生体認証システム、生体認証方法およびプログラム
【課題】匿名かつ追跡不可能性を有する認証プロトコルを拡張し、生体情報から鍵を生成することにより追跡不可能な生体認証システムを提供する。
【解決手段】Uは、生体情報を読取り、生体情報から秘密鍵x2を生成し、乱数から秘密鍵x1を生成する。さらに、秘密鍵から公開鍵y1、y2を生成し、CAに、公開鍵を送信する。CAは、受信した公開鍵に対して、署名鍵で署名を行い、Uに対して、属性証明書を発行する。Uは、SPにサービスの提供要求を送信し、SPは、自身の秘密鍵と公開鍵とを生成し、乱数と公開鍵とからなるチャレンジをUに送信する。Uは、乱数fにより、属性証明書を変形し、秘密鍵を変形し、これらから、受信した署名値を計算し、変形した属性証明書と署名値とをSPに送信する。SPは、Uから受信した属性証明書を検証し、署名値を検証する。また、SPは、失効確認を行い、属性証明書および署名値の正当性を確認し、かつ失効確認の完了を条件に、Uに、属性情報に基づいたサービスの提供を行う。
【解決手段】Uは、生体情報を読取り、生体情報から秘密鍵x2を生成し、乱数から秘密鍵x1を生成する。さらに、秘密鍵から公開鍵y1、y2を生成し、CAに、公開鍵を送信する。CAは、受信した公開鍵に対して、署名鍵で署名を行い、Uに対して、属性証明書を発行する。Uは、SPにサービスの提供要求を送信し、SPは、自身の秘密鍵と公開鍵とを生成し、乱数と公開鍵とからなるチャレンジをUに送信する。Uは、乱数fにより、属性証明書を変形し、秘密鍵を変形し、これらから、受信した署名値を計算し、変形した属性証明書と署名値とをSPに送信する。SPは、Uから受信した属性証明書を検証し、署名値を検証する。また、SPは、失効確認を行い、属性証明書および署名値の正当性を確認し、かつ失効確認の完了を条件に、Uに、属性情報に基づいたサービスの提供を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、匿名かつ追跡不可能性を有する認証プロトコルを拡張し、生体情報から鍵を生成することにより追跡不可能でリモートな生体認証システム、生体認証方法およびプログラムに関する。
【背景技術】
【0002】
近年、様々なサービスがインターネットを通して電子的に提供されるようになってきている。そのようなサービス提供を行う際には、利用者を認証することが不可欠となる。ここで、利用者を認証する方法は、通常、個人を特定する認証と、属性認証等、個人を特定しない認証(例えば、特許文献1参照)とに大別される。
【0003】
一方、具体的な認証手段としてバイオメトリクスを用いた生体認証がある。生体認証は、利用者の生体情報を利用できるため、高いセキュリティを実現できるという特徴がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特公平8−2051号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、個人の生体情報は、固定された情報となるため、その情報を利用して利用者の追跡が可能となってしまうという問題点がある。また、従来の属性認証技術では、リモートで匿名な生体認証を実現する技術はなかった。
【0006】
そこで、本発明は、上述の課題に鑑みてなされたものであり、匿名かつ追跡不可能性を有する認証プロトコルを拡張し、生体情報から鍵を生成することにより追跡不可能でリモートな生体認証システム、生体認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上記した課題を解決するために以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0008】
(1)本発明は、ユーザ端末(例えば、図1のユーザ端末1に相当)と、属性証明書発行サーバ(例えば、図1の属性認証サーバ3に相当)と、サービス提供サーバ(例えば、図1のSPサーバ2に相当)とがネットワークを介して接続されて成る生体認証システムであって、前記ユーザ端末が、生体情報を読み取る生体情報読み取り手段(例えば、図2の生体情報読取部11に相当)と、該読み取った生体情報から秘密鍵x2を生成する第1の秘密鍵生成手段(例えば、図2の鍵生成部12に相当)と、前記生体情報読み取り手段が、乱数を生成し、該生成した乱数から秘密鍵x1を生成する第2の秘密鍵生成手段(例えば、図2の鍵生成部12に相当)と、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第1の公開鍵生成手段(例えば、図2の鍵生成部12に相当)と、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第1の送信手段(例えば、図2の送信部14に相当)と、前記サービス提供サーバにサービスの提供要求を送信する第2の送信手段(例えば、図2の送信部14に相当)と、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する変形手段(例えば、図2の属性証明書変形部13に相当)と、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する処理手段(例えば、図2の処理部15に相当)と、前記変形手段において変形した属性証明書と該処理手段において算出した署名値とを前記サービス提供サーバに送信する第3の送信手段(例えば、図2の送信部14に相当)と、を備え、前記属性証明書発行サーバが、前記ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う署名手段(例えば、図5の署名部31に相当)と、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する発行手段(例えば、図5の属性証明書発行部32に相当)と、を備え、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する鍵生成手段(例えば、図4の鍵生成部25に相当)と、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第4の送信手段(例えば、図4の送信部27に相当)と、前記ユーザ端末から受信した属性証明書を検証する第1の検証手段(例えば、図4の属性証明書検証部21に相当)と、前記ユーザ端末から受信した署名値を検証する第2の検証手段(例えば、図4の署名値検証部22に相当)と、失効確認を実行する失効確認実行手段(例えば、図4の失効確認実行部23に相当)と、前記第1の検証手段により属性証明書の正当性が確認され、前記第2の検証手段により署名値の正当性が確認され、かつ、前記失効確認実行手段により失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行うサービス提供手段(例えば、図4のサービス提供部24に相当)と、を備えたことを特徴とする生体認証システムを提案している。
【0009】
この発明によれば、ユーザ端末の生体情報読み取り手段は、生体情報を読み取る。第1の秘密鍵生成手段は、その読み取った生体情報から秘密鍵x2を生成する。第2の秘密鍵生成手段は、生体情報読み取り手段が、乱数を生成し、その生成した乱数から秘密鍵x1を生成する。第1の公開鍵生成手段は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。第1の送信手段は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。第2の送信手段は、サービス提供サーバにサービスの提供要求を送信する。変形手段は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。処理手段は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する。第3の送信手段は、変形手段において変形した属性証明書とその処理手段において算出した署名値とをサービス提供サーバに送信する。属性証明書発行サーバの署名手段は、ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う。発行手段は、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。サービス提供サーバの鍵生成手段は、自身の秘密鍵x3と公開鍵y3(=x3*P)とを生成する。第4の送信手段は、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。第1の検証手段は、ユーザ端末から受信した属性証明書を検証する。第2の検証手段は、ユーザ端末から受信した署名値を検証する。失効確認実行手段は、失効確認を実行する。サービス提供手段は、第1の検証手段により属性証明書の正当性が確認され、第2の検証手段により署名値の正当性が確認され、かつ、失効確認実行手段により失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0010】
(2)本発明は、(1)に記載の生体認証システムにおいて、前記第1の秘密鍵生成手段が、読み取った生体情報からノイズを除去して、秘密鍵x2を生成することを特徴とする生体認証システムを提案している。
【0011】
この発明によれば、生体情報が揺らぎをもつが、読み取った生体情報からノイズを除去することにより、このゆらぎを吸収することができる。
【0012】
(3)本発明は、(1)に記載の生体認証システムにおいて、前記サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信することを特徴とする生体認証システムを提案している。
【0013】
この発明によれば、サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信する。つまり、チャレンジの中に、サービス提供者ごとに異なる公開鍵y3(=x3*P)を埋め込み、このチャレンジに対して、ユーザ端末から署名が返信されることから、サービス提供者の公開鍵y3を知らない第三者には、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースすることができない。
【0014】
(4)本発明は、(3)に記載の生体認証システムにおいて、前記ユーザ端末の処理手段が、前記変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出することを特徴とする生体認証システムを提案している。
【0015】
この発明によれば、ユーザ端末の処理手段が、変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出する。したがって、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0016】
(5)本発明は、(1)に記載の生体認証システムにおいて、前記サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証することを特徴とする生体認証システムを提案している。
【0017】
この発明によれば、サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証する。したがって、上記演算式により、ユーザ端末から送信されてきた属性証明書をまとめて検証することができるため、計算負荷を削減することができる。
【0018】
(6)本発明は、(4)に記載の生体認証システムにおいて、前記サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、該演算式が成立するかどうかにより、署名の正当性を検証することを特徴とする生体認証システムを提案している。
【0019】
この発明によれば、サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、その演算式が成立するかどうかにより、署名の正当性を検証する。したがって、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0020】
(7)本発明は、(3)または(4)に記載の生体認証システムにおいて、前記サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、該演算式が成立するかどうかにより、失効確認を実行することを特徴とする生体認証システムを提案している。
【0021】
この発明によれば、サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、その演算式が成立するかどうかにより、失効確認を実行する。したがって、失効リストを統一しつつ、サービス提供者の秘密鍵x3を知らない第三者が容易に失効情報の開示された時点より前の通信履歴から、利用者の行動をトレースすることができない失効確認処理を実現することができる。
【0022】
(8)本発明は、(1)に記載の生体認証システムにおいて、前記属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開することを特徴とする生体認証システムを提案している。
【0023】
この発明によれば、属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開する。これにより、y1、y2を公開するのではなく、y1、z(y1+y2)を公開するため、公開した情報から過去の履歴をトレースすることを防止して、Foward Securityを確保することができる。
【0024】
(9)本発明は、ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法であって、前記ユーザ端末が、生体情報を読み取る第1のステップ(例えば、図6のステップS201、図7のステップS301に相当)と、前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップ(例えば、図6のステップS202、図7のステップS302、S303に相当)と、前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップ(例えば、図7のステップS303に相当)と、前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップ(例えば、図6のステップS204、S205、図7のステップS304に相当)と、前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップ(例えば、図6のステップS209、図7のステップS305に相当)と、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップ(例えば、図6のステップS206に相当)と、前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップ(例えば、図6のステップS210、図7のステップS306に相当)と、前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップ(例えば、図6のステップS211、図7のステップS307に相当)と、前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップ(例えば、図6のステップS212に相当)と、前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップ(例えば、図6のステップS213、図7のステップS308に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップ(例えば、図6のステップS214、図7のステップS309に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップ(例えば、図6のステップS215、図7のステップS309に相当)と、前記サービス提供サーバが、失効確認を実行する第15のステップ(例えば、図6のステップS216、図7のステップS310に相当)と、前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップ(例えば、図6のステップS217、図7のステップS311に相当)と、を備えたことを特徴とする生体認証方法を提案している。
【0025】
この発明によれば、ユーザ端末は、生体情報を読み取る。ユーザ端末は、その読み取った生体情報から秘密鍵x2を生成する。ユーザ端末は、生成した乱数から秘密鍵x1を生成する。ユーザ端末は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。ユーザ端末は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。属性証明書発行サーバは、ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う。属性証明書発行サーバは、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。ユーザ端末が、サービス提供サーバにサービスの提供要求を送信する。サービス提供サーバは、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。サービス提供サーバは、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。ユーザ端末は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。ユーザ端末は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する。ユーザ端末は、変形した属性証明書と算出した署名値とをサービス提供サーバに送信する。サービス提供サーバは、ユーザ端末から受信した属性証明書を検証する。サービス提供サーバは、ユーザ端末から受信した署名値を検証する。サービス提供サーバは、失効確認を実行する。サービス提供サーバは、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0026】
(10)本発明は、ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法をコンピュータに実行させるためのプログラムであって、前記ユーザ端末が、生体情報を読み取る第1のステップ(例えば、図6のステップS201、図7のステップS301に相当)と、前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップ(例えば、図6のステップS202、図7のステップS302、S303に相当)と、前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップ(例えば、図7のステップS303に相当)と、前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップ(例えば、図6のステップS204、S205、図7のステップS304に相当)と、前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップ(例えば、図6のステップS209、図7のステップS305に相当)と、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップ(例えば、図6のステップS206に相当)と、前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップ(例えば、図6のステップS210、図7のステップS306に相当)と、前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップ(例えば、図6のステップS211、図7のステップS307に相当)と、前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップ(例えば、図6のステップS212に相当)と、前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップ(例えば、図6のステップS213、図7のステップS308に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップ(例えば、図6のステップS214、図7のステップS309に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップ(例えば、図6のステップS215、図7のステップS309に相当)と、前記サービス提供サーバが、失効確認を実行する第15のステップ(例えば、図6のステップS216、図7のステップS310に相当)と、前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップ(例えば、図6のステップS217、図7のステップS311に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0027】
この発明によれば、ユーザ端末は、生体情報を読み取る。ユーザ端末は、その読み取った生体情報から秘密鍵x2を生成する。ユーザ端末は、生成した乱数から秘密鍵x1を生成する。ユーザ端末は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。ユーザ端末は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。属性証明書発行サーバは、ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う。属性証明書発行サーバは、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。前記ユーザ端末が、サービス提供サーバにサービスの提供要求を送信する。サービス提供サーバは、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。サービス提供サーバは、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。ユーザ端末は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。ユーザ端末は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する。ユーザ端末は、変形した属性証明書と算出した署名値とをサービス提供サーバに送信する。サービス提供サーバは、ユーザ端末から受信した属性証明書を検証する。サービス提供サーバは、ユーザ端末から受信した署名値を検証する。サービス提供サーバは、失効確認を実行する。サービス提供サーバは、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【発明の効果】
【0028】
本発明によれば、認証の際に、匿名性が保証されるという効果がある。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできないという効果がある。また、認証の際には、第3者との通信を必要としないという効果がある。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能であるという効果がある。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能であるという効果がある。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式であるという効果がある。
【図面の簡単な説明】
【0029】
【図1】本発明の実施形態に係る生体認証システムのシステム構成の一例を示す図である。
【図2】本発明の実施形態に係る属性認証クライアントモジュールの構成図である。
【図3】本発明の実施形態に係る生体情報から秘密鍵を生成する過程を説明する図である。
【図4】本発明の実施形態に係る属性認証サーバモジュールの構成図である。
【図5】本発明の実施形態に係る属性証明書発行モジュールの構成図である。
【図6】本発明の実施形態に係る生体認証システムの全体の動作シーケンスを示す図である。
【図7】本発明の実施形態に係る生体認証システムにおけるユーザ端末の動作を示すフローチャートである。
【図8】本発明の実施形態に係る生体認証システムの属性情報の有効期間の管理方法について説明するために引用した動作概念図である。
【発明を実施するための形態】
【0030】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0031】
<生体認証システムのシステム構成>
図1は、本発明の実施形態に係る生体認証システムのシステム構成の一例を示す図である。
図1に示すように、本実施形態に係る生体認証システムは、ユーザ端末1(U)と、サービス提供者が管理運営するサービス提供サーバ(以下、単にSPサーバ2という)と、属性認証局(CA)が管理運営する属性認証サーバ3とから構成され、いずれもネットワーク4を介して接続されている。
【0032】
また、ユーザ端末1は、属性認証クライアントモジュール10を備え、SPサーバ2は、属性認証サーバモジュール20を備え、属性認証サーバ3は、属性証明書発行モジュール30を備えている。
【0033】
<属性認証クライアントモジュールの構成>
さらに、属性認証クライアントモジュール10は、図2に示すように、生体情報読取部11と、鍵生成部12と、属性証明書変形部13と、送信部14と、処理部15とから構成されている。
【0034】
生体情報読取部11は、ユーザの生体情報を読み取る。鍵生成部12は、生体情報読取部11が読み取った生体情報から秘密鍵x2を生成する。具体的には、図3に示すように、生体情報読取部11において、生体情報を読み込み離散化された生体情報から揺らぎやノイズを除去する処理を行って、秘密鍵x2を生成する。また、生体情報読取部11が生成した乱数から秘密鍵x1を生成する。さらに、この2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。
【0035】
属性証明書変形部13は、乱数fを生成し、その乱数fを用いて、属性認証局サーバ(CA)3が発行する属性証明書をfzyに変形する。
【0036】
送信部14は、SPサーバ2にサービスの提供要求と属性証明書変形部13において変形した属性証明書と、処理部15において算出した署名値とを送信する。さらに、属性認証局サーバ(CA)3に生成した公開鍵y1、y2を送信する。
【0037】
処理部15は、鍵生成部12が生成した2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、r*y3に対する署名値を算出する。具体的には、属性証明書変形部13が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、チャレンジr*y3に対する署名値をs1=f*x1*r*y3、s2=f*x2*r*y3により算出する。これにより、シンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0038】
<属性認証サーバモジュールの構成>
また、属性認証サーバモジュール20は、図4に示すように、属性証明書検証部21と、署名値検証部22と、失効確認実行部23と、サービス提供部24と、鍵生成部25と、チャレンジ生成部26と、送信部27とから構成されている。
【0039】
属性証明書検証部21は、ユーザ端末1から受信した属性証明書を検証する。具体的には、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、この演算式が成立するかどうかにより、属性証明書の正当性を検証する。これにより、ユーザ端末から送信されてきた属性証明書をまとめて検証することができるため、計算負荷を削減することができる。
【0040】
署名値検証部22は、ユーザ端末1から受信した署名値を検証する。具体的には、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、演算式が成立するかどうかにより、署名の正当性を検証する。これにより、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0041】
失効確認実行部23は、失効確認を実行する。具体的には、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、演算式が成立するかどうかにより、失効確認を実行する。したがって、失効リストを統一しつつ、サービス提供者の秘密鍵x3を知らない第三者が容易に失効情報の開示された時点より前の通信履歴から、利用者の行動をトレースすることができない失効確認処理を実現することができる。
【0042】
サービス提供部24は、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末1に対して、属性情報に基づいたサービスの提供を行う。
【0043】
鍵生成部25は、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。このとき、事前に属性認証サーバ3から公開鍵証明書zy3の発行を受けておく。チャレンジ生成部26は、乱数rを生成し、r*y3を計算して、計算した値をチャレンジとして生成する。送信部27は、チャレンジ生成部26が生成したチャレンジをユーザ端末1に送信する。
【0044】
<属性証明書発行モジュールの構成>
属性証明書発行モジュール30は、図5に示すように、署名部31と、属性証明書発行部32と、送信部33と、ユーザ情報格納部34と、データテーブル生成部35とから構成されている。
【0045】
署名部31は、ユーザ端末1の鍵生成部12が生成した公開鍵y1、y2に対して、y1+y2を計算し、このy1+y2に対して保有する署名鍵で署名を行う。なお、署名鍵は、図8に示すように、現在あるものの中から最も有効期間が長いものを用いる。具体的には、署名用の秘密鍵をz、これに対応する公開鍵をzP(Pは生成元)としたときに、署名は、z(y1+y2)となる。これにより、ユーザに対して、必要十分な情報のみを与え、ユーザの不正行為を防止することができる。また、計算負荷を削減できるため、計算速度を速くすることができる。
【0046】
属性証明書発行部32は、ユーザ端末1に対して、{y1、y2、z(y1+y2)}を属性証明書として発行する。送信部33は、属性証明書発行部32が発行した属性証明書をユーザ端末1に送信する。
【0047】
ユーザ情報格納部34は、発行したユーザの秘密鍵x1、x2が有効期限内である限りは、y1、z(y1+y2)を保管しておく。
【0048】
<生体認証システムの動作シーケンス>
図6は、本発明の実施形態に係る生体認証システム全体の動作の流れを時系列的に示した動作シーケンス図であり、図7は、ユーザ端末の動作の流れをフローチャートで示した図である。なお、図6に示す動作シーケンス図は、本発明の生体認証システムにおける属性情報の匿名化方法の手順も併せて示されている。
以下、図6、図7を参照しながら図1に示す生体認証システムの動作について詳細に説明する。
【0049】
まず、ユーザ端末1の生体情報読取部11は、を生体情報読取デバイスに読み込んだ生体情報からませ、秘密鍵を生成する。これをx2とする。また、サービスごとに秘密鍵を変更可能とするため、生体情報読取部11が乱数を生成し、乱数から秘密鍵を作成する。これをx1とする。その際には、作成した乱数は生体情報読取部11が保持しておく。なお、生体情報は揺らぎを持つため、揺らぎを吸収し、同一の鍵を生成するロジックを組み込む。例えば、ある領域を特徴情報とし、その情報から1ビット分の情報を取り出すような手法を用いて揺らぎを吸収する(図6のステップS201、図7のステップS301)。
【0050】
ユーザ端末1の鍵生成部12は、ユーザの秘密鍵x1、x2と公開鍵y1=x1*P、y2=x2*Pを生成する(図6のステップS202、図7のステップS302、S303)。なお、ここで、Pは生成元である。そして、ユーザ端末1の送信部14は、属性認証サーバ3に対して、属性証明書の発行要求を送信する(図6のステップS203)。
【0051】
属性認証サーバ3は、y1+y2を計算し、y1+y2に対し、属性認証サーバ3が保有する属性用の署名鍵で署名を行う(図7のステップS303)。なお、署名鍵は、現在ある中からもっとも有効期限の長いものを使用する(図8参照)。署名は、署名用の秘密鍵をz、対応する公開鍵をzPとしたとき、z(y1+y2)となる。
【0052】
そして、{y1、y2、z(y1+y2)}を証明書として、ユーザ端末1に発行する。また、発行したユーザの秘密鍵x1、x2が有効期限内である限りは、y1およびz(y1+y2)を保管しておく(図6のステップS204、S205、図7のステップS304)。
【0053】
図8は、有効期間の管理の仕方を概念的に示している。図8中、横軸のtは、時間の流れを示す。本発明によれば、属性情報が鍵情報のみとなったことにより、新たな有効期間の管理が必要となる。このため、図6に示されるように、属性認証サーバ3の属性証明書発行モジュール30が、属性ごとに複数の署名鍵を割当て、定期的に組合せを更新することによって有効期間の管理を行うことにしている。その際に、サービスを非常に短い期間しか享受できないユーザが発生しないように、属性毎割当てられる複数の書名鍵を並行管理する。
【0054】
なお、署名鍵を最も有効期間の長いものを割当てるために、例えば、図8に示されるように、仮に、鍵Aの使用期間における後半部分で鍵を割当てようとした場合、属性認証サーバ3の属性証明書発行モジュール30は、ユーザ端末1の属性認証クライアントモジュール10に対して、署名鍵Dあるいは署名鍵Eを割当てる。これにより、ユーザがサービスを非常に短い期間しか受けられないという不都合を防止することができる。
【0055】
次に、ユーザ端末1の送信部14は、SPサーバ2に対して、サービスの提供要求を送信する(図6のステップS209、図7のステップS305)。SPサーバ2の鍵生成部25は、自身の秘密鍵x3と公開鍵y3=x3*Pを生成する(図6のステップS206)。また、属性認証サーバ3から同様に公開鍵証明書zy3の発行を受けておく。SPサーバ2は、属性認証サーバ3に対して、証明書の発行要求を送信し(図6のステップS207)、この発行要求に対応して、属性認証サーバ3が、SPサーバ2に対して、証明書を発行する(図6のステップS208)。
【0056】
SPサーバ2のチャレンジ生成部26は、乱数rを生成し、r*y3を計算して、計算した値をチャレンジとして、これを送信部27からユーザ端末1に送信する(図6のステップS210、図7のステップS306)。
【0057】
ユーザ端末1の属性証明書変形部13は、受信した属性証明書を変形する(図6のステップS211、図7のステップS307)。具体的には、乱数fを生成し、fz(y1+y2)と変形する。
【0058】
また、このとき秘密鍵もfx1、fx2に変形される。そして、ユーザ端末1の処理部15が、fx1、fx2を用いてr*y3に対する署名値を計算する。具体的には、s1=f*x1*r*y3、s2=f*x2*r*y3を計算する。(図6のステップS212)。
【0059】
ユーザ端末1の送信部14は、変形した属性証明書と、計算した署名値をSPサーバ2に返信する(図6のステップS213、図7のステップS308)。
【0060】
SPサーバ2の属性証明書検証部21は、送られてきた属性証明書を検証する(図6のステップS214、図7のステップS309)。ここで、検証にはPairing計算を用いる。具体的には、ペアリング計算をe(*、*)で表したとき、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)が成立するかどうかを検証する。ここで、zPは属性発行用の公開鍵である。
【0061】
次に、SPサーバ2の署名値検証部22が、送られてきた署名を検証する(図6のステップS215、図7のステップS309)。具体的には、e(s1、P)e(s2、P)=e(f*(y1+y2)、r*y3)が成り立つかどうかを検証する。
【0062】
さらに、SPサーバ2の失効確認実行部23は、失効確認を実行する(図6のステップS216、図7のステップS310)。ここで、失効確認を行う場合は、失効リストを事前にあるいは、その場で属性認証サーバ3から取得する。失効リストとは、属性認証サーバ3が生成するもので、失効したユーザの公開鍵y1およびz(y1+y2)が公開される。失効リストには属性認証サーバ3による署名が付与されており、その正当性が確認できる。
【0063】
失効確認は、失効リストに掲載されているすべてのy1についてr*x3*y1を計算し、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)が成り立つかどうか検証する。この式が成立したとき、その鍵は無効である(失効している)と判断する。
【0064】
SPサーバ2は、証明書の正当性確認、署名の正当性確認、失効確認が完了すると、認証が成功したものとして判断し、SPサーバ2のサービス提供部24が、ユーザ端末1に対して属性情報に基づいたサービス提供を行う(図6のステップS217、図7のステップS311)。
【0065】
なお、上記した生体認証システムの具体的な利用用途としては、医療情報の開示において、医療資格を持つ否かの確認、あるいは、公共交通機関において、公的に発行されたシルバーパス等の資格を確認する等の用途が考えられる。
【0066】
以上、説明したように本実施形態においては、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0067】
なお、図1に示す、属性認証クライアントモジュール10、属性認証サーバモジュール20、属性証明書発行モジュール30は、ユーザ端末1、SPサーバ2、属性認証サーバ3のそれぞれで実行されるプログラムであり、これらプログラムをコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをユーザ端末1、SPサーバ2、属性認証サーバ3のそれぞれ(いずれもコンピュータシステム)に読み込ませ、実行することによって本発明の生体認証システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0068】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0069】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0070】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。例えば、本実施形態においては、属性認証サーバ3が失効確認処理を実行する形態について説明したが、属性認証サーバ3とは別に、失効確認処理を行うサーバを設けてもよい。
【符号の説明】
【0071】
1・・・ユーザ端末(U)
2・・・サービス提供サーバ(SPサーバ)
3・・・属性認証サーバ(CAサーバ)
4・・・ネットワーク
10・・・属性認証クライアントモジュール
11・・・生体情報読取部
12・・・鍵生成部
13・・・属性証明書変形部
14・・・送信部
15・・・処理部
20・・・属性認証サーバモジュール
21・・・属性証明書検証部
22・・・署名値検証部
23・・・失効確認実行部
24・・・サービス提供部
25・・・鍵生成部
26・・・乱数生成部
27・・・送信部
30・・・属性証明書発行モジュール
31・・・署名部
32・・・属性証明書発行部
33・・・送信部
【技術分野】
【0001】
本発明は、匿名かつ追跡不可能性を有する認証プロトコルを拡張し、生体情報から鍵を生成することにより追跡不可能でリモートな生体認証システム、生体認証方法およびプログラムに関する。
【背景技術】
【0002】
近年、様々なサービスがインターネットを通して電子的に提供されるようになってきている。そのようなサービス提供を行う際には、利用者を認証することが不可欠となる。ここで、利用者を認証する方法は、通常、個人を特定する認証と、属性認証等、個人を特定しない認証(例えば、特許文献1参照)とに大別される。
【0003】
一方、具体的な認証手段としてバイオメトリクスを用いた生体認証がある。生体認証は、利用者の生体情報を利用できるため、高いセキュリティを実現できるという特徴がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特公平8−2051号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、個人の生体情報は、固定された情報となるため、その情報を利用して利用者の追跡が可能となってしまうという問題点がある。また、従来の属性認証技術では、リモートで匿名な生体認証を実現する技術はなかった。
【0006】
そこで、本発明は、上述の課題に鑑みてなされたものであり、匿名かつ追跡不可能性を有する認証プロトコルを拡張し、生体情報から鍵を生成することにより追跡不可能でリモートな生体認証システム、生体認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上記した課題を解決するために以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。
【0008】
(1)本発明は、ユーザ端末(例えば、図1のユーザ端末1に相当)と、属性証明書発行サーバ(例えば、図1の属性認証サーバ3に相当)と、サービス提供サーバ(例えば、図1のSPサーバ2に相当)とがネットワークを介して接続されて成る生体認証システムであって、前記ユーザ端末が、生体情報を読み取る生体情報読み取り手段(例えば、図2の生体情報読取部11に相当)と、該読み取った生体情報から秘密鍵x2を生成する第1の秘密鍵生成手段(例えば、図2の鍵生成部12に相当)と、前記生体情報読み取り手段が、乱数を生成し、該生成した乱数から秘密鍵x1を生成する第2の秘密鍵生成手段(例えば、図2の鍵生成部12に相当)と、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第1の公開鍵生成手段(例えば、図2の鍵生成部12に相当)と、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第1の送信手段(例えば、図2の送信部14に相当)と、前記サービス提供サーバにサービスの提供要求を送信する第2の送信手段(例えば、図2の送信部14に相当)と、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する変形手段(例えば、図2の属性証明書変形部13に相当)と、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する処理手段(例えば、図2の処理部15に相当)と、前記変形手段において変形した属性証明書と該処理手段において算出した署名値とを前記サービス提供サーバに送信する第3の送信手段(例えば、図2の送信部14に相当)と、を備え、前記属性証明書発行サーバが、前記ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う署名手段(例えば、図5の署名部31に相当)と、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する発行手段(例えば、図5の属性証明書発行部32に相当)と、を備え、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する鍵生成手段(例えば、図4の鍵生成部25に相当)と、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第4の送信手段(例えば、図4の送信部27に相当)と、前記ユーザ端末から受信した属性証明書を検証する第1の検証手段(例えば、図4の属性証明書検証部21に相当)と、前記ユーザ端末から受信した署名値を検証する第2の検証手段(例えば、図4の署名値検証部22に相当)と、失効確認を実行する失効確認実行手段(例えば、図4の失効確認実行部23に相当)と、前記第1の検証手段により属性証明書の正当性が確認され、前記第2の検証手段により署名値の正当性が確認され、かつ、前記失効確認実行手段により失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行うサービス提供手段(例えば、図4のサービス提供部24に相当)と、を備えたことを特徴とする生体認証システムを提案している。
【0009】
この発明によれば、ユーザ端末の生体情報読み取り手段は、生体情報を読み取る。第1の秘密鍵生成手段は、その読み取った生体情報から秘密鍵x2を生成する。第2の秘密鍵生成手段は、生体情報読み取り手段が、乱数を生成し、その生成した乱数から秘密鍵x1を生成する。第1の公開鍵生成手段は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。第1の送信手段は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。第2の送信手段は、サービス提供サーバにサービスの提供要求を送信する。変形手段は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。処理手段は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する。第3の送信手段は、変形手段において変形した属性証明書とその処理手段において算出した署名値とをサービス提供サーバに送信する。属性証明書発行サーバの署名手段は、ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う。発行手段は、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。サービス提供サーバの鍵生成手段は、自身の秘密鍵x3と公開鍵y3(=x3*P)とを生成する。第4の送信手段は、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。第1の検証手段は、ユーザ端末から受信した属性証明書を検証する。第2の検証手段は、ユーザ端末から受信した署名値を検証する。失効確認実行手段は、失効確認を実行する。サービス提供手段は、第1の検証手段により属性証明書の正当性が確認され、第2の検証手段により署名値の正当性が確認され、かつ、失効確認実行手段により失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0010】
(2)本発明は、(1)に記載の生体認証システムにおいて、前記第1の秘密鍵生成手段が、読み取った生体情報からノイズを除去して、秘密鍵x2を生成することを特徴とする生体認証システムを提案している。
【0011】
この発明によれば、生体情報が揺らぎをもつが、読み取った生体情報からノイズを除去することにより、このゆらぎを吸収することができる。
【0012】
(3)本発明は、(1)に記載の生体認証システムにおいて、前記サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信することを特徴とする生体認証システムを提案している。
【0013】
この発明によれば、サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信する。つまり、チャレンジの中に、サービス提供者ごとに異なる公開鍵y3(=x3*P)を埋め込み、このチャレンジに対して、ユーザ端末から署名が返信されることから、サービス提供者の公開鍵y3を知らない第三者には、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースすることができない。
【0014】
(4)本発明は、(3)に記載の生体認証システムにおいて、前記ユーザ端末の処理手段が、前記変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出することを特徴とする生体認証システムを提案している。
【0015】
この発明によれば、ユーザ端末の処理手段が、変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出する。したがって、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0016】
(5)本発明は、(1)に記載の生体認証システムにおいて、前記サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証することを特徴とする生体認証システムを提案している。
【0017】
この発明によれば、サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証する。したがって、上記演算式により、ユーザ端末から送信されてきた属性証明書をまとめて検証することができるため、計算負荷を削減することができる。
【0018】
(6)本発明は、(4)に記載の生体認証システムにおいて、前記サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、該演算式が成立するかどうかにより、署名の正当性を検証することを特徴とする生体認証システムを提案している。
【0019】
この発明によれば、サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、その演算式が成立するかどうかにより、署名の正当性を検証する。したがって、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0020】
(7)本発明は、(3)または(4)に記載の生体認証システムにおいて、前記サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、該演算式が成立するかどうかにより、失効確認を実行することを特徴とする生体認証システムを提案している。
【0021】
この発明によれば、サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、その演算式が成立するかどうかにより、失効確認を実行する。したがって、失効リストを統一しつつ、サービス提供者の秘密鍵x3を知らない第三者が容易に失効情報の開示された時点より前の通信履歴から、利用者の行動をトレースすることができない失効確認処理を実現することができる。
【0022】
(8)本発明は、(1)に記載の生体認証システムにおいて、前記属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開することを特徴とする生体認証システムを提案している。
【0023】
この発明によれば、属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開する。これにより、y1、y2を公開するのではなく、y1、z(y1+y2)を公開するため、公開した情報から過去の履歴をトレースすることを防止して、Foward Securityを確保することができる。
【0024】
(9)本発明は、ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法であって、前記ユーザ端末が、生体情報を読み取る第1のステップ(例えば、図6のステップS201、図7のステップS301に相当)と、前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップ(例えば、図6のステップS202、図7のステップS302、S303に相当)と、前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップ(例えば、図7のステップS303に相当)と、前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップ(例えば、図6のステップS204、S205、図7のステップS304に相当)と、前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップ(例えば、図6のステップS209、図7のステップS305に相当)と、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップ(例えば、図6のステップS206に相当)と、前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップ(例えば、図6のステップS210、図7のステップS306に相当)と、前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップ(例えば、図6のステップS211、図7のステップS307に相当)と、前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップ(例えば、図6のステップS212に相当)と、前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップ(例えば、図6のステップS213、図7のステップS308に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップ(例えば、図6のステップS214、図7のステップS309に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップ(例えば、図6のステップS215、図7のステップS309に相当)と、前記サービス提供サーバが、失効確認を実行する第15のステップ(例えば、図6のステップS216、図7のステップS310に相当)と、前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップ(例えば、図6のステップS217、図7のステップS311に相当)と、を備えたことを特徴とする生体認証方法を提案している。
【0025】
この発明によれば、ユーザ端末は、生体情報を読み取る。ユーザ端末は、その読み取った生体情報から秘密鍵x2を生成する。ユーザ端末は、生成した乱数から秘密鍵x1を生成する。ユーザ端末は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。ユーザ端末は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。属性証明書発行サーバは、ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う。属性証明書発行サーバは、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。ユーザ端末が、サービス提供サーバにサービスの提供要求を送信する。サービス提供サーバは、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。サービス提供サーバは、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。ユーザ端末は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。ユーザ端末は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する。ユーザ端末は、変形した属性証明書と算出した署名値とをサービス提供サーバに送信する。サービス提供サーバは、ユーザ端末から受信した属性証明書を検証する。サービス提供サーバは、ユーザ端末から受信した署名値を検証する。サービス提供サーバは、失効確認を実行する。サービス提供サーバは、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0026】
(10)本発明は、ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法をコンピュータに実行させるためのプログラムであって、前記ユーザ端末が、生体情報を読み取る第1のステップ(例えば、図6のステップS201、図7のステップS301に相当)と、前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップ(例えば、図6のステップS202、図7のステップS302、S303に相当)と、前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップ(例えば、図7のステップS303に相当)と、前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップ(例えば、図6のステップS204、S205、図7のステップS304に相当)と、前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップ(例えば、図6のステップS209、図7のステップS305に相当)と、前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップ(例えば、図6のステップS206に相当)と、前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップ(例えば、図6のステップS210、図7のステップS306に相当)と、前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップ(例えば、図6のステップS211、図7のステップS307に相当)と、前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップ(例えば、図6のステップS212に相当)と、前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップ(例えば、図6のステップS213、図7のステップS308に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップ(例えば、図6のステップS214、図7のステップS309に相当)と、前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップ(例えば、図6のステップS215、図7のステップS309に相当)と、前記サービス提供サーバが、失効確認を実行する第15のステップ(例えば、図6のステップS216、図7のステップS310に相当)と、前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップ(例えば、図6のステップS217、図7のステップS311に相当)と、をコンピュータに実行させるためのプログラムを提案している。
【0027】
この発明によれば、ユーザ端末は、生体情報を読み取る。ユーザ端末は、その読み取った生体情報から秘密鍵x2を生成する。ユーザ端末は、生成した乱数から秘密鍵x1を生成する。ユーザ端末は、その2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。ユーザ端末は、属性証明書発行サーバに、その生成した公開鍵y1、y2を送信する。属性証明書発行サーバは、ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う。属性証明書発行サーバは、ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する。前記ユーザ端末が、サービス提供サーバにサービスの提供要求を送信する。サービス提供サーバは、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。サービス提供サーバは、生成した乱数rと公開鍵y3とからなる情報をチャレンジとしてユーザ端末に送信する。ユーザ端末は、乱数fを生成し、その乱数fを用いて、属性証明書発行サーバが発行する属性証明書を変形する。ユーザ端末は、2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する。ユーザ端末は、変形した属性証明書と算出した署名値とをサービス提供サーバに送信する。サービス提供サーバは、ユーザ端末から受信した属性証明書を検証する。サービス提供サーバは、ユーザ端末から受信した署名値を検証する。サービス提供サーバは、失効確認を実行する。サービス提供サーバは、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末に対して、属性情報に基づいたサービスの提供を行う。したがって、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【発明の効果】
【0028】
本発明によれば、認証の際に、匿名性が保証されるという効果がある。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできないという効果がある。また、認証の際には、第3者との通信を必要としないという効果がある。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能であるという効果がある。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能であるという効果がある。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式であるという効果がある。
【図面の簡単な説明】
【0029】
【図1】本発明の実施形態に係る生体認証システムのシステム構成の一例を示す図である。
【図2】本発明の実施形態に係る属性認証クライアントモジュールの構成図である。
【図3】本発明の実施形態に係る生体情報から秘密鍵を生成する過程を説明する図である。
【図4】本発明の実施形態に係る属性認証サーバモジュールの構成図である。
【図5】本発明の実施形態に係る属性証明書発行モジュールの構成図である。
【図6】本発明の実施形態に係る生体認証システムの全体の動作シーケンスを示す図である。
【図7】本発明の実施形態に係る生体認証システムにおけるユーザ端末の動作を示すフローチャートである。
【図8】本発明の実施形態に係る生体認証システムの属性情報の有効期間の管理方法について説明するために引用した動作概念図である。
【発明を実施するための形態】
【0030】
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
【0031】
<生体認証システムのシステム構成>
図1は、本発明の実施形態に係る生体認証システムのシステム構成の一例を示す図である。
図1に示すように、本実施形態に係る生体認証システムは、ユーザ端末1(U)と、サービス提供者が管理運営するサービス提供サーバ(以下、単にSPサーバ2という)と、属性認証局(CA)が管理運営する属性認証サーバ3とから構成され、いずれもネットワーク4を介して接続されている。
【0032】
また、ユーザ端末1は、属性認証クライアントモジュール10を備え、SPサーバ2は、属性認証サーバモジュール20を備え、属性認証サーバ3は、属性証明書発行モジュール30を備えている。
【0033】
<属性認証クライアントモジュールの構成>
さらに、属性認証クライアントモジュール10は、図2に示すように、生体情報読取部11と、鍵生成部12と、属性証明書変形部13と、送信部14と、処理部15とから構成されている。
【0034】
生体情報読取部11は、ユーザの生体情報を読み取る。鍵生成部12は、生体情報読取部11が読み取った生体情報から秘密鍵x2を生成する。具体的には、図3に示すように、生体情報読取部11において、生体情報を読み込み離散化された生体情報から揺らぎやノイズを除去する処理を行って、秘密鍵x2を生成する。また、生体情報読取部11が生成した乱数から秘密鍵x1を生成する。さらに、この2つの秘密鍵x1、x2から公開鍵y1、y2を生成する。
【0035】
属性証明書変形部13は、乱数fを生成し、その乱数fを用いて、属性認証局サーバ(CA)3が発行する属性証明書をfzyに変形する。
【0036】
送信部14は、SPサーバ2にサービスの提供要求と属性証明書変形部13において変形した属性証明書と、処理部15において算出した署名値とを送信する。さらに、属性認証局サーバ(CA)3に生成した公開鍵y1、y2を送信する。
【0037】
処理部15は、鍵生成部12が生成した2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、その変形したfx1、fx2を用いて、r*y3に対する署名値を算出する。具体的には、属性証明書変形部13が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、チャレンジr*y3に対する署名値をs1=f*x1*r*y3、s2=f*x2*r*y3により算出する。これにより、シンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0038】
<属性認証サーバモジュールの構成>
また、属性認証サーバモジュール20は、図4に示すように、属性証明書検証部21と、署名値検証部22と、失効確認実行部23と、サービス提供部24と、鍵生成部25と、チャレンジ生成部26と、送信部27とから構成されている。
【0039】
属性証明書検証部21は、ユーザ端末1から受信した属性証明書を検証する。具体的には、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、この演算式が成立するかどうかにより、属性証明書の正当性を検証する。これにより、ユーザ端末から送信されてきた属性証明書をまとめて検証することができるため、計算負荷を削減することができる。
【0040】
署名値検証部22は、ユーザ端末1から受信した署名値を検証する。具体的には、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、演算式が成立するかどうかにより、署名の正当性を検証する。これにより、上記のようなシンプルな演算式により署名値の演算を行うため、計算負荷を軽減することができる。
【0041】
失効確認実行部23は、失効確認を実行する。具体的には、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、演算式が成立するかどうかにより、失効確認を実行する。したがって、失効リストを統一しつつ、サービス提供者の秘密鍵x3を知らない第三者が容易に失効情報の開示された時点より前の通信履歴から、利用者の行動をトレースすることができない失効確認処理を実現することができる。
【0042】
サービス提供部24は、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、ユーザ端末1に対して、属性情報に基づいたサービスの提供を行う。
【0043】
鍵生成部25は、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する。このとき、事前に属性認証サーバ3から公開鍵証明書zy3の発行を受けておく。チャレンジ生成部26は、乱数rを生成し、r*y3を計算して、計算した値をチャレンジとして生成する。送信部27は、チャレンジ生成部26が生成したチャレンジをユーザ端末1に送信する。
【0044】
<属性証明書発行モジュールの構成>
属性証明書発行モジュール30は、図5に示すように、署名部31と、属性証明書発行部32と、送信部33と、ユーザ情報格納部34と、データテーブル生成部35とから構成されている。
【0045】
署名部31は、ユーザ端末1の鍵生成部12が生成した公開鍵y1、y2に対して、y1+y2を計算し、このy1+y2に対して保有する署名鍵で署名を行う。なお、署名鍵は、図8に示すように、現在あるものの中から最も有効期間が長いものを用いる。具体的には、署名用の秘密鍵をz、これに対応する公開鍵をzP(Pは生成元)としたときに、署名は、z(y1+y2)となる。これにより、ユーザに対して、必要十分な情報のみを与え、ユーザの不正行為を防止することができる。また、計算負荷を削減できるため、計算速度を速くすることができる。
【0046】
属性証明書発行部32は、ユーザ端末1に対して、{y1、y2、z(y1+y2)}を属性証明書として発行する。送信部33は、属性証明書発行部32が発行した属性証明書をユーザ端末1に送信する。
【0047】
ユーザ情報格納部34は、発行したユーザの秘密鍵x1、x2が有効期限内である限りは、y1、z(y1+y2)を保管しておく。
【0048】
<生体認証システムの動作シーケンス>
図6は、本発明の実施形態に係る生体認証システム全体の動作の流れを時系列的に示した動作シーケンス図であり、図7は、ユーザ端末の動作の流れをフローチャートで示した図である。なお、図6に示す動作シーケンス図は、本発明の生体認証システムにおける属性情報の匿名化方法の手順も併せて示されている。
以下、図6、図7を参照しながら図1に示す生体認証システムの動作について詳細に説明する。
【0049】
まず、ユーザ端末1の生体情報読取部11は、を生体情報読取デバイスに読み込んだ生体情報からませ、秘密鍵を生成する。これをx2とする。また、サービスごとに秘密鍵を変更可能とするため、生体情報読取部11が乱数を生成し、乱数から秘密鍵を作成する。これをx1とする。その際には、作成した乱数は生体情報読取部11が保持しておく。なお、生体情報は揺らぎを持つため、揺らぎを吸収し、同一の鍵を生成するロジックを組み込む。例えば、ある領域を特徴情報とし、その情報から1ビット分の情報を取り出すような手法を用いて揺らぎを吸収する(図6のステップS201、図7のステップS301)。
【0050】
ユーザ端末1の鍵生成部12は、ユーザの秘密鍵x1、x2と公開鍵y1=x1*P、y2=x2*Pを生成する(図6のステップS202、図7のステップS302、S303)。なお、ここで、Pは生成元である。そして、ユーザ端末1の送信部14は、属性認証サーバ3に対して、属性証明書の発行要求を送信する(図6のステップS203)。
【0051】
属性認証サーバ3は、y1+y2を計算し、y1+y2に対し、属性認証サーバ3が保有する属性用の署名鍵で署名を行う(図7のステップS303)。なお、署名鍵は、現在ある中からもっとも有効期限の長いものを使用する(図8参照)。署名は、署名用の秘密鍵をz、対応する公開鍵をzPとしたとき、z(y1+y2)となる。
【0052】
そして、{y1、y2、z(y1+y2)}を証明書として、ユーザ端末1に発行する。また、発行したユーザの秘密鍵x1、x2が有効期限内である限りは、y1およびz(y1+y2)を保管しておく(図6のステップS204、S205、図7のステップS304)。
【0053】
図8は、有効期間の管理の仕方を概念的に示している。図8中、横軸のtは、時間の流れを示す。本発明によれば、属性情報が鍵情報のみとなったことにより、新たな有効期間の管理が必要となる。このため、図6に示されるように、属性認証サーバ3の属性証明書発行モジュール30が、属性ごとに複数の署名鍵を割当て、定期的に組合せを更新することによって有効期間の管理を行うことにしている。その際に、サービスを非常に短い期間しか享受できないユーザが発生しないように、属性毎割当てられる複数の書名鍵を並行管理する。
【0054】
なお、署名鍵を最も有効期間の長いものを割当てるために、例えば、図8に示されるように、仮に、鍵Aの使用期間における後半部分で鍵を割当てようとした場合、属性認証サーバ3の属性証明書発行モジュール30は、ユーザ端末1の属性認証クライアントモジュール10に対して、署名鍵Dあるいは署名鍵Eを割当てる。これにより、ユーザがサービスを非常に短い期間しか受けられないという不都合を防止することができる。
【0055】
次に、ユーザ端末1の送信部14は、SPサーバ2に対して、サービスの提供要求を送信する(図6のステップS209、図7のステップS305)。SPサーバ2の鍵生成部25は、自身の秘密鍵x3と公開鍵y3=x3*Pを生成する(図6のステップS206)。また、属性認証サーバ3から同様に公開鍵証明書zy3の発行を受けておく。SPサーバ2は、属性認証サーバ3に対して、証明書の発行要求を送信し(図6のステップS207)、この発行要求に対応して、属性認証サーバ3が、SPサーバ2に対して、証明書を発行する(図6のステップS208)。
【0056】
SPサーバ2のチャレンジ生成部26は、乱数rを生成し、r*y3を計算して、計算した値をチャレンジとして、これを送信部27からユーザ端末1に送信する(図6のステップS210、図7のステップS306)。
【0057】
ユーザ端末1の属性証明書変形部13は、受信した属性証明書を変形する(図6のステップS211、図7のステップS307)。具体的には、乱数fを生成し、fz(y1+y2)と変形する。
【0058】
また、このとき秘密鍵もfx1、fx2に変形される。そして、ユーザ端末1の処理部15が、fx1、fx2を用いてr*y3に対する署名値を計算する。具体的には、s1=f*x1*r*y3、s2=f*x2*r*y3を計算する。(図6のステップS212)。
【0059】
ユーザ端末1の送信部14は、変形した属性証明書と、計算した署名値をSPサーバ2に返信する(図6のステップS213、図7のステップS308)。
【0060】
SPサーバ2の属性証明書検証部21は、送られてきた属性証明書を検証する(図6のステップS214、図7のステップS309)。ここで、検証にはPairing計算を用いる。具体的には、ペアリング計算をe(*、*)で表したとき、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)が成立するかどうかを検証する。ここで、zPは属性発行用の公開鍵である。
【0061】
次に、SPサーバ2の署名値検証部22が、送られてきた署名を検証する(図6のステップS215、図7のステップS309)。具体的には、e(s1、P)e(s2、P)=e(f*(y1+y2)、r*y3)が成り立つかどうかを検証する。
【0062】
さらに、SPサーバ2の失効確認実行部23は、失効確認を実行する(図6のステップS216、図7のステップS310)。ここで、失効確認を行う場合は、失効リストを事前にあるいは、その場で属性認証サーバ3から取得する。失効リストとは、属性認証サーバ3が生成するもので、失効したユーザの公開鍵y1およびz(y1+y2)が公開される。失効リストには属性認証サーバ3による署名が付与されており、その正当性が確認できる。
【0063】
失効確認は、失効リストに掲載されているすべてのy1についてr*x3*y1を計算し、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)が成り立つかどうか検証する。この式が成立したとき、その鍵は無効である(失効している)と判断する。
【0064】
SPサーバ2は、証明書の正当性確認、署名の正当性確認、失効確認が完了すると、認証が成功したものとして判断し、SPサーバ2のサービス提供部24が、ユーザ端末1に対して属性情報に基づいたサービス提供を行う(図6のステップS217、図7のステップS311)。
【0065】
なお、上記した生体認証システムの具体的な利用用途としては、医療情報の開示において、医療資格を持つ否かの確認、あるいは、公共交通機関において、公的に発行されたシルバーパス等の資格を確認する等の用途が考えられる。
【0066】
以上、説明したように本実施形態においては、認証の際に、匿名性が保証される。また、認証に使用する鍵を、生体情報から生成するため、他人に譲渡したり、貸与したりすることはできない。また、認証の際には、第3者との通信を必要としない。また、認証に使用する鍵の任意の変形が第3者との通信なしに可能である。また、失効処理および失効確認処理が第3者に問い合わせることなしに可能である。さらに、失効情報が開示された時点より前の通信履歴から、利用者の行動をトレースできない方式である。
【0067】
なお、図1に示す、属性認証クライアントモジュール10、属性認証サーバモジュール20、属性証明書発行モジュール30は、ユーザ端末1、SPサーバ2、属性認証サーバ3のそれぞれで実行されるプログラムであり、これらプログラムをコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをユーザ端末1、SPサーバ2、属性認証サーバ3のそれぞれ(いずれもコンピュータシステム)に読み込ませ、実行することによって本発明の生体認証システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0068】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0069】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0070】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。例えば、本実施形態においては、属性認証サーバ3が失効確認処理を実行する形態について説明したが、属性認証サーバ3とは別に、失効確認処理を行うサーバを設けてもよい。
【符号の説明】
【0071】
1・・・ユーザ端末(U)
2・・・サービス提供サーバ(SPサーバ)
3・・・属性認証サーバ(CAサーバ)
4・・・ネットワーク
10・・・属性認証クライアントモジュール
11・・・生体情報読取部
12・・・鍵生成部
13・・・属性証明書変形部
14・・・送信部
15・・・処理部
20・・・属性認証サーバモジュール
21・・・属性証明書検証部
22・・・署名値検証部
23・・・失効確認実行部
24・・・サービス提供部
25・・・鍵生成部
26・・・乱数生成部
27・・・送信部
30・・・属性証明書発行モジュール
31・・・署名部
32・・・属性証明書発行部
33・・・送信部
【特許請求の範囲】
【請求項1】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムであって、
前記ユーザ端末が、
生体情報を読み取る生体情報読み取り手段と、
該読み取った生体情報から秘密鍵x2を生成する第1の秘密鍵生成手段と、
前記生体情報読み取り手段が、乱数を生成し、該生成した乱数から秘密鍵x1を生成する第2の秘密鍵生成手段と、
該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第1の公開鍵生成手段と、
前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第1の送信手段と、
前記サービス提供サーバにサービスの提供要求を送信する第2の送信手段と、
乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する変形手段と、
前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する処理手段と、
前記変形手段において変形した属性証明書と該処理手段において算出した署名値とを前記サービス提供サーバに送信する第3の送信手段と、
を備え、
前記属性証明書発行サーバが、
前記ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う署名手段と、
前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する発行手段と、
を備え、
前記サービス提供サーバが、
自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する鍵生成手段と、
生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第4の送信手段と、
前記ユーザ端末から受信した属性証明書を検証する第1の検証手段と、
前記ユーザ端末から受信した署名値を検証する第2の検証手段と、
失効確認を実行する失効確認実行手段と、
前記第1の検証手段により属性証明書の正当性が確認され、前記第2の検証手段により署名値の正当性が確認され、かつ、前記失効確認実行手段により失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行うサービス提供手段と、
を備えたことを特徴とする生体認証システム。
【請求項2】
前記第1の秘密鍵生成手段が、読み取った生体情報からノイズを除去して、秘密鍵x2を生成することを特徴とする請求項1に記載の生体認証システム。
【請求項3】
前記サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信することを特徴とする請求項1に記載の生体認証システム。
【請求項4】
前記ユーザ端末の処理手段が、前記変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出することを特徴とする請求項3に記載の生体認証システム。
【請求項5】
前記サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証することを特徴とする請求項1に記載の生体認証システム。
【請求項6】
前記サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、該演算式が成立するかどうかにより、署名の正当性を検証することを特徴とする請求項4に記載の生体認証システム。
【請求項7】
前記サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、該演算式が成立するかどうかにより、失効確認を実行することを特徴とする請求項3または請求項4に記載の生体認証システム。
【請求項8】
前記属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開することを特徴とする請求項1に記載の生体認証システム。
【請求項9】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法であって、
前記ユーザ端末が、生体情報を読み取る第1のステップと、
前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、
前記ユーザ端末が、生成した乱数から秘密鍵x1を生成する第3のステップと、
前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップと、
前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、
前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップと、
前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップと、
前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップと、
前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップと、
前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップと、
前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップと、
前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップと、
前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップと、
前記サービス提供サーバが、失効確認を実行する第15のステップと、
前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップと、
を備えたことを特徴とする生体認証方法。
【請求項10】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバと、信頼できるサーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法をコンピュータに実行させるためのプログラムであって、
前記ユーザ端末が、生体情報を読み取る第1のステップと、
前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、
前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、
前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップと、
前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、
前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップと、
前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップと、
前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップと、
前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップと、
前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップと、
前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップと、
前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップと、
前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップと、
前記サービス提供サーバが、失効確認を実行する第15のステップと、
前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップと、
をコンピュータに実行させるためのプログラム。
【請求項1】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムであって、
前記ユーザ端末が、
生体情報を読み取る生体情報読み取り手段と、
該読み取った生体情報から秘密鍵x2を生成する第1の秘密鍵生成手段と、
前記生体情報読み取り手段が、乱数を生成し、該生成した乱数から秘密鍵x1を生成する第2の秘密鍵生成手段と、
該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第1の公開鍵生成手段と、
前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第1の送信手段と、
前記サービス提供サーバにサービスの提供要求を送信する第2の送信手段と、
乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する変形手段と、
前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵y3に乱数rを乗じたものに対する署名値を算出する処理手段と、
前記変形手段において変形した属性証明書と該処理手段において算出した署名値とを前記サービス提供サーバに送信する第3の送信手段と、
を備え、
前記属性証明書発行サーバが、
前記ユーザ端末の第1の公開鍵生成手段が生成した公開鍵に対して、保有する署名鍵zで署名を行う署名手段と、
前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する発行手段と、
を備え、
前記サービス提供サーバが、
自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する鍵生成手段と、
生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第4の送信手段と、
前記ユーザ端末から受信した属性証明書を検証する第1の検証手段と、
前記ユーザ端末から受信した署名値を検証する第2の検証手段と、
失効確認を実行する失効確認実行手段と、
前記第1の検証手段により属性証明書の正当性が確認され、前記第2の検証手段により署名値の正当性が確認され、かつ、前記失効確認実行手段により失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行うサービス提供手段と、
を備えたことを特徴とする生体認証システム。
【請求項2】
前記第1の秘密鍵生成手段が、読み取った生体情報からノイズを除去して、秘密鍵x2を生成することを特徴とする請求項1に記載の生体認証システム。
【請求項3】
前記サービス提供サーバが、乱数rを生成し、この乱数rと自身の公開鍵y3からr*y3を計算し、これをチャレンジとして送信することを特徴とする請求項1に記載の生体認証システム。
【請求項4】
前記ユーザ端末の処理手段が、前記変形手段が生成する乱数fによって変形された秘密鍵fx1、fx2を用いて、r*y3に対する署名値をs1=fx1*r*y3、s2=fx2*r*y3により算出することを特徴とする請求項3に記載の生体認証システム。
【請求項5】
前記サービス提供サーバの第1の検証手段が、zPを属性発行用の公開鍵としたときに、e(f(y1+y2)、zP)=e(fz(y1+y2)、P)を演算して、該演算式が成立するかどうかにより、属性証明書の正当性を検証することを特徴とする請求項1に記載の生体認証システム。
【請求項6】
前記サービス提供サーバの第2の検証手段が、e(s1、 P)e(s2、 P)=e(f*(y1+y2)、r*y3)を演算して、該演算式が成立するかどうかにより、署名の正当性を検証することを特徴とする請求項4に記載の生体認証システム。
【請求項7】
前記サービス提供サーバの失効確認実行手段が、失効リストに掲載されているすべてのy1について、r*x3*y1を計算するとともに、e(z(y1+y2)、s1)=e(f*z*(y1+y2)、r*x3*y1)を演算して、該演算式が成立するかどうかにより、失効確認を実行することを特徴とする請求項3または請求項4に記載の生体認証システム。
【請求項8】
前記属性証明書発行サーバが、失効リストに失効したユーザのy1、z(y1+y2)を公開することを特徴とする請求項1に記載の生体認証システム。
【請求項9】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法であって、
前記ユーザ端末が、生体情報を読み取る第1のステップと、
前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、
前記ユーザ端末が、生成した乱数から秘密鍵x1を生成する第3のステップと、
前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップと、
前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、
前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップと、
前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップと、
前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップと、
前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップと、
前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップと、
前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップと、
前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップと、
前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップと、
前記サービス提供サーバが、失効確認を実行する第15のステップと、
前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップと、
を備えたことを特徴とする生体認証方法。
【請求項10】
ユーザ端末と、属性証明書発行サーバと、サービス提供サーバと、信頼できるサーバとがネットワークを介して接続されて成る生体認証システムにおける生体認証方法をコンピュータに実行させるためのプログラムであって、
前記ユーザ端末が、生体情報を読み取る第1のステップと、
前記ユーザ端末が、該読み取った生体情報から秘密鍵x2を生成する第2のステップと、
前記ユーザ端末は、生成した乱数から秘密鍵x1を生成する第3のステップと、
前記ユーザ端末が、該2つの秘密鍵x1、x2から公開鍵y1、y2を生成する第4のステップと、
前記ユーザ端末が、前記属性証明書発行サーバに、該生成した公開鍵y1、y2を送信する第5のステップと、
前記属性証明書発行サーバが、前記ユーザ端末が生成した公開鍵に対して、保有する署名鍵zで署名を行う第6のステップと、
前記属性証明書発行サーバが、前記ユーザ端末に対して、属性証明書として{y1、y2、z(y1+y2)}を発行する第7のステップと、
前記ユーザ端末が、前記サービス提供サーバにサービスの提供要求を送信する第8のステップと、
前記サービス提供サーバが、自身の秘密鍵x3と公開鍵y3(=x3*P)を生成する第9のステップと、
前記サービス提供サーバが、生成した乱数rと前記公開鍵y3とからなる情報をチャレンジとして前記ユーザ端末に送信する第10のステップと、
前記ユーザ端末が、乱数fを生成し、該乱数fを用いて、前記属性証明書発行サーバが発行する属性証明書を変形する第11のステップと、
前記ユーザ端末が、前記2つの秘密鍵x1、x2を乱数fにより、fx1、fx2に変形し、該変形したfx1、fx2を用いて、前記サービス提供サーバから受信したサービス提供者の公開鍵に乱数を乗じたものに対する署名値を算出する第12のステップと、
前記ユーザ端末が、変形した属性証明書と算出した署名値とを前記サービス提供サーバに送信する第13のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した属性証明書を検証する第14のステップと、
前記サービス提供サーバが、前記ユーザ端末から受信した署名値を検証する第15のステップと、
前記サービス提供サーバが、失効確認を実行する第15のステップと、
前記サービス提供サーバが、属性証明書の正当性が確認され、署名値の正当性が確認され、かつ、失効確認が完了したときに、前記ユーザ端末に対して、属性情報に基づいたサービスの提供を行う第16のステップと、
をコンピュータに実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−155348(P2011−155348A)
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願番号】特願2010−14058(P2010−14058)
【出願日】平成22年1月26日(2010.1.26)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願日】平成22年1月26日(2010.1.26)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]