WO2006019143A1

WO2006019143A1 - イベント順序証明方法

Info

Publication number: WO2006019143A1
Application number: PCT/JP2005/015085
Authority: WO
Inventors: Eiichi Horita; Satoshi Ono; Hidetaka Ishimoto; Akira Takura
Original assignee: Nippon Telegraph And Telephone Corporation
Priority date: 2004-08-19
Filing date: 2005-08-18
Publication date: 2006-02-23
Also published as: CN1910850B; JPWO2006019143A1; JP4390805B2; EP1699163A1; EP1699163A4; CN1910850A; US7634653B2; US20080307221A1

Abstract

　イベント順序証明システム100は、証明装置1、複数の利用者装置2i（ｉ=a,b, …,n）、証明装置1が発行したイベント順序受理証明書の監査を行う監査装置3、及び、以上の各装置を相互に接続するコンピュータネットワーク4を備えており、証明装置1が利用者装置2iからのイベント順序証明要求に応えて、イベント順序受理証明書を発行し、利用者装置2iに返信すると共に、イベント順序受理証明書に疑義が生じた場合には、利用者装置2iは、証明装置1が公表したデータ又は監査装置3による監査結果によってイベント順序受理証明書を検証する。

Description

イベント順序証明方法

技術分野

[0001] 本発明は、デジタル ·データの生成を伴うイベントの生起順序を証明するイベント順序証明技術に関する。

背景技術

[0002] イベント順序証明技術は、デジタル 'データの生成を伴う複数のイベント間の生起順序を証明するとともに、そのようなイベントに伴って生成されたデジタル 'データが何であつたかを証明する技術である。

[0003] 近年、インターネット上での電子商取引の活発化や、デジタル文書管理の利用拡大に伴い、「誰が、いつ、どんなデータを生成し、交信したか」を第三者が証明する電子公証の仕組みが必要とされている。電子公証は、送受信者の特定、到達確認、送受信等の前後関係の証明、改ざんの検知、電子文書保管等の機能を具備するものであるが、イベント順序証明技術は、このうち、前後関係の証明及び改ざんの検知の機能を実現するものである。

[0004] 図 1は、このようなイベント順序証明技術を用いたイベント順序証明システムを説明する図である。同図に示すイベント順序証明システム 900は、利用者 (要求者、検証者) 30力 Sイベント順序証明の対象データをイベント順序証明装置 10に送信すると、ィベント順序証明装置 10が利用者 30力要求された対象データに対して受付の順番を示すデータを付したイベント順序受理証明書を生成し、該イベント順序受理証明書を利用者に返信するようになっている。そして、イベント順序証明装置 10で発行されたイベント順序受理証明書は、 PKI (Public Key Infrastructure ;公開鍵基盤）のもとでデジタル署名を主要な偽造防止 Z証明手段として採用する場合には、一般に、利用者 30から送られた対象データに受付の順番を付した署名対象データに対するデジタル署名を含んだイベント順序受理証明書となって、る。

[0005] このイベント順序受理証明書の真正性の主要な根拠としてデジタル署名を用いるィベント順序証明システムに関しては、イベント順序証明装置 10の不正、イベント順序受理証明書の有効期間、およびシステム運用の面などにおいて問題点が指摘されている。そのため、イベント順序受理証明書の真正性の主要な根拠としてデジタル署名を用いないイベント順序証明の方法も提案されている。例えば、線形リンキング (Li near Linking Protocol)による方法 (例えば、非特許文献 1及び非特許文献 2参照。）は、イベント順序証明装置 10が仮に信頼できな、としてもシステム全体として高ヽ安全性を確保することが可能となっている方法である。図 2は、 PKIに依存しない線形リンキングによるイベント順序証明システムを説明する図である。同図に示すイベント順序証明システム 910は、複数の利用者 30のイベント順序証明対象データ (ハッシュ値) を相互に関連付けるリンク情報 Lを生成し、リンク情報 Lを含むイベント順序受理証明書を返信するようになっており、各イベント順序受理証明書が、それまでに生成されたすべてのイベント順序受理証明書に依存するようになっている。そして、このリンク情報の一部 (L , L )が定期的にマスメディア等 (例えば新聞）に公表されるので、

M N

これにより、イベント順序証明装置 10の不正を防止し、結果としてシステム全体の信頼を高めることができるようになって、る。

[0006] この線形リンキングの方式については、イベント順序証明装置 10の不正を検出するために利用者 30相互の協力が必要であるという問題点、及び、利用者 30が取得したイベント順序受理証明書を検証、即ち、該イベント順序受理証明書と公表された情報が所定の方式で関係づけられることを検証するには利用者 30はイベント順序証明装置 10から大量のデータを取得する必要があるという問題点が指摘されている。

[0007] これらの問題の一部を解決するための方法も提案されて、る。例えば、非特許文献 3及び非特許文献 4においては、一定期間にイベント順序証明装置で処理されたィベント順序証明要求をまとめ公表するデータを計算するために、非特許文献 1及び非特許文献 2で使われている線形のリストの代わりに、木構造を用いることにより、利用者 30力 Sイベント順序受理証明書の検証を行うために必要なデータの量を、該一定期間に受付けられるイベント順序証明要求の数に比例する量から、その対数 (底 2) に比例する量に著しく削減する方法を提案している。

特許文献 1 : S. Haber and W. Stornetta, How to Time-Stamp a Digital Document, Journal of Cryptology, Vol. 3, No. 2, pp. 99—111, 1991

非特許文献 2 : J.- J. Quisquater, H. Massias, J.S. Avila, B. Preneel, B. Van Rompay: Specification and implementation of a timestamping system, Technical Report of Uni versite Catholique de Louvain, 1999, URL: http://www.dice.ucl.ac.be/crypto/TIME SEC/TR4.tgzl

非特許文献 3 : A. Buldas、 H. Lipmaa and B. Schoenmakers, Optim ally efficient accountable time-stamping, in Proceedings of Public Key Cryptography 2000 (PKC2000), eds. Y. Zheng and H. Imai, pp.293— 305, Springer— Verlag, Janu ary 2000

非特許文献 4 : A. Buldas、 H. Lipmaa and B. Schoenmakers, Optim ally efficient accountable time-stamping, in Proceedings of Public Key Cryptography 2000 (PKC2000), eds. Y. Zheng and H. Imai, pp.293— 305, Springer- Verlag, Janua ry 2000

発明の開示

[0008] し力しながら、非特許文献 3及び非特許文献 4に記載の木構造を用いる方式については、次のような問題点がある。

[0009] ある一定期間に異なる 2つの利用者が各々イベント順序証明要求をイベント順序証明装置に送付し、それら要求が受理されたときにおいて、第 1の利用者のある順序証明要求の受付けが第 2の利用者のある順序証明要求の受付けより前になされたことの証明が、当該の期間が終了してイベント順序証明要求をまとめた公表データが公開されるまではできないという問題がある。即ち、当該の 2つの順序証明要求と公表データが所定の方式で関係付けられることの検証が、公表データが公開されるまでできないという問題がある。このため、イベント順序証明システムに対する利用者の利便性が劣るとともに、イベント順序証明装置に障害が発生した時には、イベント順序受理証明書の検証ができな、と、う欠点がある。

[0010] 本発明は、上記の問題を解決するためになされたものであり、木構造を用いてィべント順序を証明するイベント順序証明システムにお、て、イベント順序証明要求をまとめた公表データを用いなくても、イベント順序証明機関力発行されたイベント順序受理証明書の検証を行うことができるイベント順序証明方法及びイベント順序証明監查方法、イベント順序証明システムにおける証明装置及び監査装置、並びにイベント順序証明プログラム、イベント順序証明監査プログラム、イベント順序証明検証プログラム及びイベント時刻検証プログラムを提供することを目的とする。

本発明の第 1の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う利用者装置と、前記利用者装置からの前記証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたイベント順序証明システムにおけるイベント順序証明方法であって、前記証明装置が前記利用者装置からの証明要求を受信する順序証明要求受信ステツプと、前記証明装置が前記証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算ステップと、前記証明装置力一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約ステップと、前記証明装置が、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む証明書を作成する証明書作成ステップと、前記証明装置が前記証明書を前記利用者装置に送信する証明書送信ステップと、前記証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点から前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記証明書の補完情報と定義し、該補完情報のうち、前記証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、前記証明装置が、前記証明要求を前記順次集約木に割り当てた以後に、第 1の監査要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 1の監査用証明書を作成するとともに、前記監査要求を前記順次集約木に割り当てた時点における第 1の監査用の即時補完情報を前記順次集約木から取得し、前記第 1の監査用証明書に含める監査用証明書作成ステップと、前記証明装置が前記第 1の監査用証明書を前記監査装置に送信する監査用証明書送信ステップと、前記証明装置が、前記第 1の監査要求を前記順次集約木に割り当てた以後に、前記利用者装置からの前記証明書の補完情報の要求を受信する補完情報要求受信ステップと、前記証明装置が、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2 の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点において取得可能な補完情報を前記順次集約木から取得し、遅延補完情報とする遅延補完情報作成ステップと、前記証明装置が前記証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信ステップと、を有することを特徴とする。

本発明の第 2の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたイベント順序証明システムにおけるイベント順序証明監査方法であって、前記証明装置が前記利用者装置から第 1の証明要求を受信する順序証明要求受信ステップと、前記証明装置が前記第 1の証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算ステップと、前記証明装置が、一連の順次割当データを時刻順に有向木のリーフに左から順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約ステップと、前記証明装置が、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1 の順次集約木特定情報を含む第 1の証明書を作成する証明書作成ステップと、前記証明装置が前記第 1の証明書を前記利用者装置に送信する証明書送信ステップと、前記第 1の証明要求が割り当てられた前記順次集約木のリーフを登録点として定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記第 1の証明書の補完情報と定義し、該補完情報のうち、前記第 1の証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、前記証明装置が、複数の監査要求を前記順次集約木に割り当て

、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、各監査要求を前記順次集約木に割り当てた時点における監査用の即時補完情報を前記順次集約木から取得し、各監査用証明書に含める監査用証明書作成ステップと、前記証明装置が前記複数の監査用証明書を前記監査装置に送信する監査用証明書送信ステップと、前記証明装置が、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信ステツプと、前記証明装置が、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点において取得可能な補完情報を前記順次集約木から取得し、遅延補完情報とする遅延補完情報作成ステップと、前記証明装置が前記第 1の証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信ステップと、前記監査装置が、前記証明装置から前記複数の監査用証明書を受信する監査用証明書受信ステップと、前記監査装置が、前記利用者装置から前記第 1 の証明書及び前記第 1の証明書の前記遅延補完情報を含む前記第 1の証明書に対する監査要求を受信する監査要求受信ステップと、前記監査装置が、前記複数の監查用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監査用証明書を選択する第 1の監査用証明書選択ステップと、前記監査装置が、前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択ステップで選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求から計算された該ノードの割当値が一致するか否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択ステップで選択された監査用証明書の監査要求の受付時刻との前後関係を証明する第 1の証明書監査ステップと、前記監査装置が前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信ステップと、を有することを特徴とする。本発明の第 3の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行い、証明書の作成を促す利用者装置と、該証明書の真偽を監査する監査装置とに通信ネットワークを介して相互に接続され、前記証明書を作成するイベント順序証明装置であって、前記利用者装置から証明要求を受信する順序証明要求受信手段と、前記証明要求に含まれるデジタル情報力予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む証明書を作成する証明書作成手段と、前記証明書を前記利用者装置に送信する証明書送信手段と、前記証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記証明書の補完情報と定義し、該補完情報のうち、前記証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、前記証明要求を前記順次集約木に割り当てた以後に、第 1の監査要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 1の監査用証明書を作成するとともに、前記第 1の監査要求を前記順次集約木に割り当てた時点における第 1の監査用の即時補完情報を前記順次集約木から取得し、該第 1の監査用証明書に含める監査用証明書作成手段と、前記第 1 の監査用証明書を前記監査装置に送信する監査用証明書送信手段と、前記第 1の監査要求を前記順次集約木に割り当てた以後に、前記利用者装置からの前記証明書の補完情報の要求を受信する補完情報要求受信手段と、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点において取得可能な補完情報を前記順次集約木力取得し、遅延補完情報とする遅延補完情報作成手段と、前記証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信手段と、を有することを特徴とする。

本発明の第 4の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置とに通信ネットワークを介して接続され、前記証明書の真偽を監査するイベント順序証明監査装置であって、前記証明装置は、前記利用者装置からの第 1の証明要求を受信する順序証明要求受信手段と、前記第 1の証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む第 1の証明書を作成する証明書作成手段と、前記第 1の証明書を前記利用者装置に送信する証明書送信手段と、前記第 1の証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記第 1の証明書の補完情報と定義し、該補完情報のうち、前記第 1の証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、複数の監査要求を前記順次集約木に割り当て、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、前記複数の監査要求を前記順次集約木に割り当てた時点における監査用の前記即時補完情報を前記順次集約木から取得し、各監査用証明書に含める監査用証明書作成手段と、前記複数の監査用証明書を前記監査装置に送信する監査用証明書送信手段と、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信手段と、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点にお、て取得可能な補完情報を前記順次集約木力取得し、遅延補完情報とする遅延補完情報作成手段と、前記第 1の証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信手段と、を備え、前記証明装置から前記複数の監査用証明書を受信する監査用証明書受信手段と、前記利用者装置から前記第 1の証明書及び前記遅延補完情報を含む前記第 1の証明書に対する監査要求を受信する監査要求受信手段と、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監查用証明書を選択する第 1の監査用証明書選択手段と、前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択手段で選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求から計算された該ノードの割当値が一致するか否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択手段によって選択された監査用証明書の監査要求の受付時刻との前後関係を証明する第 1の証明書監査手段と、前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信手段と、を備えることを特徴とする。

本発明の第 5の側面は、上記したイベント順序証明方法の各ステップを前記証明装置に実行させるイベント順序証明プログラムを提供することにある。

[0016] 本発明の第 6の側面は、上記したイベント順序証明監査方法の各ステップを前記監查装置に実行させるイベント順序証明監査プログラムを提供することにある。

[0017] 本発明の第 7の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたイベント順序証明検証システムにおける前記利用者装置のためのイベント順序証明検証プログラムであって、前記証明装置は、前記利用者装置力の第 1の証明要求を受信する順序証明要求受信手段と、前記第 1の証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、一連の順次割当データを時刻順に有向木のリーフに左力も順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む第 1の証明書を作成する証明書作成手段と、前記第 1の証明書を前記利用者装置に送信する証明書送信手段と、前記第 1の証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記第 1の証明書の補完情報と定義し、該補完情報のうち、前記第 1の証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、複数の監査要求を前記順次集約木に割り当て、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、前記複数の監査要求を前記順次集約木に割り当てた時点におけるそれぞれの監査用の即時補完情報を前記順次集約木から取得し、前記複数の監查用証明書に含める監査用証明書作成手段と、前記複数の監査用証明書を前記監查装置に送信する監査用証明書送信手段と、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信手段と、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点において取得可能な補完情報を前記順次集約木力取得し、遅延補完情報とする遅延補完情報作成手段と、前記第 1の証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信手段と、を有し、前記監査装置は、前記証明装置から、前記複数の監査用証明書を受信する監査用証明書受信手段と、前記利用者装置から、前記第 1の証明書及び前記遅延補完情報を含む前記第 1の証明書に対する監査要求を受信する監査要求受信手段と、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監査用証明書を選択する第 1の監査用証明書選択手段と、前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択手段によって選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求力計算された該ノードの割当値が一致するか否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択手段によって選択された監査用証明書の監査要求の受付時刻の前後関係を証明する第 1の証明書監査手段と、前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信手段と、を有し、前記第 1の証明要求を前記証明装置に送信する順序証明要求送信ステップと、前記証明装置から、前記第 1の証明書を受信する証明書受信ステップと、前記第 1の証明書の前記補完情報の要求を前記証明装置に送信する補完情報要求送信ステツプと、前記証明装置から、前記第 1の証明書の前記補完情報を受信する補完情報受信ステップと、前記監査要求を前記監査装置に送信する監査要求送信ステップと、前記第 1の証明書の監査結果を受信する監査結果受信ステップと、を前記利用者装置に実行させることを特徴とする。本発明の第 8の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う第 1及び第 2の利用者装置と、各利用者装置力の複数の証明要求に対して複数の証明書を作成するイベント順序証明装置とに通信ネットワークを介して相互に接続されたコンピュータに証明書の正当性を検証させるイベント順序証明検証プロダラムであって、前記イベント順序証明装置は、前記第 1及び第 2の利用者装置から複数の証明要求を受信する順序証明要求受信手段と、各証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、一連の順次割当データを時刻順に有向木のリーフに左から順次割り当て、一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順序証明要求集約手段で生成される順次集約木に関する情報を記憶する順次集約木記憶手段と、各証明要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記登録点の補完情報と定義し、該補完情報のうち、前記順次割当データを前記順次集約木に割り当てた時点にお、て取得可能な補完情報を即時補完情報、前記順次割当データを前記順次集約木に割り当てた時点以後において取得可能な補完情報を遅延補完情報と定義し、リーフ aはり右に位置するリーフ a2の割当処理が終了した時点で定まる前記リーフ alの遅延補完情報を、前記リーフ alの前記リーフ a2における遅延補完情報といい、さらに、最新の前記要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを新登録点とすると、利用者装置ごとに前記複数の証明要求の登録点に関する情報を記憶する登録点記憶手段と、各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、前記新登録点の即時補完情報と、各利用者装置の過去のすべての登録点の新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成する証明書作成手段と、前記作成された複数の証明書を前記利用者装置に送信する証明書送信手段と、を有し、各利用者装置は、複数の証明要求を前記イベント順序証明装置に送信する証明要求送信手段と、前記イベント順序証明装置から前記複数の証明要求に対する前記複数の証明書を受信する証明書受信手段と、前記受信した複数の証明書を記憶する証明書記憶手段と、前記受信し記憶した複数の証明書のうち、検証対象の証明書を検証するコンピュータに送信する検証要求送信手段と、前記コンピュータから前記検証対象の証明書に対する検証結果を受信する検証結果受信手段と、を有し、前記第 1及び第 2の利用者装置から検証対象の証明書を 1つずつ受信するか、或いは前記第 1の前記利用者装置から検証対象の証明書を 2つ受信する証明書受信ステツプと、前記受信した 2つの証明書の順次集約木特定情報に基づいて、前記 2つの証明書のうち発行された順序が時間的に前であると判断された証明書を第 1の証明書、後であると判断された証明書を第 2の証明書とすると、前記第 1の証明書を送信した利用者装置に対して前記第 2の証明書の順次集約木特定情報を送信する順次集約木特定情報送信ステップと、前記第 1の証明書を送信した利用者装置から、前記第 1の証明書の前記第 2の証明書の発行以降の登録点における遅延補完情報を受信する遅延補完情報受信ステップと、前記順次集約木の特定のノードに対して、前記第 2の証明書に含まれるノードの割当値と、前記第 1の証明書および前記遅延補完情報力計算されたノードの割当値が一致する力否かの検証に基づいて、各証明書の正当性及び前記第 1の証明書の登録点が前記第 2の証明書の登録点より時間的に前であることを証明する検証ステップと、検証結果を前記第 1及び第 2の利用者装置、或いは前記第 1又は第 2の利用者装置に送信する検証結果送信ステップと、を前記コンピュータに実行させることを特徴とする。

本発明の第 9の側面は、所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う第 1及び第 2の利用者装置と、各利用者装置力の複数の証明要求に応えて複数の証明書を作成するイベント順序証明装置とに通信ネットワークを介して相互に接続されたコンピュータに証明書の正当性を検証させるイベント順序証明検証プロダラムであって、前記イベント順序証明装置は、前記第 1及び第 2の利用者装置から複数の証明要求を受信する順序証明要求受信手段と、各証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、一連の順次割当データを時刻順に有向木のリーフに左から順次割り当て、一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順序証明要求集約手段で生成される順次集約木に関する情報を記憶する順次集約木記憶手段と、各証明要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要な他のノードに関する情報を前記登録点の補完情報と定義し、該補完情報のうち、前記順次割当データを前記順次集約木に割り当てた時点にぉ、て取得可能な補完情報を即時補完情報、前記順次割当データを前記順次集約木に割り当てた時点以後において取得可能な補完情報を遅延補完情報と定義し、リーフ aはり右に位置するリーフ a2の割当処理が終了した時点で定まる前記リーフ alの遅延補完情報を、前記リーフ alの前記リーフ a2における遅延補完情報といい、さらに、最新の前記要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを新登録点とすると、利用者装置ごとに前記直前の登録点に関する情報を記憶する登録点記憶手段と、各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、新登録点の即時補完情報と、前記利用者装置の前記直前の登録点の前記新登録点における遅延補完情報と、を併せることによつて前記新登録点に対する証明書を作成する証明書作成手段と、作成された証明応答を前記利用者装置に送信する証明応答送信手段と、を有し、各利用者装置の各登録点のうち、前記順次集約木の最も右に割り付けられた登録点を暫定終端点とし、該暫定終端点の割付処理が終了した時点において、所定の登録点の取得可能な補完情報すベてを計算することを、前記所定の登録点の証明書に対するインクリメンタル完全化と定義すると、各利用者装置は、複数の証明要求を前記イベント順序証明装置に送信する証明要求送信手段と、前記イベント順序証明装置から前記複数の証明要求に対する前記複数の証明書を受信する証明書受信手段と、前記受信した複数の証明書を記憶する証明書記憶手段と、前記受信し記憶した複数の証明書のうち、検証対象の証明書に対して前記インクリメンタル完全ィ匕の処理を行うインクリメンタル完全ィ匕手段と、前記インクリメンタル完全化された証明書を検証する検証要求をコンピュータに送信する検証要求送信手段と、前記コンピュータから前記検証対象の前記証明書に対する検証結果を受信する検証結果受信手段と、を有し、前記第 1及び第 2の利用者装置から検証対象の証明書を 1つずつ受信するか、或いは前記第 1の利用者装置から検証対象の証明書を 2つ受信する証明書受信ステップと、前記受信した 2つの証明書の順次集約木特定情報に基づいて、前記 2つの証明書のうち発行された順序が時間的に前であると判断された証明書を第 1の証明書、後であると判断された証明書を第 2の証明書とすると、前記第 1の証明書を送信した利用者装置に、前記第 2の証明書の順次集約木特定情報を送信する順次集約木特定情報送信ステップと、前記第 1の証明書を送信した利用者装置から、前記第 1の証明書の前記第 2の証明書の発行以降の登録点における遅延補完情報を受信する遅延補完情報受信ステップと、前記順次集約木の特定のノードに対して、前記第 2の証明書に含まれるノードの割当値と、前記第 1の証明書および前記遅延補完情報から計算されたノードの割当値が一致する力否かの検証に基づいて、各証明書の正当性及び前記第 1の証明書の登録点が前記第 2の証明書の登録点より時間的に前であることを証明する検証ステップと、検証結果を前記第 1及び第 2の利用者装置、或いは前記第 1又は第 2の利用者装置に送信する検証結果送信ステップと、を前記コンピュータに実行させることを特徴とする。

本発明の第 10の側面は、上記のイベント順序証明検証プログラムを実行する利用者装置が前記証明要求に付した時刻を検証するコンピュータが読み取り可能なィべント時刻検証プログラムを提供することにある。図面の簡単な説明

[図 1]図 1は、イベント順序証明システムの概念を説明する図である。

[図 2]図 2は、線形リンキングを用いたイベント順序証明システムの概念を説明する図である。

[図 3]図 3は、本発明の第 1の実施の形態に係るイベント順序証明システムのシステム構成図である。

[図 4]図 4は、本発明の第 1の実施の形態に係るイベント順序証明システムの別のシステム構成図である。

[図 5]図 5は、本発明に用いられる順次集約木の構成を説明する図である。

[図 6]図 6は、本発明におけるイベント順序受理証明書の構成を説明する図である。

[図 7]図 7は、本発明に用いられる順次集約木の認証パスを説明する図である。

[図 8]図 8は、本発明の第 1の実施の形態に係るイベント順序証明システムのイベント順序証明方法を説明するシーケンス図である。

[図 9]図 9は、本発明の第 1の実施の形態に係るイベント順序証明システムのイベント順序証明検証方法を説明するシーケンス図である。

[図 10]図 10は、本発明の第 1の実施の形態に係るイベント順序証明システムのィべント順序証明検証方法を説明するシーケンス図である。

[図 11]図 11は、本発明の第 1の実施の形態に係るイベント順序証明システムにおけるユーザ点と監査点の関係を説明する図である。

[図 12]図 12は、本発明の第 1の実施の形態に係るイベント順序証明システムのィべント順序証明検証結果を説明する図である。

[図 13]図 13は、本発明の第 2の実施の形態に係るイベント順序証明システムのシステム構成図である。

[図 14]図 14は、本発明の第 2の実施の形態に係るイベント順序証明システムにおけるユーザ点と監査点の関係を説明する図である。

[図 15]図 15は、本発明の第 2の実施の形態に係るイベント順序証明システムのィべント順序証明方法を説明するシーケンス図である。

[図 16]図 16は、本発明の第 2の実施の形態に係るイベント順序証明システムのィべント順序証明検証方法を説明するシーケンス図である。

[図 17]図 17は、本発明の第 2の実施の形態に係るイベント順序証明システムの 2ュ一ザ間の順序を判定する動作を説明するフローチャート図である。

[図 18]図 18は、本発明の第 2の実施の形態に係るイベント順序証明システムの複合完全ィ匕によるルート値検証の動作を説明するフローチャート図である。

[図 19]図 19は、本発明の第 2の実施の形態に係るイベント順序証明システムの補完データ完全ィ匕を説明する図である。

[図 20]図 20は、本発明の第 2の実施の形態に係るイベント順序証明システムの補完データ完全ィ匕を説明する図である。

[図 21]図 21は、本発明の第 3の実施の形態に係るイベント順序証明システムのシステム構成図である。

[図 22]図 22は、本発明の第 3の実施の形態に係るイベント順序証明システムのィべント順序証明方法のイベント順序証明要求ステップを説明するシーケンス図である。

[図 23]図 23は、本発明の第 3の実施の形態に係るイベント順序証明システムのィべント順序証明方法のイベント順序証明要求ステップを説明するシーケンス図である。

[図 24]図 24は、本発明の第 3の実施の形態に係るイベント順序証明システムのィべント順序証明方法の監査用受理証明書受信ステップを説明するシーケンス図である

[図 25]図 25は、本発明の第 3の実施の形態に係るイベント順序証明システムのィべント順序証明検証方法の区間時刻証明書ステップを説明するシーケンス図である。

[図 26]図 26は、深さの違いを 1以内に押さえ、ダミーノードを作成しない動的な順次集約木の構成方法を説明する図である。

[図 27]図 27は、インクリメンタルに順次集約木を構成する方法のアルゴリズムを説明する図である。

[図 28]図 28は、インクリメンタルに順次集約木を構成する方法のアルゴリズムを説明する図である。

[図 29]図 29は、インクリメンタルに順次集約木を構成する方法を説明する図である。

[図 30]図 30は、インクリメンタルに順次集約木を構成する方法において各ノードに値を割付けるタイミングを説明する図である。

[図 31]図 31は、認証点の割当値は、監査点の受理証明書内補完データに含まれることを説明する図である。

[図 32]図 32は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

[図 33]図 33は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

[図 34]図 34は、本発明の第 4の実施の形態に係るイベント順序証明システムのシステム構成図である。

[図 35]図 35は、本発明の第 4の実施の形態に係るイベント順序証明システムに用いられる順次集約木の構成を説明する図である。

[図 36]図 36は、本発明の第 4の実施の形態に係るイベント順序証明システムのィべント順序受理証明書の構成を示す図である。

[図 37]図 37は、本発明の第 4の実施の形態に係るイベント順序証明システムにおいて各登録点とその補完データを説明する図である。

[図 38]図 38は、本発明の第 4の実施の形態に係るイベント順序証明システムの利用者装置におけるイベント順序の判定方法を説明する図である。

[図 39]図 39は、本発明の第 4の実施の形態に係るイベント順序証明システムのィべント順序証明方法の動作を説明するシーケンス図である。

[図 40]図 40は、本発明の第 4の実施の形態に係るイベント順序証明システムのィべント順序証明検証方法の動作を説明するシーケンス図である。

[図 41]図 41は、本発明の第 4の実施の形態に係るイベント順序証明システムのィべント順序証明検証方法の動作を説明するシーケンス図である。

[図 42]図 42は、本発明の第 5の実施の形態に係るイベント順序証明システムのシステム構成図である。

[図 43]図 43は、本発明の第 5の実施の形態に係るイベント順序証明システムのィべント順序受理証明書の構成を示す図である。

[図 44]図 44は、本発明の第 5の実施の形態に係るイベント順序証明システムにおける完全化波及処理を説明する図である。

[図 45]図 45は、本発明の第 5の実施の形態に係るイベント順序証明システムにおいて完全ィヒ波及処理を用いることにより、連鎖補完方式の証明応答力シーケンス補完方式の証明応答を計算できることを示す図である。

[図 46]図 46は、本発明の第 5の実施の形態に係るイベント順序証明システムにおいて第 1の連鎖補完方式を説明する図である。

[図 47]図 47は、本発明の第 5の実施の形態に係るイベント順序証明システムにおいて第 1の連鎖補完方式による証明応答作成の動作を説明するフローチャートである。

[図 48]図 48は、本発明の第 5の実施の形態に係るイベント順序証明システムにおいて第 2の連鎖補完方式を説明する図である。

[図 49]図 49は、本発明の第 5の実施の形態に係るイベント順序証明システムにおいて第 2の連鎖補完方式による証明応答作成の動作を説明するフローチャートである。

[図 50]図 50は、本発明の第 5の実施の形態に係るイベント順序証明システムの第 2 の連鎖補完方式におけるデータ構造の一例である。

[図 51]図 51は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式における即時補完データ及び遅延補完データの計算手順の一例を説明するフローチャートである。

[図 52]図 52は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるノード値計算順の一例を説明するフローチャートである。

[図 53]図 53は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式における遅延データ設定手順の一例を説明するフローチャートである。

[図 54]図 54は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式における順次集約木の切替処理の一例を説明するフローチャートである。

[図 55]図 55は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式における順次集約木の終端'切替処理のサブルーチンの一例を説明するフローチャートである。

[図 56]図 56は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式における順次集約木の切替処理のサブルーチンの一例を説明するフローチャートである。

[図 57]図 57は、図 55の処理を具体的に説明する図である。

[図 58]図 58は、順次集約フォレストと順次集約小木を説明する図である。

[図 59]図 59は、順次集約フォレストと現時点順次集約木を説明する図である。

[図 60]図 60は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全個別化の動作を説明するフローチャートである。

[図 61]図 61は、図 60の処理を具体的に説明する図である。

[図 62]図 62は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全個別化の順次集約小木決定の計算手順の一例を説明するフローチャートである。

[図 63]図 63は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル個別完全ィ匕の取得参照点決定の計算手順の一例を説明するフローチャートである。

[図 64]図 64は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル個別完全化の連鎖補完データ蓄積用データ構造の一例である。

[図 65]図 65は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル個別完全ィ匕のアルゴリズムを説明する図である。

[図 66]図 66は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル個別完全ィ匕の認証パスノードの割当値の計算手順の一例を説明するフローチャートである。

[図 67]図 67は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル個別完全ィ匕の認証パスノードの各割当値の計算手順の一例を説明するフローチャートである。

[図 68]図 68は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル一括個別化の手順の一例を説明するフローチヤ一トである。 [図 69]図 69は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル一括個別化の根拠を説明する図である。

[図 70]図 70は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル一括個別化の根拠を説明する図である。

[図 71]図 71は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全ィ匕（一部をメモリに納め、多段式に実行する方式)を説明する図である。

[図 72]図 72は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全ィ匕（一部をメモリに納め、多段式に実行する方式)を説明する図である。

[図 73]図 73は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全ィ匕（一部をメモリに納め、多段式に実行する方式)を説明する図である。

[図 74]図 74は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全ィ匕（一部をメモリに納め、多段式に実行する方式)を説明する図である。

[図 75]図 75は、本発明の第 5の実施の形態に係るイベント順序証明システムの連鎖補完方式におけるインクリメンタル完全ィ匕（一部をメモリに納め、多段式に実行する方式)を説明する図である。

[図 76]図 76は、完全認証パスデータによる順次集約木のルート値の計算方法を示すフローチャートである。

[図 77]図 77は、ある集約間隔の順次集約木のリーフの 1つとして、前の集約間隔の順次集約木のルート値を取り入れる場合の順次集約木を説明する図である。

[図 78]図 78は、ある集約間隔の順次集約木のリーフの 1つとして、前の集約間隔の順次集約木のルート値を取り入れる場合の順次集約木を説明する図である。

[図 79]図 79は、ある集約間隔の順次集約木のリーフの 1つとして、前の集約間隔の順次集約木のルート値を取り入れる場合の完全認証パスデータによる順次集約木のルート値の計算方法を説明する図である。 [図 80]図 80は、認証点の割当値は、監査点の受理証明書内補完データに含まれることを説明する図である。

[図 81]図 81は、認証点の割当値は、監査点の受理証明書内補完データに含まれることを説明する図である。

[図 82]図 82は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

[図 83]図 83は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

[図 84]図 84は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

[図 85]図 85は、認証点のレベルより低い認証パスノードは、遅延補完データあるいは受理証明書内補完データに含まれることを説明する図である。

発明を実施するための最良の形態

[0022] 以下、本発明の実施の形態を図面を用いて説明する。

[0023] <第 1の実施の形態 >

(1 - 1.システム構成）

図 3は、本発明の第 1の実施の形態に係るイベント順序証明システム 100のシステム構成図である。イベント順序証明システム 100は、イベント順序証明装置 (以下、証明装置という） 1、複数のイベント順序証明利用者装置 (以下、利用者装置という） 2i (i=a, b, · · ·,!!)、証明装置 1が発行したイベント順序受理証明書 (以下、受理証明書という）の監査を行うイベント順序証明監査装置（以下、監査装置という） 3、及び、以上の各装置を相互に接続する、例えば、インターネット網、電話回線網などにより構成されるコンピュータネットワーク 4を備えており、証明装置 1が利用者装置 2 らのイベント順序証明要求 (以下、証明要求という）に応えて、受理証明書を発行し、利用者装置 2i に返信すると共に、受理証明書に疑義が生じた場合には、利用者装置 2iは、証明装置 1が公表したデータ又は監査装置 3による監査結果によって受理証明書を検証することができるようになって!/、る。

[0024] 尚、イベント順序証明システム 100のシステム構成は機能が同一であればその形態は問わないものであり、その物理的構成は種々考えられるものである。例えば、図 4 に示すように、利用者装置 2iの代わりに、イベント順序証明利用者検証装置 (以下、利用者検証装置と、う） 6iが受理証明書の検証を行うようにしてもよ、し、証明装置 1 の代わりに電子的情報公表装置 5が証明装置 1から公表データをもらい、公開するようにしてもよい。また、コンピュータネットワーク 4は、郵便など他の通信手段に置き換えることも可能である。尚、以下においては、図 3のシステム構成のもとに構成及び動作を説明する。

[0025] 証明装置 1は、コンピュータネットワーク 4を介して利用者装置 2i及び監査装置 3とデータの送受信を行う送受信部 11、利用者装置 2iからの証明要求として送信されたデジタル ·データを順次集約木を用いてまとめるイベント順序証明要求集約部 12、受理証明書を作成するイベント順序証明作成部 13、監査装置 3に送信する監査情報を作成する監査情報作成部 14、利用者装置 2iからの補完データ要求に応えて補完データを取得する補完データ取得部 15、証明装置 1が一定期間に発行した複数の受理証明書の内容を連結したデータに対して高強度デジタル署名をするデジタル署名作成部 16、高強度デジタル署名されたデータを電子的に公表する電子的情報公表部 17 、及び受理証明書をはじめとするイベント順序証明に関する情報を記憶する記憶部 1 8を有する構成である。

[0026] 上述したように、イベント順序証明要求集約部 12は、順次集約木を用いてイベント順序証明要求をまとめるが、この順次集約木について図 5を用いて説明する。図 5に示す順次集約木は、一定期間 (例えば 1週間など証明装置 1が取り纏めデータを公表するサイクル、以下、順次集約期間という）において完成される集約木であって、利用者装置 2i力の証明要求に含まれるデジタル ·データの全部あるいは一部力所定の順次割当データ計算手順に従って生成されたデジタル ·データ (これを順次割当データと呼ぶ；例えば、証明要求に含まれるデジタル ·データのハッシュ値）を経時的に順次リーフに左側力割り当てるようにしている。

[0027] 順次集約木の各ノード (リーフを除く）に割り当てられる値の計算方法は、以下の通りである。順次集約木の親の割当値は、左側の子の割当値 H'と右側の子の割当値 H "を連接 (ビット列とビット列の結合)し、所定の衝突困難一方向ハッシュ関数 hを適用した結果であるハッシュ値を計算することにより求められるものであり、これを h(H， II H ")と表す。このようにして下位のレベルの割当値から上位のレベルの割当値を計算して、最終的に最上位のレベル (ルート）の割当値 (ルート値)を求める。

[0028] 以下においては、図 5に示すように、 16個のリーフを有する順次集約木の場合について説明する。尚、順次集約木リーフの数や高さは、順次集約期間が終了するまで確定しない。また、順次集約木においては、リーフへの値の割当は左力順次行われ、レベルが 0より大きいノード (即ちリーフではないノード）に対する値の割当は、それが可能になったときにインクリメンタルに行われる。従って、図 3の同一の縦線上にある複数のノードに対しては、値の割当が同一の処理単位の中でほぼ同時に行われる。

ここで、順次集約木のレベル j、番号 (インデックスともいう） iのノードを (j, i)で表し、ノード (j, i)の割当値を V(j, 0と表して、図 5に示す具体例を説明する。

[0029] 今、順次割当データがノード (0,5)に割り当てられたとき、即ち、順次集約木リーフに割り当てるハッシュ値力 SV(0,5)であるとき、このハッシュ値 V(0,5)からルート値 (= V(4,0 ；))を求めるには、 V(0,5)に V(0,4)を左力も連接して、ノ、ッシュ値 hi'を計算し、該ハツシュ値 hi'に V(l, 3)を右側から連接してハッシュ値 h2'を計算し、該ハッシュ値 h2'に V(2, 0)を左側から連接してハッシュ値 h3'を計算し、さらに該ハッシュ値 h3'に V(3,l)を右側から連接してハッシュ値（= V(4, 0))を計算すればよい。このような手順により V(0, 5)とそれを補完するデータ (ここでは V(0, 4), V(l,3), V(2,0), V(3,l))からルート値が計算できるとき、 V(0, 5)はハッシュ関数 hによりルート値にリンクするという。また、順次集約木における V(0,5)の補完データ（以下、順次集約補完データという）は、

[(V(0, 4), L) , (V(l, 3), R) , (V(2, 0), L) , (V(3, 1), R)]

となる。ここで、 L及び Rは、各々、 2つのデジタル 'データを連接する際に左から連接こと、及び右から連接することを表す。

[0030] イベント順序証明作成部 13は、図 6に示すような受理証明書 EOC(y)を作成し、利用者装置 2iに送信するようになっている。受理証明書 EOC(y)は、利用者から送付されたデジタル ·データ y、上述した順次割当データ計算手順によりデジタル ·データ yから計算された順次割当データ z、順次割当データ zが割当てられた順次集約木を一意に特定できる順次集約木番号、順次割当データ zが割当てられた順次集約木リーフを一意に特定できる順次集約木リーフ番号、およびその時点で取得できる順次集約補完データの一部（これを即時補完データと、う） HKを含むように構成されて、る。このうち、即時補完データ HKについては省くことも可能である。

[0031] また、イベント受理証明書 EOC(y)には、証明装置 1が予め用意しておいた公開鍵暗号方式キー ·ペアのうちの秘密鍵 (署名用秘密鍵)を用いてデジタル署名をつけて送信してもよい。この場合、当該公開鍵暗号方式キー ·ペアのうちの公開鍵は公開鍵暗号基盤などを用いて利用者装置 2i力アクセス可能になっているものとする。

[0032] 尚、当該の受理証明書 EOC(y)発行後に取得できる順次集約補完データを遅延補完データという。即ち、受理証明書 EOC(y)が作成される段階においては、即時補完データだけが利用者装置 2iに送信されるものであり、遅延補完データは、当該の受理証明書 EOC(y)発行後に要求された場合等に利用者装置 2iに送信されるものである。例えば、図 5においては、ノード (0,5)にとつて、ノード割当値 V(2,0)、ノード割当値 V (0,4)は即時補完データである力ノード割当値 V (1,3)、ノード割当値 V (3,1)はノード (0, 15)が割当られた時点以降に取得可能な遅延補完データである。以下では、順次集約木リーフ番号 iに対して、 V(0, i)のことを短く V(i)と書くこともある。

[0033] 補完データ取得部 15は、利用者装置 2 ら上述した遅延補完データの要求があつたとき、当該時点に関する情報（当該要求が割り当てられた順次集約木番号、順次集約木リーフ番号)、及びその時点で確定して!/、る順次集約補完データ (位置情報、割当値)の全てを利用者装置 2iに返送するようになって、る。

[0034] ここで、図 7を参照して、順次集約補完データの内容について詳しく説明する。

[0035] 順次集約木の 1つのリーフ tに対する、はり右に位置するもう一つのリーフ t'における補完データ CToken(t, t')は次のように定義される。

[0036] リーフ tから順次集約木のルートに至るパスを tのルート'パスと呼び、 tのルート'パスに属するルート以外のノードの兄弟ノード力なるノードの並びの認証パスと呼ぶ（認証パスの詳細な定義は後で与える）。認証パスの要素の内、はり右に位置するリーフ tlの割り当て値が確定した時点にぉ、て割当値が確定して、る要素の列を auth PathD(t, tl)とし、これを tlにおける tに対する認証パスと呼ぶ。この列に割当値の情報を付カ卩したものを authPathDV(t, tl)とし、これを tlにおける tに対する値付認証パスと呼ぶ。

[0037] 以上から、 authPathDV(t, t')は、受理証明書 EOC(y)に含まれていなかった情報を含めて、補完データ CToken(t, t')を構成するようになっている。

[0038] 尚、 t'が tの属する順次集約木 SBTの生成期間 (順次集約期間）の終了後に生成される次の順次集約木 SBT'のリーフであるときにも、 authPathDV(t, t')には順次集約木 SBTについての情報のみが含まれる。このとき、 CToken(t, t')は、 t時点で受信したィベント受理証明書 EOC(y)と組み合わせることにより、当該の順次集約期間における順次集約木のルート値を計算するのに十分な情報を含んでいる。

[0039] 例えば、図 7において、 CToken(t, t4')は alの位置情報 (0, 3)とその割当値 V(al)の組 ((0, 3), V(al))、及び a2の位置情報 (2, 1)とその割当値 V(a2)の組 ((2, 1), V(a2》からなる列 [((0, 3), V(al)), ((2, 1), V(a2))]となる。

[0040] 以下では、受理証明書に含まれる順次集約木の割当て値と組み合わせることにより前記順次集約木のルート値を計算できるような補完データを該受理証明書の完全補完データと定義し、上記割当て値および受理証明書に含まれる即時補完データと組み合わせることにより、前記順次集約木のルート値を計算できるような補完データを完全遅延補完データと呼ぶ。

[0041] 監査情報作成部 14は、監査情報を順次集約木から取得して監査装置 3に送信するものであり、より詳しくは、監査情報とは、順次集約木リーフに設けられた監査点において以下に定義するように生成される監査用イベント順序受理証明書 (以下、監査用受理証明書という）から構成される。ここで、監査点とは、監査装置 3からの監査用ィベント順序証明要求 (以下、監査用証明要求という）が割当てられた順次集約二分木のリーフをいう。

[0042] 尚、図 5においては、監査点は 1つしか設けられていないが、所定のアルゴリズムに従って複数設けてよいのは勿論であり、また、証明要求に対する受理証明書に対して後述するような監査を行うためには、監査点は、該証明要求に対応するリーフ（図 3 の具体例においては、ノード (0, 5))に等しいか或いはそれより右側のリーフ（時間的に後）に割り当てられてヽればどこに設けて、てもよ、ものである。 [0043] 監査用受理証明書の形式は、利用者装置 2iに返送する受理証明書と同一である。尚、順次割当データを計算するための元となるデジタル ·データ yは、監査装置 3から証明装置 1に監査用証明要求として送付されたものであってもよいし、当該証明装置 1において、当該の監査装置 2に対して予め定められた何らかの手順に従って生成してもよい。また、このような手順としては、前以て定められた何らかの手順に従って監查用受理証明書におけるイベント順序証明の対象となるデジタル文書を作成し、該デジタル文書に対して前以て定めたハッシュ関数を適用した結果であるハッシュ値を順次割当データを計算するための元となるデジタル ·データとする方式を採用してもよい。

[0044] 利用者装置 2iは、コンピュータネットワーク 4を介して証明装置 1および監査装置 3とデータを送受信する送受信部 21、所定のデジタル ·データを含む証明要求を行うィベント順序証明要求部 22、要求時点において取得可能な受理証明書に対する補完データを要求する補完データ要求部 23、受理証明書を検証するイベント順序証明検証部 24、受理証明書をはじめとするイベント順序証明に関する情報を記憶する記憶部 25を有する構成である。

[0045] ここで、イベント順序証明検証部 24は、受理証明書に対して以下の検証機能を備える。

[0046] まず、受理証明書にデジタル署名が含まれる場合には、該デジタル署名に対するデジタル署名検証を行う第 0の検証機能を備える。

[0047] また、証明装置 1から高強度デジタル署名を付すこと等により真正性を保証して公表される公表情報に、受理証明書に含まれる順次割当データがハッシュ関数を介してリンクすることを検証する第 1の検証機能を備える。

[0048] さらに、以下に記述するように、証明装置 1からの公表情報が公開される前であっても、監査装置 3を利用することにより、受理証明書の正当性を検証する第 2の検証機能を備える。

[0049] 監査装置 3は、コンピュータネットワーク 4を介して証明装置 1および利用者装置 2^ データを送受信する送受信部 31、利用者装置 2iからある受理証明書の監査要求を受けた際には、利用者装置 2iから送信された監査要求情報および自己の監査情報を用いて受理証明書の検証を行い、その結果を利用者装置 2iに返信するイベント順序証明監査部 32、及び監査用受理証明書をはじめとする監査情報を記憶する記憶部 33を有する構成である。

[0050] ここで、イベント順序証明検証部 32の機能について、図 5を用いて説明する。図 5においては、 (0, 10)が監査点となっているので、この時点において監査装置 3が受け取つている監査情報は、上述した通り、 V(3, 0)および V(l, 4)である。一方、利用者装置 2iは、監査要求情報として、 V(0, 5)及び順次集約補完データである V(0, 4), V(l, 3)、および V(2, 0)を送信するものである。これは、利用者装置 2iが検証を求める時点（即ち、受理証明書が発行された (0, 5)の時点より後刻である監査点 (0, 10)の時点以降）においては、即時補完データに含まれていな力つた V(l, 3)も証明装置 1から取得することが可能であるので、 V(l, 3)を遅延補完データとして利用者装置が証明装置 1から取得し、監査要求情報に含めたものである。そして、イベント順序証明検証部 32は、自己が有している監査情報 V(3, 0)が、利用者装置 2iから送信された監査要求情報から計算された V(3, 0)と一致するカゝ否かを検証するものである。

[0051] 尚、以後においては、利用者装置 2iから送信された証明要求から作成された順次割当データが割り当てられた順次集約木リーフをユーザ点と呼び、監査装置 3から送信された監査用証明要求カゝら作成された順次割当データが割り当てられた順次集約木リーフを監査点と呼ぶ。

[0052] ここで、比較検証の対象となる順次集約木のノード（図 5においては、 (3, 0))を以後、認証点とよぶ。尚、一般に、あるユーザ点の番号が監査点の番号より小さい場合、認証点のラベル (割当値）は監査情報に含まれており、また、監査点におけるイベント順序証明処理が終了した時点以降において、利用者装置 2iが受信できる遅延補完データ力計算できるラベルには、認証点のラベルが含まれるので、順次集約木においてユーザ点、監査点、遅延補完データを要求した点が左からこの順序に位置している場合には、上記検証は、常に実施可能なものである力この理由に関しては後述する (後述の順次集約木の性質 2の項目（3)を参照)。

[0053] 即ち、上記の手順により利用者装置 2iがある受理証明書に対する第 2の検証を監查装置 3に依頼して実行するには、該受理証明書の証明要求が割り当てられたリーフ τと、該イベント受理証明書に対する遅延補完データ要求が割り当てられたリーフ τ 'の間（ τと τ 'も含む)に監査装置 3の監査点が存在する必要がある。

[0054] 尚、以上の各装置は、少なくとも演算機能及び制御機能を備えた中央処理装置 (C PU : Central Processing Unit)、プログラムやデータを収納する機能を有する RAM(Ra ndom Access Memory)等からなる主記憶装置 (メモリ）、ハードディスク（HD)等の電源断時にもデータを記憶し続けることが出来る 2次記憶装置を有する電子的な装置から構成されている。このうち、証明装置 1のイベント順序証明要求集約部 12、イベント順序証明作成部 13、監査情報作成部 14、補完データ取得部 15、デジタル署名作成部 1 6及び電子的情報公表部 17、利用者装置 2iのイベント順序証明要求部 22、補完データ要求部 23及びイベント順序証明検証部 24、並びに監査装置 3のイベント順序証明監査部 32の処理は、上記 CPUによる演算制御機能を具体的に示したものに他ならない。また、証明装置 1の記憶部 18、利用者装置 2iの記憶部 25及び監査装置 3の記憶部 33は、上記主記憶装置あるいは 2次記憶装置の機能を備えたものである。

[0055] また、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置または 2次記憶装置に格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、 CD— ROM、 MO、 DVD— ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。

[0056] (1 - 2.システム動作）

次に、以上の構成を有するイベント順序証明システム 100におけるイベント順序証明方法、およびイベント順序証明検証方法を図 8乃至 10を用いて説明する。ここで、図 8は、 1つの順次集約期間において証明装置 1が受理証明書及び監査用受理証明書を作成する動作を説明するシーケンス図であり、図 9は、利用者装置 2iが受理証明書に対して第 1の検証を行う動作を説明するフローチャートであり、図 10は、利用者装置が受理証明書に対して第 2の検証を行う動作を説明するシーケンス図である。

[0057] まず、図 8を参照して、イベント順序証明方法にっ、て説明する。

[0058] 利用者装置 2iが証明装置 1にデジタル ·データ yを含む証明要求を送信すると、証明装置 1は送受信部 11を介して、該デジタル，データ yを含む証明要求を受信する (ステツプ S10, S20)。

次に、イベント順序証明要求集約部 12が、デジタル 'データ yを入力の一部あるいは全部として順次割当データ zを計算し、該順次割当データ zを順次集約木リーフ〖こ割り当て、インクリメンタルに順次集約木を構成していくとともに、イベント順序証明作成部 13が、受理証明書 EOC(y)を作成し、送受信部 11を介して利用者装置 2iに受理証明書 EOC(y)を送信する（ステップ S30, S40, S50)。

[0059] これにより、利用者装置 2iは、受理証明書 EOC(y)を取得することができる (ステップ S60)。尚、受理証明書 EOC(y)には、この時点において取得できる即時補完データを含めることにしてよ、が、遅延補完データは含まれて、な、。

[0060] 同様にして、監査装置 3も監査用証明要求を送信すると、証明装置 1は送受信部 11 を介して、監査用証明要求を受信する (ステップ S70, S80)。

[0061] 次に、イベント順序証明要求集約部 12が、監査用証明要求から計算された監査用順次割当データを順次集約木リーフに割り当てて、インクリメンタルに順次集約木を構成していくとともに、監査情報作成部 13は、監査用受理証明書を作成し、送受信部 11を介して監査装置 3に監査用受理証明書を送信する (ステップ S90, S100, S110

) o

[0062] これにより、監査装置 3は、監査用受理証明書を取得することができる (ステップ S12 0)。

[0063] 次に、利用者装置 2iは、取得した受理証明に対する遅延補完データ要求を証明装置 1に送信すると、証明装置 1は送受信部 11を介して、該遅延補完データ要求を受信する (ステップ S130, S140)。

[0064] 次、で、証明装置 1の補完データ取得部 15は、その時点で取得可能な上記受理証明書に対する補完データを取得し、遅延補完データとして送受信部 11を介して利用者装置 2iに送信する（ステップ S150, S160)。

[0065] これにより、利用者装置 2iは、監査に必要な遅延補完データを取得することができる（ステップ S 170)。

[0066] そして、順次集約のための一定期間 (順次集約期間）内においては、上述した証明装置 1の動作は繰り返され、順次集約期間が終了すると、順次集約木のルート値を計算し、電子的情報公表部 17は、このルート値を電子的に公表する (ステップ S180, S190, S200) _oこの際、該情報の真正性を保証するため、高強度デジタル署名作成部 16を用いて高強度のデジタル署名を付した公表情報を公開してもよ!/ヽ。

[0067] 尚、図 8に示すイベント順序証明方法においては、監査装置 3の方から証明装置 1 に監査情報要求を送信し、これに応えて証明装置 1が監査装置 3に監査情報を送信する方式であつたが、これとは異なり、証明装置 1が監査装置 3に監査情報を自動的に送信するような方式であってもよ、。

[0068] 次に、図 9を参照しながら、電子的に公表された公表情報を用いたイベント順序証明検証方法について説明する。これは、利用者装置 2iの第 1の検証機能に相当するものである。

[0069] まず、利用者装置 2iは、自己が証明装置 1に証明要求として送信したデジタル 'デ →Ί、並びに受信した受理証明書 EOC(y)及び遅延補完データに含まれて、る順次集約補完データ（この時点においては、すべての順次集約補完データを取得可能である）力も順次集約木のルート値 RHcalを計算する (ステップ S310)。

[0070] 次に、高強度のデジタル署名を付して電子的に公表されている同一順次集約期間のルート値 RHを取得し、このルート値 RHが、計算したルート値 RHcalに一致するか否か検証する（ステップ S320, S330)。

[0071] 以上の検証において、検証に成功すれば、受理証明書が改ざんされていないことを確認することができる (ステップ S340)。一方、検証に失敗すれば、受理証明書が改ざんされていることを確認することができる (ステップ S350)。これにより、高強度のデジタル署名を付すなどの手段により真正性を保証しながらが電子的に公表された後においては、公表された情報を利用して、証明装置 1が発行した受理証明書が、当該の順次集約期間において、受理証明書に含まれる元デジタル ·データに対して、受理証明書に含まれる順次集約木リーフ番号で識別される順番にぉ、て発行されたものであることを確実に検証することができる。

[0072] 次に、図 10を参照しながら、監査装置 3を用いたイベント順序証明検証方法について説明する。これは、利用者装置 2iの第 2の検証機能に相当するものである。 [0073] 利用者装置 2iは、監査要求の前に検証の対象となる受理証明書の遅延補完データを証明装置 1に要求する (ステップ S410)。この要求を証明装置 1が送受信部 11を介して受信すると、補完データ取得部 15は、受理証明書に即時補完データが含まれる場合には、この時点にぉ、て取得できる遅延補完データの全て力も即時補完データを除いたものからなる遅延補完データを、受理証明書に即時補完データが含まれない場合には、この時点において取得できる遅延補完データの全てを取得し、送受信部 11を介して利用者装置 2iに送信する (ステップ S420, S430, S440)。これにより、利用者装置 2iは、補完データを取得するので、イベント順序証明検証部 24は、これに既に受け取つている受理証明書を加えた監査要求情報を監査装置 3に送信する (ステツプ S450, S460)。

[0074] 次に、監査装置 3が監査要求情報を送受信部 31を介して受信すると、イベント順序証明監査部 32は、既に自分が受信した監査用受理証明書が割当てられた順次集約木のリーフの中で、受信したこの監査要求情報に含まれる受理証明書が割当てられた順次集約木リーフてとその遅延補完情報に含まれるリーフて 'の間にある監査点 OC を計算する (ステップ S470, S480) _o続いて、監査要求情報から τの αによる認証点を計算し、該認証点の割当値 Acalを計算する (ステップ S490)。一方、イベント順序証明検証部 32は、監査情報として既に受け取って、るこの認証点の割当値 Aを記憶部 33から取得して、この認証点の割当値 A力計算により求めた認証点の割当値 Acal に一致するか否かを検証する（ステップ S500, S510)。

[0075] 以上の検証において、検証に成功すれば、受理証明書が改ざんされていないことを確認することができる (ステップ S520)。一方、検証に失敗すれば、受理証明書が改ざんされていることを確認することができる (ステップ S530)。そして、イベント順序証明監査部 32は、この監査結果を送受部 31を介して利用者装置 2iに送信し、利用者装置 2iは、監査結果を受信する（ステップ S540, S550)。

[0076] これにより、利用者装置 2iは、電子的公表機関を介した公表前においても、証明装置 1が発行した受理証明書が当該の順次集約期間において、受理証明書に含まれる元デジタル ·データに対して、受理証明書に含まれる順次集約木リーフ番号で識別される順番において発行されたものであることを確実に検証することができる。尚、上記監査結果に監査点 αの識別子を含めてもよい。この場合においては、利用者装置 2iは、上記監査を要求した受理証明書に対応する証明要求の登録が、監査点 α に対応する監査用証明要求の登録より前であったことの保証を監査装置 3から確実に得ることができる。

[0077] なお、ステップ S540の監査結果の送信に際しては、監査装置 3が受信した補完データを含む部分に対して、証明監査装置 3が持つ署名用秘密鍵を用 V、てデジタル署名を付して、該デジタル署名を含めた検証結果を構成し、利用者装置 2iに送信するようにしてもよい。これにより、監査装置 3によるデジタル署名が信用されるという前提の下で、順次集約木のルート値に対する有効なデジタル署名が入手できな、場合であっても、利用者装置 2iを利用する利用者は、上記受理証明書によるイベント順序証明の正当性を客観的に第三者に証明することができるようになる。

[0078] (1 - 3.イベント順序監査方法）

次に、上述した第 2の検証である監査装置 3を用いたイベント順序証明検証方法について、より詳しく説明する。

[0079] 尚、以下では、時刻の原点として、イベント順序証明システム 100のサービス開始時点をとり、時間を計る単位として一つの値 (例えば 1秒、 1ミリ秒等）を定め、時刻を上記原点から上記の時間の単位で計った整数で表現するものとする。

[0080] ここで、イベント順序証明検証方法を説明するための幾つかの予備定義を与える。

[0081] 順次集約木 SBTにおいて、 1つのノード pはレベル jとレベル内の番号 iで識別される 1S ノード pのレベルと番号を各々 level(P), index(p)と書く。

[0082] また、順次集約木リーフ番号 iで識別される順次集約木 SBTのリーフを lea SBT, i), 1 eaKSBT, 0に順次割当値を割り当てる元となった証明要求を受付けて該リーフに割当値を割り当てる一連の処理を該リーフに対する処理ラウンドと言い、 round(SBT, i) と表す。文脈からどの順次集約木について論じているか明らかなときは、単に lea i), round(i)と記すこともある。

[0083] 順次集約木には、生成された順に 0から始まる識別番号を付与し、これを順次集約木番号という。 n番目の順次集約木リーフの数を N(n)とおく。

[0084] 各受理証明書に対しては、順次集約木番号 nと順次集約木リーフ番号 iが付与され、該受理証明書が発行された順次集約木リーフをそれら 2つの番号の組で指定することができる。このような組を拡張リーフ識別子と呼ぶ。 2つの拡張リーフ識別子 V 1 = (nl, il), v 2 = (n2, i2)の間の順序を辞書式順序を用いて定義する。即ち、 v 1 < V 2とは、 nl < n2、または nl = n2かつ il < i2のことと定義する。また v 1 ≤ V 2とは、 V 1く V 2または V 1 = V 2のことと定義する。 V = (n, i)を拡張リーフ識別子とし、この識別子で識別される順次集約木リーフがあるとき、該リーフを lea v ) = leaKn, 0と表す。 leaK v )を単に、リーフ vと呼ぶこともあり、 lea v )が監査点（あるいはユーザ点）であるときは、監査点 V (あるいはユーザ点 V )と呼ぶこともある。

[0085] また、ある順次集約木 SBTのリーフ lea SBT, i)について、この順次集約木 SBTのリーフに順次割当値を割り当てる元となった証明要求の受付時刻を、該リーフに対応する時刻といい、これ ime(SBT, 0あるいは簡単に time(i)と表す。同様に、 lea v )について、このリーフに順次割当値を割り当てる元となった証明要求の受付時刻を、 tim e( v )と表す。

[0086] 利用者装置 2iが、監査装置 3を用いて、ある受理証明書に対する第 2の検証を実行するには、上述したように該受理証明書に対応する順次集約木リーフてと、該受理証明書に対する遅延補完データ要求に対応する順次集約木リーフて 'の間（ τと τ ' も含む)に監査装置 3の監査点 aが存在する必要がある。このためには、 Tをある正整数とし、以下の 3つの条件（1)〜（3)が成り立てば十分である。

[0087] (1)監査装置 3の最初の監査点の時刻は Tより小さい。

[0088] (2)監査装置 3による任意の 1つの監査点を _α、次の監査点を α 'とすると、

timei, )— time( α )≥ Τ

が成り立つ。

[0089] (3)利用者装置 2iは、拡張リーフ識別子ての順次集約木リーフで受理証明書を受信した後のある順次集約木リーフ τ 'で該受理証明書に対する遅延補完データを受信することとし、

time( τ ')一 time、 τ )≤ T

が成り立つ。

[0090] 尚、これらの条件の十分性の理由に関しては後述する (後述の次集約木の性質 3の (1)と (2)を参照)。

[0091] 図 11に示すようなある順次集約木 SBTに属する監査装置 3の監査点 _αにおいて、監査装置 3は監査用受理証明書を受信するものとする。監査用受理証明書には、 a における即時補完データが含まれている。この即時補完データには、順次集約木 SB Tの任意のリーフ τで αより左にあるものの割当値 V(て )が次のような意味で結合している。即ち、 τの αによる認証点 ρ2の割当値 V(p2)が上記の即時補完データに含まれ、この認証点の割当値は V( τ )から出発して authPath( τ )に属する幾つかのノードの割当値をハッシュ関数 hによりリンクすることにより計算できる（これが成立つ理由については、後述の順次集約木の性質 2の項目（1)を参照)。

[0092] これにより、監査装置 3は監査点 aで受信した監査用受理証明書内の即時補完データに、上記 V(p2)が含まれているか否かにより、利用者がユーザ点てで取得した受理証明書の元となった要求の送信及び証明装置 1による要求受付けが、監査装置 3 が監査点 (Xで取得した監査用受理証明書の受信より時間的に前であることを検証することができる（これを検証結果 1とする。図 12を参照)。

ここで、証明装置 1の直列化可能性について説明する。証明装置 1の直列化可能性とは、該証明装置が任意の複数の順序証明要求を受付け処理する際に、該複数の要求を直列に並べるある順序付けがあり、その順序に従って順次受けて、それに対する処理結果である受理証明書を返信し、その後次の要求の処理を行った場合と同じ結果となることと定義する。

[0093] 証明装置の直列化可能性は重要な要件であり、本実施の形態においては、直列化可能性を保証する手段を有するものとする。このような手段としては、証明装置が 1 つ順序証明要求を受付けたとき、該要求に対する受理証明を送信して力ものみ次の要求受付けることを監視する直列性監査装置を用いてもょ、。

[0094] この直列化可能性を用いれば、ユーザ点と監査点の順序関係につ!、て検証結果 1 より強いことを結論することができる。例えば、順序証明装置 1の直列化可能性が、監查装置 3が監査点 ocで取得した受理証明書の受信時まで保証されて!、たとすると、上記検証により、ユーザ点てに対応する順序証明要求の受付けが、監査点 ocに対応する監査用順序証明要求の受付けより時間的に前であることを結論できる (これを検証結果 2とする。図 12を参照)。なぜならば、直列化された順序証明要求の処理において、 (Xに対応する監査用順序証明要求の受付けがてに対応する監査用順序証明要求の受付けより前であれば、 αに対応する受理証明書 EOC( a )は、 τに対応する監査用順序証明要求 EOR( τ )の受付けより前に送信されることになり、 EOC( a ) E OR( τ )が含むイベント値カ、ッシュ関数を介して結合するデータを含めることは出来ないからである。以上から、監査装置 3が監査点 αで取得した監査用受理証明書の受信時まで、証明装置 1の直列化可能性が推認されるときには、ユーザ点てに対応する順序証明要求の受付けは、監査点 Oに対応する監査用順序証明要求の受付けより時間的に前であることが推認される。以後、このことを「ユーザ点の未来側の境界付け」という。

[0095] 尚、監査装置 3が監査点 ocで取得した監査用受理証明書の受信時までの証明装置 1の直列化可能性を保証しても、監査装置 3が受理証明の一部として即時補完データを受信していなければ、上記のことは言えないことに注意する必要がある。なぜならば、監査装置 3が監査点 αで取得した監査用受理証明書の受信時より後に、証明装置がてにおける割当て値を改変する可能性を除くことはできないからである。

[0096] 従って、第 1の実施の形態のイベント順序証明システム 100によれば、利用者装置 2i 力証明要求を受付けた証明装置 1が、該要求に含まれるデジタル ·データ力計算される順次割当値及び前記順次割当データが割り当てられた順次集約木の位置情報を含む受理証明書及び補完データを発行し、補完情報順次集約木のルート値に対して高強度デジタル署名を付す等の手段により真正性を保証しながら電子的に公表するので、利用者装置 2iは公表情報および補完データから簡単に受理証明書の検証をすることができる。また、順次集約木のルート値を電子的に公表する前であつても、監査装置 3が順次集約木の監査点に関する監査情報を有しているので、監査装置 5は利用者装置 2iからの監査要求を受けて、受理証明書の監査をすることができる。

[0097] この結果、受理証明書の正当性を検証できたときには、証明装置 1における監査対象とした受理証明書の証明要求受信が、監査に用いた監査用受理証明書の証明要求受信よりも時間的に前であることを証明することができる。 [0098] <第 2の実施の形態 >

(2- 1.システム構成）

図 13は、本発明の第 2の実施の形態に係るイベント順序証明システム 200のシステム構成図である。イベント順序証明システム 200は、イベント順序証明装置 (以下、証明装置という） 7、複数のイベント順序証明利用者装置 (以下、利用者装置という) 2i (i =a,b,… )、証明装置 7が発行したイベント順序受理証明書 (以下、受理証明書という）の監査を行うイベント順序証明監査装置（以下、監査装置という） 8、及び、以上の各装置を相互に接続する、例えば、インターネット網、電話回線網などにより構成されるコンピュータネットワーク 4を備えており、証明装置 7が利用者装置 2i力のィベント順序証明要求 (以下、証明要求という）に応えて、受理証明書を発行し、利用者装置 2iに返信すると共に、受理証明書に疑義が生じた場合には、利用者装置 2iは、証明装置 7が公表したデータ又は監査装置 8による監査結果によって受理証明書を検証することができるようになって!/、る。

[0099] ここで、第 2の実施の形態は、第 1の実施の形態とほぼ同様のシステム構成である力監査装置 8が、各順次集約期間の終了後に、その順次集約期間中に取得した各監査用受理証明書の完全遅延補完データを、証明装置 7に要求して (あるいは事前の契約に基づいて）取得するという点が異なっている。尚、本実施の形態においては、第 1の実施の形態と異なる構成及び機能を説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。

[0100] また、第 1の実施の形態と同様に第 2の実施形態においても、イベント順序証明システム 200のシステム構成は機能が同一であればその形態は問わないものであり、その物理的構成は種々考えられるものである。例えば、利用者装置 2iの代わりに、図 4 に示した利用者検証装置 6iが受理証明書の検証を行うようにしてもよいし、証明装置 7の代わりに、図 4に示した電子的情報公表装置 5が証明装置 7から公表データをもらい、公開するようにしてもよい。また、コンピュータネットワーク 4は、郵便など他の通信手段に置き換えることも可能である。

[0101] 証明装置 7は、コンピュータネットワーク 4を介して利用者装置 2i及び監査装置 8とデータの送受信を行う送受信部 11、利用者装置 2iからの証明要求として送信されたデジタル ·データを順次集約木を用いてまとめるイベント順序証明要求集約部 12、受理証明書を作成するイベント順序証明作成部 13、監査装置 8に送信する監査情報を作成する監査情報作成部 71、利用者装置 2iからの補完データ要求に応えて補完データを取得する補完データ取得部 15、証明装置 7が一定期間に発行した複数の受理証明書の内容を連結したデータに対して高強度デジタル署名をするデジタル署名作成部 16、高強度デジタル署名されたデータを電子的に公表する電子的情報公表部 17 、及び受理証明書をはじめとするイベント順序証明に関する情報を記憶する記憶部 7 2を有する構成である。

[0102] 監査情報作成部 71は、各監査点における監査用受理証明書を順次集約木から取得して作成することに加えて、各順次集約期間の終了後に、その順次集約期間に取得した各監査用受理証明書の完全遅延補完データを取得して作成するようになっている。

[0103] 監査装置 8は、コンピュータネットワーク 4を介して証明装置 7および利用者装置 2iとデータを送受信する送受信部 31、証明装置 7に各監査用受理証明書の完全遅延補完データの要求を行う補完データ要求部 81、利用者装置 2iからある受理証明書の監查要求を受けた際には、利用者装置 2iから送信された監査要求情報及び監査情報（監査用受理証明書に加えて該監査用受理証明書の完全遅延補完データも含める）を用いて受理証明書の検証を行い、その結果を利用者装置 2iに返信するイベント順序証明監査部 82、及び監査用受理証明書をはじめとする監査情報を記憶する記憶部 83を有する構成である。

[0104] イベント順序証明監査部 82は、第 1の実施の形態のイベント順序証明監査部 32の機能（「ユーザ点の未来側の境界付け」）に加えて、後述する「ユーザ点の過去側の境界付け」を検証できる機能を有するようになつている。これは、あるユーザ点がある監査点よりも左にあること (即ち、時間的に前にあること）にカ卩えて、あるユーザ点がある監査点より右にあること (即ち、時間的に後であること)を監査できることを意味する

[0105] 以下、図 14を参照しながら、この「ユーザ点の過去側の境界付け」について説明する。 [0106] 尚、以下では、監査装置 8が各順次集約期間の終了後に、その順次集約期間に取得した各監査用受理証明書の完全遅延補完データを取得することを、監査装置 8は複合完全補完を行うという。

[0107] 本実施の形態においては、監査装置 8は、順次集約期間が終わるごとに、該順次集約期間に受信した監査用受理証明書に対する完全遅延補完データを取得するので、監査用受理証明書に含まれる即時補完データと該遅延補完データを組み合わせることにより、監査装置 8は、該順次集約期間に受信した監査用イベント受理証明書に対する完全補完データを取得することになる。

[0108] ここで、利用者装置 2iと監査装置 8は、第 1の実施の形態で述べた条件（1)〜（3)を満たすものとする。てを利用者装置 2iによるユーザ点で、 T ≤ time(て )を満たすものとする。 T ≤ time( τ )という条件から、上述の条件（1)により τより左にある（即ち時間的に前にある）監査装置 8による監査点が存在する。そのような監査点の一つを α 1とおく。 α ΐとして、上記条件を満たす監査点のうち最も右に位置するものをとることにしてもよい。監査は以下の手順に従って実行される。

[0109] ( 1)利用者装置 2iがユーザ点てで取得した受理証明書 (順次集約木リーフ番号、即時補完データ)を監査装置 8に送付する。

[0110] (2)監査装置 8は利用者装置 2iから送付された受理証明書に含まれる順次集約木リーフ番号を取り出し、該受理証明書に対応する順次集約木リーフてを特定し、自分が取得した監査用受理証明書の中から、てより左に位置する順次集約木リーフに対応するものを選ぶ。このような監査用受理証明書の中から、対応する順次集約木リーフがもっとも右に位置するものを選んでもよい。このように選ばれた監査用受理証明書に対応する順次集約木リーフを OC 1とする。

[0111] (3)監査装置 8は複合完全補完を行うので、監査装置 8は監査点《1に対応する監查用受理証明書の完全遅延補完データを取得する。該遅延補完データに対応する順次集約木リーフは、 τと等しいか右に位置する（時間的に後である）。

[0112] (4)監査装置 8は、監査点《1に対応する監査用受理証明書とそれに対する上記遅延補完データから、監査点 ex 1のユーザ点てによる認証点 ρ2の割当値を計算することができる。 [0113] (5)従って、監査装置 8は、利用者装置 2iから受信した順次集約木リーフてに対応する受理証明書内の即時補完データに、上記計算した監査点 (X 1のユーザ点てによる認証点の割当値が含まれることを検証することにより、 a 1がてより左に位置することを監査することができる。

[0114] この検証結果からまず言えることは、監査点 α 1に対応する監査装置 7の監査用証明要求が証明装置 7に受信された時刻 1、てに対応する利用者装置 2iの証明要求が証明装置 7に受信された時刻 2、この要求に対する受理証明書が証明装置 7 力も送信された時刻を t2'とおくと、 tl < t2'ということである。

[0115] ここで、本実施の形態においても、証明装置 7の直列化可能性は保証されている、即ち、 t2'の時点まで証明装置 7の直列化可能性は保証されているとすると、さらに、 t 1 < t2ということも結論できる。以上から、証明装置 7がユーザ点てに対応する受理証明書を利用者装置 2iに送信した時刻まで、証明装置 7の直列化可能性が推認されるときには、監査点 α 1に対応する監査用証明要求の受付けは、ユーザ点 τに対応する利用者装置 2iの証明要求の受付けより時間的に前であることが推認される。

[0116] 尚、 t2'時点までの証明装置 1の直列化可能性を保証しても、利用者装置 2iが受理証明の一部として即時補完データを受信して、なければ、上記のことは言えな!/、ことに注意する必要がある。なぜならば、 t2'時点より後で、証明装置 7が監査点 α 1における割当て値を改変する可能性を除くことはできないからである。

[0117] 尚、以上の各装置は、少なくとも演算機能及び制御機能を備えた中央処理装置 (C PU : Central Processing Unit)、プログラムやデータを収納する機能を有する RAM(Ra ndom Access Memory)等からなる主記憶装置 (メモリ）、ハードディスク（HD)等の電源断時にもデータを記憶し続けることが出来る 2次記憶装置を有する電子的な装置から構成されている。このうち、証明装置 7の監査情報作成部 71、並びに監査装置 8の補完データ要求部 81及びイベント順序証明監査部 82の処理は、上記 CPUによる演算制御機能を具体的に示したものに他ならない。また、証明装置 7の記憶部 72及び監查装置 8の記憶部 83は、上記主記憶装置あるいは 2次記憶装置の機能を備えたものである。

[0118] また、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置または 2次記憶装置に格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、 CD— ROM、 MO、 DVD— ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。

[0119] (2- 2.システム動作）

次に、以上の構成を有するイベント順序証明システム 200におけるイベント順序証明方法、およびイベント順序証明検証方法を図 15及び図 16を用いて説明する。ここで、図 15は、 1つの順次集約期間において証明装置 7がイベント受理証明書及び監查用受理証明書を作成する動作を説明するシーケンス図であり、図 16は、利用者装置 2 Sイベント受理証明書に対して第 2の検証を行う動作を説明するシーケンス図である。

[0120] まず、図 15に示すイベント順序証明方法について説明する。尚、本実施の形態に係るイベント順序証明方法において、その動作のほとんどは第 1の実施の形態と同様であり、図 8のステップ S10〜S200は、図 15のステップ S610〜S800と同一で、その後のステップ S810〜S850が新たに追加されたものである。従って、以下ではこの追加されたステップにつ！、てのみ説明する。

[0121] 順次集約のための一定期間が終了すると、証明装置 7の監査情報作成部 71は、監查装置 8からの完全遅延補完データ要求に対して、この集約期間内に発行した各監查用受理証明書の完全遅延補完データを取得し、監査装置 8に送信する (ステップ S 810, S820, S830, S840)。

[0122] これにより、監査装置 8は、各監査用受理証明書の完全遅延補完データを受信する

(ステップ S8⁵0)。

尚、図 15に示すイベント順序証明方法においては、監査装置 8の方から証明装置 7 に完全遅延補完データ要求を送信し、これに応えて証明装置 7が監査装置 8に完全遅延補完データを送信する方式であつたが、これとは異なり、証明装置 7が監査装置 8に完全遅延補完データを自動的に送信するような方式であってもよ!/ヽ。

[0123] 次に、図 16を参照しながら、監査装置 8を用いたイベント順序証明検証方法について説明する。これは、利用者装置 2iの第 2の検証機能に相当するものである。ここで、利用者装置 2iの第 2の検証機能に関しては、第 1の実施の形態の検証機能（「ユーザ点の未来側の境界付け」 )に、新たな検証機能（「ユーザ点の過去側の境界付け」 )が加わったものであり、この新たな機能の動作を示すのが図 16である。即ち、本実施の形態の「ユーザ点の未来側の境界付け」に関する検証処理は、第 1の実施の形態で示された図 10の動作と全く同一であるため、説明は省略し、「ユーザ点の過去側の境界付け」に関する検証処理について説明する。また、利用者装置 2iの第 1の検証機能に相当する検証方法については、第 1の実施の形態における検証方法と同一であるため、説明を省略する。

[0124] まず、利用者装置 2iは、監査の対象となる受理証明書 (但し、即時補完データは含まれて、る）を含む監査要求情報を監査装置 8に送信する (ステップ S910, S920)。

[0125] 次に、監査装置 8は送受信部 31を介して監査要求情報を受信すると、イベント順序証明監査部 82は、利用者装置 2iから送信された監査要求情報に含まれる受理証明書が割り当てられた順次集約木のリーフてを特定し、該リーフてより左に位置する監查点 α 1を計算する（ステップ S930, S940) _oそして、この監査点 α 1の監査用受理証明書および該監査用受理証明書の完全遅延補完データを取得する (ステップ S950)

[0126] 続いて監査点 a 1のリーフてによる認証点を計算し、監査点 a 1の監査用受理証明書および該監査用受理証明書の完全遅延補完データから認証点の割当値 Acalを計算する (ステップ S960, S970) _o一方、イベント順序証明監査部 82は、監査要求情報として既に受け取つている受理証明書の即時補完データ力この認証点の割当値 Aを取得して、この認証点の割当値 A力計算により求めた認証点の割当値 Acalに一致するか否かを検証する（ステップ S980, S990)。

[0127] 以上の検証において、検証に成功すれば、受理証明書が改ざんされていないことを確認することができる (ステップ S995)。一方、検証に失敗すれば、受理証明書が改ざんされていることを確認することができる (ステップ S1000)。そして、イベント順序証明監査部 82は、この監査結果を送受部 31を介して利用者装置 2iに送信し、利用者装置 2iは、監査結果を受信する（ステップ S1010, S1020) _o

[0128] これにより、利用者装置 2iは、電子的公表機関を介した公表前においても、証明装置 7が発行した受理証明書が当該の順次集約期間において、受理証明書に含まれる元デジタル ·データに対して、受理証明書に含まれる順次集約木リーフ番号で識別される順番において発行されたものであることを確実に検証することができるとともに、ユーザ点の過去側の境界付けを検証することができる。尚、上記監査結果に監查点 a 1の識別子を含めてもよい。この場合においては、利用者装置 2iは、上記監査を要求した受理証明書に対応する証明要求の登録が、監査点 α 1に対応する監査用証明要求の登録より後であったことの保証を監査装置 8から確実に得ることができる。

[0129] 尚、以上においては、「ユーザ点の過去側の境界付け」に関する検証処理の動作を説明したが、監査装置 8は、「ユーザ点の未来側の境界付け」とともに「ユーザ点の過去側の境界付け」に関する検証処理を行うようにしてもよぐこの場合には、監査要求情報として、第 1の実施の形態における受理証明書および遅延補完データが必要となる。

[0130] 従って、第 2の実施の形態のイベント順序証明システム 200によれば、第 1の実施の形態と同じ効果を得ることができる。また、これに加えて、受理証明書の正当性を検証できたときには、証明装置 7において監査対象とした受理証明書の証明要求受信が監査に用いた監査用受理証明書の証明要求受信よりも時間的に後であることを証明することができる。

以上、第 2の実施の形態について説明した力第 2の実施の形態には種々の変形例が考えられるものである。以下、第 2の実施の形態の変形例について説明する。

[0131] (2- 3.第 2の実施の形態の変形例 1)

監査装置 8は、上述した「ユーザ点の未来側の境界付け」及び「ユーザ点の過去側の境界付け」の機能から、 2つのユーザ点の間の順序の判定を示すことも可能である。次に、 2つの利用者装置 2aと 2bが各々、順次集約木リーフ τと τ 1において受理証明書を取得するとき、監査装置 8がてとて 1の前後関係を監査する方法について図 1 7を参照して説明する。ここで、図 17は、監査装置 8が τと τ 1の前後関係を監査する動作を示すフローチャート図である。

[0132] 以下、順次集約木のリーフ τ、 τ 1について、 τ (或いは τ 1)の時点とは τ (或いはて 1)に割り付けられた順序証明要求を受信した時点を表し、て ≤ て 1と書くことにより、 τの時点以降に τ 1の時点があることを表す。以下では、 τと τ ΐの大きい方を τ 2とし、て 2で受信した順序証明要求に対する受理証明の送信の時点までは証明装置 1の直列化可能性が保証されているものとする。

[0133] 尚、利用者装置 2a及び 2bと監査装置 8は、それぞれ第 1の実施の形態の「ユーザ点の未来側の境界付け」の説明で述べた条件（1)〜（3)を満たすものとする。

[0134] まず、監査装置 8が、利用者装置 2a及び 2bより、各受理証明書のユーザ点間の順序判定要求を受けると、 τに等しいか右に位置する監査装置 8の監査点で最も左に位置するものを αとし、て 1に等しいか右に位置する監査装置 8の監査点で最も左に位置するものを α ΐとして、決定する（ステップ S1110, S1120, S1130)。

[0135] 次に、監査点 _αと a 1の時間的前後を比較する (ステップ S1140)。これは、各監査点の監査用受理証明書の順次集約木番号及び順次集約木リーフ番号から判断するものである。

[0136] a < α ΐのときは、第 1の実施の形態の「ユーザ点の未来側の境界付け」及び上記「ユーザ点の過去側の境界付け」で述べた方法により、以下のように τ < τ ΐが示される（ステップ S1150)。

[0137] これは、 τ 1に等しいか左に位置する監査装置 8の監査点でもっとも右に位置するものを α 2とおくと、 α ≤ a 2であり、また、「ユーザ点の未来側の境界付け」で述べた方法により、て ≤ aが示されるとともに、「ユーザ点の過去側の境界付け」で述べた方法により、 α 2 ≤ τ 1が示されるので、以上より、 τ < a ≤ α 2 < τ 1となり、 τ < τ 1が導かれるものである。

[0138] 同様に、 a l < αのときは、 τ ΐ < τが示される（ステップ SI 180)。

a = a lのときは、 τと τ ΐの前後関係の判定は、以下の手順（1)〜（3)に従って行われる。

[0139] ( 1)利用者装置 2aがてとその遅延補完点て 'で取得する情報からユーザ点ての監查点 ocによる認証点の位置と割当値が計算され、監査装置 8が監査点 ocで取得する監査用受理証明書に含まれる即時補完データに上記認証点の割当値が含まれていることにより、監査装置 8は τが、 aより左にあること、さらに τ力 aより、幾つ左にあるかを判定する。ここで、 τ力 αより η個左にあるものとする（ステップ S1160)。

[0140] (2)同様に、利用者装置 2bがて 1とその遅延補完点て 1 'で取得する情報からて 1の監査点 ocによる認証点の位置と割当値が計算され、監査装置 8が監査点 ocで取得する監査用受理証明書に含まれる即時補完データに上記認証点の割当値が含まれていることにより、監査装置 8はて 1が、ひより左にあること、さらにて 1が、ひより、幾つ左にあるかを判定する。ここで、 τ ΐが、 αより nl個左にあるものとする（ステップ S1160)。

[0141] (3) n > nlのときは、監査装置 8は、利用者装置 2aによるユーザ点 τが利用者装置 2bによるユーザ点てはり左に位置することを示すことができる（ステップ S1170)。また、 n < nlのときは、監査装置 8は、利用者装置 2aによるユーザ点 τが利用者装置 2 bによるユーザ点てはり右に位置することを示すことができる (ステップ S1170)。

[0142] 従って、第 2の実施の形態の変形例 1によれば、第 2の実施の形態の効果に加えて、複数の受理証明書の時間的順序の判定をすることができる。

[0143] (2 -4.第 2の実施の形態の変形例 2)

また、監査装置 8は、各順次集約期間の終了後に、その順次集約期間に取得した各監査用受理証明書の完全遅延補完データを取得する (複合完全補完を行う）と同時に、各監査用受理証明とその完全補完データ力順次集約木のルート値を計算し、計算されたルート値が公表されたルート値に一致する力否かを検証することが可能である。このことを監査装置 8による「複合完全化によるルート値検証」と呼ぶ。

[0144] これは、図 18に示すように、監査装置 8が、順次集約木のルート値を計算し、計算したルート値力証明装置 7から公表されたルート値と一致する力否かを検証することで、証明装置 7による不正が行われていないことを検証するものである (ステップ S1210, S1220, S1230, S1240, S1250)。

[0145] また、監査装置 8は、この「複合完全ィ匕によるルート値検証」の機能により、利用者装置 2iからの監査要求に含まれる監査要求情報の正当性を検証することができる。

[0146] 例えば、ある順次集約木 SBTの構成終了後に、利用者装置 2aが、リーフ (0, τ )の割当値を本来の割当値 V(て )から割当値 v'に改変し、割当値 v'が V(root(SBT))にハツシュ関数 hによりリンクすることを主張したとする。このとき、第三者にこの主張を認めさせるためには、利用者装置 2aは、リーフ (0, τ )の補完データ Kv(0), LR(0)), (v(l), LR(D), · · ·, (v(k-l), LR(k- 1》]

を用意し、 vとこの補完データをハッシュ関数 hにより所定の方式で組み合わせることにより V(root(SVT))が計算できることを示さなければならない。この計算の過程においては、ユーザ点ての監査点 aによる認証点（図 11の p2)の割当値 ν2'も計算される。 ν2'はハッシュ関数の衝突困難性によって（実用上無視できる確率を除いて) round( α )において監査装置 8に送付された p2の割当値 V(p2)とは異なる。一方、監査装置 8 は、 V( a )力出発し、 authPath( a )に属するノードの割当値をノヽッシュ関数 hによりリンクすることにより V(root(SBT》を計算する。 p2は authPath )に属するので、 V(p2)も結合される値の 1つである。ここで (実用上無視できる確率を除いて) ν2' ≠ V(p2)であるから、再びハッシュ関数の衝突困難性により、利用者装置 2aが計算によって示す root(SBT)の割当値と監査装置 8が複合完全ィ匕によるルート値検証において計算する root(SBT)の割当値とは（実用上無視できる確率を除いて)異なることになる（この点についての詳細は、後述の順次集約木の性質 4を参照)。従って監査装置 8は利用者装置 2aの主張が誤りであることを検出することができる。

[0147] 従って、第 2の実施の形態の変形例 2によれば、第 2の実施の形態の効果に加えて、電子的情報公表機関が公表した順次集約木のルート値の正当性を検証することができる。また、監査装置 8のルート値検証機能により、証明装置 1及び利用者装置 2iの V、ずれかにお、て不正があつたとしても、不正の切り分けをすることができる。

[0148] (2- 5.第 2の実施の形態の変形例 3)

また、監査装置 8は、利用者装置 2iに完全補完データを提供する機能を備えることができる。以下、このことを補完データ完全化という。これは、証明装置 7が障害などでサービス中断したときに有効に機能するものである。また、証明装置 1がサービス中断しなくても、公表データ公開時や、補完データ要求が一時に大量に発生したときなどに証明装置 7の負荷軽減に役立つものである。

[0149] 図 19を参照して補完データ完全ィ匕について説明する。

[0150] 図 19において、監査装置 8が監査点 aの完全補完データを持つならば、該完全補完データと利用者装置 2iが、イベント受理証明書を取得するユーザ点 uとその遅延補完データを取得する点 uで取得する情報を組み合わせることによりユーザ点 uの完全補完データを計算することができる (以下、性質 P1という)。

[0151] なぜならば、図 19で、 jlはユーザ点 uの監査点 aによる認証点のレベルであり、ユーザ点 uの認証パス情報のうち、レベル jはり小さいノードの情報はユーザ甲が取得しており、レベル jl以上 kより小さいノードの情報は監査装置 8が取得しているからである。但し、 kは順次集約木の高さである。

[0152] 例えば、公開間隔が 1週間とし、 1日級の監査装置 8(少なくとも 1日に一回監査情報を取得し、各監査点の完全補完データを取得する機関）があるものとする。利用者装置 2iは受理証明書を取得したのち、 1日以上経過してから、遅延補完データを取得することにより、利用者装置 2iの取得する情報と、監査装置 8の取得する情報を組み合わせることにより利用者装置 2iが取得した受理証明書の完全補完データを構成することができる（上記性質 P1による)。

[0153] 次に図 20を参照して、 2つ以上の監査装置 8i(i=a,b,n)を介して利用者装置 2iが完全補完データを取得する方法について説明する。尚、監査装置 8iとしては、上述した 1日級の監査装置 8a (少なくとも 1日に一回監査情報を取得し、各監査点の完全補完データを取得する機関)と監査装置 8a依存の 1時間級の監査装置 8b (少なくとも 1時間に一回監査情報を取得し、各監査点の遅延補完データ点を監査装置 8aの監査点を挟むように設定する装置）があるとする。

[0154] このとき利用者装置 2iは受理証明書を所得したのち、 1時間以上経過してから、遅延補完データを取得することにより、利用者装置 2iの取得する情報、監査装置 8bの取得する情報、及び監査装置 8aの取得する情報を組み合わせることによりユーザ点の完全補完データを構成することができる。

[0155] このことは、上記性質 P1を繰り返し用いることにより示される。まず、監査装置 8aの取得する情報と監査装置 8bの取得する情報を組み合わせることにより、監査点 a2の認証パス情報が得られる。従って、図 17の場合の例と同様に、ユーザ点 uの認証パス情報が得られる。

[0156] 尚、上述した監査装置 8a及び 8bの監査点に関する条件は、例えば、監査装置 8a依存の 1時間級の監査装置 8bは、自己の各監査点の遅延補完データを 1日以上たつて力取得してもよいし、あるいは 1日級の監査装置 8aの監査点が 1日の定時 (例えば午前 0時）に取得されることが分力つていれば、毎日の監査点の遅延補完データを、その日の終了後にまとめてとるようにしてもよい。また、上記例においては 2つのレベルの監査装置 8iを利用しているが、同様に 3つ以上のレベルの監査装置 8iを利用することも可會である。

[0157] <第 3の実施の形態 >

(3 - 1.システム構成）

図 21は、本発明の第 3の実施の形態に係るイベント順序証明システム 300のシステム構成図である。イベント順序証明システム 300は、イベント順序証明装置 (以下、証明装置という） 1、時刻情報提供装置 90、複数の時刻証明利用者装置 (以下、利用者装置という） 10j (j=a,b,… )、複数のイベント順序証明利用者装置 &時刻証明装置（以下、利用者装置 (時刻証明装置)という） 20i (i=a,b, ···,：!)、イベント順序証明監査装置 &イベント時刻監査装置 (以下、監査装置という） 9、及び、以上の各装置を相互に接続する、例えば、インターネット網、電話回線網などにより構成されるコンビユータネットワーク 4を備えており、イベント順序証明を行うとともに、時刻証明を行うコンビユータシステムとなっている。即ち、利用者装置（時刻証明装置) 20iは、上記実施の形態の利用者装置 2iの機能に加えて、時刻証明を行う時刻証明装置の機能も備えており、利用者装置 10jからの時刻証明要求に応えて、時刻受理証明書を発行し、利用者装置 10jに返信するようになっている。また、利用者装置 2(Mが、上記時刻受理証明書のダイジェストを含むイベント順序証明要求 (以下、証明要求という）を証明装置 1に送信すると、証明装置 1は、該証明要求に応えて、イベント順序受理証明書 (以下、受理証明書という）を発行し、利用者装置 20iに返信するようになっている。そして、この受理証明書に疑義が生じた場合には、利用者装置 20iは、証明装置 1が公表したデータ又は監査装置 9による監査結果によって受理証明書を検証することができるとともに、受理証明書と時刻受理証明書が対応付けられているので、区間時刻証を取得できるようになつている。

[0158] 尚、本実施の形態においては、上記実施の形態と異なる構成及び機能を説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する [0159] また、上記実施の形態と同様に、第 3の実施形態においても、イベント順序証明システム 300のシステム構成は機能が同一であればその形態は問わないものであり、その物理的構成は種々考えられるものである。例えば、利用者装置（時刻証明装置) 20 iの代わりに、利用者検証装置（時刻証明装置) 60iが受理証明書の検証を行うようにしてもよいし、証明装置 1の代わりに、電子的情報公表装置 5が証明装置 1から公表データをもらい、公開するようにしてもよい。また、コンピュータネットワーク 4は、郵便など他の通信手段に置き換えることも可能である。

[0160] さらに、本実施の形態においても、第 1の実施の形態と同様に証明装置 1の直列化可能性は保証されているものとする。保証の手段としては、第 1の実施の形態におけると同様、直列化可能性監査装置を用いることにしてもよい。

[0161] 時刻情報提供装置 90は、正確な時刻情報を保持して、利用者装置 (時刻証明装置 ) 20i及び監査装置 9に時刻情報を提供するようになってヽる。

[0162] 利用者装置 10jは、利用者装置 (時刻証明装置) 20iに所定のデジタル 'データを含む時刻証明要求をし、その応答として利用者装置 (時刻証明装置) 20iから時刻情報が付された時刻受理証明書を取得するようになって、る。

[0163] 利用者装置 (時刻証明装置) 20iは、上述したように利用者装置 2iの機能に時刻証明装置の機能を付加した装置で、コンピュータネットワーク 4を介して証明装置 1、監查装置 9、利用者装置 10j及び時刻情報提供装置 90とデータを送受信する送受信部 21、利用者装置 10jからの時刻証明要求を受け付けて時刻受理証明書を作成する時刻証明作成部 201、時刻受理証明書ダイジェストを含む証明要求を行うイベント順序証明要求部 202、現時点において取得可能な受理証明書に対する補完データを要求する補完データ要求部 23、受理証明書を検証するイベント順序証明検証部 204、受理証明書をはじめとするイベント順序証明に関する情報及び時刻受理証明書をはじめとする時刻証明に関する情報を記憶する記憶部 205を有する構成である。尚、本実施の形態においては、イベント順序証明利用者装置として、時刻証明装置を兼ねた利用者装置を採用しているが、時刻証明装置を兼ねない利用者装置が存在してもよぐ利用者装置 (時刻証明装置) 20iと利用者装置が混在するようなシステム構成としてちよい。 [0164] 詳しくは、時刻証明作成部 202は、利用者装置 10jから送信された所定のデジタル' データを含む時刻証明要求を受け付けて、該デジタル ·データに時刻情報提供装置 90から取得した時刻情報を付した時刻受理証明書を作成するようになって、る。

[0165] イベント順序証明要求部 203は、利用者装置 10jからの時刻証明要求に対して作成された時刻受理証明書のハッシュ値である時刻受理証明書ダイジェスト (利用者装置 (時刻証明装置) 2(Mが予め用意した衝突困難一方向ハッシュ関数を時刻受理証明書に適用した結果)をイベント受理証明要求に含めるようになつている。従って、利用者装置 (時刻証明装置) 2(Mが、証明装置 1から受信する受理証明書は、その構成において図 6に示す通りである力元デジタル ·データ yは、上述したように、時刻受理証明書ダイジェストを含むものとなって、る。

[0166] 監査装置 9は、第 1の実施の形態の監査装置 3の機能に加えて、時刻監査装置としての機能を備えており、詳しくは、コンピュータネットワーク 4を介して証明装置 1、利用者装置 (時刻証明装置) 20i及び時刻情報提供装置 90とデータを送受信する送受信部 31、利用者装置 20iからある受理証明書の監査要求を受けた際には、利用者装置 20iから送信された監査要求情報および監査情報を用いて受理証明書の検証を行ヽ、その監査結果を利用者装置 20iに返信するイベント順序証明監査部 32、及び検証した受理証明書に対応する時刻受理証明書に付された時刻の含まれる時間区間を証明する区間時刻証明証を作成する区間時刻証明証作成部 91、監査用受理証明書、区間時刻証明証をはじめとする監査情報を記憶する記憶部 92を有する構成である。尚、本実施の形態においては、イベント順序証明監査装置としては、イベント時刻監査装置を兼ねた監査装置を採用しているが、イベント時刻監査装置を兼ねない監査装置が存在してもよぐ監査装置 9と監査装置 3が混在するようなシステム構成としてちよい。

[0167] 区間時刻証明証作成部 91は、監査用受理証明書を証明装置 1から受信したときの時刻を、時刻情報提供装置 30から取得して、区間時刻証明証に付すようになつている。従って、区間時刻証明証作成部 91で作成される区間時刻証明証には、本実施の形態においては、未来側の境界の時刻印が付されている。これは、第 1の実施の形態で述べたように、監査装置 3を用いたイベント順序証明検証 (利用者装置 2iの第 2 の検証）により、イベント受理証明要求が割り当てられた順次集約木のリーフが監査点のリーフよりも時間的に前であることが証明できるので、イベント順序証明要求の元となる利用者装置 10iからの時刻証明要求の受付が、監査装置 9が監査用受理証明書を受信した時刻よりも時間的に前であることを証明するものである。ここで、本実施の形態におけるこの区間時刻証明証を「第 1種の区間時刻証明証」という。

[0168] 尚、以上の各装置は、少なくとも演算機能及び制御機能を備えた中央処理装置 (C PU: Central Processing Unit)、プログラムやデータを収納する機能を有する RAM(Ra ndom Access Memory)等からなる主記憶装置 (メモリ）、ハードディスク（HD)等の電源断時にもデータを記憶し続けることが出来る 2次記憶装置を有する電子的な装置から構成されている。このうち、利用者装置（時刻証明装置) 20iの時刻証明作成部 202、イベント順序証明要求部 203、補完データ要求部 204及びイベント順序証明検証部 20 5、並びに監査装置 9の区間時刻証明証作成部 91の処理は、上記 CPUによる演算制御機能を具体的に示したものに他ならない。また、利用者装置 (時刻証明装置) 20iの記憶部 206及び監査装置 9の記憶部 92は、上記主記憶装置あるいは 2次記憶装置の機能を備えたものである。

[0169] また、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置または 2次記憶装置に格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、 CD— ROM、 MO、 DVD— ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。

[0170] (3- 2.システム動作）

次に、以上の構成を有するイベント順序証明システム 300におけるイベント順序証明方法およびイベント順序証明検証方法を図 22乃至 25を用いて説明する。

[0171] 尚、イベント順序証明方法においては、利用者装置 (時刻証明装置) 20iを利用者装置 2i、監査装置 9を監査装置 3とすれば、全体的な動作は、図 8に示す動作とほぼ同一であるため、異なる動作となる利用者装置 (時刻証明装置) 20iと利用者装置 10j 間のやりとりを中心に説明する。ここで、図 20及び図 23は、図 8のステップ S10に相当するイベント順序証明要求を送信するステップ S10'を詳しく説明するシーケンス図である（図 22においては、図 8のステップ S60に相当する受理証明書を受信するステップ S60'も含む)。また、図 24は、図 8のステップ S120に相当する監査用受理証明書を受信するステップ S120'を詳しく説明するシーケンス図である。

[0172] また、イベント順序証明検証方法の第 1の検証にぉ、ては、利用者装置 20iを利用者装置 2iとすれば、図 9に示す動作と同一であるため、説明を省略する。また、ィベント順序証明検証方法の第 2の検証においては、監査装置 9を監査装置 3とすれば、図 10に示す動作とほぼ同一であるため、異なる動作となる監査装置 9の区間時刻証の作成について説明する。ここで、図 25は、図 10のステップ S520に相当するイベント受理証明書の検証に成功したときのステップ S520'を詳しく説明するシーケンス図である。

[0173] まず、図 22を参照して、イベント順序証明方法のイベント順序証明要求を送信するステップ S10'について説明する。

[0174] 利用者装置 10jが利用者装置 (時刻証明装置) 20iにデジタル ·データを含む時刻証明要求を送信すると、利用者装置 (時刻証明装置) 20iは送受信部 201を介して、該デジタル ·データを含む時刻証明要求を受信する (ステップ S11 '、 S12')。次に、利用者装置 (時刻証明装置) 20の時刻証明作成部 201は、時刻証明要求を受信した時刻を時刻情報提供装置 90カゝら取得し、デジタル ·データに該時刻を付した時刻受理証明書を作成し、利用者装置 10jに送信する (ステップ S13' , S14' , S15')。これにより、利用者装置 10jは、時刻受理証明書を受信するので、時刻受理証明書を取得することができる (ステップ S 16')。

[0175] 次いで、利用者装置（時刻証明装置) 20iのイベント順序証明要求部 203は、時刻受理証明書のダイジェストを生成し、時刻受理証明書ダイジェストを含む証明要求を作成し、証明装置 1に送信する (ステップ S17' , S18' )。この結果、証明装置 1は、送受信部 11を介して、証明要求を受信する (ステップ S20' )。

[0176] 尚、上述した方法にお!、ては、利用者装置 10jに時刻受理証明書だけを返信した力図 23に示すように、利用者装置 10jに時刻受理証明書に加えて、受理証明書を返信する方法も考えられる。

[0177] 図 23においては、ステップ S10'のイベント順序証明要求ステップでは、時刻受理証明書を返信せずに、図 8のステップ S60に相当するステップ S60'のイベント受理証明書受信ステップで、時刻受理証明書および受理証明書を返信する。即ち、利用者装置 (時刻証明装置) 20iは、証明装置 1から受理証明書を受信すると、受理証明書および該受理証明書に対応する時刻受理証明書を利用者装置 10jに送信するものである (ステップ S61 ' ,ステップ S62' )。これにより、利用者装置 10jは、受理証明書および時刻受理証明書の双方を受信する（ステップ S63')。

[0178] 次に、図 24を参照して、監査用受理証明書を受信するステップ S120' について説明する。

[0179] 監査装置 9は、送受信部 31を介して証明装置 1から監査用受理証明書を受信すると、監査用受理証明書を受信した時刻を時刻情報提供装置 30から取得して、監査用受理証明書と対応付けて記憶部 93に記憶する (ステップ S121 ' , S122' , S123' )。

[0180] 次に、図 25を参照して、監査装置 9によるイベント受理証明書の検証に成功したときのステップ S520'について説明する。

[0181] 監査装置 9のイベント順序証明監査部 32が、利用者装置（時刻証明装置) 20iからの監査要求に応えて受理証明書の監査を行い、監査結果力 SOKであるときには、さらに、監査用受理証明書に付された時刻から、第 1種の区間時刻証明証を発行し、該区間時刻証明証を監査結果に含める（ステップ S511 ' , S512' , S513' )。

[0182] 従って、第 3の実施の形態のイベント順序証明システム 300によれば、第 1の実施の形態と同じ効果を得ることができる。また、これに加えて、第 1種の区間時刻証明証の発行により、未来側の境界の時刻印を与えることができる。

[0183] (3- 3.第 3の実施の形態の変形例）

第 3の実施の形態においては、第 1の実施の形態の監査装置 3に時刻監査装置としての機能を備えた監査装置 9を用いたが、第 2の実施の形態の監査装置 8に時刻監査装置としての機能を備えた監査装置 9'を用いて第 3の実施の形態の変形例としてもよい。

[0184] この第 3の実施の形態の変形例においては、区間時刻証明証作成部 91，は、監査用証明要求を証明装置 7に送信したときの時刻を、時刻情報提供装置 30から取得して、区間時刻証明証に付すようになつている。従って、第 3の実施の形態の変形例にお!ヽては、区間時刻証明証作成部 91 'で作成される区間時刻証明証には、過去側の境界の時刻印が付されて、る。

[0185] これは、第 2の実施の形態で述べたように、監査装置 8を用いたイベント順序証明検証 (利用者装置 2iの第 2の検証）により、イベント順序証明要求が割り当てられた順次集約木のリーフがある監査点のリーフよりも時間的に後であることが証明できるので、イベント順序証明要求の元となる利用者装置 10jからの時刻証明要求に対する利用者装置 (時刻証明装置) 20iによる時刻受理証明書の送信が、監査装置 9'による監査用イベント順序証明要求の送信よりも時間的に後であることを証明するものである。ここで、この区間時刻証明証を「第 2種の区間時刻証明証」という。

[0186] また、第 3の実施の形態の変形例においては、監査装置 9'は、「第 1種の区間時刻証明証」を発行する機能も当然に有するので、未来および過去側の境界の時刻印が付された区間時刻証明証である「第 3の区間時刻証明証」を発行することが可能である。これは、イベント順序証明要求の元となる利用者装置 10jからの時刻証明要求の受付が、監査装置 9が監査用受理証明書を受信した時刻よりも時間的に前であることを証明するとともに、イベント順序証明要求の元となる利用者装置 10iからの時刻証明要求に対する利用者装置 (時刻証明装置) 20iによる時刻受理証明書の送信が、監查装置 9'による監査用イベント順序証明要求の送信よりも時間的に後であることを証明するものである。

[0187] さらに、第 3の実施の形態の変形例として、イベント順序証明システム 300'は、利用者装置 (時刻証明装置) 20iの発行する時刻受理証明書と、該時刻受理証明書に付された時刻の時間的前、後、あるいは両方の境界を証明する 1つ又は複数の区間時刻証明証を取得し、それに基づき時刻受理証明書に付された時刻の正当性を判定するイベント時刻検証装置（図 19に図示せず)を有するシステム構成としてもよい。この場合においては、イベント時刻検証装置は、時刻受理証明書に付された時刻が、上記区間時刻証明証が証明する時間区間の中に、前もって定められた所定の誤差を許して含まれる割合が、前以て定められた所定の値より大きいことに基づき、時刻証明受理証明書に付された時刻の正当性を判定するようになっている。

[0188] 上記実施の形態において証明装置 1及び 7の電子的情報公表部 17については特に詳しく述べな力つた力好適には、電子化社会における情報公表は以下のような要件を満たすことが求められる。

[0189] (1)複数の独立なエンティティが同一の情報を公表する。

[0190] (2)上記複数のエンティティの各々に誰でもがいつでもアクセスできる。

[0191] (3)上記複数のエンティティの各々が公表する情報を取得する際に、情報提供元のエンティティ認証が提供され、かつ提供される情報の完全性が保証される。

[0192] 上記の要件のうち、要件（1)については、複数のサービス機関力ある範囲の情報について業務として提供することにより実現できる。上記実施の形態においては、証明装置と複数の監査装置が順次集約木のルート値等について業務として情報提供を行うことにより、この要件を満足するようにして、る。

[0193] 要件（2)については、現在よく普及している WWWにより情報提供することにより実現できる。

[0194] 要件（3)については、提供する情報に対して公開鍵暗号方式に基づくデジタル署名を付することにより実現できる。この際、デジタル署名の強度が十分強いこと、及びデジタル署名に用いた署名用秘密鍵及びとそれとペアになる公開鍵のその時点での有効性が、公開鍵証明書、 CRL(Certificate Revocation List)、 OCSPサービス（Onl ine Certificate Status Protocol)等を用いて公開鍵基盤 (PKI: Publike-Key Infrastruct ure)により保証されていることが必要となる。上記の鍵ペアのは、情報の要求者が情報を取得する時点で有効であれば十分であり、随時、鍵ペアを更新し、鍵ペアの有効性を保持しつづけることが可能となる。その際、あるキー'ペア KP1 = (SK1,PK1)を新しいキー ·ペア KP2 = (SK2、 PK2)に置き換える際に、 KP1が有効である間に KP2 の署名用秘密鍵 SK2によるデジタル署名を生成することは必ずしも必要ではなぐ利用者がアクセスした際に、その時点で有効なキー ·ペアを用いてデジタル署名を生成することが要件となる。

[0195] 従来、情報公表手段として新聞等のマスメディアに情報を公表することが行われてきた力この方法は例えば 10年後に特定のマスメディアに公表された情報にアクセスするのが容易ではないことから上記の要件（2)を満たすのが困難であること、さらにァクセスできたとしても上記の要件（3)を満たす形で情報を取得するのが困難であること等の理由で、電子化社会における情報公表の手段として必ずしも適当ではな、。

[0196] <順次集約木の構成および性質 >

ここで、上記実施の各形態において用いられた順次集約木の動的な構成方法、および性質について説明するが、その前提としてまず、順次集約木の構成に必要な基本関数について説明する。

[0197] (基本関数）

高さ kの順次集約木は、レベル 0からレベル kまでのノードで構成される力レベル； j = 0,l,〜,k)のノードの数は、 2^(k_j)であるので、レベル番号 iのノードを (j,i)と表すことにすると、 i=0, 1,· ··, ^{2 (k_j)}— 1となる。

[0198] 以下、実数 Xに対して、 ceiling(x)を X以上の最小の整数、 floor(x)を x以下の最大の整数として、説明する。

[0199] ノード (j, i) (但し、 j < k)の親は、（j + 1, floor(i/2))であるので、

parentO, i) = (j + 1, floor(i/2))

と定義する。また、ノード (j, i) (但し， 0 < j)の左側の子供は (j— 1, 2 ·ί)、右側の子供は（j— 1, 2 ·ί+ 1)であるので、

leftChildO, i) = (j—l, 2 ·ί)

rightChildO, i) = (j- l, 2 -i+ l)

と定義する。このとき、高さ kの順次集約木のノード (j, 0 (0≤i< 2^(k— ^j))のルート'パス r tPathkO, 0 (ノード， 0からルートに至るノードの列をいう)は、

rtPathkO.O = [(j, r(j))， ···, (k, r(k》]

と表すことができる。但し、 rO) = I, rO' + l) = floor(r0")/2) (j'< kとし、 r(j')は既に定まっているものとする）であるとする。尚、（k, r(k))は、順次集約木のルートを表し、常に r(k) = 0となる。

[0200] V(j, 0はノード (j, 0の割当値である。 V(0, 0を V(i)と書く。 Lを L≤ kなる非負整数、 S BTをある順次集約木とするとき、 SBTの部分グラフ Bがレベル Lの部分木であるとは、 SBTに属するレベル Lのあるノード pがあり、 8カ¾及び pの子孫からなる SBTの部分グラフとなって!/、ることと定義する。

[0201] Bが SBTの部分木であるとき、 leafs(B)は Bのリーフの集合を表すものとする。また Xを SBTのリーフ力もなる空でない集合とするとき， first(X)により Xのうち最も左に位置するリーフを表し、 last(X)により Xのうち最も右に位置するリーフを表す。

[0202] 2つの整数 il, 12について， [il..i2]は il ≤i≤ i2なる整数 iからなる集合（区間）を表し、 (il..i2)«il < i≤ 12なる整数らなる集合（区間）を表し， [il..i2]は il≤ i < i

2なる整数 i力なる集合（区間）を表し、 (il..i2)は il < i < i2なる整数 i力なる集合（区間）を表すものとする。

[0203] (順次集約木の構成方法）

•第 1の順次集約木の構成方法

上述した基本関数の定義のもと、第 1の動的な集約木の構成方法について説明する。この集約木の構成方法は、深さの違いを 1以内に押さえ、ダミー'ノードを作成しない方法である。

[0204] 集約期間（例えば 1週間）に受付けるイベント順序証明要求の数が何らかの方法により前以て定まっているものとし、その数を nとする。このとき、集約木の高さ kは， k = ceilingGog (N》である。高さ kの順次集約木リーフ数は最大で 2^kであるので、 d = 2^k-

2

nとして、レベル 0のノードのうち， 2d個を消去すれば、イベント順序証明要求の数 nをダミー ·ノードなしでリーフに割り当てることが可能となる。これは、レベル 0のリーフが 2 d個減ると、レベル 1のリーフが新たに d個できるので、合計で d個減り、リーフの数は結局、 2^k— d = nとなる力である。

[0205] 以下、 L1W = 2(^k_1) (レベル 1のノードの個数）、 L1L = 2(^k_1)— d (子を有するレべル 1のノードの個数）の、 L0L = 2 (2^(k_1) -d) (レベル 0のノードの個数）とおくと、 n個のイベント順序証明要求のうち、初めの L0L個をレベル 0に配置し、残りをレベル 1に配置するとき、 i番目のイベント順序証明要求の配置先を表す関数 placeG)は次式で表すことができる。

[0206] place(i) = (0, i) (0≤I < LOL)

placed) = (1, LlL + i— LOL) (LOL < i≤ n)

ここで、 placeG) = (レベル，番号）で構成されているものである。

[0207] 図 26は、第 1の動的な集約木の構成方法の n = 10の場合の具体例を示すものである。この場合においては、図 26に示す通り、 k = ceilingdog (10》 = 4となり、高さは 4である。そして， d = 24- 10 =6であるので、 6 X 2 = 12個のレベル 0のリーフを消去する。この結果、 L1W = 23 = 8, L1L = 8— 6 = 2, L0L = 2 X 2 = 4となる。従つて、レベル 0のリーフが 4個、レベル 1のリーフ力 ¾個で，リーフの合計数は n = 10となる。この結果、図 24に示すような集約木を動的に作成することができる。レベルが 0 より大きいノード (即ちリーフではないノード）に対する値の割当は、それが可能になつたときにインクリメンタルに行われる。

[0208] ·第 2の順次集約木の構成方法

次に、第 2の動的な順次集約木の構成方法について説明する。この方法はインクリメンタルに集約木を構成する点では第 1の方法と同じである力前もって定めた時間間隔 (順次集約期間）に受付けるイベント順序証明要求の数は予想できないものと仮定している点が第 1の方法と異なる。

[0209] ここで、インクリメンタルとは、イベント順序証明要求を受付ける都度、そこ力も計算できる順次集約木の部分を計算していくという意味である。以下では、受付けるィべント順序証明要求の数は予想できないが、その上界 Nは見積もることができるとして説明する。この方法においては、イベント順序証明要求はすべてレベル 0に割り付けられるものとし、二分木のルート値を計算するためにダミー'ノードを使用する方法である。

[0210] この方法で順次集約木を構成するとき、所定の集約期間 (例えば、 1週間）に受付けたイベント順序証明要求の数を Nとすると、順次集約木をの高さ kは、 k = ceilingd og (N》である。高さ kの順次集約木リーフ数は最大で 2^kであるので、 0から n—lまでの

2

n個のイベント順序証明要求をレベル 0のノード（0, 0)からノード（0, n—l)に割り当てられること〖こなる。

[0211] レベル 0に割り当てられた、最も右のノード（0, n—l)に対して、ルート'パス rtPathk(

0, n— 1)が

rtPathkO, 0 = [ (j, rO)), · ··, &, r(k))]

と表現されるものとする。

[0212] (一般に、 rtPathkO, 0は、 rtPathk(j, 0 = [ (j, r(j))， ···， (k, r(k))]と表現される。伹し、 jl≡ [j..k]に対して r(jl) =

）このとき、各レベル; j (j = 0, · ··, k- 1)においては、以下のことが成り立つ。

[0213] r(j)が偶数のとき、ノード (j, rO) + Dはダミー'ノードとなり、

rO) + l < i < 2(^k— ^ΰとなる各 iに対して、ノード (j, i)は消去されている。

[0214] r(j)が奇数のとき、 rO) + l < i < 2^(k— ^ΰとなる各 iに対して、ノード (j, i)は消去されてヽる。

[0215] 以上のような方法に基づいて構成される順次集約木は、ダミー'ノードは各レベルの右端でのみ現れる、および作成されるダミー'ノードの数は、 k以下であるという性質を有する。

[0216] 図 27及び図 28は、第 2の順次集約木の構成方法のアルゴリズムを示すものであり、該アルゴリズムに従って順次集約木力インクリメンタルに構成されるようになって、る。ここで、前提として以下の定義を行う。

[0217] ·Κ = ceiling(log (N))とする。

2

[0218] ·ηは受付けたイベント順序証明要求の数を示す整数変数とする。初期値は 0である

[0219] 'kは定められた時間間隔が終了したときの順次集約木の高さを表す変数とする。

[0220] · (K+ 1)個のカウンタの列を， i0, · ··, iKとする。ここで、 ijの初期値は 0である（j=0,

••·,Κ)。 ijはレベル jにおいて、既に生成されたノードの数を表すと同時に、次にレべル jに作成されるノードの番号を表す。

[0221] · (K+ 1)個のブール変数の列を、 b0, · ··, bKとする。ここで、 bjの初期値は falseである（j=0, ···,! )。 bjは、レベル jにダミ一'ノードがあるか否かを表す。

[0222] · (K+ 1)個の配列の列を、 AO, · ··, AKとする。各配列は、 2^(K_j)の長さをもち、レベル jのノードに割り付けられる値を保持する (j=0, ···,! )。

[0223] 'rはダミー'ノードに割り当てるダミー値を保存する変数である。

[0224] · R(j,0は 2つの引数 i, jに対してノード θに割り当てるべきダミー値を計算する関数である。

[0225] ·χ, xO, xl, x2は、ノードに割り当てる値を表す変数である。

[0226] -xl II χ2は、ビット列で表された 2つの値の連接である。

[0227] -h(x)は Xのハッシュ値を計算する衝突困難一方向ハッシュ関数である。 [0228] このような定義のもと、図 27の処理手順 1が終了すると (即ち所定の順次集約期間が終了すると）、 nは受付けた時刻処理要求の数， kは生成された順次集約木の高さ , ijはレベル jのノードの数， bjはレベル jにダミ一'ノードがあるか否力、 Ajは，レベル j のノードに割り付けられた値力もなる配列をそれぞれ表すことになる。

[0229] 図 29は、第 2の動的な順次集約木の構成方法の n=9の場合の具体例を示す図である。即ち、定められた順次集約期間が終了したとき、 n=9であったとする。このとき、 k = ceiling(log (9)) = 4となり、高さは 4の順次集約木を構成することになる。尚、 0

2

力 n—1までの n個の順序証明要求は、処理手順 1により、既にノード (0,0), · ··, (Ο,η 1)に割り当てられている。また、処理手順 1により、 10 = 9, il = 4, 12 = 2, 13 = 1 , i4=0となっている。

[0230] このとき、処理手順 2の (2.2)から、ノード (0,8)のノートパス rtPath4(0,8)は

rtPath4(0,8) = [(0,8), (1,4), (2,2), (3,1), (4,0)]

となる。これから、各レベルの手順は、以下の通りになる。

[0231] レベル 0においては、ステップ（2.3.2.1)より、ノード（0,9)がダミ一'ノードになる。レベル 1においては、ステップ（2.3.3.1.5)より、ノード（1,4)に値が割り付けられ、（1,5)がダミ一'ノードになる。レベル 2においては、ステップ（2.3.3.1.5)より、ノード（0,2)に値が割り付けられ、（0,3)がダミ一'ノードになる。レベル 3においては、ステップ（2.3.3.1) により、ノード（3,1)に値が割り付けられる。レベル 4においては、ステップ（2.3.3.1)により、ノード (4,0)に値が割り付けられる。

[0232] この結果、図 29に示すような順次集約木をインクリメンタルに構成することができる。ダミー'ノードは各レベルに於いて高々 1つである。ダミー'ノードには前以て定められた何らの手順に従いダミー'ラベル (ダミー割当値)を割当てる必要がある力このような手順の簡単な定義としては、レベルの関数としてダミー'ラベルを定義する方法があり、これを採用してもよい。

図 30は、上記のインクリメンタルな順次集約木の構成方法にぉ、て各ノードに値を割付けるタイミングを示したものである。

[0233] 上述の第 1及至第 3の実施の形態においては、順次集約木は図 30に示すように、情報公表の区切りにお、ては、ダミー ·ノードを用いて最終的な順次集約木の構成する方式を前提としている。しかし、順次集約木の具体的な構成法としてこれ以外の方法を採用することも可能である。

[0234] 即ち、上記実施の形態におけるイベント順序証明システム 100、 200及び 300は、上述した動的な集約木の構成方法のいずれをも採用できるものであり、これにより、利用者装置からのイベント順序証明要求の量的変化に柔軟に対応することができるので、スケーラビリティの高!、イベント順序証明システムを構築することが可能となる。

[0235] (認証パスの定義とそれによるルート値の計算法）

予め高さが決定しておらずインクリメンタルに構成されるような順次集約木のノードに対して、ある時点のルート'パスや認証パスを以下のように定義することができる。この定義は第 1及至第 3の実施の形態において所定の順次集約期間に受付ける要求の数が前以て予想できないときに適用することができる。

[0236] 現時点のリーフ番号の最大値が m(≥ 0)(従ってリーフの数が m+ 1)のとき、

κ (m) = min{h|m+ l ≤ 2^h}とおく。

高さが _K (m)の順次集約木を

curbBT(m)

とおく。

[0237] p = , 0≡ curSBT(m)とし、 pから curSBT(m)のルートに至るノードの並びルート' パスと言いを

rtPath(p, mノ

と書く。

[0238] rtPathD(p, m)は、 rtPath(p, m)に属するノードのうちで m番目のリーフの割当値が定まった時点で割当値が定まっているノードの列である。

[0239] rtPath(p, m) = [(0, i(0))， · · · , (k, i(k》]

としたとき、 0 ≤ kl ≤ kなるある klがあって、

rtPathD(p, m) = [(0, i(0)), · · · , (kl , i(kl))]

となることが分かる。

[0240] rtPathDV(p, m)は、 rtPathD(p, m)の各ノードに割当値を割り当てたものである。

[0241] rtPathD(p, m) = [(0, i(0)), · · · , (kl , i(kl))] のとき、 rtPathDV(p, m)は次のような形となる。

[0242] rtPathDV(p, m) = [( (0, i(0)), v(0) ), ···, ( (kl, i(kl)), v(kl) )]。

[0243] curSBT(m)における、ノード p = (j, i)から curSBT(m)のルート値を計算するのに必要なノード p' = (j',0の集合を該ノードの認証パスと呼び authPathT(p, m)と表す。伹し、認証パスに属する各ノードについて、該ノードを連接する方向（左又は右）についての情報もタグとして含んで、るものとする。

[0244] κ (m) = kで、

rtPath(p, m) = [(j, r(j))， ···, (k, r(k))]

のとき， authPathT(p, m)は rtPath(p, m)を用いて次のように表すことができる。

[0245] authPathT(p, m) =

[ ((j, a(j)), LR(j)), ···, ((k-1, a(k-l)), LR(k— 1》 ]

ここで、 r(j')が偶数の場合， aO') = r(j') + l、 r(j')が奇数の場合、 a(j') = r(j') 1であり

、また、 r(j')が偶数の場合、 LR0") = R, r(j')が奇数の場合， LR(j') = Lである（但し、 j

' ≡ [j..k-l])₀

[0246] そして、 authPathT(p, m)の要素 ((j, a(j))， LR(j))につ、て、 LR(j)の部分を（LR)タグという。さらに、 rtPath(p, m)の要素（j, r(j))について、 r(j)が偶数のとき、（j,r(j) + l)を (j,r(j ))の右補完点といい、 r(j)が奇数のとき、 (j, r(j)— 1)を (j, r(j))の左補完点という。

[0247] このとき、 authPathT(p, m)は、 rtPath(p, m)のルート以外の点の右補完点あるいは左補完点からなる。

[0248] また authPathT(p, m)から LRタグの情報を除いたものを authPath(p, m)と書く。即ち authPathT(p, mノ =

[ ((j, a(j)), LR(j)), ···, ((k-1, a(k-l)), LR(k— 1》 ]

であるとき、

authPath(p, m) = [ (j, a(j)), ···, (k— 1, a(k— 1)) ]

とする。逆に

authPath(p, m) = [ (j, a(j)), ···, (k— 1, a(k— 1)) ]

が与えられれば authPathT(p, m)を以下のように計算できる。 jl ≡ [j..k)に対して、 rtP ath(p, m)のレベル jlのノードは

01, floor(i/2^(il-^j)))

となるので、

= R,奇数であるとき LR(jl) =しと定め、

authPathT(p, mノ =

[ (G, a(j)), LR(j)), ···, ((k-1, a(k-l)), LR(k— 1》 ]

とおけばよい。従って、 authPathT(p, m)と authPath(p, m)の一方から他方を計算することが出来る。

[0249] authPath(p, m)及び authPathT(p, m)の中で， m番目のリーフの割当値が定まった時点で割当値が定まっているノードの集まりを各々

authPathD(p, m)及び authPathTD(p, m)

と定義する。 authPath(p, m)及び authPathT(p, m)が上記のように表現されるとき、 kl ≤ 1^ー』'なる1^と、

j≤j(0) < j(l)く …く j(kl-l)

なる非負整数 j(0), ···, j(kl 1)があり、

authPathD(p, m) = [ 0(0), a(j(0)))， ···,

O(kl-l), aO(kl-l)))],

authPathTD(p, m) = [ ( 0(0), a(j漏, LR(j(0》）， ···，

( (j(kl - 1), aO(kl― 1))), LR(j(kl― 1》 ) ],

と表現される。

[0250] さらに、 authPathD(p, m)及び authPathTD(t, m)に、それに属するノードの割当値をカロえたものを、各々 authPathDV(p, m)及び authPathTDV(p, m)と置く。具体的には、 a uthPathD(p, m)及び authPathTD(p, m)が上記のように表現されるとき、

authPathDV(p, m) =

[ (0(0), a漏, v(j(0)), -,

((j(kl-l), a0(kl-l))),v0(kl-l)))],

authPathTDV(p, m) =

[ (0(0), a漏， LR0(O)), v0(0)), ···, ((j(kl - 1), aO(kl― 1))), LR(j(kl― 1)), v(j(kl― 1))) ]

とおく。ここで、各 j'≡辦, · ··, j(kl-l)}に対して、 νθ") = VO", aO"))である。

[0251] 上述の順次集約木の構成法の何れかの方法により、リーフ番号 mのリーフに順次割当値を割り当てた段階で当該の順次集約木の構成が終了し、かつ authPathTDV(p, m)が上記のように表されるとき、ノード p = 0, 0の割当値 V(p)と authPathTDV(p, m)から以下のようにして集約木のルート値を計算することができる。 jl≡ Q..k]に対して、 v '(jl)を以下（1) , (2)により再帰的に定義する。このとき、 v (k)が集約木のルート値となる。

[0252] (l) v'O) = V0, 0

(2)jl≡ [j..k]に対して， v (jl)が定義されたとする、 LR(jl) = Lのとき、

v'0'1+1) = h(vOD II v'OD)

LR(jl) = Rのとき、

v'Oi+i) = v'OD II vOD)

と定義する。

[0253] ml, m2を順次集約木リーフ番号とし、 ml≤ m2とする。このとき、

curSBT(ml) £ _CUrSBT(m2)である。

[0254] p = 0, 0 EcurSBT(ml)とする。このとき、以下の（1) , (2) , (3)が成立つ。

[0255] (l)rtPath(p, ml) £ _rtPath(p, m2)

(2) authPath(p, ml) £ _authPath(p, m2)

(3) authPathD(p, ml) £ _authPathD(p, m2)

<順次集約木の諸性質 >

以下では、インクリメンタルに構成される順次集約木について、現時点のリーフ番号の最大値を mとし、

rtPath((0, i), m), rtPathD((0, i), m), rtPathDV((0, i), m)

を各々短く

rtPathG, m), rtPathD(i, m), rtPathDV(i, m)

と書くこともある。同様に

authPath((0, i), m), authPathT((0, i), m), authPathD((0, i), m), authPathTD((0, i), m), authPathDV((0, i), m), authPathTDV((0, i), m) を各々短く

authPath(i, m), authPathT(i, m), authPathD(i, m),

authPathTD(i, m), authPathDV(i, m), authPathTDV(i, m)

と書くことちある。

[0256] 次に、順次集約木にぉ、て、ユーザ点の監査点による認証点を計算するアルゴリズムについて説明する。前提として、順次集約木の高さを kとし、ユーザ点の識別番号お 0、監査点の識別番号を ilとし、 10 < ilとする。一般に、順次集約木のノード (0, i )に対して rtPath((0, i), m)は以下のように計算できる。

[0257] rtPath((0, i), m) = [(0, r(0)), · ··, (k, r(k)) ]

但し、 k = K (m), j≡ [0..k]に対して r(j) = floorG/S¹)と置く。

[0258] この手順によって、ノード（0, iO)のルート'パス rtPath((0, i0), m)とノード（0, il)のルート 'パス rtPath((0, il), m)を計算する。すると、 rtPath((0, iO), m)と rtPath((0, il), m) は、ある要素以降は一致する。このとき、最初に一致した要素を、ノード (0, iO)とノード（0, iO)の合流点（confluent point)と呼ぶ。そして，合流点のレフト'チャイルドを、ノード（0, iO) (ユーザ点）のノード（0, il) (監査点）による認証点（authentication point) とよぶ。

[0259] 以上は、ユーザ点と監査点が同一の順次集約木に属する場合における認証点の定義であるが、該ユーザ点が属する順次集約木 SBTより後に、該監査点の属す順次集約木の属する順次集約木が生成される場合には， SBTのルートを該ユーザ点の該監査点による認証点と定義する。

[0260] (順次集約木の性質 1)

Bをある順次集約木の部分順次集約木で、ある時点において、 l_aSt(leaf_S(B》に対応するラウンドの処理が終了済みとする。このとき、その時点において Bに属する各ノードの割当値は計算され割当てられて!/、る。

[0261] ，性質 1の証明

図 27及び図 28で示されるインクリメンタルな順次集約木の構成法により、各ラウンドの終了時には、そのラウンドまでに取得できたリーフの割当値により計算できるリーフ以外のノードの割付値は全て計算され該ノードに割当てられることになる。

[0262] last(leafs(B》に対応するラウンドの処理が終了したときには、 leafs(B)に属する各リーフの割当値は定まっており、従って Bの各ノードの割当値が計算できる。従って、この段階で、 Bの各ノードの割当値は計算され、各ノードに割当てられている。

予め高さが決定しておらずインクリメンタルに構成されるような順次集約木に対して

、次の性質 2がなりたつ。

[0263] (順次集約木の性質 2)

Cを利用者装置、乙を監査装置とし、 iOと ilを iO < ilなる二つの順次集約木リーフ番号とし、 round(iO)において、 Cは受理証明書を受信し、乙は round(il)において監査用受理証明書を受信したものとする。このとき、 iOの ilによる認証点は以下の性質を持つ。

[0264] (1)認証点の割当値は、監査点、即ちノード (0, il)の受理証明書内補完データに含まれる。

[0265] (2)上記認証点を (f , i')とおくと、 authPath((0, iO), il)に属するノードで、レベルが』" より小さいものに対する割当値は、ノード (0, il)に対応するラウンドで受理証明書を受理した利用者が、ノード (0, il)に対応するラウンド以降において受信できる遅延補完データあるいは受信した受理証明書内補完データに含まれる。

[0266] 即ち、 il ≤ i2とすると， authPath((0, iO), il)に属するノードで、レベルカより小さいものに対する割当値は， EOC(iO)あるいは CTokenGO, i2)に含まれる。

[0267] (3)上記認証点の割当値及び rtPath((0, 10), i2)に属するノードでレベルが該認証点のレベルより小さいノードの割当値は、ノード (0, iO)で受理証明書を受理した利用者が、ノード (0, il)に対応するラウンド以降において受信する遅延補完データおよびノード (0, iO)で受信した受理証明書 (受理証明書内補完データを含む)から計算することができる。

[0268] ，性質 2の証明

以下では、利用者に渡す受理証明書に、受理証明書内補完データ (即時補完データ)を含める場合について説明する。利用者に渡す受理証明書に受理証明書内補完データを含めず、その代わりに遅延補完データにこの情報を含める場合でも同様の議論により同じ結論が得られる。

[0269] (1)まず、項目（1)について図 31を用いつつ説明する。ここで、合流点を (j, i)、そのレフト'チャイルドである認証点を (f, i')とおく。ノード（0, il)の curSBT(il)におけるルート'パス rtPath((0, il), il)において、（0, il)から出発して、合流点に至る直前のノードを (Γ, Πとおく。このとき、認証点は、 (Γ, Πの左補完点である。従って、認証パス authPathT(il, il)の定義から、 (0", i'), L)はノード（0, il)の curSBT(il)における認証パスに含まれる。また，ノード (j'， i')への値の割当ては， round(il)より前に終了している。よって、 (0", i')， L, V0", i'》は (0, il)に対する受理証明書内補完データに含まれる。

[0270] (2)次に項目（2)について図 32および図 33を用いつつ説明する。

[0271] k = κ (il)とおく。

[0272] 認証点（ , ί')はノード（0, i0)のルート'パス rtPath((0, i0), il)に含まれる。ここで、 rtPath((0, i0), il) =

[(0,载 ···, O'.rO')), (j' + l,r(j' + l》, · ··, (k,r(k))]

とする。

[0273] また、 authPath((0, iO), il)の要素で、レベル力 'より小さいノードの並びを

[(0, s(0)), -, (j' - l, sO' - D)]

とおく。

[0274] 各 jl≡ [0..j' - l]に対して， V(jl, r(jl》が EOC(iO)あるいは CToken(i0, i2)に含まれることを示せばよい。

[0275] authPath((0, i0), il)の定義により、

authPath((0, i0), il)のレベル jlの要素 p2 = (jl, s(jl》は， rtPath((0, i0), il)のレベル j 1 + 1の要素 p3 = (jl+1, r(jl+l》のライト'チャイルドであるか或いはレフト'チャイルドである。どちらであるかによって場合分けする。

[0276] (場合 1) ρ2が p3のライト'チャイルドであるとき、図 32に示すように、 p2の割当値 V(p 2)は、 il≤ i2な i2において， Cが受信できる遅延補完データ CToken(iO, i2)に含まれる。なぜならば、順次集約木の性質 1により、リーフ (0, il)に対応するラウンドのィベント順序証明処理が終わった時点で、図 30の Bで表された curSBT(il)の部分木の割当値は計算可能であり計算され割当て済みである。従って、その時点以降で発行される遅延補完データには Bのルート p2の割当値 V(p2)が含まれる。

[0277] (場合 2) p2が p3のレフト'チャイルドであるとき、図 33に示すように、ノード p2の割当値 V(p2)は、 roundGO)のイベント順序証明要求者に対するト受理証明書内補完データに含まれる。何故ならば、図 33の p2をルートとする部分木 Bについて、

Vi≡ leafs(B)[ i < i0 ]

であり、従って B c curSBT(iO)でかつ iOで識別されるラウンドの開始時に、 leafs(B)の割当値は確定している。よって順次集約木の性質 1により、 p2 = root(B)の割当値は、 iOで識別されるラウンドにおいて確定している。従って、 p2は authPathD((0, 10), iO )に含まれる。

[0278] (3)認証パスの定義及び項目（2)から、各 jl≡ [0.. ]に対して、 V(jl, r(jl》を以下のように再帰的に計算することが出来る。

[0279] まず、 V(0, r(0》はイベント受理証明書に含まれているノード (0, iO)の割当値とする。

[0280] 次に、 jl≡ [0.. — 1)に対して， V(jl, r(jl》が計算されたと仮定し、 V(jl+1, r(jl+l》を以下のように計算する。 r(jl) < sODのときは、

V01+1, rO'1+D) = h(V(jl, rOD) II V(jl, s(jl)))

とし， s(jl) < r(jl)のときは、

VOl+1, rO'l+D) = h(V(jl, s(jl)) || V(jl, r(jl)))

とする。

[0281] 以下では、時刻の原点として、イベント順序証明システムのサービス開始時点をとり、時間を計る単位として 1秒、 1ミリ秒等を定め，時刻を，上記の原点から上記の時間の単位で計った整数で表現するものとする。また，各監査装置乙は、各順次集約期間 Tの最初の監査点においては、 Tに閉じた監査情報に加えて、前順次集約ルート値 (直前の順次集約期間 T'のルートの割当値 V(root(T'))も受信するものとする。

[0282] 予め高さが決定しておらずインクリメンタルに構成されるような順次集約木に対して次の性質 3がなりたつ。

[0283] (順次集約木の性質 3)

以下では、 Tを正整数とし、 α , α θ, τ , τ 'は拡張リーフ識別子を表すものとする。乙は監査装置とし、乙の監査点 αθで、次の条件 (*1)を満たすものが存在するものとする。

[0284] (*1) time(aO) ≡ [0..T)

さらに乙による任意の 1つの監査点を α,その次の乙による監査点を α'とすると次の条件 (*2)が成り立つものとする。

[0285] (*2) time(a')-time(a)≤ T

また、利用者甲はあるイベント順序証明要求を送信し、その要求に対応する順次集約木リーフをて ,その後、該イベント受理証明書に対する遅延補完データ要求し、その要求に対応する順次集約木リーフを τ 'とすると次の条件 (*3)が成り立つものとする。

[0286] (*3) time( τ ')一 time( τ)≥ T

さらに、監査装置乙は 2番目以降の各順次集約期間に属する乙による最初の監查点において、直前の順次集約期間のルート値をイベント順序証明機関力受信するちのとする。

[0287] このとき，以下の（1)〜（4)が成り立つ。

[0288] (1) a ≡ [τ,.τ']となる乙によるある監査点 αが存在する。

(2) a ≡ [τ,.τ']となる乙による監査点 αについて、 τの aによる認証点の割当値 (ラベル）は、 oc以後のある順次集約木リーフ（例えば τ ')において乙が受信する監査用受理証明書に含まれる。

[0289] (3)任意の順次集約木リーフてに対して、乙による監査点 a 'があり、次の条件 (*4) が成立つ。

[0290] (*4) time( τ )≤ time( α ') < time( τ) + Τ

(4)Τ≤ time(T)となる任意のユーザ点 τについて， a < τとなる乙の監査点 α が存在する。

[0291] ，性質 3の証明

(1) α ≡ ίτ..τ ']となるような乙によるある監査点 αが存在しないと仮定する。 τより左に位置する乙による監査点が存在するか否かにより場合分けする。

[0292] (場合 1) τより左に位置する乙による監査点が存在する場合を考える。 τ より左に位置し、 τに最も近い乙による監査点を α 1とし、 τ 'より右に位置しかつ τ 'に最も近い乙による監査点を α 2とする。 αΐと α2の取り方より、

time( a l ^ time( τ ) S U- time( τ ) < time( 2)

が成り立つ。 time( a 1) < time( τ )より， -time(al) > — time( τ )となる。

[0293] 従って、

time( 2)一 time( a 1) > time( τ ,)一 time( τ )≥ T.

一方， time(o;)≡ [time( ..time( ]となるような乙によるある監査点 aが存在しないのであるから、 a 2は a 1の次の監査点である。従って上記条件 (*2)より、

time(a2)-time(al)≤ Tとならなければならない。以上から、

time( 2)— time( a 1) > Tかつ time( 2)— time( a 1)≤ T

となり矛盾が導かれる。従って、 time(a) ≡ [time( τ )..time( τ ')]となるような乙によるある監査点 aが存在しないという仮定は誤りであり、 time(a)≡ [time( τ )..time( τ ')] となる乙によるある監査点 aが存在する。

[0294] (場合 2)てより左に位置する乙による監査点が存在しない場合を考える。このとき、 time(aO) ≡ [0..T]なる監査点 a 0について、

θ≡ [τ ..τ']

となることが示される。

[0295] (2)上述の順次集約木の性質 2と項目（1)から直ちに導かれる。

[0296] (3) τより前に乙の監査点が存在する力否かにより場合分けする。

[0297] (場合 1)てより前に乙の監査点が存在する場合を考える。てより前で，最も後に位置する監査点を aとし、その次の監査点の時刻を a 'とする。このとき、

time( ) ^ time( τ )≥ time、 )

従って、条件 (*2)より、

time( a ')— time( τ ) < time(a ')^— time(a)≤ T

よって、

time( ') < time( τ ) + T

以上より、（*4)が得られる。

[0298] (場合 2) τより前に乙の監査点が存在しない場合を考える。性質 3の前提により、乙の監査点 a 0で time( α 0) < Τとなるものがある。

[0299] time( τ )≤ time( α θ) < T

従って、

time( 0)— time( τ ) < T— time( τ )≤ T

よって、 time( a 0) < time( τ ) + T

以上により、 a ' = a 0として、（*4)が得られる。

[0300] (4)乙の監査点 a 0で、 time( a O) ≡ [0..T)となるものが存在するという上記仮定 (*1) から、直ちに導かれる。

[0301] (順次集約木の性質 4)

SBTを高さ kの順次集約木とし、 iを SBTの順次集約木リーフ番号とし、 kl ≤ kとし、 a uthPathTkl(i)を、 authPathT(i)の最初の kl個の要素の列とする。

[0302] authPathTkl(i) = [((0, i(0)), LR(0)), · · ·, ((kl— 1, i(kl 1》, LR(kl— 1))]

と置く。さらにここで、 vl, v2を異なる 2つのハッシュ値とし、 API, AP2を次のように与える。

[0303] API =

[(LR(0), vl '(。)), (LR(1), vl'(l)), · · ·, (LR(kl— 1), vl'(kl— 1》],

AP2 =

[(LR(0), v2'(0)), (LR(1), v2'(l)), · · ·, (LR(kl— 1), v2'(kl— 1))].

このとき、 vlと API力も以下の (*1)ように計算した vl"(kl)と、 v2と AP2から以下の (*2)のように計算した v2"(kl)は (実用上無視できる確率を除いて)一致しない。

[0304] (*1)各 f ≡ [0..kl]に対して、 vl"(f)を以下のように再帰的に定める。

[0305] vl"(0) = vl。

[0306] j" > 0で LR(j，一 1) = Lのとき、

vl"0') = h(vl'0" - l) l| vl"0" - l))

j" > 0で LR(j，一 1) = Rのとき、

vl"0") = h(vi"0"-D II vi'O'-D)

(*2)各 ≡ [0..k]に対して、 v2"( )を以下のように再帰的に定める。

[0307] v2"(0) = v2 j" > 0で LR(j，一 1) = Lのとき、

v2"0") = h(v2'0"- D II v2"0"- D)

j" > 0で LR(j，一 1) = Rのとき、

v2"0") = h(v2"0"- D II v2'0"- l))

•性質 4の証明

vl"(kl) = v2"(kl)と仮定する。 j' [0..kl]で vl"(j，) = v2"0")となる最小の j'を j 1と置く。 vl≠ v2、即ち vl"(0)≠ v2"(0)であるから、 jl > 0である。 jO = jl— lと置く。 LR(jO)が Lであるか Rであるかにより場合分けする。

[0308] (場合 l) LR(jO) = Lのとき。 jl, jOのとり方より、

vl'OO)≠ v2"(j0)。

[0309] 従って、

vl'OO) II vl'OO)≠ v2'0'0) II v2"0'0)

一方、上述の (*1), (*2)から、

vl'OD = h(vl'(j0) II vl"(j0))

v2"0D = h(v2'(j0) II v2"(j0))

従って、

vl'O'O) II vl'OO)) = h(v2'00) II v2"(j0))

従って、 vl'OO) II vl"(j0)と v2'(j0) II v2"(j0)が、衝突困難ハッシュ関数 hの衝突となる

[0310] (場合 2) LR(j0) = Rのとき、場合 1に於けると同様にして、

vl'OO) II vl'GO)と v2"(j0) II v2'(j0)が，衝突困難ハッシュ関数 hの衝突となることが導かれる。

[0311] 以上から、どちらの場合でも，衝突困難ハッシュ関数 hの衝突が現れることになる。

このようなことは（実用上無視できる確率を除いて)在り得ない。従って、 vl"(k) = v2 "(k)となることも、（実用上無視できる確率を除いて)在り得ない。

[0312] 次に、上記した第 1及至第 3の実施の形態に係るイベント順序証明システム及びィベント順序証明監査システムを、システムを構成する各装置の資源と性能、及び装置間を結ぶネットワークの資源と性能についての種々の条件において、より実用的なものとした実施の形態を説明する。具体的には、木構造等の非循環有向グラフを用いて順序証明を行う場合、非循環有向グラフが計算機のメモリに収まらな、場合にお!ヽても実現できるようにスケーラビリティを持って実現するためには、 V、ずれの装置 (ィベント順序証明装置およびそれを利用する利用者装置)も非循環有向グラフをメモリ上に展開する必要がないような方法で実現することが要求される。また同じくスケーラピリティの観点から、非循環有向グラフが大きくなつても、イベント順序証明装置とその利用者装置の間の通信量が過大とならないことが要求され、装置間の通信量が当該の非循環有向グラフのノードの数の対数のオーダで抑えられるならばこの要求は満たされる。一般に、ネットワークで結ばれた計算機システムにより所定の機能を実現するために必要なメモリ量及び装置間の通信量と、個々の装置における処理量はトレードオフの関係にあり、所定の機能を持つシステムをメモリ量、装置の処理能力、およびネットワークの伝送容量等についての種々の状況ィ匕で実用可能とするためには、処理量が実用的な範囲でメモリ量および通信量を小さくする実現方式、及び逆にメモリ量および通信量が実用的な範囲で処理量を小さくする実現方式を提供することが有用である。

[0313] <第 4の実施の形態 >

(4- 1.システム構成）

図 34は、本発明の第 4の実施の形態に係るイベント順序証明システム 100aのシステム構成図である。イベント順序証明システム 100aは、イベント順序証明装置（以下、証明装置という） la、複数のイベント順序証明利用者装置 (以下、利用者装置という） 2I (I=A,B, 〜,N)、及び、以上の各装置を相互に接続する、例えば、インターネット網、電話回線網などにより構成されるコンピュータネットワーク 3aを備えており、証明装置 laが利用者装置 21からのイベント順序証明要求 (以下、証明要求という）に応えて、イベント順序受理証明書 (以下、受理証明書という）を含むイベント順序証明応答 (以下、証明応答という）を利用者装置 21に返信するようになっている。そして、利用者装置 21は、証明装置 laから受け取つたこの複数の証明応答力受理証明書を検証することができるようになって!/、る。

[0314] 証明装置 laは、コンピュータネットワーク 3aを介して利用者装置 21とデータの送受信を行う送受信部 l la、利用者装置 21からの証明要求として送信されたデジタル 'デ一タを順次集約木を用いてまとめるイベント順序証明要求集約部 12a、受理証明書を含む証明応答を作成するイベント順序証明応答作成部 13a、証明装置 1が一定期間に発行した複数の受理証明書の内容を集約したデータに対して高強度デジタル署名し、公表データとするデジタル署名作成部 14a、高強度デジタル署名を付加された公表データを電子的に公表する電子的情報公表部 15a、及び受理証明書をはじめとするイベント順序証明に関する情報を記憶する記憶部 16aを有する構成である。

[0315] 上述したように、イベント順序証明要求集約部 12aは、順次集約木を用いてイベント順序証明要求をまとめるが、この順次集約木について図 35を用いて説明する。図 35 は、一定期間（例えば 1週間など証明装置 laが取り纏めデータを公表するサイクル、順次集約期間という）において、利用者装置 21からの証明要求に含まれるデジタル' データの全部あるいは一部を、所定の順次割当データ計算手順に従って計算した結果であるデジタル ·データ (これを順次割当データと呼ぶ。例えば、証明要求に含まれるデジタル ·データのハッシュ値)を経時的に順次左側から割り当てる値とする順次集約木の一具体例を示す図である。尚、利用者装置 21からの各証明要求が割り当てられた順次集約木のリーフを登録点ともいう。

[0316] 順次集約木の各ノード (リーフを除く）に割り当てられる値の計算方法は、以下の通りである。順次集約木の親の割当値は、左側の子の割当値 H'と右側の子の割当値 H "を連接 (ビット列とビット列の結合)し、所定の衝突困難一方向ハッシュ関数 hを適用した結果であるハッシュ値を計算することにより求められるものであり、これを h(H， II H ")と表す。このようにして下位のレベルの割当値から上位のレベルの割当値を計算して、最終的に最上位のレベル (ルート）の割当値 (ルート値) Hを求める。

[0317] 以下においては、図 35に示すように、 16個のリーフを有する順次集約木の場合について説明する。尚、順次集約木リーフの数や高さは、順次集約期間が終了するまで確定しない。また、順次集約木においては、リーフへの値の割当は左力順次行われ、レベルが 0より大きいノード (即ちリーフではないノード）に対する値の割当は、それが可能になったときにインクリメンタルに行われる。従って、図 35の同一の縦線上にある複数のノードに対しては、値の割当が同一の処理単位の中でほぼ同時に行われる。

ここで、順次集約木のレベル』·、番号 iのノードを ο、 οの割当値を ν οと表して、図 35に示す具体例を説明する。

[0318] 今、順次集約木リーフに割り当てるハッシュ値が V(0,5)であるとき（登録点が (0,5)であるとき）、このハッシュ値 V(0,5)からルート値 H (=V(4,0》を求めるには、 V(0,5)に V(0 ,4)を左力も連接して、ノ、ッシュ値 hi'を計算し、該ハッシュ値 hl，に V(l,3)を右側から連接してハッシュ値 h2'を計算し、該ハッシュ値 h2'〖こ V(2,0)を左側力連接してハツシュ値 h3'を計算し、さらに該ハッシュ値 h3'に V(3,l)を右側力も連接してハッシュ値 H (=V(4, 0))を計算すればよい。このような手順により V(0,5)とそれを補完するデータ（ここでは V(0, 4), V(l,3), V(2,0), V(3,l))力ルート値 Hが計算できるとき、 V(0,5)はノヽッシュ関数 hによりルート値 Hにリンクするという。また、順次集約木における V(0,5)の補完データ (以下、順次集約補完データと、う）は、

[(V(0,4) , L) , (V(l,3) , R) , (V(2,0) , L) , (V(3,l) , R)]

となる。ここで、 L及び Rは、各々、 2つのデジタル 'データを連接する際に左力連接こと、及び右から連接することを表す。

[0319] イベント順序証明応答作成部 13aは、図 36に示すような受理証明書 EOC(y)を含む証明応答を作成し、利用者装置 21に送信するようになっている。受理証明書 EOC(y) は、利用者から送付されたデジタル 'データ y、上述した順次割当データ計算手順によりデジタル ·データ yから計算された順次割当データ z、順次割当データ zが割当てられた順次集約木を一意に特定できる順次集約木番号、順次割当データ zが割当てられた順次集約木リーフを一意に特定できる順次集約木リーフ番号、およびその時点で取得できる順次集約補完データの一部 (これを登録点の即時補完データと言う） SKの位置情報及び割当値を含むように構成されて！、る。

[0320] また、証明応答には、利用者装置 21の過去の各登録点の遅延補完データ TKの位置情報及び割当値も含むように構成されている。尚、遅延補完データ TKとは、当該の証明応答発行後に取得できる順次集約補完データをいい、例えば、図 35においては、 V(0,5)にとつて、 V(2,0), V(0,4)は即時補完データである力 V(l,3), V(3,l)は V( 0, 15)が割当られた時点以降に取得可能な遅延補完データである。また、一般に、あるリーフ alとそれより右に位置するもう一つのリーフ a2において、リーフ a2の割当処理が終了した時点で定まるリーフ alの遅延補完データを、 alの a2における遅延補完データという。図 35においては、ノード (0,5)のノード (0,10)における遅延補完データは、ノード (1,3)である。

[0321] ここで、本実施の形態における証明応答の具体例を図 37を用いて説明する。尚、以下においては、本実施の形態における証明応答の形式を「シーケンス補完方式」と呼ぶ。今、ある利用者装置 21からの登録点が XI (ノード (0, 2)) , X2 (ノード (0, 11)) , X3 (ノード (0, 18)) , X4 (ノード (0, 21)) , X5 (ノード (0, 29)) , X6 (ノード (0, 31))であるとする。

[0322] シーケンス補完の方式においては各登録点において以下のようなデータが利用者装置 21に返されるようになって、る。

[0323] (1) XI点における証明応答には、 XI点の即時補完データが返される（具体的には、ノード (1,0)の割当値)。

[0324] (2) X2点における証明応答には、 X2点の即時補完データ、及び XI点の X2点における遅延補完データが返される（具体的には、 X2点の即時補完データとして、ノード ( 3,0),ノード (1,4),ノード (0,10)の割当値、 XI点の X2点における遅延補完データとして、ノード (0,3),ノード (2,1))の割当値。

[0325] (3) X3点における証明応答には、 X3点の即時補完データ、並びに XI点及び X2点の X3点における遅延補完データが返される（具体的には、 X3点の即時補完データとして、ノード (4,0),ノード (1,8)の割当値、 XI点の X3点における遅延補完データとして、ノード (0,3),ノード (2,1),ノード (3,1)の割当値、 X2点の X3点における遅延補完データとして、ノード (2,3)の割当値)。

[0326] (4) X4点における証明応答には、 X4点の即時補完データ、並びに XI点、 X2点及び X3点の X4点における遅延補完データが返される（具体的には、 X4点の即時補完データとして、ノード (4,0),ノード (2,4),ノード (0,20)の割当値、 XI点の X4点における遅延補完データとして、ノード (0,3),ノード (2,1),ノード (3,1)の割当値、 X2点の X4点における遅延補完データとして、ノード (2,3)の割当値、 X3点の X4点における遅延補完データとして、ノード (0,19)の割当値)。 [0327] 以下、 X5及び X6においても同様である。このように、シーケンス補完方式においては、証明応答として、ある登録点に関して、該登録点の即時補完データ及びある登録点より前に登録された各登録点の該登録点における遅延補完データが含まれるようになつている。尚、各証明応答は、利用者装置 21ごとに管理されるようになっている

[0328] 利用者装置 21は、コンピュータネットワーク 3aを介して証明装置 laとデータを送受信する送受信部 21a、所定のデジタル，データを含む証明要求を複数回行うイベント順序証明要求証部 22a、証明要求に対する証明応答に含まれた受理証明書を検証するイベント順序証明検証部 23a、受理証明書を含む証明応答をはじめとしてイベント順序証明に関する情報を記憶する記憶部 24aを有する構成である。

[0329] ここで、イベント順序証明検証部 23aは、受理証明書に対して以下の検証機能を備える。

[0330] 第 1の検証機能としては、証明装置 laのデジタル署名作成部 14a及び電子的情報公表部 15aを介して公表される公表情報に、受理証明書に含まれる順次割当データ力 Sハッシュ関数を介してリンクすることを検証するものである。具体的には、順次集約木のルート値として公表された値と利用者装置 21で計算されたルート値が一致するか否か検証するものである。

[0331] 第 2の検証機能としては、公表情報が公開される前であっても、利用者装置 21の後述する動作により、利用者装置 21間における受理証明書発行の時間的前後を検証するものである。

[0332] 以下、第 2の検証機能を図 38を用いて説明するが、その前に、合流点及び認証点の説明をする。

[0333] ある順次集約木のリーフ aに対して、 aからルートに至るパスを aのルート'パスと呼び、 rtPath(a)と書く。また、 rtPath(a)に属するノードのルート以外のものの兄弟ノード (sibl ing node)からなるノードの並びを認証パスと呼び、 authPath(a)と書く。

[0334] このとき、ある順次集約木の 2つのリーフ alと a2について、 alより右に a2が位置するとき、 alからルートに至るパスと a2からルートに至るパスの合流する点を、 alと a2の合流点と呼び、合流点のレフト'チャイルド (左側の子）を alの a2による認証点と呼ぶ。例えば、図 37において、登録点 XIの登録点 X2による認証点は (3, 0)の点であり、登録点 X2の登録点 X3による認証点は (4, 0)の点である。

[0335] 今、 2つの利用者装置 2A及び 2Bが、それぞれ、シーケンス補完方式により、各登録点の証明応答を取得するものとし、図 38に示す a, al, a2, af^利用者装置 2Aの登録点、 bを利用者装置 2Bの登録点とする。尚、 afは、暫定終端点と呼ばれるもので、利用者装置 2Aの登録点のうち、最も右に位置する登録点である。図 38においては、利用者装置 2Aの 1つの登録点 aがあり、それより右に位置する利用者装置 2Bの登録点 b があり、さらにその右に位置する利用者装置 2Aの登録点 al¾ある。

[0336] ここで、シーケンス補完方式においては、一般に、登録点 aが登録点 bより左に位置する場合、認証点のラベル (割当値）は登録点 bの証明応答 (即時補完データ）に含まれており、また、登録点 bにおけるイベント順序証明処理が終了した時点以降 (例えば、登録点 afの時点）においては、登録点 aの遅延補完データ力計算できるラベルには、認証点のラベルが含まれるので、登録点 aの登録点 afにおける遅延補完データ力計算される認証点の割当値と、登録点 bの即時補完データに含まれる認証点の割当値が一致する力否かを検証することにより、登録点 aと登録点 bの時間的前後を検証することができる（詳しくは、後述の順次集約木の性質の項目（3)を参照)。

[0337] 従って、図 38の場合、登録点 al^現時点としたときの現時点順次集約木における、登録点 aの登録点 bによる認証点。の割当値 V(o)がー致すれば、登録点 aの登録が登録点 bの登録より前に起こったことを客観的に証明することができる。イベント順序証明検証部 23aは、このことを後述する動作により検証するものである。

[0338] 尚、以上の各装置は、少なくとも演算機能及び制御機能を備えた中央処理装置 (C PU : Central Processing Unit)、プログラムやデータを収納する機能を有する RAM(Ra ndom Access Memory)等からなる主記憶装置 (メモリ）、ハードディスク（HD)等の電源断時にもデータを記憶し続けることができる 2次記憶装置を有する電子的な装置から構成されている。このうち、証明装置 laのイベント順序証明要求集約部 12a、イベント順序証明応答作成部 13a、デジタル署名作成部 14a及び電子的情報公表部 15a、並びに利用者装置 21のイベント順序証明要求部 22a及びイベント順序証明検証部 23a の処理は、上記 CPUによる演算制御機能を具体的に示したものに他ならない。また、証明装置 laの記憶部 16a及び利用者装置 21の記憶部 24aは、上記主記憶装置ある!/、は 2次記憶装置の機能を備えたものである。

[0339] (4- 2.システム動作）

次に、以上の構成を有するイベント順序証明システム 100aにおけるイベント順序証明方法、およびイベント順序証明検証方法を図 39乃至 41を用いて説明する。ここで、図 39は、 1つの順次集約期間において証明装置 laが受理証明書を含む及び証明応答を作成する動作を説明するシーケンス図であり、図 40及び 41は、利用者装置 21 が受理証明書に対して第 2の検証を行う動作を説明するシーケンス図である。

[0340] まず、図 39を参照して、イベント順序証明方法について説明する。

[0341] 利用者装置 21が証明装置 laにデジタル ·データ yを含む証明要求を送信すると、証明装置 laは送受信部 11aを介して、該デジタル ·データ yを含む証明要求を受信する ( ステップ S 10a, S20a)_o

次に、イベント順序証明要求集約部 12aが、デジタル ·データ yを入力の一部あるいは全部として順次割当データ zを計算し、該順次割当データ zを順次集約木リーフ〖こ割り当てて、インクリメンタルに順次集約木を構成していくとともに、イベント順序証明応答作成部 13aは、受理証明書を含む証明応答 (シーケンス補完の方式;登録点の即時補完データ及び登録点より前に登録された各登録点の該登録点における遅延補完データ)を作成し、送受信部 11aを介して利用者装置 21に証明応答を送信する（ステップ S30a, S40a, S50a)。

[0342] これにより、利用者装置 21は、受理証明書を含む証明応答を取得することができる（ステップ S60a)。そして、利用者装置 21は、このステップ SlOa及び S60aの証明要求送信及び証明応答受信を繰り返す。

[0343] 一方、証明装置 laでは、順次集約のための一定期間 (順次集約期間）内においては、上述した証明装置 laの動作は繰り返され、順次集約期間が終了すると、電子的情報公表部 17aは、順次集約木のルート値を計算し、このルート値を電子的に公表する（ステップ S70a, S80a, S90a)。

[0344] 次に、図 40を参照しながら、イベント順序証明検証方法について説明する。これは、利用者装置 21の第 2の検証機能に相当するものである。尚、図 40は、利用者装置 2 Aと 2B間のデータのやりとりを示すものである力利用者装置 2Aが利用者装置 2Bに後置点判定要求 (利用者装置 2Aが受け取った受理証明書の登録点より時間的に後の受理証明書に対する順序判定を利用者装置 2Bに要求する)行うものである。

[0345] まず、利用者装置 2Aは、検証した、受理証明書 EOC(a) (登録点 aにおける受理証明書)を付けて後置点判定要求を利用者装置 2Bに送信する (ステップ Sl lOa)。後置点判定要求を受信した利用者装置 2Bは、受け取った受理証明書 EOC(a)からリーフ番号 n(a)を抽出し、リーフ番号 n(a)より大きなリーフ番号を利用者装置 2Bの登録点の中力も検索する (ステップ S120a, S130a) _oリーフ番号 n(a)より大きなリーフ番号が利用者装置 2Bの登録点にある場合には、該登録点の一つ bを選び、そのリーフ番号 n(b) を利用者装置 2Aに送信する（ステップ S140a, S150a) _oこれに対して、リーフ番号 n(a) より大きなリーフ番号が利用者装置 2Bの登録点にない場合には、比較可能データなしの旨のメッセージを利用者装置 2Aに送信する (ステップ S142a)。

[0346] リーフ番号 n(b)を利用者装置 2B力も受信した利用者装置 2Aは、リーフ番号 n(b)より大きなリーフ番号を持つ利用者装置 2Aの暫定登録点 a 選び、登録点 aの暫定終端点 afにおける遅延補完データ lateData (a,af)を取得し、利用者装置 2Bに送信する (ステツプ S160a, S170a, S180a, S190a)。尚、比較可能データなしの旨のメッセージを利用者装置 2B力も受信したときは、検証を終了する (ステップ S144 。

[0347] 利用者装置 2Aから遅延補完データ lateData (a,af)を受信した利用者装置 2Bは、リーフ識別番号 n(a)と n(b)力も登録点 aの登録点 bに対する認証点。を計算し、受け取つた受理証明書 EOC(a)と遅延補完データ lateData (a,af)力認証点の割当値を計算する (ステップ S210a)。次に、登録点 bの受理証明書 EOC(b)に含まれる即時補完データに上記計算で求めた認証点の割当値が含まれて、る力否かを検証し、認証点の割当値が含まれているときは、登録点 aが登録点 bより時間的に前に登録されたという判定結果を利用者装置 2Aに送信する (ステップ S220a, S230a) _o一方、認証点の割当値が含まれて、な、ときは、登録点 aが登録点 bより時間的に前に登録されたことを証明できず、何らかの不正があるという判定結果を利用者装置 2Aに送信する (ステップ S220a, S240a)。

[0348] この結果、利用者装置 2Aは、判定結果を受信し、取得するので、 2利用者間において受理証明書発行の時間的前後を検証することができる (ステップ S250a, S260a)

[0349] 尚、上述したイベント順序証明検証方法は、利用者装置 2Aが利用者装置 2Bに後置点判定要求行うものであつたが、前置点判定要求 (利用者装置 2Aが受け取った受理証明書の登録点より時間的に前の受理証明書に対する順序判定を利用者装置 2 Bに要求する）を行うようにしてもよい。図 41は、利用者装置 2Aが利用者装置 2Bに前置点判定要求行う場合の利用者装置 2Aと 2B間のデータのやりとりを示すシーケンス図である。

[0350] まず、利用者装置 2Aは、検証したい受理証明書 EOC(a) (登録点 aにおける受理証明書)を付けて前置点判定要求を利用者装置 2Bに送信する (ステップ S310a)。前置点判定要求を受信した利用者装置 2Bは、受け取った受理証明書 EOC(a)からリーフ番号 n(a)を抽出し、リーフ番号 n(a)より小さいリーフ番号、及びリーフ番号 n(a)より大き V、リーフ番号を利用者装置 2Bの登録点の中から検索する（ステップ S320a, S330a)。リーフ番号 n(a)より小さいリーフ番号及びリーフ番号 n(a)より大きいリーフ番号が利用者装置 2Bの登録点にある場合には、リーフ番号 n(a)より小さいリーフ番号の登録点 b を選ぶとともに、リーフ番号 n(a)より大きいリーフ番号の暫定登録点 bf^選ぶ (ステップ S340a, S350a)。尚、該当する登録点がない場合には、比較可能データなしの旨のメッセージを利用者装置 2Aに送信する (ステップ S342 。そして、利用者装置 2Aは、比較可能データなしの旨のメッセージを利用者装置 2B力受信したときは、検証を終了する（ステップ S344a)。

[0351] 次、で、利用者装置 2Bは、登録点 bの暫定登録点 bfにおける遅延補完データ lateD ata(b,bf)を取得し、リーフ識別番号 n(a)と n(b)力も登録点 aの登録点 bに対する認証点 0を計算し、受理証明書 EOC(b)と遅延補完データ lat_eDat_a (b,bf)力認証点の割当値を計算する (ステップ S360a, S370a) _o次に、登録点 aの受理証明書 EOC(a)に含まれる即時補完データに上記計算で求めた認証点の割当値が含まれている力否かを検証し、認証点の割当値が含まれているときは、登録点 aが登録点 bより時間的に後に登録されたという判定結果を利用者装置 2Aに送信する（ステップ S380a, S390a) _o 一方、認証点の割当値が含まれていないときは、登録点 aが登録点 bより時間的に後に登録されたことを証明できず、何らかの不正があるという判定結果を利用者装置 2A に送信する（ステップ S380a, S400a) _o

[0352] この結果、利用者装置 2Aは、判定結果を受信し、取得するので、 2利用者間において受理証明書発行の時間的前後を検証することができる (ステップ S410a, S420a)

[0353] 尚、上述したイベント順序証明検証方法は、利用者装置 2A及び利用者装置 2Bが受理証明書発行の時間的前後を検証したものであつたが、本発明はこれに限定されず、当事者以外の第 3者機関 (例えば、上記第 1乃至第 3の実施の形態におけるィべント順序証明監査装置 3)が検証を行ってもよい。この場合には、利用者装置 2A及び利用者装置 2Bが検証に必要な情報を第 3者機関に送信し、第 3者機関 (イベント順序証明監査装置 3)が検証を行うものである。

[0354] 従って、第 4の実施の形態のイベント順序証明システム 100aによれば、木構造を用いてイベント順序を証明するイベント順序証明システムにおいて、利用者装置 21から証明要求を受付けた証明装置 laが、該証明要求に対して受理証明書を含むシーケンス補完方式 (登録点に関して、該登録点の即時補完データ及び該登録点より前に登録された各登録点の該登録点における遅延補完データを証明応答に含む）による証明応答を発行し、利用者装置 21がこの証明応答を用いて、利用者装置 21間における受理証明書発行の時間的前後を検証することができるので、証明要求をまとめた公表データが電子的に公表される前であっても、受理証明書の正当性を検証することがでさる。

[0355] <第 5の実施の形態 >

(5- 1.システム構成）

図 42は、本発明の第 5の実施の形態に係るイベント順序証明システム 200aのシステム構成図である。イベント順序証明システム 200aは、証明装置 4a、複数の利用者装置 5I (I=A,B, 〜,N)、及び、以上の各装置を相互に接続する、例えば、インターネット網、電話回線網などにより構成されるコンピュータネットワーク 3aを備えており、証明装置 4aが利用者装置 51からの証明要求に応えて、受理証明書を含む証明応答を利用者装置 51に返信するようになっている。そして、利用者装置 51は、証明装置 4aから受け取つたこの複数の証明応答力受理証明書を検証することができるようになっている。

[0356] ここで、本実施の形態と第 4の実施の形態とは、証明応答の形式が異なるものであり、本実施の形態では、「シーケンス補完方式」とは別の後述する「連鎖補完方式」により証明応答が作成されるようになっている。これは、上述したシーケンス補完方式においては、各利用者装置 21の各登録点において、当該の利用者装置 21の過去の登録点全てに対してその遅延補完データを当該の利用者装置 21に返送しなければならないため、過去の登録点が増加するのに比例して、証明応答のデータ量が増加するが、本実施の形態の連鎖補完方式においては、証明応答のデータ量の増加が抑制されるようになつている。尚、本実施の形態においては、上記実施の形態と異なる構成及び機能を説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。

[0357] 証明装置 4aは、コンピュータネットワーク 3aを介して利用者装置 51とデータの送受信を行う送受信部 l la、利用者装置 51からの証明要求として送信されたデジタル 'デ一タを順次集約木を用いてまとめるイベント順序証明要求集約部 12a、受理証明書を含む証明応答を作成するイベント順序証明応答作成部 41a、証明装置 4aが一定期間に発行した複数の受理証明書の内容を集約したデータに対して高強度デジタル署名し、公表データとするデジタル署名作成部 14a、高強度デジタル署名を付加された公表データを電子的に公表する電子的情報公表部 15a、及び受理証明書をはじめとするイベント順序証明に関する情報を記憶する記憶部 42aを有する構成である。

[0358] イベント順序証明応答作成部 41aは、図 43に示すような受理証明書 EOC(y)を含む証明応答を作成し、利用者装置 51に送信するようになっている。受理証明書 EOC(y) は、利用者から送付されたデジタル 'データ y、上述した順次割当データ計算手順によりデジタル ·データ yから計算された順次割当データ z、順次割当データ zが割当てられた順次集約木を一意に特定できる順次集約木番号、順次割当データ zが割当てられた順次集約木のリーフを一意に特定できる順次集約木リーフ番号、およびその時点で取得できる順次集約補完データの一部 (これを登録点の即時補完データと言う） SKの位置情報及び割当値を含むように構成されて！、る。 [0359] また、証明応答には、利用者装置 51の直前の登録点の遅延補完データ TK2の位置情報及び割当値も含むように構成されている。

[0360] ここで、本実施の形態における証明応答の具体例を図 37を用いて説明する。尚、上述したように、この証明応答の形式を「連鎖補完方式」と呼ぶ。今、ある利用者装置 51からの登録点が XI (ノード (0, 2)) , X2 (ノード (0, 11)) , X3 (ノード（0, 18)) , X4 (ノード (0, 21)) , X5 (ノード (0, 29)) , X6 (ノード (0, 31))であるとする。

[0361] 連鎖補完方式においては各登録点において以下のようなデータが利用者装置 51 に返されるようになって!/、る。

[0362] (1) XI点における証明応答には、 XI点の即時補完データが返される（具体的には、ノード (1,0)の割当値)。

[0363] (2) X2点における証明応答には、 X2点の即時補完データ、及び XI点の X2点における遅延補完データが返される（具体的には、 X2点の即時補完データとして、ノード（ 3,0) ,ノード (1,4),ノード (0,10)の割当値、 XI点の X2点における遅延補完データとして、ノード (0,3),ノード (2,1)の割当値)。

[0364] (3) X3点における証明応答には、 X3点の即時補完データ、及び X2点の X3点における遅延補完データが返される（具体的には、 X3点の即時補完データとして、ノード（ 4,0),ノード (1,8)の割当値、 X2点の X3点における遅延補完データとして、ノード (2,3) の割当値)。

[0365] (4) X4点における証明応答には、 X4点の即時補完データ、及び X3点の X4点における遅延補完データが返される（具体的には、 X4点の即時補完データとして、ノード（ 4,0),ノード (2,4),ノード (0,20)の割当値、 X3点の X4点における遅延補完データとして、ノード (0,19)の割当値)。

[0366] 以下、 X5及び X6においても同様である。このように、連鎖補完方式においては、証明応答として、ある登録点に関して、該登録点の即時補完データ及び該登録点の直前登録点の該登録点における遅延補完データが含まれるようになつている。これにより、連鎖補完方式においては、過去の登録点が増えても証明要求に対する証明応答のデータ量が比例的に増加しな、ので、証明装置 4aと利用者装置 51間の通信データ量を抑制することができる。尚、各証明応答は、利用者装置 51ごとに管理されるようになっている。

[0367] 次に、連鎖補完方式の証明応答であっても、利用者装置 51は、実質的には、シーケンス補完方式の証明応答と同一のデータが得られることを図 44及び図 45を参照して説明する。

[0368] 図 44に示すように、順次集約木 ST2の 3つのリーフ al, a2, a3が左からこの順番であるものとすると、 a2点の a3点における遅延補完データ、 a2点の即時補完データ、及び al点の a2点における遅延補完データから、 alの a3点における遅延補完データは、以下のように計算される。

[0369] まず、 a2点の a3点における遅延補完データの中で最もレベルが高いノードのレべルを j2と置く。また、 alの a2による認証点を AP(al, a2)、その兄弟ノードを AP'(al, a2)と書き、 AP(al, a2)のレベルを jlと置く。

[0370] このとき、第 1に、 al点の a3点における遅延補完データに含まれる認証パスノードのうちレベルが jはりも小さいものの割当値は、 al点の a2点における遅延補完データに含まれる。

[0371] また、第 2に、 al点の a3点における遅延補完データに含まれる認証パスノードのうちレベルが jlに等し、ものの割当値は、 a2点の a3点における遅延補完データおよび a2 点の即時補完データ力計算できる。

[0372] さらに、第 3に、 al点の a3点における遅延補完データに含まれる認証パスノードのうちレベルが jlにより大きいものの集合は、 a2点の a3点における遅延補完データに含まれる認証パスノードのうちレベルが jlより大きいものの集合と等しい。従って、 al点の a 3点における遅延補完データに含まれる認証パスノードのうちレベルが jはり大きいものの割当値は、 a2点の a3点における遅延補完データ力も計算できる。

[0373] 以上から、 al点の a3点における遅延補完データは、以下の 3つのデータから計算することができる。

[0374] (1) a2点の a3点における遅延補完データ

(2) a2点の即時補完データ

(3) al点の a2点における遅延補完データ

尚、上記の（1)〜（3)力も al点の a3点における遅延補完データを計算する処理を完全化波及処理と呼ぶ。

[0375] この完全ィヒ波及処理を用いることにより、利用者装置 51は、連鎖補完方式の証明応答力シーケンス補完方式の証明応答を計算することができるようになって!/、る。図 4 5はこの計算方法を示す表である。ここで、図 45は、シーケンス補完方式及び連鎖補完方式にお 1、て、各登録点に必要な即時補完データ及び遅延補完データを示している。尚、連鎖補完方式における証明応答の即時補完データ及び遅延補完データは、 2重線に囲まれる部分のデータである。また、図 45に示す矢印は計算の方向を示している。例えば、図 45によれば、 a2の a3における遅延補完データ（Pl)、 a2の即時補完データ（P2)、及び alの a2における遅延補完データ（P3)から、 alの a3における遅延補完データ (P4)が計算できることを示して、る。

[0376] 同様にして、 a3の a4における遅延補完データ（P5)、 a3の即時補完データ（P6)、及び a2の a3における遅延補完データ（P1)から、 a2の a4における遅延補完データ（P7) が計算できる。そして、これを繰り返すことにより、連鎖補完方式であっても、最終的には、図 45に示す遅延補完データすべてが計算できることになる、これは、シーケンス補完方式の証明応答に他ならない遅延補完データである。

[0377] 従って、本実施の形態の連鎖補完方式であっても、利用者装置 51においては、図 4 5示すような完全化波及処理を行うことにより、第 1の実施の形態と同様の検証をすることができるものである。尚、この完全ィ匕波及処理に関しては、後述する「インクリメンタル完全化」の処理として、詳しく説明する。

[0378] 利用者装置 51は、コンピュータネットワーク 3aを介して証明装置 4aとデータを送受信する送受信部 21a、所定のデジタル，データを含む証明要求を複数回行うイベント順序証明要求証部 22a、証明要求に対する証明応答に含まれた受理証明書を検証するイベント順序証明検証部 51a、受理証明書を含む証明応答をはじめとしてイベント順序証明に関する情報を記憶する記憶部 52aを有する構成である。

[0379] ここで、イベント順序証明検証部 51aは、第 4の実施の形態のイベント順序証明検証部 23aの機能に加えて、後述するインクリメンタル完全ィ匕の処理を行う機能を具備するもので、受理証明書に対して以下の検証機能を備える。

[0380] 第 1の検証機能としては、証明装置 4aのデジタル署名作成部 14a及び電子的情報公表部 15aを介して公表される公表情報に、受理証明書に含まれる順次割当データ力 Sハッシュ関数を介してリンクすることを検証するものである。具体的には、順次集約木のルート値が公表された値と利用者装置 51で計算されたルート値が一致する力否か検証するものである。

[0381] 第 2の検証機能としては、公表情報が公開される前であっても、利用者装置 51間における受理証明書発行の時間的前後を検証するものである。

[0382] 以下、第 2の検証機能を図 39を用いて説明する。

[0383] 今、 2つの利用者装置 5A及び 5Bが、それぞれ、連鎖補完方式により、各登録点の証明応答を取得するものとし、図 39に示す a, al, a2, al^利用者装置 5Aの登録点、 b を利用者装置 5Bの登録点とする。尚、 afは、暫定終端点である。図 39においては、利用者装置 5Aの 1つの登録点 aがあり、それより右に位置する利用者装置 5Bの登録点 bがあり、さらにその右に位置する利用者装置 5Aの登録点 al¾ある。

[0384] 本実施の形態においては、まず、利用者装置 5Aの登録点 aに対して、 al^暫定終端点として、図 45に示す完全化波及処理を行う。これにより、シーケンス補完方式と同一の証明応答が得られるので、その後は、第 4の実施の形態のときと同一の方法を実施することにより、登録点 aと登録点 bの時間的前後を検証することができる。即ち、本実施の形態にぉ、ても、登録点 al^現時点としたときの現時点順次集約木における、登録点 aの登録点 bによる認証点 0の割当値 V(o)がー致すれば、登録点 aの登録が登録点 bの登録より前に起こったことを客観的に証明することができる。

[0385] 尚、以上の各装置は、少なくとも演算機能及び制御機能を備えた中央処理装置 (C PU : Central Processing Unit)、プログラムやデータを収納する機能を有する RAM(Ra ndom Access Memory)等からなる主記憶装置 (メモリ）、ハードディスク（HD)等の電源断時にもデータを記憶し続けることができる 2次記憶装置を有する電子的な装置から構成されている。このうち、証明装置 4aのイベント順序証明応答作成部 41a及び利用者装置 51のイベント順序証明検証部 51aの処理は、上記 CPUによる演算制御機能を具体的に示したものに他ならない。また、証明装置 4aの記憶部 42a及び利用者装置 5 Iの記憶部 52aは、上記主記憶装置あるいは 2次記憶装置の機能を備えたものである [0386] (5- 2.システム動作）

ここで、以上の構成を有するイベント順序証明システム 200aにおけるイベント順序証明方法に関しては、図 39における証明装置 la及び利用者装置 21を、それぞれ証明装置 4a及び利用者装置 51に置き換えたものと同一であるため、説明を省略する。また、イベント順序証明検証方法に関しては、図 40及び図 41における利用者装置 2A及び 2Bを、それぞれ利用者装置 5A及び 5Bに置き換えたものであるとともに、事前ステツプとして、利用者装置 5A及び 5Bそれぞれにおいて、後述するインクリメンタル完全ィ匕処理を実行すれば、その後の動作は、図 40及び図 41の動作と同一であるため、説明を省略する。

[0387] < 2- 3.証明装置 4aのデータ記憶方法 >

(第 1の方法）

次に、連鎖補完方式における証明装置 4aのデータ記憶方法について、より詳細に説明する。まず、第 1の方法は、証明装置 4aが順次集約木を記憶部 42a上に構成することにより、上述の連鎖補完の方式を実現する方法 (以下、方法 Aという）である。

[0388] 図 46は、方法 Aを採用したときの記憶部 42aに記憶されるデータの概略構成を示す図である。図 46に示すように、記憶部 42aには、順次集約木そのもの、即ち、証明要求が割り当てられたノード、計算可能なノードの位置情報及び割当値を記憶するとともに、各利用者装置 51ごとに直前登録点の位置情報を記憶するようになっている。

[0389] この方法 Aにお、ては、証明要求を証明装置 4aが受信するたびに、記憶部 42a上に記憶する順次集約木に、レベル力^のノード、即ちリーフを加え、レベルが 1以上のノードで割当値が計算できるものに対しては、そのノードを順次集約木に追加しその割当値を付加して、記憶部 42a上に順次集約木を構築するようになって、る。

[0390] 以下に、方式 Aにおける証明装置 4aの動作を図 47を用いて説明する。ここで、図 4 7は、証明装置 4aのイベント順序証明要求集約部 12a及びイベント順序証明応答作成部 41aの機能を示すフローチャート図である。

[0391] まず、証明装置 4aは利用者装置 51から証明要求を受けると、証明要求から順次割当データを生成し、順次集約木の新しいリーフに割り当てて、新登録点とするとともに、該登録点のノード情報 (位置情報及び割当値)を記憶する (ステップ Sl lOla, S1103 a) ₀

[0392] 次、で、新登録点の即時補完データを即時補完データの定義に従って、記憶部 42 aに記憶された順次集約木力取得する (ステップ SI 105a)。

[0393] 次いで、新登録点の追加により、レベルが 1以上のノードで割当値が計算できるものに対しては、割当値を計算して、そのノードの位置情報及び割当値を記憶部 41aに記憶する（ステップ SI 107a)。

[0394] 次、で、直前登録点の遅延補完データを、遅延補完データの定義に従って、記憶部 41aに記憶された利用者装置 51ごとの直前登録点及び順次集約木から取得する（ステップ S 1109a)。

[0395] 次、で、新登録点を直前登録点とし、該利用者装置 51の直前登録点として記憶するとともに、ステップ SI 105a及び SI 109aで取得した即時補完データ及び遅延補完データを含む証明応答を作成し、利用者装置 51に送信する (ステップ S111 la, S1113a, S1115a)。

[0396] (第 2の方法）

次に、第 2の方法は、証明装置 4aが順次集約木を記憶部 42a上に構成するのではなぐスタック構造を記憶部 42aに構成することにより、上述の連鎖補完の方式を実現する方法 (以下、方法 Bという）である。方法 Bは、順次集約木の大きさにほぼ比例して必要記憶量が増加する方法 Aをさらに改善したものであり、スタック構造を用いて順次集約木のノード割当値、各順序証明要求に対する即時補完データ、及び遅延補完データを計算するので、必要記憶量を減少することができ、証明装置 4aの記憶部 42aに収まらな、大きさの順次集約木の取り扱、を可能とすることができる。

[0397] 図 48は、方法 Bを採用したときの記憶部 42aに記憶されるデータの概略構成を示す図である。図 48に示すように、記憶部 42aには、即時補完データ (位置情報及び割当値)を記憶する第 1のスタック 421aと利用者装置 51ごとに遅延補完データを記憶する記憶部 422aを備えており、利用者装置 51ごとに遅延補完データを記憶する記憶部 42 2aは、直前登録点 (位置情報) 423a及び遅延補完データ (位置情報及び割当値)を記憶する第 2のスタック 424aで構成されている。尚、第 1又は第 2のスタックの要素となるようなデータをスタックフレームと呼ぶ。 [0398] ここで、上記 2種類のスタックのうち第 1のスタックは、従来力用いられているデータ構造で &)る。 f列 X·ば、 R. Merkle: becrecy, Autnentication, and Public Key Systems, UMI Research Press, 1982.の 36ページには二分木のルートノードの割当て値を計算するための再帰的手順 H(a, b)が記載されている力この再帰的手順を 1つのスタックを用、て標準的に実装するとき、このスタックは上記第 1のスタックと同様の使われ方をする。

[0399] 以下に、方式 Bにおける証明装置 4の動作を図 49を用いて説明する。ここで、図 49 は、証明装置 4aのイベント順序証明要求集約部 12a及びイベント順序証明応答作成部 41aの機能を示すフローチャート図である。

[0400] まず、証明装置 4aは利用者装置 51から証明要求を受けると、証明要求から順次割当データを生成し、順次集約木の新しいリーフに割り当てて、新登録点とする (ステツプ S1121a, S1123a) ₀

[0401] 次、で、新登録点の即時補完データを第 1のスタック 421aから取得する (ステップ S1 125a) o

[0402] 次いで、新登録点の位置情報及び割当値を含むスタックフレームを第 1のスタックに追加する (ステップ S1127a)。その際、新たに第 1のスタックに追加されたスタックフレームが、他の利用者装置 51において、直前登録点の補完データに対応するものであるときは、該スタックフレームを該当する利用者装置 51の第 2のスタックに追加する（ステップ S 1129a, SI 131a)。

[0403] 次いで、第 1のスタックに兄弟ノードである 2つのノードに対応する 2つのスタックフレームが存在する限り、当該の 2つのノードの親に当たるノードの位置情報と割当値を含むスタックフレームを生成し、当該の 2つのノードに対応するスタックフレームを第 1 スタックから除き、上記新たに生成したスタックフレームを第 1スタックに追加する (ステップ SI 133a, SI 135a, SI 137a, SI 139a)。その際、新たに第 1のスタックに追加されたスタックフレームが、他の利用者装置 51において、直前登録点の補完データに対応するものであるときは、該スタックフレームを該当する利用者装置 51の第 2のスタックに追加する（ステップ SI 141a, SI 143a)。

[0404] 次いで、当該の利用者装置 51に対する第 2のスタックから直前登録点の新登録点における遅延補完データを取得し，当該の利用者装置 51に対する第 2のスタックを空にする（ステップ S114⁵a)。

[0405] 次、で、新登録点を直前登録点とし、該利用者装置 51の直前登録点として記憶するとともに、ステップ SI 125a及び SI 145aで取得した即時補完データ及び遅延補完データを含む証明応答を作成し、利用者装置 51に送信する (ステップ SI 147a, SI 149a, S1151a)。

[0406] 上記動作を図 37に示す具体例を用いて説明する。尚、新登録点を X4として説明する。

[0407] まず、証明装置 4aは利用者装置 51から証明要求を受けると、証明要求から順次割当データを生成し、順次集約木の新しいリーフである登録点 X4に割り当てて、新登録点とする（ステップ S 112 la, SI 123a)。

[0408] 次、で、新登録点 X4の即時補完データであるノード (3,0)の割当値を第 1のスタック 421aのスタックフレーム 0から、ノード (2,4)の割当値を第 1のスタック 421aのスタックフレーム 1から、ノード (0,20)の割当値を第 1のスタック 421aのスタックフレーム 2からそれぞれ取得する（ステップ S 1125a)。

[0409] 次、で、新登録点（0,21)の位置情報及び割当値を含むスタックフレーム 3を第 1のスタックに追加する (ステップ S1127a)。その際、新たに第 1のスタックに追加されたスタックフレームが、他の利用者装置 51において、直前登録点の補完データに対応するものであるときは、該スタックフレームを該当する利用者装置 51の第 2のスタックに追加する（ステップ S 1129a, SI 131a)。

[0410] 次いで、第 1のスタックに兄弟ノードに対応する 2つのスタックフレームが存在するので (スタックフレーム 2及び 3)、当該の 2つのノードの親に当たるノード（1,10)の位置情報と割当値を含むスタックフレームを新たに生成し、当該兄弟ノードに対応するスタツクフレーム (スタックフレーム 2a及び 3a)を第 1のスタックから除き、上記新たに生成したスタックフレームを新たなスタックフレーム 2aとして第 1のスタックに追加する（ステツプ S1133a, S1135a, S1137a, S1139a)。その際、新たに第 1のスタックに追加されたスタックフレームが、他の利用者装置 51において、直前登録点の補完データに対応するものであるときは、該スタックフレームを該当する利用者装置 51の第 2のスタックに追加する（ステップ SI 141a, SI 143a)。

[0411] 次いで、当該の利用者装置 51に対する第 2のスタックから直前登録点 X3の新登録点 X4における遅延補完データであるノード (0,19)の割当値を第 2のスタック 424aのスタックフレーム 0から取得し，当該の利用者装置 51に対する第 2のスタックを空にする（ステップ SI 145a)。

[0412] 次、で、新登録点 X4を直前登録点 X3とし、該利用者装置 51の直前登録点 423aとして記憶するとともに、ステップ SI 125a及び SI 145aで取得した即時補完データ及び遅延補完データを含む証明応答を作成し、利用者装置 51に送信する (ステップ S1147a , SI 149a, S1151a)。

[0413] (第 2の方法の実装例）

以下に、上述した方法 Bを用いた証明装置 4aの証明応答作成の一実装例を説明する。

[0414] 図 50は証明装置 4aの記憶部 42aの構成を示す図である。図 50に示すように、順次集約木のノード割当値を計算するノード割当値計算用スタック (以下では _stackと呼ぶ）及び遅延補完用データ構造の配列（以下では _chain_comple_data_vecと呼ぶ）を持つ。 _stackの要素はスタックフレームからなるスタック構造であり、各スタックフレームは place部と value部力もなる。このうち place部は順次集約木のノード位置を表すプレースを保持し、そのノードのレベルを示す level部とレベル内の番号を示す index部の組からなる。 value部はそのノードの割当値を保持する。 _chain_comple_data_vecはテータ構造 chain— comple— dataの目 ii歹 Uであり、テータ構造 chain— comple— dataは late— cco mple— stack咅 |5、 prev— point咅 |5、 prev— point— old咅 |5、及び old— tree— id咅 |5力りなる。このう、 1 ate_ccomple_stack部は _stackと同様にスタックフレームからなるスタック構造であり、 pr e_V_p₀int部は直前の登録点を表す識別番号 (非負整数または nil)を表し、 prev_point_ old部は現在の集約木より前に生成された集約木における直前の登録点を表す識別番号（非負整数または nil)を表し、 olcLtreejd部は prev_point_old部が nilではな!/、とき p re_V_p₀int_₀ld部が示す登録点が属する集約木の識別番号 (非負整数または nil )である。

[0415] 図 51は、証明装置 4aにおける連鎖補完の手順 GET_REQを示す。この手順で使用される変数及び関数は以下のとおりである。

[0416] ·ν0はデジタル 'データ（通常はハッシュ値）を保持する変数である。

[0417] 'idxOは利用者識別番号を表す整数を保持する変数である。

[0418] 'JeviLptrは次に受付けたイベント順序証明要求を割当てるリーフの識別番号を保持する変数であり、初期値は 0である。

[0419] 'placeOは順次集約木のノード位置を表すプレースを保持する変数である。

[0420] · sflmOはスタックフレームを保持する変数である。

[0421] ' F(v0)はイベント順序証明要求に含まれるデジタル 'データ νθを順次集約木リーフに割当てるデータに変換する関数を表す。 F(vO)は νθと等し、とすることにしてもよ!/ヽし、あるいは νθに所定のハッシュ関数 (例えば、 SHA1)を適用した結果とすることにしてもよい。

[0422] ·_ΐι^_ί(1は順次集約木の識別番号を保持する変数である。

[0423] -make-stackflmCplaceO, V0)はプレース placeとデジタル 'データ V0を引数とし、 place 0を place部として持ち、 VO^value部としてもつスタックフレームを返す関数である。

[0424] · stack_bufはある瞬間のスタックの状態を保持する変数である。

[0425] -handle— chain— comple(idO、 tree— idO, idxO, VO,

prev— pointO, immed— stack— dataO, late— stack— dataO )

は、順次集約木の識別子 tree_id0、リーフの識別子 idx0、割当てデータ V0、即時補完データ immed_stack_data0、遅延補完データ late_stack_data0から構成される受理証明書を作成し、利用者識別番号 idOを持つ利用者装置 5iに向けて送付する関数を表す。

[0426] 証明装置 4aが証明要求を受信する度に、要求者力受付けたデジタル ·データを V 0、要求者の識別番号を idOとしてこの手順が呼び出される（ステップ ST101a〜STl 17a

) o

[0427] 図 52は、図 51の手順 GET_REQから呼び出される、ノード値計算処理の手順 COM P_NODE_VALSを表す。この手順で使用される変数及び関数は以下のとおりである。

[0428] · sflmlbはスタックフレームを保持する変数である。

[0429] 'placelbはプレースを保持する変数である。 [0430] 'idxlbは整数を保持する変数である。

[0431] 'levlbは整数を保持する変数である。

[0432] 'vallbはデジタル 'データ（通常はハッシュ値）を保持する変数である。

[0433] · sflmObはスタックフレームを保持する変数である。

[0434] 'placeObはプレースを保持する変数である。

[0435] 'levObは整数を保持する変数である。

[0436] · lev_nw及び idx_nwは整数を保持する変数である。

[0437] ·ϋοο χ)は実数 Xを引数として、 Xを超えない最大の整数を返す関数である。さらに y ≠ 0に対して、 floor(x, y) = floor(xZy)と書く。即ち、 floor(x, y)は xを yで割った際の整商である。

[0438] •hash_comb2(val0, vail)はビット列で表される 2つのデジタル ·データ valOと vailを引数とし、 valOと vailを連接し、所定のハッシュ関数 (SHA1等)を適用した結果を返す関数とする。

[0439] 図 53は、図 51の手順 GET_REQ及び図 52の手順 COMP_NODE_VALSから呼び出される、遅延データ設定処理の手順 REGISTER_COMPLE_DATAを表す。この手順で使用される変数及び関数は以下のとおりである。

[0440] · placeはプレースを保持する変数であり、 sflmはスタック ·フレームを保持する変数である。

[0441] *idは利用者識別番号を表す整数を保持する変数である。

[0442] ·Νは登録された利用者の総数を保持する変数である。

[0443] - auth_node_pl(prev_point, place)は川頁次リーフの識別番号である prev_pointとプレース placeを引数とし、 placeの割当値力 ¾rev_pointの遅延補完データに含めるべきものであれば trueをさもなければ falseを返す関数である。 place = (j, 0としたとき、 auth_ node_pl(prev_point, place);¾¾rueとなるための必要十分条件は、 floor(prev_point,2が偶数で、 i = floo pre point^^ + lとなることである。

[0444] 次に、図 54及至図 56を参照しながら、 1つ集約間隔が終わり、該集約間隔に対する順次集約木を終端し、次の集約間隔に対する次の順次集約木を初期化する順次集約木切替処理にっ、て説明する。 [0445] 図 54は順次集約木切替処理のメインルーチンを表す。このルーチンにおいては、図 55で記述されたサブルーチン TERMINATE_STREE_SUB1と図 56で記述されたサブルーチン TERMINATE_STREE_SUB2を実行後、大域変数 _tree_idを 1だけインクリメントし、 2つの大域変数 Jev0_ptrと _stackを初期化した後終了する。これらの大域変数は図 51で記述した手順 GET_REQで用いたものである。

[0446] 図 55で記述する TERMINATE_STREE_SUB1は、その集約間隔が終了する時点で構成されて、る順次集約木を基に必要に応じてノードを追加し、それらのノードには前以て定めた手順に従って所定のハッシュ値を割当、当該の集約木のルート値を定義する処理を記述して!/、る。

[0447] 図 57を参照しながら、 TERMINATE_STREE_SUB1の動作を、特定の状況に則して具体的に説明する。リーフ識別番号 9の処理が終了後、リーフ識別番号 10の処理に入る前に集約間隔が終了し、 TERMINATE_STREE_SUB1を呼び出す状況を考える。開始の時点では _stackの状態は、トップから見て [(1, 4), V(l, 4)]と [(3, 0), V(3, 0)]を含むものとなっている。手順 TERMINATE_STREE_SUB1により、ノード（1,5)と (2, 3)にダミーのハッシュ値を割当て、この順次集約木のルート値を定め、同時に各登録点の完全認証パスデータ (ルート値が計算できる認証パスノードの集まり）を定義すること力以下の（1)〜(4)に示すようにできる。

[0448] (1)ステップ ST1211aにより、局所変数 sfoil_xbに [(1, 4), V(l, 4)]が設定され、—stack は [(3, 0), V(3, 0)]のみを含むものとなる。次にステップ ST1212aにより局所変数 place_ xbに (1, 4)が、 idx_xbに 4が設定される。

[0449] ステップ ST1213aでは idx_xbが偶数か否かの判定をする力現在の idx_xbの値 4は偶数であるので、ステップ ST1214aに進む。

[0450] ステップ ST1214aでは _stackが nilであるか否か判定するが、 _stackは nilではな!/、のでステップ ST1215aに進む。

[0451] ステップ ST1215aでは、局所変数 lev_xbに 1を設定し、 val_xbに V(l, 4)を設定し、 idx_ lbに 1 +4 = 5を設定する。さらに、 place_lbに (lev_xb, idx_lb) = (1, 5)を設定。この位置情報（1, 5)が最初のダミー'ノードを表す。この最初のダミー'ノードに割当てるハッシュ値を計算する関数 dummyjiashを呼びだし、その返り値を dum_val_lbに設定する。さらに sftnLlbに

make- stackflm(place— lb, dum— val— lb) = [(1, 5), dum— val— lb]

を設定する。ここで make_stackflmはノードの位置情報とハッシュ値を引数としてスタツクフレームを生成する関数である。ここで plac_lbと s&iLlbを引数として REGISTER_C OMPLE_DATA (図 53で定義したもの）を呼び出す。

[0452] 続、て、ステップ ST1216aにお!/、て、 lev_nwに 2を設定し、 idx_nwに floor(idx_xb, 2)

= floor(4, 2) = 2を設定し、さらに placejiwに (2, 2)を設定する。続いて、 val_nwに ha sh_comb2(val_xb, dum_val_lb)を設定する。 hash_comb2は 2つのハッシュ値を引数として、それらを連接し、所定のノ、ッシュ関数を適用した結果を返す関数である。 s&iLnw に make— stackflm(place— nw, val—nw)を設定し、 sftnl—nw — stackにプッンュする。これにより、 _stackは [(2, 2), V(2,2)], [(3, 0), V(3, 0)]を含む構成となる。更に placejiwと sftnl_ nwを引数として REGISTER_COMPLE_DATAを呼び出す。ここでステップ ST1211aに戻る。

[0453] (2)ステップ ST1211aにおいて _stackを 1つポップし、 sflm_xbに [(2, 2), V(2, 2)]を設定する。（ここで _stackの状態は、 [(3, 0), V(3, 0)]となる。）更に place_xbに (2, 2)を、 idx_ xbに 2を設定する。

[0454] ステップ ST1213aにおいて idx_xbの値 2は偶数と判定されステップ ST1214aに進み、— stackは nilではないので、さらにステップ ST1215aに進む。 lev_xbに 2を設定し、 val_xb に V(2, 2)を設定し、 idx_lbに 3を設定し、 place_lbに (2, 3)を設定し、 dum_val_lbに dum my_hashの返し値を設定し、この値を V(2, 3)と表す。さらに s&iLlbに

make— stackflm(place— lb, dum— val—lb) = [(2, 3), V(2, 3)]

を設定する。ここで place_lbと sftnUbを引数として REGISTER_COMPLE_DATAを呼び出す。

[0455] 続、て、ステップ ST1216aにお!/、て、 lev_nwに 3を設定し、 idx_nwに floor(val_xb, 2)

= floor(2, 2) = 1を設定し、さらに placejiwに (3, 1)を設定する。続いて、 val_nwに ha sh_comb2(val_xb, dum— val—lb)を設定し、この値を V(3, 1)と書く。 s&il—nwに make- stack flm((3, 1), V(3, 1》を設定し、 sftnLnwを _stackにプッシュする。これにより、 _stackは [(3, 1), V(3,l)], [(3, 0), V(3, 0)]を含む構成となる。さらに placejiwと sftnLnwを引数として REGISTER_COMPLE_DATAを呼び出す。ここでステップ ST1211aに戻る。

[0456] (3)ステップ ST1211aにおいて _stackを 1つポップし、 sflm_xbに [(3, 1), V(3, 1)]を設定する。し stackの状態は、 [(3, 0), V(3, 0)]となっている。）さらに、 place— xbに (3, 1)を設定し、 idx_xbに 1を設定する。

[0457] ST1213aにおいて idx_xbの値 1は奇数と判定され、 ST1217aに進み、 lev_xbに 3を設定し、 vaLxbに V(3, 1)を設定する。 _stackをポップしポップされた [(3, 0), V(3, 0)]を sftnl

Obに設定する。さらに、 place_0bに (3, 0)を、 lev_0bに 3を、 idx_0bに 0を、 val_0bに V(3, 0) を設定する。

[0458] ステップ ST1218aにおいて、 lev_nwに 4を設定し、 indx_nwに floor(l, 2) = 0を設定し、 place_nwに（4, 0)を設定し、 val_nwに hash_comb2(V(3,0), V(3, l》を設定する。この値を V(4, 0)とする。 sftnl—nwに make- stackflm((4, 0), V(4, 0》を設定し、 sftnl—nwを— stack にプッシュする。これにより、 _stackは [(4,0), V(4, 0)]を含む構成となる。さらに place_n wと sftnLnwを引数として REGISTER_COMPLE_DATAを呼び出す。ここでステップ ST1 211aに戻る。

[0459] (4)ステップ ST1211aにおいて、 _stackを 1つポップし、 sflm_xbに [(4, 0), V(4, 0)]を設定する。し stackの状態は nilとなっている。）さらに、 place_xbに (4, 0)を設定し、 idx_x bに 0を設定する。ステップ ST1213aにおいて idx_xbの値 0は偶数と判断され、ステップ S T1214aに進み _stackは nilであるので、ステップ ST1219aに進み、返し値に V(4, 0)を設定して終了する。

以上の結果、この手順の返し値は当該の順次集約木のルート値である V(4,0)となる。

[0460] 次に、図 56で記述されたサブルーチン TERMINATE_STREE_SUB2について説明する。

[0461] まず以下の変数および定数が使用される。

[0462] ·利用者装置の識別子である非負整数を保持する変数 id

，利用者装置の総数を表す定数 N

•図 50の遅延補完用スタックの配列 _chain_comple_data_vecの各要素と同じ構造を持つ chain— comple—data2 •非負整数または nilを保持する変数 prev_chain_point2。

[0463] 次に TERMINATE_STREE_SUB2の動作につ!、て説明する。

[0464] id =0, · · ·, N—1について図 56のブロック 1を実行する。

[0465] ブロック 1の中では以下の動作をする。

[0466] chain— comple—data2【こ— chain— comple— data— vec[ia]を設定し、 prev— chain— point2【こ chain

— comple_data2の prev_point部を設定する（ステップ ST1222a)。

[0467] prev_chain_point2が nilであればブロックを終了する（ステップ ST1223a)。

[0468] さもなけれは、 chain— comple— data2の prev— point— old部を prev— chain— point2に、 prev— p oint部を nilに、 olcLtree部に現在の集約木識別子を各々設定し、次に _chain_comple_d ata_vec[id]に chain_comple_data2を設定する（ステップ ST1224a)。

[0469] < 5 -4.利用者装置 51におけるインクリメンタル完全ィ匕 >

次に、利用者装置 51におけるインクリメンタル完全ィ匕の処理について、詳しく説明する。ここで、インクリメンタル完全ィ匕には、大別して（1)インクリメンタル個別完全ィ匕と（2

)インクリメンタル一括完全ィ匕の 2つの処理があり、いずれかが利用者装置 51において実行されるものである。尚、上述した「完全ィ匕波及処理」は、インクリメンタル一括完全化の中の一機能を説明したものである。

[0470] (インクリメンタル個別完全化）

利用者装置 2Aのある集約間隔 Iに属するか或ヽは或ヽはその次の集約間隔の最初の登録点であるよう登録点 a 暫定終端点とする。

[0471] al¾ある集約間隔 Iの次の集約間隔の最初の登録点であるとき、当該の集約間隔 I に対する追伸点と呼ぶ。

[0472] 集約間隔 Iの間に、この暫定終端点 aほでに登録した登録点の集合を a(0), a(l),…

, a(n)とする。（通常は、 a(n) = afCあるが、 ai¾追伸点であるときはこうはならない。 ) このとき、登録点の集合から、 af^暫定終端点としたときの 1つあるいは複数の順次集約小木が構成され、構成された順次集約小木の集まりを、 a 暫定終端点としたときの順次集約フォレストと呼ぶことにする。

[0473] 図 58を参照して、順次集約フォレストと順次集約小木について具体的に説明する。

[0474] al^当該の集約間隔にあるとき、 al^リーフ番号 (非負整数)を表し、 afの二進表現においては k(l), k(2),… )桁において 1が立つものとする（但し最小桁は 0桁とする）。図 58においては、 m = 4としている。ここで、 k(m)は 0でもよく、 k(l) > k(2) > k(

3) >… > k(m)とならなければならない。このとき、上記順次集約フォレストに属する n番目の順次集約小木のリーフの数は 2^k(n)となる。図 58においては、 ST2(1), · · ·, ST2(

4)が順次集約小木を表して、る。

[0475] インクリメンタル個別完全ィ匕とは、指定された a≡ {a(0), a(l), · · ·, a(n)}について、以下の計算（1)〜 (3)を行うことである。

[0476] (l) aが属する順次集約小木 ST (ユニークに定まる）を計算する。

[0477] (2)順次集約フォレストにお、て上記 STより左に位置する 1つある、は複数の順次集約小木のルートの割当値を、 a(0), · · ·, a(n) (及び af)で取得する補完データから計算する。

[0478] (3) STにおける aの認証パスを authPathST(a)とおくと、 authPathST(a)に属するノードの割当値を、 a(0), · · ·, a(n) (及び af)で取得する補完データから計算する。

[0479] 尚、インクリメンタル個別完全ィ匕の定義は、以下に定義する現時点順次集約木を用いて行うこともできる。ここで、現時点順次集約木とは、 af^暫定終端点としたときの順次集約フォレストを含むような最小の二分木を、 a 暫定終端点としたときの現時点順次集約木という。

[0480] 図 59は、現時点順次集約木の枝を実線及び点線で示すものである。このうち、点線で示す枝が順次集約フォレストには含まれないが現時点順次集約木を構成するために追加した枝である。また黒で塗りつぶされた小円が順次集約フォレストに含まれるノードであり、塗りつぶしがな、小円が現時点順次集約木を構成するために追加したノードである。現時点順次集約木を CSTと表し、 CSTにおける aの認証パスを authP athCST(a)とおく。このとき、インクリメンタル個別完全ィ匕とは、指定された a≡ {a(0), a( 1), · · ·, a(n)}について、 authPathCST(a)に属し、既に割当値が定まっているノードの割当値を、 a(0), · · ·, a(n) (及び af)で取得する補完データから計算することと同値である。

[0481] 尚、順次集約フォレストのリーフの数の総数を Nとしたとき、現時点順次集約木の高さ hは N≤ 2^kとなる最小の非負整数 kとなる。 [0482] 上述したことを踏まえて、第 2の検証機能を説明した図 38に戻ると、登録点 aに対して、 al^暫定終端点としてインクリメンタル個別完全ィ匕を行うと、認証点 0の割当値 V(o) が計算できることになる。これにより、登録点 al^現時点としたときの現時点順次集約木における、登録点 aの登録点 bによる認証点。の計算された割当値 V(o)力登録点 b で取得される即時補完データに含まれれば、登録点 aの登録が登録点 bの登録より前に起こったことを客観的に証明することができる。

[0483] 次に、図 60及び図 61を参照しながら、インクリメンタル完全個別化の動作について説明する。図 60は、インクリメンタル完全個別化の動作を示すフローチャート図である。

[0484] まず、暫定終端点 aはり以前の登録点で集約間隔 Iに属する登録点 aを 1つ指示する

(ステップ S510a)。図 61に示す順次集約フォレストにおいては、インデックス 18のリーフ（ノード (0,18))を aとしている。

[0485] 次に、登録点 aが属する順次集約小木 STを計算する (ステップ S520a)。図 61に示す順次集約フォレストにおいては、構成済み順次集約小木のうち左から 2番目の ST2(2) 力 Tとなる。

[0486] 次に、登録点 aの STにおける各遅延認証パスノード sを計算する (ステップ S530a)。

図 61に示す順次集約フォレストにおいては、インデックス 19のリーフ（ノード (0, 19))とレベル 2のインデックス 5のノード（（ノード (2,5))が遅延認証パスノードとなる。

[0487] 次に、各遅延認証パスノード sの取得参照点をそれぞれ決定する (ステップ S540a)。

ここで、取得参照点及び取得タイミング点について説明する。尚、以下では、ある登録点 aの即時補完データと、 aの次の登録点 alで取得される aの遅延補完データの合併を、登録点 aの連鎖補完データとよぶ。

[0488] 登録点 a0が与えられたとき、その authPath(aO)でレベル jのノード (j, s(j))の割当値 V(j, s(j))を計算するために十分な情報を補完データ力も直接取得できる力あるいは該データを基に計算により取得できる要求登録点を V(j, s(j))の取得参照点と呼ぶ。そして、上記の必要な補完データを受信する登録点を取得タイミング点と呼ぶ。

[0489] 例えば、図 37に示す順次集約木において、登録点 X3が与えられたとき、遅延補完データの 1つであるノード (0, 19)の取得参照点は、登録点 X3 (ノード（0,18) )、取得タイミング点は、登録点 X4 (ノード (0,21) )となる。また、登録点 X3が与えられたとき、即時補完データの 1つであるノード (4,0)の取得参照点及び取得タイミング点は、登録点 X3 (ノード (0,18) )となる。一般に、即時補完データに関しては、取得参照点と取得タイミング点は一致する。

[0490] 次に、ステップ S540aで決定された取得参照点をもとに、各認証パスノード sの割当値を計算する (ステップ S550a)。

[0491] 以上により、登録点 aにおけるインクリメンタル完全ィ匕の処理が終了し、この計算結果を用いて、登録点 aの割当値を含む入力に衝突困難ハッシュ関数を適用し、 V(roo t(ST》を計算することができる。尚、上述した計算が可能であるのは、 sの割当値の取得参照点および取得タイミング点がともに、暫定登録点 af以前であることによる。

[0492] (インクリメンタル個別完全ィ匕の実装例）

以下に、上述したインクリメンタル個別完全ィ匕の一実装例を説明する。

[0493] まず、順次集約小木 STを決定する計算手順 FOREST_SSTを図 62に示す。これは、図 62のステップ S520aに相当するものである。

[0494] この手順で使用される変数及び関数は以下のとおりである。

[0495] ·入力としては、リーフ識別子 a (非負整数)、暫定終端点の識別子 fin (非負整数）

•出力としては、 aが属する順次集約小木の一番左のリーフ識別子 start (非負整数）、 aが属する順次集約小木の一番左のリーフ識別子 last (非負整数）

•変数としては、非負整数を保持する変数 rest, ht, lealnum

•使用される関数として、 log (X)は、 log (X)以下の最大の整数、 expt(x, y)は、 xの y乗

2 2

このアルゴリズムは、リーフ識別子 _a (非負整数)と暫定終端点の識別子 fin (非負整数)を入力とし、該暫定終端点の登録が終了した時点における順次集約フォレストに属する順次集約小木で aが属するものを STとしたとき、 STの一番左に位置するリーフの識別子 start (非負整数)と一番右に位置するリーフの識別子 last (非負整数)の組を出力するものである。当該の順次集約小木 STのリーフの数は、 last— start + 1となり、当該の順次集約小木の高さは、 log (last— start + 1)となる。

2

[0496] 図 61で示した具体例について、図 62の手順を適用すると以下のようになる。リーフ識別子 aを 18とおき，暫定終端点の識別子 finを 26とおく。このとき、図 62の手順に従つて計算すると、 startとして 16が返され、 lastとして 23が返される。この出力から、 aが属する順次集約小木は、図 61の ST2(2)であることが分かる。

[0497] 次に、インクリメンタル完全ィ匕における認証パスノード割当値の取得参照点決定手順1^じ105_051^0 丁_ を図63に示す。この手順は、指定された要求登録点の指定されたレベルの認証パスノードの割当値力どの要求登録点の即時補完データあるいは遅延補完データ力得られるかを決定するものであり、図 60のステップ S540a に相当するものである。

[0498] 図 64は、手順 DECIDE_GET_POINT_Aにおいて使われるデータ構造と変数の一部を表す。データ構造 chaindataは leaf— index咅 |5、 rgt— value咅 |5、 immediate咅 |5、 late咅 |5力らなる構造である。 Mを一つの利用者装置 51がーつの集約間隔に送出する順序証明要求の最大数とする。

[0499] この手順で使用されるその他の変数及び関数は以下のとおりである。

[0500] ·変数 chiandata_storeは要素数が Mの配列で、配列の各要素がデータ構造 chaindat aを保持するようなものである（図 64参照）。

[0501] · chaindataOはデータ構造 chaindataを保持する変数である。

[0502] ' aOは順次集約木のリーフ識別子を表す整数を保持する変数である。

[0503] '順次集約木のノード (j,i)に対して、 subTree(j, 0は (j, 0をルートとするような順次集約木の部分木を表す。

[0504] ·順次集約木の部分木 STに対して、 leafs(ST)は STのリーフの集合を表す。例えば、 1 eafs(subTree(j, 0)は部分木 subTree(j, 0のリーフの集合である。また、 height(ST)は ST の高さを表す。

[0505] 次に、図 63に示すインクリメンタル完全ィ匕の認証パスノード割当値の取得参照点決定手順 (DECIDE_GET_POINT_A)のアルゴリズムの根拠を図 65に示す図をもとに説明する。

[0506] ここで、 al^暫定終端点とする構成済みフォレスト内の順次集約小木のうち aOが属すものを STとおく（a0≡ leafs(ST))。

[0507] また、 ST内の a0の認証パスを authPathST(aO)とおき、

authPathST(aO) = [(0, s(0)), (1, s(l)), · · ·, (k 1, s(k— 1》] と置く。（但し、 kは構成済みフォレスト内の aが属する順次集約小木 STの高さである。即ち、 k = height(ST)。）以下では、非負整数 n, mに対して、 [n〜m]は n以上で m以下の整数の集合を表すものとする。

[0508] 各 j≡ [0··· k— 1]に対して、（j, s(j))がどの登録点の補完データ力も計算できるかを決定するアルゴリズムを以下に示す。

[0509] rtPathST(aO)を STにおける aのルート'パスとおき、

rtPathST(aO) = [(0, r(0)), (1, r(l)), ···, (k 1, r(k 1》, (k, r(k))]

とする。 r(0) = aO、 root(ST) = (k, r(k))である。 j≡ [0'"k— 1]とする。

[0510] (1) 0, r(j))が (j+1, r(j+l》の left- childであるとき

s(j) = rO)+lであり、 0, s(j))は (j+1, r(j+l》の right- childである。 leafs(subTree(j, r(j)》に属する要求登録点の中で、最も右に位置する点を計算し、 alと置く。

[0511] (l-l)al ≠ afのとき

alの次の要求登録点を a2と置く（al ≠ afCはないのでこのような a2が在る。 a2≤ af

)o

[0512] (1-1-I)a2 ≡ leafs(subTree(j, s(j)》のとき

leafs(subTreeO, s(j)))に属する要求登録点で最も右に位置するものを a3と置く。

[0513] (1 1 1 1) a3 = last(leafs(subTree(j, s(j)》であるとき（図 65 (a)を参照）

即時補完データ immedData(a3)は、 subTree(j, s(j》における a3の完全補完データ cm pltData(subTree(j, s(j))， a3)を含む。従って、

immedData(a3) ト Vリ, sリノ)

(尚、 X ト Yは， X力も Yが計算できることを表す。 )

このとき、 V(j, s(j))の取得参照点および取得タイミング点は共に a3としてよい。

[0514] (l-l-l-2)a3≠ last(leafs(subTree(j, s(j)》であるとき

(l-l-l-2-l)a3≠ afCあるとき（図 65(b)を参照）

a3の次の要求登録点を a4と置く。 (a3≠ aぬので、このような a4がある。 a4≤ af。 a4 は追伸点である可能性もある。 )

a3の a4による認証点のレベルを fとすると、 j" ≥ j+1

従って、順次集約木の性質により、 V(j, s(j))は a3で取得する即時補完データと、 a4で取得する (a3に対する)遅延補完データ力計算できる。即ち、

immedData、a3) U lateData、a3,a4) 卜 V(j, s(j))

(尚、 aを a3の a4による認証点とすると、 immedData(a4)には V(a)が入っている力これが V(j, sO))とは限らないことに注意する必要がある。 )

このとき、 V(j, s(j))の取得参照点を a3、取得タイミング点を a4としてよい。 a3 ≤ a つ a 4≤ afCある。

[0515] (1— 1— 1— 2— 2) a3 = afCあるとき（図 65 (c)を参照）

このとき、 al^暫定終端点とする構成済みフォレストにおいて G, sO))を含む順次集約小木はない。

[0516] よって， STは (J, s(j))を含むことは無い。従ってこのような場合はあり得ない。

[0517] (l - l - 2) a2 ≡ leafs(subTree(j, s(j)》ではな、とき（図 65 (d)を参照）

VO, s(j)) lateData(al, a2)である。

[0518] VO, s(j))の取得参照点を al、 V(j, s(j))の取得タイミング点を a2としてよい。

[0519] al ≤ a つ a2≤ af

(l - 2) al = afCあるとき（図 65 (e)を参照）。

[0520] このとき、 al^暫定終端点とする構成済みフォレスト内に (J, s(j))を含む順次集約小木はない。

[0521] よって、 STは (J, s(j))を含むことは無い。従って、このような場合はあり得ない。

[0522] (2) 0, r(j))が (j+1, r(j+l》の right- childであるとき（図 65 (f)を参照）

rO) = s(j)+lであり、 0, s(j》は (j+1, r(j+l》の left- childである。

[0523] VO, s(j)) immedData(a)

VO, s(j))の取得参照点および取得タイミング点を共に aOとしてよい。 a0≤ af 以上から、図 63に示すインクリメンタル完全ィ匕の認証パスノード割当値の取得参照点決定手順 (DECIDE_GET_POINT_A)は、すべての場合分けを考慮した手順となつて!、るので、図 63に示すアルゴリズムは正し!/、ことがわかる。

[0524] 次に、要求登録点 aが与えられたとき、その authPath(a)に含まれるレベル jのノード (j, a(j))の割り当て値 V(j, a(j))を計算する手順 COMPLETION_SUBlを図 66に示す (但し、 0≤ j < kで kは順次集約木の高さ)。これは、図 70のステップ S550aを中心に説明するフローチャートである。

[0525] この手順で使用される変数及び関数は以下のとおりである。

[0526] · chaindataO及び chaindatalはデータ構造 chaindataを保持する変数である。

[0527] · immedDatal及び lateDatalはデータ構造 stackflmの線形リストを保持する変数である。

[0528] . chaindata—storeは当該の集約期間における、各登録点において証明応答として受信したデータを格納する配列である。配列の各要素は、図 64で定義した chaindataの構造を持つ。この配列の潘目の要素は、当該の集約間隔における潘目の登録点の即時補完データと、その直後の登録点で取得した i番目の登録点の遅延補完データを含む。

[0529] (1)本手順は 2つの引数（入力）をもち、第 1の引数を配列 chaindata_storeの index を表す整数 iOとし、第 2の引数を順次集約木のレベルを表す整数 jとする (ステップ S55 01a)。

[0530] (2)局所変数 chaindataOに chaindata_store[iO]を設定し（ステップ S5502a)、局所変数 a0を chaindatalの leafjndex部とし（ステップ S5503a)、変数 alに authPath(aO)のレべル jのノードの indexを設定する（ステップ S5504a)。

[0531] (3)図 63に記述の認証パスノード割当値の取得参照点決定手順 DECIDE_POINT_ Aにより V(j, a(j))の取得参照点 a2 (要求登録点の 1つで、その点で得られた連鎖補完データから、 V(j, a(j))が計算できるもの）を決定する (ステップ S5505 。

[0532] (4)配列 chaindata_storeを探索し、 leafjndex部が a2であるような配列要素の indexとなる整数 ilを決定する（ステップ S5506a)。

[0533] (5)変数 chaindatalに chaindata_store[il]を設定する (ステップ S5507a)。

[0534」 (6)変数 rgt— vailに chaindatalの rgt— val咅 |5 、変数 immedDatalに chaindatalの imme diate部を，変数 lateDatalに chaindatalの late部を、各々設定する（ステップ S5508a)。

(7) rgt_vall、 immedDatal,あるいは lateDatalに place部が (j, al)となるスタックフレームが含まれるかどうか判定する（S5509a)。

[0535] (7— 1)含まれれば、その値を返す (ステップ S5510a)。 [0536] (7— 2)含まれないときは、 immedDatalと lateDatalから、ハッシュ関数を介して計算できるノードの割当値をレベル 0からレベル jまで順次計算する（ステップ S5511a)。

[0537] (7— 2—1)上記で順次計算された割り当て値に V(j, a(j))が含まれる力否力判定する（ステップ S5512a)。

[0538] (7— 2— 1 1)含まれれば、その値を返す (ステップ S5513a)。

[0539] (7— 2— 1 2)含まれなければ、エラーとする（ステップ S5514a)。

[0540] 図 67は、要求登録点 aが与えられたとき、その authPath(a)に含まれるレベル jのノード G, a(j》の割り当て値 V(j, a(j))のリスト

[V(0, a(0)), V(l, a(l)), · · ·, V(k— 1, a(k— 1》]

を計算する手順 COMPLETION_SUBlを表す (但し、 0≤ j < kで kは順次集約木の高さ）

この手順で使用される変数及び関数は以下のとおりである。

[0541] 'kを順次集約木の高さとする。

[0542] · auth_node_valsは長さ kの配列で、各配列要素はハッシュ値を保持するものとする。

[0543] まず、図 66の COMPLETION_SUBlを各 j (0≤j< k)に適用し、 authPath(a)に属する各ノードの割当値を計算し、計算結果を auth_node_vals[j]に格納する (ステップ S552

3a, S5524a)。

[0544] 次に、 auth_node_valsを返り値とし、終了する（ステップ S5525a)。

[0545] (インクリメンタル一括完全化）

上述したインクリメンタル完全化の方法は、完全化の対象となる受理証明書を指定し、その指定された受理証明書の個別完全ィ匕を行う方法である。次に述べるインクリメンタル完全化の方法は、ある利用者装置 51が連続して取得した一連の受理証明書を一括して、上記のインクリメンタル個別完全ィ匕により計算されるものと同じデータを計算する方法である。この種類のインクリメンタル完全ィ匕をインクリメンタル一括完全化と呼ぶ。即ち、一連の登録点 a(0), a(l), · · ·, a(n)全てに対して上記のインクリメンタル個別完全ィ匕により計算されるものと同じデータを一括して計算することを、インクリメンタルー括完全ィ匕という。

[0546] インクリメンタル一括完全ィ匕は、上述した完全ィ匕波及処理を用いた以下の手順により実行できる。

[0547] (l) a(0), · ··, a(n)を、ある集約間隔 Iに属する、ある利用者装置 51による一連の登録点とする。

[0548] (2)利用者装置 51による a(n)の次の登録点を afとする。 afは追伸点であってもよい。

[0549] (3)図 68で記述した手順 COMPLETION_BULK_BACKWARDlにより、各 a = a(n), · ··, a(0)を、この順にインクリメンタル完全ィ匕を行う。

[0550] この手順により、各登録点 a(n— i)(伹 U=0, · ··, n)に対して al^暫定終端点とした場合のインクリメンタル個別完全ィ匕が実現されることが、以下のように数学的帰納法により示される（図 69及び図 70を参照)。以下では、簡単のため a(0), · ··, _a(_n)が共通の順次集約小木 ST2に属し、 afは ST2の各リーフよりも右に位置する場合を考える。尚、一般の場合も同様である。

[0551] i = 0, · ··, nについて、手順 COMPLETION_BULK_BACKWARDlにより追加されたものを含む a(n— 0の遅延補完データと、 a(n— 0で受信した即時補完データの合併は、 a (n—i)の ST2における全ての認証パスノードの割当値を含んでいることを示せばよい。

[0552] (1)帰納法のベース

i = 0のときを考える。このとき、 a(n— 0 = a(n)である。手順 COMPLETION_BULK_B ACKWARD1により、 a(n)に対しては afの登録処理の終了時点における a(n)の遅延遅延補完データが追加される（図 68のステップ S5003a)。ここで、 afの登録処理の終了時点にぉ、ては順次集約小木のルート値は確定して、るので、手順 COMPLETION BULK_BACKWARD1により追加されたものを含む a(n)の遅延補完データと、 a(n)で受信した即時補完データの合併は、 a(n)の ST2における全ての認証パスノードの割当値を含んでいる。

[0553] (2)帰納ステップ

il≡ {0, · ··, n— 1}とし、 i = ilとしたとき、手順 COMPLETION— BULK— BACKWARD 1により追加されたものを含む a(n—i)の遅延補完データと、 a(n— 0で受信した即時補完データの合併は、 a(n—i)の ST2における全ての認証パスノードの割当値を含んでいるものと仮定する。 i =il + lに対しても同じことが成立つことを示せばよい。このことは、以下のように完全化波及処理を用いることにより示すことができる。 [0554] a2 = a(n— il), al = a(n— (il + l》とおき、 alの a2による認証点を AP(al, a2)、その兄弟ノードを AP'(al, a2)、さらに AP(al, a2)のレベルを jlと置く（図 70を参照）。

[0555] 以下で述べる順次集約木の性質により、順序集約小木 ST2における alの ST2における認証パスノードのうちレベルが jlより小さいもの割当値は、図 68のステップ S5004a にお、て追加されるデータに含まれる。

[0556] alの ST2における認証パスノードのうちレベルが jlに等しいものの割当値は、図 68 のステップ S5007aにおいて追加されるデータに含まれる。

[0557] alの ST2における認証パスノードのうちレベルが jlより大きいものの割当値は、図 68 のステップ S5008aにおいて追加されるデータに含まれる。

[0558] 以上により、手順 COMPLETION_BULK_BACKWARDlにより追加されたものを含む al = a(n— (i+ l》の遅延補完データと a(n— (i+ 1))で受信した即時補完データの合併は、 a(n— (i+ 1》の ST2における全ての認証パスノードの割当値を含むことが導かれる。

[0559] 以上（1)及び（2)〖こより、 i=0, · ··, nについて、手順 COMPLETION_BULK_BACK WARD1により追加されたものを含む a(n— i)の遅延補完データと、 a(n— i)で受信した即時補完データの合併は、 a(n—i)の ST2における全ての認証パスノードの割当値を含んでいることが示される。

[0560] なお、同様の帰納法により、図 68のステップ S5006aで判定結果が NOとなり、エラ一となることはな、ことも示される。

[0561] (メモリの効率化）

上記は、 1つの集約間隔において連鎖補完方式により利用者装置 51力 Sイベント順序証明応答として取得したデータを計算機のメモリに読み込むことができるできる場合の処理方式である。集約間隔における利用者装置 51による登録点が多数に上り上記の取得データを計算機のメモリに読み込むことができな、場合には、以下の方式により取得データの一部をメモリに読み込み、完全認証パスデータを段階的に計算することにより、当該の集約間隔における全ての登録点の完全認証パスデータを計算することができる。

[0562] 上記の計算は、以下のステップ（1)〜（5)により行われる。 [0563] (1)ある集約間隔にある利用者装置 51が受信した補完データのうちから、登録点のインデックスが特定の条件を満たすもののみを間引き抽出し、間引き抽出データを構成する。

[0564] 間引き抽出するための条件として、間引き間隔となる正整数 mを指定し、登録点のインデックスが mで割り切れるもののみを抽出することにしてもよい。図 71に示す具体例においては、インデックス 0から 10までをもつ登録点（黒い点で示されている）から、間引き間隔を 5として、 5で割り切れるインデックス即ち 0, 5,10を持つ登録点を抽出し、間弓 Iき抽出データを構成して、る。

[0565] (2)登録点のインデックスが隣あう間弓 Iき抽出データのインデックスで挟まれて!/、るような登録点の登録値および補完データからなる局所データを構成する。このような局所データは、一般には複数構成される。

[0566] 図 72に示す具体例においては、間引き抽出データの 1番目のインデックス 0と 2番目のインデックス 5に挟まれたインデックスを持つ登録点、を集め第 1の局所データを構成している。図 73に示す具体例においては、間引き抽出データの 2番目のインデックス 5と 3番目のインデックス 10に挟まれたインデックスを持つ登録点を集め第 2の局所データを構成している。

[0567] (3)上記（2)で構成された各局所データを、その局所データの最も右に位置する登録点を暫定終端点として扱い、前記のインクリメンタル完全ィヒの処理を行う。この処理を局所データの局所完全化と呼ぶ。

[0568] この処理により計算される遅延補完データを用いて、当該の局所データに属する登録点のうち最も右に位置するものを alとしたとき、当該の局所データに属する各登録点 aについて、 aの alによる認証点を AP(a, al)としたとき， aの認証パスノードの中で、 le vel(AP(a, al》より低いレベルのものに対しては、その割当値を計算することができる。さらに、ここで割当値を計算できる aの認証パスノードの割当値は、 aの認証パスノードのうち alの処理が終了した時点で割当値が定まっているもの全てを含んでいる。即ち、登録点 aの al時点の遅延補完データを含んで、る。

[0569] 図 72に示す具体例においては、この局所データの局所完全化の処理により、インデッタス 0の登録点の遅延補完データとして、ノード (1, 0), (2, 1)の割当値が計算され、インデックス 1の登録点の遅延補完データとして、ノード (2, 1)の割当値が計算され、インデックス 3の登録点の遅延補完データとして、ノード (1, 5)の割当値が計算される。

[0570] この局所データに属する登録点のうち最も右に位置するものはインデックス 5の登録点でありこれを alと置くと、この局所データに属する各登録点 aについて、 level(AP(a, al》より小さ、レベルの認証パスノードの割当値が計算できる。例えば、 aをインデックス 0の登録点とすると、 AP(a, al)は (3, 0)であり、 aの認証パスノードのうちレベル力 ¾より小さいもの (0, 0), (1, 0), (2, 1)の割当値を計算できる。 aの alにおける遅延補完データは (1, 0), (2, 1)の割当値であるので、 al時点における遅延補完データは計算できることがわ力る。この局所データに属する他の登録点についても同様である。

[0571] (4)上記（3)の処理の結果、間引き抽出データの隣あう 2つの登録点 alと a2について、 alの a2時点における遅延補完データを取得することが出来る。このデータを用いて前記の証明書完全ィ匕のメインルーチン COMPLETION_MAINlを適用し、間引き抽出データに含まれる各登録点で取得する証明書の完全化、即ち該登録点の全ての認証パスノードの割当値を計算する。この処理を間引き抽出データの大域完全化と呼ぶ。

[0572] 図 74で示す具体例においては、間引き抽出データのインデックス 0, 1, 2の登録点、即ち、リーフ番号 1, 11, 3の登録点の証明書の完全ィ匕を行い、当該の 3つの登録点の全ての認証パスノードの割当値を計算することができる。例えば、間引き抽出データのインデックス 0の登録点の認証パスノードは (0, 0), (1, 1), (2, 1), (3, 1), (4, 1)であるが、これら全ての割当値を計算することができる。

[0573] (5)上記（3)で構成した局所完全化された局所データの各々と、上記 (4)で構成した大域完全化された間引き抽出データを用いて、当該の局所データに含まれる各登録点で取得する証明書の完全ィ匕を行う。この処理を局所データの大域完全化と呼ぶ

[0574] 局所データの大域完全ィ匕の手順は、詳しくは以下の通りである。

[0575] (5— 1)ある局所データの登録点を a(0), a(l), · · ·, a(n) = alとするとき、 alの全ての認証パスノードの割当値は、ステップ (4)で計算済みである。これを、 V(0), V(l), · · ·, V(k- l)とする。

[0576] (5— 2)従って、 alのルートパスに属する各ノードの割当値も計算できる。これを

V'(0), V'(l), · · ·, V'(k- l), V'(k)とする。

[0577] (5— 3)各 a = a(0), · · ·, a(n—l)について、 aの alによる認証点を AP(a, al)とし、 kl

= level(AP(a, a(n》とおく。

[0578] (5— 4)ステップ（3)により、 aの認証パスノードのうちレベルが klより小さいものの割当値は計算可済みである。

[0579] (5— 5)また、レベルが klの aの認証パスノードは alのルートパスに属するノードでレベルが klのものと一致する。従って、このような認証パスノードの割当値は、上記（5 2)で計算した V'(kl)となる。

[0580] (5— 6) kl < j < kとなる jについて、 aの認証パスノードのうちレベル力のものは、 a 1の認証パスノードのうちのレベル力のものと一致する。従って、その認証パスノードの割当値は、上記（5— 1)で計算した V'(j)である。

[0581] 以上、（5— 1)〜（5— 6)により、各 a = a(0), · · ·, a(n 1)について aの全ての認証パスノードの割当値を計算することが出来る。

[0582] 図 72で示す具体例にっ、て言えば、インデックス 2の登録点（リーフ識別番号 5)の認証パスノードは、 (0, 4), (1, 3), (2, 0), (3, 1), (4, 1)である。また alをインデックス 5 の登録点 (リーフ識別番号 11)とすると、 AP(a, al) = (3, 0)であり、 kl = level(AP(a, a 1)) = 3である。 aの認証パスノードのうちレベルが kl = 3より小さい (0, 4), (1, 3), (2, 0)についてはそれらの割当値は、上記ステップ（5— 3)で計算できる（図 72、図 75参照)。また、レベルが kl = 3の認証パスノード (3, 1)の割当値は（5— 2)で計算できる（図 74、図 75参照）。また、レベルが kl = 3より大きい (4, 1)についてはステップ（5— 1 )で計算できる（図 74、図 75参照)。

以上のステップ（1)〜（5)の手順により、取得した証明書の完全ィ匕を行うために、同時にメモリ上に保持する必要のあるデータは、間引き抽出データと、一つの局所データのみである。登録点の総数を Nとし，上記ステップ（1)で用いる間引き間隔を mとすると、同時にメモリ上に保持する必要がある登録点の数は、（N/m)+mとなる。 m = Nとすると、（N/m)+m = 2 · Nとなり、必要なメモリ容量のオーダを Ν力 Νに削減することが可能となる。

[0583] < 5- 5.利用者装置 51の補完データによるルート値計算 >

次に、利用者装置 51の補完データによるルート値計算について、説明する。これは、利用者装置 51の第 1の検証機能におけるルート値計算について詳しく説明するものである。

[0584] ある集約間隔 IIが終了したとき、利用者装置 51は、集約間隔 IIの間に送信した 1つの証明要求 RQに対する受理証明書の個別完全化を上述の方法で実行することにより、完全認証パスデータを計算することができる。完全認証パスデータから、以下に示す（1)〜（5)に示す手順により、当該の集約間隔の順次集約木のルートの割当値が計算できる。

[0585] まず完全認証パスデータは、即時補完データと遅延補完データからなる。即時補完データや遅延補完データは、（位置情報， LRタグ，割当値 (ハッシュ値)）で示す形式の補完データ要素力力成るものとする。尚、 LRタグは Lというタグ力 Rというタグのどちらかの値をとる。ここで、上記の位置情報はレベル情報を含むものとする。レべル情報の間には以下のような 2項関係くくが定義されているものとする。

[0586] 任意の登録点について、その完全認証パスデータに含まれる補完データ要素を

(位置情報 PG), LRタグ T(i),割当値 Η(0) (但し， i = 1, · ··, n)

とし、位置情報 PG)に含まれるレベル情報を level(PG))と表すと、 2項関係 < <は

level(P(l》， · ··， level(P(n))

の間に線形順序を定義するものとする。

[0587] 位置情報を 1つの集約木におけるレベル (非負整数で表される）とレベル内のインデッタスの組み合わせとし、位置情報のうちレベル情報は組み合わせの第 1要素とすると、上記 2項関係くくとしては、整数の大小関係くをとればよい。

[0588] 図 76は、完全認証パスデータによる順次集約木のルート値の計算方法を示すフロ一チャートである。同図によれば、完全認証パスデータのチヱック、即ち、即時補完データは Lタグ、遅延補完データは Rタグを有するかのチェック、及び完全認証パスデータに重なるレベル情報がな、かのチェックを確認した後、レベル情報の順序でソートし、各割当値を LRタグに合わせて連接して、ルート値を計算する (ステップ S3101 a, S3102a, S3103a, S3104a, S3105a, S3106a)。

[0589] 次に、図 77及び図 78に示すように、ある集約間隔の順次集約木のリーフの 1つとして、前の集約間隔の順次集約木のルート値を取り入れる場合について説明する。このような場合には、異なる順次集約木間における受理証明書発行の時間的前後を検証することが簡単にできるという効果がある。例えば、図 78において、利用者装置 2Aの登録点 aが順次集約木 ST(5)の部分木 ST1(5)のリーフに割り当てられており、また、利用者装置 2Bの登録点 bが順次集約木 ST(6)の部分木 ST1(6)のリーフに割り当てられているときは、 aと bの合流点がノード R(6)、 aの bによる認証点がノード R(5)になるので、登録点 aから計算された認証点 R(5)の値力登録点 bの即時補完データに含まれていれば、登録点 aの登録は登録点 bの登録より時間的に前であることを検証することができる。

[0590] 図 77は、図 78のように複数の順次集約木がリンクされた状況において、 1つの順次集約木 ST(n)を抽出したものである。

[0591] ここで、ルート R(n-l)は、順次集約木 ST(n— 1)と順次集約木 ST(n)に共通するノードで、

レベル情報 (L, TID(n- l), k(n- l))

レべノレ内 index 0

位置情報 ((L, TID(n- l), k(n- l)), 0)

である。尚、上述のレベル情報は、

(LRタグ，非負整数の集約木番号，非負整数の集約木内のレベル情報）

で表現されており、 LRタグは、 Lというタグと Rというタグのどちらかの値をとる。

[0592] また、部分木 STl(n)のルート Rl(n)は、

レベル情報 (R, TID(n- l), kl(n))

レべノレ内 index 1

位置情報 ((R, TID(n- l), kl(n)), 1)

であり、ここで、 kl(n)は STl(n)の高さである。

[0593] また、部分木 STl(n)に関しては、ルート Rl(n)以外のノードについては、

レベル情報 (R, TID(n), j) ルート Rl(n)以外のノードの位置情報は ((R, TID(n), j), i)である。

[0594] ここで， j, iは非負整数であり、 leafs(STl(n》の各要素の位置情報は ((R, TID(n), 0), i

)と表すことができる。

[0595] また、 R(n)は順次集約木 ST(n)と ST(n+ l)に共通するノードで、

レベル情報 (L, TID(n), k(n))

レべノレ内 index 0

位置情報（(L, TID(n), k(n)), 0) (但し、 k(n) = kl(n) + lとする）

割当値 V(R(n》 = h(V(R(n- l)) || V(Rl(n)》

である。

また、順次集約小木 STl(n)とルート R(n— 1)、ルート R(n)力もなる二分木を ST(n)と書く。即ち、

root(ST(n)) = R(n)、

leftChild(R(n)) = R(n—1)、

rightChild(R(n)) = Rl(n)。

[0596] 第 n番目の集約期間に対応する順次集約木は ST(n)である。

[0597] 但し、 n = 0に対しては、 R(n—1)の代わりに所定の割当値を持ったノード IRを用いる

(図 78参照)。 IRの位置情報は ((L, - 1, 0), 0)である。

[0598] このとき、 2つの拡張レベル情報の間の順序 < <を次のように定義する。

[0599] Vjl , j'2, Tl, T2≥ 0 [(R, Τ2, j2) < < (し, Tl, jl)]、

Vjl , j'2, Tl, T2≥ 0 [Tl < T2→ (し, Tl, jl)くく (し, T2, j2)]、

Vjl , j'2, Tl≥ 0 [jl < j2→ (R, Tl, jl) < < (R, Tl, j2)]。

[0600] この定義により、二項関係 < <は任意の登録点の認証パスノードの集合に線形順序を定めるものであることが導かれる。

[0601] 図 79は、この定義された 2項関係 < <を用いて補完データによる集約木ルート値を計算する一例を示すもので、計算は以下のようになる。

[0602] 位置情報 ((R, 10, 0), 5)のノードに対して、即時補完データは、

[(((L, 9, k(9))， 0), L, V(R(9))),

(((R, 10, 2), 0) , L, V((R, 10, 2), 0)), (((R, 10, 0), 4), L, V((R, 10, 0), 4))]

となる。ここで， 10, 2) < < (L, 9, 10)である。

[0603] 遅延補完データは、 [(((R, 10, 1), 3), R, V((R, 10, 1), 3》]

補完データからのルート値の計算を図 76のフローに従って行う。

[0604] (1)即時補完データの各要素は Lタグを持つことをチェックする→合格

(2)遅延補完データの各要素は Rタグを持つことをチェックする→合格

(3)即時補完データと遅延補完データを合併する

合併結果は、

[(((L, 9, k(9))， 0), L, V(R(9))),

(((R, 10, 2), 0), L, V((R, 10, 2), 0)),

(((R, 10, 0), 4), L, V((R, 10, 0), 4)),

(((R, 10, 1), 3), R, V((R, 10, 1), 3))]

となる。

[0605] (4)合併結果の中に、重なるレベル情報がなヽことを確認する→合格

(5)合併結果を、レベル情報の順序くく基準にソートするソート結果は，

瞧， 10, 0), 4), L, V((R, 10, 0), 4)),

(((R, 10, 1), 3), R, V((R, 10, 1), 3)),

(((R, 10, 2), 0), L, V((R, 10, 2), 0)),

(((L, 9, k(9)), 0), L, V(R(9)))]

となる。

[0606] (6)ステップ（5)のソートの結果を

0(0), LR(0), V(0)), · ··, 0(k- l), LR(k- l), V(k— 1》

とおき、当該の登録点の登録値を V(0)とおき、以下のように再帰的に

W(0), W(l), · ··, W(k- l), W(k)

を定義する。

[0607] (i)W(O) = V(0)

(ii) LR(j) = Lのとき、 WO+ 1) = h(V0) II W(j)) LRO) = Rのとき、 WO+ 1) = h(W0) II V(j))

これに従って計算すると、 k = 4であり、 WO)は以下のように計算できる。

[0608] W(0) = V((R, 10, 0), 5),

W(l) = h(V((R, 10, 0), 4) II V((R, 10, 0), 5) ),

W(2) = h(W(l) II V((R, 10, 1), 3)),

W(3) = h(V((R, 10, 2), 0) II W(2)),

W(4) = h(V(R(9)) II W(3))

となる。 W(3) = V(R1(10))， W(4) = V(R(10》である。

[0609] 従って、第 5の実施の形態のイベント順序証明システム 200aによれば、第 4の実施の形態と同じ効果を得ることができる。即ち、木構造を用いてイベント順序を証明するイベント順序証明システムにおいて、利用者装置 51から証明要求を受付けた証明装置 4aが、該証明要求に対して受理証明書を含む連鎖補完方式 (登録点に関して、登録点の即時補完データ及び直前登録点の登録点における遅延補完データを証明応答データに含む）による証明応答を発行したときでも、利用者装置 51がこの証明応答を用いて、インクリメンタル完全ィ匕を行うと、利用者装置 51間における受理証明書発行の時間的前後を検証することができるので、証明要求をまとめた公表データが電子的に公表される前であっても、受理証明書の正当性を検証することができる。

[0610] また、連鎖補完方式には、シーケンス補完方式よりも、証明応答のデータ量が少なくて済むという効果がある。さらには、連鎖補完方式においても、証明装置 4aは、順次集約木そのものを記憶部に記憶させる方法は勿論、スタック構造を用いた記憶方法も用いることができるので、証明装置 4aの必要記憶容量を大幅に減少させることもできる。

[0611] また、利用者装置 51におけるインクリメンタル完全ィ匕処理においても、個別完全ィ匕及び一括完全化の双方を具備するので、状況に応じて最適なインクリメンタル完全化を行うことにより、受理証明書の正当性を検証することができる。さらに、証明応答データすベてを利用者装置 51のメモリ上に記憶させず、部分的な局所データだけを記憶させる方式であっても、インクリメンタル完全ィ匕を行うことができるので、利用者装置 51の必要なメモリ量を大幅に減少させることができる。 [0612] また、順次集約期間が終了後においては、利用者装置 51は、インクリメンタル完全化の処理により、完全補完データを取得できるので、順次集約木のルート値を計算することができる。さらに、前の集約間隔の順次集約木のルート値を次の順次集約木のリーフの割当値とする場合には、順次集約木をまたがった受理証明書発行の時間的前後を検証することが簡単にできる。

[0613] 以上、本発明の実施例について説明してきた力本発明の要旨を逸脱しない範囲において、本発明の実施例に対して種々の変形や変更を施すことができる。例えば、上記実施の形態においては、順次集約木として二分木を用いたが、本発明は二分木に限定されるものではなぐ 1つの親が複数の子を持つ有向木であればよいものである。

[0614] また、利用者装置 21又は 51は、一定時間間隔終了前に、証明装置 la又は 4aが運用を中断、あるいは順次集約木のルート値を計算するのに必要なデータを消失したとき、証明装置 la又は 4aの運用中断あるいはデータ消失の時点までに受信し記憶した順序証明応答から、計算可能な割当値を持つ順次集約木のノードのうちで、その親のノードの割当値が計算できないような 1つあるいは複数のノードの位置情報と割当値を、電子的に公表する利用者サイド電子的情報公表手段を有してもよい。そして、この場合、所定の検証機関が、この公表情報が矛盾しないことを検証するようにしてちょい。

[0615] <順次集約木の性質 >

第 4及び第 5の実施の形態で用いた順次集約木の性質について詳しく説明する。

[0616] 順次集約木のリーフ番号 iについて、 iで識別される順次集約木のリーフに順次割当値を割り当てる元となった証明要求を受付けて該リーフに割当値を割り当てる一連の処理を該リーフに対する処理ラウンドと言い round(i)と表す。

[0617] 今、甲を利用者装置、乙を監査装置とし、 i0と ilを i0 < ilなる二つの順次集約木リーフ番号とし、 round(iO)において甲は受理証明書を受信し、乙は round(il)において監査用受理証明書を受信したものとする。このとき、 i0の ilによる認証点は以下の性質を持つ。

[0618] (1)認証点の割当値は、監査点、即ちノード (0, il)の即時補完データに含まれる。 [0619] (2)上記認証点を ( , 0とおき、 round(jl)終了時にリーフ (0, iO)が属する順次集約小木を ST2とし、 (0, iO)の ST2における認証パスを authPathST2(0, iO))としたとき、 auth PathST2(0, i0》に属するノードで、レベルがより小さいものに対する割当値は、ノード (0, iO)に対応するラウンドで受理証明書を受理した利用者が、ノード (0, il)に対応するラウンド以降において受信できる遅延補完データあるいは受信した即時補完データに含まれる。

[0620] 即ち、 il≤ i2とすると、 authPathST2(0, i0》に属するノードで、レベルカより小さいものに対する割当値は、 immedData(iO)あるいは lateData(K), i2)に含まれる。

[0621] (3) ST2におけるリーフ (0, iO)のルート'パスを rtPathST2(0, iO)としたとき、上記認証点の割当値及びに rtPathST2(0, iO)属するノードでレベルが該認証点のレベルより小さいノードの割当値は、ノード (0, iOで受理証明書を受理した利用者が、ノード (0, il) に対応するラウンド以降において受信する遅延補完データおよびノード (0, iO)で受信した受理証明書 (即時補完データを含む)から計算することができる。

[0622] (性質の証明）

以下では、利用者に渡す受理証明書に、即時補完データを含める場合について説明する。利用者に渡す受理証明書に即時補完データを含めず、その代わりに遅延補完データにこの情報を含める場合でも同様の議論により同じ結論が得られる。

[0623] (1)まず、項目（1)について図 80、図 81を用いつつ説明する。

[0624] (場合 1)最初に、図 80を参照して、 iOと ilが il時点における順次集約フォレスト内の 1つの順次集約小木 ST2に属する場合を考える。ここで、合流点を (j, i)、そのレフト' チャイルドである認証点を ( , i')とおく。ノード (0, il)の順次集約小木 ST2におけるルート'パス rtPathST2(0, il)において、（0, il)から出発して、合流点に至る直前のノードを (Γ, Πとおく。このとき、認証点は、（Γ, Πの左補完点である。従って、認証パス authPathTST2(il)の定義から、 (0", i'), L)はノード（0, il)の ST2における認証パスに含まれる。また、ノード (j'， i')への値の割当ては、 round(il)より前に終了している。よつて、 (0", i'), L, V0", i'))は (0, il)に対する即時補完データに含まれる。

[0625] (場合 2)次に、図 81を参照して、 iOと ilが il時点における順次集約フォレスト内のどの順次集約小木にも同時には属さない場合を考える。このとき、 iOは il時点における順次集約フォレスト内のある順次集約小木 ST2'に属する。このとき、登録点 (0, に対する即時補完データの定義により、 V(root(ST2'))は、登録点 (0, il)に対する即時補完データに含まれる。

[0626] (2)次に項目（2)について図 82乃至 85を用いつつ説明する。

[0627] (場合 1)最初に、図 82及び 83を参照して、 i0と ilが il時点における順次集約フォレスト内の 1つの順次集約小木 ST2に属する場合を考える。

[0628] k = height(ST2)とおく。

[0629] 認証点（ , ί')はノード（0, iO)のルート'パス rtPathST2(0, iO)に含まれる。ここで、 rtPathST2(0, iO) = [(0, r(0)), · ··, (j，, r(j'》, (j' + l, rO' + D), · ··, (k, r(k》] とする。また、 authPathST2(0, iO)の要素で、レベル力 'より小さいノードの並びを

[(0, s(0)), · ··, O' - i, sO' - D)]

とおく。各 jl≡ [O..j'— Ι]に対して、 V(jl, r(jl》が immedData(iO)あるいは lateData(iO, i 2)に含まれることを示せばよい。

[0630] authPathST2(0, iO)の定義により、 authPathST2(0, iO)のレベル jlの要素 p2 = (jl, s( jl》は、 rtPathST2(0, iO》のレベル jl + 1の要素 p3 = (jl+1, r(jl+l》のライト'チヤィルドであるか或いはレフト'チャイルドである。どちらであるかによって場合分けする。

[0631] (場合 1— 1) p2が p3のライト'チャイルドであるとき、図 82に示すように、 p2の割当値 V(p2)は、 il≤ i2なる i2において、甲が受信できる遅延補完データ lateDataGO, i2)に含まれる。なぜならば、リーフ (0, il)に対応するラウンドのイベント順序証明処理が終わった時点で、図 82の Bで表された SB2の部分木の割当値は計算可能であり計算され割当て済みである。従って、その時点以降で発行される登録点 iOに対する遅延補完データには Bのルート p2の割当値 V(p2)が含まれるからである。

[0632] (場合 1— 2) p2が p3のレフト'チャイルドであるとき、図 83に示すように、ノード p2の割当値 V(p2)は、登録点 iOに対する即時補完データに含まれる。何故ならば、図 83の piをルートとする部分木 Bについて、

VI≡ leafs(B)[i < iO]

であり、従って iOで識別されるラウンドの開始時に、 leafs(B)の割当値は確定している。よって、 p2 = root(B)の割当値は、 iOで識別されるラウンドにおいて確定しており、従つて p2は iO時点において値が確定している iOの認証パスノードの集合に含まれるからである。

[0633] (場合 2)次に、図 84及び図 85を参照して、 iOと ilが il時点における順次集約フォレスト内のどの順次集約小木にも同時には属さない場合を考える。このとき、 iOは il時点における順次集約フォレスト内のある順次集約小木 ST3に属し、 root(ST3)が iOの ilによる認証点となる。 k =height(ST3)と置く。認証点 (j'， i')は (0, iO)のルートパス rtPathS T3(0, iO)に含まれる。ここで、

rtPathST3(0, iO) = [(0, r(0)), · ··, (j，, r(j'》, (j' + l, rO' + D), · ··, (k, r(k》] とする。また、 authPathST3(0, iO)の要素で、レベルカより小さいノードの並びを

[(0, s(0)), · ··, O' - i, sO' - D)]

[0634] authPathST3(0, iO)の定義により、 authPathST3(0, iO)のレベル jlの要素 p2 = (jl, s( jl》は、 rtPathST3(0, iO》のレベル jl + 1の要素 p3 = (jl+1, r(jl+l》のライト'チヤィルドであるか或いはレフト'チャイルドである。どちらであるかによって場合分けする。

[0635] (場合 2—l) p2が p3のライト'チャイルドであるとき、図 84に示すように、 p2の割当値 V(p2)は、 il≤ i2な i2において、甲が受信できる遅延補完データ lateDataGO, i2)に含まれる。なぜならば、リーフ (0, il)に対応するラウンドのイベント順序証明処理が終わつた時点で、図 84の Bで表された SB3の部分木の割当値は計算可能であり計算され割当て済みであり、従ってその時点以降で発行される登録点 iOに対する遅延補完デ一タには Bのルート p2の割当値 V(p2)が含まれるからである。

[0636] (場合 2— 2) p2が p3のレフト'チャイルドであるとき、図 85に示すように、ノード p2の割当値 V(p2)は、登録点 iOに対する即時補完データに含まれる。何故ならば、図 85の piをルートとする部分木 Bについて、

Vi≡ leafs嫌 < iO]

[0637] (3)認証パスの定義及び項目（2)から、各 jl≡ [0.. ]に対して、 V(jl, (jl》を以下のように再帰的に計算することが出来る。

[0638] まず、 V(jl, r(jl》は受理証明書に含まれているノード (0, i0)の割当値とする。

[0639] 次に、 jl≡ [0.. — 1]に対して、 V(jl, rOD)が計算されたと仮定し、 V(jl+1, r(jl+l》を以下のように計算する。 r(jl) < s(jl)のときは、

V01+1, rO'1+D) = h(V(jl, rOD) II V(jl, s(jl》)

とし、 s(jl) < rODのときは、

VOl+1, rO'l+D) = h(V(jl, sOD) II V(jl, rOD))

とする。

産業上の利用可能性

[0640] 本発明によれば、木構造を用いてイベント順序を証明するイベント順序証明システムにおいて、イベント順序証明要求をまとめた公表データを用いなくても、イベント順序証明機関から発行されたイベント順序受理証明書の検証を行うことができる。

[0641] この結果、公表期間の途中であっても、受け取ったイベント順序受理証明書の正当性を検証することができ、利用者の利便性の向上を図ることができる。また、イベント順序証明機関に障害が発生しても、障害に強いイベント順序証明システムを構築することがでさる。

Claims

請求の範囲

所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う利用者装置と、前記利用者装置からの前記証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたィベント順序証明システムにおけるイベント順序証明方法であって、

前記証明装置が前記利用者装置からの証明要求を受信する順序証明要求受信ステツプと、

前記証明装置が前記証明要求に含まれるデジタル情報から予め定めた手順に従つて順次割当データを作成する順次割当データ計算ステップと、

前記証明装置が、一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによって一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約ステップと、

前記証明装置が、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む証明書を作成する証明書作成ステップと、

前記証明装置が前記証明書を前記利用者装置に送信する証明書送信ステップと前記証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点から前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記証明書の補完情報と定義し、該補完情報のうち、前記証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、前記証明装置が、前記証明要求を前記順次集約木に割り当てた以後に、第 1の監查要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 1の監査用証明書を作成するとともに、前記監査要求を前記順次集約木に割り当てた時点における第 1の監査用の即時補完情報を前記順次集約木から取得し、前記第 1の監査用証明書に含める監査用証明書作成ステップと、

前記証明装置が前記第 1の監査用証明書を前記監査装置に送信する監査用証明書送信ステップと、

前記証明装置が、前記第 1の監査要求を前記順次集約木に割り当てた以後に、前記利用者装置からの前記証明書の補完情報の要求を受信する補完情報要求受信ステップと、

前記証明装置が、前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点において取得可能な補完情報を前記順次集約木力取得し、遅延補完情報とする遅延補完情報作成ステップと、

前記証明装置が前記証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信ステップと、

を有することを特徴とするイベント順序証明方法。

[2] 前記証明書作成ステップにお!、て、前記証明装置は、前記第 1の順次集約木特定情報に前記証明書の即時補完情報を含めることを特徴とする請求項 1記載のィベント順序証明方法。

[3] 前記監査用証明書作成ステップは、さらに、前記証明装置が、前記証明要求を前記順次集約木に割り当てた以前に、第 2の監査要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 2の監査用証明書を作成するとともに、前記第 2の監査要求を前記順次集約木に割り当てた時点における第 2の監査用の即時補完情報を前記順次集約木から取得し、前記第 2の監査用証明書に含めるステップを備え、

前記証明装置が、前記一定時間間隔終了後に前記監査用証明書作成ステップで作成された各監査用証明書の補完情報すベてを前記順次集約木から取得し、各監查用証明書の遅延補完情報とする監査用遅延補完情報作成ステップと、

前記証明装置が前記第 1及び第 2の監査用証明書の前記遅延補完情報を前記監查装置に送信する監査用遅延補完情報送信ステップと、

をさらに有することを特徴とする請求項 1又は 2記載のイベント順序証明方法。

[4] 前記順次割当データ計算ステップにおいて、前記証明装置は、前記証明要求に含まれる前記デジタル情報に対して所定の衝突困難一方向関数を適用した結果値を前記順次割当データとして計算することを特徴とする請求項 1乃至 3のいずれか 1項に記載のイベント順序証明方法。

[5] 前記証明書作成ステップにお!、て、前記証明装置は、前記証明書にデジタル署名を施すことを特徴とする請求項 1乃至 4のいずれか 1項に記載のイベント順序証明方法。

[6] 前記証明装置が、前記一定時間間隔終了後に前記順次集約木の前記ルート値を電子的に公表する電子的情報公表ステップをさらに有することを特徴とする請求項 1 乃至 5のいずれか 1項に記載のイベント順序証明方法。

[7] 前記利用者装置力複数の証明要求が為されたときには、前記証明書送信ステツプは、前記証明装置が、各証明要求を前記順次集約木に割り当てた時間的順序で、各証明要求に対する証明書を送信するステップをさらに有することを特徴とする請求項 1乃至 6のいずれか 1項に記載のイベント順序証明方法。

[8] 前記利用者装置力複数の証明要求が為されたときに、

前記証明装置が前記順序証明要求集約ステップで生成される前記順次集約木に関する情報を記憶する順次集約木記憶ステップと、

前記順次集約木において、リーフ alより右に位置するリーフ a2の割当処理が終了した時点で定まる前記リーフ alの遅延補完情報を、前記リーフ alの前記リーフ a2における遅延補完情報といい、さらに、最新の証明要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを新登録点とすると、

前記証明装置が前記複数の証明要求の登録点に関する情報を記憶する登録点記憶ステップと、

をさらに有し、

前記証明書作成ステップにおいて、前記証明装置は、各記憶ステップにおいて記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報と、前記新登録点の即時補完情報と、前記利用者装置の過去のすべての登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成することを特徴とする請求項 2記載のイベント順序証明方法。

[9] 前記利用者装置力複数の証明要求が為されたときに、

前記証明装置が前記新登録点に対する直前の登録点に関する情報を記憶する登録点記憶ステップと、

をさらに有し、

前記証明書作成ステップにおいて、前記証明装置は、各記憶ステップにおいて記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、前記新登録点の即時補完情報と、前記利用者装置の前記直前の登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成することを特徴とする請求項 2記載のイベント順序証明方法。

[10] 前記順次集約木記憶ステップにお!、て、前記証明装置は、前記順次集約木に関する情報として、前記順次集約木において割当処理がされた各ノードの位置及び割当値を記憶することを特徴とする請求項 8又は 9記載のイベント順序証明方法。

[11] 前記証明装置は、前記新登録点の前記即時補完情報と、前記利用者装置の前記直前の登録点の前記新登録点における前記遅延補完情報とを別々にスタック化して記憶することを特徴とする請求項 9記載のイベント順序証明方法。

[12] 前記証明装置が前記一定時間間隔終了後に前記順次集約木の前記ルート値を電子的に公表する電子的情報公表ステップをさらに有することを特徴とする請求項 8乃至 11の、ずれか 1項に記載のイベント順序証明方法。

[13] 前記一定時間間隔終了前に、前記証明装置が運用を中断、あるいは前記順次集約木のルート値を計算するのに必要なデータを消失したときに、前記利用者装置が、前記証明装置の運用中断あるいはデータ消失の時点までに受信し記憶した証明書から、計算可能な割当値を持つ前記順次集約木のノードのうちで、その親のノードの割当値が計算できないような 1つあるいは複数のノードの位置情報と割当値を、電子的に公表する利用者サイド電子的情報公表ステップをさらに有することを特徴とする請求項 8乃至 12のいずれ力 1項に記載のイベント順序証明方法。

[14] 前記順序証明要求集約ステップにおいて、前記証明装置は、前記一定時間間隔終了後に前記順次集約木の前記ルート値を、次の順次集約木のリーフに割り当てられた新たな登録点の即時補完情報となるように、前記次の順次集約木のリーフに割り当てることを特徴とする請求項 8乃至 13のいずれか 1項に記載のイベント順序証明方法。

[15] 所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたィベント順序証明システムにおけるイベント順序証明監査方法であって、

前記証明装置が前記利用者装置から第 1の証明要求を受信する順序証明要求受信ステップと、

前記証明装置が前記第 1の証明要求に含まれるデジタル情報から予め定めた手順に従って順次割当データを作成する順次割当データ計算ステップと、

前記証明装置が、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む第 1の証明書を作成する証明書作成ステップと、

前記証明装置が前記第 1の証明書を前記利用者装置に送信する証明書送信ステップと、

前記第 1の証明要求が割り当てられた前記順次集約木のリーフを登録点として定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記第 1の証明書の補完情報と定義し、該補完情報のうち、前記第 1の証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、

前記証明装置が、複数の監査要求を前記順次集約木に割り当て、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、各監査要求を前記順次集約木に割り当てた時点における監査用の即時補完情報を前記順次集約木から取得し、各監査用証明書に含める監査用証明書作成ステップと、

前記証明装置が前記複数の監査用証明書を前記監査装置に送信する監査用証明書送信ステップと、

前記証明装置が、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信ステップと、

前記証明装置が前記第 1の証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信ステップと、

前記監査装置が、前記証明装置から前記複数の監査用証明書を受信する監査用証明書受信ステップと、

前記監査装置が、前記利用者装置から前記第 1の証明書及び前記第 1の証明書の前記遅延補完情報を含む前記第 1の証明書に対する監査要求を受信する監査要求受信ステップと、

前記監査装置が、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監査用証明書を選択する第 1の監査用証明書選択ステップと、

前記監査装置が、前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択ステップで選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求力計算された該ノードの割当値が一致する力否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択ステップで選択された監査用証明書の監査要求の受付時刻との前後関係を証明する第 1の証明書監査ステップと、前記監査装置が前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信ステップと、

を有することを特徴とするイベント順序証明監査方法。

[16] 前記監査用証明書受信ステップは、さらに、前記監査装置が前記第 1の監査用証明書選択ステップで選択された監査用証明書を受信した第 1の時刻を時刻提供装置力も取得するステップを備え、

前記第 1の証明書監査ステップにおいて、前記監査装置は、前記第 1の証明書の前記証明要求の前記受付時刻が前記第 1の時刻よりも時間的に前であることを示す区間時刻証を前記監査結果に含めることを特徴とする請求項 15記載のイベント順序証明監査方法。

[17] 前記証明装置が、前記一定時間間隔終了後に前記監査用証明書作成ステップにおいて作成された前記複数の監査用証明書の前記補完情報すベてを前記順次集約木から取得し、各監査用証明書の遅延補完情報とする監査用遅延補完情報作成ステップと、

前記証明装置が前記複数の監査用証明書の前記遅延補完情報を前記監査装置に送信する監査用遅延補完情報送信ステップと、前記監査装置が、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1の順次集約木特定情報に基づいて、前記第 1の証明書より時間的順序が前の監査用証明書を選択する第 2の監査用証明書選択ステップと、

前記監査装置が、前記順次集約木の特定のノードに対して、前記第 1の証明書に対する監査要求に含まれる該ノードの割当値と、前記第 2の監査用証明書選択ステップで選択された監査用証明書及び該監査用証明書の前記遅延補完情報から計算された該ノードの割当値が一致する力否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の前記証明要求の前記受付時刻と前記第 2の監査用証明書選択ステップで選択された監査用証明書の監査要求の受付時刻との前後関係を証明する第 2の証明書監査ステップと、

をさらに有することを特徴とする請求項 15又は 16記載のイベント順序証明監査方法。

[18] 前記利用者装置又は他の利用者装置力第 2の証明要求が為されたときには、前記監査装置が、前記第 2の証明要求に対して作成された第 2の証明書に対する監査結果と、前記第 1及び第 2の証明書の第 1の順次集約木特定情報に基づいて、前記第 1及び第 2の証明書間における証明要求の受付時刻の前後関係を判定する証明書間順序判定ステップをさらに有し、

前記監査結果送信ステップにおいて、前記監査装置は、前記複数の証明書間における要求受付の時間的順序を前記監査結果に含めることを特徴とする請求項 17 記載のイベント順序証明監査方法。

[19] 前記監査装置が前記複数の監査用証明書及び前記複数の監査用証明書の遅延補完情報力前記順次集約木のルート値を計算するルート値計算ステップと、前記監査装置が電子的に公表された前記順次集約木のルート値と前記計算されたルート値が一致するか否かの検証を行うルート値検証ステップと、

をさらに有することを特徴とする請求項 17又は 18記載のイベント順序証明監査方法。

[20] 前記監査装置が、前記第 1の監査用証明書選択ステップで選択された監査用証明書及び該監査用証明書の遅延補完情報を前記利用者装置に送信する監査用補完情報送信ステップをさらに有することを特徴とする請求項 17乃至 19のいずれか 1項に記載のイベント順序証明監査方法。

[21] 前記監査用証明書受信ステップは、さらに、前記監査装置が前記第 2の監査用証明書選択ステップで選択された監査要求を前記証明装置に送信した第 2の時刻を時刻提供装置から取得するステップを有し、

前記第 2の証明書監査ステップにおいて、前記監査装置は、前記第 1の証明書の前記証明要求の前記受付時刻が前記第 2の時刻より時間的に後であることを示す区間時刻証を監査結果に含めることを特徴とする請求項 17乃至 20のいずれか 1項に記載のイベント順序証明監査方法。

[22] 前記第 1の証明監査ステップにおいて、前記監査装置は、前記監査結果にデジタル署名を施すことを特徴とする請求項 15乃至 21のいずれか 1項に記載のイベント順序証明監査方法。

[23] 所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行い、証明書の作成を促す利用者装置と、該証明書の真偽を監査する監査装置とに通信ネットワークを介して相互に接続され、前記証明書を作成するイベント順序証明装置であって、前記利用者装置から証明要求を受信する順序証明要求受信手段と、

前記証明要求に含まれるデジタル情報力予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、

一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによつて一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む証明書を作成する証明書作成手段と、前記証明書を前記利用者装置に送信する証明書送信手段と、

前記証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点から前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記証明書の補完情報と定義し、該補完情報のうち、前記証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、前記証明要求を前記順次集約木に割り当てた以後に、第 1の監査要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 1の監査用証明書を作成するとともに、前記第 1の監査要求を前記順次集約木に割り当てた時点における第 1の監査用の即時補完情報を前記順次集約木から取得し、該第 1の監査用証明書に含める監査用証明書作成手段と、

前記第 1の監査用証明書を前記監査装置に送信する監査用証明書送信手段と、前記第 1の監査要求を前記順次集約木に割り当てた以後に、前記利用者装置からの前記証明書の補完情報の要求を受信する補完情報要求受信手段と、

前記補完情報の要求が割り当てられた前記順次集約木及び前記順次集約木のリーフを特定する第 2の順次集約木特定情報、及び前記補完情報の要求を割り当てた時点にお!、て取得可能な補完情報を前記順次集約木から取得し、遅延補完情報とする遅延補完情報作成手段と、

前記証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信手段と、

を有することを特徴とするイベント順序証明装置。

[24] 前記証明書作成手段は、前記第 1の順次集約木特定情報に前記第 1の証明書の即時補完情報を含めることを特徴とする請求項 23記載のイベント順序証明装置。

[25] 前記監査用証明書作成手段は、さらに、前記証明要求を前記順次集約木に割り当てた以前に、第 2の監査要求を前記順次集約木に割り当て、前記証明書と同一の作成方法により、第 2の監査用証明書を作成するとともに、前記第 2の監査要求を前記順次集約木に割り当てた時点における第 2の監査用の即時補完情報を前記順次集約木から取得し、該第 2の監査用証明書に含める手段を備え、

前記一定時間間隔終了後に前記監査用証明書作成手段で作成された前記第 1及び第 2の監査用証明書の補完情報すベてを前記順次集約木から取得し、各監査用証明書の遅延補完情報とする監査用遅延補完情報作成手段と、

前記第 1及び第 2の監査用証明書の前記遅延補完情報を前記監査装置に送信する監査用遅延補完情報送信手段と、

をさらに有することを特徴とする請求項 23又は 24記載のイベント順序証明装置。

[26] 前記順次割当データ計算手段は、前記証明要求に含まれる前記デジタル情報に対して所定の衝突困難一方向関数を適用した結果値を前記順次割当データとして計算することを特徴とする請求項 23乃至 25のいずれか 1項に記載のイベント順序証明装置。

[27] 前記証明書作成手段は、前記証明書にデジタル署名を施すことを特徴とする請求項 23乃至 26のいずれか 1項に記載のイベント順序証明装置。

[28] 前記一定時間間隔終了後に前記順次集約木の前記ルート値を電子的に公表する電子的情報公表手段をさらに有することを特徴とする請求項 23乃至 27のいずれか 1 項に記載のイベント順序証明装置。

[29] 前記利用者装置力複数の証明要求が為されたときに、各証明要求を前記順次集約木に割り当てた時間的順序で、各証明要求に対する証明書を送信する手段を有することを特徴とする請求項 23乃至 28のいずれか 1項に記載のイベント順序証明装置。

[30] 前記利用者装置力複数の証明要求が為されたときに、

前記順序証明要求集約手段により生成される前記順次集約木に関する情報を記憶する順次集約木記憶手段と、

前記複数の証明要求の登録点に関する情報を記憶する登録点記憶手段と、を有し、

前記証明書作成手段は、各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報と、前記新登録点の即時補完情報と、前記利用者装置の過去のすべての登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成することを特徴とする請求項 24記載のイベント順序証明装置。

[31] 前記利用者装置力複数の証明要求が為されたときに、

前記順序証明要求集約手段で生成される前記順次集約木に関する情報を記憶部に記憶する順次集約木記憶手段と、

前記直前の登録点に関する情報を前記記憶部に記憶する登録点記憶手段と、をさらに有し、

前記証明書作成手段は、各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、該新登録点の即時補完情報を備える前記証明書と、前記利用者装置の前記直前の登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成することを特徴とする請求項 24記載のイベント順序証明装置。

[32] 前記順次集約木記憶手段は、前記順次集約木に関する情報として、前記順次集約木において割当処理がされた各ノードの位置及び割当値を記憶することを特徴とする請求項 30又は 31記載のイベント順序証明装置。

[33] 前記順次集約木記憶手段は、前記新登録点の前記即時補完情報を記憶する第 1 のスタックと、前記利用者装置の前記直前の登録点の前記新登録点における前記遅延補完情報を記憶する第 2のスタックとを有することを特徴とする請求項 31記載のィベント順序証明装置。

[34] 前記一定時間間隔終了後に前記順次集約木の前記ルート値を電子的に公表する電子的情報公表手段をさらに有することを特徴とする請求項 30乃至 33のいずれか 1 項に記載のイベント順序証明装置。

[35] 前記利用者装置は、前記一定時間間隔終了前に、前記イベント順序証明装置が運用を中断、あるいは前記順次集約木のルート値を計算するのに必要なデータを消失したときに、イベント順序証明装置の運用中断あるいはデータ消失の時点までに受信し記憶した証明書から、計算可能な割当値を持つ前記順次集約木のノードのうちで、その親のノードの割当値が計算できないような 1つあるいは複数のノードの位置情報と割当値を、電子的に公表する利用者サイド電子的情報公表手段をさらに有することを特徴とする請求項 30乃至 34のいずれか 1項に記載のイベント順序証明装置。

[36] 前記順序証明要求集約手段は、前記一定時間間隔終了後に前記順次集約木の前記ルート値を、次の順次集約木のリーフに割り当てられた新たな登録点の即時補完情報となるように、前記次の順次集約木のリーフに割り当てることを特徴とする請求項 30乃至 35のいずれか 1項に記載のイベント順序証明装置。

[37] 所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置とに通信ネットワークを介して接続され、前記証明書の真偽を監査するイベント順序証明監查装置であって、

前記証明装置は、

前記利用者装置からの第 1の証明要求を受信する順序証明要求受信手段と、前記第 1の証明要求に含まれるデジタル情報力予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、

一連の順次割当データを時刻順に有向木のリーフに左力順次割り当てることによつて一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、前記順次割当データ、並びに前記順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する第 1の順次集約木特定情報を含む第 1の証明書を作成する証明書作成手段と、

前記第 1の証明書を前記利用者装置に送信する証明書送信手段と、

前記第 1の証明要求が割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点から前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記第 1の証明書の補完情報と定義し、該補完情報のうち、前記第 1の証明要求を前記順次集約木に割り当てた時点において取得可能な補完情報を即時補完情報と定義すると、

複数の監査要求を前記順次集約木に割り当て、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、前記複数の監査要求を前記順次集約木に割り当てた時点における監査用の前記即時補完情報を前記順次集約木から取得し、各監査用証明書に含める監査用証明書作成手段と、

前記複数の監査用証明書を前記監査装置に送信する監査用証明書送信手段と、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信手段と、

前記第 1の証明書の前記遅延補完情報を前記利用者装置に送信する遅延補完情報送信手段と、

を備え、

前記証明装置から前記複数の監査用証明書を受信する監査用証明書受信手段と前記利用者装置から前記第 1の証明書及び前記遅延補完情報を含む前記第 1の証明書に対する監査要求を受信する監査要求受信手段と、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監査用証明書を選択する第 1の監査用証明書選択手段と、

前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択手段で選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求力計算された該ノードの割当値が一致する力否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択手段によって選択された監査用証明書の監査要求の受付時刻との前後関係を証明する第 1の証明書監査手段と、

前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信手段とを備えることを特徴とするイベント順序証明監査装置。

[38] 前記監査用証明書受信手段は、さらに、前記第 1の監査用証明書選択手段によつて選択された監査用証明書を受信した第 1の時刻を時刻提供装置力取得する手段を備え、

前記第 1の証明書監査手段は、前記第 1の証明書の前記証明要求の前記受付時刻が前記第 1の時刻よりも時間的に前であることを示す区間時刻証を前記監査結果に含めることを特徴とする請求項 37記載のイベント順序証明監査装置。

[39] 前記証明装置は、

前記一定時間間隔終了後に前記監査用証明書作成手段で作成された前記複数の監査用証明書の補完情報すベてを前記順次集約木から取得し、各監査用証明書の遅延補完情報とする監査用遅延補完情報作成手段と、

前記複数の監査用証明書の前記遅延補完情報を前記監査装置に送信する監査用遅延補完情報送信手段と、

をさらに備え、

前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1の順次集約木特定情報に基づいて、前記第 1の証明書より時間的順序が前の監査用証明書を選択する第 2の監査用証明書選択手段と、

前記順次集約木の特定のノードに対して、前記第 1の証明書に対する監査要求に含まれる該ノードの割当値と、前記第 2の監査用証明書選択手段で選択された監査用証明書及び該監査用証明書の前記遅延補完情報から計算された該ノードの割当値が一致する力否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の前記証明要求の前記受付時刻と前記第 2の監査用証明書選択手段によって選択された監査用証明書の監査要求の受付時刻の前後関係を証明する第 2の証明書監査手段と、

をさらに備えることを特徴とする請求項 37又は 38記載のイベント順序証明監査装置。

[40] 前記利用者装置又は他の利用者装置から第 2の証明要求が為されたときに、前記第 2の証明要求に対して作成された第 2の証明書に対する監査結果と、前記第 1及び第 2の証明書の第 1の順次集約木特定情報に基づいて、前記第 1及び第 2の証明書間における証明要求の受付時刻の前後関係を判定する証明書間順序判定手段をさらに備え、

前記監査結果送信手段は、前記複数の証明書間における要求受付の時間的順序を前記監査結果に含めることを特徴とする請求項 39記載のイベント順序証明監査装置。

[41] 前記複数の監査用証明書及び該複数の監査用証明書の遅延補完情報から前記順次集約木のルート値を計算するルート値計算手段と、

電子的に公表された前記順次集約木のルート値と前記計算されたルート値が一致するか否かの検証を行うルート値検証手段と、

をさらに備えることを特徴とする請求項 39又は 40記載のイベント順序証明監査装置。

[42] 前記第 1の監査用証明書選択手段で選択された監査用証明書及び該監査用証明書の遅延補完情報を前記利用者装置に送信する監査用補完情報送信手段をさらに備えることを特徴とする請求項 39乃至 41のいずれか 1項に記載のイベント順序証明監査装置。 [43] 前記監査用証明書受信手段は、さらに、前記第 2の監査用証明書選択手段によつて選択された監査要求を前記証明装置に送信した第 2の時刻を時刻提供装置から取得する手段を備え、

前記第 2の証明書監査手段は、前記第 1の証明書の前記証明要求の前記受付時間が前記第 2の時刻より時間的に後であることを示す区間時刻証を監査結果に含めることを特徴とする請求項 39乃至 42のいずれか 1項に記載のイベント順序証明監査装置。

[44] 前記第 1の証明書監査手段は、前記監査結果にデジタル署名を施すことを特徴とする請求項 39乃至 43のいずれか 1項に記載のイベント順序証明監査装置。

[45] 請求項 1乃至 14の、ずれか 1項に記載のイベント順序証明方法の各ステップを前記証明装置に実行させることを特徴とするイベント順序証明プログラム。

[46] 請求項 15乃至 22のいずれか 1項に記載のイベント順序証明監査方法の各ステツプを前記監査装置に実行させることを特徴とするイベント順序証明監査プログラム。

[47] 所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う少なくとも 1つの利用者装置と、利用者装置からの証明要求に対する証明書を作成する証明装置と、前記証明書の真偽を監査する監査装置とが通信ネットワークを介して相互に接続されたィベント順序証明検証システムにおける前記利用者装置のためのイベント順序証明検証プログラムであって、

前記証明装置は、

複数の監査要求を前記順次集約木に割り当て、前記第 1の証明書と同一の作成方法により、複数の監査用証明書を作成するとともに、前記複数の監査要求を前記順次集約木に割り当てた時点におけるそれぞれの監査用の即時補完情報を前記順次集約木から取得し、前記複数の監査用証明書に含める監査用証明書作成手段と、前記複数の監査用証明書を前記監査装置に送信する監査用証明書送信手段と、前記第 1の証明書送信後に、前記利用者装置からの前記第 1の証明書の補完情報の要求を受信する補完情報要求受信手段と、

を有し、

前記監査装置は、

前記証明装置から、前記複数の監査用証明書を受信する監査用証明書受信手段と、

前記利用者装置から、前記第 1の証明書及び前記遅延補完情報を含む前記第 1 の証明書に対する監査要求を受信する監査要求受信手段と、前記複数の監査用証明書の中から、前記第 1の証明書に対する監査要求の第 1及び第 2の順次集約木特定情報に基づいて、前記第 1の証明書より生成された時間的順序が後、かつ前記遅延補完情報より生成された時間的順序が前である監査用証明書を選択する第 1の監査用証明書選択手段と、

前記順次集約木の特定のノードに対して、前記第 1の監査用証明書選択手段によつて選択された監査用証明書に含まれる該ノードの割当値と、前記第 1の証明書に対する監査要求から計算された該ノードの割当値が一致するか否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1の証明書の証明要求の受付時刻と前記第 1の監査用証明書選択手段によって選択された監査用証明書の監査要求の受付時刻の前後関係を証明する第 1の証明書監査手段と、

前記第 1の証明書の監査結果を前記利用者装置に送信する監査結果送信手段とを有し、

前記第 1の証明要求を前記証明装置に送信する順序証明要求送信ステップと、前記証明装置から、前記第 1の証明書を受信する証明書受信ステップと、前記第 1の証明書の前記補完情報の要求を前記証明装置に送信する補完情報要求送信ステップと、

前記証明装置から、前記第 1の証明書の前記補完情報を受信する補完情報受信ステップと、

前記監査要求を前記監査装置に送信する監査要求送信ステップと、

前記第 1の証明書の監査結果を受信する監査結果受信ステップと、

を前記利用者装置に実行させることを特徴とするイベント順序証明検証プログラム。前記監査用証明書受信手段は、前記第 1の監査用証明書選択手段によって選択された監査用証明書を受信した第 1の時刻を時刻提供装置力取得する手段を有し前記第 1の証明書監査手段は、前記第 1の証明書の前記証明要求の前記受付時刻が前記第 1の時刻よりも時間的に前であることを示す区間時刻証を前記監査結果に含め、

前記第 1の証明要求を前記証明装置に送信する時点の第 3の時刻を前記時刻提供装置から取得し、該第 3の時刻を所定の手順に従って計算した値を前記第 1の証明要求に含める順序証明要求作成ステップを

前記利用者装置に実行させることを特徴とする請求項 47記載のイベント順序証明検証プログラム。

[49] 前記証明装置は、

を有し、

前記監査装置は、

前記順次集約木の特定のノードに対して、前記第 1の証明書に対する監査要求に含まれる該ノードの割当値と、前記第 2の監査用証明書選択手段で選択された監査用証明書及び該監査用証明書の遅延補完情報から計算された該ノードの割当値が一致する力否かの検証に基づいて、前記第 1の証明書の正当性を監査し、前記第 1 の証明書の前記証明要求の前記受付時刻と前記第 2の監査用証明書選択手段によつて選択された監査用証明書の監査要求の受付時刻の前後関係を証明する第 2の証明書監査手段と、

を有することを特徴とする請求項 47又は 48記載のイベント順序証明検証プロダラム。

[50] 前記監査装置は、

前記利用者装置又は他の利用者装置から第 2の証明要求が為されたときに、前記第 2の証明要求に対して作成された第 2の証明書に対する監査結果と、前記第 1及び第 2の証明書の第 1の順次集約木特定情報に基づいて、前記第 1及び第 2の証明書間における証明要求の受付時刻の前後関係を判定する証明書間順序判定手段を有し、

前記監査結果送信手段は、前記第 1及び第 2の証明書間における前記証明要求の前記受付時間の前記前後関係を前記監査結果に含め、

前記第 1の証明書に対する監査要求は、前記第 2の証明書との時間的順序の判定要求を含むことを特徴とする請求項 49記載のイベント順序証明検証プログラム。

[51] 前記監査装置は、

前記第 1の監査用証明書選択手段で選択された監査用証明書及び該監査用証明書の遅延補完情報を前記利用者装置に送信する監査用補完情報送信手段を有し、前記監査装置から送信された監査用証明書及び該監査用証明書の遅延補完情報を受信するステップを

前記利用者装置に実行させることを特徴とする請求項 49記載のイベント順序証明検証プログラム。

[52] 前記監査用証明書受信手段は、前記第 2の監査用証明書選択手段によって選択された監査要求を前記証明装置に送信した第 2の時刻を時刻提供装置から取得する手段を有し、

第 2の証明書監査手段は、前記第 1の証明書の前記証明要求の前記受付時刻が前記第 2の時刻より時間的に後であることを示す区間時刻証を監査結果に含め、前記第 1の証明要求を前記証明装置に送信した時点の第 3の時刻を前記時刻提供装置から取得し、該第 3の時刻を所定の手順に従って計算した値を前記第 1の証明要求に含める順序証明要求作成ステップを

前記利用者装置に実行させることを特徴とする請求項 48乃至 51のいずれか 1項に記載のイベント順序証明検証プログラム。

[53] 前記証明装置から受信した前記第 1の証明書、及び前記一定時間間隔終了後に取得した該第 1の証明書の補完情報すベてから、前記順次集約木のルート値を計算するルート値計算ステップと、前記一定時間間隔終了後に電子的に公表された前記順次集約木のルート値と前記計算されたルート値が一致するか否かの検証を行うルート値検証ステップと、を

前記利用者装置に実行させることを特徴とする請求項 47乃至 52のいずれか 1項に記載のイベント順序証明検証プログラム。

所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う第 1及び第 2の利用者装置と、各利用者装置力の複数の証明要求に対して複数の証明書を作成するイベント順序証明装置とに通信ネットワークを介して相互に接続されたコンピュータに証明書の正当性を検証させるイベント順序証明検証プログラムであって、

前記イベント順序証明装置は、

前記第 1及び第 2の利用者装置から複数の証明要求を受信する順序証明要求受信手段と、

各証明要求に含まれるデジタル情報力予め定めた手順に従って順次割当データを作成する順次割当データ計算手段と、

一連の順次割当データを時刻順に有向木のリーフに左から順次割り当て、一定時間間隔ごとに 1つの集約木が生成される順次集約木において、同一の親を有する複数の子に割り当てられたそれぞれの割当値を連接した連接値に所定の衝突困難一方向関数を適用した結果値を前記親の割当値とする計算方法により、計算可能なノードの割当値を計算するとともに、前記一定時間間隔終了後に前記順次集約木のルートに割り当てるルート値を計算する順序証明要求集約手段と、

前記順序証明要求集約手段で生成される順次集約木に関する情報を記憶する順次集約木記憶手段と、

各証明要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要なノードに関する情報を前記登録点の補完情報と定義し、該補完情報のうち、前記順次割当データを前記順次集約木に割り当てた時点にお、て取得可能な補完情報を即時補完情報、前記順次割当データを前記順次集約木に割り当てた時点以後において取得可能な補完情報を遅延補完情報と定義し、リーフ aはり右に位置するリーフ a2の割当処理が終了した時点で定まる前記リーフ alの遅延補完情報を、前記リーフ alの前記リーフ a2における遅延補完情報といい、さらに、最新の前記要求から作成された順次割当データが割り当てられた前記順次集約木のリーフを新登録点とすると、

利用者装置ごとに前記複数の証明要求の登録点に関する情報を記憶する登録点記憶手段と、

各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、前記新登録点の即時補完情報と、各利用者装置の過去のすべての登録点の新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成する証明書作成手段と、

前記作成された複数の証明書を前記利用者装置に送信する証明書送信手段と、を有し、

各利用者装置は、

複数の証明要求を前記イベント順序証明装置に送信する証明要求送信手段と、前記イベント順序証明装置から前記複数の証明要求に対する前記複数の証明書を受信する証明書受信手段と、

前記受信した複数の証明書を記憶する証明書記憶手段と、

前記受信し記憶した複数の証明書のうち、検証対象の証明書を検証するコンビュータに送信する検証要求送信手段と、

前記コンピュータから前記検証対象の証明書に対する検証結果を受信する検証結果受信手段と、

を有し、

前記第 1及び第 2の利用者装置から検証対象の証明書を 1つずつ受信するか、或いは前記第 1の前記利用者装置から検証対象の証明書を 2つ受信する証明書受信ステップと、

前記受信した 2つの証明書の順次集約木特定情報に基づいて、前記 2つの証明書のうち発行された順序が時間的に前であると判断された証明書を第 1の証明書、後であると判断された証明書を第 2の証明書とすると、前記第 1の証明書を送信した利用者装置に対して前記第 2の証明書の順次集約木特定情報を送信する順次集約木特定情報送信ステップと、

前記第 1の証明書を送信した利用者装置から、前記第 1の証明書の前記第 2の証明書の発行以降の登録点における遅延補完情報を受信する遅延補完情報受信ステップと、

前記順次集約木の特定のノードに対して、前記第 2の証明書に含まれるノードの割当値と、前記第 1の証明書および前記遅延補完情報から計算されたノードの割当値がー致する力否かの検証に基づいて、各証明書の正当性及び前記第 1の証明書の登録点が前記第 2の証明書の登録点より時間的に前であることを証明する検証ステップと、

検証結果を前記第 1及び第 2の利用者装置、或いは前記第 1又は第 2の利用者装置に送信する検証結果送信ステップと、

を前記コンピュータに実行させることを特徴とするイベント順序証明検証プログラム各利用者装置は、

前記一定時間間隔終了前に、前記イベント順序証明装置が運用を中断、あるいは前記順次集約木のルート値を計算するのに必要なデータを消失したとき、イベント順序証明装置の運用中断あるいはデータ消失の時点までに受信し記憶した証明書から、計算可能な割当値を持つ前記順次集約木のノードのうちで、その親のノードの割当値が計算できないような 1つあるいは複数のノードの位置情報と割当値を、電子的に公表する利用者サイド電子的情報公表手段、

を有し、

前記一定時間間隔終了前に、前記イベント順序証明装置が運用を中断、あるいは前記順次集約木のルート値を計算するのに必要なデータを消失したとき、前記利用者装置により前記利用者サイド電子的情報公表手段で公表されたノードの割当値と、前記証明書受信ステップで受信したデータと前記遅延補完情報受信ステップで受信したデータ力該ノード割当値が計算できるときには計算されたノードの割当値が一致する力否かにより、前記証明書受信ステップで受信したデータと前記遅延補完情報受信ステップで受信したデータが改ざんされて、な、ことの検証を行う利用者サイド公表値による検証ステップ

を前記コンピュータに実行させることを特徴とする請求項 54記載のイベント順序証明検証プログラム。

所定のデジタル情報を生成するイベントの時系列において、あるイベントを生成した相対的な時刻、即ち時間的順序、を証明する証明要求を行う第 1及び第 2の利用者装置と、各利用者装置力の複数の証明要求に応えて複数の証明書を作成するイベント順序証明装置とに通信ネットワークを介して相互に接続されたコンピュータに証明書の正当性を検証させるイベント順序証明検証プログラムであって、

前記イベント順序証明装置は、

各証明要求力作成された順次割当データが割り当てられた前記順次集約木のリーフを登録点と定義し、該登録点力前記順次集約木のルート値を計算するのに必要な他のノードに関する情報を前記登録点の補完情報と定義し、該補完情報のうち、前記順次割当データを前記順次集約木に割り当てた時点にお、て取得可能な補完情報を即時補完情報、前記順次割当データを前記順次集約木に割り当てた時点以後において取得可能な補完情報を遅延補完情報と定義し、リーフ aはり右に位置するリーフ a2の割当処理が終了した時点で定まる前記リーフ alの遅延補完情報を、前記リーフ alの前記リーフ a2における遅延補完情報といい、さらに、最新の前記要求から作成された順次割当データが割り当てられた前記順次集約木のリーフを新登録点とすると、

利用者装置ごとに前記直前の登録点に関する情報を記憶する登録点記憶手段と、各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、新登録点の即時補完情報と、前記利用者装置の前記直前の登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成する証明書作成手段と、

作成された証明応答を前記利用者装置に送信する証明応答送信手段と、を有し、

各利用者装置の各登録点のうち、前記順次集約木の最も右に割り付けられた登録点を暫定終端点とし、該暫定終端点の割付処理が終了した時点において、所定の登録点の取得可能な補完情報すベてを計算することを、前記所定の登録点の証明書に対するインクリメンタル完全化と定義すると、

各利用者装置は、

前記受信した複数の証明書を記憶する証明書記憶手段と、

前記受信し記憶した複数の証明書のうち、検証対象の証明書に対して前記インクリメンタル完全ィヒの処理を行うインクリメンタル完全ィヒ手段と、

前記インクリメンタル完全ィ匕された証明書を検証する検証要求をコンピュータに送信する検証要求送信手段と、

前記コンピュータ力前記検証対象の前記証明書に対する検証結果を受信する検証結果受信手段と、

を有し、

前記第 1及び第 2の利用者装置から検証対象の証明書を 1つずつ受信するか、或いは前記第 1の利用者装置力検証対象の証明書を 2つ受信する証明書受信ステツプと、

前記受信した 2つの証明書の順次集約木特定情報に基づいて、前記 2つの証明書のうち発行された順序が時間的に前であると判断された証明書を第 1の証明書、後であると判断された証明書を第 2の証明書とすると、前記第 1の証明書を送信した利用者装置に、前記第 2の証明書の順次集約木特定情報を送信する順次集約木特定情報送信ステップと、

前記一定時間間隔終了前に、前記イベント順序証明装置が運用を中断、あるいは前記順次集約木のルート値を計算するのに必要なデータを消失したとき、イベント順序証明装置の運用中断あるいはデータ消失の時点までに受信し記憶した証明書から、計算可能な割当値を持つ順次集約木のノードのうちで、その親のノードの割当値が計算できないような 1つあるいは複数のノードの位置情報と割当値を、電子的に公表する利用者サイド電子的情報公表手段、

を有し、

を前記コンピュータに実行させることを特徴とする請求項 56記載のイベント順序証明検証プログラム。

前記利用者装置力複数の証明要求が為されたときに、

前記順序証明要求集約手段で生成される前記順次集約木に関する情報を記憶する順次集約木記憶手段と、

前記直前の登録点に関する情報を記憶する登録点記憶手段と、

各記憶手段によって記憶された情報から、該新登録点の順次割当データと、該順次割当データが割り当てられた前記順次集約木及び該順次集約木のリーフを特定する順次集約木特定情報と、前記新登録点の即時補完情報を備える前記証明書と、前記利用者装置の前記直前の登録点の前記新登録点における遅延補完情報と、を併せることによって前記新登録点に対する証明書を作成する前記証明書作成手段と、

前記作成された複数の証明書を前記利用者装置に送信する証明書送信手段と、を有し、前記利用者装置の各登録点のうち、前記順次集約木の最も右に割り付けられた登録点を暫定終端点と定義し、該暫定終端点の割付処理が終了した時点において、所定の登録点の取得可能な補完情報すベてを計算することを、前記所定の登録点の証明書に対するインクリメンタル完全化と定義すると、

前記複数の証明要求を前記証明装置に送信する要求送信ステップと、前記証明装置から前記複数の証明要求に対する前記複数の証明書を受信する証明書受信ステップと、

前記受信した複数の証明書を記憶する証明書記憶ステップと、

前記受信し記憶した複数の証明書のうち、検証対象の証明書に対して前記インクリメンタル完全ィ匕の処理を行うインクリメンタル完全化ステップと、

を前記利用者装置に実行させることを特徴とする請求項 47に記載のイベント順序証明検証プログラム。

[59] 前記インクリメタル完全化は、前記利用者装置が前記証明装置から受信し記憶した前記複数の証明書を用いて、木構造を構成することなく実行されることを特徴とする請求項 56乃至 58のいずれか 1項に記載のイベント順序証明検証プログラム。

[60] 前記インクリメタル完全化は、所定の登録点の、前記暫定終端点の割付処理が終了した時点において取得可能な補完情報の各要素に対して、前記利用者装置が前記証明装置力受信し記憶した 1つあるいは複数の証明書の中から該要素を直接含む力あるいは該要素を計算するために十分な情報含むような 1つの証明書を選出し、該証明書力該要素を計算することにより実行されることを特徴とする請求項 59に記載のイベント順序証明検証プログラム。

[61] 前記インクリメンタル完全化は、前記利用者装置の前記暫定終端点より左に位置するすべての登録点に対して行うことを特徴とする請求項 59記載のイベント順序証明検証プログラム。

[62] 前記暫定終端点の、左に位置する前記利用者装置の登録点 alとその左に位置し前記登録点 alに最も近!、該利用者装置のもう一つの登録点 a2につ、て、

前記登録点 alの該暫定終端点の割付処理が終了した時点において取得可能な補完情報の全てと、前記登録点 a2及び alにおける受理証明書から、前記登録点の該暫定終端点の割付処理が終了した時点において取得可能な補完情報の全てを計算することを完全化波及処理と定義すると、

前記インクリメタル完全ィ匕は、

前記暫定終端点の、左に位置し、該暫定終端点に最も近い、前記利用者装置の登録点 aに対して該暫定終端点の割付処理が終了した時点において取得可能な補完情報すベてを前記利用者装置が受信し記憶した証明書から取得あるいは計算することから始まり、暫定終端点の左に位置する各登録点の該暫定終端点の割付処理が終了した時点において取得可能な補完情報すベてを計算する処理を、このような登録点のうち一番右に位置する前記登録点 aからはじめ、前記完全ィヒ波及処理を用いて、順次その左に位置する登録点に対して実行することにより木構造を構成することなく実行されることを特徴とする請求項 61に記載のイベント順序証明検証プログラム

[63] 前記インクリメタル完全化は、前記暫定終端点までの各登録点を適宜抽出し、この抽出された登録点間の局所領域に分割し、分割された各局所領域にお!ヽて最も右に割り付けられた登録点を暫定終端点と仮定して、インクリメタル完全ィ匕を行うとともに、抽出された各登録点の取得可能な補完情報すベてを計算する方法により行われることを特徴とする請求項 56乃至 62のいずれか 1項に記載のイベント順序証明検証プログラム。

[64] 前記証明装置は、

前記一定時間間隔終了後に前記順次集約木の前記ルート値を電子的に公表する電子的情報公表手段を有し、

前記一定時間間隔終了後に、前記所定の登録点に関する情報と前記インクリメンタル完全化ステップで計算された補完情報から、前記順次集約木のルート値を計算するルート値計算ステップと、

電子的に公表された前記順次集約木の前記ルート値と前記計算されたルート値が一致するか否かの検証を行うルート値検証ステップと、

を前記利用者装置に実行させることを特徴とする請求項 56乃至 63のいずれか 1項に記載のイベント順序証明検証プログラム。請求項 48又は 52記載のイベント順序証明検証プログラムを実行する利用者装置が前記要求に付した時刻を検証するコンピュータが読み取り可能なイベント時刻検証プログラムであって、

前記監査結果を取得する監査結果取得ステップと、

前記監査結果に対応する前記要求を取得する順序証明要求取得ステップと、前記第 3の時刻と、前記第 1又は第 2の時刻のうち少なくとも 1以上との時間差に基づ、て、前記第 3の時刻の正当性を判定する時刻検証ステップと、

前記判定結果を出力するステップと、

を前記コンピュータに実行させることを特徴とするイベント時刻検証プログラム。