WO2022074773A1

WO2022074773A1 - 識別子変更管理装置、識別子変更管理方法及び識別子変更管理プログラム

Info

Publication number: WO2022074773A1
Application number: PCT/JP2020/038039
Authority: WO
Inventors: 滋藤村; 盛徳大橋; 篤中平
Original assignee: 日本電信電話株式会社
Priority date: 2020-10-07
Filing date: 2020-10-07
Publication date: 2022-04-14
Also published as: EP4227880A1; US20230370280A1; JPWO2022074773A1; EP4227880A4; JP7468683B2

Abstract

一実施形態に係る識別子変更管理装置は、識別子変更の際に利用する第１の秘密鍵を含む秘密鍵群を管理する鍵管理部と、識別子変更の際に利用するメッセージを受け付けるためのメッセージ入力部と、メッセージのハッシュ値と、第１の秘密鍵から生成した第１の署名値と、を含む識別子変更トランザクションを発行するトランザクション発行部と、識別子変更の際に利用するペアリング公開鍵及び第２の署名値を保持する識別子変更プログラムが登録された分散台帳と、分散台帳を管理する分散台帳管理部と、分散台帳管理部が識別子変更トランザクションを受け取ったとき、識別子変更プログラムにより、第１及び第２の署名値がペアリング署名値を算出し、ペアリング署名値と、ペアリング公開鍵と、ハッシュ値と、が所定のペアリング関数を用いた等式を満たすことを条件に、識別子を変更するプログラム制御管理部と、を備える。

Description

識別子変更管理装置、識別子変更管理方法及び識別子変更管理プログラム

　この発明は、識別子変更管理装置、識別子変更管理方法及び識別子変更管理プログラムに関する。

　ビットコイン（登録商標）に代表される暗号資産の取引においては、非中央集権型の分散型台帳技術の一種であるブロックチェーンが用いられている。分散型台帳技術では、ネットワークに参加する各利用者端末が同一の分散台帳を保持している。

　分散台帳上の識別子（アドレス）を変更する際、信頼のおける第三者の協力を必要とする方法が有る。信頼のおける第三者を利用する方法の一例としては、識別子変更のための条件を予め登録された３つの署名のうち２つの署名が集まることとし、利用者端末が署名のための鍵を２つ、信頼のおける第三者が残りの１つを管理する形態を取る。こうすることで利用者端末の管理する鍵のうちの１つが漏洩又は紛失した場合でも、信頼のおける第三者と協力することで識別子変更の条件を満たし、新たに利用する署名を登録の上、次回識別子変更のための条件の変更が可能となる。こうした管理形態を実現するための方式としてマルチシグネチャという方式がある（例えば、特許文献１を参照）。

日本国特許第６６２８１８８号公報

　信頼のおける第三者が裏切る、もしくは、過失により利用者端末が２つの鍵を漏洩又は紛失してしまった場合、利用者端末は、識別子を変更できない。また、分散台帳は、権限の分散を最大の特徴とするものである。そのため、信頼のおける第三者を分散型台帳システムの系内に設定すると一部機能で特権を有するものが存在することになり、分散台帳の最大の特徴を失う。

　この発明は上記事情に着目してなされたもので、その目的とするところは、信頼のおける第三者を必要とせずに識別子の変更を行うことができる識別子変更管理装置、識別子変更管理方法及び識別子変更管理プログラムを提供することにある。

　上記目的を達成するために、この発明の分散台帳ネットワークに接続可能な識別子変更管理装置は、識別子変更の際に利用する第１の秘密鍵を含む秘密鍵群を管理する鍵管理部と、前記識別子変更の際に利用するメッセージを受け付けるためのメッセージ入力部と、前記メッセージのハッシュ値と、前記第１の秘密鍵から生成した第１の署名値と、を含む識別子変更トランザクションを発行するトランザクション発行部と、前記識別子変更の際に利用するペアリング公開鍵及びランダムに生成した第２の秘密鍵から生成した第２の署名値を保持する識別子変更プログラムが登録された分散台帳と、前記分散台帳を管理する分散台帳管理部と、前記分散台帳管理部が前記識別子変更トランザクションを受け取ったとき、前記識別子変更プログラムにより、前記第１の署名値及び前記第２の署名値がペアリング署名値を算出し、前記ペアリング署名値と、前記ペアリング公開鍵と、前記ハッシュ値と、が所定のペアリング関数を用いた等式を満たすことを条件に、前記識別子を変更するプログラム制御管理部と、を備えるようにしたものである。

　この発明の一態様によれば、信頼のおける第三者を必要とせずに識別子の変更を行うことができる識別子変更管理装置、識別子変更管理方法及び識別子変更管理プログラムを提供することができる。

図１は、実施形態における識別子変更管理装置として動作する利用者端末と、分散台帳ネットワークと、を含む分散型台帳システムの全体構成を示す図である。図２は、利用者端末のハードウェア構成の一例を示すブロック図である。図３は、識別子管理プログラムの識別子変更条件を設定するためのフローチャートである。図４は、利用者端末における全体の処理フローを示す図である。図５は、識別子変更トランザクションのデータ構造を示す図である。図６は、図４に示されたステップＳ１０９をより詳細に説明したフローチャートである。

　以下、図面を参照してこの発明に係わる実施形態を説明する。　
　［構成］　
　図１は、本実施形態における識別子変更管理装置として動作する利用者端末１と、分散台帳ネットワーク２と、を含む分散型台帳システムの全体構成を示す図である。図１に記載の分散型台帳システムは、利用者端末１及び分散台帳ネットワーク２を含む。

　利用者端末１は、ピアツーピア（Ｐ２Ｐ）ネットワークである分散台帳ネットワーク２に自律分散的に接続される。なお、分散台帳ネットワーク２には、図１に示す利用者端末１の他にも、複数の利用者端末が接続される。例えば、複数の利用者端末１が接続されていて良い。

　利用者端末１は、鍵管理部１０と、メッセージ入力部１１と、識別子管理プログラム設定部１２と、トランザクション発行部１３と、プログラム制御管理部１４と、分散台帳管理部１５と、分散台帳１６と、を含む。利用者端末１は、例えば、分散台帳ネットワーク２を利用するノードである。ノードは、トランザクションの検証処理、台帳情報の更新及び保持を行なう機能を有する。

　鍵管理部１０は、トランザクション発行のための秘密鍵を管理する。このトランザクション発行のための秘密鍵は、分散台帳１６上で様々な機能を利用するための秘密鍵でもある。様々な機能は、分散台帳１６に記憶された情報であって利用者端末１間で所有権を送受信可能なものであれば良い。例えば、様々な機能は、暗号資産の取引等のような機能であって良い。鍵管理部１０はさらに、秘密鍵群も保持する。なお、秘密鍵群については、後述する。

　メッセージ入力部１１は、利用者端末１の利用者からメッセージａを受け取る入力部である。メッセージａは、任意のもので良いが、例えば、パスワードであっても良い。なお、このパスワードは、固定されたパスワードでも良いが、１回のみ使用可能な使い捨てのパスワードでも良い。また、パスワードは、紙、専用デバイス等の利用者端末１とは異なる保存場所で管理される。すなわち、パスワードは、利用者端末１がセキュアに保持することが可能な一般的な方法で保持されていれば良い。例えば、パスワードは、利用者端末１の外部で、紙に印刷されたＱＲコード（登録商標）として管理される。また、外部で管理される秘密鍵は、１回分でも良いが、複数回分用意されていても良い。

　識別子管理プログラム設定部１２は、分散台帳１６に登録される又は登録された識別子管理プログラムに様々な条件を設定する。識別子管理プログラムは、識別子管理プログラム設定部１２により、通常利用時にトランザクションが利用者端末１から正当に発行されたことを確認するための条件が設定されている。本実施形態における条件は、利用者端末１から発行される様々なトランザクションに含まれる電子署名の検証の成功である。そのため、識別子管理プログラムは、鍵管理部１０が保持する、通常利用時に使用する秘密鍵ｓ_１とペアを成す公開鍵Ｐ_１を保持している。ここで、ｓは、秘密鍵であることを表し、Ｐは、公開鍵であることを表す。また、識別子管理プログラムは、公開鍵Ｐ_ｎ－１から利用可能な識別子を算出する。利用可能な識別子は、利用者端末１が利用する、いわゆるアドレスもしくはアカウントに相当する。なお、利用可能な識別子の算出方法は、公開鍵から一般的な方法で取得するものとし、ここでの詳細な説明は省略する。

　さらに、識別子管理プログラムは、識別子管理プログラム設定部１２により、識別子を変更するための識別子変更条件が設定されている。なお、識別子を変更するための識別子変更条件の設定については後述する。

　トランザクション発行部１３は、鍵管理部１０で管理された秘密鍵を用いてトランザクションを分散台帳ネットワーク２に発行する。例えば、トランザクション発行部１３は、暗号資産の取引等を含むトランザクションを発行する。また、本実施形態では、トランザクション発行部１３は、識別子管理プログラム設定部１２で設定された識別子管理プログラムを分散台帳１６上に登録するためのトランザクション及び分散台帳１６上の識別子を変更するためのトランザクションも発行する。なお、分散台帳１６上の識別子を変更するためのトランザクションについては後述する。

　プログラム制御管理部１４は、分散台帳１６上に記憶された識別子管理プログラム等のプログラムを制御及び管理する。本実施形態では、プログラム制御管理部１４は、利用者端末１からの識別子変更要求により、識別子管理プログラムの書き換えが行われる。そこで、プログラム制御管理部１４は、この書き換えを制御し、識別子管理プログラムを管理する。

　分散台帳管理部１５は、分散台帳ネットワーク２に接続された他の利用者端末と自律分散的に協調して分散台帳ネットワーク２を維持する。分散台帳管理部１５は、プログラム制御管理部１４に、分散台帳１６上に記憶された識別子管理プログラムを用いて発行されたトランザクションが利用者端末１から正当に発行されたかいどうか確認させる。例えば、プログラム制御管理部１４は、トランザクションに付与された電子署名の署名値σ_１に対して公開鍵Ｐ_１を用いて署名検証する。ここで、σは、署名値を表す。そして、プログラム制御管理部１４は、当該署名検証に成功した場合、トランザクションが利用者端末１から正当に発行されたものであると判定する。なお、署名検証は、公開鍵Ｐ_１を用いて一般的な方法で行われれば良く、ここでの詳細な説明を省略する。

　また、分散台帳管理部１５は、分散台帳ネットワーク２に発行されたトランザクションを受け取ると、プログラム制御管理部１４に、受け取ったトランザクションの検証・承認手続きを行うプログラムを実行させる。例えば、ブロックチェーンを用いる場合、プログラム制御管理部１４は、所定の時間内に分散台帳ネットワーク２上で発行されたトランザクションをまとめて１つのブロックを生成し、当該ブロックのマイニングを行う。プログラム制御管理部１４は、検証に成功したブロックを分散台帳１６に記憶されているブロックチェーンに追加する。なお、分散台帳ネットワーク２を維持する技術は、ブロックチェーンに限られず、有向非循環グラフ（ＤＡＧ）等、分散台帳ネットワーク２を維持するための技術であれば良い。また、新規ブロックを承認する方法として、例えば、分散コンセンサスアルゴリズムを用いるなど、マイニング以外の方法を用いても良い。

　分散台帳１６は、分散台帳管理部１５を介して、分散台帳ネットワーク２に接続された全ての利用者端末１の分散台帳１６と同期することによって、検証が成功したトランザクションを記憶している。例えば、ブロックチェーンを用いる場合、分散台帳１６は、ブロックチェーンと、ブロックチェーンで管理されるデータ集合とを記憶している。

　分散台帳ネットワーク２は、特定の管理者を必要としない非中央集権型の分散台帳技術を用いたネットワークである。分散台帳ネットワーク２は、オープン型、プライベート型、コンソーシアム型のいずれでも良い。しかしながら、分散台帳ネットワーク２は、分散台帳１６で管理でき、トランザクションの検証、実行、分散台帳１６への登録の過程で、特定の管理者により後天的に登録された処理を含まないネットワークであるとする。

　図２は、利用者端末１のハードウェア構成の一例を示すブロック図である。

　利用者端末１は、例えば、ＣＰＵ（Central Processing Unit）やＭＰＵ（Micro Processing Unit）等のハードウェアプロセッサ１０１を有する。そして、このプロセッサ１０１に対し、プログラムメモリ１０２、データメモリ１０３、通信インタフェース１０４及び入出力インタフェース１０５が、バス１０６を介して接続されている。

　プログラムメモリ１０２は、記憶媒体として、例えば、ＥＰＲＯＭ（Erasable Programmable Read Only Memory）やメモリカード等の随時書込み及び読出しが可能な不揮発性メモリと、ＲＯＭ（Read Only Memory）等の不揮発性メモリとを組み合わせて使用することができる。このプログラムメモリ１０２には、プロセッサ１０１が一実施形態に係る各種制御処理を実行するために必要なプログラムが格納されている。すなわち、前述した機能構成の各部における処理機能部は、いずれも、プログラムメモリ１０２に格納されたプログラムを上記プロセッサ１０１により読み出して実行することにより実現され得る。

　データメモリ１０３は、記憶媒体として、例えば、メモリカード等の随時書込み及び読出しが可能な不揮発性メモリと、ＲＡＭ（Random Access Memory）等の揮発性メモリとを組み合わせて使用したストレージである。データメモリ１０３は、プロセッサ１０１がプログラムを実行して各種処理を行う過程で取得及び作成されたデータを記憶するために用いられる。すなわち、データメモリ１０３には、各種処理が行われる過程で、適宜、各種データを記憶するための領域が確保される。分散台帳１６は、プログラムメモリ１０２及びデータメモリ１０３によって構成される。すなわち、分散台帳１６上に記憶される識別子管理プログラム等のプログラムは、プログラムメモリ１０２に記憶され、ブロックチェーン等のデータは、データメモリ１０３に記憶される。

　通信インタフェース１０４は、一つ以上の無線の通信モジュールを含む。例えば、通信インタフェース１０４は、Ｂｌｕｅｔｏｏｔｈ（登録商標）等の近距離無線技術を利用した無線通信モジュールを含む。さらに、通信インタフェース１０４は、例えば、Ｗｉ－Ｆｉアクセスポイントや携帯電話基地局と無線接続する無線通信モジュールを含む。この無線通信モジュールは、プロセッサ１０１の制御の下、Ｗｉ－Ｆｉアクセスポイントや携帯電話基地局を介して分散台帳ネットワーク２に接続し、他の利用者端末と通信を行い、各種情報を送受信することができる。なお、通信インタフェース１０４は、１つ以上の有線の通信モジュールを含んでも良い。

　入出力インタフェース１０５は、ユーザインタフェース装置１０７のインタフェースである。なお、図２では、「ユーザインタフェース装置」を「ユーザＩＦ装置」と記載している。

　ユーザインタフェース装置１０７は、入力装置１０７１及び出力装置１０７２を含む。出力装置１０７２は、例えば液晶、有機ＥＬ（Electro Luminescence）、等を使用した表示デバイスであり、入出力インタフェース１０５から入力された信号に応じた画像を表示する。入力装置１０７１は、出力装置１０７２である表示デバイスの表示画面上に配置された、静電方式又は圧力方式を採用した入力検知シートであり、ユーザのタッチ位置を入出力インタフェース１０５を介してプロセッサ１０１に出力する。なお、入力装置１０７１及び出力装置１０７２は、独立するデバイスにより構成されてもよい。入出力インタフェース１０５は、上記入力装置１０７１において入力された操作情報をプロセッサ１０１に入力すると共に、プロセッサ１０１で生成された表示情報を出力装置１０７２に表示させることができる。

　［動作］　
　図３は、識別子管理プログラムの識別子変更条件を設定するためのフローチャートである。利用者端末１のプロセッサ１０１がプログラムメモリ１０２に格納されたプログラムを読み出して実行することにより、このフローチャートの動作が実現される。

　識別子管理プログラム設定部１２は、公開鍵Ｐ_ｃ及び署名値σ_ｃを算出する（ステップＳ１１）。ここで、ｃは、後述のペアリングを行うための鍵であることを表す添え字である。最初に、識別子管理プログラム設定部１２は、利用者端末１の利用者から入力装置１０７１を介してパスワードに相当するメッセージａを取得する。そして、このメッセージａ及びランダムに生成した秘密鍵ｓ_ｃから公開鍵Ｐ_ｃ及び署名値σ_ｃを算出する。例えば、公開鍵Ｐ_ｃは、Ｐ_ｃ＝ｓ_ｃＱで算出され、署名値σ_ｃは、σ_ｃ＝ｓ_ｃＨ（ａ）で算出することができる。ここで、Ｈは、暗号学的ハッシュ関数を表し、Ｑは、ボネ・リン・シャチャム（ＢＬＳ）署名における公開鍵を算出するための公開パラメータである。そのため、Ｈ（ａ）は、メッセージａに暗号学的ハッシュ関数を適用したハッシュ値となる。なお、ハッシュ関数Ｈ及び公開パラメータＱは、以下のように定められる。素数位数ｐの加法巡回群がＧ１及びＧ２であるとき、写像Ｈ：｛任意長の文字列｝→Ｇ１であり、Ｑは、Ｇ２の固定された点である。すなわち、Ｑは、加法巡回群Ｇ２内の任意の値を取る公開パラメータになる。

　識別子管理プログラム設定部１２は、識別子変更用の秘密鍵ｓ_２を含む秘密鍵群ｓ_２，ｓ_３，．．．，ｓ_ｎ＋１をランダムに生成する（ステップＳ１２）。ここで、ｎは、任意の正の整数である。識別子管理プログラム設定部１２は、生成した秘密鍵群を鍵管理部１０に登録する。秘密鍵群を生成することにより、秘密鍵群が鍵管理部１０から漏洩又は流出したとしても、識別子変更用の秘密鍵ｓ_２を特定される可能性は、１／ｎまで軽減することが可能とある。そのため、ｎは、多いほど、秘密鍵ｓ_２を特定される可能性が低減できる。

　識別子管理プログラム設定部１２は、公開鍵Ｐ_２及びペアリング公開鍵Ｐを算出する（ステップＳ１３）。識別子管理プログラム設定部１２は、まず、秘密鍵ｓ_２とペアを成す公開鍵Ｐ_２を算出する。Ｐ_２は、Ｐ_２＝ｓ_２Ｑより算出する。その後、識別子管理プログラム設定部１２は、公開鍵のペアリングを行う。識別子管理プログラム設定部１２は、ペアリング公開鍵ＰをＰ＝Ｐ_２＋Ｐ_ｃにより算出する。

　識別子管理プログラム設定部１２は、識別子管理プログラムに識別子変更条件を設定する（ステップＳ１４）。具体的には、識別子変更条件は、ペアリング署名値σ＝σ_２＋σ_ｃとしたとき、ペアリング関数に関する等式ｅ（Ｈ（ａ），Ｐ）＝ｅ（σ，Ｑ）を満たすＨ（ａ）及びσ_２が入力されたときと設定される。また、識別子管理プログラムは、ペアリング公開鍵Ｐ及び署名値σ_ｃを保持するものとする。

　識別子管理プログラム設定部１２は、以上の処理過程で得られたメッセージａ、秘密鍵ｓ_ｃ、公開鍵Ｐ_ｃ、及び署名値σ_ｃを破棄する（ステップＳ１５）。これら秘密鍵、公開鍵及び署名値を破棄することで、これらは、漏洩又は紛失のリスクが無くなる。そのため、分散台帳１６上に登録されている公開鍵Ｐがいずれの公開鍵をペアリングしたものであるかに関してのセキュリティを向上させることができる。一方で、利用者は、メッセージａから算出したＨ（ａ）とペアリングの際に用いたｓ_２を正しく選択し、署名値σ_２を得ることにより、識別子管理プログラムに設定された識別子変更条件を充足することが可能である。

　図４は、利用者端末１における全体の処理フローを示す図である。

　図４に示される分散台帳管理部１５（及びプログラム制御管理部１４）及び分散台帳１６は、分散型台帳システム内のすべての利用者端末１の分散台帳管理部１５（及びプログラム制御管理部１４）及び分散台帳１６を示すものである。すなわち、図３に示される分散台帳管理部１５（及びプログラム制御管理部１４）及び分散台帳１６は、図１に示される利用者端末１の分散台帳管理部１５（及びプログラム制御管理部１４）及び分散台帳１６であっても良いし、他の利用者端末１の分散台帳管理部１５（及びプログラム制御管理部１４）及び分散台帳１６であっても良い。また、利用者端末１のプロセッサ１０１がプログラムメモリ１０２に格納された各プログラムを読み出して実行することにより、このフローチャートの動作が実現される。

　ここでステップＳ１０１～ステップＳ１０４は、本実施形態における識別子管理プログラムを利用するための事前準備のためのステップを示し、ステップＳ１０５～ステップＳ１０７は、識別子管理プログラムを利用した通常利用の際のステップを示し、ステップＳ１０８～ステップＳ１０９は、分散台帳１６内に記憶された識別子を変更する際のステップを示す。

　事前準備では、利用者端末１のトランザクション発行部１３は、識別子管理プログラムを分散台帳１６に登録するための識別子登録トランザクションを分散台帳ネットワーク２上に発行する（ステップＳ１０１）。識別子管理プログラムは、識別子管理プログラム設定部１２により、通常利用時に利用トランザクションが利用者端末１から正当に発行されたことを確認するための条件及び識別子変更条件等が設定されている。

　分散台帳管理部１５は、プログラム制御管理部１４に、登録トランザクションのマイニングを実行させる（ステップＳ１０２）。例えば、ブロックチェーンを用いる場合、所定の時間間隔の間に受け取った、登録トランザクションを含む複数のトランザクションを１つにまとめたブロックについてマイニングを実行する。

　分散台帳管理部１５は、マイニングに成功した識別子登録トランザクションに従って、プログラム制御管理部１４に識別子管理プログラムを分散台帳１６に登録させる（ステップＳ１０３）。分散台帳管理部１５は、分散台帳１６にこの識別子登録プログラムを登録する際、識別子登録プログラムの格納場所を示すＩＤを取得する。

　利用者端末１は、識別子管理プログラムのＩＤを分散台帳管理部１５から取得する（ステップＳ１０４）。利用者端末１は、識別子管理プログラムが保持する公開鍵Ｐ_１によって算出された識別子も取得しても良い。

　通常利用時、利用者端末１のトランザクション発行部１３は、分散台帳１６上に記憶された情報を利用する要求を含む利用トランザクションを発行する（ステップＳ１０５）。利用トランザクションは、例えば、識別子管理プログラムのＩＤと、利用可能な識別子と、暗号資産の取引についての指示と、鍵管理部１０によって管理された秘密鍵ｓ_１によって生成された電子署名と、を含む。なお、分散台帳１６上に記憶された情報を利用する要求は、暗号資産の取引に限られず、分散台帳１６に記憶された情報であって利用者端末１間で所有権を送受信可能なものであれば良い。

　分散台帳管理部１５は、利用トランザクションに含まれる電子署名の検証し、検証成功後、利用トランザクションに含まれる要求に従って処理を実行する（ステップＳ１０６）。すなわち、分散台帳管理部１５は、利用トランザクションに含まれる識別子管理プログラムのＩＤをプログラム制御管理部１４に渡し、プログラム制御管理部１４は、そのＩＤで示される識別子管理プログラムを実行する。プログラム制御管理部１４は、識別子管理プログラムによる利用トランザクションの検証を行う。例えば、プログラム制御管理部１４は、利用トランザクションに含まれる電子署名の署名値σ_１を識別子管理プログラムが保持する公開鍵Ｐ_１で復号した値を算出し、その値を利用トランザクション及びハッシュ関数を用いて算出されたハッシュ値と比較する。プログラム制御管理部１４は、比較の結果これらの値が同一であれば、利用トランザクションが利用者端末１から正当に発行されたものとして検証が成功したと判定する。すなわち、電子署名が利用者端末が行ったものであると証明される。検証が成功したならば、分散台帳管理部１５は、利用トランザクションに含まれる利用識別子及び要求に従って、プログラム制御管理部１４に任意のプログラムの処理を実行させる。利用トランザクションが利用者端末１から正当に発行されたものでないとプログラム制御管理部１４が判定した場合には、分散台帳管理部１５は、利用トランザクションを破棄する。また、分散台帳管理部１５は、利用者端末１に不正利用の試行の可能性について報告するようにしても良い。

　分散台帳管理部１５は、実行結果を含む処理実行結果確認情報を利用者端末１に送信する（ステップＳ１０７）。利用者端末１は、当該情報を受信すると、利用者端末１の出力装置１０７２を介して、実行結果を利用者に表示するようにしても良い。

　識別子変更時、利用者端末１は、識別子変更要求を含む識別子変更トランザクションを分散台帳ネットワーク２上に発行する（ステップＳ１０８）。利用者端末１が秘密鍵ｓ_１を過失等により漏洩又は紛失してしまった場合、他の端末が漏洩又は紛失した秘密鍵ｓ_１を取得可能となる。漏洩又は紛失した秘密鍵ｓ_１を取得した他の端末は、利用者端末１に成りすまして当該秘密鍵ｓ_１を使用したトランザクションを発行することが可能となる。そこで、利用者端末１は、分散台帳１６上に登録された識別子を変更する必要がある。この場合には、利用者端末１のトランザクション発行部１３は、識別子を変更する要求を含む識別子変更トランザクションを分散台帳ネットワーク２に発行する。

　図５は、識別子変更トランザクションのデータ構造を示す図である。

　図５で示されるように、識別子変更トランザクションは、識別子管理プログラムＩＤと、識別子管理プログラムで実行する関数を指定する関数情報と、メッセージａのハッシュ値Ｈ（ａ）と、署名値σ_２と、次回の識別子変更条件設定のための公開鍵Ｐ´及び署名値σ_ｃ´と、の６つの要素を含む。また、識別子変更トランザクションは、これら６つの要素をメッセージｍとした際のメッセージｍのハッシュ値Ｈ（ｍ）に対して識別子変更用の秘密鍵ｓ_２で電子署名を行ったσ_ｍ及び秘密鍵ｓ_２とペアを成す公開鍵Ｐ_２を含む。

　なお、図５に示される要素は、以下のように生成される。利用者端末１の識別子管理プログラム設定部１２は、鍵管理部１０に保持されている秘密鍵群の中から、識別子変更用に設定した秘密鍵ｓ_２を取得する。さらに、ｓ_２，ｓ_３，．．．，ｓ_ｎを生成した際と同様に、ｓ_２´，ｓ_３´，．．． ,ｓ_ｎ´を生成し次回識別子変更条件設定のために利用するｓ_3´を取得する。識別子管理プログラム設定部１２は、公開鍵Ｐ_２を秘密鍵ｓ_２に基づく式Ｐ_２＝ｓ_２Ｑによって算出し、同様に公開鍵Ｐ_３´を秘密鍵ｓ_３´に基づく式Ｐ_３´＝ｓ_３´Ｑによって算出する。さらに、識別子管理プログラム設定部１２は、メッセージ入力部１１からパスワードであるメッセージａ及び次回の識別子変更用のパスワードに相当するメッセージａ´を利用者から取得する。次に、識別子管理プログラム設定部１２は、上で説明したように、メッセージａのハッシュ値Ｈ（ａ）を取得し、署名値σ_２を式σ_２＝ｓ_２Ｈ（ａ）により取得する。さらに識別子管理プログラム設定部１２は、ランダムに生成した秘密鍵ｓ_ｃ´から公開鍵Ｐ_ｃ´及び署名値σ_ｃ´を算出する。さらに、識別子管理プログラム設定部１２は、次回の識別子変更条件設定のための公開鍵Ｐ´を、式Ｐ´＝Ｐ_３´＋Ｐ_ｃ´により算出し、さらに、次回識別子変更条件設定のための署名値σ_ｃ´を式σ_ｃ´＝ｓ_ｃ´Ｈ（ａ´）により算出する。

　分散台帳管理部１５は、プログラム制御管理部１４に、識別子変更条件を満たすことを確認し、識別子の変更を実行させる（ステップＳ１０９）。すなわち、分散台帳管理部１５は、識別子変更トランザクションを受け取ると、識別子変更トランザクションに含まれる識別子管理プログラムＩＤを読み出し、それをプログラム制御管理部１４に渡す。プログラム制御管理部１４は、そのＩＤで示される識別子管理プログラムを読み出して実行し、識別子変更条件を満たすかを確認する。確認の結果、識別子変更条件を満たす場合、プログラム制御管理部１４は、識別子管理プログラムにおける次回の識別子変更条件を変更し、別子管理プログラムに保持させる、現在利用可能な識別子を算出するために利用する公開鍵をＰ_１からＰ_２に変更する。なお、確認の結果、識別子変更条件を満たさない場合、プログラム制御管理部１４は、当該識別子変更トランザクションが利用者端末１から正当に発行されたものでないと判定し、分散台帳管理部１５は、当該識別子変更トランザクションを破棄する。また、分散台帳管理部１５は、不正に識別子変更要求が有った旨を利用者端末１に報告するようにしても良い。

　図６は、図４に示されたステップＳ１０９をより詳細に説明したフローチャートである。

　プログラム制御管理部１４は、識別子変更トランザクションに含まれる署名値σ_２及びσ_ｍが公開鍵Ｐ_２で検証可能かどうか判定する（ステップＳ２０１）。署名値σ_２及びσ_ｍが公開鍵Ｐ_２で検証可能である場合、当該識別子変更トランザクションを生成可能な端末は、秘密鍵ｓ_２を保有しているものに限られる。そのため、プログラム制御管理部１４は、署名値σ_２及びσ_ｍが公開鍵Ｐ_２で検証可能であると判定した場合、利用者が秘密鍵ｓ_２を有すると判定する。また、プログラム制御管理部１４は、メッセージｍの範囲については、当該秘密鍵ｓ_２を有する利用者が作成したデータであるとも判定する。なお、プログラム制御管理部１４によってこれらの値が検証可能でないと判定された場合、分散台帳管理部１５は、識別子変更トランザクションが利用者端末１から正当に発行されていないと判定し、当該識別子変更トランザクションを破棄する。

　署名値σ_２及びσ_ｍが公開鍵Ｐ_２で検証可能な場合、プログラム制御管理部１４は、署名値のペアリングを行い、ペアリング署名値σを取得する（ステップＳ２０２）。プログラム制御管理部１４は、ペアリング署名値σを、式σ＝σ_２＋σ_ｃにより取得する。プログラム制御管理部１４は、識別子管理プログラムに保持されたσ_ｃ及び識別子変更トランザクションに含まれる署名値σ_２により、ペアリング署名値σを算出する。

　プログラム制御管理部１４は、ペアリング関数に関する等式ｅ（Ｈ（ａ），Ｐ）＝ｅ（σ，Ｑ）を満たすかどうか判定する（ステップＳ２０３）。プログラム制御管理部１４は、識別子変更トランザクションに含まれるハッシュ値Ｈ（ａ）と、識別子管理プログラムに保持されたペアリング公開鍵Ｐと、ステップＳ２０２で算出したペアリング署名値σと、公開パラメータであるＱとに基づいて上の等式を満たすか否かを判定する。等式を満たす場合、ステップＳ２０４に進む。等式を満たさないとプログラム制御管理部１４が判断した場合には、分散台帳管理部１５は、識別子変更トランザクションが利用者端末１から正当に発行されていないと判定し、当該識別子変更トランザクションを破棄する。

　等式ｅ（Ｈ（ａ），Ｐ）＝ｅ（σ，Ｑ）を満たす場合、プログラム制御管理部１４は、識別子管理プログラムにおける識別子変更条件を変更し、公開鍵Ｐ_２を公開鍵Ｐ_１の代わりに識別子管理プログラムに保持させる（ステップＳ２０４）。すなわち、公開鍵Ｐ_２を用いて算出された識別子が現在の利用可能な識別子として分散台帳１６に登録されることになる。さらに、識別子変更条件は、具体的に、ペアリング署名値σ＝σ_３´＋σ_ｃ´としたとき、ペアリング関数に関する等式ｅ（Ｈ（ａ´），Ｐ´）＝ｅ（σ，Ｑ）を満たすＨ（ａ´）及びσ_３´が入力されたときと変更される。また、識別子管理プログラムは、次回の識別子変更条件に関わるデータとして、ペアリング公開鍵Ｐ´及び署名値σ_ｃ´を保持する。なお、識別子変更のための公開鍵Ｐ_ｃ及び署名値σ_ｃは、識別子変更のために１度限り利用することになる。このようにするのは、再送攻撃を防止するためである。識別子変更トランザクションは、分散台帳１６に記録されるものである。そのため、識別子変更トランザクションは、他の利用者端末にも広く公開されることになる。もし次回以降に使用する公開鍵Ｐ´及び署名値σ_ｃ´を識別子変更トランザクションに含めず識別子変更用の公開鍵を固定すると、広く公開された公開鍵を保存しておくことにより、同じ内容の変更要求を再送するという再送攻撃が可能となってしまう。このリスクを排除するために、識別子変更のための公開鍵及び署名値の利用回数は１度限りとし、常に次回の公開鍵及び署名値を指定する必要がある。

　［作用効果］　
　上記実施形態によれば、利用者端末１は、第三者を必要とせずに識別子の変更を行うことができる。これにより、分散台帳１６の最大の特徴である権限の分散性が失われず、且つ、第三者による故意又は過失による鍵の漏洩を防止することができる。

　さらに、上記実施形態によれば、利用者端末１は、単に識別子変更用の鍵が漏洩しただけでは、第三者が識別子変更機能を不正利用することが不可能な方式を実現できる。

　［他の実施形態］　
　なお、この発明は上記実施形態に限定されるものではない。例えば、上記実施形態では、利用者端末１は、ノードとして機能すると説明した。しかしながら、他の利用者端末がノードとして機能する場合、利用者端末１は、ノードとして機能しなくとも良い。この場合、利用者端末１は、プログラム制御管理部１４と、分散台帳管理部１５と、分散台帳１６と、を有さずとも良い。

　また、前記実施形態に記載した手法は、計算機（コンピュータ）に実行させることができるプログラム（ソフトウェア手段）として、例えば磁気ディスク（フロッピー（登録商標）ディスク、ハードディスク等）、光ディスク（ＣＤ－ＲＯＭ、ＤＶＤ、ＭＯ等）、半導体メモリ（ＲＯＭ、ＲＡＭ、フラッシュメモリ等）等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウェア手段（実行プログラムのみならずテーブル、データ構造も含む）を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウェア手段を構築し、このソフトウェア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書で言う記録媒体は、頒布用に限らず、計算機内部或いはネットワークを介して接続される機器に設けられた磁気ディスク、半導体メモリ等の記憶媒体を含むものである。

　要するに、この発明は上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は可能な限り適宜組み合わせて実施してもよく、その場合組み合わせた効果が得られる。さらに、上記実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適当な組み合わせにより種々の発明が抽出され得る。

　１…利用者端末
　２…分散台帳ネットワーク
　１０…鍵管理部
　１１…メッセージ入力部
　１２…識別子管理プログラム設定部
　１３…トランザクション発行部
　１４…プログラム制御管理部
　１５…分散台帳管理部
　１６…分散台帳
　１０１…プロセッサ
　１０２…プログラムメモリ
　１０３…データメモリ
　１０４…通信インタフェース
　１０５…入出力インタフェース
　１０６…バス
　１０７…ユーザインタフェース装置
　１０７１…入力装置
　１０７２…出力装置

Claims

　分散台帳ネットワークに接続可能な識別子変更管理装置であって、
　識別子変更の際に利用する第１の秘密鍵を含む秘密鍵群を管理する鍵管理部と、
　前記識別子変更の際に利用するメッセージを受け付けるためのメッセージ入力部と、
　前記メッセージのハッシュ値と、前記第１の秘密鍵から生成した第１の署名値と、を含む識別子変更トランザクションを発行するトランザクション発行部と、
　前記識別子変更の際に利用するペアリング公開鍵及びランダムに生成した第２の秘密鍵から生成した第２の署名値を保持する識別子変更プログラムが登録された分散台帳と、
　前記分散台帳を管理する分散台帳管理部と、
　前記分散台帳管理部が前記識別子変更トランザクションを受け取ったとき、前記識別子変更プログラムにより、前記第１の署名値及び前記第２の署名値を用いてペアリング署名値を算出し、前記ペアリング署名値と、前記ペアリング公開鍵と、前記ハッシュ値と、が所定のペアリング関数を用いた等式を満たすことを条件に、前記識別子を変更するプログラム制御管理部と、
　を備える、識別子変更管理装置。
　前記ペアリング署名値をσ、前記ハッシュ値をＨ（ａ）、前記ペアリング公開鍵をＰ、ペアリング関数をｅ（ｘ，ｙ）と表したとき、前記等式は、ｅ（Ｈ（ａ），Ｐ）＝ｅ（σ，Ｑ）であり、Ｑは、ボネ・リン・シャチャム署名における公開鍵を算出するための公開パラメータである、請求項１に記載の識別子変更管理装置。
　前記ペアリング公開鍵は、前記第１の秘密鍵及び前記公開パラメータにより算出された第１の公開鍵と、前記第２の秘密鍵と前記公開パラメータにより算出された第２の公開鍵とによって算出される、請求項２に記載の識別子変更管理装置。
　前記第２の秘密鍵及び前記第２の公開鍵は、前記ペアリング公開鍵及び前記第２の署名値を生成後、破棄される、請求項３に記載の識別子変更管理装置。
　前記識別子変更トランザクションは、前記分散台帳から前記識別子変更プログラムを識別するための識別子変更プログラムのＩＤと、識別子管理プログラムで実行する関数を指定する関数情報と、次回識別子変更を行うために用いられる第２のペアリング公開鍵と、ランダムに生成され、前記第２の秘密鍵とは異なる第３の秘密鍵から生成した第３の署名値と、第４の署名値と、前記第１の秘密鍵とペアを成す第１の公開鍵と、をさらに備え、前記第４の署名値は、前記識別子変更プログラムのＩＤと、前記関数情報と、前記ハッシュ値と、前記第１の署名値と、前記第２のペアリング公開鍵と、前記第３の署名値と、から成るメッセージのハッシュ値に対して、前記第１の秘密鍵で署名した署名値である、請求項１乃至４のいずれか１項に記載の識別子変更管理装置。
　前記秘密鍵群は、ランダムに生成されたｎ個の秘密鍵であり、ｎは、任意の正の整数である、請求項１乃至５のいずれか１項に記載の識別子変更管理装置。
　分散台帳ネットワークに接続可能な識別子管理装置によって実行可能な識別子変更管理方法であって、
　識別子変更の際に利用する第１の秘密鍵を含む秘密鍵群を管理することと、
　前記識別子変更の際に利用するメッセージを受け付けることと、
　前記メッセージのハッシュ値と、前記第１の秘密鍵から生成した第１の署名値と、を含む識別子変更トランザクションを発行することと、
　前記識別子変更の際に利用するペアリング公開鍵及びランダムに生成した第２の秘密鍵から生成した第２の署名値を保持する識別子変更プログラムを分散台帳に登録することと
　前記分散台帳を管理することと、
　前記識別子変更トランザクションを受け取ったとき、前記識別子変更プログラムにより、前記第１の署名値及び前記第２の署名値がペアリング署名値を算出し、前記ペアリング署名値と、前記ペアリング公開鍵と、前記ハッシュ値と、が所定のペアリング関数を用いた等式を満たすことを条件に、前記識別子を変更することと、
　を備える、識別子変更管理方法。
　請求項１乃至６のいずれか１項に記載の識別子変更管理装置の前記各部としてプロセッサを機能させる識別子変更管理プログラム。