8所示的步骤S331中,认证服务器3a_i的中间服务器验证值生成部34使用在分 散值存储部42中存储的分散值[w]a_i,[rW]a_i,[0W]a_iW及密码分散值解密部33所输出的 分散值[w']a_i,通过下述的式(5)求得验证值qa_iW。
[0134] 【数16】
[0135] ) ]., ([W].^ ^ ) ^ ... (5)
[0136] 在此,Aa_iW是满足式(6)的已知的常数,是满足式(7)的已知的常数。
[0137] 【数17】
[01 測戶)W =芝哉'VW')]",["',]。, .(6) i二]'
[0139] 0 二芝帮。[0("')]。,.…(7) /=1
[0140] 在步骤S332中,认证服务器3a_i的中间服务器验证值加密部35使用中间服务器2与 认证服务器3a_i的公共密钥,得到对验证值qa_i W进行了加密的密文化cws_a_i ( qa_i W )。
[0141] 在步骤S333中,认证服务器3a_i的中间服务器验证值加密部35将在步骤S332中得 到的密文化cws_a_i (qa_i W)发送给中间服务器2。
[0142] 在步骤S231中,中间服务器2的中间服务器验证值解密部23对从m台认证服务器 3a_l,......,33_111接收到的1]1个密文化別5_3_1(93_1(''")),......,EnCWS_a_m( Qajn(W))进行接收。
[0143] 在步骤S232中,中间服务器2的中间服务器验证值解密部23关于i = l,……,m,使 用中间服务器2与第曰1个认证服务器3a_i的公共密钥,对密文化CWS_a_i(qa_iW)进行解密而得 到验证值qa_iW。中间服务器验证值解密部23将m个验证值qa_iW,……,qa_mW输出至中间服 务器验证部24。
[0144] 在步骤S233中,中间服务器2的中间服务器验证部24验证验证值qa_i W,……, qa_mW的总和是否等于0。中间服务器验证部24具体而言确认式(8)的等式是否成立。
[0145] 【数18】
[0146] 0 二 …脚 i=l '
[0147] 中间服务器验证部24在式(8)成立的情况下,向用户装置1通知认证成功,在式(8) 不成立的情况下,向用户装置1通知认证失败。
[0148] 在图9所示的步骤S341i中,认证服务器3a_i的认证服务器验证值生成部36关于j = 1,……,m,使用在分散值存储部42中存储的分散值[巧]3_1,山^-^]3_1,[0(3」 )]3_1^及密码分 散值解密部33所输出的分散值[W']a_i,通过下述的式(9)而求得验证值
[0149] 【数19】
[0150] …W
[0151] 在此,Aa_iW是满足式(10)的已知的常数,~Aa_iW是满足式(11)的已知的常数。
[0152] 【数20】
[0153] r")u'= S "LJW]。,. -'(10) 仁]I
[0154] O = Z為/>[0('% (11) 片1 I
[01巧]在步骤S342i中,认证服务器3a_i的认证服务器验证值加密部37关于j = 1,……,m (j辛i),使用第aj个认证服务器3aj与第ai个认证服务器3a_i的公共密钥,得到对验证值 qa_i<a-J>进行了加密的密文Encs_a_is_a」(qa_i<a-J>)。作为结果,认证服务器验证值加密部37得 至|]1]1-1个密文6]1。5_3_15_3_1(93_:1(3-1)),......,EnCS_a_iS_a_m(qa_i(a_m))(其中,除了 E:ncs_a_iS_a_i (qa戸))。
[0156] 在步骤S343i中,认证服务器3a_i的认证服务器验证值加密部37关于j = 1,……,m (j 辛 i),将在步骤 S342i 中得到的 m-1 个密文 Encs_a_is_a_l(qa_i(a-l)) ,......, Encs_a_is_a_m (qa_i(a-m)K其中,除了化CS_a_iS_a_i(qa_i(a-i )))分别发送给认证服务器3a」。
[0157] 在步骤S344i中,认证服务器3a_i的认证服务器验证值解密部38从m-1台认证服务 器3a」(j = l,......,m( j 辛 i ))接收m-1 个密文E:ncs_a_is_a_i(qa_i(a-1)),......,Encs_a_ms_a_i (qa_m(a-i))(其中,除 了化CS_a_iS_a_i ( qa_i (a-i)))。
[0158] 在步骤S345i中,认证服务器3a_i的认证服务器验证值解密部38关于j = I,……,m (j辛i),使用第aj个认证服务器3a」与第ai个认证服务器3a_i的公共密钥,对密文Encs_a」s_a_i (qajfa-il)进行解密而得到验证值认证服务器验证值解密部38与在步骤S341i中认 证服务器验证值生成部36生成的验证值qa_i心一起,将m个验证值qa_i<a-i>,……输 出至认证服务器验证部39。
[0159] 在步骤S345i中,认证服务器3a_i的认证服务器验证部39验证验证值Qajb-Il,……, qa_m<a-i>的总和是否等于0。认证服务器验证部39具体而言确认式(12)的等式是否成立。
[0160] 【数21】
[0161] 0 = Z(/1。'.) ...僻) ,=1
[0162] 认证服务器验证部39在式(12)成立的情况下,向用户装置1通知认证成功,在式 (12)不成立的情况下,向用户装置1通知认证失败。
[0163 ] < <随机数更新阶段> >
[0164] 在每一次执行认证阶段的处理时,执行随机数更新阶段的处理。随机数更新阶段 是为了在下次的认证时不重复使用随机数而更新随机数的处理。在随机数更新阶段中,设 定为若在通过W前的随机数生成阶段的处理而生成的随机数之中存在未使用的随机数,贝U 在下次的认证阶段的处理中使用该随机数。若不存在未使用的随机数,则与随机数生成阶 段的处理内容同样地生成新的随机数。随机数更新阶段的处理也可W与认证阶段的处理并 行进行。即,在认证阶段中利用了随机数时确认未使用的随机数是否充分地残留,若不足则 生成新的随机数即可。
[0165] [第二实施方式]
[0166] 在用户所利用的用户终端和各认证服务器之间存在的Web服务器等中间服务器 中,除了认证的成否之外,还知晓在用户终端和认证服务器中交换的密文。存在中间服务器 能够滥用在认证成功时在认证过程中使用的密码、随机数的分散值的密文而冒充用户从而 使认证成功的危险性。第二实施方式的多方安全认证系统是用于防止基于滥用了发送完毕 的密文的中间服务器的重放攻击的改良方式。
[0167] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[0168] 参照图10,说明第二实施方式所设及的多方安全认证系统的功能结构的一例。多 方安全认证系统包含用户装置4、中间服务器5 W及n台认证服务器61,……,6n。
[0169] 参照图11,说明用户装置4的功能结构的一例。用户装置4与第一实施方式所设及 的用户装置1同样,包含控制部101、存储器102、公共密钥存储部11W及密码分散部12。在第 二实施方式所设及的用户装置4中,还包含密码分散值加密部14W及随机数接收部15。密码 分散值加密部14与第一实施方式所设及的密码分散值加密部13处理不同。
[0170] 参照图12,说明中间服务器5的功能结构的一例。中间服务器5与第一实施方式所 设及的中间服务器2同样,包含控制部201、存储器202、公共密钥存储部21、中间服务器验证 值解密部23W及中间服务器验证部24。在第二实施方式所设及的中间服务器5中,还包含密 码分散值转发部25W及随机数转发部26。密码分散值转发部25与第一实施方式所设及的密 码分散值转发部22处理不同。
[0171] 参照图13,说明认证服务器6的功能结构的一例。认证服务器6与第一实施方式所 设及的认证服务器3同样,包含控制部301、存储器302、随机数分散值生成部31、零分散值生 成部32、中间服务器验证值生成部34、中间服务器验证值加密部35、认证服务器验证值生成 部36、认证服务器验证值加密部37、认证服务器验证值解密部38、认证服务器验证部39、公 共密钥存储部41W及分散值存储部42。在第二实施方式所设及的认证服务器6中,还包含密 码分散值解密部43、随机数生成部44、随机数加密部45 W及随机数验证部46。密码分散值解 密部43与第一实施方式所设及的密码分散值解密部33处理不同。
[0172] 参照图14、15,按照实际进行的步骤的顺序说明第二实施方式所设及的多方安全 认证方法的处理流程的一例。
[0173] 参照图14,说明为了防止重放攻击而利用的随机数的生成过程。该随机数需要在 执行认证阶段之前预先进行。由于该处理是比较小的处理,所W也可W在执行认证阶段的 紧前进行。该处理不需要n台认证服务器61,……,6n全部进行,仅任意选择的m台执行即可。 在W后的说明中,将ai,……,am设为IW上且nW下的不同的m个整数,设为m台认证服务器 6a_l,......,6a_m进行处理。
[0174] 在步骤S351中,认证服务器6a_i的随机数生成部44生成随机数ta_i。
[0175] 在步骤S352中,认证服务器6a_i的随机数加密部45使用用户装置1与第曰1个认证服 务器3a_i的公共密钥,得到对随机数ta_进行了加密的密文化CUS_a_i(ta_i)。
[0176] 在步骤S353中,认证服务器6a_i的随机数加密部45将密文化CUS_a_i(ta_i)发送给中 间服务器5。
[0177] 在步骤S251中,中间服务器5的随机数转发部26从m台认证服务器6a_ia = l,……, m)接收 m 个密文 E:ncus_a_i (ta_i )(i = l,......,m)。将所接收到的 m 个密文 E:ncus_a_i (ta_i) (i = 1,……,m)发送给用户终端4。
[017引在步骤S151中,用户终端6的随机数解密部15从中间服务器6接收m个密文化cus_a_i (ta_i)(i = l,......,m)0
[0179] 在步骤S152中,随机数解密部15关于i = l,……,m,对密文化cus_a_i(ta_i)进行解密 而得到分散值ta_i。将分散值ta_i存储至存储器102、公共密钥存储部11等的其中一个存储 部。
[0180] 参照图15,说明为了防止重放攻击而进行了改良的认证阶段的处理。与第一实施 方式的认证阶段的不同点是,步骤S123W及步骤S221的处理不同、追加了步骤S323的处理。
[0181] 在步骤S123中,用户终端4的密码分散值加密部14关于i = l,……,m,得到将分散 值[W']a_i与随机数ta_i-起,使用用户装置4与第ai个认证服务器6a_i的公共密钥进行了加 密的密文化CUS_a_i(ta_i, [W' ]a_i)。
[0182] 在步骤S221中,中间服务器5的密码分散值转发部25对从用户终端4接收到的m个 密文 EnCUS_a_l(ta_i, [W' ]a_l),......,E;nCUS_a_m( ta_i,[ W ' ] a_m)进行接收,关于 i = I,......,m,将密 文化CUS_a_i(ta_i,[W' ]a_i)发送给认证服务器3a_i。
[0183] 在步骤S323中,认证服务器3a_i的随机数验证部46确认对密文Encus_a_i(ta_i, [W']a_i)进行解密而得到的随机数ta_i是否与在步骤S351中生成的随机数ta_i相等。随机数 验证部46在解密而得到的随机数ta_i与在步骤S351中生成的随机数ta_i不相等的情况下,向 用户装置4通知认证失败。在其他情况下,继续进行认证阶段的步骤S331W后的处理。
[0184] [第S实施方式]
[0185] 第一实施方式的多方安全认证系统中,各认证服务器执行了随机数生成阶段的处 理。第=实施方式的多方安全认证系统中,用户终端执行随机数生成阶段的处理。W下,说 明在应用于第一实施方式的多方安全认证系统的情况下的例子,但第=实施方式的结构方 法也同样地能够应用于第二实施方式的多方安全认证系统。
[0186] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[0187] 参照图16,说明第=实施方式所设及的多方安全认证系统的功能结构的一例。多 方安全认证系统包含用户装置7、中间服务器8W及n台认证服务器91,……,9n。
[0188] 参照图17,说明用户装置7的功能结构的一例。用户装置7与第一实施方式所设及 的用户装置1同样,包含控制部101、存储器102、公共密钥存储部11、密码分散部12W及密码 分散值加密部13。在第=实施方式所设及的用户装置7中,还包含随机数分散值生成部16、 随机数分散值加密部17、零分散值生成部18W及零分散值加密部19。
[0189] 参照图18,说明中间服务器8的功能结构的一例。中间服务器8与第一实施方式所 设及的中间服务器2同样,包含控制部201、存储器202、公共密钥存储部21、密码分散值转发 部22、中间服务器验证值解密部23W及中间服务器验证部24。在第=实施方式所设及的中 间服务器8中,还包含随机数分散值转发部27W及零分散值转发部28。
[0190] 参照图19,说明认证服务器9的功能结构的一例。认证服务器9与第一实施方式所 设及的认证服务器3同样,包含控制部301、存储器302、中间服务器验证值生成部34、中间服 务器验证值加密部35、认证服务器验证值生成部3