生体鍵の生成及び使用
第1生体データ(w)を受信し、かつ、取り込まれた第2生体データ(w')を取得する制御装置(10)を含む制御システムであって、制御装置において、第1生体データ及び第2生体データを比較する(21)。次に、その比較に基づいて第1生体データと第2生体データとが対応するか判定する(22)。その後、少なくとも(H(w))第1生体データに暗号化関数(H)を適用することにより少なくとも共通暗号鍵の一部(H(w))を生成する(23)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号鍵の生成に関するものである。
【背景技術】
【0002】
暗号化システムに使用される共通鍵(secret keys)において重要なのは、秘密維持を可能にする特性を有することである。
【0003】
暗号化に使用するそのような共通鍵を生成する多くの方法が知られている。
【0004】
とくに、非特許文献1においてはランダム生成方法についての説明がある。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】"Functionality classes and evaluation methodology for physical random number generators", reference AIS31 version 1 dated 9/25/2001, BSI.
【発明の概要】
【課題を解決するための手段】
【0006】
本発明は、共通鍵の別の生成方法を提供することを目的とする。
【0007】
本発明の第1態様は、第1生体データを示す信号を受信し、かつ第2生体データをキャプチャする制御装置を含む制御システムにおける制御方法を提案する。この制御方法は、制御装置において、
第1生体データと第2生体データとを比較する比較ステップと、
前記比較ステップに基づいて第1生体データ及び第2生体データが互いに対応するか否かを判定する判定ステップと、
第1生体データ項目に暗号化関数を適用することにより共通暗号鍵の少なくとも一部を生成する生成ステップとを含む。
【0008】
この制御方法により、暗号鍵がユーザの生体データから直接得られるため、非常に高いレベルの安全性を提供する暗号鍵を生成できるという効果が得られる。
【0009】
さらに、同一ユーザから取り込まれる生体データの2つの別個の取得データの間には実質的な差があるため、同一の生体データの複数の取得データの知識により、第1生体データを意味する基準として使用される生体データの正確な値は判定できない。このように、生体データを取り込む特徴が可変であることにより、本発明の一実施形態にしたがって取得される鍵については、高レベルの秘密性が保証される。その結果、本発明は生体データの変動性を利用できる利点がある。
【0010】
第1生体データを示す信号は、第1生体データが格納されるストレージデバイスから得られる。第1生体データが格納されたそのようなストレージデバイスを有するユーザは、本発明の一実施形態に係る制御方法にしたがって検査を受ける。なお、制御装置は、ストレージデバイス、あるいは第2生体データを取り込むセンサに配置できる。
【0011】
本発明の一実施形態によれば、完全な共通暗号鍵が生成ステップで生成され、暗号化システムは、その共通暗号鍵を少なくとも格納したデータベースをさらに含むことができる。
【0012】
この制御方法は、制御装置において、
共通暗号鍵に基づいて制御要求を送信する送信ステップと、
共通暗号鍵がデータベースに格納されているか否かを示す制御応答を受信する受信ステップとをさらに含む。
【0013】
したがって、本発明の一実施形態にしたがって生成される共通暗号鍵は、ユーザの本人確認を行なう際に容易に適用可能である。そのような本人確認制御は、検査されたユーザの認証又は識別に対応する。
【0014】
なお、そのような制御システムにおいて、データベースはハッシュ形式の生体データのみを含んでもよい。そのようなデータベース、つまりは、そのような制御システムは、非常に高いレベルで生体データを秘匿できる。
【0015】
生体データに基づいて制御を行なうが、制御装置から受信されたハッシュ生体データとデータベースに格納されたハッシュ生体データの1つとを比較する中で、最後の段階にのみ暗号化機構を適用する。
【0016】
本発明の一実施形態において、グループ署名の分野における本発明の有利な一応用例が提供される。そのために、グループ秘密はグループのメンバと関連付けられ、各メンバはグループ署名を行なうことができる。
【0017】
また、制御装置において、
メッセージを受信するメッセージ受信ステップと、
A = g1 1/K+γを満足する別の共通暗号鍵部分と生成ステップで生成された共通暗号鍵部分とを含む共通暗号鍵に基づいてメッセージに署名するステップと、
前記メッセージ受信ステップに応答して署名されたメッセージを送信するステップとをさらに含む。
【0018】
上記の式において、Kは前記生成ステップで生成された共通暗号鍵部分であり、γはグループ秘密であり、g1は制御システムの公開パラメータである。
【0019】
その後、署名がグループの有効な署名であるかを示す応答を受信する。
【0020】
グループ秘密を当該署名グループと関連付け、制御装置により生成された共通鍵部分及びグループ秘密の双方に基づいて別の共通鍵部分Aを考慮することにより、制御フェーズ中に送信されたメッセージ又はチャレンジに署名を行なうことができる。これにより、メッセージに署名したユーザがグループのメンバであることを証明できる。これは、ユーザがそのように署名できた場合、そのユーザが完全な共通鍵を認識していることを意味するからである。
【0021】
制御システムは、登録サーバを含むことができる。この制御方法では、制御装置においてメッセージ受信ステップの前に、登録サーバから別の共通暗号鍵部分を受信するステップと、別の共通暗号鍵部分をストレージデバイスに格納するステップとをさらに含む。
【0022】
したがって、本発明の一実施形態において、グループ名で署名したいユーザは、そのユーザがグループに属するか否かを判断するために事前に検査される。そのために、登録フェーズ中、そのユーザのストレージデバイスは制御装置から第1生体データを受信でき、これにより、登録サーバから第1共通鍵部分及び第2共通鍵部分を生成できる。第1共通鍵部分及び第2共通鍵部分から形成される完全な暗号鍵を黙示的に有する(ストレージデバイスが第1共通鍵部分の生成を可能にする生体データを有するため)場合、ストレージデバイスを持ったユーザは、本発明の一実施形態にしたがって署名グループに属することを証明できる。
【0023】
本発明の第2態様は、第1生体データを格納するストレージデバイス及び登録サーバを含む制御システムにおける制御方法を提案する。
【0024】
グループ秘密はグループのメンバと関連付けられ、各メンバはグループ署名を行なうことができる。
【0025】
この制御方法は、登録サーバにおいて、第1生体データに暗号化関数を適用することにより第1共通暗号鍵部分を取得する取得ステップと、
A = g1 1/K+γにしたがって第2共通暗号鍵部分Aを生成する生成ステップと、
ストレージデバイスに対して第2共通暗号鍵部分を送信するステップとを含む。
【0026】
上の式において、Kは第1共通暗号鍵部分であり、γはグループ秘密であり、g1は制御システムの公開パラメータである。
【0027】
本明細書において、登録サーバは、第1共通鍵部分及びグループ秘密から第2共通鍵部分を生成する。第1共通鍵部分及び第2共通鍵部分は、本発明の一実施形態に係るグループ署名機構において使用される共通暗号鍵を形成する。
【0028】
本発明の第3態様は、本発明の第1態様に係る制御方法を実現する制御システムを提案する。
【0029】
本発明の他の特徴及び利点は、以下の一実施形態の説明から明らかとなるだろう。
【図面の簡単な説明】
【0030】
【図1】図1は、本発明の一実施形態に係る制御システムの少なくとも一部分を示す図である。
【図2】図2は、本発明の一実施形態に係る制御方法の主なステップを示すフローチャートである。
【図3】図3は、本発明の一実施形態に係る認識及び/又は認証システムを示す図である。
【図4】図4は、本発明の一実施形態に係るグループ署名システムを示す図である。
【図5】図5は、本発明の一実施形態に係るグループ署名システムを示す図である。
【図6】図6は、本発明の他の実施形態に係る制御システムを示す図である。
【図7】図7は、本発明の他の実施形態に係る制御システムを示す図である。
【発明を実施するための形態】
【0031】
図1は、本発明の一実施形態に係る暗号化システムの少なくとも一部分を示す。
【0032】
このシステムは、ストレージデバイス(記憶媒体)11に事前に格納された第1生体データwを少なくとも読み取り、かつ第2生体データw'をキャプチャする(取り込む)制御装置10を含む。本発明は、記憶機能、制御機能及び取り込み機能が実現される場所に関して限定されない。以下に説明する図面は、一例を示すものとしてのみ提供される。
【0033】
この装置は、格納された第1生体データwを示す信号をストレージデバイス11から受信するためのインタフェースユニット105と、生体データを取り込むためのセンサ102とを含む。このセンサは、さらに、ユーザが生存しているかを判定することができ、かつ、死亡者又はユーザのなりすましに関する詐欺を回避することができる。
【0034】
本発明において扱われる生体データの種類は限定されない。たとえば、虹彩又は指紋など、いかなる生体データをも扱うことができる。
【0035】
図2は、制御装置10において実現される本発明の一実施形態に係る制御方法の主なステップを示す。
【0036】
本発明においては、第1生体データwが格納されたストレージデバイス11が使用される。本発明において使用されるストレージデバイスの種類は限定されない。たとえば、このストレージデバイスは、USB(Universal Serial Bus)キー又はスマートカードであってもよく、あるいは単にバーコード等が印刷された紙であってもよい。
【0037】
制御装置10は、ストレージデバイス11から第1生体データwを取り出す。制御装置10は、さらに第2生体データw'を取り込む。制御装置は、利用可能な第1生体データ及び第2生体データを有する場合、ステップ21においてそれらの第1生体データと第2生体データとを比較する。この比較により、第1生体データ及び第2生体データが同一ユーザから得られたものかを判定する。生体データの比較には、既知の方法が用いられる。たとえば、J. Daugmanによる文献「How iris recognition works?」や、文献「High Confidence Visual Recognition of Persons by a Test of Statistical Independence」1993年、IEEE Trans. on Pattern Analysis and Machine Intelligenceや、D. Maltoni、D. Maio、A.K. Jain、S. Prabhakarによる文献「Handbook of fingerprint recognition」、あるいはJ. Wayman、A. Jain、D. Maltoni及びD. Maioによる文献「Biometric Authentication: Technologies, Systems, Evaluations and Legal Issues」において説明されている。
ただし、これらの文献に開示された方法は、単なる例示であり、本発明をこれらの方法に限定するものではない。
【0038】
第1生体データと第2生体データとの比較により、第1生体データ及び第2生体データが同一ユーザから得られたものと判定された場合、制御装置は、ステップ22において第1生体データ及び第2生体データが互いに対応すると判断できる。この場合、ステップ23において、制御装置10は暗号化関数H(たとえばハッシュ関数)を第1生体データwに適用することにより暗号鍵Kを生成する。つまり、以下の式が成立する。
K = H(w)
【0039】
このように、暗号鍵Kは、あるユーザの生体データから直接生成される。なお、生体データは取得する度に大きく変動するため、同一の対象から取り込んだ他の生体データに基づいて鍵を発見することはほぼ不可能である。したがって、そのような鍵Kは、いかなる暗号化システムにおいても使用可能であるという利点がある。
【0040】
とくに、そのような暗号鍵に基づいてユーザの本人確認を検査する制御システム、すなわち識別及び/又は認証システムを確立できる。
【0041】
図3は、本発明の一実施形態として、ユーザの本人確認を検査する制御システムを示す図である。
【0042】
本発明の一実施形態におけるそのような識別及び/又は認証システムは、制御装置10と、制御装置10が通信できるデータベース31とを含む。この制御装置10とデータベース31との間の通信は、直接通信であってもよく、あるいは中間データベース管理装置(不図示)を介する通信であってもよい。そのような中間データベース管理装置は、制御装置と直接接続可能であり、データベースのルックアップを実行した後に制御装置の要求を受信しかつ制御装置に応答を送信でき、またデータベースに格納されたデータにアクセスするためにデータベース31と直接接続可能である。
【0043】
そのような制御システムにおいては、なんらかの本人確認制御フェーズの前に登録フェーズを設けても良い。この登録フェーズは、秘匿状態で行なわれるという利点がある。
【0044】
本発明の応用例は、そのような登録フェーズの実施に限定されるものではない。登録フェーズにより、データベース31は、本発明の一実施形態に係るストレージデバイスに格納された生体データwにそれぞれ対応するハッシュ生体データを含む。
【0045】
データベースに格納されるハッシュ生体データは、ストレージデバイス11に格納される生体データwに暗号化ハッシュ関数Hを適用することにより得ることができる。
【0046】
その後、本発明の一実施形態に係るストレージデバイス11を持ったユーザを検査する制御フェーズにおいて、制御装置10は、ストレージデバイス11に格納される第1生体データwと、検査対象のユーザからセンサ102を介してキャプチャされた第2生体データw'とを比較する。
【0047】
第1生体データ及び第2生体データが同一ユーザから得られたものであると制御装置が判断した場合、現在検査されているユーザは実際に第1生体データwに対応するユーザであることを意味し、制御装置10は以下の式にしたがって本発明の一実施形態に係る暗号鍵Kを生成する。
K=H(w)
この式において、Hは、データベース31に格納されたハッシュ生体データを取得するため登録フェーズにおいて使用された暗号化関数と同一の暗号化関数、たとえばハッシュ関数である。
【0048】
その後、この鍵Kが送られ、或いは、より一般的には、プロトコルにおいて使用される。このプロトコルにより、好ましくはセキュリティ上安全に、認証又は識別に関する探索をデータベース31に要求することができ、この鍵に対応するデータがデータベース31に格納されているか否かを判定することができる。ここで、格納されていたハッシュ生体データと制御装置から受信した生体データとの間の対応関係を検査する際には、生体に関連する問題は起こらない。特に、同一ユーザから取り込んだ2つの生体データが実質的に異なるかもしれないという事実に関する問題は起きない。このような生体の特性により、とくに大きなデータベースにおいてユーザの生体識別又は認証における生体データ間の比較が非常に複雑になる。
【0049】
ここでは、上述の特性に鑑み、認証及び/又は識別ステップが、生体ステップではなく暗号化ステップに対応するという利点がある。そのような方法は、高レベルのセキュリティを提供する制御検証に対して生体データを使用することを可能にし、一方で、暗号を利用して本人確認制御を実行する。これにより、純粋な生体制御に関連する問題が回避される。
【0050】
なお、データベースは暗号化された生体データのみを含むため、潜在的な攻撃者が個人データを検索することを許可しない。したがって、個人情報は保護される。
【0051】
このような制御システムは、生体検証のセキュリティレベルを本人確認検証及び認証に対する暗号化方法と組み合わせる。
【0052】
さらにH(w)に対応する鍵Kは、取り込む度に別個の生体データが提供されるため、容易に更新可能であり、不正な使用が検出された場合には容易に取り消し可能である。
【0053】
図4は、グループ署名の分野に応用した本発明の一実施形態に係る制御システムを示す。この応用例において、ユーザの生体データに基づいて取得される値Kは、グループ署名制御システムにおける署名グループメンバの共通鍵の一部分のみを構成する。
【0054】
一例として、以下の節において、D. Boneh及びH. Shachamによる文献「Group signatures with verifier-local revocation」ACM Conference on Computer and Communications Security、2004年において説明されるようなBoneh-Shachamグループ署名機構における本発明の一応用例を説明する。
【0055】
図4に示すようにグループ署名方法に適応される制御システムは、制御装置10と、制御サーバ42と、登録サーバ44と、システムの署名グループのメンバと関連付けられる秘密γを保持する鍵管理装置43と、ストレージデバイス11とを含む。
【0056】
登録サーバは共通鍵の第2部分を生成し、制御サーバは制御を行なう。制御サーバは、単一のサーバにおいて同一の場所に配置される2つのサーバを有するように容易に構成可能である。グループ署名方法は、グループメンバがグループ名で、匿名でメッセージに署名することを可能にし、グループにおける資格を証明することを可能にする。
【0057】
本発明の一実施形態にしたがって取得された生体データから得られる値Kは、グループ署名方法で使用される秘密鍵(private key)の一部分であるという利点がある。
【0058】
この応用例の目的は、秘密鍵の一部分Kと関連付けられるユーザが署名グループのメンバであるか否かを判定することである。
【0059】
なお、本発明の有利な一実施形態において、グループの一員となるためには、データベースを管理できる必要は無い。当該グループのメンバと関連付けられるグループ秘密γを使用するからである。
【0060】
図5は、本発明の一実施形態にしたがって署名グループにおける資格を検査する方法を示す。
【0061】
登録フェーズIとして、生体データwが取り込まれる。鍵管理装置43と関連する登録サーバ44は、ユーザに関するグループ秘密γを提供する。そして、以下の式(1)を満足するように、グループ秘密γ及び生体データwに対応する値Aを決定する。
AK+γ = g1 (1)
式中、g1は本システムの公開パラメータである。
【0062】
KはK = H(w)を満足する。Hは暗号化ハッシュ関数である。
【0063】
登録サーバ44は、この値Aを判定すると、その値Aをメッセージ51においてストレージデバイス11に向けて送信する。図5に示すように、この送信は制御装置10を介して行なわれ、制御装置10は共通鍵の一部Aをストレージデバイス11に格納することができる。
【0064】
したがって、この値Aはユーザのストレージデバイス11に格納される。これによりストレージデバイスは、ユーザと関連付けられるデータ(w, A)を格納する。
【0065】
あるいは、生体データwは暗号化関数により変換される形式でストレージデバイス11に格納される。この場合、完全な共通暗号鍵は対(H(w), A)である。以下に説明する例はこの最後の例に対応する。
【0066】
そのようなシステムにおいて、共通鍵(K, A)は登録フェーズにおいてグループの各メンバと関連付けられる。K及びAは、上記の一覧表示された式を満足する。
【0067】
この状況において、共有鍵(K, A)を含むストレージデバイス11を有するユーザは、グループのメンバとして認識されるために、式(1)を満足する鍵を知っていることを制御サーバ42に証明する必要がある。
【0068】
制御フェーズIIにおいて、ユーザは、ストレージデバイス11を制御装置10に提示する。
【0069】
制御装置10は、このユーザに関する第2生体データw'を取り込む。制御装置10は、第1生体データ及び第2生体データが同一ユーザから得られるかを判定するために、最初にそれら生体データを互いに比較しようとする。
【0070】
第1データ及び第2データが同一ユーザから得られると制御装置が判断した場合、グループにおける資格を検査するための方法が本発明の一実施形態にしたがって実行される。
【0071】
図5は、登録フェーズI及び制御フェーズIIを示す。制御フェーズ中、制御装置はメッセージM(チャレンジ)を制御サーバ42から受信する(501)。
【0072】
ユーザがグループのメンバであることを証明するために、ユーザは、とくに秘密鍵(K, A)に基づいて制御サーバから受信したメッセージMに署名を行なう。
【0073】
以下の記号が使用される。
G1は、素数次数pの巡回乗法群である。
G2は、p乗に等しい次数の乗法群である。
Ψは、集合G2から集合G1への準同形である。
G2は、G1の次数pの要素であり、g1は、以下の式が満足されるようなG1の生成要素である。
Ψ(g2) = g1
GTは、素数次数pの巡回乗法群である。
eは、集合G1×G2から集合GTへの非退化マッチングである。
Hは、集合{0, 1}*からZpへのハッシュ関数であり、H0は、集合{0, 1}*から集合G22への相関性を確立する別のハッシュ関数である。
記号gpkは、以下のように形成される公開鍵のグループを示す。
gpk = (g1, g2, b)
上式中、b = g2γであり、γは当該グループと関連付けられる秘密である。
【0074】
当該ユーザの秘密鍵(K, A)は、AがG1の要素でありかつKがZpの要素であるような鍵である。
【0075】
K及びAは以下の式を満足する。
e(A, b・(g2)K) = e(g1, g2)
Kは既知の値であり、Aはグループと関連付けられる秘密γに基づいて判定される。
【0076】
制御装置は以下を取得する。
(u^, v^) = H0(gpk, M, r)
式中、rはZpの乱数値であり、u^及びv^は、グループG2の生成元である。
【0077】
その後、制御装置は以下の式にしたがってu及びvの値を取得する。
【0078】
u = Ψ(u^)
v = Ψ(v^)
次に制御装置はZpの乱数値αを生成し、以下を計算する。
【0079】
T1 = uα
T2 = A・vα
δ = K α
集合Zpの乱数値rα、rK、rδに基づいて、制御装置は以下の値を判定する。
【数1】
以下の式を満足する値をcで示す。
c = H(gpk, M, r, T1, T2, R1, R2, R3)
次に、以下を計算する。
sα = rα + cα
sα = rK + cK
sδ = rδ + cδ
その後、制御装置は、以下の式を満足する署名されたメッセージσを制御サーバに送信できる。
σ = (r, c, T1, T2, sα, sK, sδ)
このような状況において、制御サーバ側では、集合G1における値の対(u^, v^)とそれらの像u及びvとを見つけることができる。
【0080】
そのために、制御サーバは以下の計算を行なう。
【数2】
その後、制御サーバは、以下の式が満たされたことをチェックする。
c = H(gpk, M, r, T1, T2, R1^, R2^, R3^)
上の式が満たされる場合、制御サーバは署名を受け入れる。
【0081】
したがって、グループ署名システムのユーザと関連付けられた秘密鍵の一部として、生体データから取得された暗号鍵Kを使用し、暗号鍵Kとグループ秘密γとを関連付けることにより、データベースの管理なしで信頼性のある効果的なグループ署名システムを提供できる。これらの特性は、値AがK及びグループ秘密γから容易に取得可能であることに基づく。
【0082】
2つの異なる取り込みデータが別個の生体データを提供する場合、鍵を容易に更新可能であり、容易に取消可能である。取消し処理は、次に説明するように行なわれる。Aを現在の取消しリストのメンバとする。以下の式が満たされるか否かを検査する。
e(T2/A, u^) = e(T1, v^)
この式が満たされる場合、取消しが行なわれる。
【0083】
さらに共通鍵は、制限された期間だけ有効であるように管理され、定期的に取消しリストがされる。
【0084】
図6は、制御システムを示す。この制御システムは、
第1生体データwが格納されたストレージデバイス11と、
第2生体データw'をキャプチャする生体データセンサ102と、
前記ストレージデバイス用のリーダ101と、
制御装置10とを含む。
【0085】
また、制御装置10は、
第1生体データと第2生体データとの比較に基づいて第1生体データ及び第2生体データが互いに対応するかを判断する判断部103と、
第1生体データw及び第2生体データw'が互いに対応すると判断部103が判断した場合に、第1生体データに暗号化関数Hを適用することにより共通暗号鍵Kの少なくとも一部分を生成する生成部104とを含む。
【0086】
センサ、リーダ、制御装置及びストレージデバイスの構造はなんら限定されるものではない。
【0087】
なお、ストレージデバイス、センサ及び、リーダが同一の場所に配置されることも可能である。
【0088】
あるいは、センサ及びリーダをストレージデバイス及び制御装置と別の場所に配置することも容易に実現できる。また、ストレージデバイスは制御装置と同一の場所に配置することも容易である。この場合、ストレージデバイスはマッチオンカード(MoC)タイプの装置である。
【0089】
この制御システムは、
暗号化関数H(w)により変換される形式で生体データを格納するデータベース31をさらに含むことができる。
【0090】
制御装置10は、生成部104により生成される共通暗号鍵の検証をデータベースから要求するインタフェースユニット105をさらに含む。
【0091】
図7は、グループ署名を行なうことができるメンバのグループにおける資格を検査する制御サーバ42をさらに含む他の制御システムを示す。グループ秘密はこのグループと関連付けられる。
【0092】
制御装置10は、
制御サーバ42と通信して、メッセージMを受信し(501)、署名されたメッセージを送信するインタフェースユニット105と、
制御装置10により生成された共通暗号鍵部分Kと、グループ秘密及び共通暗号鍵部分に基づいて登録サーバ44により生成された別の共通暗号鍵部分Aとを含む共通暗号鍵に基づいて、受信されたメッセージMから、署名されたメッセージを生成する署名生成部106と、
をさらに含む。
【0093】
登録サーバ44は、
Kが制御装置の生成部104により生成される共通暗号鍵部分であり、γがグループ秘密であり、g1が制御システムの公開パラメータである場合に、A = g1 1/K+γにしたがって別の共通暗号鍵部分Aを生成する生成部421と、
別の共通暗号鍵部分をストレージデバイス11に送るインタフェースユニット422と、
を含むことができる。
【技術分野】
【0001】
本発明は、暗号鍵の生成に関するものである。
【背景技術】
【0002】
暗号化システムに使用される共通鍵(secret keys)において重要なのは、秘密維持を可能にする特性を有することである。
【0003】
暗号化に使用するそのような共通鍵を生成する多くの方法が知られている。
【0004】
とくに、非特許文献1においてはランダム生成方法についての説明がある。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】"Functionality classes and evaluation methodology for physical random number generators", reference AIS31 version 1 dated 9/25/2001, BSI.
【発明の概要】
【課題を解決するための手段】
【0006】
本発明は、共通鍵の別の生成方法を提供することを目的とする。
【0007】
本発明の第1態様は、第1生体データを示す信号を受信し、かつ第2生体データをキャプチャする制御装置を含む制御システムにおける制御方法を提案する。この制御方法は、制御装置において、
第1生体データと第2生体データとを比較する比較ステップと、
前記比較ステップに基づいて第1生体データ及び第2生体データが互いに対応するか否かを判定する判定ステップと、
第1生体データ項目に暗号化関数を適用することにより共通暗号鍵の少なくとも一部を生成する生成ステップとを含む。
【0008】
この制御方法により、暗号鍵がユーザの生体データから直接得られるため、非常に高いレベルの安全性を提供する暗号鍵を生成できるという効果が得られる。
【0009】
さらに、同一ユーザから取り込まれる生体データの2つの別個の取得データの間には実質的な差があるため、同一の生体データの複数の取得データの知識により、第1生体データを意味する基準として使用される生体データの正確な値は判定できない。このように、生体データを取り込む特徴が可変であることにより、本発明の一実施形態にしたがって取得される鍵については、高レベルの秘密性が保証される。その結果、本発明は生体データの変動性を利用できる利点がある。
【0010】
第1生体データを示す信号は、第1生体データが格納されるストレージデバイスから得られる。第1生体データが格納されたそのようなストレージデバイスを有するユーザは、本発明の一実施形態に係る制御方法にしたがって検査を受ける。なお、制御装置は、ストレージデバイス、あるいは第2生体データを取り込むセンサに配置できる。
【0011】
本発明の一実施形態によれば、完全な共通暗号鍵が生成ステップで生成され、暗号化システムは、その共通暗号鍵を少なくとも格納したデータベースをさらに含むことができる。
【0012】
この制御方法は、制御装置において、
共通暗号鍵に基づいて制御要求を送信する送信ステップと、
共通暗号鍵がデータベースに格納されているか否かを示す制御応答を受信する受信ステップとをさらに含む。
【0013】
したがって、本発明の一実施形態にしたがって生成される共通暗号鍵は、ユーザの本人確認を行なう際に容易に適用可能である。そのような本人確認制御は、検査されたユーザの認証又は識別に対応する。
【0014】
なお、そのような制御システムにおいて、データベースはハッシュ形式の生体データのみを含んでもよい。そのようなデータベース、つまりは、そのような制御システムは、非常に高いレベルで生体データを秘匿できる。
【0015】
生体データに基づいて制御を行なうが、制御装置から受信されたハッシュ生体データとデータベースに格納されたハッシュ生体データの1つとを比較する中で、最後の段階にのみ暗号化機構を適用する。
【0016】
本発明の一実施形態において、グループ署名の分野における本発明の有利な一応用例が提供される。そのために、グループ秘密はグループのメンバと関連付けられ、各メンバはグループ署名を行なうことができる。
【0017】
また、制御装置において、
メッセージを受信するメッセージ受信ステップと、
A = g1 1/K+γを満足する別の共通暗号鍵部分と生成ステップで生成された共通暗号鍵部分とを含む共通暗号鍵に基づいてメッセージに署名するステップと、
前記メッセージ受信ステップに応答して署名されたメッセージを送信するステップとをさらに含む。
【0018】
上記の式において、Kは前記生成ステップで生成された共通暗号鍵部分であり、γはグループ秘密であり、g1は制御システムの公開パラメータである。
【0019】
その後、署名がグループの有効な署名であるかを示す応答を受信する。
【0020】
グループ秘密を当該署名グループと関連付け、制御装置により生成された共通鍵部分及びグループ秘密の双方に基づいて別の共通鍵部分Aを考慮することにより、制御フェーズ中に送信されたメッセージ又はチャレンジに署名を行なうことができる。これにより、メッセージに署名したユーザがグループのメンバであることを証明できる。これは、ユーザがそのように署名できた場合、そのユーザが完全な共通鍵を認識していることを意味するからである。
【0021】
制御システムは、登録サーバを含むことができる。この制御方法では、制御装置においてメッセージ受信ステップの前に、登録サーバから別の共通暗号鍵部分を受信するステップと、別の共通暗号鍵部分をストレージデバイスに格納するステップとをさらに含む。
【0022】
したがって、本発明の一実施形態において、グループ名で署名したいユーザは、そのユーザがグループに属するか否かを判断するために事前に検査される。そのために、登録フェーズ中、そのユーザのストレージデバイスは制御装置から第1生体データを受信でき、これにより、登録サーバから第1共通鍵部分及び第2共通鍵部分を生成できる。第1共通鍵部分及び第2共通鍵部分から形成される完全な暗号鍵を黙示的に有する(ストレージデバイスが第1共通鍵部分の生成を可能にする生体データを有するため)場合、ストレージデバイスを持ったユーザは、本発明の一実施形態にしたがって署名グループに属することを証明できる。
【0023】
本発明の第2態様は、第1生体データを格納するストレージデバイス及び登録サーバを含む制御システムにおける制御方法を提案する。
【0024】
グループ秘密はグループのメンバと関連付けられ、各メンバはグループ署名を行なうことができる。
【0025】
この制御方法は、登録サーバにおいて、第1生体データに暗号化関数を適用することにより第1共通暗号鍵部分を取得する取得ステップと、
A = g1 1/K+γにしたがって第2共通暗号鍵部分Aを生成する生成ステップと、
ストレージデバイスに対して第2共通暗号鍵部分を送信するステップとを含む。
【0026】
上の式において、Kは第1共通暗号鍵部分であり、γはグループ秘密であり、g1は制御システムの公開パラメータである。
【0027】
本明細書において、登録サーバは、第1共通鍵部分及びグループ秘密から第2共通鍵部分を生成する。第1共通鍵部分及び第2共通鍵部分は、本発明の一実施形態に係るグループ署名機構において使用される共通暗号鍵を形成する。
【0028】
本発明の第3態様は、本発明の第1態様に係る制御方法を実現する制御システムを提案する。
【0029】
本発明の他の特徴及び利点は、以下の一実施形態の説明から明らかとなるだろう。
【図面の簡単な説明】
【0030】
【図1】図1は、本発明の一実施形態に係る制御システムの少なくとも一部分を示す図である。
【図2】図2は、本発明の一実施形態に係る制御方法の主なステップを示すフローチャートである。
【図3】図3は、本発明の一実施形態に係る認識及び/又は認証システムを示す図である。
【図4】図4は、本発明の一実施形態に係るグループ署名システムを示す図である。
【図5】図5は、本発明の一実施形態に係るグループ署名システムを示す図である。
【図6】図6は、本発明の他の実施形態に係る制御システムを示す図である。
【図7】図7は、本発明の他の実施形態に係る制御システムを示す図である。
【発明を実施するための形態】
【0031】
図1は、本発明の一実施形態に係る暗号化システムの少なくとも一部分を示す。
【0032】
このシステムは、ストレージデバイス(記憶媒体)11に事前に格納された第1生体データwを少なくとも読み取り、かつ第2生体データw'をキャプチャする(取り込む)制御装置10を含む。本発明は、記憶機能、制御機能及び取り込み機能が実現される場所に関して限定されない。以下に説明する図面は、一例を示すものとしてのみ提供される。
【0033】
この装置は、格納された第1生体データwを示す信号をストレージデバイス11から受信するためのインタフェースユニット105と、生体データを取り込むためのセンサ102とを含む。このセンサは、さらに、ユーザが生存しているかを判定することができ、かつ、死亡者又はユーザのなりすましに関する詐欺を回避することができる。
【0034】
本発明において扱われる生体データの種類は限定されない。たとえば、虹彩又は指紋など、いかなる生体データをも扱うことができる。
【0035】
図2は、制御装置10において実現される本発明の一実施形態に係る制御方法の主なステップを示す。
【0036】
本発明においては、第1生体データwが格納されたストレージデバイス11が使用される。本発明において使用されるストレージデバイスの種類は限定されない。たとえば、このストレージデバイスは、USB(Universal Serial Bus)キー又はスマートカードであってもよく、あるいは単にバーコード等が印刷された紙であってもよい。
【0037】
制御装置10は、ストレージデバイス11から第1生体データwを取り出す。制御装置10は、さらに第2生体データw'を取り込む。制御装置は、利用可能な第1生体データ及び第2生体データを有する場合、ステップ21においてそれらの第1生体データと第2生体データとを比較する。この比較により、第1生体データ及び第2生体データが同一ユーザから得られたものかを判定する。生体データの比較には、既知の方法が用いられる。たとえば、J. Daugmanによる文献「How iris recognition works?」や、文献「High Confidence Visual Recognition of Persons by a Test of Statistical Independence」1993年、IEEE Trans. on Pattern Analysis and Machine Intelligenceや、D. Maltoni、D. Maio、A.K. Jain、S. Prabhakarによる文献「Handbook of fingerprint recognition」、あるいはJ. Wayman、A. Jain、D. Maltoni及びD. Maioによる文献「Biometric Authentication: Technologies, Systems, Evaluations and Legal Issues」において説明されている。
ただし、これらの文献に開示された方法は、単なる例示であり、本発明をこれらの方法に限定するものではない。
【0038】
第1生体データと第2生体データとの比較により、第1生体データ及び第2生体データが同一ユーザから得られたものと判定された場合、制御装置は、ステップ22において第1生体データ及び第2生体データが互いに対応すると判断できる。この場合、ステップ23において、制御装置10は暗号化関数H(たとえばハッシュ関数)を第1生体データwに適用することにより暗号鍵Kを生成する。つまり、以下の式が成立する。
K = H(w)
【0039】
このように、暗号鍵Kは、あるユーザの生体データから直接生成される。なお、生体データは取得する度に大きく変動するため、同一の対象から取り込んだ他の生体データに基づいて鍵を発見することはほぼ不可能である。したがって、そのような鍵Kは、いかなる暗号化システムにおいても使用可能であるという利点がある。
【0040】
とくに、そのような暗号鍵に基づいてユーザの本人確認を検査する制御システム、すなわち識別及び/又は認証システムを確立できる。
【0041】
図3は、本発明の一実施形態として、ユーザの本人確認を検査する制御システムを示す図である。
【0042】
本発明の一実施形態におけるそのような識別及び/又は認証システムは、制御装置10と、制御装置10が通信できるデータベース31とを含む。この制御装置10とデータベース31との間の通信は、直接通信であってもよく、あるいは中間データベース管理装置(不図示)を介する通信であってもよい。そのような中間データベース管理装置は、制御装置と直接接続可能であり、データベースのルックアップを実行した後に制御装置の要求を受信しかつ制御装置に応答を送信でき、またデータベースに格納されたデータにアクセスするためにデータベース31と直接接続可能である。
【0043】
そのような制御システムにおいては、なんらかの本人確認制御フェーズの前に登録フェーズを設けても良い。この登録フェーズは、秘匿状態で行なわれるという利点がある。
【0044】
本発明の応用例は、そのような登録フェーズの実施に限定されるものではない。登録フェーズにより、データベース31は、本発明の一実施形態に係るストレージデバイスに格納された生体データwにそれぞれ対応するハッシュ生体データを含む。
【0045】
データベースに格納されるハッシュ生体データは、ストレージデバイス11に格納される生体データwに暗号化ハッシュ関数Hを適用することにより得ることができる。
【0046】
その後、本発明の一実施形態に係るストレージデバイス11を持ったユーザを検査する制御フェーズにおいて、制御装置10は、ストレージデバイス11に格納される第1生体データwと、検査対象のユーザからセンサ102を介してキャプチャされた第2生体データw'とを比較する。
【0047】
第1生体データ及び第2生体データが同一ユーザから得られたものであると制御装置が判断した場合、現在検査されているユーザは実際に第1生体データwに対応するユーザであることを意味し、制御装置10は以下の式にしたがって本発明の一実施形態に係る暗号鍵Kを生成する。
K=H(w)
この式において、Hは、データベース31に格納されたハッシュ生体データを取得するため登録フェーズにおいて使用された暗号化関数と同一の暗号化関数、たとえばハッシュ関数である。
【0048】
その後、この鍵Kが送られ、或いは、より一般的には、プロトコルにおいて使用される。このプロトコルにより、好ましくはセキュリティ上安全に、認証又は識別に関する探索をデータベース31に要求することができ、この鍵に対応するデータがデータベース31に格納されているか否かを判定することができる。ここで、格納されていたハッシュ生体データと制御装置から受信した生体データとの間の対応関係を検査する際には、生体に関連する問題は起こらない。特に、同一ユーザから取り込んだ2つの生体データが実質的に異なるかもしれないという事実に関する問題は起きない。このような生体の特性により、とくに大きなデータベースにおいてユーザの生体識別又は認証における生体データ間の比較が非常に複雑になる。
【0049】
ここでは、上述の特性に鑑み、認証及び/又は識別ステップが、生体ステップではなく暗号化ステップに対応するという利点がある。そのような方法は、高レベルのセキュリティを提供する制御検証に対して生体データを使用することを可能にし、一方で、暗号を利用して本人確認制御を実行する。これにより、純粋な生体制御に関連する問題が回避される。
【0050】
なお、データベースは暗号化された生体データのみを含むため、潜在的な攻撃者が個人データを検索することを許可しない。したがって、個人情報は保護される。
【0051】
このような制御システムは、生体検証のセキュリティレベルを本人確認検証及び認証に対する暗号化方法と組み合わせる。
【0052】
さらにH(w)に対応する鍵Kは、取り込む度に別個の生体データが提供されるため、容易に更新可能であり、不正な使用が検出された場合には容易に取り消し可能である。
【0053】
図4は、グループ署名の分野に応用した本発明の一実施形態に係る制御システムを示す。この応用例において、ユーザの生体データに基づいて取得される値Kは、グループ署名制御システムにおける署名グループメンバの共通鍵の一部分のみを構成する。
【0054】
一例として、以下の節において、D. Boneh及びH. Shachamによる文献「Group signatures with verifier-local revocation」ACM Conference on Computer and Communications Security、2004年において説明されるようなBoneh-Shachamグループ署名機構における本発明の一応用例を説明する。
【0055】
図4に示すようにグループ署名方法に適応される制御システムは、制御装置10と、制御サーバ42と、登録サーバ44と、システムの署名グループのメンバと関連付けられる秘密γを保持する鍵管理装置43と、ストレージデバイス11とを含む。
【0056】
登録サーバは共通鍵の第2部分を生成し、制御サーバは制御を行なう。制御サーバは、単一のサーバにおいて同一の場所に配置される2つのサーバを有するように容易に構成可能である。グループ署名方法は、グループメンバがグループ名で、匿名でメッセージに署名することを可能にし、グループにおける資格を証明することを可能にする。
【0057】
本発明の一実施形態にしたがって取得された生体データから得られる値Kは、グループ署名方法で使用される秘密鍵(private key)の一部分であるという利点がある。
【0058】
この応用例の目的は、秘密鍵の一部分Kと関連付けられるユーザが署名グループのメンバであるか否かを判定することである。
【0059】
なお、本発明の有利な一実施形態において、グループの一員となるためには、データベースを管理できる必要は無い。当該グループのメンバと関連付けられるグループ秘密γを使用するからである。
【0060】
図5は、本発明の一実施形態にしたがって署名グループにおける資格を検査する方法を示す。
【0061】
登録フェーズIとして、生体データwが取り込まれる。鍵管理装置43と関連する登録サーバ44は、ユーザに関するグループ秘密γを提供する。そして、以下の式(1)を満足するように、グループ秘密γ及び生体データwに対応する値Aを決定する。
AK+γ = g1 (1)
式中、g1は本システムの公開パラメータである。
【0062】
KはK = H(w)を満足する。Hは暗号化ハッシュ関数である。
【0063】
登録サーバ44は、この値Aを判定すると、その値Aをメッセージ51においてストレージデバイス11に向けて送信する。図5に示すように、この送信は制御装置10を介して行なわれ、制御装置10は共通鍵の一部Aをストレージデバイス11に格納することができる。
【0064】
したがって、この値Aはユーザのストレージデバイス11に格納される。これによりストレージデバイスは、ユーザと関連付けられるデータ(w, A)を格納する。
【0065】
あるいは、生体データwは暗号化関数により変換される形式でストレージデバイス11に格納される。この場合、完全な共通暗号鍵は対(H(w), A)である。以下に説明する例はこの最後の例に対応する。
【0066】
そのようなシステムにおいて、共通鍵(K, A)は登録フェーズにおいてグループの各メンバと関連付けられる。K及びAは、上記の一覧表示された式を満足する。
【0067】
この状況において、共有鍵(K, A)を含むストレージデバイス11を有するユーザは、グループのメンバとして認識されるために、式(1)を満足する鍵を知っていることを制御サーバ42に証明する必要がある。
【0068】
制御フェーズIIにおいて、ユーザは、ストレージデバイス11を制御装置10に提示する。
【0069】
制御装置10は、このユーザに関する第2生体データw'を取り込む。制御装置10は、第1生体データ及び第2生体データが同一ユーザから得られるかを判定するために、最初にそれら生体データを互いに比較しようとする。
【0070】
第1データ及び第2データが同一ユーザから得られると制御装置が判断した場合、グループにおける資格を検査するための方法が本発明の一実施形態にしたがって実行される。
【0071】
図5は、登録フェーズI及び制御フェーズIIを示す。制御フェーズ中、制御装置はメッセージM(チャレンジ)を制御サーバ42から受信する(501)。
【0072】
ユーザがグループのメンバであることを証明するために、ユーザは、とくに秘密鍵(K, A)に基づいて制御サーバから受信したメッセージMに署名を行なう。
【0073】
以下の記号が使用される。
G1は、素数次数pの巡回乗法群である。
G2は、p乗に等しい次数の乗法群である。
Ψは、集合G2から集合G1への準同形である。
G2は、G1の次数pの要素であり、g1は、以下の式が満足されるようなG1の生成要素である。
Ψ(g2) = g1
GTは、素数次数pの巡回乗法群である。
eは、集合G1×G2から集合GTへの非退化マッチングである。
Hは、集合{0, 1}*からZpへのハッシュ関数であり、H0は、集合{0, 1}*から集合G22への相関性を確立する別のハッシュ関数である。
記号gpkは、以下のように形成される公開鍵のグループを示す。
gpk = (g1, g2, b)
上式中、b = g2γであり、γは当該グループと関連付けられる秘密である。
【0074】
当該ユーザの秘密鍵(K, A)は、AがG1の要素でありかつKがZpの要素であるような鍵である。
【0075】
K及びAは以下の式を満足する。
e(A, b・(g2)K) = e(g1, g2)
Kは既知の値であり、Aはグループと関連付けられる秘密γに基づいて判定される。
【0076】
制御装置は以下を取得する。
(u^, v^) = H0(gpk, M, r)
式中、rはZpの乱数値であり、u^及びv^は、グループG2の生成元である。
【0077】
その後、制御装置は以下の式にしたがってu及びvの値を取得する。
【0078】
u = Ψ(u^)
v = Ψ(v^)
次に制御装置はZpの乱数値αを生成し、以下を計算する。
【0079】
T1 = uα
T2 = A・vα
δ = K α
集合Zpの乱数値rα、rK、rδに基づいて、制御装置は以下の値を判定する。
【数1】
以下の式を満足する値をcで示す。
c = H(gpk, M, r, T1, T2, R1, R2, R3)
次に、以下を計算する。
sα = rα + cα
sα = rK + cK
sδ = rδ + cδ
その後、制御装置は、以下の式を満足する署名されたメッセージσを制御サーバに送信できる。
σ = (r, c, T1, T2, sα, sK, sδ)
このような状況において、制御サーバ側では、集合G1における値の対(u^, v^)とそれらの像u及びvとを見つけることができる。
【0080】
そのために、制御サーバは以下の計算を行なう。
【数2】
その後、制御サーバは、以下の式が満たされたことをチェックする。
c = H(gpk, M, r, T1, T2, R1^, R2^, R3^)
上の式が満たされる場合、制御サーバは署名を受け入れる。
【0081】
したがって、グループ署名システムのユーザと関連付けられた秘密鍵の一部として、生体データから取得された暗号鍵Kを使用し、暗号鍵Kとグループ秘密γとを関連付けることにより、データベースの管理なしで信頼性のある効果的なグループ署名システムを提供できる。これらの特性は、値AがK及びグループ秘密γから容易に取得可能であることに基づく。
【0082】
2つの異なる取り込みデータが別個の生体データを提供する場合、鍵を容易に更新可能であり、容易に取消可能である。取消し処理は、次に説明するように行なわれる。Aを現在の取消しリストのメンバとする。以下の式が満たされるか否かを検査する。
e(T2/A, u^) = e(T1, v^)
この式が満たされる場合、取消しが行なわれる。
【0083】
さらに共通鍵は、制限された期間だけ有効であるように管理され、定期的に取消しリストがされる。
【0084】
図6は、制御システムを示す。この制御システムは、
第1生体データwが格納されたストレージデバイス11と、
第2生体データw'をキャプチャする生体データセンサ102と、
前記ストレージデバイス用のリーダ101と、
制御装置10とを含む。
【0085】
また、制御装置10は、
第1生体データと第2生体データとの比較に基づいて第1生体データ及び第2生体データが互いに対応するかを判断する判断部103と、
第1生体データw及び第2生体データw'が互いに対応すると判断部103が判断した場合に、第1生体データに暗号化関数Hを適用することにより共通暗号鍵Kの少なくとも一部分を生成する生成部104とを含む。
【0086】
センサ、リーダ、制御装置及びストレージデバイスの構造はなんら限定されるものではない。
【0087】
なお、ストレージデバイス、センサ及び、リーダが同一の場所に配置されることも可能である。
【0088】
あるいは、センサ及びリーダをストレージデバイス及び制御装置と別の場所に配置することも容易に実現できる。また、ストレージデバイスは制御装置と同一の場所に配置することも容易である。この場合、ストレージデバイスはマッチオンカード(MoC)タイプの装置である。
【0089】
この制御システムは、
暗号化関数H(w)により変換される形式で生体データを格納するデータベース31をさらに含むことができる。
【0090】
制御装置10は、生成部104により生成される共通暗号鍵の検証をデータベースから要求するインタフェースユニット105をさらに含む。
【0091】
図7は、グループ署名を行なうことができるメンバのグループにおける資格を検査する制御サーバ42をさらに含む他の制御システムを示す。グループ秘密はこのグループと関連付けられる。
【0092】
制御装置10は、
制御サーバ42と通信して、メッセージMを受信し(501)、署名されたメッセージを送信するインタフェースユニット105と、
制御装置10により生成された共通暗号鍵部分Kと、グループ秘密及び共通暗号鍵部分に基づいて登録サーバ44により生成された別の共通暗号鍵部分Aとを含む共通暗号鍵に基づいて、受信されたメッセージMから、署名されたメッセージを生成する署名生成部106と、
をさらに含む。
【0093】
登録サーバ44は、
Kが制御装置の生成部104により生成される共通暗号鍵部分であり、γがグループ秘密であり、g1が制御システムの公開パラメータである場合に、A = g1 1/K+γにしたがって別の共通暗号鍵部分Aを生成する生成部421と、
別の共通暗号鍵部分をストレージデバイス11に送るインタフェースユニット422と、
を含むことができる。
【特許請求の範囲】
【請求項1】
第1生体データ(w)を示す信号を受信し、かつ、キャプチャした第2生体データ(w')を取得する制御装置(10)、を備えた制御システムの制御方法であって、
前記制御装置において、
前記第1生体データ及び前記第2生体データを比較する比較ステップ(21)と、
前記比較ステップでの比較結果に基づいて前記第1生体データ及び前記第2生体データが互いに対応することを判定する判定ステップ(22)と、
前記第1生体データに暗号化関数(H)を適用することにより共通暗号鍵(H(w))の少なくとも一部分を生成する生成ステップ(23)と、
を実行することを特徴とする制御方法。
【請求項2】
前記第1生体データ(w)を示す前記信号は、前記第1生体データが格納されたストレージデバイス(11)から得られることを特徴とする請求項1記載の制御方法。
【請求項3】
前記生成ステップは、共通暗号鍵(K)全体を生成し、
前記制御システムは、少なくとも前記共通暗号鍵を前記暗号化関数により変換された形式で格納するデータベース(31)をさらに含み、
前記制御装置において、
前記共通暗号鍵に基づいて制御要求(32)を送信する送信ステップと、
前記共通暗号鍵が前記データベースに格納されているか否かを示す制御応答(33)を受信する受信ステップと、
を更に実行することを特徴とする請求項1又は2記載の制御方法。
【請求項4】
各々がグループ署名を行なうことができるグループの複数のメンバにグループ秘密(γ)が関連付けられ、
前記制御装置(10)において、
メッセージ(M)を受信するメッセージ受信ステップ(501)と、
Kが前記生成ステップで生成された前記共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g1 1/K+γを満足する別の共通暗号鍵部分(A)及び前記生成ステップで生成された前記共通暗号鍵部分を含む共通暗号鍵に基づいて前記メッセージに署名する署名ステップと、
前記メッセージ受信ステップに応答して署名されたメッセージ(σ)を送信するステップ(52)と、
をさらに実行することを特徴とする請求項1又は2記載の制御方法。
【請求項5】
前記制御システムは登録サーバ(44)を備え、
前記制御装置(10)において前記メッセージ受信ステップの前に、
前記登録サーバから前記別の共通暗号鍵部分(A)を受信するステップと、
前記別の共通暗号鍵部分をストレージデバイス(11)に格納するステップと、
をさらに含むことを特徴とする請求項4に記載の制御方法。
【請求項6】
第1生体データ(w)を格納するストレージデバイス(11)と登録サーバ(44)とを備えた制御システムの制御方法であって、
グループ秘密(γ)は、各々がグループ署名を行なうことができるグループの複数のメンバと関連付けられ、
前記登録サーバにおいて、
前記第1生体データ(w)に暗号化関数(H)を適用することにより第1共通暗号鍵部分(K)を取得する取得ステップと、
Kが前記第1共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g11/K+γにしたがって第2共通暗号鍵部分(A)を生成する生成ステップと、
前記ストレージデバイス(11)に対して前記第2共通暗号鍵部分を送信する送信ステップと、
を含むことを特徴とする制御方法。
【請求項7】
第1生体データ(w)が格納されたストレージデバイス(11)と、
第2生体データ(w')を取り込む生体データセンサ(102)と、
生体データを前記ストレージデバイスから読みとるリーダ(101)と、
制御装置(10)と、
を備えた制御システムであって、
前記制御装置(10)は、
前記第1生体データと前記第2生体データとの比較に基づいて前記第1生体データ及び前記第2生体データが互いに対応するかを判断する判断部(103)と、
前記第1生体データ(w)及び前記第2生体データ(w')が互いに対応すると前記判断部が判断した場合に、前記第1生体データに暗号鍵関数(H)を適用することにより共通暗号鍵(K)の少なくとも一部分を生成する生成部(104)と、
を含むことを特徴とする制御システム。
【請求項8】
ハッシュ暗号化関数により変換される形式(H(w))で生体データを格納するデータベース(31)をさらに備え、
前記制御装置(10)は、前記生成部(104)により生成される前記共通暗号鍵の検証を前記データベースから要求するインタフェースユニットをさらに含むことを特徴とする請求項7に記載の制御システム。
【請求項9】
グループ署名を行なうことができるメンバについて、グループにおける資格を検査する制御サーバ(42)をさらに備え、グループ秘密が前記グループと関連付けられ、
前記制御装置(10)は、
メッセージ(M)を受信し(501)かつ署名されたメッセージを送信し、前記制御サーバ(42)とインタフェースするインタフェースユニット(105)と、
前記制御装置により生成された前記共通暗号鍵部分(K)、並びに前記グループ秘密及び前記共通暗号鍵部分に基づいて生成される別の共通暗号鍵部分(A)を含む共通暗号鍵に基づいて、受信されたメッセージ(M)から署名されたメッセージを生成する署名生成部(106)と、
をさらに含むことを特徴とする請求項7に記載の制御システム。
【請求項10】
Kが前記制御装置の前記生成部(104)により生成される前記共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g11/K+γにしたがって別の共通暗号鍵部分(A)を生成する生成部(421)と、
前記別の共通暗号鍵部分を前記ストレージデバイス(11)に送信するインタフェースユニット(422)と、
を含む登録サーバ(44)をさらに備えたことを特徴とする請求項9に記載の制御システム。
【請求項1】
第1生体データ(w)を示す信号を受信し、かつ、キャプチャした第2生体データ(w')を取得する制御装置(10)、を備えた制御システムの制御方法であって、
前記制御装置において、
前記第1生体データ及び前記第2生体データを比較する比較ステップ(21)と、
前記比較ステップでの比較結果に基づいて前記第1生体データ及び前記第2生体データが互いに対応することを判定する判定ステップ(22)と、
前記第1生体データに暗号化関数(H)を適用することにより共通暗号鍵(H(w))の少なくとも一部分を生成する生成ステップ(23)と、
を実行することを特徴とする制御方法。
【請求項2】
前記第1生体データ(w)を示す前記信号は、前記第1生体データが格納されたストレージデバイス(11)から得られることを特徴とする請求項1記載の制御方法。
【請求項3】
前記生成ステップは、共通暗号鍵(K)全体を生成し、
前記制御システムは、少なくとも前記共通暗号鍵を前記暗号化関数により変換された形式で格納するデータベース(31)をさらに含み、
前記制御装置において、
前記共通暗号鍵に基づいて制御要求(32)を送信する送信ステップと、
前記共通暗号鍵が前記データベースに格納されているか否かを示す制御応答(33)を受信する受信ステップと、
を更に実行することを特徴とする請求項1又は2記載の制御方法。
【請求項4】
各々がグループ署名を行なうことができるグループの複数のメンバにグループ秘密(γ)が関連付けられ、
前記制御装置(10)において、
メッセージ(M)を受信するメッセージ受信ステップ(501)と、
Kが前記生成ステップで生成された前記共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g1 1/K+γを満足する別の共通暗号鍵部分(A)及び前記生成ステップで生成された前記共通暗号鍵部分を含む共通暗号鍵に基づいて前記メッセージに署名する署名ステップと、
前記メッセージ受信ステップに応答して署名されたメッセージ(σ)を送信するステップ(52)と、
をさらに実行することを特徴とする請求項1又は2記載の制御方法。
【請求項5】
前記制御システムは登録サーバ(44)を備え、
前記制御装置(10)において前記メッセージ受信ステップの前に、
前記登録サーバから前記別の共通暗号鍵部分(A)を受信するステップと、
前記別の共通暗号鍵部分をストレージデバイス(11)に格納するステップと、
をさらに含むことを特徴とする請求項4に記載の制御方法。
【請求項6】
第1生体データ(w)を格納するストレージデバイス(11)と登録サーバ(44)とを備えた制御システムの制御方法であって、
グループ秘密(γ)は、各々がグループ署名を行なうことができるグループの複数のメンバと関連付けられ、
前記登録サーバにおいて、
前記第1生体データ(w)に暗号化関数(H)を適用することにより第1共通暗号鍵部分(K)を取得する取得ステップと、
Kが前記第1共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g11/K+γにしたがって第2共通暗号鍵部分(A)を生成する生成ステップと、
前記ストレージデバイス(11)に対して前記第2共通暗号鍵部分を送信する送信ステップと、
を含むことを特徴とする制御方法。
【請求項7】
第1生体データ(w)が格納されたストレージデバイス(11)と、
第2生体データ(w')を取り込む生体データセンサ(102)と、
生体データを前記ストレージデバイスから読みとるリーダ(101)と、
制御装置(10)と、
を備えた制御システムであって、
前記制御装置(10)は、
前記第1生体データと前記第2生体データとの比較に基づいて前記第1生体データ及び前記第2生体データが互いに対応するかを判断する判断部(103)と、
前記第1生体データ(w)及び前記第2生体データ(w')が互いに対応すると前記判断部が判断した場合に、前記第1生体データに暗号鍵関数(H)を適用することにより共通暗号鍵(K)の少なくとも一部分を生成する生成部(104)と、
を含むことを特徴とする制御システム。
【請求項8】
ハッシュ暗号化関数により変換される形式(H(w))で生体データを格納するデータベース(31)をさらに備え、
前記制御装置(10)は、前記生成部(104)により生成される前記共通暗号鍵の検証を前記データベースから要求するインタフェースユニットをさらに含むことを特徴とする請求項7に記載の制御システム。
【請求項9】
グループ署名を行なうことができるメンバについて、グループにおける資格を検査する制御サーバ(42)をさらに備え、グループ秘密が前記グループと関連付けられ、
前記制御装置(10)は、
メッセージ(M)を受信し(501)かつ署名されたメッセージを送信し、前記制御サーバ(42)とインタフェースするインタフェースユニット(105)と、
前記制御装置により生成された前記共通暗号鍵部分(K)、並びに前記グループ秘密及び前記共通暗号鍵部分に基づいて生成される別の共通暗号鍵部分(A)を含む共通暗号鍵に基づいて、受信されたメッセージ(M)から署名されたメッセージを生成する署名生成部(106)と、
をさらに含むことを特徴とする請求項7に記載の制御システム。
【請求項10】
Kが前記制御装置の前記生成部(104)により生成される前記共通暗号鍵部分であり、γが前記グループ秘密であり、g1が前記制御システムの公開パラメータである場合に、A = g11/K+γにしたがって別の共通暗号鍵部分(A)を生成する生成部(421)と、
前記別の共通暗号鍵部分を前記ストレージデバイス(11)に送信するインタフェースユニット(422)と、
を含む登録サーバ(44)をさらに備えたことを特徴とする請求項9に記載の制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2011−507436(P2011−507436A)
【公表日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願番号】特願2010−538780(P2010−538780)
【出願日】平成20年12月19日(2008.12.19)
【国際出願番号】PCT/EP2008/068122
【国際公開番号】WO2009/083518
【国際公開日】平成21年7月9日(2009.7.9)
【出願人】(510171966)
【出願人】(501008819)センター ナショナル デ ラ レシェルシェ サイエンティフィック(シーエヌアールエス) (8)
【氏名又は名称原語表記】CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE(CNRS)
【住所又は居所原語表記】3 rue Michel Ange F−75794 Paris Cedex 16 France
【出願人】(509098124)
【Fターム(参考)】
【公表日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願日】平成20年12月19日(2008.12.19)
【国際出願番号】PCT/EP2008/068122
【国際公開番号】WO2009/083518
【国際公開日】平成21年7月9日(2009.7.9)
【出願人】(510171966)
【出願人】(501008819)センター ナショナル デ ラ レシェルシェ サイエンティフィック(シーエヌアールエス) (8)
【氏名又は名称原語表記】CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE(CNRS)
【住所又は居所原語表記】3 rue Michel Ange F−75794 Paris Cedex 16 France
【出願人】(509098124)
【Fターム(参考)】
[ Back to top ]