WO2020255207A1

WO2020255207A1 - コンテンツ利用システム、許諾端末、閲覧端末、配信端末、および、コンテンツ利用プログラム

Info

Publication number: WO2020255207A1
Application number: PCT/JP2019/023904
Authority: WO
Inventors: 大喜渡邊; 盛徳大橋; 達郎石田; 滋藤村; 篤中平
Original assignee: 日本電信電話株式会社
Priority date: 2019-06-17
Filing date: 2019-06-17
Publication date: 2020-12-24
Also published as: JP7174300B2; JPWO2020255207A1; US20220247570A1

Abstract

許諾端末４は、コンテンツのコンテンツ公開鍵と、コンテンツの閲覧者のユーザ公開鍵とを用いて、前記コンテンツに対するアクセス情報を生成する生成部４２３と、アクセス情報をブロックチェーンに登録する登録部４２４とを備え、アクセス情報は、コンテンツ公開鍵とユーザ公開鍵とを集約した集約公開鍵と、コンテンツ用のメッセージと、メッセージをコンテンツ公開鍵に対応するコンテンツ秘密鍵で署名したコンテンツ署名とを含み、閲覧端末５は、要求するコンテンツのアクセス情報をブロックチェーンから取得し、アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、アクセス情報のコンテンツ署名とを集約した集約署名を、アクセス情報の集約公開鍵で検証する確認部５２３と、検証に成功した場合、ユーザ署名または前記集約署名を含むコンテンツ要求を送信する要求部５２４とを備える。

Description

コンテンツ利用システム、許諾端末、閲覧端末、配信端末、および、コンテンツ利用プログラム

　本発明は、コンテンツ利用システム、許諾端末、閲覧端末、配信端末、および、コンテンツ利用プログラムに関する。

　デジタル仮想通貨の取引において、非中央集権型の分散台帳の一種であるブロックチェーンが用いられる。ブロックチェーンでは、参加者間の仮想通貨の取引の情報がブロックという単位でまとめられ、ブロックチェーンを形成する。ブロックチェーンの構造に関し、ブロックチェーンは、チェーンという言葉のとおり、ブロックが直前のブロックと紐付けが行われる形で記録される。具体的には、直前のブロックのハッシュ値をブロックの中に含むことで、各ブロックが紐付けされる。

　これにより、ある時点のブロックの中に含まれた取引情報を改竄するには、ブロックのハッシュ値が変わることからそれ以降全てのブロックの改竄が必要となる。また、ブロックを追加する際、それを追加することによってブロックのハッシュ値が特定条件と合致するような付加情報（ナンス）を発見する処理（マイニング）が必要である。この処理の計算量が非常に大きなことも相まって、ブロックチェーンは、改竄に対して極めて強固な仕組みにより形成される。

　またEthereum（イーサリアム）において、プログラマブルブロックチェーンが提案されている。コントラクトとも称されるプログラムコードが、予めブロックチェーンに登録される。コントラクトの実行を指定したトランザクションが入力されると、トランザクションがブロックに含まれる際、そのプログラムコードが実行される。実行結果は、ブロックチェーンのステートデータに格納される。

　一方、特権的なノードを仮定しない分散ファイル管理システムとして、IPFS(InterPlanetary File System)がある（非特許文献１参照）。IPFSにおいて、ファイルは特定サイズのブロックに分割されて、IPFSに属する端末において管理される。ファイルは、ハッシュ値から生成される識別子により認識され、ファイルの改竄はできない。IPFSは、分散性およびID構造により、透明性および信頼性を確保できる。

　またブロックチェーンの改竄に対して極めて強固な仕組みである点に着目し、分散ファイル管理システムと、ブロックチェーンとを融合したシステムがある（非特許文献２参照）。非特許文献２において、ファイルは、チャンクに分割される。各チャンクは、DAG(Directed Acyclic Graph：向非巡回グラフ)でまとめられ、チャンクには、リンク先のチャンクの情報が記載される。非特許文献２においてDAGを形成する全てのチャンクの識別子が、それぞれブロックチェーンに登録される。

Juan Banet,"IPFS - Content Addressed, Versioned, P2P File System (DRAFT 3)"，＜https://ipfs.io/ipfs/QmR7GSQM93Cx5eAg6a6yRzNde1FQv7uL6X1o4k7zrJa3LX/ipfs.draft3.pdf＞ Mathis Steichen, 他、"Blockchain-Based, Decentralized Access Control for IPFS"：＜https://www.researchgate.net/publication/327034734_Blockchain-Based_Decentralized_Access_Control_for_IPFS＞

　非特許文献２では、IPFSで管理されるファイルへアクセス可能なユーザのリストは、ブロックチェーン上のスマートコントラクト内で保持される。リストにおいて、ユーザはEthereum上の識別子、すなわちEthereumアドレスによって指定される。アドレスはユーザが生成した楕円曲線暗号による公開鍵から算出され、ユーザが端末で管理する秘密鍵に一意に紐づいている。

　非特許文献２では、このリストはブロックチェーン上に共有される。このため、ユーザ自身が当該ファイルのアクセス権を確認可能であると同時に、他の第三者からも本ユーザがアクセス可能であることが判別されるといったプライバシー上の懸念がある。匿名性を高めるための一つの方法は、固定のアドレス（公開鍵）を使い回さずに、ファイルごとに異なるアドレスを使用することである。しかし、この方法は、複数のアドレス分の秘密鍵を生成および管理する必要が生じ、ユーザビリティを損ねる。

　本発明は、上記課題を鑑みてなされたものであり、本発明の目的は、ブロックチェーン上で管理されるアクセス情報の匿名性を確保する技術を提供することにある。

　上記目的を達成するため、本発明の一態様は、許諾端末と閲覧端末とを備えるコンテンツ利用システムであって、前記許諾端末は、コンテンツのコンテンツ公開鍵と、前記コンテンツの閲覧者のユーザ公開鍵とを用いて、前記コンテンツに対するアクセス情報を生成する生成部と、前記アクセス情報をブロックチェーンに登録する登録部と、を備え、前記アクセス情報は、前記コンテンツ公開鍵と前記ユーザ公開鍵とを集約した集約公開鍵と、前記コンテンツ用のメッセージと、前記メッセージを前記コンテンツ公開鍵に対応するコンテンツ秘密鍵で署名したコンテンツ署名とを含み、前記閲覧端末は、要求するコンテンツのアクセス情報を前記ブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、検証に成功した場合、前記ユーザ署名または前記集約署名を含むコンテンツ要求を送信する要求部と、を備える。

　本発明の一態様の許諾端末は、コンテンツのコンテンツ公開鍵と、前記コンテンツの閲覧者のユーザ公開鍵とを用いて、前記コンテンツに対するアクセス情報を生成する生成部と、前記アクセス情報をブロックチェーンに登録する登録部と、を備え、前記アクセス情報は、前記コンテンツ公開鍵と前記ユーザ公開鍵とを集約した集約公開鍵と、前記コンテンツ用のメッセージと、前記メッセージを前記コンテンツ公開鍵に対応するコンテンツ秘密鍵で署名したコンテンツ署名とを含む。

　本発明の一態様の閲覧端末は、要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、検証に成功した場合、前記ユーザ署名または前記集約署名を含むコンテンツ要求を、送信する要求部と、を備える。

　本発明の一態様の配信端末は、要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、検証に成功した場合、前記ユーザ署名を含むコンテンツ要求を、許諾端末に送信する要求部と、コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記アクセス情報のコンテンツ署名と、前記コンテンツ要求に含まれるユーザ署名とを集約した集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部と、を備える。

　本発明の一態様の配信端末は、要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、検証に成功した場合、前記集約署名を含むコンテンツ要求を、許諾端末に送信する要求部と、コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記コンテンツ要求に含まれる前記集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部と、を備える。

　本発明の一態様は、上記許諾端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラムである。

　本発明の一態様は、上記閲覧端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラムである。

　本発明の一態様は、上記配信端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラムである。

　本発明によれば、ブロックチェーン上で管理されるアクセス情報の匿名性を確保する技術を提供することができる。

第１の実施形態に係るコンテンツ利用システムの全体構成図である。アクセス情報の一例を示す図である。アクセス情報の他の一例を示す図である。許諾端末の構成例を示すブロック図である。閲覧端末の構成例を示すブロック図である。第１の実施形態の動作を示すシーケンス図である。第１の実施形態の動作を示すシーケンス図である。第２の実施形態に係るコンテンツ利用システムの全体構成図である。配布端末の構成例を示すブロック図である。第２の実施形態の動作を示すシーケンス図である。第２の実施形態の動作を示すシーケンス図である。コンピュータの構成図である。

　以下、本発明の実施の形態について、図面を参照して説明する。図面の記載において、同一部分には同一符号を付し説明を省略する。

　［実施形態の概要］
　本実施形態では、通常のブロックチェーン上のアドレスとは別に、匿名化用の公開鍵を定義する。この匿名用公開鍵は、ユーザを識別するための匿名アドレスとしても機能するが、限られた関係者しか知り得ないとする。例えば、アクセス権を与える許諾者は、アクセス権が与えられるユーザから匿名用公開鍵を受け取り、匿名用公開鍵によってユーザを識別する。一方で、この匿名用公開鍵は、関係者以外には配布されないとする。

　この匿名用公開鍵は、暗号学的に集約特性を持つ。例えばｎ個の公開鍵P_１,P_２,P_３,…,P_ｎが定義されていた場合、その公開鍵は以下のように集約される。

　各公開鍵と対となる秘密鍵を使用した署名σ_１,σ_２,σ_３,…,σ_ｎを下記のように集約した場合、集約された署名σは、集約された公開鍵Pによって検証可能である。

　このような署名鍵の集約が可能な署名アルゴリズムとして、Schnorr署名やBLS（Boneh, Lynn, Shacham）署名などが知られている。

　本実施形態では、この集約特性を利用してユーザの匿名化を実現する。匿名化は、ファイルを登録し、アクセス情報（アクセス制御情報）を生成する許諾者の許諾端末によって行われる。まず許諾端末（許諾者）は、コンテンツファイルとユーザの組合せに対して、集約が可能な１つの公開鍵P_ｃ（以降、「匿名用コンテンツ公開鍵」と呼ぶ）を生成する。その後、許諾端末は、匿名用コンテンツ公開鍵P_ｃと、ユーザから受け取った匿名用ユーザ公開鍵P_ｕとを集約し、匿名化された集約公開鍵Pを生成する。

　許諾端末は、この集約公開鍵Pをアクセス権の許諾先としてアクセス情報を作成し、ブロックチェーンに登録する。この時、許諾端末は、アクセス情報として、集約公開鍵Pと、任意のメッセージmと、匿名用コンテンツ秘密鍵ｓ_ｃで署名したメッセージmに対する署名値σ_ｃとを登録する。

　集約の元となる匿名用コンテンツ公開鍵P_ｃとその秘密鍵ｓ_ｃの鍵ペアは、ファイルとユーザの組合せに対し１つランダムに生成される。そのため、例えユーザが匿名用ユーザ公開鍵P_ｕを使い回していたとしても、集約される結果である集約公開鍵Pは毎回異なる値となる。これにより、ユーザが固定の匿名用ユーザ公開鍵P_ｕを用いていたとしても、本実施形態では、匿名性が向上する仕組みを提供できる。

　［第１の実施形態］
　（コンテンツ利用システムの全体構成）
　図１は、本発明の第１の本実施形態に係るコンテンツ利用システムの全体構成を示す図である。本実施形態コンテンツ利用システム１は、ブロックチェーンシステム２（分散台帳システム）と、ファイル管理システム３とを備える。

　ブロックチェーンシステム２は、許諾端末４と、閲覧端末５とを備える。これらの端末４、５は、P2P(Peer to Peer)ネットワークであるブロックチェーンのネットワーク２１に自律分散的に接続される。なお、ブロックチェーンシステム２は、許諾端末４および閲覧端末５の他にも、複数の制御端末２２を備えていてもよい。

　ブロックチェーンシステム２に属する各端末４、５、２２は、後述するブロックチェーン（分散台帳）と、ブロックチェーンを同期するためのブロックチェーン制御部とを備える。各端末は、ブロックチェーンに記録されたデータおよびトランザクションを相互に検証し、系を維持している。ブロックチェーンは、当該システム２に属する端末間で共有される。ブロックチェーンは、システムに属する端末が発行したトランザクションを含むブロックが繋がったデータである。

　なお、本実施形態のブロックチェーンは、スマートコントラクト型ブロックチェーンであって、例えばブロックチェーン基盤技術の１つであるEthereumを用いてもよい。Ethereumは、ブロックチェーンを、状態遷移を記録する分散台帳として用いるためのアプリケーション開発プラットフォームである。ただし、ブロックチェーンは、Ethereumに限定されるものではなく、Ethereum以外を用いてもよい。

　ファイル管理システム３は、許諾端末４と、閲覧端末５とを備える。これらの端末４、５は、ファイル管理システム３のネットワーク３１に接続される。なお、ファイル管理システム３は、許諾端末４および閲覧端末５の他にも、複数の制御端末３２を備えていてもよい。ファイル管理システム３に属する各端末４、５、３２は、ネットワーク３１を介してP2P接続される。

　本実施形態では、ファイル管理システム３は、例えばIPFS等の非中央集権型の分散ファイル管理システムである場合について説明する。分散ファイル管理システムは、当該システムに属する各端末が分散してファイルを管理するシステムである。ただし、ファイル管理システム３は、分散ファイル管理システムに限らない。例えば、ファイル管理システム３に、通常のクラウド型の中央管理されたストレージを利用しても良い。

　許諾端末４は、コンテンツへのアクセス（閲覧）を許可する許諾者が利用する端末（ノード）である。許諾端末４は、ブロックチェーンシステム２と、ファイル管理システム３とに接続される。閲覧端末５は、コンテンツの閲覧者が利用する端末であって、ブロックチェーンシステム２と、ファイル管理システム３に接続される。許諾端末４および閲覧端末５は、複数であってもよい。

　ブロックチェーンシステム２の制御端末２２は、当該システム２を利用するユーザのうち、コンテンツの許諾者および閲覧者以外のユーザが利用する端末である。ファイル管理システム３の制御端末３２は、当該システム３を利用するユーザのうち、コンテンツの許諾者および閲覧者以外のユーザが利用する端末である。制御端末２２、３２の数は、図示する例ではそれぞれ２つであるが、その数に限定されるものではない。また、ブロックチェーンシステム２の制御端末２２とファイル管理システム３の制御端末３２とは、互いに異なる端末であっても良いし、１つの端末がブロックチェーンの機能と、ファイル管理の機能とを実装しても良い。

　（アクセス情報）
　本実施形態のブロックチェーンには、コンテンツ利用システム１において利用されるコンテンツデータのアクセス情報（アクセス制御情報）が登録される。アクセス情報は、ファイル管理システム３におけるコンテンツデータの識別子と、閲覧可能なユーザとを紐づける。

　図２Ａ、図２Ｂを参照して、本実施形態のアクセス情報について説明する。アクセス情報は、ファイル管理システム３に登録するコンテンツデータへのアクセス権を管理するための情報である。アクセス情報は、許諾端末４により作成される。アクセス情報は、ブロックチェーン上に公開され、ブロックチェーンのネットワーク２１に接続された他の端末からも閲覧可能である。アクセス情報は、各コンテンツの識別子に対して、集約公開鍵と、メッセージと、署名とが対応付けて格納されている。

　図２Ａ、図２Ｂに示すアクセス情報は、コンテンツ識別子と、集約公開鍵と、メッセージと、匿名用コンテンツ秘密鍵によって署名された署名（署名値）とを含む。コンテンツ識別子は、コンテンツデータを一意に特定する。コンテンツ識別子は、例えば、ファイル管理システム３に登録されたコンテンツのハッシュ値などであっても良い。

　図２Ａに示す例では、コンテンツ識別子C^ｉが示され、ここでｉ＝1,2,3とし、それぞれ異なるコンテンツを扱うことを示す。このコンテンツ識別子はユーザを認証するための要素セット（P^ｉ，m^ｉ，σ_ｃ ^ｉ）と紐づいている。ここでPは集約公開鍵、mは任意のメッセージ、σ_ｃはメッセージmに対して匿名用コンテンツ秘密鍵を用いて作成した署名である。

　図２Ｂは、１つのコンテンツ識別子に対して、複数ユーザが紐づいている例を示す。この場合、コンテンツ識別子は、C^ｉで表現される。このコンテンツ識別子は、ユーザを認証するための要素セット（P^ｉ,ｊ，m^ｉ,ｊ，σ_ｃ ^ｉ,ｊ）と紐づいている。ここでｉ＝1,2,3はそれぞれ異なるコンテンツを扱うことを示し、ｊ＝1,2は異なるユーザを扱うことを示す。

　なお、以降は、複数コンテンツおよび複数のユーザの場合を除き、アクセス情報を、コンテンツ識別子Cと、認証要素セット（P，m，σ_ｃ）とで表記し、上付き添字を省略して記述する。

　以下、署名の集約について説明する。本実施形態では、署名集約を可能とするために双線形写像（ペアリング）を利用した署名アルゴリズムを用いる。

　G_１,G_２を素数位数ｑの加法巡回群とし、双線形写像ｅを用いて下記が成り立つ位数ｑの乗法巡回群G_Ｔが存在する。

　また任意長の入力Mが写像した先がG_１となるようにハッシュ関数を定める。

　有限体F_ｑから秘密鍵ｓを以下のように選ぶ。

　公開パラメータQ ∈G_２を生成元として、公開鍵Pは以下となる。

　この時、上記の秘密鍵ｓを用いて、メッセージmのハッシュ値H(m)に対する署名は以下となる。

　このとき、以下の式が成り立つかを検証する。

　上記検証において、ペアリングの双線形性を利用する。ペアリングの双線形性においては、下記の関係式が成り立つ。

　したがって、上記の検証過程では、P＝ｓQ、σ＝ｓH(m)であるからσが正しい署名であるならば、下記の式が成り立つ。

　ここでペアリングを用いた署名においては、署名鍵と公開鍵において集約特性が成り立つことを確認する。

　例えば公開鍵、秘密鍵、署名の組（P_１，s_１，σ_１）に対して異なる組（P_２，s_２，σ_２）を定義し、次のように集約された署名σと公開鍵Pを作るとする。

　この集約署名σと集約公開鍵Pに対しても下記の双線形性を利用して、署名の検証が可能である。

　ここで、アクセス情報の説明に戻る。アクセス情報における集約公開鍵Pは、匿名用コンテンツ公開鍵P_ｃと匿名用ユーザ公開鍵P_ｕとを集約したものである。この時、検証に係る式は下記のようになる。

　上記より、ユーザからメッセージmに対する署名値σ_ｕが提出されれば、集約公開鍵Pを使って集約署名値が検証可能となる。この署名値σ_ｕは、匿名用ユーザ公開鍵P_ｕと対になる秘密鍵ｓ_ｕを所持していないと作ることはできない。

　従ってアクセス情報を見たユーザは、自身が持つ匿名用ユーザ公開鍵P_ｕを使って、自身にアクセス権があるか否かをブロックチェーン上で確認できる。

　（許諾端末）
　図３を参照して、本実施形態の許諾端末４を説明する。許諾端末４は、記憶装置４１、処理装置４２、通信制御装置４３を備える。

　記憶装置４１には、処理装置４２が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。処理装置４２は、記憶装置４１に記録されたデータを読み書きし、通信制御装置４３とデータを入出力して、許諾端末４における処理を実行する。通信制御装置４３は、許諾端末４がブロックチェーンのネットワーク２１またはファイル管理のネットワーク３１に属する端末と通信可能に接続するためのインタフェースである。

　記憶装置４１は、ブロックチェーン４１１と、許諾端末４が有するコンテンツデータ４１２と、鍵管理データ４１３と、許諾端末４の各機能を実行するための許諾端末用プログラム４１４とを記憶する。

　ブロックチェーンデータ４１１は、例えばブロックチェーン基盤のEthereumでは、ブロックチェーン本体のデータ（ブロックチェーン）と、ステートデータとを含む。ブロックチェーン本体のデータは、複数のブロックがチェーン状に連結して形成される。各ブロックは、複数のトランザクションを含む。トランザクションは、例えば、スマートコントラクトを設定し、また、スマートコントラクトの関数を実行する。

　ステートデータは、スマートコントラクト毎にデータ領域が設けられている。スマートコントラクトの実行に伴って、対応するスマートコントラクトのデータ領域が更新される。本実施形態においては、ステートデータとして、上述したアクセス情報を管理するスマートコントラクトと、そのデータとが記憶装置４１に登録される。

　コンテンツデータ４１２は、コンテンツ本体であるコンテンツファイル（コンテンツともいう）と、コンテンツをファイル管理システム３で動作させるために必要な管理データ（ルーティング情報等）と含む。

　鍵管理データ４１３は、本実施形態で使用する署名用の秘密鍵を保管する。本実施形態では２種類の鍵がある。第１の鍵は、ブロックチェーンのトランザクションを生成するための秘密鍵（ブロックチェーン用秘密鍵）である。この秘密鍵は、ブロックチェーンシステム２のプロトコルに従って、トランザクションに署名を付与するための秘密鍵である。Ethereumでは楕円曲線暗号を使用した秘密鍵を保持している。

　第２の鍵は、本実施形態特有の匿名化のための秘密鍵（匿名用秘密鍵）である。本実施形態においては、この秘密鍵は、BLS署名を生成するための秘密鍵を用いるものとするが、鍵の集約が可能な署名であればBLS署名に限られない。匿名用秘密鍵には、コンテンツに関する秘密鍵（匿名用コンテンツ秘密鍵）とユーザに関する秘密鍵（匿名用ユーザ秘密鍵）とを含む。

　処理装置４２は、ブロックチェーン制御部４２１と、ファイル管理部４２２と、生成部４２３と、登録部４２４と、共有制御部４２５とを備える。

　ブロックチェーン制御部４２１は、ネットワーク２１に接続された端末と自律分散的に協調してブロックチェーンの系を維持する。ブロックチェーン制御部４２１は、ブロックチェーン４１１にアクセスし、ブロックチェーン４１１のデータを読み出し、または、更新する。

　ファイル管理部４２２は、許諾者（ユーザ）からの指示に基づいて、任意のコンテンツをファイル管理システム３に登録し、コンテンツ識別子Cを取得する。本実施形態では、IPFS等の分散型ファイル管理システムを使用しているため、まずは、許諾端末４（ローカル端末）にコンテンツ（コンテンツファイル）が保存される。コンテンツは、共有制御部４２５の制御によって、必要に応じてファイル管理システム３を介して他の端末に共有可能である。従って、他の端末にコンテンツのありかを共有する際に必要な管理データ（ルーティング情報）などは、通信制御装置４３介してファイル管理システム３のネットワーク３１で共有される。

　生成部４２３は、コンテンツのコンテンツ公開鍵と、コンテンツの閲覧者のユーザ公開鍵とを用いて、コンテンツに対するアクセス情報を生成する。具体的には、生成部４２３は、コンテンツへのアクセスを許諾する閲覧者（ユーザ）の匿名用ユーザ公開鍵P_ｕと、コンテンツ識別子Cとのペアを入力として、匿名用コンテンツ鍵ペア（P_ｃ，ｓ_ｃ）を生成し、認証要素セット（P,m,σ_ｃ）を出力する。生成部４２３は、匿名用ユーザ公開鍵P_ｕをあらかじめ取得しているものとする。

　認証要素セットは、匿名用コンテンツ公開鍵Pcと、ユーザ公開鍵P_ｕとを集約した集約公開鍵Pと、コンテンツ用のメッセージmと、メッセージmを匿名用コンテンツ公開鍵P_ｕに対応する匿名用コンテンツ秘密鍵ｓ_ｃで署名したコンテンツ署名σ_ｃとを含む。なお、匿名用コンテンツ鍵ペアを生成するときに必要な公開パラメータQは事前に設定され、他のユーザと共有しているものとする（すなわちP_ｃ＝ｓ_ｃQ）。

　ここで、生成部４２３は、入力された匿名用ユーザ公開鍵P_ｕと、生成した匿名用コンテンツ公開鍵P_ｃとを用いて鍵集約（P= P_ｕ＋P_ｃ）を行う。σ_ｃは、メッセージmを匿名用コンテンツ秘密鍵ｓ_ｃで署名した署名値である。すなわち、σ_ｃ＝ｓ_ｃＨ（m）である。

　署名用のメッセージmは、（P_ｕ,C）のペア毎（つまり、ユーザとコンテンツの組み合わせ毎）に、異なるmが生成できれば良い。例えば、集約署名Pにコンテンツ識別子Cを結合したデータをmとしても良い。その場合、PとCによりmが決定されるため、敢えてmを指定せずに、認証要素セットとして（P, σ_ｃ）を出力しても良い。生成部４２３が生成した匿名用コンテンツ秘密鍵ｓ_ｃは、鍵管理データ４１３として記憶装置４１に格納される。

　登録部４２４は、生成部４２３で生成したアクセス情報を、ブロックチェーン上に登録する。登録部４２４は、通信制御装置４３を介してブロックチェーンネットワーク２１にトランザクションを発行することにアクセス情報をブロックチェーン上に登録する。本実施形態では、登録部４２４は、コンテンツ識別子Cに対して認証要素セット（P,m,σ_ｃ）または（P,σ_ｃ）を対応する値として紐づけて登録するためのトランザクションを発行する。

　共有制御部４２５は、コンテンツ要求に応じて、当該コンテンツに対応する認証要素セット（P,m,σ_ｃ）（すなわち、アクセス情報）をブロックチェーンから取得し、認証要素セットのコンテンツ署名σ_ｃと、コンテンツ要求に含まれるユーザ署名σ_ｕとを集約した集約署名σを認証要素セットの集約公開鍵Pで検証し、コンテンツ要求を許諾するか否かを判定する。

　具体的には、共有制御部４２５は、許諾者が自端末に登録したコンテンツを、他端末からの共有の要求を受けた際に、要求元にアクセス権があるか否かを判定し、アクセス権がある場合に、共有する。例えばここで、閲覧端末５からファイル管理システム３を介し、コンテンツ識別子を指定してコンテンツ共有の要求があるとする。閲覧端末５は、コンテンツ識別子に対応する、閲覧者の匿名用署名σ_ｕを添付して要求を行う。要求を受けた共有制御部４２５は、ブロックチェーンからアクセス情報を取得し、閲覧者にアクセス権があるか否かを判定する。

　判定は以下の手順で行われる。まず、共有制御部４２５は、コンテンツ識別子に対応する認証要素セット（P,m,σ_ｃ）に対して、集約署名σ＝σ_ｃ＋σ_ｕを算出する。次に，共有制御部４２５は、集約署名σを集約公開鍵Pで検証する。即ち、共有制御部４２５は、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、閲覧者の署名σ_ｕを検証する。共有制御部４２５は、前記式が成り立つ場合、コンテンツ識別子に対応するコンテンツを共有する。

　（閲覧端末）
　図４を参照して、本実施形態の閲覧端末５を説明する。閲覧端末５は、記憶装置５１と、処理装置５２と、通信制御装置５３とを備える。

　記憶装置５１には、処理装置５２が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。処理装置５２は、記憶装置５１に記録されたデータを読み書きし、通信制御装置５３とデータを入出力して、閲覧端末５における処理を実行する。通信制御装置５３は、閲覧端末５がブロックチェーンシステム２のネットワーク２１またはファイル管理システムのネットワーク３１に属する端末と通信可能に接続するためのインタフェースである。

　記憶装置５１は、ブロックチェーン５１１と、コンテンツデータ５１２と、鍵管理データ５１３と、閲覧端末５の各機能を実行するための閲覧端末用プログラム５１４とを記憶する。ブロックチェーン５１１は、許諾装置４のブロックチェーン４１１と同様であるため、ここでは説明を省略する。

　コンテンツデータ５１２は、閲覧端末５が有するコンテンツの本体であるコンテンツファイルと、当該コンテンツをファイル管理システム３で動作させるために必要な管理データ（ルーティング情報等）と含む。

　鍵管理データ５１３は、本実施形態で使用する署名用の秘密鍵を保管する。第１の鍵は、ブロックチェーンのトランザクションを生成するための秘密鍵（ブロックチェーン用秘密鍵）である。第２の鍵は、匿名用秘密鍵である。匿名用秘密鍵には、ユーザに関する秘密鍵（匿名用ユーザ秘密鍵）を含む。

　処理装置５２は、ブロックチェーン制御部５２１と、鍵管理部５２２と、確認部５２３と、要求部５２４と、同期部５２５とを備える。ブロックチェーン制御部５２１は、許諾装置４のブロックチェーン制御部４２１と同様であるため、ここでは説明を省略する。

　鍵管理部５２２は、閲覧者（ユーザ）からの指示に基づいて、匿名用ユーザ鍵ペア（P_ｕ, s_ｕ）を生成する。許諾端末４と共有する公開パラメータQにより、P_ｕ＝s_ｕQが成り立つ。生成した秘密鍵s_ｕは、鍵管理データ５１３として記憶装置５１に格納される。

　確認部５２３は、コンテンツ識別子Cで識別されるコンテンツに対して、ブロックチェーン上でアクセス権が設定されているか否かを確認する。具体的には、確認部５２３は、要求するコンテンツのアクセス情報（認証要素セット（P,m,σ_ｃ））をブロックチェーンから取得し、アクセス情報のメッセージmをユーザ秘密鍵s_ｕで署名したユーザ署名σ_ｕと、アクセス情報のコンテンツ署名σ_ｃとを集約した集約署名σを、アクセス情報の集約公開鍵Pで検証する。

　ここで、閲覧端末５は、事前に許諾端末４に匿名用ユーザ公開鍵P_ｕを共有し、許諾端末４によってブロックチェーン上に，コンテンツ識別子Cに対する匿名用ユーザ公開鍵P_ｕに係るアクセス権が設定されているとする。この場合、確認部５２３は、コンテンツ識別子Cをクエリとしてブロックチェーン上のスマートコントラクトに問い合わせ、認証要素セット（P,m,σ_ｃ）を取得する。認証要素セットには、mが明示的に含まれず、PとCを結合して一意に算出される値をmとしても良い。

　確認部５２３は、メッセージmに対する閲覧者の署名σ_ｕを生成する。閲覧者の署名σ_ｕは、σ_ｕ＝ｓ_ｕＨ（m）となる。確認部５２３は、集約署名σ＝σ_ｃ＋σ_ｕを算出する。そして、確認部５２３は、集約公開鍵Pと、算出した集約署名σとを用いて、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、閲覧者の署名σ_ｕを検証する。確認部５２３は、前記式が成り立つ場合、署名検証に成功したことと、検証に用いた閲覧者の署名σ_ｕとを出力する。

　要求部５２４は、検証に成功した場合、ユーザ署名σ_ｕを含むコンテンツ要求を送信する。具体的には、要求部５２４は、閲覧者（ユーザ）からの指示に基づいて、任意のコンテンツの取得をファイル管理システム３に要求する。要求には、コンテンツ識別子Cおよび閲覧者のユーザ署名σ_ｕが必要である。要求部５２４は、確認部５２３を用いて、コンテンツのアクセス権を確認し、閲覧者の署名σ_ｕを取得する。そして、要求部５２４はコンテンツ識別子Cおよび閲覧者の署名σ_ｕと含むコンテンツ要求をファイル管理システム３に送信する。ファイル管理システム３は、コンテンツ識別子Cをキーとして、実体となるファイルを所有する許諾端末４にアクセスし、許諾端末４の共有制御部４２５に対してコンテンツ識別子Cおよび閲覧者の署名σ_ｕを含むコンテンツ要求を送信する。

　同期部５２５は、コンテンツ要求に対して、許諾端末４からコンテンツの共有が許諾された場合に、ファイル管理システム３を介してコンテンツファイルを閲覧端末５に同期する。同期されたコンテンツファイルは記憶装置５１に格納される。

　（コンテンツ利用システムの動作）
　次に、本実施形態のコンテンツ利用システムの動作について説明する。

　図５および図６は、コンテンツ利用システムの動作を示すシーケンス図である。Ｓ１１からＳ１６は、許諾端末４がコンテンツを登録した際に、ブロックチェーン上に対応する認証要素セット（P,m,σ_ｃ）を登録する処理である。Ｓ２１からＳ２８は、ブロックチェーン上に登録された（P,m,σ_ｃ）を閲覧端末５が取得し、コンテンツファイルの共有を閲覧者の署名σ_ｕを添えて要求する処理である。Ｓ２９からＳ３４は、要求を受信した許諾端末４が集約署名を検証し、コンテンツファイルを送信する処理である。以下に、図５および図６を参照して具体的に説明する。

　許諾端末４は、許諾者からの指示に基づいて、任意のコンテンツをファイル管理システム３に登録する（Ｓ１１）。ファイル管理システム３がIPFSなどの分散ファイル管理システムの場合、Ｓ１１でファイル管理システム３に登録されるのは、端末のネットワークアドレス、コンテンツの場所などを示すルーティング情報であり、コンテンツ本体（コンテンツファイル）は許諾者端末４自身が保持する。なお、ファイル管理システム３が中央集権的なクラウドサーバ等の場合は、Ｓ１１でコンテンツ本体がファイル管理システム３に登録される。

　許諾端末４は、ファイル管理システム３から当該コンテンツに対するコンテンツ識別子Cを取得する（Ｓ１２）。許諾端末４（生成部４２３）は、アクセス情報を生成する。具体的には、許諾端末４は、コンテンツへのアクセスを許諾する閲覧者（ユーザ）の匿名用ユーザ公開鍵P_ｕと、コンテンツ識別子Cとのペアを入力として、匿名用コンテンツ鍵ペア（P_ｃ，ｓ_ｃ）を生成する（Ｓ１３）。

　そして、許諾端末４は、匿名用ユーザ公開鍵P_ｕと、生成した匿名用コンテンツ公開鍵P_ｃとを用いて鍵集約（P= P_ｕ＋P_ｃ）を行う（Ｓ１４）。また、許諾端末４は、匿名用コンテンツ鍵ペア（P_ｃ，ｓ_ｃ）の秘密鍵ｓ_ｃを用いて所定のメッセージmに署名し、署名値σ_ｃ＝ｓ_ｃＨ（m）を生成する（Ｓ１５）。

　そして、許諾端末４は、アクセス情報として、コンテンツ識別子Cと、認証要素セット（P,m,σ_ｃ）とを、ブロックチェーン上に登録する（Ｓ１６）。具体的には、許諾端末４は、アクセス情報を登録するトランザクションを生成し、当該トランザクションをブロックチェーンのネットワーク２１に発行する。これにより、コンテンツ識別子Cの認証要素セット（P,m,σ_ｃ）が、ネットワーク２１に接続された端末の記憶装置に、ブロックチェーンデータとして登録される。

　閲覧端末５は、閲覧者からの指示に基づいて、匿名用ユーザ鍵ペア（P_ｕ, s_ｕ）を生成する（Ｓ２１）。なお、許諾端末４と共有する公開パラメータQにより、P_ｕ＝s_ｕQが成り立つ。

　そして、閲覧端末５は、コンテンツ識別子Cのコンテンツを要求するために、当該コンテンツに対して、ブロックチェーン上でアクセス権が設定されているか否かを確認する。具体的には、閲覧端末５は、コンテンツ識別子Cをクエリとして、自身の閲覧端末５のブロックチェーン５１１上のスマートコントラクトに問い合わせ（Ｓ２２）、コンテンツ識別子Cに対応する認証要素セット（P,m,σ_ｃ）を取得する（Ｓ２３）。

　そして、閲覧端末５は、メッセージmに対する閲覧者の署名σ_ｕ＝ｓ_ｕＨ（m）を生成する（Ｓ２４）。また、閲覧端末５は、集約署名σ＝σ_ｃ＋σ_ｕを算出し、集約公開鍵Pと、算出した集約署名σとを用いて、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、閲覧者の署名σ_ｕを検証する（Ｓ２５）。閲覧端末５は、前記式が成り立つ場合、署名検証に成功したことと、検証に用いた閲覧者の署名σ_ｕとを出力する（Ｓ２６）。

　そして、閲覧端末５は、閲覧者からの指示に基づいて、コンテンツをファイル管理システム３に要求する（Ｓ２７）。すなわち、閲覧端末５は、コンテンツ識別子Cと閲覧者の署名σ_ｕとを含むコンテンツ要求をファイル管理システム３に送信する。ファイル管理システム３は、コンテンツ識別子Cをキーとして、コンテンツファイルを所有する許諾端末４にアクセスし、許諾端末４に対してコンテンツ識別子Cおよび閲覧者の署名σ_ｕを含むコンテンツ要求を送信する（Ｓ２８）。

　許諾端末４は、許諾者が自端末５に登録したコンテンツを、閲覧端末５からの要求を受けた際に、閲覧端末５にアクセス権があるか否かを判定する。具体的には、許諾端末４は、自端末のブロックチェーン５１１にアクセスし、コンテンツ識別子Cに対応する認証要素セット（P,m,σ_ｃ）を、ブロックチェーン５１１から取得する（Ｓ２９、Ｓ３０）。

　許諾端末４は、取得した認証要素セット（P,m,σ_ｃ）に対して、集約署名σ＝σ_ｃ＋σ_ｕを算出する（Ｓ３１）。そして、許諾端末４は、集約署名σを集約公開鍵Pで検証する。即ち、許諾端末４は、e(H(m),P）＝e(σ,Q)が成り立つか否かを判定し、成り立つ場合、閲覧者にアクセス権があると判定し、コンテンツ識別子Cに対応するコンテンツを閲覧端末５と共有する（Ｓ３２）。

　許諾端末４は、コンテンツを共有する場合、Ｓ２８のコンテンツ要求に対して許諾する旨の応答と、コンテンツ識別子Cに対応するコンテンツファイルとを、ファイル管理システム３に送信する（Ｓ３３）。ファイル管理システム３は、Ｓ３３で受信したコンテンツファイルを要求元の閲覧端末５に送信する（Ｓ３４）。閲覧端末５は、コンテンツファイルを受信し、は記憶装置５１に格納する。

　なお、本実施形態において、図２Ｂに示すように、一つのコンテンツ識別子に対し、複数のユーザが設定されている場合について説明する。コンテンツ識別子C^ｉに対してｉ＝１で、複数のユーザ（ｊ＝1,2,3,・・・,ｎ）に対するアクセス権が設定されている場合、許諾端末４および閲覧端末５は、全ての認証要素セット（P^1,ｊ,m^1,ｊ,σ_ｃ ^1,ｊ）に対して、総当り的に署名検証を行う（図５：Ｓ２４、Ｓ２５、図６：Ｓ３１、Ｓ３２）。後述する、第２の実施形態でも同様である。

　以上説明した本実施形態では、許諾端末４は、コンテンツ公開鍵P_ｃとユーザ公開鍵P_ｕとを集約した集約公開鍵Pと、メッセージmと、メッセージmをコンテンツ公開鍵P_ｃに対応するコンテンツ秘密鍵ｓ_ｃで署名したコンテンツ署名σ_ｃとを含む認証要素セット（アクセス情報）を、ブロックチェーンに登録する。

　これにより、本実施形態では、ブロックチェーンで管理される権限（ここでは、コンテンツへのアクセス権限）を示すアクセス情報の匿名化を確保することができる。したがって、閲覧者（権限を設定される者）が複数のコンテンツに対して固定のユーザ公開鍵を使い回していたとしても、ブロックチェーンに登録されるアクセス情報には、集約公開鍵が設定される。集約公開鍵は、ユーザ公開鍵と、コンテンツ毎に異なるコンテンツ公開鍵とが、許諾者（権限を設定する者）によって集約された公開鍵である。すなわち、本実施形態では、ユーザ公開鍵はブロックチェーンに登録されず、ユーザ公開鍵を匿名化することができる。ブロックチェーンで公開されるアクセス情報（認証要素セット）は、集約公開鍵Pと、メッセージmと、コンテンツ署名σ_ｃであるため、第三者は匿名用に用いたユーザ公開鍵P_ｕを取得することができない。

　本実施形態では、ブロックチェーンに公開されたアクセス情報を用いて、アクセス権を与える許諾者、および、アクセス権を持つ閲覧者は、当該閲覧者がアクセス権を持つことを判別可能であるが、関係者（許諾者、閲覧者）以外の第三者からは、どのユーザがアクセス可能かを容易に判別できない仕組みを提供することができる。

　また、本実施形態では、コンテンツごとに異なるユーザ公開鍵を使用し、ユーザ公開鍵を使い捨てる方式ではなく、固定された特定のユーザ公開鍵を用いることができる。これにより、本実施形態では、複数のユーザ公開鍵の各々の秘密鍵を生成および管理する必要が生じないため、ユーザビリティの低下を回避することができる。

　［第２の実施形態］
　以下に本発明の第２の実施形態について説明する。本実施形態は、コンテンツの配布が許諾端末以外からも行われる実施形態である。

　（コンテンツ利用システムの全体構成）
　図７は、第２の実施形態に係るコンテンツ利用システムの全体構成を示す図である。図示するコンテンツ利用システム１Ａは、配布端末６を備える点において、図１に示す第１の実施形態のコンテンツ利用システム１と異なり、その他は第１の実施形態のコンテンツ利用システム１と同様である。

　本実施形態において、コンテンツの実体であるコンテンツファイルは、許諾端末４だけでなく配布端末６からも配布される。配布端末６は、コンテンツの共用を閲覧者に許諾する権限を持たないが、コンテンツの実体を保持し、ブロックチェーン上に登録されたアクセス情報に従って、閲覧端末５にコンテンツを共有させる権限を有する。

　配布端末６の役割は、まず許諾端末４にコンテンツを要求し、取得したコンテンツを閲覧端末５に再配布することである。これにより、許諾端末４がコンテンツを集中管理することなく、分散して緩やかにコンテンツを流通させることができる。コンテンツの再配布については、アクセス情報に従って、限られたユーザのみに配布される。以下に、配布端末６について説明する。

　（配布端末）
　図８を参照して、本実施形態の配布端末６を説明する。配布端末６は、記憶装置６１と、処理装置６２と、通信制御装置６３とを備える。

　記憶装置６１には、処理装置６２が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。処理装置６２は、記憶装置６１に記録されたデータを読み書きし、通信制御装置６３とデータを入出力して、配布端末６における処理を実行する。通信制御装置６３は、配布端末６がブロックチェーンのネットワーク２１またはファイル管理のネットワーク３１に属する端末と通信可能に接続するためのインタフェースである。

　記憶装置６１は、ブロックチェーン６１１と、コンテンツデータ６１２と、鍵管理データ６１３と、配布端末６の各機能を実行するための配布端末用プログラム６１４とを記憶する。ブロックチェーン６１１は、許諾装置４のブロックチェーン４１１と同様であるため、ここでは説明を省略する。

　コンテンツデータ６１２は、配布端末６が有するコンテンツの本体であるコンテンツファイルと、当該コンテンツをファイル管理システム３で動作させるために必要な管理データ（ルーティング情報等）と含む。

　鍵管理データ６１３は、本実施形態で使用する署名用の秘密鍵を保管する。第１の鍵は、ブロックチェーンのトランザクションを生成するための秘密鍵（ブロックチェーン用秘密鍵）である。第２の鍵は、匿名用秘密鍵である。匿名用秘密鍵には、配信者の匿名用ユーザ秘密鍵を含む。

　処理装置６２は、ブロックチェーン制御部６２１と、鍵管理部６２２と、確認部６２３と、要求部６２４と、同期部６２５と、共有制御部６２６とを備える。ブロックチェーン制御部６２１は、図３に示す許諾装置４のブロックチェーン制御部４２１と同様であるため、ここでは説明を省略する。

　鍵管理部５２２は、配布者（ユーザ）からの指示に基づいて、匿名用ユーザ鍵ペア（P_ｄ, s_ｄ）を生成する。許諾端末４と共有する公開パラメータQにより、P_ｄ＝s_ｄQが成り立つ。生成した秘密鍵s_ｄは、鍵管理データ６１３として記憶装置６１に格納される。

　許諾端末４は、配布者の匿名用ユーザ公開鍵P_ｄと、閲覧者の匿名用ユーザ公開鍵P_ｕとを、それぞれ事前に取得している（許諾端末４がこれらの公開鍵を取得する方法および経路は問わない）。許諾端末４が、コンテンツ識別子Cのコンテンツのアクセス権を、配布者および閲覧者に対して設定している場合、それぞれ異なる認証要素セット（P,m,σ_ｃ）が生成される。ここでは、配布者の認証要素セットをE_ｄとし、閲覧者の認証要素セットをE_ｕと記載する。本実施形態では、認証要素セットE_ｄおよびE_ｕが、ブロックチェーンに登録されている。

　確認部６２３は、コンテンツ識別子Cで識別されるコンテンツに対して、ブロックチェーン上でアクセス権が設定されているか否かを確認する。具体的には、確認部６２３は、要求するコンテンツのアクセス情報（認証要素セット（P,m,σ_ｃ））をブロックチェーンから取得し、アクセス情報のメッセージmをユーザ秘密鍵で署名したユーザ署名と、アクセス情報のコンテンツ署名σ_ｃとを集約した集約署名σを、アクセス情報の集約公開鍵Pで検証する。

　ここでは、配布端末６は、事前に許諾端末４に匿名用ユーザ公開鍵P_ｄを共有し、許諾端末４によって，ブロックチェーン上にコンテンツ識別子Cに対する匿名用ユーザ公開鍵P_ｄに係るアクセス権が設定されているとする。この場合、確認部６２３は、コンテンツ識別子Cをクエリとしてブロックチェーン上のスマートコントラクトに問い合わせ、全ての認証要素セット（P,m,σ_ｃ）を取得する。認証要素セットには、mが明示的に含まれず、PとCを結合して一意に算出される値をmとしても良い。また、本実施形態では、配布端末６と閲覧端末５の各認証要素セットE_ｄ、E_ｕが取得されるが、その他のユーザに対する認証要素セットが含まれていても良い。

　確認部６２３は、E_ｄ、E_ｕを含む全ての認証要素セットに対して、次の処理を繰り返し、いずれかの認証要素セットで下記の式が成り立つ場合、署名検証に成功したと判定する。例えば、認証要素セットE_ｄについて、確認部６２３は、メッセージmに対する配布者の署名σ_ｄを生成する。閲覧者の署名σ_ｄは、σ_ｄ＝ｓ_ｄＨ（m）となる。確認部６２３は、集約署名σ＝σ_ｃ＋σ_ｄを算出する。そして、確認部６２３は、集約公開鍵Pと、算出した集約署名σとを用いて、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、配布者の署名σ_ｄを検証する。確認部６２３は、前記式が成り立つ場合、署名検証に成功したことと、検証に用いた配布者の署名σ_ｄとを出力する。確認部６２３は、認証要素セットE_ｄの署名検証に成功した場合は、他の認証要素セットE_ｕの署名検証を行わず、認証要素セットE_ｄの署名検証に失敗した場合は、他の認証要素セットE_ｕについて、同様の処理を繰り返す。

　要求部６２４は、検証に成功した場合、配布者のユーザ署名σ_ｄを含むコンテンツ要求を送信する。具体的には、要求部６２４は、配布者からの指示に基づいて、任意のコンテンツをファイル管理システム３に要求する。要求には、コンテンツ識別子Cおよび配布者の署名σ_ｄが必要である。要求部６２４は、確認部６２３を用いて、コンテンツのアクセス権を確認し、配布者の署名σ_ｄを取得する。そして、要求部６２４はコンテンツ識別子Cおよび配布者の署名σ_ｄと含むコンテンツ要求をファイル管理システム３に送信する。

　ファイル管理システム３は、コンテンツ識別子Cをキーとして、コンテンツを所有する許諾端末４にアクセスし、許諾端末４の共有制御部４２５に対してコンテンツ識別子Cおよび配布者の署名σ_ｄを含むコンテンツ要求を送信する。なお、要求部６２４は、この要求の際にコンテンツ識別子Cと、署名σ_ｄに加えて、この署名σ_ｄが、いづれの認証要素セットに対する署名かを示すインデックス情報を追加してもよい。

　同期部６２５は、コンテンツ要求に対して、許諾端末４からコンテンツの共有が許諾された場合に、ファイル管理システム３を介してコンテンツファイルを配布端末６に同期する。同期されたコンテンツファイルは記憶装置６１に格納される。

　共有制御部６２６は、配布者が自端末に登録したコンテンツを、他端末からの共有の要求を受けた際に、要求元にアクセス権があるか否かを判定し、アクセス権がある場合に、共有する。具体的には、共有制御部６２６は、コンテンツ要求に応じて、当該コンテンツに対応する閲覧端末５の認証要素セットE_ｕ（P,m,σ_ｃ）（すなわち、アクセス情報）をブロックチェーンから取得し、認証要素セットのコンテンツ署名σ_ｃと、コンテンツ要求に含まれるユーザ署名σ_ｕとを集約した集約署名σを認証要素セットの集約公開鍵Pで検証し、コンテンツ要求を許諾するか否かを判定する。

　例えばここで、閲覧端末５からファイル管理システム３を介し、コンテンツ識別子を指定してコンテンツの要求があるとする。閲覧端末５は、コンテンツ識別子に対応する、閲覧者の匿名用署名σ_ｕを添付してコンテンツを要求する。要求を受けた共有制御部６２６は、ブロックチェーンからアクセス情報を取得し、閲覧者にアクセス権があるか否かを判定する。

　判定はコンテンツ識別子に対応する全ての認証要素セット（P,m,σ_ｃ）に対して次の署名検証を繰り返し、いずれかの認証要素セットで署名検証に成功した場合、閲覧者にアクセス権があると判定する。まず、共有制御部６２６は、コンテンツ識別子に対応する認証要素セット（P,m,σ_ｃ）に対して、集約署名σ＝σ_ｃ＋σ_ｕを計算する。次に，共有制御部４２５は、集約署名σを集約公開鍵Pで検証する。即ち、共有制御部６２６は、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、閲覧者の署名σ_ｕを検証する。共有制御部６２６は、前記式が成り立つ場合、コンテンツ識別子に対応するコンテンツを共有する。

　図９および図１０は、コンテンツ利用システムの動作を示すシーケンス図である。ここでは、第１の実施形態と異なる点を中心に記載し、第１の実施形態と同じ処理については簡略化して記載する。

　許諾端末４は、許諾者からの指示に基づいて、任意のコンテンツをファイル管理システム３に登録し、ファイル管理システム３から当該コンテンツに対するコンテンツ識別子Cを取得する（Ｓ４１）。

　許諾端末４は、アクセス情報を生成する（Ｓ４２）。許諾端末４は、配布者の匿名用ユーザ公開鍵P_ｄと閲覧者の匿名用ユーザ公開鍵P_ｕとを、事前に取得済みであるものとする。許諾端末４は、配布者の匿名用ユーザ公開鍵P_ｄを用いて、コンテンツ識別子Cのコンテンツに対応する配布者への認証要素セットE_ｄ（P,m,σ_ｃ）を生成する。また、許諾端末４は、閲覧者の匿名用ユーザ公開鍵P_ｕを用いて、コンテンツ識別子Cのコンテンツに対応する閲覧者への認証要素セットE_ｕ（P,m,σ_ｃ）を生成する。なお、認証要素セットの生成については、第１の実施形態と同様である。

　そして、許諾端末４は、アクセス情報（コンテンツ識別子Cの認証要素セットE_ｄ、E_ｕ）を、ブロックチェーン上に登録する（Ｓ４３）。

　配布端末６は、配布者からの指示に基づいて、匿名用ユーザ鍵ペア（P_ｄ, s_ｄ）を生成する（Ｓ５１）。なお、許諾端末４と共有する公開パラメータQにより、P_ｄ＝s_ｄQが成り立つ。生成した秘密鍵s_ｄは、記憶装置６１に格納される。

　そして、配布端末６は、コンテンツ識別子Cのコンテンツを要求するために、当該コンテンツに対して、ブロックチェーン上でアクセス権が設定されているか否かを確認する。具体的には、配布端末６は、コンテンツ識別子Cをクエリとして、自身の配布端末６のブロックチェーン６１１上のスマートコントラクトに問い合わせ（Ｓ５２）、コンテンツ識別子Cに対応する認証要素セットE_ｄ、E_ｕを取得する（Ｓ５３）。

　そして、配布端末６は、各認証要素セットE（ここでは、認証要素セットE_ｄ、E_ｕ）について、Ｓ５４～Ｓ５６の処理をそれぞれ行う。例えば認証要素セットE_ｄの場合、配布端末６は、メッセージmに対する閲覧者の署名σ_ｄ＝ｓ_ｄＨ（m）を生成する（Ｓ５４）。また、閲覧端末５は、集約署名σ＝σ_ｃ＋σ_ｄを算出し、集約公開鍵Pと、算出した集約署名σとを用いて、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、配布者の署名σ_ｄを検証する（Ｓ５５）。配布端末６は、前記式が成り立つ場合、署名検証に成功したことと、検証に用いた配布者の署名σ_ｄとを出力する（Ｓ５６）。

　配布端末６は、１つの認証要素セットEの署名検証に成功した場合は、残りの認証要素セットEの署名検証を行わない。すなわち、配布端末６は、署名検証に成功するまで、取得した各認証要素セットEの署名検証（Ｓ５４～Ｓ５６）を繰り返し行う。

　そして、配布端末６は、配布者からの指示に基づいて、コンテンツ識別子Cと配布者の署名σ_ｄとを含むコンテンツ要求をファイル管理システム３に送信する（Ｓ５７）。ファイル管理システム３は、コンテンツ識別子Cをキーとして、コンテンツファイルを所有する許諾端末４にアクセスし、許諾端末４に対してコンテンツ識別子Cおよび配布者の署名σ_ｄを含むコンテンツ要求を送信する（Ｓ５８）。

　許諾端末４は、配布端末６からの要求に応じて、自端末４のコンテンツに対して、配布端末６にアクセス権があるか否かを判定する。具体的には、許諾端末４は、コンテンツ識別子Cに対応する全ての認証要素セットE（P,m,σ_ｃ）をブロックチェーン４１１から取得する（Ｓ５９）。

　許諾端末４は、取得した各認証要素セットEを用いて配布者の署名σ_ｄを検証する（Ｓ６０）。例えば認証要素セットE_ｄ（P,m,σ_ｃ）の場合、許諾端末４は、集約署名σ＝σ_ｃ＋σ_ｄを算出し、集約署名σを集約公開鍵Pで検証する。すなわち、許諾端末４は、e(H(m),P）＝e(σ,Q)が成り立つか否かを判定し、成り立つ場合、コンテンツ識別子Cのコンテンツに対して配布端末６にアクセス権があると判定し、コンテンツを配布端末６と共有する。許諾端末４は、署名検証に成功するまで、取得した各認証要素セットEの署名検証を行う。

　許諾端末４は、アクセス権がある場合、Ｓ５８のコンテンツ要求に対して許諾する旨の応答と、コンテンツ識別子Cのコンテンツファイルとを、ファイル管理システム３に送信する（Ｓ６１）。ファイル管理システム３は、受信したコンテンツファイルを要求元の配布端末６に送信する（Ｓ６２）。配布端末６は、コンテンツファイルを受信し、記憶装置６１に格納する。

　閲覧端末５は、閲覧者からの指示に基づいて、匿名用ユーザ鍵ペア（P_ｕ, s_ｕ）を生成する（Ｓ７１）。許諾端末４と共有する公開パラメータQにより、P_ｕ＝s_ｕQが成り立つ。そして、閲覧端末５は、コンテンツ識別子Cで識別されるコンテンツに対して、ブロックチェーン上でアクセス権が設定されているか否かを確認する。具体的には、閲覧端末５は、コンテンツ識別子Cをクエリとして、自身の閲覧端末５のブロックチェーン５１１上のスマートコントラクトに問い合わせ、コンテンツ識別子Cに対応する全ての認証要素セットE（P,m,σ_ｃ）を取得する（Ｓ７２）。

　そして、閲覧端末５は、取得した各認証要素セットEを用いて閲覧者の署名σ_ｕを検証する（Ｓ７３）。例えば認証要素セットE_ｕ（P,m,σ_ｃ）の場合、閲覧端末５は、メッセージmに対する閲覧者の署名σ_ｕ＝ｓ_ｕＨ（m）を生成すし、集約署名σ＝σ_ｃ＋σ_ｕを算出する。そして、閲覧端末５は、集約公開鍵Pと、集約署名σとを用いて、e(H(m),P）＝e(σ,Q)が成り立つか否かにより、閲覧者の署名σ_ｕを検証する。閲覧端末５は、前記式が成り立つ場合、署名検証に成功したことと、検証に用いた閲覧者の署名σ_ｕとを出力する。閲覧端末５は、署名検証に成功するまで、取得した各認証要素セットEの署名検証を行う。

　そして、閲覧端末５は、閲覧者からの指示に基づいて、コンテンツ識別子Cと閲覧者の署名σ_ｕとを含むコンテンツ要求をファイル管理システム３に送信する（Ｓ７４）。ファイル管理システム３は、コンテンツ識別子Cをキーとして、コンテンツファイルを所有する配布端末６にコンテンツ識別子Cおよび閲覧者の署名σ_ｕを含むコンテンツ要求を送信する（Ｓ７５）。

　配布端末６は、閲覧端末５からの要求に応じて、自端末６で保持するコンテンツのアクセス権が閲覧端末５にあるか否かを判定する。具体的には、配布端末６は、自端末６のブロックチェーン６１１にアクセスし、コンテンツ識別子Cに対応する全ての認証要素セットE_ｄ、E_ｕを、ブロックチェーン６１１から取得する（Ｓ７６）。

　配布端末６は、取得した全ての認証要素セットE_ｄ、E_ｕを用いて、閲覧者の署名σ_ｕを検証する（Ｓ７７）。署名σ_ｕを検証はＳ６０と同様である。配布端末６は、取得した認証要素セットE_ｄ、E_ｕのいずれかを用いた署名σ_ｕの検証に成功した場合、コンテンツに対して閲覧端末５にアクセス権があると判定し、コンテンツを閲覧端末５と共有する。

　配布端末６は、アクセス権がある場合、Ｓ７５のコンテンツ要求に対して許諾する旨の応答と、コンテンツ識別子Cのコンテンツファイルとを、ファイル管理システム３に送信する（Ｓ７８）。ファイル管理システム３は、コンテンツファイルを要求元の閲覧端末５に送信する（Ｓ７９）。閲覧端末５は、コンテンツファイルを受信し、記憶装置５１に格納する。

　以上説明した本実施形態の配布端末６は、匿名用コンテンツ鍵P_ｃを保管する必要はなく、コンテンツを要求された際に、要求元の閲覧端末５が送付したユーザ署名σ_ｕと、ブロックチェーンで公開されている認証要素セット（P,m,σ_ｃ）とを用いて要求元にアクセス権限があるかを判定することができる。

　また、本実施形態の配布端末６は、閲覧端末５に匿名用ユーザ公開鍵P_ｕを要求しない。配布端末６が知り得る情報は、認証要素セット（P,m,σ_ｃ）およびユーザ署名σ_ｕのみであり、配布端末６は、これらのデータからは閲覧者の匿名用ユーザ公開鍵P_ｕを取得することはできない。よって、本実施形態では、コンテンツを中継して配布する配布端末６にも、匿名用ユーザ公開鍵P_ｕを知られることなく、閲覧端末５はコンテンツを取得することができる。

　なお、上記説明した許諾端末４、閲覧端末５および配布端末６には、例えば、図１１に示すような汎用的なコンピュータシステムを用いることができる。図示するコンピュータシステムは、CPU（Central Processing Unit、プロセッサ）９０１と、メモリ９０２と、ストレージ９０３（HDD：Hard Disk Drive、SSD：Solid State Drive）と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える。メモリ９０２およびストレージ９０３は、記憶装置である。このコンピュータシステムにおいて、CPU９０１がメモリ９０２上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。

　なお、許諾端末４、閲覧端末５および配布端末６は、１つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また、許諾端末４、閲覧端末５および配布端末６は、コンピュータに実装される仮想マシンであっても良い。

　許諾端末４用のプログラム、閲覧端末５用のプログラム、および、配布端末６用のプログラムは、HDD、SSD、USB（Universal Serial Bus）メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。

　また、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、以下のような変形例がある。

　（変形例１）
　BLS署名を使った鍵集約においては、Rouge-key攻撃などの不正な鍵交換の攻撃を防ぐために、署名値や鍵に特定の数を掛けてから集約する対策が行われることがある。本実施形態においても同様の対策を行うことで、より強度の高く匿名性を保つことが可能になる。

　この変形例においては、許諾者と閲覧者の間で決定論的に定められた二つの秘密の値ｔ_ｃ,ｔ_ｕを用意する。例えば、加法巡回群G_１からそれぞれ一意の数値を出力するハッシュ関数H_０を匿名用コンテンツ公開鍵P_cと匿名用ユーザ公開鍵P_uに適用し、ｔ_ｃ,ｔ_ｕとしてもよい。ここで、集約公開鍵を下記のように定義する。

　その場合、対応する集約署名は、以下のとおりである。

　署名検証では、e(H(m),P'）＝e(σ',Q)が成り立つか否かを検証し、成り立つ場合に正当な署名であることが確認される。この場合、上記実施形態で記載していたコンテンツ署名σ_ｃは、そのｔ_ｃ倍してコンテンツ署名t_cσ_cと置き換えられ、アクセス情報に含まれる認証要素セットは（P',m,t_ｃσ_ｃ）となる。また閲覧端末５がコンテンツ要求時に添付する閲覧者の情報はt_u倍して、t_ｕσ_ｕとなる。

　（変形例２）
　上記実施形態では、閲覧端末５は、コンテンツを要求する際に閲覧者の匿名用ユーザ署名σ_ｕを添付しているが、閲覧端末５側で集約署名σ＝σ_ｃ＋σ_ｕを算出し、集約署名σを添付しても良い。すなわち、閲覧端末５の確認部５２３は、匿名用ユーザ署名σ_ｕの代わりに、集約署名σを含むコンテンツ要求を送信してもよい。この場合、許諾端末４の共有制御部４２５は、コンテンツ要求に含まれる集約署名σを認証要素セット（アクセス情報）の集約公開鍵で検証し、コンテンツ要求を許諾するか否かを判定する。

　具体的には、図６のＳ２６においては、「集約署名の検証が成功したら、閲覧者のユーザ署名σ_ｕを出力」とあるが、この「ユーザ署名σ_ｕ」を既に集約された「集約署名σ＝σ_ｃ＋σ_ｕ」と置き換えても良い。この場合、Ｓ２７およびＳ２８で送信されるコンテンツ要求には、ユーザ署名σ_ｕの代わりに集約署名σが含まれる。許諾端末４は、コンテンツ要求に含まれる集約署名σを集約公開鍵Pで検証する。したがって、許諾端末４は、Ｓ３１の署名集約を計算する必要はなく、演算負荷を低減することができる。

　第２の実施形態においても同様である。すなわち、第２の実施形態の閲覧端末５および配布端末６は、匿名用ユーザ署名σ_ｕ、σ_ｄの代わりに、集約署名σを含むコンテンツ要求を送信してもよい（図９、図１０：Ｓ５６－Ｓ５８、Ｓ７３－Ｓ７５）。この場合、第２の実施形態の許諾端末４および配布端末６は、コンテンツ要求に含まれる集約署名σを認証要素セットの集約公開鍵で検証し、コンテンツ要求を許諾するか否かを判定する（図１０：Ｓ６０、Ｓ７７）。

　１、１Ａ：コンテンツ利用システム
　２　：ブロックチェーンシステム
　３　：ファイル管理システム
　４　：許諾端末
　４２１：ブロックチェーン制御部
　４２２：ファイル管理部
　４２３：生成部
　４２４：登録部
　４２５：共有制御部
　５　：閲覧端末
　５２１：ブロックチェーン制御部
　５２２：鍵管理部
　５２３：確認部
　５２４：要求部
　５２５：同期部
　６　：配布端末
　６２１：ブロックチェーン制御部
　６２２：鍵管理部
　６２３：確認部
　６２４：要求部
　６２５：同期部
　６２６：共有制御部
　４１１、５１１、６１１：ブロックチェーン
　４１２、５１２、６１２：コンテンツデータ
　４１３、５１３、６１３：鍵管理データ
　４１４、５１４、６１４：プログラム
　　

Claims

　許諾端末と閲覧端末とを備えるコンテンツ利用システムであって、
　前記許諾端末は、
　　コンテンツのコンテンツ公開鍵と、前記コンテンツの閲覧者のユーザ公開鍵とを用いて、前記コンテンツに対するアクセス情報を生成する生成部と、
　　前記アクセス情報をブロックチェーンに登録する登録部と、を備え、
　　前記アクセス情報は、前記コンテンツ公開鍵と前記ユーザ公開鍵とを集約した集約公開鍵と、前記コンテンツ用のメッセージと、前記メッセージを前記コンテンツ公開鍵に対応するコンテンツ秘密鍵で署名したコンテンツ署名とを含み、
　前記閲覧端末は、
　　要求するコンテンツのアクセス情報を前記ブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、
　　検証に成功した場合、前記ユーザ署名または前記集約署名を含むコンテンツ要求を送信する要求部と、を備えるコンテンツ利用システム。
　コンテンツのコンテンツ公開鍵と、前記コンテンツの閲覧者のユーザ公開鍵とを用いて、前記コンテンツに対するアクセス情報を生成する生成部と、
　前記アクセス情報をブロックチェーンに登録する登録部と、を備え、
　前記アクセス情報は、前記コンテンツ公開鍵と前記ユーザ公開鍵とを集約した集約公開鍵と、前記コンテンツ用のメッセージと、前記メッセージを前記コンテンツ公開鍵に対応するコンテンツ秘密鍵で署名したコンテンツ署名とを含む許諾端末。
　コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記アクセス情報のコンテンツ署名と、前記コンテンツ要求に含まれるユーザ署名とを集約した集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部を備える
　請求項２に記載の許諾端末。
　コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記コンテンツ要求に含まれる集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部を備える
　請求項２に記載の許諾端末。
　要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、
　検証に成功した場合、前記ユーザ署名または前記集約署名を含むコンテンツ要求を送信する要求部と、
　を備える閲覧端末。
　要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、
　検証に成功した場合、前記ユーザ署名を含むコンテンツ要求を、許諾端末に送信する要求部と、
　コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記アクセス情報のコンテンツ署名と、前記コンテンツ要求に含まれるユーザ署名とを集約した集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部と、
　を備える配信端末。
　要求するコンテンツのアクセス情報をブロックチェーンから取得し、前記アクセス情報のメッセージをユーザ秘密鍵で署名したユーザ署名と、前記アクセス情報のコンテンツ署名とを集約した集約署名を、前記アクセス情報の集約公開鍵で検証する確認部と、
　検証に成功した場合、前記集約署名を含むコンテンツ要求を、許諾端末に送信する要求部と、
　コンテンツ要求に応じて、当該コンテンツに対応するアクセス情報を前記ブロックチェーンから取得し、前記コンテンツ要求に含まれる前記集約署名を前記アクセス情報の集約公開鍵で検証し、前記コンテンツ要求を許諾するか否かを判定する共有制御部と、
　を備える配信端末。
　請求項２から４のいずれか１項に記載の許諾端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラム。
　請求項５に記載の閲覧端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラム。
　請求項６または７に記載の配信端末として、コンピュータを機能させることを特徴とするコンテンツ利用プログラム。