WO2021019782A1

WO2021019782A1 - 所有者同一性確認システムおよび所有者同一性確認方法

Info

Publication number: WO2021019782A1
Application number: PCT/JP2019/030340
Authority: WO
Inventors: 芳彦大森; 山下　高生
Original assignee: 日本電信電話株式会社
Priority date: 2019-08-01
Filing date: 2019-08-01
Publication date: 2021-02-04
Also published as: JPWO2021019782A1; JP7211518B2; US20220272087A1

Abstract

所有者同一性確認システムは、２つの端末（２００Ａ，２００Ｂ）の所有者が同一であるか否かを判断する。認証局サーバ（１００Ａ，１００Ｂ）は、端末に発行した電子証明書と、当該端末の所有者の本人確認情報とを関連付けて記憶する。端末（２００Ｂ）は、自身の所有者の本人確認情報を準同型暗号で暗号化した情報と相手の端末（２００Ａ）の電子証明書とを認証局サーバ（１００Ａ）に送信する。認証局サーバ（１００Ａ）は、端末（２００Ａ）の所有者の本人確認情報を暗号化した情報を含む返信暗号化情報を返信する。端末（２００Ｂ）は、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、所有者の同一性を判断する。

Description

所有者同一性確認システムおよび所有者同一性確認方法

　本発明は、所有者同一性確認システムおよび所有者同一性確認方法に関する。

　商品の購入や行政続きなど各種サービスがオンラインで提供されるようになってきている。サービス提供にあたっては、本人確認を含めた利用者認証が必須である。
　利用者認証の一つとして、公開鍵暗号基盤を利用した利用者認証がある。公開鍵暗号基盤では、認証局（認証局の証明書発行サーバ、認証局サーバ）において利用者の本人確認書類（例えば、運転免許証など）が確認された後に、利用者が所有する端末に対して公開鍵証明書（電子証明書）が発行される。

　端末は、秘密鍵を用いてデータに対する署名（デジタル署名）を生成して、電子証明書とともにサーバ（利用者を認証してサービスを端末に提供するサーバ）に送信する。サーバは、電子証明書に付与された認証局の署名を確認（検証に成功）することで電子証明書が真正であることを確認する。次に、サーバは、電子証明書に含まれる公開鍵を用いて、データに付与された署名を検証する。検証に成功すれば、サーバは、データが利用者から送信されたものであることを確認できる。さらに、サーバは、電子証明書に含まれる情報から利用者本人に関する情報を得ることができる。

　利用者が複数の端末を所有しているときには、端末間でデータが共有できることが望ましい。例えば、複数の端末から１つのサービスを利用する場合、サービス利用時の利用者認証に用いられる秘密鍵を端末間で共有して、何れの端末からも同一利用者として認証されることが望ましい。また、コンテンツを複数の端末で視聴するために、著作権管理に必要なデータを共有したい場合もある。データを共有する際には、端末の所有者が同一であることが前提であり、共有する前に所有者が同一であることが確認される必要がある。

　複数の端末の所有者が同一であることを確認する技術として、非特許文献１に記載の技術がある。この技術では、それぞれの端末に対して電子証明書（所有者電子証明書）が発行される。２つの端末それぞれが、自身（自端末）の電子証明書と相手（相手の端末、相手端末）の電子証明書とを照合することで、所有者が同一であることを確認でき、端末間ないしは端末のアプリケーション（例えば、コンテンツ視聴アプリ）間でデータを共有することができるようになる。

　所有者が同一であることが求められる他の例として、パスワードに替わる認証技術であるＦＩＤＯ（Fast IDentity Online）におけるＦＩＤＯクライアントおよび認証器（Authenticator）の例がある。ＦＩＤＯクライアントと認証器とは、連携して利用者認証を実行するため、所有者が同じであるのが前提である。このため、利用者認証に先立ち、ＦＩＤＯクライアントの所有者と認証器の所有者が同一であることの確認が求められる。

緒方祐介他，非対称鍵を利用した認証方式の秘密鍵の維持管理に関する考察，2016年電子情報通信学会通信ソサイエティ大会，B-7-9，2016.

　所有者が同一である複数の端末において電子証明書を照合して所有者の同一性を確認する非特許文献１に記載の手法には、利便性向上や安全性向上の観点から２つのさらなる課題がある。１つは、電子証明書が異なる認証局から発行されていると、所有者の同一性が確認できないことである。認証局が異なると、本人確認情報の項目（種類）が異なっていたり、形式が異なっていたりして、同一所有者であるにもかかわらず照合できない場合がある。
　他は、電子証明書に含まれる本人確認情報が盗まれて悪用される虞があることである。端末が盗まれるなどして、不正な端末との間で、所有者の同一性確認処理が実行されると、電子証明書に含まれる本人確認情報に係る情報が漏洩して、悪用されるリスクが生じる。

　本発明は、このような背景を鑑みてなされたのであり、安全性を確保しつつ端末間で、所有者の同一性確認を可能とすることを課題とする。

　前記した課題を解決するため、所有者同一性確認システムは、複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムであって、前記端末は、当該端末の所有者の本人確認情報を記憶する記憶部と、当該端末の所有者の本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、所有者同一性確認の対象となる相手端末の電子証明書と、当該公開鍵とを含む確認要求メッセージを、当該相手端末に電子証明書を発行した認証局サーバに送信する確認要求部と、を備え、前記相手端末に電子証明書を発行した認証局サーバは、当該相手端末に発行した電子証明書と、当該相手端末の所有者の本人確認情報とを関連付けて記憶する記憶部と、前記確認要求メッセージを受信すると、当該相手端末の電子証明書から当該相手端末の所有者の本人確認情報を取得して、前記公開鍵で当該本人確認情報を暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記端末に返信する確認応答部と、を備え、前記端末は、前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、当該端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断する同一性判断部をさらに備える。

　本発明によれば、安全性を確保しつつ端末間で、所有者の同一性確認が可能となる。

本実施形態に係る所有者同一性確認システムの全体構成図である。本実施形態に係るコンピュータのハードウェア構成図である。本実施形態に係る認証局サーバの機能構成図である。本実施形態に係る電子証明書データベースのデータ構成図である。本実施形態に係るコンピュータのハードウェア構成図である。本実施形態に係る端末の機能構成図である。本実施形態に係る所有者電子証明書の発行処理のシーケンス図である。本実施形態に係るワンタイム電子証明書の発行処理のシーケンス図である。本実施形態に係る所有者同一性確認処理のシーケンス図（１）である。本実施形態に係る所有者同一性確認処理のシーケンス図（２）である。本実施形態に係る所有者同一性確認処理のシーケンス図（３）である。

　以下に、本発明を実施するための形態（実施形態）における、端末の所有者の同一性を確認する所有者同一性確認システムを説明する。所有者同一性確認システムは、端末および端末に電子証明書（単に証明書とも記す）を発行する認証局サーバを含んで構成される。認証局サーバは、端末に電子証明書を発行した際の所有者確認において参照した本人確認情報を保持している。また、端末も、自身の所有者の本人確認情報を記憶する。

　電子証明書には、所有者電子証明書とワンタイム電子証明書との２種類がある。最初に、端末の所有者の本人確認情報を確認したうえで、認証局サーバは、端末に対して所有者電子証明書を発行し、本人確認情報と関連付けて所有者電子証明書を記憶する。
　端末は、自身（自端末）の所有者と、他の端末（相手端末）の所有者との同一性を確認するときに、所有者電子証明書を発行した認証局サーバ（自身の認証局サーバ）に、ワンタイム電子証明書の発行を要求する。発行要求は、所有者電子証明書に対応する秘密鍵で署名される。認証局サーバは、端末に対してワンタイム電子証明書を発行し、所有者電子証明書と関連付けて、延いては本人確認情報と関連付けてワンタイム電子証明書を記憶する。

　所有者同一性確認システムでは、端末と、相手端末の認証局サーバとの間で、端末と相手端末の所有者が同一か否かを判断する。判断には、端末が、自身が保持する本人確認情報を準同型暗号で暗号化した暗号化情報を、相手端末を介して相手端末の認証局サーバに送信する。受信した相手端末の認証局サーバは、自身が保持する相手端末の本人確認情報を準同型暗号で暗号化し、受信した暗号化情報と掛け合わせた返信暗号化情報を、相手端末を介して端末に返信する。端末は、受信したデータを復号して、所定の値に一致すれば、自身が保持する本人確認情報と、相手端末の認証局サーバが保持する相手端末の本人確認情報とが同一と判断し、２つの端末の所有者が同一であると判断する。本人確認情報は、準同型暗号で暗号化されたまま比較されているため、端末と認証局サーバとの間で、本人確認情報が漏洩することはない。

≪所有者同一性確認システムの全体構成≫
　図１は、本実施形態に係る所有者同一性確認システム１０の全体構成図である。所有者同一性確認システム１０は、複数の認証局サーバ１００、および複数の端末２００を含んで構成される。認証局サーバ１００、および端末２００は、ネットワーク９００を介して相互に通信可能である。ネットワーク９００には、認証局サーバ１００に電子証明書を発行したルート認証局３００のサーバが接続されてもよい。

≪認証局サーバのハードウェア構成≫
　図２は、本実施形態に係るコンピュータ１００Ｚのハードウェア構成図である。コンピュータ１００Ｚは、ＣＰＵ１０１、ＲＡＭ（Random Access Memory）１０２、ＲＯＭ（Read Only Memory）１０３、ＳＳＤ（Solid State Drive）１０４、ＮＩＣ（Network Interface Card）１０５、入出力インタフェース１０６（図２では入出力Ｉ／Ｆ（interface）と記載）、およびメディアドライブ１０７を含んで構成される。

　ＮＩＣ１０５は、ネットワーク９００に接続される。入出力インタフェース１０６には、ディスプレイやキーボード、マウスなどのユーザインタフェース装置１９８（図２ではＵＩ（User Interface）装置と記載）が接続される。メディアドライブ１０７は、記録媒体１９９上のプログラムを読み取る。記録媒体１９９は、ＤＶＤ（Digital Versatile Disc）などの光学記録媒体、ＭＯ（Magneto Optical disk）等の光磁気記録媒体、磁気記録媒体、および半導体メモリなどである。読み取られたプログラム（後記する図３の認証局プログラム１２１参照）をＣＰＵ１０１が実行することで、コンピュータ１００Ｚは、以下に説明する認証局サーバ１００として機能する。

≪認証局サーバの機能構成≫
　図３は、本実施形態に係る認証局サーバ１００の機能構成図である。認証局サーバ１００は、制御部１１０、記憶部１２０、および入出力部１５０を含んで構成される。入出力部１５０は、ＮＩＣ１０５、入出力インタフェース１０６、およびメディアドライブ１０７を含んで構成され、端末２００（図１参照）や他の認証局サーバ１００（図１参照）との通信データの送受信を行う。また、入出力部１５０は、記録媒体１９９から認証局プログラム１２１を読み込む。記憶部１２０は、認証局プログラム１２１や電子証明書データベース１３０（後記する図４参照）、秘密鍵やルート認証局３００が発行した自身の電子証明書を含む、認証局サーバ１００として機能するために必要なデータを記憶する。

≪認証局サーバの電子証明書データベース≫
　図４は、本実施形態に係る電子証明書データベース１３０のデータ構成図である。電子証明書データベース１３０は、例えば表形式のデータである。電子証明書データベース１３０の１つの行（レコード）は、認証局サーバ１００自身が発行した１つの電子証明書を示し、識別情報１３１、種別１３２、鍵所有者１３３、関連証明書１３４、本人確認情報１３５、および電子証明書１３６を含んで構成される。

　識別情報１３１は、電子証明書の識別情報（例えば、電子証明書に含まれるシリアル番号）である。種別１３２は、電子証明書の種別である。種別１３２には、所有者を確認したうえで端末２００に発行された所有者電子証明書を示す「所有者」、所有者同一性確認のために端末に一時的に発行された電子証明書を示す「ワンタイム」などがある。鍵所有者１３３は、電子証明書の発行先であり、鍵ペア（秘密鍵と公開鍵）の所有者（電子証明書のSubjectフィールド）を示す。関連証明書１３４は、関連する電子証明書の識別情報１３１である。関連する電子証明書とは、例えば、ワンタイム電子証明書において、ワンタイム電子証明書の発行先である端末の所有者電子証明書である。

　本人確認情報１３５は、所有者電子証明書を発行した際に確認された本人確認情報である。本人確認情報としては、住民票や運転免許証などに示される情報があり、この本人確認情報１３５には、本人確認情報のデータ（画像データや電子データ）、住所、氏名、運転免許証番号、ないしは本人確認情報にアクセスするための情報が含まれる。電子証明書１３６は、認証局サーバ１００自身が発行した電子証明書データである。なお、電子証明書には、公開鍵（電子証明書のSubject Public Key Infoフィールド）の他に、鍵所有者１３３（Subjectフィールド）、発行した認証局の識別情報（Issuerフィールド）、有効期間（Validityフィールド）、シリアル番号（Serial Numberフィールド）などが含まれる。

　レコード１３８は、識別情報１３１が「３８４７３８５７」である所有者電子証明書のレコードであって、鍵所有者１３３は所有者の名前であり、本人確認情報１３５として所有者の住所が含まれている。レコード１３９は、識別情報１３１が「８４７３６４０１」であるワンタイム電子証明書のレコードであって、レコード１３８に示される電子証明書と関連している。詳しくは、レコード１３９の電子証明書は、レコード１３８の電子証明書の発行先である端末に対して発行されたワンタイム電子証明書である。ワンタイム電子証明書のレコード１３９は、本人確認情報１３５に本人確認情報を含まないが、認証局サーバ１００は、関連証明書１３４に示された所有者電子証明書のレコード１３８の本人確認情報１３５から本人確認情報を取得できる。

≪認証局サーバの制御部≫
　図３に戻り、制御部１１０の説明を続ける。制御部１１０は、電子証明書発行部１１１、確認受付部１１２、および確認応答部１１３を含んで構成される。
　電子証明書発行部１１１は、端末２００（図１参照）からの要求に応じて、電子証明書を発行する。発行された電子証明書は、電子証明書データベース１３０に記憶される。

　確認受付部１１２は、端末２００から、乱数を要求する端末発確認要求開始メッセージ（後記する図１０のステップＳ４０１参照）を受信して、乱数を返信する。
　確認応答部１１３は、端末２００から、所有者の同一性を確認する相手の端末２００の情報を含む確認要求転送メッセージ（後記する図１１のステップＳ４１１参照）を受信する。また、確認応答部１１３は、相手の端末２００の認証局サーバ１００として記憶している所有者の本人確認情報を、準同型暗号の公開鍵で暗号化したデータと、受信した暗号化情報とを掛け合わせて返信暗号化情報を生成する。確認応答部１１３は、返信暗号化情報を含んだ確認応答メッセージ（後記する図１１のステップＳ４１６参照）を返信する。

≪端末のハードウェア構成≫
　図５は、本実施形態に係るコンピュータ２００Ｚのハードウェア構成図である。コンピュータ２００Ｚは、コンピュータ１００Ｚ（図２参照）と同様の構成をしている。メディアドライブ２０７は、記録媒体２９９上のプログラムを読み取る。読み取られたプログラム（後記する図６の端末プログラム２２１参照）をＣＰＵ２０１が実行することで、コンピュータ２００Ｚは、以下に説明する端末２００として機能する。

≪端末の機能構成≫
　図６は、本実施形態に係る端末２００の機能構成図である。端末２００は、制御部２１０、記憶部２２０、および入出力部２５０を含んで構成される。記憶部２２０は、ＲＡＭ２０２、ＲＯＭ２０３、およびＳＳＤ２０４など（図５参照）から構成され、以下に説明する暗号鍵や電子証明書、本人確認情報２２２を含む所有者同一性確認の処理に必要なデータを記憶する。電子証明書には、所有者電子証明書やワンタイム電子証明書の他に、端末２００の型番（モデル）の情報を含む型番電子証明書がある。

　入出力部２５０は、ＮＩＣ２０５、入出力インタフェース２０６、およびメディアドライブ２０７（図５参照）を含んで構成され、他の端末２００や認証局サーバ１００との通信データの送受信を行う。また、入出力部２５０は、記録媒体２９９から端末プログラム２２１を読み込む。さらに、入出力部２５０は、端末の利用者からの操作を受け付けたり、利用者に向けて情報を表示したりする。
　制御部２１０は、電子証明書要求部２１１、端末認証部２１２、確認要求開始部２１３、確認要求開始応答部２１４、確認要求部２１５、確認要求転送部２１６、確認応答転送部２１７、および同一性判断部２１８を含んで構成される。

　電子証明書要求部２１１は、認証局サーバ１００に対して電子証明書の発行を要求する。
　端末認証部２１２は、所有者の同一性を確認する相手の端末２００を認証したり、所有者同一性を確認するために、自身と相手の端末２００の所有者について、同一性を確認する本人確認情報を決めたりする。
　同一性を確認する本人確認情報とは、住所、氏名、運転免許証番号などの、同一であることを確認する本人確認情報の項目（種別）である。例えば、端末認証部２１２は、同一性を確認する項目を、自身と、相手の端末２００との双方が共通して記憶する本人確認情報２２２の項目とする。

　確認要求開始部２１３は、認証局サーバ１００に後記する端末発確認要求開始メッセージ（後記する図１０のステップＳ４０１参照）を送信する。
　確認要求開始応答部２１４は、認証局サーバ１００から受信した乱数を相手の端末２００に送信する（ステップＳ４０５参照）。
　確認要求部２１５は、自身が記憶する所有者の本人確認情報を準同型暗号の公開鍵で暗号化した情報（暗号化情報）を含む確認要求メッセージ（ステップＳ４０８参照）を相手の端末２００に送信する。
　確認要求転送部２１６は、上記の確認要求メッセージに署名し、確認要求転送メッセージとして自身の認証局サーバ１００に転送する（後記する図１１のステップＳ４１１参照）。
　確認応答転送部２１７は、認証局サーバ１００が送信した確認応答メッセージ（ステップＳ４１６参照）に署名し、確認応答転送メッセージとして相手の端末に転送する（ステップＳ４１７参照）。
　同一性判断部２１８は、確認応答転送メッセージを受信し、２つの端末２００の所有者が同一か否かを判定する。

≪記号≫
　所有者同一性確認処理の説明を始める前に、説明に用いる記号を説明する。
　Ｉ_ｄ ^（Ｏ）は、端末ｄの所有者電子証明書である。所有者電子証明書は、認証局サーバ１００が端末２００に対して発行する。発行済みの所有者電子証明書は、電子証明書データベース１３０に記憶されている。

　Ｉ_ｄ ^（Ｐ）は、端末ｄのワンタイム電子証明書である。ワンタイム電子証明書は、所有者電子証明書を発行した認証局サーバ１００が端末２００に対して発行する。発行済みのワンタイム電子証明書は、電子証明書データベース１３０に記憶されている。ワンタイム電子証明書は、同一性確認処理の間だけ有効であればよく、その有効期間は、所有者電子証明書の有効期間よりも短い。
　Ｉ_ｄ ^（Ｍ）は、端末ｄの型番電子証明書である。型番電子証明書は、認証局サーバ１００が端末２００に対して発行する。発行済みの型番電子証明書は、電子証明書データベース１３０に記憶されている。型番電子証明書を発行する認証局サーバ１００は、所有者電子証明書を発行する認証局サーバ１００と同一であるとは限らない。型番電子証明書のみを発行し、他の種類の電子証明書は発行しない認証局サーバ１００が存在してもよい。

　Ｉ_ｄ ^（Ｃ）は、認証局サーバｄの電子証明書である。認証局サーバ１００の電子証明書は、ルート認証局３００（ルート認証局のサーバ、図１参照）が発行する。
　Ｎ_{ｄ１，ｄ２}は、認証局ｄ２から端末ｄ１に向けて生成された乱数（ｎｏｎｃｅ）である。
　Ｖ＋Ｗは、データＶとデータＷを結合したデータである。

　Ｍ_Ｓ（Ｍ，Ｋ）は、データＭに秘密鍵Ｋで署名した、署名付きデータである。
　Ｍ_Ｓ（Ｍ，Ｋ１，Ｋ２）は、データＭに秘密鍵Ｋ１で署名し、さらに、この署名付きデータに秘密鍵Ｋ２で署名した二重の署名付きデータである。
　Ｑ_ｄは、端末ｄから認証局サーバ１００に送信されるワンタイム電子証明書の発行要求申請書である。Ｑ_ｄは、端末ｄで生成され、ワンタイム電子証明書に含まれる公開鍵を含む。

　Ｓ_ｄ ^（Ｏ）は、端末ｄの所有者電子証明書Ｉ_ｄ ^（Ｏ）に対応する秘密鍵である。
　Ｓ_ｄ ^（Ｐ）は、端末ｄのワンタイム電子証明書Ｉ_ｄ ^（Ｐ）に対応する秘密鍵である。
　Ｓ_ｄ ^（Ｍ）は、端末ｄの型番電子証明書Ｉ_ｄ ^（Ｍ）に対応する秘密鍵である。
　Ｓ_ｄ ^（Ｃ）は、認証局ｄの電子証明書Ｉ_ｄ ^（Ｃ）に対応する秘密鍵である。
　Ｅ_ＰＫは、公開鍵ＰＫを用いた準同型暗号の暗号化関数である。
　Ｄ_ＳＫは、秘密鍵ＳＫを用いた準同型暗号の復号関数である。公開鍵ＰＫと秘密鍵ＳＫのペアは、端末２００により生成される。

　Ｃ_ｄ１は、端末ｄ１によって計算された、本人確認情報に対する準同型暗号の暗号化関数Ｅ_ＰＫを用いて暗号化した結果（暗号化情報とも記す）である。暗号化情報Ｃ_ｄ１の計算方法の詳細は後記する。
　Ｃ_ｄ２’は、暗号化情報Ｃ_ｄ１を受信した認証局ｄ２によって計算される。Ｃ_ｄ２’は、暗号化情報Ｃ_ｄ１と、本人確認情報に対する準同型暗号の暗号化関数Ｅ_ＰＫを用いて暗号化した結果とを準同型暗号に応じた演算で計算した結果（返信暗号化情報とも記す）である。返信暗号化情報Ｃ_ｄ２’の計算方法の詳細は後記する。
　Ｌ_{ｄ１，ｄ２}は、端末ｄ１と端末ｄ２との間で所有者同一性確認を行う本人確認情報の項目のリストである。

≪準同型暗号≫
　準同型暗号Ｅ_ＰＫとは、平文Ｍ１の暗号文Ｅ_ＰＫ（Ｍ１）と平文Ｍ２の暗号文Ｅ_ＰＫ（Ｍ２）から、Ｅ_ＰＫ（Ｍ１＋Ｍ２）が計算できる暗号である。ここで、＋は、加法とは限らず、何らかの二項演算である。例えば、ＲＳＡ暗号では、Ｅ_ＰＫ（Ｍ１）×Ｅ_ＰＫ（Ｍ２）＝Ｅ_ＰＫ（Ｍ１×Ｍ２）である。つまり、暗号文の積を復号すると、平文の積となる。他の例として、ElGamal暗号がある。
　また、Paillier暗号では、Ｅ_ＰＫ（Ｍ１）×Ｅ_ＰＫ（Ｍ２）＝Ｅ_ＰＫ（Ｍ１＋Ｍ２）となる。つまり、暗号文の積を復号すると、平文の和となる。他の例として、楕円曲線暗号がある。

　以下に、Paillier暗号を用いた、暗号化情報Ｃ_ｄ１と返信暗号化情報Ｃ_ｄ２’の計算方法を説明する。
　Paillier暗号の秘密鍵は、同じ長さの素数ｐと素数ｑである。
　公開鍵は、Ｎ＝ｐ×ｑである。
　暗号化関数をＥ_Ｎと記し、復号関数をＤ_ｐ，qと記す。
　平文Ｍの暗号文は、乱数ｒを生成して、Ｅ_Ｎ（Ｍ）＝（１＋Ｎ）^Ｍ×ｒ^Ｎ　ｍｏｄＮ^２である。以下では、ｍｏｄＮ^２を省いて説明する。

　Ｅ_Ｎ（Ｍ１）＝（１＋Ｎ）^Ｍ１×ｒ^Ｎ、Ｅ_Ｎ（Ｍ２）＝（１＋Ｎ）^Ｍ２×ｓ^Ｎとする。ここで、乱数ｒと乱数ｓは、それぞれ平文Ｍ１と平文Ｍ２を暗号化するときに生成した乱数である。すると、
　Ｅ_Ｎ（Ｍ１）×Ｅ_Ｎ（Ｍ２）
＝（１＋Ｎ）^Ｍ１×ｒ^Ｎ×（１＋Ｎ）^Ｍ２×ｓ^Ｎ
＝（１＋Ｎ）^{Ｍ１＋Ｍ２}×（ｒ×ｓ）^Ｎ
＝Ｅ_Ｎ（Ｍ１＋Ｍ２）
であるので、Paillier暗号は準同型暗号である。

　続いて、暗号化情報Ｃ_ｄ１と返信暗号化情報Ｃ_ｄ２’の計算方法を説明する。以下では、端末２００Ｂが暗号化情報Ｃ_ｄ１を生成し、相手の端末２００Ａの認証局サーバ１００Ａが返信暗号化情報Ｃ_ｄ２’を生成するとして説明する（後記する図１０、図１１参照）。
　同一性を確認する端末２００Ｂが記憶する本人確認情報をＶＢとし、認証局サーバ１００Ａが記憶する本人確認情報をＶＡとする。なお、本人確認情報ＶＡ，ＶＢとは、本人確認情報の項目リストＬ_{ｄ１，ｄ２}に含まれる項目に対応する本人確認情報のことである。

　また、端末２００Ｂが、暗号化情報Ｃ_Ｂを計算し、暗号化情報Ｃ_Ｂと、端末２００Ｂの公開鍵Ｎを受信した認証局サーバ１００Ａが返信暗号化情報Ｃ_ＣＡ＿Ａ’を計算するとする。端末２００Ｂは、乱数ｒを生成して、本人確認情報ＶＢの暗号文である暗号化情報Ｃ_Ｂ＝Ｅ_Ｎ（ＶＢ）＝（１＋Ｎ）^ＶＢ×ｒ^Ｎを計算して、公開鍵Ｎとともに端末２００Ａを介して認証局サーバ１００Ａに送信する。

　認証局サーバ１００Ａは、乱数ｓと乱数ｔとを生成して、自身が記憶する本人確認情報ＶＡを暗号化して暗号文Ｅ_Ｎ（ＶＡ）を計算する。次に、認証局サーバ１００Ａは、暗号化情報Ｃ_Ｂ（＝Ｅ_Ｎ（ＶＢ））と暗号文Ｅ_Ｎ（ＶＡ）から、以下に示すように返信暗号化情報Ｃ_ＣＡ＿Ａ’を計算して、端末２００Ｂに送信する。
　Ｃ_ＣＡ＿Ａ’＝（Ｃ_Ｂ）^ｓ×Ｅ_Ｎ（ＶＡ）^－ｓ
＝（Ｃ_Ｂ）^ｓ×（（１＋Ｎ）^ＶＡ×ｔ^Ｎ）^－ｓ

　Ｃ_ＣＡ＿Ａ’＝（（１＋Ｎ）^ＶＢ×ｒ^Ｎ）^ｓ×（１＋Ｎ）^－ｓＶＡ×ｔ^－ｓＮ
＝（１＋Ｎ）^ｓＶＢ×ｒ^ｓＮ×（１＋Ｎ）^－ｓＶＡ×ｔ^－ｓＮ
＝（１＋Ｎ）^ｓＶＢ×（１＋Ｎ）^－ｓＶＡ×ｒ^ｓＮ×ｔ^－ｓＮ
＝（１＋Ｎ）^{ｓ（ＶＢ－ＶＡ）}×（ｒ^ｓ×ｔ^－ｓ）^Ｎ
であるため、端末２００Ｂが返信暗号化情報Ｃ_ＣＡ＿Ａ’を復号した結果は、Ｄ_ｐ，ｑ（Ｃ_ＣＡ＿Ａ’）＝ｓ（ＶＢ－ＶＡ）である。よって、復号結果が０ならば、端末２００Ｂと認証局サーバ１００Ａとがもつ本人確認情報ＶＢ，ＶＡが同一であることがわかる。

　復号結果が０でなければ、端末２００Ｂは、本人確認情報が不一致であることがわかる。乱数ｓは認証局サーバ１００Ａが生成した乱数であり、Ｄ_ｐ，ｑ（Ｃ_ＣＡ＿Ａ’）＝ｓ（ＶＢ－ＶＡ）は乱数となるため、端末２００Ｂは、本人確認情報ＶＡについての情報は得られず、本人確認情報ＶＡが漏洩することはない。逆に、端末２００Ｂの本人確認情報ＶＢについて、認証局サーバ１００Ａは、暗号化された暗号化情報Ｃ_Ｂのみを取得しているので情報は得られず、本人確認情報ＶＢが漏洩することはない。つまり、本人確認情報が不一致である場合には、端末２００Ｂおよび認証局サーバ１００Ａの双方とも、相手に本人確認情報を漏らすことがない。

　以上は、Paillier暗号を用いた本人確認情報の同一性確認の例であるが、暗号文の積が、平文の和の暗号となる準同型暗号でも同様に可能である。Ｅ_ＰＫをＥ_ＰＫ（Ｍ１）×Ｅ_ＰＫ（Ｍ２）＝Ｅ_ＰＫ（Ｍ１＋Ｍ２）である準同型暗号とする。
　端末２００Ｂは、本人確認情報ＶＢを暗号化して暗号化情報Ｃ_Ｂ＝Ｅ_ＰＫ（ＶＢ）を算出し、端末２００Ａを介して認証局サーバ１００Ａに送信する。
　認証局サーバ１００Ａは、乱数ｓを生成して、以下のように返信暗号化情報Ｃ_ＣＡ＿Ａ’を計算して、端末２００Ｂに送信する。
　Ｃ_ＣＡ＿Ａ’＝（Ｃ_Ｂ）^ｓ×Ｅ_ＰＫ（ＶＡ）^－ｓ

　Ｃ_ＣＡ＿Ａ’＝Ｅ_ＰＫ（ＶＢ）^ｓ×Ｅ_ＰＫ（ＶＡ）^－ｓ
＝Ｅ_ＰＫ（ｓＶＢ）×Ｅ_ＰＫ（－ｓＶＡ）
＝Ｅ_ＰＫ（ｓＶＢ－ｓＶＡ）
＝Ｅ_ＰＫ（ｓ（ＶＢ―ＶＡ））
であるため、端末２００Ｂは、返信暗号化情報Ｃ_ＣＡ＿Ａ’を復号すると、Ｄ_ＳＫ（Ｃ_ＣＡ＿Ａ’）＝ｓ（ＶＢ―ＶＡ）を得て、０であるか否かで本人確認情報ＶＢと本人確認情報ＶＡとの同一性を判定できる。

　暗号文の積が、平文の積の暗号となる準同型暗号でも同様に可能である。Ｅ_ＰＫをＥ_ＰＫ（Ｍ１）×Ｅ_ＰＫ（Ｍ２）＝Ｅ_ＰＫ（Ｍ１×Ｍ２）となる準同型暗号とする。
　端末２００Ｂは、本人確認情報ＶＢを暗号化して暗号化情報Ｃ_Ｂ＝Ｅ_ＰＫ（ＶＢ）を算出し、認証局サーバ１００Ａに送信する。
　認証局サーバ１００Ａは、乱数ｓを生成して、以下のように返信暗号化情報Ｃ_ＣＡ＿Ａ’を計算して、端末２００Ｂに送信する。
　Ｃ_ＣＡ＿Ａ’＝（Ｃ_Ｂ）^ｓ×Ｅ_ＰＫ（ＶＡ）^－ｓ

　Ｃ_ＣＡ＿Ａ’＝Ｅ_ＰＫ（ＶＢ）^ｓ×Ｅ_ＰＫ（ＶＡ）^－ｓ
＝Ｅ_ＰＫ（ＶＢ^ｓ）×Ｅ_ＰＫ（ＶＡ^－ｓ）
＝Ｅ_ＰＫ（ＶＢ^ｓ×ＶＡ^－ｓ）
＝Ｅ_ＰＫ（（ＶＢ／ＶＡ）^ｓ）
であるため、端末２００Ｂは、返信暗号化情報Ｃ_ＣＡ＿Ａ’を復号すると、Ｄ_ＳＫ（Ｃ_ＣＡ＿Ａ’）＝（ＶＢ／ＶＡ）^ｓを得て、１であるか否かで本人確認情報ＶＢと本人確認情報ＶＡとの同一性を判定できる。

　以上に説明したように、端末２００Ｂは、自身が記憶する本人確認情報ＶＢを、準同型暗号を用いて暗号化して暗号化情報Ｃ_Ｂ（＝Ｅ_ＰＫ（ＶＢ））として認証局サーバ１００Ａに送信する。認証局サーバ１００Ａは、自身が記憶する本人確認情報ＶＡを暗号化した結果（Ｅ_ＰＫ（ＶＡ））と、受信した暗号化情報Ｃ_Ｂとを掛け合わせて、返信暗号化情報Ｃ_ＣＡ＿Ａ’を計算して、端末２００Ｂに返信する。端末２００Ｂは、返信暗号化情報Ｃ_ＣＡ＿Ａ’を復号した結果が所定値（上記の例では０または１）であれば、端末２００Ｂと認証局サーバ１００Ａの双方が記憶する本人確認情報は、同一であると判断する。

　以下の説明において、秘密鍵Ｓで生成した署名を検証するときには、秘密鍵Ｓに対応した電子証明書から公開鍵を取得し、この公開鍵を用いて署名を検証する。署名の検証に失敗した場合には、所有者電子証明書の発行処理やワンタイム電子証明書の発行処理、所有者同一性確認処理を中止する。

　なお、電子証明書には認証局サーバ１００の署名が付与されており、認証局サーバ１００の公開鍵を用いて電子証明書の署名を検証する。認証局サーバ１００の公開鍵は、ルート認証局３００（図１参照）が発行した認証局サーバ１００の電子証明書をルート認証局３００の公開鍵を使って署名を検証した後に取得する。なお、ルート認証局３００の公開鍵は記憶部１２０，２２０（図３および図６参照）に記憶されている。また、電子証明書には、有効期間が含まれている。検証時点が有効期間に含まれていない場合には、電子証明書の検証は失敗となる。
　電子証明書には、発行者（Issuerフィールド）として電子証明書を発行した認証局（認証局サーバ１００）の識別情報が含まれており、何れの認証局の電子証明書から公開鍵を取得するかがわかる。

≪所有者電子証明書の発行処理≫
　図７は、本実施形態に係る所有者電子証明書の発行処理のシーケンス図である。図７を参照して、認証局サーバ１００Ａが端末２００Ａに所有者電子証明書を発行する処理を説明する。

　ステップＳ１０１において端末２００Ａの電子証明書要求部２１１は、公開鍵暗号の鍵ペア（秘密鍵と公開鍵）を生成する。
　ステップＳ１０２において電子証明書要求部２１１は、ステップＳ１０１において生成した公開鍵と本人確認書類の情報とを認証局サーバ１００Ａに送信して、所有者電子証明書の発行を要求する。この送信メッセージは、ステップＳ１０１において生成された秘密鍵で署名されてもよい。

　ステップＳ１０３において認証局サーバ１００Ａの電子証明書発行部１１１は、ステップＳ１０２で受信した本人確認書類が真正であることを確認する。次に、電子証明書発行部１１１は、端末２００Ａの所有者と本人確認書類に記載の当人とが一致することを確認する。
　ステップＳ１０４において電子証明書発行部１１１は、電子証明書データベース１３０（図４参照）にレコードを追加して、本人確認情報１３５に本人確認書類の情報、および本人確認書類に記載の本人情報（住所、氏名など、本人確認情報とも記す）を格納する。

　ステップＳ１０５において電子証明書発行部１１１は、ステップＳ１０２で受信した公開鍵を含む所有者電子証明書Ｉ_Ａ ^（Ｏ）を発行する。所有者電子証明書の鍵所有者（Subjectフィールド）は、ステップＳ１０３において確認された、氏名や住所などの所有者の本人確認情報全体またはその一部とする。電子証明書発行部１１１は、ステップＳ１０４で追加したレコードの識別情報１３１に発行した所有者電子証明書のシリアル番号を格納する。さらに、電子証明書発行部１１１は、種別１３２に「所有者」を、鍵所有者１３３に鍵所有者を、関連証明書１３４に「－」を、電子証明書１３６に発行した所有者電子証明書のデータを格納する。

　ステップＳ１０６において電子証明書発行部１１１は、ステップＳ１０２の要求に対する応答として、発行した所有者電子証明書Ｉ_Ａ ^（Ｏ）を端末２００Ａに返信する。
　ステップＳ１０７において端末２００Ａの電子証明書要求部２１１は、受信した所有者電子証明書Ｉ_Ａ ^（Ｏ）の認証局サーバ１００Ａの署名を検証する。
　ステップＳ１０８において端末２００Ａの電子証明書要求部２１１は、受信した所有者電子証明書Ｉ_Ａ ^（Ｏ）を記憶部２２０に記憶する。また、電子証明書要求部２１１は、所有者電子証明書Ｉ_Ａ ^（Ｏ）の鍵所有者（Subjectフィールド）の値として含まれる本人確認情報を本人確認情報２２２（図６参照）に格納する。

　以上、認証局サーバ１００Ａが端末２００Ａに所有者電子証明書を発行する処理を説明した。同様にして、認証局サーバ１００Ｂが端末２００Ｂに所有者電子証明書を発行する。この認証局サーバ１００Ｂが端末２００Ｂに所有者電子証明書を発行する処理は、図７と同様であるため、記載を省略する。この状態において、端末２００Ａ，２００Ｂは、所有者電子証明書やこれに対応する秘密鍵を記憶する。また、認証局サーバ１００Ａ，１００Ｂは、所有者電子証明書に関連付けて本人確認情報を記憶している。端末２００Ａ，２００Ｂは、本人確認情報２２２（図６参照）を記憶している。

≪ワンタイム電子証明書の発行処理≫
　図８は、本実施形態に係るワンタイム電子証明書の発行処理のシーケンス図である。図８を参照して、認証局サーバ１００Ａが端末２００Ａにワンタイム電子証明書を発行する処理を説明する。
　ステップＳ２０１において端末２００Ａの電子証明書要求部２１１は、公開鍵暗号の鍵ペア（秘密鍵と公開鍵）を生成する。

　ステップＳ２０２において電子証明書要求部２１１は、ステップＳ２０１において生成した公開鍵を含むワンタイム電子証明書の発行要求を認証局サーバ１００Ａに送信する。詳しくは、電子証明書要求部２１１は、公開鍵を含みワンタイム電子証明書の発行要求申請書Ｑ_ＡをステップＳ２０１で生成した秘密鍵で署名したＭ_Ｓ（Ｑ_Ａ，Ｓ_Ａ ^（Ｐ））を生成する。次に、電子証明書要求部２１１は、署名したデータに、自身の所有者電子証明書Ｉ_Ａ ^（Ｏ）と型番電子証明書Ｉ_Ａ ^（Ｍ）を結合して、自身の所有者電子証明書の秘密鍵Ｓ_Ａ ^（Ｏ）と型番電子証明書の秘密鍵Ｓ_Ａ ^（Ｍ）とで署名して、Ｍ_Ｓ（Ｍ_Ｓ（Ｑ_Ａ，Ｓ_Ａ ^（Ｐ））＋Ｉ_Ａ ^（Ｏ）＋Ｉ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｏ），Ｓ_Ａ ^（Ｍ））を生成する。電子証明書要求部２１１は、ワンタイム電子証明書の発行要求としてＭ_Ｓ（Ｍ_Ｓ（Ｑ_Ａ，Ｓ_Ａ ^（Ｐ））＋Ｉ_Ａ ^（Ｏ）＋Ｉ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｏ），Ｓ_Ａ ^（Ｍ））を認証局サーバ１００Ａに送信する。

　ステップＳ２０３において認証局サーバ１００Ａの電子証明書発行部１１１は、ステップＳ２０２で受信したワンタイム電子証明書の発行要求の秘密鍵Ｓ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｏ），Ｓ_Ａ ^（Ｐ）による署名を検証する。
　ステップＳ２０４において電子証明書発行部１１１は、ステップＳ２０２で受信したＱ_Ａに含まれる公開鍵を含むワンタイム電子証明書Ｉ_Ａ ^（Ｐ）を発行する。ワンタイム電子証明書の鍵所有者はランダムな文字列である。

　ステップＳ２０５において電子証明書発行部１１１は、ワンタイム電子証明書Ｉ_Ａ ^（Ｐ）を所有者電子証明書Ｉ_Ａ ^（Ｏ）と関連付けて格納する。詳しくは、電子証明書発行部１１１は、電子証明書データベース１３０（図４参照）にレコードを追加して、識別情報１３１に発行したワンタイム電子証明書のシリアル番号を格納する。さらに、電子証明書発行部１１１は、種別１３２に「ワンタイム」を、鍵所有者１３３に鍵所有者を、本人確認情報１３５に「－」を、電子証明書１３６に発行したワンタイム電子証明書のデータを格納する。電子証明書発行部１１１は、関連証明書１３４にステップＳ２０２で受信した所有者電子証明書Ｉ_Ａ ^（Ｏ）のシリアル番号を格納する。ワンタイム電子証明書の関連証明書１３４に対応する電子証明書の本人確認情報１３５を参照することで、認証局サーバ１００は、ワンタイム電子証明書が発行された端末２００の所有者についての本人確認情報にアクセスできる。

　ステップＳ２０６において電子証明書発行部１１１は、発行したワンタイム電子証明書Ｉ_Ａ ^（Ｐ）を端末２００Ａに返信する。詳しくは、電子証明書発行部１１１は、ワンタイム電子証明書Ｉ_Ａ ^（Ｐ）に認証局サーバ１００Ａの電子証明書Ｉ_Ａ ^（Ｃ）を結合して、電子証明書Ｉ_Ａ ^（Ｃ）に対応する秘密鍵Ｓ_Ａ ^（Ｃ）で署名したＭ_Ｓ（Ｉ_Ａ ^（Ｐ）＋Ｉ_Ａ ^（Ｃ），Ｓ_Ａ ^（Ｃ））を、ステップＳ２０２の要求に対する応答として返信する。

　ステップＳ２０７において端末２００Ａの電子証明書要求部２１１は、受信したＭ_Ｓ（Ｉ_Ａ ^（Ｐ）＋Ｉ_Ａ ^（Ｃ），Ｓ_Ａ ^（Ｃ））の秘密鍵Ｓ_Ａ ^（Ｃ）よる署名、およびワンタイム電子証明書Ｉ_Ａ ^（Ｐ）の署名を検証する。
　ステップＳ２０８において端末２００Ａの電子証明書要求部２１１は、ワンタイム電子証明書Ｉ_Ａ ^（Ｐ）を記憶部２２０に記憶する。

　以上、認証局サーバ１００Ａが端末２００Ａにワンタイム電子証明書を発行する処理を説明した。同様にして、認証局サーバ１００Ｂが端末２００Ｂにワンタイム電子証明書を発行する。この認証局サーバ１００Ｂが端末２００Ｂにワンタイム電子証明書を発行する処理は、図８と同様であるため、記載を省略する。この状態において、端末２００Ａ，２００Ｂは、ワンタイム電子証明書やこれに対応する秘密鍵を記憶する。また、認証局サーバ１００Ａ，１００Ｂは、所有者電子証明書に関連付けて、延いては本人確認情報に関連付けてワンタイム電子証明書を記憶している。

≪所有者同一性確認処理：端末間処理≫
　端末２００Ｂと、所有者の同一性を確認する相手の端末２００Ａとが、ワンタイム電子証明書を得た後に、端末２００Ｂは、相手の端末２００Ａを介して認証局サーバ１００Ａに所有者の同一性確認を要求する。要求する前に、端末２００Ａ，２００Ｂは、相互認証した後に、同一性を確認する本人確認情報の項目を決定する。例えば、端末２００Ａ，２００Ｂは、双方の端末２００Ａ，２００Ｂに記憶済みの本人確認情報２２２（図６参照）のなかで共通している項目を、同一性を確認する本人確認情報の項目とする。
　後記する図９を参照して、端末２００Ａ，２００Ｂが同一性を確認する本人確認情報の項目を決めるまでの処理を説明する。続いて、後記する図１０および図１１を参照して、端末２００Ｂが、相手の端末２００Ａを介して認証局サーバ１００Ａに所有者の同一性確認を要求する処理を説明する。

　図９は、本実施形態に係る所有者同一性確認処理のシーケンス図（１）である。図９を参照しながら、所有者同一性確認処理における端末２００Ａ，２００Ｂの間の処理を説明する。
　ステップＳ３０１において端末２００Ａの端末認証部２１２は、ワンタイム電子証明書Ｉ_Ａ ^（Ｐ）を相手の端末２００Ｂに送信する。端末２００Ｂは、受信したワンタイム電子証明書Ｉ_Ａ ^（Ｐ）の署名を検証する。
　ステップＳ３０２において端末２００Ｂの端末認証部２１２は、ワンタイム電子証明書Ｉ_Ｂ ^（Ｐ）を相手の端末２００Ａに送信する。端末２００Ａは、受信したワンタイム電子証明書Ｉ_Ｂ ^（Ｐ）の署名を検証する。

　ステップＳ３０３において端末２００Ａ，２００Ｂの端末認証部２１２は、ワンタイム電子証明書に対応する秘密鍵Ｓ_Ａ ^（Ｐ），Ｓ_Ｂ ^（Ｐ）を用いて、相互に認証する。例えば、端末２００Ａは、乱数を生成して端末２００Ｂに送信して、この乱数に対するワンタイム電子証明書Ｉ_Ｂ ^（Ｐ）に対応する秘密鍵による署名を要求する。端末２００Ａは、端末２００Ｂが生成した署名を検証することにより、端末２００Ｂがワンタイム電子証明書Ｉ_Ｂ ^（Ｐ）に対応する秘密鍵を所有していることが認証できる。同様にして、端末２００Ｂは、端末２００Ａがワンタイム電子証明書Ｉ_Ａ ^（Ｐ）に対応する秘密鍵を所有していることが認証できる。

　ステップＳ３０４において端末認証部２１２は、同一性を確認する本人確認情報の項目リストＬ_Ａ，Ｂを決定する。詳しくは、端末認証部２１２は、双方の端末２００Ａ，２００Ｂに記憶済みの本人確認情報２２２（図６参照）のなかで、共通している項目を本人確認情報の項目リストＬ_Ａ，Ｂとする。

≪所有者同一性確認処理：端末－認証局サーバ間処理≫
　図１０は、本実施形態に係る所有者同一性確認処理のシーケンス図（２）である。図１１は、本実施形態に係る所有者同一性確認処理のシーケンス図（３）である。図１０および図１１を参照しながら、所有者同一性確認処理における、端末２００Ａを介した端末２００Ｂおよび認証局サーバ１００Ａの間の処理を説明する。

　ステップＳ４０１において端末２００Ａの確認要求開始部２１３は、端末発確認要求開始メッセージを認証局サーバ１００Ａに送信する。詳しくは、確認要求開始部２１３は、本人確認情報の項目リストＬ_Ａ，Ｂと、端末２００Ａ，２００Ｂのワンタイム電子証明書Ｉ_Ａ ^（Ｐ），Ｉ_Ｂ ^（Ｐ）と、型番電子証明書Ｉ_Ａ ^（Ｍ）とを結合し、自身のワンタイム電子証明書の秘密鍵Ｓ_Ａ ^（Ｐ）と型番電子証明書の秘密鍵Ｓ_Ａ ^（Ｍ）とで署名して、Ｍ_Ｓ（Ｌ_Ａ，Ｂ＋Ｉ_Ａ ^（Ｐ）＋Ｉ_Ｂ ^（Ｐ）＋Ｉ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｐ），Ｓ_Ａ ^（Ｍ））を生成する。確認要求開始部２１３は、端末発確認要求開始メッセージとしてＭ_Ｓ（Ｌ_Ａ，Ｂ＋Ｉ_Ａ ^（Ｐ）＋Ｉ_Ｂ ^（Ｐ）＋Ｉ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｐ），Ｓ_Ａ ^（Ｍ））を認証局サーバ１００Ａに送信する。

　ステップＳ４０２において認証局サーバ１００Ａの確認受付部１１２は、端末発確認要求開始メッセージの秘密鍵Ｓ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｐ）による署名を検証する。
　ステップＳ４０３において確認受付部１１２は、乱数Ｎ_Ａ，Ａと乱数Ｎ_Ｂ，Ａとを生成する。
　ステップＳ４０４において確認受付部１１２は、乱数Ｎ_Ａ，Ａと乱数Ｎ_Ｂ，Ａとを、ステップＳ４０１の要求に対する応答として、返信する。

　ステップＳ４０５において端末２００Ａの確認要求開始応答部２１４は、乱数Ｎ_Ｂ，Ａを端末２００Ｂに送信する。
　ステップＳ４０６において端末２００Ｂの確認要求部２１５は、準同型暗号の鍵ペアを生成する。
　ステップＳ４０７において確認要求部２１５は、準同型暗号を用いて暗号化情報Ｃ_Ｂを算出する。詳しくは、確認要求部２１５は、ステップＳ３０４（図９参照）で決定した同一性を確認する本人確認情報の項目リストＬ_Ａ，Ｂに対応する所有者の本人確認情報を、本人確認情報２２２（図６参照）から取得し暗号化して、暗号化情報Ｃ_Ｂを算出する。

　ステップＳ４０８において確認要求部２１５は、確認要求メッセージを端末２００Ａに送信する。詳しくは、確認要求部２１５は、自身が記憶する本人確認情報の項目リストＬ_Ａ，Ｂと、自身と相手の端末２００Ａのワンタイム電子証明書Ｉ_Ｂ ^（Ｐ），Ｉ_Ａ ^（Ｐ）と、乱数Ｎ_Ｂ，Ａと、準同型暗号の公開鍵ＰＫ_Ｂと、暗号化情報Ｃ_Ｂと、型番電子証明書Ｉ_Ｂ ^（Ｍ）とを結合し、秘密鍵Ｓ_Ｂ ^（Ｐ），Ｓ_Ｂ ^（Ｍ）で署名したＭ_Ｓ（Ｌ_Ａ，Ｂ＋Ｉ_Ｂ ^（Ｐ）＋Ｉ_Ａ ^（Ｐ）＋Ｎ_Ｂ，Ａ＋ＰＫ_Ｂ＋Ｃ_Ｂ＋Ｉ_Ｂ ^（Ｍ），Ｓ_Ｂ ^（Ｐ），Ｓ_Ｂ ^（Ｍ））を端末２００Ａに送信する。以下では、Ｍ_Ｓ（Ｌ_Ａ，Ｂ＋Ｉ_Ｂ ^（Ｐ）＋Ｉ_Ａ ^（Ｐ）＋Ｎ_Ｂ，Ａ＋ＰＫ_Ｂ＋Ｃ_Ｂ＋Ｉ_Ｂ ^（Ｍ），Ｓ_Ｂ ^（Ｐ），Ｓ_Ｂ ^（Ｍ））をＵ_Ａ，Ｂとも記す。

　ステップＳ４０９において端末２００Ａの確認要求転送部２１６は、Ｕ_Ａ，Ｂの秘密鍵Ｓ_Ｂ ^（Ｍ），Ｓ_Ｂ ^（Ｐ）による署名を検証する。
　ステップＳ４１０において確認要求転送部２１６は、ステップＳ４０８で受信した項目リストＬ_Ａ，Ｂと、ステップＳ３０４（図９参照）で決定して、自身が記憶している項目リストＬ_Ａ，Ｂとが一致することを確認する。不一致であれば、確認要求転送部２１６は、所有者同一性確認処理を中止する。

　図１１を参照して、所有者同一性確認処理の説明を続ける。
　ステップＳ４１１において確認要求転送部２１６は、確認要求転送メッセージを認証局サーバ１００Ａに送信する。詳しくは、確認要求転送部２１６は、Ｕ_Ａ，Ｂと、乱数Ｎ_Ａ，Ａと、ワンタイム電子証明書Ｉ_Ａ ^（Ｐ）と、型番電子証明書Ｉ_Ａ ^（Ｍ）とを結合し、秘密鍵Ｓ_Ａ ^（Ｐ），Ｓ_Ａ ^（Ｍ）で署名したＭ_Ｓ（Ｕ_Ａ，Ｂ＋Ｎ_Ａ，Ａ＋Ｉ_Ａ ^（Ｐ）＋Ｉ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｐ），Ｓ_Ａ ^（Ｍ））を確認要求転送メッセージとして認証局サーバ１００Ａに送信する。

　ステップＳ４１２において認証局サーバ１００Ａの確認応答部１１３は、確認要求転送メッセージの秘密鍵Ｓ_Ａ ^（Ｍ），Ｓ_Ａ ^（Ｐ）による署名を検証する。また、確認応答部１１３は、確認要求転送メッセージに含まれるＵ_Ａ，Ｂの秘密鍵Ｓ_Ｂ ^（Ｍ），Ｓ_Ｂ ^（Ｐ）による署名を検証する。

　ステップＳ４１３において確認応答部１１３は、確認要求転送メッセージに含まれるワンタイム電子証明書Ｉ_Ａ ^（Ｐ）が、ステップＳ４０１（図１０参照）に含まれていたワンタイム電子証明書Ｉ_Ａ ^（Ｐ）と同一であるかを照合する。同一でなければ、確認応答部１１３は、所有者同一性確認処理を中止する。
　ステップＳ４１４において確認応答部１１３は、確認要求転送メッセージに含まれる乱数Ｎ_Ａ，Ａ、および確認要求転送メッセージのなかのＵ_Ａ，Ｂに含まれる乱数Ｎ_Ｂ，Ａが、ステップＳ４０４（図１０参照）で送信された乱数Ｎ_Ａ，Ａ、および乱数Ｎ_Ｂ，Ａとそれぞれ同一か検証する。同一でなければ、確認応答部１１３は、所有者同一性確認処理を中止する。

　ステップＳ４１５において確認応答部１１３は、受信した暗号化情報Ｃ_Ｂおよび自身が保有する本人確認情報から返信暗号化情報Ｃ_ＣＡ＿Ａ’を生成する。詳しくは、確認応答部１１３は、確認要求転送メッセージのなかのＵ_Ａ，Ｂに含まれるワンタイム電子証明書Ｉ_Ａ ^（Ｐ）と本人確認情報の項目リストＬ_Ａ，Ｂを取得する。確認応答部１１３は、電子証明書データベース１３０にあるワンタイム電子証明書Ｉ_Ａ ^（Ｐ）のレコードの関連証明書１３４から、端末２００Ａの所有者電子証明書Ｉ_Ａ ^（Ｏ）を特定し、その本人確認情報１３５を取得する。続いて、確認応答部１１３は、本人確認情報１３５から、本人確認情報の項目リストＬ_Ａ，Ｂにある本人確認情報を取得する。最後に、確認応答部１１３は、暗号化情報Ｃ_Ｂと、公開鍵ＰＫ_Ｂと、取得した本人確認情報とから返信暗号化情報Ｃ_ＣＡ＿Ａ’を生成する。

　ステップＳ４１６において確認応答部１１３は、ワンタイム電子証明書Ｉ_Ｂ ^（Ｐ），Ｉ_Ａ ^（Ｐ）と、返信暗号化情報Ｃ_ＣＡ＿Ａ’と、認証局電子証明書Ｉ_Ａ ^（Ｃ）とを結合し、秘密鍵Ｓ_Ａ ^（Ｃ）で署名したＭ_Ｓ（Ｉ_Ｂ ^（Ｐ）＋Ｉ_Ａ ^（Ｐ）＋Ｃ_ＣＡ＿Ａ’＋Ｉ_Ａ ^（Ｃ），Ｓ_Ａ ^（Ｃ））を、確認応答メッセージとして端末２００Ａに返信する。
　ステップＳ４１７において端末２００Ａの確認応答転送部２１７は、ステップＳ４１６で認証局サーバ１００Ａから受信した確認応答メッセージを端末２００Ｂに転送する。

　ステップＳ４１８において端末２００Ｂの同一性判断部２１８は、確認応答メッセージのＳ_Ａ ^（Ｃ）による署名を検証する。
　ステップＳ４１９において同一性判断部２１８は、返信暗号化情報Ｃ_ＣＡ＿Ａ’を準同型暗号の秘密鍵で復号する。

　ステップＳ４２０において同一性判断部２１８は、復号結果が０ならば（ステップＳ４２０→ＹＥＳ）ステップＳ４２１に進み、復号結果が０でなければ（ステップＳ４２０→ＮＯ）ステップＳ４２２に進む。なお、復号結果の０とは、準同型暗号がPaillier暗号（暗号文の積が、平文の和の暗号となる準同型暗号）の場合の所定値である。暗号文の積が、平文の積の暗号となる準同型暗号の場合には、復号結果が１か否かで判断する。
　ステップＳ４２１において同一性判断部２１８は、所有者が同一であると判断する。
　ステップＳ４２２において同一性判断部２１８は、所有者が異なると判断する。

　以上で、端末２００Ｂが、端末２００Ａを介して認証局サーバ１００Ａに、自身の所有者と相手の端末２００Ａの所有者とが一致することを確認する所有者同一性確認処理を終える。次に、端末２００Ｂ，２００Ａが入れ替わり、端末２００Ａが、自身の所有者と相手の端末２００Ｂの所有者が一致することを確認する。詳しくは、ステップＳ４０１以降のステップと同様にして、端末２００Ａは、端末２００Ｂを介して認証局サーバ１００Ｂに、自身の所有者と相手の端末２００Ｂの所有者が一致することを確認する。この確認する処理は、図１０および図１１と同様であるため、記載を省略する。
　端末２００Ａ，２００Ｂの双方が、所有者が同一であることを確認して、所有者同一性確認処理が終了する。所有者同一性確認処理の終了後、端末２００Ａ，２００Ｂは、例えばサービス利用時の認証に用いる秘密鍵や、コンテンツの著作権管理に必要なデータなどの共有（コピー）処理を行う。

≪所有者同一性確認処理の特徴≫
　所有者の同一性を確認する相手の端末に送信する自身の端末情報としては、ワンタイム電子証明書および型番電子証明書がある。何れの電子証明書にも、所有者に係る情報は含まれていない。このため、所有者の本人確認情報を含む個人情報が、相手の端末に漏洩する虞がない。
　異なる認証局サーバであっても、共通して記憶している本人確認情報の項目を比較することで、２つの端末の所有者が同一であるか否かを確認できる。また、本人確認情報（図４の本人確認情報１３５、および図６の本人確認情報２２２参照）は、本人確認書類から取得された真正な情報であり（図７のステップＳ１０３～Ｓ１０４，Ｓ１０８参照）、所有者同一性確認システム１０は、信頼度の高い本人確認情報に基づいて、所有者の同一性を確認している。

　端末と認証局サーバの間では、準同型暗号を用いて、暗号化された状態のまま、それぞれが記憶する本人確認情報の項目を比較している。このため、本人確認情報が相手に流出することなく、本人確認情報が一致するか否かを確認することができる。
　認証局サーバは、型番電子証明書を取得しているので、所有者の同一性を確認しようとしている２つの端末の型番（モデル）を知ることができ、サービス改善のための情報を得ることができる。

≪変形例：本人確認情報の項目リスト≫
　本人確認情報の項目リストＬ_Ａ，Ｂは、端末２００Ａ，２００Ｂの双方が記憶している本人確認情報２２２の項目である（図６の端末認証部２１２の説明、および図９のステップＳ３０４参照）。端末２００は、項目リストＬ_Ａ，Ｂを、同一性確認後の共有するデータの重要度に応じて決めてもよい。例えば、金融サービスにアクセスするための秘密鍵を共有する場合には、端末２００は、項目リストＬ_Ａ，Ｂを住所および氏名とする。また、同居する家族間で家族割引付きのサービスにアクセスするための秘密鍵の共有する場合には、端末２００は、項目リストＬ_Ａ，Ｂを住所だけとする。
　なお、同一性を確認する本人確認情報（本人確認情報の項目）が予め決まっている場合は、端末２００や認証局サーバ１００は、項目リストＬ_Ａ，Ｂを省いて所有者同一性確認の処理を実行してもよい。

≪変形例：型番電子証明書≫
　端末発確認要求メッセージ（図１０のステップＳ４０１）や確認要求メッセージ（ステップＳ４０８）には、型番電子証明書が含まれており、型番電子証明書に対応する秘密鍵の署名を検証することで、認証局サーバ１００は、端末２００の型番を取得することができる。型番電子証明書や対応する署名の付与をなくしてもよい。メッセージは、ワンタイム電子証明書に対応する秘密鍵による署名が付与されており、安全性は確保されている。

≪変形例：電子証明書データベース≫
　上記した実施形態では、電子証明書データベース１３０（図４）に記憶されるワンタイム電子証明書のレコードにおいて、本人確認情報１３５には情報がない。替わりに、確認応答部１１３は、関連証明書１３４に示された所有者電子証明書のレコードの本人確認情報１３５から、本人確認情報を取得する（図１１のステップＳ４１５参照）。
　これに対して、ワンタイム電子証明書のレコードの本人確認情報１３５に、関連証明書１３４に示された所有者電子証明書のレコードの本人確認情報１３５を格納するようにしてもよい。認証局サーバ１００は、ワンタイム電子証明書のレコードから直接に本人確認情報を取得できるようになる。

≪変形例：端末と認証局サーバ間の通信経路≫
　上記した実施形態では、端末２００Ｂと認証局サーバ１００Ａとは、端末２００Ａを介してメッセージを交換しているが、直接交換するようにしてもよい。詳しくは、端末２００Ｂが送信した確認要求メッセージ（図１０のステップＳ４０８参照）は、端末２００Ａを介して確認要求転送メッセージ（図１１のステップＳ４１１参照）の一部として、認証局サーバ１００Ａが受信する。これを、端末２００Ｂが、確認要求メッセージを認証局サーバ１００Ａに直接送信するようにしてもよい。また、確認応答メッセージ（ステップＳ４１６参照）についても、端末２００Ａを介さず、認証局サーバ１００Ａが端末２００Ｂに直接送信してもよい。

≪変形例：端末の本人確認情報≫
　上記した実施形態では、端末２００が記憶する本人確認情報２２２（図６参照）は、所有者証明書の鍵所有者の値である（図７のステップＳ１０８参照）。これに対して、本人確認情報２２２を認証局サーバ１００が記憶する本人確認情報と同一になるようにしてもよい。詳しくは、ステップＳ１０６において、認証局サーバ１００Ａが、所有者証明書Ｉ_Ａ ^（Ｏ）と、電子証明書データベース１３０に格納した本人確認情報とを結合したデータに、秘密鍵Ｓ_Ａ ^（Ｃ）で署名にして端末２００Ａに送信する。端末２００Ａは、署名を検証して、受信した本人確認情報を本人確認情報２２２に格納するようにしてもよい。

≪その他の変形例≫
　なお、本発明は、上記した実施形態に限定されることなく、その趣旨を逸脱しない範囲で変更することができる。
　例えば、端末２００は、所有者同一性確認処理のたびに準同型暗号の鍵ペアを生成している（図１０のステップＳ４０６参照）が、以前に生成した鍵ペアを再利用するようにしてもよい。

　また、ワンタイム電子証明書の鍵所有者は、ランダムな文字列としているが、所有者の本人確認情報に無関係な情報であればよく、例えば、端末のアドレスや電子証明書の発行要求のあった時刻などから生成した情報であってもよい。
　他に、上記した実施形態では、電子証明書を発行するサーバと、所有者の同一性を確認するサーバとは、同一の認証局サーバ１００であったが、別のサーバであってもよい。
　また、ステップＳ１０３（図７参照）では、認証局サーバ１００が、本人確認書類を確認しているが、オフラインで人手により確認するようにしてもよい。

　以上、本発明のいくつかの実施形態について説明したが、これらの実施形態は、例示に過ぎず、本発明の技術的範囲を限定するものではない。本発明はその他の様々な実施形態を取ることが可能であり、さらに、本発明の要旨を逸脱しない範囲で、省略や置換等種々の変更を行うことができる。これら実施形態やその変形は、本明細書等に記載された発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

≪効果≫
　以下に、所有者同一性確認システム１０の効果を説明する。
　本実施形態に係る所有者同一性確認システム１０は、複数の端末２００と、複数の認証局サーバ１００とを含んで構成される所有者同一性確認システム１０であって、端末２００Ｂは、端末２００Ｂの所有者の本人確認情報２２２を記憶する記憶部２２０と、端末２００Ｂの所有者の本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、所有者同一性確認の対象となる相手の端末２００Ａの電子証明書と、当該公開鍵とを含む確認要求メッセージを、当該相手の端末２００Ａに電子証明書を発行した認証局サーバ１００Ａに送信する確認要求部２１５と、を備え、相手の端末２００Ａに電子証明書を発行した認証局サーバ１００Ａは、相手の端末２００Ａに発行した電子証明書と、相手の端末２００Ａの所有者の本人確認情報とを関連付けて記憶する記憶部１２０と、確認要求メッセージを受信すると、相手の端末２００Ａの電子証明書から相手の端末２００Ａの所有者の本人確認情報を取得して、公開鍵で当該本人確認情報を暗号化した暗号文と、暗号化情報とを、準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、端末２００Ｂに返信する確認応答部１１３と、を備え、端末２００Ｂは、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末２００Ｂの所有者の本人確認情報と、相手の端末２００Ａの所有者の本人確認情報とが一致するか否かを判断する同一性判断部２１８をさらに備える。

　このような所有者同一性確認システム１０によれば、電子証明書を発行した認証局サーバ１００が異なる端末２００Ｂと相手の端末２００Ａとについて所有者が同一であるか否かを判定できる。詳しくは、端末２００Ｂは、相手の端末２００Ａに電子証明書を発行した認証局サーバ１００Ａとの処理を通じて判定できる。また、本人確認情報は、暗号化されてやりとりされており（暗号化情報と返信暗号化情報）、本人確認情報そのものが端末２００Ｂと認証局サーバ１００Ａとの間で流出することなく、本人確認情報が一致するか否かを確認することができる。端末２００Ａについても同様であり、認証局サーバ１００Ｂとの処理を通じて、本人確認情報が流出することなく、所有者が同一であるかを判定できる。
　よって、所有者同一性確認システム１０によれば、安全性を確保しつつ端末間で所有者の同一性確認を可能とすることができる。

　本実施形態に係る所有者同一性確認システム１０において、本人確認情報は、１つ以上の項目から構成され、確認要求部２１５は、１つ以上の項目のなかから選択された同一性を確認する項目についての本人確認情報を公開鍵で暗号化して暗号化情報を計算し、当該項目を確認要求メッセージに含めて送信し、確認応答部１１３は、相手の端末２００Ａの所有者の当該項目についての本人確認情報を公開鍵で暗号化した暗号文を生成したうえで、返信暗号化情報を計算して返信し、同一性判断部２１８は、返信暗号化情報を復号し、その結果が所定値と一致するか否かで、端末２００Ｂの所有者の当該項目についての本人確認情報と、相手の端末２００Ａの所有者の当該項目についての本人確認情報とが一致するか否かを判断する。

　このような所有者同一性確認システム１０によれば、本人確認情報全体ではなく部分（項目）で、所有者の同一性を確認できる。このため、登録している本人確認情報が異なる場合であっても、一部の本人確認情報が一致することで所有者の同一性を確認できる。

　本実施形態に係る所有者同一性確認システム１０において、準同型暗号であるＥは、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１＋Ｍ２）を満たす準同型暗号であって、確認要求部２１５は、端末２００Ｂの所有者の本人確認情報Ｖ１に対してＥ（Ｖ１）を暗号化情報として送信し、確認応答部１１３は、相手の端末２００Ａの所有者の本人確認情報Ｖ２に対して乱数ｒを生成して、Ｅ（Ｖ１）^ｒ×Ｅ（Ｖ２）^－ｒを返信暗号化情報として返信し、同一性判断部２１８は、返信暗号化情報の復号結果が、所定値である０であるか否かで、Ｖ１とＶ２とが一致するか否かを判断する。

　このような所有者同一性確認システム１０によれば、端末２００は、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１＋Ｍ２）を満たす準同型暗号Ｅを用いて、本人確認情報が一致するか否かを確認できる。
　また、本人確認情報Ｖ１，Ｖ２が異なるときには、（Ｖ１－Ｖ２）≠０となるため、端末２００Ｂにとっては、返信暗号化情報を復号結果のｒ（Ｖ１－Ｖ２）は乱数となる。このため、端末２００Ｂは、本人確認情報Ｖ１を知っていても、本人確認情報Ｖ２の情報は得られず、相手の端末２００Ｂの所有者の本人確認情報Ｖ２が漏洩することがない。これは、端末２００Ｂ，２００Ａが入れ替わっても同様である。

　本実施形態に係る所有者同一性確認システム１０において、準同型暗号であるＥは、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１×Ｍ２）を満たす準同型暗号であって、確認要求部２１５は、端末２００Ｂの所有者の本人確認情報Ｖ１に対してＥ（Ｖ１）を暗号化情報として送信し、確認応答部１１３は、相手の端末２００Ａの所有者の本人確認情報Ｖ２に対して乱数ｒを生成して、Ｅ（Ｖ１）^ｒ×Ｅ（Ｖ２）^－ｒを返信暗号化情報として返信し、同一性判断部２１８は、返信暗号化情報の復号結果が、所定値である１であるか否かで、Ｖ１とＶ２とが一致するか否かを判断する。

　このような所有者同一性確認システム１０によれば、端末２００は、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１×Ｍ２）を満たす準同型暗号Ｅを用いて、本人確認情報が一致するか否かを確認できる。
　また、本人確認情報Ｖ１，Ｖ２が異なるときには、（Ｖ１／Ｖ２）≠１となるため、端末２００Ｂにとっては、返信暗号化情報を復号結果の（Ｖ１／Ｖ２）^ｒは乱数となる。このため、端末２００Ｂは、本人確認情報Ｖ１を知っていても、本人確認情報Ｖ２の情報は得られず、相手の端末２００Ｂの所有者の本人確認情報Ｖ２が漏洩することがない。これは、端末２００Ｂ，２００Ａが入れ替わっても同様である。

　本実施形態に係る所有者同一性確認システム１０において、確認要求部２１５は、相手の端末２００Ａを介して確認要求メッセージを、相手の端末２００Ａに電子証明書を発行した認証局サーバ１００Ａに送信し、確認応答部１１３は、相手の端末２００Ａを介して確認応答メッセージを、端末２００Ｂに送信する。

　このような所有者同一性確認システム１０によれば、認証局サーバ１００は、通信相手となる端末２００を、自身が電子証明書を発行した端末２００に限定できる。延いては、不特定の端末２００からの通信を避けることができ、安全性が向上する。

　本実施形態に係る所有者同一性確認システム１０において、端末２００に発行された電子証明書に含まれる鍵所有者の値は、端末２００の所有者の本人確認情報と無関係である端末２００の識別情報である。

　このような所有者同一性確認システム１０によれば、所有者の本人確認情報を含まないワンタイム証明書を用いて、２つの端末２００の所有者が同一であるか否かを判定できる。このため、端末２００は、相手の端末２００の認証局サーバ１００に自身の所有者の本人確認情報を漏らすことなく、所有者の同一性を確認できるようになる。

　本実施形態に係る所有者同一性確認システム１０において、端末２００が送信した確認要求メッセージは、電子証明書に対応する秘密鍵、および端末２００の型番を示す型番電子証明書に対応する秘密鍵の少なくとも何れか一方の秘密鍵を用いて署名されている。

　このような所有者同一性確認システム１０によれば、認証局サーバ１００は、端末２００の型番（モデル）を取得することができる。このため、認証局サーバ１００の運用者は、サービス改善のための情報を得ることができる。

１０　　所有者同一性確認システム
１００，１００Ａ，１００Ｂ　認証局サーバ
１１１　電子証明書発行部
１１２　確認受付部
１１３　確認応答部
１３０　電子証明書データベース
２００，２００Ａ，２００Ｂ　端末
２１１　電子証明書要求部
２１２　端末認証部
２１３　確認要求開始部
２１４　確認要求開始応答部
２１５　確認要求部
２１６　確認要求転送部
２１７　確認応答転送部
２１８　同一性判断部
２２２　本人確認情報

Claims

　複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムであって、
　前記端末は、
　当該端末の所有者の本人確認情報を記憶する記憶部と、
　当該端末の所有者の本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、所有者同一性確認の対象となる相手端末の電子証明書と、当該公開鍵とを含む確認要求メッセージを、当該相手端末に電子証明書を発行した認証局サーバに送信する確認要求部と、を備え、
　前記相手端末に電子証明書を発行した認証局サーバは、
　当該相手端末に発行した電子証明書と、当該相手端末の所有者の本人確認情報とを関連付けて記憶する記憶部と、
　前記確認要求メッセージを受信すると、当該相手端末の電子証明書から当該相手端末の所有者の本人確認情報を取得して、前記公開鍵で当該本人確認情報を暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記端末に返信する確認応答部と、を備え、
　前記端末は、
　前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、当該端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断する同一性判断部をさらに備える
　ことを特徴とする所有者同一性確認システム。
　前記本人確認情報は、１つ以上の項目から構成され、
　前記確認要求部は、前記１つ以上の項目のなかから選択された同一性を確認する項目についての本人確認情報を前記公開鍵で暗号化して前記暗号化情報を計算し、当該項目を前記確認要求メッセージに含めて送信し、
　前記確認応答部は、前記相手端末の所有者の当該項目についての本人確認情報を前記公開鍵で暗号化した前記暗号文を生成したうえで、前記返信暗号化情報を計算して返信し、
　前記同一性判断部は、当該返信暗号化情報を復号し、その結果が前記所定値と一致するか否かで、前記端末の所有者の当該項目についての本人確認情報と、前記相手端末の所有者の当該項目についての本人確認情報とが一致するか否かを判断する
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　前記準同型暗号であるＥは、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１＋Ｍ２）を満たす準同型暗号であって、
　前記確認要求部は、前記端末の所有者の本人確認情報Ｖ１に対してＥ（Ｖ１）を前記暗号化情報として送信し、
　前記確認応答部は、前記相手端末の所有者の本人確認情報Ｖ２に対して乱数ｒを生成して、Ｅ（Ｖ１）^ｒ×Ｅ（Ｖ２）^－ｒを前記返信暗号化情報として返信し、
　前記同一性判断部は、当該返信暗号化情報の復号結果が、前記所定値である０であるか否かで、Ｖ１とＶ２とが一致するか否かを判断する
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　前記準同型暗号であるＥは、平文Ｍ１，Ｍ２に対して、Ｅ（Ｍ１）×Ｅ（Ｍ２）＝Ｅ（Ｍ１×Ｍ２）を満たす準同型暗号であって、
　前記確認要求部は、前記端末の所有者の本人確認情報Ｖ１に対してＥ（Ｖ１）を前記暗号化情報として送信し、
　前記確認応答部は、前記相手端末の所有者の本人確認情報Ｖ２に対して乱数ｒを生成して、Ｅ（Ｖ１）^ｒ×Ｅ（Ｖ２）^－ｒを前記返信暗号化情報として返信し、
　前記同一性判断部は、当該返信暗号化情報の復号結果が、前記所定値である１であるか否かで、Ｖ１とＶ２とが一致するか否かを判断する
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　前記確認要求部は、前記相手端末を介して前記確認要求メッセージを、当該相手端末に電子証明書を発行した認証局サーバに送信し、
　前記確認応答部は、前記相手端末を介して前記確認応答メッセージを、前記端末に送信する
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　前記端末に発行された電子証明書に含まれる鍵所有者の値は、当該端末の所有者の本人確認情報と無関係である当該端末の識別情報である
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　前記端末が送信した確認要求メッセージは、前記電子証明書に対応する秘密鍵、および当該端末の型番を示す型番電子証明書に対応する秘密鍵の少なくとも何れか一方の秘密鍵を用いて署名されている
　ことを特徴とする請求項１に記載の所有者同一性確認システム。
　複数の端末と、複数の認証局サーバとを含んで構成される所有者同一性確認システムの所有者同一性確認方法であって、
　前記端末は、
　当該端末の所有者の本人確認情報を記憶する記憶部を備え、
　当該端末の所有者の本人確認情報を準同型暗号の公開鍵で暗号化した暗号化情報と、所有者同一性確認の対象となる相手端末の電子証明書と、当該公開鍵とを含む確認要求メッセージを、当該相手端末に電子証明書を発行した認証局サーバに送信するステップを実行し、
　前記相手端末に電子証明書を発行した認証局サーバは、
　当該相手端末に発行した電子証明書と、当該相手端末の所有者の本人確認情報とを関連付けて記憶する記憶部を備え、
　前記確認要求メッセージを受信すると、当該相手端末の電子証明書から当該相手端末の所有者の本人確認情報を取得して、前記公開鍵で当該本人確認情報を暗号化した暗号文と、前記暗号化情報とを、前記準同型暗号に応じた演算で計算した結果である返信暗号化情報を含む確認応答メッセージを、前記端末に返信するステップを実行し、
　前記端末は、
　前記返信暗号化情報を復号し、その結果が所定値と一致するか否かで、当該端末の所有者の本人確認情報と、前記相手端末の所有者の本人確認情報とが一致するか否かを判断するステップをさらに実行する
　ことを特徴とする所有者同一性確認方法。