JP2009033740A - 匿名フレキシブル認証による分散型許可のための方法および装置 - Google Patents

匿名フレキシブル認証による分散型許可のための方法および装置 Download PDF

Info

Publication number
JP2009033740A
JP2009033740A JP2008168143A JP2008168143A JP2009033740A JP 2009033740 A JP2009033740 A JP 2009033740A JP 2008168143 A JP2008168143 A JP 2008168143A JP 2008168143 A JP2008168143 A JP 2008168143A JP 2009033740 A JP2009033740 A JP 2009033740A
Authority
JP
Japan
Prior art keywords
pseudonym
resource
authentication information
user
derived
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008168143A
Other languages
English (en)
Other versions
JP2009033740A5 (ja
Inventor
Ke Zeng
カ ゼン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC China Co Ltd
Original Assignee
NEC China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC China Co Ltd filed Critical NEC China Co Ltd
Publication of JP2009033740A publication Critical patent/JP2009033740A/ja
Publication of JP2009033740A5 publication Critical patent/JP2009033740A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

【課題】 匿名フレキシブル認証による分散型許可のための方法および装置が提供される。
【解決手段】 偽名機関は、ルート偽名をユーザに発行する。ユーザは、ルート偽名から大量の派生偽名を生成することができる。ユーザは、派生偽名を使用することによって、リソースプロテクタからリソース認証情報を取得することができる。ユーザは、1組のリソース認証情報を選択し、この1組のリソース認証情報からフレキシブル認証情報を生成し、フレキシブル認証情報および派生偽名を使用して、1組のリソース認証情報に対応するリソースへのアクセスを、リソースプロテクタに要求することができる。リソースごとの取り消しリストは、システムにおいて維持することができ、したがって、任意のユーザのリソース認証情報のうちの任意の1つを、そのユーザの他のリソース認証情報に影響を及ぼすことなく、取り消すことができる。
【選択図】 図1

Description

本発明は、一般にコンピュータ通信ネットワークセキュリティに関し、より詳細には、プライバシを保護する機能を備える分散型許可のための通信方法、システム、および装置に関する。
様々なアプリケーションが導入され始めたコンピュータ通信ネットワークの普及に伴い、許可ベースのアプリケーションにおける消費者のプライバシの保護は、もはや後回しにすることができない問題である。
認証とは、ユーザが本人であることを確認する事であり、許可とは、ユーザの識別に基づいて、ユーザが様々なサービスにアクセスすることができるようにする事である。従って、論理的に許可より先に認証が行われる。アクセス制御リスト(ACL)など、現在の業界の慣行は、ユーザの認証情報をローカルデータベースから取り出し、そのユーザの認証情報が、リソースに関連する所与のアクセス制御ポリシーを満たしていることをチェックすることによって、許可を行う。ユーザの一意の識別をリソースプロテクタに開示することは、ユーザの認証情報を取り出すために必要であるため、こうした慣行は、ユーザのプライバシを犠牲にして、安全な許可を達成する。
図16に示されているように、許可システムは、機関の種類として、偽名機関(PA)、ユーザ、リソースホルダー(RH)、およびリソースプロテクタ(RP)を有する。PAは、例えば、ネットワークに結合されており、システムにおける偽名の使用を管理するサーバなどである。RHは、例えば、コンテンツデータ、計算リソースなどを有するワークステーション、またはネットワークに結合されている、いくつかのサービスなどを提供するサーバである。RPは、例えば、ネットワークに結合されており、リソースへのアクセスを制御するログインサーバなどである。ユーザは、例えば、パーソナルコンピュータ(PC)や端末がネットワークに結合されている状態で、偽名を使用することにより、リソースにアクセスすることができる。
PAは、偽名をユーザに付与し、不審なユーザをトレースし、不正を働くユーザを取り消すことができる信頼できる第三者機関としての役割を果たす。
RHは、いくつかのリソースを管理し、アクセス権、すなわち認証情報をユーザに付与する。
RPは、リソースを保護し、ユーザの認証情報を検証する。ユーザは、異なるRHによって発行された認証情報をRPに対して証明することができ、これは、許可システムの一般的な慣行であることに留意されたい。例えば、あるユーザは、会社A(第1のRHからの認証情報を備える)および会社B(第2のRHからの認証情報を備える)のゴールドカスタマーである場合、会社Cのリソースに対するゴールドメンバーのアクセス権が(第3のRHのRPによって)与えられる。
以下の特徴のいずれかを有する高プライバシ許可システムを実現することが望ましい。
(1)リンク不能な匿名性。ユーザとRHとの間の複数の対話の後、RHがユーザの識別を確認することは難しい。さらに、ユーザとRPとの間の複数の対話の後、RPがユーザの識別を確認することは難しい。
(2)拡張性。ユーザは、匿名で、認証情報をRPに対して証明し、第三者機関のオンラインの関与無しにRPに確信させる。特に、これによって、RHは、ユーザとRPとの間の対話ごとに認証情報を再発行しない。
(3)きめの細かい匿名性。全認証情報をRPに対して常に証明する代わりに、ユーザは、認証情報の任意の部分を選択してRPに証明することができる。
(4)きめの細かい取り消し可能性。認証情報の取り消しは、ユーザごと、および権利ごとに行うことができる。ユーザの任意のアクセス権、すなわち、ユーザの任意の認証情報は、ユーザの他の認証情報に影響を与えること無く、取り消すことができる。
(5)一定した高価な計算。きめの細かい匿名性が達成されたとき、高価な暗号計算の量は、証明するために選択された認証情報の数に依存しない。例えば、スカラ乗法、モジュラ冪法、および組み合わせ評価は、一般に高価であると考えられる。さらに、きめの細かい取り消し可能性が達成されたとき、高価な暗号計算の量は、取り消しを検証する際に選択される認証情報の数に依存しない。
(6)拡大性。許可システムが新しいRHに対応するよう拡大する場合、または既存のRHが新しいリソースを管理するよう拡大する場合、ユーザがすでに保持している認証情報を変更する必要はない。特に、発行された任意の認証情報の再発行は、回避すべきである。
これは、最初に、D. Chaum, J. H. Evertst, A Secure and Privacy−protecting Protocol for Transmitting Personal Information Between Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986で紹介されており、認証情報をリソースホルダーに要求し、リソースプロテクタに対して認証情報を匿名で証明する複数のユーザに関するシナリオである。この論文およびその後のものでは、「組織」という用語は、リソースホルダーとリソースプロテクタの論理的な組み合わせを表すために使用されている。
Chaumらによって提案された方式は、信頼できる第三者機関をすべての対話に関与させることに基づく。Chen(L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol.1029, pp. 232−243, 1995参照)およびLysyanskayaら(A. Lysyanskaya, R. Rivest, A. Sahai, S. Wolf, Pseudonym Systems. In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999参照)によって提案された後の方式も、すべての対話に関与する信頼できる第三者機関に依存する。リンク不能とするために、リソースホルダーに、ユーザとリソースプロテクタとの間の対話ごとに認証情報を再発行させることは、不可避である。したがって、これらの匿名認証情報方式は、拡張可能ではない。
さらに、Camenischらも、2つの匿名認証情報方式(J. Camenisch, A. Lysyanskaya, An Efficient System for Non−Transferable Anonymous Credentials with Optional Anonymity Revocation, In Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001, and J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004参照)を提案しており、これらは、リンク不能な匿名性および拡張性を達成する。
しかし、上述した従来の方式では、リソースホルダーが管理することができるリソースは、リソースホルダーの公開鍵内のいくつかのパラメータによって決定される。パラメータへのどんな変更も、すでに発行されている認証情報のリフレッシュを必ずもたらす。したがって、拡大性は達成されない。
また、従来の方式では、ユーザの認証情報は、RHによって共に結合されており、ユーザは、全認証情報をRPに対して証明しなければならない、または高価な暗号計算の量は、証明された認証情報の数に対して比例する。したがって、きめの細かい匿名性、および一定した高価な計算は、達成されない。
さらに、従来の方式では、図17に示されているように、ユーザの1つのアクセス権を取り消す唯一の方法は、ユーザの全アクセス権を取り消すこと、すなわち、ユーザのすべての認証情報を無効にし、次いで新しい認証情報をユーザに発行することである。したがって、きめの細かい取り消し可能性は達成されない。
D. Chaum, J. H. Evertst, A Secure and Privacy−protecting Protocol for Transmitting Personal Information Between Organizations, in Proc. of Advances in Cryptology − Crypto ’86, LNCS vol. 263, pp. 118−167, 1986 L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol.1029, pp. 232−243, 1995 A. Lysyanskaya, R. Rivest, A. Sahai, S. Wolf, Pseudonym Systems. In Proc. of Selected Areas in Cryptography, LNCS vol. 1758, pp. 184−199, 1999 J. Camenisch, A. Lysyanskaya, An Efficient System for Non−Transferable Anonymous Credentials with Optional Anonymity Revocation, In Proc. of Advances in Cryptology−EuroCrypto ’01, LNCS vol. 2045, pp. 93−118, 2001 J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology−Crypto ’04, LNCS vol. 3152, pp. 56−72, 2004 D. Boneh, M. Franklin, Identity−Based Encryption from the Weil Pairing, Proc. Crypto ’01, LNCS, vol. 2139, pp. 213−229, 2001 S. Galbraith, K. Harrison, D. Soldera, Implementing the Tate pairing, Proc. of the 5th International Symposium on Algorithmic Number Theory, LNCS 2369, 324−337, 2002 A. Miyaji, M. Nakabayashi, S. Takano, New Explicit Conditions of Elliptic Curves for FR−reduction, IEICE Trans. Fundamentals, E84−A(5): 1234−1243, 2001 S. Goldwasser, S. Micali, C, Rackoff, The knowledge Complexity of Interactive Proof Systems, 17th ACM Symposium on Theory of Computation, pp. 291−304, 1985 A. Fiat, A. Shamir, How To Prove Yourself: Practical Solutions to Identification and Signature Problems, Advances in Cryptology−CRYPTO ’86, pp. 186−194, 1986 D. Chaum, Demonstrating Possession of a Discrete Logarithm without Revealing It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987 D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987 D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993 K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998 Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006 D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004 A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996
上記の問題を鑑みて、本発明がなされた。
本発明の一態様によれば、ルート偽名を発行するステップと、1つ以上のリソース認証情報を取得するステップと、ル―ト偽名から第1の派生偽名を生成するステップと、前記1つ以上のリソース認証情報から1組のリソース認証情報を選択するステップと、1組のリソース認証情報からフレキシブル認証情報を生成するステップと、第1の派生偽名およびフレキシブル認証情報を使用することによって、アクセス要求を行うステップと、第1の派生偽名およびフレキシブル認証情報を検証した後、アクセス要求を承諾するステップとを含む、通信システムのための方法が提供される。
システムパラメータをセットアップするように構成されているシステムパラメータセットアップ手段と、ユーザ識別検証を行うように構成されている識別検証手段と、ユーザ偽名鍵をユーザに割り当てるように構成されているユーザ偽名鍵割当手段と、ユーザ偽名鍵に基づいて、ユ―ザに発行されるべきルート偽名を生成するように構成されているルート偽名生成手段とを備える、通信システムにおいて偽名を管理するための装置が提供される。
本発明の別の態様によれば、ユーザ端末からのユーザの要求が受信されると、ユーザ識別を検証するステップと、ユーザ識別が検証をパスした場合、ユーザ偽名鍵をユーザに割り当てるステップと、ユーザ偽名鍵に基づいてルート偽名を生成するステップとを含む、通信システムにおいて偽名を管理するための方法が提供される。
本発明の別の態様によれば、リソースごとにリソース秘密鍵およびリソース公開鍵を生成するように構成されているリソース鍵生成手段と、ユーザの派生偽名を検証するように構成されている偽名検証手段と、ユーザの派生偽名に基づいて、ユーザのユーザ端末に送信されるべきリソースの認証情報を生成するように構成されている、認証情報生成手段とを備える通信システムにおいて、1つ以上のリソースの認証情報を管理するための装置が提供される。
本発明の別の態様によれば、リソースごとにリソース秘密鍵およびリソース公開鍵を生成するステップと、ユーザ端末からのユーザの要求が受信されると、ユーザの派生偽名を検証するステップと、検証がパスした場合、派生偽名に基づいて、ユーザ端末に送信されるべきリソースの認証情報を生成するステップとを含む、通信システムにおいて、1つ以上のリソースの認証情報を管理するための方法が提供される。
本発明の別の態様によれば、ルート偽名を取得するように構成されているルート偽名取得手段と、1つ以上のリソース認証情報を取得するように構成されているリソース認証情報取得手段と、ルート偽名から第1の派生偽名を生成するように構成されている派生偽名生成手段と、選択された1組のリソース認証情報からフレキシブル認証情報を生成するように構成されているフレキシブル認証情報生成手段とを備え、ユーザ端末が、第1の派生偽名およびフレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを取得する、通信システムにおけるユーザ端末が提供される。
本発明の別の態様によれば、ルート偽名を取得するステップと、1つ以上のリソース認証情報を取得するステップと、ルート偽名から第1の派生偽名を生成し、選択された1組のリソース認証情報からフレキシブル認証情報を生成するステップと、第1の派生偽名およびフレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを取得するステップとを含む、通信システムにおけるユーザ端末のための方法が提供される。
本発明の別の態様によれば、ユーザの派生偽名を検証するように構成されている偽名検証手段と、ユーザのフレキシブル認証情報を検証するように構成されているフレキシブル認証情報検証手段と、偽名検証手段およびフレキシブル認証情報検証手段の検証結果に基づいて、フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与えるように構成されている許可手段とを備える、通信システムにおける1つ以上のリソースへのアクセスを管理するための装置が提供される。
本発明の別の態様によれば、ユーザの派生偽名を検証するステップと、ユーザのフレキシブル認証情報を検証するステップと、派生偽名およびフレキシブル認証情報の検証結果に基づいて、フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与えるステップとを含む、通信システムにおける1つ以上のリソースへのアクセスを管理するための方法。
また、本発明は、本発明による方法をプロセッサに実行させる命令を記録した機械可読媒体を有する製品も提供する。
本発明の解決策によれば、ユーザは、許可された後、ユーザがその認証情報をリソースプロテクタに対して何度証明しようと、匿名のままでいることができ、さらにリソースホルダーに連絡する必要はない。同時に、PAの公開鍵が決定され、発行された後、PAが対応することができるRHの数は、可変である。また、リソースホルダーの公開鍵が決定され、発行された後、リソースホルダーが管理することができるリソースの数は、固定されず、発行された認証情報の変更は必要ない。
さらに、ユーザは、リソースプロテクタに対して、そのユーザの全組のアクセス権の任意の部分を選択的に証明することができる。また、ユーザがアクセス権の任意の部分を証明するための計算コストは、証明される権利の数に依存しない(1つのみの権利を証明するためのものと同じである)。
さらに、偽名機関は、ユーザの他の権利を変更することなく、ユーザのリソース認証情報のうちの任意の1つを取り消すことができる。また、偽名機関は、リソースホルダーの関与無しに、取り消しを行うことができ、言い換えれば、きめの細かい取り消しは、リソースホルダーの秘密鍵を必要とすることなく達成される。任意の数のリソース認証情報が取り消されるかどうかを検証するために必要な高価な計算の量は、一定しており、すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じである。
以下の詳細な説明および図面から、本発明の他の特徴および利点が明らかになる。本発明は、図面または任意の特定の実施形態に示されている例に決して限定されないことに留意されたい。
図1は、本発明による解決策の一般的概念を概略的に示す。図1に示されるように、偽名機関PAは、ルート偽名をユーザに発行し、ユーザは、ユーザ自身によってルート偽名から計算された派生偽名を使用することによって、リソースホルダーRHからリソース認証情報を取得する。ユーザは、1つ以上のリソースにアクセスしたいとき、ユーザが有するすべてのリソース認証情報から、アクセスすることが望まれるリソースに対応する1組のリソース認証情報を選択し、この組のリソース認証情報によって特別な認証情報を生成する。こうした認証情報を、ユーザによって選択された任意のリソース認証情報に基づいて生成することができ、以下、フレキシブル認証情報と呼ぶ。その後、ユーザは、生成されたフレキシブル認証情報、およびルート偽名から計算された派生偽名をリソースプロテクタRPに対して証明し、リソースプロテクタRPによって検証された後、所望のリソースへのアクセス権を得る。
本発明の解決策によれば、ユーザは、ルート偽名から、互いに異なる多数の派生偽名を生成することができる。また、リソースプロテクタとの各対話において、ユーザは、偽名機関への複数回の要求の必要無く、異なる派生偽名を使用することができる。
図2は、本発明の解決策による認証情報の使用および取り消しを示す概要図である。図2に示されるように、ユーザは、リソース認証情報の一部を選択し、そこからフレキシブル認証情報を生成し、そのフレキシブル認証情報を、検証のためにリソースプロテクタに送信することができ、これは、すべてのリソース認証情報がリソースプロテクタに対して証明される従来の方式とは異なる。さらに、こうしたフレキシブル認証情報により、検証は、単にユーザとリソースプロテクタとの間で行われ、偽名機関またはリソースホルダーは関与しない。さらに、本発明による偽名機関PAは、ユーザのリソース認証情報を取り消すことができる。さらに、偽名機関PAは、きめの細かい取り消しを実現するために、取り消しリストを維持することができる。すなわち、ユーザの1つ以上のリソース認証情報のみが取り消され、他のリソース認証情報は影響を受けない。
以下、図面を参照して、本発明の実施形態例について説明する。実施形態は、単に、例示の目的で記載されているにすぎず、本発明は、記載された任意の特定の実施形態に限定されないことに留意されたい。

(第1の実施形態)
以下の説明では、一例として従来の乗法群表記法が使用される。しかし、楕円曲線設定値にしばしば使用される加法表記法も同様に使用できることを当業者であれば理解されよう。
Figure 2009033740
および

Figure 2009033740
および追加群
Figure 2009033740
は、

Figure 2009033740
となるような有限巡回群であるとし、この場合、pは、何らかの大きい素数である。双線形マップ

Figure 2009033740
(D. Boneh, M. Franklin, Identity−Based Encryption from the Weil Pairing, Proc. Crypto ’01, LNCS, vol. 2139, pp. 213−229, 2001; S. Galbraith, K. Harrison, D. Soldera, Implementing the Tate pairing, Proc. of the 5th International Symposium on Algorithmic Number Theory, LNCS 2369, 324−337, 2002; and A. Miyaji, M. Nakabayashi, S. Takano, New Explicit Conditions of Elliptic Curves for FR−reduction, IEICE Trans. Fundamentals, E84−A(5): 1234−1243, 2001参照)は、以下を満たす関数である。

i.双線形:すべての

Figure 2009033740
、およびすべての

Figure 2009033740
について、e(h ,h )=e(h,habが成り立つ。
ii.非縮退性:Iが

Figure 2009033740
の識別である場合、e(h,h)≠Iとなるような

Figure 2009033740
である。
iii.計算可能性:eを計算する効率のよいアルゴリズムが存在する。
セットアップアルゴリズムSetup(・)は、入力セキュリティパラメータlにおいて、双線形マップの上記の設定値を出力し、以下のように定義される。

Figure 2009033740
この場合、lは、システムのセキュリティ長さがkビットとして選択されていることを意味する。

Figure 2009033740
および

Figure 2009033740
は、同じ素数位数pのものであるため、双線形特性および非縮退特性に従って、e(g,g)=gであることがわかることは容易である。

(システム構成)
本発明による通信システムは、偽名機関PA、リソースホルダーRH、リソースプロテクタRP、およびリソースへのアクセスを望んでいるユーザを含み、これらは、互いに通信することができる。
図3は、本発明の第1の実施形態による偽名機関PA300の構成の一例を示す。図3に示されるように、PA300は、主に、システムパラメータをセットアップするためのシステムパラメータセットアップ手段310、ユーザ識別検証を行うための識別検証手段320、ユーザ偽名鍵をユーザに割り当てるためのユーザ偽名鍵割当手段330、ユーザのルート偽名を生成するためのルート偽名生成手段340、PAの操作に必要なデータを格納するための格納手段350、およびシステムにおける他の装置と通信するための通信手段360を備え、これらは互いに結合されている。
図4は、本発明の第1の実施形態によるリソースホルダーRH400の構成の一例を示す。図4に示されるように、RH400は、主に、リソースごとにリソース秘密鍵およびリソース公開鍵を選択するためのリソース鍵生成手段410、ユーザの派生偽名を検証するための偽名検証手段420、ユーザの派生偽名に基づいてユーザのリソースの認証情報を生成するための認証情報生成手段430、RHの操作に必要なデータを格納するための格納手段440、およびシステムにおける他の装置と通信するための通信手段450を備え、これらは互いに結合されている。
図5は、本発明の第1の実施形態によるユーザ端末500の構成の一例を示す。図5に示されるように、ユーザ端末500は、主に、ルート偽名を取得するためのルート偽名取得手段510、ルート偽名から派生偽名を生成するための派生偽名生成手段520、リソース認証情報を取得するためのリソース認証情報取得手段530、選択されたリソース認証情報からフレキシブル認証情報を生成するためのフレキシブル認証情報生成手段540、ユーザ端末500の操作に必要なデータを格納するための格納手段550、およびシステムにおける他の装置と通信するための通信手段560を備え、これらは互いに結合されている。
図6は、本発明の第1の実施形態によるリソースプロテクタRP600の構成の一例を示す。図6に示されているように、リソースプロテクタRP600は、主に、ユーザの偽名を検証するための偽名検証手段610、ユーザのフレキシブル認証情報を検証するためのフレキシブル認証情報検証手段620、リソースにアクセスする権限をユーザに与えるための許可手段630、リソースプロテクタRP600の操作に必要なデータを格納するための格納手段640、およびシステムにおける他の装置と通信するための通信手段650を備え、これらは互いに結合されている。
以下、本発明の第1の実施形態による手順の一例について詳述する。

(偽名機関のセットアップ)
許可システムが起動すると、PAは、それが望むセキュリティ強度を決定し、基本的な代数を選択し、その秘密鍵を生成し、公開鍵を発行する必要がある。図7は、PAがセットアップする特定の手順を示す。
図7に示されるように、ステップS701で、PAのシステムパラメータセットアップ手段310は、それが望むセキュリティ長に従って安全なパラメータlを決定し、セットアップアルゴリズム

Figure 2009033740
を呼び出す。
ステップS702で、システムパラメータセットアップ手段310は、整数

Figure 2009033740
をPAの秘密鍵として無作為に選択し、

Figure 2009033740
を計算する。
ステップS703で、PAは、通信手段360を介してその公開鍵

Figure 2009033740
を発行する。

(リソースホルダーのセットアップ)
本発明の第1の実施形態によるリソースホルダーがセットアップする特定の手順を図8に示す。図8に示されるように、PA公開鍵PKPAを取得した後、リソースR (j=1,2,…,n)を管理するリソースホルダーRHは、以下のステップを行う。
ステップS801で、RHのリソース鍵生成手段410は、R ごとに整数

Figure 2009033740
をR のリソース秘密鍵として選択し、リソースj=1,2,…,nごとにリソース公開鍵

Figure 2009033740
を計算する。
ステップS802で、リソース鍵生成手段410は、B の組ごとに知識証明の署名も生成し、

Σi j=SKP{(xj) : Bi j=g2 xj},
j=1, 2, …, ni

それによってRHは、

Figure 2009033740
の知識を証明することができる。
ここで、表記SKPは、いわゆる知識証明技術を示す(参照により本明細書に組み込む、S. Goldwasser, S. Micali, C, Rackoff, The knowledge Complexity of Interactive Proof Systems, 17th ACM Symposium on Theory of Computation, pp. 291−304, 1985を参照)。ゼロ知識における離散対数の知識を証明するために、多くの方法が提案されている(知識証明の計算および実装の特定の例を漸進的に記載しており、参照により本明細書に組み込まれる、A. Fiat, A. Shamir, How To Prove Yourself: Practical Solutions to Identification and Signature Problems, Advances in Cryptology−CRYPTO ’86, pp. 186−194, 1986; D. Chaum, Demonstrating Possession of a Discrete Logarithm without Revealing It, Advances in Cryptology−CRYPTO ’86, pp. 200−212, 1987; D. Chaum, J. H. Evertse, J. van de Graaf, An Improved Protocol for Demonstrating Possession of Discrete Logarithms and Some Generalizations, Advances in Cryptology− EUROCRYPTO ’87, pp.127−141, 1987; D. Chaum, T. P. Pedersen, Wallet Databases with Observes, Advances in Cryptology−CRYPTO ’92, pp. 89−105, 1993; K. Sako, J. Kilian, Receipt−Free Mix−Type Voting Scheme ― A Practical Solution to the Implementation of a Voting Booth, Advances in Cryptology−CRYPTO ’98, pp. 393−403, 1998; and Ke Zeng, Pseudonymous PKI for Ubiquitous Computing, LNCS 4043, pp. 207−222, EuroPKI ’06, 2006参照)。例えば、SKP{(x):B =g xj}は、リソースホルダーRHが、計算においてxの情報を明らかにすること無く、B =g xjとなるようなxを知っていることを証明することができることを示す。
知識証明を行う従来の様々な方法を、本発明の実施形態に使用することができる。これらは、当分野では知られているため、その詳細は、ここでは説明しない。対話型および非対話型の知識証明を本発明の実施形態に使用することができることは、当業者には明らかである。非対話バージョンの知識証明は、ユーザ装置とサービス装置との間の往復の通信を減らすことができ、したがって、ネットワーク稼働率と時間消費に関して有利である。しかし、ユ―ザ装置とサービス装置は、反射攻撃を防ぐために、同じ時間起点を共有することが必要となり得る。対話型および非対話型の変形体の利点および欠点は、当業者にはよく知られている。
ここで図8に戻る。ステップS803で、RHは、通信手段430を介してその公開鍵PK RH={(B ,Σ )}、j=1,2,…,nを発行する。式中、B は、リソースR の公開鍵である。あるいは、RHは、{(B ,Σ )}、j=1,2,…,nをPAに送信し、PK RHをRH自体によって発行する代わりに、PAに発行させてもよい。知られているように、Σ は、リソースホルダーRHがシステムに対する攻撃に対するような方法でR を生成することを示す。
実際は、偽名機関が、リソースホルダーによって管理されるリソースに、リソースホルダーの代わりに、リソース秘密鍵を割り当てることも可能である。さらに、リソース秘密鍵およびリソース公開鍵の知識証明の署名は、偽名機関によって計算され、発行されてもよい。本発明の代替実施形態において、偽名機関は、さらに、リソース秘密鍵を割り当て、リソース公開鍵を計算し、かつ/またはリソース秘密鍵の知識証明の署名を生成するためのリソース鍵生成手段(図示せず)を備えていてもよい。

(偽名の発行)
図9は、本発明の第1の実施形態によるルート偽名を発行する特定の手順を示す。図9に示されるように、PA公開鍵PKPAが与えられると、検証可能な識別Uを有するユーザは、PAから偽名を取得するために、PAとの次の対話を行う。
ステップS901で、ユーザ端末のルート偽名取得手段510は、PAにルート偽名を要求し、ユーザの検証可能な識別Uは、通信手段560によってPAに送信される。
ステップS902で、PAの識別検証手段320は、ルート偽名をそのユーザに発行するかどうかを決定するために、ユーザの識別Uを検証する。ユーザが検証をパスしない場合、PAは、ルート偽名をユーザに発行せず、プロセスは、障害処理のためにステップS903に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
ユーザに偽名が発行される資格があることが決定されると、PAのユーザ偽名鍵割当手段330は、ステップS904で、Uのために格納するユーザ偽名鍵zについて、そのデータベース(例えば格納手段350に格納されていてもよい)をチェックする。一致するユーザ偽名鍵が見つかった場合、プロセスはステップS906に進む。そうでない場合、プロセスはステップS905に進み、PAのユーザ偽名鍵割当手段330は、そのユーザの偽名鍵としてUのために

Figure 2009033740
Uを選択する。
ステップS906で、PAのルート偽名生成手段340は、ユーザのルート偽名として、

Figure 2009033740
を計算する。
ステップS907で、PAは、格納手段350内のデータベースに(U,z)を格納し、ユーザ偽名鍵z、およびルート偽名tを、通信手段360によってユーザに送信する。
PAによって送信されたユーザ偽名鍵zおよびルート偽名tを受信した後、ユーザ端末のルート偽名取得手段510は、e(t,A・g )=e(g,g)であるかどうかをチェックする。検証が失敗すると、プロセスはステップS901に進んで、再度要求を行う。あるいは、ユーザは、データの再送を要求するための通知をPAに送信する。
検証が成功すると、ユーザは、ユーザ偽名鍵zおよびルート偽名tを格納手段550に格納する。
PAがユーザの識別を検証し、ユーザの検証可能な識別Uと実際のユーザとの間の関連を確実にするための既知の様々な方法があることに留意されたい。PAがこれをどのように達成するかは、本発明に直接関連していないため、その詳細な説明は、ここでは省略する。

(認証情報の発行)
認証情報の発行の手順は、概念上、2つの段階に解釈することができる。第1の段階は、偽名検証を行うことであり、第2の段階は、認証情報を発行することである。図10は、本発明の第1の実施形態による認証情報の発行の特定の手順を示す。図10に示されるように、PA公開鍵PKPA、およびリソースR の公開鍵B が与えられると、ユーザ偽名鍵zおよびルート偽名tを所有するユーザは、リソースR に対するアクセス権を取得するために、リソースR を管理するリソースホルダーRHとの次の対話を行う。
ステップS1001で、ユーザ端末の派生偽名生成手段520は、

Figure 2009033740
を選択し、派生偽名T=ttを計算する。
ステップS1002で、ユーザ端末の派生偽名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2)
: e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
ステップS1003で、ユーザ端末のリソース認証情報取得手段530は、リソースR の認証情報をリソースホルダーRHに要求し、派生偽名T、および知識証明の署名が、通信手段560を介してリソースホルダーRHに送信される。
ステップA1004で、Σを受信した後、RHは、Σの妥当性をチェックする。Σが無効である場合、RHは、ユーザに認証情報を発行せず、プロセスは、障害処理のためにステップS1005に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
Σが有効である場合、ステップS1006で、RHの認証情報生成手段430は、認証情報vij’=Tbijを計算し、認証情報vij’は、ユーザに送信される。
RHから認証情報vij’を受信した後、ユーザ端末のリソース認証情報取得手段530は、リソース認証情報vij=vij'1/tを計算する。
次いで、ステップS1008で、ユーザ端末のリソース認証情報取得手段530は、e(t,B)=e(vij,g)であるかどうかをチェックする。検証が失敗すると、プロセスはステップS1001に戻って、再度要求を行う。そうでない場合、ユーザは、データの再送を要求するための通知をRHに送信する。
検証が成功すると、ユーザは、ステップS1009で、リソースR のリソース認証情報としてvijを格納手段550に格納する。
ユーザがリソースR の認証情報を要求することを一例として挙げることによって、認証情報発行手順について上述したが、リソースホルダーが複数のリソースを管理する場合、ユーザが、上記の手順を複数回行うことによって、複数のリソース認証情報を取得する、または手順を一度行うことによって、複数のリソース認証情報の要求、および取得を同時に行うことができることが考えられる。
当然、ユーザが、ルート偽名tを直接使用することによって、リソースホルダーからリソース認証情報を取得することも可能である。この場合、上記の派生偽名Tは、ルート偽名tと置き換えられ、RHは、tbijをユーザに送信し、ユーザは、リソース認証情報として直接tbijを格納する。

(許可)
論理的に、許可より先に認証が行われる。そのため、許可の手順は、2つの段階に分けられる。第1の段階は、ユーザの偽名を検証することであり、第2の段階は、ユーザの偽名に関連するユーザの認証情報を検証することである。
図11は、本発明の第1の実施形態による特定の許可手順を示す。
PA公開鍵PKPA、リソースホルダーの公開鍵{PK RH}が与えられ、ユーザがユーザ偽名鍵z、ルート偽名tおよび1組の認証情報Λ={vij}を有している場合、ユーザは、1組の公開鍵B={B }を有するリソースR={R }にアクセスすることができる。図11を参照して後述する手順は、ユーザが、そのユーザによって選択されたリソースのサブセット

Figure 2009033740
に対するアクセス権を有していることをどのようにリソースプロテクタRPに確信させるかを示している。

Figure 2009033740
に対応する1組の公開鍵

Figure 2009033740
に基づいて、ユーザが行わなければならないことは、ユーザが、リソース*に対するアクセス権を表す認証情報のサブセット

Figure 2009033740
を保持していることを証明することである。一般性を損なうことなく、

Figure 2009033740
は、

Figure 2009033740
と書かれ、

Figure 2009033740
は、

Figure 2009033740
と書かれる。ユーザの機密としての認証情報のサブセットは、

Figure 2009033740
である。
ステップS1101で、ユーザ端末の派生偽名生成手段520は、

Figure 2009033740
を選択し、派生偽名T=ttを計算する。許可手順において、上記の認証情報発行手順で使用された派生偽名と異なる派生偽名を使用することが好ましいことに留意されたい。これは、異なるtを選択することによって行うことができる。説明を簡潔にするために、同じ表記Tが様々な派生偽名に使用されている。しかし、認証情報発行手順および許可手順で使用される派生偽名は、その都度異なり得ることを理解されたい。
ステップS1102で、ユーザ端末のフレキシブル認証情報生成手段540は、アクセスされるリソースに対応するリソース認証情報のサブセット

Figure 2009033740
を選択する。例えば、ユーザのコマンド(例えば、追加の入力方法からのユーザ入力)に従って、フレキシブル認証情報生成手段540によって、アクセスされる1つ以上のリソースを決定することができる。あるいは、ユーザ端末は、さらに、アクセスすることが望まれるリソースを選択するための、フレキシブル認証情報生成手段540に結合されている追加のリソース選択手段(図示せず)を備えていてもよい。
ステップS1103で、ユーザ端末のフレキシブル認証情報生成手段540は、認証情報の選択されたサブセットに従ってフレキシブル認証情報

Figure 2009033740
を計算する。
ステップS1104で、ユーザ端末の派生偽名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2)
: e(T, A)=e(g1, g2)x1 ・ (e(t―1, g2)t)x2}
次いで、ステップS1105で、ユーザは、リソース

Figure 2009033740
へのアクセスの許可を要求し、フレキシブル認証情報V、派生偽名T、および知識証明の署名ΣをリソースプロテクタRPに送信する。
Σおよびフレキシブル認証情報Vを受信すると、RPの偽名検証手段610は、ステップS1106で、Σの妥当性をチェックする。Σが無効である場合、RPは、ユーザを拒否し、プロセスは、障害処理のためにステップS1107に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
Σが有効である場合、RPのフレキシブル認証情報検証手段620は、ステップS1108で、

Figure 2009033740
であるかどうかをチェックする。式が適用されない場合、プロセスは、障害処理のためにステップS1107に進む。例えば、ユーザに障害の原因が通知され、プロセスが終了するか、ユーザが情報を再送することを求められる。
式が適用される場合、RPは、ユーザがRのサブセットであるリソース

Figure 2009033740
に対するアクセス権を有していることを確信している。次いで、ステップS1109で、RPの許可手段630によって、ユーザは、リソース

Figure 2009033740
にアクセスすることができる。
当然、ユーザは、ルート偽名およびフレキシブル認証情報を使用することによってRPとの対話を行うことができる。当業者であれば、対応する手順を容易に理解することができ、その詳細な説明は、ここでは省略する。
本発明によれば、ユーザが、認証情報のすべてを証明する必要がある従来の方式とは異なり、認証情報の検証の際に、リソースプロテクタに対して証明するための認証情報の任意の部分を自由に選択できることは明らかである。

Figure 2009033740
の一括検証のため、高価な暗号計算の量、特に、加法有限巡回群におけるスカラ乗法、乗法有限巡回群におけるモジュラ冪法、および組み合わせ評価の量は、認証情報のどの部分が証明されるかにかかわらず、常に同じである。
上述した実施形態では、PAのトレース機能には言及していない。しかし、本発明の匿名フレキシブル認証方式によれば、PAは、トレース機能および取り消し機能を備えていてもよい。以下、本発明のトレース機能および取り消し機能を備える追加の実施形態について説明する。

(第2の実施形態)
以下、本発明によるトレース機能を備える第2の実施形態について説明する。
上述したように、認証情報発行手順および許可手順の第1の段階は、ユーザの偽名を検証している。偽名発行および偽名検証に対する2〜3の変更によって、PAにトレース機能が提供される。実際には、トレースおよび取り消しを、追加のトレース機関または取り消し機関に割り当てることができることに留意されたい。これは、本発明の主旨には影響を及ぼさない。
当業者は、様々な解決策を設計することができる。例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004またはK. Zeng, Pseudonymous PKI for Ubiquitous Computing, in Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI ’06), LNCS vol. 4043, pp. 207−222, 2006に記載されている標準的なやり方が適用可能である。上述した文書を、参照により本明細書に組み込む。
さらに、こうした変更は、取り消し機能を備えるPAに権限を与えることもできる。しかし、取り消し機能は、従来の方式による変更によって細粒化されないことに留意されたい。言い換えれば、PAは、ユーザの偽名およびそのユーザのすべての認証情報を同時に取り消すことしかできない。
K. Zeng, Pseudonymous PKI for Ubiquitous Computing, in Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI ’06), LNCS vol. 4043, pp. 207−222, 2006に提案されている方法を一例として挙げることによって、以下、本発明のトレース機能を備える一実施形態について説明する。この実施形態の構成は、第1の実施形態にいくつかの変更を加えたものと似ている。簡潔にするために、以下では、この実施形態と上記の第1の実施形態との間の差のみを説明し、同じ参照符号は、類似の部分を示す。ここでの説明は、参照の目的にすぎないことに留意されたい。上述したように、当業者は、本発明の匿名フレキシブル認証方式に基づいて、PAのトレース機能を実現するために、他の方法を使用してもよい。
以下、本発明の第1の実施形態に加えられた変更の例について説明する。
偽名発行中、ユーザは、トレースのために、ユーザの公開鍵(h,hxu)および

Figure 2009033740
を計算し、PAに送信する必要がある。ここでは、hは、PA公開鍵PKPAの追加のパラメータであり、xは、ユーザの秘密鍵である。この計算は、ユーザ端末のルート偽名取得手段510、またはユーザの秘密鍵および公開鍵を取得または生成することができる追加の手段によって行うことができる。ユーザの公開鍵および秘密鍵を取得し、使用する方法は、当分野では知られており、その詳細な説明は、ここでは省略する。ユーザは、上述した図9に示されているステップS901で、ユーザの公開鍵hおよびhxuをユーザの識別に含めることによって、それをPAに送信することができる。
さらに、上述した図9に示されているステップS906で、PAのルート偽名生成手段340は、

Figure 2009033740
の代わりに、(

Figure 2009033740
を計算する。式中、t=t・tは、ユーザのルート偽名とみなされ、hは、PA公開鍵PKPAの追加のパラメータ、xは、ユーザの秘密鍵である。また、ステップS907で、PAは、ユーザに(t,t)を送信(またはtおよびt=t・tを送信)し、ユーザの識別に対応するy’を格納する。
次いで、ステップS909で、ユーザは、ルート偽名t=t・tだけではなく、取り消しパラメータθ=tも格納し、この場合、取り消しパラメータθは、きめの粗い取り消しのためのものである。
認証情報発行手順および許可手順の偽名検証のため、ユーザ端末の派生偽名生成手段520は、整数

Figure 2009033740
を選択し、派生偽名T=tを計算する。さらに、ユーザは、トレースパラメータT=Txuも計算し、偽名取り消しパラメータに従って派生偽名Tと共に使用される偽名取り消し検証パラメータΘ=θを生成する(計算は、例えば、上述した図10に示されるステップS1001、および図11に示されるステップS1101、並びに上述した図10に示されるステップS1003、および図11に示されるステップS1105におけるユーザ端末の派生偽名生成手段520によって行われ、また、ユーザはTおよびΘをRHまたはRPに送信する)。認証情報発行手順および許可手順の間、ユーザは、異なる派生偽名を生成するために、異なるrを選択してもよいことに留意されたい。
さらに、例えば、上述した図10に示されるステップS1002および図11に示されるステップS1102で、ユーザ端末の派生偽名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2,
x3) : e(T, A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ 1=(T−1)x3 ・ Ty x1∧e(Θ, A)=v4 x1 ・ (v5 r)x2}

この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)

である。
したがって、派生偽名を使用したユーザの実際の識別をトレースする必要がある場合、PAは、データベースに格納されているすべてのy’について、e(T,y’)=e(T,g)かどうかをチェックし、ユーザ偽名鍵およびユーザの識別を見つける。したがって、こうしたわずかな変更により、PAに、任意のユーザの実際の識別およびユーザ偽名鍵をトレースする機能が提供される。こうした場合、PAは、トレースを行うためのトレース手段(図示せず)を備え得る。
認証情報発行段階で、リソースプロテクタRHは、T=(t・t)rを使用して、認証情報をユーザに発行し、ユーザのリソース認証情報は、vij=(t・tbjとなることに留意されたい。後でtおよびtを変更することは、すべてのユーザの偽名Tを無効にし、したがって、すべてのvijを無効にする、すなわち、ユーザのすべての認証情報を無効にする。そこで、きめの粗い取り消しのために、偽名取り消しパラメータθおよび関連する知識証明の署名が追加される。したがって、PAは、偽名取り消しパラメータθの上述した方法によってユーザの派生偽名を取り消すための偽名取り消し手段を備え得る。例えば、取り消し手段は、偽名取り消しパラメータθを無効にすることによって、ユーザのルート偽名、およびそのルート偽名から生成された任意の派生偽名を無効にすることができる。当業者は、取り消し機構を容易に設計することができる。例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004の機構は、偽名取り消しパラメータθに適用される。当然、匿名のユーザの実際の識別をトレースする唯一の目的に関して、偽名取り消しパラメータθは必要ない。
ユーザのルート偽名、およびルート偽名から生成された派生偽名が取り消された後、ユーザは、もはや偽名検証手順をパスすることができない。必然的に、ユーザのルート偽名および派生偽名に関連する全認証情報が取り消される。したがって、上記の実施形態によって実現される取り消しは、細粒化されない。
ユーザの秘密鍵xに基づくトレースの一例については上述した。しかし、PAのトレース機能を達成するために、他のパラメータおよび取り消しアルゴリズムも本発明に使用できることを、当業者であれば理解されよう。例えば、既知のまたは追加で設計されたパラメータ(ユーザに一意のパラメータ)は、こうしたパラメータがそのユーザに一意である限り、使用することができ、認証情報機関は、ユーザの派生偽名および派生偽名と共に使用される情報から、こうしたパラメータを再構築することができ、他の機関にとって、こうしたパラメータは計算できない。
例えば、D. Boneh, X.Boyen, H. Shacham, Short Group Signatures, in Proc. of Advances in Cryptology − Crypto ’04, LNCS vol. 3152, pp. 41−55, 2004で提案されている別のトレース機構では、トレース機能を実現するために、ユーザ偽名鍵zを本発明に使用することができる。以下、ユーザ偽名鍵zに基づくトレースを実現する手順の一例について、簡単に説明する。
第1に、PAは、追加の公開鍵(u,v,h)を発行する。PAは、h=u=vとなるような秘密鍵(x,y)を保持し、この場合、u、v、およびhはすべて、群

Figure 2009033740
の要素である。
認証情報発行手順および許可手順における偽名検証のために、ユーザは、

Figure 2009033740
から整数αおよびβを選択し、上記の例のTyの代わりに、トレースパラメータT=uα、T=vβ、およびT=g α+βを計算する。対応する知識証明(知識証明の署名の計算)において、ユーザは、T、T、およびTをリソースホルダーまたはリソースプロテクタに送信し、底u、v、h、およびgに関して、それぞれα、β、α+β和 zの知識を提供する。
例えば、上述した図10に示されるステップS1002および図11に示されるステップS1102で、ユーザ端末の派生偽名生成手段520は、知識証明の署名を計算する。
Σ=SKP{(x1, x2,
x3, x4, x5) : e(T,
A)=v1 x1 ・ (v2 r)x2 ・ v3 x3 ∧ T1=u x4 ∧ T2=v x5 ∧ T3=g1
x2 hx4+x5∧e(Θ, A)=v4 x1 ・ (v5 r)x2}

この場合、
v1=e(g1 ・ h1, g2), v2=e((tg ・ th)−1, g2), v3=e(h, g2), v4=e(g1, g2), v5=e(θ−1, g2)

である。
ユーザの有効な知識証明が与えられると、PAは、g =T/(T )を計算することによって、T、T、およびTからg を解読することができる。zは、ユーザごとに別個であるため、g は、ユーザを一意に識別し、したがって、トレースが実現される。
当業者には理解されるように、トレース機能は、必ずしもユーザ秘密鍵xまたはユーザ偽名鍵zに基づくわけではない。トレースを実現するために、当分野で知られている他の任意の適切なパラメータおよびアルゴリズム、または追加で設計されたパラメータおよびアルゴリズムを使用することができる。したがって、本発明の意図および範囲下で、当業者は、本発明の意図および範囲から逸脱することなく、上述した実施形態に様々な変形、変更、または改良を行うことができる。
本発明の代替実施形態では、ユーザの認証情報のうちの任意のものを取り消すことができ、ユーザの他の認証情報の妥当性を確保することができるきめの細かい方法を提供する。以下、こうした実施形態の一例について説明する。

(第2の実施形態)
本発明のきめの細かい取り消し機能、すなわちユーザごと、または権利ごとの取り消しが提供される実施形態の一例が提供される。
ユーザ

Figure 2009033740
は、ユーザ偽名鍵

Figure 2009033740
およびリソースR に対するアクセス権を有すると仮定する。場合により、リソースR に関するユーザのリソース認証情報は、ユーザの不正行為または他の理由のために取り消されるものとする。本発明のこの実施形態によれば、PAは、きめの粗い取り消しによってユーザのすべての認証情報を取り消す代わりに、リソースR のみに関する、ユーザ

Figure 2009033740
によって所有されているリソース認証情報を取り消すことができる。一般に、ユーザごと、および権利ごとの取り消しの前に、PAは、ユーザ

Figure 2009033740
の実際の識別、およびそのユーザのユーザ偽名鍵

Figure 2009033740
を開示するために、トレースを行う必要がある。例えば、トレースを行うために、上記の第2の実施形態に記載した方法を使用することができる。
以下、きめの細かい取り消し機能が提供される第3の実施形態について、簡単に説明する。
本発明の第3の実施形態によるきめの細かい取り消しの方式は、単に、取り消しおよび更新についての対応する部分を、上記の第1の実施形態におけるPA、RH、ユーザ端末、およびRPに追加することによって実施することができる。図12〜15は、本発明の第3の実施形態によるPA、RH、ユーザ端末、およびRPの構成の例を示している。
特に、図12に示されるように、本発明の第3の実施形態によるPA1200は、図3に示されているものに加えて、ユーザのうちの1人のリソース認証情報のうちの任意の1つを取り消すための取り消し手段1201を備える。図13に示されるように、本発明の第3の実施形態によるRH1300は、図4に示されているものに加えて、取り消しリストを初期化または維持するための取り消しリスト手段1301を備える。図14に示されるように、本発明の第3の実施形態によるユーザ端末1400は、図5に示されているものに加えて、認証情報取り消しパラメータを更新するための取り消しパラメータ更新手段1401を備える。図15に示されるように、本発明の第3の実施形態によるRP1500は、図6に示されているものに加えて、最新の取り消しリストを取得するための取り消しリスト取得手段1501を備える。
以下、本発明の第3の実施形態の手順の例について詳しく説明する。
リソースホルダーのセットアップ手順において、リソースホルダーRHは、リソースR ごとに秘密鍵

Figure 2009033740
および公開鍵

Figure 2009033740
を生成し、その後、その取り消しリスト手段1301は、R ごとに取り消しリストRL ={(g1i ,△)}を初期化する。この場合、

Figure 2009033740
であり、△は、現在取り消しがない、すなわち、タプル(g1i ,△)がRL (j=1,2,…,n)の最初の行であることを示す。
次いで、上述した図8のステップS802で、リソース鍵生成手段410は、以下のように、B およびg1i の組ごとに、知識証明の署名を生成する。
Σi j=SKP{(xj) : Bi j=g2 xj∧g1i j=g1 xj},j=1, 2, …, ni
また、上述した図8のステップS803で、RHは、その公開鍵PK RH={(B ,RL ,Σ )}、j=1,2,…,nを発行する。また、それ自体によってPK RHを発行する代わりに、RHは、{(B ,RL ,Σ )}をPAに送信し、代わりにPAにそれを発行させてもよい。
実際に、PAがR ごとに初期取り消しリストを生成することも可能である。例えば、本発明の代替実施形態において、PAがリソースホルダーからリソース秘密鍵および公開鍵を取得する場合、またはPAがリソース秘密鍵および公開鍵を生成する場合、リソースの初期取り消しリストは、例えば、PAの取り消し手段1201によって生成されてもよい。
認証情報発行手順中、ユーザは、上述した図10のステップS1009のvijに加えて、wij=vijも格納し、この場合、wijは、ユーザごとおよび権利ごとの取り消しの目的で追加される認証情報取り消しパラメータであって、初期値としてユーザ端末の取り消しパラメータ更新手段1401によって生成され得る。
以下、PAによってリソースR に関するユーザ

Figure 2009033740
のリソース認証情報を取り消す手順について説明する。
まず、PAの取り消し手段1201は、リソースR に関連する取り消しリストRL の最後(最新)の行からg1i を取り出す。
次いで、取り消し手段1201は、

Figure 2009033740
を計算する。
次いで、取り消し手段1201は、新しい行

Figure 2009033740
を取り消しリストRL に追加し、通信手段340によって更新された取り消しリストを発行する。
ユーザ偽名鍵zおよび認証情報(vij,wij)を有する別のユーザUについて考察する。すなわち、ユーザUは、リソースR にアクセスする権限が与えられている。リソースR に関するユーザUのアクセス権は取り消されないため、ユーザUは、リソースR についての更新された取り消しリストが発行されるたびに、すなわち、新しい行が追加されるたびに、リソースR についてのその認証情報取り消しパラメータwij

Figure 2009033740
に更新することができる。

Figure 2009033740
であることを検証するのは容易である。
取り消しリストに新しい行が追加されるたびに、ユーザUは、それに対応して、関連の認証情報取り消しパラメータを更新することができることに留意されたい。あるいは、ユーザUは、定期的に、またはリソースの取り消しリストおよび最後の行における取り消し履歴(前の行)に従って、それが必要があるときのみ、更新を行うことができる。
許可システムによって、PAが

Figure 2009033740
をR のリソースホルダーに送信し、リソースホルダーにRL を更新するよう頼むことも可能であることに留意されたい。こうした状況において、リソースホルダーの取り消しリスト手段は、取り消しリストの更新を行う。しかし、本発明のきめの細かい取り消しによれば、取り消しは、決してリソースホルダーの任意の機密鍵を使用しない。したがって、リソースホルダーの同意または関与無しに、PA単独できめの細かい取り消しを行うことができる。
以下、本発明の第3の実施形態による許可手順について説明する。
許可手順中、リソースプロテクタRPは、特に、リソース

Figure 2009033740
に対するユーザのアクセス権が取り消されるかどうかについて知りたがっていると仮定する。次いで、ユーザUの取り消しパラメータ更新手段1401およびリソース保護RPの取り消しリスト取得手段1501は、R に関連する取り消しリストRLの最終行からg を取り出す。また、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報の選択されたサブセットによるフレキシブル

Figure 2009033740
認証情報に加えて、リソースRの認証情報取り消しパラメータによる認証情報取り消し検証パラメータW=w を計算する。
次いで、図11を参照して上述したステップS1104で、ユーザUは、以下のように、知識証明の署名を計算する。

Figure 2009033740
ここで、有効なΣは、ユーザUがリソース

Figure 2009033740
に対するアクセス権を有することを証明するだけではなく、リソース

Figure 2009033740
に関するそのユーザのリソース認証情報が取り消されないことをRPに確信させる。一方、リソースRのリソース認証情報が取り消されるユーザは、その認証情報取り消しパラメータを有効に更新することができないため、有効な知識証明の署名を生成することができず、したがって、許可手順をパスすることができない。
RPが取り消されるリソース認証情報がさらにあるかどうか(例えば、

Figure 2009033740
だけでなく

Figure 2009033740
も)について知りたがっている場合、ユーザUの取り消しパラメータ更新手段1401は、さらに、リソースRの認証情報取り消しパラメータwを更新し、リソースプロテクタRPの取り消しリスト取得手段1501は、さらに、リソースRに関連する取り消しリストRLの最終行からg を取り出す。さらに、図11を参照して上述した許可手順におけるステップS1103で、ユーザUのフレキシブル認証情報生成手段540は、認証情報取り消し検証パラメータW=(wを計算する。次いで、図11を参照して上述したステップS1140で、ユーザUは、以下のように知識証明の署名を計算する。

Figure 2009033740
当然、単一の知識証明によって、より多くの認証情報を、取り消されるかどうかについて同様に検証してもよい。高価な計算の必要な量は、本発明のきめの細かい取り消し機能に従って、取り消されるかどうかについて特に検証されるべきリソース認証情報の数に依存しない(すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じ)ことは、容易にわかる。
本発明によるきめの細かい取り消し機能については上述した。当然、PAによってトレースおよび取り消しを行う代わりに、システム内に追加のトレース機関および取り消し機関を設定して、本発明の上述した方法によりトレースおよび取り消しを行うことも可能である。
さらに、PAまたは追加の取り消し機関は、本発明に従って、きめの細かい取り消し機能およびきめの粗い取り消し機能(例えば、上記の第2の実施形態における偽名取り消しパラメータθを使用した取り消し)の両方を有することもでき、したがって、きめの細かい取り消しときめの粗い取り消しを選択的に行うことができる。当業者であれば、上記の説明を鑑みて、きめの粗い取り消しおよび関連する知識証明のパラメータを、きめの細かい取り消し機能を備える上記の方式に容易に組み込むことができるため、そのアルゴリズムの特定の説明は、ここでは省略する。本発明の代替実施形態によれば、きめの細かい取り消しおよびきめの粗い取り消しは、PAの取り消し手段1201によって行うことができる。
本発明が以下の影響を及ぼすことが上記の説明からわかる。
ユーザは、許可された後、ユーザがその認証情報をRPに対して何度証明しようと、匿名のままでいることができ、さらにRHおよび/またはPAに連絡する必要はない。同時に、PAの公開鍵が決定され、発行された後、PAが対応することができるRHの数は、可変である。また、RHの公開鍵が決定され、発行された後、RHが管理することができるリソースの数は、固定されず、発行された認証情報の変更は必要ない。
ユーザは、そのユーザのすべてのアクセス権のうちの任意の1つ以上をRPに対して選択的に証明することができると同時に、ユーザがアクセス権の任意の部分を証明するための計算コストは、証明される権利の数に依存しない(1つのみの権利を証明するためのものと同じである)。
PAは、ユーザの他の権利を変更することなく、ユーザのリソース認証情報のうちの任意の1つを取り消すことができる。また、PAは、RHの関与無しに、ユーザのアクセス権を取り消すことができ、言い換えれば、きめの細かい取り消しは、RHの秘密鍵を必要とすることなく達成される。さらに、任意の数のリソース認証情報が取り消されるかどうかを検証するために必要な高価な計算の量は、一定しており、すなわち、単一のリソース認証情報が取り消されるかどうかを検証するためのものと同じである。
本発明による特定の実施形態について、図面を参照して上述した。しかし、本発明は、図面に示される特定の構成およびプロセスに限定されない。
例えば、安全を保証するために、上記の様々な対話に様々な対策を採用することができる。例えば、上記の認証情報発行手順における知識証明の署名を適用するステップでは、時変パラメータを使用して、反射攻撃およびインターリーブ攻撃を抑制して、一意性および適時性の保証を提供し、いくつかの選択文書攻撃を防ぐことができる(参照により本明細書に組み込まれる、A. Menezes, P. van Oorschot, S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996参照)。こうした時変パラメータには、例えば、タイムスタンプや乱数チャレンジなどがある。簡潔にするために、これら既知の方法の詳細な説明は、ここでは省略する。
上記の実施形態では、一例として従来の乗法群表記法が使用される。しかし、楕円曲線設定値に使用される加法表記法も同様に使用できることを当業者であれば理解されよう。例えば、加法表記法が使用されるとき、上述したフレキシブル認証情報は、

Figure 2009033740
と計算される。
上記の実施形態には、例として、いくつかの特定のステップが記載され、示されている。しかし、本発明の方法のプロセスは、記載されている特定のステップに限定されず、当業者は、本発明の意図を学んだ後、様々な変更、修正、追加を加えることができる。例えば、上記の第1の実施形態におけるステップS1101〜S11−3において、ユーザは、派生偽名Tを生成した後、フレキシブル認証情報Vを生成する。しかし、ユーザは、tを選択し、最初にフレキシブル認証情報Vを生成し、次いで派生偽名Tを生成する。
本発明によるPA、RH、ユーザ端末、およびRPは、例えば、パーソナルコンピュータ、サーバ、携帯電話、携帯端末、ラップトップコンピュータなどのモバイル機器、または上記の様々な装置におけるソフトウェアモジュールのハードウェアなど、ネットワークにおけるまたはネットワークに結合される様々な装置として実装され得る。
PA、RH、ユーザ端末、およびRPの構成の例として、いくつかの手段およびモジュールが、図面に互いに結合されているものとして示されているが、各装置に含まれる部分は、記載された手段およびモジュールに限定されず、その特定の構成は、修正または変更されてもよい。例えば、別々に示されているいくつかの手段が共に結合されてもよく、または1つの手段がその機能に従っていくつかの手段に分割されてもよい。例えば、示されている格納手段がいくつかの構成要素として実装されてもよく、そのそれぞれは、その手段のデータを格納する手段に組み込まれる。
さらに、例示の手段およびモジュールは、それぞれ特定の機能を有するものとして示されているが、手段およびモジュールの機能的な分割は、示されている例に限定されるのではなく、任意に修正し、交換し、結合することができる。例えば、上述した偽名取り消し検証パラメータおよび認証情報取り消し検証パラメータは、ユーザ端末の派生偽名生成手段およびフレキシブル認証情報生成手段によってそれぞれ生成されるが、代わりに、様々な取り消しパラメータの計算が、取り消しパラメータ更新手段および追加手段によって行われてもよい。さらに、上述した関連の手段によって知識証明の署名を生成する代わりに、各装置は、さらに、関連の知識証明を行うための個別の知識証明手段を含んでいてもよい。
さらに、PA、RH,ユーザ端末、およびRPのそれぞれは、他のパーティの機能を同時に有することができる。例えば、RHおよびRPを、同じサーバに同時に実装することができる。
さらに、特定の装置として実装されている場合、PA、RH、ユーザ端末およびRPは、さらに、例えば、情報をオペレータに表示するための表示装置、オペレータから入力を受信するための入力装置、各手段の操作を制御するためのコントローラなど、特定の装置に必要な他の手段を備えていてもよい。これらの構成要素は、当分野では知られているため、その詳細な説明は省略する。当業者であれば、上述した装置にそれらを追加することを容易に思い付くであろう。
本発明の要素は、ハードウェア、ソフトウェア、ファームウェア、またはその組み合わせに実装することができ、システム、サブシステム、構成要素、またはそのサブ構成要素において使用することができる。ソフトウェアに実装するとき、本発明の要素は、必要なタスクを行うために使用されるプログラムまたはコードセグメントである。プログラムまたはコードセグメントは、機械可読媒体に格納したり、搬送波に組み込まれたデータ信号によって、送信媒体または通信リンクを介して送信したりすることができる。「機械可読媒体」は、情報を格納したり転送したりすることができる任意の媒体を含み得る。機械可読媒体の例には、電子回路、半導体メモリ装置、ROM、フラッシュメモリ、消去可能ROM(EROM)、フロッピーディスク、CD−ROM、光ディスク、ハードディスク、光ファイバ媒体、無線周波数(RF)リンクなどがある。コードセグメントは、インターネット、イントラネットなどのコンピュータネットワークを介してダウンロードすることができる。
本発明は、その意図または本質的な特徴から逸脱することなく、他の特定の形に組み込むことができる。例えば、特徴が本発明の基本的な意図から逸脱しない限り、特定の実施形態に記載されたアルゴリズムを変更することができる。したがって、本実施形態は、あらゆる点で、限定ではなく例示とみなされるものとし、本発明の範囲は、上記の説明ではなく、添付の特許請求の範囲によって示され、したがって、特許請求の範囲の同等物の主旨および範囲に含まれるすべての変更は、本発明に包含されるものとする。
本発明は、本発明の好ましい実施形態の以下の詳細な説明と、類似の参照符号が類似の部分を指す添付の図面とを併せ読めば、よりよく理解できる。
本発明による解決策の一般的概念を概略的に示す図である。 本発明による認証情報の使用および取り消しを示す概要図である。 本発明の第1の実施形態によるPAの構成の一例を示すブロック図である。 本発明の第1の実施形態によるRHの構成の一例を示すブロック図である。 本発明の第1の実施形態によるユーザ端末の構成の一例を示すブロック図である。 本発明の第1の実施形態によるRPの構成の一例を示すブロック図である。 本発明の第1の実施形態によるPAのセットアップ手順を示すフローチャートである。 本発明の第1の実施形態によるRHのセットアップ手順を示すフローチャートである。 本発明の第1の実施形態によるルート偽名を発行する手順を示すフローチャートである。 本発明の第1の実施形態による認証情報を発行する手順を示すフローチャートである。 本発明の第1の実施形態による許可の手順を示すフローチャートである。 本発明の第3の実施形態によるPAの構成の一例を示すブロック図である。 本発明の第3の実施形態によるRHの構成の一例を示すブロック図である。 本発明の第3の実施形態によるユーザ端末の構成の一例を示すブロック図である。 本発明の第3の実施形態によるRPの構成の一例を示すブロック図である。 従来の許可システムを示す図である。 許可および取り消しの従来の方式を示す図である。
符号の説明
310:システムパラメータセットアップ手段
320:識別検証手段
330:ユーザ偽名鍵割当手段
340:ルート偽名生成手段
350:格納手段
360:通信手段
410:リソース鍵生成手段
420:偽名検証手段
430:認証情報生成手段
440:格納手段
450:通信手段
510:ルート偽名取得手段
520:派生偽名生成手段
530:リソース認証情報取得手段
540:フレキシブル認証情報生成手段
550:格納手段
560:通信手段
610:偽名検証手段
620:フレキシブル認証情報検証手段
630:許可手段
640:格納手段
650:通信手段
1201:取り消し手段
1301:取り消しリスト手段
1401:取り消しパラメータ更新手段
1501:取り消しリスト取得手段

Claims (54)

  1. 通信システムのための方法であって、
    ルート偽名を発行するステップと、
    1つ以上のリソース認証情報を取得するステップと、
    前記ル―ト偽名から第1の派生偽名を生成するステップと、
    前記1つ以上のリソース認証情報から1組のリソース認証情報を選択するステップと、
    1組の前記リソース認証情報からフレキシブル認証情報を生成するステップと、
    前記第1の派生偽名および前記フレキシブル認証情報を使用することによって、アクセス要求を行うステップと、
    前記第1の派生偽名および前記フレキシブル認証情報を検証した後、アクセス要求を承諾するステップと
    を含むことを特徴とする方法。
  2. リソース毎にリソース秘密鍵およびリソース公開鍵を生成するステップをさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記ルート偽名を発行するステップが、
    ユーザ偽名鍵を割り当てて保存するステップと、
    前記ユーザ偽名鍵に基づいて前記ルート偽名を生成するステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記1つ以上のリソース認証情報を取得するステップが、
    前記ルート偽名を用いてリソース認証情報を要求するステップと、
    Figure 2009033740
    (t はルート偽名、bi j はリソースのリソース秘密鍵)を計算するステップと、
    リソース毎のリソース認証情報としてvij
    を格納するステップとを含むことを特徴とする請求項1に記載の方法。
  5. 前記1つ以上のリソース認証情報を取得するステップが、
    前記ルート偽名から第2の派生偽名を生成するステップと、
    前記第2の派生偽名を用いてリソース認証情報を取得するステップとを含むことを特徴とする請求項1に記載の方法。
  6. 前記第2の派生偽名が、
    Figure 2009033740
    (t はルート偽名、
    Figure 2009033740
     は整数)として計算され、
    前記第2の派生偽名を用いてリソース認証情報を取得するステップが、
    認証情報
    Figure 2009033740
    (bi j はリソースのリソース秘密鍵)を計算し、
    Figure 2009033740
    をリソース認証情報として格納するステップとを含むことを特徴とする請求項5に記載の方法。
  7. 前記第1の派生偽名が、
    Figure 2009033740
    (t はルート偽名、
    Figure 2009033740
    は整数)によって計算され、
    前記フレキシブル認証情報が、
    Figure 2009033740
    或いは
    Figure 2009033740
    (vφ1組の認証情報、
    Figure 2009033740

    として計算されることを特徴とする請求項1に記載の方法。
  8. ユーザに一意のパラメータからトレースパラメータを生成するステップを含み、
    前記トレースパラメータが、前記ルート偽名又はトレースのために前記ルート偽名から生成された派生偽名に関して利用されることを特徴とする請求項1に記載の方法。
  9. ルート偽名及びルート偽名から生成された派生匿名を取り消すために利用する偽名取り消しパラメータを発行するステップと、
    前記偽名取り消しパラメータから、派生偽名に関して用いる偽名取り消し検証パラメータを生成するステップを含むことを特徴とする請求項1に記載の方法。
  10. 前記リソース毎に初期の取り消しリストを生成するステップと、
    前記リソース認証情報が取り消された場合に、前記リソース認証情報に対応するリソースの取り消しリストを更新するステップと、
    更新された取り消しリストに従ってリソース毎に認証情報取り消しパラメータを更新するステップと、
    認証情報取り消し検証パラメータを生成するステップとを含み、
    前記第1の派生偽名を検証するステップが、リソース毎の前記取り消しリストに基づいて認証情報取り消し検証パラメータを検証するステップを含むことを特徴とする請求項1に記載の方法。
  11. 通信システムにおいて偽名を管理するための装置であって、
    システムパラメータをセットアップするように構成されているシステムパラメータセットアップ手段と、
    ユーザ識別検証を行うように構成されている識別検証手段と、
    ユーザ偽名鍵をユーザに割り当てるように構成されているユーザ偽名鍵割当手段と、
    ユーザ偽名鍵に基づいて、ユ―ザに発行されるべきルート偽名を生成するように構成されているルート偽名生成手段と
    を備えることを特徴とする装置。
  12. リソース秘密鍵とリソース公開鍵の少なくとも1つを生成するリソース鍵生成手段を備えることを特徴とする請求項11に記載の装置。
  13. ユーザに一意のパラメータを用いて派生偽名を利用するユーザの識別をトレースするトレース手段を備えることを特徴とする請求項11に記載の装置。
  14. 前記ユーザに一意のパラメータが、ユーザ偽名鍵又はユーザ秘密鍵であることを特徴とする請求項13に記載の装置。
  15. ユーザの偽名取り消しパラメータを無効化することにより、ユーザのルート偽名及びルート偽名から生成された派生匿名を取り消す取り消し手段を備えることを特徴とする請求項11に記載の装置。
  16. リソース毎にユーザのリソース認証情報を取り消すために、リソース毎に取り消しリストを更新する更新手段を備えることを特徴とする請求項11に記載の装置。
  17. 通信システムにおいて偽名を管理するための方法であって、
    ユーザ端末からのユーザの要求が受信されると、ユーザ識別を検証するステップと、
    ユーザ識別が検証をパスした場合、ユーザ偽名鍵をユーザに割り当てるステップと、
    ユーザ偽名鍵に基づいてルート偽名を生成するステップと
    を含むことを特徴とする方法。
  18. リソース秘密鍵とリソース公開鍵の少なくとも一方を生成するステップをさらに含むことを特徴とする請求項17に記載の方法。
  19. ユーザに一意のパラメータを用いて派生偽名を利用するユーザの識別をトレースするステップを含むことを特徴とする請求項17に記載の方法。
  20. 前記ユーザに一意のパラメータが、ユーザ偽名鍵又はユーザ秘密鍵であることを特徴とする請求項19に記載の方法。
  21. ユーザの偽名取り消しパラメータを無効化することにより、ユーザのルート偽名及びルート偽名から生成された派生匿名を取り消すステップを含むことを特徴とする請求項17に記載の方法。
  22. リソース毎にユーザのリソース認証情報を取り消すために、リソース毎に取り消しリストを更新するステップを含むことを特徴とする請求項17に記載の方法。
  23. 通信システムにおいて、1つ以上のリソースの認証情報を管理するための装置であって、
    リソース毎にリソース秘密鍵およびリソース公開鍵を生成するリソース鍵生成手段と、
    ユーザの派生偽名を検証する偽名検証手段と、
    ユーザの前記派生偽名に基づいて、ユーザのユーザ端末に送信するリソースの認証情報を生成する認証情報生成手段とを備えることを特徴とする装置。
  24. リソース毎に初期の取り消しリストを生成し又は受信する取り消しリスト手段を備えることを特徴とする請求項23に記載の装置。
  25. 前記偽名検証手段は、ユーザの偽名取り消し検証パラメータを検証することを特徴とする請求項23に記載の装置。
  26. 前記認証情報生成手段が、認証情報
    Figure 2009033740
    (Tはユーザの派生偽名、 bi j はリソースのリソース秘密鍵)を計算することを特徴とする請求項請求項23に記載の装置。
  27. 通信システムにおいて、1つ以上のリソースの認証情報を管理するための方法であって、
    リソース毎にリソース秘密鍵およびリソース公開鍵を生成するステップと、
    ユーザ端末からのユーザの要求を受信した場合に、ユーザの派生偽名を検証するステップと、
    検証がパスした場合、前記派生偽名に基づいて、ユーザ端末に送信するリソースの認証情報を生成するステップと
    を含むことを特徴とする方法。
  28. リソース毎に初期の取り消しリストを生成し又は受信するステップを含むことを特徴とする請求項27に記載の方法。
  29. ユーザの偽名取り消し検証パラメータを検証するステップを含むことを特徴とする請求項27に記載の方法。
  30. 前記認証情報が、
    Figure 2009033740
    (Tはユーザの派生偽名、 bi j はリソースのリソース秘密鍵)として計算されることを特徴とする請求項請求項27に記載の方法。
  31. 通信システムにおけるユーザ端末であって、
    ルート偽名を取得するルート偽名取得手段と、
    1つ以上のリソース認証情報を取得するリソース認証情報取得手段と、
    前記ルート偽名から第1の派生偽名を生成する派生偽名生成手段と、
    選択された1組のリソース認証情報からフレキシブル認証情報を生成するフレキシブル認証情報生成手段とを備え、
    前記第1の派生偽名および前記フレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを得ることを特徴とするユーザ端末。
  32. リソース毎の取り消しリストに従ってリソース毎に認証情報取り消しパラメータを更新する取り消しパラメータ更新手段を備え、
    前記フレキシブル認証情報生成手段は、前記認証情報取り消しパラメータから認証情報取り消し検証パラメータを生成することを特徴とする請求項31に記載のユーザ端末。
  33. 前記リソース認証情報取得手段は、前記ルート偽名を用いてリソース認証情報を取得することを特徴とする請求項31に記載のユーザ端末。
  34. 前記派生偽名生成手段は、前記ルート偽名から第2の派生偽名を生成し、
    前記リソース認証情報取得手段は、前記第2の派生偽名を用いてリソース認証情報を取得することを特徴とする請求項31に記載のユーザ端末。
  35. 前記派生偽名生成手段は、
    前記第2の派生偽名を、
    Figure 2009033740
    (t はルート偽名、
    Figure 2009033740
    は整数)として計算し、
    前記リソース認証情報取得手段は、
    認証情報vij
    を取得し、
    Figure 2009033740
    をリソース認証情報として格納する
    ことを特徴とする請求項34に記載のユーザ端末。
  36. 前記派生偽名生成手段は、
    前記第1の派生偽名として、T'=tt'(t はルート偽名、t'
    は整数)を計算し、
    前記フレキシブル認証情報生成手段は、
    前記フレキシブル認証情報を、
    Figure 2009033740
    或いは
    Figure 2009033740
    ,(vφ1組の認証情報、
    Figure 2009033740

    として計算することを特徴とする請求項31に記載のユーザ端末。
  37. 前記派生偽名生成手段は、ユーザに一意のパラメータからトレースパラメータを生成し、
    前記トレースパラメータが、前記ルート偽名又はトレースのために前記ルート偽名から生成された派生偽名に関して利用されることを特徴とする請求項31に記載のユーザ端末。
  38. 前記ルート偽名取得手段は、ルート偽名及びルート偽名から生成された派生匿名を取り消すために利用する偽名取り消しパラメータを取得し、
    前記派生偽名生成手段は、前記偽名取り消しパラメータから、派生偽名に関して用いる偽名取り消し検証パラメータを生成することを特徴とする請求項31に記載のユーザ端末。
  39. 通信システムにおけるユーザ端末による方法であって、
    ルート偽名を取得するステップと、
    1つ以上のリソース認証情報を取得するステップと、
    前記ルート偽名から第1の派生偽名を生成し、選択された1組のリソース認証情報からフレキシブル認証情報を生成するステップと、
    前記第1の派生偽名および前記フレキシブル認証情報を使用することによって、1組のリソース認証情報に対応する1組のリソースへのアクセスを得るステップと
    を含むことを特徴とする方法。
  40. リソース毎の取り消しリストに従ってリソース毎に認証情報取り消しパラメータを更新するステップと、
    前記認証情報取り消しパラメータから認証情報取り消し検証パラメータを生成するステップをさらに含むことを特徴とする請求項39に記載の方法。
  41. 前記1つ以上のリソース認証情報を取得するステップが、
    前記ルート偽名を用いてリソース認証情報を取得するステップを含むことを特徴とする請求項39に記載の方法。
  42. 前記1つ以上のリソース認証情報を取得するステップが、前記ルート偽名から第2の派生偽名を生成し、前記第2の派生偽名を用いてリソース認証情報を取得することを特徴とする請求項39に記載の方法。
  43. 前記第2の派生偽名が、
    Figure 2009033740
    (t はルート偽名、
    Figure 2009033740
     は整数)として計算され、
    前記1つ以上のリソース認証情報を取得するステップが、
    認証情報vij
    を取得し、
    Figure 2009033740
    をリソース認証情報として格納するステップとを含むことを特徴とする請求項42に記載の方法。
  44. 前記第1の派生偽名を生成するステップは、
    前記第1の派生偽名として、
    Figure 2009033740
    (t はルート偽名、
    Figure 2009033740
    は整数)を計算し、
    前記フレキシブル認証情報を、
    Figure 2009033740
    或いは
    Figure 2009033740
    ,(vφ1組の認証情報、
    Figure 2009033740

    として計算することを特徴とする請求項39に記載の方法。
  45. ユーザに一意のパラメータからトレースパラメータを生成するステップを含み、
    前記トレースパラメータが、前記ルート偽名又はユーザの識別をトレースするために前記ルート偽名から生成された派生偽名に関して利用されることを特徴とする請求項39に記載の方法。
  46. ルート偽名及びルート偽名から生成された派生匿名を取り消すために利用する偽名取り消しパラメータを取得するステップと、
    前記偽名取り消しパラメータから、派生偽名に関して用いる偽名取り消し検証パラメータを生成するステップを含むことを特徴とする請求項39に記載の方法。
  47. 通信システムにおける1つ以上のリソースへのアクセスを管理するための装置であって、
    ユーザの派生偽名を検証する偽名検証手段と、
    ユーザのフレキシブル認証情報を検証するフレキシブル認証情報検証手段と、
    前記偽名検証手段および前記フレキシブル認証情報検証手段の検証結果に基づいて、フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与える許可手段と
    を備えることを特徴とする装置。
  48. リソース毎の取り消しリストを取得する取り消しリスト取得手段を備えることを特徴とする請求項47に記載の装置。
  49. 前記偽名検証手段が、前記取り消しリストのパラメータに基づいてユーザの認証情報取り消し検証パラメータを検証することを特徴とする請求項48に記載の装置。
  50. 前記偽名検証手段が、ユーザの偽名取り消し検証パラメータを検証することを特徴とする請求項47に記載の装置。
  51. 通信システムにおける1つ以上のリソースへのアクセスを管理するための方法であって、
    ユーザの派生偽名を検証するステップと、
    ユーザのフレキシブル認証情報を検証するステップと、
    前記派生偽名および前記フレキシブル認証情報の検証結果に基づいて、前記フレキシブル認証情報に対応する1組のリソースにアクセスする権限をユーザに与えるステップと
    を含むことを特徴とする方法。
  52. リソース毎の取り消しリストを取得するステップを含むことを特徴とする請求項51に記載の方法。
  53. 前記派生偽名を検証するステップが、前記取り消しリストのパラメータに基づいてユーザの認証情報取り消し検証パラメータを検証するステップを含むことを特徴とする請求項52に記載の方法。
  54. 前記派生偽名を検証するステップが、ユーザの偽名取り消し検証パラメータを検証するステップを含むことを特徴とする請求項52に記載の方法。

JP2008168143A 2007-06-27 2008-06-27 匿名フレキシブル認証による分散型許可のための方法および装置 Pending JP2009033740A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200710122707A CN101335622B (zh) 2007-06-27 2007-06-27 使用匿名柔性凭证的用于分布式授权的方法和装置

Publications (2)

Publication Number Publication Date
JP2009033740A true JP2009033740A (ja) 2009-02-12
JP2009033740A5 JP2009033740A5 (ja) 2011-09-15

Family

ID=39852263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008168143A Pending JP2009033740A (ja) 2007-06-27 2008-06-27 匿名フレキシブル認証による分散型許可のための方法および装置

Country Status (4)

Country Link
US (1) US8327423B2 (ja)
EP (1) EP2012248A3 (ja)
JP (1) JP2009033740A (ja)
CN (1) CN101335622B (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013544052A (ja) * 2010-11-12 2013-12-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 匿名エンティティ認証方法および装置本出願は、2010年11月12日に中国特許局に提出し、出願番号が201010546339.3であり、発明名称が「匿名エンティティ認証方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
JP2013544053A (ja) * 2010-11-12 2013-12-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 匿名エンティティ認証方法およびシステム本出願は、2010年11月12日に中国特許局に提出し、出願番号が201010546320.9であり、発明名称が「匿名エンティティ認証方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
US9716707B2 (en) 2012-03-12 2017-07-25 China Iwncomm Co., Ltd. Mutual authentication with anonymity
US10291614B2 (en) 2012-03-12 2019-05-14 China Iwncomm Co., Ltd. Method, device, and system for identity authentication

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8863262B2 (en) * 2008-08-20 2014-10-14 Yellowpages.Com Llc Systems and methods to provide information and services to authorized users
US20100185861A1 (en) * 2009-01-19 2010-07-22 Microsoft Corporation Anonymous key issuing for attribute-based encryption
EP2271044B1 (en) * 2009-07-02 2016-05-11 Deutsche Telekom AG Anonymous transactions in computer networks
US8955035B2 (en) 2010-12-16 2015-02-10 Microsoft Corporation Anonymous principals for policy languages
CN105164663B (zh) * 2013-01-09 2018-05-01 艾菲尼莫公司 访问可控交互的***和方法
GB2527603B (en) * 2014-06-27 2016-08-10 Ibm Backup and invalidation of authentication credentials
WO2017023236A1 (en) * 2015-07-31 2017-02-09 Hewlett Packard Enterprise Development Lp Proxy-controlled compartmentalized database access
FR3044132A1 (fr) 2015-11-23 2017-05-26 Orange Procede d'identification anonyme d'un module de securite
EP3297242B1 (en) * 2016-09-20 2018-09-05 Deutsche Telekom AG A system and a method for providing a user with an access to different services of service providers
US11824896B2 (en) 2020-04-06 2023-11-21 Exonym GmbH Cross-service rulebook management in a dynamic and adversarial environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006500842A (ja) * 2002-09-26 2006-01-05 ジェムプリュス サーバへアクセスする端末の識別方法
JP2007089171A (ja) * 2005-09-21 2007-04-05 Nec (China) Co Ltd 順応性のある匿名証明書システム及びその方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
US7716492B1 (en) * 2000-05-09 2010-05-11 Oracle America, Inc. Method and apparatus to obtain service capability credentials
TWI257058B (en) * 2000-11-21 2006-06-21 Ibm Anonymous access to a service
US7036020B2 (en) * 2001-07-25 2006-04-25 Antique Books, Inc Methods and systems for promoting security in a computer system employing attached storage devices
US7543139B2 (en) * 2001-12-21 2009-06-02 International Business Machines Corporation Revocation of anonymous certificates, credentials, and access rights
US7603469B2 (en) * 2002-01-15 2009-10-13 International Business Machines Corporation Provisioning aggregated services in a distributed computing environment
US7360096B2 (en) * 2002-11-20 2008-04-15 Microsoft Corporation Securely processing client credentials used for Web-based access to resources
US20050102534A1 (en) * 2003-11-12 2005-05-12 Wong Joseph D. System and method for auditing the security of an enterprise

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006500842A (ja) * 2002-09-26 2006-01-05 ジェムプリュス サーバへアクセスする端末の識別方法
JP2007089171A (ja) * 2005-09-21 2007-04-05 Nec (China) Co Ltd 順応性のある匿名証明書システム及びその方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013544052A (ja) * 2010-11-12 2013-12-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 匿名エンティティ認証方法および装置本出願は、2010年11月12日に中国特許局に提出し、出願番号が201010546339.3であり、発明名称が「匿名エンティティ認証方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
JP2013544053A (ja) * 2010-11-12 2013-12-09 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 匿名エンティティ認証方法およびシステム本出願は、2010年11月12日に中国特許局に提出し、出願番号が201010546320.9であり、発明名称が「匿名エンティティ認証方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
US9225728B2 (en) 2010-11-12 2015-12-29 China Iwncomm Co., Ltd. Method and device for anonymous entity identification
US9325694B2 (en) 2010-11-12 2016-04-26 China Iwncomm Co., Ltd. Anonymous entity authentication method and system
US9716707B2 (en) 2012-03-12 2017-07-25 China Iwncomm Co., Ltd. Mutual authentication with anonymity
US10291614B2 (en) 2012-03-12 2019-05-14 China Iwncomm Co., Ltd. Method, device, and system for identity authentication

Also Published As

Publication number Publication date
CN101335622B (zh) 2012-08-29
EP2012248A2 (en) 2009-01-07
CN101335622A (zh) 2008-12-31
US20090037990A1 (en) 2009-02-05
EP2012248A3 (en) 2015-01-21
US8327423B2 (en) 2012-12-04

Similar Documents

Publication Publication Date Title
JP2009033740A (ja) 匿名フレキシブル認証による分散型許可のための方法および装置
JP2009033740A5 (ja)
JP4704406B2 (ja) 匿名選択可能認証情報のための通信システムおよびその方法
JP4790731B2 (ja) 派生シード
Birrell et al. Federated identity management systems: A privacy-based characterization
Ibraimi et al. Ciphertext-policy attribute-based threshold decryption with flexible delegation and revocation of user attributes
EP2359524B1 (en) Method and apparatus for pseudonym generation and authentication
Pussewalage et al. Attribute based access control scheme with controlled access delegation for collaborative E-health environments
EP2384562B1 (en) Management of cryptographic credentials in data processing systems
CN115694838A (zh) 基于可验证凭证与零知识证明的匿名可信访问控制方法
Lawal et al. An improved hybrid scheme for e-payment security using elliptic curve cryptography
Isshiki et al. Using group signatures for identity management and its implementation
Bhatia et al. Cryptanalysis and improvement of certificateless proxy signcryption scheme for e-prescription system in mobile cloud computing
US20100005311A1 (en) Electronic-data authentication method, Elctronic-data authentication program, and electronic-data, authentication system
Yi et al. Privacy-preserving spatial crowdsourcing based on anonymous credentials
EP2384563B1 (en) Verification of data items in data processing systems
Nguyen Efficient dynamic k-times anonymous authentication
Fan et al. Using malleable signatures to allow multi-show capability in digital credentials
Vincent et al. A key agreement authentication protocol using an improved parallel pollard rho for electronic payment system
GB2418328A (en) Method of generating an identity and authentication thereof
KR101657936B1 (ko) Id 기반 암호화 방식을 이용한 키관리 및 사용자 인증방법
Proudler et al. Direct anonymous attestation (DAA) in more depth
Lee et al. Privacy-preserving PKI design based on group signature
Fan et al. Anonymous credential scheme supporting active revocation
Eldhose et al. Dynamic privacy protecting short group signature scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110422

A524 Written submission of copy of amendment under section 19 (pct)

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20110720

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110905