JP2000231331A - 権利証明書実現方法、その装置 - Google Patents

権利証明書実現方法、その装置

Info

Publication number
JP2000231331A
JP2000231331A JP11032792A JP3279299A JP2000231331A JP 2000231331 A JP2000231331 A JP 2000231331A JP 11032792 A JP11032792 A JP 11032792A JP 3279299 A JP3279299 A JP 3279299A JP 2000231331 A JP2000231331 A JP 2000231331A
Authority
JP
Japan
Prior art keywords
certificate
signature
public key
black box
function value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11032792A
Other languages
English (en)
Other versions
JP3690474B2 (ja
Inventor
Naoyuki Sato
直之 佐藤
Hideaki Suzuki
英明 鈴木
Akinao Soneoka
昭直 曽根岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP3279299A priority Critical patent/JP3690474B2/ja
Publication of JP2000231331A publication Critical patent/JP2000231331A/ja
Application granted granted Critical
Publication of JP3690474B2 publication Critical patent/JP3690474B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 個人のプライバシを保護しかつ不正利用を防
止する。 【解決手段】 ユーザUは欲しい証明書と対応した証明
書発行者装置CPの公開鍵eCP l をUごとのブラックボ
ックスBへ送り、Bは鍵dB i ,eB i を生成しdB i
を誰にも秘密に保持し、乱数rとeCP l を用いてeB i
に対し、ブラインド署名前処理を行ってZ1 を得、Z1
とrをUへ送り、UはZ1 をCPへ送り、CPはeCP l
と対応する秘密鍵dCP l でZ1 に対する署名Z2 を生成
し、Z2 をUへ送り、UはeCP l ,rを用いてZ2 に対
しブラインド署名後処理を行いCjを得、Cj を検証
し、合格すればCj ,eB i を証明書とする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は個人のプライバシ
の保護と不正利用防止を両立した権利証明書を実現する
方法、その装置に関する。
【0002】
【従来の技術】実社会においても計算機の世界において
も、個人が、確かにその主張する権利を持つ存在である
かを確認する認証作業は、多くの場面において実施され
ている。最近では、Webサイトにおいても、簡単なパ
スワードや公開鍵を用いた認証が頻繁に用いられるよう
になった。
【0003】これらの認証の目的を考えてみると、その
内容は場合によって大きく異なる。例えば、銀行のAT
Mでは各人で異なる預金を確実に処理するため、また個
人のブライバシを侵害しないためにも、端末の前にいる
ユーザの名前を確実に知る必要がある。これに対して、
ニュースなど一般的情報を提供するWebサイトや、商
品に対するユーザサポートを行う場面においては、ユー
ザの名前を知る事ではなく、ユーザがその権利を持って
いるかどうかを確認することが必要とされる。
【0004】だが、上記の二番目のような場面において
も、現在の多くの場合、個人識別子を利用し、この識別
子に対応したユーザの持つ権限として、資源管理を実施
している。この手法は、本来の目的に対する実現手段の
不自然さに加えて、ユーザのプライバシの保護上の問題
や、サービス提供者側におけるデータベースの管理負荷
など様々な欠点を持つ。
【0005】プライバシの問題は特に切実で重要であ
る。例えば、各サービスごとに中央集権的なサーバが準
備されていた場合、もちろんそのサーバの管理する範囲
内でのプライバシは、サーバ管理者に対しては無いに等
しい。だが、問題はそれだけに留まらない。各々別々の
サービスを提供する複数のサーバの管理者が結託した場
合、個人が各サーバに提供した自分に関する全ての情報
と、それらサーバに対する行動履歴の全てが、管理者達
に把握されてしまうことも十分に起こり得る。これは是
が非でも避けなければならない事態である。また、個人
情報の漏洩と追跡不能性が問題となる。
【0006】このような問題を解決する一つの手法は、
権利の確認に証明書を利用する方法である。権利が確認
された人のみにあらかじめ証明書を配布しておくことに
よって、名前など個人識別情報とは関係なく権利の確認
を実施することができる。だがこの場合、証明書に個人
識別情報が含まれていなければ、証明書のコピーなど不
正利用に対する防御が難しい。またこれに対して、証明
書に短時間の有効期限を設けることや、既存の電子現金
で利用されている技術を用いて証明書の再利用を禁止す
ることで不正利用を防止すると、認証の手段としては、
利便性が著しく損なわれることになる。
【0007】この発明で使用する世界のモデルを図9に
示す。図中にあるように、以下の三つの要素を仮定す
る。 証明書発行者装置(CP) 証明書を発行する実体。特定ユーザに対して、そのユー
ザがある権利を持っている、あるいはある特徴を持って
いることを保証する証明書を発行する。 資源管理者装置(RM) 資源(情報)を管理する実体。自分の管理する資源に対
して、ユーザから提示された複数の証明書をもとに、そ
のユーザの取れる行動の範囲を決定し管理する。 ユーザ装置(U) 証明書発行者装置CPによって発行された証明書を管理
する。また、資源を利用したいときには、証明書を適当
に選択し、資源管理者装置RMに提示する。この明細書
ではユーザの持つ証明書とその入れ物をプロファイルと
呼ぶ。
【0008】上記のモデルでは、一つの証明書を複数の
資源管理者装置RMで共用することを前提としている。
従来のような資源ごとにIDとパスワードを設定する手
法は、図中中段右側に示すような、CPとRMがペアに
なった場合に対応する。
【0009】
【発明が解決しようとする課題】この発明は以下に示す
要求を満す権利証明書の実現方法を提供しようとするも
のであって、これらを満たす権利証明書の実現方法はユ
ーザのプライバシを最大限に保証し、かつ証明書の不正
利用を防止できると考えられる。 (1)不必要な個人情報漏洩の防止 資源利用時において、資源管理者装置RMの資源の利用
が許可されるために最低限必要な情報しか漏洩しない。
最低限とは、管理者装置RMが指定した情報以外を含ま
ないことである。 (2)行動の追跡不能性 任意の数の証明書発行者装置CPと資源管理者装置RM
が結託しても、ユーザの行動履歴の全貌は把握できな
い。また行動が把握される可能性のある範囲は、ユーザ
自身が決定する。 (3)証明書再利用性 証明書は何度でも使用することができる。 (4)証明書不正利用不可 証明書は正規のユーザ以外は利用できない。 (5)汎用情報の証明 証明書発行者装置CPは任意の内容の任意個数の情報を
証明できる。
【0010】
【課題を解決するための手段】この発明によればユーザ
ごとに個別のブラックボックスを用い、ブラックボック
スは記憶機能と計算機能とをもち、誰にも秘密(ユーザ
自身にも)の複数秘密鍵dB k (k0)とこれらのそ
れぞれに対応する複数の公開鍵eB k が記憶され、ユー
ザ装置より証明書発行者の公開鍵eCPをそのユーザのブ
ラックボックスへ送り、ブラックボックスはその公開鍵
の1つeB i に対し、公開鍵eCPを用いてブラインド署
名前処理を行い、その処理結果Z1 とこれに用いた乱数
rをユーザ装置へ返す。
【0011】ユーザ装置はZ1 を証明書発行者装置へ送
り、証明書発行者装置は秘密鍵dCPでZ1 に対し署名処
理を行い、その結果Z2 をユーザ装置へ返す。ユーザ装
置はZ2 に対し、eCP,rを用いてブラインド署名後処
理を行い、署名Cj を得、Cj が検証式を満すか調べ、
満せばCj ,eB i を証明書とする。秘密鍵dB y 、つ
まりブラックボックス自体の正当性を確認できるように
次のようにする。つまりユーザ装置はeCPをブラックボ
ックスに送る際に、適当な証明書Cy を選び、これと対
応した公開鍵eB y を示す情報もブラックボックスに送
り、ブラックボックスはZ1 の署名をeB y と対をなす
秘密鍵dB y で行う。ユーザ装置は証明書発行者装置へ
1 とその署名Z1 By、更にCy ,eB y も送り、Z1
の有効性をZ1 Byを用いて調べ、かつCy ,eB y が検
証式を満すかを調べ、これらに合格することをZ2 生成
の条件とする。
【0012】このようにして発行された証明書を提示利
用する場合は、ユーザ装置より利用したい証明書Cj
その公開鍵eB i を資源管理者装置へ送り、資源管理者
装置はCj とeB i が検証式を満すかを証明書発行者装
置の公開鍵eCPにより調べ、検証式を満せば、ブラック
ボックスがeB i と対応する秘密鍵dB i をもっている
かを、ユーザ装置を仲立ちとして既存の公開鍵方式の認
証手順により検証し、この検証に成功すれば証明書発行
者装置が証明書Cj の内容をユーザ装置に対し保証して
いると認める。作用 (1)あらかじめ権利が確認された証明書を利用するの
で、名前など個人識別情報とは関係なく権利の確認が実
施でき、不必要な個人情報が漏洩しない。
【0013】(2)権利証明書の発行にあってはブライ
ンド署名の技術を用いることで、証明書発行者装置CP
は自分の署名した証明書Cを知ることができず、権利証
明書の利用にあっては公開鍵eB i は権利証明書ごとに
ユーザが任意に定めることができることから、資源管理
者装置RMはユーザが意図した範囲でしかユーザと権利
証明書Cとの関係を見出すことができないでいた。その
結果、任意の数の証明書発行者装置CPと資源管理者装
置RMが結託してもユーザの行動履歴の全貌は把握でき
ない。
【0014】(3)この権利証明書は、匿名性を保った
まま再利用可能な設計となっている。 (4)また、権利証明書の利用にあっては秘密鍵dB i
が必要で、dB i は正規のユーザ認証手段を備えたユー
ザプロファイルに内蔵されているため、権利証明書は正
規のユーザ以外利用できない。
【0015】(5)証明書発行者装置CPは、保証する
内容一個一個に対応する署名鍵を用意したり、保証する
内容から生成した情報と共通の署名鍵との両方で署名を
行ったりすることで、任意の内容の任意個数の情報を証
明できる。
【0016】
【発明の実施の形態】この発明では使用する世界のモデ
ルは図9に示したように証明書発行者装置CPと資源管
理者装置RMとユーザ装置Uとで構成される。更にこの
発明ではユーザ(装置)ごとに個別のブラックボックス
Bを利用する。
【0017】ユーザのプロファイルの構成を図1に示
す。プロファイルは、誰にも秘密の情報を秘めたブラッ
クボックスBと、各証明書発行者装置CPより発行され
た証明書Cert.とで構成される。ブラックボックス
Bは記憶機能と計算機能とを持ち例えばスマートカード
のようなICカードで構成することもでき、またユーザ
装置と対応であるがこれと分離された機関に設けられて
もよい。プロファイル以外のデータは、ディスクなどの
外部記憶媒体等でバックアップ、保持することができ
る。
【0018】ブラックボックスBは関数として定義でき
るので、証明書発行時及び証明書利用時の通信は、図2
に示すようにモデル化できる。図中の矢印は、二つの実
体の間で通信が起こることを示している。通信路は、ブ
ラックボッスクBとユーザ装置間、ユーザ装置とサーバ
装置(CPあるいはRM)間の二つが考えられるが、こ
れらの安全性は同程度で、盗聴が可能であると仮定す
る。
【0019】この発明では、証明書発行手順(プロトコ
ル)の健全性等を実現するためにデジタルブラインド署
名の技術を用いる。ここではブラインド署名を次のよう
に定義する。U,Xを適当な有限集合としたとき、公開
鍵(署名検証鍵)をe∈U、秘密鍵(署名生成鍵)をd
∈Uとし、fd -1:X→Xを鍵dによる署名生成関数、
e :X→Xを鍵eによる署名検証関数とする。fe
dを知らない限り一方向性を持つ。このとき、デジタル
署名系{U,X,f.,f-1. }では、x∈Xに関して以
下の関係が成立する。通常fd -1. は署名者が、fe
署名検証者が計算する。
【0020】
【数10】 有限集合Rにおいて、r∈Rをブラインドの為の指数と
し、ブラインド関数をBle,r :X→X、ブラインド解
凍関数Ble,r -1:X→Xとする。ここでBl
e,r (x)からはxとrが判別できないとする。また、
fbd -1:X→Xをfd -1に対応するブラインド署名関
数とする。このとき、ブラインド署名可能な署名系
{U,X,f.,f-1.,fb-1 .,Bl.,Bl-1 . }は、式
(1)に加えて次の関係を満たす。
【0021】
【数11】 ブラインド署名の概念は、Chaumによって示され
た。一般に、Ble,r.とBle,r -1 . は署名発行依頼
者、fbd -1は署名者が計算する。fe.は署名検証者が
計算する。この署名法では、署名者が、署名するデータ
の内容xを確認できないので、ブラインドと呼ばれてい
る。
【0022】ブラックボックスB、ユーザ装置U、証明
書発行者装置CP、資源管理者装置RMの四者におけ
る、証明書発行プロトコル及び証明書提示プロトコルを
以下に示すが、このプロトコルは以下の特徴を持つ。 ・各々のユーザ装置Uは固有のブラックボックスBを所
持する。 ・ブラックボックスBは誰にも秘密の複数の情報(秘密
鍵)dB k (k0)と、これら各々に対応する複数の
公開情報(公開鍵)eB k を持つ。
【0023】・証明書Cは、各々特定のeB k に対応す
る形で発行される。証明書Cを使用するためには、その
秘密鍵dB k が必要である。従って、証明書Cを利用で
きるのはブラックボックスBを持つユーザ装置Uだけで
ある。 ・証明書発行者装置CPは証明書Cを発行する際、ブラ
インド署名の技術を用いて署名を行う。証明書発行者装
置CPは自分の署名した証明書Cに対応する公開鍵eB
k (即ち、ブラックボックスB、ユーザ装置U)を知る
ことができない。
【0024】・証明書発行者装置CPや資源管理者装置
RMとユーザ装置Uが結託しても、ブラックボックスB
の持つ秘密情報dB k を引き出すことはできない。 ・ユーザ装置Uは常にブラックボックスBの動作を監視
でき、証明書発行者装置CPや資源管理者装置RMとブ
ラックボックスBとの不正な情報交換を阻止できる。
【0025】・ブラックボックスBに要求される機能は
単純で非常に簡単である。このプロトコルでは、同一証
明書Cを複数の資源管理者装置RMに対して提示して利
用した場合や、同一鍵eB k と関連する形で発行された
複数の証明書を利用する場合には、これらが利用される
範囲内において、ユーザ装置の行動履歴及び個人情報が
把握される可能性がある。しかし、これはユーザ装置自
身が適度に異なった証明書、及び鍵を用いることによっ
て解決容易な事項である。ここで、ブラックボックスB
に対するユーザ装置Uの認証は、既存の個人認証の技術
を用いることを仮定しているので、この明細書では特に
述べない。つまりブラックボックスBはパスワードや指
紋認識や虹彩認識などによる正規ユーザの認証機能をも
っている。
【0026】以下に挙げるプロトコルは、上記の事項を
基盤とするが、これに加えてブラックボックスB自身の
正当性を確認するための処理が加わっていることに注意
すること。尚、権利の確認処理が終了した後は、既存の
SSL等のセキュア通信の技術を用いて、ユーザ装置U
は資源管理者装置RMの資源を利用することができる。実施例1 始めは基本として、証明書の内容が、あらかじめ証明書
発行者装置CPが決定した任意個の種類しかない場合に
ついてのプロトコルを述べる。実施例2でこのプロトコ
ルの拡張として、内容及び個数を動的に自由に変更可能
なプロトコルを述べる。 初期状態 ブラックボックスBは鍵のペア(eB 0 ,dB 0 )と、
これに対応してブラックボックスBの正当性を保証する
証明書C0 を持つ。ユーザ装置UはC0 とeB 0 を知っ
ている。証明書発行者装置CPは、自分の保証する内容
の各々に対して、それぞれ鍵のペア(eCP k ,dCP k
を決定し、各eCP k を公開している。 証明書発行 ブラックボッスクBがj番目の証明書Cj を獲得するプ
ロトコルを以下に示す。ここで、サフィックスyはブラ
ックボックスB自身の正当性を証明するために必要なデ
ータに付けられている。またブラックボックスBは、i
番目の鍵ペアをCj に対応する鍵として利用している。
【0027】以下、関数gB はX→Xとなる一方向性関
数である。また処理の流れを図3に、ブラックボックス
Bの機能構成を図4に、ユーザ装置Uの機能構成を図5
に、証明書発行者装置CPの機能構成を図6にそれぞれ
示す。 (1)ユーザはユーザ装置Uの入力操作部11を操作し
て、メモリ12内の、既存の『Bは正当である』ことを
保証する証明書から適当な証明書Cy を選ぶ。また、発
行して欲しい証明書と対応した証明書発行者装置CPの
公開鍵eCP l を選び、証明書Cy に対応したブラックボ
ックスBの公開鍵eB y (あるいはyの値)とeCP l
ブラックボックスBに送る。ユーザは今回の発行におい
て新しい鍵を用いるのかを決定する。鍵を再利用する場
合には、そのブラックボックスBの公開鍵eB i (ある
いはiの値)もブラックボックスBに送る。
【0028】(2)ブラックボックスBは、eCP l ,e
B y を受信すると、鍵生成部31から鍵のペア
(eB i ,dB i )(i0)を取出し、また乱数生成
部32から乱数rを生成し、一方向性関数器33にeB
i を入力してgB (eB i )を計算し、またeCP l
r、gB (eB i )をブラインド関数器34に入力して
式(3)の値Z1 を計算する。(1)でユーザ装置Uが
B i を送付しなかった場合、鍵ペア(eB i
B i )はブラックボックスBの鍵生成部31によって
新しく作成される。ブラックボックスBは鍵dB i をメ
モリ36に格納し、誰にも公開しない。
【0029】
【数12】 ブラックボックスBは、eB y に対応する秘密鍵dB y
を用いてZ1 の署名情報Z1 Byを署名器35で計算し、
1 ,Z1 By,eB i ,rをユーザ装置Uに送る。ただ
し、Z1 Byの生成に用いる署名法は、ブラインド署名に
対応しない通常の方法でよい。 (3)ユーザ装置Uは、Z1 ,Z1 By,eB i ,rを受
信すると、必要に応じて証明書の発行を受ける為に必要
な情報MU を作成する。通常、MU の内容は、発行され
る証明書の内容に対応して、証明書発行者装置CPがあ
らかじめ指定している。ユーザ装置Uは、Z1
1 By、MU ,Cy ,eB y を証明書発行者装置CPに
送る。この時eCP l を同時に送るか、UとCPとの間に
はUがどのeCP l を選んだかの通知が予めなされてい
る。
【0030】(4)証明書発行者装置CPはZ1 ,Z1
Byなどを受信すると、Z1 の有効性をeB y ,Z1 By
用いて署名検証器51により確認する。また、eB y
一方向性関数器52に入力してgB (eB y )を計算
し、Cy ,eCPy x を署名検証関数器53に入力し、そ
の計算結果とgB (eB y )とが一致するかを比較器5
4で比較し、つまり
【0031】
【数13】 が成り立つかを調べることによってZ1 Byの署名鍵dB
y 、すなわちBの正当性に対する確認を行う。ここで、
CPy x は、Cy の発行者装置CPy のCy に対応する
公開鍵である。このようにしてeB y の正当性を確認す
ることによってeB y と対をなすdB y の正当性を確認
する。
【0032】これらの何れかの検証に失敗すれば、証明
書は発行されず終了する。また、証明書発行者装置CP
はMU の有効性を調べる。MU が、別の証明書発行者装
置CPが発行した証明書である場合、その有効性の確認
は証明書提示プロトコルを用いて行える。証明書の発行
が適切と認められた場合には、証明書発行者装置CPは
以下の値を署名生成関数器55で計算し、これをユーザ
装置Uに送る。
【0033】
【数14】 (5)Z1 を受けたユーザ装置Uは、以下の値をブライ
ンド解凍関数器13で計算する。
【0034】
【数15】 またeB i について一方向性関数器14でg
B (eB i )を計算し、Cj とe CP l を署名検証関数器
15に入力し、feCP l (Cj )を計算し、
【0035】
【数16】 が成り立つかを比較器16で調べる。式(1)(2)よ
り、正規の手順を踏んだ有効なCj であれば上式が成り
立つことは明らかである。この有効性が確認されれば、
j ,eB i を新しい証明書としてメモリ12に保管す
る。 証明書提示 証明書Cj は、特定の内容を保証する証明書発行者装置
CPの鍵dCP l で署名された、gB (eB i )に対する
署名となっているので、この証明書の利用資格の確認は
簡単である。eB i に対応する秘密鍵dB i をブラック
ボックスBが持っていることを確認できればよい。証明
書の提示及び利用のプロトコルを以下に示す(図4、図
7参照)。
【0036】(1)ユーザUは利用したい証明書Cj
決定し、Cj と、これに対応した公開鍵eB i を資源管
理者装置RMに提示(送信)する。ここで、この証明書
j,eB i に対応する証明書発行者装置CPの鍵のペ
アを(eCP m ,dCP m )とする。eCP m は公開されてい
るはずである。 (2)資源管理者装置RMは、eCP m を用いてCj に対
し署名検証関数器によるfeCP m (Cj )を求め、かつ
B i に対し一方向性関数器62でgm (eB i )を求
め比較器63でgB (eB i )=feCP m (Cj )が成
り立つかを検証する。この検証が失敗すれば認証は失敗
である。
【0037】(3)資源管理者装置RMは、既存の公開
鍵方式の認証手順を用いて、ブラックボックスBがeB
i に対応する鍵dB i を持っているかを認証手段64と
ブラックボックスB内の認証手段37が協動して確認す
る。この通信はユーザ装置Uを仲立ちとして行われる。
この検証に成功すれば、証明書発行者装置CPがeCP m
に対応する内容をユーザ装置Uに対して保証しているこ
とを、資源管理者装置RMは納得する。実施例2 実施例1では、各証明書発行者装置CPはあらかじめ自
分の証明する内容を決定し、これに対応する公開鍵(e
CP 0 ,eCP 1 ,…eCP n )(n>0)を公開している必
要があった。実施例2は、この条件を解消し、一つの公
開情報で任意の内容を保証する。
【0038】この目的の為に、実施例2では、以下に示
す特殊なブラインド署名系を利用する。U,X,M,R
を適当な有限集合としたとき、公開鍵(署名検証鍵)を
e∈U、秘密鍵(署名生成鍵)をd∈U、証明内容をm
∈Mとし、fbd,m -1:X→Xを鍵dとmによる署名生
成関数、fe,m :X→Xを鍵eとmによる署名検証関数
とする。ただし、fe,m はdを知らない限り一方向性を
持つ関数である。また、Ble,r 、Ble,r -1 を各々
ブラインド関数とブラインド解凍関数とする。Ble,r
(x)からはxとrが判別できない。このとき、署名系
{U,X,f.,fb-1 .,Bl.,Bl-1 . }は、x∈Xに
関して次の式を満たす。
【0039】
【数17】 Bl.はブラックボックスB,fb-1. は証明書発行者
装置CP,Bl-1 . はユーザ装置Uまたはブラックボッ
クスB,f.は任意の存在が計算する。以下では、この
署名系を利用した実施例1の拡張を述べる。 初期状態 ブラックボックスBは鍵のペア(eB 0 ,dB 0 )と、
これに対応してブラックボックスBの正当性を証明する
証明書C0 ,MCP 0 を持つ。C0 とMCP 0 は両方で一つ
の証明書となる。これらについては後述参照。ユーザ装
置UはC0 とM CP 0 ,eB 0 のみを知っている。また、
証明書発行者装置CPは自分の公開鍵e CPを公開してい
る。 証明書発行 証明書発行プロトコルは、実施例1において証明書Cy
を(Cy ,MCP y )へ、eCP l をeCPへ置き換えたもの
とほぼ一致する。この処理の流れを図8に示す。各装置
の機能構成は実施例1のそれとほぼ同一である。
【0040】関数gB は、X→Xとなる一方向性関数。
CPは、MCP∈M×M×…M、m∈Mとした場合、
CP:M×M×…M→Mとなる一方向性関数である。 (1)ユーザはユーザ装置より既存の『Bは正当であ
る』ことを保証する証明書から適当な証明書Cy を選
ぶ。Cy に対応したブラックボックスBの鍵eB y(あ
るいはyの値)と証明書発行者装置CPの公開鍵eCP
ブラックボックスBに送る。ユーザ装置Uは今回の発行
において新しい鍵を用いるのかを決定する。鍵を再利用
する場合には、そのブラックボックスBの公開鍵eB i
(あるいはiの値)もブラックボックスBに送る。
【0041】(2)ブラックボックスBは、これらを受
け取ると、鍵のペア(eB i ,dB i )(i0)と、
CPと、乱数rから、以下の値Z3 を計算する。(1)
でユーザ装置UがeB i を送付しなかった場合、鍵ペア
はブラックボックスBによって新しく作成される。ブラ
ックボックスBは鍵dB i を誰にも公開しない。
【0042】
【数18】 ブラックボックスBは、eB y に対応する秘密鍵dB y
を用いてZ3 の署名情報Z3 Byを計算し、Z3
3 By,eB i ,rをユーザ装置Uに送る。ただし、Z
3 Byで用いる署名法は、ブラインド署名に対応しない通
常の方法でよい。 (3)ユーザ装置Uは、Z3 ,Z3 Byなどを受け取ると
証明書の発行を受ける為に必要な情報MU を必要に応じ
て作成する。通常、MU の内容は、発行される証明書の
内容に対応して、証明書発行者装置CPがあらかじめ指
定している。ユーザ装置Uは、Z3 とZ3 By,MU ,C
y ,MCP y ,eB y をCPに送る。
【0043】(4)証明書発行者装置CPは、これらを
受け取ると、Z3 の有効性を署名検証により検証しまた
ブラックボックスBの正当性を検証する。ブラックボッ
クスBの正当性は、feCPy,gCP(MCP y )(Cy )=g
B (eB y )が成り立つかを調べることによって行う。
ここで、eCPy は、Cy の発行者装置CPy の公開鍵で
ある。検証に失敗すれば証明書は発行されず終了する。
【0044】また、CPはMU の有効性を調べる。証明
書の発行が適切と認められた場合には、証明書発行者装
置CPは、自分が保証する内容(文書)MCPを決定し、
以下の値を計算する。証明書発行者装置CPはそのZ4
とMCPをユーザ装置Uに送る。
【0045】
【数19】 (5)ユーザ装置Uは、これらを受け取ると以下の値を
計算する。
【0046】
【数20】 ユーザ装置UはMCPからmを計算し、feCP,m (Cj
=gB (eB i )が成り立つかを調べる。式(6)等に
より、正規の手順を踏んだ場合、上式が成り立つことは
明らかである。証明書の有効性が確認されれば、Cj
CP,eB i を新しい内容を保証する証明書として保管
する。 証明書提示 証明書の提示及び利用のプロトコルは以下のようにな
る。
【0047】(1)ユーザ装置Uは資源管理者装置RM
に証明したい事項MCPを決定し、M CPと、これに対応し
た証明書Cx ,eB x を資源管理者装置RMに提示す
る。C x の発行者装置の鍵は公開されており、これをe
CPとする。 (2)資源管理者装置RMはeCPよりgB (eB x )=
eCP,m (Cx ),m=gCP(MCP)が成り立つかを調
べる。
【0048】(3)資源管理者装置RMは、既存の公開
鍵方式の認証手順を用いて、ブラックボックスBがeB
x に対応する鍵eB x を持っているかどうかを検証す
る。この通信はユーザ装置Uを仲立ちとして行われる。
この検証に成功すれば、証明書発行者装置CPがMCP
内容をユーザ装置Uに対して保証していることを、資源
管理者装置RMは納得する。実施例3 実施例1は、既存のブラインド署名可能な各種署名法、
及び公開鍵を用いた各種認証/署名手順を用いて容易に
実現可能である。この実現には前述の実施例1における
各式をそのまま対応する関数と置き換えればよく、この
実現方法は明らかである。よって、ここでは実施例1に
対しては具体例を述べない。
【0049】実施例2に対しては、式(6)を満たす関
数が一般に広くは知られていないので、実現例を示す。
ただし、以下の実現例ではブラックボックスBの認証及
び署名部分にFiat-Shamir 法を利用しているが、この部
分は他の任意の公開鍵を用いた認証/署名法に置き換え
ることが可能であることを注意しておく。 関数の定義 ここでの実現例では、ブラインド署名部分にChaum
の提案したR.S.Aを基盤とする方法を用い、ブラッ
クボックスBの認証にはFiatらの提案した方式を用
いる。ただし、式(6)を満たすようにf.とfb-1.
は拡張してある。 拡張ブラインド署名法
【0050】
【数21】 -1とr-1は、Nとの最大公約数(m,N)=(r,
N)=1の時に容易に計算できる。(m,N)≠1ある
いは(r,N)≠1は、mあるいはrがpあるいはqと
一致するときに起こり得るが、pとqが十分に大きい場
合はこの可能性は無視してよい。上記の式は次のように
式(6)を満たす。
【0051】
【数22】 べき乗関数xe (mod N)は十分大きいNとeのもとで
一方向性を持つことが知られている。だが、式(11)
の一方向性は完全なものでない。同一e及びdで既知複
数のmとxに対する計算結果が得られると、これを利用
して特殊なfe, m を偽造することが計算上容易である。
このような選択文書攻撃(chosen-message attack )を
避けるために、以下に述べる実現プロトコルでは、xが
ユーザ装置Uによって操作できないように工夫されてい
る。 ブラックボックスBの署名と認証 ブラックボックスBの署名及び認証には、既存の多くの
認証方式を適用できる。ここでは、既にICカード等で
個人認証方式として利用されている、Fiat-Shamir 方式
を利用した方法を例に用いる。Fiat-Shamir 方式は、ゼ
ロ知識性という重要な特徴に加えて、単一公開情報で複
数の内容を証明することが可能なこと、また高速に実行
が可能であることなど大きな利点をもつ。ただし、この
方式の詳細についてはここでは説明しない。
【0052】Fiat-Shamir 方式の最も提案となる方式で
は、以下の公開情報と秘密情報を定めている。 一方向性関数gB とgCP 一方向性関数gB とgCPは、各々既存の適当な任意の関
数を割り当てることができる。MD5やSHA−1の
他、秘密鍵暗号方式DESやFEALを用いてこれらを
実現することも容易である。ここでは、この部分につい
ては具体例を定めず説明を行う。 初期状態 ブラックスボックスBは鍵のペア((nB 0
B 0 ),sB 0 )と証明書C 0 ,MCP 0 ,c0 を持
つ。これらはブラックボックスBの製造者によってあら
かじめ与えられる。Fiat-Shamir 方式の特徴より、nB
0 は全てのブラックボックスBで同一でよい。従って、
B 0 をブラックボックスBの製造番号等とする場合、
ブラックボックスBにはあらかじめsB 0 を埋め込むだ
けでよい。C0 等は後から発行することができる。c0
の役割については後述参照。ユーザ装置Uは、
(nB 0 ,IB 0 )とC0 ,MCP 0 ,c0 を知ってい
る。
【0053】各証明書発行者装置CPは公開鍵(eCP
CP)を公開している(NCPは証明書は発行者装置CP
が使用するNのこと)。各証明書発行者装置CPは空の
発行済リストLCPを持つ。証明書発行者装置CPは証明
書を発行する度に、ユーザ装置Uに提示されたZ5 (下
記参照)を発行済リストLCPに登録する。登録期間は最
大TCP max で、古くなったZ5 は消去してよい。証明書
発行者装置CPはTCP max を公開している。 証明書発行 (1)ユーザ装置UはブラックボックスBの正当性を保
証する適当な証明書を選び、対応する鍵(nB y ,IB
y )(あるいはy)と証明書発行者装置CPの鍵
(eCP,NCP)をブラックボックスBに送る。ユーザ装
置Uは、証明書発行者装置CPに発行を申請する時刻T
を決定し、TS <T<Te かつTe −T S CP max
なるTS 及びTe を選び、これをブラックボックスBに
送る。
【0054】また発行に既存の鍵を利用する場合は(n
B i ,IB i )(あるいはi)をブラックボックスBに
送る。 (2)ブラックボックスBは、nB i ,IB i を受け取
ると鍵のペア((nB i ,IB i ),sB i )(i
0)と、乱数r,cj から、以下の値を計算する。即ち
ブラインド回数値を計算する。(1)でユーザ装置Uが
(nB i ,IB i)を送付しなかった場合、鍵ペアはブ
ラックボックスBによって新しく作成される。ここで‖
は結合を表す。
【0055】
【数23】 j は、gB への入力を常に異なることを保証するため
にあるので、実際にはブラックボックスBごとのカウン
タでもよい。ブラックボックスBはsB y を用いて、
(Z5 ‖Ts ‖Te )に対する署名情報Z5 Byを作成
し、Z5 ,Z5 By,(nB i ,IB i ),r,cj をユ
ーザ装置Uに送る。ここで利用する署名法は、Fiat-Sha
mir 方式である。
【0056】(3)ユーザ装置Uは、Z5 ,Z5 Byなど
を受け取ると、証明書の発行を受ける為に必要な情報M
U を必要に応じて作成する。ユーザ装置Uは、Z5 ,Z
5 By,Ts ,Te ,MU ,Cy ,MCP y ,cy ,(nB
y ,IB y )を証明書発行者装置CPに送る。 (4)証明書発行者装置CPは、Z5 ,Z5 Byなどを受
け取ると、Z5 及びT s ,Te の有効性とブラックボッ
クスBの正当性を検証する。証明書発行者装置CPの持
つ時計がTs 時からTe 時の範囲の時刻を示しているか
を確認する。時間外であれば証明書は発行されない。ま
た、Z5 が発行済リストLCPに登録されていないことも
確認する。証明書発行者装置CPはMU の有効性も調べ
る。
【0057】証明書の発行が適切と認められた場合に
は、証明書発行者装置CPはZ5 をL CPに加え、自分が
保証する内容(文書)MCPを決定して以下の値を計算す
る。即ち署名生成関数値を計算する証明書発行者装置C
PはそのZ6 とMCPをユーザ装置Uに送る。
【0058】
【数24】 (5)ユーザ装置Uは、Z6 を受け取ると、以下の値を
計算する。即ちブラインド解凍関数値を求める。 Cj =r-1(Z6 )(mod NCP) (19) ユーザ装置UはMCP等からm-1(Cj eCP =gB (n
B i ‖IB i ‖cj )(mod NCP)が成り立つかを調
べ、つまり署名検証式を満すかを調べて、Cj の有効性
を検証する。有効性が確認されれば、Cj ,MCP
j ,(nB i ,IB i )を新しい内容を保証する証明
書として保管する。 証明書提示 証明書の提示及び利用のプロトコルは以下のようにな
る。
【0059】(1)ユーザ装置Uは証明したい事項MCP
を決定し、MCPと、これと対となったCx ,cx ,(n
B x ,IB x )を資源管理者装置RMに提示する。 (2)資源管理者装置RMはeCPとNCP、ユーザ装置U
よりの情報からgB (nB x ‖IB x ‖cx )=m
-1(Cx ecp (mod NCP)が成り立つかを調べ、つま
り署名検証式を満すかを調べる。
【0060】(3)資源管理者装置RMは、Fiat-Shami
r 方式の認証手順を用いて、ブラックボックスBがnB
x とIB x に対応する鍵sB x を持っているかどうかを
検証する。この通信はユーザ装置Uを仲立ちとして行わ
れる。ただし、Fiat-Shamir方式の詳細はここでは割愛
する。この検証に成功すれば、証明書発行者装置CPが
CPの内容をユーザ装置Uに対して保証していること
を、資源管理者装置RMは納得する。なお上述における
各装置はコンピュータによりプログラムを読み出し、解
読実行させることに各機能を行わせることもできる。
【0061】
【発明の効果】以上説明したように、この発明の方法お
よび装置によれば、次の効果が得られる。 (1)資源管理者装置RMが要求する情報以外の個人情
報が漏洩しない。 (2)任意の数の証明書発行者装置CPと資源管理者装
置RMが結託しても、ユーザ(装置)の行動履歴の全貌
は把握できない。また、行動が把握される可能性のある
範囲は、ユーザ(装置)自身が決定できる。
【0062】(3)権利証明書は何度でも使用すること
ができる。 (4)正規のブラックボックスを有しないユーザ装置
は、権利証明書を利用できない。 (5)証明書発行者装置CPは任意の内容の任意個数の
情報を証明できる。
【図面の簡単な説明】
【図1】ユーザプロファイルの例を示す図。
【図2】ブラックボックスとユーザ装置と証明書発行者
装置と資源管理者装置との通信を示す図。
【図3】実施例1における証明書発行手順を示す図。
【図4】実施例1におけるブラックボックスの機能構成
を示す図。
【図5】実施例1におけるユーザ装置の機能構成を示す
図。
【図6】実施例1における証明書発行者装置の機能構成
を示す図。
【図7】実施例1における資源管理者装置の機能構成を
示す図。
【図8】実施例2における証明書発行手順を示す図。
【図9】この発明が対象としているシステム構成例を示
す図。
【手続補正書】
【提出日】平成11年2月19日(1999.2.1
9)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】請求項10
【補正方法】変更
【補正内容】
【数8】 を演算する手段であり、 上記署名検証手段は、上記公開鍵eCPを用いてブライン
ド解凍関数値Cj に対し署名検証関数値feCP (Cj
を計算する署名検証関数器と、公開鍵eB i に対し一方
向性関数値gB (eB i )を計算する一方向性関数器
と、署名検証関数値feCP (Cj )と一方向性関数値g
B (eB i )を比較し、一致なら合格とする比較器とよ
りなることを特徴とする請求項9記載のユーザ装置。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】請求項17
【補正方法】変更
【補正内容】
───────────────────────────────────────────────────── フロントページの続き (72)発明者 曽根岡 昭直 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 Fターム(参考) 5B017 AA06 AA07 BA05 BA07 BA09 BB03 CA14 CA16 5B082 AA11 EA07 EA11 EA12 GA02 GC05 5J104 AA09 LA03 LA08 NA02 PA07

Claims (19)

    【特許請求の範囲】
  1. 【請求項1】 ユーザ装置がブラックボックスと証明書
    発行者装置とに結合され、ブラックボックスは誰にも引
    き出すことができない秘密鍵を記憶したメモリを備え、 証明書発行時に、ユーザ装置は証明書発行者装置の公開
    鍵をブラックボックスへ送り、 ブラックボックスはブラックボックスの公開鍵eB i
    対してブラインド処理を行い、その結果と公開鍵eB i
    をユーザ装置に返し、 ユーザ装置は上記ブラインド処理の結果、公開鍵eB i
    を証明書発行者装置へ送り、 証明書発行者装置は、受け取ったブラインド処理結果に
    対し証明書発行者装置の秘密鍵で署名処理を施し、その
    署名処理の結果をユーザ装置に返し、 ユーザ装置は、受け取った署名処理の結果に対し、ブラ
    インド解凍処理を行い、その解凍処理結果に対し公開鍵
    B i を用いて、署名検証を行い、その検証に合格する
    と、上記解凍処理結果と公開鍵eB i を権利証明書とす
    ることを特徴とする権利証明書実現方法。
  2. 【請求項2】 ユーザ装置は上記権利証明書を資源管理
    者装置へ送り、 資源管理者装置は受け取った権利証明書に対し、署名検
    証を行い、その検証に合格すると、公開鍵方式の認証手
    順を用いてブラックボックスが上記権利証明書の公開鍵
    B i に対応する秘密鍵を持っているかの確認をユーザ
    装置を仲介して行い、この検証に成功すれば、その権利
    証明書の正当性を認めることを特徴とする請求項1記載
    の権利証明書実現方法。
  3. 【請求項3】 ユーザ装置は証明書発行者装置の公開鍵
    として、発行して欲しい証明書と対応した公開鍵eCP l
    をブラックボックスへ送り、 ブラックボックスの上記ブラインド処理は、乱数rを生
    成し、公開鍵eB i に対し、一方向性関数値gB (eB
    i )を求め、ブラインド関数値 【数1】 を求めることであり、 ブラックボックスはrもユーザ装置へ送り、 証明書発行者装置の上記署名処理は、公開鍵eCP l と対
    をなす秘密鍵dCP l を用いてZ1 に対し署名生成関数値 【数2】 を求めることであり、 ユーザ装置の上記ブラインド解凍処理は、eCP l ,rを
    用いてZ2 に対しブラインド解凍関数値 【数3】 を求めることであり、 上記解凍処理結果に対する署名検証は、eCP l を用いて
    j に対し署名検証関数値 【数4】 を求め、かつeB i に対し一方向性関数値g
    B (eB i )を求め、これらが等しいかを調べることで
    あることを特徴とする請求項1又は2記載の権利証明書
    実現方法。
  4. 【請求項4】 ユーザ装置は既存の権利証明書の一つC
    y と対応した公開鍵eB y の情報もブラックボックスへ
    送り、 ブラックボックスはeB y と対をなす秘密鍵dB y を用
    いてZ1 の署名情報Z 1 Byを作成し、Z1 Byもユーザ装
    置へ送り、 ユーザ装置はZ1 By,Cy ,eB y も証明書発行者装置
    へ送り、 証明書発行者装置はZ1 の有効性Z1 Byを用いて確認
    し、かつ、Cy の証明書発行者装置のCy に対応する公
    開鍵eCPy を用いてCy に対し署名検証関数値f
    eCPy(Cy )を求め、またeB y に対し一方向性関数値
    B (eB y )を求め、これらが等しいかを調べて、Z
    1 Byの署名鍵dB y の正当性を確認し、これらの検証に
    合格すると署名生成処理を行うことを特徴とする請求項
    3記載の権利証明書実現方法。
  5. 【請求項5】 ブラックボックスの上記ブラインド処理
    は、乱数rを生成し、公開鍵eB i に対し一方向性関数
    値gB (eB i )を求め、その値に対し、証明書発行者
    装置の公開鍵eCPと乱数rを用いてブラインド関数値 【数5】 を求めることであり、 ブラックボックスはrもユーザ装置へ送り、 証明書発行者装置の上記署名処理は、自分が保証する内
    容MCPに対し一方向性関数値m=gCP(MCP)を求め、
    CPと対をなす秘密鍵dCPとmを用いてZ3 に対して署
    名生成関数値 【数6】 を求めることであり、 証明書発行者装置はMCPもユーザ装置へ送り、 ユーザ装置の上記解凍処理は、eCP,rを用い、Z4
    対しブラインド解凍関数値 【数7】 を求めることであり、 上記解凍処理結果に対する署名検証は、MCPに対し一方
    向性関数値m=gCP(MCP)を求め、mとeCPを用いて
    j に対して署名検証関数値feCP,m (Cj )を求め、
    かつeB i に対し一方向性関数値gB (eB i )を求
    め、これらが等しいかを調べることであることを特徴と
    する請求項1又は2記載の権利証明書実現方法。
  6. 【請求項6】 ユーザ装置は既存の権利証明書の一つC
    y と対応した公開鍵eB y の情報もブラックボックスへ
    送り、 ブラックボックスはeB y と対をなす秘密鍵dB y を用
    いてZ3 の署名情報Z 3 Byを作成し、Z3 Byもユーザ装
    置へ送り、 ユーザ装置はZ3 By,eB y ,Cy ,cy と対応した情
    報MCP y も証明書発行者装置へ送り、 証明書発行者装置は、Z3 の有効性をZ3 Byを用いて確
    認し、かつMCP y に対し一方向性関数値my =gCP(M
    CP y )を求め、Cy の証明書発行者装置の公開鍵eCPy
    と、my を用いてCy に対し署名検証関数値feCPy,m y
    (Cy )を求め、またeB y に対し一方向性関数値gB
    (eB y )を求め、これらが等しいかを調べて、Z3 By
    の署名鍵dB y の正当性を確認し、これら検証に合格す
    ると署名生成処理を行うことを特徴とする請求項5記載
    の権利証明書実現方法。
  7. 【請求項7】 秘密鍵d、公開鍵eとし、N=p×q
    (p,q素数)をe,dに対応する公開情報、e×d
    (mod LCM(p−1,q−1))=1(LCM(a,
    b)は整数a,bの最小公倍数を表わす)、x<Nでx
    de=x(mod N)とし、秘密情報s、公開情報I=s2
    (mod n)、n=p×q、I(任意の識別情報)とし、 上記公開鍵eCPとして(eCP,NCP)が用いられ、 秘密鍵dB i として、sB i が、公開鍵eB i として
    (nB i ,IB i )が用いられ、 ブラックボックスは乱数cj も生成し、上記ブラインド
    関数値Z3 はrecp B (nB i ‖IB i ‖cj )(mo
    d NCP)であり、(a‖bはaとbの結合を表わす)、
    j もユーザ装置へ送り、 上記署名生成関数Z4 は(mZ3 dCP (mod NCP)で
    あり、上記ブラインド解凍関数値Zj はr-1(Z4
    (mod NCP)であり、 上記署名検証関数値はm-1(Cj eCP (mod NCP)で
    あり、これと比較する一方向性関数値はgB (nB i
    B i ‖cj )(mod NCP)であり、権利証明書にCj
    も加えることを特徴とする請求項5記載の権利証明書実
    現方法。
  8. 【請求項8】 ユーザ装置は証明書発行者装置に証明書
    発行を申請する時刻Tに対しTs <T<Te かつTe
    s 登録期間最大値TCP max を満すTs ,Te もブラ
    ックボックスへ送り、またブラックボックスの正当性を
    保証する証明書の一つCy と対応する公開鍵(nB y
    B y )と対応する情報もブラックボックスへ送り、 ブラックボックスは(nB y ,IB y )と対をなす秘密
    鍵sB y で(Z3 ‖T s ‖Te )に対する署名情報Z5
    Byを作成し、Z5 Byもユーザ装置へ送り、 ユーザ装置はZ5 By,Ts ,Te ,Cy ,MCP y
    y ,(nB y ,IB y )も証明書発行者装置へ送り、 証明書発行者装置はZ3 ,Ts ,Te の有効性をZ5 By
    を用いて確認し、またブラックボックス(sB y )の正
    当性をMCP y ,(nB y ,IB y ),Cy ,c y の証明
    書発行者装置の公開鍵(nCP y ,ICP y )を用いて確認
    し、証明書発行者装置の時計の時刻がTs とTe の間で
    あることを確認し、Z3 が発行済リストに登録されてい
    ないことを確認し、これらの確認に全て合格すると上記
    署名生成処理を行い、かつZ3 を発行済リストに加える
    ことを特徴とする請求項7記載の権利証明書実現方法。
  9. 【請求項9】 証明書発行者装置に権利証明書を発行し
    てもらうユーザ装置であって、 各種公開鍵、権利証明書のリストを記憶するメモリと、 入力操作手段と、 証明書発行時に、証明書発行者装置の公開鍵を、そのユ
    ーザ装置ごとのブラックボックスへ送る手段と、 ブラックボックスより返送されたブラックボックスの公
    開鍵eB i 及び乱数rをメモリに記憶すると共にそのe
    B i に対するブラインド処理した結果を証明書発行者装
    置へ送る手段と、 証明書発行者装置から返送された署名処理した結果に対
    しブラインド解凍処理を行うブラインド解凍手段と、 そのブラインド解凍処理結果Cj が署名検証式を満すか
    検証する署名検証手段と、 その署名検証に合格すると、そのブラインド解凍処理結
    果Cj と上記公開鍵e B i を権利証明書として上記メモ
    リへ格納する手段とを具備するユーザ装置。
  10. 【請求項10】 上記ブラインド解凍手段は、署名処理
    結果Z2 に対し、証明書発行者装置の上記公開鍵eCP
    上記乱数rを用いてブラインド解凍関数値 【数8】 を演算する手段であり、 上記署名検証手段は、上記公開鍵eCPを用いてブライン
    ド解凍関数値Cj に対し署名検証関数値feCP (Cj
    を計算する署名検証関数器と、公開鍵eB i に対し一方
    向性関数値gB (eB i )を計算する一方向性関数器
    と、署名検証関数値feCP (Cj )と一方向性関数値g
    B (eB i )を比較し、一致なら合格とする比較器とよ
    りなることを特徴とするユーザ装置。
  11. 【請求項11】 証明書発行者装置に権利証明書を発行
    してもらうユーザ装置ごとに設けられるブラックボック
    スであって、 ユーザ装置から権利証明書発行のための証明書発行者装
    置の公開鍵eCPを受け取ると、秘密鍵dB i と公開鍵e
    B i の対を生成する鍵生成手段と、 乱数rを生成する乱数生成手段と、 上記公開鍵eB i に対し、上記公開鍵eCP、乱数rを用
    いてブラインド処理を行うブラインド処理手段と、 公開鍵eB i 、乱数r、ブラインド処理結果Z1 をユー
    ザ装置へ送る手段と、 秘密鍵dB i を外部から読み出すことができないように
    格納するメモリと、 を具備するブラックボックス。
  12. 【請求項12】 上記ブラインド処理手段は、eB i
    対して一方向性関数値gB (eB i )を計算する一方向
    性関数器と、gB (eB i )に対しeCP,rを用いてブ
    ラインド関数値BleCP,r (gB (eB i ))を計算す
    るブラインド関数器とよりなることを特徴とする請求項
    11記載のブラックボックス。
  13. 【請求項13】 ユーザ装置から受け取った公開鍵eB
    y と対をなす秘密鍵dB y を用いてZ1 の署名情報Z1
    Byを求める署名生成手段を備え、 上記送る手段はZ1 Byをも送る手段であることを特徴と
    する請求項11又は12記載のブラックボックス。
  14. 【請求項14】 資源管理者装置との間で、ユーザ装置
    を介して、ブラックボックスがeB i と対応する秘密鍵
    B i を保持していることの公開鍵方式の認証手順を実
    行する認証手段を備えることを特徴とする請求項11乃
    至13の何れかに記載のブラックボックス。
  15. 【請求項15】 ユーザ装置からの依頼により権利証明
    書を発行する証明書発行者装置であって、 秘密鍵、公開鍵などを記憶するメモリと、 ユーザ装置から受け取ったブラインド処理結果Z1 に対
    し、証明書発行者装置の秘密鍵で署名を行う署名手段
    と、 その署名結果Z2 をユーザ装置へ送る手段とユーザ装置
    から受け取ったZ1 とその署名情報Z1 ByからZ1 の有
    効性を検証する署名検証手段と、 ユーザ装置から受け取った権利証明書Cy に対し、その
    証明書発行者装置のC y と対応する公開鍵eCPy を用い
    て署名検証関数値feCPy(Cy )を計算する署名検証関
    数器と、 ユーザ装置から受け取ったCy と対応する公開鍵eB i
    に対し一方向性関数値gB (eB i )を計算する一方向
    性関数器と、 計算値feCPy(Cy )とgB (eB i )を比較して等し
    ければ合格とする比較器と、 上記署名検証手段が検証に合格し、かつ上記比較器が合
    格すると上記署名を行わせる手段と、 を具備することを特徴とする証明書発行者装置。
  16. 【請求項16】 上記署名手段は、証明書発行者装置が
    保証する内容MCPに対し一方向性関数値m=g
    CP(MCP)を計算する一方向性関数器と、上記ブライン
    ド処理結果Z1 に対し、証明書発行者装置の秘密鍵dCP
    と上記mを用いて署名生成関数値 【数9】 を計算する署名生成関数器とよりなり、 上記送る手段はMCPも送ることを特徴とする請求項15
    記載の証明書発行者装置。
  17. 【請求項17】 ユーザ装置からの依頼により権利証明
    書を発行する証明書発行者装置であって、 秘密鍵、公開鍵などを記憶するメモリと、 ユーザ装置から受け取ったブラインド処理結果Z1 に対
    し、証明書発行者装置の秘密鍵で署名を行う署名手段
    と、 その署名結果Z2 をユーザ装置へ送る手段とユーザ装置
    から受け取ったZ1 とその署名情報Z1 ByからZ1 の有
    効性を検証する署名検証手段と、 ユーザ装置から受け取ったMCP y に対し一方向性関数値
    y =gCP(MCP y )を計算する一方向性関数器と、 Cy の証明書発行者装置の公開鍵eCPy,m y を用いてC
    y に対し署名検証関数値feCPy, m y (Cy )を計算す
    る署名検証関数器と、 ユーザ装置から受け取ったeB y に対し一方向性関数値
    B (eB y )を計算する一方向性関数器と、 上記計算値feCPy, m y (Cy )とgB (eB y )とを
    比較する比較器と、 上記署名検証手段の検証が合格し、かつ上記比較器の比
    較が一致であれば上記署名を実行させる手段とを具備す
    ることを特徴とする請求項16記載の証明書発行者装
    置。
  18. 【請求項18】 ユーザ装置から送られた権利証明書C
    j ,eB i を検証する資源管理者装置であって、 公開鍵を記憶するメモリと、 上記権利証明書の証明書発行者装置のCj と対応する公
    開鍵eCP m を用いてC j に対し、署名検証関数値feCP
    m (Cj )を計算する署名検証関数器と、 上記eB i に対し一方向性関数値gB (eB i )を計算
    する一方向性関数器と、 上記計算値feCP m (Cj )とgB (eB i )を比較し
    て一致すれば合格を出力する比較器と、 ユーザ装置ごとのブラックボックスが上記eB i と対応
    した秘密鍵dB i を秘密に保持していることを、公開鍵
    方式の認証手順によりユーザ装置を仲介として確認する
    認証手段と、 上記比較器が合格を出力し、かつ上記認証手段が検証に
    成功すれば、証明書発行者装置がeCP m に対応する内容
    を保証していると判定する手段とを具備することを特徴
    とする資源管理者装置。
  19. 【請求項19】 ユーザ装置から送られた権利証明書C
    j ,MCP,eB i を検証する資源管理者装置において、 公開鍵を記憶するメモリと、 上記MCPに対し一方向性関数値m=gCP(MCP)を計算
    する一方向性関数器と、 上記Cj の証明書発行者装置の公開鍵eCPと上記mとを
    用い、Cj に対し署名検証関数値feCP,m (Cj )を計
    算する署名検証関数器と、 上記eB i に対して一方向性関数値gB (eB i )を計
    算する一方向性関数器と、 上記計算値feCP,m (Cj )とgB (eB i )を比較し
    て一致すれば合格を出力する比較器と、 ユーザ装置ごとのブラックボックスが上記eB i と対応
    した秘密鍵dB i を秘密に保持していることを、公開鍵
    方式の認証手順によりユーザ装置を仲介して確認する認
    証手段と、 上記比較器が合格を出力し、かつ上記認証手段が検証に
    成功すれば、上記権利証明書のMCPの内容を証明書発行
    者装置が保証していると判定する手段と、 を具備することを特徴とする資源管理者装置。
JP3279299A 1999-02-10 1999-02-10 権利証明書実現方法、その装置 Expired - Lifetime JP3690474B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP3279299A JP3690474B2 (ja) 1999-02-10 1999-02-10 権利証明書実現方法、その装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3279299A JP3690474B2 (ja) 1999-02-10 1999-02-10 権利証明書実現方法、その装置

Publications (2)

Publication Number Publication Date
JP2000231331A true JP2000231331A (ja) 2000-08-22
JP3690474B2 JP3690474B2 (ja) 2005-08-31

Family

ID=12368714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3279299A Expired - Lifetime JP3690474B2 (ja) 1999-02-10 1999-02-10 権利証明書実現方法、その装置

Country Status (1)

Country Link
JP (1) JP3690474B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006523995A (ja) * 2003-03-21 2006-10-19 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 認可証明書におけるユーザ・アイデンティティのプライバシ
JP2011003211A (ja) * 2010-09-06 2011-01-06 Dainippon Printing Co Ltd 情報漏洩防止システム
JP2011146054A (ja) * 2004-09-30 2011-07-28 Intel Corp 永続無線ネットワーク接続を維持する方法、装置、及びシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006523995A (ja) * 2003-03-21 2006-10-19 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 認可証明書におけるユーザ・アイデンティティのプライバシ
JP2011146054A (ja) * 2004-09-30 2011-07-28 Intel Corp 永続無線ネットワーク接続を維持する方法、装置、及びシステム
JP2011003211A (ja) * 2010-09-06 2011-01-06 Dainippon Printing Co Ltd 情報漏洩防止システム

Also Published As

Publication number Publication date
JP3690474B2 (ja) 2005-08-31

Similar Documents

Publication Publication Date Title
CN113014392B (zh) 基于区块链的数字证书管理方法及***、设备、存储介质
US6148404A (en) Authentication system using authentication information valid one-time
US9350555B2 (en) Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer
US7689828B2 (en) System and method for implementing digital signature using one time private keys
US6553493B1 (en) Secure mapping and aliasing of private keys used in public key cryptography
US9882890B2 (en) Reissue of cryptographic credentials
JP2019506103A (ja) 信頼できるアイデンティティを管理する方法
US20050097316A1 (en) Digital signature method based on identification information of group members, and method of acquiring identification information of signed-group member, and digital signature system for performing digital signature based on identification information of group members
JP2013140402A (ja) 公開鍵を検証可能に生成する方法及び装置
CN113221089B (zh) 基于可验证声明的隐私保护属性认证***及方法
JPH11119649A (ja) 認証方法および装置
CN101257380A (zh) 用户实体自产生公钥证书并管理公钥证书***和方法
US20020161997A1 (en) Content distribution system
CN113364597A (zh) 一种基于区块链的隐私信息证明方法及***
JPH11231781A (ja) 認証方法および装置
US7366911B2 (en) Methods and apparatus for computationally-efficient generation of secure digital signatures
CN111314059B (zh) 账户权限代理的处理方法、装置、设备及可读存储介质
EP4014428A1 (en) System and method for electronic signature creation and management for long-term archived documents
JP2004228958A (ja) 署名方法および署名プログラム
JP3690474B2 (ja) 権利証明書実現方法、その装置
CN114329610A (zh) 区块链隐私身份保护方法、装置、存储介质及***
Fan et al. Anonymous fair transaction protocols based on electronic cash
JP5159752B2 (ja) 通信データの検証装置及びそのコンピュータプログラム
JP2000331073A (ja) 権利証明書実現方法、その装置、及びそのプログラム記録媒体
JPH1165441A (ja) 複数暗号文の平文同一性証明方法および装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050524

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050607

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100624

Year of fee payment: 5