【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明は、統計的一様性が十分に保証されないデバイスを利用する乱数発生装置に係り、特に、乱数の出現頻度の補正技術に関する。

【０００２】

【従来の技術】デバイス依存型の乱数発生器として、以下の２つのものが知られている。 （１）ＰＥＴカード型乱数発生器 ＰＥＴ（polyethylene terephthalate）カードの裏面に磁性繊維をランダムに散乱させ、さらにその表面に磁気層をコーティング又はラミネートする。 磁石を利用した特殊ヘッドをカード裏面の磁性繊維上を走行させて、その特殊ヘッドからの信号を読み取る。 読み取った信号は、散乱した磁性繊維に依存するレベルをもつ信号と考えられるので、この信号をサンプリング（アナログ／デジタル変換）し、サンプリング結果を当該ＰＥＴカードのユニークコードとして磁気層に書き込む。 このときのサンプリング結果を出力乱数として用いる。 つまり、カード裏面の磁性繊維の散らばり方は、一枚一枚異なる点、その散らばり方が予測できない点、さらに、同じ繊維の散らばり方を再現することが困難である点から、このＰＥＴカードを、一種の乱数発生器と扱っている。

【０００３】（２）ＩＣ型乱数発生器 ＩＣ（integrated circuit）カード内の暗号・認証プロトコルで用いる乱数として、ＩＣチップ内のあるデバイスの出力する自然乱数をサンプリングしたものを用いる。 この場合は、ＩＣチップ内のデバイスを乱数発生器として扱っていることになる。

【０００４】

【発明が解決しようとしている課題】従来のデバイス依存型の乱数発生器では、信号を一定間隔でサンプリングした結果を出力乱数として用いている。 このような出力乱数は、例えば電気信号等におけるノイズと同等に扱うことができるが、ノイズ等は、ガウス分布に従うこと、
つまり、一定の偏りをもっていることがあるため、従来の乱数発生器では、理想的な乱数発生器の性能として要求される統計的一様性がなくなってしまい、乱数を予測される確率が高くなってしまう危険性があった。

【０００５】このことを図面を参照して説明する。 図８
は、デバイスが出力する信号を一定の時間間隔で、「０
０００」から「１１１１」までの１６種類に割り当ててサンプリングを行った場合の例を示したものである。 この例では、１回のサンプリングにより、４ビットの情報を取得し、これを４回サンプリングすることで、１６ビットの情報（乱数）を出力する。 すなわち、最初の時点でのサンプリングでは「１０１０」をサンプリング結果として出力し、以後、「０１１０」、「００１０」、
「１１００」を出力し、これを乱数として扱っている。

【０００６】しかし、このような手法では、サンプリングの際に、「００００」から「１１１１」までの各ビットパターンそれぞれの出現確率が異なっているため、結局は、ガウス分布に従うことになる。 同様の手法を繰り返して４８ビットの乱数を発生させた場合の実測値を図９に示す。 図９において、横軸は出力される乱数、縦軸は出現頻度（回数）である。 本来、乱数発生器としての理想は、図１０に示されるように（縦軸と横軸は図９と同じ）、乱数が一様に分布して出現することであるが、
実際には、図８のような原理でサンプリングを行っているために、図９のようなガウス分布になってしまう。 この場合の情報エントロピーに基づく情報量を計算したところ、１３．０４ビットであり、乱数発生器として、セキュリティ性が要求される用途に利用される場合には、
乱数発生器そのものが、セキュリティホールとなる危険性があった。

【０００７】そこで本発明は、デバイス依存型の乱数発生器から出力される乱数をサンプリングする際の情報量の低下を抑制することができる、改良された乱数発生方法を提供することを課題とする。 本発明の他の課題は、
乱数としての性能を改善してセキュリティ強度を高めることができる乱数発生装置を提供することにある。

【０００８】

【課題を解決するための手段】上記課題を解決する本発明の乱数発生方法は、乱数の出現確率分布に一様性が保証されない乱数発生器における前記乱数の出現頻度の補正方法であって、前記乱数の出現確率の分布を実測した後、当該乱数の出現確率の分布偏差が均等に近づくサンプリング間隔幅を決定し、決定したサンプリング間隔幅で前記乱数をサンプリングして新たな乱数とすることを特徴とする。 実測する際の出現確率の分布間隔は、後でサンプリングするときの最小間隔幅よりもできるだけ小さな等間隔幅とすることが好ましい。

【０００９】また、上記課題を解決する本発明の乱数発生装置は、自然乱数を発生する乱数発生手段と、発生した自然乱数の出現確率分布を検出するとともに検出した出現確率分布の偏差が均等に近づくサンプリング間隔幅を決定し、決定したサンプリング間隔幅で前記自然乱数をサンプリングして乱数を出力する出力手段とを有することを特徴とする。 前記乱数発生手段は、例えば自然乱数を発生させるデバイスである。 出力手段は、サンプリング間隔幅を、前記乱数の最多出現点を中心として指数関数的に変化させるものである。

【００１０】

【発明の実施の形態】まず、本発明の乱数発生方法の実施の形態を説明する。 この方法は、以下の手順で乱数を発生させるものである。 （１）乱数発生器における乱数の出現確率分布を実測する。 デバイス依存型の乱数発生器における乱数の出現確率分布がガウス分布に従うことは前述のとおりである。
本発明では、乱数発生器から出力される乱数をサンプリングしてその出現確率分布を実測し、ガウス分布曲線に近似することを確認した上で、出現度数の平均値μ及び標準偏差δを求める。 このときのサンプリング数ｎは、
乱数としての情報量がＲビットである場合、「ｎ＝ｋ×
２ ^R 」（但しｋ：10≦ｋ≦100程度）が理想的であるが、
実際には、実情に応じて種々のサンプリング数を決定することになる。

【００１１】ここでは、以下のようなケース例を設定する。 （1-1）ｎが実行可能程度の大きさである場合 この場合は、サンプリング数ｎ＝ｋ×２ ^Rだけ乱数を取得し、平均値μ、標準偏差σを求め、出現確率分布を決定する。 （1-2）ｎが実行困難な程大きい場合 この場合は、以下の２パターンがある。 （1-2-1）ｒビットの乱数発生をｈ回繰り返すことで、
Ｒ＝ｒ×ｈビットとなっている場合 この場合は、サンプリング数ｎ＝ｋ×２ ^hだけ乱数を発生させ、平均値μ、標準偏差σを求めて出現確率分布を決定する。 （1-2-2）上記以外の場合 実行可能な程度のｎを適当に設定して、平均値μ、標準偏差σを求め、ヒストグラムにより出現確率分布を決定する。

【００１２】（２）次に、補正すべきサンプリング（再サンプリング）の間隔幅を決定する。 ガウス分布曲線をｆ（μ、σ）、このガウス分布曲線ｆ（μ、σ）を時刻ｔ１〜ｔ２まで積分することにより得られる値をＦ（ｔ
１，ｔ２，ｆ）、サンプリング間隔数をｍとし、下記のような関数を定義する。

【００１３】

【数１】 δ ₀ ＝Ｆ(ｔ(0),ｔ(1),ｆ(μ、σ))-Ｆ(-∞,ｔ(0),ｆ(μ、
σ)) δ _i ＝Ｆ(ｔ(i+1),ｔ(i+2),ｆ(μ、σ))-Ｆ(ｔ(i),ｔ(i+
1),ｆ(μ、σ)) （但し、１≦ｉ≦m-3） δ _m-1 ＝Ｆ(ｔ(m-2),∞,ｆ(μ、σ))-Ｆ(ｔ(m-1),ｔ(m-
2),ｆ(μ、σ)) Ｚ（m）＝Σδ ² _i （但し、ｉ＝０,１,・・・,m-2）

【００１４】このＺ（m）が最小となるｔ(i)を求めることで、最適なサンプリングの間隔幅を決定し、決定したサンプリング間隔幅で乱数を再サンプリングして新たな乱数とする。 これにより、乱数発生器における性能が改善される。

【００１５】以上の乱数発生方法の具体的な実施の仕方、例えば乱数発生器を搭載したＩＣ型乱数発生装置における実施の形態例を説明する。 図１は、このＩＣ型乱数発生装置のハードウエア構成図である。 すなわち、Ｃ
ＰＵ１１、ＲＯＭ１２、ＲＡＭ１３、ＥＥＰＲＯＭ１
４、改善したい乱数発生器１５を搭載したＩＣチップをカード媒体に埋め込んでＩＣ型乱数発生装置を構成している。 ＩＣチップには、図示しないＩ／Ｏ制御手段を介して外部装置（リーダライタ）が接続されるようになっている。 ＲＯＭ１２には、ＣＰＵ１１が読み込んで所定の機能を形成するためのプログラムコードが記録され、
ＥＥＰＲＯＭ１４には、暗号鍵や所有者情報等のセキュリティ情報が記録されている。 ＲＡＭ１３は、ＣＰＵ１
１によるデータ処理の作業領域として使用されるメモリである。

【００１６】図２は、ＣＰＵ１１がＲＯＭ１２のプログラムコードを読み出して実行することにより形成される機能ブロック構成図である。 信号解析部１１１は、入力部１０１を介して入力された電気信号、すなわち乱数発生器１５が自然乱数的に発生させた電気的信号をサンプリングしてその出現頻度を実測するものである。 このときのサンプリング間隔幅（つまり出現確率の分布間隔）
は、後述する改善後のサンプリング時の最小間隔幅よりも十分小さな等間隔幅とする。 サンプリング制御部１１
２は、信号解析部１１１がサンプリングした電気的信号（乱数）を再サンプリングする際に、信号解析部１１１
で実測した出現確率分布の偏差が均等に近づくサンプリング間隔幅を決定し、決定したサンプリング間隔幅で電気的信号をサンプリングするものである。 乱数出力部１
１３は、サンプリング制御部１１２でサンプリングした信号を乱数として出力部１０２から外部に出力するものである。

【００１７】次に、このＩＣ型乱数発生装置の具体的な動作を説明する。 まず、乱数発生器１５で、できるだけ小さい等間隔なサンプリング間隔で乱数を発生させ、大量のサンプリングデータ、すなわち乱数パターンを信号解析部１１１に入力させる。 信号解析部１１１は、各乱数パターンの度数表を作成する。 乱数発生器１５からｎ
ビットの乱数を発生させるためのサンプリングであれば、２ｎ−１通りの乱数パターンがあり、それぞれについて出現確率をもっている。 これを、乱数パターンx{i}
(0≦i≦２ ^n-1 −1)の出現確率p(i)と記述することにする。 つまり、Σp{i}=1(i=0〜2 ^n-1 −1)である。 このとき、iはそのままサンプリング間隔幅の境界線位置に相当すると考えることができる。

【００１８】サンプリング制御部１１２は、以下のようなアルゴリズムを実行することにより、最適なサンプリング間隔幅を決定し、乱数の出現頻度の改善を行う。

【００１９】

【数２】 Input ｎ ・・・ ｐ{i}（０≦ｉ≦２ ^n-1 −１ ・・・ begin Ｐ ＝２ ^n-1・・・ Ｑ＝１／Ｐ ・・・ for i＝1 to Ｐ−１ r{i}＝０ ・・・ Ｄo whiler{i}＜Ｑ r{i}＝r{i}＋p{j} ｊ ＝ｊ+1 ifｊ＞Ｐ−１ then・・・ print“caution” half end if Loop r{i}＝ｊ next i end Output：r{i}（０≦ｉ≦２ ^n-1 −１ ・・・

【００２０】上記アルゴリズムにおいて、，はサンプリングビット数ｎ、パターンｉにおける出現確率ｐ
{i}の定義を表す。 例えば、４ビットの乱数であれば、
全部で２ ⁴ ＝１６（＝Ｐ）通りのパターンがあり、“０
０００”，“０００１”〜“１１１０”，“１１１１”
となる。 この場合の各パターンは、それぞれ１／１６の確率で出現することが最も理想的である。 におけるＰ
はｎビットの全パターン数、におけるＱは各パターンの理想的出現確率である。 はサンプリング間隔の境界線位置r{i}の初期値、は理想的な乱数発生を実現するためのサンプリング間隔幅の境界線位置である。 は、
ｊが全パターン数Ｐを越えた場合は警告を出して実行を中断することを表す。 なお、この場合は、正常終了するまでサンプリングビット数を減らすようにする。 上記アルゴリズムの途中で実行中断した場合も同様である。

【００２１】乱数発生器１５が出力する信号を「０００
０」から「１１１１」までの１６種類に割り当ててサンプリングを行った場合の例を図３に示す。 この図は、従来手法の例を示した図８に対応するものである。

【００２２】（実例）次に、本実施形態のＩＣカード型乱数発生装置において、実際に乱数の出現頻度を改善する場合の具体例を説明する。 ここでは、図４に示すように、乱数の平均値（図の横軸）μが０．０、標準偏差σ
（図の縦軸）が２．００の正規分布に従う乱数を想定する。 このような分布の乱数を従来手法で２００ビットサンプリングした場合のエントロピー情報量は、各ビットパターンの出現確率をpiとすると、-Σ(pi×log(pi))で表される。 従って、この場合の理想的情報量（log ₂ (20
0)ビット）は、7.664ビットになる。 これに対し、実際の情報量は6.369ビットであり、情報減衰率は16.68％となる。 なお、２００ビットサンプリングを行うと、警告が出されて中断してしまう場合がある。 この場合は、サンプリングビット数を１６ビットに減らしてｌｏｇ
₂ （１６）ビットのサンプリングを１３回実行した後、
これらのビット情報をマージしていくことになる。

【００２３】本発明のアルゴリズムでサンプリング間隔幅を改善した場合の結果は、図５に示す通りとなる。 この図５のサンプリング間隔幅を図示したのが図６である。 図６の曲線分布の中にある縦直線の位置が最適なサンプリングの境界位置である。 図示のように、サンプリング間隔幅が、乱数の最多出現点を中心として指数関数的に変化している。 このようにすることで、出現確率分布は、図７に示すように、ほぼ一様な分布となる。 図７
の特性としては、理想情報量が４．０００ビットであるのに対し、実際の情報量は３．９９７ビットとなり、情報減衰率は、０．００７２％となる。 つまり、改善前は１６．６８％であった情報減衰率を０．００７２％まで低減することができた。

【００２４】このように、本発明では、サンプリング間隔幅を乱数パターンの出現確率を均等に近づけるようにしたので、ガウス分布曲線に近似する特性を統計的一様の特性に改善させることができ、セキュリティ性を高めることができるようになる。

【００２５】なお、本実施形態では、ＩＣ型乱数発生装置の例を示したが、他の種類のデバイス依存型の乱数発生器を有する乱数発生装置にも同様に適用が可能である。

【００２６】

【発明の効果】以上の説明から明らかなように、本発明によれば、統計的一様性が十分に保証されないデバイスを利用する乱数発生装置の性能を向上させることができる。 これにより、電子商取引、暗号装置やＩＣカードなどにおいて利用される暗号方式、通信プロトコルなどのセキュリティ性が要求される用途に本発明の乱数発生装置を使用する場合の安全性が増すという特有の効果を奏することができる。

【図面の簡単な説明】

【図１】本発明を適用したＩＣ型乱数発生装置の構成図。

【図２】本実施形態のＩＣ型乱数発生装置の機能ブロック構成図。

【図３】本実施形態によるサンプリングの原理説明図。

【図４】デバイス依存型乱数発生器における一般的な出現確率分布を示したグラフ。

【図５】本発明のアルゴリズムでサンプリング間隔幅を改善した場合の結果を示した図表。

【図６】改善後のサンプリング間隔幅の状態を図示したグラフ。

【図７】改善後の出現確率分布を示したグラフ。

【図８】デバイス依存型乱数発生器における従来のサンプリングの原理説明図。

【図９】従来手法による出現確率分布を示したグラフ。

【図１０】乱数発生器としての理想的な出現確率分布を示したグラフ

【符号の説明】

１１ ＣＰＵ １２ ＲＯＭ １３ ＲＡＭ １４ ＥＥＰＲＯＭ １５ デバイス依存型の乱数発生器 １０１ 入力部 １０２ 出力部 １１１ 信号解析部 １１２ サンプリング制御部 １１３ 乱数出力部