図面 (/)

技術 匿名証明システム、匿名証明方法、ユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置およびそれらのプログラム

出願人 日本電信電話株式会社
発明者 岡本龍明真鍋義文
出願日 2008年1月17日 (12年10ヶ月経過) 出願番号 2008-008239
公開日 2009年7月30日 (11年3ヶ月経過) 公開番号 2009-171323
状態 特許登録済
技術分野 暗号化・復号化装置及び秘密通信
主要キーワード 数値計算処理 確信的 権利証 物理的実体 実現手法 同型写像 多項式時間 PARI
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2009年7月30日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (15)

課題

匿名証明において、任意のユーザ装置正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできるという機能<1>と、ユーザ特定担当者装置が、検証時のデータから、ユーザ装置を特定することができるという機能<2>を共に持つ匿名証明技術を提供する。

解決手段

機能<1>:管理者装置はユーザ装置の秘密鍵離散対数問題の困難性に依拠して掩蔽された情報をブラックリストとして随意に保持する一方、検証者装置は、匿名証明に際して、ユーザ保有情報に対応する認証情報から匿名証明毎に作られたアドホック情報とブラックリストとの間に双線形写像双線形性に基づく関係の成立を検証する。機能<2>:検証者装置が受信したアドホック情報に含まれる情報とユーザ特定担当者装置の秘密鍵を用いてユーザ特定に繋がる情報を復元する。

概要

背景

例えば正当なユーザが有する権利権利証によって表象される。この権利証は、本発明に関わる技術分野では、コンピュータによって情報処理可能なデータそのものである。そして、匿名証明を行うシステム匿名証明システム)は、一般的にコンピュータで実現される管理者装置ユーザ装置検証者装置、および必要に応じて追加される機能を持つ担当者装置から構成され、以下の特徴を持つ。

<特徴>
ユーザ装置は、管理者装置に権利を表象する権利証の発行依頼し、権利証を得る。ユーザ装置は、この権利証を用いて検証者装置に対して、自分(ユーザ装置)が正当な権利者であることを何度でも証明可能である。検証者装置は、ユーザ装置に対応するユーザの名前や、ユーザ装置を特定する情報、それらの証明が同一のユーザ装置によって行われたのか否かなどのユーザ識別に寄与する情報を得ることが不可能である。

匿名証明システムの実現手法は従来から提案されているが、実際の運用を考えると下記機能(1)および(2)を持つことが望ましい(非特許文献1、2参照)。
(1)任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできる。
(2)検証時のデータから、ユーザ装置を特定することができる。

機能(1)が必要とされる背景の一例として、次のような場合を考えることができる。ユーザ(ユーザ装置)の所属が変わった場合などに、そのユーザ(ユーザ装置)を正当なユーザ(ユーザ装置)として認めないことが必要となる。例えば有効期限のように、権利証の発行時に決められた条件に依存するのではなく、管理者が時期に拠らずどのユーザに対しても正当なユーザとしての地位消失せしめる手続を実施可能であることが望ましい。

また、機能(2)が必要とされる背景の一例として、次のような場合を考えることができる。権利証を用いて正当な権利者であることを証明したユーザ(ユーザ装置)がその後に不正を行った場合、その不正を行ったのが誰であるかを、権限を持つ者(装置)が特定可能であることが望ましい。機能(2)を検証者装置が自ら可能であることは匿名性担保されないことと等価であるので、機能(2)を実現するための担当者装置としてユーザ特定担当者装置を追加して実現することが考えられる。
P. P. Tsang, M. H. Au, A. Kapadia and S. W. Smith : "Blacklistable anonymous credentials : blocking misbehaving users without TTPs", Proc. OfACMCCSO7, pp.72-81(2007).
J. Camenisch and A. Lysyanskaya : "An Efficient System for Non-transferable Anonymous Credentials with Optional Anonymity Revocation," EUROCRYPT 2001, LNCS Vol.2045, pp.93-118(2001).

概要

匿名証明において、任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできるという機能<1>と、ユーザ特定担当者装置が、検証時のデータから、ユーザ装置を特定することができるという機能<2>を共に持つ匿名証明技術を提供する。機能<1>:管理者装置はユーザ装置の秘密鍵離散対数問題の困難性に依拠して掩蔽された情報をブラックリストとして随意に保持する一方、検証者装置は、匿名証明に際して、ユーザ保有情報に対応する認証情報から匿名証明毎に作られたアドホック情報とブラックリストとの間に双線形写像双線形性に基づく関係の成立を検証する。機能<2>:検証者装置が受信したアドホック情報に含まれる情報とユーザ特定担当者装置の秘密鍵を用いてユーザ特定に繋がる情報を復元する。

目的

そこで本発明は、匿名証明において、任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできるという機能<1>と、ユーザ特定担当者装置が、検証時のデータから、ユーザ装置を特定することができるという機能<2>を共に持つ匿名証明技術を提供する。

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

複数のユーザ装置管理者装置検証者装置ユーザ特定担当者装置から構成される匿名証明システムであって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があり、eをe:G1×G2→GTである双線形写像とし、管理者装置の公開鍵g2は群G2の生成元から選択されており、各ユーザ装置の秘密鍵はZp*から選択されており、各ユーザ装置は、保有していることの証明の対象である情報(ユーザ保有情報m)を記憶する記憶手段と、管理者装置の公開鍵g2と自身のユーザ装置の秘密鍵qとを用いて群G2上の演算を行いg2qを求め、さらにg2qに対する署名を求める認証情報要求手段と、ユーザ保有情報mと認証情報要求手段によって得られたg2qと署名を管理者装置に送信する送信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られた群G1の元である情報σを含む認証情報を管理者装置から受信する受信手段と、任意に選択した群G1の元により情報σに対して群G1上の演算を行い情報σ1を求め、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記選択された群G1の元により関連付けられた群G2の元Dを求め、前記選択された群G1の元とは異なる任意に選択した群G1の生成元に対して自身のユーザ装置の秘密鍵qを用いた群G1上の演算結果Xを求めて、これらの組合せであるアドホック情報を生成する認証情報掩蔽手段と、アドホック情報を検証者装置に送信する送信手段とを備え、管理者装置は、ユーザ装置からユーザ保有情報mとg2qと署名を受信する受信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られる群G1の元である情報σを含む認証情報を求める認証情報生成手段と、情報σを含む認証情報をユーザ装置に送信する送信手段と、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)、並びに、情報σを含む認証情報とユーザ保有情報mとg2qと署名との組み合わせを記憶する記憶手段と、ブラックリストBL=(b1,b2,…,bn)を検証者装置に送信する送信手段とを備え、検証者装置は、管理者装置からブラックリストBL=(b1,b2,…,bn)を受信する受信手段と、ユーザ装置からアドホック情報を受信する受信手段と、アドホック情報に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証するブラックリスト検証手段と、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証するアドホック情報検証手段と、アドホック情報に含まれる情報σ1と群G2の元Dをユーザ特定担当者装置に送信する送信手段とを備え、ユーザ特定担当者装置は、検証者装置からアドホック情報に含まれる情報σ1と群G2の元Dを受信する受信手段と、ユーザ特定担当者装置の群G2から選択された秘密鍵と情報σ1と群G2の元Dを用いて情報σを復元する認証情報復元手段とを備えることを特徴とする匿名証明システム。

請求項2

g2,u2,v2を群G2の生成元とし、x∈Zp*とし、w2←g2xとし、ξ,η∈Zp*とし、U←g2ξ、V←g2ηとし、管理者装置の公開鍵をg2,u2,v2,w2とし、管理者装置の秘密鍵をxとし、ユーザ特定担当者装置の公開鍵をU,V、ユーザ特定担当者装置の秘密鍵をξ,ηとして、各ユーザ装置において、認証情報掩蔽手段は、任意に選択したλ,ζ,θ,μ∈Zp*とf,h∈G1′(G1′:群G1の生成元の集合)を用いた各演算結果σ1←σ・Ψ(g2)λ+ζ、α1←(w2g2r)θ、β1←(g2mg2qu2v2s)θ・α1λ+ζ、γ←Ψ(U)λ、δ←Ψ(V)ζ、X←fqhμで構成される(σ1,α1,β1,γ,δ,X,f,h,g2μ)をアドホック情報として生成するものであり、管理者装置において、認証情報生成手段は、任意に選択したr,s∈Zp*を用いた演算結果(Ψ(g2)mΨ(g2)qΨ(u2)Ψ(v2)s)1/(x+r)である情報σを含む(σ,r,s)を認証情報として求めるものであり、検証者装置において、ブラックリスト検証手段は、e(X,g2)=e(f,bi)e(h,g2μ)の成立をbi(1≦i≦n)について検証するものであり、アドホック情報検証手段は、e(σ1,α1)=e(g1,β1)の成立を検証するものであり、ユーザ特定担当者装置において、認証情報復元手段は、演算σ1/(γ1/ξδ1/η)により情報σを復元するものであることを特徴とする請求項1に記載の匿名証明システム。

請求項3

匿名証明方法であって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があり、eをe:G1×G2→GTである双線形写像とし、管理者装置の公開鍵g2は群G2の生成元から選択されており、各ユーザ装置の秘密鍵はZp*から選択されており、各ユーザ装置の記憶手段には、保有していることの証明の対象である情報(ユーザ保有情報m)が記憶されており、管理者装置の記憶手段には、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)が記憶されており、ユーザ装置の認証情報要求手段が、管理者装置の公開鍵g2と自身のユーザ装置の秘密鍵qとを用いて群G2上の演算を行いg2qを求め、さらにg2qに対する署名を求める認証情報要求ステップと、ユーザ装置の送信手段が、ユーザ保有情報mとg2qと署名を管理者装置に送信する送信ステップと、管理者装置の受信手段が、ユーザ装置からユーザ保有情報mとg2qと署名を受信する受信ステップと、管理者装置の認証情報生成手段が、ユーザ保有情報mとΨ(g2q)とを用いて得られる群G1の元である情報σを含む認証情報を求める認証情報生成ステップと、管理者装置の送信手段が、情報σを含む認証情報をユーザ装置に送信する送信ステップと、ユーザ装置の受信手段が、ユーザ保有情報mとΨ(g2q)とを用いて得られた群G1の元である情報σを含む認証情報を管理者装置から受信する受信ステップと、ユーザ装置の認証情報掩蔽手段が、任意に選択した群G1の元により情報σに対して群G1上の演算を行い情報σ1を求め、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記選択された群G1の元により関連付けられた群G2の元Dを求め、前記選択された群G1の元とは異なる任意に選択した群G1の生成元に対して自身のユーザ装置の秘密鍵qを用いた群G1上の演算結果Xを求めて、これらの組合せであるアドホック情報を生成する認証情報掩蔽ステップと、ユーザ装置の送信手段が、アドホック情報を検証者装置に送信する送信ステップと、検証者装置の受信手段が、ユーザ装置からアドホック情報を受信する受信ステップと、管理者装置の送信手段が、ブラックリストBL=(b1,b2,…,bn)を検証者装置に送信する送信ステップと、検証者装置の受信手段が、管理者装置からブラックリストBL=(b1,b2,…,bn)を受信する受信ステップと、検証者装置のブラックリスト検証手段が、アドホック情報に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証するブラックリスト検証ステップと、検証者装置のアドホック情報検証手段が、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証するアドホック情報検証ステップと、検証者装置の送信手段が、アドホック情報に含まれる情報σ1と群G2の元Dをユーザ特定担当者装置に送信する送信ステップと、ユーザ特定担当者装置の受信手段が、検証者装置からアドホック情報に含まれる情報σ1と群G2の元Dを受信する受信ステップと、ユーザ特定担当者装置の認証情報復元手段が、ユーザ特定担当者装置の群G2から選択された秘密鍵と情報σ1と群G2の元Dを用いて情報σを復元する認証情報復元ステップとを有することを特徴とする匿名証明方法。

請求項4

複数のユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置から構成される匿名証明システムにおけるユーザ装置であって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があるとして、保有していることの証明の対象である情報(ユーザ保有情報m)を記憶する記憶手段と、管理者装置の群G2の生成元から選択された公開鍵g2と自身のユーザ装置のZp*から選択された秘密鍵qとを用いて群G2上の演算を行いg2qを求め、さらにg2qに対する署名を求める認証情報要求手段と、ユーザ保有情報mと認証情報要求手段によって得られたg2qと署名を管理者装置に送信する送信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られた群G1の元である情報σを含む認証情報を管理者装置から受信する受信手段と、任意に選択した群G1の元により情報σに対して群G1上の演算を行い情報σ1を求め、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記選択された群G1の元により関連付けられた群G2の元Dを求め、前記選択された群G1の元とは異なる任意に選択した群G1の生成元に対して自身のユーザ装置の秘密鍵qを用いた群G1上の演算結果Xを求めて、これらの組合せであるアドホック情報を生成する認証情報掩蔽手段と、アドホック情報を検証者装置に送信する送信手段とを備えたユーザ装置。

請求項5

複数のユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置から構成される匿名証明システムにおける管理者装置であって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があるとして、ユーザ保有情報mと、管理者装置の群G2の生成元から選択された公開鍵g2とユーザ装置のZp*から選択された秘密鍵qとから得られたg2qと、g2qに対する署名をユーザ装置から受信する受信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られる群G1の元である情報σを含む認証情報を求める認証情報生成手段と、情報σを含む認証情報をユーザ装置に送信する送信手段と、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)、並びに、情報σを含む認証情報とユーザ保有情報mとg2qと署名との組み合わせを記憶する記憶手段と、ブラックリストBL=(b1,b2,…,bn)を検証者装置に送信する送信手段とを備えた管理者装置。

請求項6

複数のユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置から構成される匿名証明システムにおける検証者装置であって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があり、eをe:G1×G2→GTである双線形写像として、管理者装置から、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、管理者装置の群G2の生成元から選択された公開鍵g2とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)を受信する受信手段と、ユーザ保有情報mとΨ(g2q)を用いて得られた群G1の元である情報σに対して群G1の元による群G1上の演算で得られた情報σ1と、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記の群G1の元により関連付けられた群G2の元Dと、前記の群G1の元とは異なる群G1の生成元に対してユーザ装置の秘密鍵qを用いた群G1上の演算結果Xとの組合せであるアドホック情報をユーザ装置から受信する受信手段と、アドホック情報に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証するブラックリスト検証手段と、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証するアドホック情報検証手段と、アドホック情報に含まれる情報σ1と群G2の元Dをユーザ特定担当者装置に送信する送信手段とを備えた検証者装置。

請求項7

複数のユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置から構成される匿名証明システムにおけるユーザ特定担当者装置であって、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があるとして、ユーザ保有情報mとΨ(g2q)を用いて得られた群G1の元である情報σに対して群G1の元による群G1上の演算で得られた情報σ1と、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記の群G1の元により関連付けられた群G2の元Dと、前記の群G1の元とは異なる群G1の生成元に対してユーザ装置の秘密鍵qを用いた群G1上の演算結果Xとの組合せであるアドホック情報に含まれる情報σ1と群G2の元Dを検証者装置から受信する受信手段と、ユーザ特定担当者装置の群G2から選択された秘密鍵と情報σ1と群G2の元Dを用いて情報σを復元する認証情報復元手段とを備えたユーザ特定担当者装置。

請求項8

コンピュータを請求項4に記載のユーザ装置として機能させるためのプログラム

請求項9

コンピュータに請求項5に記載の管理者装置として機能させるためのプログラム。

請求項10

コンピュータに請求項6に記載の検証者装置として機能させるためのプログラム。

請求項11

コンピュータを請求項7に記載のユーザ特定担当者装置として機能させるためのプログラム。

技術分野

0001

本発明は、権限を有する者から認められたユーザが、例えばユーザの名前や、以前に証明を行ったユーザと同じユーザであるかなどのユーザ識別に寄与する情報を検証者秘匿して匿名のまま、或る情報(ユーザ保有情報)を保有することのみを検証者に証明する匿名証明技術に関わる。

背景技術

0002

例えば正当なユーザが有する権利権利証によって表象される。この権利証は、本発明に関わる技術分野では、コンピュータによって情報処理可能なデータそのものである。そして、匿名証明を行うシステム匿名証明システム)は、一般的にコンピュータで実現される管理者装置ユーザ装置検証者装置、および必要に応じて追加される機能を持つ担当者装置から構成され、以下の特徴を持つ。

0003

<特徴>
ユーザ装置は、管理者装置に権利を表象する権利証の発行依頼し、権利証を得る。ユーザ装置は、この権利証を用いて検証者装置に対して、自分(ユーザ装置)が正当な権利者であることを何度でも証明可能である。検証者装置は、ユーザ装置に対応するユーザの名前や、ユーザ装置を特定する情報、それらの証明が同一のユーザ装置によって行われたのか否かなどのユーザ識別に寄与する情報を得ることが不可能である。

0004

匿名証明システムの実現手法は従来から提案されているが、実際の運用を考えると下記機能(1)および(2)を持つことが望ましい(非特許文献1、2参照)。
(1)任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできる。
(2)検証時のデータから、ユーザ装置を特定することができる。

0005

機能(1)が必要とされる背景の一例として、次のような場合を考えることができる。ユーザ(ユーザ装置)の所属が変わった場合などに、そのユーザ(ユーザ装置)を正当なユーザ(ユーザ装置)として認めないことが必要となる。例えば有効期限のように、権利証の発行時に決められた条件に依存するのではなく、管理者が時期に拠らずどのユーザに対しても正当なユーザとしての地位消失せしめる手続を実施可能であることが望ましい。

0006

また、機能(2)が必要とされる背景の一例として、次のような場合を考えることができる。権利証を用いて正当な権利者であることを証明したユーザ(ユーザ装置)がその後に不正を行った場合、その不正を行ったのが誰であるかを、権限を持つ者(装置)が特定可能であることが望ましい。機能(2)を検証者装置が自ら可能であることは匿名性担保されないことと等価であるので、機能(2)を実現するための担当者装置としてユーザ特定担当者装置を追加して実現することが考えられる。
P. P. Tsang, M. H. Au, A. Kapadia and S. W. Smith : "Blacklistable anonymous credentials : blocking misbehaving users without TTPs", Proc. OfACMCCSO7, pp.72-81(2007).
J. Camenisch and A. Lysyanskaya : "An Efficient System for Non-transferable Anonymous Credentials with Optional Anonymity Revocation," EUROCRYPT 2001, LNCS Vol.2045, pp.93-118(2001).

発明が解決しようとする課題

0007

上記非特許文献1では機能(1)を実現する手法として、権利者であることの証明が行われた時の検証で得た情報を基に検証者がブラックリスト(以下、BL略記することもある。)を構築する。そして、ブラックリストに掲載された検証を行ったユーザは爾後、検証に成功することができなくなる。
しかし、この方式は、権利保有の証明を少なくとも一度行ったユーザに対してのみBLの構築が可能であり、権利保有の証明が一度も行われなかったユーザに対して正当なユーザとしての地位を消失させることはできない。

0008

上記非特許文献2では機能(2)が実現されているが、そこで採用された暗号プロトコルから、匿名証明システムに機能(1)を実装することができない。

0009

機能(2)が実現されているシステムで機能(1)を実現する手法として、権利証の検証時に検証者装置がユーザ特定担当者装置に照会して、ユーザ特定担当者装置がユーザ装置を明らかにして失効か否かを検証者装置に回答する手法も考えられる。しかし、この手法は検証者装置とユーザ特定担当者装置との間の通信が必ず発生する点で効率的ではない。従って、検証者装置自身が検証相手のユーザが正当なユーザであるか否かを判断可能である必要がある。

0010

そこで本発明は、匿名証明において、任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできるという機能<1>と、ユーザ特定担当者装置が、検証時のデータから、ユーザ装置を特定することができるという機能<2>を共に持つ匿名証明技術を提供する。

課題を解決するための手段

0011

上記課題を解決するために、本発明の匿名証明システムは、複数のユーザ装置、管理者装置、検証者装置、ユーザ特定担当者装置から構成され、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があり、eをe:G1×G2→GTである双線形写像とし、管理者装置の公開鍵g2は群G2の生成元から選択されており、各ユーザ装置の秘密鍵はZp*から選択されており、各ユーザ装置は、保有していることの証明の対象である情報(ユーザ保有情報m)を記憶する記憶手段と、管理者装置の公開鍵g2と自身のユーザ装置の秘密鍵qとを用いて群G2上の演算を行いg2qを求め、さらにg2qに対する署名を求める認証情報要求手段と、ユーザ保有情報mと認証情報要求手段によって得られたg2qと署名を管理者装置に送信する送信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られた群G1の元である情報σを含む認証情報を管理者装置から受信する受信手段と、任意に選択した群G1の元により情報σに対して群G1上の演算を行い情報σ1を求め、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記選択された群G1の元により関連付けられた群G2の元Dを求め、前記選択された群G1の元とは異なる任意に選択した群G1の生成元に対して自身のユーザ装置の秘密鍵qを用いた群G1上の演算結果Xを求めて、これらの組合せであるアドホック情報を生成する認証情報掩蔽手段と、アドホック情報を検証者装置に送信する送信手段とを備え、管理者装置は、ユーザ装置からユーザ保有情報mとg2qと署名を受信する受信手段と、ユーザ保有情報mとΨ(g2q)とを用いて得られる群G1の元である情報σを含む認証情報を求める認証情報生成手段と、情報σを含む認証情報をユーザ装置に送信する送信手段と、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)、並びに、情報σを含む認証情報とユーザ保有情報mとg2qと署名との組み合わせを記憶する記憶手段と、ブラックリストBL=(b1,b2,…,bn)を検証者装置に送信する送信手段とを備え、検証者装置は、管理者装置からブラックリストBL=(b1,b2,…,bn)を受信する受信手段と、ユーザ装置からアドホック情報を受信する受信手段と、アドホック情報に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証するブラックリスト検証手段と、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証するアドホック情報検証手段と、アドホック情報に含まれる情報σ1と群G2の元Dをユーザ特定担当者装置に送信する送信手段とを備え、ユーザ特定担当者装置は、検証者装置からアドホック情報に含まれる情報σ1と群G2の元Dを受信する受信手段と、ユーザ特定担当者装置の群G2から選択された秘密鍵と情報σ1と群G2の元Dを用いて情報σを復元する認証情報復元手段とを備えている。

0012

このように、機能<1>に関して、管理者装置はユーザ装置の秘密鍵が離散対数問題の困難性に依拠して掩蔽されたb1,b2,…,bnをブラックリストとして随意に保持することができる一方、検証者装置は、匿名証明に際して認証情報から作られたアドホック情報内に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証し、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証することにより、ユーザ識別に寄与する情報を検証者が知ることなく、検証の相手方であるユーザ装置について、権限を有する者(管理者装置)から認められた正当なユーザ装置であり(つまり、ブラックリストBLに含まれるユーザ装置ではないこと)、且つ、ユーザ保有情報mを持っていることを判定できる。

0013

また、機能<2>に関して、検証者装置が受信したアドホック情報に含まれる情報σ1がユーザ特定担当者装置の群G2から選択された秘密鍵を用いて情報σを復元できるため、検証者装置による検証ではユーザ装置の匿名性が担保されつつ、この検証時のデータからユーザ特定担当者装置によるユーザ装置の特定を可能とするものとなっている。

0014

また、本発明の匿名証明方法は、G1、G2、GTを群の位数pの巡回群とし、同型写像Ψによって群G1の生成元と群G2の生成元との間に一対一の関係があり、eをe:G1×G2→GTである双線形写像とし、管理者装置の公開鍵g2は群G2の生成元から選択されており、各ユーザ装置の秘密鍵はZp*から選択されており、各ユーザ装置の記憶手段には、保有していることの証明の対象である情報(ユーザ保有情報m)が記憶されており、管理者装置の記憶手段には、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とし、bi=g2^qiとして、正当なユーザ装置として認めていないユーザ装置のリストであるブラックリストBL=(b1,b2,…,bn)が記憶されており、ユーザ装置の認証情報要求手段が、管理者装置の公開鍵g2と自身のユーザ装置の秘密鍵qとを用いて群G2上の演算を行いg2qを求め、さらにg2qに対する署名を求める認証情報要求ステップと、ユーザ装置の送信手段が、ユーザ保有情報mとg2qと署名を管理者装置に送信する送信ステップと、管理者装置の受信手段が、ユーザ装置からユーザ保有情報mとg2qと署名を受信する受信ステップと、管理者装置の認証情報生成手段が、ユーザ保有情報mとΨ(g2q)とを用いて得られる群G1の元である情報σを含む認証情報を求める認証情報生成ステップと、管理者装置の送信手段が、情報σを含む認証情報をユーザ装置に送信する送信ステップと、ユーザ装置の受信手段が、ユーザ保有情報mとΨ(g2q)とを用いて得られた群G1の元である情報σを含む認証情報を管理者装置から受信する受信ステップと、ユーザ装置の認証情報掩蔽手段が、任意に選択した群G1の元により情報σに対して群G1上の演算を行い情報σ1を求め、ユーザ特定担当者装置の群G2から選択された公開鍵に対する同型写像Ψに対して前記選択された群G1の元により関連付けられた群G2の元Dを求め、前記選択された群G1の元とは異なる任意に選択した群G1の生成元に対して自身のユーザ装置の秘密鍵qを用いた群G1上の演算結果Xを求めて、これらの組合せであるアドホック情報を生成する認証情報掩蔽ステップと、ユーザ装置の送信手段が、アドホック情報を検証者装置に送信する送信ステップと、検証者装置の受信手段が、ユーザ装置からアドホック情報を受信する受信ステップと、管理者装置の送信手段が、ブラックリストBL=(b1,b2,…,bn)を検証者装置に送信する送信ステップと、検証者装置の受信手段が、管理者装置からブラックリストBL=(b1,b2,…,bn)を受信する受信ステップと、検証者装置のブラックリスト検証手段が、アドホック情報に含まれる演算結果XとブラックリストBLに含まれるb1,b2,…,bnとの間に双線形写像eの双線形性に基づく関係の成立を検証するブラックリスト検証ステップと、検証者装置のアドホック情報検証手段が、アドホック情報に含まれる情報σ1とΨ(g2)との間に双線形写像eの双線形性に基づく関係の成立を検証するアドホック情報検証ステップと、検証者装置の送信手段が、アドホック情報に含まれる情報σ1と群G2の元Dをユーザ特定担当者装置に送信する送信ステップと、ユーザ特定担当者装置の受信手段が、検証者装置からアドホック情報に含まれる情報σ1と群G2の元Dを受信する受信ステップと、ユーザ特定担当者装置の認証情報復元手段が、ユーザ特定担当者装置の群G2から選択された秘密鍵と情報σ1と群G2の元Dを用いて情報σを復元する認証情報復元ステップとを有する。

0015

また、ユーザ装置としてコンピュータを機能させるプログラムによって、コンピュータをユーザ装置として作動処理させることができる。同様に、管理者装置としてコンピュータを機能させるプログラムによって、コンピュータを管理者装置として作動処理させることができる。同様に、検証者装置としてコンピュータを機能させるプログラムによって、コンピュータを検証者装置として作動処理させることができる。同様に、ユーザ特定担当者装置としてコンピュータを機能させるプログラムによって、コンピュータをユーザ特定担当者装置として作動処理させることができる。

発明の効果

0016

本発明によれば、上述の技術構成により、匿名証明において、任意のユーザ装置を正当なユーザ装置として認めないことを、ユーザ装置と検証者装置との間の匿名証明のプロセスとは独立に、管理者装置が自由にできるという機能<1>と、ユーザ特定担当者装置が、検証時のデータから、ユーザ装置を特定することができるという機能<2>とが共に実現される。

発明を実施するための最良の形態

0017

《実施形態》
図面を参照して、本発明の実施形態を説明する。
実施形態で説明する本発明の細部においては、整数論における数値計算処理が必要となる場合があるが、整数論における数値計算処理自体は、従来的な技術と同様にして達成されるので、その演算処理方法などの詳細な説明は省略する(この点の技術水準を示す整数論における数値計算処理が可能なソフトウェアとしては、例えばPARI/GP、KANT/KASHなどが挙げられる。PARI/GPについては、例えばインターネット〈URL: http://pari.math.u-bordeaux.fr/〉[平成19年1月10日検索]を参照のこと。KANT/KASHについては、例えばインターネット〈URL: http://www.math.tu-berlin.de/algebra/〉[平成19年1月10日検索]を参照のこと。)。
また、この点に関する文献として、参考文献1を挙げることができる。
(参考文献1) H. Cohen, "A Course in Computational Algebraic Number Theory",GTM 138, Springer-Verlag, 1993.

0018

[管理者装置]
図1は、実施形態に係わる管理者装置100のハードウェア構成を例示した構成ブロック図である。

0019

図1に例示するように、管理者装置100は、キーボードなどが接続可能な入力部11、液晶ディスプレイなどが接続可能な出力部12、管理者装置100外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部13、CPU(Central Processing Unit)14(キャッシュメモリなどを備えていてもよい。)、メモリであるRAM15やROM16、ハードディスクである外部記憶装置17並びにこれらの入力部11、出力部12、通信部13、CPU14、RAM15、ROM16、外部記憶装置17間のデータのやり取りが可能なように接続するバス18を有している。また必要に応じて、管理者装置100に、CD−ROMなどの記憶媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

0020

管理者装置100の外部記憶装置17には、認証情報の生成等に関わるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えば読み出し専用記憶装置であるROMにプログラムやデータなどを記憶させておくなどでもよい。)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。以下、演算結果やその格納領域のアドレスなどを記憶するRAM15やレジスタなどの記憶装置を単に「記憶部」と呼ぶことにする。

0021

より具体的には、管理者装置100の外部記憶装置17(あるいはROMなど)には、鍵生成するためのプログラム、認証情報を生成するためのプログラム、通信制御するためのプログラム並びにこれらのプログラムの処理において必要となるデータなどが記憶されている。

0022

管理者装置100では、外部記憶装置17(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じて記憶部19に読み込まれて、適宜にCPU14で解釈実行・処理される。その結果、CPU14が所定の機能(鍵生成部、認証情報生成部、通信制御部)を実現する。

0023

[ユーザ装置]
図2は、実施形態に係わるユーザ装置200のハードウェア構成を例示した構成ブロック図である。

0024

図2に例示するように、ユーザ装置200は、キーボードなどが接続可能な入力部21、液晶ディスプレイなどが接続可能な出力部22、ユーザ装置200外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部23、CPU(Central Processing Unit)24(キャッシュメモリなどを備えていてもよい。)、メモリであるRAM25やROM26、ハードディスクである外部記憶装置27並びにこれらの入力部21、出力部22、通信部23、CPU24、RAM25、ROM26、外部記憶装置27間のデータのやり取りが可能なように接続するバス28を有している。また必要に応じて、ユーザ装置200に、CD−ROMなどの記憶媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

0025

ユーザ装置200の外部記憶装置27には、匿名証明等に関わるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えば読み出し専用記憶装置であるROMにプログラムやデータなどを記憶させておくなどでもよい。)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。以下、演算結果やその格納領域のアドレスなどを記憶するRAM25やレジスタなどの記憶装置を単に「記憶部」と呼ぶことにする。

0026

より具体的には、ユーザ装置200の外部記憶装置27(あるいはROMなど)には、鍵生成するためのプログラム、認証情報の生成を要求するためのプログラム、認証情報の正当性を確認するためのプログラム、認証情報を匿名証明毎にアドホックな情報を生成するためのプログラム、ゼロ知識証明を実行するためのプログラム、通信制御するためのプログラム並びにこれらのプログラムの処理において必要となるデータ(ユーザ保有情報mなど)などが記憶されている。

0027

ユーザ保有情報mは、人間的な観点から意味づけする(例えば、ユーザ保有情報mが財産権などの権利を表象する場合や、何らかの事実を表す場合などである。)こともできるものであるが、ソフトウェアとハードウェアとの協働による情報処理の観点からは、コンピュータで情報処理(より詳しくはコンピュータで演算可能な演算体系下での演算処理)を行うことのできるデータである。ユーザ保有情報mは、ユーザ装置ごとに異なるものであってよい。

0028

ユーザ装置200では、外部記憶装置27(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じて記憶部29に読み込まれて、適宜にCPU24で解釈実行・処理される。その結果、CPU24が所定の機能(鍵生成部、認証情報要求部、認証情報確認部、認証情報掩蔽部、ゼロ知識証明部、通信制御部)を実現する。

0029

[検証者装置]
図3は、実施形態に係わる検証者装置300のハードウェア構成を例示した構成ブロック図である。

0030

図3に例示するように、検証者装置300は、キーボードなどが接続可能な入力部31、液晶ディスプレイなどが接続可能な出力部32、検証者装置300外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部33、CPU(Central Processing Unit)34(キャッシュメモリなどを備えていてもよい。)、メモリであるRAM35やROM36、ハードディスクである外部記憶装置37並びにこれらの入力部31、出力部32、通信部33、CPU34、RAM35、ROM36、外部記憶装置37間のデータのやり取りが可能なように接続するバス38を有している。また必要に応じて、検証者装置300に、CD−ROMなどの記憶媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

0031

検証者装置300の外部記憶装置37には、匿名証明やユーザ特定に関わるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えば読み出し専用記憶装置であるROMにプログラムやデータなどを記憶させておくなどでもよい。)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。以下、演算結果やその格納領域のアドレスなどを記憶するRAM35やレジスタなどの記憶装置を単に「記憶部」と呼ぶことにする。

0032

より具体的には、検証者装置300の外部記憶装置37(あるいはROMなど)には、ゼロ知識証明を実行するためのプログラム、匿名証明相手のユーザ装置が管理者装置の作成したブラックリストにリストアップされているか否かを検証するためのプログラム、匿名証明相手のユーザ装置が作成したアドホック情報を検証するためのプログラム、後述するユーザ特定担当者装置が実質的に特定したユーザ装置を確認するためのプログラム、通信制御するためのプログラム並びにこれらのプログラムの処理において必要となるデータなどが記憶されている。

0033

検証者装置300では、外部記憶装置37(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じて記憶部39に読み込まれて、適宜にCPU34で解釈実行・処理される。その結果、CPU34が所定の機能(ゼロ知識証明部、ブラックリスト検証部、アドホック情報検証部、ユーザ確認部、通信制御部)を実現する。

0034

[ユーザ特定担当者装置]
図4は、実施形態に係わるユーザ特定担当者装置400のハードウェア構成を例示した構成ブロック図である。

0035

図4に例示するように、ユーザ特定担当者装置400は、キーボードなどが接続可能な入力部41、液晶ディスプレイなどが接続可能な出力部42、ユーザ特定担当者装置400外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部43、CPU(Central Processing Unit)44(キャッシュメモリなどを備えていてもよい。)、メモリであるRAM45やROM46、ハードディスクである外部記憶装置47並びにこれらの入力部41、出力部42、通信部43、CPU44、RAM45、ROM46、外部記憶装置47間のデータのやり取りが可能なように接続するバス48を有している。また必要に応じて、ユーザ特定担当者装置400に、CD−ROMなどの記憶媒体を読み書きできる装置(ドライブ)などを設けるとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

0036

ユーザ特定担当者装置400の外部記憶装置47には、ユーザ特定に関わるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えば読み出し専用記憶装置であるROMにプログラムやデータなどを記憶させておくなどでもよい。)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。以下、演算結果やその格納領域のアドレスなどを記憶するRAM45やレジスタなどの記憶装置を単に「記憶部」と呼ぶことにする。

0037

より具体的には、ユーザ特定担当者装置400の外部記憶装置47(あるいはROMなど)には、鍵生成するためのプログラム、検証者装置から送られた情報を基に認証情報を復元するためのプログラム、ゼロ知識証明を実行するためのプログラム、通信制御するためのプログラム並びにこれらのプログラムの処理において必要となるデータなどが記憶されている。

0038

ユーザ特定担当者装置400では、外部記憶装置47(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じて記憶部49に読み込まれて、適宜にCPU44で解釈実行・処理される。その結果、CPU44が所定の機能(鍵生成部、ゼロ知識証明部、認証情報復元部、通信制御部)を実現する。

0039

[匿名証明システムの構成]
実施形態の匿名システムのネットワーク構成について説明する。
図5は、実施形態の匿名証明システム500のネットワーク構成を示す図である。

0040

図5に示すように、匿名証明システム500は、一つの管理者装置100と、一つのユーザ特定担当者装置400と、一つの検証者装置300と、一般的に複数のユーザ装置200とで構成される。なお、匿名証明システム500において、検証者装置300、ユーザ特定担当者装置400はそれぞれ1つずつに限定されるものではないが、それぞれ1つで十分である。

0041

これらの装置間のうち少なくとも、管理者装置100とユーザ装置200との間、ユーザ装置200と検証者装置300との間、管理者装置100と検証者装置300との間、検証者装置300とユーザ特定担当者装置400との間は、相互に通信可能であるとする。これらの装置間での通信方法は従来方法に拠ればよい。また実施形態によっては、管理者装置100とユーザ特定担当者装置400との間が相互に通信可能であるとしてもよい。

0042

この明細書では、基本的な実施形態を示しており、本発明の趣旨を逸脱するものでないならば、種々の実施の形態に拡張可能である。

0043

[匿名証明]
以下、図6図14を参照しながら匿名証明システム500における処理全般を叙述的に説明する。

0044

≪定義≫
PK{(α1,α2,…,αn):exp1(α1,α2,…,αn),exp2(α1,α2,…,αn),…,expm(α1,α2,…,αn)}を、α1,α2,…,αnを含む式exp1,exp2,…,expmが同時に成立するα1,α2,…,αnの値を知っていることに関するゼロ知識証明を行うプロトコルとする。

0045

また、G1、G2は以下の性質満足する群とする。
(1)G1およびG2は素数位数pの巡回群である。G1=G2であってもよい。
(2)g1はG1の生成元、g2をG2の生成元とする。群G1、G2は、少なくとも3つの生成元を持つ。
(3)ΨはG2からG1への同型写像であって、Ψ(g2)=g1を満足する。つまり、G1の生成元とG2の生成元との間に一対一の関係がある。
(4)eはe:G1×G2→GTである双線形写像で|G1|=|G2|=|GT|=pである。|・|は群の位数を表す。このとき、双線形性から、任意のu∈G1、v∈G2およびa,b∈Zp*に対して、e(ua,vb)=e(u,v)abが成立する。Zp*は、1以上p未満の整数集合である。
(5)e(g1,g2)≠1を満足する(ここで1は群GTの単位元である。)。即ち、e(g1,g2)は群GTの生成元となる。

0046

なお、実装上の観点からは、e、Ψ並びにG1、G2、GT上の演算は高速に(例えば多項式時間で)実行可能とするのが好ましい。

0047

双線形写像eの例としてペアリング(pairing)が挙げられる(参考文献2参照)。また、同型写像Ψの例としてdistortion写像が挙げられる(参考文献3参照)。
以上で、≪定義≫の説明は終わりである。
(参考文献2)岡本栄司、岡本健、金山直樹、“ペアリングに関する最近の研究動向”、電子情報通信学会基礎境界ソサイエティ、[平成20年1月8日検索]、インターネット〈http://w2.gakkai-web.net/gakkai/ieice/vol1pdf/vol1_051.pdf〉
(参考文献3)岡本龍明、「暗号理論の最新事情」、日本評論社、数学セミナー2005年9月号、pp56-60.

0048

≪準備≫
次に、鍵生成について説明する。
管理者装置100の鍵生成部101は、ランダムに群G2の生成元g2、u2、v2を選択する。さらに鍵生成部101は、x∈Zp*をランダムに選びg2xを演算し、この演算結果g2xをw2として保存する(演算結果を保存する処理を記号←を用いてw2←g2xと表す。これは演算結果g2xをw2に代入する処理と考えても差し支えない。)。

0049

ユーザ装置200の鍵生成部201は、ランダムにq∈Zp*を選ぶ。さらに鍵生成部201は、或る署名方式の公開鍵と秘密鍵の対(pku、sku)を生成する。

0050

ユーザ特定担当者装置400の鍵生成部401は、ランダムにξ,η∈Zp*を選びU←g2ξ、V←g2ηを行う。

0051

管理者装置100、ユーザ装置200、ユーザ特定担当者装置400の公開鍵、秘密鍵は次のとおりである。
管理者装置100の公開鍵 : g2,u2,v2,w2
管理者装置100の秘密鍵 : x
ユーザ装置200の公開鍵 : pku
ユーザ装置200の秘鍵 : q,sku
ユーザ特定担当者装置400の公開鍵 : U,V
ユーザ特定担当者装置400の秘密鍵 : ξ,η

0052

秘密鍵および公開鍵はそれぞれ対応する装置の記憶部に記憶され、さらに公開鍵は必要に応じて各装置の記憶部にも記憶されているとする(公開鍵は各装置間で通信して配信済みとする。勿論、演算の必要に応じて公開鍵を配信する構成であってもよい。いずれにしても、演算時にはその演算を行う装置に演算に必要な公開鍵が記憶されているとする。)。

0053

また、群G1、群G2、群GT、同型写像Ψおよび双線形写像eは、匿名証明システム500に固有のものとして定められているとする。つまり、管理者装置100、ユーザ装置200、ユーザ特定担当者装置400は、必要に応じて、匿名証明システム500に固有に定められた同型写像Ψあるいは双線形写像eを用いた演算、群G1上の演算、群G2上の演算、群GT上の演算を行う。

0054

≪認証情報生成手続≫
ユーザ装置200に記憶されるユーザ保有情報mから管理者装置100がユーザ保有情報mに対する認証情報を生成して、ユーザ装置200がこれを受領する認証情報生成手続を説明する。

0055

ユーザ装置200の認証情報要求部202は、ユーザ装置200の秘密鍵qと管理者装置100の公開鍵g2を用いてg2qを求め、さらにユーザ装置200の秘密鍵skuを用いてg2qに対する前記署名方式に従った署名siguを作成する(ステップSa1)。情報g2qはユーザ装置200を識別する情報である。

0056

そして、ユーザ装置200の通信制御部203は、ユーザ装置200の通信部23を制御して、固有情報(g2q,sigu,m)を管理者装置100に送信する(ステップSa2)。

0057

管理者装置100の通信制御部103は、管理者装置100の通信部13を介して、ユーザ装置200から送信された固有情報(g2q,sigu,m)を受信する(ステップSa3)。

0058

そして、管理者装置100の認証情報生成部102は、ユーザ装置200の公開鍵pkuを用いて署名siguを検証する。認証情報生成部102は、この検証に成功した場合、r,s∈Zp*をランダムに選び、σ←(g1mg1qu1v1s)1/(x+r)を行い、(σ,r,s,g2q,sigu,m)の組み合わせを管理者装置100の記憶部にデータベースとして記憶する(ステップSa4)。組み合わせ(σ,r,s)が認証情報に相当する。ここで、g1=Ψ(g2),u1=Ψ(u2),v1=Ψ(v2)、g1q=Ψ(g2q)が成立する。なお、この検証に失敗した場合、適宜の設計事項であるが、例えば認証情報生成手続を中止すればよい。

0059

次に、管理者装置100の通信制御部103は、管理者装置100の通信部13を制御して、認証情報(σ,r,s)をユーザ装置200に送信する(ステップSa5)。

0060

ユーザ装置200の通信制御部203は、ユーザ装置200の通信部23を介して、管理者装置100から送信された認証情報(σ,r,s)を受信する(ステップSa6)。

0061

次に、ユーザ装置200の認証情報確認部204は、α←w2g2r,β←g2mg2qu2v2sを行い、受信した認証情報(σ,r,s)について、e(σ,α)=e(g1,β)という等号関係の成立を確認する(ステップSa7)。この確認に成功すれば、管理者装置100から受信した認証情報(σ,r,s)は正当であり、そのままユーザ装置200の記憶部に認証情報(σ,r,s)を記憶しておく。もし、確認に失敗すれば、管理者装置100から受信した認証情報(σ,r,s)は正当のものとして評価できないから、適宜の設計事項であるが、例えば認証情報生成手続を中止し、あるいは再度、認証情報生成手続をやり直すようにしてもよい。

0062

[e(σ,α)=e(g1,β)の成立に関する補足説明]
(補題)任意のu,v∈G2に対してe(Ψ(u),v)=e(Ψ(v),u)が成立する。
(証明)≪定義≫の(2)からu=g2z,v=g2y(z,y∈Zp*)とする。このとき、e(Ψ(u),v)=e(Ψ(g2z),g2y)=e(Ψ(g2),g2)zy、e(Ψ(v),u)=e(Ψ(g2y),g2z)=e(Ψ(g2),g2)zyである。□
今、σ←(g1mg1qu1v1s)1/(x+r)、α←w2g2r,β←g2mg2qu2v2sである。ここで、w2←g2xであるから、α=g2x+rが成立する。従って、式(1)が成立する。上記補題を用いると、Ψ(g2)=g1,Ψ(g2mg2qu2v2s)=g1mg1qu1v1sが成立するから、e(g1mg1qu1v1s,g2)=e(g1,g2mg2qu2v2s)である。■

0063

上記認証情報生成手続は、複数のユーザ装置について、各ユーザ装置と管理者装置との間で実施される。

0064

≪ブラックリスト配布手続≫
管理者装置100は、定期ないし不定期に、正当なユーザ装置として認めていないユーザ装置のリスト(ブラックリスト;BL)を作成し、このブラックリストを管理者装置100の記憶部に記憶する。ブラックリストの作成手続は、本発明が容喙するものではなく、任意の事由契機として、任意の手法によって達成される。但し、この実施形態ではブラックリストをBL=(b1,b2,…,bn)とする。ここで、qi(1≦i≦n)を正当なユーザ装置として認められていないユーザ装置の秘密鍵とすると、bi=g2^qiである。a^bはabを表す。要するに、ブラックリストBLはユーザ装置から受信した固有情報に含まれる情報g2qを用いて構成されている。

0065

管理者装置100の通信制御部103は、管理者装置100の通信部13を制御して、ブラックリストBL=(b1,b2,…,bn)を検証者装置300に送信する(ステップSb1)。この処理は、定期ないし不定期に管理者装置100から検証者装置300へ一方的に行われるものでもよいし、後に述べる匿名証明手続の開始に際して検証者装置300から管理者装置100へのブラックリスト要求に応じてなされるものでもよい。

0066

検証者装置300の通信制御部303は、検証者装置300の通信部33を介して、管理者装置100から送信されたブラックリストBL=(b1,b2,…,bn)を受信する(ステップSb2)。受信されたブラックリストBL=(b1,b2,…,bn)は、検証者装置300の記憶部に記憶される。なお、離散対数問題の困難性に基づき、検証者装置300がBL=(b1,b2,…,bn)からユーザ装置を特定することは多項式時間で困難である。

0067

上記ブラックリスト配布手続は、複数の検証者装置が存在する場合、各検証者装置と管理者装置との間で実施される。

0068

≪匿名証明手続≫
或るユーザ装置が、検証者装置に対して、権限を有する者(管理者装置)から認められた正当なユーザ装置であり(つまり、ブラックリストBLに含まれるユーザ装置ではないこと)、且つ、ユーザ保有情報mを持っていることを匿名証明する手続を説明する。この手続は、一つのユーザ装置と一つの検証者装置との二者間の手続である。

0069

ユーザ装置200の認証情報掩蔽部205は、匿名証明手続の度に、ランダムにλ,ζ,θ,μ∈Zp*とf,h∈G1′(G1′は巡回群G1の生成元の集合である。)を選び、g2μを求めて、
σ1←σg1λ+ζ=(g1mg1qu1v1s)1/(x+r)g1λ+ζ、
α1←(w2g2r)θ、
β1←(g2mg2qu2v2s)θα1λ+ζ、
γ←Ψ(U)λ、
δ←Ψ(V)ζ、
X←fqhμ
を行う(ステップSc1)。これらの組み合わせをアドホック情報(σ1,α1,β1,γ,δ,X,f,h,g2μ)とする。認証情報を構成するσから匿名証明手続の度にσ1を求める理由は次のとおりである。認証情報を構成するσを匿名証明に直接的に用いると、(匿名証明手続の度に同じσを用いることから)以前に証明を行ったユーザ装置と同じユーザ装置であるか否かを検証者装置が判断できてしまう。そこで、匿名証明手続の度にσとランダムに選択したλ,ζ∈Zp*を用いて匿名証明手続の度にアドホックなσ1を生成し、このσ1を検証者装置に送信することで、以前に証明を行ったユーザ装置と同じユーザ装置であるか否かを検証者装置が判断できてしまうことを防止するのである。また、σ1に併せて、ユーザ特定担当者装置400の公開鍵U,Vを用いてγとδを求める理由は、ユーザ特定担当者装置400がσ1、γ、δを用いて認証情報を構成するσを回復するためであり、この詳細は後に述べる。

0070

そして、ユーザ装置200の通信制御部203は、ユーザ装置200の通信部23を制御して、アドホック情報(σ1,α1,β1,γ,δ,X,f,h,g2μ)を検証者装置300に送信する(ステップSc2)。

0071

検証者装置300の通信制御部303は、検証者装置300の通信部33を介して、ユーザ装置200から送信されたアドホック情報(σ1,α1,β1,γ,δ,X,f,h,g2μ)を受信する(ステップSc3)。

0072

次に、ユーザ装置200のゼロ知識証明部206と検証者装置300のゼロ知識証明部301とが、ユーザ装置200をゼロ知識証明の証明者立場とし、検証者装置300をゼロ知識証明の検証者の立場として、ゼロ知識証明PK{(q,μ):X=fqhμ}を行う(図ではPK{(q,μ)}と略記してある。ステップSc4)。本発明では、このゼロ知識証明を実現するプロトコルに制限はない。このゼロ知識証明プロトコルは、次の処理でe(X,g2)=e(f,bi)e(h,g2μ)という等号関係の成立を判定するに際して、ユーザ装置200から送信されたアドホック情報(σ1,α1,β1,γ,δ,X,f,h,g2μ)に対する秘密情報(q,μ)をユーザ装置200が知っていることを確信的に証明するものである。このゼロ知識証明が失敗した場合、秘密情報(q,μ)をユーザ装置200が知っていない(つまり、何らかの不正を行いアドホック情報を作成した)ことから、「検証失敗」として匿名証明手続を終了する。

0073

次に、検証者装置300のブラックリスト検証部302は、e(X,g2)=e(f,bi)e(h,g2μ)という等号関係の成立を、検証装置300の記憶部に記憶されたブラックリストBL=(b1,b2,…,bn)の各bi(1≦i≦n)について判定する(ステップSc5)。もし、ブラックリストBL=(b1,b2,…,bn)に含まれるいずれかのbjについて前記等号関係が成立した場合、このユーザ装置200は権限のある管理者装置100から正当なユーザ装置として認められていないことを意味するので、「検証失敗」として匿名証明手続を終了する。

0074

ブラックリストBL=(b1,b2,…,bn)に含まれるいずれのbi(1≦i≦n)についても前記等号関係が成立しなかった場合、ユーザ装置200は、権限を有する者(管理者装置)から認められた正当なユーザ装置であることを意味する。そこで、検証者装置300のアドホック情報検証部304は、アドホック情報を用いて認証情報の正当性を検証する。この検証の成功は、ユーザ装置がユーザ保有情報mを持っていることを意味する。

0075

具体的には、アドホック情報検証部304は、e(σ1,α1)=e(g1,β1)という等号関係の成立を判定する(ステップSc6)。この等号関係が成立しない場合、ユーザ装置200がユーザ保有情報mを持っていないことを意味するので、「検証失敗」として匿名証明手続を終了する。

0076

この等号関係が成立した場合、ユーザ装置200のゼロ知識証明部206と検証者装置300のゼロ知識証明部301とが、ユーザ装置200をゼロ知識証明の証明者の立場とし、検証者装置300をゼロ知識証明の検証者の立場として、ゼロ知識証明PK{(θ,qθ,rθ,sθ,λ,ζ):α1=w2θg2rθ,β1=(g2m)θg2qθu2θv2sθα1λ+ζ,γ=Ψ(U)λ,δ=Ψ(V)ζ,θ≠0}を行う(図ではPK{(θ,qθ,rθ,sθ,λ,ζ)}と略記してある。ステップSc7)。本発明では、このゼロ知識証明を実現するプロトコルに制限はない。このゼロ知識証明プロトコルは、前の処理でe(σ1,α1)=e(g1,β1)という等号関係の成立を判定するに際して、ユーザ装置200から送信されたアドホック情報(σ1,α1,β1,γ,δ,X,f,h,g2μ)に対する秘密情報(θ,qθ,rθ,sθ,λ,ζ)をユーザ装置200が知っていることを確信的に証明するものである。このゼロ知識証明が成功した場合、ユーザ装置が、権限を有する者(管理者装置)から認められた正当なユーザ装置であり(つまり、ブラックリストBLに含まれるユーザ装置ではないこと)、且つ、ユーザ保有情報mを持っていることが証明できたことになり、匿名証明手続を終了する。このゼロ知識証明が失敗した場合、検証に用いたアドホック情報に対する秘密情報をユーザ装置200が知っていない(つまり、何らかの不正を行いアドホック情報を作成した)ことから、「検証失敗」として匿名証明手続を終了する。

0077

≪ユーザ特定手続≫
或る成功した匿名証明手続がどのユーザ装置によって行われたかを特定する手続について説明する。この手続は、ユーザの不正行為などの事由を契機として実施される。ユーザ装置の実質的特定はユーザ特定担当者装置400が行い、検証者装置300が当該ユーザ装置を具体的に特定する情報を入手する。

0078

検証者装置300の通信制御部303は、検証者装置300の通信部33を制御して、特定したいユーザ装置200が行った匿名証明手続で入手したアドホック情報のうち(σ1,γ,δ)を、ユーザ特定担当者装置400に送信する(ステップSd1)。

0079

ユーザ特定担当者装置400の通信制御部403は、ユーザ特定担当者装置400の通信部43を介して、検証者装置300から送信された(σ1,γ,δ)を受信する(ステップSd2)。

0080

次に、ユーザ特定担当者装置400の認証情報復元部404は、(σ1,γ,δ)を用いて、σ←σ1/(γ1/ξδ1/η)を行う(ステップSd3)。σ1から復元されたσは、認証情報を構成するものであり、ユーザ装置と一対一に関係付けられたものであるから、このσによって実質的にユーザ装置の特定がなされたことになる。但し、このσは直接的に特定のユーザ装置を明示するものではないから、このσから具体的にユーザ装置を特定する必要がある。この実施形態では、これを検証者装置300が行う。

0081

そこで、ユーザ特定担当者装置400の通信制御部403は、ユーザ特定担当者装置400の通信部43を制御して、前の処理で求めたσを検証者装置300に送信する(ステップSd4)。

0082

検証者装置300の通信制御部303は、検証者装置300の通信部33を介して、ユーザ特定担当者装置400から送信されたσを受信する(ステップSd5)。

0083

続いて、ユーザ特定担当者装置400のゼロ知識証明部402と検証者装置300のゼロ知識証明部301とが、ユーザ特定担当者装置400をゼロ知識証明の証明者の立場とし、検証者装置300をゼロ知識証明の検証者の立場として、ゼロ知識証明PK{(ξ,η):U=g2ξ,V=g2η,σ=σ1/(γ1/ξδ1/η)}を行う(図ではPK{(ξ,η)}と略記してある。ステップSd6)。本発明では、このゼロ知識証明を実現するプロトコルに制限はない。このゼロ知識証明プロトコルは、ユーザ特定担当者装置400がσの復元に際して秘密情報(ξ,η)を知っていたことを確信的に証明するものである。このゼロ知識証明が失敗した場合、秘密情報(ξ,η)をユーザ特定担当者装置400が知っていない(つまり、何らかの不正を行いσを生成した)ことから、ユーザ特定手続を中止する。

0084

このゼロ知識証明が成功した場合、検証者装置300は、管理者装置100の記憶部にデータベースとして記憶されている、σに対応する(r,s,g2q,sigu,m)を入手する(ステップSd7)。

0085

この入手手法として例えば、次のような方式を採用できる。検証者装置300の通信制御部303が、検証者装置300の通信部33を制御して、ユーザ特定担当者装置400から受信したσを管理者装置100に送信し、管理者装置100の通信制御部103は、管理者装置100の通信部13を介して、検証者装置300から送信されたσを受信する。管理者装置100の通信制御部103は、受信したσと同じ値を持つ、管理者装置100の記憶部にデータベースとして記憶されている(r,s,g2q,sigu,m)を、管理者装置100の通信部13を制御して検証者装置300に送信し、検証者装置300の通信制御部303は、検証者装置300の通信部33を介して、管理者装置100から送信された(r,s,g2q,sigu,m)を受信する。

0086

(r,s,g2q,sigu,m)を入手すると、検証者装置300のユーザ確認部305は、e(σ,w2g2r)=e(g1,g2mg2qu2v2s)という等号関係の成立および署名siguがg2qに対する正しい署名であるか否かを判定する(ステップSd8)。なお、この署名検証は、siguからわかるユーザ装置の公開鍵pkUで検証できる。これらの判定に成功した場合、この署名の公開鍵に対応するユーザ装置が、特定対象のユーザ装置であると確認できる。

0087

この実施形態では、(σ,r,s,g2q,sigu,m)の入手手法として、まずユーザ特定担当者装置400が復元したσを管理者装置300に送信し、両者間でゼロ知識証明を行った上で、管理者装置300が(σ,r,s,g2q,sigu,m)を入手するものであったが、次のような方式を採用することもできる。

0088

ユーザ特定担当者装置400の認証情報復元部404がσを復元すると、ユーザ特定担当者装置400の通信制御部403は、ユーザ特定担当者装置400の通信部43を制御して、復元したσを検証者装置300に送信する。管理者装置100の通信制御部103は、管理者装置100の通信部13を介して、ユーザ特定担当者装置400から送信されたσを受信する。管理者装置100の通信制御部103は、受信したσと同じ値を持つ、管理者装置100の記憶部にデータベースとして記憶されている(σ,r,s,g2q,sigu,m)を、管理者装置100の通信部13を制御してユーザ特定担当者装置400に送信し、ユーザ特定担当者装置400の通信制御部403は、ユーザ特定担当者装置400の通信部43を介して、管理者装置100から送信された(σ,r,s,g2q,sigu,m)を受信する。ユーザ特定担当者装置400の通信制御部403は、ユーザ特定担当者装置400の通信部43を制御して、前の処理で求めたσおよび(σ,r,s,g2q,sigu,m)を検証者装置300に送信する。続いて、ユーザ特定担当者装置400のゼロ知識証明部402と検証者装置300のゼロ知識証明部301とが、ユーザ特定担当者装置400をゼロ知識証明の証明者の立場とし、検証者装置300をゼロ知識証明の検証者の立場として、ゼロ知識証明PK{(ξ,η):U=g2ξ,V=g2η,σ=σ1/(γ1/ξδ1/η)}を行う。このゼロ知識証明が成功した場合、検証者装置300は、ユーザ特定担当者装置400から受信した(σ,r,s,g2q,sigu,m)を正当なものとして受け容れる。

0089

以上の実施形態の他、管理者装置、ユーザ装置、検証者装置、ユーザ特定担当者装置、匿名証明システムおよびその処理は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。例えば、上述の実施形態では、認証情報を構成するσを巡回群G1の3個の生成元を用いて求めたが、a個(a≧4)の生成元を用いて求めるとし、これに応じてその他の処理で得られる情報を巡回群G1ないし巡回群G2のb個(b≧4)の生成元を用いて求めるように変更することができる。

0090

また、実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

0091

また、管理者装置、ユーザ装置、検証者装置、ユーザ特定担当者装置における処理機能をコンピュータによって実現する場合、管理者装置、ユーザ装置、検証者装置、ユーザ特定担当者装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、管理者装置、ユーザ装置、検証者装置、ユーザ特定担当者装置における処理機能がコンピュータ上で実現される。

0092

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置光ディスク光磁気記録媒体半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置フレキシブルディスク磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。

0093

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体販売譲渡貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

0094

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。

0095

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、管理者装置、ユーザ装置、検証者装置、ユーザ特定担当者装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

図面の簡単な説明

0096

ユーザ装置のハードウェア構成例を示す図。
管理者装置のハードウェア構成例を示す図。
検証者装置のハードウェア構成例を示す図。
ユーザ特定担当者装置のハードウェア構成例を示す図。
匿名証明システムのネットワーク構成例を示す図。
各装置での鍵生成を説明する図。
認証情報生成手続におけるユーザ装置と管理者装置の機能構成例を示すブロック図。
認証情報生成手続の処理フロー
ブラックリスト配布手続における管理者装置と検証者装置の機能構成例を示すブロック図。
ブラックリスト配布手続の処理フロー。
匿名証明手続におけるユーザ装置と検証者装置の機能構成例を示すブロック図。
匿名証明手続の処理フロー。
ユーザ特定手続における管理者装置と検証者装置とユーザ特定担当者装置の機能構成例を示すブロック図。
ユーザ特定手続の処理フロー。

符号の説明

0097

100管理者装置
200ユーザ装置
300検証者装置
400ユーザ特定担当者装置
500匿名証明システム
101 鍵生成部
102認証情報生成部
201 鍵生成部
202認証情報要求部
204 認証情報確認部
205 認証情報掩蔽部
206ゼロ知識証明部
301 ゼロ知識証明部
302ブラックリスト検証部
304アドホック情報検証部
305ユーザ確認部
401 鍵生成部
402 ゼロ知識証明部
404 認証情報復元部

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ