亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

統(tǒng)一驗(yàn)證裝置、程序以及統(tǒng)一驗(yàn)證方法

文檔序號(hào):7689601閱讀:245來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):統(tǒng)一驗(yàn)證裝置、程序以及統(tǒng)一驗(yàn)證方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種統(tǒng)一驗(yàn)證多個(gè)數(shù)字簽名的技術(shù)。
技術(shù)背景在數(shù)字簽名中,簽名者對(duì)于簽名對(duì)象的電子數(shù)據(jù), -使用簽名者保密的簽名 生成密鑰生成簽名數(shù)據(jù),簽名驗(yàn)證者使用公開(kāi)的簽名驗(yàn)證密鑰對(duì)簽名數(shù)據(jù)進(jìn)行 解密,通過(guò)與成為簽名對(duì)象的電子數(shù)據(jù)進(jìn)行比較,可以檢測(cè)簽名者的真?zhèn)我约?是否存在對(duì)電子數(shù)據(jù)的竄改等。在這樣的數(shù)字簽名中,在進(jìn)行驗(yàn)證時(shí)必須反復(fù)進(jìn)行復(fù)雜的處理(數(shù)學(xué)計(jì)算),例i口在M.Bellare, J. Garay, and T. Rabin, "Fast Batch Verification for ModularExponentiationandDigital Signatures", Advances in Cryptology-EUROCRYPT 1998, LNCS 1403, pp. 236-250, 1998.(稱(chēng)為文獻(xiàn)1 ) 記載的技術(shù)中,通過(guò)統(tǒng)一驗(yàn)證多個(gè)數(shù)字簽名,提高數(shù)字簽名的驗(yàn)證處理的效率。 下面,對(duì)文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證方法進(jìn)行說(shuō)明。此外,下面將G作為把位數(shù)設(shè)為q (q為大的素?cái)?shù))的有限循環(huán)群,將g 作為群G的生成源。并且設(shè)(Xi,力)(i為表示順序的腳標(biāo),是滿(mǎn)足l^i^n 的自然數(shù))為用于驗(yàn)證是否滿(mǎn)足下式(1)的組(批量實(shí)例(batch instance))。 ,'",…(1)其中,對(duì)于各i(i-l,…,n), Xj、 yi分別滿(mǎn)足下式(2)以及式(3)。 0"i匈-1…(2) 乂. eG…(3)批量實(shí)例(Xi, yi)(i=l,…,n)在對(duì)于各i(i-l,…,n)滿(mǎn)足式(l) 時(shí)稱(chēng)為"有效",否則稱(chēng)為"無(wú)效"。此外,在批量實(shí)例有效時(shí),判定簽名數(shù)據(jù) 也"有效",在批量實(shí)例無(wú)效時(shí),判斷簽名數(shù)據(jù)也無(wú)效。此外,在統(tǒng)一驗(yàn)證中,始終將有效的批量實(shí)例作為"有效"來(lái)接受,但有 時(shí)也以非常小的概率將無(wú)效的批量實(shí)例作為"有效,,來(lái)接受。而且,在將無(wú)效的批量實(shí)例作為"有效"來(lái)接受的概率的上限最高為l/2m (m為正整數(shù))時(shí), m被稱(chēng)為安全級(jí)別。根據(jù)近年的計(jì)算機(jī)能力,已知希望將m最好設(shè)定為80左 右。此外,我們知道安全級(jí)別m越大,數(shù)字簽名的安全性越高。這里,在通常的簽名驗(yàn)證中,對(duì)于與各i(i^,…,n)對(duì)應(yīng)的數(shù)字簽名, 分別驗(yàn)證是否滿(mǎn)足式(1 ),相對(duì)于此,在文獻(xiàn)1記載的Random Subset Test中, 驗(yàn)證是否滿(mǎn)足如下式(4)以及(5)。(4)Sj-0或者1 (i=l,…,n)…(5)這里,如式(5)所示,對(duì)于各i(i-l,…,n),假設(shè)Sj為隨機(jī)選擇O或 者l。另外,文獻(xiàn)l中記載的Small Exponents Test驗(yàn)證是否滿(mǎn)足下式(6) 以及(7)。0^Si^2m— 1 (i=l,…,n) ... (7)這里,Si(i=l,…,n)是從[O,…2"1-l]中隨機(jī)選擇出的整數(shù)。這里, m為任意的正整數(shù),由該m決定安全級(jí)別。此外,如式(5)中記載的那樣,Random Subset Test的Random源于對(duì)各 i (i=l, 2, 3,…,n)隨機(jī)選擇Sj。另夕卜,Random Subset Test最高以1/2 的概率將"無(wú)效"的批量實(shí)例作為"有效"來(lái)接受。因此,實(shí)際上,為 了將安全級(jí)別設(shè)定為m,使用獨(dú)立執(zhí)行m次Random Subset Test的 Atomic Random Subset Test。 由jt匕,獨(dú)立執(zhí)4亍m次Random Subset Test的 Atomic Random Subset Test將"無(wú)效,,的批量實(shí)例作為"有效"來(lái)接受的 概率最高為l/2m。另外,在上述Small Exponents Test中,將"無(wú)效,,的 批量實(shí)例作為"有效"來(lái)接受的概率最高也為l/2m。在這一點(diǎn)上,文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證的效率依賴(lài)于批量實(shí)例的個(gè) 數(shù)n和安全級(jí)別m。文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證的效率依賴(lài)于批量實(shí)例的個(gè)數(shù)n和安全級(jí) 別m,在效率和安全性(安全級(jí)別m)之間存在折衷選擇的關(guān)系,若要 求高安全性,則不能期望高效率。 發(fā)明內(nèi)容因此,本發(fā)明的目的在于實(shí)現(xiàn)兼?zhèn)涓甙踩院透咝实慕y(tǒng)一驗(yàn)證。 為了解決以上課題,本發(fā)明對(duì)于多個(gè)簽名數(shù)據(jù)確定順序,發(fā)揮與所 確定的順序?qū)?yīng)的數(shù)的作用。例如,本發(fā)明提供一種統(tǒng)一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例的統(tǒng)一驗(yàn) 證裝置,其特征為對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序,所述批量實(shí)例 具有第一值和第二值,具備處理部,其根據(jù)以下兩個(gè)值是否一致來(lái)進(jìn)行 驗(yàn)證,其中一個(gè)值為把所述第一值乘以根據(jù)所述順序而不同的數(shù)得到的 乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生成源進(jìn)行冪運(yùn)算得到的值;另一個(gè)值為將^4居所述順序而不同的數(shù)作為冪指數(shù),對(duì)所述第二值進(jìn)行冪 運(yùn)算得到的值。如上所述,根據(jù)本發(fā)明,可以實(shí)現(xiàn)兼?zhèn)涓甙踩院透咝实慕y(tǒng)一驗(yàn)證o


圖1表示作為第一實(shí)施方式的簽名統(tǒng)一驗(yàn)證系統(tǒng)的概要。圖2表示簽名裝置的概要。圖3表示驗(yàn)證裝置的概要。圖4表示數(shù)學(xué)函數(shù)計(jì)算部的概要。圖5表示計(jì)算機(jī)的硬件結(jié)構(gòu)的概要。圖6是表示簽名裝置的簽名生成處理的順序圖。圖7是表示驗(yàn)證裝置的簽名的統(tǒng)一驗(yàn)證處理的順序圖。圖8是表示通過(guò)數(shù)學(xué)函數(shù)計(jì)算部的統(tǒng)一驗(yàn)證處理的順序圖。圖9是表示置換部的調(diào)換處理的流程圖。圖IO是計(jì)算成本(計(jì)算時(shí)間)的比較圖。圖ll表示簽名裝置的概要。圖12表示驗(yàn)證裝置的概要。圖13是表示數(shù)學(xué)函數(shù)計(jì)算部中的統(tǒng)一驗(yàn)證處理的流程圖。 圖14表示簽名裝置的概要。 圖15表示驗(yàn)證裝置的概要。圖16是表示通過(guò)數(shù)學(xué)函數(shù)計(jì)算部的統(tǒng)一驗(yàn)證處理的流程圖。 圖17表示實(shí)時(shí)監(jiān)視系統(tǒng)的概要。 符號(hào)說(shuō)明100:簽名統(tǒng)一'驗(yàn)證系統(tǒng);110、 210、 310:簽名裝置;111、 211、 311: 存儲(chǔ)部;114、 214、 314:處理部;130、 230、 330:驗(yàn)證裝置;131、 231、 331: 存儲(chǔ)部;134、 234、 334:處理部具體實(shí)施方式
圖1是作為本發(fā)明第一實(shí)施方式的簽名統(tǒng)一-瞼證系統(tǒng)100的概要圖。 如圖所示,簽名統(tǒng)一驗(yàn)證系統(tǒng)100具有簽名裝置110和驗(yàn)證裝置130,這 些簽名裝置110和驗(yàn)證裝置130可以通過(guò)網(wǎng)絡(luò)150相互收發(fā)信息。并且,在作 為本實(shí)施方式的簽名統(tǒng)一驗(yàn)證系統(tǒng)100中,在簽名裝置110中進(jìn)行針對(duì)消息M 的簽名的生成,在驗(yàn)證裝置130中進(jìn)行簽名的統(tǒng)一驗(yàn)證。 圖2是簽名裝置IIO的積無(wú)要圖。如圖所示,簽名裝置IIO具有存儲(chǔ)部111、處理部114、輸入部117、輸出部118以及通信部119。在存儲(chǔ)部111中設(shè)置有簽名生成密鑰存儲(chǔ)區(qū)域112和數(shù)據(jù)存儲(chǔ)區(qū)域113。 在簽名生成密鑰存儲(chǔ)區(qū)域112中存儲(chǔ)作為進(jìn)行簽名時(shí)的密鑰信息的簽名生成密鑰。在數(shù)據(jù)存儲(chǔ)區(qū)域113中存儲(chǔ)作為簽名對(duì)象翁:據(jù)的消息。 處理部114具有簽名生成處理部115和數(shù)學(xué)函數(shù)計(jì)算部116。 簽名生成處理部115控制針對(duì)作為簽名對(duì)象:據(jù)的消息的簽名數(shù)據(jù)的生 成處理。例如,在本實(shí)施方式中,簽名生成處理部115通過(guò)將作為簽名對(duì)象數(shù)據(jù)的 消息輸入到預(yù)先規(guī)定的散列函數(shù)中,來(lái)生成輸入數(shù)據(jù)。然后,簽名生成處理部115取得在簽名生成密鑰存儲(chǔ)區(qū)域112中存儲(chǔ)的簽 名生成密鑰,與輸入數(shù)據(jù)一起輸入至數(shù)學(xué)函數(shù)計(jì)算部116。然后,簽名生成處理部115取得由數(shù)學(xué)函數(shù)計(jì)算部116生成的簽名,將簽 名和消息作為簽名數(shù)據(jù),經(jīng)由通信部139發(fā)送給驗(yàn)證裝置130。數(shù)學(xué)函數(shù)計(jì)算部116對(duì)于從簽名生成處理部115輸入的輸入數(shù)據(jù),使用從 簽名生成處理部115輸入的簽名生成密鑰,執(zhí)行基于預(yù)定算法的加密,來(lái)生成 簽名。然后,數(shù)學(xué)函數(shù)計(jì)算部116將如此生成的簽名輸出給簽名生成處理部115。輸入部117接收信息的輸入。輸出部118輸出信息。通信部119通過(guò)網(wǎng)絡(luò)150進(jìn)行信息的收發(fā)。以上記載的簽名裝置110例如可以通過(guò)圖5 (計(jì)算機(jī)160的概要圖)所示 的一般的計(jì)算機(jī)160來(lái)實(shí)現(xiàn),該計(jì)算機(jī)160具有CPU161、存儲(chǔ)器162、 HDD 等外部存儲(chǔ)裝置163、從CD - ROM或DVD - ROM等可移動(dòng)的存儲(chǔ)媒體164 讀取信息的讀取裝置165、鍵盤(pán)鼠標(biāo)等輸入裝置166、顯示器等輸出裝置167、 以及用于連接到通信網(wǎng)絡(luò)的NIC (NetworkInterface Card)等通信裝置168。例如,存儲(chǔ)部111可以通過(guò)由CPU161利用存儲(chǔ)器162或外部存儲(chǔ)裝置 163來(lái)實(shí)現(xiàn),處理部114可以通過(guò)將存儲(chǔ)在外部存儲(chǔ)裝置163中的規(guī)定程序加 載到存儲(chǔ)器162中,然后由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部117可以通過(guò)由 CPU161利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部118可以通過(guò)由CPU161利用輸出 裝置167來(lái)實(shí)現(xiàn),通信部119可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)媒體164下載到外部存儲(chǔ)裝置 163中或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163中,然后加載到 存儲(chǔ)器162中由CPU161來(lái)執(zhí)行。另外,也可以通過(guò)讀取裝置165從存儲(chǔ)媒體 164直接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器 162上,然后由CPU161執(zhí)行。圖3是驗(yàn)證裝置130的概要圖。驗(yàn)證裝置130具有存儲(chǔ)部131、處理部134、輸入部137、輸出部138以 及通信部139。在存儲(chǔ)部131中設(shè)置有簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域132和簽名數(shù)據(jù)存儲(chǔ)區(qū)域133。在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域132中存儲(chǔ)簽名驗(yàn)證密鑰,該簽名驗(yàn)證密鑰是用 于對(duì)從簽名裝置110發(fā)送來(lái)的簽名數(shù)據(jù)中包含的簽名進(jìn)行解密來(lái)進(jìn)行驗(yàn)證的密鑰信息。在簽名數(shù)據(jù)存儲(chǔ)區(qū)域133中存儲(chǔ)從簽名裝置110發(fā)送來(lái)的簽名數(shù)據(jù)。 處理部134具有簽名統(tǒng)一驗(yàn)證處理部135和數(shù)學(xué)函數(shù)計(jì)算部136。 簽名統(tǒng)一驗(yàn)證處理部135控制統(tǒng)一驗(yàn)證從簽名裝置110發(fā)送來(lái)的簽名數(shù)據(jù) 的處理。例如,在本實(shí)施方式中,簽名統(tǒng)一驗(yàn)證處理部135從存儲(chǔ)部131取得存儲(chǔ) 在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域132中的簽名驗(yàn)證密鑰沐以及存儲(chǔ)在簽名數(shù)據(jù)存儲(chǔ) 區(qū)域133中的簽名數(shù)據(jù),然后輸入給數(shù)學(xué)函數(shù)計(jì)算部136。然后,簽名統(tǒng)一驗(yàn)證處理部135從數(shù)學(xué)函數(shù)計(jì)算部136取得統(tǒng)一驗(yàn)證的結(jié) 果,并將其存儲(chǔ)在存儲(chǔ)部131中,或者通過(guò)輸出部138和通信部139輸出驗(yàn)證 結(jié)果。數(shù)學(xué)函數(shù)計(jì)算部136對(duì)于從簽名統(tǒng)一驗(yàn)證部135輸入的簽名數(shù)據(jù)中包含的 簽名,使用從簽名統(tǒng)一驗(yàn)證部135輸入的簽名驗(yàn)證密鑰,執(zhí)行基于預(yù)先規(guī)定的 算法的簽名的統(tǒng)一驗(yàn)證,來(lái)確認(rèn)簽名的有效性。例如,在本實(shí)施方式中,如圖4 (數(shù)據(jù)函數(shù)計(jì)算部136的概要圖)所示, 數(shù)學(xué)函數(shù)計(jì)算部136具有批量實(shí)例生成部136a、置換部136b以及模指數(shù)運(yùn)算 (modulo exponentiation)部136f。批量實(shí)例生成部136a根據(jù)從簽名統(tǒng)一驗(yàn)證部135輸入的簽名數(shù)據(jù)中包含 的簽名,生成批量實(shí)例。這里,批量實(shí)例的生成方法依賴(lài)于在簽名裝置110以 及驗(yàn)證裝置130中使用的簽名方式。此外,根據(jù)在簽名裝置110以及驗(yàn)證裝置 130中使用的簽名方式生成的簽名成為批量實(shí)例時(shí),無(wú)需在數(shù)學(xué)函數(shù)計(jì)算部 136中設(shè)置批量實(shí)例生成部136a。此外,關(guān)于批量實(shí)例的具體的生成方法,在 后述的實(shí)施方式2以及3中進(jìn)行說(shuō)明。置換部136b進(jìn)行調(diào)換批量實(shí)例的順序的處理。批量實(shí)例的順序的調(diào)換可以采用任意的調(diào)換方法,但是在本實(shí)施方式中使 用偽隨機(jī)數(shù)生成部136c、中間狀態(tài)存儲(chǔ)部136d、調(diào)換部136e、反復(fù)判斷部136f 來(lái)進(jìn)行調(diào)換。此外,關(guān)于具體的調(diào)換方法,使用圖9進(jìn)行詳細(xì)說(shuō)明。模指數(shù)運(yùn)算部136f對(duì)由置換部136b進(jìn)行了調(diào)換的批量實(shí)例進(jìn)行模指數(shù)運(yùn) 算,來(lái)進(jìn)行驗(yàn)證。此外,關(guān)于在模指數(shù)運(yùn)算部136f中的處理,使用圖8進(jìn)行 詳細(xì)i兌明。輸入部137接收信息的輸入。輸出部138輸出信息。通信部139通過(guò)網(wǎng)絡(luò)150進(jìn)行信息的收發(fā)。關(guān)于以上記載的驗(yàn)證裝置130,例如也可以通過(guò)圖5 (計(jì)算機(jī)160的概要 圖)所示的一般的計(jì)算機(jī)160來(lái)實(shí)現(xiàn)。例如,存儲(chǔ)部131可以通過(guò)由CPU161利用存儲(chǔ)器162或外部存儲(chǔ)裝置 163來(lái)實(shí)現(xiàn),處理部134可以通過(guò)將存儲(chǔ)在外部存儲(chǔ)裝置163中的規(guī)定的程序 加載到存儲(chǔ)器162中由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部137可以通過(guò)由CPU161 利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部138可以通過(guò)由CPU161利用輸出裝置167 來(lái)實(shí)現(xiàn),通信部139可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)媒體164下載到外部存儲(chǔ)裝置 163中或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163中,然后加載到 存儲(chǔ)器162,由CPU161來(lái)執(zhí)行。另外,也可以通過(guò)讀取裝置165從存儲(chǔ)媒體 164直接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器 162上,由CPU161執(zhí)行。圖6是表示簽名裝置110的簽名生成處理的順序圖。首先,簽名裝置110的簽名生成處理部115取得通過(guò)輸入部117輸入的、 或者存儲(chǔ)在數(shù)據(jù)存儲(chǔ)區(qū)域113中的消息M ( S10 )。這里,消息M只要是數(shù)字 化的數(shù)據(jù)即可,與其是文本、圖像、影像、聲音等中的哪一種無(wú)關(guān)。然后,簽名生成處理部115根據(jù)取得的消息M生成輸入數(shù)據(jù)H ( Sll )。 輸入數(shù)據(jù)H例如為消息M的散列值等,依賴(lài)于消息M、使用的簽名方式。然后,簽名生成處理部115讀取存儲(chǔ)在存儲(chǔ)部111的簽名生成密鑰存儲(chǔ)區(qū) 域112中的簽名生成密鑰sk (S12)。然后,簽名生成處理部115將讀取出的簽名生成密鑰sk以及在步驟Sll 中生成的輸入數(shù)據(jù)H輸入給數(shù)學(xué)函數(shù)計(jì)算部116 (S13)。數(shù)學(xué)函數(shù)計(jì)算部116根椐輸入的簽名生成密鑰sk和輸入數(shù)據(jù)H,計(jì)算簽名S(S14)。這里,簽名S為根據(jù)采用的簽名方式計(jì)算的值。然后,數(shù)學(xué)函數(shù)計(jì)算部116將計(jì)算出的簽名S輸出至簽名生成處理部115 (S15)。簽名生成處理部115將接收到的簽名S和消息M作為簽名數(shù)據(jù),通過(guò)通 信部119發(fā)送給驗(yàn)證裝置130 (S16)。此外,關(guān)于在步驟S12中從存儲(chǔ)部111取得簽名生成密鑰sk的定時(shí),只 要在向數(shù)學(xué)函數(shù)計(jì)算部116輸出簽名生成密鑰sk之前即可,例如可以在取得 消息M(S10)之前。圖7是表示驗(yàn)證裝置130的簽名的統(tǒng)一驗(yàn)證處理的順序圖。首先,驗(yàn)證裝置130的簽名統(tǒng)一驗(yàn)證處理部135取得任意個(gè)通過(guò)輸入部 137和通信部139輸入的簽名數(shù)據(jù),或者在存儲(chǔ)部131的簽名數(shù)據(jù)存儲(chǔ)區(qū)域133 中存儲(chǔ)的簽名數(shù)據(jù)(S20)。另外,簽名統(tǒng)一驗(yàn)證處理部135讀取存儲(chǔ)在存儲(chǔ)部131的簽名驗(yàn)證密鑰存 儲(chǔ)區(qū)域132中的簽名驗(yàn)證密鑰pk (S21)。然后,簽名統(tǒng)一驗(yàn)證處理部135將取得的多個(gè)簽名數(shù)據(jù)以及讀取的簽名驗(yàn) 證密鑰沐輸入給數(shù)學(xué)函數(shù)計(jì)算部l36 (S22)。在數(shù)學(xué)函數(shù)計(jì)算部136中,根據(jù)在輸入的多個(gè)簽名數(shù)據(jù)中包含的簽名S 生成批量實(shí)例(S23)。此外,在簽名S已經(jīng)成為批量實(shí)例時(shí),無(wú)需生成批量 實(shí)例。然后,數(shù)學(xué)函數(shù)計(jì)算部136根據(jù)輸入的簽名驗(yàn)證密鑰pk和批量實(shí)例,進(jìn) 行預(yù)先規(guī)定的統(tǒng)一驗(yàn)證(S24 ),并將結(jié)果作為驗(yàn)證結(jié)果輸出至簽名統(tǒng)一驗(yàn)證處 理部135 (S25)。此外,關(guān)于在數(shù)學(xué)函數(shù)計(jì)算部136中的簽名的統(tǒng)一驗(yàn)證處理, 使用后述的圖8進(jìn)行詳細(xì)的說(shuō)明。取得了這樣的驗(yàn)證結(jié)果的簽名統(tǒng)一驗(yàn)證處理部135將驗(yàn)證結(jié)果存儲(chǔ)在存 儲(chǔ)部131中,或者通過(guò)輸出部138和通信部139輸出驗(yàn)證結(jié)果(簽名數(shù)據(jù)是否 有效)(S26)。此外,關(guān)于從存儲(chǔ)部131讀出簽名驗(yàn)證密鑰pk (S21),只要在數(shù)學(xué)函數(shù) 計(jì)算部136進(jìn)行統(tǒng)一驗(yàn)證之前即可,例如,可以在步驟S20中接收簽名數(shù)據(jù)之圖8是表示數(shù)學(xué)函數(shù)計(jì)算部136中的統(tǒng)一驗(yàn)證處理的流程圖。這里,在本實(shí)施方式中,在簽名的統(tǒng)一驗(yàn)證中,將G作為設(shè)位數(shù)為q(q 為大的素?cái)?shù))的有限循環(huán)群,將g作為群G的生成源,將簽名驗(yàn)證密鑰pk設(shè) 為(G、 g、 q)。下面,具體說(shuō)明多個(gè)簽名Sj (i-1,…,n)(n為任意的正整 數(shù))的鄉(xiāng)克一馬全i正方法。數(shù)學(xué)函數(shù)計(jì)算部136中的統(tǒng)一驗(yàn)證處理通過(guò)由簽名統(tǒng)一驗(yàn)證處理部135 接收任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入來(lái)開(kāi)始(S30)。當(dāng)簽名統(tǒng)一驗(yàn)證處理部135接收到任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入時(shí),數(shù)學(xué)函 數(shù)計(jì)算部136的批量實(shí)例生成部136a根據(jù)輸入的簽名數(shù)據(jù)中包含的多個(gè)簽名 Sj(i = l,…,n),生成批量實(shí)例(Xi, yi)(i = l,…,n)(S31)。這里,批 量實(shí)例的轉(zhuǎn)換方法依賴(lài)于使用的簽名方式。此外,關(guān)于具體的向批量實(shí)例的轉(zhuǎn) 換方法,在后述的第二以及第三實(shí)施方式中進(jìn)行說(shuō)明。另外,如在第二以及第 三實(shí)施方式中說(shuō)明的那樣,作為不需要向批量實(shí)例的轉(zhuǎn)換的簽名方式,例如, 具有文獻(xiàn)l中記載的RSA-FDH簽名、08八*簽名和£〔08八*簽名,作為需要 向批量實(shí)例的轉(zhuǎn)換的簽名方式,例如具有文獻(xiàn)1中記載的DSA簽名和ECDSA 簽名等。此外,ECDSA承簽名以及ECDSA簽名被記載在A. Antipa, D. Brown, R. Gallant, R. Lambert, R. Struik, and S. Vanstone, "Accelerated Verification of ECDSA Signatures", Selected Areas in Cryptography-SAC 2005, LNCS 3897, pp.307-318,2006.(以下稱(chēng)為文獻(xiàn)2)。然后,數(shù)學(xué)函數(shù)計(jì)算部136的置換部136b從置換群SIFTn隨機(jī)選擇置換 s,即,通過(guò)任意的置換方法將批量實(shí)例(Xi, yi)(i=l,…,n)的順序調(diào) 換為(xE(i), yE(i))(i=l,…,n)(S32)。這里,置換群SIFT。是從集合(1, 2,…,n)向集合(l, 2,…,n)的全部置換的集合,該置換最好為雙向單射 (bijection)。此外,關(guān)于置換的具體例,使用后述的圖9進(jìn)行詳細(xì)說(shuō)明。然后,數(shù)學(xué)函數(shù)計(jì)算部136的模指數(shù)運(yùn)算部136f使用調(diào)換后的(xE(i,, y (i=l,…,n)計(jì)算下式(8)以及(9)。<formula>formula see original document page 14</formula><formula>formula see original document page 15</formula>...(9 )這里,式(8)以及式(9)中的a為任意的自然數(shù),預(yù)先設(shè)定為至少在一 次驗(yàn)證中在(8)式以及(9)式中成為相同的數(shù)。此外,關(guān)于式(8)以及式 (9)中的cci,并不限于這樣的方式,可以是根據(jù)順序i而不同的數(shù),例如為 以i為變量的任意的函數(shù)f (i)。然后,模指數(shù)運(yùn)算部136f在式(8)中計(jì)算出的z和在式(9)中計(jì)算出 的w之間檢查是否滿(mǎn)足下式(10),在滿(mǎn)足時(shí)(在步驟S34中為Yes),判斷為 簽名有效(S35),在不滿(mǎn)足時(shí)(在步驟S34中為No),判斷為簽名無(wú)效(S36)。z = w." (10)此外,在本實(shí)施方式中,通過(guò)z-w進(jìn)行了驗(yàn)證處理,但是只要能夠進(jìn)行驗(yàn)證處理,可以使用任何驗(yàn)證式,與驗(yàn)證式的種類(lèi)無(wú)關(guān)。圖9是表示置換部136b中的調(diào)換處理的流程圖。首先,置換部136b的中間狀態(tài)存儲(chǔ)部136d將批量實(shí)例(Xj,yi) (i=l,…, n)存儲(chǔ)在區(qū)域T中(S40)。然后,置換部136b的偽隨機(jī)數(shù)生成部136c生成隨機(jī)數(shù)k (S41)。這里, 偽隨機(jī)數(shù)生成部136c將隨機(jī)數(shù)k和預(yù)先設(shè)定的初始矢量IV輸入給偽隨機(jī)數(shù)生 成器,對(duì)于預(yù)先設(shè)定的整數(shù)t,輸出隨機(jī)數(shù)串ro, rP…,r2tM (S42 )。這里, 整數(shù)t表示對(duì)批量實(shí)例進(jìn)行調(diào)換的次數(shù),預(yù)先設(shè)定該整數(shù)t。反復(fù)判斷部136f對(duì)i進(jìn)行初始化(對(duì)i存儲(chǔ)1 ) ( S43 )然后,反復(fù)判斷部136f判斷是否為i^t (S44)。然后,在i^t時(shí)(在步 驟S44中為Yes),進(jìn)入步驟S45,在不是i^t時(shí)(在步驟S44中為No ),結(jié) 束處理。在步驟S45中,調(diào)換部136e調(diào)換存儲(chǔ)在區(qū)域T中的批量實(shí)例的第(r2imod n)和第(r2i + 1modn) ( S45 )。此外,關(guān)于偽隨4幾數(shù)生成器,詳細(xì)記載在例如D. Wanatabe, S. Furuya, H. Yoshida, K, Takaragi, and B. Preneel, "A New Keystream Generator MUGI", IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, vol. E87誦A, No.l, 2004.中。然后,使i加l (i —i+l)后(S46),返回步驟S44重復(fù)進(jìn)行處理。此外,關(guān)于整數(shù)t的值,可以是預(yù)先設(shè)定的固定值,也可以在每次進(jìn)行統(tǒng) 一驗(yàn)證時(shí)進(jìn)行變更。另外,置換的生成方法并不限于這樣的方式,例如,也可以事先生成表示 調(diào)換的表(對(duì)應(yīng)地存儲(chǔ)調(diào)換前的順序和調(diào)換后的順序的表),根據(jù)該表進(jìn)行調(diào) 換,只要能夠?qū)崿F(xiàn)那種方法都可以。而且,置換方法可以在每次進(jìn)行統(tǒng)一驗(yàn)證時(shí)進(jìn)行變更,也可以在多次使用 后進(jìn)行變更。但是,在多次使用特定的置換方法時(shí),出于安全性的觀點(diǎn),需要 使簽名驗(yàn)證者不知道該置換方法。此外,在批量實(shí)例(Xi, y》(i-l,…,n)中,如果對(duì)于各i(i-l,…, n)滿(mǎn)足上述式(l),則滿(mǎn)足上述式(IO)。即,上述簽名統(tǒng)一驗(yàn)證方法將有效 的批量實(shí)例始終作為"有效"來(lái)接受。其理由如下如果對(duì)于各i(i-l,…,n)滿(mǎn)足式(1),則對(duì)于各i (i=l,…,n), 下式(11)成立。 (') mod《二3^)mo化..(11)而且,根據(jù)式(ll),下式(12)成立。 (') mo勿"w)。 mo化,,(12)另外,上述簽名的統(tǒng)一驗(yàn)證方法將無(wú)效的批量實(shí)例作為"有效"來(lái)接受的概率的上限最高為1/q。其理由如下在決定了與i0 (l$i0〇n)以外的i (i=l,…,n)對(duì)應(yīng)的整數(shù)j (i) (1 芻j芻n)時(shí),存在滿(mǎn)足下式(13)以及(14)的j (i0)的概率最高為1/q。其 中,l司U) ^n。gSx" mo勿=n乃(')mod《...(13)/ft))^乂(00、1,…,厶一1, /0, /0+1,...,")…(14) 另外,圖IO表示文獻(xiàn)I中記載的統(tǒng)一驗(yàn)證和本實(shí)施方式中記載的統(tǒng)一驗(yàn) 證(在圖10中稱(chēng)為Random Shuffle Test)中的計(jì)算成本(計(jì)算時(shí)間)的比較圖。如上所述,文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證的計(jì)算成本依賴(lài)于要驗(yàn)證的批量實(shí)例的個(gè)數(shù)n和安全參數(shù)m這兩個(gè)因素,與此相對(duì),本發(fā)明的Random Shuffle Test 的計(jì)算成本僅依賴(lài)于要驗(yàn)證的批量實(shí)例的個(gè)數(shù)n。因此,可知本實(shí)施方式中記載的統(tǒng)一驗(yàn)證與文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證相 比,可以更高效率地進(jìn)行統(tǒng)一驗(yàn)證。另外,本實(shí)施方式中記載的統(tǒng)一驗(yàn)證具有高安全性的理由如下如上所述,根據(jù)近年的計(jì)算機(jī)的性能,我們知道m(xù)最好設(shè)定為80左右。 另一方面,根據(jù)近年的計(jì)算機(jī)的性能以及到目前為止已知的對(duì)于數(shù)學(xué)函數(shù)的攻 擊方法,要求q使用160比特左右或以上的素?cái)?shù)。此時(shí),文獻(xiàn)1中記載的統(tǒng)一驗(yàn)^汪中的安全級(jí)別為80左右,與此相對(duì),本 實(shí)施方式中記載的統(tǒng)一驗(yàn)證中的安全級(jí)別為160左右。如上所述,我們知道安 全級(jí)別越高,安全性就越高。因此,可以可知本實(shí)施方式中記載的統(tǒng)一驗(yàn)證還 具有高安全性。如上所述,根據(jù)本實(shí)施方式的統(tǒng)一驗(yàn)證,通過(guò)進(jìn)行置換以及使用可高效進(jìn) 行計(jì)算的驗(yàn)證式,可以實(shí)現(xiàn)兼?zhèn)涓甙踩院透咝实暮灻y(tǒng)一驗(yàn)證。此外,在上述記載的實(shí)施方式中,驗(yàn)證式(16)來(lái)代替驗(yàn)證下面的式(15), 但是并不限定于這樣的方式。<formula>formula see original document page 17</formula> (15)<formula>formula see original document page 17</formula>(16)例如,可以驗(yàn)證式(18)來(lái)代替驗(yàn)證下面的式(17)。<formula>formula see original document page 17</formula> (17)<formula>formula see original document page 17</formula>(18)其中,有限群G為加法群。在此,與上述一樣,式(17)以及式U8)中的cc為任意的自然數(shù),但不限定于這樣的方式,可以為根據(jù)順序i而不同的數(shù),例如為以i為變量的任意的函數(shù)f (i)。下面,對(duì)第二實(shí)施方式的簽名統(tǒng)一驗(yàn)證系統(tǒng)進(jìn)行說(shuō)明。第二實(shí)施方式是將本發(fā)明應(yīng)用于DSA簽名的例子。這里,在本實(shí)施方式的簽名統(tǒng)一驗(yàn)證系統(tǒng)中與第一實(shí)施方式相同,具有簽名裝置210以及驗(yàn)證裝置230。 圖11是在本實(shí)施方式中使用的簽名裝置210的概要圖。 如圖所示,簽名裝置210具有存儲(chǔ)部211、處理部214、輸入部117、輸出部118和通信部119,關(guān)于4lT入部117、輸出部118以及通信部119,因?yàn)榕c第一實(shí)施方式相同,因此省略說(shuō)明。在存儲(chǔ)部211中設(shè)置有簽名生成密鑰存儲(chǔ)區(qū)域212和數(shù)據(jù)存儲(chǔ)區(qū)域213。 在簽名生成密鑰存儲(chǔ)區(qū)域212中存儲(chǔ)作為進(jìn)行簽名時(shí)的密鑰信息的簽名生成密鑰。在此,DSA簽名中的簽名生成密鑰x為x: x6ZqM的整數(shù)。 在數(shù)據(jù)存儲(chǔ)區(qū)域213中存儲(chǔ)作為簽名對(duì)象數(shù)據(jù)的消息。 處理部214具有簽名生成處理部215和數(shù)學(xué)函數(shù)計(jì)算部216。 簽名生成處理部215控制針對(duì)作為簽名對(duì)象數(shù)據(jù)的消息的簽名數(shù)據(jù)的生成處理。例如,在本實(shí)施方式中,簽名生成處理部215通過(guò)將作為簽名對(duì)象數(shù)據(jù)的 消息輸入給預(yù)先規(guī)定的散列函數(shù),來(lái)生成輸入數(shù)據(jù)。然后,簽名生成處理部215取得存儲(chǔ)在簽名生成密鑰存儲(chǔ)區(qū)域212中的簽 名生成密鑰,與輸入數(shù)據(jù)一起輸入至數(shù)學(xué)函數(shù)計(jì)算部216。然后,簽名生成處理部215取得由數(shù)學(xué)函數(shù)計(jì)算部216生成的簽名,將簽 名和消息作為簽名數(shù)據(jù),通過(guò)通信部139發(fā)送至驗(yàn)證裝置230。數(shù)學(xué)函數(shù)計(jì)算部216對(duì)于從簽名生成處理部215輸入的輸入數(shù)據(jù),使用從 簽名生成處理部215輸入的簽名生成密鑰,執(zhí)行基于預(yù)先規(guī)定的算法的加密來(lái) 生成簽名。在DSA簽名中,通過(guò)下式(19 )以及式(20 )計(jì)算針對(duì)使用了上述簽名 生成密鑰x的消息Mi (i-l,…,n)的簽名Si。 <formula>formula see original document page 18</formula>(19) <formula>formula see original document page 18</formula>...(20)其中,kj為生成簽名時(shí)生成的隨機(jī)數(shù),滿(mǎn)足下面式(21)。W…(21 )另外,a,滿(mǎn)足下面式(22)。<formula>formula see original document page 19</formula>這里,H表示密碼學(xué)上的散列函數(shù)。另外,DSA簽名中的系統(tǒng)參數(shù)(p、 q、 g)如下p: 2L-1<p<2L、 512〇L〇1024、 Lmod64s0的素?cái)?shù)。q: ql (p-l)、 2159< q< 2160的素?cái)?shù)。g:對(duì)于某h6Zp、 g = h(p_1Wqmodp。在網(wǎng)絡(luò)上公開(kāi)這些系統(tǒng)參數(shù)。這里,ZJ是x和q的最大公約數(shù)為1的比q小的所有正整數(shù)的集合。 然后,數(shù)學(xué)函數(shù)計(jì)算部216將如此生成的簽名輸出至簽名生成處理部215。 以上記載的簽名裝置210也可以通過(guò)例如圖5所示的一般的計(jì)算機(jī)160 來(lái)實(shí)現(xiàn)。例如,存儲(chǔ)部211可以通過(guò)由CPU161利用存儲(chǔ)器162或外部存儲(chǔ)裝置 163來(lái)實(shí)現(xiàn),處理部214可以通過(guò)將存儲(chǔ)在外部存儲(chǔ)裝置163中的規(guī)定的程序 加載到存儲(chǔ)器162中,由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部117可以通過(guò)由CPU161 利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部118可以通過(guò)由CPU161利用輸出裝置167 來(lái)實(shí)現(xiàn),通信部119可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)媒體164下載到外部存儲(chǔ)裝置 163或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163,然后加載到存儲(chǔ) 器162由CPU161來(lái)執(zhí)行。另夕卜,也可以通過(guò)讀取裝置165從存儲(chǔ)媒體164直 接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器162 上,由CPU161執(zhí)行。圖12是在本實(shí)施方式中使用的驗(yàn)證裝置230的概要圖。驗(yàn)證裝置230具有存儲(chǔ)部231、處理部234、輸入部137、輸出部138以 及通信部139,由于輸入部137、輸出部138以及通信部139與第一實(shí)施方式 相同,因此省略說(shuō)明。在存儲(chǔ)部231中設(shè)置有簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域232和簽名數(shù)據(jù)存儲(chǔ)區(qū)域233。在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域232中存儲(chǔ)簽名驗(yàn)證密鑰,該簽名驗(yàn)證密鑰是用 于對(duì)從簽名裝置210發(fā)送來(lái)的簽名數(shù)據(jù)中包含的簽名進(jìn)行解密然后進(jìn)行驗(yàn)證 的密鑰信息。在此,DSA簽名中的簽名驗(yàn)證密鑰為(y、 g、 p、 q)。此外,y=gx。 在簽名數(shù)據(jù)存儲(chǔ)區(qū)域233中存儲(chǔ)從簽名裝置210發(fā)送來(lái)的簽名數(shù)據(jù)。 處理部234具有簽名統(tǒng)一驗(yàn)證處理部235和數(shù)學(xué)函數(shù)計(jì)算部236。 簽名統(tǒng)一驗(yàn)證處理部235控制統(tǒng)一驗(yàn)證從簽名裝置210發(fā)送來(lái)的簽名數(shù)據(jù) 的處理。例如,在本實(shí)施方式中,簽名統(tǒng)一驗(yàn)證處理部235從存儲(chǔ)部231取得存儲(chǔ) 在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域232中的簽名驗(yàn)證密鑰以及存儲(chǔ)在簽名數(shù)據(jù)存儲(chǔ)區(qū) 域233中的簽名數(shù)據(jù),并輸入給數(shù)學(xué)函數(shù)計(jì)算部236。然后,簽名統(tǒng)一驗(yàn)證處理部235從數(shù)學(xué)函數(shù)計(jì)算部236取得統(tǒng)一驗(yàn)證的結(jié) 果,并將其存儲(chǔ)在存儲(chǔ)部231中或者通過(guò)輸出部138和通信部139輸出驗(yàn)證結(jié) 果。數(shù)學(xué)函數(shù)計(jì)算部236對(duì)于從簽名統(tǒng)一驗(yàn)證部235輸入的簽名數(shù)據(jù)中包含的 簽名,使用從簽名統(tǒng)一驗(yàn)證部235輸入的簽名驗(yàn)證密鑰,執(zhí)行基于預(yù)先規(guī)定的 算法的簽名的統(tǒng)一驗(yàn)證,來(lái)確認(rèn)簽名的有效性。這里,雖然未圖示,但數(shù)學(xué)函數(shù)計(jì)算部236與第一實(shí)施方式相同具有批量 實(shí)例生成部、置換部和模指數(shù)運(yùn)算部。關(guān)于通過(guò)DSA簽名方式生成的簽名,需要進(jìn)行變形以便能夠應(yīng)用統(tǒng)一驗(yàn) 證方式,因此數(shù)學(xué)函數(shù)計(jì)算部236的批量實(shí)例生成部把從簽名裝置210取得的 簽名變更為批量實(shí)例。具體地說(shuō),數(shù)學(xué)函數(shù)計(jì)算部236的批量實(shí)例生成部對(duì)于通過(guò)上述.式(19) 計(jì)算出的簽名Si,使用滿(mǎn)足上述式(20)、式(21)以及式(22)的、、kj、 (7i,通過(guò)下式(23)、式(24)以及式(25)計(jì)算批量實(shí)例。<formula>formula see original document page 20</formula>數(shù)學(xué)函數(shù)計(jì)算部236的置換部通過(guò)任意的方法調(diào)換由批量實(shí)例生成部變換后的批量實(shí)例。這里,假設(shè)通過(guò)與第一實(shí)施方式相同的方法進(jìn)行調(diào)換。例如,將批量實(shí)例(入i, a;, bi) (i=l,…,n)的順序調(diào)換為(入T (i), aT(i), bT(i))U=l,…,n)。這里,T是用于識(shí)別調(diào)換方法的記號(hào)。然后,數(shù)學(xué)函數(shù)計(jì)算部236的模指數(shù)運(yùn)算部根據(jù)是否滿(mǎn)足下式(26 )來(lái)進(jìn) 行驗(yàn)證。爪(0、》"' 》"' 0化..(26)即,在滿(mǎn)足式(26)時(shí),作為"有效"接受簽名Sj,在不滿(mǎn)足式(26)時(shí), 作為"無(wú)效"拒絕簽名Sj。此外,式(26)中的cx是任意的自然數(shù)。這里,關(guān) 于式(26)中的C(i,并不限于這樣的方式,可以是根據(jù)順序i而不同的數(shù),例 如為以i為變量的任意函數(shù)f (i)。關(guān)于以上記載的驗(yàn)證裝置230,也可以通過(guò)圖5所示的一般的計(jì)算機(jī)160 來(lái)實(shí)現(xiàn)。例如,存儲(chǔ)部231可以通過(guò)CPU161利用存儲(chǔ)器162或外部存儲(chǔ)裝置163 來(lái)實(shí)現(xiàn),處理部234可以通過(guò)將存儲(chǔ)在外部存儲(chǔ)裝置163中的規(guī)定的程序加載 到存儲(chǔ)器162,然后由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部137可以通過(guò)由CPU161 利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部138可以通過(guò)由CPU161利用輸出裝置167 來(lái)實(shí)現(xiàn),通信部139可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)媒體164下載到外部存儲(chǔ)裝置 163或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163,然后加載到存儲(chǔ) 器162由CPU161來(lái)執(zhí)行。另外,也可以通過(guò)讀取裝置165從存儲(chǔ)々某體164直 接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器162 上,由CPU161執(zhí)行。圖13是表示本實(shí)施方式的數(shù)學(xué)函數(shù)計(jì)算部236中的統(tǒng)一驗(yàn)證處理的流程圖。數(shù)學(xué)函數(shù)計(jì)算部236中的統(tǒng)一驗(yàn)證處理通過(guò)由簽名統(tǒng)一驗(yàn)證處理部235 接收任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入來(lái)開(kāi)始(S50)。在由簽名統(tǒng)一驗(yàn)證處理部235接收到任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入時(shí),數(shù)學(xué) 函數(shù)計(jì)算部236的批量實(shí)例生成部根據(jù)所輸入的簽名數(shù)據(jù)中包含的多個(gè)簽名Sj(i-l,…,n)生成批量實(shí)例(入i, a" bi)(i-l,…,n)(S51)。然后,數(shù)學(xué)函數(shù)計(jì)算部236的置換部從置換群SIFTn隨機(jī)選擇置換t ,即,通過(guò)任意的置換方法將批量實(shí)例(入i, a" bj)(i-l,…,n)的順序調(diào)換為 (入T(i), aT(i), bT(i)) (i-l,…,n) (S52 )。然后,數(shù)學(xué)函數(shù)計(jì)算部236的模指數(shù)運(yùn)算部使用調(diào)換后的(入T(i), aT(i),bT(i))計(jì)算上述式(26) (S53)。然后,模指數(shù)運(yùn)算部檢查是否滿(mǎn)足式(26),在滿(mǎn)足時(shí)(在步驟S53中為Yes),判斷簽名為有效(S54),在不滿(mǎn)足時(shí)(在步驟S53中為No),判斷簽名為無(wú)效(S55)。此外,在本實(shí)施方式中,通過(guò)式(26)進(jìn)行驗(yàn)證處理,但如果能夠進(jìn)行驗(yàn) 證處理,可以使用任何的驗(yàn)證式,無(wú)需考慮驗(yàn)證式的種類(lèi)。在本實(shí)施方式中,說(shuō)明了對(duì)某個(gè)簽名者的多個(gè)簽名(或批量實(shí)例)進(jìn)行統(tǒng) 一驗(yàn)證的情況,但是也可以對(duì)多個(gè)簽名者分別簽名的多個(gè)簽名(或者批量實(shí)例) 進(jìn)行統(tǒng)一驗(yàn)證。例如,作為具有簽名生成密鑰ski和簽名驗(yàn)證密鑰pki的組(skpxi,pki-(yi, g, p, q)〉(這里,yi = gxi)的至少一人以上的用戶(hù)Ai (l當(dāng)i^r)分別生成的 批量實(shí)例(a/1), bj(") (l司^n (i) }的統(tǒng)一驗(yàn)證,具有如下方法。第一種方法是調(diào)換各用戶(hù)的批量實(shí)例,然后對(duì)每個(gè)用戶(hù)驗(yàn)證是否滿(mǎn)足分 別將上述式(23)的兩邊相乘得到的式子。第二種方法是在調(diào)換所有用戶(hù)Ai(l^i^r)的批量實(shí)例后,驗(yàn)證是否 滿(mǎn)足式(26)。但是,使用該方法時(shí),需要根據(jù)bi是由哪個(gè)用戶(hù)生成的批量實(shí) 例來(lái)變更式(26)右邊的y的部分。本實(shí)施方式中記載的統(tǒng)一驗(yàn)證與文獻(xiàn)1中記載的統(tǒng)一^r證相比可以更高 效地進(jìn)^f亍統(tǒng)一騶、i正的理由與第 一 實(shí)施方式相同。另夕卜,本實(shí)施方式中記載的統(tǒng)一驗(yàn)證具有高安全性的理由也與第一實(shí)施方 式相同。如上所述,根據(jù)本實(shí)施方式的統(tǒng)一驗(yàn)證,通過(guò)使用置換、以及使用可高效 進(jìn)行計(jì)算的驗(yàn)證式,可以實(shí)現(xiàn)兼?zhèn)涓甙踩院透咝实腄SA簽名的統(tǒng)一驗(yàn)證。 此外,在以上記載的統(tǒng)一驗(yàn)證方式中利用了 DSA簽名方式,但是也可以利用DS厶*簽名來(lái)代替DSA簽名。在08八*簽名中,由于通過(guò)上述式(23)、式(24)以及式(25)計(jì)算的 批量實(shí)例成為簽名(因?yàn)樵诤灻b置中進(jìn)行計(jì)算),在驗(yàn)證裝置230中無(wú)需生 成批量實(shí)例。此外,DSAf簽名被記載在文獻(xiàn)1中,其安全性與DSA簽名等同。下面,對(duì)作為第三實(shí)施方式的簽名統(tǒng)一驗(yàn)證系統(tǒng)進(jìn)行說(shuō)明。第三實(shí)施方式是將本發(fā)明應(yīng)用于ECDSA簽名的例子。這里,本實(shí)施方式中的簽名統(tǒng)一驗(yàn)證系統(tǒng)也與第一實(shí)施方式一樣具有簽名裝置310以及驗(yàn)證裝置330。 圖14是在本實(shí)施方式中使用的簽名裝置310的概要圖。 如圖所示,簽名裝置310具有存儲(chǔ)部311、處理部314、輸入部117、輸出部118以及通信部119,由于輸入部117、輸出部118以及通信部119與第一實(shí)施方式相同,因此省略說(shuō)明。在存儲(chǔ)部311中設(shè)置有簽名生成密鑰存儲(chǔ)區(qū)域312和數(shù)據(jù)存儲(chǔ)區(qū)域313 。 在簽名生成密鑰存儲(chǔ)區(qū)域312中存儲(chǔ)作為進(jìn)行簽名時(shí)的密鑰信息的簽名生成密鑰。這里,ECDSA簽名中的簽名生成密鑰d為d: d6Zn-,的整數(shù)。 在數(shù)據(jù)存儲(chǔ)區(qū)域313中存儲(chǔ)作為簽名對(duì)象數(shù)據(jù)的消息。 處理部314具有簽名生成處理部315和數(shù)學(xué)函數(shù)計(jì)算部316。 簽名生成處理部315控制針對(duì)作為簽名對(duì)象數(shù)據(jù)的消息的簽名數(shù)據(jù)的生成處理。例如,在本實(shí)施方式中,簽名生成處理部315通過(guò)將作為簽名對(duì)象數(shù)據(jù)的 消息輸入至預(yù)先規(guī)定的散列函數(shù)來(lái)生成輸入數(shù)據(jù)。然后,簽名生成處理部315取得簽名生成密鑰存儲(chǔ)區(qū)域312中存儲(chǔ)的簽名 生成密鑰,與輸入數(shù)據(jù)一起輸入給數(shù)學(xué)函數(shù)計(jì)算部316。然后,簽名生成處理部315取得由數(shù)學(xué)函數(shù)計(jì)算部316生成的簽名,將簽 名和消息作為簽名數(shù)據(jù),通過(guò)通信部139發(fā)送給驗(yàn)證裝置330。數(shù)學(xué)函數(shù)計(jì)算部316對(duì)于從簽名生成處理部315輸入的輸入數(shù)據(jù),使用從 簽名生成處理部315輸入的簽名生成密鑰,進(jìn)行基于預(yù)先規(guī)定的算法的加密來(lái) 生成簽名。在ECDSA簽名中,針對(duì)使用了上述簽名生成密鑰d的消息Mj (i = 1,...,n)的簽名Si是通過(guò)下式(27)、式(28)、式(29 )以及式(30)計(jì)算出的。 S,=", o",)…(27) (28)<formula>formula see original document page 24</formula>
這里,H表示密碼學(xué)上的散列函數(shù)。另外,x (Ri)表示橢圓曲線E (Fq) 上的點(diǎn)Ri的x坐標(biāo)。另外,ki是在生成簽名時(shí)生成的隨機(jī)數(shù),滿(mǎn)足下式(31)。 <formula>formula see original document page 24</formula>
此外,ECDSA簽名中的系統(tǒng)參數(shù)如下E/Fq:有限體Fq上定義的橢圓曲線。q:比特大小為160以上的素?cái)?shù)p的乘方。#E(Fq) -nxh(其中,h為小的整數(shù),n為大的素?cái)?shù))。P:位數(shù)為n的E (Fq)上的點(diǎn)。這些系統(tǒng)參數(shù)在網(wǎng)絡(luò)上公開(kāi)。然后,數(shù)學(xué)函數(shù)計(jì)算部316將如此生成的簽名輸出給簽名生成處理部315。 以上記載的簽名裝置310也可以通過(guò)例如圖5所示的一般的計(jì)算機(jī)160 來(lái)實(shí)現(xiàn)。例如,存儲(chǔ)部311可以通過(guò)CPU161利用存儲(chǔ)器162或者外部存儲(chǔ)裝置 163來(lái)實(shí)現(xiàn),處理部314可以通過(guò)將外部存儲(chǔ)裝置163中存儲(chǔ)的規(guī)定的程序加 載到存儲(chǔ)器162中,由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部117可以通過(guò)由CPU161 利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部118可以通過(guò)由CPU161利用輸出裝置167 來(lái)實(shí)現(xiàn),通信部119可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)媒體164下載到外部存儲(chǔ)裝置 163或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163,然后加載到存儲(chǔ) 器162由CPU161來(lái)執(zhí)行。另夕卜,也可以通過(guò)讀取裝置165從存儲(chǔ)媒體164直 接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器162 上,由CPU161執(zhí)行。圖15是在本實(shí)施方式中使用的驗(yàn)證裝置330的概要圖。驗(yàn)證裝置330具有存儲(chǔ)部331、處理部334、輸入部137、輸出部138以 及通信部139,由于輸入部137、輸出部138以及通信部139與第一實(shí)施方式 相同,因此省略說(shuō)明。在存儲(chǔ)部331中設(shè)置有簽名-險(xiǎn)證密鑰存儲(chǔ)區(qū)域332和簽名數(shù)據(jù)存儲(chǔ)區(qū)域333。在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域332中存儲(chǔ)簽名驗(yàn)證密鑰,該簽名驗(yàn)證密鑰是用 于對(duì)從簽名裝置310發(fā)送來(lái)的簽名數(shù)據(jù)中包含的簽名進(jìn)行解密,然后進(jìn)行驗(yàn)證 的密鑰信息。這里,ECDSA簽名中的簽名驗(yàn)證密鑰Q為Q = dP。在簽名數(shù)據(jù)存儲(chǔ)區(qū)域333中存儲(chǔ)從簽名裝置310發(fā)送來(lái)的簽名數(shù)據(jù)。 處理部334具有簽名統(tǒng)一-^S正處理部335和數(shù)學(xué)函數(shù)計(jì)算部336。 簽名統(tǒng)一驗(yàn)證處理部335控制統(tǒng)一驗(yàn)證從簽名裝置310發(fā)送來(lái)的簽名數(shù)據(jù) 的處理。例如,在本實(shí)施方式中,簽名統(tǒng)一驗(yàn)證處理部335從存儲(chǔ)部331取得存儲(chǔ) 在簽名驗(yàn)證密鑰存儲(chǔ)區(qū)域332中的簽名驗(yàn)證密鑰以及存儲(chǔ)在簽名數(shù)據(jù)區(qū)域333 中的簽名數(shù)據(jù),并輸入給數(shù)學(xué)函數(shù)計(jì)算部336。然后,簽名統(tǒng)一驗(yàn)證處理部335從數(shù)學(xué)函數(shù)計(jì)算部336取得統(tǒng)一驗(yàn)證的結(jié) 果,并將其存儲(chǔ)在存儲(chǔ)部331中或者通過(guò)輸出部138和通信部139輸出驗(yàn)證結(jié) 果。數(shù)學(xué)函數(shù)計(jì)算部336對(duì)于從簽名統(tǒng)一驗(yàn)證部335輸入的簽名數(shù)據(jù)中包含的 簽名,使用從簽名統(tǒng)一驗(yàn)證部335輸入的簽名驗(yàn)證密鑰,執(zhí)行基于預(yù)先規(guī)定的 算法的簽名統(tǒng)一驗(yàn)證,來(lái)確認(rèn)簽名的有效性。這里,雖然未圖示,但數(shù)學(xué)函數(shù)計(jì)算部336與第一實(shí)施方式不同,具有批 量實(shí)例生成部、置換部以及純量倍數(shù)(scalarmultiple)計(jì)算部。此外,純量倍數(shù)計(jì)算部對(duì)由置換部進(jìn)行了調(diào)換的批量實(shí)例進(jìn)行純量倍數(shù)計(jì) 算,來(lái)進(jìn)行驗(yàn)證。關(guān)于通過(guò)ECDSA簽名方式生成的簽名,需要進(jìn)行變形以便可以應(yīng)用統(tǒng)一 驗(yàn)證方式,因此數(shù)學(xué)函數(shù)計(jì)算部336的批量實(shí)例生成部把從簽名裝置310取得 的簽名變更為批量實(shí)例。具體地說(shuō),數(shù)學(xué)函數(shù)計(jì)算部336的批量實(shí)例生成部對(duì)于通過(guò)上述式(27 )計(jì)算出的簽名Si,使用上述式(28)、式(29)以及式(30),計(jì)算下式(32) 所示的批量實(shí)例。S, =(o>《)…(32)數(shù)學(xué)函數(shù)計(jì)算部336的置換部對(duì)于通過(guò)批量實(shí)例生成部進(jìn)行了變換的批 量實(shí)例,以任意方法進(jìn)行調(diào)換。這里,假設(shè)通過(guò)與第一實(shí)施方式相同的方法進(jìn) 行調(diào)換。例如,將批量實(shí)例(a" Rj) (i-l,…,n)的順序調(diào)換為(c7t(j), RT (i))(i=l,…,n)。這里,T是用于識(shí)別調(diào)換方法的記號(hào)。然后,數(shù)學(xué)函數(shù)計(jì)算部336的純量倍數(shù)計(jì)算部根據(jù)是否滿(mǎn)足下式(33 )來(lái) 進(jìn)行驗(yàn)證。2>'&(,) = modw)尸+ (^、)a'modw)g…(")即,在滿(mǎn)足式(33)時(shí)作為"有效"來(lái)接受簽名Si,在不滿(mǎn)足式(33)時(shí) 作為"無(wú)效"拒絕簽名Sj。此外,式(33)中的oc是任意的自然數(shù)。這里,關(guān) 于式(33)中的ai,并不限于這樣的方式,可以是根據(jù)順序i而不同的數(shù),例 如以i為變量的任意函數(shù)f (i)。以上記載的驗(yàn)證裝置330也可以通過(guò)圖5所示的一般的計(jì)算機(jī)160來(lái)實(shí)現(xiàn)。例如,存儲(chǔ)部331可以通過(guò)由CPU161利用存儲(chǔ)器162或者外部存儲(chǔ)裝置 163來(lái)實(shí)現(xiàn),處理部334可以通過(guò)將存儲(chǔ)在外部存儲(chǔ)裝置163中的規(guī)定的程序 加載到存儲(chǔ)器162中,由CPU161執(zhí)行來(lái)實(shí)現(xiàn),輸入部137可以通過(guò)由CPU161 利用輸入裝置166來(lái)實(shí)現(xiàn),輸出部138可以通過(guò)由CPU161利用輸出裝置167 來(lái)實(shí)現(xiàn),通信部139可以通過(guò)由CPU161利用通信裝置168來(lái)實(shí)現(xiàn)。該規(guī)定的程序可以通過(guò)讀取裝置165從存儲(chǔ)々某體164下載到外部存儲(chǔ)裝置 163或者通過(guò)通信裝置168從網(wǎng)絡(luò)下載到外部存儲(chǔ)裝置163,然后加載到存儲(chǔ) 器162并由CPU161來(lái)執(zhí)行。另外,也可以通過(guò)讀取裝置165從存儲(chǔ)^某體164 直接加載到存儲(chǔ)器162上或者通過(guò)通信裝置168從網(wǎng)絡(luò)直接加載到存儲(chǔ)器162 上,由CPU161執(zhí)行。圖16是表示本實(shí)施方式的數(shù)學(xué)函數(shù)計(jì)算部336中的統(tǒng)一驗(yàn)證處理的流程圖。數(shù)學(xué)函數(shù)計(jì)算部336中的統(tǒng)一驗(yàn)證處理是通過(guò)由簽名統(tǒng)一驗(yàn)證處理部335 接收任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入來(lái)開(kāi)始的(S60)。在由簽名統(tǒng)一驗(yàn)證處理部335接收到任意個(gè)數(shù)的簽名數(shù)據(jù)的輸入時(shí),數(shù)學(xué) 函數(shù)計(jì)算部336的批量實(shí)例生成部根據(jù)輸入的簽名數(shù)據(jù)中包含的多個(gè)簽名Sj (i-l,…,n)生成批量實(shí)例(CTj, Rj) (i=L…,n)(S61)。然后,數(shù)學(xué)函數(shù)計(jì)算部336的置換部從置換群SIFTn隨機(jī)選擇置換t ,即, 根據(jù)任意的置換方法將批量實(shí)例((Ti, Rj) (i-l,…,n)的順序調(diào)換為(a t"), RT(i)) (i = l,…,n) (S62)。然后,數(shù)學(xué)函數(shù)計(jì)算部336的純量倍數(shù)計(jì)算部使用調(diào)換后的(cTT(i), RT (i))(i=l, ..., n)計(jì)算上述式(33) (S63)。然后,純量倍數(shù)計(jì)算部檢查是否滿(mǎn)足式(33),在滿(mǎn)足時(shí)(在步驟S63中 為Yes),判斷簽名為有效(S64),在不滿(mǎn)足時(shí)(在步驟S63中為No),判斷 簽名為無(wú)效(S65)。此外,在本實(shí)施方式中,通過(guò)式(33)進(jìn)行驗(yàn)證處理,但是如果可以進(jìn)行 驗(yàn)證處理,可以使用任何驗(yàn)證式,無(wú)需考慮驗(yàn)證式的種類(lèi)。在本實(shí)施方式中,說(shuō)明了對(duì)由某個(gè)簽名者的多個(gè)簽名(或批量實(shí)例)進(jìn)行 統(tǒng)一驗(yàn)證的情況,但也可以對(duì)多個(gè)簽名者分別簽名的多個(gè)簽名(或批量實(shí)例) 進(jìn)行統(tǒng)一-險(xiǎn)證。例如,作為具有簽名生成密鑰ski和簽名驗(yàn)證密鑰pkj/的組(skrdi, pki-Qi)(這里,Qi-djP)的至少一人以上的用戶(hù)Aj (l^i^r)分別生成的批量實(shí) 例(cTj"), a/0, bj")) {l^j^n (i) }的統(tǒng)一驗(yàn)證,具有如下方法。第一種方法是調(diào)換各用戶(hù)的批量實(shí)例,然后對(duì)每個(gè)用戶(hù)驗(yàn)證是否滿(mǎn)足分 別將上述式(33)的兩邊相乘得到的式子。第二種方法是在調(diào)換全部用戶(hù)Aj (l^i^r)的批量實(shí)例后,驗(yàn)證是否 滿(mǎn)足式(33)。但是,在使用該方法時(shí),需要根據(jù)Ri為由哪個(gè)用戶(hù)生成的批量 實(shí)例來(lái)變更式(33)右邊的Q的部分。本實(shí)施方式中記載的統(tǒng)一驗(yàn)證與文獻(xiàn)1中記載的統(tǒng)一驗(yàn)證相比可以更高 效率地進(jìn)行統(tǒng)一驗(yàn)證的理由與第一實(shí)施方式相同。另夕卜,本實(shí)施方式中記載的統(tǒng)一驗(yàn)證具有高安全性的理由也與第一實(shí)施方式相同。如上所述,根據(jù)本實(shí)施方式的統(tǒng)一驗(yàn)證,通過(guò)使用置換、以及使用可高效率進(jìn)行計(jì)算的驗(yàn)證式,可以進(jìn)行兼?zhèn)涓甙踩院透咝实腅CDSA簽名的統(tǒng)一 驗(yàn)證。此外,在以上記載的統(tǒng)一驗(yàn)證方式中利用了 ECDSA簽名方式,但是也可 以采用ECDSA承簽名來(lái)代替ECDSA簽名。在ECDSA+簽名中,由于通過(guò)上式(32)計(jì)算出的批量實(shí)例成為簽名(因 為在簽名裝置中進(jìn)行計(jì)算),所以無(wú)需在驗(yàn)證裝置330中生成批量實(shí)例。此外,ECDSA承簽名被記載在文獻(xiàn)2中,其安全性與ECDSA簽名等同。此外,在上述各實(shí)施方式中,假設(shè)用軟件實(shí)現(xiàn)簽名生成處理部、簽名統(tǒng)一 驗(yàn)證處理部來(lái)進(jìn)行了說(shuō)明,但是也可以使用專(zhuān)用的硬件來(lái)實(shí)現(xiàn)。另外,也可以 用專(zhuān)用硬件實(shí)現(xiàn)數(shù)學(xué)函數(shù)計(jì)算部。關(guān)于上述記載的簽名統(tǒng)一驗(yàn)證系統(tǒng),可以在從簽名裝置110、 210、 310向 驗(yàn)證裝置130、 230、 330發(fā)送大量的簽名數(shù)據(jù)的系統(tǒng)中利用。例如,可以用于使用了圖17 (實(shí)時(shí)監(jiān)視系統(tǒng)170的概要圖)所示的監(jiān)視 照相機(jī)的實(shí)時(shí)監(jiān)一見(jiàn)系統(tǒng)170中。如圖所示,實(shí)時(shí)監(jiān)視系統(tǒng)170具有監(jiān)視照相機(jī)171、簽名裝置IIO、 210、 310、驗(yàn)證裝置130、 230、 330以及監(jiān)視器172,簽名裝置110、 210、 310以 及驗(yàn)證裝置130、 230、 330與網(wǎng)絡(luò)150連接。另外,例如,在作為監(jiān)視對(duì)象的區(qū)域設(shè)置監(jiān)視照相機(jī)171,通過(guò)簽名裝置 110、 210、 310使拍攝影像成為簽名數(shù)據(jù),然后通過(guò)網(wǎng)絡(luò)150發(fā)送給設(shè)置在保 安公司等監(jiān)視中心的驗(yàn)證裝置130、 230、 330,并積存在驗(yàn)證裝置130、 230、 330中。在驗(yàn)證裝置130、 230、 330中,在需要確認(rèn)積存的簽名數(shù)據(jù)中包含的拍攝 影像時(shí),通過(guò)對(duì)積存的簽名數(shù)據(jù)中必要的部分進(jìn)行統(tǒng)一驗(yàn)證,用特定的監(jiān)視照 相機(jī)171進(jìn)行拍攝,可以驗(yàn)證數(shù)據(jù)沒(méi)有被竄改。在進(jìn)行這樣的驗(yàn)證時(shí),通過(guò)進(jìn)行本發(fā)明的統(tǒng)一驗(yàn)證,可以高效地進(jìn)行安全 性高的驗(yàn)證。
權(quán)利要求
1.一種統(tǒng)一驗(yàn)證裝置,其統(tǒng)一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例,其特征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序;所述批量實(shí)例具有第一值和第二值;具有處理部,其根據(jù)將所述第一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生成源進(jìn)行冪運(yùn)算得到的值;以及將根據(jù)所述順序而不同的數(shù)作為冪指數(shù),對(duì)所述第二值進(jìn)行冪運(yùn)算得到的值是否一致來(lái)進(jìn)行驗(yàn)證。
2. 根據(jù)權(quán)利要求1所述的統(tǒng)一驗(yàn)證裝置,其特征在于, 所述處理部根據(jù)在全部批量實(shí)例中計(jì)算將所述第 一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生成源進(jìn) 行冪運(yùn)算得到的值,然后將該計(jì)算出的值全部相乘得到的值;以及在全 部批量實(shí)例中計(jì)算將根據(jù)所述順序而不同的數(shù)作為冪指數(shù),對(duì)所述第二 值進(jìn)行冪運(yùn)算得到的值,然后將該計(jì)算出的值全部相乘得到的值是否一 致來(lái)進(jìn)行驗(yàn)證。
3. 根據(jù)權(quán)利要求1所述的統(tǒng)一驗(yàn)證裝置,其特征在于, 所述處理部在將所述批量實(shí)例的順序至少變更一組以上之后進(jìn)行驗(yàn)證。
4. 根據(jù)權(quán)利要求3所述的統(tǒng) 一驗(yàn)證裝置,其特征在于, 所述處理部具有變更所述批量實(shí)例的順序的多種變更方法,使用從所述多種變更方法中選擇出的 一種變更方法,變更所迷批量 實(shí)例的順序。
5. —種統(tǒng)一-驗(yàn)^〖正裝置,其統(tǒng)一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例,其特 征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序, 所述批量實(shí)例具有第 一值和第二值,具有處理部,其根據(jù)將所述第一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為純量值,對(duì)有限加法循環(huán)群的生成源進(jìn)行純量乘法得到的值; 以及將根據(jù)所述順序而不同的數(shù)作為純量值,對(duì)所述第二值進(jìn)行純量乘 法得到的值是否一致來(lái)進(jìn)行驗(yàn)證。
6. 根據(jù)權(quán)利要求5所述的統(tǒng)一驗(yàn)證裝置,其特征在于, 所述處理部根據(jù)在全部批量實(shí)例中計(jì)算將所述第一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為純量值,對(duì)有限加法循環(huán)群的生成源進(jìn) 行純量乘法得到的值,然后將該計(jì)算出的值全部相加得到的值;以及在 全部的批量實(shí)例中計(jì)算將根據(jù)所述順序而不同的數(shù)作為純量值,對(duì)所述 第二值進(jìn)行純量乘法得到的值,然后將該計(jì)算出的值全部相加得到的值 是否一致來(lái)進(jìn)行驗(yàn)證。
7. 根據(jù)權(quán)利要求5所述的統(tǒng)一驗(yàn)證裝置,其特征在于, 所述處理部在將所述批量實(shí)例的順序至少變更一組以上之后進(jìn)行-驗(yàn)證。
8. 根據(jù)權(quán)利要求7所述的統(tǒng)一驗(yàn)證裝置,其特征在于, 所述處理部具有變更所述批量實(shí)例的順序的多種變更方法,使用從所述多種變更方法中選擇出的一種變更方法,變更所述批量 實(shí)例的順序。
9. 一種程序,其使計(jì)算機(jī)執(zhí)行統(tǒng)一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例的 處理,其特征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序; 所述批量實(shí)例具有第 一值和第二值;使計(jì)算機(jī)作為處理單元發(fā)揮功能,該處理單元根據(jù)將所述第一值乘以根 據(jù)所述順序而不同的數(shù)得到的乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生 成源進(jìn)行冪運(yùn)算得到的值;以及將根據(jù)所述順序而不同的數(shù)作為冪指數(shù), 對(duì)所述第二值進(jìn)行冪運(yùn)算得到的值是否一致來(lái)進(jìn)行驗(yàn)證。
10. 根據(jù)權(quán)利要求9所述的程序,其特征在于, 所述處理單元根據(jù)在全部批量實(shí)例中計(jì)算將所述第 一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生成源 進(jìn)行冪運(yùn)算得到的值,然后將該計(jì)算出的值全部相乘得到的值;以及在全部批量實(shí)例中計(jì)算將根據(jù)所述順序而不同的數(shù)作為冪指數(shù),對(duì)所述第 二值進(jìn)行冪運(yùn)算得到的值,然后將該計(jì)算出的值全部相乘得到的值是否 一致來(lái)進(jìn)行驗(yàn)證。
11. 根據(jù)權(quán)利要求9所述的程序,其特征在于,所述處理單元在將所述批量實(shí)例的順序至少變更一組以上之后進(jìn)行 驗(yàn)證。
12. 根據(jù)權(quán)利要求11所述的程序,其特征在于, 所述處理單元具有變更所述批量實(shí)例的順序的多種變更方法, 使用從所述多種變更方法中選擇出的一種變更方法,變更所述批量實(shí)例的順序。
13. —種程序,使計(jì)算機(jī)執(zhí)行統(tǒng)一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例的處 理,其特征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序; 所述批量實(shí)例具有第 一值和第二值;使計(jì)算機(jī)作為處理單元發(fā)揮功能,該處理單元根據(jù)將所述第一值乘以根 據(jù)所述順序而不同的數(shù)得到的乘積作為純量值,對(duì)有限加法循環(huán)群的生 成源進(jìn)行純量乘法得到的值;以及將根據(jù)所述順序而不同的數(shù)作為純量 值,對(duì)所述第二值進(jìn)行純量乘法得到的值是否一致來(lái)進(jìn)行驗(yàn)證。
14. 根據(jù)權(quán)利要求13所述的程序,其特征在于, 所述處理單元根據(jù)在全部批量實(shí)例中計(jì)算將所述第一值乘以根據(jù)所述順序而不同的數(shù)得到的乘積作為純量值,對(duì)有限加法循環(huán)群的生成源 進(jìn)行純量乘法得到的值,然后將該計(jì)算出的值全部相加得到的值;以及 在全部的批量實(shí)例中計(jì)算將根據(jù)所述順序而不同的數(shù)作為純量值,對(duì)所 述第二值進(jìn)行純量乘法得到的值,然后將該計(jì)算出的值全部相加得到的 值是否一致來(lái)進(jìn)行驗(yàn)證。
15. 根據(jù)權(quán)利要求13所述的程序,其特征在于, 所述處理單元在將所述批量實(shí)例的順序至少變更一組以上之后進(jìn)行驗(yàn)證。
16. 根據(jù)權(quán)利要求15所述的程序,其特征在于,所述處理單元具有變更所述批量實(shí)例的順序的多種變更方法, 使用從所述多種變更方法中選擇出的一種變更方法,變更所述批量 實(shí)例的順序。
17. —種統(tǒng)一驗(yàn)證裝置進(jìn)行的統(tǒng)一驗(yàn)證方法,該統(tǒng)一驗(yàn)證裝置具有統(tǒng) 一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例的處理部,其特征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序; 所述批量實(shí)例具有第 一值和第二值;具有如下過(guò)程所述處理部根據(jù)將所述第一值乘以才艮據(jù)所述順序而不 同的數(shù)得到的乘積作為冪指數(shù),對(duì)有限乘法循環(huán)群的生成源進(jìn)行冪運(yùn)算 得到的值;以及將根據(jù)所述順序而不同的數(shù)作為冪指數(shù),對(duì)所述第二值 進(jìn)行冪運(yùn)算得到的值是否一致來(lái)進(jìn)行驗(yàn)證。
18. —種統(tǒng)一驗(yàn)證裝置進(jìn)行的統(tǒng)一驗(yàn)證方法,該統(tǒng)一驗(yàn)證裝置具有統(tǒng) 一驗(yàn)證多個(gè)簽名數(shù)據(jù)的批量實(shí)例的處理部,其特征在于,對(duì)于所述多個(gè)簽名數(shù)據(jù)確定了順序; 所述批量實(shí)例具有第 一值和第二值;具有如下過(guò)程所述處理部根據(jù)將所述第一值乘以4艮據(jù)所述順序而不 同的數(shù)得到的乘積作為純量值,對(duì)有限加法循環(huán)群的生成源進(jìn)行純量乘 法得到的值;以及將根據(jù)所述順序而不同的數(shù)作為純量值,對(duì)所述第二 值進(jìn)行純量乘法得到的值是否 一致來(lái)進(jìn)行驗(yàn)證。
全文摘要
本發(fā)明提供一種統(tǒng)一驗(yàn)證裝置、程序以及統(tǒng)一驗(yàn)證方法,其實(shí)現(xiàn)兼?zhèn)涓甙踩院透咝实慕y(tǒng)一驗(yàn)證。具有數(shù)學(xué)函數(shù)計(jì)算部(136),其調(diào)換多個(gè)批量實(shí)例的順序,并確定與調(diào)換后的順序?qū)?yīng)的數(shù),通過(guò)驗(yàn)證將批量實(shí)例的第一值乘以與該順序?qū)?yīng)的數(shù)得到的乘積作為冪指數(shù),對(duì)有限循環(huán)群的生成源進(jìn)行冪運(yùn)算得到的值;以及將與該順序?qū)?yīng)的數(shù)作為冪指數(shù),對(duì)批量實(shí)例的第二值進(jìn)行冪運(yùn)算得到的值是否一致,來(lái)進(jìn)行驗(yàn)證。
文檔編號(hào)H04L9/32GK101335625SQ20081008282
公開(kāi)日2008年12月31日 申請(qǐng)日期2008年2月28日 優(yōu)先權(quán)日2007年6月25日
發(fā)明者伯田惠輔, 佐藤尚宜 申請(qǐng)人:株式會(huì)社日立制作所
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1