WO2006132143A1

WO2006132143A1 - 認証システム、認証装置、端末装置及び検証装置

Info

Publication number: WO2006132143A1
Application number: PCT/JP2006/311075
Authority: WO
Inventors: Kaoru Yokota; Natsume Matsuzaki; Masao Nonaka
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-06-10
Filing date: 2006-06-02
Publication date: 2006-12-14
Also published as: EP1890451A1; JP4892478B2; US20090106547A1; US8850210B2; JPWO2006132143A1; CN101194463A

Abstract

　証明したい情報である証明情報をぼかして得られるぼかし情報を提示するサービス利用装置１と、サービス利用装置１によって提示されたぼかし情報の正当性を検証するサービス提供装置３ａ～３ｃと、サービス利用装置１による正当なぼかし情報の発行を支援する認証装置２とからなる認証システムであって、認証装置２は、証明情報とぼかし情報とを含む情報に対してデジタル署名を施し、得られたデジタル署名と証明情報とぼかし情報とを含む認証情報を生成し（Ｓ２）、サービス利用装置１は、認証装置２で生成された認証情報から、ユーザの指示によって選択されるぼかし情報とその指示を示す指示情報とデジタル署名とを含むぼかし認証情報を生成し（Ｓ４）、サービス提供装置３ａ～３ｃは、サービス利用装置１で生成されたぼかし認証情報に対して、そこに含まれるデジタル署名に基づいて、そこに含まれる指示情報が示すぼかし情報の正当性を検証する（Ｓ６）。

Description

明細書

認証システム、認証装置、端末装置及び検証装置

技術分野

[0001] 本発明は、身分証明書などの第三者機関によって認証された証明書データに対して、証明書の保持者のプライバシーを確保しつつ、正確に本人認証を行う認証システムに関する。

背景技術

[0002] 近年、一般家庭へのインターネットの普及に伴い、ネットワークを介した商品の販売や、音楽や映像と、つたデジタルコンテンツの配信と!/、つた各種サービスの提供が盛んになってきた。そのようなサービスの提供の際に、サービス提供側は、そのサービス提供のために必要な、利用者の個人情報を利用者力入手する必要がある。例えば、ネットワークを介した商品販売であれば、商品を配送するために利用者の氏名、住所、電話番号を入手する必要があり、商品代金の決済のために、クレジットカード番号の入手が必要となる場合もある。更に、商品の購買動向を調査して今後の販促活動に活用するために、利用者の年齢や職業なども入手する場合もある。また、利用者から個人情報を入手する際には、サービス提供者側は、その入手した個人情報が正しい内容であること、即ち、利用者が、自分の正確な個人情報を虚偽なく申告していることを確認したいという要求がある。一方、利用者側は、サービス提供側に、必要以上の個人情報を提供したくないという要求もある。このようなサービス提供者側、利用者側のどちらの要求も満足するためには、利用者側が提供する個人情報の正当性を保証しつつ、サービス提供者側には必要以上の個人情報が提供しないで済むような仕組みの実現が望まれる。

[0003] このような仕^ aみを実現するための従来の一方式として、「電子墨塗り方式」と呼ばれる方式が開示されている (特許文献 1参照)。図 1は、電子墨塗り方式を用いた認証システムのブロック図である。この認証システムは、メッセージに対してその内容を認証してデジタル署名の付与を行ヽ、署名付きメッセージの生成を行う署名生成者 9 0と、その署名付きメッセージを受け取って、必要に応じて「電子墨塗り」を施して署名検証者 92に送付する電子墨塗り者 91と、電子墨塗り者 91から受け取った「電子墨塗り」が施された署名付きメッセージの正当性を検証する署名検証者 92とからなる。

[0004] この認証システムにお、て、メッセージに署名が付加されて、電子墨塗りが行われ、署名の検証が行われる一連の手順は、次の通りである。まず、署名生成者 90は、幾つかのデータブロックからなるメッセージ Mに対するデジタル署名 Sを生成する。このとき、メッセージ Mが幾つかのデータブロックからなるというのは、例えば、メッセージ M力「犯人山田太郎は、犯行を認めた」という文章であるとき、このメッセージが 4つのデータブロック「犯人」、「山田太郎」、「犯行を」、「認めた」に分割可能であるようなことを意味する。次に、そのメッセージ Mとデジタル署名 Sを受け取った電子墨塗り者 91は、必要であればデジタル署名を検証した後、メッセージ Mについて、 4つのデータブロックのうち幾つかを「墨塗り」する。例えば、メッセージ Mが上記例で挙げた 4つのデータブロック力もなる文章であった場合、電子墨塗り者 91は、「山田太郎」に対して電子墨塗りを行ったとする。このとき、メッセージ Mは「犯人參參參參は、犯行を認めた」と、うように「山田太郎」の部分を隠す (墨塗りする）ことになる。こうして作られた墨塗り後のメッセージ Msと、元のメッセージ Mに付加されていた署名 Sとが署名検証者 92に送付される。署名検証者 92は、墨塗りされたメッセージ Msと署名 Sとの間に一定の関係が成り立つことを検証することによって、墨塗りされたメッセージ Msの正当性を検証する。このとき、署名検証者 92は、メッセージ Msが、元のメッセージ Mの一部を墨塗りして作られたことを確認することができる力墨塗りされたデータブロック (この例では、「山田太郎」）が何であつたかは、知ることができない。このように、電子墨塗り方式では、オリジナルのメッセージの一部を秘匿しつつ、メッセージの正当性が認証可能であり、この例のように、メッセージの一部を秘匿することで、個人のブラィパシー (犯人の名前)を保護しつつ、その内容 (犯人が犯行を認めたこと)の正当性を確認できるといえる。

[0005] また、例えば、「名前 =山田太郎」、「年齢 = 23歳」、「住所 =大阪府門真巿」という 3つのデータブロック力なるメッセージに対して「電子墨塗り方式」を用いることで、名前と住所のみが必要であり、年齢は必要がない場合、メッセージの「年齢 = 23歳」のブロックを墨塗りした上で、年齢以外の項目（氏名、住所）についてはデジタル署名を検証することによって正しヽことを確認することができる。

特許文献 1：特開 2005— 51734号公報

発明の開示

発明が解決しょうとする課題

[0006] し力しながら、上記従来技術においては、次に述べるようなユースケースにおいて、個人のプライバシーの保護と内容の正当性確認を両立させることができないという問題がある。

[0007] 例えば、名前と、「年齢が 20歳以上であること」だけが確認できればよい場合、上記従来技術においては、データブロックの正確な年齢（23歳）を提示する、もしくは、墨塗りをして年齢をまったく提示しない、のどちら力し力選択できず、正確な年齢を提示せずに、「20歳以上であること」だけを提示することは不可能である。そのために、「2 0歳以上であること」を提示するために、正確な年齢（23歳）を提示することになり、つまり、必要以上の個人情報を提示することになり、個人のプライバシーが十分に保護されない。

[0008] そこで、本発明は、上記の課題を解決するもので、上記のようなユースケースにおいても、個人のプライバシーを十分に保護でき、かつ、サービス提供者側で提示された個人情報の正当性が確認可能な認証システムを提供することを目的とする。

課題を解決するための手段

[0009] 上記目的を達成するために、本発明は、証明したい情報である証明情報をぼかして得られるぼかし情報を提示する端末装置と、前記端末装置によって提示されたぼ力し情報の正当性を検証する検証装置と、前記端末装置による正当なぼかレ報の発行を支援する認証装置とからなる認証システムであって、前記認証装置は、少なくも 1つの証明情報と前記証明情報に対応する複数のぼかし情報とを保持する情報保持手段と、前記情報保持手段に保持された証明情報とぼかし情報とを含む情報に対してデジタル署名を施すことによってデジタル署名を生成し、生成したデジタル署名と前記証明情報と前記ぼかし情報とを含む情報を認証情報として生成する認証情報生成手段と、生成された認証情報を前記端末装置に送信する第 1の送信手段とを備え、前記端末装置は、前記認証装置力送信されてくる認証情報を受信する第 1の受信手段と、ユーザからの指示に基づいて、前記受信手段で受信された認証情報に含まれる複数のぼかし情報の中から、少なくとも 1つのぼかレ f青報を選択する旨の指示を受け付けるぼかし指示受付手段と、前記ぼかし指示受付手段によって受け付けられた指示によって選択されるぼ力し情報と前記指示を示す指示情報と前記デジタル署名とを含む情報をぼかし認証情報として生成するぼかし認証情報生成手段と、生成されたぼかし認証情報を前記検証装置に送信する第 2の送信手段とを備え、前記検証装置は、前記端末装置力送信されてくるぼかし認証情報を受信する第 2の受信手段と、前記受信手段で受信されたぼかし認証情報に含まれるデジタル署名に基づいて、前記ぼかし認証情報に含まれる指示情報が示す、前記ぼかし認証情報に含まれるぼカゝし情報の正当性を検証する署名検証手段とを備えることを特徴とする

[0010] これによつて、認証装置において、複数の正当なぼかし情報が予め準備され、端末装置において、ユーザが所望するぼかし情報で証明情報が置き換えられて検証装置に送信され、検証装置において、ぼ力し情報の正当性が検証される。つまり、ユーザは、所望の証明情報をぼかし情報に置き換えて提示することできるとともに、ぼかし情報を受け取った検証装置は、そのぼかし情報が認証装置によって正当に発行されたものであることを確認することができる。

[0011] なお、本発明は、このような認証システムとして実現できるだけでなく、その認証システムを構成する認証装置単体、端末装置単体、検証装置単体として実現したり、それら認証装置、端末装置、検証装置で実行されるプログラムとして実現したり、そのプログラムが記録されたコンピュータ読み取り可能な CD— ROM等の記録媒体として実現することちでさる。

発明の効果

[0012] 本発明の認証システムによれば、ユーザの身元情報を情報的にぼ力した内容に変更ができ、かつ、ぼかした内容の正当性をデジタル署名によって確認可能な認証システムが実現されると、う効果がある。

[0013] つまり、必要以上に個人情報をさらすことなぐ個人情報の正当性を確認できるので、証明すべき必要最低限の情報だけを伝達することができる認証システムが実現される。

図面の簡単な説明

[図 1]図 1は、本発明の従来技術に係る認証システムの構成を示す図である。

[図 2]図 2は、本発明の実施の形態に係る認証システムの構成を示すシステム構成図である。

[図 3]図 3は、本発明の実施の形態に係る認証システムにおける通信のやりとりを示す通信シーケンス図である。

[図 4]図 4は、本発明の実施の形態に係るサービス利用装置の構成を示すブロック図である。

[図 5]図 5は、本発明の実施の形態に係るユーザ身元情報及びぼかし用情報の構成の一例を示す図である。

[図 6]図 6は、本発明の実施の形態に係る認証装置の構成を示すブロック図である。

[図 7]図 7は、本発明の実施の形態に係る認証装置の主要な動作を示すフローチヤートである。

[図 8]図 8は、本発明の実施の形態に係るぼかし住所情報データベースの構成を示すブロック図である。

[図 9]図 9は、本発明の実施の形態に係る身元認証情報生成部の構成を示すブロック図である。

[図 10]図 10は、本発明の実施の形態に係る分割された身元認証情報の構成の一例を示す図である。

[図 11]図 11は、本発明の実施の形態に係るぼかし身元認証情報生成部の構成を示すブロック図である。

[図 12]図 12は、本発明の実施の形態に係るぼかし身元認証情報生成部の動作手順を示すフローチャートである。

[図 13]図 13は、本発明の実施の形態に係る更新付加情報の構成の一例を示す図である。

[図 14]図 14は、本発明の実施の形態に係るサービス提供装置の構成を示すブロック図である。 [図 15]図 15は、本発明の実施の形態に係るデジタル署名検証部の構成を示すプロック図である。

[図 16]図 16は、本発明の実施の形態に係るデジタル署名検証部の動作手順を示すフローチャートである。

[図 17]図 17は、本発明の実施の形態の変形例に係るハッシュ計算方法を説明するための図である。

[図 18]図 18は、本発明の実施の形態の変形例に係るハッシュ計算方法を説明するための図である。

符号の説明

1 サービス利用装置

2 認証装置

-3c サービス提供装置

10 ユーザ身元情報記憶部

11 身元認証情報発行依頼データ送付部

12 身元認証情報受信部

13 身元認証情報保管部

14 身元認証情報表示部

15 ぼかし指示受付部

16 ぼかし身元認証情報生成部

17 サービス利用要求データ送付部

18 サービスデータ受信部

20 身元認証情報発行依頼受信部

21 ユーザ身元情報確認部

22 ぼかし用情報生成部

23 身元認証情報生成部

24 身元認証情報送信部

30 データ分割部

31 署名検証鍵記憶部 32 デジタル署名検証部

33 ユーザ身元情報確認部

34 ユーザ身元情報保管部

35 サービスデータ送付許可部

36 サービスデータ保管部

37 サービスデータ送付部

発明を実施するための最良の形態

[0016] 以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。

[0017] (認証システムの概要）

図 2は、本発明の実施の形態における認証システムの一構成例を示すシステム構成図である。この認証システムは、必要以上に個人情報をさらすことなぐ個人情報の正当性を確認できるとともに、証明すべき必要最低限の情報だけを伝達することができる認証システムであり、インターネット等の通信網で接続されたサービス利用装置 1、認証装置 2及びサービス提供装置 3a〜3cから構成される。サービス利用装置 1は、証明したい情報である証明情報をぼかして得られるぼ力し情報 (ここでは、証明情報の内容を曖昧にした内容を示す情報)を提示する端末装置の一例であり、サービス提供装置 3a〜3cは、サービス利用装置 1によって提示されたぼカゝし情報の正当性を検証する検証装置の一例であり、認証装置 2は、サービス利用装置 1による正当なぼかし情報の発行を支援する認証装置の一例である。

[0018] 本実施の形態では、サービス利用者は、サービス利用装置 1を用いて、サービス提供者がサービス提供装置 3a〜3cによって提供する各種のサービスを利用する。サ一ビス提供装置 3a〜3cは、サービス利用者がサービス利用をする際に、サービス提供のために必要な利用者の個人情報の提示を要求する。このとき、サービス提供装置 3a〜3cは、一部の個人情報については、生の情報ではなぐ曖昧化 (抽象化）された情報の提示を許諾している。たとえば、氏名と住所については、氏名のィ -シャルだけ、住所の地方名（「近畿地方」など)の提示を許諾している。

[0019] サービス利用装置 1は、認証機関である認証装置 2により発行された身分証明書を保持しており、上記個人情報の提示要求に対して、この身分証明書を提示する。このとき、サービス利用装置 1は、サービス提供装置 3a〜3cが要求する個人情報の内容に応じて、上記身分証明書に対して情報のぼかし処理を行った身分証明書をサービス提供装置 3a〜3cに提示する。例えば、「氏名」についてはイニシャルだけ、「住所」につ、ては地方名だけを提示する。

[0020] 図 3は、この認証システムにおける通信のやりとりを示す通信シーケンス図である。

[0021] まず、サービス利用装置 1は、認証装置 2に対して、身元認証情報 (ここでは、身分証明書)の発行を依頼するために、その旨を示す身元認証情報発行依頼データを送信する (Sl)。

[0022] 身元認証情報発行依頼データを受信した認証装置 2は、その身元認証情報発行依頼データに基づいて、複数の身元情報とぼかし身元情報との対を含む身元認証情報を生成し (S2)、生成した身元認証情報をサービス利用装置 1に返信する（S3)

[0023] 身元認証情報を受信したサービス利用装置 1は、その身元認証情報に対してユーザの指示に従った変更 (一部の項目をぼかす処理)をすることで、身元認証情報に含まれる所望の身元情報をぼかし身元情報に置換したぼかし身元認証情報 (ここでは、ぼ力した身分証明書)を生成し (S4)、生成したぼかし身元認証情報を含むサービス利用要求データをサービス提供装置 3a〜3cに送信する（S5)。

[0024] サービス利用要求データを受信したサービス提供装置 3a〜3cは、そのサービス利用要求データに含まれるぼかし身元情報を検証し (S6)、正当性を確認できた場合に、要求されたサービスデータをサービス利用装置 1に提供する（S7)。

[0025] 以下では、この認証システムにおけるサービス利用装置 1、認証装置 2、サービス提供装置 3a〜3cの動作について、「システムセットアップ」、「身分証明書発行手続き」 (図 3における S 1〜S3)、「サービス利用手続き」（図 3における S4〜S7)の手続きごとに説明する。

[0026] (システムセットアップ）

認証装置 2は、認証システムの立ち上げ時に、デジタル署名の署名生成鍵を作成し、認証装置 2内に秘密に保持する。また、その署名生成鍵を用いて生成したデジタル署名を検証するための署名検証鍵も同時に作成し、サービス提供装置 3a〜3cに配布し、これら装置内に保持させる。ここで、デジタル署名としては、公開鍵暗号方式を用いたデジタル署名法を用いるものとする。公開鍵暗号方式を用いたデジタル署名法は、公知の技術であるため、詳細についてここでは説明しない。

[0027] (身分証明書発行手続き）

「身分証明書発行手続き」は、サービス利用者が、この認証システムを最初に利用する時に行う。この手続きにより、サービス利用者は、各種サービスを利用する際に必要となる身分証明書を入手しておく。以下、身分証明書発行手続きの詳細について説明する。

[0028] 図 4は、サービス利用者が、「身分証明書発行手続き」及び「サービス利用手続き」を実行するために使用するサービス利用装置 1の一構成例を示すブロック図である。

[0029] サービス利用装置 1は、サービス利用者が利用するパーソナルコンピュータ等であり、サービス利用者の身元情報 (ユーザ身元情報)を記憶するユーザ身元情報記憶部 10と、そのユーザ身元情報から身元認証情報発行依頼データ作成して認証装置 2に送付する身元認証情報発行依頼データ送付部 11と、認証装置 2から送付される身元認証情報を受信する身元認証情報受信部 12と、受信した身元認証情報を保管する身元認証情報保管部 13と、保管している身元認証情報をサービス利用者が見える形で表示する身元認証情報表示部 14と、サービス利用者から身元認証情報に対するぼかし処理に関する指示を受け付けるぼかし指示受付部 15と、サービス利用者の指示に基づ、て、身元認証情報に対してぼ力し処理を行ってぼ力し身元認証情報を作成するぼかし身元認証情報生成部 16と、作成されたぼかし身元認証情報にサービス利用を要求する旨の情報を付加してサービス提供装置 3a〜3cのいずれかに送付するサービス利用要求データ送付部 17と、サービス提供装置 3a〜3cのいずれ力から提供されるサービスデータを受信するサービスデータ受信部 18とからなる。

[0030] サービス利用者が認証機関に対して自身の身元認証情報を発行してほヽ旨の依頼をサービス利用装置 1に指示すると、サービス利用装置 1は、以下の処理を行う。まず、ユーザ身元情報記憶部 10は、記憶しているユーザ身元情報を身元認証情報発行依頼データ送付部 11に転送する。ここで、ユーザ身元情報とは、サービス利用者の個人情報のことである。ユーザ身元情報の例を、図 5 (a)に示す。図 5 (a)において、ユーザ身元情報 41は、サービス利用者の氏名として漢字、ローマ字表記で「山田太郎 ZYAMADA TAROJと示す氏名情報 410と、年齢として「24歳」を示す年齢情報 411と、住所として「大阪府門真巿大字門真 1006」を示す住所情報 412 とからなる。

[0031] 次に、身元認証情報発行依頼データ送付部 11は、ユーザ身元情報 41に、このュ一ザ身元情報に基づ!、た身元認証情報の発行を依頼する旨のメッセージ情報を付加することによって身元認証情報発行依頼データを作成し、認証装置 2に送付する（図 3の Sl) )。

[0032] 身元認証情報発行依頼データを受信した認証装置 2の動作を説明する。図 6は、認証装置 2の一構成例を示すブロック図である。認証装置 2は、サービス利用装置 1 から送付される身元認証情報発行依頼データを受信する身元認証情報発行依頼データ受信部 20と、受信した身元認証情報発行依頼データに含まれるユーザ身元情報 41がサービス利用者の個人情報として正確なものであることを確認するユーザ身元情報確認部 21と、ユーザ身元情報 41に対して「ぼかし」を行うための元となるデータであるぼかし用情報を生成するぼかし用情報生成部 22と、ユーザ身元情報 41とぼかし用情報に基づ、て、デジタル署名を施すことによって身元認証情報を生成する身元認証情報生成部 23と、生成された身元認証情報をサービス利用装置 1に送付する身元認証情報送信部 24とからなる。

[0033] 図 7は、図 6に示された認証装置 2の主要な動作を示すフローチャートである。

[0034] 身元認証情報発行依頼データ受信部 20は、身元認証情報発行依頼データを受信し、その身元認証情報発行依頼データに含まれるユーザ身元情報 41を、ユーザ身元情報確認部 21、ぼかし用情報生成部 22、及び身元認証情報生成部 23に転送する。ユーザ身元情報確認部 21は、身元認証情報発行依頼データ受信部 20から転送されてきたユーザ身元情報 41が、正しいものであることを確認する（図 7の S10) 。確認する方法としては、例えば、認証装置 2は、市役所などの公的機関が保持する住民票データベースとネットワークを介して接続されており、ユーザ身元情報 41を、住民票データベースに照会することにより、それが正しいことを確認することができる。ユーザ身元情報 41が正しいものと確認されたときに限り、以下の処理を続行する。不正なものであることが判明した場合には、以下の処理は行わず、処理を終了する。

[0035] ぼ力し用情報生成部 22は、次のようにして、サービス利用装置 1から受信したユーザ身元情報 41に含まれる氏名情報 410、年齢情報 411、住所情報 412に対して、ぼ力し用情報を生成する（図 7の Sl l)。ぼ力し用情報の例を、図 5 (b)に示す。まず、氏名情報 410については、そのローマ字表記の姓、名それぞれの先頭一文字を取り出して、氏名のイニシャル表記を作成して、ぼ力し氏名情報 440として生成する。図 5 に示す例においては、氏名のローマ字表記「YAMADA TARO」の姓の先頭一文字「Y」と名の先頭一文字「Τ」を取り出して、イニシャル表記の「T. YJをぼかし氏名情報 440とする。

[0036] 年齢情報 411につヽては、年齢の一の位をゼロに変えた年代表記を、ぼかし年齢情報 441とする。図 5の例では、年齢「24歳」の一の位「4」を「0」に変えて年代表記「 20代」としたものを、ぼかし年齢情報 441とする。

[0037] 住所情報 412については、ぼ力し用情報生成部 22の内部に予め保持している、ぼかし住所情報データベースに基づいて、ぼかし住所情報 442を生成する。図 8は、ぼ力し用情報生成部 22の内部に保持されているぼかし住所情報データベース 42の一例を示すものである。ぼかし住所情報データベース 42は、ぼかし住所情報規則 420 〜424から構成され、例えば、ぼかし住所情報規則 420は、住所情報「東京都」は、ぼかし住所情報「関東地方」に変換されることを示す。図 5に示す例においては、住所情報 432「大阪府門真巿大字門真 1006」のうち、都道府県を示す「大阪府」を抽出し、これに対して、ぼかし住所規則 422を適用して、ぼかし住所情報 442を「近畿地方」とする。このようにして生成されたぼ力し氏名情報 440、ぼかし年齢情報 441、ぼかし住所情報 442からなる、ぼかし用情報 44を生成し、身元認証情報生成部 23 に ¾5送する。

[0038] 身元認証情報生成部 23は、身元認証情報発行依頼データ受信部 20から転送されてくるユーザ身元情報 41とぼかし用情報生成部 22から転送されてくるぼかし用情報 44を元に、身元認証情報を生成する（図 7の S 12)。

[0039] 図 9は、身元認証情報生成部 23の一構成例を示すブロック図である。身元認証情報生成部 23は、身元認証情報発行依頼データ受信部 20から転送されてくるユーザ身元情報 41を分割するデータ分割部 230と、乱数を生成する乱数生成部 231と、データ分割部 230で分割されたユーザ身元情報 41のそれぞれに乱数を付加する乱数付加部 232と、ノ、ッシュ計算を行なって中間ハッシュ値を生成する中間ハッシュ値生成部 233と、生成された中間ハッシュ値にぼかし用情報生成部 22から転送されてくるぼかし用情報 44を付加するぼかし用情報付加部 234と、ぼ力し用情報付加部 234 で得られた情報に対してハッシュ計算を行なって最終ハッシュ値を生成する最終ハツシュ値生成部 235と、デジタル署名を生成するための署名生成鍵を記憶する署名生成鍵記憶部 236と、最終ハッシュ値生成部 235で得られた最終ハッシュ値に対してデジタル署名を作成する署名作成部 237と、データ分割部 230で分割されたユーザ身元情報 41、乱数生成部 231が生成した乱数、署名作成部 237で作成されたデジタル署名及びぼ力し用情報生成部 22から転送されてくるぼかし用情報 44からサービス利用装置 1に送付する身元認証情報を作成する送付データ作成部 238とからなる。以下、身元認証情報生成部 23の動作（図 3の S2)を説明する。

[0040] データ分割部 230は、入力されるユーザ身元情報 41を分割して乱数付加部 232 及び送付データ作成部 238に転送する。具体的には、図 5 (a)において、ユーザ身元情報 41を、氏名情報 410、年齢情報 411、住所情報 412の 3つのデータに分割し、乱数付加部 232及び送付データ作成部 238に転送する。

[0041] 次に、乱数生成部 231は、 3つの乱数値 rl、 r2、 r3を生成して、乱数付加部 232及び送付データ作成部 238に転送する。ここで、発生する乱数の個数は、データ分割部 230にお、て生成された分割データの個数と等、。

[0042] 次に、乱数付加部 232は、上記氏名情報 410、年齢情報 411、住所情報 412を、所定の規則に基づいて、それぞれ数値データ ml、 m2、 m3に変換する。上記所定の規則としては、 ASCIIコード力も数値への変換などを用いればよい。そして、得られた数値データ ml、 m2、 m3に対して、乱数生成部 231で生成した乱数 rl、 r2、 r3 をそれぞれ結合して、 ml II rl、 m2 || r2、 m3 || r3とし、中間ハッシュ値生成部 233 に転送する。ここで「 II」は、データの結合 (例えば、桁連結）を表す。

[0043] 次に、中間ハッシュ値生成部 233は、乱数付加部 232から転送されてきたデータ m 1 II rl、 m2 || r2、 m3 || r3に対して、以下の計算を行って、中間ハッシュ値 il、 i2、 i 3を生成し、ぼかし用情報付加部 234に転送する。

[0044] il =Hash (ml || rl)

i2=Hash (m2 || r2)

i3 =Hash (m3 || r3)

[0045] ここで Y=Hash (X)は、データ Xに対して所定のハッシュ計算 Hashを行、、その結果を Yとすることを意味する。ここで用いるハッシュアルゴリズム Hashとしては、公知のハッシュ方式であればなんでもよぐ例えば、 SHA1方式を使えばよい。

[0046] 次に、ぼかし用情報付加部 234は、ぼかし用情報生成部 22から転送されてくるぼかし用情報 44を、ぼ力し氏名情報 440、ぼかし年齢情報 441、ぼかし住所情報 442 の 3つのデータに分割し、更にそれぞれのデータを、所定の規則に基づいて、数値データ bl、 b2、 b3に変換する。ここで用いる所定の規則も ASCIIコード力も数値への変換などを用いればよい。こうして生成された数値データ bl、 b2、 b3を、中間ハツシュ値 il、 i2、 i3とそれぞれ結合して、結合データ il II bl、 12 II b2、 13 || b3を作成し、最終ハッシュ値生成部 235に転送する。

[0047] 次に、最終ハッシュ値生成部 235は、ぼ力し用情報付加部 234から転送されたデータ il II bl、 12 II b2、 13 II b3に対して、以下のハッシュ計算を行い、最終ハッシュ値 hl、 h2、 h3を生成し、署名作成部 237に転送する。

[0048] hl =Hash (il || bl)

h2=Hash (i2 || b2)

h3 =Hash (i3 || b3)

[0049] 署名生成鍵記憶部 236は、認証システム立ち上げ時に作成した署名生成鍵を記憶している。最終ハッシュ値生成部 235による処理の後、署名生成鍵記憶部 236は

、記憶して、る署名生成鍵を署名作成部 237に転送する。

[0050] 次に、署名作成部 237は、署名生成鍵記憶部 236から転送された署名生成鍵を用いて、最終ハッシュ値 hl、 h2、 h3を元にデジタル署名を生成する。具体的には、以下の計算により、デジタル署名 Sを生成する。

[0051] S = Sig (Ks、 hi || h2 || h3) [0052] ここで、 Ksは署名生成鍵、 S = Sig (K、 D)は、署名生成鍵 Kを用いてデータ Dに基づくデジタル署名 Sを生成することを表す。なお、デジタル署名を生成する方式は公知であるので、ここではその詳細を説明しない。上記のようにして生成したデジタル署名 Sを、送付データ作成部 238に転送する。

[0053] 次に、送付データ作成部 238は、ユーザ身元情報 41、乱数 rl、 r2、 r3、ぼかし用情報 44、及び、デジタル署名 Sから、図 10に示すような身元認証情報 43を作成する。ここで、ユーザ身元情報 41に含まれる氏名情報 410、年齢情報 411、住所情報 41 2には、それぞれインデックス値として「1」「2」「3」が付与される。ぼかし用情報 44に含まれるぼ力し氏名情報 440、ぼかし年齢情報 441、ぼかし住所情報 442にも、それぞれインデックス情報として「1」「2」「3」が付与される。また、身元認証情報 43には、ぼかしブロック情報 450、乱数 rl (451)、乱数 r2 (452)、乱数 r3 (453)力なる付カロ情報 45と、デジタル署名 S (46)が含まれ、ぼ力しブロック情報 450、乱数 rl〜r3 (45 1〜453)には、それぞれインデックス値として「0」「1」「2」「3」が付与される。ここで、ぼ力しブロック情報 450とは、身元認証情報 43のうち、情報の「ぼかし」が行われている身元情報がどれかをインデックス値で表記している。なお、認証装置 2で身元認証情報 43を生成した時点では、情報の「ぼかし」が行われる身元情報は無いので、ぼ力ブロック情報 450としては、「なし」を表すデータが設定されて!、る（後述するように、ぼ力しブロック情報 450はサービス利用装置 1で設定される。 )₀このようにして、送付データ作成部 238は、身元認証情報 43を作成して、身元認証情報送信部 24に転送する。そして、身元認証情報送信部 24は、上記身元認証情報 43を、サービス利用装置 1に送付する。

[0054] サービス利用装置 1は、認証装置 2から送付される身元認証情報 43を、図 4に示すように、身元認証情報受信部 12にて受信する（図 3の S3)。身元認証情報受信部 12 は、受信した身元認証情報 43を、身元認証情報保管部 13に転送する。そして、身元認証情報保管部 13は、その身元認証情報 43を保管する。

[0055] (サービス利用手続き）

「サービス利用手続き」は、サービス利用者が、サービス利用装置 1を用いて、サービス提供業者がサービス提供装置 3a〜3cで提供するサービスを利用する際に実行される。サービス利用手続きを実行する前には、サービス利用装置 1は、前述した「身分証明書発行手続き」を実行して、認証装置 2から、身元認証情報 43の発行を受けている必要がある。図 2では、認証システム内に、 3つのサービス A、 B、 Cをそれぞれサービス提供業者 A、 B、 Cが提供する場合について示している。このとき、サービス提供業者 Aは、サービス提供装置 3aを、サービス提供業者 Bは、サービス提供装置 3 bを、サービス提供業者 Cは、サービス提供装置 3cを、それぞれ用いてサービスを提供する。サービス利用者は、それらのサービスの中から、利用したいサービスを 1つ選び、サービス利用装置 1を用いて、そのサービスに対応するサービス提供装置力もサービス提供を受ける。以下では、サービス提供者が、サービス Aを利用する場合の、サービス利用手続きについて説明する力サービス B、 Cを利用する場合についても、これと同様の手順となる。

[0056] 最初に、サービス利用者から、サービス Aを利用する旨の指示を受けたサービス利用装置 1は、図 4に示す身元認証情報保管部 13にて、その内部に保管している身元認証情報 43を、身元認証情報表示部 14に転送する。

[0057] 次に、身元認証情報表示部 14は、転送されてきた身元認証情報 43に含まれる情報のうち、氏名情報 410、年齢情報 411、住所情報 412を表示し、表示したユーザ身元情報のうち、どの情報に対して「ぼかし」を行うかをサービス利用者に問いかけるメッセージを表示する。表示内容を確認したサービス利用者は、 3つの情報から、どれに「ぼかし」を行うかを指示するデータをサービス利用装置 1に対して入力し、サービス利用装置 1は、ぼ力指示受付部 15にて、その指示を受け付ける。このとき、「ぼかし」を行う情報は、 1つだけでも良いし、複数を指定しても良いし、 1つも「ぼかし」を行わないという指示でも良い。以下では、氏名情報 410と住所情報 412に対して「ぼかし」を行う指示が、サービス利用者力もあった場合について説明する。なお、ユーザ身元情報のうち、どの情報に対して「ぼかし」を行うかは、サービス利用者が全く自由に指定することが可能な場合もあるし、利用するサービスによって予め決められた制約の下で、サービス利用者が指定する場合もある。例えば、利用者の正確な年齢情報を必要とするサービスの場合には、年齢情報については、「ぼかし」をしないことが、そのサービスを利用するための条件となっており、サービス利用者は、年齢情報については、「ぼかし」を行う指示が出せない。ぼ力指示を受け付けたぼかし指示受付部 15は、そのぼかし指示を、ぼ力身元認証情報生成部 16に転送する。

[0058] 次に、ぼかし身元認証情報生成部 16は、身元認証情報保管部 13から入力された身元認証情報 43と、ぼ力指示受付部 15から転送されてきたぼかし指示を元に、ぼ力身元認証情報を生成する（図 3の S4)。以下、その処理詳細について説明する。

[0059] 図 11は、ぼ力身元認証情報生成部 16の一構成例を示すブロック図である。ぼかし身元認証情報生成部 16は、身元認証情報保管部 13から転送されてくる身元認証情報 43を複数のデータ (ユーザ身元情報 41、ぼかし用情報 44、付加情報 45、デジタル署名 46)に分割するデータ分割部 160と、中間ハッシュ値生成部 163及び付カロ情報更新部 164にぼかし指示受付部 15からの指示を示すぼかし部分指定情報を転送するぼ力部分指定部 161と、ぼ力部分指定部 161からのぼかし部分指示情報に基づ!/、てユーザ身元情報 41に対してぼ力し用情報 44を用いてぼ力し処理を行うことによってぼ力しユーザ身元情報 47を生成するデータぼ力し部 162と、ぼ力し部分指定部 161からのぼかし部分指定情報と付加情報 45とに基づいてユーザ身元情報 41に対してハッシュ計算を行って中間ハッシュ値を計算する中間ハッシュ値生成部 163と、ぼ力し部分指定部 161からのぼかし部分指定情報に基づいて付加情報 45 を中間ハッシュ値生成部 163からの中間ハッシュ値で更新することによって更新付カロ情報 48を生成する付加情報更新部 164と、デジタル署名 46、ぼかし用情報 44、更新付加情報 48及びぼかしユーザ身元情報 47を連結してぼかし身元認証情報を作成するデータ連結部 165とからなる。

[0060] 以下、身元認証情報 43とぼかし指示を入力されたときのぼかし身元認証情報生成部 16の動作について、図 12に示された主要な動作を示すフローチャートを用いて説明する。

[0061] まず、データ分割部 160は、身元認証情報保管部 13から転送されてくる身元認証情報 43を受け付けて、複数のデータに分割する。具体的には、図 10で示されるようなユーザ身元情報 41と、ぼ力し用情報 44と、付加情報 45と、デジタル署名 46の 4つに分割する。そして、ユーザ身元情報 41をデータぼかし部 162及び中間ノ、ッシュ値生成部 163に転送し、ぼかし用情報 44をデータぼ力部 162及びデータ連結部 16 5に転送し、付加情報 45を中間ハッシュ値生成部 163及び付加情報更新部 164に転送し、デジタル署名 46をデータ連結部 165に転送する。

[0062] 次に、ぼかし部分指定部 161は、ぼかし指示を受け付けて、その指示を示すぼかし部分指定情報をデータぼかし部 162及び中間ハッシュ値生成部 163及び付加情報更新部 164に転送する。具体的には、ぼかし部分指定情報は、氏名情報と住所情報に対してぼかし処理を行うことを示す情報であり、例えば、氏名情報、住所情報のィンデッタス値である「1」「3」からなる情報である。

[0063] 次に、データぼ力し部 162は、データ分割部 160から転送されてくるユーザ身元情報 41に対して、ぼ力部分指定部 161から転送されてくるぼかし部分指定情報に従つて、ぼ力し用情報 44を用いて、情報の「ぼかし」を行い、ぼかしユーザ身元情報を生成する（図 12の S20)。具体的には、「氏名情報と住所情報に対してぼかしを行う」というぼかし部分指定情報に従って、ユーザ身元情報 41の氏名情報 410をぼかし用情報 44のぼかし氏名情報 440に置き換えるとともに、ユーザ身元情報 41の住所情報 412をぼ力し用情報 44のぼかし住所情報 442に置き換える。このようにして、図 13 に示すような、ぼかしユーザ身元情報 47を生成する。ここでは、氏名「山田太郎 Z YAMADA TARO」は、「T. Y」というイニシャル表記に情報がぼ力され、住所「大阪府門真巿大字門真 1006」は、「近畿地方」と情報がぼかされたことになる。そして、データぼ力し部 162は、このようにして得られたぼ力しユーザ身元情報 47をデータ連結部 165に転送する。

[0064] 次に、中間ハッシュ値生成部 163は、ぼ力し部分指定部 161から転送されてくるぼかし部分指定情報に従って、データ分割部 160から転送されてくるユーザ身元情報 41及び付加情報 45から中間ハッシュ値を計算する（図 12の S21)。具体的には、まず、ぼかし部分指定情報「氏名情報 (インデックス値「 1」）と住所情報 (インデックス値「3」）をぼかし処理する」より、ユーザ身元情報 41から、インデックス値「1」と「3」の情報 (即ち、氏名情報 410と住所情報 412)を取り出し、これらを前述の変換規則に従つて数値データ ml、 m3に変換する。また、付加情報 45からも、インデックス値「1」と「3」の情報 (即ち、乱数 rlと r3)を取り出して、以下の計算により、中間ハッシュ値と i3を生成する。そして、生成した中間ノ、ッシュ値 il、 i3を付加情報更新部 164に転送する。

[0065] il =Hash (ml || rl)

i3 =Hash (m3 || r3)

[0066] 次に、付加情報更新部 164は、ぼ力部分指定部 161から転送されてくるぼかし部分指定情報に従って、中間ハッシュ値生成部 163から転送されてくる中間ハッシュ値 il、 i3を用いて、データ分割部 160から転送されてくる付加情報 45の更新を行う（図 12の S22)。具体的には、ぼかし部分指定情報「氏名情報 (インデックス値「1」）と住所情報 (インデックス値「3」）をぼかし処理する」より、付加情報 45のうち、インデックス値「1」と「3」の情報 (即ち、氏名情報 410と住所情報 412)を、それぞれ中間ハッシュ値 il、 i3に置き換えて、付加情報の更新を行う。また、ぼ力しブロックを表示するインデッタス値「0」のデータ領域に、「1」「3」を記憶する。これは、中間ハッシュ値に置き換わったフィールドのインデックス値を示している。図 13に、このような付加情報更新部 164による付加情報 45の更新によって得られる更新付加情報 48を示す。本図に示されるように、更新付加情報 48は、ぼ力しブロック情報 480、中間ハッシュ値 il (48 1)、乱数 r2 (482)、中間ハッシュ値 i3 (483)によって構成されている。付加情報更新部 164は、こうして更新を行った結果得られる更新付加情報 48を、データ連結部 1 65に転送する。

[0067] 次に、データ連結部 165は、データぼ力し部 162から転送されてくるぼ力しユーザ身元情報 47、データ分割部 160から転送されてくるぼかし用情報 44及びデジタル署名 46並びに付加情報更新部 164から転送されてくる更新付加情報 48を結合して、ぼかし身元認証情報を生成する（図 12の S23)。図 13に、ぼかし身元認証情報 49を示す。こうして作成された、ぼかし身元認証情報 49を、サービス利用要求データ送付部 17に転送し、ぼかし身元認証情報生成部 16の処理は完了する。

[0068] 最後に、図 4に示されるように、サービス利用要求データ送付部 17は、ぼかし身元認証情報 49で生成されたぼかし身元認証情報 49に、サービス Aの利用を要求する旨のメッセージを付カ卩したデータをサービス利用要求データとして、サービス提供装置 3aに送付する（図 3の S5)。

[0069] 次に、サービス利用要求データを受け取った後の、サービス提供装置 3a (3b、 3c) の内部動作について説明する。図 14は、サービス提供装置 3a (3b、 3c)の一構成例を示すブロック図である。サービス提供装置 3a (3b、 3c)は、サービス利用装置 1から受信したサービス利用要求データからぼかし身元認証情報 49を取り出して分割するデータ分割部 30と、デジタル署名を検証するための署名検証鍵を記憶する署名検証鍵記憶部 31と、署名検証鍵を用いてデジタル署名の検証を行うデジタル署名検証部 32と、ユーザ身元情報の確認を行うユーザ身元情報確認部 33と、ユーザ身元情報を保管するユーザ身元情報保管部 34と、デジタル署名の検証結果及びユーザ身元情報の確認結果を元にサービス利用者へのサービスデータ送付の許可を行うサービスデータ送付許可部 35と、サービス利用者に送付するサービスデータを保管するサービスデータ保管部 36と、サービス利用者にサービスデータを送付するサービスデータ送付部 37とからなる。以下、サービス提供装置 3a (3b、 3c)の動作詳細について説明する。

[0070] まず、データ分割部 30は、サービス利用装置 1から受信したサービス利用要求データに含まれるぼかし身元認証情報 49を取り出し、さらに、ぼかし身元認証情報 49 を、ぼかしユーザ身元情報 47、ぼかし用情報 44、更新付加情報 48、及びデジタル署名 46に分割する。そして、ぼカゝしユーザ身元情報 47をユーザ身元情報確認部 33 及びデジタル署名検証部 32に転送し、ぼかし用情報 44、更新付加情報 48及びデジタル署名 46をデジタル署名検証部 32に転送する。

[0071] 次に、署名検証鍵記憶部 31は、記憶している署名検証鍵をデジタル署名検証部 3 2に転送する。

[0072] そして、デジタル署名検証部 32は、署名検証鍵記憶部 31から転送されてくる署名検証鍵を用いて、ぼかしユーザ身元情報 47、ぼかし用情報 44及び更新付加情報 4 8に基づいてデジタル署名 46の検証を行う（図 3の S6)。その詳細を以下で説明する

[0073] 図 15は、デジタル署名検証部 32の内部構成例を示すブロック図である。デジタル署名検証部 32は、更新付加情報 48から中間ハッシュ値と乱数とを取り出す中間ハツシュ値抽出部 320と、ぼ力しユーザ身元情報 47と乱数とから中間ノ、ッシュ値を計算する中間ハッシュ値生成部 321と、中間ハッシュ値とぼかしユーザ身元情報 47とぼ力し用情報 44と更新付加情報 48とから最終ハッシュ値を計算する最終ハッシュ値生成部 322と、署名検証鍵を用いて最終ハッシュ値とデジタル署名 46の正当性を検証する署名チェック部 323とからなる。

[0074] 以下、デジタル署名検証部 32の内部動作について、その主要な動作フローを示す図 16を用いて詳細に説明する。

[0075] まず、中間ハッシュ値抽出部 320は、更新付加情報 48のぼ力しブロック情報 480を参照してブロック 1及び 3がぼ力し処理をされていることを知る。そして、インデックス値が 1と 3の領域から、中間ハッシュ値 il (481)及び i3 (483)を取り出して、最終ハツシュ値生成部 322に転送する（図 16の S30)。

[0076] 次に、中間ハッシュ値生成部 321は、更新付加情報 48のぼ力しブロック情報 480 を参照して、ブロック 2がぼかし処理をされていないことを知る。そして、インデックス値力^の領域から、乱数 r2 (482)を読み出す。また、ぼ力ユーザ身元情報 47から、ィンデッタス値が 2の年齢情報 471を取得して、所定の変換ルールに基づ、て数値データ m2に変換する。そして、下記の計算式により中間ノ、ッシュ値 i2を計算し、最終ノヽッシュ値生成部 322に転送する（図 16の S31)。

[0077] i2=Hash (m2 || r2)

[0078] 次に、最終ハッシュ値生成部 322は、更新付加情報 48のぼ力しブロック情報 480 を参照して、ブロック 1と 3がぼ力し処理をされていることを知る。そして、中間ハッシュ値抽出部 320から、中間ハッシュ値 il (481)及び i3 (483)を受け取る。一方、ぼかしユーザ身元情報 47のインデックス値が 1と 3の領域からぼ力し氏名情報 470及びぼかし住所情報 472を取得し、それぞれを所定の変換ルールに基づ、て数値データ b 1及び b3に変換する。また、ぼかし用情報 44のインデックス値が 2 (ぼ力し処理の行われて、な、ブロック）の領域から、ぼかし年齢情報 441を取得し所定の変換ルールに従って数値データ b2に変換する。さらに、中間ハッシュ値生成部 321から中間ハツシュ値 i2を受け取る。

[0079] そして、最終ハッシュ値生成部 322は、このようにして得られた、 il、 i3、 bl、 b2、 b3 、及び、 i2を用いて、以下の計算式により、最終ハッシュ値 hl、 h2、 h3を計算して、署名チェック部 323に転送する（図 16の S32)。 [0080] hl =Hash (il || bl)

h2=Hash (i2 || b2)

h3 =Hash (i3 || b3)

[0081] 次に、署名チェック部 323は、署名検証鍵 Kpを用いて、最終ハッシュ値 hl、 h2、 h 3及びデジタル署名 Sの正当性を以下のよう〖こしてチェックし、検証結果 Resultを、図 14に示されるサービスデータ送付許可部 35に転送する（図 16の S33)。

[0082] Result= Verify (Kp, hi || h2 || h3, S)

ここで、 Result = Verify (Kp, d, S)は、検証鍵 Kpを用いて、デジタル署名 Sがデータ dの正当なデジタル署名であるかを検証し、その結果（OKまたは NG)を Result とすることを意味する。

[0083] デジタル署名検証部 32の処理の後、ユーザ身元情報確認部 33は、ぼかしユーザ身元情報 47の内容を確認する。具体的には、例えば 20歳以上限定のサービスである場合に、年齢情報 471を確認して 20歳以上であることをチェックする、などである。そのチェックの結果、問題がなければ、ぼ力しユーザ身元情報 47を、ユーザ身元情報保管部 34に転送する。もしも問題が見つ力つた場合には、以降の処理は行わず、サービス利用者に対して、サービス提供を拒否する旨の通知を行う。

[0084] 次に、ユーザ身元情報保管部 34は、ぼ力しユーザ身元情報 47をサービス利用者のリストに追カ卩して、ユーザのデータ登録を行う。

[0085] サービスデータ送付許可部 35は、検証結果 Resultが OKであり、かつ、ユーザ身元情報保管部 34が、正常にユーザ登録を完了したことを確認した後に、サービスデータ送付許可信号をサービスデータ送付部 37に送付する。

[0086] サービスデータ送付部 37は、サービスデータ保管部 36に保管されたサービスデータをサービス利用装置 1に送付する（図 3の S 7)。サービスデータとしては、例えば、音楽や映画などのコンテンツや、地図などの情報が考えられる。

[0087] そして、サービス利用装置 1は、サービスデータ受信部 18にて、サービス提供装置 3a (3b、 3c)から送付されてくるサービスデータを受信する。

[0088] (認証システムの安全性）

次に、この認証システムにおける以下の 2点に関する安全性について説明する。 [0089] (1)ぼかし身元認証情報から、ぼ力を行う前のユーザ身元情報が分力もないこと [0090] (2)身元認証情報から、不正にぼかしを行って作成したぼかし身元認証情報が作成できないこと

[0091] まず、上記（1)について説明する。図 13に示すぼ力し身元認証情報 49において、氏名情報と住所情報に対してぼかし処理が行われて、る。ぼかし身元認証情報 49 から、ぼ力しを行う前の元の氏名情報と住所情報を復元するための、唯一の方法としては、更新付加情報 48に含まれる中間ハッシュ値 il (481)及び i3 (483)とから、以下の計算式を元に、氏名情報 (の数値データ) ml、及び住所情報 (の数値データ) m 3を逆算するしかない。

[0092] il =Hash (ml || rl)

i3=Hash (m3 || r3)

[0093] ここで、 rl、 r3は、乱数データであり、ぼかし身元認証情報 49から元のユーザ身元情報を求めようとする解析者には知りえないデータである。 Hashは、ノ、ッシュ関数であるから、ノ、ッシュ値 ilから逆算により、 ml II rlを計算することはできない。よって、解析者は、 ml II rlを予想して、その予想値に対して Hashの計算を行って得られた結果が ilと一致するかどうかを検査する、という試行を何度も繰り返すことになる。従つて、 ml II rlのデータサイズが十分に大きければ、正しい ml || rlを求めるために必要になる上記試行回数は膨大になり、計算量の上で正しい ml II rlを求めることは実質的には、不可能である。また、氏名情報 mlについては、ぼ力し氏名情報「T. Υ 」から、ある程度候補が絞り込める (イニシャル Τ. Υの氏名に限定される）ので上記試行回数は削減される力乱数 rlは全くランダムな値であるため、 mlのような絞込みは行えない。従って、乱数が十分なデータ長（例えば、 64ビット以上）を有していれば、たとえ mlについては、候補の絞込みが行えたとしても、安全性上問題は生じない。

[0094] 次に、上記（2)の安全性について説明する。上記実施の形態においては、サービス利用者は、サービス利用装置 1に、氏名情報 410と住所情報 412に対して、ぼかし処理を指示して、サービス利用装置 1は、ぼカゝし処理を行った。デジタル署名 Sは、認証装置 2によって以下のように生成される。

[0095] 1.身元情報 ml、 m2、 m3に対して適切なぼかし用情報 bl、 b2、 b3を生成。 [0096] 2.乱数 rl、 r2、 r3を生成して、以下の il、 i2、 i3を計算。

[0097] il =Hash (ml || rl)

i2=Hash (m2 || r2)

i3 =Hash (m3 || r3)

[0098] 3.以下の式により、 hl、 h2、 h3を計算。

[0099] hl =Hash (il || bl)

h2=Hash (i2 || b2)

h3 =Hash (i3 || b3)

[0100] 4. hi II h2 II h3に対して、署名鍵を用いてデジタル署名 Sを生成。

[0101] もし、ぼ力し処理を行う際に、認証装置 2が定めたぼ力し用情報 bl、 b2、 b3以外の情報でぼかし処理を行った場合、署名検証処理において、最終ハッシュ値計算で用いる、 bl、 b2、 b3が、署名生成時とは異なる値 bl '、 b2'、 b3 'として計算されるため、 hl、 h2、 h3とは異なる最終ハッシュ値 hl，、 h2，、 h3，力計算される。従って、 bl、 b2、 b3のどれかひとつでも違う値になると、署名検証は、 hi II h2 II h3とは異なる値に対して行われるために、署名検証は不合格になる。

[0102] 以上のようにして、サービス利用装置 1は、身元認証情報 (本実施の形態では、身分証明書）に記載してヽる氏名「山田太郎 ZYAMADA TARO」をイニシャル表記の . YJに、住所「大阪府門真巿大字門真 1006」を「近畿地方」に置き換えることで、情報的に「ぼかし」を行った上で、サービス提供装置 3aに送付することができる。

[0103] 本実施の形態では、身元認証情報に対して「ぼかし」を行うとき、 V、ち、ち認証装置 2に身元認証情報の再発行を要求することはなぐ身元認証情報の「ぼかし」を行う際には、認証装置 2の処理負荷は力からない。また、サービス提供装置 3aは、その「ぼかし」が行われた身元認証情報（ぼかし身元認証情報）が、元の正 Uヽ身元認証情報力も正しく「ぼかし」が行われたことを、署名検証により確認することができる。即ち、身元認証情報を認証局の助けを必要とせずにユーザ側でぼかし処理が行える認証システムが実現できて、る。

[0104] 更に、例えば、認証装置が署名とともに署名を施した時刻を付与することにより、「2 003年 12月 3日に、 24歳であることが認証局（認証装置）によって認証された」ということを身元認証情報により保証し、その後、利用者側にて、「2003年 12月 3日に、 "2 0歳代"であることが認証局 (認証装置）によって認証された」とぼかしてサービス提供者に提示するような機能も、本発明の認証システムでは実現可能である。一方、ぼかしを行うたびに認証装置 2に身元認証情報を再発行を要求する構成では、この機能は実現し得ない。なぜなら、認証装置は再発行の時に、再発行時の現在時刻を付与するので、例えば、再発行により「2005年 3月 31日に、 "20歳代"であることが認証局によって認証された」ということを証明する身元認証情報になってしまい、 2003年 1 2月 3日に認証されたという情報は損なわれてしまうからである。これは、認証された内容とともに、認証された時刻も重要となるようなアプリケーションにおいては問題となる。

[0105] なお、本実施の形態では、ユーザなどの身元を示す文字情報を対象としているが、これは、数値ィ匕が可能な情報であれば何でもよぐ例えば、画像情報、音声情報であつてもよい。

[0106] また、一方向性関数はハッシュ関数に限定されるものはなぐさらに、用いるハツシュ方式、デジタル署名方式は、特定の方式に限定されるものではない。

[0107] また、本実施の形態では、ユーザ身元情報として、氏名情報、年齢情報、住所情報の 3つとしている力本発明は、この種類、この個数に限定されるものではない。さらに、認証システムが対象とするデータも、ユーザ身元情報に限定されるものではない

[0108] また、本実施の形態では、認証装置が、ユーザ力提出されるユーザ身元情報力ぼかし用情報を生成しているが、このぼ力し用情報はユーザが作成してユーザ身元情報とともに提出するようにしてもよい。この場合、認証装置がユーザが提出したぼかし用情報力ユーザ身元情報の内容を正しくぼかしたものになっているかを確認するようにして、正しいと判断される場合に、身元認証情報を発行するようにしてもよい。

[0109] また、本実施の形態では、ぼ力し用情報は、ユーザ身元情報の内容を曖昧化したものとして生成した力これに限られるものでなぐ両者が互いに論理的に矛盾しない内容のもの（ある、は、ユーザ身元情報の内容を概念的に包含する関係にある）としてもよい。例えば、ユーザ身元情報として「りんごが好きである」とし、ぼかし用情報として「みかんが好きである」とした場合に、両者は論理的には矛盾していない。その場合には、サービス提供装置 3a〜3cは、サービス利用装置 1から送られてくるぼかし認証情報に含まれるぼ力し情報が対応する証明情報と論理的に矛盾しないことを確認すればよい。具体的には、証明情報と論理的に矛盾しないぼかし情報の一覧を保持しておき、その一覧にあるぼかし情報を受け取った場合に、証明情報とぼかし情報とが論理的に矛盾しない (あるいは、ぼ力し情報が照明情報の内容を概念的に包含する関係にある）と判断すればよい。それによつて、サービス提供装置 3a〜3cは、例えば、サービス利用装置 1から送られてきたぼ力情報が「みかんが好きである」場合に、「りんごが好きである」という証明情報と論理的に矛盾しないと分力るので、そのぼかし情報が正当であると判断することができる。

[0110] なお、本実施の形態では、例えば、氏名情報に対して 1つのぼかし用情報が対応しているが、これは、複数のぼかし用情報が存在しており、ユーザが、ぼ力し処理を行う際に上記複数のぼかし用情報力も好きなものを 1つ選んで、ぼ力し処理を行うことも可能である。以下その方法について説明する。実施の形態では、ユーザ身元情報が氏名、年齢、住所の 3つの身元情報力もなる場合の例で説明したが、ここでは簡単のために、ユーザ身元情報が、 1つの身元情報力なる場合で説明する。この場合、実施の形態におけるデジタル署名の生成、ぼかし処理、デジタル署名検証の処理は以下のように要約できる。

[0111] (デジタル署名生成）

1.身元情報 mに対してぼかし用情報を 1つ (b)を定める。

[0112] 2.乱数 rを生成して、中間ノ、ッシュ値 i、最終ハッシュ値 hを以下の式により計算する

[0113] i=Hash (m || r) · · · (式 1)

h=Hash (i II b) · · · (式 2)

[0114] 3.最終ハッシュ値 hに対して、署名生成鍵を用いて署名 Sを生成する。

[0115] 4.身元情報 m、ぼかし用情報 b、乱数!:、署名 Sを身元認証情報として、ユーザに送付する。

[0116] (ぼ力処理） 1.身元情報 mと乱数!:とから、（式 1)に従って、中間ハッシュ値 iを計算する。

[0117] 2.ぼかし身元情報 b、中間ノヽッシュ値 i、署名 Sをぼかし身元認証情報として、署名検証者に送付する。

[0118] (署名検証）

1.ぼ力し身元情報 bと中間ハッシュ値 iとから、（式 2)に従って、最終ハッシュ値 hを計算する。

[0119] 2.署名検証鍵を用いて、最終ハッシュ値 hと署名 Sに対して署名検証を行う。

[0120] 身元情報 mに対して、ぼ力し用情報が複数ある場合の署名生成、ぼ力し処理、署名検証を行う場合の変形例を二つ (変形例 1、変形例 2)説明する。ここでは、ぼかし用情報が 7個 (bl〜b7)ある場合を例にして説明する。

[0121] (変形例 1)

(署名生成）

1.身元情報 mに対して 7個のぼかし用情報 bl〜b7を生成する。

[0122] 2.8個の乱数 r0〜r7を生成して、ハッシュ値 hOOO〜hlllを計算する。

[0123] hOOO = Hash(m || rO)

h001=Hash(bl In)

[0124] 3.図 17に示すッジ —構造に従って最終ハッシュ値 hを計算する。このッリ

おいて、 h* * (1つの「*」が 0又は 1)は、

h* *=Hash(h* *0 || h* *1)

に従って計算する。更に、 h*は、

h*=Hash(h*0 || h*l)

に従って計算する。そして、最終ハッシュ値 hは、 h=Hash (hO || hi)

により計算する。

[0125] 3.最終ハッシュ値 hに対して、署名生成鍵を用いてデジタル署名 Sを生成する。

[0126] 4.身元情報 m、ぼ力し用情報 bl〜b7、乱数 r0〜r7、デジタル署名 Sをユーザに送付する。

[0127] (ぼ力処理）

ぼかし用情報 b4を用いて身元情報 mにぼかし処理を行う場合を例に説明する。

[0128] 1. (署名生成）の 2.と同様の手順により、最終ハッシュ値 hを求める。

[0129] 2.以下のようにして、署名検証者に送付するハッシュ値を選択する。まず、選択したぼ力し用情報 b4のインデックス「4」を 2進数「100」に変換する。ここで、「100」の末尾の 01を反転させて「101」を得て、 hlOlを選択する。次に「100」の末尾を削除して「10」を得る。ここで、「10」の末尾の 01を反転させて「11」を得て、 hi 1を選択する。さらに、「10」の末尾を削除して「1」を得る。「1」の01を反転して「0」を得て、110を選択する。上記の手順により、 hl01、 hl l、 hOが選択される。この手順は、図 18のッリーで説明できる。即ち、 b4に対応するハッシュ値 hlOOからルートに至るまでのパスを考え（図の太線）、そのパスに含まれる各ノードの子ノードのうち、上記パスに含まれて、な、方の子ノードに割り当てられて!/、るノ、ッシュ値を選択することになる。

[0130] 3.ぼかし身元情報 b4、乱数 r4、ハッシュ値 hl01、 hl l、 h0、署名 Sをぼかし身元認証情報として、署名検証者に送付する。

[0131] (署名検証）

1.ぼかし身元情報 b4、乱数 r4、とハッシュ値 hl01、 hl l、 hOと力、最終ハッシュ値 hを計算する。具体的には、

hl00=Hash (b4 || r4)

を計算し、

hlO=Hash (hlOO || hlOl)

hl =Hash (hlO || hl l)

h=Hash (hO || hi)

を計算することで求められる。 [0132] 2.署名検証鍵を用いて、最終ハッシュ値 hと署名 Sに対して署名検証を行う _c [0133] (変形例 2)

(署名生成）

[0134] 2. 8個の舌 L数 rO 〜r7

[0135] hO = Hash (m rO)

hi = Hash (bl | rl)

h2 = Hash (b2 | r2)

h3 = Hash (b3 | r3)

h4 = Hash (b4 | r4)

h5 = Hash (b5 | r5)

h6 = Hash (b6 | r6)

h7 = Hash (b7 | r7)

3.最終ハッシュ値 hを、

h=Hash (hO II hi II h2 II · 7)

により計算する。

[0136] 3.最終ハッシュ値 hに対して、署名生成鍵を用いてデジタル署名 Sを生成する。

[0137] 4.身元情報 m、ぼ力し用情報 bl〜b7、乱数 r0〜r7、デジタル署名 Sをユーザに送付する。

[0138] (ぼ力処理）

[0139] 1. (署名生成）の 2.と同様の手順により、最終ハッシュ値 hを求める。

[0140] 3.ぼかし身元情報 b4、乱数 r4、及び、ぼ力し用情報 b4に対応するハッシュ値 h4 を除ヽたノヽッシュ値 h0、 hl、 h2、 h3、 h5、 h6、 h7、署名 Sをぼ、力し身元認証†青報として、署名検証者に送付する。

[0141] (署名検証）

1.ぼ力し身元†青報 b4、舌 L数 r4、とハッシュ値 h0、 hl、 h2、 h3、 h5、 h6、 h7と力ら、最終ハッシュ値 hを計算する。具体的には、 h4=Hash (b4 || r4)

を計算し、

h=Hash (hO II hi II h2 II · · · II h7)

を計算することで求められる。

[0142] 2.署名検証鍵を用いて、最終ハッシュ値 hと署名 Sに対して署名検証を行う。

[0143] 以上のどちらの変形例においても、ひとつの身元情報に対して複数のぼ力し用情報が設定可能な、認証システムが実現できる。なお、上記 2つの変形例において、ぼ力し用情報は必ずしも複数 (2個以上)である必要はなぐぼ力し用情報力^つでもよい。また、本変形例では、ユーザ身元情報が 1つの場合について説明しているが、これは複数のユーザ身元情報からなる場合にも自明な拡張により適用可能である。

[0144] また、本発明のような電子ぼかし機能は、従来技術で述べた「電子墨塗り技術」を改良した以下の方法でも実現可能である。

[0145] (署名生成）

1.身元情報 bOからぼかし用情報 bl〜b7を生成。

[0146] 2.上記 b0〜b7から、電子墨塗り技術を用いて、電子署名 Sを作成。

[0147] 3. b0〜b7及び Sをユーザに送付する。

[0148] (ぼ力処理）

1.ぼ力処理に使用するぼ力用情報を bl〜b7から一つ選択する（以下では、 b 3を選んだものとする)。

[0149] 2. b0〜b7のうち、 b3以外の情報を「墨塗り」した墨塗りデータを作成し、これをぼかし認証情報として、署名検証者に送付する。

[0150] (署名検証）

1.ぼかし認証情報を「b3以外のデータが墨塗りされた墨塗りデータ」として署名検証を行う。

[0151] なお、本発明を上記実施の形態に基づいて説明してきた力本発明は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本発明に含まれる

[0152] (1)上記の各装置は、具体的には、マイクロプロセッサ、 ROM, RAM,ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。上記 RAMまたはハードディスクユニットには、コンピュータプロダラムが記憶されている。上記マイクロプロセッサが上記コンピュータプログラムにしたがつて動作することにより、各装置は、その機能を達成する。ここでコンピュータプロダラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

[0153] (2)上記の各装置を構成する構成要素の一部または全部は、 1個のシステム LSI ( Large Scale Integration:大規模集積回路）から構成されているとしてもよい。システム LSIは、複数の構成部を 1個のチップ上に集積して製造された超多機能 LSIであり、具体的には、マイクロプロセッサ、 ROM、 RAMなどを含んで構成されるコンビユータシステムである。上記 RAMには、コンピュータプログラムが記憶されている。上記マイクロプロセッサ力上記コンピュータプログラムにしたがって動作することにより、システム LSIは、その機能を達成する。

[0154] (3)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能な ICカードまたは単体のモジュール力も構成されて!、るとしてもよ!/、。上記 ICカードまたは上記モジュールは、マイクロプロセッサ、 ROM, RAMなどから構成されるコンピュータシステムである。上記 ICカードまたは上記モジュールは、上記の超多機能 L SIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記 ICカードまたは上記モジュールは、その機能を達成する。この ICカードまたはこのモジュールは、耐タンパ性を有するとしてもよ!/、。

[0155] (4)本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンビュータにより実現するコンピュータプログラムであるとしてもよいし、上記コンピュータプログラム力もなるデジタル信号であるとしてもよい。

[0156] また、本発明は、上記コンピュータプログラムまたは上記デジタル信号をコンビユータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、 CD— R OM、 MO、 DVD, DVD-ROM, DVD -RAM, BD (Blu— ray Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている上記デジタル信号であるとしてもよ、。 [0157] また、本発明は、上記コンピュータプログラムまたは上記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

[0158] また、本発明は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、上記メモリは、上記コンピュータプログラムを記憶しており、上記マイクロプロセッサは、上記コンピュータプログラムにしたがって動作するとしてもよい。

[0159] また、上記プログラムまたは上記デジタル信号を上記記録媒体に記録して移送することにより、または上記プログラムまたは上記デジタル信号を上記ネットワーク等を経由して移送すること〖こより、独立した他のコンピュータシステムにより実施するとしてもよい。

[0160] (5)上記実施の形態及び上記変形例における構成要素を任意に組み合わせてもよい。

産業上の利用可能性

[0161] 本発明にカゝかる認証システムは、個人情報等の証明書データを認証するシステムとして、特に、認証装置によって生成された認証データの内容の一部を、それを受け取った利用者が認証装置の助けなしに、情報的にぼかし処理をすることが可能であると!/ヽぅ特徴を有するので、利用者の匿名性が可能な利用者認証システムとして有用である。

Claims

請求の範囲

証明したい情報である証明情報をぼかして得られるぼ力し情報を提示する端末装置と、前記端末装置によって提示されたぼ力し情報の正当性を検証する検証装置と、前記端末装置による正当なぼかし情報の発行を支援する認証装置とからなる認証システムであって、

前記認証装置は、

少なくも 1つの証明情報と前記証明情報に対応する少なくとも 1つのぼかし情報とを保持する情報保持手段と、

前記情報保持手段に保持された証明情報とぼかし情報とを含む情報に対してデジタル署名を施すことによってデジタル署名を生成し、生成したデジタル署名と前記証明情報と前記ぼかし情報とを含む情報を認証情報として生成する認証情報生成手段と、

生成された認証情報を前記端末装置に送信する第 1の送信手段とを備え、前記端末装置は、

前記認証装置力送信されてくる認証情報を受信する第 1の受信手段と、ユーザからの指示に基づ!/ヽて、前記受信手段で受信された認証情報に含まれる少なくとも 1つのぼかし情報の中から、どのぼかし情報を選択するかの指示を受け付けるぼかし指示受付手段と、

前記ぼかし指示受付手段によって受け付けられた指示によって選択されるぼかし情報と前記デジタル署名とを含む情報をぼかし認証情報として生成するぼかし認証情報生成手段と、

生成されたぼかし認証情報を前記検証装置に送信する第 2の送信手段とを備え、前記検証装置は、

前記端末装置力送信されてくるぼかし認証情報を受信する第 2の受信手段と、前記受信手段で受信されたぼかし認証情報に含まれるデジタル署名に基づ!ヽて、前記ぼかし認証情報に含まれるぼかし情報の正当性を検証する署名検証手段とを備える

ことを特徴とする認証システム。

[2] 前記認証情報生成手段は、

前記証明情報に対して第 1の一方向性関数による処理を施すことによって第 1の中間値を生成する第 1の中間値生成部と、

生成された第 1の中間値と、前記証明情報に対応するぼかし情報とからデジタル署名を作成する署名作成部とを有し、

前記ぼかし情報生成手段は、

前記ぼかし指示受付手段によって受け付けられた指示によって選択されるぼかし情報に対応する証明情報に対して第 1の一方向性関数による処理を施すことによつて第 2の中間値を生成する第 2の中間値生成部と、

生成された第 2の中間値と前記ぼかし情報と前記デジタル署名とを連結すること〖こよって前記ぼかし認証情報を生成するデータ連結部とを有し、

前記署名検証手段は、前記ぼかし認証情報に含まれる第 2の中間値とデジタル署名とに基づ!/、て、前記ぼかし認証情報に含まれるぼカゝし情報の正当性を検証することを特徴とする請求項 1記載の認証システム。

[3] 前記認証情報生成手段はさらに、乱数を生成する乱数生成手段を備え、

前記第 1の中間値生成部は、前記乱数生成手段で生成された乱数と前記証明情報とを含む情報に対して前記第 1の一方向性関数による処理を施すことによって前記第 1の中間値を生成し、

前記認証情報生成手段は、前記デジタル署名と前記証明情報と前記ぼかし情報と前記乱数とを含む情報を前記認証情報として生成し、

前記第 2の中間値生成部は、前記認証情報に含まれる乱数と前記証明情報とを含む情報に対して前記第 1の一方向性関数による処理を施すことによって前記第 2の中間値を生成する

ことを特徴とする請求項 2記載の認証システム。

[4] 前記署名作成部は、前記第 1の中間値と前記ぼかし情報とを含む情報に第 2の一方向性関数による処理を施すことによって生成した値力前記デジタル署名を作成し、

前記署名検証手段は、前記ぼかし認証情報に含まれる第 2の中間値と前記ぼかし認証情報に含まれるぼ力し情報とを含む情報に第 2の一方向性関数による処理を施し、得られた値と前記ぼかし認証情報に含まれるデジタル署名との整合性を確認することにより、前記ぼかし認証情報に含まれるぼカゝし情報の正当性を検証することを特徴とする請求項 2記載の認証システム。

[5] 前記第 1及び第 2の一方向性関数は、ハッシュ関数である

ことを特徴とする請求項 4記載の認証システム。

[6] 前記情報保持手段は、複数の証明情報と、前記複数の証明情報のそれぞれに対応する少なくとも 1つのぼかし情報とを保持し、

前記認証情報生成手段は、前記情報保持手段に保持された複数の証明情報と少なくとも 1つのぼかし情報とを含む情報に対してデジタル署名を施すことによって前記デジタル署名を生成し、

前記ぼかし認証情報生成手段は、前記受信手段で受信された認証情報に含まれる複数の証明情報のうち、前記ぼかし指示受付手段によって受け付けられた指示によって選択されるぼかし情報に対応する証明情報を当該ぼ力し情報で置き換え、置き換え後の証明情報と前記指示を示す指示情報と前記デジタル署名とを含む情報をぼかし認証情報として生成する

ことを特徴とする請求項 1記載の認証システム。

[7] 前記ぼかし情報は、対応する証明情報の内容を曖昧にした内容を示す

ことを特徴とする請求項 1記載の認証システム。

[8] 前記証明情報には、身元情報が含まれる

ことを特徴とする請求項 1記載の認証システム。

[9] 前記ぼかし情報の内容は、対応する証明情報の内容を概念的に包含する関係にあり、

前記署名検証手段は、さらに、前記ぼかし認証情報に含まれるぼかし情報の内容が対応する証明情報の内容を概念的に包含する関係にあることを確認する

ことを特徴とする請求項 1記載の認証システム。

[10] 請求項 1記載の認証システムにおける認証装置。

[11] 証明したい情報である証明情報をぼかして得られるぼ力し情報を提示する端末装置と、前記端末装置によって提示されたぼ力し情報の正当性を検証する検証装置とに接続された認証装置が前記端末装置による正当なぼかし情報の発行を支援する方法であって、

少なくも 1つの証明情報と前記証明情報に対応する少なくとも 1つのぼかし情報とを取得する情報取得ステップと、

前記情報取得ステップに取得された証明情報とぼかし情報とを含む情報に対してデジタル署名を施すことによってデジタル署名を生成し、生成したデジタル署名と前記証明情報と前記ぼかし情報とを含む情報を認証情報として生成する認証情報生成ステップと、

生成された認証情報を前記端末装置に送信する第 1の送信ステップとを含むことを特徴とするばかし情報発行支援方法。

[12] 証明したい情報である証明情報をぼかして得られるぼ力し情報を提示する端末装置と、前記端末装置によって提示されたぼ力し情報の正当性を検証する検証装置とに接続され、前記端末装置による正当なぼかし情報の発行を支援する認証装置のためのプログラムであって、

請求項 11記載のぼかし情報発行支援方法に含まれるステップをコンピュータに実行させる

ことを特徴とするプログラム。

[13] 請求項 1記載の認証システムにおける端末装置。

[14] 証明情報をぼかして得られるぼ力し情報の正当性を検証する検証装置と、ぼかし情報の発行を支援する認証装置とに接続された端末装置が所望のぼかし情報を提示するぼかし情報提示方法であって、

前記認証装置カゝら送信されてくる認証情報を受信する第 1の受信ステップと、ユーザからの指示に基づ!/、て、前記受信ステップで受信された認証情報に含まれる少なくとも 1つのぼかし情報の中から、どのぼかし情報を選択するかの指示を受け付けるぼかし指示受付ステップと、

前記ぼかし指示受付ステップによって受け付けられた指示によって選択されるぼかし情報と前記デジタル署名とを含む情報をぼかし認証情報として生成するぼかし認証情報生成ステップと、

生成されたぼかし認証情報を前記検証装置に送信する第 2の送信ステップとを含むことを特徴とするばかし情報提示方法。

[15] 証明情報をぼかして得られるぼ力し情報の正当性を検証する検証装置と、ぼかし情報の発行を支援する認証装置とに接続され、所望のぼかし情報を提示する端末装置のためのプログラムであって、

請求項 14記載のぼかし情報提示方法に含まれるステップをコンピュータに実行させる

ことを特徴とするプログラム。

[16] 請求項 1記載の認証システムにおける検証装置。

[17] 証明したい情報である証明情報をぼかして得られるぼ力し情報を提示する端末装置と接続された検証装置が、前記端末装置によって提示されたぼかレ f青報の正当性を検証する方法であって、

前記端末装置力送信されてくるぼかし認証情報を受信する第 2の受信手段と、前記受信手段で受信されたぼかし認証情報に含まれる第 2の中間値とデジタル署名に基づいて、前記ぼかし認証情報に含まれるぼ力し情報の正当性を検証する署名検証ステップを含み、

前記デジタル署名は、前記証明情報に対して第 1の一方向性関数による処理を施すことによって得られた第 1の中間値と、前記証明情報に対応するぼかし情報とを含む情報にデジタル署名を施すことによって作成されており、

前記第 2の中間値は、ユーザの指示によって選択されるぼ力し情報に対応する証明情報に対して第 1の一方向性関数による処理を施すことによって生成されており、前記署名検証ステップでは、前記ぼかし認証情報に含まれる第 2の中間値と前記ぼかし認証情報に含まれるぼ力し情報とを含む情報に第 2の一方向性関数による処理を施し、得られた値と前記ぼかし認証情報に含まれるデジタル署名との整合性を確認することにより、前記ぼかし認証情報に含まれるぼカゝし情報の正当性を検証することを特徴とするぼかし情報検証方法。

[18] 証明したい情報である証明情報をぼかして得られるぼ力し情報を提示する端末装置と接続され、前記端末装置によって提示されたぼカゝし情報の正当性を検証する検証装置のためのプログラムであって、

請求項 17記載のぼかし情報検証方法に含まれるステップをコンピュータに実行させる

ことを特徴とするプログラム。