WO2006126668A1 - 擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システム及び方法 - Google Patents

Abstract

　効率的な擬似ランダム関数及びそれを用いた効率的な回数制限匿名認証方式を実現する。擬似ランダム関数計算装置は、鍵生成手段と、擬似ランダム関数計算手段とを有する。鍵生成手段は、有限群の元を成す要素として第一及び第二の要素を持つ組からなる公開鍵と、整数からなる秘密鍵とを生成し、秘密鍵を秘密鍵記憶部に秘密裡に保管し、公開鍵を公開する。擬似ランダム関数計算手段は、整数が入力されると、擬似ランダム関数の関数値として有限群の元を出力する。このとき、公開鍵の前記第一の要素を底とし、入力された整数を指数として、べき乗剰余を計算して得られる値からなる第一の元と、公開鍵の第二の要素を底とし、秘密鍵と入力された整数との和の有限体での逆数を指数として、べき乗剰余を計算して得られる値からなる第二の元との積を出力する。 　

Description

明 細 書

擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システ ム及び方法

技術分野

[0001] 本発明は、擬似ランダム関数計算装置及び方法、並びに回数制限匿名認証システ ム及び方法に係り、特に効率的な擬似ランダム関数及びそれを用いた効率的な回数 制限匿名認証方式に関する。

背景技術

[0002] 一方向性関数を用いて擬似ランダム関数を実現する方法が知られている（例えば、 非特許文献 5参照）が、この方法で実現した擬似ランダム関数 fは、 y= f (X)を満たす Xの知識のゼロ知識証明を効率的に行うことはできない。 y= f (x)を満たす Xの知識 のゼロ知識証明を効率的に行うことができれば、様々な暗号プロトコルを効率的に実 現できるので、擬似ランダム関数で効率的なものが望まれる。

[0003] 一方、電子投票、電子現金、電子クーポン、回数制限付き視聴といった多くのアブ リケーシヨンでは、ユーザのプライバシーを守るため、ユーザが匿名でこれらのアプリ ケーシヨンを使える必要がある。し力も、これらのアプリケーションでは、これと同時に 、ユーザがアプリケーションを使用できる回数を制限する必要がある。

[0004] 回数制限匿名認証方式 (例えば、非特許文献 4参照）は、このようなアプリケーショ ンを実現するのに適した方式である。ユーザがアプリケーションを利用する度に、ァ プリケーシヨン提供者 (AP)がユーザをこの方式に従って認証することで、回数制限 を守っている正直なユーザには匿名性を提供し、そうでないユーザは皆に特定され てしまうようにできる。

[0005] 特に非特許文献 4では、タグ 'メカニズムと 、う、ユーザの認証回数を匿名のまま力 ゥントする仕組みを提案し、 ACJTグループ署名方式 (例えば、非特許文献 1参照）の メンバー追加プロシージャとタグ'メカニズムとを組み合わせることで、回数制限匿名 認証方式を実現している。

[0006] しかし、上記の回数制限匿名認証方式で用いられるタグ ·メカニズムは、効率が悪く 、認証時には、 APとユーザは、ともに制限回数 kに比例した回数の巾乗剰余を計算 する必要がある。例えば、電子クーポンや回数制限つき視聴の場合には、制限回数 が 10を越えることも十分考えられる。このため、上記の非特許文献 4の方式は、これら に応用するには効率が悪い。

非特干文献 1 : G. Ateniese, J.し amenisch, M. Joye, and G. Tsudik, A Practical and Provably Secure Coalition-Resistant roup Signature Scheme", In Advances in Cry ptology - - - CRYPTO 2000, vol. 1880 of LNCS, pp. 255-270, Springer- Verlag, 200 0

非特許文献 2 : P. S. L. M. Barreto, H. Y. Kim, B. Lynn, M. Scott, "Efficient Algorit hms for Pairing- Based Cryptosystems , In Advances in Cryptology -- Crypto' 2002 , vol. 2442 of LNCS, pp. 354-368, Springer- Verlag, 2002

非特許文献 3 : Rafael Pass, "On Deniability in the Common Reference String and Ra ndom Oracle Model", In Advances in Cryptology --- CRYPTO 2003, vol. 2729 of L NCS, pp. 316-337, Springer- Verlag, 2003

非特許文献 4 : Isamu Teranishi, Jun Furukawa, and Kazue Sako, "k- Times Anonymo us Authentication (Extended Abstract)", In Advances in Cryptology ASIAし RYP

T 2004, vol. 3329 of LNCS, pp. 308-322, Springer- Verlag, 2004

非特許文献 5： Oded Goldreich, "Foundation of Cryptography, Basic Tools , Cambri dge University Press, ISBN 0-521-79172-3, USA, 2001, pp. 148-169

発明の開示

発明が解決しょうとする課題

[0007] 既存の擬似ランダム関数の問題点は、擬似ランダム関数 fは、 y=f (x)を満たす Xの 知識のゼロ知識証明を効率的に行うことはできないことにある。その理由は、 fの計算 方法が複雑なためである。

[0008] 既存の回数制限匿名認証方式の問題点は、認証時におけるユーザの計算量が回 数制限 kに比例することである。

[0009] 本発明は、このような従来の事情を考慮してなされたもので、効率的な擬似ランダム 関数及びそれを用いた効率的な回数制限匿名認証方式を実現することを目的とす る。

課題を解決するための手段

[0010] 上記目的を達成するため、本発明に係る擬似ランダム関数計算装置は、有限群の 元を構成する要素として少なくとも第一の要素及び第二の要素を持つ組からなる公 開鍵と、整数カゝらなる秘密鍵とを生成し、生成された前記秘密鍵を記憶装置に秘密 裡に保管し、生成された前記公開鍵を公開する鍵生成手段と、整数が入力されると、 擬似ランダム関数の関数値として、前記有限群の元を出力する擬似ランダム関数計 算手段とを有し、前記擬似ランダム関数計算手段は、前記有限群の元として、前記 公開鍵の前記第一の要素を底とし、前記入力された整数を指数として、べき乗剰余 を計算して得られる値からなる第一の元と、前記公開鍵の前記第二の要素を底とし、 前記秘密鍵と前記入力された整数との和の有限体での逆数を指数として、べき乗剰 余を計算して得られる値力もなる第二の元と、の積を出力することを特徴とする。

[0011] 本発明の別の側面に係る擬似ランダム関数計算装置は、整数力もなる秘密鍵を生 成し、生成された前記秘密鍵を記憶装置に秘密裡に保管する鍵生成手段と、ビット 列と整数との組が入力されると、擬似ランダム関数の関数値として、有限群の元を出 力する擬似ランダム関数計算手段とを有し、前記擬似ランダム関数計算手段は、前 記有限群の元として、前記入力された値で決まる値を底とし、前記入力された整数を 指数として、べき乗剰余を計算して得られる値からなる第一の元と、前記入力された 値で決まる値を底とし、前記秘密鍵と前記入力された整数の和の逆数を指数として、 べき乗剰余を計算して得られる値を指数として、べき乗剰余演算により得られる値か らなる第二の元と、の積を出力することを特徴とする。本発明において、前記底は、前 記入力された値のハッシュ値であってもよ 、。

[0012] 本発明に係る回数制限匿名認証システムは、上記いずれかに記載の擬似ランダム 関数計算装置を用いた回数制限匿名認証システムであって、識別子と、整数 i、 y 、及び 1と、有限群の元 tとを入力するための入力手段と、前記 yを秘密鍵として用い、 前記識別子と前記 kと前記 iとから決まる値を入力して、前記有限群に値をとる擬似ラ ンダム関数の関数値を計算する第一タグ計算手段と、前記 yを秘密鍵として用い、前 記識別子と前記 kと前記 iと力も決まる値を入力して、前記有限群に値をとる擬似ラン ダム関数の関数値を計算し、計算された擬似ランダム関数の関数値を 1乗した値に t を乗じた値を計算する第二タグ計算手段と、前記第一タグ計算手段の計算結果と前 記第二タグ計算手段の計算結果との組を出力する出力手段とを有するタグ生成手段 を備えたことを特徴とする回数制限匿名認証システム。

[0013] 本発明において、整数 kを入力するための入力手段と、電子署名方式の公開鍵及 び秘密鍵ペアを選ぶ電子署名用鍵生成手段と、 k個の整数を選ぶ平文選択手段と、 前記 k個の整数各々に対する署名文を前記公開鍵及び秘密鍵ペアを用いて計算す る電子署名計算手段と、前記電子署名方式の公開鍵と前記 k個の整数と前記 k個の 署名文とからなる組を、前記タグ生成手段の計算に使用されるタグ用公開鍵として出 力する出力手段と、を有するタグ用鍵生成手段を更に備えてもよい。

[0014] 前記電子署名計算手段は、平文として整数を入力するための手段と、平文と整数 の和の有限体での逆元を計算する手段と、計算された前記逆元を指数としてべき乗 剰余を計算し、前記べき乗剰余の計算結果を含む組を前記タグ用公開鍵として出力 する手段とを有してもよい。

[0015] 前記電子署名用鍵生成手段は、有限群から元を選ぶ手段と、整数を選ぶ手段と、 前記元を底とし、前記整数を指数として、べき乗剰余を計算する手段と、選ばれた前 記有限群の元と前記べき乗剰余の計算結果とからなる組を出力する手段とを有して ちょい。

[0016] 本発明において、前記タグ生成手段に整数 1を入力して計算される計算結果をてと し、前記タグ生成手段に整数 1'を入力して計算される計算結果を τ 'としたとき、前記 τ、 1、 τ，、 の四つのデータを入力するための入力手段と、前記てを前記て 'で割 つた値を底とし、前記 1から前記 を減じた値の有限体での逆数を指数として、べき乗 剰余を計算する計算手段と、前記べき乗剰余の計算結果を出力する出力手段と、を 有するメンバー特定情報抽出手段を更に備えてもよい。

[0017] 本発明にお 、て、グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケー シヨン提供者 (以下、 ΑΡ)装置の公開鍵と、前記 ΑΡ装置の識別子と、整数 k、 i、及び 1とを入力するための入力手段と、前記グループメンバーとしての秘密鍵から整数 yを 作り、前記 AP装置の識別子と、前記 k、 i、 1、及び yとを入力として、前記タグ生成手 段によりタグを成すデータを計算する手段と、前記タグの正当性証明文を計算する正 当性証明手段と、前記タグと前記正当性証明文とを出力する出力手段と、を有する グループ証明手段を更に備えてもよ!ヽ。

[0018] 本発明にお ヽて、有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする 第一の組と、有限群の元て 'と有限群の元 'と整数 1'と証明文 ρ'とを要素とする第 二の組とを入力するための入力手段と、前記 τと前記 τ 'とが同一である力否かを判 定する第一判定手段と、前記 1と前記 とが同一であるか否かを判定する第二判定手 段と、前記証明文 ρが正当であるか否かを判定する第三判定手段と、前記証明文 ρ' が正当である力否かを判定する第四判定手段と、予め設定された対応表に基づいて 、前記メンバー特定情報抽出手段の計算結果と対応する識別子を取得する識別子 取得手段と、を有するトレース手段を更に有してもよい。

[0019] 本発明に係る擬似ランダム関数計算方法は、有限群の元を構成する要素として少 なくとも第一の要素及び第二の要素を持つ組からなる公開鍵と、整数力 なる秘密鍵 とを生成し、生成された前記秘密鍵を記憶装置に秘密裡に保管し、生成された前記 公開鍵を公開する鍵生成ステップと、整数が入力されると、擬似ランダム関数の関数 値として、前記有限群の元を出力する擬似ランダム関数計算ステップとを有し、前記 擬似ランダム関数計算ステップは、前記有限群の元として、前記公開鍵の前記第一 の要素を底とし、前記入力された整数を指数として、べき乗剰余を計算して得られる 値からなる第一の元と、前記公開鍵の前記第二の要素を底とし、前記秘密鍵と前記 入力された整数との和の有限体での逆数を指数として、べき乗剰余を計算して得ら れる値力 なる第二の元と、の積を出力することを特徴とする。

[0020] 本発明の別の側面に係る擬似ランダム関数計算方法は、整数力もなる秘密鍵を生 成し、生成された前記秘密鍵を記憶装置に秘密裡に保管する鍵生成ステップと、ビ ット列と整数との組が入力されると、擬似ランダム関数の関数値として、有限群の元を 出力する擬似ランダム関数計算ステップとを有し、前記擬似ランダム関数計算ステツ プは、前記有限群の元として、前記入力された値で決まる値を底とし、前記入力され た整数を指数として、べき乗剰余を計算して得られる値からなる第一の元と、前記入 力された値で決まる値を底とし、前記秘密鍵と前記入力された整数の和の逆数を指 数として、べき乗剰余を計算して得られる値を指数として、べき乗剰余演算により得ら れる値力もなる第二の元と、の積を出力することを特徴とする。本発明において、前 記底は、前記入力された値のハッシュ値であってもよ 、。

[0021] 本発明に係る回数制限匿名認証方法は、上記いずれかに記載の擬似ランダム関 数計算方法を用いた回数制限匿名認証方法であって、識別子と、整数 k、 i、 y、及び 1と、有限群の元 tとを入力するためのステップと、前記 yを秘密鍵として用い、前記識 別子と前記 kと前記 iと力も決まる値を入力して、前記有限群に値をとる擬似ランダム 関数の関数値を計算する第一タグ計算ステップと、前記 yを秘密鍵として用い、前記 識別子と前記 kと前記 iと力も決まる値を入力して、前記有限群に値をとる擬似ランダ ム関数の関数値を計算し、計算された擬似ランダム関数の関数値を 1乗した値に tを 乗じた値を計算する第二タグ計算ステップと、前記第一タグ計算ステップの計算結果 と前記第二タグ計算ステップの計算結果との組を出力するステップとを有するタグ生 成ステップを備えたことを特徴とする。

[0022] 本発明において、整数 kを入力するための入力ステップと、電子署名方式の公開鍵 及び秘密鍵ペアを選ぶ電子署名用鍵生成ステップと、 k個の整数を選ぶ平文選択ス テツプと、前記 k個の整数各々に対する署名文を前記公開鍵及び秘密鍵ペアを用い て計算する電子署名計算ステップと、前記電子署名方式の公開鍵と前記 k個の整数 と前記 k個の署名文とからなる組を、前記タグ生成手段の計算に使用されるタグ用公 開鍵として出力する出力ステップと、を有するタグ用鍵生成ステップを更に備えてもよ い。

[0023] 前記電子署名計算ステップは、平文として整数を入力するためのステップと、平文 と整数の和の有限体での逆元を計算するステップと、計算された前記逆元を指数とし てべき乗剰余を計算し、前記べき乗剰余の計算結果を含む組を前記タグ用公開鍵と して出力するステップとを有してもよ!、。

[0024] 前記電子署名用鍵生成ステップは、有限群力ゝら元を選ぶステップと、整数を選ぶス テツプと、前記元を底とし、前記整数を指数として、べき乗剰余を計算するステップと 、選ばれた前記有限群の元と前記べき乗剰余の計算結果とからなる組を出力するス テツプとを有してもよい。 [0025] 本発明にお 、て、前記タグ生成ステップにて整数 1を入力して計算される計算結果 をてとし、前記タグ生成ステップにて整数 を入力して計算される計算結果をて 'とし たとき、前記 τ、 1、 τ '、 の四つのデータを入力するためのステップと、前記 τを前 記 τ 'で割った値を底とし、前記 1から前記 を減じた値の有限体での逆数を指数とし て、べき乗剰余を計算するステップと、前記べき乗剰余の計算結果を出力するステツ プと、を有するメンバー特定情報抽出ステップを更に備えてもよい。

[0026] 本発明にお 、て、グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケー シヨン提供者 (以下、 ΑΡ)装置の公開鍵と、前記 ΑΡ装置の識別子と、整数 k、 i、及び 1とを入力するためのステップと、前記グループメンバーとしての秘密鍵から整数 yを 作り、前記 AP装置の識別子と、前記 k、 i、 1、及び yとを入力として、前記タグ生成ステ ップにてタグを成すデータを計算するステップと、前記タグの正当性証明文を計算す るステップと、前記タグと前記正当性証明文とを出力するステップと、を有するグルー プ証明ステップを更に備えてもょ 、。

[0027] 本発明にお ヽて、有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする 第一の組と、有限群の元て 'と有限群の元 'と整数 1'と証明文 ρ 'とを要素とする第 二の組とを入力するためのステップと、前記てと前記て 'とが同一である力否かを判 定するステップと、前記 1と前記 とが同一であるか否かを判定するステップと、前記証 明文 ρが正当であるか否かを判定するステップと、前記証明文 ρ 'が正当である力否 かを判定するステップと、予め設定された対応表に基づいて、前記メンバー特定情報 抽出ステップの計算結果と対応する識別子を取得するステップと、を有するトレース ステップを更に備えてもよい。

発明の効果

[0028] 本発明によれば、効率的な擬似ランダム関数及びそれを用いた効率的な回数制限 匿名認証方式を実現できる。

[0029] 即ち、擬似ランダム関数は、少ない回数の逆数計算とべき乗剰余とで関数値を計 算できる。関数値の計算アルゴリズムが単純単純になり、これにより、 y= f (X)を満た す Xの知識のゼロ知識証明を効率的に行うことができ、既存の擬似ランダム関数の問 題点を解決できる。 [0030] また、回数制限匿名認証では、既存の方式とは異なり、ユーザが計算すべきデータ 個数が O (log k)個である。よって、認証時におけるユーザの計算量は制限回数 kに 比例しない。

図面の簡単な説明

[0031] [図 1]本発明の実施例 5、 6による回数制限匿名認証システムの全体構成を示す図で ある。

[図 2]本発明の実施例 1による擬似ランダム関数計算装置の全体構成を示す図であ る。

[図 3]図 2に示す擬似ランダム関数用鍵生成手段と擬似ランダム関数計算手段の処 理手順を説明する概略フローチャートである (実施例 1)。

[図 4]本発明の実施例 2による擬似ランダム関数計算装置の全体構成を示す図であ る。

[図 5]図 4に示す擬似ランダム関数用鍵生成手段と擬似ランダム関数計算手段の処 理手順を説明する概略フローチャートである (実施例 2)。

[図 6]本発明の実施例 3による回数制限匿名認証システムの全体構成を示す図であ る。

[図 7]図 6に示す回数制限匿名認証システムの各手段の処理手順を説明する概略フ ローチャートである（実施例 ₃)。

[図 8]図 7に示すタグ用鍵生成手段で用いる電子署名用鍵生成手段と電子署名手段 の処理手順を説明する概略フローチャートである（実施例 3)。

[図 9]本発明の実施例 4による回数制限匿名認証システムの全体構成を示す図であ る。

[図 10]図 9に示すタグ計算手段の処理手順を説明する概略フローチャートである（実 施例 4)。

[図 11]図 1に示す GMセットアップ手段と APセットアップ手段の処理手順を説明する 概略フローチャートである（実施例 5)。

[図 12]図 1に示す発行手段と参加手段の処理手順を説明する概略フローチャートで ある（実施例 5)。 [図 13]図 1に示すグループ証明手段とグループ検証手段の処理手順を説明する概 略フローチャートである（実施例 5)。

[図 14]図 1に示すトレース手段の処理手順を説明する概略フローチャートである（実 施例 5)。

[図 15]図 1に示すトレース手段とリスト記憶部の処理手順を説明する概略フローチヤ ートである（実施例 5)。

[図 16]図 1に示す GMセットアップ手段で用いる発行者用鍵生成手段の処理手順を 説明する概略フローチャートである（実施例 5)。

[図 17]図 1に示す発行手段及び参加手段で用いる第一発行手段及び第一参加手段 の処理手順を説明する概略フローチャートである（実施例 5)。

[図 18]図 1に示す発行手段及び参加手段で用いる第二発行手段、第二参加手段、 及びフアイ計算手段の処理手順を説明する概略フローチャートである (実施例 5)。

[図 19]図 1に示すユーザ装置による証明文の作成方法の処理手順を説明する概略 フローチャートである（実施例 ₅)。

[図 20]図 1に示すユーザ装置による証明文の作成方法の処理手順を説明する概略 フローチャートである（実施例 ₅)。

[図 21]図 1に示す AP装置による証明文の正当性検証方法の処理手順を説明する概 略フローチャートである（実施例 5)。

[図 22]図 1に示すユーザ装置による証明文の作成方法の処理手順を説明する概略 フローチャートである（実施例 6)。

[図 23]図 1に示すユーザ装置による証明文の作成方法の処理手順を説明する概略 フローチャートである（実施例 6)。

[図 24]図 1に示す AP装置による証明文の正当性検証方法の処理手順を説明する概 略フローチャートである（実施例 6)。

符号の説明

1 擬似ランダム関数計算装置

2 擬似ランダム関数用鍵生成手段

3 秘密鍵記憶部 公開鍵記憶部

入力手段

擬似ランダム関数計算手段 出力手段

メンバー特定情報生成装置 秘密鍵生成手段 公開情報記憶部 メンバー特定情報生成手段 通信装置

書き込み手段

乱数生成装置

公開情報記憶部 乱数選択手段

通信手段

タグ生成装置

公開情報記憶部 タグ生成手段

入力手段

通信装置

タグ計算手段

メンバー特定情報抽出装置 公開情報記憶部 メンバー特定情報抽出手段 一致性判定手段 出力手段

通信装置

鍵生成装置

入力手段 公開情報記憶部 タグ用鍵生成手段 通信手段

GM装置

GMセットアップ手段 発行手段 秘密情報記憶部 公開情報記憶部 通信手段 リスト記憶装置 リスト記憶部 通信手段 ユーザ装置 参加手段 グループ証明手段 秘密情報記憶部 公開情報記憶部 通信手段

AP装置

APセットアップ手段 グループ検証手段 公開情報記憶部 履歴記憶部 通信手段 トレース装置 トレース手段 公開情報記憶部 通信手段 発明を実施するための最良の形態

[0033] 以下、本発明に係る擬似ランダム関数計算装置及び方法、並びに回数制限匿名 認証システム及び方法を実施するための最良の形態にっ 、て、添付図面を参照して 説明する。

実施例 1

[0034] 本実施例は、擬似ランダム関数計算装置に適用したものである。

[0035] 図 2を参照して、本実施例の装置構成を説明する。図 2に示す擬似ランダム関数計 算装置 1は、機能上、擬似ランダム関数用鍵生成手段 2、秘密鍵記憶部 3、公開鍵記 憶部 4、入力手段 5、擬似ランダム関数計算手段 6、及び出力手段 7を有している。

[0036] 擬似ランダム関数計算装置 1は、一例としてコンピュータ機の CPU、記憶装置、そ の他の各種入出力装置によって実現される。この例では、擬似ランダム関数用鍵生 成手段 2及び擬似ランダム関数計算手段 6は、コンピュータ機の CPUが記憶装置上 のコンピュータプログラムの命令を実行することにより実現される。ここで用いられるコ ンピュータプログラムは、各手段 2、 6の処理アルゴリズム (後述参照）に応じて予め設 定される。また、秘密鍵記憶部 3及び公開鍵記憶部 4は、コンピュータ機の記憶装置 により実装される。さらに、入力手段 5及び出力手段 7は、コンピュータ機の入出力装 置に対応する。

[0037] 以下の説明では、 ωをセキュリティ 'パラメータとし、 G—1を有限巡回群で G—1の 位数が ωビットの整数であるものとし、 qを G— 1の位数とする。本実施例の擬似ラン ダム関数計算装置 1は、なんらかの方法で G—1のパラメータ、 ω、および qを事前に 入手しており、 G— 1のパラメータ、 ω、および qが公開鍵記憶部 4に書き込まれてい るものとする。 G— 1のパラメータ、 ω、および qを入手する方法は、どのようなものでも よい。例えば、外部力もの入力として得る、装置の回路にハードウェア的に書き込ん でおぐといった方法がある。

[0038] 次に、擬似ランダム関数用鍵生成手段 2及び擬似ランダム関数計算手段 6の処理 手順を図 3に従って説明する。図 3に示す処理手順は、コンピュータ機の記憶装置上 に格納されるコンピュータプログラムとして実現され、コンピュータ機の CPUにより実 行される。 [0039] 図 3において、擬似ランダム関数用鍵生成手段 2は、次の処理を実行する。まず、 G — 1の元 g、 hをランダムに選ぶ（ステップ SI)。次に、 Z— qの元 yをランダムに選ぶ（ス テツプ S2)。次に、 yを秘密鍵記憶部 3に、 (g, h)を公開鍵記憶部 4にそれぞれ書き 込む (ステップ S3)。最後に、（g, h)を出力する (ステップ S4)。

[0040] 図 3において、擬似ランダム関数計算手段 6は、次の処理を実行する。まず、 G— 1 の元 iを入力として受け取る (ステップ S5)。次に、 f (i) =g' {i}h' { lZ (y+iMを計算 する (ステップ S6)。最後に、 f (i)を出力する (ステップ S7)。

[0041] 従って、本実施例によれば、少ない回数の逆数計算とべき乗剰余とで擬似ランダム 関数の関数値を計算できるため、関数値の計算アルゴリズムが単純になり、これによ り、 y=f (x)を満たす Xの知識のゼロ知識証明を効率的に行うことができる。

実施例 2

[0042] 本実施例は、擬似ランダム関数計算装置に適用したものである。

[0043] 図 4を参照して、本実施例の装置構成を説明する。図 4に示す本実施例の擬似ラン ダム関数計算装置 1は、機能上、擬似ランダム関数用鍵生成手段 2、秘密鍵記憶部 3、公開鍵記憶部 4、入力手段 5、擬似ランダム関数計算手段 6、及び出力手段 7を 有している。

[0044] 擬似ランダム関数計算装置 1は、一例としてコンピュータ機の CPU、記憶装置、そ の他の各種入出力装置によって実現される。この例では、擬似ランダム関数用鍵生 成手段 2及び擬似ランダム関数計算手段 6は、コンピュータ機の CPUが記憶装置上 のコンピュータプログラムの命令を実行することにより実現される。ここで用いられるコ ンピュータプログラムは、各手段 2、 6の処理アルゴリズム (後述参照）に応じて予め設 定される。また、秘密鍵記憶部 3及び公開鍵記憶部 4は、コンピュータ機の記憶装置 により実装される。さらに、入力手段 5及び出力手段 7は、コンピュータ機の入出力装 置に対応する。

[0045] 以下の説明では、 ωをセキュリティ 'パラメータとし、 G—1を有限巡回群で G—1の 位数が ωビットの整数であるものとし、 qを G— 1の位数とする。本実施例の擬似ラン ダム関数計算装置は、なんらかの方法で G—1のパラメータ、 ω、および qを事前に入 手しており、 G— 1のパラメータ、 ω、および qが公開鍵記憶部 4に書き込まれているも のとする。 G— 1のパラメータ、 ω、および qを入手する方法はどのようなものでもよい。 例えば、外部力もの入力として得る、装置の回路にハードウェア的に書き込んでおく 、といった方法がある。

[0046] 次に、擬似ランダム関数用鍵生成手段 2の処理手順を図 5に従って説明する。図 5 に示す処理手順は、コンピュータ機の記憶装置上に格納されるコンピュータプロダラ ムとして実現され、コンピュータ機の CPUにより実行される。

[0047] 図 5において、擬似ランダム関数用鍵生成手段 2は、 Z— qの元 yをランダムに選び（ ステップ S 11)、 yを秘密鍵記憶部 3に書き込む (ステップ S 12)。

[0048] 図 5において、擬似ランダム関数計算手段 6は、次の処理を実行する。

[0049] まず、ビット列 Xと G— 1の元 iを入力として受け取る（ステップ S13)。

[0050] 次に、（g_{X}， h_{X}) =H_{G_1 "2} (X)を計算する (ステップ S 14)。ここで

、 H— {G— Γ2}は、 G—Γ 2に値を取るハッシュ関数を示す。

[0051] 次に、 f [y]_{ ω } (i, X) =g_{X} " {i}h_{X} " { 1/ (y + i) }を計算する (ステップ

S15)。

[0052] 最後に、 f [y]_ } (i, X)を出力する (ステップ S16)。

[0053] 従って、本実施例でも、前述の実施例 1と同様に、少ない回数の逆数計算とべき乗 剰余とで擬似ランダム関数の関数値を計算できるため、関数値の計算アルゴリズムが 単純になり、これにより、 y=f (x)を満たす Xの知識のゼロ知識証明を効率的に行うこ とがでさる。

実施例 3

[0054] 本実施例は、前述した擬似ランダム関数計算装置を用いた回数制限匿名認証シス テムに適用したものである。

[0055] 図 6を参照して、本実施例の装置構成を説明する。図 6に示すシステムは、機能上

、メンバー特定情報生成装置 10、乱数生成装置 20、タグ生成装置 30、メンバー特 定情報抽出装置 40、及び鍵生成装置 50を有している。前述した擬似ランダム関数 計算装置は、タグ生成装置 30により用いられている。

[0056] メンバー特定情報生成装置 10は、機能上、秘密鍵生成手段 11、公開情報記憶部

12、メンバー特定情報生成手段 13、書き込み手段 14、及び通信手段 15を備える。 [0057] 乱数生成装置 20は、機能上、公開情報記憶部 21、乱数選択手段 22、及び通信 手段 23を備える。

[0058] タグ生成装置 30は、前述した擬似ランダム関数計算装置を用いたもので、機能上 、公開情報記憶部 31、タグ計算手段 32、入力手段 33、及び通信装置 34を備える。

[0059] メンバー特定情報抽出装置 40は、機能上、公開情報記憶部 41、メンバー特定情 報抽出手段 42、一致性判定手段 43、出力手段 44、及び通信装置 45を備える。

[0060] 鍵生成装置 50は、機能上、入力手段 51、公開情報記憶部 52、タグ用鍵生成手段 53、及び通信手段 54を備える。

[0061] 上記の各装置 10〜50は、一例としてコンピュータ機の CPU、記憶装置、ネットヮー クインターフェース部、その他の各種入出力装置によって実現される。この例では、 各手段 11、 13、 14、 22、 32、 42、 43、 53は、各コンピュータ機の CPU力記憶装置 上のコンピュータプログラムの命令を実行することにより実現される。ここで用いられる コンピュータプログラムは、各手段の処理アルゴリズム (後述参照）に応じて予め設定 される。また、公開情報記憶部 12、 21、 31、 41、 52は、各コンピュータ機の記憶装 置により実装される。通信手段 15、 23、 54、及び通信装置 34, 45は、各コンビユー タ機のネットワークインターフェース部に、また入力手段 23、 51、及び出力手段 44は 、各コンピュータ機の入出力装置にそれぞれ対応する。

[0062] 図 6では、もっとも単純な場合として、 5種類の装置 10〜50がそれぞれ一台ずつし かない場合を描いているが、各種類の装置が複数台あっても力まわない。また、図 6 では、各装置 10〜50が別々の機械である場合を描いている力 一つの機械が二種 類の装置の機能を兼ねて!/ヽても力まわな!/、。

[0063] メンバー特定情報生成装置 10、乱数生成装置 20、タグ生成装置 30、メンバー特 定情報抽出装置 40、及び鍵生成装置 50は、それぞれ通信手段 14、 23、 34、 45、 5 4を使って相互に通信できる。通信媒体としては、どのような通信媒体を用いてもかま わない。例えばインターネット、電波、電話回線といったものを用いることができる。

[0064] 各装置 10〜50は、他の装置が公開している公開情報をなんらかの方法で入手で きるものとする。公開情報の入手手段は、どのような方法を用いても力まわない。例え ば、公開情報を公開している装置力 前述の通信手段を用いて直接受け取る方法、 公開情報のリストを持って 、るサーバから前述の通信手段を用いて受け取る方法、を 用!/、ることができる。

[0065] 次に、本実施例の動作を図 7及び図 8に従って説明する。図 7及び図 8に示す処理 手順は、各装置に対応するコンピュータ機の記憶装置上に格納されるコンピュータプ ログラムとして実現され、各コンピュータ機の CPUにより実行される。

[0066] 以下の説明では、 ωをセキュリティ 'パラメータとし、 G—1を有限巡回群で G—1の 位数が ωビットの整数であるものとし、 qを G— 1の位数とする。本実施例で適用され る擬似ランダム関数計算装置は、なんらかの方法で G—1のパラメータ、 ω、および q を事前に入手しており、 G— 1のパラメータ、 ω、および qが各装置 10〜50の公開情 報記憶部 12、 21、 31、 41、 52に書き込まれているものとする。 G— 1のパラメータ、 ω、および qを入手する方法はどのようなものでもよい。例えば外部力 の入力として 得る、装置の回路にハードウェア的に書き込んでおぐといった方法がある。各装置 1 0〜50は、必要に応じてこれらのデータを読み込む。

[0067] 図 7において、まず、メンバー特定情報生成装置 10は、秘密鍵生成手段 11の処理 を行って、 Z— qの元 yをランダムに選ぶ（ステップ S21)。 g— 1を G— 1の元とし、 v— { ω } (y) =g— l ' {y}とする。 g—1は事前に何らかの方法で選ばれ、全ての装置 10 〜50の公開情報記憶部 12、 21、 31、 41、 52に事前に記憶されているものとする。 g —1をどのような方法で選び、どのような方法で各装置 10〜50に配布しても力まわな いが、安全性の観点から言えば、 g—1を何らかの値のハッシュ値にセットすることが 望ましい。

[0068] 次にメンバー特定情報生成装置 10は、メンバー特定情報生成手段 42の処理を行 つて、 t_l = V _{ ω } (y)とする（ステップ S22)。

[0069] ここで、 G— 2、 H— 2、 G— 3を、位数力 ¾である有限巡回群とし、 < · , · >は G— 2

X H— 2の元 (g, h，）に G— 3の元く g, h，>を対応させる写像で、 <g"x, h' "y> = <g, h' > " {xy}が任意の g, h' , x, yに対して成立するものとする。このような組 (G —2、 H— 2、 G— 3、 < · , - >)の生成方法、およびく ·， · >の計算方法は様々なも のが知られているが、そのどれを用いてもよい (例えば、非特許文献 2参照)。

[0070] 次に、鍵生成装置 50がタグ用鍵生成手段 53の処理を行う。 [0071] タグ用鍵生成手段 53は、ステップ S23、 S24にて、それぞれ電子署名用鍵生成手 段、電子署名手段による処理を行うので、タグ用鍵生成手段 53の処理を説明する前 に、電子署名用鍵生成手段と、電子署名手段との各処理を図 8に従って説明する。

[0072] 図 8において、電子署名用鍵生成手段は、まず、 G— 2の元 g— 2をランダムに選ぶ

(ステップ S41)。次に、 H— 2の元 g，— 2をランダムに選ぶ（ステップ S42)。次に、 Z — qの元 sskをランダムに選ぶ（ステップ S43)。

[0073] 次に、 h'— 2=g ' _ 2" {

を計算する（ステップ344)。

[0074] 最後に、（g— 2, g'_2, h'— 2)を電子署名用公開鍵 spkとしてセットする (ステツ プ S45)。

[0075] 電子署名手段は、まず、 spkを (g_2, g'_2, h'_2)とパースする（ステップ S46) 。次に、平文 j8に対する署名文 S =g_2' { lZ (ssk+ |8 ) }を計算する (ステップ S4 7)。

[0076] 鍵生成装置 50は、非負整数 kを入力として受け取ったら、図 7に示すタグ用鍵生成 手段 53の処理を行う。

[0077] 図 7において、まず、鍵生成装置 50は、電子署名用鍵生成手段の処理を行い、電 子署名用公開鍵 spkと、電子署名用秘密鍵 sskとを生成する (ステップ S23)。

[0078] 次に、鍵生成装置 50は、平文 β—1, · ··, |8— kを選び、（spk, ssk)を使って電子 署名手段の処理を行！、、各 β—iに対する署名文 S— iを作成する (ステップ S24)。

[0079] 最後に鍵生成装置 50は、 apk= (spk, ( β—Ι, S_l) , · ··, ( β _k, S— k) )とす る（ステップ S 25)。

[0080] 次に乱数生成装置 20は、乱数選択手段 21の処理を行い、 Z— qの元 1をランダムに 選んで出力する (ステップ S26)。

[0081] 次にタグ生成装置 30は、通信手段 23、 34を使って乱数生成装置 20と通信して、 1 を受信し、通信装置 54、 34を使って鍵生成装置 50と通信して、 apkを受信し、タグ 生成手段 32の処理を開始する。このタグ生成手段 32の処理を説明する。

[0082] まず、タグ生成装置 30は、タグ生成手段 32の処理により、タグ生成装置 30の ID、 タグ生成装置 32がアクセスを許す回数の上限値 k,および現時点でのアクセス回数 i

(i≤k)を受け取る（ステップ S27)。 [0083] 次にタグ生成装置 30は、 apkを（spk, (β—Ι, S_l), ···, ( β—k, S— k))とパ ースする（ステップ S 28)。

[0084] 次にタグ生成装置 30は、 f[y]_{ ω }を実施例 2の擬似ランダム関数とし、 F[y]_{ ω } (X, i) =f[y]_{ ω } (X, — i)とする。

[0085] 最後に、タグ生成装置 30は、 (τ, ） = (f [y]— } (ID | | k, β _i) , F[y]_

{ ω } (ID I | k, |8_ )を計算する(ステップ329)。;[[ ]—{ 0) }と？[ ]—{ 0) }は、 前述した実施例 2の擬似ランダム関数計算手段 6の処理を行うことで計算する。

[0086] 次に、タグ生成手段 32の処理が同じ入力（ID, k, i)を使って二度行われたとする。

各タグ生成手段 32の出力を（τ , ， 1)、（τ , /ζ', )とする。

[0087] この場合、メンバー特定情報抽出装置 40は、通信手段 34、 45を使って、タグ生成 装置 30から ， 1)、 (μ ', 1')を受け取り、メンバー特定情報抽出手段 42と一致性 判定手段 43の各処理を順に行う。

[0088] メンバー特定情報抽出装置 40は、メンバー特定情報抽出手段 42の処理を行い、 (

/ ')"{1/ (1—1，) }を計算する (ステップ S30、 S31)。

[0089] メンバー特定情報抽出装置 40は、一致性判定手段 43の処理を行い、 t— 1と（ Z

^ ')"{1/(1-1')}とが入力されたら、 ί_1=( τ/τ ')"{1/(1-1') }であるかどう かを出力する (ステップ S32)。

[0090] 従って、本実施例によれば、回数制限匿名認証は既存の方式とは異なり、ユーザ が計算すべきデータ個数が O (log k)個であるため、認証時におけるユーザの計算 量は制限回数 kに比例しないから、効率的な回数制限匿名認証方式を実現すること ができる。

実施例 4

[0091] 本実施例は、前述した擬似ランダム関数計算装置を用いた回数制限匿名認証シス テムに適用したものである。

[0092] 図 9を参照して、本実施例の装置構成を説明する。図 9に示すシステムは、機能上

、メンバー特定情報生成装置 10、乱数生成装置 20、タグ生成装置 30、及びメンバ 一特定情報抽出装置 40を有している。前述した擬似ランダム関数計算装置は、タグ 生成装置 30により用いられて 、る。 [0093] メンバー特定情報生成装置 10は、機能上、秘密鍵生成手段 11、公開情報記憶部 12、メンバー特定情報生成手段 13、通信手段 14、及び書き込み手段 15を備える。

[0094] 乱数生成装置 20は、機能上、公開情報記憶部 21、乱数選択手段 22、及び通信 手段 23を備える。

[0095] タグ生成装置 30は、前述した擬似ランダム関数計算装置を用いたもので、機能上 、公開情報記憶部 31、入力手段 33、通信装置 34、及びタグ計算手段 35を備える。

[0096] メンバー特定情報抽出装置 40は、機能上、公開情報記憶部 41、メンバー特定情 報抽出手段 42、一致性判定手段 43、出力手段 44、及び通信装置 45を備える。

[0097] 上記の各装置 10〜50は、一例としてコンピュータ機の CPU、記憶装置、ネットヮー クインターフェース部、その他の各種入出力装置によって実現される。この例では、 各手段 11、 13、 14、 22、 42、 43、 53は、各コンピュータ機の CPU力記憶装置上の コンピュータプログラムの命令を実行することにより実現される。ここで用 、られるコン ピュータプログラムは、これら各手段の処理アルゴリズム (後述参照）に応じて予め設 定される。また、公開情報記憶部 12、 21、 31、 41、 52は、コンピュータ機の記憶装 置により実装される。通信手段 15、 23、 54、及び通信装置 34, 45は、各コンビユー タ機のネットワークインターフェース部に、また入力手段 23、 51、及び出力手段 44は 、各コンピュータ機の入出力装置にそれぞれ対応する。

[0098] 図 9では、もっとも単純な場合として、 5種類の装置がそれぞれ一台ずつしかない場 合を描いているが、各種類の装置が複数台あっても力まわない。また、図では、各装 置が別々の機械である場合を描いているが、一つの機械が二種類の装置の機能を 兼ねていてもかまわない。

[0099] メンバー特定情報生成装置 10、乱数生成装置 20、タグ生成装置 30、メンバー特 定情報抽出装置 40は、それぞれ通信手段 14、 23、 34、 45を使って相互に通信で きる。通信媒体としてどのような通信媒体を用いても力まわない。例えばインターネッ ト、電波、電話回線といったものを用いることができる。

[0100] 各装置 10〜40は、他の装置が公開している公開情報をなんらかの方法で入手で きるものとする。公開情報の入手手段は、どのような方法を用いても力まわない。例え ば、公開情報を公開している装置力 前述の通信手段を用いて直接受け取る方法、 公開情報のリストを持って 、るサーバから前述の通信手段を用いて受け取る方法、を 用!/、ることができる。

[0101] 実施例 4のメンバー特定情報生成装置 10、乱数生成装置 20、メンバー特定情報 抽出装置 40は、前述した実施例 3のメンバー特定情報生成装置 10、乱数生成装置 20、及びメンバー特定情報抽出装置 40と同じ動作をする。

[0102] また、実施例 4のタグ生成装置 30の通信装置 34、公開情報記憶部 31、入力手段 3 3は、前述した実施例 3のタグ生成装置 30の通信装置 34、公開情報記憶部 31、及 び入力手段 33と同じ機能を持っている。

[0103] 次に、図 10を参照して、実施例 4のタグ計算手段 35を説明する。図 10に示す処理 手順は、コンピュータ機の記憶装置上に格納されるコンピュータプログラムとして実現 され、コンピュータ機の CPUにより実行される。

[0104] 以下の説明では、 ωをセキュリティ 'パラメータとし、 G—1を有限巡回群で G—1の 位数が ωビットの整数であるものとし、 qを G— 1の位数とする。擬似ランダム関数計算 装置は、なんらかの方法で G—1のパラメータ、 ω、および qを事前に入手しており、 G —1のパラメータ、 ω、および qが各装置の公開情報記憶部に書き込まれているもの とする。 G— 1のパラメータ、 ω、および qを入手する方法どのようなものでもよい。例え ば外部からの入力として得る、装置の回路にハードウェア的に書き込んでおぐとい つた方法がある。各装置 10〜50は、必要に応じてこれらのデータを読み込む。

[0105] 図 10において、タグ生成装置 3は、タグ計算手段 35の処理を行い、タグ生成装置 の ID、タグ生成装置がアクセスを許す回数の上限値 k、および現時点でのアクセス回 数 i≤kを受け取る（ステップ S51)。

[0106] f[y]_{ ω }を前述した実施例 2の擬似ランダム関数とし、 F[y]_{ ω } (X, i) =f[y ]_{ ω } (Χ, — i)とする。

[0107] 最後に、タグ生成装置 3は、（τ , ） = (f[y]_ } (ID I | k, i) , F[y]_ { ω } (I D I I k, i) )を計算する (ステップ S52)。

[0108] f[y]_{ ω }と F[y]_ { ω }は、実施例 2の擬似ランダム関数計算手順 BPRF5を行 うことで計算する。

[0109] 従って、本実施例でも、前述の実施例 3と同様に、回数制限匿名認証は既存の方 式とは異なり、ユーザが計算すべきデータ個数が O (log k)個であるため、認証時に おけるユーザの計算量は制限回数 kに比例しないから、効率的な回数制限匿名認証 方式を実現することができる。

実施例 5

[0110] 本実施例は、前述した擬似ランダム関数計算装置を用いた回数制限匿名認証シス テムに適用したものである。

[0111] 図 1を参照して、本実施例の装置構成を説明する。

[0112] 図 1に示す本実施例の回数制限匿名認証システムは、前述した実施例 3、 4のシス テムに様々な計算手順を追加して構成されており、機能上、 GM (Group Manager)装 置（グループ管理装置） 100、リスト記憶装置 200、ユーザ装置 300、 AP (Application Provider)装置（アプリケーション提供装置） 400、及びトレース装置 500の 5種類の 装置を備える。前述した擬似ランダム関数計算装置は、後述するグループ署名手段 (グループ証明手段、グループ検証手段）に適用されている。

[0113] GM装置 100は、機能上、 GMセットアップ手段 101、発行手段 102、秘密情報記 憶部 103、公開情報記憶部 104、及び通信手段 105を備える。

[0114] リスト記憶装置 200は、機能上、リスト記憶部 201、及び通信手段 202を備える。

[0115] ユーザ装置 300は、機能上、参加手段 301、グループ証明手段 302、秘密情報記 憶部 303、及び公開情報記憶部 304、及び通信手段 305を備える。

[0116] AP装置 400は、機能上、 APセットアップ手段 401、グループ検証手段 402、公開 情報記憶部 403、履歴記憶部 404、及び通信手段 405を備える。

[0117] トレース装置 500は、機能上、トレース手段 501、公開情報記憶部 502、及び通信 手段 503を備える。

[0118] 上記の各装置 100〜500は、一例としてコンピュータ機 (サーバ機、クライアント機 等）の CPU、記憶装置、ネットワークインターフェース部、その他の各種入出力装置 によって実現される。この例では、各手段 101、 102、 301、 302、 401、 401、 501は 、各コンピュータ機の CPUが記憶装置上のコンピュータプログラムの命令を実行する ことにより実現される。ここで用いられるコンピュータプログラムは、これら各手段の処 理アルゴリズム (後述参照）に応じて予め設定される。また、公開情報記憶部 104、 3 04、 403、 502、秘密情報記憶部 103、 303、リスト記憶部 201、履歴記憶部 404は 、各コンピュータ機の記憶装置により実装される。通信手段 105、 202、 305、 405、 503は、各コンピュータ機のネットワークインターフェース部に対応する。

[0119] 図 1では、もっとも単純な場合として 5種類の装置がそれぞれ一台ずつしかない場 合を描いている力 各種類の装置が複数台あっても力まわない。また、図 1では、各 装置 100〜500が別々の機械である場合を描!ヽて ヽるが、一つの機械が二種類の 装置の機能を兼ねて 、てもかまわな 、。例えば GM装置 100の機能とリスト装置 200 の機能を両方持つ機械を使っても力まわな 、。

[0120] GM装置 100、リスト記憶装置 200、ユーザ装置 300、 AP装置 400、トレース装置 5 00は、それぞれ通信手段 105、 202, 305, 405, 503を使って相互に通信できる。 通信媒体としては、例えばインターネット、電波、電話回線といったものを用いること ができる力 本発明ではどのような通信媒体を用いても力まわない。

[0121] GM装置 100、ユーザ装置 300、 AP装置 400、トレース装置 500は、それぞれの 公開情報記憶部 104、 304、 403、 502に、自分自身や他の装置が公開している公 開情報を記憶する。また、リスト記憶装置 200は、リスト記憶部 201という、公開情報を 記憶するための部分を持っている。リスト記憶装置 200は、自分自身や他の装置が 公開して!/、る公開情報をリスト記憶部 201に記憶する。

[0122] 各装置 100〜500は、他の装置が公開している公開情報をなんらかの方法で入手 できるものとする。公開情報の入手手段としては例えば、公開情報を公開している装 置力 前述の通信手段を用いて直接受け取る方法、公開情報のリストを持っている サーノ から前述の通信手段を用いて受け取る方法、といったものが考えられる力 ど のような方法を用いてもかまわな 、。

[0123] GM装置 100、ユーザ装置 300は、それぞれ秘密情報記憶部 103、 303にそれぞ れの秘密情報を記憶する。

[0124] 各装置 100〜500には、事前にセキュリティ 'パラメータ ωが配布されている。セキ ユリティ ·パラメータをどのような方法で配布するの力、セキュリティ 'パラメータをどのよ うな方法で決定するのかは問わな 、。

[0125] ユーザ装置 300、 ΑΡ装置 400には、事前に固有の IDが割り振られており、各装置 100〜500は、全てのユーザ装置 300、 AP装置 400の IDを事前に知っている。 IDと してどのようなデータを用いるの力、 IDをどのように配布するのかは問わない。例えば 、装置保有者の名前、装置に割り振られた IPアドレス、装置に割り振られた MACアド レス、および乱数と 、つたものを装置の IDとして用いることができる。

[0126] GM装置 100は、 GMセットアップ手段 101により、発行者用鍵生成手段の処理を 行う。以下、発行者用鍵生成手段の詳細を略して、 GMセットアップ手段 101の処理 を説明し、後で発行者用鍵生成手段の詳細を説明する。

[0127] 次に、本実施例の動作を図 11〜図 21を参照して説明する。図 11〜図 21に示す 処理手順は、各装置に対応するコンピュータ機の記憶装置上に格納されるコンビュ ータプログラムとして実現され、各コンピュータ機の CPUにより実行される。

[0128] まず、 GMセットアップ手段 101の処理を図 11に従って説明する。

[0129] 図 11において、 GM装置 100は、まずセキュリティ ·パラメータ ωを公開情報記憶部 104から読み込む (ステップ S61)。 GM装置 100は、次に発行者用鍵生成手段の処 理を行い、 GM公開鍵 gpkと GM秘密鍵 gskを作り（ステップ S62)、 gpkを公開情報 記憶部 104に、 gskを秘密情報記憶部 103に記憶する (ステップ S63)。

[0130] 次に、発行者用鍵生成手段の処理を図 16に従って説明する。

[0131] 以下の説明では、 G— 2、 H— 2、 G— 3を有限巡回群とし、 < · , · >は G— 2 X H— 2の元 (g, ）に0—3の元<₈, h，>を対応させる写像で、 <g"x, h' "y> = <g, h ， > ' {xy}が任意の g, h，， x, yに対して成立するものとする。このような組 (G— 2、 H —2、 G— 3、 < · , - >)の生成方法、およびく ·， · >の計算方法は様々なものが知ら れているが、そのどれを用いてもよい。例えば非特許文献 2を参照されたい。 qを G— 2の位数とし、整数環 Zをイデアル qZで割った商環を Z_qと書く。

[0132] 図 16において、 GM装置 100は、 G— 2の元 g— 3、 h— 3、 a— 3と H— 2の元 g，— 3 をランダムに選ぶ（ステップ S131、 S132)。次に、 GM装置 1は、 Z— qの元 gskをラン ダムに選ぶ (ステップ S 133)。次に、 GM装置 1は、 u'— 3 =g— 3" {ssk}を計算する (ステップ S134)。最後に GM装置 1は、 (g_3, h_3, a_3, g，— 3, u，— 3)を発 行者用公開鍵 gpkとしてセットする（ステップ S 135)。

[0133] 次に、 GM装置 100の発行手段 102とユーザ装置 300の参加手段 302の各処理を 説明する。

[0134] GM装置 100とユーザ装置 300は、相互通信をしながら、それぞれ発行手段 102、 参加手段 302の処理を行う。

[0135] GM装置 100は、発行手段 102により、第一発行手段、第二発行手段の各処理を 行う。ユーザ装置 300は、参加手段 302により、第一参加手段、フアイ計算手段、メン バー特定情報生成手段、第二参加手段、メンバー鍵検証手段の各処理を行う。

[0136] まず、第一発行手段、第一参加手段、フアイ計算手段、メンバー特定情報生成手 段、第二発行手段、第二参加手段、およびメンバー鍵検証手段の詳細を略して、発 行手段 102と参加手段 302の説明を行い、その後で、第一発行手段、第一参加手 段、フアイ計算手段、メンバー特定情報生成手段、第二発行手段、第二参加手段、 及びメンバー鍵検証手段の詳細を説明する。

[0137] 最初に、 GM装置 100の発行手段 102とユーザ装置 300の参加手段 302の各処 理を図 12に従って説明する。

[0138] 図 12において、 GM装置 100は、まず（ω , gpk)を公開情報記憶部 104から、 gsk を秘密情報記憶部 103から読み込む (ステップ S71)。

[0139] ユーザ装置 300は、（ ω , gpk)を公開情報記憶部 304から読み込む (ステップ S81

) o

[0140] 次に GM装置 100とユーザ装置 300は、互いに通信しながら、それぞれ第一発行 手段、第一参加手段を行い、 GM装置 100は、 St— {GM}を、ユーザ装置 300は、 S t_{U}とメンバー秘密鍵 mskをそれぞれ得る（ステップ S72、 S82)。ただし、 GM装 置 100とユーザ装置 300のいずれかが、それぞれ第一発行手段、第一参加手段の 各処理の途中で異常終了した場合は、それぞれ発行手段 102、参加手段 301の各 処理を終了する（ステップ S72、 S82)。

[0141] 次に GM装置 100は、 gpkを公開情報記憶部 104に、 gskを秘密情報記憶部 103 に書き込む (ステップ S73)。

[0142] 次にユーザ装置 300は、フアイ計算手段の処理を行い、 y = φ— { ω } (msk)を計 算する（ステップ S 83)。

[0143] 次にユーザ装置 300は、メンバー特定情報生成手段の処理を行!、、メンバー特定 情報 t_lを得る (ステップ S84)。次に、ユーザ装置 300は、 t_lとリスト記憶装置 20

0に送信する (ステップ S85)。

[0144] リスト記憶装置 200は、受信した t—1をユーザ装置 300の IDと組にしてリスト記憶 部 201に記憶する（ステップ S80)。

[0145] 次に、 GM装置 100は、リスト装置 200から t—1を受け取る（ステップ S 744)。もしリ スト装置 200が t—1を保管していなかったら、 GM装置 100は、発行手段の処理を終 了する（ステップ S75)。リスト装置 200から t_lを受け取るのに成功したら、次に、ュ 一ザ装置 300は、 t—1の正当性を GM装置 100に証明し、 GM装置 100は、その証 明を検証する (ステップ S86、 S76)。正当性証明は、どのような方法で行ってもよい。 例えば非特許文献 3の方法で行うことができる。

[0146] ユーザ装置 300の証明が正当でなければ、 GM装置 100は、発行手段の処理を終 了する（ステップ S77)。ユーザ装置 300の証明が正当であれば、 GM装置 100とュ 一ザ装置 300は、それぞれ第二発行手段、第二参加手段の各処理を行い、ともにメ ンバー公開鍵 mpkを得る（ステップ S78、 S87)。

[0147] 次に GM装置 100は、 mpkを公開情報記憶部 104に書き込む (ステップ S79)。

[0148] ユーザ装置 300は、メンバー鍵検証手段の処理を行うことで、 verkey(mpk, msk) を計算し、 verkey(mpk, msk) = acceptなら、 (mpk, msk)を公開情報記憶部 304 に書き込む (ステップ S88)。

[0149] 次に、第一発行手段と第一参加手段の各処理を図 17に従って説明する。

[0150] 図 17において、 GM装置 100は、まず GM公開鍵 gpkを（g— 3, h_3, a_3, g，

—3, u'— 3)とパースする（ステップ S 141)。ユーザ装置 300も、 GM公開鍵 gpkを（ g— 3, h_3, a_3, g，_3, u，— 3)とパースする（ステップ S 145)。

[0151] 次にユーザ装置 300は、 Z— qの元 X, r，をランダムに選ぶ (ステップ S146)。次に、 ユーザ装置 300は、 w=a_3g_3 " {χ} · h_3 " {r' }を計算する（ステップ S 147)。 次に、ユーザ装置 300は、 wを GM装置 1に送信する（ステップ S 148)。次に、 GM装 置 100は、 wを受信する（ステップ S142)。

[0152] 次にユーザ装置 300は、 wの正当'性を GM装置 1に証明し、 GM装置 100は、その 証明を検証する（ステップ S 149、 S143)。証明は、どのような方法で行ってもよいが 、例えば非特許文献 3の方法で証明することができる。

[0153] 次に GM装置 100は、 wが正当なら、 St_{GM} =wとして、第一発行手段の処理 を正常終了し、そうでなければ、異常終了する (ステップ S 144)。最後に、ユーザ装 置 300は、 St— {U} =wとして、第一参加手段の処理を正常終了する (ステップ S15 0)。

[0154] 次に、フアイ計算手段の処理を図 18に従って説明する。

[0155] 図 18において、ユーザ装置 300は、 mskを（X, r，）とパースする（ステップ S 161)。

ユーザ装置 300は、 y=xとする（ステップ S162)。

[0156] 次に、メンバー特定情報生成手段の処理を図 7に従って説明する。

[0157] ユーザ装置 300は、前述した実施例 3のメンバー特定情報生成手段の処理（図 7) を行い、 t_l = V— } (y) =g_l 'yを計算する (ステップ S22)。ここで、 g_lは 事前に決められた公開情報である。 g— 1は、どの装置がどのような方法で公開しても よいが、安全性の観点から言えば、 g—1はなんらかのデータのハッシュ値であること が望ましい。

[0158] 次に、第二発行手段と第二参加手段の各処理を図 18に従って説明する。

[0159] 図 18において、 GM装置 100は、 Z— qの元 e, r"をランダムに選び (ステップ S151

、 S 152)、 V = (wh_3 " {r"}) " { l/ (gsk + e) }を計算する (ステップ S 153)。次に G

M装置 100は、 mpk= (V, e)とする（ステップ S154)。次に GM装置 100は、 (mpk, r")をユーザ装置 300に送信する (ステップ S155)。

[0160] 次にユーザ装置 300は、（mpk, r")を受信したら（ステップ S156)、 r=r' +r"mod qとし、 msk= (x, r)とする（ステップ SI 57、 SI 58)。

[0161] 次に、メンバー鍵検証手段の処理を図 18に従って説明する。

[0162] 図 18において、ユーザ装置 300は、 mpkを (V, e)とパースする（ステップ S 159)。

[0163] ユーザ装置 300は、 <w, u'_3g'_3" {e} > = <v, g，— 3 >が成立するかどうか を調べ、 <w, u'_3g'_3" {e} > = <v, g，— 3 >が正当なら mpk= (v, e)とし、そ うでなければ異常終了する (ステップ S 160)。

[0164] 次に、 AP装置 400の APセットアップ手段 401の処理を図 11に従って説明する。

[0165] 図 11において、 AP装置 400は、 APセットアップ手段 401の処理を行う前に、各ュ 一ザ装置 300にアクセスを許す上限回数 kを決めておく必要がある。どのような方法 で kを決めてもよい。

[0166] AP装置 400は、まずセキュリティ 'パラメータ ω、 自分の識別子 ID、および上限値 k を公開情報記憶部 403から読み込む (ステップ S64)。

[0167] 次に AP装置 400は、実施例 3のタグ用鍵生成手段の処理（図 7)を行い、 AP公開 鍵 apkを得る (ステップ S65)。最後に、 AP装置 400は、 apkを公開情報記憶部 AP3 に書き込む (ステップ S66)。

[0168] ユーザ装置 300と AP装置 400は、互いに通信しながら、それぞれグループ証明手 段 302、グループ検証手段 403の各処理を行う。

[0169] 次に、ユーザ装置 300のグループ証明手段 302と AP装置 400のグループ検証手 段 303を図 13に従って説明する。

[0170] 図 13【こお!ヽて、まずユーザ装置 300ίま、 (ω, gpk, ID, k, apk, mpk, msk)を公 開情報記憶部 304から読み込む (ステップ S91)。

[0171] AP装置 400は、 (ω, gpk, ID, k, apk)を公開情報記憶部 404から読み込む (ス テツプ S 101)。

[0172] 次に AP装置 400は、ランダムに 1を選び (ステップ S 102)、 1をユーザ装置 300に送 信する (ステップ S 103)。

[0173] 次にユーザ装置 300は、 1を受信したら (ステップ S92)、実施例 3のタグ生成手段の 処理（図 7)を行い、知識（ τ , ）を生成する (ステップ S93)。

[0174] ver_{spk}(j8, S)を、く S, h'_2g'_2" j8 > = <g_2, g，_2>が成立すれ ば、 acceptを、そうでなければ、 rejectを出力する関数とする。

[0175] 次にユーザ装置 300は、知識（ τ , ）の正当性証明文 pf— { τ , μ }を作成し (ス テツプ S94)、 (τ, μ, pf一 { τ , μ })を ΑΡ装置 400に送信する（ステップ S95)。

[0176] ここで、証明文 pf— { τ , }の作成方法を図 19、及び図 20に従って説明する。

[0177] 図 19において、まずユーザ装置 300は、 Z— qの元 j8を選び、 V— {4}=v'h— 3'{ β }を計算する (ステップ S 171)。

[0178] 次にユーザ装置 300は、 Z— qの元 X— {4}、e— {4}、 γ— {4}、 j8— {4}をランダ ムに選び、 X— {4} = <g— 3'{x— {4}}v— {4厂 {e— {4}}h— 3'{γ }, g'_3>< h_3 "{ |8_{4}}, u'_3>を計算する (ステップ S 172)。

[0179] 次にユーザ装置 300は、 Z— qの元 sをランダムに選び、 s， = (x + i)s、 b= τ -g"{

-i}a_3 " sを計算する（ステップ S 173)。

[0180] 次にユーザ装置 300は、 Z— qの元 i— {4}、 s— {4}、 s，— {4}を選び、 Z— qの元 s，

— {4} = (x— {4}+i— {4})s— {4} mod q, b_{4} =g" { -i_{4} }a_3" {s_{

4}}、h_{4}=b'{x_{4}+i_{4}}a_3'{— s，— {4}}を計算する (ステップ S17

4)₀

[0181] 次にユーザ装置 300は、 Z— qの元 tをランダムに選び、 t， = (x+i)t mod q、 B

= μ g— Γ { -lx}g" {— i}a— 3' {t}を計算する (ステップ S175)。

[0182] 次にユーザ装置 300は、 Z— qの元 t— {4}、 t，— {4}を選び、 B— {4}=g— Γ{—1

•x_{4}}g"{-i_{4}}a_3"{t_{4}}, H_{4}=B"{-x_{4}-i_{4}}a_3

"{-t'_{4}}を計算する (ステップ S 176)。

[0183] 次にユーザ装置 300は、 Z— qの元 pをランダムに選び、 Θ = px mod q、 T=S h"{ p }を計算する (ステップ SI 77)。

[0184] 図 20において、次にユーザ装置 300は、 Z— qの元 Θ— {4}、 {4}をランダム に選び、 Y_{4} = <T, h'_2XT, g'_2>"{x_{4}}<h, g'_2>"{- Θ一

{4}}<h, h，— 2>'{— {4}}を計算する (ステップ S178)。

[0185] 次にユーザ装置 300は、 c=Hash_{Z_q} (gpk, apk, v_{4}, X— {4}, b, b

_{4}, h_{4}, B, B_{4}, H_{4}, Y— {4})を計算する（ステップ S179)。 Has h— {Z— q}は、 Z—qに値をとるハッシュ関数を表す。

[0186] 次にユーザ装置 300は、 X一 }=cx + x_{4} mod q、 e_ } =ce + e_{4} mod q、 r― {5} =c(r+ β e) + y mod q、 ι― {o; =ci+i― {4| mod q、 s― {

5} =cs + s― {4} mod q、 s，― {5}=cs，+s，― {4} mod q、 t― {5} =ct + t―

{4} mod q、 t，― {5}=ct，+t，― {4} mod q、 p― {5}=c p + ― {4} mod q、 0 _{5}=c 0 + θ _{4} mod qを計算する（ステップ SI 80)。

[0187] 最後にユーザ装置 300は、 pf_{ τ , ^ } = (b, B, c, x_{5}, e_{5}, r_{5}, i

_{5}, s_{5}, s'_{5}, t_{5}, t'_{5}, p_{5}, Θ— })とする。

[0188] ここで、図 13に戻り、説明を続ける。 [0189] 図 13において、 AP装置 400は、 (τ, μ, pf_{ τ , μ })を受信したら（ステップ SI 04)、 τがすでに履歴記憶部 404に記載されているかどうかを調べ、記載されていた ら、 rejectを出力してグループ検証手段 403の処理を終了する（ステップ S105)。

[0190] 次に AP装置 400は、 pf_{ τ , μ }が正当性を検証し、 pf_{ τ , μ }が正当でなけ れば、 rejectを出力してグループ検証手段を終了し (ステップ S106)、 pf_{ τ , μ ) が正当であれば、（ τ , μ, 1, pf_{ τ , μ })を履歴記憶部 404に記載し、 acceptを 出力して、グループ検証手段 403の処理を終了する（ステップ S 107)。

[0191] ここで、 pf— { τ, }の正当性を検証する方法を図 21に従って説明する。

[0192] 図 21にお!/、て、まず ΑΡ装置 400は、 X— {4} = <g_3" {x_{5} }v_{4} " {e_{ 5}}h_3"{r_{5}}, g'_3Xh_3"{r_{5}}, u'_3>(<a_3, g_3>/<v _{4}, u，— 3>)'cを計算する（ステップ S181)。

[0193] 次に AP装置 400は、 b— {4} = ( τ b' {— 1}) ' {-c}g" { -i_{5} }a_3" {s_{5} }を計算する (ステップ S182)。

[0194] 次に AP装置 400は、 h_{4}= {—c} {x_{4}+i_{4}}a— 3'{— s，— }} を計算する (ステップ S183)。

[0195] 次に AP装置 400は、 Β_{4} = (Β"{-1}^)"{ο}₈_1"{-1·χ_{5}}₈"{-ί_{ 5 } } a_3 "{t_{5}}を計算する (ステップ S 184)。

[0196] 次に AP装置 400は、 H— {4}=B'{—x_^}— i_{rej}}a_3'{—t，— }}を 計算する（ステップ S 185)。

[0197] 次に AP装置 400は、 C_{4}=C"{— c}g"{x_ }} — }}を計算する（ス テツプ S 186)。

[0198] 次に AP装置 400は、 Y一 {4} = <g— 2, g'_2> " { -c} <T, h'_2XT, g， _2>"{x_{4}}<h, g'_2>"{- 0_{4}}<h, h，— 2>'{— {4}}を計算 する（ステップ SI 87)。

[0199] 最後に AP装置 400は、 c=Hash_{Z_q} (gpk, apk, v— {4}, X— {4}, b, b—

{4}, h_{4}, B, B_{4}, H— {4})が成立するかどうかを確認し、 c = Hash_{Z _q} (gpk, apk, v— {4}, X— {4}, b, b— {4}, h— {4}, B, B— {4}, H— {4}, Y — {4})が成立していれば、 pf_{て , μ }を acceptし、そうでなければ rejectする（ス テツプ SI 88)。

[0200] 次に、トレース装置 500のトレース手段 501の処理を図 14、図 15に従って説明する

[0201] 図 14において、まずトレース装置 500は、（ω, gpk, ID, k, apk)を公開情報記憶 部 502から読み込む (ステップ S 111)。

[0202] 次にトレース装置 500は、 AP装置 400の履歴記憶部 404に記憶されているデータ

(τ, μ, 1, pf_{ τ , μ }), (τ ', μ ' , V , pf'_{ τ ', ' })を受信する（ステップ S

112)。このとき、 AP装置 400力 、つトレース装置 500に（τ, μ , pf_{ τ , μ }), ( τ ', μ ', Ι', pf'_{ τ ', ，})を送信するのかは問わない。

[0203] 次にトレース装置 500は、 τ = τ，であるかどうかを調べ、 τ = τ，でないなら、「ΑΡ 装置 400が不正なデータ（τ , μ, 1, pf_{ τ , μ }), (τ ', μ ' , V , pf'_{ τ ', μ

，})をトレース装置 500に送った」ことを意味する文字列を出力してトレース手段 501 の処理を終了する（ステップ S 113)。

[0204] 次にトレース装置 500は、 1=1，であるかどうかを調べ、 1=1，でないなら、「ΑΡ装置 4 が不正なデータ（τ , μ, 1, pf_{ τ , μ }) Λ τ ', μ ', Ι', pf'_{ τ ', ，})をトレ ース装置 500に送った」ことを意味する文字列を出力してトレース手段 501の処理を 終了する（ステップ S 114)。

[0205] 次にトレース装置 500は、 pf— { τ , }が正当であるかどうかを調べ、正当でなけ れば、「ΑΡ装置 400が不正なデータ（ τ , μ, Ι, pf_{ τ , μ }), (τ ', μ ' , V , ρί'

_{ τ ', ，})をトレース装置 5に送った」ことを意味する文字列を出力してトレース 手段 501の処理を終了する（ステップ S 115)。

[0206] 次にトレース装置 500は、 pf'_{ τ ', μ， }が正当であるかどうかを調べ、正当でな ければ、「ΑΡ装置 400力不正なデータ（ τ , μ, Ι, pf_{ τ , μ }), (τ ', ，， 1，， pf

'_{ τ ', ，})をトレース装置 500に送った」ことを意味する文字列を出力してトレー ス手段 501の処理を終了する（ステップ S116)。

[0207] 図 15において、次にトレース装置 500は、実施例 3のメンバー特定情報抽出手段 の処理（図 7)を行 、、メンバー特定情報 t—1を得る (ステップ S117)。

[0208] 次にトレース装置 500は、 t 1をリスト記憶装置 200に送信する（ステップ SI 18)。 リスト記憶装置 200は、 t— 1を受信すると (ステップ S121)、 t— 1に対応する IDをトレ ース装置 500に送信する（ステップ S122)。そのような IDがなければ、 ID=GMとし、 ID = GMを送信する。

[0209] 次にトレース装置 500は、 t—1に対応する IDを受け取る（ステップ S 122、 S119)。

最後にトレース装置 500は、 IDを出力する (ステップ S 120)。

[0210] 従って、本実施例でも、前述の実施例 3、 4と同様に、回数制限匿名認証は既存の 方式とは異なり、ユーザが計算すべきデータ個数が O (log k)個であるため、認証時 におけるユーザの計算量は制限回数 kに比例しないから、効率的な回数制限匿名認 証方式を実現することができる。

実施例 6

[0211] 本実施例は、前述した擬似ランダム関数計算装置を用 Vヽた回数制限匿名認証シス テムに適用したものである。

[0212] 前述の図 1を参照して、本実施例の装置構成を説明する。

[0213] 図 1に示す本実施例の回数制限匿名認証システムは、前述した実施例 3、 4のシス テムに様々な計算手順を追加して構成されており、機能上、 GM装置 100、リスト記 憶装置 200、ユーザ装置 300、 AP装置 400、及びトレース装置 500の 5種類の装置 を備える。前述した擬似ランダム関数計算装置は、後述するグループ署名手段 (ダル ープ証明手段、グループ検証手段）に適用されている。

[0214] このうち、 GM装置 100、リスト記憶装置 200、ユーザ装置 300、およびトレース装置 500の装置構成は、前述した実施例 5の装置構成と同じである。 AP装置 400は、前 述した実施例 5と同様に、グループ検証手段 402、公開情報記憶部 403、履歴記憶 部 404、通信手段 405を備える力 本実施例では、実施例 5とは異なり、 APセットァ ップ手段 401が含まれない。従って、本実施例の装置構成は、図 1の装置構成から A Pセットアップ手段 401を削除したものに対応する。

[0215] 上記の各装置 100〜500は、一例としてコンピュータ機 (サーバ機、クライアント機 等）の CPU、記憶装置、ネットワークインターフェース部、その他の各種入出力装置 によって実現される。この例では、各手段 101、 102、 301、 302、 501は、各コンビュ ータ機の CPUが記憶装置上のコンピュータプログラムの命令を実行することにより実 現される。ここで用いられるコンピュータプログラムは、これら各手段の処理アルゴリズ ム（後述参照）に応じて予め設定される。また、公開情報記憶部 104、 304、 403、 50 2、秘密情報記憶部 103、 303、リスト記憶部 201、履歴記憶部 404は、各コンビユー タ機の記憶装置により実装される。通信手段 105、 202、 305、 405、 503は、各コン ピュータ機のネットワークインターフェース部に対応する。

[0216] 図 1では、もっとも単純な場合として 5種類の装置がそれぞれ一台ずつしかない場 合を描いている力 各種類の装置が複数台あっても力まわない。また、図 1では、各 装置が別々の機械である場合を描いているが、一つの機械が二種類の装置の機能 を兼ねていても力まわない。例えば、 GM装置 100の機能とリスト装置 200の機能を 両方持つ機械を使っても力まわな 、。

[0217] GM装置 100、リスト記憶装置 200、ユーザ装置 300、 AP装置 400、トレース装置 5 00は、それぞれ通信手段 105、 202, 305, 405, 503を使って相互に通信できる。 通信媒体として、例えばインターネット、電波、電話回線といったものを用いることが できるが、どのような通信媒体を用いても力まわな 、。

[0218] GM装置 100、ユーザ装置 300、 AP装置 400、トレース装置 500は、それぞれの 公開情報記憶部 104、 304、 403、 502に、自分自身や他の装置が公開している公 開情報を記憶する。また、リスト記憶装置 200は、リスト記憶部 201という、公開情報を 記憶するための部分を持っている。リスト記憶装置 200は、自分自身や他の装置が 公開して!/、る公開情報をリスト記憶部 201に記憶する。

[0219] 各装置 100〜500は、他の装置が公開している公開情報をなんらかの方法で入手 できるものとする。公開情報の入手手段としては例えば、公開情報を公開している装 置力 前述の通信手段を用いて直接受け取る方法、公開情報のリストを持っている サーノ から前述の通信手段を用いて受け取る方法、といったものが考えられる力 ど のような方法を用いてもかまわな 、。

[0220] GM装置 100とユーザ装置 300は、それぞれ秘密情報記憶部 103、 303にそれぞ れの秘密情報を記憶する。

[0221] 各装置 100〜300には、事前にセキュリティ 'パラメータ ωが配布されている。セキ ユリティ'パラメータ ωをどのような方法で配布するの力、セキュリティ 'パラメータ ωを どのような方法で決定するのかは問わな 、。

[0222] ユーザ装置 300と AP装置 400には、事前に固有の IDが割り振られており、各装置 100〜500は、全てのユーザ装置 300、 AP装置 400の IDを事前に知っている。 IDと してどのようなデータを用いるの力、 IDをどのように配布するのかは問わない。例えば 、装置保有者の名前、装置に割り振られた IPアドレス、装置に割り振られた MACアド レス、および乱数と 、つたものを装置の IDとして用いることができる。

[0223] グループ証明手段 302、グループ検証手段 402、トレース手段 501以外の、実施 例 6の各手段は、実施例 5のそれと同じである。

[0224] 次に、本実施例の動作を図 13、図 22〜図 24を参照して説明する。図 13、図 22〜 図 24に示す処理手順は、各装置に対応するコンピュータ機の記憶装置上に格納さ れるコンピュータプログラムとして実現され、各コンピュータ機の CPUにより実行され る。

[0225] まず、グループ証明手段 302とグループ検証手段 402の各処理を図 13に従って説 明する。

[0226] 図 13のステップ S93、 S94以外の処理は、前述した実施例 5のグループ証明手段

302と同じである。図 13のステップ S104以外の処理は、前述した実施例 5のグルー プ検証手段 402と同じである。

[0227] グループ証明手段 302は、ステップ S93にて、実施例 3ではなく実施例 4のタグ生 成手段の処理（図 10)を行い、ステップ S104にて、図 19、図 20の代わりに図 22、図

23に従って、証明文 pf— {て , μ }を作成する。

[0228] 図 22及び図 23を参照して、証明文 pf— { τ , }の作成方法を説明する。

[0229] 図 22において、まずユーザ装置 300は、 Z— qの元 j8を選び、 ν— {4} =v'h— 3' {

- β }を計算する (ステップ S 191)。

[0230] 次にユーザ装置 300は、 Z— qの元 X— {4}、e— {4}、 γ— {4}、 j8— {4}をランダ ムに選び、 X— {4} = <g— 3'{x— {4}}v— {4厂 {e— {4}}h— 3'{γ }, g'_3>< h_3"{ j8_{4}}, u'_3>を計算する（ステップ S 192)。

[0231] 次にユーザ装置 300は、 Z— qの元 sをランダムに選び、 s， = (x + i)s、 b= τ -g"{

-i}a 3 "sを計算する（ステップ SI 93)。 [0232] 次にユーザ装置 300は、 Z— qの元 i— {4}、 s— {4}、 s，— {4}を選び、 Z— qの元 s， — {4} = (x— {4}+i— {4})s— {4} mod q, b_{4} =g" { -i_{4} }a_3" {s_{ 4}}、h_{4}=b'{x_{4}+i_{4}}a_3'{— s，— {4}}を計算する (ステップ S19 4)。

[0233] 次にユーザ装置 300は、 Z— qの元 tをランダムに選び、 t， = (x+i)t mod q 、B

= μ g_l' { -lx}g" {— i}a_3' {t}を計算する (ステップ S195)。

[0234] 次にユーザ装置 300は、 Z_qの元 t_{4}、 t，— {4}を選び、 B_{4}=g_l'{—1 •x_{4}}g"{-i_{4}}a_3"{t_{4}}, H_{4}=B"{-x_{4}-i_{4}}a_3 t'— {4}}を計算する (ステップ S196)。

[0235] 次にユーザ装置 300は、 log— 2 k以上の整数で最も小さ 、整数を Nとする (ステツ プ S197)。

[0236] 図 23において、次にユーザ装置 300は、整数 i=0, . . , Nに対し、 Xの第 iビットを X ― iとし、 x，― i=l— X― iとし、 z=k— Xとし、 zの第 iビットを z― iとし、 z，― i=l— z― i とする (ステップ SI 98)。

[0237] 次にユーザ装置 300ίま、 Z_qの p—l, ···, ρ_Ν, θ_1, ···, 0一 Νで、 _1

+ ···+ Ν= 0— 1 + ···+ 0— Νが成立するものを選び、 ρ = ρ_1 + ···+ ρ_ N、 C_l=h"{ ρ_1}, ···, C_N = h"{ p_N}, D_l=h"{ θ_1}, ···, D_N = h'{ 0_N}、 C = g"{x}h"{ p }、 D = g"{k-x}h"{ p }を計算する（ステップ SI 9 9)。

[0238] 次にユーザ装置 300は、 i=l, ···, N, j = 0, 1に対し、 Z_qの元 ^—{4, i}, Θ一

{4, 1；, c ― {ι, X ― i}， d ― {ι, z ― 1；, ― {5, ι, x ― ι}， Θ― {5, ι, z ― i}をフ ンダムに選び、 C_{4, i, x_i} =g" {x_i}h" { p _{4, i}}ゝ D_{4, i, x_i}=g"{ z_i}h"{ Θ _{4, i}}、 C_{4, i, x'_i} =C" { -c'_{i, x'_i} }g" {x'_i}h" { p _{5, i, x，_i}}、 D_{4, i, x'_i} =D" { -d'_{i, z'_i} }g" {z'_i}h" { θ_{5 , i, z '_i}}を計算する（ステップ S 200)。

[0239] 次にユーザ装置 300は、 c = Hash_{Z_q} (gpk, apk, v— {4}, X— {4}, b, b _{4}, h— {4}, B, B— {4}, H— {4}, C— {4}, {C_{4, i, j}}_{i=l, ···, N, j =0, 1}, {D_{4, i, j}}_{i=l, ···, N, j = 0, 1})を計算する (ステップ S201)。 Hash— {Z— q}は、 Z—qに値をとるハッシュ関数を表す。

[0240] 次にユーザ装置 300は、 X一 }=cx + x一 {4} mod q, e_{5} =ce + e_{4} mod q、 r― {5} =c(r+ β e) + y mod q、 ι― {o; =ci+i― {4| mod q、 s― { 5} =cs + s― {4} mod q、 s，― {5}=cs，+s，― {4} mod q、 t― {5} =ct + t― {4} mod q、 t，― {5}=ct，+t，― {4} mod q、 c― i = c— c，― i mod q、 d― i =d— d，― i mod q、 p― {5, i, x― i}=c― i p― i+ p― {4, i} mod q、 Θ― { 5, i, x_i} =c_i Θ _i+ Θ _{4, i} mod qを計算する（ステップ S 202)。

[0241] 最後にユーザ装置 3は、 pf— { τ , ^ } = (b, B, C, c, x_{5}, e_{5}, r_{5}, i _{5}, s_{5}, s'_{5}, t_{5}, t'_{5}, {c—{ij}})とする（ステップ S203)。

[0242] 図 13において、 AP装置 400は、 ( τ , μ , pf_{ τ , μ })を受信したら（ステップ S1 04)、 τがすでに履歴記憶部 ΒΑΡ4に記載されているかどうかを調べ、記載されてい たら rejectを出力してグループ検証手段 402の処理を終了する（ステップ S105)。

[0243] 次に AP装置 400は、 pf— { τ , μ }が正当性を検証し、 pf— { τ , μ }が不当なら、 r ejectを出力してグループ検証手段 402の処理を終了し (ステップ S106)、 pf—{ τ , μ }が正当なら、 AP装置 400は、 ( τ , μ , 1, pf— { τ , μ })を履歴記憶部 404に記 載し、 acceptを出力してグループ検証手段 402の処理を終了する（ステップ S107)

[0244] 次に、 pf— { τ , }の正当性を検証する方法を図 24に従って説明する。

[0245] 図 24にお!/、て、まず ΑΡ装置 400は、 X_{4} = <g_3" {χ_{5} }ν_{4} " {e_{

5}}h_3"{r_{5}}, g'_3Xh_3"{r_{5}}, u'_3>(<a_3, g_3>/<v

_{4}, u，— 3>)'cを計算する（ステップ S211)。

[0246] 次に AP装置 400は、 b— {4} = ( rb"{-l})" {-c}g" { -i_{5} }a_3" {s_{5}

}を計算する (ステップ S212)。

[0247] 次に AP装置 400は、 h_{4} =h" {-c}b"{x_{4} +i_{4} }a_3" { -s'_{5} } を計算する (ステップ S213)。

[0248] 次に AP装置 400は、 B— {4} = (Β' {— 1} ） ' {c}g— Γ {—1·χ一 } }g' {—i_{

5} }a_3' {t_ } }を計算する (ステップ S214)。

[0249] 次に AP装置 400は、 H {4}=B"{-x {5}-i {rej}}a 3'{—t， }}を 計算する（ステップ S 215)。

[0250] 次に AP装置 400は、 C— {4}=C'{— c}g'{x— ）） — ））を計算する（ス テツプ S 216)。

[0251] 次に AP装置 400は、 i=l, . . , Nゝ j = 0, 1に対し、 C— {4, i, j} =C_{ -c_{ij} }g"{j} "{ p_{5, ij}}、 D_{4, i, j}=D_{-c_{ij}}g"{j}h"{ θ_{5, ij}}を計 算する（ステップ S 217)。

[0252] 最後に AP装置 400は、 c=Hash_{Z_q} (gpk, apk, v— {4}, X— {4}, b, b—

{4}, h_{4}, B, B— {4}, H— {4}, {C_{ij} }_{i= 1, ···, N, j = 0, 1}, {D_{i j}}— {i=l, ···, N, j = 0, 1})と、 c = c— l + c，— l =〜 = c— N + c，— N mod q が成立するかどうかを確認し、ともに成立していれば、 pf— { τ , μ }を acceptし、そう でなければ rejectする（ステップ S218)。

[0253] 従って、本実施例でも、前述の実施例 3〜5と同様に、回数制限匿名認証は既存の 方式とは異なり、ユーザが計算すべきデータ個数が O (log k)個であるため、認証時 におけるユーザの計算量は制限回数 kに比例しないから、効率的な回数制限匿名認 証方式を実現することができる。

[0254] 以上、本発明の各実施例を詳細に説明したが、本発明は、代表的に例示した上述 の各実施例に限定されるものではなぐ当業者であれば、請求の範囲の記載内容に 基づき、本発明の要旨を逸脱しない範囲内で種々の態様に変形、変更することがで きる。これらの変形例や変更例も、本発明の権利範囲に属する。

[0255] 例えば、前述した各実施例を構成する各部の少なくとも一部の機能は、プログラム 制御で動作するプロセッサ（CPU)と、制御プログラムや制御データ等を格納する記 憶領域を有するメモリ (ROMZRAM)と、各種入出力装置、例えば、ハードディスク ドライブ等の外部記録装置、通信モデムや LANインタフェース等の通信装置、 CRT や液晶ディスプレイ等の表示装置、キーボードやポインティングデバイス等の入力装 置等の各種周辺装置とを用いて実現することが可能である。この場合、プロセッサ、メ モリ、及び各種入出力装置の各構成要素は、本発明の範疇に含まれる。

[0256] また、前述した各実施例を構成する各部の少なくとも一部の機能をプログラムコード を用いて実現する場合、力かるプログラムコード及びこれを記録する記録媒体は、本 発明の範疇に含まれる。この場合のプログラムコードは、オペレーティングシステムや 他のアプリケーションソフト等と共同して上記機能が実現される場合は、それらのプロ グラムコードも含まれる。また、記録媒体としては、前述したノヽードディスクや ROMの ほカゝ、フレキシブルディスク、光ディスク、光磁気ディスク、 CD-ROM,磁気テープ、 不揮発性のメモリカード等を用いることができる。

Claims

請求の範囲

[1] 有限群の元を構成する要素として少なくとも第一の要素及び第二の要素を持つ組 力 なる公開鍵と、整数力 なる秘密鍵とを生成し、生成された前記秘密鍵を記憶装 置に秘密裡に保管し、生成された前記公開鍵を公開する鍵生成手段と、

整数が入力されると、擬似ランダム関数の関数値として、前記有限群の元を出力す る擬似ランダム関数計算手段とを有し、

前記擬似ランダム関数計算手段は、前記有限群の元として、

前記公開鍵の前記第一の要素を底とし、前記入力された整数を指数として、べき乗 剰余を計算して得られる値力 なる第一の元と、

前記公開鍵の前記第二の要素を底とし、前記秘密鍵と前記入力された整数との和 の有限体での逆数を指数として、べき乗剰余を計算して得られる値力 なる第二の元 と、

の積を出力することを特徴とする擬似ランダム関数計算装置。

[2] 整数からなる秘密鍵を生成し、生成された前記秘密鍵を記憶装置に秘密裡に保管 する鍵生成手段と、

ビット列と整数との組が入力されると、擬似ランダム関数の関数値として、有限群の 元を出力する擬似ランダム関数計算手段とを有し、

前記擬似ランダム関数計算手段は、前記有限群の元として、

前記入力された値で決まる値を底とし、前記入力された整数を指数として、べき乗 剰余を計算して得られる値力 なる第一の元と、

前記入力された値で決まる値を底とし、前記秘密鍵と前記入力された整数の和の 逆数を指数として、べき乗剰余を計算して得られる値を指数として、べき乗剰余演算 により得られる値力 なる第二の元と、

の積を出力することを特徴とする擬似ランダム関数計算装置。

[3] 前記底は、前記入力された値のハッシュ値であることを特徴とする請求項 2記載の 擬似ランダム関数計算装置。

[4] 請求項 1に記載の擬似ランダム関数計算装置を用いた回数制限匿名認証システム であって、 識別子と、整数 i、 y、及び 1と、有限群の元 tとを入力するための入力手段と、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算する第一タグ計算手段と、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算し、計算された擬似ランダ ム関数の関数値を 1乗した値に tを乗じた値を計算する第二タグ計算手段と、 前記第一タグ計算手段の計算結果と前記第二タグ計算手段の計算結果との組を 出力する出力手段とを有するタグ生成手段を備えたことを特徴とする回数制限匿名 認証システム。

[5] 請求項 2又は 3に記載の擬似ランダム関数計算装置を用いた回数制限匿名認証シ ステムであって、

識別子と、整数 i、 y、及び 1と、有限群の元 tとを入力するための入力手段と、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算する第一タグ計算手段と、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算し、計算された擬似ランダ ム関数の関数値を 1乗した値に tを乗じた値を計算する第二タグ計算手段と、 前記第一タグ計算手段の計算結果と前記第二タグ計算手段の計算結果との組を 出力する出力手段と、

を有するタグ生成手段を備えたことを特徴とする回数制限匿名認証システム。

[6] 整数 kを入力するための入力手段と、

電子署名方式の公開鍵及び秘密鍵ペアを選ぶ電子署名用鍵生成手段と、 k個の整数を選ぶ平文選択手段と、

前記 k個の整数各々に対する署名文を前記公開鍵及び秘密鍵ペアを用いて計算 する電子署名計算手段と、

前記電子署名方式の公開鍵と前記 k個の整数と前記 k個の署名文とからなる組を、 前記タグ生成手段の計算に使用されるタグ用公開鍵として出力する出力手段と、 を有するタグ用鍵生成手段を更に備えたことを特徴とする請求項 4記載の回数制限 匿名認証システム。

[7] 前記電子署名計算手段は、

平文として整数を入力するための手段と、

平文と整数の和の有限体での逆元を計算する手段と、

計算された前記逆元を指数としてべき乗剰余を計算し、前記べき乗剰余の計算結 果を含む組を前記タグ用公開鍵として出力する手段とを有することを特徴とする請求 項 6記載の回数制限匿名認証システム。

[8] 前記電子署名用鍵生成手段は、

有限群から元を選ぶ手段と、

整数を選ぶ手段と、

前記元を底とし、前記整数を指数として、べき乗剰余を計算する手段と、 選ばれた前記有限群の元と前記べき乗剰余の計算結果とからなる組を出力する手 段とを有することを特徴とする請求項 7記載の回数制限匿名認証システム。

[9] 前記タグ生成手段に整数 1を入力して計算される計算結果をてとし、前記タグ生成 手段に整数 1'を入力して計算される計算結果をて 'としたとき、前記 τ、 1、 τ '、 1'の 四つのデータを入力するための入力手段と、

前記 τを前記 τ，で割った値を底とし、前記 1から前記 を減じた値の有限体での逆 数を指数として、べき乗剰余を計算する計算手段と、

前記べき乗剰余の計算結果を出力する出力手段と、

を有するメンバー特定情報抽出手段を更に備えたことを特徴とする請求項 4記載の 回数制限匿名認証システム。

[10] 前記タグ生成手段に整数 1を入力して計算される計算結果をてとし、前記タグ生成 手段に整数 1'を入力して計算される計算結果をて 'としたとき、前記 τ、 1、 τ '、 1'の 四つのデータを入力するための入力手段と、

前記 τを前記 τ，で割った値を底とし、前記 1から前記 を減じた値の有限体での逆 数を指数として、べき乗剰余を計算する計算手段と、

前記べき乗剰余の計算結果を出力する出力手段と、

を有するメンバー特定情報抽出手段を更に備えたことを特徴とする請求項 5記載の 回数制限匿名認証システム。

[11] グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケーション提供者 (以下 、 AP)装置の公開鍵と、前記 AP装置の識別子と、整数 k、 i、及び 1とを入力するため の入力手段と、

前記グループメンバーとしての秘密鍵から整数 yを作り、前記 AP装置の識別子と、 前記 i、 1、及び yとを入力として、前記タグ生成手段によりタグを成すデータを計算 する手段と、

前記タグの正当性証明文を計算する正当性証明手段と、

前記タグと前記正当性証明文とを出力する出力手段と、

を有するグループ証明手段を更に備えたことを特徴とする請求項 4記載の回数制限 匿名認証システム。

[12] グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケーション提供者 (以下 、 AP)装置の公開鍵と、前記 AP装置の識別子と、整数 k、 i、及び 1とを入力するため の入力手段と、

前記グループメンバーとしての秘密鍵から整数 yを作り、前記 AP装置の識別子と、 前記 i、 1、及び yとを入力として、前記タグ生成手段によりタグを成すデータを計算 する手段と、

前記タグの正当性証明文を計算する正当性証明手段と、

前記タグと前記正当性証明文とを出力する出力手段と、

を有するグループ証明手段を更に備えたことを特徴とする請求項 5記載の回数制限 匿名認証システム。

[13] 有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする第一の組と、有限群 の元 τ 'と有限群の元； ζ 'と整数 と証明文 ρ'とを要素とする第二の組とを入力する ための入力手段と、

前記てと前記て 'とが同一であるか否かを判定する第一判定手段と、

前記 1と前記 とが同一であるか否かを判定する第二判定手段と、

前記証明文 ρが正当であるか否かを判定する第三判定手段と、

前記証明文 P'が正当であるか否かを判定する第四判定手段と、 予め設定された対応表に基づいて、前記メンバー特定情報抽出手段の計算結果と 対応する識別子を取得する識別子取得手段と、

を有するトレース手段を更に有することを特徴とする請求項 9記載の回数制限匿名認 証システム。

[14] 有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする第一の組と、有限群 の元 τ 'と有限群の元； ζ 'と整数 と証明文 ρ'とを要素とする第二の組とを入力する ための入力手段と、

前記てと前記て 'とが同一であるか否かを判定する第一判定手段と、

前記 1と前記 とが同一であるか否かを判定する第二判定手段と、

前記証明文 Ρが正当であるか否かを判定する第三判定手段と、

前記証明文 P'が正当であるか否かを判定する第四判定手段と、

予め設定された対応表に基づいて、前記メンバー特定情報抽出手段の計算結果と 対応する識別子を取得する識別子取得手段と、

を有するトレース手段を更に有することを特徴とする請求項 10記載の回数制限匿名 認証システム。

[15] 有限群の元を構成する要素として少なくとも第一の要素及び第二の要素を持つ組 力 なる公開鍵と、整数力 なる秘密鍵とを生成し、生成された前記秘密鍵を記憶装 置に秘密裡に保管し、生成された前記公開鍵を公開する鍵生成ステップと、 整数が入力されると、擬似ランダム関数の関数値として、前記有限群の元を出力す る擬似ランダム関数計算ステップとを有し、

前記擬似ランダム関数計算ステップは、前記有限群の元として、

前記公開鍵の前記第一の要素を底とし、前記入力された整数を指数として、べき乗 剰余を計算して得られる値力 なる第一の元と、

前記公開鍵の前記第二の要素を底とし、前記秘密鍵と前記入力された整数との和 の有限体での逆数を指数として、べき乗剰余を計算して得られる値力 なる第二の元 と、

の積を出力することを特徴とする擬似ランダム関数計算方法。

[16] 整数からなる秘密鍵を生成し、生成された前記秘密鍵を記憶装置に秘密裡に保管 する鍵生成ステップと、

ビット列と整数との組が入力されると、擬似ランダム関数の関数値として、有限群の 元を出力する擬似ランダム関数計算ステップとを有し、

前記擬似ランダム関数計算ステップは、前記有限群の元として、

前記入力された値で決まる値を底とし、前記入力された整数を指数として、べき乗 剰余を計算して得られる値力 なる第一の元と、

前記入力された値で決まる値を底とし、前記秘密鍵と前記入力された整数の和の 逆数を指数として、べき乗剰余を計算して得られる値を指数として、べき乗剰余演算 により得られる値力 なる第二の元と、

の積を出力することを特徴とする擬似ランダム関数計算方法。

[17] 前記底は、前記入力された値のハッシュ値であることを特徴とする請求項 16記載の 擬似ランダム関数計算方法。

[18] 請求項 15に記載の擬似ランダム関数計算方法を用いた回数制限匿名認証方法で あって、

識別子と、整数 i、 y、及び 1と、有限群の元 tとを入力するためのステップと、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算する第一タグ計算ステップ と、

前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算し、計算された擬似ランダ ム関数の関数値を 1乗した値に tを乗じた値を計算する第二タグ計算ステップと、 前記第一タグ計算ステップの計算結果と前記第二タグ計算ステップの計算結果と の組を出力するステップとを有するタグ生成ステップを備えたことを特徴とする回数制 限匿名認証方法。

[19] 請求項 16又は 17に記載の擬似ランダム関数計算方法を用いた回数制限匿名認 証方法であって、

識別子と、整数 i、 y、及び 1と、有限群の元 tとを入力するためのステップと、 前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算する第一タグ計算ステップ と、

前記 yを秘密鍵として用い、前記識別子と前記 kと前記 iとから決まる値を入力して、 前記有限群に値をとる擬似ランダム関数の関数値を計算し、計算された擬似ランダ ム関数の関数値を 1乗した値に tを乗じた値を計算する第二タグ計算ステップと、 前記第一タグ計算手段の計算結果と前記第二タグ計算手段の計算結果との組を 出力するステップと、

を有するタグ生成ステップを備えたことを特徴とする回数制限匿名認証方法。

[20] 整数 kを入力するための入力ステップと、

電子署名方式の公開鍵及び秘密鍵ペアを選ぶ電子署名用鍵生成ステップと、 k個の整数を選ぶ平文選択ステップと、

前記 k個の整数各々に対する署名文を前記公開鍵及び秘密鍵ペアを用いて計算 する電子署名計算ステップと、

前記電子署名方式の公開鍵と前記 k個の整数と前記 k個の署名文とからなる組を、 前記タグ生成手段の計算に使用されるタグ用公開鍵として出力する出力ステップと、 を有するタグ用鍵生成ステップを更に備えたことを特徴とする請求項 18記載の回数 制限匿名認証方法。

[21] 前記電子署名計算ステップは、

平文として整数を入力するためのステップと、

平文と整数の和の有限体での逆元を計算するステップと、

計算された前記逆元を指数としてべき乗剰余を計算し、前記べき乗剰余の計算結 果を含む組を前記タグ用公開鍵として出力するステップとを有することを特徴とする 請求項 20記載の回数制限匿名認証方法。

[22] 前記電子署名用鍵生成ステップは、

有限群力ゝら元を選ぶステップと、

整数を選ぶステップと、

前記元を底とし、前記整数を指数として、べき乗剰余を計算するステップと、 選ばれた前記有限群の元と前記べき乗剰余の計算結果とからなる組を出力するス テツプ

とを有することを特徴とする請求項 21記載の回数制限匿名認証方法。

[23] 前記タグ生成ステップにて整数 1を入力して計算される計算結果をてとし、前記タグ 生成ステップにて整数 1'を入力して計算される計算結果をて 'としたとき、前記て、 1、 τ，、 の四つのデータを入力するためのステップと、

前記 τを前記 τ，で割った値を底とし、前記 1から前記 を減じた値の有限体での逆 数を指数として、べき乗剰余を計算するステップと、

前記べき乗剰余の計算結果を出力するステップと、

を有するメンバー特定情報抽出ステップを更に備えたことを特徴とする請求項 18記 載の回数制限匿名認証方法。

[24] 前記タグ生成ステップにて整数 1を入力して計算される計算結果をてとし、前記タグ 生成ステップにて整数 1'を入力して計算される計算結果をて 'としたとき、前記て、 1、 τ，、 の四つのデータを入力するためのステップと、

前記 τを前記 τ，で割った値を底とし、前記 1から前記 を減じた値の有限体での逆 数を指数として、べき乗剰余を計算するステップと、

前記べき乗剰余の計算結果を出力するステップと、

を有するメンバー特定情報抽出ステップを更に備えたことを特徴とする請求項 19記 載の回数制限匿名認証方法。

[25] グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケーション提供者 (以下 、 ΑΡ)装置の公開鍵と、前記 ΑΡ装置の識別子と、整数 k、 i、及び 1とを入力するため のステップと、

前記グループメンバーとしての秘密鍵から整数 yを作り、前記 AP装置の識別子と、 前記 i、 1、及び yとを入力として、前記タグ生成ステップにてタグを成すデータを計 算するステップと、

前記タグの正当性証明文を計算するステップと、

前記タグと前記正当性証明文とを出力するステップと、

を有するグループ証明ステップを更に備えたことを特徴とする請求項 18記載の回数 制限匿名認証方法。

[26] グループメンバーとしての公開鍵及び秘密鍵ペアと、アプリケーション提供者 (以下 、 AP)装置の公開鍵と、前記 AP装置の識別子と、整数 k、 i、及び 1とを入力するため のステップと、

前記グループメンバーとしての秘密鍵から整数 yを作り、前記 AP装置の識別子と、 前記 i、 1、及び yとを入力として、前記タグ生成ステップにてタグを成すデータを計 算するステップと、

前記タグの正当性証明文を計算するステップと、

前記タグと前記正当性証明文とを出力するステップと、

を有するグループ証明ステップを更に備えたことを特徴とする請求項 19記載の回数 制限匿名認証方法。

[27] 有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする第一の組と、有限群 の元 τ 'と有限群の元； ζ 'と整数 と証明文 ρ 'とを要素とする第二の組とを入力する ためのステップと、

前記 τと前記 τ 'とが同一であるか否かを判定するステップと、

前記 1と前記 とが同一である力否かを判定するステップと、

前記証明文 ρが正当である力否かを判定するステップと、

前記証明文 P'が正当である力否かを判定するステップと、

予め設定された対応表に基づいて、前記メンバー特定情報抽出ステップの計算結 果と対応する識別子を取得するステップと、

を有するトレースステップを更に備えたことを特徴とする請求項 23記載の回数制限匿 名認証方法。

[28] 有限群の元てと有限群の元 μと整数 1と証明文 ρとを要素とする第一の組と、有限群 の元 τ 'と有限群の元； ζ 'と整数 と証明文 ρ 'とを要素とする第二の組とを入力する ためのステップと、

前記 τと前記 τ 'とが同一であるか否かを判定するステップと、

前記 1と前記 とが同一である力否かを判定するステップと、

前記証明文 ρが正当である力否かを判定するステップと、

前記証明文 P'が正当である力否かを判定するステップと、 予め設定された対応表に基づいて、前記メンバー特定情報抽出ステップの計算結 果と対応する識別子を取得するステップと、

を有するトレースステップを更に備えたことを特徴とする請求項 24記載の回数制限匿 名認証方法。