アクセス制御装置及びユーザ端末及びプログラム
【課題】 追跡不能性と計算量の低減とを両立させ、ユビキタス計算環境において、実用的なアクセス制御を可能とすることである。
【解決手段】公開鍵と個人鍵(署名鍵)が一対一に対応する通常の構成による高速な署名方式を利用しつつ、ユーザ・エージェント手段が署名を乱数化する作用を加えることより追跡不能性を実現している。認証の健全性を保証するために、選択メッセージ攻撃に対して偽造不能性を有する一般的な署名方式を採用する。また、ユーザ・エージェント手段によって乱数化された電子署名は、署名の検証式により定義される曲面上を一様に分布することから、署名であるという事実以外の情報を含み得ない。したがって、ユーザの行動について追跡することは不可能となる。
【解決手段】公開鍵と個人鍵(署名鍵)が一対一に対応する通常の構成による高速な署名方式を利用しつつ、ユーザ・エージェント手段が署名を乱数化する作用を加えることより追跡不能性を実現している。認証の健全性を保証するために、選択メッセージ攻撃に対して偽造不能性を有する一般的な署名方式を採用する。また、ユーザ・エージェント手段によって乱数化された電子署名は、署名の検証式により定義される曲面上を一様に分布することから、署名であるという事実以外の情報を含み得ない。したがって、ユーザの行動について追跡することは不可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、近年、発展が著しいユビキタス計算環境におけるシームレスなアクセス環境において、ユーザをシステムによる追跡から保護する追跡を制限したアクセス制御技術に関する。
【背景技術】
【0002】
従来の技術を3種類説明する。
【0003】
第1:ICカード
第1番目の従来技術として、住民基本台帳ネットワークや電子マネー等におけるICカードの利用について説明する。
【0004】
住民基本台帳ネットワークや電子マネーにおいて利用されるICカードは、ISO7816等の規格によって形状・寸法・通信方法・基本コマンド等が規定されており、マイクロコンピュータと暗号計算のためのコプロセッサと計算及び記録のためのメモリを内蔵したICチップ(以下では、単なるメモリであるICチップと区別するために、スマートチップと呼ぶ)を具備する。
【0005】
ICカードのアクセス制御
このスマートチップ内のメモリへのアクセスは、マイクロコンピュータによって制御される他、正規の通信を介さない不正なアクセス、例えば、プローブ(針刺し)に対して
も実装によって対抗する。この特性を耐タンパー特性と呼ぶ。
【0006】
即ち、上記の耐タンパー特性と、マイクロコンピュータ及び暗号計算コプロセッサにより内部で計算を完結する能力とにより、安全な計算環境を提供している。
【0007】
スマートチップの設計
さて、スマートチップの設計に当たっては、安全性を脅かす最も強力な脅威として、ICカードを保持するユーザ本人を想定している。即ち、ICカードはユーザに帰属するものであるが故に、このユーザがICカードに対して任意に攻撃を行うことが可能であるからである。
【0008】
電子マネー
これは、電子マネーの例を見れば明瞭に理解できる。即ち、スマートチップ中に記録されている電子マネーのデータを改竄することにより、ユーザは莫大な経済的利益を得ることが期待され、スマートチップに対して攻撃を行う顕著な動機が存在する。住民基本台帳カードのようなアイ・ディー(ID)カードにおいても、このような動機付けが存在する。
【0009】
このように、ICカード中のスマートチップは、ICカードの所有者であるユーザから、機密のデータを保護することを目的としている。別の言い方をするならば、スマートチップは、ユーザに所持され、携行されるものの、実体としてはユーザに対抗する装置であると考えることができる。
【0010】
この事実を、ユーザの立場から考えると、特にプライバシーの観点から、スマートチップは獅子身中の虫、或いは、Big Brother に等しい存在であるといえる。実際、コンビニエンスストア等で電子マネーカードを使用する都度、ユーザのIDがネットワークを通じてサーバに送信され、IDを元にユーザの残高情報が参照され、決済の可否が判断される。このIDを、店舗情報や購入した品物の情報と共にログとして記録しておけば(実際に、個人情報保護の下に厳重な管理の下記録されている)、IDをタグとしてユーザの行動を追跡することが可能となる。もちろん、そのような行動の記録は厳重に管理され、外部に漏らされることはないようにされている。
【0011】
住民基本台帳
一方、住民基本台帳カードの基本機能は電子署名であり、電子署名は明示的に検証可能である。したがって、「ユーザが望まない情報が電子署名中に含まれない」という事項は、一見、電子署名を検証することにより確認できるとも考えられる。
【0012】
しかしながら、この思い込みは実際には正しくないのである。近年の電子署名は、選択メッセージ攻撃に対する証明可能安全性を求めるため、電子署名自体に乱数を含む構成となっている。例えば、Schnorr署名は、(R;s)という数のペアから構成されるが、Rとsはそれぞれ以下のように計算される。
【0013】
【数1】
ここで、pは十分に大きな素数、qは
【数2】
を満足する最小の自然数であり、かつ、素数であるとする。また、xはスマートチップに内蔵される個人鍵であり、SHAは暗号学的一方向ハッシュ関数SHA(Secure Hash Algorithm)であるとする。
【0014】
正しいスマートチップは、Schnorr 署名(R;s)を生成するに当たり、一様にランダムにrを生成するが、不正なスマートチップは、rに関して固有の分布によることにより、ユーザが仮に署名を検査したとしても検知されないように、秘密の情報を符号化することが可能となる。
【0015】
以下、例を挙げてこれを説明する。
【0016】
例えば、スマートチップが個別の識別子を有しており、異なる識別子のスマートチップは異なる領域からrをランダムに選ぶとすると、この領域を知っている攻撃者はRを検査することにより、スマートカードの識別子を知ることが可能となる。
【0017】
一方、ユーザは(R;s)を検査しても不正を発見することはできない。これは、rの領域が十分に広ければ、特定の領域からrが選択されていることを検知することが困難だからである。
【0018】
本発明では、ユーザによるアクセス権限の横流しを防止する目的で、スマートチップのような耐タンパー特性を備えた処理装置を仮定する。即ち、当該処理装置中にアクセス権限を表現するデータを記録することにより、ユーザが当該アクセス権限データのコピーを作成して、他のユーザに横流しする攻撃を防止する。しかしながら、これまでに述べたように、耐タンパー処理装置、即ち、スマートチップの利用は、ユーザの手許においてユーザのプライバシーがユーザに検知されずに漏洩される危険を孕んでおり、プライバシーの保護、又は、追跡の防止の観点からは、この問題の解決は不可避である。
【0019】
第2:下位通信層レベルにおける追跡
第2の従来技術として、OSI(Open Systems Interconnection) 参照モデルにおける下位通信層、即ち、セッション層、トランスポート層、ネットワーク(IP) 層、データリンク層における通信を追跡不能とする技術について述べる。
【0020】
これらの下位通信層では、IPアドレスやMACアドレス等のアドレスを手がかりにパケットやデータグラムを配達するので、対策を施さない限り、これらのアドレスをユーザの追跡に利用することが可能となる。
【0021】
下位の通信層において、ユーザを追跡から保護する方法は、その性質によって、理論的追跡不能性とシステム依存追跡不能性のいずれかに分類することが可能である。理論的追跡不能性においては、下位通信層が仮に何らかのアドレスをパケットの配達に利用するとしても、そのアドレスをユーザの追跡に利用できないことが理論的に演繹できるレベルの安全性を指す。以下に述べるように、仮名アドレスを用いる手法と、ブロードキャスト通信を用いる手法が知られている。
【0022】
一方、システム依存追跡不能性においては、下位通信層は、ユーザの追跡に利用できるアドレスを用いてパケットの配達を行うが、機能としてアドレスを上位のアプリケーションから秘匿するレベルの安全性を指す。即ち、実際の安全性は下位通信層の信頼性に依存する。
【0023】
さて、上述した仮名アドレスを用いた追跡不能通信とは、ユーザが動的に選択したアドレスを利用することで、追跡不能性を実現しようとする通信方式であり、赤外線通信やスマートカードにおいて実現性がある。
【0024】
例えば、IrDA (Infrared Data Association)の通信規約であるIrLAP (Infrared Link Access Protocol)や、NFC (Near Field Communication) の通信規約であるISO/IEC 18092 では、アドレスの衝突を回避するメカニズム(address collision avoidance mechanisms)を規定している。
【0025】
IrDAは赤外線通信の規格であり、NFCは、Type Cと呼ばれる非接触型ICカードのために開発された通信方式を、10cmの距離で100〜400kbpsの伝送速度を提供する近接通信に汎化した規格である。IrDAやNFCでは、少数のノード間の通信を想定しており、通信の都度、動的にアドレスを決定しても衝突が発生する確率は小さい。
【0026】
従って、ワールドワイドで非衝突性を保証するようにアドレスを静的にデバイスに割り当てる方法(MACアドレスに適用されている方法)は、オーバーヘッドが大きいだけで効果を得る機会は少ない。逆に、接続の都度、動的にアドレスを生成するようにして、衝突が発生したときにアドレスを変更して衝突を回避する手段を講じる方が効果的である。
【0027】
Type A、Type Bの非接触型ICカードの通信規約であるISO/IEC 14443でも、動的にアドレスを生成して利用する仕様となっている。
【0028】
このように、赤外線通信、及び、非接触型IC カード通信では、証明者は自らのアドレスを動的に決定する自由度を有しているので、仮名アドレスを適当なタイミングで更新する(例えば、セッションの更新の都度)ことで、演繹可能な追跡不能性を実現することが可能となる。
【0029】
動的に仮名アドレスを生成する手法は、衝突回避メカニズムが存在しないIP通信層やデータリンク層にも適用可能できる可能性はある。即ち、IPアドレスとMACアドレスを動的に生成して、仮名アドレスとして利用するのである。
【0030】
但し、アドレスの衝突回避メカニズムを伴わないため、LANのような大規模なネットワークに適用すると、アドレスが衝突する危険が高まることに注意しなければならない。例えば、仮名アドレスに利用できるMACアドレスの有効長は3バイトであるので、Birthday Problemの理論から、nユーザの間で衝突が発生する確率は約
【数3】
となる。これは、ネットワークに581以上のデバイス(NIC等)が同時に存在すると、1/100より大きい危険率で衝突が発生することを意味し、また、危険率を1/10まで許容しても、許容されるデバイス数は1,880程度である。この数値が大きいと考えるか小さいと考えるかは、適用場面に依存するが、衝突が発生することは想定しなければならない。
【0031】
Ethernet(登録商標)のように、アドレスの衝突が発生しても、パケットが喪失することはなく、配達が重複するのみであることが仮定できれば、アプリケーション側で衝突に対応することができる。但し、アドレスが衝突している他のデバイスに宛てたパケットも混在するため、アプリケーションは、下位の通信スタックから渡されるペイロードを検査して、自分宛のペイロードを取捨できる必要がある。
【0032】
ブロードキャスト通信も、追跡不能性を実現する目的に利用することができる。255.255.255.255 はIP アドレスにおけるブロードキャスト・アドレス(broadcast address)であり、FF:FF:FF:FF:FF:FF:FF:FF はMAC アドレスにおけるブロードキャスト・アドレスである。例えば、証明者は、パケットを送信する際、ブロードキャスト・アドレスをパケットのSourceフィールドに指定するものとする。
【0033】
このようなパケットを受信した検証者は、Sourceフィールドを含むパケットヘッダを根拠に、送信者を特定することはできないだけではなく、それ以前に受信したパケットとリンクすることもできない。
【0034】
一方、検証者が返信を行う際には、ブロードキャストでパケットを送信する。ブロードキャストされたパケットから、証明者が自分宛のパケットを選択できるためには、パケットのペイロードにそのための情報が指定されなければならない。加えて、ブロードキャスト通信では検証者は証明者とTCPセッションを構成できないので、本来ならばTCPスタックが提供している通信の信頼性はアプリケーション層でサポートする必要がある。
【0035】
インターネット・プロキシによりIPアドレスを隠蔽したウェブアクセスが可能であることは知られている。また、NAT或いはNATPをサポートするルータは、プライベートIPアドレスとルータのグローバルIPアドレスの変換を行う。このように、インターネット・プロキシやある種のルータは、通信において仮名アドレスによる通信を提供している。
【0036】
しかしながら、実際のユーザの追跡不能性は、プロキシとルータの信頼性に依存している。極端な例では、プロキシはウェブサイトと共謀している可能性もあるし、ルータの管理者がユーザによるアクセスを追跡している可能性もある。このように、インターネット・プロキシやルータを用いた仮名通信は理論的追跡不能性をサポートせず、下位通信層の信頼性に依存するシステム依存追跡不能性をサポートするに留まる。
【0037】
以上、述べたように、アプリケーション層より下位の通信層では、追跡を防止する技術は一応存在する。しかしながら、サービスへのアクセス制御は、アプリケーション層において要求される機能であり、仮に下位の通信層で追跡不能性を実現したとしても、例えば、アクセスコントロールリスト(ACL)のような従来技術を用いてアプリケーション層においてアクセス制御を行う場合には、ユーザの識別と認証を行わなければならず、総体としての追跡不能性が損なわれる。
【0038】
即ち、アプリケーション層において追跡不能性を提供するアクセス制御技術がのぞまれているのである。
【0039】
第3:グループ署名
第3の従来の技術として、アプリケーション層で利用可能な、追跡不能認証技術である、グループ署名について説明する。
【0040】
グループ署名は、以下の特徴を備えた署名方式である。
【0041】
(1)グループのメンバーはグループを代表して、任意に署名を生成することができる。
【0042】
(2)グループの公開鍵(グループ公開鍵)にアクセスできる誰でもが署名を検証することが可能であるが、検証により署名者の身許が明らかになることはない。
【0043】
(3)逆に、グループの管理者(TGA)は、署名から署名者を特定することが可能であり、紛争等、必要に応じて署名者の身許を特定する。
【0044】
オークションにおけるグループ署名
このようなグループ署名は電子オークションや匿名注文システム等に応用がある。例えば、電子オークションでは、以下のような手続きを行い、オークションの参加者のプライバシーを守りつつ、不正な参加者を排除している。
【0045】
(1)入札者(bidder)はオークションの開催者が管理するグループに登録し、グループ署名用の個人鍵(グループ署名鍵)を生成する。
【0046】
(2)入札者は入札時に入札金額等を記載したデータにグループ署名を施して申し込みを行う。
【0047】
(3)出品者はグループ署名を検証することにより、入札資格者による申し込みであることを検証できるが、入札者の身許を知ることはできない。
【0048】
(4)オークション成立後は、開催者は入札の署名から落札者の身許を明らかにし、品物の配送や決済を行う。
【0049】
さて、グループ署名のスキームは、以下に述べる、準備、加入、署名、検証、及び、開示の各フェーズから構成される。
【0050】
「準備」のフェーズでは、TGAはグループの公開鍵ペアを生成する。公開鍵ペアの個人鍵はTGAの鍵として安全に保管する。
【0051】
「加入」のフェーズでは、ユーザは、TGAと協力してグループ署名鍵を生成し、グループに参加する。
【0052】
「署名」のフェーズでは、グループのメンバーは、グループ公開鍵と自身のグループ署名鍵を用いて、任意のメッセージに署名する。
【0053】
「検証」のフェーズでは、検証者は、メンバーが生成した署名を検証するために、グループ公開鍵のみを用いる。
【0054】
「開示」のフェーズでは、TGAは、グループ公開鍵ペアを用いて、署名を生成したメンバーを特定する。
【0055】
Ateniese、Camenisch、Joye とTsudik 等が2002年に発表したグループ署名方式は、証明可能な安全性を有するグループ署名方式としては従前の方式に比較して効率的であったが、それでも署名の生成や検証に必要な計算量が大きいという問題があった。このため、Ateniese 等による提案以降、グループ署名の計算量を軽減し、計算効率を向上させようとする試みがなされており、古川・今井が発表しているグループ署名の方式等、複数の方式が現時点で最も効率がよいと評価されている(下記非特許文献1)。
【0056】
しかしながら、古川・今井のグループ署名方式(非特許文献1)でも、アクセス頻度が飛躍的に増大するユビキタス計算環境に適用するには、まだ計算量が大きい。実際、Pentium(登録商標)4 3.2GHzを搭載したPCを用いて、192ビット長標数の素体上に定義された楕円曲線のスカラー倍演算の実行時間を実測し、その計測値をもとに古川・今井のグループ署名方式の実行時間を推定したところ、一回の署名の生成と検証に要する合計時間は約600ミリ秒と計算された。現実の適用においては、ユーザが携帯する端末或いはデバイスは計算能力が制限されるので、上記の数倍程度は時間がかかることが予想される。即ち、実際の実行時間は少なくとも2秒程度にはなるものと想定される。
【0057】
これまで記したように、アプリケーション層における追跡不能認証の従来技術であるグループ署名では、ユビキタス計算環境への適用では十分な効率を有しないという問題があることが理解されよう。
【0058】
更に、グループ署名の第二の問題点として、グループ管理者は常に生成された電子署名から署名者を特定することができる絶対的な特権者として機能することがある。この特権者の存在は、多くのアクセスがシームレス、かつ、透過的に行われるユビキタス計算環境においては、結局、ユーザの行動を監視する絶対的な検閲者が存在することを意味しているに他ならず、望ましい環境とは言い難い。
【0059】
ユビキタス計算環境においてシステムによる追跡・検閲を回避するためには、アクセスの追跡不能性或いは匿名性が保証されるべきであるが、機密性を有していたり、管理が必要であるような資源へのアクセス、また、保安上の理由により監視が必要なサービスへのアクセスにおいては、ユーザの匿名性を最優先にさせるわけにはいかない場合が存在する。
【0060】
一方、システム側の要求を優先させると、検閲が正当化されてしまう。
【0061】
この問題に対する最適な解決は、以下のような要件を満たすことによって達成できると考えられる。
【0062】
第一に重要な要件は、情報の開示は必ずユーザの明示的な同意に基づくとし、かつ、情報の開示はサービスや資源へのアクセスと引き換えで行われるという要件である。
【0063】
第二に重要な要件は、開示される情報が、ユーザが同意した範囲に限られるという要件である。
【0064】
従来のグループ署名は、上記のユビキタス計算環境におけるプライバシー保護と合理的な追跡のバランスに対する要件を満足しないという問題がある。
【0065】
先行特許文献
下記特許文献1には、匿名認証の認証データを画像データを用いて送受信する手法が記載されている。この記載によれば、認証データを送受信できる匿名通信路を、簡易に実現可能であるとされている。
【0066】
また、下記特許文献2には、簡易な構成で匿名認証を実現できる装置が開示されている。
【0067】
また、下記特許文献3には、タンパー装置が取り付けられた利用者端末の利用が開示されている。
【0068】
また、下記特許文献4には、個人の生体的特徴が外部に洩れるのを防止するために、タンパー手段を設けた携帯端末が開示されている。
【0069】
また、下記特許文献5には、電子証明書の盗難を防止し、組織として電子署名した電子データであることを保証できる電子署名システムが記載されている。
【0070】
また、下記非特許文献1には、匿名性を有するグループ署名の手法が開示されている。
【0071】
【特許文献1】特開2006−293472号公報
【特許文献2】特開2005−5778号公報
【特許文献3】特開2004−320562号公報
【特許文献4】特開2002−358488号公報
【特許文献5】特開2003−304243号公報
【非特許文献1】J. Furukawa and H. Imai. An efficient group signature scheme from bilinear maps. In ACISP 2005, pages 455 467, 2005.
【発明の開示】
【発明が解決しようとする課題】
【0072】
本発明が解決しようとする第1の課題は、追跡不能性と計算量の低減とを両立させ、ユビキタス計算環境において、実用的なアクセス制御を可能とすることである。
【0073】
また、本発明が解決しようとする第2の課題は、機密管理や保安等の合理的な目的のためにシステムがユーザの追跡情報を収集する機能を、ユーザによる明示的な同意が存在し、かつ、ユーザが開示に同意した範囲の情報に限って行うように実現することである。
【課題を解決するための手段】
【0074】
本発明においては、第1の課題を解決し、追跡不能性と実用的な計算量を両立させるために、グループ署名のように単一の公開鍵に対して複数の個人鍵(署名鍵)を対応させる構成により追跡不能性を実現するのではなく、公開鍵と個人鍵(署名鍵)が一対一に対応する通常の構成による高速な署名方式を利用し、耐タンパー特性を有するプロバイダ・エージェント手段がユーザの干渉を受けることなく署名を生成することで、認証の正確性と高速化を両立させる一方、ユーザ・エージェント手段が署名を乱数化する作用を加えることより追跡不能性を実現している点を特徴とする。
【0075】
認証の健全性を保証するために、本発明で利用する署名方式として、選択メッセージ攻撃に対して偽造不能性を有する署名方式を採用している。上記性質を満足する署名方式は従来から広く知られているので、それらを利用すればよい。例えば、RSA−PSSやDSA等、近年広く用いられている署名方式がある。
【0076】
ユーザ・エージェント手段によって乱数化された電子署名は、署名の検証式により定義される曲面上で常に同じ分布で存在することから、署名であるという事実以外の情報を含み得ない。
【0077】
また、第2の課題を解決するために、本発明では、検証手段が情報の開示を求めた場合において、ユーザ・エージェント手段がユーザの意図が反映するようにその可否を判断する。例えば、ユーザ・エージェント手段は、ユーザインタフェースを介してユーザに可否の判断を求める、ユーザが事前に記述した設定ファイルの記載に従って可否の判断を行う等の機能を有する。追跡情報の開示を拒否する場合には、ユーザ・エージェント手段は、単に通信を遮断する、或いは、プロバイダ・エージェント手段による電子署名を前述のように乱数化し、追跡情報を含むいかなる情報も含まないように変換してから検証手段に出力する等の手段をとる。
【0078】
また、ユーザ・エージェント装置が追跡情報の開示を許諾した場合でも、プロバイダ・エージェント装置が出力する署名中にユーザ・エージェント装置が入力する追跡情報の暗号化以外のデータが含まれないことを、ユーザ・エージェント装置が検証した後、出力を乱数化する。この結果、この場合においても追跡不能性を実現している。このように、本発明においては、計算量の軽減と追跡不能性とを両立させつつ、上述した第2の課題を解決している。
【0079】
以下、本発明を具体的に述べれば、以下の通りとなる。
【0080】
(1)まず、本発明は、上記課題を解決するために、ユーザによるサービスや資源へのアクセスを制御するアクセス制御装置において、アクセス権限の認証のために、電子署名の検証処理を実行する検証手段と、耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、前記検証手段に出力するユーザ・エージェント手段と、を含み、前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするアクセス制御装置である。
【0081】
(2)また、本発明は、上記課題を解決するために、アクセス権限の認証のために、電子署名の検証処理を実行する外部の検証手段と、所定の通信を行い、所定のサービスに対するアクセス権限の認証を得るユーザ端末において、耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、外部の前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、外部の前記検証手段に出力するユーザ・エージェント手段と、を含み、外部の前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするユーザ端末である。
【0082】
(3)また、本発明は、コンピュータを、上記(1)又は(2)記載のユーザエージェント手段として動作させるプログラムにおいて、前記コンピュータに、前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介する手順と、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からのデータを乱数化する手順と、前記乱数化したデータを、前記検証手段に出力する手順と、を実行させることを特徴とするプログラムである。
【0083】
(4)また、本発明は、前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする(1)に記載のアクセス制御装置。
【0084】
(5)また、本発明は、前記ユーザ・エージェント手段と前記プロバイダ・エージェント手段とが、前記ユーザが所持する同一のユーザ端末中に具備されることを特徴とする(1)に記載のアクセス制御装置である。
【0085】
(6)また、本発明は、前記ユーザ・エージェント手段は、ユーザがダウンロード可能なプログラムであることを特徴とする(5)に記載のアクセス制御装置である。
【0086】
(7)また、本発明は、前記プロバイダ・エージェント手段は、ユーザ端末中に装着されるIC チップであることを特徴とする(5)に記載のアクセス制御装置である。
【0087】
(8)また、本発明は、前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成されることを特徴とする(5)に記載のアクセス制御装置である。
【0088】
(9)また、本発明は、前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着されるIC チップであることを特徴とする(5)に記載のアクセス制御装置である
(10)また、本発明は、前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成され、前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着される耐タンパー処理装置であることを特徴とする(5)に記載のアクセス制御装置である。
【0089】
(11)また、本発明は、前記検証手段が所定のシグナルを送信して前記ユーザの追跡情報の開示を求めた場合、 前記ユーザ・エージェント手段は、前記シグナルを受信して情報の開示の可否を判断し、情報開示を許可する場合に限り開示するべき情報を前記プロバイダ・エージェント手段に入力し、前記プロバイダ・エージェント手段は、入力された前記開示情報を特権秘密鍵を保有する者のみが復号できるように暗号化して、電子署名とともに出力し、前記ユーザ・エージェント手段は、前記プロバイダ・エージェント手段による暗号化が前記開示情報以外を含んでいないことを検査し、前記開示情報以外の情報が暗号化されている場合には通信を遮断し、前記開示情報のみが暗号化されている場合には、前記追跡情報が含まれ、かつ、署名の検証式を満たすという特性を除いて、常に同一の分布を取るように前記プロバイダ・エージェント手段の出力を乱数化して前記検証手段に出力することを特徴とする(8)から(10)に記載のいずれかのアクセス制御装置である。
【0090】
ここで、特権秘密鍵とは、追跡情報の暗号を復号するための鍵をいう。後述する実施の形態では、公開鍵ペアの個人鍵、すなわちアクセスIDと秘密鍵との算術和に等しい例を示しているが、発明としては、必ずしも同一である必要はない。
【0091】
(12)また、本発明は、上記(11)に記載のアクセス制御装置において、情報の開示の可否をユーザから入力するユーザインタフェース、を備え、前記ユーザ・エージェント手段は、前記ユーザが該ユーザインタフェースを介して入力した指示に従って、情報の開示の可否を判断することを特徴とするアクセス制御装置である。
【0092】
(13)また、本発明は、上記(4)に記載のアクセス制御装置において、前記ユーザが内容を指定する情報の開示の可否の判断の基準となる設定ファイルを格納した記憶手段、を備え、前記ユーザ・エージェント手段は、前記記憶手段中の前記設定ファイルの記載に基づき、情報の開示の可否を判断することを特徴とするアクセス制御装置である。
【0093】
(14)また、本発明は、ユーザ・エージェント手段は、前記設定ファイル中の記載に基づき、サービス毎に情報の開示の可否を判断することを特徴とする(13)に記載のアクセス制御装置。
【0094】
(15)また、本発明は、サービス毎に定まる一対の公開鍵ペアに対し、前記検証手段は、前記プロバイダ・エージェント手段が生成する電子署名の検証に前記公開鍵ペアのうち公開鍵を利用し、前記プロバイダ・エージェント手段は電子署名の生成に安全に保持する秘密鍵を利用し、 更に、該秘密鍵は前記公開鍵ペアの個人鍵の一部であって、かつ、前記プロバイダ・エージェント手段毎に一意であることにより、特権秘密鍵を保有しない者は二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とする(1)〜(11)のいずれか1項に記載のアクセス制御装置である。
【0095】
(16)また、本発明は、(1)〜(14)のいずれか1項に記載のアクセス制御装置において、前記検証手段は、サービス毎に定まる一対の公開鍵ペア中の公開鍵を利用して、前記プロバイダ・エージェント手段が生成する電子署名の検証を行い、前記プロバイダ・エージェント手段は、前記公開鍵ペア中の個人鍵の一部である秘密鍵であって、前記プロバイダ・エージェント手段毎に一意に定められた前記秘密鍵を用いて、電子署名の生成を行い、前記特権秘密鍵を保有しない者は所定の二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、前記特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とするアクセス制御装置である。
【0096】
なお、前記公開鍵ペア中の公開鍵とは、いわば権限の検証鍵である。この鍵は、権限検証者によって用いられ、ユーザに所定のサービスを受ける権限があるかどうか確認に用いられる。
【0097】
また、プロバイダエージェント手段が利用する秘密鍵は、前記公開鍵ペアにおいて、検証の目的に使用される公開鍵とペアをなす個人鍵の一部分であり、後述する実施の形態において、アクセスIDとの和が前記個人鍵となる成分が、好ましい一例に相当する。
【0098】
また、個人鍵と特権秘密鍵とは同一であってもよい。
【0099】
(17)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術和に分解した際の、一方であることを特徴とするアクセス制御装置である。
【0100】
(18)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術積に分解した際の、一方であることを特徴とするアクセス制御装置である。
【0101】
(19)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を所定の算術演算によって二つの成分に分解した一方であることを特徴とするアクセス制御装置である。
【0102】
(20)また、本発明は、(17)〜(19)のいずれか1項に記載のアクセス制御装置において、前記ユーザエージェント手段は、アクセスIDとして、前記個人鍵を分解した他方のデータが供給され、前記ユーザエージェント手段は、そのアクセスIDを乱数化して前記検証手段に送信することを特徴とするアクセス制御装置である。
【0103】
ここで、アクセスIDとは、アクセス識別子とも呼ばれる。
【0104】
(21)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵を補完して前記公開鍵ペアの個人鍵を構成する補完部分を、アクセス識別子として前記ユーザ・エージェント手段が保持し、前記ユーザ・エージェント手段は、前記アクセス識別子を用いて前記プロバイダ・エージェント手段の出力を乱数化することを特徴とする上記(15)〜(20)のいずれか1項に記載のアクセス制御装置である。
【0105】
(22)また、本発明は、アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とする発行手段、を含み、前記発行手段は、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする(21)に記載のアクセス制御装置である。
【0106】
(23)また、本発明は、(1)〜(22)のいずれかに記載のアクセス制御装置に対して、サービス権限の発行を行う発行装置において、アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とし、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする権限発行装置である。
【0107】
(24)また、本発明は、前記ユーザ・エージェント手段が前記プロバイダ・エージェント手段に入力する前記開示情報が、前記アクセス識別子、または、前記アクセス識別子を計算するのに十分な情報であることを特徴とする(15)〜(20)のいずれかに記載のアクセス制御装置である。
【0108】
(25)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との和が前記公開鍵ペアの個人鍵と一致することを特徴とする(21)に記載のアクセス制御装置である。
【0109】
(26)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との積が前記公開鍵ペアの個人鍵と一致することを特徴とする(21)に記載のアクセス制御装置である。
【0110】
(27)また、本発明は、前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする(2)のユーザ端末である。
【0111】
(28)また、本発明は、前記乱数化手順における乱数化した出力が、一様な分布であることを特徴とする(3)のプログラムである。
(29)また、本発明は、前記ユーザ・エージェント手段は、ユーザが保持する通信機能を有するユーザ端末上に実装され、前記プロバイダ・エージェントは通信機能を有し、ユーザが保持する別のデバイスとして実装され、両者が互いに通信することで前記機能を実現することを特徴とする(1)のアクセス制御装置である。
【発明の効果】
【0112】
以上述べたように、第1の課題に対する本発明の効果に関しては、本発明では、プロバイダ・エージェント手段とユーザ・エージェント手段が協力して作成する署名データの分布を所定の曲面上で一様に分布させる工夫により、追跡不能性を実現している。
【0113】
また、実施の形態で述べるように、署名の生成及び検証における計算量が従来の技術に比べて減少しているので、より迅速な処理を行うことが可能である。
【0114】
また、第2の課題に対する本発明の効果に関しては、本発明では、ユーザ・エージェント手段はユーザによる直接・間接の指示に基づいて、情報の開示を実施するのみならず、開示するべき情報もユーザ・エージェント手段が指定する。したがって、実際のインプリメントにおいては、ユーザ・エージェント手段は、ユーザが信頼するベンダから取得するソフトウェア、又は、所定のハードウェアで構成されている。その結果、その作用は完全に公開検証が可能であるという性質から、常にユーザの同意に基づいた情報の開示を実現している。
【発明を実施するための最良の形態】
【0115】
以下、図面を用いて、発明の実施の形態を説明する。
【0116】
図1において、ユーザ端末10としては、移動体通信端末(携帯電話)、携帯型計算機(PDA等)、その他の専用端末(アクティブバッジ等)を想定し、環境からサービスの提供を受ける際に、ユーザが常に身に着けて携行するものと想定する。
【0117】
なお、「計算機」と「コンピュータ」とは同様の意味である。
【0118】
また、プロバイダ・エージェント手段200は、いわゆる耐タンパー特性を有する装置である。ここで、耐タンパー特性とは、プロバイダ・エージェント手段200が、その内部に保持されるデータやプログラム、及び、その内部で実行される計算処理が、外部から観察・干渉されない性質を言う。
【0119】
近年、交通機関の定期券や電子マネーに利用されている高セキュリティのICチップは、価格、大きさ、使い易さ、安全性の観点から、将来性が有望視される耐タンパーH/Wである。
【0120】
また、ユーザ端末10が移動体通信端末や携帯型計算機の場合には、プロバイダ・エージェント手段200は、UIM/SIMのように、外部から装着する実装が考えられる一方、アクティブバッジのように、プロバイダ・エージェント手段200がユーザ端末10と一体化している実装を想定することもできる。
【0121】
図1では、ユーザ端末10は移動体通信端末や携帯型計算機であるとし、プロバイダ・エージェント手段200は外部から装着され、ユーザ端末10内の手段と外部装置インタフェース14を介して通信する。
【0122】
ユーザ・エージェント手段300は、ユーザ端末10にインストールされるソフトウェア(プログラム)等で構成することが好ましい。また、外部装置インタフェース14を介したプロバイダ・エージェント手段200との通信は、必ず、ユーザ・エージェント手段300を経由する。また例えば、ユーザ・エージェント手段300はプロバイダ・エージェント手段200のドライバプログラムを含む構成とすることも好適である。
【0123】
さらにそれに加えて、ユーザ端末10は、ユーザ・エージェント手段300と検証手段100との間の通信機能を提供する通信手段13と、情報の開示に関するユーザ・エージェント手段からの問い合わせをユーザが認識できるように表示する表示手段12と、前記問い合わせに対してユーザが情報の開示の可否を指示する入力手段11と、を含む。
【0124】
例えば、通信手段13はEthernet(登録商標)、無線LAN、Bluetooth(登録商標)、IrDA等の通信機能を提供する通信カードから構成することが好ましい。また、表示手段12は液晶ディスプレイ等で構成することが好ましい。また、入力手段11はタッチパネル、操作ボタン、キーボード等で構成することが好ましい。
【0125】
なお、検証手段と、ユーザ・エージェント手段と、プロバイダ・エージェント手段と、を含むシステムを、「アクセス制御装置」と呼ぶ。請求の範囲におけるアクセス制御装置も同様の意味である。
【0126】
図2は、検証手段100の構成を示す。検証手段100は、環境側に存在する計算機(コンピュータ)であり、Windows(登録商標)やLinux(登録商標)等の汎用OSを備える汎用のPC、組み込みOSを備える専用機器のいずれで実現されてもよい。
【0127】
検証手段100は、Ethernet(登録商標)、無線LAN、Bluetooth(登録商標)、IrDA等である通信媒体20を介して、ユーザ端末10内のユーザ・エージェント手段300と通信を行うが、その為に通信手段101を内蔵する。
【0128】
ユーザ・エージェント手段300との通信は、相互接続性を得るために共通の方式に従って符号化されたメッセージを介して実行される。メッセージ解析手段110は、符号化されたメッセージを復号して検証処理に必要なデータを取り出す機能を提供し、メッセージ生成手段111は、計算処理の結果をメッセージに符号化する機能を提供する。
【0129】
更に、検証手段100は、メモリ等の記憶媒体として実現される公開鍵保持手段150、チャレンジ保持手段140、及び、乱数化アクセスID保持手段120を具備し、計算処理に必要な各種データを保持する。
【0130】
また、プロバイダ・エージェント手段200が生成する署名の検証に関わる処理を実行するチャレンジ生成手段131、並びに、レスポンス検証手段141は、ソフトウェア(プログラム)とそれを実行するコンピュータとから構成することが一般的に好適である。また、擬似乱数列を生成する乱数生成手段130は、ソフトウェア(プログラム)とそれを実行するコンピュータで実現しても良いし、組み込みハードウェアで構成することも好ましい。
【0131】
検証手段100は、一般的には環境に埋め込まれたセンサー中の組み込みプログラム(Firmware等)、または、センサーに接続した計算機中のプログラム(およびそれを実行する計算機)である。一つの形態としては、携帯端末にインストールされたプログラム(例えば音楽再生プログラム)であってもよい。
【0132】
図3は、ホスト機器(移動体通信端末、携帯型計算機)に組み込む外部機器を想定して、プロバイダ・エージェント手段200を説明する。
【0133】
ユーザ・エージェント手段300との通信は、プロバイダ・エージェント手段200を実装するICチップ等の外部機器に内蔵されたホスト機器インタフェース201を介して実行される。
【0134】
また、ユーザ・エージェント手段300・検証手段100間の通信の場合と同様に、相互接続性を確立することを目的として、ユーザ・エージェント手段300・プロバイダ・エージェント手段200間で交換されるデータは、予め規定された方式に従って、メッセージに符号化される。ユーザ・エージェント手段300から受信したメッセージを復号してデータを取り出す機能はメッセージ解析手段210により、また、ユーザ・エージェント手段300へ送信するデータを符号化してメッセージを組み立てる機能はメッセージ生成手段211により提供される。
【0135】
更に、プロバイダ・エージェント手段200は、メモリ等の記憶媒体として実現される秘密鍵保持手段220、チャレンジ保持手段230、アクセスID差分保持手段240、署名パラメータ差分保持手段250、及び、署名パラメータ保持手段262を具備し、計算処理に必要なデータを保持する。また、署名の生成に関わる手段として、署名パラメータ生成手段260、レスポンス生成手段270、及び、乱数生成手段261を含む。署名パラメータ生成手段260及びレスポンス生成手段270は、ソフトウェアプログラムとして実現することが一般的であり、擬似乱数列を生成する乱数生成手段261は、ソフトウェアプログラム、組み込みハードウェア、いずれの手段でも現実的に実現である。
【0136】
図4は、ユーザ・エージェント手段300の構成図である。
【0137】
ユーザ・エージェント手段300は、不正なプロバイダ・エージェント手段200がユーザの追跡に寄与する情報を外部に漏洩することを防止することを目的とし、ユーザが自由に選択可能でること、また、プロバイダ・エージェント手段200とは独立に自由に交換可能であることが重要である。
【0138】
このような要件を満足するには、例えば、ユーザ・エージェント手段300をユーザ端末10にユーザが自由にインストールするソフトウェア(プログラム)で実現することが好適である。
【0139】
又は、プロバイダ・エージェント手段200をユーザ端末10に自由に装着する外部機器とする実装が考えられる。
【0140】
ここでは、図4に示しているように、ユーザ端末10を、外部からソフトウェアのインストールが可能なホスト機器(移動体通信端末や携帯型計算機)であり、ユーザ・エージェント手段300はユーザがインストールするソフトウェア(プログラム)で実現されているものとして説明を行う。
【0141】
まず、ユーザ・エージェント手段300と、プロバイダ・エージェント手段200と、の間の通信は、ユーザ端末10が具備する外部装置インタフェース14を介して行われる。また、ユーザ・エージェント手段300と、検証手段100との通信も、同様にユーザ端末10が具備する通信手段13を介して行われるが、先述したように、これらの通信において交換されるデータは、相互接続性を確立するために定められた方法で符号化されたメッセージにより運搬される。
【0142】
このようにメッセージを符号化し、復号する動作は、メッセージ生成手段310と313、及び、メッセージ解析手段311と312によって実行される。ユーザ・エージェント手段300は、検証手段100から追跡情報開示の要求をシグナルとして受信すると、秘密鍵保持手段320によって開示の可否を判断する。図4に示す構成では、秘密鍵保持手段320は、ユーザ端末10が具備する表示手段12を利用して、ユーザに情報開示の要求をユーザが認識できる形式で表示し、入力手段11を利用して、ユーザの判断を取得する。
【0143】
更に、ユーザ・エージェント手段300は、アクセスID保持手段330と、チャレンジ保持手段340と、アクセスID差分保持手段351と、署名パラメータ保持手段360と、及び、署名パラメータ差分保持手段362と、を具備し、計算処理に必要なデータを保持する。これら保持手段は、メモリ等の記憶媒体を用いて構成することが好ましい。
【0144】
また、
・プロバイダ・エージェント手段200が生成する署名の検証、
・検証手段100への出力とするための乱数化、
を実行するために、ユーザ・エージェント手段300は、アクセスID乱数化手段350と、署名パラメータ差分生成手段361と、レスポンス検証手段370と、レスポンス変換手段380と、さらに、乱数生成手段390と、を具備する。
【0145】
具体的な動作例
以下では、検証手段100が情報開示を要求しないケースと、要求するケースとに分けて、この実施の形態における作用を述べる。
【0146】
まず、以下の説明で用いる記号を説明する。まず、
【数4】
は Dicesion Diffie-Hellman 問題の解決が困難であるような加法群とする。例えば、安全に生成された楕円曲線の部分群はこの条件を満足する。また、
【数5】
を
【数6】
の生成点(生成元)であるとし、
【数7】
の位数をnと表す。
【0147】
【数8】
の元
【数9】
を署名検証のための公開鍵とし、σを対応する個人鍵であるとする。即ち、以下の関係が成り立つ。
【数10】
更に、σは、以下の関係(数13)が成り立つように、
【数11】
と
【数12】
とに分解される。
【0148】
【数13】
ここで、
【数14】
及び
【数15】
は、それぞれ、公開鍵保持手段150、アクセスID保持手段330、及び、秘密鍵保持手段220に保持される。
【0149】
ユーザが環境に対して所定のサービスへのアクセスを要求すると、検証手段100は認証を開始するメッセージ(シグナル)をユーザ・エージェント手段300に送付するが、メッセージは復号された後、情報開示判定手段320に送付される。情報開示判定手段320は、検証手段100がユーザの追跡情報の開示を要求しているか否かを判定する。追跡情報の開示が要求されていない場合、アクセスID乱数化手段350は、乱数生成手段390から乱数ρを得て、
【数16】
を乱数化し、
【数17】
を以下のように計算する。
【0150】
【数18】
ここで、乱数ρはアクセスID差分保持手段351に保持され、
【数19】
はメッセージに符号化されて、検証手段100に送付される。
【0151】
検証手段100は、メッセージから復号された
【数20】
を乱数化アクセスID保持手段120に保持した後、チャレンジ生成手段131によりチャレンジcを生成する。この際、チャレンジ生成手段131は、乱数生成手段130を利用する。生成されたチャレンジcは、チャレンジ保持手段140に保持されるとともに、メッセージに符号化されてユーザ・エージェント手段300に送付される。
【0152】
チャレンジcを受信したユーザ・エージェント手段300は、プロバイダ・エージェント手段200に対して署名パラメータWの出力を求める。プロバイダ・エージェント手段200中の署名パラメータ生成手段260は、乱数生成手段261から乱数
【数21】
を取得し、以下の式により署名パラメータWを計算する。
【0153】
【数22】
次いで、乱数
【数23】
を署名パラメータ保持手段262に保存し、署名パラメータWをメッセージに符号化して、ユーザ・エージェント手段300に送付する。ユーザ・エージェント手段300中の署名パラメータ差分生成手段361は、乱数生成手段390を利用して乱数
【数24】
を生成し、署名パラメータ差分保持手段362に保持する。更に、ユーザ・エージェント手段300は、チャレンジ保持手段340に保持しているチャレンジcと、署名パラメータ差分保持手段362に保持している乱数
【数25】
を符号化してメッセージを生成し、このメッセージをプロバイダ・エージェント手段200に送付する。
【0154】
プロバイダ・エージェント手段200は、メッセージを復号し、チャレンジcと、乱数
【数26】
をそれぞれ、チャレンジ保持手段230、及び、署名パラメータ差分保持手段250に保持する。更に、プロバイダ・エージェント手段200中のレスポンス生成手段270は、署名パラメータ保持手段262に保持されている乱数
【数27】
、
署名パラメータ差分保持手段250に保持されている乱数
【数28】
チャレンジ保持手段230に保持されているチャレンジc、及び、秘密鍵保持手段220に保持されている
【数29】
から、以下の式により、レスポンスrを計算する。
【0155】
【数30】
プロバイダ・エージェント手段200は、計算したレスポンスrを符号化してメッセージを生成し、このメッセージを、ユーザ・エージェント手段300に送付する。
【0156】
ユーザ・エージェント手段300中のレスポンス検証手段370は、署名パラメータ保持手段360に保持されているW、署名パラメータ差分保持手段362に保持されている
【数31】
、
チャレンジ保持手段340に保持されているc、及び、アクセスID保持手段330に保持されている
【数32】
を用いて、以下の関係を検証し、関係が検証できない場合には処理を中止する。
【0157】
【数33】
上記の関係が検証できた場合は、後述する計算式から、
【数34】
及び
【数35】
を計算し、符号化してメッセージを作成し、このメッセージを検証手段100に送付する。ここで、上記の計算式とは下記の通りである。
【0158】
【数36】
検証手段100は、メッセージを復号して、
【数37】
と
【数38】
とを取得し、以下の関係が成立するか検査する。
【0159】
【数39】
検査の結果、上記関係が成立した場合、検証手段100は、ユーザがサービスへのアクセス権限を保有しているものと判断し、サービスの提供を許諾するシグナルを出力する。検査の結果、上記関係がが不成立の場合、検証手段100は、ユーザがサービスへのアクセス権限を保有していないものと判断し、サービスの提供を拒否するシグナルを出力する。
【0160】
追跡情報の暗号化
次に、検証手段100が追跡情報の開示を要求している場合の処理について述べる。
【0161】
検証手段100が、認証の開始を通知するメッセージ(シグナル)をユーザ・エージェント手段300に送付すると、ユーザ・エージェント手段300は、同メッセージ(シグナル)を復号後、情報開示判定手段320に送付する。情報開示判定手段320は、入力手段11及び表示手段12を利用して、ユーザから開示の可否の指示を受ける。
【0162】
ユーザが、追跡情報の開示を拒否した場合は、情報開示判定手段320は認証を中止する判定を行い、実際に、ユーザ・エージェント手段300は検証手段100との通信を中止する。
【0163】
一方、ユーザが、追跡情報の開示を許諾した場合は、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200にシグナルを送り、プロバイダ・エージェント手段200から
【数40】
を満足する数
【数41】
を受け取る。但し、
【数42】
は、プロバイダ・エージェント手段200が生成する乱数である。
【0164】
更に、ユーザ・エージェント手段は、乱数
【数43】
を生成し、更に、
【数44】
を計算し、
【数45】
をプロバイダ・エージェント手段200に送付する。
【0165】
プロバイダ・エージェント手段200は、ρを次の式で暗号化し、数eを得る。
【0166】
【数46】
eは、
【数47】
とペアとすることにより、いわゆる、ElGamal 暗号となる。実際、個人鍵σを保持するアクセス権限の発行者、すなわち、
【数48】
を生成する機関は、下式によりρを計算することができる。
【0167】
【数49】
一方、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200が出力したeが正しいρの暗号化であることを検証し、プロバイダ・エージェント手段200が、ユーザ・エージェント手段300(ユーザ)の意図に反して、ρ、従って、
【数50】
以外の情報を外部に開示していないことを検証する必要がある。
【0168】
しかしながら、ユーザ・エージェント手段200は、σを知らないので、eを復号して、ρと一致するかを検査することはできないという問題がある。
【0169】
この問題を解決するために、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200に対して、
【数51】
を送付する。プロバイダ・エージェント手段200は、
【数52】
に対し、後述する式を用いて
【数53】
を計算して、ユーザ・エージェント手段300に出力する。この計算式は、
【数54】
である。
【0170】
ユーザ・エージェント手段300は、関係
【数55】
が成立するかを検査し、もし成立しない場合は、プロバイダ・エージェント手段200が不正な出力を行ったと判断して、認証を中止する。
【0171】
上記検査が有効である理由は、プロバイダ・エージェント手段200が正しくeを計算した場合には、上記関係は必ず成立するのに対し、プロバイダ・エージェント手段200に対して
【数56】
が秘密であるという前提の下で、不正なeが上記関係を満足する確率は1/nに等しく、無視しえるほど小さいからである。
【0172】
ユーザ・エージェント手段300は、eの検証後、
【数57】
に加えて、
【数58】
を検証装置100に送付する。検証装置100は個人鍵σにアクセスできないので、
【数59】
を受け取っても、ρ、即ち、
【数60】
を復号することはできず、従って、ユーザを追跡することはできない。つまり、アクセス権の発行者であり、サービスのオーナーである機関のみが、
【数61】
を復号してユーザを追跡することができる点が重要である。
【0173】
さて、上記手続きには、まだ、問題がある。即ち、ユーザ・エージェント手段300が、eを偽造して、追跡を免れようとする企てを、検証手段100が阻止できなければならない。この目的のためには、プロバイダ・エージェント手段200が、eに対して署名を付与すればよい。
【0174】
例えば、
【数62】
を計算し、
【数63】
を出力するようにすれば、検証手段100が、関係
【数64】
が成り立つことを検証できれば、即ち、電子署名
【数65】
の検証ができれば、r及びsがプロバイダ・エージェント手段200によって生成されたものであることを確認することができる。ρ以外の情報が開示されないことを保証するためには、ユーザ・エージェント手段300が、同じ関係
【数66】
を検査すればよい。
【0175】
【数67】
には、ユーザ・エージェント手段200が生成した乱数
【数68】
が含まれているため、追跡不能であることは、
【数69】
の場合と同様に示される。
【0176】
効果について
以上述べたように、本実施の形態によれば、第1の課題に関し、以下のような効果が得られる。
【0177】
すなわち、プロバイダ・エージェント手段とユーザ・エージェント手段が協力して作成する署名データの分布を所定の曲面上で一様に分布させる工夫により、追跡不能性を実現している。
【0178】
その一方で、現在最も高速なグループ署名とされる古川・今井(非特許文献1)の方式において、署名の生成及び検証における計算量が楕円曲線上でのスカラー倍演算に換算して49回であるのに対し、本実施の形態の方式では、情報を開示しないときには同じ換算で7回、情報を開示するときには21回に相当する計算量を必要とするのみであり、実行効率を改善している。
【0179】
また、本実施の形態によれば、第2の課題に関し、以下のような効果が得られる。
【0180】
すなわち、本実施の形態によれば、ユーザ・エージェント手段は、ユーザによる直接・間接の指示に基づいて、情報の開示を実施するのみならず、開示するべき情報もユーザ・エージェント手段が指定する。実際のインプリメントにおいては、ユーザ・エージェント手段は、ユーザが信頼するベンダから取得するソフトウェア、又は、所定のハードウェアで構成されている。したがって、その作用は完全に公開検証が可能であるという性質から、ユーザの同意に基づく情報の開示を実現している。
【0181】
また、換言すれば、従来のグループ認証では、2者(2プログラム)が強調して処理を行っているのに対して、本実施の形態では、3者(3プログラム)が強調して処理を行った結果、処理速度の向上という効果が得られたものである。
【実施例】
【0182】
本実施の形態にかかるアクセス制御システムを実際に運用した場合の例の説明図が図5に示されている。ここでは、例えば、音楽配信サービスの提供を行うシステムについて説明する。
【0183】
この図において、権限発行者400は、例えば音楽配信サービスを提供する音楽配信サイト、又は、そのサイトから委託を受けてアクセス権限(視聴権限)の発行を行う発行機関・発行サーバである。この権限発行者400は音楽配信サービスに関して、公開鍵410と秘密鍵412と、を作成し、公開鍵410を公開し、秘密鍵412は秘密に保持する。
【0184】
本実施の形態において特徴的なことは、権限発行者400が秘密鍵を算術和に分解していることである。そして、一方をアクセスIDとしてユーザに提供し、他方をそのユーザのユーザ端末に組み込まれている耐タンパー処理装置420に提供する。
【0185】
さて、算術和による分解の仕方はいくらでもありえる。したがって、各ユーザ毎に異なる分解を行うことによって、各ユーザ毎に異なるアクセスIDを発行することが可能である。ユーザ毎に異なるアクセスIDを作成した際に、当然、アクセスIDとの和が個人鍵と一致する秘密鍵もユーザ毎に異なる(図5参照)。この秘密鍵は耐タンパー処理装置420に秘密裏に送られる。具体的には何らかの暗号通信路を用いて耐タンパー装置420に送られ、耐タンパー装置420はこれを内部に保持する。暗号通信路はどのようなものでも良いが、一般的な公開鍵暗号を用いた通信路で秘密鍵を送ることが好ましい。例えば、Diffie-Hellman鍵交換アルゴリズムを適用することが好ましい。 なお、耐タンパー処理装置420は、上述した例でも示したように、ユーザ機器に装着するICカード、SIMカードなどのH/Wで実現されることが好ましい。また、耐タンパー処理装置420は、請求の範囲のプロバイダ・エージェント手段の好適な一例に相当する。
【0186】
なお、本実施例では、算術和を使用したが、他の種類の演算でもかまわない。
【0187】
一方、ユーザ毎に発行されたアクセスIDが、ユーザに提供されることによって、ユーザに音楽配信サービス利用の権限が与えられる。具体的には、ユーザはこのアクセスIDをユーザ機器内部の記憶手段に格納しておく。このアクセスIDは、ユーザがユーザ機器にインストールしたプログラムが利用する。このユーザ機器のコンピュータ(プロセッサ)は、このプログラムを実行することによってユーザ・エージェント手段430が構成される(図5参照)。なお、このプログラムそのものを、便宜上ユーザエージェント手段430と呼ぶ場合もある。
【0188】
ユーザはこのアクセスIDを用いて例えば音楽配信サービスを受けることが出来る。ユーザは例えば自分がダウンロードしたプログラム(ユーザエージェント手段430)にこのアクセスIDを管理させることが可能である。ユーザはユーザ端末(例えば音楽再生機能付き携帯電話)内にこのユーザエージェント手段430をインストールし、音楽配信サービスを受けさせるのである。
【0189】
グループ署名と本実施例
ここで、従来技術であるグループ署名と、本実施例とを対比して説明する。
【0190】
一般的に、電子署名と呼ばれるものは、各ユーザ毎に、公開鍵と、個人鍵(秘密鍵)とを定めている。各個人(例えばA氏)は自分しか知らない個人鍵を用いて署名を生成する。他人は公開されているA氏の公開鍵を用いて、それがA氏の署名であることを確認できる。
【0191】
さて、グループ署名の構成説明図が図6に示されている。グループ署名では、各個人が個人鍵を持っているが、公開鍵は1個だけである。各個人は、自分の(例えばA氏の)個人鍵をもちいて署名をすることが出来る。そして誰もが、公開されている公開鍵を用いてそれが(グループのメンバーの誰かの)正しい署名であることを確認することは出来るが、グループ中の「誰」の署名かを特定することが出来ない。このような構成によってグループ署名は各個人の匿名性を保証出来る有力な手段として知られている。
【0192】
なお、グループ署名では、特権者がおり、この特権者が保有する特権個人鍵を用いて、各署名が誰のものかを特定することも可能である。すなわち、通常は匿名であるが、問題が生じた場合にはその署名者を特定することが出来る仕組みを提供している。この様子が図7に示されている。
【0193】
このようにグループ署名は非常に有用な特性を有しているが、計算量が多く、迅速な処理は困難であった。
【0194】
これに対して、本実施例では、公開鍵と個人鍵とが1対1に対応している古典的なスキームを用いているので、迅速な処理が可能となっている。すなわち、本実施例は、公開鍵と個人鍵とが1対1に対応している昔からの仕組みを用いつつ(すなわち高速処理を可能としつつ)、ユーザの匿名性を担保しうる点を、特徴とするものである。
【0195】
このような特性を実現できたのは、上述したように、秘密鍵412を2つの部分(アクセスID+残余成分)に分けるという仕組みを採用したからである(図5参照)。これによって、各ユーザ毎にアクセスIDを設定することができ、従来のグループ署名のように各個人に秘密鍵を設定するのと同様の効果を得られたものである。
【0196】
上述したように、2つの部分に分ける演算はどのような演算でもかまわない。加算でも良いし、また乗算でもかまわない。また、算術演算だけでなく、ビット演算のような論理演算でもかまわない。
【0197】
サービス提供の実際
図5に戻って、ユーザがサービスの提供を受ける動作を説明する。
【0198】
ユーザはサービスを受けるために、権限検証者440に対してアクセスIDを呈示する。この際、図5に示すように乱数化してから呈示する。
【0199】
その一方、権限検証者440は、いわゆるチャレンジ−レスポンス認証するためにチャレンジを発行する。このチャレンジは耐タンパー処理装置420に渡され、耐タンパー処理装置はレスポンスを生成する。ユーザエージェント手段430は、このレスポンスを乱数化して権限検証者440に送る。
【0200】
ここで、留意すべき点は、アクセスIDの乱数化と、レスポンスの乱数化と、は関連のある処理である点である。これによって、権限検証者440は、チャレンジレスポンス認証が成功し、アクセスIDが正しいIDであることを確認することが可能である。この検証には、権限発行者400が発行した公開鍵410が必要であることはもちろんである。実際の処理(計算)についてこれまで述べた通りである。
【0201】
権限検証者440が、ユーザが正しい権限を有していると判断した場合には、ユーザは、サービス(例えば音楽配信サービス)を受けることが許可される。
【0202】
なお、乱数化は、所定の乱数に基づくスクランブル等を意味する。例えば、所定の乱数を発生させ、その乱数をアクセスIDに加算し、一方、その同じ乱数を用いて、レスポンスに所定のより複雑な演算を施す等の処理を実行する。これらの乱数化は、ユーザエージェント手段430が実行する。
【0203】
本実施の形態では、アクセスIDの乱数化と、レスポンスの乱数化に同じ乱数を用いたが、一般的に言えば、関連する乱数化であればよい。
【0204】
また、図5においては、権限発行者400は、サービス提供者と同じでも良いし、外部の者でもかまわない。権限発行者400は、ユーザがそのサービスを受ける権限を発行してもらう(アクセスIDを発行してもらう)際にその処理を実行するが、その後のサービス提供には関与していない。サービス提供の許可/不許可は、ユーザ(が使用するユーザ端末(例えば携帯電話、PDAなど))と、権限検証者440との間の通信によって行われる。
【0205】
権限検証者440がサービスの提供を許可した場合に、サービス提供者がサービスを提供するが、権限検証者440がサービス提供者と同一でもよい。同一サーバに、権限検証のためのプログラムと、サービス提供のためのプログラムが、共にインストールされ稼働している構成も不可能ではない。また、権限検証者440は、他のサーバ上で稼働するプログラムで実現しても良い。
【0206】
さらに、権限検証者440を実現するプログラムは、ユーザ端末に組み込まれる構成としても好適である。上述したように、ユーザ端末には、耐タンパー処理装置420が組み込まれるが、この耐タンパー装置420のハードウェアと権限検証者440のソフトウェアとが同一の端末装置に組み込まれていても良い。例えば、権限検証者440が端末内の音楽受信プログラムで実現され、ユーザエージェント手段430はこの音楽受信プログラムが受信した音楽をCD等に格納するユーザ側のプログラムとして実現されていても良い。
【図面の簡単な説明】
【0207】
【図1】本実施の形態におけるユーザ端末の構成図である。
【図2】本実施の形態における検証手段の構成図である。
【図3】本実施の形態におけるプロバイダ・エージェント手段の構成図である。
【図4】本実施の形態におけるユーザ・エージェント手段の構成図である。
【図5】本実施例の構成図である。
【図6】従来のグループ署名の説明図である。
【図7】従来のグループ署名の説明図である。
【符号の説明】
【0208】
10 ユーザ端末
11 入力手段
12 表示手段
13 通信手段
14 外部装置インターフェース
20 通信媒体
100 検証手段
101 通信手段
110 メッセージ解析手段
111 メッセージ生成手段
120 乱数化アクセスID保持手段
130 乱数生成手段
131 チャレンジ生成手段
140 チャレンジ保持手段
141 レスポンス検証手段
150 公開鍵保持手段
200 プロバイダ・エージェント装置
201 ホスト機器インターフェース
210 メッセージ解析手段
211 メッセージ生成手段
220 秘密鍵保持手段
230 チャレンジ保持手段
240 アクセスID差分保持手段
250 署名パラメータ差分保持手段
260 署名パラメータ生成手段
261 乱数生成手段
262 署名パラメータ保持手段
270 レスポンス生成手段
300 ユーザ・エージェント手段
310、313 メッセージ生成手段
311、312 メッセージ解析手段
320 情報開示判定手段
330 アクセスID保持手段
340 チャレンジ保持手段
350 アクセスID乱数化手段
351 アクセスID差分保持手段
360 署名パラメータ保持手段
361 署名パラメータ差分生成手段
362 署名パラメータ差分保持手段
370 レスポンス検証手段
380 レスポンス変換手段
390 乱数生成手段
400 権限発行者
410 公開鍵
412 秘密鍵
420 耐タンパー処理装置
430 ユーザエージェント手段
440 権限検証者
【技術分野】
【0001】
本発明は、近年、発展が著しいユビキタス計算環境におけるシームレスなアクセス環境において、ユーザをシステムによる追跡から保護する追跡を制限したアクセス制御技術に関する。
【背景技術】
【0002】
従来の技術を3種類説明する。
【0003】
第1:ICカード
第1番目の従来技術として、住民基本台帳ネットワークや電子マネー等におけるICカードの利用について説明する。
【0004】
住民基本台帳ネットワークや電子マネーにおいて利用されるICカードは、ISO7816等の規格によって形状・寸法・通信方法・基本コマンド等が規定されており、マイクロコンピュータと暗号計算のためのコプロセッサと計算及び記録のためのメモリを内蔵したICチップ(以下では、単なるメモリであるICチップと区別するために、スマートチップと呼ぶ)を具備する。
【0005】
ICカードのアクセス制御
このスマートチップ内のメモリへのアクセスは、マイクロコンピュータによって制御される他、正規の通信を介さない不正なアクセス、例えば、プローブ(針刺し)に対して
も実装によって対抗する。この特性を耐タンパー特性と呼ぶ。
【0006】
即ち、上記の耐タンパー特性と、マイクロコンピュータ及び暗号計算コプロセッサにより内部で計算を完結する能力とにより、安全な計算環境を提供している。
【0007】
スマートチップの設計
さて、スマートチップの設計に当たっては、安全性を脅かす最も強力な脅威として、ICカードを保持するユーザ本人を想定している。即ち、ICカードはユーザに帰属するものであるが故に、このユーザがICカードに対して任意に攻撃を行うことが可能であるからである。
【0008】
電子マネー
これは、電子マネーの例を見れば明瞭に理解できる。即ち、スマートチップ中に記録されている電子マネーのデータを改竄することにより、ユーザは莫大な経済的利益を得ることが期待され、スマートチップに対して攻撃を行う顕著な動機が存在する。住民基本台帳カードのようなアイ・ディー(ID)カードにおいても、このような動機付けが存在する。
【0009】
このように、ICカード中のスマートチップは、ICカードの所有者であるユーザから、機密のデータを保護することを目的としている。別の言い方をするならば、スマートチップは、ユーザに所持され、携行されるものの、実体としてはユーザに対抗する装置であると考えることができる。
【0010】
この事実を、ユーザの立場から考えると、特にプライバシーの観点から、スマートチップは獅子身中の虫、或いは、Big Brother に等しい存在であるといえる。実際、コンビニエンスストア等で電子マネーカードを使用する都度、ユーザのIDがネットワークを通じてサーバに送信され、IDを元にユーザの残高情報が参照され、決済の可否が判断される。このIDを、店舗情報や購入した品物の情報と共にログとして記録しておけば(実際に、個人情報保護の下に厳重な管理の下記録されている)、IDをタグとしてユーザの行動を追跡することが可能となる。もちろん、そのような行動の記録は厳重に管理され、外部に漏らされることはないようにされている。
【0011】
住民基本台帳
一方、住民基本台帳カードの基本機能は電子署名であり、電子署名は明示的に検証可能である。したがって、「ユーザが望まない情報が電子署名中に含まれない」という事項は、一見、電子署名を検証することにより確認できるとも考えられる。
【0012】
しかしながら、この思い込みは実際には正しくないのである。近年の電子署名は、選択メッセージ攻撃に対する証明可能安全性を求めるため、電子署名自体に乱数を含む構成となっている。例えば、Schnorr署名は、(R;s)という数のペアから構成されるが、Rとsはそれぞれ以下のように計算される。
【0013】
【数1】
ここで、pは十分に大きな素数、qは
【数2】
を満足する最小の自然数であり、かつ、素数であるとする。また、xはスマートチップに内蔵される個人鍵であり、SHAは暗号学的一方向ハッシュ関数SHA(Secure Hash Algorithm)であるとする。
【0014】
正しいスマートチップは、Schnorr 署名(R;s)を生成するに当たり、一様にランダムにrを生成するが、不正なスマートチップは、rに関して固有の分布によることにより、ユーザが仮に署名を検査したとしても検知されないように、秘密の情報を符号化することが可能となる。
【0015】
以下、例を挙げてこれを説明する。
【0016】
例えば、スマートチップが個別の識別子を有しており、異なる識別子のスマートチップは異なる領域からrをランダムに選ぶとすると、この領域を知っている攻撃者はRを検査することにより、スマートカードの識別子を知ることが可能となる。
【0017】
一方、ユーザは(R;s)を検査しても不正を発見することはできない。これは、rの領域が十分に広ければ、特定の領域からrが選択されていることを検知することが困難だからである。
【0018】
本発明では、ユーザによるアクセス権限の横流しを防止する目的で、スマートチップのような耐タンパー特性を備えた処理装置を仮定する。即ち、当該処理装置中にアクセス権限を表現するデータを記録することにより、ユーザが当該アクセス権限データのコピーを作成して、他のユーザに横流しする攻撃を防止する。しかしながら、これまでに述べたように、耐タンパー処理装置、即ち、スマートチップの利用は、ユーザの手許においてユーザのプライバシーがユーザに検知されずに漏洩される危険を孕んでおり、プライバシーの保護、又は、追跡の防止の観点からは、この問題の解決は不可避である。
【0019】
第2:下位通信層レベルにおける追跡
第2の従来技術として、OSI(Open Systems Interconnection) 参照モデルにおける下位通信層、即ち、セッション層、トランスポート層、ネットワーク(IP) 層、データリンク層における通信を追跡不能とする技術について述べる。
【0020】
これらの下位通信層では、IPアドレスやMACアドレス等のアドレスを手がかりにパケットやデータグラムを配達するので、対策を施さない限り、これらのアドレスをユーザの追跡に利用することが可能となる。
【0021】
下位の通信層において、ユーザを追跡から保護する方法は、その性質によって、理論的追跡不能性とシステム依存追跡不能性のいずれかに分類することが可能である。理論的追跡不能性においては、下位通信層が仮に何らかのアドレスをパケットの配達に利用するとしても、そのアドレスをユーザの追跡に利用できないことが理論的に演繹できるレベルの安全性を指す。以下に述べるように、仮名アドレスを用いる手法と、ブロードキャスト通信を用いる手法が知られている。
【0022】
一方、システム依存追跡不能性においては、下位通信層は、ユーザの追跡に利用できるアドレスを用いてパケットの配達を行うが、機能としてアドレスを上位のアプリケーションから秘匿するレベルの安全性を指す。即ち、実際の安全性は下位通信層の信頼性に依存する。
【0023】
さて、上述した仮名アドレスを用いた追跡不能通信とは、ユーザが動的に選択したアドレスを利用することで、追跡不能性を実現しようとする通信方式であり、赤外線通信やスマートカードにおいて実現性がある。
【0024】
例えば、IrDA (Infrared Data Association)の通信規約であるIrLAP (Infrared Link Access Protocol)や、NFC (Near Field Communication) の通信規約であるISO/IEC 18092 では、アドレスの衝突を回避するメカニズム(address collision avoidance mechanisms)を規定している。
【0025】
IrDAは赤外線通信の規格であり、NFCは、Type Cと呼ばれる非接触型ICカードのために開発された通信方式を、10cmの距離で100〜400kbpsの伝送速度を提供する近接通信に汎化した規格である。IrDAやNFCでは、少数のノード間の通信を想定しており、通信の都度、動的にアドレスを決定しても衝突が発生する確率は小さい。
【0026】
従って、ワールドワイドで非衝突性を保証するようにアドレスを静的にデバイスに割り当てる方法(MACアドレスに適用されている方法)は、オーバーヘッドが大きいだけで効果を得る機会は少ない。逆に、接続の都度、動的にアドレスを生成するようにして、衝突が発生したときにアドレスを変更して衝突を回避する手段を講じる方が効果的である。
【0027】
Type A、Type Bの非接触型ICカードの通信規約であるISO/IEC 14443でも、動的にアドレスを生成して利用する仕様となっている。
【0028】
このように、赤外線通信、及び、非接触型IC カード通信では、証明者は自らのアドレスを動的に決定する自由度を有しているので、仮名アドレスを適当なタイミングで更新する(例えば、セッションの更新の都度)ことで、演繹可能な追跡不能性を実現することが可能となる。
【0029】
動的に仮名アドレスを生成する手法は、衝突回避メカニズムが存在しないIP通信層やデータリンク層にも適用可能できる可能性はある。即ち、IPアドレスとMACアドレスを動的に生成して、仮名アドレスとして利用するのである。
【0030】
但し、アドレスの衝突回避メカニズムを伴わないため、LANのような大規模なネットワークに適用すると、アドレスが衝突する危険が高まることに注意しなければならない。例えば、仮名アドレスに利用できるMACアドレスの有効長は3バイトであるので、Birthday Problemの理論から、nユーザの間で衝突が発生する確率は約
【数3】
となる。これは、ネットワークに581以上のデバイス(NIC等)が同時に存在すると、1/100より大きい危険率で衝突が発生することを意味し、また、危険率を1/10まで許容しても、許容されるデバイス数は1,880程度である。この数値が大きいと考えるか小さいと考えるかは、適用場面に依存するが、衝突が発生することは想定しなければならない。
【0031】
Ethernet(登録商標)のように、アドレスの衝突が発生しても、パケットが喪失することはなく、配達が重複するのみであることが仮定できれば、アプリケーション側で衝突に対応することができる。但し、アドレスが衝突している他のデバイスに宛てたパケットも混在するため、アプリケーションは、下位の通信スタックから渡されるペイロードを検査して、自分宛のペイロードを取捨できる必要がある。
【0032】
ブロードキャスト通信も、追跡不能性を実現する目的に利用することができる。255.255.255.255 はIP アドレスにおけるブロードキャスト・アドレス(broadcast address)であり、FF:FF:FF:FF:FF:FF:FF:FF はMAC アドレスにおけるブロードキャスト・アドレスである。例えば、証明者は、パケットを送信する際、ブロードキャスト・アドレスをパケットのSourceフィールドに指定するものとする。
【0033】
このようなパケットを受信した検証者は、Sourceフィールドを含むパケットヘッダを根拠に、送信者を特定することはできないだけではなく、それ以前に受信したパケットとリンクすることもできない。
【0034】
一方、検証者が返信を行う際には、ブロードキャストでパケットを送信する。ブロードキャストされたパケットから、証明者が自分宛のパケットを選択できるためには、パケットのペイロードにそのための情報が指定されなければならない。加えて、ブロードキャスト通信では検証者は証明者とTCPセッションを構成できないので、本来ならばTCPスタックが提供している通信の信頼性はアプリケーション層でサポートする必要がある。
【0035】
インターネット・プロキシによりIPアドレスを隠蔽したウェブアクセスが可能であることは知られている。また、NAT或いはNATPをサポートするルータは、プライベートIPアドレスとルータのグローバルIPアドレスの変換を行う。このように、インターネット・プロキシやある種のルータは、通信において仮名アドレスによる通信を提供している。
【0036】
しかしながら、実際のユーザの追跡不能性は、プロキシとルータの信頼性に依存している。極端な例では、プロキシはウェブサイトと共謀している可能性もあるし、ルータの管理者がユーザによるアクセスを追跡している可能性もある。このように、インターネット・プロキシやルータを用いた仮名通信は理論的追跡不能性をサポートせず、下位通信層の信頼性に依存するシステム依存追跡不能性をサポートするに留まる。
【0037】
以上、述べたように、アプリケーション層より下位の通信層では、追跡を防止する技術は一応存在する。しかしながら、サービスへのアクセス制御は、アプリケーション層において要求される機能であり、仮に下位の通信層で追跡不能性を実現したとしても、例えば、アクセスコントロールリスト(ACL)のような従来技術を用いてアプリケーション層においてアクセス制御を行う場合には、ユーザの識別と認証を行わなければならず、総体としての追跡不能性が損なわれる。
【0038】
即ち、アプリケーション層において追跡不能性を提供するアクセス制御技術がのぞまれているのである。
【0039】
第3:グループ署名
第3の従来の技術として、アプリケーション層で利用可能な、追跡不能認証技術である、グループ署名について説明する。
【0040】
グループ署名は、以下の特徴を備えた署名方式である。
【0041】
(1)グループのメンバーはグループを代表して、任意に署名を生成することができる。
【0042】
(2)グループの公開鍵(グループ公開鍵)にアクセスできる誰でもが署名を検証することが可能であるが、検証により署名者の身許が明らかになることはない。
【0043】
(3)逆に、グループの管理者(TGA)は、署名から署名者を特定することが可能であり、紛争等、必要に応じて署名者の身許を特定する。
【0044】
オークションにおけるグループ署名
このようなグループ署名は電子オークションや匿名注文システム等に応用がある。例えば、電子オークションでは、以下のような手続きを行い、オークションの参加者のプライバシーを守りつつ、不正な参加者を排除している。
【0045】
(1)入札者(bidder)はオークションの開催者が管理するグループに登録し、グループ署名用の個人鍵(グループ署名鍵)を生成する。
【0046】
(2)入札者は入札時に入札金額等を記載したデータにグループ署名を施して申し込みを行う。
【0047】
(3)出品者はグループ署名を検証することにより、入札資格者による申し込みであることを検証できるが、入札者の身許を知ることはできない。
【0048】
(4)オークション成立後は、開催者は入札の署名から落札者の身許を明らかにし、品物の配送や決済を行う。
【0049】
さて、グループ署名のスキームは、以下に述べる、準備、加入、署名、検証、及び、開示の各フェーズから構成される。
【0050】
「準備」のフェーズでは、TGAはグループの公開鍵ペアを生成する。公開鍵ペアの個人鍵はTGAの鍵として安全に保管する。
【0051】
「加入」のフェーズでは、ユーザは、TGAと協力してグループ署名鍵を生成し、グループに参加する。
【0052】
「署名」のフェーズでは、グループのメンバーは、グループ公開鍵と自身のグループ署名鍵を用いて、任意のメッセージに署名する。
【0053】
「検証」のフェーズでは、検証者は、メンバーが生成した署名を検証するために、グループ公開鍵のみを用いる。
【0054】
「開示」のフェーズでは、TGAは、グループ公開鍵ペアを用いて、署名を生成したメンバーを特定する。
【0055】
Ateniese、Camenisch、Joye とTsudik 等が2002年に発表したグループ署名方式は、証明可能な安全性を有するグループ署名方式としては従前の方式に比較して効率的であったが、それでも署名の生成や検証に必要な計算量が大きいという問題があった。このため、Ateniese 等による提案以降、グループ署名の計算量を軽減し、計算効率を向上させようとする試みがなされており、古川・今井が発表しているグループ署名の方式等、複数の方式が現時点で最も効率がよいと評価されている(下記非特許文献1)。
【0056】
しかしながら、古川・今井のグループ署名方式(非特許文献1)でも、アクセス頻度が飛躍的に増大するユビキタス計算環境に適用するには、まだ計算量が大きい。実際、Pentium(登録商標)4 3.2GHzを搭載したPCを用いて、192ビット長標数の素体上に定義された楕円曲線のスカラー倍演算の実行時間を実測し、その計測値をもとに古川・今井のグループ署名方式の実行時間を推定したところ、一回の署名の生成と検証に要する合計時間は約600ミリ秒と計算された。現実の適用においては、ユーザが携帯する端末或いはデバイスは計算能力が制限されるので、上記の数倍程度は時間がかかることが予想される。即ち、実際の実行時間は少なくとも2秒程度にはなるものと想定される。
【0057】
これまで記したように、アプリケーション層における追跡不能認証の従来技術であるグループ署名では、ユビキタス計算環境への適用では十分な効率を有しないという問題があることが理解されよう。
【0058】
更に、グループ署名の第二の問題点として、グループ管理者は常に生成された電子署名から署名者を特定することができる絶対的な特権者として機能することがある。この特権者の存在は、多くのアクセスがシームレス、かつ、透過的に行われるユビキタス計算環境においては、結局、ユーザの行動を監視する絶対的な検閲者が存在することを意味しているに他ならず、望ましい環境とは言い難い。
【0059】
ユビキタス計算環境においてシステムによる追跡・検閲を回避するためには、アクセスの追跡不能性或いは匿名性が保証されるべきであるが、機密性を有していたり、管理が必要であるような資源へのアクセス、また、保安上の理由により監視が必要なサービスへのアクセスにおいては、ユーザの匿名性を最優先にさせるわけにはいかない場合が存在する。
【0060】
一方、システム側の要求を優先させると、検閲が正当化されてしまう。
【0061】
この問題に対する最適な解決は、以下のような要件を満たすことによって達成できると考えられる。
【0062】
第一に重要な要件は、情報の開示は必ずユーザの明示的な同意に基づくとし、かつ、情報の開示はサービスや資源へのアクセスと引き換えで行われるという要件である。
【0063】
第二に重要な要件は、開示される情報が、ユーザが同意した範囲に限られるという要件である。
【0064】
従来のグループ署名は、上記のユビキタス計算環境におけるプライバシー保護と合理的な追跡のバランスに対する要件を満足しないという問題がある。
【0065】
先行特許文献
下記特許文献1には、匿名認証の認証データを画像データを用いて送受信する手法が記載されている。この記載によれば、認証データを送受信できる匿名通信路を、簡易に実現可能であるとされている。
【0066】
また、下記特許文献2には、簡易な構成で匿名認証を実現できる装置が開示されている。
【0067】
また、下記特許文献3には、タンパー装置が取り付けられた利用者端末の利用が開示されている。
【0068】
また、下記特許文献4には、個人の生体的特徴が外部に洩れるのを防止するために、タンパー手段を設けた携帯端末が開示されている。
【0069】
また、下記特許文献5には、電子証明書の盗難を防止し、組織として電子署名した電子データであることを保証できる電子署名システムが記載されている。
【0070】
また、下記非特許文献1には、匿名性を有するグループ署名の手法が開示されている。
【0071】
【特許文献1】特開2006−293472号公報
【特許文献2】特開2005−5778号公報
【特許文献3】特開2004−320562号公報
【特許文献4】特開2002−358488号公報
【特許文献5】特開2003−304243号公報
【非特許文献1】J. Furukawa and H. Imai. An efficient group signature scheme from bilinear maps. In ACISP 2005, pages 455 467, 2005.
【発明の開示】
【発明が解決しようとする課題】
【0072】
本発明が解決しようとする第1の課題は、追跡不能性と計算量の低減とを両立させ、ユビキタス計算環境において、実用的なアクセス制御を可能とすることである。
【0073】
また、本発明が解決しようとする第2の課題は、機密管理や保安等の合理的な目的のためにシステムがユーザの追跡情報を収集する機能を、ユーザによる明示的な同意が存在し、かつ、ユーザが開示に同意した範囲の情報に限って行うように実現することである。
【課題を解決するための手段】
【0074】
本発明においては、第1の課題を解決し、追跡不能性と実用的な計算量を両立させるために、グループ署名のように単一の公開鍵に対して複数の個人鍵(署名鍵)を対応させる構成により追跡不能性を実現するのではなく、公開鍵と個人鍵(署名鍵)が一対一に対応する通常の構成による高速な署名方式を利用し、耐タンパー特性を有するプロバイダ・エージェント手段がユーザの干渉を受けることなく署名を生成することで、認証の正確性と高速化を両立させる一方、ユーザ・エージェント手段が署名を乱数化する作用を加えることより追跡不能性を実現している点を特徴とする。
【0075】
認証の健全性を保証するために、本発明で利用する署名方式として、選択メッセージ攻撃に対して偽造不能性を有する署名方式を採用している。上記性質を満足する署名方式は従来から広く知られているので、それらを利用すればよい。例えば、RSA−PSSやDSA等、近年広く用いられている署名方式がある。
【0076】
ユーザ・エージェント手段によって乱数化された電子署名は、署名の検証式により定義される曲面上で常に同じ分布で存在することから、署名であるという事実以外の情報を含み得ない。
【0077】
また、第2の課題を解決するために、本発明では、検証手段が情報の開示を求めた場合において、ユーザ・エージェント手段がユーザの意図が反映するようにその可否を判断する。例えば、ユーザ・エージェント手段は、ユーザインタフェースを介してユーザに可否の判断を求める、ユーザが事前に記述した設定ファイルの記載に従って可否の判断を行う等の機能を有する。追跡情報の開示を拒否する場合には、ユーザ・エージェント手段は、単に通信を遮断する、或いは、プロバイダ・エージェント手段による電子署名を前述のように乱数化し、追跡情報を含むいかなる情報も含まないように変換してから検証手段に出力する等の手段をとる。
【0078】
また、ユーザ・エージェント装置が追跡情報の開示を許諾した場合でも、プロバイダ・エージェント装置が出力する署名中にユーザ・エージェント装置が入力する追跡情報の暗号化以外のデータが含まれないことを、ユーザ・エージェント装置が検証した後、出力を乱数化する。この結果、この場合においても追跡不能性を実現している。このように、本発明においては、計算量の軽減と追跡不能性とを両立させつつ、上述した第2の課題を解決している。
【0079】
以下、本発明を具体的に述べれば、以下の通りとなる。
【0080】
(1)まず、本発明は、上記課題を解決するために、ユーザによるサービスや資源へのアクセスを制御するアクセス制御装置において、アクセス権限の認証のために、電子署名の検証処理を実行する検証手段と、耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、前記検証手段に出力するユーザ・エージェント手段と、を含み、前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするアクセス制御装置である。
【0081】
(2)また、本発明は、上記課題を解決するために、アクセス権限の認証のために、電子署名の検証処理を実行する外部の検証手段と、所定の通信を行い、所定のサービスに対するアクセス権限の認証を得るユーザ端末において、耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、外部の前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、外部の前記検証手段に出力するユーザ・エージェント手段と、を含み、外部の前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするユーザ端末である。
【0082】
(3)また、本発明は、コンピュータを、上記(1)又は(2)記載のユーザエージェント手段として動作させるプログラムにおいて、前記コンピュータに、前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介する手順と、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からのデータを乱数化する手順と、前記乱数化したデータを、前記検証手段に出力する手順と、を実行させることを特徴とするプログラムである。
【0083】
(4)また、本発明は、前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする(1)に記載のアクセス制御装置。
【0084】
(5)また、本発明は、前記ユーザ・エージェント手段と前記プロバイダ・エージェント手段とが、前記ユーザが所持する同一のユーザ端末中に具備されることを特徴とする(1)に記載のアクセス制御装置である。
【0085】
(6)また、本発明は、前記ユーザ・エージェント手段は、ユーザがダウンロード可能なプログラムであることを特徴とする(5)に記載のアクセス制御装置である。
【0086】
(7)また、本発明は、前記プロバイダ・エージェント手段は、ユーザ端末中に装着されるIC チップであることを特徴とする(5)に記載のアクセス制御装置である。
【0087】
(8)また、本発明は、前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成されることを特徴とする(5)に記載のアクセス制御装置である。
【0088】
(9)また、本発明は、前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着されるIC チップであることを特徴とする(5)に記載のアクセス制御装置である
(10)また、本発明は、前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成され、前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着される耐タンパー処理装置であることを特徴とする(5)に記載のアクセス制御装置である。
【0089】
(11)また、本発明は、前記検証手段が所定のシグナルを送信して前記ユーザの追跡情報の開示を求めた場合、 前記ユーザ・エージェント手段は、前記シグナルを受信して情報の開示の可否を判断し、情報開示を許可する場合に限り開示するべき情報を前記プロバイダ・エージェント手段に入力し、前記プロバイダ・エージェント手段は、入力された前記開示情報を特権秘密鍵を保有する者のみが復号できるように暗号化して、電子署名とともに出力し、前記ユーザ・エージェント手段は、前記プロバイダ・エージェント手段による暗号化が前記開示情報以外を含んでいないことを検査し、前記開示情報以外の情報が暗号化されている場合には通信を遮断し、前記開示情報のみが暗号化されている場合には、前記追跡情報が含まれ、かつ、署名の検証式を満たすという特性を除いて、常に同一の分布を取るように前記プロバイダ・エージェント手段の出力を乱数化して前記検証手段に出力することを特徴とする(8)から(10)に記載のいずれかのアクセス制御装置である。
【0090】
ここで、特権秘密鍵とは、追跡情報の暗号を復号するための鍵をいう。後述する実施の形態では、公開鍵ペアの個人鍵、すなわちアクセスIDと秘密鍵との算術和に等しい例を示しているが、発明としては、必ずしも同一である必要はない。
【0091】
(12)また、本発明は、上記(11)に記載のアクセス制御装置において、情報の開示の可否をユーザから入力するユーザインタフェース、を備え、前記ユーザ・エージェント手段は、前記ユーザが該ユーザインタフェースを介して入力した指示に従って、情報の開示の可否を判断することを特徴とするアクセス制御装置である。
【0092】
(13)また、本発明は、上記(4)に記載のアクセス制御装置において、前記ユーザが内容を指定する情報の開示の可否の判断の基準となる設定ファイルを格納した記憶手段、を備え、前記ユーザ・エージェント手段は、前記記憶手段中の前記設定ファイルの記載に基づき、情報の開示の可否を判断することを特徴とするアクセス制御装置である。
【0093】
(14)また、本発明は、ユーザ・エージェント手段は、前記設定ファイル中の記載に基づき、サービス毎に情報の開示の可否を判断することを特徴とする(13)に記載のアクセス制御装置。
【0094】
(15)また、本発明は、サービス毎に定まる一対の公開鍵ペアに対し、前記検証手段は、前記プロバイダ・エージェント手段が生成する電子署名の検証に前記公開鍵ペアのうち公開鍵を利用し、前記プロバイダ・エージェント手段は電子署名の生成に安全に保持する秘密鍵を利用し、 更に、該秘密鍵は前記公開鍵ペアの個人鍵の一部であって、かつ、前記プロバイダ・エージェント手段毎に一意であることにより、特権秘密鍵を保有しない者は二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とする(1)〜(11)のいずれか1項に記載のアクセス制御装置である。
【0095】
(16)また、本発明は、(1)〜(14)のいずれか1項に記載のアクセス制御装置において、前記検証手段は、サービス毎に定まる一対の公開鍵ペア中の公開鍵を利用して、前記プロバイダ・エージェント手段が生成する電子署名の検証を行い、前記プロバイダ・エージェント手段は、前記公開鍵ペア中の個人鍵の一部である秘密鍵であって、前記プロバイダ・エージェント手段毎に一意に定められた前記秘密鍵を用いて、電子署名の生成を行い、前記特権秘密鍵を保有しない者は所定の二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、前記特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とするアクセス制御装置である。
【0096】
なお、前記公開鍵ペア中の公開鍵とは、いわば権限の検証鍵である。この鍵は、権限検証者によって用いられ、ユーザに所定のサービスを受ける権限があるかどうか確認に用いられる。
【0097】
また、プロバイダエージェント手段が利用する秘密鍵は、前記公開鍵ペアにおいて、検証の目的に使用される公開鍵とペアをなす個人鍵の一部分であり、後述する実施の形態において、アクセスIDとの和が前記個人鍵となる成分が、好ましい一例に相当する。
【0098】
また、個人鍵と特権秘密鍵とは同一であってもよい。
【0099】
(17)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術和に分解した際の、一方であることを特徴とするアクセス制御装置である。
【0100】
(18)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術積に分解した際の、一方であることを特徴とするアクセス制御装置である。
【0101】
(19)また、本発明は、(16)記載のアクセス制御装置において、前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を所定の算術演算によって二つの成分に分解した一方であることを特徴とするアクセス制御装置である。
【0102】
(20)また、本発明は、(17)〜(19)のいずれか1項に記載のアクセス制御装置において、前記ユーザエージェント手段は、アクセスIDとして、前記個人鍵を分解した他方のデータが供給され、前記ユーザエージェント手段は、そのアクセスIDを乱数化して前記検証手段に送信することを特徴とするアクセス制御装置である。
【0103】
ここで、アクセスIDとは、アクセス識別子とも呼ばれる。
【0104】
(21)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵を補完して前記公開鍵ペアの個人鍵を構成する補完部分を、アクセス識別子として前記ユーザ・エージェント手段が保持し、前記ユーザ・エージェント手段は、前記アクセス識別子を用いて前記プロバイダ・エージェント手段の出力を乱数化することを特徴とする上記(15)〜(20)のいずれか1項に記載のアクセス制御装置である。
【0105】
(22)また、本発明は、アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とする発行手段、を含み、前記発行手段は、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする(21)に記載のアクセス制御装置である。
【0106】
(23)また、本発明は、(1)〜(22)のいずれかに記載のアクセス制御装置に対して、サービス権限の発行を行う発行装置において、アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とし、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする権限発行装置である。
【0107】
(24)また、本発明は、前記ユーザ・エージェント手段が前記プロバイダ・エージェント手段に入力する前記開示情報が、前記アクセス識別子、または、前記アクセス識別子を計算するのに十分な情報であることを特徴とする(15)〜(20)のいずれかに記載のアクセス制御装置である。
【0108】
(25)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との和が前記公開鍵ペアの個人鍵と一致することを特徴とする(21)に記載のアクセス制御装置である。
【0109】
(26)また、本発明は、前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との積が前記公開鍵ペアの個人鍵と一致することを特徴とする(21)に記載のアクセス制御装置である。
【0110】
(27)また、本発明は、前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする(2)のユーザ端末である。
【0111】
(28)また、本発明は、前記乱数化手順における乱数化した出力が、一様な分布であることを特徴とする(3)のプログラムである。
(29)また、本発明は、前記ユーザ・エージェント手段は、ユーザが保持する通信機能を有するユーザ端末上に実装され、前記プロバイダ・エージェントは通信機能を有し、ユーザが保持する別のデバイスとして実装され、両者が互いに通信することで前記機能を実現することを特徴とする(1)のアクセス制御装置である。
【発明の効果】
【0112】
以上述べたように、第1の課題に対する本発明の効果に関しては、本発明では、プロバイダ・エージェント手段とユーザ・エージェント手段が協力して作成する署名データの分布を所定の曲面上で一様に分布させる工夫により、追跡不能性を実現している。
【0113】
また、実施の形態で述べるように、署名の生成及び検証における計算量が従来の技術に比べて減少しているので、より迅速な処理を行うことが可能である。
【0114】
また、第2の課題に対する本発明の効果に関しては、本発明では、ユーザ・エージェント手段はユーザによる直接・間接の指示に基づいて、情報の開示を実施するのみならず、開示するべき情報もユーザ・エージェント手段が指定する。したがって、実際のインプリメントにおいては、ユーザ・エージェント手段は、ユーザが信頼するベンダから取得するソフトウェア、又は、所定のハードウェアで構成されている。その結果、その作用は完全に公開検証が可能であるという性質から、常にユーザの同意に基づいた情報の開示を実現している。
【発明を実施するための最良の形態】
【0115】
以下、図面を用いて、発明の実施の形態を説明する。
【0116】
図1において、ユーザ端末10としては、移動体通信端末(携帯電話)、携帯型計算機(PDA等)、その他の専用端末(アクティブバッジ等)を想定し、環境からサービスの提供を受ける際に、ユーザが常に身に着けて携行するものと想定する。
【0117】
なお、「計算機」と「コンピュータ」とは同様の意味である。
【0118】
また、プロバイダ・エージェント手段200は、いわゆる耐タンパー特性を有する装置である。ここで、耐タンパー特性とは、プロバイダ・エージェント手段200が、その内部に保持されるデータやプログラム、及び、その内部で実行される計算処理が、外部から観察・干渉されない性質を言う。
【0119】
近年、交通機関の定期券や電子マネーに利用されている高セキュリティのICチップは、価格、大きさ、使い易さ、安全性の観点から、将来性が有望視される耐タンパーH/Wである。
【0120】
また、ユーザ端末10が移動体通信端末や携帯型計算機の場合には、プロバイダ・エージェント手段200は、UIM/SIMのように、外部から装着する実装が考えられる一方、アクティブバッジのように、プロバイダ・エージェント手段200がユーザ端末10と一体化している実装を想定することもできる。
【0121】
図1では、ユーザ端末10は移動体通信端末や携帯型計算機であるとし、プロバイダ・エージェント手段200は外部から装着され、ユーザ端末10内の手段と外部装置インタフェース14を介して通信する。
【0122】
ユーザ・エージェント手段300は、ユーザ端末10にインストールされるソフトウェア(プログラム)等で構成することが好ましい。また、外部装置インタフェース14を介したプロバイダ・エージェント手段200との通信は、必ず、ユーザ・エージェント手段300を経由する。また例えば、ユーザ・エージェント手段300はプロバイダ・エージェント手段200のドライバプログラムを含む構成とすることも好適である。
【0123】
さらにそれに加えて、ユーザ端末10は、ユーザ・エージェント手段300と検証手段100との間の通信機能を提供する通信手段13と、情報の開示に関するユーザ・エージェント手段からの問い合わせをユーザが認識できるように表示する表示手段12と、前記問い合わせに対してユーザが情報の開示の可否を指示する入力手段11と、を含む。
【0124】
例えば、通信手段13はEthernet(登録商標)、無線LAN、Bluetooth(登録商標)、IrDA等の通信機能を提供する通信カードから構成することが好ましい。また、表示手段12は液晶ディスプレイ等で構成することが好ましい。また、入力手段11はタッチパネル、操作ボタン、キーボード等で構成することが好ましい。
【0125】
なお、検証手段と、ユーザ・エージェント手段と、プロバイダ・エージェント手段と、を含むシステムを、「アクセス制御装置」と呼ぶ。請求の範囲におけるアクセス制御装置も同様の意味である。
【0126】
図2は、検証手段100の構成を示す。検証手段100は、環境側に存在する計算機(コンピュータ)であり、Windows(登録商標)やLinux(登録商標)等の汎用OSを備える汎用のPC、組み込みOSを備える専用機器のいずれで実現されてもよい。
【0127】
検証手段100は、Ethernet(登録商標)、無線LAN、Bluetooth(登録商標)、IrDA等である通信媒体20を介して、ユーザ端末10内のユーザ・エージェント手段300と通信を行うが、その為に通信手段101を内蔵する。
【0128】
ユーザ・エージェント手段300との通信は、相互接続性を得るために共通の方式に従って符号化されたメッセージを介して実行される。メッセージ解析手段110は、符号化されたメッセージを復号して検証処理に必要なデータを取り出す機能を提供し、メッセージ生成手段111は、計算処理の結果をメッセージに符号化する機能を提供する。
【0129】
更に、検証手段100は、メモリ等の記憶媒体として実現される公開鍵保持手段150、チャレンジ保持手段140、及び、乱数化アクセスID保持手段120を具備し、計算処理に必要な各種データを保持する。
【0130】
また、プロバイダ・エージェント手段200が生成する署名の検証に関わる処理を実行するチャレンジ生成手段131、並びに、レスポンス検証手段141は、ソフトウェア(プログラム)とそれを実行するコンピュータとから構成することが一般的に好適である。また、擬似乱数列を生成する乱数生成手段130は、ソフトウェア(プログラム)とそれを実行するコンピュータで実現しても良いし、組み込みハードウェアで構成することも好ましい。
【0131】
検証手段100は、一般的には環境に埋め込まれたセンサー中の組み込みプログラム(Firmware等)、または、センサーに接続した計算機中のプログラム(およびそれを実行する計算機)である。一つの形態としては、携帯端末にインストールされたプログラム(例えば音楽再生プログラム)であってもよい。
【0132】
図3は、ホスト機器(移動体通信端末、携帯型計算機)に組み込む外部機器を想定して、プロバイダ・エージェント手段200を説明する。
【0133】
ユーザ・エージェント手段300との通信は、プロバイダ・エージェント手段200を実装するICチップ等の外部機器に内蔵されたホスト機器インタフェース201を介して実行される。
【0134】
また、ユーザ・エージェント手段300・検証手段100間の通信の場合と同様に、相互接続性を確立することを目的として、ユーザ・エージェント手段300・プロバイダ・エージェント手段200間で交換されるデータは、予め規定された方式に従って、メッセージに符号化される。ユーザ・エージェント手段300から受信したメッセージを復号してデータを取り出す機能はメッセージ解析手段210により、また、ユーザ・エージェント手段300へ送信するデータを符号化してメッセージを組み立てる機能はメッセージ生成手段211により提供される。
【0135】
更に、プロバイダ・エージェント手段200は、メモリ等の記憶媒体として実現される秘密鍵保持手段220、チャレンジ保持手段230、アクセスID差分保持手段240、署名パラメータ差分保持手段250、及び、署名パラメータ保持手段262を具備し、計算処理に必要なデータを保持する。また、署名の生成に関わる手段として、署名パラメータ生成手段260、レスポンス生成手段270、及び、乱数生成手段261を含む。署名パラメータ生成手段260及びレスポンス生成手段270は、ソフトウェアプログラムとして実現することが一般的であり、擬似乱数列を生成する乱数生成手段261は、ソフトウェアプログラム、組み込みハードウェア、いずれの手段でも現実的に実現である。
【0136】
図4は、ユーザ・エージェント手段300の構成図である。
【0137】
ユーザ・エージェント手段300は、不正なプロバイダ・エージェント手段200がユーザの追跡に寄与する情報を外部に漏洩することを防止することを目的とし、ユーザが自由に選択可能でること、また、プロバイダ・エージェント手段200とは独立に自由に交換可能であることが重要である。
【0138】
このような要件を満足するには、例えば、ユーザ・エージェント手段300をユーザ端末10にユーザが自由にインストールするソフトウェア(プログラム)で実現することが好適である。
【0139】
又は、プロバイダ・エージェント手段200をユーザ端末10に自由に装着する外部機器とする実装が考えられる。
【0140】
ここでは、図4に示しているように、ユーザ端末10を、外部からソフトウェアのインストールが可能なホスト機器(移動体通信端末や携帯型計算機)であり、ユーザ・エージェント手段300はユーザがインストールするソフトウェア(プログラム)で実現されているものとして説明を行う。
【0141】
まず、ユーザ・エージェント手段300と、プロバイダ・エージェント手段200と、の間の通信は、ユーザ端末10が具備する外部装置インタフェース14を介して行われる。また、ユーザ・エージェント手段300と、検証手段100との通信も、同様にユーザ端末10が具備する通信手段13を介して行われるが、先述したように、これらの通信において交換されるデータは、相互接続性を確立するために定められた方法で符号化されたメッセージにより運搬される。
【0142】
このようにメッセージを符号化し、復号する動作は、メッセージ生成手段310と313、及び、メッセージ解析手段311と312によって実行される。ユーザ・エージェント手段300は、検証手段100から追跡情報開示の要求をシグナルとして受信すると、秘密鍵保持手段320によって開示の可否を判断する。図4に示す構成では、秘密鍵保持手段320は、ユーザ端末10が具備する表示手段12を利用して、ユーザに情報開示の要求をユーザが認識できる形式で表示し、入力手段11を利用して、ユーザの判断を取得する。
【0143】
更に、ユーザ・エージェント手段300は、アクセスID保持手段330と、チャレンジ保持手段340と、アクセスID差分保持手段351と、署名パラメータ保持手段360と、及び、署名パラメータ差分保持手段362と、を具備し、計算処理に必要なデータを保持する。これら保持手段は、メモリ等の記憶媒体を用いて構成することが好ましい。
【0144】
また、
・プロバイダ・エージェント手段200が生成する署名の検証、
・検証手段100への出力とするための乱数化、
を実行するために、ユーザ・エージェント手段300は、アクセスID乱数化手段350と、署名パラメータ差分生成手段361と、レスポンス検証手段370と、レスポンス変換手段380と、さらに、乱数生成手段390と、を具備する。
【0145】
具体的な動作例
以下では、検証手段100が情報開示を要求しないケースと、要求するケースとに分けて、この実施の形態における作用を述べる。
【0146】
まず、以下の説明で用いる記号を説明する。まず、
【数4】
は Dicesion Diffie-Hellman 問題の解決が困難であるような加法群とする。例えば、安全に生成された楕円曲線の部分群はこの条件を満足する。また、
【数5】
を
【数6】
の生成点(生成元)であるとし、
【数7】
の位数をnと表す。
【0147】
【数8】
の元
【数9】
を署名検証のための公開鍵とし、σを対応する個人鍵であるとする。即ち、以下の関係が成り立つ。
【数10】
更に、σは、以下の関係(数13)が成り立つように、
【数11】
と
【数12】
とに分解される。
【0148】
【数13】
ここで、
【数14】
及び
【数15】
は、それぞれ、公開鍵保持手段150、アクセスID保持手段330、及び、秘密鍵保持手段220に保持される。
【0149】
ユーザが環境に対して所定のサービスへのアクセスを要求すると、検証手段100は認証を開始するメッセージ(シグナル)をユーザ・エージェント手段300に送付するが、メッセージは復号された後、情報開示判定手段320に送付される。情報開示判定手段320は、検証手段100がユーザの追跡情報の開示を要求しているか否かを判定する。追跡情報の開示が要求されていない場合、アクセスID乱数化手段350は、乱数生成手段390から乱数ρを得て、
【数16】
を乱数化し、
【数17】
を以下のように計算する。
【0150】
【数18】
ここで、乱数ρはアクセスID差分保持手段351に保持され、
【数19】
はメッセージに符号化されて、検証手段100に送付される。
【0151】
検証手段100は、メッセージから復号された
【数20】
を乱数化アクセスID保持手段120に保持した後、チャレンジ生成手段131によりチャレンジcを生成する。この際、チャレンジ生成手段131は、乱数生成手段130を利用する。生成されたチャレンジcは、チャレンジ保持手段140に保持されるとともに、メッセージに符号化されてユーザ・エージェント手段300に送付される。
【0152】
チャレンジcを受信したユーザ・エージェント手段300は、プロバイダ・エージェント手段200に対して署名パラメータWの出力を求める。プロバイダ・エージェント手段200中の署名パラメータ生成手段260は、乱数生成手段261から乱数
【数21】
を取得し、以下の式により署名パラメータWを計算する。
【0153】
【数22】
次いで、乱数
【数23】
を署名パラメータ保持手段262に保存し、署名パラメータWをメッセージに符号化して、ユーザ・エージェント手段300に送付する。ユーザ・エージェント手段300中の署名パラメータ差分生成手段361は、乱数生成手段390を利用して乱数
【数24】
を生成し、署名パラメータ差分保持手段362に保持する。更に、ユーザ・エージェント手段300は、チャレンジ保持手段340に保持しているチャレンジcと、署名パラメータ差分保持手段362に保持している乱数
【数25】
を符号化してメッセージを生成し、このメッセージをプロバイダ・エージェント手段200に送付する。
【0154】
プロバイダ・エージェント手段200は、メッセージを復号し、チャレンジcと、乱数
【数26】
をそれぞれ、チャレンジ保持手段230、及び、署名パラメータ差分保持手段250に保持する。更に、プロバイダ・エージェント手段200中のレスポンス生成手段270は、署名パラメータ保持手段262に保持されている乱数
【数27】
、
署名パラメータ差分保持手段250に保持されている乱数
【数28】
チャレンジ保持手段230に保持されているチャレンジc、及び、秘密鍵保持手段220に保持されている
【数29】
から、以下の式により、レスポンスrを計算する。
【0155】
【数30】
プロバイダ・エージェント手段200は、計算したレスポンスrを符号化してメッセージを生成し、このメッセージを、ユーザ・エージェント手段300に送付する。
【0156】
ユーザ・エージェント手段300中のレスポンス検証手段370は、署名パラメータ保持手段360に保持されているW、署名パラメータ差分保持手段362に保持されている
【数31】
、
チャレンジ保持手段340に保持されているc、及び、アクセスID保持手段330に保持されている
【数32】
を用いて、以下の関係を検証し、関係が検証できない場合には処理を中止する。
【0157】
【数33】
上記の関係が検証できた場合は、後述する計算式から、
【数34】
及び
【数35】
を計算し、符号化してメッセージを作成し、このメッセージを検証手段100に送付する。ここで、上記の計算式とは下記の通りである。
【0158】
【数36】
検証手段100は、メッセージを復号して、
【数37】
と
【数38】
とを取得し、以下の関係が成立するか検査する。
【0159】
【数39】
検査の結果、上記関係が成立した場合、検証手段100は、ユーザがサービスへのアクセス権限を保有しているものと判断し、サービスの提供を許諾するシグナルを出力する。検査の結果、上記関係がが不成立の場合、検証手段100は、ユーザがサービスへのアクセス権限を保有していないものと判断し、サービスの提供を拒否するシグナルを出力する。
【0160】
追跡情報の暗号化
次に、検証手段100が追跡情報の開示を要求している場合の処理について述べる。
【0161】
検証手段100が、認証の開始を通知するメッセージ(シグナル)をユーザ・エージェント手段300に送付すると、ユーザ・エージェント手段300は、同メッセージ(シグナル)を復号後、情報開示判定手段320に送付する。情報開示判定手段320は、入力手段11及び表示手段12を利用して、ユーザから開示の可否の指示を受ける。
【0162】
ユーザが、追跡情報の開示を拒否した場合は、情報開示判定手段320は認証を中止する判定を行い、実際に、ユーザ・エージェント手段300は検証手段100との通信を中止する。
【0163】
一方、ユーザが、追跡情報の開示を許諾した場合は、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200にシグナルを送り、プロバイダ・エージェント手段200から
【数40】
を満足する数
【数41】
を受け取る。但し、
【数42】
は、プロバイダ・エージェント手段200が生成する乱数である。
【0164】
更に、ユーザ・エージェント手段は、乱数
【数43】
を生成し、更に、
【数44】
を計算し、
【数45】
をプロバイダ・エージェント手段200に送付する。
【0165】
プロバイダ・エージェント手段200は、ρを次の式で暗号化し、数eを得る。
【0166】
【数46】
eは、
【数47】
とペアとすることにより、いわゆる、ElGamal 暗号となる。実際、個人鍵σを保持するアクセス権限の発行者、すなわち、
【数48】
を生成する機関は、下式によりρを計算することができる。
【0167】
【数49】
一方、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200が出力したeが正しいρの暗号化であることを検証し、プロバイダ・エージェント手段200が、ユーザ・エージェント手段300(ユーザ)の意図に反して、ρ、従って、
【数50】
以外の情報を外部に開示していないことを検証する必要がある。
【0168】
しかしながら、ユーザ・エージェント手段200は、σを知らないので、eを復号して、ρと一致するかを検査することはできないという問題がある。
【0169】
この問題を解決するために、ユーザ・エージェント手段300は、プロバイダ・エージェント手段200に対して、
【数51】
を送付する。プロバイダ・エージェント手段200は、
【数52】
に対し、後述する式を用いて
【数53】
を計算して、ユーザ・エージェント手段300に出力する。この計算式は、
【数54】
である。
【0170】
ユーザ・エージェント手段300は、関係
【数55】
が成立するかを検査し、もし成立しない場合は、プロバイダ・エージェント手段200が不正な出力を行ったと判断して、認証を中止する。
【0171】
上記検査が有効である理由は、プロバイダ・エージェント手段200が正しくeを計算した場合には、上記関係は必ず成立するのに対し、プロバイダ・エージェント手段200に対して
【数56】
が秘密であるという前提の下で、不正なeが上記関係を満足する確率は1/nに等しく、無視しえるほど小さいからである。
【0172】
ユーザ・エージェント手段300は、eの検証後、
【数57】
に加えて、
【数58】
を検証装置100に送付する。検証装置100は個人鍵σにアクセスできないので、
【数59】
を受け取っても、ρ、即ち、
【数60】
を復号することはできず、従って、ユーザを追跡することはできない。つまり、アクセス権の発行者であり、サービスのオーナーである機関のみが、
【数61】
を復号してユーザを追跡することができる点が重要である。
【0173】
さて、上記手続きには、まだ、問題がある。即ち、ユーザ・エージェント手段300が、eを偽造して、追跡を免れようとする企てを、検証手段100が阻止できなければならない。この目的のためには、プロバイダ・エージェント手段200が、eに対して署名を付与すればよい。
【0174】
例えば、
【数62】
を計算し、
【数63】
を出力するようにすれば、検証手段100が、関係
【数64】
が成り立つことを検証できれば、即ち、電子署名
【数65】
の検証ができれば、r及びsがプロバイダ・エージェント手段200によって生成されたものであることを確認することができる。ρ以外の情報が開示されないことを保証するためには、ユーザ・エージェント手段300が、同じ関係
【数66】
を検査すればよい。
【0175】
【数67】
には、ユーザ・エージェント手段200が生成した乱数
【数68】
が含まれているため、追跡不能であることは、
【数69】
の場合と同様に示される。
【0176】
効果について
以上述べたように、本実施の形態によれば、第1の課題に関し、以下のような効果が得られる。
【0177】
すなわち、プロバイダ・エージェント手段とユーザ・エージェント手段が協力して作成する署名データの分布を所定の曲面上で一様に分布させる工夫により、追跡不能性を実現している。
【0178】
その一方で、現在最も高速なグループ署名とされる古川・今井(非特許文献1)の方式において、署名の生成及び検証における計算量が楕円曲線上でのスカラー倍演算に換算して49回であるのに対し、本実施の形態の方式では、情報を開示しないときには同じ換算で7回、情報を開示するときには21回に相当する計算量を必要とするのみであり、実行効率を改善している。
【0179】
また、本実施の形態によれば、第2の課題に関し、以下のような効果が得られる。
【0180】
すなわち、本実施の形態によれば、ユーザ・エージェント手段は、ユーザによる直接・間接の指示に基づいて、情報の開示を実施するのみならず、開示するべき情報もユーザ・エージェント手段が指定する。実際のインプリメントにおいては、ユーザ・エージェント手段は、ユーザが信頼するベンダから取得するソフトウェア、又は、所定のハードウェアで構成されている。したがって、その作用は完全に公開検証が可能であるという性質から、ユーザの同意に基づく情報の開示を実現している。
【0181】
また、換言すれば、従来のグループ認証では、2者(2プログラム)が強調して処理を行っているのに対して、本実施の形態では、3者(3プログラム)が強調して処理を行った結果、処理速度の向上という効果が得られたものである。
【実施例】
【0182】
本実施の形態にかかるアクセス制御システムを実際に運用した場合の例の説明図が図5に示されている。ここでは、例えば、音楽配信サービスの提供を行うシステムについて説明する。
【0183】
この図において、権限発行者400は、例えば音楽配信サービスを提供する音楽配信サイト、又は、そのサイトから委託を受けてアクセス権限(視聴権限)の発行を行う発行機関・発行サーバである。この権限発行者400は音楽配信サービスに関して、公開鍵410と秘密鍵412と、を作成し、公開鍵410を公開し、秘密鍵412は秘密に保持する。
【0184】
本実施の形態において特徴的なことは、権限発行者400が秘密鍵を算術和に分解していることである。そして、一方をアクセスIDとしてユーザに提供し、他方をそのユーザのユーザ端末に組み込まれている耐タンパー処理装置420に提供する。
【0185】
さて、算術和による分解の仕方はいくらでもありえる。したがって、各ユーザ毎に異なる分解を行うことによって、各ユーザ毎に異なるアクセスIDを発行することが可能である。ユーザ毎に異なるアクセスIDを作成した際に、当然、アクセスIDとの和が個人鍵と一致する秘密鍵もユーザ毎に異なる(図5参照)。この秘密鍵は耐タンパー処理装置420に秘密裏に送られる。具体的には何らかの暗号通信路を用いて耐タンパー装置420に送られ、耐タンパー装置420はこれを内部に保持する。暗号通信路はどのようなものでも良いが、一般的な公開鍵暗号を用いた通信路で秘密鍵を送ることが好ましい。例えば、Diffie-Hellman鍵交換アルゴリズムを適用することが好ましい。 なお、耐タンパー処理装置420は、上述した例でも示したように、ユーザ機器に装着するICカード、SIMカードなどのH/Wで実現されることが好ましい。また、耐タンパー処理装置420は、請求の範囲のプロバイダ・エージェント手段の好適な一例に相当する。
【0186】
なお、本実施例では、算術和を使用したが、他の種類の演算でもかまわない。
【0187】
一方、ユーザ毎に発行されたアクセスIDが、ユーザに提供されることによって、ユーザに音楽配信サービス利用の権限が与えられる。具体的には、ユーザはこのアクセスIDをユーザ機器内部の記憶手段に格納しておく。このアクセスIDは、ユーザがユーザ機器にインストールしたプログラムが利用する。このユーザ機器のコンピュータ(プロセッサ)は、このプログラムを実行することによってユーザ・エージェント手段430が構成される(図5参照)。なお、このプログラムそのものを、便宜上ユーザエージェント手段430と呼ぶ場合もある。
【0188】
ユーザはこのアクセスIDを用いて例えば音楽配信サービスを受けることが出来る。ユーザは例えば自分がダウンロードしたプログラム(ユーザエージェント手段430)にこのアクセスIDを管理させることが可能である。ユーザはユーザ端末(例えば音楽再生機能付き携帯電話)内にこのユーザエージェント手段430をインストールし、音楽配信サービスを受けさせるのである。
【0189】
グループ署名と本実施例
ここで、従来技術であるグループ署名と、本実施例とを対比して説明する。
【0190】
一般的に、電子署名と呼ばれるものは、各ユーザ毎に、公開鍵と、個人鍵(秘密鍵)とを定めている。各個人(例えばA氏)は自分しか知らない個人鍵を用いて署名を生成する。他人は公開されているA氏の公開鍵を用いて、それがA氏の署名であることを確認できる。
【0191】
さて、グループ署名の構成説明図が図6に示されている。グループ署名では、各個人が個人鍵を持っているが、公開鍵は1個だけである。各個人は、自分の(例えばA氏の)個人鍵をもちいて署名をすることが出来る。そして誰もが、公開されている公開鍵を用いてそれが(グループのメンバーの誰かの)正しい署名であることを確認することは出来るが、グループ中の「誰」の署名かを特定することが出来ない。このような構成によってグループ署名は各個人の匿名性を保証出来る有力な手段として知られている。
【0192】
なお、グループ署名では、特権者がおり、この特権者が保有する特権個人鍵を用いて、各署名が誰のものかを特定することも可能である。すなわち、通常は匿名であるが、問題が生じた場合にはその署名者を特定することが出来る仕組みを提供している。この様子が図7に示されている。
【0193】
このようにグループ署名は非常に有用な特性を有しているが、計算量が多く、迅速な処理は困難であった。
【0194】
これに対して、本実施例では、公開鍵と個人鍵とが1対1に対応している古典的なスキームを用いているので、迅速な処理が可能となっている。すなわち、本実施例は、公開鍵と個人鍵とが1対1に対応している昔からの仕組みを用いつつ(すなわち高速処理を可能としつつ)、ユーザの匿名性を担保しうる点を、特徴とするものである。
【0195】
このような特性を実現できたのは、上述したように、秘密鍵412を2つの部分(アクセスID+残余成分)に分けるという仕組みを採用したからである(図5参照)。これによって、各ユーザ毎にアクセスIDを設定することができ、従来のグループ署名のように各個人に秘密鍵を設定するのと同様の効果を得られたものである。
【0196】
上述したように、2つの部分に分ける演算はどのような演算でもかまわない。加算でも良いし、また乗算でもかまわない。また、算術演算だけでなく、ビット演算のような論理演算でもかまわない。
【0197】
サービス提供の実際
図5に戻って、ユーザがサービスの提供を受ける動作を説明する。
【0198】
ユーザはサービスを受けるために、権限検証者440に対してアクセスIDを呈示する。この際、図5に示すように乱数化してから呈示する。
【0199】
その一方、権限検証者440は、いわゆるチャレンジ−レスポンス認証するためにチャレンジを発行する。このチャレンジは耐タンパー処理装置420に渡され、耐タンパー処理装置はレスポンスを生成する。ユーザエージェント手段430は、このレスポンスを乱数化して権限検証者440に送る。
【0200】
ここで、留意すべき点は、アクセスIDの乱数化と、レスポンスの乱数化と、は関連のある処理である点である。これによって、権限検証者440は、チャレンジレスポンス認証が成功し、アクセスIDが正しいIDであることを確認することが可能である。この検証には、権限発行者400が発行した公開鍵410が必要であることはもちろんである。実際の処理(計算)についてこれまで述べた通りである。
【0201】
権限検証者440が、ユーザが正しい権限を有していると判断した場合には、ユーザは、サービス(例えば音楽配信サービス)を受けることが許可される。
【0202】
なお、乱数化は、所定の乱数に基づくスクランブル等を意味する。例えば、所定の乱数を発生させ、その乱数をアクセスIDに加算し、一方、その同じ乱数を用いて、レスポンスに所定のより複雑な演算を施す等の処理を実行する。これらの乱数化は、ユーザエージェント手段430が実行する。
【0203】
本実施の形態では、アクセスIDの乱数化と、レスポンスの乱数化に同じ乱数を用いたが、一般的に言えば、関連する乱数化であればよい。
【0204】
また、図5においては、権限発行者400は、サービス提供者と同じでも良いし、外部の者でもかまわない。権限発行者400は、ユーザがそのサービスを受ける権限を発行してもらう(アクセスIDを発行してもらう)際にその処理を実行するが、その後のサービス提供には関与していない。サービス提供の許可/不許可は、ユーザ(が使用するユーザ端末(例えば携帯電話、PDAなど))と、権限検証者440との間の通信によって行われる。
【0205】
権限検証者440がサービスの提供を許可した場合に、サービス提供者がサービスを提供するが、権限検証者440がサービス提供者と同一でもよい。同一サーバに、権限検証のためのプログラムと、サービス提供のためのプログラムが、共にインストールされ稼働している構成も不可能ではない。また、権限検証者440は、他のサーバ上で稼働するプログラムで実現しても良い。
【0206】
さらに、権限検証者440を実現するプログラムは、ユーザ端末に組み込まれる構成としても好適である。上述したように、ユーザ端末には、耐タンパー処理装置420が組み込まれるが、この耐タンパー装置420のハードウェアと権限検証者440のソフトウェアとが同一の端末装置に組み込まれていても良い。例えば、権限検証者440が端末内の音楽受信プログラムで実現され、ユーザエージェント手段430はこの音楽受信プログラムが受信した音楽をCD等に格納するユーザ側のプログラムとして実現されていても良い。
【図面の簡単な説明】
【0207】
【図1】本実施の形態におけるユーザ端末の構成図である。
【図2】本実施の形態における検証手段の構成図である。
【図3】本実施の形態におけるプロバイダ・エージェント手段の構成図である。
【図4】本実施の形態におけるユーザ・エージェント手段の構成図である。
【図5】本実施例の構成図である。
【図6】従来のグループ署名の説明図である。
【図7】従来のグループ署名の説明図である。
【符号の説明】
【0208】
10 ユーザ端末
11 入力手段
12 表示手段
13 通信手段
14 外部装置インターフェース
20 通信媒体
100 検証手段
101 通信手段
110 メッセージ解析手段
111 メッセージ生成手段
120 乱数化アクセスID保持手段
130 乱数生成手段
131 チャレンジ生成手段
140 チャレンジ保持手段
141 レスポンス検証手段
150 公開鍵保持手段
200 プロバイダ・エージェント装置
201 ホスト機器インターフェース
210 メッセージ解析手段
211 メッセージ生成手段
220 秘密鍵保持手段
230 チャレンジ保持手段
240 アクセスID差分保持手段
250 署名パラメータ差分保持手段
260 署名パラメータ生成手段
261 乱数生成手段
262 署名パラメータ保持手段
270 レスポンス生成手段
300 ユーザ・エージェント手段
310、313 メッセージ生成手段
311、312 メッセージ解析手段
320 情報開示判定手段
330 アクセスID保持手段
340 チャレンジ保持手段
350 アクセスID乱数化手段
351 アクセスID差分保持手段
360 署名パラメータ保持手段
361 署名パラメータ差分生成手段
362 署名パラメータ差分保持手段
370 レスポンス検証手段
380 レスポンス変換手段
390 乱数生成手段
400 権限発行者
410 公開鍵
412 秘密鍵
420 耐タンパー処理装置
430 ユーザエージェント手段
440 権限検証者
【特許請求の範囲】
【請求項1】
ユーザによるサービスや資源へのアクセスを制御するアクセス制御装置において、
アクセス権限の認証のために、電子署名の検証処理を実行する検証手段と、
耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、
前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、前記検証手段に出力するユーザ・エージェント手段と、
を含み、前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするアクセス制御装置。
【請求項2】
アクセス権限の認証のために、電子署名の検証処理を実行する外部の検証手段と、所定の通信を行い、所定のサービスに対するアクセス権限の認証を得るユーザ端末において、
耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、
外部の前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、外部の前記検証手段に出力するユーザ・エージェント手段と、
を含み、外部の前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするユーザ端末。
【請求項3】
コンピュータを、請求項1又は2記載のユーザエージェント手段として動作させるプログラムにおいて、前記コンピュータに、
前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介する手順と、
署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からのデータを乱数化する手順と、
前記乱数化したデータを、前記検証手段に出力する手順と、
を実行させることを特徴とするプログラム。
【請求項4】
前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする請求項1記載のアクセス制御装置。
【請求項5】
前記ユーザ・エージェント手段と前記プロバイダ・エージェント手段とが、前記ユーザが所持する同一のユーザ端末中に具備されることを特徴とする請求項1記載のアクセス制御装置。
【請求項6】
前記ユーザ・エージェント手段は、ユーザがダウンロード可能なプログラムであることを特徴とする請求項3に記載のアクセス制御装置。
【請求項7】
前記プロバイダ・エージェント手段は、ユーザ端末中に装着されるICチップであることを特徴とする請求項5に記載のアクセス制御装置。
【請求項8】
前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成されることを特徴とする請求項5記載のアクセス制御装置。
【請求項9】
前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着されるIC チップであることを特徴とする請求項5に記載のアクセス制御装置。
【請求項10】
前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成され、
前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着される耐タンパー処理装置であることを特徴とする請求項5に記載のアクセス制御装置。
【請求項11】
前記検証手段が所定のシグナルを送信して前記ユーザの追跡情報の開示を求めた場合、 前記ユーザ・エージェント手段は、前記シグナルを受信して情報の開示の可否を判断し、情報開示を許可する場合に限り開示するべき情報を前記プロバイダ・エージェント手段に入力し、
前記プロバイダ・エージェント手段は、入力された前記開示情報を特権秘密鍵を保有する者のみが復号できるように暗号化して、電子署名とともに出力し、
前記ユーザ・エージェント手段は、前記プロバイダ・エージェント手段による暗号化が前記開示情報以外を含んでいないことを検査し、前記開示情報以外の情報が暗号化されている場合には通信を遮断し、前記開示情報のみが暗号化されている場合には、前記追跡情報が含まれ、かつ、署名の検証式を満たすという特性を除いて、常に同一の分布を取るように前記プロバイダ・エージェント手段の出力を乱数化して前記検証手段に出力することを特徴とする請求項8〜10のいずれか1項に記載のアクセス制御装置。
【請求項12】
請求項11に記載のアクセス制御装置において、
情報の開示の可否をユーザから入力するユーザインタフェース、
を備え、
前記ユーザ・エージェント手段は、前記ユーザが該ユーザインタフェースを介して入力した指示に従って、情報の開示の可否を判断することを特徴とするアクセス制御装置。
【請求項13】
請求項4に記載のアクセス制御装置において、
前記ユーザが内容を指定する情報の開示の可否の判断の基準となる設定ファイルを格納した記憶手段、
を備え、
前記ユーザ・エージェント手段は、前記記憶手段中の前記設定ファイルの記載に基づき、情報の開示の可否を判断することを特徴とするアクセス制御装置。
【請求項14】
ユーザ・エージェント手段は、前記設定ファイル中の記載に基づき、サービス毎に情報の開示の可否を判断することを特徴とする請求項13に記載のアクセス制御装置。
【請求項15】
サービス毎に定まる一対の公開鍵ペアに対し、前記検証手段は、前記プロバイダ・エージェント手段が生成する電子署名の検証に前記公開鍵ペアのうち公開鍵を利用し、
前記プロバイダ・エージェント手段は電子署名の生成に安全に保持する秘密鍵を利用し、
更に、該秘密鍵は前記公開鍵ペアの個人鍵の一部であって、かつ、前記プロバイダ・エージェント手段毎に一意であることにより、特権秘密鍵を保有しない者は二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とする請求項1乃至11のいずれか1項に記載のアクセス制御装置。
【請求項16】
請求項1〜14のいずれか1項に記載のアクセス制御装置において。
前記検証手段は、サービス毎に定まる一対の公開鍵ペア中の公開鍵を利用して、前記プロバイダ・エージェント手段が生成する電子署名の検証を行い、
前記プロバイダ・エージェント手段は、前記公開鍵ペア中の個人鍵の一部である秘密鍵であって、前記プロバイダ・エージェント手段毎に一意に定められた前記秘密鍵を用いて、電子署名の生成を行い、
前記特権秘密鍵を保有しない者は所定の二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、前記特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とするアクセス制御装置。
【請求項17】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術和に分解した一方であることを特徴とするアクセス制御装置。
【請求項18】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術積に分解した一方であることを特徴とするアクセス制御装置。
【請求項19】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を所定の算術演算によって二つの成分に分解した一方であることを特徴とするアクセス制御装置。
【請求項20】
請求項17〜19のいずれか1項に記載のアクセス制御装置において、
前記ユーザエージェント手段は、アクセス識別子として、前記個人鍵を分解した他方のデータが供給され、前記ユーザエージェント手段は、そのアクセス識別子を乱数化して前記検証手段に送信することを特徴とするアクセス制御装置。
【請求項21】
前記プロバイダ・エージェント手段が保持する前記秘密鍵を補完して前記公開鍵ペアの個人鍵を構成する補完部分を、アクセス識別子として前記ユーザ・エージェント手段が保持し、
前記ユーザ・エージェント手段は、前記アクセス識別子を用いて前記プロバイダ・エージェント手段の出力を乱数化することを特徴とする請求項15〜20のいずれか1項に記載のアクセス制御装置。
【請求項22】
アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とする発行手段、
を含み、前記発行手段は、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする請求項21に記載のアクセス制御装置。
【請求項23】
請求項1〜22のいずれかに記載のアクセス制御装置に対して、サービス権限の発行を行う発行装置において、
アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とし、
前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする権限発行装置。
【請求項24】
前記ユーザ・エージェント手段が前記プロバイダ・エージェント手段に入力する前記開示情報が、前記アクセス識別子、または、前記アクセス識別子を計算するのに十分な情報であることを特徴とする請求項15〜20のいずれか1項に記載のアクセス制御装置。
【請求項25】
前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との和が前記公開鍵ペアの個人鍵と一致することを特徴とする請求項21に記載のアクセス制御装置。
【請求項26】
前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との積が前記公開鍵ペアの個人鍵と一致することを特徴とする請求項21に記載のアクセス制御装置。
【請求項27】
前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする請求項2記載のユーザ端末。
【請求項28】
前記乱数化手順における乱数化した出力が、一様な分布であることを特徴とする請求項3記載のプログラム。
【請求項29】
前記ユーザ・エージェント手段は、ユーザが保持する通信機能を有するユーザ端末上に実装され、前記プロバイダ・エージェントは通信機能を有し、ユーザが保持する別のデバイスとして実装され、両者が互いに通信することで前記機能を実現することを特徴とする請求項1記載のアクセス制御装置。
【請求項1】
ユーザによるサービスや資源へのアクセスを制御するアクセス制御装置において、
アクセス権限の認証のために、電子署名の検証処理を実行する検証手段と、
耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、
前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、前記検証手段に出力するユーザ・エージェント手段と、
を含み、前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするアクセス制御装置。
【請求項2】
アクセス権限の認証のために、電子署名の検証処理を実行する外部の検証手段と、所定の通信を行い、所定のサービスに対するアクセス権限の認証を得るユーザ端末において、
耐タンパー特性を備える処理装置であり、アクセス権限の証明のために電子署名の生成処理を実行するプロバイダ・エージェント手段と、
外部の前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介し、署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からの出力を乱数化した後、外部の前記検証手段に出力するユーザ・エージェント手段と、
を含み、外部の前記検証手段への出力の分布が常に一定であることから前記ユーザを追跡する情報が前記検証手段に開示されないことを特徴とするユーザ端末。
【請求項3】
コンピュータを、請求項1又は2記載のユーザエージェント手段として動作させるプログラムにおいて、前記コンピュータに、
前記検証手段と前記プロバイダ・エージェント手段との間の通信を傍受・仲介する手順と、
署名の特性を保持したまま常に同一の分布をとるように前記プロバイダ・エージェント手段からのデータを乱数化する手順と、
前記乱数化したデータを、前記検証手段に出力する手順と、
を実行させることを特徴とするプログラム。
【請求項4】
前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする請求項1記載のアクセス制御装置。
【請求項5】
前記ユーザ・エージェント手段と前記プロバイダ・エージェント手段とが、前記ユーザが所持する同一のユーザ端末中に具備されることを特徴とする請求項1記載のアクセス制御装置。
【請求項6】
前記ユーザ・エージェント手段は、ユーザがダウンロード可能なプログラムであることを特徴とする請求項3に記載のアクセス制御装置。
【請求項7】
前記プロバイダ・エージェント手段は、ユーザ端末中に装着されるICチップであることを特徴とする請求項5に記載のアクセス制御装置。
【請求項8】
前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成されることを特徴とする請求項5記載のアクセス制御装置。
【請求項9】
前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着されるIC チップであることを特徴とする請求項5に記載のアクセス制御装置。
【請求項10】
前記ユーザ・エージェント手段は、前記ユーザが前記ユーザ端末中にインストールしうるプログラム及びそれを実行するコンピュータから構成され、
前記プロバイダ・エージェント手段は、前記ユーザ端末中に装着される耐タンパー処理装置であることを特徴とする請求項5に記載のアクセス制御装置。
【請求項11】
前記検証手段が所定のシグナルを送信して前記ユーザの追跡情報の開示を求めた場合、 前記ユーザ・エージェント手段は、前記シグナルを受信して情報の開示の可否を判断し、情報開示を許可する場合に限り開示するべき情報を前記プロバイダ・エージェント手段に入力し、
前記プロバイダ・エージェント手段は、入力された前記開示情報を特権秘密鍵を保有する者のみが復号できるように暗号化して、電子署名とともに出力し、
前記ユーザ・エージェント手段は、前記プロバイダ・エージェント手段による暗号化が前記開示情報以外を含んでいないことを検査し、前記開示情報以外の情報が暗号化されている場合には通信を遮断し、前記開示情報のみが暗号化されている場合には、前記追跡情報が含まれ、かつ、署名の検証式を満たすという特性を除いて、常に同一の分布を取るように前記プロバイダ・エージェント手段の出力を乱数化して前記検証手段に出力することを特徴とする請求項8〜10のいずれか1項に記載のアクセス制御装置。
【請求項12】
請求項11に記載のアクセス制御装置において、
情報の開示の可否をユーザから入力するユーザインタフェース、
を備え、
前記ユーザ・エージェント手段は、前記ユーザが該ユーザインタフェースを介して入力した指示に従って、情報の開示の可否を判断することを特徴とするアクセス制御装置。
【請求項13】
請求項4に記載のアクセス制御装置において、
前記ユーザが内容を指定する情報の開示の可否の判断の基準となる設定ファイルを格納した記憶手段、
を備え、
前記ユーザ・エージェント手段は、前記記憶手段中の前記設定ファイルの記載に基づき、情報の開示の可否を判断することを特徴とするアクセス制御装置。
【請求項14】
ユーザ・エージェント手段は、前記設定ファイル中の記載に基づき、サービス毎に情報の開示の可否を判断することを特徴とする請求項13に記載のアクセス制御装置。
【請求項15】
サービス毎に定まる一対の公開鍵ペアに対し、前記検証手段は、前記プロバイダ・エージェント手段が生成する電子署名の検証に前記公開鍵ペアのうち公開鍵を利用し、
前記プロバイダ・エージェント手段は電子署名の生成に安全に保持する秘密鍵を利用し、
更に、該秘密鍵は前記公開鍵ペアの個人鍵の一部であって、かつ、前記プロバイダ・エージェント手段毎に一意であることにより、特権秘密鍵を保有しない者は二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とする請求項1乃至11のいずれか1項に記載のアクセス制御装置。
【請求項16】
請求項1〜14のいずれか1項に記載のアクセス制御装置において。
前記検証手段は、サービス毎に定まる一対の公開鍵ペア中の公開鍵を利用して、前記プロバイダ・エージェント手段が生成する電子署名の検証を行い、
前記プロバイダ・エージェント手段は、前記公開鍵ペア中の個人鍵の一部である秘密鍵であって、前記プロバイダ・エージェント手段毎に一意に定められた前記秘密鍵を用いて、電子署名の生成を行い、
前記特権秘密鍵を保有しない者は所定の二つの署名が同一のプロバイダ・エージェント手段により生成されたか否かを判断することが出来ず、かつ、前記特権秘密鍵を保有する者のみが前記の判断を行うことができることを特徴とするアクセス制御装置。
【請求項17】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術和に分解した一方であることを特徴とするアクセス制御装置。
【請求項18】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を二つの成分の算術積に分解した一方であることを特徴とするアクセス制御装置。
【請求項19】
請求項16記載のアクセス制御装置において、
前記公開鍵ペア中の個人鍵の一部である秘密鍵は、前記個人鍵を所定の算術演算によって二つの成分に分解した一方であることを特徴とするアクセス制御装置。
【請求項20】
請求項17〜19のいずれか1項に記載のアクセス制御装置において、
前記ユーザエージェント手段は、アクセス識別子として、前記個人鍵を分解した他方のデータが供給され、前記ユーザエージェント手段は、そのアクセス識別子を乱数化して前記検証手段に送信することを特徴とするアクセス制御装置。
【請求項21】
前記プロバイダ・エージェント手段が保持する前記秘密鍵を補完して前記公開鍵ペアの個人鍵を構成する補完部分を、アクセス識別子として前記ユーザ・エージェント手段が保持し、
前記ユーザ・エージェント手段は、前記アクセス識別子を用いて前記プロバイダ・エージェント手段の出力を乱数化することを特徴とする請求項15〜20のいずれか1項に記載のアクセス制御装置。
【請求項22】
アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とする発行手段、
を含み、前記発行手段は、前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする請求項21に記載のアクセス制御装置。
【請求項23】
請求項1〜22のいずれかに記載のアクセス制御装置に対して、サービス権限の発行を行う発行装置において、
アクセス権限の発行に際して、前記プロバイダ・エージェント手段と秘密裏に鍵交換を行い、交換した鍵を前記プロバイダ・エージェント手段が保持する秘密鍵とし、
前記公開鍵ペアの個人鍵と前記秘密鍵とからアクセス識別子を計算し、前記ユーザ・エージェント手段に発行することを特徴とする権限発行装置。
【請求項24】
前記ユーザ・エージェント手段が前記プロバイダ・エージェント手段に入力する前記開示情報が、前記アクセス識別子、または、前記アクセス識別子を計算するのに十分な情報であることを特徴とする請求項15〜20のいずれか1項に記載のアクセス制御装置。
【請求項25】
前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との和が前記公開鍵ペアの個人鍵と一致することを特徴とする請求項21に記載のアクセス制御装置。
【請求項26】
前記プロバイダ・エージェント手段が保持する前記秘密鍵と前記ユーザ・エージェント手段が保持する前記アクセス識別子との積が前記公開鍵ペアの個人鍵と一致することを特徴とする請求項21に記載のアクセス制御装置。
【請求項27】
前記ユーザ・エージェント手段が乱数化した出力が、一様な分布であることを特徴とする請求項2記載のユーザ端末。
【請求項28】
前記乱数化手順における乱数化した出力が、一様な分布であることを特徴とする請求項3記載のプログラム。
【請求項29】
前記ユーザ・エージェント手段は、ユーザが保持する通信機能を有するユーザ端末上に実装され、前記プロバイダ・エージェントは通信機能を有し、ユーザが保持する別のデバイスとして実装され、両者が互いに通信することで前記機能を実現することを特徴とする請求項1記載のアクセス制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−278144(P2008−278144A)
【公開日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願番号】特願2007−118546(P2007−118546)
【出願日】平成19年4月27日(2007.4.27)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 2006年11月9日 社団法人 情報処理学会発行の「情報処理学会研究報告会(2006/11/9〜10) 2006−UBI−12講演予稿集」に発表
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 2007年2月22日 社団法人 情報通信学会発行の「情報処理学会研究報告会(2007/2/22〜23) 2007−MBL−40,2007−UBI−13講演予稿集」に発表
【出願人】(504137912)国立大学法人 東京大学 (1,942)
【Fターム(参考)】
【公開日】平成20年11月13日(2008.11.13)
【国際特許分類】
【出願日】平成19年4月27日(2007.4.27)
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 2006年11月9日 社団法人 情報処理学会発行の「情報処理学会研究報告会(2006/11/9〜10) 2006−UBI−12講演予稿集」に発表
【新規性喪失の例外の表示】特許法第30条第1項適用申請有り 2007年2月22日 社団法人 情報通信学会発行の「情報処理学会研究報告会(2007/2/22〜23) 2007−MBL−40,2007−UBI−13講演予稿集」に発表
【出願人】(504137912)国立大学法人 東京大学 (1,942)
【Fターム(参考)】
[ Back to top ]