製端末は秘密情報を入手できない
ので無効化することができるという効果が得られる。
As is apparent from the above description, according to the present invention, a method for finding a duplicate terminal in a communication system including a center and a plurality of terminals is described. The secret information update notification and the center random number are sent to the terminal as a challenge.
Receiving the challenge, generating a terminal random number for each round, generating a terminal random number and a terminal authentication statement for the terminal random number using a terminal private key, encrypting the terminal authentication statement and the terminal random number with the center public key to generate a terminal cipher text The terminal transmits to the center, the center C decrypts the terminal cipher text with the center secret key, obtains the terminal authentication text and the terminal random number, verifies the terminal authentication text with the terminal public key, and uses the terminal used for delivery of secret information. Random number and terminal ID
Is searched in the database registered in correspondence with the same terminal ID and different terminal random numbers are registered for the presence or absence of duplicate registration, the verification result of the terminal authentication statement is correct,
In addition, the terminal random number of the terminal having no duplicate registration is registered in the database, a common key is generated using the terminal random number, secret information is encrypted with the common key, and transmitted to the terminal as a center ciphertext. The center receives the ciphertext, generates a common key from the terminal random numbers, and decrypts the center ciphertext with the common key to obtain secret information. If the duplication terminal does not send a random number, the duplication terminal cannot obtain the secret information, so that there is an effect that the duplication terminal can be invalidated.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明の第1の実施の形態における複製端末発
見方法の流れ図、
FIG. 1 is a flowchart of a duplicate terminal discovery method according to a first embodiment of the present invention;

【図2】本発明の第1の実施の形態における複製端末発
見方法で使用するセンタの構成図、
FIG. 2 is a configuration diagram of a center used in a duplicate terminal discovery method according to the first embodiment of the present invention;

【図3】本発明の第1の実施の形態における複製端末発
見方法で使用する端末の構成図、
FIG. 3 is a configuration diagram of a terminal used in a duplicate terminal discovery method according to the first embodiment of the present invention;

【図4】本発明の第1の実施の形態における複製端末発
見方法の複製端末発見フェーズ(フェーズ#1)の流れ
図、
FIG. 4 is a flowchart of a duplicate terminal discovery phase (phase # 1) of the duplicate terminal discovery method according to the first embodiment of the present invention;

【図5】本発明の第1の実施の形態における複製端末発
見方法のセッション鍵配送フェーズ(フェーズ#2)の
流れ図、
FIG. 5 is a flowchart of a session key distribution phase (phase # 2) of the duplicate terminal finding method according to the first embodiment of the present invention;

【図6】本発明の第2の実施の形態における複製端末発
見方法の流れ図、
FIG. 6 is a flowchart of a duplicate terminal discovery method according to the second embodiment of the present invention;

【図7】本発明の第2の実施の形態における複製端末発
見方法の複製端末発見フェーズ(フェーズ#1)の流れ
図、
FIG. 7 is a flowchart of a duplicate terminal discovery phase (phase # 1) of the duplicate terminal discovery method according to the second embodiment of the present invention;

【図8】本発明の第2の実施の形態における複製端末発
見方法のグループ鍵配送フェーズ(フェーズ#2)の流
れ図である。
FIG. 8 is a flowchart of a group key distribution phase (phase # 2) of the duplicate terminal finding method according to the second embodiment of the present invention.

【符号の説明】[Explanation of symbols]

1 乱数生成手段 2 送信手段 3 公開鍵暗号復号手段 4 認証文検証手段 5 データベース手段 6 検出手段 7 共通鍵生成手段 8 共通鍵暗号化手段 9 共通鍵暗号復号手段 10 認証文生成手段 11 公開鍵暗号化手段 REFERENCE SIGNS LIST 1 random number generation means 2 transmission means 3 public key encryption / decryption means 4 authentication text verification means 5 database means 6 detection means 7 common key generation means 8 common key encryption means 9 common key encryption / decryption means 10 authentication text generation means 11 public key encryption Means

───────────────────────────────────────────────────── フロントページの続き (72)発明者 松崎 なつめ 神奈川県横浜市港北区新横浜三丁目20番8 号 株式会社高度移動通信セキュリティ技 術研究所内 (72)発明者 松本 勉 神奈川県横浜市青葉区柿の木台13−45 Fターム(参考) 5B017 AA03 BA07 5B085 AE29 5J104 AA07 AA08 AA09 AA16 AA18 BA03 EA06 EA18 KA02 KA06 LA01 LA06 NA02 NA03  ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Natsume Matsuzaki 3-20-8 Shin-Yokohama, Kohoku-ku, Yokohama-shi, Kanagawa Prefecture Inside Advanced Mobile Communication Security Technology Research Institute, Inc. (72) Inventor Tsutomu Matsumoto Aoba-ku, Yokohama-shi, Kanagawa Persimmon wood stand 13-45 F term (reference) 5B017 AA03 BA07 5B085 AE29 5J104 AA07 AA08 AA09 AA16 AA18 BA03 EA06 EA18 KA02 KA06 LA01 LA06 NA02 NA03

Claims (18)

【特許請求の範囲】[Claims] 【請求項1】 センタCとn台(nは自然数)の端末T
i(iは端末ID)を含む通信システムの複製端末発見
方法において、 前記端末Tiは、ラウンドbにおける端末乱数Ri b(上
付きbはラウンド番号を示す添字)を生成し、前記端末
乱数Ri bに対する端末認証文Di bを端末秘密鍵Siによ
り生成し、前記端末認証文Di bと前記端末乱数Ri bとを
センタ公開鍵Ycで暗号化して端末暗号文Ei bとして前
記センタCに送信し、 前記センタCは、センタ秘密鍵Scで前記端末暗号文Ei
bを復号して前記端末認証文Di bと前記端末乱数Ri b
を得て、端末公開鍵Yi(センタが端末秘密鍵を管理し
ている場合は端末秘密鍵Si)で前記端末認証文Di b
検証し、ラウンドごとに、秘密情報の配送に使用した前
記端末乱数Ri bと、前記端末Tiの端末IDとを、対応
させて登録したデータベースを検索して、同一端末ID
でかつ異なる端末乱数が登録されている重複登録の有無
を検査し、前記端末認証文Di bの検証結果が正しく、か
つ前記重複登録が無い前記端末Tiの前記端末乱数Ri b
と前記端末IDを前記データベースに登録し、この端末
乱数Ri bを用いて、前記共通鍵CKi bを生成し、前記共
通鍵CKi bにより秘密情報Ki bを暗号化してセンタ暗号
文ECi bとして前記端末Tiに送信し、 前記端末Tiは、前記センタ暗号文ECi bを受信し、前
記端末乱数Ri bから共通鍵CKi bを生成し、前記センタ
暗号文ECi bを前記共通鍵CKi bにより復号して前記秘
密情報Ki bを得ることを特徴とする複製端末発見方法。
1. A center C and n terminals T (n is a natural number)
i (where i is a terminal ID), the terminal T i generates a terminal random number R i b (superscript b is a subscript indicating a round number) in round b, and the terminal random number R i b terminal authentication statement D i b generated by the terminal secret key S i with respect to the terminal authentication statement D i b and the terminal random number R i and b encrypted with center public key Yc terminal ciphertext E i b To the center C, and the center C transmits the terminal ciphertext E i with the center secret key Sc.
b to obtain the terminal authentication text D ib and the terminal random number R ib , and use the terminal public key Y i (or the terminal secret key S i when the center manages the terminal secret key) to obtain the terminal authentication text D i b and the terminal random number R i b. verifies the terminal authentication statement D i b, for each round, and the terminal random number R i b used for delivery of confidential information, and a terminal ID of the terminal T i, by searching the database registered in correspondence, Same terminal ID
In and different terminal random number checks for duplicate registration that has been registered, the terminal random number R i b of the verification result of the terminal authentication statement D i b are correct and the duplicate registration is not the terminal T i
The terminal ID registered in the database as, by using this device random number R i b, the common key CK i b generates the common key CK i b by the secret information K i b the encrypted center ciphertext transmitted to the terminal T i as EC i b, the terminal T i, the center receives the ciphertext EC i b, generates a common key CK i b from the terminal random number R i b, the center ciphertext EC replication terminal discovery method characterized by obtaining the secret information K i b a i b and decrypted by the common key CK i b.
【請求項2】 センタCとn台(nは自然数)の端末T
i(iは端末ID)を含む通信システムの複製端末発見
方式において、 前記端末Tiは、ラウンドbにおける端末乱数Ri b(上
付きbはラウンド番号を示す添字)を生成する端末乱数
生成手段と、前記端末乱数Ri bに対する端末認証文Di b
を端末秘密鍵Siにより生成する認証文生成手段と、前
記端末認証文Di bと前記端末乱数Ri bをセンタ公開鍵Y
cで暗号化して端末暗号文Ei bを生成する公開鍵暗号化
手段と、前記端末暗号文Ei bを送信する端末側送信手段
と、前記端末乱数Ri bから共通鍵CKi bを生成する端末
側共通鍵生成手段と、秘密情報Ki bを前記共通鍵CKi b
により暗号化したセンタ暗号文ECi bを前記共通鍵CK
i bにより復号化する共通鍵暗号復号手段とを備え、 前記センタCは、センタ秘密鍵Scで前記端末暗号文Ei
bを復号して前記端末認証文Di bと前記端末乱数Ri b
得る公開鍵暗号復号手段と、前記端末認証文D i bを端末
公開鍵Yi(センタが端末秘密鍵を管理している場合は
端末秘密鍵Si)で検証する認証文検証手段と、ラウン
ドごとに、秘密情報の配送に使用した前記端末乱数Ri b
と前記端末Tiの端末IDとを対応させて登録するデー
タベース手段と、前記データベースを検索して同一端末
IDでかつ異なる端末乱数が登録されている重複登録を
検出する検出手段と、前記端末認証文Di bの検証結果が
正しく、かつ前記重複登録が無い前記端末Tiの前記端
末乱数Ri bを用いて前記共通鍵CKi bを生成するセンタ
側共通鍵生成手段と、前記共通鍵CKi bにより秘密情報
i bを暗号化した前記センタ暗号文ECi bを生成する共
通鍵暗号化手段と、前記センタ暗号文ECi bを前記端末
iに送信する送信手段とを備えたことを特徴とする複
製端末発見方式。
2. A center C and n terminals T (n is a natural number)
iFinding duplicate terminal of communication system including (i is terminal ID)
In the scheme, the terminal TiIs the terminal random number R in round bi b(Up
Append b is a subscript indicating the round number) Terminal random number that generates
Generating means, and the terminal random number Ri bAuthentication statement D fori b
To the terminal secret key SiAuthentication statement generation means generated by
Terminal authentication statement Di bAnd the terminal random number Ri bTo the center public key Y
Encrypt with c and encrypt the terminal Ei bPublic key encryption to generate
Means and said terminal ciphertext Ei bTerminal transmitting means for transmitting
And the terminal random number Ri bFrom the common key CKi bTerminal that generates
Side common key generation means and secret information Ki bTo the common key CKi b
Center ciphertext EC encrypted byi bTo the common key CK
i bAnd a common key encryption / decryption means for decrypting the terminal ciphertext E with a center secret key Sc.i
bTo decrypt the terminal authentication statement Di bAnd the terminal random number Ri bTo
Public key encryption / decryption means for obtaining the terminal authentication statement D i bThe terminal
Public key Yi (if the center manages the terminal secret key,
Terminal secret key Si) And the authentication statement verification means
Terminal random number R used for delivery of secret informationi b
And the terminal TiData to be registered in association with the terminal ID of
Database means and the same terminal by searching the database
Duplicate registration with ID and different terminal random numbers registered
Detecting means for detecting, and the terminal authentication statement Di bThe verification result of
The terminal T that is correct and has no duplicate registrationiThe end of
Terminal random number Ri bUsing the common key CKi bCenter that generates
Side common key generation means, and the common key CKi bBy confidential information
Ki bThe center ciphertext EC obtained by encryptingi bGenerate
Key-pass encryption means, and the center ciphertext ECi bThe terminal
TiTransmission means for transmitting to the
Terminal discovery method.
【請求項3】 前記認証文生成手段および前記認証文検
証手段を、ディジタル署名を用いる手段としたことを特
徴とする請求項2記載の複製端末発見方式。
3. The duplicate terminal discovery method according to claim 2, wherein said authentication text generation means and said authentication text verification means use a digital signature.
【請求項4】 前記認証文生成手段および前記認証文検
証手段を、鍵付きハッシュまたは共通鍵暗号を用いたメ
ッセージ認証符号(MAC)を用いる手段としたことを
特徴とする請求項2記載の複製端末発見方式。
4. The duplication according to claim 2, wherein said authentication text generating means and said authentication text verification means are means using a message authentication code (MAC) using a keyed hash or a common key cryptosystem. Terminal discovery method.
【請求項5】 前記センタ側共通鍵生成手段および前記
端末側共通鍵生成手段を、前記端末乱数Ri bをそのまま
前記共通鍵CKi bとして出力する手段としたことを特徴
とする請求項2記載の複製端末発見方式。
5. A method according to claim, characterized in that the center-side common key generating means and the terminal-side common key generating means, and a means for outputting the terminal random number R i b as it is as the common key CK i b 2 Described duplicate terminal discovery method.
【請求項6】 前記公開鍵暗号化手段と前記公開鍵暗号
復号手段に代えて、Diffie-Hellman鍵共有法を含む乱数
を用いた鍵共有法の1つを用いて鍵を共有する手段と、
共有した鍵を改めて端末乱数として用いる手段とを設け
たことを特徴とする請求項2記載の複製端末発見方式。
6. A means for sharing a key by using one of key sharing methods using random numbers including a Diffie-Hellman key sharing method instead of the public key encryption means and the public key encryption / decryption means,
3. The method according to claim 2, further comprising means for using the shared key as a terminal random number.
【請求項7】 前記センタCに、前記センタ暗号文EC
i bにメッセージ認証符号(MAC)を含める手段を設
け、前記端末Tiに、改ざんや成りすましを検出する手
段を設けたことを特徴とする請求項2記載の複製端末発
見方式。
7. The center C is provided with the center ciphertext EC.
The means for including the message authentication code (MAC) provided i b, to the terminal T i, replication terminal discovery method according to claim 2, characterized in that a means for detecting tampering or spoofing.
【請求項8】 前記センタCに、前記センタ暗号文EC
i bにディジタル署名を含める手段を設け、前記端末Ti
に、改ざんや成りすましを検出する手段を設けたことを
特徴とする請求項2記載の複製端末発見方式。
8. The center C is provided with the center ciphertext EC.
a means for including a digital signature in i b , the terminal T i
3. The duplicate terminal discovery method according to claim 2, further comprising means for detecting tampering or spoofing.
【請求項9】 前記秘密情報Ki bが、前記センタCと前
記端末Tiのセッション鍵SKi bであることを特徴とす
る請求項2記載の複製端末発見方式。
Wherein said secret information K i b is duplicated terminal discovery method according to claim 2, characterized in that the session key SK i b of the center C and the terminal T i.
【請求項10】 前記秘密情報Ki bを、前記センタCと
複数の端末で共有されるグループ鍵GKbとしたことを
特徴とする請求項2記載の複製端末発見方式。
Wherein said secret information K i b and replication terminal discovery method according to claim 2, characterized in that a group key GK b shared by the center C and a plurality of terminals.
【請求項11】 前記端末Tiは、前記センタCから受
信したセンタ乱数Zi bと前記端末乱数Ri bに対する端末
認証文Di bを端末秘密鍵Siにより生成する認証文生成
手段を備え、 前記センタCは、前記センタ乱数Zi bを生成するセンタ
乱数生成手段と、前回ラウンドにおける秘密情報の更新
通知と前記センタ乱数Zi bを前記端末Tiに送信するセ
ンタ側送信手段とを備えたことを特徴とする請求項2記
載の複製端末発見方式。
11. The terminal TiIs received from the center C.
Received center random number Zi bAnd the terminal random number Ri bTerminal for
Authentication statement Di bTo the terminal secret key SiGenerated authentication statement generated by
Means, wherein the center C is the center random number Zi bCenter that generates
Random number generator and update of secret information in previous round
Notification and center random number Zi bTo the terminal TiTo send to
3. A transmission device according to claim 2, further comprising:
Duplicate terminal discovery method described above.
【請求項12】 前記センタ乱数Zi bを、複数の端末に
共通のセンタ乱数Z bとしたことを特徴とする請求項2
記載の複製端末発見方式。
12. The center random number Zi bTo multiple devices
Common center random number Z b3. The method according to claim 2, wherein
Described duplicate terminal discovery method.
【請求項13】 前記端末Tiに、同一ラウンドにおい
て前記秘密情報が複数種類存在する場合に前記端末暗号
文Ei bに所望の秘密情報の種類を指定する手段と、同一
ラウンドにおいては常に同じ前記端末乱数Ri bを前記端
末暗号文Ei bに使用する手段とを設け、前記センタC
に、同一ラウンドにおいて同一の前記端末乱数Ri bが使
用された前記端末暗号文Ei bにおいて指定された種類の
秘密情報を、前記端末乱数Ri bより生成した前記共通鍵
CKi bにより暗号化して配送する手段を設けたことを特
徴とする請求項2記載の複製端末発見方式。
To 13. The terminal T i, and means for the secret information in the same round to specify the type of desired secret information to the terminal ciphertext E i b when multiple types exist, always the same in the same round provided and means for using said terminal random number R i b to the terminal ciphertext E i b, the center C
In the same said terminal random number R i b is designated at the terminal ciphertext E i b used types of secret information in the same round, by the terminal random number R i the common key generated from b CK i b 3. The method according to claim 2, further comprising means for encrypting and delivering.
【請求項14】 前記端末Tiに、前記センタCからの
通信を受信できない場合に前記センタCに対して現在の
ラウンド番号を問い合わせる問い合わせ手段と、前記端
末Tiと前記センタCの前記ラウンド番号bが異なる場
合に前記センタCに再送を要求する再送要求手段とを設
けたことを特徴とする請求項2記載の複製端末発見方
式。
To 14. The terminal T i, the inquiry means for inquiring the current round number for the center C if it can not receive a communication from the center C, the round number of the terminal T i and the center C 3. The duplicate terminal discovery method according to claim 2, further comprising retransmission request means for requesting the center C to perform retransmission when b is different.
【請求項15】 前記通信システムが、同報通信システ
ムであることを特徴とする請求項2記載の複製端末発見
方式。
15. The method according to claim 2, wherein the communication system is a broadcast communication system.
【請求項16】 前記センタ公開鍵Ycと前記センタ秘
密鍵Scと前記端末公開鍵Yiと前記端末秘密鍵Siとを
生成する手段と、前記センタ公開鍵Ycを全端末に配布
する手段と、前記センタ秘密鍵Scとすべての前記端末
公開鍵Yiとを前記センタCに配布する手段と、前記端
末秘密鍵Siを対応する前記端末Tiに配布する手段とを
有する信頼できるシステム管理手段を前記通信システム
に備えたことを特徴とする請求項2記載の複製端末発見
方式。
16. A means for generating the center public key Yc and the center secret key Sc and the terminal public key Y i and the terminal secret key S i, and means for distributing the center public key Yc to all terminals , A means for distributing the center secret key Sc and all the terminal public keys Y i to the center C, and means for distributing the terminal secret key S i to the corresponding terminals T i. 3. A method according to claim 2, wherein said communication system comprises means.
【請求項17】 前記端末乱数生成手段は、同じ乱数を
出力する乱数生成器を他に作成できず、かつ偶然他の乱
数生成器の出力と同じ出力となる確率が無視できる出力
長を持つという条件を満たすことを特徴とする請求項2
記載の複製端末発見方式。
17. The terminal random number generation means cannot generate another random number generator that outputs the same random number, and has an output length that can neglect the probability of being the same output as the output of another random number generator by chance. 3. The condition is satisfied.
Described duplicate terminal discovery method.
【請求項18】 前記グループ鍵GKbの配布の途中にお
いて、複製端末が発見された場合、前記グループ鍵GKb
を未配布の端末Tiの端末公開鍵Yi(センタが端末秘密
鍵を管理している場合は端末秘密鍵Si)により前記グ
ループ鍵GKbを暗号化して前記未配布の端末Tiに配布す
る手段を備えたことを特徴とする請求項10記載の複製
端末発見方式。
18. The middle of the distribution of the group key GK b, if replication terminal is found, the group key GK b
The said group key GK b by the terminal public key Y i of the terminal T i of undelivered (terminal secret key S i if center manages the terminal secret key) to the terminal T i of encrypting the undelivered 11. The duplicate terminal discovery method according to claim 10, further comprising means for distributing.
JP2001011089A 2001-01-19 2001-01-19 Duplicate terminal discovery method Expired - Lifetime JP3600161B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001011089A JP3600161B2 (en) 2001-01-19 2001-01-19 Duplicate terminal discovery method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001011089A JP3600161B2 (en) 2001-01-19 2001-01-19 Duplicate terminal discovery method

Publications (2)

Publication Number Publication Date
JP2002217888A true JP2002217888A (en) 2002-08-02
JP3600161B2 JP3600161B2 (en) 2004-12-08

Family

ID=18878268

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001011089A Expired - Lifetime JP3600161B2 (en) 2001-01-19 2001-01-19 Duplicate terminal discovery method

Country Status (1)

Country Link
JP (1) JP3600161B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005228299A (en) * 2004-01-16 2005-08-25 Matsushita Electric Ind Co Ltd Server device for authentication, and method and system for detecting unauthorized terminal
JP2005310119A (en) * 2004-04-21 2005-11-04 Microsoft Corp Method, system, and device for managing identification information of computer
JP2006109413A (en) * 2004-10-05 2006-04-20 Nec Corp Authentication method of group element
JP2008532348A (en) * 2005-01-27 2008-08-14 インターデイジタル テクノロジー コーポレーション Fully secret key generation in wireless communication networks
JP2009505448A (en) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド Digital content management method and apparatus therefor
US7564975B2 (en) 2002-11-19 2009-07-21 Lg Electronics Inc. Method of ciphering data and/or voice call to be transferred in mobile communication system and method of deactivating the ciphering
JP2009302848A (en) * 2008-06-12 2009-12-24 Tokai Rika Co Ltd Encryption communication system and cryptographic key updating method
JP2011155322A (en) * 2010-01-25 2011-08-11 Sony Corp Power management apparatus, and method of registering electronic appliance
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
WO2022044142A1 (en) * 2020-08-26 2022-03-03 日本電信電話株式会社 Public key authentication device, and public key authentication method

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7564975B2 (en) 2002-11-19 2009-07-21 Lg Electronics Inc. Method of ciphering data and/or voice call to be transferred in mobile communication system and method of deactivating the ciphering
JP4675618B2 (en) * 2004-01-16 2011-04-27 パナソニック株式会社 Authentication server device, unauthorized terminal detection method, unauthorized terminal detection system, and program
JP2005228299A (en) * 2004-01-16 2005-08-25 Matsushita Electric Ind Co Ltd Server device for authentication, and method and system for detecting unauthorized terminal
JP2005310119A (en) * 2004-04-21 2005-11-04 Microsoft Corp Method, system, and device for managing identification information of computer
US8554889B2 (en) 2004-04-21 2013-10-08 Microsoft Corporation Method, system and apparatus for managing computer identity
JP2006109413A (en) * 2004-10-05 2006-04-20 Nec Corp Authentication method of group element
US8024573B2 (en) 2004-10-05 2011-09-20 Nec Corporation Method for authentication of elements of a group
JP2008532348A (en) * 2005-01-27 2008-08-14 インターデイジタル テクノロジー コーポレーション Fully secret key generation in wireless communication networks
US8238551B2 (en) 2005-01-27 2012-08-07 Interdigital Technology Corporation Generation of perfectly secret keys in wireless communication networks
US9130693B2 (en) 2005-01-27 2015-09-08 Interdigital Technology Corporation Generation of perfectly secret keys in wireless communication networks
US8161296B2 (en) 2005-04-25 2012-04-17 Samsung Electronics Co., Ltd. Method and apparatus for managing digital content
JP2009505448A (en) * 2005-04-25 2009-02-05 サムスン エレクトロニクス カンパニー リミテッド Digital content management method and apparatus therefor
JP2009302848A (en) * 2008-06-12 2009-12-24 Tokai Rika Co Ltd Encryption communication system and cryptographic key updating method
JP2011155322A (en) * 2010-01-25 2011-08-11 Sony Corp Power management apparatus, and method of registering electronic appliance
WO2022044142A1 (en) * 2020-08-26 2022-03-03 日本電信電話株式会社 Public key authentication device, and public key authentication method

Also Published As

Publication number Publication date
JP3600161B2 (en) 2004-12-08

Similar Documents

Publication Publication Date Title
EP2850862B1 (en) Secure paging
JP4599852B2 (en) Data communication apparatus and method, and program
US9602290B2 (en) System and method for vehicle messaging using a public key infrastructure
EP1696602B1 (en) Cryptographic communication system and method
CN1326349C (en) Content delivery system
US7653713B2 (en) Method of measuring round trip time and proximity checking method using the same
CN113168445A (en) Secure over-the-air firmware upgrade
US9614868B2 (en) System and method for mitigation of denial of service attacks in networked computing systems
JP5975594B2 (en) Communication terminal and communication system
CN106357396A (en) Digital signature method, digital signature system and quantum key card
KR20080078714A (en) Certify and split system and method for replacing cryptographic keys
US20240250826A1 (en) Cryptographic method for verifying data
CN111080299B (en) Anti-repudiation method for transaction information, client and server
Wang et al. A practical authentication framework for VANETs
EP2856729A2 (en) A scalable authentication system
Khalil et al. Sybil attack prevention through identity symmetric scheme in vehicular ad-hoc networks
JP2003188874A (en) System for secure data transmission
WO2016134769A1 (en) Public key based network
JP3600161B2 (en) Duplicate terminal discovery method
JP2002314532A (en) Method for discovering replica terminal
KR20200060193A (en) Integrated management server for secure binary patch deployment based on mutual authentication and operation method thereof
CN111314269A (en) Address automatic allocation protocol security authentication method and equipment
JP2002217890A (en) Method of finding replicated terminal
JP2003087232A (en) Method for detecting copied terminal
JP2004159063A (en) Encryption communication system and encryption communication apparatus

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040915

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080924

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090924

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100924

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110924

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120924

Year of fee payment: 8