図面 (/)

技術 匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、追跡機能付き匿名署名システム、それらの方法及びプログラム

出願人 日本電信電話株式会社
発明者 藤崎英一郎
出願日 2009年1月19日 (11年10ヶ月経過) 出願番号 2009-009380
公開日 2010年7月29日 (10年3ヶ月経過) 公開番号 2010-164927
状態 特許登録済
技術分野 暗号化・復号化装置及び秘密通信
主要キーワード 乗算表 基本要件 一部処理 多項式時間 剰余類 ビット結合 署名生成ステップ 追加部分
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2010年7月29日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (5)

課題

追跡機能付きのリング署名方式にランダムオラクルモデルによらずに安全性証明をつける。更に、グループ構成員数がNの場合に署名の情報量をO(√N)に抑制する。

解決手段

追跡機能付きのリング署名方式のアルゴリズムを、SDH(Strong Diffie-Hellman)仮定に基づき構成する。また、RとCとの関連付け、ΣとLとの関連付け、ΣとRとの関連付けに際し、それぞれのパラメータ行列マッピングした上で、証明を作成しそれを検証する。

概要

背景

リング署名方式はグループ署名方式一種であり、管理者を置くことなく、署名者構成員を自由に選定してグループリング)を構成することができる。この方式では、グループのどの構成員も署名をすることができるが、検証者はグループのいずれかの構成員が署名したことは検証できるにとどまり、どの構成員が署名したのかは特定することはできない。そのため、基本的には完全な匿名性保障される。

しかしながら、このような完全な匿名性という性質により、例えば1つのメッセージテーマ(issue)に対して構成員ごとに1回の署名(メッセージ投稿)のみを認めるという制約を設けたくても、匿名であるが故、設けられないというような問題があった。

そこで、そのような問題に対処すべく考案された追跡機能付きのリング署名方式(例えば、非特許文献1、2)が開示されている。非特許文献1、2の方式では、タグを利用してリング署名を構成する。署名者はタグごとに一度だけ署名を生成することができる。署名者が同じタグを用いて別のメッセージの署名生成を試みた場合、その署名者が暴露される。また、リング署名の構成員である署名者以外の者がそのリング署名の生成に用いたタグやメッセージに対して真の署名者に成りすまして署名を生成しようとしても、署名を作成することができない。このような方式は、例えば電子投票等に利用した場合、投票者の匿名性を保持した上で、「二重投票を追跡できる」「偽造投票を阻止できる」などの利点がある。

概要

追跡機能付きのリング署名方式にランダムオラクルモデルによらずに安全性証明をつける。更に、グループの構成員数がNの場合に署名の情報量をO(√N)に抑制する。追跡機能付きのリング署名方式のアルゴリズムを、SDH(Strong Diffie-Hellman)仮定に基づき構成する。また、RとCとの関連付け、ΣとLとの関連付け、ΣとRとの関連付けに際し、それぞれのパラメータ行列マッピングした上で、証明を作成しそれを検証する。

目的

本発明の目的は、従来の追跡機能付きのリング署名方式を、参考文献3で開示された署名方式ベースにアルゴリズムを見直すことにより、ランダムオラクルモデルによらずに安全性証明をつけることが可能な追跡機能付きのリング署名方式を実現することにある

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

位数nが大きな素数p、qの積である巡回群Gと、その生成元gと、h∈G(h≠g)と、zcrs∈Gと、位数nの巡回群GTと、ペアリング関数e:G×G→GTと、ハッシュ関数H:{0、1}*→Z/nZと、ハッシュ関数H´(≠H):{0、1}*→Z/nZと、ランダムな値xi∈Z/nZ(Z/nZはnを法とする剰余類群、i∈{1、2、・・・、N}は構成員識別子)に基づき、(gxは楕円曲線上の点gのスカラー倍(x倍)演算を表す、以下の乗算表記につき同様。)として得られた各構成員のBB署名検証鍵yiのコミットメント(diはランダムな値(di∈Z/nZ)。y・hは楕円曲線上の点yと点hとの楕円加算を表す、以下の積算表記につき同様。)の集合R={Y1、Y2、・・・、YN}と、が公開され、上記各構成員が自身のBB署名検証鍵yiとそれに対応する秘密のBB署名鍵xiとを保有するという条件下で用いる匿名署名生成装置において、OT署名鍵skと、それと対応するOT署名検証鍵vkと、を生成して出力するOT署名鍵生成器と、署名対象事項を特定する情報issueと署名対象のメッセージmと上記Rと上記OT署名検証鍵vkとが入力され、タグT=(issue‖Y1‖Y2‖・・・‖YN)(‖はビット結合を表す。)を生成し、ハッシュ値H(T)、H´(T)、H(T‖m)、及びH(vk)を演算して出力するハッシュ関数演算器と、上記gと、リングの構成員である署名者I∈{1、2、・・、N}の上記BB署名鍵xIと、上記ハッシュ値H(T)、H(vk)、及びH´(T)と、が入力され、上記BB署名鍵xIを用いて当該H(T) 、H(vk)、及びH´(T)のBB署名σI、σvk、及びzをそれぞれ、により生成し、生成した各署名を出力するBB署名生成器と、上記BB署名σIと、上記gと、上記hと、上記ハッシュ値H(T‖m)とが入力され、Qを、により演算して出力する四則演算器と、ランダムな値η、dI、s、b、f、r∈Z/nZをそれぞれ生成して出力する乱数生成器と、上記BB署名検証鍵yIと、上記BB署名σI、σvk、及びzと、上記hと、上記値dI、s、b、及びfと、が入力され、上記BB署名検証鍵yIのコミットメントC、上記BB署名σIのコミットメントL、上記BB署名σvkのコミットメントLvk、及び上記BB署名zのコミットメントLzを、それぞれ、により生成して出力するコミットメント生成器と、上記gと、上記hと、上記BB署名鍵xIと、上記BB署名検証鍵yIと、上記ハッシュ値H(T)、H(vk)、H(T‖m)、及びH´(T)と、上記BB署名zと、上記コミットメントL、Lvk、及びLzと、上記値s、r、η、及びfと、が入力され、Qがgχという形をしていることの証明πQを、により生成し、当該署名者IのH(T)のBB署名σIが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明πC,Lを、πC,L=(gH(T)・yI)s・Lrにより生成し、当該署名者IのH(vk)のBB署名σvkが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明により生成し、また、zがgχという形をしていることの証明πzを、により生成し、Lzがzかzcrsのいずれかをコミットしたものであることの証明により生成し、当該署名者IのH´(T)のBB署名zが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明により生成し、更に、上記CとしてコミットされたBB署名検証鍵yIと同じ値がコミットされた元が上記R={Y1、Y2、・・・、YN}の中に一つ存在することを示す証明ΠR,Cを所定の演算により生成し、上記LとしてコミットされたBB署名σIと同じ値がΣ={σ1、σ2、・・・、σN}の中に一つ存在することを示す証明ΠL,Σを所定の演算により生成し、上記証明ΠR,CでリングRの中に一つ存在した要素をYE、上記証明ΠL,Σで上記Σの中に一つ存在した要素をσE´としたとき、E=E´であることを示す証明ΠR,Σを所定の演算により生成し、生成した各証明を出力する証明生成器と、上記OT署名検証鍵vkと、上記OT署名鍵skと、上記タグTと、上記メッセージmと、上記コミットメントC、L、Lvk、及びLzと、上記BB署名zと、上記δと、上記δcrsと、上記Qと、上記証明とが入力され、上記OT署名鍵skを用いての署名sig0を生成し、タグ付き文書(T、m)の上記Rに関する匿名署名を生成し出力するOT署名生成器と、を備える匿名署名生成装置。

請求項2

請求項1に記載の匿名署名生成装置において、上記四則演算器は、更に、上記ハッシュ値H(T‖m)と上記Qとから、i=I以外の全てのi(1≦i≦n)についてσiを、σi=gH(T,m)・Qiにより演算して出力し、上記乱数生成器は、更に、について、をランダムに生成して出力し、上記証明生成器は、更に、上記値tτ、λτ、wτ、tτ´、λτ´、及びwτ´(1≦τ≦√N)と、上記集合R={Y1、Y2、・・・、YN}と、上記σi(1≦i≦n、i=Iを含む)と、がそれぞれ入力され、上記証明ΠR,Cを、の組として生成し、上記証明ΠL,Σを、の組として生成し、上記証明ΠR,Σを、の組として生成することを特徴とする匿名署名生成装置。

請求項3

OT署名検証鍵vkと、匿名署名とが入力され、OT署名検証鍵vkを用いてsig0からを復号するOT署名検証器と、上記タグTと、上記OT署名検証鍵vkと、が入力され、ハッシュ関数H(T)、H(vk)、及びH´(T)を演算して出力するハッシュ関数演算器と、上記gと、上記hと、上記ハッシュ値H(T)、H(vk)、及びH´(T)と、上記OT署名検証器で復号されたとが入力され、を検証し、また、ΠR,C、ΠL,Σ、ΠR,Σについてはそれぞれ所定の演算により検証する証明検証器と、を備え、上記証明検証器におけるすべての検証が成功した場合に、sigをタグ付き文書(T、m)のリングRに関する正当な匿名署名とみなす匿名署名検証装置

請求項4

請求項3に記載の匿名署名検証装置において、上記ΠR,Cは、であり、上記ΠL,Σは、であり、上記ΠR,Σは、であり、上記ハッシュ関数演算器は、更に上記mが入力され、ハッシュ関数H(T‖m)を演算して出力し、上記証明検証器は、更に上記ハッシュ関数H(T‖m)とR={Y1、Y2、・・・、YN}とが入力され、全てのi(1≦σi≦N)についてσi=gH(T,m)・QiによりΣ={σ1、σ2、・・・、σN}を復元し、証明ΠR,Cについて、がすべて成立すること、証明ΠL,Σについて、がすべて成立すること、証明ΠR,Σについて、がすべて成立すること、を検証することを特徴とする匿名署名検証装置。

請求項5

同一のタグTで文書が異なる2つのタグ付き文書(T、m)及び(T、m´)と、これら2つのタグ付き文書についての、各構成員のBB署名検証鍵のコミットメントの集合R={Y1、Y2、・・・、YN}に係る2つの正しい匿名署名とが入力され、各タグ付き文書について、それぞれσi=gH(T,m)・Qi、σi´=gH(T,m´)・Q´iにより、BB署名の集合Σ={σ1、σ2、・・・、σN}、Σ´={σ1´、σ2´、・・・、σN´}を復元し、ΣとΣ´とを対照してσI=σI´となる要素が発見された場合に署名者Iを出力する匿名署名追跡判定装置

請求項6

請求項2に記載の匿名署名生成装置と、請求項4に記載の匿名署名検証装置と、請求項5に記載の匿名署名追跡判定装置とを備える追跡機能付き匿名署名システム

請求項7

位数nが大きな素数p、qの積である巡回群Gと、その生成元gと、h∈G(h≠g)と、zcrs∈Gと、位数nの巡回群GTと、ペアリング関数e:G×G→GTと、ハッシュ関数H:{0、1}*→Z/nZと、ハッシュ関数H´(≠H):{0、1}*→Z/nZと、ランダムな値xi∈Z/nZ(Z/nZはnを法とする剰余類群、i∈{1、2、・・・、N}は構成員の識別子)に基づき、(gxは楕円曲線上の点gのスカラー倍(x倍)演算を表す、以下の乗算表記につき同様。)として得られた各構成員のBB署名検証鍵yiのコミットメント(diはランダムな値(di∈Z/nZ)。y・hは楕円曲線上の点yと点hとの楕円加算を表す、以下の積算表記につき同様。)の集合R={Y1、Y2、・・・、YN}と、が公開され、上記各構成員が自身のBB署名検証鍵yiとそれに対応する秘密のBB署名鍵xiとを保有するという条件下で用いる匿名署名生成方法において、OT署名鍵生成器が、OT署名鍵skと、それと対応するOT署名検証鍵vkと、を生成するOT署名鍵生成ステップと、ハッシュ関数演算器が、署名対象事項を特定する情報issueと上記RとからなるタグT=(issue‖Y1‖Y2‖・・・‖YN)(‖はビット結合を表す。)について、ハッシュ値H(T)、H´(T)、H(T‖m)、及びH(vk)を演算するハッシュ関数演算ステップと、BB署名生成器が、上記構成員である署名者I∈{1、2、・・、N}のBB署名鍵xIを用いて、上記H(T) 、H(vk)、及びH´(T)のBB署名σI、σvk、及びzをそれぞれ、により生成するBB署名生成ステップと、四則演算器がQを、により演算する四則演算ステップと、乱数生成器が、ランダムな値η、dI、s、b、f、r∈Z/nZをそれぞれ生成する乱数生成ステップと、コミットメント生成器が、上記BB署名検証鍵yIのコミットメントC、上記BB署名σIのコミットメントL、上記BB署名σvkのコミットメントLvk、及び上記BB署名zのコミットメントLzを、それぞれ、により生成するコミットメント生成ステップと、証明生成器が、上記署名者IのもとにloggQが存在し、Qがgχという形をしていることの証明πQを、により生成し、当該署名者IのH(T)のBB署名σIが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明πC,Lを、πC,L=(gH(T)・yI)s・Lrにより生成し、当該署名者IのH(vk)のBB署名σvkが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明により生成し、また、上記署名者Iのもとにloggzが存在し、zがgχという形をしていることの証明πzを、により生成し、Lzがzかzcrsのいずれかをコミットしたものであることの証明により生成し、当該署名者IのH´(T)のBB署名zが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明により生成し、更に、上記CとしてコミットされたBB署名検証鍵yIと同じ値がコミットされた元が上記R={Y1、Y2、・・・、YN}の中に一つ存在することを示す証明ΠR,Cを所定の演算により生成し、上記LとしてコミットされたBB署名σIと同じ値がΣ={σ1、σ2、・・・、σN}の中に一つ存在することを示す証明ΠL,Σを所定の演算により生成し、上記証明ΠR,CでリングRの中に一つ存在した要素をYE、上記証明ΠL,Σで上記Σの中に一つ存在した要素をσE´としたとき、E=E´であることを示す証明ΠR,Σを所定の演算により生成する証明生成ステップと、OT署名生成器が、上記OT署名鍵skを用いての署名sig0を生成し、タグ付き文書(T、m)の上記Rに関する匿名署名を生成するOT署名生成ステップと、を実行する匿名署名生成方法。

請求項8

請求項7に記載の匿名署名生成方法において、上記四則演算ステップにおいては、更に、上記ハッシュ値H(T‖m)と上記Qとから、i=I以外の全てのi(1≦i≦n)についてσiを、σi=gH(T,m)・Qiにより演算し、上記乱数生成ステップにおいては、更に、について、をランダムに生成し、上記証明生成ステップにおいては、更に、上記証明ΠR,Cを、の組として生成し、上記証明ΠL,Σを、の組として生成し、上記証明ΠR,Σを、の組として生成することを特徴とする匿名署名生成方法。

請求項9

OT署名検証器が、匿名署名についてOT署名検証鍵vkを用いて、sig0からを復号するOT署名検証ステップと、ハッシュ関数演算器が、ハッシュ関数H(T)、H(vk)、及びH´(T)を演算するハッシュ関数演算ステップと、証明検証器が、を検証し、また、ΠR,C、ΠL,Σ、ΠR,Σについてはそれぞれ所定の演算により検証する証明検証ステップと、を実行し、上記証明検証ステップにおけるすべての検証が成功した場合に、sigをタグ付き文書(T、m)のリングRに関する正当な匿名署名とみなす匿名署名検証方法

請求項10

請求項9に記載の匿名署名検証方法において、上記ΠR,Cは、であり、上記ΠL,Σは、であり、上記ΠR,Σは、であり、上記ハッシュ関数演算ステップにおいては、更にハッシュ関数H(T‖m)を演算し、上記証明検証ステップにおいては、更に、全てのi(1≦σi≦N)について、σi=gH(T,m)・QiによりΣ={σ1、σ2、・・・、σN}を復元し、証明ΠR,Cについて、がすべて成立すること、証明ΠL,Σについて、がすべて成立すること、証明ΠR,Σについて、がすべて成立すること、を検証することを特徴とする匿名署名検証方法。

請求項11

匿名署名追跡判定装置が、同一のタグTで文書が異なる2つのタグ付き文書(T、m)及び(T、m´)について、それぞれσi=gH(T,m)・Qi、σi´=gH(T,m´)・Q´iによりBB署名の集合Σ={σ1、σ2、・・・、σN}、Σ´={σ1´、σ2´、・・・、σN´}を復元し、ΣとΣ´とを対照してσI=σI´となる要素が発見された場合に署名者Iを出力する匿名署名追跡判定方法

請求項12

請求項1〜6のいずれかに記載した装置又はシステムとしてコンピュータを機能させるためのプログラム

技術分野

0001

本発明は、グループ一員による署名であるが誰が署名をしたかは特定することができないグループ匿名署名を行うための、匿名署名生成装置匿名署名検証装置、匿名署名追跡判定装置追跡機能付き匿名署名システム、それらの方法及びプログラムに関する。

背景技術

0002

リング署名方式はグループ署名方式一種であり、管理者を置くことなく、署名者構成員を自由に選定してグループ(リング)を構成することができる。この方式では、グループのどの構成員も署名をすることができるが、検証者はグループのいずれかの構成員が署名したことは検証できるにとどまり、どの構成員が署名したのかは特定することはできない。そのため、基本的には完全な匿名性保障される。

0003

しかしながら、このような完全な匿名性という性質により、例えば1つのメッセージテーマ(issue)に対して構成員ごとに1回の署名(メッセージ投稿)のみを認めるという制約を設けたくても、匿名であるが故、設けられないというような問題があった。

0004

そこで、そのような問題に対処すべく考案された追跡機能付きのリング署名方式(例えば、非特許文献1、2)が開示されている。非特許文献1、2の方式では、タグを利用してリング署名を構成する。署名者はタグごとに一度だけ署名を生成することができる。署名者が同じタグを用いて別のメッセージの署名生成を試みた場合、その署名者が暴露される。また、リング署名の構成員である署名者以外の者がそのリング署名の生成に用いたタグやメッセージに対して真の署名者に成りすまして署名を生成しようとしても、署名を作成することができない。このような方式は、例えば電子投票等に利用した場合、投票者の匿名性を保持した上で、「二重投票を追跡できる」「偽造投票を阻止できる」などの利点がある。

先行技術

0005

E. Fujisaki and K. Suzuki、"Traceable ring signature"、Public Key Cryptography-PKC 2007、LNCS 4450、Springer-Verlag、2007年、p.181-200
E. Fujisaki and K. Suzuki、"Traceable ring signature"、IEICE TRANS. FUNDAMENTLS, E91-A(1)、2008年1月、p.83-93

発明が解決しようとする課題

0006

非特許文献1、2の追跡機能付きのリング署名方式は、安全性証明ランダムオラクルモデル(参考文献1参照)に基づいているが、ランダムオラクルによる安全性証明の場合、例えば参考文献2で示されているように、ランダムオラクルで安全であると証明された方式であっても、現実にはどう実装しても安全でない方式が存在する。そのため、より一層の安全性を担保するには数学的な根拠に基づき安全性証明がつくことが望ましい。
[参考文献1]M. Bellare and P. Rogaway、"Random Oracles are Practical: A Paradigm for Designing Efficient Protocols"、Proc. of the FirstACMConference on Computer and Communications Security 、1993年11月、p.62-73
[参考文献2]R. Canetti, O. Goldreich and S.Halevi、"The Random Oracle Methodology, Revisited"、Proc. of ACM STOC98、1998年、p.209-218
ランダムオラクルモデルを用いずに安全性証明を行う署名方式は、例えば参考文献3にて開示されている。参考文献3の署名方式の安全性証明は、q−SDH(Strong Diffie-Hellman)仮定に基づくものである。q−SDH仮定は大まかには、素数pを位数とする巡回群Gの生成元をgとし、x∈Z/pZ(Z/pZはpを法とする剰余類群)がランダムに与えられたとき、

0007

が与えられても、

0008

(c∈(Z/pZ)*、(Z/pZ)*はpと互いに素な剰余類群)を多項式時間内に求めることは困難であるという仮定であり、数学的に安全性を保証することができる。

0009

そこで、本発明の目的は、従来の追跡機能付きのリング署名方式を、参考文献3で開示された署名方式をベースアルゴリズムを見直すことにより、ランダムオラクルモデルによらずに安全性証明をつけることが可能な追跡機能付きのリング署名方式を実現することにある。
[参考文献3]D. Boneh and X. Boyen、"Short Signatures Without Random Oracles"、Advances In Cryptology-EUROCRYPT 2004、LNCS 3027、Springer-Verlag、2004年、p.56-73

0010

また、非特許文献1、2の追跡機能付きのリング署名方式においては、署名の情報量がグループの構成員数Nに比例するO(N)であり、システムへの負荷や処理時間などへの影響が、構成員の増加に比例して大きくなってしまうという問題があった。この点、参考文献4では、追跡機能無しのリング署名方式において、署名の情報量を√Nに比例するO(√N)に抑制するアルゴリズムが開示されている。これは大まかには、例えばCがコミットするyIと同じ値をコミットする元がR={Y1、Y2、・・・、YN }の中に1つ存在することを証明するような場合に、Yiを√N×√Nの行列内マッピングすることで、行又は列単位での署名の証明処理を可能とし、よって署名として必要な情報量の圧縮を図るものである。

0011

そこで本発明は、ランダムオラクルモデルによらずに安全性証明がつく追跡機能付きのリング署名方式において、更に参考文献4で開示されたアルゴリズムを応用することにより、署名の情報量をO(√N)に抑制することもあわせて目的とする。
[参考文献4]N. Chandran, J. Groth, and A. Sahai、"Ring Signatures of Sub-linear Size without Random Oracles"、Automata, Languages and Programming、LNCS 4596、Springer-Verlag、2007年、p.423-434

課題を解決するための手段

0012

本発明の追跡機能付き匿名署名システムは、匿名署名生成装置と匿名署名検証装置と匿名署名追跡判定装置とから構成される。当該システムは、位数nが大きな素数p、qの積である巡回群Gと、その生成元gと、h∈G(h≠g)と、zcrs∈Gと、位数nの巡回群GTと、ペアリング関数e:G×G→GTと、ハッシュ関数H:{0、1}*→Z/nZと、ハッシュ関数H´(≠H):{0、1}*→Z/nZと、ランダムな値xi∈Z/nZ(Z/nZはnを法とする剰余類群、i∈{1、2、・・・、N}は構成員の識別子)に基づき、

0013

(gxは楕円曲線上の点gのスカラー倍(x倍)演算を表す、以下の乗算表記につき同様。)
として得られた各構成員のBB署名検証鍵yiのコミットメント

0014

(diはランダムな値(di∈Z/nZ)。y・hは楕円曲線上の点yと点hとの楕円加算を表す、以下の積算表記につき同様。)
集合R={Y1、Y2、・・・、YN}と、が公開され、上記各構成員が自身のBB署名検証鍵yiとそれに対応する秘密のBB署名鍵xiとを保有するという条件下で用いる。

0015

匿名署名生成装置は、OT署名鍵生成器と、ハッシュ関数演算器と、BB署名生成器と、四則演算器と、乱数生成器と、コミットメント生成器と、証明生成器と、OT署名生成器とから構成される。
OT署名鍵生成器は、OT署名鍵skと、それと対応するOT署名検証鍵vkと、を生成して出力する。

0016

ハッシュ関数演算器は、署名対象事項を特定する情報issueと署名対象のメッセージmと上記Rと上記OT署名検証鍵vkとが入力され、タグT=(issue‖Y1‖Y2‖・・・‖YN)(‖はビット結合を表す。)を生成し、ハッシュ値H(T)、H´(T)、H(T‖m)、及びH(vk)を演算して出力する。

0017

BB署名生成器は、gと、リングの構成員である署名者I∈{1、2、・・、N}のBB署名鍵xIと、ハッシュ値H(T)、H(vk)、及びH´(T)と、が入力され、BB署名鍵xIを用いて当該H(T) 、H(vk)、及びH´(T)のBB署名σI、σvk、及びzをそれぞれ、

0018

により生成し出力する。
四則演算器は、BB署名σIと、gと、hと、ハッシュ値H(T‖m)とが入力され、Qを、

0019

により演算するとともに、ハッシュ値H(T‖m)とQとから、i=I以外の全てのi(1≦i≦n)についてσiを、σi=gH(T,m)・Qiにより演算し、各演算結果を出力する。
乱数生成器は、ランダムな値η、dI、s、b、f、r∈Z/nZをそれぞれ生成して出力するとともに、

0020

について、

0021

をランダムに生成して出力する。

0022

コミットメント生成器は、hと、BB署名検証鍵yIと、BB署名σI、σvk、及びzと、値dI、s、b、及びfとが入力され、BB署名検証鍵yIのコミットメントC、BB署名σIのコミットメントL、BB署名σvkのコミットメントLvk、及びBB署名zのコミットメントLzを、それぞれ、

0023

により生成して出力する。

0024

証明生成器は、gと、hと、BB署名鍵xIと、BB署名検証鍵yIと、ハッシュ値H(T)、H(vk)、H(T‖m)、及びH´(T)と、BB署名zと、コミットメントL、Lvk、及びLzと、値s、r、η、f、tτ、λτ、wτ、tτ´、λτ´、及びwτ´(1≦τ≦√N)と、上記集合R={Y1、Y2、・・・、YN}と、上記σi(1≦i≦n、i=Iを含む)と、が入力され、Qがgχという形をしていることの証明πQを、

0025

により生成し、署名者IのH(T)のBB署名σIが署名者IのBB署名検証鍵yIに対応する署名であることの証明πC,Lを、
πC,L=(gH(T)・yI)s・Lr
により生成し、署名者IのH(vk)のBB署名σvkが署名者IのBB署名検証鍵yIに対応する署名であることの証明

0026

により生成し、また、zがgχという形をしていることの証明πzを、

0027

により生成し、Lzがzかzcrsのいずれかをコミットしたものであることの証明

0028

により生成し、署名者IのH´(T)のBB署名zが署名者IのBB署名検証鍵yIに対応する署名であることの証明

0029

により生成し、CとしてコミットされたBB署名検証鍵yIと同じ値がコミットされた元がR={Y1、Y2、・・・、YN}の中に一つ存在することを示す証明ΠR,Cを、

0030

の組として生成し、LとしてコミットされたBB署名σIと同じ値がΣ={σ1、σ2、・・・、σN}の中に一つ存在することを示す証明ΠL,Σを、

0031

の組として生成し、証明ΠR,CでリングRの中に一つ存在した要素をYE、証明ΠL,ΣでΣの中に一つ存在した要素をσE´としたとき、E=E´であることを示す証明ΠR,Σを、

0032

の組として生成し、生成した各証明を出力する。

0033

OT署名生成器は、OT署名検証鍵vkと、OT署名鍵skと、タグTと、メッセージmと、コミットメントC、L、Lvk、及びLzと、BB署名zと、δと、δcrsと、Qと、証明

0034

とが入力され、OT署名鍵skを用いて

0035

の署名sig0を生成し、タグ付き文書(T、m)のRに関する匿名署名

0036

を生成し出力する。

0037

匿名署名検証装置は、OT署名検証器と、ハッシュ関数演算器と、署名検証器とから構成される。
OT署名検証器は、OT署名検証鍵vkと、匿名署名

0038

とが入力され、OT署名検証鍵vkを用いてsig0から

0039

復号する。

0040

ハッシュ関数演算器は、タグTと、OT署名検証鍵vkと、メッセージmとが入力され、ハッシュ関数H(T)、H(vk)、H´(T)、及びH(T‖m)を演算して出力する。
証明検証器は、上記gと、上記hと、上記ハッシュ値H(T)、H(vk)、H´(T)、及びH(T‖m)と、R={Y1、Y2、・・・、YN}と、OT署名検証器で復号された

0041

とが入力され、全てのi(1≦σi≦N)についてσi=gH(T,m)・QiによりΣ={σ1、σ2、・・・、σN}を復元し、

0042

を検証し、更にΠR,Cに関し、

0043

がすべて成立すること、更にΠL,Σに関し、

0044

がすべて成立すること、更にΠR,Σに関し、

0045

がすべて成立することをそれぞれ検証し、すべての検証が成功した場合に、sigをタグ付き文書(T、m)のリングRに関する正当な匿名署名とみなす

0046

匿名署名追跡判定装置は、同一のタグTで文書が異なる2つのタグ付き文書(T、m)及び(T、m´)と、これら2つのタグ付き文書についての、各構成員のBB署名検証鍵のコミットメントの集合R={Y1、Y2、・・・、YN}に係る2つの正しい匿名署名

0047

とが入力され、各タグ付き文書について、それぞれσi=gH(T,m)・Qi、σi´=gH(T,m´)・Q´iにより、BB署名の集合Σ={σ1、σ2、・・・、σN}、Σ´={σ1´、σ2´、・・・、σN´}を復元し、ΣとΣ´とを対照してσI=σI´となる要素が発見された場合に署名者Iを出力する。

発明の効果

0048

本発明により、ランダムオラクルモデルを用いずに安全性証明がつく追跡機能付きのリング署名方式を実現することができ、なおかつ署名の情報量をO(√Nに抑制することができる。

図面の簡単な説明

0049

本発明の追跡機能付き匿名署名システム1の機能構成例を示す図。
本発明の追跡機能付き匿名署名システム1の処理フロー例を示す図。
Q、mに基づき生成したσi(1≦i≦N)を結んで得られる直線のイメージ図。
各証明の相関関係を示す図。

0050

以下、本発明の実施の形態について、詳細に説明する。

0051

〔方式の基本要件
本発明においては、追跡機能付きのリング署名方式における以下の基本要件を満たすように構成した。
(1)匿名性
同じ署名者が施した署名は、それが各タグにおいて1度目である限り、誰が施したかを特定できない。
(2)タグによる関連付け
同じ署名者によって同じタグに施された署名は関連付けられる。言いかえれば、あるタグに施すことができる署名の数の上限はリングの構成員数である。
(3)追跡・公開性
同じ署名者が、あるタグについて2以上の異なるメッセージに署名を施した場合、その署名者は明らかにされる。
(4)偽造困難性
ある署名者になりすまして署名を偽造することは困難である。

0052

〔アルゴリズム〕
本システムで実現する追跡機能付きのリング署名方式は、準備、署名生成、署名検証、追跡判定の4つのアルゴリズムからなる。これらを追跡機能付き匿名署名システム10として構成した例を図1に示す。追跡機能付き匿名署名システム10は、匿名署名生成装置100と匿名署名検証装置200と匿名署名追跡判定装置300とから構成される。

0053

以下、各アルゴリズムについて説明する。
<準備>
位数nが大きな素数p、qの積である巡回群Gと、その生成元gと、h∈G(h≠g)と、zcrs∈Gと、位数nの巡回群GTと、ペアリング関数e:G×G→GTと、ハッシュ関数H:{0、1}*→Z/nZと、ハッシュ関数H´(≠H):{0、1}*→Z/nZ、を共通参照情報として公開する。ここで、ペアリング関数eとは、2入力1出力の関数で楕円曲線E上の2点P、Qについて、e(aP、bQ)=e(P、Q)ab=e(bP、aQ)というような双線形性を成立させる関数である。

0054

更に、ランダムな値xi∈Z/nZ(Z/nZはnを法とする剰余類群、i∈{1、2、・・・、N}は構成員の識別子)に基づき、

0055

(gxは楕円曲線上の点gのスカラー倍(x倍)演算を表す、以下の乗算表記につき同様。)
として求めた各構成員のBB署名検証鍵yiについて、それぞれコミットメントを、

0056

(diはランダムな値(di∈Z/nZ)。y・hは楕円曲線上の点yと点hとの楕円加算を表す、以下の積算表記につき同様。)
により生成し、その集合R={Y1、Y2、・・・、YN}を公開する。
また、上記各構成員は、自身のBB署名検証鍵yiとそれに対応する秘密のBB署名鍵xiとを予め保有する。

0057

<署名生成>
図1署名生成アルゴリズムの処理を担う匿名署名生成装置100の機能構成ブロックの構成例を、図2に処理フロー例を示す。
匿名署名生成装置100は、OT署名鍵生成器101と、ハッシュ関数演算器102と、BB署名生成器103と、四則演算器104と、乱数生成器105と、コミットメント生成器106と、証明生成器107と、OT署名生成器108とから構成される。

0058

OT署名鍵生成器101は、OT署名鍵skとそれと対応するOT署名検証鍵vkとを生成して出力する(S1)。本発明においては、上記のBB署名鍵・検証鍵xi、yiと当該OT署名鍵・検証鍵sk、vkの2種類の鍵ペアを用いる。ランダムオラクルを用いずに安全性証明がつく参考文献3で開示された署名方式には、短い文書にしか署名がつけられないが、文書に対して署名が一意に決定するBB1署名と、文書に対して署名が一意に確定しないが長い文書に署名がつけられるBB2署名があり、BB2署名は使い捨ての署名鍵・検証鍵を生成し、BB1署名で使い捨て検証鍵に署名し、使い捨て署名鍵で長い文書に署名をする方式である。そこで本発明においては、この2つのBB署名を用途によって使い分けてアルゴリズムを構成する。以下、BB1署名に係る鍵をBB署名鍵・検証鍵と呼び、BB2署名に係る使い捨ての鍵をOT署名鍵・検証鍵と呼ぶ。なお、OT署名鍵・検証鍵はその都度使い捨てるため、一度の使用に耐えうる安全性を有する方式であれば、いかなる公開鍵暗号方式によるものでも構わない。

0059

ハッシュ関数演算器102には、議題質問事項などの署名対象事項を特定する情報であるissueと、署名対象のメッセージmと、各構成員のBB署名検証鍵yiのコミットメントYiの集合であるR={Y1、Y2、・・・、YN}と、OT署名検証鍵vkとが入力される。そして、タグT=issue‖Y1‖Y2‖・・・‖YN(‖はビット結合を表す。)を生成し、ハッシュ値H(T)と、ハッシュ値H´(T)と、ハッシュ値H(T‖m)と、ハッシュ値H(vk)とを演算して出力する(S2)。

0060

BB署名生成器103は、gと、リングの構成員である署名者I∈{1、2、・・、N}のBB署名鍵xIと、ハッシュ値H(T)と、ハッシュ値H(vk)とハッシュ値H´(T)とが入力され、H(T)、H(vk)、H´(T)のBB署名σI、σvk、zをそれぞれ、

0061

により生成し、生成した各署名を出力する(S3)。
四則演算器104は、BB署名σIとgとハッシュ値H(T‖m)とが入力され、Qを、

0062

により演算して出力する(S4)。

0063

ここでQは、図3に示すような、loggσIとH(T‖m)とを結ぶ直線の傾きとして観念されるものである。本発明では、このQとH(T‖m)とに基づき署名者I以外のグループのメンバi(1≦i≦N)のダミーの署名σiを生成、復元する(ただし復元の際には、署名者Iの署名は匿名状態にあるため、他と同様にQとH(T‖m)とに基づき復元する)。このN個のσiを結んだ傾きQの直線は、あるタグTについてメッセージmが異なると(例えばm´)図3に示すように傾きがQ´に変化するが、同じ署名者Iが署名している限り、2本の直線は1点(横軸が署名者Iの所)で交差する。そのため、検証側で復元されたタグTについてのメッセージmとm´に対する署名集合Σ={σ1、σ2、・・・、σN}とΣ´={σ1´、σ2´、・・・、σN´}とを照合することで、σI=σI´が発見された場合には、同じ署名者Iが同じタグTに対し異なる2つのメッセージに署名していると検出することができる。

0064

乱数生成器105は、ランダムな値η、dI、s、b、f、r∈Z/nZをそれぞれ生成して出力する(S5)。なお、S5の処理はS1〜S4と並行して行っても構わない。

0065

コミットメント生成器106は、hと、BB署名検証鍵yIと、BB署名σI、σvk、zと、ランダム値dI、s、b、fと、が入力され、BB署名検証鍵yIのコミットメントC、BB署名σIのコミットメントL、BB署名σvkのコミットメントLvk、BB署名zのコミットメントLzをそれぞれ、

0066

により生成し出力する(S6)。このように各情報をコミットして署名生成・検証処理することにより、秘密情報解読危険性を低減することができる。

0067

証明生成器107は、gと、hと、BB署名鍵xIと、BB署名検証鍵yIと、ハッシュ値H(T)、H(vk)、H(T‖m)、H´(T)と、BB署名zと、コミットメントL、Lvk、Lzと、ランダム値s、r、η、fと、が入力され、以下の各証明を生成し出力する(S7)。
・Qがgχという形をしていることの証明πQ

0068

0069

・署名者IのH(T)のBB署名σIが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明πC,L
πC,L=(gH(T)・yI)s・Lr
・署名者IのH(vk)のBB署名σvkが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明

0070

・zがgχという形をしていることの証明πz

0071

・Lzがzかzcrsのいずれかをコミットしたものであることの証明

0072

・署名者IのH´(T)のBB署名zが当該署名者IのBB署名検証鍵yIに対応する署名であることの証明

0073

0074

・CとしてコミットされたBB署名検証鍵yIと同じ値がコミットされた元がR={Y1、Y2、・・・、YN}の中に一つ存在することを示す証明ΠR,C
・LとしてコミットされたBB署名σIと同じ値がΣ={σ1、σ2、・・・、σN}の中に一つ存在することを示す証明ΠL,Σ
・証明ΠR,CでリングRの中に一つ存在した要素をYE、証明ΠL,Σで上記Σの中に一つ存在した要素をσE´としたとき、E=E´であることを示す証明ΠR,Σ

0075

本発明においては、ハッシュ関数H´(T)についてのBB署名zを生成し、更にこのzに係る証明を生成して検証するが、これは次の理由による。先に説明したように、同じ署名者IがあるタグTに対し2つの異なるメッセージm、m´に署名した場合、QとH(T‖m)に基づき生成したN個のσiを結んだ直線と、Q´とH(T‖m´)に基づき生成したN個のσi´を結んだ直線と、が1点(横軸が署名者Iの所)で交差することから、各メッセージについて生成された2つの署名集合Σ、Σ´において、σI=σI´なる要素が存在したことをもって、重複署名がされたと判定する。しかし、悪意を持った2名の構成員が結託することで、2名がそれぞれ生成した直線をIの所で交差させて誤判定に導くことができる可能性がある。そこで、各構成員のBB署名鍵xIとタグTとから、ハッシュHとは異なる別のハッシュH´を用いて各構成員ごとに一意に定まるBB署名zを生成し、このzについても検証することで、このような結託攻撃防御することができる。

0076

また、ΠR,C、ΠL,Σ、ΠR,Σの各証明について、ここでは生成方法を特定しないが、これは非特許文献1、2などの従来技術によって生成することが可能なためである。この場合の署名の情報量は従来どおりO(N)となる。署名の情報量をO(√N)に抑制する新たなアルゴリズムについては、実施例2として後述する。

0077

OT署名生成器108には、上記OT署名検証鍵vkと、上記OT署名鍵skと、上記タグTと、上記メッセージmと、上記コミットメントC、L、Lvk、Lzと、上記BB署名zと、上記δと、上記δcrsと、上記Qと、上記証明

0078

とが入力される。まず、OT署名鍵skを用いて

0079

の署名sig0を生成する。そして、タグ付き文書(T、m)の上記Rに関する匿名署名

0080

を生成して出力する(S8)。

0081

<署名検証>
図1に署名検証アルゴリズムの処理を担う匿名署名検証装置200の機能構成ブロックの構成例を、図2に処理フロー例を示す。
匿名署名検証装置200は、OT署名検証器201とハッシュ関数演算器202と証明検証器203とから構成される。
OT署名検証器201は、OT署名検証鍵vkと匿名署名

0082

とが入力され、OT署名検証鍵vkを用いて、sig0から

0083

を復号する。復号できなかった場合には、不正なOT署名であったと判定する(S11)。

0084

ハッシュ関数演算器202は、上記タグTと、上記OT署名検証鍵vkとが入力され、ハッシュ関数H(T)、H(vk)、及びH´(T)を演算して出力する(S12)。
証明検証器203は、gと、hと、ハッシュ値H(T)、H(vk)、及びH´(T)と、OT署名検証器201で復号された

0085

0086

とが入力され、以下の各関係式の成立の確認により署名の正当性を検証する(S13)。
・Qがgχという形をしていることの確認
e(Q、h)=e(g、πQ)
・署名者IのH(T)のBB署名σIが当該署名者IのBB署名検証鍵yIに対応する署名であることの確認
e(gH(T)・C、L)=e(g、g) ・e(h、πC,L)
・署名者IのH(vk)のBB署名σvkが当該署名者IのBB署名検証鍵yIに対応する署名であることの確認

0087

0088

・zがgχという形をしていることの確認
e(z、h)=e(g、πZ)
・Lzがzかzcrsのいずれかをコミットしたものであることの確認
δ・δcrs=g
e(δ、δ・g-1)=e(δcrs、δcrs・g-1)=e(h、πδ)

0089

0090

・署名者IのH´(T)のBB署名zが当該署名者IのBB署名検証鍵yIに対応する署名であることの確認

0091

0092

なお、ΠR,C、ΠL,Σ、ΠR,Σの検証については、ここでは実施方法を特定しないが、これは非特許文献1、2などの従来技術によって実施することが可能なためである。証明生成器107において署名の情報量をO(√N)に抑制するアルゴリズムに基づき証明を生成した場合には、後述する実施例2に示すアルゴリズムにより検証する。

0093

以上の各証明の相関関係を図4に示す。
そして、証明検証器203におけるすべての検証が成功した場合に、sigをタグ付き文書(T、m)のリングRに関する正当な匿名署名とみなす。

0094

<追跡判定>
追跡判定アルゴリズムの処理を担う匿名署名追跡判定装置300の追跡機能付き匿名署名システム1内での位置づけ図1に、システム全体の処理フロー内での位置づけを図2に示す。
匿名署名追跡判定装置300は、同一のタグTで文書が異なる2つのタグ付き文書(T、m)、(T、m´)と、これら2つのタグ付き文書に対する各構成員のBB署名検証鍵のコミットメントの集合R={Y1、Y2、・・・、YN}に関する2つの正しい匿名署名

0095

0096

とが入力され、各タグ付き文書について、それぞれσi=gH(T,m)・Qi、σi´=gH(T,m´)・Q´iにより、BB署名の集合Σ={σ1、σ2、・・・、σN}、Σ´={σ1´、σ2´、・・・、σN´}を復元し、σI(∈Σ)=σI´(∈Σ´)となる要素が発見された場合に、重複署名がされたと判定し署名者Iを出力する(S21)。

0097

以上のようなアルゴリズムにより、ランダムオラクルモデルによらずに安全性証明がつく追跡機能付きのリング署名方式を実現することができる。

0098

実施例2では、参考文献4で開示されたアルゴリズムを実施例1の追跡機能付きのリング署名方式に応用し、署名の情報量をO(N)からO(√N)に抑制するアルゴリズムを説明する。実施例1とは構成は共通であるが、匿名署名生成装置100については、四則演算器104、乱数生成器105、及び証明生成器107、また匿名署名検証装置200については、ハッシュ関数演算器202、及び証明検証器203につき、一部処理が追加される。そこで、ここでは追加部分についてのみ説明し、共通する部分の説明は省略する。

0099

四則演算器104は、更に、ハッシュ値H(T‖m)とQとから、i=I以外の全てのi(1≦i≦n)について、BB署名σiを、σi=gH(T,m)・Qiにより演算して出力する。
乱数生成器105は、更に、

0100

について、

0101

0102

をランダムに生成して出力する。なお、I=(u−1)√N+vは、BB署名σI、BB署名検証鍵のコミットメントYIをそれぞれ、√N×√Nの行列上のσu,v、Yu,vにマッピングする関係式である。

0103

証明生成器107は、更に、ランダム値tτ、λτ、wτ、tτ´、λτ´、wτ´(1≦τ≦√N)と、集合R={Y1、Y2、・・・、YN}と、BB署名σi(1≦i≦n、i=Iを含む)と、がそれぞれ入力され、証明ΠR,C、ΠL,Σ、ΠR,Σをそれぞれ以下のように生成し出力する。

0104

なお、生成にあたっては、σi、Yi(1≦i≦N)を、i=(ε−1)√N+φの関係式により√N×√Nの行列上のσε,φ、Yε,φ(1≦ε、φ≦√N)にそれぞれマッピングする。

0105

0106

・証明ΠR,Σは、以下のπα,α´,ε、πγ,γ´,φの組からなる。

0107

ハッシュ関数演算器202は、更に上記mが入力され、ハッシュ関数H(T‖m)を演算して出力する。

0108

証明検証器203は、更に上記ハッシュ関数H(T‖m)と、R={Y1、Y2、・・・、YN}とが入力され、まず全てのi(1≦σi≦N)について、σi=gH(T,m)・QiによりΣ={σ1、σ2、・・・、σN}を復元する。そして、証明ΠR,C、ΠL,Σ、ΠR,Σについて、以下の各関係式の成立を確認することにより署名の正当性を検証する。
●証明ΠR,Cについて
・各α(又は各γ)がhχかg・hχのいずれかの形をしていることの確認

0109

・各α(又は各γ)のうち1つがg・hχの形をしていることの確認

0110

・その1つのα(又はγ)が、各Yのうちの1つに対応するものであることの確認

0111

・その1つのYが、C(yIのコミットメント)であることの確認

0112

0113

●証明ΠL,Σについて、
・各α(又は各γ)がhχかg・hχのいずれかの形をしていることの確認

0114

・各α(又は各γ)のうち1つがg・hχの形をしていることの確認

0115

・その1つのα(又はγ)が、各σのうちの1つに対応するものであることの確認

0116

・その1つのσが、σIであることの確認

0117

0118

●証明ΠR,Σについて、
・証明ΠR,CでリングRの中に1つ存在した要素をYE、証明ΠL,Σで上記Σの中に1つ存在した要素をσE´としたとき、E=E´であることの確認

0119

0120

以上のように、Yi、σiをそれぞれ√N×√Nの行列内にマッピングし、それに基づき証明を生成することで、行又は列単位での署名の証明処理を可能とし、よって署名として必要な情報量を√Nに比例するO(√N)に抑制することができる。

0121

本発明における匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、追跡機能付き匿名署名システム、それらの方法及びプログラムは、上記の実施形態に限定されるものではなく、本発明を逸脱しない範囲で適宜変更が可能である。また、上記に説明した処理は記載の順に従った時系列において実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行してもよい。

0122

また、匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、又は追跡機能付き匿名署名システムにおける処理機能コンピュータによって実現する場合、匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、又は追跡機能付き匿名署名システムが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより上記匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、又は追跡機能付き匿名署名システムにおける処理機能がコンピュータ上で実現される。

実施例

0123

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦自己記録装置に格納する。そして、処理の実行時、このコンピュータは自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータからこのコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって上記の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。また、この形態ではコンピュータ上で所定のプログラムを実行させることにより、匿名署名生成装置、匿名署名検証装置、匿名署名追跡判定装置、又は追跡機能付き匿名署名システムを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ