JP2004229105A - 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置 - Google Patents

不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置 Download PDF

Info

Publication number
JP2004229105A
JP2004229105A JP2003016395A JP2003016395A JP2004229105A JP 2004229105 A JP2004229105 A JP 2004229105A JP 2003016395 A JP2003016395 A JP 2003016395A JP 2003016395 A JP2003016395 A JP 2003016395A JP 2004229105 A JP2004229105 A JP 2004229105A
Authority
JP
Japan
Prior art keywords
data
relay server
information
anonymous communication
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003016395A
Other languages
English (en)
Other versions
JP4146252B2 (ja
Inventor
Koji Senda
浩司 千田
Hiroyuki Kito
宏幸 鬼頭
Masayuki Abe
正幸 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003016395A priority Critical patent/JP4146252B2/ja
Publication of JP2004229105A publication Critical patent/JP2004229105A/ja
Application granted granted Critical
Publication of JP4146252B2 publication Critical patent/JP4146252B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】利用者が指定した中継サーバの経路でデータを匿名通信により送信可能とし、かつ匿名通信経路においてデータの不正処理の検出を容易にする。
【解決手段】各中継サーバMは秘密情報(a, b)を分散して複数の第三者機関TPに登録し、対応する情報(h, z)を公開し、利用者Uは自分の秘密情報rにより鍵生成情報G0,jを生成し、選択した各サーバの公開情報(h, z)を使用して匿名送信すべき平文msgを順次多重暗号化し、得られた暗号E0,jを検証用データui,jと鍵生成情報G0,jとともに次の中継サーバに送信し、中継サーバは受信データCi−1,jをその鍵生成情報から生成した検証鍵Z’i,jを使って検証し、検証で不正が発見された場合は第三者機関に報告し、第三者機関は協力して各サーバMの受信データをその秘密情報(a, b)を使って検証して不正者を特定する。
【選択図】図1

Description

【0001】
【発明の属する技術分野】
本発明は、インターネットなどのオープンなネットワーク上で匿名通信路を構成する従来のソフトウェア技術に対して、匿名通信路の利用者及び匿名通信路内の不正処理を検出可能とすることで安全な匿名通信路を構成するための情報セキュリティ技術に関するものであり、特に、匿名通信システムに使用される匿名通信方法、利用者装置及び中継サーバ装置に関する。
【0002】
【従来の技術】
従来の匿名通信路技術として例えば非特許文献1がある。これは、通信路に1以上のサーバを中継させ、そのサーバは暗号処理などを行うことで入力データをかく乱して出力することで送信者の匿名性を実現する、mix−netと呼ばれる匿名通信路技術の一実現方式である。上記非特許文献1の方式は、中継するサーバは不特定多数とでき、かつ利用者が自由に通信経路(中継するサーバ)を決定でき、更にサーバの処理量も小さくて済む特長を持つ。
また、非特許文献2では、MAC(Message Authentication Code)と秘密分散法を利用した、匿名通信路の利用者や匿名通信路内での不正を防ぐことができる技術を提案している。
【0003】
【非特許文献1】
千田、鬼頭、「拡張Hybrid Mixとその応用」、コンピュータセキュリティシンポジウム2001(CSS2001)
【非特許文献2】
Jakobsson, Juels, ”An optimally robust hybrid mix network,” PODC’01
【非特許文献3】
「現代暗号」(岡本、山本)、産業図書、1997年、の217ぺ一ジ
【非特許文献4】
「暗号・ゼロ知識証明・数論」(岡本、太田)、共立出版、1995年
【非特許文献5】
R.Gennaro, S.Jarecki, H.Krawczyk, and T.Rabin, ”The (in)security of distributed key generation in dlog−based cryptosystems,” EUROCRYPT’99, LNCS1592, Spribger−Verlag, pp.295−310, 1999
【0004】
【発明が解決しようとする課題】
非特許文献1の方式は、匿名通信路の利用者や匿名通信路内の不正に対しては考慮されていない。そのため、利用者の送信メッセージが正しく送信されない、不正者の追跡が困難、などの問題が起こりえる。
一方、非特許文献2の方式は、匿名通信路の利用者や匿名通信路内の不正を防ぐことはできるが、利用者が利用するサーバは予め決定され、かつその利用順序が一意に決定される。
ここで、それぞれの課題を相互補完するために、単純に非特許文献1の方式に非特許文献2の提案している不正を防ぐ技術を適用しようとした場合、以下の問題が生じる。
【0005】
・非特許文献2の提案技術では、不正者の特定を行うフェーズにおいて、中継するサーバ管理者が協力する必要があるが、非特許文献1の方式では、中継するサーバは不特定多数とすることができることが特長の一つであり、その場合中継するサーバ管理者が協力することは一般に困難となる。
・非特許文献2の提案技術では、中継するサーバが出力するデータに対してゼロ知識証明と呼ばれる技術を用いて自身の処理正当性を保証させているが、非特許文献1の方式では、そのゼロ知識証明をそのまま適用することができない。
本発明の目的は、上記に挙げた問題点を解決し、利用者が自由に1つ以上の中継サーバを選択して匿名通信経路を決定でき、匿名通信路の利用者や匿名通信路内の不正を困難とする匿名通信方法及びそれを使用する利用者装置と中継サーバを提供することである。
【0006】
【課題を解決するための手段】
この発明によれば、ネットワーク上において送信者から少なくとも1の中継サーバを介して受信者に匿名で情報データを送る匿名通信方法において、
(a) 各中継サーバは予め秘密情報を第三者機関に登録し、対応する公開情報を公開し、
(b) 送信者は匿名通信経路を形成する中継サーバを選択し、選択した中継サーバの公開情報を使って送信すべき情報データを指定宛先とともに暗号化し、得られた暗号データと鍵生成情報と検証用データを含む送信データを選択した最初の中継サーバに送信し、
(c) 選択された中継サーバは受信データをその受信データ中の鍵生成情報を使って生成した検証鍵により受信した検証用データを検証し、正しければ上記受信データ中の暗号データを復号処理して次の暗号データと次の検証用データと指定宛先を得て、上記鍵生成情報を自分の秘密情報で更新して復号した暗号データ及び検証用データとともに送信データとして復号された指定宛先に送信し、検証結果が正しくなければ上記第三者機関に報告し、
(d) 上記第三者機関は不正の報告を受けると、中継サーバの上記秘密情報を使って上記中継サーバの送信データを検証する。
【0007】
このように、各中継サーバの秘密情報を第三者機関に与えておき、秘密情報に対応する公開情報を公開しておくことにより、送信者は任意に選択した中継サーバによる通信経路を決定し、それらの中継サーバの公開情報を使って受信データの復号処理を行うことができる。また、不正の報告に対し、第三者機関は中継サーバの秘密情報を使って中継サーバの入出力データを検証でき、不正サーバに代わって匿名通信のための処理を行うこともできる。
【0008】
【発明の実施の形態】
次に、本発明の実施の形態について詳細に説明する。まず第1の実施形態として、匿名通信路の利用者がある端末に匿名で安全にデータを送る方法を説明する。
次に第2の実施形態として、正しい中継サーバあるいは最終受信者が、自身の入力に対して不正があるとして第三者機関にそれを申し出た場合の、第三者機関による不正者特定方法を説明する。第3の実施形態では、匿名通信路の利用者により端末に送られたデータが、通信路内で改ざんされていないかどうかを第三者機関が検証できる方法を述べる。第4の実施態様では、共通鍵暗号方式の代わりに、公開鍵暗号方式を使用する例を説明する。最後に第5の実施形態で、本発明により実現可能となる匿名通信モデルについての一例を述べる。
なお全ての実施形態において、離散対数問題を拠り所とするような大きな素数p、q(qはp−1の約数となるような関係をもつ)及び位数がqとなるような乗法群(Z/pZ)の元gがあらかじめ公開されているものとする。また、全ての送信情報は公開される、あるいは署名が付与されるなどで誰から誰に何が送信されたかを保証する手段がとられているものとする。
第1の実施形態
【0009】
図1はこの発明が適用される通信システムの構成を示し、匿名対通信路を形成するための複数の中継サーバM(i=1, 2, …)がオープンなネットワークNWに接続されており、また、ネットワークNWには複数の利用者U(j=1,2,…)と1つ以上の第三者機関TP, TP, …, TPと受信者R, R, …が接続されているものとする。このとき、匿名通信路利用者Uと中継するサーバMの不正を防ぐことを目的として、第三者機関TP(k=1, 2, …, m)が存在する。ここでUの不正とは、自身の不正な入力を否認し、不正の所在を不明確にすることを意味し、Mの不正とは、自身への入力に対し不正な処理を施して出力することを意味する。
まず、Mが中継サーバとして登録する場合として以下を行う。
(A).乱数a、bを生成して公開情報
【数1】
Figure 2004229105
を計算し、(h, z)を公開する。
(B).検証可能秘密分散法を用いて秘密情報a、bをTP (k=1,2,…,m)に分散して送る。
【0010】
上記の処理で検証可能秘密分散法とは、TPのうち何人かが協力しない限り秘密情報は復元されない秘密分散技術に加え、正しく秘密情報が分散されていることをTPが検証できる技術のことである。秘密情報の復元には閾値が設定され、例えば(m’,m)秘密分散とはm人のうち、m’人以上が集まれば秘密情報を復元できるが、m’人未満であれば秘密情報は全く得られない。即ち、m人のうち少なくともm’人は正しいと仮定した場合に有効な方式となる(threshold schemeと呼ばれている)。これにより、中継サーバが不正な値を分散して送ることを防ぐことができる。また、検証可能秘密分散法として例えば、非特許文献3にその方法が示されている。TPがMを正しいと判断した場合、Mは中継サーバとしてTPから証明書が発行されるなどして承認される。ここで、(m, m’)秘密分散であればm’人以上の第三者機関からの証明書があればよい。
次に匿名通信路利用者Uは以下に図2のフローを参照して説明する処理を行う。
の最終的な送信先である受信者を便宜上M、そしてMの公開情報を
【数2】
Figure 2004229105
とする(a、bは乱数)。
(A).利用する中継サーバを決定する(ここでは、M, Mの順に利用するものとする)。
(B).乱数rを生成して(ステップS1)鍵生成情報
【数3】
Figure 2004229105
を計算し(ステップS2)、更に次式
【数4】
Figure 2004229105
をi=1, 2, 3について計算する(ステップS3〜S6)。ここでw0,j=1、H、L:一方向性ハッシュ関数、とする。
(C).i=2, 1, 0の順に暗号データEi,jと検証用データui,jを次式
【数5】
Figure 2004229105
により計算し(ステップS7〜S10)、C0,j=(E0,j, u0,j、G0,j)をMに送る(ステップS11)。ここでEEKi+1,jは鍵Ki+1,jを用いた共通鍵暗号の暗号化アルゴリズム、HEDDi+2はサーバMi+2のアドレス、HEDDは空の値(即ち0ビット)、‖はデータの連結、u3,jは空の値、E3,jは匿名送信すべき平文msg、Iはイベントごとに固有な値とする。式(6),(7)をi=2,1,0と繰り返し実行することにより、受信者側に近い順に中継サーバに対する鍵で平文を多重暗号化することになる。なお、式(7) はハッシュ関数でなく、鍵をZi+1,jとしたMAC(Message Authentication Code)関数と置き換えても良い。
(D).gを底としたG0,jの離散対数を知っていること、即ち式(1) の秘密情報rを知っていることをゼロ知識証明する(ステップS12)。
【0011】
上記のゼロ知識証明については、例えば非特許文献4に紹介されており、ここではゼロ知識証明の具体的なアルゴリズムの説明は省略する。また、ゼロ知識証明を検証するのは、M、第三者機関、あるいはその他の機関のいずれが行っても良い。そしてこの検証をはじめに行い、不正と判断された場合は即座にUを除外する。
次に最初の中継サーバMによる処理を図3を参照して説明する。サーバMはC ,j=(E0,j, u0,j, G0,j), j=1, 2, …, nを受け取り(ステップS1)、以下の処理を行う。なおここではMはn個のデータC0,j,(j=1, 2, …, n)を受け取り、処理後のn個のデータC1,jを全てMへ送るものとする。
(A).j=1, 2, …, nについて、
【数6】
Figure 2004229105
を計算し(ステップS2,S3)、u0,j=u’0,jが成り立つことを確認する(ステップS4)。即ち、鍵生成情報G0,jから式(8)により検証鍵Z’1,jを生成し、その検証鍵を使って式(9)により生成した値が受信データC0,j中の検証用データu0,jと一致すれば受信データC0,jは正しいと判定する。
(B).j=1, 2, …, nについて、
【数7】
Figure 2004229105
により暗号データE0,jを復号処理して次の中継サーバのアドレスHEDD、暗号データE1,j、検証用データu1,jを得る(ステップS6)。ここでDDK1,jは鍵K1,jを用いた共通鍵暗号の復号アルゴリズムとする。
(C).jの順序を適当に入れ替えてC1,j=(E1,j, u1,j, G1,j)を式(13)の復号結果中のアドレスHEDDにより指定されたサーバMに送る(ステップS7)。
(D).式(12)におけるG0,j(j=1, 2, …, n)を底とした、G1,j(j=1, 2, …, n)の積
【数8】
Figure 2004229105
の離散対数を知っている、即ちj=1, 2, …, nについてL(T1,j)を知っていることをゼロ知識証明する(ステップS8)。
ステップS4でu0,jとu’0,jが一致しなかった場合は、第三者機関TPに不正の検出を報告する(ステップS9)。
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれn個のMの入出力の対応関係をかく乱することができる。従ってこの時点で、半数以上の第三者機関が結託しなければ、M以外に対してはUの匿名性が満たされたことになる。なお離散対数を知っていることをゼロ知識証明するアルゴリズムは公知の技術であるため省略するが、このゼロ知識証明が行われないと、Mは適当な出力をMに渡し、その不正は検出されないことが容易に可能となる。但しそのことは明らかなことなので説明は省略する。即ちこのゼロ知識証明部分が、中継サーバ管理者の不正を防ぐ技術となり、本発明の主要な技術でもある。また、このゼロ知識証明を検証するのは、サーバM、第三者機関、あるいはその他の機関のいずれが行っても良い。
【0012】
次にC1,j=(E1,j, u1,j, G1,j)を受け取ったMは以下を行う。以下の式(14)〜(19)で示す処理手順は、式(8)〜(13)と対応しており、図3の場合と基本的に同様なので、サーバMとしての処理手順の図は示さない。なおここではn個のデータ(j=1, 2, …, n)を受け取り、Mは全てMへ送るものとする。
(A).j=1, 2, …, nについて、
【数9】
Figure 2004229105
を計算し、u1,j=u’1,jが成り立つことを確認する。
(B).j=1, 2, …, nについて、
【数10】
Figure 2004229105
を計算する
(C).jの順序を適当に入れ替えてC2,j=(E2,j, u2,j, G2,j)をHEDDに従ってMに送る。
(D).G1,j(j=1, 2, …, n)を底とした、G2,j(j=1, 2, …, n)の積Pの離散対数を知っている、即ち、式(18)におけるj=1, 2, …, nについてのL(T2,j)を知っていることをゼロ知識証明する。
【0013】
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれMのn個の入出力の対応関係をかく乱することができる。従って、半数以上の第三者機関、またはMとMが結託しない限りは全てのものに対してUの匿名性が満たされたことになる。ゼロ知識の証明及び検証についての説明は前述同様のため省略する。
最後にC2,j=(E2,j, u2,j, G2,j)を受け取ったMは以下を行う。サーバMの処理もM, Mの処理における式(12), (18)に対応する処理を行わない点を除いてM, Mの処理とほとんど同じである。
(A).j=1, 2, …, nについて、
【数11】
Figure 2004229105
を計算し、u2,j=u’2,jが成り立つことを確認する。
(B).j=1, 2, …, nについて、
【数12】
Figure 2004229105
を計算する。
これにより、Mはmsgを匿名で受け取ることになり、Uの匿名性が確保される。また、第2の実施形態で述べるが、中継サーバMの不正あるいは匿名通信路の利用者Uの不正入力も、正しい検証者(他の中継サーバ管理者、最終受信者、第三者機関)によって検出される。
【0014】
図4は上記第1実施形態における利用者Uの装置(利用者装置と呼ぶ)の処理機能構成を示す。利用者装置は公開された情報h,z,gを格納する記憶部11と、乱数rを生成する乱数生成器12と、式(1) 二より鍵生成情報を計算するべき乗演算部13と、ゼロ知識証明部14と、データ結合送信部15と、入力部16と、鍵生成部20と、暗号化部30とから構成されている。
鍵生成部20は式(2) を計算するべき乗演算部21と、式(3) を演算する共通鍵計算部22と、式(4) を計算するハッシュ部23と、前回のハッシュ結果wi−1,jを保持しているレジスタ24と、式(5) を計算するべき乗演算部25とから構成され、i=1, 2, 3について順次演算を実行する。暗号化部30は、サーバMi+1のアドレスHEDDi+1と前回の暗号化結果Ei+1,jと、前回のハッシュ結果ui+1,jを保持するレジスタ31と、式(6) による暗号化を行う暗号演算部32と、式(7) のハッシュ演算を行うハッシュ部33とから構成されており、Ei+1,jの初期値E3,jとして入力部16から匿名送信されるべき平文msgが入力され、i=2, 1, 0の順に演算を繰り返すことによりE0,jとu0,jが求まる。これらとG0,jとがデータ結合送信部15で結合され、暗号データC0,jとしてサーバMへ送信される。
【0015】
図5は、中継サーバMの機能構成を示す。サーバMは値g、秘密情報a, bを格納する記憶部41と、上記秘密情報としての乱数a, bを生成する乱数生成器42と、べき乗部43と、検証部50と、復号部60と、データ結合送信部44と、ゼロ知識証明部45とから構成されている。
検証部50は受信したデータC0,jから式(8), (9)又は式(14), (15)により検証鍵Z’1,jを演算する検証鍵演算部51と、ハッシュ部52と、u0,jとu’0,jが一致するか比較判定する比較部53とから構成されている。
復号部60は、式(10)の計算を行うべき乗部61と、そのべき乗演算結果を使って式(11)により共通秘密鍵K1,jを生成する鍵生成部62と、式(12)により更新された鍵生成情報G1,jを計算するべき乗部63と、受信データC0,j中の暗号データE0,jを共通秘密鍵K1,jにより復号し、次にデータC1,jの送信先サーバMのアドレスHEDDと暗号データE1,jと検証用データu1,jを得る復号処理部64とから構成されている。
上記第1実施形態の利用者Uの処理を示す図2において、ステップS12はゼロ知識証明を行うので利用者UからサーバMへの送信データC0,jに不正があった場合には、ゼロ知識証明の検証により容易に不正を検出できる。従って、図3における第1の中継サーバMの処理ステップS2,S3,S4による検証鍵Z’1,jを使った検証は省略し、ゼロ知識証明の検証を行ってもよい。その場合は、図5における検証部50を省略できる。
【0016】
第2の実施形態
次に第2の実施形態について説明する。ここでは、正しい中継サーバあるいは最終受信者が、自身の入力に対して不正があるとして第三者機関にそれを申し出た場合の、第三者機関による不正者特定方法を述べる。なお記号などについては第1の実施形態に従うものとする。
第1の実施形態で、M(i=0, 1, 2)は、Z’i,j=Gi−1,j bi及びu’i−1,j≡H(Z’i,j‖HEDDi+1‖Ei−1,j‖I)を計算し(例えば図3のステップS2,S3)、ui−1,j=u’i−1,jが成り立つことを確認する処理があるが、ここでは、それが成り立たないjがあった場合に、Mはそのことを第三者機関TP(k=1, 2, …, m)に報告した場合に(ステップS9)、TPが不正者を特定する手順を説明する。なお、第三者機関は半数以上が正しければ、Mの秘密情報a、bを用いた計算の復元が可能となる方式を用いるものとし、第三者機関の例えば半数以上は正しいと仮定する。この方式はthreshold schemeとよばれ、例えば非特許文献5などに示されている。第三者機関がMによって分散された秘密情報を用いて以下を行う処理手順を図6を参照して説明する。
【数13】
Figure 2004229105
を計算し(ステップS1,S2)、ui−1,jとu’i−1,jが一致し、かつMi−1による、Gi−2,j(j=1, 2, …, n)を底とした、Gi−1,j(j=1, 2, …, n)の積Pi−1の離散対数を知っていることのゼロ知識証明が正しいかを判定し(ステップS3)、正しいことが検証されれば、即ち、Mi−1が不正を行っていなければMを不正サーバとして除外し、第三者機関はthreshold schemeにより、Mの処理を代理する(ステップS4)。u’i−1,j≠ui−1,jであった場合はMより前のサーバが不正を行ったと判定し、以下の処理を行う。
(B).i=1であれば(ステップS5の判定)、利用者Uが不正を行ったと判定し、利用者Uを排除し、C0,jを除去する(ステップS6)。
【0017】
i≠1であれば、以下の処理を行う。
(C).サーバMi−1にデータCi−1,jと対応したデータCi−2,j’の公開を要求する、あるいは単にj’の公開を要求する(ステップS7)。
(D).Ci−2,j’からCi−1,jを計算し(ステップS8)、Mi−1の公開情報と一致しなければ(ステップS9の判定)、Mi−1を不正サーバとして除外し、第三者機関はthreshold schemeにより、Mi−1の処理を代理する(ステップS10)。
(E).Z’i−1,j’とu’i−2,j’≡H(Z’i−1,j‖HEDD‖Ei−2,j’‖I)を計算し(ステップS11)、ui−2,j’=u’i−2,j’が成り立たなければ(ステップS12の判定)、Mi−1を不正サーバとして除外し、第三者機関はthreshold schemeにより、Mi−1の処理を代理する(ステップS13)。
(F).ステップS12でui−2,jとu’i−2,j’が一致した場合、入力データCi−1,jを不正な入力データと判定し、即ち、Mi−1より前のサーバまたは利用者に不正があると判定し、i←i−1、j←j’として(ステップS14)、ステップS1の処理に戻る。
以上の操作を不正者が発見されるまでiを1ずつ減算して繰り返すことにより不正者を特定することができる。
【0018】
図7は上記第2実施形態における第三者機関の機能構成を示す。図6の処理手順の説明から理解されるように、第三者機関の処理は不正サーバの検出を除けばサーバと同様の処理を行っており、従って、図5に示したサーバ装置の構成とほとんど同じであるが、図6のステップS10の比較を行う比較判定部73が設けられ、ステップS8で要求したデータCi−2,j’から復号生成したデータCi−1,j’と受信したデータCi−1,jが一致するか判定する。図6のステップS9の処理は、要求したデータCi−2,j’=(Ei−2,j’, ui−2,j’, Gi−2,j’)を復号部90に入力して復号処理を行うことにより結合部72に得られる。その他の構成の説明は省略する。
第3の実施形態
ここでは第3の実施形態として、匿名通信路の受信者は公開掲示板として機能するサーバの場合であり、利用者から送られたデータを公開する場合の構成と処理を説明する。前述の第1及び第2実施形態で説明した匿名通信では、最後の中継サーバが例えば図3のステップS6で復号処理を行い、例えば復号結果E3,j=msgが得られ、これを受信者に送る。この最後の中継サーバが第3の実施形態に使用された場合、公開掲示板機能を果たす最終サーバはデータC2,j=(E2,j, u2,j, G2,j)を自分で復号処理して平文msgを公開する。もしそのサーバが不正に異なる平文msg’を公開しても発見されない恐れがある。そこでこの第3実施形態においては、公開掲示板としてのサーバは復号機能を有さず、代わりに第三者機関が復号処理を行い、復号結果を掲示板に公開する。以下の説明における記号などについては第1の実施形態に従うものとする。
【0019】
まずTP(k=1, 2, …, m)は以下を行う。
(A).乱数u、vを生成して
【数14】
Figure 2004229105
を計算し、(x, y)を公開する。
(B).検証可能秘密分散法を用いて秘密情報u、vをTP(t≠k)に分散して送る。
以降用いる記号として、Xをx(k=1, 2, …, m)の積、Yをy(k=1, 2, …, m)の積とする。また、第三者機関は誰もが閲覧可能な公開掲示板を提供するサーバを利用し、そこにX,Yが公開されているものとする。なおここでは簡単のため便宜上、
【数15】
Figure 2004229105
即ち、
=u+u+…+u (31)
=v+v+…+v (32)
とし、その公開掲示板を提供するサーバをMとする。
一方、Mが中継サーバとして登録する場合は以下を行う。
(A).乱数a、bを生成して
【数16】
Figure 2004229105
を計算し、(h, z)を公開する。
(B).検証可能秘密分散法を用いて秘密情報a、bをTPに分散して送る。
TPがMを正しいと判断した場合、Mは中継サーバとしてTPに証明書が発行されるなどして承認される。
【0020】
次に匿名通信路利用者Uは以下を行う。Uの最終的な送信先を公開掲示板を提供するサーバMとし、Uによる平文msgは第三者機関によって復号され、その公開掲示板に公開されるものとする。
利用者Uの処理及び中継サーバM,Mの処理は第1実施形態の場合と同様なので説明を省略する。
掲示板サーバMは中継サーバMからデータC2,j=(E2,j, u2,j, G2,j)を受信するとそれを掲示板に公開する。第三者機関TP(k=1, 2, …, m)は、まず掲示板のデータC2,jが通信路内で改ざんされていないかどうかを検証するため、threshold schemeを用いて以下を行う。
(A).j=1, 2, …, nについて、
【数17】
Figure 2004229105
を計算し、u2,j=u’2,jが成り立つことを確認する。もし成り立たない場合は、第2の実施形態で示した不正者特定処理を行う。その処理方法は既に示してあるため省略する。
ここでは上記処理(A)が正しいとして、次の処理を説明する。第三者機関TP(k=1, 2, …, m)はthreshold schemeを用いて以下を行う。
(B).j=1, 2, …, nについて、復号処理を
【数18】
Figure 2004229105
の計算により行う。これにより得られた復号平文msgは秘密情報を除く他の中間データとともにすべて掲示板に公開する。従って、掲示板サーバMはmsgを匿名で受け取ることになり、Uの匿名性が確保される。また、中継サーバMの不正あるいは匿名通信路の利用者Uの不正入力も、第三者機関によって検出される。
第4の実施形態
ここでは、第1の実施形態において暗号化及び復号化処理が共通秘密鍵方式により行われる例を示したが、公開鍵暗号方式によって行われる場合について以下に説明する。
【0021】
中継するサーバM(i=1, 2, …)がオープンなネットワークに多数つながっているものとする。このとき、匿名通信路利用者と中継するサーバMの不正を防ぐことを目的として、第三者機関TP(k=1, 2, …, m)が存在する。また、中継するサーバM(i=1, 2, …)が利用する公開鍵暗号アルゴリズムは統一され、公開されているものとする。
まず、Mが中継サーバとして登録する場合として以下を行う。
(A).公開鍵暗号アルゴリズムの公開鍵と秘密鍵のペア(PK, SK)を生成する。
(B).乱数bを生成し、
【数19】
Figure 2004229105
を計算する。
(C).PK, zを公開する。
(D).検証可能秘密分散法を用いて秘密情報SK, bをTPに分散して送る。
【0022】
次に匿名通信路利用者Uの処理手順を図8を参照して説明する。Uの最終的な送信先である受信者を便宜上M、そしてMの公開情報をPK, z=gb3とする。PKはUの秘密鍵SKに対応する公開鍵、bは乱数である。
(A).利用する中継サーバを決定する(ここでは、M, Mの順に利用するものとする)。
(B).乱数rを生成し(ステップS1)、
【数20】
Figure 2004229105
を計算する(ステップS3〜S6)。ここでw0,j=1、L:一方向性ハッシュ関数、とする。
(C).i=2, 1, 0の順に
【数21】
Figure 2004229105
を計算し(ステップS7〜S10)、C0,j=(E0,j, u0,j、G0,j)をMに送る(ステップS11)。ここでPEPKi+1は鍵PKi+1を用いた公開鍵暗号の暗号化関数、HEDDi+2はMi+2を示すアドレス、HEDDは空の値、‖はデータの連結、u3,jは空の値、E3,jは平文msg、Iはイベントごとに固有な値とする。なお、式(45)はハッシュ関数でなく、鍵をZi+1,jとしたMAC(Message Authentication Code)関数と置き換えても良い。また、I, u0,jは省略してもよい。
(D).gを底としたG0,jの離散対数を知っていることをゼロ知識証明する(ステップS12)。
上記のゼロ知識証明を検証するのは、M、 第三者機関、あるいはその他の機関のいずれが行ってもよい。その検証を初めに行い、不正と判断された場合は即座にUを除外する。
【0023】
次にサーバMの処理手順を図9を参照して説明する。ステップS1でC0,j=(E0,j, u0,j, G0,j)を受け取ったMは以下を行う。なおここではMは受信したn個のデータC0,j(j=1, 2, …, n)を復号処理し、全てMへ送るものとする。
(A).j=1, 2, …, nについて、
【数22】
Figure 2004229105
を計算し(ステップS2,S3)、u0,j=u’0,jが成り立つことを確認する(ステップS4)。
(B).j=1, 2, …, nについて、
【数23】
Figure 2004229105
を計算する(ステップS5,S6)。ここでPDSKは鍵SKを用いた公開鍵暗号の復号関数とする。
(C).jの順序を適当に入れ替えてC1,j=(E1,j, u1,j, G1,j)をHEDDに従ってMに送る(ステップS7)。
(D).G0,j(j=1, 2, …, n)を底とした、G1,j(j=1, 2, …, n)の積Pの離散対数を知っている、即ちj=1, 2, …, nについてL(Z1,j)を知っていることをゼロ知識証明する(ステップS8)。
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれn個のMの入出力の対応関係をかく乱することができる。従ってこの時点で、半数以上の第三者機関が結託しなければ、M以外に対してはUの匿名性が満たされたことになる。ゼロ知識証明が行われないと、Mは適当な出力をMに渡し、その不正は検出されないことが容易に可能となる。但しそのことは明らかなことから説明は省略する。即ちこのゼロ知識証明部分が、中継サーバ管理者の不正を防ぐ技術となり、本発明の主要な技術でもある。また、このゼロ知識証明を検証するのは、M、第三者機関、あるいはその他の機関のいずれが行っても良い。
【0024】
次にC1,j=(E1,j, u1,j, G1,j)を受け取ったMは以下の処理を行う。この処理は符号の添え字が異なっても基本的に図9に示したMの処理と同様である。なおここではMは受信したn個のデータC1,j(j=1, 2, …, n)を復号処理して全てMへ送るものとする。
(A).j=1, 2, …, nについて、
【数24】
Figure 2004229105
を計算し(ステップS2,S3)、u1,j=u’1,jが成り立つことを確認する(ステップS4)。
(B).j=1, 2, …, nについて、
【数25】
Figure 2004229105
を計算する(ステップS5,S6)。
(C).jの順序を適当に入れ替えてC2,j=(E2,j, u2,j, G2,j)をHEDDに従ってMに送る(ステップS7)。
(D).G1,j(j=1, 2, …, n)を底とした、G2,j(j=1, 2, …, n)の積Pの離散対数を知っている、即ちj=1, 2, …, nについてL(Z2,j)を知っていることをゼロ知識証明する(ステップS8)。
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれMのn個の入出力の対応関係をかく乱することができる。従って、半数以上の第三者機関、またはMとMが結託しない限りは、全てのものに対してUの匿名性が満たされたことになる。ゼロ知識の証明及び検証についての説明は前述同様のため省略する。
【0025】
最後にC2,j=(E2,j, u2,j, G2,j)を受け取ったMは以下を行う。
(A).j=1, 2, …, nについて、
【数26】
Figure 2004229105
を計算し、u2,j=u’2,jが成り立つことを確認する。
(B).j=1, 2, …, nについて、PDSK(E2,j)=msgを計算する。
これにより、Mはmsgを匿名で受け取ることになり、Uの匿名性が確保される。また、第2の実施形態で述べるが、中継サーバMの不正あるいは匿名通信路の利用者Uの不正入力も、正しい検証者(他の中継サーバ管理者、最終受信者、第三者機関)によって検出される。しかし、その方法は第2実施形態から明らかなので、省略する。
【0026】
第5の実施形態
第1の実施形態においては暗号化及び復号化処理が共通秘密鍵方式により行われる例を、第4実施形態においては暗号化及び復号化処理が公開鍵暗号方式によって行われる例を示したが、共通秘密鍵の暗号化及び復号化処理は公開鍵暗号方式で行い、その他の情報は共通秘密鍵方式によって行われる場合について以下に説明する。
中継するサーバM(i=1, 2, …)がオープンなネットワークに多数つながっているものとする。このとき、匿名通信路利用者と中継するサーバMの不正を防ぐことを目的として、第三者機関TP(k=1, 2, …, m)が存在する。また、中継するサーバM(i=1, 2, …)が利用する公開鍵暗号アルゴリズムは統一され、公開されているものとする。
【0027】
まず、Mが中継サーバとして登録する場合として以下を行う。
(A).公開鍵暗号アルゴリズムの公開鍵と秘密鍵のペア(PK, SK)を生成する。
(B).乱数bを生成し、
【数27】
Figure 2004229105
を計算する。
(C).検証可能秘密分散法を用いて秘密情報SK, bをTPに分散して送る。
【0028】
次に匿名通信路利用者Uの処理手順を図10を参照して説明する。Uの最終的な送信先である受信者を便宜上M、そしてMの公開情報をPK, z=gb3とする。PKはUの秘密鍵SKに対応する公開鍵、bは乱数である。
(A).利用する中継サーバを決定する(ここでは、M, Mの順に利用するものとする)。
(B).乱数rを生成し(ステップS1)、
【数28】
Figure 2004229105
を計算する(ステップS3〜S6)。ここでw0,j=1、L:一方向性ハッシュ関数、とする。
(C).公開された共通鍵暗号アルゴリズムEEで用いるM, M, Mとの共通秘密鍵K1,j, K2,j, K3,j をランダムに決定する。
(D).i=2, 1, 0の順に
【数29】
Figure 2004229105
を計算し(ステップS7〜S10)、C0,j=(KK0,j, E0,j, u0,j、G0,j)をMに送る(ステップS11)。ここでPEPKi+1は鍵PKi+1を用いた公開鍵暗号の暗号化関数、KK3,jは空の値、HEDDi+2はMi+2を示すアドレス、HEDDは空の値、‖はデータの連結、u3,jは空の値、E3,jは平文msg、Iはイベントごとに固有な値とする。なお、式(62)はハッシュ関数でなく、鍵をZi+1,jとしたMAC(Message Authentication Code)関数と置き換えても良い。また、I, u0,jは省略してもよい。
(E).gを底としたG0,jの離散対数を知っていることをゼロ知識証明する(ステップS12)。
上記のゼロ知識証明を検証するのは、M、 第三者機関、あるいはその他の機関のいずれが行ってもよい。その検証を初めに行い、不正と判断された場合は即座にUを除外する。
【0029】
次にサーバMの処理手順を図11を参照して説明する。ステップS1でC0,j=(KK0,j, E0,j, u0,j, G0,j)を受け取ったMは以下を行う。なおここではMは受信したn個のデータC0,j(j=1, 2, …, n)を復号処理し、全てMへ送るものとする。(A).j=1, 2, …, nについて、
【数30】
Figure 2004229105
を計算し(ステップS2,S3)、u0,j=u’0,jが成り立つことを確認する(ステップS4)。
(B).j=1, 2, …, nについて、
【数31】
Figure 2004229105
を計算する(ステップS5,S6)。ここでPDSKは鍵SKを用いた公開鍵暗号の復号関数とする。
(C).jの順序を適当に入れ替えてC1,j=(KK1,j, E1,j, u1,j, G1,j)をHEDDに従ってMに送る(ステップS7)。
(D).G0,j(j=1, 2, …, n)を底とした、G1,j(j=1, 2, …, n)の積Pの離散対数を知っている、即ちj=1, 2, …, nについてL(Z1,j)を知っていることをゼロ知識証明する(ステップS8)。
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれn個のMの入出力の対応関係をかく乱することができる。従ってこの時点で、半数以上の第三者機関が結託しなければ、M以外に対してはUの匿名性が満たされたことになる。ゼロ知識証明が行われないと、Mは適当な出力をMに渡し、その不正は検出されないことが容易に可能となる。但しそのことは明らかなことから説明は省略する。即ちこのゼロ知識証明部分が、中継サーバ管理者の不正を防ぐ技術となり、本発明の主要な技術でもある。また、このゼロ知識証明を検証するのは、M、第三者機関、あるいはその他の機関のいずれが行っても良い。
【0030】
次にC1,j=(KK1,j, E1,j, u1,j, G1,j)を受け取ったMは以下の処理を行う。この処理は符号の添え字が異なっても基本的に図11に示したMの処理と同様なので、図11を参照されたい。なおここではMは受信したn個のデータC1,j(j=1, 2, …, n)を復号処理して全てMへ送るものとする。
(A).j=1, 2, …, nについて、
【数32】
Figure 2004229105
を計算し(ステップS2,S3)、u1,j=u’1,jが成り立つことを確認する(ステップS4)。
(B).j=1, 2, …, nについて、
【数33】
Figure 2004229105
を計算する(ステップS5,S6)。
(C).jの順序を適当に入れ替えてC2,j=(KK2,j, E2,j, u2,j, G2,j)をHEDDに従ってMに送る(ステップS7)。
(D).G1,j(j=1, 2, …, n)を底とした、G2,j(j=1, 2, …, n)の積Pの離散対数を知っている、即ちj=1, 2, …, nについてL(Z2,j)を知っていることをゼロ知識証明する(ステップS8)。
jの順序を適当に入れ替え、かつ暗号処理を施しデータを変換したことで、それぞれMのn個の入出力の対応関係をかく乱することができる。従って、半数以上の第三者機関、またはMとMが結託しない限りは、全てのものに対してUの匿名性が満たされたことになる。ゼロ知識の証明及び検証についての説明は前述同様のため省略する。
【0031】
最後にC2,j=(KK2,j, E2,j, u2,j, G2,j)を受け取ったMは以下を行う。
(A).j=1, 2, …, nについて、
【数34】
Figure 2004229105
を計算し、u2,j=u’2,jが成り立つことを確認する。
(B).j=1, 2, …, nについて、
【数35】
Figure 2004229105
を計算する。
これにより、Mはmsgを匿名で受け取ることになり、Uの匿名性が確保される。また、第2の実施形態で述べるが、中継サーバMの不正あるいは匿名通信路の利用者Uの不正入力も、正しい検証者(他の中継サーバ管理者、最終受信者、第三者機関)によって検出される。しかし、その方法は第2実施形態から明らかなので、省略する。
【0032】
第6の実施形態
最後に第6の実施形態として、本発明により実現可能となる匿名通信モデルの例について図1を参照して述べる。
まずインターネットなどオープンなネットワークNW上に中継サーバとしてM(i=1, 2, …)が不特定多数存在し、送信者としての各利用者Uは任意の1つ以上の中継サーバを選択指定することにより匿名通信路10を構成する。図1では送信者Uと受信者R間に中継サーバM, M, Mを介した匿名通信経路10を形成した例を示している。例えば中継サーバMは匿名通信路を商用利用するような業者から料金を徴収するようなアプリケーションサービスプロバイダなどである。そして匿名通信路を利用する側として、不特定多数の送信者U(j=1, 2, …)及び受信者R(f=1, 2, …)が存在する。また匿名通信路内の不正、即ちMの不正を防ぐ目的で、ある一定数の第三者機関TP(k=1, 2, …, m)が存在する。
【0033】
第三者機関TPは、Mあるいは受信者Rが不正入力を検出した場合に、それに対応し、第2の実施形態で示したように不正者を特定することができる。また受信者Rが受信結果を提示するような場合、その結果の正当性を第三者機関TPが保証することができる。これについては第3の実施形態で示している。
受信者Rとして、例えば電子投票の投票所が挙げられる。この場合、送信者Uは投票者となり、自身の匿名性を守るために信頼できる経路及びMを自身で選択することができる。またデータは暗号化されていることから、投票の秘密も保持される。データCi−1,jを受け取ったMは、ある程度の数のデータを受け取ったら、第1の実施形態で示したような手順で暗号処理及び出力順序の置換を施し、HEDDで指定された送信者Uの意図したアドレスヘデータを送信する。これをいくつかのMが繰り返すことにより匿名性の信頼度が増していく。ただし、送信時間を優先するならば、送信者Uはデータに時間を指定しておくことで、即座にMはデータを出力することも可能である。ただしこの場合置換による匿名性はなくなる。
【0034】
一方、データCi−1,jを受け取ったMは、入力データの正当性を検証できるため、Mの不正を防ぐことができる。また投票所Rにおいても、まず入力データの正当性が第三者機関TPによって検証される。最終的な復号はthreshold schemeを用いて第三者機関TPにより行われるため、正しい処理であることが保証される。また、受信者Rの例として、相談所、ギャンブル、ショッピングなどが挙げられる。特にギャンブルやショッピングなど金銭が直接伴うものは不正に対して頑強なモデルが強く求められ、第三者機関TPは非常に重要となる。また、複数のイベントを同一匿名通信路内で同時に行い匿名通信路の利用者が増えれば、匿名性は更に強まることになる。
【0035】
【発明の効果】
第1の効果は、本発明により実現される匿名通信路の利用者は、サイズの大きなデータを匿名かつ安全に、効果的に送信できることにある。その理由は、利用者自身が信頼できる中継サーバ及び通信経路を自由に決定することができ、データの暗号化は高速処理が実現可能な共通鍵暗号を用い、かつ不正処理を行った場合は、不正者が特定されることから不正を困難としているためである。
第2の効果は、安全かつ大規模な匿名通信が可能であり、構成された匿名通信路内で複数イベントが同時並行できることにある。その理由は、中継サーバは第三者機関に登録さえすれば誰でも運営管理でき、匿名通信路の利用者は中継サーバの決定及び最終出力先を自由に決定でき、かつその中継サーバ管理者の不正は第三者機関により特定されるためである。
【図面の簡単な説明】
【図1】発明が適用されるシステムの構成を説明するための図。
【図2】この発明の第1実施形態における利用者の処理手順を説明するためのフロー図。
【図3】上記第1実施形態における最初の中継サーバの処理手順を説明するためのフロー図。
【図4】上記第1実施形態における利用者装置の構成を説明するためのブロック図。
【図5】上記第1実施形態における中継サーバの構成を説明するためのブロック図。
【図6】この発明の第2実施形態における第三者機関の処理手順を説明するためのフロー図。
【図7】上記第2実施形態における第三者機関の構成を説明するためのブロック図。
【図8】この発明の第4実施形態における利用者の処理手順を説明するためのフロー図。
【図9】上記第4実施形態における中継サーバの処理手順を説明するためのフロー図。
【図10】この発明の第5実施形態における利用者の処理手順を説明するためのフロー図。
【図11】上記第5実施形態における中継サーバの処理手順を説明するためのフロー図。

Claims (18)

  1. ネットワーク上において送信者から少なくとも1の中継サーバを介して受信者に匿名で情報データを送る匿名通信方法において、
    (a) 各中継サーバは予め秘密情報を第三者機関に登録し、対応する公開情報を公開するステップと、
    (b) 送信者は匿名通信経路を形成する中継サーバを選択し、選択した中継サーバの公開情報を使って送信すべき情報データを指定宛先とともに暗号化し、得られた暗号データと鍵生成情報と検証用データを含む送信データを選択した最初の中継サーバに送信するステップと、
    (c) 選択された中継サーバは受信データをその受信データ中の鍵生成情報を使って生成した検証鍵により受信した検証用データを検証し、正しければ上記受信データ中の暗号データを復号処理して次の暗号データと次の検証用データと指定宛先を得て、上記鍵生成情報を自分の秘密情報で更新して復号した暗号データ及び検証用データとともに送信データとして復号した指定宛先に送信し、検証結果が正しくなければ上記第三者機関に報告するステップと、
    (d) 上記第三者機関は不正の報告を受けると、中継サーバの上記秘密情報を使って上記中継サーバの送信データを検証するステップ、
    とを含むことを特徴とする匿名通信方法。
  2. 請求項1に記載の匿名通信方法において、上記第三者機関は複数設けられ、上記ステップ(a) において各上記中継サーバは上記秘密情報を秘密分散方によりそれぞれの第三者機関に分散しており、上記ステップ(d) において上記第三者機関の複数が協力して分散した上記秘密情報を復元して検証に用いることを特徴とする匿名通信方法。
  3. 請求項1に記載の匿名通信方法において、上記利用者は複数存在し、上記ステップ(b)において各上記利用者はそれぞれが任意に選択した中継サーバによりそれぞれの匿名通信経路を指定し、上記ステップ(c) において各上記中継サーバはその中継サーバを指定した全ての利用者から受信した受信データの順序に対し順序を入れ替えて上記送信データをそれぞれの指定宛先に送信することを特徴とする匿名通信方法。
  4. 請求項1に記載の匿名通信方法において、上記ステップ(b) において上記利用者は上記鍵生成情報についての離散対数を知っていることをゼロ知識証明するステップを含むことを特徴とする匿名通信方法。
  5. 請求項1に記載の匿名通信方法において、上記ステップ(c) は上記中継サーバが上記更新した鍵生成情報について離散対数を知っていることをゼロ知識証明するステップを含むことを特徴とする匿名通信方法。
  6. 請求項1に記載の匿名通信方法において、上記ステップ(b) は上記選択した中継サーバの上記公開情報から共通秘密鍵を生成し、その共通秘密鍵により暗号化を行い、上記ステップ(c) において上記中継サーバは上記利用者から受信した鍵生成情報と自己の秘密情報から生成した共通秘密鍵により復号処理を行うことを特徴とする匿名通信方法。
  7. 請求項1に記載の匿名通信方法において、上記ステップ(b) の暗号化処理は、それぞれの上記中継サーバの公開情報からそれぞれの中継サーバに対応する共通秘密鍵をそれぞれ生成し、選択した中継サーバの最も受信者に近い順に上記送信データと検証用データを指定宛先とともに多重暗号化することを特徴とする匿名通信方法。
  8. 請求項1に記載の匿名通信方法において、上記ステップ(b) の暗号化処理は、それぞれの上記中継サーバの公開情報からそれぞれの中継サーバに対応する共通秘密鍵を生成し、対応する公開鍵で上記共通秘密鍵を暗号化し、暗号化共通秘密鍵を上記検証用データに含め、選択した中継サーバの最も受信者に近い順に上記送信データと検証用データを指定宛先とともに上記共通秘密鍵で多重暗号化し、上記ステップ(c) の復号処理は、上記受信データ中の暗号化共通秘密鍵を事故の秘密鍵で復号して共通秘密鍵を得て、その復号した共通秘密鍵を使って上記暗号データの復号を行うことを特徴とする匿名通信方法。
  9. 請求項1に記載の匿名通信方法において、上記ステップ(d) は上記ゼロ知識証明を検証するステップを含むことを特徴とする匿名通信方法。
  10. 請求項1に記載の匿名通信方法において、上記受信者は公開掲示板として機能するサーバであり、(e) 上記中継サーバから受信したデータを上記公開掲示板に公開するステップと、(f) 上記第三者機関が上記公開掲示板上の受信データを検証し、正しければ復号処理を行ってその復号結果を上記公開掲示板に公開するステップ、とを更に含むことを特徴とする匿名通信方法。
  11. 請求項1に記載の匿名通信方法において、上記ステップ(b) は上記利用者が上記選択した中継サーバの公開鍵暗号方式の公開鍵により上記暗号化を行い、上記ステップ(c) は上記中継サーバが公開鍵暗号方式の秘密鍵により復号処理を行うことを特徴とする匿名通信方法。
  12. 請求項1乃至11のいずれかに記載の匿名通信方法において、上記ステップ(d) は、上記第三者機関が検証により不正な中継サーバを検出した場合にその中継サーバに成り代わって処理を行うステップを含む。
  13. 送信者から受信者へ匿名通信経路を形成するための複数の中継サーバがネットワーク上に設けられ、少なくとも1つの第三者機関がネットワークに接続された匿名通信システムにおける利用者装置であり、
    乱数を生成する乱数生成器と、
    上記乱数により、べき乗演算を行って鍵生成情報を生成するべき乗演算部と、
    匿名通信経路を形成する選択した中継サーバの公開情報を使ってその中継サーバに対応する共通秘密鍵を生成する鍵生成部と、
    匿名通信により送信すべき情報データが入力される入力部と、
    上記中継サーバに対する指定宛先と上記情報データを、上記共通秘密鍵を使って暗号化し、暗号データを生成する暗号化部と、
    上記暗号データと上記鍵生成情報を結合して送信データを生成し、中継サーバに送信するデータ結合送信部、
    とを含むことを特徴とする利用者装置。
  14. 送信者から受信者へ匿名通信経路を形成するための複数の中継サーバがネットワーク上に設けられ、少なくとも1つの第三者機関がネットワークに接続された匿名通信システムにおける利用者装置であり、
    乱数を生成する乱数生成器と、
    上記乱数により、べき乗演算を行って鍵生成情報を生成するべき乗演算部と、
    匿名通信により送信すべき情報データが入力される入力部と、
    上記中継サーバに対する指定宛先と上記情報データを、上記中継サーバの公開鍵を使って暗号化し、暗号データを生成する暗号化部と、
    上記暗号データと上記鍵生成情報を結合して送信データを生成し、中継サーバに送信するデータ結合送信部、
    とを含むことを特徴とする利用者装置。
  15. 請求項13または14に記載の利用者装置において、上記鍵生成情報についての離散対数を知っていることのゼロ知識証明を行うゼロ知識証明部が更に設けられていることを特徴とする利用者装置。
  16. 送信者から受信者へ匿名通信経路を形成するための複数の中継サーバがネットワーク上に設けられ、少なくとも1つの第三者機関がネットワークに接続された匿名通信システムにおける中継サーバであり、
    乱数を秘密情報として生成する乱数生成器と、
    上記秘密情報に対応し、上記第三者機関に登録するための公開情報を生成する公開情報生成部と、
    上記秘密情報と受信データ中の鍵生成情報から生成した検証鍵を使って受信データを検証する検証部と、
    上記秘密情報を使って上記受信データ中の鍵生成情報を更新するとともに、上記受信データ中の暗号データを復号して暗号データと検証用データと指定宛先を得る復号部と、
    上記復号された暗号データと検証用データと上記更新された鍵生成情報を含む送信データを生成し、受信データの順序と入れ替えた順序で出力するデータ結合送信部、
    とを含むことを特徴とする中継サーバ装置。
  17. 請求項16に記載の中継サーバにおいて、上記復号部は、上記受信データ中の鍵生成情報と上記秘密情報を使って上記暗号データを復号するための共通秘密鍵を生成する鍵生成部が設けられていることを特徴とする中継サーバ装置。
  18. 請求項16または17に記載の中継サーバにおいて、上記更新された鍵生成情報についての離散対数を知っていることのゼロ知識証明を行うゼロ知識証明部が設けられていることを特徴とする中継サーバ装置。
JP2003016395A 2003-01-24 2003-01-24 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置 Expired - Fee Related JP4146252B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003016395A JP4146252B2 (ja) 2003-01-24 2003-01-24 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003016395A JP4146252B2 (ja) 2003-01-24 2003-01-24 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置

Publications (2)

Publication Number Publication Date
JP2004229105A true JP2004229105A (ja) 2004-08-12
JP4146252B2 JP4146252B2 (ja) 2008-09-10

Family

ID=32903865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003016395A Expired - Fee Related JP4146252B2 (ja) 2003-01-24 2003-01-24 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置

Country Status (1)

Country Link
JP (1) JP4146252B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007295444A (ja) * 2006-04-27 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> 匿名暗号文通信システム、鍵生成装置、通信装置、それらの方法、プログラム及び記録媒体
JP2012249328A (ja) * 2012-08-20 2012-12-13 Canon Inc 画像処理装置およびその制御方法、プログラム
US8861717B2 (en) 2009-12-22 2014-10-14 Nec Corporation Verification device, secret information restoration device, verification method, program, and secret sharing system
US9386017B2 (en) 2013-05-23 2016-07-05 Fujitsu Limited Authentication device, system and method
JP2019092026A (ja) * 2017-11-14 2019-06-13 株式会社デンソー ネットワークシステム
JP2019125957A (ja) * 2018-01-18 2019-07-25 日本電信電話株式会社 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007295444A (ja) * 2006-04-27 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> 匿名暗号文通信システム、鍵生成装置、通信装置、それらの方法、プログラム及び記録媒体
US8861717B2 (en) 2009-12-22 2014-10-14 Nec Corporation Verification device, secret information restoration device, verification method, program, and secret sharing system
JP2012249328A (ja) * 2012-08-20 2012-12-13 Canon Inc 画像処理装置およびその制御方法、プログラム
US9386017B2 (en) 2013-05-23 2016-07-05 Fujitsu Limited Authentication device, system and method
JP2019092026A (ja) * 2017-11-14 2019-06-13 株式会社デンソー ネットワークシステム
JP2019125957A (ja) * 2018-01-18 2019-07-25 日本電信電話株式会社 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム
WO2019142824A1 (ja) * 2018-01-18 2019-07-25 日本電信電話株式会社 通信装置、サーバ装置、秘匿通信システム、その方法、及びプログラム

Also Published As

Publication number Publication date
JP4146252B2 (ja) 2008-09-10

Similar Documents

Publication Publication Date Title
EP2847928B1 (en) Method and system for a certificate-less authentication encryption (clae)
US8700894B2 (en) Method and system for securing routing information of a communication using identity-based encryption scheme
US5796833A (en) Public key sterilization
CN101821987B (zh) 有效认证电子邮件协议
EP2792098B1 (en) Group encryption methods and devices
JPWO2008146667A1 (ja) 匿名認証システムおよび匿名認証方法
KR20120035069A (ko) 제어가능 연결성을 제공하는 그룹서명 시스템 및 방법
US6243466B1 (en) Auto-escrowable and auto-certifiable cryptosystems with fast key generation
JP2014515125A (ja) データの暗号化のための方法、コンピュータ・プログラム、および装置
Emura et al. Building secure and anonymous communication channel: Formal model and its prototype implementation
JP4146252B2 (ja) 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
WO2003063410A1 (en) Cryptosystem
Iqbal et al. An efficient elliptic curve based signcryption scheme for firewalls
Elkamchouchi et al. An efficient proxy signcryption scheme based on the discrete logarithm problem
JP5004086B2 (ja) 短い系列を用いた認証システム
Zhang et al. GeoEnc: Geometric area based keys and policies in functional encryption systems
Xin et al. Identity-based quantum signature scheme with strong security
KR101042834B1 (ko) 모바일 환경을 위한 자체인증 사인크립션 방법
Modares et al. Make a Secure Connection Using Elliptic Curve Digital Signature
CN111556079B (zh) 基于身份加密的可控匿名通信方法
Dugardin et al. A New Fair Identity Based Encryption Scheme
Witzke et al. Key management for large scale end-to-end encryption
JP3862397B2 (ja) 情報通信システム
CN115277171B (zh) 一种云环境下基于可净化属性加密的数据流通控制方法
JP4518397B2 (ja) 署名生成者同一性検証方法及びシステム、並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050121

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20061018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070529

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070904

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071101

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080125

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080226

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080610

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080619

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110627

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120627

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130627

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140627

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees