JP2008506293A - デジタル認証機能を提供する方法 - Google Patents

デジタル認証機能を提供する方法 Download PDF

Info

Publication number
JP2008506293A
JP2008506293A JP2007519949A JP2007519949A JP2008506293A JP 2008506293 A JP2008506293 A JP 2008506293A JP 2007519949 A JP2007519949 A JP 2007519949A JP 2007519949 A JP2007519949 A JP 2007519949A JP 2008506293 A JP2008506293 A JP 2008506293A
Authority
JP
Japan
Prior art keywords
key
string
data
secret
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007519949A
Other languages
English (en)
Inventor
トマス エイ エム ケフェナール
ヒェールト ジェイ スヒレイエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2008506293A publication Critical patent/JP2008506293A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Abstract

認証機能を提供する方法が記載されている。この方法は、
(a) 認証機関(CA)において、秘密Pを生成し、秘密Pを適用して第1の装置(30,A)に代わってデータストリング(m)に署名し、署名されたデータストリングを第1の装置(30,A)に伝送するステップ、
(b) データストリング(m)の真正性を検証するための秘密情報を、認証機関(20)から、秘密情報を使用して第2の鍵(kAB2)を生成するように動作可能な第2の装置(40,B)に伝送するステップ、
(c) 第1の装置(30,A)において、第2の装置(40,B)に関係する公開情報を使用して、データストリングが真正なものである場合に生成可能な第1の鍵(kAB1)を生成するステップ、
(d) 第2の鍵(kAB2)を用いて、第2の装置(40,B)から第1の装置(30,A)に伝送されるデータを保護するステップ、
(e) 第1の装置(30,A)において、第1の鍵(kAB1)を用いて、第2の装置(40,B)から第1の装置(30,A)に伝送された保護済みのデータにアクセスするステップ、
を有している。

Description

本発明は、デジタル認証機能を提供する方法に関し、例えば、暗黙的な検証によりデジタル認証機能を提供する方法に関する。更に、本発明は、この方法を実現する装置およびシステムにも関する。更に、本発明は、本発明を実行する場合に生成されるデジタル証明書および関連するデータに関する。
デジタル証明書は、暗号システムを実行する場合に役立つ暗号技術の要素である。デジタル証明書は、対応するストリング又はメッセージmに署名され、認証機関(CA)により発行されるデジタル署名と規定される。斯かる証明書を発行することによって、CAはストリングmの真正性を保証する。他の装置は、デジタル署名をチェックすることによって、ストリングmの真正性を検証することができる。
従来では、デジタル証明書は、公開鍵技術を使用して実現されている。斯かる技術では、認証機関(CA)が公開鍵とプライベート鍵とのキーペアを所有している。ここで、PCAおよびSCAは、それぞれ公開鍵およびプライベート鍵を表す。CAは、CAのプライベート鍵SCAを使用してストリングmに関する証明書CertCA(m)を発行する。E(y,x)が鍵yを使用して項目xが暗号化されていることを表す場合、証明書CertCA(m)は式1に記載されるような形式を取ることができる。
Figure 2008506293
 尚、証明書CertCA(m)に関して他の形式も潜在的に可能である。証明書CertCA(m)のデータサイズを小さくするために、証明書は、式2に記載されているような形式をとることがもっと有利である。
Figure 2008506293
 ここで、hは、データ圧縮を行うために任意の長さの入力を長さnの出力に対応付ける(即ち、以下の式のようにする)ための一方向ハッシュ関数を示す。
Figure 2008506293
 したがって、CAの公開鍵PCAを使用して証明書CertCA(m)を復号化したものを、m又は適宜にh(m)と照合することにより、どの装置も既知のストリングmの真正性を明示的に検証することができる。斯かる検証手続きでは、検証の間、CAはオンライン状態にあることは必要ではない。
従来では、証明書の一般的な使用方法は、装置の公開鍵をその装置の識別情報に結びつけることであり、例えば、上記の証明書CertCA(m)は、装置の公開鍵Pdevをその装置の識別情報に関連付けるために使用される。この場合、ストリングmは、装置の公開鍵Pdevおよびその装置の識別情報と、公開鍵と識別情報との結びつきを与える追加の情報(例えば、安全が認証された幾つかのチャネルで装置がプライベート鍵Sdevを受け取った場合に関係する有効期間)を有することが好ましい。
ストリングmの真正性を検証することができる同様の機能は、既知の対称鍵技術を使用して得ることができる。斯かる対称鍵技術では、CAは秘密鍵KCAを有している。CAはこの秘密鍵KCAを使用して、適宜に式3又は式4に示した関連する証明書CertCA(m)を生成する。
Figure 2008506293
 又は
Figure 2008506293
 この式3および式4の証明書CertCA(m)はストリングmとともに公開されている。ストリングmのコピーと証明書CertCA(m)とを得た装置がストリングmのコピーの真正性を検証したい場合、この装置はCAに証明書CertCA(m)とストリングmとを提供しなければならない。証明書CertCA(m)を受け取ると、CAは、受け取った証明書CertCA(m)をCAの秘密鍵KCAを使用して復号化し、次に、受け取った証明書CertCA(m)から得られたストリングmが受け取ったストリングmに等しいことを検証する。斯かる状況におけるストリングmは、鍵素材および上記のような他の属性を含んでいることが有利である。しかし、対称鍵技術は、認証を行うためにCAがオンライン状態の必要があるという問題、装置からCAまでの認証済み経路(例えば、共有された秘密に基づく認証済み経路)を装置が提供する必要があるという問題、に関係してくる。
したがって、上記の公開鍵技術に基づいた証明書は、CAがオンライン状態にある必要がある対称鍵技術と比較して、CAにオンライン接続をする必要のないもっと順応性のある暗号システムを実現することが可能である。しかし、公開鍵技術は、この技術を実現するのにハードウェアに費用がかかり、このハードウェアの消費電力も大きいという技術的な問題がある。
(例えば、認定の目的で)共通の秘密データ項目を生成する方法が知られている。例えば、公開された国際PCT特許出願WO 2004/028075号には、第1のユーザファシリティと第2のユーザファシリティとの間で共通の秘密データ項目を生成する方法が記載されている。この方法は第1および第2のユーザファシリティを必要としており、第1および第2のユーザファシリティは、相互に対称の動作をそれぞれの相補データ項目に実行する。相補データ項目は、少なくとも部分的には秘密である固有の大きさに基づいている。対称動作の結果が、ユーザファシリティで、上記の秘密データ項目として使用される。特に、この方法は、アーベル多様体に規定されているGAP Diffie-Hellmann問題に帰属している相補的なデータを規定することに基づいた方法である。更に、アーベル多様体は楕円曲線であるので一次元である。
発明者は、デジタル認証機能を提供する既知の方法では、種々の問題(ハードウェアコストと、ハードウェア動作による消費電力と、認証済経路の必要性と、オンラインでCAが利用可能である必要性と、のうちの一つ以上の問題を含む)があることが分かった。これらの問題がきっかけとなり、発明者は、これらの問題に少なくとも部分的に対処するように本発明を考えた。
本発明の目的は、デジタル認証機能を備える別の方法を提供することにある。
本発明の第1の態様によれば、認証機関(CA)と少なくとも第1の装置(A)および第2の装置(B)とを有するネットワークにデジタル認証機能を備える方法であって、上記少なくとも第1の装置および第2の装置は、上記認証機関(CA)と通信を行うために上記認証機関に接続可能であり、
上記方法は、
(a) 上記認証機関(CA)において、秘密Pを生成し、上記秘密Pを適用して上記第1の装置(A)に代わってデータストリング(m)に署名し、署名された上記データストリングを上記第1の装置(A)に伝送するステップ、
(b) 上記データストリング(m)の真正性を検証するための秘密情報を、上記認証機関から、上記秘密情報を使用して上記データストリング(m)の真正性を検証するための第2の鍵(kAB2)を生成するように動作可能な上記第2の装置(B)に伝送するステップ、
(c) 上記第1の装置(A)において、上記第2の装置(B)に関係する公開情報を使用して、上記データストリング(m)が真正なものである場合に生成可能な第1の鍵(kAB1)を生成するステップ、
(d) 上記第2の鍵(kAB2)を用いて、上記第2の装置(B)から上記第1の装置(A)に伝送されるデータを保護するステップ、
(e) 上記第1の装置(A)において、上記第1の鍵(kAB1)を用いて、上記第2の装置(B)から上記第1の装置(A)に伝送された保護済みの上記データにアクセスするステップ、
を有している。
本発明は、保護済みのデータの検証又は認証を行うのに、認証機関がオンラインで利用可能である必要がない点で有利である。
上記ステップ(e)において、上記保護済みのデータへのアクセスは、検証の間に上記認証機関がオンラインアクセスすることなく、実現されることが好ましい。
本発明の方法において、上記秘密Pは二変数多項式であることが好ましい。
本発明の方法において、上記第1の鍵(kAB1)は、上記第2の装置に関連する公開ストリングを使用して求められる多項式であることが好ましい。
本発明の方法の上記ステップ(a)において、上記署名されたデータストリングは、第三者に知られないように、上記認証機関から上記第1の装置(A)に伝送されることが好ましい。より好ましくは、斯かる秘密伝送は暗号化技術を使用して実現される。
本発明の方法において、上記第1の装置(A)の伝送された保護済みのデータの検証が明示的に行われることが好ましい。あるいは、上記第1の装置(A)の伝送された保護済みのデータの検証は、暗黙的に行われる。
本発明による方法は、Blomの方式とIBE(Identity Based Encryption)とのうちの少なくともいずれか一方に基づいていることが好ましい。
本発明の第2の態様によれば、相互通信を行うように備えられた認証機関(CA)と複数の装置とを有する通信システムが提供される。上記通信システムは、本発明の第1の態様の方法に従って動作する。
本発明の第3の態様によれば、本発明の第1の態様の方法に従って動作する通信ネットワークでのデータ検証のためのデジタル証明書を提供する。
本発明の第4の態様によれば、本発明の第1の態様による方法を適用することによって検証が可能な暗号化データを提供する。上記暗号化データは、音声および映像のプログラムコンテンツであることが好ましい。
尚、本発明の特徴は、本発明の範囲を逸脱せずに、任意に組み合わせることができる。
本発明の実施例は、図面を基準にして、単なる例として記載されている。
発明者は、多項式を利用したデジタル認証機能を提供することが実現可能であると考えた。斯かる方法は、上記の公開鍵技術よりも安価に実現することが可能であり、オンライン状態にあるサーバを必要とする上記の対称鍵技術よりも適応性に優れた他の利点を提供することができる。
概略的には、本発明は、図1に示すようなデジタル認証機能を提供する方法に関係している。図1には、符号10によって概略的に表されている通信ネットワークが示されている。通信ネットワーク10には、認証機関(CA)20と、第1の装置(A)30と、第2の装置(B)40と、が含まれている。認証機関20および装置30、40は、相互に通信できるように結合されている。通信ネットワーク10は、認証機関(CA)20がサーバ又はデータベースであり且つ装置30および40がネットワーク10を介してこのサーバ又はデータベースに結合されるユーザ装置であるような通信システムとして実現することができる。
この方法の第1のステップでは、CA20はランダム秘密Pを選択又は生成する。CA20は、この秘密Pを使用して、第1の装置A30に代わって、公開されたストリングmに署名する。その後、CA20は、署名されたストリングmを、図1の矢印50で示すように、第三者に知られないように第1の装置A30に伝送する。
この方法の第2のステップでは、第2の装置B40は、矢印60で示されているように、CA20から幾つかの秘密情報を得て、これにより、第2の装置B40は、鍵KABを生成してストリングmの真正性を暗黙的又は明示的に検証することができる。
この方法の第3のステップでは、第2の装置B40により使用されるストリングmが真正なものである場合、第1の装置A30は、第2の装置B40に関する公然に利用可能な一部の情報70を使用することによって、鍵KABを生成するように動作できる。
この方法の第4のステップでは、第2の装置B40は、第2の装置の鍵KABを使用して、矢印80で示されるように第2の装置B40から第1の装置A30に伝送されるデータ(INFO)を保護する。第1の装置A30は、第1の装置の鍵KABを使用してデータ(INFO)にアクセスするように動作可能である。
図1は本発明の方法を概略的に表しているが、以下に、本発明の方法のステップをもっと詳細に説明する。システム10はデジタル認証機能を提供するために多項式を利用する。もっと具体的には、システム10は、刊行物「非公開鍵の配布」(Advances in Cryptology - Proceedings of Crypto 82 pp. 231-236, 1983)に記載されたBlomの鍵確立法に基づいた方法を利用している。この刊行物は参照することにより本明細書に組み込まれている。
Blomの方法では、ネットワークにはN人のユーザが存在しており、ネットワークに伝送されるあらゆるメッセージは、Mビットの鍵で暗号化される。この鍵は発信元のユーザと宛先のユーザとの各ペアに固有の鍵である。Blomの方法は、各ユーザごとに可能な限り少ないビット数を記憶することを必要とする鍵方式を構成するよう動作する。Blomの方法では、必要なビット数は、ユーザストレージのサイズ(Sで表される)と呼ばれる。ネットワークにN人のユーザが存在しており、各ユーザが0〜N−1の範囲内の固有のユーザ番号iによって規定されている場合、ユーザiのユーザアドレスaは、式5で表されているベクトルで表現できる。
Figure 2008506293
 ここで、l=log(N)であり、式6に示すように、ユーザ番号にはbが含まれている。
Figure 2008506293
式7〜式9によって累積関数fも規定されている。
Figure 2008506293
 ここで
Figure 2008506293
Figure 2008506293
Blomの方法では、ユーザiとユーザjとの間で行われる通信用の鍵kijは、式10により記載される。
Figure 2008506293
 ここで、関数f(.,.)は、各関数f(.,.)の値の範囲として、ガロア体GF(2)の部分集合を有しており、交換性以外の特性は有していないとする。Blomの方法に従って鍵kijを計算する場合、ユーザiは常にf(aim,.)fを使用し、したがって各関数に対してb個の値を記憶する必要があるだけである。
Blomの方法は、ガロア体GF(q)に多項式p(x,y)を使用する。この多項式p(x,y)はp(x,y)=p(y,x)の性質を有しており、各ユーザはガロア体GF(q)の固有の要素iに関連している。この要素iはユーザを識別するために使用することができる。また、ガロア体GF(q)の要素をMビットで表すために、qは2の大きさであるとする。ユーザiおよびj用に鍵を生成するために、多項式p(i,j)を求める。したがって、特定のユーザiは多項式p(i,y)のみを知る必要があり、各ユーザは多項式全体の一部のみを知る。多項式は式11により規定される。
Figure 2008506293
 ここで、Aはn×nの対称行列である。
各ユーザは、式12に示されているベクトルbiの形でn個の係数を記憶する必要があるだけである。
Figure 2008506293
鍵kijの計算には、最初に(j,j,...,jn−1)を計算し、次にこのベクトル(j,j,...,jn−1)とベクトルbとのスカラー乗を実行することが含まれている。
本発明は、例えばBlom方法で使用されるような、多項式に基づいた認証機能を使用する。一般項については、図2に示されているように、CAはランダム秘密多項式P(y,x)を選択し、この秘密多項式を使用して公開ストリングmに署名し、装置A用に署名を生成する。CAは、この署名を第三者に知られないように(例えば、暗号化によって)装置Aに送る。CAから幾つかの秘密情報を得た装置Bは、装置Bが公開ストリングmを使用して鍵KABを生成するように、mの真正性を明示的又は暗黙的に検証することができる。装置Bに関する一部の公開情報を使用することによって、ストリングmが真正である場合は装置Aのみがこの鍵KABを生成することもできる。したがって、装置Bは、鍵KABを使用して、装置Aに送るデータを保護することができる。
図2において、初期設定フェーズが実行される。この初期設定フェーズでは、CAは、全てのxおよびyに対してP(x,y)=P(y,x)となるようなランダム秘密の対称二変数多項式P(x,y)を選択する。CAはy=mAのときの多項式P(y,x)の値を求めて多項式P(m,x)を得る。ここで、P(m,x)はmAへの署名である。CAはこの一変数多項式P(m,x)を装置Aに送る。さらに、初期設定フェーズでは、CAは多項式P(b,x)を第三者に知られないように装置Bに送る。ここで、bは装置Bに関連する一部の公開ストリングである。ストリングmとストリングbとの両方とも、公開データベースに記憶することができる公開ストリングであるか、又は、ストリングmおよびストリングbは、それぞれ装置A,Bに与えることができる公開ストリングである。
上記の初期設定フェーズの後、装置Bが、装置Bの有するストリングmの真正性を明示的に検証したい場合は、例えば図3に示すように、装置Bは検証ステップを実行する。この検証ステップでは、装置Bは乱数rを選択する。その後、装置Bは、x=mとして多項式P(b,x)を求めて、鍵kAB=P(b,m)を得る。次に、装置Bは鍵kABを使用して乱数rを暗号化する、即ち、装置BはE(kAB,r)を算出し、この暗号文を装置Aに送る。
暗号文E(kAB,r)を受け取ると、装置Aは鍵k'AB=P(m,b)を得る目的で、x=bのときの多項式P(m,x)を求める。次に、装置Aは、数r’=D(kAB’,E(kAB,r))を装置Bに送る。ここで、Dは復号化を表す。このとき、装置Bは、検証によってr=r’である場合のみ、mAの真正性を受け入れる。初期設定フェーズの後のこのような検証には、CAは参加していないが、装置Aはオンラインで利用可能であることが必要である。図3は、本発明による明示的な認証に対応するものである。
図4に示されているように、装置Bは、ストリングmAのコンテンツに従って、特権情報(Privileged infomation)Xを装置Aに送ることができる。情報Xは、例えば、音声コンテンツ又は映像コンテンツである。さらに、ストリングmには、装置Aがコンテンツの再生を認可されるかどうかに関する指示部分が含まれていることが好ましい。したがって、本発明を実際に使用する場合には、装置Aは、情報Xが装置Aに送られるようにするため、情報Xのためのリクエスト「Req(X)」を送る。リクエスト「Req(X)」を受け取ると、装置Bは、先ず、ストリングmを検索する。装置Bは、ストリングmを使用して、装置Aが情報Xにアクセスすることが許されるかどうかを検証する(即ち、「Ver m wrt X」)。装置Bが、装置Aは確かに情報Xへのアクセスが許されるということがわかった場合、装置Bは、鍵「kAB=P(b,m)」を算出し、続いて鍵kABを使用して情報を暗号化し(即ち、E(kAB,X))、この暗号文を装置Aに送る。
暗号化を受け取ると、装置AはkAB’=P(m,b)を算出し、コンテンツを「X’=D(kAB’,E(kAB,X))」として算出する。装置Bによって使用されるストリングmが真正である場合、装置Aは、鍵の適切な値を算出し(即ち、鍵KABおよびKAB’が一致する)、したがって、装置Aは情報Xにアクセスできる。逆に、ストリングmがストリングm’に修正されるイベントが生じた場合、装置Bは、m’の真正性を明示的に検証することができないが、鍵kAB’=P(b,m’)を生成し、この鍵を使用して情報Xを暗号化する。本発明に組み込まれるBlomの方法の特性により、装置Aは、m’とP(m,X)しか分からない状態では鍵kAB’を算出することができず、装置Bはストリングmの真正性を暗黙的に検証する。両方の場合において、装置Aは、装置Bがメッセージの発信元である場合には(例えば、装置Bが、メッセージ認証コードを、装置Aに送られるメッセージに加える場合)真正性を検証することができる。
図3およびこれに関連する記載は明示的な認証に対応したものであり、図4は暗黙的な認証に対応したものである。
上述された本発明は、ストリングmの真正性を検証するのにCA20のオンラインアクセスを必要としない点で、表面上は、公開鍵証明書に似ている。本発明において好ましく利用されているBlomの方法のため、2つの装置A,Bの間の対話で生じる修正ストリングmにより、通常の公開鍵証明書と同様に、真正性のチェックに失敗する。しかし、本発明と通常の公開鍵証明書システムとの間にはかなりの違いがある。
図1〜図4に示す方法では、装置Bはストリングmの真正性を検証するのに装置Aの協力が必要である。したがって装置Aはオンラインアクセス可能であることが要求される。このようなオンラインアクセスは、CAの公開鍵を知っていることによって検証が可能な公開鍵証明書、即ち公開検証、とは対照的である。
さらに、図1〜図4の方法は、証明書P(m,x)、P(b,x)をそれぞれ秘密に保持している装置A、Bに頼っているが、秘密鍵およびプライベート鍵を使用する現在の暗号化システムとは異なり、装置Aは証明書P(m,x)を秘密にすることで必ずしも得をするものではない。本発明では、装置Aを、プライベート情報を公開していない準拠デバイスと見なすことができ、さらに、P(m,X)は証明書としての役割を果たすだけでなく、装置Aのプライベート鍵としての働きもすることができる。この場合、証明書P(m,x)を公開することは装置Aにとって不利になる。
図1〜図4の方法では、公開鍵証明書の安全性は、計算が困難となる問題(例えば、離散対数問題又は大きい素数の因数分解)に依存している。前述された本発明により提供される安全性は、n個のセキュア特性を提供するBlomの方法の特性に依存している。したがって、nが秘密P(y,x)の多項式の次数である場合、潜在的な攻撃者は、n個よりも多い多項式を使用してP(m,x)を形成し、証明書P(m’,s)を生成する必要がある。本発明のこのやり方では、装置A,Bは、公開鍵での演算よりも計算量の少ない対称鍵暗号と有限体(finite filed)により、多項式の算出を行っている。
図1〜図4に示されている本発明は、Blomの方法以外の他の方法に基づいて実現することができる。例えば、前述された本発明は、Blomの方法に代わるものとしてIBE(Identity Based Encryption)を使用することができる。IBEは公開鍵暗号化アルゴリズムとして規定される。IBEでは、公開鍵は任意のストリングとすることができ、この公開鍵と対をなすプライベート鍵が計算される。IBEは、プライベート鍵しか任意に選択することができない他の公開鍵アルゴリズム、又は公開鍵と公開鍵に対し相補的な関係にあるプライベート鍵との両方とも任意に選択することができない他の公開鍵アルゴリズムとは、明らかに区別される。
本発明においてBlomの方法を使用する利点は、証明書P(y,x)を求めるために使用される値を任意に選択することができ、したがって任意の情報をこの値に記憶することができる点である。さらに、この値は公開されており、したがって、実質的に公開鍵としての役割をする。さらに、本発明で使用される場合のBlomの方法は、IBEを使用する場合よりも計算が単純である。
尚、上記の本発明の実施例は、添付された特許請求の範囲に規定されている本発明の範囲から逸脱することなく修正できる。
図1〜図4に記載された本発明では、装置A、Bは鍵P(m,b)=P(b,m)を得ている。便宜上、この鍵を「マスターキー」と呼ぶ。各セッションに対して新しいランダム鍵が生成されるようにこのマスターキーに基づいてランダム鍵を得ることが多くの場合望ましい。少なくとも数百の規格プロトコルを使用して、以下の文献に記載された共通マスターキーに基づいてランダム鍵を得ることができる。この文献は、「"Handbook of Applied Cryptography" by A. Menezes, P. van Oorschot and S. van Stone, published by CRC Press 1996」であり、この文献は、参照することにより本明細書に組み込まれている。
したがって、本発明では、ストリングmを使用して、検証可能であるべき情報が記憶される。多くの実際の状況では、ストリングmに直接的に情報(例えば、プログラムコンテンツ)を記憶すると、ストリングをが長くなってしまうので、ストリングmに直接的に情報を記憶することは現実的ではない。斯かる厄介なストリングサイズの問題を取り扱うために、ストリングは、上記の一方向ハッシュ関数を使用した式13に記載されている情報の、サイズの小さい編集可能なバージョン(「digest」としても知られている)を有していることが好ましい。
Figure 2008506293
以下に本発明の他の実施例が記載されている。この実施例は上記の認証機能を利用している。
図5では、単純なコンテンツ管理システム200が示されている。システム200は、コンテンツ権利機関(CRA)210を有している。CRA210はシステム200に含まれている装置にコンテンツ権利を発行するように動作できるものである。このコンテンツ権利は、システム200に含まれる装置が、例えば或るコンテンツを再生することができるようにするための権利である。与えられたコンテンツCを再生する権利は、RCiによって示されている。実際には、CRA210は「e−ショップ」(例えば、インターネットウェブサイト)として実現される。システム200は、第1および第2のコンテンツマネージャ(CMおよびCM)220および230を更に有している。コンテンツマネージャ(CMおよびCM)220および230は、コンテンツ(好ましくは、暗号化されていないコンテンツ)へのアクセス権を有する信用できるサーバとして実現されることが好ましい。CM220およびCM230は、例えば、セットトップボックス、又はインターネットに接続された他の信用できる装置、として実現されるものである。さらに、システム200は、符号300、310、320によって示される装置D1、D2、D3も有している。これらの装置は、コンテンツ(例えば、再生コンテンツ)を表示するように動作できるものである。装置300、310、320は、実際には、ビデオディスプレイ又はオーディオ機器などのビデオ/オーディオ装置として実現することが好ましい。
システム200の動作は図5を基準にして記載されている。
システム200では、装置D1 300は、例えばお金を支払うことによって、プログラムコンテンツC、C、およびCを或る期限Tまで再生する権利を取得する。同様に、装置D2は、例えばお金を支払うことによって、プログラムコンテンツCおよびCを或る期限Tまで再生する権利を取得する。さらに、装置D3は、プログラムコンテンツCを期限Tまで再生する権利を取得する。装置D1,D2,D3がこれら権利の取得することによって、装置D1,D2,D3は、それぞれ、データコンテンツストリングmD1,mD2,mD3を公に受け取ることができる。データコンテンツストリングmD1、mD2、およびmD3は、式14、15および16に記載されており、図5にも示されている。
Figure 2008506293
Figure 2008506293
Figure 2008506293
 ここで、||は連結を示す。ストリングmD1、mD2、mD3を公に受け取ることに関連して、装置D1、D2、D3は、それぞれ対応する多項式P(H(MD1),X)、P(h(mD2),x)、P(h(mD3),x)を第三者に知られないように受け取る。ここで、P(y,x)は、先に記載したような十分に高次のランダムな対称多項式であり、装置D1,D2,D3の多項式はCRA(コンテンツ権利機関)210によって選択される。
CRA210は、CMおよびCMが信用できるサーバであると認め、CMおよびCMは、それぞれ多項式P(h(CM1),x)およびP(h(CM2),x)を受け取る。CMサーバおよびCMサーバの両方とも、コンテンツC、C、Cを記憶している。
動作中、装置D1は、コンテンツC3用に、CMにリクエストを送る。このリクエストは、リクエストされたコンテンツの基準(つまり、IDC3)を有しており、式14に与えられているストリングmD1も有している。このリクエストを受け取ると、CM220は、リクエストされたコンテンツCの権利RC3がコンテンツストリングmD1に含まれているかどうかを検証し、リクエストが送られた時間が期限Tより早いかどうかも検証する。装置D1 300からの要求に関連して行われた全てのチェックが有効であることが分かった場合、CM220は以下のステップを実行する。
(a) CM220は、サイズが小さく編集されたストリングmD1のバージョン(即ち、ストリングm=h(mD1))を計算する。
(b) CM220は、(a)から、x=mのときの多項式P(h(CM1),x)を求め、多項式の復号鍵Kを得る。
(c) CM220は、(b)から得られる復号鍵Kを使用して、コンテンツCの暗号化されたバージョン(即ち、E(K,C))を計算する。
(d) CM220は、コンテンツCの暗号化されたバージョンE(K,C)を装置D1 300に送る。
CM220から送られた暗号化データE(K,C)を装置D1 300が受信すると、装置D1 300は、x=h(CM1)のときの多項式P(h(mD1),x)を求め、復号鍵K’を得る。次に、装置D1は、暗号化データE(K、C)を処理し、式17に従って、データコンテンツCの復号化されたバージョンC’を得る。
Figure 2008506293
装置D310がCM230からコンテンツCをリクエストしているとすると、装置D2は、データコンテンツCの権利を有していない。CMがコンテンツCのリクエストとストリングmD2=D||RC1||RC2||Tとを受け取ると、CMはRC3がmD2の一部ではないことに気が付き、したがって、CMはデータコンテンツCを装置D310に送らない。明らかに、装置D310は、修正されたストリングm'D2=D||RC1||RC3||TをCMに送るだろう。CMはこの修正されたストリングを受け入れ、x=h(m'D2)のときのP(h(CM2),x)を求め、その結果、鍵K’を取得してE(K’,C)を装置Dに送る。しかし、装置Dは、多項式P(h(mD2),x)にしかアクセスできない場合、鍵K’を計算することができない。したがって、装置D310が受け取ったコンテンツを復号化することは不可能である。さらに、装置D310がコンテンツ権利を修正しコンテンツCのアクセス権を取得することは、実質的に不可能である。
明らかに、システム200では、あらゆる装置DがあらゆるCMからコンテンツをリクエストすることができ、CMはコンテンツ権利を明示的又は暗黙的に検証することができる。システム200では、公開鍵セキュリティ技術を使用している他の関連するシステムと同様に、CRA210はコンテンツ権利を発行する役割をし、コンテンツ配信の間にオンライン状態の必要はない。装置DはCMにより使用される鍵を生成してコンテンツを暗号化又は復号化できないので、装置Dはコンテンツ権利又は有効期限を変更することができない。
「有する」、「含む」、「組み込む」、「含有する」、「である」、および「備える」などの表現は、明細書および添付された特許請求の範囲を解釈する場合には、排他的なものではないと解釈されるべきである。つまり、明示的に規定されていない他の項目又は要素の存在が認められると解釈されるべきである。単数で記載されていることは、複数の場合もあると解釈されるべきであり、複数で記載されていることは、単数の場合もあると解釈されるべきである。
2つの装置と通信する認証機関を含む通信ネットワークの概略図を示しており、認証機関と2つの装置は、本発明によるデジタル認証を使用して相互に通信するように動作することができる。 図1に示すネットワークでの証明書配布の概略図である。 本発明による明示的なストリング認証の概略図である。 本発明による暗黙的なストリング認証の概略図である。 本発明によるデジタル認証機能を実行するシステムの概略図である。

Claims (13)

  1. 認証機関と少なくとも第1の装置および第2の装置とを有するネットワークにデジタル認証機能を備える方法であって、
    前記少なくとも第1の装置および第2の装置は、前記認証機関と通信を行うために前記認証機関に接続可能であり、
    前記方法は、
    (a) 前記認証機関において、秘密を生成し、前記秘密を適用して前記第1の装置に代わってデータストリングに署名し、署名された前記データストリングを前記第1の装置に伝送するステップ、
    (b) 前記データストリングの真正性を検証するための秘密情報を、前記認証機関から、前記秘密情報を使用して前記データストリングの真正性を検証するための第2の鍵を生成するように動作可能な前記第2の装置に伝送するステップ、
    (c) 前記第1の装置において、前記第2の装置に関係する公開情報を使用して、前記データストリングが真正なものである場合に生成可能な第1の鍵を生成するステップ、
    (d) 前記第2の鍵を用いて、前記第2の装置から前記第1の装置に伝送されるデータを保護するステップ、
    (e) 前記第1の装置において、前記第1の鍵を用いて、前記第2の装置から前記第1の装置に伝送された保護済みの前記データにアクセスするステップ、
    を有する方法。
  2. 前記ステップ(e)において、前記保護済みのデータへのアクセスは、検証の間に前記認証機関がオンラインアクセスすることなく、実現される、請求項1に記載の方法。
  3. 前記秘密は二変数多項式である、請求項1に記載の方法。
  4. 前記第1の鍵は、前記第2の装置に関連する公開ストリングを使用して求められる多項式である、請求項1に記載の方法。
  5. 前記ステップ(a)において、前記署名されたデータストリングは、第三者に知られないように、前記認証機関から前記第1の装置に伝送される、請求項1に記載の方法。
  6. 前記署名されたデータストリングは、暗号化技術を使用して、第三者に知られないように伝送される、請求項5に記載の方法。
  7. 前記第1の装置の伝送された保護済みのデータの検証が明示的に行われる、請求項1に記載の方法。
  8. 前記第1の装置の伝送された保護済みのデータの検証が暗黙的に行われる、請求項1に記載の方法。
  9. 前記方法が、Blomの方式とIBEとのうちの少なくともいずれか一方に基づいている、請求項1に記載の方法。
  10. 相互通信を行うように備えられた認証機関と複数の装置とを有する通信システムであって、
    前記通信システムは、請求項1に記載の方法に従って動作する、通信システム。
  11. 請求項1に記載の方法に従って動作する通信ネットワークでのデータ検証のためのデジタル証明書。
  12. 請求項1に記載の方法を適用することによって検証が可能な暗号化データ。
  13. 前記暗号化データは、音声プログラムコンテンツおよび/又は映像プログラムコンテンツを有する、請求項12に記載の暗号化データ。
JP2007519949A 2004-07-08 2005-07-04 デジタル認証機能を提供する方法 Withdrawn JP2008506293A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04103254 2004-07-08
PCT/IB2005/052224 WO2006006124A1 (en) 2004-07-08 2005-07-04 Method of providing digital certificate functionality

Publications (1)

Publication Number Publication Date
JP2008506293A true JP2008506293A (ja) 2008-02-28

Family

ID=35044942

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007519949A Withdrawn JP2008506293A (ja) 2004-07-08 2005-07-04 デジタル認証機能を提供する方法

Country Status (5)

Country Link
US (1) US20080098213A1 (ja)
EP (1) EP1766849A1 (ja)
JP (1) JP2008506293A (ja)
CN (1) CN1981477A (ja)
WO (1) WO2006006124A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011523520A (ja) * 2008-04-14 2011-08-11 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ネットワーク内のステーション分散識別方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070094494A1 (en) * 2005-10-26 2007-04-26 Honeywell International Inc. Defending against sybil attacks in sensor networks
US8370625B2 (en) 2008-06-11 2013-02-05 Microsoft Corporation Extended data signing
JP5814880B2 (ja) * 2012-07-31 2015-11-17 三菱電機株式会社 暗号システム、暗号方法、暗号プログラム及び復号装置
CN113256886B (zh) * 2021-04-15 2022-12-09 桂林电子科技大学 具有隐私保护的智能电网用电量统计和计费系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2235359C (en) * 1998-03-23 2012-04-10 Certicom Corp. Implicit certificate scheme with ca chaining
EP2276196B1 (en) * 2000-06-09 2014-09-03 Certicom Corp. Method for the Application of Implicit Signature Schemes
KR20040093128A (ko) * 2002-03-13 2004-11-04 코닌클리케 필립스 일렉트로닉스 엔.브이. 다항식을 기반으로 한 다수-사용자 키 생성 및 인증 방법및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011523520A (ja) * 2008-04-14 2011-08-11 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ネットワーク内のステーション分散識別方法

Also Published As

Publication number Publication date
CN1981477A (zh) 2007-06-13
US20080098213A1 (en) 2008-04-24
EP1766849A1 (en) 2007-03-28
WO2006006124A1 (en) 2006-01-19

Similar Documents

Publication Publication Date Title
JP6515246B2 (ja) 情報及び階層的で決定性の暗号化鍵のセキュアな交換のための共通秘密の決定
US10129034B2 (en) Signature delegation
RU2718689C2 (ru) Управление конфиденциальной связью
US8799981B2 (en) Privacy protection system
Paquin et al. U-prove cryptographic specification v1. 1
US20040165728A1 (en) Limiting service provision to group members
US20050058294A1 (en) Method, system and device for enabling delegation of authority and access control methods based on delegated authority
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
JP2010503252A (ja) コンピューティング・プラットフォームの証明
WO2006080165A1 (ja) ファイルの暗号化・復号化方法、装置、プログラム、及びこのプログラムを記録したコンピュータ読み取り可能な記録媒体
US20140032909A1 (en) Method and apparatus for public key cryptography
US10237249B2 (en) Key revocation
JP2004304304A (ja) 電子署名生成方法,電子署名検証方法,電子署名生成依頼プログラム,及び電子署名検証依頼プログラム
CN109951276B (zh) 基于tpm的嵌入式设备远程身份认证方法
TW202232913A (zh) 共享金鑰產生技術
EP4097620A1 (en) Privacy-preserving signature
JP5324813B2 (ja) 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム
JP2008506293A (ja) デジタル認証機能を提供する方法
WO2022024182A1 (ja) 知識証明方法、知識証明プログラム、および情報処理装置
CN111314059B (zh) 账户权限代理的处理方法、装置、设备及可读存储介质
Barker Cryptographic Standards in the Federal Government: Cryptographic Mechanisms
JP2010028689A (ja) 公開パラメータ提供サーバ、公開パラメータ提供方法、公開パラメータ提供プログラム、暗号化処理実行装置、暗号化処理実行方法、暗号化処理実行プログラム、署名処理実行装置、署名処理実行方法及び署名処理実行プログラム
CN113141249B (zh) 一种门限解密方法、系统及可读存储介质
KR20070030883A (ko) 디지털 인증 기능을 제공하는 방법
WO2023181900A1 (ja) 情報処理装置および方法、並びに情報処理システム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20081007