署名生成装置、署名検証装置、グループ管理装置、およびそれらのプログラム
【課題】グループ署名において、署名長を短縮することが可能なデジタル署名技術を提供する。
【解決手段】グループ署名システム1は、グループ秘密鍵およびグループ公開鍵を生成するグループ管理装置10と、グループメンバ装置20と、署名検証装置30とを備え、グループメンバ装置20は、グループ公開鍵に基づいて生成された署名証明情報と、グループ公開鍵と、グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスIDiを含む公開ライセンス情報と、グループメンバ固有の秘密ライセンス情報と、リクエストとを用いてリクエストに応じた随時署名を生成する随時署名生成手段と、リクエストに、随時署名と、署名証明情報と、公開ライセンス情報とを付加したメッセージをグループ署名として生成するメッセージ生成手段と、グループ署名を署名検証装置30に送信するグループ署名送信手段とを備える。
【解決手段】グループ署名システム1は、グループ秘密鍵およびグループ公開鍵を生成するグループ管理装置10と、グループメンバ装置20と、署名検証装置30とを備え、グループメンバ装置20は、グループ公開鍵に基づいて生成された署名証明情報と、グループ公開鍵と、グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスIDiを含む公開ライセンス情報と、グループメンバ固有の秘密ライセンス情報と、リクエストとを用いてリクエストに応じた随時署名を生成する随時署名生成手段と、リクエストに、随時署名と、署名証明情報と、公開ライセンス情報とを付加したメッセージをグループ署名として生成するメッセージ生成手段と、グループ署名を署名検証装置30に送信するグループ署名送信手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットや専用IP回線等のネットワークを介して提供されるサービスを利用するユーザの認証技術に関し、特に、ユーザが匿名性を有しながら、正規のサービス受給権利者のグループに属していることを証明することができるユーザの個人情報保護を目的としたデジタル署名技術に関する。
【背景技術】
【0002】
通信技術の発展、普及に伴って、インターネットや専用IP回線等のネットワーク利用者(ユーザ)が、ネットワークを介して電子データを送受信することで各種のサービスを享受する形態のコミュニケーションが増加してきている。しかしながら、電子データを改変することは容易である。したがって、ネットワークを介したコミュニケーションにおいては、サービスを供給されるべき正しい権利のあるユーザ(以下、正当なユーザという)とは異なる第三者が、電子データを偽って偽造、複製、改ざんなどをすることによって、正当なユーザに成りすますという問題がある。そのため、ネットワークを介したコミュニケーションにおいては、正当なユーザであることを示すために、ユーザ認証の技術が利用される。
【0003】
認証技術の代表的なものとして、ID・パスワード方式と、デジタル署名とが挙げられる。このうち、ID・パスワード方式では、ユーザは、事前に個人情報と関連付けたID(ユーザID)とパスワードとを登録する。ここで、ユーザIDは、例えば、氏名・住所または必要に応じて決済情報といった個人情報と関連付けられているため個人情報と同等な扱いが必要なものである。そして、ユーザがサービスを受けるためにサービス提供者へアクセスするときに、サービス提供者は、ユーザにユーザIDとパスワードとを入力させる。そして、入力されたパスワードと事前に登録されたパスワードとが一致したときに、サービス提供者は、アクセスしたユーザが正当なユーザであることを確認することでユーザ認証を行っている。
【0004】
また、デジタル署名による認証方式では、PKI(Public Key Infrastructure)に基づいて、各ユーザがそれぞれ自らのユーザIDと公開鍵とをサービス提供者へ登録しておき、登録した公開鍵に対応する秘密鍵を自ら安全に所有しておく。そして、ユーザがサービス提供者へアクセスするときには、自分の秘密鍵でデジタル署名情報を生成しユーザIDとあわせて発行する。そして、サービス提供者は、この署名が、ユーザIDと関連付けて予め登録されている公開鍵で検証可能であるときに正当なユーザであることを確認することでユーザ認証を行っている。
【0005】
これらの既存の認証技術は、いずれも、ユーザIDをサービス提供者側(ユーザがアクセスしたサーバ側)に明示しなければならない。一般に、サービス提供者に登録されたユーザの個人情報は本来の目的以外に使用されるものではないが、何らかの原因で漏洩する可能性は否定できない。ユーザIDは、複数のユーザを単に区別する識別番号という意味を持つだけではなく、そのユーザの氏名・住所(あるいは決済情報)と関連付けられているために、いわゆる個人情報と同等な情報となり得る可能性がある。そのため、さまざまなサービスが電子化・オンライン化される中で、ユーザのあらゆる行動がユーザIDに紐付けて蓄積され、消費活動や趣味嗜好などといったプライバシ情報がユーザの意思とは無関係に管理されることになりかねないことが指摘されているのが現状である。そのため、ユーザIDをサービス提供者側(ユーザがアクセスしたサーバ側)に明示しなければならない認証方式に対する不安を払拭して、ネットワークを介したコミュニケーションを発展させることが要望されている。
【0006】
また、ネットワーク上のサービスは、多様化してきており、デジタル署名を用いた認証方式においてもサービスに応じて様々な機能が求められてきている。例えば、電子投票やアンケート、電子決済などのサービスで利用することを目的としたデジタル署名において、署名者の匿名性を有するデジタル署名が開発されている。匿名性を有するデジタル署名には、グループ署名と呼ばれるものがある。
【0007】
グループ署名は、ChaumとHeijstにより初めて提案された(非特許文献1参照)。その後、多くの研究者によって、改良された方式が提案されてきており、改良された代表的な方式として、例えば、Ateniese、Camenisch、Joye、Tsudikらによるグループ署名が知られている(非特許文献2参照)。また、FurukawaとImaiによる効率的なグループ署名方式も知られている(非特許文献3参照)。
【0008】
グループ署名では、あるサービスを受ける権利を持つユーザを予めグループ化しておき、検証者は、署名を作成したユーザが、グループに属しているか否かで認証を行う。検証者は、署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することは不可能である。一般的なグループ署名では、グループを管理するグループ管理者が存在する。このグループ管理者は、グループ独自の公開鍵と秘密鍵のペアを生成して、公開鍵を公開する。ユーザがグループに所属することを希望するときには、そのユーザは、グループ管理者と交信を行い、グループ管理者は、該当するユーザの署名鍵を生成し、ユーザに渡す。ユーザは、自らの署名鍵で署名を作成し、検証者はグループの公開鍵で署名を検証する。また、一般的なグループ署名では、グループ内で不正が起きた場合に、その不正を起こした不正者を特定するため、グループ管理者には、非常手段として署名の匿名性を破棄して、署名者を特定できる権限がある。
【0009】
図9は、従来のグループ署名システムの概要を模式的に示す構成図である。グループ署名システム901は、グループ管理装置910と、グループメンバ装置(署名生成装置)920と、署名検証装置930とを備えている。グループ管理装置910は、はじめにセットアップと呼ばれる準備ルーチンを行い、グループ署名に必要なグループ秘密鍵および検証鍵(グループ公開情報)等の基本パラメータを生成する。グループ管理装置910は、次に、ジョインルーチンをグループメンバ装置920と交信しながら行う。グループ管理装置910は、基本パラメータとメンバのIDとを用いて、ライセンス(ID,メンバ秘密鍵)を発行し、検証鍵(グループ公開情報)とライセンスとをグループメンバ装置920に渡す。ライセンスを受け取ったグループメンバ装置920(の操作者)は、グループのメンバと見做される。グループメンバ装置920は、受け取ったライセンスを用いて署名を生成し、生成した署名を署名検証装置930に渡す。署名検証装置930は、グループ管理装置910から取得した検証鍵(グループ公開情報)を用いて、グループメンバ装置920から受け取った署名の正当性を検証するものである。署名検証装置930は、受け取った署名が、正規のグループメンバ装置920が正しいライセンスを用いて作成した署名であるか否かを検証し、署名の正当性を出力する。このグループ署名システム901において、グループメンバ装置920以外の装置は署名を生成することができない。また、グループメンバ装置920や署名検証装置930は、どの装置が署名を生成したのかを特定することはできない。
【0010】
また、グループ署名の従来の方式では、異なる2つの署名が同一署名者によるものであるのか否かについて分からないという性質(Unlinkableと呼ばれる性質)を持っているものが多い。なお、Unlinkableなグループ署名において、グループ管理者は、署名の匿名性を破棄すれば、異なる二つの署名が同一署名者によるものであるのか否かについて分かる。
【0011】
ここで、従来の方式の一例として、非特許文献2に開示されたUnlinkableを満たすグループ署名について数式および図9を参照して説明する。このグループ署名方式は、セットアップルーチン、ジョインルーチン、サインルーチン、検証ルーチン、および署名者決定ルーチンからなる。
【0012】
セットアップルーチンでは、グループ管理装置910は、グループ秘密鍵および検証鍵(グループ公開情報)を作成する。
グループ管理装置910は、2つの素数p、q(p×q=nとする)を秘密裡に選ぶ。また、グループ管理装置910は、巡回群QR(n)の元gを任意に取り、gの位数以下の正整数xを秘密裡にとる。さらに、グループ管理装置910は、巡回群QR(n)の元a、a0、hをランダムに取る。そして、グループ管理装置910は、式(101)により、yを算出し、式(102)を秘密鍵として保管し、式(103)をグループ公開情報として公開する。
【0013】
【数1】
【0014】
次に、ジョインルーチンでは、グループ管理装置910は、グループメンバ装置920と通信して、式(104)で示すライセンスを渡す。ライセンスは、グループメンバ装置920毎に異なる。ここでは、iで識別する。式(104)中のAiは、式(105)を満たす。式(105)中のxi、eiは、ある範囲から選ばれた乱数であり、かつeiは素数である。
【0015】
【数2】
【0016】
グループメンバ装置920は、ライセンス中のxiを秘密鍵として秘密裡に保管し、ライセンス中のAi、eiを証明書として保管する。一方、グループ管理装置910は、ジョインルーチンの過程で生成されるxi自体の値は知らず、xiと関係のある式(106)を得て、グループメンバ装置920の識別子(i)と一緒に保管する。なお、図9に示すようにグループメンバ装置920が3台であれば、i=1〜3となり、グループ管理装置910において、識別子iは、氏名・住所(あるいは決済情報)といった個人情報と関連付けられている。
【0017】
【数3】
【0018】
サインルーチンでは、グループメンバ装置920は、まず、定められた範囲から乱数wを取り、式(107)〜式(109)でそれぞれ示すT1〜T3を作成する。これらの値を使って、グループメンバ装置920は、xiの値を秘密裡にしたまま自分が正しいxiを持っていることを証明できる署名を作成する。
【0019】
【数4】
【0020】
そのために、グループメンバ装置920は、定められた範囲から乱数r1、r2、r3、r4を選び、式(110)〜式(113)でそれぞれ示すd1〜d4を計算する。そして、グループメンバ装置920は、式(114)を計算する。式(114)において、Hはハッシュ関数、mは署名を打ちたいメッセージとする。また、記号「‖」はビット列の連接を表す。
【0021】
【数5】
【0022】
次に、グループメンバ装置920は、式(115)〜式(118)でそれぞれ示すs1〜s4を作成し、式(119)を署名として署名検証装置930に対して公開する。ただし、ここでγ、λはセキュリティパラメータから定まる定数である。
【0023】
【数6】
【0024】
検証ルーチンでは、署名検証装置930は、式(120)を計算し、受け取った署名中の式(114)で示すcと、算出した式(120)のc′とが同一であれば正しい署名とし、違っていれば不正な署名であることを出力する。最後に、署名検証装置930は、式(115)〜式(118)でそれぞれ示すs1〜s4がある定められた範囲にあることを確認する。
【0025】
【数7】
【0026】
署名者決定ルーチンでは、グループ管理装置910は、式(121)を計算することにより、署名者のライセンスを算出し、保管している鍵リストからAiを検索することで、式(119)に示す署名を作成したグループメンバ装置920を特定することができる。
【0027】
【数8】
【非特許文献1】Chaum and E. van Heijst :“ Group signatures, ”Eurocrypt ’91, Lecture Notes in Computer Science 547, p.257-265 , Springer-Verlag (1991)
【非特許文献2】G. Ateniese, J. Camenisch, M. Joye, and G. Tsudik:“A practical and provably secure coalition-resistant group signature scheme, ” CRYPTO 2000, Lecture Notes in Computer Science 1880, p.255-270, Springer-Verlag (2000)
【非特許文献3】J. Furukawa and H. Imai:“An Efficient Group Signature Scheme from Bilinear Maps, ” ACISP 2005, Lecture Notes in Computer Science 3574, p.455-467, Springer-Verlag (2005)
【発明の開示】
【発明が解決しようとする課題】
【0028】
しかしながら、グループ署名の従来の方式では、Unlinkableと呼ばれる性質を満足させるために、署名を生成する際に複雑な計算が必要であり、原理的に、署名の長さ(署名長)の長大化を招いていた。このため、グループ管理装置910およびグループメンバ装置920の実装に大きなコストがかかっていた。なお、非特許文献2に開示された方式では、署名は、前記した式(119)で示される。
【0029】
また、グループ署名がUnlinkableを満たしている場合には、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを無効化させるという運用を行うことが困難であった。この場合には、それまで使用していたグループ独自の公開鍵と秘密鍵のペアを破棄してグループに対応する新たな公開鍵と秘密鍵を生成しなければならなかった。このため、グループを構成するメンバの数が巨大である場合には、新たな公開鍵と秘密鍵を更新する度に、残りのメンバにライセンス(グループ秘密鍵)を安全に再配布するために多大な手間と時間とコストとを要することとなっていた。例えば、ライセンスの再配布を郵送で行うとメンバが脱退してからグループ署名の機能が再開する日にちまで他のメンバがサービスを享受できなくなってしまう。
【0030】
さらに、グループ署名がUnlinkableを満たしている場合には、例えば、コンテンツ配信サービスを受けることのできるグループに属するユーザが、ドラマ等のコンテンツを複数回に分けてネットワーク受信するときに、前回供給された状態の続きから受信することを要望したとしても、異なる2つの署名が同一署名者によるものであるのか分からないので、前回の履歴が分からず、このような要望に応えることができない。
【0031】
本発明は、以上のような問題点に鑑みてなされたものであり、グループ署名において、署名長を短縮することが可能なデジタル署名技術を提供することを目的とする。
【課題を解決するための手段】
【0032】
本発明は、前記目的を達成するために創案されたものであり、まず、請求項1に記載の署名生成装置は、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおける署名生成装置であって、署名証明情報生成手段と、随時署名生成手段と、メッセージ生成手段と、グループ署名送信手段とを備えることとした。
【0033】
かかる構成によれば、署名生成装置は、署名証明情報生成手段によって、前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する。そして、署名生成装置は、随時署名生成手段によって、前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する。ここで、随時署名は、リクエストに応じて生成され、署名検証装置に最終的に出力するグループ署名に含めるものである。本発明はグループ署名がUnlinkableを満たさない(linkableを満たす)ことを前提としているので、随時署名の段階においても従来よりも署名長を短縮した構成とすることができる。例えば、リクエストに応じた随時署名を生成するために、署名証明情報と、グループ公開鍵と、公開ライセンス情報と、リクエストとを連接して、そのハッシュ値を求め、求めたハッシュ値に秘密ライセンス情報を加えることができる。
【0034】
そして、署名生成装置は、メッセージ生成手段によって、前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成する。ここで、グループ署名に含まれる公開ライセンス情報には、グループメンバインデックスが含まれている。このグループメンバインデックスは、これによりグループ署名の署名者が誰であるかを特定することはできないが他の署名者と区別することができるものである。それは、グループメンバインデックスは、グループ内において各ユーザを区別できるインデックスであるからである。しかも、グループメンバインデックスは、グループメンバの個人情報とは分離されているので、個人情報と紐付けされた通常のユーザIDとは異なる。一方、Unlinkableを満たす従来の方式では、グループ署名中に、ユーザを識別する情報は含まれていない。また、署名生成装置が生成するグループ署名として、リクエストに付加される随時署名、署名証明情報および公開ライセンス情報は、それぞれ、例えば、160ビット程度のビット長とすることが可能なので、リクエストに、随時署名、署名証明情報および公開ライセンス情報を付加したグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、署名生成装置の実装に必要なコストを低減できる。
【0035】
そして、署名生成装置は、グループ署名送信手段によって、前記グループ署名を前記署名検証装置に送信する。したがって、グループ署名を受信した署名検証装置では、同一署名者により生成された異なる2つの署名が同一人物によるものであることが分かる。これにより、署名生成装置が生成するグループ署名は、Unlinkableを満たさない(linkableを満たす)ことになる。そのため、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを容易に無効化させることができる。また、新規メンバの加入を容易に行うこともできる。さらに、linkableを満たすことから、署名生成装置を利用するグループメンバが、サービスをネットワーク受信するときに、前回供給された状態の続きから受信することも可能となる。
【0036】
請求項2に記載の署名検証装置は、請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置であって、グループ署名受信手段と、検証用情報生成手段と、グループ署名検証手段とを備えることとした。
【0037】
かかる構成によれば、署名検証装置は、グループ署名受信手段によって、前記署名生成装置で生成されたグループ署名を受信する。そして、署名検証装置は、検証用情報生成手段によって、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する。そして、署名検証装置は、グループ署名検証手段によって、前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定する。これによれば、署名検証装置は、グループ署名を生成した署名生成装置と同程度の計算を実行するだけでグループ署名を検証することができる。一方、Unlinkableを満たす従来の方式では、署名検証装置は、グループ署名を生成した署名生成装置よりも複雑な計算をしなければならない。例えば、前記した式(114)の「c」を検証するために、それに比べて複雑な式(120)の「c′」を計算しなければならない。
【0038】
請求項3に記載の署名検証装置は、請求項2に記載の署名検証装置において、有効メンバ判別手段をさらに備えることとした。
【0039】
かかる構成によれば、署名検証装置は、有効メンバ判別手段によって、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスの有無により前記グループにおけるメンバ資格の有効および失効を管理するインデックス管理者により発行された前記グループメンバのリストを示すグループメンバインデックスのリストの中に、前記受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定する。そして、署名検証装置は、前記有効メンバ判別手段によってメンバ資格が有効であると判定された場合に、前記検証用情報生成手段によって、前記検証用情報を生成する。したがって、署名検証装置は、メンバ資格が失効した利用者からグループ署名を受信した場合には、グループ署名に含まれるグループメンバインデックスを確認しさえすればよく、以降の署名を検証する計算を省略することができる。
【0040】
請求項4に記載のグループ管理装置は、請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置であって、グループ鍵生成手段と、公開情報送信手段と、メンバ鍵生成手段とを備えることとした。
【0041】
かかる構成によれば、グループ管理装置は、グループ鍵生成手段によって、前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成する。ここで、グループメンバは、グループメンバインデックスを用いて管理することが可能なので、グループ内の所定のメンバがそのグループを脱退する場合に、グループ管理装置は、グループ秘密鍵およびグループ公開鍵を変更する必要がない。つまり、その所定のメンバの署名のみを容易に無効化させることができる。さらに、新規メンバの加入を容易に行うこともできる。また、グループ鍵生成手段が、生成元を整数群から選択した場合には、楕円曲線上から選択した場合に比べて安全性が高くなり、一方、生成元を楕円曲線上から選択した場合には、整数群から選択した場合に比べて署名長を短くすることができる。したがって、実装コストやサービスの種類等の要求に合わせていずれかを予め選択しておいてからグループ鍵生成手段によって、グループ秘密鍵およびグループ公開鍵を生成する。これにより、設計や運用を適宜柔軟に変更することができる。
【0042】
そして、グループ管理装置は、公開情報送信手段によって、前記グループ公開鍵を前記署名生成装置に送信する。そして、グループ管理装置は、メンバ鍵生成手段によって、前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成する。ここで、グループメンバインデックスは、必ずしもグループ管理装置で生成付与する必要は無く、署名生成装置またはその利用者に対して予め生成付与されたものを用いることができる。このようにグループ管理装置の外部で、グループメンバインデックスとユーザの個人情報とを秘密裡に紐付けして管理することで、グループ管理装置、署名生成装置および署名検証装置の3者内では、署名者のサービス利用状況を、氏名・住所等の個人情報に紐付けられることはない。したがって、匿名性を保持してネットワークを介したサービスをユーザに提供することが可能となる。
【0043】
請求項5に記載の署名生成プログラムは、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおいて前記署名生成装置を実現するために、コンピュータを、署名証明情報生成手段、随時署名生成手段、メッセージ生成手段、グループ署名送信手段として機能させることとした。
【0044】
かかる構成によれば、署名生成プログラムは、署名証明情報生成手段によって、前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する。そして、署名生成プログラムは、随時署名生成手段によって、前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する。そして、署名生成プログラムは、メッセージ生成手段によって、前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成する。そして、署名生成プログラムは、グループ署名送信手段によって、前記グループ署名を前記署名検証装置に送信する。
【0045】
請求項6に記載の署名検証プログラムは、請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置を実現するために、コンピュータを、グループ署名受信手段、検証用情報生成手段、グループ署名検証手段として機能させることとした。
【0046】
かかる構成によれば、署名検証プログラムは、グループ署名受信手段によって、前記署名生成装置で生成されたグループ署名を受信する。そして、署名検証プログラムは、検証用情報生成手段によって、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する。そして、署名検証プログラムは、グループ署名検証手段によって、前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定する。
【0047】
請求項7に記載のグループ管理プログラムは、請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置を実現するために、コンピュータを、グループ鍵生成手段、公開情報送信手段、メンバ鍵生成手段として機能させることとした。
【0048】
かかる構成によれば、グループ管理プログラムは、グループ鍵生成手段によって、前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成する。そして、グループ管理プログラムは、公開情報送信手段によって、前記グループ公開鍵を前記署名生成装置に送信する。そして、グループ管理プログラムは、メンバ鍵生成手段によって、前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成する。
【発明の効果】
【0049】
請求項1または請求項5に記載の発明によれば、署名生成装置は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、署名生成装置の実装に必要なコストを低減できる。
【0050】
請求項2または請求項6に記載の発明によれば、署名検証装置は、従来の方式で生成される署名を検証する場合と比べて計算量を低減することができる。また、署名検証装置では、linkableを満たすので、インデックスで特定した利用者の情報をサービス提供装置に通知することで、サービス提供装置から署名生成装置を利用するグループメンバに対して、サービスを提供するときに、前回の利用などのユーザ嗜好に合わせたステートフルなサービスを提供することができる。
【0051】
請求項3に記載の発明によれば、署名検証装置は、メンバ資格が失効した利用者からグループ署名を受信した場合に、署名を検証する計算を省略することができる。
【0052】
請求項4または請求項7に記載の発明によれば、グループ管理装置は、従来の方式で生成される署名よりも署名長を短縮することができるようなグループ秘密鍵、グループ公開鍵およびメンバ鍵を生成することができる。また、グループ内の所定のメンバがそのグループを脱退する場合に、グループ秘密鍵およびグループ公開鍵を変更する必要がないので、その所定のメンバの署名のみを容易に無効化させることができる。
【発明を実施するための最良の形態】
【0053】
以下、図面を参照して本発明の署名生成装置、署名検証装置およびグループ管理装置を実施するための最良の形態(以下「実施形態」という)について詳細に説明する。
【0054】
[グループ署名システムの構成]
図1は、グループ署名システムの概要を模式的に示す構成図である。グループ署名システム1は、図1に示すように、グループ管理装置10と、グループメンバ装置(署名生成装置)20と、署名検証装置30と、グループインデックス管理装置40と、会員情報管理サーバ50とを備えている。このグループ署名システム1では、会員向けサービスの運営者(運営主体)により利用される、グループインデックス管理装置40と、会員情報管理サーバ50とを備えている点が、図9に示したグループ署名システム901と大きく異なっている。なお、グループインデックス管理装置40の管理者をインデックス管理者という。また、各装置10〜50は、例えば、CPU(Central Processing Unit)と、RAM(Random Access Memory)と、ROM(Read Only Memory)と、HDD(Hard Disk Drive)と、通信を行うためのNIC(Network Interface Card)等を備えている。
【0055】
(グループ管理装置)
グループ管理装置10は、グループメンバ装置20においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成および検証する際に利用されるグループ公開鍵を生成管理するものである。グループ公開鍵は、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、生成元と、セキュリティパラメータとを含む。グループ管理装置10は、例えば、会員向けサービスの運営主体(運営者)により使用される。会員向けサービスの運営主体(運営者)は、サービス提供者からサービスの提供を受けるグループの管理者であるグループ管理者と兼務してもよいし、別であってもよい。
【0056】
(グループメンバ装置)
グループメンバ装置(署名生成装置)20は、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成するものである。グループメンバ装置20は、サービス提供者からサービスの提供を受けるグループの一員となる会員(ユーザ)により使用される。
【0057】
(署名検証装置)
署名検証装置30は、生成されたグループ署名をグループ公開鍵に基づいて検証するものである。本実施形態では、署名検証装置30は、グループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名であるか否かを検証する。署名検証装置30は、サービス提供者により使用される。
【0058】
(会員向けサービスの運営者)
会員向けサービスの運営者(運営主体)は、会員の個人情報、例えば住所・氏名といった個人を特定する情報を管理する。なお、有料サービスであれば課金徴収に関する情報も管理する必要がある。ただし、会員資格を有する利用者のサービス利用状況についてその匿名性を保つことが望まれる場合には、利用者からのサービス要求時に行うユーザ認証方式はグループ署名が適している。その理由は、利用者側ではサービス利用状況についてのプライバシを保護するためであり、また、運営者側では危機管理のためである。このような理由から、会員向けサービスの運営主体は、自ら管理する個人情報を識別するために、会員情報識別値をつけて管理している。
【0059】
(グループインデックス管理装置)
グループインデックス管理装置40は、複数の会員情報識別値(例えば、一般的な会員番号やユーザID)のリストである会員情報識別値リストL1を入力として、個々の会員に対応するグループメンバインデックス(IDi)を生成し、会員情報識別値とIDiとの対応付け表Tを秘密裡に保管するものである。ここで、グループメンバインデックス(IDi)は、グループメンバの個人情報と分離されたグループ内識別子を示す。また、グループインデックス管理装置40は、現時点におけるグループ参加資格者(グループ資格が有効なユーザ)のグループメンバインデックス(IDi)のリストである有効グループメンバインデックスリストL2を生成発行する。グループ資格が失効したユーザのグループメンバインデックス(IDi)は、有効グループメンバインデックスリストL2から削除される。このグループメンバインデックス(IDi)は、グループ署名を行う各個人を互いに区別するグループ署名用のインデックスである。言い換えると、グループメンバインデックス(IDi)は、同一署名者による異なる複数の署名が同じものであることが分かるという性質(linkableと呼ばれる性質)を持っている。
【0060】
また、グループインデックス管理装置40は、個々のグループメンバインデックス(IDi)を安全な方法で各グループメンバ装置20に配布する。配布方法としては、例えば対面方式などのようにオフラインな手法を使用することも可能である。ここで、グループ管理装置10、グループメンバ装置20、署名検証装置30およびグループインデックス管理装置40のそれぞれは、インターネットまたは専用IP回線等の外部ネットワークに必ずしも常時接続されている必要性はない。ただし、会員向けサービスを適正に運営するために、グループインデックス管理装置40が、最新の有効グループメンバインデックスリストL2を常時更新することが望ましく、署名検証装置30が当該リストL2の最新の情報を常時閲覧可能な運用とする必要がある。
【0061】
(会員情報管理サーバ50)
会員情報管理サーバ50は、会員情報(個人情報)と共に会員情報識別値を管理するものであり、会員情報識別値リストL1を保有している。会員情報識別値は、各個人を直接特定する個人情報に紐付けられた個人情報インデックスとなり得るものである。会員情報管理サーバ50は、例えば、会員向けサービスの運営主体(運営者)により使用される。
【0062】
(グループ署名システムの特徴)
グループ管理装置10、グループメンバ装置20および署名検証装置30の間において、グループ署名を生成および検証することにより、グループインデックス管理装置40以外の装置では、グループメンバインデックス(IDi)から個人を特定する情報を得ることは不可能である。このような事業形態の一例としては、例えば、会員向けサービスの運営主体が、グループ管理者に対してサービスを委託する場合(アウトソ−シング)が想定される。つまり、グループインデックス管理装置40の運営者と、グループ管理装置10の運営者(グループ管理者)とが異なる場合には、グループ署名のグループ管理者ですら、グループ署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することが不可能となる。なお、図9に示したグループ署名システム901と同様に、グループ署名システム1においても、グループメンバ装置20以外の装置はグループ署名を生成することができないことはもちろんである。また、検証者は、署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することは不可能である。
【0063】
[会員向けコンテンツ提供サービスシステムの概要]
図1に示したグループ署名システム1を会員向けコンテンツ提供サービスシステムに応用したときの構成とその全体動作の概要を図2に示す。図2は、会員向けコンテンツ提供サービスシステムの概要を模式的に示す構成図である。この会員向けコンテンツ提供サービスシステム2では、コンテンツサーバ60を備えている点が、図1に示したグループ署名システム1と異なっている。
【0064】
会員向けコンテンツ提供サービスシステム2における動作の概要は、以下の通りである。まず、会員向けサービスを運営する運営者(例えば、サービスプロバイダ)において、会員の個人情報から各個人を識別する会員番号を抽出して会員情報識別値リストL1を作成しておき、会員情報管理サーバ50から、グループインデックス管理装置40に会員情報識別値リストL1を入力する(ステップS1)。
【0065】
次に、グループインデックス管理装置40は、会員番号との関連性や規則性が無い値、または、推測不可能なランダムな値からなるグループメンバインデックス(IDi)を生成し、グループメンバ装置20に渡す(ステップS2)。そして、グループ管理装置10は、グループ署名に必要なセキュリティパラメータやグループ秘密鍵、グループ公開鍵を作成しておく(ステップS3:セットアップステップ)。次いで、グループメンバ装置20は、グループメンバインデックス(IDi)を用いて、グループ管理装置10に対し、グループへの加入することを要求する。グループ管理装置10とグループメンバ装置20との間のジョインプロトコルの実行により、グループ管理装置10からグループメンバ装置20に公開ライセンス情報と秘密ライセンス情報とが渡される(ステップS4:ジョインステップ)。
【0066】
続いて、会員(ユーザ)は、会員向けサービスを提供している提供者(例えば、別のサービスプロバイダ)にサービスの提供を要求する。すなわち、グループメンバ装置20は、コンテンツサーバ60に対して、サービスの要求と会員資格を示すために、グループ署名を作成して送信する。リクエストを受けたコンテンツサーバ60は、受け取ったグループ署名を署名検証装置30に渡し、グループ署名の検証を依頼する(ステップS6)。そして、署名検証装置30は、グループ署名の有効性の検証を行い(ステップS7:検証ステップ)、検証結果を、コンテンツサーバ60に返す(ステップS8)。そして、コンテンツサーバ60は、検証成功メッセージを受信すれば(正当なユーザであれば)、要求されたコンテンツを、該当するグループメンバ装置20に提供し(ステップS9)、検証失敗メッセージを受信すれば(正当なユーザでなければ)、コンテンツに対するリクエストを拒否する。
【0067】
なお、会員向けコンテンツ提供サービスシステム2において、決済を行う場合に、会員向けサービスを提供している提供者(例えば、別のサービスプロバイダ)にとっては、会員の氏名やクレジット番号等が不明である。しかしながら、会員向けサービスを運営する運営者(例えば、サービスプロバイダ)は、会員の氏名やクレジット番号を知っているので、提供者(検証者)が運営者に対価を要求し、運営者と会員との間で決済をして、運営者と提供者(検証者)との間で決済をすることができる。この場合、運営者は、会員が具体的に何を購入したかを知らないことになり、また、提供者(検証者)は、商品/サービスを受けた会員が誰であるのか特定できないことになる。したがって、匿名性を保持してネットワークを介したサービスをユーザに提供することが可能となる。
【0068】
[グループ管理装置の構成]
図3は、本発明の実施形態に係るグループ管理装置の構成を模式的に示すブロック図である。グループ管理装置10は、図3に示すように、記憶手段100と、セットアップ初期値生成手段101と、グループ鍵生成手段102と、グループ公開情報送信手段103と、ジョインリクエスト受信手段104と、メンバ鍵生成手段105と、ライセンス送信手段106とを備えている。
【0069】
記憶手段100は、例えば、演算処理等に利用されると共にネットワークNを介して取得した情報等を記憶するRAMと、所定のプログラム等を記憶するROMと、グループメンバ毎のライセンスを格納するHDD等を備えている。記憶手段100は、耐タンパな領域を有している。耐タンパな領域は、例えば、耐タンパ性を有するスマートカード(IC(Integrated Circuit)カード)から構成される。なお、記憶手段100を一括で表示したが、適宜分割されていてもよいことはもちろんである。
【0070】
セットアップ初期値生成手段101は、素数や生成元などのセットアップステップに必要な基本的なパラメータを生成するものである。本実施形態では、セットアップ初期値生成手段101は、素数p,q(q|p−1)を選択する。ここで、(q|p−1)は、“qは(p−1)の約数である、つまり、(p−1)はqで割り切れる”ことを示している。また、セットアップ初期値生成手段101は、乗法群(整数群)Zp上に構成される位数をqとするサブグループGq(またはZqと表記する)の原始元を生成元gとして選択する。素数p,qと、生成元gとは、記憶手段100のメモリに格納される。
【0071】
グループ鍵生成手段102は、グループ秘密鍵生成手段111と、グループ公開鍵生成手段112とを備えている。
グループ秘密鍵生成手段111は、グループの秘密鍵であるグループ秘密鍵x0を生成するものである。本実施形態では、グループ秘密鍵生成手段111は、Zqから、素数qより小さい正の整数x0をランダムに選択し、選択したx0をグループ秘密鍵として記憶手段100の耐タンパな領域に秘密裡に保管する。
【0072】
グループ公開鍵生成手段112は、生成元とグループ秘密鍵とを用いて生成される値と、生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するものである。本実施形態では、グループ公開鍵生成手段112は、式(1)に示すy0を算出する。式(1)において、離散対数x0はグループ秘密鍵を示す。y0は、記憶手段100のメモリに格納される。
【0073】
【数9】
【0074】
グループ公開情報送信手段103は、グループ公開鍵をグループメンバ装置20に送信する(公開する)ものである。本実施形態では、グループ公開情報送信手段103は、式(2)に示すグループ公開鍵VKをグループメンバ装置20に送信する。式(2)において、H(・)は、記憶手段100のメモリに予め格納されたハッシュ関数を示す。このハッシュ関数H(・)は、任意の長さのビット列を入力し、固定長(例えはkビット)のビット列を出力するものである。なお、セキュリティパラメータkは、署名の偽造のしにくさを表す尺度となるものである。
【0075】
【数10】
【0076】
ジョインリクエスト受信手段104は、グループメンバ装置20からネットワークNを介してジョインリクエストを受信するものである。このジョインリクエストには、グループメンバ装置20を識別するためにグループメンバインデックスが含まれている。取得されたグループメンバインデックスは、公開ライセンス情報の一部として記憶手段100のメモリに格納される。
【0077】
メンバ鍵生成手段105は、公開ライセンス情報生成手段121と、秘密ライセンス情報生成手段122とを備えている。
公開ライセンス情報生成手段121は、生成元と、グループメンバインデックスと、グループ秘密鍵とを用いて、グループメンバ毎の秘密にされるメンバ鍵として、グループメンバ固有の秘密ライセンス情報を生成するものである。本実施形態では、公開ライセンス情報生成手段121は、Zqから乱数riをランダムに選択する。また、公開ライセンス情報生成手段121は、式(3)に示すviを算出する。算出されたviは、公開ライセンス情報の一部として記憶手段100のメモリに格納される。
【0078】
【数11】
【0079】
秘密ライセンス情報生成手段122は、秘密ライセンス情報を算出するものである。本実施形態では、秘密ライセンス情報生成手段122は、公開ライセンス情報と、ハッシュ関数とを用いて、式(4)に示すciを算出する。また、秘密ライセンス情報生成手段122は、式(4)で示すciと、公開ライセンス情報生成手段121で選択した乱数riと、グループ秘密鍵x0と、素数qとを用いて、式(5)に示す秘密ライセンス情報xiを算出する。
【0080】
【数12】
【0081】
ライセンス送信手段106は、公開ライセンス情報(vi,IDi)と共に秘密ライセンス情報xiをライセンス(xi,vi,IDi)としてグループメンバ装置20に送信するものである。ここで、秘密ライセンス情報xiの受け渡しには、秘匿な通信網またはセキュアなデバイス等を用いて安全にグループメンバ装置20に渡す。なお、グループメンバ装置20は、安全に秘密ライセンス情報xiを保管する。
【0082】
[グループインデックス管理装置]
グループインデックス管理装置40は、図3に示すように、記憶手段400と、会員情報識別値取得手段401と、グループメンバインデックス生成手段402と、グループメンバインデックス送信手段403とを備えている。
記憶手段400は、グループ管理装置10の記憶手段100と同様なものなので、説明を省略する。
会員情報識別値取得手段401は、会員情報管理サーバ50から会員情報識別値リストL1を受信し、記憶手段400に格納するものである。
【0083】
グループメンバインデックス生成手段402は、会員情報識別値リストL1に基づいて、各メンバ(またはグループメンバ装置20)に対応してグループメンバインデックスを生成するものである。グループメンバインデックス生成手段402は、会員情報識別値リストL1が変更されると、有効なメンバのインデックスからなる有効グループメンバインデックスリストL2を更新して記憶手段400に格納する。
【0084】
グループメンバインデックス送信手段403は、グループメンバインデックスリストL2に記載されたグループメンバインデックスを該当するグループメンバ装置20にネットワークNを介して送信するものである。また、グループメンバインデックス送信手段403は、有効グループメンバインデックスリストL2をネットワークNを介して署名検証装置30に送信する。本実施形態では、グループメンバインデックス送信手段403は、有効グループメンバインデックスリストL2が更新されるたびに有効グループメンバインデックスリストL2を署名検証装置30に送信する。なお、グループメンバインデックス送信手段403は、更新されたかどうかに関わらず有効グループメンバインデックスリストL2を定期的に署名検証装置30に送信することもできる。また、署名検証装置30から、グループインデックス管理装置40に格納された有効グループメンバインデックスリストL2を定期的に参照するように構成することもできる。
【0085】
[グループメンバ装置の構成]
図4は、本発明の実施形態に係るグループメンバ装置の構成を模式的に示すブロック図である。グループメンバ装置(署名生成装置)20は、図4に示すように、記憶手段200と、公開情報受信手段201と、グループメンバインデックス受信手段202と、ジョインリクエスト生成手段203と、ジョインリクエスト送信手段204と、ライセンス取得手段205と、ライセンス検証手段206と、乱数選択手段207と、署名証明情報生成手段208と、随時署名生成手段209と、メッセージ生成手段210と、サービスリクエスト送信手段(グループ署名送信手段)211と、サービス受信手段212と、コンテンツ再生手段213とを備えている。
【0086】
記憶手段200は、グループ管理装置10の記憶手段100と同様なものなので、説明を省略する。
公開情報受信手段201は、グループ管理装置10からネットワークNを介してグループ公開鍵VKを受信するものである。受信されたグループ公開鍵VKは、記憶手段200のメモリに格納される。
グループメンバインデックス受信手段202は、グループインデックス管理装置40からネットワークNを介してグループメンバインデックスIDiを受信するものである。受信されたグループメンバインデックスIDiは、記憶手段200のメモリに格納される。
【0087】
ジョインリクエスト生成手段203は、グループ管理装置10に対してジョイン処理を要求するジョインリクエストを生成するものである。このジョインリクエストには、グループメンバ装置20を識別するためにグループメンバインデックスが含まれている。
ジョインリクエスト送信手段204は、ジョインリクエスト生成手段203で生成されたジョインリクエストをネットワークNを介してグループ管理装置10に送信するものである。
【0088】
ライセンス取得手段205は、グループ管理装置10からネットワークNを介してライセンスを受信するものである。受信されたライセンスは、ライセンス検証手段206で正当なライセンスであることが検証された後に記憶手段200のメモリに格納される。正当なライセンスとは、正規のグループ管理者が生成したライセンスである。
【0089】
ライセンス検証手段206は、ライセンス取得手段205で受信されたライセンスが正当なライセンスであるか否かを検証するものである。本実施形態では、ライセンス検証手段206は、以下の手順でライセンスを検証する。まず、式(6)で示すライセンスを受信する。式(6)で示すライセンスのうち公開ライセンス情報(vi,IDi)と、ハッシュ関数H(・)とを用いて、式(7)に示すciを算出する。なお、ハッシュ関数H(・)は、グループ公開鍵VKに含まれている。次に、式(6)で示すライセンスのうち秘密ライセンス情報(xi)と、生成元gとを用いて、式(8)に示すAを算出する。なお、生成元gは、グループ公開鍵VKに含まれている。次に、公開ライセンス情報(vi)と、式(7)に示すciと、前記した式(1)で示すy0とを用いて、式(9)に示すBを算出する。なお、y0は、グループ公開鍵VKに含まれている。ライセンス検証手段206は、式(8)に示すAと式(9)に示すBとが一致するか否かを判別し、AとBとが一致する場合、式(6)に示すライセンスを記憶手段200に保管する。
【0090】
【数13】
【0091】
乱数選択手段207は、Zqから乱数rsをランダムに選択するものである。
署名証明情報生成手段208は、グループ公開鍵に基づいてグループメンバの署名であることを示す署名証明情報を生成するものである。本実施形態では、署名証明情報生成手段208は、グループ公開鍵VKのg,qと、乱数選択手段207で選択した乱数rsを用いて、式(10)より署名証明情報vsを生成する。
【0092】
【数14】
【0093】
随時署名生成手段209は、署名証明情報と、グループ公開鍵と、公開ライセンス情報と、秘密ライセンス情報と、所定のリクエストと、を用いてリクエストに応じた随時署名を生成するものである。本実施形態では、随時署名生成手段209は、式(11)に示すように、署名証明情報vsと、公開ライセンス情報(vi,IDi)と、リクエスト(m)とを連接し、グループ公開鍵VK中のハッシュ関数H(・)を用いて算出したハッシュ値csを算出する。本実施形態では、リクエストは、入力装置Mから入力されるサービスリクエストとする。サービスリクエストは、例えば、コンテンツのタイトルやコンテンツID等を含む。また、入力装置Mは、視聴者(ユーザ)から各種情報を入力することのできるデバイスであり、例えば、キーボード、マウス、押し釦スイッチ、リモコン等である。
【0094】
【数15】
【0095】
また、随時署名生成手段209は、式(11)に示すcsと、乱数選択手段207で選択した乱数rsと、秘密ライセンス情報(xi)と、グループ公開鍵VK中の素数qとを用いて、式(12)に示すように、随時署名σsを算出する。
【0096】
【数16】
【0097】
メッセージ生成手段210は、リクエストに、随時署名と、署名証明情報と、公開ライセンス情報とを付加したメッセージをグループ署名として生成する。本実施形態では、メッセージ生成手段210は、式(13)に示すグループ署名σを生成する。
【0098】
【数17】
【0099】
サービスリクエスト送信手段(グループ署名送信手段)211は、メッセージ生成手段210で生成されたグループ署名をネットワークNを介して署名検証装置30に送信するものである。
サービス受信手段212は、例えば、リクエスト(入力装置Mから入力されるサービスリクエスト)に応じてコンテンツサーバ60からネットワークNを介して提供されるコンテンツ等のサービスを受信するものである。
【0100】
コンテンツ再生手段213は、サービス受信手段212で受信したコンテンツを出力装置Dに出力可能に再生するものである。ここで、出力装置Dは、コンテンツの映像を表示する表示手段と、音声を出力する音声出力手段(スピーカ)等を備える。表示手段は、例えば、CRT(Cathode Ray Tube)、液晶ディスプレイ(LCD:Liquid Crystal Display)、PDP(Plasma Display Panel)、EL(Electronic Luminescence)等から構成される。
【0101】
[署名検証装置の構成]
図5は、本発明の実施形態に係る署名検証装置の構成を模式的に示すブロック図である。署名検証装置30は、図5に示すように、記憶手段300と、公開情報受信手段301と、インデックスリスト取得手段302と、グループ署名受信手段303と、有効メンバ判別手段304と、検証用情報生成手段305と、グループ署名検証手段306と、検証結果送信手段307とを備えている。
【0102】
記憶手段300は、例えば、演算処理等に利用されると共にネットワークNを介して取得した情報等を記憶するRAMと、所定のプログラム等を記憶するROMと、グループメンバ毎のライセンスを格納するHDD等を備えている。
公開情報受信手段301は、グループ管理装置10からネットワークNを介してグループ公開鍵VKを受信するものである。受信されたグループ公開鍵VKは、記憶手段300のメモリに格納される。
【0103】
インデックスリスト取得手段302は、グループインデックス管理装置40からネットワークNを介してグループメンバインデックスリストL2を受信するものである。受信されたグループメンバインデックスリストL2は、記憶手段300のメモリに格納される。
グループ署名受信手段303は、グループメンバ装置20で生成されたグループ署名をネットワークNを介して受信するものである。本実施形態では、グループ署名受信手段303は、グループメンバ装置20で生成されたグループ署名を、コンテンツサーバ60との専用線70を経由して受信することとする。
【0104】
有効メンバ判別手段304は、受信したグループメンバインデックスリストL2の中に、グループ署名受信手段303で受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定するものである。
【0105】
検証用情報生成手段305は、グループ公開鍵に含まれるセキュリティパラメータと、グループ署名に含まれる署名証明情報(vs)と公開ライセンス情報(vi,IDi)とメッセージ(m)と、を用いて検証用情報を生成するものである。本実施形態では、検証用情報生成手段305は、式(14)および式(15)にそれぞれ示す検証用情報(Ci′,Cs′)を生成する。ここで、H(・)はハッシュ関数を示す。また、本実施形態では、検証用情報生成手段305は、有効メンバ判別手段304によってメンバ資格が有効であると判定された場合に検証用情報(Ci′,Cs′)を生成することとする。
【0106】
【数18】
【0107】
グループ署名検証手段306は、検証用情報生成手段305で生成された検証用情報(Ci′,Cs′)とグループ公開鍵とグループ署名とから導かれる値と、グループ署名に含まれる随時署名とグループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に、受信したグループ署名の検証が成功したと判定するものである。本実施形態では、グループ署名検証手段306は、グループ署名σ中の随時署名σsと、グループ公開鍵VK中の生成元gとを用いて、式(16)に示すDを算出する。また、グループ署名検証手段306は、グループ署名σ中の署名証明情報vsと、公開ライセンス情報viと、グループ公開鍵VK中の値y0とを用いて、式(17)に示すEを算出する。グループ署名検証手段306は、式(16)に示すDと式(17)に示すEとが一致するか否かを判別し、DとEとが一致する場合、受信したグループ署名の検証が成功したことを示す検証成功メッセージを生成し、DとEとが不一致である場合、検証失敗メッセージを生成する。
【0108】
【数19】
【0109】
検証結果送信手段307は、グループ署名検証手段306で生成された検証結果を示す検証成功メッセージまたは検証失敗メッセージを、ネットワークNを介してグループメンバ装置20に送信するものである。本実施形態では、検証結果送信手段307は、検証結果をコンテンツサーバ60を経由して、グループメンバ装置20に送信することとする。
【0110】
[コンテンツサーバ]
コンテンツサーバ60は、例えば、CPUと、RAMと、ROMと、HDDと、NIC等を備えており、図5に示すように、コンテンツ記憶手段600と、サービスリクエスト受信手段601と、検証リクエスト送信手段602と、サービス提供手段603とを備えている。
コンテンツ記憶手段600は、コンテンツを蓄積記憶するものであり、例えば、一般的なハードディスク等から構成される。なお、コンテンツ記憶手段600は、外部記憶装置から構成されていてもよい。
【0111】
サービスリクエスト受信手段601は、ネットワークNを介してグループメンバ装置20からサービスリクエストを受信するものである。
検証リクエスト送信手段602は、サービスリクエスト受信手段601で受信したサービスリクエスト(グループ署名)を検証することを依頼する検証リクエストをグループ署名と共に署名検証装置30に専用線70を介して送信するものである。なお、検証リクエストとグループ署名とを専用線70を用いずにネットワークN経由で送信してもよいし、オフラインで渡してもよい。
【0112】
サービス提供手段603は、署名検証装置30から、検証成功メッセージを取得した場合に、受信したサービスリクエストに該当するグループメンバ装置20に対して、コンテンツ記憶手段600に蓄積記憶されたコンテンツを、ネットワークN経由で提供するものである。また、サービス提供手段603は、署名検証装置30から、検証失敗メッセージを取得した場合に、受信したサービスリクエストに該当するグループメンバ装置20に対して、コンテンツの提供が許可されていないことを示すメッセージをネットワークN経由で通知する。
【0113】
[会員向けコンテンツ提供サービスシステムの動作]
次に、図2に示した会員向けコンテンツ提供サービスシステム2の動作について、図6ないし図8を参照(適宜図1ないし図5参照)して説明する。図6は、セットアップステップを示すフローチャート、図7は、ジョインステップを示すシーケンス図、図8は、サインステップおよび検証ステップを示すシーケンス図である。
【0114】
[セットアップステップ]
セットアップステップ(ステップS3:図2参照)は、グループ管理装置10が実行する動作である。図6に示すように、セットアップステップでは、グループ管理装置10は、セットアップ初期値生成手段101によって、素数p,qを選択し(ステップS101)、生成元gを選択する(ステップS102)。なお、ステップS101とステップS102の順序は任意である。
【0115】
そして、グループ管理装置10は、グループ秘密鍵生成手段111によって、Zqからグループ秘密鍵x0をランダムに選択し、記憶手段100の耐タンパな領域に秘密裡に保管する(ステップS103)。そして、グループ管理装置10は、グループ公開鍵生成手段112によって、前記した式(1)より、y0を算出する(ステップS104)。そして、グループ管理装置10は、グループ公開情報送信手段103によって、前記した式(2)に示すグループ公開情報VKを公開する(ステップS105)。具体的には、グループ管理装置10は、グループ公開情報VKを、各グループメンバ装置20と、署名検証装置30にネットワークNを介して送信する。
【0116】
[ジョインステップ]
ジョインステップ(ステップS4:図2参照)は、グループ管理装置10とグループメンバ装置20とが実行する動作である。図7に示すように、ジョインステップでは、まず、グループメンバ装置20は、ジョインリクエスト送信手段204によって、グループメンバインデックスが含まれているジョインリクエストを送信する(ステップS201)。グループ管理装置10は、ジョインリクエスト受信手段104によって、ジョインリクエストを受信する(ステップS202)。
【0117】
そして、グループ管理装置10は、公開ライセンス情報生成手段121によって、Zqから乱数riをランダムに選択し(ステップS203)、前記した式(3)に示すviを算出する(ステップS204)。そして、グループ管理装置10は、秘密ライセンス情報生成手段122によって、グループメンバインデックスIDiを含む公開ライセンス情報と、ハッシュ関数とを用いて、前記した式(4)に示すciを算出する(ステップS205)。秘密ライセンス情報生成手段122は、さらに、グループ秘密鍵x0と素数qとを用いて、グループメンバインデックスIDiに該当するグループメンバ装置20に対する秘密ライセンス情報として、前記した式(5)に示す秘密ライセンス情報xiを算出する(ステップS206)。そして、グループ管理装置10は、ライセンス送信手段106によって、公開ライセンス情報(vi,IDi)と共に秘密ライセンス情報xiをライセンス(xi,vi,IDi)として該当するグループメンバ装置20へ渡す(ステップS207)。
【0118】
グループメンバ装置20は、ライセンス取得手段205によって、ライセンス(xi,vi,IDi)を取得し(ステップS208)、ライセンス検証手段206によって、ライセンスを検証する。具体的な検証方法として、ライセンス検証手段206は、まず、前記した式(7)に示すciを算出する(ステップS209)。そして、ライセンス検証手段206は、前記した式(8)に示すAを算出し(ステップS210)、前記した式(9)に示すBを算出する(ステップS211)。なお、A,Bの算出順序は任意である。そして、ライセンス検証手段206は、AとBとが一致するか否かを判別する(ステップS212)。AとBとが一致しない(A≠B)場合(ステップS212:No)、グループメンバ装置20は、ステップS201に戻る。一方、AとBとが一致する(A=B)場合(ステップS212:Yes)、グループメンバ装置20は、ライセンス検証手段206によって、受信したライセンス(xi,vi,IDi)を記憶手段200に保管する(ステップS213)。
【0119】
[サインステップ]
サインステップ(ステップS5:図2参照)は、グループメンバ装置20が実行する動作である。図8に示すように、サインステップでは、グループメンバ装置20は、乱数選択手段207によって、Zqから乱数rsをランダムに選択し(ステップS301)、署名証明情報生成手段208によって、前記した式(10)に示す署名証明情報vsを算出する(ステップS302)。そして、グループメンバ装置20は、随時署名生成手段209によって、署名を打ちたいメッセージ(m)を含めて、前記した式(11)に示すcsを算出し(ステップS303)、グループメンバ装置20の秘密ライセンス情報xiを用いて、前記した式(12)に示す随時署名σsを生成する(ステップS304)。そして、グループメンバ装置20は、メッセージ生成手段210によって、前記した式(13)に示すグループ署名σを生成し(ステップS305)、サービスリクエスト送信手段211によって、グループ署名σを署名検証装置30に送信する(ステップS306)。
【0120】
[検証ステップ]
検証ステップ(ステップS7:図2参照)は、署名検証装置30が実行する動作である。図8に示すように、検証ステップでは、署名検証装置30は、グループ署名受信手段303によって、グループ署名σを受信し(ステップS307)、有効メンバ判別手段304によって、有効グループメンバインデックスリストL2に、受信したグループ署名に含まれるグループメンバインデックスIDiが存在するか否かを判別する(ステップS308)。有効グループメンバインデックスリストL2にIDiが存在する場合(ステップS308:Yes)、署名検証装置30は、検証用情報生成手段305によって、前記した式(14)および式(15)にそれぞれ示す検証用情報(Ci′,Cs′)を生成する(ステップS309)。そして、署名検証装置30は、グループ署名検証手段306によって、前記した式(16)に示すDを算出し(ステップS310)、前記した式(17)に示すEを算出する(ステップS311)。なお、D,Eの算出順序は任意である。
【0121】
そして、グループ署名検証手段306は、DとEとが一致するか否かを判別する(ステップS312)。DとEとが一致する(D=E)場合(ステップS312:Yes)、署名検証装置30は、検証結果送信手段307によって、検証結果として検証成功メッセージを、コンテンツサーバ60を経由して当該グループメンバ装置20に送信する(ステップS313)。一方、DとEとが一致しない(D≠E)場合(ステップS312:No)、署名検証装置30は、検証結果送信手段307によって、検証結果として検証失敗メッセージを送信する(ステップS314)。また、ステップS308において、有効グループメンバインデックスリストL2にIDiが存在しない場合(ステップS308:No)、署名検証装置30は、ステップS314に進む。
【0122】
本実施形態のグループメンバ装置20によれば、生成したグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、グループメンバ装置20の実装に必要なコストを低減できる。また、グループ管理装置10、グループメンバ装置20および署名検証装置30によれば、Unlinkableを満たさない(linkableを満たす)ことになるので、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを容易に無効化させることができる。また、新規メンバの加入を容易に行うこともできる。さらに、linkableを満たすことから、グループメンバ装置20を利用するグループメンバが、コンテンツをネットワーク受信するときに、前回供給された状態の続きから受信することも可能となる。
【0123】
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、その趣旨を変えない範囲でさまざまに実施することができる。例えば、グループ管理装置10のセットアップ初期値生成手段101は、セットアップステップに必要な基本的なパラメータを生成する際に、乗法群(整数群)Zp上から生成元gを選択するものとして説明したが、生成元を、整数群の代わりに楕円曲線上から選択するようにしてもよい。この場合には、セットアップ初期値生成手段101は、素数qを選択し、有限体Fq上の楕円曲線Eから生成元gを選択する。また、グループ秘密鍵生成手段111は、素数q以下の正の整数x0をランダムに選択し、グループ公開鍵生成手段112は、前記した式(1)の代わりに、式(18)に示すy0を算出する。式(18)において、x0はグループ秘密鍵を示す。また、この場合、グループ公開情報送信手段103は、前記した式(2)の代わりに、式(19)に示すに示すグループ公開鍵VKをグループメンバ装置20に送信する。また、この場合、公開ライセンス情報生成手段121は、前記した式(3)の代わりに、式(20)に示すviを算出する。さらに、この場合、グループメンバ装置20の署名証明情報生成手段208は、前記した式(10)の代わりに、式(21)に示すvsを算出する。
【0124】
【数20】
【0125】
このように生成元を、整数群の代わりに楕円曲線上から選択する手法は、生成元を整数群から選択する手法に比べて歴史が浅く、いまだ発見されていない欠点や、攻撃法が存在する可能性があるが、署名長を一層短縮することができる。生成元を楕円曲線上から選択した場合には、グループメンバ装置20が生成するグループ署名として、リクエストに付加される随時署名σs、署名証明情報vsおよび公開ライセンス情報viは、それぞれ、例えば、160ビット程度のビット長であり、グループメンバインデックスIDiを含めてもグループ署名の署名長は640ビットであった。一方、非特許文献2に開示されたグループ署名方式では、23,709ビットである。また、「Furukawa,Imai」(非特許文献3参照)の提案する従来公知の効率的なグループ署名方式の署名長は、1711ビットである。なお、署名を付加するリクエストメッセージの任意長は別である。したがって、グループメンバ装置20が生成するグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、グループメンバ装置20の実装に必要なコストを低減できる。
【0126】
また、グループメンバ装置20は、一般的なコンピュータを、前記した各手段として機能させるプログラム(署名生成プログラム)により動作させることで実現することができる。このプログラムは、通信回線を介して配布することも可能であるし、CD−ROM等の記録媒体に書き込んで配布することも可能である。このプログラムをインストールされたコンピュータは、CPUが、ROM等に格納されたこのプログラムをRAMに展開することにより、グループメンバ装置20と同等の効果を奏することができる。また、同様に、署名検証装置30は、一般的なコンピュータを、前記した各手段として機能させるプログラム(署名検証プログラム)により動作させることで実現することができる。さらに、同様に、グループ管理装置10は、一般的なコンピュータを、前記した各手段として機能させるプログラム(グループ管理プログラム)により動作させることで実現することができる。
【図面の簡単な説明】
【0127】
【図1】グループ署名システムの概要を模式的に示す構成図である。
【図2】会員向けコンテンツ提供サービスシステムの概要を模式的に示す構成図である。
【図3】本発明の実施形態に係るグループ管理装置の構成を模式的に示すブロック図である。
【図4】本発明の実施形態に係るグループメンバ装置の構成を模式的に示すブロック図である。
【図5】本発明の実施形態に係る署名検証装置の構成を模式的に示すブロック図である。
【図6】セットアップステップを示すフローチャートである。
【図7】ジョインステップを示すシーケンス図である。
【図8】サインステップおよび検証ステップを示すシーケンス図である。
【図9】従来のグループ署名システムの概要を模式的に示す構成図である。
【符号の説明】
【0128】
1 グループ署名システム
2 会員向けコンテンツ提供サービスシステム
10 グループ管理装置
100 記憶手段
101 セットアップ初期値生成手段
102 グループ鍵生成手段
103 グループ公開情報送信手段
104 ジョインリクエスト受信手段
105 メンバ鍵生成手段
106 ライセンス送信手段
111 グループ秘密鍵生成手段
112 グループ公開鍵生成手段
121 公開ライセンス情報生成手段
122 秘密ライセンス情報生成手段
20 グループメンバ装置(署名生成装置)
200 記憶手段
201 公開情報受信手段
202 グループメンバインデックス受信手段
203 ジョインリクエスト生成手段
204 ジョインリクエスト送信手段
205 ライセンス取得手段
206 ライセンス検証手段
207 乱数選択手段
208 署名証明情報生成手段
209 随時署名生成手段
210 メッセージ生成手段
211 サービスリクエスト送信手段(グループ署名送信手段)
212 サービス受信手段
213 コンテンツ再生手段
30 署名検証装置
300 記憶手段
301 公開情報受信手段
302 インデックスリスト取得手段
303 グループ署名受信手段
304 有効メンバ判別手段
305 検証用情報生成手段
306 グループ署名検証手段
307 検証結果送信手段
40 グループインデックス管理装置
400 記憶手段
401 会員情報識別値取得手段
402 グループメンバインデックス生成手段
403 グループメンバインデックス送信手段
50 会員情報管理サーバ
60 コンテンツサーバ
600 コンテンツ記憶手段
601 サービスリクエスト受信手段
602 検証リクエスト送信手段
603 サービス提供手段
【技術分野】
【0001】
本発明は、インターネットや専用IP回線等のネットワークを介して提供されるサービスを利用するユーザの認証技術に関し、特に、ユーザが匿名性を有しながら、正規のサービス受給権利者のグループに属していることを証明することができるユーザの個人情報保護を目的としたデジタル署名技術に関する。
【背景技術】
【0002】
通信技術の発展、普及に伴って、インターネットや専用IP回線等のネットワーク利用者(ユーザ)が、ネットワークを介して電子データを送受信することで各種のサービスを享受する形態のコミュニケーションが増加してきている。しかしながら、電子データを改変することは容易である。したがって、ネットワークを介したコミュニケーションにおいては、サービスを供給されるべき正しい権利のあるユーザ(以下、正当なユーザという)とは異なる第三者が、電子データを偽って偽造、複製、改ざんなどをすることによって、正当なユーザに成りすますという問題がある。そのため、ネットワークを介したコミュニケーションにおいては、正当なユーザであることを示すために、ユーザ認証の技術が利用される。
【0003】
認証技術の代表的なものとして、ID・パスワード方式と、デジタル署名とが挙げられる。このうち、ID・パスワード方式では、ユーザは、事前に個人情報と関連付けたID(ユーザID)とパスワードとを登録する。ここで、ユーザIDは、例えば、氏名・住所または必要に応じて決済情報といった個人情報と関連付けられているため個人情報と同等な扱いが必要なものである。そして、ユーザがサービスを受けるためにサービス提供者へアクセスするときに、サービス提供者は、ユーザにユーザIDとパスワードとを入力させる。そして、入力されたパスワードと事前に登録されたパスワードとが一致したときに、サービス提供者は、アクセスしたユーザが正当なユーザであることを確認することでユーザ認証を行っている。
【0004】
また、デジタル署名による認証方式では、PKI(Public Key Infrastructure)に基づいて、各ユーザがそれぞれ自らのユーザIDと公開鍵とをサービス提供者へ登録しておき、登録した公開鍵に対応する秘密鍵を自ら安全に所有しておく。そして、ユーザがサービス提供者へアクセスするときには、自分の秘密鍵でデジタル署名情報を生成しユーザIDとあわせて発行する。そして、サービス提供者は、この署名が、ユーザIDと関連付けて予め登録されている公開鍵で検証可能であるときに正当なユーザであることを確認することでユーザ認証を行っている。
【0005】
これらの既存の認証技術は、いずれも、ユーザIDをサービス提供者側(ユーザがアクセスしたサーバ側)に明示しなければならない。一般に、サービス提供者に登録されたユーザの個人情報は本来の目的以外に使用されるものではないが、何らかの原因で漏洩する可能性は否定できない。ユーザIDは、複数のユーザを単に区別する識別番号という意味を持つだけではなく、そのユーザの氏名・住所(あるいは決済情報)と関連付けられているために、いわゆる個人情報と同等な情報となり得る可能性がある。そのため、さまざまなサービスが電子化・オンライン化される中で、ユーザのあらゆる行動がユーザIDに紐付けて蓄積され、消費活動や趣味嗜好などといったプライバシ情報がユーザの意思とは無関係に管理されることになりかねないことが指摘されているのが現状である。そのため、ユーザIDをサービス提供者側(ユーザがアクセスしたサーバ側)に明示しなければならない認証方式に対する不安を払拭して、ネットワークを介したコミュニケーションを発展させることが要望されている。
【0006】
また、ネットワーク上のサービスは、多様化してきており、デジタル署名を用いた認証方式においてもサービスに応じて様々な機能が求められてきている。例えば、電子投票やアンケート、電子決済などのサービスで利用することを目的としたデジタル署名において、署名者の匿名性を有するデジタル署名が開発されている。匿名性を有するデジタル署名には、グループ署名と呼ばれるものがある。
【0007】
グループ署名は、ChaumとHeijstにより初めて提案された(非特許文献1参照)。その後、多くの研究者によって、改良された方式が提案されてきており、改良された代表的な方式として、例えば、Ateniese、Camenisch、Joye、Tsudikらによるグループ署名が知られている(非特許文献2参照)。また、FurukawaとImaiによる効率的なグループ署名方式も知られている(非特許文献3参照)。
【0008】
グループ署名では、あるサービスを受ける権利を持つユーザを予めグループ化しておき、検証者は、署名を作成したユーザが、グループに属しているか否かで認証を行う。検証者は、署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することは不可能である。一般的なグループ署名では、グループを管理するグループ管理者が存在する。このグループ管理者は、グループ独自の公開鍵と秘密鍵のペアを生成して、公開鍵を公開する。ユーザがグループに所属することを希望するときには、そのユーザは、グループ管理者と交信を行い、グループ管理者は、該当するユーザの署名鍵を生成し、ユーザに渡す。ユーザは、自らの署名鍵で署名を作成し、検証者はグループの公開鍵で署名を検証する。また、一般的なグループ署名では、グループ内で不正が起きた場合に、その不正を起こした不正者を特定するため、グループ管理者には、非常手段として署名の匿名性を破棄して、署名者を特定できる権限がある。
【0009】
図9は、従来のグループ署名システムの概要を模式的に示す構成図である。グループ署名システム901は、グループ管理装置910と、グループメンバ装置(署名生成装置)920と、署名検証装置930とを備えている。グループ管理装置910は、はじめにセットアップと呼ばれる準備ルーチンを行い、グループ署名に必要なグループ秘密鍵および検証鍵(グループ公開情報)等の基本パラメータを生成する。グループ管理装置910は、次に、ジョインルーチンをグループメンバ装置920と交信しながら行う。グループ管理装置910は、基本パラメータとメンバのIDとを用いて、ライセンス(ID,メンバ秘密鍵)を発行し、検証鍵(グループ公開情報)とライセンスとをグループメンバ装置920に渡す。ライセンスを受け取ったグループメンバ装置920(の操作者)は、グループのメンバと見做される。グループメンバ装置920は、受け取ったライセンスを用いて署名を生成し、生成した署名を署名検証装置930に渡す。署名検証装置930は、グループ管理装置910から取得した検証鍵(グループ公開情報)を用いて、グループメンバ装置920から受け取った署名の正当性を検証するものである。署名検証装置930は、受け取った署名が、正規のグループメンバ装置920が正しいライセンスを用いて作成した署名であるか否かを検証し、署名の正当性を出力する。このグループ署名システム901において、グループメンバ装置920以外の装置は署名を生成することができない。また、グループメンバ装置920や署名検証装置930は、どの装置が署名を生成したのかを特定することはできない。
【0010】
また、グループ署名の従来の方式では、異なる2つの署名が同一署名者によるものであるのか否かについて分からないという性質(Unlinkableと呼ばれる性質)を持っているものが多い。なお、Unlinkableなグループ署名において、グループ管理者は、署名の匿名性を破棄すれば、異なる二つの署名が同一署名者によるものであるのか否かについて分かる。
【0011】
ここで、従来の方式の一例として、非特許文献2に開示されたUnlinkableを満たすグループ署名について数式および図9を参照して説明する。このグループ署名方式は、セットアップルーチン、ジョインルーチン、サインルーチン、検証ルーチン、および署名者決定ルーチンからなる。
【0012】
セットアップルーチンでは、グループ管理装置910は、グループ秘密鍵および検証鍵(グループ公開情報)を作成する。
グループ管理装置910は、2つの素数p、q(p×q=nとする)を秘密裡に選ぶ。また、グループ管理装置910は、巡回群QR(n)の元gを任意に取り、gの位数以下の正整数xを秘密裡にとる。さらに、グループ管理装置910は、巡回群QR(n)の元a、a0、hをランダムに取る。そして、グループ管理装置910は、式(101)により、yを算出し、式(102)を秘密鍵として保管し、式(103)をグループ公開情報として公開する。
【0013】
【数1】
【0014】
次に、ジョインルーチンでは、グループ管理装置910は、グループメンバ装置920と通信して、式(104)で示すライセンスを渡す。ライセンスは、グループメンバ装置920毎に異なる。ここでは、iで識別する。式(104)中のAiは、式(105)を満たす。式(105)中のxi、eiは、ある範囲から選ばれた乱数であり、かつeiは素数である。
【0015】
【数2】
【0016】
グループメンバ装置920は、ライセンス中のxiを秘密鍵として秘密裡に保管し、ライセンス中のAi、eiを証明書として保管する。一方、グループ管理装置910は、ジョインルーチンの過程で生成されるxi自体の値は知らず、xiと関係のある式(106)を得て、グループメンバ装置920の識別子(i)と一緒に保管する。なお、図9に示すようにグループメンバ装置920が3台であれば、i=1〜3となり、グループ管理装置910において、識別子iは、氏名・住所(あるいは決済情報)といった個人情報と関連付けられている。
【0017】
【数3】
【0018】
サインルーチンでは、グループメンバ装置920は、まず、定められた範囲から乱数wを取り、式(107)〜式(109)でそれぞれ示すT1〜T3を作成する。これらの値を使って、グループメンバ装置920は、xiの値を秘密裡にしたまま自分が正しいxiを持っていることを証明できる署名を作成する。
【0019】
【数4】
【0020】
そのために、グループメンバ装置920は、定められた範囲から乱数r1、r2、r3、r4を選び、式(110)〜式(113)でそれぞれ示すd1〜d4を計算する。そして、グループメンバ装置920は、式(114)を計算する。式(114)において、Hはハッシュ関数、mは署名を打ちたいメッセージとする。また、記号「‖」はビット列の連接を表す。
【0021】
【数5】
【0022】
次に、グループメンバ装置920は、式(115)〜式(118)でそれぞれ示すs1〜s4を作成し、式(119)を署名として署名検証装置930に対して公開する。ただし、ここでγ、λはセキュリティパラメータから定まる定数である。
【0023】
【数6】
【0024】
検証ルーチンでは、署名検証装置930は、式(120)を計算し、受け取った署名中の式(114)で示すcと、算出した式(120)のc′とが同一であれば正しい署名とし、違っていれば不正な署名であることを出力する。最後に、署名検証装置930は、式(115)〜式(118)でそれぞれ示すs1〜s4がある定められた範囲にあることを確認する。
【0025】
【数7】
【0026】
署名者決定ルーチンでは、グループ管理装置910は、式(121)を計算することにより、署名者のライセンスを算出し、保管している鍵リストからAiを検索することで、式(119)に示す署名を作成したグループメンバ装置920を特定することができる。
【0027】
【数8】
【非特許文献1】Chaum and E. van Heijst :“ Group signatures, ”Eurocrypt ’91, Lecture Notes in Computer Science 547, p.257-265 , Springer-Verlag (1991)
【非特許文献2】G. Ateniese, J. Camenisch, M. Joye, and G. Tsudik:“A practical and provably secure coalition-resistant group signature scheme, ” CRYPTO 2000, Lecture Notes in Computer Science 1880, p.255-270, Springer-Verlag (2000)
【非特許文献3】J. Furukawa and H. Imai:“An Efficient Group Signature Scheme from Bilinear Maps, ” ACISP 2005, Lecture Notes in Computer Science 3574, p.455-467, Springer-Verlag (2005)
【発明の開示】
【発明が解決しようとする課題】
【0028】
しかしながら、グループ署名の従来の方式では、Unlinkableと呼ばれる性質を満足させるために、署名を生成する際に複雑な計算が必要であり、原理的に、署名の長さ(署名長)の長大化を招いていた。このため、グループ管理装置910およびグループメンバ装置920の実装に大きなコストがかかっていた。なお、非特許文献2に開示された方式では、署名は、前記した式(119)で示される。
【0029】
また、グループ署名がUnlinkableを満たしている場合には、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを無効化させるという運用を行うことが困難であった。この場合には、それまで使用していたグループ独自の公開鍵と秘密鍵のペアを破棄してグループに対応する新たな公開鍵と秘密鍵を生成しなければならなかった。このため、グループを構成するメンバの数が巨大である場合には、新たな公開鍵と秘密鍵を更新する度に、残りのメンバにライセンス(グループ秘密鍵)を安全に再配布するために多大な手間と時間とコストとを要することとなっていた。例えば、ライセンスの再配布を郵送で行うとメンバが脱退してからグループ署名の機能が再開する日にちまで他のメンバがサービスを享受できなくなってしまう。
【0030】
さらに、グループ署名がUnlinkableを満たしている場合には、例えば、コンテンツ配信サービスを受けることのできるグループに属するユーザが、ドラマ等のコンテンツを複数回に分けてネットワーク受信するときに、前回供給された状態の続きから受信することを要望したとしても、異なる2つの署名が同一署名者によるものであるのか分からないので、前回の履歴が分からず、このような要望に応えることができない。
【0031】
本発明は、以上のような問題点に鑑みてなされたものであり、グループ署名において、署名長を短縮することが可能なデジタル署名技術を提供することを目的とする。
【課題を解決するための手段】
【0032】
本発明は、前記目的を達成するために創案されたものであり、まず、請求項1に記載の署名生成装置は、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおける署名生成装置であって、署名証明情報生成手段と、随時署名生成手段と、メッセージ生成手段と、グループ署名送信手段とを備えることとした。
【0033】
かかる構成によれば、署名生成装置は、署名証明情報生成手段によって、前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する。そして、署名生成装置は、随時署名生成手段によって、前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する。ここで、随時署名は、リクエストに応じて生成され、署名検証装置に最終的に出力するグループ署名に含めるものである。本発明はグループ署名がUnlinkableを満たさない(linkableを満たす)ことを前提としているので、随時署名の段階においても従来よりも署名長を短縮した構成とすることができる。例えば、リクエストに応じた随時署名を生成するために、署名証明情報と、グループ公開鍵と、公開ライセンス情報と、リクエストとを連接して、そのハッシュ値を求め、求めたハッシュ値に秘密ライセンス情報を加えることができる。
【0034】
そして、署名生成装置は、メッセージ生成手段によって、前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成する。ここで、グループ署名に含まれる公開ライセンス情報には、グループメンバインデックスが含まれている。このグループメンバインデックスは、これによりグループ署名の署名者が誰であるかを特定することはできないが他の署名者と区別することができるものである。それは、グループメンバインデックスは、グループ内において各ユーザを区別できるインデックスであるからである。しかも、グループメンバインデックスは、グループメンバの個人情報とは分離されているので、個人情報と紐付けされた通常のユーザIDとは異なる。一方、Unlinkableを満たす従来の方式では、グループ署名中に、ユーザを識別する情報は含まれていない。また、署名生成装置が生成するグループ署名として、リクエストに付加される随時署名、署名証明情報および公開ライセンス情報は、それぞれ、例えば、160ビット程度のビット長とすることが可能なので、リクエストに、随時署名、署名証明情報および公開ライセンス情報を付加したグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、署名生成装置の実装に必要なコストを低減できる。
【0035】
そして、署名生成装置は、グループ署名送信手段によって、前記グループ署名を前記署名検証装置に送信する。したがって、グループ署名を受信した署名検証装置では、同一署名者により生成された異なる2つの署名が同一人物によるものであることが分かる。これにより、署名生成装置が生成するグループ署名は、Unlinkableを満たさない(linkableを満たす)ことになる。そのため、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを容易に無効化させることができる。また、新規メンバの加入を容易に行うこともできる。さらに、linkableを満たすことから、署名生成装置を利用するグループメンバが、サービスをネットワーク受信するときに、前回供給された状態の続きから受信することも可能となる。
【0036】
請求項2に記載の署名検証装置は、請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置であって、グループ署名受信手段と、検証用情報生成手段と、グループ署名検証手段とを備えることとした。
【0037】
かかる構成によれば、署名検証装置は、グループ署名受信手段によって、前記署名生成装置で生成されたグループ署名を受信する。そして、署名検証装置は、検証用情報生成手段によって、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する。そして、署名検証装置は、グループ署名検証手段によって、前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定する。これによれば、署名検証装置は、グループ署名を生成した署名生成装置と同程度の計算を実行するだけでグループ署名を検証することができる。一方、Unlinkableを満たす従来の方式では、署名検証装置は、グループ署名を生成した署名生成装置よりも複雑な計算をしなければならない。例えば、前記した式(114)の「c」を検証するために、それに比べて複雑な式(120)の「c′」を計算しなければならない。
【0038】
請求項3に記載の署名検証装置は、請求項2に記載の署名検証装置において、有効メンバ判別手段をさらに備えることとした。
【0039】
かかる構成によれば、署名検証装置は、有効メンバ判別手段によって、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスの有無により前記グループにおけるメンバ資格の有効および失効を管理するインデックス管理者により発行された前記グループメンバのリストを示すグループメンバインデックスのリストの中に、前記受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定する。そして、署名検証装置は、前記有効メンバ判別手段によってメンバ資格が有効であると判定された場合に、前記検証用情報生成手段によって、前記検証用情報を生成する。したがって、署名検証装置は、メンバ資格が失効した利用者からグループ署名を受信した場合には、グループ署名に含まれるグループメンバインデックスを確認しさえすればよく、以降の署名を検証する計算を省略することができる。
【0040】
請求項4に記載のグループ管理装置は、請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置であって、グループ鍵生成手段と、公開情報送信手段と、メンバ鍵生成手段とを備えることとした。
【0041】
かかる構成によれば、グループ管理装置は、グループ鍵生成手段によって、前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成する。ここで、グループメンバは、グループメンバインデックスを用いて管理することが可能なので、グループ内の所定のメンバがそのグループを脱退する場合に、グループ管理装置は、グループ秘密鍵およびグループ公開鍵を変更する必要がない。つまり、その所定のメンバの署名のみを容易に無効化させることができる。さらに、新規メンバの加入を容易に行うこともできる。また、グループ鍵生成手段が、生成元を整数群から選択した場合には、楕円曲線上から選択した場合に比べて安全性が高くなり、一方、生成元を楕円曲線上から選択した場合には、整数群から選択した場合に比べて署名長を短くすることができる。したがって、実装コストやサービスの種類等の要求に合わせていずれかを予め選択しておいてからグループ鍵生成手段によって、グループ秘密鍵およびグループ公開鍵を生成する。これにより、設計や運用を適宜柔軟に変更することができる。
【0042】
そして、グループ管理装置は、公開情報送信手段によって、前記グループ公開鍵を前記署名生成装置に送信する。そして、グループ管理装置は、メンバ鍵生成手段によって、前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成する。ここで、グループメンバインデックスは、必ずしもグループ管理装置で生成付与する必要は無く、署名生成装置またはその利用者に対して予め生成付与されたものを用いることができる。このようにグループ管理装置の外部で、グループメンバインデックスとユーザの個人情報とを秘密裡に紐付けして管理することで、グループ管理装置、署名生成装置および署名検証装置の3者内では、署名者のサービス利用状況を、氏名・住所等の個人情報に紐付けられることはない。したがって、匿名性を保持してネットワークを介したサービスをユーザに提供することが可能となる。
【0043】
請求項5に記載の署名生成プログラムは、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおいて前記署名生成装置を実現するために、コンピュータを、署名証明情報生成手段、随時署名生成手段、メッセージ生成手段、グループ署名送信手段として機能させることとした。
【0044】
かかる構成によれば、署名生成プログラムは、署名証明情報生成手段によって、前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する。そして、署名生成プログラムは、随時署名生成手段によって、前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する。そして、署名生成プログラムは、メッセージ生成手段によって、前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成する。そして、署名生成プログラムは、グループ署名送信手段によって、前記グループ署名を前記署名検証装置に送信する。
【0045】
請求項6に記載の署名検証プログラムは、請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置を実現するために、コンピュータを、グループ署名受信手段、検証用情報生成手段、グループ署名検証手段として機能させることとした。
【0046】
かかる構成によれば、署名検証プログラムは、グループ署名受信手段によって、前記署名生成装置で生成されたグループ署名を受信する。そして、署名検証プログラムは、検証用情報生成手段によって、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する。そして、署名検証プログラムは、グループ署名検証手段によって、前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定する。
【0047】
請求項7に記載のグループ管理プログラムは、請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置を実現するために、コンピュータを、グループ鍵生成手段、公開情報送信手段、メンバ鍵生成手段として機能させることとした。
【0048】
かかる構成によれば、グループ管理プログラムは、グループ鍵生成手段によって、前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成する。そして、グループ管理プログラムは、公開情報送信手段によって、前記グループ公開鍵を前記署名生成装置に送信する。そして、グループ管理プログラムは、メンバ鍵生成手段によって、前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成する。
【発明の効果】
【0049】
請求項1または請求項5に記載の発明によれば、署名生成装置は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、署名生成装置の実装に必要なコストを低減できる。
【0050】
請求項2または請求項6に記載の発明によれば、署名検証装置は、従来の方式で生成される署名を検証する場合と比べて計算量を低減することができる。また、署名検証装置では、linkableを満たすので、インデックスで特定した利用者の情報をサービス提供装置に通知することで、サービス提供装置から署名生成装置を利用するグループメンバに対して、サービスを提供するときに、前回の利用などのユーザ嗜好に合わせたステートフルなサービスを提供することができる。
【0051】
請求項3に記載の発明によれば、署名検証装置は、メンバ資格が失効した利用者からグループ署名を受信した場合に、署名を検証する計算を省略することができる。
【0052】
請求項4または請求項7に記載の発明によれば、グループ管理装置は、従来の方式で生成される署名よりも署名長を短縮することができるようなグループ秘密鍵、グループ公開鍵およびメンバ鍵を生成することができる。また、グループ内の所定のメンバがそのグループを脱退する場合に、グループ秘密鍵およびグループ公開鍵を変更する必要がないので、その所定のメンバの署名のみを容易に無効化させることができる。
【発明を実施するための最良の形態】
【0053】
以下、図面を参照して本発明の署名生成装置、署名検証装置およびグループ管理装置を実施するための最良の形態(以下「実施形態」という)について詳細に説明する。
【0054】
[グループ署名システムの構成]
図1は、グループ署名システムの概要を模式的に示す構成図である。グループ署名システム1は、図1に示すように、グループ管理装置10と、グループメンバ装置(署名生成装置)20と、署名検証装置30と、グループインデックス管理装置40と、会員情報管理サーバ50とを備えている。このグループ署名システム1では、会員向けサービスの運営者(運営主体)により利用される、グループインデックス管理装置40と、会員情報管理サーバ50とを備えている点が、図9に示したグループ署名システム901と大きく異なっている。なお、グループインデックス管理装置40の管理者をインデックス管理者という。また、各装置10〜50は、例えば、CPU(Central Processing Unit)と、RAM(Random Access Memory)と、ROM(Read Only Memory)と、HDD(Hard Disk Drive)と、通信を行うためのNIC(Network Interface Card)等を備えている。
【0055】
(グループ管理装置)
グループ管理装置10は、グループメンバ装置20においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成および検証する際に利用されるグループ公開鍵を生成管理するものである。グループ公開鍵は、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、生成元と、セキュリティパラメータとを含む。グループ管理装置10は、例えば、会員向けサービスの運営主体(運営者)により使用される。会員向けサービスの運営主体(運営者)は、サービス提供者からサービスの提供を受けるグループの管理者であるグループ管理者と兼務してもよいし、別であってもよい。
【0056】
(グループメンバ装置)
グループメンバ装置(署名生成装置)20は、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成するものである。グループメンバ装置20は、サービス提供者からサービスの提供を受けるグループの一員となる会員(ユーザ)により使用される。
【0057】
(署名検証装置)
署名検証装置30は、生成されたグループ署名をグループ公開鍵に基づいて検証するものである。本実施形態では、署名検証装置30は、グループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名であるか否かを検証する。署名検証装置30は、サービス提供者により使用される。
【0058】
(会員向けサービスの運営者)
会員向けサービスの運営者(運営主体)は、会員の個人情報、例えば住所・氏名といった個人を特定する情報を管理する。なお、有料サービスであれば課金徴収に関する情報も管理する必要がある。ただし、会員資格を有する利用者のサービス利用状況についてその匿名性を保つことが望まれる場合には、利用者からのサービス要求時に行うユーザ認証方式はグループ署名が適している。その理由は、利用者側ではサービス利用状況についてのプライバシを保護するためであり、また、運営者側では危機管理のためである。このような理由から、会員向けサービスの運営主体は、自ら管理する個人情報を識別するために、会員情報識別値をつけて管理している。
【0059】
(グループインデックス管理装置)
グループインデックス管理装置40は、複数の会員情報識別値(例えば、一般的な会員番号やユーザID)のリストである会員情報識別値リストL1を入力として、個々の会員に対応するグループメンバインデックス(IDi)を生成し、会員情報識別値とIDiとの対応付け表Tを秘密裡に保管するものである。ここで、グループメンバインデックス(IDi)は、グループメンバの個人情報と分離されたグループ内識別子を示す。また、グループインデックス管理装置40は、現時点におけるグループ参加資格者(グループ資格が有効なユーザ)のグループメンバインデックス(IDi)のリストである有効グループメンバインデックスリストL2を生成発行する。グループ資格が失効したユーザのグループメンバインデックス(IDi)は、有効グループメンバインデックスリストL2から削除される。このグループメンバインデックス(IDi)は、グループ署名を行う各個人を互いに区別するグループ署名用のインデックスである。言い換えると、グループメンバインデックス(IDi)は、同一署名者による異なる複数の署名が同じものであることが分かるという性質(linkableと呼ばれる性質)を持っている。
【0060】
また、グループインデックス管理装置40は、個々のグループメンバインデックス(IDi)を安全な方法で各グループメンバ装置20に配布する。配布方法としては、例えば対面方式などのようにオフラインな手法を使用することも可能である。ここで、グループ管理装置10、グループメンバ装置20、署名検証装置30およびグループインデックス管理装置40のそれぞれは、インターネットまたは専用IP回線等の外部ネットワークに必ずしも常時接続されている必要性はない。ただし、会員向けサービスを適正に運営するために、グループインデックス管理装置40が、最新の有効グループメンバインデックスリストL2を常時更新することが望ましく、署名検証装置30が当該リストL2の最新の情報を常時閲覧可能な運用とする必要がある。
【0061】
(会員情報管理サーバ50)
会員情報管理サーバ50は、会員情報(個人情報)と共に会員情報識別値を管理するものであり、会員情報識別値リストL1を保有している。会員情報識別値は、各個人を直接特定する個人情報に紐付けられた個人情報インデックスとなり得るものである。会員情報管理サーバ50は、例えば、会員向けサービスの運営主体(運営者)により使用される。
【0062】
(グループ署名システムの特徴)
グループ管理装置10、グループメンバ装置20および署名検証装置30の間において、グループ署名を生成および検証することにより、グループインデックス管理装置40以外の装置では、グループメンバインデックス(IDi)から個人を特定する情報を得ることは不可能である。このような事業形態の一例としては、例えば、会員向けサービスの運営主体が、グループ管理者に対してサービスを委託する場合(アウトソ−シング)が想定される。つまり、グループインデックス管理装置40の運営者と、グループ管理装置10の運営者(グループ管理者)とが異なる場合には、グループ署名のグループ管理者ですら、グループ署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することが不可能となる。なお、図9に示したグループ署名システム901と同様に、グループ署名システム1においても、グループメンバ装置20以外の装置はグループ署名を生成することができないことはもちろんである。また、検証者は、署名を作成したユーザが、グループに属しているということは分かったとしても、そのユーザが誰であるのかを特定することは不可能である。
【0063】
[会員向けコンテンツ提供サービスシステムの概要]
図1に示したグループ署名システム1を会員向けコンテンツ提供サービスシステムに応用したときの構成とその全体動作の概要を図2に示す。図2は、会員向けコンテンツ提供サービスシステムの概要を模式的に示す構成図である。この会員向けコンテンツ提供サービスシステム2では、コンテンツサーバ60を備えている点が、図1に示したグループ署名システム1と異なっている。
【0064】
会員向けコンテンツ提供サービスシステム2における動作の概要は、以下の通りである。まず、会員向けサービスを運営する運営者(例えば、サービスプロバイダ)において、会員の個人情報から各個人を識別する会員番号を抽出して会員情報識別値リストL1を作成しておき、会員情報管理サーバ50から、グループインデックス管理装置40に会員情報識別値リストL1を入力する(ステップS1)。
【0065】
次に、グループインデックス管理装置40は、会員番号との関連性や規則性が無い値、または、推測不可能なランダムな値からなるグループメンバインデックス(IDi)を生成し、グループメンバ装置20に渡す(ステップS2)。そして、グループ管理装置10は、グループ署名に必要なセキュリティパラメータやグループ秘密鍵、グループ公開鍵を作成しておく(ステップS3:セットアップステップ)。次いで、グループメンバ装置20は、グループメンバインデックス(IDi)を用いて、グループ管理装置10に対し、グループへの加入することを要求する。グループ管理装置10とグループメンバ装置20との間のジョインプロトコルの実行により、グループ管理装置10からグループメンバ装置20に公開ライセンス情報と秘密ライセンス情報とが渡される(ステップS4:ジョインステップ)。
【0066】
続いて、会員(ユーザ)は、会員向けサービスを提供している提供者(例えば、別のサービスプロバイダ)にサービスの提供を要求する。すなわち、グループメンバ装置20は、コンテンツサーバ60に対して、サービスの要求と会員資格を示すために、グループ署名を作成して送信する。リクエストを受けたコンテンツサーバ60は、受け取ったグループ署名を署名検証装置30に渡し、グループ署名の検証を依頼する(ステップS6)。そして、署名検証装置30は、グループ署名の有効性の検証を行い(ステップS7:検証ステップ)、検証結果を、コンテンツサーバ60に返す(ステップS8)。そして、コンテンツサーバ60は、検証成功メッセージを受信すれば(正当なユーザであれば)、要求されたコンテンツを、該当するグループメンバ装置20に提供し(ステップS9)、検証失敗メッセージを受信すれば(正当なユーザでなければ)、コンテンツに対するリクエストを拒否する。
【0067】
なお、会員向けコンテンツ提供サービスシステム2において、決済を行う場合に、会員向けサービスを提供している提供者(例えば、別のサービスプロバイダ)にとっては、会員の氏名やクレジット番号等が不明である。しかしながら、会員向けサービスを運営する運営者(例えば、サービスプロバイダ)は、会員の氏名やクレジット番号を知っているので、提供者(検証者)が運営者に対価を要求し、運営者と会員との間で決済をして、運営者と提供者(検証者)との間で決済をすることができる。この場合、運営者は、会員が具体的に何を購入したかを知らないことになり、また、提供者(検証者)は、商品/サービスを受けた会員が誰であるのか特定できないことになる。したがって、匿名性を保持してネットワークを介したサービスをユーザに提供することが可能となる。
【0068】
[グループ管理装置の構成]
図3は、本発明の実施形態に係るグループ管理装置の構成を模式的に示すブロック図である。グループ管理装置10は、図3に示すように、記憶手段100と、セットアップ初期値生成手段101と、グループ鍵生成手段102と、グループ公開情報送信手段103と、ジョインリクエスト受信手段104と、メンバ鍵生成手段105と、ライセンス送信手段106とを備えている。
【0069】
記憶手段100は、例えば、演算処理等に利用されると共にネットワークNを介して取得した情報等を記憶するRAMと、所定のプログラム等を記憶するROMと、グループメンバ毎のライセンスを格納するHDD等を備えている。記憶手段100は、耐タンパな領域を有している。耐タンパな領域は、例えば、耐タンパ性を有するスマートカード(IC(Integrated Circuit)カード)から構成される。なお、記憶手段100を一括で表示したが、適宜分割されていてもよいことはもちろんである。
【0070】
セットアップ初期値生成手段101は、素数や生成元などのセットアップステップに必要な基本的なパラメータを生成するものである。本実施形態では、セットアップ初期値生成手段101は、素数p,q(q|p−1)を選択する。ここで、(q|p−1)は、“qは(p−1)の約数である、つまり、(p−1)はqで割り切れる”ことを示している。また、セットアップ初期値生成手段101は、乗法群(整数群)Zp上に構成される位数をqとするサブグループGq(またはZqと表記する)の原始元を生成元gとして選択する。素数p,qと、生成元gとは、記憶手段100のメモリに格納される。
【0071】
グループ鍵生成手段102は、グループ秘密鍵生成手段111と、グループ公開鍵生成手段112とを備えている。
グループ秘密鍵生成手段111は、グループの秘密鍵であるグループ秘密鍵x0を生成するものである。本実施形態では、グループ秘密鍵生成手段111は、Zqから、素数qより小さい正の整数x0をランダムに選択し、選択したx0をグループ秘密鍵として記憶手段100の耐タンパな領域に秘密裡に保管する。
【0072】
グループ公開鍵生成手段112は、生成元とグループ秘密鍵とを用いて生成される値と、生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するものである。本実施形態では、グループ公開鍵生成手段112は、式(1)に示すy0を算出する。式(1)において、離散対数x0はグループ秘密鍵を示す。y0は、記憶手段100のメモリに格納される。
【0073】
【数9】
【0074】
グループ公開情報送信手段103は、グループ公開鍵をグループメンバ装置20に送信する(公開する)ものである。本実施形態では、グループ公開情報送信手段103は、式(2)に示すグループ公開鍵VKをグループメンバ装置20に送信する。式(2)において、H(・)は、記憶手段100のメモリに予め格納されたハッシュ関数を示す。このハッシュ関数H(・)は、任意の長さのビット列を入力し、固定長(例えはkビット)のビット列を出力するものである。なお、セキュリティパラメータkは、署名の偽造のしにくさを表す尺度となるものである。
【0075】
【数10】
【0076】
ジョインリクエスト受信手段104は、グループメンバ装置20からネットワークNを介してジョインリクエストを受信するものである。このジョインリクエストには、グループメンバ装置20を識別するためにグループメンバインデックスが含まれている。取得されたグループメンバインデックスは、公開ライセンス情報の一部として記憶手段100のメモリに格納される。
【0077】
メンバ鍵生成手段105は、公開ライセンス情報生成手段121と、秘密ライセンス情報生成手段122とを備えている。
公開ライセンス情報生成手段121は、生成元と、グループメンバインデックスと、グループ秘密鍵とを用いて、グループメンバ毎の秘密にされるメンバ鍵として、グループメンバ固有の秘密ライセンス情報を生成するものである。本実施形態では、公開ライセンス情報生成手段121は、Zqから乱数riをランダムに選択する。また、公開ライセンス情報生成手段121は、式(3)に示すviを算出する。算出されたviは、公開ライセンス情報の一部として記憶手段100のメモリに格納される。
【0078】
【数11】
【0079】
秘密ライセンス情報生成手段122は、秘密ライセンス情報を算出するものである。本実施形態では、秘密ライセンス情報生成手段122は、公開ライセンス情報と、ハッシュ関数とを用いて、式(4)に示すciを算出する。また、秘密ライセンス情報生成手段122は、式(4)で示すciと、公開ライセンス情報生成手段121で選択した乱数riと、グループ秘密鍵x0と、素数qとを用いて、式(5)に示す秘密ライセンス情報xiを算出する。
【0080】
【数12】
【0081】
ライセンス送信手段106は、公開ライセンス情報(vi,IDi)と共に秘密ライセンス情報xiをライセンス(xi,vi,IDi)としてグループメンバ装置20に送信するものである。ここで、秘密ライセンス情報xiの受け渡しには、秘匿な通信網またはセキュアなデバイス等を用いて安全にグループメンバ装置20に渡す。なお、グループメンバ装置20は、安全に秘密ライセンス情報xiを保管する。
【0082】
[グループインデックス管理装置]
グループインデックス管理装置40は、図3に示すように、記憶手段400と、会員情報識別値取得手段401と、グループメンバインデックス生成手段402と、グループメンバインデックス送信手段403とを備えている。
記憶手段400は、グループ管理装置10の記憶手段100と同様なものなので、説明を省略する。
会員情報識別値取得手段401は、会員情報管理サーバ50から会員情報識別値リストL1を受信し、記憶手段400に格納するものである。
【0083】
グループメンバインデックス生成手段402は、会員情報識別値リストL1に基づいて、各メンバ(またはグループメンバ装置20)に対応してグループメンバインデックスを生成するものである。グループメンバインデックス生成手段402は、会員情報識別値リストL1が変更されると、有効なメンバのインデックスからなる有効グループメンバインデックスリストL2を更新して記憶手段400に格納する。
【0084】
グループメンバインデックス送信手段403は、グループメンバインデックスリストL2に記載されたグループメンバインデックスを該当するグループメンバ装置20にネットワークNを介して送信するものである。また、グループメンバインデックス送信手段403は、有効グループメンバインデックスリストL2をネットワークNを介して署名検証装置30に送信する。本実施形態では、グループメンバインデックス送信手段403は、有効グループメンバインデックスリストL2が更新されるたびに有効グループメンバインデックスリストL2を署名検証装置30に送信する。なお、グループメンバインデックス送信手段403は、更新されたかどうかに関わらず有効グループメンバインデックスリストL2を定期的に署名検証装置30に送信することもできる。また、署名検証装置30から、グループインデックス管理装置40に格納された有効グループメンバインデックスリストL2を定期的に参照するように構成することもできる。
【0085】
[グループメンバ装置の構成]
図4は、本発明の実施形態に係るグループメンバ装置の構成を模式的に示すブロック図である。グループメンバ装置(署名生成装置)20は、図4に示すように、記憶手段200と、公開情報受信手段201と、グループメンバインデックス受信手段202と、ジョインリクエスト生成手段203と、ジョインリクエスト送信手段204と、ライセンス取得手段205と、ライセンス検証手段206と、乱数選択手段207と、署名証明情報生成手段208と、随時署名生成手段209と、メッセージ生成手段210と、サービスリクエスト送信手段(グループ署名送信手段)211と、サービス受信手段212と、コンテンツ再生手段213とを備えている。
【0086】
記憶手段200は、グループ管理装置10の記憶手段100と同様なものなので、説明を省略する。
公開情報受信手段201は、グループ管理装置10からネットワークNを介してグループ公開鍵VKを受信するものである。受信されたグループ公開鍵VKは、記憶手段200のメモリに格納される。
グループメンバインデックス受信手段202は、グループインデックス管理装置40からネットワークNを介してグループメンバインデックスIDiを受信するものである。受信されたグループメンバインデックスIDiは、記憶手段200のメモリに格納される。
【0087】
ジョインリクエスト生成手段203は、グループ管理装置10に対してジョイン処理を要求するジョインリクエストを生成するものである。このジョインリクエストには、グループメンバ装置20を識別するためにグループメンバインデックスが含まれている。
ジョインリクエスト送信手段204は、ジョインリクエスト生成手段203で生成されたジョインリクエストをネットワークNを介してグループ管理装置10に送信するものである。
【0088】
ライセンス取得手段205は、グループ管理装置10からネットワークNを介してライセンスを受信するものである。受信されたライセンスは、ライセンス検証手段206で正当なライセンスであることが検証された後に記憶手段200のメモリに格納される。正当なライセンスとは、正規のグループ管理者が生成したライセンスである。
【0089】
ライセンス検証手段206は、ライセンス取得手段205で受信されたライセンスが正当なライセンスであるか否かを検証するものである。本実施形態では、ライセンス検証手段206は、以下の手順でライセンスを検証する。まず、式(6)で示すライセンスを受信する。式(6)で示すライセンスのうち公開ライセンス情報(vi,IDi)と、ハッシュ関数H(・)とを用いて、式(7)に示すciを算出する。なお、ハッシュ関数H(・)は、グループ公開鍵VKに含まれている。次に、式(6)で示すライセンスのうち秘密ライセンス情報(xi)と、生成元gとを用いて、式(8)に示すAを算出する。なお、生成元gは、グループ公開鍵VKに含まれている。次に、公開ライセンス情報(vi)と、式(7)に示すciと、前記した式(1)で示すy0とを用いて、式(9)に示すBを算出する。なお、y0は、グループ公開鍵VKに含まれている。ライセンス検証手段206は、式(8)に示すAと式(9)に示すBとが一致するか否かを判別し、AとBとが一致する場合、式(6)に示すライセンスを記憶手段200に保管する。
【0090】
【数13】
【0091】
乱数選択手段207は、Zqから乱数rsをランダムに選択するものである。
署名証明情報生成手段208は、グループ公開鍵に基づいてグループメンバの署名であることを示す署名証明情報を生成するものである。本実施形態では、署名証明情報生成手段208は、グループ公開鍵VKのg,qと、乱数選択手段207で選択した乱数rsを用いて、式(10)より署名証明情報vsを生成する。
【0092】
【数14】
【0093】
随時署名生成手段209は、署名証明情報と、グループ公開鍵と、公開ライセンス情報と、秘密ライセンス情報と、所定のリクエストと、を用いてリクエストに応じた随時署名を生成するものである。本実施形態では、随時署名生成手段209は、式(11)に示すように、署名証明情報vsと、公開ライセンス情報(vi,IDi)と、リクエスト(m)とを連接し、グループ公開鍵VK中のハッシュ関数H(・)を用いて算出したハッシュ値csを算出する。本実施形態では、リクエストは、入力装置Mから入力されるサービスリクエストとする。サービスリクエストは、例えば、コンテンツのタイトルやコンテンツID等を含む。また、入力装置Mは、視聴者(ユーザ)から各種情報を入力することのできるデバイスであり、例えば、キーボード、マウス、押し釦スイッチ、リモコン等である。
【0094】
【数15】
【0095】
また、随時署名生成手段209は、式(11)に示すcsと、乱数選択手段207で選択した乱数rsと、秘密ライセンス情報(xi)と、グループ公開鍵VK中の素数qとを用いて、式(12)に示すように、随時署名σsを算出する。
【0096】
【数16】
【0097】
メッセージ生成手段210は、リクエストに、随時署名と、署名証明情報と、公開ライセンス情報とを付加したメッセージをグループ署名として生成する。本実施形態では、メッセージ生成手段210は、式(13)に示すグループ署名σを生成する。
【0098】
【数17】
【0099】
サービスリクエスト送信手段(グループ署名送信手段)211は、メッセージ生成手段210で生成されたグループ署名をネットワークNを介して署名検証装置30に送信するものである。
サービス受信手段212は、例えば、リクエスト(入力装置Mから入力されるサービスリクエスト)に応じてコンテンツサーバ60からネットワークNを介して提供されるコンテンツ等のサービスを受信するものである。
【0100】
コンテンツ再生手段213は、サービス受信手段212で受信したコンテンツを出力装置Dに出力可能に再生するものである。ここで、出力装置Dは、コンテンツの映像を表示する表示手段と、音声を出力する音声出力手段(スピーカ)等を備える。表示手段は、例えば、CRT(Cathode Ray Tube)、液晶ディスプレイ(LCD:Liquid Crystal Display)、PDP(Plasma Display Panel)、EL(Electronic Luminescence)等から構成される。
【0101】
[署名検証装置の構成]
図5は、本発明の実施形態に係る署名検証装置の構成を模式的に示すブロック図である。署名検証装置30は、図5に示すように、記憶手段300と、公開情報受信手段301と、インデックスリスト取得手段302と、グループ署名受信手段303と、有効メンバ判別手段304と、検証用情報生成手段305と、グループ署名検証手段306と、検証結果送信手段307とを備えている。
【0102】
記憶手段300は、例えば、演算処理等に利用されると共にネットワークNを介して取得した情報等を記憶するRAMと、所定のプログラム等を記憶するROMと、グループメンバ毎のライセンスを格納するHDD等を備えている。
公開情報受信手段301は、グループ管理装置10からネットワークNを介してグループ公開鍵VKを受信するものである。受信されたグループ公開鍵VKは、記憶手段300のメモリに格納される。
【0103】
インデックスリスト取得手段302は、グループインデックス管理装置40からネットワークNを介してグループメンバインデックスリストL2を受信するものである。受信されたグループメンバインデックスリストL2は、記憶手段300のメモリに格納される。
グループ署名受信手段303は、グループメンバ装置20で生成されたグループ署名をネットワークNを介して受信するものである。本実施形態では、グループ署名受信手段303は、グループメンバ装置20で生成されたグループ署名を、コンテンツサーバ60との専用線70を経由して受信することとする。
【0104】
有効メンバ判別手段304は、受信したグループメンバインデックスリストL2の中に、グループ署名受信手段303で受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定するものである。
【0105】
検証用情報生成手段305は、グループ公開鍵に含まれるセキュリティパラメータと、グループ署名に含まれる署名証明情報(vs)と公開ライセンス情報(vi,IDi)とメッセージ(m)と、を用いて検証用情報を生成するものである。本実施形態では、検証用情報生成手段305は、式(14)および式(15)にそれぞれ示す検証用情報(Ci′,Cs′)を生成する。ここで、H(・)はハッシュ関数を示す。また、本実施形態では、検証用情報生成手段305は、有効メンバ判別手段304によってメンバ資格が有効であると判定された場合に検証用情報(Ci′,Cs′)を生成することとする。
【0106】
【数18】
【0107】
グループ署名検証手段306は、検証用情報生成手段305で生成された検証用情報(Ci′,Cs′)とグループ公開鍵とグループ署名とから導かれる値と、グループ署名に含まれる随時署名とグループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に、受信したグループ署名の検証が成功したと判定するものである。本実施形態では、グループ署名検証手段306は、グループ署名σ中の随時署名σsと、グループ公開鍵VK中の生成元gとを用いて、式(16)に示すDを算出する。また、グループ署名検証手段306は、グループ署名σ中の署名証明情報vsと、公開ライセンス情報viと、グループ公開鍵VK中の値y0とを用いて、式(17)に示すEを算出する。グループ署名検証手段306は、式(16)に示すDと式(17)に示すEとが一致するか否かを判別し、DとEとが一致する場合、受信したグループ署名の検証が成功したことを示す検証成功メッセージを生成し、DとEとが不一致である場合、検証失敗メッセージを生成する。
【0108】
【数19】
【0109】
検証結果送信手段307は、グループ署名検証手段306で生成された検証結果を示す検証成功メッセージまたは検証失敗メッセージを、ネットワークNを介してグループメンバ装置20に送信するものである。本実施形態では、検証結果送信手段307は、検証結果をコンテンツサーバ60を経由して、グループメンバ装置20に送信することとする。
【0110】
[コンテンツサーバ]
コンテンツサーバ60は、例えば、CPUと、RAMと、ROMと、HDDと、NIC等を備えており、図5に示すように、コンテンツ記憶手段600と、サービスリクエスト受信手段601と、検証リクエスト送信手段602と、サービス提供手段603とを備えている。
コンテンツ記憶手段600は、コンテンツを蓄積記憶するものであり、例えば、一般的なハードディスク等から構成される。なお、コンテンツ記憶手段600は、外部記憶装置から構成されていてもよい。
【0111】
サービスリクエスト受信手段601は、ネットワークNを介してグループメンバ装置20からサービスリクエストを受信するものである。
検証リクエスト送信手段602は、サービスリクエスト受信手段601で受信したサービスリクエスト(グループ署名)を検証することを依頼する検証リクエストをグループ署名と共に署名検証装置30に専用線70を介して送信するものである。なお、検証リクエストとグループ署名とを専用線70を用いずにネットワークN経由で送信してもよいし、オフラインで渡してもよい。
【0112】
サービス提供手段603は、署名検証装置30から、検証成功メッセージを取得した場合に、受信したサービスリクエストに該当するグループメンバ装置20に対して、コンテンツ記憶手段600に蓄積記憶されたコンテンツを、ネットワークN経由で提供するものである。また、サービス提供手段603は、署名検証装置30から、検証失敗メッセージを取得した場合に、受信したサービスリクエストに該当するグループメンバ装置20に対して、コンテンツの提供が許可されていないことを示すメッセージをネットワークN経由で通知する。
【0113】
[会員向けコンテンツ提供サービスシステムの動作]
次に、図2に示した会員向けコンテンツ提供サービスシステム2の動作について、図6ないし図8を参照(適宜図1ないし図5参照)して説明する。図6は、セットアップステップを示すフローチャート、図7は、ジョインステップを示すシーケンス図、図8は、サインステップおよび検証ステップを示すシーケンス図である。
【0114】
[セットアップステップ]
セットアップステップ(ステップS3:図2参照)は、グループ管理装置10が実行する動作である。図6に示すように、セットアップステップでは、グループ管理装置10は、セットアップ初期値生成手段101によって、素数p,qを選択し(ステップS101)、生成元gを選択する(ステップS102)。なお、ステップS101とステップS102の順序は任意である。
【0115】
そして、グループ管理装置10は、グループ秘密鍵生成手段111によって、Zqからグループ秘密鍵x0をランダムに選択し、記憶手段100の耐タンパな領域に秘密裡に保管する(ステップS103)。そして、グループ管理装置10は、グループ公開鍵生成手段112によって、前記した式(1)より、y0を算出する(ステップS104)。そして、グループ管理装置10は、グループ公開情報送信手段103によって、前記した式(2)に示すグループ公開情報VKを公開する(ステップS105)。具体的には、グループ管理装置10は、グループ公開情報VKを、各グループメンバ装置20と、署名検証装置30にネットワークNを介して送信する。
【0116】
[ジョインステップ]
ジョインステップ(ステップS4:図2参照)は、グループ管理装置10とグループメンバ装置20とが実行する動作である。図7に示すように、ジョインステップでは、まず、グループメンバ装置20は、ジョインリクエスト送信手段204によって、グループメンバインデックスが含まれているジョインリクエストを送信する(ステップS201)。グループ管理装置10は、ジョインリクエスト受信手段104によって、ジョインリクエストを受信する(ステップS202)。
【0117】
そして、グループ管理装置10は、公開ライセンス情報生成手段121によって、Zqから乱数riをランダムに選択し(ステップS203)、前記した式(3)に示すviを算出する(ステップS204)。そして、グループ管理装置10は、秘密ライセンス情報生成手段122によって、グループメンバインデックスIDiを含む公開ライセンス情報と、ハッシュ関数とを用いて、前記した式(4)に示すciを算出する(ステップS205)。秘密ライセンス情報生成手段122は、さらに、グループ秘密鍵x0と素数qとを用いて、グループメンバインデックスIDiに該当するグループメンバ装置20に対する秘密ライセンス情報として、前記した式(5)に示す秘密ライセンス情報xiを算出する(ステップS206)。そして、グループ管理装置10は、ライセンス送信手段106によって、公開ライセンス情報(vi,IDi)と共に秘密ライセンス情報xiをライセンス(xi,vi,IDi)として該当するグループメンバ装置20へ渡す(ステップS207)。
【0118】
グループメンバ装置20は、ライセンス取得手段205によって、ライセンス(xi,vi,IDi)を取得し(ステップS208)、ライセンス検証手段206によって、ライセンスを検証する。具体的な検証方法として、ライセンス検証手段206は、まず、前記した式(7)に示すciを算出する(ステップS209)。そして、ライセンス検証手段206は、前記した式(8)に示すAを算出し(ステップS210)、前記した式(9)に示すBを算出する(ステップS211)。なお、A,Bの算出順序は任意である。そして、ライセンス検証手段206は、AとBとが一致するか否かを判別する(ステップS212)。AとBとが一致しない(A≠B)場合(ステップS212:No)、グループメンバ装置20は、ステップS201に戻る。一方、AとBとが一致する(A=B)場合(ステップS212:Yes)、グループメンバ装置20は、ライセンス検証手段206によって、受信したライセンス(xi,vi,IDi)を記憶手段200に保管する(ステップS213)。
【0119】
[サインステップ]
サインステップ(ステップS5:図2参照)は、グループメンバ装置20が実行する動作である。図8に示すように、サインステップでは、グループメンバ装置20は、乱数選択手段207によって、Zqから乱数rsをランダムに選択し(ステップS301)、署名証明情報生成手段208によって、前記した式(10)に示す署名証明情報vsを算出する(ステップS302)。そして、グループメンバ装置20は、随時署名生成手段209によって、署名を打ちたいメッセージ(m)を含めて、前記した式(11)に示すcsを算出し(ステップS303)、グループメンバ装置20の秘密ライセンス情報xiを用いて、前記した式(12)に示す随時署名σsを生成する(ステップS304)。そして、グループメンバ装置20は、メッセージ生成手段210によって、前記した式(13)に示すグループ署名σを生成し(ステップS305)、サービスリクエスト送信手段211によって、グループ署名σを署名検証装置30に送信する(ステップS306)。
【0120】
[検証ステップ]
検証ステップ(ステップS7:図2参照)は、署名検証装置30が実行する動作である。図8に示すように、検証ステップでは、署名検証装置30は、グループ署名受信手段303によって、グループ署名σを受信し(ステップS307)、有効メンバ判別手段304によって、有効グループメンバインデックスリストL2に、受信したグループ署名に含まれるグループメンバインデックスIDiが存在するか否かを判別する(ステップS308)。有効グループメンバインデックスリストL2にIDiが存在する場合(ステップS308:Yes)、署名検証装置30は、検証用情報生成手段305によって、前記した式(14)および式(15)にそれぞれ示す検証用情報(Ci′,Cs′)を生成する(ステップS309)。そして、署名検証装置30は、グループ署名検証手段306によって、前記した式(16)に示すDを算出し(ステップS310)、前記した式(17)に示すEを算出する(ステップS311)。なお、D,Eの算出順序は任意である。
【0121】
そして、グループ署名検証手段306は、DとEとが一致するか否かを判別する(ステップS312)。DとEとが一致する(D=E)場合(ステップS312:Yes)、署名検証装置30は、検証結果送信手段307によって、検証結果として検証成功メッセージを、コンテンツサーバ60を経由して当該グループメンバ装置20に送信する(ステップS313)。一方、DとEとが一致しない(D≠E)場合(ステップS312:No)、署名検証装置30は、検証結果送信手段307によって、検証結果として検証失敗メッセージを送信する(ステップS314)。また、ステップS308において、有効グループメンバインデックスリストL2にIDiが存在しない場合(ステップS308:No)、署名検証装置30は、ステップS314に進む。
【0122】
本実施形態のグループメンバ装置20によれば、生成したグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、グループメンバ装置20の実装に必要なコストを低減できる。また、グループ管理装置10、グループメンバ装置20および署名検証装置30によれば、Unlinkableを満たさない(linkableを満たす)ことになるので、グループ内の所定のメンバがそのグループを脱退する場合に、その所定のメンバの署名のみを容易に無効化させることができる。また、新規メンバの加入を容易に行うこともできる。さらに、linkableを満たすことから、グループメンバ装置20を利用するグループメンバが、コンテンツをネットワーク受信するときに、前回供給された状態の続きから受信することも可能となる。
【0123】
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、その趣旨を変えない範囲でさまざまに実施することができる。例えば、グループ管理装置10のセットアップ初期値生成手段101は、セットアップステップに必要な基本的なパラメータを生成する際に、乗法群(整数群)Zp上から生成元gを選択するものとして説明したが、生成元を、整数群の代わりに楕円曲線上から選択するようにしてもよい。この場合には、セットアップ初期値生成手段101は、素数qを選択し、有限体Fq上の楕円曲線Eから生成元gを選択する。また、グループ秘密鍵生成手段111は、素数q以下の正の整数x0をランダムに選択し、グループ公開鍵生成手段112は、前記した式(1)の代わりに、式(18)に示すy0を算出する。式(18)において、x0はグループ秘密鍵を示す。また、この場合、グループ公開情報送信手段103は、前記した式(2)の代わりに、式(19)に示すに示すグループ公開鍵VKをグループメンバ装置20に送信する。また、この場合、公開ライセンス情報生成手段121は、前記した式(3)の代わりに、式(20)に示すviを算出する。さらに、この場合、グループメンバ装置20の署名証明情報生成手段208は、前記した式(10)の代わりに、式(21)に示すvsを算出する。
【0124】
【数20】
【0125】
このように生成元を、整数群の代わりに楕円曲線上から選択する手法は、生成元を整数群から選択する手法に比べて歴史が浅く、いまだ発見されていない欠点や、攻撃法が存在する可能性があるが、署名長を一層短縮することができる。生成元を楕円曲線上から選択した場合には、グループメンバ装置20が生成するグループ署名として、リクエストに付加される随時署名σs、署名証明情報vsおよび公開ライセンス情報viは、それぞれ、例えば、160ビット程度のビット長であり、グループメンバインデックスIDiを含めてもグループ署名の署名長は640ビットであった。一方、非特許文献2に開示されたグループ署名方式では、23,709ビットである。また、「Furukawa,Imai」(非特許文献3参照)の提案する従来公知の効率的なグループ署名方式の署名長は、1711ビットである。なお、署名を付加するリクエストメッセージの任意長は別である。したがって、グループメンバ装置20が生成するグループ署名は、従来の方式で生成される署名よりも署名長を短縮することができる。その結果、グループメンバ装置20の実装に必要なコストを低減できる。
【0126】
また、グループメンバ装置20は、一般的なコンピュータを、前記した各手段として機能させるプログラム(署名生成プログラム)により動作させることで実現することができる。このプログラムは、通信回線を介して配布することも可能であるし、CD−ROM等の記録媒体に書き込んで配布することも可能である。このプログラムをインストールされたコンピュータは、CPUが、ROM等に格納されたこのプログラムをRAMに展開することにより、グループメンバ装置20と同等の効果を奏することができる。また、同様に、署名検証装置30は、一般的なコンピュータを、前記した各手段として機能させるプログラム(署名検証プログラム)により動作させることで実現することができる。さらに、同様に、グループ管理装置10は、一般的なコンピュータを、前記した各手段として機能させるプログラム(グループ管理プログラム)により動作させることで実現することができる。
【図面の簡単な説明】
【0127】
【図1】グループ署名システムの概要を模式的に示す構成図である。
【図2】会員向けコンテンツ提供サービスシステムの概要を模式的に示す構成図である。
【図3】本発明の実施形態に係るグループ管理装置の構成を模式的に示すブロック図である。
【図4】本発明の実施形態に係るグループメンバ装置の構成を模式的に示すブロック図である。
【図5】本発明の実施形態に係る署名検証装置の構成を模式的に示すブロック図である。
【図6】セットアップステップを示すフローチャートである。
【図7】ジョインステップを示すシーケンス図である。
【図8】サインステップおよび検証ステップを示すシーケンス図である。
【図9】従来のグループ署名システムの概要を模式的に示す構成図である。
【符号の説明】
【0128】
1 グループ署名システム
2 会員向けコンテンツ提供サービスシステム
10 グループ管理装置
100 記憶手段
101 セットアップ初期値生成手段
102 グループ鍵生成手段
103 グループ公開情報送信手段
104 ジョインリクエスト受信手段
105 メンバ鍵生成手段
106 ライセンス送信手段
111 グループ秘密鍵生成手段
112 グループ公開鍵生成手段
121 公開ライセンス情報生成手段
122 秘密ライセンス情報生成手段
20 グループメンバ装置(署名生成装置)
200 記憶手段
201 公開情報受信手段
202 グループメンバインデックス受信手段
203 ジョインリクエスト生成手段
204 ジョインリクエスト送信手段
205 ライセンス取得手段
206 ライセンス検証手段
207 乱数選択手段
208 署名証明情報生成手段
209 随時署名生成手段
210 メッセージ生成手段
211 サービスリクエスト送信手段(グループ署名送信手段)
212 サービス受信手段
213 コンテンツ再生手段
30 署名検証装置
300 記憶手段
301 公開情報受信手段
302 インデックスリスト取得手段
303 グループ署名受信手段
304 有効メンバ判別手段
305 検証用情報生成手段
306 グループ署名検証手段
307 検証結果送信手段
40 グループインデックス管理装置
400 記憶手段
401 会員情報識別値取得手段
402 グループメンバインデックス生成手段
403 グループメンバインデックス送信手段
50 会員情報管理サーバ
60 コンテンツサーバ
600 コンテンツ記憶手段
601 サービスリクエスト受信手段
602 検証リクエスト送信手段
603 サービス提供手段
【特許請求の範囲】
【請求項1】
サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおける署名生成装置であって、
前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する署名証明情報生成手段と、
前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する随時署名生成手段と、
前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成するメッセージ生成手段と、
前記グループ署名を前記署名検証装置に送信するグループ署名送信手段とを備えることを特徴とする署名生成装置。
【請求項2】
請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置であって、
前記署名生成装置で生成されたグループ署名を受信するグループ署名受信手段と、
予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する検証用情報生成手段と、
前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定するグループ署名検証手段とを備えることを特徴とする署名検証装置。
【請求項3】
前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスの有無により前記グループにおけるメンバ資格の有効および失効を管理するインデックス管理者により発行された前記グループメンバのリストを示すグループメンバインデックスのリストの中に、前記受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定する有効メンバ判別手段をさらに備え、
前記検証用情報生成手段は、前記有効メンバ判別手段によってメンバ資格が有効であると判定された場合に前記検証用情報を生成することを特徴とする請求項2に記載の署名検証装置。
【請求項4】
請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置であって、
前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するグループ鍵生成手段と、
前記グループ公開鍵を前記署名生成装置に送信する公開情報送信手段と、
前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成するメンバ鍵生成手段とを備えることを特徴とするグループ管理装置。
【請求項5】
サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおいて前記署名生成装置を実現するために、コンピュータを、
前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する署名証明情報生成手段、
前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する随時署名生成手段、
前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成するメッセージ生成手段、
前記グループ署名を前記署名検証装置に送信するグループ署名送信手段、
として機能させることを特徴とする署名生成プログラム。
【請求項6】
請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置を実現するために、コンピュータを、
前記署名生成装置で生成されたグループ署名を受信するグループ署名受信手段、
予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する検証用情報生成手段、
前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定するグループ署名検証手段、
として機能させることを特徴とする署名検証プログラム。
【請求項7】
請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置を実現するために、コンピュータを、
前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するグループ鍵生成手段、
前記グループ公開鍵を前記署名生成装置に送信する公開情報送信手段、
前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成するメンバ鍵生成手段、
として機能させることを特徴とするグループ管理プログラム。
【請求項1】
サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおける署名生成装置であって、
前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する署名証明情報生成手段と、
前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する随時署名生成手段と、
前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成するメッセージ生成手段と、
前記グループ署名を前記署名検証装置に送信するグループ署名送信手段とを備えることを特徴とする署名生成装置。
【請求項2】
請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置であって、
前記署名生成装置で生成されたグループ署名を受信するグループ署名受信手段と、
予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する検証用情報生成手段と、
前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定するグループ署名検証手段とを備えることを特徴とする署名検証装置。
【請求項3】
前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスの有無により前記グループにおけるメンバ資格の有効および失効を管理するインデックス管理者により発行された前記グループメンバのリストを示すグループメンバインデックスのリストの中に、前記受信したグループ署名に含まれるグループメンバインデックスが存在するか否かを判別し、存在する場合にメンバ資格が有効であると判定する有効メンバ判別手段をさらに備え、
前記検証用情報生成手段は、前記有効メンバ判別手段によってメンバ資格が有効であると判定された場合に前記検証用情報を生成することを特徴とする請求項2に記載の署名検証装置。
【請求項4】
請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置であって、
前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するグループ鍵生成手段と、
前記グループ公開鍵を前記署名生成装置に送信する公開情報送信手段と、
前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成するメンバ鍵生成手段とを備えることを特徴とするグループ管理装置。
【請求項5】
サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する署名生成装置と、予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成管理するグループ管理装置と、前記生成されたグループ署名を前記グループ公開鍵に基づいて検証する署名検証装置とを備えるグループ署名システムにおいて前記署名生成装置を実現するために、コンピュータを、
前記グループ公開鍵に基づいて前記グループメンバの署名であることを示す署名証明情報を生成する署名証明情報生成手段、
前記署名証明情報と、前記グループ公開鍵と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスを含む公開ライセンス情報と、前記グループメンバ固有の秘密ライセンス情報と、所定のリクエストと、を用いて前記リクエストに応じた随時署名を生成する随時署名生成手段、
前記リクエストに、前記随時署名と、前記署名証明情報と、前記公開ライセンス情報とを付加したメッセージを前記グループ署名として生成するメッセージ生成手段、
前記グループ署名を前記署名検証装置に送信するグループ署名送信手段、
として機能させることを特徴とする署名生成プログラム。
【請求項6】
請求項1に記載の署名生成装置で生成されたグループ署名が、サービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であるか否かを検証する署名検証装置を実現するために、コンピュータを、
前記署名生成装置で生成されたグループ署名を受信するグループ署名受信手段、
予め選択されたグループ秘密鍵および生成元を用いて生成される値と、前記生成元と、セキュリティパラメータとを含む予め公開されたグループ公開鍵に含まれるセキュリティパラメータと、前記グループ署名に含まれる署名証明情報と公開ライセンス情報とメッセージと、を用いて検証用情報を生成する検証用情報生成手段、
前記生成された検証用情報と前記グループ公開鍵と前記グループ署名とから導かれる値と、前記グループ署名に含まれる随時署名と前記グループ公開鍵とから導かれる値とが同じであるか否かを判別し、同じである場合に前記グループ署名の検証が成功したと判定するグループ署名検証手段、
として機能させることを特徴とする署名検証プログラム。
【請求項7】
請求項1に記載の署名生成装置においてサービス提供者から所定のサービスを受けることを許可されたグループに属するグループメンバによる署名であることを示すグループ署名を生成する際に利用されるグループ公開鍵を生成管理するグループ管理装置を実現するために、コンピュータを、
前記グループの秘密鍵であるグループ秘密鍵を生成すると共に、整数群から選択された生成元または楕円曲線上から選択された生成元と、前記グループ秘密鍵とを用いて生成される値と、前記生成元と、セキュリティパラメータとを含むグループ公開鍵を生成するグループ鍵生成手段、
前記グループ公開鍵を前記署名生成装置に送信する公開情報送信手段、
前記生成元と、前記グループメンバの個人情報と分離されたグループ内識別子を示すグループメンバインデックスと、前記グループ秘密鍵とを用いて、前記グループメンバ毎の秘密にされるメンバ鍵として、前記グループメンバ固有の秘密ライセンス情報を生成するメンバ鍵生成手段、
として機能させることを特徴とするグループ管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−71412(P2009−71412A)
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願番号】特願2007−235262(P2007−235262)
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
【公開日】平成21年4月2日(2009.4.2)
【国際特許分類】
【出願日】平成19年9月11日(2007.9.11)
【出願人】(000004352)日本放送協会 (2,206)
【Fターム(参考)】
[ Back to top ]