知財求人 - 知財ポータルサイト「IP Force」
特許5980238認証方法、RFチップドキュメント、RFチップリーダー、及びコンピュータプログラム製品
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5980238
(24)【登録日】2016年8月5日
(45)【発行日】2016年8月31日
(54)【発明の名称】認証方法、RFチップドキュメント、RFチップリーダー、及びコンピュータプログラム製品
(51)【国際特許分類】
H04L 9/32 20060101AFI20160818BHJP
G06F 21/33 20130101ALI20160818BHJP
【FI】
H04L9/00 675B
H04L9/00 673A
G06F21/33
【請求項の数】8
【全頁数】10
(21)【出願番号】特願2013-557013(P2013-557013)
(86)(22)【出願日】2012年3月9日
(65)【公表番号】特表2014-509151(P2014-509151A)
(43)【公表日】2014年4月10日
(86)【国際出願番号】EP2012001076
(87)【国際公開番号】WO2012119790
(87)【国際公開日】20120913
【審査請求日】2015年3月6日
(31)【優先権主張番号】102011013562.6
(32)【優先日】2011年3月10日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】513228270
【氏名又は名称】ドイツ連邦共和国
(74)【代理人】
【識別番号】100100549
【弁理士】
【氏名又は名称】川口 嘉之
(74)【代理人】
【識別番号】100123319
【弁理士】
【氏名又は名称】関根 武彦
(72)【発明者】
【氏名】クーフレル,デニス
(72)【発明者】
【氏名】ベンダー,ジェンズ
【審査官】
打出 義尚
(56)【参考文献】
【文献】
特開2003−256704(JP,A)
【文献】
特開2005−269656(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/33
(57)【特許請求の範囲】
【請求項1】
パスワードに基づく認証と証明書に基づく認証とを組み合わせることにより、第1の当事者(A)と第2の当事者(B)との間の高信頼通信を得るための認証方法であって、前記証明書に基づく認証では、前記第1の当事者(A)が静的な秘密鍵及び静的な公開鍵からなる静的な鍵の対と、証明機関(C)によって発行された前記静的な公開鍵のための証明書とを有し、前記証明機関(C)には前記第2の当事者(B)によって知られている公開鍵が割り当てられ、
・パスワードに基づく認証が、以下のステップによって最初に実行され、当該ステップは、前記第1の当事者(A)であるマイクロコンピュータ及び前記第2の当事者(B)であるコンピュータが、
a)短期の秘密鍵及び短期の公開鍵からなる短期の鍵の対をそれぞれ生成し、
b)前記短期の公開鍵をそれぞれ交換し、共通のパスワードを使って前記短期の公開鍵を検証し、
c)安全な通信チャネルがセッション鍵に基づいて確立される、セッション鍵を生成し検証する
ステップであり、
・次いで証明書に基づく認証が以下のステップによって実行され、当該ステップは、
d)前記第1の当事者(A)である前記マイクロコンピュータが、変換パラメータを得るために、前記パスワードに基づく認証からの自らの短期の鍵の対と、前記証明書に基づく認証からの自らの静的な鍵の対との間の変換を計算し、
e)前記第1の当事者(A)である前記マイクロコンピュータが、前記証明機関(C)によって発行された前記証明書とともに、前記変換パラメータを前記安全な通信チャネルを介して前記第2の当事者(B)に伝送し、
f)前記第2の当事者(B)である前記コンピュータが、前記第1の当事者(A)に関連する前記短期の公開鍵及び/または前記静的な公開鍵に対して、前記受け取った変換パラメータを適用し、プロセス内で、その正当性が確認される少なくとも1つの変換された公開鍵を取得し、
g)前記第2の当事者(B)である前記コンピュータが、前記証明機関(C)に関連する前記公開鍵を使って前記第1の当事者(A)から受け取った前記証明書を検証する
ステップである認証方法。
・パスワードに基づく認証が、以下のステップによって最初に実行され、当該ステップは、前記第1の当事者(A)であるマイクロコンピュータ及び前記第2の当事者(B)であるコンピュータが、
a)短期の秘密鍵及び短期の公開鍵からなる短期の鍵の対をそれぞれ生成し、
b)前記短期の公開鍵をそれぞれ交換し、共通のパスワードを使って前記短期の公開鍵を検証し、
c)安全な通信チャネルがセッション鍵に基づいて確立される、セッション鍵を生成し検証する
ステップであり、
・次いで証明書に基づく認証が以下のステップによって実行され、当該ステップは、
d)前記第1の当事者(A)である前記マイクロコンピュータが、変換パラメータを得るために、前記パスワードに基づく認証からの自らの短期の鍵の対と、前記証明書に基づく認証からの自らの静的な鍵の対との間の変換を計算し、
e)前記第1の当事者(A)である前記マイクロコンピュータが、前記証明機関(C)によって発行された前記証明書とともに、前記変換パラメータを前記安全な通信チャネルを介して前記第2の当事者(B)に伝送し、
f)前記第2の当事者(B)である前記コンピュータが、前記第1の当事者(A)に関連する前記短期の公開鍵及び/または前記静的な公開鍵に対して、前記受け取った変換パラメータを適用し、プロセス内で、その正当性が確認される少なくとも1つの変換された公開鍵を取得し、
g)前記第2の当事者(B)である前記コンピュータが、前記証明機関(C)に関連する前記公開鍵を使って前記第1の当事者(A)から受け取った前記証明書を検証する
ステップである認証方法。
【請求項2】
請求項1のステップd)で、前記変換パラメータを計算するために前記静的な秘密鍵が前記短期の秘密鍵に変換される請求項1に記載の方法。
【請求項3】
請求項1のステップd)で、前記変換パラメータを計算するために、前記第1の当事者(A)の影響を受けることができない追加の乱数が使用される請求項1または2に記載の方法。
【請求項4】
請求項1のステップf)に関し、前記第2の当事者(B)である前記コンピュータが、前記受け取った変換パラメータを前記第1の当事者(A)に関連する前記2つの公開鍵の1つにのみ適用し、前記第1の当事者(A)に関連する前記変換された鍵ともう一方の公開鍵との間の等価性を確認することにより、前記取得した変換された公開鍵の前記正当性を確認する、請求項1から3の何れか一項に記載の方法。
【請求項5】
第1の当事者(A)に対して請求項1から4の何れか一項に記載の方法を実行できるように設計される第1のコンピュータプログラムをマイクロコンピュータメモリが記憶するように、前記マイクロコンピュータメモリとともにマイクロコンピュータを有する、RFチップドキュメント。
【請求項6】
マイクロコンピュータメモリ内の、請求項5に記載の第1のコンピュータプログラムを実施するためのプログラムコードを含む、コンピュータ可読媒体。
【請求項7】
第2の当事者(B)に対して請求項1から4の何れか一項に記載の方法を実行できるように設計される第2のコンピュータプログラムをコンピュータメモリが記憶するように、前記コンピュータメモリとともにコンピュータを有する、RFチップリーダー。
【請求項8】
コンピュータメモリ内の、請求項7に記載の第2のコンピュータプログラムを実施するためのプログラムコードを含む、コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
第1の当事者と第2の当事者との間の高信頼通信は、相互認証を必要とする。本発明は、認証方法、RFチップドキュメント、RFチップリーダー、及びコンピュータプログラム製品に関する。
【背景技術】
【0002】
2つの認証方法が知られており、それは概ね、一方ではパスワードに基づく認証であり、他方では証明書に基づく認証である。
【0003】
パスワードに基づく認証は、情報技術安全連邦局(Federal Office for Information Security)の技術指針TR−03110バージョン2.05「Advanced Security Mechanisms for Machine Readable Travel Documents」の中で詳細に説明されているPACE(Password Authenticated Connection Establishment)を含む。これはパスワードに基づく鍵合意である。パスワードに基づく鍵合意は以下のステップを含む。
【0004】
第1の当事者及び第2の当事者が、・短期の秘密鍵及び短期の公開鍵からなる短期の鍵の対をそれぞれ生成し、
・短期の公開鍵をそれぞれ交換し、共通のパスワードを使って後者を検証し、
・安全な通信チャネルがそれに基づいて確立される、セッション鍵を生成し検証する。
【0005】
証明書に基づく認証では、第1の当事者が、静的な秘密鍵及び静的な公開鍵からなる静的な鍵の対、及び証明機関によって発行された静的な公開鍵のための証明書を有する。証明機関には、第2の当事者によって知られている公開鍵が割り当てられる。証明書に基づく認証は、第1の当事者との静的な鍵の対の提携が信頼できる第三者である証明機関により、証明書の形で確認されることに基づく。このために、証明書は、少なくとも静的な公開鍵、第1の当事者の一意識別情報、及び証明機関によるこれらのデータの電子署名を含む。署名は、証明機関の公開鍵を使って検証されてもよい。その後の認証中、第2の当事者は、証明書に含まれる静的な公開鍵に関連する秘密鍵を第1の当事者が有するかどうか確認することができる。証明書に基づく認証のための既知の方法は、情報技術安全連邦局の技術指針TR−03110バージョン2.05「Advanced SecurityMechanisms for Machine Readable Travel Documents」の中で詳細に説明されている「チップ認証」を含む。
【0006】
上記の指針TR−03110は、パスワードに基づく認証と証明書に基づく認証との組合せである方法も開示する。この組合せは、少なくとも一方の当事者の識別情報が秘密である場合にとりわけ必要である。通信許可は、共通のパスワードの知識と証明によってのみ与えられる。この共通のパスワードは、通常、狭帯域幅からなることが多い専用チャネルを介して通信相手間で配布される。第1の当事者には、その上に秘密データが記憶されるRFチップを有するRFチップドキュメントを割り当てることができる。第2の当事者には、RFチップドキュメント用のリーダーを割り当てることができる。共通のパスワードは、RFチップドキュメント上に印刷することができ、光学スキャナによってRFチップリーダーに伝送されてもよい。
【0007】
パスワードに基づく認証の後、両方の当事者は、同じパスワードを有するが他方の当事者が実際に誰であるのかを知らない別の当事者と、自身が安全に通信していることをそれぞれ知る。このことは、とりわけグループパスワードが使用される場合に問題があり、結果として2つの当事者のそれぞれの組合せにパスワードが一意的に割り当てられない。
【0008】
その後の証明書に基づく認証を用いて、当事者の一意識別情報を明らかにすることができる。パスワードに基づく認証の後に証明書に基づく認証を行う手法には、両方の当事者が同じパスワードを使うので、両者が互いに通信することを原則的に許可されていると判定される場合にのみ認証当事者の識別情報が開示されるという利点がある。パスワードに基づく鍵合意によるチャネルの暗号化及び完全性保護のために、第三者は交換される証明書も見ることができない。更に、パスワードに基づく鍵合意は、使用されるパスワードが第三者による認識から保護されることも確実にする。
【0009】
先の実装形態は、2つの認証方法を完全に連続して実行する。これを図3に示す。短期の鍵の対が生成され、パスワードに基づく鍵合意及び証明書に基づく認証の両方で使われる。鍵の対の生成及び短期の鍵の対の公開鍵の使用は、とりわけ計算集約的であり、短期の鍵の対の公開鍵の所要の交換は、当事者間の更なる通信を必要とする。
【0010】
連続した実行のもう1つの問題は、両方のプロトコル間のリンクの欠如であり、結果として両方のプロトコルが同じ当事者によってそれぞれ実行されていることが保証されない。
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明は、高信頼通信が効率的かつ安全であるための認証方法を設計する目的に基づく。
【課題を解決するための手段】
【0012】
本発明によれば、この目的は方法に関する請求項1の特徴によって実現される。この目的は、RFチップドキュメント、RFチップドキュメント用のコンピュータプログラム製品、RFチップリーダー、及びRFチップリーダー用のコンピュータプログラム製品の単独製造品を対象とする同様の請求項5、6、7、及び8のそれぞれによっても実現される。
【0013】
請求項1の特徴dによれば、当事者Aが、変換パラメータを得るために、パスワードに基づく認証からの自らの短期の鍵の対と、証明書に基づく認証からの自らの静的な鍵の対との間の変換を計算する。パスワードに基づく認証からの当事者自身の短期の鍵の対を証明書に基づく認証内で再利用する手法は、一方では全体的な計算及び通信の複雑さを減らし、他方では2つのプロトコルをリンクし、それにより両方のプロトコルが同じ当事者によって実行されることを確実にする。これによりセキュリティが高まると同時に、複雑さが軽減する。
【0014】
本発明によって実現される利点は、両方のプロトコルを実行するのに必要な時間が大幅に減らされることである。変換を計算して適用する手法は、更なる短期の鍵の対を再度作成し、次いで認証を行うよりもはるかに効率的である。優れた利点とともに、第2の鍵合意を実行する手法が完全に省かれ、パスワードに基づく認証からの鍵合意が引き続き使用される。変換を計算するために、パスワードに基づく鍵合意からの短期の秘密鍵及び証明書に基づく認証からの静的な秘密鍵の両方の知識が必要であるという事実により、2つのプロトコルがリンクされる。
【0015】
第1の単独製造品は、当事者Aに対して本方法を実行できるような方法で設計される第1のコンピュータプログラムをマイクロコンピュータメモリが記憶するように、マイクロコンピュータメモリとともにマイクロコンピュータを有するRFチップドキュメントである。
【0016】
コンピュータ可読媒体を有する第1のコンピュータプログラム製品は、マイクロコンピュータメモリ内の第1のコンピュータプログラムを実施するためのプログラムコードを含む。RFチップドキュメントを製作する際に使用される計算システムが、このために使用される。
【0017】
第2の単独製造品は、当事者Bに対して本方法を実行できるような方法で設計される第2のコンピュータプログラムをコンピュータメモリが記憶するように、コンピュータメモリとともにコンピュータを有するRFチップリーダーである。
【0018】
コンピュータ可読媒体を有する第2のコンピュータプログラム製品は、RFチップリーダーのコンピュータのコンピュータメモリ内の第2のコンピュータプログラムを実施するためのプログラムコードを含む。
【0019】
本発明のある有利な改良形態によれば、請求項1のステップd)で、変換パラメータを計算するために静的な秘密鍵が短期の秘密鍵に変換(マップ)される。静的な鍵に直接依存する全ての計算を前もって1度計算できるので、この改良形態は計算を単純化する。
【0020】
本発明の別の有利な改良形態によれば、請求項1のステップd)で、変換パラメータを計算するために、第1の当事者の影響を受けることができない追加の乱数が使用される。この追加の乱数は、第2の当事者により第1の当事者に伝送される数とすることができる。この改良形態は、変換パラメータの計算が第1の当事者に関連する短期の及び静的な鍵の対のみに基づくのではなく、第1の当事者の管理下にない値にも依存する利点を有する。したがって、この方法のセキュリティが高められる。
【0021】
本発明の別の有利な改良形態によれば、請求項1のステップf)に関し、第2の当事者が、受け取った変換パラメータを第1の当事者に関連する2つの公開鍵の1つにのみ適用し、その当事者に関連する変換された公開鍵ともう一方の公開鍵との間の等価性を確認することにより、取得した変換された公開鍵の正当性を確認する。変換が第1の当事者に関連する2つの公開鍵の1つにのみ適用されることの結果として、計算の複雑さは低い。変換パラメータが第1の当事者に関連する両方の公開鍵に適用される場合、計算の複雑さは高くなる。変換された2つの公開鍵が得られることになる。変換された2つの公開鍵の間の等価性を確認することにより、変換された2つの公開鍵のそれぞれの正当性を確認することができる。
【0022】
以下、図面を用いて本発明の例示的実施形態をより詳細に説明する。
【発明を実施するための形態】
【0024】
図1は、第1の当事者Aと第2の当事者Bとの間の高信頼通信を得るための認証システムを示す。このシステムは、RFチップドキュメント及びRFチップリーダーを含む。RFチップドキュメントは第1の当事者Aに割り当てられ、RFチップリーダーは第2の当事者Bに割り当てられる。RFチップドキュメントは、マイクロコンピュータメモリを有するマイクロコンピュータを含む。マイクロコンピュータメモリは、当事者Aに対して認証方法を実行できるような方法で設計される第1のコンピュータプログラムを記憶する。第1のコンピュータプログラムは、第1のコンピュータプログラム製品を用いてマイクロコンピュータメモリ内に実装された。
【0025】
RFチップリーダーは、コンピュータメモリを有するコンピュータを含む。コンピュータメモリは、当事者Bに対してその方法を実行できるような方法で設計される第2のコンピュータプログラムを記憶する。第2のコンピュータプログラムは、第2のコンピュータプログラム製品を用いてコンピュータメモリ内に実装された。
【0026】
当事者Aに関し、RFチップドキュメントはパスポートである。当事者Bに関し、RFチップリーダーは国境職員用の装置である。証明機関Cは、パスポートの製作者であると同時に発行者である。
【0027】
認証方法は、パスワードに基づく認証と証明書に基づく認証との組合せである。証明書に基づく認証では、第1の当事者Aが、証明機関Cによって発行された静的な鍵の対及び証明書を有する。
【0028】
第2の当事者Bは、証明機関Cの公開鍵を知っている。この例示的実施形態に基づき、証明機関Cの公開鍵がRFチップリーダーのコンピュータのコンピュータメモリ内に記憶される。
【0029】
図2に示すように、パスワードに基づく認証がまず最初に実行される。パスワードに基づく認証は、情報技術安全連邦局の技術指針TR−03110バージョン2.05「Advanced Security Mechanisms for Machine Readable Travel Documents」の中で定められているPACEプロトコルを用いて実行される。
【0030】
概して、離散対数に基づく鍵の対が使用される。秘密鍵xは、いずれの場合も1からq−1の範囲内にある乱数であり、qは使用される数学の群(例えば有限体の乗法群または楕円曲線の点の加法群)の生成元gのオーダーである。関連する公開鍵yは、y=g^xを使って計算される。べき乗(^)は、生成元gで開始し、群の演算(*)が施される回数xである。
【0031】
パスワードに基づく認証のステップは以下の通りである。
【0032】
a)第1の当事者A及び第2の当事者Bが、短期の秘密鍵及び短期の公開鍵からなる短期の鍵の対をそれぞれ生成する。以下、当事者Aに関連する短期の秘密鍵の短縮名称としてxeAを用いる。以下、当事者Aに関連する短期の公開鍵をyeAと示す。xeB及びyeBは、当事者Bに関連する短期の秘密鍵及び公開鍵を表す。短期の鍵の対、xeAとyeA、及びxeBとyeBは、Diffie−Hellman鍵合意に適している。
【0033】
b)第1の当事者A及び第2の当事者Bが、短期の公開鍵をそれぞれ交換し、共通のパスワードを使って後者を検証する。検証は、PACEプロトコルを実行することによって行われる。図1に関し、共通のパスワードは当事者Aに関するRFチップドキュメントのRFチップ機構の中に記憶される。共通のパスワードは、RFチップドキュメント上にも印刷される。当事者Bは、RFチップリーダーのパスワードスキャナを使って共通のパスワードを知る。
【0034】
c)第1の当事者A及び第2の当事者Bは、安全な通信チャネルがそれに基づいて確立される、セッション鍵を生成し検証する。セッション鍵の生成及び検証は、PACEプロトコル内で確立される共通の秘密に基づいて行われる。
【0035】
次いで、証明書に基づく認証が行われる。
【0036】
この点に関し、第1の例示的実施形態及び第2の例示的実施形態を説明する。
【0037】
証明書に基づく認証の第1の例示的実施形態のステップは以下の通りである。
【0038】
d)第1の当事者Aが、変換パラメータを得るために、パスワードに基づく認証からの自らの短期の鍵の対と、証明書に基づく認証からの自らの静的な鍵の対との間の変換を計算する。
【0039】
変換パラメータを計算するために、静的な秘密鍵xsAが短期の秘密鍵xeAに変換(マップ)される。これは全単射写像(bijective mapping)である。変換tは、公式t=xeA*xsA^(−1)を使って計算される。この第1の例示的実施形態では、変換パラメータは計算された値tである。各認証プロセス中、静的な秘密鍵の逆数xsA^(−1)は1回のみ計算され、再度計算されることはない。変換は全単射変換である。
【0040】
e)第1の当事者Aが、証明機関Cによって発行された証明書とともに、ステップdで求められた値tによって本明細書で示す変換パラメータを安全な通信チャネルを介して第2の当事者Bに伝送する。
【0041】
f)第2の当事者Bが、第1の当事者Aに関連し証明書に含まれる静的な公開鍵ysAに対して、受け取った変換パラメータを適用し、それにより変換された公開鍵ytAを得る。このための公式は、ytA=ysA^tである。次に、変換された公開鍵ytAの正当性を確認すべきである。このために第2の当事者は、当事者Aに関連する変換された公開鍵ytAと、第1の当事者Aに関連し、パスワードに基づく認証内で前に交換された短期の公開鍵yeAとの間の等価性を確認する。第2の当事者は、yeA=ytAを確認する。
【0042】
この例示的実施形態とは異なり、第2の当事者Bは、第1の当事者Aに関連する短期の公開鍵yeAに受け取った変換パラメータを適用してもよく、当事者Aに関連する変換された鍵と静的な公開鍵ysAとの間の等価性を確認することにより、取得した変換された公開鍵の正当性を確認することができる。
【0043】
g)第2の当事者Bは、証明機関Cの公開鍵を使い、第1の当事者Aから受け取った証明書を検証する。
【0044】
証明書に基づく認証の第2の例示的実施形態のステップは以下の通りである。
【0045】
d)第1の当事者Aが、変換パラメータを得るために、パスワードに基づく認証からの自らの短期の鍵の対と、証明書に基づく認証からの自らの静的な鍵の対との間の変換を計算する。
【0046】
第1の例示的実施形態とは対照的に、変換を計算するために、当事者Aの影響を受けることができない乱数cが更に使用される。例えば、第2の当事者Bが前に乱数cを当事者Aに伝送することができ、または例えば当事者Bに関連する短期の公開鍵にハッシュ関数を適用することにより、プロトコルシーケンスから乱数cを決定論的に計算してもよい。
【0047】
第1の当事者Aは、t=xeA−c*xsAを使って変換tを計算する。
【0048】
この第2の例示的実施形態では、変換パラメータは乱数cの値及び変換値との組である。この組は、(c,t)を用いて略記する。
【0049】
e)第1の当事者Aが、証明機関Cによって発行された証明書とともに、変換パラメータ(c,t)を安全な通信チャネルを介して第2の当事者Bに伝送する。当事者Bは乱数cを知っているので、第1の当事者が変換値tのみを当事者Bに伝送すれば十分である。
【0050】
f)第2の当事者Bが、第1の当事者Aに関連し証明書に含まれる静的な公開鍵ysAに対して、受け取った変換パラメータ(c,t)を適用し、それにより変換された公開鍵ytAを得る。このための公式は、ytA=g^t*ysA^cである。次に、変換された公開鍵ytAの正当性を確認すべきである。このために第2の当事者は、当事者Aに関連する変換された公開鍵ytAと、第1の当事者Aに関連し、パスワードに基づく認証内で前に交換された短期の公開鍵yeAとの間の等価性を確認する。第2の当事者は、yeA=ytAを確認する。
【0051】
g)第2の当事者Bは、証明機関Cの公開鍵を使い、第1の当事者Aから受け取った証明書を検証する。