WO2018105038A1

WO2018105038A1 - 通信装置及び分散型元帳システム

Info

Publication number: WO2018105038A1
Application number: PCT/JP2016/086244
Authority: WO
Inventors: 義博小関; 豊川合
Original assignee: 三菱電機株式会社
Priority date: 2016-12-06
Filing date: 2016-12-06
Publication date: 2018-06-14

Abstract

分散型元帳システム（１）では、鍵生成装置（１０）によって、グループ毎に公開鍵とマスター秘密鍵とのペアが生成される。また、鍵生成装置（１０）によって、各グループのマスター秘密鍵により、そのグループに属するユーザ毎に、署名対象を制限するポリシーが設定されたユーザ秘密鍵が生成される。各グループの通信装置（３０）は、ユーザ秘密鍵を用いて、取引する内容と送信先グループの公開鍵とを含む取引情報に対して署名を生成し、生成された署名と取引情報とを含む取引を他の通信装置（３０）に出力する。

Description

通信装置及び分散型元帳システム

　この発明は、複数人取引を容易にする分散型元帳システムと、分散型元帳システムにおける通信装置とに関する。

　ブロックチェーンは、暗号通貨であるビットコイン（登録商標）の中核をなす技術であり、非特許文献１において提案された。
　ブロックチェーンは、電子署名を利用したユーザ間での取引記録を複数まとめたブロックをハッシュ関数により連鎖させる。これにより、ブロックチェーンは、連続した取引記録の集合である元帳の改ざんを防ぐとともに、互いに信頼できない複数のユーザ間で元帳を分散管理することを可能にしている。

　ブロックチェーンの各取引は、元取引と、取引内容と、送信元ユーザの電子署名と、送信先ユーザの公開鍵との４要素により構成される。各取引の正当性は、送信元ユーザの電子署名を、元取引における送信先ユーザの公開鍵で検証することで確かめられる。これにより、各取引でやり取りされた内容を次の取引に使用することができるのは、送信先ユーザの公開鍵に対応した秘密鍵を持つユーザのみとなり、取引を行うことが可能なユーザを正しく制御することが可能となる。

　ビットコイン（登録商標）においては、各取引の内容は、ユーザからユーザへのＢＴＣという単位の暗号通貨の譲渡である。送信元ユーザは、送信元ユーザの公開鍵が送信先ユーザの公開鍵として設定された取引を元取引とし、取引内容として譲渡するＢＴＣの数量を指定し、送信元ユーザの秘密鍵を使用して電子署名を生成し、送信先ユーザの公開鍵を指定することでＢＴＣを支払う取引を作成する。

特開２０１２－１５５０８８号公報

Ｎ．ＳＡＴＯＳＨＩ「Ｂｉｔｃｏｉｎ：　Ａ　Ｐｅｅｒ－ｔｏ－Ｐｅｅｒ　Ｅｌｅｃｔｒｏｎｉｃ　Ｃａｓｈ　Ｓｙｓｔｅｍ」Ｍ．ＢＥＬＬＡＲＥ，Ｇ．ＦＵＣＨＳＢＡＵＥＲ．　「Ｐｏｌｉｃｙ－ｂａｓｅｄ　ｓｉｇｎａｔｕｒｅｓ」Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｐｒａｃｔｉｃｅ　ａｎｄ　Ｔｈｅｏｒｙ　ｉｎ　Ｐｕｂｌｉｃ－Ｋｅｙ　Ｃｒｙｐｔｏｇｒａｐｈｙ　２０１４，ＬＮＣＳ　８３８３，ｐ５２０－５３７，２０１４

　ビットコイン（登録商標）におけるブロックチェーンには、電子署名の秘密鍵及び公開鍵が単一のペアとして紐づいているため、複数ユーザからなるグループ間での取引に適さないという課題があった。

　具体的には、会社間で取引を行う際に、取引相手である会社の複数のユーザを対象として取引を行うためには、対象となる全てのユーザの公開鍵を送信先ユーザの公開鍵として取引に含めなければならない。そのため、ブロックチェーンを記憶するデータ領域の増大と、取引に含める公開鍵を特定する手間の増大といった課題が発生する。また、複数の公開鍵が送信先ユーザの公開鍵として含められた取引を元取引として新たな取引を行うと、新たな取引に含まれた電子署名を検証することによって、複数の公開鍵のうちどの公開鍵に対応したユーザによって新たな取引が作成されたかが特定されてしまうという匿名性の課題もある。

　これらの課題を解決するために複数のユーザで単一の秘密鍵を共有して利用することが考えられる。しかし、この場合には、各ユーザが同一の権限を持ち、自由に取引を行えてしまうという別の課題が発生してしまう。つまり、この場合には、ユーザ毎に権限を設け、取引内容を制限するというようなことができない。

　この発明は、複数のユーザからなるグループ間でブロックチェーンによる取引を行う場合に、ユーザ毎の権限を制御可能にすることを目的とする。

　この発明に係る通信装置は、
　属するグループにおける公開鍵の対となるマスター秘密鍵と、署名対象を制限するポリシーとに基づき生成されたユーザ秘密鍵を用いて、取引する内容と、送信先のグループの公開鍵とを含む取引情報に対して署名を生成する署名生成部と、
　前記署名生成部によって生成された署名と、前記取引情報とを含む取引を出力する取引出力部と
を備える。

　この発明では、署名対象を制限するポリシーに基づき生成されたユーザ秘密鍵を用いて署名を生成する。これにより、複数のユーザからなるグループ間でブロックチェーンによる取引を行う場合に、ユーザ毎の権限を制御可能である。

実施の形態１に係る分散型元帳システム１の構成図。実施の形態１に係る鍵生成装置１０の構成図。実施の形態１に係るマスター鍵生成部２１の構成図。実施の形態１に係るユーザ鍵生成部２２の構成図。実施の形態１に係る通信装置３０の構成図。実施の形態１に係る取引生成部４１の構成図。実施の形態１に係る取引検証部４２の構成図。実施の形態１に係るブロック生成部４３の構成図。実施の形態１に係るブロック検証部４４の構成図。実施の形態１に係るマスター鍵生成処理のフローチャート。実施の形態１に係るユーザ鍵生成処理のフローチャート。実施の形態１に係る取引生成処理のフローチャート。実施の形態１に係る取引ｔｘの説明図。実施の形態１に係る取引検証処理のフローチャート。実施の形態１に係る取引ｔｘの流れを示す図。実施の形態１に係るブロック生成処理のフローチャート。実施の形態１に係るブロック検証処理のフローチャート。実施の形態１におけるユーザ毎の権限制御の説明図。変形例１に係る分散型元帳システム１の構成図。変形例３に係る鍵生成装置１０の構成図。変形例３に係る通信装置３０の構成図。実施の形態２に係る取引ｔｘの説明図。実施の形態２に係る取引ｔｘの流れを示す図。実施の形態２におけるユーザ毎の権限制御の説明図。

　実施の形態１．
　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係る分散型元帳システム１の構成を説明する。
　分散型元帳システム１は、複数のグループそれぞれに属する鍵生成装置１０及び１台以上の通信装置３０を備える。各グループは、１人以上のユーザが所属している。
　各グループの通信装置３０は、ネットワーク５０を介して接続されており、互いに通信可能である。また、各グループに属する鍵生成装置１０と通信装置３０とは伝送路を介して接続されており、通信可能である。

　図２を参照して、実施の形態１に係る鍵生成装置１０の構成を説明する。
　鍵生成装置１０は、パーソナルコンピュータとワークステーションといったコンピュータである。
　鍵生成装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、通信インタフェース１４とのハードウェアを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　鍵生成装置１０は、機能構成要素として、マスター鍵生成部２１と、ユーザ鍵生成部２２とを備える。マスター鍵生成部２１と、ユーザ鍵生成部２２との機能はソフトウェアにより実現される。

　ストレージ１３には、マスター鍵生成部２１と、ユーザ鍵生成部２２との機能を実現するプログラムが記憶されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、マスター鍵生成部２１と、ユーザ鍵生成部２２との機能が実現される。
　また、ストレージ１３は、マスター鍵記憶部１３１と、ユーザ鍵記憶部１３２との機能を実現する。

　図３を参照して、実施の形態１に係るマスター鍵生成部２１の構成を説明する。
　マスター鍵生成部２１は、セキュリティパラメータ受付部２１１と、鍵生成部２１２と、鍵出力部２１３とを備える。

　図４を参照して、実施の形態１に係るユーザ鍵生成部２２の構成を説明する。
　ユーザ鍵生成部２２は、マスター鍵取得部２２１と、ポリシー受付部２２２と、鍵生成部２２３と、鍵出力部２２４とを備える。

　図５を参照して、実施の形態１に係る通信装置３０の構成を説明する。
　通信装置３０は、パーソナルコンピュータとワークステーションとスマートフォンとタブレット端末といったコンピュータである。
　通信装置３０は、プロセッサ３１と、メモリ３２と、ストレージ３３と、通信インタフェース３４とのハードウェアを備える。プロセッサ３１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　通信装置３０は、機能構成要素として、取引生成部４１と、取引検証部４２と、ブロック生成部４３と、ブロック検証部４４とを備える。取引生成部４１と、取引検証部４２と、ブロック生成部４３と、ブロック検証部４４との機能はソフトウェアにより実現される。

　ストレージ３３には、取引生成部４１と、取引検証部４２と、ブロック生成部４３と、ブロック検証部４４との機能を実現するプログラムが記憶されている。このプログラムは、プロセッサ３１によりメモリ３２に読み込まれ、プロセッサ３１によって実行される。これにより、取引生成部４１と、取引検証部４２と、ブロック生成部４３と、ブロック検証部４４との機能が実現される。
　また、ストレージ３３は、取引記憶部３３１と、ブロック記憶部３３２との機能を実現する。

　図６を参照して、実施の形態１に係る取引生成部４１の構成を説明する。
　取引生成部４１は、ユーザ鍵取得部４１１と、内容受付部４１２と、署名生成部４１３と、取引出力部４１４とを備える。

　図７を参照して、実施の形態１に係る取引検証部４２の構成を説明する。
　取引検証部４２は、取引取得部４２１と、内容検証部４２２と、署名検証部４２３と、結果出力部４２４とを備える。

　図８を参照して、実施の形態１に係るブロック生成部４３の構成を説明する。
　ブロック生成部４３は、取引収集部４３１と、ブロック生成部４３２と、ブロック出力部４３３とを備える。

　図９を参照して、実施の形態１に係るブロック検証部４４の構成を説明する。
　ブロック検証部４４は、ブロック取得部４４１と、ブロック検証部４４２と、結果出力部４４３とを備える。

　プロセッサ１１，３１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１，３１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ１２，３２は、データを一時的に記憶する記憶装置である。メモリ１２，３２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　ストレージ１３，３３は、データを保管する記憶装置である。ストレージ１３は、具体例としては、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、ストレージ１３，３３は、ＳＤ（登録商標，Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（ＣｏｍｐａｃｔＦｌａｓｈ）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記憶媒体であってもよい。

　通信インタフェース１４，３４は、外部の装置と通信するためのインタフェースである。通信インタフェース１４，３４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）、ＨＤＭＩ（登録商標，Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）のポートである。

　図２では、プロセッサ１１は、１つだけ示されている。しかし、鍵生成装置１０は、プロセッサ１１を代替する複数のプロセッサを備えていてもよい。同様に、通信装置３０は、プロセッサ３１を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、各機能構成要素の機能を実現するプログラムの実行を分担する。それぞれのプロセッサは、プロセッサ１１，３１と同じように、プロセッシングを行うＩＣである。

　＊＊＊動作の説明＊＊＊
　図１０から図１７を参照して、実施の形態１に係る分散型元帳システム１の動作を説明する。
　実施の形態１に係る分散型元帳システム１における鍵生成装置１０の動作は、実施の形態１に係る鍵生成方法に相当する。また、実施の形態１に係る分散型元帳システム１における鍵生成装置１０の動作は、実施の形態１に係る鍵生成プログラムの処理に相当する。
　実施の形態１に係る分散型元帳システム１における通信装置３０の動作は、実施の形態１に係る通信方法に相当する。また、実施の形態１に係る分散型元帳システム１における通信装置３０の動作は、実施の形態１に係る通信プログラムの処理に相当する。

　実施の形態１では、署名方式として、ポリシーベース署名を用いる。ポリシーベース署名では、ユーザ秘密鍵ｓｋ_Γに署名対象を制限するポリシーΓが設定されており、ポリシーΓが署名対象とするデータに対してのみ正しい署名を生成することが可能である。

　図１０と、図２及び図３とを参照して、実施の形態１に係るマスター鍵生成部２１の動作であるマスター鍵生成処理を説明する。
　マスター鍵生成処理は、各グループに属する鍵生成装置１０のマスター鍵生成部２１によって、システムのセットアップ時等に実行される。

　（ステップＳ１１：セキュリティパラメータ受付処理）
　セキュリティパラメータ受付部２１１は、通信インタフェース１４を介して、鍵生成装置１０が属するグループの管理者等によって入力されたセキュリティパラメータλを受け付ける。セキュリティパラメータ受付部２１１は、受け付けられたセキュリティパラメータλをメモリ１２に書き込む。
　セキュリティパラメータλは、マスター秘密鍵の安全性を決めるための情報である。

　（ステップＳ１２：マスター鍵生成処理）
　鍵生成部２１２は、ステップＳ１１で受け付けられたセキュリティパラメータλを入力として、マスター鍵生成アルゴリズムを実行して、公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを生成する。
　具体的には、鍵生成部２１２は、メモリ１２からセキュリティパラメータλを読み出す。鍵生成部２１２は、読み出されたセキュリティパラメータλを入力としてマスター鍵生成アルゴリズムを実行して、公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを生成する。マスター鍵生成アルゴリズムとしては、非特許文献２に記載された、非対話ゼロ知識証明を用いたポリシーベース署名のマスター鍵生成アルゴリズムを用いることができる。鍵生成部２１２は、生成された公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアをメモリ１２に書き込む。

　（ステップＳ１３：マスター鍵出力処理）
　鍵出力部２１３は、ステップＳ１２で生成された公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを出力する。
　具体的には、鍵出力部２１３は、メモリ１２から公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを読み出す。鍵出力部２１３は、読み出された公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアをマスター鍵記憶部１３１に書き込む。また、鍵出力部２１３は、通信インタフェース１４を介して、鍵生成装置１０と同じグループに属する通信装置３０に公開鍵ｐｋを送信する。

　図１１と、図２及び図４とを参照して、実施の形態１に係るユーザ鍵生成部２２の動作であるユーザ鍵生成処理を説明する。
　ユーザ鍵生成処理は、各グループに属する鍵生成装置１０のユーザ鍵生成部２２によって、新たなユーザ秘密鍵ｓｋ_Γが必要になる度に実行される。

　（ステップＳ２１：マスター鍵取得処理）
　マスター鍵取得部２２１は、ステップＳ１２で生成されたマスター秘密鍵ｍｓｋを取得する。具体的には、マスター鍵取得部２２１は、マスター鍵記憶部１３１からマスター秘密鍵ｍｓｋを読み出す。マスター鍵取得部２２１は、読み出されたマスター秘密鍵ｍｓｋをメモリ１２に書き込む。

　（ステップＳ２２：ポリシー受付処理）
　ポリシー受付部２２２は、通信インタフェース１４を介して、鍵生成装置１０が属するグループの管理者等によって入力されたポリシーΓを受け付ける。ポリシー受付部２２２は、受け付けられたポリシーΓをメモリ１２に書き込む。
　ポリシーΓは、署名対象を制限する情報であり、ユーザ秘密鍵ｓｋ_Γを使用するユーザに応じて決められる情報である。具体例としては、ポリシーΓは、取引における契約金額が基準額以下であれば署名可能であり、基準額を超える場合には署名不可能であることを示す。また、他の具体例としては、取引の相手が指定会社であれば署名可能であり、指定会社以外であれば署名不可能であることを示す。

　（ステップＳ２３：ユーザ秘密鍵生成処理）
　鍵生成部２２３は、ステップＳ２１で取得されたマスター秘密鍵ｍｓｋと、ステップＳ２２で受け付けられたポリシーΓとを入力として、ユーザ秘密鍵生成アルゴリズムを実行して、ポリシーΓが設定されたユーザ秘密鍵ｓｋ_Γを生成する。
　具体的には、鍵生成部２２３は、メモリ１２からマスター秘密鍵ｍｓｋとポリシーΓとを読み出す。鍵生成部２２３は、読み出されたマスター秘密鍵ｍｓｋとポリシーΓとを入力として、ユーザ秘密鍵生成アルゴリズムを実行して、ポリシーΓが設定されたユーザ秘密鍵ｓｋ_Γを生成する。ユーザ秘密鍵生成アルゴリズムとしては、非特許文献２に記載されたポリシーベース署名のユーザ鍵生成アルゴリズムを用いることができる。鍵生成部２２３は、生成されたユーザ秘密鍵ｓｋ_Γをメモリ１２に書き込む。

　（ステップＳ２４：ユーザ秘密鍵出力処理）
　鍵出力部２２４は、ステップＳ２３で生成されたユーザ秘密鍵ｓｋ_Γを出力する。
　具体的には、鍵出力部２２４は、メモリ１２からユーザ秘密鍵ｓｋ_Γを読み出す。鍵出力部２２４は、ユーザ秘密鍵ｓｋ_Γをユーザ鍵記憶部１３２に書き込む。また、鍵出力部２２４は、通信インタフェース１４を介してユーザが使用する通信装置３０に秘密裡にユーザ秘密鍵ｓｋ_Γを送信する。具体例としては、鍵出力部２２４は、既存の暗号方式によりユーザ秘密鍵ｓｋ_Γを暗号化した上で通信装置３０に送信する。あるいは、鍵出力部２２４は、安全な伝送路を介してユーザ秘密鍵ｓｋ_Γを通信装置３０に送信する。

　図１２と、図５及び図６とを参照して、実施の形態１に係る取引生成部４１の動作である取引生成処理を説明する。
　取引生成処理は、新たな取引が行われる場合に、取引の実行元のグループに属する通信装置３０の取引生成部４１によって実行される。

　（ステップＳ３１：ユーザ鍵取得処理）
　ユーザ鍵取得部４１１は、ステップＳ２４で出力されたユーザ秘密鍵ｓｋ_Γを取得する。具体的には、ユーザ鍵取得部４１１は、ユーザ秘密鍵ｓｋ_Γを通信インタフェース３４を介して受信する。ユーザ鍵取得部４１１は、取得されたユーザ秘密鍵ｓｋ_Γをメモリ３２に書き込む。なお、ユーザ鍵取得部４１１は、ユーザ秘密鍵ｓｋ_Γが暗号化されている場合には、復号した上でメモリ３２に書き込む。

　（ステップＳ３２：内容受付処理）
　内容受付部４１２は、通信インタフェース３４を介して、ステップＳ３１で取得されたユーザ秘密鍵ｓｋ_Γのユーザ等によって入力された取引内容ｔｘｃを受け付ける。内容受付部４１２は、受け付けられた取引内容ｔｘｃをメモリ３２に書き込む。
　図１３に示すように、取引内容ｔｘｃは、元取引を一意に特定可能な元識別子と、対象の取引を一意に特定可能な対象識別子と、取引情報とを含む。取引情報は、取引する内容と、取引する相手先のグループの公開鍵ｐｋとが含まれる。取引する内容は、分散型元帳システム１の使用目的に応じて任意に定められるものである。具体例としては、取引する内容は、暗号通貨等のトークンの譲渡と、株又は不動産といった資産の譲渡といったことを示す。

　（ステップＳ３３：署名生成処理）
　署名生成部４１３は、ステップＳ３１で取得されたユーザ秘密鍵ｓｋ_Γを用いて、ステップＳ３２で受け付けられた取引内容ｔｘｃに含まれる取引情報に対して署名σを生成する。
　具体的には、署名生成部４１３は、メモリ３２からユーザ秘密鍵ｓｋ_Γと取引内容ｔｘｃとを読み出す。署名生成部４１３は、読み出されたユーザ秘密鍵ｓｋ_Γを用いて、読み出された取引内容ｔｘｃに含まれる取引情報に対して、署名生成アルゴリズムを実行することにより、署名σを生成する。つまり、署名生成部４１３は、属するグループにおける公開鍵ｐｋと対を成すマスター秘密鍵ｍｓｋと、署名対象を制限するポリシーΓとに基づき生成されたユーザ秘密鍵ｓｋ_Γを用いて、取引する内容と、送信先グループの公開鍵ｐｋとを含む取引情報に対して署名σを生成する。署名生成アルゴリズムとしては、非特許文献２に記載されたポリシーベース署名における署名生成アルゴリズムを用いることができる。署名生成部４１３は、生成された署名σをメモリ３２に書き込む。

　ポリシーベース署名では、ポリシーΓが署名対象とするデータに対してのみ正しい署名を生成することが可能である。つまり、ポリシーΓが署名対象としないデータに対して署名を生成すると、後述する署名検証処理で検証に失敗する署名が生成されてしまう。そこで、署名生成部４１３は、以下のように処理を行ってもよい。
　まず、署名生成部４１３は、取引内容ｔｘｃに含まれる取引情報が、ユーザ秘密鍵ｓｋ_Γに設定されたポリシーΓの署名対象であるか否かを判定する。つまり、署名生成部４１３は、ポリシーΓが署名対象とする条件を取引情報が満たしているか否かを判定する。そして、署名生成部４１３は、取引情報がポリシーΓの署名対象である場合には、署名σを生成する。一方、署名生成部４１３は、取引情報がポリシーΓの署名対象でない場合には、署名σを生成せずエラーを出力して、取引生成処理を終了する。

　上記説明では、署名生成部４１３は、取引情報のみを対象として署名σを生成した。しかし、署名生成部４１３は、取引内容ｔｘｃ全体を対象として署名σを生成してもよい。

　（ステップＳ３４：取引出力処理）
　取引出力部４１４は、図１３に示すように、ステップＳ３２で受け付けられた取引内容ｔｘｃと、ステップＳ３３で生成された署名σとを含む取引ｔｘを出力する。つまり、取引出力部４１４は、元取引を一意に特定可能な元識別子と、対象の取引を一意に特定可能な対象識別子と、取引情報と、署名生成部４１３によって生成された署名σとを含む取引ｔｘを出力する。
　具体的には、取引出力部４１４は、メモリ３２から取引内容ｔｘｃと署名σとを読み出す。取引出力部４１４は、読み出された取引内容ｔｘｃと署名σとを取引ｔｘとして、取引の相手先のグループを含む他のグループに、通信インタフェース３４を介して送信する。

　図１４と、図５及び図７とを参照して、実施の形態１に係る取引検証部４２の動作である取引検証処理を説明する。
　取引検証処理は、他のグループに属する通信装置３０から新たな取引ｔｘが受信された場合に、通信装置３０の取引検証部４２によって実行される。

　（ステップＳ４１：取引取得処理）
　取引取得部４２１は、ステップＳ３４で他のグループに属する通信装置３０により出力された取引ｔｘを取得する。具体的には、取引取得部４２１は、他のグループに属する通信装置３０により出力された取引ｔｘを通信インタフェース３４を介して受信する。取引取得部４２１は、取得された取引ｔｘを取引記憶部３３１とメモリ３２とに書き込む。
　また、取引取得部４２１は、取得された取引ｔｘに含まれる元識別子によって特定される取引ｔｘを取引記憶部３３１から読み出し、元取引ｐｔｘとしてメモリ３２に書き込む。

　（ステップＳ４２：内容検証処理）
　内容検証部４２２は、ステップＳ４１で取得された取引ｔｘに含まれる取引する内容の妥当性を検証する。
　検証する内容は、分散型元帳システム１の使用目的に応じて任意に定められるものである。具体例としては、内容検証部４２２は、取引する内容が暗号通貨の譲渡である場合には、譲渡する額が、元取引ｐｔｘで譲渡された額を上回っていないかを検証する。内容検証部４２２は、譲渡する額が譲渡された額を上回っていなければ妥当性ありと判定し、譲渡する額が譲渡された額を上回っていれば妥当性なしと判定する。また、内容検証部４２２は、取引する内容が株又は不動産といった資産の譲渡である場合には、譲渡する資産が、元取引ｐｔｘで譲渡された資産であるかを検証する。内容検証部４２２は、譲渡する資産が譲渡された資産である場合には妥当性ありと判定し、譲渡する資産が譲渡された資産でない場合には妥当性なしと判定する。
　内容検証部４２２は、妥当性ありと判定した場合には、処理をステップＳ４３に進め、妥当性なしと判定した場合には、検証失敗を示す値“０”をメモリ３２に書き込んだ上で、処理をステップＳ４４に進める。

　（ステップＳ４３：署名検証処理）
　署名検証部４２３は、ステップＳ４１で取得された取引ｔｘに含まれる署名σの正当性を検証する。
　具体的には、署名検証部４２３は、メモリ３２から取引ｔｘと元取引ｐｔｘとを読み出す。署名検証部４２３は、取引ｔｘに含まれる署名σと、元取引ｐｔｘに含まれる取引する相手先のグループの公開鍵ｐｋとを入力として、署名検証アルゴリズムを実行して、署名σの正当性を検証する。署名検証アルゴリズムとしては、非特許文献２に記載されたポリシーベース署名における署名検証アルゴリズムを用いることができる。つまり、図１５に示すように、署名検証部４２３は、取引ｔｘに含まれる署名σを元取引ｐｔｘに含まれる取引する相手先のグループの公開鍵ｐｋで検証する。署名検証部４２３は、署名σの正当性が確認できた場合には、検証成功を示す値“１”をメモリ３２に書き込み、署名σの正当性が確認できない場合には、検証失敗を示す値“０”をメモリ３２に書き込む。

　（ステップＳ４４：結果出力処理）
　結果出力部４２４は、ステップＳ４２又はステップＳ４３で行われた検証結果を出力する。
　具体的には、結果出力部４２４は、メモリ３２から検証結果である検証成功又は検証失敗を示す値を読み出す。そして、結果出力部４２４は、読み出された検証結果を、ステップＳ４１で取得された取引ｔｘと関連付けて取引記憶部３３１に書き込む。

　図１６と、図５及び図８とを参照して、実施の形態１に係るブロック生成部４３の動作であるブロック生成処理を説明する。
　ブロック生成処理は、１０分毎といった一定時間毎に、通信装置３０のブロック生成部４３によって実行される。

　（ステップＳ５１：取引収集処理）
　取引収集部４３１は、取引記憶部３３１から取引ｔｘの集合である取引集合ｔｘｓを読み出す。この際、取引収集部４３１は、取引記憶部３３１に記憶された複数の取引ｔｘのうち、検証結果が検証成功であり、かつ、過去のブロック生成処理で処理対象となっていない全ての取引ｔｘの集合を取引集合ｔｘｓとして読み出す。取引収集部４３１は、読み出された取引集合ｔｘｓをメモリ３２に書き込む。

　（ステップＳ５２：ブロック生成処理）
　ブロック生成部４３２は、ステップＳ５１で読み出された取引集合ｔｘｓからブロックｂｃを生成する。
　具体的には、ブロック生成部４３２は、メモリ３２から取引集合ｔｘｓを読み出す。ブロック生成部４３２は、読み出された取引集合ｔｘｓを入力としてコンセンサスアルゴリズムを実行して、ブロックｂｃを生成する。コンセンサスアルゴリズムとしては、非特許文献１に記載されたＰＲＯＯＦ　ＯＦ　ＷＯＲＫアルゴリズムを用いることができる。ブロック生成部４３２は、生成されたブロックｂｃをメモリ３２に書き込む。
　非特許文献１に記載されたＰＲＯＯＦ　ＯＦ　ＷＯＲＫアルゴリズムでは、ナンス値をランダムに計算し、読み出された取引集合ｔｘｓと、前回に実行されたブロック生成処理で生成されたブロックｂｃのハッシュ値とをハッシュ関数の入力としてハッシュ値が計算される。そして、計算されたハッシュ値が基準値以下になるまで、ナンス値を変更してハッシュ値を計算し直す。基準値以下のハッシュ値が計算されると、取引集合ｔｘｓと、前回に実行されたブロック生成処理で生成されたブロックｂｃのハッシュ値と、ナンス値とを合わせたものがブロックｂｃとされる。

　（ステップＳ５３：ブロック出力処理）
　ブロック出力部４３３は、ステップＳ５２で生成されたブロックｂｃを出力する。具体的には、ブロック出力部４３３は、メモリ３２からブロックｂｃを読み出して、通信インタフェース３４を介して、他の通信装置３０に送信する。他の通信装置３０には、同じグループに属する通信装置３０だけでなく、他のグループに属する通信装置３０も含まれる。

　図１７と、図５及び図９とを参照して、実施の形態１に係るブロック検証部４４の動作であるブロック検証処理を説明する。
　ブロック検証処理は、他の通信装置３０から新たなブロックｂｃが受信された場合に、通信装置３０のブロック検証部４４によって実行される。

　（ステップＳ６１：ブロック取得処理）
　ブロック取得部４４１は、ステップＳ５３で出力されたブロックｂｃを取得する。具体的には、ブロック取得部４４１は、ブロックｂｃを通信インタフェース１４を介して受信する。ブロック取得部４４１は、取得されたブロックｂｃをメモリ３２に書き込む。

　（ステップＳ６２：ブロック検証処理）
　ブロック検証部４４２は、ステップＳ６１で取得されたブロックｂｃの正当性を検証する。
　具体的には、ブロック検証部４４２は、メモリ３２からブロックｂｃを読み出す。ブロック検証部４４２は、読み出されたブロックｂｃを入力として、ステップＳ５２で用いられたコンセンサスアルゴリズムに対応する検証アルゴリズムを実行して、ブロックｂｃの正当性を検証する。検証アルゴリズムとしては、非特許文献１に記載されたＰＲＯＯＦ　ＯＦ　ＷＯＲＫアルゴリズムを用いることができる。ブロック検証部４４２は、ブロックｂｃの正当性が確認できた場合には、検証成功を示す値“１”をメモリ３２に書き込み、ブロックｂｃの正当性が確認できない場合には、検証失敗を示す値“０”をメモリ３２に書き込む。
　非特許文献１に記載されたＰＲＯＯＦ　ＯＦ　ＷＯＲＫアルゴリズムでは、ブロックｂｃをハッシュ関数の入力としてハッシュ値が計算される。計算されたハッシュ値が基準値以下である場合には、正当性が確認され、計算されたハッシュ値が基準値よりも大きい場合には、正当性が確認されない。

　（ステップＳ６３：結果出力処理）
　結果出力部４４３は、ステップＳ６２で正当性が確認された場合には、ステップ６１で取得されたブロックｂｃをブロック記憶部３３２に書き込む。一方、結果出力部４４３は、ステップＳ６２で正当性が確認されなかった場合には、ステップ６１で取得されたブロックｂｃを破棄する。
　具体的には、結果出力部４４３は、メモリ３２から検証結果である検証成功又は検証失敗を示す値を読み出す。結果出力部４４３は、読み出された検証結果が検証成功を示す場合には、メモリ３２からブロックｂｃを読み出して、ブロック記憶部３３２に書き込む。一方、結果出力部４４３は、読み出された検証結果が検証失敗を示す場合には、メモリ３２からブロックｂｃを削除する。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る分散型元帳システム１では、グループ毎に公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアが生成される。そして、各グループにおいて、ユーザ毎にポリシーΓが決められ、ポリシーΓが設定されたユーザ秘密鍵ｓｋ_Γが生成される。これにより、複数のユーザからなるグループ間でのブロックチェーンによる取引におけるユーザ毎の権限を制御可能である。

　図１８を参照して具体例を説明する。
　従来であれば、経理部長から秘密鍵を渡された経理担当者は、任意の内容に対して署名を生成できる。そのため、経理担当者は、任意の内容の取引を行うことができる。例えば、Ｘ社へ１０億円の支払いといった高額の取引についても行うことができる。
　これに対して、実施の形態１に係る分散型元帳システム１では、経理部長はユーザ毎に署名対象を制限するポリシーΓを設定して、ユーザ秘密鍵ｓｋ_Γを生成できる。そのため、例えば、経理担当者に対して署名対象を“Ｘ社又はＹ社との１００万円以下の取引”に制限したユーザ秘密鍵ｓｋ_Γを生成することができる。この場合、経理担当者は、Ｘ社への１００万円の支払いという取引については、署名を生成することができるため、行うことができる。しかし、Ｂ社への２００万円の支払いという取引と、Ｃ社への１００万円の支払いという取引とについては、署名を生成することができないため、行うことができない。

　また、実施の形態１に係る分散型元帳システム１では、取引の相手先は、署名を検証することによって、グループに属するユーザが署名を生成したことを確認することはできる。しかし、取引の相手先は、グループに属するユーザのうち、どのユーザが署名を生成したかは確認することができない。その結果、どのユーザがどのグループに属しているといった情報が他のグループに漏えいすることがない。

　また、実施の形態１に係る分散型元帳システム１では、複数のユーザからなるグループを相手先として取引を行う場合にも１つの署名を生成するだけでよい。つまり、従来のように、相手先とするユーザ毎に署名を生成する必要はない。そのため、署名生成の時間を短縮することが可能である。
　同様に、相手先のグループの公開鍵だけを取引に含めればよく、相手先とする各ユーザの公開鍵を取引に含める必要はない。そのため、公開鍵を取得する手間がかからない。また、取引のデータサイズを小さくすることができる。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、分散型元帳システム１は、グループ毎に鍵生成装置１０を備えた。しかし、図１９に示すように、分散型元帳システム１は、各グループに共通の鍵生成装置１０を備えてもよい。この場合、鍵生成装置１０は、グループ毎に別々の公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを生成する。そして、鍵生成装置１０は、ユーザが属するグループのマスター秘密鍵ｍｓｋを用いて、ユーザ秘密鍵ｓｋ_Γを生成する。

　＜変形例２＞
　実施の形態１では、鍵生成装置１０は、マスター鍵生成部２１とユーザ鍵生成部２２とを備えた。しかし、マスター鍵生成部２１とユーザ鍵生成部２２とを別の装置が備える構成としてもよい。

　実施の形態１では、通信装置３０は、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４とを備えた。しかし、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４とを別の装置が備える構成としてもよい。
　例えば、通信装置３０Ｘは、取引生成部４１と取引検証部４２とのみを備え、通信装置３０Ｙは、ブロック生成部４３とブロック検証部４４とのみを備えてもよい。また、通信装置３０Ｘ及び通信装置３０Ｙと同じグループに属する通信装置３０Ｚは、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４とを備えてもよい。

　＜変形例３＞
　実施の形態１では、鍵生成装置１０のマスター鍵生成部２１とユーザ鍵生成部２２との機能がソフトウェアで実現された。また、通信装置３０の取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能がソフトウェアで実現された。しかし、変形例３として、鍵生成装置１０のマスター鍵生成部２１とユーザ鍵生成部２２との機能と、通信装置３０の取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能とはハードウェアで実現されてもよい。この変形例３について、実施の形態１と異なる点を説明する。

　図２０を参照して、変形例３に係る鍵生成装置１０の構成を説明する。
　マスター鍵生成部２１とユーザ鍵生成部２２との機能がハードウェアで実現される場合、鍵生成装置１０は、プロセッサ１１に代えて、処理回路１５を備える。処理回路１５は、マスター鍵生成部２１とユーザ鍵生成部２２との機能を実現する専用の電子回路である。

　図２１を参照して、変形例３に係る通信装置３０の構成を説明する。
　取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能がハードウェアで実現される場合、通信装置３０は、プロセッサ３１に代えて、処理回路３５を備える。処理回路３５は、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能を実現する専用の電子回路である。

　処理回路１５，３５は、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。
　マスター鍵生成部２１とユーザ鍵生成部２２との機能を１つの処理回路１５で実現してもよいし、マスター鍵生成部２１とユーザ鍵生成部２２との機能を複数の処理回路１５に分散させて実現してもよい。同様に、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能を１つの処理回路３５で実現してもよいし、取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４との機能を複数の処理回路３５に分散させて実現してもよい。

　＜変形例４＞
　変形例４として、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。つまり、マスター鍵生成部２１とユーザ鍵生成部２２と取引生成部４１と取引検証部４２とブロック生成部４３とブロック検証部４４とのうち、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。

　プロセッサ１１，３１とメモリ１２，３２とストレージ１３，３３と処理回路１５，３５とを、総称して「プロセッシングサーキットリー」という。つまり、各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。

　実施の形態２．
　実施の形態２では、署名方式として、ポリシーベース署名の特殊系である属性ベース署名を用いる点が実施の形態１と異なる。実施の形態２では、この異なる点を説明し、同一の点については説明を省略する。

　＊＊＊動作の説明＊＊＊
　図１０から図１２と、図１４と、図２２から図２３とを参照して、実施の形態２に係る分散型元帳システム１の動作を説明する。
　実施の形態２に係る分散型元帳システム１における鍵生成装置１０の動作は、実施の形態２に係る鍵生成方法に相当する。また、実施の形態２に係る分散型元帳システム１における鍵生成装置１０の動作は、実施の形態２に係る鍵生成プログラムの処理に相当する。
　実施の形態２に係る分散型元帳システム１における通信装置３０の動作は、実施の形態２に係る通信方法に相当する。また、実施の形態２に係る分散型元帳システム１における通信装置３０の動作は、実施の形態２に係る通信プログラムの処理に相当する。

　実施の形態２では、署名方式として、属性ベース署名を用いる。属性ベース署名では、ユーザ秘密鍵ｓｋ_ΓにポリシーΓとしてユーザの属性情報が設定されており、署名対象のデータに署名者に必要な属性条件を示す論理式が含まれている。そして、属性ベース署名では、属性情報が論理式が示す属性条件を満たす場合にのみ正しい署名を生成することが可能である。

　図１０を参照して、実施の形態２に係るマスター鍵生成部２１の動作であるマスター鍵生成処理を説明する。
　ステップＳ１１とステップＳ１３との処理は、実施の形態１と同じである。

　（ステップＳ１２：マスター鍵生成処理）
　鍵生成部２１２は、属性ベース署名におけるマスター鍵生成アルゴリズムを実行して、公開鍵ｐｋとマスター秘密鍵ｍｓｋとのペアを生成する。属性ベース署名におけるマスター鍵生成アルゴリズムとしては、特許文献１に記載されたマスター鍵生成アルゴリズムを用いることができる。

　図１１を参照して、実施の形態２に係るユーザ鍵生成部２２の動作であるユーザ鍵生成処理を説明する。
　ステップＳ２１とステップＳ２４との処理は、実施の形態１と同じである。

　（ステップＳ２２：ポリシー受付処理）
　ポリシー受付部２２２は、ポリシーΓを受け付ける。
　ポリシーΓは、ユーザ秘密鍵ｓｋ_Γを使用するユーザの属性情報である。具体例としては、ポリシーΓは、ユーザの所属先と、性別と、年齢と、住所といった情報である。

　（ステップＳ２３：ユーザ秘密鍵生成処理）
　鍵生成部２２３は、属性ベース署名におけるユーザ秘密鍵生成アルゴリズムを実行して、ポリシーΓである属性情報が設定されたユーザ秘密鍵ｓｋ_Γを生成する。属性ベース署名におけるユーザ秘密鍵生成アルゴリズムとしては、特許文献１に記載されたユーザ秘密鍵生成アルゴリズムを用いることができる。

　図１２を参照して、実施の形態２に係る取引生成部４１の動作である取引生成処理を説明する。
　ステップＳ３１とステップＳ３４との処理は、実施の形態１と同じである。

　（ステップＳ３２：内容受付処理）
　内容受付部４１２は、取引内容ｔｘｃを受け付ける。
　図２２に示すように、取引内容ｔｘｃに含まれる取引情報は、実施の形態１における取引内容ｔｘｃに加えて、署名者が満たす論理式と、次取引者が満たす論理式とを含む。署名者が満たす論理式は、ユーザが取引情報に対して正しい署名を生成するために必要な属性条件を示す。図２３に示すように、署名者が満たす論理式には、元識別子が示す元取引ｐｔｘに含まれる次取引者が満たす論理式が設定される。次取引者が満たす論理式は、取引内容ｔｘｃを含む取引ｔｘを元取引とした新たな取引を行うユーザが正しい署名を生成するために必要な属性条件を示す。
　具体例としては、署名者が満たす論理式は、“Ｘ社　ＡＮＤ　経理部”であり、次取引者が満たす論理式は、“Ｙ社　ＡＮＤ　総務部”である。この場合、取引ｔｘを元取引とした新たな取引における署名者が満たす論理式は、“Ｙ社　ＡＮＤ　総務部”になる。

　ステップＳ３３では、署名生成部４１３は、属性ベース署名における署名生成アルゴリズムを実行することにより、署名σを生成する。属性ベース署名における署名生成アルゴリズムとしては、特許文献１に記載された署名生成アルゴリズムを用いることができる。
　属性ベース署名では、ユーザ秘密鍵ｓｋ_Γに設定された属性情報が、取引情報に含まれる署名者が満たす論理式が示す属性条件を満たす場合にのみ正しい署名を生成することが可能である。つまり、署名者が満たす論理式が“Ｘ社　ＡＮＤ　経理部”である場合、“Ｘ社　ＡＮＤ　経理部”を満たす属性情報が設定されたユーザ秘密鍵ｓｋ_Γでのみ、取引ｔｘに正しい署名を生成することが可能になる。

　図１４を参照して、実施の形態２に係る取引検証部４２の動作である取引検証処理を説明する。
　ステップＳ４１からステップＳ４２とステップＳ４４との処理は、実施の形態１と同じである。

　（ステップＳ４３：署名検証処理）
　署名検証部４２３は、属性ベース署名における署名検証アルゴリズムを実行して、署名σの正当性を検証する。属性ベース署名における署名検証アルゴリズムとしては、特許文献１に記載された署名検証アルゴリズムを用いることができる。

　＊＊＊実施の形態２の効果＊＊＊
　以上のように、実施の形態２に係る分散型元帳システム１では、属性ベース署名が用いられ、署名者が満たす論理式と次取引者が満たす論理式とが取引内容ｔｘｃに含まれる。そして、取引内容ｔｘｃを含む取引ｔｘを元取引とした新たな取引では、次取引者が満たす論理式が、署名者が満たす論理式になる。これにより、相手先のグループにおける担当者を指定した取引を行うことが可能である。
　例えば、次取引者が満たす論理式を“Ｙ社　ＡＮＤ　総務部”とすることにより、相手先のグループである会社Ｙに属するユーザのうち、総務部に属するユーザを担当者として指定することが可能である。

　なお、特許文献１に記載された属性ベース署名アルゴリズムでは、取引の相手先は、署名を検証することによって、署名者が満たす論理式を満たしたユーザによって署名がされたことを確認することはできる。しかし、取引の相手先は、署名を生成したユーザの属性情報を特定することはできない。

　図２４を参照して、具体例を説明する。
　署名者が満たす論理式が“Ｘ社　ＡＮＤ　（Ｌ部　ＯＲ　Ｍ部）”であり、次取引者が満たす論理式が“Ｙ社　ＡＮＤ　Ｎ部　ＡＮＤ　課長以上”である取引を、Ｘ社のＬ部の課長であるユーザＺが行ったとする。Ｙ社におけるＮ部の課長以上の役職を有する、Ｎ部の部長及びＮ部の課長は、この取引を扱うことができる。一方、Ｙ社におけるＰ部の部長は、この取引を扱うことができない。この取引を扱うとは、この取引を元取引として新たな取引を行うことである。
　また、Ｎ部の部長及びＮ部の課長は、この取引に含まれる署名を検証することで、“Ｘ社　ＡＮＤ　（Ｌ部　ＯＲ　Ｍ部）”を満たす属性を有するユーザによって署名が生成されたことを確認できるが、ユーザＺによって署名が生成されたこと、及び、ユーザＺが課長であることを特定することはできない。

　１　分散型元帳システム、１０　鍵生成装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１３１　マスター鍵記憶部、１３２　ユーザ鍵記憶部、１４　通信インタフェース、１５　処理回路、２１　マスター鍵生成部、２１１　セキュリティパラメータ受付部、２１２　鍵生成部、２１３　鍵出力部、２２　ユーザ鍵生成部、２２１　マスター鍵取得部、２２２　ポリシー受付部、２２３　鍵生成部、２２４　鍵出力部、３０　通信装置、３１　プロセッサ、３２　メモリ、３３　ストレージ、３３１　取引記憶部、３３２　ブロック記憶部、３４　通信インタフェース、３５　処理回路、４１　取引生成部、４１１　ユーザ鍵取得部、４１２　内容受付部、４１３　署名生成部、４１４　取引出力部、４２　取引検証部、４２１　取引取得部、４２２　内容検証部、４２３　署名検証部、４２４　結果出力部、４３　ブロック生成部、４３１　取引収集部、４３２　ブロック生成部、４３３　ブロック出力部、４４　ブロック検証部、４４１　ブロック取得部、４４２　ブロック検証部、４４３　結果出力部、５０　ネットワーク、λ　セキュリティパラメータ、Γ　ポリシー、ｐｋ　公開鍵、ｍｓｋ　マスター秘密鍵、ｓｋ_Γ　ユーザ秘密鍵、ｔｘｃ　取引内容、ｔｘ　取引、ｐｔｘ　元取引、ｔｘｓ　取引集合、ｂｃ　ブロック、σ　署名。

Claims

　他のグループに属する通信装置から出力された取引を取得する取引取得部と、
　属するグループにおける公開鍵と対を成すマスター秘密鍵と、署名対象を制限するポリシーとに基づき生成されたユーザ秘密鍵を用いて、取引する内容と、送信先のグループの公開鍵とを含む取引情報に対して署名を生成する署名生成部と、
　前記取引取得部によって取得された前記取引を特定可能な元識別子と、前記取引情報と、前記署名生成部によって生成された署名とを含む新たな取引を出力する取引出力部と
を備える通信装置。
　前記署名生成部は、前記取引情報が前記ポリシーの署名対象である場合に、前記署名を生成する
請求項１に記載の通信装置。
　前記ポリシーは、属性情報であり、
　前記取引情報は、署名者に必要な属性条件を示す論理式を含み、
　前記署名生成部は、前記論理式が示す属性条件を前記属性情報が満たす場合に、前記署名を生成する
請求項２に記載の通信装置。
　前記取引出力部は、次取引者に必要な属性条件を示す論理式を含む前記新たな取引を出力する
請求項３に記載の通信装置。
　前記取引取得部は、次取引者に必要な属性条件を示す論理式を含む前記取引を取得し、
　前記取引情報は、前記取引取得部によって取得された前記取引に含まれる、前記次取引者に必要な属性条件を示す論理式を、前記署名者に必要な属性条件を示す論理式として含む
請求項３又は４に記載の通信装置。
　前記取引出力部は、前記取引取得部によって取得された取引のうち、前記取引情報が前記属するグループにおける公開鍵を含む取引を特定可能な元識別子を含む前記新たな取引を出力する
請求項１に記載の通信装置。
　複数のグループそれぞれに属する通信装置を備える分散型元帳システムであり、
　前記複数のグループのうちの送信元のグループに属する通信装置は、
　他のグループに属する通信装置から出力された取引を取得する取引取得部と、
　前記送信元のグループにおける公開鍵と対を成すマスター秘密鍵と、署名対象を制限するポリシーとに基づき生成されたユーザ秘密鍵を用いて、取引する内容と、前記複数のグループのうちの送信先のグループの公開鍵とを含む取引情報に対して署名を生成する署名生成部と、
　前記取引取得部によって取得された前記取引を特定可能な元識別子と、前記取引情報と、前記署名生成部によって生成された署名とを含む新たな取引を出力する取引出力部と
を備え、
　前記送信先のグループに属する通信装置は、
　前記送信元のグループの公開鍵により、前記取引出力部によって出力された前記新たな取引に含まれる署名を検証する署名検証部
を備える分散型元帳システム。
　前記分散型元帳システムは、さらに、
　前記複数のグループそれぞれについて別々に、公開鍵と、前記公開鍵と対を成すマスター秘密鍵を生成するとともに、前記複数のグループそれぞれに属するユーザに対して、生成されたマスター秘密鍵と署名対象を制限するポリシーとに基づきユーザ秘密鍵を生成する鍵生成装置
を備える請求項７に記載の分散型元帳システム。