JP2000331073A - 権利証明書実現方法、その装置、及びそのプログラム記録媒体 - Google Patents

権利証明書実現方法、その装置、及びそのプログラム記録媒体

Info

Publication number
JP2000331073A
JP2000331073A JP11137220A JP13722099A JP2000331073A JP 2000331073 A JP2000331073 A JP 2000331073A JP 11137220 A JP11137220 A JP 11137220A JP 13722099 A JP13722099 A JP 13722099A JP 2000331073 A JP2000331073 A JP 2000331073A
Authority
JP
Japan
Prior art keywords
certificate
public key
black box
ciphertext
signature information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11137220A
Other languages
English (en)
Inventor
Naoyuki Sato
直之 佐藤
Hideaki Suzuki
英明 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP11137220A priority Critical patent/JP2000331073A/ja
Publication of JP2000331073A publication Critical patent/JP2000331073A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 匿名性を強くする。 【解決手段】 ユーザUは既存の証明書CSy を選び、
その利用条件の鍵PB y'、発行する証明書CSj の利用
条件となる公開鍵PB i ,CSy 中のブラックボックス
BのIDB の確率的暗号文EP (eCH,IDB
y )、確率的符号EID(IDB ,r′y )、証明書発
行局CPの公開鍵PCP,eCH、証明事項MCP j をBへ送
り、BではEP ( )を変換した暗号文X、EID( )
を変換した符号Yを作り(PCP,PB i ‖X‖Y‖MCP
i ,w)をブラインド関数演算してZとし、wを確率的
暗号化しW=EP (eCH,w,x)を作り、Bの秘密鍵
B i でZ‖W‖EP ( )‖EID( )‖MCP j に対
し署名してsB を得、Z,W,sB、乱数u,v,w,
xをUへ送り、UはZ,W,sB ,CSy をCPへ送
り、CPはCSy の署名検証を行い、sB がSB y'を用
いた署名であるかの確認を行い両者に合格すると、Zを
CPの秘密鍵でブラインド署名し、その署名s′をUへ
送り、Uはs′をアンブラインドしてsj を得、またC
y ,u,vからX,Yを求めてCSj を得る。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は個人のプライバシ
の保護と不正利用防止を両立した権利証明書を実現する
方法、その装置及びプログラム記録媒体に関する。
【0002】
【従来の技術】パスワードや公開鍵による既存の多くの
認証方式は、個人を認証するために設計されている。こ
れらの認証方式は、端末の前にいるユーザと、あらかじ
め定められた個人識別子とを結び付ける役割を果たす。
だが実際には、認証の目的は、ユーザがある事柄を行う
権利を持っているかどうかを確認することであり、個人
識別子というユーザ単位の情報まで確認する必要がない
ことも多い。個人認証方式のこのような流用は、プライ
バシ保護の面で問題がある。複数のシステム管理者が結
託することによって、個人の特徴を記した情報が集めら
れ、また個人の行動履歴の全てが調べあげられてしまう
可能性もある。
【0003】実社会においても計算機の世界において
も、個人が、確かにその主張する権利を持つ存在である
かを確認する認証作業は、多くの場面において実施され
ている。最近では、Webサイトにおいても、簡単なパ
スワードや公開鍵を用いた認証が頻繁に用いられるよう
になった。これらの認証の目的を考えてみると、その内
容は場合によって大きく異なる。例えば、銀行のATM
では各人で異なる預金を確実に処理するため、また個人
のプライバシを侵害しないためにも、端末の前にいるユ
ーザの名前を確実に知る必要がある。これに対して、ニ
ュースなど一般的情報を提供するWebサイトや、商品
に対するユーザサポートを行う場面においては、ユーザ
の名前を知る事ではなく、ユーザがその権利を持ってい
るかどうかを確認することが必要とされる。
【0004】だが、上記の二番目のような場面において
も、現在の多くの場合、個人識別子を利用し、この識別
子に対応したユーザの持つ権限として、資源管理を実施
している。この手法は、本来の目的に対する実現手段の
不自然さに加えて、ユーザのプライバシの保護上の問題
や、サービス提供者側におけるデータベースの管理負荷
など様々な欠点を持つ。
【0005】プライバシの問題は特に切実で重要であ
る。例えば、各サービスごとに中央集権的なサーバが準
備されていた場合、もちろんそのサーバの管理する範囲
内でのプライバシは、サーバ管理者に対しては無いに等
しい。だが、問題はそれだけに留まらない。各々別々の
サービスを提供する複数のサーバの管理者が結託した場
合、個人が各サーバに提供した自分に関する全ての情報
と、それらサーバに対する行動履歴の全てが、管理者達
に把握されてしまうことも十分に起こり得る(個人情報
の漏洩と追跡不能性の問題)。これは是が非でも避けな
ければならない事態である。
【0006】このような問題を解決する一つの手法は、
権利の確認に証明書を利用する方法である。権利が確認
された人のみにあらかじめ証明書を配布しておくことに
よって、名前など個人識別情報とは関係なく権利の確認
を実施することができる。だがこの場合、証明書に個人
識別情報が含まれていなければ、証明書のコピーなど不
正利用に対する防御が難しい。またこれに対して、証明
書に短時間の有効期限を設けることや、既存の電子現金
で利用されている技術を用いて証明書の再利用を禁止す
ることで不正利用を防止すると、認証の手段としては、
利便性が著しく損なわれることになる。基盤となる各種技術 この発明を達成するために、用いられるいくつかの重要
な基盤技術を利用する。これらの公知の基盤技術につい
て概略する。ブラインド署名 ブラインド署名の概念は、D.Chaumによって示さ
れた。ブラインド署名は、署名者が、自分が署名する文
書の内容を確認しないで(目隠しをしたまま)署名を行
うための技術である。この技術は、多くの場合、封筒に
小切手とカーボン用紙を入れた例で説明される。ユーザ
は、封筒に小切手とカーボン用紙を入れ、この封筒を銀
行に提出する。銀行はボールペンのように先の尖ったペ
ンを用いて、封筒の上からサインを行い、これをユーザ
に返す。この時、封筒の中の小切手には、カーボン用紙
を通して銀行のサインが印刷される。このため、ユーザ
は返された封筒から小切手を取り出し、これをお店で使
用することができる。この明細書では、便宜上、ブライ
ンド署名に関係する以下の四つの関数を定義する。一番
上の関数は署名者装置が実行するもので、二番目は署名
を検証したい任意の存在の装置が実行する。残る二つは
署名を要求するユーザの装置が実行する関数である。ま
た、Sは署名生成鍵(署名者の秘密鍵)、Pは署名検証
鍵(署名者の公開鍵)、mは署名を行う文書、sは最終
的に獲得されたmの署名情報である。 ・署名関数Sign(S,m′):ブラインド署名を実施す
る関数 ユーザに示された情報m′に対して署名を実行する関
数。s′=Sign (S,m′)。 ・検証関数 Verify(P,m,s):署名を検証する関
数 署名者の公開鍵を用いて文書mの正当性(署名sの正当
性)を検証する関数。
【0007】 ・ブラインド関数 Blind(P,m,r):文書mを封筒
に入れる関数 rは通常乱数でユーザが選択する。これはブラインドを
行うための指数である。m′=Blind(P,m,r)。ブ
ラインド関数Blind では、m′からmが導出できない。 ・ブラインド解凍関数 Unblind(P,s′,r):封筒
を開封して署名sを取り出す関数 rは、上記のブラインド関数実行時に選択したrと一致
する。s=Unblind(P,s′,r)。
【0008】上記の各関数式より、Verify(P,m,Un
blind(P,Sign(S,Blind(P,m,r)),r))=
1となる。ブラインド署名の実現例は幾つか提案されて
いるが、RSAを利用した例が最も有名でよく利用され
ている。確率的公開鍵暗号 確率的公開鍵暗号(Probabilistic Public Key Encrypt
ion )は、一つの平文に対して、複数の暗号文が存在す
る公開鍵暗号である。ここで、公開鍵と秘密鍵のペアを
(e,d)とすると、暗号化と復号化の関数は以下のよ
うに示すことができる。 ・暗号化関数Eprob(e,m,r):文書mを公開鍵e
で暗号化 暗号化関数Eprobは確率暗号であるから、文書mの暗号
文は多数存在する。これらは通常、暗号化時の攪乱パラ
メータrによって、一意的に決定することができる。r
はランダムに選ばれる。c=Eprob(e,m,r)。R
SAやRabin暗号は確率的公開鍵暗号ではない。こ
れらの決定的な暗号方式では、文書mに対して暗号文が
一つしかない。これは、上記関数Eprobにおいて、rが
ない、あるいはrが既知固定であることと対応する。 ・復号化関数Dprob(d,c):暗号文cを秘密鍵dで
復号化 暗号文cを復号し、文書mを取り出す。復号時には、攪
乱パラメータrが必要ないことに注意を要する。m=D
prob(d,c)。
【0009】この発明では、以下の二つの条件を満たす
確率的公開鍵暗号を利用する。 ・Semantically secure な暗号であること Semantically secure の概念は、S.GoldwasserとS.Mica
liによって1980年代に示されている。簡単に言え
ば、暗号文から平文についての情報(部分情報も含む)
を全く得られない暗号をSemantically secure であると
いう。Semantically secure な暗号は、必ず確率的暗号
である。
【0010】Semantically secure な暗号は、幾つか提
案されている。RSAやRabin暗号はSemantically
secure ではないが、これらを用いてSemantically sec
ureな暗号を構成することもできる。 ・一つの暗号文に対して、同じ平文を持つ他の暗号文を
容易に生成できること 秘密鍵及び平文を知らなくても、ある暗号文c=Eprob
(e,m,r)に対して、これと同じ平文mを持つ別の
暗号文c′を容易に計算できなければならない(c′=
prob(e,m,r′))。また、上記のSemantically
secure の性質より、(c,c′)と(c,E
prob(e,m′,r″))(m≠m′)の違いを知るこ
とは容易ではない。
【0011】便宜上、暗号文cから、同一平文mを持つ
別の暗号文c′を作成する関数をConvcrypt (e,
c,r)とおく。c′=Convcrypt (e,c,r)
である。ここで、rは攪乱パラメータでc′を一意的に
指定するためにある。rは通常ランダムに選ばれる。上
記の全ての条件を満たす暗号としては、Gold wasser と
Micaliらが提案した初歩的な番号の他、ElGamal 暗号、
T.Okamoto とS.Uchiyamaらが1998年のEurocrypt で
発表した暗号などがある。確率的符号判定手法 以下に示す特殊な符号判定手法を利用する。ある有限集
合ID,C,R、及び集合B={0,1}において、以
下の関係が成り立つ。ただし、x,x′∈ID、c,
c′,c″∈C、r,r′,r″∈Rである。 ・符号作成関数EID(x,r):ID,R→C(集合I
Dの1つの要素と集合Rの1つの要素から集合Cの1つ
の要素への写像をとる) EIDは、rは攪乱パラメータとして、同一xに対して異
なる複数の符号cを持ち、これらの符号からは、その元
のxについての情報がほとんど得られないこととする。
特に、c=EID(x,r),c′=EID(x,r′),
c″=EID(x′,r″)(r≠r′,x≠x′)とす
ると、(c,c′)と(c,c″)の違いを知ることは
容易ではない。
【0012】また、前節の確率的暗号化手法に対する要
求と同様に、ある符号cに対して、これと同様の元xを
持った別の符号c′を容易に計算できることとする。便
宜上、符号cから、同一元xを持つ別の符号c′を作成
する関数をConv ID(c,r)とおく。c′=Con
ID(c,r)である。ここで、rは攪乱パラメータで
c′を一意的に指定するためにある。rは通常ランダム
に選ばれる。 ・判定関数DID(x,c):ID,C→B c=EID(x′,r)の場合、以下の式が成り立つ。判
定関数実行時には、上記の攪乱パラメータrが必要ない
ことに注意する。
【0013】 ID(x,EID(x,r))=1である。上記の定義よ
り、cから、その元のxが導出できないことは明らかで
ある。このような定義を満たす関数群は幾つか考えられ
る。ここでは、具体例の一つとして、Diffie−Hellman
決定問題の困難性に根拠をおいた関数群を以下に挙げ
る。 ・符号作成関数EID(x,r)=a(mod p)‖a
x (mod p) pは十分大きな素数で公知かつ固定の値。aはmod pに
おける任意の原始根。上式EIDにおいて、rはaを選択
するアルゴリズムの中で利用する(実際には、符号作成
時にランダムに原始根aを選ぶだけでよい)。‖は結合
を表す。 ・符号間変換関数 ConvID(c,r)=ConvID(c0 ‖c1 ,r) =c0 r (mod p)‖c1 r (mod p) =(a)r (mod p)‖(ax r (mod p) =ar (mod p)‖(ar x (mod p) =a′(mod p)‖a′x (mod p) ここで、rはgcd(r,p−1)=1となる乱数とす
る。この場合、a′=ar は原始根である。対象モデル 次にこの発明で使用する世界のモデルを図11に示す。
図中にあるように、以下の四つの要素を想定する。 証明書発行装置(Certificate Publisher :CP) 証明書を発行する実体。特定ユーザに対して、そのユー
ザがある権利を持っている、あるいはある特徴を持って
いることを保証する証明書を発行する。
【0014】証明書の保証する内容は任意である。例え
ば『普通自動車の運転資格がある』ことを証明する証明
書や、『20歳以上である』こと、『東京都内に住んで
いる』『A社の社員である』『Bゴルフクラブの会員で
ある』『年収が1,000万円以上である』等々、様々
な内容を保証する証明書が考えられる。これらは、各々
適当な証明書発行装置CPによって発行される。運転資
格や居住地域については特定の役所が運営する証明書発
行装置CPが関与し、ゴルフクラブについてはそのクラ
ブのオーナーの持つ証明書発行装置CPが関係するかも
しれない。 資源管理装置(Resource Manager:RM) 資源を管理する実体。資源とは、計算機などの物理的資
源だけでなく、情報(ニュースなど)やサービスなど、
利用することによって何らかの利益が獲得できる全ての
ものを指す。単純に、権利の証明を求めて来る存在と考
えてもよい。一般に、資源管理装置RMは、自分の管理
する資源に対して、ユーザから提示された複数の証明書
をもとに、そのユーザの採れる行動の範囲を決定し管理
する。
【0015】電車の定期券を駅で利用する場合、駅員あ
るいは自動改札機が資源管理装置RMとなる。また、警
察官が検問等で自動車の運転者に運転免許の提示を求め
る場合、警察官が資源管理装置RMの役割を持つことに
なる。 ユーザ装置(User:U) ユーザは証明書発行装置CPによって発行された証明書
を管理する。また、資源を利用したいときには、証明書
を適当に選択し、資源管理装置RMに提示する。この明
細書ではユーザの持つ証明書とその入れ物をプロファイ
ルと呼ぶ。 裁判装置(Court House :CH) 裁判装置は、既に発行された特定の証明書を無効とした
り、あるユーザに対して発行された全ての証明書を同時
に無効化したりする。裁判装置は複数あってもよい。た
だし、この明細書では最も基本的な、裁判装置が一つの
場合を中心に説明を行う。
【0016】上記のモデルでは、一つの証明書を複数の
資源管理装置RMで共用することを前提としている。従
来のように資源ごとにIDとパスワードを設定する手法
は、図11の中段右側に示したような、CPとRMがペ
アになった場合に対応する。
【0017】
【発明が解決しようとする課題】以下に、前記世界モデ
ルにおいて、この発明による権利認証方法により得られ
る機能を示す。これらを満たすプロトコルは、ユーザの
プライバシを最大限に保証し、かつ証明書の不正利用を
防止していると考えている。 (1)不必要な個人情報漏洩の防止 資源利用時において、資源管理装置RMの利用が許可さ
れるために最低限必要な情報しか漏洩しない。最低限と
は、RMが指定した情報以外を含まない場合である。
【0018】例えば、自動車を運転するには、運転資格
があることさえ証明されれば十分なはずである。だが、
既存のシステムでは、運転資格を証明するためには、運
転資格以外にも多量の情報(名前、住所、生年月日、顔
写真など)を含んだ運転免許証を提示することが必要と
なっている。この発明では、運転資格を持っているとい
う情報以外の情報を全く漏らさずに、運転資格の証明を
行うことができる。
【0019】どの情報を公開して、どの情報を隠すのか
は、最終的には個人が自分自身の判断で決定できる。 (2)行動の追跡不能性 任意の数の証明書発行者と資源管理者が結託しても、ユ
ーザの行動履歴の全貌は把握できない。また行動が把握
される可能性のある範囲は、ユーザ自身が決定する。
【0020】クレジットカード会社や銀行を証明書発行
者CPとし、お店を資源管理者RMと考える。既存の社
会では、これらのカード会社や銀行とお店が手を結ぶ
と、ユーザがどこで、何を、いつ、いくらで購入したか
などの貴重な個人情報が容易に把握できてしまう。この
ようなことは、現在でも実際に行われているかもしれな
い。この発明では、証明書発行者CPと資源管理者RM
がどのように手を結んでも、個人の行動の足跡が把握さ
れることはない。
【0021】また加えて、もしユーザ自身が行動履歴を
ある程度公開したいと考えるならば、これを実現するこ
ともできる。このようなことは、『お得意様には特典が
ある』商店やサービスの利用において重要である。どの
程度の行動履歴を公開にし、どこからを非公開にするか
は、ユーザ自身が決定し制御できる。 (3)証明書再利用性 証明書は何度でも使用することができる。 (4)証明書不正利用不可 証明書は正規のユーザ以外は利用できない。 (5)任意の証明書の無効化 任意の証明書について、これを無効にすることができ
る。 (6)任意のユーザの無力化 任意のユーザについて、このユーザに対して発行された
全ての証明書を同時に無効化することができる。
【0022】
【課題を解決するための手段】この発明によれば権利証
明書発行の際に、ユーザ装置がブラックボックス装置と
証明書発行装置とに結合され、ブラックボックス装置に
は誰にも引き出すことができない秘密鍵を記憶したメモ
リを備え、証明書発行時に、ユーザ装置は既存の権利証
明書CSy の鍵番号y′又は公開鍵PB y'、ブラックボ
ックス装置の識別子IDB の確率的暗号文、IDB の確
率的符号、証明書発行装置の公開鍵PCP 、発行される
権利証明書CSj の利用条件とする鍵番号i又は公開鍵
B i 、証明書CSj の証明事項MCP j 、裁判所公開鍵
CHをブラックボックス装置へ送り、ブラックボックス
装置は受信した上記確率的暗号文を変換した暗号文X
と、上記確率的符号を変換した符号Yを作り、これら変
換暗号文Xと変換符号Yと公開鍵PB i と、証明事項M
CP j をブラインド関数演算して演算結果Zを求め、ID
B の確率的暗号文と、IDB の確率的符号と、証明事項
CP j と、演算結果Zとに対し秘密鍵SB y'を用いて署
名して署名情報sB を作り、上記各変換、上記ブライン
ド関数演算に用いた乱数u,v,wと上記演算結果Z、
署名情報sB をユーザ装置へ送り、ユーザ装置は受信し
たZ,sB と権利証明書CSy を証明書発行装置へ送
り、証明書発行装置はCSy 中の署名情報sy の正当性
を検証し、また署名情報s B が秘密鍵SB y'を用いた署
名情報であることを検証し、これらの検証に合格すれ
ば、証明書発行装置の秘密鍵で演算結果Zをブラインド
署名し、その署名情報s′をユーザ装置へ送り、ユーザ
装置は署名情報s′に対しブラインド解凍関数演算して
署名情報sj を得、乱数uを用いてIDB に対する確率
的暗号文を変換して暗号文Xを求め、乱数vを用いてI
B に対する確率的符号を変換して符号Yを求め、
j ,X,Y,PB i ,MCP j を発行された権利証明書
CSj とする。
【0023】この発明の他の鑑点によれば、ユーザ装置
はブラックボックス装置へ安全性のパラメータNCPも送
り、ブラックボックス装置は乱数u,v,w,xとして
それぞれNCP個の乱数uk,vk ,wk ,xk (k=
1,2,…,NCP)を生成し、変換暗号文X、変換符号
Yとして各NCP個の変換暗号文Xk 、変換符号Yk を求
め、NCP個の乱数cj, k を生成し、cj,k と公開鍵PB
i の結合に対し、一方向性関数演算を行い、その演算結
果gK (PB i ‖cj,k )を、上記Zを求める際にPB
i の代りに用いてNCP個のZk を求め、署名情報sB
求める際の対象文書には全てのZk を用い、またwk
CH,xk で確率的暗号化して暗号文Wk を求め、ユー
ザ装置にはZk ,Wk ,uk ,vk ,wk ,cj,k を送
り、ユーザ装置は全てのZk ,Wk とsB ,CSy を証
明書発行装置へ送り、証明書発行装置では前記検証の全
てに合格すれば、0<k′CPなるk′を選んでユー
ザ装置へ送り、ユーザ装置はk≠k′となる全てのkに
ついてgK (PB i ‖cj,k )を生成し、これらと、k
≠k′なる全ての乱数uk ,vk ,wk とを証明書発行
装置へ送り、証明書発行装置では受信したgK (PB i
‖cj,k ),uk ,vk ,wk ,x k とCSj を用いて
先に受信したk≠k′なる全てのZk とWk がブラック
ボッククス装置で作られたと同様に作成されたことを確
認し、この確認に全てに合格することを上記署名情報
s′の作成の条件とし、ユーザ装置での証明書CSj
おけるX及びYの作成にはそれぞれuk',vk'を用い、
かつcj,k をCSj の一要素とする。
【0024】 権利証明書の提示においてはユーザ装置か
ら権利証明書CSj を資源管理装置に送り、資源管理装
置は権利証明書CSj 中のブラックボックス装置の公開
鍵PB i と、ブラックボックス装置の識別子IDB に対
する確率的暗号文と、IDB に対する確率的符号と、証
明事項と署名情報sj に対し、証明書発行装置の公開鍵
CPを用いて署名検証を行い、またブラックボックス装
置が公開鍵PB i に対応した秘密鍵SB i を保持してい
ることをユーザ装置を仲立ちとした公開鍵署名を利用し
た認証手順により確認し、これらの検証及び確認に合格
すると、権利証明書CSj が正しいものであると認め
る。
【0025】この場合権利証明書CSj が、無効となっ
ているか否かを、無効証明書リスト及び無効ブラックボ
ックスリストを用いて調べ、無効となっていない場合
に、権利証明書CSj が正しいものであるとする。この
発明では、認証は、ユーザと個人識別子とを結び付ける
のではなく、ユーザと権利とを直接結び付ける。認証に
よって確認されるのは、端末の前にいるユーザが、権利
を持っているか否かという情報だけである。この発明で
は、個々の権利は、各々別々の証明書を用いて証明す
る。また、証明書は、その正規のユーザしか利用できな
い。
【0026】この発明では個人のプライバシを最大限に
保ちつつ、その持つ権限を容易に保証する手法を提案す
る。この発明の基盤は、条件付き証明書と、ユーザ自身
にすら秘密のブラックボックスの機構である。この発明
では、個人が自分で把握し制御できる範囲でしか、個人
情報の漏洩が起こらないことを保証する。また、同様の
範囲で行動に対する追跡不能性も保証する。再利用性を
損なって利便性を阻害することなく、証明書の不正利用
も防止する。さらに、万が一にも証明書を使った不正が
発覚した場合、該当証明書を無効にすることはもちろ
ん、不正者が持つ他の全ての証明書を同時に無効にする
ことも可能である。
【0027】
【発明の実施の形態】この発明では使用する世界のモデ
ルを図11に示したように、証明書発行装置CPと、資
源管理装置RMと、ユーザ装置Uと、裁判装置CHとで
構成される。以下にこれら要素の各初期状態と、その役
割の概略を示す。具体的な動作の詳細については、更に
後で説明する。 証明書発行装置CP CPはブラインド署名を行うために、各々鍵のペア(P
CP,SCP)を持つ。またこの公開鍵部分PCPを公開して
いる。CPは証明書を発行するときに積極的に関与す
る。 資源管理装置RM RMは資源を管理し、利用者の利用行為を制限する。R
Mは、ユーザが自分の証明書を示して資源の利用許可を
求めた場合に、証明書を確認する作業を行う。 ユーザ装置U ユーザは、証明書を獲得したり、利用したりする主体で
ある。各ユーザ装置Uは、各々自分のプロファイル(ブ
ラックボックス装置Bを含む)を持ち、CPによって発
行された証明書を管理する。また、資源を利用したいと
きには、証明書を適当に選択しRMに提示する。
【0028】各ブラックボックス装置Bには、あらかじ
め、個別の識別子IDB が割り当てられている。ブラッ
クボックス装置Bは始めに、これが正しく動作すること
を保証する証明書(『Bの正当性』の証明書)を添付し
て、ユーザ装置Uに渡される。識別子IDB は非公開の
情報である。ただし、ユーザUは、IDB を知っていて
もよい。
【0029】また、ブラックボックス装置Bは公開鍵署
名を行うための鍵のペア(PB ,S B )を最低一つ持
つ。ブラックボックス装置Bの鍵ペアの数は、所有者で
ある、ユーザUの意志で、自由に増減(追加/削除)を
行うことができる。ただし、鍵ペアはブラックボックス
装置B自身が作成し、ユーザUが鍵ペアを直接指定する
ことはできない。ブラックボックス装置Bは秘密鍵SB
i を、誰にも公開しない。 裁判装置CH CHは、確率的公開鍵暗号で使用する鍵のペア(eCH
CH)を持ち、公開鍵部分eCHを公開している。
【0030】また、『不正(ブラックボックス装置)リ
スト』と『無効証明書リスト』を持ち、これを管理す
る。これらのリストは始めは空である。これらの役割の
詳細については以降に述べる。証明書の構成 証明書発行装置CPから発行される証明書は図1に示す
ように以下の全ての要素から構成される。これら全てを
まとめて証明書もしくは証明書セット(CS)と呼ぶ。
なお、ここではユーザの獲得したj番目の証明書CSj
に対する要素を示している。 ・署名sj :CPの発行した署名情報 CPがブラインド署名の技術を用いて作成し、発行した
署名情報。証明書の核となる情報である(この情報以外
は、公開情報のみを用いて誰でも容易に作成することが
できる)。 ・ブラックボックス装置Bの公開鍵PB i :証明書の利
用条件となる鍵 この鍵は、証明書セットCSj を利用できるユーザを一
意に指定するためにある。具体的には、この公開鍵PB
i と対応した秘密鍵SB i を持ったブラックボックス装
置Bの所有者であるユーザUのみが、証明書CSj を利
用できることとしている。
【0031】ここで、PB i のサフィックスはiであ
り、jとは異なることに注意する。これは、証明書セッ
トごとに鍵ペア(PB x ,SB x )が決定するのではな
く、同一の鍵ペアを複数の証明書の利用条件とすること
を許しているためである。 ・証明事項MCP j :証明書が保証する内容 発行者のCPが、この証明書で保証する内容を示す文書
である。『普通自動車の運転資格』や、『20歳以上』
など。また、『普通自動車の運転資格、1999年1月
16日発行、2004年1月16日まで有効』などのよ
うに付加的な情報を示してもよい。 ・IDB の暗号文Eprob(eCH,IDB ,rj ):証明
書と対応したブラックボックス装置Bの情報(CH用) ブラックボックス装置Bの識別情報IDB を、裁判所の
公開鍵eCHで暗号化した情報。 ・IDB を用いた符号文EID(IDB ,r′j ):証明
書と対応したブラックボックス装置Bの情報(CP,R
M用) ブラックボックス装置Bの識別情報IDB を用いて作成
した符号。
【0032】上記二つの情報は、証明書の不正利用など
が発覚し、不正に関係したユーザ(すなわちB)を無力
化するために利用される。rj 及びr′j は任意の値で
ある。 ・指数cj :これについては後述するこの発明のプロト
コルで明らかにする。 実際に証明書を利用する為には、以上の要素を全て含ん
だ証明書セット(CS j )に加えて、PB i に対応した
秘密鍵SB i を持ったブラックボックス装置Bが必要で
ある。このブラックボックス装置Bを持つのは証明書の
正規のユーザUだけであるので、正規のユーザしか証明
書を利用できないことを保証できる。
【0033】ところでユーザは、各証明書発行者装置か
ら発行された証明書をプロファイルとして管理する。図
2は、ユーザのプロファイルをカード(スマートカード
など)として実現した場合の例を示している。プロファ
イルは、誰にも秘密の情報を秘めたブラックボックス装
置B−boxと、各証明書発行者装置より発行された証
明書Cert.E,Cert.S,Cert.Q,・・
・のリストとで構成される。B−boxは記憶能力と計
算能力を持ち、後述で定義された関数を忠実に実行す
る。B−box以外のデータは、外部記憶媒体等にバッ
クアップを保持することができる。
【0034】ここで、B−boxは関数として定義でき
るので、証明書発行時及び証明書利用時の通信は、図3
のようにモデル化できる。図中の矢印は、二つの実体の
間で通信が起こることを示している。通信路は、B−b
oxとユーザ装置間、ユーザ装置とサーバ装置(証明書
発行装置CPあるいは資源管理装置RM)間の二つが考
えられるが、これらの安全性は同程度で、盗聴が可能で
あると仮定する。
【0035】なお、この明細書では、プロファイルの実
現例としてICカード(スマートカード)等のように携
帯が容易な計算機端末を仮定して説明を行っている。だ
が、プロファイルは必ずしもこのように携帯が容易な形
状をしていなくてもよい。例えば絶対的に信頼できる存
在(サーバなど)を設定するならば、これがプロファイ
ル(及びB−box)の役割を果たしてもよい。つまり
複数のユーザが1つのブラックボックス装置を共有する
ようにしてもよい。プロトコルの概要 この発明では、二つのプロトコルを提案する。一つは
『証明書獲得プロトコル』で、ユーザ装置Uが証明書発
行装置CPから証明書を獲得する手順であり、二つ目は
『証明書提示プロトコル』で、ユーザ装置Uが資源管理
装置RMに対して証明書を提示し、権利を主張するため
の手順である。これらは基本的に、ユーザ装置U、ブラ
ックボックス装置B、証明書発行装置CP、資源管理装
置RMの四者からなるプロトコルである。また、これら
二つの具体的なプロトコルに加えて、不正者に対する対
応方法の概略も述べる。
【0036】詳細に述べるに先だって、ここでこの発明
の基盤となっている基本的な方針を列挙する。以下の具
体的なプロトコルは、これらの方針を基盤として構成さ
れている。 ・ユーザ装置Uは固有のブラックボックス装置Bを保持
する。 ・ブラックボックス装置Bは少くとも1つの鍵ペア
((PB 0 ,SB 0 )(PB 1 ,SB 1 )…(PB n
B n ))(n0)を持つ。各鍵ペアの中で秘密鍵部
分SB i は、ブラックボックス装置B以外誰も知らな
い。公開鍵部分PB i は、ユーザが知っていてもよい。 ・証明書CSj の核となる署名情報sj は、各々特定の
B i と対応する形で発行される。また、証明書CSj
を利用するには、SB i が必要であることにする。すな
わち、CSj の利用条件をPB i を用いて指定する。 ・証明書発行装置CPは署名情報sj を発行する際、ブ
ラインド署名の技術を用いて署名を行う。CPは、自分
が署名し発行したsj と、そこから作成される証明書C
j との関係が全く把握できない。(CPが署名した段
階では、sj は封筒の中に入っていることに注意) ・ユーザ装置Uは、複数のブラックボックス装置Bの鍵
ペアと証明書の利用場所を適宜に管理し、ユーザにとっ
て不快な情報漏洩を防ぐ。
【0037】この発明で提案するプロトコルでは、CP
やRMとUとが結託しても、ブラックボックス装置Bの
持つ秘密鍵SB i を引き出すことはできない。従って、
B i を条件として発行された証明書CSj を利用する
ためには、ブラックボックス装置Bが必要である。な
お、ブラックボックス装置Bに対するユーザ装置Uの認
証には、既存の個人認証の技術を用いることができる。
また、証明書の提示が終り権利の確認が正常に終了した
後は、既存のSSL等のセキュア通信の技術を用いて、
ユーザ装置Uは資源を安全に利用することができる。従
って、この明細書においてはこれらについては言及しな
い。証明書獲得プロトコル 『証明書獲得プロトコル』は、ユーザ装置Uが証明書発
行装置CPから証明書の発行を受けるために用いるプロ
トコルである。プロトコル開始前に、ユーザ(U)と証
明書発行者(CP)の間で、発行される証明書の内容
(証明事項)MCP j と安全パラメータNCPについて打ち
合せてあるものとする(NCPは公開鍵と同様に、CPの
公開情報としてもよい)。
【0038】以下に、ユーザにとってj番目の証明書C
j を獲得するプロトコルを示す。ここで、ユーザはi
番目(ij)の鍵ペアを新しく発行を受ける証明書C
jの利用条件としている。サフィックスyはブラック
ボックス装置B自身の正当性を証明するために必要なデ
ータに付けてある。ただし、証明書セットCSy の利用
条件の鍵番号はy′(鍵はPB y')である。
【0039】関数gK は適当な一方向性ハッシュ関数で
ある。図4にユーザ装置Uとブラックボックス装置B及
び証明書発行装置との間で行われる手順を示し、図5に
ユーザ装置Uの機能構成を、図6にブラックボックス装
置Bの機能構成を、図7に証明書発行装置CPの機能構
成をそれぞれ示す。
【0040】(1)ユーザUは入力操作部101と操作
制御部102を通じて、既存の『ブラックボックス装置
Bの正当性』を保証する証明書セットから適当なものC
yを選び、メモリ103からCSy が取出される。ま
たユーザ装置Uは、MCP j と新しく発行を受ける証明書
セットCSj の利用条件とするの鍵の番号i(あるいは
鍵PB i )、CSy の鍵の番号y′(あるいは鍵
B y')、Eprob(eCH,IDB ,ry )、EID(ID
B ,r′y )、PCP、eCH、NCPをブラックボックス装
置Bに送る。証明書MCP j はユーザが入力操作部101
を通じて入力するか、メモリ103に記憶してある。
【0041】(2)ブラックボックス装置Bは、以下の
値Zk k をNCP個作成する。ここで、u,v,w,
c,xは任意の乱数、‖は結合を表す。 Xk =Convcrypt (eCH,Eprob(eCH,IDB ,ry ),uk ) (1) Yk =ConvID(EID(IDB ,r′y ),vk ) (2) Zk =Blind (PCP,gK (PB i ‖cj,k )‖Xk ‖Yk ‖MCP j ,wk ) (3) Wk =Eprob(eCH,wk ,xk ) (4) 制御部201の制御により、乱数生成部202から乱数
k ,vk ,wk ,c j,k ,xk (k=1,2,…,N
CP)を生成し、確率的暗号文Eprob(eCH,IDB ,r
y )に対しuk で暗号文変換部203において、暗号変
換演算を行い変換暗号文Xk を得る。また確率的符号E
ID(IDB ,r′y )に対し、vk で符号変換部204
において、符号変換演算を行い変換符号Yk を得る。更
に一方向性関数部205において、メモリ206より取
出した公開鍵PB i と前記cj,kとを結合し、これに対
し一方向性ハッシュ関数演算を行い、この演算結果gK
(PB i ‖cj,k )とXk とYk とMCP j とを結合し、
その結合に対し、wk を用い証明書発行装置CPの公開
鍵PCPでブラインド関数演算をブラインド関数部207
で行いZk を得る。更に確率的暗号化部209で乱数w
k が裁判所の公開鍵eCHで乱数xk を用いて確率的暗号
化されて暗号文Wk とされる。
【0042】また、ブラックボックス装置Bはメモリ2
06内の秘密鍵SB y'を用いて(Z 1 ‖Z2 ‖…‖Z
Ncp ‖W1 ‖W2 ‖…‖WNcp ‖Eprob(eCH,I
B ,ry)‖EID(IDB ,r′y )‖MCP j )の署
名情報sB を署名部208で計算し、全てのZk
k 、sB 、乱数(uk ,vk ,wk ,cj,k ,xk
をユーザ装置Uに送る。ただし、sB で用いる署名方法
は、ブラインド署名に対応しない通常の方法でよい。
【0043】(3)ユーザ装置Uは、受信した全てのZ
k ,Wk とsB ,CSy を証明書発行装置CPに送る。 (4)証明書発行装置CP(図7)は、裁判所によって
公開されている格納部301の無効証明書リスト及び格
納部302の無効Bリストを用いて、ユーザ装置Uから
提示されたCSy が無効となっていないかを確認部30
3で調べる。この具体的な検証方法は後述する。また、
証明書発行装置CPは、次式が成り立つかを調べる。こ
の式の検証は、CSy に含まれる情報と、この証明書を
発行した証明書発行局の公開鍵(ここではPCP y とす
る)があれば実行できる(PCP y は公開情報なので、既
知であるとする。またMCP j はユーザと予め打ち合せし
てあり、入力操作部308を通じて入力するか、メモリ
305内に格納されてある)。
【0044】 Verify (PCP y ,my ,sy )=1 (5) (但し、my =gK (PB y'‖cy )‖Eprob(eCH,IDB ,ry )‖ EID(IDB ,r′y )‖MCP y ) (6) つまり図7中のmy 生成部304において受信したCS
y 中のPB y'とcy を結合させ、その一方向性ハッシュ
関数演算gK (PB y'‖cy )を行い、これと、CSy
中のEprob(eCH,IDB ,ry )と、EID(IDB
r′y )と証明事項MCP y とを結合してmy を生成す
る。署名検証部306に文書my とCSy中のsy を入
力してメモリ305中の公開鍵PCP y を用いてmy に対
する署名を検証する。
【0045】さらに、sB がSB y'を用いた、(Z1
2 ‖…‖ZNcp ‖W1 ‖W2 ‖…‖WNcp ‖E
prob(eCH,IDB ,ry )‖EID(IDB ,r′y
‖MCP j )の署名情報となっているかを、署名検証部3
07で公開鍵PB y'を用いて調べる。この検証に必要な
情報(MCP j を含む)は証明書発行装置CPは既に受け
取っているはずである。これらの検証に一つでも失敗す
れば、証明書の発行は行わない。
【0046】全ての検証に成功した場合、証明書発行装
置CPは0<k′CPとなるk′を入力操作部308
を操作して制御部309を介して選択部311で選び、
これをユーザ装置Uに送る。k′の選択は例えば乱数を
生成して行う。 (5)ユーザ装置Uは、k≠k′となる全てのkについ
て、乱数uk ,vk ,wk ,xk とgK (PB i ‖c
j,k )を証明書発行装置CPに送る。このgK (PB i
‖cj,k )は一方向性ハッシュ関数部106で演算す
る。
【0047】(6)証明書発行装置CPは、手順(5)
で受け取った情報を用いて、手順(3)で受け取ってい
た情報(Zk ,Wk )(0<kCP,k≠k′)が手
順(2)の示す手続き通りに作成されていたことを確認
する。つまり受信したCSyとuk ,vk ,wk を用
い、ブラックボックス装置BにおけるXk ,Yk の生成
と同様に暗号変換部312でXk を生成し、符号変換部
313でYk を生成し、更にこれらXk ,Yk と受信し
たgK (PB i ‖cj,k )とPCP,MCP i を用いてブラ
インド関数演算をブラインド関数部314で行い、得ら
れたZk と受信したZk を比較部315で比較する。ま
た裁判所の公開鍵eCHと、受信したwk ,xk とを確率
的暗号化部316に入力してwk を暗号化し、その暗号
文と受信したWk =Eprov(eCH,wk ,xk )とを比
較部317で比較する。これら全ての各比較が一致する
ことを確認する。この確認作業は、k≠k′となる全て
のkに対して行う。検証に一度でも失敗すれば証明書は
発行しない。また、場合によっては、裁判所に不正Bの
候補としてCSy を訴える。
【0048】証明書の発行が適切と認められた場合には
証明書発行装置CPは以下の値を署名部318で計算
し、これをユーザ装置Uに送る。 s′=Sign (SCP,Zk') (7) また、証明書発行装置CPが今後、個々の証明書単位で
証明書の無効化を実施することがあると考えられる場合
には、s′とWk'をメモリ305に保存しておく。他の
情報は保存しておく必要はない(MCP j に有効期限の情
報を含ませるなどして、証明書発行装置CP主導での証
明書の無効化を行わない予定ならば、このように情報を
保存しておく必要は全くない。またこの場合、Wk 及び
k に係わる全ての処理を割愛することが可能であ
る)。
【0049】(7)ユーザ装置Uは受け取ったs′に対
し解凍部107で以下の値を計算する。 sj =Unblind(PCP,s′,wk') (8) ユーザUは、(sj ,PB i ,MCP j ,Xk',Yk',c
j,k')を新しい証明書セットCSj として保管する。X
k'はEprob(eCH ,IDB ,rj )に対応、Yk'はE
ID(IDB ,r′j )に対応する。これらは、CSy
k'、vk'から容易に計算できる。cj,k'はcj に対応
する。
【0050】つまりCSy 中のIDB の確率的暗号とI
B の確率的符号とeCH,uk',v k'をそれぞれ用いて
暗号文変換部108、符号変換部109でそれぞれ以下
の変換を行ってXk',Yk'を求める。 Xk'=Convcrypt (eCH,Eprob(eCH,IDB ,ry ),uk') =Eprob(eCH,IDB ,rj ) Yk'=ConvID(EID(IDB ,r′y ),vk')=EID
(IDB ,r′j ) なおユーザ装置Uの各部に対する順次制御などは制御部
102が行わせる。同様にブラックボックス装置B、証
明書発行装置CPにおいてはそれぞれ制御部201,3
09が各部の制御を行う。証明書提示プロトコル 証明書の提示及び利用のプロトコルは以下のようにな
る。ここでは、利用する証明書セットをCSj (利用条
件の鍵はPB i )とし、またこの証明書発行装置の公開
鍵をPCPとしている。PCPは公開情報であるから、資源
管理装置RMは既知であるとする。
【0051】(1)ユーザ装置Uは証明書セットCSj
を資源管理装置RMに送る。 (2)資源管理装置RMは受け取った証明書CSj に対
して、以下の三つの検証を行う。これらは順不同であ
る。・以下の式が成り立つことを確認する。 Verify(PCP,gK (PB i ‖cj )‖Eprob(eCH ,IDB ,rj )‖ EID(IDB ,r′j )‖MCP j ,sj )=1 (9) この検証に成功すると、資源管理装置RMは『公開鍵P
B i と対応した秘密鍵SB i を持った存在(ブラックボ
ックス装置B)つまりブラックボックス装置Bを持った
ユーザについて、証明書発行装置CPは証明事項MCP j
を保証している』ことを納得する。
【0052】・既存の公開鍵署名を利用した認証手順を
用いて、ユーザ側(すなわちブラックボックス装置B)
が公開鍵PB i に対応した秘密鍵SB i を保持している
ことを確認する。この通信はユーザ装置Uを仲立ちとし
て行われる。・『無効証明書リスト』及び『無効Bリス
ト』を用いて、CSj が無効となっていないかを調べ
る。
【0053】この具体的な検証方法は後述する。つまり
資源管理装置RMでは、図8に示すように、受信したC
j 中のPB iとcj を一方向性関数部401に入力し
て、その結合に対し一方向性ハッシュ関数演算を行い、
その演算結果gK (PB i ‖cj )と、CSj 中のID
B の暗号文とIDB の符号と、証明事項MCP j と署名s
j と、メモリ402よりの証明書発行装置CPの公開鍵
CPを署名検証部403に入力して、式(9)が成立つ
かの署名検証演算を行う。また検証者側の公開鍵認証部
404により、ユーザ装置Uを介してブラックボックス
装置Bの証明者側の公開鍵認証部211と通信をしてブ
ラックボックス装置BがSB i を保持していることを確
認する。更に格納部405に格納された無効証明書リス
ト及び格納部406に格納された無効ブラックボックス
リストを参照してCSj が無効でないことを確認部40
7で確認する。各部の制御は制御部408により行われ
る。証明書の無効化 証明書を発行した証明書発行装置CPは、証明書の発行
時に保存した情報(s′とWk')を用いて、ユーザに配
布した証明書を無効とすることができる。
【0054】証明書発行装置CPは、無効としたい証明
書の情報(s′とWk')を裁判装置CHに送る。裁判装
置CHはメモリ501(図9)内の自分の秘密鍵dCH
用いて、Wk'=Eprob(eCH,wk',xk')からwk'
確率的復号化部502で取り出す。証明書発行時に実際
にユーザ装置が受け取った署名情報(封筒の中身)は、
j =Unblind(PCP,s′,wk')となるので、裁判
装置CHはこのsj を解決部503でs′に対しブライ
ンド解決関数演算を行って求め、これを無効証明書リス
ト格納部504に登録する。
【0055】証明書発行装置CPや資源管理装置RM
は、ユーザ装置Uから提示された証明書セットの有効性
を確かめるために、提示された証明書セットに含まれる
j が、裁判所によって公開された無効証明書リストに
登録されていないかを照合部303a,407a(図
7,図8)で確かめる。sj が登録されていた場合、そ
の証明書セットは無効である。ユーザの無力化 裁判装置CHは、必要に応じて特定ユーザに対して発行
された全ての証明書を同時に無効とし、ユーザの無力化
を行うことができる。このためには、裁判装置は、該当
ユーザに対して発行された証明書を最低一枚入手しなけ
ればならない。その証明書の入手は例えば警察の指名手
配によりなされる。
【0056】裁判装置は、無力化したいユーザの装置に
対して発行された証明書セットに含まれる情報E
prob(eCH,IDB ,rj )より、自分の秘密鍵dCH
用いて、確率的復号化部505で復号化演算してユーザ
(U)の持つブラックボックス装置Bの識別子IDB
導出する。裁判所は、この識別子IDB を無効Bリスト
格納部506に登録する。裁判装置CHの各部に対する
制御は制御部507で行う。
【0057】証明書発行装置CPや資源管理装置RM
は、ユーザ装置Uから提示された証明書の有効性を確か
めるために、提示された証明書セットに含まれるE
ID(IDB,r′j )が、裁判所によって公開された無
効Bリストに登録されている各々のIDB と対応してい
ないかを確認する。具体的には、無効Bリストに登録さ
れている全てのIDB k (0<kN,Nは登録総数)
に対して、次の式が成り立つことを確率的判定関数部3
03b,407b(図7,図8)で確認する。
【0058】 DID(IDB k ,EID(IDB ,r′j ))=0(全てのk:0<kNに ついて) (10) この検証に一度でも失敗すれば、ユーザから示された証
明書は無効であると判断する。安全パラメータNCP この発明において、計算の複雑性から生じる仮定(公開
鍵から秘密鍵の導出が不可能であることなど)や、シス
テム管理に対する仮定(CPの鍵が直接盗まれることは
ない、Bの秘密鍵が漏れることはないなど)が完璧に満
たされるのならば、安全パラメータNCPは常に1で十分
である。この場合、証明書獲得プロトコルは適切に簡略
化できる。k=k′=1は常に成り立ち、手順(4)や
手順(5)で証明書発行者装置CP側からユーザ装置U
側に問い合わせを行っている部分、及び手順(6)など
でk≠k′となるkに対して情報の確認を行っている部
分は全て省略できる。また、NCP=1の場合、証明書構
成要素のcj 及び関数gKの一方向性も必要ない。この
場合の手順を図10に示す。
【0059】2以上のNCPが有用になるのは、上記の仮
定が破られた場合においてである。この場合において、
CP j やEprob(eCH,IDB ,rj )、EID(I
B ,r′j )が偽造された証明書が発行される確率を
1/NCPとしている。また同時に、このような不正を行
おうとしたユーザU(B)を発見する確率は、(NCP
1)/NCPである。
【0060】NCPの値は、その証明書発行装置CPが発
行する権利の内容によって適切に定める必要がある。例
えば『この人は大統領である』ことを保証する証明書を
発行する証明書発行装置CPではNCP>10,000程
度必要かもしれないが、『この人は、野球を観るのが好
きだ』ということを保証する証明書を発行する証明書発
行装置CPではNCP=1として、簡略化したプロトコル
を利用してもよい。適用例 この発明の適用可能分野は、非常に幅広い。ここでは、
代表的な適用例のみを簡単に説明する。既存の個人認証の置き換え 現在用いられているほとんど全ての認証機構は、この発
明方法に置き換えることができる。名前など個人識別子
とパスワードを用いたシステムや、公開鍵を用いたシス
テムなどのこの発明システムへの移行は非常に容易であ
る。
【0061】このようにすることで、正規ユーザ(Bを
持つ人物)しか利用を許さない強固な認証システムを容
易に実現できる。例えば、既存のパスワードを利用した
認証システムでは、正規の利用者がパスワードを他人に
「教える」ことによって、不当に権利を分配することも
可能であるが、この発明ではブラックボックス装置とユ
ーザ装置は一体不可分であるからこのようなことは不可
能である。
【0062】また、この発明では、資源管理装置にとっ
ては「権利を持っているという情報しか獲得できない」
という特徴があり、利用者にとっては「権利を持ってい
るという情報しか与えない」という大きな特徴がある。
この発明のシステムを用いて、現在実現されていない種
々のサービスを実現することができる。以下は、そのサ
ービス例のほんの一部である。ソフトウェアの無制限配布と利用権オンライン販売 ソフトウェア会社が証明書発行装置CPを運営し、この
会社が製作するソフトウェアには全て、この発明システ
ムの認証系を組み込むことにする。この場合、各ソフト
ウェアは各々資源管理装置RMに対応し、ソフトウェア
会社は、利用料金を支払ったユーザのみにその利用券と
なる証明書を発行する。
【0063】ソフトウェア会社は、ソフトウェアをネッ
トワークや雑誌の付録CD−ROM等の媒体を通して無
制限に配布できる。またその利用券となる証明書は、電
子ネットワーク等を通して販売することができる。この
手法では、商品の享受をめぐるほとんど全ての処理を、
電子ネットワーク上で実現できる。ソフトウェア自身の
コピーはそもそも問題にならず、また、この発明システ
ムの証明書の性質より、ソフトウェアを利用できるの
は、ソフトウェア会社から利用券を購入した正規ユーザ
のみであることが保証される。コミュニティへの応用 電子掲示板のような、不特定多数の人々が交流を行う場
を考える。このような場において、参加者である個々の
人々は自分の名前を公にしたくない場合が多い(名前を
公表すると、実社会において危害が加わる可能性が高く
なる。ストーカー行為など)。
【0064】しかし、会話の相手の素性が全くわからな
いと、会話を行う上で不都合が起こることも十分に考え
られる。自分が会話をしているのは、いったいどういう
人物であるか、男性か女性か、社会的に認められている
のか、年代はどの位かなど。このような情報は、個人を
特定するために利用するには漠然としすぎている。従っ
て、会話を行う全ての人が、これらの情報を公開するこ
とに同意することも多いだろう。
【0065】だが、これまでのシステムでは、利用者に
よって申告された年齢や性別が、本当に正しい値となっ
ているかどうかを確かめることは極めて難しかった。し
かしこの発明システムでは、これらのことは可能かつ容
易である。これは、利用者のプライバシ(匿名性)を守
りつつ、利用者の権利(特徴)を保証する一つの例であ
る。
【0066】先にも述べたが、証明書を無効とする処理
を行わない場合は、証明書発行装置CPで、証明書発行
の際に、署名情報s′、暗号文W又はWk'を保存してお
く必要はない。従って、この場合は、ブラックボックス
装置Bあるいはユーザ装置Uでの暗号文W又はWk は省
略される。また証明書発行装置CP、資源管理装置RM
において、送られた証明書CSy ,CSj が無効である
かのチェックは省略してもよい。暗号文W又はWk'の生
成はブラックボックス装置Bではなく、ユーザ装置U
が、ブラックボックス装置Bから、Z,sB ,u,v,
wを受信した際にユーザ装置Uで生成してもよい。
【0067】
【発明の効果】以上述べたようにこの発明によれば、正
当な秘密鍵SB i を備えたブラックボックス装置をもつ
ユーザに対して証明書を発行し、資源管理装置は証明書
の利用条件の公開鍵PB i と対応する秘密鍵SB i を備
えたブラックボックス装置Bをユーザがもっていること
のチェックを行ってその権利証明書を持っているユーザ
が証明書の証明事項の権利を有していることのみ確認で
き、ユーザの個人情報は資源管理装置に漏洩することは
ない。従ってユーザの行動履歴の全貌を把握することは
できない。
【0068】この発明はこのように匿名性が非常に強い
ので、不正を行うと、その本人の追求が困難になるが、
その不正の証明書を無効としたり、その不正の証明書を
もつユーザ(ブラックボックス装置)を無効とすること
ができる。つまり不正に対する対処を行うことができ
る。
【図面の簡単な説明】
【図1】権利証明書の構成要素例を示す図。
【図2】ユーザプロファイルの構成例を示す図。
【図3】証明書発行時及び証明書利用時の通信モデルを
示す図。
【図4】この発明における証明書発行手順の例を示す
図。
【図5】ユーザ装置の機能構成例を示す図。
【図6】ブラックボックス装置の機能構成例を示す図。
【図7】証明書発行装置の機能構成例を示す図。
【図8】資源管理装置の機能構成例を示す図。
【図9】裁判所装置の機能構成例を示す図。
【図10】この発明の他の実施例の手順を示す図。
【図11】この発明が対象としている世界モデルを示す
図。
フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 15/21 340Z Fターム(参考) 2C005 HA03 HB03 JB33 JB40 5B017 AA07 BA05 BA07 CA09 CA14 CA15 CA16 5B049 AA05 BB11 BB31 BB46 CC16 CC39 DD04 DD05 EE03 EE23 EE28 FF08 FF09 GG06 GG07 GG10 5B058 KA11 KA35 YA20 5J104 AA09 JA21 LA03 LA08 NA35 PA10

Claims (50)

    【特許請求の範囲】
  1. 【請求項1】 ユーザ装置がブラックボックス装置と証
    明書発行装置とに結合され、ブラックボックス装置には
    誰にも引き出すことができない秘密鍵を記憶したメモリ
    を備え、 証明書発行時に、ユーザ装置は既存の権利証明書CSy
    の鍵番号y′又は公開鍵PB y'、ブラックボックス装置
    の識別子IDB の確率的暗号文、IDB の確率的符号、
    証明書発行装置の公開鍵PCP 、発行される権利証明書
    CSj の利用条件とする鍵番号i又は公開鍵PB i 、証
    明書CSj の証明事項MCP j 、裁判所公開鍵eCHをブラ
    ックボックス装置へ送り、 ブラックボックス装置は受信した上記確率的暗号文を変
    換した暗号文Xと、上記確率的符号を変換した符号Yを
    作り、これら変換暗号文Xと変換符号Yと公開鍵PB i
    と証明事項MCP j をブラインド関数演算して演算結果Z
    を求め、IDBの確率的暗号文と、IDB の確率的符号
    と、証明事項MCP j と、演算結果Zに対し秘密鍵SB y'
    を用いて署名して署名情報sB を作り、上記各変換、上
    記ブラインド関数演算に用いた乱数u,v,wと上記演
    算結果Z、署名情報sB をユーザ装置へ送り、 ユーザ装置は受信したZ,sB と権利証明書CSy を証
    明書発行装置へ送り、 証明書発行装置はCSy 中の署名情報sy の正当性を検
    証し、また署名情報s B が秘密鍵SB y'を用いた署名情
    報であることを検証し、これらの検証に合格すれば、証
    明書発行装置の秘密鍵で演算結果Zをブラインド署名
    し、その署名情報s′をユーザ装置へ送り、 ユーザ装置は署名情報s′に対しブラインド解凍関数演
    算して署名情報sj を得、乱数uを用いてIDB に対す
    る確率的暗号文を変換して暗号文Xを求め、乱数vを用
    いてIDB に対する確率的符号を変換して符号Yを求
    め、sj ,X,Y,PB i ,MCP j を発行された権利証
    明書CSj とすることを特徴とする権利証明書実現方
    法。
  2. 【請求項2】 ブラックボックス装置は、上記Zを求め
    る際に用いた乱数wを確率的暗号化した暗号文Wを求
    め、その暗号文Wを、上記秘密鍵SB y'を用いる署名の
    対象に加え、その暗号文Wと、これを作る際に用いた乱
    数xもユーザ装置へ送り、 ユーザ装置は受信した暗号文Wも証明書発行装置へ送
    り、証明書発行装置は受信した暗号文Wと上記署名情報
    s′を保存しておくことを特徴とする請求項1記載の権
    利証明書実現方法。
  3. 【請求項3】 ユーザ装置はブラックボックス装置から
    u,v,wとZ,s B を受信すると、そのwに対する確
    率的暗号化を行って暗号文Wを求め、このWも証明書発
    行装置へ送り、証明書発行装置では受信した暗号文Wと
    上記署名情報s′を保存しておくことを特徴とする請求
    項1記載の権利証明書実現方法。
  4. 【請求項4】 ユーザ装置はブラックボックス装置へ安
    全性のパラメータN CPも送り、 ブラックボックス装置は乱数u,v,wとしてそれぞれ
    CP個の乱数uk ,v k ,wk (k=1,2,…,
    CP)を生成し、変換暗号文X、変換符号Yとして各N
    CP個の変換暗号文Xk 、変換符号Yk を求め、NCP個の
    乱数cj,k を生成し、cj,k と公開鍵PB i の結合に対
    し、一方向性関数演算を行い、その演算結果gK (PB
    i ‖cj,k )を、上記Zを求める際にPB i の代りに用
    いてNCP個のZk を求め、ユーザ装置にはZk ,uk
    k ,wk ,cj,k を送り、 ユーザ装置は全てのZk とsB ,CSy を証明書発行装
    置へ送り、 証明書発行装置では前記検証の全てに合格すれば0<
    k′CPなるk′を選んでユーザ装置へ送り、 ユーザ装置はk≠k′となる全てのkについてgK (P
    B i ‖cj,k )を生成し、これらと、k≠k′なる全て
    の乱数uk ,vk ,wk とを証明書発行装置へ送り、 証明書発行装置では受信したgK (PB i ‖cj,k ),
    k ,vk ,wk とCSj を用いて先に受信したk≠
    k′なる全てのZk がブラックボックス装置で作られた
    と同様に作成されたことを確認し、この確認の全てに合
    格することを上記署名情報s′の作成の条件とし、s′
    の作成にはZk'を用い、 ユーザ装置での証明書CSj におけるX及びYの作成に
    はそれぞれuk',vk'を用い、かつcj,k をCSj の一
    要素とすることを特徴とする請求項1記載の権利証明書
    実現方法。
  5. 【請求項5】 ブラックボックス装置は上記演算結果Z
    k を求める際に用いた乱数wk を確率的暗号化した暗号
    文Wk を求め、その全ての暗号文Wk を、署名情報sB
    を求める際の対象文書に加え、かつ全てのWk 、その暗
    号化に用いた全ての乱数xk もユーザ装置へ送り、 ユーザ装置は全てのWk も証明書発行装置へ送り、また
    k≠k′なる全てのx k を証明書発行装置へ送り、 証明書発行装置は受信したWk についてもブラックボッ
    クス装置で作られたと同様に作成されたことを確認し、
    この全ての確認に合格することを上記署名情報s′の作
    成の条件とし、かつs′とWk'を保存しておくことを特
    徴とする請求項4記載の権利証明書実現方法。
  6. 【請求項6】 ユーザ装置はuk ,vk ,wk とZk
    B を受信するとそのwk に対する確率的暗号化を行っ
    て暗号文Wk を求め、この全てのWk も証明書発行装置
    へ送り、またWk を求める際に用いたxk 中のk≠k′
    なる全てを証明書発行装置へ送り、 証明書発行装置は受信したWk についてもユーザ装置で
    作られたと同様に作成されたことを確認し、この全ての
    確認に合格することを上記署名情報s′の作成の条件と
    し、かつs′とWk'を保存しておくことを特徴とする請
    求項4記載の権利証明書実現方法。
  7. 【請求項7】 証明書発行装置は、上記署名情報sy
    正当性を検証する際に、受信したCSy 中の確率的符号
    を無効ブラックボックスリスト中の全てのブラックボッ
    クス装置識別子IDB について確率的判定関数を実行し
    て無効であるか否かを調べ、有効であることを証明書発
    行の条件とすることを特徴とする請求項1乃至6の何れ
    かに記載の権利証明書実現方法。
  8. 【請求項8】 証明書発行装置は、受信したCSy が無
    効証明書リストを参照して無効であるか否かを調べ、有
    効であることを証明書発行の条件とすることを特徴とす
    る請求項1乃至7の何れかに記載の権利証明書実現方
    法。
  9. 【請求項9】 証明書発行装置は無効としたい権利証明
    書について証明書発行時に保存した署名情報s′と確率
    的暗号文を裁判装置へ送り、 裁判装置は、裁判装置の秘密鍵で確率的暗号文を復号化
    して乱数を取出し、その乱数と証明書発行装置の公開鍵
    を用いて署名情報s′に対しブラインド解凍関数演算を
    行って署名情報sj を求め、このsj を無効証明書リス
    トに登録し、その無効証明書リストを各証明書発行装置
    及び各資源管理装置へ配布することを特徴とする請求項
    2、3、5又は6記載の権利証明書実現方法。
  10. 【請求項10】 無力化したいユーザ装置に対して発行
    された権利証明書を裁判装置に入力し、 裁判装置はその権利証明書中のIDB に対する確率的暗
    号文を裁判装置の秘密鍵を用いて復号化してブラックボ
    ックス装置の識別子IDB を導出し、そのID B を無効
    ブラックボックスリストに登録し、その無効ブラックボ
    ックスリストを各証明書発行装置、各資源管理装置に配
    布することを特徴とする請求項1乃至9の何れかに記載
    の権利証明書実現方法。
  11. 【請求項11】 ユーザ装置から権利証明書CSj を資
    源管理装置に送り、 資源管理装置は権利証明書CSj 中のブラックボックス
    装置の公開鍵PB i と、ブラックボックス装置の識別子
    IDB に対する確率的暗号文と、IDB に対する確率的
    符号と、証明事項と、署名情報sj に対し、証明書発行
    装置の公開鍵P CPを用いて署名検証を行い、 またブラックボックス装置が公開鍵PB i に対応した秘
    密鍵SB i を保持していることをユーザ装置を仲立ちと
    した公開鍵署名を利用した認証手順により確認し、 これらの検証及び確認に合格すると、権利証明書CSj
    が正しいものであると認めることを特徴とする権利証明
    書実現方法。
  12. 【請求項12】 権利証明書CSj が、無効となってい
    るか否かを、無効証明書リスト及び無効ブラックボック
    スリストを用いて調べ、無効となっていない場合に、権
    利証明書CSj が正しいものであるとすることを特徴と
    する請求項11記載の権利証明書実現方法。
  13. 【請求項13】 ブラックボックス装置と結合され、証
    明書発行装置から権利証明書を発行してもらうユーザ装
    置であって、 既に発行された権利証明書と、証明書発行装置の公開鍵
    CP、裁判装置の公開鍵eCHなどを記憶し、また受信デ
    ータを一時蓄積するメモリと、 利用する権利証明書CSy の番号y′や発行する権利証
    明書の利用条件となるブラックボックス装置の公開鍵番
    号などを入力する入力操作手段と、 上記既発行の権利証明書CSy の鍵番号y′又は公開鍵
    B y'、証明書利用条件となる公開鍵番号i又は公開鍵
    B i 、上記既発行権利証明書CSy 中のブラックボッ
    クス装置の識別子IDB に対する確率的暗号文、IDB
    の確率的符号、証明書発行装置の公開鍵PCP、裁判装置
    の公開鍵eCH、証明書CSj の証明事項MCP j をブラッ
    クボックス装置へ送信する手段と、 ブラックボックス装置からブラインド関数演算結果Z、
    署名情報sB 、乱数u,v,wを受信する手段と、 上記ブラインド関数演算結果Z、署名情報sB 、上記既
    発行権利証明書CSyを証明書発行装置へ送信する手段
    と、 証明書発行装置からブラインド署名情報s′を受信する
    手段と、 受信したブラインド署名情報s′に対し、乱数w、公開
    鍵PCPでブラインド解凍関数演算を行って署名情報sj
    を得る手段と、 上記証明書CSy のIDB の確率的暗号文に対し、公開
    鍵eCH、乱数uを用いて確率的暗号文変換を行って変換
    暗号文X′を求める手段と、 上記証明書CSy のIDB の確率的符号に対し、乱数v
    を用いて確率的符号変換を行って符号Y′を求める手段
    と、 上記署名情報sj 、上記公開鍵PB i 、上記証明事項M
    CP j 、上記暗号文X′、上記符号Y′にて上記権利証明
    書CSj を構成する手段と、 上記各手段を制御させる制御手段とを具備するユーザ装
    置。
  14. 【請求項14】 ブラックボックス装置から確率的暗号
    文Wとその生成に用いた乱数xを受信する手段と、 上記暗号文Wを証明書発行装置へ送信する手段と、 を具備することを特徴とする請求項13記載のユーザ装
    置。
  15. 【請求項15】 乱数xを生成する手段と、 上記受信したwを公開鍵eCHと乱数xを用いて確率的暗
    号化して暗号文Wを生成する手段と、 暗号文Wを証明書発行装置へ送信する手段と、 を具備することを特徴とする請求項13記載のユーザ装
    置。
  16. 【請求項16】 安全パラメータNCPをブラックボック
    ス装置へ送る手段と、 上記ブラインド関数演算結果Z(暗号文W)、乱数u,
    v,w,xはそれぞれZk ,Wk ,uk ,vk ,w
    k (xk )(k=1,2,…,NCP)としてNCP個用い
    られ、 証明書発行装置からk′(0<k′CP)を受信する
    手段と、 k≠k′となる全てのcj,k (証明書のCSj の構成要
    素の1つ)と公開鍵P B i を結合したものに対し一方向
    性関数演算を行う手段と、 上記一方向性関数演算結果gK (PB i ‖cj,k )とk
    ≠k′となる全ての乱数uk ,vk ,wk (xk )を証
    明書発行装置へ送る手段とを備え、 上記X′,Y′の演算にそれぞれu,vとしてuk',v
    k'が用いられることを特徴とする請求項14又は15記
    載のユーザ装置。
  17. 【請求項17】 証明書発行装置に権利証明書を発行し
    てもらうユーザ装置ごとに設けられるブラックボックス
    装置であって、 ブラックボックス装置の秘密鍵と公開鍵を格納したメモ
    リと、 証明事項MCP j 、権利証明書CSj の使用条件となる鍵
    番号i又は公開鍵PB i 、既発行の権利証明書CSy
    鍵番号y′又は公開鍵PB y'、証明書CSy のブラック
    ボックス装置の識別子IDB の確率的暗号文、IDB
    確率的符号、裁判装置の公開鍵eCH、証明書発行装置の
    公開鍵PCPを受信する手段と、 乱数u,v,wを生成する手段と、 乱数u、公開鍵eCHを用いて上記IDB の確率的暗号文
    を変換して暗号文Xを得る変換手段と、 乱数vを用いて上記IDB の確率的符号を変換して符号
    Yを得る手段と、 上記暗号文X、上記符号Y、上記公開鍵PB i 、上記証
    明事項MCP j に対し、上記公開鍵PCP、乱数wを用いて
    ブラインド関数演算を行って演算結果Zを得る手段と、 上記演算結果Z、上記IDB の確率的暗号文、上記ID
    B の確率的符号、上記証明事項MCP j に対し、ブラック
    ボックス装置の秘密鍵SB i を用いて署名を行って署名
    情報sB を得る手段と、 上記演算結果Z、乱数u,v,w、署名情報sB をユー
    ザ装置へ送る手段と、 秘密鍵SB i を持っていることを認証するための証明者
    側の公開鍵認証手段と、 上記各部を制御する制御手段と、 を具備するブラックボックス装置。
  18. 【請求項18】 乱数xを生成する手段と、 乱数wに対し、公開鍵eCH、乱数xを用いて確率的暗号
    化して暗号文Wを生成する手段と、 を備え、上記秘密鍵SB i による署名対象に上記暗号文
    Wが加えられ、 上記ユーザ装置への送信に上記乱数xと暗号文Wが加え
    られていることを特徴とする請求項17記載のブラック
    ボックス装置。
  19. 【請求項19】 安全パラメータNCPをユーザ装置から
    受信する手段と、 乱数u,v,wはそれぞれuk ,vk ,wk (k=1,
    2,…,NCP)としてのNCP個とされ、かつ暗号文X、
    符号Y、演算結果ZがそれぞれXk ,Yk ,Z k として
    CP個とされ、 乱数cj,k を生成する手段と、 上記乱数cj,k をユーザ装置へ送る手段と、 公開鍵PB i と乱数cj,k を結合して一方向性関数演算
    を行う手段とを備え、 上記一方向性関数演算の結果gK (PB i ‖cj,k )が
    上記ブラインド関数演算におけるPB i として用いられ
    ることを特徴とする請求項17記載のブラックボックス
    装置。
  20. 【請求項20】 安全パラメータNCPをユーザ装置から
    受信する手段と、 乱数u,v,w,xはそれぞれuk ,vk ,wk ,xk
    のNCP個とされ、かつ暗号文X、符号Y、演算結果Z、
    暗号文WがそれぞれXk ,Yk ,Zk ,Wk のNCP個と
    され、 乱数cj,k を生成する手段と、 上記乱数cj,k をユーザ装置へ送る手段と、 公開鍵PB i と乱数cj,k を結合して一方向性関数演算
    を行う手段とを備え、 上記一方向性関数演算の結果gK (PB i ‖cj,k )が
    上記ブラインド関数演算におけるPB i として用いられ
    ることを特徴とする請求項18記載のブラックボックス
    装置。
  21. 【請求項21】 ユーザ装置からの依頼により権利証明
    書を発行する証明書発行装置であって、 証明書発行装置の秘密鍵SCP、公開鍵PCP、ブラックボ
    ックス装置の公開鍵P B y'、裁判装置の公開鍵eCHなど
    を格納かつ受信データを一時蓄積するメモリと、 ユーザ装置から、ブラインド関数演算結果Z、署名情報
    B 、既発行権利証明書CSy を受信する手段と、 受信した権利証明書CSy が正当なものであるかを公開
    鍵を用いて署名検証関数を演算して検証する手段と、 署名情報sB が秘密鍵SB y'によりなされたものである
    ことを公開鍵PB y'を用いて検証する手段と、 これらの検証に共に合格すれば演算結果Zに対し、秘密
    鍵SCPを用いて署名関数演算を行って署名情報s′を得
    る手段と、 署名情報s′をユーザ装置へ送る手段と、 上記各部を制御する制御手段とを具備する証明書発行装
    置。
  22. 【請求項22】 ユーザ装置から確率的暗号文Wを受信
    する手段と、 上記暗号文Wと、上記署名情報s′を保存する手段とを
    具備することを特徴とする請求項21記載の証明書発行
    装置。
  23. 【請求項23】 上記演算結果ZはZk (k=1,2,
    …,NCP)のNCP個用いられ、 上記両検証に合格すると0<k′CPなる任意のk′
    を選択してユーザ装置へ送る手段と、 ユーザ装置から、k≠k′となる乱数uk ,vk
    k 、一方向性関数演算結果gK (PB i ‖cj,k )の
    全てを受信する手段と、 上記uk ,vk ,wk と上記権利証明書CSy 、上記g
    K (PB i ‖cj,k )を用いて、受信した演算結果Zk
    が全て(k≠k′を除く)正しいものであることを確認
    する手段と、 その確認に全て合格することを上記署名関数演算を行う
    条件とする手段とを備え、上記s′の作成にはZk'が用
    いられることを特徴とする請求項21記載の証明書発行
    装置。
  24. 【請求項24】 上記演算結果Z、上記暗号文Wは
    k ,Wk (k=1,2 ,…,NCP)のNCP個用いられ、上記両検証に合格する
    と0<k′CPなる任意のk′を選択してユーザ装置
    へ送る手段と、 ユーザ装置から、k≠k′となる乱数uk ,vk
    k ,xk 、一方向性関数演算結果gK (PB i ‖c
    j,k )の全てを受信する手段と、 上記uk ,vk ,wk と上記権利証明書CSy 、上記g
    K (PB i ‖cj,k )を用いて受信した演算結果Zk
    全て(k≠k′を除く)正しいものであることを確認す
    る手段と、 上記wk ,xk 、公開鍵eCHを用いて受信した暗号文W
    k が全て(k≠k′を除く)正しいものであることを確
    認する手段と、 これら両確認に全て合格することを上記署名関数演算を
    行う条件とする手段と、 上記署名情報s′と暗号文Wk'を保存する手段とを具備
    し、上記s′の作成にはZk'が用いられることを特徴と
    する請求項22記載の証明書発行装置。
  25. 【請求項25】 無効ブラックボックスIDB のリスト
    を格納する手段と、 受信した権利証明書CSy 中のIDB の確率的符号と、
    上記無効ブラックボックスIDB のリストの各IDB
    全てについて確率的判定関数演算を行い、無効IDB
    一致するか否かの判定を行う手段と、 この判定で全て一致しないことを上記署名関数演算を行
    う条件とする手段とを備えることを特徴とする請求項2
    1乃至24の何れかに記載の証明書発行装置。
  26. 【請求項26】 無効証明書の署名情報sj のリストを
    格納する手段と、 受信した権利証明書CSy 中の署名情報sy と上記無効
    証明書の署名情報のリストの各署名情報の全てと照合す
    る手段と、 その照合で全て一致しないことを上記署名関数演算を行
    う条件とする手段とを備えることを特徴とする請求項2
    1乃至25の何れかに記載の証明書発行装置。
  27. 【請求項27】 ユーザ装置から送られた権利証明書を
    検証する資源管理装置であって、 証明書発行装置の公開鍵PCPなどを格納するメモリと、 ユーザ装置から権利証明書CSj を受信する手段と、 受信した権利証明書CSj と公開鍵PCPを用いて署名検
    証関数演算を行ってCSj の正当性を検証する手段と、 権利証明書CSj 中の公開鍵PB i と対応する秘密鍵S
    B i がユーザ装置のブラックボックス装置にあることを
    ユーザ装置を介してブラックボックス装置と通信して認
    証する検証者側の公開鍵認証手段と、 各部を制御する制御手段と、 を具備する資源管理装置。
  28. 【請求項28】 無効ブラックボックスIDB のリスト
    を格納する手段と、 受信した権利証明書CSj 中のIDB の確率的符号と、
    上記無効ブラックボックスIDB のリストの各IDB
    全てとについて確率的判定関数演算を行い、無効IDB
    と一致するか否かの判定を行う手段と、 この判定で一つでも一致したものがあれば上記権利証明
    書CSj を無効とする手段とを備えることを特徴とする
    請求項27記載の資源管理装置。
  29. 【請求項29】 無効証明書の署名情報sj のリストを
    格納する手段と、 受信した権利証明書CSj 中の署名情報sj と、上記無
    効証明書の署名情報のリストの各署名情報の全てと照合
    する手段と、 その照合で1つでも一致したものがあれば上記証明書C
    j を無効とする手段とを備えることを特徴とする請求
    項27又は28記載の資源管理装置。
  30. 【請求項30】 権利証明書を無効とすることができる
    裁判装置であって、 裁判装置の秘密鍵dCHなどを格納するメモリと、 無効とされるべきユーザの少なくとも1つの権利証明書
    CSj を受信する手段と、 上記権利証明書CSj 中のブラックボックス装置の識別
    子IDB に対する確率的符号を秘密鍵dCHで確率的復号
    化してIDB を得る手段と、 この得られたIDB が格納される無効ブラックボックス
    リスト格納手段と、 上記無効ブラックボックスリストを各証明書発行装置と
    各資源管理装置に配布する手段と、 上記各部を制御する制御手段と、 を具備する裁判装置。
  31. 【請求項31】 証明書発行装置から、ブラインド署名
    情報s′、その攪乱乱数を確率的暗号化した暗号文Wを
    受信する手段と、 上記暗号文Wを秘密鍵dCHで確率的復号化して乱数wを
    得る手段と、 上記乱数w及び証明書発行装置の公開鍵PCPを用いて上
    記署名情報s′にブラインド解凍関数演算を行って署名
    情報sj を得る手段と、 上記署名情報sj が格納される無効証明書リスト格納手
    段と、 上記無効証明書リストを各証明書発行装置と、各資源管
    理装置へ配布する手段と、 を具備する請求項30記載の裁判装置。
  32. 【請求項32】 ブラックボックス装置と結合され、証
    明書発行装置から権利証明書を発行してもらうユーザ装
    置に用いられ、 既発行の権利証明書CSy の鍵番号y′又は公開鍵PB
    y'、証明書利用条件となる公開鍵番号i又は公開鍵PB
    i 、上記既発行権利証明書CSy 中のブラックボックス
    装置の識別子IDB に対する確率的暗号文、IDB の確
    率的符号、証明書発行装置の公開鍵PCP、裁判装置の公
    開鍵eCH、証明書CSj の証明事項MCP j をブラックボ
    ックス装置へ送信する処理と、 ブラックボックス装置からブラインド関数演算結果Z、
    署名情報sB 、乱数u,v,wを受信する処理と、 上記ブラインド関数演算結果Z、署名情報sB 、上記既
    発行権利証明書CSyを証明書発行装置へ送信する処理
    と、 証明書発行装置からブラインド署名情報s′を受信する
    処理と、 受信したブラインド署名情報s′に対し、乱数w、公開
    鍵PCPでブラインド解凍関数演算を行って署名情報sj
    を得る処理と、 上記証明書CSy のIDB の確率的暗号文に対し、公開
    鍵eCH、乱数uを用いて確率的暗号文変換を行って変換
    暗号文X′を求める処理と、 上記証明書CSy のIDB の確率的符号に対し、乱数v
    を用いて確率的符号変換を行って符号Y′を求める処理
    と、 上記署名情報sj 、上記公開鍵PB i 、上記証明事項M
    CP j 、上記暗号文X′、上記符号Y′にて上記権利証明
    書CSj を構成する処理と、 をコンピュータに実行させるプログラムを記録した記録
    媒体。
  33. 【請求項33】 ブラックボックス装置から確率的暗号
    文Wとその生成に用いた乱数xを受信する処理と、 上記暗号文Wを証明書発行装置へ送信する処理と、 を上記コンピュータに実行させるプログラムを記録した
    請求項32記載の記録媒体。
  34. 【請求項34】 乱数xを生成する処理と、 上記受信したwを公開鍵eCHと乱数xを用いて確率的暗
    号化して暗号文Wを生成する処理と、 暗号文Wを証明書発行装置へ送信する処理と、 を上記コンピュータに実行させるプログラムを記録した
    請求項32記載の記録媒体。
  35. 【請求項35】 安全パラメータNCPをブラックボック
    ス装置へ送る処理と、 上記ブラインド関数演算結果Z(暗号文W)、乱数u,
    v,w,xをそれぞれZk ,Wk ,uk ,vk ,w
    k (xk )(k=1,2,…,NCP)としてNCP個用い
    る処理と、 証明書発行装置からk′(0<k′CP)を受信する
    処理と、 k≠k′となる全てのcj,k (証明書のCSj の構成要
    素の1つ)と公開鍵P B i を結合したものに対し一方向
    性関数演算を行う処理と、 上記一方向性関数演算結果gK (PB i ‖cj,k )とk
    ≠k′となる全ての乱数uk ,vk ,wk (xk )を証
    明書発行装置へ送る処理と、 上記X′,Y′の演算にそれぞれu,vとしてuk',v
    k'を用いる処理とを上記コンピュータに実行させる請求
    項33又は34記載の記録媒体。
  36. 【請求項36】 証明書発行装置に権利証明書を発行し
    てもらうユーザ装置ごとに設けられるブラックボックス
    装置に用いられ、 証明事項MCP j 、権利証明書CSj の使用条件となる鍵
    番号i又は公開鍵PB i 、既発行の権利証明書CSy
    鍵番号y′又は公開鍵PB y'、証明書CSy のブラック
    ボックス装置の識別子IDB の確率的暗号文、IDB
    確率的符号、裁判装置の公開鍵eCH、証明書発行装置の
    公開鍵PCPを受信する処理と、 乱数u,v,wを生成する処理と、 乱数u、公開鍵eCHを用いて上記IDB の確率的暗号文
    を変換して暗号文Xを得る処理と、 乱数vを用いて上記IDB の確率的符号を変換して符号
    Yを得る処理と、 上記暗号文X、上記符号Y、上記公開鍵PB i 、上記証
    明事項MCP j に対し、上記公開鍵PCP、乱数wを用いて
    ブラインド関数演算を行って演算結果Zを得る処理と、 上記演算結果Z、上記IDB の確率的暗号文、上記ID
    B の確率的符号、上記証明事項MCP j に対し、ブラック
    ボックス装置の秘密鍵SB i を用いて署名を行って署名
    情報sB を得る処理と、 上記演算結果Z、乱数u,v,w、署名情報sB をユー
    ザ装置へ送る手段と、秘密鍵SB i を持っていることを
    認証するための証明者側の公開鍵認証を行う処理とをコ
    ンピュータに実行させるプログラムを記録した記録媒
    体。
  37. 【請求項37】 乱数xを生成する処理と、 乱数wに対し、公開鍵eCH、乱数xを用いて確率的暗号
    化して暗号文Wを生成する処理と、 上記秘密鍵SB i による署名対象に上記暗号文Wを加え
    る処理と、 上記ユーザ装置への送信に上記乱数xと暗号文Wを加え
    る処理とを上記コンピュータに実行させるプログラムを
    記録した請求項36記載の記録媒体。
  38. 【請求項38】 安全パラメータNCPをユーザ装置から
    受信する処理と、 乱数u,v,wをそれぞれuk ,vk ,wk (k=1,
    2,…,NCP)としてのNCP個とし、かつ暗号文X、符
    号Y、演算結果ZをそれぞれXk ,Yk ,Zkとしての
    CP個とする処理と、 乱数cj,k を生成する処理と、 上記乱数cj,k をユーザ装置へ送る処理と、 公開鍵PB i と乱数cj,k を結合して一方向性関数演算
    を行う処理と、 上記一方向性関数演算の結果gK (PB i ‖cj,k )を
    上記ブラインド関数演算におけるPB i として用いる処
    理とを、 上記コンピュータに実行させるプログラムを記録した請
    求項36記載の記録媒体。
  39. 【請求項39】 安全パラメータNCPをユーザ装置から
    受信する処理と、 乱数u,v,w,xをそれぞれuk ,vk ,wk ,xk
    のNCP個とし、かつ暗号文X、符号Y、演算結果Z、暗
    号文WをそれぞれXk ,Yk ,Zk ,Wk のN CP個とす
    る処理と、 乱数cj,k を生成する処理と、 上記乱数cj,k をユーザ装置へ送る処理と、 公開鍵PB i と乱数cj,k を結合して一方向性関数演算
    を行う処理と、 上記一方向性関数演算の結果gK (PB i ‖cj,k )を
    上記ブラインド関数演算におけるPB i として用いる処
    理とを、 上記コンピュータに実行させるプログラムを記録した請
    求項37記載の記録媒体。
  40. 【請求項40】 ユーザ装置からの依頼により権利証明
    書を発行する証明書発行装置に用いられ、 ユーザ装置から、ブラインド関数演算結果Z、署名情報
    B 、既発行権利証明書CSy を受信する処理と、 受信した権利証明書CSy が正当なものであるかを公開
    鍵を用いて署名検証関数を演算して検証する処理と、 署名情報sB が秘密鍵SB y'によりなされたものである
    ことを公開鍵PB y'を用いて検証する処理と、 これらの検証に共に合格すれば演算結果Zに対し、秘密
    鍵SCPを用いて署名関数演算を行って署名情報s′を得
    る処理と、 署名情報s′をユーザ装置へ送る処理と、 をコンピュータに実行させるプログラムを記録した記録
    媒体。
  41. 【請求項41】 ユーザ装置から確率的暗号文Wを受信
    する処理と、 上記暗号文Wと、上記署名情報s′を保存する処理とを
    上記コンピュータに実行させるプログラムを記録した請
    求項40記載の記録媒体。
  42. 【請求項42】 上記演算結果ZをZk (k=1,2,
    …,NCP)のNCP個用いる処理と、 上記両検証に合格すると0<k′CPなる任意のk′
    を選択してユーザ装置へ送る処理と、 ユーザ装置から、k≠k′とする乱数uk ,vk
    k 、一方向性関数演算結果gK (PB i ‖cj,k )の
    全てを受信する処理と、 上記uk ,vk ,wk と上記権利証明書CSy 、上記g
    K (PB i ‖cj,k )を用いて、受信した演算結果Zk
    が全て(k≠k′を除く)正しいものであることを確認
    する処理と、 その確認に全て合格することを上記署名関数演算を行う
    条件とする処理と、上記s′の作成にZk'を用いる処理
    とを上記コンピュータに実行させるプログラムを記録し
    た請求項40記載の記録媒体。
  43. 【請求項43】 上記演算結果Z、上記暗号文Wを
    k ,Wk (k=1,2,…,NCP)のNCP個用いる処
    理と、 上記両検証に合格すると0<k′CPなる任意のk′
    を選択してユーザ装置へ送る処理と、 ユーザ装置から、k≠k′となる乱数uk ,vk
    k ,xk 、一方向性関数演算結果gK (PB i ‖c
    j,k )の全てを受信する処理と、 上記uk ,vk ,wk と上記権利証明書CSy 、上記g
    K (PB i ‖cj,k )を用いて受信した演算結果Zk
    全て(k≠k′を除く)正しいものであることを確認す
    る処理と、 上記wk ,xk 、公開鍵eCHを用いて受信した暗号文W
    k が全て(k≠k′を除く)正しいものであることを確
    認する処理と、 これら両確認に全て合格することを上記署名関数演算を
    行う条件とする処理と、 上記署名情報s′と暗号文Wk'を保存する処理と、 上記s′の作成にZk'を用いる処理とを上記コンピュー
    タに実行させるプログラムを記録した請求項41記載の
    記録媒体。
  44. 【請求項44】 無効ブラックボックスIDB のリスト
    を格納する処理と、 受信した権利証明書CSy 中のIDB の確率的符号と、
    上記無効ブラックボックスIDB のリストの各IDB
    全てとについて確率的判定関数演算を行い、無効IDB
    と一致するか否かの判定を行う処理と、 この判定で全て一致しないことを上記署名関数演算を行
    う条件とする処理とを上記コンピュータに実行させるプ
    ログラムを記録した請求項40乃至43の何れかに記載
    の記録媒体。
  45. 【請求項45】 無効証明書の署名情報sj のリストを
    格納する処理と、 受信した権利証明書CSy 中の署名情報sy と上記無効
    証明書の署名情報のリストの各署名情報の全てと照合す
    る処理と、 その照合で全て一致しないことを上記署名関数演算を行
    う条件とする処理とを上記コンピュータに実行させるプ
    ログラムを記録した請求項40乃至44の何れかに記載
    の記録媒体。
  46. 【請求項46】 ユーザ装置から送られた権利証明書を
    検証する資源管理装置に用いられ、 ユーザ装置から権利証明書CSj を受信する処理と、 受信した権利証明書CSj と公開鍵PCPを用いて署名検
    証関数演算を行ってCSj の正当性を検証する処理と、 権利証明書CSj 中の公開鍵PB i と対応する秘密鍵S
    B i がユーザ装置のブラックボックス装置にあること
    を、ユーザ装置を介してブラックボックス装置と通信し
    て認証する検証者側の公開鍵認証を行う処理と、 をコンピュータに実行させるプログラムを記録した記録
    媒体。
  47. 【請求項47】 無効ブラックボックスIDB のリスト
    を格納する処理と、 受信した権利証明書CSj 中のIDB の確率的符号と、
    上記無効ブラックボックスIDB のリストの各IDB
    全てとについて確率的判定関数演算を行い、無効IDB
    と一致するか否かの判定を行う処理と、 この判定で一つでも一致したものがあれば上記権利証明
    書CSj を無効とする処理とを上記コンピュータに実行
    させるプログラムを記録した請求項46記載の記録媒
    体。
  48. 【請求項48】 無効証明書の署名情報sj のリストを
    格納する処理と、 受信した権利証明書CSj 中の署名情報sj と、上記無
    効証明書の署名情報のリストの各署名情報の全てと照合
    する処理と、 その照合で1つでも一致したものがあれば上記証明書C
    j を無効とする処理とを上記コンピュータに実行させ
    るプログラムを記録した請求項46又は47記載の記録
    媒体。
  49. 【請求項49】 権利証明書を無効とすることができる
    裁判装置に用いられ、 無効とされるべきユーザの少なくとも1つの権利証明書
    CSj を受信する処理と、 上記権利証明書CSj 中のブラックボックス装置の識別
    子IDB に対する確率的符号を秘密鍵dCHで確率的復号
    化してIDB を得る処理と、 この得られたIDB を無効ブラックボックスリスト格納
    手段に登録する処理と、 上記無効ブラックボックスリストを各証明書発行装置と
    各資源管理装置に配布する処理と、 をコンピュータに実行させるプログラムを記録した記録
    媒体。
  50. 【請求項50】 証明書発行装置から、ブラインド署名
    情報s′、その攪乱乱数を確率的符号化した暗号文Wを
    受信する処理と、 上記暗号文Wを秘密鍵dCHで確率的復号化して乱数wを
    得る処理と、 上記乱数w及び証明書発行装置の公開鍵PCPを用いて上
    記署名情報s′にブラインド解凍関数演算を行って署名
    情報sj を得る処理と、 上記署名情報sj を無効証明書リスト格納手段に登録す
    る処理と、 上記無効証明書リストを各証明書発行装置と、各資源管
    理装置の配布する処理と、 を上記コンピュータに実行させるプログラムを記録した
    請求項49記載の記録媒体。
JP11137220A 1999-05-18 1999-05-18 権利証明書実現方法、その装置、及びそのプログラム記録媒体 Pending JP2000331073A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11137220A JP2000331073A (ja) 1999-05-18 1999-05-18 権利証明書実現方法、その装置、及びそのプログラム記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11137220A JP2000331073A (ja) 1999-05-18 1999-05-18 権利証明書実現方法、その装置、及びそのプログラム記録媒体

Publications (1)

Publication Number Publication Date
JP2000331073A true JP2000331073A (ja) 2000-11-30

Family

ID=15193602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11137220A Pending JP2000331073A (ja) 1999-05-18 1999-05-18 権利証明書実現方法、その装置、及びそのプログラム記録媒体

Country Status (1)

Country Link
JP (1) JP2000331073A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010504670A (ja) * 2006-09-23 2010-02-12 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 公開鍵証明書状態の取得および確認方法
US7730314B2 (en) 2004-10-19 2010-06-01 Samsung Electronics Co., Ltd. Method and apparatus for electronic commerce using digital ticket to provide anonymity

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730314B2 (en) 2004-10-19 2010-06-01 Samsung Electronics Co., Ltd. Method and apparatus for electronic commerce using digital ticket to provide anonymity
JP2010504670A (ja) * 2006-09-23 2010-02-12 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 公開鍵証明書状態の取得および確認方法

Similar Documents

Publication Publication Date Title
JP3791131B2 (ja) 電子チケットシステム
JP2020145733A (ja) 信頼できるアイデンティティを管理する方法
Jakobsson et al. Revokable and versatile electronic money
US7028180B1 (en) System and method for usage of a role certificate in encryption and as a seal, digital stamp, and signature
US6148404A (en) Authentication system using authentication information valid one-time
Kou Payment technologies for E-commerce
US20090164796A1 (en) Anonymous biometric tokens
JPH11506222A (ja) マルチステップディジタル署名方法およびそのシステム
JPH09500977A (ja) 制限付きブラインド署名
CN1989731A (zh) 使用一次性私钥执行数字签名的系统和方法
Qiu et al. A new offiine privacy protecting E-cash system with revokable anonymity
US7222362B1 (en) Non-transferable anonymous credentials
CN103858377A (zh) 用于管理和控制来自组织成结构化集合的不同身份域的数据的方法
Impagliazzo et al. Anonymous credentials with biometrically-enforced non-transferability
US7356842B2 (en) Cryptographic revocation method using a chip card
US11539519B2 (en) Privacy solutions for cyber space
Deswarte et al. A Proposal for a Privacy-preserving National Identity Card.
Wang et al. A consumer scalable anonymity payment scheme with role based access control
US20240013170A1 (en) Method for secure, traceable and privacy-preserving digital currency transfer with anonymity revocation on a distributed ledger
Noam et al. Realizing privacy aspects in blockchain networks
JPH096236A (ja) 公開鍵暗号の鍵生成・証明書発行方法及びそのシステム
JP7222436B2 (ja) 保証制御方法、情報処理装置および保証制御プログラム
JP3804245B2 (ja) 電子チケットシステム
JPH11205306A (ja) 認証装置および認証方法
JP2000331073A (ja) 権利証明書実現方法、その装置、及びそのプログラム記録媒体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050329

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050719