6、认证服务器验证值加密部37、认证服务 器验证值解密部38、认证服务器验证部39、公共密钥存储部41W及分散值存储部42。在第= 实施方式所设及的认证服务器9中,还包含随机数分散值解密部47W及零分散值解密部48。
[0191] 参照图20、21,按照实际进行的步骤的顺序而说明第=实施方式所设及的多方安 全认证方法的处理流程的一例。
[0192] <<随机数生成阶段>>
[0193] 参照图20、21,说明第=实施方式所设及的随机数生成阶段的处理。
[0194] 在图20所示的步骤Slll中,用户终端7的随机数分散值生成部16生成n+1个随机数 r(w),r(i),……户)。
[01M]在步骤S112中,用户终端7的随机数分散值生成部16将各随机数rWjW,……,r W分别分散为n个分散值[rW]i,……,[rW]n,[rW]i,……,[r^]。,…………,[r W]n。也就是说,随机数分散值生成部16进行W下的式(13)(14)的计算。
[0196] 【数22】
[0197] ([r(w)]l,...,[r(w)]n)^Share(rW)...(13)
[019引([r(i)]l,...,[r(i)]n)^Share(r(i))for 1 y 如...(14)
[0199] 在步骤S113中,用户终端7的随机数分散值加密部17关于i = l,……,n,使用用户 装置7与第i个认证服务器9i的公共密钥,得到对分散值[rW]i,[rW]i,……山叫进行了 加密的密文化cus_i([卢>]1,[r ("]i,……,[rWW。
[0200] 在步骤Sl 14中,用户终端7的随机数分散值加密部17将在步骤Sl 13中得到的n个密 文Encus_i([r(w)]i,[r(i)]i,……,[r(n)]〇,……,Encus_n( [r(w)]n,[r。)]。,……,山。)]。)发送给 中间服务器8。
[0201] 在步骤S211中,中间服务器8的随机数分散值转发部27对从用户终端7接收到的n 个密文Encus_i([r(w)]i,[r(i)]i,……点(。)]1),……,Encus_n([卢)]。,[r。)]。,……山(。)]。)进 行接收,关于i = l,……,n,将密文化cus_i([r(w)]i,[r(i)]i,……,[rW],)分别发送给认证服 务器9i。
[0202] 在步骤S313中,认证服务器9i的随机数分散值解密部47接收从中间服务器8转发 的密文化cus_i([卢)]1,[r(i)]i,……,[r(n)]i)。
[0203] 在步骤S314中,认证服务器9i的随机数分散值解密部47使用用户终端7与认证服 务器9i的公共密钥,对从中间服务器8接收到的密文化cus_i([rW]i,[rW]i,……山叫1)进 行解密而得到n+1个分散值[rW]i,[rW]i,……,[r^]i。分散值[rW]i,[rW]i,……,[r W ] I存储至分散值存储部42。
[0204] 在图21所示的步骤S115中,用户终端7的零分散值生成部18生成若进行复原则成 为 0 的m+1 组分散概 0州)]1,……,[0(W)]n,[0(l)]l,……,[0(l)]n,……,[0(m)]l,……,[0扣)]口。
[0205] 在步骤S116中,用户终端7的零分散值加密部19关于i = l,……,n,使用用户装置7 与第i个认证服务器9i的公共密钥,得到对分散值[oWliJoW],,……,[0W]进行了加密 的密文化cus_i( [0(w)]i,[0(1)]1,……,[0(m)]i)。
[0206] 在步骤S117中,用户终端7的零分散值加密部1則尋在步骤S116中得到的n个密文 Encus_i([0W]i,[0(i)]i,……,[0(")]〇,……,Encus_n([0W]n,[0(i)]n,……,[0(m)]n)发送给中 间服务器8。
[0207] 在步骤S212中,中间服务器8的零分散值转发部28对从用户终端7接收到的n个密 文Encus_i([0W]i,[0(i)]i,……,[0(")]〇,……,Encus_n( [0?]。,[O。)]。,……,[0(。)]。)进行接 收,关于i = l,……,n,将密文化c^iaoWliJoW],,……,[0叫1)分别发送给认证服务器 9i O
[0208] 在步骤S315中,认证服务器9i的零分散值解密部48接收从中间服务器8转发的密 文 Encus_i([0W]i,[0(i)]i,……,[0(m)]i)。
[0209] 在步骤S316中,认证服务器9i的零分散值解密部48使用用户终端7与认证服务器9i 的公共密钥,对从中间服务器8接收到的密文化c^iaoWliJof^i,……,[0?]〇进行解 密而得到m+1个分散值[0W]i,[0W]i,……,如m)]i。将分散值[0W]i,[0W]i,……,[0?]1 存储至分散值存储部42。
[0210] 步骤Slll至步骤S316的处理与第一实施方式的多方安全认证方法同样,也可W与 步骤SlOl至步骤S302的处理并行执行,也可W独立预先进行。
[0211] [第四实施方式]
[0212] 第四实施方式的多方安全认证系统中,仅随机数生成阶段的处理与上述的实施方 式不同。第四实施方式的结构方法能够应用于第一实施方式至第=实施方式的多方安全认 证系统。
[0213] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[0214] <<随机数生成阶段>>
[0215] 说明第四实施方式所设及的随机数生成阶段的处理。在该实施方式中,将n台认证 服务器31,……,3n之中任意的n?k+l台组合的集合设为化1,……,be}。其中,B由W下式来定 义。
[0216]【数23】
[0218] 将n台认证服务器31,……,3n之中任意的n?m+2台组合的集合设为ki,……,cc}。 其中,C由W下式来定义。
[0219] 【数24】
[0221] 将n台认证服务器31,……,3n之中任意的n?m+l台组合的集合设为{山,……,do}。 其中,D由W下式来定义。
[0222] 【数25】
[0224] 在图6所示的步骤S311中,认证服务器3i的随机数分散值生成部31生成随机数或 者伪随机数……,uWb,关于iGbj具有{uWb_j},将其设为分散值[rW]i。随机数U Wi,……,uWb也可W由用户终端1生成而发送给各认证服务器31,……,3n,也可W由认证 服务器3l,……,3n相互生成而相互传送,也可W预先根据认证服务器3l,……,3n保持的伪 随机数的种子(seed)而生成。
[0225] 接着,认证服务器3i的随机数分散值生成部31关于j = l,……,n,生成随机数或者 伪随机数……关于jebh具有{u^bh},将其设为分散值[rW]i。随机数U Wl,……也可W由用户终端1生成而发送给各认证服务器31,……,3n,也可W由认证 服务器3l,……,3n相互生成而相互传送,也可W预先根据认证服务器3l,……,3n保持的伪 随机数的种子而生成。
[0226] 所生成的分散值[rW]i,[rW]i,……,[rW]i存储至分散值存储部42。
[0227] 在图6所示的步骤S312中,认证服务器3i的零分散值生成部32生成随机数或者伪 随机数u")i,……,u(*)c,关于iGcj具有{11押)〇},通过W下的式(巧),计算分散值[0W]i。 [022引【数26】
[0230] 在此,Sc_i,……,5。_〇是已知的常数。
[0231] 接着,认证服务器3i的随机数分散值生成部31关于j = l,……,m,生成随机数或者 伪随机数11叫,……,uWc,关于iEch具有{uWc_h},通过W下的式(16),计算分散值[0 (叫1。
[0232] 【数27】
[0234]所生成的分散值[0W]i,[0W]i,……,[0<m^存储至分散值存储部42。
[02巧][第五实施方式]
[0236] 第五实施方式的多方安全认证系统中,仅随机数生成阶段的处理与上述的实施方 式不同。第四实施方式的结构方法能够应用于第一实施方式至第=实施方式的多方安全认 证系统。
[0237] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[023引 << 随机数生成阶段>>
[0239] 说明第五实施方式所设及的随机数生成阶段的处理。在该实施方式的随机数生成 阶段中,步骤S311的处理与第四实施方式同样,仅步骤S312的处理与第四实施方式不同。
[0240] 在步骤S312中,认证服务器3i的零分散值生成部32生成随机数或者伪随机数U Wi,……,uWc,关于iecj具有{uW。」},通过W下的式(17),计算分散值[0W]i。
[0241] 【数28】
[02创在此,fc」是对各uWc」(l y <C)独有的函数,fc」(0) = l、fc」(g)=0(g不属于Cj) 成立。
[0244] 接着,认证服务器3i的随机数分散值生成部31关于j = l,……,m,生成随机数或者 伪随机数11叫,……,uWc,关于iEch具有{uWc_h},通过W下的式(18),计算分散值[0 (叫1。
[0245] 【数29】
[0247] [第六实施方式]
[0248] 第六实施方式的多方安全认证系统中,仅随机数生成阶段的处理与上述的实施方 式不同。第四实施方式的结构方法能够应用于第一实施方式至第=实施方式的多方安全认 证系统。
[0249] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[0巧0] <<随机数生成阶段>>
[0251] 说明第五实施方式所设及的随机数生成阶段的处理。在该实施方式的随机数生成 阶段中,步骤S312的处理与第四实施方式同样,仅步骤S311的处理与第四实施方式不同。
[0252] 在步骤S311中,认证服务器3i的随机数分散值生成部31生成随机数或者伪随机数 ……y%,关于ieb识有{u^b」},通过W下的式(19),计算分散值[rW]i。
[0巧3]【数30】
[0巧引在此,fb」是对各u(w)b」(l y非)独有的函数,fb」(0) = l、fb」(g)=0(g不属于bj) 成立 D 关于该方、法,在「民 onald Cramer ,Ivan Damgard ,and Yuval Ishai ,('Share conversion,pseudorandom secret-sharing and applications to secure computation,',TCC,Vol.3378of Lecture Notes in Computer Science,pp.342-362, 2005.(参考文献I)」中详细地被记载。
[0256] 接着,认证服务器3i的随机数分散值生成部31关于j二1,……,m,生成随机数或者 伪随机数11叫,……,uWb,关于iEbh具有{uWb_h},通过W下的式(20),计算分散值[rW]i。 [0巧7]【数31】
[0259] [第屯实施方式]
[0260] 第屯实施方式的多方安全认证系统中,仅随机数生成阶段的处理与上述的实施方 式不同。第屯实施方式的结构方法能够应用于第一实施方式至第=实施方式的多方安全认 证系统。
[0261] 第屯实施方式的随机数生成阶段的处理内容中,步骤S311的处理内容与第六实施 方式同样,步骤S312的处理内容与第五实施方式同样。详细的处理的过程请参照上述的第 六实施方式W及第五实施方式的说明。
[0262] [第八实施方式]
[0263] 第八实施方式的多方安全认证系统中,仅随机数生成阶段的处理与上述的实施方 式不同。第八实施方式的结构方法能够应用于第一实施方式至第=实施方式的多方安全认 证系统。
[0264] 在W后的说明中,W与第一实施方式不同的点为中屯、进行说明,关于与第一实施 方式同样的部分省略说明。
[02化] << 随机数生成阶段>>
[0266] 说明第八实施方式所设及的随机数生成阶段的处理。在该实施方式中,设为n台认 证服务器31,……,3n之中k<q<n那样的任意的q台参加而进行。W下,曰1,……,曰。是iW上 且nW下的不同的q个整数。
[0267] 在图6所示的步骤S311中,认证服务器3a_i的随机数分散值生成部31生成随机数 化,将随机数Ui使用化,n)秘密分散而分散为n个分散值[山]1,……,[m]n。随机数分散值生 成部31关于j = l,……,q,得到将分散值[Ui]aj使用第W个认证服务器3aj与第曰1个认证服 务器3a_i的公共密钥进行了加密的密文£1105_3_15_3」([山]3」)。随机数分散值生成部31关于占' =1,......,q,向认证服务器3a」发送密文E:ncs_a_is_a」([Ui ] 3」)。
[0%引接着,认证服务器3a_i的随机数分散值生成部31从q-1台认证服务器3a」(j = 1,......,q、aj 辛 Bi)接收 q-1个密文 Encs_a_is_a_i ([山]a_i),......,EnCS_a_qS_a_i( [Uq]a_i)(其中,除 了£]1。5_3_15_3_:1(山]3_0),关于^' = 1,......,q,将密文£]1。5_3」5_3_:1(山]3_1)使用第日才认证服 务器3a」与第ai个认证服务器3a_i的公共密钥进行解密而得到分散值[uja_i。作为结果,随机 数分散值生成部31与