WO2021019783A1 - 所有者同一性確認システム、端末および所有者同一性確認方法 - Google Patents
所有者同一性確認システム、端末および所有者同一性確認方法 Download PDFInfo
- Publication number
- WO2021019783A1 WO2021019783A1 PCT/JP2019/030341 JP2019030341W WO2021019783A1 WO 2021019783 A1 WO2021019783 A1 WO 2021019783A1 JP 2019030341 W JP2019030341 W JP 2019030341W WO 2021019783 A1 WO2021019783 A1 WO 2021019783A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- terminal
- owner
- identity verification
- information
- identity
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Definitions
- the present invention relates to an owner identity confirmation system, a terminal, and an owner identity confirmation method.
- Various services such as product purchases and administrative continuations are being provided online.
- user authentication including identity verification is indispensable.
- As one of user authentication there is user authentication using a public key cryptosystem.
- the public key cryptography infrastructure After the user's identity verification documents (for example, driver's license) are confirmed by the certificate authority (certificate authority server, certificate authority server), the terminal owned by the user is used.
- a public key certificate (electronic certificate) will be issued.
- the terminal generates a signature (digital signature) for the data using the private key and sends it to the server (the server that authenticates the user and provides the service to the terminal) together with the digital certificate.
- the server confirms the authenticity of the digital certificate by confirming the signature of the certificate authority given to the digital certificate (successful verification).
- the server verifies the signature given to the data by using the public key included in the digital certificate. If the verification is successful, the server can confirm that the data was sent by the user. Further, the server can obtain information about the user himself / herself from the information contained in the digital certificate.
- the data can be shared between the terminals.
- the private key used for user authentication when using the service is shared between the terminals and authenticated as the same user from any terminal.
- sharing data it is assumed that the owners of the terminals are the same, and it is necessary to confirm that the owners are the same before sharing.
- Non-Patent Document 1 There is a technique described in Non-Patent Document 1 as a technique for confirming that the owners of a plurality of terminals are the same.
- an electronic certificate owner's electronic certificate
- Each of the two terminals can confirm that the owner is the same by collating the electronic certificate of its own (own terminal) with the electronic certificate of the other party (the other party's terminal, the other party's terminal).
- Data can be shared between terminal applications (for example, content viewing applications).
- FIDO Full IDentity Online
- FIDO Fast IDentity Online
- the FIDO client and the authenticator cooperate to execute user authentication, it is premised that they have the same owner. Therefore, prior to user authentication, it is required to confirm that the owner of the FIDO client and the owner of the authenticator are the same.
- Non-Patent Document 1 for verifying the identity of the owner by collating the digital certificate on a plurality of terminals having the same owner has two additional problems from the viewpoint of improving convenience and security. There is. One is that if the digital certificate is issued by a different certificate authority, the identity of the owner cannot be confirmed. If the certificate authority is different, the item (type) of the identity verification information may be different, or the format may be different, and it may not be possible to collate even though the owner is the same. The other is that the identity verification information contained in the digital certificate may be stolen and misused. If the owner's identity verification process is executed with an unauthorized terminal, such as when the terminal is stolen, there is a risk that the information related to the identity verification information contained in the digital certificate will be leaked and misused. Occurs.
- the present invention has been made in view of such a background, and an object of the present invention is to enable confirmation of the identity of the owner between terminals while ensuring safety.
- the owner identity confirmation system is an owner identity confirmation system including a plurality of terminals and a plurality of certificate authority servers, and the certificate authority server is described as described above.
- the terminal is provided with a storage unit that stores the electronic certificate issued to the terminal in association with the identity verification information of the owner of the terminal, and the terminal is obtained by the certificate authority server that issued the digital certificate to the terminal.
- a confirmation request that includes a storage unit that stores identity verification information that is stored in association with a document, encryption information that encrypts the identity verification information stored in the storage unit with a public key of quasi-identical encryption, and the public key.
- It includes a confirmation request unit that sends a message to the other party's terminal that is the target of owner identity confirmation, and the other party's terminal is the certificate authority server that issued the digital certificate to the other party's terminal.
- a storage unit that stores the identity verification information that is associated and stored, and when the confirmation request message is received, the identity verification information stored in the storage unit is encrypted with the public key, and the encryption information is stored.
- the terminal includes a confirmation response unit that returns a confirmation response message including a reply encryption information that is a result of calculation according to the quasi-isomorphic encryption to the terminal, and the terminal decrypts the reply encryption information. Then, the identity determination unit determines whether or not the identity verification information of the owner of the terminal and the identity verification information of the owner of the other terminal match depending on whether or not the result matches the predetermined value. Further prepare.
- the owner identity confirmation system for confirming the identity of the owner of the terminal in the embodiment (embodiment) for carrying out the present invention will be described below.
- the owner identity verification system includes a terminal and a certificate authority server that issues a digital certificate (also simply referred to as a certificate) to the terminal.
- the certificate authority server holds the identity verification information referred to in the owner verification when the digital certificate is issued to the terminal.
- the terminal also stores the identity verification information of its own owner.
- the certificate authority server issues the owner digital certificate to the terminal and stores the owner digital certificate in association with the identity verification information.
- the terminal is the certificate authority server (own certificate authority server) that issued the owner digital certificate when confirming the identity between the owner of itself (own terminal) and the owner of another terminal (other terminal).
- To issue a one-time digital certificate The issuance request is signed with the private key corresponding to the owner's digital certificate.
- the certificate authority server issues a one-time digital certificate to the terminal, associates it with the owner digital certificate, and stores the one-time digital certificate in association with the identity verification information.
- the terminals determine whether or not the owners of the terminals are the same. For determination, the terminal (own terminal) transmits the encrypted information obtained by encrypting the identity verification information held by itself with homomorphic encryption to the other terminal.
- the receiving terminal terminal encrypts the identity verification information held by itself with homomorphic encryption, and returns the reply encryption information obtained by multiplying the received encryption information to the own terminal.
- the own terminal decodes the received data, and if it matches a predetermined value, it determines that the identity verification information held by itself and the identity verification information held by the other terminal are the same, and the owners of the two terminals decide. Judge that they are the same. Since the identity verification information is compared while being encrypted by homomorphic encryption, the identity verification information is not leaked between the own terminal and the other terminal.
- FIG. 1 is an overall configuration diagram of the owner identity confirmation system 10 according to the present embodiment.
- the owner identity confirmation system 10 includes a plurality of certificate authority servers 100 and a plurality of terminals 200.
- the certificate authority server 100 and the terminal 200 can communicate with each other via the network 900.
- the server of the root certificate authority 300 that issued the digital certificate to the certificate authority server 100 may be connected to the network 900.
- FIG. 2 is a hardware configuration diagram of the computer 100Z according to the present embodiment.
- the computer 100Z includes a CPU 101, a RAM (Random Access Memory) 102, a ROM (Read Only Memory) 103, an SSD (Solid State Drive) 104, a NIC (Network Interface Card) 105, and an input / output interface 106 (input / output I / O in FIG. 2).
- F (described as interface)) and a media drive 107 are included.
- NIC105 is connected to network 900.
- a user interface device 198 (described as a UI (User Interface) device in FIG. 2) such as a display, a keyboard, and a mouse is connected to the input / output interface 106.
- the media drive 107 reads the program on the recording medium 199.
- the recording medium 199 includes an optical recording medium such as a DVD (Digital Versatile Disc), a magneto-optical recording medium such as an MO (Magneto Optical disk), a magnetic recording medium, and a semiconductor memory.
- the CPU 101 executes the read program (see the certificate authority program 121 in FIG. 3 described later), the computer 100Z functions as the certificate authority server 100 described below.
- FIG. 3 is a functional configuration diagram of the certificate authority server 100 according to the present embodiment.
- the certificate authority server 100 includes a control unit 110, a storage unit 120, and an input / output unit 150.
- the input / output unit 150 includes a NIC 105, an input / output interface 106, and a media drive 107, and transmits / receives communication data to / from a terminal 200 (see FIG. 1) and another certificate authority server 100 (see FIG. 1). .. Further, the input / output unit 150 reads the certificate authority program 121 from the recording medium 199.
- the storage unit 120 functions as a certificate authority server 100 including a certificate authority program 121, a digital certificate database 130 (see FIG. 4 described later), a private key, and its own digital certificate issued by the root certificate authority 300. Store the required data.
- FIG. 4 is a data structure diagram of the digital certificate database 130 according to the present embodiment.
- the digital certificate database 130 is, for example, tabular data.
- One line (record) of the digital certificate database 130 indicates one digital certificate issued by the certificate authority server 100 itself, and identifies information 131, type 132, key owner 133, related certificate 134, and identity verification information. It is configured to include 135 and a digital certificate 136.
- the identification information 131 is the identification information of the digital certificate (for example, the serial number included in the digital certificate).
- Type 132 is a type of digital certificate. For type 132, the "owner” indicating the owner digital certificate issued to the terminal 200 after confirming the owner, and the electronic certificate temporarily issued to the terminal for confirming the identity of the owner are used. There is “one time” to show.
- the key owner 133 is the issue destination of the digital certificate, and indicates the owner (Subject field of the digital certificate) of the key pair (private key and public key).
- the related certificate 134 is the identification information 131 of the related digital certificate.
- the related digital certificate is, for example, in the one-time digital certificate, the owner digital certificate of the terminal to which the one-time digital certificate is issued.
- the identity verification information 135 is the identity verification information confirmed when the owner's digital certificate is issued.
- the identity verification information includes information shown on a resident's card, a driver's license, etc., and this identity verification information 135 includes identity verification information data (image data and electronic data), address, name, driver's license number, etc. Or it contains information for accessing identity verification information.
- the digital certificate 136 is the digital certificate data issued by the certificate authority server 100 itself. In addition to the public key (Subject Public Key Info field of the digital certificate), the digital certificate includes the key owner 133 (Subject field), the certificate authority identification information (Issuer field), and the validity period (Validity). Field), serial number (SerialNumber field), etc. are included.
- the record 138 is a record of the owner electronic certificate in which the identification information 131 is "38473857", the key owner 133 is the name of the owner, and the address of the owner is included as the identity verification information 135. ..
- the record 139 is a record of the one-time digital certificate in which the identification information 131 is "84736401", and is associated with the digital certificate shown in the record 138.
- the digital certificate of record 139 is a one-time digital certificate issued to the terminal to which the digital certificate of record 138 is issued.
- the one-time digital certificate record 139 does not include the identity verification information in the identity verification information 135, but the certificate authority server 100 has the identity verification information 135 of the owner digital certificate record 138 shown in the related certificate 134. You can get identity verification information from.
- the control unit 110 includes an electronic certificate issuing unit 111.
- the digital certificate issuing unit 111 issues a digital certificate in response to a request from the terminal 200 (see FIG. 1).
- the issued digital certificate is stored in the digital certificate database 130.
- FIG. 5 is a hardware configuration diagram of the computer 200Z according to the present embodiment.
- the computer 200Z has the same configuration as the computer 100Z (see FIG. 2).
- the media drive 207 reads the program on the recording medium 299.
- the CPU 201 executes the read program (see the terminal program 221 of FIG. 6 described later), the computer 200Z functions as the terminal 200 described below.
- FIG. 6 is a functional configuration diagram of the terminal 200 according to the present embodiment.
- the terminal 200 includes a control unit 210, a storage unit 220, and an input / output unit 250.
- the storage unit 220 is composed of RAM 202, ROM 203, SSD 204, and the like (see FIG. 5), and stores data necessary for the owner identity confirmation process including the encryption key, the digital certificate, and the identity verification information 222 described below.
- the digital certificate includes a model number electronic certificate including information on the model number (model) of the terminal 200.
- the input / output unit 250 includes a NIC 205, an input / output interface 206, and a media drive 207 (see FIG. 5), and transmits / receives communication data to / from another terminal 200 or a certificate authority server 100. Further, the input / output unit 250 reads the terminal program 221 from the recording medium 299. Further, the input / output unit 250 receives an operation from the user of the terminal and displays information to the user.
- the control unit 210 includes an electronic certificate request unit 211, a terminal authentication unit 212, a confirmation request unit 213, a confirmation response unit 214, and an identity determination unit 215.
- the digital certificate requesting unit 211 requests the certificate authority server 100 to issue a digital certificate.
- the terminal authentication unit 212 authenticates the other party's terminal 200 for confirming the identity of the owner, and in order to confirm the owner identity, the person who confirms the identity of himself / herself and the owner of the other party's terminal 200. Determine confirmation information.
- the identity verification information for confirming the identity is an item (type) of the identity verification information for confirming the identity, such as an address, a name, and a driver's license number.
- the terminal authentication unit 212 sets the item for confirming the identity as the item for the identity verification information 222 that both itself and the other party's terminal 200 commonly store.
- the confirmation request unit 213 responds to a confirmation request message (see step S403 in FIG. 10 described later) including information (encryption information) in which the owner's identity confirmation information stored by the user is encrypted with a homomorphic encryption public key. It is transmitted to the terminal 200 of.
- the confirmation response unit 214 receives the confirmation request message from the terminal 200, encrypts the owner's identity confirmation information stored by itself with the public key of homomorphic encryption, and the received encryption information. Generates reply encryption information multiplied by.
- the confirmation response unit 214 returns a confirmation response message (see step S407) including the reply encryption information.
- the identity determination unit 215 receives the confirmation response message and determines whether or not the owners of the two terminals 200 are the same.
- I d (O) is the owner digital certificate of the terminal d.
- the owner digital certificate is issued by the certificate authority server 100 to the terminal 200.
- the issued owner digital certificate is stored in the digital certificate database 130.
- I d (P) is a one-time digital certificate of the terminal d.
- the one-time digital certificate is issued to the terminal 200 by the certificate authority server 100 that issued the owner digital certificate.
- the issued one-time digital certificate is stored in the digital certificate database 130.
- the one-time digital certificate only needs to be valid during the identity verification process, and its validity period is shorter than the validity period of the owner digital certificate.
- I d (M) is a model number digital certificate of the terminal d.
- the model number digital certificate is issued by the certificate authority server 100 to the terminal 200.
- the issued model number digital certificate is stored in the digital certificate database 130.
- the certificate authority server 100 that issues the model number digital certificate is not necessarily the same as the certificate authority server 100 that issues the owner digital certificate. There may be a certificate authority server 100 that issues only the model number digital certificate and does not issue other types of digital certificates.
- I d (C) is a digital certificate of the certificate authority server d.
- the digital certificate of the certificate authority server 100 is issued by the root certificate authority 300 (server of the root certificate authority, see FIG. 1).
- V + W is data obtained by combining data V and data W.
- M S (M, K) was signed with the secret key K to the data M, is the signed data.
- M S (M, K1, K2 ) is signed with secret key K1 to the data M, further, is a double of the signed data signed with the secret key K2 to the signed data.
- Q d is a one-time digital certificate issuance request application sent from the terminal d to the certificate authority server 100.
- Q d includes a public key generated by the terminal d and included in the one-time digital certificate.
- S d (O) is a secret key that corresponds to the owner of the electronic certificate I d of the terminal d (O).
- S d (P) is a secret key that corresponds to the one-time electronic certificate I d (P) of the terminal d.
- S d (M) is a secret key corresponding to the terminal d of the model number electronic certificate I d (M).
- S d (C) is a secret key that corresponds to the certificate authority d of electronic certificate I d (C).
- E PK is a homomorphic encryption encryption function using a public key PK.
- D SK is a decryption function of homomorphic encryption using the private key SK. The pair of the public key PK and the private key SK is generated by the terminal 200.
- C d1 is a result of encryption (also referred to as encryption information) by using the encryption function E PK of the homomorphic encryption for the identity verification information calculated by the terminal d1. Details of the calculation method of the encrypted information C d1 will be described later.
- C d2' is calculated by the terminal d2 that has received the encryption information C d1 .
- C d2' is the result of calculating the encryption information C d1 and the result of encrypting the identity verification information by using the encryption function E PK of the homomorphic encryption by the calculation according to the homomorphic encryption (reply encryption information). Also referred to as). Details of the calculation method of the reply encryption information C d2'will be described later.
- L d1 and d2 are a list of items of identity verification information for confirming the owner identity between the terminal d1 and the terminal d2.
- the homomorphic encryption E PK is a cipher in which E PK (M1 + M2) can be calculated from the ciphertext E PK (M1) of the plaintext M1 and the ciphertext E PK (M2) of the plaintext M2.
- + is not limited to addition, but is some kind of binary operation.
- E PK (M1) ⁇ E PK (M2) E PK (M1 ⁇ M2). That is, when the product of ciphertexts is decrypted, it becomes the product of plaintexts.
- Another example is ElGamal encryption.
- E PK (M1) ⁇ E PK (M2) E PK (M1 + M2). That is, when the product of ciphertexts is decrypted, it becomes the sum of plaintexts.
- E PK (M1) ⁇ E PK (M2) E PK (M1 + M2). That is, when the product of ciphertexts is decrypted, it becomes the sum of plaintexts.
- Another example is elliptic curve cryptography.
- the private key of the Paillier cryptosystem is a prime number p and a prime number q of the same length.
- E N (M1) (1 + N) M1 ⁇ r N
- E N (M2) (1 + N) M2 ⁇ s N.
- the random number r and the random number s are random numbers generated when the plaintext M1 and the plaintext M2 are encrypted, respectively.
- the terminal 200A generates the encryption information C d1 and the terminal 200B generates the reply encryption information C d2 '(see FIG. 10 described later).
- the identity verification information stored in the terminal 200A for confirming the identity is referred to as VA
- the identity verification information stored in the other terminal 200B is referred to as VB.
- the identity verification information VA and VB are identity verification information corresponding to the items included in the item list L d1 and d2 of the identity verification information.
- the terminal 200A is, the encrypted information C A is calculated, and the encrypted information C A, and the terminal 200B that has received the public key N terminal 200A calculates the reply encrypted information C B '.
- the terminal 200A knows that the identity verification information does not match.
- Terminal 200B generates a random number s, and calculates the return encrypted information C B 'as follows, to the terminal 200A.
- C B ' (C A) s ⁇ E PK (VB) -s
- Terminal 200B generates a random number s, and calculates the return encrypted information C B 'as follows, to the terminal 200A.
- C B ' (C A) s ⁇ E PK (VB) -s
- Terminal 200B includes a result that it has encrypted credential VB storing (E PK (VB)), received by multiplying the encrypted information C A, computes the reply encrypted information C B ' , Reply to terminal 200A.
- Terminal 200A if the result of decrypting the reply encrypted information C B 'is a predetermined value (0 or 1 in the above example), identification information both stored in the terminal 200A and the terminal 200B is, if it is the same to decide.
- the public key is obtained from the digital certificate corresponding to the private key S, and the signature is verified using this public key. If the signature verification fails, the owner digital certificate issuance process, one-time digital certificate issuance process, and owner identity verification process are stopped.
- the signature of the certificate authority server 100 is given to the digital certificate, and the signature of the digital certificate is verified using the public key of the certificate authority server 100.
- the public key of the certificate authority server 100 is obtained after the digital certificate of the certificate authority server 100 issued by the root certificate authority 300 (see FIG. 1) is verified by using the public key of the root certificate authority 300.
- the public key of the root certificate authority 300 is stored in the storage units 120 and 220 (see FIGS. 3 and 6).
- the digital certificate includes a validity period. If the verification time is not included in the validity period, the verification of the digital certificate will fail.
- the digital certificate contains the identification information of the certificate authority (certificate authority server 100) that issued the digital certificate as the issuer (Issuer field), and obtains the public key from the digital certificate of any certificate authority. I know.
- FIG. 7 is a sequence diagram of the issuance process of the owner digital certificate according to the present embodiment. A process in which the certificate authority server 100A issues the owner digital certificate to the terminal 200A will be described with reference to FIG. 7.
- step S101 the electronic certificate requesting unit 211 of the terminal 200A generates a key pair (private key and public key) for public key cryptography.
- step S102 the digital certificate requesting unit 211 transmits the public key generated in step S101 and the information of the identity verification document to the certificate authority server 100A, and requests the issuance of the owner digital certificate. This transmitted message may be signed with the private key generated in step S101.
- step S103 the digital certificate issuing unit 111 of the certificate authority server 100A confirms that the identity verification document received in step S102 is authentic.
- step S104 the digital certificate issuing unit 111 adds a record to the digital certificate database 130 (see FIG. 4), adds information on the personal identification document to the personal identification information 135, and personal information (address) described in the personal identification document. , Name, etc., also referred to as identity verification information).
- Step e-certificate issuing unit 111 in step S105 issues an owner electronic certificate I A (O) containing the public key received in step S102.
- the key owner (Subject field) of the owner digital certificate is the entire or part of the owner's identity verification information such as name and address confirmed in step S103.
- the digital certificate issuing unit 111 stores the serial number of the owner digital certificate issued in the identification information 131 of the record added in step S104. Further, the digital certificate issuing unit 111 issues an "owner" for the type 132, a key owner for the key owner 133, a "-" for the related certificate 134, and the owner digital certificate for the digital certificate 136. Stores the data of the book.
- Electronic certificate request unit 211 of the terminal 200A in step S107 verifies the signature of the certificate authority server 100A of the received owner digital certificate I A (O).
- Step electronic certificate request unit 211 of the terminal 200A in S108 stores the received owner digital certificate I A a (O) to the storage unit 220.
- the electronic certificate request section 211 stores the identification information included as the value of the key holder (Subject field) of the owner digital certificate I A (O) to the identification information 222 (see FIG. 6).
- the process of issuing the owner digital certificate to the terminal 200A by the certificate authority server 100A has been described above.
- the certificate authority server 100B issues the owner digital certificate to the terminal 200B. Since the process of issuing the owner digital certificate to the terminal 200B by the certificate authority server 100B is the same as that in FIG. 7, the description is omitted.
- the terminals 200A and 200B store the owner digital certificate and the corresponding private key.
- the certificate authority servers 100A and 100B store the identity verification information in association with the owner digital certificate.
- the terminals 200A and 200B store the identity verification information 222 (see FIG. 6).
- FIG. 8 is a sequence diagram of the issuance process of the one-time digital certificate according to the present embodiment.
- a process in which the certificate authority server 100A issues a one-time digital certificate to the terminal 200A will be described with reference to FIG.
- the electronic certificate requesting unit 211 of the terminal 200A generates a key pair (private key and public key) for public key cryptography.
- step S202 the digital certificate requesting unit 211 transmits a request for issuing a one-time digital certificate including the public key generated in step S201 to the certificate authority server 100A.
- a one-time electronic certificate request application form Q A contains a public key and signed with the secret key generated in step S201 M S (Q A, S A (P)) To generate.
- the electronic certificate request section 211 the signature data, by combining its owner digital certificate I A and (O) a model number digital certificate I A (M), its owner digital certificate signed out with a secret key S a (M) of the secret key S a and (O) of the model number electronic certificate, M S (M S (Q a, S a (P)) + I a (O) + I a ( M), S a (O) , to generate the S a (M)).
- M S as a one-time electronic certificate request (M S (Q A, S A (P)) + I A (O) + I A (M), S A (O), S A (M) ) is transmitted to the certificate authority server 100A.
- Electronic certificate issuing unit 111 of the authentication station server 100A in step S203 is by a private key S A one-time electronic certificate request received in step S202 (M), S A ( O), S A (P) Validate the signature.
- Step e-certificate issuing unit 111 in S204 issues a one-time digital certificate I A (P) containing the public key included in the Q A received in step S202.
- the key owner of a one-time digital certificate is a random string.
- Step e-certificate issuing unit 111 in step S205 stores the one-time electronic certificate I A (P) is in association with the owner digital certificate I A (O). Specifically, the digital certificate issuing unit 111 adds a record to the digital certificate database 130 (see FIG. 4) and stores the serial number of the one-time digital certificate issued in the identification information 131. Further, the digital certificate issuing unit 111 issues "one-time" for the type 132, the key owner for the key owner 133, "-" for the identity verification information 135, and the one-time digital certificate issued for the digital certificate 136. Stores the data of the book. Electronic certificate issuing unit 111 stores the serial number of the relevant certificate holder received in step S202 to the document 134 digital certificate I A (O). By referring to the identity verification information 135 of the digital certificate corresponding to the related certificate 134 of the one-time digital certificate, the certificate authority server 100 is the person who owns the terminal 200 to which the one-time digital certificate is issued. You can access the confirmation information.
- Electronic certificate issuing unit 111 in step S206 returns the issued one-time digital certificate I A (P) to the terminal 200A.
- electronic certificate issuing section 111 combines a one-time digital certificate I A (P) to the authentication station server 100A of the electronic certificate I A (C), corresponding to the electronic certificate I A (C) M S signed with the private key S a (C) to (I a (P) + I a (C), S a (C)) , and returns as a response to the request of step S202.
- Electronic certificate request unit 211 of the terminal 200A in step S207 the received M S secret key S A (C) by signing (I A (P) + I A (C), S A (C)), and one-time to verify the signature of the electronic certificate I a (P).
- Electronic certificate request unit 211 of the terminal 200A in step S208 stores the one-time digital certificate I A (P) in the storage unit 220.
- the process of issuing a one-time digital certificate to the terminal 200A by the certificate authority server 100A has been described above.
- the certificate authority server 100B issues a one-time digital certificate to the terminal 200B. Since the process of issuing the one-time digital certificate to the terminal 200B by the certificate authority server 100B is the same as that in FIG. 8, the description is omitted.
- the terminals 200A and 200B store the one-time digital certificate and the corresponding private key. Further, the certificate authority servers 100A and 100B store the one-time digital certificate in association with the owner digital certificate and further in association with the identity verification information.
- the terminal 200A requests the terminal 200B to confirm the identity of the owner.
- the terminals 200A and 200B determine the item of the identity verification information for confirming the identity after mutual authentication.
- the item common in the identity verification information 222 (see FIG. 6) stored in both terminals 200A and 200B is set as the item of the identity verification information for confirming the identity.
- the process until the terminals 200A and 200B determine the item of the identity verification information for confirming the identity will be described with reference to FIG. 9 described later.
- a process in which the terminal 200A requests the terminal 200B to confirm the identity of the owner will be described with reference to FIG. 10 described later.
- FIG. 9 is a sequence diagram (1) of the owner identity confirmation process according to the present embodiment.
- Terminal authentication unit 212 of the terminal 200A in step S301 transmits the one-time digital certificate I A (P) is the counterpart of the terminal 200B.
- Terminal 200B is, to verify the signature of the received one-time electronic certificate I A (P).
- Terminal authentication unit 212 of the terminal 200B in step S302 transmits the one-time digital certificate I B (P) is the counterpart of the terminal 200A.
- Terminal 200A verifies the signature of the received one-time digital certificate I B (P).
- Terminal 200A the terminal authentication unit 212 of 200B in step S303, the private key S A corresponding to the one-time digital certificate (P), with S B (P), to authenticate each other.
- terminal 200A sends to the terminal 200B by generating a random number, and requests the signature by the private key corresponding to the one-time digital certificate I B (P) for the random number.
- Terminal 200A by verifying the signature terminal 200B is generated, can authenticate that owns the private key terminal 200B corresponding to the one-time digital certificate I B (P).
- the terminal 200B may authenticate that owns the private key terminal 200A corresponding to the one-time electronic certificate I A (P).
- step S304 the terminal authentication unit 212 determines the item lists LA and B of the identity verification information for confirming the identity. Specifically, the terminal authentication unit 212 sets common items among the identity verification information stored in both terminals 200A and 200B as the item list LA and B of the identity verification information.
- FIG. 10 is a sequence diagram (2) of the owner identity confirmation process according to the present embodiment.
- the confirmation request unit 213 of the terminal 200A generates a key pair of homomorphic encryption.
- Confirmation requesting unit 213 in step S402 calculates the encrypted information C A using homomorphic encryption.
- the confirmation request unit 213 sets the identity verification information of the owner corresponding to the item list LA , B of the identity verification information for confirming the identity determined in step S304 (see FIG. 9) to the identity verification information 222 (identification information 222). obtained by encrypting the see FIG. 6), and calculates the encrypted information C a.
- step S403 the confirmation request unit 213 transmits a confirmation request message to the terminal 200B.
- check request unit 213, and the item list of personal identification information L A, B to be stored itself, with its own one-time electronic certificate I A (P), and a public key PK A of homomorphic encryption, encryption of information C a and, by combining the model number electronic certificate I a (M), the secret key S a (P), M signed with S a (M) S (L a, B + I a (P) + PK a + C a + I a (M ), S a (P), and returns the S a (M)) to the terminal 200B.
- Acknowledgment unit 214 of the terminal 200B in step S404 the private key S A confirmation request message (M), verifies the signature by S A (P).
- Acknowledgment unit 214 in step S405 includes the item list L A, B received in step S403, and determines in step S304 (see FIG. 9), item list L A stored therein, and the B matches Make sure that. If there is a discrepancy, the confirmation response unit 214 cancels the owner identity confirmation process.
- Step acknowledgment unit 214 in S406 generates a reply encrypted information C B 'from identification information received encrypted information C A and its own's. Specifically, the confirmation response unit 214 acquires the identity verification information of the owner corresponding to the item lists LA and B of the identity verification information from the identity verification information 222 (see FIG. 6). Then, acknowledgment unit 214 generates the encrypted information C A, and the public key PK A, the reply encrypted information C B 'from the acquired identification information.
- step S407 the confirmation response unit 214 transmits the confirmation response message to the terminal 200A.
- acknowledgment unit 214 with its own one-time electronic certificate I B (P), and the reply encrypted information C B ', by combining the model number electronic certificate I B (M), the secret key S B (P), M S signed with S B (M) (I B (P) + C B '+ I B (M), S B (P), S B (M)) , and the terminal 200A as an acknowledgment message Reply.
- step S410 the identity determination unit 215 proceeds to step S411 if the decoding result is 0 (step S410 ⁇ YES), and proceeds to step S412 if the decoding result is not 0 (step S410 ⁇ NO).
- step S411 the identity determination unit 215 determines that the owners are the same.
- step S412 the identity determination unit 215 determines that the owners are different.
- homomorphic encryption is used to compare the items of identity verification information stored by each in the encrypted state. Therefore, it is possible to confirm whether or not the identity verification information matches without leaking the identity verification information to the other party.
- Item list of identity verification information Item list L
- a personal identification information, B is the terminal 200A, an item identification information 222 both 200B are stored (see step S304 in the description of the terminal authentication unit 212 of FIG. 6, and 9) .
- the terminal 200 may determine the item lists LA and B according to the importance of the shared data after the identity confirmation. For example, when sharing a private key for accessing a financial service, the terminal 200 uses the item lists LA and B as an address and a name. Further, when the private key for accessing the service with the family discount is shared between the family members living together, the terminal 200 uses only the address in the item lists LA and B. If the identity verification information (item of identity verification information) for confirming the identity is determined in advance, the terminal 200 may omit the item lists LA and B and execute the owner identity verification process. Good.
- the confirmation request message (step S403 in FIG. 10) and the confirmation response message (step S407) include the model number digital certificate, and by verifying the signature of the private key corresponding to the model number digital certificate, the terminal 200 Can acquire the model number of the other party's terminal 200.
- the model number digital certificate and the corresponding signature may be omitted.
- the message is signed with a private key corresponding to the one-time digital certificate, and the security is ensured.
- the terminal 200 generates a homomorphic encryption key pair each time the owner identity confirmation process is performed (see step S402 in FIG. 10), but even if the previously generated key pair is reused. Good.
- the key owner of the one-time electronic certificate is a random character string, but any information unrelated to the owner's identity verification information may be used. For example, there may be a terminal address or a request to issue an electronic certificate. It may be information generated from the time and the like. Further, in step S103 (see FIG. 7), the certificate authority server 100 confirms the identity verification document, but it may be manually confirmed offline.
- the owner identity confirmation system 10 is an owner identity confirmation system 10 including a plurality of terminals 200 and a plurality of certificate authority servers 100, and the certificate authority server 100 is a certificate authority server 100.
- the terminal 200A includes a storage unit 120 that stores the electronic certificate issued to the terminal 200 in association with the identity verification information of the owner of the terminal, and the terminal 200A is a certificate authority server 100A that issues the digital certificate to the terminal.
- the storage unit 220 that stores the identity verification information that is stored in association with the electronic certificate, the encryption information that encrypts the identity verification information stored in the storage unit 220 with the public key of the quasi-identical encryption, and the public key.
- the terminal 200A includes a confirmation response unit 214 that returns a confirmation response message including a reply encryption information, which is a result of calculating the sentence and the encryption information by an operation according to the quasi-isomorphic encryption, to the terminal 200A.
- an owner identity confirmation system 10 it is possible to determine whether or not the owners of a plurality of terminals 200 having different certificate authority servers 100 that have issued digital certificates are the same.
- the identity verification information is encrypted and exchanged (encrypted information and reply encrypted information), and whether or not the identity verification information matches the identity verification information without leaking to the other party's terminal 200. Can be confirmed. Therefore, according to the owner identity confirmation system 10, it is possible to confirm the identity of the owner between terminals while ensuring safety.
- the terminal 200 is the terminal 200 of the owner identity confirmation system 10 including a plurality of terminals 200 and a plurality of authentication authority servers 100, and confirms the identity of the owner of the terminal 200.
- the storage unit 220 that stores the personal identification information stored in association with the digital certificate by the authentication authority server 100 that issued the digital certificate to the terminal 200, and the personal identification information stored in the storage unit 220 are quasi.
- the confirmation request unit 213 that sends the confirmation request message including the encryption information encrypted with the public key of the same type encryption and the public key to the terminal 200 of the other party to be the target of the owner identity confirmation, and the confirmation request message.
- confirmation including the reply encryption information, which is the result of calculating the encryption text obtained by encrypting the identity verification information stored in the storage unit 220 with the public key and the encryption information by the calculation according to the quasi-isomorphic encryption.
- the confirmation response unit 214 that returns the response message to the sender of the confirmation request message, and the identity confirmation information of the owner of the terminal 200 depending on whether or not the result matches the predetermined value after decrypting the reply encryption information.
- the identity determination unit 215 for determining whether or not the identity confirmation information of the owner of the other party's terminal 200 matches.
- a terminal 200 it is possible to determine whether or not the owners of a plurality of terminals 200 having different certificate authority servers 100 that have issued the digital certificate are the same.
- the identity verification information is encrypted and exchanged (encrypted information and reply encrypted information), and whether or not the identity verification information matches the identity verification information without leaking to the other party's terminal 200. Can be confirmed. Therefore, according to the terminal 200, it is possible to confirm the identity of the owner between the terminals while ensuring the safety.
- the identity verification information is composed of one or more items, and the confirmation request unit 213 confirms the identity of the item for confirming the identity selected from the one or more items.
- the information is encrypted with the public key to calculate the encrypted information, the item is included in the confirmation request message and transmitted, and the confirmation response unit 214 discloses the identity verification information for the item stored in the storage unit 220.
- the reply encryption information is calculated and replied, and the identity determination unit 215 decrypts the reply encryption information, and whether or not the result matches the predetermined value. Then, it is determined whether or not the identity verification information of the owner of the terminal 200 for the item and the identity verification information of the owner of the other terminal 200 for the item match.
- the identity of the owner can be confirmed not by the whole identity verification information but by a part (item). Therefore, even if the stored identity verification information 222 is different from the terminal 200, the identity of the owner can be confirmed by matching some of the identity verification information.
- Unit 213 transmits E (V1) as encrypted information to the identity verification information V1 of the owner of the terminal 200A, and the confirmation response unit 214 to the identity verification information V2 of the owner of the other terminal 200B.
- a random number r is generated, E (V1) r ⁇ E (V2) -r is returned as reply encryption information, and the identity determination unit 215 determines that the decryption result of the reply encryption information is 0, which is a predetermined value. Whether or not V1 and V2 match is determined by the presence or absence.
- the confirmation request unit 213 transmits E (V1) as encrypted information to the identity confirmation information V1 of the owner of the terminal 200A, and the confirmation response unit 214 sends the identity confirmation information V2 of the owner of the other terminal 200B.
- a random number r is generated, E (V1) r ⁇ E (V2) ⁇ r is returned as the reply encryption information, and the identity determination unit 215 determines that the decryption result of the reply encryption information is a predetermined value. Whether or not V1 and V2 match is determined by whether or not it is 1.
- the value of the key owner included in the digital certificate issued to the terminal 200 is the identification information of the terminal 200 which is irrelevant to the identity verification information of the owner of the terminal 200.
- the terminal 200 it is possible to determine whether or not the owners of the two terminals 200 are the same by using a one-time certificate that does not include the identity verification information of the owner. Therefore, the terminal 200 can confirm the identity of the owner without leaking the identity verification information of the owner to the other terminal 200.
- At least one of the confirmation request message and the confirmation response message transmitted by the terminal 200 is a private key corresponding to the digital certificate and a model number electronic certificate indicating the model number of the terminal 200. It is signed with at least one of the corresponding private keys.
- the terminal 200 can acquire the model number (model) of the other terminal 200. Therefore, the terminal 200 can perform processing according to the model number of the other terminal 200 in the processing after the owner identity confirmation processing.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
所有者同一性確認システムは、2つの端末(200A,200B)の所有者が同一であるか否かを判断する。端末(200A,200B)は、認証局サーバ(100A,100B)が端末に発行した電子証明書と関連付けて記憶する本人確認情報を記憶する。端末(200A)は、所有者の本人確認情報を準同型暗号で暗号化した情報を端末(200B)に送信する。端末(200B)は、自身の所有者の本人確認情報を暗号化した情報を含む返信暗号化情報を端末(200A)に返信する。端末(200A)は、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、所有者の同一性を判断する。
Description
本発明は、所有者同一性確認システム、端末および所有者同一性確認方法に関する。
商品の購入や行政続きなど各種サービスがオンラインで提供されるようになってきている。サービス提供にあたっては、本人確認を含めた利用者認証が必須である。
利用者認証の一つとして、公開鍵暗号基盤を利用した利用者認証がある。公開鍵暗号基盤では、認証局(認証局の証明書発行サーバ、認証局サーバ)において利用者の本人確認書類(例えば、運転免許証など)が確認された後に、利用者が所有する端末に対して公開鍵証明書(電子証明書)が発行される。
利用者認証の一つとして、公開鍵暗号基盤を利用した利用者認証がある。公開鍵暗号基盤では、認証局(認証局の証明書発行サーバ、認証局サーバ)において利用者の本人確認書類(例えば、運転免許証など)が確認された後に、利用者が所有する端末に対して公開鍵証明書(電子証明書)が発行される。
端末は、秘密鍵を用いてデータに対する署名(デジタル署名)を生成して、電子証明書とともにサーバ(利用者を認証してサービスを端末に提供するサーバ)に送信する。サーバは、電子証明書に付与された認証局の署名を確認(検証に成功)することで電子証明書が真正であることを確認する。次に、サーバは、電子証明書に含まれる公開鍵を用いて、データに付与された署名を検証する。検証に成功すれば、サーバは、データが利用者から送信されたものであることを確認できる。さらに、サーバは、電子証明書に含まれる情報から利用者本人に関する情報を得ることができる。
利用者が複数の端末を所有しているときには、端末間でデータが共有できることが望ましい。例えば、複数の端末から1つのサービスを利用する場合、サービス利用時の利用者認証に用いられる秘密鍵を端末間で共有して、何れの端末からも同一利用者として認証されることが望ましい。また、コンテンツを複数の端末で視聴するために、著作権管理に必要なデータを共有したい場合もある。データを共有する際には、端末の所有者が同一であることが前提であり、共有する前に所有者が同一であることが確認される必要がある。
複数の端末の所有者が同一であることを確認する技術として、非特許文献1に記載の技術がある。この技術では、それぞれの端末に対して電子証明書(所有者電子証明書)が発行される。2つの端末それぞれが、自身(自端末)の電子証明書と相手(相手の端末、相手端末)の電子証明書とを照合することで、所有者が同一であることを確認でき、端末間ないしは端末のアプリケーション(例えば、コンテンツ視聴アプリ)間でデータを共有することができるようになる。
所有者が同一であることが求められる他の例として、パスワードに替わる認証技術であるFIDO(Fast IDentity Online)におけるFIDOクライアントおよび認証器(Authenticator)の例がある。FIDOクライアントと認証器とは、連携して利用者認証を実行するため、所有者が同じであるのが前提である。このため、利用者認証に先立ち、FIDOクライアントの所有者と認証器の所有者が同一であることの確認が求められる。
緒方祐介他,非対称鍵を利用した認証方式の秘密鍵の維持管理に関する考察,2016年電子情報通信学会通信ソサイエティ大会,B-7-9,2016.
所有者が同一である複数の端末において電子証明書を照合して所有者の同一性を確認する非特許文献1に記載の手法には、利便性向上や安全性向上の観点から2つのさらなる課題がある。1つは、電子証明書が異なる認証局から発行されていると、所有者の同一性が確認できないことである。認証局が異なると、本人確認情報の項目(種類)が異なっていたり、形式が異なっていたりして、同一所有者であるにもかかわらず照合できない場合がある。
他は、電子証明書に含まれる本人確認情報が盗まれて悪用される虞があることである。端末が盗まれるなどして、不正な端末との間で、所有者の同一性確認処理が実行されると、電子証明書に含まれる本人確認情報に係る情報が漏洩して、悪用されるリスクが生じる。
他は、電子証明書に含まれる本人確認情報が盗まれて悪用される虞があることである。端末が盗まれるなどして、不正な端末との間で、所有者の同一性確認処理が実行されると、電子証明書に含まれる本人確認情報に係る情報が漏洩して、悪用されるリスクが生じる。
本発明は、このような背景を鑑みてなされたのであり、安全性を確保しつつ端末間で、所有者の同一性確認を可能とすることを課題とする。
前記した課題を解決するため、所有者同一性確認システムは、複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムであって、前記認証局サーバは、前記端末に発行した電子証明書と、当該端末の所有者の本人確認情報とを関連付けて記憶する記憶部を備え、前記端末は、当該端末に電子証明書を発行した認証局サーバが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部と、前記記憶部に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手端末に送信する確認要求部と、を備え、前記相手端末は、当該相手端末に電子証明書を発行した認証局サーバが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部と、前記確認要求メッセージを受信すると、前記記憶部に記憶された本人確認情報を前記公開鍵で暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記端末に返信する確認応答部と、を備え、前記端末は、前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、当該端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断する同一性判断部をさらに備える。
本発明によれば、安全性を確保しつつ端末間で、所有者の同一性確認が可能となる。
以下に、本発明を実施するための形態(実施形態)における、端末の所有者の同一性を確認する所有者同一性確認システムを説明する。所有者同一性確認システムは、端末および端末に電子証明書(単に証明書とも記す)を発行する認証局サーバを含んで構成される。認証局サーバは、端末に電子証明書を発行した際の所有者確認において参照した本人確認情報を保持している。また、端末も、自身の所有者の本人確認情報を記憶する。
電子証明書には、所有者電子証明書とワンタイム電子証明書との2種類がある。最初に、端末の所有者の本人確認情報を確認したうえで、認証局サーバは、端末に対して所有者電子証明書を発行し、本人確認情報と関連付けて所有者電子証明書を記憶する。
端末は、自身(自端末)の所有者と、他の端末(相手端末)の所有者との同一性を確認するときに、所有者電子証明書を発行した認証局サーバ(自身の認証局サーバ)に、ワンタイム電子証明書の発行を要求する。発行要求は、所有者電子証明書に対応する秘密鍵で署名される。認証局サーバは、端末に対してワンタイム電子証明書を発行し、所有者電子証明書と関連付けて、延いては本人確認情報と関連付けてワンタイム電子証明書を記憶する。
端末は、自身(自端末)の所有者と、他の端末(相手端末)の所有者との同一性を確認するときに、所有者電子証明書を発行した認証局サーバ(自身の認証局サーバ)に、ワンタイム電子証明書の発行を要求する。発行要求は、所有者電子証明書に対応する秘密鍵で署名される。認証局サーバは、端末に対してワンタイム電子証明書を発行し、所有者電子証明書と関連付けて、延いては本人確認情報と関連付けてワンタイム電子証明書を記憶する。
所有者同一性確認システムでは、端末同士が、端末の所有者が同一か否かを判断する。判断には、端末(自端末)が、自身が保持する本人確認情報を準同型暗号で暗号化した暗号化情報を、相手端末に送信する。受信した相手端末は、自身が保持する本人確認情報を準同型暗号で暗号化し、受信した暗号化情報と掛け合わせた返信暗号化情報を、自端末に返信する。自端末は、受信したデータを復号して、所定の値に一致すれば、自身が保持する本人確認情報と、相手端末が保持する本人確認情報は同一と判断し、2つの端末の所有者が同一であると判断する。本人確認情報は、準同型暗号で暗号化されたまま比較されているため、自端末と相手端末との間で、本人確認情報が漏洩することはない。
≪所有者同一性確認システムの全体構成≫
図1は、本実施形態に係る所有者同一性確認システム10の全体構成図である。所有者同一性確認システム10は、複数の認証局サーバ100、および複数の端末200を含んで構成される。認証局サーバ100、および端末200は、ネットワーク900を介して相互に通信可能である。ネットワーク900には、認証局サーバ100に電子証明書を発行したルート認証局300のサーバが接続されてもよい。
図1は、本実施形態に係る所有者同一性確認システム10の全体構成図である。所有者同一性確認システム10は、複数の認証局サーバ100、および複数の端末200を含んで構成される。認証局サーバ100、および端末200は、ネットワーク900を介して相互に通信可能である。ネットワーク900には、認証局サーバ100に電子証明書を発行したルート認証局300のサーバが接続されてもよい。
≪認証局サーバのハードウェア構成≫
図2は、本実施形態に係るコンピュータ100Zのハードウェア構成図である。コンピュータ100Zは、CPU101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、SSD(Solid State Drive)104、NIC(Network Interface Card)105、入出力インタフェース106(図2では入出力I/F(interface)と記載)、およびメディアドライブ107を含んで構成される。
図2は、本実施形態に係るコンピュータ100Zのハードウェア構成図である。コンピュータ100Zは、CPU101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、SSD(Solid State Drive)104、NIC(Network Interface Card)105、入出力インタフェース106(図2では入出力I/F(interface)と記載)、およびメディアドライブ107を含んで構成される。
NIC105は、ネットワーク900に接続される。入出力インタフェース106には、ディスプレイやキーボード、マウスなどのユーザインタフェース装置198(図2ではUI(User Interface)装置と記載)が接続される。メディアドライブ107は、記録媒体199上のプログラムを読み取る。記録媒体199は、DVD(Digital Versatile Disc)などの光学記録媒体、MO(Magneto Optical disk)等の光磁気記録媒体、磁気記録媒体、および半導体メモリなどである。読み取られたプログラム(後記する図3の認証局プログラム121参照)をCPU101が実行することで、コンピュータ100Zは、以下に説明する認証局サーバ100として機能する。
≪認証局サーバの機能構成≫
図3は、本実施形態に係る認証局サーバ100の機能構成図である。認証局サーバ100は、制御部110、記憶部120、および入出力部150を含んで構成される。入出力部150は、NIC105、入出力インタフェース106、およびメディアドライブ107を含んで構成され、端末200(図1参照)や他の認証局サーバ100(図1参照)との通信データの送受信を行う。また、入出力部150は、記録媒体199から認証局プログラム121を読み込む。記憶部120は、認証局プログラム121や電子証明書データベース130(後記する図4参照)、秘密鍵やルート認証局300が発行した自身の電子証明書を含む、認証局サーバ100として機能するために必要なデータを記憶する。
図3は、本実施形態に係る認証局サーバ100の機能構成図である。認証局サーバ100は、制御部110、記憶部120、および入出力部150を含んで構成される。入出力部150は、NIC105、入出力インタフェース106、およびメディアドライブ107を含んで構成され、端末200(図1参照)や他の認証局サーバ100(図1参照)との通信データの送受信を行う。また、入出力部150は、記録媒体199から認証局プログラム121を読み込む。記憶部120は、認証局プログラム121や電子証明書データベース130(後記する図4参照)、秘密鍵やルート認証局300が発行した自身の電子証明書を含む、認証局サーバ100として機能するために必要なデータを記憶する。
≪認証局サーバの電子証明書データベース≫
図4は、本実施形態に係る電子証明書データベース130のデータ構成図である。電子証明書データベース130は、例えば表形式のデータである。電子証明書データベース130の1つの行(レコード)は、認証局サーバ100自身が発行した1つの電子証明書を示し、識別情報131、種別132、鍵所有者133、関連証明書134、本人確認情報135、および電子証明書136を含んで構成される。
図4は、本実施形態に係る電子証明書データベース130のデータ構成図である。電子証明書データベース130は、例えば表形式のデータである。電子証明書データベース130の1つの行(レコード)は、認証局サーバ100自身が発行した1つの電子証明書を示し、識別情報131、種別132、鍵所有者133、関連証明書134、本人確認情報135、および電子証明書136を含んで構成される。
識別情報131は、電子証明書の識別情報(例えば、電子証明書に含まれるシリアル番号)である。種別132は、電子証明書の種別である。種別132には、所有者を確認したうえで端末200に発行された所有者電子証明書を示す「所有者」、所有者同一性確認のために端末に一時的に発行された電子証明書を示す「ワンタイム」などがある。鍵所有者133は、電子証明書の発行先であり、鍵ペア(秘密鍵と公開鍵)の所有者(電子証明書のSubjectフィールド)を示す。関連証明書134は、関連する電子証明書の識別情報131である。関連する電子証明書とは、例えば、ワンタイム電子証明書において、ワンタイム電子証明書の発行先である端末の所有者電子証明書である。
本人確認情報135は、所有者電子証明書を発行した際に確認された本人確認情報である。本人確認情報としては、住民票や運転免許証などに示される情報があり、この本人確認情報135には、本人確認情報のデータ(画像データや電子データ)、住所、氏名、運転免許証番号、ないしは本人確認情報にアクセスするための情報が含まれる。電子証明書136は、認証局サーバ100自身が発行した電子証明書データである。なお、電子証明書には、公開鍵(電子証明書のSubject Public Key Infoフィールド)の他に、鍵所有者133(Subjectフィールド)、発行した認証局の識別情報(Issuerフィールド)、有効期間(Validityフィールド)、シリアル番号(Serial Numberフィールド)などが含まれる。
レコード138は、識別情報131が「38473857」である所有者電子証明書のレコードであって、鍵所有者133は所有者の名前であり、本人確認情報135として所有者の住所が含まれている。レコード139は、識別情報131が「84736401」であるワンタイム電子証明書のレコードであって、レコード138に示される電子証明書と関連している。詳しくは、レコード139の電子証明書は、レコード138の電子証明書の発行先である端末に対して発行されたワンタイム電子証明書である。ワンタイム電子証明書のレコード139は、本人確認情報135に本人確認情報を含まないが、認証局サーバ100は、関連証明書134に示された所有者電子証明書のレコード138の本人確認情報135から本人確認情報を取得できる。
≪認証局サーバの制御部≫
図3に戻り、制御部110の説明を続ける。制御部110は、電子証明書発行部111を含んで構成される。
電子証明書発行部111は、端末200(図1参照)からの要求に応じて、電子証明書を発行する。発行された電子証明書は、電子証明書データベース130に記憶される。
図3に戻り、制御部110の説明を続ける。制御部110は、電子証明書発行部111を含んで構成される。
電子証明書発行部111は、端末200(図1参照)からの要求に応じて、電子証明書を発行する。発行された電子証明書は、電子証明書データベース130に記憶される。
≪端末のハードウェア構成≫
図5は、本実施形態に係るコンピュータ200Zのハードウェア構成図である。コンピュータ200Zは、コンピュータ100Z(図2参照)と同様の構成をしている。メディアドライブ207は、記録媒体299上のプログラムを読み取る。読み取られたプログラム(後記する図6の端末プログラム221参照)をCPU201が実行することで、コンピュータ200Zは、以下に説明する端末200として機能する。
図5は、本実施形態に係るコンピュータ200Zのハードウェア構成図である。コンピュータ200Zは、コンピュータ100Z(図2参照)と同様の構成をしている。メディアドライブ207は、記録媒体299上のプログラムを読み取る。読み取られたプログラム(後記する図6の端末プログラム221参照)をCPU201が実行することで、コンピュータ200Zは、以下に説明する端末200として機能する。
≪端末の機能構成≫
図6は、本実施形態に係る端末200の機能構成図である。端末200は、制御部210、記憶部220、および入出力部250を含んで構成される。記憶部220は、RAM202、ROM203、およびSSD204など(図5参照)から構成され、以下に説明する暗号鍵や電子証明書、本人確認情報222を含む所有者同一性確認の処理に必要なデータを記憶する。電子証明書には、所有者電子証明書やワンタイム電子証明書の他に、端末200の型番(モデル)の情報を含む型番電子証明書がある。
図6は、本実施形態に係る端末200の機能構成図である。端末200は、制御部210、記憶部220、および入出力部250を含んで構成される。記憶部220は、RAM202、ROM203、およびSSD204など(図5参照)から構成され、以下に説明する暗号鍵や電子証明書、本人確認情報222を含む所有者同一性確認の処理に必要なデータを記憶する。電子証明書には、所有者電子証明書やワンタイム電子証明書の他に、端末200の型番(モデル)の情報を含む型番電子証明書がある。
入出力部250は、NIC205、入出力インタフェース206、およびメディアドライブ207(図5参照)を含んで構成され、他の端末200や認証局サーバ100との通信データの送受信を行う。また、入出力部250は、記録媒体299から端末プログラム221を読み込む。さらに、入出力部250は、端末の利用者からの操作を受け付けたり、利用者に向けて情報を表示したりする。
制御部210は、電子証明書要求部211、端末認証部212、確認要求部213、確認応答部214、および同一性判断部215を含んで構成される。
制御部210は、電子証明書要求部211、端末認証部212、確認要求部213、確認応答部214、および同一性判断部215を含んで構成される。
電子証明書要求部211は、認証局サーバ100に対して電子証明書の発行を要求する。
端末認証部212は、所有者の同一性を確認する相手の端末200を認証したり、所有者同一性を確認するために、自身と相手の端末200の所有者について、同一性を確認する本人確認情報を決めたりする。
同一性を確認する本人確認情報とは、住所、氏名、運転免許証番号などの、同一であることを確認する本人確認情報の項目(種別)である。例えば、端末認証部212は、同一性を確認する項目を、自身と、相手の端末200との双方が共通して記憶する本人確認情報222の項目とする。
端末認証部212は、所有者の同一性を確認する相手の端末200を認証したり、所有者同一性を確認するために、自身と相手の端末200の所有者について、同一性を確認する本人確認情報を決めたりする。
同一性を確認する本人確認情報とは、住所、氏名、運転免許証番号などの、同一であることを確認する本人確認情報の項目(種別)である。例えば、端末認証部212は、同一性を確認する項目を、自身と、相手の端末200との双方が共通して記憶する本人確認情報222の項目とする。
確認要求部213は、自身が記憶する所有者の本人確認情報を準同型暗号の公開鍵で暗号化した情報(暗号化情報)を含む確認要求メッセージ(後記する図10のステップS403参照)を相手の端末200に送信する。
確認応答部214は、端末200から、確認要求メッセージを受信して、自身が記憶している所有者の本人確認情報を準同型暗号の公開鍵で暗号化したデータと、受信した暗号化情報とを掛け合わせた返信暗号化情報を生成する。確認応答部214は、返信暗号化情報を含んだ確認応答メッセージ(ステップS407参照)を返信する。
同一性判断部215は、確認応答メッセージを受信し、2つの端末200の所有者が同一か否かを判定する。
確認応答部214は、端末200から、確認要求メッセージを受信して、自身が記憶している所有者の本人確認情報を準同型暗号の公開鍵で暗号化したデータと、受信した暗号化情報とを掛け合わせた返信暗号化情報を生成する。確認応答部214は、返信暗号化情報を含んだ確認応答メッセージ(ステップS407参照)を返信する。
同一性判断部215は、確認応答メッセージを受信し、2つの端末200の所有者が同一か否かを判定する。
≪記号≫
所有者同一性確認処理の説明を始める前に、説明に用いる記号を説明する。
Id (O)は、端末dの所有者電子証明書である。所有者電子証明書は、認証局サーバ100が端末200に対して発行する。発行済みの所有者電子証明書は、電子証明書データベース130に記憶されている。
所有者同一性確認処理の説明を始める前に、説明に用いる記号を説明する。
Id (O)は、端末dの所有者電子証明書である。所有者電子証明書は、認証局サーバ100が端末200に対して発行する。発行済みの所有者電子証明書は、電子証明書データベース130に記憶されている。
Id
(P)は、端末dのワンタイム電子証明書である。ワンタイム電子証明書は、所有者電子証明書を発行した認証局サーバ100が端末200に対して発行する。発行済みのワンタイム電子証明書は、電子証明書データベース130に記憶されている。ワンタイム電子証明書は、同一性確認処理の間だけ有効であればよく、その有効期間は、所有者電子証明書の有効期間よりも短い。
Id (M)は、端末dの型番電子証明書である。型番電子証明書は、認証局サーバ100が端末200に対して発行する。発行済みの型番電子証明書は、電子証明書データベース130に記憶されている。型番電子証明書を発行する認証局サーバ100は、所有者電子証明書を発行する認証局サーバ100と同一であるとは限らない。型番電子証明書のみを発行し、他の種類の電子証明書は発行しない認証局サーバ100が存在してもよい。
Id (M)は、端末dの型番電子証明書である。型番電子証明書は、認証局サーバ100が端末200に対して発行する。発行済みの型番電子証明書は、電子証明書データベース130に記憶されている。型番電子証明書を発行する認証局サーバ100は、所有者電子証明書を発行する認証局サーバ100と同一であるとは限らない。型番電子証明書のみを発行し、他の種類の電子証明書は発行しない認証局サーバ100が存在してもよい。
Id
(C)は、認証局サーバdの電子証明書である。認証局サーバ100の電子証明書は、ルート認証局300(ルート認証局のサーバ、図1参照)が発行する。
V+Wは、データVとデータWを結合したデータである。
V+Wは、データVとデータWを結合したデータである。
MS(M,K)は、データMに秘密鍵Kで署名した、署名付きデータである。
MS(M,K1,K2)は、データMに秘密鍵K1で署名し、さらに、この署名付きデータに秘密鍵K2で署名した二重の署名付きデータである。
Qdは、端末dから認証局サーバ100に送信されるワンタイム電子証明書の発行要求申請書である。Qdは、端末dで生成され、ワンタイム電子証明書に含まれる公開鍵を含む。
MS(M,K1,K2)は、データMに秘密鍵K1で署名し、さらに、この署名付きデータに秘密鍵K2で署名した二重の署名付きデータである。
Qdは、端末dから認証局サーバ100に送信されるワンタイム電子証明書の発行要求申請書である。Qdは、端末dで生成され、ワンタイム電子証明書に含まれる公開鍵を含む。
Sd
(O)は、端末dの所有者電子証明書Id
(O)に対応する秘密鍵である。
Sd (P)は、端末dのワンタイム電子証明書Id (P)に対応する秘密鍵である。
Sd (M)は、端末dの型番電子証明書Id (M)に対応する秘密鍵である。
Sd (C)は、認証局dの電子証明書Id (C)に対応する秘密鍵である。
EPKは、公開鍵PKを用いた準同型暗号の暗号化関数である。
DSKは、秘密鍵SKを用いた準同型暗号の復号関数である。公開鍵PKと秘密鍵SKのペアは、端末200により生成される。
Sd (P)は、端末dのワンタイム電子証明書Id (P)に対応する秘密鍵である。
Sd (M)は、端末dの型番電子証明書Id (M)に対応する秘密鍵である。
Sd (C)は、認証局dの電子証明書Id (C)に対応する秘密鍵である。
EPKは、公開鍵PKを用いた準同型暗号の暗号化関数である。
DSKは、秘密鍵SKを用いた準同型暗号の復号関数である。公開鍵PKと秘密鍵SKのペアは、端末200により生成される。
Cd1は、端末d1によって計算された、本人確認情報に対する準同型暗号の暗号化関数EPKを用いて暗号化した結果(暗号化情報とも記す)である。暗号化情報Cd1の計算方法の詳細は後記する。
Cd2’は、暗号化情報Cd1を受信した端末d2によって計算される。Cd2’は、暗号化情報Cd1と、本人確認情報に対する準同型暗号の暗号化関数EPKを用いて暗号化した結果とを準同型暗号に応じた演算で計算した結果(返信暗号化情報とも記す)である。返信暗号化情報Cd2’の計算方法の詳細は後記する。
Ld1,d2は、端末d1と端末d2との間で所有者同一性確認を行う本人確認情報の項目のリストである。
Cd2’は、暗号化情報Cd1を受信した端末d2によって計算される。Cd2’は、暗号化情報Cd1と、本人確認情報に対する準同型暗号の暗号化関数EPKを用いて暗号化した結果とを準同型暗号に応じた演算で計算した結果(返信暗号化情報とも記す)である。返信暗号化情報Cd2’の計算方法の詳細は後記する。
Ld1,d2は、端末d1と端末d2との間で所有者同一性確認を行う本人確認情報の項目のリストである。
≪準同型暗号≫
準同型暗号EPKとは、平文M1の暗号文EPK(M1)と平文M2の暗号文EPK(M2)から、EPK(M1+M2)が計算できる暗号である。ここで、+は、加法とは限らず、何らかの二項演算である。例えば、RSA暗号では、EPK(M1)×EPK(M2)=EPK(M1×M2)である。つまり、暗号文の積を復号すると、平文の積となる。他の例として、ElGamal暗号がある。
また、Paillier暗号では、EPK(M1)×EPK(M2)=EPK(M1+M2)となる。つまり、暗号文の積を復号すると、平文の和となる。他の例として、楕円曲線暗号がある。
準同型暗号EPKとは、平文M1の暗号文EPK(M1)と平文M2の暗号文EPK(M2)から、EPK(M1+M2)が計算できる暗号である。ここで、+は、加法とは限らず、何らかの二項演算である。例えば、RSA暗号では、EPK(M1)×EPK(M2)=EPK(M1×M2)である。つまり、暗号文の積を復号すると、平文の積となる。他の例として、ElGamal暗号がある。
また、Paillier暗号では、EPK(M1)×EPK(M2)=EPK(M1+M2)となる。つまり、暗号文の積を復号すると、平文の和となる。他の例として、楕円曲線暗号がある。
以下に、Paillier暗号を用いた、暗号化情報Cd1と返信暗号化情報Cd2’の計算方法を説明する。
Paillier暗号の秘密鍵は、同じ長さの素数pと素数qである。
公開鍵は、N=p×qである。
暗号化関数をENと記し、復号関数をDp,qと記す。
平文Mの暗号文は、乱数rを生成して、EN(M)=(1+N)M×rN modN2である。以下では、modN2を省いて説明する。
Paillier暗号の秘密鍵は、同じ長さの素数pと素数qである。
公開鍵は、N=p×qである。
暗号化関数をENと記し、復号関数をDp,qと記す。
平文Mの暗号文は、乱数rを生成して、EN(M)=(1+N)M×rN modN2である。以下では、modN2を省いて説明する。
EN(M1)=(1+N)M1×rN、EN(M2)=(1+N)M2×sNとする。ここで、乱数rと乱数sは、それぞれ平文M1と平文M2を暗号化するときに生成した乱数である。すると、
EN(M1)×EN(M2)
=(1+N)M1×rN×(1+N)M2×sN
=(1+N)M1+M2×(r×s)N
=EN(M1+M2)
であるので、Paillier暗号は準同型暗号である。
EN(M1)×EN(M2)
=(1+N)M1×rN×(1+N)M2×sN
=(1+N)M1+M2×(r×s)N
=EN(M1+M2)
であるので、Paillier暗号は準同型暗号である。
続いて、暗号化情報Cd1と返信暗号化情報Cd2’の計算方法を説明する。以下では、端末200Aが暗号化情報Cd1を生成し、端末200Bが返信暗号化情報Cd2’を生成するとして説明する(後記する図10参照)。
同一性を確認する端末200Aが記憶する本人確認情報をVAとし、相手の端末200Bが記憶する本人確認情報をVBとする。なお、本人確認情報VA,VBとは、本人確認情報の項目リストLd1,d2に含まれる項目に対応する本人確認情報のことである。
同一性を確認する端末200Aが記憶する本人確認情報をVAとし、相手の端末200Bが記憶する本人確認情報をVBとする。なお、本人確認情報VA,VBとは、本人確認情報の項目リストLd1,d2に含まれる項目に対応する本人確認情報のことである。
また、端末200Aが、暗号化情報CAを計算し、暗号化情報CAと、端末200Aの公開鍵Nを受信した端末200Bが返信暗号化情報CB’を計算するとする。端末200Aは、乱数rを生成して、本人確認情報VAの暗号文である暗号化情報CA=EN(VA)=(1+N)VA×rNを計算して、公開鍵Nとともに端末200Bに送信する。
端末200Bは、乱数sと乱数tとを生成して、自身が記憶する本人確認情報VBを暗号化して暗号文EN(VB)を計算する。次に、端末200Bは、暗号化情報CA(=EN(VA))と暗号文EN(VB)から、以下に示すように返信暗号化情報CB’を計算して、端末200Aに送信する。
CB’=(CA)s×EN(VB)-s
=(CA)s×((1+N)VB×tN)-s
CB’=(CA)s×EN(VB)-s
=(CA)s×((1+N)VB×tN)-s
CB’=((1+N)VA×rN)s×(1+N)-sVB×t-sN
=(1+N)sVA×rsN×(1+N)-sVB×t-sN
=(1+N)sVA×(1+N)-sVB×rsN×t-sN
=(1+N)s(VA-VB)×(rs×t-s)N
であるため、端末200Aが返信暗号化情報CB’を復号した結果は、Dp,q(CB’)=s(VA-VB)である。よって、復号結果が0ならば、端末200Aと端末200Bとがもつ本人確認情報VA,VBが同一であることがわかる。
=(1+N)sVA×rsN×(1+N)-sVB×t-sN
=(1+N)sVA×(1+N)-sVB×rsN×t-sN
=(1+N)s(VA-VB)×(rs×t-s)N
であるため、端末200Aが返信暗号化情報CB’を復号した結果は、Dp,q(CB’)=s(VA-VB)である。よって、復号結果が0ならば、端末200Aと端末200Bとがもつ本人確認情報VA,VBが同一であることがわかる。
復号結果が0でなければ、端末200Aは、本人確認情報が不一致であることがわかる。乱数sは端末200Bが生成した乱数であり、Dp,q(CB’)=s(VA-VB)は乱数となるため、端末200Aは、本人確認情報VBについての情報は得られず、本人確認情報VBが漏洩することはない。逆に、端末200Aの本人確認情報VAについて、端末200Bは、暗号化された暗号化情報CAのみを取得しているので情報は得られず、本人確認情報VAが漏洩することはない。つまり、本人確認情報が不一致である場合には、端末200Aおよび端末200Bの双方とも、相手に本人確認情報を漏らすことがない。
以上は、Paillier暗号を用いた本人確認情報の同一性確認の例であるが、暗号文の積が、平文の和の暗号となる準同型暗号でも同様に可能である。EPKをEPK(M1)×EPK(M2)=EPK(M1+M2)である準同型暗号とする。
端末200Aは、本人確認情報VAを暗号化して暗号化情報CA=EPK(VA)を算出し、端末200Bに送信する。
端末200Bは、乱数sを生成して、以下のように返信暗号化情報CB’を計算して、端末200Aに送信する。
CB’=(CA)s×EPK(VB)-s
端末200Aは、本人確認情報VAを暗号化して暗号化情報CA=EPK(VA)を算出し、端末200Bに送信する。
端末200Bは、乱数sを生成して、以下のように返信暗号化情報CB’を計算して、端末200Aに送信する。
CB’=(CA)s×EPK(VB)-s
CB’=EPK(VA)s×EPK(VB)-s
=EPK(sVA)×EPK(-sVB)
=EPK(sVA-sVB)
=EPK(s(VA―VB))
であるため、端末200Aは、返信暗号化情報CB’を復号すると、DSK(CB’)=s(VA―VB)を得て、0であるか否かで本人確認情報VAと本人確認情報VBとの同一性を判定できる。
=EPK(sVA)×EPK(-sVB)
=EPK(sVA-sVB)
=EPK(s(VA―VB))
であるため、端末200Aは、返信暗号化情報CB’を復号すると、DSK(CB’)=s(VA―VB)を得て、0であるか否かで本人確認情報VAと本人確認情報VBとの同一性を判定できる。
暗号文の積が、平文の積の暗号となる準同型暗号でも同様に可能である。EPKをEPK(M1)×EPK(M2)=EPK(M1×M2)となる準同型暗号とする。
端末200Aは、本人確認情報VAを暗号化して暗号化情報CA=EPK(VA)を算出し、端末200Bに送信する。
端末200Bは、乱数sを生成して、以下のように返信暗号化情報CB’を計算して、端末200Aに送信する。
CB’=(CA)s×EPK(VB)-s
端末200Aは、本人確認情報VAを暗号化して暗号化情報CA=EPK(VA)を算出し、端末200Bに送信する。
端末200Bは、乱数sを生成して、以下のように返信暗号化情報CB’を計算して、端末200Aに送信する。
CB’=(CA)s×EPK(VB)-s
CB’=EPK(VA)s×EPK(VB)-s
=EPK(VAs)×EPK(VB-s)
=EPK(VAs×VB-s)
=EPK((VA/VB)s)
であるため、端末200Aは、返信暗号化情報CB’を復号すると、DSK(CB’)=(VA/VB)sを得て、1であるか否かで本人確認情報VAと本人確認情報VBとの同一性を判定できる。
=EPK(VAs)×EPK(VB-s)
=EPK(VAs×VB-s)
=EPK((VA/VB)s)
であるため、端末200Aは、返信暗号化情報CB’を復号すると、DSK(CB’)=(VA/VB)sを得て、1であるか否かで本人確認情報VAと本人確認情報VBとの同一性を判定できる。
以上に説明したように、端末200Aは、自身が記憶する本人確認情報VAを、準同型暗号を用いて暗号化して暗号化情報CA(=EPK(VA))として端末200Bに送信する。端末200Bは、自身が記憶する本人確認情報VBを暗号化した結果(EPK(VB))と、受信した暗号化情報CAとを掛け合わせて、返信暗号化情報CB’を計算して、端末200Aに返信する。端末200Aは、返信暗号化情報CB’を復号した結果が所定値(上記の例では0または1)であれば、端末200Aと端末200Bの双方が記憶する本人確認情報は、同一であると判断する。
以下の説明において、秘密鍵Sで生成した署名を検証するときには、秘密鍵Sに対応した電子証明書から公開鍵を取得し、この公開鍵を用いて署名を検証する。署名の検証に失敗した場合には、所有者電子証明書の発行処理やワンタイム電子証明書の発行処理、所有者同一性確認処理を中止する。
なお、電子証明書には認証局サーバ100の署名が付与されており、認証局サーバ100の公開鍵を用いて電子証明書の署名を検証する。認証局サーバ100の公開鍵は、ルート認証局300(図1参照)が発行した認証局サーバ100の電子証明書をルート認証局300の公開鍵を使って署名を検証した後に取得する。なお、ルート認証局300の公開鍵は記憶部120,220(図3および図6参照)に記憶されている。また、電子証明書には、有効期間が含まれている。検証時点が有効期間に含まれていない場合には、電子証明書の検証は失敗となる。
電子証明書には、発行者(Issuerフィールド)として電子証明書を発行した認証局(認証局サーバ100)の識別情報が含まれており、何れの認証局の電子証明書から公開鍵を取得するかがわかる。
電子証明書には、発行者(Issuerフィールド)として電子証明書を発行した認証局(認証局サーバ100)の識別情報が含まれており、何れの認証局の電子証明書から公開鍵を取得するかがわかる。
≪所有者電子証明書の発行処理≫
図7は、本実施形態に係る所有者電子証明書の発行処理のシーケンス図である。図7を参照して、認証局サーバ100Aが端末200Aに所有者電子証明書を発行する処理を説明する。
図7は、本実施形態に係る所有者電子証明書の発行処理のシーケンス図である。図7を参照して、認証局サーバ100Aが端末200Aに所有者電子証明書を発行する処理を説明する。
ステップS101において端末200Aの電子証明書要求部211は、公開鍵暗号の鍵ペア(秘密鍵と公開鍵)を生成する。
ステップS102において電子証明書要求部211は、ステップS101において生成した公開鍵と本人確認書類の情報とを認証局サーバ100Aに送信して、所有者電子証明書の発行を要求する。この送信メッセージは、ステップS101において生成された秘密鍵で署名されてもよい。
ステップS102において電子証明書要求部211は、ステップS101において生成した公開鍵と本人確認書類の情報とを認証局サーバ100Aに送信して、所有者電子証明書の発行を要求する。この送信メッセージは、ステップS101において生成された秘密鍵で署名されてもよい。
ステップS103において認証局サーバ100Aの電子証明書発行部111は、ステップS102で受信した本人確認書類が真正であることを確認する。次に、電子証明書発行部111は、端末200Aの所有者と本人確認書類に記載の当人とが一致することを確認する。
ステップS104において電子証明書発行部111は、電子証明書データベース130(図4参照)にレコードを追加して、本人確認情報135に本人確認書類の情報、および本人確認書類に記載の本人情報(住所、氏名など、本人確認情報とも記す)を格納する。
ステップS104において電子証明書発行部111は、電子証明書データベース130(図4参照)にレコードを追加して、本人確認情報135に本人確認書類の情報、および本人確認書類に記載の本人情報(住所、氏名など、本人確認情報とも記す)を格納する。
ステップS105において電子証明書発行部111は、ステップS102で受信した公開鍵を含む所有者電子証明書IA
(O)を発行する。所有者電子証明書の鍵所有者(Subjectフィールド)は、ステップS103において確認された、氏名や住所などの所有者の本人確認情報全体またはその一部とする。電子証明書発行部111は、ステップS104で追加したレコードの識別情報131に発行した所有者電子証明書のシリアル番号を格納する。さらに、電子証明書発行部111は、種別132に「所有者」を、鍵所有者133に鍵所有者を、関連証明書134に「-」を、電子証明書136に発行した所有者電子証明書のデータを格納する。
ステップS106において電子証明書発行部111は、ステップS102の要求に対する応答として、発行した所有者電子証明書IA
(O)を端末200Aに返信する。
ステップS107において端末200Aの電子証明書要求部211は、受信した所有者電子証明書IA (O)の認証局サーバ100Aの署名を検証する。
ステップS108において端末200Aの電子証明書要求部211は、受信した所有者電子証明書IA (O)を記憶部220に記憶する。また、電子証明書要求部211は、所有者電子証明書IA (O)の鍵所有者(Subjectフィールド)の値として含まれる本人確認情報を本人確認情報222(図6参照)に格納する。
ステップS107において端末200Aの電子証明書要求部211は、受信した所有者電子証明書IA (O)の認証局サーバ100Aの署名を検証する。
ステップS108において端末200Aの電子証明書要求部211は、受信した所有者電子証明書IA (O)を記憶部220に記憶する。また、電子証明書要求部211は、所有者電子証明書IA (O)の鍵所有者(Subjectフィールド)の値として含まれる本人確認情報を本人確認情報222(図6参照)に格納する。
以上、認証局サーバ100Aが端末200Aに所有者電子証明書を発行する処理を説明した。同様にして、認証局サーバ100Bが端末200Bに所有者電子証明書を発行する。この認証局サーバ100Bが端末200Bに所有者電子証明書を発行する処理は、図7と同様であるため、記載を省略する。この状態において、端末200A,200Bは、所有者電子証明書やこれに対応する秘密鍵を記憶する。また、認証局サーバ100A,100Bは、所有者電子証明書に関連付けて本人確認情報を記憶している。端末200A,200Bは、本人確認情報222(図6参照)を記憶している。
≪ワンタイム電子証明書の発行処理≫
図8は、本実施形態に係るワンタイム電子証明書の発行処理のシーケンス図である。図8を参照して、認証局サーバ100Aが端末200Aにワンタイム電子証明書を発行する処理を説明する。
ステップS201において端末200Aの電子証明書要求部211は、公開鍵暗号の鍵ペア(秘密鍵と公開鍵)を生成する。
図8は、本実施形態に係るワンタイム電子証明書の発行処理のシーケンス図である。図8を参照して、認証局サーバ100Aが端末200Aにワンタイム電子証明書を発行する処理を説明する。
ステップS201において端末200Aの電子証明書要求部211は、公開鍵暗号の鍵ペア(秘密鍵と公開鍵)を生成する。
ステップS202において電子証明書要求部211は、ステップS201において生成した公開鍵を含むワンタイム電子証明書の発行要求を認証局サーバ100Aに送信する。詳しくは、電子証明書要求部211は、公開鍵を含みワンタイム電子証明書の発行要求申請書QAをステップS201で生成した秘密鍵で署名したMS(QA,SA
(P))を生成する。次に、電子証明書要求部211は、署名したデータに、自身の所有者電子証明書IA
(O)と型番電子証明書IA
(M)を結合して、自身の所有者電子証明書の秘密鍵SA
(O)と型番電子証明書の秘密鍵SA
(M)とで署名して、MS(MS(QA,SA
(P))+IA
(O)+IA
(M),SA
(O),SA
(M))を生成する。電子証明書要求部211は、ワンタイム電子証明書の発行要求としてMS(MS(QA,SA
(P))+IA
(O)+IA
(M),SA
(O),SA
(M))を認証局サーバ100Aに送信する。
ステップS203において認証局サーバ100Aの電子証明書発行部111は、ステップS202で受信したワンタイム電子証明書の発行要求の秘密鍵SA
(M),SA
(O),SA
(P)による署名を検証する。
ステップS204において電子証明書発行部111は、ステップS202で受信したQAに含まれる公開鍵を含むワンタイム電子証明書IA (P)を発行する。ワンタイム電子証明書の鍵所有者はランダムな文字列である。
ステップS204において電子証明書発行部111は、ステップS202で受信したQAに含まれる公開鍵を含むワンタイム電子証明書IA (P)を発行する。ワンタイム電子証明書の鍵所有者はランダムな文字列である。
ステップS205において電子証明書発行部111は、ワンタイム電子証明書IA
(P)を所有者電子証明書IA
(O)と関連付けて格納する。詳しくは、電子証明書発行部111は、電子証明書データベース130(図4参照)にレコードを追加して、識別情報131に発行したワンタイム電子証明書のシリアル番号を格納する。さらに、電子証明書発行部111は、種別132に「ワンタイム」を、鍵所有者133に鍵所有者を、本人確認情報135に「-」を、電子証明書136に発行したワンタイム電子証明書のデータを格納する。電子証明書発行部111は、関連証明書134にステップS202で受信した所有者電子証明書IA
(O)のシリアル番号を格納する。ワンタイム電子証明書の関連証明書134に対応する電子証明書の本人確認情報135を参照することで、認証局サーバ100は、ワンタイム電子証明書が発行された端末200の所有者についての本人確認情報にアクセスできる。
ステップS206において電子証明書発行部111は、発行したワンタイム電子証明書IA
(P)を端末200Aに返信する。詳しくは、電子証明書発行部111は、ワンタイム電子証明書IA
(P)に認証局サーバ100Aの電子証明書IA
(C)を結合して、電子証明書IA
(C)に対応する秘密鍵SA
(C)で署名したMS(IA
(P)+IA
(C),SA
(C))を、ステップS202の要求に対する応答として返信する。
ステップS207において端末200Aの電子証明書要求部211は、受信したMS(IA
(P)+IA
(C),SA
(C))の秘密鍵SA
(C)よる署名、およびワンタイム電子証明書IA
(P)の署名を検証する。
ステップS208において端末200Aの電子証明書要求部211は、ワンタイム電子証明書IA (P)を記憶部220に記憶する。
ステップS208において端末200Aの電子証明書要求部211は、ワンタイム電子証明書IA (P)を記憶部220に記憶する。
以上、認証局サーバ100Aが端末200Aにワンタイム電子証明書を発行する処理を説明した。同様にして、認証局サーバ100Bが端末200Bにワンタイム電子証明書を発行する。この認証局サーバ100Bが端末200Bにワンタイム電子証明書を発行する処理は、図8と同様であるため、記載を省略する。この状態において、端末200A,200Bは、ワンタイム電子証明書やこれに対応する秘密鍵を記憶する。また、認証局サーバ100A,100Bは、所有者電子証明書に関連付けて、延いては本人確認情報に関連付けてワンタイム電子証明書を記憶している。
≪所有者同一性確認処理≫
端末200Aと、所有者の同一性を確認する相手の端末200Bとが、ワンタイム電子証明書を得た後に、端末200Aは、端末200Bに所有者の同一性確認を要求する。要求する前に、端末200A,200Bは、相互認証した後に、同一性を確認する本人確認情報の項目を決定する。例えば、端末200A,200Bは、双方の端末200A,200Bに記憶済みの本人確認情報222(図6参照)のなかで共通している項目を、同一性を確認する本人確認情報の項目とする。
後記する図9を参照して、端末200A,200Bが同一性を確認する本人確認情報の項目を決めるまでの処理を説明する。続いて、後記する図10を参照して、端末200Aが、端末200Bに所有者の同一性確認を要求する処理を説明する。
端末200Aと、所有者の同一性を確認する相手の端末200Bとが、ワンタイム電子証明書を得た後に、端末200Aは、端末200Bに所有者の同一性確認を要求する。要求する前に、端末200A,200Bは、相互認証した後に、同一性を確認する本人確認情報の項目を決定する。例えば、端末200A,200Bは、双方の端末200A,200Bに記憶済みの本人確認情報222(図6参照)のなかで共通している項目を、同一性を確認する本人確認情報の項目とする。
後記する図9を参照して、端末200A,200Bが同一性を確認する本人確認情報の項目を決めるまでの処理を説明する。続いて、後記する図10を参照して、端末200Aが、端末200Bに所有者の同一性確認を要求する処理を説明する。
図9は、本実施形態に係る所有者同一性確認処理のシーケンス図(1)である。
ステップS301において端末200Aの端末認証部212は、ワンタイム電子証明書IA (P)を相手の端末200Bに送信する。端末200Bは、受信したワンタイム電子証明書IA (P)の署名を検証する。
ステップS302において端末200Bの端末認証部212は、ワンタイム電子証明書IB (P)を相手の端末200Aに送信する。端末200Aは、受信したワンタイム電子証明書IB (P)の署名を検証する。
ステップS301において端末200Aの端末認証部212は、ワンタイム電子証明書IA (P)を相手の端末200Bに送信する。端末200Bは、受信したワンタイム電子証明書IA (P)の署名を検証する。
ステップS302において端末200Bの端末認証部212は、ワンタイム電子証明書IB (P)を相手の端末200Aに送信する。端末200Aは、受信したワンタイム電子証明書IB (P)の署名を検証する。
ステップS303において端末200A,200Bの端末認証部212は、ワンタイム電子証明書に対応する秘密鍵SA
(P),SB
(P)を用いて、相互に認証する。例えば、端末200Aは、乱数を生成して端末200Bに送信して、この乱数に対するワンタイム電子証明書IB
(P)に対応する秘密鍵による署名を要求する。端末200Aは、端末200Bが生成した署名を検証することにより、端末200Bがワンタイム電子証明書IB
(P)に対応する秘密鍵を所有していることが認証できる。同様にして、端末200Bは、端末200Aがワンタイム電子証明書IA
(P)に対応する秘密鍵を所有していることが認証できる。
ステップS304において端末認証部212は、同一性を確認する本人確認情報の項目リストLA,Bを決定する。詳しくは、端末認証部212は、双方の端末200A,200Bが記憶する本人確認情報のなかで、共通している項目を本人確認情報の項目リストLA,Bとする。
図10は、本実施形態に係る所有者同一性確認処理のシーケンス図(2)である。
ステップS401において端末200Aの確認要求部213は、準同型暗号の鍵ペアを生成する。
ステップS402において確認要求部213は、準同型暗号を用いて暗号化情報CAを算出する。詳しくは、確認要求部213は、ステップS304(図9参照)で決定した同一性を確認する本人確認情報の項目リストLA,Bに対応する所有者の本人確認情報を、本人確認情報222(図6参照)から取得し暗号化して、暗号化情報CAを算出する。
ステップS401において端末200Aの確認要求部213は、準同型暗号の鍵ペアを生成する。
ステップS402において確認要求部213は、準同型暗号を用いて暗号化情報CAを算出する。詳しくは、確認要求部213は、ステップS304(図9参照)で決定した同一性を確認する本人確認情報の項目リストLA,Bに対応する所有者の本人確認情報を、本人確認情報222(図6参照)から取得し暗号化して、暗号化情報CAを算出する。
ステップS403において確認要求部213は、確認要求メッセージを端末200Bに送信する。詳しくは、確認要求部213は、自身が記憶する本人確認情報の項目リストLA,Bと、自身のワンタイム電子証明書IA
(P)と、準同型暗号の公開鍵PKAと、暗号化情報CAと、型番電子証明書IA
(M)とを結合し、秘密鍵SA
(P),SA
(M)で署名したMS(LA,B+IA
(P)+PKA+CA+IA
(M),SA
(P),SA
(M))を端末200Bに返信する。
ステップS404において端末200Bの確認応答部214は、確認要求メッセージの秘密鍵SA
(M),SA
(P)による署名を検証する。
ステップS405において確認応答部214は、ステップS403で受信した項目リストLA,Bと、ステップS304(図9参照)で決定して、自身が記憶している項目リストLA,Bとが一致することを確認する。不一致であれば、確認応答部214は、所有者同一性確認処理を中止する。
ステップS405において確認応答部214は、ステップS403で受信した項目リストLA,Bと、ステップS304(図9参照)で決定して、自身が記憶している項目リストLA,Bとが一致することを確認する。不一致であれば、確認応答部214は、所有者同一性確認処理を中止する。
ステップS406において確認応答部214は、受信した暗号化情報CAおよび自身が保有する本人確認情報から返信暗号化情報CB’を生成する。詳しくは、確認応答部214は、本人確認情報の項目リストLA,Bに対応する所有者の本人確認情報を、本人確認情報222(図6参照)から取得する。次に、確認応答部214は、暗号化情報CAと、公開鍵PKAと、取得した本人確認情報とから返信暗号化情報CB’を生成する。
ステップS407において確認応答部214は、確認応答メッセージを端末200Aに送信する。詳しくは、確認応答部214は、自身のワンタイム電子証明書IB
(P)と、返信暗号化情報CB’と、型番電子証明書IB
(M)とを結合し、秘密鍵SB
(P),SB
(M)で署名したMS(IB
(P)+CB’+IB
(M),SB
(P),SB
(M))を、確認応答メッセージとして端末200Aに返信する。
ステップS408において端末200Aの同一性判断部215は、確認応答メッセージの秘密鍵SB
(M),SB
(P)による署名を検証する。
ステップS409において同一性判断部215は、返信暗号化情報CB’を準同型暗号の秘密鍵で復号する。
ステップS409において同一性判断部215は、返信暗号化情報CB’を準同型暗号の秘密鍵で復号する。
ステップS410において同一性判断部215は、復号結果が0ならば(ステップS410→YES)ステップS411に進み、復号結果が0でなければ(ステップS410→NO)ステップS412に進む。
ステップS411において同一性判断部215は、所有者が同一であると判断する。
ステップS412において同一性判断部215は、所有者が異なると判断する。
ステップS411において同一性判断部215は、所有者が同一であると判断する。
ステップS412において同一性判断部215は、所有者が異なると判断する。
以上で、端末200Aが端末200Bに、自身の所有者と相手の端末200Bの所有者が一致することを確認する所有者同一性確認処理を終える。次に、端末200A,200Bが入れ替わり、端末200Bが、自身の所有者と相手の端末200Aの所有者が一致することを確認する。詳しくは、ステップS401以降のステップと同様にして、端末200Bは端末200Aに、自身の所有者と相手の端末200Aの所有者が一致することを確認する。この確認する処理は、図10と同様であるため、記載を省略する。
端末200A,200Bの双方が、所有者が同一であることを確認して、所有者同一性確認処理が終了する。所有者同一性確認処理の終了後、端末200A,200Bは、例えばサービス利用時の認証に用いる秘密鍵や、コンテンツの著作権管理に必要なデータなどの共有(コピー)処理を行う。
端末200A,200Bの双方が、所有者が同一であることを確認して、所有者同一性確認処理が終了する。所有者同一性確認処理の終了後、端末200A,200Bは、例えばサービス利用時の認証に用いる秘密鍵や、コンテンツの著作権管理に必要なデータなどの共有(コピー)処理を行う。
≪所有者同一性確認処理の特徴≫
所有者の同一性を確認する相手の端末に送信する自身の端末情報としては、ワンタイム電子証明書および型番電子証明書がある。何れの電子証明書にも、所有者に係る情報は含まれていない。このため、所有者の本人確認情報を含む個人情報が、相手の端末に漏洩する虞がない。
所有者証明書を発行した認証局サーバが異なる場合であっても、共通して記憶している本人確認情報の項目を比較することで、2つの端末の所有者が同一であるか否かを確認できる。また、本人確認情報(図4の本人確認情報135、および図6の本人確認情報222参照)は、本人確認書類から取得された真正な情報であり(図7のステップS103~S104,S108参照)、所有者同一性確認システム10は、信頼度の高い本人確認情報に基づいて、所有者の同一性を確認している。
所有者の同一性を確認する相手の端末に送信する自身の端末情報としては、ワンタイム電子証明書および型番電子証明書がある。何れの電子証明書にも、所有者に係る情報は含まれていない。このため、所有者の本人確認情報を含む個人情報が、相手の端末に漏洩する虞がない。
所有者証明書を発行した認証局サーバが異なる場合であっても、共通して記憶している本人確認情報の項目を比較することで、2つの端末の所有者が同一であるか否かを確認できる。また、本人確認情報(図4の本人確認情報135、および図6の本人確認情報222参照)は、本人確認書類から取得された真正な情報であり(図7のステップS103~S104,S108参照)、所有者同一性確認システム10は、信頼度の高い本人確認情報に基づいて、所有者の同一性を確認している。
端末間では、準同型暗号を用いて、暗号化された状態のまま、それぞれが記憶する本人確認情報の項目を比較している。このため、本人確認情報が相手に流出することなく、本人確認情報が一致するか否かを確認することができる。
≪変形例:本人確認情報の項目リスト≫
本人確認情報の項目リストLA,Bは、端末200A,200Bの双方が記憶している本人確認情報222の項目である(図6の端末認証部212の説明、および図9のステップS304参照)。端末200は、項目リストLA,Bを、同一性確認後の共有するデータの重要度に応じて決めてもよい。例えば、金融サービスにアクセスするための秘密鍵を共有する場合には、端末200は、項目リストLA,Bを住所および氏名とする。また、同居する家族間で家族割引付きのサービスにアクセスするための秘密鍵の共有する場合には、端末200は、項目リストLA,Bを住所だけとする。
なお、同一性を確認する本人確認情報(本人確認情報の項目)が予め決まっている場合は、端末200は、項目リストLA,Bを省いて所有者同一性確認の処理を実行してもよい。
本人確認情報の項目リストLA,Bは、端末200A,200Bの双方が記憶している本人確認情報222の項目である(図6の端末認証部212の説明、および図9のステップS304参照)。端末200は、項目リストLA,Bを、同一性確認後の共有するデータの重要度に応じて決めてもよい。例えば、金融サービスにアクセスするための秘密鍵を共有する場合には、端末200は、項目リストLA,Bを住所および氏名とする。また、同居する家族間で家族割引付きのサービスにアクセスするための秘密鍵の共有する場合には、端末200は、項目リストLA,Bを住所だけとする。
なお、同一性を確認する本人確認情報(本人確認情報の項目)が予め決まっている場合は、端末200は、項目リストLA,Bを省いて所有者同一性確認の処理を実行してもよい。
≪変形例:型番電子証明書≫
確認要求メッセージ(図10のステップS403)や確認応答メッセージ(ステップS407)には、型番電子証明書が含まれており、型番電子証明書に対応する秘密鍵の署名を検証することで、端末200は、相手の端末200の型番を取得することができる。型番電子証明書や対応する署名の付与をなくしてもよい。メッセージは、ワンタイム電子証明書に対応する秘密鍵による署名が付与されており、安全性は確保されている。
確認要求メッセージ(図10のステップS403)や確認応答メッセージ(ステップS407)には、型番電子証明書が含まれており、型番電子証明書に対応する秘密鍵の署名を検証することで、端末200は、相手の端末200の型番を取得することができる。型番電子証明書や対応する署名の付与をなくしてもよい。メッセージは、ワンタイム電子証明書に対応する秘密鍵による署名が付与されており、安全性は確保されている。
≪その他の変形例≫
なお、本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。
例えば、端末200は、所有者同一性確認処理のたびに準同型暗号の鍵ペアを生成している(図10のステップS402参照)が、以前に生成した鍵ペアを再利用するようにしてもよい。
なお、本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。
例えば、端末200は、所有者同一性確認処理のたびに準同型暗号の鍵ペアを生成している(図10のステップS402参照)が、以前に生成した鍵ペアを再利用するようにしてもよい。
また、ワンタイム電子証明書の鍵所有者は、ランダムな文字列としているが、所有者の本人確認情報に無関係な情報であればよく、例えば、端末のアドレスや電子証明書の発行要求のあった時刻などから生成した情報であってもよい。
また、ステップS103(図7参照)では、認証局サーバ100が、本人確認書類を確認しているが、オフラインで人手により確認するようにしてもよい。
また、ステップS103(図7参照)では、認証局サーバ100が、本人確認書類を確認しているが、オフラインで人手により確認するようにしてもよい。
以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
≪効果≫
以下に、所有者同一性確認システム10の効果を説明する。
本実施形態に係る所有者同一性確認システム10は、複数の端末200と、複数の認証局サーバ100とを含んで構成される所有者同一性確認システム10であって、認証局サーバ100は、端末200に発行した電子証明書と、当該端末の所有者の本人確認情報とを関連付けて記憶する記憶部120を備え、端末200Aは、当該端末に電子証明書を発行した認証局サーバ100Aが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部220と、記憶部220に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手の端末200Bに送信する確認要求部213と、を備え、相手の端末200Bは、相手の端末200Bに電子証明書を発行した認証局サーバ100Bが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部220と、確認要求メッセージを受信すると、記憶部220に記憶された本人確認情報を公開鍵で暗号化した暗号文と、暗号化情報とを、準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、端末200Aに返信する確認応答部214と、を備え、端末200Aは、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末200Aの所有者の本人確認情報と、相手の端末200Bの所有者の本人確認情報とが一致するか否かを判断する同一性判断部215をさらに備える。
以下に、所有者同一性確認システム10の効果を説明する。
本実施形態に係る所有者同一性確認システム10は、複数の端末200と、複数の認証局サーバ100とを含んで構成される所有者同一性確認システム10であって、認証局サーバ100は、端末200に発行した電子証明書と、当該端末の所有者の本人確認情報とを関連付けて記憶する記憶部120を備え、端末200Aは、当該端末に電子証明書を発行した認証局サーバ100Aが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部220と、記憶部220に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手の端末200Bに送信する確認要求部213と、を備え、相手の端末200Bは、相手の端末200Bに電子証明書を発行した認証局サーバ100Bが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部220と、確認要求メッセージを受信すると、記憶部220に記憶された本人確認情報を公開鍵で暗号化した暗号文と、暗号化情報とを、準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、端末200Aに返信する確認応答部214と、を備え、端末200Aは、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末200Aの所有者の本人確認情報と、相手の端末200Bの所有者の本人確認情報とが一致するか否かを判断する同一性判断部215をさらに備える。
このような所有者同一性確認システム10によれば、電子証明書を発行した認証局サーバ100が異なる複数の端末200について所有者が同一であるか否かを判定できる。また、本人確認情報は、暗号化されてやりとりされており(暗号化情報と返信暗号化情報)、本人確認情報そのものが相手の端末200に流出することなく、本人確認情報が一致するか否かを確認することができる。
よって、所有者同一性確認システム10によれば、安全性を確保しつつ端末間で所有者の同一性確認を可能とすることができる。
よって、所有者同一性確認システム10によれば、安全性を確保しつつ端末間で所有者の同一性確認を可能とすることができる。
本実施形態に係る端末200は、複数の端末200と、複数の認証局サーバ100とを含んで構成される所有者同一性確認システム10の端末200であって、端末200の所有者の本人確認情報であって、端末200に電子証明書を発行した認証局サーバ100が電子証明書と関連付けて記憶する本人確認情報を記憶する記憶部220と、記憶部220に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手の端末200に送信する確認要求部213と、確認要求メッセージを受信すると、記憶部220に記憶された本人確認情報を公開鍵で暗号化した暗号文と、暗号化情報とを、準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、確認要求メッセージの送信元に返信する確認応答部214と、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末200の所有者の本人確認情報と、相手の端末200の所有者の本人確認情報とが一致するか否かを判断する同一性判断部215と、を備える。
このような端末200によれば、電子証明書を発行した認証局サーバ100が異なる複数の端末200について所有者が同一であるか否かを判定できる。また、本人確認情報は、暗号化されてやりとりされており(暗号化情報と返信暗号化情報)、本人確認情報そのものが相手の端末200に流出することなく、本人確認情報が一致するか否かを確認することができる。
よって、端末200によれば、安全性を確保しつつ端末間で所有者の同一性確認を可能とすることができる。
よって、端末200によれば、安全性を確保しつつ端末間で所有者の同一性確認を可能とすることができる。
本実施形態に係る端末200において、本人確認情報は、1つ以上の項目から構成され、確認要求部213は、1つ以上の項目のなかから選択された同一性を確認する項目についての本人確認情報を公開鍵で暗号化して暗号化情報を計算し、当該項目を前記確認要求メッセージに含めて送信し、確認応答部214は、記憶部220に記憶された当該項目についての本人確認情報を公開鍵で暗号化した暗号文を生成したうえで、返信暗号化情報を計算して返信し、同一性判断部215は、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末200の所有者の当該項目についての本人確認情報と、相手の端末200の所有者の当該項目についての本人確認情報とが一致するか否かを判断する。
このような端末200によれば、本人確認情報全体ではなく部分(項目)で、所有者の同一性を確認できる。このため、記憶している本人確認情報222が異なる端末200であっても、一部の本人確認情報が一致することで所有者の同一性を確認できる。
本実施形態に係る端末200において、準同型暗号であるEは、平文M1,M2に対して、E(M1)×E(M2)=E(M1+M2)を満たす準同型暗号であって、確認要求部213は、端末200Aの所有者の本人確認情報V1に対してE(V1)を暗号化情報として送信し、確認応答部214は、相手の端末200Bの所有者の本人確認情報V2に対して乱数rを生成して、E(V1)r×E(V2)-rを返信暗号化情報として返信し、同一性判断部215は、返信暗号化情報の復号結果が、所定値である0であるか否かで、V1とV2とが一致するか否かを判断する。
このような端末200によれば、端末200は、平文M1,M2に対して、E(M1)×E(M2)=E(M1+M2)を満たす準同型暗号Eを用いて、本人確認情報が一致するか否かを確認できる。
また、本人確認情報V1,V2が異なるときには、(V1-V2)≠0となるため、端末200Aにとっては、返信暗号化情報を復号結果のr(V1-V2)は乱数となる。このため、端末200Aは、本人確認情報V1を知っていても、本人確認情報V2の情報は得られず、相手の端末200Bの本人確認情報V2が漏洩することがない。これは、端末200A,200Bを入れ替えても同様である。
また、本人確認情報V1,V2が異なるときには、(V1-V2)≠0となるため、端末200Aにとっては、返信暗号化情報を復号結果のr(V1-V2)は乱数となる。このため、端末200Aは、本人確認情報V1を知っていても、本人確認情報V2の情報は得られず、相手の端末200Bの本人確認情報V2が漏洩することがない。これは、端末200A,200Bを入れ替えても同様である。
本実施形態に係る端末200において、準同型暗号であるEは、平文M1,M2に対して、E(M1)×E(M2)=E(M1×M2)を満たす準同型暗号であって、確認要求部213は、端末200Aの所有者の本人確認情報V1に対してE(V1)を暗号化情報として送信し、確認応答部214は、相手の端末200Bの所有者の本人確認情報V2に対して乱数rを生成して、E(V1)r×E(V2)-rを返信暗号化情報として返信し、同一性判断部215は、返信暗号化情報の復号結果が、所定値である1であるか否かで、V1とV2とが一致するか否かを判断する。
このような端末200によれば、端末200は、平文M1,M2に対して、E(M1)×E(M2)=E(M1×M2)を満たす準同型暗号Eを用いて、本人確認情報が一致するか否かを確認できる。
また、本人確認情報V1,V2が異なるときには、(V1/V2)≠1となるため、端末200Aにとっては、返信暗号化情報を復号結果の(V1/V2)rは乱数となる。このため、端末200Aは、本人確認情報V1を知っていても、本人確認情報V2の情報は得られず、相手の端末200Bの本人確認情報V2が漏洩することがない。これは、端末200A,200Bを入れ替えても同様である。
また、本人確認情報V1,V2が異なるときには、(V1/V2)≠1となるため、端末200Aにとっては、返信暗号化情報を復号結果の(V1/V2)rは乱数となる。このため、端末200Aは、本人確認情報V1を知っていても、本人確認情報V2の情報は得られず、相手の端末200Bの本人確認情報V2が漏洩することがない。これは、端末200A,200Bを入れ替えても同様である。
本実施形態に係る端末200において、端末200に発行された電子証明書に含まれる鍵所有者の値は、端末200の所有者の本人確認情報と無関係である端末200の識別情報である。
このような端末200によれば、所有者の本人確認情報を含まないワンタイム証明書を用いて、2つの端末200の所有者が同一であるか否かを判定できる。このため、端末200は、相手の端末200に自身の所有者の本人確認情報を漏らすことなく、所有者の同一性を確認できるようになる。
本実施形態に係る端末200において、端末200が送信した確認要求メッセージ、および確認応答メッセージの少なくとも何れか一方は、電子証明書に対応する秘密鍵、および端末200の型番を示す型番電子証明書に対応する秘密鍵の少なくとも何れか一方の秘密鍵を用いて署名されている。
このような端末200によれば、端末200は、相手の端末200の型番(モデル)を取得することができる。このため、端末200は、所有者同一性確認処理以降の処理において、相手の端末200の型番に応じた処理を行うことができる。
10 所有者同一性確認システム
100,100A,100B 認証局サーバ
111 電子証明書発行部
130 電子証明書データベース
200,200A,200B 端末
211 電子証明書要求部
212 端末認証部
213 確認要求部
214 確認応答部
215 同一性判断部
222 本人確認情報
100,100A,100B 認証局サーバ
111 電子証明書発行部
130 電子証明書データベース
200,200A,200B 端末
211 電子証明書要求部
212 端末認証部
213 確認要求部
214 確認応答部
215 同一性判断部
222 本人確認情報
Claims (8)
- 複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムであって、
前記認証局サーバは、
前記端末に発行した電子証明書と、当該端末の所有者の本人確認情報とを関連付けて記憶する記憶部を備え、
前記端末は、
当該端末に電子証明書を発行した認証局サーバが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部と、
前記記憶部に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手端末に送信する確認要求部と、を備え、
前記相手端末は、
当該相手端末に電子証明書を発行した認証局サーバが、当該電子証明書に関連付けて記憶する本人確認情報を記憶する記憶部と、
前記確認要求メッセージを受信すると、前記記憶部に記憶された本人確認情報を前記公開鍵で暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記端末に返信する確認応答部と、を備え、
前記端末は、
前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、当該端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断する同一性判断部をさらに備える
ことを特徴とする所有者同一性確認システム。 - 複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムの前記端末であって、
当該端末の所有者の本人確認情報であって、当該端末に電子証明書を発行した認証局サーバが当該電子証明書と関連付けて記憶する本人確認情報を記憶する記憶部と、
前記記憶部に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手端末に送信する確認要求部と、
前記確認要求メッセージを受信すると、前記記憶部に記憶された本人確認情報を前記公開鍵で暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記確認要求メッセージの送信元に返信する確認応答部と、
前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、前記端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断する同一性判断部と、を備える
ことを特徴とする端末。 - 前記本人確認情報は、1つ以上の項目から構成され、
前記確認要求部は、前記1つ以上の項目のなかから選択された同一性を確認する項目についての本人確認情報を前記公開鍵で暗号化して前記暗号化情報を計算し、当該項目を前記確認要求メッセージに含めて送信し、
前記確認応答部は、前記記憶部に記憶された当該項目についての本人確認情報を前記公開鍵で暗号化した前記暗号文を生成したうえで、前記返信暗号化情報を計算して返信し、
前記同一性判断部は、前記返信暗号化情報を復号し、その結果が前記所定値と一致するか否かで、前記端末の所有者の当該項目についての本人確認情報と、前記相手端末の所有者の当該項目についての本人確認情報とが一致するか否かを判断する
ことを特徴とする請求項2に記載の端末。 - 前記準同型暗号であるEは、平文M1,M2に対して、E(M1)×E(M2)=E(M1+M2)を満たす準同型暗号であって、
前記確認要求部は、前記端末の所有者の本人確認情報V1に対してE(V1)を前記暗号化情報として送信し、
前記確認応答部は、前記相手端末の所有者の本人確認情報V2に対して乱数rを生成して、E(V1)r×E(V2)-rを前記返信暗号化情報として返信し、
前記同一性判断部は、当該返信暗号化情報の復号結果が、前記所定値である0であるか否かで、V1とV2とが一致するか否かを判断する
ことを特徴とする請求項2に記載の端末。 - 前記準同型暗号であるEは、平文M1,M2に対して、E(M1)×E(M2)=E(M1×M2)を満たす準同型暗号であって、
前記確認要求部は、前記端末の所有者の本人確認情報V1に対してE(V1)を前記暗号化情報として送信し、
前記確認応答部は、前記相手端末の所有者の本人確認情報V2に対して乱数rを生成して、E(V1)r×E(V2)-rを前記返信暗号化情報として返信し、
前記同一性判断部は、当該返信暗号化情報の復号結果が、前記所定値である1であるか否かで、V1とV2とが一致するか否かを判断する
ことを特徴とする請求項2に記載の端末。 - 前記端末に発行された電子証明書に含まれる鍵所有者の値は、当該端末の所有者の本人確認情報と無関係である当該端末の識別情報である
ことを特徴とする請求項2に記載の端末。 - 前記端末が送信した確認要求メッセージ、および確認応答メッセージの少なくとも何れか一方は、前記電子証明書に対応する秘密鍵、および当該端末の型番を示す型番電子証明書に対応する秘密鍵の少なくとも何れか一方の秘密鍵を用いて署名されている
ことを特徴とする請求項2に記載の端末。 - 複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムの前記端末が実行する所有者同一性確認方法であって、
前記端末は、
当該端末の所有者の本人確認情報を記憶する記憶部を備え、
前記記憶部に記憶された本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、当該公開鍵とを含む確認要求メッセージを、所有者同一性確認の対象となる相手端末に送信するステップと、
前記確認要求メッセージを受信すると、前記記憶部に記憶された本人確認情報を前記公開鍵で暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記確認要求メッセージの送信元に返信するステップと、
前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、前記端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断するステップと、を含む
ことを特徴とする所有者同一性確認方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/030341 WO2021019783A1 (ja) | 2019-08-01 | 2019-08-01 | 所有者同一性確認システム、端末および所有者同一性確認方法 |
JP2021536589A JP7211519B2 (ja) | 2019-08-01 | 2019-08-01 | 所有者同一性確認システム、端末および所有者同一性確認方法 |
US17/628,427 US12120248B2 (en) | 2019-08-01 | 2019-08-01 | Owner identity confirmation system, terminal and owner identity confirmation method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/030341 WO2021019783A1 (ja) | 2019-08-01 | 2019-08-01 | 所有者同一性確認システム、端末および所有者同一性確認方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2021019783A1 true WO2021019783A1 (ja) | 2021-02-04 |
Family
ID=74230549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2019/030341 WO2021019783A1 (ja) | 2019-08-01 | 2019-08-01 | 所有者同一性確認システム、端末および所有者同一性確認方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US12120248B2 (ja) |
JP (1) | JP7211519B2 (ja) |
WO (1) | WO2021019783A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US12069162B2 (en) * | 2021-09-10 | 2024-08-20 | Assa Abloy Ab | Fast bilateral key confirmation |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018037987A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 秘密鍵管理システムおよび秘密鍵管理方法 |
JP2018133739A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 秘密鍵複製システム、端末および秘密鍵複製方法 |
JP2019140540A (ja) * | 2018-02-09 | 2019-08-22 | 日本電信電話株式会社 | 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8249250B2 (en) * | 2009-03-30 | 2012-08-21 | Mitsubishi Electric Research Laboratories, Inc. | Secure similarity verification between homomorphically encrypted signals |
US9197619B2 (en) * | 2012-09-06 | 2015-11-24 | Intel Corporation | Management of multiple devices registered to a user |
US10003459B2 (en) * | 2013-04-30 | 2018-06-19 | Sony Corporation | Information processing device, wireless communication system, information processing method, and program |
US10015007B2 (en) * | 2015-11-25 | 2018-07-03 | International Business Machines Corporation | Performing efficient comparison operations on encrypted data |
US20170293913A1 (en) * | 2016-04-12 | 2017-10-12 | The Governing Council Of The University Of Toronto | System and methods for validating and performing operations on homomorphically encrypted data |
-
2019
- 2019-08-01 US US17/628,427 patent/US12120248B2/en active Active
- 2019-08-01 WO PCT/JP2019/030341 patent/WO2021019783A1/ja active Application Filing
- 2019-08-01 JP JP2021536589A patent/JP7211519B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018037987A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 秘密鍵管理システムおよび秘密鍵管理方法 |
JP2018133739A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 秘密鍵複製システム、端末および秘密鍵複製方法 |
JP2019140540A (ja) * | 2018-02-09 | 2019-08-22 | 日本電信電話株式会社 | 所有者同一性確認システム、端末管理サーバおよび所有者同一性確認方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2021019783A1 (ja) | 2021-02-04 |
US12120248B2 (en) | 2024-10-15 |
JP7211519B2 (ja) | 2023-01-24 |
US20220286301A1 (en) | 2022-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11588637B2 (en) | Methods for secure cryptogram generation | |
JP5680115B2 (ja) | データ・セキュリティ装置のためのトランザクション監査 | |
KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
US20220014354A1 (en) | Systems, methods and devices for provision of a secret | |
NL1043779B1 (en) | Method for electronic signing and authenticaton strongly linked to the authenticator factors possession and knowledge | |
WO2021019783A1 (ja) | 所有者同一性確認システム、端末および所有者同一性確認方法 | |
JP7251633B2 (ja) | 所有者同一性確認システム、認証局サーバおよび所有者同一性確認方法 | |
JP7211518B2 (ja) | 所有者同一性確認システムおよび所有者同一性確認方法 | |
KR101933090B1 (ko) | 전자 서명 제공 방법 및 그 서버 | |
AU2024202015A1 (en) | User verification systems and methods | |
KR20230080676A (ko) | 고속 블록체인 네트워크를 이용한 did 관리 시스템 및 방법 | |
AU2020286255A1 (en) | User verification systems and methods |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19939585 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2021536589 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19939585 Country of ref document: EP Kind code of ref document: A1 |