JP2006324929A - 匿名認証システム、装置及びプログラム - Google Patents

匿名認証システム、装置及びプログラム Download PDF

Info

Publication number
JP2006324929A
JP2006324929A JP2005146066A JP2005146066A JP2006324929A JP 2006324929 A JP2006324929 A JP 2006324929A JP 2005146066 A JP2005146066 A JP 2005146066A JP 2005146066 A JP2005146066 A JP 2005146066A JP 2006324929 A JP2006324929 A JP 2006324929A
Authority
JP
Japan
Prior art keywords
key
verification
ciphertext
group signature
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005146066A
Other languages
English (en)
Other versions
JP4744929B2 (ja
Inventor
Koji Okada
光司 岡田
Takuya Yoshida
琢也 吉田
Takehisa Kato
岳久 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2005146066A priority Critical patent/JP4744929B2/ja
Publication of JP2006324929A publication Critical patent/JP2006324929A/ja
Application granted granted Critical
Publication of JP4744929B2 publication Critical patent/JP4744929B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減し得る匿名認証システムを提供する。
【解決手段】 計算量及び通信量が小さい放送型暗号方式を匿名認証に用いる。例えば、認証検証装置10aでは、チャレンジ情報生成部13がランダムなメッセージRを生成し、暗号文生成部14が暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいてメッセージRから暗号文Cを生成し、暗号文送信部15が暗号文Cを認証要求装置30aに送信する。認証要求装置では、暗号文受信部33が暗号文Cを受信し、暗号文復号部34が、復号鍵記憶部31内の放送型暗号復号鍵Kiに基づいて暗号文Cを復号し、送信部35が復号結果を認証検証装置10aに送信する。認証検証装置10aでは、検証部16が、復号結果が元のメッセージRに一致するか否かを検証し、この検証結果を出力する。
【選択図】 図1

Description

本発明は、匿名性のある認証方式を適用する匿名認証システムに係わり、特に、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減し得る匿名認証システム、装置及びプログラムに関する。
従来、グループ署名方式を用いた認証方式などのように、匿名のユーザを認証可能な認証方式が知られている(例えば、特許文献1及び非特許文献1,2参照)。
これらの認証方式においては、検証者は認証要求者があるグループに所属しているメンバであることを認証できるが、メンバ個人を特定できない、という性質を満たす。この性質を満たす認証方式を、匿名認証方式とよぶ。
一方、匿名認証に限らず、各種の認証方式において、メンバのリボーク(無効化)は、有効期限管理や不正者排除などのために実用上必須な機能である。一般的な公開鍵基盤(PKI:Public Key Infrastructure)における認証では、無効化させるメンバの公開鍵証明書が記載された証明書失効リスト(CRL:Certificate Revocation List)を公開し、認証の際に、認証要求者の公開鍵がCRLに記載されているか否かを検証者が検証する構成により、リボークを実現している。
しかしながら、匿名認証方式では、そもそも認証要求者が匿名で特定できないため、CRLによりリボークされているか否かを検証できない。
そこで、匿名認証方式においては、従来幾つかのリボーク方式が提案されている(例えば、非特許文献3,4参照)。
非特許文献3には、PKIにおけるメンバのリボークと同様にCRLを公開するが、認証要求者が自身の公開鍵がCRLに含まれていない旨を零知識証明プロトコルによって検証者に証明する構成により、リボークを実現する方式が記載されている。
非特許文献4には、非特許文献3における零知識証明プロトコルを改善して計算量を小さくした方式が記載されている。
特開2004-054905号公報 G. Ateniese, J. Camenisch, M.Joye, G.Tsudik, A practical and provably secure coalition-resistant group signature scheme, Proceedings of CRYPTO2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000. D. Chaum, E. van Heyst, Group Signatures, Proceedings of EUROCRYPT'91, LNCS 547, Springer-Verlag, pp.257-265, 1991. G.Ateniese, D.Song, G.Tsudik, Quasi-efficient revocation in group signatures, Financial Cryptography 2002, LNCS 2357, Springer-Verlag, 2002. J.Camenisch, A.Lysyanskaya, Dynamic accumulators and application to efficient revocation of anonymous credentials, Crypto2002, LNCS 2442, Springer-Verlag, pp.61-76, 2002. A. Fiat and M. Naor, Broadcast Encryption. In Advances in Cryptology - Crypto '93, Lecture Notes in Computer Science 773, Springer-Verlag, pp. 480-491. 特許庁ホームページ,資料室,標準記述集2005.3.25,クライアント上の情報セキュリティ技術,D-3-2 デコーダリボケーション,http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/info_sec_tech/d-3-2.html,2005年5月10日アクセス M.Naor, B.Pinkas, Efficient trace and revoke schemes, Financial Cryptography 2000, LNCS 1962, Springer-Verlag, pp.1-20, 2001.
しかしながら、以上のような匿名認証方式におけるメンバのリボーク方式では、以下のような不都合がある。
非特許文献3記載の方式は、PKIにおけるCRLを用いたリボーク方式と、零知識証明プロトコルによる匿名認証方式とを組み合わせてリボークを実現する。しかしながら、一般的に零知識証明プロトコルは、計算量が大きく実用的ではない。また、非特許文献3記載の方式は、PKIにおけるリボークとは異なり、検証者だけではなく認証要求者もCRLを入手しなければならないため、認証要求者の通信量を増加させる問題がある。
非特許文献4記載の方式は、非特許文献3におけるゼロ知識証明の計算量を小さくした方式である。しかしながら、それでも非特許文献4記載の方式は、リボーク機能のない匿名認証方式に比べ、認証要求者がリボークメンバ数に比例した計算量を必要とし、結果的に認証全体の処理時間を遅くするので、実用的ではない。また、非特許文献4記載の方式は、認証要求者がCRLを入手しなければならない点では非特許文献3と同様に通信量を増加させてしまう。
以上のように、従来の匿名認証方式におけるリボーク方式は、ゼロ知識証明に起因して計算量及び通信量を増大させるため、実用的ではないという欠点がある。
本発明は上記実情を考慮してなされたものであり、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減し得る匿名認証システム、装置及びプログラムを提供することを目的とする。
始めに、本発明の概要を述べる。本発明の概要は、放送型暗号方式を用いた匿名認証方式に関する。具体的には、認証の検証者は、事前に公開された放送型暗号方式の暗号化鍵を用いてランダムなメッセージを暗号化し、認証要求者にこの暗号文を送信する。メンバである認証要求者は、予め配布された復号鍵を用いて暗号文を復号することができ、復号されたメッセージを検証者に送り返す。一方、メンバではない認証要求者は暗号文を復号できず、認証に失敗する。検証者は、最初に暗号化したランダムなメッセージと、認証要求者から返信されたメッセージが同一であることを検証し、一致すればメンバの認証成功とする。これにより、メンバの情報は一切検証者に伝わらず、かつ検証者はグループに所属しているメンバであることを検証可能となる。
このとき、認証要求者および認証検証者は、それぞれ放送型暗号方式の暗号化および復号を行うだけでよい。放送型暗号方式の暗号化および復号の計算量は、放送や再生をリアルタイムで行なえる程度に非常に小さい。このため、非常に小さい計算量で匿名認証方式が実現可能となる。また、メンバをリボークするには、リボークするメンバに配布した復号鍵では復号不可能となるように放送型暗号方式の暗号化鍵を生成しなおし、公開すればよい。これはPKIにおけるCRLの公開と同様の手間および通信量で実現可能である。
以上が本発明の概要である。次に、本発明の各局面に対応する各発明を述べる。
第1の発明は、認証検証装置と、認証要求装置とを備えた匿名認証システムであって、前記認証検証装置としては、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される暗号化鍵記憶手段と、前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段と、この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、この検証結果を出力する検証結果出力手段と、を備えており、前記認証要求装置としては、前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、前記認証検証装置から暗号文Cを受信する暗号文受信手段と、前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、この復号結果を前記認証検証装置に送信する復号結果送信手段とを備えた匿名認証システムである。
第1の発明によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置が放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置に復号させ、この復号結果を認証検証装置が検証して認証要求装置の匿名認証を行なう構成により、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
第2の発明は、認証検証装置と、認証要求装置とを備えた匿名認証システムであって、前記認証検証装置としては、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される暗号化鍵記憶手段と、グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、この検証結果を出力する検証結果出力手段と、を備えており、前記認証要求装置としては、前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、を備えた匿名認証システムである。
第2の発明によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置が放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置に復号させ、この復号結果に対して認証要求装置にグループ署名を生成させ、このグループ署名を認証検証装置が検証して認証要求装置の匿名認証を行なう構成により、グループ署名方式を用いた匿名認証においても、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
以上説明したように本発明によれば、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システム、装置及びプログラムを提供できる。
以下、本発明の各実施形態を説明するが、その前に各実施形態の要素技術である放送型暗号及びグループ署名方式について述べる。
<放送型暗号方式>
予めグループに所属する全てのメンバに復号鍵を配布し、後から特定の復号鍵のみ復号可能な暗号文を生成することが可能な放送型暗号方式が知られている(例えば、非特許文献5,6参照)。
放送型暗号方式は、予め登録された利用者への有料放送の限定受信やDVDの限定再生に広く適用されている。具体的には、予め放送受信機やDVD再生機に放送型暗号の復号鍵を格納し、有料放送やDVDのコンテンツを放送型暗号方式で暗号化することにより、特定の(例えば、登録して視聴料金を払った)放送受信機およびDVD再生機でのみコンテンツを見ることが出来るようにしている。これら適用例からわかるように、放送や再生がリアルタイムで行えるよう、放送型暗号方式の暗号化および復号の計算量は非常に小さくなるように設計されている。
放送型暗号方式は、以下の5つの関数からなる。
(1)秘密情報生成関数 Init :セキュリティパラメータを入力として、暗号化鍵および復号鍵の生成に必要な秘密情報Sを出力する。
(2)復号鍵生成関数 DKeyGen :秘密情報Sを入力として、メンバ毎に異なる復号鍵Kiを出力する。
(3)暗号化鍵生成関数 EKeyGen :秘密情報Sおよび復号可能な復号鍵を特定する情報(逆にリボークする復号鍵を特定する情報でも良い)を入力し、暗号化鍵Kvを出力する。
(4)暗号化関数E:暗号化鍵とメッセージを入力し、暗号文を出力する。
(5)復号関数D:復号鍵と暗号文を入力し、復号されたメッセージを出力する。ただし、復号鍵がリボークされている場合は、NGまたは元のメッセージとは異なるメッセージが出力される。
ここでは、一例として非特許文献7に記載の放送型暗号方式における各関数を詳細に説明する。
(1)秘密情報生成関数Init:
十分大きな素数p,q(ただし、qはp−1を割り切る)を生成する。次に、リボークする復号鍵の最大個数をvとし、以下のようなv次多項式f(x)を選ぶ。
f(x)=a0+a1x+a22+...+avv mod q
しかる後、係数a,a1,...,avおよびp,qを秘密情報Sとして出力する。また、vの値はセキュリティパラメータとして予め入力される。
(2)復号鍵生成関数 DKeyGen:
各ユーザi毎に、v<xi<qを満たす値をランダムに選択する。次に、選択した値x毎に、秘密情報Sに基づいて、以下のv次多項式を計算する。
f(xi)=a0+a1i+a2i 2+...+avi v mod q
そして、各ユーザi毎に固有の値<xi,f(xi)>を復号鍵Kiとして出力する。
(3)暗号化鍵生成関数 EKeyGen:
リボークするm個の復号鍵をKi1=(xi1,f(xi1)),Ki2=(xi2,f(xi2)),...,Kim=(xim,f(xim))とする。但し、m<vを満たす。
以降、y1=xi1,y2=xi2,...,ym=xim,ym+1=m+1,ym+2=m+2,...,yv=vとする。
次に、f(y1) mod q, f(y2) mod q,..., f(yv) mod qを計算する。
次に、秘密情報Sに基づき、乗法群Zpの部分群で位数がqである群の生成元gをランダムに生成する。最後に、
0=gf(0),h1=gf(y1) mod p,h2=gf(y2) mod p,...,hv=gf(yv) mod p を計算し、
<p,q,g,(y1,y2,...,yv),(h0,h1,h2,...hv)>を暗号化鍵Kvとして出力する。
(4)暗号化関数 E
暗号化するメッセージをM (ただしM<p)とする、乱数r (0<r<q)を選び、gr,M・h0 r,h1 r,...,hv r を計算する。そして、
<p,q,g,(y1,y2,...,yv),(gr,M・h0 r,h1 r,...,hv r)>を暗号文として出力する。
(5)復号関数 D
リボークされていない復号鍵<xi,f(xi)>が入力された場合、まずhv+1 r=(grf(xi)=(gf(xi)r mod pを計算する。以降、yv+1=xiとする。
次に、Z=(h1 rλ1・(h2 rλ2・…・ (hv rλv・(hv+1 rλv+1 mod pを計算する。
ここで、λi (i=1,...,v+1)は、次式で表されるラグランジュ(Lagrange)の補間係数である。
Figure 2006324929
復号鍵がリボークされていない場合、yv+1はy1,..,yvのいずれとも一致しないため、λiが計算可能である。このとき、ラグランジュの補間法により、ZはZ=gr・f(0)を満たす。よって、次式を計算することにより、メッセージMを復号できる。
(M・h0 r)/Z=M・gr・f(0)/gr・f(0) = M mod p
一方、リボークされた復号鍵の場合、yv+1はy1,..,ymのいずれかと一致するため、ラグランジュの補間係数を計算できず、ラグランジュの補間法を適用できない。よって、メッセージMを復号できない。
<グループ署名方式>
グループ署名とは、デジタル署名方式の一種であり、これまで様々な方式が提案されている。(例えば、非特許文献1,2参照)。グループ署名方式は、非特許文献2によれば、以下の第1乃至第3の性質を持っている。
第1の性質は、あるグループに所属する任意のメンバがグループの代表として署名を生成することが可能な性質である。第2の性質は、検証者側においては、グループのメンバにより生成された署名である旨を検証可能であるものの、署名を生成したメンバ(以下、署名者という)を特定することが困難であるという匿名性を持つ性質である。第3の性質は、特定の情報により、グループ署名から署名者を特定することが可能な性質である。
続いて、このようなグループ署名方式について、特許文献1に記載されているカメニッシュ(J. Camenisch)らのグループ署名方式を代表例として述べる。ここで、次の表1は、カメニッシュらのグループ署名方式の記号とその説明を示している。
Figure 2006324929
(Cam.1:準備)
グループ管理者GAは、元a,公開鍵e,n,素数L,元gをそれぞれ公開する。署名者Sは、秘密鍵x∈{1,…,2μ−1}を選び、公開鍵y=a mod nを作る。
(Cam.2:グループ参加要求)
署名者Sは、乱数t∈{1,…,2μ−1}を選び、公開鍵yに対する秘密鍵xの知識証明SK(y)を算出する。知識証明SK(y)は、次のc,sの組である。
=h(y‖a‖a) (mod n)
=t−xc
そして、署名者Sは、公開鍵y及び知識証明SK(y)をグループ管理者GAに送る。
(Cam.3:グループ参加証明書発行)
グループ管理者GAは、s’=s(mod λ(n))を算出し、次のcの式により、正しい秘密鍵xを署名者Sが保持している旨を検証する。
Figure 2006324929
その後、グループ管理者GAは、適切な方法で署名者Sの参加権限を確認する。
しかる後、グループ管理者GAは、y+δに対して次式のように署名を施して参加証明書νを発行し、秘密に署名者Sに送る。
ν=(y+δ) (mod n)
なお、δは例えば1である。
(Cam.4:グループ署名)
署名者Sは、u>xを満たすk個の乱数u∈{1,…,2μ−1}を選び、z=g (mod L)を求める。その後、署名者Sは、秘密鍵xの知識証明SK2(m)=(c,s2,1,…,s2,k)を次式のように求める。
Figure 2006324929
2,i=u−x …(c(i)=0のとき)
2,i=u …(その他のとき)
但し、i=1,…,k
ここで、c(i)とは、cの2進表示上位ビットからのi番目(i=1,…,k)のビットを示す。
また、署名者Sは、乱数w∈Zn*を選び、参加証明書νの知識証明SK3(m)=(c,s3,1,…,s3,k)を次式のように求める。
Figure 2006324929
3,j=w/ν …(c(j)=0のとき)
3,j=w …(その他のとき)
但し、j=1,…,k
結局、mについての署名は、SK2(m),SK3(m)である。
(Cam.5:グループ署名検証)
検証者Vは、zより署名者Sの正当性を以下のように検証し、正しければmを受理する。
Figure 2006324929
以上のようなカメニッシュのグループ署名方式は、グループ参加証明書νに関連した秘密鍵xを用いてSK2(m)を作成することから、否認不可性を実現している。また、SK3(m)の検証により、グループ公開鍵eを用いて、グループ参加証明書νを署名者Sが保持する旨を検証することから、検証性が示される。
また、検証者Vがゼロ知識証明を用いて検証するので、署名者Sの個人情報が漏洩せず、匿名性が保たれる。また、署名者Sの署名のzは1つしかない秘密鍵xから作られるので、同じ基底gを用いるとセッション同士でユーザの情報がリンク可能となる。よって、異なる基底gを用いれば、追跡不能性を満たす。
以上がカメニッシュのグループ署名方式であるが、他のグループ署名方式も同様な性質をもっている。続いて、本発明の各実施形態の説明に移る。
(第1の実施形態)
図1は本発明の第1の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図2は両装置を備えた匿名認証システムの構成を示す模式図である。
ここで、認証検証装置10aは、図示しない検証者に保持され、暗号化鍵記憶部11、書込部12、チャレンジ情報生成部13、暗号文生成部14、暗号文送信部15及び検証部16を備えている。ここで、認証検証装置10aは、例えばPC(personal computer)やICカード上で動作するSW(software)モジュールとして実現可能であり、この場合、予め記憶媒体又はネットワークから認証検証装置10aの各機能を実現させるためのプログラムが認証検証者装置VRのコンピュータにインストールされて実現される。これは以下の各実施形態でも同様である。
暗号化鍵記憶部11は、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが認証検証者装置VRから認証検証装置10aに入力されたとき、この放送型暗号暗号化鍵Kvが書込部12から書き込まれるメモリである。
書込部12は、認証検証者装置VRから入力された放送型暗号暗号化鍵Kvを暗号化鍵記憶部11に書き込むものである。
チャレンジ情報生成部13は、放送型暗号暗号化鍵Kvが認証検証者装置VRから認証検証装置10aに入力されたとき、ランダムなメッセージRを生成する機能と、メッセージRを暗号文生成部14に送出する機能をもっている。
暗号文生成部14は、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて、チャレンジ情報生成部13から受けたメッセージRを暗号化し、暗号文Cを生成する機能(暗号化関数 E)と、暗号文C及びメッセージRを暗号文送信部15に送出する機能とをもっている。
暗号文送信部15は、暗号文生成部14から受けた暗号文Cを認証要求装置30aに送信する機能と、暗号文生成部14から受けたメッセージRを検証部16に送出する機能とをもっている。
検証部16は、認証要求装置30aから受信した(暗号文Cの)復号結果が、暗号文送信部15から受けたメッセージRに一致するか否かを検証する機能と、この検証結果を出力する機能とをもっている。
以上のような認証検証装置10aは、認証検証者装置VRに装着されて使用される。このような認証検証装置10aを備えた認証検証者装置VRは、1台以上が設けられるが、説明の簡略化のため、ここでは1台の場合を例に挙げて述べる。
認証検証者装置VRは、上述した認証検証装置10aの他に、認証要求受信部17、鍵要求送信部18、暗号化鍵受信部19及び暗号化鍵管理部20を備えている。
認証要求受信部17は、認証要求者装置RQから認証要求を受信する機能と、受信した認証要求を暗号化鍵管理部20に送出する機能とをもっている。
鍵要求送信部18は、暗号化鍵管理部暗号化鍵取得要求に基づいて、グループ管理装置GMに暗号化鍵要求を送信する機能をもっている。
暗号化鍵受信部19は、グループ管理装置GMから放送型暗号暗号化鍵Kvを受信し、この放送型暗号暗号化鍵Kvを暗号化鍵管理部20に送出する機能をもっている。
暗号化鍵管理部20は、認証要求受信部認証要求に基づいて、暗号化鍵取得要求を鍵要求送信部18に送出する機能と、暗号化鍵受信部19から受けた放送型暗号暗号化鍵Kvを記憶する機能と、この放送型暗号暗号化鍵Kvを認証検証装置10aに入力する機能とをもっている。
ただし、暗号化鍵管理部20は、認証要求に基づかずに,グループ管理装置GMの鍵公開部57が放送型暗号暗号化鍵Kvを公開するタイミングで暗号化鍵取得要求を鍵要求送信部18に送出し、暗号化鍵受信部19から受けた放送型暗号暗号化鍵Kvを記憶してもよく、認証要求受信部認証要求に基づいて、記憶した放送型暗号暗号化鍵Kvを認証検証装置10aに入力してもよい。これは、以下の実施形態でも同様であり、後述するグループ検証鍵KGvを取得する場合でも同様である。
補足すると、認証検証者装置VRは、公開されている放送型暗号暗号化鍵Kvを認証要求に基づいて取得することもあり、認証要求に基づかずに取得することもある。認証要求に基づかずに取得する場合としては、例えば、定期的にしか放送型暗号暗号化鍵Kvが更新されない運用の場合がある。この場合、暗号化鍵管理部20は、更新直後となるような一定期間毎に放送型暗号暗号化鍵Kvを取得して記憶しておき、認証要求を受けたときに、記憶してある放送型暗号暗号化鍵Kvを認証検証装置10aに入力する構成とすることが、グループ管理装置GMとの間の通信量を必要最小限に抑える観点から好ましい。また別の例としては、グループ管理装置GMが放送型暗号暗号化鍵Kvを公開したことを、ここでは図示しない手段によって認証検証者装置VRへ通知し、暗号化鍵管理部20はこの通知に基づいて放送型暗号暗号化鍵Kvを取得する構成とすることにより、同様にグループ管理装置GMとの間の通信量を必要最小限に抑えることが出来る。
一方、認証要求装置30aは、図示しない認証要求者に保持されており、復号鍵記憶部31、書込部32、暗号文受信部33、暗号文復号部34及び送信部35を備えている。ここで、認証要求装置30aは、例えばPC(personal computer)やICカード上で動作するSW(software)モジュールとして実現可能であり、この場合、予め記憶媒体又はネットワークから認証要求装置30aの各機能を実現させるためのプログラムが認証要求者装置RQのコンピュータにインストールされて実現される。これは以下の各実施形態でも同様である。
復号鍵記憶部31は、放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが認証要求者装置RQから認証要求装置30aに入力されたとき、この放送型暗号復号鍵Kiが書込部32から書き込まれるメモリである。
書込部32は、認証要求者装置RQから入力された放送型暗号復号鍵Kiを復号鍵記憶部31に書き込むものである。
暗号文受信部33は、認証検証装置10aから暗号文Cを受信する機能と、暗号文Cを暗号文復号部34に送出する機能をもっている。
暗号文復号部34は、復号鍵記憶部31内の放送型暗号復号鍵Kiに基づいて、暗号文受信部33から受けた暗号文Cを復号する機能(復号関数 D)と、得られた復号結果を送信部35に送出する機能とをもっている。
送信部35は、暗号文復号部34から受けた復号結果を認証検証装置10aに送信する機能をもっている。
以上のような認証者要求装置30aは、認証要求装置RQに装着されて使用される。このような認証要求装置30aを備えた認証要求装置RQは、1台以上が設けられるが、説明の簡略化のため、ここでは1台の場合を例に挙げて述べる。
認証要求者装置RQは、上述した認証要求装置30aの他に、参加要求送信部36、復号鍵受信部37、復号鍵管理部38及び認証要求送信部39を備えている。
参加要求送信部36は、認証要求者の操作により、グループ参加要求をグループ管理装置GMに送信する機能をもっている。
復号鍵受信部37は、グループ管理装置GMから放送型暗号復号鍵Kiを受信する機能と、受信した放送型暗号復号鍵Kiを復号鍵管理部38に送出する機能とをもっている。
復号鍵管理部38は、復号鍵受信部37から受けた放送型暗号復号鍵Kiを記憶する機能と、認証要求送信部39による認証要求の送信の際に、この放送型暗号復号鍵Kiを認証要求装置30aに入力する機能とをもっている。
認証要求送信部39は、認証要求者の操作により、認証要求を認証検証者装置VRに送信するものである。
また一方、グループ管理装置GMは、秘密情報管理部51、参加要求受信部52、放送型暗号復号鍵生成部53、鍵送信部54、失効情報入力部55、放送型暗号暗号化鍵生成部56、暗号化鍵公開部57及び制御部58を備えている。
秘密情報管理部51は、放送型暗号方式に基づいて、放送型暗号暗号化鍵Kv及び放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する機能(秘密情報生成関数 Init)と、この秘密情報Sを記憶する機能とをもっている。この秘密情報は、前述した非特許文献7の例の場合、係数a,a1,...,avおよびp,qに対応する。
参加要求受信部52は、認証要求者装置からグループ参加要求を受信する機能と、このグループ参加要求を制御部58に送出する機能とをもっている。
放送型暗号復号鍵生成部53は、制御部58に制御され、制御部58から受けたグループ参加要求と秘密情報管理部51内の秘密情報Sとに基づいて、認証要求者装置RQに固有の放送型暗号復号鍵Kiを生成する機能(復号鍵生成関数 DKeyGen)と、この放送型暗号復号鍵Kiを鍵送信部54に送出する機能とをもっている。
鍵送信部54は、放送型暗号復号鍵生成部53から受けた放送型暗号復号鍵Kiを認証要求者装置RQに送信する機能をもっている。
失効情報入力部55は、グループ管理者の操作により、失効対象の放送型暗号復号鍵Kiの部分集合を特定する失効情報を放送型暗号暗号化鍵生成部56に入力する機能をもっている。この失効情報は、前述した非特許文献7の例の場合、リボークするm個の復号鍵:Ki1=(xi1,f(xi1)),Ki2=(xi2,f(xi2)),...,Kim=(xim,f(xim))に対応する。
放送型暗号暗号化鍵生成部56は、認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、放送型暗号方式に基づいて、秘密情報管理部51内の秘密情報S及び当該失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する機能(暗号化鍵生成関数 EKeyGen)とをもっている。補足すると、放送型暗号暗号化鍵Kiは、グループ生成時及び新たな復号鍵の失効時毎に生成される。失効情報としては、失効させる全ての復号鍵からなる部分集合(例、失効させる復号鍵が無い空集合の場合もあり、1以上の復号鍵を含む部分集合の場合もある)を特定する情報であればよい。
暗号化鍵公開部57は、グループ管理者の操作により、放送型暗号暗号化鍵生成部56により生成された放送型暗号暗号化鍵Kvを認証検証者装置VRから取得可能に公開する機能をもっている。
制御部58は、放送型暗号方式に基づいて、各部51〜54を制御する機能をもっている。
次に、以上のように構成された匿名認証方式の動作を説明する。
(グループ管理方式)
グループ管理装置GMは、予め放送型暗号方式の秘密情報生成関数を用いて生成された秘密情報Sを秘密情報管理部51に保持する。
認証要求者装置RQは、あるグループへ参加する際に、グループ管理装置GMにグループ参加要求を送信する。
グループ管理装置GMは、グループ参加要求を受信すると、放送型暗号復号鍵生成部53により、秘密情報管理部51の秘密情報Sを入力として、放送型暗号方式の復号鍵生成関数MKeyGenを実行して認証要求者ごとに異なる復号鍵Kiを生成する。
この復号鍵Kiは、鍵送信部54から認証要求者装置RQへ送信される。
認証要求者装置RQは、受信した復号鍵Kiを復号鍵管理部38に保管する。
一方、グループ管理装置GMは、グループ生成時および復号鍵のリボークが必要となる毎に暗号化鍵Kvを生成し、鍵公開部57により公開する。暗号化鍵Kvは、秘密情報管理部51の秘密情報S、およびリボークする復号鍵全てを特定可能な失効復号鍵情報を入力として、放送型暗号暗号化鍵生成部56により、放送型暗号方式の暗号化鍵生成関数EKeyGenを実行して生成する。
ここで、認証要求者が検証者に対して認証を行う際は、認証要求者装置RQより認証要求を検証者装置VRへ送信する。このとき、認証要求者装置RQでは、復号鍵管理部38に保管された放送型暗号復号鍵Kiを認証要求装置30aへ入力する。
一方、認証検証者装置VRは、一定期間毎または認証要求者装置RQより認証要求を受信する毎に、認証要求受信部17、鍵要求送信部18及び暗号化鍵受信部19によりグループ管理装置によって公開された暗号化鍵Kvを取得し、暗号化鍵管理部20を介して認証検証装置10aに入力する。また、暗号化鍵管理部20は、必要であれば暗号化鍵Kvを保管する。
このように、認証要求装置30aに放送型暗号復号鍵Kiが入力され、認証検証装置10aに放送型暗号暗号化鍵Kv鍵が入力されると、両装置30a,10a間で匿名認証が開始される。
(匿名認証:図3)
次に、匿名認証の動作を図3を参照して説明する。
認証検証装置10aは、前述した認証要求に伴って入力された放送型暗号の暗号化鍵Kvを暗号化鍵記憶部11に書き込み、チャレンジ情報生成部13を起動する。
チャレンジ情報生成部13は、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14に送出する(ST1)。
暗号文生成部14は、このメッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成する(ST2)。ここで、Eは放送型暗号方式の暗号化関数であり、E(Kv,R)の表記は、鍵Kvを用いてメッセージRを暗号化することを意味する。その後、暗号文生成部14は、この暗号文C=E(Kv,R)及びメッセージRを暗号文送信部15に送出する。
暗号文送信部15は、暗号文Cを認証要求装置30aに送信する一方(ST3)、メッセージRを検証部16に送出する。
認証要求装置30aでは、前述したように、入力された放送型暗号復号鍵Kiが復号鍵記憶部31に書き込まれている。ここで、認証要求装置30aは、暗号文受信部33により暗号文C=E(Kv,R)を受信する(ST4)。暗号文受信部33は、この暗号文C=E(Kv,R)を暗号文復号部34に送出する。
暗号文復号部34は、暗号文Cを復号鍵Kiに基づいて復号し(ST5)、復号されたメッセージR’=D(Ki,C)(=R)又はNGを得る。ここで、Dは、放送型暗号方式の復号関数であり、D(Ki,C)は、鍵Kiを用いて暗号文Cを復号することを意味する。また、復号鍵Kiがリボークされている場合、または復号鍵が入力されない場合は復号結果としてNGが出力される場合もある。
いずれにしても、暗号文復号部34は、復号したメッセージR’又はNGを送信部35に送出する。送信部35は、復号されたメッセージR’またはNGを認証検証装置10aへ送信する(ST6)。
認証検証装置10aにおいては、図示しない受信部を介してメッセージR’またはNGを受信する。受信されたメッセージR’またはNGは、検証部16に送出される。
検証部16は、メッセージR’またはNGのいずれを受信したかを判定し(ST7)、NGを受信した場合、認証失敗(NG)を出力する。
一方、メッセージR’を受信した場合、検証部16は、受信したメッセージR’と元のメッセージRを比較する(ST8)。両メッセージR’,Rが一致する場合、検証部16は、認証成功(OK)を出力する。両メッセージR’,Rが不一致の場合、検証部16は、認証失敗(NG)を出力する。
上述したように本実施形態によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置10aが放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置30aに復号させ、この復号結果を認証検証装置10aが検証して認証要求装置30aの匿名認証を行なう構成により、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
以上の手順では、認証要求者に配布された放送型暗号復号鍵の情報は一切検証者へ伝わらず、よって匿名で認証が可能である。また、リボークされた復号鍵は必ず暗号文の復号に失敗するため、認証に成功することはない。よって検証者は放送型暗号の暗号化鍵を用いて暗号文を生成し、復号の可否を検証するだけで、容易にメンバの認証が可能である。
以上の匿名認証システムによれば、放送型暗号の暗号化鍵を更新することにより、メンバのリボークを容易に行うことができる。
(第2の実施形態)
図4は本発明の第2の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図5は両装置を備えた匿名認証システムの構成を示す模式図であって、図1及び図2と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
すなわち、本実施形態は、第1の実施形態の変形例であり、認証の安全性の向上を図るものであって、具体的には、認証検証装置10bには、検証者識別情報記憶部21及びハッシュ値生成部22が付加されており、認証要求装置30bには、識別情報検証部40及びハッシュ値検証部41が付加されている。これに伴い、第2の実施形態において、入出力先や処理データ等が変わった構成要素にはbの添字を付している。この種の添字は、以下の各実施形態でも同様にして、若干変わった構成要素に付している。
ここで、識別情報記憶部21は、認証検証装置10bに固有の検証者識別情報IDvが記憶されるメモリである。
暗号文生成部14bは、チャレンジ情報生成部13bから受けたメッセージR及び検証者識別情報記憶部21内の検証者識別情報IDvを連結し、連結データR‖IDvを得る機能と、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて連結データR‖IDvを暗号化し、暗号文Cを生成する機能と、得られた暗号文Cを暗号文送信部15bに送出する機能とをもっている。
ハッシュ値生成部22は、一方向性関数Hにより、チャレンジ情報生成部13bにより生成されたメッセージRのハッシュ値H(R)を生成する機能と、このハッシュ値H(R)を暗号文送信部15bに送出する機能とをもっている。
暗号部送信部15bは、暗号文生成部14bにより得られた暗号文C、ハッシュ値生成部22により得られたハッシュ値H(R)及び検証者識別情報記憶部21内の検証者識別情報IDvを認証要求装置に送信する機能をもっている。
暗号文受信部33bは、認証検証装置10bから暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信して暗号文復号部34bに送出するものである。
暗号文復号部34bは、復号鍵記憶部31内の放送型暗号復号鍵Kiに基づいて、暗号文受信部から受けた暗号文Cを復号し、連結データR’‖IDv’を得る機能と、この連結データR’‖IDv’、ハッシュ値H(R)及び検証者識別情報IDvを識別情報検証部40に送出するものである。
識別情報検証部40は、暗号文復号部34bから受けた連結データ内の検証者識別情報IDv’と、受信した検証者識別情報IDvとが一致するか否かを検証する機能と、両者が一致するとき、メッセージR’及びハッシュ値H(R)をハッシュ値検証部41に送出する機能とをもっている。
ハッシュ値検証部41は、連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と、認証検証RQ装置から受信したハッシュ値H(R)とが一致するか否かを検証する機能をもっている。
送信部35bは、識別情報検証部40及びハッシュ値検証部41の各検証結果がそれぞれ一致を示すとき、連結データ内のメッセージR’を認証検証装置10bに送信する機能をもっている。
次に、以上のように構成された匿名認証システムの動作を説明する。
いま、前述同様に、認証要求装置30b及び認証検証装置10bは、匿名認証を開始するとする。認証検証装置10bは、前述同様に、チャレンジ情報生成部13bを起動する。
チャレンジ情報生成部13bは、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14bに送出する。
暗号文生成部14bは、このメッセージRと、暗号化鍵記憶部11内の検証者識別情報IDvとを連結し、得られた連結データR‖IDvを暗号化鍵Kvにより暗号化し、暗号文C=E(Kv,R‖IDv)を生成する。ここで、‖はデータの連結を意味する。
しかる後、暗号文生成部14bは、暗号文C=E(Kv,R‖IDv)、検証者識別情報IDv及びメッセージRを暗号文送信部15bに送出する。
一方、ハッシュ値生成部22は、予め認証要求装置30bと同意している一方向性ハッシュ関数Hを用いてメッセージRのハッシュ値H(R)を生成し、このハッシュ値H(R)を暗号文送信部15bに送出する。
そして、暗号文送信部15bは、暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを認証要求装置30bへ送信する一方、メッセージRを前述同様に検証部16に送出する。
認証要求装置30bは、受信した暗号文Cを暗号文復号部34bにより復号鍵Kiを用いて復号し、R’‖IDv’=D(Ki,C)=R‖IDvを計算する。
認証要求装置30bは、さらに識別情報検証部40により、受信したIDvが認証を要求した検証者を特定する情報であること、またIDvを受信した場合は復号したIDv’が受信したIDvと同一であること、すなわちIDv’=IDvであることを検証する。
識別情報検証部40は、検証に失敗した場合にはNGを送信部35bへ送出し、検証に成功した場合には、復号されたメッセージR’=R及びハッシュ値H(R’)をハッシュ値検証部41に送出する。
ハッシュ値検証部41は、予め認証検証装置10bと同意している一方向性ハッシュ関数Hを用いて、復号されたメッセージR’のハッシュ値H(R’)を計算し、得られたH(R’)と受信したハッシュ値H(R)とが同一であること、すなわちH(R’)=H(R)であることを検証する。
ハッシュ値検証部41は、検証に失敗した場合にはNGを送信部35bへ送出し、検証に成功した場合には、復号したメッセージR’を送信部35bへ送出する。
送信部35bは、復号されたメッセージR’又はNGを認証検証装置10bに送信する。以下、前述同様に認証検証装置10bは、受信内容を検証する。
上述したように本実施形態によれば、第1の実施形態の作用効果に加え、識別情報検証部40による検証者識別情報IDvの検証と、ハッシュ値検証部41によるハッシュ値H(R)の検証とにより、認証要求装置10bは不正な検証者から送られる暗号文を排除することが可能となる。これにより、不正な検証者が認証要求装置10bに不正な暗号文を復号させ、復号鍵に関する情報を得ようとする攻撃、いわゆる選択暗号文攻撃に対して安全な認証が可能となる。
(第3の実施形態)
図6は本発明の第3の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図7は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第1の実施形態の変形例であり、復号鍵の有効期限制御機能を追加したものであって、具体的には、認証検証装置10cには、内部時計装置23が付加されており、認証要求装置30cには、有効期限検証部42が付加されている。
ここで、内部時計装置23は、現在の時間情報Tを生成する機能と、この時間情報Tを暗号文生成部14cに提供する機能とをもっている。
暗号文生成部14cは、メッセージR及び時間情報Tを連結し、連結データR‖Tを生成する機能と、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて連結データR‖Tを暗号化し、暗号文Cを生成する機能と、生成した暗号文Cを暗号文送信部15cに送出する機能とをもっている。
復号鍵記憶部31cは、放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが認証要求装置30cに入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが書込部32cを介して記憶されるものである。
有効期限検証部42は、暗号文復号部34cにより暗号文Cから復号された連結データ内の時間情報T’が復号鍵記憶部31c内の有効期限Expを過ぎたか否かを検証する機能と、この検証の結果、時間情報T’が有効期限Expを過ぎていないとき、連結データ内のメッセージR’を送信部35cに送出する機能とをもっている。
ここで、有効期限Expについて補足説明する。認証要求者には、予め放送型暗号復号鍵Kiとあわせて有効期限Expが配布される。ここで、復号鍵Kiと有効期限Expは不可分であることが望ましく、また復号鍵Ki と有効期限Expは改ざんされることなく認証要求装置30cへ入力される手段が用意されていることが望ましい。また、認証要求装置30cは、匿名認証手順を正当に実行し、実行中の情報が外部に漏れないようにする観点から、耐タンパ化されていることが望ましい。
復号鍵Kiと有効期限Expとを不可分にする手段としては、例えば、復号鍵Kiと有効期限Expとを予め書込んだICカードなどの耐タンパ装置を配布しても良く、復号鍵Kiと有効期限Expとを耐タンパソフトウェア化した状態で配布しても良い。また、復号鍵Kiと有効期限Expとが改ざんされずに認証要求装置30cに入力されるためには、例えば、ICカードと認証要求装置30c間で別途用意された安全な通信路を通じて入力されても良く、認証要求装置30cのみが耐タンパ化された復号鍵Kiと有効期限Expにアクセスできる手段が用意されていても良い。
次に、以上のように構成された匿名認証システムの動作を説明する。
(グループ管理)
いま、前述同様に、グループ管理装置GMcは、グループ参加要求に基づいて、放送型暗号復号鍵Kiを生成する。但し、グループ管理装置GMcは、放送型暗号復号鍵Kiに有効期限Expを付加する。そして、グループ管理装置GMcは、これら放送型暗号復号鍵Ki及びその有効期限Expを認証要求者装置RQcに送信する。
これにより、認証要求者装置RQdは、放送型暗号復号鍵及び有効期限Expを受信して認証要求装置30cに入力する。
(匿名認証)
いま、前述同様に、認証要求装置30c及び認証検証装置10cは、匿名認証を開始するとする。但し、復号鍵記憶部31cには、放送型暗号復号鍵Ki及び有効期限Expが記憶されている。認証検証装置10cは、前述同様に、チャレンジ情報生成部13cを起動する。
チャレンジ情報生成部13cは、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14cに送出する。
暗号文生成部14cは、このメッセージRと、内部時計装置23から得られる現在の時間情報Tとを連結し、得られた連結データR‖Tを暗号化鍵Kvにより暗号化し、暗号文C=E(Kv,R‖T)を生成する。
しかる後、暗号文生成部14cは、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出する。
暗号文送信部15cは、暗号文C=E(Kv,R‖T)を認証要求装置30cへ送信する一方、メッセージRを前述同様に検証部16に送出する。
認証要求装置30cは、受信した暗号文Cを暗号文復号部34cにより復号鍵Kiを用いて復号し、R’‖T’=D(Ki,C)=R‖Tを計算する。
認証要求装置30cは、さらに有効期限検証部42により、復号した時間情報Tと、復号鍵記憶部31c内の有効期限Expとを比較し、有効期限Expが時間情報T’を過ぎていればNGを送信部35cに送出し、過ぎていなければ復号したメッセージR’を送信部35cに送出する。
送信部35cは、復号されたメッセージR’又はNGを認証検証装置10cに送信する。以下、前述同様に認証検証装置10cは、受信内容を検証する。
上述したように本実施形態によれば、第1の実施形態の作用効果に加え、有効期限検証部42による放送型暗号復号鍵Kiの有効期限Expを検証することにより、有効期限切れの復号鍵は認証に失敗する。これにより、有効期限切れの復号鍵はリボークしなくてもよく、リボークする復号鍵情報の管理が容易となる。
(第4の実施形態)
図8は本発明の第4の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図9は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第1の実施形態の変形例であり、グループ署名方式を併せて適用し、より安全性の向上を図るものであって、具体的には、認証検証装置10dには、検証部16に代えて、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30dには、グループ署名生成部43が付加されている。また、グループ管理装置GMdには、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
ここで、暗号化鍵記憶部11dは、前述した放送型暗号暗号化鍵Kvに加え、グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが認証検証装置10dに入力されたとき、これら放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが書込部12dから書き込まれるメモリである。
メッセージ入力部24は、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが認証検証装置10dに入力されたとき、グループ署名の対象となる署名対象メッセージMを生成し、この署名対象メッセージMを暗号文送信部15dに入力する機能をもっている。
グループ署名検証部25は、認証要求装置30dから受信したグループ署名GSを暗号化鍵記憶部11内のグループ署名検証鍵KGvに基づいて検証する機能と、検証結果を出力する機能とをもっている。
一方、復号鍵記憶部31dは、前述した放送型暗号復号鍵Kiに加え、グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが認証要求装置30dに入力されたとき、これら放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが書込部32dから書き込まれるメモリである。
グループ署名生成部43は、復号により得られたメッセージR’及び受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する機能と、復号鍵記憶部31d内のグループ署名メンバ鍵KGiに基づいて、連結データR’‖Mに対するグループ署名GSを生成する機能と、このグループ署名GSを送信部35dに送出する機能とをもっている。
グループ署名管理部60は、前述したカメニッシュ方式のようなグループ署名方式を実行するものであり、例えば予め元a,公開鍵e,n,素数L,元gを生成してそれぞれ鍵公開部57等により公開する機能と、グループ生成時にグループ鍵生成部61によりグループ署名検証鍵KGvを生成させる機能と、得られたグループ署名検証鍵KGvを鍵公開部57に公開させる機能と、グループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiを生成させる機能と、得られたグループ署名メンバ鍵KGiを鍵送信部54に送出する機能とをもっている。
グループ鍵生成部61は、グループ署名管理部60に制御され、グループ署名方式に基づいて、グループ署名検証鍵KGv(例、前述したカメニッシュ方式(特許文献1の第41段落記載)のグループ公開鍵e)を生成する機能と、このグループ署名検証鍵KGvをグループ署名管理部60に送出する機能とをもっている。
メンバ鍵生成部62は、グループ署名管理部60に制御され、グループ参加要求とグループ署名方式に基づいて、グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGi(例、前述したカメニッシュ方式(特許文献1の第33段落記載)の参加証明書v及び秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵xの生成機能,及びCam.3:グループ参加証明書発行機能)と、このグループ署名メンバ鍵KGiをグループ署名管理部60に送出する機能とをもっている。補足すると、この例では、前述したカメニッシュ方式とは若干異なる運用により、グループ管理装置GMdがメンバの秘密鍵x、公開鍵y及び参加証明書vを生成し、グループ署名メンバ鍵KGi(=秘密鍵x及び参加証明書v)及び公開鍵yを認証要求者装置RQdに送信する場合を想定している。
ただし、言うまでも無く、前述したカメニッシュ方式と同じ運用も可能である。すなわち、認証要求者装置RQd内の図示しない鍵生成部がグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵x及び公開鍵yの生成機能)及びグループ参加要求とあわせて前記生成したグループ署名メンバ鍵KGiの一部に関する情報(例、前述したカメニッシュ方式の公開鍵y及び知識証明SK(y))を生成し、グループ管理装置GMdへ送信する機能(例、前述したCam.2:グループ参加要求機能)をもっている場合、メンバ鍵生成部62は、認証要求者装置RQdから受信したグループ署名メンバ鍵KGiの一部に関する情報から、対応するグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の参加証明書v)を生成する機能(例、前述したCam.3:グループ参加証明書発行機能)と、このグループ署名メンバ鍵KGiをグループ署名管理部60に送出する機能とをもっていれば良い。
次に、以上のように構成された匿名認証システムの動作を説明する。
(グループ管理方式)
グループ管理装置GMdは、グループ生成時に前述した放送型暗号方式のグループ管理と平行して、グループ署名方式のグループ管理をも実行する。
すなわち、グループ署名管理部60は、グループ鍵生成部61によりグループ署名検証鍵KGvを生成させ、得られたグループ署名検証鍵KGvを鍵公開部57に公開させる。これにより、認証検証者装置VRdは、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvを取得して認証検証装置10dに入力する。
また、グループ管理装置GMdは、認証要求者装置RQdからグループ参加要求を受けた場合も、前述した放送型暗号方式のグループ管理と並行して、グループ署名方式のグループ管理をも実行する。
すなわち、グループ管理装置GMdにおいては、参加要求受信部52dがグループ参加要求を受信して制御部58dに送出する。制御部58dは、前述した放送型暗号方式のグループグループ管理と並行して、グループ署名方式のグループ管理を実行するように、グループ署名管理部60を起動し、グループ参加要求を転送する。
グループ署名管理部60は、制御部58dから受けたグループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiを生成させる。
しかる後、グループ署名管理部60は、得られたグループ署名メンバ鍵KGiを鍵送信部54に送出する。これにより、鍵送信部54は、前述した放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを認証要求者装置RQdに送信する。認証要求者装置RQdは、放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを受信して認証要求装置30dに入力する。
ただし、認証要求者装置RQd内の図示しない鍵生成部がグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵x及び公開鍵yの生成機能)及びグループ参加要求とあわせて前記生成したグループ署名メンバ鍵KGiの一部に関する情報(例、前述したカメニッシュ方式の公開鍵y及び知識証明SK(y))を生成し、グループ管理装置へ送信する機能(例、前述したCam.2:グループ参加要求機能)をもっている場合、グループ署名管理部60は、制御部58dから受けたグループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiの一部を生成させる。
しかる後、グループ署名管理部60は、得られたグループ署名メンバ鍵KGiの一部を鍵送信部54に送出する。認証要求者装置RQdは、内部で生成したグループ署名メンバ鍵KGiの一部と、復号鍵受信部37dにより受信したグループ署名メンバ鍵KGiの一部を組み合わせてグループ署名メンバ鍵KGi(例えば,前述したカメニッシュ方式の秘密鍵x及び参加証明書v)として、復号鍵管理部38に格納する。
(匿名認証)
いま、前述同様に、認証要求装置30d及び認証検証装置10dは、匿名認証を開始するとする。但し、復号鍵記憶部31dには、放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが記憶されている。また、暗号化鍵記憶部11dには、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが記憶されている。
認証検証装置10dは、前述同様に、チャレンジ情報生成部13を起動する。
チャレンジ情報生成部13は、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14に送出する。
暗号文生成部14は、このメッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成し、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出する。
また、メッセージ入力部24は、検証者の操作により、必要に応じてグループ署名の署名対象メッセージMを暗号文送信部15dに入力する。
暗号文送信部15dは、暗号文C=E(Kv,R)及び署名対象メッセージMを認証要求装置30dへ送信する。
認証要求装置30dは、受信した暗号文Cを暗号文復号部34dにより復号鍵Kiを用いて復号し、R’=D(Ki,C)=Rを計算する。また、暗号文復号部34dは、暗号文Cを復号できなかった場合、NGを送信部35dに送出する。
認証要求装置30dは、さらにグループ署名生成部43により、復号したメッセージR’と、受信した署名対象メッセージMとを連結し、連結データR’‖Mを得る。
続いて、グループ署名生成部43は、この連結データR’‖Mに対し、復号鍵記憶部11d内のグループ署名メンバ鍵KGiに基づいて、グループ署名S=Sig(KGi,R’‖M)を生成する。ここで、Sig(KGi,R’‖M)は、メンバ鍵KGiに基づいて、グループ署名生成関数SigによりR’‖Mに対してグループ署名を計算することを意味する。そして、グループ署名生成部43は、このグループ署名Sを送信部35dに送出する。
送信部35dは、グループ署名S又はNGを認証検証装置10dに送信する。
認証検証装置10dにおいては、図示しない受信部を介してグループ署名S又はNGを受信し、受信されたグループ署名S又はNGをグループ署名検証部25に送出する。
グループ署名検証部25は、このグループ署名Sと、元のメッセージR,Mを連結した連結データR‖Mとに対し、暗号化鍵記憶部11d内のグループ署名検証鍵KGvを用いてグループ署名の検証関数Verifyによりグループ署名の検証演算Verify(KGv,R‖M,S)を実行する。ここで、Verify(KGv,R‖M,S)はグループ署名検証鍵KGvを用いて、グループ署名SがR‖Mに対するグループ署名であることを検証することを意味する。
グループ署名検証部25は、グループ署名の検証に成功した場合には認証成功(OK)を出力し、検証に失敗した場合には認証失敗(NG)を出力する。
上述したように本実施形態によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置10dが放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置30dに復号させ、この復号結果に対して認証要求装置30dにグループ署名を生成させ、このグループ署名を認証検証装置10dが検証して認証要求装置30dの匿名認証を行なう構成により、グループ署名方式を用いた匿名認証においても、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
また、本実施形態の匿名認証方式では、グループ署名の第3の性質により特定の情報によりグループ署名から署名者(認証要求者)を特定することが可能となることから、匿名認証の事後追跡が可能となるとともに、グループ署名を用いた匿名認証における欠点であった認証要求者のリボークが容易に実現可能となる。
(第5の実施形態)
図10は本発明の第5の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図11は両装置を備えた匿名認証システムの構成を示す模式図である。
すなわち、本実施形態は、第4の実施形態の変形例であり、署名対象メッセージMを秘匿するものであって、具体的には、認証検証装置10eには、メッセージ暗号化部26が付加されており、認証要求装置30eには、メッセージ復号部44が付加されている。
ここで、メッセージ暗号化部26は、チャレンジ情報生成部13eにより生成されたメッセージRに基づいて、メッセージ入力部24eから受けた署名対象メッセージMを暗号化し、第2の暗号文C’を生成する機能と、この第2の暗号文C’を暗号文送信部15eに送出する機能とをもっている。
メッセージ復号部44は、暗号文復号部34eにより復号されたメッセージR’に基づいて、第2の暗号文C’を復号する機能と、この復号により得られたメッセージR’をグループ署名生成部43eに送出する機能とをもっている。
次に、以上のように構成された匿名認証システムの動作を説明する。
いま、前述同様に、認証検証装置10dにおいては、暗号文生成部14が、メッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成し、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出したとする。
ここで、メッセージ入力部24は、検証者の操作により、必要に応じてグループ署名の署名対象メッセージMを、前述とは異なり、メッセージ暗号化部26に入力する。
メッセージ暗号化部26は、チャレンジ情報生成部13eにより生成されたメッセージRを鍵として予め認証要求装置30eと合意した共通鍵暗号方式の暗号化関数E’によりグループ署名の署名対象メッセージMを暗号化し、暗号文C’=E’(R,M)を生成する。ここで、E’(R,M)はRを鍵としてMを暗号化することを意味する。暗号文C’=E’(R,M)は、メッセージ暗号化部26から暗号文送信部15eに送出される。
暗号文送信部15eは、2つの暗号文C=E(Kv,R)及びC’=E’(R,M)を認証要求装置30eへ送信する。
認証要求装置30eは、受信した暗号文Cを暗号文復号部34eにより復号鍵Kiを用いて復号し、R’=D(Ki,C)=Rを計算する。さらにメッセージ復号部44は、復号されたR’を鍵として、予め認証要求装置10eと合意した共通鍵暗号方式の復号関数D’によりC’を復号し、M’=D’(C’)=Mを求める。
認証要求装置30eは、さらにグループ署名生成部43eにより、復号された署名対象メッセージM’に対し、復号鍵記憶部31d内のグループ署名メンバ鍵KGiに基づいて、グループ署名S=Sig(KGi,M’)を生成する。そして、グループ署名生成部43eは、このグループ署名Sを送信部35eに送出する。
送信部35eは、グループ署名S又はNGを認証検証装置10dに送信する。
認証検証装置10eにおいては、図示しない受信部を介してグループ署名S又はNGを受信し、受信されたグループ署名S又はNGをグループ署名検証部25eに送出する。
グループ署名検証部25eは、このグループ署名Sと、元の署名対象メッセージMとに対し、暗号化鍵記憶部11d内のグループ署名検証鍵KGvを用いてグループ署名の検証関数Verifyによりグループ署名の検証演算Verify(KGv,M,S)を実行する。ここで、Verify(KGv,M,S)はグループ署名検証鍵KGvを用いて、グループ署名SがMに対するグループ署名であることを検証することを意味する。
グループ署名検証部25は、グループ署名の検証に成功した場合には認証成功(OK)を出力し、検証に失敗した場合には認証失敗(NG)を出力する。
上述したように本実施形態によれば、第5の実施形態の作用効果に加え、メッセージ暗号化部26により署名対象メッセージMを暗号化して認証要求装置30eに送信する。これにより、署名対象メッセージMを外部に秘密にしたい場合、認証要求装置と認証検証装置間が暗号化等で秘匿された通信路を用いていなくても、署名対象メッセージMに関する情報が外部に漏れることがなく、かつ安全に匿名認証を行うことが可能となる。
(第6の実施形態)
第6〜第8の実施形態は、それぞれ前述した第2の実施形態と、第3〜第5の実施形態のいずれかとを組合せた変形例である。以下、順次説明する。
図12は本発明の第6の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図13は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第3の実施形態の組み合わせ例であり、認証検証装置10bcには、検証者識別情報記憶部21、ハッシュ値生成部22及び内部時計装置23が付加されており、認証要求装置30bcには、識別情報検証部40、ハッシュ値検証部41及び有効期限検証部42が付加されている。但し、有効期限検証部42は、前述した復号した時間情報T’が第1復号鍵記憶部11c内の有効期限Expを過ぎたか否かの検証に加え、
復号した時間情報T’と受信した時間情報Tとが一致するか否かを検証する機能と、この検証結果が一致を示すとき、復号結果及び受信内容を識別情報検証部40に送出する機能をもっている。これは、以下の図22乃至図25の実施形態でも同様である。
また、各検証40,41,42は、ここでは有効期限検証部42、識別情報検証部40及びハッシュ値検証部41の順序(42→40→41)で実行する場合を示したが、これに限らず、(42→41→40)、(40→42→41)、(40→41→42)、(41→40→42)又は(41→42→40)といった異なる順序で実行してもよい。このことも以下の図22乃至図25の実施形態でも同様である。
以上のような構成によれば、前述した第2及び第3の実施形態の作用効果を同時に得ることができる。
(第7の実施形態)
図14は本発明の第7の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図15は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第4の実施形態の組み合わせ例であり、認証検証装置10bdには、検証者識別情報記憶部21、ハッシュ値生成部22、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30bdには、識別情報検証部40、ハッシュ値検証部41及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
以上のような構成によれば、前述した第2及び第4の実施形態の作用効果を同時に得ることができる。
(第8の実施形態)
図16は本発明の第8の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図17は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第5の実施形態の組み合わせ例であり、認証検証装置10beには、検証者識別情報記憶部21、ハッシュ値生成部22、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30beには、識別情報検証部40、ハッシュ値検証部41、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
以上のような構成によれば、前述した第2及び第5の実施形態の作用効果を同時に得ることができる。
(第9の実施形態)
第9〜第10の実施形態は、それぞれ前述した第3の実施形態と、第4又は第5の実施形態とを組合せた変形例である。以下、順次説明する。
図18は本発明の第9の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図19は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第3及び第4の実施形態の組み合わせ例であり、認証検証装置10cdには、内部時計装置23、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30cdには、有効期限検証部42及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
以上のような構成によれば、前述した第3及び第4の実施形態の作用効果を同時に得ることができる。
(第10の実施形態)
図20は本発明の第10の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図21は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第3及び第5の実施形態の組み合わせ例であり、認証検証装置10ceには、内部時計装置23、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30ceには、有効期限検証部42、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
以上のような構成によれば、前述した第3及び第5の実施形態の作用効果を同時に得ることができる。
(第11の実施形態)
第11〜第12の実施形態は、それぞれ前述した第2及び第3の実施形態と、第4又は第5の実施形態とを組合せた変形例である。以下、順次説明する。
図22は本発明の第11の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図23は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2、第3及び第4の実施形態の組み合わせ例であり、認証検証装置10bcdには、検証者識別情報記憶部21、ハッシュ値生成部22、内部時計装置23、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30bcdには、識別情報検証部40、ハッシュ値検証部41、有効期限検証部42及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第3の実施形態に述べたものに対し、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
以上のような構成によれば、前述した第2、第3及び第4の実施形態の作用効果を同時に得ることができる。
(第12の実施形態)
図24は本発明の第12の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図25は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2、第3及び第5の実施形態の組み合わせ例であり、認証検証装置10bceには、検証者識別情報記憶部21、ハッシュ値生成部22、内部時計装置23、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30bceには、識別情報検証部40、ハッシュ値検証部41、有効期限検証部42、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMcdは、第3の実施形態に述べたものに対し、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
なお、各検証部40,41,42及びメッセージ復号部44は、暗号文復号部34bceとグループ署名生成部43eとの間であれば、互いに任意の順序で実行可能である。
以上のような構成によれば、前述した第2、第3及び第5の実施形態の作用効果を同時に得ることができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
本発明の第1の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 同実施形態における動作を説明するためのフローチャートである。 本発明の第2の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第3の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第4の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第5の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第6の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第7の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第8の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第9の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第10の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第11の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。 本発明の第12の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図である。 同実施形態における匿名認証システムの構成を示す模式図である。
符号の説明
10a〜10e…認証検証装置、11,11d…暗号化鍵記憶部、12,12d…書込部、13,13b〜13e…チャレンジ情報生成部、14,14b,14c…暗号文生成部、15,15b〜15d…暗号文送信部、16…検証部、VR,VRb…認証検証者装置、17…認証要求受信部、18…鍵要求送信部、19…暗号化鍵受信部、20…暗号化鍵管理部、21…検証者識別情報記憶部、22…ハッシュ値生成部、23…内部時計装置、24,24e…メッセージ入力部、25…グループ署名検証部、26…メッセージ暗号化部、30a〜30e…認証要求装置、31,31c,31d…復号鍵記憶部、32〜32d…書込部、33,33b〜33e…暗号文受信部、34,34b〜34e…暗号文復号部、35〜35c…送信部、RQ,RQb…認証要求者装置、36…参加要求送信部、37,37c,37d…復号鍵受信部、38,38c,38d…復号鍵管理部、39…認証要求送信部、40…識別情報検証部、41…ハッシュ値検証部、42…有効期限検証部、43…グループ署名生成部、44…メッセージ復号部、GM,GMc…グループ管理装置、51…秘密情報管理部、52…参加要求受信部、53,53c…放送型暗号復号鍵生成部、54,54c…鍵送信部、55…失効情報入力部、56…放送型暗号暗号化鍵生成部、57…暗号化鍵公開部、58…制御部、60…グループ署名管理部、61…グループ鍵生成部、62…メンバ鍵生成部。

Claims (41)

  1. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段と、
    この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記認証検証装置から暗号文Cを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
    この復号結果を前記認証検証装置に送信する復号結果送信手段と、
    を備えたことを特徴とする匿名認証システム。
  2. 請求項1に記載の匿名認証システムにおいて、
    前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
    前記認証検証装置を保持する1つ以上の認証検証者装置と、
    前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
    前記グループ管理装置は、
    放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
    前記秘密情報Sが記憶される秘密情報記憶手段と、
    前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
    前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
    この放送型暗号復号鍵Kiを前記認証要求者装置に送信する復号鍵送信手段と、
    前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
    を備えており、
    前記認証検証者装置は、
    前記認証要求者装置から認証要求を受信する認証要求受信手段と、
    この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
    この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
    を備えており、
    前記認証要求者装置は、
    前記グループ管理装置から放送型暗号復号鍵Kiを受信する復号鍵受信手段と、
    この放送型暗号復号鍵Kiが記憶される第2の放送型復号鍵記憶手段と、
    前記認証検証者装置に対して認証要求を行う際に、前記認証検証者装置に認証
    要求を送信する認証要求送信手段と、
    前記認証要求の送信の際に、この放送型暗号復号鍵Kiを前記認証要求装置に入力する復号鍵入力手段と、
    を備えたことを特徴とする匿名認証システム。
  3. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記認証検証装置から暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
    を備えたことを特徴とする匿名認証システム。
  4. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記認証検証装置から暗号文Cを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
    を備えたことを特徴とする匿名認証システム。
  5. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
    前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  6. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段と、
    前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  7. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
    を備えたことを特徴とする匿名認証システム。
  8. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  9. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  10. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  11. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  12. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  13. 認証検証装置と、認証要求装置とを備えた匿名認証システムであって、
    前記認証検証装置は、
    現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを前記認証要求装置に送信する暗号文送信手段と、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えており、
    前記認証要求装置は、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
    を備えたことを特徴とする匿名認証システム。
  14. 請求項3に記載の匿名認証システムにおいて、
    前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
    前記認証検証装置を保持する1つ以上の認証検証者装置と、
    前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
    前記グループ管理装置は、
    放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
    前記秘密情報Sが記憶される秘密情報記憶手段と、
    前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
    前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
    この放送型暗号復号鍵Kiを前記認証要求者装置に送信する復号鍵送信手段と、
    前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
    を備えており、
    前記認証検証者装置は、
    前記認証要求者装置から認証要求を受信する認証要求受信手段と、
    この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
    この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
    を備えており、
    前記認証要求者装置は、
    前記グループ管理装置から放送型暗号復号鍵Kiを受信する復号鍵受信手段と、
    この放送型暗号復号鍵Kiが記憶される第2の放送型復号鍵記憶手段と、
    前記認証要求の送信の際に、この放送型暗号復号鍵Kiを前記認証要求装置に入力する復号鍵入力手段と、
    を備えたことを特徴とする匿名認証システム。
  15. 請求項4又は請求項7に記載の匿名認証システムにおいて、
    前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
    前記認証検証装置を保持する1つ以上の認証検証者装置と、
    前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
    前記グループ管理装置は、
    放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
    前記秘密情報Sが記憶される秘密情報記憶手段と、
    前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
    前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
    この放送型暗号復号鍵Kiを有効期限Expと共に前記認証要求者装置に送信する復号鍵送信手段と、
    前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
    を備えており、
    前記認証検証者装置は、
    前記認証要求者装置から認証要求を受信する認証要求受信手段と、
    この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
    この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
    この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
    を備えており、
    前記認証要求者装置は、
    前記グループ管理装置から放送型暗号復号鍵Ki及び有効期限Expを受信する復号鍵受信手段と、
    この放送型暗号復号鍵Ki及び有効期限Expが記憶される第2の放送型復号鍵記憶手段と、
    前記認証要求の送信の際に、この放送型暗号復号鍵Ki及び有効期限Expを前記認証要求装置に入力する復号鍵入力手段と、
    を備えたことを特徴とする匿名認証システム。
  16. 請求項5、請求項6、請求項8又は請求項9に記載の匿名認証システムにおいて、
    前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
    前記認証検証装置を保持する1つ以上の認証検証者装置と、
    前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
    前記グループ管理装置は、
    放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
    前記秘密情報Sが記憶される秘密情報記憶手段と、
    グループ署名方式に基づいて、前記グループ署名検証鍵KGvを生成するグループ署名検証鍵生成手段と、
    前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
    前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
    前記グループ参加要求と前記グループ署名方式に基づいて、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiを生成するグループ署名メンバ鍵生成手段と、
    前記放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを前記認証要求者装置に送信する復号鍵送信手段と、
    前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
    この放送型暗号暗号化鍵Kv及び前記グループ署名検証鍵KGvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
    を備えており、
    前記認証検証者装置は、
    前記認証要求者装置から認証要求を受信する認証要求受信手段と、
    この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを取得する暗号化鍵取得手段と、
    この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiが記憶される第2の暗号化鍵記憶手段と、
    この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを前記認証検証装置に入力する暗号化鍵入力手段と、
    を備えており、
    前記認証要求者装置は、
    前記グループ管理装置から放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを受信する復号鍵受信手段と、
    この放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが記憶される第2の放送型復号鍵記憶手段と、
    前記認証要求の送信の際に、この放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを前記認証要求装置に入力する復号鍵入力手段と、
    を備えたことを特徴とする匿名認証システム。
  17. 請求項10乃至請求項13のいずれか1項に記載の匿名認証システムにおいて、
    前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
    前記認証検証装置を保持する1つ以上の認証検証者装置と、
    前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
    前記グループ管理装置は、
    放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
    前記秘密情報Sが記憶される秘密情報記憶手段と、
    グループ署名方式に基づいて、前記グループ署名検証鍵KGvを生成するグループ署名検証鍵生成手段と、
    前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
    前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
    前記グループ参加要求と前記グループ署名方式に基づいて、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiを生成するグループ署名メンバ鍵生成手段と、
    前記放送型暗号復号鍵Ki、この放送型暗号復号鍵Kiの有効期限Exp及びグループ署名メンバ鍵KGiを前記認証要求者装置に送信する復号鍵送信手段と、
    前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
    この放送型暗号暗号化鍵Kv及び前記グループ署名検証鍵KGvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
    を備えており、
    前記認証検証者装置は、
    前記認証要求者装置から認証要求を受信する認証要求受信手段と、
    この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを取得する暗号化鍵取得手段と、
    この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiが記憶される第2の暗号化鍵記憶手段と、
    この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを前記認証検証装置に入力する暗号化鍵入力手段と、
    を備えており、
    前記認証要求者装置は、
    前記グループ管理装置から放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiを受信する復号鍵受信手段と、
    この放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiが記憶される第2の放送型復号鍵記憶手段と、
    前記認証要求の送信の際に、この放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiを前記認証要求装置に入力する復号鍵入力手段と、
    を備えたことを特徴とする匿名認証システム。
  18. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文Cを送信する暗号文送信手段と、
    前記暗号文の送信先から当該暗号文Cの復号結果を受信する復号結果受信手段と、
    この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む書込手段、
    前記認証検証装置から暗号文Cを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段、
    この復号結果を前記認証検証装置に送信する復号結果送信手段、
    として機能させるためのプログラム。
  19. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる暗号文Cを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
    この復号結果を前記暗号文の送信元に送信する復号結果送信手段と
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段、
    前記暗号文Cを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段、
    この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  20. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを送信する暗号文送信手段と、
    前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む書込手段、
    前記認証検証装置から暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
    として機能させるためのプログラム。
  21. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖IDvが暗号化されてなる暗号文C、前記メッセージRから一方向性関数Hにより生成されたハッシュ値H(R)及び前記検証者識別情報IDvを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信元に送信する復号結果送信手段と
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
    固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  22. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文Cを送信する暗号文送信手段と、
    前記暗号文の送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む書込手段、
    前記認証検証装置から暗号文Cを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
    として機能させるためのプログラム。
  23. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報との連結データR‖Tが暗号化されてなる暗号文Cを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記暗号文の送信元に送信する復号結果送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
    前記暗号文Cを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  24. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文C及び署名対象メッセージMを送信する暗号文送信手段と、
    前記暗号文C及び署名対象メッセージMの送信元からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段、
    前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
    前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  25. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
    前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段、
    前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  26. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    前記第1及び第2の暗号文C,C’を送信する暗号文送信手段と、
    前記暗号文C,C’の送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段、
    前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  27. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’を受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段と、
    前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記第1及び第2の暗号文C,C’の送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
    前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  28. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを送信する暗号文送信手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tの送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む書込手段、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
    として機能させるためのプログラム。
  29. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tの送信元に送信する復号結果送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
    前記認証検証装置に固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
    この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  30. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを送信する暗号文送信手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
    前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  31. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されてなるハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C、前記ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    前記認証検証装置本体に固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  32. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを送信する暗号文送信手段と、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
    前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  33. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kiに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖IDvが暗号化されてなる第1の暗号文Cと前記メッセージRに基づいて署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
    この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C,C’、前記ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  34. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    前記暗号文C及び署名対象メッセージMを送信する暗号文送信手段と、
    前記暗号文C及び署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
    前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  35. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報Tとの連結データR‖Tが暗号化されてなる暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
    前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  36. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    前記第1及び第2の暗号文C,C’を送信する暗号文送信手段と、
    前記第1及び第2の暗号文C,C’の送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  37. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報Tとの連結データR‖Tが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’を受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C,C’の送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
    前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  38. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを送信する暗号文送信手段と、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiを書き込む第2書込手段、
    前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
    前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  39. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C、前記ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
    前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
  40. 現在の時間情報Tを生成する内部時計装置と、
    有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
    固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを送信する暗号文送信手段と、
    前記暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tの送信先からグループ署名GSを受信するグループ署名受信手段と、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
    この検証結果を出力する検証結果出力手段と、
    を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
    前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段、
    前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
    前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
    このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
    として機能させるためのプログラム。
  41. 有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
    前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
    前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvと現在の時間情報Tとの連結データR‖IDv‖Tが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
    前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
    この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
    前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
    前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
    前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
    前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
    このグループ署名GSを前記暗号文C,C’、前記ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tの送信元に送信するグループ署名送信手段と、
    を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
    前記コンピュータを、
    現在の時間情報Tを生成する内部時計装置、
    前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
    グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
    固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
    前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
    前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
    前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
    前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
    一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
    前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを前記認証要求装置に送信する暗号文送信手段、
    前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
    このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段、
    この検証結果を出力する検証結果出力手段、
    として機能させるためのプログラム。
JP2005146066A 2005-05-18 2005-05-18 匿名認証システム、装置及びプログラム Active JP4744929B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005146066A JP4744929B2 (ja) 2005-05-18 2005-05-18 匿名認証システム、装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005146066A JP4744929B2 (ja) 2005-05-18 2005-05-18 匿名認証システム、装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2006324929A true JP2006324929A (ja) 2006-11-30
JP4744929B2 JP4744929B2 (ja) 2011-08-10

Family

ID=37544274

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005146066A Active JP4744929B2 (ja) 2005-05-18 2005-05-18 匿名認証システム、装置及びプログラム

Country Status (1)

Country Link
JP (1) JP4744929B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010068460A (ja) * 2008-09-12 2010-03-25 Toshiba Corp 匿名ローミングサービスシステム、装置及びプログラム
CN112468304A (zh) * 2020-11-27 2021-03-09 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003094422A1 (fr) * 2002-04-30 2003-11-13 International Business Machines Corporation Systeme de communication chiffree, serveur de remise de cle associe, terminal, et procede de partage de cle
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003094422A1 (fr) * 2002-04-30 2003-11-13 International Business Machines Corporation Systeme de communication chiffree, serveur de remise de cle associe, terminal, et procede de partage de cle
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
岡田 他: "放送型暗号を利用したグループ署名のリボーク方式", 2004年暗号と情報セキュリティシンポジウム, JPN7011001323, January 2004 (2004-01-01), pages 1 - 6, ISSN: 0001899086 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010068460A (ja) * 2008-09-12 2010-03-25 Toshiba Corp 匿名ローミングサービスシステム、装置及びプログラム
CN112468304A (zh) * 2020-11-27 2021-03-09 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质
CN112468304B (zh) * 2020-11-27 2024-05-03 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
JP4744929B2 (ja) 2011-08-10

Similar Documents

Publication Publication Date Title
Boldyreva et al. Identity-based encryption with efficient revocation
Chow et al. Dynamic secure cloud storage with provenance
US10805076B2 (en) Information processing apparatus, server apparatus, and computer program product
US8213609B2 (en) Key generating device, encrypting device, receiving device, key generating method, encrypting method, key processing method, and program
CN113014392A (zh) 基于区块链的数字证书管理方法及系统、设备、存储介质
US20050086504A1 (en) Method of authenticating device using certificate, and digital content processing device for performing device authentication using the same
JP5389212B2 (ja) 再暗号文検証プログラム、再暗号化装置及び再暗号化システム
CN101573910A (zh) 生成和分配对数字对象的访问许可的设备和方法
CN104012028B (zh) 加密数据管理装置以及加密数据管理方法
JP2008512066A (ja) 暗号デジタル証明書の失効
US9813386B2 (en) Cooperation service providing system and server apparatus
US20070124584A1 (en) Proving ownership of shared information to a third party
JP2008524931A (ja) 証明書の有効性/無効性証明用暗号化証明データを用いた複数証明書失効
KR20080048764A (ko) 권리객체에 대리 서명하는 방법 및 장치와 대리인증서 발급방법 및 장치
JP4733497B2 (ja) コンテンツ配信装置、ライセンス発行装置、課金装置およびコンテンツ視聴端末、ならびに、ライセンス要求生成プログラム、ライセンス生成プログラムおよび課金プログラム
JP5988747B2 (ja) 鍵管理装置、アプリケーション署名付加装置および受信端末、ならびに、それらのプログラム
WO2010013699A1 (ja) 署名システム
JP4744929B2 (ja) 匿名認証システム、装置及びプログラム
WO2002065695A1 (fr) Procede et systeme de dechiffrement de commande et programme
JP4791828B2 (ja) グループ署名システム、装置、プログラム及び方法
JP2008148132A (ja) データ配信システム、装置及びプログラム
JP4829737B2 (ja) 個人情報保護システム、鍵管理装置および鍵生成プログラム、署名鍵生成装置および署名鍵生成プログラム、個人情報管理装置および個人情報収集プログラム、ならびに、受信端末および個人情報管理プログラム
JP4533636B2 (ja) デジタル署名システム、デジタル署名管理装置、デジタル署名管理方法及びプログラム
JP2003248627A (ja) ファイルアクセス制御方法、プログラム及び記憶媒体
JP2007135062A (ja) 個人情報保護システム、その署名鍵更新方法および個人情報収集方法、鍵管理装置および鍵生成プログラム、署名鍵生成装置および署名鍵生成プログラム、個人情報管理装置および個人情報収集プログラム、ならびに、コンテンツ復号化装置および個人情報管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110419

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110511

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4744929

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350