分散情報復元システム、情報利用装置、および、検証装置
【課題】復元処理を復元装置に委託しつつ、悪意ある主体による追跡を防止する。
【解決手段】
分散情報管理装置2は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存する。情報利用装置1は、乱数をn個生成し保存するとともに、要求する分散情報を一意に識別する分散情報識別子と前記各乱数とを含む情報復元要求を行う。
分散情報管理装置2は、前記分散情報を前記乱数で秘匿し、前記復元装置3に送信する。
復元装置3は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する。前記情報利用装置は、復元された前記秘匿秘密情報を前記乱数を用いて復号し、秘密情報を得る。
【解決手段】
分散情報管理装置2は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存する。情報利用装置1は、乱数をn個生成し保存するとともに、要求する分散情報を一意に識別する分散情報識別子と前記各乱数とを含む情報復元要求を行う。
分散情報管理装置2は、前記分散情報を前記乱数で秘匿し、前記復元装置3に送信する。
復元装置3は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する。前記情報利用装置は、復元された前記秘匿秘密情報を前記乱数を用いて復号し、秘密情報を得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、(k、N)閾値秘密分散法で分散した分散情報を復元するための分散情報復元システム、情報利用装置、および、検証装置に関する。
【背景技術】
【0002】
従来、(k、N)閾値秘密分散法という技術が存在する(k、Nは整数で、k≦Nとする)。この技術は、入力されたlビットの情報(以下では秘密情報)から、同じビット長のN個の異なるデータ(以下では分散情報とよぶ)を生成する秘密分散アルゴリズム(以下、分散アルゴリズム)と、N個の分散情報のうち任意のk個から分散前の秘密情報を復元する秘密復元アルゴリズム(以下、復元アルゴリズム)とからなる。K−1個以下の分散情報からは秘密情報に関する情報を一切得ることができないため、分散情報を複数の主体で分散して管理することで、秘密情報を一箇所で集中管理することで生じる秘密情報の漏洩リスクを低下させることができる。
【0003】
秘密分散法としては、Shamirにより提案された秘密分散法が代表的であるが、その他に、排他的論理和を利用して構成されるXOR閾値法が存在する。現在までに提案されているXOR閾値法は、Nを任意とする場合には、(2,N)閾値法までしか実現できていないが、Shamir法と比較して復号処理が非常に高速かつ低負荷であること、実際の応用システムへの適用においてはk=2で問題が生じないことが多いことから、秘密分散の応用システムにおいて利用が期待できる閾値秘密分散法である。
【0004】
この(k,N)閾値秘密分散を利用したシステムとして、分散情報を保存する複数の分散情報管理装置と、k以上の分散情報を収集した上で秘密情報を復元して検証した上で利用する情報利用装置とからなる分散情報復元システムを考える。そして、復元処理を代行する復元装置を導入して、情報利用装置が分散情報を少なくともk回入手して正当性を検証する作業負荷(通信負荷を含む)とそれらの分散情報を復元する処理負荷を減らすことを考える。この場合、復元装置が復元した秘密情報を知ってしまうという問題がある。この問題は、秘密情報を乱数等で暗号化などの秘匿処理をした上で分散させることで対処できるが、秘密情報そのもの、秘匿された秘密情報、これら2つの情報の分散情報、秘匿された秘密情報を復号するための乱数などの識別情報を利用した攻撃(以降、これを追跡と呼ぶ)が脅威となる。追跡とは、復元装置や悪意のある攻撃者がこれらの識別情報を入手し、情報利用装置の識別情報として利用することで、同一の秘密情報を復元した回数や秘密情報の使用先や復元頻度を把握する攻撃である。この攻撃は、毎回異なった乱数を付与する等の処理で変形した秘密情報から分散情報を再計算して、分散情報管理装置の保持する分散情報を定期的に置き換えることで対処できるが、置き換えがない間は追跡をうけるなどの問題が残る他、そもそもアプリケーションによっては分散情報の置換にかかるコストが大きく適用できないことが問題となる。この問題を回避する方法として、秘密情報を暗号化してから分散させるのではなく、分散情報を毎回異なった乱数で暗号化して、その暗号化された分散情報(以降、秘匿分散情報)を入手し、それを復号して分散情報に戻した上で復元処理をする方法があり、これを実施しているシステムも存在する。
【0005】
その具体例としては、非特許文献1記載の分散属性認証システムがある。このシステムでは、秘密情報は年齢、性別などの属性情報に、分散情報は属性情報を分散させた情報にそれぞれ相当する。分散情報管理装置は分散情報の正当性を保証した電子証明書をそれぞれ発行し、情報利用装置は複数枚の証明書を検証した上で分散情報から属性情報を復元して属性を確認する。つまり、分散情報の電子証明書の正当性を拠り所として属性認証を行う。秘密分散の特性から分散情報管理装置であっても結託しないかぎりは元の属性情報を復元できず、分散情報管理装置からの情報漏洩にも強いという特徴を有するプライバシ保護を意識した属性証明方式である。このアプリケーションでは、分散情報管理装置は自身が証明する分散情報の証明書の正当性を信頼の拠り所としたサービスが存在することから、分散情報を登録する際の正当性確認は厳重に行われると考えられ、一旦確認して保存した分散情報の置換にはコストがかかるため慎重にならざるを得ない。また、このアプリケーションでの情報の追跡は、情報利用装置が同一の属性を提示した属性の回数や頻度やタイミングを意味するためプライバシ保護上の問題につながる。これらのことから、このシステムでは上述の方式を採用して、分散情報を乱数で毎回秘匿して秘匿分散情報を生成し、復号した上でその復元処理を実施して追跡を防ぎ、プライバシを保護する。
【0006】
しかしながら、追跡の問題を回避するだけでなく、情報利用装置の処理負荷の問題を解決することも目的とした場合、この手法では情報利用装置の処理負荷を減少させることができない。特に携帯電話等の計算能力が低い端末を情報利用装置として想定するモバイル環境での属性証明(たばこ購入時の年齢証明など)を実施するサービスに適用するのは難しい。
【非特許文献1】上山,清藤,四方,松本,分散属性認証方式に対する基本検討(3), 2006年コンピュータセキュリティシンポジウム,pp.477-482.
【発明の開示】
【発明が解決しようとする課題】
【0007】
以上説明したように、分散情報復元システムにおいて情報利用装置の負荷を軽減するための処理の委託と追跡の回避とを両立することは難しかった。
【0008】
本発明は、上記問題点に鑑みなされたものであり、復元処理を復元装置に委託しつつ、悪意ある主体による追跡を防止することができる分散情報復元システム、情報利用装置、及び、検証装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を得るための情報利用装置とが、ネットワークを介して接続される分散情報復元システムであって、前記情報利用装置は、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、前記各分散情報管理装置は、前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、生成した前記秘匿分散情報を前記復元装置に送信する秘匿分散情報送信手段とを備え、前記復元装置は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、復元された前記秘匿秘密情報を前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、前記情報利用装置は、送信された秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得るようにしたことを特徴とする。
【0010】
また、本発明は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、サービスの提供を得るために前記秘密情報を得るための要求を行う情報利用装置と、前記サービスを提供するために前記秘密情報の確認を行う検証装置とが、ネットワークを介して接続される分散情報復元システムであって、前記検証装置は、検証情報を生成する検証情報生成手段を備え、前記情報利用装置は、前記検証装置から前記検証情報を得る検証情報取得手段と、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する分散情報識別子取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記検証情報と前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、前記各分散情報管理装置は、前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、生成した前記秘匿分散情報を前記検証情報と共に前記復元装置に送信する秘匿分散情報送信手段とを備え、前記復元装置は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、復元された前記秘匿秘密情報を前記検証情報と共に、前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、前記情報利用装置は、送信された秘匿秘密情報と前記検証情報と前記保存手段で保存した前記乱数に基づく復号用情報とを、前記検証装置へ送信し、前記検証装置は、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得るようにしたことを特徴とする。
【0011】
また、本発明は、(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、ネットワークを介して接続され、前記秘密情報を得るための情報利用装置であって、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくとも2台へそれぞれ送信する送信手段と、前記分散情報管理装置で保存する分散情報と前記情報復元要求に含む前記乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報を受信する受信手段と、受信した秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得る復号手段とを備えたことを特徴とする。
【0012】
また、本発明は、(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を提示して特定のサービスを受ける情報利用装置と、ネットワークを介して接続され、前記秘密情報の提示を受け、前記特定のサービスを与える検証装置であって、前記情報利用装置から前記特定のサービスを受けたい旨の要求を受け、検証情報を生成する検証情報生成手段と、生成した前記検証情報を前記情報利用装置へ送信する送信手段と、検証情報を含む情報復元要求により得られる、前記分散情報管理装置で保存する分散情報と前記情報利用装置で生成された乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報と、秘匿秘密情報に付加して与えられる検証情報と、前記乱数に基づく復号用情報とを受信する受信手段と、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得る秘密情報取得手段とを備えたことを特徴とする。
【発明の効果】
【0013】
本発明によれば、復元装置が処理するのは毎回異なった乱数で秘匿処理された分散情報(秘匿分散情報)であり、その復元処理結果も乱数で秘匿された秘匿秘密情報である。そのため復元装置に秘密情報を秘匿しつつ、情報利用装置は復元装置が出力した秘匿秘密情報から秘密情報を復号できることから、復元処理を委託して処理負荷を減らすことができる。さらに、従来は情報利用装置がk個の分散情報を受信し、検証した後に復号する必要があったが、発明では秘匿分散情報と同サイズの復元装置の出力データを一つ受信すればよいので、秘匿分散情報の復号処理回数と通信量をそれぞれ減らすことができる。
【発明を実施するための最良の形態】
【0014】
以下、本発明の実施の形態につき図面を参照して説明する。
【0015】
まず、第1の実施の形態について説明する。図1は、本実施の形態が適用される分散情報復元システムの全体を示しており、また、図2は、分散情報復元システムの概略的なフローを示している。
分散情報復元システムは、インターネットなどのオープンな通信ネットワークやそれに接続される専用線などの各種通信ネットワーク4を介して、例えばTCP/IPなどによってそれぞれ通信可能に接続された、情報利用装置1と複数の分散情報管理装置2…2と復元装置3とを備える。また、分散情報生成装置5は、本分散情報復元システムを利用するユーザが自身の情報利用装置1内では保存したくない秘密情報(文書、画像、動画、暗号鍵等)を、分散情報管理装置2…2に分散して保存するために、複数の分散情報を生成するものである。
【0016】
分散情報管理装置2…2は、ユーザにとって信頼できる第三者の位置づけであるが、意図しない情報漏洩等もあり得る。そこで、ユーザの秘密情報の分散登録時処理において、分散情報生成装置5は、入力された秘密情報から(k,n)秘密分散法を利用して生成したn個の分散情報それぞれを、各種通信ネットワーク4を利用したり記録メディアなどを利用したりして直接的あるいは間接的に分散情報管理装置2…2へ配布する。分散情報管理装置2…2は、自身宛に配布された分散情報を、自装置内へ保存する。このようにすることにより、分散情報管理装置2…2から復元に必要な閾値以上の数の分散情報の漏洩がない限りは、ユーザと秘密情報との対応がとれないようにしている。
【0017】
復元装置3は、秘密分散の復元アルゴリズムを正しく実行することは信頼するが、その入出力を利用して情報利用装置1を利用するユーザを追跡したり統計情報を入手しようとしたりする可能性がある主体と想定する。そこで、ユーザの秘密情報の取得時処理において、情報利用装置1は、各分散情報と同じ長さの乱数を、少なくともk個生成し保存するとともに、生成した各乱数を含んだ秘密情報の取得要求を、少なくともk個の分散情報管理装置2へそれぞれ送信する。取得要求を受けた各分散情報管理装置2は、分散情報を取得要求に含まれる乱数によって暗号化して得た秘匿分散情報を、復元装置3へ送信する。復元装置3は、分散情報管理装置2…2から秘匿分散情報をk個得て、秘匿分散情報のままで(k,n)秘密分散法の復元アルゴリズムによって復元し、復元された秘匿秘密情報を情報利用装置1へ送信する。情報利用装置1は、秘匿秘密情報を、要求時に生成して保存した乱数を用いて復号することにより秘密情報を得ることができる。このようにすることにより、情報利用装置1と分散情報管理装置2…2以外の復元装置3や攻撃者が秘匿秘密情報や秘匿分散情報を利用して情報利用装置1(あるいはそれを利用しているユーザ)を追跡することを防止できる。
【0018】
以上のような本実施の形態の分散情報復元システムによれば、乱数で秘匿された分散情報を復号処理する前に復元処理することができるから、情報利用装置1で行っていた復元処理を、復元装置3に秘密情報を秘匿したままで委託することができ、情報利用装置1の復元処理に係る処理負荷を無くすことができる。さらに、情報利用装置1は、通信における受信において秘匿分散情報を1つだけ受信すればよく、既存のように少なくともk個の分散情報を受信する必要がなくなったため、通信量をそれぞれ減らすことができる。
【0019】
なお、情報利用装置1が動的にIPアドレスが変化するモバイル端末等のみならず、固定のIPアドレスで通信を行う据え置きのコンピュータであっても、システムを構成する各装置のIPアドレスを、プロキシサーバやオニオンルーティングなどで知られる既存の匿名通信技術で秘匿することにより、情報利用装置1は、ネットワークアドレスを識別子とした追跡の問題を気にすることなく復元装置3とデータ送受信ができる。
【0020】
また、情報利用装置1から分散情報管理装置2…2への通信は、復元装置3の中継を受けても良く、この場合には、復元装置3による中間者攻撃の危険性があるが、情報利用装置1と分散情報管理装置2…2との間で、適切なセキュアチャネル(送信者と受信者が互いを認証し、通信路上を流れるデータの機密性・完全性が確保された通信路)を確立した上で通信することで回避できる。このようなセキュアチャネルを確立する既存技術としては、例えばSSL(Secure Sockets Layer)が良く知られている。情報利用装置1が、復元装置3による中継の下、分散情報管理装置2…2に接続する場合には、分散情報管理装置2…2の公開鍵証明書を利用したSSLサーバ認証モードと分散情報管理装置2…2による情報利用装置1の認証との組み合わせか、情報利用装置1と分散情報管理装置2…2が互いに公開鍵証明書を利用したSSL相互認証モードによって上述したセキュアチャネルが確立できる。
【0021】
次に、上記実施の形態をより具現化した例を以下に示す。
【0022】
本例のうち秘密情報の分散登録処理は、ユーザからの秘密情報のそれぞれから、(k,n)閾値分散アルゴリズムによってn個の分散情報を生成し、分散情報復元システム上のn台の分散情報管理装置2…2のそれぞれへ分散して保管・管理させる。
【0023】
図3は、分散情報生成装置5の機能ブロック図を示したものである。
【0024】
秘密情報入力部501は、ユーザからの指示により入力された、d×(n−1)ビットの秘密情報K(sid)を受付ける。なお、sidは、ユーザから複数の秘密情報を受けとる場合、そのうちの一つを識別するための識別子である。
【0025】
秘密情報分散部502は、秘密情報入力部501からの秘密情報K(sid)を(2,n)XOR閾値法を用いた秘密分散法により、サイズd×(n−1)ビットのn個の分散情報S(sid,i)を生成するものである。なお、iは、分散情報管理装置2…2のそれぞれを識別するための識別子であり、0からn−1までの正整数である。ここで、(2,n)XOR閾値法の秘密分散法の詳細なアルゴリズムは、公知文献「高速な(2,n)閾値法の構成法とシステムへの応用、2005年コンピュータセキュリティシンポジウム,pp.631-636.(藤井,多田,保坂,栃窪,加藤)」に記載される分散アルゴリズムを用いればよく、ここでは説明を省略する。
【0026】
秘密情報分散部502は、生成したn個の分散情報S(sid,i)を、出力部505へ出力する。
【0027】
また秘密情報分散部502の動作と並行して、分散情報識別子生成部503は、分散情報S(sid,i)を分散情報管理装置2…2へ配布した後に分散情報S(sid,i)を特定するための分散情報識別子DID(sid,i)を生成し、出力部505へ出力する。
【0028】
接続先情報管理部504は、予め保存している各分散情報管理装置2・・・2や復元装置3の接続先アドレスやポート番号などを予め保存しておき、秘密情報分散部502の動作と並行して、それらを出力部505へ出力する。また、分散情報管理装置2・・・2が情報利用装置1を認証するような場合には、接続先情報管理部504は、認証情報(ユーザID、パスワード、公開鍵方式での認証に必要な各種認証情報、等)を予め保存しておき、秘密情報分散部502の動作と並行して、それらを出力部505へ出力する。
【0029】
出力部505は、それぞれ出力を受けた各種情報を、次に示すように適切な装置へ配布する。
【0030】
n個の分散情報S(sid,i)はそれぞれ、識別子iに対応する分散情報管理装置2へそれぞれ配布される。
【0031】
n個の分散情報識別子DID(sid,i)はそれぞれ、識別子iに対応する分散情報管理装置2へそれぞれ配布される。また、n個の分散情報識別子DID(sid,i)の全ては、情報利用装置1へ配布される。
【0032】
接続先アドレスやポート番号は、情報利用装置1へ配布される。また、分散情報管理装置2・・・2が情報利用装置1を認証するような場合には、ユーザID、パスワード、などの認証情報は、情報利用装置1および各分散情報管理装置2へ配布される。なお、ここでは特に示さなかったが、(2,n)XOR閾値法によるシステムパラメータK0∈{0,1}d、が復元時に利用される場合には、復元装置3へ配布される。
【0033】
これら各情報の配布においては、セキュアな通信路を用いて配布したり、セキュア管理の下、文書を用いて配布して配布先の各分散情報管理装置2…2でオペレータなどによって入力したりすることにより、行えば良い。
【0034】
以上のようにして配布された各種情報は、各装置で次のような各テーブルに登録し保存される。
【0035】
情報利用装置1は、図4の分散情報識別子テーブル102と、図5の接続先情報テーブル103とを備える。
【0036】
分散情報識別子テーブル102は、秘密情報の識別子sidに対応付けて、n個の分散情報識別子DID(sid,i)を格納する。また、復元する秘密情報を選択・決定する際に有効であるため、識別子sidが指す秘密情報K(sid)がどのような情報であるかといった補足情報(コメント欄)もsidに対応付けて保存する。
【0037】
接続先情報テーブル103は、後述する秘密情報取得処理時に、各装置と通信を行うために、各分散情報管理装置2の識別子(0〜n−1)や復元装置3であることを示す名前と、それらの接続先アドレスやポート番号などを、それぞれ対応付けて保存している。また、ここでは、分散情報管理装置2が情報利用装置1を認証する場合もあるため、認証情報を保存している。
【0038】
次に、各分散情報管理装置2・・・2は、図6の接続元情報テーブル201と、図7の分散情報テーブル202とを備える。
【0039】
各分散情報管理装置2…2では、本実施の形態の情報利用装置1以外にも他の情報利用装置とも同様なシステムが構築できるようするべきである。従って、接続元情報テーブル201は、情報利用装置や復元装置などの装置識別IDと、その認証情報とを対応付けて保存する。なお、図示しないが、復元装置3が情報利用装置1と分散情報管理装置2との通信を中継する場合には、IPアドレスやポート番号などを保存するようにしても良い。
【0040】
分散情報テーブル202は、分散情報識別子DID(sid,i)と、分散情報S(sid,i)とを対応付けて保存する。
【0041】
以上のように各装置の各テーブルに保存することによって、秘密情報の分散登録時処理が完了する。
【0042】
次に、ユーザの秘密情報の取得時処理について、情報利用装置1、分散情報管理装置2、復元装置3の動作について説明する。図8、図9、図10は、それぞれ情報利用装置1、分散情報管理装置2、復元装置3の機能ブロックを示したものである。また、図11、図12、図13はそれぞれ情報利用装置1、復元装置3、分散情報管理装置2の処理手順を示したフローチャートである。
【0043】
ユーザは取得したい秘密情報を情報利用装置1で指定すると、情報復元要求部104は、分散情報識別子テーブル102を参照し、指定された秘密情報に対応した秘密情報識別子sidを取得する(A101)。次に、情報復元要求を行うためのセッションを識別するための復元要求セッション識別子session_idを定める(A102)。次に、分散情報識別子取得部105は、分散情報識別子テーブル102から各分散情報管理装置(の識別子i)に対応した分散情報識別子DID(sid,i)を取得する(A103)。
【0044】
次に、乱数生成部106は、分散情報S(sid,i)に対応し、分散情報S(sid,i)と同じビットサイズであるdビットの乱数M(sid,i)を生成し(A104)、分散情報数であるn個分生成して復元要求セッション識別子とともに秘匿乱数テーブル101に保存する(A105)。なお、乱数生成アルゴリズムは任意の公知技術を利用すればよい。生成した結果の乱数M(sid,i)に互いに同一のデータが存在する場合、本方式の安全性に問題が生じる可能性があるので生成した乱数が異なることをチェックするようにしてもよい。
【0045】
ここで秘匿乱数テーブル101を図14に示す。秘匿乱数テーブル101は、秘密情報K(sid)を分散したn個の分散情報S(sid,i)に対応して、長さd×nビットの乱数M(sid,i)を、復元要求セッション識別子session_idと対応付けて格納する。また、開始時刻や状態などの復元要求セッションを識別する際の補助情報を格納する欄を設けていてもよい。
【0046】
次に、情報復元要求部104は、各分散情報管理装置2…2に対応して、復元要求セッション識別子session idと分散情報識別子DID(sid,i)と秘匿乱数M(sid,i)とを含む情報復元要求を生成し、復元装置3を中継して各分散情報管理装置2…2へ送信する(A106)。
【0047】
ここで、復元要求は一度にn台の分散情報管理装置に送信してもよいが、それより少ない台数に送信し、閾値k以上の応答がなければ随時、他の分散情報管理装置2に情報復元要求を送信するようにしてもよい。ただし、この場合は、情報利用装置1と復元装置3との間で現在までに得られている応答の数などを随時把握するための通信が必要となる。また、この際、接続先情報テーブル103の認証情報を利用して分散情報管理装置2との間にセキュアチャネルを確立した上で送信するため、通信を中継する復元装置3は復元要求に含まれる情報が分からないので、安全である。復元要求セッション識別子としては情報復元要求をする際のTCP/IPでの送受信アドレスとポート番号の4つ組といった通信セッション識別子を流用してもよいが、復元装置3が秘匿秘密情報の返送に際してこの通信セッションを利用しなければならなかったり、なんらかの原因で通信セッションが遮断された場合に、復元要求セッション識別子と復元装置3から返信される秘匿秘密情報との対応が不明となったりする問題がある。その場合には、復元要求セッション識別子を通信セッション識別子とは別に発行すればよい。復元要求セッション識別子の具体例としては、総当たりでの推測が難しいような十分に大きい空間から採取した乱数(例えば32ビットとか64ビットの乱数)が考えられる。また、既に作成した秘匿乱数を引数としてハッシュ関数で作成することで、秘匿乱数のみを覚えておけばよいようにすることも可能である。この場合、分散情報管理装置2は情報利用装置1から復元要求セッション識別子をセキュアチャネルで受信する。そして、分散情報管理装置2が復元装置3に秘匿分散情報を送信する際に復元要求セッション識別子を秘匿セッション情報に含めて併せて通知し、復元装置3は情報利用装置1に復元要求セッション識別子を復元セッション情報に含めて情報利用装置1に送信することで情報復元要求セッションを識別する。なお、ここでは、分散情報管理装置2が復元装置3に伝えるとしたが、情報利用装置1が復元装置3に復元要求セッション識別子を別途通知しておいてもよい。
【0048】
以上のようにして、情報利用装置1は、情報復元要求を復元装置3を経由し分散情報管理装置2へ送信する。
【0049】
次に、復元装置3は、情報利用装置1からの情報復元要求を受信部301で受信し(B101)、中継部302によって、各情報復元要求で指定された分散情報管理装置2へ情報復元要求を中継する(B102)。なお、本実施例では情報利用装置1と分散情報管理装置2との通信を復元装置3が中継するとしたが、情報利用装置1と分散情報管理装置2とが直接通信し、分散情報管理装置2が処理結果と情報利用装置1の受信アドレスとを併せて復元装置3に送信し、その受信アドレスをもとに復元装置3が復元処理結果を送信してもよい。この際、前述のようにプロキシサーバや匿名通信技術を利用すれば、復元装置3は情報利用装置1の受信アドレスで不正に追跡できない。
【0050】
次に、復元装置3から送信された情報復元要求の送付先の分散情報管理装置2は、受信部203で、情報復元要求を受信する(C101)。この例では、ネットワークレベルの接続要求元は、復元装置3であるため、安全性を確保するために、正当な情報利用装置1の情報復元要求が中継されているかどうかを判断する(C102)。より具体的には、接続元情報テーブル201に格納された認証情報を利用して情報利用装置1を利用している(ユーザ)を認証してセキュアチャネルを確立する。この場合、前述したようにSSLなどが利用できる。ここで、相互認証は情報利用装置1と復元装置3との間では行われないので、復元装置3は情報利用装置1を追跡できない。また、分散情報管理装置2は認証した情報利用装置1の識別子をログ等に記録し、証拠として保存したりしてもよい。
【0051】
秘匿処理部204は、受信部203で受信した情報復元要求から分散情報識別子DID(sid,i)を取得する(C103)。取得した分散情報識別子DID(sid,i)で分散情報テーブル202から分散情報S(sid,i)={S(sid,i,j)|S(sid,i,j) ∈{0,1}d,0≦j≦n-2}(長さd×(n−1)ビットの分散情報S(sid,i)を長さdビットのn−1個の分散情報s(sid,i,j)で構成されているとみなす)を取得する(C104)。
【0052】
そして、情報復元要求に含まれる乱数M(sid,i)={M(sid,i,j)|M(sid,i,j) ∈{0,1}d,0≦j≦n-2}(分散情報と同様にみなす)の各要素と、分散情報S(sid,i)の各要素とをビット毎に排他的論理和演算し、秘匿分散情報C(sid,i)を生成する(C105)。なお、秘匿分散情報C(sid,i)をより詳細に記載すると次式で表される。
【数1】
【0053】
次に、送信部205は、復元要求セッション識別子と秘匿分散情報C(sid,i)とを含む秘匿セッション情報を復元装置3に送信する(C106)。ここで、分散情報管理装置2と復元装置3との間で相互認証したセキュアチャネルを設け第三者による攻撃を防止して安全性を向上させると良い。また、ここで、分散情報管理装置2が秘匿セッション情報のうち、秘匿分散情報に電子署名を付与することでシステムの安全性を向上させることができる。さらに、秘匿セッション情報に電子署名を施すことで情報復元要求セッションと秘匿分散情報の対応を明示的に示すことができ、復元装置3に偽の秘匿分散情報と復元要求セッション識別子との組を送信して復元させるなどのサービス負荷攻撃を回避できる他、情報作成の主体が明確になり、分散情報管理装置2による不正を抑止できる。
【0054】
次に復元装置3は、受信部301で、分散情報管理装置2から送信された秘匿セッション情報を受信する(B103)。分散情報管理装置2からの返答を待った結果、閾値以上の秘匿セッション情報が入手できないなどの問題が生じたら、情報利用装置1に報告するなどのエラー処理(B104)の後に処理を終了する。また、秘匿セッション情報やその中に含まれる秘匿分散情報C(sid,i)に分散情報管理装置2の秘密鍵により電子署名が付与されている場合には、それを検証することで改竄の有無を検知する。
【0055】
一方、分散情報管理装置2からの返答を待った結果、閾値以上の秘匿セッション情報が入手できた場合には、復元部304は、閾値2以上の分散情報管理装置2から受信した秘匿セッション情報に含まれる秘匿分散情報C(sid,i)から任意の2組を選定し、(2,n)XOR閾値法の復元アルゴリズムを適用して秘匿秘密情報CK(sid)={CK(sid,a)|CK(sid,a)∈{0,1}d,1≦a≦n-1,a∈Z}を求める(B105)。この復元アルゴリズムを適用する際、受信した秘匿分散情報C(sid,i)のiやnの値が必要となるが、これらの値は秘匿セッション情報内の秘匿分散情報C(sid,i)のヘッダ情報などの形で分散情報管理装置2から送信される。また、ここで閾値分の秘匿分散情報が集まった段階で処理を打ち切って処理負荷や転送待ち時間を軽減したり、逆に、閾値より多くの秘密分散情報C(sid,i)を受信しておいて、それぞれ復元した秘匿秘密情報CK(sid)が一致することを検証して正確性を高めたりするといった方法も考えられる。
【0056】
復元装置3は、復元要求セッション識別子と、復元のために使用した2個の秘匿分散情報の送信元の分散情報管理装置の識別子(ここでは、m、lとする)をヘッダとして付加した秘匿秘密情報とで構成される復元セッション情報を情報利用装置1に送信する(B106)。
【0057】
情報利用装置1は、復元装置3からの情報復元要求に対する応答を待ち(A107)、復元装置3から閾値以上の分散情報が入手できないため復元できないなどの問題が報告された場合はエラー処理(A108)の後、処理を終了する。一方、復元装置3からの復元要求セッション情報を受信できた場合には、復号用データ生成部109は、復元要求セッション識別子と分散情報管理装置の識別子lとmとをキーとして秘匿乱数テーブル101を参照して(ここでm>lと一般化する)、秘匿乱数M(sid,l)とM(sid,m)とを取得し、次の処理によって復号用データP(sid)={P(sid,a)|P(sid,a)∈{0,1}d,1≦a≦n-1,a∈Z}を生成する(A109)。
【0058】
まず、r=m−l mod n を計算し、以下の場合に分けて計算する(ここでの計算はnを法として実施される)。
【0059】
識別子lの分散情報管理装置2から入手したM(sid,l)={M(sid,l,j)|M(sid,l,j)∈{0,1}d,0≦j≦n−2}が、M(sid,l,l)を含む場合は、整数k(初期値は0)がl−kr=n−1(k<n−2)を満たすまでkをインクリメントしつつ次のように計算する。
【数2】
【0060】
また、識別子mの分散情報管理装置から入手したM(sid,m)={M(sid,m,j)|M(sid,l,j)∈{0,1}d,0≦j≦n−2}が、M(sid,m,m)を含む場合は、m−kr=n−1(k<n−2)を満たすまで、kを0からインクリメントしつつ次のように計算する。
【数3】
【0061】
情報利用装置1の復号処理部110は、復号用データ生成部109によって生成されたP(sid)と受信した秘匿秘密情報CK(sid)とをそれぞれ排他的論理和で計算し、秘密情報K(sid)を得る(A110)。
【0062】
以上詳細に説明してきた、第1の実施の形態によれば、復元装置3は乱数で秘匿された分散情報から秘匿された秘匿分散情報を、復号する前に復元することができるから、情報利用装置1で行っていた復元処理を、復元装置3に秘密情報を秘匿したままで委託することができ、情報利用装置1の復元処理に係る処理負荷を無くすことができる。さらに、情報利用装置1は、通信における受信において秘匿分散情報を1つだけ受信すればよく、既存のように少なくともk個の分散情報を受信する必要がなくなったため、通信量をそれぞれ減らすことができる。
【0063】
また、秘匿秘密情報は毎回異なった乱数で秘匿されていることから、秘匿秘密情報を知り得る主体による追跡を防ぐことができる。
【0064】
次に、第2の実施の形態について説明する。第2の実施の形態は、第1の実施の形態に加え、ユーザの秘密情報を検証して、ユーザへサービスを提供する検証装置を含めたものである。以下では、秘密情報を年齢、性別などの属性情報であると仮定し、分散した属性情報を利用した属性証明システムに関して説明する。ただし、本実施形態における秘密情報は特に属性情報に限る必要はなく、保証された秘密情報を復元装置に提示してサービスを提供する他のアプリケーションにも適用できる。
【0065】
図15は、本実施の形態の属性証明システムの全体を示しており、図16はこのシステムの概略フローを指名している。
【0066】
本システムにおいては、情報利用装置1’と複数の分散情報管理装置2’と復元装置3’とに加えて検証装置6が存在し、インターネットなどのオープンな通信ネットワークやそれに接続される専用線などの各種通信ネットワーク4を介して互いに接続されている。また、第1の実施の形態と同様に、分散情報生成装置5が存在する。
【0067】
検証装置6は、情報利用装置1’からサービス要求を受けると、検証情報を生成し、情報利用装置1’に対して検証情報を供給して秘密情報の提示を要求する。そして、検証装置6は、情報利用装置1’から提供されたハッシュされた検証情報によって、提供された秘匿秘密情報の正当性を確認し、秘匿秘密情報を復号し、サービスの提供条件を満たす場合には、情報利用装置1’に要求されたサービスを提供する。
【0068】
次に、本実施の形態の実現例を以下に示す。本実施の形態の秘密情報の分散登録時の処理は、第1の実施の形態と同様で良い。
【0069】
一方、本実施の形態の秘密情報の取得時の処理は、第1の実施の形態の秘密情報の取得時の処理に対し、最初に情報利用装置1’から検証装置6へのサービスの要求を行い、検証装置6から検証セッション識別子を受ける点と、その検証セッション識別子が分散情報管理装置2’で処理される点と、セッション情報利用装置1’で受け取った秘匿秘密情報を復号することなく、処理された検証セッション識別子を付加して検証装置6へ送信し、検証装置6内で検証の上、復号する点とが付加される。
【0070】
本実施形態において、分散情報管理装置2’に要求される信頼性は第1の実施の形態と同様であるが、復元装置3’に要求される信頼性は異なる。第1の実施の形態では、秘密情報の保持者であるユーザのみが復元された情報を利用していたが、本実施形態では秘匿秘密情報が検証装置に提供され、復元装置の秘匿秘密情報への電子署名を信頼の基盤として検証装置6がサービスを提供する。そのため本実施形態では、復元装置3’も分散情報管理装置2’と同様の高い信頼性を要求される。
【0071】
検証装置6と情報利用装置1’との間の通信は、検証装置6をサーバとしてSSLサーバ認証を利用した通信路で悪意ある第三者による攻撃から保護する。ここで、検証装置6は情報利用装置1’の秘密情報のみを検証すればよいため、情報利用装置1’を認証する必要はない。なお、装置のネットワークアドレスに関する条件や、閾値法に関する条件、そして情報利用装置1’、復元装置3’、分散情報管理装置2のそれぞれの間での通信に関する条件や、やりとりは上記第1の実施の形態と同様である。
【0072】
次に、情報利用装置1’および、検証装置6の動作について説明する。図17、図18は、それぞれ情報利用装置1’、検証装置6の機能ブロックを示し、また、図19、図20はそれぞれ情報利用装置1’、検証装置6の処理手順を示したフローチャートである。
【0073】
まず、情報利用装置1’のサービス要求部111は、検証装置6にサービス要求を送信する(A1001)。
【0074】
検証装置6の要求検証部603は、受信部502からサービス要求を受信する(D1001)と、乱数生成部604で検証セッション識別子の作成用データであるセッション識別乱数を生成する(D1002)。この際の乱数アルゴリズムやそのビット長に関しては任意の公知技術を利用してよい。
【0075】
要求検証部603は、生成されたセッション識別乱数と、検証装置自身の識別情報を連結したデータのハッシュ値を検証セッション識別子として生成する(D1003)。
【0076】
要求検証部603は、検証セッション識別子をセッション記憶テーブル601に格納する(D1004)。図21にセッション記憶テーブル501を示す。同図のように、検証セッション識別子に対応付けて、サービス要求の内容に応じてセッションで検証する秘密情報の種別とセッション確立用リソースの管理に必要な情報(ここでは、有効期限)を併せて格納する。なお、定期的に古いセッション識別子を削除することでセッション確立用資源の有効利用を図ってもよい。
【0077】
要求検証部603は、セッション識別乱数と提示を要求する秘密情報の種別や条件とを情報利用装置1’に送信し(D1005)、情報利用装置1’からの秘匿秘密情報の提示を待つ。
【0078】
情報利用装置1’のサービス要求部111は、受信(A1002)したセッション識別乱数と検証装置6の識別子とを連結したデータのハッシュ値を生成し、検証セッション識別子とする(A1003)。
【0079】
サービス要求部111は、検証装置6から提示を要求された秘密情報に関して、情報復元要求を実施する(A1004)。このとき、第1の実施の形態では、乱数生成部106で生成した乱数を、秘匿乱数テーブル101に登録していたが、この実施の形態においては、更に検証セッション識別子も対応付けた秘匿乱数テーブル1001(図22)を用い、先に生成した検証セッション識別子も保存するようにする。
【0080】
以後、情報利用装置1’が復元装置3’から秘匿秘密情報を受信し、秘密情報を得るまでの処理(A1005)に関しては、第1の実施の形態とほぼ同様に処理が実施される。ただし、情報復元要求に検証セッション識別子が含まれている点、各分散情報管理装置2’が受信した秘匿乱数M(sid,i)のハッシュ値である秘匿乱数ハッシュH(M(sid,i))を生成する点、検証セッション識別子と秘匿乱数ハッシュも秘匿セッション情報に含まれて秘匿結果データとして分散情報管理装置2’から復元装置3’に伝えられ、復元装置3’から情報利用装置2’には検証セッション識別子と、秘匿秘密情報の生成に利用された秘匿分散情報を提供した分散情報管理装置(l)と分散情報管理装置(m)の秘匿乱数ハッシュH(M(sid,i))、H(M(sid,i))も復元セッション情報に含まれて復元結果データとして返信される点が異なる。なお、分散情報管理装置2’が秘匿乱数ハッシュを生成するのではなく、情報利用装置1’が秘匿乱数ハッシュを作成し、分散情報管理装置2’は受信した秘匿乱数のハッシュ値と秘匿乱数ハッシュとが一致することを確認するという構成にしてもよい。
【0081】
本実施形態においては、秘匿秘密情報と、検証セッション識別子と、復元要求セッション識別子と、秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))の対応が保証されていることがセキュリティ上重要であるため、復元装置3’から情報利用装置2’に送信されるこれらの復元セッション情報には復元装置3’の秘密鍵による電子署名が付与されていることが望ましい。以降では復元装置3’の電子署名が施されているとして話を進め、復元セッション情報(秘匿秘密情報と検証セッション識別子と復元要求セッション識別子と秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))と電子署名とを秘匿秘密情報証明と呼ぶ。秘匿秘密情報証明には有効期限やコメント等の他のフィールドがあってもよい。なお場合によっては、復元要求セッション識別子がなくてもよい。
【0082】
情報利用装置1’のサービス要求部は秘匿秘密情報証明と、秘匿秘密情報を復号するための復号用データを生成するのに必要な秘匿乱数M(sid,l)、M(sid,m)とを検証装置6に送信する(A1006)。
【0083】
検証装置6の要求検証部503は前記の情報を受信すると(D1006)、セッション記憶テーブル501を参照し、検証セッション識別子が有効なことを確かめる(D1008)。秘匿秘密情報証明を受信できなかった場合には、エラー処理を行い(D1007)、処理を終了する。
【0084】
検証装置6は署名検証部605により受信した秘匿秘密情報証明の電子署名を検証する(D1009)。
【0085】
検証装置6の復号データ生成部506は、受信した秘匿乱数M(sid,l)、M(sid,m)のハッシュ値がそれぞれ秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))と等しいことを確認した後、受信した秘匿乱数から秘匿秘密情報を復号するための復号データを生成する(D1010)。この処理は、第1の実施の形態の情報利用装置1の動作フローA107と同様である。ここで秘匿乱数ではなく情報利用装置1’が作成済みの復号データを利用することも考えられるが、悪意のある情報利用者が、元の秘密情報と異なる復元結果を生成する復号用データを送信する攻撃が存在するため、ここでは復号用データではなく秘匿乱数を送信している。さらに情報利用装置1’が検証装置6に異なる復号結果を生成する復号用データが生成されるような秘匿乱数に置き換えて送信する可能性もあることから、秘匿乱数ハッシュの改竄を復元装置3’の電子署名で防止している。また、検証装置6が秘匿分散情報証明だけでなく、秘匿分散情報とそれに対する分散情報管理装置2’の電子署名も併せて入手し、署名の検証と秘匿分散情報の復元処理結果と受信した秘匿秘密情報との一致を確認することで、検証装置6にとってのシステムの安全性をより向上させることができる。しかし、この場合、秘匿分散情報と秘匿乱数から分散情報管理装置2’の保持する分散情報が復元できてしまうため、仮に分散情報管理装置2’からの情報漏洩があった際には、その分散情報をキーとして、個人とその属性が対応づけられてしまうという問題が発生し、本来、k個の分散情報管理装置2’からの漏洩に耐性がある本方式の特徴が損なわれてしまうという問題がある。そこで本実施形態では、検証装置6へは秘匿分散情報は提供しないこととする。
【0086】
検証装置6の復号処理部607は、受信した秘匿秘密情報を復号用データにより復号し(D1011)、秘密情報を確認する(D1012)。確認した秘密情報がサービス提供条件を満たす場合には検証装置6は情報利用装置1’にサービスを提供する(D1013)。
【0087】
本実施の形態では、情報利用装置1’が検証装置6の要求を受けてから秘匿秘密情報証明を入手して属性証明をするが、検証セッション識別子を含まない秘匿秘密情報証明をあらかじめ復元装置6から入手しておき、情報利用装置1は検証装置6に接続した際に秘匿秘密情報証明を提示してもよい。
【0088】
以上のようにした、本実施の形態よれば、第1の実施の形態と同様の効果を備えつつ、更に、検証装置6が情報利用装置1‘の属性情報の正当性を確認しつつ、情報利用装置1’は検証装置6による追跡を防止しつつサービスを享受できる。
【0089】
また、秘匿秘密情報は毎回異なった乱数で秘匿されていることから、秘匿秘密情報を知り得る主体による追跡を防ぐことができる。
【0090】
なお、上記で説明した各実施の形態における各装置は、説明を簡易にするために専用装置のように記載したが、一般には、サーバ装置、パーソナルコンピュータ、携帯電話などのモバイル端末、等の汎用的な装置を用い、各機能ブロックは、それら汎用的な装置内のプロセッサによって実行されるソフトウェアプログラムで実現されるものであり、このようなものを含むことは明白である。
【0091】
また、上記実施の形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。更に、上記実施の形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。例えば、実施の形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題が解決でき、発明の効果の欄で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【図面の簡単な説明】
【0092】
【図1】第1の実施の形態が適用されるシステムを示す図。
【図2】第1の実施の形態の概略動作を示すフロー図。
【図3】分散情報生成装置5の機能ブロック図。
【図4】第1の実施の形態の分散情報識別子テーブルを示した図
【図5】第1の実施の形態の接続先情報テーブルを示した図。
【図6】第1の実施の形態の接続元情報テーブルを示した図。
【図7】第1の実施の形態の分散情報テーブルを示した図。
【図8】第1の実施の形態の情報利用装置1の機能ブロックを示す図。
【図9】第1の実施の形態の分散情報管理装置2の機能ブロックを示す図。
【図10】第1の実施の形態の復元装置3の機能ブロックを示す図。
【図11】第1の実施の形態の情報利用装置1の処理手順を示すフローチャート。
【図12】第1の実施の形態の復元装置3の処理手順を示すフローチャート。
【図13】第1の実施の形態の分散情報管理装置2の処理手順を示すフローチャート。
【図14】第1の実施の形態の秘匿乱数テーブルを示した図。
【図15】本発明の第2の実施の形態が適用されるシステムを示す図。
【図16】第2の実施の形態の概略動作を示すフロー図。
【図17】第2の実施の形態の情報利用装置1’を示す図。
【図18】第2の実施の形態の検証装置3’を示す図。
【図19】第2の実施の形態の情報利用装置1‘の処理手順を示すフローチャート。
【図20】第2の実施の形態の検証装置6の処理手順を示すフローチャート。
【図21】第2の実施の形態のセッション記憶テーブルを示す図。
【図22】第2の実施の形態の秘匿乱数テーブルを示した図。
【符号の説明】
【0093】
1、1’…情報利用装置
2、2’…分散情報管理装置
3、3’…復元装置
4…ネットワーク
5…分散情報生成装置
6…検証装置
101、1001…秘匿乱数テーブル
102…分散情報識別子テーブル
103…接続先情報テーブル
104…情報復元要求部
105…分散情報識別子取得部
106…乱数生成部
107、205、303、608…送信部
108、203、301、602…受信部
109…復号用データ生成部
110…復号処理部
111…サービス要求部
201…接続元情報テーブル
202…分散情報テーブル
204…秘匿処理部
302…中継部
304…復元部
603…要求検証部
604…乱数生成部
605…署名検証部
606…復号用データ生成部
607…復号処理部
【技術分野】
【0001】
本発明は、(k、N)閾値秘密分散法で分散した分散情報を復元するための分散情報復元システム、情報利用装置、および、検証装置に関する。
【背景技術】
【0002】
従来、(k、N)閾値秘密分散法という技術が存在する(k、Nは整数で、k≦Nとする)。この技術は、入力されたlビットの情報(以下では秘密情報)から、同じビット長のN個の異なるデータ(以下では分散情報とよぶ)を生成する秘密分散アルゴリズム(以下、分散アルゴリズム)と、N個の分散情報のうち任意のk個から分散前の秘密情報を復元する秘密復元アルゴリズム(以下、復元アルゴリズム)とからなる。K−1個以下の分散情報からは秘密情報に関する情報を一切得ることができないため、分散情報を複数の主体で分散して管理することで、秘密情報を一箇所で集中管理することで生じる秘密情報の漏洩リスクを低下させることができる。
【0003】
秘密分散法としては、Shamirにより提案された秘密分散法が代表的であるが、その他に、排他的論理和を利用して構成されるXOR閾値法が存在する。現在までに提案されているXOR閾値法は、Nを任意とする場合には、(2,N)閾値法までしか実現できていないが、Shamir法と比較して復号処理が非常に高速かつ低負荷であること、実際の応用システムへの適用においてはk=2で問題が生じないことが多いことから、秘密分散の応用システムにおいて利用が期待できる閾値秘密分散法である。
【0004】
この(k,N)閾値秘密分散を利用したシステムとして、分散情報を保存する複数の分散情報管理装置と、k以上の分散情報を収集した上で秘密情報を復元して検証した上で利用する情報利用装置とからなる分散情報復元システムを考える。そして、復元処理を代行する復元装置を導入して、情報利用装置が分散情報を少なくともk回入手して正当性を検証する作業負荷(通信負荷を含む)とそれらの分散情報を復元する処理負荷を減らすことを考える。この場合、復元装置が復元した秘密情報を知ってしまうという問題がある。この問題は、秘密情報を乱数等で暗号化などの秘匿処理をした上で分散させることで対処できるが、秘密情報そのもの、秘匿された秘密情報、これら2つの情報の分散情報、秘匿された秘密情報を復号するための乱数などの識別情報を利用した攻撃(以降、これを追跡と呼ぶ)が脅威となる。追跡とは、復元装置や悪意のある攻撃者がこれらの識別情報を入手し、情報利用装置の識別情報として利用することで、同一の秘密情報を復元した回数や秘密情報の使用先や復元頻度を把握する攻撃である。この攻撃は、毎回異なった乱数を付与する等の処理で変形した秘密情報から分散情報を再計算して、分散情報管理装置の保持する分散情報を定期的に置き換えることで対処できるが、置き換えがない間は追跡をうけるなどの問題が残る他、そもそもアプリケーションによっては分散情報の置換にかかるコストが大きく適用できないことが問題となる。この問題を回避する方法として、秘密情報を暗号化してから分散させるのではなく、分散情報を毎回異なった乱数で暗号化して、その暗号化された分散情報(以降、秘匿分散情報)を入手し、それを復号して分散情報に戻した上で復元処理をする方法があり、これを実施しているシステムも存在する。
【0005】
その具体例としては、非特許文献1記載の分散属性認証システムがある。このシステムでは、秘密情報は年齢、性別などの属性情報に、分散情報は属性情報を分散させた情報にそれぞれ相当する。分散情報管理装置は分散情報の正当性を保証した電子証明書をそれぞれ発行し、情報利用装置は複数枚の証明書を検証した上で分散情報から属性情報を復元して属性を確認する。つまり、分散情報の電子証明書の正当性を拠り所として属性認証を行う。秘密分散の特性から分散情報管理装置であっても結託しないかぎりは元の属性情報を復元できず、分散情報管理装置からの情報漏洩にも強いという特徴を有するプライバシ保護を意識した属性証明方式である。このアプリケーションでは、分散情報管理装置は自身が証明する分散情報の証明書の正当性を信頼の拠り所としたサービスが存在することから、分散情報を登録する際の正当性確認は厳重に行われると考えられ、一旦確認して保存した分散情報の置換にはコストがかかるため慎重にならざるを得ない。また、このアプリケーションでの情報の追跡は、情報利用装置が同一の属性を提示した属性の回数や頻度やタイミングを意味するためプライバシ保護上の問題につながる。これらのことから、このシステムでは上述の方式を採用して、分散情報を乱数で毎回秘匿して秘匿分散情報を生成し、復号した上でその復元処理を実施して追跡を防ぎ、プライバシを保護する。
【0006】
しかしながら、追跡の問題を回避するだけでなく、情報利用装置の処理負荷の問題を解決することも目的とした場合、この手法では情報利用装置の処理負荷を減少させることができない。特に携帯電話等の計算能力が低い端末を情報利用装置として想定するモバイル環境での属性証明(たばこ購入時の年齢証明など)を実施するサービスに適用するのは難しい。
【非特許文献1】上山,清藤,四方,松本,分散属性認証方式に対する基本検討(3), 2006年コンピュータセキュリティシンポジウム,pp.477-482.
【発明の開示】
【発明が解決しようとする課題】
【0007】
以上説明したように、分散情報復元システムにおいて情報利用装置の負荷を軽減するための処理の委託と追跡の回避とを両立することは難しかった。
【0008】
本発明は、上記問題点に鑑みなされたものであり、復元処理を復元装置に委託しつつ、悪意ある主体による追跡を防止することができる分散情報復元システム、情報利用装置、及び、検証装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を得るための情報利用装置とが、ネットワークを介して接続される分散情報復元システムであって、前記情報利用装置は、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、前記各分散情報管理装置は、前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、生成した前記秘匿分散情報を前記復元装置に送信する秘匿分散情報送信手段とを備え、前記復元装置は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、復元された前記秘匿秘密情報を前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、前記情報利用装置は、送信された秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得るようにしたことを特徴とする。
【0010】
また、本発明は、(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、サービスの提供を得るために前記秘密情報を得るための要求を行う情報利用装置と、前記サービスを提供するために前記秘密情報の確認を行う検証装置とが、ネットワークを介して接続される分散情報復元システムであって、前記検証装置は、検証情報を生成する検証情報生成手段を備え、前記情報利用装置は、前記検証装置から前記検証情報を得る検証情報取得手段と、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する分散情報識別子取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記検証情報と前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、前記各分散情報管理装置は、前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、生成した前記秘匿分散情報を前記検証情報と共に前記復元装置に送信する秘匿分散情報送信手段とを備え、前記復元装置は、k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、復元された前記秘匿秘密情報を前記検証情報と共に、前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、前記情報利用装置は、送信された秘匿秘密情報と前記検証情報と前記保存手段で保存した前記乱数に基づく復号用情報とを、前記検証装置へ送信し、前記検証装置は、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得るようにしたことを特徴とする。
【0011】
また、本発明は、(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、ネットワークを介して接続され、前記秘密情報を得るための情報利用装置であって、前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくとも2台へそれぞれ送信する送信手段と、前記分散情報管理装置で保存する分散情報と前記情報復元要求に含む前記乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報を受信する受信手段と、受信した秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得る復号手段とを備えたことを特徴とする。
【0012】
また、本発明は、(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を提示して特定のサービスを受ける情報利用装置と、ネットワークを介して接続され、前記秘密情報の提示を受け、前記特定のサービスを与える検証装置であって、前記情報利用装置から前記特定のサービスを受けたい旨の要求を受け、検証情報を生成する検証情報生成手段と、生成した前記検証情報を前記情報利用装置へ送信する送信手段と、検証情報を含む情報復元要求により得られる、前記分散情報管理装置で保存する分散情報と前記情報利用装置で生成された乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報と、秘匿秘密情報に付加して与えられる検証情報と、前記乱数に基づく復号用情報とを受信する受信手段と、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得る秘密情報取得手段とを備えたことを特徴とする。
【発明の効果】
【0013】
本発明によれば、復元装置が処理するのは毎回異なった乱数で秘匿処理された分散情報(秘匿分散情報)であり、その復元処理結果も乱数で秘匿された秘匿秘密情報である。そのため復元装置に秘密情報を秘匿しつつ、情報利用装置は復元装置が出力した秘匿秘密情報から秘密情報を復号できることから、復元処理を委託して処理負荷を減らすことができる。さらに、従来は情報利用装置がk個の分散情報を受信し、検証した後に復号する必要があったが、発明では秘匿分散情報と同サイズの復元装置の出力データを一つ受信すればよいので、秘匿分散情報の復号処理回数と通信量をそれぞれ減らすことができる。
【発明を実施するための最良の形態】
【0014】
以下、本発明の実施の形態につき図面を参照して説明する。
【0015】
まず、第1の実施の形態について説明する。図1は、本実施の形態が適用される分散情報復元システムの全体を示しており、また、図2は、分散情報復元システムの概略的なフローを示している。
分散情報復元システムは、インターネットなどのオープンな通信ネットワークやそれに接続される専用線などの各種通信ネットワーク4を介して、例えばTCP/IPなどによってそれぞれ通信可能に接続された、情報利用装置1と複数の分散情報管理装置2…2と復元装置3とを備える。また、分散情報生成装置5は、本分散情報復元システムを利用するユーザが自身の情報利用装置1内では保存したくない秘密情報(文書、画像、動画、暗号鍵等)を、分散情報管理装置2…2に分散して保存するために、複数の分散情報を生成するものである。
【0016】
分散情報管理装置2…2は、ユーザにとって信頼できる第三者の位置づけであるが、意図しない情報漏洩等もあり得る。そこで、ユーザの秘密情報の分散登録時処理において、分散情報生成装置5は、入力された秘密情報から(k,n)秘密分散法を利用して生成したn個の分散情報それぞれを、各種通信ネットワーク4を利用したり記録メディアなどを利用したりして直接的あるいは間接的に分散情報管理装置2…2へ配布する。分散情報管理装置2…2は、自身宛に配布された分散情報を、自装置内へ保存する。このようにすることにより、分散情報管理装置2…2から復元に必要な閾値以上の数の分散情報の漏洩がない限りは、ユーザと秘密情報との対応がとれないようにしている。
【0017】
復元装置3は、秘密分散の復元アルゴリズムを正しく実行することは信頼するが、その入出力を利用して情報利用装置1を利用するユーザを追跡したり統計情報を入手しようとしたりする可能性がある主体と想定する。そこで、ユーザの秘密情報の取得時処理において、情報利用装置1は、各分散情報と同じ長さの乱数を、少なくともk個生成し保存するとともに、生成した各乱数を含んだ秘密情報の取得要求を、少なくともk個の分散情報管理装置2へそれぞれ送信する。取得要求を受けた各分散情報管理装置2は、分散情報を取得要求に含まれる乱数によって暗号化して得た秘匿分散情報を、復元装置3へ送信する。復元装置3は、分散情報管理装置2…2から秘匿分散情報をk個得て、秘匿分散情報のままで(k,n)秘密分散法の復元アルゴリズムによって復元し、復元された秘匿秘密情報を情報利用装置1へ送信する。情報利用装置1は、秘匿秘密情報を、要求時に生成して保存した乱数を用いて復号することにより秘密情報を得ることができる。このようにすることにより、情報利用装置1と分散情報管理装置2…2以外の復元装置3や攻撃者が秘匿秘密情報や秘匿分散情報を利用して情報利用装置1(あるいはそれを利用しているユーザ)を追跡することを防止できる。
【0018】
以上のような本実施の形態の分散情報復元システムによれば、乱数で秘匿された分散情報を復号処理する前に復元処理することができるから、情報利用装置1で行っていた復元処理を、復元装置3に秘密情報を秘匿したままで委託することができ、情報利用装置1の復元処理に係る処理負荷を無くすことができる。さらに、情報利用装置1は、通信における受信において秘匿分散情報を1つだけ受信すればよく、既存のように少なくともk個の分散情報を受信する必要がなくなったため、通信量をそれぞれ減らすことができる。
【0019】
なお、情報利用装置1が動的にIPアドレスが変化するモバイル端末等のみならず、固定のIPアドレスで通信を行う据え置きのコンピュータであっても、システムを構成する各装置のIPアドレスを、プロキシサーバやオニオンルーティングなどで知られる既存の匿名通信技術で秘匿することにより、情報利用装置1は、ネットワークアドレスを識別子とした追跡の問題を気にすることなく復元装置3とデータ送受信ができる。
【0020】
また、情報利用装置1から分散情報管理装置2…2への通信は、復元装置3の中継を受けても良く、この場合には、復元装置3による中間者攻撃の危険性があるが、情報利用装置1と分散情報管理装置2…2との間で、適切なセキュアチャネル(送信者と受信者が互いを認証し、通信路上を流れるデータの機密性・完全性が確保された通信路)を確立した上で通信することで回避できる。このようなセキュアチャネルを確立する既存技術としては、例えばSSL(Secure Sockets Layer)が良く知られている。情報利用装置1が、復元装置3による中継の下、分散情報管理装置2…2に接続する場合には、分散情報管理装置2…2の公開鍵証明書を利用したSSLサーバ認証モードと分散情報管理装置2…2による情報利用装置1の認証との組み合わせか、情報利用装置1と分散情報管理装置2…2が互いに公開鍵証明書を利用したSSL相互認証モードによって上述したセキュアチャネルが確立できる。
【0021】
次に、上記実施の形態をより具現化した例を以下に示す。
【0022】
本例のうち秘密情報の分散登録処理は、ユーザからの秘密情報のそれぞれから、(k,n)閾値分散アルゴリズムによってn個の分散情報を生成し、分散情報復元システム上のn台の分散情報管理装置2…2のそれぞれへ分散して保管・管理させる。
【0023】
図3は、分散情報生成装置5の機能ブロック図を示したものである。
【0024】
秘密情報入力部501は、ユーザからの指示により入力された、d×(n−1)ビットの秘密情報K(sid)を受付ける。なお、sidは、ユーザから複数の秘密情報を受けとる場合、そのうちの一つを識別するための識別子である。
【0025】
秘密情報分散部502は、秘密情報入力部501からの秘密情報K(sid)を(2,n)XOR閾値法を用いた秘密分散法により、サイズd×(n−1)ビットのn個の分散情報S(sid,i)を生成するものである。なお、iは、分散情報管理装置2…2のそれぞれを識別するための識別子であり、0からn−1までの正整数である。ここで、(2,n)XOR閾値法の秘密分散法の詳細なアルゴリズムは、公知文献「高速な(2,n)閾値法の構成法とシステムへの応用、2005年コンピュータセキュリティシンポジウム,pp.631-636.(藤井,多田,保坂,栃窪,加藤)」に記載される分散アルゴリズムを用いればよく、ここでは説明を省略する。
【0026】
秘密情報分散部502は、生成したn個の分散情報S(sid,i)を、出力部505へ出力する。
【0027】
また秘密情報分散部502の動作と並行して、分散情報識別子生成部503は、分散情報S(sid,i)を分散情報管理装置2…2へ配布した後に分散情報S(sid,i)を特定するための分散情報識別子DID(sid,i)を生成し、出力部505へ出力する。
【0028】
接続先情報管理部504は、予め保存している各分散情報管理装置2・・・2や復元装置3の接続先アドレスやポート番号などを予め保存しておき、秘密情報分散部502の動作と並行して、それらを出力部505へ出力する。また、分散情報管理装置2・・・2が情報利用装置1を認証するような場合には、接続先情報管理部504は、認証情報(ユーザID、パスワード、公開鍵方式での認証に必要な各種認証情報、等)を予め保存しておき、秘密情報分散部502の動作と並行して、それらを出力部505へ出力する。
【0029】
出力部505は、それぞれ出力を受けた各種情報を、次に示すように適切な装置へ配布する。
【0030】
n個の分散情報S(sid,i)はそれぞれ、識別子iに対応する分散情報管理装置2へそれぞれ配布される。
【0031】
n個の分散情報識別子DID(sid,i)はそれぞれ、識別子iに対応する分散情報管理装置2へそれぞれ配布される。また、n個の分散情報識別子DID(sid,i)の全ては、情報利用装置1へ配布される。
【0032】
接続先アドレスやポート番号は、情報利用装置1へ配布される。また、分散情報管理装置2・・・2が情報利用装置1を認証するような場合には、ユーザID、パスワード、などの認証情報は、情報利用装置1および各分散情報管理装置2へ配布される。なお、ここでは特に示さなかったが、(2,n)XOR閾値法によるシステムパラメータK0∈{0,1}d、が復元時に利用される場合には、復元装置3へ配布される。
【0033】
これら各情報の配布においては、セキュアな通信路を用いて配布したり、セキュア管理の下、文書を用いて配布して配布先の各分散情報管理装置2…2でオペレータなどによって入力したりすることにより、行えば良い。
【0034】
以上のようにして配布された各種情報は、各装置で次のような各テーブルに登録し保存される。
【0035】
情報利用装置1は、図4の分散情報識別子テーブル102と、図5の接続先情報テーブル103とを備える。
【0036】
分散情報識別子テーブル102は、秘密情報の識別子sidに対応付けて、n個の分散情報識別子DID(sid,i)を格納する。また、復元する秘密情報を選択・決定する際に有効であるため、識別子sidが指す秘密情報K(sid)がどのような情報であるかといった補足情報(コメント欄)もsidに対応付けて保存する。
【0037】
接続先情報テーブル103は、後述する秘密情報取得処理時に、各装置と通信を行うために、各分散情報管理装置2の識別子(0〜n−1)や復元装置3であることを示す名前と、それらの接続先アドレスやポート番号などを、それぞれ対応付けて保存している。また、ここでは、分散情報管理装置2が情報利用装置1を認証する場合もあるため、認証情報を保存している。
【0038】
次に、各分散情報管理装置2・・・2は、図6の接続元情報テーブル201と、図7の分散情報テーブル202とを備える。
【0039】
各分散情報管理装置2…2では、本実施の形態の情報利用装置1以外にも他の情報利用装置とも同様なシステムが構築できるようするべきである。従って、接続元情報テーブル201は、情報利用装置や復元装置などの装置識別IDと、その認証情報とを対応付けて保存する。なお、図示しないが、復元装置3が情報利用装置1と分散情報管理装置2との通信を中継する場合には、IPアドレスやポート番号などを保存するようにしても良い。
【0040】
分散情報テーブル202は、分散情報識別子DID(sid,i)と、分散情報S(sid,i)とを対応付けて保存する。
【0041】
以上のように各装置の各テーブルに保存することによって、秘密情報の分散登録時処理が完了する。
【0042】
次に、ユーザの秘密情報の取得時処理について、情報利用装置1、分散情報管理装置2、復元装置3の動作について説明する。図8、図9、図10は、それぞれ情報利用装置1、分散情報管理装置2、復元装置3の機能ブロックを示したものである。また、図11、図12、図13はそれぞれ情報利用装置1、復元装置3、分散情報管理装置2の処理手順を示したフローチャートである。
【0043】
ユーザは取得したい秘密情報を情報利用装置1で指定すると、情報復元要求部104は、分散情報識別子テーブル102を参照し、指定された秘密情報に対応した秘密情報識別子sidを取得する(A101)。次に、情報復元要求を行うためのセッションを識別するための復元要求セッション識別子session_idを定める(A102)。次に、分散情報識別子取得部105は、分散情報識別子テーブル102から各分散情報管理装置(の識別子i)に対応した分散情報識別子DID(sid,i)を取得する(A103)。
【0044】
次に、乱数生成部106は、分散情報S(sid,i)に対応し、分散情報S(sid,i)と同じビットサイズであるdビットの乱数M(sid,i)を生成し(A104)、分散情報数であるn個分生成して復元要求セッション識別子とともに秘匿乱数テーブル101に保存する(A105)。なお、乱数生成アルゴリズムは任意の公知技術を利用すればよい。生成した結果の乱数M(sid,i)に互いに同一のデータが存在する場合、本方式の安全性に問題が生じる可能性があるので生成した乱数が異なることをチェックするようにしてもよい。
【0045】
ここで秘匿乱数テーブル101を図14に示す。秘匿乱数テーブル101は、秘密情報K(sid)を分散したn個の分散情報S(sid,i)に対応して、長さd×nビットの乱数M(sid,i)を、復元要求セッション識別子session_idと対応付けて格納する。また、開始時刻や状態などの復元要求セッションを識別する際の補助情報を格納する欄を設けていてもよい。
【0046】
次に、情報復元要求部104は、各分散情報管理装置2…2に対応して、復元要求セッション識別子session idと分散情報識別子DID(sid,i)と秘匿乱数M(sid,i)とを含む情報復元要求を生成し、復元装置3を中継して各分散情報管理装置2…2へ送信する(A106)。
【0047】
ここで、復元要求は一度にn台の分散情報管理装置に送信してもよいが、それより少ない台数に送信し、閾値k以上の応答がなければ随時、他の分散情報管理装置2に情報復元要求を送信するようにしてもよい。ただし、この場合は、情報利用装置1と復元装置3との間で現在までに得られている応答の数などを随時把握するための通信が必要となる。また、この際、接続先情報テーブル103の認証情報を利用して分散情報管理装置2との間にセキュアチャネルを確立した上で送信するため、通信を中継する復元装置3は復元要求に含まれる情報が分からないので、安全である。復元要求セッション識別子としては情報復元要求をする際のTCP/IPでの送受信アドレスとポート番号の4つ組といった通信セッション識別子を流用してもよいが、復元装置3が秘匿秘密情報の返送に際してこの通信セッションを利用しなければならなかったり、なんらかの原因で通信セッションが遮断された場合に、復元要求セッション識別子と復元装置3から返信される秘匿秘密情報との対応が不明となったりする問題がある。その場合には、復元要求セッション識別子を通信セッション識別子とは別に発行すればよい。復元要求セッション識別子の具体例としては、総当たりでの推測が難しいような十分に大きい空間から採取した乱数(例えば32ビットとか64ビットの乱数)が考えられる。また、既に作成した秘匿乱数を引数としてハッシュ関数で作成することで、秘匿乱数のみを覚えておけばよいようにすることも可能である。この場合、分散情報管理装置2は情報利用装置1から復元要求セッション識別子をセキュアチャネルで受信する。そして、分散情報管理装置2が復元装置3に秘匿分散情報を送信する際に復元要求セッション識別子を秘匿セッション情報に含めて併せて通知し、復元装置3は情報利用装置1に復元要求セッション識別子を復元セッション情報に含めて情報利用装置1に送信することで情報復元要求セッションを識別する。なお、ここでは、分散情報管理装置2が復元装置3に伝えるとしたが、情報利用装置1が復元装置3に復元要求セッション識別子を別途通知しておいてもよい。
【0048】
以上のようにして、情報利用装置1は、情報復元要求を復元装置3を経由し分散情報管理装置2へ送信する。
【0049】
次に、復元装置3は、情報利用装置1からの情報復元要求を受信部301で受信し(B101)、中継部302によって、各情報復元要求で指定された分散情報管理装置2へ情報復元要求を中継する(B102)。なお、本実施例では情報利用装置1と分散情報管理装置2との通信を復元装置3が中継するとしたが、情報利用装置1と分散情報管理装置2とが直接通信し、分散情報管理装置2が処理結果と情報利用装置1の受信アドレスとを併せて復元装置3に送信し、その受信アドレスをもとに復元装置3が復元処理結果を送信してもよい。この際、前述のようにプロキシサーバや匿名通信技術を利用すれば、復元装置3は情報利用装置1の受信アドレスで不正に追跡できない。
【0050】
次に、復元装置3から送信された情報復元要求の送付先の分散情報管理装置2は、受信部203で、情報復元要求を受信する(C101)。この例では、ネットワークレベルの接続要求元は、復元装置3であるため、安全性を確保するために、正当な情報利用装置1の情報復元要求が中継されているかどうかを判断する(C102)。より具体的には、接続元情報テーブル201に格納された認証情報を利用して情報利用装置1を利用している(ユーザ)を認証してセキュアチャネルを確立する。この場合、前述したようにSSLなどが利用できる。ここで、相互認証は情報利用装置1と復元装置3との間では行われないので、復元装置3は情報利用装置1を追跡できない。また、分散情報管理装置2は認証した情報利用装置1の識別子をログ等に記録し、証拠として保存したりしてもよい。
【0051】
秘匿処理部204は、受信部203で受信した情報復元要求から分散情報識別子DID(sid,i)を取得する(C103)。取得した分散情報識別子DID(sid,i)で分散情報テーブル202から分散情報S(sid,i)={S(sid,i,j)|S(sid,i,j) ∈{0,1}d,0≦j≦n-2}(長さd×(n−1)ビットの分散情報S(sid,i)を長さdビットのn−1個の分散情報s(sid,i,j)で構成されているとみなす)を取得する(C104)。
【0052】
そして、情報復元要求に含まれる乱数M(sid,i)={M(sid,i,j)|M(sid,i,j) ∈{0,1}d,0≦j≦n-2}(分散情報と同様にみなす)の各要素と、分散情報S(sid,i)の各要素とをビット毎に排他的論理和演算し、秘匿分散情報C(sid,i)を生成する(C105)。なお、秘匿分散情報C(sid,i)をより詳細に記載すると次式で表される。
【数1】
【0053】
次に、送信部205は、復元要求セッション識別子と秘匿分散情報C(sid,i)とを含む秘匿セッション情報を復元装置3に送信する(C106)。ここで、分散情報管理装置2と復元装置3との間で相互認証したセキュアチャネルを設け第三者による攻撃を防止して安全性を向上させると良い。また、ここで、分散情報管理装置2が秘匿セッション情報のうち、秘匿分散情報に電子署名を付与することでシステムの安全性を向上させることができる。さらに、秘匿セッション情報に電子署名を施すことで情報復元要求セッションと秘匿分散情報の対応を明示的に示すことができ、復元装置3に偽の秘匿分散情報と復元要求セッション識別子との組を送信して復元させるなどのサービス負荷攻撃を回避できる他、情報作成の主体が明確になり、分散情報管理装置2による不正を抑止できる。
【0054】
次に復元装置3は、受信部301で、分散情報管理装置2から送信された秘匿セッション情報を受信する(B103)。分散情報管理装置2からの返答を待った結果、閾値以上の秘匿セッション情報が入手できないなどの問題が生じたら、情報利用装置1に報告するなどのエラー処理(B104)の後に処理を終了する。また、秘匿セッション情報やその中に含まれる秘匿分散情報C(sid,i)に分散情報管理装置2の秘密鍵により電子署名が付与されている場合には、それを検証することで改竄の有無を検知する。
【0055】
一方、分散情報管理装置2からの返答を待った結果、閾値以上の秘匿セッション情報が入手できた場合には、復元部304は、閾値2以上の分散情報管理装置2から受信した秘匿セッション情報に含まれる秘匿分散情報C(sid,i)から任意の2組を選定し、(2,n)XOR閾値法の復元アルゴリズムを適用して秘匿秘密情報CK(sid)={CK(sid,a)|CK(sid,a)∈{0,1}d,1≦a≦n-1,a∈Z}を求める(B105)。この復元アルゴリズムを適用する際、受信した秘匿分散情報C(sid,i)のiやnの値が必要となるが、これらの値は秘匿セッション情報内の秘匿分散情報C(sid,i)のヘッダ情報などの形で分散情報管理装置2から送信される。また、ここで閾値分の秘匿分散情報が集まった段階で処理を打ち切って処理負荷や転送待ち時間を軽減したり、逆に、閾値より多くの秘密分散情報C(sid,i)を受信しておいて、それぞれ復元した秘匿秘密情報CK(sid)が一致することを検証して正確性を高めたりするといった方法も考えられる。
【0056】
復元装置3は、復元要求セッション識別子と、復元のために使用した2個の秘匿分散情報の送信元の分散情報管理装置の識別子(ここでは、m、lとする)をヘッダとして付加した秘匿秘密情報とで構成される復元セッション情報を情報利用装置1に送信する(B106)。
【0057】
情報利用装置1は、復元装置3からの情報復元要求に対する応答を待ち(A107)、復元装置3から閾値以上の分散情報が入手できないため復元できないなどの問題が報告された場合はエラー処理(A108)の後、処理を終了する。一方、復元装置3からの復元要求セッション情報を受信できた場合には、復号用データ生成部109は、復元要求セッション識別子と分散情報管理装置の識別子lとmとをキーとして秘匿乱数テーブル101を参照して(ここでm>lと一般化する)、秘匿乱数M(sid,l)とM(sid,m)とを取得し、次の処理によって復号用データP(sid)={P(sid,a)|P(sid,a)∈{0,1}d,1≦a≦n-1,a∈Z}を生成する(A109)。
【0058】
まず、r=m−l mod n を計算し、以下の場合に分けて計算する(ここでの計算はnを法として実施される)。
【0059】
識別子lの分散情報管理装置2から入手したM(sid,l)={M(sid,l,j)|M(sid,l,j)∈{0,1}d,0≦j≦n−2}が、M(sid,l,l)を含む場合は、整数k(初期値は0)がl−kr=n−1(k<n−2)を満たすまでkをインクリメントしつつ次のように計算する。
【数2】
【0060】
また、識別子mの分散情報管理装置から入手したM(sid,m)={M(sid,m,j)|M(sid,l,j)∈{0,1}d,0≦j≦n−2}が、M(sid,m,m)を含む場合は、m−kr=n−1(k<n−2)を満たすまで、kを0からインクリメントしつつ次のように計算する。
【数3】
【0061】
情報利用装置1の復号処理部110は、復号用データ生成部109によって生成されたP(sid)と受信した秘匿秘密情報CK(sid)とをそれぞれ排他的論理和で計算し、秘密情報K(sid)を得る(A110)。
【0062】
以上詳細に説明してきた、第1の実施の形態によれば、復元装置3は乱数で秘匿された分散情報から秘匿された秘匿分散情報を、復号する前に復元することができるから、情報利用装置1で行っていた復元処理を、復元装置3に秘密情報を秘匿したままで委託することができ、情報利用装置1の復元処理に係る処理負荷を無くすことができる。さらに、情報利用装置1は、通信における受信において秘匿分散情報を1つだけ受信すればよく、既存のように少なくともk個の分散情報を受信する必要がなくなったため、通信量をそれぞれ減らすことができる。
【0063】
また、秘匿秘密情報は毎回異なった乱数で秘匿されていることから、秘匿秘密情報を知り得る主体による追跡を防ぐことができる。
【0064】
次に、第2の実施の形態について説明する。第2の実施の形態は、第1の実施の形態に加え、ユーザの秘密情報を検証して、ユーザへサービスを提供する検証装置を含めたものである。以下では、秘密情報を年齢、性別などの属性情報であると仮定し、分散した属性情報を利用した属性証明システムに関して説明する。ただし、本実施形態における秘密情報は特に属性情報に限る必要はなく、保証された秘密情報を復元装置に提示してサービスを提供する他のアプリケーションにも適用できる。
【0065】
図15は、本実施の形態の属性証明システムの全体を示しており、図16はこのシステムの概略フローを指名している。
【0066】
本システムにおいては、情報利用装置1’と複数の分散情報管理装置2’と復元装置3’とに加えて検証装置6が存在し、インターネットなどのオープンな通信ネットワークやそれに接続される専用線などの各種通信ネットワーク4を介して互いに接続されている。また、第1の実施の形態と同様に、分散情報生成装置5が存在する。
【0067】
検証装置6は、情報利用装置1’からサービス要求を受けると、検証情報を生成し、情報利用装置1’に対して検証情報を供給して秘密情報の提示を要求する。そして、検証装置6は、情報利用装置1’から提供されたハッシュされた検証情報によって、提供された秘匿秘密情報の正当性を確認し、秘匿秘密情報を復号し、サービスの提供条件を満たす場合には、情報利用装置1’に要求されたサービスを提供する。
【0068】
次に、本実施の形態の実現例を以下に示す。本実施の形態の秘密情報の分散登録時の処理は、第1の実施の形態と同様で良い。
【0069】
一方、本実施の形態の秘密情報の取得時の処理は、第1の実施の形態の秘密情報の取得時の処理に対し、最初に情報利用装置1’から検証装置6へのサービスの要求を行い、検証装置6から検証セッション識別子を受ける点と、その検証セッション識別子が分散情報管理装置2’で処理される点と、セッション情報利用装置1’で受け取った秘匿秘密情報を復号することなく、処理された検証セッション識別子を付加して検証装置6へ送信し、検証装置6内で検証の上、復号する点とが付加される。
【0070】
本実施形態において、分散情報管理装置2’に要求される信頼性は第1の実施の形態と同様であるが、復元装置3’に要求される信頼性は異なる。第1の実施の形態では、秘密情報の保持者であるユーザのみが復元された情報を利用していたが、本実施形態では秘匿秘密情報が検証装置に提供され、復元装置の秘匿秘密情報への電子署名を信頼の基盤として検証装置6がサービスを提供する。そのため本実施形態では、復元装置3’も分散情報管理装置2’と同様の高い信頼性を要求される。
【0071】
検証装置6と情報利用装置1’との間の通信は、検証装置6をサーバとしてSSLサーバ認証を利用した通信路で悪意ある第三者による攻撃から保護する。ここで、検証装置6は情報利用装置1’の秘密情報のみを検証すればよいため、情報利用装置1’を認証する必要はない。なお、装置のネットワークアドレスに関する条件や、閾値法に関する条件、そして情報利用装置1’、復元装置3’、分散情報管理装置2のそれぞれの間での通信に関する条件や、やりとりは上記第1の実施の形態と同様である。
【0072】
次に、情報利用装置1’および、検証装置6の動作について説明する。図17、図18は、それぞれ情報利用装置1’、検証装置6の機能ブロックを示し、また、図19、図20はそれぞれ情報利用装置1’、検証装置6の処理手順を示したフローチャートである。
【0073】
まず、情報利用装置1’のサービス要求部111は、検証装置6にサービス要求を送信する(A1001)。
【0074】
検証装置6の要求検証部603は、受信部502からサービス要求を受信する(D1001)と、乱数生成部604で検証セッション識別子の作成用データであるセッション識別乱数を生成する(D1002)。この際の乱数アルゴリズムやそのビット長に関しては任意の公知技術を利用してよい。
【0075】
要求検証部603は、生成されたセッション識別乱数と、検証装置自身の識別情報を連結したデータのハッシュ値を検証セッション識別子として生成する(D1003)。
【0076】
要求検証部603は、検証セッション識別子をセッション記憶テーブル601に格納する(D1004)。図21にセッション記憶テーブル501を示す。同図のように、検証セッション識別子に対応付けて、サービス要求の内容に応じてセッションで検証する秘密情報の種別とセッション確立用リソースの管理に必要な情報(ここでは、有効期限)を併せて格納する。なお、定期的に古いセッション識別子を削除することでセッション確立用資源の有効利用を図ってもよい。
【0077】
要求検証部603は、セッション識別乱数と提示を要求する秘密情報の種別や条件とを情報利用装置1’に送信し(D1005)、情報利用装置1’からの秘匿秘密情報の提示を待つ。
【0078】
情報利用装置1’のサービス要求部111は、受信(A1002)したセッション識別乱数と検証装置6の識別子とを連結したデータのハッシュ値を生成し、検証セッション識別子とする(A1003)。
【0079】
サービス要求部111は、検証装置6から提示を要求された秘密情報に関して、情報復元要求を実施する(A1004)。このとき、第1の実施の形態では、乱数生成部106で生成した乱数を、秘匿乱数テーブル101に登録していたが、この実施の形態においては、更に検証セッション識別子も対応付けた秘匿乱数テーブル1001(図22)を用い、先に生成した検証セッション識別子も保存するようにする。
【0080】
以後、情報利用装置1’が復元装置3’から秘匿秘密情報を受信し、秘密情報を得るまでの処理(A1005)に関しては、第1の実施の形態とほぼ同様に処理が実施される。ただし、情報復元要求に検証セッション識別子が含まれている点、各分散情報管理装置2’が受信した秘匿乱数M(sid,i)のハッシュ値である秘匿乱数ハッシュH(M(sid,i))を生成する点、検証セッション識別子と秘匿乱数ハッシュも秘匿セッション情報に含まれて秘匿結果データとして分散情報管理装置2’から復元装置3’に伝えられ、復元装置3’から情報利用装置2’には検証セッション識別子と、秘匿秘密情報の生成に利用された秘匿分散情報を提供した分散情報管理装置(l)と分散情報管理装置(m)の秘匿乱数ハッシュH(M(sid,i))、H(M(sid,i))も復元セッション情報に含まれて復元結果データとして返信される点が異なる。なお、分散情報管理装置2’が秘匿乱数ハッシュを生成するのではなく、情報利用装置1’が秘匿乱数ハッシュを作成し、分散情報管理装置2’は受信した秘匿乱数のハッシュ値と秘匿乱数ハッシュとが一致することを確認するという構成にしてもよい。
【0081】
本実施形態においては、秘匿秘密情報と、検証セッション識別子と、復元要求セッション識別子と、秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))の対応が保証されていることがセキュリティ上重要であるため、復元装置3’から情報利用装置2’に送信されるこれらの復元セッション情報には復元装置3’の秘密鍵による電子署名が付与されていることが望ましい。以降では復元装置3’の電子署名が施されているとして話を進め、復元セッション情報(秘匿秘密情報と検証セッション識別子と復元要求セッション識別子と秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))と電子署名とを秘匿秘密情報証明と呼ぶ。秘匿秘密情報証明には有効期限やコメント等の他のフィールドがあってもよい。なお場合によっては、復元要求セッション識別子がなくてもよい。
【0082】
情報利用装置1’のサービス要求部は秘匿秘密情報証明と、秘匿秘密情報を復号するための復号用データを生成するのに必要な秘匿乱数M(sid,l)、M(sid,m)とを検証装置6に送信する(A1006)。
【0083】
検証装置6の要求検証部503は前記の情報を受信すると(D1006)、セッション記憶テーブル501を参照し、検証セッション識別子が有効なことを確かめる(D1008)。秘匿秘密情報証明を受信できなかった場合には、エラー処理を行い(D1007)、処理を終了する。
【0084】
検証装置6は署名検証部605により受信した秘匿秘密情報証明の電子署名を検証する(D1009)。
【0085】
検証装置6の復号データ生成部506は、受信した秘匿乱数M(sid,l)、M(sid,m)のハッシュ値がそれぞれ秘匿乱数ハッシュH(M(sid,l))、H(M(sid,m))と等しいことを確認した後、受信した秘匿乱数から秘匿秘密情報を復号するための復号データを生成する(D1010)。この処理は、第1の実施の形態の情報利用装置1の動作フローA107と同様である。ここで秘匿乱数ではなく情報利用装置1’が作成済みの復号データを利用することも考えられるが、悪意のある情報利用者が、元の秘密情報と異なる復元結果を生成する復号用データを送信する攻撃が存在するため、ここでは復号用データではなく秘匿乱数を送信している。さらに情報利用装置1’が検証装置6に異なる復号結果を生成する復号用データが生成されるような秘匿乱数に置き換えて送信する可能性もあることから、秘匿乱数ハッシュの改竄を復元装置3’の電子署名で防止している。また、検証装置6が秘匿分散情報証明だけでなく、秘匿分散情報とそれに対する分散情報管理装置2’の電子署名も併せて入手し、署名の検証と秘匿分散情報の復元処理結果と受信した秘匿秘密情報との一致を確認することで、検証装置6にとってのシステムの安全性をより向上させることができる。しかし、この場合、秘匿分散情報と秘匿乱数から分散情報管理装置2’の保持する分散情報が復元できてしまうため、仮に分散情報管理装置2’からの情報漏洩があった際には、その分散情報をキーとして、個人とその属性が対応づけられてしまうという問題が発生し、本来、k個の分散情報管理装置2’からの漏洩に耐性がある本方式の特徴が損なわれてしまうという問題がある。そこで本実施形態では、検証装置6へは秘匿分散情報は提供しないこととする。
【0086】
検証装置6の復号処理部607は、受信した秘匿秘密情報を復号用データにより復号し(D1011)、秘密情報を確認する(D1012)。確認した秘密情報がサービス提供条件を満たす場合には検証装置6は情報利用装置1’にサービスを提供する(D1013)。
【0087】
本実施の形態では、情報利用装置1’が検証装置6の要求を受けてから秘匿秘密情報証明を入手して属性証明をするが、検証セッション識別子を含まない秘匿秘密情報証明をあらかじめ復元装置6から入手しておき、情報利用装置1は検証装置6に接続した際に秘匿秘密情報証明を提示してもよい。
【0088】
以上のようにした、本実施の形態よれば、第1の実施の形態と同様の効果を備えつつ、更に、検証装置6が情報利用装置1‘の属性情報の正当性を確認しつつ、情報利用装置1’は検証装置6による追跡を防止しつつサービスを享受できる。
【0089】
また、秘匿秘密情報は毎回異なった乱数で秘匿されていることから、秘匿秘密情報を知り得る主体による追跡を防ぐことができる。
【0090】
なお、上記で説明した各実施の形態における各装置は、説明を簡易にするために専用装置のように記載したが、一般には、サーバ装置、パーソナルコンピュータ、携帯電話などのモバイル端末、等の汎用的な装置を用い、各機能ブロックは、それら汎用的な装置内のプロセッサによって実行されるソフトウェアプログラムで実現されるものであり、このようなものを含むことは明白である。
【0091】
また、上記実施の形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。更に、上記実施の形態には種々の段階の発明が含まれており、開示される複数の構成要件における適宜な組み合わせにより種々の発明が抽出され得る。例えば、実施の形態に示される全構成要件から幾つかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題が解決でき、発明の効果の欄で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【図面の簡単な説明】
【0092】
【図1】第1の実施の形態が適用されるシステムを示す図。
【図2】第1の実施の形態の概略動作を示すフロー図。
【図3】分散情報生成装置5の機能ブロック図。
【図4】第1の実施の形態の分散情報識別子テーブルを示した図
【図5】第1の実施の形態の接続先情報テーブルを示した図。
【図6】第1の実施の形態の接続元情報テーブルを示した図。
【図7】第1の実施の形態の分散情報テーブルを示した図。
【図8】第1の実施の形態の情報利用装置1の機能ブロックを示す図。
【図9】第1の実施の形態の分散情報管理装置2の機能ブロックを示す図。
【図10】第1の実施の形態の復元装置3の機能ブロックを示す図。
【図11】第1の実施の形態の情報利用装置1の処理手順を示すフローチャート。
【図12】第1の実施の形態の復元装置3の処理手順を示すフローチャート。
【図13】第1の実施の形態の分散情報管理装置2の処理手順を示すフローチャート。
【図14】第1の実施の形態の秘匿乱数テーブルを示した図。
【図15】本発明の第2の実施の形態が適用されるシステムを示す図。
【図16】第2の実施の形態の概略動作を示すフロー図。
【図17】第2の実施の形態の情報利用装置1’を示す図。
【図18】第2の実施の形態の検証装置3’を示す図。
【図19】第2の実施の形態の情報利用装置1‘の処理手順を示すフローチャート。
【図20】第2の実施の形態の検証装置6の処理手順を示すフローチャート。
【図21】第2の実施の形態のセッション記憶テーブルを示す図。
【図22】第2の実施の形態の秘匿乱数テーブルを示した図。
【符号の説明】
【0093】
1、1’…情報利用装置
2、2’…分散情報管理装置
3、3’…復元装置
4…ネットワーク
5…分散情報生成装置
6…検証装置
101、1001…秘匿乱数テーブル
102…分散情報識別子テーブル
103…接続先情報テーブル
104…情報復元要求部
105…分散情報識別子取得部
106…乱数生成部
107、205、303、608…送信部
108、203、301、602…受信部
109…復号用データ生成部
110…復号処理部
111…サービス要求部
201…接続元情報テーブル
202…分散情報テーブル
204…秘匿処理部
302…中継部
304…復元部
603…要求検証部
604…乱数生成部
605…署名検証部
606…復号用データ生成部
607…復号処理部
【特許請求の範囲】
【請求項1】
(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を得るための情報利用装置とが、ネットワークを介して接続される分散情報復元システムであって、
前記情報利用装置は、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、
前記各分散情報管理装置は、
前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、
取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、
生成した前記秘匿分散情報を前記復元装置に送信する秘匿分散情報送信手段とを備え、
前記復元装置は、
k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、
復元された前記秘匿秘密情報を前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、
前記情報利用装置は、送信された秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得るようにしたことを特徴とする分散情報復元システム。
【請求項2】
(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、サービスの提供を得るために前記秘密情報を得るための要求を行う情報利用装置と、前記サービスを提供するために前記秘密情報の確認を行う検証装置とが、ネットワークを介して接続される分散情報復元システムであって、
前記検証装置は、検証情報を生成する検証情報生成手段を備え、
前記情報利用装置は、
前記検証装置から前記検証情報を得る検証情報取得手段と、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する分散情報識別子取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記検証情報と前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、
前記各分散情報管理装置は、
前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、
取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、
生成した前記秘匿分散情報を前記検証情報と共に前記復元装置に送信する秘匿分散情報送信手段とを備え、
前記復元装置は、
k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、
復元された前記秘匿秘密情報を前記検証情報と共に、前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、
前記情報利用装置は、送信された秘匿秘密情報と前記検証情報と前記保存手段で保存した前記乱数に基づく復号用情報とを、前記検証装置へ送信し、
前記検証装置は、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得るようにしたことを特徴とする分散情報復元システム。
【請求項3】
前記(k,n)閾値秘密分散法は、(2,n)閾値秘密分散法を用い、
前記分散情報管理装置の前記秘匿分散情報生成手段は、前記分散情報と前記情報復元要求に含まれる前記秘匿乱数との排他的論理和演算によって、秘匿分散情報を生成し、
秘匿分散情報の復号時には、前記秘匿秘密情報と前記情報利用装置で保存していた前記乱数とを排他的論理和演算によって、秘密情報を得るようにしたことを特徴とする請求項1または2に記載の分散情報復元システム。
【請求項4】
前記秘密情報が復元される一連の過程を一つのセッションとしたとき、各セッション毎に、
前記情報利用装置の前記生成手段は、都度n個の乱数を新規に生成するようにすることを特徴とする請求項1乃至3の何れかの分散情報復元システム。
【請求項5】
(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、ネットワークを介して接続され、前記秘密情報を得るための情報利用装置であって、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくとも2台へそれぞれ送信する送信手段と、
前記分散情報管理装置で保存する分散情報と前記情報復元要求に含む前記乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報を受信する受信手段と、
受信した秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得る
復号手段とを備えたことを特徴とする情報利用装置。
【請求項6】
(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を提示して特定のサービスを受ける情報利用装置と、ネットワークを介して接続され、前記秘密情報の提示を受け、前記特定のサービスを与える検証装置であって、
前記情報利用装置から前記特定のサービスを受けたい旨の要求を受け、検証情報を生成する検証情報生成手段と、
生成した前記検証情報を前記情報利用装置へ送信する送信手段と、
検証情報を含む情報復元要求により得られる、前記分散情報管理装置で保存する分散情報と前記情報利用装置で生成された乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報と、秘匿秘密情報に付加して与えられる検証情報と、前記乱数に基づく復号用情報とを受信する受信手段と、
送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得る秘密情報取得手段とを備えたことを特徴とする検証装置。
【請求項1】
(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を得るための情報利用装置とが、ネットワークを介して接続される分散情報復元システムであって、
前記情報利用装置は、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、
前記各分散情報管理装置は、
前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、
取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、
生成した前記秘匿分散情報を前記復元装置に送信する秘匿分散情報送信手段とを備え、
前記復元装置は、
k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、
復元された前記秘匿秘密情報を前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、
前記情報利用装置は、送信された秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得るようにしたことを特徴とする分散情報復元システム。
【請求項2】
(k,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、サービスの提供を得るために前記秘密情報を得るための要求を行う情報利用装置と、前記サービスを提供するために前記秘密情報の確認を行う検証装置とが、ネットワークを介して接続される分散情報復元システムであって、
前記検証装置は、検証情報を生成する検証情報生成手段を備え、
前記情報利用装置は、
前記検証装置から前記検証情報を得る検証情報取得手段と、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する分散情報識別子取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記検証情報と前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくともk台へそれぞれ送信する送信手段とを備え、
前記各分散情報管理装置は、
前記情報復元要求を受信すると、該情報復元要求に含まれる前記分散情報識別子に対応する前記分散情報を取得する分散情報取得手段と、
取得された前記分散情報を前記情報復元要求に含まれる前記乱数により秘匿して秘匿分散情報を生成する秘匿分散情報生成手段と、
生成した前記秘匿分散情報を前記検証情報と共に前記復元装置に送信する秘匿分散情報送信手段とを備え、
前記復元装置は、
k個の前記秘匿分散情報を受信すると、(k,n)閾値秘密分散法の復元処理を行い、秘匿秘密情報を復元する秘匿分散情報復元手段と、
復元された前記秘匿秘密情報を前記検証情報と共に、前記情報利用装置に送信する秘匿秘密情報送信手段とを備え、
前記情報利用装置は、送信された秘匿秘密情報と前記検証情報と前記保存手段で保存した前記乱数に基づく復号用情報とを、前記検証装置へ送信し、
前記検証装置は、送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得るようにしたことを特徴とする分散情報復元システム。
【請求項3】
前記(k,n)閾値秘密分散法は、(2,n)閾値秘密分散法を用い、
前記分散情報管理装置の前記秘匿分散情報生成手段は、前記分散情報と前記情報復元要求に含まれる前記秘匿乱数との排他的論理和演算によって、秘匿分散情報を生成し、
秘匿分散情報の復号時には、前記秘匿秘密情報と前記情報利用装置で保存していた前記乱数とを排他的論理和演算によって、秘密情報を得るようにしたことを特徴とする請求項1または2に記載の分散情報復元システム。
【請求項4】
前記秘密情報が復元される一連の過程を一つのセッションとしたとき、各セッション毎に、
前記情報利用装置の前記生成手段は、都度n個の乱数を新規に生成するようにすることを特徴とする請求項1乃至3の何れかの分散情報復元システム。
【請求項5】
(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、ネットワークを介して接続され、前記秘密情報を得るための情報利用装置であって、
前記分散情報のビット長と同じビット長の乱数をn個生成する生成手段と、
前記分散情報管理装置でそれぞれ保存する分散情報を一意に識別する分散情報識別子を取得する取得手段と、
前記各乱数と前記各分散情報識別子とを対応づけて保存する保存手段と、
前記分散情報識別子と前記乱数の一つとを含む情報復元要求を前記分散情報管理装置の少なくとも2台へそれぞれ送信する送信手段と、
前記分散情報管理装置で保存する分散情報と前記情報復元要求に含む前記乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報を受信する受信手段と、
受信した秘匿秘密情報を前記保存手段で保存した乱数を用いて復号し、秘密情報を得る
復号手段とを備えたことを特徴とする情報利用装置。
【請求項6】
(2,n)閾値秘密分散法を用いて、秘密にしたい秘密情報から生成されたn個の分散情報のそれぞれを保存するn個の分散情報管理装置と、復元装置と、前記秘密情報を提示して特定のサービスを受ける情報利用装置と、ネットワークを介して接続され、前記秘密情報の提示を受け、前記特定のサービスを与える検証装置であって、
前記情報利用装置から前記特定のサービスを受けたい旨の要求を受け、検証情報を生成する検証情報生成手段と、
生成した前記検証情報を前記情報利用装置へ送信する送信手段と、
検証情報を含む情報復元要求により得られる、前記分散情報管理装置で保存する分散情報と前記情報利用装置で生成された乱数とで排他的論理和演算された少なくとも2つの秘匿分散情報から復元装置で復元された秘匿秘密情報と、秘匿秘密情報に付加して与えられる検証情報と、前記乱数に基づく復号用情報とを受信する受信手段と、
送信された前記検証情報を確認の上、前記秘匿秘密情報を前記復号用情報を用いて復号し、秘密情報を得る秘密情報取得手段とを備えたことを特徴とする検証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【公開番号】特開2008−250931(P2008−250931A)
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願番号】特願2007−94907(P2007−94907)
【出願日】平成19年3月30日(2007.3.30)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願日】平成19年3月30日(2007.3.30)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]