JP2009033740A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2009033740A5 JP2009033740A5 JP2008168143A JP2008168143A JP2009033740A5 JP 2009033740 A5 JP2009033740 A5 JP 2009033740A5 JP 2008168143 A JP2008168143 A JP 2008168143A JP 2008168143 A JP2008168143 A JP 2008168143A JP 2009033740 A5 JP2009033740 A5 JP 2009033740A5
- Authority
- JP
- Japan
- Prior art keywords
- resource
- authentication information
- pseudonym
- user
- derived
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims description 29
- 235000016496 Panda oleosa Nutrition 0.000 claims description 27
- 240000000220 Panda oleosa Species 0.000 claims description 27
- 230000000875 corresponding Effects 0.000 claims description 11
- 238000000034 method Methods 0.000 description 57
- 230000001012 protector Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 10
- 230000003993 interaction Effects 0.000 description 8
- 230000002452 interceptive Effects 0.000 description 7
- 239000000654 additive Substances 0.000 description 4
- 230000000996 additive Effects 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006011 modification reaction Methods 0.000 description 3
- 230000002633 protecting Effects 0.000 description 3
- ASCUXPQGEXGEMJ-GPLGTHOPSA-N [(2R,3S,4S,5R,6S)-3,4,5-triacetyloxy-6-[[(2R,3R,4S,5R,6R)-3,4,5-triacetyloxy-6-(4-methylanilino)oxan-2-yl]methoxy]oxan-2-yl]methyl acetate Chemical compound CC(=O)O[C@@H]1[C@@H](OC(C)=O)[C@@H](OC(C)=O)[C@@H](COC(=O)C)O[C@@H]1OC[C@@H]1[C@@H](OC(C)=O)[C@H](OC(C)=O)[C@@H](OC(C)=O)[C@H](NC=2C=CC(C)=CC=2)O1 ASCUXPQGEXGEMJ-GPLGTHOPSA-N 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical group [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 2
- 239000010931 gold Substances 0.000 description 2
- 229910052737 gold Inorganic materials 0.000 description 2
- 241000282461 Canis lupus Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003287 optical Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Description
本発明は、一般にコンピュータ通信ネットワークセキュリティに関し、より詳細には、プライバシを保護する機能を備える分散型許可のための通信方法、システム、および装置に関する。
様々なアプリケーションが導入され始めたコンピュータ通信ネットワークの普及に伴い、許可ベースのアプリケーションにおける消費者のプライバシの保護は、もはや後回しにすることができない問題である。
認証とは、ユーザが本人であることを確認する事であり、許可とは、ユーザの識別に基づいて、ユーザが様々なサービスにアクセスすることができるようにする事である。従って、論理的に許可より先に認証が行われる。アクセス制御リスト(ACL)など、現在の業界の慣行は、ユーザの認証情報をローカルデータベースから取り出し、そのユーザの認証情報が、リソースに関連する所与のアクセス制御ポリシーを満たしていることをチェックすることによって、許可を行う。ユーザの一意の識別をリソースプロテクタに開示することは、ユーザの認証情報を取り出すために必要であるため、こうした慣行は、ユーザのプライバシを犠牲にして、安全な許可を達成する。
図16に示されているように、許可システムは、機関の種類として、仮名機関(PA)、ユーザ、リソースホルダー(RH)、およびリソースプロテクタ(RP)を有する。PAは、例えば、ネットワークに結合されており、システムにおける仮名の使用を管理するサーバなどである。RHは、例えば、コンテンツデータ、計算リソースなどを有するワークステーション、またはネットワークに結合されている、いくつかのサービスなどを提供するサーバである。RPは、例えば、ネットワークに結合されており、リソースへのアクセスを制御するログインサーバなどである。ユーザは、例えば、パーソナルコンピュータ(PC)や端末がネットワークに結合されている状態で、仮名を使用することにより、リソースにアクセスすることができる。
PAは、仮名をユーザに付与し、不審なユーザをトレースし、不正を働くユーザを取り消すことができる信頼できる第三者機関としての役割を果たす。
RHは、いくつかのリソースを管理し、アクセス権、すなわち認証情報をユーザに付与する。
RPは、リソースを保護し、ユーザの認証情報を検証する。ユーザは、異なるRHによって発行された認証情報をRPに対して証明することができ、これは、許可システムの一般的な慣行であることに留意されたい。例えば、あるユーザは、会社A(第1のRHからの認証情報を備える)および会社B(第2のRHからの認証情報を備える)のゴールドカスタマーである場合、会社Cのリソースに対するゴールドメンバーのアクセス権が(第3のRHのRPによって)与えられる。
以下の特徴のいずれかを有する高プライバシ許可システムを実現することが望ましい。
(1)リンク不能な匿名性。ユーザとRHとの間の複数の対話の後、RHがユーザの識別を確認することは難しい。さらに、ユーザとRPとの間の複数の対話の後、RPがユーザの識別を確認することは難しい。
(2)拡張性。ユーザは、匿名で、認証情報をRPに対して証明し、第三者機関のオンラインの関与無しにRPに確信させる。特に、これによって、RHは、ユーザとRPとの間の対話ごとに認証情報を再発行しない。
(3)きめの細かい匿名性。全認証情報をRPに対して常に証明する代わりに、ユーザは、認証情報の任意の部分を選択してRPに証明することができる。
(4)きめの細かい取り消し可能性。認証情報の取り消しは、ユーザごと、および権利ごとに行うことができる。ユーザの任意のアクセス権、すなわち、ユーザの任意の認証情報は、ユーザの他の認証情報に影響を与えること無く、取り消すことができる。
(5)一定した高価な計算。きめの細かい匿名性が達成されたとき、高価な暗号計算の量は、証明するために選択された認証情報の数に依存しない。例えば、スカラ乗法、モジュラ冪法、および組み合わせ評価は、一般に高価であると考えられる。さらに、きめの細かい取り消し可能性が達成されたとき、高価な暗号計算の量は、取り消しを検証する際に選択される認証情報の数に依存しない。
(6)拡大性。許可システムが新しいRHに対応するよう拡大する場合、または既存のRHが新しいリソースを管理するよう拡大する場合、ユーザがすでに保持している認証情報を変更する必要はない。特に、発行された任意の認証情報の再発行は、回避すべきである。
これは、最初に、D. Chaum, J. H. Evertst, A Secure and Privacy−protecting Protocol for Transmitting Personal Information Between
Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986で紹介されており、認証情報をリソースホルダーに要求し、リソースプロテクタに対して認証情報を匿名で証明する複数のユーザに関するシナリオである。この論文およびその後のものでは、「組織」という用語は、リソースホルダーとリソースプロテクタの論理的な組み合わせを表すために使用されている。
Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986で紹介されており、認証情報をリソースホルダーに要求し、リソースプロテクタに対して認証情報を匿名で証明する複数のユーザに関するシナリオである。この論文およびその後のものでは、「組織」という用語は、リソースホルダーとリソースプロテクタの論理的な組み合わせを表すために使用されている。
Chaumらによって提案された方式は、信頼できる第三者機関をすべての対話に関与させることに基づく。Chen(L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol.1029, pp. 232−243, 1995参照)およびLysyanskayaら(A. Lysyanskaya, R. Rivest, A. Sahai, S. Wolf, Pseudonym Systems.
In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999参照)によって提案された後の方式も、すべての対話に関与する信頼できる第三者機関に依存する。リンク不能とするために、リソースホルダーに、ユーザとリソースプロテクタとの間の対話ごとに認証情報を再発行させることは、不可避である。したがって、これらの匿名認証情報方式は、拡張可能ではない。
In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999参照)によって提案された後の方式も、すべての対話に関与する信頼できる第三者機関に依存する。リンク不能とするために、リソースホルダーに、ユーザとリソースプロテクタとの間の対話ごとに認証情報を再発行させることは、不可避である。したがって、これらの匿名認証情報方式は、拡張可能ではない。
さらに、Camenischらも、2つの匿名認証情報方式(J. Camenisch, A. Lysyanskaya, An Efficient System for Non−Transferable Anonymous Credentials with Optional Anonymity Revocation, In
Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001, and J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004参照)を提案しており、これらは、リンク不能な匿名性および拡張性を達成する。
Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001, and J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004参照)を提案しており、これらは、リンク不能な匿名性および拡張性を達成する。
しかし、上述した従来の方式では、リソースホルダーが管理することができるリソースは、リソースホルダーの公開鍵内のいくつかのパラメータによって決定される。パラメータへのどんな変更も、すでに発行されている認証情報のリフレッシュを必ずもたらす。したがって、拡大性は達成されない。
また、従来の方式では、ユーザの認証情報は、RHによって共に結合されており、ユーザは、全認証情報をRPに対して証明しなければならない、または高価な暗号計算の量は、証明された認証情報の数に対して比例する。したがって、きめの細かい匿名性、および一定した高価な計算は、達成されない。
さらに、従来の方式では、図17に示されているように、ユーザの1つのアクセス権を取り消す唯一の方法は、ユーザの全アクセス権を取り消すこと、すなわち、ユーザのすべての認証情報を無効にし、次いで新しい認証情報をユーザに発行することである。したがって、きめの細かい取り消し可能性は達成されない。
D. Chaum, J. H. Evertst, A Secure and Privacy−protecting Protocol for Transmitting Personal Information Between Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986 L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol.1029, pp. 232−243, 1995 A. Lysyanskaya, R. Rivest, A. Sahai, S. Wolf, Pseudonym Systems. In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999 J. Camenisch, A. Lysyanskaya, An Efficient System for Non−Transferable Anonymous Credentials with Optional Anonymity Revocation, In Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001 J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004 D. Boneh, M. Franklin, Identity−Based Encryption from the Weil Pairing, Proc. Crypto ’01, LNCS, vol. 2139, pp. 213−229, 2001 S. Galbraith, K. Harrison, D. Soldera, Implementing the Tate pairing, Proc. of the 5th International Symposium on Algorithmic Number Theory, LNCS 2369, 324−337, 2002 A. Miyaji, M. Nakabayashi, S. Takano, New Explicit Conditions of Elliptic Curves for FR−reduction, IEICE Trans. Fundamentals, E84−A(5): 1234−1243, 2001 S. Goldwasser, S. Micali, C, Rackoff, The knowledge Complexity of Interactive Proof Systems, 17th ACM Symposium on Theory of Computation, pp. 291−304, 1985 A. Fiat, A. Shamir, How To Prove Yourself: Practical Solutions to Identification and Signature Problems, Advances in Cryptology−CRYPTO ’86, pp. 186−194, 1986 D. Chaum, Demonstrating Possession of a Discrete Logarithm without Revealing It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987 D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987 D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993 K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998 Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006 D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004 A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996
D. Chaum, J. H. Evertst, A Secure and Privacy−protecting Protocol for Transmitting Personal Information Between Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986 L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol.1029, pp. 232−243, 1995 A. Lysyanskaya, R. Rivest, A. Sahai, S. Wolf, Pseudonym Systems. In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999 J. Camenisch, A. Lysyanskaya, An Efficient System for Non−Transferable Anonymous Credentials with Optional Anonymity Revocation, In Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001 J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004 D. Boneh, M. Franklin, Identity−Based Encryption from the Weil Pairing, Proc. Crypto ’01, LNCS, vol. 2139, pp. 213−229, 2001 S. Galbraith, K. Harrison, D. Soldera, Implementing the Tate pairing, Proc. of the 5th International Symposium on Algorithmic Number Theory, LNCS 2369, 324−337, 2002 A. Miyaji, M. Nakabayashi, S. Takano, New Explicit Conditions of Elliptic Curves for FR−reduction, IEICE Trans. Fundamentals, E84−A(5): 1234−1243, 2001 S. Goldwasser, S. Micali, C, Rackoff, The knowledge Complexity of Interactive Proof Systems, 17th ACM Symposium on Theory of Computation, pp. 291−304, 1985 A. Fiat, A. Shamir, How To Prove Yourself: Practical Solutions to Identification and Signature Problems, Advances in Cryptology−CRYPTO ’86, pp. 186−194, 1986 D. Chaum, Demonstrating Possession of a Discrete Logarithm without Revealing It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987 D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987 D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993 K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998 Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006 D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004 A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996
上記の問題を鑑みて、本発明がなされた。
本発明の一態様によれば、ルート仮名を発行するステップと、1つ以上のリソース認証情報を取得するステップと、ル―ト仮名から第1の派生仮名を生成するステップと、前記1つ以上のリソース認証情報から1組のリソース認証情報を選択するステップと、1組のリソース認証情報からフレキシブル認証情報を生成するステップと、第1の派生仮名およびフレキシブル認証情報を使用することによって、アクセス要求を行うステップと、第1の派生仮名およびフレキシブル認証情報を検証した後、アクセス要求を承諾するステップとを含む、通信システムのための方法が提供される。
システムパラメータをセットアップするように構成されているシステムパラメータセットアップ手段と、ユーザ識別検証を行うように構成されている識別検証手段と、ユーザ仮 名鍵をユーザに割り当てるように構成されているユーザ仮名鍵割当手段と、ユーザ仮名鍵に基づいて、ユ―ザに発行されるべきルート仮名を生成するように構成されているルート仮名生成手段とを備える、通信システムにおいて仮名を管理するための装置が提供される。
本発明の別の態様によれば、ユーザ端末からのユーザの要求が受信されると、ユーザ識別を検証するステップと、ユーザ識別が検証をパスした場合、ユーザ仮名鍵をユーザに割り当てるステップと、ユーザ仮名鍵に基づいてルート仮名を生成するステップとを含む、通信システムにおいて仮名を管理するための方法が提供される。
本発明の別の態様によれば、リソースごとにリソース秘密鍵およびリソース公開鍵を生成するように構成されているリソース鍵生成手段と、ユーザの派生仮名を検証するように構成されている仮名検証手段と、ユーザの派生仮名に基づいて、ユーザのユーザ端末に送信されるべきリソースの認証情報を生成するように構成されている、認証情報生成手段とを備える通信システムにおいて、1つ以上のリソースの認証情報を管理するための装置が提供される。
本発明の別の態様によれば、リソースごとにリソース秘密鍵およびリソース公開鍵を生成するステップと、ユーザ端末からのユーザの要求が受信されると、ユーザの派生仮名を検証するステップと、検証がパスした場合、派生仮名に基づいて、ユーザ端末に送信されるべきリソースの認証情報を生成するステップとを含む、通信システムにおいて、1つ以上のリソースの認証情報を管理するための方法が提供される。
本発明の別の態様によれば、ルート仮名を取得するように構成されているルート仮名取得手段と、1つ以上のリソース認証情報を取得するように構成されているリソース認証情報取得手段と、ルート仮名から第1の派生仮名を生成するように構成されている派生仮名生成手段と、選択された1組のリソース認証情報からフレキシブル認証情報を生成するように構成されているフレキシブル認証情報生成手段とを備え、ユーザ端末が、第1の派生仮名およびフレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを取得する、通信システムにおけるユーザ端末が提供される。
本発明の別の態様によれば、ルート仮名を取得するステップと、1つ以上のリソース認証情報を取得するステップと、ルート仮名から第1の派生仮名を生成し、選択された1組のリソース認証情報からフレキシブル認証情報を生成するステップと、第1の派生仮名およびフレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを取得するステップとを含む、通信システムにおけるユーザ端末のための方法が提供される。
本発明の別の態様によれば、ユーザの派生仮名を検証するように構成されている仮名検証手段と、ユーザのフレキシブル認証情報を検証するように構成されているフレキシブル認証情報検証手段と、仮名検証手段およびフレキシブル認証情報検証手段の検証結果に基づいて、フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与えるように構成されている許可手段とを備える、通信システムにおける1つ以上のリソースへのアクセスを管理するための装置が提供される。
本発明の別の態様によれば、ユーザの派生仮名を検証するステップと、ユーザのフレキシブル認証情報を検証するステップと、派生仮名およびフレキシブル認証情報の検証結果に基づいて、フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与えるステップとを含む、通信システムにおける1つ以上のリソースへのアクセスを管理するための方法。
また、本発明は、本発明による方法をプロセッサに実行させる命令を記録した機械可読媒体を有する製品も提供する。
本発明の解決策によれば、ユーザは、許可された後、ユーザがその認証情報をリソースプロテクタに対して何度証明しようと、匿名のままでいることができ、さらにリソースホルダーに連絡する必要はない。同時に、PAの公開鍵が決定され、発行された後、PAが対応することができるRHの数は、可変である。また、リソースホルダーの公開鍵が決定され、発行された後、リソースホルダーが管理することができるリソースの数は、固定されず、発行された認証情報の変更は必要ない。
さらに、ユーザは、リソースプロテクタに対して、そのユーザの全組のアクセス権の任意の部分を選択的に証明することができる。また、ユーザがアクセス権の任意の部分を証明するための計算コストは、証明される権利の数に依存しない(1つのみの権利を証明するためのものと同じである)。
さらに、仮名機関は、ユーザの他の権利を変更することなく、ユーザのリソース認証情報のうちの任意の1つを取り消すことができる。また、仮名機関は、リソースホルダーの関与無しに、取り消しを行うことができ、言い換えれば、きめの細かい取り消しは、リソースホルダーの秘密鍵を必要とすることなく達成される。任意の数のリソース認証情報が取り消されるかどうかを検証するために必要な高価な計算の量は、一定しており、すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じである。
以下の詳細な説明および図面から、本発明の他の特徴および利点が明らかになる。本発明は、図面または任意の特定の実施形態に示されている例に決して限定されないことに留意されたい。
図1は、本発明による解決策の一般的概念を概略的に示す。図1に示されるように、仮 名機関PAは、ルート仮名をユーザに発行し、ユーザは、ユーザ自身によってルート仮名から計算された派生仮名を使用することによって、リソースホルダーRHからリソース認証情報を取得する。ユーザは、1つ以上のリソースにアクセスしたいとき、ユーザが有するすべてのリソース認証情報から、アクセスすることが望まれるリソースに対応する1組のリソース認証情報を選択し、この組のリソース認証情報によって特別な認証情報を生成する。こうした認証情報を、ユーザによって選択された任意のリソース認証情報に基づいて生成することができ、以下、フレキシブル認証情報と呼ぶ。その後、ユーザは、生成されたフレキシブル認証情報、およびルート仮名から計算された派生仮名をリソースプロテクタRPに対して証明し、リソースプロテクタRPによって検証された後、所望のリソースへのアクセス権を得る。
本発明の解決策によれば、ユーザは、ルート仮名から、互いに異なる多数の派生仮名を生成することができる。また、リソースプロテクタとの各対話において、ユーザは、仮名機関への複数回の要求の必要無く、異なる派生仮名を使用することができる。
図2は、本発明の解決策による認証情報の使用および取り消しを示す概要図である。図2に示されるように、ユーザは、リソース認証情報の一部を選択し、そこからフレキシブル認証情報を生成し、そのフレキシブル認証情報を、検証のためにリソースプロテクタに送信することができ、これは、すべてのリソース認証情報がリソースプロテクタに対して証明される従来の方式とは異なる。さらに、こうしたフレキシブル認証情報により、検証は、単にユーザとリソースプロテクタとの間で行われ、仮名機関またはリソースホルダーは関与しない。さらに、本発明による仮名機関PAは、ユーザのリソース認証情報を取り消すことができる。さらに、仮名機関PAは、きめの細かい取り消しを実現するために、取り消しリストを維持することができる。すなわち、ユーザの1つ以上のリソース認証情報のみが取り消され、他のリソース認証情報は影響を受けない。
以下、図面を参照して、本発明の実施形態例について説明する。実施形態は、単に、例示の目的で記載されているにすぎず、本発明は、記載された任意の特定の実施形態に限定されないことに留意されたい。
(第1の実施形態)
(第1の実施形態)
以下の説明では、一例として従来の乗法群表記法が使用される。しかし、楕円曲線設定値にしばしば使用される加法表記法も同様に使用できることを当業者であれば理解されよう。
および
および追加群
は、
となるような有限巡回群であるとし、この場合、pは、何らかの大きい素数である。双線形マップ
(D. Boneh, M. Franklin, Identity−Based Encryption from the Weil Pairing, Proc. Crypto ’01, LNCS, vol. 2139, pp. 213−229,
2001; S. Galbraith, K. Harrison, D. Soldera, Implementing the Tate pairing, Proc. of the 5th International Symposium on
Algorithmic Number Theory, LNCS 2369, 324−337, 2002; and A. Miyaji, M. Nakabayashi, S. Takano, New Explicit Conditions of Elliptic Curves for FR−reduction, IEICE Trans. Fundamentals, E84−A(5): 1234−1243, 2001参照)は、以下を満たす関数である。
i.双線形:すべての
、およびすべての
について、e(h1 a,h2 b)=e(h1,h2)abが成り立つ。
ii.非縮退性:Iが
の識別である場合、e(h1,h2)≠Iとなるような
である。
iii.計算可能性:eを計算する効率のよいアルゴリズムが存在する。
セットアップアルゴリズムSetup(・)は、入力セキュリティパラメータlkにおいて、双線形マップの上記の設定値を出力し、以下のように定義される。
この場合、lkは、システムのセキュリティ長さがkビットとして選択されていることを意味する。
この場合、lkは、システムのセキュリティ長さがkビットとして選択されていることを意味する。
本発明による通信システムは、仮名機関PA、リソースホルダーRH、リソースプロテクタRP、およびリソースへのアクセスを望んでいるユーザを含み、これらは、互いに通信することができる。
図3は、本発明の第1の実施形態による仮名機関PA300の構成の一例を示す。図3に示されるように、PA300は、主に、システムパラメータをセットアップするためのシステムパラメータセットアップ手段310、ユーザ識別検証を行うための識別検証手段320、ユーザ仮名鍵をユーザに割り当てるためのユーザ仮名鍵割当手段330、ユーザのルート仮名を生成するためのルート仮名生成手段340、PAの操作に必要なデータを格納するための格納手段350、およびシステムにおける他の装置と通信するための通信手段360を備え、これらは互いに結合されている。
図4は、本発明の第1の実施形態によるリソースホルダーRH400の構成の一例を示す。図4に示されるように、RH400は、主に、リソースごとにリソース秘密鍵およびリソース公開鍵を選択するためのリソース鍵生成手段410、ユーザの派生仮名を検証するための仮名検証手段420、ユーザの派生仮名に基づいてユーザのリソースの認証情報を生成するための認証情報生成手段430、RHの操作に必要なデータを格納するための格納手段440、およびシステムにおける他の装置と通信するための通信手段450を備え、これらは互いに結合されている。
図5は、本発明の第1の実施形態によるユーザ端末500の構成の一例を示す。図5に示されるように、ユーザ端末500は、主に、ルート仮名を取得するためのルート仮名取得手段510、ルート仮名から派生仮名を生成するための派生仮名生成手段520、リソース認証情報を取得するためのリソース認証情報取得手段530、選択されたリソース認証情報からフレキシブル認証情報を生成するためのフレキシブル認証情報生成手段540、ユーザ端末500の操作に必要なデータを格納するための格納手段550、およびシステムにおける他の装置と通信するための通信手段560を備え、これらは互いに結合されている。
図6は、本発明の第1の実施形態によるリソースプロテクタRP600の構成の一例を示す。図6に示されているように、リソースプロテクタRP600は、主に、ユーザの仮 名を検証するための仮名検証手段610、ユーザのフレキシブル認証情報を検証するためのフレキシブル認証情報検証手段620、リソースにアクセスする権限をユーザに与えるための許可手段630、リソースプロテクタRP600の操作に必要なデータを格納するための格納手段640、およびシステムにおける他の装置と通信するための通信手段650を備え、これらは互いに結合されている。
以下、本発明の第1の実施形態による手順の一例について詳述する。
(仮名機関のセットアップ)
(仮名機関のセットアップ)
許可システムが起動すると、PAは、それが望むセキュリティ強度を決定し、基本的な代数を選択し、その秘密鍵を生成し、公開鍵を発行する必要がある。図7は、PAがセットアップする特定の手順を示す。
本発明の第1の実施形態によるリソースホルダーがセットアップする特定の手順を図8に示す。図8に示されるように、PA公開鍵PKPAを取得した後、リソースRi j(j=1,2,…,ni)を管理するリソースホルダーRHiは、以下のステップを行う。
ステップS802で、リソース鍵生成手段410は、Bi jの組ごとに知識証明の署名も生成し、
Σi j=SKP{(xj) : Bi j=g2 xj},
j=1, 2, …, ni
それによってRHiは、
の知識を証明することができる。
Σi j=SKP{(xj) : Bi j=g2 xj},
j=1, 2, …, ni
それによってRHiは、
の知識を証明することができる。
ここで、表記SKPは、いわゆる知識証明技術を示す(参照により本明細書に組み込む、S. Goldwasser, S. Micali, C, Rackoff, The knowledge Complexity of Interactive Proof Systems, 17th ACM Symposium on Theory of Computation, pp. 291−304, 1985を参照)。ゼロ知識における離散対数の知識を証明するために、多くの方法が提案されている(知識証明の計算および実装の特定の例を漸進的に記載しており、参照により本明細書に組み込まれる、A. Fiat, A. Shamir, How To Prove Yourself: Practical Solutions to Identification and Signature Problems, Advances in Cryptology−CRYPTO ’86, pp. 186−194, 1986; D. Chaum, Demonstrating Possession of a Discrete Logarithm without Revealing
It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987; D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987; D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993; K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998; and Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006参照)。例えば、SKP{(xj):Bi j=g2 xj}は、リソースホルダーRHiが、計算においてxjの情報を明らかにすること無く、Bi j=g2 xjとなるようなxjを知っていることを証明することができることを示す。
It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987; D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987; D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993; K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998; and Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006参照)。例えば、SKP{(xj):Bi j=g2 xj}は、リソースホルダーRHiが、計算においてxjの情報を明らかにすること無く、Bi j=g2 xjとなるようなxjを知っていることを証明することができることを示す。
知識証明を行う従来の様々な方法を、本発明の実施形態に使用することができる。これらは、当分野では知られているため、その詳細は、ここでは説明しない。対話型および非対話型の知識証明を本発明の実施形態に使用することができることは、当業者には明らかである。非対話バージョンの知識証明は、ユーザ装置とサービス装置との間の往復の通信を減らすことができ、したがって、ネットワーク稼働率と時間消費に関して有利である。しかし、ユ―ザ装置とサービス装置は、反射攻撃を防ぐために、同じ時間起点を共有することが必要となり得る。対話型および非対話型の変形体の利点および欠点は、当業者にはよく知られている。
ここで図8に戻る。ステップS803で、RHiは、通信手段430を介してその公開鍵PKi RH={(Bi j,Σi j)}、j=1,2,…,niを発行する。式中、Bi jは、リソースRi jの公開鍵である。あるいは、RHiは、{(Bi j,Σi j)}、j=1,2,…,niをPAに送信し、PKi RHをRHi自体によって発行する代わりに、PAに発行させてもよい。知られているように、Σi jは、リソースホルダーRHiがシステムに対する攻撃に対するような方法でRi jを生成することを示す。
実際は、仮名機関が、リソースホルダーによって管理されるリソースに、リソースホルダーの代わりに、リソース秘密鍵を割り当てることも可能である。さらに、リソース秘密鍵およびリソース公開鍵の知識証明の署名は、仮名機関によって計算され、発行されてもよい。本発明の代替実施形態において、仮名機関は、さらに、リソース秘密鍵を割り当て、リソース公開鍵を計算し、かつ/またはリソース秘密鍵の知識証明の署名を生成するためのリソース鍵生成手段(図示せず)を備えていてもよい。
(仮名の発行)
(仮名の発行)
図9は、本発明の第1の実施形態によるルート仮名を発行する特定の手順を示す。図9に示されるように、PA公開鍵PKPAが与えられると、検証可能な識別Uを有するユーザは、PAから仮名を取得するために、PAとの次の対話を行う。
ステップS901で、ユーザ端末のルート仮名取得手段510は、PAにルート仮名を要求し、ユーザの検証可能な識別Uは、通信手段560によってPAに送信される。
ステップS902で、PAの識別検証手段320は、ルート仮名をそのユーザに発行するかどうかを決定するために、ユーザの識別Uを検証する。ユーザが検証をパスしない場合、PAは、ルート仮名をユーザに発行せず、プロセスは、障害処理のためにステップS903に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
ユーザに仮名が発行される資格があることが決定されると、PAのユーザ仮名鍵割当手段330は、ステップS904で、Uのために格納するユーザ仮名鍵zについて、そのデータベース(例えば格納手段350に格納されていてもよい)をチェックする。一致するユーザ仮名鍵が見つかった場合、プロセスはステップS906に進む。そうでない場合、プロセスはステップS905に進み、PAのユーザ仮名鍵割当手段330は、そのユーザの仮名鍵としてUのために
Uを選択する。
Uを選択する。
ステップS907で、PAは、格納手段350内のデータベースに(U,z)を格納し、ユーザ仮名鍵z、およびルート仮名tを、通信手段360によってユーザに送信する。
PAによって送信されたユーザ仮名鍵zおよびルート仮名tを受信した後、ユーザ端末のルート仮名取得手段510は、e(t,A・g2 z)=e(g1,g2)であるかどうかをチェックする。検証が失敗すると、プロセスはステップS901に進んで、再度要求を行う。あるいは、ユーザは、データの再送を要求するための通知をPAに送信する。
検証が成功すると、ユーザは、ユーザ仮名鍵zおよびルート仮名tを格納手段550に格納する。
PAがユーザの識別を検証し、ユーザの検証可能な識別Uと実際のユーザとの間の関連を確実にするための既知の様々な方法があることに留意されたい。PAがこれをどのように達成するかは、本発明に直接関連していないため、その詳細な説明は、ここでは省略する。
(認証情報の発行)
(認証情報の発行)
認証情報の発行の手順は、概念上、2つの段階に解釈することができる。第1の段階は、仮名検証を行うことであり、第2の段階は、認証情報を発行することである。図10は、本発明の第1の実施形態による認証情報の発行の特定の手順を示す。図10に示されるように、PA公開鍵PKPA、およびリソースRi jの公開鍵Bi jが与えられると、ユーザ仮名鍵zおよびルート仮名tを所有するユーザは、リソースRi jに対するアクセス権を取得するために、リソースRi jを管理するリソースホルダーRHiとの次の対話を行う。
ステップS1002で、ユーザ端末の派生仮名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2) : e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
Σ=SKP{(x1, x2) : e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
ステップS1003で、ユーザ端末のリソース認証情報取得手段530は、リソースRi jの認証情報をリソースホルダーRHiに要求し、派生仮名T、および知識証明の署名が、通信手段560を介してリソースホルダーRHiに送信される。
ステップA1004で、Σを受信した後、RHiは、Σの妥当性をチェックする。Σが無効である場合、RHiは、ユーザに認証情報を発行せず、プロセスは、障害処理のためにステップS1005に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
Σが有効である場合、ステップS1006で、RHiの認証情報生成手段430は、認証情報vij’=Tbijを計算し、認証情報vij’は、ユーザに送信される。
RHiから認証情報vij’を受信した後、ユーザ端末のリソース認証情報取得手段530は、リソース認証情報vij=vij'1/tを計算する。
次いで、ステップS1008で、ユーザ端末のリソース認証情報取得手段530は、e(t,Bj)=e(vij,g2)であるかどうかをチェックする。検証が失敗すると、プロセスはステップS1001に戻って、再度要求を行う。そうでない場合、ユーザは、データの再送を要求するための通知をRHiに送信する。
検証が成功すると、ユーザは、ステップS1009で、リソースRi jのリソース認証情報としてvijを格納手段550に格納する。
ユーザがリソースRi jの認証情報を要求することを一例として挙げることによって、認証情報発行手順について上述したが、リソースホルダーが複数のリソースを管理する場合、ユーザが、上記の手順を複数回行うことによって、複数のリソース認証情報を取得する、または手順を一度行うことによって、複数のリソース認証情報の要求、および取得を同時に行うことができることが考えられる。
当然、ユーザが、ルート仮名tを直接使用することによって、リソースホルダーからリソース認証情報を取得することも可能である。この場合、上記の派生仮名Tは、ルート仮 名tと置き換えられ、RHiは、tbijをユーザに送信し、ユーザは、リソース認証情報として直接tbijを格納する。
(許可)
(許可)
論理的に、許可より先に認証が行われる。そのため、許可の手順は、2つの段階に分けられる。第1の段階は、ユーザの仮名を検証することであり、第2の段階は、ユーザの仮 名に関連するユーザの認証情報を検証することである。
図11は、本発明の第1の実施形態による特定の許可手順を示す。
PA公開鍵PKPA、リソースホルダーの公開鍵{PKi RH}が与えられ、ユーザがユーザ仮名鍵z、ルート仮名tおよび1組の認証情報Λ={vij}を有している場合、ユーザは、1組の公開鍵B={Bi j}を有するリソースR={Ri j}にアクセスすることができる。図11を参照して後述する手順は、ユーザが、そのユーザによって選択されたリソースのサブセット
に対するアクセス権を有していることをどのようにリソースプロテクタRPに確信させるかを示している。
に対するアクセス権を有していることをどのようにリソースプロテクタRPに確信させるかを示している。
に対応する1組の公開鍵
に基づいて、ユーザが行わなければならないことは、ユーザが、リソース*に対するアクセス権を表す認証情報のサブセット
を保持していることを証明することである。一般性を損なうことなく、
は、
と書かれ、
は、
と書かれる。ユーザの機密としての認証情報のサブセットは、
である。
ステップS1101で、ユーザ端末の派生仮名生成手段520は、
を選択し、派生仮名T=ttを計算する。許可手順において、上記の認証情報発行手順で使用された派生仮名と異なる派生仮名を使用することが好ましいことに留意されたい。これは、異なるtを選択することによって行うことができる。説明を簡潔にするために、同じ表記Tが様々な派生仮名に使用されている。しかし、認証情報発行手順および許可手順で使用される派生仮名は、その都度異なり得ることを理解されたい。
を選択し、派生仮名T=ttを計算する。許可手順において、上記の認証情報発行手順で使用された派生仮名と異なる派生仮名を使用することが好ましいことに留意されたい。これは、異なるtを選択することによって行うことができる。説明を簡潔にするために、同じ表記Tが様々な派生仮名に使用されている。しかし、認証情報発行手順および許可手順で使用される派生仮名は、その都度異なり得ることを理解されたい。
ステップS1102で、ユーザ端末のフレキシブル認証情報生成手段540は、アクセスされるリソースに対応するリソース認証情報のサブセット
を選択する。例えば、ユーザのコマンド(例えば、追加の入力方法からのユーザ入力)に従って、フレキシブル認証情報生成手段540によって、アクセスされる1つ以上のリソースを決定することができる。あるいは、ユーザ端末は、さらに、アクセスすることが望まれるリソースを選択するための、フレキシブル認証情報生成手段540に結合されている追加のリソース選択手段(図示せず)を備えていてもよい。
を選択する。例えば、ユーザのコマンド(例えば、追加の入力方法からのユーザ入力)に従って、フレキシブル認証情報生成手段540によって、アクセスされる1つ以上のリソースを決定することができる。あるいは、ユーザ端末は、さらに、アクセスすることが望まれるリソースを選択するための、フレキシブル認証情報生成手段540に結合されている追加のリソース選択手段(図示せず)を備えていてもよい。
ステップS1104で、ユーザ端末の派生仮名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2) : e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
Σ=SKP{(x1, x2) : e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
Σおよびフレキシブル認証情報Vを受信すると、RPの仮名検証手段610は、ステップS1106で、Σの妥当性をチェックする。Σが無効である場合、RPは、ユーザを拒否し、プロセスは、障害処理のためにステップS1107に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
Σが有効である場合、RPのフレキシブル認証情報検証手段620は、ステップS1108で、
であるかどうかをチェックする。式が適用されない場合、プロセスは、障害処理のためにステップS1107に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
であるかどうかをチェックする。式が適用されない場合、プロセスは、障害処理のためにステップS1107に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
式が適用される場合、RPは、ユーザがRのサブセットであるリソース
に対するアクセス権を有していることを確信している。次いで、ステップS1109で、RPの許可手段630によって、ユーザは、リソース
にアクセスすることができる。
に対するアクセス権を有していることを確信している。次いで、ステップS1109で、RPの許可手段630によって、ユーザは、リソース
にアクセスすることができる。
当然、ユーザは、ルート仮名およびフレキシブル認証情報を使用することによってRPとの対話を行うことができる。当業者であれば、対応する手順を容易に理解することができ、その詳細な説明は、ここでは省略する。
本発明によれば、ユーザが、認証情報のすべてを証明する必要がある従来の方式とは異なり、認証情報の検証の際に、リソースプロテクタに対して証明するための認証情報の任意の部分を自由に選択できることは明らかである。
の一括検証のため、高価な暗号計算の量、特に、加法有限巡回群におけるスカラ乗法、乗法有限巡回群におけるモジュラ冪法、および組み合わせ評価の量は、認証情報のどの部分が証明されるかにかかわらず、常に同じである。
の一括検証のため、高価な暗号計算の量、特に、加法有限巡回群におけるスカラ乗法、乗法有限巡回群におけるモジュラ冪法、および組み合わせ評価の量は、認証情報のどの部分が証明されるかにかかわらず、常に同じである。
上述した実施形態では、PAのトレース機能には言及していない。しかし、本発明の匿名フレキシブル認証方式によれば、PAは、トレース機能および取り消し機能を備えていてもよい。以下、本発明のトレース機能および取り消し機能を備える追加の実施形態について説明する。
(第2の実施形態)
(第2の実施形態)
以下、本発明によるトレース機能を備える第2の実施形態について説明する。
上述したように、認証情報発行手順および許可手順の第1の段階は、ユーザの仮名を検証している。仮名発行および仮名検証に対する2〜3の変更によって、PAにトレース機能が提供される。実際には、トレースおよび取り消しを、追加のトレース機関または取り消し機関に割り当てることができることに留意されたい。これは、本発明の主旨には影響を及ぼさない。
当業者は、様々な解決策を設計することができる。例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004またはK. Zeng, Pseudonymous PKI for Ubiquitous Computing, in Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI ’06), LNCS vol. 4043, pp. 207−222,
2006に記載されている標準的なやり方が適用可能である。上述した文書を、参照により本明細書に組み込む。
2006に記載されている標準的なやり方が適用可能である。上述した文書を、参照により本明細書に組み込む。
さらに、こうした変更は、取り消し機能を備えるPAに権限を与えることもできる。しかし、取り消し機能は、従来の方式による変更によって細粒化されないことに留意されたい。言い換えれば、PAは、ユーザの仮名およびそのユーザのすべての認証情報を同時に取り消すことしかできない。
K. Zeng, Pseudonymous PKI for Ubiquitous Computing, in Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI
’06), LNCS vol. 4043, pp. 207−222, 2006に提案されている方法を一例として挙げることによって、以下、本発明のトレース機能を備える一実施形態について説明する。この実施形態の構成は、第1の実施形態にいくつかの変更を加えたものと似ている。簡潔にするために、以下では、この実施形態と上記の第1の実施形態との間の差のみを説明し、同じ参照符号は、類似の部分を示す。ここでの説明は、参照の目的にすぎないことに留意されたい。上述したように、当業者は、本発明の匿名フレキシブル認証方式に基づいて、PAのトレース機能を実現するために、他の方法を使用してもよい。
’06), LNCS vol. 4043, pp. 207−222, 2006に提案されている方法を一例として挙げることによって、以下、本発明のトレース機能を備える一実施形態について説明する。この実施形態の構成は、第1の実施形態にいくつかの変更を加えたものと似ている。簡潔にするために、以下では、この実施形態と上記の第1の実施形態との間の差のみを説明し、同じ参照符号は、類似の部分を示す。ここでの説明は、参照の目的にすぎないことに留意されたい。上述したように、当業者は、本発明の匿名フレキシブル認証方式に基づいて、PAのトレース機能を実現するために、他の方法を使用してもよい。
以下、本発明の第1の実施形態に加えられた変更の例について説明する。
仮名発行中、ユーザは、トレースのために、ユーザの公開鍵(h,hxu)および
を計算し、PAに送信する必要がある。ここでは、hは、PA公開鍵PKPAの追加のパラメータであり、xuは、ユーザの秘密鍵である。この計算は、ユーザ端末のルート仮名取得手段510、またはユーザの秘密鍵および公開鍵を取得または生成することができる追加の手段によって行うことができる。ユーザの公開鍵および秘密鍵を取得し、使用する方法は、当分野では知られており、その詳細な説明は、ここでは省略する。ユーザは、上述した図9に示されているステップS901で、ユーザの公開鍵hおよびhxuをユーザの識別に含めることによって、それをPAに送信することができる。
を計算し、PAに送信する必要がある。ここでは、hは、PA公開鍵PKPAの追加のパラメータであり、xuは、ユーザの秘密鍵である。この計算は、ユーザ端末のルート仮名取得手段510、またはユーザの秘密鍵および公開鍵を取得または生成することができる追加の手段によって行うことができる。ユーザの公開鍵および秘密鍵を取得し、使用する方法は、当分野では知られており、その詳細な説明は、ここでは省略する。ユーザは、上述した図9に示されているステップS901で、ユーザの公開鍵hおよびhxuをユーザの識別に含めることによって、それをPAに送信することができる。
さらに、上述した図9に示されているステップS906で、PAのルート仮名生成手段340は、
の代わりに、(
を計算する。式中、t=tg・thは、ユーザのルート仮名とみなされ、h1は、PA公開鍵PKPAの追加のパラメータ、xuは、ユーザの秘密鍵である。また、ステップS907で、PAは、ユーザに(tg,th)を送信(またはtgおよびt=tg・thを送信)し、ユーザの識別に対応するy’を格納する。
の代わりに、(
を計算する。式中、t=tg・thは、ユーザのルート仮名とみなされ、h1は、PA公開鍵PKPAの追加のパラメータ、xuは、ユーザの秘密鍵である。また、ステップS907で、PAは、ユーザに(tg,th)を送信(またはtgおよびt=tg・thを送信)し、ユーザの識別に対応するy’を格納する。
次いで、ステップS909で、ユーザは、ルート仮名t=tg・thだけではなく、取り消しパラメータθ=tgも格納し、この場合、取り消しパラメータθは、きめの粗い取り消しのためのものである。
認証情報発行手順および許可手順の仮名検証のため、ユーザ端末の派生仮名生成手段520は、整数
を選択し、派生仮名T=trを計算する。さらに、ユーザは、トレースパラメータTy=Txuも計算し、仮名取り消しパラメータに従って派生仮名Tと共に使用される仮名取り消し検証パラメータΘ=θrを生成する(計算は、例えば、上述した図10に示されるステップS1001、および図11に示されるステップS1101、並びに上述した図10に示されるステップS1003、および図11に示されるステップS1105におけるユーザ端末の派生仮名生成手段520によって行われ、また、ユーザはTyおよびΘをRHまたはRPに送信する)。認証情報発行手順および許可手順の間、ユーザは、異なる派生仮名を生成するために、異なるrを選択してもよいことに留意されたい。
を選択し、派生仮名T=trを計算する。さらに、ユーザは、トレースパラメータTy=Txuも計算し、仮名取り消しパラメータに従って派生仮名Tと共に使用される仮名取り消し検証パラメータΘ=θrを生成する(計算は、例えば、上述した図10に示されるステップS1001、および図11に示されるステップS1101、並びに上述した図10に示されるステップS1003、および図11に示されるステップS1105におけるユーザ端末の派生仮名生成手段520によって行われ、また、ユーザはTyおよびΘをRHまたはRPに送信する)。認証情報発行手順および許可手順の間、ユーザは、異なる派生仮名を生成するために、異なるrを選択してもよいことに留意されたい。
さらに、例えば、上述した図10に示されるステップS1002および図11に示されるステップS1102で、ユーザ端末の派生仮名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2, x3) : e(T, A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ 1=(T−1)x3 ・ Ty x1∧e(Θ, A)=v4 x1 ・ (v5 r)x2}
この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)
である。
Σ=SKP{(x1, x2, x3) : e(T, A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ 1=(T−1)x3 ・ Ty x1∧e(Θ, A)=v4 x1 ・ (v5 r)x2}
この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)
である。
したがって、派生仮名を使用したユーザの実際の識別をトレースする必要がある場合、PAは、データベースに格納されているすべてのy’について、e(T,y’)=e(Ty,g2)かどうかをチェックし、ユーザ仮名鍵およびユーザの識別を見つける。したがって、こうしたわずかな変更により、PAに、任意のユーザの実際の識別およびユーザ仮 名鍵をトレースする機能が提供される。こうした場合、PAは、トレースを行うためのトレース手段(図示せず)を備え得る。
認証情報発行段階で、リソースプロテクタRHiは、T=(tg・th)rを使用して、認証情報をユーザに発行し、ユーザのリソース認証情報は、vij=(tg・th)b jとなることに留意されたい。後でtgおよびthを変更することは、すべてのユーザの仮名Tを無効にし、したがって、すべてのvijを無効にする、すなわち、ユーザのすべての認証情報を無効にする。そこで、きめの粗い取り消しのために、仮名取り消しパラメータθおよび関連する知識証明の署名が追加される。したがって、PAは、仮名取り消しパラメータθの上述した方法によってユーザの派生仮名を取り消すための仮名取り消し手段を備え得る。例えば、取り消し手段は、仮名取り消しパラメータθを無効にすることによって、ユーザのルート仮名、およびそのルート仮名から生成された任意の派生仮名を無効にすることができる。当業者は、取り消し機構を容易に設計することができる。例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152,
pp. 41−55, 2004の機構は、仮名取り消しパラメータθに適用される。当然、匿名のユーザの実際の識別をトレースする唯一の目的に関して、仮名取り消しパラメータθは必要ない。
pp. 41−55, 2004の機構は、仮名取り消しパラメータθに適用される。当然、匿名のユーザの実際の識別をトレースする唯一の目的に関して、仮名取り消しパラメータθは必要ない。
ユーザのルート仮名、およびルート仮名から生成された派生仮名が取り消された後、ユーザは、もはや仮名検証手順をパスすることができない。必然的に、ユーザのルート仮名および派生仮名に関連する全認証情報が取り消される。したがって、上記の実施形態によって実現される取り消しは、細粒化されない。
ユーザの秘密鍵xuに基づくトレースの一例については上述した。しかし、PAのトレース機能を達成するために、他のパラメータおよび取り消しアルゴリズムも本発明に使用できることを、当業者であれば理解されよう。例えば、既知のまたは追加で設計されたパラメータ(ユーザに一意のパラメータ)は、こうしたパラメータがそのユーザに一意である限り、使用することができ、認証情報機関は、ユーザの派生仮名および派生仮名と共に使用される情報から、こうしたパラメータを再構築することができ、他の機関にとって、こうしたパラメータは計算できない。
例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances
in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004で提案されている別のトレース機構では、トレース機能を実現するために、ユーザ仮名鍵zを本発明に使用することができる。以下、ユーザ仮名鍵zに基づくトレースを実現する手順の一例について、簡単に説明する。
in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004で提案されている別のトレース機構では、トレース機能を実現するために、ユーザ仮名鍵zを本発明に使用することができる。以下、ユーザ仮名鍵zに基づくトレースを実現する手順の一例について、簡単に説明する。
認証情報発行手順および許可手順における仮名検証のために、ユーザは、
から整数αおよびβを選択し、上記の例のTyの代わりに、トレースパラメータT1=uα、T2=vβ、およびT3=g1 zhα+βを計算する。対応する知識証明(知識証明の署名の計算)において、ユーザは、T1、T2、およびT3をリソースホルダーまたはリソースプロテクタに送信し、底u、v、h、およびg1に関して、それぞれα、β、α+β和 zの知識を提供する。
から整数αおよびβを選択し、上記の例のTyの代わりに、トレースパラメータT1=uα、T2=vβ、およびT3=g1 zhα+βを計算する。対応する知識証明(知識証明の署名の計算)において、ユーザは、T1、T2、およびT3をリソースホルダーまたはリソースプロテクタに送信し、底u、v、h、およびg1に関して、それぞれα、β、α+β和 zの知識を提供する。
例えば、上述した図10に示されるステップS1002および図11に示されるステップS1102で、ユーザ端末の派生仮名生成手段520は、知識証明の署名を計算する。Σ=SKP{(x1, x2, x3, x4, x5)
: e(T, A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ T1=u x4 ∧ T2=v x5 ∧ T3=g1
x2 hx4+x5∧e(Θ, A)=v4 x1 ・ (v5 r)x2}
この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)
である。
: e(T, A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ T1=u x4 ∧ T2=v x5 ∧ T3=g1
x2 hx4+x5∧e(Θ, A)=v4 x1 ・ (v5 r)x2}
この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)
である。
ユーザの有効な知識証明が与えられると、PAは、g1 z=T3/(T1 x T2 y)を計算することによって、T1、T2、およびT3からg1 zを解読することができる。zは、ユーザごとに別個であるため、g1 zは、ユーザを一意に識別し、したがって、トレースが実現される。
当業者には理解されるように、トレース機能は、必ずしもユーザ秘密鍵xuまたはユーザ仮名鍵zに基づくわけではない。トレースを実現するために、当分野で知られている他の任意の適切なパラメータおよびアルゴリズム、または追加で設計されたパラメータおよびアルゴリズムを使用することができる。したがって、本発明の意図および範囲下で、当業者は、本発明の意図および範囲から逸脱することなく、上述した実施形態に様々な変形、変更、または改良を行うことができる。
本発明の代替実施形態では、ユーザの認証情報のうちの任意のものを取り消すことができ、ユーザの他の認証情報の妥当性を確保することができるきめの細かい方法を提供する。以下、こうした実施形態の一例について説明する。
(第2の実施形態)
(第2の実施形態)
本発明のきめの細かい取り消し機能、すなわちユーザごと、または権利ごとの取り消しが提供される実施形態の一例が提供される。
ユーザ
は、ユーザ仮名鍵
およびリソースRi jに対するアクセス権を有すると仮定する。場合により、リソースRi jに関するユーザのリソース認証情報は、ユーザの不正行為または他の理由のために取り消されるものとする。本発明のこの実施形態によれば、PAは、きめの粗い取り消しによってユーザのすべての認証情報を取り消す代わりに、リソースRi jのみに関する、ユーザ
によって所有されているリソース認証情報を取り消すことができる。一般に、ユーザごと、および権利ごとの取り消しの前に、PAは、ユーザ
の実際の識別、およびそのユーザのユーザ仮名鍵
を開示するために、トレースを行う必要がある。例えば、トレースを行うために、上記の第2の実施形態に記載した方法を使用することができる。
は、ユーザ仮名鍵
およびリソースRi jに対するアクセス権を有すると仮定する。場合により、リソースRi jに関するユーザのリソース認証情報は、ユーザの不正行為または他の理由のために取り消されるものとする。本発明のこの実施形態によれば、PAは、きめの粗い取り消しによってユーザのすべての認証情報を取り消す代わりに、リソースRi jのみに関する、ユーザ
によって所有されているリソース認証情報を取り消すことができる。一般に、ユーザごと、および権利ごとの取り消しの前に、PAは、ユーザ
の実際の識別、およびそのユーザのユーザ仮名鍵
を開示するために、トレースを行う必要がある。例えば、トレースを行うために、上記の第2の実施形態に記載した方法を使用することができる。
以下、きめの細かい取り消し機能が提供される第3の実施形態について、簡単に説明する。
本発明の第3の実施形態によるきめの細かい取り消しの方式は、単に、取り消しおよび更新についての対応する部分を、上記の第1の実施形態におけるPA、RH、ユーザ端末、およびRPに追加することによって実施することができる。図12〜15は、本発明の第3の実施形態によるPA、RH、ユーザ端末、およびRPの構成の例を示している。
特に、図12に示されるように、本発明の第3の実施形態によるPA1200は、図3に示されているものに加えて、ユーザのうちの1人のリソース認証情報のうちの任意の1つを取り消すための取り消し手段1201を備える。図13に示されるように、本発明の第3の実施形態によるRH1300は、図4に示されているものに加えて、取り消しリストを初期化または維持するための取り消しリスト手段1301を備える。図14に示されるように、本発明の第3の実施形態によるユーザ端末1400は、図5に示されているものに加えて、認証情報取り消しパラメータを更新するための取り消しパラメータ更新手段1401を備える。図15に示されるように、本発明の第3の実施形態によるRP1500は、図6に示されているものに加えて、最新の取り消しリストを取得するための取り消しリスト取得手段1501を備える。
以下、本発明の第3の実施形態の手順の例について詳しく説明する。
リソースホルダーのセットアップ手順において、リソースホルダーRHiは、リソースRi jごとに秘密鍵
および公開鍵
を生成し、その後、その取り消しリスト手段1301は、Ri jごとに取り消しリストRLi j={(g1i j,△)}を初期化する。この場合、
であり、△は、現在取り消しがない、すなわち、タプル(g1i j,△)がRLi j(j=1,2,…,ni)の最初の行であることを示す。
および公開鍵
を生成し、その後、その取り消しリスト手段1301は、Ri jごとに取り消しリストRLi j={(g1i j,△)}を初期化する。この場合、
であり、△は、現在取り消しがない、すなわち、タプル(g1i j,△)がRLi j(j=1,2,…,ni)の最初の行であることを示す。
次いで、上述した図8のステップS802で、リソース鍵生成手段410は、以下のように、Bi jおよびg1i jの組ごとに、知識証明の署名を生成する。
Σi j=SKP{(xj)
: Bi j=g2 xj∧g1i j=g1 xj},j=1, 2, …, ni
Σi j=SKP{(xj)
: Bi j=g2 xj∧g1i j=g1 xj},j=1, 2, …, ni
また、上述した図8のステップS803で、RHiは、その公開鍵PKi RH={(Bi j,RLi j,Σi j)}、j=1,2,…,niを発行する。また、それ自体によってPKi RHを発行する代わりに、RHiは、{(Bi j,RLi j,Σi j)}をPAに送信し、代わりにPAにそれを発行させてもよい。
実際に、PAがRi jごとに初期取り消しリストを生成することも可能である。例えば、本発明の代替実施形態において、PAがリソースホルダーからリソース秘密鍵および公開鍵を取得する場合、またはPAがリソース秘密鍵および公開鍵を生成する場合、リソースの初期取り消しリストは、例えば、PAの取り消し手段1201によって生成されてもよい。
認証情報発行手順中、ユーザは、上述した図10のステップS1009のvijに加えて、wij=vijも格納し、この場合、wijは、ユーザごとおよび権利ごとの取り消しの目的で追加される認証情報取り消しパラメータであって、初期値としてユーザ端末の取り消しパラメータ更新手段1401によって生成され得る。
まず、PAの取り消し手段1201は、リソースRi jに関連する取り消しリストRLi jの最後(最新)の行からg1i jを取り出す。
ユーザ仮名鍵zおよび認証情報(vij,wij)を有する別のユーザUについて考察する。すなわち、ユーザUは、リソースRi jにアクセスする権限が与えられている。リソースRi jに関するユーザUのアクセス権は取り消されないため、ユーザUは、リソースRi jについての更新された取り消しリストが発行されるたびに、すなわち、新しい行が追加されるたびに、リソースRi jについてのその認証情報取り消しパラメータwijを
に更新することができる。
であることを検証するのは容易である。
に更新することができる。
であることを検証するのは容易である。
取り消しリストに新しい行が追加されるたびに、ユーザUは、それに対応して、関連の認証情報取り消しパラメータを更新することができることに留意されたい。あるいは、ユーザUは、定期的に、またはリソースの取り消しリストおよび最後の行における取り消し履歴(前の行)に従って、それが必要があるときのみ、更新を行うことができる。
許可システムによって、PAが
をRi jのリソースホルダーに送信し、リソースホルダーにRLi jを更新するよう頼むことも可能であることに留意されたい。こうした状況において、リソースホルダーの取り消しリスト手段は、取り消しリストの更新を行う。しかし、本発明のきめの細かい取り消しによれば、取り消しは、決してリソースホルダーの任意の機密鍵を使用しない。したがって、リソースホルダーの同意または関与無しに、PA単独できめの細かい取り消しを行うことができる。
をRi jのリソースホルダーに送信し、リソースホルダーにRLi jを更新するよう頼むことも可能であることに留意されたい。こうした状況において、リソースホルダーの取り消しリスト手段は、取り消しリストの更新を行う。しかし、本発明のきめの細かい取り消しによれば、取り消しは、決してリソースホルダーの任意の機密鍵を使用しない。したがって、リソースホルダーの同意または関与無しに、PA単独できめの細かい取り消しを行うことができる。
以下、本発明の第3の実施形態による許可手順について説明する。
許可手順中、リソースプロテクタRPは、特に、リソース
に対するユーザのアクセス権が取り消されるかどうかについて知りたがっていると仮定する。次いで、ユーザUの取り消しパラメータ更新手段1401およびリソース保護RPの取り消しリスト取得手段1501は、Ri jに関連する取り消しリストRLの最終行からg1 kを取り出す。また、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報の選択されたサブセットによるフレキシブル
認証情報に加えて、リソースRkの認証情報取り消しパラメータによる認証情報取り消し検証パラメータW=wk Tを計算する。
に対するユーザのアクセス権が取り消されるかどうかについて知りたがっていると仮定する。次いで、ユーザUの取り消しパラメータ更新手段1401およびリソース保護RPの取り消しリスト取得手段1501は、Ri jに関連する取り消しリストRLの最終行からg1 kを取り出す。また、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報の選択されたサブセットによるフレキシブル
認証情報に加えて、リソースRkの認証情報取り消しパラメータによる認証情報取り消し検証パラメータW=wk Tを計算する。
次いで、図11を参照して上述したステップS1104で、ユーザUは、以下のように、知識証明の署名を計算する。
Σ=SKP{(x1,x2):e(T,A)=e(g1,g2)x1・(e(t-1,g2)τ)x2∧e(g1 k,g2)x1・(e(wk -1,g2)τ)x2}
Σ=SKP{(x1,x2):e(T,A)=e(g1,g2)x1・(e(t-1,g2)τ)x2∧e(g1 k,g2)x1・(e(wk -1,g2)τ)x2}
ここで、有効なΣは、ユーザUがリソース
に対するアクセス権を有することを証明するだけではなく、リソース
に関するそのユーザのリソース認証情報が取り消されないことをRPに確信させる。一方、リソースRkのリソース認証情報が取り消されるユーザは、その認証情報取り消しパラメータを有効に更新することができないため、有効な知識証明の署名を生成することができず、したがって、許可手順をパスすることができない。
に対するアクセス権を有することを証明するだけではなく、リソース
に関するそのユーザのリソース認証情報が取り消されないことをRPに確信させる。一方、リソースRkのリソース認証情報が取り消されるユーザは、その認証情報取り消しパラメータを有効に更新することができないため、有効な知識証明の署名を生成することができず、したがって、許可手順をパスすることができない。
RPが取り消されるリソース認証情報がさらにあるかどうか(例えば、
だけでなく
も)について知りたがっている場合、ユーザUの取り消しパラメータ更新手段1401は、さらに、リソースRmの認証情報取り消しパラメータwmを更新し、リソースプロテクタRPの取り消しリスト取得手段1501は、さらに、リソースRmに関連する取り消しリストRLの最終行からg1 mを取り出す。さらに、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報取り消し検証パラメータW=(wkwm)Tを計算する。次いで、図11を参照して上述したステップS1140で、ユーザUは、以下のように知識証明の署名を計算する。
Σ=SKP{(x1,x2):e(T,A)=e(g1,g2)x1・(e(t-1,g2)τ)x2∧e(g1 k,g2)x1・(e(wk -1,g2)τ)x2}
だけでなく
も)について知りたがっている場合、ユーザUの取り消しパラメータ更新手段1401は、さらに、リソースRmの認証情報取り消しパラメータwmを更新し、リソースプロテクタRPの取り消しリスト取得手段1501は、さらに、リソースRmに関連する取り消しリストRLの最終行からg1 mを取り出す。さらに、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報取り消し検証パラメータW=(wkwm)Tを計算する。次いで、図11を参照して上述したステップS1140で、ユーザUは、以下のように知識証明の署名を計算する。
Σ=SKP{(x1,x2):e(T,A)=e(g1,g2)x1・(e(t-1,g2)τ)x2∧e(g1 k,g2)x1・(e(wk -1,g2)τ)x2}
当然、単一の知識証明によって、より多くの認証情報を、取り消されるかどうかについて同様に検証してもよい。高価な計算の必要な量は、本発明のきめの細かい取り消し機能に従って、取り消されるかどうかについて特に検証されるべきリソース認証情報の数に依存しない(すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じ)ことは、容易にわかる。
本発明によるきめの細かい取り消し機能については上述した。当然、PAによってトレースおよび取り消しを行う代わりに、システム内に追加のトレース機関および取り消し機関を設定して、本発明の上述した方法によりトレースおよび取り消しを行うことも可能である。
さらに、PAまたは追加の取り消し機関は、本発明に従って、きめの細かい取り消し機能およびきめの粗い取り消し機能(例えば、上記の第2の実施形態における仮名取り消しパラメータθを使用した取り消し)の両方を有することもでき、したがって、きめの細かい取り消しときめの粗い取り消しを選択的に行うことができる。当業者であれば、上記の説明を鑑みて、きめの粗い取り消しおよび関連する知識証明のパラメータを、きめの細かい取り消し機能を備える上記の方式に容易に組み込むことができるため、そのアルゴリズムの特定の説明は、ここでは省略する。本発明の代替実施形態によれば、きめの細かい取り消しおよびきめの粗い取り消しは、PAの取り消し手段1201によって行うことができる。
本発明が以下の影響を及ぼすことが上記の説明からわかる。
ユーザは、許可された後、ユーザがその認証情報をRPに対して何度証明しようと、匿名のままでいることができ、さらにRHおよび/またはPAに連絡する必要はない。同時に、PAの公開鍵が決定され、発行された後、PAが対応することができるRHの数は、可変である。また、RHの公開鍵が決定され、発行された後、RHが管理することができるリソースの数は、固定されず、発行された認証情報の変更は必要ない。
ユーザは、そのユーザのすべてのアクセス権のうちの任意の1つ以上をRPに対して選択的に証明することができると同時に、ユーザがアクセス権の任意の部分を証明するための計算コストは、証明される権利の数に依存しない(1つのみの権利を証明するためのものと同じである)。
PAは、ユーザの他の権利を変更することなく、ユーザのリソース認証情報のうちの任意の1つを取り消すことができる。また、PAは、RHの関与無しに、ユーザのアクセス権を取り消すことができ、言い換えれば、きめの細かい取り消しは、RHの秘密鍵を必要とすることなく達成される。さらに、任意の数のリソース認証情報が取り消されるかどうかを検証するために必要な高価な計算の量は、一定しており、すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じである。
本発明による特定の実施形態について、図面を参照して上述した。しかし、本発明は、図面に示される特定の構成およびプロセスに限定されない。
例えば、安全を保証するために、上記の様々な対話に様々な対策を採用することができる。例えば、上記の認証情報発行手順における知識証明の署名を適用するステップでは、時変パラメータを使用して、反射攻撃およびインターリーブ攻撃を抑制して、一意性および適時性の保証を提供し、いくつかの選択文書攻撃を防ぐことができる(参照により本明細書に組み込まれる、A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996参照)。こうした時変パラメータには、例えば、タイムスタンプや乱数チャレンジなどがある。簡潔にするために、これら既知の方法の詳細な説明は、ここでは省略する。
上記の実施形態では、一例として従来の乗法群表記法が使用される。しかし、楕円曲線設定値に使用される加法表記法も同様に使用できることを当業者であれば理解されよう。例えば、加法表記法が使用されるとき、上述したフレキシブル認証情報は、
と計算される。
と計算される。
上記の実施形態には、例として、いくつかの特定のステップが記載され、示されている。しかし、本発明の方法のプロセスは、記載されている特定のステップに限定されず、当業者は、本発明の意図を学んだ後、様々な変更、修正、追加を加えることができる。例えば、上記の第1の実施形態におけるステップS1101〜S11−3において、ユーザは、派生仮名Tを生成した後、フレキシブル認証情報Vを生成する。しかし、ユーザは、tを選択し、最初にフレキシブル認証情報Vを生成し、次いで派生仮名Tを生成する。
本発明によるPA、RH、ユーザ端末、およびRPは、例えば、パーソナルコンピュータ、サーバ、携帯電話、携帯端末、ラップトップコンピュータなどのモバイル機器、または上記の様々な装置におけるソフトウェアモジュールのハードウェアなど、ネットワークにおけるまたはネットワークに結合される様々な装置として実装され得る。
PA、RH、ユーザ端末、およびRPの構成の例として、いくつかの手段およびモジュールが、図面に互いに結合されているものとして示されているが、各装置に含まれる部分は、記載された手段およびモジュールに限定されず、その特定の構成は、修正または変更されてもよい。例えば、別々に示されているいくつかの手段が共に結合されてもよく、または1つの手段がその機能に従っていくつかの手段に分割されてもよい。例えば、示されている格納手段がいくつかの構成要素として実装されてもよく、そのそれぞれは、その手段のデータを格納する手段に組み込まれる。
さらに、例示の手段およびモジュールは、それぞれ特定の機能を有するものとして示されているが、手段およびモジュールの機能的な分割は、示されている例に限定されるのではなく、任意に修正し、交換し、結合することができる。例えば、上述した仮名取り消し検証パラメータおよび認証情報取り消し検証パラメータは、ユーザ端末の派生仮名生成手段およびフレキシブル認証情報生成手段によってそれぞれ生成されるが、代わりに、様々な取り消しパラメータの計算が、取り消しパラメータ更新手段および追加手段によって行われてもよい。さらに、上述した関連の手段によって知識証明の署名を生成する代わりに、各装置は、さらに、関連の知識証明を行うための個別の知識証明手段を含んでいてもよい。
さらに、PA、RH,ユーザ端末、およびRPのそれぞれは、他のパーティの機能を同時に有することができる。例えば、RHおよびRPを、同じサーバに同時に実装することができる。
さらに、特定の装置として実装されている場合、PA、RH、ユーザ端末およびRPは、さらに、例えば、情報をオペレータに表示するための表示装置、オペレータから入力を受信するための入力装置、各手段の操作を制御するためのコントローラなど、特定の装置に必要な他の手段を備えていてもよい。これらの構成要素は、当分野では知られているため、その詳細な説明は省略する。当業者であれば、上述した装置にそれらを追加することを容易に思い付くであろう。
本発明の要素は、ハードウェア、ソフトウェア、ファームウェア、またはその組み合わせに実装することができ、システム、サブシステム、構成要素、またはそのサブ構成要素において使用することができる。ソフトウェアに実装するとき、本発明の要素は、必要なタスクを行うために使用されるプログラムまたはコードセグメントである。プログラムまたはコードセグメントは、機械可読媒体に格納したり、搬送波に組み込まれたデータ信号によって、送信媒体または通信リンクを介して送信したりすることができる。「機械可読媒体」は、情報を格納したり転送したりすることができる任意の媒体を含み得る。機械可読媒体の例には、電子回路、半導体メモリ装置、ROM、フラッシュメモリ、消去可能ROM(EROM)、フロッピーディスク、CD−ROM、光ディスク、ハードディスク、光ファイバ媒体、無線周波数(RF)リンクなどがある。コードセグメントは、インターネット、イントラネットなどのコンピュータネットワークを介してダウンロードすることができる。
本発明は、その意図または本質的な特徴から逸脱することなく、他の特定の形に組み込むことができる。例えば、特徴が本発明の基本的な意図から逸脱しない限り、特定の実施形態に記載されたアルゴリズムを変更することができる。したがって、本実施形態は、あらゆる点で、限定ではなく例示とみなされるものとし、本発明の範囲は、上記の説明ではなく、添付の特許請求の範囲によって示され、したがって、特許請求の範囲の同等物の主旨および範囲に含まれるすべての変更は、本発明に包含されるものとする。
本発明は、本発明の好ましい実施形態の以下の詳細な説明と、類似の参照符号が類似の部分を指す添付の図面とを併せ読めば、よりよく理解できる。
310:システムパラメータセットアップ手段
320:識別検証手段
330:ユーザ仮名鍵割当手段
340:ルート仮名生成手段
350:格納手段
360:通信手段
410:リソース鍵生成手段
420:仮名検証手段
430:認証情報生成手段
440:格納手段
450:通信手段
510:ルート仮名取得手段
520:派生仮名生成手段
530:リソース認証情報取得手段
540:フレキシブル認証情報生成手段
550:格納手段
560:通信手段
610:仮名検証手段
620:フレキシブル認証情報検証手段
630:許可手段
640:格納手段
650:通信手段
1201:取り消し手段
1301:取り消しリスト手段
1401:取り消しパラメータ更新手段
1501:取り消しリスト取得手段
320:識別検証手段
330:ユーザ仮名鍵割当手段
340:ルート仮名生成手段
350:格納手段
360:通信手段
410:リソース鍵生成手段
420:仮名検証手段
430:認証情報生成手段
440:格納手段
450:通信手段
510:ルート仮名取得手段
520:派生仮名生成手段
530:リソース認証情報取得手段
540:フレキシブル認証情報生成手段
550:格納手段
560:通信手段
610:仮名検証手段
620:フレキシブル認証情報検証手段
630:許可手段
640:格納手段
650:通信手段
1201:取り消し手段
1301:取り消しリスト手段
1401:取り消しパラメータ更新手段
1501:取り消しリスト取得手段
Claims (10)
- コンピュータを通信システムとして動作させるのための方法であって、
ルート仮名を発行するステップと、
1つ以上のリソース認証情報を取得するステップと、
前記ル―ト仮名から第1の派生仮名を生成するステップと、
前記1つ以上のリソース認証情報から1組のリソース認証情報を選択するステップと、
1組の前記リソース認証情報からフレキシブル認証情報を生成するステップと、
前記第1の派生仮名および前記フレキシブル認証情報を使用することによって、アクセス要求を行うステップと、
前記第1の派生仮名および前記フレキシブル認証情報を検証した後、アクセス要求を承諾するステップと
を含むことを特徴とする方法。 - リソース毎にリソース秘密鍵およびリソース公開鍵を生成するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記ルート仮名を発行するステップが、
ユーザ仮名鍵を割り当てて保存するステップと、
前記ユーザ仮名鍵に基づいて前記ルート仮名を生成するステップを含むことを特徴とする請求項1に記載の方法。 - 前記1つ以上のリソース認証情報を取得するステップが、
前記ルート仮名から第2の派生仮名を生成するステップと、
前記第2の派生仮名を用いてリソース認証情報を取得するステップとを含むことを特徴とする請求項1に記載の方法。 - ユーザに一意のパラメータからトレースパラメータを生成するステップを含み、
前記トレースパラメータが、前記ルート仮名又はトレースのために前記ルート仮名から生成された派生仮名に関して利用されることを特徴とする請求項1に記載の方法。 - ルート仮名及びルート仮名から生成された派生匿名を取り消すために利用する仮名取り消しパラメータを発行するステップと、
前記仮名取り消しパラメータから、派生仮名に関して用いる仮名取り消し検証パラメータを生成するステップを含むことを特徴とする請求項1に記載の方法。 - 前記リソース毎に初期の取り消しリストを生成するステップと、
前記リソース認証情報が取り消された場合に、前記リソース認証情報に対応するリソースの取り消しリストを更新するステップと、
更新された取り消しリストに従ってリソース毎に認証情報取り消しパラメータを更新するステップと、
認証情報取り消し検証パラメータを生成するステップとを含み、
前記第1の派生仮名を検証するステップが、リソース毎の前記取り消しリストに基づいて認証情報取り消し検証パラメータを検証するステップを含むことを特徴とする請求項1に記載の方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710122707A CN101335622B (zh) | 2007-06-27 | 2007-06-27 | 使用匿名柔性凭证的用于分布式授权的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009033740A JP2009033740A (ja) | 2009-02-12 |
JP2009033740A5 true JP2009033740A5 (ja) | 2011-09-15 |
Family
ID=39852263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008168143A Pending JP2009033740A (ja) | 2007-06-27 | 2008-06-27 | 匿名フレキシブル認証による分散型許可のための方法および装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8327423B2 (ja) |
EP (1) | EP2012248A3 (ja) |
JP (1) | JP2009033740A (ja) |
CN (1) | CN101335622B (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8863262B2 (en) * | 2008-08-20 | 2014-10-14 | Yellowpages.Com Llc | Systems and methods to provide information and services to authorized users |
US20100185861A1 (en) * | 2009-01-19 | 2010-07-22 | Microsoft Corporation | Anonymous key issuing for attribute-based encryption |
EP2271044B1 (en) * | 2009-07-02 | 2016-05-11 | Deutsche Telekom AG | Anonymous transactions in computer networks |
CN101997688B (zh) | 2010-11-12 | 2013-02-06 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
CN101984577B (zh) * | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
US8955035B2 (en) | 2010-12-16 | 2015-02-10 | Microsoft Corporation | Anonymous principals for policy languages |
CN103312499B (zh) | 2012-03-12 | 2018-07-03 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
CN103312670A (zh) | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种认证方法及系统 |
CA2897042A1 (en) * | 2013-01-09 | 2014-07-17 | Evernym, Inc. | Systems and methods for access-controlled interactions |
GB2527603B (en) * | 2014-06-27 | 2016-08-10 | Ibm | Backup and invalidation of authentication credentials |
WO2017023236A1 (en) * | 2015-07-31 | 2017-02-09 | Hewlett Packard Enterprise Development Lp | Proxy-controlled compartmentalized database access |
FR3044132A1 (fr) * | 2015-11-23 | 2017-05-26 | Orange | Procede d'identification anonyme d'un module de securite |
EP3297242B1 (en) * | 2016-09-20 | 2018-09-05 | Deutsche Telekom AG | A system and a method for providing a user with an access to different services of service providers |
US11824896B2 (en) | 2020-04-06 | 2023-11-21 | Exonym GmbH | Cross-service rulebook management in a dynamic and adversarial environment |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL9301348A (nl) * | 1993-08-02 | 1995-03-01 | Stefanus Alfonsus Brands | Elektronisch betalingssysteem. |
US7716492B1 (en) * | 2000-05-09 | 2010-05-11 | Oracle America, Inc. | Method and apparatus to obtain service capability credentials |
TWI257058B (en) * | 2000-11-21 | 2006-06-21 | Ibm | Anonymous access to a service |
US7036020B2 (en) * | 2001-07-25 | 2006-04-25 | Antique Books, Inc | Methods and systems for promoting security in a computer system employing attached storage devices |
US7543139B2 (en) * | 2001-12-21 | 2009-06-02 | International Business Machines Corporation | Revocation of anonymous certificates, credentials, and access rights |
US7603469B2 (en) * | 2002-01-15 | 2009-10-13 | International Business Machines Corporation | Provisioning aggregated services in a distributed computing environment |
FR2845222B1 (fr) * | 2002-09-26 | 2004-11-19 | Gemplus Card Int | Identification d'un terminal aupres d'un serveur |
US7360096B2 (en) * | 2002-11-20 | 2008-04-15 | Microsoft Corporation | Securely processing client credentials used for Web-based access to resources |
US20050102534A1 (en) * | 2003-11-12 | 2005-05-12 | Wong Joseph D. | System and method for auditing the security of an enterprise |
CN1937496A (zh) * | 2005-09-21 | 2007-03-28 | 日电(中国)有限公司 | 可延展伪名证书系统和方法 |
-
2007
- 2007-06-27 CN CN200710122707A patent/CN101335622B/zh not_active Expired - Fee Related
-
2008
- 2008-06-26 US US12/147,057 patent/US8327423B2/en active Active
- 2008-06-27 JP JP2008168143A patent/JP2009033740A/ja active Pending
- 2008-06-27 EP EP20080011748 patent/EP2012248A3/en not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009033740A5 (ja) | ||
JP2009033740A (ja) | 匿名フレキシブル認証による分散型許可のための方法および装置 | |
JP4704406B2 (ja) | 匿名選択可能認証情報のための通信システムおよびその方法 | |
JP4790731B2 (ja) | 派生シード | |
Verheul | Self-blindable credential certificates from the Weil pairing | |
EP2359524B1 (en) | Method and apparatus for pseudonym generation and authentication | |
Pussewalage et al. | Attribute based access control scheme with controlled access delegation for collaborative E-health environments | |
EP2384562B1 (en) | Management of cryptographic credentials in data processing systems | |
Lawal et al. | An improved hybrid scheme for e-payment security using elliptic curve cryptography | |
Patil et al. | Identity-based signcryption scheme for medical cyber physical system in standard model | |
Isshiki et al. | Using group signatures for identity management and its implementation | |
Bhatia et al. | Cryptanalysis and improvement of certificateless proxy signcryption scheme for e-prescription system in mobile cloud computing | |
Yi et al. | Privacy-preserving spatial crowdsourcing based on anonymous credentials | |
US20100005311A1 (en) | Electronic-data authentication method, Elctronic-data authentication program, and electronic-data, authentication system | |
EP2384563B1 (en) | Verification of data items in data processing systems | |
KR102005946B1 (ko) | 동형암호를 이용한 익명 아이디 기반 서명 시스템 및 방법 | |
Nguyen | Efficient dynamic k-times anonymous authentication | |
JP4213975B2 (ja) | 個人情報保護方法、商品発注端末及び商品受注サーバ、並びに、個人情報送信プログラム及び個人情報受信プログラム | |
KR101652846B1 (ko) | 무인증서 공개키 암호 기반 웹서버 인증 방법 | |
KR101657936B1 (ko) | Id 기반 암호화 방식을 이용한 키관리 및 사용자 인증방법 | |
Soni et al. | Privacy preservation using novel identity management scheme in cloud computing | |
EP2271044B1 (en) | Anonymous transactions in computer networks | |
JP4565638B2 (ja) | 匿名アクセス認証方法 | |
Fan et al. | Anonymous credential scheme supporting active revocation | |
Lee et al. | Privacy-preserving PKI design based on group signature |