認可証明書使用中のプライバシー保護
本発明は、ユーザが許可された承認に対して、ユーザのグループからユーザのプライバシーを与える方法を提案し、そのような承認は、デジタル承認証明書を用いて証明され、ユーザのグループの場合にはドメイン証明書に関連する。概念は、証明書のユーザアイデンティティを隠すとともに、証明書それ自体は明らかにする。このようにして、証明書を、例えば、公衆ネットワークにおいて広くかつオープンに利用することができ、任意の観察者がユーザを承認又は止め院内のユーザアイデンティティにリンクする必要がない。プライバシーは、零知識プロトコルによって証明書識別装置に対して与えられ、それは、認証装置が証明書に対するユーザの権限をチェックするためにユーザと認証装置との間で実行される。プライバシーは、(匿名の購買又は)発行装置からの証明書の発行を許容する機構によって証明書発行装置によって、証明書発行装置に対しても与えられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護するユーザ装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する認証装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する発行装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する信号に関する。
【0002】
さらに、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護するコンピュータプログラムに関する。
【背景技術】
【0003】
SPKI/SDSI(Simple Public Key Infrastructure/Simple Distributed Security infrastructure)証明書フレームワークは、Ellison, C., “SPKI/SDSI certificates”, http://world.std.com/~cme/html/spki.htmlに記載されている。このフレームワーク内において、許可証明書を、証明書に署名する承認局により許可又は権限を個人の公開鍵に与えることによって規定することができる。許可及び対象(subject)に加えて、SPKI許可証明書は、発行承認局の公開鍵も有し、証明書に対する有効性の仕様及び委任タグ(delegation tag)を有することもできる。
【0004】
許可証明書を、(例えば、ユーザ装置において)ユーザによって保持することができ、又は、証明書に対する容易なアクセスを認証装置に対して許容するために(ユーザが全ての証明書を保持する負荷を回避するために)ネットワークのいずれかの場所で利用できる。この場合、証明書に存在する全ての情報は、ネットワーク上で明らかであり、誰でも見るために利用できる。
【0005】
許可証明書に対して、発行、あり得る公衆の利用可能性及び使用によって、所定の許可との関連を他のパーティに開示することを所望しないユーザのプライバシーの問題が生じる。コンテンツにアクセスするための権限としての許可の場合、ユーザは、所定のコンテンツに関連するのを所望しない。プライバシーの問題が複数の理由に対して存在する。第1に、公開鍵(又はそのハッシュ)が、全体的にユーザ独自の識別子である。さらに、公開鍵を所有者に結びつけるのが用意である。その理由は、鍵が公開であり、ユーザを許可するためにあらゆる取引で使用されるからである。第2に、上記利用可能性は、ユーザと承認局との間の直接かつ容易にアクセスできるリンク(ネットワークのあらゆる場所で利用できる許可証明書)が存在することを意味する。第3に、所定の公開鍵、すなわち、所定の者が存在する場合、公衆鍵でネットワークを簡単にサーチすることによってその者の全ての許可証明書を観察者によって見つけるのが非常に容易になる。最後に、証明書がユーザによって個人的に保持される場合でも、証明書発行装置及び証明書認証装置は、常にユーザと承認局との間の関連を知る。その理由は、これらが証明書へのアクセスを有する(とともに必要とする)からである。
【0006】
認証装置によって証明書に対する容易なアクセスをいつでもどこでも許容しながら、証明書に対するユーザのプライバシーを確保する解決が要求される。
【0007】
欧州特許出願番号03100737.0(代理人整理番号PHNL030293)において、許可に対するユーザ権限の適切かつ安全なチェックを許容しながら、アクセス及び承認局で用いることができる取得した許可の少なくとも一人のユーザのプライバシーを保護することを意図した方法が記載されている。その方法は、任意の装置が証明書をチェックするのを許容しながら、ユーザ識別情報のユーザアイデンティティ(公開鍵)を隠す隠しデータを用いることによって、ユーザアイデンティティとコンテンツ権限との間のリンクを隠すことを提案している。この解決は、プライバシーの問題を被る。ユーザがコンテンツにアクセスすると、ユーザのアイデンティティが現れ、コンテンツにアクセスするユーザの全ての動作をユーザアイデンティティにリンクすることができる。しかしながら、ユーザがコンテンツにアクセスするプロセスにおいて、装置は常にユーザの公開鍵を知り、ユーザアイデンティティが現れる。さらに悪いことには、コンテンツにアクセスする全てのユーザの動作がユーザアイデンティティにリンクすることができ、その結果、証明書認証装置との協働によって、ユーザが追跡されることがある。また、証明書発行装置に対してプライバシーが存在しない。
【0008】
したがって、証明書認証装置や証明書発行装置のような第三者に対するプライバシーを設ける必要もある。
【発明の開示】
【0009】
本発明の目的は、証明書に対するユーザの権限を認証できるように、証明書発行装置及び証明書認証装置がユーザのユーザアイデンティティ(公衆鍵)を知るのを防止する、ユーザに対する証明書を発行及び/又は認証し、ユーザのプライバシーを保護する方法を提供することである。
【0010】
この目的は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法であって、
前記ユーザが、ユーザ装置によって表されるとともにユーザアイデンティティによって識別され、
前記方法が、データアクセス権限を前記ユーザアイデンティティに関連させる少なくとも一つの証明書を使用し、
前記証明書が前記ユーザアイデンティティを隠し、
前記証明書が、公に利用できる解決情報Pを具え、
隠された秘密S’が公に利用でき、
前記方法が、
− 前記ユーザ装置と認証装置との間の証明書認証プロセスと、
− 前記ユーザ装置と発行装置との間の証明書発行プロセスと、
− 前記ユーザ装置と前記発行装置との間の証明書再発行プロセスのうちの少なくとも一つを具え、
前記証明書認証プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記認証装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記認証装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記認証装置に対して証明するステップとを具え、
前記証明書発行プロセスが、
− 秘密S及び解決情報Pを発生するステップと、
− 前記秘密Sを隠された秘密S’に隠すステップと、
− 前記発行装置が、少なくとも一つの解決情報Pを具える証明書を発行するステップとを具え、
前記証明書再発行プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記発行装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記発行装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記発行装置に対して証明するステップと、
− 新たな秘密S2及び新たな解決情報P2を発生するステップと、
− 前記秘密S2を、隠された秘密S2’に隠すステップと、
− 前記発行装置が、少なくとも新たな解決情報P2を具える新たな証明書を発行するステップとを具えることを特徴とする方法によって達成される。
【0011】
ユーザアイデンティティ及び公開鍵は、証明書において明らかな形態で利用できず、認証装置が許可を認証する必要がない。許可は、許可に含まれる秘密をユーザが知ることを認証装置に証明するユーザによって認証される。
【0012】
秘密Sそれ自体は現れないので、認証装置は、許可に関連したユーザのふりをすることができず、プライバシーが保護される。
【0013】
本発明による方法の好適な実現を請求項2に記載する。この場合、隠された秘密S’は、証明書に簡単に格納される。
【0014】
本発明による方法の好適な実現を請求項3に記載する。ユーザのみが公開鍵に対するアクセスを有するので、ユーザのみが秘密Sを検索することができる。
【0015】
本発明による方法の好適な実現を請求項4に記載する。
【0016】
本発明による方法の好適な実現を請求項5に記載する。任意の情報を用いることによって、秘密Sを更に良好に隠すことができる。
【0017】
本発明による方法の好適な実現を請求項6に記載する。認証装置とユーザとの間で零知識プロトコルを用いることによって、秘密Sの知識が証明されるが、秘密それ自体は現れない。
【0018】
本発明による方法の好適な実現を請求項7に記載する。対称セッション鍵Kを確立することによって、発行プロセスがプロテクトされる。
【0019】
本発明による方法の好適な実現を請求項8に記載する。誰にも秘密Sが知られないようにするために、秘密は、好適には発行プロセスでユーザ装置それ自体によって発生する。
【0020】
本発明を、請求項9に規定したように許可証明遺書に対して好適に適用することができ、請求項10に規定したようにドメイン証明書に対して好適に適用することができる。
【0021】
欧州特許出願番号02079390.7(代理人整理番号PHNL021063)において、人に基づく許可されたドメインに対するアーキテクチャを記載する方法が提案されている。コンテンツに対するアクセスは、数ステップに基づくドメインの人のいずれかに対して付与される。(コンテンツを購買した)人Aは、例えばAのユーザ装置を用いた許可及び使用権限証明書によって装置上でコンテンツ1にアクセスすることができ、証明書は、Aをコンテンツ権限1にリンクする。(Aと同一ドメインに属する)人B,C及びDは、Aをコンテンツ権限1にリンクする使用権限証明書に基づく許可及びドメイン証明書によって装置上でコンテンツ1にアクセスすることができ、証明書は、A,B,C及びDを互いにグループにする。人が、ドメインの関係者であることを示すことを要求する動作を実行するとき、ユーザアイデンティティ(公開鍵)がドメイン証明書の一部として現れる。
【0022】
本発明によるドメイン証明書は、秘密をドメインメンバーによって検索することができる一つ以上の隠された秘密(及び証明される知識)を有する。これによって、ドメインメンバーは、ドメインのメンバーシップを匿名で証明することができる。
【0023】
本発明による方法の好適な実現を請求項11に記載する。各ドメインメンバーが秘密ドメイン鍵に対するアクセスを有するので、ドメインメンバーは、ドメイン証明書から秘密Sの検索を行うようになる。
【0024】
本発明による方法の好適な実現を請求項12に記載する。使用権限証明書は、使用権限証明書に対する権限を証明することを(他の)ドメインユーザ(共通ユーザ)に許容するために使用権限証明書をドメインにリンクする(後に説明する第2の実施の形態におけるDのような)隠された秘密を具える。
【0025】
本発明による方法の好適な実現を請求項13に記載する。互いに相違するアクセスレベルを、権限仕様を持つ規則を有するとともに秘密を証明する際にユーザに権限を与える種々の許可を説明することによって、最後からのものとすることができる。
【0026】
本発明の他の目的は、証明書を要求し又は本発明による証明書に対する権限を証明することができる、ユーザアイデンティティのプライバシーを保護するユーザ装置を提供することである。この目的は、請求項1に従って証明書を発行するように配置されたユーザ装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセス、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とするユーザ装置によって達成される。
【0027】
本発明の他の目的は、ユーザのプライバシーを保護しながら証明書に対するユーザの権限を認証する認証装置を提供することである。この目的は、請求項1に従って証明書を認証するように配置された認証装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセスに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする認証装置によって達成される。
【0028】
本発明の他の目的は、ユーザのプライバシーを保護する、本発明による証明書を発行する発行装置を提供することである。この目的は、請求項1に従って証明書を発行するように配置された発行装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする発行装置によって達成される。
【0029】
本発明の他の目的は、データに対するユーザ制御されたアクセスを可能にしながらプライバシーを保護する信号を提供することである。この目的は、請求項1にようる方法で使用されるような証明書の少なくとも一部を保持する信号によって達成される。
【0030】
本発明の他の目的は、データに対するユーザ制御されたアクセスを可能にしながらプライバシーを保護するコンピュータプログラムを提供することである。この目的は、コンピュータに実行させるためにコンピュータプログラムコード手段を有するコンピュータ読出し可能媒体を具えるコンピュータ実行可能な命令を保持するコンピュータプログラムであって、前記コンピュータプログラムコード手段が前記コンピュータにロードされるとき、
− 証明書発行プロトコルと、
− 証明書再発行プロトコルと、
− 証明書認証プロトコルのうちの少なくとも一つのうちの少なくとも一つのプロトコルサイドを実現することを特徴とするコンピュータプログラムによって達成される。
【0031】
本発明を、証明書を用いて説明しているが、本発明が証明書それ自体に限定されるものではないことを理解すべきである。同一の公に利用できる情報は、全体として又は部分的に利用でき、個別に証明することができる。
【0032】
本発明のこれら及び他の態様を、線形的な図面を参照しながら例示して説明する。
【発明を実施するための最良の形態】
【0033】
本発明の第1の実施の形態において、認可システムは、図7に示すような種々の装置を具える。例えばスマートカード又はUSBドングルとすることができるユーザ装置721を示す。証明書を発行する発行装置711、コンテンツに権限を与える証明書を認証する認証装置701、及びコンテンツを発生するコンテンツ装置(この図では認証装置に結合しているが、異なる装置とすることもできる。)を示す。これらの装置をネットワーク740を通じて相互接続することができるが、通信チャネル741及び742で示すように直接相互接続することもできる。装置701,711,721の各々は、例えば、シーケンスで説明したプロトコル中にネットワーク又は他の装置から情報を受信する受信手段706,716,726を有する。これら装置の各々は、これらプロトコル中に送信を行う送信手段と、プロトコル処理中に情報を処理する処理ユニット702,712,722とを更に有し、この処理ユニットは、プロセッサ703,713,723と、鍵情報を格納することもできるメモリ704,714,724と、ブロック705,715,725で示す暗号化/解読機能とを具える。
【0034】
認証装置及びユーザ装置がコンプライアント(compliant)であると仮定する。これは、所定の規格に従うとともに所定の動作規則に忠実であることを意味する。装置に対して、これは、例えば、装置がデジタルインタフェース上でコンテンツを違法に出力しないことを意味する。ユーザ装置に対して、これは、ユーザ装置が秘密を保持し、予測される方法で問い合わせに対する回答を行うとともに要求を行うことを意味する。
【0035】
認可証明書は、一つのコンテンツにアクセスする個人の権限であり、コンテンツ権限識別子cr_idによって表される。簡単なフォーマットにおいて、それを{cr_id,PK}signCPとして規定することができ、この場合、PKを、コンテンツcr_idにアクセスする権限を付与する個人の公開鍵とし、signCPを、例えば、証明書上における発行装置の署名とする。ユーザが、この証明書を有するコンテンツにアクセスすることを所望するとき、ユーザは、そのことを、コンテンツに直接又は間接にアクセスすることができる認証装置に示す必要がある。ユーザの認可を実行する必要があり、それは、認証装置とユーザ装置(例えば、パーソナルスマートカード)との間のプロトコルによって遂行されることができ、各ユーザによって処理され、各ユーザに対して独自の秘密/公開鍵を有する。したがって、ユーザの公開鍵は、システムの当該ユーザに対する識別子となる。
【0036】
本発明の第1の実施の形態において、ユーザの公開鍵が明らかでない認可証明書の新たなフォーマットが用いられる。さらに、認証装置がユーザ装置の公開鍵を知るのを防止するために、証明書の認証が認証装置とユーザ装置との間の零知識プロトコルによって実行されるように新たなフォーマットを設定する。これは、認証プロトコル後にユーザ装置が(当該ユーザ装置のみが知ることができる)ある値を知ることを識別装置に知らされることを意味するが、識別装置にはその値について何も明らかにされない。
【0037】
(Schneier, B., Applied Cryptography: protocols, algorithms and source code in C, 2nd edition, John Wiley & Sons, 1996に記載されているような)Fiat-Shamirの認証プロトコルを、秘密値S∈Zn*の知識を認証装置に示すのに用いることができ、その平方値P=S2は、識別装置に対する解決情報として利用できる。この問題は、乗算群Zn*の平方根の演算が難しい問題であることに基づく。通信コストが問題となるアプリケーションにおいて、例えば、ユーザ装置がスマートカードを用いて実現される場合、(Schnieierの同一文献でも記載されている)Guillou-Quisquater認証プロトコルが更に適切である。その理由は、ユーザ装置と認証装置との間の交換を最小に維持できるからである。
【0038】
本発明による認可照明賞のフォーマットは、例えば、以下の通りである。
使用権限証明書={cr_id,P,PK[s]}signCP
ここで、Sを、Zn*で選択した秘密値とし、値P=S2とし、PK[S]を、値Sの(ユーザUと称する)証明書の所有者の公開鍵PKを有する暗号化とする。この値は、ユーザUの各使用権限証明書に対して(すなわち、各コンテンツcr_idに対して)Zn*で選択した互いに相違する任意の値であり、その結果、値P=S2も、証明書ごとに独自である。しかしながら、所定のユーザの全ての証明書に対して同一であるユーザアイデンティティは、明らかでない。ユーザのみが、ユーザアイデンティティに対して用いられる公衆鍵に対応する秘密鍵に対するアクセスを有するので、ユーザのみが、認可証明書からSを検索することができる。好適には、証明書は、(コンテンツプロバイダとすることができる)発行装置のような信頼されたパーティによって署名される。
【0039】
認可とユーザアイデンティティとの間のリンクが証明書において明らかでないので、単一のユーザの互いに相違する認可証明書をリンクすることができない。ユーザが秘密値Sを知っていることを認証装置に知らせることができるとしても、ユーザは、その値を知るがユーザの公開鍵PKのアイデンティティを知ることはなく、ユーザのプライバシーを保護する。
【0040】
ユーザ装置のメモリにS値を保持する必要がない。ユーザ認可のステップは、ユーザ装置が値Sを検索するときに内在的に生じ、ユーザ公開鍵PKに対応する秘密鍵SKを知るユーザのみが、値Sを取得するためにPK[S]を解読することができる。
【0041】
装置は、権限が与えられたユーザに対してのみコンテンツにアクセスを付与する使用権限証明書をチェックすることができる必要がある。これを、図1に示す認証プロトコルによって行うことができる。タイムライン120に沿って示したユーザの秘密鍵を有するユーザ装置110と認可証明書を認証する認証装置111との間のプロトコルは、以下のステップからなる。
− ステップ131:ユーザ装置は、認証装置に対してコンテンツ識別子cr_idを送信し、cr_idに対して問い合わせを行うために付加的にロケータ情報を送信する。付加的なロケータを、認証装置が正確な使用権限証明書を見つけるのを助けるために送信することができる。
− 認証装置は、正確な使用権限証明書を検索する。
− ステップ132:認証装置は、値PK[S]をユーザ装置に送信する。ユーザ装置は、(認可が内在的に生じる)秘密鍵を用いて値Sを検索する。
− ステップ133:ユーザ装置は、ユーザ装置がSを知っていることを証明するために認証装置によって零知識プロトコルに関与する。
【0042】
零知識プロトコル中、複数のラウンドが存在し、各ラウンドにおいて、認証された装置の信頼性は増大する。ユーザ装置がPの平方根を知ることを認証装置に十分知らされる場合、認証装置はそれに従って動作する。認証装置がコンテンツ装置として動作する場合、認証装置は、ユーザUに対してコンテンツへのアクセスを提供する。他の変形において、認証装置は、コンテンツ装置として動作する他の装置に結果を送信することができる。
【0043】
図2は、ユーザ装置210と発行装置211との間のタイムライン220に沿った発行プロトコルを示し、それは、証明書発行装置に対してもユーザのプライバシーを提供する。この機構は、ユーザが匿名で証明書を取得することを許容し、それにもかかわらず、発行装置は、ユーザによって署名されるユーザと認可との間の関連(association)を適法に使用することができる。購買によって認可が取得される場合、証明書の匿名の購買に対して機構を提供する必要がある。使用権限証明書を、例えば、欧州特許出願番号03100727.0(代理人整理番号PHNL030293)に記載されたプリペイド形態に基づいて匿名で発行する必要があり、この場合、ユーザは、秘密セキュリティ識別子(secret security identifier: SSI)を有するトークン(token)を発行装置から(匿名で)購買する。このトークンは一度しか用いることができず、したがって、識別子SSIは、使用後に無効にする必要がある。ユーザ装置があるコンテンツに対する権限を取得することを所望するとき、ユーザは、匿名の購買に対する要求を用いて匿名で発行装置にコンタクトする。プロトコルは、以下のステップからなる。
− ステップ231:通信を行うパーティが購買取引を通じて同一であることを保証するようユーザ装置と発行装置との間で交換された全ての情報を暗号化するために、好適には対称なセッション鍵Kを、ユーザ装置と発行装置との間で確立する。鍵は、例えば、ユーザ装置から発行装置までの送信によって確立され、この場合、鍵は、ユーザ装置の公開鍵による暗号化によって送信中にプロテクトされる。
− ステップ232:ユーザ装置は、コンテンツ権限の要求、例えば、cr_idの値及び暗号化されたSSI値を送信し、これら両方の値は、好適にはセッション鍵Kによって暗号化される。
− 発行装置は、SSIの有効性を認証し、トークン識別子を無効にする。
− ユーザ装置のみがSを知ることができるようにするために、値S∈Zn*を、好適にはユーザ装置によって発生する。この場合、ユーザ装置は、値P=S2及びPK[S]を計算することができる。
− ステップ233:ユーザ装置は、値P及びPK[S]を送信し、これら値P及びPK[S]は、好適には今回の通信と以前の通信とをリンクするためにcr_idに連結され、かつ、好適には安全な送信のために鍵Kによって暗号化される。
− 発行装置は、既に規定したようにしてユーザ権限証明書を作成し及び署名する。その後、発行装置は、ネットワークで利用できる使用権限証明書を作成することができる。
【0044】
本実施の形態の他の利点は、所定のユーザの公衆鍵を知る人は誰でも所定のユーザに対する使用権限証明書を例えばプレゼントとして購買できるということである。
【0045】
証明書の再発行を、証明書が制限された寿命を有するときや、cr_idの適切な値を変更する必要があるときのような所定の場合に有用となりうる。その場合、証明書を再発行すべきである。図3は、ユーザ装置310と発行装置311との間のそのような再発行プロトコル320を示す。匿名の再発行プロセスは、通常、使用権限証明書を所有するユーザによって開始され、ユーザは、再発行の要求を用いて匿名で発行装置にコンタクトする。
− ステップ331:セッション鍵は、例えば、暗号化されたセッション鍵を発行装置に送信するユーザ装置によってステップ331で確立される。
− ステップ332:ステップ332において、ユーザ装置は、古い使用権限証明書又は古い使用権限証明書に対するリファレンスcr_idを送信する。
− 発行装置は、古い使用権限証明書に対するP及びPK[S]の値を受信し、これらの値を検索することができる。
− ステップ333:ユーザ装置は、(ユーザがコンテンツを要求するときの装置のように)証明書の値Sの知識を証明することによって使用権限証明書の合法な所有者であることを発行装置に対して証明する。
− ユーザ装置は、新たな使用権限証明書に対する新たな値P及びPK[S]を発生する。
− ステップ334:発行装置は、新たに発生した値P及びPK[S]を受信する。
− 発行装置は、ネットワークで利用できる再発行された使用権限証明書を作成し及び署名する。
【0046】
ユーザがコンテンツにアクセスする度に、ユーザは、認証装置に対して使用権限証明書を示す。これは、ユーザを追跡するために認証装置と協働するのを許容する。その理由は、同一の使用権限証明書(すなわち、同一コンテンツ)を伴う取引は全て値cr_id,P及びPK[S]を通じてリンク可能であるからである。(事故又はアタッカによって)公衆鍵が単一の取引中に現れる場合、同一の使用権限証明書を伴う他の全ての取引が当該ユーザにリンクすることができる。しかしながら、ユーザのアイデンティティが現れない間、取引を互いにリンクすることができるが、ユーザにリンクすることができない。
【0047】
リンクの可能性を、P及びPK[S]の新たな値による再発行によって減少することができる。十分なプライバシーのために、これを単一の使用の各々の後に行うべきである。再発行が発行装置又はユーザ装置に非常に大きな負荷を形成する場合には、そのような再発行を禁止することができる。さらに、ユーザ装置は、コンテンツアクセス要求前に発行装置にコンタクトできないようにすることができる。したがって、リンク可能性が同一コンテンツに対する要求中にしか生じない使用権限証明書の場合に特に、プライバシーを脅かすものを、頻繁な再発行の負荷に対して重きを置く必要がある。廉価な変形例は、時折再発行を実行すること又はユーザの要求においてのみ再発行を実行することである。
【0048】
所定のユーザ権限証明書の再発行は、例えば認証プロトコル中にユーザの公衆鍵が現れる場合に特に有用である。この場合、再発行は、対応するコンテンツに対するアクセスの将来の取引においてユーザが追跡されるのを防止する。
【0049】
第1の実施の形態の第1の変形例において、本発明は、使用権限証明書のセキュリティを増大し、これによって、値Sの機密性を増大する。この値Sを、秘密に保持する必要があり、ユーザに対してのみ利用できる状態にする。しかしながら、二つの阿智亜P=S2及びPK[S]が証明書中で明らかであるので、これら二つの値の知識から値Sを取得するアタッカが存在する可能性がある。使用権限証明書に対する以下のフォーマットは、更なるセキュリティを提供する。
使用権限証明書={cr_id,P,PK[S/./RAN]}signCP
ここで、RANを、各値S(したがって、各cr_id)に対するZn*における他の任意かつ秘密に選択した値とし、記号//は、連結を表す。値RANの導入によって、証明書の値P及びPK[S//RAN]は、もはや独自に関連したものでなくなり、アタッカがSを見つけるのが更に困難になる。
【0050】
第1の実施の形態の第2の変形例において、ユーザの使用権限証明書を探索する簡単な方法を提供する。ユーザの公開鍵がもはや証明書中で明らかでないので、ネットワーク中でそのような証明書を見つけることは、証明書の他のフィールド、インデックスIによって非常に容易になる。新たなフォーマットは、以下の通りである。
使用権限証明={cr_id,P,PK[S],I}signCP
ここで、インデックスI=SKI[cr_id]、すなわち、秘密対象鍵SKIによるcr_idの暗号化となる。この鍵は、ユーザ装置に格納され、この目的のためにのみ用いられる。ここで、用いられる暗号化形態は、既知のプレーンテキストアタッカに対する耐性を有し、アタッカがcr_id及びSKI[cr_id]から鍵SKIを容易に見つけることができないと仮定する。そのようなアタッカが存在する可能性がある場合、Iに対する向上した二つの変形は、次の通りである。
− インデックスを、I2=(SKI[cr_id])2として計算することができる。この平方根を計算するのは困難である(SKI[cr_id])∈Zn*となるように値cr_id及びSKIを設定し、これを、cr_id∈Zn*及びSKI∈Zn*を選択することによって達成することができ、又は
− インデックスを、I=SKI’[SKI[cr_id]]として計算することができ、この場合、SKI’=H(SKI)としてハッシュ関数Hを用いることによって、鍵SKI’を、格納された秘密鍵SKIから取り出すことができる。
【0051】
いずれの場合も、ユーザはIを計算することができ、アタッカは、もはやプレーンテキストcr_id及び対応する暗号テキストSKI[cr_id]を利用することができない。
【0052】
本発明による第2の実施の形態は、いわゆる許可されたドメインアーキテクチャを利用する。欧州特許出願番号02079390.7(代理人整理番号PHNL021063)は、個人に基づく許可されたドメインアーキテクチャに関連して使用権限証明書を記載し、それは、ドメインに対する証明書のリファレンスを有する。
【0053】
本発明によれば、ドメイン証明書は、メンバーの公開鍵を隠すように規定される。これを達成するために、ドメイン証明書に対する新たなフォーマットは、
となる。ここで、d_idをドメイン識別子とし、
を
として計算し、SKDを、ドメインメンバーのみによって共有されるとともにユーザ装置に格納される秘密の対称ドメイン鍵とし、
を、ドメイン証明書が発行されるときに発生する値とし、
を、全てのドメインメンバーの各公開鍵による
の暗号化とする。ドメイン証明書を、好適にはドメイン権限DCによって署名する。
【0054】
上記フォーマットによって、ドメインメンバーであるユーザは、零知識プロトコルによってユーザがドメインd_idに属することを認証装置に対して証明することができ、この場合、ユーザは、秘密値
の知識を証明する。この値を、ドメインメンバーによってのみ計算することができ、ドメインメンバーは、(項
の一つを解読することによって)
を取得することができ、SKDによってそれを暗号化する。値
は、ドメイン証明書の発行に応じてドメイン証明権限によって発生し及び用いられる秘密値である。その知識によって、誰でも、所定の公衆鍵がドメインd_idに属するか否かチェックすることができる。
【0055】
ドメイン識別子を明らかにすることなくドメインにリンクする使用権限証明書のフォーマットは、例えば、以下のように規定される。
使用権限証明書={cr_id,P,PK[S],D}signCP
ここで、ドメイン項は、
及びZn*の数の記号×表示の乗算として計算される(値cr_idもZn*で選択される)。
【0056】
値Dは、他の任意のドメインユーザ(いわゆる共通ユーザ)U’がコンテンツcr_idにアクセスする権限を有することを認証装置に対して証明することをかかるドメインユーザに対して許容するために用いられる。ドメインユーザは、秘密値
の知識を証明する零知識プロトコルによってそのように行うことができる。
【0057】
プロトコルにおいて、U’が値
を得るためにドメイン証明書が必要とされる。その理由は、それがドメインユーザのユーザ装置のメモリに保持されないからである。また、
にcr_idを乗算することによって、互いに相違する使用権限証明書に対して互いに相違する値Dとなる。
によって、この秘密値を、ドメインメンバーのみによって計算することができる。装置は、コンテントに対する権限が与えられたユーザに対してのみアクセスを付与するために証明書をチェックできるようにする必要がある。これらは、ドメイン中の(公開鍵がPKである)ユーザU及び(公開鍵がPK’である)他の任意の共通ユーザU’である。ユーザUの使用権限証明書の認証装置によるチェック用の認証プロトコルは、第1の実施の径値亜で用いられるプロトコルに等しい。共通ユーザU’に対して、認証プロトコルを図4に線形的に示す。ここで、ユーザ装置410は共通ユーザU’に関連する。認証装置411による認証プロトコルは、次の通りである。
【0058】
−ステップ431:ユーザ装置は、cr_id及びユーザのドメイン識別子d_idを認証装置に送信することによってコンテンツcr_idに対するアクセスを要求する。認証装置が正確な使用権限証明書を見つけるためにインデックスSKD[cr_id]のようなロケータも付加的に送信される。好適には、効率の理由からSKDはSKIに等しい。
− 認証装置は、ドメイン証明書及び正確な使用権限小見栄所を検索する。
− ステップ432:認証装置は、値
をユーザ装置に送信する。
− ユーザ装置は、
を解読するために秘密鍵SK’を用いることによって値
を取得することができる。その後、ユーザ装置は、値
及び
を計算する。
− ステップ433:ユーザ装置
は、
の知識を証明するために認証装置によって零知識プロトコルに関与する。
− ステップ434:ユーザ装置は、
の知識を証明するために認証装置によって零知識プロトコルに関与する。
− ユーザ装置が(ドメイン証明書からの)
の平方根及び(使用権限証明書からの)Dの平方根の両方を知っていることが認証装置に十分に知らされる場合、認証装置は、コンテンツそれ自体を送信することによってコンテンツに対するアクセスをユーザU’に与え、認証処置がコンテンツプロバイダとして動作する場合、例えば、プロトコル結果がコンテンツプロバイダに提供される。ドメイン証明書の
を暗号化するために公開鍵が用いられるとともに秘密ドメイン鍵SKDを有する全てのコンプライアントユーザ装置は、
を取得するとともに
及び
を計算することができる。
の知識を証明することによって、ユーザU’がドメインd_idに属することを証明し、
の知識を証明することによって、コンテンツcr_idに対する使用権限証明書をそのドメインにリンクする。
【0059】
図5は、発行プロトコル520の実現を示し、それは、各ドメインメンバーによる使用に対して使用権限証明書を発行する間にドメインのユーザに対する証明書発行装置に対してプライバシーを保護する。使用権限証明書を、例えば、欧州特許出願番号03100737.0(代理人整理番号PHNL030293)に記載されたプリペイド形態に基づいて匿名で発行することができ、この場合、ユーザ装置510は、秘密セキュリティ識別子(SSI)を有するトークンを発行装置511から(匿名で)購買する。発行プロトコルは、次の通りである。
− ユーザ装置は、あるコンテンツに対する権限を取得し、匿名の購買の要求によって発行装置に匿名でコンタクトする。
− ステップ531:ユーザ装置と発行装置との間で交換される全ての情報を暗号化して通信パーティが購買取引を通じて同一となるように、対称セッション鍵Kを、好適には、ユーザ装置と発行装置との間で確立する。
− ステップ532:ステップ532において、ユーザ装置は、コンテンツ権限、例えば、cr_idの値及びSSI値に対する要求を送信し、両方の値は、好適にはセッション鍵Kによって暗号化される。
− ステップ533:ユーザ装置は、値d_idを発行装置に送信し、この値を、好適にはセッション鍵Kによって暗号化する。
− 発行装置は、SSIの有効性を認証し、その識別子を無効にする。
− ドメイン識別子d_idに基づいて、発行装置は、例えば、公開ディレクトリ(public directory)から対応するドメイン証明書をフェッチする。
− ステップ534:発行装置は、値
をドメイン証明書からユーザ装置に(付加的に)送信する。
− 値S∈Zn*を、好適にはユーザのユーザ装置によって発生する。値P=S2及びPK[S]は、値S∈Zn*を発生した後にユーザのユーザ装置によって計算される。
を計算するために、ユーザは値
を必要とし、それを、付加的に受信した値
から取得することができるが、例えば異なるソースから受信することもできる。
− ステップ535:ユーザは、値P,PK[S]及びDを発行装置に送信する。これらの値を、好適にはcr_idに連結し、好適にはセッション鍵Kによって暗号化する。
− 発行装置は、使用権限証明書を作成し及び署名し、それをネットワークで利用できるようにする。
【0060】
ユーザが任意のドメインに属さない場合、値
を取得することができるドメイン証明書が存在せず、この場合、発行装置又はユーザ装置は、Dを簡単にそれ自体によって発生した任意の値に設定することができる。
【0061】
本実施の形態の他の利点は、所定のユーザの公開鍵を知るドメイン内の任意の者が当該ユーザに対する使用権限証明書を購買できることである。これによって、異なるユーザに対して、コンテンツを例えばプレゼントとして購買することができる。
【0062】
ドメイン証明書を発行するプロトコルを、図6に線形的に示す。ドメイン証明書は、ユーザ装置610に対して発行され、証明書内で互いに分類されるユーザの識別子及び公開鍵PK,PK’,...,を知るドメイン承認局611によってドメインを表す。この権限は、秘密値
及びドメイン識別子d_idも発生する。一方では、ドメインメンバーは、(既に存在しない場合には)対称ドメイン鍵SKDを秘密に確立し、それは、ユーザ装置に格納される。
が
及びSKD∈Zn*を選択することによって達成することができるように、
及びSKDを設定する。
【0063】
ドメイン証明書発行プロトコル620は、安全認可チャネル(Secure Authenticated Channel: SAC)を通じて行われる全ての通信によって承認局とドメインユーザのユーザ装置との間で確立される。
− ステップ631:ドメイン承認局は、ユーザ装置の認可に成功する。
− ドメイン承認局は、任意の値
及びドメイン識別子d_idを発生する。
− ステップ632:ドメイン承認局は、ユーザ装置に
及びd_idを送信する。
− ユーザ装置は、
を計算する。
− ステップ633:ユーザ装置は、
をドメイン承認局に送信する。
− 値
を承認局それ自体によって計算することができ、これらを、
及びd_idとともに、署名すべきドメイン証明書に挿入することができる。
【0064】
ドメイン証明書の発行から、承認局(authority)は、秘密値
と、ドメインのユーザのドメイン識別子d_id(及び
)と公開鍵との間の関連とを知る。しかしながら、承認局は、ドメインメンバーによってしか計算することができない値
を知りえない。その理由は、ドメイン証明書が偽のドメインメンバーによって真似されないようにするために
が
と簡単に設定されないからである。
【0065】
共通ユーザU’が二つの取引で同一のコンテンツにアクセスするか異なるコンテンツにアクセスするかに関係なく、共通ユーザが常に同一ドメインd_idにリンクするとしても、共通ユーザは常にドメイン内で匿名である。ドメインメンバーの公開鍵がドメイン証明書内で明らかでないことも匿名性を増強する。このことによって、ユーザUは、コンテンツをドメインメンバーを通じてアクセスすることによって、取引のリンク可能性を防止するとともにドメイン内の匿名性を得る。ドメイン内の匿名は、ドメインが非常に小さくない場合に特に有利である。
【0066】
第1の実施の形態で説明した証明書の再発行も、第2の実施の形態のユーザの取引のリンク可能性を回避する。
【0067】
ユーザUは、ドメイン内の共通ユーザU’よりも優れた利点をユーザに与えるSを知ることを証明することができ、共通ユーザはそれを行うことができない。この差は、ユーザが他のドメインユーザよりも多くの特権を有する必要がある状況において好適に利用される。例えば、他のユーザは、時間制限又はコンテンツにアクセスする頻度の制限を有することができる。
【0068】
異なる環境において、証明書が例えば医療データに対するアクセス制御として用いられる場合、ユーザ自体がユーザ自身のデータに対する全体的なアクセスを有し、他のユーザが医療データに対する制限されたアクセスを有することが想定される。
【0069】
更に別の環境において、ユーザは、読出し及び書き込むアクセスを有し、他のユーザは、データの読出しアクセスのみを有する。
【0070】
これを、権限仕様をもつ規則を有し、(1)ドメインメンバーシップを証明するとき又は(2)Sの知識を証明できるときにユーザが有する種々の許可を説明することによって形式化することができる。
【0071】
第2の実施の形態の変形例において、ユーザUが他のユーザU’に対して特権を必要としないとき、使用権限証明書を、次のように簡単にすることができる。
使用権限証明書={cr_id,D}signCP
その理由は、ドメイン中の任意のユーザ(及びドメイン中のユーザのみ)がDを知ることを証明できるからである。したがって、アクセスcr_idに対する承認を証明するためにDの知識を証明すれば十分であり、もはや使用権限証明書にP,PK[S]を有する理由はない。
【0072】
第2の実施の形態の第2の変形例において、使用権限証明書を、Dをd_idに置き換えることによって簡単にすることができる。使用権限証明書は、
使用権限証明書={cr_id, d_id}signCP
又は
使用権限証明書={cr_id, P, PK[S], d_id}signCP
となる。
【0073】
ドメイン中のユーザのみが、ユーザが実際のドメインユーザであることを証明することができる。したがって、ユーザは、d_idと組み合わせて公開されるコンテンツcr_idにアクセスする権限が与えら、ドメイン証明書中の秘密以外の秘密を証明する必要はない。したがって、承認プロトコルにおいて、ステップ434をスキップすることができ、プロトコルコストを削減する。
【0074】
使用権限証明書を、
を知ることなく発行することができる。これは、使用権限証明書を異なるドメインのユーザ装置によって購買できるという利点を有する。
【0075】
上記実施の形態は、発明を制限するものではなく、当業者は、特許請求の範囲を逸脱することなく多くの他の実施の形態を設計することができる。
【0076】
用語「具える」は、特許請求の範囲に挙げた構成要素又はステップの存在を除外するものではない。構成要素は、そのような構成要素の複数の存在を除外するものではない。本発明を、複数の個別の構成要素を具えるハードウェア及び適切にプログラムされたコンピュータによって実現することができる。単一のプロセッサ又は他の(プログラム可能な)ユニットも、特許請求の範囲に挙げた複数の手段の機能を満足することができる。
【0077】
複数の手段を挙げる装置の請求項において、これら手段の幾つかを、ハードウェアの同一アイテムによって実現することができる。互いに相違する独立項に挙げた所定の手段は、これら手段の組合せを好適に用いることができないことを意味しない。
【図面の簡単な説明】
【0078】
【図1】認証プロトコルを示す。
【図2】発行プロトコルを示す。
【図3】再発行プロトコルを示す。
【図4】ドメイン共通ユーザ用の認証プロトコルを示す。
【図5】ドメインユーザ用の発行プロトコルを示す。
【図6】ドメイン証明書用の発行プロトコルを示す。
【図7】認証装置、ユーザ装置及び発行装置を有するシステムを示す。
【技術分野】
【0001】
本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護するユーザ装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する認証装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する発行装置に関する。また、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する信号に関する。
【0002】
さらに、本発明は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護するコンピュータプログラムに関する。
【背景技術】
【0003】
SPKI/SDSI(Simple Public Key Infrastructure/Simple Distributed Security infrastructure)証明書フレームワークは、Ellison, C., “SPKI/SDSI certificates”, http://world.std.com/~cme/html/spki.htmlに記載されている。このフレームワーク内において、許可証明書を、証明書に署名する承認局により許可又は権限を個人の公開鍵に与えることによって規定することができる。許可及び対象(subject)に加えて、SPKI許可証明書は、発行承認局の公開鍵も有し、証明書に対する有効性の仕様及び委任タグ(delegation tag)を有することもできる。
【0004】
許可証明書を、(例えば、ユーザ装置において)ユーザによって保持することができ、又は、証明書に対する容易なアクセスを認証装置に対して許容するために(ユーザが全ての証明書を保持する負荷を回避するために)ネットワークのいずれかの場所で利用できる。この場合、証明書に存在する全ての情報は、ネットワーク上で明らかであり、誰でも見るために利用できる。
【0005】
許可証明書に対して、発行、あり得る公衆の利用可能性及び使用によって、所定の許可との関連を他のパーティに開示することを所望しないユーザのプライバシーの問題が生じる。コンテンツにアクセスするための権限としての許可の場合、ユーザは、所定のコンテンツに関連するのを所望しない。プライバシーの問題が複数の理由に対して存在する。第1に、公開鍵(又はそのハッシュ)が、全体的にユーザ独自の識別子である。さらに、公開鍵を所有者に結びつけるのが用意である。その理由は、鍵が公開であり、ユーザを許可するためにあらゆる取引で使用されるからである。第2に、上記利用可能性は、ユーザと承認局との間の直接かつ容易にアクセスできるリンク(ネットワークのあらゆる場所で利用できる許可証明書)が存在することを意味する。第3に、所定の公開鍵、すなわち、所定の者が存在する場合、公衆鍵でネットワークを簡単にサーチすることによってその者の全ての許可証明書を観察者によって見つけるのが非常に容易になる。最後に、証明書がユーザによって個人的に保持される場合でも、証明書発行装置及び証明書認証装置は、常にユーザと承認局との間の関連を知る。その理由は、これらが証明書へのアクセスを有する(とともに必要とする)からである。
【0006】
認証装置によって証明書に対する容易なアクセスをいつでもどこでも許容しながら、証明書に対するユーザのプライバシーを確保する解決が要求される。
【0007】
欧州特許出願番号03100737.0(代理人整理番号PHNL030293)において、許可に対するユーザ権限の適切かつ安全なチェックを許容しながら、アクセス及び承認局で用いることができる取得した許可の少なくとも一人のユーザのプライバシーを保護することを意図した方法が記載されている。その方法は、任意の装置が証明書をチェックするのを許容しながら、ユーザ識別情報のユーザアイデンティティ(公開鍵)を隠す隠しデータを用いることによって、ユーザアイデンティティとコンテンツ権限との間のリンクを隠すことを提案している。この解決は、プライバシーの問題を被る。ユーザがコンテンツにアクセスすると、ユーザのアイデンティティが現れ、コンテンツにアクセスするユーザの全ての動作をユーザアイデンティティにリンクすることができる。しかしながら、ユーザがコンテンツにアクセスするプロセスにおいて、装置は常にユーザの公開鍵を知り、ユーザアイデンティティが現れる。さらに悪いことには、コンテンツにアクセスする全てのユーザの動作がユーザアイデンティティにリンクすることができ、その結果、証明書認証装置との協働によって、ユーザが追跡されることがある。また、証明書発行装置に対してプライバシーが存在しない。
【0008】
したがって、証明書認証装置や証明書発行装置のような第三者に対するプライバシーを設ける必要もある。
【発明の開示】
【0009】
本発明の目的は、証明書に対するユーザの権限を認証できるように、証明書発行装置及び証明書認証装置がユーザのユーザアイデンティティ(公衆鍵)を知るのを防止する、ユーザに対する証明書を発行及び/又は認証し、ユーザのプライバシーを保護する方法を提供することである。
【0010】
この目的は、データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法であって、
前記ユーザが、ユーザ装置によって表されるとともにユーザアイデンティティによって識別され、
前記方法が、データアクセス権限を前記ユーザアイデンティティに関連させる少なくとも一つの証明書を使用し、
前記証明書が前記ユーザアイデンティティを隠し、
前記証明書が、公に利用できる解決情報Pを具え、
隠された秘密S’が公に利用でき、
前記方法が、
− 前記ユーザ装置と認証装置との間の証明書認証プロセスと、
− 前記ユーザ装置と発行装置との間の証明書発行プロセスと、
− 前記ユーザ装置と前記発行装置との間の証明書再発行プロセスのうちの少なくとも一つを具え、
前記証明書認証プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記認証装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記認証装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記認証装置に対して証明するステップとを具え、
前記証明書発行プロセスが、
− 秘密S及び解決情報Pを発生するステップと、
− 前記秘密Sを隠された秘密S’に隠すステップと、
− 前記発行装置が、少なくとも一つの解決情報Pを具える証明書を発行するステップとを具え、
前記証明書再発行プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記発行装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記発行装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記発行装置に対して証明するステップと、
− 新たな秘密S2及び新たな解決情報P2を発生するステップと、
− 前記秘密S2を、隠された秘密S2’に隠すステップと、
− 前記発行装置が、少なくとも新たな解決情報P2を具える新たな証明書を発行するステップとを具えることを特徴とする方法によって達成される。
【0011】
ユーザアイデンティティ及び公開鍵は、証明書において明らかな形態で利用できず、認証装置が許可を認証する必要がない。許可は、許可に含まれる秘密をユーザが知ることを認証装置に証明するユーザによって認証される。
【0012】
秘密Sそれ自体は現れないので、認証装置は、許可に関連したユーザのふりをすることができず、プライバシーが保護される。
【0013】
本発明による方法の好適な実現を請求項2に記載する。この場合、隠された秘密S’は、証明書に簡単に格納される。
【0014】
本発明による方法の好適な実現を請求項3に記載する。ユーザのみが公開鍵に対するアクセスを有するので、ユーザのみが秘密Sを検索することができる。
【0015】
本発明による方法の好適な実現を請求項4に記載する。
【0016】
本発明による方法の好適な実現を請求項5に記載する。任意の情報を用いることによって、秘密Sを更に良好に隠すことができる。
【0017】
本発明による方法の好適な実現を請求項6に記載する。認証装置とユーザとの間で零知識プロトコルを用いることによって、秘密Sの知識が証明されるが、秘密それ自体は現れない。
【0018】
本発明による方法の好適な実現を請求項7に記載する。対称セッション鍵Kを確立することによって、発行プロセスがプロテクトされる。
【0019】
本発明による方法の好適な実現を請求項8に記載する。誰にも秘密Sが知られないようにするために、秘密は、好適には発行プロセスでユーザ装置それ自体によって発生する。
【0020】
本発明を、請求項9に規定したように許可証明遺書に対して好適に適用することができ、請求項10に規定したようにドメイン証明書に対して好適に適用することができる。
【0021】
欧州特許出願番号02079390.7(代理人整理番号PHNL021063)において、人に基づく許可されたドメインに対するアーキテクチャを記載する方法が提案されている。コンテンツに対するアクセスは、数ステップに基づくドメインの人のいずれかに対して付与される。(コンテンツを購買した)人Aは、例えばAのユーザ装置を用いた許可及び使用権限証明書によって装置上でコンテンツ1にアクセスすることができ、証明書は、Aをコンテンツ権限1にリンクする。(Aと同一ドメインに属する)人B,C及びDは、Aをコンテンツ権限1にリンクする使用権限証明書に基づく許可及びドメイン証明書によって装置上でコンテンツ1にアクセスすることができ、証明書は、A,B,C及びDを互いにグループにする。人が、ドメインの関係者であることを示すことを要求する動作を実行するとき、ユーザアイデンティティ(公開鍵)がドメイン証明書の一部として現れる。
【0022】
本発明によるドメイン証明書は、秘密をドメインメンバーによって検索することができる一つ以上の隠された秘密(及び証明される知識)を有する。これによって、ドメインメンバーは、ドメインのメンバーシップを匿名で証明することができる。
【0023】
本発明による方法の好適な実現を請求項11に記載する。各ドメインメンバーが秘密ドメイン鍵に対するアクセスを有するので、ドメインメンバーは、ドメイン証明書から秘密Sの検索を行うようになる。
【0024】
本発明による方法の好適な実現を請求項12に記載する。使用権限証明書は、使用権限証明書に対する権限を証明することを(他の)ドメインユーザ(共通ユーザ)に許容するために使用権限証明書をドメインにリンクする(後に説明する第2の実施の形態におけるDのような)隠された秘密を具える。
【0025】
本発明による方法の好適な実現を請求項13に記載する。互いに相違するアクセスレベルを、権限仕様を持つ規則を有するとともに秘密を証明する際にユーザに権限を与える種々の許可を説明することによって、最後からのものとすることができる。
【0026】
本発明の他の目的は、証明書を要求し又は本発明による証明書に対する権限を証明することができる、ユーザアイデンティティのプライバシーを保護するユーザ装置を提供することである。この目的は、請求項1に従って証明書を発行するように配置されたユーザ装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセス、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とするユーザ装置によって達成される。
【0027】
本発明の他の目的は、ユーザのプライバシーを保護しながら証明書に対するユーザの権限を認証する認証装置を提供することである。この目的は、請求項1に従って証明書を認証するように配置された認証装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセスに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする認証装置によって達成される。
【0028】
本発明の他の目的は、ユーザのプライバシーを保護する、本発明による証明書を発行する発行装置を提供することである。この目的は、請求項1に従って証明書を発行するように配置された発行装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする発行装置によって達成される。
【0029】
本発明の他の目的は、データに対するユーザ制御されたアクセスを可能にしながらプライバシーを保護する信号を提供することである。この目的は、請求項1にようる方法で使用されるような証明書の少なくとも一部を保持する信号によって達成される。
【0030】
本発明の他の目的は、データに対するユーザ制御されたアクセスを可能にしながらプライバシーを保護するコンピュータプログラムを提供することである。この目的は、コンピュータに実行させるためにコンピュータプログラムコード手段を有するコンピュータ読出し可能媒体を具えるコンピュータ実行可能な命令を保持するコンピュータプログラムであって、前記コンピュータプログラムコード手段が前記コンピュータにロードされるとき、
− 証明書発行プロトコルと、
− 証明書再発行プロトコルと、
− 証明書認証プロトコルのうちの少なくとも一つのうちの少なくとも一つのプロトコルサイドを実現することを特徴とするコンピュータプログラムによって達成される。
【0031】
本発明を、証明書を用いて説明しているが、本発明が証明書それ自体に限定されるものではないことを理解すべきである。同一の公に利用できる情報は、全体として又は部分的に利用でき、個別に証明することができる。
【0032】
本発明のこれら及び他の態様を、線形的な図面を参照しながら例示して説明する。
【発明を実施するための最良の形態】
【0033】
本発明の第1の実施の形態において、認可システムは、図7に示すような種々の装置を具える。例えばスマートカード又はUSBドングルとすることができるユーザ装置721を示す。証明書を発行する発行装置711、コンテンツに権限を与える証明書を認証する認証装置701、及びコンテンツを発生するコンテンツ装置(この図では認証装置に結合しているが、異なる装置とすることもできる。)を示す。これらの装置をネットワーク740を通じて相互接続することができるが、通信チャネル741及び742で示すように直接相互接続することもできる。装置701,711,721の各々は、例えば、シーケンスで説明したプロトコル中にネットワーク又は他の装置から情報を受信する受信手段706,716,726を有する。これら装置の各々は、これらプロトコル中に送信を行う送信手段と、プロトコル処理中に情報を処理する処理ユニット702,712,722とを更に有し、この処理ユニットは、プロセッサ703,713,723と、鍵情報を格納することもできるメモリ704,714,724と、ブロック705,715,725で示す暗号化/解読機能とを具える。
【0034】
認証装置及びユーザ装置がコンプライアント(compliant)であると仮定する。これは、所定の規格に従うとともに所定の動作規則に忠実であることを意味する。装置に対して、これは、例えば、装置がデジタルインタフェース上でコンテンツを違法に出力しないことを意味する。ユーザ装置に対して、これは、ユーザ装置が秘密を保持し、予測される方法で問い合わせに対する回答を行うとともに要求を行うことを意味する。
【0035】
認可証明書は、一つのコンテンツにアクセスする個人の権限であり、コンテンツ権限識別子cr_idによって表される。簡単なフォーマットにおいて、それを{cr_id,PK}signCPとして規定することができ、この場合、PKを、コンテンツcr_idにアクセスする権限を付与する個人の公開鍵とし、signCPを、例えば、証明書上における発行装置の署名とする。ユーザが、この証明書を有するコンテンツにアクセスすることを所望するとき、ユーザは、そのことを、コンテンツに直接又は間接にアクセスすることができる認証装置に示す必要がある。ユーザの認可を実行する必要があり、それは、認証装置とユーザ装置(例えば、パーソナルスマートカード)との間のプロトコルによって遂行されることができ、各ユーザによって処理され、各ユーザに対して独自の秘密/公開鍵を有する。したがって、ユーザの公開鍵は、システムの当該ユーザに対する識別子となる。
【0036】
本発明の第1の実施の形態において、ユーザの公開鍵が明らかでない認可証明書の新たなフォーマットが用いられる。さらに、認証装置がユーザ装置の公開鍵を知るのを防止するために、証明書の認証が認証装置とユーザ装置との間の零知識プロトコルによって実行されるように新たなフォーマットを設定する。これは、認証プロトコル後にユーザ装置が(当該ユーザ装置のみが知ることができる)ある値を知ることを識別装置に知らされることを意味するが、識別装置にはその値について何も明らかにされない。
【0037】
(Schneier, B., Applied Cryptography: protocols, algorithms and source code in C, 2nd edition, John Wiley & Sons, 1996に記載されているような)Fiat-Shamirの認証プロトコルを、秘密値S∈Zn*の知識を認証装置に示すのに用いることができ、その平方値P=S2は、識別装置に対する解決情報として利用できる。この問題は、乗算群Zn*の平方根の演算が難しい問題であることに基づく。通信コストが問題となるアプリケーションにおいて、例えば、ユーザ装置がスマートカードを用いて実現される場合、(Schnieierの同一文献でも記載されている)Guillou-Quisquater認証プロトコルが更に適切である。その理由は、ユーザ装置と認証装置との間の交換を最小に維持できるからである。
【0038】
本発明による認可照明賞のフォーマットは、例えば、以下の通りである。
使用権限証明書={cr_id,P,PK[s]}signCP
ここで、Sを、Zn*で選択した秘密値とし、値P=S2とし、PK[S]を、値Sの(ユーザUと称する)証明書の所有者の公開鍵PKを有する暗号化とする。この値は、ユーザUの各使用権限証明書に対して(すなわち、各コンテンツcr_idに対して)Zn*で選択した互いに相違する任意の値であり、その結果、値P=S2も、証明書ごとに独自である。しかしながら、所定のユーザの全ての証明書に対して同一であるユーザアイデンティティは、明らかでない。ユーザのみが、ユーザアイデンティティに対して用いられる公衆鍵に対応する秘密鍵に対するアクセスを有するので、ユーザのみが、認可証明書からSを検索することができる。好適には、証明書は、(コンテンツプロバイダとすることができる)発行装置のような信頼されたパーティによって署名される。
【0039】
認可とユーザアイデンティティとの間のリンクが証明書において明らかでないので、単一のユーザの互いに相違する認可証明書をリンクすることができない。ユーザが秘密値Sを知っていることを認証装置に知らせることができるとしても、ユーザは、その値を知るがユーザの公開鍵PKのアイデンティティを知ることはなく、ユーザのプライバシーを保護する。
【0040】
ユーザ装置のメモリにS値を保持する必要がない。ユーザ認可のステップは、ユーザ装置が値Sを検索するときに内在的に生じ、ユーザ公開鍵PKに対応する秘密鍵SKを知るユーザのみが、値Sを取得するためにPK[S]を解読することができる。
【0041】
装置は、権限が与えられたユーザに対してのみコンテンツにアクセスを付与する使用権限証明書をチェックすることができる必要がある。これを、図1に示す認証プロトコルによって行うことができる。タイムライン120に沿って示したユーザの秘密鍵を有するユーザ装置110と認可証明書を認証する認証装置111との間のプロトコルは、以下のステップからなる。
− ステップ131:ユーザ装置は、認証装置に対してコンテンツ識別子cr_idを送信し、cr_idに対して問い合わせを行うために付加的にロケータ情報を送信する。付加的なロケータを、認証装置が正確な使用権限証明書を見つけるのを助けるために送信することができる。
− 認証装置は、正確な使用権限証明書を検索する。
− ステップ132:認証装置は、値PK[S]をユーザ装置に送信する。ユーザ装置は、(認可が内在的に生じる)秘密鍵を用いて値Sを検索する。
− ステップ133:ユーザ装置は、ユーザ装置がSを知っていることを証明するために認証装置によって零知識プロトコルに関与する。
【0042】
零知識プロトコル中、複数のラウンドが存在し、各ラウンドにおいて、認証された装置の信頼性は増大する。ユーザ装置がPの平方根を知ることを認証装置に十分知らされる場合、認証装置はそれに従って動作する。認証装置がコンテンツ装置として動作する場合、認証装置は、ユーザUに対してコンテンツへのアクセスを提供する。他の変形において、認証装置は、コンテンツ装置として動作する他の装置に結果を送信することができる。
【0043】
図2は、ユーザ装置210と発行装置211との間のタイムライン220に沿った発行プロトコルを示し、それは、証明書発行装置に対してもユーザのプライバシーを提供する。この機構は、ユーザが匿名で証明書を取得することを許容し、それにもかかわらず、発行装置は、ユーザによって署名されるユーザと認可との間の関連(association)を適法に使用することができる。購買によって認可が取得される場合、証明書の匿名の購買に対して機構を提供する必要がある。使用権限証明書を、例えば、欧州特許出願番号03100727.0(代理人整理番号PHNL030293)に記載されたプリペイド形態に基づいて匿名で発行する必要があり、この場合、ユーザは、秘密セキュリティ識別子(secret security identifier: SSI)を有するトークン(token)を発行装置から(匿名で)購買する。このトークンは一度しか用いることができず、したがって、識別子SSIは、使用後に無効にする必要がある。ユーザ装置があるコンテンツに対する権限を取得することを所望するとき、ユーザは、匿名の購買に対する要求を用いて匿名で発行装置にコンタクトする。プロトコルは、以下のステップからなる。
− ステップ231:通信を行うパーティが購買取引を通じて同一であることを保証するようユーザ装置と発行装置との間で交換された全ての情報を暗号化するために、好適には対称なセッション鍵Kを、ユーザ装置と発行装置との間で確立する。鍵は、例えば、ユーザ装置から発行装置までの送信によって確立され、この場合、鍵は、ユーザ装置の公開鍵による暗号化によって送信中にプロテクトされる。
− ステップ232:ユーザ装置は、コンテンツ権限の要求、例えば、cr_idの値及び暗号化されたSSI値を送信し、これら両方の値は、好適にはセッション鍵Kによって暗号化される。
− 発行装置は、SSIの有効性を認証し、トークン識別子を無効にする。
− ユーザ装置のみがSを知ることができるようにするために、値S∈Zn*を、好適にはユーザ装置によって発生する。この場合、ユーザ装置は、値P=S2及びPK[S]を計算することができる。
− ステップ233:ユーザ装置は、値P及びPK[S]を送信し、これら値P及びPK[S]は、好適には今回の通信と以前の通信とをリンクするためにcr_idに連結され、かつ、好適には安全な送信のために鍵Kによって暗号化される。
− 発行装置は、既に規定したようにしてユーザ権限証明書を作成し及び署名する。その後、発行装置は、ネットワークで利用できる使用権限証明書を作成することができる。
【0044】
本実施の形態の他の利点は、所定のユーザの公衆鍵を知る人は誰でも所定のユーザに対する使用権限証明書を例えばプレゼントとして購買できるということである。
【0045】
証明書の再発行を、証明書が制限された寿命を有するときや、cr_idの適切な値を変更する必要があるときのような所定の場合に有用となりうる。その場合、証明書を再発行すべきである。図3は、ユーザ装置310と発行装置311との間のそのような再発行プロトコル320を示す。匿名の再発行プロセスは、通常、使用権限証明書を所有するユーザによって開始され、ユーザは、再発行の要求を用いて匿名で発行装置にコンタクトする。
− ステップ331:セッション鍵は、例えば、暗号化されたセッション鍵を発行装置に送信するユーザ装置によってステップ331で確立される。
− ステップ332:ステップ332において、ユーザ装置は、古い使用権限証明書又は古い使用権限証明書に対するリファレンスcr_idを送信する。
− 発行装置は、古い使用権限証明書に対するP及びPK[S]の値を受信し、これらの値を検索することができる。
− ステップ333:ユーザ装置は、(ユーザがコンテンツを要求するときの装置のように)証明書の値Sの知識を証明することによって使用権限証明書の合法な所有者であることを発行装置に対して証明する。
− ユーザ装置は、新たな使用権限証明書に対する新たな値P及びPK[S]を発生する。
− ステップ334:発行装置は、新たに発生した値P及びPK[S]を受信する。
− 発行装置は、ネットワークで利用できる再発行された使用権限証明書を作成し及び署名する。
【0046】
ユーザがコンテンツにアクセスする度に、ユーザは、認証装置に対して使用権限証明書を示す。これは、ユーザを追跡するために認証装置と協働するのを許容する。その理由は、同一の使用権限証明書(すなわち、同一コンテンツ)を伴う取引は全て値cr_id,P及びPK[S]を通じてリンク可能であるからである。(事故又はアタッカによって)公衆鍵が単一の取引中に現れる場合、同一の使用権限証明書を伴う他の全ての取引が当該ユーザにリンクすることができる。しかしながら、ユーザのアイデンティティが現れない間、取引を互いにリンクすることができるが、ユーザにリンクすることができない。
【0047】
リンクの可能性を、P及びPK[S]の新たな値による再発行によって減少することができる。十分なプライバシーのために、これを単一の使用の各々の後に行うべきである。再発行が発行装置又はユーザ装置に非常に大きな負荷を形成する場合には、そのような再発行を禁止することができる。さらに、ユーザ装置は、コンテンツアクセス要求前に発行装置にコンタクトできないようにすることができる。したがって、リンク可能性が同一コンテンツに対する要求中にしか生じない使用権限証明書の場合に特に、プライバシーを脅かすものを、頻繁な再発行の負荷に対して重きを置く必要がある。廉価な変形例は、時折再発行を実行すること又はユーザの要求においてのみ再発行を実行することである。
【0048】
所定のユーザ権限証明書の再発行は、例えば認証プロトコル中にユーザの公衆鍵が現れる場合に特に有用である。この場合、再発行は、対応するコンテンツに対するアクセスの将来の取引においてユーザが追跡されるのを防止する。
【0049】
第1の実施の形態の第1の変形例において、本発明は、使用権限証明書のセキュリティを増大し、これによって、値Sの機密性を増大する。この値Sを、秘密に保持する必要があり、ユーザに対してのみ利用できる状態にする。しかしながら、二つの阿智亜P=S2及びPK[S]が証明書中で明らかであるので、これら二つの値の知識から値Sを取得するアタッカが存在する可能性がある。使用権限証明書に対する以下のフォーマットは、更なるセキュリティを提供する。
使用権限証明書={cr_id,P,PK[S/./RAN]}signCP
ここで、RANを、各値S(したがって、各cr_id)に対するZn*における他の任意かつ秘密に選択した値とし、記号//は、連結を表す。値RANの導入によって、証明書の値P及びPK[S//RAN]は、もはや独自に関連したものでなくなり、アタッカがSを見つけるのが更に困難になる。
【0050】
第1の実施の形態の第2の変形例において、ユーザの使用権限証明書を探索する簡単な方法を提供する。ユーザの公開鍵がもはや証明書中で明らかでないので、ネットワーク中でそのような証明書を見つけることは、証明書の他のフィールド、インデックスIによって非常に容易になる。新たなフォーマットは、以下の通りである。
使用権限証明={cr_id,P,PK[S],I}signCP
ここで、インデックスI=SKI[cr_id]、すなわち、秘密対象鍵SKIによるcr_idの暗号化となる。この鍵は、ユーザ装置に格納され、この目的のためにのみ用いられる。ここで、用いられる暗号化形態は、既知のプレーンテキストアタッカに対する耐性を有し、アタッカがcr_id及びSKI[cr_id]から鍵SKIを容易に見つけることができないと仮定する。そのようなアタッカが存在する可能性がある場合、Iに対する向上した二つの変形は、次の通りである。
− インデックスを、I2=(SKI[cr_id])2として計算することができる。この平方根を計算するのは困難である(SKI[cr_id])∈Zn*となるように値cr_id及びSKIを設定し、これを、cr_id∈Zn*及びSKI∈Zn*を選択することによって達成することができ、又は
− インデックスを、I=SKI’[SKI[cr_id]]として計算することができ、この場合、SKI’=H(SKI)としてハッシュ関数Hを用いることによって、鍵SKI’を、格納された秘密鍵SKIから取り出すことができる。
【0051】
いずれの場合も、ユーザはIを計算することができ、アタッカは、もはやプレーンテキストcr_id及び対応する暗号テキストSKI[cr_id]を利用することができない。
【0052】
本発明による第2の実施の形態は、いわゆる許可されたドメインアーキテクチャを利用する。欧州特許出願番号02079390.7(代理人整理番号PHNL021063)は、個人に基づく許可されたドメインアーキテクチャに関連して使用権限証明書を記載し、それは、ドメインに対する証明書のリファレンスを有する。
【0053】
本発明によれば、ドメイン証明書は、メンバーの公開鍵を隠すように規定される。これを達成するために、ドメイン証明書に対する新たなフォーマットは、
となる。ここで、d_idをドメイン識別子とし、
を
として計算し、SKDを、ドメインメンバーのみによって共有されるとともにユーザ装置に格納される秘密の対称ドメイン鍵とし、
を、ドメイン証明書が発行されるときに発生する値とし、
を、全てのドメインメンバーの各公開鍵による
の暗号化とする。ドメイン証明書を、好適にはドメイン権限DCによって署名する。
【0054】
上記フォーマットによって、ドメインメンバーであるユーザは、零知識プロトコルによってユーザがドメインd_idに属することを認証装置に対して証明することができ、この場合、ユーザは、秘密値
の知識を証明する。この値を、ドメインメンバーによってのみ計算することができ、ドメインメンバーは、(項
の一つを解読することによって)
を取得することができ、SKDによってそれを暗号化する。値
は、ドメイン証明書の発行に応じてドメイン証明権限によって発生し及び用いられる秘密値である。その知識によって、誰でも、所定の公衆鍵がドメインd_idに属するか否かチェックすることができる。
【0055】
ドメイン識別子を明らかにすることなくドメインにリンクする使用権限証明書のフォーマットは、例えば、以下のように規定される。
使用権限証明書={cr_id,P,PK[S],D}signCP
ここで、ドメイン項は、
及びZn*の数の記号×表示の乗算として計算される(値cr_idもZn*で選択される)。
【0056】
値Dは、他の任意のドメインユーザ(いわゆる共通ユーザ)U’がコンテンツcr_idにアクセスする権限を有することを認証装置に対して証明することをかかるドメインユーザに対して許容するために用いられる。ドメインユーザは、秘密値
の知識を証明する零知識プロトコルによってそのように行うことができる。
【0057】
プロトコルにおいて、U’が値
を得るためにドメイン証明書が必要とされる。その理由は、それがドメインユーザのユーザ装置のメモリに保持されないからである。また、
にcr_idを乗算することによって、互いに相違する使用権限証明書に対して互いに相違する値Dとなる。
によって、この秘密値を、ドメインメンバーのみによって計算することができる。装置は、コンテントに対する権限が与えられたユーザに対してのみアクセスを付与するために証明書をチェックできるようにする必要がある。これらは、ドメイン中の(公開鍵がPKである)ユーザU及び(公開鍵がPK’である)他の任意の共通ユーザU’である。ユーザUの使用権限証明書の認証装置によるチェック用の認証プロトコルは、第1の実施の径値亜で用いられるプロトコルに等しい。共通ユーザU’に対して、認証プロトコルを図4に線形的に示す。ここで、ユーザ装置410は共通ユーザU’に関連する。認証装置411による認証プロトコルは、次の通りである。
【0058】
−ステップ431:ユーザ装置は、cr_id及びユーザのドメイン識別子d_idを認証装置に送信することによってコンテンツcr_idに対するアクセスを要求する。認証装置が正確な使用権限証明書を見つけるためにインデックスSKD[cr_id]のようなロケータも付加的に送信される。好適には、効率の理由からSKDはSKIに等しい。
− 認証装置は、ドメイン証明書及び正確な使用権限小見栄所を検索する。
− ステップ432:認証装置は、値
をユーザ装置に送信する。
− ユーザ装置は、
を解読するために秘密鍵SK’を用いることによって値
を取得することができる。その後、ユーザ装置は、値
及び
を計算する。
− ステップ433:ユーザ装置
は、
の知識を証明するために認証装置によって零知識プロトコルに関与する。
− ステップ434:ユーザ装置は、
の知識を証明するために認証装置によって零知識プロトコルに関与する。
− ユーザ装置が(ドメイン証明書からの)
の平方根及び(使用権限証明書からの)Dの平方根の両方を知っていることが認証装置に十分に知らされる場合、認証装置は、コンテンツそれ自体を送信することによってコンテンツに対するアクセスをユーザU’に与え、認証処置がコンテンツプロバイダとして動作する場合、例えば、プロトコル結果がコンテンツプロバイダに提供される。ドメイン証明書の
を暗号化するために公開鍵が用いられるとともに秘密ドメイン鍵SKDを有する全てのコンプライアントユーザ装置は、
を取得するとともに
及び
を計算することができる。
の知識を証明することによって、ユーザU’がドメインd_idに属することを証明し、
の知識を証明することによって、コンテンツcr_idに対する使用権限証明書をそのドメインにリンクする。
【0059】
図5は、発行プロトコル520の実現を示し、それは、各ドメインメンバーによる使用に対して使用権限証明書を発行する間にドメインのユーザに対する証明書発行装置に対してプライバシーを保護する。使用権限証明書を、例えば、欧州特許出願番号03100737.0(代理人整理番号PHNL030293)に記載されたプリペイド形態に基づいて匿名で発行することができ、この場合、ユーザ装置510は、秘密セキュリティ識別子(SSI)を有するトークンを発行装置511から(匿名で)購買する。発行プロトコルは、次の通りである。
− ユーザ装置は、あるコンテンツに対する権限を取得し、匿名の購買の要求によって発行装置に匿名でコンタクトする。
− ステップ531:ユーザ装置と発行装置との間で交換される全ての情報を暗号化して通信パーティが購買取引を通じて同一となるように、対称セッション鍵Kを、好適には、ユーザ装置と発行装置との間で確立する。
− ステップ532:ステップ532において、ユーザ装置は、コンテンツ権限、例えば、cr_idの値及びSSI値に対する要求を送信し、両方の値は、好適にはセッション鍵Kによって暗号化される。
− ステップ533:ユーザ装置は、値d_idを発行装置に送信し、この値を、好適にはセッション鍵Kによって暗号化する。
− 発行装置は、SSIの有効性を認証し、その識別子を無効にする。
− ドメイン識別子d_idに基づいて、発行装置は、例えば、公開ディレクトリ(public directory)から対応するドメイン証明書をフェッチする。
− ステップ534:発行装置は、値
をドメイン証明書からユーザ装置に(付加的に)送信する。
− 値S∈Zn*を、好適にはユーザのユーザ装置によって発生する。値P=S2及びPK[S]は、値S∈Zn*を発生した後にユーザのユーザ装置によって計算される。
を計算するために、ユーザは値
を必要とし、それを、付加的に受信した値
から取得することができるが、例えば異なるソースから受信することもできる。
− ステップ535:ユーザは、値P,PK[S]及びDを発行装置に送信する。これらの値を、好適にはcr_idに連結し、好適にはセッション鍵Kによって暗号化する。
− 発行装置は、使用権限証明書を作成し及び署名し、それをネットワークで利用できるようにする。
【0060】
ユーザが任意のドメインに属さない場合、値
を取得することができるドメイン証明書が存在せず、この場合、発行装置又はユーザ装置は、Dを簡単にそれ自体によって発生した任意の値に設定することができる。
【0061】
本実施の形態の他の利点は、所定のユーザの公開鍵を知るドメイン内の任意の者が当該ユーザに対する使用権限証明書を購買できることである。これによって、異なるユーザに対して、コンテンツを例えばプレゼントとして購買することができる。
【0062】
ドメイン証明書を発行するプロトコルを、図6に線形的に示す。ドメイン証明書は、ユーザ装置610に対して発行され、証明書内で互いに分類されるユーザの識別子及び公開鍵PK,PK’,...,を知るドメイン承認局611によってドメインを表す。この権限は、秘密値
及びドメイン識別子d_idも発生する。一方では、ドメインメンバーは、(既に存在しない場合には)対称ドメイン鍵SKDを秘密に確立し、それは、ユーザ装置に格納される。
が
及びSKD∈Zn*を選択することによって達成することができるように、
及びSKDを設定する。
【0063】
ドメイン証明書発行プロトコル620は、安全認可チャネル(Secure Authenticated Channel: SAC)を通じて行われる全ての通信によって承認局とドメインユーザのユーザ装置との間で確立される。
− ステップ631:ドメイン承認局は、ユーザ装置の認可に成功する。
− ドメイン承認局は、任意の値
及びドメイン識別子d_idを発生する。
− ステップ632:ドメイン承認局は、ユーザ装置に
及びd_idを送信する。
− ユーザ装置は、
を計算する。
− ステップ633:ユーザ装置は、
をドメイン承認局に送信する。
− 値
を承認局それ自体によって計算することができ、これらを、
及びd_idとともに、署名すべきドメイン証明書に挿入することができる。
【0064】
ドメイン証明書の発行から、承認局(authority)は、秘密値
と、ドメインのユーザのドメイン識別子d_id(及び
)と公開鍵との間の関連とを知る。しかしながら、承認局は、ドメインメンバーによってしか計算することができない値
を知りえない。その理由は、ドメイン証明書が偽のドメインメンバーによって真似されないようにするために
が
と簡単に設定されないからである。
【0065】
共通ユーザU’が二つの取引で同一のコンテンツにアクセスするか異なるコンテンツにアクセスするかに関係なく、共通ユーザが常に同一ドメインd_idにリンクするとしても、共通ユーザは常にドメイン内で匿名である。ドメインメンバーの公開鍵がドメイン証明書内で明らかでないことも匿名性を増強する。このことによって、ユーザUは、コンテンツをドメインメンバーを通じてアクセスすることによって、取引のリンク可能性を防止するとともにドメイン内の匿名性を得る。ドメイン内の匿名は、ドメインが非常に小さくない場合に特に有利である。
【0066】
第1の実施の形態で説明した証明書の再発行も、第2の実施の形態のユーザの取引のリンク可能性を回避する。
【0067】
ユーザUは、ドメイン内の共通ユーザU’よりも優れた利点をユーザに与えるSを知ることを証明することができ、共通ユーザはそれを行うことができない。この差は、ユーザが他のドメインユーザよりも多くの特権を有する必要がある状況において好適に利用される。例えば、他のユーザは、時間制限又はコンテンツにアクセスする頻度の制限を有することができる。
【0068】
異なる環境において、証明書が例えば医療データに対するアクセス制御として用いられる場合、ユーザ自体がユーザ自身のデータに対する全体的なアクセスを有し、他のユーザが医療データに対する制限されたアクセスを有することが想定される。
【0069】
更に別の環境において、ユーザは、読出し及び書き込むアクセスを有し、他のユーザは、データの読出しアクセスのみを有する。
【0070】
これを、権限仕様をもつ規則を有し、(1)ドメインメンバーシップを証明するとき又は(2)Sの知識を証明できるときにユーザが有する種々の許可を説明することによって形式化することができる。
【0071】
第2の実施の形態の変形例において、ユーザUが他のユーザU’に対して特権を必要としないとき、使用権限証明書を、次のように簡単にすることができる。
使用権限証明書={cr_id,D}signCP
その理由は、ドメイン中の任意のユーザ(及びドメイン中のユーザのみ)がDを知ることを証明できるからである。したがって、アクセスcr_idに対する承認を証明するためにDの知識を証明すれば十分であり、もはや使用権限証明書にP,PK[S]を有する理由はない。
【0072】
第2の実施の形態の第2の変形例において、使用権限証明書を、Dをd_idに置き換えることによって簡単にすることができる。使用権限証明書は、
使用権限証明書={cr_id, d_id}signCP
又は
使用権限証明書={cr_id, P, PK[S], d_id}signCP
となる。
【0073】
ドメイン中のユーザのみが、ユーザが実際のドメインユーザであることを証明することができる。したがって、ユーザは、d_idと組み合わせて公開されるコンテンツcr_idにアクセスする権限が与えら、ドメイン証明書中の秘密以外の秘密を証明する必要はない。したがって、承認プロトコルにおいて、ステップ434をスキップすることができ、プロトコルコストを削減する。
【0074】
使用権限証明書を、
を知ることなく発行することができる。これは、使用権限証明書を異なるドメインのユーザ装置によって購買できるという利点を有する。
【0075】
上記実施の形態は、発明を制限するものではなく、当業者は、特許請求の範囲を逸脱することなく多くの他の実施の形態を設計することができる。
【0076】
用語「具える」は、特許請求の範囲に挙げた構成要素又はステップの存在を除外するものではない。構成要素は、そのような構成要素の複数の存在を除外するものではない。本発明を、複数の個別の構成要素を具えるハードウェア及び適切にプログラムされたコンピュータによって実現することができる。単一のプロセッサ又は他の(プログラム可能な)ユニットも、特許請求の範囲に挙げた複数の手段の機能を満足することができる。
【0077】
複数の手段を挙げる装置の請求項において、これら手段の幾つかを、ハードウェアの同一アイテムによって実現することができる。互いに相違する独立項に挙げた所定の手段は、これら手段の組合せを好適に用いることができないことを意味しない。
【図面の簡単な説明】
【0078】
【図1】認証プロトコルを示す。
【図2】発行プロトコルを示す。
【図3】再発行プロトコルを示す。
【図4】ドメイン共通ユーザ用の認証プロトコルを示す。
【図5】ドメインユーザ用の発行プロトコルを示す。
【図6】ドメイン証明書用の発行プロトコルを示す。
【図7】認証装置、ユーザ装置及び発行装置を有するシステムを示す。
【特許請求の範囲】
【請求項1】
データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法であって、
前記ユーザが、ユーザ装置によって表されるとともにユーザアイデンティティによって識別され、
前記方法が、データアクセス権限を前記ユーザアイデンティティに関連させる少なくとも一つの証明書を使用し、
前記証明書が前記ユーザアイデンティティを隠し、
前記証明書が、公に利用できる解決情報Pを具え、
隠された秘密S’が公に利用でき、
前記方法が、
− 前記ユーザ装置と認証装置との間の証明書認証プロセスと、
− 前記ユーザ装置と発行装置との間の証明書発行プロセスと、
− 前記ユーザ装置と前記発行装置との間の証明書再発行プロセスのうちの少なくとも一つを具え、
前記証明書認証プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記認証装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記認証装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記認証装置に対して証明するステップとを具え、
前記証明書発行プロセスが、
− 秘密S及び解決情報Pを発生するステップと、
− 前記秘密Sを隠された秘密S’に隠すステップと、
− 前記発行装置が、少なくとも一つの解決情報Pを具える証明書を発行するステップとを具え、
前記証明書再発行プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記発行装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記発行装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記発行装置に対して証明するステップと、
− 新たな秘密S2及び新たな解決情報P2を発生するステップと、
− 前記秘密S2を、隠された秘密S2’に隠すステップと、
− 前記発行装置が、少なくとも新たな解決情報P2を具える新たな証明書を発行するステップとを具えることを特徴とする方法。
【請求項2】
前記証明書が、公に利用できる隠された秘密S’を具えることを特徴とする請求項1記載の方法。
【請求項3】
前記秘密Sを、前記隠された秘密S’を発生するためにユーザの公開鍵によって暗号化することを特徴とする請求項2記載の方法。
【請求項4】
前記解決情報P及び秘密SをZn*のメンバーとし、前記解決情報PをSの2乗とすることを請求項1記載の方法。
【請求項5】
前記隠された情報S’が任意の情報RANを具えることを特徴とする請求項1記載の方法。
【請求項6】
前記認証装置が、前記ユーザ装置が前記秘密Sの知識を有することを、零知識プロトコルを用いて認証することを特徴とする請求項1記載の方法。
【請求項7】
前記発行プロセス中の通信を、対称鍵暗号化を用いてプロテクトすることを特徴とする請求項1記載の方法。
【請求項8】
前記発行プロセスにおいて、前記秘密S及び前記解決情報Pを前記ユーザ装置によって発生することを特徴とする請求項1記載の方法。
【請求項9】
前記証明書を許可証明書とすることを特徴とする請求項1記載の方法。
【請求項10】
前記証明書をドメイン証明書とすることを特徴とする請求項1記載の方法。
【請求項11】
前記ドメイン証明書の隠された秘密S’が、秘密ドメイン鍵によって暗号化された秘密Sを具えることを特徴とする請求項10記載の方法。
【請求項12】
前記隠されたS’が、cr_idを乗算した秘密Sを具えることを特徴とする請求項9記載の方法。
【請求項13】
前記証明書が、ユーザ装置による知識の証明によって互いに相違するアクセスレベルを与える二つの秘密を具えることを特徴とする請求項1記載の方法。
【請求項14】
請求項1に従って証明書を発行するように配置されたユーザ装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセス、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とするユーザ装置。
【請求項15】
請求項1に従って証明書を認証するように配置された認証装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセスに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする認証装置。
【請求項16】
請求項1に従って証明書を発行するように配置された発行装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする発行装置。
【請求項17】
請求項1による方法で用いられる証明書の少なくとも一部を保持する信号。
【請求項18】
コンピュータに実行させるためにコンピュータプログラムコード手段を有するコンピュータ読出し可能媒体を具えるコンピュータ実行可能な命令を保持するコンピュータプログラムであって、前記コンピュータプログラムコード手段が前記コンピュータにロードされるとき、
− 証明書発行プロトコルと、
− 証明書再発行プロトコルと、
− 証明書認証プロトコルのうちの少なくとも一つのうちの少なくとも一つのプロトコルサイドを実現することを特徴とするコンピュータプログラム。
【請求項1】
データに対するユーザ制御されたアクセスを可能にする間にユーザのプライバシーを保護する方法であって、
前記ユーザが、ユーザ装置によって表されるとともにユーザアイデンティティによって識別され、
前記方法が、データアクセス権限を前記ユーザアイデンティティに関連させる少なくとも一つの証明書を使用し、
前記証明書が前記ユーザアイデンティティを隠し、
前記証明書が、公に利用できる解決情報Pを具え、
隠された秘密S’が公に利用でき、
前記方法が、
− 前記ユーザ装置と認証装置との間の証明書認証プロセスと、
− 前記ユーザ装置と発行装置との間の証明書発行プロセスと、
− 前記ユーザ装置と前記発行装置との間の証明書再発行プロセスのうちの少なくとも一つを具え、
前記証明書認証プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記認証装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記認証装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記認証装置に対して証明するステップとを具え、
前記証明書発行プロセスが、
− 秘密S及び解決情報Pを発生するステップと、
− 前記秘密Sを隠された秘密S’に隠すステップと、
− 前記発行装置が、少なくとも一つの解決情報Pを具える証明書を発行するステップとを具え、
前記証明書再発行プロセスが、
− 前記ユーザ装置が、前記証明書に対応する前記隠された秘密S’を取得するステップと、
− 前記ユーザ装置が、前記隠された秘密S’から秘密Sを検索するステップと、
− 前記発行装置が、前記証明書から前記解決情報Pを取得するステップと、
− 前記ユーザ装置が、前記発行装置が前記秘密S又は前記ユーザアイデンティティを知ることなく前記秘密Sを知っていることを前記発行装置に対して証明するステップと、
− 新たな秘密S2及び新たな解決情報P2を発生するステップと、
− 前記秘密S2を、隠された秘密S2’に隠すステップと、
− 前記発行装置が、少なくとも新たな解決情報P2を具える新たな証明書を発行するステップとを具えることを特徴とする方法。
【請求項2】
前記証明書が、公に利用できる隠された秘密S’を具えることを特徴とする請求項1記載の方法。
【請求項3】
前記秘密Sを、前記隠された秘密S’を発生するためにユーザの公開鍵によって暗号化することを特徴とする請求項2記載の方法。
【請求項4】
前記解決情報P及び秘密SをZn*のメンバーとし、前記解決情報PをSの2乗とすることを請求項1記載の方法。
【請求項5】
前記隠された情報S’が任意の情報RANを具えることを特徴とする請求項1記載の方法。
【請求項6】
前記認証装置が、前記ユーザ装置が前記秘密Sの知識を有することを、零知識プロトコルを用いて認証することを特徴とする請求項1記載の方法。
【請求項7】
前記発行プロセス中の通信を、対称鍵暗号化を用いてプロテクトすることを特徴とする請求項1記載の方法。
【請求項8】
前記発行プロセスにおいて、前記秘密S及び前記解決情報Pを前記ユーザ装置によって発生することを特徴とする請求項1記載の方法。
【請求項9】
前記証明書を許可証明書とすることを特徴とする請求項1記載の方法。
【請求項10】
前記証明書をドメイン証明書とすることを特徴とする請求項1記載の方法。
【請求項11】
前記ドメイン証明書の隠された秘密S’が、秘密ドメイン鍵によって暗号化された秘密Sを具えることを特徴とする請求項10記載の方法。
【請求項12】
前記隠されたS’が、cr_idを乗算した秘密Sを具えることを特徴とする請求項9記載の方法。
【請求項13】
前記証明書が、ユーザ装置による知識の証明によって互いに相違するアクセスレベルを与える二つの秘密を具えることを特徴とする請求項1記載の方法。
【請求項14】
請求項1に従って証明書を発行するように配置されたユーザ装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセス、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とするユーザ装置。
【請求項15】
請求項1に従って証明書を認証するように配置された認証装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書認証プロセスに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする認証装置。
【請求項16】
請求項1に従って証明書を発行するように配置された発行装置であって、
− プロセス情報を受信する受信手段と、
− 処理手段、暗号化/解読手段及び記憶手段を有し、前記証明書発行プロセス及び前記証明書再発行プロセスのうちの少なくとも一つに従事する演算手段と、
前記プロセス情報を送信する送信手段とを具えることを特徴とする発行装置。
【請求項17】
請求項1による方法で用いられる証明書の少なくとも一部を保持する信号。
【請求項18】
コンピュータに実行させるためにコンピュータプログラムコード手段を有するコンピュータ読出し可能媒体を具えるコンピュータ実行可能な命令を保持するコンピュータプログラムであって、前記コンピュータプログラムコード手段が前記コンピュータにロードされるとき、
− 証明書発行プロトコルと、
− 証明書再発行プロトコルと、
− 証明書認証プロトコルのうちの少なくとも一つのうちの少なくとも一つのプロトコルサイドを実現することを特徴とするコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2007−517303(P2007−517303A)
【公表日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願番号】特願2006−546434(P2006−546434)
【出願日】平成16年12月13日(2004.12.13)
【国際出願番号】PCT/IB2004/052793
【国際公開番号】WO2005/066735
【国際公開日】平成17年7月21日(2005.7.21)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願日】平成16年12月13日(2004.12.13)
【国際出願番号】PCT/IB2004/052793
【国際公開番号】WO2005/066735
【国際公開日】平成17年7月21日(2005.7.21)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]