探索型属性認証方法およびシステム
【課題】ユーザ間で属性情報を交換する際にブロードキャストを用いて情報を収集し、このとき、要求ユーザ、返信ユーザ双方ともセキュリティを維持しながら求める属性を持つユーザを特定する。
【解決手段】ユーザ端末のそれぞれは、IDのうち属性値にあたる情報から鍵系列を生成してマスクIDを生成し、属性交換時、ユーザ端末間でこのマスクIDを交換する。属性値を探索しようとするユーザ端末は、他のユーザ端末を含む不特定多数のユーザ端末から返信されるマスクIDを探索したい属性値を用いることにより復元し、マスクIDと共に返信される署名を、その属性値が一致したときに正しく検証できる。
【解決手段】ユーザ端末のそれぞれは、IDのうち属性値にあたる情報から鍵系列を生成してマスクIDを生成し、属性交換時、ユーザ端末間でこのマスクIDを交換する。属性値を探索しようとするユーザ端末は、他のユーザ端末を含む不特定多数のユーザ端末から返信されるマスクIDを探索したい属性値を用いることにより復元し、マスクIDと共に返信される署名を、その属性値が一致したときに正しく検証できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ端末間で属性値から成るIDを交換し、IDに応じたサービスを提供するユーザ端末間の探索型属性認証方法およびシステムに関する。
【背景技術】
【0002】
従来、ネットワーク上における電子認証技術として、通信相手から受信した属性情報が正当なものであるか否かを検証する方法が知られている。その一例として、公開鍵証明書を用いる方法では、各属性情報が第3者機関によって正当性が証明され、属性証明書が発行される。
通信相手から受信した属性情報が正当なものであるか否かを検証する際には、第3者機関から受信した属性情報に対応する属性証明書をユーザが入手する必要がある(例えば、特許文献1参照)。
【特許文献1】特開2001−209313号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、ユーザ間で属性情報を交換するにあたり、特に、あるユーザが、特定の属性を持つユーザを探索したい場合等、ブロードキャストを用いて求める属性を持つユーザを特定しようとするシーンでは、要求ユーザ、返信ユーザともにプライバシ情報が漏れる可能性があり、その結果、第三者によって通信が観察され、ユーザの行動が追跡される恐れがあった。従って、プライバシ保護に関する問題が技術的課題として残されていた。
【0004】
本発明は上記事情に基づいてなされたものであり、ユーザ間で属性情報を交換する際にブロードキャストを用いて情報を収集する際、要求ユーザ、返信ユーザ双方ともにセキュリティを維持しながら求める属性を持つユーザを特定することのできる、探索型属性認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0005】
上記した課題を解決するために本発明は、ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する前記ユーザ端末間の探索型属性認証方法であって、それぞれのユーザ端末が、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成する第1のステップと、あるユーザ端末が、チャレンジ情報である乱数を生成して不特定多数の他のユーザ端末に対してブロードキャストする第2のステップと、前記ブロードキャストを受信した前記他のユーザ端末が、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信する第3のステップと、前記あるユーザ端末が、探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行う第4のステップと、前記あるユーザ端末が、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証する第5のステップと、を有することを特徴とする。
【0006】
また、本発明において、前記第1のステップにおける鍵系列Kは、H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成されることを特徴とする請求項1に記載の探索型属性認証方法。但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【0007】
また、本発明は、ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する探索型属性認証システムであって、前記属性値を探索しようとするユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、属性探索時、チャレンジ情報である乱数を生成して不特定多数のユーザ端末に対してブロードキャストするチャレンジ情報送信手段とを備え、前記不特定多数のユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信するマスクID返信手段とを備え、前記属性値を探索しようとするユーザ端末は、前記探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行い、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証することを特徴とする。
【発明の効果】
【0008】
本発明によれば、ユーザ端末のそれぞれは、IDのうち属性値にあたる情報から鍵系列を生成してマスクIDを生成し、属性交換時、ユーザ端末間でこのマスクIDを交換し、属性値を探索しようとするユーザ端末は、返信されたマスクIDを、探索したい属性値を用いて復元し、属性値が一致したときに署名を正しく検証することができる。
このことにより、要求ユーザ、返信ユーザ双方ともにセキュリティを維持しながら求める属性を持つユーザを特定することができる。すなわち、第三者が通信を観察したとしても、要求ユーザがどのような属性情報を探索しているかを知ることはできず、また、返信された署名情報から、返信ユーザがどのような属性情報を持っているかを容易に推定することはできない。
【発明を実施するための最良の形態】
【0009】
以下、図面を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る探索型属性認証システムのシステム構成の一例を示した図である。
図1において、発行センタは、ユーザの職業、所属、資格、現在位置情報等の属性情報に対して使用する暗号鍵を発行する機関であり、例えば、地域コミュニティで運営する信頼のおける機関(組織)である。発行センタは、センタサーバ1を管理運営している。
また、サービスプロバイダ(SP)は、ユーザが所持する携帯端末装置であるユーザ端末A(3a)とユーザ端末B(3b)間、またはユーザ端末A(3a)あるいはユーザ端末B(3b)とセンタサーバ1との間のデータ通信の中継を行う機関であり、SPサーバ2を管理運営している。
【0010】
ここでは、ユーザ端末A(3a)、B(3b)として、インターネット接続環境を持つ携帯電話が例示されている。また、上記した発行センタにより管理運営される信頼のおけるセンタサーバ1、SP2により管理運営されるSPサーバ2、そして、ユーザA、Bが所持するユーザ端末A(3a)、ユーザ端末B(3b)のそれぞれは、図示せぬIP(Internet Protocol)網等の通信ネットワークを介して接続される。
なお、ユーザ端末は、上記したユーザ端末A(3a)、B(3b)以外にも複数、通信ネットワークに接続されているものとする。
【0011】
図1に示す探索型属性認証システムの情報の流れについて概略説明を行う。まず、ユーザA(ユーザ端末A(3a))は、認証局から公開鍵証明書を、属性認証局から属性証明書を、それぞれ発行してもらう。属性証明書は、公開鍵証明書と紐付けられて管理されている。なお、公開鍵証明書については、ユーザ端末A(3a)の耐タンパ領域に事前に格納されていてもよい。ここで、耐ダンパデバイスとは、情報不正取得や改竄等に対して耐性のある装置や素子のことをいう。
また、ユーザ端末A(3a)は、発行センタのセンタサーバ1にアクセスしてID情報を申請し、公開鍵と秘密鍵の発行を受ける。同様に複数の属性情報を取得して自身の端末内のメモリに格納しておく。なお、ユーザ端末B(3b)を含む他のユーザ端末も上記したユーザ端末A(3a)と同様の準備を行う。
【0012】
ここでは、ID型暗号方式を使用することとする。このため、属性情報を属性や発行時刻等をIDとして、ID暗号化方式の公開鍵とする。そして、公開鍵から秘密鍵を生成する。また、ユーザ端末A(3a)、ユーザ端末B(3b)を含むそれぞれのユーザ端末は、IDを所定の方法でマスクしたマスクIDを用意しておく。なお、マスクIDを生成するために使用する鍵情報には、IDの中から属性値を取り出して使用する。そして属性交換時にはマスクIDを使用する。
ここで、ユーザAが属性値を探索する要求者であるとした場合、ユーザ端末A(3a)は、ユーザ端末B(3b)を含む不特定多数のユーザ端末と属性情報を交換するが、ユーザ端末A(3a)は、ユーザ端末B(3b)を含むそれぞれのユーザ端末から返信されたマスクIDを、探索したい属性値を使用して復元する。そして、属性値が一致すれば、署名が正しく検証できる。
【0013】
図2は、本発明の実施形態に係る探索型属性認証システムにおいて使用されるID型暗号方式における暗号化方法を示した模式図である。
ID型暗号方式とは、ID情報から復号(検証)用の公開鍵(復号鍵)を生成し、公開鍵からさらに暗号化(署名)用の秘密鍵(暗号鍵)を生成する方式である。ID型暗号方式の特徴は、意味のあるID情報から公開鍵を生成するため公開鍵の種類が豊富であり、また公開鍵自体に意味のある情報を持たせることができるという点にある。
【0014】
ここで、ID情報とは、上記した属性情報を含む情報のことを意味する。交換する属性情報を交換相手に譲渡できないよう制限を設ける場合は、個人を識別する情報(UID)やユーザ端末A(3a)、B(3b)の、例えば電話番号等の情報をID情報に含めることで、属性情報の所持者を明確に証明することが可能である。
【0015】
また、一定の期間内のみ有効な資格等を属性情報として交換する場合は、発行時刻をID情報に含めることで、相手から受信した属性情報の有効性を判断することが可能である。更に、趣味・趣向等を属性情報として交換する場合など、属性情報に特別に制限をかける必要がない場合には、属性情報のみをID情報とする。このように、ID情報に含める情報として属性情報の他にどのような情報を選択するかを使い分けることで、属性情報を利用して行う様々なサービスに適用することができる。
【0016】
図2において、ID型暗号方式では、まずID情報から一方向性関数Aを用いて公開鍵に変換される。この一方向性関数Aはセンタサーバ1、ユーザ端末A(3a)、B(3b)他、各ユーザ端末が所持する。続いて、公開鍵とセンタ秘密鍵から一方向性関数Bを用いて秘密鍵を生成する。センタ秘密鍵および一方向性関数Bはセンタサーバ1のみが所持するものであり、秘密鍵の生成は発行センタのみで行うことが可能である。
【0017】
すなわち、センタ秘密鍵を所持しないユーザ端末A(3a)、B(3b)他各ユーザ端末では公開鍵から秘密鍵を生成することはできない。一方、センタ秘密鍵から一方向性関数Cを用いてセンタ公開鍵が生成される。一方向性関数Cは発行センタのみが所持するものであり、センタ公開鍵の生成は発行センタのみで行うことが可能である。生成されたセンタ公開鍵は、予めユーザ端末A(3a)、B(3b)他、各ユーザ端末に配布されている。
【0018】
図3は、本発明の実施形態に係る探索型属性認証システムの内部構成を機能展開して示したブロック図である。
本発明の実施形態に係る探索型属性認証システムは、属性を探索する要求者であるユーザ端末A(3a)と、これに対して応答する返信者であるユーザ端末B(3b)を含む不特定多数のユーザ端末C、Dで構成される。この場合、ユーザ端末A(3a)は、マスクID生成部31と、チャレンジ情報送信部32と、マスクID復元部33と、署名情報検証部34で構成され、ユーザ端末B(3b)は、マスクID生成部35と、マスクID返信部36で構成される。
【0019】
ユーザ端末A(3a)におけるマスクID生成部31は、IDのうち、属性値にあたる情報から鍵系列を生成し、当該IDを生成された鍵系列によりマスクしたマスクIDを生成する機能を持つ。また、チャレンジ情報送信部32は、属性探索時、チャレンジ情報である乱数を生成してユーザ端末B(3b)を含む不特定多数のユーザ端末に対してブロードキャストする機能を持つ。
【0020】
マスクID復元部33は、探索したい属性値を用いて鍵系列を生成し、当該生成された鍵系列を用いてユーザ端末B(3b)を含む不特定多数のユーザ端末から返信されるマスクIDの復元を行う機能を持つ。また、署名情報検証部34は、マスクID復元部33で復元されたIDを用いて公開鍵を生成し、返信された署名情報を検証する機能を持つ。
【0021】
一方、ユーザ端末B(3b)におけるマスクID生成部35は、IDのうち、属性値にあたる情報から鍵系列を生成し、IDを生成された鍵系列によりマスクしたマスクIDを生成する機能を持つ。また、マスクID返信部36は、ユーザ端末A(3a)のチャレンジ情報送信部32によって送信されるチャレンジ情報に対し、開示して良い属性値の秘密鍵で署名し、生成される署名情報とマスクID生成部35により生成されたマスクIDとを返信する機能を持つ。
【0022】
図4は、本発明の実施形態に係る探索型属性認証システムのうち、属性値の探索を要求するユーザ端末(ここではユーザ端末A(3a))の動作を説明するために引用したフローチャートである。
以下、図4に示すフローチャートを参照しながら本発明の実施形態に係る探索型属性認証システムの動作について詳細に説明する。
【0023】
まず、ユーザA、ユーザBともに発行センタに対してID情報を申請し、公開鍵、秘密鍵から成る鍵情報の発行を受け、同様の方法で複数の属性情報を取得してそれぞれのユーザ端末A(3a)、ユーザ端末B(3b)内の耐タンパ領域に格納しておくことは上記したとおりである(S41)。更に、マスクID生成部31において、IDのうち、属性値にあたる情報から鍵系列を生成し、当該鍵系列とID全体とを、例えばXOR(排他的論理和)演算することによりマスクIDを生成しておく(S42)。
【0024】
鍵系列の生成方法の一例を以下に示す。鍵系列Kは、H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成される。
但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【0025】
以上の前処理の後、ユーザ端末A(3a)とユーザ端末B(3b)を含む不特定多数のユーザ端末との間で属性情報を交換するが、ここでは、まず、ユーザ端末A(3a)が、チャレンジ情報送信部32においてチャレンジ情報である乱数を生成し、ユーザ端末B(3b)を含む不特定多数のユーザ端末に対してブロードキャストを行う(S43)。
【0026】
ブロードキャストを受信したユーザ端末B(3b)を含む不特定多数のユーザ端末は、マスクID返信部36においてそのチャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と、上記のようにして生成されたマスクIDとを返信する。なお、開示しても良い属性がなければ返信しない。
【0027】
続いてユーザ端末A(3a)は、上記したユーザ端末B(3b)を含む不特定多数のユーザ端末からの返信があったか否かを判定し(S44)、ここで署名情報とマスクIDの返信があった場合、ユーザ端末A(3a)は、マスクID復元部33において探索したい属性値を用いて鍵系列を生成し、当該生成された鍵系列を返信されたマスクIDにXOR演算して元のIDへの復元を行う(S45)。そして、署名情報検証部34において、その復元されたIDを用いて公開鍵を生成し、返信された署名情報を検証する(S46)。
【0028】
ここで、ユーザ端末A(3a)は属性値が一致すれば署名を正しく検証できるが(S47)、不正者は正しい署名を生成することができない。検証処理が成功すれば、ユーザ端末A(3a)は、返信のあった、例えば、ユーザ端末B(3b)を正当な属性値の所有者であると判断して、例えば、「私は○○です。一緒にタクシーに乗りませんか」のような情報を送信する(S48)。ここで送信された情報は、ユーザ端末B(3b)の液晶モニタに表示される。
【0029】
なお、上記した本発明の実施形態によれば、ユーザ端末A(3a)が属性値を探索する要求者であるものとして説明したが、ユーザ端末B(3b)を含む他のユーザ端末も同様に要求者になり得、その場合、上記したユーザ端末A(3a)とユーザ端末B(3b)を含む他のユーザ端末の構成および動作が入れ替わることになる。
【0030】
上記したユーザ端末間のやりとりは、図5に模式的に示されている。図5に示されるように、本発明の実施形態に係る探索型属性認証システムにおいて、属性情報の探索を行うユーザは、チャレンジである乱数Rを送信するだけである。従って、いかなる情報も第三者に漏れることはない。また、既知の属性情報に対してのみ実行でき、返信されたものを全て検証することでその属性の所有者の正当性を判断することができる。
【0031】
一方、署名情報のみからでは、どのような属性値を持っているかを推定するためには、想定される属性値全てについての検証を行わなければならず、このために要するコストは他の情報を用いずに属性情報そのものを推定するコストと等価である。従って本発明の実施形態に係る探索型属性認証システムは安全性を満たすものと判断することができる。
【0032】
なお、本発明の実施形態に係る探索型属性認証システムによれば、探索型属性認証といった新たなサービスを構築することが可能になる。このサービスは、あるユーザが、特定の属性を持った人物を探索したい場合に利用することができ、例えば、人ごみの中で特定の団体に属する人物を探索したい場合等に用いることができる。
【図面の簡単な説明】
【0033】
【図1】本発明の実施形態に係る探索型属性認証システムのシステム構成の一例を示した図である。
【図2】本発明の実施形態に係る探索型属性認証システムにおいて使用されるID型暗号方式における暗号化方法を示した模式図である。
【図3】本発明の実施形態に係る探索型属性認証システムの内部構成を機能展開して示したブロック図である。
【図4】本発明の実施形態に係る探索型属性認証システムの動作を説明するために引用したフローチャートである。
【図5】本発明の実施形態に係る探索型属性認証方法を説明するために引用した模式図である。
【符号の説明】
【0034】
1…センタサーバ、2…SPサーバ、3a、3b…ユーザ端末、31、35…マスクID生成部、32…チャレンジ情報送信部、33…マスクID復元部、34…署名情報検証部、36…マスクID返信部
【技術分野】
【0001】
本発明は、ユーザ端末間で属性値から成るIDを交換し、IDに応じたサービスを提供するユーザ端末間の探索型属性認証方法およびシステムに関する。
【背景技術】
【0002】
従来、ネットワーク上における電子認証技術として、通信相手から受信した属性情報が正当なものであるか否かを検証する方法が知られている。その一例として、公開鍵証明書を用いる方法では、各属性情報が第3者機関によって正当性が証明され、属性証明書が発行される。
通信相手から受信した属性情報が正当なものであるか否かを検証する際には、第3者機関から受信した属性情報に対応する属性証明書をユーザが入手する必要がある(例えば、特許文献1参照)。
【特許文献1】特開2001−209313号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、ユーザ間で属性情報を交換するにあたり、特に、あるユーザが、特定の属性を持つユーザを探索したい場合等、ブロードキャストを用いて求める属性を持つユーザを特定しようとするシーンでは、要求ユーザ、返信ユーザともにプライバシ情報が漏れる可能性があり、その結果、第三者によって通信が観察され、ユーザの行動が追跡される恐れがあった。従って、プライバシ保護に関する問題が技術的課題として残されていた。
【0004】
本発明は上記事情に基づいてなされたものであり、ユーザ間で属性情報を交換する際にブロードキャストを用いて情報を収集する際、要求ユーザ、返信ユーザ双方ともにセキュリティを維持しながら求める属性を持つユーザを特定することのできる、探索型属性認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0005】
上記した課題を解決するために本発明は、ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する前記ユーザ端末間の探索型属性認証方法であって、それぞれのユーザ端末が、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成する第1のステップと、あるユーザ端末が、チャレンジ情報である乱数を生成して不特定多数の他のユーザ端末に対してブロードキャストする第2のステップと、前記ブロードキャストを受信した前記他のユーザ端末が、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信する第3のステップと、前記あるユーザ端末が、探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行う第4のステップと、前記あるユーザ端末が、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証する第5のステップと、を有することを特徴とする。
【0006】
また、本発明において、前記第1のステップにおける鍵系列Kは、H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成されることを特徴とする請求項1に記載の探索型属性認証方法。但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【0007】
また、本発明は、ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する探索型属性認証システムであって、前記属性値を探索しようとするユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、属性探索時、チャレンジ情報である乱数を生成して不特定多数のユーザ端末に対してブロードキャストするチャレンジ情報送信手段とを備え、前記不特定多数のユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信するマスクID返信手段とを備え、前記属性値を探索しようとするユーザ端末は、前記探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行い、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証することを特徴とする。
【発明の効果】
【0008】
本発明によれば、ユーザ端末のそれぞれは、IDのうち属性値にあたる情報から鍵系列を生成してマスクIDを生成し、属性交換時、ユーザ端末間でこのマスクIDを交換し、属性値を探索しようとするユーザ端末は、返信されたマスクIDを、探索したい属性値を用いて復元し、属性値が一致したときに署名を正しく検証することができる。
このことにより、要求ユーザ、返信ユーザ双方ともにセキュリティを維持しながら求める属性を持つユーザを特定することができる。すなわち、第三者が通信を観察したとしても、要求ユーザがどのような属性情報を探索しているかを知ることはできず、また、返信された署名情報から、返信ユーザがどのような属性情報を持っているかを容易に推定することはできない。
【発明を実施するための最良の形態】
【0009】
以下、図面を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る探索型属性認証システムのシステム構成の一例を示した図である。
図1において、発行センタは、ユーザの職業、所属、資格、現在位置情報等の属性情報に対して使用する暗号鍵を発行する機関であり、例えば、地域コミュニティで運営する信頼のおける機関(組織)である。発行センタは、センタサーバ1を管理運営している。
また、サービスプロバイダ(SP)は、ユーザが所持する携帯端末装置であるユーザ端末A(3a)とユーザ端末B(3b)間、またはユーザ端末A(3a)あるいはユーザ端末B(3b)とセンタサーバ1との間のデータ通信の中継を行う機関であり、SPサーバ2を管理運営している。
【0010】
ここでは、ユーザ端末A(3a)、B(3b)として、インターネット接続環境を持つ携帯電話が例示されている。また、上記した発行センタにより管理運営される信頼のおけるセンタサーバ1、SP2により管理運営されるSPサーバ2、そして、ユーザA、Bが所持するユーザ端末A(3a)、ユーザ端末B(3b)のそれぞれは、図示せぬIP(Internet Protocol)網等の通信ネットワークを介して接続される。
なお、ユーザ端末は、上記したユーザ端末A(3a)、B(3b)以外にも複数、通信ネットワークに接続されているものとする。
【0011】
図1に示す探索型属性認証システムの情報の流れについて概略説明を行う。まず、ユーザA(ユーザ端末A(3a))は、認証局から公開鍵証明書を、属性認証局から属性証明書を、それぞれ発行してもらう。属性証明書は、公開鍵証明書と紐付けられて管理されている。なお、公開鍵証明書については、ユーザ端末A(3a)の耐タンパ領域に事前に格納されていてもよい。ここで、耐ダンパデバイスとは、情報不正取得や改竄等に対して耐性のある装置や素子のことをいう。
また、ユーザ端末A(3a)は、発行センタのセンタサーバ1にアクセスしてID情報を申請し、公開鍵と秘密鍵の発行を受ける。同様に複数の属性情報を取得して自身の端末内のメモリに格納しておく。なお、ユーザ端末B(3b)を含む他のユーザ端末も上記したユーザ端末A(3a)と同様の準備を行う。
【0012】
ここでは、ID型暗号方式を使用することとする。このため、属性情報を属性や発行時刻等をIDとして、ID暗号化方式の公開鍵とする。そして、公開鍵から秘密鍵を生成する。また、ユーザ端末A(3a)、ユーザ端末B(3b)を含むそれぞれのユーザ端末は、IDを所定の方法でマスクしたマスクIDを用意しておく。なお、マスクIDを生成するために使用する鍵情報には、IDの中から属性値を取り出して使用する。そして属性交換時にはマスクIDを使用する。
ここで、ユーザAが属性値を探索する要求者であるとした場合、ユーザ端末A(3a)は、ユーザ端末B(3b)を含む不特定多数のユーザ端末と属性情報を交換するが、ユーザ端末A(3a)は、ユーザ端末B(3b)を含むそれぞれのユーザ端末から返信されたマスクIDを、探索したい属性値を使用して復元する。そして、属性値が一致すれば、署名が正しく検証できる。
【0013】
図2は、本発明の実施形態に係る探索型属性認証システムにおいて使用されるID型暗号方式における暗号化方法を示した模式図である。
ID型暗号方式とは、ID情報から復号(検証)用の公開鍵(復号鍵)を生成し、公開鍵からさらに暗号化(署名)用の秘密鍵(暗号鍵)を生成する方式である。ID型暗号方式の特徴は、意味のあるID情報から公開鍵を生成するため公開鍵の種類が豊富であり、また公開鍵自体に意味のある情報を持たせることができるという点にある。
【0014】
ここで、ID情報とは、上記した属性情報を含む情報のことを意味する。交換する属性情報を交換相手に譲渡できないよう制限を設ける場合は、個人を識別する情報(UID)やユーザ端末A(3a)、B(3b)の、例えば電話番号等の情報をID情報に含めることで、属性情報の所持者を明確に証明することが可能である。
【0015】
また、一定の期間内のみ有効な資格等を属性情報として交換する場合は、発行時刻をID情報に含めることで、相手から受信した属性情報の有効性を判断することが可能である。更に、趣味・趣向等を属性情報として交換する場合など、属性情報に特別に制限をかける必要がない場合には、属性情報のみをID情報とする。このように、ID情報に含める情報として属性情報の他にどのような情報を選択するかを使い分けることで、属性情報を利用して行う様々なサービスに適用することができる。
【0016】
図2において、ID型暗号方式では、まずID情報から一方向性関数Aを用いて公開鍵に変換される。この一方向性関数Aはセンタサーバ1、ユーザ端末A(3a)、B(3b)他、各ユーザ端末が所持する。続いて、公開鍵とセンタ秘密鍵から一方向性関数Bを用いて秘密鍵を生成する。センタ秘密鍵および一方向性関数Bはセンタサーバ1のみが所持するものであり、秘密鍵の生成は発行センタのみで行うことが可能である。
【0017】
すなわち、センタ秘密鍵を所持しないユーザ端末A(3a)、B(3b)他各ユーザ端末では公開鍵から秘密鍵を生成することはできない。一方、センタ秘密鍵から一方向性関数Cを用いてセンタ公開鍵が生成される。一方向性関数Cは発行センタのみが所持するものであり、センタ公開鍵の生成は発行センタのみで行うことが可能である。生成されたセンタ公開鍵は、予めユーザ端末A(3a)、B(3b)他、各ユーザ端末に配布されている。
【0018】
図3は、本発明の実施形態に係る探索型属性認証システムの内部構成を機能展開して示したブロック図である。
本発明の実施形態に係る探索型属性認証システムは、属性を探索する要求者であるユーザ端末A(3a)と、これに対して応答する返信者であるユーザ端末B(3b)を含む不特定多数のユーザ端末C、Dで構成される。この場合、ユーザ端末A(3a)は、マスクID生成部31と、チャレンジ情報送信部32と、マスクID復元部33と、署名情報検証部34で構成され、ユーザ端末B(3b)は、マスクID生成部35と、マスクID返信部36で構成される。
【0019】
ユーザ端末A(3a)におけるマスクID生成部31は、IDのうち、属性値にあたる情報から鍵系列を生成し、当該IDを生成された鍵系列によりマスクしたマスクIDを生成する機能を持つ。また、チャレンジ情報送信部32は、属性探索時、チャレンジ情報である乱数を生成してユーザ端末B(3b)を含む不特定多数のユーザ端末に対してブロードキャストする機能を持つ。
【0020】
マスクID復元部33は、探索したい属性値を用いて鍵系列を生成し、当該生成された鍵系列を用いてユーザ端末B(3b)を含む不特定多数のユーザ端末から返信されるマスクIDの復元を行う機能を持つ。また、署名情報検証部34は、マスクID復元部33で復元されたIDを用いて公開鍵を生成し、返信された署名情報を検証する機能を持つ。
【0021】
一方、ユーザ端末B(3b)におけるマスクID生成部35は、IDのうち、属性値にあたる情報から鍵系列を生成し、IDを生成された鍵系列によりマスクしたマスクIDを生成する機能を持つ。また、マスクID返信部36は、ユーザ端末A(3a)のチャレンジ情報送信部32によって送信されるチャレンジ情報に対し、開示して良い属性値の秘密鍵で署名し、生成される署名情報とマスクID生成部35により生成されたマスクIDとを返信する機能を持つ。
【0022】
図4は、本発明の実施形態に係る探索型属性認証システムのうち、属性値の探索を要求するユーザ端末(ここではユーザ端末A(3a))の動作を説明するために引用したフローチャートである。
以下、図4に示すフローチャートを参照しながら本発明の実施形態に係る探索型属性認証システムの動作について詳細に説明する。
【0023】
まず、ユーザA、ユーザBともに発行センタに対してID情報を申請し、公開鍵、秘密鍵から成る鍵情報の発行を受け、同様の方法で複数の属性情報を取得してそれぞれのユーザ端末A(3a)、ユーザ端末B(3b)内の耐タンパ領域に格納しておくことは上記したとおりである(S41)。更に、マスクID生成部31において、IDのうち、属性値にあたる情報から鍵系列を生成し、当該鍵系列とID全体とを、例えばXOR(排他的論理和)演算することによりマスクIDを生成しておく(S42)。
【0024】
鍵系列の生成方法の一例を以下に示す。鍵系列Kは、H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成される。
但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【0025】
以上の前処理の後、ユーザ端末A(3a)とユーザ端末B(3b)を含む不特定多数のユーザ端末との間で属性情報を交換するが、ここでは、まず、ユーザ端末A(3a)が、チャレンジ情報送信部32においてチャレンジ情報である乱数を生成し、ユーザ端末B(3b)を含む不特定多数のユーザ端末に対してブロードキャストを行う(S43)。
【0026】
ブロードキャストを受信したユーザ端末B(3b)を含む不特定多数のユーザ端末は、マスクID返信部36においてそのチャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と、上記のようにして生成されたマスクIDとを返信する。なお、開示しても良い属性がなければ返信しない。
【0027】
続いてユーザ端末A(3a)は、上記したユーザ端末B(3b)を含む不特定多数のユーザ端末からの返信があったか否かを判定し(S44)、ここで署名情報とマスクIDの返信があった場合、ユーザ端末A(3a)は、マスクID復元部33において探索したい属性値を用いて鍵系列を生成し、当該生成された鍵系列を返信されたマスクIDにXOR演算して元のIDへの復元を行う(S45)。そして、署名情報検証部34において、その復元されたIDを用いて公開鍵を生成し、返信された署名情報を検証する(S46)。
【0028】
ここで、ユーザ端末A(3a)は属性値が一致すれば署名を正しく検証できるが(S47)、不正者は正しい署名を生成することができない。検証処理が成功すれば、ユーザ端末A(3a)は、返信のあった、例えば、ユーザ端末B(3b)を正当な属性値の所有者であると判断して、例えば、「私は○○です。一緒にタクシーに乗りませんか」のような情報を送信する(S48)。ここで送信された情報は、ユーザ端末B(3b)の液晶モニタに表示される。
【0029】
なお、上記した本発明の実施形態によれば、ユーザ端末A(3a)が属性値を探索する要求者であるものとして説明したが、ユーザ端末B(3b)を含む他のユーザ端末も同様に要求者になり得、その場合、上記したユーザ端末A(3a)とユーザ端末B(3b)を含む他のユーザ端末の構成および動作が入れ替わることになる。
【0030】
上記したユーザ端末間のやりとりは、図5に模式的に示されている。図5に示されるように、本発明の実施形態に係る探索型属性認証システムにおいて、属性情報の探索を行うユーザは、チャレンジである乱数Rを送信するだけである。従って、いかなる情報も第三者に漏れることはない。また、既知の属性情報に対してのみ実行でき、返信されたものを全て検証することでその属性の所有者の正当性を判断することができる。
【0031】
一方、署名情報のみからでは、どのような属性値を持っているかを推定するためには、想定される属性値全てについての検証を行わなければならず、このために要するコストは他の情報を用いずに属性情報そのものを推定するコストと等価である。従って本発明の実施形態に係る探索型属性認証システムは安全性を満たすものと判断することができる。
【0032】
なお、本発明の実施形態に係る探索型属性認証システムによれば、探索型属性認証といった新たなサービスを構築することが可能になる。このサービスは、あるユーザが、特定の属性を持った人物を探索したい場合に利用することができ、例えば、人ごみの中で特定の団体に属する人物を探索したい場合等に用いることができる。
【図面の簡単な説明】
【0033】
【図1】本発明の実施形態に係る探索型属性認証システムのシステム構成の一例を示した図である。
【図2】本発明の実施形態に係る探索型属性認証システムにおいて使用されるID型暗号方式における暗号化方法を示した模式図である。
【図3】本発明の実施形態に係る探索型属性認証システムの内部構成を機能展開して示したブロック図である。
【図4】本発明の実施形態に係る探索型属性認証システムの動作を説明するために引用したフローチャートである。
【図5】本発明の実施形態に係る探索型属性認証方法を説明するために引用した模式図である。
【符号の説明】
【0034】
1…センタサーバ、2…SPサーバ、3a、3b…ユーザ端末、31、35…マスクID生成部、32…チャレンジ情報送信部、33…マスクID復元部、34…署名情報検証部、36…マスクID返信部
【特許請求の範囲】
【請求項1】
ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する前記ユーザ端末間の探索型属性認証方法であって、
それぞれのユーザ端末が、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成する第1のステップと、
あるユーザ端末が、チャレンジ情報である乱数を生成して不特定多数の他のユーザ端末に対してブロードキャストする第2のステップと、
前記ブロードキャストを受信した前記他のユーザ端末が、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信する第3のステップと、
前記あるユーザ端末が、探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行う第4のステップと、
前記あるユーザ端末が、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証する第5のステップと、
を有することを特徴とする探索型属性認証方法。
【請求項2】
前記第1のステップにおける鍵系列Kは、
H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成されることを特徴とする請求項1に記載の探索型属性認証方法。但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【請求項3】
ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する探索型属性認証システムであって、
前記属性値を探索しようとするユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、属性探索時、チャレンジ情報である乱数を生成して不特定多数のユーザ端末に対してブロードキャストするチャレンジ情報送信手段とを備え、
前記不特定多数のユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信するマスクID返信手段とを備え、
前記属性値を探索しようとするユーザ端末は、前記探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行い、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証することを特徴とする探索型属性認証システム。
【請求項1】
ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する前記ユーザ端末間の探索型属性認証方法であって、
それぞれのユーザ端末が、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成する第1のステップと、
あるユーザ端末が、チャレンジ情報である乱数を生成して不特定多数の他のユーザ端末に対してブロードキャストする第2のステップと、
前記ブロードキャストを受信した前記他のユーザ端末が、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信する第3のステップと、
前記あるユーザ端末が、探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行う第4のステップと、
前記あるユーザ端末が、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証する第5のステップと、
を有することを特徴とする探索型属性認証方法。
【請求項2】
前記第1のステップにおける鍵系列Kは、
H(x)をハッシュ関数の出力、Aを属性値としたとき、K=H_0(A)|H_1(A)|…|H_n(A)|を演算することにより生成されることを特徴とする請求項1に記載の探索型属性認証方法。但し、nはIDの長さに依存し、H_nはそれぞれ異なるハッシュ関数、||はデータの結合を示す。
【請求項3】
ユーザ端末間で属性値から成るIDを交換し、前記IDに応じたサービスを提供する探索型属性認証システムであって、
前記属性値を探索しようとするユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、属性探索時、チャレンジ情報である乱数を生成して不特定多数のユーザ端末に対してブロードキャストするチャレンジ情報送信手段とを備え、
前記不特定多数のユーザ端末は、前記IDのうち、属性値にあたる情報から鍵系列を生成し、前記IDを前記生成された鍵系列によりマスクしたマスクIDを生成するマスクID生成手段と、前記チャレンジ情報に対して開示して良い属性値の秘密鍵で署名し、生成される署名情報と前記生成されたマスクIDとを返信するマスクID返信手段とを備え、
前記属性値を探索しようとするユーザ端末は、前記探索したい属性値を用いて前記鍵系列を生成し、当該生成された鍵系列を用いて前記返信されたマスクIDの復元を行い、前記復元されたIDを用いて公開鍵を生成し、前記返信された署名情報を検証することを特徴とする探索型属性認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2007−60200(P2007−60200A)
【公開日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願番号】特願2005−242133(P2005−242133)
【出願日】平成17年8月24日(2005.8.24)
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
【公開日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願日】平成17年8月24日(2005.8.24)
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
[ Back to top ]