CN111033599A

CN111033599A - 协商系统、协商装置、程序以及记录介质

Info

Publication number: CN111033599A
Application number: CN201880053800.6A
Authority: CN
Inventors: 五十岚大; 滨田浩气
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2017-08-22
Filing date: 2018-08-16
Publication date: 2020-04-17
Anticipated expiration: 2038-08-16
Also published as: US20200252209A1; JPWO2019039382A1; AU2018320435B9; AU2018320435B2; JP6981472B2; EP3675087A4; CN111033599B; US11265155B2; EP3675087A1; WO2019039382A1; EP3675087B1; AU2018320435A1

Abstract

执行协商协议的协商装置P(i)(其中，i＝0，…，n－1)，生成包含表示意见的意见值x_i、和对意见值x_i附加的署名sig_＿i(x_i)的带署名意见值X_ij＝(x_i，sig_＿i(x_i))或者与带署名意见值X_ij不同的信息，作为带署名意见值X’_ij＝(x’_ij，e’_ij)，对协商装置P(j)(其中，j＝0，…，n－1，i≠j)输出。协商装置P(j)接受带署名意见值X’_ij，将带署名意见值X’_ij或者与带署名意见值X’_ij不同的信息，作为带署名意见值X”_ij对协商装置P(m)(其中，m＝0，…，n－1，m≠i，m≠j)输出。

Description

协商系统、协商装置、程序以及记录介质

技术领域

本发明涉及加密技术，特别涉及协商协议。

背景技术

在自律分散系统中，多个装置分别独立地进行处理。这些多个装置的处理内容必须是相互协调的。在实现它的技术中有协商协议(例如，参照非专利文献1等)。在协商协议中，多个装置相互提供表示自己的意见(例如，处理顺序、请求的有无、请求的内容等)的值(意见值)，将它们输入最终协商函数，得到作为系统整体取得协调的协商结果(例如，处理顺序、请求的有无、请求的内容等)。

现有技术文献

非专利文献

非专利文献1：Zuzana Beerliova-Trubiniova,Martin Hirt,and Micha Riser,“Efficient Byzantine Agreement with Faulty Minority,”ASIACRYPT 2007,LNCS4833,pp.393-409,2007.

发明内容

发明要解决的课题

在协商协议中，设想任意装置有意识地或者偶然地将非法的意见值提供给其它装置，或未提供意见值的情况。本发明的目的是，在一定程度上确定协商协议中进行了非法的处理的装置。

用于解决课题的手段

执行协商协议的协商系统具有n个协商装置P(0)，…，P(n－1)。其中，n为3以上的整数，i＝0，…，n－1，j＝0，…，n－1，m＝0，…，n－1，i≠j，m≠i，m≠j。协商装置P(i)生成包含表示意见的意见值x_i、对该意见值x_i附加的署名sig_＿i(x_i)的带署名意见值X_ij＝(x_i，sig_＿i(x_i))或者与带署名意见值X_ij不同的信息作为带署名意见值X’_ij＝(x’_ij，e’_ij)，对协商装置P(j)输出。协商装置P(j)接受带署名意见值X’_ij，将带署名意见值X’_ij或者与带署名意见值X’_ij不同的信息作为带署名意见值X”_ij对协商装置P(m)输出。

发明效果

由此，可以在一定程度上确定在协商协议中进行了非法的处理的装置。

附图说明

图1是例示了实施方式的协商系统的方框图。

图2是例示了实施方式的协商装置的方框图。

图3是例示了实施方式的协商方法的提供处理的流程图。

图4是例示了实施方式的协商方法的验证处理的流程图。

图5A以及图5B是例示了实施方式的协商方法的图。

具体实施方式

以下，参照附图，说明本发明的实施方式。

＜构成＞

如图1中例示的那样，执行本方式的协商协议的协商系统1是具有可通过网络进行通信的n个协商装置10－P(0)，…，10－P(n－1)的自律分散系统。其中，n为3以上的整数(例如，n≧4)，i＝0，…，n－1，j＝0，…，n－1，r＝0，…，n－1，m＝0，…，n－1，i≠j，m≠i，m≠j。如图2中例示的那样，协商装置10－P(r)包括：通信单元11－P(r)、存储单元12－P(r)、共享单元13－P(r)、署名生成单元14－P(r)、署名验证单元15－P(r)、判定单元16－P(r)、判定单元17－P(r)、意见值输出单元18－P(r)、以及控制单元19－P(r)。各协商装置10－P(r)根据控制单元19－P(r)的控制执行各处理。

＜提供处理＞

接着，使用图3以及图5，说明各协商装置10－P(r)(其中，r＝0，…，n－1)提供表示自己的意见的意见值x_r的提供处理。意见值x_r表示使需要协商装置10－P(0)，…，10－P(n－1)之间相互协调的处理内容。意见值x_r的一例是对表示处理顺序的意见进行表示的值。例如，在从协商装置10－P(A)发送“将值D更新为11”这样的请求R_A，从协商装置10－P(B)发送“将值D更新为9”这样的请求R_B的情况(其中，A，B∈{0，…，n－1})下，可以例示表示在处理请求R_A后处理请求R_B这样的意见的意见值x_r＝((A，update，D，11)，(B，update，D，9))、以及表示在处理请求R_B后处理请求R_A这样的意见的意见值x_r＝((B，update，D，9)，(A，update，D，11))。若对这样的意见值x_r完成协商，则在系统整体中可以统一处理顺序。其它意见值x_r的例子是表示发送了请求的值。例如，在从协商装置10－P(A)发送“将值D更新为11”这样的请求R_A，从协商装置10－P(B)发送“将值D更新为9”这样的请求R_B的情况下，可以例示表示发送了请求R_A以及R_B的情况的意见值x_r＝((A，update，D，11)，(B，update，D，9))、表示仅发送了请求R_A的情况的意见值x_r＝(A，update，D，11)等。通过使用这样的意见值x_r，可以确认已对各装置正确地提供了请求。其它意见值x_r的例子是表示请求的内容的值。例如，在从协商装置10－P(A)发送“将值D更新为11”这样的请求R_A的情况下，可以例示表示发送了“将值D更新为11”这样的内容的请求R_A的情况的x_r＝(A，update，D，11)或表示发送了“将值D更新为9”这样的内容的请求R_A情况的x_r＝(A，update，D，9)。通过使用这样的意见值x_r，可以确认在系统整体中是否对各协商装置提供了同一请求。

《步骤S1》

作为前提，在各协商装置10－P(i)(其中，i＝0，…，n－1)中，设定用于署名生成的署名生成密钥sk_i、以及用于验证使用署名生成密钥sk_i生成的署名的署名验证密钥k_i。署名生成密钥sk_i以及署名验证密钥k_i被存储在协商装置10－P(i)的存储单元12－P(i)中。署名生成密钥sk_i是协商装置10－P(i)的秘密信息，署名验证密钥k_i是公开信息。署名生成密钥sk_i的例子是按照公开密钥加密方式(例如，RSA)的秘密密钥，署名验证密钥k_i的例子是按照该公开密钥加密方式的公开密钥。在该情况下的署名生成密钥sk_i以及署名验证密钥k_i是公开密钥加密方式中的密钥对。在该前提下，协商装置10－P(i)(其中，i＝0，…，n－1)的共享单元13－P(i)与协商装置10－P(i)(其中，i＝0，…，n－1)以外的协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)的共享单元13－P(i)之间共享署名验证密钥k_i。共享单元13－P(i)与共享单元13－P(j)之间的署名验证密钥k_i的共享，例如通过从共享单元13－P(i)对共享单元13－P(j)发送与署名验证密钥k_i或者署名验证密钥k_i对应的值来进行。或者，在网络上的公开的服务器装置中存储署名验证密钥k_i或者与署名验证密钥k_i对应的信息，各共享单元13－P(j)从该服务器装置接收署名验证密钥k_i或者与署名验证密钥k_i对应的信息即可。署名验证密钥k_i被存储在协商装置10－P(j)的存储单元12－P(j)中。由此，在各协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)的存储单元12－P(j)中，除了自己的署名生成密钥sk_j以及署名验证密钥k_j，还存储n－1个其它协商装置10－P(i)的署名验证密钥k_i(其中，i＝0，…，n－1，i≠j)。例如n＝3的情况下，在协商装置10－P(0)的存储单元12－P(0)中存储sk₀，k₀，k₁，k₂，在协商装置10－P(1)的存储单元12－P(1)中存储sk₁，k₀，k₁，k₂，在协商装置10－P(2)的存储单元12－P(2)中存储sk₂，k₀，k₁，k₂(图5A)。接着进入步骤S2。

《步骤S2》

在协商装置10－P(i)(其中，i＝0，…，n－1)的署名生成单元14－P(i)中，输入表示意见的意见值x_i、以及从存储单元12－P(i)读入的署名生成密钥sk_i。协商装置10－P(i)可能进行正当的处理，也可能进行非法的处理。在协商装置10－P(i)进行正当的处理的情况下，署名生成单元14－P(i)生成包含意见值x_i、使用署名生成密钥sk_i对意见值x_i附加的署名sig_＿i(x_i)的带署名意见值X_ij＝(x_i，sig_＿i(x_i))，将该意见值X_ij作为带署名意见值X’_ij＝(x’_ij，e’_ij)输出。而且，在署名生成密钥sk_i为按照公开密钥加密方式的秘密密钥的情况下，署名sig_＿i(x_i)是例如使用署名生成密钥sk_i，按照公开密钥加密方式将意见值x_i加密而得到的密文。另一方面，在协商装置10－P(i)进行不当的处理的情况下，署名生成单元14－P(i)生成与带署名意见值X_ij不同的信息，作为带署名意见值X’_ij＝(x’_ij，e’_ij)并输出。带署名意见值X’_ij被送至通信单元11－P(i)。

《步骤S3》

进行正当的处理的协商装置10－P(i)(其中，i＝0，…，n－1)的通信单元11－P(i)(第1输出单元)对n－1个协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)输出带署名意见值X’_ij＝(x’_ij，e’_ij)。例如，在n＝3的情况下，协商装置10－P(0)将带署名意见值X’₀₁发送到协商装置10－P(1)，将带署名意见值X’₀₂发送到协商装置10－P(2)，协商装置10－P(1)将带署名意见值X’₁₀发送到协商装置10－P(0)，将带署名意见值X’₁₂发送到协商装置10－P(2)，协商装置10－P(2)将带署名意见值X’₂₀发送到协商装置10－P(0)，将带署名意见值X’₂₁发送到协商装置10－P(1)(图5A)。在协商装置10－P(i)执行正当的处理的情况下，为X’_ij＝(x’_ij，e’_ij)＝X_ij＝(x_i，sig_＿i(x_i)))。进行非法的处理的协商装置10－P(i)的通信单元11－P(i)将与带署名意见值X_ij＝(x_i，sig_＿i(x_i))不同的信息作为带署名意见值X’_ij＝(x’_ij，e’_ij)对协商装置10－P(j)输出。即，通信单元11－P(i)将带署名意见值X_ij＝(x_i，sig_＿i(x_i))或者与带署名意见值X_ij不同的信息作为带署名意见值X’_ij＝(x’_ij，e’_ij)对协商装置10－P(j)输出。进行非法的处理的协商装置10－P(i)的通信单元11－P(i)可能将带署名意见值X’_ij＝(x’_ij，e’_ij)不输出到至少一部分协商装置10－P(j)。

《步骤S4》

从协商装置10－P(i)输出的带署名意见值X’_ij通过网络被发送到协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)。带署名意见值X’_ij被输入到协商装置10－P(j)的通信单元11－P(j)(第1输入单元)(被接受)，存储在存储单元12－P(j)中。例如，在n＝3的情况下，协商装置10－P(0)的存储单元12－P(0)中存储带署名意见值X’₁₀以及带署名意见值X’₂₀，协商装置10－P(1)的存储单元12－P(1)中存储带署名意见值X’₀₁以及带署名意见值X’₂₁，协商装置10－P(2)的存储单元12－P(2)中存储带署名意见值X’₀₂以及带署名意见值X’₁₂(图5B)。

《步骤S5》

进行正当的处理的协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)的通信单元11－P(j)(第2输出单元)将带署名意见值X”_ij＝(x”_ij，e”_ij)(其中，i＝0，…，n－1，i≠j)对n－1个协商装置10－P(m)(其中，m＝0，…，n－1，m≠j)输出。在协商装置10－P(j)执行正当的处理的情况下，带署名意见值X”_ij是被存储在存储单元12－P(j)中的X’_ij，X”_ij＝(x”_ij，e”_ij)＝X’_ij＝(x’_ij，e’_ij)。其中，有任意的协商装置10－P(j)进行非法的处理的可能性，进行非法的处理的协商装置10－P(j)的通信单元11－P(j)将与带署名意见值X’_ij＝(x’_ij，e’_ij)不同的信息作为带署名意见值X”_ij＝(x”_ij，e”_ij)对协商装置10－P(m)输出。即，通信单元11－P(j)将带署名意见值X’_ij＝(x’_ij，e’_ij)或者与带署名意见值X’_ij不同的信息作为带署名意见值X”_ij＝(x”_ij，e”_ij)对协商装置10－P(m)输出。将从通信单元11－P(j)对协商装置10－P(m)输出的n－1个带署名意见值X”_0j，…，X”_(j－1)j，X”_(j+1)j，…，X”_(n－1)j的集合表现为确认数据C_j＝X”_0j，…，X”_(j－1)j，X”_(j+1)j，…，X”_(n－1)j。例如，在n＝3的情况下，通信单元11－P(0)将确认数据C₀＝X”₁₀，X”₂₀对协商装置10－P(1)以及P(2)输出，通信单元11－P(1)将确认数据C₁＝X”₀₁，X”₂₁对协商装置10－P(0)以及P(2)输出，通信单元11－P(2)将确认数据C₂＝X”₀₂，X”₁₂对协商装置10－P(0)以及P(1)输出(图5B)。进行非法的处理的协商装置10－P(j)(其中，j＝0，…，n－1，j≠i)的通信单元11－P(j)可能将确认数据C_j不对至少一部分的协商装置10－P(m)输出。

《步骤S6》

从通信单元11－P(j)输出的确认数据C_j通过网络被发送到协商装置10－P(m)(其中，m＝0，…，n－1，m≠j)。确认数据C_j被输入到协商装置10－P(m)的通信单元11－P(m)(第2输入单元)(被接受)，存储在存储单元12－P(m)中。例如，在n＝3的情况下，在存储单元12－P(0)中存储确认数据C₁＝X”₀₁，X”₂₁以及C₂＝X”₀₂，X”₁₂，在存储单元12－P(1)中存储确认数据C₀＝X”₁₀，X”₂₀以及C₂＝X”₀₂，X”₁₂，在存储单元12－P(2)中存储确认数据C₀＝X”₁₀，X”₂₀以及C₁＝X”₀₁，X”₂₁(图5B)。

＜验证处理＞

接着，使用图4以及图5B，说明各协商装置10－P(m)(其中，m＝0，…，n－1)进行的意见值的验证处理。其中，以进行非法的协商装置的个数为1个以下为前提。验证处理在上述的提供处理之后被执行。验证处理可以以进行了提供处理为契机来执行，也可以在提供处理之后的规定的定时来执行。可以全部协商装置10－P(0)，…，10－P(n－1)进行验证处理，也可以仅其一部分进行验证处理。

《步骤S11》

首先，协商装置10－P(m)的控制单元19－P(m)将与判定对象对应的索引i∈{0，…，n－1}初始化。例如，若m≠0，则控制单元19－P(m)初始化为i＝0，若m≠0，则控制单元19－P(m)初始化为i＝1。

《步骤S12》

协商装置10－P(m)的署名验证单元15－P(m)从存储单元12－P(m)读入确认数据C₀，…，C_n－1中包含的、对于索引i的带署名意见值X”_i0，…，X”_i(i―1)，X”_i(i+1)，…，X”_i(n－1)、以及署名验证密钥k_i(其中，i＝0，…，n－1，i≠j)，使用这些对各个带署名意见值X”_i0，…，X”_i(i―1)，X”_i(i+1)，…，X”_i(n－1)进行署名验证，输出它们的结果V(X”_i0)，…，V(X”_i(i―1))，V(X”_i(i+1))，…，V(X”_i(n－1))。即，署名验证单元15－P(m)在通信单元11－P(m)(第2输入单元)中被接受的(被输入的)带署名意见值X”_ij对于与协商装置10－P(i)对应的署名验证密钥k_i处于正确的关系的情况(署名正当的情况)下，判定为对于带署名意见值X”_ij的署名验证的结果合格，输出表示该意思的结果V(X”_ij)＝OK。在除此以外的情况下，署名验证单元15－P(m)判定为对于带署名意见值X”_ij的署名验证的结果为不合格，输出表示该意思的结果V(X”_ij)＝NG。例如，署名验证单元15－P(m)在通信单元11－P(m)中未接受带署名意见值X”_ij的情况(未被输入的情况)、通信单元11－P(m)接受的带署名意见值X”_ij的形式不是规定的形式的情况、或者，通信单元11－P(m)中接受的带署名意见值X”_ij对于署名验证密钥k_i不处于正确的关系的情况(署名非法的情况)下，判定为对于带署名意见值X”_ij的署名验证的结果为不合格，输出表示该意思的V(X”_ij)＝NG。

在署名验证密钥k_i为按照公开密钥加密方式的公开密钥的情况下，带署名意见值X”_ij对于署名验证密钥k_i是否处于正确的关系(署名正当还是署名非法)的判定，例如如下那样进行。首先，署名验证单元15－P(m)按照前述的公开密钥加密方式，将带署名意见值X”_ij＝(x”_ij，e”_ij)中包含的密文e”_ij使用署名验证密钥k_i进行解码，得到解码结果x”_i＝dec_k＿i(e”_ij)。这里，若带署名意见值X”_ij是正确地生成的值，则为X”_ij＝(x”_ij，e”_ij)＝(x_i，sig_＿i(x_i))，成为x”_i＝dec_k＿i(e”_ij)＝dec_k＿i(sig_＿i(x_i))＝x_i。接着，署名验证单元15－P(m)判定是否满足x”_ij＝x”_i。这里，在满足x”_ij＝x”_i的情况下，署名验证单元15－P(m)判断为带署名意见值X”_ij对于署名验证密钥k_i处于正确的关系(署名正当)。另一方面，在不满足x”_ij＝x”_i的情况(x”_ij≠x”_i)下，署名验证单元15－P(m)判断为带署名意见值X”_ij对于署名验证密钥k_i不处于正确的关系(署名非法)。

例如，在n＝3且i＝1的情况下，署名验证单元15－P(0)进行对于带署名意见值X”₁₂的署名验证，输出其结果V(X”₁₂)，在n＝3且i＝0的情况下，署名验证单元15－P(1)进行对于带署名意见值X”₀₂的署名验证，输出其结果V(X”₀₂)，在n＝3且i＝0的情况下，署名验证单元15－P(2)进行对于带署名意见值X”₀₁的署名验证，输出其结果V(X”₀₁)(图5B)。

《步骤S13》

对于索引i的带署名意见值X”_ij以及对于从协商装置10－P(m)输出的索引i的署名验证的结果V(X”_ij)(其中，j＝0，…，n－1，j≠i)被输入到判定单元16－P(m)(第1判定单元)。进而在判定单元16－P(m)中，输入对于从存储单元12－P(m)读出的索引i的带署名意见值X’_im。带署名意见值X’_im＝(x’_im，e’_im)是在前述的步骤S4中从协商装置10－P(i)被发送到协商装置10－P(m)、被存储在存储单元12－P(m)中的值。判定单元16－P(m)判定是否对应于以下的(1－1)以及(1－2)的至少一方。

(1－1)在带署名意见值X”_ij中，对于至少任意的2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为合格(V(X”_iy)＝V(X”_iz)＝OK)，并且，带署名意见值X”_iy中包含的意见值x”_iy、与带署名意见值X”_iz中包含的意见值x”_iz互不相同(x”_iy≠x”_iz)。

(1－2)对于带署名意见值X”_iy＝(x”_iy，e”_iy)的署名验证的结果为合格(V(X”_iy)＝OK)，并且，带署名意见值X”_iy中包含的意见值x”_iy、与带署名意见值X’_im＝(x’_im，e’_im)中包含的意见值x’_im互不相同(x”_iy≠x’_im)。

在步骤S13中判定为对应于(1－1)以及(1－2)的至少一方的情况下，判定单元16－P(m)判定为在协商装置10－P(i)中存在非法行为，输出该意思。即，对应于(1－1)的是，为X”_iy＝X_iy且X”_iz＝X_iz，这是在协商装置10－P(i)中被生成的结果的情况。但是，本来应为x”_iy＝x”_iz＝x_i，但却成为x”_iy≠x”_iz。可能进行这样的非法行为的，仅为生成了署名的协商装置10－P(i)。因此，可以判定协商装置10－P(i)存在非法行为。而且，对应于(1－2)的是，为带署名意见值X”_iy＝X_iy，该署名为在协商装置10－P(i)中生成的署名的情况。但是，本来应为x”_iy＝x’_im＝x_i，但是却成为x”_iy≠x’_im。这样的非法行为在协商装置10－P(i)生成带署名意见值X’_iy时进行，或者，在前述的步骤S4中协商装置10－P(i)对协商装置10－P(m)发送带署名意见值X’_im时进行。因此，可以判定为在协商装置10－P(i)中存在非法行为。在输出了在协商装置10－P(i)中存在非法行为的意思的情况下，验证处理结束(步骤S15)。

《步骤S14》

另一方面，在步骤S13判定为不对应于(1－1)以及(1－2)的任意一个的情况下，对于索引i的带署名意见值X”_ij以及对于从协商装置10－P(m)输出的索引i的署名验证的结果V(X”_ij)(其中，j＝0，…，n－1，j≠i)被输入到判定单元17－P(m)(第2判定单元)。判定单元17－P(m)判定是否对应于以下的(2－1)。

(2－1)在带署名意见值X”_ij中，对于至少任意的2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为不合格(V(X”_iy)＝V(X”_iz)＝NG)。

在步骤S14中判定为对应于(2－1)的情况下，判定单元16－P(m)判定为在协商装置10－P(i)中存在非法行为，输出该意思。即，对应于(2－1)的是，协商装置10－P(i)在步骤S3中输出了非法的带署名意见值X’_iy≠(x_i，sig_＿i(x_i))以及带署名意见值X’_iz≠(x_i，sig_＿i(x_i))，或者，至少两个协商装置10－P(y)以及10－P(z)在步骤S5中输出了非法的带署名意见值X”_iy≠X’_iy＝(x_i，sig_＿i(x_i))以及带署名意见值X”_iz≠X’_iz＝(x_i，sig_＿i(x_i))的情况。但是，在进行非法行为的协商装置的个数为1个以下这样的前提的基础上，后者被除外，可以判定为在协商装置10－P(i)中存在非法行为。在输出了协商装置10－P(i)中存在非法行为的意思的情况下，验证处理结束(步骤S15)。

《步骤S16》

步骤S14判定为不对应于(2－1)的情况下，意见值输出单元18－P(m)从存储单元12－P(m)提取任意的带署名意见值X”_ij＝(x”_ij，e”_ij)，将其包含的意见值x”_ij作为协商装置10－P(i)的正当的意见值x_i输出(步骤S16)。

《步骤S17》

接着，控制单元19－P(m)判定是否除了m，对于全部的i∈{0，…，n－1}已结束了判定(步骤S12～S16)(步骤S17)。在除了m，对于全部的i∈{0，…，n－1}判定已结束的情况下，结束验证处理。另一方面，在除了m，对于全部的i∈{0，…，n－1}判定未结束的情况下，控制单元19－P(m)将索引i更新为尚未选择的值，将处理返回步骤S12(步骤S18)。

[变形例等]

而且，本发明不限于上述的实施方式。例如，上述的验证处理将进行非法行为的协商装置的个数为1个以下设为了前提，但是即使没有该前提，也能够适用本发明。在该情况下，在步骤S13中判定为对应于(1－1)以及(1－2)的至少一方时，可以判定为在协商装置10－P(i)中存在非法行为，但是在步骤S14中判定为对应于(2－1)的情况下，不能马上判定为在协商装置10－P(i)中进行了非法行为。但是，即使在该情况下也至少可以探测到存在非法行为，可以在一定程度上确定进行了非法行为的装置。而且，也可以仅执行步骤S13以及S14的任意一方。

而且，判定单元16－P(m)或者17－P(m)也可以进一步在步骤S4中通信单元11－P(m)中未接受带署名意见值X’_im的情况(未被输入的情况)、或者，接受的X’_im的形式不是规定形式的情况下，判定为在协商装置10－P(i)中存在非法行为，输出该意思。而且，在上述的实施方式中使用公开密钥加密方式生成了署名，但是也可以使用共同密钥加密方式生成署名。

而且，在上述的实施方式中，协商系统1为自律分散系统，但也可以是集中管理系统。上述的各种处理不仅可以按照记载时间顺序地被执行，也可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。此外，不用说在不脱离本发明的宗旨的范围中能够适当变更。

上述的各装置例如通过具有CPU(central processing unit)等处理器(硬件/处理器)以及RAM(random-access memory)/ROM(read-only memory)等存储器等的通用或者专用的计算机执行规定的程序来构成。该计算机可以具有1个处理器和存储器，也可以具有多个处理器和存储器。该程序可以安装在计算机中，也可以预先记录在ROM等中。而且，也可以不是CPU那样通过读入程序来实现功能结构的电子电路(circuitry)，而利用不使用程序地实现处理功能的电子电路来构成一部分或者全部处理单元。构成1个装置的电子电路也可以包含多个CPU。

在通过计算机实现上述的结构的情况下，各装置应有功能的处理内容通过程序进行记述。通过在计算机上执行该程序，在计算机上实现上述处理功能。记述了该处理内容的程序可以记录在计算机可读取的记录介质中。计算机可读取的记录介质的例子是非暂时的(non-transitory)记录介质。这样的记录介质的例子是，磁记录装置、光盘、光磁记录介质、半导体存储器等。

该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序的其它执行方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。

也可以不在计算机上执行规定的程序来实现本装置的处理功能，而通过硬件实现这些处理功能的至少一部分。

工业上的可利用性

本发明例如可以利用于秘密计算系统等。

标号说明

1 协商系统

10－P(0)，…，10－P(n－1) 协商装置

Claims

1.一种执行协商协议的协商系统，

该协商系统包括：n个协商装置P(0)，…，P(n－1)，

n为3以上的整数，i＝0，…，n－1，j＝0，…，n－1，m＝0，…，n－1，i≠j，m≠i，m≠j，

协商装置P(i)包括：

署名生成单元，生成包含表示意见的意见值x_i、对所述意见值x_i附加的署名sig_＿i(x_i)的带署名意见值X_ij＝(x_i，sig_＿i(x_i))或者与所述带署名意见值X_ij不同的信息，作为带署名意见值X’_ij＝(x’_ij，e’_ij)；以及

第1输出单元，对协商装置P(j)输出所述带署名意见值X’_ij，

所述协商装置P(j)包括：

第1输入单元，接受所述带署名意见值X’_ij；以及

第2输出单元，对协商装置P(m)输出所述带署名意见值X’_ij或者与所述带署名意见值X’_ij不同的信息，作为带署名意见值X”_ij。

2.如权利要求1所述的协商系统，

所述协商装置P(m)包括：

第2输入单元，接受从所述协商装置P(j)的所述第2输出单元输出的所述带署名意见值X”_ij＝(x”_ij，e”_ij)、以及从所述协商装置P(i)的所述第1输出单元输出的带署名意见值X’_im＝(x’_im，e’_im)；

署名验证单元，进行对于所述带署名意见值X”_ij的署名验证；以及

第1判定单元，在(1)所述带署名意见值X”_ij之中，对于至少任意的2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为合格，并且，所述带署名意见值X”_iy中包含的意见值x”_iy、与所述带署名意见值X”_iz中包含的意见值x”_iz互不相同的情况，和/或在(2)对于所述带署名意见值X”_iy＝(x”_iy，e”_iy)的署名验证的结果为合格，并且，所述带署名意见值X”_iy中包含的意见值x”_iy、与所述带署名意见值X’_im＝(x’_im，e’_im)中包含的意见值x’_im互不相同的情况下，判定为在所述协商装置P(i)中存在非法行为。

3.如权利要求1或者2所述的协商系统，

所述协商装置P(m)包括：

第2输入单元，接受从所述协商装置P(j)的所述第2输出单元输出的所述带署名意见值X”_ij＝(x”_ij，e”_ij)；

第2判定单元，在所述带署名意见值X”_ij中，对于至少任意2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为不合格的情况下，判定为在所述协商装置P(i)中存在非法行为。

4.如权利要求2或者3所述的协商系统，

所述署名验证单元

在所述第2输入单元中接受的所述带署名意见值X”_ij对于与所述协商装置P(i)对应的验证密钥k_i处于正确的关系的情况下，判断为对于所述带署名意见值X”_ij的署名验证的结果为合格，

在所述第2输入单元中未接受所述带署名意见值X”_ij的情况、所述第2输入单元中接受的所述带署名意见值X”_ij的形式不是规定的形式的情况、或者所述第2输入单元中接受的所述带署名意见值X”_ij对于所述验证密钥k_i不处于正确的关系的情况下，判断为对于所述带署名意见值X”_ij的署名验证的结果为不合格。

5.一种协商装置，是权利要求1至4的任意一项中记载的协商系统具有的协商装置。

6.一种协商装置，为具有执行协商协议的n个协商装置P(0)，…，P(n－1)的协商系统的协商装置P(m)，

协商装置P(m)包括：

第2输入单元，接受从协商装置P(j)输出的带署名意见值X”_ij＝(x”_ij，e”_ij)，以及从协商装置P(i)输出的带署名意见值X’_im＝(x’_im，e’_im)；

署名验证单元，对所述带署名意见值X”_ij进行署名验证；

第1判定单元，在(1)所述带署名意见值X”_ij中，对于至少任意的2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为合格，并且，所述带署名意见值X”_iy中包含的意见值x”_iy、与所述带署名意见值X”_iz中包含的意见值x”_iz互不相同的情况、和/或在(2)对于所述带署名意见值X”_iy＝(x”_iy，e”_iy)的署名验证的结果为合格，并且，所述带署名意见值X”_iy中包含的意见值x”_iy、与所述带署名意见值X’_im＝(x’_im，e’_im)中包含的意见值x’_im互不相同的情况下，判定为在所述协商装置P(i)中存在非法行为。

7.一种协商装置，是具有执行协商协议的n个协商装置P(0)，…，P(n－1)的协商系统的协商装置P(m)，

所述协商装置P(m)包括：

第2输入单元，接受从协商装置P(j)输出的带署名意见值X”_ij＝(x”_ij，e”_ij)；

署名验证单元，对所述带署名意见值X”_ij进行署名验证；以及

第2判定单元，在所述带署名意见值X”_ij之中，对于至少任意的2个带署名意见值X”_iy＝(x”_iy，e”_iy)以及带署名意见值X”_iz＝(x”_iz，e”_iz)(其中，y，z∈{0，…，i－1，i+1，…，n－1}且y≠z)的署名验证的结果为不合格的情况下，判定为在所述协商装置P(i)中存在非法行为。

8.一种程序，使计算机具有作为权利要求5至7的任意一项的协商装置的功能。

9.一种计算机可读取的记录介质，存储了用于使计算机具有作为权利要求5至7的任意一项的协商装置的功能的程序。