Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6267658B2 - 署名生成装置、署名システム、署名生成方法、およびプログラム - Google Patents
[go: Go Back, main page]

JP6267658B2 - 署名生成装置、署名システム、署名生成方法、およびプログラム - Google Patents

署名生成装置、署名システム、署名生成方法、およびプログラム Download PDF

Info

Publication number
JP6267658B2
JP6267658B2 JP2015003403A JP2015003403A JP6267658B2 JP 6267658 B2 JP6267658 B2 JP 6267658B2 JP 2015003403 A JP2015003403 A JP 2015003403A JP 2015003403 A JP2015003403 A JP 2015003403A JP 6267658 B2 JP6267658 B2 JP 6267658B2
Authority
JP
Japan
Prior art keywords
information
signature
line
key
registration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015003403A
Other languages
English (en)
Other versions
JP2016129302A (ja
Inventor
恆和 齋藤
恆和 齋藤
彰 永井
彰 永井
鉄太郎 小林
鉄太郎 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015003403A priority Critical patent/JP6267658B2/ja
Publication of JP2016129302A publication Critical patent/JP2016129302A/ja
Application granted granted Critical
Publication of JP6267658B2 publication Critical patent/JP6267658B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報セキュリティ応用技術に関し、特に代理署名技術に関する。
電子署名方式の一つに代理署名方式がある(例えば、非特許文献1参照)。一般的な代理署名方式では、署名生成を代理する署名生成装置が秘密鍵等の署名鍵を保持する。署名生成を委託する端末装置(クライアント装置)は、平文と認証情報(証明書、ID、パスワード等)を署名生成装置に送信する。署名生成装置は、認証情報を用いた認証処理を行い、認証成功であれば署名鍵を用いて当該平文に対する署名を生成し、当該署名を端末装置に送る。端末装置は平文と署名とを検証装置に送り、検証装置は公開鍵等の検証鍵を用いて署名検証を行う。
D. Chaum, "Blind signatures for untraceable payments," Proc. of CRYPTO, 1982.
しかしながら、従来の方式では、認証処理やそれに必要な情報の管理を端末装置またはユーザーごとに個々に行わなければならない。
本発明の課題は、代理署名技術における認証処理やそれに必要な情報の管理を削減することである。
署名生成装置に回線認証可能な何れかの回線の回線情報に対応する登録情報を格納しておく。署名生成装置は、署名対象情報に対応する情報および回線認証に成功した使用回線の回線情報に対応する回線対応情報を受け付け、回線対応情報が登録情報に対応する場合に、署名対象情報に対する署名情報に対応する応答情報を出力する。
本発明では、回線認証に成功した使用回線の回線情報に対応する回線対応情報に基づき、使用回線ごとに応答情報の出力の有無が定められるため、認証処理やそれに必要な情報の管理を削減できる。
図1は実施形態の署名システムの機能構成を例示したブロック図である。 図2は実施形態の署名生成方法を説明するためのフロー図である。 図3は実施形態の署名システムの機能構成を例示したブロック図である。 図4は実施形態の署名生成方法を説明するためのフロー図である。 図5は実施形態の署名システムの機能構成を例示したブロック図である。 図6は実施形態の署名生成方法を説明するためのフロー図である。
図面を参照して本発明の実施形態を説明する。
[第1実施形態]
本発明の第1実施形態を説明する。
<構成>
本形態の構成を説明する。図1に例示するように、本形態の署名システム1は、端末装置11と署名生成装置12とを有する。端末装置11と署名生成装置12とは、回線認証機能および回線情報通知機能を備える公衆回線を通じて通信可能に構成されている。
回線認証 (network based authentication)とは、「このユーザーは確かにこの回線から通信してきた」ということを確認するためのユーザー認証技術である。回線認証自体は公知であり、例えば、参考文献1(“NTTデータ、NGNの回線情報を利用した認証連携機能を開発〜セキュリティを容易に確保するための仕組みを確立〜”、[online]、株式会社NTTデータ、[平成26年12月31日検索]、インターネット<http://www.nttdata.com/jp/ja/news/release/2009/091600.html>)や米国特許出願公開第US2007-0234404 A1号明細書などに開示されている。端末装置11が公衆回線の特定の回線を用いて署名生成装置12と通信を行う場合、端末装置11が使用する回線に対応する回線情報 (network based identification)が認証装置に送られる。回線情報の例は、例えば、参考文献2(Nir Yosef, Roded Sharan, and William Stafford Noble, “Improved network-based identification of protein orthologs,” Oxford Journals, Science & Mathematics Bioinformatics, Volume 24, Issue 16, pp. i200-i206, http://bioinformatics.oxfordjournals.org/content/24/16/i200.)に開示されている。認証装置での回線認証が成功である場合、端末装置11はこの回線を通じて署名生成装置12と通信を行うことができる。認証装置での回線認証が失敗である場合、端末装置11はこの回線を通じて署名生成装置12と通信を行うことができない。回線認証の具体例は、NGN(next generation network)の回線認証やEAP−SI認証などがある。回線情報の具体例は、回線に接続される機器に固有な識別子、ゲートウェイ(ホームゲートウエイ等)のMACアドレス、フレッツナンバー(登録商標)、IMSI(International Mobile Subscriber Identity)、メールアドレス、所属部署名などである。
回線情報通知機能とは、或る回線を用いた通信において通信先の装置にその回線の回線情報を通知する機能である。回線情報通知機能も公知であり、例えば、参考文献3(“回線情報通知機能”、[online]、東日本電信電話株式会社、フレッツ公式ホームページ、[平成26年12月31日検索]、インターネット<http://flets.com/asc/s_outline.html>)などに開示されている。端末装置11が或る回線を通じて署名生成装置12と通信を行う場合、その回線の回線情報または当該回線情報に対して一義的に決まる情報が署名生成装置12に通知される。
図1に例示するように、本形態の端末装置11は、記憶部111と出力部113と入力部114と署名生成委託部115とを有する。署名生成装置12は、記憶部121,122と、入力部123と、出力部124と、判定部125と、署名処理部126とを有する。各装置は、例えば、CPU(central processing unit)等のプロセッサ(ハードウェア・プロセッサ)やRAM(random-access memory)・ROM(read-only memory)等のメモリ等を含む汎用または専用のコンピュータに所定のプログラムが読み込まれることで構成されたものである。このコンピュータは1個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、CPUのようにプログラムが読み込まれることで機能構成を実現する電子回路(circuitry)ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。また、1個の装置を構成する電子回路が複数のCPUを含んでいてもよい。各処理部から出力された情報は、図示していない一時メモリに格納され、必要に応じて読み出されて各処理部の処理に用いられる。なお、表記の便宜上、図1では端末装置11と署名生成装置12とを1個ずつ図示しているが、2個以上の端末装置11や署名生成装置12が存在してもよい。この際、2個以上の端末装置11や署名生成装置12が同一の回線に接続されてもよい。
<事前処理>
本形態では、署名鍵skとそれに対応する検証鍵pkとの鍵ペア(sk,pk)が事前に設定される。鍵ペア(sk,pk)は、例えば、公開鍵暗号方式(RSA暗号方式等)の秘密鍵とそれに対応する公開鍵との鍵ペア(秘密鍵,公開鍵)でもよいし、IDベース暗号方式(参考文献4「D. Boneh, M. Franklin, “Identity based encryption from the Weil pairing,” Crypto 2001, Lecture Notes in Computer Science, Vol. 2139, Springer-Verlag, pp.213-229, 2001」等参照)の秘密鍵とそれに対応する識別子とのペア(秘密鍵,識別子)でもよいし、関数型暗号方式(参考文献5「Tatsuaki Okamoto, Katsuyuki Takashima, "Fully Secure Functional Encryption with General Relations from the Decisional Linear Assumption", CRYPTO 2010, pp.191-208 (2010)」等)の秘密鍵とそれに対応する属性ベクトルとのペア(秘密鍵,属性ベクトル)でもよい。1組のみの鍵ペア(sk,pk)が設定されてもよいし、互いに異なる複数組の鍵ペア(sk,pk)が設定されてもよい。設定された署名鍵skは当該署名鍵skに対応する検証鍵pk(署名鍵を特定するための情報)に対応付けられて署名生成装置12の記憶部121に格納される。1組のみの鍵ペア(sk,pk)が設定された場合には、1個の署名鍵skとそれに対応する検証鍵pkとが互いに対応付けられて格納される。互いに異なる複数組の鍵ペア(sk,pk)が設定された場合には、互いに異なる複数個の検証鍵pkとそれらに対応する検証鍵pkとが互いに対応付けられて格納される。このような署名鍵skとそれらに対応付けられた検証鍵pkとを含むリストを「sk−List」と表記する。
また、事前登録処理として、署名生成装置12が署名代行を行う回線の回線情報に対応する「登録情報」が事前設定され、署名生成装置12の記憶部122(登録情報記憶部)に格納される。ここで「署名生成装置12が署名代行を行う回線」とは、署名生成装置12に署名生成を委託する端末装置11がその依頼に用いる回線を意味する。また、署名代行を受けることができる権能のことを「署名代行権限」と呼ぶことにする。本形態の「登録情報」は、回線認証可能な何れかの回線の回線情報に対応する。「登録情報」は、署名生成装置12が署名代行を行う回線の回線情報そのものであってもよいし、その回線情報に対して一義的に決まる情報であってもよい。また、回線情報の種類によっては、非公開である等の理由により、署名生成装置12が回線認証のための回線情報からユーザーを識別することが困難な場合があり、回線認証のための回線情報を用いて署名代行権限の有無の管理を行うことが困難な場合もある。例えば、端末装置として携帯電話を用いる場合、回線認証にはIMEIやIMSIなどの回線情報を用いるが、署名生成装置12がIMEIやIMSIを用いてこのような管理を行うことが困難な場合もある。また、NGNの回線認証用の回線情報にフレッツナンバーを用いる場合、署名生成装置12がこのフレッツナンバーを用いてこのような管理を行うことが困難な場合もある。署名生成装置12にとっては、汎用性の高い電話番号等の一般的な回線情報を用いた管理のほうが容易な場合が多い。そこで、1個の回線に対して複数個の回線情報が紐づいている場合に、その一部の回線情報(例えば、IMEI,IMSI,フレッツナンバー,MACアドレス等)が回線認証に用いられ、この回線認証に用いられた回線情報に紐づいた(対応する)他の回線情報(一般的な回線情報等)が管理に用いられてもよい。回線認証に用いられた回線情報に紐づいた他の回線情報を「固有情報」と呼ぶことにする。「固有情報」は公開情報であってもよいし、非公開情報であってもよい。結局、「登録情報」は、署名生成装置12が署名代行を行う回線の回線認証に用いられる回線情報そのものであってもよいし、その回線情報に対して一義的に決まる情報であってもよいし、署名生成装置12が署名代行を行う回線の固有情報であってもよいし、この固有情報に対して一義的に決まる情報であってもよいし、署名生成装置12が署名代行を行う回線の回線認証に用いられる回線情報とそれに紐づいた固有情報との組であってもよいし、その組に対して一義的に決まる情報であってもよいし、これらの何れかの情報を含む情報であってもよい。以下では「登録情報」を含むリストを「List」と表記する。
さらに、署名生成装置12が署名代行を行う回線を利用する端末装置11の記憶部111には、署名対象となる平文m(署名対象情報)と、sk−Listが含む何れかの署名鍵skに対応する検証鍵pkとが格納される。
<署名生成処理>
図2を用いて本形態の署名生成処理を説明する。端末装置11(図1)の署名生成委託部115は記憶部111から平文mおよび検証鍵pkを読み込み、平文mおよび検証鍵pkを出力する。平文mおよび検証鍵pkは出力部113に入力される。出力部113は、署名生成装置12を宛先とし、公衆回線の所定の回線(使用回線)に対して平文mおよび検証鍵pkを出力する(代理署名要求:ステップS101)。
平文mおよび検証鍵pkが出力された回線(使用回線)の回線情報dxは、回線認証機能を提供する認証装置(図示せず)に送られ、この認証装置は回線情報dxを用いた回線認証を行う(ステップS102)。回線認証が失敗であった場合(ステップS103)、エラー情報が端末装置11に送信される。送信されたエラー情報は、入力部114に入力されて署名生成委託部115に送られ、署名生成委託部115は署名生成処理を終了する(ステップS104)。
一方、回線認証が成功であった場合(ステップS103)、平文mおよび検証鍵pkが署名生成装置12に送信され、さらに回線情報通知機能を提供する通知装置(図示せず)が、回線情報dxに対応する回線対応情報xを署名生成装置12に送信する。回線対応情報xは、回線情報dxそのものであってもよいし、その回線情報dxに対して一義的に決まる情報であってもよいし、回線情報dxに紐付けられた固有情報idであってもよいし、この固有情報idに対して一義的に決まる情報であってもよいし、回線情報dxとそれに紐づいた固有情報idとの組であってもよいし、その組に対して一義的に決まる情報であってもよいし、これらの何れかの情報を含む情報であってもよい(ステップS105)。平文m(署名対象情報に対応する情報)、検証鍵pk(署名鍵を特定するための情報)、および回線対応情報x(使用回線の回線情報に対応する回線対応情報)は、署名生成装置12の入力部123に入力される(受け付けられる)。入力部123に入力される回線対応情報xは、回線認証に成功した回線(使用回線)に対応する情報である。回線対応情報xは判定部125に送られ、平文mおよび検証鍵pkは署名処理部126に送られる(ステップS106)。判定部125は、回線対応情報xが記憶部122に格納されたリストListの何れかの「登録情報」に対応するかを判定する。例えば、リストListに含まれる「登録情報」が回線認証に用いられる回線情報そのものであり、回線対応情報xも回線情報dxそのものである場合、判定部125は『リストListが回線対応情報xに一致する「登録情報」を含むか』を判定する。リストListに含まれる「登録情報」が「固有情報」であり、回線対応情報xが回線情報dxに紐付けられた「固有情報」である場合にも、判定部125は『リストListが回線対応情報xに一致する「登録情報」を含むか』を判定する。リストListに含まれる「登録情報」が回線認証に用いられる回線情報そのものであり、回線対応情報xが回線情報dxに紐付けられた「固有情報」である場合には、判定部125は『リストListが回線対応情報xに対応する「登録情報」を含むか』を判定する。その他、「登録情報」および回線対応情報xに用いられる情報の種別に応じた方法で、回線対応情報xが「登録情報」に対応するかを判定すればよい(ステップS107)。回線対応情報xがリストListの何れの「登録情報」にも対応しない場合(例えば、リストListが回線対応情報xに一致する「登録情報」を含まない場合)(ステップS108)、出力部124からエラー情報が送信される。送信されたエラー情報は、端末装置11の入力部114に入力されて署名生成委託部115に送られ、署名生成委託部115は署名生成処理を終了する(ステップS109)。一方、回線対応情報xがリストListの何れかの「登録情報」に対応する場合(例えば、リストListが回線対応情報xに一致する「登録情報」を含む場合)(ステップS108)、署名処理部126は、入力された検証鍵pkを用いて記憶部121に格納されたsk−Listを検索し、検証鍵pkに対応する署名鍵skを抽出する。署名処理部126は、抽出した署名鍵sk(署名鍵を特定するための情報によって特定される署名鍵)を用い、入力された平文mの署名(署名情報、すなわち電子署名)s=sig(sk,m)を生成して出力する。例えば、署名処理部126は、署名鍵skを用いて平文mに対応する情報(ハッシュ値等)を暗号化し、その暗号文を署名sとして出力する(ステップS110)。署名sは出力部124に入力される。出力部124は、端末装置11を宛先とし、回線対応情報xに対応する回線に対して署名s(署名対象情報に対する署名情報に対応する応答情報)を出力する(ステップS111)。
署名sは、端末装置11の入力部114に入力されて署名生成委託部115に送られる(ステップS112)。署名生成委託部115は、記憶部111から検証鍵pkおよび平文mを抽出し、検証鍵pk、平文m、および署名sを出力して署名生成処理を終了する(ステップS113)。
検証鍵pk、平文m、および署名sは、図示していない検証装置に送られ、検証装置は、これらを用いて署名検証を行う。
<第1実施形態の特徴>
本形態では、絶対数の多い個々の端末装置11やそのユーザーごとに認証処理の管理を行うのではなく、絶対数の少ない回線ごとに認証処理の管理を行う。そのため、認証処理や管理のコストを削減できる。
本形態では、端末装置11やそのユーザーごとに個々に登録が行われるのではなく、署名生成装置12が署名代行を行う回線ごとに登録が行われる。そのため、個々の端末装置11やそのユーザーを登録することなく、登録済みの回線を正当に使用する権限がある複数の端末装置11に対し、署名生成装置12での署名生成を許可することができ、登録手続きを簡易化できる。また、回線に対して署名代行権限を与えるため、本システム専用の設定を行う前の端末装置11に対しても署名代行権限を与えることができる。すなわち、本形態の署名生成処理機能を実行するためのプログラムを端末装置11にインストールする前であっても、その端末装置11が使用する回線に対応する回線情報を特定することはでき、その回線に対応する「登録情報」を含むリストを署名生成装置12に格納することができる。また「登録情報」および「回線対応情報x」として、公開された固有情報または当該固有情報に対して一義的に決まる情報を用いた場合、非公開の情報を用いることなく、上述の管理を実現できる。
また、本形態では端末装置11の正当性が公衆回線内の回線認証によって担保される。そのため、端末装置11やそのユーザーが署名生成のための特別な認証処理を別途行う必要がなく、それに必要な秘密情報を別途保持する必要もない。
署名生成装置12の記憶部121にsk−Listを格納し、署名生成装置12が入力された公開鍵pkを用いて署名生成に用いる秘密鍵skを特定する構成の場合、複数種類の秘密鍵skについての署名代行を署名生成装置12に委託できる。
[第1実施形態の変形例]
回線対応情報xに対応する署名鍵skを用いて署名sが生成されてもよい。この変形例では、例えば、署名鍵skとそれらに対応付けられた検証鍵pkとを含むリストsk−Listに代え、署名鍵skとそれらに対応付けられた「登録情報」とを含むリストsk−Listが用いられる。回線対応情報xがリストListの何れかの「登録情報」に対応する場合(ステップS108)、署名処理部126は、検証鍵pkに代えて回線対応情報xを用いて記憶部121に格納されたsk−Listを検索し、回線対応情報xに対応する署名鍵skを抽出し、署名sを生成する。あるいは、sk−Listを省略し、Listが署名鍵skとそれらに対応付けられた「登録情報」とを含んでもよい。この構成では、回線対応情報xがリストListの何れかの「登録情報」に対応する場合(ステップS108)、署名処理部126は、その「登録情報」に対応付けられた鍵skを抽出し、署名sを生成する。なお、これらの変形例では、端末装置11が使用する回線の回線対応情報xに対応する署名鍵skに対応する検証鍵pkを、記憶部111に格納しておく。あるいは、署名生成装置12から端末装置11に署名sを送信する際に、その生成に用いた署名鍵skに対応する検証鍵pkを添付してもよい。
また第1実施形態では、「署名鍵を特定するための情報」として検証鍵pkを用いる例を示したが、鍵IDその他の情報を「署名鍵を特定するための情報」としてもよい。また、署名生成装置12の記憶部121に1個の署名鍵skのみが格納される場合には、「署名鍵を特定するための情報」を省略可能である。その他、ステップS101で平文mを送信せず、ステップS108で回線対応情報xがリストListの何れかの「登録情報」に対応すると判定されてから、端末装置11から署名生成装置12に平文mを送信し、ステップS110以降の処理が実行されてもよい。
[第2実施形態]
本形態は第1実施形態の変形例であり、IDベース暗号方式に基づき、代理署名要求の後に署名鍵を生成する方式である。以下では第1実施形態との相違点を中心に説明し、既に説明した事項については、これまでに用いた参照番号を流用することで説明を簡略化する。
<構成>
本形態の構成を説明する。図3に例示するように、本形態の署名システム2は、端末装置21と署名生成装置22と鍵生成装置23を有する。端末装置21と署名生成装置22とは、回線認証機能および回線情報通知機能を備える公衆回線を通じて通信可能に構成されている。また、署名生成装置22と署名生成装置とは公衆回線または私設回線を通じて通信可能に構成されている。なお、表記の便宜上、図2でも端末装置21と署名生成装置22とを1個ずつ図示しているが、2個以上の端末装置21や署名生成装置22が存在してもよい。この際、2個以上の端末装置21や署名生成装置22が同一の回線に接続されてもよい。同様に、複数個の鍵生成装置23が存在してもよい。
図3に例示するように、本形態の端末装置21は、記憶部211と出力部213と入力部114と署名生成委託部215とを有する。署名生成装置22は、記憶部122と、入力部223と、出力部124と、判定部125と、署名処理部226とを有する。各装置は、例えば、前述したコンピュータに所定のプログラムが読み込まれることで構成されてもよいし、電子回路を用いて一部またはすべての処理部が構成されてもよい。
<事前処理>
本形態では、IDベース暗号方式のマスター秘密鍵mskとパラメータPとが生成され、マスター秘密鍵mskが鍵生成装置23に安全に格納され、Pおよびmsk・Pが公開パラメータとして公開される。例えば、mskは剰余環の元であり、Pは楕円曲線上の点である(参考文献4等参照)。また、事前登録処理として、署名生成装置22が署名代行を行う回線の回線情報に対応する「登録情報」が事前設定され、署名生成装置22の記憶部122(登録情報記憶部)に格納される。なお、「登録情報」の具体例は、「署名生成装置12」が「署名生成装置22」に置換される以外、第1実施形態で説明した通りである。さらに、署名生成装置22が署名代行を行う回線を利用する端末装置21の記憶部211には、署名対象となる平文m(署名対象情報)と識別子IDとが格納される。識別子IDの例は、電話番号、メールアドレスなどである。
<署名生成処理>
図4を用いて本形態の署名生成処理を説明する。端末装置21(図3)の署名生成委託部215は記憶部211から平文mおよび識別子IDを読み込み、平文mおよび識別子IDを出力する。平文mおよび識別子IDは出力部213に入力される。出力部213は、署名生成装置22を宛先とし、公衆回線の所定の回線(使用回線)に対して平文mおよび識別子IDを出力する(代理署名要求:ステップS201)。
次に、第1実施形態で説明したように回線認証が行われ(ステップS102〜S104)、回線認証が成功であった場合、平文mおよび識別子IDが署名生成装置22に送信され、通知装置(図示せず)が、回線情報dxに対応する回線対応情報xを署名生成装置22に送信する。回線対応情報xの具体例は第1実施形態で説明した通りである(ステップS205)。平文m(署名対象情報に対応する情報)、識別子ID(署名鍵を特定するための情報)、および回線対応情報x(使用回線の回線情報に対応する回線対応情報)は、署名生成装置22の入力部223に入力される(受け付けられる)。回線対応情報xは判定部125に送られ、平文mおよび識別子IDは署名処理部126に送られる(ステップS206)。判定部125は、回線対応情報xが記憶部122に格納されたリストListの何れかの「登録情報」に対応するかを判定する(ステップS107,S108)。回線対応情報xがリストListの何れの「登録情報」にも対応しない場合、出力部124からエラー情報が送信される。送信されたエラー情報は、端末装置21の入力部114に入力されて署名生成委託部215に送られ、署名生成委託部215は署名生成処理を終了する(ステップS109)。一方、回線対応情報xがリストListの何れかの「登録情報」に対応する場合、署名処理部226は、入力された識別子IDを鍵生成装置23に送る。鍵生成装置23は、識別子IDとマスター秘密鍵mskとを用いて署名鍵skを生成する。例えば、鍵生成装置23は、識別子IDを楕円曲線上の点E(ID)にマッピングし、sk=msk・E(ID)を計算する。署名鍵skは署名処理部226に送信される(ステップS209)。署名処理部226は、この署名鍵sk(署名鍵を特定するための情報によって特定される署名鍵)を用い、入力された平文mの署名s=sig(sk,m)を生成して出力する(ステップS210)。署名sは出力部124に入力される。出力部124は、端末装置21を宛先とし、回線対応情報xに対応する回線に対して署名s(署名対象情報に対する署名情報に対応する応答情報)を出力する(ステップS111)。
署名sは、端末装置21の入力部114に入力されて署名生成委託部215に送られる(ステップS112)。署名生成委託部215は、記憶部211から識別子IDおよび平文mを抽出し、識別子ID、平文m、および署名sを出力して署名生成処理を終了する(ステップS213)。
識別子ID、平文m、および署名sは、図示していない検証装置に送られ、検証装置は、これらと前述の公開パラメータを用いて署名検証を行う。
<第2実施形態の特徴>
本形態も第1実施形態と同じ特徴を持つ。さらに本形態では、代理署名要求の後に署名鍵を生成するため、第1実施形態のようなsk−Listの管理が不要となる。
[第2実施形態の変形例]
本形態でも、回線対応情報xに対応する署名鍵skを用いて署名sが生成されてもよい。例えば、識別子IDに代えて回線対応情報xを用いて署名鍵skが設定され、署名sが生成されてもよい。この構成の場合、端末装置21の記憶部211に識別子IDを格納する必要はなく、ステップS201からS206の処理の識別子IDも不要となる。回線対応情報xがリストListの何れかの「登録情報」に対応する場合(ステップS108)、署名処理部126は、識別子IDに変えて回線対応情報xを鍵生成装置23に送り、鍵生成装置23は、回線対応情報xとマスター署名鍵mskとを用いて署名鍵skを生成し、署名処理部126に送る。署名処理部126は、この署名鍵skを用いて署名sを生成する。この変形例では、署名検証に回線対応情報xが必要となるため、署名生成装置22から端末装置21に署名sを送信する際に、その生成に用いた署名鍵skに対応する回線対応情報xを添付してもよい。その他、ステップS201で平文mを送信せず、ステップS108で回線対応情報xがリストListの何れかの「登録情報」に対応すると判定されてから、端末装置21から署名生成装置22に平文mを送信し、ステップS209以降の処理が実行されてもよい。また、第2実施形態では、端末装置21が署名生成装置22に署名代行を依頼するたびに、署名生成装置22が識別子IDに対応する署名鍵skの生成を鍵生成装置23に依頼した。この変形例として、端末装置21が署名生成装置22に初めて署名代行を依頼する場合には、署名生成装置22が署名鍵の生成を鍵生成装置23に依頼し、それによった得た署名鍵skを識別子IDに対応付けて署名生成装置22の記憶部に格納しておいてもよい。これにより、端末装置21が署名生成装置22に再び署名代行を依頼する場合には、鍵生成装置23が識別子IDを用いて署名生成装置22の記憶部を検索し、それによって得られた識別子IDに対応する署名鍵skを用い、署名生成を行ってもよい。これにより、鍵生成装置23への依頼回数を削減できる。
[第3実施形態]
本形態は第1実施形態の変形例であり、ブラインド署名の署名代行を行う形態である。以下では第1実施形態との相違点を中心に説明し、既に説明した事項については、これまでに用いた参照番号を流用することで説明を簡略化する。
<構成>
本形態の構成を説明する。図4に例示するように、本形態の署名システム3は、端末装置31と署名生成装置32を有する。端末装置31と署名生成装置32とは、回線認証機能および回線情報通知機能を備える公衆回線を通じて通信可能に構成されている。なお、表記の便宜上、図3でも端末装置31と署名生成装置32とを1個ずつ図示しているが、2個以上の端末装置31や署名生成装置32が存在してもよい。この際、2個以上の端末装置31や署名生成装置32が同一の回線に接続されてもよい。
図5に例示するように、本形態の端末装置31は、記憶部111と出力部313と入力部314と署名生成委託部315とを有する。署名生成装置32は、記憶部122,121と、入力部323と、出力部324と、判定部125と、署名処理部326とを有する。各装置は、例えば、前述したコンピュータに所定のプログラムが読み込まれることで構成されてもよいし、電子回路を用いて一部またはすべての処理部が構成されてもよい。
<事前処理>
第1実施形態と同じである。
<署名生成処理>
図6を用いて本形態の署名生成処理を説明する。端末装置31(図5)の署名生成委託部315は記憶部111から平文mおよび検証鍵pkを読み込む。署名生成委託部315は、乱数Rを生成して一時メモリ(図示せず)に格納するとともに、乱数Rを用いて平文mを撹乱した撹乱情報m’(署名対象情報の撹乱情報)を得る。例えば、署名生成委託部315は、準同型性関数Fに乱数Rと平文mとを入力し、撹乱情報m’=F(R,m)を得る。署名生成委託部315は、撹乱情報m’および検証鍵pkを出力する。撹乱情報m’および検証鍵pkは出力部313に入力される。出力部313は、署名生成装置32を宛先とし、公衆回線の所定の回線(使用回線)に対して撹乱情報m’および検証鍵pkを出力する(代理署名要求:ステップS301)。
次に、第1実施形態で説明したように回線認証が行われ(ステップS102〜S104)、回線認証が成功であった場合、撹乱情報m’および検証鍵pkが署名生成装置32に送信され、通知装置(図示せず)が、回線情報dxに対応する回線対応情報xを署名生成装置32に送信する。回線対応情報xの具体例は第1実施形態で説明した通りである(ステップS305)。撹乱情報m’(署名対象情報に対応する情報)、検証鍵pk(署名鍵を特定するための情報)、および回線対応情報x(使用回線の回線情報に対応する回線対応情報)は、署名生成装置32の入力部323に入力される(受け付けられる)。回線対応情報xは判定部125に送られ、撹乱情報m’および検証鍵pkは署名処理部326に送られる(ステップS306)。その後、第1実施形態で説明したステップS107〜S108の処理が実行され、回線対応情報xがリストListの何れかの「登録情報」に対応する場合(ステップS108)、署名処理部326は、入力された検証鍵pkを用いて記憶部121に格納されたsk−Listを検索し、検証鍵pkに対応する署名鍵skを抽出する。署名処理部326は、抽出した署名鍵skを用い、入力された撹乱情報m’に対する秘匿化署名s’=bsig(sk,m’)を生成して出力する。例えば、署名処理部326は、準同型性暗号方式に則って署名鍵skを用いて撹乱情報m’を暗号化し、その暗号文を秘匿化署名s’(署名情報を得るための情報)として出力する(ステップS310)。秘匿化署名s’は出力部324に入力される。出力部324は、端末装置31を宛先とし、回線対応情報xに対応する回線に対して秘匿化署名s’(署名対象情報に対する署名情報に対応する応答情報)を出力する(ステップS311)。
秘匿化署名s’は、端末装置31の入力部314に入力されて署名生成委託部315に送られる(ステップS312)。署名生成委託部315は、ステップS301で用いた乱数Rを一時メモリ(図示せず)から抽出し、乱数Rと秘匿化署名s’とを用いて署名sを復元する。さらに署名生成委託部315は、記憶部111から検証鍵pkおよび平文mを抽出し、検証鍵pk、平文m、および署名sを出力して署名生成処理を終了する(ステップS313)。
検証鍵pk、平文m、および署名sは、図示していない検証装置に送られ、検証装置は、これらを用いて署名検証を行う。
<第3実施形態の特徴>
本形態も第1実施形態と同じ特徴を持つ。さらに本形態では、平文mの撹乱情報を署名生成装置32に送るため、端末装置31は、平文mの内容を署名生成装置32に知られることなく、署名生成を委託できる。
[第3実施形態の変形例]
自己訂正技術を用いてブラインド署名を実現してもよい。自己訂正技術とは、必ずしも正しい計算結果を出力するとは限らない計算機やシステムを用いて常に正しい計算を行う(正しい計算結果を出力する計算機を用いた場合に正しい計算結果を出力し、必ずしも正しい結果を出力するとは限らない計算機を用いた場合に、正しい計算結果を得るか、または計算できない旨の結果を得る)技術である。自己訂正技術自体は公知技術であり、例えば、参考文献6(国際公開WO/2012/057134号公報)、参考文献7(国際公開WO/2011/086992号公報)、および参考文献8(国際公開WO/2012/121152号公報)等に開示されている。この例の場合、撹乱情報m’は平文m(署名対象情報)の撹乱情報であり、秘匿化署名s’(応答情報)は、自己訂正処理によって署名s(署名情報)を得るための情報である。
この変形例では、G,Hが群、平文mが群Hの元、fが署名鍵skを用いて平文m∈Hの署名s=f(m)=sig(sk,m)∈Gを得るための関数、X,Xが群Gに値を持つ確率変数、xが確率変数Xの実現値、xが確率変数Xの実現値、a,bが互いに素であるランダムな自然数である。a,bの一方が1などの定数であってもよい。
ステップS301において、署名生成委託部315は、平文mに対応する群Hの元であるτおよび/またはτを撹乱情報m’として出力する。ステップS310において、署名処理部326は、zおよび/またはzを秘匿化署名s’として出力する。ただし、z=f(τ)あるいはz≠f(τ)であり、z=f(τ)あるいはz≠f(τ)である。z=f(τ)である場合もあればz=f(τ)でない場合もあり、z=f(τ)である場合もあればz=f(τ)でない場合もある。すなわち、署名処理部326は、或る確率より大きな確率でf(τ)を正しく計算し、得られた計算結果をzとし、或る確率より大きな確率でf(τ)を正しく計算し、得られた計算結果をzとする。なお、「或る確率」は100%未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータkについての広義単調増加関数である多項式を多項式ψ(k)とした場合の1/ψ(k)以上の確率である。すなわち、署名処理部326は、意図的又は意図的ではない誤差を含んだ計算結果を出力する。ステップS313において、署名生成委託部315は、u=vを満たすu=f(x)b1およびv=f(x)a2に対応するub’a’を署名sとして出力する。ただし、a’,b’はa’a+b’b=1を満たす整数である。u=vを満たすzおよび/またはzが得られていない場合、署名生成委託部315は、署名sを得ることができない旨のエラー情報を出力する。あるいは、u=vを満たすzおよび/またはzが得られていない場合、再び、署名生成委託部315が新たに生成した撹乱情報m’を出力し、出力部313が撹乱情報m’を署名生成装置32に送信し、署名処理部326が秘匿化署名s’を計算し、出力部324が秘匿化署名s’を端末装置31に送信し、u=vを満たすか否かの判定を行ってもよい。ここで、u=vを満たす場合にはub’a’を署名sとして出力し、この処理を所定回数繰り返してもu=vを満たすzおよび/またはzが得られていない場合に、署名生成委託部315が、署名sを得ることができない旨のエラー情報を出力してもよい。
≪τ,τ、u,vの具体例1≫
例えば、G,Hを群、h,hを単位元ではない群Hの元(例えば、生成元)、r1,r2が0以上のランダムな自然数、fを署名鍵skを用いて平文m∈Hの署名s=f(m)=sig(sk,m)∈Gを得るための準同型性関数、τ=(h −r1,h r1)、τ=(h −r2,h r2)、u=f(τ)=f(h −r1)f(h r1)、v=f(τ)=f(h −r2)f(h r2)とする。
≪τ,τ、u,vの具体例2≫
例えば、G,Hを巡回群、μを群Hの生成元、ν=f(μh)、fを署名鍵skを用いて平文m∈Hの署名s=f(m)=sig(sk,m)∈Gを得るための準同型性関数、r1,r2を0以上のランダムな自然数、τ=μ r1、τ=μ r2、u=zν−r1、v=zν−r2とする。
≪τ,τ、u,vの具体例3≫
例えば、Gを巡回群、群Hを群Gの直積群G×G、m=(c,c)∈H、fを署名鍵skを用いて平文m∈Hの署名s=f(m)=sig(sk,m)∈Gを得るための準同型性関数、(V,W)を群Hの元、f(V,W)=Y、r〜rを0以上の自然数の乱数、τ=(c r4,c r4μ r5)、τ=(c r6,c r6μ r7)、u=z−r4μ −r5、v=z−r6μ −r7とする。
ステップS301で撹乱情報m’を送信せず、ステップS108で回線対応情報xがリストListの何れかの「登録情報」に対応すると判定されてから、端末装置31から署名生成装置32に撹乱情報m’を送信し、ステップS310以降の処理または上述の自己訂正処理が実行されてもよい。
また、本形態では第1実施形態の署名生成をブラインド署名技術を用いて行う構成を例示したが、第2実施形態の署名生成をブラインド署名技術を用いて行ってもよい。この場合、署名鍵skの特定のために検証鍵pkを用いることに代えて識別子IDが用いられ、署名処理部326がsk−Listから署名鍵skを抽出することに代えて、署名生成装置が識別子IDに対応する署名鍵skを生成して署名処理部326に与える。その他は第3実施形態で説明した通りである。また、この場合にも自己訂正技術を適用してもよい。
[その他の変形例]
なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。
上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。
1〜3 署名システム
11〜31 端末装置
12〜32 署名生成装置

Claims (6)

  1. 回線認証可能な何れかの回線の回線情報に対応する登録情報を格納する登録情報記憶部と、
    署名対象情報に対応する情報および回線認証に成功した使用回線の回線情報に対応する回線対応情報を受け付ける入力部と、
    前記回線対応情報が前記登録情報に対応する場合に、前記署名対象情報に対する署名情報に対応する応答情報を出力する出力部と、
    を有し、
    前記署名対象情報に対応する情報は、前記署名対象情報の撹乱情報であり、
    前記応答情報は、自己訂正処理によって前記署名情報を得るための情報である、署名生成装置。
  2. 請求項1の署名生成装置であって、
    前記登録情報は、前記回線情報に対応する公開された第1固有情報または当該第1固有情報に対して一義的に決まる情報であり、
    前記回線対応情報は、前期回線認証に成功した使用回線の回線情報に対応する公開された第2固有情報または当該第2固有情報に対して一義的に決まる情報である、署名生成装置。
  3. 署名対象情報に対応する情報を使用回線に出力する出力部を含む端末装置と、
    回線認証可能な何れかの回線の回線情報に対応する登録情報を格納する登録情報記憶部と、前記署名対象情報に対応する情報および回線認証に成功した前記使用回線の回線情報に対応する回線対応情報を受け付ける入力部と、前記回線対応情報が前記登録情報に対応する場合に、前記署名対象情報に対する署名情報に対応する応答情報を出力する出力部と、を含む署名生成装置と、
    を有し、
    前記署名対象情報に対応する情報は、前記署名対象情報の撹乱情報であり、
    前記応答情報は、自己訂正処理によって前記署名情報を得るための情報である、署名システム。
  4. 署名対象情報に対応する情報を使用回線に出力する出力部を含む端末装置と、
    前記使用回線の回線情報を用いた回線認証を行う認証装置と、
    回線認証可能な何れかの回線の回線情報に対応する登録情報を格納する登録情報記憶部と、前記署名対象情報に対応する情報および前記認証装置で前記回線認証に成功した前記使用回線の回線情報に対応する回線対応情報を受け付ける入力部と、前記回線対応情報が前記登録情報に対応する場合に、複数個の署名鍵のうち前記回線対応情報に対応する署名鍵を用い、前記署名対象情報に対する署名情報を生成する署名処理部と、前記署名情報または前記署名情報に対応する応答情報を出力する出力部と、を含む署名生成装置と、
    を有する署名システム。
  5. 回線認証可能な何れかの回線の回線情報に対応する登録情報が登録情報記憶部に格納されており、
    入力部が、署名対象情報に対応する情報および回線認証に成功した使用回線の回線情報に対応する回線対応情報を受け付けるステップと、
    前記回線対応情報が前記登録情報に対応する場合に、出力部が、前記署名対象情報に対する署名情報に対応する応答情報を出力するステップと、を有し、
    前記署名対象情報に対応する情報は、前記署名対象情報の撹乱情報であり、
    前記応答情報は、自己訂正処理によって前記署名情報を得るための情報である、署名生成方法。
  6. 請求項1または2の署名生成装置としてコンピュータを機能させるためのプログラム。
JP2015003403A 2015-01-09 2015-01-09 署名生成装置、署名システム、署名生成方法、およびプログラム Active JP6267658B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015003403A JP6267658B2 (ja) 2015-01-09 2015-01-09 署名生成装置、署名システム、署名生成方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015003403A JP6267658B2 (ja) 2015-01-09 2015-01-09 署名生成装置、署名システム、署名生成方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2016129302A JP2016129302A (ja) 2016-07-14
JP6267658B2 true JP6267658B2 (ja) 2018-01-24

Family

ID=56384526

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015003403A Active JP6267658B2 (ja) 2015-01-09 2015-01-09 署名生成装置、署名システム、署名生成方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP6267658B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118944895A (zh) * 2018-01-16 2024-11-12 区块链控股有限公司 获取数字签名的数据的计算机实现方法和系统
JP7061083B2 (ja) * 2019-01-30 2022-04-27 株式会社日立製作所 署名システム、署名方法及びプログラム
CN110009348B (zh) * 2019-03-25 2022-03-11 杭州秘猿科技有限公司 一种区块链的代理签名方法、系统及电子设备
JP7811900B2 (ja) * 2022-12-07 2026-02-06 株式会社日立製作所 電子署名システム及び電子署名処理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004172915A (ja) * 2002-11-20 2004-06-17 Oki Electric Ind Co Ltd 電子署名生成装置
JP4611946B2 (ja) * 2006-08-10 2011-01-12 日本電信電話株式会社 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム
WO2012057134A1 (ja) * 2010-10-26 2012-05-03 日本電信電話株式会社 代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体

Also Published As

Publication number Publication date
JP2016129302A (ja) 2016-07-14

Similar Documents

Publication Publication Date Title
CN105637802B (zh) 密钥装置、密钥云系统、解密方法、以及程序
JP6168415B2 (ja) 端末認証システム、サーバ装置、及び端末認証方法
JP6488847B2 (ja) リレーショナル暗号化
CN111630810B (zh) 密钥交换装置、密钥交换系统、密钥交换方法及记录介质
JP6012888B2 (ja) 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
CN110597836A (zh) 基于区块链网络的信息查询请求响应方法及装置
CN105580312A (zh) 用于认证设备的用户的方法和系统
JP2017163612A (ja) 端末認証システム、サーバ装置、及び端末認証方法
CN109962777A (zh) 许可区块链系统中的密钥生成、获取密钥的方法及设备
JP6267658B2 (ja) 署名生成装置、署名システム、署名生成方法、およびプログラム
JP5750728B2 (ja) 鍵共有システム、鍵生成装置、及びプログラム
Aldosary et al. A secure authentication framework for consumer mobile crowdsourcing networks
Ashraf et al. Lightweight and authentic symmetric session key cryptosystem for client–server mobile communication: Z. Ashraf et al.
US10033711B2 (en) Directory service device, client device, key cloud system, method thereof, and program
Dey et al. A light-weight authentication scheme based on message digest and location for mobile cloud computing
Abdellaoui et al. A robust authentication scheme for telecare medicine information system
CN117376006A (zh) 一种临时会话密钥安全通信方法、装置、电子设备及介质
JP6236019B2 (ja) 鍵装置、鍵交換システム、およびプログラム
JP5432776B2 (ja) Idベース暗号利用方法、暗号化装置、管理装置及びそれらのプログラム
JP2019102959A (ja) サーバ装置、通信装置、鍵共有システム、鍵共有方法、及びプログラム
JP6720113B2 (ja) 認証システム、サービス提供サーバ、認証方法、及びプログラム
CN114040387A (zh) 一种攻击消息的确定方法、装置及设备
CN113572717A (zh) 通信连接的建立方法、洗护设备及服务器
Munivel et al. Research Article New Authentication Scheme to Secure against the Phishing Attack in the Mobile Cloud Computing
JP2018148293A (ja) クレデンシャル生成システム及び方法、クライアント端末、サーバ装置、発行依頼装置、クレデンシャル発行装置並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

R150 Certificate of patent or registration of utility model

Ref document number: 6267658

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350