JPH08149124A - ゼロ知識証明プロトコルを利用した情報配送方法およびシステム - Google Patents

ゼロ知識証明プロトコルを利用した情報配送方法およびシステム

Info

Publication number
JPH08149124A
JPH08149124A JP7047115A JP4711595A JPH08149124A JP H08149124 A JPH08149124 A JP H08149124A JP 7047115 A JP7047115 A JP 7047115A JP 4711595 A JP4711595 A JP 4711595A JP H08149124 A JPH08149124 A JP H08149124A
Authority
JP
Japan
Prior art keywords
information
user
sentence
encryption
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7047115A
Other languages
English (en)
Other versions
JP3314900B2 (ja
Inventor
Masasuki Kanda
雅透 神田
Kiyoshi Yamanaka
喜義 山中
Yoichi Takashima
洋一 高嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP04711595A priority Critical patent/JP3314900B2/ja
Publication of JPH08149124A publication Critical patent/JPH08149124A/ja
Application granted granted Critical
Publication of JP3314900B2 publication Critical patent/JP3314900B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【目的】 情報提供者から通信回線により利用者に情報
を提供する場合、利用者の正当性と、情報配送の確実性
と、配送情報の正当性を保証し、配送情報や受信報告の
改竄等の不正行為を防止し、後日これらを証明できる情
報配送方法およびシステム。 【構成】 利用者が情報提供者に情報の配送を要求した
時に、情報提供者がゼロ知識証明プロトコルにしたがっ
て利用者の利用者認証を行なう過程と、情報提供者が利
用者に配送する情報Mをゼロ知識証明プロトコル中にお
ける検査文Eに含めて送信し、利用者に情報を1ビット
または複数ビット単位で配送する過程と、ゼロ知識証明
プロトコルの通信履歴データHを情報提供者が記録管理
する過程と、を同時に行なう。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、電気通信システムを用
いて利用者が要求した情報を情報提供者が提供する場合
に、情報提供者が利用者認証により利用者の正当性を認
証しつつ、かつ利用者に要求された情報を利用者まで確
実に配送するとともに、後日利用者から要求した情報を
受信していないなどの異議申し立てに対して、情報提供
者が間違いなく要求された情報を利用者に配送し、かつ
利用者が受信している事実を証明できるようにするため
のものであり、特に有料情報提供サービスや配達証明サ
ービスなどに有用な情報配送方法およびシステムに関す
る。
【0002】
【従来の技術】従来、代表的な認証方法としてはシステ
ム利用者の正当性を検査する利用者認証方式と、情報が
正当なものであることを証明するメッセージ認証方式
と、更にこれらを組み合わせて作成した情報が正当なも
のであることを情報作成者が保証するディジタル署名方
式がある。ここで、簡単に利用者認証方式とメッセージ
認証方式とディジタル署名方式について、それぞれ図を
参照しながら説明する。
【0003】図1(a)は利用者認証方式の代表的な例
であるFiat Shamir 法(A.Fiat andA.Shamir:“How to
prove yourself,practical solutions to identificati
onand signature problems”,Proc. of Crypto' 86,19
86.5並びに米国特許第4,748,668 号)による認証方式の
概念図である。
【0004】このFiat Shamir 法によれば、秘密情報s
を所有している者(以下、証明者という)が検証者に対
してその正当性を証明しようとしたとき、N(=pq:
p,qは互いに異なる大きな素数)とI(=s2 (mod
N))を証明者の公開情報とし、sとp,qを証明者の
秘密情報として以下のように認証される。
【0005】まず始めに証明者が乱数Rを生成させ、初
期応答文X=R2 (mod N)を計算し、検証者にXを送
る。前記Xを受信した検証者は検査文eとしてランダム
に0または1を選び、証明者にeを送る。前記eを受信
した証明者は、応答文Y=Rse (mod N)を計算し、
検証者にYを送る。前記Yを受信した検証者は、検証式
2 =X×Ie (mod N)が成立するかを検証する。
【0006】ここまでを1ラウンドとして、これをtラ
ウンド繰り返すことにより、秘密情報sを知らない第三
者が検証者の検証式をクリアできる確率は(1/2t
となる。したがって、十分に大きなtにおいて正常に認
証が終了した場合、検証者は検証相手(証明者)を秘密
情報sを所有している正当な証明者であると判断して構
わない。
【0007】なお、この認証方式は一般にゼロ知識証明
に基づく認証方式と呼ばれ、証明者は検証者に対して秘
密情報sを所有している事実だけを伝え、秘密情報sに
関するその他の内容は一切漏らさないというメリットが
ある。
【0008】しかし、Fiat Shamir 法では証明者と検証
者との通信履歴が、後日検証者が証明者を認証したこと
の証拠にならないという問題があった。そのため、この
問題に対する解決方法としては桜井(特開平5−123
21号)による認証方式が提案されている。この認証方
式によれば、検証者が証明者を認証した後でも検証者が
証明者を本当に認証したことの証拠が残るとされてい
る。
【0009】しかし、ここで証拠として残るのはあくま
で検証者が証明者を通信を介して認証したという事実に
ついてのみであり、この認証事実の他は通信内容を始め
としてどのような通信が行われたのかについて何ら言及
するものではない。また、認証事実の証拠として通信系
列全てを記録保管するため、検証者が記録保管しておか
なければならない情報量が多いという欠点もある。
【0010】次に、図1(b)は、メッセージ認証の一
例である認証子法による認証方式の概念図である。この
認証方式によれば、メッセージMを送信したい証明者は
秘密鍵Kh をパラメータとするハッシュ関数hを利用し
てメッセージMに対する認証子hk (M)を作成し、前
記メッセージMと共に前記認証子を送信相手である検証
者に送信する。検証者はあらかじめ証明者と同じ秘密鍵
h を秘密裏に共有しているので、受信したメッセージ
から上記と同じように秘密鍵Kh を用いて認証子を作成
し、受信した認証子と照合検査する。この照合に成功す
れば、受信したメッセージの正当性が保証される。これ
は秘密鍵Kh を知らなければ、任意のメッセージに対す
る正しい認証子は作成できないためである。
【0011】しかし、上記の利用者認証、メッセージ認
証は共に、基本的には第三者による不正行為を防止する
ことが最大の目的であり、前記利用者認証が正常に終了
したことで保証されるのは、あくまで証明者が正当な秘
密情報の所有者であること、すなわち第三者が不正に利
用していないということだけであり、また前記メッセー
ジ認証において照合検査に成功したことで保証されるの
は、第三者によるメッセージの改竄などの不正行為が行
われていないということだけである。したがって、上記
の2つの認証方式は共に、基本的には第三者の不正行為
に対してのみ有効であり、証明者もしくは検証者による
不正行為に対してはまるで効力を持たないのが欠点であ
る。
【0012】次に、図1(c)はディジタル署名の一例
であるRSA署名法(R.L.Rivest,A.Shamir,L.Adlema
n,“A method for obtaining digital signatures and
public-key cryptosystem ”,Comm. ACM, vol.21, N
o.2,1978.2)の概念図である。
【0013】RSA署名法によれば、eとN(=pq:
p,qは互いに異なる大きな素数)を署名者の公開情
報、d[e×d(mod(p-1)(q-1))=1]とp,qを署名
者の秘密情報として以下のように認証される。
【0014】まず署名者は、メッセージMを確かに署名
者が作成したものであることを保証するために署名文C
=Md (mod N)を計算し、Cを検証者に送信する。前
記Cを受信した検証者はM=Ce (mod N)を計算し、
得られたメッセージMの正当性を判断する。この時、得
られたメッセージMが正当であると判断されれば、受信
したメッセージMが署名者により間違いなく作成された
ものであることが保証される。
【0015】これは秘密情報dを知らなければ任意のメ
ッセージに対する正しい署名文を作成できないためであ
り、しかも秘密情報dは各個人固有のもので一人ずつ異
なるため、署名者自体も特定されることになるからであ
る。したがって、第三者や検証者がメッセージ内容を改
竄したり、あるいは署名者がメッセージ内容を否定した
りするなどの不正行為は困難であると考えられている。
【0016】しかし、これはあくまでメッセージのやり
取りが正常に終了した時点以後から効力が生じるもので
あり、それ以前、すなわち署名者からみて送信した署名
文Cが確実に検証者に届いているかどうかの保証は何も
ないため、検証者に署名文Cを受信していないと主張さ
れてしまえば、署名者にはその主張に対抗する手段がな
いのが欠点である。
【0017】
【発明が解決しようとする課題】利用者が要求した情報
を情報提供者が提供する場合には以下の4条件、すなわ
ち、(1)正当な利用者であることを保証する利用者認
証、(2)情報提供者は利用者が要求した情報を確実に
提供し、かつ利用者が提供された情報を受信したことを
保証する配送証明、(3)提供した情報が正当なもので
あり、改竄などの不正行為を防止できる内容照明、
(4)後日、必要に応じて情報提供者が調停者に通信履
歴などの証拠を提示することにより(1)〜(3)のす
べてについて証明できること、を満たすことが必要であ
る。
【0018】しかし、従来方式で説明したようにFiat S
hamir 法では(1)のみ、桜井(特開平5−12321
号)の方式では(1)と(4)の一部(利用者認証の証
拠のみ)、メッセージ証拠では(3)の一部のみ(情報
が正当である保証のみ)、RSA署名法では(3)のみ
が満たされるだけであるため、ある種の不正行為、特に
(2)のように利用者が提供された情報を受信している
にもかかわらず、受信していないというような不当な主
張に対して、情報提供者は全く対抗できないという欠点
がある。
【0019】本発明の目的は、情報提供者から利用者
(カード、利用者端末等を含む)に対して必要なメッセ
ージを送信する場合に、従来方式では満たせなかった上
記の4条件すべてを満たすことができるゼロ知識証明プ
ロトコルを利用した情報配送方法およびシステムを提供
することである。
【0020】
【課題を解決するための手段】本発明の一側面による
と、少なくとも情報提供者と利用者とを含むシステムに
おいて、利用者が情報提供者に情報の配送を要求した時
に、情報提供者が、ゼロ知識証明プロトコルにしたがっ
て利用者の利用者認証を行なう過程と、情報提供者が利
用者に配送する情報Mをゼロ知識証明プロトコル中にお
ける検査文Eに含めて送信し、利用者に情報を1ビット
または複数ビット単位で配送する過程と、情報提供者
が、ゼロ知識証明プロトコルの通信履歴データHを記録
管理する過程とを同時に行なうことを特徴とする情報配
送方法が提供される。
【0021】また、本発明の他の側面によると、少なく
とも利用者端末と情報提供者端末とを含むシステムであ
って、利用者端末は、情報提供者端末との間の通信を制
御する利用者通信制御手段と、利用者が秘密に保持すべ
き秘密情報を蓄積しておく利用者秘密情報蓄積手段と、
乱数を発生する乱数発生手段と、前記利用者通信制御手
段を介して通信される初期応答文と応答文を前記秘密情
報と乱数に基づいて生成する利用者演算手段とを有し、
情報提供者端末は、利用者端末との間の通信を制御する
情報提供者通信制御手段と、前記情報提供者通信制御手
段を介して利用者に提供する情報を蓄積しておく情報デ
ータベースと、前記情報提供者通信制御手段を介して利
用者の認証を行なう検証手段とを有することを特徴とす
る情報配送システムが提供される。
【0022】また、本発明の他の側面によると、少なく
とも利用者端末と情報提供者端末とを含むシステムであ
って、利用者端末は、情報提供者端末との間の通信を制
御する利用者通信制御手段と、利用者が秘密に保持すべ
き秘密情報を蓄積しておく利用者秘密情報蓄積手段と、
前記利用者通信制御手段を介して情報提供者端末との間
で暗号通信を行う利用者共通鍵暗号手段と、乱数を発生
する乱数発生手段と、前記利用者通信制御手段を介して
送信される初期応答文と応答文と秘密鍵を生成する利用
者演算手段と、前記利用者通信制御手段を介して情報提
供者から配送された情報を蓄積する情報蓄積手段とを有
し、情報提供者端末は、利用者端末との間の通信を制御
する情報提供者通信制御手段と、前記情報提供者通信制
御手段を介して利用者に提供する情報を蓄積しておく情
報データベースと、秘密鍵と検査文を生成する情報提供
者演算手段と、前記情報提供者通信制御手段を介して利
用者端末との間で暗号通信を行なう情報提供者共通鍵暗
号手段と、前記情報提供者通信制御手段を介して利用者
の認証を行なう検証手段とを有することを特徴とする情
報配送システムが提供される。
【0023】
【作用】本発明によれば、第一に情報提供者による利用
者の認証方法としてゼロ知識証明プロトコルを利用して
いるため、ゼロ知識証明プロトコルの目的や従来からの
利用方法からいっても、利用者が正当なカードを利用し
ていなければ情報提供者の検証をクリアし続けることは
ほとんど不可能であり、認証段階でほぼ完全に拒絶され
る。
【0024】第二に情報提供者から配送情報を利用者へ
配送する部分では、配送情報をゼロ知識証明プロトコル
の検査文に含めて配送を行なっているため、ゼロ知識証
明プロトコルが正常に終了すれば、カード上において間
違いなく検査文、すなわち配送情報を受信・記録し、適
正な処理をしていたことになる。また、途中で情報提供
者の検証に失敗した場合にはそれ以降の認証は打ち切ら
れ、残りの検査文は配送されないため、利用者が知るこ
とのできる配送情報は検証に失敗する以前のものに限ら
れる。
【0025】第三に通信履歴を記録管理することにより
情報提供者と利用者との間で正常な認証が行なわれたこ
とを情報提供者は確認できるので、第二の効果と合わせ
て利用者は配送情報を受信し、かつカードの蓄積手段に
配送情報が記録されているはずである。このことは、情
報提供者から開示される通信履歴と利用者から提出され
るカードに記録された配送情報とを照合することによっ
て、利用者が情報暗号化用秘密鍵を生成できる状態であ
るかどうかを判定できる。なお、この場合、利用者から
カードの提出がない場合には、情報暗号化用秘密鍵は生
成できる状態にあると判定する。
【0026】したがって、不正な利用者がシステムを利
用したり、あるいは配送情報のすべてを不正に搾取した
りすることはできない。また、正常に認証が終了してい
るにも関わらず利用者が配送情報を受信していないなど
という不当な主張に対して、情報提供者は通信履歴を開
示するとともに、利用者にカードを提出するよう要求す
ることにより対抗できる。
【0027】
【実施例】以下、本発明の実施例を図面を用いて説明す
る。
【0028】図2は、本発明の第1実施例における情報
配送システムの構成例を示す図である。図2において、
1は利用者が所有するカードであり、11はカード固有
の秘密情報を蓄積する秘密情報蓄積手段、12はゼロ知
識証明プロトコルで利用する乱数発生手段、13はプロ
トコルを実行するうえで必要な演算を行う演算手段、1
4は情報提供者からの情報を記録する蓄積手段である。
なお、これらの手段はいずれもIC等の耐タンパー装置
上に組み込まれており、物理的に安全である。
【0029】2は利用者が使用する固定型の利用者端末
であり、21はカード挿入手段、22は情報提供者から
の情報を蓄積する蓄積手段、23は情報を利用する利用
手段、24は情報提供者との間で通信を行なうための通
信制御手段である。
【0030】3は利用者に配送情報の配送する情報提供
者端末であり、31は配送情報を蓄積する情報蓄積手
段、32は配送情報を分割して検査文の組を作成する情
報分割手段、33はゼロ知識証明プロトコルの検証を行
なう検証手段、34は通信履歴や認証記録を記録管理し
ておく履歴管理手段、35は利用者端末との間で通信を
行うための通信制御手段である。
【0031】次に、図2のシステムにおけるゼロ知識証
明プロトコルを利用した情報配送方法について、図3お
よび図4に示す処理フローチャートと配送情報の例を基
に説明する。なお、ここではゼロ知識証明プロトコルと
してFiat Shamir 法を用いることとし、準備段階とし
て、信頼できるセンタが各利用者ごとにP,Q,N,
I,sを設定し、このうちNとIを利用者の公開情報と
して公開し、sを利用者の秘密情報としてカード1の秘
密情報蓄積手段11に蓄積して利用者に配布する。ここ
で、PとQは互いに異なる大きな素数であり、N=PQ
である。また、I=s2 (mod N)が成立している。
【0032】情報暗号化用秘密鍵Wで暗号化されたメッ
セージW(m)をすでに利用者端末2の蓄積手段22に
蓄積している利用者に対して、前記情報暗号化用秘密鍵
Wを配送情報として配送する場合の例を説明する。
【0033】まず、利用者は、自分のカード1をカード
挿入手段21に挿入後、情報提供者に情報暗号化用秘密
鍵Wの配送を依頼する。(S1)。
【0034】情報提供者は、情報蓄積手段31に蓄積さ
れている情報暗号化用秘密鍵Wを図4に示す配送情報5
0のように情報分割手段32においてgビットごとに分
割し、gビットで構成される検査文ejiの組を作成する
(S2)。ここで、情報暗号化用秘密鍵Wのビット数を
w とすると、検査文の組はLw /g個作成されること
になり、iは1からgまで、jは1からLw /gまでの
値をとる。
【0035】次に、カード1は、乱数発生手段12にお
いてg個の乱数Ri を生成し(S3)、それぞれについ
て演算手段13においてXi =Ri 2 (mod N)を計算
し、Xi を通信制御手段24を経由して情報提供者に送
信する(S4)。
【0036】通信制御手段35を経由してXi を受信し
た情報提供者は、j組目の検査文ejiを通信制御手段3
5を経由してカード1に送信する(S5)。
【0037】カード1では、通信制御手段24を経由し
て受信した検査文ejiのそれぞれのビットiに対し、演
算手段13において0ならYi =Ri を、1なら秘密情
報蓄積手段11に蓄積されている秘密情報sを用いてY
i =sRi (mod N)を計算し、蓄積手段14に検査文
jiを記録した後、通信制御手段24を経由してYi
情報提供者に送信する(S6)。
【0038】情報提供者は、通信制御手段35を経由し
て受信した前記Xi と前記Yi 、および前記検査文eji
からそれぞれのビットiに対し、検証手段33において
検査ビットが0ならば検証式Yi 2 =Xi (mod N)
を、1ならば検証式Yi 2 =Xi I(mod N)を満たす
かどうかを検証する(S7)。この検証に失敗した場合
には、カード1は不正であるとみなして、それ以降の利
用を中止(S8)し、成功した場合には前記Xi と前記
i 、および前記検査文ejiを通信履歴として履歴管理
手段34に記録管理する(S9)。そして、上記S3以
降のステップを情報分割手段32で作成したLw /g個
の検査文ejiの組すべてを送信し終わるまで繰り返し
(S10)、最終的に情報提供者は、情報分割手段32
で作成したLw /g個の検査文ejiの組すべての送信が
終了した時点をもって情報暗号化用秘密鍵Wの配送が終
了したとみなす(S11)。
【0039】カード1では蓄積手段14に記録されたL
w /g個の検査文ejiの組すべてを結合し、情報暗号化
用秘密鍵Wを複製した(S12)後、利用者端末2の利
用手段23に転送する(S13)。利用手段23では転
送されてきた情報暗号化用秘密鍵Wを用いて蓄積手段2
2に蓄積されている暗号化されたメッセージW(m)を
復号し、メッセージmを得ることができる(S14)。
【0040】以上の説明は、利用者に対して確実に必要
な情報を配送し、かつ利用者のカードに記録されたこと
を情報提供者が確認できるものである。例えば、メッセ
ージmを著作物などの有料情報とした時、情報暗号化用
秘密鍵Wで暗号化したW(m)をあらかじめ利用者に送
信し、またはCD−ROM等の媒体に記録して配布して
おき、その後情報提供者が前記情報暗号化用秘密鍵Wを
上記の配送方法によって送信することにより、メッセー
ジmを間違いなく購入した利用者に対して著作権使用料
などの情報料を徴収するときに、情報提供者は履歴管理
手段34に記録管理された通信履歴を利用できる。ま
た、電子メールにおいて郵便内容mを情報暗号化用秘密
鍵Wで暗号化し、あらかじめ配達先にW(m)を送信し
ておき、後日電子メール管理者から配達先に対して前記
情報暗号化用秘密鍵Wを上記の配送方法により送信する
ことにより、電子メール管理者は電子メールの配達証明
に利用できるなど、さまざまな利用が可能である。
【0041】以上説明したとおり、この第1実施例で
は、第一に情報提供者による利用者の認証方法としてゼ
ロ知識証明プロトコルを利用しているため、ゼロ知識証
明プロトコルの目的や従来からの利用方法からいって
も、利用者が正当なカードを利用していなければ情報提
供者の検証をクリアし続けることはほとんど不可能であ
り、認証段階でほぼ完全に拒絶される。
【0042】第二に情報提供者から配送情報を利用者へ
配送する部分では、配送情報をゼロ知識証明プロトコル
の検査文に含めて配送を行なっているため、ゼロ知識証
明プロトコルが正常に終了すれば、カード上において間
違いなく検査文、すなわち配送情報を受信・記録し、適
正な処理をしていたことになる。また、途中で情報提供
者の検証に失敗した場合にはそれ以降の認証は打ち切ら
れ、残りの検査文は配送されないため、利用者が知るこ
とのできる配送情報は検証に失敗する以前のものに限ら
れる。
【0043】第三に通信履歴(前記Xi 、前記Yi 、前
記検査文eji)を記録管理することにより情報提供者と
利用者との間で正常な認証が行なわれたことを情報提供
者は確認できるので、第二の効果と合わせて利用者は配
送情報を受信し、かつカードの蓄積手段14に配送情報
が記録されているはずである。このことは、情報提供者
から開示される通信履歴と利用者から提出されるカード
に記録された配送情報とを照合することによって、利用
者が情報暗号化用秘密鍵Wを生成できる状態であるかど
うかを判定できる。なお、この場合、利用者からカード
の提出がない場合には、情報暗号化用秘密鍵Wは生成で
きる状態にあると判定する。
【0044】したがって、不正な利用者がシステムを利
用したり、あるいは配送情報のすべてを不正に搾取した
りすることはできない。また、正常に認証が終了してい
るにも関わらず利用者が配送情報を受信していないなど
という不当な主張に対して、情報提供者は通信履歴を開
示するとともに、利用者にカードを提出するよう要求す
ることにより対抗できる。
【0045】なお当然のことであるが、上記の実施例に
おいても、配送情報すべてを分割して検査文ejiを生成
する必要性はなく、例えば、配送情報の始めからgnビ
ット目までを検査文eji(j=1,…,n)とし、n組
の検査文ejiによるゼロ知識証明プロトコルが終了した
後、配送情報の残りの部分を一括して送信するような情
報の配送方法も考えられる。この場合、nの値を様々に
変えることにより、ゼロ知識証明におけるセキュリティ
レベルを変えられるうえ、通信量を削減できるといった
特徴がある。例えばnをLw /gの半分とすれば、通信
量もほぼ半分となる。
【0046】また、検査文ejiの生成方法についても、
単純に配送情報を分割して生成するだけでなく、ダミー
情報を付加したり、あるいは暗号化を行ったりして生成
することも可能である。この場合、カード内にあらかじ
め設定されている秘密情報、もしくは蓄積された検査文
jiから自律的にダミー情報を除去、あるいは復号を行
ったりして元の配送情報に復元する機能を持たせること
により、ゼロ知識証明を正常に終了しないかぎり、前記
配送情報を取り出せないようにできる。したがって、第
三者もしくは利用者が検査文ejiを不正に搾取したり、
大部分の検査文ejiを受信した後、故意に認証を失敗さ
せ、検査文ejiのうち配送されてこない残りの部分を予
測したりする等の不正行為を行ない、情報提供者が配送
に失敗したと判断あるいは気がつかないうちに、第三者
もしくは利用者が配送情報を獲得してしまうことがない
ようにできる。
【0047】なお、上述の第1実施例による情報配送方
法およびシステムでは、ゼロ知識証明プロトコルに必要
な情報はすべて耐タンパー装置上に組み込まれており、
実際の情報配送においても耐タンパー装置上に組み込ま
れた手段のみを用いて実行されるため、前記情報が外部
に漏れることはなく、たとえカード所有者であっても前
記情報を知ることができない。したがって、カード自体
を偽造したり、あるいはカード上の記録情報を書き変え
たりする等の不正行為を防止できる。
【0048】次に本発明の第2実施例について説明す
る。
【0049】図5は本発明の第2実施例における情報配
送システムの構成を示すブロック図であり、10は情報
提供者端末20から情報の提供を受ける利用者の端末
(利用者端末)を示し、100は通信回線30を制御す
る通信制御手段、101は利用者の秘密情報を蓄積して
おく利用者秘密情報蓄積手段、102は利用者が必要な
情報を一時的に蓄積する一時メモリ、103は利用者が
乱数を生成するための乱数発生手段、104は利用者が
必要な演算を行う機能を有する演算手段、105は共通
鍵暗号方法(例えば、DES,FEAL)による暗号通
信を行うための共通鍵暗号手段、106は利用者が受信
した情報を出力もしくは利用する情報出力/利用手段で
ある。
【0050】また、20は情報を提供する情報提供者の
端末(情報提供者端末)を示し、200は通信回線30
を制御する通信制御手段、201は情報提供者の秘密情
報を蓄積しておく情報提供者秘密情報蓄積手段、202
は提供する情報が蓄積してある情報データベース、20
3は情報提供者が必要な情報を一時的に蓄積する一時メ
モリ、204は情報提供者が必要な演算を行う機能を有
する演算手段、205は共通鍵暗号方法による暗号通信
を行うための共通鍵暗号手段、206はFiat Shamir 法
に基づいて通信系列の正当性を検証する検証手段であ
る。30は利用者と情報提供者とを通信で接続する通信
回線を表す。
【0051】以下、図6のフローチャートにしたがって
動作手順を説明する。
【0052】まず基準段階として、信頼できるセンタが
各利用者ごとにp1,q1,I,sを設定し、このうち
N1とIを利用者の公開情報として公開し、sを利用者
の秘密情報として利用者秘密情報蓄積手段101に蓄積
して利用者に秘密裏に配布する。ここで、p1とq1は
それぞれ互いに異なる大きな素数であり、N1=p1×
q1である。また、I=s2 (mod N1)が成立してい
る。
【0053】さらに、各情報提供者と各利用者の間には
システム秘密鍵SKを設定し、利用者秘密情報蓄積手段
101および情報提供者秘密情報蓄積手段201に登録
しておく。このシステム秘密鍵SKは、各情報提供者と
各利用者の間ごとに異なる方が好ましいことはいうまで
もないが、システム設計上、システム全体の共通鍵とし
て1種類あるいは複数種類のシステム秘密鍵を複数の利
用者で利用しても構わない。
【0054】(1)配送確認ステップ 利用者端末10は、乱数発生手段103によりg個の乱
数Ri (i=1,2,…,g)を生成し、一時メモリ1
02に蓄積し(S101)、その後、それぞれの乱数に
ついて演算手段104により初期応答文Xi =R
i 2 (mod N1)(i=1,2,…,g)を計算し(S
102)、通信回線30を介して情報提供者端末20に
送信する(S103)。
【0055】情報提供者端末20は、受信した初期応答
文Xi (i=1,2,…,g)を一時メモリ203に蓄
積し(S104)、その後、利用者端末10に配送する
情報Mを情報データベース202より取り出して(S1
05)、情報提供者秘密情報蓄積手段201に蓄積され
たシステム秘密鍵SKを秘密鍵として、共通鍵暗号手段
205により暗号化した暗号文C=ESK(M)を通信回
線30を介して利用者端末10に送信する(S10
6)。
【0056】利用者端末10は、受信した暗号文Cを一
時メモリ102に蓄積し(S107)、その後、演算手
段104において暗号文Cを用いてgビットの情報圧縮
関数であるハッシュ関数hにより検査文ei =h(C)
(i=1,2,…,g)を生成する(S108)。生成
した検査文ei のそれぞれのビットiに対し、一時メモ
リ102に蓄積された乱数Ri と利用者秘密情報蓄積手
段101に蓄積された利用者の秘密情報sとからei
0ならばYi =Ri を、ei =1ならばYi =sR
i (mod N1)を計算し(S109)、応答文Yi (i
=1,2,…,g)として情報提供者端末20に通信回
線30を介して送信する(S110)。
【0057】情報提供者端末20は、受信した応答文Y
i (i=1,2,…,g)を一時メモリ203に蓄積し
(S111)、その後、演算手段204において暗号文
Cを用いてgビットの情報圧縮関数であるハッシュ関数
hにより検査文ei =h(C)(i=1,2,…,g)
を生成する(S112)。検証手段206において利用
者の公開情報Iおよび一時メモリ203に蓄積された初
期応答文Xi と応答文Yi と検査文ei とからそれぞれ
のビットiに対し、ei =0ならば検証式Yi 2 =Xi
(mod N1)を、ei =1ならば検証式Yi 2 =Xi ×
I(mod N1)を満たすかどうかを検証する(S11
3)。この検証に失敗した場合には利用者は不正である
と見做してそれ以降の利用を禁止し(S114A)、成
功した場合には情報Mの配送が正常に終了したと判断す
る(S114B)。
【0058】(2)情報取り出しステップ 利用者端末1は、一時メモリ102に蓄積された暗号文
Cを利用者秘密情報蓄積手段101に蓄積されたシステ
ム秘密鍵SKを秘密鍵として共通鍵暗号手段105によ
り情報M=DSK(C)に復号して、情報出力/利用手段
106から情報Mを出力する(S115)。
【0059】上記の情報配送方法を用いて配送確認ステ
ップが正常に終了したことは、ゼロ知識証明プロトコル
による利用者認証が正常に行われたことのほかに、検査
文ei (i=1,2,…,g)が正しく生成されたこと
の証明となる。また、検査文ei (i=1,2,…,
g)は利用者端末10が受信した暗号文Cより情報圧縮
関数であるハッシュ関数を用いて生成されることから、
正しい暗号文Cを受信しなければ正しい検査文ei (i
=1,2,…,g)を生成することはできない。したが
って、検査文ei (i=1,2,…,g)を利用者が正
しく生成できることと、利用者が暗号文C(および情報
M)を正常に受信したこととは同値となる。以上の説明
から明らかなように、情報提供者は正確かつ確実に情報
を利用者に配送したことを確認できる。
【0060】なお、上記の説明において共通鍵暗号方法
を利用して暗号化/復号を行なっているが、公開鍵暗号
方法を利用しても当然構わない。また、Fiat Shamir 法
をもとに説明したが、本方法は拡張Fiat Shamir 法(太
田−岡本「Fiat-Shamir 法の高次への拡張」、電子情報
通信学会技術研究報告ISEC88−13)を始めとす
る、素因数分解困難性あるいは離散対数問題等の困難性
に安全性の根拠を置く全てのゼロ知識対話証明プロトコ
ルに応用が可能である。
【0061】次に、本発明の第3実施例について説明す
る。
【0062】図7は本発明の第3の実施例における情報
配送システムの構成を示すブロック図であり、10は情
報提供者20から情報の提供を受ける利用者の端末(利
用者端末)を示し、構成手段は図5に示す第2実施例と
同様である。20は情報を提供する情報提供者の端末
(情報提供者端末)を示し、200から206までの構
成手段は第2実施例と同様であり、207は情報任意ビ
ット長の複数のブロックに分割し、蓄積する情報分割手
段、208は後日情報を利用者に配送した事実を証明す
る証拠としての通信履歴を記録管理する通信履歴ファイ
ルである。30は第2実施例と同様に通信回線を表す。
40は後日、情報提供者が通信履歴ファイル208に記
録管理している通信履歴について、中立的立場によりそ
の通信履歴の正当性を判定する調停者の端末(調停者端
末)を表し、401は必要な演算を行う機能を有する演
算手段、402は調停者が必要な情報を一時的に蓄積す
る一時メモリ、403は正当性の判定を依頼された通信
履歴についてその正当性を検証する検証手段、404は
情報を任意ビット長の複数のブロックに分割し、蓄積す
る情報分割手段である。
【0063】以下、図8のフローチャートにしたがって
配送確認ステップでの動作手順を、また、図9のフロー
チャートにしたがって調停での動作手順を説明する。
尚、準備段階は、前述した第2実施例と同様である。
【0064】(1)配送確認ステップ 情報提供者端末20は、利用者端末10に配送する情報
Mを情報データベース202から取り出し(S12
1)、情報分割手段207において情報Mを任意ビット
長サイズの複数のブロックに分割し、情報ブロックMB
j (i=1,2,…,m)として蓄積する(S12
2)。ここでは説明を簡単にするため、分割したブロッ
ク数をm、全てのブロックについビット長をgで一定と
する。
【0065】これより以下の処理は第jブロックについ
てのものであり、第1ブロックから第mブロックまで各
ブロックごとに以下の処理を順次(m回)繰り返し行
う。
【0066】利用者端末10は、乱数発生手段103に
よりg個の乱数Rij(i=1,2,…,g)を生成した
後一時メモリ102に蓄積し(S123)、それぞれの
乱数について演算手段104により初期応答文Xij=R
ij 2 (mod N1)(i=1,2,…,g)を計算した後
一時メモリ102に蓄積する(S124)。その後、利
用者秘密情報蓄積手段101に蓄積されているシステム
秘密鍵SKを秘密鍵として、共通鍵暗号手段105によ
り暗号化した暗号化初期応答文CXij=ESK(Xij
(i=1,2,…,g)を通信回線30を介して情報提
供者端末20に送信する(S125)。
【0067】情報提供者端末20は、受信した暗号化初
期応答文CXij(i=1,2,…,g)を情報提供者秘
密情報蓄積手段201に蓄積されているシステム秘密鍵
SKを秘密鍵として、共通鍵暗号手段205により初期
応答文Xij=DSK(CXij)(i=1,2,…,g)に
復号して、一時メモリ203に蓄積する(S126)。
その後、情報提供者秘密情報蓄積手段201に蓄積され
ているシステム秘密鍵SKを秘密鍵として、情報分割手
段207に蓄積された情報ブロックMBj を共通鍵暗号
手段205により暗号化した暗号文ブロックCBj =E
SK(MBj )を通信回線30を介して利用者端末10に
送信する(S127)。
【0068】利用者端末10は、受信した暗号文ブロッ
クCBj を利用者秘密情報蓄積手段101に蓄積されて
いるシステム秘密鍵SKを秘密鍵として、共通鍵暗号手
段105により情報ブロックMBj =DSK(CBj )に
復号して、情報出力/利用手段106から情報ブロック
MBj を出力する(S128)。
【0069】さらに情報ブロックMBj を出力すると同
時に、演算手段104において情報ブロックMBj と一
時メモリ102に蓄積された初期応答文Xij(i=1,
2,…,g)とを用いて一方向性ランダムハッシュ関数
hにより検査文eij=h(MBj ‖X1j‖X2j‖…‖X
gj)(i=1,2,…,g)を生成し(S129)、生
成した検査文eijのそれぞれのビットiに対し、一時メ
モリ102に蓄積された乱数Rijと利用者秘密情報蓄積
手段101に蓄積された利用者の秘密情報sとからeij
=0ならばYji=Rijを、eij=1ならばYij=sRij
(mod N1)を計算して(S130)、応答文Yij(i
=1,2,…,g)として情報提供者端末20に通信回
線30を介して送信する(S131)。
【0070】情報提供者端末20は、受信した応答文Y
ij(i=1,2,…,g)を一時メモリ203に蓄積し
(S132)、その後、演算手段204において一時メ
モリ203に蓄積された初期応答文Xij(i=1,2,
…,g)と情報分割手段207に蓄積された情報ブロッ
クMBj とを用いて、一方向性ランダムハッシュ関数h
により検査文eij=h(MBj ‖X1j‖X2j‖…‖
gj)(i=1,2,…,g)を生成し、一時メモリ2
03に蓄積する(S133)。
【0071】そして、検証手段206において利用者の
公開情報Iおよび一時メモリ203に蓄積された初期応
答文Xijと応答文Yijと検査文eijとからそれぞれのビ
ットiに対し、eij=0ならば検証式Yij 2 =Xij(mo
d N1)を、eij=1ならば検証式Yij 2 =Xij×I
(mod N1)を満たすかどうかを検証する(S13
4)。この検証に失敗した場合には利用者は不正である
と見做して直ちにプロトコルの実行を中止し(S13
5)、成功した場合には全てのブロックが終了するまで
以上の処理を繰り返す(S136)。そして、第1ブロ
ックから第mブロックまでの全てのブロックについて検
証に成功した場合には、一時メモリ203に蓄積された
情報M、検査文eij、応答文Yij(i=1,2,…,
g:j=1,2,…,m)を通信履歴Hとして通信履歴
ファイル208に記録管理する(S137)。
【0072】(2)調停 後日、利用者が情報Mを受信していないと主張した場合
には、情報提供者端末20は通信履歴ファイル208に
記録管理された通信履歴Hを提示し、調停者端末40の
一時メモリ402に蓄積する(S141)。
【0073】調停者端末40は、情報分割手段404に
おいて、一時メモリ402に蓄積された通信履歴中の情
報Mについて、情報Mを複数の情報ブロックMBj (j
=1,2,…,m)に分割して蓄積する(S142)。
【0074】各ブロック(第jブロック)について、演
算手段401において利用者端末10の公開情報Iと一
時メモリ402に蓄積された通信履歴H中の検査文eij
および応答文Yijからそれぞれのビットiに対し、eij
=0ならばYij=Yij 2 (mod N1)を、eij=1なら
ばXij=Yij 2 /I(mod N1)を計算し、計算結果X
ij(i=1,2,…,g)を一時メモリ402に蓄積す
る(S143)。
【0075】次に、情報分割手段404に蓄積された情
報ブロックMBj と一時メモリ402に蓄積された計算
結果Xij(i=1,2,…,g)とから演算手段401
の一方向性ランダムハッシュ関数hにより検査文eij
h(MBj ‖X1j‖X2j‖…‖Xgj)(i=1,2,
…,g)を生成する。(S144)。
【0076】その後、検証手段403において一時メモ
リ402に蓄積された通信履歴H中の検査文eij(i=
1,2,…,g)と一致するかどうかを検査する(S1
45)。全てのブロック(第1ブロックから第mブロッ
クまでのmブロック)について一致すれば(S14
6)、通信履歴Hの正当性が保証されたこととなり(S
147)、そうでなければ通信履歴Hは無効となる(S
148)。
【0077】上記の情報配送方法を用いて配送確認ステ
ップが正常に終了したことは、ゼロ知識証明プロトコル
による利用者認証が正常に行われたことのほかに、検査
文eij(i=1,2,…,g:j=1,2,…,m)が
正しく生成されたことの証明となる。また、検査文eij
(i=1,2,…,g:j=1,2,…,m)は利用者
が受信した情報ブロックMBj (j=1,2,…,m)
と利用者が生成した初期応答文Xij(i=1,2,…,
g:j=1,2,…,m)とから一方向性ランダムハッ
シュ関数hを用いて生成されることから、正しい情報ブ
ロックMBj (j=1,2,…,m)を受信しなければ
正しい検査文eij(i=1,2,…,g:j=1,2,
…,m)を生成することはできない。したがって、検査
文eij(i=1,2,…,g:j=1,2,…,m)を
利用者が正しく生成できることと利用者が情報ブロック
MBj (j=1,2,…,m)を正常に受信したことと
は同値となる。したがって、情報提供者は正確かつ確実
に情報を利用者に配送したことを確認できる。
【0078】なお、上記の説明では、共通鍵暗号方法を
利用して暗号化/復号を行った例を説明したが、公開鍵
暗号方法を利用しても当然構わない。また、Fiat Shami
r 法をもとに説明をしたが、本方法は拡張Fiat Shamir
法(太田−岡本「Fiat-Shamir 法の高次への拡張」、電
子情報通信学会技術研究報告ISEC88−13)を始
めとする、素因数分解困難性あるいは離散対数問題等の
困難性に安全性の根拠を置く全てのゼロ知識対話証明プ
ロトコルに対応が可能である。
【0079】次に、検査文eij、応答文Yij、(i=
1,2,…,g:j=1,2,…,m)、情報Mからな
る通信履歴Hの関係では、ゼロ知識証明プロトコルにお
ける検証式と一方向性ランダムハッシュ関数とにより相
互に関係し合っているため、一部を不正に改竄するなど
して通信履歴Hを偽造することは不可能である。したが
って、通信履歴Hを記録管理することにより、情報Mを
利用者が確実に受信していることの証拠として、後日、
調停者などの中立的な第三者に提示することができる。
【0080】さらに、情報提供者端末と利用者端末との
間の通信が情報Mの分割ブロック数mと同じ回数だけ繰
り返し行われるため、途中で情報提供者の検証に失敗し
た場合にはそれ以降の通信は打ち切られ、残りの情報ブ
ロックは送信されない。すなわち、利用者が知ることの
できる情報ブロックは検証に失敗する以前のもののみに
限られるので、情報提供者の検証を失敗させた利用者は
結果として情報M全体を正しく受信することが不可能と
なる。したがって、利用者の秘密情報sを知らない不正
な利用者が不正な応答文Yij(i=1,2,…,g)を
送信する場合はもとより、応答文そのものを送信しない
ような不正行為を行い、情報提供者が情報Mを利用者に
配送した事実を証明する通信履歴Hを情報提供者が記録
管理できないにもかかわらず、利用者が情報M全体を不
正に獲得してしまうことがないようにすることが可能で
ある。
【0081】また、上記の説明では分割するブロックを
各ブロックともビット長をgで一定としたが、例えば第
1ブロックは1ビット、第2ブロックは2ビット、第3
ブロックは4ビットというようにブロックごとにビット
長サイズを変えても当然構わない。
【0082】以上の説明は、情報提供者が情報Mを正確
かつ確実に利用者に配送したことを証明できるものであ
り、例えば著作物などの有料情報を情報Mとして配送す
る場合、あるいはあらかじめ暗号化されたソフトウェア
などをCD−ROM等により無償あるいは有償で配布し
た後、暗号化されたソフトウェアを復号するための鍵を
情報Mとして配送する場合、上記の情報配送方法によっ
て情報提供者が利用者に情報Mを配送することにより、
情報提供者が記録管理する通信履歴Hを著作権使用料等
の情報料あるいはソフトウェアの販売代金を徴収すると
きの証明情報として利用できるなど、様々な利用が可能
である。
【0083】次に、本発明の第4実施例について説明す
る。
【0084】図10は本発明の第4実施例における情報
配送システムの構成を示すブロック図であり、10は情
報提供者端末20から情報の提供を受ける利用者の端末
(利用者端末)を示し、100から106までは第2実
施例と同様の構成であり、107は公開鍵暗号方法(例
えば、RSA,ElGamal )による暗号通信を行うための
公開鍵暗号手段、108は分割されたブロック情報を元
の情報再構成する情報再構成手段、109は情報提供者
から受信した情報を蓄積する情報蓄積手段である。20
は情報を提供する情報提供者の端末(情報提供者端末)
を示し、200から208までは第3実施例と同様の構
成であり、209は情報提供者が乱数を生成するための
乱数発生手段、210は公開鍵暗号方法による暗号通信
を行うための公開鍵暗号手段である。30は第2実施例
と同様に通信回線である。40は調停者端末を表し、4
01から404までは第3実施例と同様の構成であり、
405は公開鍵暗号方法による暗号化を行うための公開
鍵暗号手段である。
【0085】以下、図11のフローチャートにしたがっ
て配送確認ステップと情報取り出しステップでの動作手
順を、また図12のフローチャートにしたがって調停で
の動作手順を説明する。
【0086】まず、準備段階として、信頼できるセンタ
が各利用者ごとにp1,q1,I,s,p2,q2,P
U,SUを設定し、このうちN1,N2,I,PUを利
用者の公開情報(公開鍵)として公開し、s,SUを利
用者の秘密情報(秘密鍵)として利用者秘密情報蓄積手
段101に蓄積して利用者に秘密裏に配布する。ここ
で、(p1,q1)と(p2,q2)の各組はそれぞれ
互いに異なる大きな素数の組になっており、N1=p1
×q1、N2=p2×q2である。また、I=s2 (mo
d N1),PU×SU=1(mod (p2-1)(q2-1))が成立
している。なお、p1=p2,q1=q2としてもよ
い。
【0087】(1)配送確認ステップ 利用者端末10は、乱数発生手段103によりg×m個
の乱数Rjk(j=1,2,…,g:k=1,2,…,
m)を生成し、一時メモリ102に蓄積する(S15
1)。それぞれの乱数について演算手段104により初
期応答文Xjk=Rjk 2 (mod N1)(j=1,2,…,
g:k=1,2,…,m)を計算し(S152)、通信
回線30を介して情報提供者に送信する(S153)。
【0088】情報提供者端末20は、受信した初期応答
文Xjk(j=1,2,…,g:k=1,2,…,m)を
一時メモリ203に蓄積し(S154)、また乱数発生
手段209により乱数文Zをランダムに生成して一時メ
モリ203に蓄積する(S155)。
【0089】次に、初期応答文Xjk(j=1,2,…,
g:k=1,2,…,m)と乱数文Zとから演算手段2
04の一方向性ランダムハッシュ関数hによりgビット
サイズの情報暗号化用秘密鍵Wj =h(Z‖X11‖X21
‖…‖Xgm)(j=1,2,…,g)を生成して一時メ
モリ203に蓄積する(S156)。ここで、一般にg
の値は共通鍵暗号手段105および共通鍵暗号手段20
5で使用する秘密鍵の鍵長と等しいかそれ以上である。
その後、配送する情報Mを情報データベース202から
取り出し(S157)、情報暗号化用秘密鍵Wj (j=
1,2,…,g)を秘密鍵として共通鍵暗号手段205
により暗号文C=Ew (M)に暗号化した後、利用者端
末10に暗号文Cを通信回線30を介して送信する(S
158)。
【0090】利用者端末10は、暗号文Cを情報蓄積手
段109に受信/蓄積した後、受信した旨を通信回線3
0を介して情報提供者端末20に通知する(S15
9)。
【0091】情報提供者端末20は、一時メモリ203
に蓄積された情報暗号化用秘密鍵Wj (j=1,2,
…,g)を利用者の公開情報PUを用いて公開鍵暗号手
段210により暗号化して検査文ei =(W1 ‖W2
…‖Wg PU(mod N2)(i=1,2,…,L)を生
成する(S160)。なお、LはN2のビット長に等し
い。
【0092】次に、情報分割手段207において検査文
i (i=1,2,…,L)を複数個のブロックに分割
し、検査文ブロックとして蓄積する(S161)。ここ
では説明を簡単にするため、分割したブロック数をm、
全てのブロックについてビット長をgで一定とし、分割
した検査文を検査文ブロックeBjk(j=1,2,…,
g:k=1,2,…,m)と表す。すなわち、eBjk
(j+g(k-1))であり、例えばeB11=e1 ,eBg1=e
g ,eB12=eg+1 ,eBLm=eL のようになる。
【0093】これより以下の処理は第kブロックについ
てのものであり、第1ブロックから第mブロックまで各
ブロックごとに以下の処理を順次(m回)繰り返し行
う。
【0094】情報提供者端末20は、情報分割手段20
7に蓄積された検査文ブロックeBjk(j=1,2,
…,g)を通信回線30を介して利用者端末10に送信
する(S162)。
【0095】利用者端末10は、受信した検査文ブロッ
クeBjk(j=1,2,…,g)を一時メモリ102に
蓄積し(S163)、その後、演算手段104において
受信した検査文ブロックeBjkのそれぞれのビットjに
対し、一時メモリ102に蓄積された乱数Rjkと利用者
秘密情報蓄積手段101に蓄積された利用者の秘密情報
sとからeBjk=0ならばYjk=Rjkを、eBjk=1な
らばYjk=sRjk(mod N1)を計算して(S16
4)、応答文Yjk(j=1,2,…,g)として情報提
供者端末20に通信回線30を介して送信する(S16
5)。
【0096】情報提供者端末20は、受信した応答文Y
jk(j=1,2,…,g)を一時メモリ203に蓄積し
(S166)、その後、検証手段206において利用者
の公開情報Iおよび一時メモリ203に蓄積された初期
応答文Xjkと応答文Yjkと検査文ejkとからそれぞれの
ビットjに対し、ejk=0ならば検証式Yjk 2 =X
jk(mod N1)を、ejk=1ならば検証式Yjk 2 =Xjk
×I(mod N1)を満たすかどうかを検証する(S16
7)。この検証に失敗した場合には利用者は不正である
と見做して直ちにプロトコルの実行を中止し(S16
8)、成功した場合には全てのブロックが終了するまで
以上の処理を繰り返す(S169)。そして、第1ブロ
ックから第mブロックまでの全てのブロックについて検
証に成功した場合には、一時メモリ203に蓄積された
乱数文Z、検査文ejk、応答文Yjk(j=1,2,…,
g:k=1,2,…,m)を通信履歴Hとして通信履歴
ファイル208に記録管理する(S170)。
【0097】(2)情報取り出しステップ 利用者端末10は、情報再構成手段108において、一
時メモリ102に蓄積された検査文ブロックeBjk(j
=1,2,…,g:k=1,2,…,m)から検査文e
i (i=1,2,…,L)を再構成し(S171)、利
用者秘密情報蓄積手段101に蓄積されている利用者の
秘密情報SUを用いて公開鍵暗号手段107により復号
して情報暗号化用秘密鍵Wj =(e1 ‖e2 ‖…‖
L SU(mod N2)(j=1,2,…,g)を獲得し
た後、情報蓄積手段109に蓄積する(S172)。
【0098】最後に、情報蓄積手段109に蓄積された
情報暗号化用秘密鍵Wj (j=1,2,…,g)を秘密
鍵として、共通鍵暗号手段105により情報蓄積手段1
09に蓄積された暗号文Cを復号し、情報M=D
w (C)を情報出力/利用手段106より獲得すること
ができる(S173)。
【0099】(3)調停 後日、利用者が情報Mを受信していないと主張した場合
には、情報提供者端末20は通信履歴ファイル208に
記録管理された通信履歴Hを提示し、調停者端末40の
一時メモリ402に蓄積する(S181)。
【0100】調停者端末40は、各ブロック(第kブロ
ック)について一時メモリ402に蓄積された通信履歴
H中の検査文ejkおよび応答文Yjkからそれぞれのビッ
トjに対し、演算手段401においてejk=0ならばX
jk=Yjk 2 (mod N1)を、ejk=1ならばXjk=Yjk
2 /I(mod N1)を計算し、計算結果Xjk(j=1,
2,…,g)を一時メモリ402に蓄積する(S18
2)。
【0101】次いで、一時メモリ402に蓄積された計
算結果Xjk(j=1,2,…,g)と乱数文Zとを用い
て演算手段401の一方向性ランダムハッシュ関数hに
よりgビットサイズの情報暗号化用秘密鍵Wj =h(Z
‖X11‖X21‖…‖Xgm)(j=1,2,…,g)を生
成し(S183)、利用者の公開情報PUを用いて公開
鍵暗号手段405により暗号化して検査文ei =(W1
‖W2 ‖…‖Wg PU(mod N2)(i=1,2,…,
L)を生成する(S184)。
【0102】その後、情報分割手段404において検査
文ei (i=1,2,…,L)を複数個のブロックに分
割して、検査文ブロックeBjk(j=1,2,…,g:
k=1,2,…,m)生成し(S185)、最後に各ブ
ロック(第kブロック)について、検証手段403にお
いて一時メモリ402に蓄積された通信履歴H中の検査
文ejk(j=1,2,…,g)と一致するかどうかを検
査する(S186)。全てのブロック(第1ブロックか
ら第mブロックまでのmブロック)について一致すれば
(S187)、通信履歴Hの正当性が証明されたことに
なり、利用者が情報Mを受信していることが保証された
こととなり(S188)、そうでなければ通信履歴Hは
無効とされる(S189)。
【0103】上記の情報配送方法を用いれば、情報M本
体は初めに暗号文Cに暗号化されて利用者に送信される
ため、暗号文Cを利用者が受信した時点では情報Mを獲
得されることはない。そして、ゼロ知識証明プロトコル
が正常に終了した時点で、ゼロ知識証明プロトコルによ
る利用者認証が正常に行われたことのほかに、検査文e
jk(j=1,2,…,g:k=1,2,…,m)を利用
者が正しく受信したことの証明となる。
【0104】また、検査文ejk(j=1,2,…,g:
k=1,2,…,m)を利用者が復号することにより情
報暗号化用秘密鍵Wj (j=1,2,…,g)を生成
し、生成した情報暗号化用秘密鍵Wj (j=1,2,
…,g)を用いて暗号文Cを復号して情報Mを獲得する
ことができる。したがって、検査文ejk(j=1,2,
…,g:k=1,2,…,m)を利用者が正しく受信し
たことと利用者が情報Mを正常に受信したこととは同値
となる。したがって、情報提供者は正確かつ確実に情報
を利用者に配送したことを確認できる。
【0105】なお、上記の説明において公開鍵暗号方法
を利用して暗号化/復号を行っているが、共通鍵暗号方
法を利用しても当然構わない。また、Fiat Shamir 法を
もとに説明したが、本方法は拡張Fiat Shamir 法(太田
−岡本「Fiat-Shamir 法の高次への拡張」、電子情報通
信学会技術研究報告ISEC88−13)を始めとす
る、素因数分解困難性あるいは離散対数問題等の困難性
に安全性の根拠を置く全てのゼロ知識対話証明プロトコ
ルに応用が可能である。
【0106】次に、検査文ejk、応答文Yjk、(j=
1,2,…,g:k=1,2,…,m)、乱数文Zから
なる通信履歴Hの関係では、ゼロ知識証明プロトコルに
おける検証式と一方向性ランダムハッシュ関数とにより
相互に関係し合っているため、一部を不正に改竄するな
どして通信履歴Hを偽造することは不可能である。した
がって、通信履歴Hを記録管理することにより、情報暗
号化用秘密鍵Wj (j=1,2,…,g)を利用者が確
実に受信していることの証拠として、後日、調停者など
の中立的な第三者に提示することができる。
【0107】さらに、情報提供者と利用者との間の通信
が情報暗号化用秘密鍵Wj (j=1,2,…,g)の分
割ブロック数mと同じ回数だけ繰り返し行われるため、
途中で情報提供者の検証に失敗した場合にはそれ以降の
通信は打ち切られ、残りの検査文は送信されない。すな
わち、利用者が知ることのできる検査文は検証に失敗す
る以前のもののみに限られるので、情報提供者の検証を
失敗させた利用者は暗号文Cを復号するために必要な情
報の一部しか獲得することができず、結果として正しい
情報暗号化用秘密鍵Wj (j=1,2,…,g)を生成
することが不可能となる。したがって、利用者の秘密情
報sを知らない不正な利用者が不正な応答文Yjk(j=
1,2,…,g:k=1,2,…,m)を送信する場合
はもとより、応答文そのものを送信しないような不正行
為を行い、情報提供者が情報Mを利用者に配送した事実
を証明する通信履歴Hを情報提供者が記録管理できない
にもかかわらず、利用者が情報Mを獲得するのに必要な
検査文ejk(j=1,2,…,g:k=1,2,…,
m)を受信し、情報Mを不正に復号/獲得してしまうこ
とがないようにすることが可能である。また、上記の説
明では分割するブロックを各ブロックともビット長をg
で一定としたが、例えば第1ブロックは1ビット、第2
ブロックは2ビット、第3ブロックは4ビットというよ
うにブロックごとにビット長サイズを変えても当然構わ
ない。
【0108】以上の説明は、情報提供者が大容量の情報
Mを正確かつ確実に利用者に配送したことを証明できる
ものであり、例えば情報Mを著作物などの「オンデマン
ドサービス」としての有料情報とした場合、上記の情報
配送方法によって情報提供者が利用者に情報Mを配送す
ることにより、情報提供者が記録管理する通信履歴Hを
著作権使用料等の情報料を徴収するときの証明情報とし
て利用できるなど、様々な利用が可能である。
【0109】以上説明したとおり、本発明の第2〜第4
実施例のゼロ知識証明プロトコルを利用した情報配送方
法では、第一にプロトコルの動作自体は利用者認証とし
てのゼロ知識証明プロトコルと同等であるため、ゼロ知
識証明プロトコルと同様に、不正な利用者が情報提供者
の検証をクリアすることはほぼ不可能である。第二に配
送確認ステップが正常に終了した場合には、ゼロ知識証
明プロトコルが正常に終了したことと同値であるので、
情報提供者は正しい利用者が情報を正しく受信している
と判断できる。
【0110】叉、情報を暗号化し暗号文として送信する
ことにより、第三者による情報の盗聴を防止し、かつ第
三者が情報を解読するために有効な情報も得られないよ
うにすることもできる。
【0111】叉、本発明の第2実施例によれば、暗号文
の復号処理を配送確認ステップと切り離して実行するこ
とができる。
【0112】叉、本発明の第2、第3実施例によれば、
例えばハッシュ関数などを用いて情報(または利用者が
復号可能な暗号文)から検査文を生成することにより検
査文のサイズを小さくすることができ、配送確認ステッ
プにおける通信量及び処理時間を削減できる。
【0113】叉、本発明の第3実施例によれば、一方向
性関数を用いて検査文を生成することにより、情報(ま
たは利用者が復号可能な暗号文)、応答文、及び検査文
とからなる通信履歴の偽造を不可能にする。
【0114】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者のプロトコル
に失敗した場合には、直ちにプロトコルの実行が中止さ
れ、検証に失敗した以降のブロックは利用者に送信され
ないことになるため、結果として情報(または利用者が
復号可能な暗号文)全てを不正に獲得してしまうことが
ないようにできる。
【0115】叉、本発明の第4実施例によれば、大容量
の情報を送信する場合に、第一に情報は情報提供者が生
成した情報暗号化用秘密鍵によって初めに暗号化されて
利用者に配送されるため、利用者の認証が行われる以前
に情報本体を利用者が取り出すことはできない。第二に
情報暗号化用秘密鍵についてのみ検査文として配送確認
を行うことにより、通信量及び配送確認のための処理時
間を大幅に短縮できる。第三に配送確認ステップが正常
に終了すれば利用者は検査文を正しく受信したことが確
認でき、情報取り出しステップにおいて情報暗号化用秘
密鍵を獲得することが保証されるので、この時点で初め
て情報を間違いなく取り出すことができる。したがっ
て、これらの効果により情報配送方法が終了した場合に
は、情報提供者は正規の利用者に対して情報を暗号化し
た状態で提供した後、利用者が暗号化された情報を復号
するために必要な情報を利用者に配送し、かつ確実に利
用者が受信したことが確認できるので、情報提供者は情
報を利用者まで確実に配送したと判断できる。
【0116】叉、一方向性関数を用いて情報暗号化用秘
密鍵を生成することにより情報提供者にとって都合の良
い情報暗号化用秘密鍵を不正に生成できないようにする
ことができる。また、同様に一方向性関数を用いること
により、乱数文と検査文と応答文とからなる通信履歴を
偽造することは不可能になるので、情報提供者は正規の
利用者に対して要求された情報を暗号化した状態で提供
した後、利用者が暗号化された情報を復号するために必
要な情報を利用者に配送し、かつ確実に利用者が受信し
たことを後日証明できる証拠能力を持つことができる。
【0117】叉、検査文について暗号通信を行うこと
は、情報暗号化用秘密鍵についても暗号通信を行なって
いることと同等の効果が得られるため、第三者による情
報暗号化用秘密鍵の盗聴を防止し、かつ第三者が情報暗
号化用秘密鍵を解読するために有効な情報も得られない
ようにもなる。
【0118】叉、検査文の復号処理を配送確認ステップ
と切り離して実行することができる。
【0119】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として情報本
体もしくは情報暗号化用秘密鍵を生成することが不可能
となるので、不正な利用者が要求した情報を不正に獲得
してしまうことがないようにできる。
【0120】叉、本発明の第3、第4実施例によれば、
偽造不可能な通信履歴を実際に情報を配送した証拠とし
て記録管理することができ、かつ必要に応じて提示でき
るようになる。さらに、情報提供者が情報を配送した事
実の証拠として記録管理しなければならない情報量が桜
井(特開平5−12321)の方式と比較して大幅に削
減できる。
【0121】叉、情報提供者と利用者の間で情報の提供
の有無について調停を行う必要が生じた場合、情報提供
者が通信履歴を裁判所等の中立な調停機関に提示し、調
停機関が証拠能力を有する通信履歴についてその正当性
を検査することにより、情報提供者と利用者のどちらの
主張が正当であるのかを判定できる。すなわち、情報提
供者が利用者に対して情報(または利用者が復号可能な
暗号文)を送信し、かつ利用者が確実に受信したこと
を、後日調停者が確認できるので、利用者が情報(また
は利用者が復号可能な暗号文)を受信しているにも関わ
らず、利用者が情報を受信していないなどという不当な
主張を防止できる。
【0122】叉、これらの実施例によれば、情報提供者
が要求された情報を利用者に確実に配送し、かつ利用者
が確実に受信していることを情報提供者が確認できるシ
ステムとなる。また、必要に応じて情報提供者が利用者
を認証する利用者認証方法としてのゼロ知識証明プロト
コルを単独に使用することもできる。
【0123】叉、情報提供者と利用者の間で暗号通信が
できるようにしたシステムとなる。
【0124】叉、本発明の第4実施例によれば、情報提
供者から提供された情報を蓄積し、利用者が必要に応じ
て情報を利用できるようにしたシステムとなる。
【0125】叉、情報暗号化用秘密鍵の生成機能を有
し、情報暗号化用秘密鍵を用いた情報配送ができように
したシステムとなる。
【0126】叉、本発明の第3、第4実施例によれば、
証拠能力を有する通信履歴を必要に応じて提示できるよ
うにしたシステムとなる。
【0127】叉、不正な利用者であることを検出した際
には直ちにプロトコルの実行を中止して、不正な利用者
が要求した情報を不正に獲得してしまうことがないよう
にしたシステムとなる。
【0128】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0129】次に本発明の第5実施例について説明す
る。
【0130】図13は本発明の第5実施例における情報
配送システムの構成を示すブロック図であり、10は情
報提供者に対して情報の配送を必要とする利用者(端
末)を示し、100は通信回線30を制御する通信制御
手段、101はセンタが作成し利用者の秘密情報を蓄積
しておく利用者秘密情報蓄積手段、105は共通鍵暗号
方法(例えば、DES,FEAL)による暗号通信を行
うための共通鍵暗号手段、107は公開鍵暗号方法(例
えば、RSA)による暗号通信を行うための公開鍵暗号
手段、109は情報提供者から配送された情報を蓄積す
る情報蓄積手段、102は利用者が必要な情報を一時的
に蓄積する一時メモリ、103は利用者が乱数を生成す
るための乱数発生手段、104は必要な演算を行う演算
手段、106は利用者が要求した情報を出力もしくは利
用する情報出力/利用手段である。
【0131】また、20は情報を提供する情報提供者
(端末)を示し、200は通信回線30を制御する通信
制御手段、201はセンタが作成した情報提供者の秘密
情報を蓄積しておく情報提供者秘密情報蓄積手段、20
5は共通鍵暗号方法による暗号通信を行うための共通鍵
暗号手段、210は公開鍵暗号方法による暗号通信を行
うための公開鍵暗号手段、202は提供する情報が蓄積
してある情報データベース、203は情報提供者が必要
な情報を一時的に蓄積する一時メモリ、209は情報提
供者が乱数を生成するための乱数発生手段、204は必
要な演算を行う演算手段、206はFiat Shamir 法に基
づいて通信系列の正当性を検証する検証手段である。3
0は利用者と情報提供者とを通信で接続する通信回線を
表す。
【0132】以下、図14のフローチャートにしたがっ
て情報配送ステップ、配送確認ステップ、情報取り出し
ステップの動作手順を説明する。
【0133】まず基準段階として、信頼できるセンタが
各利用者ごとにp1,q1,I,s,p2,q2,P
U,SUを設定し、このうちN1,N2,I,PUを利
用者の公開情報(公開鍵)として公開し、s,SUを利
用者の秘密情報(秘密鍵)として利用者秘密情報蓄積手
段101に蓄積して利用者に秘密裏に配布する。ここ
で、(p1,q1)と(p2,q2)の各組はそれぞれ
互いに異なる大きな素数の組になっており、N1=p1
×q1,N2=p2×q2である。また、I=s2(mod
N1),PU×SU=1(mod(p2-1)(q2-1) )が成立
している。なお、p1=p2,q1=q2としてもよ
い。
【0134】さらに、各情報提供者ごとにp,q,P
C,SCを設定し、このうちN,PCを情報提供者の公
開情報(公開鍵)として公開し、SCを情報提供者の秘
密情報(秘密鍵)として情報提供者秘密情報蓄積手段2
01に蓄積して情報提供者に秘密裏に配布する。ここ
で、p,qは互いに異なる大きな素数であり、N=pq
である。また、PC×SC=1(mod(p-1)(q-1) )が成
立している。
【0135】(1)情報配送ステップ 情報提供者は、乱数発生手段209によりgビットサイ
ズの情報暗号化用秘密鍵Wi (i=1,2,…,g)を
生成して一時メモリ203に蓄積する(S201)。こ
こで、一般にgの値は共通鍵暗号手段105,205で
使用する秘密鍵の鍵長と等しいかそれ以上ある。なお、
ここでは情報暗号化用秘密鍵Wi (i=1,2,…,
g)について乱数発生手段209により生成している
が、実際には関数を使用して生成したり、あるいは特定
の秘密鍵を一意的に使用するなどしても構わない。
【0136】次に、利用者に配送する情報Mを情報デー
タベース202から取り出し(S202)、情報暗号化
用秘密鍵Wi (i=1,2,…,g)を秘密鍵として共
通鍵暗号手段205により暗号文C=Ew (M)に暗号
化した後(S203)、利用者に暗号文Cを通信回線3
0(および通信制御手段100,200)を介して送信
する(S204)。
【0137】利用者は、暗号文Cを情報蓄積手段109
に受信/蓄積した後、受信した旨を通信回線30を介し
て情報提供者に通知する(S205)。
【0138】(2)配送確認ステップ 利用者は、乱数発生手段103によりg個の乱数R
i (i=1,2,…,g)を生成し、一時メモリ102
に蓄積した後(S206)、それぞれの乱数について演
算手段104により初期応答文Xi =Ri 2 (mod N
1)(i=1,2,…,g)を計算し(S207)、情
報提供者の公開鍵PCを用いて公開鍵暗号手段107に
より暗号化初期応答文CXi =Xi PC(mod N)(i=
1,2,…,g)に暗号化して(S208)、通信回線
30を介して情報提供者に送信する(S209)。
【0139】情報提供者は、情報提供者秘密情報蓄積手
段201に蓄積された秘密鍵SCを用いて公開鍵暗号手
段210により受信した暗号化初期応答文CXi を初期
応答文Xi =CXi SC(mod N)(i=1,2,…,
g)に復号した後、一時メモリ203に蓄積する(S2
10)。
【0140】次に、一時メモリ203に蓄積された情報
暗号化用秘密鍵Wi (i=1,2,…,g)を秘密鍵配
送文Vi および検査文ei (i=1,2,…,g)とし
て一時メモリ203に蓄積した後(S211)、利用者
の公開鍵PUを用いて公開鍵暗号手段210により暗号
化検査文Cei =(e1 ‖e2 ‖…‖eg PU(modN
2)(i=1,2,…,|N2|)に暗号化して(S2
12)、通信回線30を介して送信する(S213)。
ここで、|N2|はN2のビット数を表す。
【0141】利用者は、利用者秘密情報蓄積手段101
に蓄積された秘密鍵SUを用いて公開鍵暗号手段107
により受信した暗号化検査文Cei (i=1,2,…,
g)を検査文ei =(Ce1 ‖Ce2 ‖…‖C
|N2|SU(mod N2)(i=1,2,…,g)に復
号した後、一時メモリ102に蓄積する(S214)。
【0142】次に、演算手段104において検査文ei
のそれぞれのビットiに対し、一時メモリ102に蓄積
された乱数Ri と利用者秘密情報蓄積手段101に蓄積
された利用者の秘密情報sとからei =0ならばYi
i を、ei =1ならばYi=sRi (mod N1)を計
算し(S215)、応答文Yi (i=1,2,…,g)
として情報提供者に通信回線30を介して送信する(S
216)。
【0143】情報提供者は、受信した応答文Yi (i=
1,2,…,g)を一時メモリ203に蓄積した(S2
17)後、検証手段206において利用者の公開情報I
および一時メモリ203に蓄積された初期応答文Xi
応答文Yi と検査文ei とからそれぞれのビットiに対
し、ei =0ならば検証式Yi 2 =Xi (mod N1)
を、ei =1ならば検証式Yi 2 =Xi ×I(mod N
1)を満たすかどうかを検証する(S218)。この検
証に失敗した場合には利用者は不正であるとみなしてそ
れ以降の利用を禁止し(S219A)、そうでなければ
正常に終了する(S219B)。
【0144】(3)情報取り出しステップ 利用者は、一時メモリ102に蓄積された検査文e
i (i=1,2,…,g)から演算手段104において
秘密鍵配送文Vi および情報暗号化用秘密鍵Wi (i=
1,2,…,g)を取り出し、情報蓄積手段109に蓄
積する(S220)。
【0145】最後に、情報蓄積手段109に蓄積された
情報暗号化用秘密鍵Wi (i=1,2,…,g)を秘密
鍵として、共通鍵暗号手段105により情報蓄積手段1
09に蓄積された暗号文Cを復号し(S221)、要求
した情報M=Dw (C)を情報出力/利用手段106よ
り獲得することができる(S222)。
【0146】上記の情報配送方法を用いれば、情報Mは
初めに暗号文Cに暗号化されて利用者に送信されるた
め、暗号文Cを利用者が受信した時点では情報Mを獲得
されることはない。そして、ゼロ知識証明プロトコルが
正常に終了した時点で、ゼロ知識証明プロトコルによる
利用者認証が正常に行われたことのほかに、検査文ei
(i=1,2,…,g)を利用者が正常に受信し、適切
な処理を行っていることがわかる。
【0147】また、利用者は検査文ei (i=1,2,
…,g)を正しく受信していれば情報暗号化用秘密鍵W
i (i=1,2,…,g)を生成し、利用者が要求した
情報の暗号文Cを復号して情報Mを獲得することができ
るため、検査文ei (i=1,2,…,g)を利用者が
正常に受信したことと利用者が要求した情報を正常に受
信したこととは同値となる。したがって、情報提供者は
要求された情報を正確かつ確実に利用者に配送したこと
を確認できる。
【0148】なお、上記の説明において公開鍵暗号方法
を利用して暗号化/復号を行っている部分については、
共通鍵暗号方法を利用しても当然構わない。また、上記
の説明ではFiat Shamir 法をもとに説明したが、本方法
は拡張Fiat Shamir 法(太田−岡本「Fiat-Shamir 法の
高次への拡張」、電子情報通信学会技術研究報告ISE
C88−13)を始めとする、素因数分解困難性あるい
は離散対数問題等の困難性に安全性の根拠を置く全ての
ゼロ知識対話証明プロトコルに応用が可能である。
【0149】次に、本発明の第6実施例について説明す
る。
【0150】図15は本発明の第6の実施例における情
報配送システムの構成を示すブロック図であり、システ
ム構成は情報提供者(端末)20の情報提供者秘密情報
蓄積手段201が必要ないことを除き、第5実施例の構
成と同様である。
【0151】以下、図16のフローチャートにしたがっ
て情報配送ステップ、配送確認ステップ、情報取り出し
ステップの動作手順を説明する。
【0152】まず、準備段階として、信頼できるセンタ
が各利用者ごとにp1,q1,I,s,p2,q2,P
U,SUを設定し、このうちN1,N2,I,PUを利
用者の公開情報(公開鍵)として公開し、s,SUを利
用者の秘密情報(秘密鍵)として利用者秘密情報蓄積手
段101に蓄積して利用者に秘密裏に配布する。ここ
で、(p1,q1)と(p2,q2)の各組はそれぞれ
互いに異なる大きな素数の組になっており、N1=p1
×q1,N2=p2×q2である。また、I=s2 (mo
d N1),PU×SU=1(mod(p2-1)(q2-1) )が成立
している。なお、p1=p2,q1=q2としてもよ
い。
【0153】(1)情報配送ステップ 第5実施例と同様である(S231〜235)。 (2)配送確認ステップ 利用者は、乱数発生手段103により|N2|個の乱数
i (i=1,2,…,|N2|)を生成し、一時メモ
リ102に蓄積した後(S236)、それぞれの乱数に
ついて演算手段104により初期応答文Xi =R
i 2 (mod N1)(i=1,2,…,|N2|)を計算
し(S237)、通信回線30を介して情報提供者に送
信する。(S238)。ここで、|N2|はN2のビッ
ト数を表す。
【0154】情報提供者は、受信した初期応答文X
i (i=1,2,…,|N2|)を一時メモリ203に
蓄積する(S239)。次に、一時メモリ203に蓄積
された情報暗号化用秘密鍵Wi を秘密鍵配送文Vi (i
=1,2,…,g)として利用者の公開鍵PUを用いて
公開鍵暗号手段210により暗号化し、検査文ei
(V1 ‖V2 ‖…‖Vg PU(mod N2)(i=1,
2,…,|N2|)を生成した後、一時メモリ203に
蓄積する(S240)。その後、検査文ei (i=1,
2,…,|N2|)を通信回線30を介して送信する
(S241)。
【0155】利用者は、受信した検査文ei (i=1,
2,…,|N2|)を一時メモリ102に蓄積した(S
242)後、演算手段104において検査文ei のそれ
ぞれのビットiに対し、一時メモリ102に蓄積された
乱数Ri と利用者秘密情報蓄積手段101に蓄積された
利用者秘密情報sとからei =0ならばYi =Ri を、
i =1ならばYi =sRi (mod N1)を計算し(S
243)、応答文Yi(i=1,2,…,g)として情
報提供者に通信回線30を介して送信する(S24
4)。
【0156】情報提供者は、受信した応答文Yi (i=
1,2,…,|N2|)を一時メモリ203に蓄積した
(S245)後、検証手段206において利用者の公開
情報Iおよび一時メモリ203に蓄積された初期応答文
i と応答文Yi と検査文ei とからそれぞれのビット
iに対し、ei =0ならば検証式Yi 2 =Xi (modN
1)を、ei =1ならば検証式Yi 2 =Xi ×I(mod
N1)を満たすかどうかを検証する(S246)。この
検証に失敗した場合には利用者は不正であるとみなして
それ以降の利用を禁止し(S247A)、そうでなけれ
ば正常に終了する(S247B)。
【0157】(3)情報取り出しステップ 利用者は、一時メモリ102に蓄積された検査文e
i (i=1,2,…,|N2|)を利用者秘密情報蓄積
手段101に蓄積された秘密鍵SUを用いて公開鍵暗号
手段107により秘密鍵配送文Vi =(e1 ‖e2 ‖…
‖e|N2|SU(mod N2)(i=1,2,…,g)に
復号した(S248)後、演算手段104において情報
暗号化用秘密鍵Wi (i=1,2,…,g)を取り出
し、情報蓄積手段109に蓄積する(S249)。
【0158】最後に、情報蓄積手段109に蓄積された
情報暗号化用秘密鍵Wi (i=1,2,…,g)を秘密
鍵として、共通鍵暗号手段105により情報蓄積手段1
09に蓄積された暗号文Cを復号し(S250)、要求
した情報M=Dw (C)を情報出力/利用手段106よ
り獲得することができる(S251)。
【0159】上記の情報配送方法を用いれば、第5実施
例と全く同等の効果が得られる。また第5実施例と比較
して、一時メモリ等に蓄積しなければならない情報量の
サイズは大きくなるが、処理速度の遅い公開鍵暗号方法
を利用する回数が1回ですむため、処理時間の短縮化が
期待できる。
【0160】なお、上記の説明において公開鍵暗号方法
を利用して暗号化/復号を行っている部分については共
通鍵暗号方法を利用しても当然構わない。また、上記の
説明ではFiat Shamir 法をもとに説明したが、本方法は
拡張Fiat Shamir 法(太田−岡本「Fiat-Shamir 法の高
次への拡張」、電子情報通信学会技術研究報告ISEC
88−13)を始めとする、素因数分解困難性あるいは
離散対数問題等の困難性に安全性の根拠を置く全てのゼ
ロ知識対話証明プロトコルに応用が可能である。
【0161】次に、本発明の第7実施例について説明す
る。
【0162】図17は本発明の第7の実施例における情
報配送システムの構成を示すブロック図であり、10は
利用者(端末)を示し、公開鍵暗号手段107が必要な
いことを除いて100から109までの構成手段は第6
実施例と同様であり、110は情報配送要求文を作成す
る入力手段である。20は情報提供者(端末)を示し、
公開鍵暗号手段210が必要ないことを除いて200か
ら206までと209の構成手段は第6実施例と同様で
あり、208は後日、情報を利用者に配送した事実を証
明する証拠としての通信履歴Hを記録管理する通信履歴
ファイルである。30は利用者と情報提供者とを通信で
接続する通信回線を表す。40は後日、情報提供者が通
信履歴ファイル208に記録管理している通信履歴Hに
ついて、中立的立場によりその通信履歴Hの正当性を判
定する調停者(端末)を表し、402は調停者が必要な
情報を一時的に蓄積する一時メモリ、401は必要な演
算を行う演算手段、403は正当性の判定を依頼された
通信履歴Hについてその正当性を検証する検証手段であ
る。
【0163】以下、図18のフローチャートにしたがっ
て情報配送ステップ、配送確認ステップ、情報取り出し
ステップの動作手順を、また図19のフローチャートに
したがって調停での動作手順を説明する。
【0164】まず、準備段階として、信頼できるセンタ
が各利用者ごとにp1,q1,I,sを設定し、このう
ちN1とIを利用者の公開情報として公開し、sを利用
者の秘密情報として利用者秘密情報蓄積手段101に蓄
積して利用者に秘密裏に配布する。ここで、p1とq1
は互いに異なる大きな素数を表し、N1=p1×q1で
ある。また、I=s2 (mod N1)が成立している。
【0165】(1)情報配送ステップ 利用者は、情報提供者に提供して欲しい情報について入
力手段110から情報配送要求文RSを作成し、一時メ
モリ102に蓄積した(S261)後、通信回線30を
介して情報提供者に送信する(S262)。ここで、情
報配送要求文RSは、例えば図20に示すように要求日
時、利用者識別番号、要求情報名、要求情報コード等か
ら構成される。なお、図20は情報配送要求文RSの構
成形態を表している。
【0166】ここでは情報配送要求文RSを利用者より
情報提供者に送信しているが、実際には要求情報コード
のみを利用者が情報提供者に送信するなどして、情報提
供者と利用者がそれぞれ独自に同じ情報配送要求文RS
を作成するようにしてもよい。
【0167】情報提供者は、乱数発生手段209により
乱数文Zをランダムに生成し(S263)、情報配送要
求文RSと生成した乱数文Zとを一時メモリ203に蓄
積した(S264)後、情報配送要求文RSと乱数文Z
とから演算手段204中の第一の一方向性ランダムハッ
シュ関数f1によりgビットサイズの情報暗号化用秘密
鍵Wi =f1(RS,Z)(i=1,2,…,g)を生
成して一時メモリ203に蓄積する(S265)。ここ
で、一般にgの値は共通鍵暗号手段105,205で使
用する秘密鍵の鍵長と等しいかそれ以上である。次に、
情報配送要求文RS中の要求情報コードをもとに、その
コードに対応する情報Mを情報データベース202から
取り出し(S266)、情報暗号化用秘密鍵Wi (i=
1,2,…,g)を秘密鍵として共通鍵暗号手段205
により暗号文C=Ew (M)に暗号化した(S267)
後、利用者に暗号文Cを通信回線30を介して送信する
(S268)。
【0168】利用者は、暗号文Cを情報蓄積手段109
に受信/蓄積した後、受信した旨を通信回線30を介し
て情報提供者に通知する(S269)。
【0169】(2)配送確認ステップ 利用者は、乱数発生手段103によりg個の乱数R
i (i=1,2,…,g)を生成した後一時メモリ10
2に蓄積し(S270)、それぞれの乱数について演算
手段104により初期応答文Xi =Ri 2 (mod N1)
(i=1,2,…,g)を計算した後一時メモリ102
に蓄積し(S271)、初期応答文Xi (i=1,2,
…,g)を通信回線30を介して情報提供者に送信する
(S272)。
【0170】情報提供者は、受信した初期応答文X
i (i=1,2,…,g)を一時メモリ203に蓄積し
た(S273)後、一時メモリ203に蓄積された情報
配送要求文RSと初期応答文Xi (i=1,2,…,
g)とから演算手段204中の第二の一方向性ランダム
ハッシュ関数f2によりgビットサイズの鍵暗号化用秘
密鍵Ki =f2(RS,(X1 ‖X2 ‖…‖Xg ))
(i=1,2,…,g)を生成し、一時メモリ203に
蓄積する(S274)。なお、f1とf2は同じ関数で
も当然構わない。
【0171】次に、一時メモリ203に蓄積された情報
暗号化用秘密鍵Wi と鍵暗号化用秘密鍵Ki (i=1,
2,…,g)とから演算手段204中の第三の関数f3
により秘密鍵配送文Vi (i=1,2,…,g)を生成
し、検査文ei (i=1,2,…,g)として一時メモ
リ203に蓄積した(S275)後、利用者に検査文e
i (i=1,2,…,g)を通信回線30を介して送信
する(S276)。こ
【外1】 利用者は、受信した検査文ei (i=1,2,…,g)
を一時メモリ102に蓄積した(S277)後、演算手
段104において検査文ei のそれぞれのビットiに対
し、一時メモリ102に蓄積された乱数Ri と利用者秘
密情報蓄積手段101に蓄積された利用者の秘密情報s
とからei =0ならばYi =Ri を、ei =1ならばY
i =sRi (mod N1)を計算し(S278)、応答文
i (i=1,2,…,g)として情報提供者に通信回
線30を介して送信する(S279)。
【0172】情報提供者は、受信した応答文Yi (i=
1,2,…,g)を一時メモリ203に蓄積した(S2
80)後、検証手段206において利用者の公開情報I
および一時メモリ203に蓄積された初期応答文Xi
応答文Yi と検査文ei とからそれぞれのビットiに対
し、ei =0ならば検証式Yi 2 =Xi (mod N1)
を、ei =1ならば検証式Yi 2 =Xi ×I(mod N
1)を満たすかどうかを検証する(S281)。この検
証に失敗した場合には利用者は不正であるとみなしてそ
れ以降の利用を禁止し(S282)、成功した場合には
図21に示すように、一時メモリ203に蓄積された情
報配送要求文RS、乱数文Z、検査文ei 、応答文Yi
(i=1,2,…,g)を通信履歴Hとして通信履歴フ
ァイル208に記録管理する(S283)。なお、図2
1は通信履歴Hの構成形態を示している。
【0173】(3)情報取り出しステップ 利用者は、一時メモリ102に蓄積された情報配送要求
文RSと初期応答文Xi (i=1,2,…,g)とから
演算手段104中の第二の一方向性ランダムハッシュ関
数f2によりgビットサイズの鍵暗号化用秘密鍵Ki
f2(RS,(X1 ‖X2 ‖…‖Xg ))(i=1,
2,…,g)を生成し、一時メモリ102に蓄積する
(S284)。次に、一時メモリ102に蓄積された検
査文ei (i=1,2,…,g)から秘密鍵配送文Vi
(i=1,2,…,g)を生成し、生成した秘密鍵配送
文Vi と鍵暗号化用秘密鍵Ki (i=1,2,…,g)
とから演算手段104中の第三の関数f3の逆関数f
3′により情報暗号化用秘密鍵Wi (i=1,2,…,
g)を取り出し、情報蓄積手段109に蓄積する(S2
【外2】 す。
【0174】最後に、情報蓄積手段109に蓄積された
情報暗号化用秘密鍵Wi (i=1,2,…,g)を秘密
鍵として共通鍵暗号手段105により情報蓄積手段10
9に蓄積された暗号文Cを復号し(S286)、要求し
た情報M=Dw (C)を情報出力/利用手段106より
獲得することができる(S287)。
【0175】(4)調停 後日、利用者が要求した情報を受信していないと主張し
たり、情報配送の要求そのものを否定した場合には、情
報提供者は通信履歴ファイル208に記録管理された通
信履歴Hを提示し、調停者の一時メモリ402に蓄積す
る(S291)。
【0176】調停者は、演算手段401において利用者
の公開情報Iと一時メモリ402に蓄積された通信履歴
H中の検査文ei および応答文Yi からそれぞれのビッ
トiに対し、ei =0ならば、Xi =Yi 2 (mod N
1)をei =1ならばXi =Yi 2 /I(mod N1)を
計算し、一時メモリ402に蓄積する(S292)。
【0177】次に、一時メモリ402に蓄積された通信
履歴H中の配送要求文RSと乱数文Zとから演算手段4
01中の第一の一方向性ランダムハッシュ関数f1によ
り情報暗号化用秘密鍵Wi =f1(RS,Z)(i=
1,2,…,g)を(S293)、また情報配送要求文
RSと計算結果Xi (i=1,2,…,g)とから演算
手段401中の第二の一方向性ランダムハッシュ関数f
2により鍵暗号化用秘密鍵Ki =f2(RS,(X1
2 ‖…‖Xg ))(i=1,2,…,g)をそれぞれ
生成し、一時メモリ402に蓄積する(S294)。そ
して、情報暗号化用秘密鍵Wi と鍵暗号化用秘密鍵Ki
(i=1,2,…,g)とから演算手段401中の第三
の関数f3により秘密鍵配送文Vi (i=1,2,…,
g)を生成し(S295)、検査文ei (i=1,2,
…,g)として検証手段403において一時メモリ40
2に蓄積された通信履歴H中の検査文ei (i=1,
2,…,g)と一致するかどうかを検査する(S29
6)。一致すれば、通信履歴Hの正当性が証明されたこ
とになり(S297)、利用者が情報配送を要求し、か
つ要求した情報を受信していることが保証される。そう
でなければ通信履歴Hは無効とされる(S298)。
【0178】上記の情報配送方式を用いれば、情報Mは
初めに暗号文Cに暗号化されて利用者に送信されるた
め、暗号文Cを利用者が受信した時点では情報Mを獲得
されることはない。そして、ゼロ知識証明プロトコルが
正常に終了した時点で、ゼロ知識証明プロトコルによる
利用者認証が正常に行われたことのほかに、検査文ei
(i=1,2,…,g)を利用者が正常に受信したこと
の証明となる。
【0179】また、検査文ei (i=1,2,…,g)
の他は利用者自身が作成した情報配送要求文RSと初期
応答文Xi (i=1,2,…,g)とから情報暗号化用
秘密鍵Wi (i=1,2,…,g)を生成し、利用者が
暗号文Cを復号して要求した情報Mを獲得することがで
きるため、検査文ei (i=1,2,…,g)を利用者
が正常に受信したことと利用者が要求した情報を正常に
受信したこととは同値となる。したがって、情報提供者
は正確かつ確実に情報を利用者に配送したことを確認で
きる。
【0180】また、上記の説明ではFiat Shamir 法をも
とに説明したが、本方法は拡張FiatShamir 法(太田−
岡本「Fiat-Shamir 法の高次への拡張」、電子情報通信
学会技術研究報告ISEC88−13)を始めとする、
素因数分解困難性あるいは離散対数問題等の困難性に安
全性の根拠を置く全てのゼロ知識対話証明プロトコルに
応用が可能である。
【0181】次に情報要求文RS、乱数文Z、検査文e
i 、応答文Yi (i=1,2,…,g)からなる通信履
歴Hの関係では、ゼロ知識証明プロトコルにおける検証
式と第一および第二の一方向性ランダムハッシュ関数と
により相互に関係し合っているため、一部を不正に改竄
するなどして通信履歴Hを偽造することは不可能であ
る。したがって、通信履歴Hを記録管理することによ
り、暗号文Cを復号して利用者が要求した情報Mを獲得
できるための情報暗号化用秘密鍵Wi (i=1,2,
…,g)を利用者が確実に受信していることの証拠とし
て、後日、調停者などの中立的な第三者に提示すること
ができる。
【0182】以上の説明は、利用者が情報配送の要求を
情報提供者に行い、情報提供者が要求された情報を正確
かつ確実に利用者に配送したことを証明できるものであ
り、例えば情報Mを著作物などの有料情報とした場合、
上記の情報配送方式によって情報提供者が利用者に情報
Mを送信することにより、情報提供者が記録管理する通
信履歴Hを著作権使用料等の情報料を徴収するときの証
明情報として利用できるなど、様々な利用が可能であ
る。
【0183】次に本発明の第8実施例について説明す
る。
【0184】図22は本発明の第8実施例における情報
配送システムの構成を示すブロック図であり、10は利
用者の端末(端末)を示し、100から107までと1
09は第5の実施例と同様の構成であり、110は情報
配送要求文を作成する入力手段、108は分割されたブ
ロック情報を元の情報に再構成する情報再構成手段であ
る。20は情報提供者(端末)を示し、200から20
6までと209と210は第5実施例と同様の構成であ
り、208は後日、情報を利用者に配送した事実を証明
する証拠としての通信履歴Hを記録管理する通信履歴フ
ァイル、207は情報を任意ビット長の複数のブロック
に分割し、蓄積する情報分割手段である。30は利用者
と情報提供者とを通信で接続する通信回線を表す。40
は調停者(端末)を表し、401から403までは第7
実施例と同様の構成であり、404は情報を任意ビット
長の複数のブロックに分割し、蓄積する情報分割手段で
ある。
【0185】以下、図23および図24のフローチャー
トにしたがって情報配送ステップ、配送確認ステップ、
情報取り出しステップの動作手順を、また図25のフロ
ーチャートにしたがって調停での動作手順を説明する。
【0186】まず、準備段階として、信頼できるセンタ
が各利用者ごとにp1,q1,I,sを設定し、このう
ちN1とIを利用者の公開情報として公開し、sを利用
者の秘密情報として利用者秘密情報蓄積手段101に蓄
積して利用者に秘密裏に配布する。ここで、p1とq1
は互いに異なる大きな素数を表し、N1=p1×q1で
ある。また、I=s2 (mod N1)が成立している。
【0187】さらに、各情報提供者ごとにp,q,P
C,SCを設定し、このうちN,PCを情報提供者の公
開情報(公開鍵)として公開し、SCを情報提供者の秘
密情報(秘密鍵)として情報提供者秘密情報蓄積手段2
01に蓄積して情報提供者に秘密裏に配布する。ここ
で、p,qは互いに異なる大きな素数であり、N=pq
である。また、PC×SC=1(mod(p-1)(q-1))が成
立している。
【0188】(1)情報配送ステップ 利用者は、情報提供者に提供して欲しい情報入力につい
て入力手段110から情報配送要求文RSを作成し、一
時メモリ102に蓄積した(S301)後、情報提供者
の公開鍵PCを用いて公開鍵暗号手段107により暗号
化情報配送要求文CR=RSPC(mod N)に暗号化し
(S302)、通信回線30を介して情報提供者に送信
する(S303)。ここで、情報配送要求文RSは、第
7実施例と同じように、例えば要求日時、利用者識別番
号、要求情報名、要求情報コード等から構成される。
【0189】情報提供者は、情報提供者秘密情報蓄積手
段201に蓄積された秘密鍵SCを用いて、公開鍵暗号
手段210により受信した暗号化情報配送要求文CRを
情報配送要求文RS=CRSC(mod N)に復号した後一
時メモリ203に蓄積し(S304)、また乱数発生手
段209により乱数文Zをランダムに生成した後一時メ
モリ203に蓄積する(S305)。
【0190】次に、情報配送要求文RSと乱数文Zとか
ら演算手段204中の第一の一方向性ランダムハッシュ
関数f1によりgビットサイズの情報暗号化用秘密鍵W
i =f1(RS,Z)(i=1,2,…,g)を生成し
て一時メモリ203に蓄積する(S306)。ここで、
一般にgの値は共通鍵暗号手段105,205で使用す
る秘密鍵の鍵長と等しいかそれ以上である。その後、情
報配送要求文RS中の要求情報コードをもとに、そのコ
ードに対応する情報Mを情報データベース202から取
り出し(S307)、情報暗号化用秘密鍵Wi (i=
1,2,…,g)を秘密鍵として共通鍵暗号手段205
により暗号文C=Ew (M)に暗号化した(S308)
後、利用者に暗号文Cを通信回線30を介して送信する
(S309)。
【0191】利用者は、暗号文Cを情報蓄積手段109
に受信/蓄積した後、受信した旨を通信回線30を介し
て情報提供者に通知する(S310)。
【0192】(2)配送確認ステップ 情報提供者は、情報分割手段207において一時メモリ
203に蓄積された情報暗号化用秘密鍵Wi (i=1,
2,…,g)を任意ビット長サイズの複数のブロックに
分割し、情報暗号化用ブロック秘密鍵として蓄積する
(S311)。ここでは説明を簡単にするため、分割し
たブロック数をm、全てのブロックについてビット長を
Lで一定とし、分割した情報暗号化用秘密鍵を情報暗号
化用ブロック秘密鍵WBij(i=1,2,…,L:j=
1,2,…,m)と表す。すなわち、WBij=W
(i+L(j-1))であり、例えばWB11=W1 、WBL1
L 、WB12=WL+1 、WBLm=Wg のようになる。
【0193】これより以下の処理は第jブロックについ
てのものであり、配送確認ステップは第1ブロックから
第mブロックまで各ブロックごとに以下の処理を順次
(m回)繰り返し行う。
【0194】まず利用者は、乱数発生手段103により
L個の乱数Rij(i=1,2,…,L)を生成した後一
時メモリ102に蓄積し(S312)、それぞれについ
て演算手段104により初期応答文Xij=Rij 2 (mod
N1)(i=1,2,…,L)を計算した後一時メモリ
102に蓄積し(S313)、初期応答文Xij(i=
1,2,…,L)を通信回線30を介して情報提供者に
送信する(S314)。
【0195】情報提供者は、受信した初期応答文X
ij(i=1,2,…,L)を一時メモリ203に蓄積し
た(S315)後、一時メモリ203に蓄積された情報
配送要求文RSと初期応答文Xij(i=1,2,…,
L)とから演算手段204中の第二の一方向性ランダム
ハッシュ関数f2によりLビットサイズの鍵暗号化用秘
密鍵Kij=f2(RS,(X1j‖X2j‖…‖XLj))
(i=1,2,…,L)を生成して一時メモリ203に
蓄積する(S316)。なお、f1とf2は同じ関数で
も当然構わない。
【0196】次に、情報分割手段207に蓄積された第
jブロック目の情報暗号化用ブロック秘密鍵WBij(i
=1,2,…,L)と一時メモリ203に蓄積された鍵
暗号化用秘密鍵Kij(i=1,2,…,L)とから演算
手段204中の第三の関数f3により秘密鍵配送文Vij
(i=1,2,…,L)を生成し、検査文eij(i=
1,2,…,L)として一時メモリ203に蓄積した
(317)後、利用者に検査文eij(i=1,2,…,
L)を通信回線30を介して送信する(S318)
【外3】 利用者は、受信した検査文eij(i=1,2,…,L)
を一時メモリ102に蓄積した(S319)後、演算手
段104において検査文eijのそれぞれのビットiに対
し、一時メモリ102に蓄積された乱数Rijと利用者秘
密情報蓄積手段101に蓄積された利用者の秘密情報s
とから、eij=0ならばYij=Rijを、eij=1ならば
ij=sRij(mod N1)を計算し(S320)、応答
文Yij(i=1,2,…,L)として情報提供者に通信
回線30を介して送信する(S321)。
【0197】情報提供者は、受信した応答文Yij(i=
1,2,…,L)を一時メモリ203に蓄積した(S3
22)後、検証手段206において利用者の公開情報I
および一時メモリ203に蓄積された初期応答文Xij
応答文Yijと検査文eijとからそれぞれのビットiに対
し、eij=0ならば検証式Yij 2 =Xij(mod N1)
を、eij=1ならば検証式Yij 2 =Xij×I(mod N
1)を満たすかどうかを検証する(S323)。この検
証に失敗した場合には利用者は不正であるとみなして、
ただちにプロトコルの実行を中止し(S324)、成功
した場合にはすべてのブロックが終了するまで以上の処
理を繰り返す(S325)。そして、第1ブロックから
第mブロックまでの全てのブロックについて検証に成功
した場合には、一時メモリ203に蓄積された情報配送
要求文RS、乱数文Z、検査文eij、応答文Yij(i=
1,2,…,L:i=1,2,…,m)を通信履歴Hと
して通信履歴ファイル208に記録管理する(S32
6)。
【0198】(3)情報取り出しステップ 利用者は、各ブロックについて一時メモリ102に蓄積
された情報配送要求文RSと初期応答文Xij(i=1,
2,…,L:j=1,2,…,m))とから演算手段1
04中の第二の一方向性ランダムハッシュ関数f2によ
りLビットサイズの鍵暗号化用秘密鍵Kij=f2(R
S,(X1j‖X2j‖…‖XLj))(i=1,2,…,
L:j=1,2,…,m)を生成し、一時メモリ102
に蓄積する(S327)。
【0199】次に、一時メモリ102に蓄積された検査
文eij(i=1,2,…,L:j=1,2,…,m)か
ら秘密鍵配送文Vij(i=1,2,…,L:j=1,
2,…,m)を生成し、(S328)、生成した秘密鍵
配送文Vijと鍵暗号化用秘密鍵Kij(i=1,2,…,
L:j=1,2,…,m)とから演算手段104中の第
三の関数f3の逆関数f3′により情報暗号化用ブロッ
ク秘密鍵WBij(i=1,2,…,L:j=1,2,
…,m)を取り出し、情報再構成手段108に蓄積する
(S329)。ここで、例えば第三の関数f3のVij
f3(Wij,Kij
【外4】 排他的論理和を表す。
【0200】その後に、情報再構成手段108により蓄
積された情報暗号化用ブロック秘密鍵WBij(i=1,
2,…,L:j=1,2,…,m)を用いて情報暗号化
用秘密鍵Wi (i=1,2,…,g)に再構成して情報
蓄積手段109に蓄積する(S330)。
【0201】最後に、情報蓄積手段109に蓄積された
情報暗号化用秘密鍵Wi (i=1,2,…,g)を秘密
鍵として、共通暗号手段105により情報蓄積手段10
9に蓄積された暗号文Cを復号し(S331)、要求し
た情報M=Dw (C)を情報出力/利用手段106より
獲得することができる(S332) (4)調停 後日、利用者が要求した情報を受信していないと主張し
たり、情報配送の要求そのものを否定した場合には、情
報提供者は通信履歴ファイル208に記録管理された通
信履歴Hを提示し、調停者の一時メモリ402に蓄積す
る(S341)。
【0202】調停者は、演算手段401において利用者
の公開情報Iと一時メモリ402に蓄積された通信履歴
H中の検査文eijおよび応答文Yijからそれぞれのビッ
トiに対し、eij=0ならば、Xij=Yij 2 (mod N
1)をeij=1ならばXij=Yij 2 /I(mod N1)を
計算し、一時メモリ402に蓄積する(S342)。次
に、一時メモリ402に蓄積された通信履歴H中の情報
配送要求文RSと乱数文Zとから演算手段401中の第
一の一方向性ランダムハッシュ関数f1により情報暗号
化用秘密鍵Wi =f1(RS,Z)(i=1,2,…,
g)を生成した(S343)後、情報分割手段404に
おいて情報暗号化用ブロック秘密鍵WBij(i=1,
2,…,L:j=1,2,…,m)に分割して蓄積する
(S344)。
【0203】各ブロック(第jブロック)について、一
時メモリ402に蓄積された情報配送要求文RSと計算
結果Xij(i=1,2.…,L)とから演算手段401
中の第二の一方向性ランダムハッシュ関数f2により鍵
暗号化用秘密鍵Kij=f2(RS,(X1j‖X2j‖…‖
Lj)(i=1,2,…,L)を生成して一時メモリ4
02に蓄積する(S345)。そして、情報分割手段4
04に蓄積された情報暗号化用ブロック秘密鍵Wijと一
時メモリ402に蓄積された鍵暗号化用秘密鍵Kij(i
=1,2,…,L)とから演算手段401中の第三の関
数f3により秘密鍵配送文Vij(i=1,2,…,L)
を生成し(S346)、検査文eij(i=1,2,…,
L)として検証手段403において一時メモリ402に
蓄積された通信履歴H中の検査文eij(i=1,2,
…,L)と一致するかどうかを検査する(S347)。
全てのブロック(第1ブロックから第mブロックまでの
mブロック)について一致すれば(S348)、通信履
歴Hの正当性が証明されたことになり(S349)、利
用者が情報配送を要求し、かつ要求した情報を受信して
いることが保証される。そうでなければ通信履歴Hは無
効とされる(S350)。
【0204】上記の情報配送方式を用いれば、第7実施
例と同様の効果が得られるほかに、情報提供者と利用者
の間で情報配送要求文RSについて暗号通信されている
ので、第三者が通信系列を盗聴したとしても、盗聴した
通信系列からは情報配送要求文RSおよび鍵暗号化用秘
密鍵Kij(i=1,2,…,L:j=1,2,…,m)
を求めることができない。また、情報暗号化用秘密鍵W
i (i=1,2.…,g)は検査文eijと鍵暗号化用秘
密鍵Kij(i=1,2,…,L:j=1,2,…,m)
とから求められることから、情報暗号化用秘密鍵W
i (i=1,2,…,g)を第三者が求めることができ
ないことと同値となるので、第三者が暗号文Cを復号
し、不正に情報Mを獲得することを防止することが可能
となる。
【0205】さらに、情報提供者と利用者との間の通信
が情報暗号化用秘密鍵Wi (i=1,2,…,g)の分
割ブロック数mと同じ回数だけ繰り返し行われるため、
途中で情報提供者の検証に失敗した場合にはそれ以降の
通信は打ち切られ、残りの検査文は送信されない。すな
わち、利用者が知ることのできる検査文は検証に失敗す
る以前のもののみに限られるので、情報提供者の検証を
失敗させた利用者は暗号文Cを復号するために必要な情
報の一部しか獲得することができず、結果として正しい
情報暗号化用秘密鍵Wi (i=1,2,…,g)を生成
することが不可能となる。
【0206】したがって、利用者の秘密情報sを知らな
い不正な利用者が不正な応答文Yij(i=1,2,…,
L:j=1,2,…,m)を送信する場合はもとより、
応答文そのものを送信しないような不正行為を行い、情
報提供者が要求された情報Mを利用者に配送した事実を
証明する通信履歴Hを情報提供者が記録管理できないに
もかかわらず、利用者が要求した情報Mを獲得するのに
必要な検査文eij((i=1,2,…,L:j=1,
2,…,m)を受信し、情報Mを不正に復号/獲得して
しまうことがないようにすることが可能である。
【0207】また、上記の説明では分割するブロックを
各ブロックともビット長をLで一定としたが、例えば第
1ブロックは1ビット、第2ブロックは2ビット、第3
ブロックは4ビットというようにブロックごとにビット
長サイズを変えても当然構わない。
【0208】最後に、上記の説明においる暗号通信のう
ち、公開鍵暗号方法による暗号通信については共通鍵暗
号方法による暗号通信を行っても当然構わない。また、
FiatShamir 法をもとに説明をしたが、本方法は拡張Fia
t-Shamir 法(太田−岡本「Fiat-Shamir 法の高次への
拡張」、電子情報通信学会技術研究報告ISEC88−
13)を始めとする、素因数分解困難性あるいは離散対
数問題等の困難性に安全性の根拠を置く全てのゼロ知識
対話証明プロトコルに応用が可能である。
【0209】以上説明したとおり、本発明の第5〜第8
実施例によれば、ゼロ知識証明プロトコルを利用した情
報配送方法では、第一に情報配送ステップにおいて、利
用者が要求した情報は情報提供者によって暗号化されて
利用者に配送されるため、この時点では要求した情報そ
のものを利用者が取り出すことはできない。第二に配送
確認ステップで行われるプロトコル動作自体は利用者認
証としてのゼロ知識証明プロトコルと同等であるため、
ゼロ知識証明プロトコルと同じように不正な利用者が情
報提供者の検証をクリアすることはほぼ不可能である。
第三に配送確認ステップが正常に終了した場合には、ゼ
ロ知識証明プロトコルが正常に終了したことと同値であ
るから、情報提供者は利用者が検査文を正しく受信し、
適正な処理をしていると判断できる。第四に情報取り出
しステップにおいて、利用者は検査文を正しく受信でき
れば、秘密鍵配送文及び情報暗号化用秘密鍵を作成する
ことができるので、この時点で前記情報暗号化用秘密鍵
により暗号化された情報を復号し、要求した情報を取り
出すことができる。したがって、これらの効果により、
情報配送方法の全てのステップが終了した場合には、情
報提供者は正規の利用者に対して要求された情報を暗号
化した状態で提供した後、利用者が暗号化された情報を
復号するために必要な情報を利用者に配送し、かつ確実
に利用者が受信したことが確認できるので、情報提供者
は利用者が要求した情報を利用者まで確実に配送したと
判断できる。
【0210】叉、本発明の第5、第6実施例によれば、
検査文について暗号通信をすることは、情報暗号化用秘
密鍵についても暗号通信をしていることと同等の効果が
得られることになり、第三者が通信路を盗聴したとして
もこれらの秘密鍵が知られることはない。さらに、情報
暗号化用秘密鍵を解読するために有効な情報も得られな
いようにすることもできる。
【0211】叉、本発明の第7、第8実施例によれば、
情報提供者にとって都合のよい情報暗号化用秘密鍵を不
正に作成できないようにすることができる。
【0212】叉、通信履歴を偽造することは不可能であ
るので、情報提供者は正規の利用者に対して要求された
情報を暗号化した状態で提供した後、利用者が暗号化さ
れた情報を復号するために必要な情報を利用者に配送
し、かつ確実に利用者が受信したことを後日証明できる
証拠能力を持つことができる。
【0213】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようになる。また、情報提供者が情報を
配送した事実の証拠として記録管理しなければならない
情報量が桜井(特開平5−12321)の方式と比較し
て大幅に削減できる。
【0214】叉、情報提供者と利用者の間で情報の提供
の有無について調停をする必要が生じた場合、裁判所等
の中立な調停機関が証拠能力を有する通信履歴について
その正当性を検査することにより、情報提供者と利用者
のどちらの主張が正当であるのかを判定できる。
【0215】叉、本発明の第8実施例によれば、情報配
送要求文を暗号送信することにより、第三者による情報
配送要求文の盗聴を防止し、どんな情報を要求したかな
どの利用者のプライバシーが保護できる。
【0216】叉、鍵暗号化用秘密鍵及び情報暗号化用秘
密鍵については、情報提供者と利用者のみの秘密の情報
によりスクランブルされるので、第三者が通信路を盗聴
したとしてもこれらの秘密鍵が知られることはなく、ま
た秘密鍵を解読するために有効な情報も得られない。し
たがって、利用者が要求した情報を第三者が不正に獲得
することはできない。
【0217】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として鍵暗号
化用秘密鍵もしくは情報暗号化用秘密鍵を生成すること
が不可能となるので、不正な利用者が要求した情報を不
正に獲得してしまうことがないようにできる。
【0218】叉、これらの実施例によれば、情報提供者
が要求された情報を利用者に確実に配送し、かつ利用者
が確実に受信していることを情報提供者が確認できるシ
ステムとなる。また、必要に応じて情報提供者が利用者
を認証する利用者認証方法としてのゼロ知識証明プロト
コルを単独に使用することもできる。
【0219】叉、情報暗号化秘密鍵を生成するときに乱
数文を利用できるようにしたシステムとなる。
【0220】叉、本発明の第5、第8実施例によれば、
情報提供者が秘密に保持すべき情報を蓄積することがで
きる情報提供者秘密情報蓄積手段を有したシステムとな
る。
【0221】叉、本発明の第5、第6、第8実施例によ
れば、情報提供者と利用者の間で公開鍵暗号方法による
暗号通信ができるようにしたシステムとなる。
【0222】叉、本発明の第7、第8実施例によれば、
情報配送要求文を簡単に作成するための入力手段を利用
者端末に備えたシステムとなる。
【0223】叉、鍵暗号化用秘密鍵と秘密鍵配送文との
生成機能を有し、情報暗号化用秘密鍵と鍵暗号用秘密鍵
とを利用した情報配送ができるようにしたシステムとな
る。
【0224】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようにしたシステムとなる。
【0225】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0226】叉、本発明の第8実施例によれば、不正な
利用者があることを検出した際には直ちにプロトコルの
実行を中止して、不正な利用者が要求した情報を不正に
獲得してしまうことがないようにしたシステムとなる。
【0227】次に本発明の第9実施例について説明す
る。
【0228】図26は本発明の第9実施例における情報
配送システムの構成を示すブロック図であり、10は情
報の配送を受ける利用者(端末)を示し、100は通信
回線30を制御する通信制御手段、101は利用者の秘
密情報を蓄積しておく利用者秘密情報蓄積手段、105
は共通鍵暗号方法(例えば、DES,FEAL)を利用
する共通鍵暗号手段、107は公開鍵暗号方法(例え
ば、RSA)を利用する公開鍵暗号手段、109は情報
提供者からの配送された情報を蓄積する情報蓄積手段、
102は利用者が必要な情報を一時的に蓄積する一時メ
モリ、103は利用者が乱数を生成するための乱数発生
手段、104は必要な演算を行う演算手段、106は情
報を出力もしくは利用する情報出力/利用手段である。
20は情報を提供する情報提供者(端末)を示し、20
0は通信回線30を制御する通信制御手段、201は情
報提供者の秘密情報を蓄積しておく情報提供者秘密情報
蓄積手段、205は共通鍵暗号方法を利用する共通鍵暗
号手段、210は公開鍵暗号方法を利用する公開鍵暗号
手段、202は提供する情報が蓄積してある情報データ
ベース、203は情報提供者が必要な情報を一時的に蓄
積する一時メモリ、204は必要な演算を行う演算手
段、206は情報の正当性を検証する検証手段、208
は後日情報を利用者に配送した事実を証明する証拠とし
ての通信履歴データHを記録管理する通信履歴ファイ
ル、209は情報提供者が乱数を生成するための乱数発
生手段である。30は利用者として情報提供者とを通信
で接続する通信回線を表す。40は後日、情報提供者が
通信履歴ファイル208に記録管理している通信履歴デ
ータHについて、中立的立場によりその通信履歴データ
Hの正当性を判定する調停者(端末)を表し、402は
調停者が必要な情報を一時的に蓄積する一時メモリ、4
05は公開鍵暗号方法を利用する公開鍵暗号手段、40
1は必要な演算を行う演算手段、403は正当性の判定
を依頼された通信履歴データHについてその正当性を検
証する検証手段である。
【0229】以下、図27および図28のフローチャー
トにしたがって情報配送ステップ、配送確認ステップ、
情報取り出しステップの動作手順を、また図29のフロ
ーチャートにしたがって調停での動作手順を説明する。
【0230】なお、乱数Rと初期応答文Xと応答文Yを
除くアルファベット文字は情報全体を表し、添え字付き
アルファベツト文字はその情報のビット情報を表す。例
えば、情報暗号化用秘密鍵Wはgビット長で構成される
情報暗号化用秘密鍵全体のことを表し、情報暗号化用秘
密鍵Wi (i=1,2,…,g)は情報暗号化用秘密鍵
の第iビット目のビット情報を表す。また、乱数Rと初
期応答文Xと応答文Yの添え字は複数個生成される同一
種類の情報の中のひとつの情報を表す。例えば、乱数R
i (i=1,2,…,g)はg個生成される乱数の中の
第i番目に生成された乱数情報であることを表す。
【0231】(0)準備段階 信頼できるセンタが各利用者ごとにp1,q1,ID,
S,p2,q2,PU,SUを設定し、このうちN1,
N2,ID,PUを利用者の公開情報として公開し、
S,SUを利用者の秘密情報として利用者秘密情報蓄積
手段101に蓄積して利用者に秘密裏に配布する。ここ
で、(p1,q1)と(p2,q2)の各組はそれぞれ
互いに異なる大きな素数の組になっており、N1=p1
×q1,N2=p2×q2である。また、ID=S
2 (mod N1)、PU×SU=1(mod(p2-1)(q2-1))
が成立している。なお、p1=p2,q1=q2として
もよい。
【0232】さらに、各情報提供者ごとにp,q,P
C,SCを設定し、このうちN,PCを情報提供者の公
開鍵として公開し、SCを情報提供者の秘密鍵として情
報提供者秘密情報蓄積手段201に蓄積して情報提供者
に秘密裏に配布する。ここで、p,qは互いに異なる大
きな素数であり、N=pqである。またPC×SC=1
(mod (p-1)(q-1))が成立している。
【0233】(1)情報配送ステップ 情報提供者は、乱数発生手段209でgビット長の情報
暗号化用秘密鍵Wを任意に生成して一時メモリ203に
蓄積する(S361)。ここで、一般にgの値は共通鍵
暗号手段105と205で使用する秘密鍵の鍵長と等し
いかそれ以上である。後に、情報Mを情報データベース
202から取り出し(S362)、情報暗号化用秘密鍵
Wを秘密鍵として共通鍵暗号手段205により暗号文C
=Ew (M)に暗号化した(S363)後、利用者に暗
号文Cを通信回線30を介して送信するる(S36
4)。
【0234】利用者は、暗号文Cを情報蓄積手段109
に受信/蓄積した後、受信した旨を通信回線30を介し
て情報提供者に通知する(S365)。
【0235】なお、ここではS364の暗号文Cの送信
について通信回線30を使用しているが、もちろんCD
−ROMなどの物理媒体に記録して、通信回線を使用せ
ずに一般に配布するようにしても構わない。その場合に
は、S365の動作は省略されることが多い。
【0236】(2)配送確認ステップ 情報提供者は、公開鍵暗号手段210により情報暗号化
用秘密鍵Wを情報提供者の公開鍵PCで暗号化し(S3
66)、暗号化した情報暗号化用秘密鍵CW=WPC(mo
d N)を利用者に通信回線30を介して通信する(S3
67)。
【0237】利用者は、公開鍵暗号手段107により利
用者の秘密情報SUを用いて暗号化された情報暗号化用
秘密鍵CWにディジタル署名を行い(S368)、署名
付き情報暗号化用秘密鍵SW=CWSU(mod N2)を通
信回線30を介して情報提供者に送信する(S36
9)。
【0238】情報提供者は、署名付き情報暗号化用秘密
鍵SWを一時メモリ203に蓄積した(S370)後、
検証手段206において利用者の公開鍵PUを用いて署
名検証式CW=SWPU(mod N2)を満たすうかどうか
を検証する(S371)。この検証に失敗した場合には
利用者は不正であると見做してただちにプロトコルの実
行を中止する(S372)。また検証に成功した場合に
は、演算手段204において情報暗号化用秘密鍵Wを任
意ビット長の複数のブロックに分割し、情報暗号化用ブ
ロック秘密鍵WBを生成する(S373)。ここでは説
明を簡単にするため、分割したブロック数をb、全ての
ブロックについてビット長をLで一定とし、分割した情
報暗号化用秘密鍵を情報暗号化用ブロック秘密鍵WBij
(i=1,2,…,L:j=1,2,…,b)と表す。
すなわち、WBij=W(i+L(j-1))であり、例えばWB11
=W1 ,WL1=WL ,WB12=WL+1 ,WBLb=Wg
ようになる。
【0239】利用者は、乱数発生手段103によりg個
の乱数Rij(i=1,2,…,L:j=1,2,…,
b)を生成した後一時メモリ102に蓄積し(S37
4)、それぞれについて演算手段104により初期応答
文Xij=Rij 2 (mod N1)(i=1,2,…,L:j
=1,2,…,b)を計算した後一時メモリ102に蓄
積し(S375)、初期応答文Xij(i=1,2,…,
L:j=1,2,…,b)を通信回線30を介して情報
提供者に送信する(S376)。
【0240】情報提供者は、初期応答文Xij(i=1,
2,…,L:j=1,2,…,b)を一時メモリ203
に蓄積した(S377)後、演算手段204中の一方向
性ランダムハッシュ関数h(・)によりgビット長の鍵
暗号化用秘密鍵Kij=h(X1j‖X2j‖…‖XLj)(i
=1,2,…,L:j=1,2,…,b)を生成し(S
378)、情報暗号化用ブロック秘密鍵WBijと鍵暗号
化用秘密鍵Kij(i=1,2,…,L:j=1,2,
…,b)とから演算手段204中の関数f(・)により
検査文eij(i=1,2,…,L:j=1,2,…,
b)を生成して一時メモリ203に蓄積する(S37
9)。ここで、関数fには例えばeij=f(W
【外5】 これより以下の処理は第jブロックについてのものであ
り、配送確認ステップは第1ブロックから第bブロック
まで各ブロックごとに以下の処理を順次(b回)繰り返
し行なう。
【0241】情報提供者は、利用者に検査文eij(i=
1,2,…,L)を通信回線30を介して送信する(S
380)。
【0242】利用者は、検査文eij(i=1,2,…,
L)を一時メモリ102に蓄積した(S381)後、演
算手段104において検査文eijのそれぞれのビットi
に対し、乱数Rijと利用者の秘密情報Sとから、eij
0ならばYji=Rijを、eij=1ならばYij=S×Rij
(mod N1)を計算し(S382)、応答文Yij(i=
1,2,…,L)として情報提供者に通信回線30を介
して送信する(S383)。
【0243】情報提供者は、応答文Yij(i=1,2,
…,L)を一時メモリ203に蓄積した(S384)
後、検証手段206において利用者の公開情報ID、初
期応答文Xij、応答文Yijおよび検査文eijとからそれ
ぞれのビットiに対し、eij=0ならば検証式Yij 2
ij(mod N1)を、eij=1ならば検証式Yij 2 =X
ij×ID(mod N1)を満たすかどうかを検証する(S
385)。この検証に失敗した場合には利用者は不正で
あると見做して直ちにプロトコルの実行を中止し(S3
86)、また成功した場合にはS380に戻り、すべて
のブロックが終了するまで以上の処理を繰り返す(S3
87)。そして、第1ブロックから第bブロックまでの
全てのブロックについて検証に成功した場合には、情報
暗号化用秘密鍵W、署名付き情報暗号化用秘密鍵SW、
検査文eij、応答文Yij(i=1,2,…,L:j=
1,2,…,b)を通信履歴データHとして通信履歴フ
ァイル208に記録管理する(S388)。
【0244】(3)情報取り出しステップ 利用者は、初期応答文Xij(i=1,2,…,L:j=
1,2,…,b)から演算手段104中の一方向性ラン
ダムハッシュ関数h(・)によりgビット長の鍵暗号化
用秘密鍵Kij=h(X1j‖X2j‖…‖XLj)(i=1,
2,…,L:j=1,2,…,b)を生成し(S38
9)、検査文eijと鍵暗号化用秘密鍵Kij(i=1,
2,…,L:j=1,2,…,b)とから演算手段10
4中の関数f(・)の逆関数f′(・)により情報暗号
化用ブロック秘密鍵WBij(i=1,2,…,L:j=
1,2,…,b)を取り出す(S390)。ここで、例
えば関
【外6】 論理和を表す。その後、演算手段104に情報暗号化用
ブロック秘密鍵WBij(i=1,2,…,L:j=1,
2,…,b)を用いて情報暗号化用秘密鍵Wi (i=
1,2,…,g)を生成し、情報蓄積手段109に蓄積
する(S391)。最後に、情報暗号化用秘密鍵Wを秘
密鍵として共通暗号手段105により情報蓄積手段10
9に蓄積された暗号文Cを復号し(S392)、情報M
=Dw (C)を情報出力/利用手段106より獲得する
ことができる(S393)。
【0245】(4)調停 後日、利用者が情報を受信していないと主張した場合に
は、情報提供者は通信履歴ファイル208に記録管理さ
れた通信履歴データHを提示し、調停者の一時メモリ4
02に蓄積する(S401)。
【0246】調停者は、公開暗号手段405において情
報暗号化用秘密鍵Wを情報提供者の公開鍵PCで暗号化
した情報暗号化用秘密鍵CW=WPC(mod N)を生成し
(S402)、検証手段403において署名付き情報暗
号化用秘密鍵SWが利用者の公開鍵PUを用いて署名検
証式CW=SWPU(mod N2)を満たすかどうかを検証
する。(S403)。検証が失敗した時は通信履歴デー
タHは無効とされる(S404)。
【0247】署名の検証が成功した場合には、演算手段
401において利用者の公開情報IDと通信履歴データ
H中の検査文eijおよび応答文Yijからそれぞれのビッ
トiに対し、eij=0ならば、Xij=Yij 2 (mod N
1)を、eij=1ならばXij=Yij 2 /ID(mod N
1)を計算して一時メモリ402に蓄積し(S40
5)、情報暗号化用秘密鍵Wから演算手段401におい
て情報暗号化用ブロック秘密鍵WBij(i=1,2,
…,L:j=1,2,…,b)を生成する(S40
6)。次に、計算結果Xij(i=1,2,…,L)から
演算手段401中の一方向性ランダムハッシュ関数h
(・)によりgビット長の鍵暗号化用秘密鍵Kij=h
(X1j‖X2j‖…‖XLj)(i=1,2,…,L;j=
1,2,…,b)を生成し(S407)、情報暗号化用
ブロック秘密鍵WBijと鍵暗号化用秘密鍵Kij(i=
1,2,…,L:j=1,2,…,b)とから演算手段
401中の関数f(・)により検査文eij(i=1,
2,…,L:j=1,2,…,b)を生成して(S40
8)、検証手段403において一時メモリ402に蓄積
された通信履歴データH中の検査文eij(i=1,2,
…,L:j=1,2,…,b)と全てのビットについて
一致するかどうかを検査する(S409)。全てのビッ
トについて一致すれば、通信履歴データHの正当性が証
明されたことになり、利用者が情報Mを受信しているこ
とが保証される(S410)。そうでなければ通信履歴
データHは無効とされる(S411)。
【0248】上記の情報配送方式を用いれば、情報Mは
初めに暗号文Cに暗号化されて利用者に送信もしくは物
理媒体により配布されるため、暗号文Cを利用者が入手
した時点では情報Mを獲得されることはない。そしてプ
ロトコルが正常に終了した時点で、ゼロ知識証明プロト
コルによる利用者認証が正常に行なわれたことのほか
に、検査文eを利用者が正常に受信したことが確認でき
る。また、検査文eの他は利用者自身が作成した初期応
答文Xij(i=1,2,…,L:j=1,2,…,b)
から情報暗号化用秘密鍵Wを生成し、利用者が暗号文C
を復号して情報Mを獲得することができるため、検査文
eを利用者が正常に受信したことと利用者が情報Mを正
常に受信したこととは同値となる。したがって、情報提
供者は正確かつ確実に情報Mを利用者に配送したことを
確認できる。
【0249】また、情報提供者と利用者との間の通信は
情報暗号化用秘密鍵Wの分割ブロック数bと同じ回数だ
け繰り返し行なわれるため、途中で情報提供者の検証に
失敗した場合にはそれ以降の通信は打ち切られ、残りの
検査文は送信されない。すなわち、利用者が知ることの
できる検査文は検証に失敗する以前のもののみに限られ
るので、情報提供者の検証を失敗させた利用者は暗号文
Cを復号するために必要な情報の一部しか獲得すること
ができず、結果として正しい情報暗号化用秘密鍵Wを生
成することが不可能となる。したがって、利用者の秘密
情報Sを知らない不正な利用者が不正な応答文を送信す
る場合はもとより、応答文そのものを送信しないような
不正行為を行ない、情報提供者が情報Mを利用者に配送
した事実を証明する通信履歴データHを情報提供者が記
録できないにも関わらず、利用者が情報Mを獲得するの
に必要な検査文eを全て受信し、情報Mを不正に復号/
獲得してしまうことがないようにすることが可能であ
る。なお、上記の説明では分割するブロックを各ブロッ
クともビット長をLで一定としたが、例えば第1ブロッ
クは1ビット、第ブロックは2ビット、第3ブロックは
4ビットというようにブロックごとにビット長を変えて
も当然構わない。
【0250】次に、署名付き情報暗号化用秘密鍵SWは
利用者にしか作成できないため、情報暗号化秘密鍵Wも
しくは署名付き情報暗号化用秘密鍵SWを情報提供者が
不正に改変することはできない。また、情報暗号化用秘
密鍵Wと、初期応答文Xij、検査文eij、応答文Y
ij(i=1,2,…,L:j=1,2,…,b)からな
る通信系列との関係では、ゼロ知識証明プロトコルにお
ける検証式と一方向性ランダムハッシュ関数h(・)と
により相互に関係し合っているため、それらの一部を不
正に改竄するなどして通信系列を改変・偽造することは
不可能である。したがって、通信履歴データHを記録保
管することにより暗号文Cを復号して利用者が情報Mを
獲得できるための情報暗号化用秘密鍵Wを利用者が確実
に受信していることの証拠として後に調停者などの中立
的な第三者に提示することができる。
【0251】以上の説明は、情報提供者が情報Mを正確
かつ確実に利用者に配送したことを証明できるものであ
り、例えば情報Mを著作物などの有料情報とした場合、
上記の情報配送方法によって情報提供者が利用者に情報
Mを送信することにより、情報提供者が記録管理する通
信履歴データHを著作権使用料等の情報料を徴収すると
きの証明情報として利用できるなど、様々な利用が可能
である。
【0252】また、上記の説明ではFiat Shamir 法をも
とに説明をしたが、本方法は拡張Fiat Shamir 法(太田
−岡本「Fiat-Shamir 法の高次への拡張」、電子情報通
信学会技術研究報告ISEC88−13)を始めとす
る、素因数分解困難性あるいは離散対数問題等の困難性
に安全性の根拠を置く全てのゼロ知識対話証明プロトコ
ルに応用が可能である。
【0253】以上説明したとおり、本発明の第9実施例
によれば、ゼロ知識証明プロトコルを利用した情報配送
方法では、第一に情報配送ステップにおいて、利用者が
要求した情報は情報提供者によって暗号化されて利用者
に配送されるため、この時点では要求した情報そのもの
を利用者が取り出すことはできない。第二に配送確認ス
テップで行われるプロトコル動作自体は利用者認証とし
てのゼロ知識証明プロトコルと同等であるため、ゼロ知
識証明プロトコルと同じように不正な利用者が情報提供
者の検証をクリアすることはほぼ不可能である。第三に
配送確認ステップが正常に終了した場合には、ゼロ知識
証明プロトコルが正常に終了したことと同値であるか
ら、情報提供者は利用者が検査文を正しく受信し、適正
な処理をしていると判断できる。第四に情報取り出しス
テップにおいて、利用者は検査文を正しく受信できれば
情報暗号化用秘密鍵を作成することができるので、この
時点で前記情報暗号化用秘密鍵により暗号化された情報
を復号し、要求した情報を取り出すことができる。した
がって、これらの効果により、情報配送方法の全てのス
テップが終了した場合には、情報提供者は正規の利用者
に対して要求された情報を暗号化した状態で提供した
後、利用者が暗号化された情報を復号するために必要な
情報を利用者に配送し、かつ確実に利用者が受信したこ
とが確認できるので、情報提供者は利用者が要求した情
報を利用者まで確実に配送したと判断できる。
【0254】叉、情報提供者が自分に都合のよい情報暗
号化用秘密鍵に不正に改竄できないようにすることがで
きる。さらに、暗号化された情報暗号化用秘密鍵は情報
提供者以外は復号することができないので、署名を行う
時点では利用者に情報暗号化用秘密鍵を知られることは
ない。
【0255】叉、通信履歴を偽造することは不可能であ
るので、情報提供者は正規の利用者に対して要求された
情報を暗号化した状態で提供した後、利用者が暗号化さ
れた情報を復号するために必要な情報を利用者に配送
し、かつ確実に利用者が受信したことを後日証明できる
証拠能力を持つことができる。
【0256】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようになる。また、情報提供者が情報を
配送した事実の証拠として記録管理しなければならない
情報量が桜井(特開平5−12321)の方式と比較し
て大幅に削減できる。
【0257】叉、情報提供者と利用者の間で情報の提供
の有無について調停をする必要が生じた場合、裁判所等
の中立な調停機関が証拠能力を有する通信履歴について
その正当性を検査することにより、情報提供者と利用者
のどちらの主張が正当であるのかを判定できる。
【0258】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として情報暗
号化用秘密鍵を生成することが不可能となるので、不正
な利用者が要求した情報を不正に獲得してしまうことが
ないようにできる。
【0259】叉、この実施例によれば、情報提供者が要
求された情報を利用者に確実に配送し、かつ利用者が確
実に受信していることを情報提供者が確認できるシステ
ムとなる。また、必要に応じて情報提供者が利用者を認
証する利用者認証方法としてのゼロ知識証明プロトコル
を単独に使用することもできる。
【0260】叉、情報暗号化秘密鍵を生成するときに乱
数文を利用できるようにしたシステムとなる。
【0261】叉、情報提供者が秘密に保持すべき情報を
蓄積することができる情報提供者秘密情報蓄積手段を有
したシステムとなる。
【0262】叉、情報提供者と利用者の間で公開鍵暗号
方法による暗号通信ができるようにしたシステムとな
る。
【0263】叉、鍵暗号化用秘密鍵と生成機能を有し、
情報暗号化用秘密鍵と鍵暗号用秘密鍵とを利用した情報
配送ができるようにしたシステムとなる。
【0264】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようにしたシステムとなる。
【0265】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0266】叉、不正な利用者があることを検出した際
には直ちにプロトコルの実行を中止して、不正な利用者
が要求した情報を不正に獲得してしまうことがないよう
にしたシステムとなる。
【0267】尚、本発明は上述した各実施例に限定され
るものではなく、その要旨を逸脱しない範囲で、種々変
形して実施することができる。
【0268】
【発明の効果】以上説明したとおり、上記第1実施例で
は、第一に情報提供者による利用者の認証方法としてゼ
ロ知識証明プロトコルを利用しているため、ゼロ知識証
明プロトコルの目的や従来からの利用方法からいって
も、利用者が正当なカードを利用していなければ情報提
供者の検証をクリアし続けることはほとんど不可能であ
り、認証段階でほぼ完全に拒絶される。
【0269】第二に情報提供者から配送情報を利用者へ
配送する部分では、配送情報をゼロ知識証明プロトコル
の検査文に含めて配送を行なっているため、ゼロ知識証
明プロトコルが正常に終了すれば、カード上において間
違いなく検査文、すなわち配送情報を受信・記録し、適
正な処理をしていたことになる。また、途中で情報提供
者の検証に失敗した場合にはそれ以降の認証は打ち切ら
れ、残りの検査文は配送されないため、利用者が知るこ
とのできる配送情報は検証に失敗する以前のものに限ら
れる。
【0270】第三に通信履歴(前記Xi 、前記Yi 、前
記検査文eji)を記録管理することにより情報提供者と
利用者との間で正常な認証が行なわれたことを情報提供
者は確認できるので、第二の効果と合わせて利用者は配
送情報を受信し、かつカードの蓄積手段14に配送情報
が記録されているはずである。このことは、情報提供者
から開示される通信履歴と利用者から提出されるカード
に記録された配送情報とを照合することによって、利用
者が情報暗号化用秘密鍵Wを生成できる状態であるかど
うかを判定できる。なお、この場合、利用者からカード
の提出がない場合には、情報暗号化用秘密鍵Wは生成で
きる状態にあると判定する。
【0271】したがって、不正な利用者がシステムを利
用したり、あるいは配送情報のすべてを不正に搾取した
りすることはできない。また、正常に認証が終了してい
るにも関わらず利用者が配送情報を受信していないなど
という不当な主張に対して、情報提供者は通信履歴を開
示するとともに、利用者にカードを提出するよう要求す
ることにより対抗できる。
【0272】また、上記第1実施例において、配送情報
すべてを分割して検査文ejiを生成する必要性はなく、
例えば、配送情報の始めからgnビット目までを検査文
ji(j=1,…,n)とし、n組の検査文ejiによる
ゼロ知識証明プロトコルが終了した後、配送情報の残り
の部分を一括して送信するような情報の配送方法とすれ
ば、nの値を様々に変えることにより、ゼロ知識証明に
おけるセキュリティレベルを変えられるうえ、通信量を
削減できる。例えばnをLw /gの半分とすれば、通信
量もほぼ半分となる。
【0273】また、検査文ejiの生成方法についても、
単純に配送情報を分割して生成するだけでなく、ダミー
情報を付加したり、あるいは暗号化を行ったりして生成
することも可能である。この場合、カード内にあらかじ
め設定されている秘密情報、もしくは蓄積された検査文
jiから自律的にダミー情報を除去、あるいは復号を行
ったりして元の配送情報に復元する機能を持たせること
により、ゼロ知識証明を正常に終了しないかぎり、前記
配送情報を取り出せないようにできる。したがって、第
三者もしくは利用者が検査文ejiを不正に搾取したり、
大部分の検査文ejiを受信した後、故意に認証を失敗さ
せ、検査文ejiのうち配送されてこない残りの部分を予
測したりする等の不正行為を行ない、情報提供者が配送
に失敗したと判断あるいは気がつかないうちに、第三者
もしくは利用者が配送情報を獲得してしまうことがない
ようにできる。
【0274】また、上記第1実施例による情報配送方法
およびシステムでは、ゼロ知識証明プロトコルに必要な
情報はすべて耐タンパー装置上に組み込まれており、実
際の情報配送においても耐タンパー装置上に組み込まれ
た手段のみを用いて実行されるため、前記情報が外部に
漏れることはなく、たとえカード所有者であっても前記
情報を知ることができない。したがって、カード自体を
偽造したり、あるいはカード上の記録情報を書き変えた
りする等の不正行為を防止できる。
【0275】一方、上記第2〜第4実施例のゼロ知識証
明プロトコルを利用した情報配送方法では、第一にプロ
トコルの動作自体は利用者認証としてのゼロ知識証明プ
ロトコルと同等であるため、ゼロ知識証明プロトコルと
同様に、不正な利用者が情報提供者の検証をクリアする
ことはほぼ不可能である。第二に配送確認ステップが正
常に終了した場合には、ゼロ知識証明プロトコルが正常
に終了したことと同値であるので、情報提供者は正しい
利用者が情報を正しく受信していると判断できる。
【0276】叉、情報を暗号化し暗号文として送信する
ことにより、第三者による情報の盗聴を防止し、かつ第
三者が情報を解読するために有効な情報も得られないよ
うにすることもできる。
【0277】叉、上記第2実施例によれば、暗号文の復
号処理を配送確認ステップと切り離して実行することが
できる。
【0278】叉、上記第2、第3実施例によれば、例え
ばハッシュ関数などを用いて情報(または利用者が復号
可能な暗号文)から検査文を生成することにより検査文
のサイズを小さくすることができ、配送確認ステップに
おける通信量及び処理時間を削減できる。
【0279】叉、上記第3実施例によれば、一方向性関
数を用いて検査文を生成することにより、情報(または
利用者が復号可能な暗号文)、応答文、及び検査文とか
らなる通信履歴の偽造を不可能にする。
【0280】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者のプロトコル
に失敗した場合には、直ちにプロトコルの実行が中止さ
れ、検証に失敗した以降のブロックは利用者に送信され
ないことになるため、結果として情報(または利用者が
復号可能な暗号文)全てを不正に獲得してしまうことが
ないようにできる。
【0281】叉、上記第4実施例によれば、大容量の情
報を送信する場合に、第一に情報は情報提供者が生成し
た情報暗号化用秘密鍵によって初めに暗号化されて利用
者に配送されるため、利用者の認証が行われる以前に情
報本体を利用者が取り出すことはできない。第二に情報
暗号化用秘密鍵についてのみ検査文として配送確認を行
うことにより、通信量及び配送確認のための処理時間を
大幅に短縮できる。第三に配送確認ステップが正常に終
了すれば利用者は検査文を正しく受信したことが確認で
き、情報取り出しステップにおいて情報暗号化用秘密鍵
を獲得することが保証されるので、この時点で初めて情
報を間違いなく取り出すことができる。したがって、こ
れらの効果により情報配送方法が終了した場合には、情
報提供者は正規の利用者に対して情報を暗号化した状態
で提供した後、利用者が暗号化された情報を復号するた
めに必要な情報を利用者に配送し、かつ確実に利用者が
受信したことが確認できるので、情報提供者は情報を利
用者まで確実に配送したと判断できる。
【0282】叉、一方向性関数を用いて情報暗号化用秘
密鍵を生成することにより情報提供者にとって都合の良
い情報暗号化用秘密鍵を不正に生成できないようにする
ことができる。また、同様に一方向性関数を用いること
により、乱数文と検査文と応答文とからなる通信履歴を
偽造することは不可能になるので、情報提供者は正規の
利用者に対して要求された情報を暗号化した状態で提供
した後、利用者が暗号化された情報を復号するために必
要な情報を利用者に配送し、かつ確実に利用者が受信し
たことを後日証明できる証拠能力を持つことができる。
【0283】叉、検査文について暗号通信を行うこと
は、情報暗号化用秘密鍵についても暗号通信を行なって
いることと同等の効果が得られるため、第三者による情
報暗号化用秘密鍵の盗聴を防止し、かつ第三者が情報暗
号化用秘密鍵を解読するために有効な情報も得られない
ようにもなる。
【0284】叉、検査文の復号処理を配送確認ステップ
と切り離して実行することができる。
【0285】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として情報本
体もしくは情報暗号化用秘密鍵を生成することが不可能
となるので、不正な利用者が要求した情報を不正に獲得
してしまうことがないようにできる。
【0286】叉、上記第3、第4実施例によれば、偽造
不可能な通信履歴を実際に情報を配送した証拠として記
録管理することができ、かつ必要に応じて提示できるよ
うになる。さらに、情報提供者が情報を配送した事実の
証拠として記録管理しなければならない情報量が桜井
(特開平5−12321)の方式と比較して大幅に削減
できる。
【0287】叉、情報提供者と利用者の間で情報の提供
の有無について調停を行う必要が生じた場合、情報提供
者が通信履歴を裁判所等の中立な調停機関に提示し、調
停機関が証拠能力を有する通信履歴についてその正当性
を検査することにより、情報提供者と利用者のどちらの
主張が正当であるのかを判定できる。すなわち、情報提
供者が利用者に対して情報(または利用者が復号可能な
暗号文)を送信し、かつ利用者が確実に受信したこと
を、後日調停者が確認できるので、利用者が情報(また
は利用者が復号可能な暗号文)を受信しているにも関わ
らず、利用者が情報を受信していないなどという不当な
主張を防止できる。
【0288】叉、上記第2〜第4実施例によれば、情報
提供者が要求された情報を利用者に確実に配送し、かつ
利用者が確実に受信していることを情報提供者が確認で
きるシステムとなる。また、必要に応じて情報提供者が
利用者を認証する利用者認証方法としてのゼロ知識証明
プロトコルを単独に使用することもできる。
【0289】叉、情報提供者と利用者の間で暗号通信が
できるようにしたシステムとなる。
【0290】叉、上記第4実施例によれば、情報提供者
から提供された情報を蓄積し、利用者が必要に応じて情
報を利用できるようにしたシステムとなる。
【0291】叉、情報暗号化用秘密鍵の生成機能を有
し、情報暗号化用秘密鍵を用いた情報配送ができように
したシステムとなる。
【0292】叉、上記第3、第4実施例によれば、証拠
能力を有する通信履歴を必要に応じて提示できるように
したシステムとなる。
【0293】叉、不正な利用者であることを検出した際
には直ちにプロトコルの実行を中止して、不正な利用者
が要求した情報を不正に獲得してしまうことがないよう
にしたシステムとなる。
【0294】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0295】一方、上記第5〜第8実施例によれば、ゼ
ロ知識証明プロトコルを利用した情報配送方法では、第
一に情報配送ステップにおいて、利用者が要求した情報
は情報提供者によって暗号化されて利用者に配送される
ため、この時点では要求した情報そのものを利用者が取
り出すことはできない。第二に配送確認ステップで行わ
れるプロトコル動作自体は利用者認証としてのゼロ知識
証明プロトコルと同等であるため、ゼロ知識証明プロト
コルと同じように不正な利用者が情報提供者の検証をク
リアすることはほぼ不可能である。第三に配送確認ステ
ップが正常に終了した場合には、ゼロ知識証明プロトコ
ルが正常に終了したことと同値であるから、情報提供者
は利用者が検査文を正しく受信し、適正な処理をしてい
ると判断できる。第四に情報取り出しステップにおい
て、利用者は検査文を正しく受信できれば、秘密鍵配送
文及び情報暗号化用秘密鍵を作成することができるの
で、この時点で前記情報暗号化用秘密鍵により暗号化さ
れた情報を復号し、要求した情報を取り出すことができ
る。したがって、これらの効果により、情報配送方法の
全てのステップが終了した場合には、情報提供者は正規
の利用者に対して要求された情報を暗号化した状態で提
供した後、利用者が暗号化された情報を復号するために
必要な情報を利用者に配送し、かつ確実に利用者が受信
したことが確認できるので、情報提供者は利用者が要求
した情報を利用者まで確実に配送したと判断できる。
【0296】叉、上記第5、第6実施例によれば、検査
文について暗号通信をすることは、情報暗号化用秘密鍵
についても暗号通信をしていることと同等の効果が得ら
れることになり、第三者が通信路を盗聴したとしてもこ
れらの秘密鍵が知られることはない。さらに、情報暗号
化用秘密鍵を解読するために有効な情報も得られないよ
うにすることもできる。
【0297】叉、上記第7、第8実施例によれば、情報
提供者にとって都合のよい情報暗号化用秘密鍵を不正に
作成できないようにすることができる。
【0298】叉、通信履歴を偽造することは不可能であ
るので、情報提供者は正規の利用者に対して要求された
情報を暗号化した状態で提供した後、利用者が暗号化さ
れた情報を復号するために必要な情報を利用者に配送
し、かつ確実に利用者が受信したことを後日証明できる
証拠能力を持つことができる。
【0299】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようになる。また、情報提供者が情報を
配送した事実の証拠として記録管理しなければならない
情報量が桜井(特開平5−12321)の方式と比較し
て大幅に削減できる。
【0300】叉、情報提供者と利用者の間で情報の提供
の有無について調停をする必要が生じた場合、裁判所等
の中立な調停機関が証拠能力を有する通信履歴について
その正当性を検査することにより、情報提供者と利用者
のどちらの主張が正当であるのかを判定できる。
【0301】叉、上記第8実施例によれば、情報配送要
求文を暗号送信することにより、第三者による情報配送
要求文の盗聴を防止し、どんな情報を要求したかなどの
利用者のプライバシーが保護できる。
【0302】叉、鍵暗号化用秘密鍵及び情報暗号化用秘
密鍵については、情報提供者と利用者のみの秘密の情報
によりスクランブルされるので、第三者が通信路を盗聴
したとしてもこれらの秘密鍵が知られることはなく、ま
た秘密鍵を解読するために有効な情報も得られない。し
たがって、利用者が要求した情報を第三者が不正に獲得
することはできない。
【0303】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として鍵暗号
化用秘密鍵もしくは情報暗号化用秘密鍵を生成すること
が不可能となるので、不正な利用者が要求した情報を不
正に獲得してしまうことがないようにできる。
【0304】叉、上記第5〜第8実施例によれば、情報
提供者が要求された情報を利用者に確実に配送し、かつ
利用者が確実に受信していることを情報提供者が確認で
きるシステムとなる。また、必要に応じて情報提供者が
利用者を認証する利用者認証方法としてのゼロ知識証明
プロトコルを単独に使用することもできる。
【0305】叉、情報暗号化秘密鍵を生成するときに乱
数文を利用できるようにしたシステムとなる。
【0306】叉、上記第5、第8実施例によれば、情報
提供者が秘密に保持すべき情報を蓄積することができる
情報提供者秘密情報蓄積手段を有したシステムとなる。
【0307】叉、上記第5、第6、第8実施例によれ
ば、情報提供者と利用者の間で公開鍵暗号方法による暗
号通信ができるようにしたシステムとなる。
【0308】叉、上記第7、第8実施例によれば、情報
配送要求文を簡単に作成するための入力手段を利用者端
末に備えたシステムとなる。
【0309】叉、鍵暗号化用秘密鍵と秘密鍵配送文との
生成機能を有し、情報暗号化用秘密鍵と鍵暗号用秘密鍵
とを利用した情報配送ができるようにしたシステムとな
る。
【0310】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようにしたシステムとなる。
【0311】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0312】叉、上記第8実施例によれば、不正な利用
者があることを検出した際には直ちにプロトコルの実行
を中止して、不正な利用者が要求した情報を不正に獲得
してしまうことがないようにしたシステムとなる。
【0313】一方、上記第9実施例によれば、ゼロ知識
証明プロトコルを利用した情報配送方法では、第一に情
報配送ステップにおいて、利用者が要求した情報は情報
提供者によって暗号化されて利用者に配送されるため、
この時点では要求した情報そのものを利用者が取り出す
ことはできない。第二に配送確認ステップで行われるプ
ロトコル動作自体は利用者認証としてのゼロ知識証明プ
ロトコルと同等であるため、ゼロ知識証明プロトコルと
同じように不正な利用者が情報提供者の検証をクリアす
ることはほぼ不可能である。第三に配送確認ステップが
正常に終了した場合には、ゼロ知識証明プロトコルが正
常に終了したことと同値であるから、情報提供者は利用
者が検査文を正しく受信し、適正な処理をしていると判
断できる。第四に情報取り出しステップにおいて、利用
者は検査文を正しく受信できれば情報暗号化用秘密鍵を
作成することができるので、この時点で前記情報暗号化
用秘密鍵により暗号化された情報を復号し、要求した情
報を取り出すことができる。したがって、これらの効果
により、情報配送方法の全てのステップが終了した場合
には、情報提供者は正規の利用者に対して要求された情
報を暗号化した状態で提供した後、利用者が暗号化され
た情報を復号するために必要な情報を利用者に配送し、
かつ確実に利用者が受信したことが確認できるので、情
報提供者は利用者が要求した情報を利用者まで確実に配
送したと判断できる。
【0314】叉、情報提供者が自分に都合のよい情報暗
号化用秘密鍵に不正に改竄できないようにすることがで
きる。さらに、暗号化された情報暗号化用秘密鍵は情報
提供者以外は復号することができないので、署名を行う
時点では利用者に情報暗号化用秘密鍵を知られることは
ない。
【0315】叉、通信履歴を偽造することは不可能であ
るので、情報提供者は正規の利用者に対して要求された
情報を暗号化した状態で提供した後、利用者が暗号化さ
れた情報を復号するために必要な情報を利用者に配送
し、かつ確実に利用者が受信したことを後日証明できる
証拠能力を持つことができる。
【0316】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようになる。また、情報提供者が情報を
配送した事実の証拠として記録管理しなければならない
情報量が桜井(特開平5−12321)の方式と比較し
て大幅に削減できる。
【0317】叉、情報提供者と利用者の間で情報の提供
の有無について調停をする必要が生じた場合、裁判所等
の中立な調停機関が証拠能力を有する通信履歴について
その正当性を検査することにより、情報提供者と利用者
のどちらの主張が正当であるのかを判定できる。
【0318】叉、例えば不正な利用者による利用などに
より配送確認ステップの途中で情報提供者の検証に失敗
した場合には、ただちにプロトコルの実行が中止され、
検証に失敗した以降のブロックは利用者に送信されない
ことになる。したがって、情報提供者の検証を失敗させ
た利用者は暗号化された情報を復号するために必要な情
報の一部しか獲得することができず、結果として情報暗
号化用秘密鍵を生成することが不可能となるので、不正
な利用者が要求した情報を不正に獲得してしまうことが
ないようにできる。
【0319】叉、上記第9実施例によれば、情報提供者
が要求された情報を利用者に確実に配送し、かつ利用者
が確実に受信していることを情報提供者が確認できるシ
ステムとなる。また、必要に応じて情報提供者が利用者
を認証する利用者認証方法としてのゼロ知識証明プロト
コルを単独に使用することもできる。
【0320】叉、情報暗号化秘密鍵を生成するときに乱
数文を利用できるようにしたシステムとなる。
【0321】叉、情報提供者が秘密に保持すべき情報を
蓄積することができる情報提供者秘密情報蓄積手段を有
したシステムとなる。
【0322】叉、情報提供者と利用者の間で公開鍵暗号
方法による暗号通信ができるようにしたシステムとな
る。
【0323】叉、鍵暗号化用秘密鍵と生成機能を有し、
情報暗号化用秘密鍵と鍵暗号用秘密鍵とを利用した情報
配送ができるようにしたシステムとなる。
【0324】叉、証拠能力を有する通信履歴を必要に応
じて提示できるようにしたシステムとなる。
【0325】叉、裁判所等の中立な調停機関により、証
拠能力を有する通信履歴についてその正当性を検査し、
情報提供者と利用者のどちらの主張が正当であるのかを
判定することができるようにしたシステムとなる。
【0326】叉、不正な利用者があることを検出した際
には直ちにプロトコルの実行を中止して、不正な利用者
が要求した情報を不正に獲得してしまうことがないよう
にしたシステムとなる。
【図面の簡単な説明】
【図1】従来のFiat Shamir 法による利用者認証方式
と、従来の認証子法によるメッセージ認証方式と、従来
のRSA署名法によるディジタル署名方式を示す概念図
である。
【図2】本発明の第1実施例における情報配送システム
の構成例を示すブロック図である。
【図3】図2に示す情報配送システムの動作手順を示す
フローチャートである。
【図4】図2に示す情報配送システムで用いる配送情報
の例を示す模式図である。
【図5】本発明の第2実施例における情報配送システム
の構成例を示すブロック図である。
【図6】図5に示す情報配送システムの動作手順を示す
フローチャートである。
【図7】本発明の第3実施例における情報配送システム
の構成例を示すブロック図である。
【図8】図7に示す情報配送システムの配送確認に関す
る動作手順を示すフローチャートである。
【図9】図7に示す情報配送システムの調停に関する動
作手順を示すフローチャートである。
【図10】本発明の第4実施例における情報配送システ
ムの構成例を示すブロック図である。
【図11】図10に示す情報配送システムの配送確認と
情報取り出しに関する動作手順を示すフローチャートで
ある。
【図12】図10に示す情報配送システムの調停に関す
る動作手順を示すフローチャートである。
【図13】本発明の第5実施例における情報配送システ
ムの構成例を示すブロック図である。
【図14】図13に示す情報配送システムの動作手順を
示すフローチャートである。
【図15】本発明の第6実施例における情報配送システ
ムの構成例を示すブロック図である。
【図16】図15に示す情報配送システムの動作手順を
示すフローチャートである。
【図17】本発明の第7実施例における情報配送システ
ムの構成例を示すブロック図である。
【図18】図17に示す情報配送システムの情報配送、
配送確認、情報取り出しに関する動作手順を示すフロー
チャートである。
【図19】図17に示す情報配送システムの調停に関す
る動作手順を示すフローチャートである。
【図20】図17に示す情報配送システムで用いる情報
配送要求文の構成形態を示す模式図である。
【図21】図17に示す情報配送システムで用いる通信
履歴の構成形態を示す模式図である。
【図22】本発明の第8実施例における情報配送システ
ムの構成例を示すブロック図である。
【図23】図22に示す情報配送システムの情報配送、
配送確認、情報取り出しに関する動作手順の前半を示す
フローチャートである。
【図24】図22に示す情報配送システムの情報配送、
配送確認、情報取り出しに関する動作手順の後半を示す
フローチャートである。
【図25】図22に示す情報配送システムの調停に関す
る動作手順を示すフローチャートである。
【図26】本発明の第9実施例における情報配送システ
ムの構成例を示すブロック図である。
【図27】図26に示す情報配送システムの情報配送、
配送確認、情報取り出しに関する動作手順の前半を示す
フローチャートである。
【図28】図26に示す情報配送システムの情報配送、
配送確認、情報取り出しに関する動作手順の後半を示す
フローチャートである。
【図29】図26に示す情報配送システムの調停に関す
る動作手順を示すフローチャートである。
【符号の説明】
1 カード 11 秘密情報蓄積手段 12 乱数発生手段 13 演算手段 14 蓄積手段 2 利用者端末 21 カード挿入手段 22 蓄積手段 23 利用手段 24 通信制御手段 3 情報提供者端末 31 情報蓄積手段 32 情報分割手段 33 検証手段 34 履歴管理手段 35 通信制御手段 50 配送情報 10 利用者端末 20 情報提供者端末 30 通信回線 40 調停者端末 100 通信制御手段 101 利用者秘密情報蓄積手段 102 一時メモリ 103 乱数発生手段 104 演算手段 105 共通鍵暗号手段 106 情報出力/利用手段 107 公開鍵暗号手段 108 情報再構成手段 109 情報蓄積手段 110 入力手段 41 演算手段 42 一時メモリ 43 検証手段 44 情報分割手段 45 公開鍵暗号手段 200 通信制御手段 201 情報提供者秘密情報蓄積手段 202 情報データベース 203 一時メモリ 204 演算手段 205 共通鍵暗号手段 206 検証手段 207 情報分割手段 208 通信履歴ファイル 209 乱数発生手段 210 公開鍵暗号手段 401 演算手段 402 一時メモリ 403 検証手段 404 情報分割手段 405 公開鍵暗号手段
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 G09C 1/00 7259−5J

Claims (62)

    【特許請求の範囲】
  1. 【請求項1】 少なくとも情報提供者と利用者とを含む
    システムにおいて、 利用者が情報提供者に情報の配送を要求した時に、 情報提供者が、ゼロ知識証明プロトコルにしたがって利
    用者の利用者認証を行なう過程と、 情報提供者が、利用者に配送する情報Mをゼロ知識証明
    プロトコル中における検査文Eに含めて送信し、利用者
    に情報を1ビットまたは複数ビット単位で配送する過程
    と、 情報提供者が、ゼロ知識証明プロトコルの通信履歴デー
    タHを記録管理する過程と、 を同時に行なうことを特徴とする情報配送方法。
  2. 【請求項2】 請求項1に記載の情報配送方法におい
    て、前記利用者認証を行なう過程及び前記配送する過程
    は、 利用者が、初期応答文Xを情報提供者に送信し、 情報提供者が、利用者に配送する情報Mを利用者に送信
    し、 利用者が、情報Mを検査文Eとして、初期応答文Xと検
    査文Eと利用者の秘密情報Sとを用いて応答文Yを作成
    して情報提供者に送信し、 情報提供者が、情報Mを検査文Eとして、応答文Yは初
    期応答文Xと検査文Eと利用者の公開情報Iとに対する
    正しい応答になっているかを検査して、利用者の秘密情
    報Sを漏らすことなく、利用者は秘密情報Sを知ってい
    ることを認証するとともに、利用者は情報Mを確実に受
    信していることを確認することからなる配送確認プロセ
    スを含むことを特徴とする情報配送方法。
  3. 【請求項3】 請求項2に記載の情報配送方法におい
    て、 情報提供者から利用者に送信する情報Mについて暗号通
    信を行なうことを特徴とする情報配送方法。
  4. 【請求項4】 請求項3に記載の情報配送方法におい
    て、 利用者から情報提供者に送信する初期応答文Xまたは応
    答文Yの少なくともいずれか一方について暗号通信を行
    なうことを特徴とする情報配送方法。
  5. 【請求項5】 請求項1に記載の情報配送方法におい
    て、前記利用者認証を行なう過程及び前記配送する過程
    は、 利用者が、初期応答文Xを情報提供者に送信し、 情報提供者が、利用者に配送する情報Mを暗号化した暗
    号文Cを利用者に送信し、 利用者が、暗号文Cを検査文Eとして、初期応答文Xと
    検査文Eと利用者の秘密情報Sとを用いて応答文Yを作
    成して情報提供者に送信し、 情報提供者が、送信した暗号文Cを検査文Eとして、応
    答文Yは初期応答文Xと検査文Eと利用者の公開情報I
    とに対する正しい応答になっているかを検査して、利用
    者の秘密情報Sを漏らすことなく、利用者は秘密情報S
    を知っていることを認証するとともに、利用者は暗号文
    Cを確実に受信していることを確認することからなる配
    送確認プロセスと、 利用者が、暗号文Cを復号して情報Mを獲得することか
    らなる情報取り出しプロセスとを含むことを特徴とする
    情報配送方法。
  6. 【請求項6】 請求項2から請求項5のいずれかに記載
    の情報配送方法において、 利用者及び情報提供者は、少なくとも情報Mまたは暗号
    文Cを用いて情報圧縮関数により検査文Eを作成するこ
    とを特徴とする情報配送方法。
  7. 【請求項7】 請求項2から請求項6のいずれかに記載
    の情報配送方法において、 利用者及び情報提供者は、少なくとも情報Mまたは暗号
    文Cと初期応答文Xとを用いて一方向性関数により検査
    文Eを作成することを特徴とする情報配送方法。
  8. 【請求項8】 請求項7に記載の情報配送方法におい
    て、前記記録管理する過程では、 情報提供者が、少なくとも情報Mまたは暗号文Cと検査
    文Eと応答文Yとからなる通信履歴データHを記録管理
    することを特徴とする情報配送方法。
  9. 【請求項9】 請求項8に記載の情報配送方法におい
    て、更に、 情報提供者が、調停者に対し通信履歴データHを提示
    し、 調停者が、検査文Eと応答文Yと利用者の公開情報Iと
    から初期応答文Xを計算し、少なくとも初期応答文Xと
    情報Mまたは暗号文Cとを用いて一方向性関数により検
    査文Eを作成し、作成した検査文Eは通信履歴データH
    に含まれる検査文Eと一致するかを検査して、一致すれ
    ば情報提供者は利用者を認証し、かつ利用者に対して情
    報Mを配送したことを認めることからなる過程を含むこ
    とを特徴とする情報配送方法。
  10. 【請求項10】 請求項2から請求項9のいずれかに記
    載の情報配送方法において、前記利用者認証を行なう過
    程及び前記配送する過程は、 情報提供者が、利用者に送信する情報Mまたは暗号文C
    を任意ビット長のサイズの複数個のブロックに分割し、
    各ブロックごとに独立して繰り返し配送確認プロセスを
    行なうことを特徴とする情報配送方法。
  11. 【請求項11】 請求項1に記載の情報配送方法におい
    て、前記利用者認証を行なう過程及び前記配送する過程
    は、 利用者が、初期応答文Xを情報提供者に送信し、 情報提供者が、情報暗号化用秘密鍵Wを生成し、利用者
    に配送する情報Mを情報暗号化用秘密鍵Wを用いて共通
    鍵暗号方式により暗号化した暗号文Cを利用者に送信
    し、 利用者が、暗号文Cを受信した後、受信した旨を情報提
    供者に通知し、 情報提供者が、少なくとも情報暗号化用秘密鍵Wを用い
    て検査文Eを生成して利用者に送信し、 利用者が、初期応答文Xと検査文Eと利用者の秘密情報
    Sとを用いて応答文Yを作成して情報提供者に送信し、 情報提供者が、応答文Yは初期応答文Xと検査文Eと利
    用者の公開情報Iとに対する正しい応答になっているか
    を検査して、利用者の秘密情報Sを漏らすことなく、利
    用者は秘密情報Sを知っていることを認証するととも
    に、利用者は検査文Eを確実に受信していることを確認
    することからなる配送確認プロセスと、 利用者が、少なくとも検査文Eを用いて情報暗号化用秘
    密鍵Wを取り出し、情報暗号化用秘密鍵Wを用いて共通
    鍵暗号方式により暗号文Cを復号して情報Mを獲得する
    ことからなる情報取り出しプロセスとを含むことを特徴
    とする情報配送方法。
  12. 【請求項12】 請求項11に記載の情報配送方法にお
    いて、 情報提供者は、少なくとも初期応答文Xと乱数文Zを用
    いて一方向性関数により情報暗号化用秘密鍵Wを生成す
    ることを特徴とする情報配送方法。
  13. 【請求項13】 請求項12に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも乱数文Zと検査文Eと応答文
    Yとからなる通信履歴データHを記録管理することを特
    徴とする情報配送方法。
  14. 【請求項14】 請求項13に記載の情報配送方法にお
    いて、更に、 情報提供者が、調停者に対し通信履歴データHを提示
    し、 調停者が、検査文Eと応答文Yと利用者の公開情報Iと
    から初期応答文Xを計算し、少なくとも初期応答文Xと
    乱数文Zを用いて一方向性関数により情報暗号化用秘密
    鍵Wを生成し、少なくとも情報暗号化用秘密鍵Wを用い
    て検査文Eを作成し、作成した検査文Eは通信履歴デー
    タHに含まれる検査文Eと一致するかを検査して、一致
    すれば情報提供者は利用者を認証し、かつ利用者に対し
    て情報Mを配送したことを認めることからなる過程とを
    含むことを特徴とする情報配送方法。
  15. 【請求項15】 請求項1に記載の情報配送方法におい
    て、前記利用者認証を行なう過程及び前記配送する過程
    は、 情報提供者が、情報暗号化用秘密鍵Wを生成し、情報M
    を情報暗号化用秘密鍵Wを用いて共通鍵暗号方式により
    暗号化した暗号文Cを利用者に送信し、 利用者が、暗号文Cを受信した後、受信した旨を情報提
    供者に通知することからなる情報配送プロセスと、 利用者が、初期応答文Xを情報提供者に送信し、 情報提供者が、少なくとも情報暗号化秘密鍵Wを用いて
    検査文Eを作成して利用者に送信し、 利用者が、初期応答文Xと検査文Eと利用者の秘密情報
    Sとを用いて応答文Yを作成して情報提供者に送信し、 情報提供者が、応答文Yは初期応答文Xと検査文Eと利
    用者の公開情報Iとに対する正しい応答になっているか
    を検査して、利用者の秘密情報Sを漏らすことなく、利
    用者は秘密情報Sを知っていることを認証するととも
    に、利用者は検査文Eを確実に受信していることを確認
    することからなる配送確認プロセスと、 利用者が、少なくとも検査文Eを用いて情報暗号化用秘
    密鍵Wを獲得し、情報暗号化用秘密鍵Wを用いて共通鍵
    暗号方式により暗号文Cを復号して情報Mを獲得するこ
    とからなる情報取り出しプロセスとを含むことを特徴と
    する情報配送方法。
  16. 【請求項16】 請求項15に記載の情報配送方法にお
    いて、 情報提供者は少なくとも自ら生成した乱数文Zを用いて
    一方向性関数により情報暗号化用秘密鍵Wを生成するこ
    とを特徴とする情報配送方法。
  17. 【請求項17】 請求項16に記載の情報配送方法にお
    いて、 前記配送確認プロセスでは、情報提供者は少なくとも初
    期応答文Xを用いて一方向性関数により鍵暗号化用秘密
    鍵Kを生成し、少なくとも情報暗号化用秘密鍵Wと鍵暗
    号化用秘密鍵Kとを用いて検査文Eを生成して利用者に
    送信し、 前記情報取り出しプロセスでは、利用者は少なくとも初
    期応答文Xを用いて一方向性関数により鍵暗号化用秘密
    鍵Kを生成し、少なくとも検査文Eと鍵暗号化用秘密鍵
    Kとを用いて情報暗号化用秘密鍵Wを取り出すことを特
    徴とする情報配送方法。
  18. 【請求項18】 請求項17に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも乱数文Zと検査文Eと応答文
    Yとからなる通信履歴データHを記録管理することを特
    徴とする情報配送方法。
  19. 【請求項19】 請求項18に記載の情報配送方法にお
    いて、更に、 情報提供者が調停者に対し通信履歴データHを提示し、 調停者が検査文Eと応答文Yと利用者の公開情報Iとか
    ら初期応答文Xを計算し、少なくとも初期応答文Xを用
    いて一方向性関数により鍵暗号用秘密鍵Kを、また少な
    くとも乱数文Zを用いて一方向性関数により情報暗号化
    用秘密鍵Wをそれぞれ生成し、少なくとも鍵暗号用秘密
    鍵Kと情報暗号化用秘密鍵Wとを用いて検査文Eを作成
    し、作成した検査文Eは通信履歴データHに含まれる検
    査文Eと一致するかを検査して、一致すれば情報提供者
    は利用者を認証し、かつ利用者に対して情報Mを配送し
    たことを認めることからなる過程を含むことを特徴とす
    る情報配送方法。
  20. 【請求項20】 請求項16に記載の情報配送方法にお
    いて、 前記配送確認プロセスでは、情報提供者は少なくとも初
    期応答文Xおよび利用者と情報提供者が秘密に共有して
    いる秘密情報CSとを用いて一方向性関数により鍵暗号
    化用秘密鍵Kを生成し、少なくとも情報暗号化用秘密鍵
    Wと鍵暗号化用秘密鍵Kとを用いて検査文Eを生成して
    利用者に送信し、 前記情報取り出しプロセスでは、利用者は少なくとも初
    期応答文Xと秘密情報CSとを用いて一方向性関数によ
    り鍵暗号化用秘密鍵Kを生成し、少なくとも検査文Eと
    鍵暗号化用秘密鍵Kとを用いて情報暗号化用秘密鍵Wを
    取り出すことを特徴とする情報配送方法。
  21. 【請求項21】 請求項20に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも利用者と情報提供者が秘密に
    共有している秘密情報CSと乱数文Zと検査文Eと応答
    文Yとからなる通信履歴データHを記録管理することを
    特徴とする情報配送方法。
  22. 【請求項22】 請求項21に記載の情報配送方法にお
    いて、更に、 情報提供者が調停者に対し通信履歴データHを提示し、 調停者が検査文Eと応答文Yと利用者の公開情報Iとか
    ら初期応答文Xを計算し、少なくとも初期応答文Xおよ
    び利用者と情報提供者が秘密に共有している秘密情報C
    Sとを用いて一方向性関数により鍵暗号用秘密鍵Kを、
    また少なくとも乱数文Zを用いて一方向性関数により情
    報暗号化用秘密鍵Wをそれぞれ生成し、少なくとも鍵暗
    号用秘密鍵Kと情報暗号化用秘密鍵Wとを用いて検査文
    Eを作成し、作成した検査文Eは通信履歴データHに含
    まれる検査文Eと一致するかを検査して、一致すれば情
    報提供者は利用者を認証し、かつ利用者に対して情報M
    を配送したことを認めることから成る過程を含むことを
    特徴とする情報配送方法。
  23. 【請求項23】 請求項15に記載の情報配送方法にお
    いて、 利用者は、要求文Rを情報提供者に送信し、 情報提供者は、少なくとも要求文Rと自ら生成した乱数
    文Zとを用いて一方向性関数により情報暗号化用秘密鍵
    Wを生成することを特徴とする情報配送方法。
  24. 【請求項24】 請求項23に記載の情報配送方法にお
    いて、 利用者から情報提供者に送信する要求文Rについて暗号
    通信を行なうことを特徴とする情報配送方法。
  25. 【請求項25】 請求項23または請求項24に記載の
    情報配送方法において、 前記配送確認プロセスでは、情報提供者が、少なくとも
    初期応答文Xを用いて一方向性関数により鍵暗号化用秘
    密鍵Kを生成し、少なくとも情報暗号化用秘密鍵Wと鍵
    暗号化用秘密鍵Kとを用いて検査文Eを生成して利用者
    に送信し、 前記情報取り出しプロセスでは、利用者が、少なくとも
    初期応答文Xを用いて一方向性関数により鍵暗号化用秘
    密鍵Kを生成し、少なくとも検査文Eと鍵暗号化用秘密
    鍵Kとを用いて情報暗号化用秘密鍵Wを取り出すことを
    特徴とする情報配送方法。
  26. 【請求項26】 請求項25に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも乱数文Zと検査文Eと応答文
    Yと要求文Rとからなる通信履歴データHを記録管理す
    ることを特徴とする情報配送方法。
  27. 【請求項27】 請求項26に記載の情報配送方法にお
    いて、更に、 情報提供者が、調停者に対し通信履歴データHを提示
    し、 調停者が、検査文Eと応答文Yと利用者の公開情報Iと
    から初期応答文Xを計算し、少なくとも初期応答文Xを
    用いて一方向性関数により鍵暗号用秘密鍵Kを、また少
    なくとも乱数文Zと要求文Rとを用いて一方向性関数に
    より情報暗号化用秘密鍵Wをそれぞれ生成し、少なくと
    も鍵暗号用秘密鍵Kと情報暗号化用秘密鍵Wとを用いて
    検査文Eを作成し、作成した検査文Eは通信履歴データ
    Hに含まれる検査文Eと一致するかを検査して、一致す
    れば情報提供者は利用者を認証し、かつ利用者に対して
    情報Mを配送したことを認めることからなる過程を含む
    ことを特徴とする情報配送方法。
  28. 【請求項28】 請求項23または請求項24に記載の
    情報配送方法において、 前記配送確認プロセスでは、情報提供者が、少なくとも
    初期応答文Xおよび利用者と情報提供者が秘密に共有し
    ている秘密情報CSとを用いて一方向性関数により鍵暗
    号化用秘密鍵Kを生成し、少なくとも情報暗号化用秘密
    鍵Wと鍵暗号化用秘密鍵Kとを用いて検査文Eを生成し
    て利用者に送信し、 前記情報取り出しプロセスでは、利用者が、少なくとも
    初期応答文Xと秘密情報CSとを用いて一方向性関数に
    より鍵暗号化用秘密鍵Kを生成し、少なくとも検査文E
    と鍵暗号化用秘密鍵Kとを用いて情報暗号化用秘密鍵W
    を取り出すことを特徴とする情報配送方法。
  29. 【請求項29】 請求項28に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも利用者と情報提供者が秘密に
    共有している秘密情報CSと乱数文Zと検査文Eと応答
    文Yと要求文Rとからなる通信履歴データHを記録管理
    することを特徴とする情報配送方法。
  30. 【請求項30】 請求項29に記載の情報配送方法にお
    いて、更に、 情報提供者が、調停者に対し通信履歴データHを提示
    し、 調停者が、検査文Eと応答文Yと利用者の公開情報Iと
    から初期応答文Xを計算し、少なくとも初期応答文Xお
    よび利用者と情報提供者が秘密に共有している秘密情報
    CSとを用いて一方向性関数により鍵暗号用秘密鍵K
    を、また少なくとも乱数文Zと要求文Rとを用いて一方
    向性関数により情報暗号化用秘密鍵Wをそれぞれ生成
    し、少なくとも鍵暗号用秘密鍵Kと情報暗号化用秘密鍵
    Wとを用いて検査文Eを作成し、作成した検査文Eは通
    信履歴データHに含まれる検査文Eと一致するかを検査
    して、一致すれば情報提供者は利用者を認証し、かつ利
    用者に対して情報Mを配送したことを認めることから成
    る過程を含むことを特徴とする情報配送方法。
  31. 【請求項31】 請求項15に記載の情報配送方法にお
    いて、更に、 情報提供者が、利用者には復号できない方式で暗号化し
    た情報暗号化用秘密鍵CWを利用者に送信し、 利用者が、暗号化された情報暗号化用秘密鍵CWにディ
    ジタル署名した署名付き情報暗号用秘密鍵SWを情報提
    供者に送信し、 情報提供者が、署名付き情報暗号用秘密鍵SWの署名は
    正しいかを検証することからなる過程を含むことを特徴
    とする情報配送方法。
  32. 【請求項32】 請求項31に記載の情報配送方法にお
    いて、 前記配送確認プロセスでは、情報提供者が、少なくとも
    初期応答文Xを用いて一方向性関数により鍵暗号化用秘
    密鍵Kを生成し、少なくとも情報暗号化用秘密鍵Wと鍵
    暗号化用秘密鍵Kとを用いて検査文Eを生成して利用者
    に送信し、 前記情報取り出しプロセスでは、利用者が、少なくとも
    初期応答文Xを用いて一方向性関数により鍵暗号化用秘
    密鍵Kを生成し、少なくとも検査文Eと鍵暗号化用秘密
    鍵Kとを用いて情報暗号化用秘密鍵Wを取り出すことを
    特徴とする情報配送方法。
  33. 【請求項33】 請求項32に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも情報暗号用秘密鍵Wと署名付
    き情報暗号用秘密鍵SWと検査文Eと応答文Yとからな
    る通信履歴データHを記録管理することを特徴とする情
    報配送方法。
  34. 【請求項34】 請求項33に記載の情報配送方法にお
    いて、更に、 情報提供者が、調停者に対し通信履歴データHを提示
    し、 調停者が、署名付き情報暗号用秘密鍵SWは情報暗号用
    秘密鍵Wに対する正しい署名であるかどうかを検証した
    後、検査文Eと応答文Yと利用者の公開情報Iとから初
    期応答文Xを計算し、少なくとも初期応答文Xを用いて
    一方向性関数により鍵暗号用秘密鍵Kを生成し、少なく
    とも鍵暗号用秘密鍵Kと情報暗号化用秘密鍵Wとを用い
    て検査文Eを作成し、作成した検査文Eは通信履歴デー
    タHに含まれる検査文Eと一致するかを検査して、一致
    すれば情報提供者は利用者を認証し、かつ利用者に対し
    て情報Mを配送したことを認めることからなる過程を含
    むことを特徴とする情報配送方法。
  35. 【請求項35】 請求項31に記載の情報配送方法にお
    いて、 前記配送確認プロセスでは、情報提供者は少なくとも初
    期応答文X及び利用者と情報提供者が秘密に共有してい
    る秘密情報CSを用いて一方向性関数により鍵暗号化用
    秘密鍵Kを生成し、少なくとも情報暗号化用秘密鍵Wと
    鍵暗号化用秘密鍵Kとを用いて検査文Eを生成して利用
    者に送信し、 前記情報取り出しプロセスでは、利用者は少なくとも初
    期応答文X及び利用者と情報提供者が秘密に共有してい
    る秘密情報CSを用いて一方向性関数により鍵暗号化用
    秘密鍵Kを生成し、少なくとも検査文Eと鍵暗号化用秘
    密鍵Kとを用いて情報暗号化用秘密鍵Wを取り出すこと
    を特徴とする情報配送方法。
  36. 【請求項36】 請求項35に記載の情報配送方法にお
    いて、前記記録管理する過程では、 情報提供者が、少なくとも情報暗号用秘密鍵Wと署名付
    き情報暗号用秘密鍵SWと検査文Eと応答文Y及び利用
    者と情報提供者が秘密に共有している秘密情報CSとか
    らなる通信履歴データHを記録管理することを特徴とす
    る情報配送方法。
  37. 【請求項37】 請求項36に記載の情報配送方法にお
    いて、更に、 情報提供者が調停者に対し通信履歴データHを提示し、 調停者が署名付き情報暗号用秘密鍵SWは情報暗号用秘
    密鍵Wに対する正しい署名であるかどうかを検証した
    後、検査文Eと応答文Yと利用者の公開情報Iとから初
    期応答文Xを計算し、少なくとも初期応答文X及び利用
    者と情報提供者が秘密に共有している秘密情報CSを用
    いて一方向性関数により鍵暗号用秘密鍵Kを生成し、少
    なくとも鍵暗号用秘密鍵Kと情報暗号化用秘密鍵Wとを
    用いて検査文Eを作成し、作成した検査文Eは通信履歴
    データHに含まれる検査文Eと一致するかを検査して、
    一致すれば情報提供者は利用者を認証し、かつ利用者に
    対して情報Mを配送したことを認めることからなる過程
    を含むことを特徴とする情報配送方法。
  38. 【請求項38】 請求項11から請求項37のいずれか
    に記載の情報配送方法において、 情報提供者から利用者に送信する検査文Eについて暗号
    通信を行なうことを特徴とする情報配送方法。
  39. 【請求項39】 請求項38の情報配送方法において、 利用者から情報提供者に送信する初期応答文Xまたは応
    答文Yの少なくとも一方を暗号通信を行なうことを特徴
    とする情報配送方法。
  40. 【請求項40】 請求項11から請求項37のいずれか
    に記載の情報配送方法において、 前記配送確認プロセスでは、情報提供者が、少なくとも
    検査文Eを暗号化して利用者に送信し、 前記情報取り出しプロセスでは、利用者が、検査文Eを
    復号することを特徴とする情報配送方法。
  41. 【請求項41】 請求項11から請求項40のいずれか
    に記載の情報配送方法において、前記利用者認証を行な
    う過程及び前記配送する過程は、 検査文Eを任意ビット長のサイズの複数個のブロックに
    分割し、各ブロックことに独立して繰り返し配送確認プ
    ロセスを行なうことを特徴とする情報配送方法。
  42. 【請求項42】 請求項1から請求項41のいずれかに
    記載の情報配送方法において、 利用者側の動作は携帯可能な利用者のカードによって実
    行されることを特徴とする情報配送方法。
  43. 【請求項43】 請求項1から請求項42のいずれかに
    記載の情報配送方法において、更に、 前記形態可能な利用者のカードに利用者が受信した情報
    Mまたは情報暗号用秘密鍵Wを記録することを含むこと
    を特徴とする情報配送方法。
  44. 【請求項44】 少なくとも利用者端末と情報提供者端
    末とを含むシステムであって、 利用者端末は、 情報提供者端末との間の通信を制御する利用者通信制御
    手段と、 利用者が秘密に保持すべき秘密情報を蓄積しておく利用
    者秘密情報蓄積手段と、 乱数を発生する乱数発生手段と、 前記利用者通信制御手段を介して通信される初期応答文
    と応答文を前記秘密情報と乱数に基づいて生成する利用
    者演算手段とを有し、 情報提供者端末は、 利用者端末との間の通信を制御する情報提供者通信制御
    手段と、 前記情報提供者通信制御手段を介して利用者に提供する
    情報を蓄積しておく情報データベースと、 前記情報提供者通信制御手段を介して利用者の認証を行
    なう検証手段とを有することを特徴とする情報配送シス
    テム。
  45. 【請求項45】 請求項44に記載の情報配送システム
    において、 利用者端末は更に前記利用者通信制御手段を介して情報
    提供者から配送された情報を蓄積する情報蓄積手段を有
    することを特徴とする情報配送システム。
  46. 【請求項46】 請求項44または請求項45に記載の
    情報配送システムにおいて、 利用者端末および情報提供者端末の双方が更に共通鍵暗
    号方式または公開鍵暗号方式、もしくはその両方の暗号
    方式による暗号通信を行う暗号手段を有することを特徴
    とする情報配送システム。
  47. 【請求項47】 請求項46に記載の情報配送システム
    において、 情報提供者端末は更に前記暗号手段で利用される情報提
    供者が秘密に保持すべき情報を蓄積する情報提供者秘密
    情報蓄積手段を有することを特徴とする情報配送システ
    ム。
  48. 【請求項48】 請求項44から請求項47のいずれか
    に記載の情報配送システムにおいて、 利用者端末の前記利用者演算手段および情報提供者端末
    の前記検証手段の双方が情報圧縮関数または一方向性関
    数、もしくはその両方の関数による関数演算を行う手段
    を有することを特徴とする情報配送システム。
  49. 【請求項49】 請求項44から請求項48のいずれか
    に記載の情報配送システムにおいて、 情報提供者端末は更に通信履歴データを記録管理する通
    信履歴ファイルを有することを特徴とする情報配送シス
    テム。
  50. 【請求項50】 請求項49に記載の情報配送システム
    において、更に、 情報提供者が利用者に情報を提供したことを照明する通
    信履歴データについて、通信履歴データの正当性を検査
    する調停端末であって、 初期応答文と検査文を生成する調停演算手段と、 通信履歴データ中の検査文と前記調停演算手段で生成し
    た検査文とに基づいて該通信履歴データの正当性を検査
    する調停検証手段とを有するものを含むことを特徴とす
    る情報配送システム。
  51. 【請求項51】 請求項44から請求項50のいずれか
    に記載の情報配送システムにおいて、 情報提供者端末は更に前記情報提供者通信制御手段を介
    して利用者へ配送する情報を任意ビット長サイズの複数
    のブロックに分割する情報分割手段を有し、 利用者端末は更に前記複数個のブロックに分割された情
    報を元の情報に再構成する情報再構成手段を有すること
    を特徴とする情報配送システム。
  52. 【請求項52】 少なくとも利用者端末と情報提供者端
    末とを含むシステムであって、 利用者端末は、 情報提供者端末との間の通信を制御する利用者通信制御
    手段と、 利用者が秘密に保持すべき秘密情報を蓄積しておく利用
    者秘密情報蓄積手段と、 前記利用者通信制御手段を介して情報提供者端末との間
    で暗号通信を行う利用者共通鍵暗号手段と、 乱数を発生する乱数発生手段と、 前記利用者通信制御手段を介して通信される初期応答文
    と応答文と秘密鍵を生成する利用者演算手段と、 前記利用者通信制御手段を介して情報提供者から配送さ
    れた情報を蓄積する情報蓄積手段とを有し、 情報提供者端末は、 利用者端末との間の通信を制御する情報提供者通信制御
    手段と、 前記情報提供者通信制御手段を介して利用者に提供する
    情報を蓄積しておく情報データベースと、 秘密鍵と検査文を生成する情報提供者演算手段と、 前記情報提供者通信制御手段を介して利用者端末との間
    で暗号通信を行う情報提供者共通鍵暗号手段と、 前記情報提供者通信制御手段を介して利用者の認証を行
    なう検証手段とを有することを特徴とする情報配送シス
    テム。
  53. 【請求項53】 請求項52に記載の情報配送システム
    において、 情報提供者端末は更に前記情報提供者演算手段で利用さ
    れる乱数を発生する乱数発生手段を有することを特徴と
    する情報配送システム。
  54. 【請求項54】 請求項52または請求項53に記載の
    情報配送システムにおいて、 利用者端末および情報提供者端末の双方が更に公開鍵暗
    号方式による暗号通信を行なう公開鍵暗号手段をを有す
    ることを特徴とする情報配送システム。
  55. 【請求項55】 請求項52から請求項54のいずれか
    に記載の情報配送システムにおいて、 情報提供者端末は更に前記情報提供者演算手段または前
    記公開鍵暗号手段で利用される情報提供者が秘密に保持
    すべき情報を蓄積する情報提供者秘密情報蓄積手段を有
    することを特徴とする情報配送システム。
  56. 【請求項56】 請求項52から請求項55のいずれか
    に記載の情報配送システムにおいて、 利用者端末は更にディジタル署名を行うディジタル署名
    手段を有し、 情報提供者端末はディジタル署名を検証するためのディ
    ジタル署名検証手段を有することを特徴とする情報配送
    システム。
  57. 【請求項57】 請求項52から請求項56のいずれか
    に記載の情報配送システムにおいて、 情報提供者端末は更に通信履歴データを記録管理する通
    信履歴ファイルを有することを特徴とする情報配送シス
    テム。
  58. 【請求項58】 請求項57に記載の情報配送システム
    において、更に、 情報提供者が利用者に情報を提供したことを証明する通
    信履歴データについて、通信履歴データの正当性を検査
    する調停端末であって、 初期応答文と秘密鍵と検査文を生成する調停演算手段
    と、 通信履歴データ中の検査文と前記調停演算手段で生成し
    た検査文とに基づいて該通信履歴データの正当性を検査
    する調停検証手段とを有するものを含むことを特徴とす
    る情報配送システム。
  59. 【請求項59】 請求項58に記載の情報配送システム
    において、 調停端末が更に通信履歴データ中の署名付き情報暗号用
    秘密鍵の署名は正当であるかを検証する検証手段を有す
    ることを特徴とする情報配送システム。
  60. 【請求項60】 請求項52から請求項59のいずれか
    に記載の情報配送システムにおいて、 情報提供者端末は更に前記情報提供者通信制御手段を介
    して利用者へ配送する情報を任意ビット長サイズの複数
    のブロックに分割する情報分割手段を有し、 利用者端末は更に前記複数個のブロックに分割された情
    報を元の情報に再構成する情報再構成手段を有すること
    を特徴とする情報配送システム。
  61. 【請求項61】 請求項44から請求項60のいずれか
    に記載の情報配送システムにおいて、 利用者端末は前記利用者秘密鍵蓄積手段、乱数発生手
    段、利用者演算手段を含んだカードと、 該カードが挿入されるカード挿入手段とを有することを
    特徴とする情報配送システム。
  62. 【請求項62】 請求項61に記載の情報配送システム
    において、 前記カードは更に情報提供者から配送された情報を蓄積
    する情報カード蓄積手段を有することを特徴とする情報
    配送システム。
JP04711595A 1994-03-07 1995-03-07 ゼロ知識証明プロトコルを利用した情報配送方法およびシステム Expired - Fee Related JP3314900B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP04711595A JP3314900B2 (ja) 1994-03-07 1995-03-07 ゼロ知識証明プロトコルを利用した情報配送方法およびシステム

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
JP3579794 1994-03-07
JP21337494 1994-09-07
JP6-213374 1994-09-07
JP22628294 1994-09-21
JP6-226282 1994-09-21
JP6-35797 1994-09-21
JP04711595A JP3314900B2 (ja) 1994-03-07 1995-03-07 ゼロ知識証明プロトコルを利用した情報配送方法およびシステム

Publications (2)

Publication Number Publication Date
JPH08149124A true JPH08149124A (ja) 1996-06-07
JP3314900B2 JP3314900B2 (ja) 2002-08-19

Family

ID=27460148

Family Applications (1)

Application Number Title Priority Date Filing Date
JP04711595A Expired - Fee Related JP3314900B2 (ja) 1994-03-07 1995-03-07 ゼロ知識証明プロトコルを利用した情報配送方法およびシステム

Country Status (1)

Country Link
JP (1) JP3314900B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110464A (ja) * 1997-10-03 1999-04-23 Nri & Ncc Co Ltd 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
JP2002536875A (ja) * 1999-01-27 2002-10-29 フランス テレコム 減少した計算組を伴う認証または署名プロセス
US6947911B1 (en) 2000-06-15 2005-09-20 Hitachi, Ltd. Method for making contract and system for processing contract
JP2007019977A (ja) * 2005-07-08 2007-01-25 Sony Corp Av機器
JP2009199609A (ja) * 1997-11-13 2009-09-03 Hyperspace Communications Inc データ転送システム
JP2011205646A (ja) * 1999-09-21 2011-10-13 Discovery Communications Llc 電子書籍のセキュリティ及び著作権保護のシステム
JP2016519540A (ja) * 2013-05-14 2016-06-30 ペキン ユニバーシティ ファウンダー グループ カンパニー,リミティド 分散環境の安全通信認証方法及びシステム
CN110851858A (zh) * 2019-10-16 2020-02-28 上海源庐加佳信息科技有限公司 基于零知识证明的酒店个人隐私数据保护方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11110464A (ja) * 1997-10-03 1999-04-23 Nri & Ncc Co Ltd 電子証券の発行、移転、証明、消去のための処理システム及びその処理方法
JP2009199609A (ja) * 1997-11-13 2009-09-03 Hyperspace Communications Inc データ転送システム
US9912516B2 (en) 1997-11-13 2018-03-06 Intellectual Ventures I Llc Method and apparatus for data file transfer using destination linked directories
JP2002536875A (ja) * 1999-01-27 2002-10-29 フランス テレコム 減少した計算組を伴う認証または署名プロセス
USRE42517E1 (en) 1999-01-27 2011-07-05 Phentam Dire Nv, Llc Authenticating or signature method with reduced computations
JP2011205646A (ja) * 1999-09-21 2011-10-13 Discovery Communications Llc 電子書籍のセキュリティ及び著作権保護のシステム
US6947911B1 (en) 2000-06-15 2005-09-20 Hitachi, Ltd. Method for making contract and system for processing contract
JP2007019977A (ja) * 2005-07-08 2007-01-25 Sony Corp Av機器
JP4529825B2 (ja) * 2005-07-08 2010-08-25 ソニー株式会社 Av機器
JP2016519540A (ja) * 2013-05-14 2016-06-30 ペキン ユニバーシティ ファウンダー グループ カンパニー,リミティド 分散環境の安全通信認証方法及びシステム
CN110851858A (zh) * 2019-10-16 2020-02-28 上海源庐加佳信息科技有限公司 基于零知识证明的酒店个人隐私数据保护方法
CN110851858B (zh) * 2019-10-16 2023-09-05 上海源庐加佳信息科技有限公司 基于零知识证明的酒店个人隐私数据保护方法

Also Published As

Publication number Publication date
JP3314900B2 (ja) 2002-08-19

Similar Documents

Publication Publication Date Title
US6011848A (en) Method and system for message delivery utilizing zero knowledge interactive proof protocol
CN109714167B (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
TWI497336B (zh) 用於資料安全之裝置及電腦程式
CN1829144B (zh) 加密通信系统及方法
CN109687959B (zh) 密钥安全管理系统和方法、介质和计算机程序
US8195951B2 (en) Data processing system for providing authorization keys
US20050105735A1 (en) Information processing system and method, information processing device and method, recording medium, and program
CN1937492A (zh) 信息处理设备及其控制方法
JP2009089000A (ja) 暗号モジュール配信システム、暗号管理サーバ装置、暗号処理装置、クライアント装置、暗号管理プログラム、暗号処理プログラム、およびクライアントプログラム
KR100563515B1 (ko) 과도 키 디지탈 시간 스탬프 방법 및 시스템
CN110910978A (zh) 一种应用于区块链网络的信息处理方法及相关装置
US20220005039A1 (en) Delegation method and delegation request managing method
CN109492424A (zh) 数据资产管理方法、数据资产管理装置及计算机可读介质
CN108833431A (zh) 一种密码重置的方法、装置、设备及存储介质
JPH11298470A (ja) 鍵の配布方法およびシステム
JP3314900B2 (ja) ゼロ知識証明プロトコルを利用した情報配送方法およびシステム
US8261088B2 (en) Secret authentication system
WO2020010432A1 (en) Method, system, and device for selecting a winner of a raffle based on content from raffle tickets
KR102331451B1 (ko) 디지털 콘텐츠 거래를 위한 블록체인 네트워크 시스템 및 디지털 콘텐츠 거래 방법
Hubbers et al. Description and analysis of the RIES internet voting system
JP3476171B2 (ja) データ保証システムおよびデータ保証方法
CN112822175B (zh) 一种信息访问方法、装置及电子设备
CN115065679B (zh) 基于区块链的电子健康档案共享模型、方法、系统和介质
CN116866093B (zh) 身份认证方法、身份认证设备以及可读存储介质
CN117349895B (zh) 基于区块链的汽车金融数字档案管理方法及装置

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees