JP4744929B2 - Anonymous authentication system, device and program - Google Patents
Anonymous authentication system, device and program Download PDFInfo
- Publication number
- JP4744929B2 JP4744929B2 JP2005146066A JP2005146066A JP4744929B2 JP 4744929 B2 JP4744929 B2 JP 4744929B2 JP 2005146066 A JP2005146066 A JP 2005146066A JP 2005146066 A JP2005146066 A JP 2005146066A JP 4744929 B2 JP4744929 B2 JP 4744929B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- verification
- ciphertext
- group signature
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、匿名性のある認証方式を適用する匿名認証システムに係わり、特に、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減し得る匿名認証システム、装置及びプログラムに関する。 The present invention relates to an anonymous authentication system that applies an authentication method with anonymity, and in particular, when revoking a member, an anonymous authentication system that can reduce the amount of computation and communication compared to a method that uses zero knowledge proof, The present invention relates to an apparatus and a program.
従来、グループ署名方式を用いた認証方式などのように、匿名のユーザを認証可能な認証方式が知られている(例えば、特許文献1及び非特許文献1,2参照)。
Conventionally, an authentication method capable of authenticating an anonymous user, such as an authentication method using a group signature method, is known (see, for example,
これらの認証方式においては、検証者は認証要求者があるグループに所属しているメンバであることを認証できるが、メンバ個人を特定できない、という性質を満たす。この性質を満たす認証方式を、匿名認証方式とよぶ。 In these authentication methods, the verifier can authenticate that the authentication requester is a member belonging to a certain group, but satisfies the property that individual members cannot be specified. An authentication method that satisfies this property is called an anonymous authentication method.
一方、匿名認証に限らず、各種の認証方式において、メンバのリボーク(無効化)は、有効期限管理や不正者排除などのために実用上必須な機能である。一般的な公開鍵基盤(PKI:Public Key Infrastructure)における認証では、無効化させるメンバの公開鍵証明書が記載された証明書失効リスト(CRL:Certificate Revocation List)を公開し、認証の際に、認証要求者の公開鍵がCRLに記載されているか否かを検証者が検証する構成により、リボークを実現している。 On the other hand, not only anonymous authentication but also various authentication methods, member revocation (invalidation) is a function that is practically indispensable for expiration date management, fraudster exclusion, and the like. In general public key infrastructure (PKI) authentication, a certificate revocation list (CRL) that describes the public key certificate of the member to be revoked is published, and at the time of authentication, The revoke is realized by a configuration in which the verifier verifies whether the public key of the authentication requester is described in the CRL.
しかしながら、匿名認証方式では、そもそも認証要求者が匿名で特定できないため、CRLによりリボークされているか否かを検証できない。 However, in the anonymous authentication method, since the authentication requester cannot be identified anonymously, it cannot be verified whether or not the revocation is performed by the CRL.
そこで、匿名認証方式においては、従来幾つかのリボーク方式が提案されている(例えば、非特許文献3,4参照)。 Therefore, several revoke methods have been proposed for anonymous authentication methods (see, for example, Non-Patent Documents 3 and 4).
非特許文献3には、PKIにおけるメンバのリボークと同様にCRLを公開するが、認証要求者が自身の公開鍵がCRLに含まれていない旨を零知識証明プロトコルによって検証者に証明する構成により、リボークを実現する方式が記載されている。 Non-Patent Document 3 discloses a CRL similar to a member revocation in PKI, but the authentication requester proves to the verifier that the public key is not included in the CRL using a zero knowledge proof protocol. A method for realizing revoke is described.
非特許文献4には、非特許文献3における零知識証明プロトコルを改善して計算量を小さくした方式が記載されている。
しかしながら、以上のような匿名認証方式におけるメンバのリボーク方式では、以下のような不都合がある。
非特許文献3記載の方式は、PKIにおけるCRLを用いたリボーク方式と、零知識証明プロトコルによる匿名認証方式とを組み合わせてリボークを実現する。しかしながら、一般的に零知識証明プロトコルは、計算量が大きく実用的ではない。また、非特許文献3記載の方式は、PKIにおけるリボークとは異なり、検証者だけではなく認証要求者もCRLを入手しなければならないため、認証要求者の通信量を増加させる問題がある。
However, the member revocation method in the above anonymous authentication method has the following disadvantages.
The method described in Non-Patent Document 3 realizes a revoke by combining a revoke method using CRL in PKI and an anonymous authentication method using a zero knowledge proof protocol. However, in general, the zero-knowledge proof protocol is not practical because it requires a large amount of calculation. Further, unlike the revocation in PKI, the method described in Non-Patent Document 3 has a problem of increasing the communication amount of the authentication requester because not only the verifier but also the authentication requester must obtain the CRL.
非特許文献4記載の方式は、非特許文献3におけるゼロ知識証明の計算量を小さくした方式である。しかしながら、それでも非特許文献4記載の方式は、リボーク機能のない匿名認証方式に比べ、認証要求者がリボークメンバ数に比例した計算量を必要とし、結果的に認証全体の処理時間を遅くするので、実用的ではない。また、非特許文献4記載の方式は、認証要求者がCRLを入手しなければならない点では非特許文献3と同様に通信量を増加させてしまう。
The method described in Non-Patent
以上のように、従来の匿名認証方式におけるリボーク方式は、ゼロ知識証明に起因して計算量及び通信量を増大させるため、実用的ではないという欠点がある。 As described above, the revoke method in the conventional anonymous authentication method has a drawback that it is not practical because it increases the amount of calculation and the amount of communication due to the zero knowledge proof.
本発明は上記実情を考慮してなされたものであり、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減し得る匿名認証システム、装置及びプログラムを提供することを目的とする。 The present invention has been made in consideration of the above circumstances, and provides an anonymous authentication system, apparatus, and program capable of reducing the amount of calculation and the amount of communication compared to a method using zero knowledge proof when revoking a member. For the purpose.
始めに、本発明の概要を述べる。本発明の概要は、放送型暗号方式を用いた匿名認証方式に関する。具体的には、認証の検証者は、事前に公開された放送型暗号方式の暗号化鍵を用いてランダムなメッセージを暗号化し、認証要求者にこの暗号文を送信する。メンバである認証要求者は、予め配布された復号鍵を用いて暗号文を復号することができ、復号されたメッセージを検証者に送り返す。一方、メンバではない認証要求者は暗号文を復号できず、認証に失敗する。検証者は、最初に暗号化したランダムなメッセージと、認証要求者から返信されたメッセージが同一であることを検証し、一致すればメンバの認証成功とする。これにより、メンバの情報は一切検証者に伝わらず、かつ検証者はグループに所属しているメンバであることを検証可能となる。 First, an outline of the present invention will be described. The outline of the present invention relates to an anonymous authentication method using a broadcast encryption method. Specifically, the verifier of authentication encrypts a random message using a broadcast encryption method encryption key released in advance, and transmits this ciphertext to the authentication requester. The authentication requester who is a member can decrypt the ciphertext using the decryption key distributed in advance, and sends the decrypted message back to the verifier. On the other hand, an authentication requester who is not a member cannot decrypt the ciphertext and fails in authentication. The verifier verifies that the first encrypted random message and the message returned from the authentication requester are the same, and if they match, the verification of the member is successful. As a result, no member information is transmitted to the verifier, and it is possible to verify that the verifier is a member belonging to the group.
このとき、認証要求者および認証検証者は、それぞれ放送型暗号方式の暗号化および復号を行うだけでよい。放送型暗号方式の暗号化および復号の計算量は、放送や再生をリアルタイムで行なえる程度に非常に小さい。このため、非常に小さい計算量で匿名認証方式が実現可能となる。また、メンバをリボークするには、リボークするメンバに配布した復号鍵では復号不可能となるように放送型暗号方式の暗号化鍵を生成しなおし、公開すればよい。これはPKIにおけるCRLの公開と同様の手間および通信量で実現可能である。 At this time, the authentication requester and the authentication verifier need only perform encryption and decryption of the broadcast encryption method, respectively. The amount of computation for encryption and decryption in the broadcast encryption system is very small to the extent that broadcasting and reproduction can be performed in real time. For this reason, an anonymous authentication method can be realized with a very small calculation amount. Further, in order to revoke a member, it is only necessary to regenerate a public encryption key and make it public so that the decryption key distributed to the revoked member cannot be decrypted. This can be realized with the same effort and traffic as the release of CRL in PKI.
以上が本発明の概要である。次に、本発明の各局面に対応する各発明を述べる。 The above is the outline of the present invention. Next, each invention corresponding to each aspect of the present invention will be described.
第1の発明は、認証検証装置と、認証要求装置とを備えた匿名認証システムであって、前記認証検証装置としては、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される暗号化鍵記憶手段と、前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段と、この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、この検証結果を出力する検証結果出力手段と、を備えており、前記認証要求装置としては、前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、前記認証検証装置から暗号文Cを受信する暗号文受信手段と、前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、この復号結果を前記認証検証装置に送信する復号結果送信手段とを備えた匿名認証システムである。 1st invention is an anonymous authentication system provided with the authentication verification apparatus and the authentication request | requirement apparatus, Comprising: As said authentication verification apparatus, it is a broadcast type so that a message can be encrypted so that only a valid decoding key set can be decrypted. An encryption key storage means for storing the broadcast encryption encryption key Kv when the broadcast encryption encryption key Kv generated based on the encryption method is input to the authentication verification device; and the broadcast encryption encryption Message generation means for generating a random message R when the encryption key Kv is input, and ciphertext generation means for generating the ciphertext C by encrypting the message R based on the broadcast encryption encryption key Kv A ciphertext transmitting means for transmitting the ciphertext C to the authentication requesting device, a decryption result receiving means for receiving a decryption result of the ciphertext C from the authentication requesting device, and a decryption result of the ciphertext C as the message. A verification unit that verifies whether or not the sage R matches, and a verification result output unit that outputs the verification result. The authentication requesting device corresponds to the broadcast encryption / encryption key Kv. When a broadcast encryption / decryption key Ki is input to the authentication requesting device, a first decryption key storage means for storing the broadcast encryption / decryption key Ki and a ciphertext for receiving the ciphertext C from the authentication verification device Anonymous authentication system comprising receiving means, ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki, and decryption result transmission means for transmitting the decryption result to the authentication verification device It is.
第1の発明によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置が放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置に復号させ、この復号結果を認証検証装置が検証して認証要求装置の匿名認証を行なう構成により、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。 According to the first invention, the broadcast encryption method with a small amount of computation and communication is used, the authentication verification device decrypts the ciphertext C generated by the broadcast encryption key Kv, and the decryption result. With the configuration in which the authentication verification apparatus verifies the authentication request apparatus and performs anonymous authentication of the authentication request apparatus, it is possible to provide an anonymous authentication system that can reduce the amount of calculation and the amount of communication when revoking a member, as compared with a method using zero knowledge proof.
第2の発明は、認証検証装置と、認証要求装置とを備えた匿名認証システムであって、前記認証検証装置としては、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される暗号化鍵記憶手段と、グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、この検証結果を出力する検証結果出力手段と、を備えており、前記認証要求装置としては、前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、を備えた匿名認証システムである。 A second invention is an anonymous authentication system comprising an authentication verification device and an authentication requesting device, wherein the authentication verification device is a broadcast type that encrypts a message so that only a valid decryption key set can be decrypted. When the broadcast encryption encryption key Kv generated based on the encryption method is input to the authentication verification device, the encryption key storage means for storing the broadcast encryption encryption key Kv and the group signature method When the group signature verification key KGv generated in this way is input to the authentication verification device, the group signature verification key storage means for storing the group signature verification key KGv, the broadcast type encryption key Kv and the group signature verification When a key KGv is input, a signature target message generating means for generating a signature target message M to be a group signature target, the broadcast encryption key Kv and the group signature Message verification means for generating a random message R when a verification key KGv is input; and ciphertext generation means for encrypting the message R based on the broadcast encryption key Kv and generating a ciphertext C A ciphertext transmitting unit that transmits the ciphertext C and the signature target message M to the authentication requesting device, a group signature receiving unit that receives a group signature GS from the authentication requesting device, and the group signature verification using the group signature GS A verification unit for verifying based on the key KGv; and a verification result output unit for outputting the verification result. The authentication requesting device includes a broadcast encryption / decryption corresponding to the broadcast encryption / encryption key Kv. When the key Ki is input to the authentication requesting device, a first decryption key storage means for storing the broadcast type encryption / decryption key Ki, and the group signature verification key K When a group signature member key KGi corresponding to v is input to the authentication requesting device, a first member key storage means for storing the group signature member key KGi, and a ciphertext C and a signature object from the authentication verification device A ciphertext receiving means for receiving the message M, a ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki, a message R ′ obtained by the decryption and the received signature object Concatenated data generating means for concatenating messages M and generating concatenated data R′‖M, and group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi And an anonymous authentication system comprising group signature transmission means for transmitting the group signature GS to the authentication verification device.
第2の発明によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置が放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置に復号させ、この復号結果に対して認証要求装置にグループ署名を生成させ、このグループ署名を認証検証装置が検証して認証要求装置の匿名認証を行なう構成により、グループ署名方式を用いた匿名認証においても、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。 According to the second aspect of the invention, a broadcast encryption method with a small calculation amount and communication amount is used, and the authentication verification device causes the authentication requesting device to decrypt the ciphertext C generated by the broadcast encryption key Kv, and the decryption result The authentication requesting device generates a group signature and the authentication verification device verifies the group signature to perform anonymous authentication of the authentication requesting device, thereby revoking members even in anonymous authentication using the group signature method. In this case, it is possible to provide an anonymous authentication system capable of reducing the amount of calculation and the amount of communication compared to the method using zero knowledge proof.
以上説明したように本発明によれば、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システム、装置及びプログラムを提供できる。 As described above, according to the present invention, it is possible to provide an anonymous authentication system, apparatus, and program that can reduce the amount of calculation and the amount of communication when revoking a member as compared with a method using zero knowledge proof.
以下、本発明の各実施形態を説明するが、その前に各実施形態の要素技術である放送型暗号及びグループ署名方式について述べる。 Each embodiment of the present invention will be described below, but before that, broadcast encryption and a group signature method, which are elemental technologies of each embodiment, will be described.
<放送型暗号方式>
予めグループに所属する全てのメンバに復号鍵を配布し、後から特定の復号鍵のみ復号可能な暗号文を生成することが可能な放送型暗号方式が知られている(例えば、非特許文献5,6参照)。
<Broadcast encryption method>
There is known a broadcast encryption method that can distribute a decryption key to all members belonging to a group in advance and generate a ciphertext that can be decrypted only after a specific decryption key (for example, Non-Patent Document 5). , 6).
放送型暗号方式は、予め登録された利用者への有料放送の限定受信やDVDの限定再生に広く適用されている。具体的には、予め放送受信機やDVD再生機に放送型暗号の復号鍵を格納し、有料放送やDVDのコンテンツを放送型暗号方式で暗号化することにより、特定の(例えば、登録して視聴料金を払った)放送受信機およびDVD再生機でのみコンテンツを見ることが出来るようにしている。これら適用例からわかるように、放送や再生がリアルタイムで行えるよう、放送型暗号方式の暗号化および復号の計算量は非常に小さくなるように設計されている。 The broadcast encryption method is widely applied to limited reception of pay broadcasts and limited playback of DVDs to users registered in advance. Specifically, a broadcast encryption key is stored in advance in a broadcast receiver or DVD player, and the contents of a pay broadcast or DVD are encrypted by a broadcast encryption method, so that a specific (for example, registered) The content can be viewed only on a broadcast receiver and a DVD player (for which a viewing fee has been paid). As can be seen from these application examples, the calculation amount of encryption and decryption of the broadcast encryption method is designed to be very small so that broadcast and reproduction can be performed in real time.
放送型暗号方式は、以下の5つの関数からなる。 The broadcast encryption method is composed of the following five functions.
(1)秘密情報生成関数 Init :セキュリティパラメータを入力として、暗号化鍵および復号鍵の生成に必要な秘密情報Sを出力する。 (1) Secret information generation function Init: Security information is input and secret information S necessary for generating an encryption key and a decryption key is output.
(2)復号鍵生成関数 DKeyGen :秘密情報Sを入力として、メンバ毎に異なる復号鍵Kiを出力する。 (2) Decryption key generation function DKeyGen: The secret information S is input, and a different decryption key Ki is output for each member.
(3)暗号化鍵生成関数 EKeyGen :秘密情報Sおよび復号可能な復号鍵を特定する情報(逆にリボークする復号鍵を特定する情報でも良い)を入力し、暗号化鍵Kvを出力する。 (3) Encryption key generation function EKeyGen: Inputs secret information S and information for specifying a decryptable decryption key (or information for specifying a decryption key to be revoked), and outputs an encryption key Kv.
(4)暗号化関数E:暗号化鍵とメッセージを入力し、暗号文を出力する。 (4) Encryption function E: Inputs an encryption key and a message, and outputs a ciphertext.
(5)復号関数D:復号鍵と暗号文を入力し、復号されたメッセージを出力する。ただし、復号鍵がリボークされている場合は、NGまたは元のメッセージとは異なるメッセージが出力される。 (5) Decryption function D: Inputs a decryption key and ciphertext, and outputs a decrypted message. However, when the decryption key is revoked, a message different from NG or the original message is output.
ここでは、一例として非特許文献7に記載の放送型暗号方式における各関数を詳細に説明する。 Here, as an example, each function in the broadcast encryption method described in Non-Patent Document 7 will be described in detail.
(1)秘密情報生成関数Init:
十分大きな素数p,q(ただし、qはp−1を割り切る)を生成する。次に、リボークする復号鍵の最大個数をvとし、以下のようなv次多項式f(x)を選ぶ。
f(x)=a0+a1x+a2x2+...+avxv mod q
しかる後、係数a0,a1,...,avおよびp,qを秘密情報Sとして出力する。また、vの値はセキュリティパラメータとして予め入力される。
(1) Secret information generation function Init:
Generate sufficiently large prime numbers p and q (where q is divisible by p−1). Next, v is the maximum number of decryption keys to be revoked, and the following vth order polynomial f (x) is selected.
f (x) = a 0 + a 1 x + a 2 x 2 +. . . + A v x v mod q
Thereafter, the coefficients a 0 , a 1 ,. . . , A v and p, q are output as secret information S. The value of v is input in advance as a security parameter.
(2)復号鍵生成関数 DKeyGen:
各ユーザi毎に、v<xi<qを満たす値をランダムに選択する。次に、選択した値xi毎に、秘密情報Sに基づいて、以下のv次多項式を計算する。
(2) Decryption key generation function DKeyGen:
A value satisfying v <x i <q is randomly selected for each user i. Then, for each selected value x i, based on the secret information S, calculates the following v-degree polynomial.
f(xi)=a0+a1xi+a2xi 2+...+avxi v mod q
そして、各ユーザi毎に固有の値<xi,f(xi)>を復号鍵Kiとして出力する。
f (x i ) = a 0 + a 1 x i + a 2 x i 2 +. . . + A v x i v mod q
Then, a unique value <x i , f (x i )> for each user i is output as a decryption key Ki.
(3)暗号化鍵生成関数 EKeyGen:
リボークするm個の復号鍵をKi1=(xi1,f(xi1)),Ki2=(xi2,f(xi2)),...,Kim=(xim,f(xim))とする。但し、m<vを満たす。
以降、y1=xi1,y2=xi2,...,ym=xim,ym+1=m+1,ym+2=m+2,...,yv=vとする。
(3) Encryption key generation function EKeyGen:
The m decryption keys to be revoked are K i1 = (x i1 , f (x i1 )), K i2 = (x i2 , f (x i2 )),. . . , K im = (x im , f (x im )). However, m <v is satisfied.
Hereinafter, y 1 = x i1 , y 2 = x i2,. . . , Y m = x im, y m + 1 = m + 1, y m + 2 = m + 2 ,. . . , Y v = v.
次に、f(y1) mod q, f(y2) mod q,..., f(yv) mod qを計算する。 Next, f (y 1 ) mod q, f (y 2 ) mod q,. . . , F (y v ) mod q.
次に、秘密情報Sに基づき、乗法群Zp*の部分群で位数がqである群の生成元gをランダムに生成する。最後に、
h0=gf(0),h1=gf(y1) mod p,h2=gf(y2) mod p,...,hv=gf(yv) mod p を計算し、
<p,q,g,(y1,y2,...,yv),(h0,h1,h2,...hv)>を暗号化鍵Kvとして出力する。
Next, based on the secret information S, a generation source g of a group whose order is q in the subgroup of the multiplicative group Zp * is randomly generated. Finally,
h 0 = g f (0) , h 1 =
<P, q, g, (y 1 , y 2 ,..., Y v ), (h 0 , h 1 , h 2 ,... H v )> are output as the encryption key Kv.
(4)暗号化関数 E
暗号化するメッセージをM (ただしM<p)とする、乱数r (0<r<q)を選び、gr,M・h0 r,h1 r,...,hv r を計算する。そして、
<p,q,g,(y1,y2,...,yv),(gr,M・h0 r,h1 r,...,hv r)>を暗号文として出力する。
(4) Encryption function E
A random number r (0 <r <q) is selected where M (where M <p) is the message to be encrypted, and g r , M · h 0 r , h 1 r,. . . , H v r is calculated. And
<P, q, g, (y 1 , y 2 ,..., Y v ), (g r , M · h 0 r , h 1 r ,..., H v r )> are output as ciphertext To do.
(5)復号関数 D
リボークされていない復号鍵<xi,f(xi)>が入力された場合、まずhv+1 r=(gr)f(xi)=(gf(xi))r mod pを計算する。以降、yv+1=xiとする。
(5) Decoding function D
When an unrevoked decryption key <x i , f (x i )> is input, first, h v + 1 r = (g r ) f (x i ) = (g f (x i ) ) r mod p Calculate Hereinafter referred to as
次に、Z=(h1 r)λ1・(h2 r)λ2・…・ (hv r)λv・(hv+1 r)λv+1 mod pを計算する。
ここで、λi (i=1,...,v+1)は、次式で表されるラグランジュ(Lagrange)の補間係数である。
Here, λ i (i = 1,..., V + 1) is a Lagrange interpolation coefficient expressed by the following equation.
復号鍵がリボークされていない場合、yv+1はy1,..,yvのいずれとも一致しないため、λiが計算可能である。このとき、ラグランジュの補間法により、ZはZ=gr・f(0)を満たす。よって、次式を計算することにより、メッセージMを復号できる。 If the decryption key is not revoked, y v + 1 is y 1 ,. . , Y v do not match, so λ i can be calculated. At this time, Z satisfies Z = gr · f (0) by the Lagrange interpolation method. Therefore, the message M can be decrypted by calculating the following equation.
(M・h0 r)/Z=M・gr・f(0)/gr・f(0) = M mod p
一方、リボークされた復号鍵の場合、yv+1はy1,..,ymのいずれかと一致するため、ラグランジュの補間係数を計算できず、ラグランジュの補間法を適用できない。よって、メッセージMを復号できない。
(M · h 0 r ) / Z = M · g r · f (0) / g r · f (0) = M mod p
On the other hand, for a revoked decryption key, y v + 1 is y 1 ,. . In order to match one of y m, it can not compute the interpolation coefficients of Lagrange, can not be applied Lagrange's interpolation method. Therefore, the message M cannot be decrypted.
<グループ署名方式>
グループ署名とは、デジタル署名方式の一種であり、これまで様々な方式が提案されている。(例えば、非特許文献1,2参照)。グループ署名方式は、非特許文献2によれば、以下の第1乃至第3の性質を持っている。
<Group signature method>
The group signature is a kind of digital signature method, and various methods have been proposed so far. (For example, refer
第1の性質は、あるグループに所属する任意のメンバがグループの代表として署名を生成することが可能な性質である。第2の性質は、検証者側においては、グループのメンバにより生成された署名である旨を検証可能であるものの、署名を生成したメンバ(以下、署名者という)を特定することが困難であるという匿名性を持つ性質である。第3の性質は、特定の情報により、グループ署名から署名者を特定することが可能な性質である。 The first property is a property that an arbitrary member belonging to a certain group can generate a signature as a representative of the group. The second property is that the verifier side can verify that the signature is generated by a member of the group, but it is difficult to specify the member that generated the signature (hereinafter referred to as the signer). It is a property with anonymity. The third property is a property that allows the signer to be specified from the group signature by specific information.
続いて、このようなグループ署名方式について、特許文献1に記載されているカメニッシュ(J. Camenisch)らのグループ署名方式を代表例として述べる。ここで、次の表1は、カメニッシュらのグループ署名方式の記号とその説明を示している。
(Cam.1:準備)
グループ管理者GAは、元a,公開鍵e,n,素数L,元gをそれぞれ公開する。署名者Sは、秘密鍵x∈{1,…,2μ−1}を選び、公開鍵y=ax mod nを作る。
(Cam.1: Preparation)
The group manager GA discloses the element a, the public key e, n, the prime number L, and the element g. The signer S selects a secret key xε {1,..., 2 μ −1} and creates a public key y = a x mod n.
(Cam.2:グループ参加要求)
署名者Sは、乱数t∈{1,…,2μ−1}を選び、公開鍵yに対する秘密鍵xの知識証明SK(y)を算出する。知識証明SK(y)は、次のc1,s1の組である。
c1=h(y‖a‖at) (mod n)
s1=t−xc1
そして、署名者Sは、公開鍵y及び知識証明SK(y)をグループ管理者GAに送る。
(Cam.2: Group participation request)
The signer S selects a random number tε {1,..., 2 μ −1} and calculates a knowledge proof SK (y) of the secret key x with respect to the public key y. The knowledge proof SK (y) is a set of the following c 1 and s 1 .
c 1 = h (y‖a‖a t) (mod n)
s 1 = t−xc 1
Then, the signer S sends the public key y and the knowledge proof SK (y) to the group manager GA.
(Cam.3:グループ参加証明書発行)
グループ管理者GAは、s1’=s1(mod λ(n))を算出し、次のc1の式により、正しい秘密鍵xを署名者Sが保持している旨を検証する。
The group administrator GA calculates s 1 ′ = s 1 (mod λ (n)), and verifies that the signer S holds the correct private key x by the following expression c 1 .
その後、グループ管理者GAは、適切な方法で署名者Sの参加権限を確認する。 Thereafter, the group manager GA confirms the signing authority of the signer S by an appropriate method.
しかる後、グループ管理者GAは、y+δに対して次式のように署名を施して参加証明書νを発行し、秘密に署名者Sに送る。 Thereafter, the group manager GA signs y + δ as shown in the following equation, issues a participation certificate ν, and sends it secretly to the signer S.
ν=(y+δ)d (mod n)
なお、δは例えば1である。
ν = (y + δ) d (mod n)
Note that δ is 1, for example.
(Cam.4:グループ署名)
署名者Sは、ui>xを満たすk個の乱数ui∈{1,…,2μ−1}を選び、z=gy (mod L)を求める。その後、署名者Sは、秘密鍵xの知識証明SK2(m)=(c2,s2,1,…,s2,k)を次式のように求める。
The signer S selects k random numbers u i ε {1,..., 2 μ −1} that satisfy u i > x, and obtains z = g y (mod L). Thereafter, the signer S obtains the knowledge proof SK2 (m) = (c 2 , s 2,1 ,..., S 2, k ) of the secret key x as the following equation.
s2,i=ui−x …(c2(i)=0のとき)
s2,i=ui …(その他のとき)
但し、i=1,…,k
ここで、c2(i)とは、c2の2進表示上位ビットからのi番目(i=1,…,k)のビットを示す。
s 2, i = u i −x (when c 2 (i) = 0)
s 2, i = u i ... (at other times)
However, i = 1, ..., k
Here, c 2 (i) indicates the i-th (i = 1,..., K) bit from the binary display upper bit of c 2 .
また、署名者Sは、乱数wi∈Zn*を選び、参加証明書νの知識証明SK3(m)=(c3,s3,1,…,s3,k)を次式のように求める。
s3,j=wj/ν …(c3(j)=0のとき)
s3,j=wj …(その他のとき)
但し、j=1,…,k
結局、mについての署名は、SK2(m),SK3(m)である。
s 3, j = w j / ν (when c 3 (j) = 0)
s 3, j = w j ... (at other times)
However, j = 1, ..., k
Eventually, the signature for m is SK2 (m), SK3 (m).
(Cam.5:グループ署名検証)
検証者Vは、zより署名者Sの正当性を以下のように検証し、正しければmを受理する。
The verifier V verifies the validity of the signer S from z as follows, and accepts m if it is correct.
以上のようなカメニッシュのグループ署名方式は、グループ参加証明書νに関連した秘密鍵xを用いてSK2(m)を作成することから、否認不可性を実現している。また、SK3(m)の検証により、グループ公開鍵eを用いて、グループ参加証明書νを署名者Sが保持する旨を検証することから、検証性が示される。 The Camenish group signature method as described above realizes non-repudiation because the SK2 (m) is created using the secret key x associated with the group participation certificate ν. Further, by verifying SK3 (m), it is verified that the signer S holds the group participation certificate ν using the group public key e, and thus verification is shown.
また、検証者Vがゼロ知識証明を用いて検証するので、署名者Sの個人情報が漏洩せず、匿名性が保たれる。また、署名者Sの署名のzは1つしかない秘密鍵xから作られるので、同じ基底gを用いるとセッション同士でユーザの情報がリンク可能となる。よって、異なる基底gを用いれば、追跡不能性を満たす。
以上がカメニッシュのグループ署名方式であるが、他のグループ署名方式も同様な性質をもっている。続いて、本発明の各実施形態の説明に移る。
Further, since the verifier V verifies using the zero knowledge proof, the personal information of the signer S is not leaked, and anonymity is maintained. Also, since the signature z of the signer S is created from only one secret key x, the user information can be linked between sessions using the same base g. Therefore, if the different basis g is used, the untraceability is satisfied.
The above is the Kamenish group signature scheme, but other group signature schemes have similar properties. Subsequently, the description will proceed to each embodiment of the present invention.
(第1の実施形態)
図1は本発明の第1の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図2は両装置を備えた匿名認証システムの構成を示す模式図である。
(First embodiment)
FIG. 1 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the first embodiment of the present invention, and FIG. 2 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
ここで、認証検証装置10aは、図示しない検証者に保持され、暗号化鍵記憶部11、書込部12、チャレンジ情報生成部13、暗号文生成部14、暗号文送信部15及び検証部16を備えている。ここで、認証検証装置10aは、例えばPC(personal computer)やICカード上で動作するSW(software)モジュールとして実現可能であり、この場合、予め記憶媒体又はネットワークから認証検証装置10aの各機能を実現させるためのプログラムが認証検証者装置VRのコンピュータにインストールされて実現される。これは以下の各実施形態でも同様である。
Here, the
暗号化鍵記憶部11は、有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが認証検証者装置VRから認証検証装置10aに入力されたとき、この放送型暗号暗号化鍵Kvが書込部12から書き込まれるメモリである。
The encryption
書込部12は、認証検証者装置VRから入力された放送型暗号暗号化鍵Kvを暗号化鍵記憶部11に書き込むものである。
The
チャレンジ情報生成部13は、放送型暗号暗号化鍵Kvが認証検証者装置VRから認証検証装置10aに入力されたとき、ランダムなメッセージRを生成する機能と、メッセージRを暗号文生成部14に送出する機能をもっている。
The challenge
暗号文生成部14は、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて、チャレンジ情報生成部13から受けたメッセージRを暗号化し、暗号文Cを生成する機能(暗号化関数 E)と、暗号文C及びメッセージRを暗号文送信部15に送出する機能とをもっている。
The
暗号文送信部15は、暗号文生成部14から受けた暗号文Cを認証要求装置30aに送信する機能と、暗号文生成部14から受けたメッセージRを検証部16に送出する機能とをもっている。
The
検証部16は、認証要求装置30aから受信した(暗号文Cの)復号結果が、暗号文送信部15から受けたメッセージRに一致するか否かを検証する機能と、この検証結果を出力する機能とをもっている。
The
以上のような認証検証装置10aは、認証検証者装置VRに装着されて使用される。このような認証検証装置10aを備えた認証検証者装置VRは、1台以上が設けられるが、説明の簡略化のため、ここでは1台の場合を例に挙げて述べる。
認証検証者装置VRは、上述した認証検証装置10aの他に、認証要求受信部17、鍵要求送信部18、暗号化鍵受信部19及び暗号化鍵管理部20を備えている。
The
The authentication verifier device VR includes an authentication
認証要求受信部17は、認証要求者装置RQから認証要求を受信する機能と、受信した認証要求を暗号化鍵管理部20に送出する機能とをもっている。
The authentication
鍵要求送信部18は、暗号化鍵管理部暗号化鍵取得要求に基づいて、グループ管理装置GMに暗号化鍵要求を送信する機能をもっている。
The key
暗号化鍵受信部19は、グループ管理装置GMから放送型暗号暗号化鍵Kvを受信し、この放送型暗号暗号化鍵Kvを暗号化鍵管理部20に送出する機能をもっている。
The encryption
暗号化鍵管理部20は、認証要求受信部認証要求に基づいて、暗号化鍵取得要求を鍵要求送信部18に送出する機能と、暗号化鍵受信部19から受けた放送型暗号暗号化鍵Kvを記憶する機能と、この放送型暗号暗号化鍵Kvを認証検証装置10aに入力する機能とをもっている。
The encryption
ただし、暗号化鍵管理部20は、認証要求に基づかずに,グループ管理装置GMの鍵公開部57が放送型暗号暗号化鍵Kvを公開するタイミングで暗号化鍵取得要求を鍵要求送信部18に送出し、暗号化鍵受信部19から受けた放送型暗号暗号化鍵Kvを記憶してもよく、認証要求受信部認証要求に基づいて、記憶した放送型暗号暗号化鍵Kvを認証検証装置10aに入力してもよい。これは、以下の実施形態でも同様であり、後述するグループ検証鍵KGvを取得する場合でも同様である。
However, the encryption
補足すると、認証検証者装置VRは、公開されている放送型暗号暗号化鍵Kvを認証要求に基づいて取得することもあり、認証要求に基づかずに取得することもある。認証要求に基づかずに取得する場合としては、例えば、定期的にしか放送型暗号暗号化鍵Kvが更新されない運用の場合がある。この場合、暗号化鍵管理部20は、更新直後となるような一定期間毎に放送型暗号暗号化鍵Kvを取得して記憶しておき、認証要求を受けたときに、記憶してある放送型暗号暗号化鍵Kvを認証検証装置10aに入力する構成とすることが、グループ管理装置GMとの間の通信量を必要最小限に抑える観点から好ましい。また別の例としては、グループ管理装置GMが放送型暗号暗号化鍵Kvを公開したことを、ここでは図示しない手段によって認証検証者装置VRへ通知し、暗号化鍵管理部20はこの通知に基づいて放送型暗号暗号化鍵Kvを取得する構成とすることにより、同様にグループ管理装置GMとの間の通信量を必要最小限に抑えることが出来る。
Supplementally, the authentication verifier apparatus VR may acquire the public broadcast encryption / encryption key Kv based on the authentication request or may not acquire it based on the authentication request. As a case where acquisition is not performed based on an authentication request, for example, there is a case where the broadcast encryption / encryption key Kv is updated only periodically. In this case, the encryption
一方、認証要求装置30aは、図示しない認証要求者に保持されており、復号鍵記憶部31、書込部32、暗号文受信部33、暗号文復号部34及び送信部35を備えている。ここで、認証要求装置30aは、例えばPC(personal computer)やICカード上で動作するSW(software)モジュールとして実現可能であり、この場合、予め記憶媒体又はネットワークから認証要求装置30aの各機能を実現させるためのプログラムが認証要求者装置RQのコンピュータにインストールされて実現される。これは以下の各実施形態でも同様である。
On the other hand, the
復号鍵記憶部31は、放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが認証要求者装置RQから認証要求装置30aに入力されたとき、この放送型暗号復号鍵Kiが書込部32から書き込まれるメモリである。
When the broadcast encryption / decryption key Ki corresponding to the broadcast encryption / encryption key Kv is input from the authentication requester device RQ to the
書込部32は、認証要求者装置RQから入力された放送型暗号復号鍵Kiを復号鍵記憶部31に書き込むものである。
The
暗号文受信部33は、認証検証装置10aから暗号文Cを受信する機能と、暗号文Cを暗号文復号部34に送出する機能をもっている。
The
暗号文復号部34は、復号鍵記憶部31内の放送型暗号復号鍵Kiに基づいて、暗号文受信部33から受けた暗号文Cを復号する機能(復号関数 D)と、得られた復号結果を送信部35に送出する機能とをもっている。
The
送信部35は、暗号文復号部34から受けた復号結果を認証検証装置10aに送信する機能をもっている。
The
以上のような認証者要求装置30aは、認証要求装置RQに装着されて使用される。このような認証要求装置30aを備えた認証要求装置RQは、1台以上が設けられるが、説明の簡略化のため、ここでは1台の場合を例に挙げて述べる。
認証要求者装置RQは、上述した認証要求装置30aの他に、参加要求送信部36、復号鍵受信部37、復号鍵管理部38及び認証要求送信部39を備えている。
The
The authentication requester device RQ includes a participation
参加要求送信部36は、認証要求者の操作により、グループ参加要求をグループ管理装置GMに送信する機能をもっている。
The participation
復号鍵受信部37は、グループ管理装置GMから放送型暗号復号鍵Kiを受信する機能と、受信した放送型暗号復号鍵Kiを復号鍵管理部38に送出する機能とをもっている。
The decryption
復号鍵管理部38は、復号鍵受信部37から受けた放送型暗号復号鍵Kiを記憶する機能と、認証要求送信部39による認証要求の送信の際に、この放送型暗号復号鍵Kiを認証要求装置30aに入力する機能とをもっている。
The decryption
認証要求送信部39は、認証要求者の操作により、認証要求を認証検証者装置VRに送信するものである。
The authentication
また一方、グループ管理装置GMは、秘密情報管理部51、参加要求受信部52、放送型暗号復号鍵生成部53、鍵送信部54、失効情報入力部55、放送型暗号暗号化鍵生成部56、暗号化鍵公開部57及び制御部58を備えている。
On the other hand, the group management device GM includes a secret
秘密情報管理部51は、放送型暗号方式に基づいて、放送型暗号暗号化鍵Kv及び放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する機能(秘密情報生成関数 Init)と、この秘密情報Sを記憶する機能とをもっている。この秘密情報は、前述した非特許文献7の例の場合、係数a0,a1,...,avおよびp,qに対応する。
The secret
参加要求受信部52は、認証要求者装置からグループ参加要求を受信する機能と、このグループ参加要求を制御部58に送出する機能とをもっている。
The participation request receiving unit 52 has a function of receiving a group participation request from the authentication requester device and a function of sending the group participation request to the
放送型暗号復号鍵生成部53は、制御部58に制御され、制御部58から受けたグループ参加要求と秘密情報管理部51内の秘密情報Sとに基づいて、認証要求者装置RQに固有の放送型暗号復号鍵Kiを生成する機能(復号鍵生成関数 DKeyGen)と、この放送型暗号復号鍵Kiを鍵送信部54に送出する機能とをもっている。
The broadcast type encryption / decryption
鍵送信部54は、放送型暗号復号鍵生成部53から受けた放送型暗号復号鍵Kiを認証要求者装置RQに送信する機能をもっている。
The
失効情報入力部55は、グループ管理者の操作により、失効対象の放送型暗号復号鍵Kiの部分集合を特定する失効情報を放送型暗号暗号化鍵生成部56に入力する機能をもっている。この失効情報は、前述した非特許文献7の例の場合、リボークするm個の復号鍵:Ki1=(xi1,f(xi1)),Ki2=(xi2,f(xi2)),...,Kim=(xim,f(xim))に対応する。
The revocation
放送型暗号暗号化鍵生成部56は、認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、放送型暗号方式に基づいて、秘密情報管理部51内の秘密情報S及び当該失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する機能(暗号化鍵生成関数 EKeyGen)とをもっている。補足すると、放送型暗号暗号化鍵Kiは、グループ生成時及び新たな復号鍵の失効時毎に生成される。失効情報としては、失効させる全ての復号鍵からなる部分集合(例、失効させる復号鍵が無い空集合の場合もあり、1以上の復号鍵を含む部分集合の場合もある)を特定する情報であればよい。
When the broadcast encryption / encryption
暗号化鍵公開部57は、グループ管理者の操作により、放送型暗号暗号化鍵生成部56により生成された放送型暗号暗号化鍵Kvを認証検証者装置VRから取得可能に公開する機能をもっている。
The encryption
制御部58は、放送型暗号方式に基づいて、各部51〜54を制御する機能をもっている。
The
次に、以上のように構成された匿名認証方式の動作を説明する。
(グループ管理方式)
グループ管理装置GMは、予め放送型暗号方式の秘密情報生成関数を用いて生成された秘密情報Sを秘密情報管理部51に保持する。
Next, the operation of the anonymous authentication method configured as described above will be described.
(Group management method)
The group management device GM holds the secret information S generated in advance using the secret information generation function of the broadcast encryption method in the secret
認証要求者装置RQは、あるグループへ参加する際に、グループ管理装置GMにグループ参加要求を送信する。 The authentication requester apparatus RQ transmits a group participation request to the group management apparatus GM when participating in a certain group.
グループ管理装置GMは、グループ参加要求を受信すると、放送型暗号復号鍵生成部53により、秘密情報管理部51の秘密情報Sを入力として、放送型暗号方式の復号鍵生成関数MKeyGenを実行して認証要求者ごとに異なる復号鍵Kiを生成する。
When the group management device GM receives the group participation request, the broadcast encryption / decryption
この復号鍵Kiは、鍵送信部54から認証要求者装置RQへ送信される。
The decryption key Ki is transmitted from the
認証要求者装置RQは、受信した復号鍵Kiを復号鍵管理部38に保管する。
The authentication requester apparatus RQ stores the received decryption key Ki in the decryption
一方、グループ管理装置GMは、グループ生成時および復号鍵のリボークが必要となる毎に暗号化鍵Kvを生成し、鍵公開部57により公開する。暗号化鍵Kvは、秘密情報管理部51の秘密情報S、およびリボークする復号鍵全てを特定可能な失効復号鍵情報を入力として、放送型暗号暗号化鍵生成部56により、放送型暗号方式の暗号化鍵生成関数EKeyGenを実行して生成する。
On the other hand, the group management device GM generates an encryption key Kv at the time of group generation and whenever a revocation of the decryption key is required, and makes it public by the
ここで、認証要求者が検証者に対して認証を行う際は、認証要求者装置RQより認証要求を検証者装置VRへ送信する。このとき、認証要求者装置RQでは、復号鍵管理部38に保管された放送型暗号復号鍵Kiを認証要求装置30aへ入力する。
Here, when the authentication requester authenticates the verifier, the authentication requester apparatus RQ transmits an authentication request to the verifier apparatus VR. At this time, the authentication requester apparatus RQ inputs the broadcast encryption / decryption key Ki stored in the decryption
一方、認証検証者装置VRは、一定期間毎または認証要求者装置RQより認証要求を受信する毎に、認証要求受信部17、鍵要求送信部18及び暗号化鍵受信部19によりグループ管理装置によって公開された暗号化鍵Kvを取得し、暗号化鍵管理部20を介して認証検証装置10aに入力する。また、暗号化鍵管理部20は、必要であれば暗号化鍵Kvを保管する。
On the other hand, the authentication verifier apparatus VR uses the group management apparatus by the authentication
このように、認証要求装置30aに放送型暗号復号鍵Kiが入力され、認証検証装置10aに放送型暗号暗号化鍵Kv鍵が入力されると、両装置30a,10a間で匿名認証が開始される。
As described above, when the broadcast encryption / decryption key Ki is input to the
(匿名認証:図3)
次に、匿名認証の動作を図3を参照して説明する。
認証検証装置10aは、前述した認証要求に伴って入力された放送型暗号の暗号化鍵Kvを暗号化鍵記憶部11に書き込み、チャレンジ情報生成部13を起動する。
(Anonymous authentication: Fig. 3)
Next, the operation of anonymous authentication will be described with reference to FIG.
The
チャレンジ情報生成部13は、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14に送出する(ST1)。
The challenge
暗号文生成部14は、このメッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成する(ST2)。ここで、Eは放送型暗号方式の暗号化関数であり、E(Kv,R)の表記は、鍵Kvを用いてメッセージRを暗号化することを意味する。その後、暗号文生成部14は、この暗号文C=E(Kv,R)及びメッセージRを暗号文送信部15に送出する。
The
暗号文送信部15は、暗号文Cを認証要求装置30aに送信する一方(ST3)、メッセージRを検証部16に送出する。
The
認証要求装置30aでは、前述したように、入力された放送型暗号復号鍵Kiが復号鍵記憶部31に書き込まれている。ここで、認証要求装置30aは、暗号文受信部33により暗号文C=E(Kv,R)を受信する(ST4)。暗号文受信部33は、この暗号文C=E(Kv,R)を暗号文復号部34に送出する。
In the
暗号文復号部34は、暗号文Cを復号鍵Kiに基づいて復号し(ST5)、復号されたメッセージR’=D(Ki,C)(=R)又はNGを得る。ここで、Dは、放送型暗号方式の復号関数であり、D(Ki,C)は、鍵Kiを用いて暗号文Cを復号することを意味する。また、復号鍵Kiがリボークされている場合、または復号鍵が入力されない場合は復号結果としてNGが出力される場合もある。
The
いずれにしても、暗号文復号部34は、復号したメッセージR’又はNGを送信部35に送出する。送信部35は、復号されたメッセージR’またはNGを認証検証装置10aへ送信する(ST6)。
In any case, the
認証検証装置10aにおいては、図示しない受信部を介してメッセージR’またはNGを受信する。受信されたメッセージR’またはNGは、検証部16に送出される。
In the
検証部16は、メッセージR’またはNGのいずれを受信したかを判定し(ST7)、NGを受信した場合、認証失敗(NG)を出力する。
The verifying
一方、メッセージR’を受信した場合、検証部16は、受信したメッセージR’と元のメッセージRを比較する(ST8)。両メッセージR’,Rが一致する場合、検証部16は、認証成功(OK)を出力する。両メッセージR’,Rが不一致の場合、検証部16は、認証失敗(NG)を出力する。
On the other hand, when the message R ′ is received, the
上述したように本実施形態によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置10aが放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置30aに復号させ、この復号結果を認証検証装置10aが検証して認証要求装置30aの匿名認証を行なう構成により、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
As described above, according to the present embodiment, a broadcast encryption method with a small calculation amount and communication amount is used, and the ciphertext C generated by the
以上の手順では、認証要求者に配布された放送型暗号復号鍵の情報は一切検証者へ伝わらず、よって匿名で認証が可能である。また、リボークされた復号鍵は必ず暗号文の復号に失敗するため、認証に成功することはない。よって検証者は放送型暗号の暗号化鍵を用いて暗号文を生成し、復号の可否を検証するだけで、容易にメンバの認証が可能である。 In the above procedure, the information on the broadcast encryption / decryption key distributed to the authentication requester is not transmitted to the verifier, and thus anonymous authentication is possible. Further, since the revoked decryption key always fails to decrypt the ciphertext, the authentication is never successful. Therefore, the verifier can easily authenticate the member only by generating a ciphertext using the encryption key of the broadcast encryption and verifying whether or not the decryption is possible.
以上の匿名認証システムによれば、放送型暗号の暗号化鍵を更新することにより、メンバのリボークを容易に行うことができる。 According to the above anonymous authentication system, the member can be easily revoked by updating the encryption key of the broadcast encryption.
(第2の実施形態)
図4は本発明の第2の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図5は両装置を備えた匿名認証システムの構成を示す模式図であって、図1及び図2と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
(Second Embodiment)
FIG. 4 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the second embodiment of the present invention, and FIG. 5 is a schematic diagram showing a configuration of an anonymous authentication system including both devices, The same parts as those in FIGS. 1 and 2 are denoted by the same reference numerals, and detailed description thereof is omitted. Here, different parts are mainly described. In the following embodiments, the same description is omitted.
すなわち、本実施形態は、第1の実施形態の変形例であり、認証の安全性の向上を図るものであって、具体的には、認証検証装置10bには、検証者識別情報記憶部21及びハッシュ値生成部22が付加されており、認証要求装置30bには、識別情報検証部40及びハッシュ値検証部41が付加されている。これに伴い、第2の実施形態において、入出力先や処理データ等が変わった構成要素にはbの添字を付している。この種の添字は、以下の各実施形態でも同様にして、若干変わった構成要素に付している。
That is, the present embodiment is a modification of the first embodiment and is intended to improve the security of authentication. Specifically, the
ここで、識別情報記憶部21は、認証検証装置10bに固有の検証者識別情報IDvが記憶されるメモリである。
Here, the identification information storage unit 21 is a memory in which verifier identification information IDv unique to the
暗号文生成部14bは、チャレンジ情報生成部13bから受けたメッセージR及び検証者識別情報記憶部21内の検証者識別情報IDvを連結し、連結データR‖IDvを得る機能と、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて連結データR‖IDvを暗号化し、暗号文Cを生成する機能と、得られた暗号文Cを暗号文送信部15bに送出する機能とをもっている。
The
ハッシュ値生成部22は、一方向性関数Hにより、チャレンジ情報生成部13bにより生成されたメッセージRのハッシュ値H(R)を生成する機能と、このハッシュ値H(R)を暗号文送信部15bに送出する機能とをもっている。
The hash
暗号部送信部15bは、暗号文生成部14bにより得られた暗号文C、ハッシュ値生成部22により得られたハッシュ値H(R)及び検証者識別情報記憶部21内の検証者識別情報IDvを認証要求装置に送信する機能をもっている。
The cipher
暗号文受信部33bは、認証検証装置10bから暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信して暗号文復号部34bに送出するものである。
The ciphertext receiving unit 33b receives the ciphertext C, the hash value H (R), and the verifier identification information IDv from the
暗号文復号部34bは、復号鍵記憶部31内の放送型暗号復号鍵Kiに基づいて、暗号文受信部から受けた暗号文Cを復号し、連結データR’‖IDv’を得る機能と、この連結データR’‖IDv’、ハッシュ値H(R)及び検証者識別情報IDvを識別情報検証部40に送出するものである。
The
識別情報検証部40は、暗号文復号部34bから受けた連結データ内の検証者識別情報IDv’と、受信した検証者識別情報IDvとが一致するか否かを検証する機能と、両者が一致するとき、メッセージR’及びハッシュ値H(R)をハッシュ値検証部41に送出する機能とをもっている。
The identification
ハッシュ値検証部41は、連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と、認証検証RQ装置から受信したハッシュ値H(R)とが一致するか否かを検証する機能をもっている。
The hash
送信部35bは、識別情報検証部40及びハッシュ値検証部41の各検証結果がそれぞれ一致を示すとき、連結データ内のメッセージR’を認証検証装置10bに送信する機能をもっている。
The
次に、以上のように構成された匿名認証システムの動作を説明する。 Next, the operation of the anonymous authentication system configured as described above will be described.
いま、前述同様に、認証要求装置30b及び認証検証装置10bは、匿名認証を開始するとする。認証検証装置10bは、前述同様に、チャレンジ情報生成部13bを起動する。
Now, as described above, it is assumed that the
チャレンジ情報生成部13bは、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14bに送出する。
The challenge
暗号文生成部14bは、このメッセージRと、暗号化鍵記憶部11内の検証者識別情報IDvとを連結し、得られた連結データR‖IDvを暗号化鍵Kvにより暗号化し、暗号文C=E(Kv,R‖IDv)を生成する。ここで、‖はデータの連結を意味する。
The
しかる後、暗号文生成部14bは、暗号文C=E(Kv,R‖IDv)、検証者識別情報IDv及びメッセージRを暗号文送信部15bに送出する。
Thereafter, the
一方、ハッシュ値生成部22は、予め認証要求装置30bと同意している一方向性ハッシュ関数Hを用いてメッセージRのハッシュ値H(R)を生成し、このハッシュ値H(R)を暗号文送信部15bに送出する。
On the other hand, the hash
そして、暗号文送信部15bは、暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを認証要求装置30bへ送信する一方、メッセージRを前述同様に検証部16に送出する。
Then, the
認証要求装置30bは、受信した暗号文Cを暗号文復号部34bにより復号鍵Kiを用いて復号し、R’‖IDv’=D(Ki,C)=R‖IDvを計算する。
The
認証要求装置30bは、さらに識別情報検証部40により、受信したIDvが認証を要求した検証者を特定する情報であること、またIDvを受信した場合は復号したIDv’が受信したIDvと同一であること、すなわちIDv’=IDvであることを検証する。
In the
識別情報検証部40は、検証に失敗した場合にはNGを送信部35bへ送出し、検証に成功した場合には、復号されたメッセージR’=R及びハッシュ値H(R’)をハッシュ値検証部41に送出する。
If the verification fails, the identification
ハッシュ値検証部41は、予め認証検証装置10bと同意している一方向性ハッシュ関数Hを用いて、復号されたメッセージR’のハッシュ値H(R’)を計算し、得られたH(R’)と受信したハッシュ値H(R)とが同一であること、すなわちH(R’)=H(R)であることを検証する。
The hash
ハッシュ値検証部41は、検証に失敗した場合にはNGを送信部35bへ送出し、検証に成功した場合には、復号したメッセージR’を送信部35bへ送出する。
The hash
送信部35bは、復号されたメッセージR’又はNGを認証検証装置10bに送信する。以下、前述同様に認証検証装置10bは、受信内容を検証する。
The
上述したように本実施形態によれば、第1の実施形態の作用効果に加え、識別情報検証部40による検証者識別情報IDvの検証と、ハッシュ値検証部41によるハッシュ値H(R)の検証とにより、認証要求装置10bは不正な検証者から送られる暗号文を排除することが可能となる。これにより、不正な検証者が認証要求装置10bに不正な暗号文を復号させ、復号鍵に関する情報を得ようとする攻撃、いわゆる選択暗号文攻撃に対して安全な認証が可能となる。
As described above, according to the present embodiment, in addition to the effects of the first embodiment, verification of the verifier identification information IDv by the identification
(第3の実施形態)
図6は本発明の第3の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図7は両装置を備えた匿名認証システムの構成を示す模式図である。
(Third embodiment)
FIG. 6 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the third embodiment of the present invention, and FIG. 7 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
本実施形態は、第1の実施形態の変形例であり、復号鍵の有効期限制御機能を追加したものであって、具体的には、認証検証装置10cには、内部時計装置23が付加されており、認証要求装置30cには、有効期限検証部42が付加されている。
The present embodiment is a modification of the first embodiment, to which an expiration date control function for a decryption key is added. Specifically, an
ここで、内部時計装置23は、現在の時間情報Tを生成する機能と、この時間情報Tを暗号文生成部14cに提供する機能とをもっている。
Here, the
暗号文生成部14cは、メッセージR及び時間情報Tを連結し、連結データR‖Tを生成する機能と、暗号化鍵記憶部11内の放送型暗号暗号化鍵Kvに基づいて連結データR‖Tを暗号化し、暗号文Cを生成する機能と、生成した暗号文Cを暗号文送信部15cに送出する機能とをもっている。
The
復号鍵記憶部31cは、放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが認証要求装置30cに入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが書込部32cを介して記憶されるものである。
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the
有効期限検証部42は、暗号文復号部34cにより暗号文Cから復号された連結データ内の時間情報T’が復号鍵記憶部31c内の有効期限Expを過ぎたか否かを検証する機能と、この検証の結果、時間情報T’が有効期限Expを過ぎていないとき、連結データ内のメッセージR’を送信部35cに送出する機能とをもっている。
The expiration
ここで、有効期限Expについて補足説明する。認証要求者には、予め放送型暗号復号鍵Kiとあわせて有効期限Expが配布される。ここで、復号鍵Kiと有効期限Expは不可分であることが望ましく、また復号鍵Ki と有効期限Expは改ざんされることなく認証要求装置30cへ入力される手段が用意されていることが望ましい。また、認証要求装置30cは、匿名認証手順を正当に実行し、実行中の情報が外部に漏れないようにする観点から、耐タンパ化されていることが望ましい。
Here, the expiry date Exp will be supplementarily described. The expiration date Exp is distributed to the authentication requester in advance together with the broadcast encryption / decryption key Ki. Here, it is desirable that the decryption key Ki and the expiry date Exp are inseparable, and it is desirable to provide a means for inputting the decryption key Ki and the expiry date Exp to the
復号鍵Kiと有効期限Expとを不可分にする手段としては、例えば、復号鍵Kiと有効期限Expとを予め書込んだICカードなどの耐タンパ装置を配布しても良く、復号鍵Kiと有効期限Expとを耐タンパソフトウェア化した状態で配布しても良い。また、復号鍵Kiと有効期限Expとが改ざんされずに認証要求装置30cに入力されるためには、例えば、ICカードと認証要求装置30c間で別途用意された安全な通信路を通じて入力されても良く、認証要求装置30cのみが耐タンパ化された復号鍵Kiと有効期限Expにアクセスできる手段が用意されていても良い。
As a means for making the decryption key Ki and the expiration date Exp indivisible, for example, a tamper-proof device such as an IC card in which the decryption key Ki and the expiration date Exp are written in advance may be distributed. The expiration date Exp may be distributed in the form of tamper-resistant software. In order for the decryption key Ki and the expiration date Exp to be input to the
次に、以上のように構成された匿名認証システムの動作を説明する。 Next, the operation of the anonymous authentication system configured as described above will be described.
(グループ管理)
いま、前述同様に、グループ管理装置GMcは、グループ参加要求に基づいて、放送型暗号復号鍵Kiを生成する。但し、グループ管理装置GMcは、放送型暗号復号鍵Kiに有効期限Expを付加する。そして、グループ管理装置GMcは、これら放送型暗号復号鍵Ki及びその有効期限Expを認証要求者装置RQcに送信する。
(Group management)
Now, as described above, the group management device GMc generates the broadcast encryption / decryption key Ki based on the group participation request. However, the group management device GMc adds the expiration date Exp to the broadcast encryption / decryption key Ki. Then, the group management apparatus GMc transmits the broadcast encryption / decryption key Ki and its expiration date Exp to the authentication requester apparatus RQc.
これにより、認証要求者装置RQdは、放送型暗号復号鍵及び有効期限Expを受信して認証要求装置30cに入力する。
Thereby, the authentication requester apparatus RQd receives the broadcast encryption / decryption key and the expiration date Exp and inputs them to the
(匿名認証)
いま、前述同様に、認証要求装置30c及び認証検証装置10cは、匿名認証を開始するとする。但し、復号鍵記憶部31cには、放送型暗号復号鍵Ki及び有効期限Expが記憶されている。認証検証装置10cは、前述同様に、チャレンジ情報生成部13cを起動する。
(Anonymous authentication)
Now, as described above, it is assumed that the
チャレンジ情報生成部13cは、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14cに送出する。
The challenge
暗号文生成部14cは、このメッセージRと、内部時計装置23から得られる現在の時間情報Tとを連結し、得られた連結データR‖Tを暗号化鍵Kvにより暗号化し、暗号文C=E(Kv,R‖T)を生成する。
The
しかる後、暗号文生成部14cは、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出する。
Thereafter, the
暗号文送信部15cは、暗号文C=E(Kv,R‖T)を認証要求装置30cへ送信する一方、メッセージRを前述同様に検証部16に送出する。
The
認証要求装置30cは、受信した暗号文Cを暗号文復号部34cにより復号鍵Kiを用いて復号し、R’‖T’=D(Ki,C)=R‖Tを計算する。
The
認証要求装置30cは、さらに有効期限検証部42により、復号した時間情報Tと、復号鍵記憶部31c内の有効期限Expとを比較し、有効期限Expが時間情報T’を過ぎていればNGを送信部35cに送出し、過ぎていなければ復号したメッセージR’を送信部35cに送出する。
The
送信部35cは、復号されたメッセージR’又はNGを認証検証装置10cに送信する。以下、前述同様に認証検証装置10cは、受信内容を検証する。
The
上述したように本実施形態によれば、第1の実施形態の作用効果に加え、有効期限検証部42による放送型暗号復号鍵Kiの有効期限Expを検証することにより、有効期限切れの復号鍵は認証に失敗する。これにより、有効期限切れの復号鍵はリボークしなくてもよく、リボークする復号鍵情報の管理が容易となる。
As described above, according to the present embodiment, in addition to the operational effects of the first embodiment, the expiration date Exp of the broadcast encryption / decryption key Ki by the expiration
(第4の実施形態)
図8は本発明の第4の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図9は両装置を備えた匿名認証システムの構成を示す模式図である。
(Fourth embodiment)
FIG. 8 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the fourth embodiment of the present invention, and FIG. 9 is a schematic diagram showing a configuration of an anonymous authentication system provided with both devices.
本実施形態は、第1の実施形態の変形例であり、グループ署名方式を併せて適用し、より安全性の向上を図るものであって、具体的には、認証検証装置10dには、検証部16に代えて、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30dには、グループ署名生成部43が付加されている。また、グループ管理装置GMdには、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
The present embodiment is a modification of the first embodiment, and applies the group signature method together to further improve the safety. Specifically, the
ここで、暗号化鍵記憶部11dは、前述した放送型暗号暗号化鍵Kvに加え、グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが認証検証装置10dに入力されたとき、これら放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが書込部12dから書き込まれるメモリである。
Here, when the group signature verification key KGv generated based on the group signature scheme is input to the
メッセージ入力部24は、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが認証検証装置10dに入力されたとき、グループ署名の対象となる署名対象メッセージMを生成し、この署名対象メッセージMを暗号文送信部15dに入力する機能をもっている。
When the broadcast encryption key Kv and the group signature verification key KGv are input to the
グループ署名検証部25は、認証要求装置30dから受信したグループ署名GSを暗号化鍵記憶部11内のグループ署名検証鍵KGvに基づいて検証する機能と、検証結果を出力する機能とをもっている。
The group
一方、復号鍵記憶部31dは、前述した放送型暗号復号鍵Kiに加え、グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが認証要求装置30dに入力されたとき、これら放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが書込部32dから書き込まれるメモリである。
On the other hand, when the group signature member key KGi corresponding to the group signature verification key KGv is input to the
グループ署名生成部43は、復号により得られたメッセージR’及び受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する機能と、復号鍵記憶部31d内のグループ署名メンバ鍵KGiに基づいて、連結データR’‖Mに対するグループ署名GSを生成する機能と、このグループ署名GSを送信部35dに送出する機能とをもっている。
The group
グループ署名管理部60は、前述したカメニッシュ方式のようなグループ署名方式を実行するものであり、例えば予め元a,公開鍵e,n,素数L,元gを生成してそれぞれ鍵公開部57等により公開する機能と、グループ生成時にグループ鍵生成部61によりグループ署名検証鍵KGvを生成させる機能と、得られたグループ署名検証鍵KGvを鍵公開部57に公開させる機能と、グループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiを生成させる機能と、得られたグループ署名メンバ鍵KGiを鍵送信部54に送出する機能とをもっている。
The group
グループ鍵生成部61は、グループ署名管理部60に制御され、グループ署名方式に基づいて、グループ署名検証鍵KGv(例、前述したカメニッシュ方式(特許文献1の第41段落記載)のグループ公開鍵e)を生成する機能と、このグループ署名検証鍵KGvをグループ署名管理部60に送出する機能とをもっている。
The group
メンバ鍵生成部62は、グループ署名管理部60に制御され、グループ参加要求とグループ署名方式に基づいて、グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGi(例、前述したカメニッシュ方式(特許文献1の第33段落記載)の参加証明書v及び秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵xの生成機能,及びCam.3:グループ参加証明書発行機能)と、このグループ署名メンバ鍵KGiをグループ署名管理部60に送出する機能とをもっている。補足すると、この例では、前述したカメニッシュ方式とは若干異なる運用により、グループ管理装置GMdがメンバの秘密鍵x、公開鍵y及び参加証明書vを生成し、グループ署名メンバ鍵KGi(=秘密鍵x及び参加証明書v)及び公開鍵yを認証要求者装置RQdに送信する場合を想定している。
The member
ただし、言うまでも無く、前述したカメニッシュ方式と同じ運用も可能である。すなわち、認証要求者装置RQd内の図示しない鍵生成部がグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵x及び公開鍵yの生成機能)及びグループ参加要求とあわせて前記生成したグループ署名メンバ鍵KGiの一部に関する情報(例、前述したカメニッシュ方式の公開鍵y及び知識証明SK(y))を生成し、グループ管理装置GMdへ送信する機能(例、前述したCam.2:グループ参加要求機能)をもっている場合、メンバ鍵生成部62は、認証要求者装置RQdから受信したグループ署名メンバ鍵KGiの一部に関する情報から、対応するグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の参加証明書v)を生成する機能(例、前述したCam.3:グループ参加証明書発行機能)と、このグループ署名メンバ鍵KGiをグループ署名管理部60に送出する機能とをもっていれば良い。
However, it goes without saying that the same operation as the above-described camenish method is possible. That is, a function (for example, the above-described Cam.1: preparation described above) in which a key generation unit (not shown) in the authentication requester apparatus RQd generates a part of the group signature member key KGi (for example, the above-described camenish secret key x). Information on a part of the group signature member key KGi generated together with the group join request (for example, the aforementioned public key y and knowledge proof SK (y )) Is generated and transmitted to the group management device GMd (for example, the above-described Cam.2: group participation request function), the member
次に、以上のように構成された匿名認証システムの動作を説明する。 Next, the operation of the anonymous authentication system configured as described above will be described.
(グループ管理方式)
グループ管理装置GMdは、グループ生成時に前述した放送型暗号方式のグループ管理と平行して、グループ署名方式のグループ管理をも実行する。
(Group management method)
The group management device GMd also executes group signature type group management in parallel with the above-described broadcast type cryptographic group management at the time of group generation.
すなわち、グループ署名管理部60は、グループ鍵生成部61によりグループ署名検証鍵KGvを生成させ、得られたグループ署名検証鍵KGvを鍵公開部57に公開させる。これにより、認証検証者装置VRdは、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvを取得して認証検証装置10dに入力する。
That is, the group
また、グループ管理装置GMdは、認証要求者装置RQdからグループ参加要求を受けた場合も、前述した放送型暗号方式のグループ管理と並行して、グループ署名方式のグループ管理をも実行する。 The group management device GMd also executes group signature-based group management in parallel with the above-described broadcast encryption method group management even when a group join request is received from the authentication requester device RQd.
すなわち、グループ管理装置GMdにおいては、参加要求受信部52dがグループ参加要求を受信して制御部58dに送出する。制御部58dは、前述した放送型暗号方式のグループグループ管理と並行して、グループ署名方式のグループ管理を実行するように、グループ署名管理部60を起動し、グループ参加要求を転送する。
That is, in the group management device GMd, the participation
グループ署名管理部60は、制御部58dから受けたグループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiを生成させる。
The group
しかる後、グループ署名管理部60は、得られたグループ署名メンバ鍵KGiを鍵送信部54に送出する。これにより、鍵送信部54は、前述した放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを認証要求者装置RQdに送信する。認証要求者装置RQdは、放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを受信して認証要求装置30dに入力する。
Thereafter, the group
ただし、認証要求者装置RQd内の図示しない鍵生成部がグループ署名メンバ鍵KGiの一部(例、前述したカメニッシュ方式の秘密鍵x)を生成する機能(例、前述したCam.1:準備の秘密鍵x及び公開鍵yの生成機能)及びグループ参加要求とあわせて前記生成したグループ署名メンバ鍵KGiの一部に関する情報(例、前述したカメニッシュ方式の公開鍵y及び知識証明SK(y))を生成し、グループ管理装置へ送信する機能(例、前述したCam.2:グループ参加要求機能)をもっている場合、グループ署名管理部60は、制御部58dから受けたグループ参加要求に基づいてメンバ鍵生成部62により、グループ署名メンバ鍵KGiの一部を生成させる。
However, a function for generating a part of the group signature member key KGi (e.g., the above-mentioned camenish secret key x) in the authentication requester apparatus RQd (e.g., the above-mentioned Cam.1: preparation) Information on a part of the group signature member key KGi generated together with the group join request (for example, the aforementioned public key y and knowledge proof SK (y )) Is generated and transmitted to the group management apparatus (for example, the above-described Cam.2: group participation request function), the group
しかる後、グループ署名管理部60は、得られたグループ署名メンバ鍵KGiの一部を鍵送信部54に送出する。認証要求者装置RQdは、内部で生成したグループ署名メンバ鍵KGiの一部と、復号鍵受信部37dにより受信したグループ署名メンバ鍵KGiの一部を組み合わせてグループ署名メンバ鍵KGi(例えば,前述したカメニッシュ方式の秘密鍵x及び参加証明書v)として、復号鍵管理部38に格納する。
Thereafter, the group
(匿名認証)
いま、前述同様に、認証要求装置30d及び認証検証装置10dは、匿名認証を開始するとする。但し、復号鍵記憶部31dには、放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが記憶されている。また、暗号化鍵記憶部11dには、放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが記憶されている。
(Anonymous authentication)
Now, as described above, it is assumed that the
認証検証装置10dは、前述同様に、チャレンジ情報生成部13を起動する。
The
チャレンジ情報生成部13は、ランダムなメッセージR(乱数)を生成し、このメッセージRを暗号文生成部14に送出する。
The challenge
暗号文生成部14は、このメッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成し、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出する。
The
また、メッセージ入力部24は、検証者の操作により、必要に応じてグループ署名の署名対象メッセージMを暗号文送信部15dに入力する。
Further, the
暗号文送信部15dは、暗号文C=E(Kv,R)及び署名対象メッセージMを認証要求装置30dへ送信する。
The
認証要求装置30dは、受信した暗号文Cを暗号文復号部34dにより復号鍵Kiを用いて復号し、R’=D(Ki,C)=Rを計算する。また、暗号文復号部34dは、暗号文Cを復号できなかった場合、NGを送信部35dに送出する。
The
認証要求装置30dは、さらにグループ署名生成部43により、復号したメッセージR’と、受信した署名対象メッセージMとを連結し、連結データR’‖Mを得る。
続いて、グループ署名生成部43は、この連結データR’‖Mに対し、復号鍵記憶部11d内のグループ署名メンバ鍵KGiに基づいて、グループ署名S=Sig(KGi,R’‖M)を生成する。ここで、Sig(KGi,R’‖M)は、メンバ鍵KGiに基づいて、グループ署名生成関数SigによりR’‖Mに対してグループ署名を計算することを意味する。そして、グループ署名生成部43は、このグループ署名Sを送信部35dに送出する。
The
Subsequently, the group
送信部35dは、グループ署名S又はNGを認証検証装置10dに送信する。
The
認証検証装置10dにおいては、図示しない受信部を介してグループ署名S又はNGを受信し、受信されたグループ署名S又はNGをグループ署名検証部25に送出する。
The
グループ署名検証部25は、このグループ署名Sと、元のメッセージR,Mを連結した連結データR‖Mとに対し、暗号化鍵記憶部11d内のグループ署名検証鍵KGvを用いてグループ署名の検証関数Verifyによりグループ署名の検証演算Verify(KGv,R‖M,S)を実行する。ここで、Verify(KGv,R‖M,S)はグループ署名検証鍵KGvを用いて、グループ署名SがR‖Mに対するグループ署名であることを検証することを意味する。
The group
グループ署名検証部25は、グループ署名の検証に成功した場合には認証成功(OK)を出力し、検証に失敗した場合には認証失敗(NG)を出力する。
The group
上述したように本実施形態によれば、計算量及び通信量が小さい放送型暗号方式を用い、認証検証装置10dが放送型暗号暗号化鍵Kvにより生成した暗号文Cを認証要求装置30dに復号させ、この復号結果に対して認証要求装置30dにグループ署名を生成させ、このグループ署名を認証検証装置10dが検証して認証要求装置30dの匿名認証を行なう構成により、グループ署名方式を用いた匿名認証においても、メンバをリボークする際に、ゼロ知識証明を用いる方式に比べ、計算量及び通信量を低減できる匿名認証システムを提供できる。
As described above, according to the present embodiment, a broadcast encryption method with a small amount of calculation and communication is used, and the ciphertext C generated by the
また、本実施形態の匿名認証方式では、グループ署名の第3の性質により特定の情報によりグループ署名から署名者(認証要求者)を特定することが可能となることから、匿名認証の事後追跡が可能となるとともに、グループ署名を用いた匿名認証における欠点であった認証要求者のリボークが容易に実現可能となる。 In the anonymous authentication method of the present embodiment, the signer (authentication requester) can be specified from the group signature by specific information due to the third property of the group signature. This makes it possible to easily revoke the authentication requester, which was a drawback of anonymous authentication using a group signature.
(第5の実施形態)
図10は本発明の第5の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図11は両装置を備えた匿名認証システムの構成を示す模式図である。
(Fifth embodiment)
FIG. 10 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the fifth embodiment of the present invention, and FIG. 11 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
すなわち、本実施形態は、第4の実施形態の変形例であり、署名対象メッセージMを秘匿するものであって、具体的には、認証検証装置10eには、メッセージ暗号化部26が付加されており、認証要求装置30eには、メッセージ復号部44が付加されている。
That is, the present embodiment is a modification of the fourth embodiment, and conceals the signature target message M. Specifically, the
ここで、メッセージ暗号化部26は、チャレンジ情報生成部13eにより生成されたメッセージRに基づいて、メッセージ入力部24eから受けた署名対象メッセージMを暗号化し、第2の暗号文C’を生成する機能と、この第2の暗号文C’を暗号文送信部15eに送出する機能とをもっている。
Here, the
メッセージ復号部44は、暗号文復号部34eにより復号されたメッセージR’に基づいて、第2の暗号文C’を復号する機能と、この復号により得られたメッセージR’をグループ署名生成部43eに送出する機能とをもっている。
The
次に、以上のように構成された匿名認証システムの動作を説明する。 Next, the operation of the anonymous authentication system configured as described above will be described.
いま、前述同様に、認証検証装置10dにおいては、暗号文生成部14が、メッセージRを暗号化鍵Kvにより暗号化して暗号文C=E(Kv,R)を生成し、暗号文C=E(Kv,R‖T)及びメッセージRを暗号文送信部15cに送出したとする。
As described above, in the
ここで、メッセージ入力部24は、検証者の操作により、必要に応じてグループ署名の署名対象メッセージMを、前述とは異なり、メッセージ暗号化部26に入力する。
Here, the
メッセージ暗号化部26は、チャレンジ情報生成部13eにより生成されたメッセージRを鍵として予め認証要求装置30eと合意した共通鍵暗号方式の暗号化関数E’によりグループ署名の署名対象メッセージMを暗号化し、暗号文C’=E’(R,M)を生成する。ここで、E’(R,M)はRを鍵としてMを暗号化することを意味する。暗号文C’=E’(R,M)は、メッセージ暗号化部26から暗号文送信部15eに送出される。
The
暗号文送信部15eは、2つの暗号文C=E(Kv,R)及びC’=E’(R,M)を認証要求装置30eへ送信する。
The
認証要求装置30eは、受信した暗号文Cを暗号文復号部34eにより復号鍵Kiを用いて復号し、R’=D(Ki,C)=Rを計算する。さらにメッセージ復号部44は、復号されたR’を鍵として、予め認証要求装置10eと合意した共通鍵暗号方式の復号関数D’によりC’を復号し、M’=D’(C’)=Mを求める。
The
認証要求装置30eは、さらにグループ署名生成部43eにより、復号された署名対象メッセージM’に対し、復号鍵記憶部31d内のグループ署名メンバ鍵KGiに基づいて、グループ署名S=Sig(KGi,M’)を生成する。そして、グループ署名生成部43eは、このグループ署名Sを送信部35eに送出する。
The
送信部35eは、グループ署名S又はNGを認証検証装置10dに送信する。
The
認証検証装置10eにおいては、図示しない受信部を介してグループ署名S又はNGを受信し、受信されたグループ署名S又はNGをグループ署名検証部25eに送出する。
In the
グループ署名検証部25eは、このグループ署名Sと、元の署名対象メッセージMとに対し、暗号化鍵記憶部11d内のグループ署名検証鍵KGvを用いてグループ署名の検証関数Verifyによりグループ署名の検証演算Verify(KGv,M,S)を実行する。ここで、Verify(KGv,M,S)はグループ署名検証鍵KGvを用いて、グループ署名SがMに対するグループ署名であることを検証することを意味する。
The group
グループ署名検証部25は、グループ署名の検証に成功した場合には認証成功(OK)を出力し、検証に失敗した場合には認証失敗(NG)を出力する。
The group
上述したように本実施形態によれば、第5の実施形態の作用効果に加え、メッセージ暗号化部26により署名対象メッセージMを暗号化して認証要求装置30eに送信する。これにより、署名対象メッセージMを外部に秘密にしたい場合、認証要求装置と認証検証装置間が暗号化等で秘匿された通信路を用いていなくても、署名対象メッセージMに関する情報が外部に漏れることがなく、かつ安全に匿名認証を行うことが可能となる。
As described above, according to this embodiment, in addition to the effects of the fifth embodiment, the
(第6の実施形態)
第6〜第8の実施形態は、それぞれ前述した第2の実施形態と、第3〜第5の実施形態のいずれかとを組合せた変形例である。以下、順次説明する。
(Sixth embodiment)
The sixth to eighth embodiments are modifications in which the second embodiment described above and any of the third to fifth embodiments are combined. Hereinafter, description will be made sequentially.
図12は本発明の第6の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図13は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第3の実施形態の組み合わせ例であり、認証検証装置10bcには、検証者識別情報記憶部21、ハッシュ値生成部22及び内部時計装置23が付加されており、認証要求装置30bcには、識別情報検証部40、ハッシュ値検証部41及び有効期限検証部42が付加されている。但し、有効期限検証部42は、前述した復号した時間情報T’が第1復号鍵記憶部11c内の有効期限Expを過ぎたか否かの検証に加え、
復号した時間情報T’と受信した時間情報Tとが一致するか否かを検証する機能と、この検証結果が一致を示すとき、復号結果及び受信内容を識別情報検証部40に送出する機能をもっている。これは、以下の図22乃至図25の実施形態でも同様である。
FIG. 12 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the sixth embodiment of the present invention, and FIG. 13 is a schematic diagram showing a configuration of an anonymous authentication system provided with both devices.
This embodiment is an example of a combination of the second and third embodiments, and a verifier identification information storage unit 21, a hash
A function for verifying whether the decrypted time information T ′ and the received time information T match, and a function for sending the decryption result and the received content to the identification
また、各検証40,41,42は、ここでは有効期限検証部42、識別情報検証部40及びハッシュ値検証部41の順序(42→40→41)で実行する場合を示したが、これに限らず、(42→41→40)、(40→42→41)、(40→41→42)、(41→40→42)又は(41→42→40)といった異なる順序で実行してもよい。このことも以下の図22乃至図25の実施形態でも同様である。
Each
以上のような構成によれば、前述した第2及び第3の実施形態の作用効果を同時に得ることができる。 According to the configuration as described above, the operational effects of the second and third embodiments described above can be obtained simultaneously.
(第7の実施形態)
図14は本発明の第7の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図15は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第4の実施形態の組み合わせ例であり、認証検証装置10bdには、検証者識別情報記憶部21、ハッシュ値生成部22、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30bdには、識別情報検証部40、ハッシュ値検証部41及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
(Seventh embodiment)
FIG. 14 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the seventh embodiment of the present invention, and FIG. 15 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
This embodiment is an example of a combination of the second and fourth embodiments. The authentication verification apparatus 10bd includes a verifier identification information storage unit 21, a hash
以上のような構成によれば、前述した第2及び第4の実施形態の作用効果を同時に得ることができる。 According to the above configuration, the operational effects of the second and fourth embodiments described above can be obtained simultaneously.
(第8の実施形態)
図16は本発明の第8の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図17は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2及び第5の実施形態の組み合わせ例であり、認証検証装置10beには、検証者識別情報記憶部21、ハッシュ値生成部22、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30beには、識別情報検証部40、ハッシュ値検証部41、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
(Eighth embodiment)
FIG. 16 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the eighth embodiment of the present invention, and FIG. 17 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
This embodiment is an example of a combination of the second and fifth embodiments. The authentication verification apparatus 10be includes a verifier identification information storage unit 21, a hash
以上のような構成によれば、前述した第2及び第5の実施形態の作用効果を同時に得ることができる。 According to the above configuration, the operational effects of the second and fifth embodiments described above can be obtained simultaneously.
(第9の実施形態)
第9〜第10の実施形態は、それぞれ前述した第3の実施形態と、第4又は第5の実施形態とを組合せた変形例である。以下、順次説明する。
(Ninth embodiment)
The ninth to tenth embodiments are modifications in which the third embodiment described above and the fourth or fifth embodiment are combined. Hereinafter, description will be made sequentially.
図18は本発明の第9の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図19は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第3及び第4の実施形態の組み合わせ例であり、認証検証装置10cdには、内部時計装置23、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30cdには、有効期限検証部42及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
FIG. 18 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the ninth embodiment of the present invention, and FIG. 19 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
The present embodiment is an example of a combination of the third and fourth embodiments, and the authentication verification device 10cd is provided with an
以上のような構成によれば、前述した第3及び第4の実施形態の作用効果を同時に得ることができる。 According to the configuration as described above, the operational effects of the third and fourth embodiments described above can be obtained simultaneously.
(第10の実施形態)
図20は本発明の第10の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図21は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第3及び第5の実施形態の組み合わせ例であり、認証検証装置10ceには、内部時計装置23、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30ceには、有効期限検証部42、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第4の実施形態に述べたものが用いられている。
(Tenth embodiment)
FIG. 20 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the tenth embodiment of the present invention, and FIG. 21 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
This embodiment is an example of a combination of the third and fifth embodiments, and an
以上のような構成によれば、前述した第3及び第5の実施形態の作用効果を同時に得ることができる。 According to the configuration as described above, the operational effects of the third and fifth embodiments described above can be obtained simultaneously.
(第11の実施形態)
第11〜第12の実施形態は、それぞれ前述した第2及び第3の実施形態と、第4又は第5の実施形態とを組合せた変形例である。以下、順次説明する。
(Eleventh embodiment)
The 11th to 12th embodiments are modifications in which the second and third embodiments described above are combined with the fourth or fifth embodiment, respectively. Hereinafter, description will be made sequentially.
図22は本発明の第11の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図23は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2、第3及び第4の実施形態の組み合わせ例であり、認証検証装置10bcdには、検証者識別情報記憶部21、ハッシュ値生成部22、内部時計装置23、メッセージ入力部24及びグループ署名検証部25が付加されており、認証要求装置30bcdには、識別情報検証部40、ハッシュ値検証部41、有効期限検証部42及びグループ署名検証部43が付加されている。グループ管理装置GMdは、第3の実施形態に述べたものに対し、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
FIG. 22 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the eleventh embodiment of the present invention, and FIG. 23 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
The present embodiment is a combination example of the second, third, and fourth embodiments. The authentication verification device 10bcd includes a verifier identification information storage unit 21, a hash
以上のような構成によれば、前述した第2、第3及び第4の実施形態の作用効果を同時に得ることができる。 According to the above configuration, the operational effects of the second, third and fourth embodiments described above can be obtained simultaneously.
(第12の実施形態)
図24は本発明の第12の実施形態に係る認証検証装置及び認証要求装置の構成を示す模式図であり、図25は両装置を備えた匿名認証システムの構成を示す模式図である。
本実施形態は、第2、第3及び第5の実施形態の組み合わせ例であり、認証検証装置10bceには、検証者識別情報記憶部21、ハッシュ値生成部22、内部時計装置23、メッセージ入力部24e、グループ署名検証部25e及びメッセージ暗号化部26が付加されており、認証要求装置30bceには、識別情報検証部40、ハッシュ値検証部41、有効期限検証部42、メッセージ復号部44及びグループ署名検証部43が付加されている。グループ管理装置GMcdは、第3の実施形態に述べたものに対し、グループ署名管理部60、グループ鍵生成部61及びメンバ鍵生成部62が付加されている。
(Twelfth embodiment)
FIG. 24 is a schematic diagram showing a configuration of an authentication verification device and an authentication request device according to the twelfth embodiment of the present invention, and FIG. 25 is a schematic diagram showing a configuration of an anonymous authentication system including both devices.
The present embodiment is a combination example of the second, third, and fifth embodiments. The authentication verification apparatus 10bce includes a verifier identification information storage unit 21, a hash
なお、各検証部40,41,42及びメッセージ復号部44は、暗号文復号部34bceとグループ署名生成部43eとの間であれば、互いに任意の順序で実行可能である。
Each
以上のような構成によれば、前述した第2、第3及び第5の実施形態の作用効果を同時に得ることができる。 According to the above configuration, the operational effects of the second, third, and fifth embodiments described above can be obtained simultaneously.
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。 Note that the method described in the above embodiment includes a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO) as programs that can be executed by a computer. ), And can be distributed in a storage medium such as a semiconductor memory.
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。 In addition, an OS (operating system) running on a computer based on an instruction of a program installed in the computer from a storage medium, MW (middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。 Further, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN, the Internet, or the like is downloaded and stored or temporarily stored.
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。 The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and is a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
10a〜10e…認証検証装置、11,11d…暗号化鍵記憶部、12,12d…書込部、13,13b〜13e…チャレンジ情報生成部、14,14b,14c…暗号文生成部、15,15b〜15d…暗号文送信部、16…検証部、VR,VRb…認証検証者装置、17…認証要求受信部、18…鍵要求送信部、19…暗号化鍵受信部、20…暗号化鍵管理部、21…検証者識別情報記憶部、22…ハッシュ値生成部、23…内部時計装置、24,24e…メッセージ入力部、25…グループ署名検証部、26…メッセージ暗号化部、30a〜30e…認証要求装置、31,31c,31d…復号鍵記憶部、32〜32d…書込部、33,33b〜33e…暗号文受信部、34,34b〜34e…暗号文復号部、35〜35c…送信部、RQ,RQb…認証要求者装置、36…参加要求送信部、37,37c,37d…復号鍵受信部、38,38c,38d…復号鍵管理部、39…認証要求送信部、40…識別情報検証部、41…ハッシュ値検証部、42…有効期限検証部、43…グループ署名生成部、44…メッセージ復号部、GM,GMc…グループ管理装置、51…秘密情報管理部、52…参加要求受信部、53,53c…放送型暗号復号鍵生成部、54,54c…鍵送信部、55…失効情報入力部、56…放送型暗号暗号化鍵生成部、57…暗号化鍵公開部、58…制御部、60…グループ署名管理部、61…グループ鍵生成部、62…メンバ鍵生成部。
10a to 10e ... authentication verification device, 11, 11d ... encryption key storage unit, 12, 12d ... writing unit, 13, 13b to 13e ... challenge information generation unit, 14, 14b, 14c ... ciphertext generation unit, 15, 15b to 15d: Ciphertext transmission unit, 16: Verification unit, VR, VRb ... Authentication verifier device, 17 ... Authentication request reception unit, 18 ... Key request transmission unit, 19 ... Encryption key reception unit, 20 ... Encryption key Management unit, 21 ... verifier identification information storage unit, 22 ... hash value generation unit, 23 ... internal clock device, 24, 24e ... message input unit, 25 ... group signature verification unit, 26 ... message encryption unit, 30a-30e ...
Claims (41)
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段と、
この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記認証検証装置から暗号文Cを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
この復号結果を前記認証検証装置に送信する復号結果送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C to the authentication requesting device;
Decryption result receiving means for receiving a decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether the decryption result of the ciphertext C matches the message R;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
Ciphertext receiving means for receiving ciphertext C from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki;
Decryption result transmitting means for transmitting the decryption result to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
前記認証検証装置を保持する1つ以上の認証検証者装置と、
前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
前記グループ管理装置は、
放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
前記秘密情報Sが記憶される秘密情報記憶手段と、
前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
この放送型暗号復号鍵Kiを前記認証要求者装置に送信する復号鍵送信手段と、
前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
を備えており、
前記認証検証者装置は、
前記認証要求者装置から認証要求を受信する認証要求受信手段と、
この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
を備えており、
前記認証要求者装置は、
前記グループ管理装置から放送型暗号復号鍵Kiを受信する復号鍵受信手段と、
この放送型暗号復号鍵Kiが記憶される第2の放送型復号鍵記憶手段と、
前記認証検証者装置に対して認証要求を行う際に、前記認証検証者装置に認証
要求を送信する認証要求送信手段と、
前記認証要求の送信の際に、この放送型暗号復号鍵Kiを前記認証要求装置に入力する復号鍵入力手段と、
を備えたことを特徴とする匿名認証システム。 In the anonymous authentication system according to claim 1,
A group management device capable of communicating with the authentication verification device and the authentication requesting device;
One or more authentication verifier devices holding the authentication verification device;
One or more authentication requester devices holding the authentication requesting device,
The group management device
Secret information generating means for generating secret information S for generating the broadcast encryption / encryption key Kv and the broadcast encryption / decryption key Ki based on a broadcast encryption scheme;
Secret information storage means for storing the secret information S;
Participation request receiving means for receiving a group participation request from the authentication requester device;
Broadcast encryption / decryption key generation means for generating a broadcast encryption / decryption key Ki unique to the authentication requester apparatus based on the group participation request and the secret information S in the secret information storage means;
Decryption key transmitting means for transmitting the broadcast encryption / decryption key Ki to the authentication requester apparatus;
When revoking a subset of the set of broadcast encryption / decryption keys Ki unique to each authentication requester device, the secret information S in the secret information storage means and the expired broadcast are based on the broadcast encryption scheme. Broadcast encryption / encryption key generation means for generating a broadcast encryption / encryption key Kv from revocation information specifying a subset of the encryption / decryption key Ki;
An encryption key disclosing means for publishing the broadcast encryption encryption key Kv so as to be obtainable from the authentication verifier device;
With
The authentication verifier device is:
Authentication request receiving means for receiving an authentication request from the authentication requester device;
Encryption key acquisition means for acquiring the broadcast encryption encryption key Kv published by the group management device based on this authentication request or based on the disclosure of the broadcast encryption encryption key Kv by the group management device; ,
A second encryption key storage means for storing the broadcast encryption encryption key Kv;
An encryption key input means for inputting the broadcast encryption encryption key Kv to the authentication verification device;
With
The authentication requester device is:
Decryption key receiving means for receiving a broadcast encryption / decryption key Ki from the group management device;
Second broadcast-type decryption key storage means for storing the broadcast-type encryption / decryption key Ki;
An authentication request transmitting means for transmitting an authentication request to the authentication verifier device when making an authentication request to the authentication verifier device;
Decryption key input means for inputting the broadcast encryption / decryption key Ki to the authentication requesting device when transmitting the authentication request;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記認証検証装置から暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for generating the ciphertext C by encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R) and the verifier identification information IDv to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
Ciphertext receiving means for receiving ciphertext C, hash value H (R) and verifier identification information IDv from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
Decryption result transmission means for transmitting a message R ′ in the concatenated data to the authentication verification device when each verification result of the identification information verification means and the hash value verification means indicates a match;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文Cを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
前記認証検証装置から暗号文Cを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the authentication requesting device, the broadcast encryption / decryption key Ki and the expiration date Exp are stored. Decryption key storage means;
Ciphertext receiving means for receiving ciphertext C from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖T ′;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, decryption result transmission means for transmitting the message R ′ in the concatenated data to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the message to be signed M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the ciphertext C and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki;
Concatenated data generating means for concatenating the message R ′ obtained by the decryption and the received message to be signed M to generate concatenated data R′‖M;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段と、
前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
First ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′ to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′ from the authentication verification device;
First ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki;
Second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption;
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
Ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption encryption key Kv and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the time information T to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the authentication requesting device, the broadcast encryption / decryption key Ki and the expiration date Exp are stored. Decryption key storage means;
Ciphertext receiving means for receiving the ciphertext C, hash value H (R), verifier identification information IDv, and time information T from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A decryption result transmitting means for transmitting the message R ′ in the concatenated data to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for generating the ciphertext C by encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the signature target message M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the ciphertext C, hash value H (R), verifier identification information IDv, and signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
When the verification results of the identification information verification unit and the hash value verification unit indicate a match, the message R ′ obtained by the decryption and the received signature target message M are concatenated, and concatenated data R′‖M is obtained. Connected data generation means to generate;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
First ciphertext generating means for encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmission means for transmitting the first and second ciphertexts C and C ′, the hash value H (R) and the verifier identification information IDv to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′;
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
A second cipher that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption when the verification results of the identification information verification unit and the hash value verification unit respectively match. Sentence decryption means;
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the message to be signed M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the authentication requesting device, the broadcast encryption / decryption key Ki and the expiration date Exp are stored. Decryption key storage means;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the ciphertext C and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖T ′;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, the message R ′ obtained by the decryption and the received signature target message M are concatenated to generate concatenated data R′‖M. Concatenated data generation means;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Kiが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
First ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′ to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
A first decryption key storage means for storing a broadcast encryption / decryption key Ki when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input to the authentication requesting device;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′ from the authentication verification device;
Ciphertext decryption means for decrypting the first ciphertext C to obtain concatenated data R ′ 鍵 T ′ based on the broadcast encryption / decryption key Ki;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, a second ciphertext decryption that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption. Means,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
Ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption encryption key Kv and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the authentication requesting device, the broadcast encryption / decryption key Ki and the expiration date Exp are stored. Decryption key storage means;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A concatenated data generating means for concatenating the message R ′ obtained by the decryption and the received signature target message M to generate concatenated data R′‖M;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置は、
現在の時間情報Tを生成する内部時計装置と、
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが前記認証検証装置に入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが前記認証検証装置に入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記認証検証装置に固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを前記認証要求装置に送信する暗号文送信手段と、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えており、
前記認証要求装置は、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが前記認証要求装置に入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expが記憶される第1の復号鍵記憶手段と、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが前記認証要求装置に入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段と、
を備えたことを特徴とする匿名認証システム。 An anonymous authentication system comprising an authentication verification device and an authentication request device,
The authentication verification device includes:
An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption First encryption key storage means for storing the key Kv;
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input to the authentication verification device;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information storage means for storing verifier identification information IDv unique to the authentication verification device;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
First ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the time information T to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
With
The authentication requesting device includes:
When the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input to the authentication requesting device, the broadcast encryption / decryption key Ki and the expiration date Exp are stored. Decryption key storage means;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input to the authentication requesting device;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv and the time information T from the authentication verification device;
Ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
An anonymous authentication system characterized by comprising:
前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
前記認証検証装置を保持する1つ以上の認証検証者装置と、
前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
前記グループ管理装置は、
放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
前記秘密情報Sが記憶される秘密情報記憶手段と、
前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
この放送型暗号復号鍵Kiを前記認証要求者装置に送信する復号鍵送信手段と、
前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
を備えており、
前記認証検証者装置は、
前記認証要求者装置から認証要求を受信する認証要求受信手段と、
この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
を備えており、
前記認証要求者装置は、
前記グループ管理装置から放送型暗号復号鍵Kiを受信する復号鍵受信手段と、
この放送型暗号復号鍵Kiが記憶される第2の放送型復号鍵記憶手段と、
前記認証要求の送信の際に、この放送型暗号復号鍵Kiを前記認証要求装置に入力する復号鍵入力手段と、
を備えたことを特徴とする匿名認証システム。 In the anonymous authentication system according to claim 3,
A group management device capable of communicating with the authentication verification device and the authentication requesting device;
One or more authentication verifier devices holding the authentication verification device;
One or more authentication requester devices holding the authentication requesting device,
The group management device
Secret information generating means for generating secret information S for generating the broadcast encryption / encryption key Kv and the broadcast encryption / decryption key Ki based on a broadcast encryption scheme;
Secret information storage means for storing the secret information S;
Participation request receiving means for receiving a group participation request from the authentication requester device;
Broadcast encryption / decryption key generation means for generating a broadcast encryption / decryption key Ki unique to the authentication requester apparatus based on the group participation request and the secret information S in the secret information storage means;
Decryption key transmitting means for transmitting the broadcast encryption / decryption key Ki to the authentication requester apparatus;
When revoking a subset of the set of broadcast encryption / decryption keys Ki unique to each authentication requester device, the secret information S in the secret information storage means and the expired broadcast are based on the broadcast encryption scheme. Broadcast encryption / encryption key generation means for generating a broadcast encryption / encryption key Kv from revocation information specifying a subset of the encryption / decryption key Ki;
An encryption key disclosing means for publishing the broadcast encryption encryption key Kv so as to be obtainable from the authentication verifier device;
With
The authentication verifier device is:
Authentication request receiving means for receiving an authentication request from the authentication requester device;
Encryption key acquisition means for acquiring the broadcast encryption encryption key Kv published by the group management device based on this authentication request or based on the disclosure of the broadcast encryption encryption key Kv by the group management device; ,
A second encryption key storage means for storing the broadcast encryption encryption key Kv;
An encryption key input means for inputting the broadcast encryption encryption key Kv to the authentication verification device;
With
The authentication requester device is:
Decryption key receiving means for receiving a broadcast encryption / decryption key Ki from the group management device;
Second broadcast-type decryption key storage means for storing the broadcast-type encryption / decryption key Ki;
Decryption key input means for inputting the broadcast encryption / decryption key Ki to the authentication requesting device when transmitting the authentication request;
An anonymous authentication system characterized by comprising:
前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
前記認証検証装置を保持する1つ以上の認証検証者装置と、
前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
前記グループ管理装置は、
放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
前記秘密情報Sが記憶される秘密情報記憶手段と、
前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
この放送型暗号復号鍵Kiを有効期限Expと共に前記認証要求者装置に送信する復号鍵送信手段と、
前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
この放送型暗号暗号化鍵Kvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
を備えており、
前記認証検証者装置は、
前記認証要求者装置から認証要求を受信する認証要求受信手段と、
この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kvを取得する暗号化鍵取得手段と、
この放送型暗号暗号化鍵Kvが記憶される第2の暗号化鍵記憶手段と、
この放送型暗号暗号化鍵Kvを前記認証検証装置に入力する暗号化鍵入力手段と、
を備えており、
前記認証要求者装置は、
前記グループ管理装置から放送型暗号復号鍵Ki及び有効期限Expを受信する復号鍵受信手段と、
この放送型暗号復号鍵Ki及び有効期限Expが記憶される第2の放送型復号鍵記憶手段と、
前記認証要求の送信の際に、この放送型暗号復号鍵Ki及び有効期限Expを前記認証要求装置に入力する復号鍵入力手段と、
を備えたことを特徴とする匿名認証システム。 In the anonymous authentication system according to claim 4 or claim 7,
A group management device capable of communicating with the authentication verification device and the authentication requesting device;
One or more authentication verifier devices holding the authentication verification device;
One or more authentication requester devices holding the authentication requesting device,
The group management device
Secret information generating means for generating secret information S for generating the broadcast encryption / encryption key Kv and the broadcast encryption / decryption key Ki based on a broadcast encryption scheme;
Secret information storage means for storing the secret information S;
Participation request receiving means for receiving a group participation request from the authentication requester device;
Broadcast encryption / decryption key generation means for generating a broadcast encryption / decryption key Ki unique to the authentication requester apparatus based on the group participation request and the secret information S in the secret information storage means;
Decryption key transmitting means for transmitting the broadcast encryption / decryption key Ki to the authentication requester apparatus together with an expiration date Exp;
When revoking a subset of the set of broadcast encryption / decryption keys Ki unique to each authentication requester device, the secret information S in the secret information storage means and the expired broadcast are based on the broadcast encryption scheme. Broadcast encryption / encryption key generation means for generating a broadcast encryption / encryption key Kv from revocation information specifying a subset of the encryption / decryption key Ki;
An encryption key disclosing means for publishing the broadcast encryption encryption key Kv so as to be obtainable from the authentication verifier device;
With
The authentication verifier device is:
Authentication request receiving means for receiving an authentication request from the authentication requester device;
Encryption key acquisition means for acquiring the broadcast encryption encryption key Kv published by the group management device based on this authentication request or based on the disclosure of the broadcast encryption encryption key Kv by the group management device; ,
A second encryption key storage means for storing the broadcast encryption encryption key Kv;
An encryption key input means for inputting the broadcast encryption encryption key Kv to the authentication verification device;
With
The authentication requester device is:
Decryption key receiving means for receiving a broadcast encryption / decryption key Ki and an expiration date Exp from the group management device;
A second broadcast-type decryption key storage means for storing the broadcast-type encryption / decryption key Ki and the expiration date Exp;
Decryption key input means for inputting the broadcast encryption / decryption key Ki and expiration date Exp to the authentication requesting device when transmitting the authentication request;
An anonymous authentication system characterized by comprising:
前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
前記認証検証装置を保持する1つ以上の認証検証者装置と、
前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
前記グループ管理装置は、
放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
前記秘密情報Sが記憶される秘密情報記憶手段と、
グループ署名方式に基づいて、前記グループ署名検証鍵KGvを生成するグループ署名検証鍵生成手段と、
前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
前記グループ参加要求と前記グループ署名方式に基づいて、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiを生成するグループ署名メンバ鍵生成手段と、
前記放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを前記認証要求者装置に送信する復号鍵送信手段と、
前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
この放送型暗号暗号化鍵Kv及び前記グループ署名検証鍵KGvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
を備えており、
前記認証検証者装置は、
前記認証要求者装置から認証要求を受信する認証要求受信手段と、
この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを取得する暗号化鍵取得手段と、
この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiが記憶される第2の暗号化鍵記憶手段と、
この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを前記認証検証装置に入力する暗号化鍵入力手段と、
を備えており、
前記認証要求者装置は、
前記グループ管理装置から放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを受信する復号鍵受信手段と、
この放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiが記憶される第2の放送型復号鍵記憶手段と、
前記認証要求の送信の際に、この放送型暗号復号鍵Ki及びグループ署名メンバ鍵KGiを前記認証要求装置に入力する復号鍵入力手段と、
を備えたことを特徴とする匿名認証システム。 In the anonymous authentication system according to claim 5, claim 6, claim 8 or claim 9,
A group management device capable of communicating with the authentication verification device and the authentication requesting device;
One or more authentication verifier devices holding the authentication verification device;
One or more authentication requester devices holding the authentication requesting device,
The group management device
Secret information generating means for generating secret information S for generating the broadcast encryption / encryption key Kv and the broadcast encryption / decryption key Ki based on a broadcast encryption scheme;
Secret information storage means for storing the secret information S;
Group signature verification key generating means for generating the group signature verification key KGv based on a group signature scheme;
Participation request receiving means for receiving a group participation request from the authentication requester device;
Broadcast encryption / decryption key generation means for generating a broadcast encryption / decryption key Ki unique to the authentication requester apparatus based on the group participation request and the secret information S in the secret information storage means;
Group signature member key generating means for generating a group signature member key KGi corresponding to the group signature verification key KGv based on the group participation request and the group signature scheme;
Decryption key transmitting means for transmitting the broadcast encryption / decryption key Ki and group signature member key KGi to the authentication requester apparatus;
When revoking a subset of the set of broadcast encryption / decryption keys Ki unique to each authentication requester device, the secret information S in the secret information storage means and the expired broadcast are based on the broadcast encryption scheme. Broadcast encryption / encryption key generation means for generating a broadcast encryption / encryption key Kv from revocation information specifying a subset of the encryption / decryption key Ki;
An encryption key disclosing means for disclosing the broadcast encryption encryption key Kv and the group signature verification key KGv so as to be retrievable from the authentication verifier device;
With
The authentication verifier device is:
Authentication request receiving means for receiving an authentication request from the authentication requester device;
Based on this authentication request or based on the disclosure of the broadcast encryption / encryption key Kv by the group management apparatus, the broadcast encryption / encryption key Kv and the group signature verification key KGi disclosed by the group management apparatus are acquired. An encryption key obtaining means;
A second encryption key storage means for storing the broadcast encryption encryption key Kv and the group signature verification key KGi;
An encryption key input means for inputting the broadcast encryption encryption key Kv and the group signature verification key KGi to the authentication verification device;
With
The authentication requester device is:
Decryption key receiving means for receiving a broadcast encryption / decryption key Ki and a group signature member key KGi from the group management device;
A second broadcast-type decryption key storage means for storing the broadcast-type encryption / decryption key Ki and the group signature member key KGi;
Decryption key input means for inputting the broadcast encryption / decryption key Ki and group signature member key KGi to the authentication requesting device when transmitting the authentication request;
An anonymous authentication system characterized by comprising:
前記認証検証装置及び前記認証要求装置と通信可能なグループ管理装置と、
前記認証検証装置を保持する1つ以上の認証検証者装置と、
前記認証要求装置を保持する1つ以上の認証要求者装置とを更に備えており、
前記グループ管理装置は、
放送型暗号方式に基づいて、前記放送型暗号暗号化鍵Kv及び前記放送型暗号復号鍵Kiを生成するための秘密情報Sを生成する秘密情報生成手段と、
前記秘密情報Sが記憶される秘密情報記憶手段と、
グループ署名方式に基づいて、前記グループ署名検証鍵KGvを生成するグループ署名検証鍵生成手段と、
前記認証要求者装置からグループ参加要求を受信する参加要求受信手段と、
前記グループ参加要求と前記秘密情報記憶手段内の秘密情報Sとに基づいて、前記認証要求者装置に固有の放送型暗号復号鍵Kiを生成する放送型暗号復号鍵生成手段と、
前記グループ参加要求と前記グループ署名方式に基づいて、前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiを生成するグループ署名メンバ鍵生成手段と、
前記放送型暗号復号鍵Ki、この放送型暗号復号鍵Kiの有効期限Exp及びグループ署名メンバ鍵KGiを前記認証要求者装置に送信する復号鍵送信手段と、
前記認証要求者装置毎に固有の放送型暗号復号鍵Kiの集合の部分集合を失効する際に、前記放送型暗号方式に基づいて、前記秘密情報記憶手段内の秘密情報S及び前記失効する放送型暗号復号鍵Kiの部分集合を特定する失効情報とから放送型暗号暗号化鍵Kvを生成する放送型暗号暗号化鍵生成手段と、
この放送型暗号暗号化鍵Kv及び前記グループ署名検証鍵KGvを前記認証検証者装置から取得可能に公開する暗号化鍵公開手段と、
を備えており、
前記認証検証者装置は、
前記認証要求者装置から認証要求を受信する認証要求受信手段と、
この認証要求に基づいて、または前記グループ管理装置による放送型暗号暗号化鍵Kvの公開に基づいて、前記グループ管理装置により公開された放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを取得する暗号化鍵取得手段と、
この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiが記憶される第2の暗号化鍵記憶手段と、
この放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGiを前記認証検証装置に入力する暗号化鍵入力手段と、
を備えており、
前記認証要求者装置は、
前記グループ管理装置から放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiを受信する復号鍵受信手段と、
この放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiが記憶される第2の放送型復号鍵記憶手段と、
前記認証要求の送信の際に、この放送型暗号復号鍵Ki、有効期限Exp及びグループ署名メンバ鍵KGiを前記認証要求装置に入力する復号鍵入力手段と、
を備えたことを特徴とする匿名認証システム。 The anonymous authentication system according to any one of claims 10 to 13,
A group management device capable of communicating with the authentication verification device and the authentication requesting device;
One or more authentication verifier devices holding the authentication verification device;
One or more authentication requester devices holding the authentication requesting device,
The group management device
Secret information generating means for generating secret information S for generating the broadcast encryption / encryption key Kv and the broadcast encryption / decryption key Ki based on a broadcast encryption scheme;
Secret information storage means for storing the secret information S;
Group signature verification key generating means for generating the group signature verification key KGv based on a group signature scheme;
Participation request receiving means for receiving a group participation request from the authentication requester device;
Broadcast encryption / decryption key generation means for generating a broadcast encryption / decryption key Ki unique to the authentication requester apparatus based on the group participation request and the secret information S in the secret information storage means;
Group signature member key generating means for generating a group signature member key KGi corresponding to the group signature verification key KGv based on the group participation request and the group signature scheme;
A decryption key transmitting means for transmitting the broadcast encryption / decryption key Ki, an expiration date Exp of the broadcast encryption / decryption key Ki, and a group signature member key KGi to the authentication requester apparatus;
When revoking a subset of the set of broadcast encryption / decryption keys Ki unique to each authentication requester device, the secret information S in the secret information storage means and the expired broadcast are based on the broadcast encryption scheme. Broadcast encryption / encryption key generation means for generating a broadcast encryption / encryption key Kv from revocation information specifying a subset of the encryption / decryption key Ki;
An encryption key disclosing means for disclosing the broadcast encryption encryption key Kv and the group signature verification key KGv so as to be retrievable from the authentication verifier device;
With
The authentication verifier device is:
Authentication request receiving means for receiving an authentication request from the authentication requester device;
Based on this authentication request or based on the disclosure of the broadcast encryption / encryption key Kv by the group management apparatus, the broadcast encryption / encryption key Kv and the group signature verification key KGi disclosed by the group management apparatus are acquired. An encryption key obtaining means;
A second encryption key storage means for storing the broadcast encryption encryption key Kv and the group signature verification key KGi;
An encryption key input means for inputting the broadcast encryption encryption key Kv and the group signature verification key KGi to the authentication verification device;
With
The authentication requester device is:
Decryption key receiving means for receiving a broadcast encryption / decryption key Ki, an expiration date Exp, and a group signature member key KGi from the group management device;
A second broadcast-type decryption key storage means for storing the broadcast-type encryption / decryption key Ki, the expiration date Exp, and the group signature member key KGi;
Decryption key input means for inputting the broadcast encryption / decryption key Ki, expiration date Exp, and group signature member key KGi to the authentication requesting device when transmitting the authentication request;
An anonymous authentication system characterized by comprising:
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文Cを送信する暗号文送信手段と、
前記暗号文の送信先から当該暗号文Cの復号結果を受信する復号結果受信手段と、
この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む書込手段、
前記認証検証装置から暗号文Cを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段、
この復号結果を前記認証検証装置に送信する復号結果送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C;
Decryption result receiving means for receiving a decryption result of the ciphertext C from a destination of the ciphertext;
Verification means for verifying whether the decryption result of the ciphertext C matches the message R;
A program for use in a computer of an authentication requesting apparatus capable of communicating with the authentication verification apparatus for an authentication verification apparatus provided with a verification result output means for outputting the verification result,
The computer,
A writing means for writing the broadcast encryption / decryption key Ki into the memory when the broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input;
Ciphertext receiving means for receiving ciphertext C from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory;
Decryption result transmission means for transmitting the decryption result to the authentication verification device;
Program to function as.
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる暗号文Cを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
この復号結果を前記暗号文の送信元に送信する復号結果送信手段と
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段、
前記暗号文Cを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置から前記暗号文Cの復号結果を受信する復号結果受信手段、
この暗号文Cの復号結果が前記メッセージRに一致するか否かを検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
Ciphertext receiving means for receiving a ciphertext C obtained by encrypting a random message R based on the broadcast encryption key Kv;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki;
A program used for a computer of an authentication verification apparatus capable of communicating with the authentication requesting apparatus for an authentication requesting apparatus provided with a decryption result transmitting means for transmitting the decryption result to the ciphertext transmission source,
The computer,
A writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
Message generating means for generating a random message R when the broadcast encryption / encryption key Kv is input;
A ciphertext generating unit that encrypts the message R based on the broadcast encryption key Kv in the memory and generates a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C to the authentication requesting device;
Decryption result receiving means for receiving the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the decryption result of the ciphertext C matches the message R;
Verification result output means for outputting the verification result,
Program to function as.
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを送信する暗号文送信手段と、
前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む書込手段、
前記認証検証装置から暗号文C、ハッシュ値H(R)及び検証者識別情報IDvを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for generating the ciphertext C by encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R) and the verifier identification information IDv;
Decryption result receiving means for receiving a message R ′ included in a decryption result of the ciphertext C from a transmission destination of the ciphertext C, the hash value H (R) and the verifier identification information IDv;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A program for use in a computer of an authentication requesting apparatus capable of communicating with the authentication verification apparatus for an authentication verification apparatus provided with a verification result output means for outputting the verification result,
The computer,
A writing means for writing the broadcast encryption / decryption key Ki into the memory when the broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input;
A ciphertext receiving means for receiving the ciphertext C, the hash value H (R) and the verifier identification information IDv from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖IDv ′;
Identification information verification means for verifying whether or not the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
Decryption result transmission means for transmitting a message R ′ in the concatenated data to the authentication verification device when each verification result of the identification information verification means and the hash value verification means indicates a match;
Program to function as.
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖IDvが暗号化されてなる暗号文C、前記メッセージRから一方向性関数Hにより生成されたハッシュ値H(R)及び前記検証者識別情報IDvを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信元に送信する復号結果送信手段と
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記暗号文C、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
Based on the broadcast encryption key Kv, a ciphertext C in which concatenated data R デ ー タ IDv of a random message R and verifier identification information IDv is encrypted is generated from the message R by a one-way function H. Ciphertext receiving means for receiving the hash value H (R) and the verifier identification information IDv;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
When each verification result of the identification information verification unit and the hash value verification unit indicates a match, the message R ′ in the concatenated data is converted into the ciphertext C, the hash value H (R), and the verifier identification information IDv. A program used for a computer of an authentication verification apparatus capable of communicating with the authentication requesting apparatus for an authentication requesting apparatus comprising a decryption result transmitting means for transmitting to the transmission source of
The computer,
A writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
Verifier identification information writing means for writing the unique verifier identification information IDv into the memory;
Message generating means for generating a random message R when the broadcast encryption / encryption key Kv is input;
A concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for generating the ciphertext C by encrypting the concatenated data R 暗号 IDv based on the broadcast encryption key Kv;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R) and the verifier identification information IDv to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文Cを送信する暗号文送信手段と、
前記暗号文の送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む書込手段、
前記認証検証装置から暗号文Cを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from a destination of the ciphertext;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A program for use in a computer of an authentication requesting apparatus capable of communicating with the authentication verification apparatus for an authentication verification apparatus provided with a verification result output means for outputting the verification result,
The computer,
A writing means for writing the broadcast encryption / decryption key Ki and the expiration date Exp into the memory when the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input;
Ciphertext receiving means for receiving ciphertext C from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖T ′;
An expiration date verification means for verifying whether or not the time information T ′ in the linked data has passed the expiration date Exp in the memory;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, a decryption result transmitting means for transmitting the message R ′ in the concatenated data to the authentication verification device;
Program to function as.
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報との連結データR‖Tが暗号化されてなる暗号文Cを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記連結データ内のメッセージR’を前記暗号文の送信元に送信する復号結果送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
前記暗号文Cを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 The broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv generated based on the broadcast encryption method and the expiration date Exp are input so that only a valid decryption key set can be decrypted. A first decryption key storage means for storing the broadcast encryption / decryption key Ki and the expiration date Exp;
Ciphertext receiving means for receiving ciphertext C obtained by encrypting concatenated data R‖T of a random message R and current time information based on the broadcast-type cryptographic encryption key Kv;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖T ′;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, decryption result transmission means for transmitting the message R ′ in the concatenated data to the source of the ciphertext;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
Message generating means for generating a random message R when the broadcast encryption / encryption key Kv is input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T,
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv in the memory and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
Verification result output means for outputting the verification result,
Program to function as.
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文C及び署名対象メッセージMを送信する暗号文送信手段と、
前記暗号文C及び署名対象メッセージMの送信元からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段、
前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the signature target message M;
A group signature receiving means for receiving a group signature GS from the source of the ciphertext C and the message to be signed M;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing, when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input, into the memory;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving the ciphertext C and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory;
Concatenated data generation means for concatenating the message R ′ obtained by the decryption and the received signature target message M to generate concatenated data R′‖M,
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi in the memory;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号する暗号文復号手段と、
前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、暗号文Cを生成する暗号文生成手段、
前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving a ciphertext C obtained by encrypting a random message R based on the broadcast encryption key Kv and a signature target message M;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki;
Concatenated data generating means for concatenating the message R ′ obtained by the decryption and the received message to be signed M to generate concatenated data R′‖M;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertext C and the signature target message M;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
A ciphertext generating unit that encrypts the message R based on the broadcast encryption key Kv in the memory and generates a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the message to be signed M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
Verification result output means for outputting the verification result,
Program to function as.
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
前記第1及び第2の暗号文C,C’を送信する暗号文送信手段と、
前記暗号文C,C’の送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段、
前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
First ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′;
Group signature receiving means for receiving a group signature GS from the destination of the ciphertexts C and C ′;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing, when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input, into the memory;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
Ciphertext receiving means for receiving first and second ciphertexts C and C ′ from the authentication verification device;
First ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki;
Second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption;
Group signature generating means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’を受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号する第1の暗号文復号手段と、
前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記第1及び第2の暗号文C,C’の送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記メッセージRを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A first ciphertext C in which a random message R is encrypted based on the broadcast encryption encryption key Kv, and a second cipher in which the signature target message M is encrypted based on the message R Ciphertext receiving means for receiving two ciphertexts C and C ′ with the text C ′;
First ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki;
Second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption;
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission sources of the first and second ciphertexts C and C ′;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
First ciphertext generating means for encrypting the message R based on the broadcast encryption key Kv in the memory and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′ to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを送信する暗号文送信手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tの送信先から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段と、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む書込手段、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記認証検証装置に送信する復号結果送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv is input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
Ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption encryption key Kv and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the time information T;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from a transmission destination of the ciphertext C, the hash value H (R), the verifier identification information IDv, and the time information T;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A writing means for writing the broadcast encryption / decryption key Ki and the expiration date Exp into the memory when the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input;
The ciphertext C obtained by encrypting the concatenated data R‖IDv さ れ T in which the random message R, the verifier identification information IDv, and the current time information T are concatenated based on the broadcast encryption key Kv, the message A ciphertext receiving means for receiving a hash value H (R), verifier identification information IDv, and time information T generated from R by a one-way function;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖IDv′‖T ′;
Expiration date verification means for verifying whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the memory. ,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A decryption result transmitting means for transmitting the message R ′ in the concatenated data to the authentication verification device,
Program to function as.
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記連結データ内のメッセージR’を前記暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tの送信元に送信する復号結果送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む書込手段、
前記認証検証装置に固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR、前記検証者識別情報IDv及び時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記時間情報Tを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置から前記暗号文Cの復号結果に含まれるメッセージR’を受信する復号結果受信手段、
この受信したメッセージR’と前記生成したメッセージRとが一致するか否かを検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 The broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv generated based on the broadcast encryption method and the expiration date Exp are input so that only a valid decryption key set can be decrypted. A first decryption key storage means for storing the broadcast encryption / decryption key Ki and the expiration date Exp;
The ciphertext C obtained by encrypting the concatenated data R‖IDv さ れ T in which the random message R, the verifier identification information IDv, and the current time information T are concatenated based on the broadcast encryption key Kv, the message Ciphertext receiving means for receiving a hash value H (R) generated from R by a one-way function, verifier identification information IDv, and time information T;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. Decryption result transmission means for transmitting the message R ′ in the concatenated data to the transmission source of the ciphertext C, hash value H (R), verifier identification information IDv, and time information T;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
Verifier identification information writing means for writing verifier identification information IDv unique to the authentication verification apparatus in a memory;
Message generating means for generating a random message R when the broadcast encryption / encryption key Kv is input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
A ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption key Kv and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the time information T to the authentication requesting device;
Decryption result receiving means for receiving a message R ′ included in the decryption result of the ciphertext C from the authentication requesting device;
Verification means for verifying whether or not the received message R ′ matches the generated message R;
Verification result output means for outputting the verification result,
Program to function as.
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを送信する暗号文送信手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for generating the ciphertext C by encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the signature target message M;
A group signature receiving means for receiving a group signature GS from a transmission destination of the ciphertext C, the hash value H (R), the verifier identification information IDv, and the signature target message M;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
A first writing means for writing, when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input, into the memory;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving the ciphertext C, hash value H (R), verifier identification information IDv, and signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖IDv ′;
Identification information verification means for verifying whether or not the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
When the verification results of the identification information verification unit and the hash value verification unit indicate a match, the message R ′ obtained by the decryption and the received signature target message M are concatenated, and concatenated data R′‖M is obtained. Connected data generation means to generate,
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi in the memory;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されてなるハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C、前記ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
前記認証検証装置本体に固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、暗号文Cを生成する暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext C in which concatenated data RCT of a random message R and verifier identification information IDv is encrypted based on the broadcast encryption key Kv, is generated from the message R by a one-way function. A ciphertext receiving means for receiving a hash value H (R), a verifier identification information IDv and a signature target message M;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
When the verification results of the identification information verification unit and the hash value verification unit indicate a match, the message R ′ obtained by the decryption and the received signature target message M are concatenated, and concatenated data R′‖M is obtained. Connected data generation means to generate;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertext C, the hash value H (R), the verifier identification information IDv, and the signature target message M;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information writing means for writing verifier identification information IDv unique to the authentication verification apparatus main body into a memory;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
A concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
Ciphertext generating means for encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv in the memory and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, and the signature target message M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを送信する暗号文送信手段と、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvの送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
First ciphertext generating means for encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′, the hash value H (R), and the verifier identification information IDv;
Group signature receiving means for receiving a group signature GS from a transmission destination of the first and second ciphertexts C and C ′, the hash value H (R) and the verifier identification information IDv;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing, when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input, into the memory;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the signature target message M from the authentication verification device;
A ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖IDv ′;
Identification information verification means for verifying whether or not the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
A second cipher that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption when the verification results of the identification information verification unit and the hash value verification unit respectively match. Sentence decryption means,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi in the memory;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kiに基づいてランダムなメッセージRと検証者識別情報IDvとの連結データR‖IDvが暗号化されてなる第1の暗号文Cと前記メッセージRに基づいて署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’を得る暗号文復号手段と、
この連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C,C’、前記ハッシュ値H(R)、検証者識別情報IDv及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記検証者識別情報IDvを連結し、連結データR‖IDvを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDvを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)及び前記検証者識別情報IDvを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A message to be signed based on the first ciphertext C obtained by encrypting the concatenated data R‖IDv of the random message R and the verifier identification information IDv based on the broadcast encryption encryption key Ki and the message R Two ciphertexts C and C ′ with a second ciphertext C ′ obtained by encrypting M, a hash value H (R) generated from the message R by a one-way function, verifier identification information IDv, and A ciphertext receiving means for receiving the signature target message M;
Ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv ′;
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
A second cipher that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption when the verification results of the identification information verification unit and the hash value verification unit respectively match. Sentence decryption means;
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the message to be signed M;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information writing means for writing the unique verifier identification information IDv into the memory;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
A concatenated data generating means for concatenating the message R and the verifier identification information IDv to generate concatenated data R‖IDv;
First ciphertext generating means for encrypting the concatenated data R‖IDv based on the broadcast encryption key Kv in the memory and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′, the hash value H (R), and the verifier identification information IDv to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
前記暗号文C及び署名対象メッセージMを送信する暗号文送信手段と、
前記暗号文C及び署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から暗号文C及び署名対象メッセージMを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the signature target message M;
Group signature receiving means for receiving a group signature GS from the transmission destination of the ciphertext C and the message to be signed M;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing the broadcast encryption / decryption key Ki and the expiration date Exp into the memory when the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving the ciphertext C and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖T ′;
An expiration date verification means for verifying whether or not the time information T ′ in the linked data has passed the expiration date Exp in the memory;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, the message R ′ obtained by the decryption and the received signature target message M are concatenated to generate concatenated data R′‖M. Concatenated data generation means,
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi in the memory;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報Tとの連結データR‖Tが暗号化されてなる暗号文C及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
前記暗号文C及び署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 The broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv generated based on the broadcast encryption method and the expiration date Exp are input so that only a valid decryption key set can be decrypted. A first decryption key storage means for storing the broadcast encryption / decryption key Ki and the expiration date Exp;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving a ciphertext C and a signature target message M in which concatenated data R デ ー タ T of a random message R and current time information T is encrypted based on the broadcast encryption key Kv; ,
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖T ′;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, the message R ′ obtained by the decryption and the received signature target message M are concatenated to generate concatenated data R′‖M. Concatenated data generation means;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertext C and the signature target message M;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T,
Ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv in the memory and generating a ciphertext C;
Ciphertext transmitting means for transmitting the ciphertext C and the message to be signed M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
前記第1及び第2の暗号文C,C’を送信する暗号文送信手段と、
前記第1及び第2の暗号文C,C’の送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Kiが入力されたとき、この放送型暗号復号鍵Kiをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から第1及び第2の暗号文C,C’を受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T;
First ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′;
Group signature receiving means for receiving a group signature GS from the transmission destinations of the first and second ciphertexts C and C ′;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing, when a broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv is input, into the memory;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
Ciphertext receiving means for receiving first and second ciphertexts C and C ′ from the authentication verification device;
A ciphertext decryption means for decrypting the first ciphertext C based on the broadcast cipher / decryption key Ki in the memory to obtain concatenated data R′‖T ′;
An expiration date verification means for verifying whether or not the time information T ′ in the linked data has passed the expiration date Exp in the memory;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, the second ciphertext decryption that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption. means,
Group signature generating means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと現在の時間情報Tとの連結データR‖Tが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’を受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
この検証の結果、前記時間情報T’が有効期限Expを過ぎていないとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C,C’の送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR及び前記時間情報Tを連結し、連結データR‖Tを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
前記第1及び第2の暗号文C,C’を前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 When a broadcast-type encryption / decryption key Ki corresponding to a broadcast-type encryption / decryption key Kv generated based on the broadcast-type encryption method is encrypted so that only a valid set of decryption keys can be decrypted, this broadcast First decryption key storage means for storing the type encryption / decryption key Ki;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A first ciphertext C obtained by encrypting concatenated data R‖T of a random message R and current time information T based on the broadcast encryption key Kv, and the signature based on the message R Ciphertext receiving means for receiving two ciphertexts C and C ′ with the second ciphertext C ′ obtained by encrypting the target message M;
Ciphertext decryption means for decrypting the first ciphertext C to obtain concatenated data R ′ 鍵 T ′ based on the broadcast encryption / decryption key Ki;
Expiration date verification means for verifying whether the time information T ′ in the concatenated data has passed the expiration date Exp in the first decryption key storage means;
As a result of this verification, when the time information T ′ has not passed the expiration date Exp, a second ciphertext decryption that decrypts the second ciphertext C ′ based on the message R ′ obtained by the decryption. Means,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by the decryption based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertexts C and C ′;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R and the time information T to generate concatenated data R‖T,
First ciphertext generating means for encrypting the concatenated data R‖T based on the broadcast encryption key Kv in the memory and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′ to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを送信する暗号文送信手段と、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMの送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiを書き込む第2書込手段、
前記認証検証装置から暗号文C、ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段、
前記メモリ内のグループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
Ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption encryption key Kv and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M;
Group signature receiving means for receiving a group signature GS from a transmission destination of the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing the broadcast encryption / decryption key Ki and the expiration date Exp into the memory when the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input;
A second writing means for writing the group signature member key KGi when the group signature member key KGi corresponding to the group signature verification key KGv is input;
A ciphertext receiving means for receiving the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M from the authentication verification device;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki in the memory to obtain concatenated data R′‖IDv′‖T ′;
Expiration date verification means for verifying whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the memory. ,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A concatenated data generating means for concatenating the message R ′ obtained by the decryption and the received signature object message M to generate concatenated data R′‖M,
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi in the memory;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージR,検証者識別情報IDv及び現在の時間情報Tが連結された連結データR‖IDv‖Tが暗号化されてなる暗号文C、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、この暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’及び前記受信した署名対象メッセージMを連結し、連結データR’‖Mを生成する連結データ生成手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記連結データR’‖Mに対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C、前記ハッシュ値H(R)、検証者識別情報IDv、前記時間情報T及び署名対象メッセージMの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
前記メモリ内の放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、暗号文Cを生成する暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記暗号文C、前記ハッシュ値H(R)、前記検証者識別情報IDv、前記時間情報T及び前記署名対象メッセージMを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記メモリ内のグループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 The broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv generated based on the broadcast encryption method and the expiration date Exp are input so that only a valid decryption key set can be decrypted. A first decryption key storage means for storing the broadcast encryption / decryption key Ki and the expiration date Exp;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
The ciphertext C obtained by encrypting the concatenated data R‖IDv さ れ T in which the random message R, the verifier identification information IDv, and the current time information T are concatenated based on the broadcast encryption key Kv, the message Ciphertext receiving means for receiving a hash value H (R) generated from R by a one-way function, verifier identification information IDv, time information T and signature target message M;
Ciphertext decryption means for decrypting the ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A concatenated data generating means for concatenating the message R ′ obtained by the decryption and the received signature target message M to generate concatenated data R′‖M;
Group signature generating means for generating a group signature GS for the concatenated data R′‖M based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information writing means for writing the unique verifier identification information IDv into the memory;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T
A ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption key Kv in the memory and generating a ciphertext C;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the ciphertext C, the hash value H (R), the verifier identification information IDv, the time information T, and the signature target message M to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv in the memory;
Verification result output means for outputting the verification result,
Program to function as.
有効な復号鍵集合だけ復号可能にメッセージを暗号化するように放送型暗号方式に基づいて生成された放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvが記憶される第1の暗号化鍵記憶手段と、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvが記憶されるグループ署名検証鍵記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段と、
固有の検証者識別情報IDvが記憶される検証者識別情報記憶手段と、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段と、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段と、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段と、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段と、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段と、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを送信する暗号文送信手段と、
前記暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tの送信先からグループ署名GSを受信するグループ署名受信手段と、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段と、
この検証結果を出力する検証結果出力手段と、
を備えた認証検証装置に対し、この認証検証装置に通信可能な認証要求装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記放送型暗号暗号化鍵Kvに対応した放送型暗号復号鍵Ki及び有効期限Expが入力されたとき、この放送型暗号復号鍵Ki及び有効期限Expをメモリに書き込む第1書込手段、
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiをメモリに書き込む第2書込手段、
前記認証検証装置から第1及び第2の暗号文C,C’、ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段、
前記メモリ内の放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記メモリ内の有効期限Expを過ぎたか否かを検証する有効期限検証手段、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段、
前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段、
このグループ署名GSを前記認証検証装置に送信するグループ署名送信手段、
として機能させるためのプログラム。 An internal clock device for generating current time information T;
When the broadcast encryption encryption key Kv generated based on the broadcast encryption method is encrypted so that only a valid decryption key set can be decrypted, the broadcast encryption encryption key Kv is stored. First encryption key storage means,
Group signature verification key storage means for storing the group signature verification key KGv when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
A verifier identification information storage means for storing a unique verifier identification information IDv;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T;
First ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the time information T;
Group signature receiving means for receiving a group signature GS from a transmission destination of the ciphertext C, C ′, the hash value H (R), the verifier identification information IDv, and the time information T;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
A verification result output means for outputting the verification result;
Is a program used in a computer of an authentication requesting device capable of communicating with the authentication verification device.
The computer,
A first writing means for writing the broadcast encryption / decryption key Ki and the expiration date Exp into the memory when the broadcast encryption / decryption key Ki and the expiration date Exp corresponding to the broadcast encryption / encryption key Kv are input;
Second writing means for writing the group signature member key KGi into the memory when the group signature member key KGi corresponding to the group signature verification key KGv is input;
Ciphertext receiving means for receiving the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the time information T from the authentication verification device;
Ciphertext decryption means for decrypting the first ciphertext C based on the broadcast ciphertext decryption key Ki in the memory to obtain concatenated data R′‖IDv′‖T ′;
Expiration date verification means for verifying whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the memory. ,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
A hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. , Second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the authentication verification device;
Program to function as.
前記グループ署名検証鍵KGvに対応したグループ署名メンバ鍵KGiが入力されたとき、このグループ署名メンバ鍵KGiが記憶される第1のメンバ鍵記憶手段と、
前記放送型暗号暗号化鍵Kvに基づいてランダムなメッセージRと検証者識別情報IDvと現在の時間情報Tとの連結データR‖IDv‖Tが暗号化されてなる第1の暗号文Cと、前記メッセージRに基づいて前記署名対象メッセージMが暗号化されてなる第2の暗号文C’との2つの暗号文C,C’、前記メッセージRから一方向性関数により生成されたハッシュ値H(R)、検証者識別情報IDv及び時間情報Tを受信する暗号文受信手段と、
前記放送型暗号復号鍵Kiに基づいて、前記第1の暗号文Cを復号し、連結データR’‖IDv’‖T’を得る暗号文復号手段と、
この連結データ内の時間情報T’と前記受信した時間情報Tとが一致するか否か,及び前記時間情報T’が前記第1復号鍵記憶手段内の有効期限Expを過ぎたか否かを検証する有効期限検証手段と、
前記連結データ内の検証者識別情報IDv’と前記受信した検証者識別情報IDvとが一致するか否かを検証する識別情報検証手段と、
前記連結データ内のメッセージR’に基づいて生成されるハッシュ値H(R’)と前記受信したハッシュ値H(R)とが一致するか否かを検証するハッシュ値検証手段と、
前記有効期限検証手段による検証の結果、前記時間情報T’が有効期限Expを過ぎていないときで且つ前記有効期限検証手段、前記識別情報検証手段及び前記ハッシュ値検証手段の各検証結果がそれぞれ一致を示すとき、前記復号により得られたメッセージR’に基づいて、前記第2の暗号文C’を復号する第2の暗号文復号手段と、
前記グループ署名メンバ鍵KGiに基づいて、前記第2の暗号文C’の復号により得られた署名対象メッセージM’に対するグループ署名GSを生成するグループ署名生成手段と、
このグループ署名GSを前記暗号文C,C’、前記ハッシュ値H(R)、検証者識別情報IDv及び時間情報Tの送信元に送信するグループ署名送信手段と、
を備えた認証要求装置に対し、この認証要求装置に通信可能な認証検証装置のコンピュータに用いられるプログラムであって、
前記コンピュータを、
現在の時間情報Tを生成する内部時計装置、
前記放送型暗号暗号化鍵Kvが入力されたとき、この放送型暗号暗号化鍵Kvをメモリに書き込む第1書込手段、
グループ署名方式に基づいて生成されたグループ署名検証鍵KGvが入力されたとき、このグループ署名検証鍵KGvをメモリに書き込む第2書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、グループ署名の対象となる署名対象メッセージMを生成する署名対象メッセージ生成手段、
固有の検証者識別情報IDvをメモリに書き込む検証者識別情報書込手段、
前記放送型暗号暗号化鍵Kv及びグループ署名検証鍵KGvが入力されたとき、ランダムなメッセージRを生成するメッセージ生成手段、
前記メッセージR、前記検証者識別情報IDv及び前記時間情報Tを連結し、連結データR‖IDv‖Tを生成する連結データ生成手段、
前記放送型暗号暗号化鍵Kvに基づいて前記連結データR‖IDv‖Tを暗号化し、第1の暗号文Cを生成する第1の暗号文生成手段、
前記メッセージRに基づいて前記署名対象メッセージMを暗号化し、第2の暗号文C’を生成する第2の暗号文生成手段、
一方向性関数Hにより、前記メッセージRのハッシュ値H(R)を生成するハッシュ値生成手段、
前記第1及び第2の暗号文C,C’、前記ハッシュ値H(R)、前記検証者識別情報IDv及び時間情報Tを前記認証要求装置に送信する暗号文送信手段、
前記認証要求装置からグループ署名GSを受信するグループ署名受信手段、
このグループ署名GSを前記グループ署名検証鍵KGvに基づいて検証する検証手段、
この検証結果を出力する検証結果出力手段、
として機能させるためのプログラム。 The broadcast encryption / decryption key Ki corresponding to the broadcast encryption / decryption key Kv generated based on the broadcast encryption method and the expiration date Exp are input so that only a valid decryption key set can be decrypted. A first decryption key storage means for storing the broadcast encryption / decryption key Ki and the expiration date Exp;
First member key storage means for storing a group signature member key KGi when a group signature member key KGi corresponding to the group signature verification key KGv is input;
A first ciphertext C obtained by encrypting concatenated data R‖IDv‖T of a random message R, verifier identification information IDv, and current time information T based on the broadcast-type encryption key Kv; Two ciphertexts C and C ′ with a second ciphertext C ′ obtained by encrypting the signature target message M based on the message R, a hash value H generated from the message R by a one-way function (R), a ciphertext receiving means for receiving verifier identification information IDv and time information T;
Ciphertext decryption means for decrypting the first ciphertext C based on the broadcast encryption / decryption key Ki to obtain concatenated data R′‖IDv′‖T ′;
It is verified whether or not the time information T ′ in the concatenated data matches the received time information T, and whether or not the time information T ′ has passed the expiration date Exp in the first decryption key storage means. Expiry date verification means,
Identification information verification means for verifying whether the verifier identification information IDv ′ in the concatenated data matches the received verifier identification information IDv;
Hash value verification means for verifying whether or not the hash value H (R ′) generated based on the message R ′ in the concatenated data matches the received hash value H (R);
As a result of the verification by the expiration date verification unit, when the time information T ′ does not exceed the expiration date Exp, the verification results of the expiration date verification unit, the identification information verification unit, and the hash value verification unit match. A second ciphertext decryption means for decrypting the second ciphertext C ′ based on the message R ′ obtained by the decryption,
Group signature generation means for generating a group signature GS for the signature target message M ′ obtained by decrypting the second ciphertext C ′ based on the group signature member key KGi;
Group signature transmission means for transmitting the group signature GS to the transmission source of the ciphertext C, C ′, the hash value H (R), the verifier identification information IDv, and the time information T;
Is a program used for a computer of an authentication verification device capable of communicating with the authentication requesting device.
The computer,
An internal clock device for generating current time information T;
A first writing means for writing the broadcast encryption / encryption key Kv into a memory when the broadcast encryption / encryption key Kv is input;
A second writing means for writing the group signature verification key KGv into the memory when the group signature verification key KGv generated based on the group signature method is input;
Signature target message generating means for generating a signature target message M to be a target of a group signature when the broadcast type encryption key Kv and the group signature verification key KGv are input;
Verifier identification information writing means for writing the unique verifier identification information IDv into the memory;
Message generating means for generating a random message R when the broadcast encryption key Kv and the group signature verification key KGv are input;
Concatenated data generating means for concatenating the message R, the verifier identification information IDv and the time information T to generate concatenated data R‖IDv‖T
First ciphertext generating means for encrypting the concatenated data R‖IDv‖T based on the broadcast encryption key Kv and generating a first ciphertext C;
Second ciphertext generating means for encrypting the signature target message M based on the message R and generating a second ciphertext C ′;
A hash value generating means for generating a hash value H (R) of the message R by a one-way function H;
Ciphertext transmitting means for transmitting the first and second ciphertexts C and C ′, the hash value H (R), the verifier identification information IDv, and the time information T to the authentication requesting device;
Group signature receiving means for receiving a group signature GS from the authentication requesting device;
Verification means for verifying the group signature GS based on the group signature verification key KGv;
Verification result output means for outputting the verification result,
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005146066A JP4744929B2 (en) | 2005-05-18 | 2005-05-18 | Anonymous authentication system, device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005146066A JP4744929B2 (en) | 2005-05-18 | 2005-05-18 | Anonymous authentication system, device and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006324929A JP2006324929A (en) | 2006-11-30 |
JP4744929B2 true JP4744929B2 (en) | 2011-08-10 |
Family
ID=37544274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005146066A Active JP4744929B2 (en) | 2005-05-18 | 2005-05-18 | Anonymous authentication system, device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4744929B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4796106B2 (en) * | 2008-09-12 | 2011-10-19 | 株式会社東芝 | Anonymous roaming service system, apparatus and program |
CN112468304B (en) * | 2020-11-27 | 2024-05-03 | 湖南赛吉智慧城市建设管理有限公司 | Data encryption method, device, computer equipment and storage medium |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI246298B (en) * | 2002-04-30 | 2005-12-21 | Ibm | Cryptographic communication system, key distribution server and terminal device constituting the system, and method for sharing key |
US20040014422A1 (en) * | 2002-07-19 | 2004-01-22 | Nokia Corporation | Method and system for handovers using service description data |
-
2005
- 2005-05-18 JP JP2005146066A patent/JP4744929B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006324929A (en) | 2006-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Boldyreva et al. | Identity-based encryption with efficient revocation | |
Chow et al. | Dynamic secure cloud storage with provenance | |
US10805076B2 (en) | Information processing apparatus, server apparatus, and computer program product | |
CN113014392A (en) | Block chain-based digital certificate management method, system, equipment and storage medium | |
US20050086504A1 (en) | Method of authenticating device using certificate, and digital content processing device for performing device authentication using the same | |
CN101573910A (en) | Device and method of generating and distributing access permission to digital object | |
JP5389212B2 (en) | Re-ciphertext verification program, re-encryption device, and re-encryption system | |
JP2008512066A (en) | Cryptographic digital certificate revocation | |
JP2008524931A (en) | Multiple certificate revocation using encrypted certificate data for certificate validity / invalidity certification | |
US20070124584A1 (en) | Proving ownership of shared information to a third party | |
JP2012256083A (en) | Certificate-based encryption and public key infrastructure | |
US9813386B2 (en) | Cooperation service providing system and server apparatus | |
KR20080048764A (en) | Method and apparatus for signing right object by proxy and issuing proxy-certificate | |
CN111130777A (en) | Issuing management method and system for short-lived certificate | |
JP4733497B2 (en) | CONTENT DISTRIBUTION DEVICE, LICENSE ISSUING DEVICE, BILLING DEVICE AND CONTENT VIEWING TERMINAL, LICENSE REQUEST GENERATION PROGRAM, LICENSE GENERATION PROGRAM, AND BILLING PROGRAM | |
WO2010013699A1 (en) | Signature system | |
JP5988747B2 (en) | Key management device, application signature adding device, receiving terminal, and program thereof | |
JP4744929B2 (en) | Anonymous authentication system, device and program | |
JP4791828B2 (en) | Group signature system, apparatus, program and method | |
Zhao et al. | Communication-efficient revocable identity-based signature from multilinear maps | |
JP2008148132A (en) | Data distribution system, apparatus and program | |
JP4533636B2 (en) | Digital signature system, digital signature management apparatus, digital signature management method and program | |
JP2005020623A (en) | Content distribution server and its program, license issue server and its program, content decoding terminal and its program, and content distribution method and content decoding method | |
JP2003248627A (en) | File access control method, program, and storage medium | |
Kiyomoto et al. | Anonymous attribute authentication scheme using self-blindable certificates |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080408 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110419 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110511 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4744929 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |