JP2004289247A - Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium - Google Patents
Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium Download PDFInfo
- Publication number
- JP2004289247A JP2004289247A JP2003075715A JP2003075715A JP2004289247A JP 2004289247 A JP2004289247 A JP 2004289247A JP 2003075715 A JP2003075715 A JP 2003075715A JP 2003075715 A JP2003075715 A JP 2003075715A JP 2004289247 A JP2004289247 A JP 2004289247A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- user
- public key
- key
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ユーザの匿名性を確保したままユーザが保有する情報を認証する匿名認証を利用したサービス利用方法、ユーザ装置、サービス利用処理プログラム、サービス提供者装置、サービス提供処理プログラム、証明書管理装置、証明書管理プログラム及び記録媒体に関する。
【0002】
【従来の技術】
被認証主体であるホスト(計算機端末)やユーザを認証するために用いられる電子的な証明書の枠組みとして、「公開鍵証明書」、「属性証明書」、「権利証明書」などが提案、運用されている(非特許文献1,非特許文献3を参照)。これらの証明書を利用した認証は、現在広く普及しているIDやパスワードを用いた認証に比較して、ユーザのなりすましやネットワーク上の盗聴などの不正な攻撃に対して強い。従って、医療分野や電子自治体などの外部からの不正な攻撃の排除が強く求められる分野への応用に適しているといえる。
【0003】
しかしながら、上記のような認証方法は、ユーザ、すなわち電子証明書の所有者のプライバシーを考慮したものではなく、証明書からその所有者であるユーザを特定できるものであった。直接ユーザの個人情報が知られないにしても、電子証明書から個人情報を間接的に追跡し得た。
【0004】
これに対して、近年、ユーザのプライバシーの保護を考慮し、電子証明書からはユーザが誰かを特定できず、ユーザの有する権利のみが確認できるような認証方法が提案されている(非特許文献4を参照)。この方法では、ユーザの個人情報、権利、属性などを保証するその方法独自の電子証明書を使用し、この証明書を発行する主体(以下、発行者と呼ぶ)と、証明書の正当性を確認してサービスを提供する主体(以下、検証者と呼ぶ)を明確に分離させ、両者が結託しないという前提の下にユーザのプライバシーを確保するものである。発行者は、予めユーザの個人情報、権利、属性などの情報を取得し、審査の上でユーザへ当該方法独自の電子証明書を発行する。一方、電子証明書の検証者は、ユーザから提示された匿名の電子証明書を検証することで、ユーザが誰かを知らなくても、すなわちユーザの個人情報、権利、属性などの情報を知らなくても、電子証明書の正当性を確認することでユーザにサービスを提供する。
【0005】
これに対して、ユーザのプライバシーをより強く保護するものとして、暗号理論を応用した特許文献1,2,3、非特許文献5に記載された方法がある。この方法では、証明書の検証者だけでなく、発行者に対しても、証明書とその所有者であるユーザの関連づけを暗号理論上困難にしている。また、この方法では、ユーザの個人情報、権利、属性などの情報を記憶している証明書の発行者が同時に証明書の検証者となった場合でも、証明書を検証する段階では、証明書を所有するユーザが誰なのか知り得ないという、一見相反する事情を両立させている。以下ではこの方法を「匿名認証方式」と呼ぶ。
【0006】
匿名認証方式では、証明書を発行する発行者装置と、証明書を検証する検証者装置はそれぞれを異なる主体が保有してもよく、また1つの同じ主体が2つの装置を保有してもよい。
【0007】
証明書の発行者は、ユーザの個人情報、権利、属性などを知っており、証明内容(ユーザの個人情報、権利、属性など)に対してブラインド署名によって証明内容を保証した証明書をユーザに発行する。ブラインド署名の詳細は非特許文献2に記載されている。
【0008】
なお、以下では、匿名認証において作成される、特定の情報とユーザの公開鍵の結びつきに対する電子証明書は、便宜上「第1の証明書」と称する。
【0009】
匿名認証方式による匿名性の確保の具体的な仕組みを説明する。
【0010】
なお、前提として、第1の証明書発行前に、予め、郵送等のオフライン、あるいはユーザ装置と発行者装置、検証者装置との間のオンライン処理により、ユーザの個人情報などのメッセージMがユーザから発行者装置に提供されている。
【0011】
まず、ユーザ装置は、乱数rj,wjおよび公開鍵Puと秘密鍵Suのペアを生成し、以下の式で示される関数値Zjを演算し、発行者装置にこの関数値Zjを送信する。
【0012】
Zj=Psp(rj)gB(gA(Pu||wj)||M) for 1≦j≦N
ここで、“||”はビット結合を、gA(・),gB(・)は公開されている衝突困難な一方向ハッシュ関数を表す。これら衝突困難な一方向ハッシュ関数gA(・)とgB(・)は、ともに同じ関数(同じアルゴリズム)であってもよい。また、Pspは発行者が広く公開している公開鍵を、Mは特定のメッセージをそれぞれ表す。
【0013】
なお、ここでの公開鍵Puは第1の証明書の発行段階では誰にも公開しない。
【0014】
発行者装置は、受信したZjのうち、任意のR個を決定し、これに対応した{Zk}(1≦k≦R)に含まれ、Zkを算出するのに必要な乱数rk、関数値gA(Pu||wk)からなるZパラメータの開示をユーザ装置に要求する。
【0015】
ユーザ装置は、発行者装置から要求のあったZk(1≦k≦R)についてのZパラメータを送信する。
【0016】
発行者装置は、Zパラメータに基づき以下の式Zkを計算し、前記受信したZjと一致するか否かを検証する。
【0017】
Zk=Psp(rk)gB(gA(Pu||wk)||M) for 1≦k≦R
一致していない場合には発行できないと判定し、第1の証明書発行手順を終了する。一致している場合には、開示されていないZi(1≦i≦N−R)について以下のZiへの仮ブラインド署名を実行する。
【0018】
pre−SIGSP=Ssp(ΠiZi)
ここで、Sspは発行者装置の秘密鍵を表す。また、“Πi”は、すべてのiについて乗算(ここではZ1×Z2×…×ZN−R)することを表す。
【0019】
得られた仮ブラインド署名pre−SIGSPはユーザ装置に送信される。
【0020】
ユーザ装置は、受信した仮ブラインド署名pre−SIGSPを利用して以下の計算を実行するデジタル署名の抽出処理を行う。
【0021】
SIGSP=pre−SIGSP/Πiri for all i (Πiri=r1×r2×…×rN−R)
また、以下をひとまとまりとして第1の証明書として保存する。
【0022】
Cert=[M,{wi},Pu,SIGSP] for all i
ここで、{wi}={w1,w2,…,wN−R}である。
【0023】
以上により第1の証明書の発行処理が終了する。
【0024】
次に、第1の証明書の使用手順を説明する。
【0025】
ユーザ装置は第1の証明書Certを検証者装置に送信する。
【0026】
検証者装置は、ユーザ装置から受信したCertに含まれるM,{wi},Puを用いて
Yi=gB(gA(Pu||wj)||M) for 1≦j≦N
を計算した後、以下の式が成立するか否かを判定する。
【0027】
ΠiYi=Psp(SIGSP)
上記式が成り立つことが確認された後、提示された第1の証明書Certが正当なユーザ以外のユーザによって不正に取得されたものではないことを確認するために、チャレンジ/レスポンス方式を利用する。具体的には、検証者装置は公開鍵Puを使用してチャレンジを計算しユーザ装置へ送信する。ユーザ装置は秘密鍵Suを使用してチャレンジに対するレスポンスを計算し検証者装置へ送信する。検証者装置は受信したレスポンスを検証する。正しいレスポンスであることが確認された場合、Certの所有者の正当性が検証されたことになる。
【0028】
これにより、ユーザが発行者から第1の証明書を発行された者であること、第1の証明書Certの正当な所有者であることが証明される。
【0029】
図1はこの匿名認証方式の仕組みの概念図である。図1に示すように、ユーザA、ユーザBおよびユーザCがそれぞれ第1の証明書Cert of A、Cert of B、Cert of Cを使用する場合、第1の証明書の発行時には、ユーザの個人情報とユーザに発行したブラインド署名の元情報としての仮ブラインド署名Ssp(ΠiZi)を関連づけて記憶することができる。これは、仮ブラインド署名Ssp(ΠiZi)の生成に必要なユーザから提供されるZiやZi算出に必要なZパラメータには、ユーザ固有の情報が含まれているからである。
【0030】
しかしながら、第1の証明書の検証時においては、上記第1の証明書Cert of A、Cert of B、Cert of Cとユーザの個人情報の対応づけが無いため、戻ってくる第1の証明書はいずれも区別はつくが、初めて見るデータということとなる。
【0031】
このように、この匿名認証方式の注目すべき点は、第1の証明書の発行段階で誰にどんな第1の証明書を発行したかを発行者であるサービス提供者が記憶していたとしても(発行者が第1の証明書の発行時に記憶できるデータはSsp(ΠiZi)である)、第1の証明書が使用され発行者自身のもとへ戻ってきた際には、この第1の証明書(第1の証明書が戻ってきた際はSIGSPというデータになっている)が誰に発行したものかを知り得ないことである。ただし、第1の証明書には発行者自身による仮ブラインド署名が含まれているため、発行者はこの第1の証明書は自分が発行したものであることを認めざるを得ない。
【0032】
以上説明したように、この匿名認証方式によれば、ユーザへの第1の証明書の発行とその検証を例えばサービス提供者などの同一の主体が実施しても、ユーザのプライバシーが守られるという利点を有する。例えばサービス提供者のどの会員がサービスを利用したかをサービス提供者は知り得ず、自身の会員であることを確認できる。
【0033】
また、「ユーザの情報」を秘匿するブラインド署名技術とは別に、「署名者が誰であるか」を秘匿できるものとして、暗号理論を応用したリング署名方式(例えば、非特許文献6参照)がある。リング署名方式に関して、以下では、通常の署名と比較しながら説明する。
【0034】
通常の署名方法(RSA署名など)は一般的に、例えば図2のフローチャートで示されたステップで行う。署名者Aは署名鍵SAとこれに対応する検証鍵PAのペアを取得する(s121)。ここで、署名鍵SAは公開せず、検証鍵PAは公開する。
【0035】
署名者Aは署名鍵SAによって署名SIGを計算する(s122)。
【0036】
検証者は署名者Aが公開する検証鍵PAによって署名SIGを検証する(s123)。
【0037】
このため、署名の検証者は検証鍵PAを使用する時点で署名者が署名者Aであることを知ることができる。
【0038】
一方でリング署名とは、署名者が誰であるかを検証者に知らせることなく、署名を検証させる方法である。具体的には、例えば図3に示すフローチャートに沿った以下のステップで署名を行う。
【0039】
まず、署名者Aは署名鍵SAとこれに対応する検証鍵PAのペアを取得する(s131)。ここで、署名鍵SAは公開せず、検証鍵PAは公開する。
【0040】
次に、署名者Aは所定の手段によって署名者Aの所有しない他の検証鍵PB、Pc、PD…を収集する(s132)。
【0041】
次に、署名者Aは検証鍵PA,PB,Pc,PD…および署名鍵SAを使用して、署名SIGを計算する(s133)。
【0042】
一方、検証者は、検証鍵PA,PB,Pc,PD…によってSIGを検証する(s134)。検証者にとってはSIGを複数の検証鍵PA,PB,Pc,PD…で検証するため、SIGの計算に使用された署名鍵が、検証鍵PA,PB,Pc,PD…のうちのどれに対応する署名鍵なのかを知りえない。しかし、検証者側では、いずれかの検証鍵に対応する署名鍵でなければ検証が行えない。従って、ユーザにとっては、署名者が誰であるかを検証者に知らせることなく、署名を検証させることが可能となる。
【0043】
ブラインド署名は署名時において「署名の依頼者」と「署名の実施者」が存在するモデルにおいて、「署名の依頼者」は「署名の実施者」に対し“何に対して”署名したのかを秘匿する技術である。これに対し、リング署名は署名時において「署名の実施者」のみが存在するモデルにおいて、“誰が”署名したのかを秘匿する技術である。
【0044】
【特許文献1】
特開2000−231331号公報
【特許文献2】
特開2001−134182号公報
【特許文献3】
特開2001−188757号公報
【非特許文献1】
小松文子著「PKIハンドブック」、株式会社ソフト・リサーチ・センター、2000年11月25日発行、p.41−68「第3章 3.1 公開鍵証明書」、p.82−83「3.3.1属性証明書」
【非特許文献2】
岡本龍明、山本博資著、「現代暗号」、産業図書、p.184、1998年6月30日発行
【非特許文献3】
Carl Ellison著、「SPKI Certificate Theory, RFC2693 3.3 SPKI Certificates, 6.1.5 5−tuple Defined」、〔online〕、1999年9月掲載、〔2003年2月27日検索〕、インターネット<http://www.faqs.org/rfcs/rfc2693.html>
【非特許文献4】
斎藤孝道、梅澤健太郎、奥野博著、「プライバシを重視するアクセス制御システムの一方式」、電子情報通信学会誌、D−I, Vol.J84−D−I, no.11, p.1553−1562, 2001年
【非特許文献5】
佐藤直之、鈴木英明著、「匿名のまま権利行使を可能とした認証方式」、情報処理学会論文誌、Vol.41, No.8, p.2138−2147, 2000年
【非特許文献6】
R.L.Rivest, A.Shamir, and Y.Tauman、「How to leak a secret」、Advances in Cryptology−Asiscrypt 2001、LNCS2248、p.552−565、Springer−Verlag、2001年
【0045】
【発明が解決しようとする課題】
以上説明したように、匿名認証方式とは、「予めユーザを特定できる情報を第1の証明書の発行者が知っていても、発行者がユーザへ発行した第1の証明書が発行者自身へ戻ってきたとき、その第1の証明書がどのユーザのものであるかを識別できない」という認証方式の枠組みを提供するものである。
【0046】
従って、第1の証明書の発行と検証を同一の主体が実施するような場合にも、ユーザの匿名性が維持できるという特徴がある。この特徴を考慮すると、既存のインターネットサービスプロバイダ(ISP)が実施しているように、ユーザをその会員として登録し、サービスの提供を行うようなサービス提供者に対しても、匿名認証方式を適用することができるといえる。この場合、例えばサービス提供者は、ユーザを会員として登録する際に第1の証明書を発行しておき、ユーザの要求に応じてサービスを提供する際には、ユーザから提示される第1の証明書を検証することで認証するといった運用が考えられる。
【0047】
ところが、上記のような運用においては、第1の証明書の発行および検証はユーザの要求に応じて実施されるものであるため、第1の証明書の発行および検証は任意の時系列で実施されることが予想される。任意の時系列で第1の証明書の発行と検証が実施されるとき、同じ証明内容(即ちユーザ情報)を保有するユーザであっても、匿名性が実効的に保証されなくなるユーザが存在するという状況が発生しうる。
【0048】
図4はこの匿名認証方式の問題点を説明するための図である。以下では、第1の証明書の発行および検証をともに「サービス提供者」が実施し、ユーザはすべて同じ証明内容(即ちユーザ情報)を保有することを前提としている。以下ではサービス提供者、ユーザA、B及びCがやりとりする記載としているが、実質的にはネットワークを介したサービス提供サーバと各ユーザ装置間のデータ通信により実現される。
【0049】
まず、サービス提供者がユーザAに第1の証明書を発行し(s501)、ユーザAはブラインド署名の抽出を実行する(s501a)。具体的には、受信した仮ブラインド署名を乱数rAで除算する。なお、実際にはサービス提供者が発行するのは仮ブラインド署名pre−SIGSPであって、この仮ブラインド署名pre−SIGSPからユーザ側がブラインド署名SIGSPを抽出し、このブラインド署名SIGSPを証明の対象とするメッセージM,乱数wk,公開鍵Puに付加して第1の証明書Certが出来上がる。
【0050】
次に、サービス提供者はユーザBに第1の証明書を発行し(s502)、ユーザBは前述したブラインド署名の抽出を実行する(s502a)。具体的には、受信した仮ブラインド署名を乱数rBで除算する。次に、ユーザAが第1の証明書を使用する、すなわち、サービス提供者に対して第1の証明書Cert of Aを送信する。サービス提供者から見ると、この第1の証明書がユーザAのものである確率は1/2、ユーザBのものである確率は1/2となる。このとき、ユーザAは、第1の証明書から自分を特定されないため、匿名性は確保できる。そして、次にユーザBが第1の証明書を使用する。この場合も、ユーザAの場合と同様に匿名性を確保できる。ところが、次でサービス提供者がユーザCに第1の証明書を発行し(s521)、次に他のユーザに第1の証明書を発行する前にユーザCが第1の証明書を使用すると(s522)、サービス提供者は、ユーザCから受信した第1の証明書が確率1でユーザCのものと分かってしまう。少なくとも、ユーザAとユーザBは既に第1の証明書を使用したことをサービス提供者は記憶しているからである。
【0051】
上記の説明からも明らかなように、ユーザにとっては、自分以外のユーザが複数存在していたとしても自分と識別不能な対象、すなわち他のユーザが少なくとも1人はいない限り、自分の匿名性をサービス提供者に対して確保できない。この問題点は自分と識別不能なユーザが1人もいないことに起因する。逆に、ユーザAおよびユーザBは、それぞれ互いが自分と識別不能なユーザとなっているため、サービス提供者に対して匿名性を確保できるのである。
【0052】
ユーザが1枚の第1の証明書の発行を受け、この1枚の第1の証明書を使用するという匿名認証方式のモデルでは、サービス提供者は戻ってくる第1の証明書の枚数から、何人にユーザが第1の証明書を使用しているのかを記憶できる。そして、「第1の証明書を発行したすべてのユーザが既に第1の証明書を使用した」ことを記憶されてしまうと、新たに第1の証明書を発行されるユーザの匿名性は保証されなくなる。
【0053】
本発明は上記課題を解決するためになされたもので、その目的とするところは、証明内容を同じくするユーザがただ一人に限られる場合を除き、いかなるタイミングでユーザが第1の証明書の発行を受けても、常にこのユーザがどの第1の証明書の所有者かをサービス提供者から秘匿することができるサービス利用方法、ユーザ装置、サービス利用処理プログラム、サービス提供者装置、サービス提供処理プログラム、証明書管理装置、証明書管理プログラム及び記録媒体を提供することにある。
【0054】
【課題を解決するための手段】
本発明の骨子は以下の通りである。
【0055】
本発明では、まず、サービス利用者であるユーザが証明内容、即ちユーザ情報を同じくする他のユーザの保持する第1の証明書を収集し、収集した複数の第1の証明書を一度に検証者であるサービス提供者に提出する。この処理は、前述の図4の例に即して説明すると、ユーザCが(s522)で「ユーザCが使用する第1の証明書」がサービス提供者に提供される代わりに、「ユーザAが使用する第1の証明書」「ユーザBが使用する第1の証明書」「ユーザCが使用する第1の証明書」からなる3枚の第1の証明書がサービス提供者に提供され使用されることになる。
【0056】
このとき、サービス提供者は、ユーザCが作成した第1の証明書が、提示された3枚の第1の証明書のうちのどれであるかを知りえない。
【0057】
しかしながら、単に証明内容(即ちユーザ情報)を同じくする複数の異なる第1の証明書を提供するだけでは、いずれか1つの第1の証明書は、確かに自分自身の第1の証明書であること、すなわち、サービス提供者に提示する複数の証明書のうち、いずれか1つの第1の証明書については、ユーザがこの第1の証明書に対応する秘密鍵を所持していることを、サービス提供者に主張することができない。そこで、第1の証明書に含まれる各ユーザの公開鍵Puを用いることで、また図3に示したユーザのプライバシを保護するリング署名を計算することで、いずれか1つの第1の証明書が自分自身の第1の証明書であることをサービス提供者へ主張することを可能とする。
【0058】
また、証明内容を同じくする複数の第1の証明書を一度にサービス提供者に提出することで、どのユーザがサービス提供依頼を行っているかを隠蔽する場合は、どの第1の証明書が、サービス提供依頼を行っているユーザの第1の証明書であるかが隠蔽されていることになるので、前述の従来技術で説明された第1の証明書の検証処理における「ユーザが正しい秘密鍵を持つことの検証」をチャレンジ/レスポンスにより実施できなくなる。
【0059】
そこで、本発明では、チャレンジ/レスポンスに使用する鍵ペアは、第1の証明書に含まれる公開鍵P1およびこれに対応する秘密鍵S1ではなく、サービスを利用する際に作成する、別の公開鍵方式の鍵ペアP2,S2とし、前出のリング署名とP2の組を第2の証明書として、証明内容を同じくする第1の証明書群と共に、サービス提供者に提供することとする。
【0060】
これにより、サービス提供者は、▲1▼第1の証明書群に含まれるユーザの公開鍵群と、第2の証明書に含まれるリンク署名により、いずれかの第1の証明書を保有したユーザからのサービス依頼であることを確認可能で、更に、▲2▼第2の証明書に含まれるP2に基づきチャレンジをユーザに送信し、S2に基づいたレスポンスを得ることで、当該情報をタッピングした悪意のユーザからの依頼ではないことが確認可能となる。
【0061】
第1の証明書は、ユーザ情報と公開鍵との関連付けを客観的に証明する役割を果たすのに対し、第2の証明書はユーザが第1の証明書を確かに保有することを証明する役割を果たす。
【0062】
本発明の一つの観点によれば、以上に示した方法を実現するために、証明内容Mとユーザの公開鍵の結びつきを証明する第1の証明書によるユーザの匿名認証を用いたサービス利用方法であって、証明書発行段階では、ユーザ装置が、発行者装置から送信された仮ブラインド署名情報pre−SIGSPに基づき、ブラインド署名SIGSPを含み、かつユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を作成し、前記第1の証明書を証明書管理装置に送信し、前記証明書管理装置は、前記第1の証明書のブラインド署名SIGSPを検証する第1の検証を行い、前記第1の検証に成功した場合に前記第1の証明書を第1の記憶装置に格納し、前記第1の記憶装置に予め格納され、前記ユーザ装置以外で作成され、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を読み出し前記ユーザ装置に送信し、前記ユーザ装置は、受信した前記第1の証明書群の各々から公開鍵を抽出して複数の公開鍵からなる公開鍵群を取得し、ユーザの公開鍵P2に対して、前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づきリング署名SIGUを計算し、前記公開鍵P2とリング署名SIGUからなる第2の証明書を作成し、サービス利用段階では、前記ユーザ装置は、サービス提供者装置に、前記第1の証明書群、第1の証明書及び第2の証明書を送信し、前記サービス提供者装置は、前記第1の証明書群の各々及び前記第1の証明書に対してブラインド署名SIGSPを検証する第2の検証を行い、前記第2の検証に成功した場合に前記第2の証明書のリング署名SIGUを検証する第3の検証を行い、前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して前記ユーザ装置に送信し、前記ユーザ装置は、前記チャレンジに対して前記秘密鍵S2を用いてレスポンスを計算して前記サービス提供者装置に送信し、前記サービス提供者装置は、前記レスポンスを検証することを特徴とするサービス利用方法が提供される。
【0063】
また、本発明の別の観点によれば、上記サービス利用方法を実現するためのユーザ装置、発行者装置、サービス提供者装置、証明書管理装置、またこれら装置として機能させるためのプログラム、該プログラムを記録した記録媒体としても成立する。
【0064】
【発明の実施の形態】
以下、図面を参照して本発明の一実施形態を説明する。
【0065】
図5は本発明の一実施形態に係るサービス提供方法が適用されるサービス提供システムの全体構成を示す図である。400はインターネットなどの電子ネットワークを示す。このネットワーク400に、サービスを提供する認証主体としてのサービス提供者が使用するサービス提供者装置100、サービスを利用し、認証を受けるユーザの使用する複数のユーザ装置200、及び証明書管理装置300が接続されている。
【0066】
サービス提供者装置100は、ユーザ装置200に電子証明書を発行するサービス提供者が利用する装置である。発行される電子証明書には、匿名認証において作成される、特定の情報とユーザの公開鍵の結びつきに対する電子証明書(以下、第1の証明書と称する)も含まれる。匿名認証とは、被認証者であるユーザの属性情報を提供することなく電子証明書の認証を行う方式をいう。
【0067】
また、サービス提供者装置100は、ユーザを認証しサービスを提供する装置であり、第1の証明書発行部110、第1の証明書検証部120、第2の証明書検証部130とを備える。
【0068】
ユーザ装置200は、サービスを利用するために認証の対象とされるユーザにより操作される装置であり、第1の証明書作成部210、第2の証明書作成部220及びサービス要求部230を有する。
【0069】
証明書管理装置300は、発行された第1の証明書を管理するための装置であり、第1の証明書検証部310及び第1の証明書管理部320を有し、管理されるべき第1の証明書は、記憶装置330に格納される。
【0070】
例えば証明書管理装置300に設けられたメモリから読み出されたプログラムが読み出されて証明書管理装置300のCPUなどで実行されることにより、証明書管理装置300が各構成要素310及び320として機能する。
【0071】
図6はサービス提供者装置100の詳細な構成の一例を示す図である。
【0072】
第1の証明書発行部110は、匿名認証における第1の証明書の発行処理をユーザ装置200との間で実施する。第1の証明書の発行処理は、具体的には後述する仮ブラインド署名pre−SIGSPの生成及びユーザ装置200への送信からなる。第1の証明書検証部120は、匿名認証における第1の証明書の検証処理をユーザ装置200との間で実施する。この第1の証明書検証部120は、第1の証明書に含まれるブラインド署名を検証するブラインド署名検証部121を有する。第2の証明書検証部130は、ユーザ装置200が作成したリング署名を検証するリング署名検証部131と、ユーザ装置200が正しい秘密鍵を保有することを検証するためのチャレンジ計算部132とを有する。
【0073】
例えばサービス提供者装置100に設けられたメモリから読み出されたプログラムが読み出されてサービス提供者装置100のCPUなどで実行されることにより、サービス提供者装置100が各構成要素110,120,121及び130として機能する。
【0074】
図7はユーザ装置200の詳細な構成の一例を示す図である。
【0075】
第1の証明書作成部210は、匿名認証方式における第1の証明書の発行処理をサービス提供者装置100との間で実施する。この第1の証明書作成部210は、公開鍵P1と秘密鍵S1を作成し、秘密鍵S1を秘密に所有する処理を実施する。秘密に所有する処理とは、記憶装置等に格納して読み出し不能に設定する処理等が該当する。
【0076】
第2の証明書作成部220は、鍵ペア作成部221と、第1の証明書収集部222と、公開鍵抽出部223と、リング署名計算部224とを有する。
【0077】
鍵ペア作成部221は、公開鍵P2と秘密鍵S2のペアを作成し、S2を秘密に所有する処理を実施する。第1の証明書収集部222は、他のユーザ装置200が管理する第1の証明書を証明書管理装置300から取得する処理を実行する。公開鍵抽出部223は、収集した第1の証明書の各々から公開鍵を抽出する。リング署名計算部224は、鍵ペア作成部221にて作成した公開鍵に対してリング署名を計算する。
【0078】
「第2の証明書」とは、鍵ペア作成部221にて作成した公開鍵P2とリング署名SIGUの組を指す。
【0079】
サービス要求部230は、証明書送信部231とレスポンス計算部232とを有する。証明書送信部231は、第1の証明書収集部222にて収集した第1の証明書群および第2の証明書をサービス提供者装置100へ送信する。レスポンス計算部232は、鍵ペア作成部221にて作成した秘密鍵を使用してサービス提供者装置100のチャレンジに対するレスポンスを作成し、サービス提供者装置100へ送信する。
【0080】
また、ユーザ装置200には、記憶装置240が備えられ、各種電子証明書や鍵などのデータを格納することができる。この記憶装置240は、ユーザ装置200本体に接続された磁気ディスクや光ディスクなどの記憶装置のみならず、例えばカード書込/読取装置とその装置により書込及び読取可能なICカードにより実現されてもよい。
【0081】
例えばユーザ装置200に設けられたメモリから読み出されたプログラムが読み出されてユーザ装置200のCPUなどで実行されることにより、ユーザ装置200が各構成要素210,220,221,222,223,224,230,231及び232として機能する。
【0082】
図8は本実施形態に係る第1の証明書500の構成例を示す図である。第1の証明書500は、ユーザ装置200の第1の証明書作成部210が作成した公開鍵P1と、証明内容(ユーザの属性情報)Mと、公開鍵P1および証明内容Mに対するサービス提供者装置100のブラインド署名SIGspからなる。
【0083】
図9は第2の証明書600の構成例を示す図である。第2の証明書600は、ユーザ装置200の鍵ペア作成部221が作成した公開鍵P2と、公開鍵P2に対するユーザ装置200のリング署名SIGUからなる。
【0084】
図10は第1の証明書500の作成を含む第2の証明書600の作成処理の流れを示したものである。
【0085】
ユーザ装置200の第1の証明書作成部210はサービス提供者装置100の第1の証明書発行部110と協力して第1の証明書Aを作成する(s1)。この処理は、第1の証明書Aの作成処理の一例を図12を用いて説明する。
【0086】
なお、(s1)に示す第1の証明書A発行前に、予め、郵送等のオフライン、あるいはユーザ装置200とサービス提供者装置100との間のオンライン処理により、ユーザの個人情報などのメッセージMがユーザからサービス提供者に提供されている。
【0087】
図12に示すように、まずユーザ装置200は、乱数rj,wjおよび公開鍵P1Aと秘密鍵S1Aのペアを生成し、以下の式で示される関数値Zjを演算し(s101)、サービス提供者装置100にこの関数値Zjを送信する(s102)。
【0088】
Zj=Psp(rj)gB(gA(P1A||wj)||M) for 1≦j≦N
ここで、“||”はビット結合を、gA(・),gB(・)は公開されている衝突困難な一方向ハッシュ関数を表す。これら衝突困難な一方向ハッシュ関数gA(・)とgB(・)は、ともに同じ関数(同じアルゴリズム)であってもよい。また、Pspはサービス提供者が広く公開している公開鍵を、Mは特定のメッセージをそれぞれ表す。
【0089】
なお、ここでの公開鍵P1Aは第1の証明書Aの発行段階では誰にも公開しない。
【0090】
サービス提供者装置100は、受信したZjのうち、任意のR個を決定し(s103)、これに対応した{Zk}(1≦k≦R)に含まれ、Zkを算出するのに必要な乱数rk、関数値gA(P1A||wk)からなるZパラメータの開示をユーザ装置200に要求する(s104)。
【0091】
ユーザ装置200は、サービス提供者装置100から要求のあったZk(1≦k≦R)についてのZパラメータを送信する(s105)。
【0092】
サービス提供者装置100は、Zパラメータに基づき以下の式Zkを計算し、(s102)で受信したZjと一致するか否かを検証する(s106)。
【0093】
Zk=Psp(rk)gB(gA(P1A||wk)||M) for 1≦k≦R
一致していない場合には発行できないと判定し、第1の証明書Aの発行手順を終了する。一致している場合には、(s107)に進み、開示されていないZi(1≦i≦N−R)について以下のZiへの仮ブラインド署名を実行する。
【0094】
pre−SIGSP=Ssp(ΠiZi)
ここで、Sspはサービス提供者装置100の秘密鍵を表す。また、“Πi”は、すべてのiについて乗算(ここではZ1×Z2×…×ZN−R)することを表す。
【0095】
得られた仮ブラインド署名pre−SIGSPはユーザ装置200に送信される(s108)。
【0096】
ユーザ装置200は、受信した仮ブラインド署名pre−SIGSPを利用して以下の計算を実行するデジタル署名の抽出処理を行う(s109)。
【0097】
SIGSP=pre−SIGSP/Πiri for all i (Πiri=r1×r2×…×rN−R)
また、以下をひとまとまりとして第1の証明書A(=Cert 1A)として記憶装置240に保存する(s110、s2)。
【0098】
Cert 1A=[M,{wi},P1A,SIGSP] for all i
ここで、{wi}={w1,w2,…,wN−R}である。
【0099】
以上により第1の証明書Aの発行処理(s1,s2:s101〜s110)が終了する。
【0100】
次に、第1の証明書収集部222は、上記で作成した第1の証明書Aを読み出し(s3)、証明書管理装置300に送信し、他の第1の証明書の送信を要求する(s4)。これら(s3)及び(s4)の処理は、必ずしも(s2)の処理の直後に実行される必要は無く、(s2)から所定の時間経過した所定の時刻(例えば毎日12:00)に実施されるようにしてもよい。
【0101】
証明書管理装置300の第1の証明書検証部310は、受信した第1の証明書Aのブラインド署名を検証する(s5)。なお、第1の証明書検証部310は、予め第1の証明書Aが記憶装置330に記憶されているか否かを記憶装置330を参照して判定し、記憶されていない場合には(s5)のブラインド署名の検証を行い、記憶されている場合には検証を省略し、第1の証明書Aの追記を実行しないようにしてもよい。
【0102】
具体的には、第1の証明書検証部310は、ユーザ装置2から受信したCert 1Aに含まれるM,{wi},Puを用いて
Yi=gB(gA(Pu||wj)||M) for 1≦j≦N
を計算した後、以下の式が成立するか否かを判定する。
【0103】
ΠiYi=Psp(SIGSP)
成立すると判定される場合には、ユーザがサービス提供者から証明書を発行された者であることが証明される。この検証に成功すると第1の証明書検証部310は第1の証明書Aを記憶装置330に保存する(s6)。検証に失敗した場合、第1の証明書Aは保存されない。
【0104】
また、この第1の証明書Aを保存する際に、第1の証明書管理部320は、あらかじめ所有する第1の証明書群(第1の証明書B、第1の証明書C、第1の証明書D)を読み出し(s7)、ユーザ装置200の第1の証明書収集部222に送信する(s8)。なお、上記の第1の証明書群の各々は証明書管理装置300があらかじめ他のユーザ装置から収集したものである。本システムを利用するはじめてのユーザが第1の証明書を証明書管理装置に送信(s4)する場合には、記憶装置330には他のユーザにより予め登録された第1の証明書群は存在しない。しかし、この場合であっても、例えば証明書管理装置300が予めユーザが行うのと同様の(s1)の処理によりサービス提供者100と協力してダミーの複数の第1の証明書を作成しておき、これを第1の証明書群として記憶装置330に格納しておく。これにより、はじめてのユーザに対しても、(s8)の処理で、複数の第1の証明書からなる第1の証明書群を送信することができる。
【0105】
公開鍵抽出部223は、収集した第1の証明書群(第1の証明書B、第1の証明書C、第1の証明書D)の各々から公開鍵PlB,PlC,PlDからなる公開鍵群を抽出する(s9)。鍵ペア作成部221は公開鍵P2Aと秘密鍵S2Aの鍵ペアを作成し(s10)、秘密鍵S2Aは秘密に所有すべく記憶装置240に格納される(s11)。リング署名計算部224は、公開鍵PlA,PlB,PlC,PlD及びSlAを使用して、公開鍵P2Aに対するリング署名SIGUを計算する(s12)。また、公開鍵P2Aおよびリング署名SIGUを第2の証明書Aとして保存する(s13)。この(s9)以降の処理は、(s8)の証明書送信の直後に実行される必要は無く、(s8)の証明書送信から所定の時間経過した後に例えばユーザ装置200上の所定の操作に応答して実行されるようにしてもよい。
【0106】
図11は第1の証明書A及び第2の証明書Aを発行した後のサービス要求処理の流れを示したものである。
【0107】
ユーザ装置200の証明書送信部231は、所有する第1の証明書A、第1の証明書B、第1の証明書C、第1の証明書D、および第2の証明書Aを記憶装置240から読み出し(s21)、サービス提供者装置100の第1の証明書検証部120へ送信する(s22)。第1の証明書検証部120のブラインド署名検証部121は、受信した全ての第1の証明書500(第1の証明書A、第1の証明書B、第1の証明書C、第1の証明書D)に含まれるブラインド署名SIGSP(530)を検証する(s23)。この検証処理は、第1の証明書検証部310で実行される検証手法と共通する。これに成功すると、第2の証明書検証部130のリング署名検証部131は第2の証明書600に含まれるリング署名SIGU(620)を検証する(s24)。これに成功すると、チャレンジ計算部132は第2の証明書Aに含まれる公開鍵P2A(601)を使用してチャレンジを作成し(s25)、ユーザ装置200へ送信する(s26)。ユーザ装置200のレスポンス計算部232は受信したチャレンジに対し、秘密鍵S2Aを使用してレスポンスを計算し(s27)、サービス提供者装置100へ送信する(s28)。サービス提供者装置100は上記のレスポンスを検証し(s29)、これに成功するとユーザ装置200ヘサービスを提供する(s30)。
【0108】
従来の匿名認証方式では、ユーザは1つの証明書の発行を受け、この1つの証明書を使用するモデルであった。このため、任意の時系列で証明書の発行、使用が起こる際は、その時系列関係によってはユーザの匿名性が実効的に確保できなくなる場合があった。これに対して本実施形態によれば、ユーザが1つの第1の証明書の発行を受けても、複数の第1の証明書を一度に使用することでこのユーザがどの第1の証明書の所有者かをサービス提供者に秘匿している。したがって任意の時系列で第1の証明書の発行、使用が起こってもサービス提供者にユーザを一意に推定されることなく、匿名性を確保した認証を実現できる。
【0109】
本発明は上記実施形態に限定されるものではない。
【0110】
図9の証明書発行手順、図10の証明書検証手順ともに、サービス提供者装置100が発行及び検証する場合を例に説明したが、発行者装置と検証者装置が別途設けられ、それぞれが発行処理および検証処理を実行してもよい。また、証明書の発行、検証とサービスの提供は別の装置が提供してもよいことはもちろんである。
【0111】
また、上記実施形態の図12を用いて説明した匿名認証手法はほんの一例にすぎず、被認証者の属性情報を提供せずに電子証明書の認証を行ういかなる匿名認証方式にも本発明を適用可能であることはもちろんである。
【0112】
また、秘密鍵と他の証明書等のデータを同一の記憶装置に格納する例として示したが、秘密鍵は秘密に所有すべく別の記憶装置に格納してもよい。
【0113】
また、サービス提供者装置100、ユーザ装置200及び証明書管理装置300に設けられたメモリからプログラムが読み出されることにより、これら各装置100,200及び300が各構成要素110,120,130,210,220,230,310,320等として機能する場合を示したが、これに限定されない。各構成要素110,120,130,210,220,230,310,320等として機能させるため、各装置100,200及び300のコンピュータに指令を与えるプログラムコードを記録した記録媒体を予め作成しておき、この記録媒体から各装置100,200及び300に記録媒体読取装置によりプログラムを読み出すことにより、上記構成要素として各装置100,200及び300を機能させるようにしてもよい。
【0114】
【発明の効果】
以上詳述したように本発明によれば、認証者に被認証者を一意に推定されることなく、匿名性を確保したサービスの提供が可能となる。
【図面の簡単な説明】
【図1】匿名認証方式の仕組みの概念図。
【図2】通常の署名方法のフローチャートを示す図。
【図3】リング署名のフローチャートを示す図。
【図4】匿名認証方式の問題点を説明するための図。
【図5】本発明の一実施形態に係る電子証明書管理方法が適用されるサービス提供システムの全体構成を示す図。
【図6】同実施形態に係るサービス提供者装置の詳細な構成の一例を示す図。
【図7】同実施形態に係るユーザ装置の詳細な構成の一例を示す図。
【図8】同実施形態に係る第1の証明書の構成例を示す図。
【図9】同実施形態に係る第2の証明書の構成例を示す図。
【図10】同実施形態に係る第1の証明書500の作成を含む第2の証明書600の作成処理の流れを示す図。
【図11】同実施形態に係る第1の証明書A及び第2の証明書Aを発行した後のサービス要求処理の流れを示す図。
【図12】第1の証明書Aの作成処理の一例を示す図。
【符号の説明】
100…サービス提供者装置、110…第1の証明書発行部、120…第1の証明書検証部、130…第2の証明書検証部、200…ユーザ装置、210…第1の証明書作成部、220…第2の証明書作成部、230…サービス要求部、300…証明書管理装置、310…第1の証明書検証部、320…第1の証明書管理部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a service using method using anonymous authentication for authenticating information held by a user while ensuring the anonymity of the user, a user device, a service using process program, a service provider device, a service providing process program, and certificate management. The present invention relates to an apparatus, a certificate management program, and a recording medium.
[0002]
[Prior art]
"Public key certificate", "attribute certificate", "rights certificate", etc. are proposed as the framework of the electronic certificate used to authenticate the host (computer terminal) and the user as the subject to be authenticated. (See Non-Patent Documents 1 and 3). Authentication using these certificates is more resistant to unauthorized attacks such as user spoofing and eavesdropping on a network than authentication using IDs and passwords that are widely used at present. Therefore, it can be said that it is suitable for application to fields where it is strongly required to eliminate illegal attacks from the outside such as the medical field and electronic municipalities.
[0003]
However, the above-described authentication method does not consider the privacy of the user, that is, the owner of the digital certificate, but can identify the user who is the owner from the certificate. Even though the user's personal information was not directly known, the personal information could be tracked indirectly from the digital certificate.
[0004]
On the other hand, in recent years, in consideration of the protection of the privacy of the user, an authentication method has been proposed in which it is not possible to identify who the user is from the electronic certificate and only the right possessed by the user can be confirmed (Non-Patent Document) 4). This method uses a unique digital certificate that guarantees the user's personal information, rights, attributes, etc., and confirms the validity of the certificate with the entity that issues this certificate (hereinafter referred to as the issuer). The purpose is to clearly separate the entity that provides the service after confirmation (hereinafter, referred to as a verifier), and to ensure the privacy of the user on the premise that both parties do not collude. The issuer acquires information such as personal information, rights, and attributes of the user in advance, and issues an electronic certificate unique to the method to the user after examination. On the other hand, the verifier of the digital certificate verifies the anonymous digital certificate presented by the user, so that the user does not know who the user is, that is, does not know information such as the user's personal information, rights, attributes, etc. Even so, the service is provided to the user by confirming the validity of the electronic certificate.
[0005]
On the other hand, there are methods described in
[0006]
In the anonymous authentication method, the issuer device that issues the certificate and the verifier device that verifies the certificate may each be owned by a different entity, or one and the same entity may have two devices. .
[0007]
The certificate issuer knows the user's personal information, rights, attributes, etc., and gives the user a certificate that guarantees the contents of the certificate (user's personal information, rights, attributes, etc.) by a blind signature. Issue. Details of the blind signature are described in Non-Patent
[0008]
In the following, an electronic certificate created by anonymous authentication and associated with specific information and a user's public key is referred to as a “first certificate” for convenience.
[0009]
A specific mechanism for securing anonymity by the anonymous authentication method will be described.
[0010]
As a premise, before issuing the first certificate, a message M such as personal information of the user is set in advance by offline processing such as mailing or by online processing between the user apparatus and the issuer apparatus and the verifier apparatus. To the issuer device.
[0011]
First, the user equipment sets a random number r j , W j And public key P u And secret key S u And a function value Z represented by the following equation j And the function value Z is stored in the issuer device. j Send
[0012]
Z j = P sp (R j ) G B (G A (P u || w j ) || M) for 1 ≦ j ≦ N
Here, “||” represents a bit combination and g A (•), g B (•) represents a publicly-aware collision-resistant one-way hash function. These one-way hash functions g that are difficult to collide with A (•) and g B (·) May be the same function (the same algorithm). Also, P sp Represents a public key widely published by the issuer, and M represents a specific message.
[0013]
Note that the public key P u Does not disclose it to anyone at the stage of issuing the first certificate.
[0014]
The issuer device receives the Z j Among them, any R are determined, and the corresponding k } (1 ≦ k ≦ R), Z k The random number r required to calculate k , Function value g A (P u || w k ) Is requested to the user apparatus.
[0015]
The user device receives Z from the issuer device. k The Z parameter for (1 ≦ k ≦ R) is transmitted.
[0016]
The issuer device calculates the following equation Z based on the Z parameter: k And calculate the received Z j Verify whether or not matches.
[0017]
Z k = P sp (R k ) G B (G A (P u || w k ) || M) for 1 ≦ k ≦ R
If they do not match, it is determined that the certificate cannot be issued, and the first certificate issuing procedure ends. If they match, the undisclosed Z i The following Z for (1 ≦ i ≦ NR) i Perform a provisional blind signature on.
[0018]
pre-SIG SP = S sp (Π i Z i )
Where S sp Represents the secret key of the issuer device. Also, “Π i "Is a multiplication for all i (here Z 1 × Z 2 ×… × Z NR ).
[0019]
Obtained provisional blind signature pre-SIG SP Is sent to the user equipment.
[0020]
The user equipment receives the provisional blind signature pre-SIG SP To perform a digital signature extraction process for executing the following calculation.
[0021]
SIG SP = Pre-SIG SP / Π i r i for all i (Π i r i = R 1 × r 2 ×… × r NR )
Also, the following is collectively stored as the first certificate.
[0022]
Cert = [M, {w i }, P u , SIG SP ] For all i
Where {w i } = {W 1 , W 2 , ..., w NR }.
[0023]
Thus, the first certificate issuing process is completed.
[0024]
Next, a procedure for using the first certificate will be described.
[0025]
The user device sends the first certificate Cert to the verifier device.
[0026]
The verifier uses M, $ w included in the Cert received from the user device. i }, P u Using
Y i = G B (G A (P u || w j ) || M) for 1 ≦ j ≦ N
Is calculated, it is determined whether or not the following expression is satisfied.
[0027]
Π i Y i = P sp (SIG SP )
After it is confirmed that the above formula holds, a challenge / response method is used to confirm that the presented first certificate Cert is not illegally obtained by a user other than a valid user. . Specifically, the verifier uses the public key P u Is used to calculate the challenge and send it to the user device. The user device has a secret key S u Is used to calculate the response to the challenge and send it to the verifier device. The verifier verifies the received response. If the response is confirmed to be correct, the validity of the owner of the Cert has been verified.
[0028]
This proves that the user has issued the first certificate from the issuer and that he is a valid owner of the first certificate Cert.
[0029]
FIG. 1 is a conceptual diagram of the mechanism of the anonymous authentication method. As shown in FIG. 1, when user A, user B, and user C use first certificates Cert of A, Cert of B, and Cert of C, respectively, when the first certificate is issued, the user's personal Blind signature S as information and the original information of the blind signature issued to the user sp (Π i Z i ) Can be associated and stored. This is the temporary blind signature S sp (Π i Z i ) Provided by the user necessary for generating i And Z i This is because the Z parameter required for calculation includes user-specific information.
[0030]
However, when the first certificate is verified, there is no correspondence between the first certificates Cert of A, Cert of B, and Cert of C and the personal information of the user, so the first certificate returned Can be distinguished from each other, but it is the first data to be seen.
[0031]
As described above, a notable point of this anonymous authentication method is that the service provider as the issuer remembers who issued what kind of first certificate at the stage of issuing the first certificate. (The data that the issuer can store when the first certificate is issued is S sp (Π i Z i )), When the first certificate is used and returns to the issuer itself, the first certificate (when the first certificate returns, SIG SP Data) is not available to know who issued it. However, since the first certificate includes the temporary blind signature by the issuer himself, the issuer must admit that the first certificate was issued by himself.
[0032]
As described above, according to this anonymous authentication method, even if the same entity such as a service provider issues the first certificate to the user and verifies it, the privacy of the user is protected. Has advantages. For example, the service provider cannot know which member of the service provider used the service, and can confirm that the service provider is a member of the service provider.
[0033]
In addition to a blind signature technique for concealing "user information", a ring signature scheme (for example, see Non-Patent Document 6) that applies cryptography as a technique that can conceal "who is the signer" can be concealed. is there. The ring signature method will be described below in comparison with a normal signature.
[0034]
A typical signature method (such as an RSA signature) is generally performed, for example, by the steps shown in the flowchart of FIG. Signer A has signature key S A And the corresponding verification key P A Is acquired (s121). Here, the signature key S A Is not disclosed and the verification key P A Publish.
[0035]
Signer A has signature key S A To calculate the signature SIG (s122).
[0036]
The verifier is a verification key P published by the signer A. A To verify the signature SIG (s123).
[0037]
Therefore, the verifier of the signature verifies the verification key P A Is used, it can be known that the signer is the signer A.
[0038]
On the other hand, a ring signature is a method of verifying a signature without informing the verifier of who the signer is. Specifically, for example, the signature is performed in the following steps along the flowchart shown in FIG.
[0039]
First, the signer A uses the signature key S A And the corresponding verification key P A Are acquired (s131). Here, the signature key S A Is not disclosed and the verification key P A Publish.
[0040]
Next, the signer A obtains another verification key P not owned by the signer A by a predetermined means. B , P c , P D Are collected (s132).
[0041]
Next, signer A verifies verification key P A , P B , P c , P D … And signature key S A Is used to calculate the signature SIG (s133).
[0042]
On the other hand, the verifier uses the verification key P A , P B , P c , P D .. Are verified (s134). For the verifier, the SIG is converted to a plurality of verification keys P A , P B , P c , P D ..., the signature key used for the SIG calculation is the verification key P A , P B , P c , P D I don't know which of the ... signing keys it corresponds to. However, the verifier cannot perform verification unless the signature key corresponds to one of the verification keys. Therefore, it is possible for the user to verify the signature without informing the verifier of who the signer is.
[0043]
In a blind signature, in a model where there is a "signer of the signature" and a "signer of the signature" at the time of signing, the "signer of the signature" tells the "signer" the "what" This is a technology that keeps secret. On the other hand, the ring signature is a technique for concealing "who" signed in a model in which only the "signer" exists at the time of signature.
[0044]
[Patent Document 1]
JP 2000-231331 A
[Patent Document 2]
JP 2001-134182 A
[Patent Document 3]
JP 2001-188775 A
[Non-patent document 1]
"PKI Handbook" by Fumiko Komatsu, Soft Research Center Co., Ltd., issued November 25, 2000, p. 41-68, “
[Non-patent document 2]
Okamoto Tatsuaki, Yamamoto Hiroshi, "Modern Cryptography", Industrial Books, p. 184, issued June 30, 1998
[Non-Patent Document 3]
Carl Ellisson, "SPKI Certificate Theory, RFC 2693 3.3 SPKI Certificates, 6.1.5 5-tuple Defined," [online], September 1999, [Search February 27, 2003], Internet <h /// www. faqs. org / rfcs / rfc2693. html>
[Non-patent document 4]
Takamichi Saito, Kentaro Umezawa, Hiroshi Okuno, "One Method of Access Control System with Emphasis on Privacy", IEICE Journal, DI, Vol. J84-DI, no. 11, p. 1553-1562, 2001
[Non-Patent Document 5]
Naoyuki Sato, Hideaki Suzuki, "Authentication method that allows rights to be exercised anonymously," Transactions of Information Processing Society of Japan, Vol. 41, no. 8, p. 2138-2147, 2000
[Non-Patent Document 6]
R. L. Rivest, A .; Shamir, and Y. Tauman, "How to leak a secret," Advances in Cryptology-Assistance 2001, LNCS 2248, p. 552-565, Springer-Verlag, 2001
[0045]
[Problems to be solved by the invention]
As described above, the anonymous authentication method means that even if the issuer of the first certificate knows in advance the information that can identify the user, the first certificate issued by the issuer to the user is the issuer himself. When returning to, it is not possible to identify which user the first certificate belongs to. "
[0046]
Accordingly, there is a feature that the anonymity of the user can be maintained even when the same entity issues and verifies the first certificate. Considering this feature, the anonymous authentication method is applied to service providers who register users as members and provide services, as implemented by existing Internet service providers (ISPs). It can be said that it is possible. In this case, for example, the service provider issues a first certificate when registering a user as a member, and when providing a service in response to a user request, a first certificate presented by the user. An operation such as authentication by verifying a certificate can be considered.
[0047]
However, in the above-described operation, the issuance and verification of the first certificate is performed in response to a request from the user, and the issuance and verification of the first certificate are performed in an arbitrary time series. It is expected to be. When the issuance and verification of the first certificate are performed in an arbitrary time series, there are users whose anonymity is not effectively guaranteed even if they have the same certificate contents (that is, user information). Situation can occur.
[0048]
FIG. 4 is a diagram for explaining the problem of the anonymous authentication method. In the following, it is assumed that both the issuance and verification of the first certificate are performed by the “service provider”, and that all users have the same certificate contents (that is, user information). In the following description, the service provider and the users A, B, and C exchange information. However, the communication is substantially realized by data communication between the service providing server and each user device via a network.
[0049]
First, the service provider issues a first certificate to the user A (s501), and the user A extracts a blind signature (s501a). Specifically, the received temporary blind signature is converted to a random number r A Divide by. Note that the service provider actually issues the provisional blind signature pre-SIG. SP And the provisional blind signature pre-SIG SP From the user side blind signature SIG SP And extract the blind signature SIG SP M, the random number w of which is to be proved k , Public key P u To the first certificate Cert.
[0050]
Next, the service provider issues a first certificate to the user B (s502), and the user B executes the above-described extraction of the blind signature (s502a). Specifically, the received temporary blind signature is converted to a random number r B Divide by. Next, the user A uses the first certificate, that is, sends the first certificate Cert of A to the service provider. From the viewpoint of the service provider, the probability that the first certificate belongs to the user A is 、, and the probability that the first certificate belongs to the user B is 1 /. At this time, since the user A is not identified from the first certificate, the anonymity can be secured. Then, the user B uses the first certificate. Also in this case, anonymity can be ensured as in the case of the user A. However, next, when the service provider issues the first certificate to the user C (s521), and then the user C uses the first certificate before issuing the first certificate to another user, (S522) The service provider knows that the first certificate received from the user C belongs to the user C with a probability of 1. This is because at least the service provider has memorized that the users A and B have already used the first certificate.
[0051]
As is clear from the above description, even if there are a plurality of users other than the user, the user cannot recognize his or her anonymity unless there is at least one object that cannot be distinguished from the user. Cannot be secured for service providers. This problem is caused by the fact that there is no user who cannot be identified from himself. Conversely, since the user A and the user B are mutually indistinguishable users, it is possible to ensure anonymity with respect to the service provider.
[0052]
In the anonymous authentication model in which the user receives one first certificate and uses the one first certificate, the service provider determines the number of returned first certificates from the number of returned first certificates. , How many users are using the first certificate can be stored. If it is stored that "all users who have issued the first certificate have already used the first certificate", the anonymity of the user who is newly issued the first certificate is guaranteed. Will not be.
[0053]
The present invention has been made in order to solve the above-mentioned problem, and an object of the present invention is to issue a first certificate at any time except when only one user has the same certification content. Service use method, a user device, a service use processing program, a service provider device, a service provision processing program that can always keep the first certificate owner of this user confidential from the service provider , A certificate management device, a certificate management program, and a recording medium.
[0054]
[Means for Solving the Problems]
The gist of the present invention is as follows.
[0055]
According to the present invention, first, a user who is a service user collects certification contents, that is, first certificates held by other users having the same user information, and verifies the plurality of collected first certificates at once. To the service provider who is This process will be described with reference to the example of FIG. 4 described above. Instead of providing the service provider with the “first certificate used by the user C” in (s522), the user “user A” Are provided to the service provider, including a first certificate used by the user, a first certificate used by the user B, and a first certificate used by the user C. Will be used.
[0056]
At this time, the service provider cannot know which of the three presented first certificates the first certificate created by the user C is.
[0057]
However, simply providing a plurality of different first certificates having the same proof content (ie, user information), any one of the first certificates is certainly its own first certificate. That is, for any one of the plurality of certificates presented to the service provider, it is determined that the user has a private key corresponding to the first certificate. Cannot claim to service provider. Therefore, the public key P of each user included in the first certificate u And by calculating a ring signature that protects the privacy of the user shown in FIG. 3, the service provider can determine that any one of the first certificates is its own first certificate. It is possible to claim to.
[0058]
Further, when a plurality of first certificates having the same certification content are submitted to the service provider at a time to hide which user is making the service provision request, which first certificate is Since it is hidden whether or not the user is the first certificate of the user who has made the service provision request, the "user is required to have the correct private key" in the first certificate verification process described in the above-described related art. Verification of having "cannot be performed by challenge / response.
[0059]
Therefore, in the present invention, the key pair used for the challenge / response is the public key P included in the first certificate. 1 And the corresponding private key S 1 Rather, another public key type key pair P created when using the service 2 , S 2 And the ring signature and P 2 Is provided to the service provider together with the first certificate group having the same certification contents as a second certificate.
[0060]
Thereby, the service provider holds (1) one of the first certificates by the user's public key group included in the first certificate group and the link signature included in the second certificate. It is possible to confirm that this is a service request from the user, and (2) the P included in the second certificate 2 Sends a challenge to the user based on 2 By obtaining a response based on the information, it is possible to confirm that the request is not a request from a malicious user who has tapped the information.
[0061]
The first certificate serves to objectively prove the association between the user information and the public key, while the second certificate proves that the user does possess the first certificate. Play a role.
[0062]
According to one aspect of the present invention, in order to realize the above-described method, a method of using a service using anonymous authentication of a user by a first certificate for certifying a connection between a certificate M and a public key of the user is provided. In the certificate issuance stage, the user device transmits the temporary blind signature information pre-SIG transmitted from the issuer device. SP Based on blind signature SIG SP And the user's private key S 1 And the secret key S of the user for anonymous authentication corresponding to 1 And the public key P of the paired user 1 Creates a first certificate that proves the binding of the first certificate to the certificate management device, and the certificate management device generates a blind signature SIG of the first certificate. SP Performing a first verification that verifies the user device, if the first verification is successful, stores the first certificate in a first storage device, and pre-stores the first certificate in the first storage device; And the private key S of the user 1 Reads a first certificate group including a plurality of first certificates for anonymous authentication corresponding to a secret key different from the first certificate, transmits the first certificate group to the user device, and the user device receives the first certificate A public key is extracted from each group to obtain a public key group including a plurality of public keys, and the public key P of the user is obtained. 2 , The public key group and the user's private key S 1 And the user's public key P 1 Ring signature SIG based on U And calculate the public key P 2 And ring signature SIG U Creating a second certificate consisting of: in the service use stage, the user device transmits the first certificate group, the first certificate, and the second certificate to a service provider device; The service provider device performs a blind signature SIG on each of the first certificate group and the first certificate. SP Is performed, and if the second verification is successful, the ring signature SIG of the second certificate is U And performs a third verification to verify the public key P from the second certificate. 2 And the public key P 2 And sends the challenge to the user device based on the secret key S 2 , A response is calculated and transmitted to the service provider device, and the service provider device verifies the response.
[0063]
According to another aspect of the present invention, there are provided a user device, an issuer device, a service provider device, a certificate management device for realizing the above-mentioned service using method, a program for functioning as these devices, and the program Also holds as a recording medium on which is recorded.
[0064]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
[0065]
FIG. 5 is a diagram showing an overall configuration of a service providing system to which a service providing method according to an embodiment of the present invention is applied.
[0066]
The
[0067]
The
[0068]
The
[0069]
The
[0070]
For example, a program read from a memory provided in the
[0071]
FIG. 6 is a diagram showing an example of a detailed configuration of the
[0072]
The first
[0073]
For example, a program read from a memory provided in the
[0074]
FIG. 7 is a diagram illustrating an example of a detailed configuration of the
[0075]
The first
[0076]
The second
[0077]
The key
[0078]
The “second certificate” is the public key P created by the key
[0079]
The
[0080]
The
[0081]
For example, a program read from a memory provided in the
[0082]
FIG. 8 is a diagram illustrating a configuration example of the first certificate 500 according to the present embodiment. The first certificate 500 is the public key P created by the first
[0083]
FIG. 9 is a diagram showing a configuration example of the second certificate 600. The second certificate 600 includes the public key P created by the key
[0084]
FIG. 10 shows the flow of the process of creating the second certificate 600 including the creation of the first certificate 500.
[0085]
The first
[0086]
Before issuing the first certificate A shown in (s1), the message M such as the personal information of the user is stored in advance by offline processing such as mailing or online processing between the
[0087]
As shown in FIG. 12, first, the
[0088]
Z j = P sp (R j ) G B (G A (P 1A || w j ) || M) for 1 ≦ j ≦ N
Here, “||” represents a bit combination and g A (•), g B (•) represents a publicly-aware collision-resistant one-way hash function. These one-way hash functions g that are difficult to collide with A (•) and g B (·) May be the same function (the same algorithm). Also, P sp Represents a public key widely disclosed by a service provider, and M represents a specific message.
[0089]
Note that the public key P 1A Does not disclose it to anyone at the stage of issuing the first certificate A.
[0090]
The
[0091]
The
[0092]
The
[0093]
Z k = P sp (R k ) G B (G A (P 1A || w k ) || M) for 1 ≦ k ≦ R
If they do not match, it is determined that the certificate cannot be issued, and the procedure for issuing the first certificate A ends. If they match, the process proceeds to (s107), and Z not disclosed. i The following Z for (1 ≦ i ≦ NR) i Perform a provisional blind signature on.
[0094]
pre-SIG SP = S sp (Π i Z i )
Where S sp Represents a secret key of the
[0095]
Obtained provisional blind signature pre-SIG SP Is transmitted to the user device 200 (s108).
[0096]
The
[0097]
SIG SP = Pre-SIG SP / Π i r i for all i (Π i r i = R 1 × r 2 ×… × r NR )
Also, the following is bundled and stored in the
[0098]
Cert 1A = [M, {w i }, P 1A , SIG SP ] For all i
Where {w i } = {W 1 , W 2 , ..., w NR }.
[0099]
Thus, the first certificate A issuance processing (s1, s2: s101 to s110) is completed.
[0100]
Next, the first
[0101]
The first
[0102]
Specifically, the first
Y i = G B (G A (P u || w j ) || M) for 1 ≦ j ≦ N
Is calculated, it is determined whether or not the following expression is satisfied.
[0103]
Π i Y i = P sp (SIG SP )
If it is determined that the condition is satisfied, it is proved that the user has issued the certificate from the service provider. If the verification is successful, the first
[0104]
When storing the first certificate A, the first
[0105]
The public
[0106]
FIG. 11 shows the flow of service request processing after issuing the first certificate A and the second certificate A.
[0107]
The
[0108]
In the conventional anonymous authentication method, a user receives one certificate and uses the one certificate. For this reason, when a certificate is issued and used in an arbitrary time series, anonymity of the user may not be effectively secured depending on the time series relationship. On the other hand, according to the present embodiment, even if the user receives the issuance of one first certificate, by using a plurality of the first certificates at a time, the user can use any one of the first certificates. Is kept confidential to the service provider. Therefore, even if the first certificate is issued and used in an arbitrary time sequence, the service provider can be authenticated with anonymity secured without the service provider being uniquely inferred of the user.
[0109]
The present invention is not limited to the above embodiment.
[0110]
Both the certificate issuing procedure shown in FIG. 9 and the certificate verifying procedure shown in FIG. 10 have been described as an example in which the
[0111]
In addition, the anonymous authentication method described with reference to FIG. 12 of the above embodiment is only an example, and the present invention is applied to any anonymous authentication method that authenticates an electronic certificate without providing attribute information of a subject. It is, of course, applicable.
[0112]
Further, although an example is shown in which the secret key and other data such as certificates are stored in the same storage device, the secret key may be stored in another storage device so as to be privately owned.
[0113]
The programs are read from the memories provided in the
[0114]
【The invention's effect】
As described in detail above, according to the present invention, it is possible to provide a service in which anonymity is ensured without uniquely estimating a person to be authenticated by an authenticator.
[Brief description of the drawings]
FIG. 1 is a conceptual diagram of the mechanism of an anonymous authentication scheme.
FIG. 2 is a diagram showing a flowchart of a normal signature method.
FIG. 3 is a diagram showing a flowchart of a ring signature.
FIG. 4 is a diagram for explaining a problem of the anonymous authentication method.
FIG. 5 is a diagram showing an overall configuration of a service providing system to which a digital certificate management method according to an embodiment of the present invention is applied.
FIG. 6 is an exemplary view showing an example of a detailed configuration of the service provider apparatus according to the embodiment.
FIG. 7 is an exemplary view showing an example of a detailed configuration of the user device according to the embodiment.
FIG. 8 is an exemplary view showing a configuration example of a first certificate according to the embodiment.
FIG. 9 is an exemplary view showing a configuration example of a second certificate according to the embodiment.
FIG. 10 is an exemplary view showing the flow of a process of creating a second certificate 600 including creation of the first certificate 500 according to the embodiment.
FIG. 11 is an exemplary view showing the flow of a service request process after issuing the first certificate A and the second certificate A according to the embodiment.
FIG. 12 is a diagram showing an example of a process for creating a first certificate A.
[Explanation of symbols]
100: service provider device, 110: first certificate issuing unit, 120: first certificate verification unit, 130: second certificate verification unit, 200: user device, 210: first certificate creation Unit, 220: second certificate creation unit, 230: service request unit, 300: certificate management device, 310: first certificate verification unit, 320: first certificate management unit
Claims (14)
証明書発行段階では、
ユーザ装置が、
発行者装置から送信された仮ブラインド署名情報pre−SIGSPに基づき、ブラインド署名SIGSPを含み、かつユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を作成し、
前記第1の証明書を証明書管理装置に送信し、
前記証明書管理装置は、
前記第1の証明書のブラインド署名SIGSPを検証する第1の検証を行い、
前記第1の検証に成功した場合に前記第1の証明書を第1の記憶装置に格納し、
前記第1の記憶装置に予め格納され、前記ユーザ装置以外で作成され、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を読み出し前記ユーザ装置に送信し、
前記ユーザ装置は、
受信した前記第1の証明書群の各々から公開鍵を抽出して複数の公開鍵からなる公開鍵群を取得し、
ユーザの公開鍵P2に対して、前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づきリング署名SIGUを計算し、前記公開鍵P2とリング署名SIGUからなる第2の証明書を作成し、
サービス利用段階では、
前記ユーザ装置は、
サービス提供者装置に、前記第1の証明書群、第1の証明書及び第2の証明書を送信し、
前記サービス提供者装置は、
前記第1の証明書群の各々及び前記第1の証明書に対してブラインド署名SIGSPを検証する第2の検証を行い、
前記第2の検証に成功した場合に前記第2の証明書のリング署名SIGUを検証する第3の検証を行い、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して前記ユーザ装置に送信し、
前記ユーザ装置は、
前記チャレンジに対して前記秘密鍵S2を用いてレスポンスを計算して前記サービス提供者装置に送信し、
前記サービス提供者装置は、
前記レスポンスを検証する
ことを特徴とするサービス利用方法。A service usage method using anonymous authentication of a user by a first certificate for certifying a connection between a certification content M and a public key of the user,
In the certificate issuance stage,
The user equipment
Based on the provisional blind signature information pre-SIG SP transmitted from the issuer device, the contents of the certificate M and the secret key S of the user are included for the anonymous authentication corresponding to the secret key S 1 of the user, including the blind signature SIG SP. create the first certificate to prove the ties 1 and a pair of the user's public key P 1,
Transmitting the first certificate to a certificate management device;
The certificate management device,
Performing a first verification to verify the blind signature SIG SP of the first certificate;
If the first verification is successful, store the first certificate in a first storage device;
Previously stored in the first storage device, the created outside the user device, a first comprising a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user Read out the group of certificates and send it to the user device,
The user device,
Extracting a public key from each of the received first certificate groups to obtain a public key group including a plurality of public keys;
Against the public key P 2 of the user, the public key group, based on the public key P 1 of the user's private key S 1 and the user and calculate a ring signature SIG U, consisting of the public key P 2 and the ring signature SIG U Create a second certificate,
In the service use stage,
The user device,
Transmitting the first certificate group, the first certificate, and the second certificate to a service provider device;
The service provider device,
Performing a second verification to verify a blind signature SIG SP on each of the first group of certificates and the first certificate;
Performing a third verification to verify the ring signature SIG U of the second certificate if the second verification is successful;
The extracts the public key P 2 from the second certificate and calculates a challenge based on the public key P 2 transmitted to the user device,
The user device,
Using the secret key S 2 to the challenge and sends it calculates a response to the service provider device,
The service provider device,
A service utilization method characterized by verifying the response.
前記第1の証明書を送信するとともに、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を受信する第1の証明書収集部と、
前記第1の証明書群の各々から公開鍵を抽出して複数の公開鍵からなる公開鍵群を取得する公開鍵抽出部と、
ユーザの公開鍵P2に対して、前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づきリング署名SIGUを計算し、前記公開鍵P2とリング署名SIGUからなる第2の証明書を作成するリング署名計算部と、
前記第1の証明書群、第1の証明書及び第2の証明書を送信する証明書送信部と、
前記第2の証明書から抽出される公開鍵P2に基づき計算されたチャレンジを受信し、該チャレンジに対して前記秘密鍵S2を用いてレスポンスを計算して前記サービス提供者装置に送信するレスポンス計算部と
を具備したことを特徴とするユーザ装置。Based on the provisional blind signature information pre-SIG SP, blind signature comprises SIG SP, and the public user of the secret key S 1 pair of the user and certified contents M for anonymous authentication corresponding to the private key S 1 of the user and the first of the certificate creation unit that creates a first certificate to prove the ties of key P 1,
It transmits the first certificate, the receiving the first certificate group composed of a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user 1 certificate collection unit,
A public key extracting unit that extracts a public key from each of the first certificate groups and obtains a public key group including a plurality of public keys;
Against the public key P 2 of the user, the public key group, based on the public key P 1 of the user's private key S 1 and the user and calculate a ring signature SIG U, consisting of the public key P 2 and the ring signature SIG U A ring signature calculation unit for creating a second certificate;
A certificate transmitting unit that transmits the first certificate group, the first certificate, and the second certificate;
Receiving the calculated challenge based on the public key P 2 extracted from the second certificate, calculates the response and transmits to the service provider device with the respect to the challenge secret key S 2 A user device comprising a response calculation unit.
仮ブラインド署名情報pre−SIGSPに基づき、ブラインド署名SIGSPを含み、かつユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を作成する処理と、
前記第1の証明書を送信するとともに、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を受信する処理と、
前記第1の証明書群の各々から公開鍵を抽出して複数の公開鍵からなる公開鍵群を取得する処理と、
ユーザの公開鍵P2に対して、前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づきリング署名SIGUを計算し、前記公開鍵P2とリング署名SIGUからなる第2の証明書を作成する処理と、
前記第1の証明書群、第1の証明書及び第2の証明書を送信する処理と、
前記第2の証明書から抽出される公開鍵P2に基づき計算されたチャレンジを受信し、該チャレンジに対して前記秘密鍵S2を用いてレスポンスを計算して前記サービス提供者装置に送信する処理と
実行させるためのサービス利用処理プログラム。On the computer,
Based on the provisional blind signature information pre-SIG SP, blind signature comprises SIG SP, and the public user of the secret key S 1 pair of the user and certified contents M for anonymous authentication corresponding to the private key S 1 of the user Creating a first certificate that proves the binding of key P 1 ;
Transmits the first certificate, the process of receiving a first certificate group composed of a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user When,
A process of extracting a public key from each of the first certificate groups to obtain a public key group including a plurality of public keys;
Against the public key P 2 of the user, the public key group, based on the public key P 1 of the user's private key S 1 and the user and calculate a ring signature SIG U, consisting of the public key P 2 and the ring signature SIG U Creating a second certificate;
Transmitting the first certificate group, the first certificate, and the second certificate;
Receiving the calculated challenge based on the public key P 2 extracted from the second certificate, calculates the response and transmits to the service provider device with the respect to the challenge secret key S 2 Service use processing program for processing and execution.
前記第1の検証に成功した場合に、前記第2の証明書のリング署名SIGUを検証する第2の検証を行うリング署名検証部と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証するチャレンジ計算部と
を具備したことを特徴とするサービス提供者装置。Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates A first certificate verifying unit for performing a first verification for verifying the blind signature SIG SP ;
A ring signature verification unit that performs a second verification that verifies a ring signature SIG U of the second certificate when the first verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a challenge calculation unit for verifying the response.
各々がブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明するものであって、ユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を含む複数の第1の証明書と、ユーザの公開鍵P2に対して前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づき計算されたリング署名SIGUと前記公開鍵P2からなる第2の証明書とを受信し、前記複数の第1の証明書の各々に対してブラインド署名SIGSPを検証する第1の検証を行う処理と、
前記第1の検証に成功した場合に、前記第2の証明書のリング署名SIGUを検証する第2の検証を行う処理と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証する処理と
を実行させるためのサービス提供処理プログラム。On the computer,
Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates Performing a first verification for verifying the blind signature SIG SP ;
A process of performing a second verification for verifying a ring signature SIG U of the second certificate when the first verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a service providing process program for executing the process of verifying the response.
各々がブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明するものであって、ユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を含む複数の第1の証明書と、ユーザの公開鍵P2に対して前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づき計算されたリング署名SIGUと前記公開鍵P2からなる第2の証明書とを受信し、前記複数の第1の証明書の各々に対してブラインド署名SIGSPを検証する第1の検証を行う第1の証明書検証部と、
前記第2の検証に成功した場合に前記第2の証明書のリング署名SIGUを検証する第3の検証を行うリング署名検証部と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証するチャレンジ計算部と
を具備したことを特徴とするサービス提供者装置。A first certificate issuing unit for generating and transmitting temporary blind signature information pre-SIG SP ;
Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates A first certificate verifying unit for performing a first verification for verifying the blind signature SIG SP ;
A ring signature verification unit that performs a third verification that verifies a ring signature SIG U of the second certificate when the second verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a challenge calculation unit for verifying the response.
仮ブラインド署名情報pre−SIGSPを生成して送信する処理と、
各々がブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明するものであって、ユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を含む複数の第1の証明書と、ユーザの公開鍵P2に対して前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づき計算されたリング署名SIGUと前記公開鍵P2からなる第2の証明書とを受信し、前記複数の第1の証明書の各々に対してブラインド署名SIGSPを検証する第1の検証を行う処理と、
前記第2の検証に成功した場合に前記第2の証明書のリング署名SIGUを検証する第3の検証を行う処理と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証する処理と
を実行させるためのサービス提供処理プログラム。On the computer,
Processing for generating and transmitting temporary blind signature information pre-SIG SP ;
Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates Performing a first verification for verifying the blind signature SIG SP ;
A process of performing a third verification for verifying the ring signature SIG U of the second certificate when the second verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a service providing process program for executing the process of verifying the response.
前記第1の記憶装置に予め格納され、前記ユーザ装置以外で作成され、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を読み出し前記ユーザ装置に送信する第1の証明書管理部と
を具備したことを特徴とする証明書管理装置。A first certificate including a blind signature SIG SP and proving the association between the certification content M and the user's public key is received from the user device, and a first certificate verifying the blind signature SIG SP of the first certificate is received. A first certificate verification unit that performs verification, and stores the first certificate in a first storage device when the first verification is successful;
Previously stored in the first storage device, the created outside the user device, a first comprising a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user And a first certificate management unit for reading the group of certificates and transmitting the certificate group to the user device.
ブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明する第1の証明書をユーザ装置から受信し、該第1の証明書のブラインド署名SIGSPを検証する第1の検証を行い、前記第1の検証に成功した場合に前記第1の証明書を第1の記憶装置に格納する処理と、
前記第1の記憶装置に予め格納され、前記ユーザ装置以外で作成され、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を読み出し前記ユーザ装置に送信する処理と
を実行させるための証明書管理プログラム。On the computer,
A first certificate including a blind signature SIG SP and proving the association between the certification content M and the user's public key is received from the user device, and a first certificate verifying the blind signature SIG SP of the first certificate is received. Verifying, and storing the first certificate in a first storage device when the first verification is successful;
Previously stored in the first storage device, the created outside the user device, a first comprising a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user And a process of reading the group of certificates and transmitting the certificate group to the user device.
仮ブラインド署名情報pre−SIGSPに基づき、ブラインド署名SIGSPを含み、かつユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を作成する処理と、
前記第1の証明書を送信するとともに、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を受信する処理と、
前記第1の証明書群の各々から公開鍵を抽出して複数の公開鍵からなる公開鍵群を取得する処理と、
ユーザの公開鍵P2に対して、前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づきリング署名SIGUを計算し、前記公開鍵P2とリング署名SIGUからなる第2の証明書を作成する処理と、
前記第1の証明書群、第1の証明書及び第2の証明書を送信する処理と、
前記第2の証明書から抽出される公開鍵P2に基づき計算されたチャレンジを受信し、該チャレンジに対して前記秘密鍵S2を用いてレスポンスを計算して前記サービス提供者装置に送信する処理と
実行させるためのサービス利用処理プログラムを記録した記録媒体。On the computer,
Based on the provisional blind signature information pre-SIG SP, blind signature comprises SIG SP, and the public user of the secret key S 1 pair of the user and certified contents M for anonymous authentication corresponding to the private key S 1 of the user Creating a first certificate that proves the binding of key P 1 ;
Transmits the first certificate, the process of receiving a first certificate group composed of a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user When,
A process of extracting a public key from each of the first certificate groups to obtain a public key group including a plurality of public keys;
Against the public key P 2 of the user, the public key group, based on the public key P 1 of the user's private key S 1 and the user and calculate a ring signature SIG U, consisting of the public key P 2 and the ring signature SIG U Creating a second certificate;
Transmitting the first certificate group, the first certificate, and the second certificate;
Receiving the calculated challenge based on the public key P 2 extracted from the second certificate, calculates the response and transmits to the service provider device with the respect to the challenge secret key S 2 A recording medium on which a service use processing program for processing and execution is recorded.
各々がブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明するものであって、ユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を含む複数の第1の証明書と、ユーザの公開鍵P2に対して前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づき計算されたリング署名SIGUと前記公開鍵P2からなる第2の証明書とを受信し、前記複数の第1の証明書の各々に対してブラインド署名SIGSPを検証する第1の検証を行う処理と、
前記第1の検証に成功した場合に、前記第2の証明書のリング署名SIGUを検証する第2の検証を行う処理と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証する処理と
を実行させるためのサービス提供処理プログラムを記録した記録媒体。On the computer,
Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates Performing a first verification for verifying the blind signature SIG SP ;
A process of performing a second verification for verifying a ring signature SIG U of the second certificate when the first verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a service providing processing program for executing the processing for verifying the response.
仮ブラインド署名情報pre−SIGSPを生成して送信する処理と、
各々がブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明するものであって、ユーザの秘密鍵S1に対応する匿名認証のために証明内容Mと前記ユーザの秘密鍵S1とペアのユーザの公開鍵P1の結びつきを証明する第1の証明書を含む複数の第1の証明書と、ユーザの公開鍵P2に対して前記公開鍵群、ユーザの秘密鍵S1及びユーザの公開鍵P1に基づき計算されたリング署名SIGUと前記公開鍵P2からなる第2の証明書とを受信し、前記複数の第1の証明書の各々に対してブラインド署名SIGSPを検証する第1の検証を行う処理と、
前記第2の検証に成功した場合に前記第2の証明書のリング署名SIGUを検証する第3の検証を行う処理と、
前記第2の証明書から前記公開鍵P2を抽出し、該公開鍵P2に基づきチャレンジを計算して送信し、前記チャレンジに対して前記秘密鍵S2を用いて計算されたレスポンスを受信し、該レスポンスを検証する処理と
を実行させるためのサービス提供処理プログラムを記録した記録媒体。On the computer,
Processing for generating and transmitting temporary blind signature information pre-SIG SP ;
Each comprises a blind signature SIG SP, and be one to demonstrate the binding of a public key of the certificate contents M and user secret proof contents M of the user for anonymous authentication corresponding to the private key S 1 of the user the key S 1 and a plurality of first certificate containing the first certificate attesting ties of the public key P 1 of a pair of users, the public key group versus public key P 2 of the user, the user's secret Receiving a ring signature SIG U calculated based on the key S 1 and the user's public key P 1 and a second certificate comprising the public key P 2 , and for each of the plurality of first certificates Performing a first verification for verifying the blind signature SIG SP ;
A process of performing a third verification for verifying the ring signature SIG U of the second certificate when the second verification is successful;
The second extracts the public key P 2 from the certificate, and transmits the calculated Challenge on the basis of the public key P 2, receives the response said were calculated using the private key S 2 to the challenge And a service providing processing program for executing the processing for verifying the response.
ブラインド署名SIGSPを含み、かつ証明内容Mとユーザの公開鍵の結びつきを証明する第1の証明書をユーザ装置から受信し、該第1の証明書のブラインド署名SIGSPを検証する第1の検証を行い、前記第1の検証に成功した場合に前記第1の証明書を第1の記憶装置に格納する処理と、
前記第1の記憶装置に予め格納され、前記ユーザ装置以外で作成され、前記ユーザの秘密鍵S1とは異なる秘密鍵に対応する匿名認証のための複数の第1の証明書からなる第1の証明書群を読み出し前記ユーザ装置に送信する処理と
を実行させるための証明書管理プログラムを記録した記録媒体。On the computer,
A first certificate including a blind signature SIG SP and proving the association between the certification content M and the user's public key is received from the user device, and a first certificate verifying the blind signature SIG SP of the first certificate is received. Verifying, and storing the first certificate in a first storage device when the first verification is successful;
Previously stored in the first storage device, the created outside the user device, a first comprising a plurality of first certificates for anonymous authentication corresponding to a different secret key with the private key S 1 of the user Recording a certificate management program for executing a process of reading the certificate group and transmitting the certificate group to the user device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003075715A JP2004289247A (en) | 2003-03-19 | 2003-03-19 | Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003075715A JP2004289247A (en) | 2003-03-19 | 2003-03-19 | Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004289247A true JP2004289247A (en) | 2004-10-14 |
Family
ID=33290960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003075715A Pending JP2004289247A (en) | 2003-03-19 | 2003-03-19 | Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004289247A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007055104A1 (en) * | 2005-11-08 | 2007-05-18 | Matsushita Electric Industrial Co., Ltd. | Authentication system, signature creating device, and signature verifying device |
| JP2014127939A (en) * | 2012-12-27 | 2014-07-07 | Mizuho Information & Research Institute Inc | Fictitious name management system, fictitious name management method, and fictitious name management program |
-
2003
- 2003-03-19 JP JP2003075715A patent/JP2004289247A/en active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007055104A1 (en) * | 2005-11-08 | 2007-05-18 | Matsushita Electric Industrial Co., Ltd. | Authentication system, signature creating device, and signature verifying device |
| JP4876075B2 (en) * | 2005-11-08 | 2012-02-15 | パナソニック株式会社 | Authentication system, signature generation device, signature verification device |
| US8332649B2 (en) | 2005-11-08 | 2012-12-11 | Panasonic Corporation | Authentication system, signature creating device, and signature verifying device |
| JP2014127939A (en) * | 2012-12-27 | 2014-07-07 | Mizuho Information & Research Institute Inc | Fictitious name management system, fictitious name management method, and fictitious name management program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101298562B1 (en) | System and method for implementing digital signature using one time private keys | |
| CN109963282B (en) | Privacy protection access control method in IP-supported wireless sensor network | |
| KR100962399B1 (en) | Method for providing anonymous public key infrastructure and method for providing service using the same | |
| US20050097316A1 (en) | Digital signature method based on identification information of group members, and method of acquiring identification information of signed-group member, and digital signature system for performing digital signature based on identification information of group members | |
| US20060155985A1 (en) | Method and system with authentication, revocable anonymity and non-repudiation | |
| US20110264917A1 (en) | Method for two step digital signature | |
| EP2401838A1 (en) | System and methods for online authentication | |
| GB2434724A (en) | Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters | |
| CN108833373A (en) | The instant messaging and anonymous access method of facing relation secret protection social networks | |
| JP2005520364A (en) | System and method for updating and extending a digitally signed certificate | |
| JP4678956B2 (en) | Attribute certification program and device | |
| JP2015512109A (en) | Identification method, apparatus and system | |
| JP2015516616A (en) | Authentication method, apparatus and system | |
| Frederiksen | A holistic approach to enhanced security and privacy in digital health passports | |
| JP7222436B2 (en) | Security control method, information processing device and security control program | |
| JP2004289247A (en) | Method of using service, user apparatus, service using and processing program, service provider apparatus, service providing processing program, certificate management apparatus, certificate management program and recording medium | |
| JP2001209313A (en) | Certificate issuing device, information processor, information communication system, attribute certifying method and storage medium | |
| EP3035589A1 (en) | Security management system for authenticating a token by a service provider server | |
| JP2004242195A (en) | Attested processing method, attested instrument, attested transaction program, electronic certificate management server, and electronic certificate management system | |
| AU2015202661A1 (en) | System and methods for online authentication | |
| JP4071474B2 (en) | Expiration confirmation device and method | |
| KR100529594B1 (en) | Method for verifying public key in different certification domain | |
| HAJNÝ | Authentication Protocols and Privacy Protection | |
| JP2004328449A (en) | Method for utilizing service, user unit, service utilization processing program, service provider unit, service provision processing program, verifier unit, verification processing program, certificate management unit, certificate management program and recording medium | |
| CN118282670A (en) | Block chain bidirectional identity authentication system and method based on marker |