仮名の発生及び認証のための方法及び装置
本発明は、仮名の発生及び認証のための方法及び装置を提供するものである。上記方法は、ユーザのアイデンティティIDuserを個人アイデンティティマネージャPIMに送信するステップと、該PIMから上記IDuserに対応する主仮名Pprime及び一群の公開パラメータを受信するステップと、少なくとも2つのランダムパラメータを選択すると共に、該少なくとも2つのランダムパラメータ、上記一群の公開パラメータ及び上記主仮名Pprimeを用いて副仮名Ppseuを発生するステップとを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、広くはユーザのプライバシを保護する方法及び装置に係り、更に詳細にはユーザのプライバシを仮名により保護する方法及び装置に関する。
【背景技術】
【0002】
電子技術の発展により、電子医療システムは近代的医療組織において広く採用されるようになっており、ユーザ(例えば、患者)の個人情報及び医療記録(病状履歴及び検査記録等の)を維持及び管理するようになっている。しかしながら、電子記録は盗み及び流布に対して弱い。従って、近代的医療システムのセキュリティ問題は、重大な関心事である。
【0003】
電子医療システムのセキュリティを改善するために、ユーザのプライバシを保護する2つの方法、即ち匿名化及び仮名化が提案されている。匿名化の目的は、ユーザの本当の素性(アイデンティティ)と該ユーザの医療記録との間の関連を除くことである。言い換えると、匿名化方法においては、ユーザに関する個人情報は記録されず、医療記録のみが保持される。このような匿名化方法では、ユーザの素性は安全に保護されるが、ユーザを、医療記録を介して追跡することはできない。仮名化方法が、匿名化方法に基づいて開発されている。仮名化方法では、ユーザの実際の(本当の)素性と該ユーザの医療記録との間の関係は除かれており、ユーザの医療記録と該ユーザの仮名の1以上との間で、対応関係が確立される。従って、該仮名化方法は、ユーザの個人情報の保護及び該ユーザの医療記録の追跡可能性をもたらす。
【0004】
図1は、医療情報技術規格委員会(Health Information Technology Standards Panel: HITSP)により開発された現在の仮名化メカニズムを図示している。図1に示されたように、ユーザU100が病院に行った場合、ステップS110において、該ユーザは当該病院の医療システムD110に対して該ユーザの本当の素性を識別するユーザアイディIDuserを提供する。ステップS120において、医療システムD110は上記IDuserを個人識別子相互参照(PIX)マネージャD120に送る。ステップS130において、PIXマネージャD120は上記IDuserを記憶すると共に、ステップS140において仮名サーバD140に当該ユーザに対して仮名を割り当てるべく仮名の発生を要求する。ステップS150において、仮名サーバD140は上記要求に応じて当該ユーザのための仮名Ppseuを発生する。そして、ステップS160において、仮名サーバD140は、発生された仮名PpseuをPIXマネージャD120に返送する。ステップS170において、PIXマネージャD120は、受信された仮名Ppseuを、前記IDuserと1対1の関連で記憶し、ステップS180において、該仮名Ppseuを含む仮名証明を医療システムD110に返送する。次いで、当該病院の医療システムD110はステップS190において該仮名証明を登録し、ステップS195において該仮名証明をユーザU100に返送する。このようにして、ユーザU100は当該病院において該割り当てられた仮名を用いて診断又は治療を受けることができ、該ユーザの医療記録は該仮名の名前で記録される。代わりに、上記病院は、所望に応じて、PIXマネージャD120から上記ユーザの本当の素性を、この仮名証明を用いて得ることができ、かくして、追跡可能性を達成することができる。
【0005】
残念ながら、図1に示されたような現在の仮名化方法は幾つかの欠点を有している。
【0006】
第1に、セキュリティ若しくはプライバシを考慮して、又は以前に発生された仮名をユーザが失ってしまったために、ユーザは病院に行くたびに新たな仮名の発生を要求し得るか、又は種々の病気に対して同一の病院で診断及び/又は治療が行われるように複数の異なる新たな仮名の発生をも要求しかねない。この場合、図1の仮名サーバD140は当該ユーザに対して頻繁に仮名を発生しなければならず、これは該仮名サーバに対する重い作業負荷となる。一方、前記PIXマネージャ(PIM)も、ユーザの本当の素性と多数の仮名との間の対応関係を記憶しなければならない。従って、該PIMは大記憶容量のデータベースを備えなければならず、これは該サーバのコストを増加させることになる。
【0007】
第2に、仮名サービスの提供は、一般的に極めて地域的なものである。即ち、ローカル仮名サーバ及びアイデンティティマネージャは、仮名サービスを、これらのサービス範囲内のローカルな病院における医療システム又は同一の仮名化サービスメカニズムを採用している医療システムに対してしか提供することができない。言い換えると、医療システムがユーザに対して仮名を発生すると、異なる地域における又は異なる仮名化メカニズムを持つ医療システムは、同じユーザに対して仮名を識別することができない。従って、ユーザが或る地域から他の新しい地域へと移動する毎に、該ユーザは、この新しい地域において有効な仮名を取得するために、該新しい地域におけるPIMに対し自身の本当の素性を開示しなければならず、その後に、該ユーザは当該病院において扱われるべき該仮名を使用することになる。これは、ユーザに対して大きな不便を与える。
【0008】
第3に、幾つかの信頼に基づく場合において、ユーザは、自身の本当の素性を、他の見知らぬ地域におけるPIMに対してではなく、自身で信頼の置けるローカルなPIMに対してのみ開示したいものである。この点に関して、現在の仮名化方法は、非常に限られた地域においてしか適用することができない。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従って、ユーザが地域間共通の医療サービスを容易且つ安全に受けるのを助ける、仮名発生及び認証のための改善された方法及び装置に対する需要が存在する。
【0010】
本発明の一つの目的は、地域にまたがるアイデンティティ識別がなされ得る、仮名発生及び認証のための方法及び装置を提供することにある。
【0011】
本発明の他の目的は、サーバの作業負荷を軽減することが可能な、仮名発生及び認証のための方法及び装置を提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明は、個人アイデンティティマネージャ(PIM)における仮名発生のための方法を提供する。該方法は、一群の公開パラメータ(public parameters)及び一群の秘密パラメータ(private parameters)を決定するステップと、ユーザ装置からユーザアイデンティティIDuserを受信するステップと、主仮名(prime pseudonym)
【数1】
(ここで、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されたランダム数であり、pは選択された素数である)を前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生するステップと、前記主仮名Pprime及び前記一群の公開パラメータを前記ユーザ装置に送信するステップとを有する。
【0013】
この方法によれば、ユーザは、上記PIMに対して初期登録をする場合に、一度だけ主仮名が提供されるのみである。同じユーザのために頻繁に複数の仮名を発生する必要はない。このようにして、この方法により、上記PIMの作業負荷は軽減され得る。
【0014】
前記目的を達成するため、本発明は、ユーザ装置における仮名発生のための方法を提供する。該方法は、ユーザアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するステップと、該PIMから一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するステップと、少なくとも2つのランダムパラメータを選択するステップと、前記少なくとも2つのランダムパラメータ、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて副仮名(sub-pseudonym)Ppseuを発生するステップとを有する。
【0015】
この方法によれば、上記ユーザ装置は副仮名を上記PIMから得られた主仮名に基づいて自ら発生することができる。更に、上記副仮名は少なくとも2つのランダムパラメータを用いることにより発生されるので、発生された副仮名は主仮名に関する情報を非常に良好に覆い隠し、発生される複数の副仮名の間には何の関連も存在しない。この場合において、たとえ1以上の副仮名が盗聴されたとしても、盗聴者は、これら盗聴された副仮名を用いて当該ユーザの主仮名を逆導出することはできない、このようにして、該仮名発生メカニズムは高いレベルの安全性を有する。
【0016】
前記目的を達成するため、本発明は、第三者装置における仮名認証のための方法を提供する。該方法は、副仮名Ppseu及びユーザ装置から個人アイデンティティマネージャ(PIM)を識別するための識別子IDserverを受信するステップと、前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得するステップと、前記副仮名Ppseuの有効性(validation)を前記一連の公開パラメータに基づいて前記ユーザ装置と対話することにより認証(authenticate)するステップとを有する。
【0017】
この方法によれば、上記PIMに依存する又は該PIMとは独立の如何なる第三者装置も、ユーザ装置から供給される副仮名の有効性を、該PIMから取得された一群の公開パラメータに基づいて該ユーザ装置と対話することにより認証することができる。このようにして、上記副仮名の使用は、最早、地域限定的ではない。上述した方法によれば、如何なる地域内の病院における医療システムも、ユーザの副仮名を識別することができると共に、次いで、該ユーザの本当の素性を、該ユーザに前記主仮名を割り当てた対応するPIMを用いて追跡することができる。
【0018】
本発明の他の態様によれば、個人アイデンティティマネージャ(PIM)が提供され、該PIMは、一群の公開パラメータ及び一群の秘密パラメータを決定するように構成された決定ユニットと、ユーザアイデンティティIDuserを受信するように構成された受信ユニットと、主仮名(prime pseudonym)
【数2】
(ここで、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されたランダム数であり、pは選択された素数である)を前記一群の秘密パラメータ及び前記IDuserに基づいて発生するように構成された発生ユニットと、前記主仮名Pprimeをユーザ装置に送信するように構成された送信ユニットとを有する。
【0019】
本発明の他の態様によれば、ユーザ装置が提供され、該ユーザ装置は、ユーザアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するように構成された送信ユニットと、該PIMから一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するように構成された受信ユニットと、少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生するように構成された発生ユニットとを有する。
【0020】
本発明の他の態様によれば、ユーザがサービスを要求することができる第三者装置が提供され、該第三者装置は、副仮名Ppseu及びユーザ装置から個人アイデンティティマネージャ(PIM)を識別するための識別子IDserverを受信するように構成された受信ユニットと、前記ユーザ装置に情報を送信するように構成された送信ユニットと、前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得するように構成された取得ユニットと、前記副仮名Ppseuの有効性を前記一連の公開パラメータに基づいて前記送信ユニット及び前記受信ユニットを介して前記ユーザ装置と対話することにより認証するよう構成された認証ユニットとを有する。
【0021】
他の目的及び成果並びに本発明の一層完全な理解は、添付図面との関連でなされる下記の説明及び請求項から明らかとなり、これらを参照して解説されるであろう。
【図面の簡単な説明】
【0022】
【図1】図1は、現在の仮名化方法のフローチャートの一例を示す。
【図2】図2は、本発明の一実施例による仮名発生及び認証のための方法のフローチャートを示す。
【図3】図3は、本発明の一実施例による副仮名の認証のための方法のフローチャートを示す。
【図4】図4は、本発明の一実施例による仮名発生及び認証のための方法における種々の主体間で供給されるメッセージを示す。
【図5】図5は、本発明の一実施例によるアイデンティティマネージャの構成を示す。
【図6】図6は、本発明の一実施例によるユーザ装置の構成を示す。
【図7】図7は、本発明の一実施例による第三者装置の構成を示す。
【発明を実施するための形態】
【0023】
以下、本発明を、添付図面を参照して例示として更に詳細に説明する。尚、全図を通して、同一の符号は、同様の若しくは対応するフィーチャ又は機能を示すものと理解されたい。
【0024】
本発明の一実施例による仮名発生及び認証のための方法及び装置を説明するために、医療システムを一例として挙げる。しかしながら、当業者であれば、本発明による仮名発生及び認証のための方法及び装置は病院における適用例に限定されるものではなく、ユーザの本当の素性が保護されるべき他の分野にも等しく適用され得ることが分かるであろう。例えば、仮名発生及び認証のための本方法及び装置は、電子取引(cyber shopping)、図書管理(book management)等の分野にも等しく適用可能であり得る。
【0025】
図2は、本発明の一実施例による仮名発生及び認証のための方法を図示している。図1とは対照的に、図2に示された方法は、3つの主体、即ち病院で使用するための医療システムD210、個人アイデンティティマネージャ(PIM)D220及びユーザ装置D230を含んでいる。
【0026】
図2において、医療システムD210は、病院に設置され、該病院のユーザの医療記録(health records)等を管理及び記憶するように構成されている。PIM D220は、ユーザの本当の素性(アイデンティティ)を管理及び記憶するように構成されたサーバである。図2に示された実施例において、該PIM D220は、仮名割り当て機能が組み込まれ、登録されたユーザに対して固有の主仮名(prime pseudonym)Pprimeを発生することができる。しかしながら、本発明において、該主仮名は当該病院内での使用に限定されるものではない。他の例として、上記仮名割り当て機能は、PIM D220とは独立の装置で実施化することもできる。例えば、図1に示されたHITSPシステムにおいて、PIXマネージャはユーザの本当の素性を記憶及び管理することができる一方、仮名サーバは主仮名割り当て機能を実施化することができる。HITSPシステムの場合、このように、図2のPIM D220は前記PIXマネージャと前記仮名サーバとの組み合わせに対応する。
【0027】
図2におけるユーザ装置D230は、PIM D220により発生された主仮名Pprimeに基づいて1以上の副仮名Ppseuを自動的に発生するように構成された処理能力を持つ、携帯電話、PDA、ノートブック又はスマートカード等の如何なる装置とすることもできる。上記副仮名Ppseuは、当該ユーザが該病院に行ったときに医療システムD210に登録される。ユーザ装置D230の副仮名発生機能は、例えば、該ユーザ装置D230にロードされたアプリケーションソフトウェア内で、又は該ユーザ装置に接続することが可能な機能ハードウェアモジュール内で実施化することができ。
【0028】
図2を参照して、本発明の一実施例による仮名発生及び認証方法の動作を詳細に説明する。図2に示された実施例において、本発明による仮名発生及び認証のための本方法は、5つのフェーズに分割することができる。即ち、準備(セットアップ)フェーズS210、主仮名登録フェーズS230、副仮名発生フェーズS250、副仮名認証フェーズS270及びユーザアイデンティティ追跡フェーズS290である。しかしながら、当業者であれば、本発明は該実施例に限定されるものではないことが分かるであろう。むしろ、該実施例における幾つかのステップ(例えば、ユーザアイデンティティ追跡フェーズ)は必要に応じて省略され得るか、又は幾つかのステップは互いに交じり合うことができる。上記5つのフェーズの固有の処理を図2を参照して説明する。
【0029】
[準備]
図2に示される仮名発生及び認証のための方法は、アイデンティティに基づく暗号化(IBE)方法に基づいて提案される。初期準備フェーズS210において、PIM D220は、IBE方法に基づいて仮名発生及び認証のために使用される一群の秘密パラメータ(private parameters)及び一群の公開パラメータ(public parameters)を決定する。
【0030】
ステップS211において、PIM D220は基本パラメータを選択する。即ち、PIM D220は、先ず2つの素数p及びqを選択すると共に、整数mod pのドメイン(即ち、ドメインZp)からランダム数∂∈Zpを選択する。次いで、PIM D220はq mod p次の2つの群G1及びG2を選択する。言い換えると、選択された群G1及びG2の各々は、q個の有限の要素を有し、群G1又はG2はドメインZpの部分集合である。また、PIM D220は、G1とG2との間で使用されるべき双線形マップ
【数3】
を選択する。ここで、双線形マップ
【数4】
は、全ての
【数5】
に対しては、
【数6】
が群G2における要素であることを示し、即ち、
【数7】
であり、如何なる
【数8】
に対しても、
【数9】
であることを示す。次いで、PIM D220は、群G1からランダム生成元(random generator)
【数10】
を選択すると共に、2つの一方向性ハッシュ関数H1及びH2を選択する。これら2つのハッシュ関数は、
【数11】
及び
【数12】
なる条件を満足する。言い換えると、H1は任意の長さを持つ0及び1の系列(例えば、文字列を表す)を群G1内の要素にマッピングする第1の一方向性ハッシュ関数であり、H2は群G2内の要素を任意の長さを持つ0及び1の系列にマッピングする第2の一方向性ハッシュ関数である。
【0031】
上記の基本的パラメータを選択した後に、ステップ213において、PIM D220は、上記パラメータから
【数13】
を選択して一群の公開パラメータを形成すると共に、∂及びH1を一群の秘密パラメータとして選択する。ここで、上記公開パラメータの群
【数14】
は公開され、他の装置のうちの如何なるものも該公開パラメータの群をPIM D220から得ることができる。一方、上記秘密パラメータの群{∂,H1}は秘密に保たれ、従って、主仮名Pprimeは、ユーザにより登録がなされた場合に該ユーザのために安全に発生することができる。
【0032】
[登録]
ユーザは、初めて病院に行く前に、主仮名を得るべく、登録フェーズS230において信頼のおけるローカルなPIM D220に対し登録することを選択することができる。
【0033】
詳細には、ステップS231において、ユーザは、自身が持つユーザ装置D230(PDA等の)を使用して、登録リクエストにおいてPIM D220に対し自身の本当の素性を識別するユーザアイデンティティIDuserを送信することができる。ステップS233において、PIM D220は、受信されたIDuserをユーザアイデンティティデータベースに記憶すると共に、該受信されたIDuser及び先に決定された一群の秘密パラメータ{∂,H1}を用いて主仮名
【数15】
を発生する。該主仮名は、一方の項がIDuserに対し秘密第1一方向性ハッシュ関数を適用することにより計算される第1ハッシュ値であり、他方の項が該第1ハッシュ値の∂乗であるような二進群である。次いで、ステップ235において、PIM D220は、該発生された主仮名Pprimeを一群の公開パラメータと一緒に、成功した登録を示す応答として上記ユーザ装置D230に送信する。ステップS237において、ユーザ装置D230は、該受信された主仮名Pprime及び上記一群の公開パラメータを記憶し、かくして、対応する副仮名を将来所望に応じて発生することができる。そして、当該登録処理は終了する。
【0034】
[副仮名の発生]
図2に示された実施例においてPIM D220がユーザに対して頻繁に仮名を発生するのを防止するために、該PIM D220により発生された主仮名Pprimeは実際に病院においては使用されない。逆に、フェーズS250において、ユーザが病院に行く都度、ユーザ装置D230はPIM D220から得られた主仮名Pprimeに基づいて少なくとも1つの副仮名を自ら発生する。
【0035】
詳細には、ステップS251において、ユーザ装置D230は、記憶された公開パラメータの群に基づいて、例えばドメインZpから2つのランダム数k1,k2∈Zpを選択する。次いで、ステップS253において、ユーザ装置D230は、上記の2つの選択されたランダム数、前記一群の公開パラメータ及び主仮名Pprimeを用いて副仮名を発生する。このステップにおいて、ユーザ装置D230は先ず下記のパラメータを計算することができる:
【数16】
ここで、
【数17】
であり、k2-1はランダム数k2の逆数、即ちk2k2-1mod p=1である。
【0036】
次いで、ユーザ装置D230は、上記の計算されたパラメータに基づいて3つの項を含む副仮名
【数18】
を発生する。
【0037】
上記ステップS251〜S253により、ユーザ装置D230は、異なるランダム数k1,k2∈Zpを選択することにより異なる副仮名を自ら発生することができる。ここで、前記主仮名に関する情報は斯かる副仮名において安全に隠されている。何故なら、ランダム数k1,k2∈Zpが副仮名の発生に使用されるからである。他者にとり、主仮名に関する情報を、盗まれた副仮名に基く逆計算により計算することは困難であろう。更に、k1及びk2はランダムに選択されるので、同一のユーザ装置D230により発生される幾つかの副仮名の間には関連する特性は存在しない。このようにして、ユーザ装置D230により発生された副仮名が他者により盗まれたとしても、該ユーザ装置にPIMにより割り当てられた主仮名を、これらの副仮名に基づいて導出することは不可能である。このように、ユーザは、自身に対して発生された副仮名を安全に使用することができる。
【0038】
更に、この実施例では副仮名の発生のために2つのランダム数が使用されているが、当業者であれば、計算ずくの設計で3以上のランダムパラメータを用いて副仮名を発生することもできることが分かるであろう。従って、本発明は、この実施例に示されたような2つのランダム数に限定されるものではない。
【0039】
[副仮名の認証]
ユーザが病院に行く度に、該ユーザは、該病院の医療システムに登録すべく前記の発生された副仮名を使用する。フェーズ270において、当該病院の医療システムD210は、先ず、ユーザ装置D230により供給された副仮名の有効性を認証する。即ち、医療システムD210は、当該ユーザの本当の素性を対応するPIMから追跡することができることを裏付けるために、当該副仮名が上記PIMにより該ユーザに割り当てられた主仮名に基づいて発生されているかを確認する。
【0040】
図2に示されたように、認証処理はステップS271で開始する。ステップS271において、ユーザ装置D230は医療システムD210へ、自力発生した副仮名
【数19】
及びローカルPIM D220の識別子IDserver(例えば、PIM D220の名前又はアドレス)を送信する。ステップS272において、医療システムD210は、受診されたIDserverに基づいて、対応するPIM D220から一群の公開パラメータ
【数20】
を取得する。該一群の公開パラメータが取得された後、医療システムD210は、ユーザ装置D230により供給された副仮名の有効性(validation)を、ステップS273において当該ユーザ装置と対話することにより認証することができる。
【0041】
ステップS273における認証処理は、種々の態様で実施することができる。例えば、当該ユーザが医療システムD210(例えば、ローカル医療システム)を完全に信頼する場合、該医療システムD210は主仮名をユーザ装置D230から取り出すことができる。ユーザ装置D230から主仮名が得られた後、医療システムD210は、当該副仮名が上記主仮名に基づいて発生されていること、及び該主仮名がIDserverにより識別されるPIM D220により割り当てられていることを、当該ユーザにより供給される主仮名及び副仮名に基づいて認証することができる。もっと好ましくは、ステップS273において、医療システムD210は、上記副仮名を、ユーザ装置D230と零知識証明を交換することにより認証することもできる。ユーザ装置D230にとり、該零知識交換過程において、医療システムD210に対し自身の主仮名に関する情報を開示する必要はないので、該方法は一層安全である。零知識証明の交換は、種々の態様で実施化することができる。図3は、斯かる実施化の一例のみを示す。
【0042】
図3に示されるように、ステップS373において、医療システムD210は、前記一群の公開パラメータにおけるパラメータpに基づいて、ドメインZpからランダム数tを、即ちt∈Zpを選択する。一方、医療システムD210は、オリジナルセッションキーKses及び質問内容(query content)Naをランダムに選択することができる。質問内容Naはランダム数、又は0及び1の系列により表された任意の列(string)とすることができる。パラメータが選択された後、医療システムD210は、ステップS374において、選択されたパラメータt、Kses及びNa、前記一群の公開パラメータにおけるg及びH2、並びに受診された副仮名
【数21】
に基づいて、3つの項を含む質問メッセージを発生することができる:
【数22】
ここで、
【数23】
である。
【0043】
この質問メッセージにおいて、第1項gtはランダム数tに関する方法を伝達し、第2項
【数24】
は暗号化されたセッションキーと等価であり、第3項
【数25】
は質問内容NaをオリジナルのセッションキーKsesによって暗号化することにより得られる暗号化内容を表す。次いで、ステップS375において、医療システムD210は上記質問メッセージをユーザ装置D230に送信し、該ユーザ装置D230からの返答を待つ。
【0044】
ステップS376aにおいて、上記質問メッセージを受信すると、ユーザ装置D230は下記の式により上記質問メッセージからセッションキーK*sesを計算する:
【数26】
ここで、丸で囲んだ十字の記号はXOR演算を表す。
【0045】
上記式から、該式の右側の項
【数27】
は当該質問メッセージに含まれる暗号化されたセッションキーであり、該式の右側の項
【数28】
はユーザ装置D230により主仮名、一群の公開パラメータ及び質問メッセージに基づいて発生された基準ターム(reference term)であることが分かる。ユーザ装置D230がPIMD220により割り当てられた主仮名Pprimeを記憶している、即ち
【数29】
が記憶されている場合、前記一群の公開パラメータにおける双線形マップe^は、上記式における
【数30】
の結果が正確に零であるようなものとなる。ここで、上記セッションキーの暗号化された項
【数31】
は削除することができ、かくして、オリジナルのセッションキーKses、即ちK*ses=Ksesを得る。次いで、ステップS374bにおいて、暗号化された内容Enc(Kses,Na)が上記の計算されたセッションキーK*sesにより解読され、解読された内容Na*を得る。ステップS376aにおいてセッションキーK*ses=Ksesが正しく得られたなら、解読される内容は、ステップS376bにおいてNa*=Naとして正しく解読され得る。その後、ステップS376cにおいて、ユーザ装置D230は、解読された内容Na*に対応する返答内容Nbを、当該病院の医療システムD210と事前に協議された所定の規則に従って選択する。この実施例において、該所定の規則とは、例えば、Nb=Na*+1であり得る。勿論、該所定の規則は、この場合に限られるものではない。返答内容が選択された後、ユーザ装置D230は、ステップS376dにおいて、計算されたK*sesにより上記返答内容Nbを暗号化し、かくして、返答メッセージEnc(K*ses,Nb)を得ることができる。ステップS377において、ユーザ装置D230は、前記質問メッセージに対する返答として、上記返答メッセージEnc(K*ses,Nb)を当該病院の医療システムD210に送信する。
【0046】
ステップS378において、上記返答メッセージを受信すると、医療システムD210は、受診された返答メッセージEnc(K*ses,Nb)をオリジナルのキーKsesにより解読し、解読された返答内容Nb*を得る。ステップS379において、医療システムD210は、解読された返答内容Nb*とオリジナルの内容Naとの間で上述した所定の規則が満たされるかを判定する。例えば、この実施例では、医療システムD210はNb*がNa+1に等しいかを判定する。前述したように、ユーザ装置D230がオリジナルのセッションキーを正しく計算することができるなら(即ち、K*ses=Kses)、医療システムD210は、該オリジナルのセッションキーKsesを用いてNb*=Nb=Na+1を正しく解読することができる。言い換えると、前記所定の規則が、解読された返答内容Nb*と質問内容Naとの間で満足される。ステップS379において、解読された返答内容Nb*と質問内容Naとの間で前記所定の規則が満足されると判定された場合、これは、ユーザ装置D230の前記副仮名が有効であることを意味する。等価的に、該副仮名が、IDserverにより識別されるPIMにより割り当てられた主仮名に基づいて発生されていることが証明される。
【0047】
上記認証によれば、当該副仮名が有効であると認証された場合、ユーザは医療システムD210に成功裏の登録を行っていることになる。この場合、該ユーザは上記副仮名で当該病院へ行くことができ、該ユーザの医療記録は該副仮名
【数32】
の名前で記憶及び管理され得る。
【0048】
上記認証処理において、有効であると認証されるべきユーザ装置D230の副仮名は、該ユーザ装置D230がPIM D220により割り当てられた主仮名
【数33】
に関しての情報を得ているという前提条件を有している。ここで前記一群の秘密パラメータ∂及びH1は秘密であり、第1ハッシュ関数H1は一方向性であるから、他の権限のないユーザは、主仮名
【数34】
を、∂及びH1についての知識なしに前記副仮名及び一群の公開パラメータに基づいて逆計算することはできない。従って、ステップS373〜S379における零知識証明交換により得られた認証結果は、信頼性があり且つ安全である。
【0049】
図2に戻ると、上記認証処理は医療システムD210とユーザ装置D230との間で実行される。PIMD220は、該認証には関わることはなく、医療システムD210に一群の公開パラメータを供給するのみである。医療システムD210が当該PIMの領域内にあるか否かに拘わらず、ユーザにより供給される副仮名の有効性は、該医療システムD210が例えばネットワークを介してPIM D220により公開される一群の公開パラメータを得ることができる限り、斯様にして認証され得る。従って、図3に示された実施例において、前記病院の医療システムD210は当該PIMとは独立した如何なる領域内の第三者装置とすることもできる。従って、図2に示された仮名の発生及び認証のための本方法により、ユーザに対して地域間共通の仮名サービスを安全に提供することができる。
【0050】
ユーザ装置D230から供給される副仮名は図2に示された実施例では医療システムD210により認証されているが、本発明は斯様なケースに限定されるものではない。代わりに、認証処理は、PIM D220により実施することもできる。この場合、ユーザ装置D230は副仮名
【数35】
をPIM D220に送信することができる。この場合、該PIM D220はユーザ装置D230と対話して、該副仮名を認証する。PIM D220は全ての秘密パラメータを知っているので、ユーザ装置D230は自身の主仮名を該PIM D220に供給することにより認証を実行することができる。他の例として、認証は、PIM D220とユーザ装置D230との間で零知識証明を交換することにより実行することもできる。
【0051】
[ユーザアイデンティティの追跡]
再び図2を参照すると、上述したようにユーザ装置D230により供給された副仮名が有効であると認証された後、ユーザは当該病院における種々の医療サービスを該副仮名の名前で享受することができる。しかしながら、幾つかの状況では、該病院の医療システムD210は、当該ユーザの本当の素性(アイデンティティ)IDuserを得たいと欲し得る(フェーズS290)。
【0052】
当該ユーザの本当のアイデンティティが所望される場合、図2に示される実施例において、医療システムD210は、ユーザ装置D230により供給される副仮名
【数36】
をステップS291においてPIM D220に送信する。次いで、ステップS293において、PIM D220は上記副仮名に対応する質問パラメータ
【数37】
を、受診された副仮名
【数38】
及び前記一連の公開パラメータにおけるg∂に基づいて計算する。次いで、ステップS295において、PIM D220は、上記質問パラメータ
【数39】
を用いて、IDuserを記憶するデータベースを検索する。例えば、斯かるデータベースにおける各IDuserに関して、PIM D220は下記の式を満足するID'userが存在するかをチェックする:
【数40】
【0053】
前記質問パラメータVerにより上記式を満足するID'userが見付かったら、結果としてのIDuserが、医療システムD210から送信された前記副仮名に対応するユーザの本当のアイデンティティとされる。最後に、ステップS297において、PIM D220は上述した結果としてのID'userを当該病院の医療システムD210に返送する。従って、該医療システムD210は、必要とされた場合に、PIM D220から得られた当該ユーザの本当のアイデンティティに基づいて、該ユーザに、適時、連絡することができる。
【0054】
上述した追跡処理において、副仮名に対応するユーザアイデンティティIDuserは、データベース内のユーザアイデンティティを走査(traverse)することにより見付けることができる。本発明の実施例においてPIM D220がユーザアイデンティティIDuserに対応する主仮名を記憶していないとしても、該ユーザの対応する本当のアイデンティティは、このようにして、医療システムD210からの副仮名に基づいて見付けることができる。このメカニズムはPIM D220に対するワークロードを低減する一方、該PIMのコストを低減する。勿論、本発明の上記追跡方法は、このようなケースに限定されるものではなく、他の代替的方法をユーザアイデンティティを見付けるために使用することもできる。
【0055】
以上、本発明の一実施例による仮名の発生及び認証のための方法を、図2を参照して詳細に説明した。図2のフローチャートにおける各ステップはソフトウェア、ハードウェア又はこれら両方の組み合わせで実施化することができる。
【0056】
図4は、図2の方法がハードウェアで実施化された場合に、メッセージが3つの主体間で供給されるような一例を図示している。図4に示されるように、PIM D220は、ユーザ装置D230及び病院の医療システムD210に一群の公開パラメータ(メッセージM1)を供給すると共に、ユーザ装置D230からの仮名登録リクエスト(IDuser)(メッセージM2)に応答して該ユーザに主仮名(Pprime)(メッセージM3)を割り当てる。ユーザ装置D230は、割り当てられた主仮名Pprimeに基づいて自身で副仮名Ppseu発生すると共に、該副仮名Ppseu及びPIM D220の識別子IDserver(メッセージM4)を病院登録リクエストとして医療システムD210に送信する。受信された副仮名Ppseu及びIDserverにより識別されるPIM D220から得られた一群の公開パラメータに基づいて、医療システムD210は、ユーザ装置D230に質問メッセージ(メッセージM5)を送信すると共に該ユーザ装置D230から返答メッセージ(メッセージM6)を受信することにより、上記副仮名Ppseuの有効性を認証することができる。また、該医療システムD210は、上記副仮名Ppseuを含む質問リクエスト(メッセージM7)をPIM D220に送信して、該PIM D220から上記副仮名に対応するユーザの本当のアイデンティティID'userを得ることもできる。尚、図4に示されたメッセージは単なる例であって、本発明は種々の変更を有することができ、この点で限定されるものではない。
【0057】
図5〜7は、図4における3つの主体の各々のブロック図を示す。当業者であれば、図5〜7のブロック図における各ユニットは、所望に応じて、各ユニットの機能に従って互いに組み合わせることができるか、又はより多くのものに分割することもできることが分かる。従って、図5〜7に示されたハードウェア構成は、単なる例であって、限定するものではない。
【0058】
図5は、PIM D220のブロック図を示す。図5において、PIM D220は、受信ユニット510と、発生ユニット520と、決定ユニット530と、送信ユニット540と、記憶ユニット550と、検索ユニット560と、計算ユニット570とを有している。
【0059】
図5に示されるように、決定ユニット530は、仮名の発生及び認証のために使用されるべき一群の公開パラメータ
【数41】
及び一群の秘密パラメータを決定することができる。上記一群の公開パラメータは、送信ユニット540を介して、ユーザ装置D230又は何れかの地域内の病院の医療システムD210等の如何なる他の装置へも送信することができる。
【0060】
一方、図5に示された受信ユニット510は、ユーザ装置D230からIDuser(メッセージM2)を受信する。受信されたIDuserは、病院からの問合せ(質問)のために、記憶ユニット550のデータベース内に記憶される。同時に、上記の受信されたIDuserは、発生ユニット520へと供給される。入力されたIDuser及び決定ユニット530により決定された一群の秘密パラメータに基づいて、該発生ユニット520は、IDuserに対応する主仮名
【数42】
を発生することができる。該発生ユニット520により発生された上記主仮名Pprime(メッセージM3)は、送信ユニット540を介してユーザ装置D230に送信することができる。
【0061】
他方、受信ユニット510は、当該病院の医療システムD210から副仮名Ppseu(メッセージM7)を受信する。図5に示されるように、受信された副仮名Ppseuは計算ユニット570へと供給され、これにより質問パラメータ
【数43】
を計算する。計算ユニット570は、計算された質問パラメータVerを検索ユニット560へと出力する。入力された該質問パラメータVerに基づいて、検索ユニット560は、
【数44】
となるようなID'userを求めて記憶ユニット550のデータベースを検索することができる。これが見付けられた場合、検索ユニット560は、該見付かったID'userを送信ユニット540を介して医療システムD210へ、前記副仮名Ppseu(メッセージM8)に対応するユーザのアイデンティティとして送信することができる。
【0062】
図6は、本発明の一実施例によるユーザ装置D230のブロック図を示す。図6において、ユーザ装置D230は、受信ユニット610と、記憶ユニット620と、選択ユニット632及び計算ユニット636を含む発生ユニット630と、送信ユニット640と、セッションキー取得ユニット652、解読ユニット654及び暗号化ユニット656を含む認証ユニット650とを有する。
【0063】
一方、図6に示された送信ユニット640は、記憶ユニット620に事前に記憶されたユーザの本当のアイデンティティIDuserを登録リクエスト(メッセージM2)としてPIM D220に送信する。次いで、受信ユニット610はPIM D220から登録返答、即ち主仮名
【数45】
(メッセージM3)を受信する。同時に、受信ユニット610はPIM D220から一群の公開パラメータ
【数46】
(メッセージM1)も受信する。受信された一連の公開パラメータ及び主仮名Pprimeは、副仮名の発生のために記憶ユニット620に記憶される。発生ユニット630において、選択ユニット632は、上記の記憶された一連の公開パラメータに基づいて2つのランダム数k1及びk2、即ちk1,k2∈Zpを選択すると共に、これらランダム数を計算ユニット636に送る。計算ユニット636は、副仮名
【数47】
を、k1及びk2、並びに前記記憶ユニットに記憶された一連の公開パラメータ及び主仮名Pprimeに基づいて自ら発生することができる。発生された副仮名
【数48】
及びPIM D220の識別子IDserver(メッセージM4)は、当該病院で使用するために、送信ユニット640を介して医療システムD210に送信することができる。
【0064】
他方、送信ユニット640が上記副仮名
【数49】
を医療システムD210に送信した後、該医療システムD210は該副仮名の有効性を認証することができる。例えば、図6における受信ユニット610は、医療システムD210から、認証のための質問メッセージ
【数50】
(メッセージM5)を受信する。受信された質問メッセージは、認証ユニット650におけるセッションキー取得ユニット652へと供給される。該セッションキー取得ユニット652は、記憶ユニット620に記憶された前記一連の公開パラメータ及び主仮名に基づいて、下記式により、
【数51】
セッションキーK*sesを計算する。
【0065】
計算されたセッションキーK*sesは、解読ユニット654へと供給される。解読ユニット654は、前記質問メッセージ内の暗号化された内容
【数52】
を上記の計算されたセッションキーK*sesで解読して、解読された内容Na*を得る。解読された内容Na*は、暗号化ユニット656へと供給される。該暗号化ユニット656は、上記の解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択し、該返答内容Nbを前記の計算されたセッションキーK*sesで暗号化して、返答メッセージ
【数53】
を得る。該返答メッセージ
【数54】
(メッセージM6)は、認証のために、送信ユニット640を介して医療システムD210に送信することができる。ここで、上記認証ユニットは多くの他の態様で構成することもでき、図6に示された構成に限定されるものではない。
【0066】
図7は、本発明の一実施例による医療システムD210の構成を図示している。図7において、該医療システムD210は、受信ユニット710と、記憶ユニット730と、認証ユニット740と、送信ユニット750とを有している。上記認証ユニット740は、選択ユニット741と、質問メッセージ発生ユニット743と、解読ユニット745と、判定ユニット747とを有している。
【0067】
図7に示されるように、受信ユニット710は、副仮名Ppseuと、当該ユーザが登録したPIM D220を識別するための識別子IDserverとを受信する。図7に示されるように、受信ユニット710は、副仮名Ppseuと、当該ユーザが登録したPIM D220を識別するための識別子IDserverと(メッセージM4)をユーザ装置D230から受信する。取得ユニット(図示略)は、上記の受信されたIDserverに基づいて、対応するPIM D220から公開された一群の公開パラメータ
【数55】
(メッセージM1)を該受信ユニット710を介して取得する。受信されたPpseu及び一群の公開パラメータは、記憶ユニット730に記憶されると共に、同時に認証ユニット740に送られ、これにより、Ppseuの有効性を該認証ユニット740において認証することができる。図7の認証ユニットは、多くの態様で実施化することができる。図7は、これら態様のうちの1つを示しているのみである。
【0068】
詳細には、認証ユニット740内の選択ユニット741は、質問メッセージを発生するために、ランダム数t∈Zp、オリジナルのセッションキーKses及び質問内容Naを選択する。上記オリジナルのセッションキーKsesは、上記質問内容Naを暗号化して、暗号化された内容
【数56】
を得るために使用される。選択ユニット741により選択されたパラメータ、前記副仮名及び前記一群の公開パラメータに基づいて、質問メッセージ発生ユニット743は、質問メッセージ
【数57】
を発生し、該質問メッセージ(メッセージM5)を送信ユニット750を介してユーザ装置D230に送信する。次いで、ユーザ装置D230から返答メッセージ
【数58】
(メッセージM6)を受信した後、受信ユニット710は該返答メッセージを認証ユニット740に送る。該認証ユニット710内の解読ユニット745は、上記返答メッセージ
【数59】
をオリジナルのセッションキーKsesにより解読する。判定ユニット747は、上記の解読された返答内容Nb*と質問内容Naとの間で所定の規則が満たされるかを判定すると共に、該所定の規則が満たされた場合に上記副仮名Ppseuが有効であると認証されたと判定する。
【0069】
以上、本発明の特定の実施例を図1〜7を参照して説明した。これらの実施例において、ユーザ装置は、何時病院が訪問されても、PIM D220からの主仮名に基づいて少なくとも1つの副仮名を安全に発生することができる。従って、本発明の上記実施例において、PIM D220は当該ユーザに対して頻繁に仮名を発生する必要がなく、該PIMに対するワークロードが軽減される。
【0070】
更に、上述した実施例において、病院の医療システムD210は、ユーザにより発生された副仮名を、PIM D220から得られる一群の公開パラメータに基づいてユーザ装置D230と対話することにより認証することができる。このようにして、ユーザにより発生された仮名を異なる地域内の病院において使用することができ、かくして、地域間共通のサービスを実施することができる。
【0071】
更に、上述した実施例において、PIM D220は、対応するユーザのアイデンティティを、データベース内に記憶されたIDuserを医療システムD210により供給される副仮名に基づいて対応するユーザのアイデンティティを求めて走査することにより見付けることができる。このようにして、PIM D220は、各ユーザに対して主仮名を記憶する必要がなく、このことは、PIM D220にとってのデータベース要件を更に減少させ、かくして該PIMのコストを低減する。
【0072】
以上、本発明の特定の実施例を添付図面を参照して説明したが、上述した実施例は本発明を限定するというよりは、解説しようとするものであることに注意されたい。また、当業者であれば、本発明の装置及び方法に対して、添付請求項により範囲が定義されるべき本発明の原理から逸脱することなしに種々の改善及び変更をなすことができると理解されるべきである。更に、請求項における如何なる符号も、該請求項を限定するものと見なしてはならない。
【技術分野】
【0001】
本発明は、広くはユーザのプライバシを保護する方法及び装置に係り、更に詳細にはユーザのプライバシを仮名により保護する方法及び装置に関する。
【背景技術】
【0002】
電子技術の発展により、電子医療システムは近代的医療組織において広く採用されるようになっており、ユーザ(例えば、患者)の個人情報及び医療記録(病状履歴及び検査記録等の)を維持及び管理するようになっている。しかしながら、電子記録は盗み及び流布に対して弱い。従って、近代的医療システムのセキュリティ問題は、重大な関心事である。
【0003】
電子医療システムのセキュリティを改善するために、ユーザのプライバシを保護する2つの方法、即ち匿名化及び仮名化が提案されている。匿名化の目的は、ユーザの本当の素性(アイデンティティ)と該ユーザの医療記録との間の関連を除くことである。言い換えると、匿名化方法においては、ユーザに関する個人情報は記録されず、医療記録のみが保持される。このような匿名化方法では、ユーザの素性は安全に保護されるが、ユーザを、医療記録を介して追跡することはできない。仮名化方法が、匿名化方法に基づいて開発されている。仮名化方法では、ユーザの実際の(本当の)素性と該ユーザの医療記録との間の関係は除かれており、ユーザの医療記録と該ユーザの仮名の1以上との間で、対応関係が確立される。従って、該仮名化方法は、ユーザの個人情報の保護及び該ユーザの医療記録の追跡可能性をもたらす。
【0004】
図1は、医療情報技術規格委員会(Health Information Technology Standards Panel: HITSP)により開発された現在の仮名化メカニズムを図示している。図1に示されたように、ユーザU100が病院に行った場合、ステップS110において、該ユーザは当該病院の医療システムD110に対して該ユーザの本当の素性を識別するユーザアイディIDuserを提供する。ステップS120において、医療システムD110は上記IDuserを個人識別子相互参照(PIX)マネージャD120に送る。ステップS130において、PIXマネージャD120は上記IDuserを記憶すると共に、ステップS140において仮名サーバD140に当該ユーザに対して仮名を割り当てるべく仮名の発生を要求する。ステップS150において、仮名サーバD140は上記要求に応じて当該ユーザのための仮名Ppseuを発生する。そして、ステップS160において、仮名サーバD140は、発生された仮名PpseuをPIXマネージャD120に返送する。ステップS170において、PIXマネージャD120は、受信された仮名Ppseuを、前記IDuserと1対1の関連で記憶し、ステップS180において、該仮名Ppseuを含む仮名証明を医療システムD110に返送する。次いで、当該病院の医療システムD110はステップS190において該仮名証明を登録し、ステップS195において該仮名証明をユーザU100に返送する。このようにして、ユーザU100は当該病院において該割り当てられた仮名を用いて診断又は治療を受けることができ、該ユーザの医療記録は該仮名の名前で記録される。代わりに、上記病院は、所望に応じて、PIXマネージャD120から上記ユーザの本当の素性を、この仮名証明を用いて得ることができ、かくして、追跡可能性を達成することができる。
【0005】
残念ながら、図1に示されたような現在の仮名化方法は幾つかの欠点を有している。
【0006】
第1に、セキュリティ若しくはプライバシを考慮して、又は以前に発生された仮名をユーザが失ってしまったために、ユーザは病院に行くたびに新たな仮名の発生を要求し得るか、又は種々の病気に対して同一の病院で診断及び/又は治療が行われるように複数の異なる新たな仮名の発生をも要求しかねない。この場合、図1の仮名サーバD140は当該ユーザに対して頻繁に仮名を発生しなければならず、これは該仮名サーバに対する重い作業負荷となる。一方、前記PIXマネージャ(PIM)も、ユーザの本当の素性と多数の仮名との間の対応関係を記憶しなければならない。従って、該PIMは大記憶容量のデータベースを備えなければならず、これは該サーバのコストを増加させることになる。
【0007】
第2に、仮名サービスの提供は、一般的に極めて地域的なものである。即ち、ローカル仮名サーバ及びアイデンティティマネージャは、仮名サービスを、これらのサービス範囲内のローカルな病院における医療システム又は同一の仮名化サービスメカニズムを採用している医療システムに対してしか提供することができない。言い換えると、医療システムがユーザに対して仮名を発生すると、異なる地域における又は異なる仮名化メカニズムを持つ医療システムは、同じユーザに対して仮名を識別することができない。従って、ユーザが或る地域から他の新しい地域へと移動する毎に、該ユーザは、この新しい地域において有効な仮名を取得するために、該新しい地域におけるPIMに対し自身の本当の素性を開示しなければならず、その後に、該ユーザは当該病院において扱われるべき該仮名を使用することになる。これは、ユーザに対して大きな不便を与える。
【0008】
第3に、幾つかの信頼に基づく場合において、ユーザは、自身の本当の素性を、他の見知らぬ地域におけるPIMに対してではなく、自身で信頼の置けるローカルなPIMに対してのみ開示したいものである。この点に関して、現在の仮名化方法は、非常に限られた地域においてしか適用することができない。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従って、ユーザが地域間共通の医療サービスを容易且つ安全に受けるのを助ける、仮名発生及び認証のための改善された方法及び装置に対する需要が存在する。
【0010】
本発明の一つの目的は、地域にまたがるアイデンティティ識別がなされ得る、仮名発生及び認証のための方法及び装置を提供することにある。
【0011】
本発明の他の目的は、サーバの作業負荷を軽減することが可能な、仮名発生及び認証のための方法及び装置を提供することにある。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明は、個人アイデンティティマネージャ(PIM)における仮名発生のための方法を提供する。該方法は、一群の公開パラメータ(public parameters)及び一群の秘密パラメータ(private parameters)を決定するステップと、ユーザ装置からユーザアイデンティティIDuserを受信するステップと、主仮名(prime pseudonym)
【数1】
(ここで、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されたランダム数であり、pは選択された素数である)を前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生するステップと、前記主仮名Pprime及び前記一群の公開パラメータを前記ユーザ装置に送信するステップとを有する。
【0013】
この方法によれば、ユーザは、上記PIMに対して初期登録をする場合に、一度だけ主仮名が提供されるのみである。同じユーザのために頻繁に複数の仮名を発生する必要はない。このようにして、この方法により、上記PIMの作業負荷は軽減され得る。
【0014】
前記目的を達成するため、本発明は、ユーザ装置における仮名発生のための方法を提供する。該方法は、ユーザアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するステップと、該PIMから一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するステップと、少なくとも2つのランダムパラメータを選択するステップと、前記少なくとも2つのランダムパラメータ、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて副仮名(sub-pseudonym)Ppseuを発生するステップとを有する。
【0015】
この方法によれば、上記ユーザ装置は副仮名を上記PIMから得られた主仮名に基づいて自ら発生することができる。更に、上記副仮名は少なくとも2つのランダムパラメータを用いることにより発生されるので、発生された副仮名は主仮名に関する情報を非常に良好に覆い隠し、発生される複数の副仮名の間には何の関連も存在しない。この場合において、たとえ1以上の副仮名が盗聴されたとしても、盗聴者は、これら盗聴された副仮名を用いて当該ユーザの主仮名を逆導出することはできない、このようにして、該仮名発生メカニズムは高いレベルの安全性を有する。
【0016】
前記目的を達成するため、本発明は、第三者装置における仮名認証のための方法を提供する。該方法は、副仮名Ppseu及びユーザ装置から個人アイデンティティマネージャ(PIM)を識別するための識別子IDserverを受信するステップと、前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得するステップと、前記副仮名Ppseuの有効性(validation)を前記一連の公開パラメータに基づいて前記ユーザ装置と対話することにより認証(authenticate)するステップとを有する。
【0017】
この方法によれば、上記PIMに依存する又は該PIMとは独立の如何なる第三者装置も、ユーザ装置から供給される副仮名の有効性を、該PIMから取得された一群の公開パラメータに基づいて該ユーザ装置と対話することにより認証することができる。このようにして、上記副仮名の使用は、最早、地域限定的ではない。上述した方法によれば、如何なる地域内の病院における医療システムも、ユーザの副仮名を識別することができると共に、次いで、該ユーザの本当の素性を、該ユーザに前記主仮名を割り当てた対応するPIMを用いて追跡することができる。
【0018】
本発明の他の態様によれば、個人アイデンティティマネージャ(PIM)が提供され、該PIMは、一群の公開パラメータ及び一群の秘密パラメータを決定するように構成された決定ユニットと、ユーザアイデンティティIDuserを受信するように構成された受信ユニットと、主仮名(prime pseudonym)
【数2】
(ここで、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されたランダム数であり、pは選択された素数である)を前記一群の秘密パラメータ及び前記IDuserに基づいて発生するように構成された発生ユニットと、前記主仮名Pprimeをユーザ装置に送信するように構成された送信ユニットとを有する。
【0019】
本発明の他の態様によれば、ユーザ装置が提供され、該ユーザ装置は、ユーザアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するように構成された送信ユニットと、該PIMから一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するように構成された受信ユニットと、少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生するように構成された発生ユニットとを有する。
【0020】
本発明の他の態様によれば、ユーザがサービスを要求することができる第三者装置が提供され、該第三者装置は、副仮名Ppseu及びユーザ装置から個人アイデンティティマネージャ(PIM)を識別するための識別子IDserverを受信するように構成された受信ユニットと、前記ユーザ装置に情報を送信するように構成された送信ユニットと、前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得するように構成された取得ユニットと、前記副仮名Ppseuの有効性を前記一連の公開パラメータに基づいて前記送信ユニット及び前記受信ユニットを介して前記ユーザ装置と対話することにより認証するよう構成された認証ユニットとを有する。
【0021】
他の目的及び成果並びに本発明の一層完全な理解は、添付図面との関連でなされる下記の説明及び請求項から明らかとなり、これらを参照して解説されるであろう。
【図面の簡単な説明】
【0022】
【図1】図1は、現在の仮名化方法のフローチャートの一例を示す。
【図2】図2は、本発明の一実施例による仮名発生及び認証のための方法のフローチャートを示す。
【図3】図3は、本発明の一実施例による副仮名の認証のための方法のフローチャートを示す。
【図4】図4は、本発明の一実施例による仮名発生及び認証のための方法における種々の主体間で供給されるメッセージを示す。
【図5】図5は、本発明の一実施例によるアイデンティティマネージャの構成を示す。
【図6】図6は、本発明の一実施例によるユーザ装置の構成を示す。
【図7】図7は、本発明の一実施例による第三者装置の構成を示す。
【発明を実施するための形態】
【0023】
以下、本発明を、添付図面を参照して例示として更に詳細に説明する。尚、全図を通して、同一の符号は、同様の若しくは対応するフィーチャ又は機能を示すものと理解されたい。
【0024】
本発明の一実施例による仮名発生及び認証のための方法及び装置を説明するために、医療システムを一例として挙げる。しかしながら、当業者であれば、本発明による仮名発生及び認証のための方法及び装置は病院における適用例に限定されるものではなく、ユーザの本当の素性が保護されるべき他の分野にも等しく適用され得ることが分かるであろう。例えば、仮名発生及び認証のための本方法及び装置は、電子取引(cyber shopping)、図書管理(book management)等の分野にも等しく適用可能であり得る。
【0025】
図2は、本発明の一実施例による仮名発生及び認証のための方法を図示している。図1とは対照的に、図2に示された方法は、3つの主体、即ち病院で使用するための医療システムD210、個人アイデンティティマネージャ(PIM)D220及びユーザ装置D230を含んでいる。
【0026】
図2において、医療システムD210は、病院に設置され、該病院のユーザの医療記録(health records)等を管理及び記憶するように構成されている。PIM D220は、ユーザの本当の素性(アイデンティティ)を管理及び記憶するように構成されたサーバである。図2に示された実施例において、該PIM D220は、仮名割り当て機能が組み込まれ、登録されたユーザに対して固有の主仮名(prime pseudonym)Pprimeを発生することができる。しかしながら、本発明において、該主仮名は当該病院内での使用に限定されるものではない。他の例として、上記仮名割り当て機能は、PIM D220とは独立の装置で実施化することもできる。例えば、図1に示されたHITSPシステムにおいて、PIXマネージャはユーザの本当の素性を記憶及び管理することができる一方、仮名サーバは主仮名割り当て機能を実施化することができる。HITSPシステムの場合、このように、図2のPIM D220は前記PIXマネージャと前記仮名サーバとの組み合わせに対応する。
【0027】
図2におけるユーザ装置D230は、PIM D220により発生された主仮名Pprimeに基づいて1以上の副仮名Ppseuを自動的に発生するように構成された処理能力を持つ、携帯電話、PDA、ノートブック又はスマートカード等の如何なる装置とすることもできる。上記副仮名Ppseuは、当該ユーザが該病院に行ったときに医療システムD210に登録される。ユーザ装置D230の副仮名発生機能は、例えば、該ユーザ装置D230にロードされたアプリケーションソフトウェア内で、又は該ユーザ装置に接続することが可能な機能ハードウェアモジュール内で実施化することができ。
【0028】
図2を参照して、本発明の一実施例による仮名発生及び認証方法の動作を詳細に説明する。図2に示された実施例において、本発明による仮名発生及び認証のための本方法は、5つのフェーズに分割することができる。即ち、準備(セットアップ)フェーズS210、主仮名登録フェーズS230、副仮名発生フェーズS250、副仮名認証フェーズS270及びユーザアイデンティティ追跡フェーズS290である。しかしながら、当業者であれば、本発明は該実施例に限定されるものではないことが分かるであろう。むしろ、該実施例における幾つかのステップ(例えば、ユーザアイデンティティ追跡フェーズ)は必要に応じて省略され得るか、又は幾つかのステップは互いに交じり合うことができる。上記5つのフェーズの固有の処理を図2を参照して説明する。
【0029】
[準備]
図2に示される仮名発生及び認証のための方法は、アイデンティティに基づく暗号化(IBE)方法に基づいて提案される。初期準備フェーズS210において、PIM D220は、IBE方法に基づいて仮名発生及び認証のために使用される一群の秘密パラメータ(private parameters)及び一群の公開パラメータ(public parameters)を決定する。
【0030】
ステップS211において、PIM D220は基本パラメータを選択する。即ち、PIM D220は、先ず2つの素数p及びqを選択すると共に、整数mod pのドメイン(即ち、ドメインZp)からランダム数∂∈Zpを選択する。次いで、PIM D220はq mod p次の2つの群G1及びG2を選択する。言い換えると、選択された群G1及びG2の各々は、q個の有限の要素を有し、群G1又はG2はドメインZpの部分集合である。また、PIM D220は、G1とG2との間で使用されるべき双線形マップ
【数3】
を選択する。ここで、双線形マップ
【数4】
は、全ての
【数5】
に対しては、
【数6】
が群G2における要素であることを示し、即ち、
【数7】
であり、如何なる
【数8】
に対しても、
【数9】
であることを示す。次いで、PIM D220は、群G1からランダム生成元(random generator)
【数10】
を選択すると共に、2つの一方向性ハッシュ関数H1及びH2を選択する。これら2つのハッシュ関数は、
【数11】
及び
【数12】
なる条件を満足する。言い換えると、H1は任意の長さを持つ0及び1の系列(例えば、文字列を表す)を群G1内の要素にマッピングする第1の一方向性ハッシュ関数であり、H2は群G2内の要素を任意の長さを持つ0及び1の系列にマッピングする第2の一方向性ハッシュ関数である。
【0031】
上記の基本的パラメータを選択した後に、ステップ213において、PIM D220は、上記パラメータから
【数13】
を選択して一群の公開パラメータを形成すると共に、∂及びH1を一群の秘密パラメータとして選択する。ここで、上記公開パラメータの群
【数14】
は公開され、他の装置のうちの如何なるものも該公開パラメータの群をPIM D220から得ることができる。一方、上記秘密パラメータの群{∂,H1}は秘密に保たれ、従って、主仮名Pprimeは、ユーザにより登録がなされた場合に該ユーザのために安全に発生することができる。
【0032】
[登録]
ユーザは、初めて病院に行く前に、主仮名を得るべく、登録フェーズS230において信頼のおけるローカルなPIM D220に対し登録することを選択することができる。
【0033】
詳細には、ステップS231において、ユーザは、自身が持つユーザ装置D230(PDA等の)を使用して、登録リクエストにおいてPIM D220に対し自身の本当の素性を識別するユーザアイデンティティIDuserを送信することができる。ステップS233において、PIM D220は、受信されたIDuserをユーザアイデンティティデータベースに記憶すると共に、該受信されたIDuser及び先に決定された一群の秘密パラメータ{∂,H1}を用いて主仮名
【数15】
を発生する。該主仮名は、一方の項がIDuserに対し秘密第1一方向性ハッシュ関数を適用することにより計算される第1ハッシュ値であり、他方の項が該第1ハッシュ値の∂乗であるような二進群である。次いで、ステップ235において、PIM D220は、該発生された主仮名Pprimeを一群の公開パラメータと一緒に、成功した登録を示す応答として上記ユーザ装置D230に送信する。ステップS237において、ユーザ装置D230は、該受信された主仮名Pprime及び上記一群の公開パラメータを記憶し、かくして、対応する副仮名を将来所望に応じて発生することができる。そして、当該登録処理は終了する。
【0034】
[副仮名の発生]
図2に示された実施例においてPIM D220がユーザに対して頻繁に仮名を発生するのを防止するために、該PIM D220により発生された主仮名Pprimeは実際に病院においては使用されない。逆に、フェーズS250において、ユーザが病院に行く都度、ユーザ装置D230はPIM D220から得られた主仮名Pprimeに基づいて少なくとも1つの副仮名を自ら発生する。
【0035】
詳細には、ステップS251において、ユーザ装置D230は、記憶された公開パラメータの群に基づいて、例えばドメインZpから2つのランダム数k1,k2∈Zpを選択する。次いで、ステップS253において、ユーザ装置D230は、上記の2つの選択されたランダム数、前記一群の公開パラメータ及び主仮名Pprimeを用いて副仮名を発生する。このステップにおいて、ユーザ装置D230は先ず下記のパラメータを計算することができる:
【数16】
ここで、
【数17】
であり、k2-1はランダム数k2の逆数、即ちk2k2-1mod p=1である。
【0036】
次いで、ユーザ装置D230は、上記の計算されたパラメータに基づいて3つの項を含む副仮名
【数18】
を発生する。
【0037】
上記ステップS251〜S253により、ユーザ装置D230は、異なるランダム数k1,k2∈Zpを選択することにより異なる副仮名を自ら発生することができる。ここで、前記主仮名に関する情報は斯かる副仮名において安全に隠されている。何故なら、ランダム数k1,k2∈Zpが副仮名の発生に使用されるからである。他者にとり、主仮名に関する情報を、盗まれた副仮名に基く逆計算により計算することは困難であろう。更に、k1及びk2はランダムに選択されるので、同一のユーザ装置D230により発生される幾つかの副仮名の間には関連する特性は存在しない。このようにして、ユーザ装置D230により発生された副仮名が他者により盗まれたとしても、該ユーザ装置にPIMにより割り当てられた主仮名を、これらの副仮名に基づいて導出することは不可能である。このように、ユーザは、自身に対して発生された副仮名を安全に使用することができる。
【0038】
更に、この実施例では副仮名の発生のために2つのランダム数が使用されているが、当業者であれば、計算ずくの設計で3以上のランダムパラメータを用いて副仮名を発生することもできることが分かるであろう。従って、本発明は、この実施例に示されたような2つのランダム数に限定されるものではない。
【0039】
[副仮名の認証]
ユーザが病院に行く度に、該ユーザは、該病院の医療システムに登録すべく前記の発生された副仮名を使用する。フェーズ270において、当該病院の医療システムD210は、先ず、ユーザ装置D230により供給された副仮名の有効性を認証する。即ち、医療システムD210は、当該ユーザの本当の素性を対応するPIMから追跡することができることを裏付けるために、当該副仮名が上記PIMにより該ユーザに割り当てられた主仮名に基づいて発生されているかを確認する。
【0040】
図2に示されたように、認証処理はステップS271で開始する。ステップS271において、ユーザ装置D230は医療システムD210へ、自力発生した副仮名
【数19】
及びローカルPIM D220の識別子IDserver(例えば、PIM D220の名前又はアドレス)を送信する。ステップS272において、医療システムD210は、受診されたIDserverに基づいて、対応するPIM D220から一群の公開パラメータ
【数20】
を取得する。該一群の公開パラメータが取得された後、医療システムD210は、ユーザ装置D230により供給された副仮名の有効性(validation)を、ステップS273において当該ユーザ装置と対話することにより認証することができる。
【0041】
ステップS273における認証処理は、種々の態様で実施することができる。例えば、当該ユーザが医療システムD210(例えば、ローカル医療システム)を完全に信頼する場合、該医療システムD210は主仮名をユーザ装置D230から取り出すことができる。ユーザ装置D230から主仮名が得られた後、医療システムD210は、当該副仮名が上記主仮名に基づいて発生されていること、及び該主仮名がIDserverにより識別されるPIM D220により割り当てられていることを、当該ユーザにより供給される主仮名及び副仮名に基づいて認証することができる。もっと好ましくは、ステップS273において、医療システムD210は、上記副仮名を、ユーザ装置D230と零知識証明を交換することにより認証することもできる。ユーザ装置D230にとり、該零知識交換過程において、医療システムD210に対し自身の主仮名に関する情報を開示する必要はないので、該方法は一層安全である。零知識証明の交換は、種々の態様で実施化することができる。図3は、斯かる実施化の一例のみを示す。
【0042】
図3に示されるように、ステップS373において、医療システムD210は、前記一群の公開パラメータにおけるパラメータpに基づいて、ドメインZpからランダム数tを、即ちt∈Zpを選択する。一方、医療システムD210は、オリジナルセッションキーKses及び質問内容(query content)Naをランダムに選択することができる。質問内容Naはランダム数、又は0及び1の系列により表された任意の列(string)とすることができる。パラメータが選択された後、医療システムD210は、ステップS374において、選択されたパラメータt、Kses及びNa、前記一群の公開パラメータにおけるg及びH2、並びに受診された副仮名
【数21】
に基づいて、3つの項を含む質問メッセージを発生することができる:
【数22】
ここで、
【数23】
である。
【0043】
この質問メッセージにおいて、第1項gtはランダム数tに関する方法を伝達し、第2項
【数24】
は暗号化されたセッションキーと等価であり、第3項
【数25】
は質問内容NaをオリジナルのセッションキーKsesによって暗号化することにより得られる暗号化内容を表す。次いで、ステップS375において、医療システムD210は上記質問メッセージをユーザ装置D230に送信し、該ユーザ装置D230からの返答を待つ。
【0044】
ステップS376aにおいて、上記質問メッセージを受信すると、ユーザ装置D230は下記の式により上記質問メッセージからセッションキーK*sesを計算する:
【数26】
ここで、丸で囲んだ十字の記号はXOR演算を表す。
【0045】
上記式から、該式の右側の項
【数27】
は当該質問メッセージに含まれる暗号化されたセッションキーであり、該式の右側の項
【数28】
はユーザ装置D230により主仮名、一群の公開パラメータ及び質問メッセージに基づいて発生された基準ターム(reference term)であることが分かる。ユーザ装置D230がPIMD220により割り当てられた主仮名Pprimeを記憶している、即ち
【数29】
が記憶されている場合、前記一群の公開パラメータにおける双線形マップe^は、上記式における
【数30】
の結果が正確に零であるようなものとなる。ここで、上記セッションキーの暗号化された項
【数31】
は削除することができ、かくして、オリジナルのセッションキーKses、即ちK*ses=Ksesを得る。次いで、ステップS374bにおいて、暗号化された内容Enc(Kses,Na)が上記の計算されたセッションキーK*sesにより解読され、解読された内容Na*を得る。ステップS376aにおいてセッションキーK*ses=Ksesが正しく得られたなら、解読される内容は、ステップS376bにおいてNa*=Naとして正しく解読され得る。その後、ステップS376cにおいて、ユーザ装置D230は、解読された内容Na*に対応する返答内容Nbを、当該病院の医療システムD210と事前に協議された所定の規則に従って選択する。この実施例において、該所定の規則とは、例えば、Nb=Na*+1であり得る。勿論、該所定の規則は、この場合に限られるものではない。返答内容が選択された後、ユーザ装置D230は、ステップS376dにおいて、計算されたK*sesにより上記返答内容Nbを暗号化し、かくして、返答メッセージEnc(K*ses,Nb)を得ることができる。ステップS377において、ユーザ装置D230は、前記質問メッセージに対する返答として、上記返答メッセージEnc(K*ses,Nb)を当該病院の医療システムD210に送信する。
【0046】
ステップS378において、上記返答メッセージを受信すると、医療システムD210は、受診された返答メッセージEnc(K*ses,Nb)をオリジナルのキーKsesにより解読し、解読された返答内容Nb*を得る。ステップS379において、医療システムD210は、解読された返答内容Nb*とオリジナルの内容Naとの間で上述した所定の規則が満たされるかを判定する。例えば、この実施例では、医療システムD210はNb*がNa+1に等しいかを判定する。前述したように、ユーザ装置D230がオリジナルのセッションキーを正しく計算することができるなら(即ち、K*ses=Kses)、医療システムD210は、該オリジナルのセッションキーKsesを用いてNb*=Nb=Na+1を正しく解読することができる。言い換えると、前記所定の規則が、解読された返答内容Nb*と質問内容Naとの間で満足される。ステップS379において、解読された返答内容Nb*と質問内容Naとの間で前記所定の規則が満足されると判定された場合、これは、ユーザ装置D230の前記副仮名が有効であることを意味する。等価的に、該副仮名が、IDserverにより識別されるPIMにより割り当てられた主仮名に基づいて発生されていることが証明される。
【0047】
上記認証によれば、当該副仮名が有効であると認証された場合、ユーザは医療システムD210に成功裏の登録を行っていることになる。この場合、該ユーザは上記副仮名で当該病院へ行くことができ、該ユーザの医療記録は該副仮名
【数32】
の名前で記憶及び管理され得る。
【0048】
上記認証処理において、有効であると認証されるべきユーザ装置D230の副仮名は、該ユーザ装置D230がPIM D220により割り当てられた主仮名
【数33】
に関しての情報を得ているという前提条件を有している。ここで前記一群の秘密パラメータ∂及びH1は秘密であり、第1ハッシュ関数H1は一方向性であるから、他の権限のないユーザは、主仮名
【数34】
を、∂及びH1についての知識なしに前記副仮名及び一群の公開パラメータに基づいて逆計算することはできない。従って、ステップS373〜S379における零知識証明交換により得られた認証結果は、信頼性があり且つ安全である。
【0049】
図2に戻ると、上記認証処理は医療システムD210とユーザ装置D230との間で実行される。PIMD220は、該認証には関わることはなく、医療システムD210に一群の公開パラメータを供給するのみである。医療システムD210が当該PIMの領域内にあるか否かに拘わらず、ユーザにより供給される副仮名の有効性は、該医療システムD210が例えばネットワークを介してPIM D220により公開される一群の公開パラメータを得ることができる限り、斯様にして認証され得る。従って、図3に示された実施例において、前記病院の医療システムD210は当該PIMとは独立した如何なる領域内の第三者装置とすることもできる。従って、図2に示された仮名の発生及び認証のための本方法により、ユーザに対して地域間共通の仮名サービスを安全に提供することができる。
【0050】
ユーザ装置D230から供給される副仮名は図2に示された実施例では医療システムD210により認証されているが、本発明は斯様なケースに限定されるものではない。代わりに、認証処理は、PIM D220により実施することもできる。この場合、ユーザ装置D230は副仮名
【数35】
をPIM D220に送信することができる。この場合、該PIM D220はユーザ装置D230と対話して、該副仮名を認証する。PIM D220は全ての秘密パラメータを知っているので、ユーザ装置D230は自身の主仮名を該PIM D220に供給することにより認証を実行することができる。他の例として、認証は、PIM D220とユーザ装置D230との間で零知識証明を交換することにより実行することもできる。
【0051】
[ユーザアイデンティティの追跡]
再び図2を参照すると、上述したようにユーザ装置D230により供給された副仮名が有効であると認証された後、ユーザは当該病院における種々の医療サービスを該副仮名の名前で享受することができる。しかしながら、幾つかの状況では、該病院の医療システムD210は、当該ユーザの本当の素性(アイデンティティ)IDuserを得たいと欲し得る(フェーズS290)。
【0052】
当該ユーザの本当のアイデンティティが所望される場合、図2に示される実施例において、医療システムD210は、ユーザ装置D230により供給される副仮名
【数36】
をステップS291においてPIM D220に送信する。次いで、ステップS293において、PIM D220は上記副仮名に対応する質問パラメータ
【数37】
を、受診された副仮名
【数38】
及び前記一連の公開パラメータにおけるg∂に基づいて計算する。次いで、ステップS295において、PIM D220は、上記質問パラメータ
【数39】
を用いて、IDuserを記憶するデータベースを検索する。例えば、斯かるデータベースにおける各IDuserに関して、PIM D220は下記の式を満足するID'userが存在するかをチェックする:
【数40】
【0053】
前記質問パラメータVerにより上記式を満足するID'userが見付かったら、結果としてのIDuserが、医療システムD210から送信された前記副仮名に対応するユーザの本当のアイデンティティとされる。最後に、ステップS297において、PIM D220は上述した結果としてのID'userを当該病院の医療システムD210に返送する。従って、該医療システムD210は、必要とされた場合に、PIM D220から得られた当該ユーザの本当のアイデンティティに基づいて、該ユーザに、適時、連絡することができる。
【0054】
上述した追跡処理において、副仮名に対応するユーザアイデンティティIDuserは、データベース内のユーザアイデンティティを走査(traverse)することにより見付けることができる。本発明の実施例においてPIM D220がユーザアイデンティティIDuserに対応する主仮名を記憶していないとしても、該ユーザの対応する本当のアイデンティティは、このようにして、医療システムD210からの副仮名に基づいて見付けることができる。このメカニズムはPIM D220に対するワークロードを低減する一方、該PIMのコストを低減する。勿論、本発明の上記追跡方法は、このようなケースに限定されるものではなく、他の代替的方法をユーザアイデンティティを見付けるために使用することもできる。
【0055】
以上、本発明の一実施例による仮名の発生及び認証のための方法を、図2を参照して詳細に説明した。図2のフローチャートにおける各ステップはソフトウェア、ハードウェア又はこれら両方の組み合わせで実施化することができる。
【0056】
図4は、図2の方法がハードウェアで実施化された場合に、メッセージが3つの主体間で供給されるような一例を図示している。図4に示されるように、PIM D220は、ユーザ装置D230及び病院の医療システムD210に一群の公開パラメータ(メッセージM1)を供給すると共に、ユーザ装置D230からの仮名登録リクエスト(IDuser)(メッセージM2)に応答して該ユーザに主仮名(Pprime)(メッセージM3)を割り当てる。ユーザ装置D230は、割り当てられた主仮名Pprimeに基づいて自身で副仮名Ppseu発生すると共に、該副仮名Ppseu及びPIM D220の識別子IDserver(メッセージM4)を病院登録リクエストとして医療システムD210に送信する。受信された副仮名Ppseu及びIDserverにより識別されるPIM D220から得られた一群の公開パラメータに基づいて、医療システムD210は、ユーザ装置D230に質問メッセージ(メッセージM5)を送信すると共に該ユーザ装置D230から返答メッセージ(メッセージM6)を受信することにより、上記副仮名Ppseuの有効性を認証することができる。また、該医療システムD210は、上記副仮名Ppseuを含む質問リクエスト(メッセージM7)をPIM D220に送信して、該PIM D220から上記副仮名に対応するユーザの本当のアイデンティティID'userを得ることもできる。尚、図4に示されたメッセージは単なる例であって、本発明は種々の変更を有することができ、この点で限定されるものではない。
【0057】
図5〜7は、図4における3つの主体の各々のブロック図を示す。当業者であれば、図5〜7のブロック図における各ユニットは、所望に応じて、各ユニットの機能に従って互いに組み合わせることができるか、又はより多くのものに分割することもできることが分かる。従って、図5〜7に示されたハードウェア構成は、単なる例であって、限定するものではない。
【0058】
図5は、PIM D220のブロック図を示す。図5において、PIM D220は、受信ユニット510と、発生ユニット520と、決定ユニット530と、送信ユニット540と、記憶ユニット550と、検索ユニット560と、計算ユニット570とを有している。
【0059】
図5に示されるように、決定ユニット530は、仮名の発生及び認証のために使用されるべき一群の公開パラメータ
【数41】
及び一群の秘密パラメータを決定することができる。上記一群の公開パラメータは、送信ユニット540を介して、ユーザ装置D230又は何れかの地域内の病院の医療システムD210等の如何なる他の装置へも送信することができる。
【0060】
一方、図5に示された受信ユニット510は、ユーザ装置D230からIDuser(メッセージM2)を受信する。受信されたIDuserは、病院からの問合せ(質問)のために、記憶ユニット550のデータベース内に記憶される。同時に、上記の受信されたIDuserは、発生ユニット520へと供給される。入力されたIDuser及び決定ユニット530により決定された一群の秘密パラメータに基づいて、該発生ユニット520は、IDuserに対応する主仮名
【数42】
を発生することができる。該発生ユニット520により発生された上記主仮名Pprime(メッセージM3)は、送信ユニット540を介してユーザ装置D230に送信することができる。
【0061】
他方、受信ユニット510は、当該病院の医療システムD210から副仮名Ppseu(メッセージM7)を受信する。図5に示されるように、受信された副仮名Ppseuは計算ユニット570へと供給され、これにより質問パラメータ
【数43】
を計算する。計算ユニット570は、計算された質問パラメータVerを検索ユニット560へと出力する。入力された該質問パラメータVerに基づいて、検索ユニット560は、
【数44】
となるようなID'userを求めて記憶ユニット550のデータベースを検索することができる。これが見付けられた場合、検索ユニット560は、該見付かったID'userを送信ユニット540を介して医療システムD210へ、前記副仮名Ppseu(メッセージM8)に対応するユーザのアイデンティティとして送信することができる。
【0062】
図6は、本発明の一実施例によるユーザ装置D230のブロック図を示す。図6において、ユーザ装置D230は、受信ユニット610と、記憶ユニット620と、選択ユニット632及び計算ユニット636を含む発生ユニット630と、送信ユニット640と、セッションキー取得ユニット652、解読ユニット654及び暗号化ユニット656を含む認証ユニット650とを有する。
【0063】
一方、図6に示された送信ユニット640は、記憶ユニット620に事前に記憶されたユーザの本当のアイデンティティIDuserを登録リクエスト(メッセージM2)としてPIM D220に送信する。次いで、受信ユニット610はPIM D220から登録返答、即ち主仮名
【数45】
(メッセージM3)を受信する。同時に、受信ユニット610はPIM D220から一群の公開パラメータ
【数46】
(メッセージM1)も受信する。受信された一連の公開パラメータ及び主仮名Pprimeは、副仮名の発生のために記憶ユニット620に記憶される。発生ユニット630において、選択ユニット632は、上記の記憶された一連の公開パラメータに基づいて2つのランダム数k1及びk2、即ちk1,k2∈Zpを選択すると共に、これらランダム数を計算ユニット636に送る。計算ユニット636は、副仮名
【数47】
を、k1及びk2、並びに前記記憶ユニットに記憶された一連の公開パラメータ及び主仮名Pprimeに基づいて自ら発生することができる。発生された副仮名
【数48】
及びPIM D220の識別子IDserver(メッセージM4)は、当該病院で使用するために、送信ユニット640を介して医療システムD210に送信することができる。
【0064】
他方、送信ユニット640が上記副仮名
【数49】
を医療システムD210に送信した後、該医療システムD210は該副仮名の有効性を認証することができる。例えば、図6における受信ユニット610は、医療システムD210から、認証のための質問メッセージ
【数50】
(メッセージM5)を受信する。受信された質問メッセージは、認証ユニット650におけるセッションキー取得ユニット652へと供給される。該セッションキー取得ユニット652は、記憶ユニット620に記憶された前記一連の公開パラメータ及び主仮名に基づいて、下記式により、
【数51】
セッションキーK*sesを計算する。
【0065】
計算されたセッションキーK*sesは、解読ユニット654へと供給される。解読ユニット654は、前記質問メッセージ内の暗号化された内容
【数52】
を上記の計算されたセッションキーK*sesで解読して、解読された内容Na*を得る。解読された内容Na*は、暗号化ユニット656へと供給される。該暗号化ユニット656は、上記の解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択し、該返答内容Nbを前記の計算されたセッションキーK*sesで暗号化して、返答メッセージ
【数53】
を得る。該返答メッセージ
【数54】
(メッセージM6)は、認証のために、送信ユニット640を介して医療システムD210に送信することができる。ここで、上記認証ユニットは多くの他の態様で構成することもでき、図6に示された構成に限定されるものではない。
【0066】
図7は、本発明の一実施例による医療システムD210の構成を図示している。図7において、該医療システムD210は、受信ユニット710と、記憶ユニット730と、認証ユニット740と、送信ユニット750とを有している。上記認証ユニット740は、選択ユニット741と、質問メッセージ発生ユニット743と、解読ユニット745と、判定ユニット747とを有している。
【0067】
図7に示されるように、受信ユニット710は、副仮名Ppseuと、当該ユーザが登録したPIM D220を識別するための識別子IDserverとを受信する。図7に示されるように、受信ユニット710は、副仮名Ppseuと、当該ユーザが登録したPIM D220を識別するための識別子IDserverと(メッセージM4)をユーザ装置D230から受信する。取得ユニット(図示略)は、上記の受信されたIDserverに基づいて、対応するPIM D220から公開された一群の公開パラメータ
【数55】
(メッセージM1)を該受信ユニット710を介して取得する。受信されたPpseu及び一群の公開パラメータは、記憶ユニット730に記憶されると共に、同時に認証ユニット740に送られ、これにより、Ppseuの有効性を該認証ユニット740において認証することができる。図7の認証ユニットは、多くの態様で実施化することができる。図7は、これら態様のうちの1つを示しているのみである。
【0068】
詳細には、認証ユニット740内の選択ユニット741は、質問メッセージを発生するために、ランダム数t∈Zp、オリジナルのセッションキーKses及び質問内容Naを選択する。上記オリジナルのセッションキーKsesは、上記質問内容Naを暗号化して、暗号化された内容
【数56】
を得るために使用される。選択ユニット741により選択されたパラメータ、前記副仮名及び前記一群の公開パラメータに基づいて、質問メッセージ発生ユニット743は、質問メッセージ
【数57】
を発生し、該質問メッセージ(メッセージM5)を送信ユニット750を介してユーザ装置D230に送信する。次いで、ユーザ装置D230から返答メッセージ
【数58】
(メッセージM6)を受信した後、受信ユニット710は該返答メッセージを認証ユニット740に送る。該認証ユニット710内の解読ユニット745は、上記返答メッセージ
【数59】
をオリジナルのセッションキーKsesにより解読する。判定ユニット747は、上記の解読された返答内容Nb*と質問内容Naとの間で所定の規則が満たされるかを判定すると共に、該所定の規則が満たされた場合に上記副仮名Ppseuが有効であると認証されたと判定する。
【0069】
以上、本発明の特定の実施例を図1〜7を参照して説明した。これらの実施例において、ユーザ装置は、何時病院が訪問されても、PIM D220からの主仮名に基づいて少なくとも1つの副仮名を安全に発生することができる。従って、本発明の上記実施例において、PIM D220は当該ユーザに対して頻繁に仮名を発生する必要がなく、該PIMに対するワークロードが軽減される。
【0070】
更に、上述した実施例において、病院の医療システムD210は、ユーザにより発生された副仮名を、PIM D220から得られる一群の公開パラメータに基づいてユーザ装置D230と対話することにより認証することができる。このようにして、ユーザにより発生された仮名を異なる地域内の病院において使用することができ、かくして、地域間共通のサービスを実施することができる。
【0071】
更に、上述した実施例において、PIM D220は、対応するユーザのアイデンティティを、データベース内に記憶されたIDuserを医療システムD210により供給される副仮名に基づいて対応するユーザのアイデンティティを求めて走査することにより見付けることができる。このようにして、PIM D220は、各ユーザに対して主仮名を記憶する必要がなく、このことは、PIM D220にとってのデータベース要件を更に減少させ、かくして該PIMのコストを低減する。
【0072】
以上、本発明の特定の実施例を添付図面を参照して説明したが、上述した実施例は本発明を限定するというよりは、解説しようとするものであることに注意されたい。また、当業者であれば、本発明の装置及び方法に対して、添付請求項により範囲が定義されるべき本発明の原理から逸脱することなしに種々の改善及び変更をなすことができると理解されるべきである。更に、請求項における如何なる符号も、該請求項を限定するものと見なしてはならない。
【特許請求の範囲】
【請求項1】
個人アイデンティティマネージャ(PIM)において仮名を発生する方法であって、該方法が、
一群の公開パラメータ及び一群の秘密パラメータを決定するステップと、
ユーザのアイデンティティIDuserをユーザ装置から受信するステップと、
主仮名
【数1】
を、前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生するステップであって、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されるランダム数であり、pは選択された素数であるステップと、
前記主仮名Pprime及び前記一群の公開パラメータを前記ユーザ装置に送信するステップと、
を有する方法。
【請求項2】
請求項1に記載の方法において、前記一群の公開パラメータは、
【数2】
であり、ここで、
G1及びG2は2つの選択されたqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数3】
であり;
gは群G1から選択されるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数4】
であり;
【数5】
である;
方法。
【請求項3】
請求項2に記載の方法において、
第三者装置から副仮名
【数6】
を受信するステップと;
前記副仮名Ppseu及び前記一群の公開パラメータを用いて、質問パラメータ
【数7】
を計算するステップと;
前記質問パラメータVerに基づいて
【数8】
となるような、記憶されたユーザアイデンティティにおけるユーザアイデンティティID'userを検索するステップと;
前記ID'userを前記第三者装置に前記Ppseuに対応するユーザアイデンティティとして送信するステップと;
を更に有する方法。
【請求項4】
請求項1に記載の方法において、
前記第三者装置から取得リクエストを受信するステップと、
前記取得リクエストに応答して、前記一群の公開パラメータを前記第三者装置に送信するステップと、
を更に有する方法。
【請求項5】
請求項1に記載の方法において、
前記ユーザ装置から副仮名Ppseuを受信するステップと、
前記副仮名Ppseuの有効性を、前記ユーザ装置と対話することにより認証するステップと、
を更に有する方法。
【請求項6】
ユーザ装置において仮名を発生する方法であって、該方法が、
ユーザのアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するステップと、
前記PIMから、一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するステップと、
少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生するステップと、
を有する方法。
【請求項7】
請求項6に記載の方法において、前記一群の公開パラメータが、
【数9】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数10】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数11】
であり、
前記主仮名は、
【数12】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数13】
であり、
前記副仮名Ppseuを発生するステップは、
前記ドメインZpから2つのランダム数k1及びk2を前記一群の公開パラメータに基づいて選択するステップと、
前記選択されたランダム数k1及びk2、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて下記のパラメータ:
【数14】
(ここで、
【数15】
及びk2k2-1mod p=1である)を計算するステップと、
前記計算されたパラメータに基づいて、副仮名
【数16】
を発生するステップと、
を有する方法。
【請求項8】
請求項7に記載の方法において、
前記副仮名Ppseu及び前記PIMを識別する識別子IDserverを第三者装置に送信するステップと、
前記副仮名Ppseuの有効性を、認証者としての前記第三者装置と対話することにより認証するステップと、
を更に有する方法。
【請求項9】
請求項7に記載の方法において、
前記副仮名Ppseuを前記PIMに送信するステップと、
前記副仮名Ppseuの有効性を、認証者としての前記PIMと対話することにより認証するステップと、
を更に有する方法。
【請求項10】
請求項8又は請求項9に記載の方法において、前記認証するステップが、
前記副仮名Ppseuの有効性を前記認証者と零知識証明を交換することにより認証するステップ、
を有する方法。
【請求項11】
請求項10に記載の方法において、前記認証者と零知識証明を交換するステップは、
前記認証者から質問メッセージを受信するステップであって、該質問メッセージは前記一群の公開パラメータ及び前記副仮名Ppseuに基づいて発生されると共に、
【数17】
として表され、ここで:
tはZpから前記認証者により選択されるランダム数であり;
【数18】
であり;
Ksesは前記認証者により選択されたオリジナルのセッションキーであり;
Naは前記認証者によりランダムに選択された質問内容であり;
【数19】
は前記オリジナルのセッションキーKsesにより前記質問内容Naを暗号化することにより得られる暗号化された内容を表す;
ようなステップと、
セッションキーK*sesを前記質問メッセージ及び前記主仮名Pprimeに基づいて
【数20】
を用いて計算するステップと、
前記暗号化された内容
【数21】
を前記セッションキーK*sesにより解読して、解読された内容Na*を得るステップと、
前記解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択すると共に、該返答内容Nbを前記セッションキーK*sesにより暗号化して返答メッセージ
【数22】
を得るステップと、
前記返答メッセージ
【数23】
を送信するステップと、
を有する方法。
【請求項12】
第三者装置において仮名を認証する方法であって、該方法が、
ユーザ装置から、副仮名Ppseu及び個人アイデンティティマネージャ(PIM)を識別する識別子IDserverを受信するステップと、
前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを得るステップと、
前記副仮名Ppseuの有効性を、前記一群の公開パラメータに基づいて前記ユーザ装置と対話することにより認証するステップと、
を有する方法。
【請求項13】
請求項12に記載の方法において、前記一群の公開パラメータが、
【数24】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数25】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数26】
である、
方法。
【請求項14】
請求項13に記載の方法において、前記認証するステップが、
前記副仮名Ppseuの有効性を、前記ユーザ装置と零知識証明を交換することにより認証するステップ、
を有する方法。
【請求項15】
請求項14に記載の方法において、前記零知識証明を交換するステップは、
前記ドメインZpからランダム数tを選択するステップと、
オリジナルのセッションキーKses及び質問内容Naを選択すると共に、該質問内容Naを前記オリジナルのセッションキーKsesにより暗号化して、暗号化された内容
【数27】
を得るステップと、
質問メッセージ
【数28】
を、前記ランダム数t、前記一群の公開パラメータ、前記副仮名Ppseu及び前記暗号化された内容
【数29】
により発生する(ここで、
【数30】
である)ステップと、
前記質問メッセージを前記ユーザ装置に送信するステップと、
返答メッセージ
【数31】
を前記ユーザ装置から受信するステップであって、ここで、K*sesは前記質問メッセージから前記ユーザ装置により計算されたセッションキーであり、Nbは
【数32】
から解読された質問内容に基づく所定の規則に従って前記ユーザ装置により選択された返答内容であるようなステップと、
前記返答内容を前記オリジナルのセッションキーKsesにより解読するステップと、
前記解読された返答内容Nb*と前記質問内容Naとの間で前記所定の規則が満足されるかを判定して、前記副仮名Ppseuの有効性を認証するステップと、
を有する方法。
【請求項16】
請求項12に記載の方法において、
前記副仮名Ppseuは前記PIMに送信され、
前記PIMから、前記副仮名Ppseuに対応するユーザのアイデンティティIDuserとして、ユーザアイデンティティID'userが受信される、
方法。
【請求項17】
一群の公開パラメータ及び一群の秘密パラメータを決定する決定ユニットと、
ユーザのアイデンティティIDuserを受信する受信ユニットと、
主仮名
【数33】
を、前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生する発生ユニットであって、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されるランダム数であり、pは選択された素数である発生ユニットと、
前記主仮名Pprimeをユーザ装置に送信する送信ユニットと、
を有する個人アイデンティティマネージャ(PIM)。
【請求項18】
請求項17に記載のPIMにおいて、前記一群の公開パラメータが、
【数34】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数35】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数36】
であり、
前記主仮名は、
【数37】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数38】
である、
PIM。
【請求項19】
請求項18に記載のPIMにおいて、
前記受信ユニットが第三者装置から副仮名
【数39】
を更に受信し、
前記PIMが、
前記副仮名Ppseu及び前記一群の公開パラメータを用いて、質問パラメータ
【数40】
を計算する計算ユニットと、
前記質問パラメータに基づいて
【数41】
となるような前記IDuserを記憶する記憶ユニット内のユーザアイデンティティID'userを検索する検索ユニットと、
を有し、
前記送信ユニットが、前記ID'userを前記第三者装置に前記Ppseuに対応するユーザアイデンティティとして送信する、
PIM。
【請求項20】
ユーザのアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信する送信ユニットと、
前記PIMから、一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信する受信ユニットと、
少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生する発生ユニットと、
を有するユーザ装置。
【請求項21】
請求項20に記載のユーザ装置において、前記一群の公開パラメータは、
【数42】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数43】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数44】
であり、
前記主仮名は、
【数45】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数46】
であり、
前記発生ユニットが、
前記ドメインZpから2つのランダム数k1及びk2を選択する選択ユニットと、
前記副仮名
【数47】
を、前記選択されたランダム数k1及びk2、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて計算する計算ユニットと、
を有し、ここで、
【数48】
である(ここで、
【数49】
及びk2k2-1mod p=1である)、
ユーザ装置。
【請求項22】
請求項21に記載のユーザ装置において、
前記送信ユニットは、更に、前記副仮名Ppseu及び前記PIMを識別する識別子IDserverを第三者装置に送信し、
当該ユーザ装置は、更に、前記副仮名Ppseuを前記送信ユニット及び前記受信ユニットを介して前記第三者装置と対話することにより認証する認証ユニットを有している、
ユーザ装置。
【請求項23】
請求項22に記載のユーザ装置において、前記認証ユニットが前記副仮名Ppseuの有効性を前記第三者装置と零知識証明を交換することにより認証するユーザ装置。
【請求項24】
請求項23に記載のユーザ装置において、前記認証ユニットは前記受信ユニットを介して前記第三者装置から質問メッセージを受信し、該質問メッセージは前記一群の公開パラメータ及び前記副仮名Ppseuに基づいて発生されると共に、
【数50】
として表され、ここで:
tはドメインZpにおけるランダム数、即ちt∈Zpであり;
【数51】
であり;
Ksesは前記第三者装置により選択されたオリジナルのセッションキーであり;
Naは前記第三者装置によりランダムに選択された質問内容であり;
【数52】
は前記オリジナルのセッションキーKsesにより前記質問内容Naを暗号化することにより得られる暗号化された内容であり、
前記認証ユニットは、
セッションキーK*sesを前記受信された質問メッセージに基づいて
【数53】
なる式を用いて計算するセッションキー取得ユニットと、
前記暗号化された内容
【数54】
を前記セッションキーK*sesにより解読して、解読された内容Na*を得る解読ユニットと、
前記解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択すると共に、該選択された返答内容Nbを前記セッションキーK*sesにより暗号化して返答メッセージ
【数55】
を得る暗号化ユニットと、
を有し、
前記送信ユニットは、更に、前記返答メッセージ
【数56】
を前記第三者装置に送信する、
ユーザ装置。
【請求項25】
ユーザがサービスを要求する第三者装置において、該第三者装置が、
ユーザ装置から副仮名Ppseu及び個人アイデンティティマネージャ(PIM)を識別する識別子IDserverを受信する受信ユニットと、
前記ユーザ装置に情報を送信する送信ユニットと、
前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得する取得ユニットと、
前記副仮名Ppseuの有効性を、前記一群の公開パラメータに基づいて前記送信ユニット及び前記受信ユニットを介して前記ユーザ装置と対話することにより認証する認証ユニットと、
を有する第三者装置。
【請求項26】
請求項25に記載の第三者装置において、前記一群の公開パラメータは、
【数57】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数58】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数59】
である、
第三者装置。
【請求項27】
請求項26に記載の第三者装置において、前記認証ユニットは前記副仮名Ppseuの有効性を前記ユーザ装置と零知識証明を交換することにより認証する第三者装置。
【請求項28】
請求項27に記載の第三者装置において、前記認証ユニットは、
前記ドメインZpからランダム数tを選択すると共に、オリジナルのセッションキーKses及び質問内容Naを選択し、該質問内容Naを前記オリジナルのセッションキーKsesにより暗号化して、暗号化された内容
【数60】
を得る選択ユニットと、
質問メッセージ
【数61】
を、前記ランダム数t、前記一群の公開パラメータ、前記副仮名Ppseu及び前記暗号化された内容
【数62】
により発生する(ここで、
【数63】
である)と共に、該質問メッセージを前記送信ユニットを介して前記ユーザ装置へ送信する質問メッセージ発生ユニットと、
前記受信ユニットを介して前記ユーザ装置から受信された返答メッセージ
【数64】
を、前記オリジナルのセッションキーKsesにより解読する解読ユニットであって、K*sesは前記質問メッセージから前記ユーザ装置により計算されたセッションキーであり、Nbは
【数65】
から解読された質問内容に基づき所定の規則に従って前記ユーザ装置により選択された返答内容である解読ユニットと、
前記解読された返答内容Nb*と前記質問内容Naとの間で前記所定の規則が満足されるかを判定すると共に、該所定の規則が満足される場合に前記副仮名Ppseuが有効であると認証する判定ユニットと、
を有する第三者装置。
【請求項29】
請求項28に記載の第三者装置において、
前記送信ユニットは、更に、前記副仮名Ppseuを前記PIMに送信し、
前記受信ユニットは、更に、前記PIMから前記副仮名Ppseuに対応するユーザアイデンティティを受信する、
第三者装置。
【請求項30】
請求項25に記載の第三者装置において、該第三者装置が病院における医療システムである第三者装置。
【請求項1】
個人アイデンティティマネージャ(PIM)において仮名を発生する方法であって、該方法が、
一群の公開パラメータ及び一群の秘密パラメータを決定するステップと、
ユーザのアイデンティティIDuserをユーザ装置から受信するステップと、
主仮名
【数1】
を、前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生するステップであって、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されるランダム数であり、pは選択された素数であるステップと、
前記主仮名Pprime及び前記一群の公開パラメータを前記ユーザ装置に送信するステップと、
を有する方法。
【請求項2】
請求項1に記載の方法において、前記一群の公開パラメータは、
【数2】
であり、ここで、
G1及びG2は2つの選択されたqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数3】
であり;
gは群G1から選択されるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数4】
であり;
【数5】
である;
方法。
【請求項3】
請求項2に記載の方法において、
第三者装置から副仮名
【数6】
を受信するステップと;
前記副仮名Ppseu及び前記一群の公開パラメータを用いて、質問パラメータ
【数7】
を計算するステップと;
前記質問パラメータVerに基づいて
【数8】
となるような、記憶されたユーザアイデンティティにおけるユーザアイデンティティID'userを検索するステップと;
前記ID'userを前記第三者装置に前記Ppseuに対応するユーザアイデンティティとして送信するステップと;
を更に有する方法。
【請求項4】
請求項1に記載の方法において、
前記第三者装置から取得リクエストを受信するステップと、
前記取得リクエストに応答して、前記一群の公開パラメータを前記第三者装置に送信するステップと、
を更に有する方法。
【請求項5】
請求項1に記載の方法において、
前記ユーザ装置から副仮名Ppseuを受信するステップと、
前記副仮名Ppseuの有効性を、前記ユーザ装置と対話することにより認証するステップと、
を更に有する方法。
【請求項6】
ユーザ装置において仮名を発生する方法であって、該方法が、
ユーザのアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信するステップと、
前記PIMから、一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信するステップと、
少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生するステップと、
を有する方法。
【請求項7】
請求項6に記載の方法において、前記一群の公開パラメータが、
【数9】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数10】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数11】
であり、
前記主仮名は、
【数12】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数13】
であり、
前記副仮名Ppseuを発生するステップは、
前記ドメインZpから2つのランダム数k1及びk2を前記一群の公開パラメータに基づいて選択するステップと、
前記選択されたランダム数k1及びk2、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて下記のパラメータ:
【数14】
(ここで、
【数15】
及びk2k2-1mod p=1である)を計算するステップと、
前記計算されたパラメータに基づいて、副仮名
【数16】
を発生するステップと、
を有する方法。
【請求項8】
請求項7に記載の方法において、
前記副仮名Ppseu及び前記PIMを識別する識別子IDserverを第三者装置に送信するステップと、
前記副仮名Ppseuの有効性を、認証者としての前記第三者装置と対話することにより認証するステップと、
を更に有する方法。
【請求項9】
請求項7に記載の方法において、
前記副仮名Ppseuを前記PIMに送信するステップと、
前記副仮名Ppseuの有効性を、認証者としての前記PIMと対話することにより認証するステップと、
を更に有する方法。
【請求項10】
請求項8又は請求項9に記載の方法において、前記認証するステップが、
前記副仮名Ppseuの有効性を前記認証者と零知識証明を交換することにより認証するステップ、
を有する方法。
【請求項11】
請求項10に記載の方法において、前記認証者と零知識証明を交換するステップは、
前記認証者から質問メッセージを受信するステップであって、該質問メッセージは前記一群の公開パラメータ及び前記副仮名Ppseuに基づいて発生されると共に、
【数17】
として表され、ここで:
tはZpから前記認証者により選択されるランダム数であり;
【数18】
であり;
Ksesは前記認証者により選択されたオリジナルのセッションキーであり;
Naは前記認証者によりランダムに選択された質問内容であり;
【数19】
は前記オリジナルのセッションキーKsesにより前記質問内容Naを暗号化することにより得られる暗号化された内容を表す;
ようなステップと、
セッションキーK*sesを前記質問メッセージ及び前記主仮名Pprimeに基づいて
【数20】
を用いて計算するステップと、
前記暗号化された内容
【数21】
を前記セッションキーK*sesにより解読して、解読された内容Na*を得るステップと、
前記解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択すると共に、該返答内容Nbを前記セッションキーK*sesにより暗号化して返答メッセージ
【数22】
を得るステップと、
前記返答メッセージ
【数23】
を送信するステップと、
を有する方法。
【請求項12】
第三者装置において仮名を認証する方法であって、該方法が、
ユーザ装置から、副仮名Ppseu及び個人アイデンティティマネージャ(PIM)を識別する識別子IDserverを受信するステップと、
前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを得るステップと、
前記副仮名Ppseuの有効性を、前記一群の公開パラメータに基づいて前記ユーザ装置と対話することにより認証するステップと、
を有する方法。
【請求項13】
請求項12に記載の方法において、前記一群の公開パラメータが、
【数24】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数25】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数26】
である、
方法。
【請求項14】
請求項13に記載の方法において、前記認証するステップが、
前記副仮名Ppseuの有効性を、前記ユーザ装置と零知識証明を交換することにより認証するステップ、
を有する方法。
【請求項15】
請求項14に記載の方法において、前記零知識証明を交換するステップは、
前記ドメインZpからランダム数tを選択するステップと、
オリジナルのセッションキーKses及び質問内容Naを選択すると共に、該質問内容Naを前記オリジナルのセッションキーKsesにより暗号化して、暗号化された内容
【数27】
を得るステップと、
質問メッセージ
【数28】
を、前記ランダム数t、前記一群の公開パラメータ、前記副仮名Ppseu及び前記暗号化された内容
【数29】
により発生する(ここで、
【数30】
である)ステップと、
前記質問メッセージを前記ユーザ装置に送信するステップと、
返答メッセージ
【数31】
を前記ユーザ装置から受信するステップであって、ここで、K*sesは前記質問メッセージから前記ユーザ装置により計算されたセッションキーであり、Nbは
【数32】
から解読された質問内容に基づく所定の規則に従って前記ユーザ装置により選択された返答内容であるようなステップと、
前記返答内容を前記オリジナルのセッションキーKsesにより解読するステップと、
前記解読された返答内容Nb*と前記質問内容Naとの間で前記所定の規則が満足されるかを判定して、前記副仮名Ppseuの有効性を認証するステップと、
を有する方法。
【請求項16】
請求項12に記載の方法において、
前記副仮名Ppseuは前記PIMに送信され、
前記PIMから、前記副仮名Ppseuに対応するユーザのアイデンティティIDuserとして、ユーザアイデンティティID'userが受信される、
方法。
【請求項17】
一群の公開パラメータ及び一群の秘密パラメータを決定する決定ユニットと、
ユーザのアイデンティティIDuserを受信する受信ユニットと、
主仮名
【数33】
を、前記決定された一群の秘密パラメータ及び前記IDuserに基づいて発生する発生ユニットであって、H1は一方向性ハッシュ関数であり、∂はドメインZpから選択されるランダム数であり、pは選択された素数である発生ユニットと、
前記主仮名Pprimeをユーザ装置に送信する送信ユニットと、
を有する個人アイデンティティマネージャ(PIM)。
【請求項18】
請求項17に記載のPIMにおいて、前記一群の公開パラメータが、
【数34】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数35】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数36】
であり、
前記主仮名は、
【数37】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数38】
である、
PIM。
【請求項19】
請求項18に記載のPIMにおいて、
前記受信ユニットが第三者装置から副仮名
【数39】
を更に受信し、
前記PIMが、
前記副仮名Ppseu及び前記一群の公開パラメータを用いて、質問パラメータ
【数40】
を計算する計算ユニットと、
前記質問パラメータに基づいて
【数41】
となるような前記IDuserを記憶する記憶ユニット内のユーザアイデンティティID'userを検索する検索ユニットと、
を有し、
前記送信ユニットが、前記ID'userを前記第三者装置に前記Ppseuに対応するユーザアイデンティティとして送信する、
PIM。
【請求項20】
ユーザのアイデンティティIDuserを個人アイデンティティマネージャ(PIM)に送信する送信ユニットと、
前記PIMから、一群の公開パラメータ及び前記IDuserに対応する主仮名Pprimeを受信する受信ユニットと、
少なくとも2つのランダムパラメータを選択すると共に、これら少なくとも2つのランダムパラメータ、前記公開パラメータ及び前記主仮名Pprimeを用いて副仮名Ppseuを発生する発生ユニットと、
を有するユーザ装置。
【請求項21】
請求項20に記載のユーザ装置において、前記一群の公開パラメータは、
【数42】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数43】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数44】
であり、
前記主仮名は、
【数45】
であり、ここで、
H1は一方向性ハッシュ関数であって、
【数46】
であり、
前記発生ユニットが、
前記ドメインZpから2つのランダム数k1及びk2を選択する選択ユニットと、
前記副仮名
【数47】
を、前記選択されたランダム数k1及びk2、前記一群の公開パラメータ及び前記主仮名Pprimeを用いて計算する計算ユニットと、
を有し、ここで、
【数48】
である(ここで、
【数49】
及びk2k2-1mod p=1である)、
ユーザ装置。
【請求項22】
請求項21に記載のユーザ装置において、
前記送信ユニットは、更に、前記副仮名Ppseu及び前記PIMを識別する識別子IDserverを第三者装置に送信し、
当該ユーザ装置は、更に、前記副仮名Ppseuを前記送信ユニット及び前記受信ユニットを介して前記第三者装置と対話することにより認証する認証ユニットを有している、
ユーザ装置。
【請求項23】
請求項22に記載のユーザ装置において、前記認証ユニットが前記副仮名Ppseuの有効性を前記第三者装置と零知識証明を交換することにより認証するユーザ装置。
【請求項24】
請求項23に記載のユーザ装置において、前記認証ユニットは前記受信ユニットを介して前記第三者装置から質問メッセージを受信し、該質問メッセージは前記一群の公開パラメータ及び前記副仮名Ppseuに基づいて発生されると共に、
【数50】
として表され、ここで:
tはドメインZpにおけるランダム数、即ちt∈Zpであり;
【数51】
であり;
Ksesは前記第三者装置により選択されたオリジナルのセッションキーであり;
Naは前記第三者装置によりランダムに選択された質問内容であり;
【数52】
は前記オリジナルのセッションキーKsesにより前記質問内容Naを暗号化することにより得られる暗号化された内容であり、
前記認証ユニットは、
セッションキーK*sesを前記受信された質問メッセージに基づいて
【数53】
なる式を用いて計算するセッションキー取得ユニットと、
前記暗号化された内容
【数54】
を前記セッションキーK*sesにより解読して、解読された内容Na*を得る解読ユニットと、
前記解読された内容Na*に対応する返答内容Nbを所定の規則に従って選択すると共に、該選択された返答内容Nbを前記セッションキーK*sesにより暗号化して返答メッセージ
【数55】
を得る暗号化ユニットと、
を有し、
前記送信ユニットは、更に、前記返答メッセージ
【数56】
を前記第三者装置に送信する、
ユーザ装置。
【請求項25】
ユーザがサービスを要求する第三者装置において、該第三者装置が、
ユーザ装置から副仮名Ppseu及び個人アイデンティティマネージャ(PIM)を識別する識別子IDserverを受信する受信ユニットと、
前記ユーザ装置に情報を送信する送信ユニットと、
前記識別子IDserverに基づいて前記PIMから一群の公開パラメータを取得する取得ユニットと、
前記副仮名Ppseuの有効性を、前記一群の公開パラメータに基づいて前記送信ユニット及び前記受信ユニットを介して前記ユーザ装置と対話することにより認証する認証ユニットと、
を有する第三者装置。
【請求項26】
請求項25に記載の第三者装置において、前記一群の公開パラメータは、
【数57】
であり、ここで:
pは素数である一方、∂はドメインZpから選択されるランダム数であり;
G1及びG2は2つのqモジュロp次の群であって、qは素数であり;
e^は双線形マップであって、
【数58】
であり;
gは群G1におけるランダム生成元であり;
H2は一方向性ハッシュ関数であって、
【数59】
である、
第三者装置。
【請求項27】
請求項26に記載の第三者装置において、前記認証ユニットは前記副仮名Ppseuの有効性を前記ユーザ装置と零知識証明を交換することにより認証する第三者装置。
【請求項28】
請求項27に記載の第三者装置において、前記認証ユニットは、
前記ドメインZpからランダム数tを選択すると共に、オリジナルのセッションキーKses及び質問内容Naを選択し、該質問内容Naを前記オリジナルのセッションキーKsesにより暗号化して、暗号化された内容
【数60】
を得る選択ユニットと、
質問メッセージ
【数61】
を、前記ランダム数t、前記一群の公開パラメータ、前記副仮名Ppseu及び前記暗号化された内容
【数62】
により発生する(ここで、
【数63】
である)と共に、該質問メッセージを前記送信ユニットを介して前記ユーザ装置へ送信する質問メッセージ発生ユニットと、
前記受信ユニットを介して前記ユーザ装置から受信された返答メッセージ
【数64】
を、前記オリジナルのセッションキーKsesにより解読する解読ユニットであって、K*sesは前記質問メッセージから前記ユーザ装置により計算されたセッションキーであり、Nbは
【数65】
から解読された質問内容に基づき所定の規則に従って前記ユーザ装置により選択された返答内容である解読ユニットと、
前記解読された返答内容Nb*と前記質問内容Naとの間で前記所定の規則が満足されるかを判定すると共に、該所定の規則が満足される場合に前記副仮名Ppseuが有効であると認証する判定ユニットと、
を有する第三者装置。
【請求項29】
請求項28に記載の第三者装置において、
前記送信ユニットは、更に、前記副仮名Ppseuを前記PIMに送信し、
前記受信ユニットは、更に、前記PIMから前記副仮名Ppseuに対応するユーザアイデンティティを受信する、
第三者装置。
【請求項30】
請求項25に記載の第三者装置において、該第三者装置が病院における医療システムである第三者装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2012−505588(P2012−505588A)
【公表日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2011−530625(P2011−530625)
【出願日】平成21年10月13日(2009.10.13)
【国際出願番号】PCT/IB2009/054498
【国際公開番号】WO2010/044056
【国際公開日】平成22年4月22日(2010.4.22)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成21年10月13日(2009.10.13)
【国際出願番号】PCT/IB2009/054498
【国際公開番号】WO2010/044056
【国際公開日】平成22年4月22日(2010.4.22)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]