匿名交渉システム、方法及びユーザ装置
【課題】匿名での身分保証、追跡性、非結合性、部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させる。
【解決手段】ユーザ装置20A,20Bは、交渉ID毎に、自身交渉公開鍵及び自身交渉秘密鍵を生成した後、自身交渉公開鍵及び交渉IDにグループ署名を付与して共有する。ユーザ装置20A,20Bは、新たなメッセージに自身交渉秘密鍵に基づいて電子署名を付与した電子署名付メッセージを交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを匿名交渉管理装置10の交渉内容記憶部15に書き込む。ユーザ装置20B,20Aは、匿名交渉管理装置10から閲覧した暗号化電子署名付メッセージを自身交渉秘密鍵に基づいて復号し、得られた電子署名付メッセージの電子署名を交渉相手交渉公開鍵に基づいて検証し、検証結果が正当のとき、メッセージを受理する。
【解決手段】ユーザ装置20A,20Bは、交渉ID毎に、自身交渉公開鍵及び自身交渉秘密鍵を生成した後、自身交渉公開鍵及び交渉IDにグループ署名を付与して共有する。ユーザ装置20A,20Bは、新たなメッセージに自身交渉秘密鍵に基づいて電子署名を付与した電子署名付メッセージを交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを匿名交渉管理装置10の交渉内容記憶部15に書き込む。ユーザ装置20B,20Aは、匿名交渉管理装置10から閲覧した暗号化電子署名付メッセージを自身交渉秘密鍵に基づいて復号し、得られた電子署名付メッセージの電子署名を交渉相手交渉公開鍵に基づいて検証し、検証結果が正当のとき、メッセージを受理する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ間で互いの身分を明かすことなくメッセージを交換して匿名での交渉を実現し得る匿名交渉システム、方法及びユーザ装置に係り、例えば、グループ署名方式を用いた匿名交渉システム、方法及びユーザ装置に関する。
【背景技術】
【0002】
現在、国や大学などを中心に電子私書箱システムが検討されている。電子私書箱システムは、国民がサービス供給者(政府、自治体、保険者、医療機関等)から提供される自己の情報を入手・閲覧すると共に、一元的に統合・管理・活用するための仕組みである。検討中の枠組みでは、サービス供給者から国民(ユーザ)に情報を配付する役割が中心である。しかしながら、サービス運営者(行政機関)がユーザの身分を保証できることから、電子私書箱システムを個人ユーザ間の交渉に活用することが期待される。
【0003】
例えば、ユーザAとユーザBとによる不動産取引における交渉を考える。ユーザAは、ユーザBに不動産の買い取り条件を提示する。ユーザBは、ユーザAに買い取り条件を受け入れるか、あるいは買い取り条件を良くして欲しい等の要求を送信する。ユーザAは、この要求に基づき、新たな買い取り条件をユーザBに提示する。交渉では、このようにユーザ間で複数のメッセージが交換されて交渉内容が詰められていく。交渉者の各ユーザには、交渉成立まで、あるいは交渉成立後も互いの身分を明かさずに匿名性を保ちたいという要求がある。電子私書箱システムでは、サービス運営者が個人の身分を保証することにより、各ユーザが匿名性を保ちつつ、相手を信用するという二律背反の要求を満たすことが可能となる。すなわち、電子私書箱システムは、匿名性を保った交渉(以下、匿名交渉ともいう)に必要な「匿名での身分保証」という要件を満たしている。また、電子私書箱システムは、交渉内容の改竄や交渉の勝手な打ち切り等の不正があった場合には匿名性を解除するように交渉相手を追跡して特定するという「追跡性」の要件も満たしていると考えられる。
【0004】
このような電子私書箱システムの活用に限らず、ユーザ間で匿名交渉を実現したい場合、いくつかの方法が考えられる。
【0005】
最も簡単な方法としては、全てのメッセージをサーバ経由で交換する方法が挙げられる。この方法においては、例えば、ユーザAからユーザBにメッセージを送る場合、ユーザAが一旦サーバにメッセージを預け、ユーザBがそのメッセージをサーバから受け取る。サーバは、交渉者の対応情報(交渉者がユーザA,Bであるという情報)を管理し、ユーザAには相手がユーザBであることを、ユーザBには相手がユーザAであることを交渉成立まで教えない。このように、サーバ経由でユーザ間の匿名交渉が可能となる。
【0006】
しかしながら、サーバ経由の方法は、メッセージをサーバに預けて交渉相手に送信してもらうため、利便性が低い。また、利便性が低くてもよいとしても、同一人物が2つの異なる交渉に関わった場合に、同一人物の2つの交渉を特定できない「非結合性」の要件と、同一人物の単一交渉内の一連のメッセージを特定できる「部分非結合性」の要件については、サーバの不正や通信路上でのメッセージの改竄も考慮すると厳密には保証できない不都合がある。
【0007】
他の方法としては、サーバを経由せず、全てのメッセージを電子メールで交換する方法が挙げられる。なお、電子メールアドレスは、自由に取得可能であるため、交渉相手に知られても匿名性を失わないことを前提とする。匿名性を保つ電子メールに関しては、インターネット上にリメーラ(remailer)と呼ばれる既存のサービス(以下、「リメーラサービス」という)が知られている。リメーラサービスでは、メールサーバが、送信者の電子メールアドレス、送信サーバ、送信経路などといった送信者に関する情報を電子メールから削除することにより、匿名で電子メールを送信している。
【0008】
しかしながら、リメーラサービスは、「匿名での身分保証」や「追跡性」を実現できない点で匿名交渉には不向きである。
【0009】
また、この出願の発明に関連する先行技術文献情報としては次のものがある。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2006−119771号公報
【特許文献2】特開2007−287104号公報
【特許文献3】特開2008−028983号公報
【非特許文献】
【0011】
【非特許文献1】D. Chaum, E. van Heyst, “Group Signatures”, EUROCRYPT ’91, LNCS 547, Springer-Verlag, pp.257-265, 1991.
【非特許文献2】G. Ateniese, J. Camenisch, M. Jose and G. Tsudik, “A Practical and Provably Secure Coalition-Resistant Group Signature Scheme”, CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000.
【非特許文献3】宮地充子, 菊池浩明 編著, “情報セキュリティ”, オーム社, ISBN4-274-13284-6, pp.112-114.
【発明の概要】
【発明が解決しようとする課題】
【0012】
以上、説明したように、ユーザ間の匿名交渉を実現したい場合、メッセージをサーバ経由で交換する方法や電子メールで交換する方法のいずれにしても、匿名交渉に必要な要件を満たすようには実現されない。この状況は、公的機関が運営する電子私書箱システム等に限らず、民間が運営する電子私書箱システム等を活用する場合でも同様である。なお、匿名交渉に必要な要件としては、以下の(i)〜(iii)を意味している。
【0013】
(i)第1の要件は、匿名の交渉相手の身分を保証する「匿名での身分保証」である。
【0014】
(ii)第2の要件は、所定の個人情報管理機関のみがユーザを特定できる「追跡性」である。この追跡性により、交渉成立時に匿名性を解除する場合に加え、交渉内容の改竄や交渉の勝手な打ち切り等の不正があった場合にもユーザを特定可能とする。
【0015】
(iii)第3の要件は、同一人物が2つの異なる交渉に関わった場合に、同一人物の2つの交渉を特定できない「非結合性」と、同一人物の単一交渉内の一連のメッセージを特定できる「部分非結合性」とである。
【0016】
本発明は上記実情を考慮してなされたもので、匿名での身分保証、追跡性、非結合性、部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現し得る匿名交渉システム、方法及びユーザ装置を提供することを目的とする。
【課題を解決するための手段】
【0017】
本発明の第1の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、交渉IDと、前記各ユーザのユーザIDと、いずれかのユーザ装置の電子署名が付与されたメッセージからなる電子署名付メッセージが暗号化されてなる暗号化電子署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0018】
本発明の第2の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する交渉鍵送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、前記交渉相手のユーザ装置から受信した電子メール内の暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0019】
本発明の第3の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、交渉IDと、前記各ユーザのユーザIDと、メッセージ及び共有乱数からなる共有乱数付メッセージにグループ署名を付与したグループ署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内のグループ署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、前記認証結果が正当のときのユーザ装置から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、交渉ID毎に、共有乱数を生成する乱数生成手段と、前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを交渉相手のユーザ装置に送信する共有乱数送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、このグループ署名付メッセージを前記交渉内容記憶手段に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、前記匿名交渉管理装置から閲覧したグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0020】
本発明の第4の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、交渉ID毎に、共有乱数を生成する乱数生成手段と、前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する共有乱数送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、このグループ署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、前記交渉相手のユーザ装置から受信した電子メール内のグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0021】
なお、本発明の各局面は、各装置の集合体をシステムとして表現したが、これに限らず、各装置の集合体毎に又は装置毎に、装置、方法、プログラム、又はプログラムを記憶したコンピュータ読取り可能な記憶媒体として表現してもよい。
【0022】
(作用)
本発明の第1乃至第4の局面では、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0023】
これに加え、本発明の第1及び第2の局面では、交渉ID毎に、交渉鍵ペアを生成し、交渉鍵ペアによる暗号化電子署名付メッセージを交換する構成により、交渉ID毎の交渉鍵ペアに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。また、本発明の第2の局面は、電子メールによって暗号化電子署名付メッセージを交換するので、匿名交渉管理装置を経由して暗号化電子署名付メッセージを交換する第1の局面に比べ、利便性の向上を図ることができる。
【0024】
一方、本発明の第3及び第4の局面では、交渉ID毎に、共有乱数を生成し、この共有乱数を付与したメッセージを含むグループ署名付メッセージを交換する構成により、交渉ID毎の共有乱数に基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。また、本発明の第4の局面は、電子メールによってグループ署名付メッセージを交換するので、匿名交渉管理装置を経由して署名付メッセージを交換する第3の局面に比べ、利便性の向上を図ることができる。
【発明の効果】
【0025】
以上説明したように本発明によれば、匿名での身分保証、追跡性、非結合性、部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現できる。
【図面の簡単な説明】
【0026】
【図1】本発明の第1の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図2】同実施形態における管理情報記憶部の構成を示す模式図である。
【図3】同実施形態における交渉内容記憶部の構成を示す模式図である。
【図4】同実施形態におけるログイン情報記憶部の構成を示す模式図である。
【図5】同実施形態におけるユーザ情報記憶部の構成を示す模式図である。
【図6】同実施形態における交渉履歴記憶部の構成を示す模式図である。
【図7】同実施形態におけるユーザ登録動作を説明するためのシーケンス図である。
【図8】同実施形態におけるメッセージ閲覧による交渉動作を説明するためのシーケンス図である。
【図9】本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図10】同実施形態における電子メールによる交渉動作を説明するためのシーケンス図である。
【図11】本発明の第3の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図12】同実施形態における交渉内容記憶部の構成を示す模式図である。
【図13】同実施形態における交渉履歴記憶部の構成を示す模式図である。
【図14】同実施形態におけるメッセージ閲覧による交渉動作を説明するためのシーケンス図である。
【図15】本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図16】同実施形態における電子メールによる交渉動作を説明するためのシーケンス図である。
【発明を実施するための形態】
【0027】
以下、本発明の各実施形態について図面を用いて説明するが、その前に各実施形態の前提となるグループ署名方式について述べる。
【0028】
グループ署名は、1991年チャウム(Chaum)ら(非特許文献1参照)により提案された以下の性質(1)〜(4)を満たす電子署名方式であり、匿名性を持った電子署名と言える。
【0029】
(1)グループに所属するメンバのみが、メンバ署名鍵を用いてグループを代表する署名(グループ署名) を生成できる。
【0030】
(2)グループ公開鍵により、グループ署名の正当性(グループメンバが生成した署名であること) を検証できる。
【0031】
(3)グループ署名から署名を生成したグループメンバを特定することはできない(Anonymity:匿名性)。
【0032】
(4)グループ秘密鍵により、グループ署名から署名を生成したグループメンバを特定(トレース)できる(Traceability:追跡能力)。
【0033】
しかしながら、チャウムらにより提案されたグループ署名方式は、署名サイズ・鍵サイ
ズがグループメンバ数に依存する等により、効率性の面から非実用的である。また、安全性が不十分である。
【0034】
その後、グループ署名方式が満たすべき安全性としては、以下の要件が提案されている。
【0035】
(5)2つのグループ署名が、同一のグループメンバが署名したものかどうか判別できない(Unlinkability:非結合性)。
【0036】
(6)グループメンバが結託しても、メンバをトレース不可能なグループ署名を生成することができない(Coalition-Resistance:耐結託性)。
【0037】
(7)グループ秘密鍵を知っていても、グループメンバになりすましてグループ署名を生成することができない(Exculpability:弁解能力)。
【0038】
以降、多くのグループ署名方式が提案されてきたが、その中でも2000年アテニース(Ateniese)らにより提案されたグループ署名方式(非特許文献2参照)は、署名サイズ・鍵サイズがグループメンバ数に依存せず、さらに強RSA仮定及び決定性ディフィ−へルマン(Decisional Deffie-Hellman)問題の困難性仮定の下で上記の安全性要件を全て満たすことが証明された方式であり、効率・安全性の両面で実用に耐えうる唯一の方式であると考えられる。なお、強RSA仮定とは、n=pq、p=2p’+1、q=2q’+1、(p,q,p’,q’:素数)を満たすn 、平方剰余群QR(n)(位数p’q’)の任意の元u∈QR(n)が与えられたとき、z≡ue(mod n)を満たすe>1を見つけることが困難という仮定である。決定性ディフィーヘルマン問題とは、巡回群G=〈g〉(ここでは上記nの平方剰余群QR(n))について、g,gx,gy,gz∈ G が与えられたとき,gx y と、gzとが等しいかどうかを決める問題である。
【0039】
各実施形態を説明する前に、匿名交渉システムを構成するにあたり前提となるグループ署名方式として、非特許文献1,2等に記載されたグループ署名方式に類似するグループ署名方式を標準的な例として述べる(非特許文献3参照)。次の表1は、この標準的なグループ署名方式の記号とその説明を示している。
【表1】
【0040】
(初期設定)
グループ管理者GM及び追跡機関EMは、それぞれ公開鍵、秘密鍵のペア(PG,SG),(PE,SE)を生成する。このうち、グループ公開鍵(PG,PE)及び生成元g等が公開される。
【0041】
メンバAとなるユーザは、例えば生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PA,SA)を生成する。
【0042】
PA=gSA
次に、ユーザは秘密鍵SAにより公開鍵PAに署名処理を施し、デジタル署名Sig SA(PA)を得る。ユーザは、鍵ペア(PA,SA)が正しく生成された旨(述語)の次のような知識署名SPK(Signature based on a Proof of Knowledge)を生成する。但し、初期設定なので、ここではメッセージmは存在しない。
【0043】
SPK{(α)|PA=gα}(m)=SPK{(SA)|PA=gSA}(m)
この知識署名SPKは、e=H(g‖PA‖gvPAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k) に基づいて、u=grを計算し、e=H(g‖PA‖u‖m)とし、v=r−eSAを整数上で求める。
【0044】
しかる後、ユーザは、公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)をグループ管理者GMに送信する。
【0045】
グループ管理者GMは、これらを受けると、公開鍵PAによりデジタル署名SigSA (PA)を検証し、公開鍵PA及び生成元gにより知識署名(e,v)を検証する。なお、知識署名の検証は、e=H(g‖PA ‖gvPAe‖m)に基づいて行う。
【0046】
両者の検証により正当性を確認すると、グループ管理者GMは、自己の秘密鍵SGにより、次のようにユーザの公開鍵PAに署名処理を施し、得られたメンバ証明書σAをユーザに返信する。これにより、ユーザはメンバAとして登録される。
【0047】
σA=SigSG (PA)
また、グループ管理者GMは、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)を秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PA,SigSA(PA))をメンバリストに追加する。
【0048】
(グループ署名生成)
署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵x及びメンバ証明書σのペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0049】
SPK σ,x =SPK{(α,β)|VerifyPG(f(α),β)=1}(m)
=SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、メッセージmに対し、メンバ公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0050】
SPKc =SPK{(α,β)|VerifyPE(f(α),β)=1}(m)
=SPK{(x,c)|VerifyPE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^PE ‖m)、v2=r−e2(x+c)
補足すると、c=EPE(PA)は、メンバ公開鍵PAに乱数値を付与したデータをPEで暗号化した値とする。理由は、c=EPE(PA)が単純にPAをPEで暗号化した値とすると、PAが固定であればcの値も固定値となって非結合性を満たさなくなるためである。
【0051】
しかる後、メンバAは、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として検証者に送信する。なお、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。この場合も前述同様に、c=EPE(σA)は、メンバ証明書σAに乱数値を付与したデータをPEで暗号化した値とする。
【0052】
(グループ署名検証)
検証者は、メッセージmと共に、各データ(SPKσ,x、c、SPKc )を署名として受けると、グループ公開鍵PG,PEに基づいて、知識署名SPKσ,x =(e1,v1)及びSPKc =(e2,v2)を以下の検証式により検証する。
【0053】
e1=H(g‖PA ‖(gv1)^PG×(PAe1)^PG×(ge1σA)^PG ‖m)
e2=H(g‖PA ‖(gv2)^PE×(PAe2)^PE×(ge2C)^PE ‖m)
検証者は、メンバAの生成した署名が正当なとき、メッセージmに基づく処理を実行する。一方、検証者は、メンバAの生成した署名に不正があったとき、暗号化された値cを追跡機関EMに送信する。
【0054】
(追跡機能)
追跡機関EMは、検証者から受けた値c(=EPE(PA))を自己の秘密鍵SEにより復号し、得られたメンバAの公開鍵PAをグループ管理者GMに送信する。グループ管理者GMは、公開鍵PAからメンバAを特定する。
【0055】
以上が標準的なグループ署名方式であるが、他のグループ署名方式も同様な性質を持っている。以下の各実施形態は、非特許文献3のグループ署名を代表例に挙げて述べているが他のグループ署名方式についても同様に適用可能なことは言うまでもない。
【0056】
<第1の実施形態>
図1は本発明の第1の実施形態に係る匿名交渉システムの構成を示す模式図であり、図2乃至図6は匿名交渉管理装置又はユーザ装置内の各記憶部の構成を示す模式図である。この匿名交渉システムは、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置10と、各ユーザに個別に操作される複数のユーザ装置20A,20Bを備えており、各装置10,20A,20Bが互いに通信可能となっている。
【0057】
なお、ユーザ装置20A,20Bの個数は、少なくとも2つあれば互いに交渉可能であることからここでは2つの場合を図示したが、これに限らず、交渉形態に応じて任意の個数が使用可能となっている。また、各ユーザ装置20A,20Bが互いに同一の機能部21〜27を備えることから、以下の説明はユーザ装置20Aを代表例に挙げて述べるが、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σA等の添字AをBに読み替えることにより、ユーザ装置20Bの説明に読み替えられる。
【0058】
このような匿名交渉システムの各装置10,20A,20Bは、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。このような匿名交渉システムを実現する場合、例えば、匿名交渉管理装置10が匿名交渉用のサーバプログラムを実行して匿名交渉サービスをユーザ装置20Aに提供するサーバ装置であり、ユーザ装置20Aが匿名交渉用のクライアントプログラムを実行するユーザPC(Personal Computer)であるという形態が考えられる。但し、別の形態として、サーバ装置がWebサービスとして、ユーザ装置20Aに匿名交渉サービスを提供するという形態としてもよい。この場合、ユーザ装置20Aが提供する機能は、実際にはサーバ装置上で動作し、ユーザ装置20Aが当該ユーザ装置20A(ユーザPC)上で動作するWebブラウザからサーバ装置上で動作する匿名交渉サービスを利用する形態となる。以下、前者の形態のように、匿名交渉管理装置10及びユーザ装置20Aがそれぞれ匿名交渉用の機能を備えた形態を例に挙げて説明する。
【0059】
ここで、匿名交渉管理装置10は、管理情報記憶部11、初期設定部12、ユーザ登録部13、匿名性解除部14、交渉内容記憶部15、メッセージ交換部16及びログイン情報記憶部17を備えている。なお、本明細書では、匿名交渉管理装置10がグループ管理者GM及び追跡機関EMの機能を備えているが、これに限らず、匿名交渉管理装置10を分割し、第1の匿名交渉管理装置がグループ管理者GMの機能(各部11〜13,15〜17)を備え、第2の匿名交渉管理装置が追跡機関EMの機能(匿名性解除部14)を備えた構成に変形してもよい。
【0060】
管理情報記憶部11は、初期設定部12、ユーザ登録部13及び匿名性解除部14から読出/書込可能なメモリであり、図2に示すように、グループ管理情報、秘密管理情報、メンバリストを記憶している。
【0061】
グループ管理情報は、グループ公開鍵(PG,PE)、グループ秘密鍵(SG,SE)からなる。
【0062】
秘密管理情報(ユーザのグループ署名関連情報)は、ユーザごとのメンバID、メンバ公開鍵PA及びメンバ証明書σAからなる。
【0063】
メンバリストは、メンバID、メンバID毎のメンバの個人情報、メンバ公開鍵PA及びデジタル署名SigSA(PA)からなるリストである。メンバの個人情報は、例えば、氏名、住所、年齢、性別、電子メールアドレス、電話番号などが含まれる。また、メンバリストが各ユーザの個人情報とメンバ公開鍵PAとを含み、秘密管理情報がメンバ公開鍵PAとメンバ証明書σAとを含むことから、管理情報記憶部11において、各ユーザの個人情報とグループ署名関連情報とが関連付けられて記憶されている。
【0064】
初期設定部12は、システム立ち上げ時に1回だけ使用され、グループ公開鍵・秘密鍵のペア(PG,SG)、(PE,SE)を生成する機能と、これらの鍵ペアから構成されるグループ管理情報を管理情報記憶部11に書き込む機能とを含む初期設定機能を有する。
【0065】
ユーザ登録部13は、メンバとなるユーザからの登録申請に基づき当該ユーザが匿名交渉サービスを受けられるか否かを認証・審査する機能と、ユーザから暗号化通信路などの安全な手段によりメンバの個人情報、メンバ公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)を受領する機能と、受領の後、グループ秘密鍵SGによりメンバ公開鍵PAに署名処理を施してメンバ証明書σA=SigSG(PA)を生成する機能と、ユーザのメンバID、メンバ公開鍵及び証明書の組(IDA, PA, σA)からなる秘密管理情報を管理情報記憶部11の秘密管理情報記憶領域に書き込むとともに、メンバ個人情報、メンバ公開鍵PA、デジタル署名SigSA(PA)を管理情報記憶部11のメンバリスト記憶領域に書き込み、メンバ証明書σAをユーザ装置20Aに送信する機能とをもっている。
【0066】
なお、メンバの認証・審査、暗号化通信の手段については、ここでは限定しないが、例えば、メンバに郵送などの手段で通知した一時パスワードを利用しメンバの認証を行った上で、SSLなどの通信路上で情報を受け渡す方法が考えられる。
【0067】
匿名性解除部14は、メンバから匿名性解除要求を受けて、交渉者の匿名性解除を行うものである。具体的には、匿名性解除部14は、ユーザ装置20Aからグループ署名の一部c(=EPE(PA)又はEPE(σA))及び匿名性解除要求を受けると、追跡機能により当該グループ署名の一部cを復号して得られたグループ署名関連情報(PA又はσA)から管理情報記憶部11内の対応する個人情報を特定し、この個人情報をユーザ装置20Aに出力する機能をもっている。ここで、cの復号は、管理情報記憶部11内の追跡機関EMの秘密鍵SEに基づいて実行可能となっている。また、匿名性解除部14は、交渉者に不正が認められた場合にも、同様にして匿名性を解除する。
【0068】
交渉内容記憶部15は、メッセージ交換部16から読出/書込可能なメモリであり、メッセージ交換部16により交換されるメッセージを記憶するための領域を提供する。具体的には、交渉内容記憶部15は、図3に示すように、メッセージ毎に、交渉用ボックス番号(=交渉ID)、送信者(のユーザID)、宛先(のユーザID)、暗号化電子署名付メッセージから構成される。換言すると、交渉内容記憶部15は、交渉IDと、各ユーザのユーザID(A,B)と、いずれかのユーザ装置20A,20Bの電子署名SigS_{AtoB}(m),SigS_{BtoA}(m)が付与されたメッセージmからなる電子署名付メッセージm‖SigS_{AtoB}(m),m‖SigS_{BtoA}(m)が暗号化されてなる暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))とを関連付けて記憶するためのメモリ領域である。なお、交渉用ボックス番号は、交渉者間同士でメッセージをやり取りするために匿名交渉管理装置10上に設ける領域のID(=交渉ID)である。メッセージを交換したいユーザは、この交渉IDを指定して匿名交渉管理装置10にアクセスすることにより、メッセージの交換が可能となる。また、E P(m)の表現は、公開鍵Pによるメッセージmの暗号化を意味する。
【0069】
メッセージ交換部16は、匿名交渉管理装置10経由で交渉メッセージの交換を行う場合、メンバのメッセージ交換を媒介するものである。具体的には、メッセージ交換部16は、各ユーザ装置20A,20Bからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を閲覧可能及び書込可能とするように、当該各ユーザ装置20A,20Bからのアクセスを制御するアクセス制御機能と、認証結果が正当のときのユーザ装置20A,20Bから受けた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))、交渉ID及び各ユーザIDを交渉内容記憶部15に書き込むメッセージ書込機能と、をもっている。
【0070】
ログイン情報記憶部17は、メッセージ交換部16から読出可能なメモリであり、図4に示すように、予め各ユーザのユーザID及びパスワードからなるログイン情報を記憶している。
【0071】
一方、ユーザ装置20A,20Bは、ユーザ情報記憶部21、ユーザ登録申請部22、交渉履歴記憶部23、交渉鍵交換部24、メッセージ交換部25、交渉管理部26及びユーザ入出力部27を備えている。前述した通り、以下の説明はユーザ装置20Aを代表例に挙げて述べるが、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σA等の添字AをBに読み替えることにより、ユーザ装置20Bの説明に読み替えられる。
【0072】
ユーザ情報記憶部21は、各部22,24〜27から読出/書込可能なメモリであり、図5に示すように、グループ公開鍵(PG,PE)、生成元g、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σAを記憶する。これらグループ公開鍵(PG,PE)、生成元g、メンバ公開鍵PA、メンバ秘密鍵SA及びメンバ証明書σAは、ユーザのグループ署名関連情報ともいう。
【0073】
ユーザ登録申請部22は、メンバが匿名交渉システムを利用したい場合に、匿名交渉管理装置10に公開されたグループ公開鍵(PG,PE)及び生成元g(図示せず)をユーザ情報記憶部21に記憶し、生成元gに基づいて自身の公開鍵と秘密鍵のペア(PA,SA)を生成して当該鍵ペア(PA,SA)をユーザ情報記憶部21に記憶し、メンバ公開鍵PAに対するデジタル署名SigSA(PA)、メンバ公開鍵PAとメンバ秘密鍵SAが正しく作成されていることの知識の署名を匿名交渉管理装置10に送って匿名交渉管理装置10に登録申請を行うものである。登録申請が受理された場合、匿名交渉管理装置10により発行されたメンバ証明書σA=SigSG(PA)をユーザ情報記憶部21に記憶する。
【0074】
交渉履歴記憶部23は、交渉管理部26及びメッセージ交換部25から読出/書込可能なメモリであり、図6に示すように、交渉鍵関連情報及びメッセージ履歴を記憶する。交渉鍵関連情報は、交渉IDと、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})と、交渉相手交渉公開鍵P_{BtoA}と、交渉相手グループ署名(SPKσ,x、c、SPKC)とを関連付けた情報である。但し、交渉相手グループ署名は、交渉中は不要であることから交渉鍵関連情報に含めずに、別途、交渉IDに関連付けて記憶するようにしてもよい。メッセージ履歴は、交渉IDと、同一交渉IDに対する連番(連続番号)と、メッセージmとを関連付けた情報である。
【0075】
交渉鍵交換部24は、メンバA,B間での交渉に先立ち、交渉に使用するための交渉公開鍵ペア(P_{AtoB}, S_{AtoB})を生成し、交渉公開鍵P_{AtoB}と交渉IDとにグループ署名(SPKσ,x、c、SPKC)を付与し、グループ署名を付与した交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bとの間で交換し、当該交換により得た交渉公開鍵P_{BtoA}及び交渉IDに付与されたグループ署名(SPKσ,x、c、SPKC)を検証し、検証結果が正当であれば、交渉鍵(P_{AtoB}, S_{AtoB}),P_{BtoA}及び交渉IDを交渉履歴記憶部23に書き込むものである。具体的には、交渉鍵交換部24は、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する交渉鍵生成機能と、交渉鍵生成機能により生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bに送信する交渉鍵送信機能と、この交渉相手のユーザ装置20Bから交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された交渉相手交渉公開鍵P_{BtoA}及び交渉IDを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵P_{BtoA}と、生成した自身交渉鍵ペア(P_{AtoB}, S_{AtoB})とを関連付けて交渉履歴記憶部23に書き込む交渉鍵書込機能とをもっている。
【0076】
ここで、交渉鍵ペアは、公開鍵暗号方式で互いに対応する公開鍵と秘密鍵からなり、交渉ID毎に生成される。ユーザ装置20Aが生成した交渉公開鍵P_{AtoB}及び交渉秘密鍵S_{AtoB}からなる交渉公開鍵ペア(P_{AtoB}, S_{AtoB})は、ユーザ装置20Aにおいては自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})であり、ユーザ装置20Bにおいては交渉相手交渉公開鍵P_{AtoB}及び交渉相手交渉秘密鍵S_{AtoB}からなる交渉相手交渉鍵ペア(P_{AtoB}, S_{AtoB})である。同様に、ユーザ装置20Bが生成した交渉公開鍵及び交渉秘密鍵からなる交渉公開鍵ペア(P_{BtoA}, S_{BtoA})は、ユーザ装置20Bにおいては自身交渉公開鍵P_{BtoA}及び自身交渉秘密鍵S_{BtoA}からなる自身交渉鍵ペア(P_{BtoA}, S_{BtoA})であり、ユーザ装置20Aにおいては交渉相手交渉公開鍵P_{BtoA}及び交渉相手交渉秘密鍵S_{BtoA}からなる交渉相手交渉鍵ペア(P_{BtoA}, S_{BtoA})である。
【0077】
また、交渉IDは、交渉相手のメッセージ交換に使用する情報であり、ここでは匿名交渉管理装置10上の交渉用ボックス番号の値を用いているが、この値には限定されない。例えば、匿名交渉管理装置10を経由しないメッセージ交換の場合には、メッセージ交換に使用する情報として、電子メールアドレスを用いることが可能である。
【0078】
また、交渉鍵送信機能は、例えば、Webアプリケーションにおけるフォームのデータをget又はpostの方法を用いて送信する形態、又は電子メールを用いて送信する形態といった任意の形態が適用可能となっている。
【0079】
メッセージ交換部25は、交渉相手との交渉メッセージの交換を行うものであり、交渉内容は、交渉履歴記憶部23に記憶される。
【0080】
具体的には、メッセージ交換部25は、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信するログイン情報送信機能と、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する電子署名付与機能と、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉内容記憶部15に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10に送信するメッセージ送信機能と、匿名交渉管理装置10から閲覧した暗号化電子署名付メッセージE P_{AtoB}(m‖SigS_{BtoA}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{AtoB}に基づいて復号するメッセージ復号機能と、復号により得られた電子署名付メッセージ(m‖SigS_{BtoA}(m))の電子署名SigS_{BtoA}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{BtoA}に基づいて検証する電子署名検証機能と、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{BtoA}(m))のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0081】
交渉管理部26は、交渉鍵交換部24及びメッセージ交換部25による交渉を制御するものであり、例えば、交渉鍵交換部24又はメッセージ交換部25によるいずれかの検証結果が不当のとき、交渉を打ち切る機能と、交渉相手の個人情報を特定したい場合、当該交渉相手のユーザ装置20Bから受けたグループ署名と共に匿名性解除要求を匿名交渉管理装置に送信する解除要求送信機能とをもっている。ここで、交渉相手の個人情報を特定したい場合としては、例えば、「メッセージ交換部25による検証結果が不当のとき」が該当し、交渉内容にもよるが、「交渉が成立したとき」が更に該当する場合もある。
【0082】
ユーザ入出力部27は、ユーザに対する入出力I/F(インタフェース)であり、例えば、ユーザ操作に基づき、新たなメッセージ等のデータ又は匿名性解除要求の送信命令等の命令をユーザ装置20Aに入力する機能と、各部から受けたメッセージ等のデータを表示出力する機能とをもっている。
【0083】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。この説明においては、「システム立ち上げ」、「ユーザ登録」、「交渉」、「交渉成立」及び「交渉決裂」といった利用フェーズ毎に処理内容を述べる。
【0084】
(システム立ち上げ)
このフェーズにおいては、匿名交渉管理装置10が、以後のシステム運用で必要な情報を管理情報記憶部11に設定する。具体的には、初期設定部12がグループ管理情報(グループ公開鍵(PE,PE)、グループ秘密鍵(SG,SE))を生成し、これらグループ管理情報を管理情報記憶部11に書き込む。
【0085】
(ユーザ登録)
ユーザがシステムの利用を開始するには、匿名交渉管理装置10にメンバ登録をする必要がある。これを行うのがこのフェーズである。
【0086】
まず、メンバAとなるユーザのユーザ装置20Aにおいては、ユーザ登録申請部22により、申請に必要な情報を作成する。
【0087】
具体的には、ユーザ登録申請部22は、生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PA,SA)を生成する。
【0088】
PA=gSA
次に、ユーザ登録申請部22は、秘密鍵SAにより公開鍵PAに署名処理を施し、デジタル署名Sig SA(PA)を得る。ユーザ登録申請部22は、鍵ペア(PA,SA)が正しく生成された旨(述語)の次のような知識署名SPKを生成する。但し、初期設定なので、ここではメッセージmは存在しない。
【0089】
SPK{(α)|PA=gα }(m)=SPK{(SA)|PA=gSA}(m)
この知識署名SPKは、e=H(g‖PA ‖gvPAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k ,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k) に基づいて、u=grを計算し、e=H(g‖PA ‖u‖m)とし、v=r−eSAを整数上で求める。
【0090】
しかる後、ユーザ登録申請部22は、登録申請を行うユーザが真のユーザであることの確認を要求するユーザ認証要求を匿名交渉管理装置10に送信する。但し、ユーザ認証の手法はここでは特に定めない。具体的な手法は、例えば、あらかじめ郵送などにより配付しておいたユーザ登録用パスワードを用いて認証を行うなどの方法が適用可能となっている。いずれにしても、匿名交渉管理装置10は、図7に示すように、ユーザ認証を実行し(ST1)、認証結果をユーザ装置20Aのユーザ登録申請部22に送信する。
【0091】
認証結果が正当のとき、ユーザ登録申請部22は、公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)と登録に必要な個人情報を含む登録申請を匿名交渉管理装置10に送信する(ST2)。
【0092】
匿名交渉管理装置10においては、この登録申請を受けると、ユーザ登録部13が管理情報記憶部11を参照して以下の処理を行う。まず、ユーザ登録部13は、申請情報の審査を行い、これによりユーザがシステム利用可能と認められれば、公開鍵PAによりデジタル署名SigSA (PA)を検証し、公開鍵PA及び生成元gにより知識署名(e,v)を検証する(ST3)。なお、知識署名の検証は、e=H(g‖PA ‖gvPAe‖m)に基づいて行う。
【0093】
両者の検証により正当性を確認すると、ユーザ登録部13は、グループ管理者GMの秘密鍵SGにより、ユーザの公開鍵PAに署名処理を施してメンバ証明書σA=SigSG (PA)を作成する(ST4)。
【0094】
しかる後、ユーザ登録部13は、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)を管理情報記憶部11の秘密管理情報領域に秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PA,SigSA(PA))を管理情報記憶部11のメンバリスト領域に追加する。
【0095】
これにより、ユーザはメンバとして登録される(ST5)。
【0096】
ステップST5の完了後、ユーザ登録部13は、ステップST4で得られたメンバ証明書σA=SigSG (PA)をユーザ装置20Aに返信する(ST6)。
【0097】
ユーザ装置20Aにおいては、ユーザ登録申請部22が、匿名交渉管理装置10から受信したメンバ証明書σAをユーザ情報記憶部21に記憶する。
【0098】
(メッセージ閲覧による交渉)
メンバA,Bのユーザ間で匿名交渉したい事案が発生した場合、以下のように匿名交渉を実行する。
【0099】
始めに、ユーザ装置20Aにおいては、図8に示すように、交渉鍵交換部24により、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する(ST11)。
【0100】
続いて、ユーザ装置20Aは、交渉鍵交換部24により、生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bに送信する(ST12)。
【0101】
具体的には、署名者としてのメンバAのユーザ装置20Aは、交渉鍵交換部24により、次のように、メッセージm=P_{AtoB}‖交渉IDに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0102】
SPK σ,x =SPK{(α,β)|VerifyPG(f(α),β)=1}(m)
=SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAのユーザ装置20Aは、交渉鍵交換部24により、次のように、メッセージm=P_{AtoB}‖交渉IDに対し、公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0103】
SPKc =SPK{(α,β)|VerifyPE(f(α),β)=1}(m)
=SPK{(x,c)|VerifyPE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^PE ‖m)、v2=r−e2(x+c)
しかる後、メンバAのユーザ装置20Aは、交渉鍵交換部24により、メッセージm=P_{AtoB}‖交渉IDと共に、各データ(SPKσ,x、c、SPKC)からなるグループ署名をメンバBのユーザ装置20Bに送信する。なお、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。
【0104】
メンバBのユーザ装置20Bも同様にして交渉公開鍵ペア(P_{BtoA}, S_{BtoA})を生成し(ST13)、交渉公開鍵P_{BtoA}‖交渉IDをグループ署名(SPKσ,x、c、SPKC)と共にメンバAのユーザ装置20Aに送信し(ST14)、交渉秘密鍵S_{BtoA}を秘密裏に管理する。
【0105】
メンバAのユーザ装置20Aは、交渉鍵交換部24により、メンバBのユーザ装置20Bから受けた交渉公開鍵P_{BtoA}‖交渉ID及びグループ署名(SPKσ,x、c、SPKC)を検証することでメンバAが匿名交渉管理装置10に登録されたメンバであることを確認できる。メンバBも同様にしてメンバAが匿名交渉管理装置10に登録されたメンバであることを確認できる。これらの確認により、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0106】
ステップST11〜ST14に示すように、メンバAとメンバBが交渉公開鍵及び交渉IDを共有できたので、以後、この交渉公開鍵を用いてメッセージ(交渉内容)の署名付与、暗号化を行い、匿名交渉管理装置10を経由してメッセージ(交渉内容)を交換する(ST15)。
【0107】
具体的には、メンバAのユーザ装置20Aにおいては、メッセージ交換部25が、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信する。
【0108】
匿名交渉管理装置10においては、メッセージ交換部16が、ユーザ装置20Aからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20Aからのアクセスを制御する。
【0109】
続いて、ユーザ装置20Aにおいては、メッセージ交換部25が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する。
【0110】
また、ユーザ装置20Aにおいては、メッセージ交換部25が、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉内容記憶部15に書き込むように、当該暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))、交渉ID及び各ユーザIDを匿名交渉管理装置10に送信する(ST15−1)。なお、E P(m)の表現は、公開鍵Pによるメッセージmの暗号化を意味する。
【0111】
匿名交渉管理装置10においては、メッセージ交換部16が、認証結果が正当のときのユーザ装置20Aから受けた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))、交渉ID及び各ユーザIDを交渉内容記憶部15に書き込む。
【0112】
次に、メンバBのユーザ装置20Bにおいては、メッセージ交換部25が、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信する。
【0113】
匿名交渉管理装置10においては、メッセージ交換部16が、ユーザ装置20Bからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20Bからのアクセスを制御する。すなわち、匿名交渉管理装置10にアクセスしたユーザは、アクセス時の認証により自身に関連する交渉ID(交渉用ボックス番号)に関連したメッセージのみ閲覧できるようアクセス制御が行われる。
【0114】
ユーザ装置20Bにおいては、メッセージ交換部25が、交渉IDに応じて匿名交渉管理装置10から暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を閲覧し(ST15−2)、当該閲覧した暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{BtoA}に基づいて復号する。
【0115】
また、ユーザ装置20Bにおいては、メッセージ交換部25が、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{AtoB}に基づいて検証する。
【0116】
ユーザ装置20Bにおいては、メッセージ交換部25が、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0117】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15−3〜ST15−4)。
【0118】
また、ステップST15の匿名交渉中、ユーザ装置20Aにおいては、交渉相手の電子署名SigS_{BtoA}(m)の検証結果が不当のときには、不正な交渉相手とみなし、匿名性を解除することなく直ちに交渉を打ち切るか、あるいは匿名性を解除し交渉を打ち切る。いずれを選択するかは交渉内容に依存する。
【0119】
匿名性を解除する必要がある場合には、交渉管理部26により、当該交渉相手のユーザ装置20Bから受けたグループ署名の一部のデータcと共に匿名性解除要求を匿名交渉管理装置10に送信する。匿名交渉管理装置10においては、匿名性解除部14が、ユーザ装置20Aからグループ署名の一部c(=EPE(PA)又はEPE(σA))及び匿名性解除要求を受けると、追跡機能により、管理情報記憶部11内の追跡機関EMの秘密鍵SEに基づいて当該グループ署名の一部cを復号する。また、匿名解除部14は、復号して得られたグループ署名関連情報(PA又はσA)から管理情報記憶部11内の対応する個人情報を特定し、この個人情報をユーザ装置20Aに送信する。
【0120】
(交渉成立処理)
以上の通り、交渉メッセージの交換を行い、交渉が成立した場合には、互いの匿名性を解除するために交渉者両者からの申請に基づき、匿名交渉管理装置10は匿名性を解除する。
【0121】
匿名性を解除したい各メンバA,Bのユーザ装置20A,20Bは、交渉相手のメンバB,Aのユーザ装置20B,20Aから受領したcを匿名交渉管理装置10に送信する。
【0122】
匿名交渉管理装置10においては、ユーザ装置20Aから受けた値c(=EPE(PB))、ユーザ装置20Bから受けた値c(=EPE(PA))を秘密鍵SEにより復号し、得られた公開鍵PA、PBからメンバリストを参照し交渉を行ったメンバを特定し、この特定したメンバと請求を受けたメンバが一致した場合にメンバ個人情報を各ユーザ装置20A,20Bに回答する。
【0123】
但し、交渉が成立した場合にも、必ずしも交渉者間で身分を明かす必要はなく、身分を明かすか否かは交渉内容に依存する。
【0124】
また、交渉が不成立の場合には、匿名性を解除することなくそのまま交渉を終了しても良いし、匿名性を解除し交渉者の身分を明かしても良い。これもいずれを選択するかは交渉内容に依存する。
【0125】
なお、新たな交渉を行う場合には、新たにメンバ間で交渉鍵を生成しそれを共有することで、同様に交渉を行う。新たに交渉鍵を生成することで、交渉間の独立性を保つことができる。
【0126】
以上の構成により、匿名交渉を実現することができる。また、交渉の都度、交渉鍵を発行することで、同一人物が2つの異なる交渉に関わった場合に、それが同一人物のものであることを特定できない「非結合性」を満たすことができる。また、単一交渉内の一連のメッセージについては同じ交渉鍵を用いることで同一人物のものであることが特定できる「部分非結合性」も満たす。更に、匿名交渉管理装置10のみがユーザを特定できる「追跡性」を有する。
【0127】
(交渉決裂)
交渉が決裂した場合には、匿名性を解除する必要がないため、ユーザ装置20A,20B及び匿名交渉管理装置10は特に何も行わず交渉を打ち切る。
【0128】
上述したように本実施形態によれば、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。例えば、匿名での身分保証を行うグループ署名の技術を利用し、ユーザは匿名交渉管理装置10が発行したグループメンバ鍵を用いてメッセージを交換する。これにより、双方向で匿名の交渉相手を信用することができる。また、交渉が成立した場合、あるいはユーザが不正をした場合には、匿名交渉管理装置10はユーザ間で交換したグループ署名からユーザの身分を明かすことができる。また、ユーザ間の匿名交渉において、交換したメッセージの公証性を担保することができる。
【0129】
これに加え、交渉ID毎に、それぞれ交渉鍵ペア(P_{AtoB}, S_{AtoB}),(P_{BtoA}, S_{BtoA})を生成し、これら交渉鍵ペアによる暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を交換する構成により、交渉ID毎の交渉鍵ペアに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0130】
<第2の実施形態>
図9は本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0131】
本実施形態は、第1の実施形態の変形例であり、利便性の向上を図る観点から、匿名交渉管理装置10’を経由せずに、ユーザ装置20A’,20B’間で電子メールによりメッセージを交換するものである。なお、電子メールアドレスは、自由に取得可能であるため、交渉相手に知られたとしても匿名性を解除したことにはならないとする。あるいは、一次利用用の電子メールアドレスを交渉相手に知らせる等してもよい。
【0132】
ここで、匿名交渉管理装置10’は、図1に示した匿名交渉管理装置10に比べ、交渉内容記憶部15、メッセージ交換部16及びログイン情報記憶部17が省略されている。
【0133】
ユーザ装置20A’は、図1に示したユーザ装置20Aに比べ、メッセージ交換部25に代えて、電子メールを用いるメッセージ交換部25’を備えている。なお、交渉鍵交換部24も電子メールを用いて交渉鍵等を交換している。
【0134】
すなわち、交渉鍵交換部24は、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する交渉鍵生成機能と、交渉鍵生成機能により生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを含む電子メールを交渉相手のユーザ装置20B’に送信する交渉鍵送信機能と、この交渉相手のユーザ装置20B’から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された交渉相手交渉公開鍵P_{BtoA}及び交渉IDを含む電子メールを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵P_{BtoA}と、生成した自身交渉鍵ペア(P_{AtoB}, S_{AtoB})とを関連付けて交渉履歴記憶部23に書き込む交渉鍵書込機能とをもっている。
【0135】
また、メッセージ交換部25’は、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージを生成する電子署名付与機能と、生成した電子署名付メッセージ(m‖SigS_{AtoB}(m))を交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を含む電子メールを交渉相手のユーザ装置20B’に送信するメッセージ送信機能と、交渉相手のユーザ装置20B’から受信した電子メール内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{AtoB}に基づいて復号するメッセージ復号機能と、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{BtoA}に基づいて検証する電子署名検証機能と、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0136】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0137】
(電子メールによる交渉)
ステップST11〜ST14の動作は、図10に示すように、第1の実施形態と同様に実行される。但し、本実施形態では、ステップST11〜ST14で送受信する形態を電子メールとする。このため、ユーザ装置20A’は、交渉を開始する前に、任意の方法でユーザ装置20B’の電子メールアドレスを取得する。ユーザ装置20B’は、ステップST12でユーザ装置20A’から送信された電子メールを受信することにより、当該電子メールからユーザ装置20A’の電子メールアドレスを取得可能となっている。
【0138】
ステップST11〜ST14に示すように、メンバAとメンバBが交渉公開鍵及び交渉IDを共有できたので、以後、この交渉公開鍵を用いてメッセージ(交渉内容)の署名付与、暗号化を行い、電子メールによりメッセージ(交渉内容)を交換する(ST15’)。すなわち、ステップST15’は、第1の実施形態のステップST15とは異なり、電子メールを用いている。
【0139】
具体的には、メンバAのユーザ装置20A’においては、メッセージ交換部25が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する。
【0140】
また、ユーザ装置20A’においては、メッセージ交換部25’が、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を含む電子メールを交渉相手のユーザ装置20B’に送信する(ST15’−1)。
【0141】
一方、ユーザ装置20B’においては、メッセージ交換部25’が、交渉相手のユーザ装置20A’から受信した電子メール内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{BtoA}に基づいて復号する。
【0142】
また、ユーザ装置20B’においては、メッセージ交換部25’が、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{AtoB}に基づいて検証する。
【0143】
ユーザ装置20B’においては、メッセージ交換部25’が、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0144】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15’−2)。
【0145】
以下、ステップST15の匿名交渉中、交渉相手の電子署名SigS_{BtoA}(m)の検証結果が不当のときの動作は、第1の実施形態と同様に実行される。
【0146】
また、「交渉成立」及び「交渉決裂」の動作も第1の実施形態と同様に実行される。
【0147】
上述したように本実施形態によれば、匿名交渉管理装置10’を経由せず、電子メールを用いた構成としても、第1の実施形態と同様の効果を得ることができる。また、電子メールによって暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を交換するので、匿名交渉管理装置10を経由して暗号化電子署名付メッセージを交換する第1の実施形態に比べ、利便性の向上を図ることができる。
【0148】
<第3の実施形態>
図11は本発明の第3の実施形態に係る匿名交渉システムの構成を示す模式図である。
【0149】
本実施形態は、第1の実施形態の変形例であり、前述した交渉公開鍵ペアを省略し、共有乱数を用いてメッセージを交換するものである。
【0150】
ここで、匿名交渉管理装置10”は、図1に示した匿名交渉管理装置10に対し、交渉公開鍵ペアに関する交渉内容記憶部15及びメッセージ交換部16に代えて、共有乱数に関する交渉内容記憶部15”及びメッセージ交換部16”を備えている。
【0151】
ここで、交渉内容記憶部15”は、メッセージ交換部16”から読出/書込可能なメモリであり、メッセージ交換部16”により交換されるメッセージを記憶するための領域を提供する。具体的には、交渉内容記憶部15”は、図12に示すように、メッセージm毎に、交渉用ボックス番号(=交渉ID)、送信者(のユーザID)、宛先(のユーザID)、グループ署名付メッセージm,(SPKσ,x、c、SPKC)から構成される。換言すると、交渉内容記憶部15”は、交渉IDと、各ユーザのユーザIDと、メッセージmとm’=m‖sに対するいずれかのユーザ装置20A”,20B”のグループ署名(SPKσ,x、c、SPKC)からなるグループ署名付メッセージm,(SPKσ,x、c、SPKC)とを関連付けて記憶するためのメモリ領域である。
【0152】
メッセージ交換部16”は、各ユーザ装置20A”,20B”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージm,(SPKσ,x、c、SPKC)を閲覧可能及び書込可能とするように、当該各ユーザ装置20A”,20B”からのアクセスを制御するアクセス制御機能と、認証結果が正当のときのユーザ装置20A”,20B”から受けたグループ署名付メッセージm,(SPKσ,x、c、SPKC)、交渉ID及び各ユーザIDを交渉内容記憶部15”に書き込むメッセージ書込機能と、をもっている。
【0153】
一方、ユーザ装置20A”は、前述したユーザ装置20Aに対し、交渉履歴記憶部23、交渉公開鍵交換部24及びメッセージ交換部25に代えて、交渉履歴記憶部23”、共有乱数交換部28及びメッセージ交換部25”を備えている。
【0154】
交渉履歴記憶部23”は、交渉管理部26及びメッセージ交換部25”から読出/書込可能なメモリであり、図13に示すように、共有乱数関連情報及びメッセージ履歴を記憶する。共有乱数関連情報は、交渉IDと、共有乱数sとを関連付けた情報である。メッセージ履歴は、交渉IDと、同一交渉IDに対する連番(連続番号)と、メッセージmとを関連付けた情報である。
【0155】
共有乱数交換部28は、メンバ間での交渉に先立ち、交渉に使用するための共有乱数sを生成し、共有乱数sと交渉IDとにグループ署名(SPKσ,x、c、SPKC)を付与し、交渉相手となるユーザ装置20B”と乱数交換及び交渉ID交換を行い、交換した共有乱数s及び交渉IDに付与したグループ署名(SPKσ,x、c、SPKC)を検証し、検証結果が正当であれば、共有乱数s及び交渉IDを交渉履歴記憶部23”に書き込むものである。具体的には、共有乱数交換部28は、交渉ID毎に、共有乱数sを生成する乱数生成機能と、乱数生成機能により生成した共有乱数s及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20B”に送信する共有乱数送信機能と、この交渉相手のユーザ装置20B”から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された共有乱数s及び交渉IDを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数sを関連付けて交渉履歴記憶部23”に書き込む共有乱数書込機能とをもっている。
【0156】
ここで、共有乱数送信機能は、例えば、Webアプリケーションにおけるフォームのデータをget又はpostの方法を用いて送信する形態、又は電子メールを用いて送信する形態といった任意の形態が適用可能となっているが、他のメンバに知られることなく交換できることが望ましい。
【0157】
メッセージ交換部25”は、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信するログイン情報送信機能と、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する共有乱数付与機能と、生成した共有乱数付メッセージm’に対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する機能と、このグループ署名付メッセージを交渉内容記憶部15”に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10”に送信するメッセージ送信機能と、匿名交渉管理装置10”から閲覧したグループ署名付メッセージm,(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証するグループ署名検証機能と、検証結果が正当のとき、閲覧したグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0158】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0159】
(メッセージ閲覧による交渉)
メンバA,Bのユーザ間で匿名交渉したい事案が発生した場合、以下のように匿名交渉を実行する。
【0160】
始めに、ユーザ装置20A”においては、図14に示すように、共有乱数交換部28により、交渉ID毎に、共有乱数sを生成する(ST21)。
【0161】
続いて、ユーザ装置20A”は、生成した共有乱数s及び交渉IDに対し、前述同様に、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20B”に送信する(ST22)。
【0162】
ユーザ装置20B”においては、共有乱数交換部28が、このグループ署名が付与された共有乱数s及び交渉IDを受けると(ST23)、この共有乱数s及び交渉IDに対し、同様にユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20A”に返信する(ST24)。
【0163】
メンバAのユーザ装置20A”は、メンバBのユーザ装置20B”から受けた交渉公開鍵P_{BtoA}‖交渉ID及びグループ署名(SPKσ,x、c、SPKC)を検証することでメンバBが匿名交渉管理装置10”に登録されたメンバであることを確認できる。メンバBも同様にしてメンバAが匿名交渉管理装置10”に登録されたメンバであることを確認できる。これらの確認により、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0164】
ステップST21〜ST24に示すように、メンバAとメンバBが共有乱数s及び交渉IDを共有できたので、以後、この共有乱数sを付与したメッセージ(交渉内容)m’=m‖sにグループ署名(SPKσ,x、c、SPKC)を付与し、匿名交渉管理装置10”を経由してメッセージ(交渉内容)を交換する(ST25)。
【0165】
具体的には、メンバAのユーザ装置20A”においては、メッセージ交換部25”が、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信する。
【0166】
匿名交渉管理装置10”においては、メッセージ交換部16”が、ユーザ装置20A”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20A”からのアクセスを制御する。
【0167】
続いて、ユーザ装置20A”においては、メッセージ交換部25”が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付加した共有乱数付メッセージm’=m‖sに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名を生成する。
【0168】
具体的には前述同様に、共有乱数付メッセージm’=m‖sに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0169】
SPK σ,x =SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m’)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m’)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、共有乱数付メッセージm’=m‖sに対し、メンバ公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0170】
SPKc =SPK{(x,c)|VerifyPE(f(x),c)=1}(m’)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^ PE ‖m’)、v2=r−e2(x+c)
このように得られた各データ(SPKσ,x、c、SPKC)がグループ署名である。但し、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。
【0171】
ユーザ装置20A”においては、メッセージ交換部25”が、メッセージmに対し、このグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する。
【0172】
また、ユーザ装置20A”においては、メッセージ交換部25”が、生成したグループ署名付メッセージを交渉内容記憶部15”に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10”に送信する(ST25−1)。
【0173】
匿名交渉管理装置10”においては、メッセージ交換部16”が、認証結果が正当のときのユーザ装置20A”から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを交渉内容記憶部15”に書き込む。
【0174】
次に、メンバBのユーザ装置20B”においては、メッセージ交換部25”が、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信する。
【0175】
匿名交渉管理装置10”においては、メッセージ交換部16”が、ユーザ装置20B”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20B”からのアクセスを制御する。
【0176】
ユーザ装置20B”においては、メッセージ交換部25”が、交渉IDに応じて匿名交渉管理装置10”からグループ署名付メッセージm,(SPKσ,x、c、SPKC)を閲覧し(ST25−2)、当該閲覧したグループ署名付メッセージをユーザ情報記憶部21内のグループ署名関連情報と交渉履歴記憶部23”内の共有乱数sに基づいて検証する。
【0177】
ユーザ装置20B”においては、メッセージ交換部25”が、検証結果が正当のとき、閲覧により得られたグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0178】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST25−3〜ST25−4)。
【0179】
メンバAは、メンバBより受領したメッセージmと共有乱数付メッセージm’=m‖sに対するグループ署名(SPKσ,x、c、SPKC)を検証することでメンバAが匿名交渉管理装置10”に登録されたメンバであり、なおかつ当該交渉のみに利用される共有乱数sを知っていることが確認できる。
【0180】
メンバBも同様にしてメンバAが匿名交渉管理装置10”に登録されたメンバであり、なおかつ当該交渉のみに利用される共有乱数sを知っていることを確認できる。
【0181】
交渉相手が匿名交渉管理装置10”に登録されたメンバであることを確認できたことで、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0182】
以下、ステップST25の匿名交渉中、交渉相手のグループ署名の検証結果が不当のときの動作は、第1の実施形態における電子署名の検証結果が不当なときの動作と同様に実行される。
【0183】
(交渉成立)
交渉成立の動作は、第1の実施形態と同様に実行される。また同様に、交渉が成立した場合にも、必ずしも交渉者間で身分を明かす必要は明かす必要はなく、身分を明かすか否かは交渉内容に依存する。
【0184】
以上の構成により、匿名性を有した交渉を行うことが可能である。また、交渉の都度、共有乱数を発行することで、同一人物が2つの異なる交渉に関わった場合に、それが同一人物のものであることを特定できない「非結合性」を満たすことができる。また、単一交渉内の一連のメッセージについては同じ共有乱数を用いることで同一人物のものであることが特定できる「部分非結合性」も満たす。更に、匿名交渉管理装置10”のみがユーザを特定できる「追跡性」を有する。
【0185】
(交渉決裂)
交渉が決裂した場合には、匿名性を解除する必要がないため、そのまま終了する。システムに状態を登録しても良い。
【0186】
上述したように本実施形態によれば、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。これに加え、交渉ID毎に、共有乱数sを生成し、この共有乱数sを付与したメッセージmを含むグループ署名付メッセージm,(SPKσ,x、c、SPKC)を交換する構成により、交渉ID毎の共有乱数sに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0187】
すなわち、本実施形態によれば、交渉公開鍵ペアを用いず、共有乱数を用いた構成としても、第1の実施形態と同様の効果を得ることができる。
【0188】
<第4の実施形態>
図15は本発明の第4の実施形態に係る匿名交渉システムの構成を示す模式図である。
【0189】
本実施形態は、第3の実施形態の変形例であり、利便性の向上を図る観点から、匿名交渉管理装置10”’を経由せずに、ユーザ装置20A”’,20B”’間で電子メールによりメッセージを交換するものである。
【0190】
ここで、匿名交渉管理装置10”’は、図11に示した匿名交渉管理装置10”に比べ、交渉内容記憶部15”、メッセージ交換部16”及びログイン情報記憶部17が省略されている。
【0191】
ユーザ装置20A”’は、図11に示したユーザ装置20A”に比べ、メッセージ交換部25”に代えて、電子メールを用いるメッセージ交換部25”’を備えている。なお、共有乱数交換部28も電子メールを用いて共有乱数等を交換している。
【0192】
すなわち、共有乱数交換部28は、交渉ID毎に、共有乱数sを生成する乱数生成機能と、乱数生成機能により生成した共有乱数s及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを含む電子メールを交渉相手のユーザ装置20B”’に送信する共有乱数送信機能と、この交渉相手のユーザ装置20B”’から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された共有乱数s及び交渉IDを含む電子メールを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数sを関連付けて交渉履歴記憶部23”に書き込む共有乱数書込機能とをもっている。
【0193】
また、メッセージ交換部25”’は、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する共有乱数付与機能と、生成した共有乱数付メッセージm’に対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する機能と、このグループ署名付メッセージを含む電子メールを交渉相手のユーザ装置20B”’に送信するメッセージ送信機能と、交渉相手のユーザ装置20B”’から受信した電子メール内のグループ署名付メッセージm,(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証するグループ署名検証機能と、検証結果が正当のとき、受信したグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0194】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0195】
(電子メールによる交渉)
ステップST21〜ST24の動作は、図16に示すように、第3の実施形態と同様に実行される。但し、本実施形態では、ステップST21〜ST24で送受信する形態を電子メールとする。このため、ユーザ装置20A”’は、交渉を開始する前に、任意の方法でユーザ装置20B”’の電子メールアドレスを取得する。ユーザ装置20B”’は、ステップST22でユーザ装置20A”’から送信された電子メールを受信することにより、当該電子メールからユーザ装置20A”’の電子メールアドレスを取得可能となっている。
【0196】
ステップST21〜ST24に示すように、メンバAとメンバBが共有乱数及び交渉IDを共有できたので、以後、この共有乱数を用いてメッセージ(交渉内容)にグループ署名を付与し、電子メールによりメッセージ(交渉内容)を交換する(ST25’)。すなわち、ステップST25’は、第3の実施形態のステップST25とは異なり、電子メールを用いている。
【0197】
具体的には、メンバAのユーザ装置20A”’においては、メッセージ交換部25”’が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する。
【0198】
また、ユーザ装置20A”’においては、メッセージ交換部25”’が、生成した共有乱数付メッセージに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する。
【0199】
しかる後、ユーザ装置20A”’においては、メッセージ交換部25”’が、生成したグループ署名付メッセージを含む電子メールを交渉相手のユーザ装置20B”’に送信する(ST25’−1)。
【0200】
一方、ユーザ装置20B”’においては、メッセージ交換部25”’が、交渉相手のユーザ装置20A”’から受信した電子メール内のグループ署名付メッセージをユーザ情報記憶部21内のグループ署名関連情報に基づいて検証する。
【0201】
ユーザ装置20B”’においては、メッセージ交換部25”’が、検証結果が正当のとき、受信したグループ署名付メッセージのメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0202】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15’−2)。
【0203】
以下、ステップST25の匿名交渉中、交渉相手のグループ署名の検証結果が不当のときの動作は、第1の実施形態と同様に実行される。
【0204】
また、「交渉成立」及び「交渉決裂」の動作も第1の実施形態と同様に実行される。
【0205】
上述したように本実施形態によれば、匿名交渉管理装置10を経由せず、電子メールを用いた構成としても、第3の実施形態と同様の効果を得ることができる。また、電子メールによってグループ署名付メッセージm,(SPKσ,x、c、SPKC)を交換するので、匿名交渉管理装置10を経由してグループ署名付メッセージを交換する第3の実施形態に比べ、利便性の向上を図ることができる。
【0206】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0207】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0208】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0209】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0210】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0211】
なお、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0212】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0213】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【符号の説明】
【0214】
10,10’…匿名交渉管理装置、11…管理情報記憶部、12…初期設定部、13…ユーザ登録部、14…匿名性解除部、15,15”…交渉内容記憶部、16,16”…メッセージ交換部、17…ログイン情報記憶部、20A,20A’,20A”,20A”’,20B,20B’,20B”,20B”’…ユーザ装置、21…ユーザ情報記憶部、22…ユーザ登録申請部、23,23”…交渉履歴記憶部、24…交渉鍵交換部、25,25’,25”,25”’…メッセージ交換部、26…交渉管理部、27…ユーザ入出力部、28…共有乱数交換部。
【技術分野】
【0001】
本発明は、ユーザ間で互いの身分を明かすことなくメッセージを交換して匿名での交渉を実現し得る匿名交渉システム、方法及びユーザ装置に係り、例えば、グループ署名方式を用いた匿名交渉システム、方法及びユーザ装置に関する。
【背景技術】
【0002】
現在、国や大学などを中心に電子私書箱システムが検討されている。電子私書箱システムは、国民がサービス供給者(政府、自治体、保険者、医療機関等)から提供される自己の情報を入手・閲覧すると共に、一元的に統合・管理・活用するための仕組みである。検討中の枠組みでは、サービス供給者から国民(ユーザ)に情報を配付する役割が中心である。しかしながら、サービス運営者(行政機関)がユーザの身分を保証できることから、電子私書箱システムを個人ユーザ間の交渉に活用することが期待される。
【0003】
例えば、ユーザAとユーザBとによる不動産取引における交渉を考える。ユーザAは、ユーザBに不動産の買い取り条件を提示する。ユーザBは、ユーザAに買い取り条件を受け入れるか、あるいは買い取り条件を良くして欲しい等の要求を送信する。ユーザAは、この要求に基づき、新たな買い取り条件をユーザBに提示する。交渉では、このようにユーザ間で複数のメッセージが交換されて交渉内容が詰められていく。交渉者の各ユーザには、交渉成立まで、あるいは交渉成立後も互いの身分を明かさずに匿名性を保ちたいという要求がある。電子私書箱システムでは、サービス運営者が個人の身分を保証することにより、各ユーザが匿名性を保ちつつ、相手を信用するという二律背反の要求を満たすことが可能となる。すなわち、電子私書箱システムは、匿名性を保った交渉(以下、匿名交渉ともいう)に必要な「匿名での身分保証」という要件を満たしている。また、電子私書箱システムは、交渉内容の改竄や交渉の勝手な打ち切り等の不正があった場合には匿名性を解除するように交渉相手を追跡して特定するという「追跡性」の要件も満たしていると考えられる。
【0004】
このような電子私書箱システムの活用に限らず、ユーザ間で匿名交渉を実現したい場合、いくつかの方法が考えられる。
【0005】
最も簡単な方法としては、全てのメッセージをサーバ経由で交換する方法が挙げられる。この方法においては、例えば、ユーザAからユーザBにメッセージを送る場合、ユーザAが一旦サーバにメッセージを預け、ユーザBがそのメッセージをサーバから受け取る。サーバは、交渉者の対応情報(交渉者がユーザA,Bであるという情報)を管理し、ユーザAには相手がユーザBであることを、ユーザBには相手がユーザAであることを交渉成立まで教えない。このように、サーバ経由でユーザ間の匿名交渉が可能となる。
【0006】
しかしながら、サーバ経由の方法は、メッセージをサーバに預けて交渉相手に送信してもらうため、利便性が低い。また、利便性が低くてもよいとしても、同一人物が2つの異なる交渉に関わった場合に、同一人物の2つの交渉を特定できない「非結合性」の要件と、同一人物の単一交渉内の一連のメッセージを特定できる「部分非結合性」の要件については、サーバの不正や通信路上でのメッセージの改竄も考慮すると厳密には保証できない不都合がある。
【0007】
他の方法としては、サーバを経由せず、全てのメッセージを電子メールで交換する方法が挙げられる。なお、電子メールアドレスは、自由に取得可能であるため、交渉相手に知られても匿名性を失わないことを前提とする。匿名性を保つ電子メールに関しては、インターネット上にリメーラ(remailer)と呼ばれる既存のサービス(以下、「リメーラサービス」という)が知られている。リメーラサービスでは、メールサーバが、送信者の電子メールアドレス、送信サーバ、送信経路などといった送信者に関する情報を電子メールから削除することにより、匿名で電子メールを送信している。
【0008】
しかしながら、リメーラサービスは、「匿名での身分保証」や「追跡性」を実現できない点で匿名交渉には不向きである。
【0009】
また、この出願の発明に関連する先行技術文献情報としては次のものがある。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2006−119771号公報
【特許文献2】特開2007−287104号公報
【特許文献3】特開2008−028983号公報
【非特許文献】
【0011】
【非特許文献1】D. Chaum, E. van Heyst, “Group Signatures”, EUROCRYPT ’91, LNCS 547, Springer-Verlag, pp.257-265, 1991.
【非特許文献2】G. Ateniese, J. Camenisch, M. Jose and G. Tsudik, “A Practical and Provably Secure Coalition-Resistant Group Signature Scheme”, CRYPTO 2000, LNCS 1880, Springer-Verlag, pp.255-270, 2000.
【非特許文献3】宮地充子, 菊池浩明 編著, “情報セキュリティ”, オーム社, ISBN4-274-13284-6, pp.112-114.
【発明の概要】
【発明が解決しようとする課題】
【0012】
以上、説明したように、ユーザ間の匿名交渉を実現したい場合、メッセージをサーバ経由で交換する方法や電子メールで交換する方法のいずれにしても、匿名交渉に必要な要件を満たすようには実現されない。この状況は、公的機関が運営する電子私書箱システム等に限らず、民間が運営する電子私書箱システム等を活用する場合でも同様である。なお、匿名交渉に必要な要件としては、以下の(i)〜(iii)を意味している。
【0013】
(i)第1の要件は、匿名の交渉相手の身分を保証する「匿名での身分保証」である。
【0014】
(ii)第2の要件は、所定の個人情報管理機関のみがユーザを特定できる「追跡性」である。この追跡性により、交渉成立時に匿名性を解除する場合に加え、交渉内容の改竄や交渉の勝手な打ち切り等の不正があった場合にもユーザを特定可能とする。
【0015】
(iii)第3の要件は、同一人物が2つの異なる交渉に関わった場合に、同一人物の2つの交渉を特定できない「非結合性」と、同一人物の単一交渉内の一連のメッセージを特定できる「部分非結合性」とである。
【0016】
本発明は上記実情を考慮してなされたもので、匿名での身分保証、追跡性、非結合性、部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現し得る匿名交渉システム、方法及びユーザ装置を提供することを目的とする。
【課題を解決するための手段】
【0017】
本発明の第1の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、交渉IDと、前記各ユーザのユーザIDと、いずれかのユーザ装置の電子署名が付与されたメッセージからなる電子署名付メッセージが暗号化されてなる暗号化電子署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0018】
本発明の第2の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する交渉鍵送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、前記交渉相手のユーザ装置から受信した電子メール内の暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0019】
本発明の第3の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、交渉IDと、前記各ユーザのユーザIDと、メッセージ及び共有乱数からなる共有乱数付メッセージにグループ署名を付与したグループ署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内のグループ署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、前記認証結果が正当のときのユーザ装置から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、交渉ID毎に、共有乱数を生成する乱数生成手段と、前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを交渉相手のユーザ装置に送信する共有乱数送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、このグループ署名付メッセージを前記交渉内容記憶手段に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、前記匿名交渉管理装置から閲覧したグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0020】
本発明の第4の局面は、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、前記匿名交渉管理装置としては、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、を備えており、前記各ユーザ装置としては、ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、交渉ID毎に、共有乱数を生成する乱数生成手段と、前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する共有乱数送信手段と、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、このグループ署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、前記交渉相手のユーザ装置から受信した電子メール内のグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、を備えた匿名交渉システムである。
【0021】
なお、本発明の各局面は、各装置の集合体をシステムとして表現したが、これに限らず、各装置の集合体毎に又は装置毎に、装置、方法、プログラム、又はプログラムを記憶したコンピュータ読取り可能な記憶媒体として表現してもよい。
【0022】
(作用)
本発明の第1乃至第4の局面では、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0023】
これに加え、本発明の第1及び第2の局面では、交渉ID毎に、交渉鍵ペアを生成し、交渉鍵ペアによる暗号化電子署名付メッセージを交換する構成により、交渉ID毎の交渉鍵ペアに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。また、本発明の第2の局面は、電子メールによって暗号化電子署名付メッセージを交換するので、匿名交渉管理装置を経由して暗号化電子署名付メッセージを交換する第1の局面に比べ、利便性の向上を図ることができる。
【0024】
一方、本発明の第3及び第4の局面では、交渉ID毎に、共有乱数を生成し、この共有乱数を付与したメッセージを含むグループ署名付メッセージを交換する構成により、交渉ID毎の共有乱数に基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。また、本発明の第4の局面は、電子メールによってグループ署名付メッセージを交換するので、匿名交渉管理装置を経由して署名付メッセージを交換する第3の局面に比べ、利便性の向上を図ることができる。
【発明の効果】
【0025】
以上説明したように本発明によれば、匿名での身分保証、追跡性、非結合性、部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現できる。
【図面の簡単な説明】
【0026】
【図1】本発明の第1の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図2】同実施形態における管理情報記憶部の構成を示す模式図である。
【図3】同実施形態における交渉内容記憶部の構成を示す模式図である。
【図4】同実施形態におけるログイン情報記憶部の構成を示す模式図である。
【図5】同実施形態におけるユーザ情報記憶部の構成を示す模式図である。
【図6】同実施形態における交渉履歴記憶部の構成を示す模式図である。
【図7】同実施形態におけるユーザ登録動作を説明するためのシーケンス図である。
【図8】同実施形態におけるメッセージ閲覧による交渉動作を説明するためのシーケンス図である。
【図9】本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図10】同実施形態における電子メールによる交渉動作を説明するためのシーケンス図である。
【図11】本発明の第3の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図12】同実施形態における交渉内容記憶部の構成を示す模式図である。
【図13】同実施形態における交渉履歴記憶部の構成を示す模式図である。
【図14】同実施形態におけるメッセージ閲覧による交渉動作を説明するためのシーケンス図である。
【図15】本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図である。
【図16】同実施形態における電子メールによる交渉動作を説明するためのシーケンス図である。
【発明を実施するための形態】
【0027】
以下、本発明の各実施形態について図面を用いて説明するが、その前に各実施形態の前提となるグループ署名方式について述べる。
【0028】
グループ署名は、1991年チャウム(Chaum)ら(非特許文献1参照)により提案された以下の性質(1)〜(4)を満たす電子署名方式であり、匿名性を持った電子署名と言える。
【0029】
(1)グループに所属するメンバのみが、メンバ署名鍵を用いてグループを代表する署名(グループ署名) を生成できる。
【0030】
(2)グループ公開鍵により、グループ署名の正当性(グループメンバが生成した署名であること) を検証できる。
【0031】
(3)グループ署名から署名を生成したグループメンバを特定することはできない(Anonymity:匿名性)。
【0032】
(4)グループ秘密鍵により、グループ署名から署名を生成したグループメンバを特定(トレース)できる(Traceability:追跡能力)。
【0033】
しかしながら、チャウムらにより提案されたグループ署名方式は、署名サイズ・鍵サイ
ズがグループメンバ数に依存する等により、効率性の面から非実用的である。また、安全性が不十分である。
【0034】
その後、グループ署名方式が満たすべき安全性としては、以下の要件が提案されている。
【0035】
(5)2つのグループ署名が、同一のグループメンバが署名したものかどうか判別できない(Unlinkability:非結合性)。
【0036】
(6)グループメンバが結託しても、メンバをトレース不可能なグループ署名を生成することができない(Coalition-Resistance:耐結託性)。
【0037】
(7)グループ秘密鍵を知っていても、グループメンバになりすましてグループ署名を生成することができない(Exculpability:弁解能力)。
【0038】
以降、多くのグループ署名方式が提案されてきたが、その中でも2000年アテニース(Ateniese)らにより提案されたグループ署名方式(非特許文献2参照)は、署名サイズ・鍵サイズがグループメンバ数に依存せず、さらに強RSA仮定及び決定性ディフィ−へルマン(Decisional Deffie-Hellman)問題の困難性仮定の下で上記の安全性要件を全て満たすことが証明された方式であり、効率・安全性の両面で実用に耐えうる唯一の方式であると考えられる。なお、強RSA仮定とは、n=pq、p=2p’+1、q=2q’+1、(p,q,p’,q’:素数)を満たすn 、平方剰余群QR(n)(位数p’q’)の任意の元u∈QR(n)が与えられたとき、z≡ue(mod n)を満たすe>1を見つけることが困難という仮定である。決定性ディフィーヘルマン問題とは、巡回群G=〈g〉(ここでは上記nの平方剰余群QR(n))について、g,gx,gy,gz∈ G が与えられたとき,gx y と、gzとが等しいかどうかを決める問題である。
【0039】
各実施形態を説明する前に、匿名交渉システムを構成するにあたり前提となるグループ署名方式として、非特許文献1,2等に記載されたグループ署名方式に類似するグループ署名方式を標準的な例として述べる(非特許文献3参照)。次の表1は、この標準的なグループ署名方式の記号とその説明を示している。
【表1】
【0040】
(初期設定)
グループ管理者GM及び追跡機関EMは、それぞれ公開鍵、秘密鍵のペア(PG,SG),(PE,SE)を生成する。このうち、グループ公開鍵(PG,PE)及び生成元g等が公開される。
【0041】
メンバAとなるユーザは、例えば生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PA,SA)を生成する。
【0042】
PA=gSA
次に、ユーザは秘密鍵SAにより公開鍵PAに署名処理を施し、デジタル署名Sig SA(PA)を得る。ユーザは、鍵ペア(PA,SA)が正しく生成された旨(述語)の次のような知識署名SPK(Signature based on a Proof of Knowledge)を生成する。但し、初期設定なので、ここではメッセージmは存在しない。
【0043】
SPK{(α)|PA=gα}(m)=SPK{(SA)|PA=gSA}(m)
この知識署名SPKは、e=H(g‖PA‖gvPAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k) に基づいて、u=grを計算し、e=H(g‖PA‖u‖m)とし、v=r−eSAを整数上で求める。
【0044】
しかる後、ユーザは、公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)をグループ管理者GMに送信する。
【0045】
グループ管理者GMは、これらを受けると、公開鍵PAによりデジタル署名SigSA (PA)を検証し、公開鍵PA及び生成元gにより知識署名(e,v)を検証する。なお、知識署名の検証は、e=H(g‖PA ‖gvPAe‖m)に基づいて行う。
【0046】
両者の検証により正当性を確認すると、グループ管理者GMは、自己の秘密鍵SGにより、次のようにユーザの公開鍵PAに署名処理を施し、得られたメンバ証明書σAをユーザに返信する。これにより、ユーザはメンバAとして登録される。
【0047】
σA=SigSG (PA)
また、グループ管理者GMは、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)を秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PA,SigSA(PA))をメンバリストに追加する。
【0048】
(グループ署名生成)
署名者としてのメンバAは、次のように、メッセージmに対し、秘密鍵x及びメンバ証明書σのペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0049】
SPK σ,x =SPK{(α,β)|VerifyPG(f(α),β)=1}(m)
=SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、メッセージmに対し、メンバ公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0050】
SPKc =SPK{(α,β)|VerifyPE(f(α),β)=1}(m)
=SPK{(x,c)|VerifyPE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^PE ‖m)、v2=r−e2(x+c)
補足すると、c=EPE(PA)は、メンバ公開鍵PAに乱数値を付与したデータをPEで暗号化した値とする。理由は、c=EPE(PA)が単純にPAをPEで暗号化した値とすると、PAが固定であればcの値も固定値となって非結合性を満たさなくなるためである。
【0051】
しかる後、メンバAは、メッセージmと共に、各データ(SPKσ,x、c、SPKc)を署名として検証者に送信する。なお、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。この場合も前述同様に、c=EPE(σA)は、メンバ証明書σAに乱数値を付与したデータをPEで暗号化した値とする。
【0052】
(グループ署名検証)
検証者は、メッセージmと共に、各データ(SPKσ,x、c、SPKc )を署名として受けると、グループ公開鍵PG,PEに基づいて、知識署名SPKσ,x =(e1,v1)及びSPKc =(e2,v2)を以下の検証式により検証する。
【0053】
e1=H(g‖PA ‖(gv1)^PG×(PAe1)^PG×(ge1σA)^PG ‖m)
e2=H(g‖PA ‖(gv2)^PE×(PAe2)^PE×(ge2C)^PE ‖m)
検証者は、メンバAの生成した署名が正当なとき、メッセージmに基づく処理を実行する。一方、検証者は、メンバAの生成した署名に不正があったとき、暗号化された値cを追跡機関EMに送信する。
【0054】
(追跡機能)
追跡機関EMは、検証者から受けた値c(=EPE(PA))を自己の秘密鍵SEにより復号し、得られたメンバAの公開鍵PAをグループ管理者GMに送信する。グループ管理者GMは、公開鍵PAからメンバAを特定する。
【0055】
以上が標準的なグループ署名方式であるが、他のグループ署名方式も同様な性質を持っている。以下の各実施形態は、非特許文献3のグループ署名を代表例に挙げて述べているが他のグループ署名方式についても同様に適用可能なことは言うまでもない。
【0056】
<第1の実施形態>
図1は本発明の第1の実施形態に係る匿名交渉システムの構成を示す模式図であり、図2乃至図6は匿名交渉管理装置又はユーザ装置内の各記憶部の構成を示す模式図である。この匿名交渉システムは、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置10と、各ユーザに個別に操作される複数のユーザ装置20A,20Bを備えており、各装置10,20A,20Bが互いに通信可能となっている。
【0057】
なお、ユーザ装置20A,20Bの個数は、少なくとも2つあれば互いに交渉可能であることからここでは2つの場合を図示したが、これに限らず、交渉形態に応じて任意の個数が使用可能となっている。また、各ユーザ装置20A,20Bが互いに同一の機能部21〜27を備えることから、以下の説明はユーザ装置20Aを代表例に挙げて述べるが、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σA等の添字AをBに読み替えることにより、ユーザ装置20Bの説明に読み替えられる。
【0058】
このような匿名交渉システムの各装置10,20A,20Bは、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。このような匿名交渉システムを実現する場合、例えば、匿名交渉管理装置10が匿名交渉用のサーバプログラムを実行して匿名交渉サービスをユーザ装置20Aに提供するサーバ装置であり、ユーザ装置20Aが匿名交渉用のクライアントプログラムを実行するユーザPC(Personal Computer)であるという形態が考えられる。但し、別の形態として、サーバ装置がWebサービスとして、ユーザ装置20Aに匿名交渉サービスを提供するという形態としてもよい。この場合、ユーザ装置20Aが提供する機能は、実際にはサーバ装置上で動作し、ユーザ装置20Aが当該ユーザ装置20A(ユーザPC)上で動作するWebブラウザからサーバ装置上で動作する匿名交渉サービスを利用する形態となる。以下、前者の形態のように、匿名交渉管理装置10及びユーザ装置20Aがそれぞれ匿名交渉用の機能を備えた形態を例に挙げて説明する。
【0059】
ここで、匿名交渉管理装置10は、管理情報記憶部11、初期設定部12、ユーザ登録部13、匿名性解除部14、交渉内容記憶部15、メッセージ交換部16及びログイン情報記憶部17を備えている。なお、本明細書では、匿名交渉管理装置10がグループ管理者GM及び追跡機関EMの機能を備えているが、これに限らず、匿名交渉管理装置10を分割し、第1の匿名交渉管理装置がグループ管理者GMの機能(各部11〜13,15〜17)を備え、第2の匿名交渉管理装置が追跡機関EMの機能(匿名性解除部14)を備えた構成に変形してもよい。
【0060】
管理情報記憶部11は、初期設定部12、ユーザ登録部13及び匿名性解除部14から読出/書込可能なメモリであり、図2に示すように、グループ管理情報、秘密管理情報、メンバリストを記憶している。
【0061】
グループ管理情報は、グループ公開鍵(PG,PE)、グループ秘密鍵(SG,SE)からなる。
【0062】
秘密管理情報(ユーザのグループ署名関連情報)は、ユーザごとのメンバID、メンバ公開鍵PA及びメンバ証明書σAからなる。
【0063】
メンバリストは、メンバID、メンバID毎のメンバの個人情報、メンバ公開鍵PA及びデジタル署名SigSA(PA)からなるリストである。メンバの個人情報は、例えば、氏名、住所、年齢、性別、電子メールアドレス、電話番号などが含まれる。また、メンバリストが各ユーザの個人情報とメンバ公開鍵PAとを含み、秘密管理情報がメンバ公開鍵PAとメンバ証明書σAとを含むことから、管理情報記憶部11において、各ユーザの個人情報とグループ署名関連情報とが関連付けられて記憶されている。
【0064】
初期設定部12は、システム立ち上げ時に1回だけ使用され、グループ公開鍵・秘密鍵のペア(PG,SG)、(PE,SE)を生成する機能と、これらの鍵ペアから構成されるグループ管理情報を管理情報記憶部11に書き込む機能とを含む初期設定機能を有する。
【0065】
ユーザ登録部13は、メンバとなるユーザからの登録申請に基づき当該ユーザが匿名交渉サービスを受けられるか否かを認証・審査する機能と、ユーザから暗号化通信路などの安全な手段によりメンバの個人情報、メンバ公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)を受領する機能と、受領の後、グループ秘密鍵SGによりメンバ公開鍵PAに署名処理を施してメンバ証明書σA=SigSG(PA)を生成する機能と、ユーザのメンバID、メンバ公開鍵及び証明書の組(IDA, PA, σA)からなる秘密管理情報を管理情報記憶部11の秘密管理情報記憶領域に書き込むとともに、メンバ個人情報、メンバ公開鍵PA、デジタル署名SigSA(PA)を管理情報記憶部11のメンバリスト記憶領域に書き込み、メンバ証明書σAをユーザ装置20Aに送信する機能とをもっている。
【0066】
なお、メンバの認証・審査、暗号化通信の手段については、ここでは限定しないが、例えば、メンバに郵送などの手段で通知した一時パスワードを利用しメンバの認証を行った上で、SSLなどの通信路上で情報を受け渡す方法が考えられる。
【0067】
匿名性解除部14は、メンバから匿名性解除要求を受けて、交渉者の匿名性解除を行うものである。具体的には、匿名性解除部14は、ユーザ装置20Aからグループ署名の一部c(=EPE(PA)又はEPE(σA))及び匿名性解除要求を受けると、追跡機能により当該グループ署名の一部cを復号して得られたグループ署名関連情報(PA又はσA)から管理情報記憶部11内の対応する個人情報を特定し、この個人情報をユーザ装置20Aに出力する機能をもっている。ここで、cの復号は、管理情報記憶部11内の追跡機関EMの秘密鍵SEに基づいて実行可能となっている。また、匿名性解除部14は、交渉者に不正が認められた場合にも、同様にして匿名性を解除する。
【0068】
交渉内容記憶部15は、メッセージ交換部16から読出/書込可能なメモリであり、メッセージ交換部16により交換されるメッセージを記憶するための領域を提供する。具体的には、交渉内容記憶部15は、図3に示すように、メッセージ毎に、交渉用ボックス番号(=交渉ID)、送信者(のユーザID)、宛先(のユーザID)、暗号化電子署名付メッセージから構成される。換言すると、交渉内容記憶部15は、交渉IDと、各ユーザのユーザID(A,B)と、いずれかのユーザ装置20A,20Bの電子署名SigS_{AtoB}(m),SigS_{BtoA}(m)が付与されたメッセージmからなる電子署名付メッセージm‖SigS_{AtoB}(m),m‖SigS_{BtoA}(m)が暗号化されてなる暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))とを関連付けて記憶するためのメモリ領域である。なお、交渉用ボックス番号は、交渉者間同士でメッセージをやり取りするために匿名交渉管理装置10上に設ける領域のID(=交渉ID)である。メッセージを交換したいユーザは、この交渉IDを指定して匿名交渉管理装置10にアクセスすることにより、メッセージの交換が可能となる。また、E P(m)の表現は、公開鍵Pによるメッセージmの暗号化を意味する。
【0069】
メッセージ交換部16は、匿名交渉管理装置10経由で交渉メッセージの交換を行う場合、メンバのメッセージ交換を媒介するものである。具体的には、メッセージ交換部16は、各ユーザ装置20A,20Bからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を閲覧可能及び書込可能とするように、当該各ユーザ装置20A,20Bからのアクセスを制御するアクセス制御機能と、認証結果が正当のときのユーザ装置20A,20Bから受けた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))、交渉ID及び各ユーザIDを交渉内容記憶部15に書き込むメッセージ書込機能と、をもっている。
【0070】
ログイン情報記憶部17は、メッセージ交換部16から読出可能なメモリであり、図4に示すように、予め各ユーザのユーザID及びパスワードからなるログイン情報を記憶している。
【0071】
一方、ユーザ装置20A,20Bは、ユーザ情報記憶部21、ユーザ登録申請部22、交渉履歴記憶部23、交渉鍵交換部24、メッセージ交換部25、交渉管理部26及びユーザ入出力部27を備えている。前述した通り、以下の説明はユーザ装置20Aを代表例に挙げて述べるが、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σA等の添字AをBに読み替えることにより、ユーザ装置20Bの説明に読み替えられる。
【0072】
ユーザ情報記憶部21は、各部22,24〜27から読出/書込可能なメモリであり、図5に示すように、グループ公開鍵(PG,PE)、生成元g、メンバ公開鍵PA、メンバ秘密鍵SA、メンバ証明書σAを記憶する。これらグループ公開鍵(PG,PE)、生成元g、メンバ公開鍵PA、メンバ秘密鍵SA及びメンバ証明書σAは、ユーザのグループ署名関連情報ともいう。
【0073】
ユーザ登録申請部22は、メンバが匿名交渉システムを利用したい場合に、匿名交渉管理装置10に公開されたグループ公開鍵(PG,PE)及び生成元g(図示せず)をユーザ情報記憶部21に記憶し、生成元gに基づいて自身の公開鍵と秘密鍵のペア(PA,SA)を生成して当該鍵ペア(PA,SA)をユーザ情報記憶部21に記憶し、メンバ公開鍵PAに対するデジタル署名SigSA(PA)、メンバ公開鍵PAとメンバ秘密鍵SAが正しく作成されていることの知識の署名を匿名交渉管理装置10に送って匿名交渉管理装置10に登録申請を行うものである。登録申請が受理された場合、匿名交渉管理装置10により発行されたメンバ証明書σA=SigSG(PA)をユーザ情報記憶部21に記憶する。
【0074】
交渉履歴記憶部23は、交渉管理部26及びメッセージ交換部25から読出/書込可能なメモリであり、図6に示すように、交渉鍵関連情報及びメッセージ履歴を記憶する。交渉鍵関連情報は、交渉IDと、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})と、交渉相手交渉公開鍵P_{BtoA}と、交渉相手グループ署名(SPKσ,x、c、SPKC)とを関連付けた情報である。但し、交渉相手グループ署名は、交渉中は不要であることから交渉鍵関連情報に含めずに、別途、交渉IDに関連付けて記憶するようにしてもよい。メッセージ履歴は、交渉IDと、同一交渉IDに対する連番(連続番号)と、メッセージmとを関連付けた情報である。
【0075】
交渉鍵交換部24は、メンバA,B間での交渉に先立ち、交渉に使用するための交渉公開鍵ペア(P_{AtoB}, S_{AtoB})を生成し、交渉公開鍵P_{AtoB}と交渉IDとにグループ署名(SPKσ,x、c、SPKC)を付与し、グループ署名を付与した交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bとの間で交換し、当該交換により得た交渉公開鍵P_{BtoA}及び交渉IDに付与されたグループ署名(SPKσ,x、c、SPKC)を検証し、検証結果が正当であれば、交渉鍵(P_{AtoB}, S_{AtoB}),P_{BtoA}及び交渉IDを交渉履歴記憶部23に書き込むものである。具体的には、交渉鍵交換部24は、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する交渉鍵生成機能と、交渉鍵生成機能により生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bに送信する交渉鍵送信機能と、この交渉相手のユーザ装置20Bから交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された交渉相手交渉公開鍵P_{BtoA}及び交渉IDを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵P_{BtoA}と、生成した自身交渉鍵ペア(P_{AtoB}, S_{AtoB})とを関連付けて交渉履歴記憶部23に書き込む交渉鍵書込機能とをもっている。
【0076】
ここで、交渉鍵ペアは、公開鍵暗号方式で互いに対応する公開鍵と秘密鍵からなり、交渉ID毎に生成される。ユーザ装置20Aが生成した交渉公開鍵P_{AtoB}及び交渉秘密鍵S_{AtoB}からなる交渉公開鍵ペア(P_{AtoB}, S_{AtoB})は、ユーザ装置20Aにおいては自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})であり、ユーザ装置20Bにおいては交渉相手交渉公開鍵P_{AtoB}及び交渉相手交渉秘密鍵S_{AtoB}からなる交渉相手交渉鍵ペア(P_{AtoB}, S_{AtoB})である。同様に、ユーザ装置20Bが生成した交渉公開鍵及び交渉秘密鍵からなる交渉公開鍵ペア(P_{BtoA}, S_{BtoA})は、ユーザ装置20Bにおいては自身交渉公開鍵P_{BtoA}及び自身交渉秘密鍵S_{BtoA}からなる自身交渉鍵ペア(P_{BtoA}, S_{BtoA})であり、ユーザ装置20Aにおいては交渉相手交渉公開鍵P_{BtoA}及び交渉相手交渉秘密鍵S_{BtoA}からなる交渉相手交渉鍵ペア(P_{BtoA}, S_{BtoA})である。
【0077】
また、交渉IDは、交渉相手のメッセージ交換に使用する情報であり、ここでは匿名交渉管理装置10上の交渉用ボックス番号の値を用いているが、この値には限定されない。例えば、匿名交渉管理装置10を経由しないメッセージ交換の場合には、メッセージ交換に使用する情報として、電子メールアドレスを用いることが可能である。
【0078】
また、交渉鍵送信機能は、例えば、Webアプリケーションにおけるフォームのデータをget又はpostの方法を用いて送信する形態、又は電子メールを用いて送信する形態といった任意の形態が適用可能となっている。
【0079】
メッセージ交換部25は、交渉相手との交渉メッセージの交換を行うものであり、交渉内容は、交渉履歴記憶部23に記憶される。
【0080】
具体的には、メッセージ交換部25は、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信するログイン情報送信機能と、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する電子署名付与機能と、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉内容記憶部15に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10に送信するメッセージ送信機能と、匿名交渉管理装置10から閲覧した暗号化電子署名付メッセージE P_{AtoB}(m‖SigS_{BtoA}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{AtoB}に基づいて復号するメッセージ復号機能と、復号により得られた電子署名付メッセージ(m‖SigS_{BtoA}(m))の電子署名SigS_{BtoA}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{BtoA}に基づいて検証する電子署名検証機能と、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{BtoA}(m))のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0081】
交渉管理部26は、交渉鍵交換部24及びメッセージ交換部25による交渉を制御するものであり、例えば、交渉鍵交換部24又はメッセージ交換部25によるいずれかの検証結果が不当のとき、交渉を打ち切る機能と、交渉相手の個人情報を特定したい場合、当該交渉相手のユーザ装置20Bから受けたグループ署名と共に匿名性解除要求を匿名交渉管理装置に送信する解除要求送信機能とをもっている。ここで、交渉相手の個人情報を特定したい場合としては、例えば、「メッセージ交換部25による検証結果が不当のとき」が該当し、交渉内容にもよるが、「交渉が成立したとき」が更に該当する場合もある。
【0082】
ユーザ入出力部27は、ユーザに対する入出力I/F(インタフェース)であり、例えば、ユーザ操作に基づき、新たなメッセージ等のデータ又は匿名性解除要求の送信命令等の命令をユーザ装置20Aに入力する機能と、各部から受けたメッセージ等のデータを表示出力する機能とをもっている。
【0083】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。この説明においては、「システム立ち上げ」、「ユーザ登録」、「交渉」、「交渉成立」及び「交渉決裂」といった利用フェーズ毎に処理内容を述べる。
【0084】
(システム立ち上げ)
このフェーズにおいては、匿名交渉管理装置10が、以後のシステム運用で必要な情報を管理情報記憶部11に設定する。具体的には、初期設定部12がグループ管理情報(グループ公開鍵(PE,PE)、グループ秘密鍵(SG,SE))を生成し、これらグループ管理情報を管理情報記憶部11に書き込む。
【0085】
(ユーザ登録)
ユーザがシステムの利用を開始するには、匿名交渉管理装置10にメンバ登録をする必要がある。これを行うのがこのフェーズである。
【0086】
まず、メンバAとなるユーザのユーザ装置20Aにおいては、ユーザ登録申請部22により、申請に必要な情報を作成する。
【0087】
具体的には、ユーザ登録申請部22は、生成元gに基づき、以下の関係をもつ公開鍵と秘密鍵のペア(PA,SA)を生成する。
【0088】
PA=gSA
次に、ユーザ登録申請部22は、秘密鍵SAにより公開鍵PAに署名処理を施し、デジタル署名Sig SA(PA)を得る。ユーザ登録申請部22は、鍵ペア(PA,SA)が正しく生成された旨(述語)の次のような知識署名SPKを生成する。但し、初期設定なので、ここではメッセージmは存在しない。
【0089】
SPK{(α)|PA=gα }(m)=SPK{(SA)|PA=gSA}(m)
この知識署名SPKは、e=H(g‖PA ‖gvPAe‖m)を満たす(e,v)∈{0,1}k×[−2|L|+k ,2ε(|L|+k)]で与えられる。ユーザは、乱数r∈{0,1}ε(|L|+k) に基づいて、u=grを計算し、e=H(g‖PA ‖u‖m)とし、v=r−eSAを整数上で求める。
【0090】
しかる後、ユーザ登録申請部22は、登録申請を行うユーザが真のユーザであることの確認を要求するユーザ認証要求を匿名交渉管理装置10に送信する。但し、ユーザ認証の手法はここでは特に定めない。具体的な手法は、例えば、あらかじめ郵送などにより配付しておいたユーザ登録用パスワードを用いて認証を行うなどの方法が適用可能となっている。いずれにしても、匿名交渉管理装置10は、図7に示すように、ユーザ認証を実行し(ST1)、認証結果をユーザ装置20Aのユーザ登録申請部22に送信する。
【0091】
認証結果が正当のとき、ユーザ登録申請部22は、公開鍵PA、デジタル署名SigSA(PA)及び知識署名SPK=(e,v)と登録に必要な個人情報を含む登録申請を匿名交渉管理装置10に送信する(ST2)。
【0092】
匿名交渉管理装置10においては、この登録申請を受けると、ユーザ登録部13が管理情報記憶部11を参照して以下の処理を行う。まず、ユーザ登録部13は、申請情報の審査を行い、これによりユーザがシステム利用可能と認められれば、公開鍵PAによりデジタル署名SigSA (PA)を検証し、公開鍵PA及び生成元gにより知識署名(e,v)を検証する(ST3)。なお、知識署名の検証は、e=H(g‖PA ‖gvPAe‖m)に基づいて行う。
【0093】
両者の検証により正当性を確認すると、ユーザ登録部13は、グループ管理者GMの秘密鍵SGにより、ユーザの公開鍵PAに署名処理を施してメンバ証明書σA=SigSG (PA)を作成する(ST4)。
【0094】
しかる後、ユーザ登録部13は、メンバAのメンバID、公開鍵及び証明書の組(IDA,PA,σA)を管理情報記憶部11の秘密管理情報領域に秘密裏に保管するとともに、メンバAの公開鍵とデジタル署名のペア(PA,SigSA(PA))を管理情報記憶部11のメンバリスト領域に追加する。
【0095】
これにより、ユーザはメンバとして登録される(ST5)。
【0096】
ステップST5の完了後、ユーザ登録部13は、ステップST4で得られたメンバ証明書σA=SigSG (PA)をユーザ装置20Aに返信する(ST6)。
【0097】
ユーザ装置20Aにおいては、ユーザ登録申請部22が、匿名交渉管理装置10から受信したメンバ証明書σAをユーザ情報記憶部21に記憶する。
【0098】
(メッセージ閲覧による交渉)
メンバA,Bのユーザ間で匿名交渉したい事案が発生した場合、以下のように匿名交渉を実行する。
【0099】
始めに、ユーザ装置20Aにおいては、図8に示すように、交渉鍵交換部24により、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する(ST11)。
【0100】
続いて、ユーザ装置20Aは、交渉鍵交換部24により、生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを交渉相手のユーザ装置20Bに送信する(ST12)。
【0101】
具体的には、署名者としてのメンバAのユーザ装置20Aは、交渉鍵交換部24により、次のように、メッセージm=P_{AtoB}‖交渉IDに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0102】
SPK σ,x =SPK{(α,β)|VerifyPG(f(α),β)=1}(m)
=SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m)、v1=r−e1(x+σA)
また、署名者としてのメンバAのユーザ装置20Aは、交渉鍵交換部24により、次のように、メッセージm=P_{AtoB}‖交渉IDに対し、公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0103】
SPKc =SPK{(α,β)|VerifyPE(f(α),β)=1}(m)
=SPK{(x,c)|VerifyPE(f(x),c)=1}(m)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^PE ‖m)、v2=r−e2(x+c)
しかる後、メンバAのユーザ装置20Aは、交渉鍵交換部24により、メッセージm=P_{AtoB}‖交渉IDと共に、各データ(SPKσ,x、c、SPKC)からなるグループ署名をメンバBのユーザ装置20Bに送信する。なお、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。
【0104】
メンバBのユーザ装置20Bも同様にして交渉公開鍵ペア(P_{BtoA}, S_{BtoA})を生成し(ST13)、交渉公開鍵P_{BtoA}‖交渉IDをグループ署名(SPKσ,x、c、SPKC)と共にメンバAのユーザ装置20Aに送信し(ST14)、交渉秘密鍵S_{BtoA}を秘密裏に管理する。
【0105】
メンバAのユーザ装置20Aは、交渉鍵交換部24により、メンバBのユーザ装置20Bから受けた交渉公開鍵P_{BtoA}‖交渉ID及びグループ署名(SPKσ,x、c、SPKC)を検証することでメンバAが匿名交渉管理装置10に登録されたメンバであることを確認できる。メンバBも同様にしてメンバAが匿名交渉管理装置10に登録されたメンバであることを確認できる。これらの確認により、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0106】
ステップST11〜ST14に示すように、メンバAとメンバBが交渉公開鍵及び交渉IDを共有できたので、以後、この交渉公開鍵を用いてメッセージ(交渉内容)の署名付与、暗号化を行い、匿名交渉管理装置10を経由してメッセージ(交渉内容)を交換する(ST15)。
【0107】
具体的には、メンバAのユーザ装置20Aにおいては、メッセージ交換部25が、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信する。
【0108】
匿名交渉管理装置10においては、メッセージ交換部16が、ユーザ装置20Aからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20Aからのアクセスを制御する。
【0109】
続いて、ユーザ装置20Aにおいては、メッセージ交換部25が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する。
【0110】
また、ユーザ装置20Aにおいては、メッセージ交換部25が、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉内容記憶部15に書き込むように、当該暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))、交渉ID及び各ユーザIDを匿名交渉管理装置10に送信する(ST15−1)。なお、E P(m)の表現は、公開鍵Pによるメッセージmの暗号化を意味する。
【0111】
匿名交渉管理装置10においては、メッセージ交換部16が、認証結果が正当のときのユーザ装置20Aから受けた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))、交渉ID及び各ユーザIDを交渉内容記憶部15に書き込む。
【0112】
次に、メンバBのユーザ装置20Bにおいては、メッセージ交換部25が、交渉内容記憶部15の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10に送信する。
【0113】
匿名交渉管理装置10においては、メッセージ交換部16が、ユーザ装置20Bからログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20Bからのアクセスを制御する。すなわち、匿名交渉管理装置10にアクセスしたユーザは、アクセス時の認証により自身に関連する交渉ID(交渉用ボックス番号)に関連したメッセージのみ閲覧できるようアクセス制御が行われる。
【0114】
ユーザ装置20Bにおいては、メッセージ交換部25が、交渉IDに応じて匿名交渉管理装置10から暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を閲覧し(ST15−2)、当該閲覧した暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{BtoA}に基づいて復号する。
【0115】
また、ユーザ装置20Bにおいては、メッセージ交換部25が、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{AtoB}に基づいて検証する。
【0116】
ユーザ装置20Bにおいては、メッセージ交換部25が、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0117】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15−3〜ST15−4)。
【0118】
また、ステップST15の匿名交渉中、ユーザ装置20Aにおいては、交渉相手の電子署名SigS_{BtoA}(m)の検証結果が不当のときには、不正な交渉相手とみなし、匿名性を解除することなく直ちに交渉を打ち切るか、あるいは匿名性を解除し交渉を打ち切る。いずれを選択するかは交渉内容に依存する。
【0119】
匿名性を解除する必要がある場合には、交渉管理部26により、当該交渉相手のユーザ装置20Bから受けたグループ署名の一部のデータcと共に匿名性解除要求を匿名交渉管理装置10に送信する。匿名交渉管理装置10においては、匿名性解除部14が、ユーザ装置20Aからグループ署名の一部c(=EPE(PA)又はEPE(σA))及び匿名性解除要求を受けると、追跡機能により、管理情報記憶部11内の追跡機関EMの秘密鍵SEに基づいて当該グループ署名の一部cを復号する。また、匿名解除部14は、復号して得られたグループ署名関連情報(PA又はσA)から管理情報記憶部11内の対応する個人情報を特定し、この個人情報をユーザ装置20Aに送信する。
【0120】
(交渉成立処理)
以上の通り、交渉メッセージの交換を行い、交渉が成立した場合には、互いの匿名性を解除するために交渉者両者からの申請に基づき、匿名交渉管理装置10は匿名性を解除する。
【0121】
匿名性を解除したい各メンバA,Bのユーザ装置20A,20Bは、交渉相手のメンバB,Aのユーザ装置20B,20Aから受領したcを匿名交渉管理装置10に送信する。
【0122】
匿名交渉管理装置10においては、ユーザ装置20Aから受けた値c(=EPE(PB))、ユーザ装置20Bから受けた値c(=EPE(PA))を秘密鍵SEにより復号し、得られた公開鍵PA、PBからメンバリストを参照し交渉を行ったメンバを特定し、この特定したメンバと請求を受けたメンバが一致した場合にメンバ個人情報を各ユーザ装置20A,20Bに回答する。
【0123】
但し、交渉が成立した場合にも、必ずしも交渉者間で身分を明かす必要はなく、身分を明かすか否かは交渉内容に依存する。
【0124】
また、交渉が不成立の場合には、匿名性を解除することなくそのまま交渉を終了しても良いし、匿名性を解除し交渉者の身分を明かしても良い。これもいずれを選択するかは交渉内容に依存する。
【0125】
なお、新たな交渉を行う場合には、新たにメンバ間で交渉鍵を生成しそれを共有することで、同様に交渉を行う。新たに交渉鍵を生成することで、交渉間の独立性を保つことができる。
【0126】
以上の構成により、匿名交渉を実現することができる。また、交渉の都度、交渉鍵を発行することで、同一人物が2つの異なる交渉に関わった場合に、それが同一人物のものであることを特定できない「非結合性」を満たすことができる。また、単一交渉内の一連のメッセージについては同じ交渉鍵を用いることで同一人物のものであることが特定できる「部分非結合性」も満たす。更に、匿名交渉管理装置10のみがユーザを特定できる「追跡性」を有する。
【0127】
(交渉決裂)
交渉が決裂した場合には、匿名性を解除する必要がないため、ユーザ装置20A,20B及び匿名交渉管理装置10は特に何も行わず交渉を打ち切る。
【0128】
上述したように本実施形態によれば、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。例えば、匿名での身分保証を行うグループ署名の技術を利用し、ユーザは匿名交渉管理装置10が発行したグループメンバ鍵を用いてメッセージを交換する。これにより、双方向で匿名の交渉相手を信用することができる。また、交渉が成立した場合、あるいはユーザが不正をした場合には、匿名交渉管理装置10はユーザ間で交換したグループ署名からユーザの身分を明かすことができる。また、ユーザ間の匿名交渉において、交換したメッセージの公証性を担保することができる。
【0129】
これに加え、交渉ID毎に、それぞれ交渉鍵ペア(P_{AtoB}, S_{AtoB}),(P_{BtoA}, S_{BtoA})を生成し、これら交渉鍵ペアによる暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を交換する構成により、交渉ID毎の交渉鍵ペアに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0130】
<第2の実施形態>
図9は本発明の第2の実施形態に係る匿名交渉システムの構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0131】
本実施形態は、第1の実施形態の変形例であり、利便性の向上を図る観点から、匿名交渉管理装置10’を経由せずに、ユーザ装置20A’,20B’間で電子メールによりメッセージを交換するものである。なお、電子メールアドレスは、自由に取得可能であるため、交渉相手に知られたとしても匿名性を解除したことにはならないとする。あるいは、一次利用用の電子メールアドレスを交渉相手に知らせる等してもよい。
【0132】
ここで、匿名交渉管理装置10’は、図1に示した匿名交渉管理装置10に比べ、交渉内容記憶部15、メッセージ交換部16及びログイン情報記憶部17が省略されている。
【0133】
ユーザ装置20A’は、図1に示したユーザ装置20Aに比べ、メッセージ交換部25に代えて、電子メールを用いるメッセージ交換部25’を備えている。なお、交渉鍵交換部24も電子メールを用いて交渉鍵等を交換している。
【0134】
すなわち、交渉鍵交換部24は、交渉ID毎に、互いに対応する自身交渉公開鍵P_{AtoB}及び自身交渉秘密鍵S_{AtoB}からなる自身交渉鍵ペア(P_{AtoB}, S_{AtoB})を生成する交渉鍵生成機能と、交渉鍵生成機能により生成した自身交渉公開鍵P_{AtoB}及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された自身交渉公開鍵P_{AtoB}及び交渉IDを含む電子メールを交渉相手のユーザ装置20B’に送信する交渉鍵送信機能と、この交渉相手のユーザ装置20B’から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された交渉相手交渉公開鍵P_{BtoA}及び交渉IDを含む電子メールを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵P_{BtoA}と、生成した自身交渉鍵ペア(P_{AtoB}, S_{AtoB})とを関連付けて交渉履歴記憶部23に書き込む交渉鍵書込機能とをもっている。
【0135】
また、メッセージ交換部25’は、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージを生成する電子署名付与機能と、生成した電子署名付メッセージ(m‖SigS_{AtoB}(m))を交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を含む電子メールを交渉相手のユーザ装置20B’に送信するメッセージ送信機能と、交渉相手のユーザ装置20B’から受信した電子メール内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{AtoB}に基づいて復号するメッセージ復号機能と、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{BtoA}に基づいて検証する電子署名検証機能と、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0136】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0137】
(電子メールによる交渉)
ステップST11〜ST14の動作は、図10に示すように、第1の実施形態と同様に実行される。但し、本実施形態では、ステップST11〜ST14で送受信する形態を電子メールとする。このため、ユーザ装置20A’は、交渉を開始する前に、任意の方法でユーザ装置20B’の電子メールアドレスを取得する。ユーザ装置20B’は、ステップST12でユーザ装置20A’から送信された電子メールを受信することにより、当該電子メールからユーザ装置20A’の電子メールアドレスを取得可能となっている。
【0138】
ステップST11〜ST14に示すように、メンバAとメンバBが交渉公開鍵及び交渉IDを共有できたので、以後、この交渉公開鍵を用いてメッセージ(交渉内容)の署名付与、暗号化を行い、電子メールによりメッセージ(交渉内容)を交換する(ST15’)。すなわち、ステップST15’は、第1の実施形態のステップST15とは異なり、電子メールを用いている。
【0139】
具体的には、メンバAのユーザ装置20A’においては、メッセージ交換部25が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに自身交渉秘密鍵S_{AtoB}に基づいて電子署名SigS_{AtoB}(m)を付与して電子署名付メッセージ(m‖SigS_{AtoB}(m))を生成する。
【0140】
また、ユーザ装置20A’においては、メッセージ交換部25’が、生成した電子署名付メッセージを交渉相手交渉公開鍵P_{BtoA}に基づいて暗号化し、得られた暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を含む電子メールを交渉相手のユーザ装置20B’に送信する(ST15’−1)。
【0141】
一方、ユーザ装置20B’においては、メッセージ交換部25’が、交渉相手のユーザ装置20A’から受信した電子メール内の暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m))を交渉履歴記憶部23内の自身交渉秘密鍵S_{BtoA}に基づいて復号する。
【0142】
また、ユーザ装置20B’においては、メッセージ交換部25’が、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))の電子署名SigS_{AtoB}(m)を交渉履歴記憶部23内の交渉相手交渉公開鍵P_{AtoB}に基づいて検証する。
【0143】
ユーザ装置20B’においては、メッセージ交換部25’が、検証結果が正当のとき、復号により得られた電子署名付メッセージ(m‖SigS_{AtoB}(m))のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0144】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15’−2)。
【0145】
以下、ステップST15の匿名交渉中、交渉相手の電子署名SigS_{BtoA}(m)の検証結果が不当のときの動作は、第1の実施形態と同様に実行される。
【0146】
また、「交渉成立」及び「交渉決裂」の動作も第1の実施形態と同様に実行される。
【0147】
上述したように本実施形態によれば、匿名交渉管理装置10’を経由せず、電子メールを用いた構成としても、第1の実施形態と同様の効果を得ることができる。また、電子メールによって暗号化電子署名付メッセージE P_{BtoA}(m‖SigS_{AtoB}(m)),E P_{AtoB}(m‖SigS_{BtoA}(m))を交換するので、匿名交渉管理装置10を経由して暗号化電子署名付メッセージを交換する第1の実施形態に比べ、利便性の向上を図ることができる。
【0148】
<第3の実施形態>
図11は本発明の第3の実施形態に係る匿名交渉システムの構成を示す模式図である。
【0149】
本実施形態は、第1の実施形態の変形例であり、前述した交渉公開鍵ペアを省略し、共有乱数を用いてメッセージを交換するものである。
【0150】
ここで、匿名交渉管理装置10”は、図1に示した匿名交渉管理装置10に対し、交渉公開鍵ペアに関する交渉内容記憶部15及びメッセージ交換部16に代えて、共有乱数に関する交渉内容記憶部15”及びメッセージ交換部16”を備えている。
【0151】
ここで、交渉内容記憶部15”は、メッセージ交換部16”から読出/書込可能なメモリであり、メッセージ交換部16”により交換されるメッセージを記憶するための領域を提供する。具体的には、交渉内容記憶部15”は、図12に示すように、メッセージm毎に、交渉用ボックス番号(=交渉ID)、送信者(のユーザID)、宛先(のユーザID)、グループ署名付メッセージm,(SPKσ,x、c、SPKC)から構成される。換言すると、交渉内容記憶部15”は、交渉IDと、各ユーザのユーザIDと、メッセージmとm’=m‖sに対するいずれかのユーザ装置20A”,20B”のグループ署名(SPKσ,x、c、SPKC)からなるグループ署名付メッセージm,(SPKσ,x、c、SPKC)とを関連付けて記憶するためのメモリ領域である。
【0152】
メッセージ交換部16”は、各ユーザ装置20A”,20B”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージm,(SPKσ,x、c、SPKC)を閲覧可能及び書込可能とするように、当該各ユーザ装置20A”,20B”からのアクセスを制御するアクセス制御機能と、認証結果が正当のときのユーザ装置20A”,20B”から受けたグループ署名付メッセージm,(SPKσ,x、c、SPKC)、交渉ID及び各ユーザIDを交渉内容記憶部15”に書き込むメッセージ書込機能と、をもっている。
【0153】
一方、ユーザ装置20A”は、前述したユーザ装置20Aに対し、交渉履歴記憶部23、交渉公開鍵交換部24及びメッセージ交換部25に代えて、交渉履歴記憶部23”、共有乱数交換部28及びメッセージ交換部25”を備えている。
【0154】
交渉履歴記憶部23”は、交渉管理部26及びメッセージ交換部25”から読出/書込可能なメモリであり、図13に示すように、共有乱数関連情報及びメッセージ履歴を記憶する。共有乱数関連情報は、交渉IDと、共有乱数sとを関連付けた情報である。メッセージ履歴は、交渉IDと、同一交渉IDに対する連番(連続番号)と、メッセージmとを関連付けた情報である。
【0155】
共有乱数交換部28は、メンバ間での交渉に先立ち、交渉に使用するための共有乱数sを生成し、共有乱数sと交渉IDとにグループ署名(SPKσ,x、c、SPKC)を付与し、交渉相手となるユーザ装置20B”と乱数交換及び交渉ID交換を行い、交換した共有乱数s及び交渉IDに付与したグループ署名(SPKσ,x、c、SPKC)を検証し、検証結果が正当であれば、共有乱数s及び交渉IDを交渉履歴記憶部23”に書き込むものである。具体的には、共有乱数交換部28は、交渉ID毎に、共有乱数sを生成する乱数生成機能と、乱数生成機能により生成した共有乱数s及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20B”に送信する共有乱数送信機能と、この交渉相手のユーザ装置20B”から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された共有乱数s及び交渉IDを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数sを関連付けて交渉履歴記憶部23”に書き込む共有乱数書込機能とをもっている。
【0156】
ここで、共有乱数送信機能は、例えば、Webアプリケーションにおけるフォームのデータをget又はpostの方法を用いて送信する形態、又は電子メールを用いて送信する形態といった任意の形態が適用可能となっているが、他のメンバに知られることなく交換できることが望ましい。
【0157】
メッセージ交換部25”は、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信するログイン情報送信機能と、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する共有乱数付与機能と、生成した共有乱数付メッセージm’に対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する機能と、このグループ署名付メッセージを交渉内容記憶部15”に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10”に送信するメッセージ送信機能と、匿名交渉管理装置10”から閲覧したグループ署名付メッセージm,(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証するグループ署名検証機能と、検証結果が正当のとき、閲覧したグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0158】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0159】
(メッセージ閲覧による交渉)
メンバA,Bのユーザ間で匿名交渉したい事案が発生した場合、以下のように匿名交渉を実行する。
【0160】
始めに、ユーザ装置20A”においては、図14に示すように、共有乱数交換部28により、交渉ID毎に、共有乱数sを生成する(ST21)。
【0161】
続いて、ユーザ装置20A”は、生成した共有乱数s及び交渉IDに対し、前述同様に、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20B”に送信する(ST22)。
【0162】
ユーザ装置20B”においては、共有乱数交換部28が、このグループ署名が付与された共有乱数s及び交渉IDを受けると(ST23)、この共有乱数s及び交渉IDに対し、同様にユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを交渉相手のユーザ装置20A”に返信する(ST24)。
【0163】
メンバAのユーザ装置20A”は、メンバBのユーザ装置20B”から受けた交渉公開鍵P_{BtoA}‖交渉ID及びグループ署名(SPKσ,x、c、SPKC)を検証することでメンバBが匿名交渉管理装置10”に登録されたメンバであることを確認できる。メンバBも同様にしてメンバAが匿名交渉管理装置10”に登録されたメンバであることを確認できる。これらの確認により、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0164】
ステップST21〜ST24に示すように、メンバAとメンバBが共有乱数s及び交渉IDを共有できたので、以後、この共有乱数sを付与したメッセージ(交渉内容)m’=m‖sにグループ署名(SPKσ,x、c、SPKC)を付与し、匿名交渉管理装置10”を経由してメッセージ(交渉内容)を交換する(ST25)。
【0165】
具体的には、メンバAのユーザ装置20A”においては、メッセージ交換部25”が、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信する。
【0166】
匿名交渉管理装置10”においては、メッセージ交換部16”が、ユーザ装置20A”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20A”からのアクセスを制御する。
【0167】
続いて、ユーザ装置20A”においては、メッセージ交換部25”が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付加した共有乱数付メッセージm’=m‖sに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名を生成する。
【0168】
具体的には前述同様に、共有乱数付メッセージm’=m‖sに対し、秘密鍵及びメンバ証明書のペア(x,σA)を有する旨を証明する知識署名SPKσ,xを生成する。なお、メンバAの場合はx= SAである。
【0169】
SPK σ,x =SPK{(x,σA)|VerifyPG(f(x),σA)=1}(m’)
=(e1,v1)
但し、e1=H(g‖PA ‖(gr)^PG ‖m’)、v1=r−e1(x+σA)
また、署名者としてのメンバAは、次のように、共有乱数付メッセージm’=m‖sに対し、メンバ公開鍵PAを追跡機関EMの公開鍵PEで暗号化した値c=EPE(PA)(追跡可能性)と、この値cの平文(PA)に対応する秘密鍵xを有する旨を証明する知識署名SPKc を生成する。
【0170】
SPKc =SPK{(x,c)|VerifyPE(f(x),c)=1}(m’)
=(e2,v2)
但し、e2=H(g‖PA ‖(gr)^ PE ‖m’)、v2=r−e2(x+c)
このように得られた各データ(SPKσ,x、c、SPKC)がグループ署名である。但し、cは、メンバ証明書σAを暗号化した値c=EPE(σA)としてもよい。
【0171】
ユーザ装置20A”においては、メッセージ交換部25”が、メッセージmに対し、このグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する。
【0172】
また、ユーザ装置20A”においては、メッセージ交換部25”が、生成したグループ署名付メッセージを交渉内容記憶部15”に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを匿名交渉管理装置10”に送信する(ST25−1)。
【0173】
匿名交渉管理装置10”においては、メッセージ交換部16”が、認証結果が正当のときのユーザ装置20A”から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを交渉内容記憶部15”に書き込む。
【0174】
次に、メンバBのユーザ装置20B”においては、メッセージ交換部25”が、交渉内容記憶部15”の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを匿名交渉管理装置10”に送信する。
【0175】
匿名交渉管理装置10”においては、メッセージ交換部16”が、ユーザ装置20B”からログイン情報及び交渉IDを受けると、このログイン情報をログイン情報記憶部17内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する交渉内容記憶部15”内のグループ署名付メッセージを閲覧可能及び書込可能とするように、ユーザ装置20B”からのアクセスを制御する。
【0176】
ユーザ装置20B”においては、メッセージ交換部25”が、交渉IDに応じて匿名交渉管理装置10”からグループ署名付メッセージm,(SPKσ,x、c、SPKC)を閲覧し(ST25−2)、当該閲覧したグループ署名付メッセージをユーザ情報記憶部21内のグループ署名関連情報と交渉履歴記憶部23”内の共有乱数sに基づいて検証する。
【0177】
ユーザ装置20B”においては、メッセージ交換部25”が、検証結果が正当のとき、閲覧により得られたグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0178】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST25−3〜ST25−4)。
【0179】
メンバAは、メンバBより受領したメッセージmと共有乱数付メッセージm’=m‖sに対するグループ署名(SPKσ,x、c、SPKC)を検証することでメンバAが匿名交渉管理装置10”に登録されたメンバであり、なおかつ当該交渉のみに利用される共有乱数sを知っていることが確認できる。
【0180】
メンバBも同様にしてメンバAが匿名交渉管理装置10”に登録されたメンバであり、なおかつ当該交渉のみに利用される共有乱数sを知っていることを確認できる。
【0181】
交渉相手が匿名交渉管理装置10”に登録されたメンバであることを確認できたことで、匿名のまま交渉相手の身分が保証され、交渉相手が不正を働いた場合には交渉相手の匿名性解除を要求することができる。
【0182】
以下、ステップST25の匿名交渉中、交渉相手のグループ署名の検証結果が不当のときの動作は、第1の実施形態における電子署名の検証結果が不当なときの動作と同様に実行される。
【0183】
(交渉成立)
交渉成立の動作は、第1の実施形態と同様に実行される。また同様に、交渉が成立した場合にも、必ずしも交渉者間で身分を明かす必要は明かす必要はなく、身分を明かすか否かは交渉内容に依存する。
【0184】
以上の構成により、匿名性を有した交渉を行うことが可能である。また、交渉の都度、共有乱数を発行することで、同一人物が2つの異なる交渉に関わった場合に、それが同一人物のものであることを特定できない「非結合性」を満たすことができる。また、単一交渉内の一連のメッセージについては同じ共有乱数を用いることで同一人物のものであることが特定できる「部分非結合性」も満たす。更に、匿名交渉管理装置10”のみがユーザを特定できる「追跡性」を有する。
【0185】
(交渉決裂)
交渉が決裂した場合には、匿名性を解除する必要がないため、そのまま終了する。システムに状態を登録しても良い。
【0186】
上述したように本実施形態によれば、追跡機能を有するグループ署名方式を用いる構成により、匿名での身分保証及び追跡性を満たすように、ユーザ間の匿名交渉を実現させることができる。これに加え、交渉ID毎に、共有乱数sを生成し、この共有乱数sを付与したメッセージmを含むグループ署名付メッセージm,(SPKσ,x、c、SPKC)を交換する構成により、交渉ID毎の共有乱数sに基づいて、非結合性及び部分非結合性といった要件を満たすように、ユーザ間の匿名交渉を実現させることができる。
【0187】
すなわち、本実施形態によれば、交渉公開鍵ペアを用いず、共有乱数を用いた構成としても、第1の実施形態と同様の効果を得ることができる。
【0188】
<第4の実施形態>
図15は本発明の第4の実施形態に係る匿名交渉システムの構成を示す模式図である。
【0189】
本実施形態は、第3の実施形態の変形例であり、利便性の向上を図る観点から、匿名交渉管理装置10”’を経由せずに、ユーザ装置20A”’,20B”’間で電子メールによりメッセージを交換するものである。
【0190】
ここで、匿名交渉管理装置10”’は、図11に示した匿名交渉管理装置10”に比べ、交渉内容記憶部15”、メッセージ交換部16”及びログイン情報記憶部17が省略されている。
【0191】
ユーザ装置20A”’は、図11に示したユーザ装置20A”に比べ、メッセージ交換部25”に代えて、電子メールを用いるメッセージ交換部25”’を備えている。なお、共有乱数交換部28も電子メールを用いて共有乱数等を交換している。
【0192】
すなわち、共有乱数交換部28は、交渉ID毎に、共有乱数sを生成する乱数生成機能と、乱数生成機能により生成した共有乱数s及び交渉IDに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与し、当該グループ署名が付与された共有乱数s及び交渉IDを含む電子メールを交渉相手のユーザ装置20B”’に送信する共有乱数送信機能と、この交渉相手のユーザ装置20B”’から交渉相手のグループ署名(SPKσ,x、c、SPKC)が付与された共有乱数s及び交渉IDを含む電子メールを受けると、このグループ署名(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数sを関連付けて交渉履歴記憶部23”に書き込む共有乱数書込機能とをもっている。
【0193】
また、メッセージ交換部25”’は、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージmに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する共有乱数付与機能と、生成した共有乱数付メッセージm’に対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名(SPKσ,x、c、SPKC)を付与してグループ署名付メッセージm,(SPKσ,x、c、SPKC)を生成する機能と、このグループ署名付メッセージを含む電子メールを交渉相手のユーザ装置20B”’に送信するメッセージ送信機能と、交渉相手のユーザ装置20B”’から受信した電子メール内のグループ署名付メッセージm,(SPKσ,x、c、SPKC)をユーザ情報記憶部21内のグループ署名関連情報に基づいて検証するグループ署名検証機能と、検証結果が正当のとき、受信したグループ署名付メッセージm,(SPKσ,x、c、SPKC)のメッセージmをユーザ入出力部27に送出する機能とをもっている。
【0194】
次に、以上のように構成された匿名交渉システムにおける匿名交渉方法について説明する。なお、「システム立ち上げ」及び「ユーザ登録」の動作は、第1の実施形態と同様に実行される。
【0195】
(電子メールによる交渉)
ステップST21〜ST24の動作は、図16に示すように、第3の実施形態と同様に実行される。但し、本実施形態では、ステップST21〜ST24で送受信する形態を電子メールとする。このため、ユーザ装置20A”’は、交渉を開始する前に、任意の方法でユーザ装置20B”’の電子メールアドレスを取得する。ユーザ装置20B”’は、ステップST22でユーザ装置20A”’から送信された電子メールを受信することにより、当該電子メールからユーザ装置20A”’の電子メールアドレスを取得可能となっている。
【0196】
ステップST21〜ST24に示すように、メンバAとメンバBが共有乱数及び交渉IDを共有できたので、以後、この共有乱数を用いてメッセージ(交渉内容)にグループ署名を付与し、電子メールによりメッセージ(交渉内容)を交換する(ST25’)。すなわち、ステップST25’は、第3の実施形態のステップST25とは異なり、電子メールを用いている。
【0197】
具体的には、メンバAのユーザ装置20A”’においては、メッセージ交換部25”’が、ユーザ入出力部27から新たなメッセージmの入力を受け付けると、この新たなメッセージに共有乱数sを付与して共有乱数付メッセージm’=m‖sを生成する。
【0198】
また、ユーザ装置20A”’においては、メッセージ交換部25”’が、生成した共有乱数付メッセージに対し、ユーザ情報記憶部21内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する。
【0199】
しかる後、ユーザ装置20A”’においては、メッセージ交換部25”’が、生成したグループ署名付メッセージを含む電子メールを交渉相手のユーザ装置20B”’に送信する(ST25’−1)。
【0200】
一方、ユーザ装置20B”’においては、メッセージ交換部25”’が、交渉相手のユーザ装置20A”’から受信した電子メール内のグループ署名付メッセージをユーザ情報記憶部21内のグループ署名関連情報に基づいて検証する。
【0201】
ユーザ装置20B”’においては、メッセージ交換部25”’が、検証結果が正当のとき、受信したグループ署名付メッセージのメッセージmをユーザ入出力部27に送出する。すなわち、署名検証が問題なければ、メンバBはメンバAからのメッセージとしてメッセージmを受理する。
【0202】
これらは、メンバBからメンバAへメッセージmを交換する場合も同様である(ST15’−2)。
【0203】
以下、ステップST25の匿名交渉中、交渉相手のグループ署名の検証結果が不当のときの動作は、第1の実施形態と同様に実行される。
【0204】
また、「交渉成立」及び「交渉決裂」の動作も第1の実施形態と同様に実行される。
【0205】
上述したように本実施形態によれば、匿名交渉管理装置10を経由せず、電子メールを用いた構成としても、第3の実施形態と同様の効果を得ることができる。また、電子メールによってグループ署名付メッセージm,(SPKσ,x、c、SPKC)を交換するので、匿名交渉管理装置10を経由してグループ署名付メッセージを交換する第3の実施形態に比べ、利便性の向上を図ることができる。
【0206】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0207】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0208】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0209】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0210】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0211】
なお、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0212】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0213】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【符号の説明】
【0214】
10,10’…匿名交渉管理装置、11…管理情報記憶部、12…初期設定部、13…ユーザ登録部、14…匿名性解除部、15,15”…交渉内容記憶部、16,16”…メッセージ交換部、17…ログイン情報記憶部、20A,20A’,20A”,20A”’,20B,20B’,20B”,20B”’…ユーザ装置、21…ユーザ情報記憶部、22…ユーザ登録申請部、23,23”…交渉履歴記憶部、24…交渉鍵交換部、25,25’,25”,25”’…メッセージ交換部、26…交渉管理部、27…ユーザ入出力部、28…共有乱数交換部。
【特許請求の範囲】
【請求項1】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、
交渉IDと、前記各ユーザのユーザIDと、いずれかのユーザ装置の電子署名が付与されたメッセージからなる電子署名付メッセージが暗号化されてなる暗号化電子署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、
前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、
前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項2】
管理情報記憶手段、管理情報書込手段、ログイン情報記憶手段、ログイン情報書込手段、交渉内容記憶手段、アクセス制御手段、メッセージ書込手段及び個人情報特定手段を備え、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、
ユーザ情報記憶手段、ユーザ情報書込手段、交渉鍵記憶手段、交渉鍵生成手段、交渉鍵送信手段、交渉鍵書込手段、ログイン情報送信手段、電子署名付与手段、メッセージ送信手段、メッセージ復号手段、電子署名検証手段及び解除要求送信手段を備え、前記各ユーザに個別に操作される複数のユーザ装置とが実行する匿名交渉方法であって、
前記匿名交渉管理装置の管理情報書込手段が、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて前記管理情報記憶手段に書き込む工程と、
前記匿名交渉管理装置のログイン情報書込手段が、各ユーザのユーザIDとパスワードとを含むログイン情報を前記ログイン情報記憶手段に書き込む工程と、
前記各ユーザ装置のユーザ情報書込手段が、ユーザのグループ署名関連情報を前記ユーザ情報記憶手段に書き込む工程と、
前記各ユーザ装置の交渉鍵生成手段が、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成工程と、
前記各ユーザ装置の交渉鍵送信手段が、前記交渉鍵生成工程により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信工程と、
前記各ユーザ装置の交渉鍵書込手段が、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込工程と、
前記各ユーザ装置のログイン情報送信手段が、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信工程と、
前記匿名交渉管理装置のアクセス制御手段が、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御工程と、
前記各ユーザ装置の電子署名付与手段が、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与工程と、
前記各ユーザ装置のメッセージ送信手段が、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信工程と、
前記匿名交渉管理装置のメッセージ書込手段が、前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込工程と、
前記各ユーザ装置のメッセージ復号手段が、前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号工程と、
前記各ユーザ装置の電子署名検証手段が、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証工程と、
前記各ユーザ装置の解除要求送信手段が、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信工程と、
前記匿名交渉管理装置の個人情報特定手段が、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定工程と、
を備えたことを特徴とする匿名交渉方法。
【請求項3】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置に通信可能なユーザ装置であって、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
前記匿名交渉管理装置内の暗号化電子署名付メッセージの閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
前記匿名交渉管理装置によるログイン認証の認証結果が正当のとき、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とするユーザ装置。
【請求項4】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、
前記交渉相手のユーザ装置から受信した電子メール内の暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項5】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、
交渉IDと、前記各ユーザのユーザIDと、メッセージ及び共有乱数からなる共有乱数付メッセージにグループ署名を付与したグループ署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、
前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内のグループ署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、
前記認証結果が正当のときのユーザ装置から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、
交渉ID毎に、共有乱数を生成する乱数生成手段と、
前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを交渉相手のユーザ装置に送信する共有乱数送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、
前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、
前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、
このグループ署名付メッセージを前記交渉内容記憶手段に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧したグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項6】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、
交渉ID毎に、共有乱数を生成する乱数生成手段と、
前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する共有乱数送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、
前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、
このグループ署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、
前記交渉相手のユーザ装置から受信した電子メール内のグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項1】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、
交渉IDと、前記各ユーザのユーザIDと、いずれかのユーザ装置の電子署名が付与されたメッセージからなる電子署名付メッセージが暗号化されてなる暗号化電子署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、
前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、
前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項2】
管理情報記憶手段、管理情報書込手段、ログイン情報記憶手段、ログイン情報書込手段、交渉内容記憶手段、アクセス制御手段、メッセージ書込手段及び個人情報特定手段を備え、追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、
ユーザ情報記憶手段、ユーザ情報書込手段、交渉鍵記憶手段、交渉鍵生成手段、交渉鍵送信手段、交渉鍵書込手段、ログイン情報送信手段、電子署名付与手段、メッセージ送信手段、メッセージ復号手段、電子署名検証手段及び解除要求送信手段を備え、前記各ユーザに個別に操作される複数のユーザ装置とが実行する匿名交渉方法であって、
前記匿名交渉管理装置の管理情報書込手段が、前記各ユーザの個人情報とグループ署名関連情報とを関連付けて前記管理情報記憶手段に書き込む工程と、
前記匿名交渉管理装置のログイン情報書込手段が、各ユーザのユーザIDとパスワードとを含むログイン情報を前記ログイン情報記憶手段に書き込む工程と、
前記各ユーザ装置のユーザ情報書込手段が、ユーザのグループ署名関連情報を前記ユーザ情報記憶手段に書き込む工程と、
前記各ユーザ装置の交渉鍵生成手段が、交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成工程と、
前記各ユーザ装置の交渉鍵送信手段が、前記交渉鍵生成工程により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信工程と、
前記各ユーザ装置の交渉鍵書込手段が、この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込工程と、
前記各ユーザ装置のログイン情報送信手段が、前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信工程と、
前記匿名交渉管理装置のアクセス制御手段が、前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内の暗号化電子署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御工程と、
前記各ユーザ装置の電子署名付与手段が、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与工程と、
前記各ユーザ装置のメッセージ送信手段が、前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを前記交渉内容記憶手段に書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信工程と、
前記匿名交渉管理装置のメッセージ書込手段が、前記認証結果が正当のときのユーザ装置から受けた暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込工程と、
前記各ユーザ装置のメッセージ復号手段が、前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号工程と、
前記各ユーザ装置の電子署名検証手段が、前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証工程と、
前記各ユーザ装置の解除要求送信手段が、この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信工程と、
前記匿名交渉管理装置の個人情報特定手段が、前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定工程と、
を備えたことを特徴とする匿名交渉方法。
【請求項3】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置に通信可能なユーザ装置であって、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
前記匿名交渉管理装置内の暗号化電子署名付メッセージの閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
前記匿名交渉管理装置によるログイン認証の認証結果が正当のとき、新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを書き込むように、当該暗号化電子署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧した暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とするユーザ装置。
【請求項4】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアと、交渉相手交渉公開鍵とを関連付けて記憶するための交渉鍵記憶手段と、
交渉ID毎に、互いに対応する自身交渉公開鍵及び自身交渉秘密鍵からなる自身交渉鍵ペアを生成する交渉鍵生成手段と、
前記交渉鍵生成手段により生成した自身交渉公開鍵及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された自身交渉公開鍵及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する交渉鍵送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された交渉相手交渉公開鍵及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び交渉相手交渉公開鍵と、前記生成した自身交渉鍵ペアとを関連付けて前記交渉鍵記憶手段に書き込む交渉鍵書込手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記自身交渉秘密鍵に基づいて電子署名を付与して電子署名付メッセージを生成する電子署名付与手段と、
前記生成した電子署名付メッセージを前記交渉相手交渉公開鍵に基づいて暗号化し、得られた暗号化電子署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、
前記交渉相手のユーザ装置から受信した電子メール内の暗号化電子署名付メッセージを前記交渉鍵記憶手段内の自身交渉秘密鍵に基づいて復号するメッセージ復号手段と、
前記復号により得られた電子署名付メッセージの電子署名を前記交渉鍵記憶手段内の交渉相手交渉公開鍵に基づいて検証する電子署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項5】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
各ユーザのユーザIDとパスワードとを含むログイン情報を記憶するログイン情報記憶手段と、
交渉IDと、前記各ユーザのユーザIDと、メッセージ及び共有乱数からなる共有乱数付メッセージにグループ署名を付与したグループ署名付メッセージとを関連付けて記憶するための交渉内容記憶手段と、
前記各ユーザ装置からログイン情報及び交渉IDを受けると、このログイン情報を前記ログイン情報記憶手段内のログイン情報に照合してログイン認証を実行し、この認証結果が正当のとき、当該交渉IDに関連する前記交渉内容記憶手段内のグループ署名付メッセージを閲覧可能及び書込可能とするように、当該各ユーザ装置からのアクセスを制御するアクセス制御手段と、
前記認証結果が正当のときのユーザ装置から受けたグループ署名付メッセージ、交渉ID及び各ユーザIDを前記交渉内容記憶手段に書き込むメッセージ書込手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、
交渉ID毎に、共有乱数を生成する乱数生成手段と、
前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを交渉相手のユーザ装置に送信する共有乱数送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、
前記交渉内容記憶手段の閲覧及び書込を開始する前に、ログイン情報及び交渉IDを前記匿名交渉管理装置に送信するログイン情報送信手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、
前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、
このグループ署名付メッセージを前記交渉内容記憶手段に書き込むように、当該グループ署名付メッセージ、交渉ID及び各ユーザIDを前記匿名交渉管理装置に送信するメッセージ送信手段と、
前記匿名交渉管理装置から閲覧したグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【請求項6】
追跡機能を有するグループ署名方式により、各ユーザ間の匿名交渉を管理する匿名交渉管理装置と、前記各ユーザに個別に操作される複数のユーザ装置とを備えた匿名交渉システムであって、
前記匿名交渉管理装置は、
前記各ユーザの個人情報とグループ署名関連情報とを関連付けて記憶する管理情報記憶手段と、
前記各ユーザ装置からグループ署名及び匿名性解除要求を受けると、前記追跡機能により当該グループ署名を復号して得られたグループ署名関連情報から前記管理情報記憶手段内の対応する個人情報を特定し、この個人情報を当該各ユーザ装置に出力する個人情報特定手段と、
を備えており、
前記各ユーザ装置は、
ユーザのグループ署名関連情報を記憶するユーザ情報記憶手段と、
交渉IDと、共有乱数とを関連付けて記憶するための共有乱数記憶手段と、
交渉ID毎に、共有乱数を生成する乱数生成手段と、
前記乱数生成手段により生成した共有乱数及び交渉IDに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与し、当該グループ署名が付与された共有乱数及び交渉IDを含む電子メールを交渉相手のユーザ装置に送信する共有乱数送信手段と、
この交渉相手のユーザ装置から交渉相手のグループ署名が付与された共有乱数及び交渉IDを含む電子メールを受けると、このグループ署名を前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証した後、当該交渉ID及び共有乱数を関連付けて前記共有乱数記憶手段に書き込む共有乱数書込手段と、
新たなメッセージの入力を受け付けると、この新たなメッセージに前記共有乱数を付与して共有乱数付メッセージを生成する共有乱数付与手段と、
前記生成した共有乱数付メッセージに対し、前記ユーザ情報記憶手段内のグループ署名関連情報に基づいてグループ署名を付与してグループ署名付メッセージを生成する手段と、
このグループ署名付メッセージを含む電子メールを前記交渉相手のユーザ装置に送信するメッセージ送信手段と、
前記交渉相手のユーザ装置から受信した電子メール内のグループ署名付メッセージを前記ユーザ情報記憶手段内のグループ署名関連情報に基づいて検証するグループ署名検証手段と、
この検証結果が不当のとき、前記交渉相手のユーザ装置から受けたグループ署名と共に匿名性解除要求を前記匿名交渉管理装置に送信する解除要求送信手段と、
を備えたことを特徴とする匿名交渉システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2011−166226(P2011−166226A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−23352(P2010−23352)
【出願日】平成22年2月4日(2010.2.4)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月4日(2010.2.4)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]