JP3690474B2 - Rights certificate realization method and apparatus - Google Patents

Rights certificate realization method and apparatus Download PDF

Info

Publication number
JP3690474B2
JP3690474B2 JP3279299A JP3279299A JP3690474B2 JP 3690474 B2 JP3690474 B2 JP 3690474B2 JP 3279299 A JP3279299 A JP 3279299A JP 3279299 A JP3279299 A JP 3279299A JP 3690474 B2 JP3690474 B2 JP 3690474B2
Authority
JP
Japan
Prior art keywords
certificate
signature
black box
public key
function value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP3279299A
Other languages
Japanese (ja)
Other versions
JP2000231331A (en
Inventor
直之 佐藤
英明 鈴木
昭直 曽根岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP3279299A priority Critical patent/JP3690474B2/en
Publication of JP2000231331A publication Critical patent/JP2000231331A/en
Application granted granted Critical
Publication of JP3690474B2 publication Critical patent/JP3690474B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は個人のプライバシの保護と不正利用防止を両立した権利証明書を実現する方法、その装置に関する。
【0002】
【従来の技術】
実社会においても計算機の世界においても、個人が、確かにその主張する権利を持つ存在であるかを確認する認証作業は、多くの場面において実施されている。最近では、Webサイトにおいても、簡単なパスワードや公開鍵を用いた認証が頻繁に用いられるようになった。
【0003】
これらの認証の目的を考えてみると、その内容は場合によって大きく異なる。例えば、銀行のATMでは各人で異なる預金を確実に処理するため、また個人のブライバシを侵害しないためにも、端末の前にいるユーザの名前を確実に知る必要がある。これに対して、ニュースなど一般的情報を提供するWebサイトや、商品に対するユーザサポートを行う場面においては、ユーザの名前を知る事ではなく、ユーザがその権利を持っているかどうかを確認することが必要とされる。
【0004】
だが、上記の二番目のような場面においても、現在の多くの場合、個人識別子を利用し、この識別子に対応したユーザの持つ権限として、資源管理を実施している。この手法は、本来の目的に対する実現手段の不自然さに加えて、ユーザのプライバシの保護上の問題や、サービス提供者側におけるデータベースの管理負荷など様々な欠点を持つ。
【0005】
プライバシの問題は特に切実で重要である。例えば、各サービスごとに中央集権的なサーバが準備されていた場合、もちろんそのサーバの管理する範囲内でのプライバシは、サーバ管理者に対しては無いに等しい。だが、問題はそれだけに留まらない。各々別々のサービスを提供する複数のサーバの管理者が結託した場合、個人が各サーバに提供した自分に関する全ての情報と、それらサーバに対する行動履歴の全てが、管理者達に把握されてしまうことも十分に起こり得る。これは是が非でも避けなければならない事態である。また、個人情報の漏洩と追跡不能性が問題となる。
【0006】
このような問題を解決する一つの手法は、権利の確認に証明書を利用する方法である。権利が確認された人のみにあらかじめ証明書を配布しておくことによって、名前など個人識別情報とは関係なく権利の確認を実施することができる。だがこの場合、証明書に個人識別情報が含まれていなければ、証明書のコピーなど不正利用に対する防御が難しい。またこれに対して、証明書に短時間の有効期限を設けることや、既存の電子現金で利用されている技術を用いて証明書の再利用を禁止することで不正利用を防止すると、認証の手段としては、利便性が著しく損なわれることになる。
【0007】
この発明で使用する世界のモデルを図9に示す。図中にあるように、以下の三つの要素を仮定する。
証明書発行者装置(CP)
証明書を発行する実体。特定ユーザに対して、そのユーザがある権利を持っている、あるいはある特徴を持っていることを保証する証明書を発行する。
資源管理者装置(RM)
資源(情報)を管理する実体。自分の管理する資源に対して、ユーザから提示された複数の証明書をもとに、そのユーザの取れる行動の範囲を決定し管理する。
ユーザ装置(U)
証明書発行者装置CPによって発行された証明書を管理する。また、資源を利用したいときには、証明書を適当に選択し、資源管理者装置RMに提示する。この明細書ではユーザの持つ証明書とその入れ物をプロファイルと呼ぶ。
【0008】
上記のモデルでは、一つの証明書を複数の資源管理者装置RMで共用することを前提としている。従来のような資源ごとにIDとパスワードを設定する手法は、図中中段右側に示すような、CPとRMがペアになった場合に対応する。
【0009】
【発明が解決しようとする課題】
この発明は以下に示す要求を満す権利証明書の実現方法を提供しようとするものであって、これらを満たす権利証明書の実現方法はユーザのプライバシを最大限に保証し、かつ証明書の不正利用を防止できると考えられる。
(1)不必要な個人情報漏洩の防止
資源利用時において、資源管理者装置RMの資源の利用が許可されるために最低限必要な情報しか漏洩しない。最低限とは、管理者装置RMが指定した情報以外を含まないことである。
(2)行動の追跡不能性
任意の数の証明書発行者装置CPと資源管理者装置RMが結託しても、ユーザの行動履歴の全貌は把握できない。また行動が把握される可能性のある範囲は、ユーザ自身が決定する。
(3)証明書再利用性
証明書は何度でも使用することができる。
(4)証明書不正利用不可
証明書は正規のユーザ以外は利用できない。
(5)汎用情報の証明
証明書発行者装置CPは任意の内容の任意個数の情報を証明できる。
【0010】
【課題を解決するための手段】
この発明によればユーザごとに個別のブラックボックスを用い、ブラックボックスは記憶機能と計算機能とをもち、誰にも秘密(ユーザ自身にも)の複数秘密鍵dB k (k0)とこれらのそれぞれに対応する複数の公開鍵eB k が記憶され、ユーザ装置より証明書発行者の公開鍵eCPをそのユーザのブラックボックスへ送り、ブラックボックスはその公開鍵の1つeB i に対し、公開鍵eCPを用いてブラインド署名前処理を行い、その処理結果Z1 とこれに用いた乱数rをユーザ装置へ返す。
【0011】
ユーザ装置はZ1 を証明書発行者装置へ送り、証明書発行者装置は秘密鍵dCPでZ1 に対し署名処理を行い、その結果Z2 をユーザ装置へ返す。
ユーザ装置はZ2 に対し、eCP,rを用いてブラインド署名後処理を行い、署名Cj を得、Cj が検証式を満すか調べ、満せばCj ,eB i を証明書とする。
秘密鍵dB y 、つまりブラックボックス自体の正当性を確認できるように次のようにする。つまりユーザ装置はeCPをブラックボックスに送る際に、適当な証明書Cy を選び、これと対応した公開鍵eB y を示す情報もブラックボックスに送り、ブラックボックスはZ1 の署名をeB y と対をなす秘密鍵dB y で行う。ユーザ装置は証明書発行者装置へZ1 とその署名Z1 By、更にCy ,eB y も送り、Z1 の有効性をZ1 Byを用いて調べ、かつCy ,eB y が検証式を満すかを調べ、これらに合格することをZ2 生成の条件とする。
【0012】
このようにして発行された証明書を提示利用する場合は、ユーザ装置より利用したい証明書Cj 、その公開鍵eB i を資源管理者装置へ送り、資源管理者装置はCj とeB i が検証式を満すかを証明書発行者装置の公開鍵eCPにより調べ、検証式を満せば、ブラックボックスがeB i と対応する秘密鍵dB i をもっているかを、ユーザ装置を仲立ちとして既存の公開鍵方式の認証手順により検証し、この検証に成功すれば証明書発行者装置が証明書Cj の内容をユーザ装置に対し保証していると認める。
作用
(1)あらかじめ権利が確認された証明書を利用するので、名前など個人識別情報とは関係なく権利の確認が実施でき、不必要な個人情報が漏洩しない。
【0013】
(2)権利証明書の発行にあってはブラインド署名の技術を用いることで、証明書発行者装置CPは自分の署名した証明書Cを知ることができず、権利証明書の利用にあっては公開鍵eB i は権利証明書ごとにユーザが任意に定めることができることから、資源管理者装置RMはユーザが意図した範囲でしかユーザと権利証明書Cとの関係を見出すことができないでいた。その結果、任意の数の証明書発行者装置CPと資源管理者装置RMが結託してもユーザの行動履歴の全貌は把握できない。
【0014】
(3)この権利証明書は、匿名性を保ったまま再利用可能な設計となっている。
(4)また、権利証明書の利用にあっては秘密鍵dB i が必要で、dB i は正規のユーザ認証手段を備えたユーザプロファイルに内蔵されているため、権利証明書は正規のユーザ以外利用できない。
【0015】
(5)証明書発行者装置CPは、保証する内容一個一個に対応する署名鍵を用意したり、保証する内容から生成した情報と共通の署名鍵との両方で署名を行ったりすることで、任意の内容の任意個数の情報を証明できる。
【0016】
【発明の実施の形態】
この発明では使用する世界のモデルは図9に示したように証明書発行者装置CPと資源管理者装置RMとユーザ装置Uとで構成される。
更にこの発明ではユーザ(装置)ごとに個別のブラックボックスBを利用する。
【0017】
ユーザのプロファイルの構成を図1に示す。プロファイルは、誰にも秘密の情報を秘めたブラックボックスBと、各証明書発行者装置CPより発行された証明書Cert.とで構成される。ブラックボックスBは記憶機能と計算機能とを持ち例えばスマートカードのようなICカードで構成することもでき、またユーザ装置と対応であるがこれと分離された機関に設けられてもよい。プロファイル以外のデータは、ディスクなどの外部記憶媒体等でバックアップ、保持することができる。
【0018】
ブラックボックスBは関数として定義できるので、証明書発行時及び証明書利用時の通信は、図2に示すようにモデル化できる。図中の矢印は、二つの実体の間で通信が起こることを示している。通信路は、ブラックボッスクBとユーザ装置間、ユーザ装置とサーバ装置(CPあるいはRM)間の二つが考えられるが、これらの安全性は同程度で、盗聴が可能であると仮定する。
【0019】
この発明では、証明書発行手順(プロトコル)の健全性等を実現するためにデジタルブラインド署名の技術を用いる。ここではブラインド署名を次のように定義する。U,Xを適当な有限集合としたとき、公開鍵(署名検証鍵)をe∈U、秘密鍵(署名生成鍵)をd∈Uとし、fd -1:X→Xを鍵dによる署名生成関数、fe :X→Xを鍵eによる署名検証関数とする。fe はdを知らない限り一方向性を持つ。このとき、デジタル署名系{U,X,f.,f-1. }では、x∈Xに関して以下の関係が成立する。通常fd -1. は署名者が、fe は署名検証者が計算する。
【0020】
【数10】

Figure 0003690474
有限集合Rにおいて、r∈Rをブラインドの為の指数とし、ブラインド関数をBle,r :X→X、ブラインド解凍関数Ble,r -1:X→Xとする。ここでBle,r (x)からはxとrが判別できないとする。また、fbd -1:X→Xをfd -1に対応するブラインド署名関数とする。このとき、ブラインド署名可能な署名系{U,X,f.,f-1.,fb-1 .,Bl.,Bl-1 . }は、式(1)に加えて次の関係を満たす。
【0021】
【数11】
Figure 0003690474
ブラインド署名の概念は、Chaumによって示された。一般に、Ble,r.とBle,r -1 . は署名発行依頼者、fbd -1は署名者が計算する。fe.は署名検証者が計算する。この署名法では、署名者が、署名するデータの内容xを確認できないので、ブラインドと呼ばれている。
【0022】
ブラックボックスB、ユーザ装置U、証明書発行者装置CP、資源管理者装置RMの四者における、証明書発行プロトコル及び証明書提示プロトコルを以下に示すが、このプロトコルは以下の特徴を持つ。
・各々のユーザ装置Uは固有のブラックボックスBを所持する。
・ブラックボックスBは誰にも秘密の複数の情報(秘密鍵)dB k (k0)と、これら各々に対応する複数の公開情報(公開鍵)eB k を持つ。
【0023】
・証明書Cは、各々特定のeB k に対応する形で発行される。証明書Cを使用するためには、その秘密鍵dB k が必要である。
従って、証明書Cを利用できるのはブラックボックスBを持つユーザ装置Uだけである。
・証明書発行者装置CPは証明書Cを発行する際、ブラインド署名の技術を用いて署名を行う。証明書発行者装置CPは自分の署名した証明書Cに対応する公開鍵eB k (即ち、ブラックボックスB、ユーザ装置U)を知ることができない。
【0024】
・証明書発行者装置CPや資源管理者装置RMとユーザ装置Uが結託しても、ブラックボックスBの持つ秘密情報dB k を引き出すことはできない。
・ユーザ装置Uは常にブラックボックスBの動作を監視でき、証明書発行者装置CPや資源管理者装置RMとブラックボックスBとの不正な情報交換を阻止できる。
【0025】
・ブラックボックスBに要求される機能は単純で非常に簡単である。
このプロトコルでは、同一証明書Cを複数の資源管理者装置RMに対して提示して利用した場合や、同一鍵eB k と関連する形で発行された複数の証明書を利用する場合には、これらが利用される範囲内において、ユーザ装置の行動履歴及び個人情報が把握される可能性がある。しかし、これはユーザ装置自身が適度に異なった証明書、及び鍵を用いることによって解決容易な事項である。ここで、ブラックボックスBに対するユーザ装置Uの認証は、既存の個人認証の技術を用いることを仮定しているので、この明細書では特に述べない。つまりブラックボックスBはパスワードや指紋認識や虹彩認識などによる正規ユーザの認証機能をもっている。
【0026】
以下に挙げるプロトコルは、上記の事項を基盤とするが、これに加えてブラックボックスB自身の正当性を確認するための処理が加わっていることに注意すること。
尚、権利の確認処理が終了した後は、既存のSSL等のセキュア通信の技術を用いて、ユーザ装置Uは資源管理者装置RMの資源を利用することができる。
実施例1
始めは基本として、証明書の内容が、あらかじめ証明書発行者装置CPが決定した任意個の種類しかない場合についてのプロトコルを述べる。実施例2でこのプロトコルの拡張として、内容及び個数を動的に自由に変更可能なプロトコルを述べる。
初期状態
ブラックボックスBは鍵のペア(eB 0 ,dB 0 )と、これに対応してブラックボックスBの正当性を保証する証明書C0 を持つ。ユーザ装置UはC0 とeB 0 を知っている。証明書発行者装置CPは、自分の保証する内容の各々に対して、それぞれ鍵のペア(eCP k ,dCP k )を決定し、各eCP k を公開している。
証明書発行
ブラックボッスクBがj番目の証明書Cj を獲得するプロトコルを以下に示す。ここで、サフィックスyはブラックボックスB自身の正当性を証明するために必要なデータに付けられている。またブラックボックスBは、i番目の鍵ペアをCj に対応する鍵として利用している。
【0027】
以下、関数gB はX→Xとなる一方向性関数である。また処理の流れを図3に、ブラックボックスBの機能構成を図4に、ユーザ装置Uの機能構成を図5に、証明書発行者装置CPの機能構成を図6にそれぞれ示す。
(1)ユーザはユーザ装置Uの入力操作部11を操作して、メモリ12内の、既存の『Bは正当である』ことを保証する証明書から適当な証明書Cy を選ぶ。また、発行して欲しい証明書と対応した証明書発行者装置CPの公開鍵eCP l を選び、証明書Cy に対応したブラックボックスBの公開鍵eB y (あるいはyの値)とeCP l をブラックボックスBに送る。ユーザは今回の発行において新しい鍵を用いるのかを決定する。鍵を再利用する場合には、そのブラックボックスBの公開鍵eB i (あるいはiの値)もブラックボックスBに送る。
【0028】
(2)ブラックボックスBは、eCP l ,eB y を受信すると、鍵生成部31から鍵のペア(eB i ,dB i )(i0)を取出し、また乱数生成部32から乱数rを生成し、一方向性関数器33にeB i を入力してgB (eB i )を計算し、またeCP l ,r、gB (eB i )をブラインド関数器34に入力して式(3)の値Z1 を計算する。(1)でユーザ装置UがeB i を送付しなかった場合、鍵ペア(eB i ,dB i )はブラックボックスBの鍵生成部31によって新しく作成される。ブラックボックスBは鍵dB i をメモリ36に格納し、誰にも公開しない。
【0029】
【数12】
Figure 0003690474
ブラックボックスBは、eB y に対応する秘密鍵dB y を用いてZ1 の署名情報Z1 Byを署名器35で計算し、Z1 ,Z1 By,eB i ,rをユーザ装置Uに送る。ただし、Z1 Byの生成に用いる署名法は、ブラインド署名に対応しない通常の方法でよい。
(3)ユーザ装置Uは、Z1 ,Z1 By,eB i ,rを受信すると、必要に応じて証明書の発行を受ける為に必要な情報MU を作成する。通常、MU の内容は、発行される証明書の内容に対応して、証明書発行者装置CPがあらかじめ指定している。ユーザ装置Uは、Z1 とZ1 By、MU ,Cy ,eB y を証明書発行者装置CPに送る。この時eCP l を同時に送るか、UとCPとの間にはUがどのeCP l を選んだかの通知が予めなされている。
【0030】
(4)証明書発行者装置CPはZ1 ,Z1 Byなどを受信すると、Z1 の有効性をeB y ,Z1 Byを用いて署名検証器51により確認する。また、eB y を一方向性関数器52に入力してgB (eB y )を計算し、Cy ,eCPy x を署名検証関数器53に入力し、その計算結果とgB (eB y )とが一致するかを比較器54で比較し、つまり
【0031】
【数13】
Figure 0003690474
が成り立つかを調べることによってZ1 Byの署名鍵dB y 、すなわちBの正当性に対する確認を行う。
ここで、eCPy x は、Cy の発行者装置CPy のCy に対応する公開鍵である。このようにしてeB y の正当性を確認することによってeB y と対をなすdB y の正当性を確認する。
【0032】
これらの何れかの検証に失敗すれば、証明書は発行されず終了する。また、証明書発行者装置CPはMU の有効性を調べる。MU が、別の証明書発行者装置CPが発行した証明書である場合、その有効性の確認は証明書提示プロトコルを用いて行える。証明書の発行が適切と認められた場合には、証明書発行者装置CPは以下の値を署名生成関数器55で計算し、これをユーザ装置Uに送る。
【0033】
【数14】
Figure 0003690474
(5)Z1 を受けたユーザ装置Uは、以下の値をブラインド解凍関数器13で計算する。
【0034】
【数15】
Figure 0003690474
またeB i について一方向性関数器14でgB (eB i )を計算し、Cj とeCP l を署名検証関数器15に入力し、feCP l (Cj )を計算し、
【0035】
【数16】
Figure 0003690474
が成り立つかを比較器16で調べる。式(1)(2)より、正規の手順を踏んだ有効なCj であれば上式が成り立つことは明らかである。この有効性が確認されれば、Cj ,eB i を新しい証明書としてメモリ12に保管する。
証明書提示
証明書Cj は、特定の内容を保証する証明書発行者装置CPの鍵dCP l で署名された、gB (eB i )に対する署名となっているので、この証明書の利用資格の確認は簡単である。eB i に対応する秘密鍵dB i をブラックボックスBが持っていることを確認できればよい。証明書の提示及び利用のプロトコルを以下に示す(図4、図7参照)。
【0036】
(1)ユーザUは利用したい証明書Cj を決定し、Cj と、これに対応した公開鍵eB i を資源管理者装置RMに提示(送信)する。ここで、この証明書Cj ,eB i に対応する証明書発行者装置CPの鍵のペアを(eCP m ,dCP m )とする。eCP m は公開されているはずである。
(2)資源管理者装置RMは、eCP m を用いてCj に対し署名検証関数器によるfeCP m (Cj )を求め、かつeB i に対し一方向性関数器62でgm (eB i )を求め比較器63でgB (eB i )=feCP m (Cj )が成り立つかを検証する。この検証が失敗すれば認証は失敗である。
【0037】
(3)資源管理者装置RMは、既存の公開鍵方式の認証手順を用いて、ブラックボックスBがeB i に対応する鍵dB i を持っているかを認証手段64とブラックボックスB内の認証手段37が協動して確認する。この通信はユーザ装置Uを仲立ちとして行われる。この検証に成功すれば、証明書発行者装置CPがeCP m に対応する内容をユーザ装置Uに対して保証していることを、資源管理者装置RMは納得する。
実施例2
実施例1では、各証明書発行者装置CPはあらかじめ自分の証明する内容を決定し、これに対応する公開鍵(eCP 0 ,eCP 1 ,…eCP n )(n>0)を公開している必要があった。実施例2は、この条件を解消し、一つの公開情報で任意の内容を保証する。
【0038】
この目的の為に、実施例2では、以下に示す特殊なブラインド署名系を利用する。U,X,M,Rを適当な有限集合としたとき、公開鍵(署名検証鍵)をe∈U、秘密鍵(署名生成鍵)をd∈U、証明内容をm∈Mとし、fbd,m -1:X→Xを鍵dとmによる署名生成関数、fe,m :X→Xを鍵eとmによる署名検証関数とする。ただし、fe,m はdを知らない限り一方向性を持つ関数である。また、Ble,r 、Ble,r -1 を各々ブラインド関数とブラインド解凍関数とする。Ble,r (x)からはxとrが判別できない。このとき、署名系{U,X,f.,fb-1 .,Bl.,Bl-1 . }は、x∈Xに関して次の式を満たす。
【0039】
【数17】
Figure 0003690474
Bl.はブラックボックスB,fb-1. は証明書発行者装置CP,Bl-1 . はユーザ装置UまたはブラックボックスB,f.は任意の存在が計算する。以下では、この署名系を利用した実施例1の拡張を述べる。
初期状態
ブラックボックスBは鍵のペア(eB 0 ,dB 0 )と、これに対応してブラックボックスBの正当性を証明する証明書C0 ,MCP 0 を持つ。C0 とMCP 0 は両方で一つの証明書となる。これらについては後述参照。ユーザ装置UはC0 とMCP 0 ,eB 0 のみを知っている。また、証明書発行者装置CPは自分の公開鍵eCPを公開している。
証明書発行
証明書発行プロトコルは、実施例1において証明書Cy を(Cy ,MCP y )へ、eCP l をeCPへ置き換えたものとほぼ一致する。この処理の流れを図8に示す。各装置の機能構成は実施例1のそれとほぼ同一である。
【0040】
関数gB は、X→Xとなる一方向性関数。gCPは、MCP∈M×M×…M、m∈Mとした場合、gCP:M×M×…M→Mとなる一方向性関数である。
(1)ユーザはユーザ装置より既存の『Bは正当である』ことを保証する証明書から適当な証明書Cy を選ぶ。Cy に対応したブラックボックスBの鍵eB y (あるいはyの値)と証明書発行者装置CPの公開鍵eCPをブラックボックスBに送る。ユーザ装置Uは今回の発行において新しい鍵を用いるのかを決定する。鍵を再利用する場合には、そのブラックボックスBの公開鍵eB i (あるいはiの値)もブラックボックスBに送る。
【0041】
(2)ブラックボックスBは、これらを受け取ると、鍵のペア(eB i ,dB i )(i0)と、eCPと、乱数rから、以下の値Z3 を計算する。(1)でユーザ装置UがeB i を送付しなかった場合、鍵ペアはブラックボックスBによって新しく作成される。ブラックボックスBは鍵dB i を誰にも公開しない。
【0042】
【数18】
Figure 0003690474
ブラックボックスBは、eB y に対応する秘密鍵dB y を用いてZ3 の署名情報Z3 Byを計算し、Z3 ,Z3 By,eB i ,rをユーザ装置Uに送る。ただし、Z3 Byで用いる署名法は、ブラインド署名に対応しない通常の方法でよい。
(3)ユーザ装置Uは、Z3 ,Z3 Byなどを受け取ると証明書の発行を受ける為に必要な情報MU を必要に応じて作成する。通常、MU の内容は、発行される証明書の内容に対応して、証明書発行者装置CPがあらかじめ指定している。ユーザ装置Uは、Z3 とZ3 By,MU ,Cy ,MCP y ,eB y をCPに送る。
【0043】
(4)証明書発行者装置CPは、これらを受け取ると、Z3 の有効性を署名検証により検証しまたブラックボックスBの正当性を検証する。ブラックボックスBの正当性は、feCPy,gCP(MCP y )(Cy )=gB (eB y )が成り立つかを調べることによって行う。ここで、eCPy は、Cy の発行者装置CPy の公開鍵である。検証に失敗すれば証明書は発行されず終了する。
【0044】
また、CPはMU の有効性を調べる。
証明書の発行が適切と認められた場合には、証明書発行者装置CPは、自分が保証する内容(文書)MCPを決定し、以下の値を計算する。証明書発行者装置CPはそのZ4 とMCPをユーザ装置Uに送る。
【0045】
【数19】
Figure 0003690474
(5)ユーザ装置Uは、これらを受け取ると以下の値を計算する。
【0046】
【数20】
Figure 0003690474
ユーザ装置UはMCPからmを計算し、feCP,m (Cj )=gB (eB i )が成り立つかを調べる。式(6)等により、正規の手順を踏んだ場合、上式が成り立つことは明らかである。証明書の有効性が確認されれば、Cj ,MCP,eB i を新しい内容を保証する証明書として保管する。
証明書提示
証明書の提示及び利用のプロトコルは以下のようになる。
【0047】
(1)ユーザ装置Uは資源管理者装置RMに証明したい事項MCPを決定し、MCPと、これに対応した証明書Cx ,eB x を資源管理者装置RMに提示する。Cx の発行者装置の鍵は公開されており、これをeCPとする。
(2)資源管理者装置RMはeCPよりgB (eB x )=feCP,m (Cx ),m=gCP(MCP)が成り立つかを調べる。
【0048】
(3)資源管理者装置RMは、既存の公開鍵方式の認証手順を用いて、ブラックボックスBがeB x に対応する鍵eB x を持っているかどうかを検証する。この通信はユーザ装置Uを仲立ちとして行われる。この検証に成功すれば、証明書発行者装置CPがMCPの内容をユーザ装置Uに対して保証していることを、資源管理者装置RMは納得する。
実施例3
実施例1は、既存のブラインド署名可能な各種署名法、及び公開鍵を用いた各種認証/署名手順を用いて容易に実現可能である。この実現には前述の実施例1における各式をそのまま対応する関数と置き換えればよく、この実現方法は明らかである。よって、ここでは実施例1に対しては具体例を述べない。
【0049】
実施例2に対しては、式(6)を満たす関数が一般に広くは知られていないので、実現例を示す。ただし、以下の実現例ではブラックボックスBの認証及び署名部分にFiat-Shamir 法を利用しているが、この部分は他の任意の公開鍵を用いた認証/署名法に置き換えることが可能であることを注意しておく。
関数の定義
ここでの実現例では、ブラインド署名部分にChaumの提案したR.S.Aを基盤とする方法を用い、ブラックボックスBの認証にはFiatらの提案した方式を用いる。ただし、式(6)を満たすようにf.とfb-1. は拡張してある。
拡張ブラインド署名法
【0050】
【数21】
Figure 0003690474
Figure 0003690474
-1とr-1は、Nとの最大公約数(m,N)=(r,N)=1の時に容易に計算できる。(m,N)≠1あるいは(r,N)≠1は、mあるいはrがpあるいはqと一致するときに起こり得るが、pとqが十分に大きい場合はこの可能性は無視してよい。上記の式は次のように式(6)を満たす。
【0051】
【数22】
Figure 0003690474
べき乗関数xe (mod N)は十分大きいNとeのもとで一方向性を持つことが知られている。だが、式(11)の一方向性は完全なものでない。同一e及びdで既知複数のmとxに対する計算結果が得られると、これを利用して特殊なfe,m を偽造することが計算上容易である。このような選択文書攻撃(chosen-message attack )を避けるために、以下に述べる実現プロトコルでは、xがユーザ装置Uによって操作できないように工夫されている。
ブラックボックスBの署名と認証
ブラックボックスBの署名及び認証には、既存の多くの認証方式を適用できる。ここでは、既にICカード等で個人認証方式として利用されている、Fiat-Shamir 方式を利用した方法を例に用いる。Fiat-Shamir 方式は、ゼロ知識性という重要な特徴に加えて、単一公開情報で複数の内容を証明することが可能なこと、また高速に実行が可能であることなど大きな利点をもつ。ただし、この方式の詳細についてはここでは説明しない。
【0052】
Fiat-Shamir 方式の最も提案となる方式では、以下の公開情報と秘密情報を定めている。
Figure 0003690474
一方向性関数gB とgCP
一方向性関数gB とgCPは、各々既存の適当な任意の関数を割り当てることができる。MD5やSHA−1の他、秘密鍵暗号方式DESやFEALを用いてこれらを実現することも容易である。ここでは、この部分については具体例を定めず説明を行う。
初期状態
ブラックスボックスBは鍵のペア((nB 0 ,IB 0 ),sB 0 )と証明書C0 ,MCP 0 ,c0 を持つ。これらはブラックボックスBの製造者によってあらかじめ与えられる。Fiat-Shamir 方式の特徴より、nB 0 は全てのブラックボックスBで同一でよい。従って、IB 0 をブラックボックスBの製造番号等とする場合、ブラックボックスBにはあらかじめsB 0 を埋め込むだけでよい。C0 等は後から発行することができる。c0 の役割については後述参照。ユーザ装置Uは、(nB 0 ,IB 0 )とC0 ,MCP 0 ,c0 を知っている。
【0053】
各証明書発行者装置CPは公開鍵(eCP,MCP)を公開している(NCPは証明書は発行者装置CPが使用するNのこと)。各証明書発行者装置CPは空の発行済リストLCPを持つ。証明書発行者装置CPは証明書を発行する度に、ユーザ装置Uに提示されたZ5 (下記参照)を発行済リストLCPに登録する。登録期間は最大TCP max で、古くなったZ5 は消去してよい。証明書発行者装置CPはTCP max を公開している。
証明書発行
(1)ユーザ装置UはブラックボックスBの正当性を保証する適当な証明書を選び、対応する鍵(nB y ,IB y )(あるいはy)と証明書発行者装置CPの鍵(eCP,NCP)をブラックボックスBに送る。ユーザ装置Uは、証明書発行者装置CPに発行を申請する時刻Tを決定し、TS <T<Te かつTe −TS CP max となるTS 及びTe を選び、これをブラックボックスBに送る。
【0054】
また発行に既存の鍵を利用する場合は(nB i ,IB i )(あるいはi)をブラックボックスBに送る。
(2)ブラックボックスBは、nB i ,IB i を受け取ると鍵のペア((nB i ,IB i ),sB i )(i0)と、乱数r,cj から、以下の値を計算する。即ちブラインド回数値を計算する。(1)でユーザ装置Uが(nB i ,IB i )を送付しなかった場合、鍵ペアはブラックボックスBによって新しく作成される。ここで‖は結合を表す。
【0055】
【数23】
Figure 0003690474
j は、gB への入力を常に異なることを保証するためにあるので、実際にはブラックボックスBごとのカウンタでもよい。ブラックボックスBはsB y を用いて、(Z5 ‖Ts ‖Te )に対する署名情報Z5 Byを作成し、Z5 ,Z5 By,(nB i ,IB i ),r,cj をユーザ装置Uに送る。ここで利用する署名法は、Fiat-Shamir 方式である。
【0056】
(3)ユーザ装置Uは、Z5 ,Z5 Byなどを受け取ると、証明書の発行を受ける為に必要な情報MU を必要に応じて作成する。ユーザ装置Uは、Z5 ,Z5 By,Ts ,Te ,MU ,Cy ,MCP y ,cy ,(nB y ,IB y )を証明書発行者装置CPに送る。
(4)証明書発行者装置CPは、Z5 ,Z5 Byなどを受け取ると、Z5 及びTs ,Te の有効性とブラックボックスBの正当性を検証する。証明書発行者装置CPの持つ時計がTs 時からTe 時の範囲の時刻を示しているかを確認する。時間外であれば証明書は発行されない。また、Z5 が発行済リストLCPに登録されていないことも確認する。証明書発行者装置CPはMU の有効性も調べる。
【0057】
証明書の発行が適切と認められた場合には、証明書発行者装置CPはZ5 をLCPに加え、自分が保証する内容(文書)MCPを決定して以下の値を計算する。即ち署名生成関数値を計算する証明書発行者装置CPはそのZ6 とMCPをユーザ装置Uに送る。
【0058】
【数24】
Figure 0003690474
(5)ユーザ装置Uは、Z6 を受け取ると、以下の値を計算する。即ちブラインド解凍関数値を求める。
j =r-1(Z6 )(mod NCP) (19)
ユーザ装置UはMCP等からm-1(Cj eCP =gB (nB i ‖IB i ‖cj )(mod NCP)が成り立つかを調べ、つまり署名検証式を満すかを調べて、Cj の有効性を検証する。有効性が確認されれば、Cj ,MCP,cj ,(nB i ,IB i )を新しい内容を保証する証明書として保管する。
証明書提示
証明書の提示及び利用のプロトコルは以下のようになる。
【0059】
(1)ユーザ装置Uは証明したい事項MCPを決定し、MCPと、これと対となったCx ,cx ,(nB x ,IB x )を資源管理者装置RMに提示する。
(2)資源管理者装置RMはeCPとNCP、ユーザ装置Uよりの情報からgB (nB x ‖IB x ‖cx )=m-1(Cx ecp (mod NCP)が成り立つかを調べ、つまり署名検証式を満すかを調べる。
【0060】
(3)資源管理者装置RMは、Fiat-Shamir 方式の認証手順を用いて、ブラックボックスBがnB x とIB x に対応する鍵sB x を持っているかどうかを検証する。この通信はユーザ装置Uを仲立ちとして行われる。ただし、Fiat-Shamir 方式の詳細はここでは割愛する。
この検証に成功すれば、証明書発行者装置CPがMCPの内容をユーザ装置Uに対して保証していることを、資源管理者装置RMは納得する。なお上述における各装置はコンピュータによりプログラムを読み出し、解読実行させることに各機能を行わせることもできる。
【0061】
【発明の効果】
以上説明したように、この発明の方法および装置によれば、次の効果が得られる。
(1)資源管理者装置RMが要求する情報以外の個人情報が漏洩しない。
(2)任意の数の証明書発行者装置CPと資源管理者装置RMが結託しても、ユーザ(装置)の行動履歴の全貌は把握できない。また、行動が把握される可能性のある範囲は、ユーザ(装置)自身が決定できる。
【0062】
(3)権利証明書は何度でも使用することができる。
(4)正規のブラックボックスを有しないユーザ装置は、権利証明書を利用できない。
(5)証明書発行者装置CPは任意の内容の任意個数の情報を証明できる。
【図面の簡単な説明】
【図1】ユーザプロファイルの例を示す図。
【図2】ブラックボックスとユーザ装置と証明書発行者装置と資源管理者装置との通信を示す図。
【図3】実施例1における証明書発行手順を示す図。
【図4】実施例1におけるブラックボックスの機能構成を示す図。
【図5】実施例1におけるユーザ装置の機能構成を示す図。
【図6】実施例1における証明書発行者装置の機能構成を示す図。
【図7】実施例1における資源管理者装置の機能構成を示す図。
【図8】実施例2における証明書発行手順を示す図。
【図9】この発明が対象としているシステム構成例を示す図。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a method and apparatus for realizing a rights certificate that achieves both protection of personal privacy and prevention of unauthorized use.
[0002]
[Prior art]
In both the real world and the computer world, authentication work that confirms whether an individual has the right to assert is certainly carried out in many situations. Recently, authentication using simple passwords and public keys has been frequently used even on Web sites.
[0003]
Considering the purpose of these certifications, the contents vary greatly from case to case. For example, in a bank ATM, it is necessary to know the name of the user in front of the terminal in order to ensure that each person processes different deposits and does not infringe on personal privacy. On the other hand, in websites that provide general information such as news and user support for products, it is not necessary to know the user's name but to check whether the user has the right. Needed.
[0004]
However, even in the second situation described above, in many cases at present, a personal identifier is used, and resource management is performed as the authority of the user corresponding to this identifier. In addition to the unnaturalness of the means for realizing the original purpose, this method has various drawbacks such as a problem in protecting user privacy and a database management load on the service provider side.
[0005]
Privacy issues are particularly acute and important. For example, when a centralized server is prepared for each service, of course, the privacy within the range managed by the server is not equal to the server administrator. But the problem doesn't stop there. When administrators of multiple servers that provide different services are collaborated, all information related to themselves provided by individuals to each server and the action history for those servers will be understood by the administrators. Can happen well. This is a situation that must be avoided even if it is not. In addition, leakage of personal information and inability to trace are problems.
[0006]
One method for solving such a problem is a method of using a certificate for confirmation of rights. By distributing the certificate to only the person whose rights have been confirmed, the rights can be confirmed regardless of personal identification information such as name. However, in this case, if personal identification information is not included in the certificate, it is difficult to prevent unauthorized use such as copying a certificate. On the other hand, if the unauthorized use is prevented by setting a short expiration date on the certificate or prohibiting the reuse of the certificate using the technology used in the existing electronic cash, As a means, convenience is significantly impaired.
[0007]
A world model used in the present invention is shown in FIG. As shown in the figure, the following three elements are assumed.
Certificate issuer device (CP)
An entity that issues certificates. For a specific user, issue a certificate that guarantees that the user has a certain right or a certain characteristic.
Resource manager device (RM)
An entity that manages resources (information). Based on a plurality of certificates presented by the user, the range of actions that the user can take is determined and managed for the resources managed by the user.
User equipment (U)
It manages certificates issued by the certificate issuer device CP. When a resource is desired to be used, a certificate is appropriately selected and presented to the resource manager device RM. In this specification, a certificate and a container that the user has are called a profile.
[0008]
In the above model, it is assumed that a single certificate is shared by a plurality of resource manager devices RM. A conventional method for setting an ID and a password for each resource corresponds to a case where a CP and an RM are paired as shown on the right side of the middle part of the figure.
[0009]
[Problems to be solved by the invention]
The present invention seeks to provide a method for realizing a right certificate that satisfies the following requirements. The method for realizing a right certificate that satisfies these requirements guarantees the privacy of the user as much as possible, and It is thought that unauthorized use can be prevented.
(1) Prevention of unnecessary personal information leakage
At the time of using the resource, only the minimum necessary information is leaked because the use of the resource of the resource manager device RM is permitted. “Minimum” means that information other than information designated by the administrator device RM is not included.
(2) Untrackable behavior
Even if an arbitrary number of certificate issuer devices CP and resource manager devices RM collaborate, it is impossible to grasp the entire picture of the user's action history. In addition, the user himself / herself determines the range in which the action can be grasped.
(3) Certificate reusability
The certificate can be used any number of times.
(4) Unauthorized use of certificate
Certificates can only be used by authorized users.
(5) Proof of general-purpose information
The certificate issuer device CP can certify any number of pieces of information with any content.
[0010]
[Means for Solving the Problems]
According to the present invention, an individual black box is used for each user, the black box has a storage function and a calculation function, and a secret key d that is secret to anyone (also to the user itself) d.B k(K>0) and a plurality of public keys corresponding to each of themB kIs stored, and the public key e of the certificate issuer is received from the user device.CPTo the user's black box, which is one of its public keysB iPublic key eCPIs used to perform blind signature pre-processing, and the processing result Z1And the random number r used for this is returned to the user device.
[0011]
User equipment is Z1To the certificate issuer device, which issues the private key dCPAt Z1The signature process is performed on2Is returned to the user device.
User equipment is Z2ECP, R for blind signature post-processing and signature CjCjChecks if it satisfies the verification formula, and if it does, Cj, EB iIs a certificate.
Private key dB yIn other words, the following is done so that the validity of the black box itself can be confirmed. In other words, the user device is eCPAppropriate certificate C when sendingyAnd select the corresponding public key eB yIs also sent to the black box.1The signature of eB yPrivate key d paired withB yTo do. User device to certificate issuer device Z1And its signature Z1 ByAnd Cy, EB yAlso send Z1Effectiveness of Z1 ByAnd using Cy, EB yTo see if it satisfies the validation formula,2As a condition for generation.
[0012]
When presenting and using a certificate issued in this way, the certificate C that the user device wants to use is used.j, Its public key eB iIs sent to the resource manager device, and the resource manager device CjAnd eB iThe public key e of the certificate issuer deviceCPIf the verification formula is satisfied, the black box isB iAnd the corresponding private key dB iIs verified by an existing public key authentication procedure with the user device as an intermediary, and if this verification is successful, the certificate issuer device has the certificate CjIs recognized as being guaranteed to the user device.
Action
(1) Since a certificate whose rights have been confirmed in advance is used, rights can be confirmed regardless of personal identification information such as name, and unnecessary personal information is not leaked.
[0013]
(2) When issuing a rights certificate, by using blind signature technology, the certificate issuer device CP cannot know the certificate C signed by the certificate issuing device CP. Is the public key eB iTherefore, the resource manager apparatus RM can find the relationship between the user and the right certificate C only within the range intended by the user. As a result, even if an arbitrary number of certificate issuer devices CP and resource manager devices RM collide, it is impossible to grasp the entire picture of the user's action history.
[0014]
(3) This right certificate is designed to be reusable while maintaining anonymity.
(4) In addition, when using the right certificate, the private key dB iIs required and dB iIs incorporated in a user profile provided with a legitimate user authentication means, the right certificate can be used only by legitimate users.
[0015]
(5) The certificate issuer device CP prepares a signature key corresponding to each content to be guaranteed, or performs signature with both the information generated from the guaranteed content and the common signature key. Can prove any number of pieces of information with any content.
[0016]
DETAILED DESCRIPTION OF THE INVENTION
In the present invention, the world model used is composed of a certificate issuer device CP, a resource manager device RM, and a user device U as shown in FIG.
Further, in the present invention, an individual black box B is used for each user (device).
[0017]
The configuration of the user profile is shown in FIG. The profile includes a black box B in which secret information is kept secret to everyone, and a certificate Cert. It consists of. The black box B has a storage function and a calculation function, and can be configured by an IC card such as a smart card, or can be provided in an organization that is compatible with the user device but separated from the user device. Data other than the profile can be backed up and held on an external storage medium such as a disk.
[0018]
Since the black box B can be defined as a function, communication when issuing a certificate and using a certificate can be modeled as shown in FIG. The arrows in the figure indicate that communication occurs between the two entities. There are two possible communication paths between the black box B and the user device, and between the user device and the server device (CP or RM). However, it is assumed that these have the same security and can be wiretapped.
[0019]
In the present invention, a digital blind signature technique is used to realize the soundness of a certificate issuing procedure (protocol). Here, the blind signature is defined as follows. When U and X are appropriate finite sets, the public key (signature verification key) is e∈U, the secret key (signature generation key) is d∈U, and fd -1: X → X is signature generation function with key d, fe: Let X → X be a signature verification function with key e. feIs unidirectional unless d is known. At this time, the digital signature system {U, X, f., F-1}, The following relationship holds for x∈X. Usually fd -1Is the signer, feIs calculated by the signature verifier.
[0020]
[Expression 10]
Figure 0003690474
In the finite set R, let r∈R be the exponent for blinding and let the blind function be Ble, r: X → X, Blind decompression function Ble, r -1: X → X. Where Ble, rAssume that x and r cannot be distinguished from (x). Fbd -1: X → X fd -1Is a blind signature function corresponding to. In this case, a signature system {U, X, f., F-1., fb-1 .,Bl., Bl-1 .} Satisfies the following relationship in addition to equation (1).
[0021]
## EQU11 ##
Figure 0003690474
The concept of blind signature was demonstrated by Chaum. In general, Ble, r.And Ble, r -1 .Is the signature requester, fbd -1Is calculated by the signer. fe.Is calculated by the signature verifier. This signing method is called blind because the signer cannot confirm the content x of the data to be signed.
[0022]
The certificate issuing protocol and the certificate presenting protocol in the four units of the black box B, the user device U, the certificate issuer device CP, and the resource manager device RM are shown below. This protocol has the following characteristics.
Each user device U has a unique black box B.
・ Black Box B has multiple secret information (secret key) dB k(K>0) and a plurality of public information (public key) e corresponding to each of themB khave.
[0023]
Certificate C is a specific eB kIt is issued in a form corresponding to. To use certificate C, its private key dB kis required.
Accordingly, the certificate C can be used only by the user apparatus U having the black box B.
When issuing the certificate C, the certificate issuer device CP performs a signature using a blind signature technique. The certificate issuer device CP uses the public key e corresponding to the certificate C signed by itself.B k(That is, black box B, user device U) cannot be known.
[0024]
Even if the certificate issuer device CP, the resource manager device RM, and the user device U collide, the secret information d held by the black box BB kCannot be pulled out.
The user device U can always monitor the operation of the black box B, and can prevent unauthorized exchange of information between the certificate issuer device CP or the resource manager device RM and the black box B.
[0025]
-The functions required for the black box B are simple and very simple.
In this protocol, when the same certificate C is presented to a plurality of resource manager devices RM and used, the same key eB kWhen using a plurality of certificates issued in a form related to the user history, there is a possibility that the behavior history and personal information of the user device are grasped within the range in which these certificates are used. However, this is a matter that can be easily solved by the user apparatus itself using a reasonably different certificate and key. Here, since the authentication of the user apparatus U with respect to the black box B is assumed to use an existing personal authentication technique, it is not particularly described in this specification. That is, the black box B has a function of authenticating a regular user by password, fingerprint recognition, iris recognition, or the like.
[0026]
Note that the protocol listed below is based on the above, but in addition to this, a process for confirming the validity of the black box B itself is added.
Note that after the right confirmation process is completed, the user apparatus U can use the resource of the resource manager apparatus RM by using the secure communication technology such as the existing SSL.
Example 1
First, as a basic, a protocol in the case where there are only arbitrary types of certificate contents determined in advance by the certificate issuer CP will be described. In the second embodiment, as an extension of this protocol, a protocol whose contents and number can be changed dynamically and freely will be described.
initial state
Black box B is a key pair (eB 0, DB 0) And a certificate C that guarantees the validity of the black box B correspondingly0have. User device U is C0And eB 0know. The certificate issuer device CP makes a key pair (eCP k, DCP k) For each eCP kIs published.
Certificate issuance
Black box B is j-th certificate CjThe protocol for acquiring is shown below. Here, the suffix y is attached to data necessary to prove the validity of the black box B itself. Black box B is the i-th key pair, CjIt is used as a key corresponding to.
[0027]
Hereafter, function gBIs a one-way function of X → X. FIG. 3 shows the flow of processing, FIG. 4 shows the functional configuration of the black box B, FIG. 5 shows the functional configuration of the user device U, and FIG. 6 shows the functional configuration of the certificate issuer device CP.
(1) The user operates the input operation unit 11 of the user device U to select an appropriate certificate C from an existing certificate in the memory 12 that guarantees that “B is valid”.ySelect. Also, the public key e of the certificate issuer device CP corresponding to the certificate to be issuedCP lSelect Certificate CyPublic key e of black box B corresponding toB y(Or y value) and eCP lTo the black box B. The user decides whether to use a new key in this issue. When reusing a key, the public key e of the black box BB i(Or the value of i) is also sent to the black box B.
[0028]
(2) Black box B is eCP l, EB y, The key pair (eB i, DB i) (I>0), a random number r is generated from the random number generation unit 32, and e is sent to the one-way function unit 33.B iEnter gB(EB i) And eCP l, R, gB(EB i) Is input to the blind function unit 34 to obtain the value Z in equation (3).1Calculate In (1), the user device U is eB iKey pair (eB i, DB i) Is newly created by the key generation unit 31 of the black box B. Black box B is key dB iIs stored in the memory 36 and is not disclosed to anyone.
[0029]
[Expression 12]
Figure 0003690474
Black box B is eB yPrivate key d corresponding toB yUsing Z1Signature information Z1 ByIs calculated by the signer 35 and Z1, Z1 By, EB i, R to the user equipment U. However, Z1 ByThe signature method used to generate the can be a normal method that does not support blind signatures.
(3) User device U is Z1, Z1 By, EB i, R, information M necessary for receiving certificate issuance as necessaryUCreate Usually MUThe certificate issuer device CP designates the contents in advance in correspondence with the contents of the issued certificate. User device U is Z1And Z1 By, MU, Cy, EB yIs sent to the certificate issuer device CP. At this time eCP lWhich U is sent between U and CPCP lNotification of whether or not the user has selected is made in advance.
[0030]
(4) Certificate issuer CP is Z1, Z1 ByEtc., Z1The effectiveness ofB y, Z1 ByIs confirmed by the signature verifier 51. EB yIs input to the one-way function unit 52 and gB(EB y) And Cy, ECPy xIs input to the signature verification function unit 53, and the calculation result and gB(EB y) Matches with the comparator 54, that is,
[0031]
[Formula 13]
Figure 0003690474
Z by examining whether1 BySigning key dB yThat is, the validity of B is confirmed.
Where eCPy xIs CyIssuer device CPyCyIs a public key corresponding to. EB yBy confirming the validity ofB yD paired withB yCheck the validity of.
[0032]
If any of these verifications fail, no certificate is issued and the process ends. Also, the certificate issuer device CP is MUCheck the effectiveness of. MUHowever, if the certificate is issued by another certificate issuer device CP, the validity can be confirmed using a certificate presenting protocol. If it is determined that the certificate issuance is appropriate, the certificate issuer apparatus CP calculates the following value by the signature generation function unit 55 and sends it to the user apparatus U.
[0033]
[Expression 14]
Figure 0003690474
(5) Z1The user apparatus U having received the calculation calculates the following value by the blind decompression function unit 13.
[0034]
[Expression 15]
Figure 0003690474
EB iG in the one-way function unit 14B(EB i) And CjAnd eCP lTo the signature verification function unit 15 and feCP l(Cj)
[0035]
[Expression 16]
Figure 0003690474
The comparator 16 checks whether or not From formulas (1) and (2), the effective C following the regular procedurejThen, it is clear that the above equation holds. If this validity is confirmed, Cj, EB iIs stored in the memory 12 as a new certificate.
Certificate presentation
Certificate CjIs the key d of the certificate issuer device CP that guarantees specific contents.CP lSigned with gB(EB iIt is easy to check the eligibility for using this certificate. eB iPrivate key d corresponding toB iAs long as the black box B can be confirmed. The certificate presentation and usage protocol is shown below (see FIGS. 4 and 7).
[0036]
(1) User U wants to use certificate CjAnd CjAnd the corresponding public key eB iIs presented (transmitted) to the resource manager device RM. Where this certificate Cj, EB iThe key pair of the certificate issuer device CP corresponding to (eCP m, DCP m). eCP mShould be public.
(2) The resource manager device RMCP mUsing CjF by the signature verification function uniteCP m(Cj) And eB iUnidirectional function unit 62m(EB i) And g at the comparator 63B(EB i) = FeCP m(Cj) Is verified. If this verification fails, authentication fails.
[0037]
(3) The resource manager device RM uses the existing public key authentication procedure to set the black box B to eB iKey d corresponding toB iThe authentication means 64 and the authentication means 37 in the black box B cooperate with each other to check whether they have This communication is performed with the user apparatus U as an intermediary. If the verification is successful, the certificate issuer device CP is eCP mThe resource manager device RM is convinced that the content corresponding to is guaranteed to the user device U.
Example 2
In the first embodiment, each certificate issuer device CP determines the content to be proved in advance, and the public key (eCP 0, ECP 1, ... eCP n) (N> 0) must be disclosed. The second embodiment eliminates this condition and guarantees arbitrary contents with one piece of public information.
[0038]
For this purpose, the second embodiment uses the following special blind signature system. When U, X, M, and R are appropriate finite sets, the public key (signature verification key) is e∈U, the private key (signature generation key) is d∈U, the proof content is m∈M, and fbd, m -1: X → X is a signature generation function with keys d and m, fe, m: Let X → X be a signature verification function with keys e and m. Where fe, mIs a one-way function unless d is known. Also, Ble, r, Ble, r -1  Are a blind function and a blind decompression function, respectively. Ble, rFrom (x), x and r cannot be distinguished. At this time, the signature system {U, X, f., Fb-1 .,Bl., Bl-1 .} Satisfies the following expression with respect to x∈X.
[0039]
[Expression 17]
Figure 0003690474
Bl. Is black box B, fb-1Is the certificate issuer device CP, Bl-1 .Are user equipment U or black box B, f. Arbitrary existence is calculated. In the following, an extension of the first embodiment using this signature system will be described.
initial state
Black box B is a key pair (eB 0, DB 0) And a certificate C that proves the validity of the black box B correspondingly0, MCP 0have. C0And MCP 0Will be one certificate for both. See below for details. User device U is C0And MCP 0, EB 0Only know. Also, the certificate issuer device CP has its own public key eCPIs published.
Certificate issuance
The certificate issuance protocol is the certificate C in the first embodiment.y(Cy, MCP yE)CP lECPIt is almost the same as the one replaced by. The flow of this process is shown in FIG. The functional configuration of each device is almost the same as that of the first embodiment.
[0040]
Function gBIs a one-way function of X → X. gCPIs MCPWhen ∈M × M ×... M, m∈M, gCP: M × M ×... M → M.
(1) The user can select an appropriate certificate C from the existing certificate that guarantees that “B is valid” from the user device.ySelect. CyBlack box B key e corresponding toB y(Or the value of y) and the public key e of the certificate issuer device CPCPTo the black box B. The user device U determines whether to use a new key in this issue. When reusing a key, the public key e of the black box BB i(Or the value of i) is also sent to the black box B.
[0041]
(2) Upon receiving these, the black box B receives the key pair (eB i, DB i) (I>0) and eCPFrom the random number r, the following value ZThreeCalculate In (1), the user device U is eB iIf no key is sent, the key pair is newly created by the black box B. Black box B is key dB iIs not open to anyone.
[0042]
[Expression 18]
Figure 0003690474
Black box B is eB yPrivate key d corresponding toB yUsing ZThreeSignature information ZThree ByAnd ZThree, ZThree By, EB i, R to the user equipment U. However, ZThree ByThe signature method used in can be an ordinary method that does not support blind signatures.
(3) User device U is ZThree, ZThree ByInformation necessary to receive certificate issuance when receiving etc.UCreate as necessary. Usually MUThe certificate issuer device CP designates the contents in advance in correspondence with the contents of the issued certificate. User device U is ZThreeAnd ZThree By, MU, Cy, MCP y, EB yTo the CP.
[0043]
(4) Upon receiving these, the certificate issuer device CP receives ZThreeIs verified by signature verification and the validity of the black box B is verified. The validity of black box B is feCPy, gCP(MCP y) (Cy) = GB(EB y). Where eCPyIs CyIssuer device CPyPublic key. If verification fails, the certificate is not issued and the process ends.
[0044]
CP is MUCheck the effectiveness of.
If the certificate issuance is deemed appropriate, the certificate issuer device CP guarantees the content (document) M that it guarantees.CPAnd calculate the following values: Certificate issuer CP is the ZFourAnd MCPIs sent to the user device U.
[0045]
[Equation 19]
Figure 0003690474
(5) Upon receiving these, the user apparatus U calculates the following values.
[0046]
[Expression 20]
Figure 0003690474
User device U is MCPM is calculated from feCP, m(Cj) = GB(EB i). It is clear that the above equation holds when the normal procedure is taken according to equation (6) and the like. If the validity of the certificate is confirmed, Cj, MCP, EB iAs a certificate that guarantees new content.
Certificate presentation
The certificate presentation and usage protocol is as follows.
[0047]
(1) User device U wants to prove to resource manager device RM MCPAnd MCPAnd certificate C corresponding to thisx, EB xIs presented to the resource manager device RM. CxThe key of the issuer's device is public, and this is eCPAnd
(2) The resource manager device RM is eCPFrom gB(EB x) = FeCP, m(Cx), M = gCP(MCP).
[0048]
(3) The resource manager device RM uses the existing public key authentication procedure to set the black box B to eB xKey e corresponding toB xVerify whether you have This communication is performed with the user apparatus U as an intermediary. If this verification is successful, the certificate issuer device CPCPThe resource manager device RM is convinced that the contents of the above are guaranteed to the user device U.
Example 3
The first embodiment can be easily realized by using various existing signature methods capable of blind signing and various authentication / signature procedures using a public key. For this realization, it is sufficient to replace each expression in the first embodiment with the corresponding function as it is, and this realization method is clear. Therefore, a specific example is not described here for the first embodiment.
[0049]
For the second embodiment, a function that satisfies the equation (6) is generally not widely known. However, in the following implementation example, the Fiat-Shamir method is used for the authentication and signature part of the black box B, but this part can be replaced with an authentication / signature method using any other public key. Please note that.
Function definition
In the realization example here, the R. S. A method based on A is used, and the method proposed by Fiat et al. Is used for authentication of black box B. However, f. And fb-1Is extended.
Extended blind signature method
[0050]
[Expression 21]
Figure 0003690474
Figure 0003690474
m-1And r-1Can be easily calculated when the greatest common divisor with N (m, N) = (r, N) = 1. (M, N) ≠ 1 or (r, N) ≠ 1 can occur when m or r matches p or q, but this possibility can be ignored if p and q are sufficiently large. . The above equation satisfies equation (6) as follows.
[0051]
[Expression 22]
Figure 0003690474
Power function xeIt is known that (mod N) has unidirectionality under sufficiently large N and e. However, the unidirectionality of equation (11) is not perfect. When calculation results for a plurality of known m and x with the same e and d are obtained, a special fe, mIt is computationally easy to forge. In order to avoid such a selected document attack (chosen-message attack), the implementation protocol described below is devised so that x cannot be operated by the user apparatus U.
Black Box B signature and authentication
Many existing authentication methods can be applied to the signature and authentication of the black box B. Here, a method using the Fiat-Shamir method, which is already used as a personal authentication method with an IC card or the like, is used as an example. In addition to the important feature of zero knowledge, the Fiat-Shamir method has great advantages such as being able to prove multiple contents with a single public information and being able to execute at high speed. However, details of this method will not be described here.
[0052]
The most proposed method of Fiat-Shamir method defines the following public information and secret information.
Figure 0003690474
Unidirectional function gBAnd gCP
Unidirectional function gBAnd gCPCan each be assigned any existing suitable function. In addition to MD5 and SHA-1, these can be easily realized by using a secret key cryptosystem DES or FEAL. Here, this part will be described without defining a specific example.
initial state
Blacks box B is a key pair ((nB 0, IB 0), SB 0) And certificate C0, MCP 0, C0have. These are given in advance by the manufacturer of the black box B. From the characteristics of the Fiat-Shamir method, nB 0May be the same in all black boxes B. Therefore, IB 0Is the production number of the black box B, etc.B 0Just embed. C0Etc. can be issued later. c0See below for the role of. The user equipment U is (nB 0, IB 0) And C0, MCP 0, C0know.
[0053]
Each certificate issuer device CP has a public key (eCP, MCP) Is published (NCPThe certificate is N used by the issuer device CP). Each certificate issuer device CP is an empty issued list LCPhave. Each time the certificate issuer device CP issues a certificate, it is presented to the user device U as ZFivePublished list L (see below)CPRegister with. Maximum registration period is TCP maxAnd the old ZFiveMay be deleted. Certificate issuer device CP is TCP maxIs published.
Certificate issuance
(1) The user apparatus U selects an appropriate certificate that guarantees the validity of the black box B, and selects the corresponding key (nB y, IB y) (Or y) and the key (eCP, NCP) To the black box B. The user device U determines a time T for applying to the certificate issuer device CP for issuing, and TS<T <TeAnd Te-TS <TCP maxTSAnd TeIs sent to the black box B.
[0054]
When using an existing key for issuance (nB i, IB i) (Or i) is sent to the black box B.
(2) Black box B is nB i, IB iKey pair ((nB i, IB i), SB i) (I>0) and random numbers r, cjThe following values are calculated from That is, the blind count value is calculated. In (1), the user apparatus U (nB i, IB i) Is not sent, the key pair is newly created by the black box B. Here, ‖ represents a bond.
[0055]
[Expression 23]
Figure 0003690474
cjIs gBThe counter for each black box B may actually be used to guarantee that the input to is always different. Black box B is sB y(ZFive‖Ts‖TeSignature information Z)Five ByCreate ZFive, ZFive By, (NB i, IB i), R, cjIs sent to the user device U. The signature method used here is the Fiat-Shamir method.
[0056]
(3) User device U is ZFive, ZFive ByEtc. Information M necessary for receiving a certificateUCreate as necessary. User device U is ZFive, ZFive By, Ts, Te, MU, Cy, MCP y, Cy, (NB y, IB y) To the certificate issuer device CP.
(4) The certificate issuer device CP is ZFive, ZFive ByEtc., ZFiveAnd Ts, TeAnd the validity of the black box B is verified. The clock of the certificate issuer device CP is TsT from timeeCheck if it shows the time in the time range. If it is out of time, no certificate will be issued. ZFiveIs issued list LCPAlso make sure that it is not registered with. Certificate issuer device CP is MUAlso examine the effectiveness of.
[0057]
If the certificate issuance is deemed appropriate, the certificate issuer device CPFiveLCPIn addition to the content (document) M that I guaranteeCPAnd calculate the following values: That is, the certificate issuer device CP for calculating the signature generation function value is the Z6And MCPIs sent to the user device U.
[0058]
[Expression 24]
Figure 0003690474
(5) User device U is Z6When the value is received, the following value is calculated. That is, the blind decompression function value is obtained.
Cj= R-1(Z6) (Mod NCP(19)
User device U is MCPEtc. from m-1(Cj)eCP= GB(NB i‖IB i‖Cj) (Mod NCP) Is satisfied, that is, whether the signature verification expression is satisfied, and CjVerify the effectiveness of. If the validity is confirmed, Cj, MCP, Cj, (NB i, IB i) As a certificate that guarantees new content.
Certificate presentation
The certificate presentation and usage protocol is as follows.
[0059]
(1) User device U wants to prove MCPAnd MCPAnd C paired with thisx, Cx, (NB x, IB x) To the resource manager device RM.
(2) The resource manager device RM is eCPAnd NCPFrom the information from user device U, gB(NB x‖IB x‖Cx) = M-1(Cx)ecp(Mod NCP) Is satisfied, that is, whether the signature verification expression is satisfied.
[0060]
(3) The resource manager device RM uses the Fiat-Shamir authentication procedure, and the black box B is nB xAnd IB xKey corresponding toB xVerify whether you have This communication is performed with the user apparatus U as an intermediary. However, details of the Fiat-Shamir method are omitted here.
If this verification is successful, the certificate issuer device CPCPThe resource manager device RM is convinced that the contents of the above are guaranteed to the user device U. In addition, each apparatus in the above can perform each function by reading a program by a computer and performing decoding.
[0061]
【The invention's effect】
As described above, according to the method and apparatus of the present invention, the following effects can be obtained.
(1) Personal information other than information requested by the resource manager device RM does not leak.
(2) Even if an arbitrary number of certificate issuer devices CP and resource manager devices RM collaborate, it is not possible to grasp the entire behavior history of the user (device). In addition, the user (device) can determine the range in which the action can be grasped.
[0062]
(3) The right certificate can be used any number of times.
(4) A user device that does not have a regular black box cannot use a right certificate.
(5) The certificate issuer device CP can prove any number of pieces of information with any content.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of a user profile.
FIG. 2 is a diagram illustrating communication among a black box, a user device, a certificate issuer device, and a resource manager device.
FIG. 3 is a diagram illustrating a certificate issuance procedure according to the first embodiment.
FIG. 4 is a diagram illustrating a functional configuration of a black box according to the first embodiment.
FIG. 5 is a diagram illustrating a functional configuration of a user apparatus according to the first embodiment.
FIG. 6 is a diagram illustrating a functional configuration of a certificate issuer apparatus according to the first embodiment.
FIG. 7 is a diagram illustrating a functional configuration of a resource manager device according to the first embodiment.
FIG. 8 is a diagram illustrating a certificate issuing procedure according to the second embodiment.
FIG. 9 is a diagram showing a system configuration example targeted by the present invention.

Claims (8)

ユーザ装置がブラックボックスと証明書発行者装置とに結合され、ブラックボックスは誰にも引き出すことができない秘密鍵を記憶したメモリを備え、
証明書発行時に、ユーザ装置は証明書発行者装置の公開鍵をブラックボックスへ送り、
ブラックボックスはブラックボックスの公開鍵eB i に対してブラインド処理を行い、その結果と公開鍵eB i をユーザ装置に返し、
ユーザ装置は上記ブラインド処理の結果、公開鍵eB i を証明書発行者装置へ送り、
証明書発行者装置は、受け取ったブラインド処理結果に対し証明書発行者装置の秘密鍵で署名処理を施し、その署名処理の結果をユーザ装置に返し、
ユーザ装置は、受け取った署名処理の結果に対し、ブラインド解凍処理を行い、その解凍処理結果に対し公開鍵eB i を用いて、署名検証を行い、その検証に合格すると、上記解凍処理結果と公開鍵eB i を権利証明書とし、
ブラックボックスの上記ブラインド処理は、乱数rを生成し、公開鍵e B i に対し一方向性関数値g B (e B i )を求め、その値に対し、証明書発行者装置の公開鍵e CP と乱数rを用いてブラインド関数値
Figure 0003690474
 を求めることであり、
ブラックボックスはrもユーザ装置へ送り、
証明書発行者装置の上記署名処理は、自分が保証する内容M CP に対し一方向性関数値m=g CP (M CP )を求め、e CP と対をなす秘密鍵d CP とmを用いてZ 3 に対して署名生成関数値
Figure 0003690474
 を求めることであり、
証明書発行者装置はM CP もユーザ装置へ送り、
ユーザ装置の上記解凍処理は、e CP ,rを用い、Z 4 に対しブラインド解凍関数値
Figure 0003690474
 を求めることであり、
上記解凍処理結果に対する署名検証は、M CP に対し一方向性関数値m=g CP (M CP )を求め、mとe CP を用いてC j に対して署名検証関数値f eCP,m (C j )を求め、かつe B i に対し一方向性関数値g B (e B i )を求め、これらが等しいかを調べることである
ことを特徴とする権利証明書実現方法。The user device is coupled to a black box and a certificate issuer device, the black box comprising a memory storing a secret key that cannot be derived by anyone;
When issuing a certificate, the user device sends the public key of the certificate issuer device to the black box,
The black box performs blind processing on the public key e B i of the black box, returns the result and the public key e B i to the user device,
As a result of the blind process, the user device sends the public key e B i to the certificate issuer device,
The certificate issuer device performs signature processing on the received blind processing result with the private key of the certificate issuer device, and returns the result of the signature processing to the user device.
User equipment, to the result of the received signature process performs blind decompression process, using the public key e B i for that decompression processing results, performs signature verification, to Pass the verification, the decompression processing result and Use public key e B i as the right certificate ,
The blind processing of the black box generates a random number r, obtains a one-way function value g B (e B i ) for the public key e B i , and uses the public key e of the certificate issuer device for that value. Blind function value using CP and random number r
Figure 0003690474
 Is to seek
The black box also sends r to the user device,
The above signature processing of the certificate issuer apparatus obtains a one-way function value m = g CP (M CP ) for the content M CP guaranteed by itself, and uses the secret keys d CP and m that are paired with e CP . Signature generation function value for Z 3
Figure 0003690474
 Is to seek
The certificate issuer device also sends the MCP to the user device,
The above-described decompression process of the user device uses e CP , r, and a blind decompression function value for Z 4
Figure 0003690474
 Is to seek
Signature verification for the decompression processing result, M obtains the one-way function value m = g CP (M CP) to CP, m and e CP signature verification function value f ECP against C j using, m ( seeking C j), and e B i determined a one-way function value g B (e B i) with respect to the rights certificate implementation method is characterized in that to examine whether they are equal. ユーザ装置は上記権利証明書を資源管理者装置へ送り、
資源管理者装置は受け取った権利証明書に対し、署名検証を行い、その検証に合格すると、公開鍵方式の認証手順を用いてブラックボックスが上記権利証明書の公開鍵eB i に対応する秘密鍵を持っているかの確認をユーザ装置を仲介して行い、この検証に成功すれば、その権利証明書の正当性を認めることを特徴とする請求項1記載の権利証明書実現方法。The user device sends the above right certificate to the resource manager device,
The resource manager device verifies the signature of the received right certificate, and if the verification is successful, the black box uses the public key authentication procedure and the secret corresponding to the public key e B i of the above right certificate. 2. The method for realizing a rights certificate according to claim 1, wherein whether or not the user has a key is confirmed through a user apparatus, and if the verification is successful, the validity of the rights certificate is recognized. ユーザ装置は既存の権利証明書の一つCy と対応した公開鍵eB y の情報もブラックボックスへ送り、
ブラックボックスはeB y と対をなす秘密鍵dB y を用いてZ3 の署名情報Z3 Byを作成し、Z3 Byもユーザ装置へ送り、
ユーザ装置はZ3 By,eB y ,Cy ,cy と対応した情報MCP y も証明書発行者装置へ送り、
証明書発行者装置は、Z3 の有効性をZ3 Byを用いて確認し、かつMCP y に対し一方向性関数値my =gCP(MCP y )を求め、Cy の証明書発行者装置の公開鍵eCPy と、my を用いてCy に対し署名検証関数値feCPy,m y (Cy )を求め、またeB y に対し一方向性関数値gB (eB y )を求め、これらが等しいかを調べて、Z3 Byの署名鍵dB y の正当性を確認し、これら検証に合格すると署名生成処理を行う
ことを特徴とする請求項1または2記載の権利証明書実現方法。The user equipment also sent to the black box information of the public key e B y, which corresponds to one C y of existing rights certificate,
Black box creates the signature information Z 3 By A of Z 3 using the private key d B y forming the e B y pair, Z 3 By A also sends to the user equipment,
The user equipment Z 3 By, e B y, C y, the information M CP y corresponding with c y be sent to the certificate issuer apparatus,
Certificate issuer device, the validity of Z 3 confirmed using Z 3 By A, and with respect to M CP y determine the one-way function value m y = g CP (M CP y), proof of C y the public key e CPy book issuer apparatus, C y to the signature verification function value f ECPy using m y, m seeking y (C y), also e B y to one-way function value g B ( seeking e B y), and checks whether they are equal, Z 3 validates the by the signature key d B y, or claim 1 and performs to pass these verify the signature generation process 2. The method for realizing a right certificate according to 2 . 秘密鍵d、公開鍵eとし、N=p×q(p,q素数)をe,dに対応する公開情報、e×d(mod LCM(p−1,q−1))=1(LCM(a,b)は整数a,bの最小公倍数を表わす)、x<Nでxde=x(mod N)とし、秘密情報s、公開情報I=s2 (mod n)、n=p×q、I(任意の識別情報)とし、
上記公開鍵eCPとして(eCP,NCP)が用いられ、
秘密鍵dB i として、sB i が、公開鍵eB i として(nB i ,IB i )が用いられ、
ブラックボックスは乱数cj も生成し、上記ブラインド関数値Z3 はrecp B (nB i ‖IB i ‖cj )(mod NCP)であり、(a‖bはaとbの結合を表わす)、cj もユーザ装置へ送り、
上記署名生成関数Z4 は(mZ3 dCP (mod NCP)であり、上記ブラインド解凍関数値Zj はr-1(Z4 )(mod NCP)であり、
上記署名検証関数値はm-1(Cj eCP (mod NCP)であり、これと比較する一方向性関数値はgB (nB i ‖IB i ‖cj )(mod NCP)であり、権利証明書にCj も加えることを特徴とする請求項1または2記載の権利証明書実現方法。The secret key d and the public key e are used, and N = p × q (p, q prime number) is public information corresponding to e and d, e × d (mod LCM (p−1, q−1)) = 1 (LCM (A, b) represents the least common multiple of integers a, b), x <N, x de = x (mod N), secret information s, public information I = s 2 (mod n), n = p × q, I (arbitrary identification information),
(E CP , N CP ) is used as the public key e CP .
S B i is used as the private key d B i and (n B i , I B i ) is used as the public key e B i .
The black box also generates a random number c j , and the blind function value Z 3 is re ecp g B (n B i ‖I B i ‖c j ) (mod N CP ), where (a ‖ b is a and b represents a bond), c j is also sent to the user equipment,
The signature generation function Z 4 is (mZ 3 ) dCP (mod N CP ), the blind decompression function value Z j is r −1 (Z 4 ) (mod N CP ),
The signature verification function value is m −1 (C j ) eCP (mod N CP ), and the one-way function value to be compared is g B (n B i ‖I B i ‖c j ) (mod N CP 3. The right certificate realizing method according to claim 1, wherein C j is also added to the right certificate. ユーザ装置は証明書発行者装置に証明書発行を申請する時刻Tに対しTs <T<Te かつTe −Ts 登録期間最大値TCP max を満すTs ,Te もブラックボックスへ送り、またブラックボックスの正当性を保証する証明書の一つCy と対応する公開鍵(nB y ,IB y )と対応する情報もブラックボックスへ送り、
ブラックボックスは(nB y ,IB y )と対をなす秘密鍵sB y で(Z3 ‖Ts ‖Te )に対する署名情報Z5 Byを作成し、Z5 Byもユーザ装置へ送り、
ユーザ装置はZ5 By,Ts ,Te ,Cy ,MCP y ,cy ,(nB y ,IB y )も証明書発行者装置へ送り、
証明書発行者装置はZ3 ,Ts ,Te の有効性をZ5 Byを用いて確認し、またブラックボックス(sB y )の正当性をMCP y ,(nB y ,IB y ),Cy ,cy の証明書発行者装置の公開鍵(nCP y ,ICP y )を用いて確認し、証明書発行者装置の時計の時刻がTs とTe の間であることを確認し、Z3 が発行済リストに登録されていないことを確認し、これらの確認に全て合格すると上記署名生成処理を行い、かつZ3 を発行済リストに加える
ことを特徴とする請求項記載の権利証明書実現方法。Time T for T s user equipment to apply for a certificate issued to certificate issuer apparatus <T <T e and T e -T s <registration period maximum value T CP max the full to T s, T e is also black feeding the boxes, also a public key (n B y, I B y ) and the corresponding one C y certificate to guarantee the validity of the black box is also information corresponding to the feed to the black box,
Black box creates the signature information Z 5 By A for (n B y, I B y ) with a secret key s B y paired with (Z 3 ‖T s ‖T e) , Z 5 By also sent to the user equipment ,
The user device Z 5 By, T s, T e, C y, M CP y, c y, feed (n B y, I B y ) to be the certificate issuer apparatus,
Certificate issuer apparatus Z 3, T s, T the validity of e confirmed using Z 5 By A, also M CP y the validity of the black box (s B y), (n B y, I B y), C y, public key (n CP y of the certificate issuer apparatus of c y, confirmed using the I CP y), between the time of the clock of the certificate issuer device of T s and T e It is confirmed that Z 3 is not registered in the issued list, and if all these checks are passed, the signature generation process is performed, and Z 3 is added to the issued list. The method for realizing a right certificate according to claim 4 . ユーザ装置からの依頼により権利証明書を発行する証明書発行者装置であって、
秘密鍵、公開鍵などを記憶するメモリと、
ユーザ装置から受け取ったブラインド処理結果Z1 に対し、証明書発行者装置の秘密鍵で署名を行う署名手段と、
その署名結果Z2 をユーザ装置へ送る手段と
ユーザ装置から受け取ったZ1 とその署名情報Z1 ByからZ1 の有効性を検証する署名検証手段と、
ユーザ装置から受け取った権利証明書Cy に対し、その証明書発行者装置のCy と対応する公開鍵eCPy を用いて署名検証関数値feCPy(Cy )を計算する署名検証関数器と、
ユーザ装置から受け取ったCy と対応する公開鍵eB i に対し一方向性関数値gB (eB i )を計算する一方向性関数器と、
計算値feCPy(Cy )とgB (eB i )を比較して等しければ合格とする比較器と、
上記署名検証手段が検証に合格し、かつ上記比較器が合格すると上記署名を行わせる手段とを具備し、
上記署名手段は、証明書発行者装置が保証する内容M CP に対し一方向性関数値m=g CP (M CP )を計算する一方向性関数器と、上記ブラインド処理結果Z 1 に対し、証明書発行者装置の秘密鍵d CP と上記mを用いて署名生成関数値
Figure 0003690474
 を計算する署名生成関数器とよりなり、
上記送る手段はM CP も送ることを特徴とする証明書発行者装置。A certificate issuer device that issues a right certificate in response to a request from a user device,
A memory for storing private keys, public keys, etc.
A signing means for signing the blind processing result Z 1 received from the user device with the private key of the certificate issuer device;
Means for sending the signature result Z 2 to the user device, Z 1 received from the user device, and signature verification means for verifying the validity of Z 1 from the signature information Z 1 By ;
To claim certificate C y received from the user equipment, a signature verification function unit for calculating a signature verification function value f eCPy (C y) using the public key e CPy corresponding to C y of the certificate issuer apparatus ,
A one-way function unit to the public key e B i corresponding to the C y received from the user equipment to calculate the one-way function value g B (e B i),
A comparator that compares the calculated values f eCPy (C y ) and g B (e B i ) and makes a pass;
The signature verification means passes verification, and if the comparator passes, means for performing the signature ,
The signing means includes a one-way function unit for calculating a one -way function value m = g CP (M CP ) for the content M CP guaranteed by the certificate issuer device , and the blind processing result Z 1 . certificate issuer device signature generation function value using the private key d CP and the m of
Figure 0003690474
 And a signature generation function unit that calculates
Said sending means certificate issuer and wherein the sending also M CP. ユーザ装置からの依頼により権利証明書を発行する証明書発行者装置であって、
秘密鍵、公開鍵などを記憶するメモリと、
証明書発行者装置が保証する内容M CP に対し一方向性関数値m=g CP (M CP )を計算する一方向性関数器と、ユーザ装置から受け取ったブラインド処理結果Z 1 に対し、証明書発行者装置の秘密鍵d CP と上記mを用いて署名生成関数値
Figure 0003690474
 を計算する署名生成関数器と、
ユーザ装置から受け取ったZ1 とその署名情報Z1 ByからZ1 の有効性を検証する署名検証手段と、
ユーザ装置から受け取ったMCP y に対し一方向性関数値my =gCP(MCP y )を計算する一方向性関数器と、
y の証明書発行者装置の公開鍵eCPy,m y を用いてCy に対し署名検証関数値feCPy, m y (Cy )を計算する署名検証関数器と、
ユーザ装置から受け取ったeB y に対し一方向性関数値gB (eB y )を計算する一方向性関数器と、
上記計算値feCPy, m y (Cy )とgB (eB y )とを比較する比較器と、
上記署名検証手段の検証が合格し、かつ上記比較器の比較が一致であれば上記署名を実行させる手段と
上記署名結果Z 2 及び上記M CP をユーザ装置へ送る手段と
を具備することを特徴とする証明書発行者装置。A certificate issuer device that issues a right certificate in response to a request from a user device,
A memory for storing private keys, public keys, etc.
A one-way function unit for calculating the one-way function value m = g CP (M CP) to the content M CP certificate issuer device is guaranteed to blind processing result Z 1 received from the user device, demonstrated Signature generation function value using secret key d CP of certificate issuer device and m above
Figure 0003690474
 A signature generation function unit for calculating
Signature verification means for verifying the validity of Z 1 received from the user device and the signature information Z 1 By to Z 1 ;
A one-way function unit for calculating the one-way function value m y = g CP (M CP y) with respect to M CP y received from the user device,
C public key e CPy of y of the certificate issuer apparatus, signatures to C y with m y verification function value f ECPy, a signature verification function unit for calculating the m y (C y),
A one-way function unit for calculating the one-way function value g B (e B y) with respect to e B y received from the user device,
The calculated value f ECPy, and m y (C y) and g B (e B y) a comparator for comparing,
Means for executing the signature if the verification of the signature verification means passes and the comparison of the comparator is coincident;
The signature result Z 2 and certificate issuer apparatus characterized by comprising a means for sending the M CP to the user equipment. ユーザ装置から送られた権利証明書Cj 上記証明書発行者装置が保証する内容CP上記権利証明書C j に対応するB i を検証する資源管理者装置において、
公開鍵を記憶するメモリと、
上記MCPに対し一方向性関数値m=gCP(MCP)を計算する一方向性関数器と、
上記Cj の証明書発行者装置の公開鍵eCPと上記mとを用い、Cj に対し署名検証関数値feCP,m (Cj )を計算する署名検証関数器と、
上記eB i に対して一方向性関数値gB (eB i )を計算する一方向性関数器と、
上記計算値feCP,m (Cj )とgB (eB i )を比較して一致すれば合格を出力する比較器と、
ユーザ装置ごとのブラックボックスが上記eB i と対応した秘密鍵dB i を秘密に保持していることを、公開鍵方式の認証手順によりユーザ装置を仲介して確認する認証手段と、
上記比較器が合格を出力し、かつ上記認証手段が検証に成功すれば、上記権利証明書のMCPの内容を証明書発行者装置が保証していると判定する手段と、
を具備することを特徴とする資源管理者装置。In the resource manager device that verifies the right certificate C j sent from the user device, the content M CP guaranteed by the certificate issuer device , and e B i corresponding to the right certificate C j ,
A memory for storing the public key;
A one-way function unit for calculating a one-way function value m = g CP (M CP ) for the above-mentioned M CP ;
Using the public key e CP and the m of the certificate issuer apparatus of the C j, C j to the signature verification function value f ECP, a signature verification function unit for calculating the m (C j),
A one-way function unit for calculating the one-way function value g B (e B i) with respect to the e B i,
A comparator that compares the calculated values f eCP, m (C j ) and g B (e B i ) and outputs a pass if they match,
An authentication means for confirming that the black box for each user device secretly holds the secret key d B i corresponding to the e B i by means of a public key method authentication procedure;
Means for determining that the certificate issuer device guarantees the content of the MCP of the right certificate if the comparator outputs success and the authentication means succeeds in verification;
A resource manager device comprising:
JP3279299A 1999-02-10 1999-02-10 Rights certificate realization method and apparatus Expired - Lifetime JP3690474B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP3279299A JP3690474B2 (en) 1999-02-10 1999-02-10 Rights certificate realization method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3279299A JP3690474B2 (en) 1999-02-10 1999-02-10 Rights certificate realization method and apparatus

Publications (2)

Publication Number Publication Date
JP2000231331A JP2000231331A (en) 2000-08-22
JP3690474B2 true JP3690474B2 (en) 2005-08-31

Family

ID=12368714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3279299A Expired - Lifetime JP3690474B2 (en) 1999-02-10 1999-02-10 Rights certificate realization method and apparatus

Country Status (1)

Country Link
JP (1) JP3690474B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050119133A (en) * 2003-03-21 2005-12-20 코닌클리케 필립스 일렉트로닉스 엔.브이. User identity privacy in authorization certificates
US20060068757A1 (en) * 2004-09-30 2006-03-30 Sukumar Thirunarayanan Method, apparatus and system for maintaining a persistent wireless network connection
JP2011003211A (en) * 2010-09-06 2011-01-06 Dainippon Printing Co Ltd Information leakage prevention system

Also Published As

Publication number Publication date
JP2000231331A (en) 2000-08-22

Similar Documents

Publication Publication Date Title
US6148404A (en) Authentication system using authentication information valid one-time
CN100485699C (en) Method for obtaining and verifying credentials
JP4635009B2 (en) Use of proven secret values in communications
JP4879176B2 (en) System and method for implementing a digital signature using a one-time private key
US9882890B2 (en) Reissue of cryptographic credentials
JP2019506103A (en) How to manage trusted identities
CN111160909B (en) Hidden static supervision system and method for blockchain supply chain transaction
US8631486B1 (en) Adaptive identity classification
JP4591894B2 (en) Maintaining privacy for processing that can be performed by user devices with security modules
KR100656355B1 (en) Method for user authentication and service authentication using splitted user authentication key and apparatus thereof
CN113221089A (en) Privacy protection attribute authentication system and method based on verifiable statement
JP2005520364A (en) System and method for updating and extending a digitally signed certificate
Epstein et al. Security for the digital information age of medicine: Issues, applications, and implementation
US7366911B2 (en) Methods and apparatus for computationally-efficient generation of secure digital signatures
Dandash et al. Fraudulent Internet Banking Payments Prevention using Dynamic Key.
JP3874127B2 (en) Registration key duplication prevention device in authentication system
JP3690474B2 (en) Rights certificate realization method and apparatus
KR101371054B1 (en) Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password
JP2004228958A (en) Signature method and signature program
CN114329610A (en) Block chain privacy identity protection method, device, storage medium and system
JP3898322B2 (en) Authentication system and method for authenticating electronic information
JP5159752B2 (en) Communication data verification device and computer program therefor
Dandash et al. Internet banking payment protocol with fraud prevention
Kubiak et al. Mediated signatures-towards undeniability of digital data in technical and legal framework
JP2000331073A (en) Method and device for realizing right certificate and program recording medium for the same

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040518

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050301

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050524

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050607

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100624

Year of fee payment: 5