WO2005031579A1 - タグプライバシー保護方法、タグ装置、バックエンド装置、更新装置、更新依頼装置、それらのプログラム及びこれらのプログラムを格納した記録媒体 - Google Patents

Abstract

　第１の発明では、リーダー装置からの呼び出しに対し、タグ装置は、第２の演算部において秘密値メモリから秘密値を読み出し、これに定義域の元とその写像との関係を撹乱させる第２の関数Ｆ２を作用させたタグ出力情報を生成する。このタグ出力情報は出力部に送られ、そこからバックエンド装置に対して出力される。その後、第１の演算部において、秘密値メモリから秘密値の少なくとも一部の要素を読み出し、これに逆像を求めることが困難な第１の関数Ｆ１を作用させ、その演算結果で秘密値メモリ内の秘密値を上書き更新する。 　第２の発明では、タグ装置の外部に設けられた更新装置において、タグ装置に格納されている秘匿化ＩＤ情報を、所定の契機で、それとの関連性の把握が困難な新たな秘匿化ＩＤ情報に更新する。

Description

明 細 書

タグプライバシー保護方法、タグ装置、バックエンド装置、更新装置、更新 依頼装置、それらのプログラム及びこれらのプログラムを格納した記録媒体

技術分野

[0001] 本発明は、情報セキュリティ技術を応用したタグ技術に関し、特にタグ装置から出 力される情報力 利用者のプライバシー情報が取得されることを防止するタグプライ パシー保護方法、タグ装置、バックエンド装置、更新装置、更新依頼装置、プロダラ ム及び記録媒体に関する。

背景技術

[0002] 近年、 RFID(Radio Frequency Identification：電波方式認識)等のタグ自動認識シ ステムの導入が進んでいる。このシステムは、「タグ (tag)装置」と呼ばれる小型の情報 記録媒体、「リーダー (reader)装置」と呼ばれる読取り機、及び「バックエンド

(back-end)装置」と呼ばれるデータベースサーバから構成され、物流管理等に利用さ れるものである。以下、この技術を概説する。

〔タグ装置の処理〕

基本的なタグ自動認識システムでは、各タグ装置に固有なタグ HD情報 (例えば、 M ITによる Auto-IDセンターが定めるタグ IDは、製造者コードと、商品の種別を示す 商品コードと、商品個体の番号を示す個体番号とからなつている。）がタグ装置に格 納される。また、タグ装置は物品等に付され、無線通信により、各タグ装置固有のタグ Iひ 報を店舗等に設置されたリーダー装置に送信する。

[0003] 〔リーダー装置の処理〕

リーダー装置は、無線通信によりタグ装置力 タグ 情報を読取り、そのタグ 情 報をバックエンド装置へ送って、物流情報の取得等を依頼する。

〔バックエンド装置の処理〕

バックエンド装置は、各タグ装置の IDと物流情報等のデータベースを管理する。そ して、ノックエンド装置は、リーダー装置力も送られたタグ ID情報をキーに、このデー タベースの物流情報等を検索し、その検索結果をリーダー装置に送信する。 [0004] 〔基本的なタグ自動認識システムの問題点〕

しかし、基本的なタグ自動認識システムでは、リーダー装置を持っている者であれ ば誰でもタグ 情報を読み取れるため、盗聴されたタグ 情報力も所持品の情報が 漏洩してしまう危険性があった。

これに対し、非特許文献 2には、タグ装置カ 、ッシュ (hash)値をリーダー装置に出力 する方法が記載されている。

この方法の場合、まず、タグ装置は、 情報 idと乱数 rのビット結合のハッシュ値 H ( id I r)と、この乱数 rをリーダー装置に送る。リーダー装置はこれらをバックエンド装置 に送る。バックエンド装置は、受け取った乱数 rと、データベースに格納されている各 i d'をビット結合し、そのハッシュ値 H (id' I r)を求める。そして、バックエンド装置は、 求めたハッシュ値 H (id' I r)と、受け取ったハッシュ値 H (id I r)とが一致するか否か を検証し、一致した id'に対応する物流情報等をリーダー装置に送信する。これによ り、第三者へのタグ HD情報の漏洩を防止できる。なお、 H ( * )とは、 *にハッシュ関 数 Hを作用させる処理を意味する。

[0005] また、未公開の特許出願番号 2003— 111342及び 2003— 113798に示す方法で は、タグ 情報を秘匿ィ匕した秘匿ィ匕 IDを用い、第三者へのタグ 情報の漏洩を防 止していた。すなわち、これらの手法では、秘匿化 IDをタグ装置に格納しておき、こ の秘匿化 IDを読み取ったクライアント装置力 ネットワーク上のセキュリティサーバ装 置に、この秘匿ィ匕 IDの復号を依頼する。この依頼を受けたセキュリティサーバ装置は 、依頼元が正規のクライアント装置であることを確認した後、この秘匿ィ匕 IDの復号結 果である平文のタグ Iひ f青報を応答する。これにより、第三者へのタグ Iひ f青報の漏洩 を防止できる。

非特許文献 1 : EPC global, Inc., "EPCglobal", [online], [平成 16年 9月 9日検索]、ィ ンタ. ~~ネ、ノ卜 http： 11 www. epcglobalinc. org/ >

非特許文献 2 : Stephen A. Weis, Sanjay E. Sarma, Ronald L. Rivest, Daniel W.

Engels, Security and Privacy Aspects of Low-Cost Radio Frequency Identification Systems, First International Conference on Security in Pervasive Computing.

発明の開示 発明が解決しょうとする課題

[0006] しかし、従来の方法では、タグ装置から出力される情報から、タグ装置の流通過程 が追跡 (trace)される場合がある。

つまり、例えば非特許文献 2に記載された方法の場合、タグ装置からリーダー装置 に送られるハッシュ値 H (id I r)は、 idを知らない第三者にとっては単なる乱数である 。また、乱数 rは、タグ装置とリーダー装置との通信を行うたびに生成されるため、ハツ シュ値 H (id I r)も通信ごとに異なる。従って、通常、攻撃者は、タグ装置から盗聴し たハッシュ値 H (id I r)と、過去の通信履歴のハッシュ値 H (id I r )との関連性を知る ことはできない。しかし、タグ装置のタンパ一等により、攻撃者が Iひ f青報 idを取得でき た場合、この攻撃者は、通信履歴の乱数 rからハッシュ値 H (id I を計算することが できる（ハッシュ関数 Hを知っていれば)。そして、その算出値が通信履歴のハッシュ 値ほ L数 rに対応する）と一致するか否かを検証することにより、この攻撃者は、その 通信履歴が、取得した IDに対応するものである力否かを知ることができ、この IDに対 応する通信履歴を収集することにより、タグ装置の流通過程を追跡することができる。

[0007] また、例えば特許出願番号 2003— 111342等に示す方法では、常に無線タグ装 置から同じ秘匿ィ匕 IDが返されるため、攻撃者は、平文の IDを解読できなくても、その 秘匿ィ匕 IDを追跡することによって、そのタグ装置の流通過程を追跡することができる 本発明はこのような点に鑑みてなされたものであり、第三者によるタグ装置の流通 過程の追跡を防止することが可能な技術を提供することを目的とする。

課題を解決するための手段

[0008] 以上の課題を解決するために、タグ装置にタグ Iひ f青報の秘匿化情報を格納して おき、これを所定の契機で上書き更新する。これにより、攻撃者は、過去にタグ装置 が出力した情報と、更新された秘匿ィヒ情報との関連をとることが困難となり、タグ装置 の流通過程を追跡することが困難となる。

例えば、第 1の本発明では、各タグ装置の秘密値メモリに、それぞれのタグ HD情報 に対応する秘密値を格納しておく。そして、リーダー装置からの呼び出しに対し、タグ 装置は、出力部において、秘密値メモリの秘密値に対応するタグ出力情報を出力す る。そして、タグ装置は、第 1の演算部において、秘密値メモリから秘密値の少なくとも 一部の要素を読み出し、これに、逆像を求めることが困難な第 1の関数 F1を作用さ せ、その演算結果で秘密値メモリ内の秘密値を上書き更新する。ここで、秘密値メモ リ内の秘密値は上書き更新されるため、攻撃者がタンパ一等により秘密値メモリに格 納された秘密値を取得しても、更新後の秘密値は更新前にタグ装置カゝら送信された 情報には対応していない。また、この更新は、逆像を求めることが困難な第 1の関数 F 1を作用させることによって行うため、ある時点の秘密値から更新前の秘密値を求め ることは困難である。よって、攻撃者は、タグ装置と通信履歴との対応を知ることがで きない。

[0009] また、例えば、第 2の本発明では、タグ装置の外部に設けられた更新装置において

、タグ装置に格納されている秘匿ィ匕 情報を、所定の契機で、それとの関連性の把 握が困難な新たな秘匿ィ匕 情報に更新する。このように秘匿ィ匕 情報が更新される ため、攻撃者は、この更新前にタグ装置からバックエンド装置へ出力された秘匿化 I ひ f青報と、更新後の新たな秘匿ィ匕 情報との対応を知ることはできない。よって、攻 撃者は、タグ装置と通信履歴との対応を知ることができな 、。

発明の効果

[0010] 以上のように、本発明では、第三者力 sタグ装置と通信履歴との対応を知ることができ ないため、第三者によるタグ装置の流通過程の追跡を防止できる。

図面の簡単な説明

[0011] [図 1]Aは、第 1の実施の形態のタグ自動認識システムの全体を例示したブロック図で ある。また、 Bはタグ装置の概略構成を、 Cはバックエンド装置の概略構成を、それぞ れ例示したブロック図である。

[図 2]実施例 1のタグ自動認識システムの全体構成を例示した図である。

[図 3]実施例 1の処理を説明するためのフローチャートである。

[図 4]実施例 2のタグ自動認識システムの全体構成を例示した図である。

[図 5]実施例 3のタグ自動認識システムの全体構成を例示した図である。

[図 6]実施例 3のバックエンド装置の処理を説明するためのフローチャートである。

[図 7]実施例 4のタグ自動認識システムの全体構成を例示した図である。 図 8]実施例 4のバックエンド装置の処理を説明するためのフローチャートである。 図 9]実施例 5のタグ自動認識システムの全体構成を例示した図である。

図 10]Aは、実施例 5のタグ装置の処理を説明するためのフローチャートであり、 Bは 本実施例のバックエンド装置の処理を説明するためのフローチャートである。 図 11]実施例 6のタグ自動認識システムの全体構成を例示した図である。

図 12]実施例 6の処理を説明するためのフローチャートである。

図 13]実施例 7のタグ自動認識システムの全体構成を例示した図である。

図 14]実施例 7の処理を説明するためのフローチャートである。

図 15]実施例 8のタグ自動認識システムの全体構成を例示した図である。

図 16]Aは、タグ装置の秘密値メモリに格納されるデータの例示であり、 Bは、ノ ック エンド装置のデータベースメモリに格納されるデータの例示である。

図 17]実施例 8の処理を説明するためのフローチャートである。

図 18]実施例 8の処理を説明するためのフローチャートである。

図 19]実施例 9のタグ自動認識システムの全体構成を例示した図である。

図 20]Aは、タグ装置の秘密値メモリに格納されるデータの例示であり、 Bは、ノ ック エンド装置のデータベースメモリに格納されるデータの例示である。

図 21]実施例 10のタグ自動認識システムの全体構成を例示した図である。

図 22]実施例 10のタグ装置の処理を説明するためのフローチャートである。

図 23]実施例 10のバックエンド装置の処理を説明するためのフローチャートである。 図 24]実施例 11のタグ自動認識システムの全体構成を例示した図である。

図 25]実施例 11のタグ装置の処理を説明するためのフローチャートである。

図 26]実施例 11のバックエンド装置の処理の一部を説明するためのフローチャート である。

図 27]実施例 12のタグ装置の処理を説明するためのフローチャートである。

図 28]第 2の実施の形態の概略構成を例示したブロック図である。

図 29]実施例 14の更新システムの全体構成を例示した概念図である。

図 30]実施例 14の更新システムの機能構成を例示したブロック図である。

図 31]実施例 14の処理手順を説明するためのフローチャートである。 図 32本実施例 15の更新システムの機能構成を例示したブロック図である。

図 33本実施例 15の処理手順を説明するためのフローチャートである。

図 34:実施例 16の更新システムの機能構成を例示したブロック図である。

図 35実施例 16の処理手順を説明するためのフローチャートである。

図 36:実施例 17の更新システムの機能構成を例示したブロック図である。

図 37実施例 17の処理手順を説明するためのフローチャートである。

図 38:実施例 18の更新システムの全体構成を例示した概念図である。

図 39:実施例 18の更新システムの機能構成を例示したブロック図である。

図 40:実施例 18の処理手順を説明するためのフローチャートである。

図 41実施例 19の更新システムの機能構成を例示したブロック図である。

図 42実施例 19の処理手順を説明するためのフローチャートである。

図 43実施例 20の更新システムの機能構成を例示したブロック図である。

図 44:実施例 20の処理手順を説明するためのフローチャートである。

図 45実施例 21の更新システムの機能構成を例示したブロック図である。

図 46:実施例 22の更新システムの機能構成を例示したブロック図である。

図 47:実施例 23の更新システムの全体構成を例示した概念図である。

図 48:実施例 23の更新システムの機能構成を例示した図である。

図 49:実施例 23の処理手順を説明するためのフローチャートである。

図 50:実施例 23の処理手順を説明するためのフローチャートである。

図 51実施例 24のセキュリティサーバ装置の機能構成を例示した図である。

図 52実施例 24のフォーマットを例示した図である。

図 53実施例 24のセキュリティサーバ装置の処理手順を説明するためのフローチヤ ートである

図 54:実施例 25の更新システムの機能構成を例示した図である。

図 55実施例 25の更新システムの機能構成を例示した図である。

図 56:実施例 25の処理手順を説明するためのフローチャートである。

図 57実施例 25の処理手順を説明するためのフローチャートである。

図 58:実施例 26におけるタグ装置の機能構成を例示した図ある。 符号の説明

[0012] 1 タグ自動認識システム

10 タグ装置

11 秘密値メモリ

12 第 1の演算部

13 第 2の演算部

14 出力部

20 リーダー装置

30 バックエンド装置

31 データベースメモリ

32 入力部

33 演算部

34 比較部

35 読出し部

40 ネットワーク

1500 更新システム

1510 タグ装置

1511 秘密値メモリ

1512 読書き部

1513 出力部

1514 入力部

1560 セキュリティサーバ装置

1561 入力部

1562 更新部

1563 出力部

発明を実施するための最良の形態

[0013] 以下、本発明の実施の形態を図面を参照して説明する。

〔第 1の実施の形態〕 <構成>

図 1Aは、第 1の実施の形態におけるタグ自動認識システム 1の全体を例示したプロ ック図である。また、 Bはタグ装置 10の概略構成を、 Cはバックエンド装置 30の概略 構成を、それぞれ例示したブロック図である。

図 1Aに例示するように、本形態のタグ自動認識システム 1は、タグ装置 10と、リー ダー装置 20と、このリーダー装置 20にネットワーク 40を通じて接続されたバックェン ド装置 30とカゝらなる。

[0014] また、図 1Bに例示するように、本形態のタグ装置 10は、それぞれのタグ HD情報に 対応する秘密値が格納され秘密値メモリ 11と、逆像を求めることが困難な第 1の関数 F1を作用させる第 1の演算部 12と、定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させる第 2の演算部 13と、秘密値メモリ 11の秘密値に対応するタ グ出力情報をバックエンド装置 30に対して出力する出力部 14とからなる。

また、図 1Cに例示するように、本形態のバックエンド装置 30は、各タグ HD情報とそ れらに対応する秘密値とが対応付けられたデータベースメモリ 31と、タグ出力情報の 入力を受け付ける入力部 32と、上記の第 1の関数 F1と第 2の関数とを作用させる演 算部 33と、演算部 33における演算結果とタグ出力情報とを比較する比較部 34と、デ ータベースメモリ 31から情報を抽出する読出し部 35とからなる。

[0015] <タグ装置 10の処理 >

タグ装置 10がリーダー装置 20からの読み出し要求を受けると、まず、タグ装置 10 の第 2の演算部 13が、秘密値メモリ 11から秘密値を読み出し、これに第 2の関数 F2 を作用させたタグ出力情報を生成する。このタグ出力情報は出力部 14に送られ、出 力部 14においてバックエンド装置 30に対して出力（無線或いは有線)される。その後 、第 1の演算部 12において、秘密値メモリ 11から秘密値の少なくとも一部の要素を読 み出し、これに第 1の関数 F1を作用させ、その演算結果で秘密値メモリ 11内の秘密 値を上書き更新する。なお、ここではタグ出力情報を生成した後、秘密値メモリ 11内 の秘密値を上書き更新して!/、るが、秘密値メモリ 11内の秘密値を上書き更新した後 、タグ出力情報を生成する構成としてもよい。

[0016] <リーダー装置 20の処理 > リーダー装置 20は、タグ装置 10からバックエンド装置 30に対して出力されたタグ出 力情報の入力を受け付け、これを、ネットワーク 40を通じバックエンド装置 30に送信 する。

<バックエンド装置 30の処理 >

ノックエンド装置 30の入力部 32は、リーダー装置 20から送信されたタグ出力情報 の入力を受ける。これをトリガに、演算部 33は、データベースメモリ 31の秘密値の少 なくとも一部の要素に、タグ装置 10で使用された第 1の関数 F1を所定回数作用させ た後、さらに当該タグ装置 10で使用された第 2の関数を作用させる。そして、比較部 34において、演算部 33における演算結果とタグ出力情報とを順次比較し、これらが 一致した場合、読出し部 35において、一致した演算結果に対応する秘密値に対応 付けられて 、るタグ 情報を、データベースメモリ 31から抽出する。

[0017] 〔実施例 1〕

図 2は、第 1の実施の形態の実施例 1におけるタグ自動認識システム 100の全体構 成を例示した図であり、図 3は、この実施例 1における処理を説明するためのフローチ ヤートである。

以下、これらの図を用いて、実施例 1の機能構成及び処理方法について説明する

<構成>

図 2に例示するように、実施例 1のタグ自動認識システム 100は、タグ装置 110、リ ーダー装置 120、及びリーダー装置 120にネットワーク 140を通じて通信可能に接続 されたバックエンド装置 130を有する。なお、図 2では、説明の簡略化のため、 1つの タグ装置 110のみを図示して 、るが、実際はこれ以上の数のタグ装置 110が存在す る。また、図 2では、リーダー装置 120及びバックエンド装置 130を一つずつ示してい るが、これ以上の数のリーダー装置 120及びバックエンド装置 130によって本システ ムを構成してもよ 、。

[0018] <タグ装置 >

この例のタグ装置 110は、秘密値メモリ 111、ハッシュ演算部 112 (「第 2の演算部」 に相当）、ハッシュ演算部 113 (「第 1の演算部」に相当）、インタフェース 114 (「出力 部」に相当）、及びメモリ 115aを具備する制御部 115を有する。

ここで、秘密値メモリ 111,メモリ 115aは、例えば、 EEPROM (Electronically Erasable and Programmable Read Only Memory)、 FeRAM (Ferroelectric Random Access Memory)、フラッシュメモリ、 NV (Nonvolatile) RAM等の読書き可能なメモリ である。

[0019] ノ、ッシュ演算部 112及びハッシュ演算部 113は、例えば、入力値にそれぞれ一方 向性関数であるハッシュ (hash)関数 G, H : {0, 1 } *→{0, 1 }^Lを作用させ、その結 果を出力するように構成された集積回路である。なお、 {0, 1 } *は、全てのバイナリ系 列の集合を意味し、 {0, I }¹!ま、 Lビット長のバイナリ系列の集合を意味する。また、こ のようなハッシュ関数 G, Hとしては、 SHA— 1、 MD5等を例示できる。なお、このハツ シュ関数 Hは「逆像を求めることが困難な第 1の関数 Fl」に相当し、ノ、ッシュ関数 Gは 「定義域の元とその写像との関係を撹乱させる第 2の関数 F2」に相当する。また、制 御部 115は、例えば、タグ装置 110全体の処理を制御するように構成された集積回 路である。

[0020] インタフェース 114は、例えば、無線或いは有線によってリーダー装置 120にデー タを出力するハードウェアである。具体的には、インタフェース 114は、例えば、 NRZ 符号やマンチ スター符号ィヒゃミラー符号や単極 RZ符号ィヒ等によって符号化'復号 化を行う符号化'復号化回路、 ASK(Amplitude Shift Keying)や PSK(Phase Shift Keying)や FSK(Frequency Shift Keying)等によって変'復調を行う変'復調回路、ダイ ポールアンテナやマイクロストリップアンテナやループコイルやコア入りコイル等のァ ンテナを有し、長周帯や ISM帯（Industry Science Medical band)の周波数を用いて 信号の送受信を行う。なお、通信方式は、例えば、電磁誘導方式や電波方式を利用 する。

[0021] またハッシュ演算部 112及びハッシュ演算部 113は、秘密値メモリ 111と電気的に 接続され、ハッシュ演算部 112は、インタフェース 114 (「出力部」に相当）と電気的に 接続される。また、この図では省略するが、制御部 115はタグ装置 110の各部と電気 的に接続されている。

<リーダー装置 > この例のリーダー装置 120は、物流情報メモリ 121、インタフェース 122、通信部 12 3、メモリ 124a及び制御部 124を有する。

[0022] 物流情報メモリ 121は、例えば、ハードディスク装置、フレキシブルディスク等の磁 気記録装置、 DVD— RAM (Random Access Memory) , CD-R (Recordable) /RW ( Rewritable)等の光ディスク装置、 MO (Magneto-Optical disc)等の光磁気記録装置 、 EEP— ROM (Electronically Erasable and Programmable-Read Only Memory)、フ ラッシュメモリ（flash memory)等の半導体メモリ等である。インタフェース 122は、例え ば、インタフェース 114の例と同様なハードウェアである。通信部 123は、例えば、 L ANカード、モデム、ターミナルアダプタ一等であり、制御部 124は、例えば、メモリ 12 4a¾^¾す CISし (Complex Instruction Set し omputer)方式、 RISし (Reduced Instruction Set Computei方式等のし PU (し entral Processing Unit)である。

[0023] また、インタフェース 122及び物流情報メモリ 121は通信部 123と電気的に接続さ れ、この図では省略するが、制御部 124はリーダー装置 120の各部と電気的に接続 されている。

<バックエンド装置 >

この例のバックエンド装置 130は、データベースメモリ 131、通信部 132 (「入力部」 に相当）、ハッシュ演算部 133 (「第 3の演算部」に相当）、比較部 134、読書き部 135 (「読出し部」に相当）、メモリ 136a及び制御部 136を有している。具体的には、バック エンド装置 130は、例えば、 CPU, RAM, ROM (Read Only Memory)、磁気記録装 置や光ディスク装置等の外部記憶装置、 LANカードやモデムやターミナルアダプタ 一等をバスで接続した公知のノイマン型コンピュータに所定のプログラムを実行させ ること〖こより構成される。そしてこの CPUが、 RAMに格納されたプログラムを読み出 し、それに従った処理を実行することによって以下に示す各処理機能を実現する。

[0024] <前処理 >

まず、バックエンド装置 130のハッシュ演算部 133がタグ装置 110と同じハッシュ関 数 G, Hを使用できるように、所定のプログラムがバックエンド装置 130にインストール される。

各タグ HD情報 id (k≡{ l, m} , kは各タグ装置に対応， mはタグ装置の総数）に

k 対応する秘密値 s (「第 1の秘密値」に相当）を、それぞれのタグ装置 110の秘密値

k, 1

メモリ 111に 1つずつ格納しておく。なお、この秘密値 s は、例えば、タグ装置 110

k, 1

外部の乱数生成装置（図示せず)が、 SHA-1等の一方向性ハッシュ関数を用いた 計算量理論に基づく擬似乱数生成アルゴリズムによって生成する擬似乱数 s ≡ {0

k, 1

, i である。なお、異なるタグ装置に格納される乱数 S は相互に一致しないものと

k, 1

する。また、バックエンド装置 130のデータベースメモリ 131には、各タグ装置 nに対 応する秘密値 s , (「第 2の秘密値」に相当， η≡{ 1 , m} , nは kに対応）とタグ ID 情報 idと物流情報等のデータ dataとが対応付けられて格納される。

[0025] <タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 110をリーダー装置 120に読取らせた際 の処理を説明する。なお、タグ装置 110の処理は、制御部 115の制御のもと行われ、 その制御に必要なデータはメモリ 115aに逐一読み書きされる。

まず、ハッシュ演算部 112において、秘密値メモリ 111から秘密値 s (「第 1の秘密

k, i

値」に相当）を読み出し (ステップ SI)、そのハッシュ値であるタグ出力情報 G (s )を

k, i 生成する (ステップ S 2)。このタグ出力情報 G (s )は、インタフェース 114に送られ、

k, i

そこ力も無線或 、は有線でリーダー装置 120に送信される (ステップ S 3)。

[0026] 次に、ノ、ッシュ演算部 113において、秘密値メモリ 111から読み出した秘密値 s の

k, i ハッシュ値 s =H (s )を演算し (ステップ S4)、このハッシュ値 s を、新たな秘

k, i +1 k, i k, i+1

密値 s (

, i+ 1 「新たな第 1の秘密値」に相当）として秘密値メモリ 111

k に上書き保存する

(秘密値メモリ 111の秘密値 s を消去し、代わりに秘密値 s を格納する:ステップ

k, i k, i + 1

S5)。なお、 H ( * )とは、 *にハッシュ関数 Hを作用させる処理を意味する。

<リーダー装置の処理 >

リーダー装置 120の処理は、制御部 124の制御のもと行われ、その制御に必要な データはメモリ 124aに逐一読み書きされる。

[0027] まず、リーダー装置 120は、インタフェース 122において、タグ装置 110から送信さ れたタグ出力情報 G (s )を受信し (ステップ S6)、通信部 123に送る。通信部 123は

k, i

、物流情報メモリ 121から物流情報 pd (例えば、リーダー装置 120が設置されている 店舗コード等)を抽出し (ステップ S 7)、この物流情報 pdとタグ出力情報 G (s )とを、

k, i ネットワーク 140を通じ、バックエンド装置 130に送信する（ステップ S8)。

<バックエンド装置の処理 >

ノックエンド装置 130の処理は、制御部 136の制御のもと行われ、その制御に必要 なデータはメモリ 136aに逐一読み書きされる。

[0028] まず、ノ ックエンド装置 130は、通信部 132において、リーダー装置 120から送信さ れた物流情報 pdとタグ出力情報 G (s )を受信する (入力を受け付ける:ステップ S9)

k, i

。なお、受信された物流情報 pdとタグ出力情報 G (s )はメモリ 136aに格納される。

k, i

次に、制御部 136は、 nに 1を代入し、これをメモリ 136aに格納する（ステップ S10)。 そして、制御部 136は、メモリ 136aの nの値を参照し、ハッシュ演算部 133にデータ ベースメモリ 131から秘密値 s を抽出させる (ステップ S 11)。次に、制御部 136は、

n， 1

jに 0を代入し、これをメモリ 136aに格納する (ステップ S 12)。そして、制御部 136は、 メモリ 136aの iの値を参照し、ハッシュ演算部 133にハッシュ値 G (H^j (s ) ) (「第 3の

n， 1

演算部における演算結果」に相当）を算出させる (ステップ SI 3)。なお、 H^j (s )は、

n， 1 秘密値 s にハッシュ関数 Hを j回作用させることを意味する。また、 H (s )は3 を n, 1 n, 1 n, 1 意味する。

[0029] 次に、比較部 134において、ハッシュ演算部 133からハッシュ値 G (H^j (s ；) )を、メ

n， 1 モリ 136aからタグ出力情報 G (s )を、それぞれ取得し、それらを比較する (ステップ

k, i

S14)。

ここで、これらの値が一致しなかった場合には (ステップ S15)、制御部 136は、メモ リ 136aの jに j + 1を代入し (ステップ S 16) Jが所定の最大値 j を超えた力否かを判

max

断する (ステップ S17)。ここで、 jが最大値 j 以下であった場合、制御部 136は、ス

max

テツプ SI 3以降の処理を再実行させ、 jが最大値 j を超えた場合には、メモリ 136a

max

の nが mであるか否かを判断する（ステップ S18)。ここで、 n=mでないならば、制御 部 136は、メモリ 136aの nに n+ 1を格納し (ステップ S19)、ステップ S11以降の処理 を再実行させ、 n=mならば処理を終了させる。なお、この処理は、制御部 136の制 御のもと、タグ出力情報 G (s ) -とハッシュ値 G (H^j (s ；) )とが一致しなければ、 n及

k, 1 n， 1

び jの少なくとも一方の値を変化させて、ノ、ッシュ演算部 133及び比較部 134におけ る処理を再び行うことに相当する。 [0030] 一方、タグ出力情報 G (s )とハッシュ値 G (H^j (s ；) )がー致した場合 (ステップ SI

k, n， 1

5)、制御部 1³⁶は、一致したハッシュ値 G (H^j (s ) )に対応する秘密値 s を読書き

n, 1 n, 1 部 135に送り、読書き部 135は、一致したハッシュ値 G (H^j (s ；) )に対応する秘密値

n， 1

s に対応付けられているタグ 情報 idと物流情報等のデータ dataをデータべ一 スメモリ 131から抽出し、これを通信部 132に送る (ステップ S20)。また、読書き部 13 5は、メモリ 136aから物流情報 pdを受け取り、この物流情報 pdを、この秘密値 s に

n， 1 対応付けて、データベースメモリ 131に書き込む (ステップ S 20)。

[0031] 通信部 132に送られたタグ ID情報 idとデータ dataは、ネットワーク 140を通じてリ ーダー装置 120に送信され (ステップ S21)、リーダー装置 120の通信部 123で受信 され、出力される (ステップ S22)。

<実施例 1の特徴 >

[追跡不可能性]

本形態の実施例 1ではハッシュ値 G (s )をタグ出力情報として通信に用いた。ハツ

k, i

シュ値の認識不能性から、秘密値を知らな 、攻撃者にとって、このハッシュ値 G (S ) k, i は単なる乱数にみえる。そのため、この攻撃者は、 G (S )と0 (3 )が同じタグ装

k, i k, i +1

置 110から出力された値であるか否かを知ることはできず、タグ装置 110の流通過程 も追跡できない。

[0032] [フォワードセキュリティ]

本形態の実施例 1では、通信に用いた秘密値メモリ 111内の秘密値を、ハッシュ関 数 Hによって更新することとした。また、ノ、ッシュ関数の一方向性により、タグ装置 11

0がタンパ一等され秘密値 s が漏洩しても、攻撃者がこの秘密値 s から過去の秘

k, i k, i

密値 s を求めることはできない。従って、たとえ秘密値 s が漏洩しても、攻撃者 k, i- Δί k, i

は、取得した秘密値 s と通信履歴の対応をとれず、タグ装置 110の追跡もできな ヽ

k, i

[0033] [追跡可能性]

一方、ノ、ッシュ関数 G,Hの衝突困難性 (異なる値のハッシュ値が同じ値をとりにく ヽ 性質)から、秘密値 s を知っているバックエンド装置 130は、タグ装置 110の流通過

n， 1

程を追跡できる。 [効率性]

ノ、ッシュ関数の演算だけで通信データを構成するため、従来の乱数を発生させる 方法に比べ、タグ装置 110に取り込む回路規模も小さぐ低価格が要求される用途 に適し飞いる。

[0034] なお、バックエンド装置 130における、ステップ S 13の過程で算出されたハッシュ値 H^j (s )をメモリ 136aに記録しておき、これを次のループのステップ S 13で利用する n， 1

こととしてもよい。すなわち、記録しておいた H^j (s )を用い、 H (H^j (s ) )により、ハ

n, 1 n, 1

ッシュ値 H^j+1 (s )を求め、さらにこの値をメモリ 136aに格納しておくこととしてもよい

n， 1

。この場合、ノ、ッシュ演算部 133のハッシュ演算回数を低減させることができ、ノック エンド装置 130の演算効率を向上させることができる。

[0035] 〔実施例 2〕

実施例 2は実施例 1の変形例であり、タグ装置がさらにタグ HD情報 id (「第 1の固有 値 w」に相当）を保持し、 s =H (s I id )により、秘密値 s を更新する点のみ k k, i+ 1 k, i k k, i

が実施例 1と相違する。以下では、実施例 1との相違点のみ説明する。

図 4は、実施例 2におけるタグ自動認識システム 200の全体構成を例示した図であ る。なお、この図において実施例 1と共通する部分には、実施例 1と共通の符号を付 している。以下、この図を用いて、実施例 2の機能構成及び処理方法について説明 する。

[0036] <前処理 >

実施例 1とは、タグ装置 210の秘密値メモリ 211に、そのタグ HD情報 idとこれに対

k

応する秘密値 s とが格納される点のみが相違する。また、バックエンド装置 130のデ

k, i

ータベースメモリ 131には、各タグ装置 nに対応する秘密値 s , とタグ HD情報 idと物 流情報等のデータ dataとが対応付けられて格納される力 このタグ Iひ f青報 idは「第 2の固有値 w」に相当する。

<タグ装置の処理 >

実施例 1とは、ステップ S4の処理のみが相違する。すなわち、実施例 1のステップ S 4の処理の代わりに、ハッシュ演算部 213 (「第 1の演算部」に相当）において、秘密 値メモリ 211から秘密値 s とタグ HD情報 idを抽出し、 s =H (s , | id )を演算

k, i k k, i + 1 k, i k する。なお、 oc I j8は αと j8とのビット結合を意味する。そして、その演算結果を、新 たな秘密値 s として秘密値メモリ 211に上書きする。

k, i +1

[0037] <リーダー装置の処理 >

実施例 1と同様である。

<バックエンド装置の処理 >

実施例 1とは、ステップ Sll、 SI 3、 S 14の処理のみが相違する。すなわち、実施例 2では、ステップ S 11の代わりにバックエンド装置 230のハッシュ演算部 233 (「第 3の 演算部」に相当）において、データベースメモリ 131から、秘密値 s 及びそれに対応

n， 1

するタグ Iひ f青報 idを抽出する。

[0038] 次に、実施例 1と同様、制御部 136が、 jに 0を代入し、これをメモリ 136aに格納する

(ステップ S12)。その後、ステップ S13の代わりに、ハッシュ演算部 233力 ハッシュ 値 G(I^j(n))を計算する。但し、 I^j(n) =s (j = 0), I^j(n)

| id ) (j≥l)と

n， 1 n

定義する。すなわち、ノ、ッシュ演算部 233は、秘密値 s 及びそれに対応するタグ ID

n， 1

情報 id力も I^j(n)を再帰的に求め、そのノ、ッシュ値 G(I^j(n))を計算する。なお、この 再帰的な演算は、演算過程における各 ί (n) j 1})をメモリ 136aに一 時的に格納し、それを次の I^i>+1(n)の算出に用いることにより実現する。また、ノ、ッシ ュ値 G (I^j (n) )を計算する際に求めた I^j (n)を、少なくとも次のハッシュ値 G (n) ) の算出時までメモリ 136aに保存しておいてもよい。これにより、ー且求めた I^j(n)を、 次のノ、ッシュ値 G(I^j+1(n))を求める際の I^j+1(n)=H(I^j(n) | id)の演算に利用でき 、演算の効率ィ匕を図ることができる。

[0039] その後、ステップ S14の代わりに、比較部 134において、ハッシュ演算部 233から ノ、ッシュ値 G(I^j(n))を、メモリ 136aからタグ出力情報 G(s )を、それぞれ取得し、そ

k, i

れらを比較する。その後、実施例 1と同様、ステップ S 15以降の処理を実行する。 以上説明したように、実施例 2では、 s =H(s

k, i+1 k, i I id)の演算によってタグ装置

k

210の秘密値メモリ 211の秘密値 s を更新する。これにより、異なるタグ HD情報 id

k, i k に対応する秘密値の更新内容が半永久的に一致してしまう事態を防止できる。すな わち、異なる秘密値等にそれぞれ同じハッシュ関数を作用させていった場合、ある時 点でそれらの演算結果が一致する場合 (collision)もあり得る。しかし、その場合であ つても、それぞれの秘密値 s に対応するタグ HD情報 idは異なるため、 s =H (s

k, i k k, i+ 1 k

I id )によって演算される次の秘密値は同一とならない。これは、 s =H (s )に

, i k k, i + 1 k, i よって秘密値の更新を行う場合には得られない効果である。

[0040] なお、実施例 2では、タグ 情報 id及び idを、それぞれ第 1の固有値 w及び第 2

k n k

の固有値 wとしたが、各タグ ID情報に対応するその他の情報を固有値として用いて ちょい。

〔実施例 3〕

本形態は実施例 1の変形例であり、 ックエンド装置において、予め算出した演算 値 G (H^j (s ；) ) (j = 0, j )を記録しておく点のみが実施例 1と相違する。以下で

n, 1 max

は、実施例 1との相違点のみ説明する。

[0041] 図 5は、実施例 3におけるタグ自動認識システム 300の全体構成を例示した図であ る。なお、この図において実施例 1と共通する部分には、実施例 1と共通の符号を付 している。また、図 6は、実施例 3のバックエンド装置 330の処理を説明するためのフ ローチャートである。以下、これらの図を用いて、実施例 3の機能構成及び処理方法 について説明する。

<前処理 >

バックエンド装置 330のデータベースメモリ 331に、ハッシュ演算部 133にお!/、て予 め算出した演算結果 G (H^j (s ；) ) (j = (V ,j )を、秘密値 s に対応付けて格納し

n, 1 max n,

ておく点のみが第 1の実施の形態と相違する。

[0042] <タグ装置の処理'リーダー装置の処理 >

実施例 1と同様である。

<バックエンド装置の処理 >

まず、 ックエンド装置 330は、通信部 132において、リーダー装置 120から送信さ れた物流情報 pdとタグ出力情報 G (s )を受信する (ステップ S31)。なお、受信され

k, i

た物流情報 pdとタグ出力情報 G (s )はメモリ 136aに格納される。次に、制御部 136

k, i

は、 nに 1を代入し、これをメモリ 136aに格納する（ステップ S32)。次に、制御部 136 は、 jに 0を代入し、これをメモリ 136aに格納する（ステップ S33)。そして、制御部 136 は、メモリ 136aの n, jの値を参照し、データベースメモリ 331に格納された演算結果 G (H^j (s ；) )を抽出する (ステップ S 34)。

n， 1

[0043] 次に、比較部 134において、この演算結果 G (H^j (s ；) )とメモリ 136aから抽出した

n， 1

タグ出力情報 G (s )とを比較する (ステップ S35)。

k, i

ここで、これらの値が一致しなかった場合には (ステップ S36)、制御部 136は、メモ リ 136aの jに j + 1を代入し (ステップ S37)、 jが所定の最大値 j を超えたカゝ否かを判

max

断する (ステップ S38)。ここで、 jが最大値 j 以下であった場合、制御部 136は、ス

max

テツプ S34以降の処理を再実行させ、 jが最大値 j を超えた場合には、メモリ 136a

max

の nが mであるか否かを判断する（ステップ S39)。ここで、 n=mでないならば、制御 部 136は、 n n+ 1 (n+ 1を新たな nとする）をメモリ 136aに格納し (ステップ S40)、 ステップ S33以降の処理を再実行させ、 n=mならば処理を終了させる。なお、この 処理は、制御部 136の制御のもと、タグ出力情報 G (s ) -とハッシュ値 G (H^j (s ) )

k, i n， 1 とが一致しなければ、 n及び jの少なくとも一方の値を変化させて、ハッシュ演算部 13 3及び比較部 134における処理を再び行うことに相当する。

[0044] 一方、タグ出力情報 G (s )とハッシュ値 G (H^j (s ；) )がー致した場合 (ステップ S3

k, 1 n， 1

6)、制御部 136は、一致した演算結果 G (H^j (s ) )に対応する秘密値 s を読書き

n, 1 n, 1

部 135に送り、読書き部 135は、一致したハッシュ値 G (H^j (s ；) )に対応する秘密値

n， 1

s に対応付けられているタグ 情報 idと物流情報等のデータ dataをデータべ一 スメモリ 331から抽出し、これを通信部 132に送る (ステップ S40)。また、読書き部 13 5は、メモリ 136aから物流情報 pdを受け取り、この物流情報 pdを、この秘密値 s に

n， 1 対応付けて、データベースメモリ 131に書き込む (ステップ S40)。通信部 132に送ら れたタグ ID情報 idとデータ dataは、ネットワーク 140を通じてリーダー装置 120に 送信される (ステップ S41)。

[0045] 以上説明したように、実施例 3では、予め算出した演算結果 G (H^j (s ；) )をデータ

n， 1

ベースメモリ 331に格納しておくこととした。そのため、比較処理ごとに G (H^j (s ；) )を

n， 1 算出する場合に比べ、ノ ックエンド装置 330の処理量を低減させることができる。 〔実施例 4〕

実施例 4は実施例 1の変形例であり、タグ装置力 秘密値の更新回数を特定する情 報を送信し、ノ ックエンド装置でこの秘密値の更新回数を用いて処理を行う点のみが 実施例 1と相違する。以下では、実施例 1との相違点のみ説明する。

[0046] 図 7は、実施例 4におけるタグ自動認識システム 400の全体構成を例示した図であ る。なお、この図において実施例 1と共通する部分には、実施例 1と共通の符号を付 している。また、図 8は、実施例 4のバックエンド装置 430の処理を説明するためのフ ローチャートである。以下、これらの図を用いて、実施例 4の機能構成及び処理方法 について説明する。

<タグ装置の構成 >

実施例 1とは、タグ装置 410が、秘密値の更新回数 rnをカウントするカウンタ 416を 有して 、る点のみが相違する。

[0047] <タグ装置の処理 >

実施例 1とは、タグ装置 410の秘密値メモリ 411に秘密値 s の他、カウンタ 416が

k, i

カウントした秘密値 s の更新回数 rnが格納される点、この更新回数 rnを特定する情

k, i

報を、ハッシュ演算部 112及びインタフェース 114 (「出力部」に相当 )を介してリーダ 一装置 120に送信する点のみが相違する。

<リーダー装置の処理 >

実施例 1とは、インタフェース 122において、さらに更新回数 rnを特定する情報を受 信し、通信部 123において、さらにこの更新回数 rnを特定する情報を、ネットワーク 1 40を通じてバックエンド装置 430に送信する点のみが相違する。

[0048] <バックエンド装置の処理 >

まず、ノ ックエンド装置 330は、通信部 132において、リーダー装置 120から送信さ れた rnを特定する情報、物流情報 pd及びタグ出力情報 G (s )を受信する (ステップ

k, i

S50)。なお、受信された rnを特定する情報、物流情報 pd及びタグ出力情報 G (s )

k, i はメモリ 136aに格納される。次に、制御部 136は、 nに 1を代入し、これをメモリ 136a に格納する（ステップ S51)。そして、制御部 136は、メモリ 136aの n, jの値を参照し、 ノ、ッシュ演算部 433にデータベースメモリ 131から秘密値 s を抽出させ (ステップ S

n， 1

52)、これにハッシュ関数 Hを rn回作用させた後、さらにハッシュ関数 Gを作用させ、 ハッシュ値 G (H^j (s ) ) (j =rn)を算出させる (ステップ S⁵³)。

n， 1

[0049] 次に、比較部 134において、ハッシュ演算部 433からハッシュ値 G (H^j (s ；) )を、メ モリ 136aからタグ出力情報 G (s )を、それぞれ取得し、それらを比較する (ステップ

k, i

S54)。

ここで、これらの値が一致しなかった場合 (ステップ S55)、制御部 136は、メモリ 13 6aの nが mであるか否かを判断する（ステップ S56)。ここで、 n=mでないならば、制 御部 136は、 n n+ 1 (n+ 1を新たな nとする）をメモリ 136aに格納し (ステップ S57) 、ステップ S52以降の処理を再実行させ、 n=mならば処理を終了させる。なお、この 処理は、ノ、ッシュ値 G (H^j (s ) )とタグ出力情報 G (s )とが一致しな 、場合、 nの値

n， 1 k, i

を変化させて、ノ、ッシュ演算部 433及び比較部 134における処理を再び実行させる ことに相当する。

[0050] 一方、タグ出力情報 G (s )とハッシュ値 G (H^j (s ；) )がー致した場合 (ステップ S 5

k, n， 1

5)、制御部 1³⁶は、一致したハッシュ値 G (H^j (s ) )に対応する秘密値 s を読書き

n, 1 n, 1

部 135に送り、読書き部 135は、一致したハッシュ値 G (H^j (s ；) )に対応する秘密値

n， 1

s に対応付けられているタグ 情報 idと物流情報等のデータ dataをデータべ一 スメモリ 131から抽出し、これを通信部 132に送る (ステップ S58)。また、読書き部 13 5は、メモリ 136aから物流情報 pdを受け取り、この物流情報 pdを、この秘密値 s に

n， 1 対応付けて、データベースメモリ 131に書き込む (ステップ S59)。通信部 132に送ら れたタグ ID情報 idとデータ dataは、ネットワーク 140を通じてリーダー装置 120に 送信される (ステップ S59)。

[0051] 以上説明したように、実施例 4では、タグ装置 410において rnを送信し、バックェン ド装置 430において、この rnを用いてハッシュ値 G (H^m(s ；) )を算出して比較処理

n， 1

を行うこととした。これにより、ノ ックエンド装置 430の比較処理は、各 s に対し、 1回

n， 1

のみとなり、この処理に必要な処理量を低減させることができる。

〔実施例 5〕

実施例 5は実施例 1の変形例であり、ハッシュ関数の代わりに秘密鍵暗号関数を用 いて秘密値の更新 ·比較を行う点のみが実施例 1と相違する。以下では、実施例 1と の相違点のみ説明する。

[0052] 図 9は、実施例 5におけるタグ自動認識システム 500の全体構成を例示した図であ る。なお、この図において実施例 1と共通する部分には、実施例 1と共通の符号を付 している。また、図 10Aは、実施例 5におけるタグ装置 510の処理を説明するための フローチャートであり、図 10Bは、実施例 5におけるバックエンド装置 530の処理を説 明するためのフローチャートである。以下、これらの図を用いて、本実施例の機能構 成及び処理方法につ!、て説明する。

<前処理 >

実施例 5では、タグ装置 510に鍵メモリ 515が設けられ、ノ ックエンド装置 530に鍵 メモリ 536が設けられ、それぞれに共通鍵 KG,KHが格納される。また、タグ装置 510 には、実施例 1のハッシュ演算部 112、 113の代わりに暗号関数演算部 512、 513が 設けられ、ノ ックエンド装置 530には、ノ、ッシュ演算部 133の代わりに暗号関数演算 部 533が設けられる。そして、暗号関数演算部 512、 513, 533は、ノ、ッシュ関数の 代わりに、 AES,カメリア (Camellia)等の共通鍵暗号関数 Eによる演算が可能なよう に構成される。なお、実施例 5では、共通鍵 KHを用いた共通鍵暗号関数 Eが「逆像 を求めることが困難な第 1の関数 Fl」に相当し、共通鍵 KGを用いた共通鍵暗号関 数 Eが「定義域の元とその写像との関係を撹乱させる第 2の関数 F2」に相当する。す なわち、この例の第 1の関数 F1及び第 2の関数 F2は、異なる共通鍵を適用した同じ 共通鍵暗号関数である。

[0053] 以上の点が実施例 1との相違点である。

<タグ装置の処理 >

まず、暗号関数演算部 512 (「第 2の演算部」に相当）において、秘密値メモリ 111 から秘密値 s を抽出し (ステップ S61)、鍵メモリ 515から共通鍵 KGを抽出し、秘密

k, i

値 s に共通鍵 KGで共通鍵暗号関数 Eを作用させる (E (s ；) :ステップ S62)。算 k, i KG k, i

出された暗号文 E (s )は、タグ出力情報 E (s )としてインタフェース 114から、

KG k, i KG k, i

無線或いは有線で、リーダー装置 120に送信される (ステップ S63)。

[0054] 次に、暗号関数演算部 513 (「第 1の演算部」に相当）において、鍵メモリ 515から共 通鍵 KHを抽出し、秘密値メモリ 111から秘密値 s を抽出し、この秘密値 s に共通

k, i k, i 鍵 KHで共通鍵暗号関数 Eを作用させ (ステップ S64)、その演算結果を新たな秘密 値 s =E (s )として秘密値メモリ 111に上書き保存する (ステップ S65)。

i+1 KH k, i

<リーダー装置の処理 > 実施例 1と同様である。

[0055] <バックエンド装置の処理 >

まず、ノ ックエンド装置 530は、通信部 132において、リーダー装置 120から送信さ れた物流情報 pdとタグ出力情報 E (s )を受信する (ステップ S70)。なお、受信さ

KG k, i

れた物流情報 pdとタグ出力情報 E (s )はメモリ 136aに格納される。次に、制御部

KG k, i

136は、 nに 1を代入し、これをメモリ 136aに格納する（ステップ S71)。そして、制御 部 136は、メモリ 136aの nの値を参照し、暗号関数演算部 533 (「第 3の演算部」に相 当）にデータベースメモリ 131から秘密値 s を抽出させる (ステップ S72)。次に、制

n， 1

御部 136は、 jに 0を代入し、これをメモリ 136aに格納する（ステップ S73)。そして、制 御部 136は、メモリ 136aの jの値を参照し、暗号関数演算部 533に暗号文 E (E^j (

KG KH

s ) ) (「第 3の演算部における演算結果」に相当）を算出させる (ステップ S74)。な n， 1

お、 E^j (s )は、秘密値 s に共通鍵 KHで共通鍵暗号関数 Eを j回作用させること

KH n, 1 n, 1

を意味する。次に、比較部 134において、ハッシュ演算部 133から暗号文 E (E^j (

KG KH

s ；) )を、メモリ 136aからタグ出力情報タグ出力情報 E (s )を、それぞれ取得し、 n， 1 KG k, i

それらを比較する (ステップ S75)。

[0056] ここで、これらの値が一致しなかった場合には（ステップ S76)、制御部 136は、メモ リ 136aの jに j + 1を代入し (ステップ S77)、 jが所定の最大値 j を超えた力否かを判

max

断する (ステップ S78)。ここで、 jが最大値 j 以下であった場合、制御部 136は、ス

max

テツプ S74以降の処理を再実行させ、 jが最大値 j を超えた場合には、メモリ 136a

max

の nが mであるか否かを判断する（ステップ S79)。ここで、 n=mでないならば、制御 部 136は、 n n+ 1 (n+ 1を新たな nとする）をメモリ 136aに格納し (ステップ S80)、 ステップ S72以降の処理を再実行させ、 n=mならば処理を終了させる。なお、この 処理は、制御部 136の制御のもと、タグ出力情報 E (s )と暗号文 E (E^j (s )

KG k, i KG KH n， 1

)とがー致しなければ、 n及び jの少なくとも一方の値を変化させて、暗号関数演算部 533及び比較部 134における処理を再び行うことに相当する。

[0057] 一方、タグ出力情報 E (s )と暗号文 E (E^j (s ；) )がー致した場合 (ステップ

KG k, i KG KH n， 1

S76)、制御部 136は、一致した暗号文 E (E^j (s ；) )に対応する秘密値 s を読

KG KH n, 1 n, 1 書き部 135に送り、読書き部 135は、一致した暗号文 E (E^j (s ；) )に対応する秘

KG KH n， 1 密値 s_nェに対応付けられて 、るタグ 情報 id_nと物流情報等のデータ data_nをデータ ベースメモリ 131から抽出し、これを通信部 132に送る (ステップ S81)。また、読書き 部 135は、メモリ 136aから物流情報 pdを受け取り、この物流情報 pdを、この秘密値 s に対応付けて、データベースメモリ 131に書き込む (ステップ S81)。通信部 132に 送られたタグ Iひ f青報 idとデータ dataは、ネットワーク 140を通じてリーダー装置 120 に送信される（ステップ S82)。

[0058] なお、ノ ックエンド装置 530における、ステップ S74の過程で算出された暗号文 E^j

(s )をメモリ 136a〖こ記録しておき、これを次のループのステップ S 74で利用するこ

H n, 1

ととしてもよい。すなわち、記録しておいた E^j (s )を用い、 E (E^j (s ) )により

KH n, 1 KH KH n, 1

、暗号文 E^j+1 (s )を求め、さらにこの値をメモリ 136aに格納しておくこととしてもよ

KH n, 1

い。この場合、暗号関数演算部 533の暗号演算回数を低減させることができ、バック エンド装置 530の演算効率を向上させることができる。さらに、ノ ックエンド装置 530 において、 E^j (s j })を事前計算してメモリ 136aに格納しておき、

KH n, 1 max

これをステップ S 74で利用することとしてもよい。この場合もバックエンド装置 530の演 算効率を向上させることができる。

[0059] また、実施例 5は、共通鍵 KHを用いた共通鍵暗号関数 Eを「逆像を求めることが困 難な第 1の関数 Fl」とし、共通鍵 KGを用いた共通鍵暗号関数 Eを「定義域の元とそ の写像との関係を撹乱させる第 2の関数 F2」として処理を行う例であるが、第 1の関 数 F1及び第 2の関数 F2の一方をハッシュ関数として処理を行ってもよい。さら〖こ、前 述の実施例 1から 4或 、は後述する実施例 6から 11にお 、て、第 1の関数 F1及び第 2の関数 F2の少なくとも一方を共通鍵 KH或いは KGを用いた共通鍵暗号関数 Eとし て処理を行ってもよい。

[0060] このように実施例 5では、共有鍵暗号関数を用いて秘密値 s を更新することとした

k, i

。そのため、タグ装置 510から秘密値 s が漏洩しても、攻撃者がこの秘密値 s と通

k, i k, i 信履歴とからタグ装置 510の流通過程を追跡することはできない。また、タグ装置 51 0に乱数生成回路を設ける必要もないため、タグ装置 510のコストを低減させることが できる。さらに、ハッシュ関数よりも軽い (演算量が少ない)共通鍵暗号関数を用いる ことができれば、タグ装置 510及びバックエンド装置 530の処理量を低減させることが できる。

[0061] 〔実施例 6〕

実施例 6は、実施例 1の変形例であり、秘密値 s と、各タグ固有の第 1固有値 wと

k, i k

、のビット結合のハッシュ値をタグ出力情報とする点が実施例 1と相違する。

図 11は、実施例 6におけるタグ自動認識システム 600の全体構成を例示した図で あり、図 12は、実施例 6における処理を説明するためのフローチャートである。なお、 図 11において実施例 1と共通する部分には、実施例 1と共通の符号を付している。以 下、これらの図を用いて、実施例 6の機能構成及び処理方法について説明する。

[0062] <前処理 >

実施例 1との相違点は、各タグ装置 610の秘密値メモリ 611に、それぞれのタグ ID 情報 idに対応する秘密値 s (「第 1の秘密値」に相当）及び固有値 w (「第 1の固有 k k, i k 値」に相当）を格納しておく点、ノ ックエンド装置 630のデータベースメモリ 631に、各 タグ HD情報 id (η≡{ 1, m})とそれらに対応する秘密値 s (「第 2の秘密値」に

n n， 1

相当）、固有値 w「第 2の固有値」に相当）及び物流情報等のデータ dataとを対応 付けて格納しておく点である。なお、固有値としては、例えば、タグ 情報を利用す ることがでさる。

[0063] <タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 610をリーダー装置 620に読取らせた際 の処理を説明する。

まず、ハッシュ演算部 612において、秘密値メモリ 611から秘密値 s 及び第固有

k, i

値 wを抽出し (ステップ S101)、当該秘密値 s 及び固有値 wのビット結合にハツシ k k, i k

ュ関数 Gを作用させたタグ出力情報 G (s )を算出する (ステップ S 102)。そして

k, i I w

k

、インタフェース 114において、このタグ出力情報 G (s

k, i I w )を、無線或いは有線で k

リーダー装置 120に送信する (ステップ S103)。

[0064] 次に、ノ、ッシュ演算部 113において、秘密値メモリ 611から抽出した秘密値 s ハツ

k, i シュ関数 Hを作用させたハッシュ値 H (s )を算出し (ステップ S 104)、当該ハッシュ

k, i

値 H (s )を新たな秘密値 s として、秘密値メモリ 611の秘密値 s に上書きする（ k, i k, i+ 1 k, i 秘密値メモリ 611の秘密値 s を消去し、代わりに秘密値 s を格納する:ステップ S

k, i k, i+1 105)。

<リーダー装置の処理 >

リーダー装置 120は、インタフェース 122において、タグ装置 610から送信されたタ グ出力情報 G (s I w )を受信し (ステップ S 106)、通信部 123に送る。通信部 123

k, i k

は、物流情報メモリ 121から物流情報 pdを抽出し (ステップ S107)、この物流情報 pd とハッシュ値 G (s I w )とを、ネットワーク 140を通じ、バックエンド装置 630に送信

k, i k

する（ステップ SI 08)。

[0065] <バックエンド装置の処理 >

ノックエンド装置 630は、通信部 132において、リーダー装置 120から送信された 物流情報 pdとタグ出力情報 G (s

k, i I w )を受信する (入力を受け付ける:ステップ SI k

09)。なお、受信された物流情報 pdとタグ出力情報 G (s

i I w )は、メモリ 136aに格 k, k

納される。

次に、制御部 136において、パラメータ;!， nに 0を代入し、これらをメモリ 136aに格 納する（ステップ S10)。そして、制御部 136は、メモリ 136aの j, nを参照し、ハッシュ 演算部 633 (「第 3の演算部」に相当）に、データベースメモリ 631から抽出した 1組の 第 2秘密値 s 及び第 2固有値 wを用い、ハッシュ値 G (H^j (s )

n, 1 n n, 1 I w )を算出させる

n

(ステップ SI 11)。なお、この H^j (s )を事前計算し、データベースメモリ 631に格納

n， 1

しておいてもよい。この場合、ノックエンド装置 630における演算負担を軽減できる。

[0066] 次に、比較部 134において、ハッシュ演算部 633からハッシュ値 G (H^j (s ) | w )

n， 1 n を、メモリ 136aからタグ出力情報 G (s I w )を、それぞれ取得し、それらを比較する

k, i k

(ステップ SI 12)。

ここで、これらの値が一致しなかった場合 (ステップ SI 13)、制御部 136は、メモリ 1 36aの jに j + 1を代入し (ステップ S 114)、 jが所定の最大値 j を超えたか否かを判

max

断する (ステップ S115)。ここで、 jが最大値 j 以下であった場合にはステップ SI 11

max

の処理に戻り、 jが最大値 j を超えた場合には、制御部 136においてメモリ 136aの

max

nに n+ 1を、 jに 0を、それぞれ代入し (ステップ S 116)、 nが所定の最大値 n を超

max えた力否かを判断する (ステップ S117)。ここで、 nが最大値 n 以下であった場合に

max

はステップ SI 11の処理に戻り、 nが最大値 n を超えた場合には、エラー終了する（ ステップ SI 18)。

[0067] 一方、ステップ SI 13の判断において、タグ出力情報 G (s | w )とハッシュ値 G (H

k, i k

j (s ) I w )とが一致すると判断された場合、制御部 136は、この nの値を読書き部 1 n， 1 n

35に与え、読書き部 135は、この nを用い、当該一致したハッシュ値 G (H^j (s ) | w

n， 1 n

)に対応する秘密値 s 及び固有値 wに対応付けられて ヽる id及 dataを、データ ベースメモリ 631から抽出し、これらを通信部 132に送る。また、読書き部 135は、メ モリ 136aから物流情報 pdを受け取り、この物流情報 pdを、当該一致したハッシュ値 G (H^j (s ) I w )に対応する秘密値 s 及び固有値 wに対応付けて、データべ一 n, 1 n n, 1 n

スメモリ 631に書き込む（ステップ S 119)。

[0068] 通信部 132に送られた id及 dataは、ネットワーク 140を通じてリーダー装置 120に 送信され (ステップ S 120)、リーダー装置 120の通信部 123で受信され、出力される（ ステップ S 121)。

<実施例 6の特徴 >

実施例 6では、各タグ装置 610から出力されるタグ出力情報 G (s

k, i I w )は、秘密 k

値 s と、各タグ装置 610固有の固有値 wと、のビット結合のハッシュ値である。また、 k, i k

各タグ装置の秘密値 s は、ハッシュ値 H (s )によって順次更新される。従って、異

k, i k, i

なるタグ装置間でタグ出力情報 G (s

k, i I w )が同一 (コリジョン発生)となったとしても、 k

固有値 w力タグ装置ごとに異なる以上、各タグ装置の秘密値 S が更新されれば、ハ

k k, i ッシュ関数の衝突困難性により、このコリジョンは高い確率で解消する。これにより、タ グ装置 610のタグ出力情報 G (s I w )のコリジョンが継続することを防止でき、バッ

k, i k

クエンド装置 630が、タグ出力情報 G (s I w )からタグ HD情報を一義的に特定でき

k, i k

なくなってしまうことを防止できる。

[0069] 〔実施例 7〕

実施例 7は実施例 6の変形例であり、秘密値を各タグ装置の共用とする点が実施例 6と相違する。以下では、実施例 実施例 6との相違点を中心に説明する。

図 13は、実施例 7におけるタグ自動認識システム 700の全体構成を例示した図で ある。なお、この図において実施例 1と共通する部分には、実施例 1と共通の符号を 付している。また、図 14は、実施例 7における処理を説明するためのフローチャート である。以下、これらの図を用いて、実施例 7の機能構成及び処理方法について説 明する。

[0070] <前処理 >

各タグ装置 710に対応する各 ID (id (k= l, m) )に対し、ある 1つの乱数 s ≡{

k 1

0, を生成し、これを各タグ装置 710の秘密値メモリ 711に、秘密値 s (sの初期値 であり「第 1の秘密値」に相当）として格納する。また、各タグ装置 710に対応する各タ グ HD情報 (id (k= l, m) )ごとに、それぞれ固有な固有値 wを生成し、これを当

k k 該各タグ装置 710の秘密値メモリ 711に格納する。

[0071] また、各タグ装置 710に格納された秘密値 sと同じ秘密値 _Siを「第 2の秘密値」とし て、バックエンド装置 730のデータベースメモリ 731に格納する。また、このデータべ ースメモリ 731に、各固有値 wを、対応するタグ装置 710のタグ HD情報 id及び物流 データ等 dataに対応付けて格納する。

さらに、ノ ックエンド装置 730のハッシュ演算部 736において、各タグ装置 710に共 通の秘密値 sのハッシュ値 s =H^j+1 (s ) (j = 0, . . . , j )を算出する。算出され

丄 J + 2 1 max

た各ハッシュ値 s は、データベースメモリ 731に格納される。

j + 2

[0072] <タグ装置の処理 >

以下では、 i回目に、タグ装置 710をリーダー装置 720に読み取らせた際の処理を 説明する。

まず、ノ、ッシュ演算部 712において、秘密値メモリ 711から秘密値 s及び固有値 w

i k を抽出し (ステップ S 131)、当該秘密値 s及び固有値 wのビット結合のハッシュ値で

i k

あるタグ出力情報 G (s

i I w )を算出する (ステップ SI 32)。そして、インタフェース 11 k

4において、このタグ出力情報 G (s ー装置 120に送信する (ステップ S

i I w )をリーダ

k

133)。

[0073] 次に、ノ、ッシュ演算部 113において、秘密値メモリ 711から抽出した秘密値 sのハツ シュ値 H (s )を算出し (ステップ S134)、当該ハッシュ値 H (s )を新たな秘密値 s と

i i i+ 1 して、秘密値メモリ 711の秘密値 sに上書きする (ステップ S 135)。

<リーダー装置の処理 >

実施例 1と同様である（ステップ S 136— S 138)。 <バックエンド装置の処理 >

ノックエンド装置 730は、通信部 132において、リーダー装置 120から送信された 物流情報 pdとタグ出力情報 G (s

i I w )を受信する (ステップ S139)。なお、受信され k

た物流情報 pdとタグ出力情報 G (s I w )はメモリ 136aに格納される。

i k

[0074] 次に、制御部 136において、パラメータ;!， nに 0を代入し、メモリ 136aに格納する (ス テツプ S 140)。

そして、ノ、ッシュ演算部 733 (「第 3の演算部」に相当）において、データベースメモ リ 731から抽出した固有値 w及び秘密値 s或いはハッシュ値 s (ハッシュ演算部 73

n 1 j + 2

6にお 、て算出（事前計算）されたハッシュ値 s )を用い、ノ、ッシュ値 G (s

j +2 j + 1 I w )を

n 算出する (ステップ S141)。

次に、比較部 134において、ハッシュ演算部 733からハッシュ値 G (s | w ) (「第

j + l n

3の演算部における演算結果」に相当）を、メモリ 136aからタグ出力情報 G (s | w )

k を、それぞれ取得し、それらを比較する (ステップ S 142)。

[0075] ここで、これらの値が一致しなかった場合 (ステップ S143)、制御部 136は、メモリ 1 36aの jに j + 1を代入し (ステップ S 144)、 jが所定の最大値 j を超えたか否かを判

max

断する (ステップ S145)。ここで、 jが最大値 j 以下であった場合にはステップ S141

max

の処理に戻り、 jが最大値 j を超えた場合には、制御部 136において、メモリ 136a

max

の nに n+ 1を、 jに 0を、それぞれ代入し (ステップ S 146)、 nが所定の最大値 n を

max 超えた力否かを判断する (ステップ S 147)。ここで、 nが最大値 n 以下であった場

max

合にはステップ S141の処理に戻り、 nが最大値 n を超えた場合には、エラー終了

max

する（ステップ S 148)。

[0076] 一方、ステップ S143の判断において、タグ出力情報 G (s

i I w )とハッシュ値 G (s k j+ l

I w_n)とが一致すると判断された場合、制御部 136の制御のもと、読書き部 135にお V、て、当該一致したハッシュ値 G (s 応する固有値 wに対応付けられて

j + l I w )に対

n n

いる id及 dataを、データベースメモリ 731から抽出し、これらを通信部 132に送る。 また、読書き部 135は、通信部 132から物流情報 pdを受け取り、この物流情報 pdを、 当該一致したハッシュ値 G (s

j + l I w )に対応する固有値 wに対応付けて、データべ n n

ースメモリ 731に書き込む（ステップ S 149)。 [0077] 通信部 132に送られた id及 dataは、ネットワーク 140を通じてリーダー装置 120に 送信され (ステップ S150)、リーダー装置 120の通信部 123で受信され、出力される（ ステップ S 151)。

<実施例 7の特徴 >

実施例 7では、各タグ装置 710に共通の秘密値 sを用いることとした。そのため、ノ ックエンド装置 730のステップ S141の処理で用いる秘密値 s を、各タグ HD情報 id

j +l n に対して共通化できる。これにより、ノ ックエンド装置 730における演算量を大幅に低 減でき、効率的な検索を行うことが可能となる。

[0078] 具体的には、タグ装置 710の個数を m、バックエンド装置 730のハッシュ回数（タグ 装置 710での秘密値の更新回数) とした場合、実施例 1では、 2mj回のハッシュ演 算が必要であった。これに対し、実施例 7では、 mj +j回のハッシュ演算に抑えること ができる。

さらに、タグ装置 710が、タグ出力情報 G (s I w )とともに、秘密値 sの更新回数 rn

k

を出力し、この更新回数 rnをバックエンド装置 730に与えることとすれば (実施例 4参 照）、 ノックエンド装置 730におけるノ、ッシュ演算回数は m+j回にまで低減できる。

[0079] 〔実施例 8〕

実施例 8は、実施例 1の変形例であり、複数の要素の組合せを、各タグ装置固有の 値として割り当てる点が実施例 1と相違する。これにより、各タグ装置に割り当てる要 素の一部を複数のタグ装置間で共有できる。その結果、タグ装置の認識処理に必要 な総当り演算量を低減できる。

図 15は、実施例 8におけるタグ自動認識システム 800の全体構成を例示した図で ある。この図において実施例 1と共通する部分については、実施例 1と同じ番号を付 した。また、図 16Aは、タグ装置 810の秘密値メモリ 811に格納されるデータの例示 であり、図 16Bは、バックエンド装置 830のデータベースメモリ 831に格納されるデー タの例示である。さらに、図 17及び 18は、実施例 8における処理を説明するためのフ ローチャートである。

[0080] 以下、これらの図を用いて、実施例 8の機能構成及び処理方法について説明する 。なお、実施例 1と共通する事項については説明を省略する。 <前処理 >

例えば、乱数生成装置（図示せず)等を用い、各タグ装置に割り当てる要素の初期 値の集合

(b b b )-"(b b b )-"(b b b

1， 1， 0， ...， 1， j, 0， ...， 1, p , 0 ti， 1， 0， ...， u, j, 0， ...， u, p , 0 d， 1， 0， ...， d， j, 0， ...， d， p，

)

0

を生成する。なお、この各「（ ；)」内の要素の集合をサブグループ o;_u(ue{l, ···, d} )と呼ぶ。

[0081] ここで、 jは l≤j≤ pの自然数 ···, p })であり、 uは l≤u≤dの自然数 (uE

{1, ···, d})である。また、実施例 8では複数の要素の組合せによって 1つの秘密値 を構成するが、 d(d≥2)はこの 1つの秘密値を構成する要素の数である。また、 mは タグ装置 810の総数 (必要となる秘密値の総数)以上の数であり、なおかつ、 m= ^d が自然数となる数である。

次に、このように生成された各要素の組合せを各タグ装置 810に割り当てる。具体 的には、上述した要素の初期値の集合を構成する d種類のサブクループ αから、そ れぞれ 1つずつ要素を選択し、選択した d個の初期要素 f の組合せ (f f

u, 0 1， 0，…， u, 0，…， f )を各タグ装置 810に割り当てる（f ≡{b , ···, b , ···, b }, ···, f d， 0 1， 0 1， 1， 0 1, q, 0 1, p , 0 u

≡{b , ···, b , ···, b }, ···, f ≡{b , ···, b , ···, b }

，0 u, 1, 0 u, q, 0 u, p , 0 d， 0 d, 1, 0 d, q, 0 d, p , 0

)oなお、この割り当ては、異なるタグ装置 810間で同じ組合せとならないように行わ れ、合計 m種類 (タグ装置 810の総数)の (f f f )の組合せが割り当てら

1， 0，…， u, 0，…， d， 0

れる。また、 1つのタグ装置 810に複数の初期要素 f の組合せを対応付けることとし

u, 0

てもよぐこの場合、合計 m種類以上 (タグ装置 810の総数以上）の（f f f

1， 0，…， u, 0，…， d，

)の組合せが割り当てられる。なお、各 (f f f )を構成する要素の少なく

0 1， 0， u, 0，…， d， 0

とも一部は、複数のタグ装置 810に共用される。

[0082] 生成されたすベての組合せ (f f f ) (d個（d≥2)の初期要素 f (u {

1， 0， ···, u, 0， ···, d， 0 ti， 0

1, ···, d})の組合せ）は、それぞれ割り当てられた各タグ装置 810のタグ HD情報 id^ 、各タグ装置 810に対応するデータ data_nとに対応付けられ、ノ ックエンド装置 830の データベースメモリ 831に格納される。なお、 nは各タグ装置に対応する値であり、各 タグ装置力 出力されるタグ出力情報 a (後述)の下付添え字 kに対応する。すなわ

k, i ち、データベースメモリ 831に格納される d個の初期要素 f の組合せ数は、タグ装 u, 0

置 810の総数となる。また、 1つのタグ装置 810に複数の初期要素 f の組合せを対 u, 0

応付ける場合、データベースメモリ 831に格納される d個の初期要素 f の組合せ数 u, 0

は、タグ装置 810の総数以上となる。

[0083] また、生成された各初期要素の組合せ (f f f ) (「(1個（(1≥2)の要素6

1， 0，…， u, 0，…， d， 0 u,

(u { l, · · ·, d})力もなる組合せであって各タグ HD情報 idに対応するもの」に相当 vu k

。但し、 vuは要素 e の更新回数を示す 0以上の整数。要素 e の下付添え字の V uは、 Vを示す。）は、割り当てられた各タグ装置 810の秘密値メモリ 811に格納され る。なお、以下では、各タグ装置 810の秘密値メモリ 811に格納された初期要素の組 合せを (e )

1， 0，…， eu, 0， ed， 0と示す。

[0084] 図 16の例は、 d= 2、 p = 3、 m= 9の場合における、初期要素の割り当てを例示し たものである。

図 16Bに示すように、この例の場合、バックエンド装置 830のデータベースメモリ 83 1に、初期要素の組合せ 831aa ( (f f ) (f ≡{b , b , b } ,

1, 0, 2, 0 1, 0 1, 1, 0 1, 2, 0 1, 3, 0 f ≡{b , b , b })

2, 0 2, 1, 0 2, 2, 0 2, 3, 0

)と、タグ ID情報 83 lab (id (n≡{ l, · · ·, 9})と、データ 831ac (data (η≡{ 1, · · ·, 9 })と、を対応付けて格納する。

[0085] また、図 16Aに示すように、タグ装置 810の秘密値メモリ 811に、そのタグ HD情報 id に対応する 1組の初期要素の組合せ 811a ( (e ) = (b ) )を格納する

1， 0， e2, 0 1， 2, 0， b2, 2, 0

。なお、秘密値メモリ 811に格納される上記要素 e の一部は、他のタグ装置にも対 応する要素として、当該他のタグ装置の秘密値メモリにも格納される。

<タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 810をリーダー装置 20に読取らせた際 の処理を説明する。

[0086] まず、ハッシュ演算部 812 (「第 2の演算部」に相当）において、秘密値メモリ 811か ら各 d個の要素 e を抽出し (ステップ S161)、これらのビット列の結合値 (秘密値 s u, vu k,

)にハッシュ関数 Gを作用させたタグ出力情報 a =G (s )を算出する (ステップ SI 6 k, i k, i

2)。ここで、 kは各タグ装置に対応する値であり、 iは出力部における出力回数を示す 自然数である。また、本実施例では、秘密値 s =e

k, i 1, l I ··· I e e

u, vu I ··· I とし

d, vd

、タグ出力情報 a =G(e

k, 1, l I ··· I e | ··· | e )とするが、各要素 e のビ

u, vu d, vd u, vu ット配置順序はこれに限定されな 、。

[0087] 生成されたタグ出力情報 a はインタフェース 114に送られ、インタフェース 114は、

k, i

このタグ出力情報 a を出力する (ステップ S 163)。

k, i

その後、ハッシュ演算部 813 (「第 1の演算部」に相当）において、秘密値メモリ 811 から少なくとも一部の要素 e ,(u'e{l, ···, d})を抽出し、抽出した要素 e の ハッシュ値 H(e ,)を算出し (ステップ S164)、このハッシュ値 H(e )を新たな 要素 e として秘密値メモリ 811に上書き保存する (ステップ S165)。なお、 u' u'， vu'+l

{1, ···, d}の選択方法はどのようなものでもよい。例えば、タグ装置 810が通信を行う たびに異なる uを選択していく方法、 1つの uについて要素 e の更新がすべて完 了した時点で別の uが選択される方法、 2つ以上の uが同時に選択される方法等を 例示できる。

[0088] <リーダー装置の処理 >

リーダー装置 120は、インタフェース 122において、タグ装置 810から送信されたタ グ出力情報 a を受信し (ステップ S 166)、通信部 123に送る。通信部 123は、物流

k, i

情報メモリ 121から物流情報 pdを抽出し (ステップ S167)、この物流情報 pdとタグ出 力情報 a とを、ネットワーク 140を通じ、ノ ックエンド装置 830に送信する (ステップ S k, i

168)。

<バックエンド装置の処理 >

リーダー装置 120から送信されたタグ出力情報 a 及び物流情報 pdは通信部 132

k, i

において受信され、メモリ 136aに格納される（ステップ S169)。

[0089] これをトリガに、制御部 136は、 nに 1を代入してメモリ 136aに格納し (ステップ S17 0)、 d個の wの組合せを次のように選択し、その組合せをメモリ 136aに格納する（ス テツプ S 171)。

(w , w = {w , w I w £[0, j 」}

1 d w 1 d u max

(但し [a, j8]は a以上 j8以下の整数の集合を示す。）

次に、制御部 136は、メモリ 136aの n, d個の wの組合せを参照し、さらにハッシュ 値メモリ 838を参照して、タグ HD情報 idに対応する d個の初期要素 f (u≡{l, ···, ， 0

d})に、それぞれハッシュ関数

)がノ、ッシュ値 ， 0

メモリ 838に格納されて 、るか（生成済みであるか)否かを検証する（ステップ S 172) 。なお、 IT" (f )の上付き添え字 wuは wを示す。

， 0

[0090] ここで、タグ HD情報 idに対応するハッシュ値 iT^f )のうち、まだ演算が行われて ， 0

いないものが存在すると判断された場合、ノヽッシュ演算部 837は、上記の「タグ HD情 報 idに対応するハッシュ値 Η^(ί )のうち、まだ演算が行われていないもの」に対 ， 0

応する初期要素 f をデータベースメモリ 831から抽出し、この初期要素 f にハツシ ， 0 ， 0 ュ関数 Hを w回作用させハッシュ値 Η^(ί )を算出する (ステップ SI 73)。算出さ ， 0

れたハッシュ値 Η""(ί )はハッシュ値メモリ 838に格納され (ステップ S174)、ステツ

0

プ S172の処理に戻る。

[0091] 一方、ステップ S 172の判断で、タグ HD情報 idに対応するハッシュ値 Η^(ί )が ， 0 すべて生成済みであると判断された場合、制御部 136は、メモリ 136aの n, d個の w の組合せを参照し、ハッシュ演算部 833 (「第 3の演算部」に相当）に、ハッシュ値メモ リ 838から、タグ HD情報 idに対応する d個の初期要素 f (u≡{l, ···, d})に、それ ， 0

ぞれ第 1の関数 Fl^w回作用させたハッシュ値 Η^(ί )を抽出させ (ステップ S17 ， 0

5)、それらハッシュ値 Η^(ί )のビット結合値にハッシュ値 Gを作用させた演算値 c

0

を算出させる (ステップ S176)。なお、演算値 cとしては、例えば、 c = G(H^wl(f ) I

1， 0

··· I H^Cf ) I ··· I H^wd(f ))を例示できるが、各ハッシュ値 Η^(ί )のビット ， 0 d， 0 ， 0 配置順序はこれに限定されない。但し、その順序はタグ装置 810のハッシュ演算部 8 12での各要素 e のビット配置順序に対応させる必要がある。

[0092] 次に、比較部 134において、メモリ 136aからタグ出力情報 a を読出し、ノ、ッシュ演 k, i

算部 833から上記演算値 cを受け取り、これらを比較して c = a である力否かを判断 k, i

する (ステップ S177)。この例では、ハッシュ値 c = G(H^wl(f ) I ··· I Η^(ί ) I

1,0 ， 0

• · · I H^wd (f ) )と、タグ出力情報 a と、を比較する。

d， 0 k, i

ここで、これらが一致しないと判断された場合、制御部 136は、メモリ 136aを参照し 、全ての d個の組合せパターン (w , w) が選択済みである力否かを判断す

1 d w

る (ステップ S178)。ここで、まだ選択されていない組合せパターン存在すると判断さ れた場合、制御部 136は、新たな組合せ (w , w )≡S を選択し、これらをメモリ

1 d w

136aに格納して（ステップ S 179)、この新たな組合せ及び nについて、ステップ S 17 2以降の処理を実行させる。

[0093] 一方、ステップ S 178の判断で、全ての組合せパターンが選択されたとされた場合、 制御部 136はメモリ 136aの nを参照し、 n=mであるか否かを判断する (ステップ S 18 0)。ここで、 n=mでないと判断されると、制御部 136はメモリ 136aの nを n+ 1によつ て更新し (ステップ S 181)、ステップ S 172以降の処理を実行させる。一方、 n=mで あると判断された場合には処理をエラー終了する (ステップ S 182)。

なお、ステップ S 172— 181の処理は、制御部 136の制御のもと、タグ出力情報 a

k, i と演算値 cとが一致しなければ、 n及び wの少なくとも一部の値を変化させて、ノ、ッシ ュ演算部 833及び比較部 134における処理を再び行うことに相当する。

[0094] 一方、ステップ S 177において、ハッシュ値 cとタグ出力情報 a とが一致すると判断

k, i

された場合、読書き部 135は、制御部 135の制御のもと、当該ハッシュ値 cに対応す る複数の初期要素 f の組合せに対応付けられているタグ 情報 idをデータべ

11， 0 n 一 スメモリ 831から選択し、このタグ Iひ f青報 idとそれに対応するデータ dataを抽出して 通信部 132に送る。また、読書き部 135は、メモリ 136aから物流情報 pdを受け取り、 この物流情報 pdを、タグ Iひ f青報 idに対応するデータ dataとして、データベースメモ リ 831に追カ卩書込みする (ステップ S 183)。

[0095] 通信部 132に送られたタグ Iひ f青報 idとデータ dataは、ネットワーク 140を通じてリ ーダー装置 120に送信され (ステップ S 184)、リーダー装置 120の通信部 123で受 信され、出力される (ステップ S 185)。

<実施例 8の特徴 >

[効率性]

バックエンド装置 830のハッシュ演算部 838でのハッシュ値 cの算出には、ハッシュ の演算が必要である。実施例 8では、各要素 e は複数のタグ装

置 810で共用できるため、何れかのタグ装置 810に対応するハッシュ値 cの算出のた めに計算したハッシュ値 Η"" (ί ) =f をハッシュ値メモリ 838に格納しておけば、

11， 0

この要素 f を、他のタグ装置 810に対応するハッシュ値 cの算出にも利用できる。こ れにより、算出すべきハッシュ値 Η^(ί )の数を増加させることなぐ対応可能なタ

u, 0

グ装置 810の数を増やすことができる。具体的には、 d* p個の要素を用い 個の タグ装置に対する固有の初期要素を割り当てることができる。

[0096] さらにハッシュ関数の演算だけで通信データを構成するため、従来の乱数を発生さ せる方法に比べ、タグ装置 810に取り込む回路規模も小さぐ低価格が要求される用 途に適している。

[追跡不可能性]

実施例 8ではタグ出力情報 a =G(s )を通信に用いた。ノ、ッシュ値の認識不能

k, i k, i

性から、秘密値を知らない攻撃者にとって、このタグ出力情報 a =G(s )は単なる

k, i k, i

乱数にみえる。そのため、この攻撃者は、タグ出力情報 a =G(s )と& =G(s

k, i k, i k, i+1 k, i

)が同じタグ装置 810から出力された値である力否かを知ることはできず、タグ装置

+1

810の流通過程も追跡できない。

[0097] [フォワードセキュリティ]

実施例 8では、通信に用いた秘密値メモリ 811内の秘密値を、ノヽッシュ関数 Hによ つて更新することとした。また、ノ、ッシュ関数の一方向性により、タグ装置 810がタンパ 一等され各要素 _e が漏洩しても、攻撃者力 Sこの要素 _e から過去の要素 e

u, vu u, u u, vu— Δνι を求めることはできない。従って、たとえ各要素 e が漏洩しても、攻撃者は、取得し た各要素 e と通信履歴の対応を採れず、タグ装置 810の追跡もできない。

[0098] [追跡可能性]

一方、ノ、ッシュ関数 G,Hの衝突困難性 (異なる値のハッシュ値が同じ値をとりにく ヽ 性質)から、各要素 f を知って 、るバックエンド装置 830は、タグ装置の流通過程 を追跡できる。

なお、実施例 8では、ノ ックエンド装置 830において生成される初期要素の集合を

(b b b )---(b b b )---(b b b

1， 1， 0， ...， 1， j, 0， ...， 1, p , 0 ti， 1， 0， ...， u, j, 0， ...， u, p , 0 d， 1， 0， ...， d， j, 0， ...， d， ,

)

0

とした。すなわち、各 u(ue{l, ···, d})ごとに p個ずつ初期要素 bを生成した。し力 し、各 u(uE{l, ···, d})ごとに生成される初期要素 bの数が異なっていてもよい。 [0099] また、ステップ S I 76の処理に必要なハッシュ値 PT^f ) (u { l, d})を、事前 u, 0

処理の段階で、バックエンド装置 830のハッシュ演算部 837において求め、ハッシュ 値メモリ 838に格納してお!、てもよ!/ヽ。

〔実施例 9〕

実施例 9は、実施例 8の変形例であり、タグ装置の秘密値メモリ及びバックエンド装 置のデータベースメモリに、さらに各タグ装置に固有な固有値が格納され、各要素 e 及び固有値 γ を含むビット列の結合のノ、ッシュ値 a =G (s )をタグ出力情報と

, u k k, k,

する点が実施例 8と相違する。これにより、他のタグ装置をタンパ一して集められた要 素 e をもとに、特定のタグ装置の秘密値が求められ、タグ装置が追跡されるといつ た事態を防止できる。

[0100] 以下では実施例 8との相違点のみを説明し、実施例 8と共通する事項については 説明を省略する。

図 19は、実施例 9におけるタグ自動認識システム 900の全体構成を例示した図で ある。また、図 20Aは、タグ装置 910の秘密値メモリ 911に格納されるデータの例示 であり、図 20Bは、バックエンド装置 930のデータベースメモリ 931に格納されるデー タの例示である。なお、図 19において実施例 1と共通する機能構成には図 2と同じ符 号を付し、実施例 8と共通する機能構成には図 15と同じ符号を付し、それらの説明を 省略する。また、図 19では 1つのタグ装置 910のみを図示している力 実際は複数の タグ装置 910が存在する。

[0101] 以下、これらの図を用いて、実施例 9の機能構成及び処理方法について説明する

<前処理 >

実施例 8との相違点は、タグ装置 910の秘密値メモリ 911に、さらに固有値 γ が格 k 納される点、及び、バックエンド装置 930のデータベースメモリ 931に d個（d≥ 2)の 初期要素 f (η { 1, · · ·, d})の糸且合せと、各タグ装置固有の固有値 γ と、各タグ装 ， 0 η 置のタグ 情報 idと (nは各タグ装置に対応する値)を、対応付けて格納する点であ る。なお、固有値 γ , Ύ

k nは、例えばランダム値である。

[0102] 図 20の例は、 d= 2、 p = 3、 m= 9の場合における、組合せ固有値の割り当てを例 示したものである。

図 20Bに示すように、この例では、バックエンド装置 930のデータベースメモリ 931 に、初期要素の組合せ 931aa((f f ) (f ≡{b , b , b },

1, 0, 2, 0 1, 0 1, 1, 0 1, 2, 0 1, 3, 0

f ≡{b , b , b })

2, 0 2, 1, 0 2, 2, 0 2, 3, 0

)と、タグ HD情報 93 lab (id (n≡{l, ···, 9})と、データ 931ac(data (η≡{1, ···, 9 })と、各タグ装置固有の固有値 931ad(y , k≡{l, ···, 12})と、を対応付けて格納 k

する。また、図 20Aに示すように、タグ装置 910の秘密値メモリ 911に、初期要素の 組合せ 911a((e ) = (b ；))と、固有値 911b ( γ = γ )を格納する。

1， 0， e2, 0 1， 2, 0， b2, 2, 0 k 5

[0103] <タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 910をリーダー装置 120に読取らせた際 の処理を説明する。

まず、ハッシュ演算部 912 (「第 2の演算部」に相当）において、秘密値メモリ 911か ら各要素 e 及び固有値 γ を抽出し、抽出した各要素 e 及び固有値 γ を含む u, vu k u, vu k ビット列の結合値 (秘密値 s .)のノ、ッシュ値であるタグ出力情報 a =G(s .)を算出 k， k， k， する。実施例 9では、秘密値 s =γ I e I ··· I e 卜 · · | e とし、タグ出 k, i k 1, l u, vu d, vd

力情報 a =G(₇ I e I ··· I e 卜 ·· | e )とする。

k, i k 1, l u, vu d, vd

[0104] その後、実施例 8と同様に、タグ出力情報 a が出力され、秘密値メモリ 911の要素 k, i

が更新される。

<リーダー装置の処理 >

実施例 8と同様である。

<バックエンド装置の処理 >

実施例 8との相違点は、実施例 8のステップ S176の処理（図 18)の代わりに、ハツ シュ演算部 933 (「第 3の演算部」に相当）が、データベースメモリ 931から固有値 γ を読出し、ハッシュ値 iT^f )及び固有値 γ を含むビット列の結合値のハッシュ値 ， 0 η

cを算出する点である。この例では、ハッシュ値 c = G I H^wl(f ) I ··· I H^Cf ) I ··· I H^wd(f ))を算出する。それ以外は、実施例 8と同様である。

，0 d， 0

[0105] <実施例 9の特徴 >

[追跡不可能性] 実施例 9では、各要素 e 及び固有値 γ を含むビット列の結合のハッシュ値であ

u, vu k

るタグ出力情報 a =G (s )を、タグ装置 910の出力とした。ここで、固有値 γ は、タ

k, i k, i k グ装置 910ごとに固有な値である。そのため、あるタグ装置がタンパ一されたとしても 、そこに格納されていたデータのハッシュ値から、要素 e を共用する他のタグ装置 の過去のタグ出力情報を求めることはできない。そのため、攻撃者はこの他のタグ装 置を追跡することができな 、。

[0106] 〔実施例 10〕

実施例 10は、実施例 8の形態の変形例であり、タグ装置の多様値メモリに t種類 (t ≥ 2)の値の多様値 zを格納しておき、秘密値メモリから抽出した各要素 e と、何れ かの多様値 zと、のビット結合値 (秘密値 s )のハッシュ値を a =G (s )をタグ出力 ， k, k,

情報とし、秘密値メモリの更新を t回の通信に 1回行う点が実施例 8と相違する。

以下では実施例 8との相違点のみを説明し、実施例 8と共通する事項については 説明を省略する。

[0107] 図 21は、実施例 10におけるタグ自動認識システム 1000の全体構成を例示した図 である。また、図 22は、タグ装置 1010の処理を説明するためのフローチャートであり 、図 23は、バックエンド装置 1030の処理を説明するためのフローチャートである。な お、図 21において実施例 1,実施例 8と共通する機能構成には図 2, 15と同じ符号を 付している。また、図 21では 1つのタグ装置 1010のみを図示している力 実際は複 数のタグ装置 1010が存在する。

以下、これらの図を用いて、本実施例の機能構成及び処理方法について説明する

[0108] <前処理 >

実施例 8ととの相違点は、タグ装置 1010の多様値生成部 1015において t種類 (t≥ 2)の値の多様値 zを生成し、これを多様値メモリ 1016 (「第 1多様値メモリ」に相当）に 格納しておく点、ノ ックエンド装置 1030のデータベースメモリ 1031 (「第 2多様値メモ リ」に相当）に各タグ装置 1010と共用される t種類 (t≥ 2)の多様値 zを格納しておく点 である。

なお、多様値生成部 1015としては、 ζ= 1 · · ·ΐをカウントするカウンタ、 z = H (seed , x), χ≡{1, ···, t}の演算を行うハッシュ演算装置、 z = H^x(seed), χ≡{1, ···, t} の演算を行うハッシュ演算装置等を例示できる。ここで、 seedとは初期値を意味する 。以下では、多様値 zを ζ= π (χ),カウント値 χΕ{1, ···, t}と表現する。また、好まし くは、それぞれの χΕ{1, ···, t}に対応する各多様値 ζ= π (χ)は一致しない。

[0109] さらに、多様値 ζの生成及び格納は、必ずしも、前処理において行わなくてもよぐタ グ装置 1010の通信処理時や、ノ ックエンド装置 1030での検索処理時に行うこととし てもよい。

<タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 1010をリーダー装置 120に読取らせた 際の処理を説明する。なお、カウント値 Xの初期値 (i=l)は 1であり、カウント値 Xは制 御部 115の制御のもとメモリ 115aに保存される。

[0110] まず、ハッシュ演算部 1012 (「第 2の演算部」に相当）において、秘密値メモリ 1011 から各要素 e を抽出し、多様値メモリ 1016から何れかの多様値 z (この例では z = π (x))を抽出する (ステップ S191)。そして、ハッシュ演算部 1012は、抽出した各要 素 e と、多様値 zと、のビット結合値 (秘密値 s )のハッシュ関数 a =G(s )をタ u, vu k, k, k, グ出力情報として算出する (ステップ S192)。この例では、秘密値 s =e

k, i 1， l I ··· I e I ··· I e I zとし、タグ出力情報 a =G(e | ··· | e | ··· | e | z u, vu d, vd k, i 1， l u, vu d, vd

)とする。なお、各要素 e と多様値 zのビット配置順序、ビット結合される多様値 zの 数はこれに限定されない。また、 xE{l, ···, t}に対応する各多様値 ζ= π (χ)がー致 しないこととした場合、秘密値メモリ 1011の要素が更新されない間、ハッシュ演算部 1012がタグ出力情報 a の生成に使用する多様値 zは、通信ごとに異なることになる

k, i

[0111] 生成されたタグ出力情報 a はインタフェース 114に送られ、インタフェース 114は、

k, i

このタグ出力情報 a を出力する (ステップ SI 93)。

k, i

その後、制御部 115において、 X x+1の演算（カウントアップ）を行い（ステップ S 194)、 x>tであるか否かを判断する（ステップ S195)。ここで、 x>tでないと判断さ れれば、 Xの値をメモリ 115aに保持したままでタグ装置 1010の処理を終了する。 一方、 x>tであると判断された場合には、制御部 115において、メモリ 115aのカウ ント値 xを x 1とし (ステップ S 196)、ハッシュ演算部 1013において、秘密値メモリ 1 011から少なくとも一部の要素 e (u ≡{ l, · · ·, d})を抽出し、抽出した要素 e のハッシュ値 H (e ,)を算出する（ステップ S 197)。そして、ハッシュ演算部 1013 において、このハッシュ値 H (e )を新たな要素 e として秘密値メモリ 1011

+ 1

に上書きする (ステップ S 198)。なお、 u' £ { 1, · · ·, d}の選択方法はどのようなもの でもよい。

[0112] <リーダー装置の処理 >

実施例 8と同様である。

<バックエンド装置の処理 >

リーダー装置 120から送信されたタグ出力情報 a 及び物流情報 pdは通信部 132 にお 、て受信され、メモリ 136aに格納される（ステップ S201)。

これをトリガに、制御部 136は、 nに 1を代入してメモリ 136aに格納し (ステップ S20 2)、 d個の wの組合せを次のように選択し、その組合せをメモリ 136aに格納する（ス テツプ S203)。

[0113] (w , w ) = {w , w

1 I w £ [0, j ]}

1

次に、制御部 136は、メモリ 136aの n, d個の wの組合せを参照し、さらにハッシュ 値メモリ 838を参照して、タグ HD情報 idに対応する d個の初期要素 f (u≡{ l, · · ·,

n ti， 0

d})に、それぞれハッシュ関数 H^w回作用させたハッシュ値 Η^ (ί )がノ、ッシュ値 ， 0

メモリ 838に格納されて 、るか（生成済みであるか)否かを検証する（ステップ S204) 。なお、 IT" (f )の上付き添え字 wuは wを示す。

， 0

[0114] ここで、タグ 情報 idに対応するハッシュ値 iT^f )のうち、まだ演算が行われて

n ， 0

いないものが存在すると判断された場合、ノヽッシュ演算部 837は、上記の「タグ HD情 報 idに対応するハッシュ値 iT^f )のうち、まだ演算が行われていないもの」に対 n ， 0

応する初期要素 f をデータベースメモリ 1031から抽出し、この初期要素 f にハツ ， 0 ， 0 シュ関数 Hを w回作用させハッシュ値 iT^f )を算出する (ステップ S205)。算出さ ， 0

れたハッシュ値 PT^f )はハッシュ値メモリ 838に格納され (ステップ S206)、ステツ

0

プ S204の処理に戻る。

[0115] 一方、ステップ S204の判断で、タグ 情報 idに対応するハッシュ値 H"¹¹ (f )が

n ， 0 すべて生成済みであると判断された場合、制御部 136は、メモリ 136aの n, d個の w の組合せを参照し、ハッシュ演算部 1033 (「第 3の演算部」に相当）に、ハッシュ値メ モリ 838から、タグ HD情報 idに対応する d個の初期要素 f (u≡{ l, ···, d})に、そ ， 0

れぞれ第 1の関数 Flを w回作用させたハッシュ値 iT^f )を抽出させる (ステップ ， 0

S207)。また、制御部 136はカウンタ値 x'を 1としてメモリ 136aに格納し (ステップ S2 08)、多様値 ζ= π (χ，）をデータベースメモリ 1031から抽出してハッシュ演算部 103 3に送る。そしてハッシュ演算部 1033は、ハッシュ値 Η"" (ί )と多様値 ζとのビット結

0

合値にハッシュ値 Gを作用させた演算値 cを算出する (ステップ S209)。なお、演算 値 cとしては、例えば、 c = G (H^wl (f ) I · · · I H^ d ) I · · · I H^wd (f ) I z)を

1, 0 ， 0 d， 0 例示できるが、各ハッシュ値 H f )と多様値 zのビット配置順序、ビット結合される

0

多様値 zの数はこれに限定されない。但し、その順序等はタグ装置 1010のハッシュ 演算部 1012での各要素のビット配置順序に対応させる必要がある。

[0116] 次に、比較部 134において、メモリ 136aからタグ出力情報 a を読出し、ノ、ッシュ演 k, i

算部 1033から上記演算値 cを受け取り、これらを比較して c = a であるか否かを判 k, i

断する (ステップ S210)。この例では、ハッシュ値 c = G (H^wl (f )

1, 0 I · · · I H^ d ) ， 0

I · · · I H^wd (f ) | z)と、タグ出力情報 a と、を比較する。

d， 0 k, i

ここで、これらが一致しないと判断された場合、制御部 136は、メモリ 136aの x'が t であるか否かを判断する (ステップ S211)。ここで、 x' =tでないと判断された場合、 制御部 136はメモリ 136aの x'を x， + 1で更新してステップ S209以降の処理を実行 させる (ステップ S212)—方、 x' =tであると判断された場合、制御部 136はメモリ 13 6aを参照し、全ての d個の組合せパターン (w , w )≡Sが選択済みであるか否

1 d w

かを判断する (ステップ S213)。

[0117] ここで、まだ選択されて 、な 、組合せパターン存在すると判断された場合、制御部 136は、新たな組合せ (w , w ) を選択し、これらをメモリ 136aに格納して（

1 d w

ステップ S214)、この新たな組合せ及び nについて、ステップ S204以降の処理を実 行させる。一方、ステップ S213の判断で、全ての組合せパターンが選択されたとされ た場合、制御部 136はメモリ 136aの nを参照し、 n=mである力否かを判断する（ステ ップ S215)。ここで、 n=mでないと判断されると、制御部 136はメモリ 136aの nを n+ 1によって更新し (ステップ S216)、ステップ S204以降の処理を実行させる。一方、 n = mであると判断された場合には処理をエラー終了する (ステップ S 217)。

[0118] なお、ステップ S204— 216の処理は、制御部 136の制御のもと、タグ出力情報 a

k, と演算値 cとが一致しなければ、 n、 w及び zの少なくとも一部の値を変化させて、 シュ演算部 1033及び比較部 134における処理を再び行うことに相当する。

一方、ステップ S210において、ノ、ッシュ値 cとタグ出力情報 a とが一致すると判断

k, i

された場合、読書き部 135は、制御部 135の制御のもと、当該ハッシュ値 cに対応す る複数の初期要素 f，の組合せに対応付けられているタグ 情報 idをデータべ

0 n 一 スメモリ 1031から選択し、このタグ Iひ f青報 idとそれに対応するデータ dataを抽出し て通信部 132に送る。また、読書き部 135は、メモリ 136aから物流情報 pdを受け取り 、この物流情報 pdを、タグ 情報 idに対応するデータ dataとして、データベースメ モリ 1031に追カ卩書込みする (ステップ S218)。通信部 132に送られたタグ HD情報 id とデータ dataは、ネットワーク 140を通じてリーダー装置 120に送信される（ステップ S219)。

[0119] <実施例 10の特徴〉

[追跡不可能性]

本実施例のタグ装置 1010は、要素 e と多様値 zとのビット結合値のハッシュ値を タグ出力情報 a としている。そのため、要素 e を更新しなくても多様値 zを変化さ

k, u, vu

せれば出力値を変化させることができる。そして、ノ、ッシュ関数の一方向性により、こ のように変化させた出力値の相関はとれない。そして多様値 zは t種類の値をとるため 、タグ装置は、要素 e を更新しなくても最大 t回の追跡困難な通信が可能である。

[0120] [効率性]

本実施例のタグ装置 1010は、 t回の通信に対して 1回のみ、秘密値メモリ 11の要 素 e を更新する。そのため、タグ装置 1010での更新処理演算量を lZtに低減で きる。

また、ノ ックエンド装置 1030でのハッシュ値 cとタグ出力情報 a との比較処理も、

k, i

最大 T回ずつは、ノ、ッシュ値 Η^ (ί )の組合せを変更することなく行われる。そのた

u, 0

め、タグ装置 210での許容通信回数（リーダー装置 120力 タグ装置 1010への呼び 出し回数の最大値)を増カロさせた場合でも、バックエンド装置 1030におけるハッシュ 処理はさほど増加しない。

[0121] 〔実施例 11〕

実施例 11は、実施例 10の変形例であり、タグ装置の多様値メモリに、各 u(uE{l, ···, d})に対して t種類 (t ≥2)の値をとる多様値 zを格納しておき、秘密値メモリか ら抽出した各要素 e と、何れかの多様値 zと、のビット結合値のタグ出力情報 a

= G(e また、秘

1, l I z

1 I ··· I e

d, vd I z )を出力値とする点が実施例 10と相違する。

d

密値メモリの各 u(uE{l, ···, d})に対応する各要素 e は、それぞれ t回の通信に

1回行われるが、実施例 11では、各要素 e が更新される通信時点をシフトさせて おき、タグ装置がタグ出力情報 a を出力するたびに、秘密値メモリの何れかの要素 e

, (u'e{l, ···, d})が更新されるようにする。これにより、どの通信時点でタグ装 置がタンパ一されてもタグ装置を追跡できな 、。

[0122] 以下では実施例 1、実施例 10との相違点のみを説明し、実施例 実施例 10の形 態と共通する事項については説明を省略する。

図 24は、実施例 11におけるタグ自動認識システム 1100の全体構成を例示した図 である。また、図 25は、タグ装置 1110の処理を説明するためのフローチャートであり 、図 26は、バックエンド装置 1130の処理の一部を説明するためのフローチャートで ある。なお、図 24において実施例 1, 8と共通する機能構成には図 2, 15と同じ符号 を付している。また、図 24では 1つのタグ装置 1110のみを図示している力 実際は 複数のタグ装置 1110が存在する。

[0123] 以下、これらの図を用いて、本実施例の機能構成及び処理方法について説明する

<前処理 >

実施例 10との相違点は、タグ装置 1110の多様値生成部 1115において、各 u(u ≡{1, ···, d})に対して t種類 (t ≥2)の値をとる多様値 zを設定し、これを多様値メ モリ 1116(「第 1多様値メモリ」に相当）に格納しておく点、バックエンド装置 1130の データベースメモリ 1131 (「第 2の多様値メモリ」に相当）に、各 u(uE{l,…， d})に 対して t種類 (t ≥ 2)の値をとる多様値 zを格納しておく点である。なお、データべ一 スメモリ 1131に格納される各多様値 z_uは各タグ装置 1110に格納された各多様値 z_u と同じである。

[0124] なお、多様値生成部 1115としては、各11(1^{1, ···, d})に対して、 ζ =1···ΐを カウントするカウンタ、 z =H(seed, x ), x ≡{1, ···, t }の演算を行うハッシュ演算 装置、 z =H^x(seed), x ≡{1, ···, t }の演算を行うハッシュ演算装置等を例示でき る。以下では、多様値 zを z = π (χ ) , χ ≡{1, ···, t }と表現する。なお、好ましく は、同一の uに対し、 X ≡{1, ···, t }に対応する各多様値 z = π (X )がー致しない ように π が設定される。

[0125] また、実施例 11では、各 Xを X =i+ ε (u≡{l, ···, d})とする。ここで、 iはタグ装 置 1110の通信回数を示しており、 ε は各 Xの ものずれを示す定数（0≤ ε ≤r である整数）を示している。ここで、 r は、リーダー装置 120からタグ装置 1110へ ax max

の呼び出し回数の最大値である。

さらに、実施例 11では、すべての通信時点において、何れかの Xが必ず X =tとな るように、 ε 及び tを設定する。例えば、各 u(uE{l, ···, d})に対する tをすベて同 一値とし、 ε (uE{l, ···, d})の集合が t未満の自然数の全体集合となるように各 ε を設定する。

[0126] また、多様値 ζの生成及び格納は、必ずしも、前処理において行わなくてもよぐタ グ装置 1110の通信処理時や、ノ ックエンド装置 1130での検索処理時に行うこととし てもよい。

<タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 1110をリーダー装置 120に読取らせた 際の処理を説明する。なお、カウント値 X (u≡{l, ···, d})の初期値 (i=l)は 1+ ε であり、各カウント値 Xは制御部 115の制御のもとメモリ 115aに保存される。

[0127] まず、ハッシュ演算部 1112 (「第 2の演算部」に相当）において、秘密値メモリ 1111 から各要素 e を抽出し、多様値メモリ 1116から何れかの多様値 z (この例では z

= π (X；))を抽出する (ステップ S231)。そして、ハッシュ演算部 1112は、抽出した 各要素 e と、何れかの多様値 zと、のビット結合値 (秘密値 s )のハッシュ値である u, vu u k, 1 タグ出力情報 a =G(e I z I ··· I e | z )を算出する (ステップ S232)。なお

k, 1, l 1 d, vd d 、同一の uに対し、 χ^ { 1, ···, に対応する各多様値 z_u= π (χ )がー致しないよ うに π を設定している場合、秘密値メモリ 1111の要素が更新されない間、ハッシュ 演算部 1112がタグ出力情報 a の生成に使用する多様値 zは、通信ごとに異なるこ

k, i u

とになる。また、秘密値 s =e

vi I z

1 I ··· I e

d， vd I zにおけるビット結合順序は、特 k, 1 1， d

にこれに限定されない。生成されたタグ出力情報 a はインタフェース 114に送られ、

k, i

インタフェース 114は、このタグ出力情報 a を送信する（ステップ S233)。

k, i

[0128] その後、制御部 136において、メモリ 136aの xに対して x x + l (u≡{ l, · · ·, d} )の演算を行う（ステップ S234)。ここで、実施例 11では、すべての通信時点におい て、何れかの Xが必ず X =tとなるように ε 及び tを設定している。そのため、この X X + 1の演算により、必ず何れかの Xが X >tとなっている。制御部 136は、次に、 この X >tとなった Xに 1を代入する（ステップ S235)。なお、本実施例では、この X に対応する uを u'とする。

次に、ノ、ッシュ演算部 813において、秘密値メモリ 1111から一部の要素 e (上 記の u · · ·, d}に対応する要素）を抽出し、抽出した要素 e ，のハッシュ値 H

(e ,)を算出する（ステップ S236)。そして、ハッシュ演算部 813において、このハ ッシュ値 H (e ,)を新たな要素 e として秘密値メモリ 1111に上書きし (ステツ

1

プ S237)、タグ装置 1110での処理を終了する。

[0129] 以上の処理により、インタフェース 114がタグ出力情報 a を出力するたびに、ハツ

k, i

シュ演算部 813において、秘密値メモリ 1111から要素 e , (u'≡{ l, ■■； d})を少 なくとも 1つ抽出し、抽出した要素 e , ，のノ、ッシュ値 H (e , ,)を算出し、秘密値メ モリ 1111を更新することになる。

<リーダー装置の処理 >

第 1の実施の形態と同様である。

<バックエンド装置の処理 >

実施例 11の実施例 10との相違点は、図 23に示したステップ S208から S213の処 理の代わりに、ステップ S26の処理を行う点である。

[0130] すなわち、ステップ S207の処理の後、制御部 136は、 (χ , x ) e Sの組合せ

1

を次のように選択し、これらをメモリ 136aに格納する（ステップ S241)。 (x , ..., χ ) eS ={χ , ..., χ I χ≡[0, t ]}

1 d 1 d u u

そして、制御部 136はメモリ 136aの（x , x ) eSの組合せを参照し、データべ

1

ースメモリ 1131からこれらに対応する d個の多様値 z = π (X ) (uE{l, ···, d})を抽 出し、ハッシュ演算部 1133に送る。ハッシュ演算部 1133は、ハッシュ値 ΡΤ"(ί )と

u, 0 多様値 _Ζとのビット結合値にハッシュ値 Gを作用させた演算値 cを算出する (ステップ S242)。なお、演算値 cとしては、例えば、 c = G(H^wl(f ) I z | ··· | H^Cf ) |

1, 0 1 ， 0 z I ··· I H^wd(f ) I z)を例示できるが、各ハッシュ値 H f )と多様値 zのビッ

d， 0 d ， 0

ト配置順序はこれに限定されない。但し、その順序等はタグ装置 1110のハッシュ演 算部 1112での各要素のビット配置順序に対応させる必要がある。

[0131] 次に、比較部 134において、メモリ 136aからタグ出力情報 a を読出し、ノ、ッシュ演

k, i

算部 1133から上記演算値 cを受け取り、これらを比較して c = a であるか否かを判

k, i

断する (ステップ S243)。この例では、ハッシュ値 c = G(H^wl(f ) I z I ··· I Η^(

1, 0 1

f ) I z I ··· I H^wd(f ) I z )と、タグ出力情報 a と、を比較する。

u, 0 u d， 0 d k, i

ここで、これらが一致しないと判断された場合、制御部 136は、メモリ 136aを参照し 、全ての組合せパターン (X , X ) £Sが選択済みであるカゝ否かを判断する（ステ

1

ップ S244)。ここで、全ての組合せパターン（X， …， X )≡Sが選択済みでないと判

1

断された場合、制御部 136は、新たな組合せ (X , x) £Sを選択し、これらをメ

1

モリ 136aに格納した後、ステップ S242以降の処理を実行させる。一方、ステップ S2 44の判断で全ての組合せパターン (X , x) £Sが選択済みであると判断された

1

場合には、図 23のステップ S213に進む。一方、ステップ S243の処理で c = a であ

k, i ると判断された場合には、図 23のステップ S218に進む。

[0132] [効率性]

ノックエンド装置 1130でのハッシュ値 cとタグ出力情報 a との比較処理は、最大 t

k, i 1

+t+...+t +t回ずつは、

)の組合せを変更することなく行われる。

2 d-l d ， 0

そのため、タグ装置 1110での許容通信回数（リーダー装置 120からタグ装置 1110 への呼び出し回数の最大値)を増加させた場合でも、 ノ ックエンド装置 1130におけ る処理はさほど増加しない。

[追跡不可能性] 実施例 11のタグ装置 1110は、タグ出力情報 a を出力するたびに、秘密値メモリ 1

111に格納された何れかの要素 e (u' e { l, ···, d})をハッシュチェインによって 更新する。そのため、タグ装置 1110がタンパ一され、秘密値メモリ 1111内の要素 e が攻撃者に漏洩しても、攻撃者は、ハッシュ関数の一方向性により、更新前の要

， u

素 e と、更新後の要素 e との相関がとれない。そのため、攻撃者は、秘密値 メモリ 1111から取得した要素と、過去にタグ装置から出力された出力値との相関をと ることもできない。これにより、タグ装置 1110の追跡を防止できる。

[0133] さらに、実施例 11では、タグ装置 1110がタンパ一され、各多様値 zが漏洩した場 合であっても、秘密値メモリ 1111に格納された何れかの要素 e は上書き更新さ れている。これにより、タグ装置 1110がタンパ一された場合における影響を最小限に 抑えることができる。

なお、実施例 11では、すべての通信時点において、何れかの Xが必ず X =tとな るように、 ε 及び tを設定した。つまり、例えば、 t =t = · · · =tとし、各要素 e に

u u 1 2 d ， u 対応するカウンタ χを 1ずつずらすこととした (X =i+uZd)。

[0134] しかし、 t (u≡{ l, ···, d})をすベて等しくせず、各要素 e に対応する各カウンタ

Xを、一番値の大きい tを d等分した間隔ずつずらしたものとしてもよい。この場合、 完全なフォワードセキュア（forward secure)の性質を満たさない場合もある力 少なく とも、タンパ一されたときの影響を抑制することはできる。

〔実施例 12〕

実施例 12は、実施例 11の変形例である。実施例 11と同様、実施例 12でも各要素 e が更新される通信時点はシフトさせる。但し、実施例 12では、タグ装置が、タグ 出力情報 a を∑ ^d t回出力するたびに、何れかの要素 e を抽出し、抽出した 要素 _e のハッシュ値 H (e ,)を算出する。

[0135] 具体的には、実施例 12のタグ装置は、外部からのアクセスごとに、 d個の要素 e の何れかに対応するカウンタ x ≡{ 1, · · ·, t }をカウントアップしていく（例えば、 e ·

u u 1, l

• - e の順に 1ずつカウントアップしていく）。ここで、このカウンタ Xは、タグ出力情報 d， vd u

a =G (e I z I ··· I e | z )を構成する多様値 zに対応するため、このタグ装 k, 1, l 1 d, vd d u

置は、各要素 e を更新することなぐ異なる値のタグ出力情報 a を∑ ^dt回出力

u, vu k, ti= l u することができる。本実施例では、このタグ出力情報 iを∑ ^dt回出力するごとに 何れかの各要素 e を更新するこれにより、タグ装置の出力値の多様性を保持しつ つ、タグ装置での更新演算量を最小限に抑える。

[0136] 以下では、実施例 1, 11との相違点のみを説明し、実施例 1, 11と共通する事項に ついては説明を省略する。

図 27は、実施例 12のタグ装置の処理を説明するためのフローチャートである。なお 、全体の機能構成は、実施例 11と同様である（図 24)。

以下、これらの図を用いて、本実施例の処理方法について説明する。

<前処理 >

実施例 11では、 X =i+ ε (u≡{l, ···, d})とし、すべての通信時点において、何 れかの Xが必ず X =tとなるように ε 及び tを設定していた力 実施例 12では、特 にこのような限定は行わな 、。

[0137] <タグ装置の処理 >

以下では、 i回目（iは自然数）に、タグ装置 310をリーダー装置 20に読取らせた際 の処理を説明する。なお、カウント値 X (u≡{l, ···, d})の初期値 (i=l)は 1であり、 u'及び u'の初期値も 1である。なお、 u は更新する要素 e に対応し、 u ，はカウ ントアップする要素 e のカウント値 X に対応する。また、各パラメータは、制御 部 136の制御のもとメモリ 136aに格納される。

[0138] まず、ノ、ッシュ演算部 1112において、秘密値メモリ 1111から各要素 e を抽出し

、多様値メモリ 1116から何れかの多様値 z (この例では z =π (X ))を抽出する（ス テツプ S241)。そして、ノ、ッシュ演算部 1112は、抽出した各要素 e と、何れかの 多様値 zと、のビット結合値のハッシュ値であるタグ出力情報 a =G(e z |

i 1, l I ··· u k, 1

I e z )を算出する (ステップ S 242)。

d, vd I d

生成されたタグ出力情報 a はインタフェース 114に送られ、インタフェース 114は、

k, i

このタグ出力情報 a を送信する (ステップ S 243)。

k, i

[0139] その後、制御部 136において、メモリの x，，に対し、 X ,, X ,, + l(u， ，e{l, ···, d} )の演算を行い (ステップ S 244)、 x >t (t ，は x ，の最大値)であるか否かを判断 する (ステップ S 245)。ここで、 X >t ないと判断された場合にはタグ装置 1110の 処理を終了する。

一方、 X ,， >t，，であると判断された場合、制御部 136は、メモリ 136aの u'，に u' ， + 1を代入し (ステップ S 246)、 u' ' >dとなったか否かを判断する（ステップ S247)。 ここで、 u' ， >dとなっていない場合にはタグ装置 1110での処理を終了し、 u' ， >dと なっている場合には、ノ、ッシュ演算部 813において、秘密値メモリ 1111から要素 e (上記の u · ··, d}に対応する要素）を抽出し、抽出した要素 e , のハツシ ュ値 H (e ,)を算出する（ステップ S248)。そして、ノ、ッシュ演算部 813において、 このノ、ッシュ値 H (e ,)を新たな要素 e として秘密値メモリ 1111に上書き保

+1

存する（ステップ S 249)。

[0140] その後、例えば、ノ、ッシュ演算部 813において、 vu， vu' + 1の演算（更新回数） を行い（ステップ S250)、 vu，が要素 e の更新回数の最大値 (max)を超えたか 否かを判断する（ステップ S251)。ここで、 vu， >maxとなっていないと判断された場 合にはタグ装置 1110の処理を終了し、 vu， >maxとなっている場合には、制御部 13 6において、 u' ^u + 1 (更新対象となる要素の変更）と、 vu， 0 (更新対象となる要 素の更新回数をリセット）との演算を行 ヽ (ステップ S252)、それらの結果をメモリ 136 aに格納してタグ装置 1110での処理を終了する。

[0141] 以上の処理により、インタフェース 114がタグ出力情報 a を∑ ^Q t回出力するた びに、ハッシュ演算部 813において、秘密値メモリ 1111からいずれかの要素 e を抽出し、抽出した要素 e のハッシュ値 H (e ,)を算出し、秘密値メモリ 11を更 新すること〖こなる。

<リーダー装置の処理 >

実施例 8と同様である。

<バックエンド装置の処理 >

実施例 11と同様である。

[0142] <実施例 12の特徴〉

[効率性]

実施例 12では、タグ装置 1110が∑ ^d t回通信するたびに、いずれかの要素 e を更新するため、タグ装置 1110での更新処理演算量を削減できる。つまり、本実 施例では、通信のたびに∑_u=i ^dt_u個の多様値を置き換えながらタグ出力情報 =G

(e I z I ··· I e I z )を生成し出力する。そのため、∑ ^at回の通信におい て、要素 e を更新することなぐタグ装置の出力値の多様性を確保できる。そして、

∑ ^dt回の通信ごとにいずれかの要素 e を更新することにより、さらに次の∑ dt回の通信における出力値の多様性を確保できる。そして、要素 e の更新は∑ dt回の通信に一回でよいため、タグ装置 1110での更新演算量を最小限に抑え ることがでさる。

[0143] [追跡不可能性]

本実施例のタグ装置 1110は、インタフェース 114がタグ出力情報 a を∑ ^Qt回 出力するたびに、ノ、ッシュ演算部 813が秘密値メモリ 1111を更新する。そのため、タ グ装置 1110がタンパ一され、秘密値メモリ 1111内の要素 e が攻撃者に漏洩し ても、攻撃者が知ることができるタグ装置 1110の過去の出力値の数は∑ ^dt個未 満である。これにより、タグ装置 1110での更新演算処理量を削減しつつ、タグ装置 1 110の追跡を抑制できる。

[0144] 〔実施例 13〕

実施例 13は実施例 1から 4, 6から 12の変形例であり、使用される 2種類のハッシュ 関数 G (X)及びハッシュ関数 H (X)に特徴がある。

以下では、このハッシュ関数 H(x), G(x)についてのみ説明する。

<Nol>

この例のハッシュ関数 G(x)は、 rを自然数とし、 hashを {0, 1}*→{0, 1Γのハツシ ュ関数とした場合における、 hash(l I X)であり、ノ、ッシュ関数 H(x)は、 hash(0 | x) である。なお、 α I j8とは αと j8のビット結合を示す。また、ノ、ッシュ関数 G (x)を has h(0 I x)とし、ハッシュ関数 H(x)を hash(l | x)としてもよい。

[0145] <No2>

この例のハッシュ関数 H(x) (第 1の関数 F1)は、 r, sを自然数とし、 hashを {0, 1}* →{0, 1Γのハッシュ関数とし、 ρΕ{0, 1Γとした場合における、 hash(P I X)である。 また、ハッシュ関数 G(x) (第 2の関数 F2)は、 {0, 1}^Sとし、 p≠qとした場合にお ける、 hash(q | x)である。 <No3>

このハッシュ関数 H(x) (第 1の関数 F1)は、 pE {0, 1}^Sとし、 Xに pをパデイングした もの（Xに対する pのパディング）を pad (X, p)とした場合における、 hash (pad (X, p)) である。また、ハッシュ関数 G(x) (第 2の関数 F2)は、 qE{0, 1}^Sとし、 p≠qとし、 に qをパデイングしたもの（Xに対する qのパディング）を pad(x, q)とした場合における、 hash (pad (X, q))である。なお、 xに対する pや qのパディング位置（ビット列の位置） は特に限定されない。例えば、 Xの前や後に p或いは qをビット結合してもよぐまた、 X のビット列の途中に p或いは qを挿入してもよ 、。

[0146] <No4>

このハッシュ関数 H(x) (第 1の関数 F1)は、 hashを {0, l}*→{0, l}^rのハッシュ関 数とした場合における、 hash(x)であり、ハッシュ関数 G(x) (第 2の関数 F2)は、 rxを Xのビット反転とした場合における、 hash (rx)である。

く実施例 13の効果 >

本実施例では、 1種類のハッシュ関数のみを用い、その性質 (一方向性、ランダム 値を出力する）を崩すことなぐ 2種類のハッシュ演算 G(x), H(x)を実現できる。これ により、ノ、ッシュ関数を構成する回路規模を縮小することができる。その結果、タグ装 置に組み込む回路規模を小さくでき、タグ装置の低コストィ匕を実現できる。

[0147] 〔第 2の実施の形態〕

<構成>

次に、本発明における第 2の実施の形態について説明する。

本形態では、タグ装置の外部に設けられた更新装置において、タグ装置に格納さ れている秘匿ィ匕 情報を、所定の契機で、それとの関連性の把握が困難な新たな 秘匿ィ匕 情報に更新する。

<構成>

図 28は、本形態の概略構成を例示したブロック図である。

[0148] 図 28に例示するように、本形態の更新システム 1500は、タグ装置 1510及びその 外部に設けられたセキュリティサーバ装置 1560を有して 、る。

タグ装置 1510は、各タグ装置に固有なタグ HD情報を秘匿ィ匕した秘匿ィ匕した秘匿 化 情報を格納する秘密値メモリ、秘密値メモリと電気的に接続された読書き部 151

2、読書き部 1512と電気的に接続された第 1の出力部 1513及び第 2の入力部 151 4を有している。

また、セキュリティサーバ装置 1560は、第 1の入力部 1561、第 1の入力部 1561と 電気的に接続された更新部 1562、更新部 1562に接続された第 2の出力部 1563を 有している。

[0149] <秘匿化 IDの更新処理 >

秘匿化 IDの更新は以下のように行われる。

まず、所定の契機で、タグ装置 1510が、読書き部 1512において、その秘密値メモ リ 1511に格納されている秘匿化 HD情報 sidを読み出し、第 1の出力部 1513におい

h

て、秘匿ィ匕 情報 sidを、各タグ装置の外部に設けられたセキュリティサーバ装置 1

h

560に対して出力する。

セキュリティサーバ装置 1560は、第 1の入力部 1561において、秘匿化 HD情報 sid

h の入力を受け付ける。そして、更新部 1562において、秘匿ィ匕 HD情報 sidとの関連性

h

の把握が困難な新たな秘匿化 HD情報 sid，を生成し、第 2の出力部 1563において、

h

新たな秘匿化 HD情報 sid 'をタグ装置 1510に対して出力する。

h

[0150] タグ装置 1510は、第 2の入力部 1514において、新たな秘匿ィ匕 ID情報 sid，の入

h 力を受け付け、読書き部 1512において、この新たな秘匿ィ匕 HD情報 sid，を秘密値メ

h

モリ 1511に格納する。

〔実施例 14〕

図 29は実施例 14における更新システム 2000の全体構成を例示した概念図である この図に例示するように、更新システム 2000は、商品等に貼り付けられる無線タグ 等のタグ装置 2010、クライアント装置 2020、平文の IDに関連する流通情報等を管 理するバックエンド装置 2050、及び IDの復元や秘匿化 IDの再秘匿化処理等を行う セキュリティサーバ装置 2060 (ネットワークを通じて送信された秘匿化 IDの再秘匿ィ匕 処理を行うサーバ装置であり、「更新装置」に相当する）を有している。そして、このク ライアント装置 2020、バックエンド装置 2050及びセキュリティサーバ装置 2060は、 インターネット等のネットワーク 2070により通信可能なように接続されている。なお、ク ライアント装置 2020は、第 1の実施の形態で説明したリーダー装置としての機能を備 えている。また、第 1の実施の形態において、タグ装置、リーダー装置及びバックェン ド装置において実現された効果は、タグ装置 2010、クライアント装置 2020、ノ ッタエ ンド装置 2050及びセキュリティサーバ装置 2060によって実現される。また、説明の 簡略化のため、この図では 1つのタグ装置 2010、クライアント装置 2020、バックェン ド装置 2050及びセキュリティサーバ装置 2060を例示して 、るが、通常タグ装置は複 数であり、クライアント装置、ノ ックエンド装置及びセキュリティサーバ装置は複数とし てもよい。

[0151] この例のクライアント装置 2020は、まず、タグ装置 2010から秘匿化 IDを読取り、こ れをセキュリティサーバ装置 2060に送る。セキュリティサーバ装置 2060は、この秘 匿化 IDから IDを復元し、この IDをクライアント装置 2020に返す。 IDを受け取ったク ライアント装置 2020は、バックエンド装置 2050にアクセスし、 ID、読取り日時、読取 り場所、温度等の情報の書き込みや、 IDに関連する情報の取得等を要求する。また 、クライアント装置 2020力 秘匿化 IDをセキュリティサーバ装置 2060に送信し、セキ ユリティサーバ装置 2060力 直接、ノックエンド装置 2050にアクセスするというプロ キシモデルの利用形態も想定できる。そして、本実施例の特徴的な部分は、セキユリ ティサーバ装置 2060等のタグ装置 2010の外部に設けられた装置力 タグ装置 201 0内の秘匿ィ匕 IDを再秘匿ィ匕 (秘匿ィ匕 IDを別の秘匿化 IDに更新すること)する点であ る。

[0152] 図 30は、本実施例における更新システム 1の機能構成を例示したブロック図である <タグ装置 >

この例のタグ装置 2010は、秘密値メモリ 2011、読書き部 2012 (「第 1の読書き部」 に相当）、インタフェース 2013 (「第 1の出力部」「第 2の入力部」に相当）、メモリ 2014 a及び制御部 2014からなる。

ここで、秘密値メモリ 2011,メモリ 2014aは、例えば、 EEPROM (Electronically Erasable and Programmable Read Only Memory)、 FeRAM (Ferroelectric Random Access Memory)、フラッシュメモリ、 NV (Nonvolatile) RAM等の読書き可能な RAM (Random Access Memory)である。また、読書き部 2012は、制御部 2014の制御のも と、秘密値メモリ 2011の所定のアドレスにデータの読書きするハードウェアである。ま た、制御部 2014は、例えば、タグ装置 2010全体の処理を制御するように構成され た集積回路である。

[0153] インタフェース 2013は、無線或いは有線によってクライアント装置 2020に対してデ ータを入出力するハードウェアである。具体的には、インタフェース 2013は、例えば 、NRZ符号やマンチェスター符号ィヒゃミラー符号や単極 RZ符号ィヒ等によって符号 ィ匕'復号化を行う符号化 '復号化回路、 ASK(Amplitude Shift Keying)や PSK(Phase Shift Keying)や FSK(Frequency Shift Keying)等によって変 ·復調を行う変 ·復調回路 、ダイポールアンテナやマイクロストリップアンテナやループコイルやコア入りコイル等 のアンテナを有し、長周帯や ISM帯（Industry Science Medical band)の周波数を用 いて信号の送受信を行う。なお、通信方式は、例えば、電磁誘導方式や電波方式を 利用する。

[0154] また秘密値メモリ 2011は、読書き部 2012と電気的に接続され、読書き部 2012は インタフェース 2013と電気的に接続される。また、この図では省略する力 制御部 20 14はタグ装置 2010の各部と電気的に接続されている。

<クライアント装置 >

この例のクライアン卜装置 2020は、インタフェース 2022、通信部 2021、メモリ 2024 a及び制御部 2024を有する。

物流情報メモリ 121は、例えば、ハードディスク装置、フレキシブルディスク等の磁 気記録装置、 DVD— RAM (Random Access Memory) , CD-R (Recordable) /RW ( Rewritable)等の光ディスク装置、 MO (Magneto-Optical disc)等の光磁気記録装置 、 EEP— ROM (Electronically Erasable and Programmable-Read Only Memory)、フ ラッシュメモリ（flash memory)等の半導体メモリ等である。インタフェース 2022は、例 えば、インタフェース 2013の例と同様なハードウェアである。通信部 2021は、例え ば、 LANカード、モデム、ターミナルアダプタ一等であり、制御部 2023は、例えば、 メモリ 2023aを有する CISC(Complex Instruction Set Computer)方式、 RISC (Reduced Instruction Set Computer)方式等の CPU (Central Processing Unit)で teる

[0155] また、インタフェース 22及び通信部 2021とは電気的に接続され、この図では省略 する力 制御部 2024はクライアント装置 2020の各部と電気的に接続されている。

<更新装置 >

セキュリティサーバ装置 2060は、通信部 2062 (「第 1の入力部」「第 2の出力部」に 相当）、乱数生成部 2063、読書き部 2064 (「第 2の読書き部」に相当）、秘匿化 IDメ モリ 2061、メモジ 2065a及び制御部 2065を有している。なお、舌 L数生成部 2063、 読書き部 2964及び秘匿化 IDメモリ 2061は、「更新部」を構成する。具体的には、セ キユリティサーノ 2060は、例えば、 CPU, RAM, ROM (Read Only Memory)、磁気 記録装置や光ディスク装置等の外部記憶装置、 LANカードやモデムやターミナルァ ダブター等をバスで接続した公知のノイマン型コンピュータに所定のプログラムを実 行させることにより構成される。そしてこの CPUが、 RAMに格納されたプログラムを 読み出し、それに従った処理を実行することによって以下に示す各処理機能を実現 する。

[0156] <処理 >

図 31は、本実施例の処理手順を説明するためのフローチャートである。以下、図 2 9から図 31の図を用いて、本実施例の機能構成及び処理について説明する。なお、 タグ装置 2010、クライアント装置 2020及びセキュリティサーバ装置 2060は、それぞ れ制御部 2014、 2023、 2065の制御により各処理を実行する。また、処理されるデ ータ ίま、逐一メモリ 2014a、 2023a或!ヽ ίま 2065a【こ格糸内され、演算等の処理を行う 際に呼び出される力 以下ではこの説明を省略する。

[0157] <前処理 >

この例の秘匿化 情報は、タグ 情報 idに対応付けられたランダム値 rである。タ h h グ装置 2010の秘密値メモリ 2011には、このタグ装置 2010固有のタグ ID情報 idに h 対応するランダム値 rが秘匿ィ匕 ID情報 sidとして格納されている。また、セキュリティ h h

サーバ装置 2060の秘匿化 IDメモリ 2061には、各タグ装置 2010に対応するタグ ID 情報 id ,-,idと、これら各タグ ID情報に対応付けられたランダム値 r ,· ··,Γである秘 匿ィ匕 HD情報とが格納されている。なお、 hは 1以上 m以下の自然数であり、各タグ装 置 2010に対応する番号とする。また、 mはタグ装置の総数である。

く秘匿ィ匕 HD情報更新処理〉

まず、何らかの認証技術を利用し、クライアント装置 2020とセキュリティサーバ装置 2060との間で相互認証を行う。また、クライアント装置 2020とセキュリティサーバ装 置 2060との通信は、何らかの暗号技術により暗号ィ匕されて行われる。

[0158] 秘匿ィ匕 HD情報 sidの更新処理は、例えば、玄関等外出時に必ず通る場所を通過

h

した場合やタグ装置 2010内に格納された秘匿ィ匕 HD情報の使用回数 (カウント値が 所定値に達した)等をトリガとして開始される。このトリガにより、まず、クライアント装置 2020は、インタフェース 2022においてタグ装置 2010に読取り指示を送信する（ステ ップ S301)。この読取り指示はタグ装置 2010のインタフェース 2013において受信さ れ、これをトリガとして、読書き部 2012は、秘密値メモリ 2011から秘匿化 HD情報 sid

h を抽出する（ステップ S302)。抽出された秘匿化 HD情報 sidは、インタフェース 2013

h

から、クライアント装置 2020に送信（出力）される (ステップ S303)。この秘匿化 HD情 報 sidは、クライアント装置 2020のインタフェース 2022において受信され、秘匿化 I h

ひ f青報の更新依頼 (再秘匿化要求）とともに、通信部 2021からネットワーク 2070を通 じ、セキュリティサーバ装置 2060に送信される（ステップ 304)。

[0159] この秘匿化 Iひ f青報（sid )等の情報は、セキュリティサーバ装置 2060の通信部 62

h

において受信され (入力を受け付けられ）（ステップ S305)、読書き部 2064に送られ る。また、これをトリガとして、乱数生成部 63 (「ランダム値生成部」に相当）において、 ランダム値である乱数 r， が生成される (ステップ S306)。

h

なお、この乱数 r ， の生成は、秘匿ィ匕 IDメモリ 2061の秘匿化 ID情報と同値となら

h

ないように行われる。また、この生成は、例えば、 SHA-1等の一方向性ハッシュ関数 を用いて構成される計算量理論に基づく擬似乱数生成アルゴリズムを用いて行われ 、生成された乱数 r ' は、読書き部 2064に送られる。読書き部 2064は、秘匿化 ID

h

情報 sidに対応するタグ HD情報 idを秘匿化 IDメモリ 2061から検索 (選択)し、このタ h h

グ HD情報 idに乱数!：，（「ランダム値」に相当）を新たな秘匿ィ匕 HD情報 sid 'として対

h h h

応付け、秘匿化 IDメモリ 2061に格納する（ステップ S307)。また、読書き部 2064は 、新たな秘匿化 情報 sid， =r，を通信部 2062に送り、通信部 2062は、この新た

h h

な秘匿化 HD情報 sid )を、ネットワーク 2070を通じ、クライアント装置 2020に送信（「

h

タグ装置に対して出力」に相当）する (ステップ S 308)。

[0160] 送信された新たな秘匿化 Iひ f青報 sid，は、クライアント装置 2020の通信部 2021に

h

おいて受信され、インタフェース 2022を通じてタグ装置 2010に送信される（ステップ S309)。タグ装置 2010は、インタフェース 2013において、この新たな秘、匿ィ匕 ID†青 報 sid 'を受信し (入力を受け付け）、読書き部 2012に送る。読書き部 2012は、この h

新たな秘匿化 HD情報 sid，を秘密値メモリ 2011に送り、そこに格納する (ステップ S3

h

10)。その後、タグ装置 2010は、リーダー装置（図示せず)からの読取り要求に対し、 この新たな秘匿化 HD情報 sid，を、リーダー装置を通じバックエンド装置 2050に送る

h

。バックエンド装置 2050は、受け取った秘匿ィ匕 ID情報 sid，をデータベースメモリ 11

h

31に送り、データベースメモリ 1131は、これを通信部 2062で受信し、読書き部 206 4に送る。読書き部 2064は、この秘匿化 情報 sid 'と一致するランダム値を秘匿ィ匕

h

IDメモリ 2061から検索し、一致したランダム値 rに対応付けられているタグ 情報 id

h

を読出して通信部 2062に送り、通信部 2062はこれをバックエンド装置 2050に送 h

信する。

[0161] <実施例 14の特徴〉

本実施例では、タグ装置 2010に格納された秘匿ィ匕 情報を任意のタイミングで更 新できる。そのため、通信履歴等に残された秘匿ィ匕 情報の共通性をもとにタグ装 置 2010が追跡され、プライバシーが侵害されることを回避できる。また、ランダム値を 秘匿ィ匕 HD情報としたため、攻撃者が更新前後の秘匿ィ匕 HD情報の関連性を知ること はできない。よって、タグ装置 2010の追跡の防止を強固に実現できる。さらに、複雑 な再秘匿化処理を、タグ装置 2010外部のセキュリティサーバ装置 2060で行うことと したため、タグ装置 2010自体に再秘匿ィ匕処理に必要な回路等を設ける必要もない 。その結果、タグ装置 2010自体のコストを低く抑えることができる。

[0162] 〔実施例 15〕

本実施例は、実施例 14の変形例であり、共通鍵暗号方式による暗号文を秘匿化 I ひ f青報とする点が実施例 14と相違する。以下では、実施例 14との相違点を中心に説 明する。

図 32は、本実施例における更新システム 2100の機能構成を例示したブロック図で あり、図 33は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 32におい て実施例 14と共通する構成については、図 30と同じ符号を付した。また、セキユリテ ィサーバ装置 2160は、制御部 2065の制御により各処理を実行する。また、鍵メモリ 2161、読書き部 2064、 ID抽出部 2166、暗号ィ匕部 2167及び乱数生成部 2063が「 更新部」を構成する。

[0163] <前処理 >

この形態の秘匿ィ匕 情報は、 AES等の共通鍵暗号方式による第 1の暗号文と、そ の暗号ィ匕に用いた共通鍵に対応する鍵 Iひ f青報とを有する情報である。この例では、 タグ装置 2110の秘匿化 HD情報を sid = (ek (id | r) , kid )とする。なお、 hは 1以上

h j h j

m以下の自然数であり、タグ装置 2110に対応する番号である。また、 jは 1以上 n以 下の自然数であり、各鍵に対応する番号である。ここで mはタグ装置の総数を、 nは 鍵の総数をそれぞれ示している。また、 kは j番目の共通鍵を、 kidは共通鍵 kに対応 する鍵 情報を、 rは乱数をそれぞれ示す、さらに ek )は、共通鍵 kを用い、共通 鍵暗号方式によって αを暗号化した暗号文を示し、 a I j8は αと j8のビット結合を 示す。

[0164] この例のタグ装置 2110の秘密値メモリ 2111には、このタグ HD情報 idに対応する

h

秘匿化 情報 sid = (ek (id I r) , kid )が格納されている。また、セキュリティサー

h j h j

バ装置 2160 (「更新装置」に相当）の鍵メモリ 2161には、各鍵 HD情報 (kid , · ··, kid )と、共通鍵暗号方式の共通鍵 (k , · ··, k )力 対応つけられて格納されている。さ らに、 sid = (ek (id I r) , kid )における乱数 rの大きさ（ビット長）とパディング位置

h j h j

に関する情報力 Sメモリ 2065aに格納されて 、る。

[0165] なお、この例では、タグ装置の総数 mは鍵の総数 nよりも十分に大きく（m》n)、関 連性のないタグ装置に、同じ鍵 HD情報が割り当てられているものとする。すなわち、 例えば、同じ種類の商品にそれぞれ付されるタグ装置に、同じ鍵 HD情報が割り当て られるのではなぐ無関係な商品にそれぞれ付されるタグ装置に、同じ鍵 HD情報が 割り当てられる。これにより、鍵 HD情報から商品種別や商品個体が特定されることを 防止できる。

<秘匿化 ID更新処理 >

実施例 14と同様、まず、クライアント装置 2020がタグ装置 2110に読取り指示を送 信する (ステップ S320)。タグ装置 2110は秘密値メモリ 2111から秘匿化 HD情報（sid = (ek (id I r) , kid ) )を抽出し (ステップ S321)、クライアント装置 2020に送信す h j h j

る（ステップ S322)。これを受けたクライアント装置 320は、この秘匿化 HD情報 sidを

h

、更新依頼とともに、セキュリティサーバ装置 2160に送信する (ステップ 323)。

[0166] この秘匿化 Iひ f青報 sid等の情報は、セキュリティサーバ装置 2160の通信部 2062

h

において受信され (ステップ S324)、この秘匿ィ匕 HD情報 sidを構成する第 1の暗号文

h

ek (id I r)は ID抽出部 2166に送られ、鍵 情報 kidは読書き部 2064に送られる j h j

。また、 kidはメモ U2065aにち記録される。

鍵 Iひ f青報 (kid )を受け取った読書き部 2064は、この鍵 情報 kidに対応する共 通鍵 kを鍵メモリ 2161から抽出し、 ID抽出部 2166に送る（ステップ S325)。これを j

受け取った ID抽出部 2166は、この共通鍵 kを用いて第 1の暗号文（ek (id | r)を復

h

号し、タグ HD情報 idを抽出する。すなわち、 ID抽出部 2166は、 id =dk (ek (id |

h h j j h r) )により（id I r)を算出し、メモリ 2065aに格納された乱数 rの大きさとそのパディン

h

グ位置に関する情報を用いて idを抽出する (ステップ S326)。ここで、 dk )は、共

h

通鍵 kによる暗号文ひの復号を示す。なお、算出されたタグ HD情報 idは、共通鍵 kと

h j ともに暗号ィ匕部 2167に送られる。また、乱数生成部 2063は、乱数 r'を生成し、これ を暗号ィ匕部 2167に送る（ステップ S327)。暗号ィ匕部 2167は、送られた共通鍵 k、タ グ 情報 id、乱数 r'、及びメモリ 2065aに格納された乱数の大きさとそのパディング

h

位置に関する情報を用い、第 2の暗号文 (ek (id I r' ) ) (第 1の暗号文との関連性の

j h

把握が困難な第 2の暗号文)を生成 (算出）し、これを通信部 2062に送る (ステップ S 328) o

[0167] 通信部 2062は、送られた暗号文（ek (id I r' ) )、及びメモリ 2065a内の鍵 情報

j h

kidを、新たな秘匿ィ匕 ID情報 (sid， = (ek (id I r' ) , kid ) )として送信（出力）する ( j h ] h j

ステップ S329)。 送信された新たな秘匿ィ匕 ID情報 sid，は、実施例 14と同様、ネットワーク 2070を介

h

し、クライアント装置 2020において受信され、タグ装置 2110に送信される (ステップ S330)。タグ装置 2110は、この新たな秘匿ィ匕 ID情報 sid，をインタフェース 2013で

h

受信し、読書き部 2012で秘密値メモリ 2111内に格納し (ステップ S331)、その後の リーダー装置からの読取り要求に対し、この新たな秘匿化 HD情報 sid，を、リーダー

h

装置を通じバックエンド装置 2050に送る。バックエンド装置 2050は、受け取った秘 匿化 HD情報 sid，をセキュリティサーバ装置 2160に送り、セキュリティサーバ装置 21

h

60は、これを通信部 2062で受信する。その後、セキュリティサーバ装置 2160は、ス テツプ S324, 325と同様な手順によりタグ 情報を復号し、これを通信部 2062及び ネットワーク 2070を通じてバックエンド装置 2050に送る。

[0168] く実施例 15の特徴〉

本実施例では、共通鍵暗号方式による暗号文を含む情報を秘匿化 Iひ f青報としたた め、その共通鍵を知らない攻撃者が更新前後の秘匿ィ匕 HD情報の関連性を知ること はできない。よって、タグ装置 2010の追跡の防止を強固に実現できる。

なお、本実施例では、乱数と IDの排他的論理和の暗号文によって秘匿ィ匕 情報 を構成したが、確率暗号の性質（同じ IDを同じ鍵で暗号ィ匕しても異なる暗号文を出 力することができる性質)が保たれる限り、その他の方法で秘匿ィ匕 情報を構成する こととしてもよい。この点、実施例 16も同様である。

[0169] 〔実施例 16〕

実施例 16は、実施例 14の変形例であり、公開鍵暗号方式による暗号文を秘匿化 I ひ f青報とする点が実施例 14と相違する。以下では、実施例 14との相違点を中心に説 明する。

図 34は、本実施例における更新システム 2200の機能構成を例示したブロック図で あり、図 35は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 34におい て実施例 14と共通する構成については、実施例 14と同じ符号を付した。また、読書 き部 2064、鍵メモリ 2261、 ID抽出部 2266、暗号ィ匕部 2267及び乱数生成部 2063 が「更新部」を構成する。 [0170] <前処理 >

この形態の秘匿ィ匕 情報は、 RSA等の公開鍵暗号方式による第 1の暗号文と、そ の暗号ィ匕に用いた公開鍵に対応する鍵 情報とを有する情報である。この例では、 タグ装置 2210の秘匿化 HD情報を sid = (epk (id | r) , kid )とする。なお、 pkは j番

h ] h j j 目の公開鍵を、 kidは公開鍵 pkに対応する鍵 情報を、 epk( a )は、公開鍵 pkを 用い、公開鍵暗号方式によって αを暗号ィ匕した暗号文を、それぞれ示す。

[0171] この例のタグ装置 2210の秘密値メモリ 2211には、この秘匿ィ匕 HD情報（sid = (epk

h

(id I r) , kid ) )が格納されて 、る。また、セキュリティサーバ装置 2260 (「更新装置 j h j

」に相当）の鍵メモリ 2261には、各鍵 HD情報 (kid , · ··, kid )と、公開鍵暗号方式の 共通鍵 (sk , · ··, sk )及び公開鍵 (pk , · ··, pk ) (鍵ペア（sk , pk ) )が、対応付けら れて格納されている。さらに、この例のメモリ 2065aには、 sid = (epk (id | r) , kid

h j h j

)における乱数 rの大きさ (ビット長）とパディング位置 (ビット位置）に関する情報が格 納されている。

[0172] なお、実施例 15と同様、この例でも、関連性のないタグ装置に、同じ鍵 HD情報が割 り当てられる。これにより、鍵 HD情報から商品種別や商品個体が特定されることを防 止できる。

<秘匿化 ID更新処理 >

実施例 14と同様、まず、クライアント装置 2020がタグ装置 2210に読取り指示を送 信する (ステップ S340)。タグ装置 2210は秘密値メモリ 2211から秘匿化 HD情報（sid = (epk (id I r) , kid ) )を抽出し (ステップ S341)、クライアント装置 2020に送信す h j h j

る（ステップ S342)。これを受けたクライアント装置 2020は、この秘匿化 HD情報 sid

h を、更新依頼とともに、セキュリティサーバ装置 2260に送信する (ステップ 343)。

[0173] この秘匿化 Iひ f青報 sid等の情報は、セキュリティサーバ装置 2260の通信部 2062

h

において受信され (ステップ S344)、この秘匿ィ匕 HD情報 sidを構成する第 1の暗号文

h

epk (id I r)は ID抽出部 266に送られ、鍵 情報 kidは読書き部 2064に送られる j h j

。また、鍵 ID情報 kidはメモリ 2065aにも記録される。

鍵 情報 kidを受け取った読書き部 2064は、この鍵 情報 kidに対応する秘密 鍵 sk及び公開鍵 pk (鍵ペア）を鍵メモリ 2261から抽出し、秘密鍵 skを ID抽出部 22 66に、公開鍵 pkを暗号ィ匕部 2267に、それぞれ送る (ステップ S345)。秘密鍵 skを 受け取った ID抽出部 2266は、この秘密鍵 skを用いて第 1の暗号文（epk (id | r)

j j h を復号し、タグ 情報 idを抽出する。すなわち、 id =dsk (epk (id I r) )により（id

h h j j h h

I r)を算出し、メモリ 2065aの乱数 rの大きさとそのパディング位置の情報を用い、 id

h を算出する (ステップ S346)。ここで、 dsk )は、秘密鍵 skによる暗号文 αの復号 を示す。なお、算出されたタグ 情報 idは暗号ィ匕部 2267に送られる。また、乱数生

h

成部 2063は、乱数 r，を生成し、これを暗号ィ匕部 2267に送る（ステップ S347)。暗号 化部 2267は、送られた公開鍵 pk、タグ HD情報 id及び乱数 r'、及び乱数の大きさと

j h

そのパディング位置の情報を用い、暗号文 (epk (id I r' ) ) (第 1の暗号文との関連

j h

性の把握が困難な第 2の暗号文)を生成 (算出）し、これを通信部 2062に送る (ステツ プ S348)。

[0174] 通信部 2062は、送られた第 2の暗号文（epk (id | r' ) )、及びメモリ 2065a内の鍵 ID情報 kidを、新たな秘匿ィ匕 情報 sid， = (epk (id I r，）， kid )として送信（出力

] h ] h j

)する（ステップ S 349)。

送信された新たな秘匿ィ匕 ID情報 sid，は、実施例 14と同様、ネットワーク 2070を介

h

し、クライアント装置 2020において受信され、タグ装置 2210に送信される (ステップ S350)。タグ装置 2210は、この新たな秘匿化 HD情報 sid 'を読書き部 2012におい

h

て秘密値メモリ 2211内に格納する (ステップ S351)。そして、その後のリーダー装置 力もの読取り要求に対し、この新たな秘匿化 HD情報 sid，を、リーダー装置を通じバッ

h

クエンド装置 2050に送る。バックエンド装置 2050は、受け取った秘匿化 HD情報 sid

h

，をセキュリティサーバ装置 2260に送り、セキュリティサーバ装置 2260は、これを通 信部 2062で受信する。その後、セキュリティサーバ装置 2260は、ステップ S345, 3 46と同様な手順によりタグ 情報を復号し、これを通信部 2062及びネットワーク 20 70を通じてバックエンド装置 2050に送る。

[0175] く実施例 16の特徴〉

本実施例では、公開鍵暗号方式による暗号文を含む情報を秘匿化 Iひ 報としたた め、その秘密鍵を知らない攻撃者が更新前後の秘匿ィ匕 HD情報の関連性を知ること はできない。よって、タグ装置 2210の追跡の防止を強固に実現できる。 〔実施例 17〕

本実施例は、実施例 14の変形例であり、再暗号化の性質（暗号化されたデータと 公開鍵だけを用いて、別の暗号文データを生成できる暗号の性質。復号は同じ秘密 鍵を用いて行われる。）を持つ暗号アルゴリズムを用い、秘匿ィ匕 情報の更新を行う 点が実施例 14と相違する。以下では、実施例 14との相違点を中心に説明する。

[0176] 図 36は、本実施例における更新システム 2300の機能構成を例示したブロック図で あり、図 37は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 36におい て実施例 14と共通する構成については、実施例 14と同じ符号を付した。また、セキ ユリティサーバ装置 2360は、制御部 2065の制御により各処理を実行する。また鍵メ モリ 2361、読書き部 2064、乱数生成部 2063、剰余乗算演算部 2366及び剰余べ き乗演算部 2367が「更新部」を構成する。

[0177] <前処理 >

この形態の秘匿ィ匕 情報は、再暗号ィ匕の性質を持つ暗号アルゴリズム (公開鍵暗 号方式）による第 1の暗号文と、その暗号ィ匕に用いた公開鍵に対応する鍵 HD情報と を有する情報である。この例では、 ElGamal暗号 (例えば、岡本龍明、山本博資、「 現代暗号」、 1998、 pl l8— 119参照。）を用い、タグ装置 2310の秘匿化 HD情報を s id = (g^r mod p, id -pk^r mod p, kid )とする。なお、 gは公開された生成元を、 h ] ]

pは十分大きな素数を、 rは 0以上 p— 1未満の任意な整数を、 pk =g^xj mod pは j番

j

目の公開鍵を、 skは j番目の秘密鍵を、 (g^r mod p, id -pk^r mod p)は暗号文を

j h j

、それぞれ示す。なお、 pk =g^skj mod pの上付き添え字の「skj」は「sk」を意味す る。また、以下の記載、及び図では、「mod p」を省略して記載する。

[0178] この例のタグ装置 2310の秘密値メモリ 2311には、この秘匿化 HD情報 sid = (g^r, i

h d -pk^r, kid )が格納されている。また、セキュリティサーバ装置 2360 (「更新装置」に h j j

相当）の鍵メモリ 2361には、各鍵 ID情報 (kid , · · ·, kid )と、公開鍵 (pk , · · ·, pk )

1S 対応付けられて格納されている。さらに、メモリ 2065aには生成元 gが格納されて いる。

なお、この例でも、関連性のないタグ装置に、同じ鍵 HD情報が割り当てられる。これ により、鍵 HD情報力も商品種別や商品個体が特定されることを防止できる。

[0179] <秘匿化 ID更新処理 >

実施例 14と同様、まず、クライアント装置 2020がタグ装置 2310に読取り指示を送 信する（ステップ S360)。タグ装置 2310は秘密値メモリ 2311から秘匿化 HD情報 sid

h

= (g^r, id -pk^r, kid )を抽出し (ステップ S361)、クライアント装置 2020に送信する（

h j j

ステップ S362)。これを受けたクライアント装置 2020は、この秘匿ィ匕 ID情報 sidを、

h 更新依頼とともに、セキュリティサーバ装置 2260に送信する (ステップ 363)。

[0180] この秘匿化 Iひ f青報 sid等の情報は、セキュリティサーバ装置 2360の通信部 2062

h

において受信され (ステップ S364)、この秘匿化 HD情報 sidを構成する（g , id -pk^r

h h j

)は剰余乗算演算部 2366 (「暗号化部」を構成）に送られ、 kidは読書き部 2064〖こ 送られる。また、 kidはメモリ 2065a〖こも記録される。

鍵 情報 kidを受け取った読書き部 2064は、この鍵 情報 kidに対応する公開 鍵 pkを鍵メモリ 2361から抽出し、これを剰余べき乗演算部 2367 (「暗号化部」を構 j

成）に送る（ステップ S365)。これをトリガに、乱数生成部 2063は、 0以上 p— 1未満の 乱数 r，を生成し、これを剰余べき乗演算部 2367に送る（ステップ S366)。剰余べき 乗演算部 2367は、メモリ 2065a内の生成元 g、受け取った公開鍵 pk及び乱数 r，を 用いて (g¹', pk¹ )の演算を行い、その結果を剰余乗算演算部 2366に送る（ステップ S367)。剰余乗算演算部 2366は、受け取った (g¹ , pk^r')と (g^r, id -pk¹)を用いて (

] h j

g ⁺r'， id を演算し、その演算結果を新たな暗号文 (第 2の暗号文)として通 れ ]

信部 2062に送る（ステップ S368)。

[0181] 通信部 2062は、送られた暗号文 (g ⁺r'， id (第 1の暗号文との関連性の

h j

把握が困難な第 2の暗号文)及びメモリ 2065a内の鍵 情報 kidを、新たな秘匿化 I

D情報（sid ' = (g^r+r , id -pk^r+r , kid ) )として送信する (ステップ S369)。

h h j j

送信された新たな秘匿ィ匕 ID情報 sid，は、実施例 14と同様、ネットワーク 2070を介

h

し、クライアント装置 2020において受信され、タグ装置 2310に送信される (ステップ S370)。そして、タグ装置 2310は、読書き咅 2012において、この新たな秘、匿ィ匕 ID 情報 sid 'を秘密値メモリ 2311内に格納する (ステップ S371)。その後、タグ装置 23 h

10は、読取り要求に対し、この新たな秘匿ィ匕 HD情報（sid ' )を応答する。

h [0182] く実施例 17の特徴〉

本実施例では、再暗号ィ匕の性質を持つ暗号アルゴリズムを用いて秘匿ィ匕 情報を 更新することとしたため、平文の IDを復号することなく秘匿ィ匕 ID情報を更新できる。よ つて、秘匿化 HD情報の更新処理時に IDが盗聴されることもなぐタグ装置 2310の追 跡の防止を強固に実現できる。

なお、本実施例では、セキュリティサーバ装置 2360の鍵メモリ 2361に公開鍵 (pk , · ··, pk )を格納しておくこととした力 セキュリティサーバ装置 2360が公開鍵 (pk , · ··, pk )を保持せず、所定の公開鍵サーバから公開鍵 (pk , · ··, pk )を取得して使 用することとしてもよい。

[0183] また、本実施例では、 ElGamal暗号を用いた力 再暗号化の性質を持つ暗号アル ゴリズムであれば、高次剰余暗号等他のアルゴリズムを用いることとしてもよ 、。

また、実施例 16及び実施例 17の変形として、共通鍵でタグ 情報を暗号ィ匕し、こ の共通鍵とこのタグ 情報の暗号文を上述の公開鍵暗号方式による公開鍵を用い て暗号ィ匕したものを秘匿ィ匕 ID情報とすることとしてもょ 、 (ハイブリット暗号)。この場 合、セキュリティサーバ装置は、この公開鍵に対応する秘密鍵で秘匿ィ匕 情報を復 号して共通鍵を取得し、その共通鍵を用いてタグ 情報の暗号文を復号してタグ ID 情報を得る。その後、セキュリティサーバ装置は、共通鍵暗号方式により、このタグ ID 情報から別の暗号文を生成し、その共通鍵と暗号文を、さらに公開暗号方式で暗号 化する。そして、その暗号文を新たな秘匿ィ匕 情報とし、クライアント装置へ返す。そ の後、実施例 16等と同様に、タグ装置の秘密値メモリへこの新たな秘匿ィ匕 HD情報を 格納する。

[0184] 〔実施例 18〕

実施例 18は、秘匿ィ匕 HD情報の更新時にセキュリティサーバ装置を変更するもので ある。以下では、実施例 14との相違点を中心に説明する。

図 38は、本実施例の更新システム 2400の全体構成を例示した概念図である。な お、図 38において実施例 14と共通する構成については、実施例 14と同じ符号を付 している。

この図に例示するように、更新システム 2400は、タグ装置 2410、クライアント装置 2 020 (「更新依頼装置」に相当）、複数のセキュリティサーバ装置 2460— 1一 V (「更新 装置」に相当）、及びバックエンド装置 2050を有しており、ネットワーク 2070により通 信可能なように接続されて ヽる。

[0185] 図 39は、本実施例における更新システム 2400の機能構成を例示したブロック図で あり、図 40は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 39におい て実施例 14と共通する構成については、実施例 14と同じ符号を付した。また、説明 の簡略化のため、図 38、 39では、 2つのセキュリティサーバ装置 2460— 1、 2460— 2 のみを示した力 2つ以上のセキュリティサーバ装置でシステムを構成することとして もよい。さらに、図 39では、説明に必要な処理機能 'データのみを記載することとした 力 セキュリティサーバ装置 2460— 1、 2460— 2それぞれが有する処理機能やデータ を、相互が兼ね備えていることとしてもよい。なお、セキュリティサーバ装置 2460-1, 2460— 2は、制御部 2465—1, 2465— 2の制御により各処理を実行する。

[0186] <前処理 >

この形態の秘匿ィ匕 HD情報は、公開鍵暗号方式による暗号文と、その暗号化に用い た公開鍵に対応する鍵 情報とを有する情報である。この例では、タグ装置 2410の 秘匿化 HD情報を sid = (epk (id ) , kid )とする。

h j h j

この例のタグ装置 2410の秘密値メモリ 2411には、この秘匿ィ匕 HD情報 sid = (epk

h j

(id ) , kid )が格納されている。また、セキュリティサーバ装置 2460- 1の鍵メモリ 246 h j

1 - 1には、各鍵 HD情報 (kid , · ··, kid )と、公開鍵暗号方式の秘密鍵 (sk , · ··, sk ) が対応付けられて格納されている。さらに、セキュリティサーバ装置 2460- 2の鍵メモ リ 2461 -2には、各鍵 HD情報 (kid , · ··, kid )と、公開鍵暗号方式の公開鍵 (pk , · ·· , pk )が対応付けられて格納されている。

[0187] なお、この例でも、関連性のないタグ装置に、同じ鍵 HD情報が割り当てられる。これ により、鍵 HD情報力も商品種別や商品個体が特定されることを防止できる。

<秘匿化 ID更新処理 >

実施例 14と同様、まず、クライアント装置 2020がタグ装置 2410に読取り指示を送 信する（ステップ S380)。タグ装置 2410は秘密値メモリ 2411から秘匿化 HD情報（sid = (epk (id ) , kid ) )を抽出し (ステップ S381)、クライアント装置 2020に送信する（ h j h j

ステップ S382)。これを受けたクライアント装置 2020は、通信部 2021 (「第 1の ID出 力部」に相当）において、このタグ装置 2410から抽出した秘匿化 HD情報 sidを、復 h 号依頼とともに、セキュリティサーバ装置 2460- 1に送信（出力）する (ステップ 383)。 なお、セキュリティサーバ装置 2460- 1は、この時点でタグ装置 2410に格納されてい る秘匿ィ匕 情報を管理しているセキュリティサーバ装置である。

[0188] この秘匿化 HD情報 sid等の情報は、セキュリティサーバ装置 2460- 1の通信部 246 h

2- 1 (「第 1の入力部」に相当）において受信され (ステップ S384)、この秘匿化 HD情 報 sidを構成する epk (id )は ID抽出部 2466- 1に送られ、 kidは読書き部 2464- 1 h j h j

に送られる。鍵 Iひ f青報 kidを受け取った読書き部 2464- 1は、この鍵 Iひ f青報 kidに対 応する秘密鍵 skを鍵メモリ 2461 - 1から抽出し、この秘密鍵 skを ID抽出部 2466 - 1 j ]

に送る（ステップ S385)。秘密鍵 skを受け取った ID抽出部 2466- 1は、この秘密鍵 s j

kを用いて暗号文（epk (id )を復号し、タグ HD情報 idを求める（id =dsk (epk (id j j h h h j j h

) ) ) (ステップ S386)。求められたタグ HD情報 idは通信部 2462- 1 (「第 2の出力部」 h

に相当）に送られ、そこ力 ネットワーク 2070を通じ、クライアント装置 2020へ送信（ 出力）される (ステップ S387)。

[0189] セキュリティサーバ装置 2460- 1から出力されたタグ ID情報 idは、クライアント装置 h

2020の通信部 2021において受信される（入力を受け付けられる）（ステップ S388) 。その後、通信部 2021は、任意に選択されたセキュリティサーバ装置 2460- 2へタグ HD情報 idを送信（出力）し、秘匿ィ匕 HD情報の更新依頼を行う (ステップ S389)。

h

セキュリティサーバ装置 2460- 2の通信部 2462 - 2 (「第 3の入力部」に相当）は、ネ ットワーク 2070を通じて送信されたこのタグ ID情報 idを受信し (入力を受け付け）、 h

暗号ィ匕部 2467-2に送る(ステップ3390)。また、これをトリガとして、鍵選択部 2468 -2は鍵の選択を行い、その情報を読書き部 2464-2に送る (ステップ S391)。この例 の場合、鍵選択部 2468-2は、 1以上 n以下の自然数力も任意ほ L数等)の鍵番号 iを 選択し、この鍵番号 iを読書き部 2464- 2に送る。読書き部 2464- 2は、受け取った鍵 番号 iに対応する鍵 HD情報 kid及び公開鍵 pkを鍵メモリ 2461 -2から抽出し、暗号 化部 2467-2に送る（ステップ S392)。暗号ィ匕部 2467-2は、受け取った公開鍵 pk を用いてタグ HD情報 idを暗号化 (秘匿化）し (epk (id ) )、この暗号文と鍵 HD情報 ki

h i h

dとからなる新たな秘匿化 情報（sid， = (epk (id ) , kid ) )を生成する (ステップ S i h i h i

393)。生成された秘匿ィ匕 ID情報 sid 'は、通信部 2462-2に送られ、通信部 2462- h

2 (「第 3の出力部」に相当）は、この秘匿化 HD情報 sid，を、ネットワーク 2070を通じ、

h

クライアント装置 2020へ送信（出力）する (ステップ S394)。

[0190] クライアント装置 2020は、通信部 2021 (「第 2の入力部」に相当）において、この秘 匿ィ匕 HD情報（sid，）を受信し (入力を受け）（ステップ S395)、それを、インタフェース

h

2022を介し、タグ装置 2410に送信する（ステップ S396)。タグ装置 2410は、この新 たな秘匿化 HD情報 sid，を秘密値メモリ 2411内に格納し (ステップ S397)、以後の

h

読取り要求に対し、この新たな秘匿ィ匕 HD情報 sid 'を応答する。なお、これ以降は、

h

セキュリティサーバ装置 2460- 2が、タグ装置 2410に格納されている秘匿化 HD情報 を管理しているセキュリティサーバ装置となる。従って、この新たな秘匿ィ匕 情報 sid

h

'の復号は、以後セキュリティサーバ装置 2460- 2において行われ、その復号結果で あるタグ 情報 id力クライアント装置 2020やバックエンド装置 2050等へ送られるこ

h

とになる。なお、セキュリティサーバ装置 2460-2における秘匿化 HD情報 sid，の復号

h は、鍵メモリ 2461 -2に格納された秘密鍵 sk (kidに対応する秘密鍵：図示せず)を 用いて行われる。

[0191] <実施例 18の特徴 >

実施例 18では、タグ装置 2410の秘匿化 HD情報を管理しているセキュリティサーバ 装置 2460- 1で秘匿化 HD情報を復号し、さらに、他のセキュリティサーバ装置 2460-

2で新たな秘匿ィ匕 情報を生成して、タグ装置 2410に格納されて 、る秘匿ィ匕 情 報を更新することとした。つまり、秘匿ィ匕 HD情報の更新と、タグ装置 2410の秘匿化 I D情報を管理するセキュリティサーバ装置の変更を同時に行うこととした。これにより、 秘匿ィ匕 HD情報の更新履歴情報が 1台のセキュリティサーバ装置に集中することを防 止し、セキュリティサーバ装置からの情報漏洩や、悪意に設定されたセキュリティサー バ装置による不正行為等の危険を低減できる。さらに、変更後のセキュリティサーバ 装置を、公衆がアクセスできないローカルなものとすることにより、さらに高度な安全 性を実現することができる。 [0192] なお、公開鍵暗号方式の代わりに共通鍵暗号方式を用いて本実施例の更新シス テムを構成することとしてもょ 、。

また、実施例 14のようにランダム値を秘匿ィ匕 ID情報とする形態を適用して本実施 例の更新システムを構成することとしてもよい。この場合、新たなセキュリティサーバ 装置では、上記の暗号ィ匕の代わりにランダム値を生成し、実施例 14のような秘匿化 I Dメモリに、生成したランダム値（=秘匿化 ID)及び IDを新たに追加することになる。 〔実施例 19〕

実施例 19では、クライアント装置が秘匿ィ匕 情報の再秘匿ィ匕処理を行う。すなわ ち、クライアント装置が更新装置として機能する。この場合、クライアント装置は、直接 読取った秘匿ィ匕 HD情報の再秘匿ィ匕処理を行うことになる。

[0193] 図 41は、本実施例における更新システム 2500の機能構成を例示したブロック図で あり、図 42は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 41おいて 実施例 14と共通する構成については、実施例 14と同じ符号を付した。また、以下で は実施例 14との相違点を中心に説明する。

<前処理 >

本実施例の秘匿ィ匕 情報は、再暗号ィ匕の性質を持つ暗号アルゴリズム (公開鍵暗 号方式）による暗号文と、その暗号ィ匕に用いた公開鍵に対応する鍵 情報とを有す る情報である。この例では、 ElGamal暗号を用い、タグ装置 2510の秘匿化 Iひ f青報 を sid = (g^r, id -pk^r, kid )とする。

h h j j

[0194] この例のタグ装置 2510のメモリ 2511には、この秘匿ィ匕 ID情報（sid = (g^r, id -pk

h h j r, kid ) )が格納されている。また、クライアント装置 2520の（「更新装置」に相当）の鍵 メモリ 2524には、各鍵 ID情報 (kid , · ··, kid )と、公開鍵 (pk , · ··, pk )力 対応付 けられて格納されている。さらに、剰余べき乗演算部 2527のメモリには生成元 gが格 納されている。

なお、この例でも、関連性のないタグ装置に、同じ鍵 HD情報が割り当てられる。これ により、鍵 HD情報力も商品種別や商品個体が特定されることを防止できる。

[0195] <秘匿化 ID更新処理 > クライアント装置 2520は、制御部 2023の制御により以下の処理を実行する。

実施例 14と同様、まず、クライアント装置 2520がタグ装置 2510に読取り指示を送 信する（ステップ S400)。タグ装置 2510はメモリ 2511から秘匿化 HD情報（sid = (g^r

h

, id -pk^r, kid ) )を抽出し (ステップ S401)、クライアント装置 2520に送信する (ステ h j j

ップ S402)。

この秘匿ィ匕 HD情報 sidは、クライアント装置 2520のインタフェース 2022において

h

受信され (ステップ S403)、この秘匿化 HD情報 sidを構成する暗号文 (g¹, id -pk^r)

h h j は剰余乗算演算部 2528 (「暗号化部」を構成）に送られ、 kidは読書き部 2525に送 られる。なお、 kidはメモリ 2023aにも記録される。

[0196] 鍵 情報 kidを受け取った読書き部 2525は、この鍵 情報 kidに対応する公開 鍵 pkを鍵メモリ 2524から抽出し、これを剰余べき乗演算部 2527 (「暗号化部」を構 成）に送る (ステップ S404)。これをトリガに、乱数生成部 2526は、 0以上 p— 1未満の 乱数 r，を生成し、これを剰余べき乗演算部 2527に送る (ステップ S405)。剰余べき 乗演算部 2527は、自己のメモリ内の生成元 g、受け取った公開鍵 (pk )及び乱数 r' を用いて (g , pk¹ )の演算を行い、その結果を剰余乗算演算部 2528に送る (ステツ プ S406)。剰余乗算演算部 2528は、受け取った (g^r , pk^r')と (g^r, id 'pk¹)を用い

j h ]

て (g ⁺r'， id を演算し、その演算結果を新たな暗号文としてインタフェース 2

h ]

022に送る（ステップ S407)。そして、インタフェース 2022は、送られた暗号文（g ¹" , id 及びインタフェース 2022のメモリ内の鍵 HD情報 kidを、新たな秘匿化 I ひ 報（sid ' = (g^r+r , id 'pk ¹" , kid ) )として送信（出力）する (ステップ S408)。

h h j j

[0197] 送信された新たな秘匿化 HD情報 sid，は、タグ装置 2510のインタフェース 2013に

h

おいて受信され、読書き部 2012を介し、メモリ 2511内〖こ格納される（ステップ S409 )。その後、タグ装置 2510は、読取り要求に対し、この新たな秘匿化 HD情報 sid 'を

h 応答する。

<実施例 19の特徴〉

実施例 19では、クライアント装置 2520がタグ装置 2510内の秘匿化 HD情報の再秘 匿ィ匕を行うこととした。ここで、クライアント装置 2520が再秘匿ィ匕処理を行うのは、イン タフエース 2022において直接読取った秘匿化 HD情報のみである。そのため、第三 者への情報の漏洩を抑制でき、より高 、安全性を確保できる。

[0198] なお、本実施例では、セキュリティサーバ装置 2520の鍵メモリ 2524に公開鍵 (pk , · ··, pk )を格納しておくこととした力 セキュリティサーバ装置 2520が公開鍵 (pk , · ··, pk )を保持せず、所定の公開鍵サーバから公開鍵 (pk , · ··, pk )を取得して使 用することとしてもよい。

また、実施例 14から実施例 16の形態の何れかのセキュリティサーバ装置の構成を クライアント装置 2520に適用し、本実施例の処理を実行することとしてもよい。

〔実施例 20〕

次に、実施例 20について説明する。

[0199] 本実施例では、クライアント装置（「更新依頼装置」に相当）において複数の秘匿化 I ひ f青報を取得しておき、そこから選択した秘匿ィ匕 HD情報を用い、タグ装置内の秘匿 ィ匕 Iひ 報を更新する。

図 43は、本実施例における更新システム 2600の機能構成を例示したブロック図で あり、図 44は、その処理手順を説明するためのフローチャートである。以下、これらの 図を用いて、本実施例の機能構成及び処理について説明する。なお、図 43におい て実施例 14と共通する構成については、実施例 14と同じ符号を付した。また、以下 では実施例 14との相違点を中心に説明する。

[0200] <前処理 >

まず、クライアント装置 2620の通信部 2021 (「秘匿化 ID入力部」に相当）において 、ネットワーク 2070を通じて送られた複数種類の秘匿化 HD情報（sid - 1, · ··, p)を受

h

信する (入力を受け付ける）（ステップ S410)。なお、この複数種類の秘匿ィ匕 HD情報（ sid - 1, · ··, p)は、実施例 14から実施例 17の何れかの方法を複数回繰り返す、或 h

いはセキュリティサーバ装置 2660が複数種類の秘匿ィ匕 HD情報を一度に送信するこ とにより得られるものである。また、実施例 14の方法を利用する場合、セキュリティサ ーバ装置 2660の秘匿化 IDメモリに、 1つのタグ HD情報に対し、複数の秘匿化 HD情 報（sid - 1, · ··, p)を保持しておく必要がある。これに対し、実施例 15から実施例 17 h

の方法を利用した場合には、セキュリティサーバ装置 2660に格納しておく情報は、 実施例 15から実施例 17と同様でょ 、。 [0201] 通信部 2021は、これらの秘匿化 HD情報（sid - 1, · ··, p)を読書き部 2624に送り、

h

読書き部 2624は、それらを秘匿化 IDメモリ 2625に格納する（ステップ S411)。

<秘匿化 ID更新処理 >

クライアント装置 2620は、制御部 2023の制御により以下の処理を実行する。

まず、制御部 23において、秘匿ィ匕 HD情報の更新を行う所定のトリガ (契機）があつ たかを判断する (ステップ S412)。このトリガとしては、例えば、タグ装置 2610から秘 匿ィ匕 情報が読取られた、タグ装置 2610内の秘匿ィ匕 情報の使用回数を示す力 ゥンタ値が所定値に達した等が挙げられる。ここで、所定のトリガがない場合には、ス テツプ S412の判断を継続し、所定のトリガがあった場合には、読書き部 2624 (「秘匿 化 ID抽出部」に相当）において、秘匿化 IDメモリ 2625から 1つの秘匿化 HD情報 sid

h を抽出する (ステップ S413)。この 1つの秘匿化 ID情報 sid の選択は、例えば、ラ

h

ンダムに行うこととしてもよぐまた、 sid - 1, sid -2,…と配列順に選択していき、 si

h h

d -pの後、再び sid - 1に戻るというように行ってもよい。抽出された 1つの秘匿ィ匕 ID h h

情報 sid は、読書き部 2624からインタフェース 2022 (「秘匿化 ID出力部」に相当） h

に送られ、そこ力もタグ装置 2610に対して送信（出力）される (ステップ S414)。

[0202] タグ装置 2610は、インタフェース 2013において、この秘匿ィ匕 ID情報 sid を受信

h

し (ステップ S415)、読書き部 2012を介して、秘密値メモリ 2611に格納する (ステツ プ S416)。その後、タグ装置 2610は、リーダー装置からの読取り要求に対し、この新 たな秘匿ィ匕 情報 sid 'を応答する。

h

<実施例 20の特徴〉

本実施例では、クライアント装置 2620に予め複数種類の秘匿ィ匕 HD情報を格納して おき、それら力も選択した秘匿ィ匕 HD情報により、タグ装置 2610の秘匿ィ匕 HD情報を更 新することとした。ここで、更新に用いる秘匿ィ匕 ID情報の選択はクライアント装置 262 0内で行われ、その送信は、クライアント装置 2620とタグ装置 2610間でローカルに 行われる。そのため、第三者への情報の漏洩を抑制でき、より高い安全性を確保でき る。また、セキュリティサーバ装置 2660からクライアント装置 2620への複数種類の秘 匿化 情報の送信を一度に行うこととすれば、セキュリティサーバ装置 2660へのァ クセス回数を低減できるため、秘匿化 情報の更新処理に伴うシステムの性能低下 を軽減できる。

[0203] なお、秘匿ィ匕 ID情報の選択'格納の契機は上述したものに限定されず、また、クラ イアント装置 2620に格納された秘匿ィ匕 HD情報がすべて使い果たされた後、セキユリ ティサーバ装置 2660から再び複数種類の秘匿ィ匕 HD情報を取得し、クライアント装置 2620に格納することとしてもよ!/、。

〔実施例 21〕

次に、実施例 21について説明する。

本実施例は、実施例 20の変形例であり、クライアント装置が、複数のセキュリティサ ーバ装置（「更新装置」 )力も出力された秘匿ィ匕 HD情報を取得する点が実施例 20と 相違する。

[0204] 図 45は、本実施例における更新システム 2700の機能構成を例示したブロック図で ある。以下、この図を用いて、本実施例の機能構成及び処理について説明する。な お、図 45において実施例 14或いは実施例 20と共通する構成については、実施例 1 4或いは実施例 20と同じ符号を付した。また、以下では、実施例 20との相違点のみ を説明する。

<前処理 >

実施例 20との相違点は、クライアント装置 2620が、複数のセキュリティサーバ装置 2760- 1, 2760-2, · ··, 2760-pから送られた複数種類の秘匿ィ匕 HD情報（sid - 1,

h

· ··, p)を受信する点のみである。なお、複数のセキュリティサーバ装置 2760- 1, 27 60-2, · ··, 2760- pにおける IDの秘匿ィ匕は、例えば、実施例 18の方法を用いる。

[0205] <秘匿化 ID更新処理 >

実施例 20と同様である。

<実施例 21の特徴〉

本実施例では、複数のセキュリティサーバ装置 2760- 1, 2760-2, · ··, 2760-pで 生成された秘匿ィ匕 情報をクライアント装置 2620で取得することとした。そのため、 秘匿ィ匕 HD情報の更新履歴が 1つのセキュリティサーバ装置に集中することを防止で き、より高度な安全性を実現できる。

[0206] また、前述のように、実施例 20にお 、て、実施例 14の方法を利用して秘匿ィ匕 情 報を生成する場合、セキュリティサーバ装置の秘匿化 IDメモリに、 1つの鍵 HD情報に 対して複数の秘匿ィ匕 HD情報 (sid - 1, · ··, p)を保持しておく必要があった。しかし、

h

本実施例では、実施例 14の方法を利用して秘匿ィ匕 情報を生成する場合であって も、各セキュリティサーバ装置が管理する秘匿ィ匕 情報は、 1つの鍵 Iひ f青報に対し て 1つの秘匿ィ匕 HD情報のみでよい。この点、秘匿ィ匕 HD情報の管理を簡易化できる。 〔実施例 22〕

次に、実施例 22について説明する。

[0207] 本実施例では、実施例 20及び実施例 21の変形例であり、取得した複数の秘匿化 I ひ f青報をクライアント装置ではなぐタグ装置内に格納しておくものである。

図 46は、本実施例における更新システム 2800の機能構成を例示したブロック図で ある。以下、この図を用いて、本実施例の機能構成及び処理について説明する。な お、図 46において実施例 14と共通する構成については、実施例 14と同じ符号を付 した。また、以下では、実施例 14、実施例 20及び実施例 21との相違点を中心に説 明する。

<前処理 >

まず、クライアント装置 2020の通信部 2021において、ネットワーク 2070を通じて 送られた複数種類の秘匿化 HD情報 (sid - 1, · ··, p)を受信する。受信された複数種

h

類の秘匿化 HD情報（sid - 1, · ··, p)は、インタフェース 2022に送られ、そこ力 タグ

h

装置 2810に対して送信される。

[0208] タグ装置 2810は、インタフェース 2013 (「秘匿化 ID入力部」に相当）において、複 数種類の秘匿化 HD情報 (sid - 1, · ··, p)を受信し (入力を受け付け)、これらを読書

h

き部 2012に送る。読書き部 2012はこれらを秘匿化 IDメモリ 2811に格納する。なお 、秘匿ィ匕 HD情報 (sid - 1, · ··, p)は、 1つのセキュリティサーバ装置力も出力されたも

h

のでも、複数のセキュリティサーバ装置から出力されたものでもよい。

<秘匿化 ID更新処理 >

タグ装置 2810の読書き部 2012 (「秘匿化 ID抽出部」に相当）は、制御部 2014の 制御のもと、例えば、読取り装置からの読取り指示をトリガ (契機）として、秘匿化 IDメ モリ 2811から 1つの秘匿ィ匕 HD情報（sid ）を任意 (例えば、ランダム）に抽出し、これ

h をインタフェース 2013から送信する。送信された秘匿ィ匕 HD情報（sid ）は、実施例 1

h

4で述べたようにバックエンド装置における処理に使用される。

[0209] <実施例 22の特徴 >

本実施例では、タグ装置 2810に複数種類の秘匿ィ匕 HD情報 (sid - 1, · ··, p)を格

h

納し、それらから選択した 1つの秘匿ィ匕 ID情報 (sid ）を使用することとした。これに

h

より、 IDに関する情報の取得等に使用される秘匿ィ匕 ID情報が毎回同じになることが なぐタグ装置 2810の追跡を抑制できる。また、タグ装置 2810自体に複数種類の秘 匿化 ID情報（sid - 1, · ··, p)を格納してあるため、クライアント装置 2020にアクセス

h

できな 、場合 (例えば、クライアント装置 2020の機能を有しな 、タグ読取り装置での 読取り処理時)でも、使用する秘匿ィ匕 情報を更新することができる。

[0210] 〔実施例 23〕

この実施例では、タグ装置に、鍵 Iひ f青報が格納された読取専用領域と、第 1の秘匿 化 情報が格納された書換可能領域と、を有する秘密値メモリを設ける。そして、秘 匿ィ匕 HD情報の再秘匿ィ匕処理の際、この秘匿化 IDメモリから鍵 HD情報と第 1の秘匿 化 HD情報を抽出して出力する。

更新装置は、これらの鍵 情報と第 1の秘匿ィ匕 情報の入力を受け付け、この鍵 I ひ f青報に対応する鍵を抽出する。そして、抽出した鍵と、第 1の秘匿ィ匕 HD情報とを用 いて、第 1の秘匿ィ匕 HD情報との関連性の把握が困難な第 2の秘匿ィ匕 HD情報を生成 し、この第 2の秘匿ィ匕 HD情報を出力する。

[0211] タグ装置は、この第 2の秘匿ィ匕 ID情報の入力を受け付け、入力された第 2の秘匿ィ匕 情報を、秘匿化 IDメモリの書換可能領域に格納する。

ここで、更新装置において更新されるのは秘匿化 HD情報のみである。そして、タグ 装置において書き換えられるのは、書換可能領域内の秘匿ィ匕 HD情報のみであり、読 取専用領域内の鍵 HD情報には変更はない。そのため、書換可能領域内の秘匿化 I ひ 報が、異なるタグ装置に対応する秘匿ィ匕 HD情報に書き換えられた場合であって も、この秘匿化 Iひ f青報の復号処理に用いられる鍵 Iひ f青報は、元の鍵 Iひ f青報のまま である。そのため、この書き換えられた秘匿ィ匕 情報の復号時に選択される復号サ ーバは、例えば、元の鍵 HD情報を元に選択される復号サーバであり、この書き換えら れた秘匿ィ匕 情報の復号処理を適切にできない場合もある。また、復号サーバが共 通していた場合であっても、この書き換えられた秘匿ィ匕 情報の復号処理に使用さ れる鍵は、元の鍵 情報に対応する鍵である。よって、その復号結果も異常となる。

[0212] 以下、この実施例を図面を参照して説明する。

図 47は、本実施例の更新システム 3000の全体構成を例示した概念図である。 この図に例示するように、更新システム 3000は、商品等に貼り付けられる無線タグ 等のタグ装置 3010、クライアント装置 3020、平文の IDに関連する流通情報等を管 理するバックエンド装置 3050、及び秘匿化 HD情報の再秘匿ィ匕処理を行うセキユリテ ィサーバ装置 3060、 IDの復元処理を行うセキュリティサーバ装置 3070を有して!/、る 。そして、このクライアント装置 3020、バックエンド装置 3050及びセキュリティサーバ 装置 3060、 3070は、インターネット等のネットワーク 3080により通信可能なように接 続されている。なお、説明の簡略化のため、この図では、タグ装置 3010、クライアント 装置 3020、 ノ ックエンド装置 3050及びセキュリティサーノ装置 3060、 3070を 1つ ずつ例示しているが、通常タグ装置は複数であり、クライアント装置、ノ ックエンド装 置及びセキュリティサーバ装置は複数としてもよい。さらに、セキュリティサーバ装置 3 060、 3070の代わりに、セキュリティサーノ 装置 3060、 3070の両機會を有するセキ ユリティサーバ装置を用いることとしてもょ 、。

[0213] この例のクライアント装置 3020は、タグ装置 10から秘匿化 HD情報を読取り、これを セキュリティサーバ装置 3070に送る。セキュリティサーバ装置 3070は、この秘匿化 I ひ f青報から IDを復元し、この IDをクライアント装置 3020に返す。 IDを受け取ったクラ イアント装置 3020は、バックエンド装置 3050にアクセスし、 ID、読取り日時、読取り 場所、温度等の情報の書き込みや、 IDに関連する情報の取得等を要求する。また、 クライアント装置 3020が、秘匿ィ匕 HD情報をセキュリティサーバ装置 3070に送信し、 セキュリティサーバ装置 3070力 直接、バックエンド装置 3050にアクセスするという プロキシモデルの利用形態も想定できる。

[0214] また、所定の契機で、タグ装置 3010内の秘匿ィ匕 HD情報は、セキュリティサーバ装 置 3060において再秘匿ィ匕処理 (秘匿ィ匕 HD情報を別の秘匿ィ匕 HD情報に更新するこ と）され、タグ装置 3010内の秘匿ィ匕 HD情報が更新される。なお、秘匿化 HD情報の更 新契機を確実に確保するため、例えば、家の玄関にクライアント装置 3020を設ける こととしてもよい。この場合、クライアント装置 3020は、タグ装置を保持した利用者が 玄関を通過するたびに、タグ装置 3010の秘匿化 HD情報を読取り、それをセキユリテ ィサーバ装置 3060で再秘匿化し、再びタグ装置に書き込む。

[0215] そして、本実施例の特徴的な部分は、タグ装置 3010が、鍵 情報が格納された読 取専用領域と秘匿ィ匕 情報が格納された書換可能領域とを有する秘匿化 IDメモリ を具備する点、再秘匿化された秘匿化 情報は書換可能領域へ書き込まれるが、 鍵 情報が格納された読取専用領域の更新は行われない点である。なお、書換可 能領域に格納される秘匿ィ匕 情報には鍵 情報は含まれない。

<機能構成，処理 >

図 48は、本実施例における更新システム 3000の機能構成を例示した図であり、図 49及び図 50は、その処理手順を説明するためのフローチャートである。以下、これら の図を用いて、本実施例の機能構成及び処理について説明する。なお、図 48以降 、 ノックエンド装置の記載は省略する。また、タグ装置 3010、クライアント装置 3020 及びセキュリティサーノ装置 3060、 3070は、それぞれ制御部 3014、 3023、 3065 、 3075の制御により各処理を実行する。また、処理されるデータは、逐一メモリ 3014 a、 3023a, 3065a或!ヽ ίま 3075a【こ格糸内され、演算等の処理を行う際【こ呼び出され る力 以下ではこの説明を省略する。

[0216] <前処理 >

この形態では、再暗号ィ匕の性質を持つ暗号アルゴリズム (公開鍵暗号方式）による 暗号文を秘匿化 HD情報として用いる。この例では、楕円 ElGamal暗号を用いる。 図 48に例示するように、この例のタグ装置 3010は、読取専用領域 301 laと書換可 能領域 30 l ibを有する秘密値メモリ 3011を有している。ここで、秘密値メモリ 3011と して、 EEPROMなどの書換可能ROM (Read Only Memory)等の書換え可能なメモ リを用い、その所定の領域を読取専用領域 3011aと書換可能領域 3011bに割り当 てることとしてもよぐまた、 ROM等の書換不可能なメモリを用いて読取専用領域 30 1 laを構成し、 EEPROM等の書換え可能なメモリを用いて書換可能領域 301 lbを 構成することとしてもよい。そして、この読取専用領域 301 laには、秘密鍵 sk及び公 開鍵 pkを特定する鍵 HD情報 kidが格納 (記録)され、書換可能領域 301 lbには、秘 匿化 HD情報 sid = (g^r, id 'pk¹)が格納される。

h h j

[0217] また、セキュリティサーバ装置 3060 (「更新装置」 )のメモリ 3065aには生成元 gが格 納されおり、セキュリティサーバ装置 3070 (「復号装置」に相当）の鍵メモリ 3071には 、各鍵 HD情報 (kid , · ··, kid )と、秘密鍵 (sk , · ··, sk )及び公開鍵 (pk , · ··, pk ) 力 対応付けられて格納されている。

なお、この例では、タグ装置の総数 mは鍵の総数 nよりも十分に大きく（m》n)、関 連性のないタグ装置に、同じ鍵 HD情報が割り当てられているものとする。すなわち、 例えば、同じ種類の商品にそれぞれ付されるタグ装置に、同じ鍵 HD情報が割り当て られるのではなぐ無関係な商品にそれぞれ付されるタグ装置に、同じ鍵 HD情報が 割り当てられる。これにより、鍵 HD情報力 タグ装置、商品種別或いは商品個体等が 一意に特定されることを防止できる。

[0218] <秘匿化 ID復号処理 >

最初に、バックエンド装置 50に IDに関連する情報の取得等を要求する際に行われ る、秘匿化 HD情報の復号処理について説明する。

まず、何らかの認証技術を利用し、クライアント装置 3020とセキュリティサーバ装置 3070との間で相互認証を行う。なお、クライアント装置 3020とセキュリティサーバ装 置 3070との通信は、何らかの暗号技術により暗号ィ匕されて行われる。

次に、クライアント装置 3020は、インタフェース 3022においてタグ装置 3010に読 取り指示を送信する (ステップ S501)。この読取り指示はタグ装置 3010のインタフエ ース 3013において受信され、これをトリガとして、読書き部 3012は、秘密値メモリ 30 11の読取専用領域 301 laから鍵 情報 kidを抽出し、書換可能領域 301 lbから秘 匿化 Iひ f青報 sidを抽出する (ステップ S502)。抽出された秘匿ィ匕 情報 sid及び鍵

h h

ID情報 kidは、インタフェース 3013を通じ、クライアント装置 3020に送信され (ステツ プ S503)、クライアント装置 3020のインタフェース 3022において受信される。クライ アント装置 3020は、例えば、受け取った鍵 HD情報 kid力もセキュリティサーバ装置 3 070のアドレスを特定し、このセキュリティサーバ装置 3070に対し、通信部 3021から ネットワーク 3080を通じ、秘匿化 情報 sid及び鍵 Iひ f青報 kidを送信する（ステップ

h i 504)。

[0219] 送信された秘匿化 Iひ f青報 sid及び鍵 Iひ f青報 kidは、セキュリティサーバ装置 3070

h j

の通信部 3072 (「秘匿ィ匕 ID入力部」に相当）において受信され (入力を受け付けら れ）（ステップ S505)、秘匿化 HD情報 sidは復号部 74 (「ID算出部」に相当）に、鍵 I

h

ひ f青報 kidは読取り部 3073にそれぞれ送られる。読取り部 3073 (「鍵抽出部」に相 当）は、送られた鍵 情報 kidに対応する秘密鍵 skを鍵メモリ 3071から抽出し、復 号部 3074に送る（ステップ S506)。復号部 3074は、送られた秘匿化 HD情報 sidと

h 秘密鍵 skを用い、秘匿ィ匕 情報 sidを復号したタグ Iひ f青報 idを算出する。この例

j h h

では、 id = (id の演算を行い、タグ HD情報 idを算出する。なお、この h h j h

演算式における指数「sk^¾「sk」を意味する。算出されたタグ HD情報 idは通信部 3

j h

072に送られ、そこ力もネットワーク 3080を通じ、クライアント装置 3020に向けて送 信される (ステップ S508)。クライアント装置 3020は、送信されたタグ 情報 idを通

h 信部 3021において受信し (ステップ S509)、このタグ HD情報 idをその後のバックェ

h

ンド装置 3050への問い合わせに利用する。

[0220] <秘匿化 ID更新処理 >

次に、本実施例における秘匿化 HD情報の更新処理について説明する。 まず、何らかの認証技術を利用し、クライアント装置 3020とセキュリティサーバ装置 3060との間で相互認証を行う。なお、クライアント装置 3020とセキュリティサーバ装 置 3060との通信も、何らかの暗号技術により暗号ィ匕して行うものとする。

この例の秘匿ィ匕 HD情報の更新処理は、任意の契機、例えば、玄関等外出時に必 ず通る場所を通過した場合や、タグ装置 3010内に格納された秘匿ィ匕 HD情報の使用 回数 (カウント値が所定値に達した)等をトリガとして開始される。このトリガにより、クラ イアント装置 3020は、インタフェース 3022にお!/、てタグ装置 3010に読取り指示を 送信する（ステップ S511)。この読取り指示はタグ装置 3010のインタフェース 3013 において受信され、これをトリガとして、読書き部 3012 (「秘匿ィ匕 ID抽出部」に相当） は、秘密値メモリ 3011の読取専用領域 301 laから鍵 HD情報 kidを抽出し、書換可 能領域 30 l ibから秘匿ィ匕 HD情報 sidを抽出する (ステップ S512)。抽出された秘匿

h

ィ匕 ID情報 sid及び鏈 ID情報 kidは、インタフ ース 3013 (「秘匿化 ID抽出部」に相

h j 当）を通じ、クライアント装置 3020に送信（出力）され (ステップ S513)、クライアント装 置 3020のインタフェース 3022において受信される。クライアント装置 3020は、受け 取った秘匿化 HD情報 sid及び鍵 Iひ f青報 kidを、通信部 3021及びネットワーク 3080

h j

を通じ、セキュリティサーバ装置 3060へ送信する（ステップ 514)。

[0221] セキュリティサーバ装置 3060は、通信部 3061 (「秘匿化 ID入力部」に相当）にお いて、この秘匿ィ匕 情報 sid及び鍵 Iひ f青報 kidを受信し (入力を受け付け）（ステツ

h j

プ S515)、秘匿化 HD情報（sid = (g^r, id 'pk¹) )を剰余乗算演算部 3064 (「秘匿ィ匕

h h j

ID更新部」を構成）に送る。また、通信部 3061 (「鍵抽出部」に相当）は、この鍵 情 報 kidを、公開鍵取得要求とともに、ネットワーク 3080を通じ、セキュリティサーバ装 置 3070に送信する。

セキュリティサーバ装置 3070は、通信部 3072においてこれらを受信し、鍵 HD情報 kidを読取り部 3073に送る。読取り部 3073は、この鍵 HD情報 kidに対応する公開 j ]

鍵 pkを鍵メモリ 3071から抽出し、抽出した公開鍵 pkを、通信部 3072及びネットヮ j ]

ーク 3080を通じてセキュリティサーバ装置 3060に返す。

[0222] セキュリティサーバ装置 3060は、通信部 3061において、この公開鍵 pkを受信 (抽 出）し、剰余べき乗演算部 3063 (「秘匿ィ匕 ID更新部」を構成）に送る (ステップ S516) 。また、例えばこれをトリガとして、乱数生成部 3062は、 0以上 P— 1未満の乱数 r'を 生成し、これを剰余べき乗演算部 3063に送る (ステップ S517)。剰余べき乗演算部 3063は、メモリ 3065a内の生成元 g、受け取った公開鍵 pk及び乱数 r，を用いて（g¹ , pk¹ )の演算を行い、その結果を剰余乗算演算部 3064に送る（ステップ S518)。 剰余乗算演算部 3064は、受け取ったら , pk¹ )と (g¹, id 'pk¹)を用いて ( ， id

j h j h

•pk^I+r')を演算し、その演算結果 (暗号文)を新たな秘匿ィ匕 HD情報として通信部 306 1に送る (ステップ S519)。通信部 3061 (「秘匿化 ID出力部」に相当）は、送られた秘 匿化 HD情報 (Sid， = (g ⁺r'， id ·Ρ^^+Ι') ) (更新前の秘匿化 HD情報 (_Sid )との関連

h h j h

性の把握が困難な秘匿ィ匕 HD情報（sid ' )を、ネットワーク 3080を通じ、クライアント装

h

置 3020に向けて送信（出力）する (ステップ S520)。

[0223] 送信された新たな秘匿化 Iひ f青報 sid，は、クライアント装置 3020の通信部 3021に

h

おいて受信され、インタフェース 3022を通じてタグ装置 3010に送信される（ステップ S521)。タグ装置 3010は、インタフェース 3013 (「秘匿化 ID入力部」に相当）におい て、この新たな秘匿ィ匕 HD情報 sid 'を受信し (入力を受け付け）（ステップ S522)、読 h

書き部 3012 (「秘匿化 ID格納部」に相当）において、この新たな秘匿化 HD情報 sid ' h をメモリ 3011の書換可能領域 301 lbに格納する (ステップ S523)。その後、タグ装 置 3010は、読取り要求に対し、この新たな秘匿化 HD情報 sid 'を応答する。

h

[0224] <実施例 23の特徴 >

本実施例では、タグ装置 3010に、鍵 HD情報を格納した読取専用領域 301 laと秘 匿ィ匕 情報を格納する書換可能領域 301 lbを有する秘密値メモリ 3011を設け、書 換可能領域 3011bに格納された秘匿ィ匕 ID情報のみを再秘匿ィ匕し、更新することとし た。そのため、秘匿ィ匕 HD情報の再秘匿ィ匕処理の際、書換可能領域 301 lbに他のタ グ装置の秘匿ィ匕 HD情報が書き込まれた場合であっても、そのような不正'誤りを検出 することが可能となる。

[0225] 例えば、図 48において、タグ装置 3010が有する秘密値メモリ 3011の書換可能領 域 301 lbに、鍵 HD情報 kidに対応する他のタグ装置の秘匿化 HD情報 (g¹, ID -pk ^r

1 2 1

)が格納された場合を考える。この場合であっても、読取専用領域 301 laに格納され ている鍵 HD情報は常に kidであり、セキュリティサーバ装置 3070の復号処理時に、 読取り部 3073において鍵メモリ 3071から抽出される秘密鍵は kidに対応する skで ある。そのため、復号部 3074での復号結果は (id -pk ^r) / (g^r) ^sW= (id - (g^skl)^r) /

2 1 2

(g ) ^ski = ID ·₈ ^3ΐ£ΐ/₈^となり、その演算結果は異常データとなる。よって、この復号

2

結果が異常データとなることをもって、他のタグ装置の秘匿ィ匕 ID情報が書き込まれた ことを検出することができる。

[0226] また、パスワード等による書換可能領域 301 lbへのアクセル制御を行うことなぐ秘 匿ィ匕 HD情報の不正書換え等を防止できるため、その制御回路コストも抑えることがで き、さらにアクセス制御用の複雑なノ スワード管理等も不要となる。

すなわち、秘匿ィ匕 HD情報の任意なタイミングでの更新を、より確実 '安全'低コスト で実行できるようになり、タグ装置 3010に関するプライバシーの保護が可能となる。 なお、本実施例では、楕円 ElGamal暗号を用いて秘匿ィ匕 HD情報の生成'更新等 を行うこととした力 再暗号ィ匕の性質を持つ暗号、或いは、特願 2003— 359157号に 示す再秘匿ィ匕方法を用いてもよい。また、セキュリティサーバ装置 3060、 3070を一 体としてもよく、さらに、セキュリティサーバ装置 3060が公開鍵のメモリを具備すること としてちよい。

[0227] 〔実施例 24〕

本実施例は、実施例 23の変形例であり、秘匿ィ匕 情報の復号結果が IDのフォー マットに矛盾していないかを確認することによって、タグ装置から出力された秘匿化 I ひ f青報が誤っていないか確認する。以下では、実施例 23との相違点を中心に説明を 行 、、実施例 23と共通する事項にっ 、ては説明を省略する。

図 51は、本実施例におけるセキュリティサーバ装置 3170 (「復号装置」に相当）の 機能構成を例示した図であり、図 52は、本実施例におけるタグ HD情報 3200のフォ 一マットを例示した図である。また、図 53はセキュリティサーバ装置 3170の処理手順 を説明するためのフローチャートである。なお、図 51において実施例 23と共通する 機能構成については、実施例 23と同じ符号を付した。

[0228] <全体構成'ハードウェア構成 >

セキュリティサーバ装置 3070がセキュリティサーバ装置 3170に置き換わる以外は 、実施例 23と同様である。

<前処理 >

実施例 23との相違点は、セキュリティサーバ装置 3170が有する有効値メモリ 3176 に IDの各フィールドの有効値を格納しておく点である。その他は実施例 23と同様で める。

[0229] <秘匿化 ID復号処理 >

実施例 23との相違点は、前述したセキュリティサーバ装置 3070の処理（図 49 :ス テツプ S505— S508)に代えて、セキュリティサーバ装置 3170が図 53に例示する処 理を行う点である。以下では、セキュリティサーバ装置 3170の処理についてのみ説 明し、その他の処理の説明は省略する。

実施例 23と同様にクライアント装置 3020から送信された秘匿ィ匕 ID情報 sid及び鍵

h

HD情報 kidは、セキュリティサーバ装置 3170の通信部 3072 (「秘匿化 ID入力部」に 相当）において受信され (入力を受け付けられ）（ステップ S531)、秘匿ィ匕 HD情報 sid は復号部 3074 (「ID算出部」に相当）に、鍵 HD情報 kidは読取り部 3073にそれぞれ 送られる。読取り部 3073 (「鍵抽出部」に相当）は、送られた鍵 情報 kidに対応す る秘密鍵 skを鍵メモリ 3071から抽出し、復号部 3074に送る (ステップ S532)。復号 部 3074は、送られた秘匿化 Iひ f青報 sidと秘密鍵 skを用い、秘匿化 情報 sidを復

h j h 号したタグ Iひ f青報 idを算出する。

h

[0230] 算出されたタグ 情報 idは ID構造検証部 3177に送られ、そこでこのタグ 情報 i

h

dの構造の検証が行われる（ステップ S534)。図 52に例示するように、この例の ID3 h

200は、ヘッダ（h) 3210、ノ ージョンコード（vc) 3202、製造者コード（mc) 3203、 商品コード（pc) 3204、シリアルコード（sc) 3205の各フィールドを有している。有効 値メモリ 3176には、この各フィールドの値がとり得る有効値が格納されており、 ID構 造検証部 3177は、受け取ったタグ 情報 idの各フィールドの値と、有効値メモリ 31

h

76から抽出した有効値とを比較し、受け取ったタグ 情報 idの各フィールド値が有

h

効値範囲内であるか否かを検証する。ここで、検証が成功した場合 (ステップ S535) 、 ID構造検証部 177は、タグ Iひ f青報 idを通信部 3072に送り、通信部 3072は、タグ

h

HD情報 idをクライアント装置 3020に送信する (ステップ S536)。一方、検証が成功

h

しなカゝつた場合 (ステップ S535)、 ID構造検証部 3177は、タグ HD情報 idを破棄して

h

処理を終了する。

[0231] <実施例 24の特徴 >

本実施例では、セキュリティサーバ装置 3170の ID構造検証部 3177において、復 号後のタグ ID情報 idが所定の IDフォーマットと矛盾して ヽな ヽかを検証することとし

h

た。これにより、タグ装置の書換可能領域に他のタグ装置の秘匿化 Iひ f青報が書き込 まれていたことに起因する、秘匿ィ匕 HD情報の復号結果のデータ異常を確実に発見 することができる。

〔実施例 25〕

本実施例は、実施例 23の変形例であり、秘匿ィ匕 HD情報の再秘匿ィ匕処理を行う際 に、鍵 情報と再秘匿化された秘匿ィ匕 情報に秘密鍵を作用させ、デジタル署名、 MAC等の認証情報を付する点が実施例 23との相違点である。以下では、実施例 2 3との相違点を中心に説明を行い、実施例 23と共通する事項については説明を省略 する。

[0232] 図 54及び 55は、本実施例における更新システム 3300の機能構成を例示した図で あり、図 56及び 57は、その処理手順を説明するためのフローチャートである。なお、 図 54及び 55において実施例 23と共通する機能構成については、実施例 23と同じ 符号を付した。

<全体構成 ·ハードウェア構成 >

タグ装置 3010がタグ装置 3310に、セキュリティサーバ装置 3060がセキュリティサ ーバ装置 3360 (「更新装置」に相当）に、セキュリティサーバ装置 3070がセキュリティ サーバ装置 3370 (「復号装置」に相当）に、それぞれ置き換わる以外は、実施例 23と 同様である。

[0233] <前処理 >

実施例 23との相違点は、タグ装置 3310の秘密値メモリ 3311の書換可能領域 331 lbに、秘匿ィ匕 HD情報 sidとデジタル署名（「検証情報」に相当） σを格納しておく点、

h

セキュリティサーバ装置 3360の鍵メモリ 3366にデジタル署名に用いる秘密鍵 skと公 開鍵 pkを格納しておく点である。その他は実施例 23と同様である。

<秘匿化 ID更新処理 >

次に、本実施例における秘匿化 HD情報の更新処理について説明する。

[0234] まず、クライアント装置 3020は、インタフェース 3022においてタグ装置 3310に読 取り指示を送信する (ステップ S541)。この読取り指示はタグ装置 3310のインタフエ ース 3013において受信され、これをトリガとして、読書き部 3012は、秘密値メモリ 33 11の読取専用領域 301 laから鍵 情報 kidを抽出し、書換可能領域 331 lbから秘 匿化 情報 sidを抽出する (ステップ S542)。抽出された秘匿ィ匕 情報 sid及び鍵

h h

ID情報 kidは、インタフェース 3013を通じ、クライアント装置 3020に送信され (ステツ プ S543)、クライアント装置 3020のインタフェース 3022において受信される。クライ アント装置 3020は、受け取った秘匿化 Iひ f青報 sid及び鍵 Iひ f青報 kidを、通信部 30

h j

21及びネットワーク 3080を通じ、セキュリティサーバ装置 3360へ送信する（ステップ 544)。

[0235] セキュリティサーバ装置 3360は、通信部 3061において、この秘匿化 HD情報 sid

h 及び鍵 HD情報 kidを受信し (ステップ S545)、秘匿化 HD情報（sid = (g^r, id -pk^r) )

j h h j を剰余乗算演算部 3064に送る。また、実施例 23と同様、通信部 3061において、鍵 HD情報 kidをセキュリティサーバ装置 3370に送信し、そこで抽出された公開鍵 pkを 取得 (受信)する (ステップ S546)。この公開鍵 pkは、剰余べき乗演算部 3063に送 られ、さらに、乱数生成部 3062で生成された (ステップ S547)乱数 r'も剰余べき乗 演算部 3063に送られる。剰余べき乗演算部 3063は、（g¹ , pk¹ )の演算を行い、そ の結果を剰余乗算演算部 3064に送り（ステップ S548)、剰余乗算演算部 3064は、

(g ⁺r'， id を演算し、その演算結果を新たな秘匿ィ匕 HD情報として、通信部 3

h j

061及び署名生成部 3368に送る（ステップ S549)。これをトリガとして、読取り部 33 67は、鍵メモリ 3366から秘密鍵 skを抽出し、これを署名生成部 3368に送る (ステツ プ S550)。署名生成部 3368 (「検証情報生成部」に相当）は、さらに通信部 3061か ら鍵 情報 ki のビット結合データ (g^I+

' I id -pk^r+i I kid )を生成し、このビット結合データを秘密鍵 skで暗号ィ匕したデジ タル署名（「検証情報」に相当） σ，=Ε (g^r+r k^r+r

sk I id -p

h ] I kid )を生成する (ステ

]

ップ S551)。生成された新たなデジタル署名 σ 'は、通信部 3061に送られ、通信部 3061 (「秘匿化 ID出力部」に相当）は、先に送られた新たな秘匿ィ匕 HD情報（sid ' =

h

(g^r+r', id -pk ¹"') )と新たなデジタル署名 σ，を、ネットワーク 3080を通じ、クライア

h ]

ント装置 3020に向けて送信（出力）する (ステップ S552)。

[0236] 送信された新たな秘匿ィ匕 情報 sid，及びデジタル署名 σ，は、クライアント装置 3

h

020の通信咅 3021【こお!ヽて受信され、インタフェース 3022を通じてタグ装置 3310 に送信される（ステップ S553)。タグ装置 3310は、インタフェース 3013 (「秘匿ィ匕 ID 入力部」に相当）において、この新たな秘匿ィ匕 HD情報 sid '及びデジタル署名 σ，を

h

受信し (入力を受け付け）（ステップ S554)、読書き部 3012 (「秘匿ィ匕 ID格納部」に 相当）において、この新たな秘匿化 HD情報 sid '及びデジタル署名 σ 'を秘密値メモ

h

リ 3311の書換可能領域 331 lbに格納する (ステップ S555)。その後、タグ装置 331 0は、読取り要求に対し、この新たな秘匿ィ匕 情報 sid '及びデジタル署名 σ，を応

h

答する。

[0237] <秘匿化 ID復号処理 > 次に、本実施例における秘匿化 HD情報の復号処理について説明する。

まず、クライアント装置 3020は、インタフェース 3022においてタグ装置 3310に読 取り指示を送信する (ステップ S561)。この読取り指示はタグ装置 3310のインタフエ ース 3013において受信され、これをトリガとして、読書き部 3012は、秘密値メモリ 33 11の読取専用領域 301 laから鍵 情報 kidを抽出し、書換可能領域 331 lbから秘 匿化 HD情報 sid '及びデジタル署名 σ，を抽出する (ステップ S562)。抽出された秘 h

匿化 Iひ f青報 sid，、デジタル署名 σ，及び鍵 Iひ f青報 kidは、インタフェース 3013を通 h j

じ、クライアント装置 3020に送信され (ステップ S563)、クライアント装置 3020のイン タフエース 3022【こお!ヽて受信される。クライアン卜装置 3020ίま、通信咅 3021【こお!ヽ て、これらの情報を、ネットワーク 3080を通じて、セキュリティサーバ装置 3370に送 信する (ステップ 564)。

[0238] 送信された秘匿化 情報 sid，、デジタル署名 σ，及び鍵 Iひ f青報 kidは、セキユリ h j

ティサーバ装置 3370の通信部 3072 (「秘匿化 ID入力部」に相当）において受信さ れ (入力を受け付けられ）（ステップ S565)、デジタル署名 σ 'は署名検証部 3376に 、秘匿ィ匕 HD情報 sidは復号部 3074 (「ID算出部」に相当）及び署名検証部 3376に h

、鍵 情報 kidは読取り部 3073及び署名検証部 3376にそれぞれ送られる。

また、通信部 3072は、ネットワーク 3080を通じ、セキュリティサーバ装置 3360に公 開鍵取得要求を送り、これを通信部 3061で受信したセキュリティサーバ装置 3360 は、読取り部 3367において鍵メモリ 3366から公開鍵 pkを抽出し、通信部 3061及び ネットワーク 3080を通じて、この公開鍵 pkを返す。この公開鍵 pkは、セキュリティサ ーバ装置 3370の通信部 3072において受信され (ステップ S566)、署名検証部 337 6に送られる。

[0239] 署名検証部 3376は、受け取ったデジタル署名 σ，を、この公開鍵 pkを用いて復号 し (D

)を生成する。そして、 D ( σ ' )力 S (g ⁺r' I id ' pk r+r' | _kid )と等しくなる力否かによ pk h ] j

つて、デジタル署名 σ，の検証を行う（ステップ S567)。ここで、 D ( σ，） = (g^r+r' | i k

d -pk^r+r kid )でな力つた場合には、検証が失敗したとして処理を終了する。一方 h j I j

、 D ( σ ' ) = (g^r+r' I id -pk¹^' I kid )であった場合には、読取り部 3073 (「鍵抽出 pk h ] j 部」に相当）は、送られた鍵 情報 kidに対応する秘密鍵 skを鍵メモリ 3071から抽 出し、復号部 3074に送る（ステップ S568)。復号部 3074は、送られた秘匿化 HD情 報 sid )と秘密鍵 skを用い、秘匿ィ匕 HD情報 sid 'を復号したタグ HD情報 idを算出す h j h h

る (id = (id•pk^r+rV(g^r+r') ^ski) (ステップ S569)。なお、この演算式における指数 h h j

「sk;^¾「sk」を意味する。算出されたタグ HD情報 idは通信部 3072に送られ、そこか

j h

らネットワーク 3080を通じ、クライアント装置 3020に向けて送信される（ステップ S57 0)。クライアント装置 3020は、送信されたタグ HD情報 idを通信部 3021において受

h

信し (ステップ S571)、このタグ ID情報 idをその後のバックエンド装置 3050への問

h

い合わせに利用する。

[0240] <実施例 25の特徴 >

本実施例では、再秘匿化処理時に、セキュリティサーバ装置 3360において、デジ タル署名 σ， =E (g^r+r' I id -pk¹^'

] I kid )を生成し、復号処理時に、セキュリティ sk h ]

サーバ装置 3370において、このデジタル署名 σ，を検証することとした。そのため、 復号処理の際、デジタル署名によっても再秘匿ィ匕された秘匿ィ匕 情報の正当性を 検証でき、誤った秘匿ィ匕 ID情報がタグ装置 3310に格納されていることを、より確実 に検出することができる。

[0241] なお、この形態では、セキュリティサーバ装置 3360においてデジタル署名 σ，を生 成することとした力 セキュリティサーバ装置 3370や公証機関サーバ等がデジタル 署名 σ 'の生成を代行することとしてもよい。

〔実施例 26〕

本実施例は、実施例 23の変形例であり、タグ 情報を構成する情報のうち、各タグ 装置に固有な情報のみを秘匿ィ匕した情報を秘匿ィ匕 情報とする点が実施例 23と相 違する。以下では、実施例 23との相違点を中心に説明を行い、実施例 23と共通する 事項については説明を省略する。

[0242] 図 58は、本実施例におけるタグ装置 3410の機能構成を例示した図ある。なお、図 58において、実施例 23と共通する機能構成については、実施例 23と同じ符号を付 した。

<全体構成 ·ハードウェア構成 > タグ装置 3010がタグ装置 3410に置き換わる以外は、実施例 23と同様である。 <前処理 >

実施例 23との相違点は、タグ 情報を構成する情報のうち、各タグ装置に固有な 情報のみを秘匿ィ匕した情報を秘匿ィ匕 m情報 sidとする点である。図 52に例示したデ

h

ータ構成のタグ HD情報を用いる場合、シリアルコード（sc) 3205が、各タグ装置に固 有な情報となり、秘匿ィ匕 ID情報は sid = (g , sc 'pk¹)となる。そして、この秘匿化 ID

h h j

情報（sid = (g , sc 'pk¹") )がタグ装置 3410の秘密値メモリ 3411の書換可能領域 3

h h j

41 lbに格納される。また、タグ HD情報を構成するバージョンコード (vc) 3202、製造 者コード (mc) 3203、商品コード (pc) 3204等の商品ごとに共通する情報を、暗号ィ匕 して (E (vc) , E (mc) , E (pc) )、秘密値メモリ 3411の読取専用領域 3411aに格納し ておく点も実施例 23との相違点である。なお、バージョンコード (vc) 3202等の商品 ごとに共通する情報の暗号ィ匕に関しては、同じ商品でも異なる暗号文が得られるよう に、確率暗号などを用いる。

[0243] <処理 >

この例の秘匿化 ID復号処理及び秘匿化 ID更新処理等の処理は、秘匿化 Iひ f青報 を sid = (g^r, sc 'pk¹)とする点を除き、実施例 23と同様である。なお、ノックエンド h h ]

装置 3050への問い合わせ等の際に必要に応じて、読書き部 3012において、秘密 値メモリ 3411の読取専用領域 341 laから E (vc) , E (mc) , E (pc)等を抽出し、これ らをインタフェース 3013、クライアント装置 3020等を通じて、バックエンド装置 3050 に送信する点も第 1の実施の形態との相違点である。

[0244] <実施例 26の特徴 >

本実施例では、各タグ装置に固有な情報のみを秘匿化した情報を秘匿化 HD情報 としたため、商品ごとに共通する情報をも秘匿ィ匕した秘匿ィ匕 ID情報とする場合に比 ベ、秘匿化処理の対象となるデータ量を削減でき、計算量や通信量を低減できる。 なお、この発明は、上述の各実施の形態や実施例に限定されるものではない。例 えば、各実施例を組み合わせた形態で本発明を実施してもよぐまた、上述の各種の 処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理 能力或いは必要に応じて並列的に或いは個別に実行されてもよい。その他、本発明 の趣旨を逸脱しな 、範囲で適宜変更が可能であることは 、うまでもな!/、。

[0245] また、上述の各構成をコンピュータによって実現する場合、各装置が有すべき機能 の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで 実行することにより、前記処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読取り可能な記録媒体に記 録しておくことができる。コンピュータで読取り可能な記録媒体としては、例えば、磁 気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが 、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディ スク、磁気テープ等を、光ディスクとして、 DVD (Digital Versatile Disc)、 DVD— RA M (Random Access Memory)、 CD— ROM (Compact Disc Read Only Memory)、 CD R (Recordable) /RW (Rewritable)等を、光磁気記録媒体として、 MO ( Magneto-Optical disc)等を、半導体メモリとして EEP— ROM (Electronically Erasable and Programmable-Read Only Memoryリ等 用 ヽること; ^できる。

[0246] また、このプログラムの流通は、例えば、そのプログラムを記録した DVD、 CD-RO M等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプロ グラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サー バコンピュータカ 他のコンピュータにそのプログラムを転送することにより、このプロ グラムを流通させる構成としてもょ 、。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に 記録されたプログラムもしくはサーバコンピュータ力も転送されたプログラムを、ー且、 自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記 録媒体に格納されたプログラムを読取り、読み取ったプログラムに従った処理を実行 する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体か ら直接プログラムを読取り、そのプログラムに従った処理を実行することとしてもよぐ さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐 次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコン ピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果 取得のみによって処理機能を実現する、いわゆる ASP (Application Service Provider )型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態にお けるプログラムには、電子計算機による処理の用に供する情報であってプログラムに 準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定 する性質を有するデータ等）を含むものとする。

産業上の利用可能性

本発明により、例えば RFIDにおいてタグ装置の出力情報力 タグ装置の流通過程 が追跡されてしまうことを抑制することができる。

Claims

請求の範囲

[1] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置の秘密値メモリに、それぞれのタグ Iひ f青報に対応する秘密値が格 納されており、

上記タグ装置が、

出力部において、上記秘密値メモリの上記秘密値に対応するタグ出力情報を出力 し、

第 1の演算部において、上記秘密値メモリから上記秘密値の少なくとも一部の要素 を読み出し、これに、逆像を求めることが困難な第 1の関数 F1を作用させ、その演算 結果で上記秘密値メモリ内の上記秘密値を上書き更新する、

ことを特徴とするタグプライバシー保護方法。

[2] 請求項 1記載のタグプライバシー保護方法であって、

上記タグ出力情報は、

上記タグ装置の第 2の演算部が、上記秘密値メモリから上記秘密値を読み出し、こ れに定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させた演算結 果である、

ことを特徴とするタグプライバシー保護方法。

[3] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F 1及び上記第 2の関数 F2の少なくとも一方は、

ノ、ッシュ関数である、

ことを特徴とするタグプライバシー保護方法。

[4] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F1は、

r, sを自然数とし、 hashを {0, 1 } *→{0, ΐ Γのハッシュ関数とし、 p E {0, 1 }^Sとした 場合における、ノ、ッシュ関数 H (x) =hash (P I X)であり、

上記第 2の関数 F2は、

q≡{0, 1 Γとし、 p≠qとした場合における、ハッシュ関数 G (x) =hash (q I x)であ る、

ことを特徴とするタグプライバシー保護方法。

[5] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F1は、

r, sを自然数とし、 hashを {0, 1}*→{0, 1Γのハッシュ関数とし、 p E {0, 1}^Sとし、 x に Pをパデイングしたものを pad (x, p)とした場合における、ノ、ッシュ関数 H (x) =has h (pad (x, p) )であり、

上記第 2の関数 F2は、

qe {0, 1Γとし、 p≠qとし、 Xに qをパデイングしたものを pad (x, q)とした場合にお ける、ハッシュ関数 G (x) = hash (pad (X, q) )である、

ことを特徴とするタグプライバシー保護方法。

[6] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F1は、

rを自然数とした場合における、 {0, 1 }*→{〇， 1Γのノ、ッシュ関数 H (x)であり、 上記第 2の関数 F2は、

rxを Xのビット反転とした場合における、

ノ、ッシュ関数 G (X) =F (rx)である、

ことを特徴とするタグプライバシー保護方法。

[7] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F 1及び上記第 2の関数 F2の少なくとも一方は、

共通鍵暗号関数である、

ことを特徴とするタグプライバシー保護方法。

[8] 請求項 2記載のタグプライバシー保護方法であって、

上記第 1の関数 F1及び上記第 2の関数 F2は、

異なる共通鍵を適用した同じ共通鍵暗号関数である、

ことを特徴とするタグプライバシー保護方法。

[9] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、 上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する第 1の秘密値 s が格納されており、

k k, i

上記バックエンド装置のデータベースメモリに、各タグ HD情報 id (η≡{1, m}) とそれらに対応する第 2の秘密値 s とが対応付けられて格納されており、

n， 1

上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記第 1の秘密値 s を読み出し、こ

k, i

れに定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、タグ 出力情報 F2(s )を生成し、

k, i

出力部において、上記タグ出力情報 F2(s )を出力し、

k, i

第 1の演算部において、上記秘密値メモリから上記第 1の秘密値 s を読み出し、こ

k, i

れに、逆像を求めることが困難な第 1の関数 F1を作用させ、その演算結果 Fl (s )

k, i を新たな第 1の秘密値 S として上記秘密値メモリに上書き保存し、

k, i +1

上記バックエンド装置が、

入力部において、上記タグ出力情報 F2(s )の入力を受け付け、

k, i

第 3の演算部において、上記データベースメモリから上記第 2の秘密値 s を読み

n， 1 出し、読み出した各第 2の秘密値 s に上記第 1の関数 F1を j回 (jE{0, j })作

n, 1 max 用させた後、さらに上記第 2の関数 F2を作用させ、

比較部において、上記タグ出力情報 F2(s )と上記第 3の演算部における演算結

k, i

果 F2(Fl^j(s ；))とを比較し、

n， 1

上記タグ出力情報 F2 (s ) -と上記演算結果 F2 (Fl^j (s ) )とが一致しなければ、

k, n， 1

n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部にお ける処理を再び行い、

上記タグ出力情報 F2(s )-と上記演算結果 F2(Fl^j(s ；))とが一致すれば、読出

k, n， 1

し部において、一致した上記演算結果 F2(Fl^j(s ；))に対応する上記第 2の秘密値

n， 1

s に対応付けられている上記タグ 情報 idを、上記データベースメモリから抽出す n， 1 n

る、

ことを特徴とするタグプライバシー保護方法。

[10] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する第 1の秘密値 s 及び第 1の固有値 wが格納されて

k k, i k

おり、

上記バックエンド装置のデータベースメモリに、各タグ HD情報 id_n(nE{l, m}) とそれらに対応する第 2の秘密値 s 及び第 2の固有値 wとが対応付けられて格納さ

n， 1 n

れており、

上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記第 1の秘密値 s を読み出し、こ

k, i

れに定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、タグ 出力情報 F2(s )を生成し、

k, i

出力部において、上記タグ出力情報 F2(s )を出力し、

k, i

第 1の演算部において、上記秘密値メモリから上記第 1の秘密値 s 及び上記第 1

k, i

の固有値 w

kを読み出し、これらのビット結合値に、逆像を求めることが困難な第 1の 関数 F1を作用させ、その演算結果 Fl (s I w)を新たな第 1の秘密値 s として

k, i k k, i +1 上記秘密値メモリに上書き保存し、

上記バックエンド装置が、

入力部において、上記タグ出力情報 F2(s )の入力を受け付け、

k, i

第 3の演算部において、上記データベースメモリから上記第 2の秘密値 s 及び上

n， 1 記第 2の固有値 wを読み出し、 I^j(n) =s (j = 0), I^j(n) =Fl(l^j"¹(n) | id ) (j≥l) とした場合における I^j(n)に、上記第 2の関数 F2を作用させた F2(I^j(n))を算出し、 比較部において、上記タグ出力情報 F2(s )と上記第 3の演算部における演算結

k, i

果 F2(I^j(n))とを比較し、

上記タグ出力情報 F2 (s )と上記演算結果 F2 (I^j (n) )とが一致しなければ、 n及び j

k, i

の少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部における処 理を再び行い、

上記タグ出力情報 F2 (s )と上記演算結果 F2 (I^j (n) )とが一致すれば、読出し部

k, i

にお 、て、一致した上記演算結果 F2 (I^j (n) )に対応する上記第 2の秘密値 s 及び 第 2の固有値 w_nに対応付けられて 、る上記タグ 情報 id_nを、上記データベースメモ リから抽出する、

ことを特徴とするタグプライバシー保護方法。

[11] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k (kE { l, m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する第 1の秘密値 s 及び第 1の固有値 wが格納されて

k k, i k

おり、

上記バックエンド装置のデータベースメモリに、各タグ HD情報 id_n (nE { l, m}) とそれらに対応する第 2の秘密値 s 及び第 2の固有値 wとが対応付けられて格納さ

n， 1 n

れており、

上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記第 1の秘密値 s 及び第 1の固

k, i

有値 W

kを読み出し、これらのビット結合値に、定義域の元とその写像との関係を撹乱 させる第 2の関数 F2を作用させて、タグ出力情報 F2 (s

k, i I w )を生成し、

k

出力部において、上記タグ出力情報 F2 (s

k, i I w )を出力し、

k

第 1の演算部において、上記秘密値メモリから上記第 1の秘密値 s を読み出し、読

k, i

み出した第 1の秘密値 s 〖こ、逆像を求めることが困難な第 1の関数 F1を作用させ、

k, i

その演算結果 Fl (s )を新たな上記第 1の秘密値 s として上記秘密値メモリに上

k, i k, i + 1

書き保存し、

上記バックエンド装置が、

入力部において、上記タグ出力情報 F2 (s

k, i I w )の入力を受け付け、

k

第 3の演算部において、上記データベースメモリから上記第 2の秘密値 s 及び上

n， 1 記第 2の固有値 wを読み出し、当該第 2の秘密値 s に上記第 1の関数 F1を j回 (j E

n n， 1

{0, j })作用させ、その結果 Fl^j (s )と当該第 2の固有値 wとのビット結合値 F max η, ι n l^j (s ) I wを求め、そのビット結合値 Fl^j (s ) I wに上記第 2の関数 F2を作用さ n， 1 n n， l n

せ、

比較部において、上記タグ出力情報 F2 (s I w )と上記第 3の演算部における演

k, i k 算結果 F2(Fl^j(s ) I w )とを比較し、

，

上記タグ出力情報 F2 (s

k, I w)と上記演算結果 F2 (Fl^j (s ) | w )とが一致しな k n, n

ければ、 n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比 較部における処理を再び行 ヽ、

上記タグ出力情報 F2 (s

, I w)と上記演算結果 F2 (Fl^j (s ) | w )とが一致すれ k k n, n

ば、読出し部において、一致した上記演算結果 F2(Fl^j(s )

n， i I w)に対応する上記 n

第 2の秘密値 s 及び第 2の固有値 wに対応付けられている上記タグ 情報 idを、 上記データベースメモリから抽出する、

ことを特徴とするタグプライバシー保護方法。

[12] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、各タグ 情報 idにそれぞれ対応する第 1の固有値 wと、複数のタグ 情報に対して同一 k k

の初期値 sをとる第 1の秘密値 sとが格納されており、

上記バックエンド装置のデータベースメモリに、各タグ HD情報 id (η≡{1, m}) 及びそれらに対応する第 2の固有値 wが対応付けられて格納されており、

上記バックエンド装置の演算値メモリに、複数のタグ HD情報で共用される第 2の秘 密値 sに第 1の関数 F1を j回 (jE{0, j })作用させた各第 1の演算結果 s 力 S

max ] + 1 格納されており、

上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記第 1の秘密値 s及び第 1の固有 値 wを読み出し、これらのビット結合値に、定義域の元とその写像との関係を撹乱さ k

せる第 2の関数 F2を作用させて、タグ出力情報 F2(s 、

i I w)を生成し

k

出力部において、上記タグ出力情報 F2(s

i I w)を出力し、

k

第 1の演算部において、上記秘密値メモリから上記第 1の秘密値 sを読み出し、読 み出した第 1の秘密値 sに、逆像を求めることが困難な第 1の関数 F1を作用させ、そ の演算結果 Fl (s )を新たな上記第 1の秘密値 s として上記秘密値メモリに上書き

i i+1

保存し、 上記バックエンド装置が、

入力部において、上記タグ出力情報 F2(s I w)の入力を受け付け、

i k

第 3の演算部において、上記データベースメモリから上記第 1の演算結果 s と上

j +l 記第 2の固有値 wとを読み出し、これらのビット結合値 s め、それに上記

n j + l I wを求

n

第 2の関数 F2を作用させ、

比較部において、上記タグ出力情報 F2(s

i I w )と上記第 3の演算部における演算 k

結果 F2(s

j + l I w )とを比較し、

n

上記タグ出力情報 F2 (s I w)と上記演算結果 F2 (s I w )とが一致しなければ

i k j + l n

、 n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部に おける処理を再び行い、

上記タグ出力情報 F2 (s I w)と上記演算結果 F2 (s

j + l I w )とが一致すれば、読 i k n

出し部において、一致した上記演算結果 F2(s I w )に対応する上記第 2の固有

j + l n

値 wに対応付けられている上記タグ 情報 idを、上記データベースメモリから抽出 する、

ことを特徴とするタグプライバシー保護方法。

[13] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、 d個（d ≥2)の要素 e (u≡{l, ···, d})力もなる組合せであって各タグ HD情報 idに対応

u, vu k するものが格納されており、

上記バックエンド装置のデータベースメモリに、 d種類（d≥2)のサブグループ α (u ≡{1, ···, d})から 1つずつ選択された d個の初期要素 f の組合せと、各タグ装置 n

u, 0

(η {1, m})のタグ HD情報 idとが、対応付けられて格納されており、 上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記 d個の要素 e を読み出し、こ れらのビット結合値である秘密値 S に、定義域の元とその写像との関係を撹乱させ

k, i

る第 2の関数 F2を作用させて、タグ出力情報 a =F2(s )を生成し、

k, i k, i

出力部において、上記タグ出力情報 a を出力し、

k, i 第 1の演算部において、上記秘密値メモリから少なくとも一部の要素 e , , (u' E {1

, ···, d})を抽出し、抽出した要素 e に、逆像を求めることが困難な第 1の関数 F1 を作用させ、その演算結果 Fl(e ,)を新たな要素 e , として上記秘密値メモリ に上書き保存し、

上記バックエンド装置が、

入力部において、上記タグ出力情報 a の入力を受け付け、

第 3の演算部において、上記タグ HD情報 idに対応する d個の初期要素 f (u≡{l ，

, ···, d})に、それぞれ上記第 1の関数 F1を w回 (w 2, ···, max})作用させ

、それらの値 Fl^f )のビット結合値に上記第 2の関数 F2を作用させた演算値 cを 求め、

比較部において、上記タグ出力情報 a と上記演算値 cとを比較し、

上記タグ出力情報 a と上記演算値 cとが一致しなければ、 n及び wの少なくとも一 部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び行 、、 上記タグ出力情報 a と上記演算値 cとが一致すれば、読出し部において、当該演 算値 cに対応する上記 d個の初期要素 f の組合せに対応付けられて!/、るタグ 情 報 idを、上記データベースメモリから抽出する、

ことを特徴とするタグプライバシー保護方法。

[14] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、 d個（d ≥2)の要素 e (u≡{l, ···, d})力もなる組合せであって各タグ HD情報 idに対応 するもの、及び各タグ HD情報 idに固有な固有値 γ が格納されており、

上記バックエンド装置のデータベースメモリに、 d種類（d≥2)のサブグループ α (u ≡{1, ···, d})から 1つずつ選択された d個の初期要素 f の組合せと、各タグ HD情 報 id (η {1, m})に固有な固有値 γ と、各タグ HD情報 idとが、対応付けられ て格納されており、

上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記 d個の要素 e 及び上記固有 値 γ を読み出し、これらのビット結合値である秘密値 s 〖こ、定義域の元とその写像 k k, i

との関係を撹乱させる第 2の関数 F2を作用させて、タグ出力情報 a =F2 (s )を生

k, i k, i 成し、

出力部において、上記タグ出力情報 a を出力し、

k, i

第 1の演算部において、上記秘密値メモリから少なくとも一部の要素 e , (u' e { 1

, · · ·, d})を抽出し、抽出した要素 e に、逆像を求めることが困難な第 1の関数 F1 を作用させ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密値メモリ に上書き保存し、

上記バックエンド装置が、

入力部において、上記タグ出力情報 a の入力を受け付け、

k, i

第 3の演算部において、上記タグ Iひ f青報 idに対応する上記 d個の初期要素 f (u ，

· · ·, d})にそれぞれ上記第 1の関数 Fl^w回 (w 2, · · ·, max})作用さ せ、

)と上記固有値 γ とのビット結合値に上記第 2の関数 F2を

11，

作用させた演算値 を求め、

比較部において、上記タグ出力情報 a と上記演算値 cとを比較し、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しなければ、 n及び wの少なくとも一

k, i u

部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び行 、、 上記タグ出力情報 a と上記演算値 cとが一致すれば、読出し部において、当該演

k, i

算値 cに対応する複数の初期要素 f の組合せに対応付けられて!/、るタグ Iひ f青報 id

u,

を、上記データベースメモリから抽出する、

ことを特徴とするタグプライバシー保護方法。

[15] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k (kE { l, m} , mはタグ装置の総数)の秘密値メモリに、 d個（d ≥1)の要素 e (u { l, · · ·, d})が格納されており、

上記各タグ装置 kの第 1の多様値メモリに、 t種類 (t≥ 2)の値の多様値 zが格納され ており、

上記バックエンド装置のデータベースメモリに、 d種類（d≥ 1)のサブグループ a (u ≡{ 1, · · ·, d})から 1つずつ選択された d個の初期要素 f の組合せと、各タグ装置の

u, 0

タグ HD情報 id (η { 1, m})とが対応付けられて格納されており、

上記バックエンド装置の第 2の多様値メモリに、上記多様値 zが格納されており、 上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記各要素 e を読み出し、上記第

1の多様値メモリから何れかの上記多様値 zを読み出し、これらのビット結合値である 秘密値 s 〖こ、定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用さ k, i

せたタグ出力情報 a =F2 (s )を生成し、

k, i k, i

出力部において、上記タグ出力情報 a を出力し、

k, i

上記出力部が上記タグ出力情報 a を t回出力するたびに、第 1の演算部において

k, i

、上記秘密値メモリから少なくとも一部の要素 e (u' e { l, · · ·, d})を抽出し、抽 出した要素 e 〖こ、逆像を求めることが困難な第 1の関数 F1を作用させ、その演算 結果 Fl (e )を新たな要素 e として上記秘密値メモリに上書き保存し、

1

上記バックエンド装置が、

入力部において、上記タグ出力情報 a の入力を受け付け、

k, i

第 3の演算部において、上記タグ Iひ f青報 idに対応する上記 d個の初期要素 f (u

n ti， 0

≡{ 1, · · ·, d})に、それぞれ上記第 1の関数 Flを w回 (w ≡{ 1, 2, · · ·, max})作用 させ、それらの値 Fl^f )と上記多様値 zとのビット結合値に上記第 2の関数 F2を

u, 0

作用させた演算値 cを求め、

比較部において、上記タグ出力情報 a と上記演算値 cとを比較し、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しなければ、 n、 w及び zの少なくとも

k, i u

一部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び行 い、

上記タグ出力情報 a と上記演算値 cとが一致すれば、読出し部において、当該演

k, i

算値 cに対応する上記 d個の初期要素 f の組合せに対応付けられて!/、るタグ 情

u, 0

報 idを、上記データベースメモリから抽出する、

ことを特徴とするタグプライバシー保護方法。

[16] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 k(kE{l, m}, mはタグ装置の総数)の秘密値メモリに、 d個（d ≥2)の要素 e (u {l, ···, d})が格納されており、

上記各タグ装置 kの第 1の多様値メモリに、各 uに対して t種類 (t ≥ 2)の値をとる 多様値 zが格納されており、

バックエンド装置のデータベースメモリに、 d種類（d≥ 1)のサブグループ at (u≡ { 1, ···, d})から 1つずつ選択された d個の初期要素 f の組合せと、各タグ装置のタ

u, 0

グ HD情報 id (η {1, m})とが対応付けられて格納されており、

上記バックエンド装置の第 2の多様値メモリに、上記多様値 zが格納されており、 上記タグ装置が、

第 2の演算部において、上記秘密値メモリから上記各要素 e を読み出し、上記第

1の多様値メモリから各 uについて何れかの上記多様値 zを読み出し、これらの e 及び _zのビット結合値である秘密値 S 〖こ、定義域の元とその写像との関係を撹乱さ

k, i

せる第 2の関数 F2を作用させて、タグ出力情報 a =F2(s )を生成し、

k, i k, i

出力部において、上記タグ出力情報 a を出力し、

k, i

上記出力部が上記タグ出力情報 a を所定回数出力するたびに、第 1の演算部に

k, i

おいて、上記秘密値メモリから少なくとも一部の要素 e (u ≡{l, ···, d})を抽出 し、抽出した要素 e 〖こ、逆像を求めることが困難な第 1の関数 F1を作用させ、そ の演算結果 Fl (e ,)を新たな要素 e として上記秘密値メモリに上書き保存

11， 丄

し、

上記バックエンド装置が、

入力部において、上記タグ出力情報 a の入力を受け付け、

k, i

第 3の演算部において、上記タグ HD情報 idに対応する d個の初期要素 f (u≡{l

n ti， 0

, ···, d})に、それぞれ上記第 1の関数 Flを w回 (w 2, ···, max})作用させ

、それらの値 Fl^f )と上記多様値 zとのビット結合値に上記第 2の関数 F2を作

11， 0 u

用させた演算値 c求め、

比較部において、上記タグ出力情報 a と上記演算値 cとを比較し、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しなければ、 n、 w、 zの少なくとも一

k, i u 部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び行 、、 上記タグ出力情報 a と上記演算値 cとが一致すれば、読出し部において、当該演

k, i

算値 cに対応する複数の初期要素 f の組合せに対応付けられて!/ヽるタグ 情報 id

u, 0

を、上記データベースメモリから抽出する、

ことを特徴とするタグプライバシー保護方法。

[17] タグ自動認識システムに使用されるタグ装置であって、

タグ 情報に対応する秘密値が格納された秘密値メモリと、

上記秘密値メモリに接続され、この秘密値メモリから上記秘密値を読み出し、これに 定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、タグ出力 情報を生成する第 2の演算部と、

上記タグ出力情報を出力する出力部と、

上記秘密値メモリから上記秘密値の少なくとも一部の要素を読み出し、これに、写 像を求めることが困難な第 1の関数 F1を作用させ、その演算結果で上記秘密値メモ リ内の上記秘密値を上書き更新する第 1の演算部と、

を有することを特徴とするタグ装置。

[18] タグ自動認識システムに使用されるバックエンド装置であって、

各タグ ID情報とそれらに対応する秘密値とが対応付けられたデータベースメモリと タグ出力情報の入力を受け付ける入力部と、

上記データベースメモリの秘密値の少なくとも一部の要素に、タグ装置で使用され た第 1の関数 F1を所定回数作用させた後、さらに当該タグ装置で使用された第 2の 関数を作用させる演算部と、

上記演算部における上記演算結果と上記タグ出力情報とを順次比較する比較部と これらが一致した場合、一致した演算結果に対応する上記秘密値に対応付けられ ている上記タグ HD情報を、上記データベースメモリから抽出する読出し部と、 を有することを特徴とするバックエンド装置。

[19] タグ自動認識システムに使用されるタグ装置であって、 タグ Iひ f青報 idに対応する第 1の秘密値 s が格納された秘密値メモリと、

k k, i

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 s を読み出

k, i

し、これに定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、 タグ出力情報 F2 (s )を生成する第 2の演算部と、

k, i

上記タグ出力情報 F2 (s )を出力する出力部と、

k, i

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 S を読み出

k, i

し、これに、逆像を求めることが困難な第 1の関数 F1を作用させ、その演算結果 Fl ( s )を新たな第 1の秘密値 s として上記秘密値メモリに上書き保存する第 1の演 k, i k, i +1

算部と、

を有することを特徴とするタグ装置。

[20] 請求項 19記載のタグ装置であって、

上記第 1の秘密値の更新回数 rnをカウントするカウンタをさらに有し、

上記出力部は、さらに、この更新回数 rnを特定する情報を出力する、

ことを特徴とするタグ装置。

[21] タグ自動認識システムに使用されるタグ装置であって、

タグ Iひ f青報 idに対応する第 1の秘密値 s 及び第 1の固有値 wが格納された秘密

k k, i k

値メモリと、

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 s を読み出

k, i

し、これに定義域の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、 タグ出力情報 F2 (s )を生成する第 2の演算部と、

k, i

上記タグ出力情報 F2 (s )を出力する出力部と、

k, i

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 S 及び上記

k, i

第 1の固有値 wを読み出し、これらのビット結合値に、逆像を求めることが困難な第 1

k

の関数 F1を作用させ、その演算結果 Fl (s

k, i I w )を新たな第 1の秘密値 s とし k k, i + 1 て上記秘密値メモリに上書き保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[22] タグ自動認識システムに使用されるバックエンド装置であって、

各タグ HD情報 id (η≡{ 1, m} , mはタグ装置の総数）とそれらに対応する第 2の 秘密値 s とが対応付けられたデータベースメモリと、

n， 1

タグ出力情報 F2 (s )の入力を受け付ける入力部と、

k, i

上記データベースメモリに接続され、このデータベースメモリから上記第 2の秘密値 s を読み出し、読み出した各第 2の秘密値 s にタグ装置で使用された第 1の関数 n, 1 n, 1

Flを j回 (j E {0, j })作用させた後、さらに当該タグ装置で使用された第 2の関

max

数 F2を作用させる第 3の演算部と、

上記タグ出力情報 F2 (s )と上記第 3の演算部における演算結果 F2 (Fl^j (s ) )

k, n， 1 とを比較する比較部と、

上記タグ出力情報 F2 (s ) -と上記演算結果 F2 (Fl^j (s ；) )とが一致しない場合、

k, n, 1

n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部にお ける処理を再び実行させる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 F2 (s ) -と上記演算結果

k, i

F2 (Fl^j (s ) )とが一致した場合、一致した上記演算結果 F2 (Fl^j (s ) )に対応す

n, 1 n, 1

る上記第 2の秘密値 s に対応付けられている上記タグ Iひ f青報 idを、上記データべ

n， 1 n

ースメモリから抽出する読出し部と、

を有することを特徴とするバックエンド装置。

[23] 請求項 22記載のバックエンド装置であって、

上記入力部は、

さらに、タグ装置における 1の秘密値の更新回数 rnを特定する情報の入力を受け 付け、

上記第 3の演算部は、上記読み出した各第 2の秘密値 s に上記第 1の関数 F1を j

n， 1

=rn回作用させた後、さらに上記第 2の関数 F2を作用させ、

上記制御部は、

上記タグ出力情報 F2 (s ) -と上記演算結果 F2 (Fl^] (s ；) )とが一致しない場合、

k, n， 1

nの値を変化させて、上記第 3の演算部及び上記比較部における処理を再び実行さ せる、

ことを特徴とするノックエンド装置。

[24] 請求項 22記載のバックエンド装置であって、 上記データベースメモリは、

上記第 3の演算部における演算結果 F2 (Fl^j (s ；) )を上記第 2の秘密値 s に対

n, 1 n, 1 応付けて格納し、

上記比較部は、

上記データベースメモリに格納された演算結果 F2 (Fl^j (s ；) )を用い、上記比較処

n， 1

理を行う、

ことを特徴とするノックエンド装置。

[25] タグ自動認識システムに使用されるバックエンド装置であって、

各タグ HD情報 id (η≡{ 1, m})とそれらに対応する第 2の秘密値 s 及び第 2の

n n， 1

固有値 Wとが対応付けられて格納されたデータベースメモリと、

上記タグ出力情報 F2 (s )の入力を受け付ける入力部と、

k, i

上記データベースメモリに接続され、このデータベースメモリから上記第 2の秘密値 s 及び上記第 2の固有値 wを読み出し、 I^j (n) = s (j = 0) , I^j (n) =Fl (l^j"¹ (n) | n, 1 n n, 1

id_n) (j≥l)とした場合における I^j (n)に、上記第 2の関数 F2を作用させた F2 (I^j (n) ) を算出する第 3の演算部と、

上記タグ出力情報 F2 (s )と上記第 3の演算部における演算結果 F2 (I^j (n) )とを比

k, i

較する比較部と、

上記タグ出力情報 F2 (s )と上記演算結果 F2 (I^j (n) )とが一致しな ヽ場合、 n及び

k, i

jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部における処 理を再び実行させる制御部と、

上記タグ出力情報 F2 (s )と上記演算結果 F2 (I^j (n) )とが一致した場合、一致した

k, i

上記演算結果 F2 (I^j (n) )に対応する上記第 2の秘密値 s 及び第 2の固有値 wに

n， 1 n 対応付けられている上記タグ 情報 idを、上記データベースメモリから抽出する読 出し部と、

を有することを特徴とするバックエンド装置。

[26] タグ自動認識システムに使用されるタグ装置であって、

タグ Iひ f青報 idに対応する第 1の秘密値 s 及び第 1の固有値 wが格納された秘密

k k, i k

値メモリと、 上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 s 及び第 1

k, i

の固有値 Wを読み出し、これらのビット結合値に、定義域の元とその写像との関係を

k

撹乱させる第 2の関数 F2を作用させて、タグ出力情報 F2 (s )を生成する第 2

k, i I w

k

の演算部と、

上記タグ出力情報 F2 (s

k, i I w )を出力する出力部と、

k

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 s を読み出

k, i

し、読み出した第 1の秘密値 s 〖こ、逆像を求めることが困難な第 1の関数 F1を作用

k, i

させ、その演算結果 Fl (s )を新たな上記第 1の秘密値 s として上記秘密値メモ

k, i k, i +1

リに上書き保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[27] タグ自動認識システムに使用されるバックエンド装置であって、

各タグ HD情報 id (η≡{ 1, m})とそれらに対応する第 2の秘密値 s 及び第 2の

n n， 1

固有値 Wとが対応付けられて格納されたデータベースメモリと、

タグ出力情報 F2 (s

k, i I w )の入力を受け付ける入力部と、

k

上記データベースメモリに接続され、このデータベースメモリから上記第 2の秘密値 s 及び上記第 2の固有値 wを読み出し、当該第 2の秘密値 s にタグ装置で使用 n, 1 n n, 1

された第 1の関数 Fl 回 (j E {0, j })作用させ、その結果 Fl^j (s )と当該第 2

max η, ι

の固有値 wとのビット結合値 Fl^j (s ) I wを求め、そのビット結合値 Fl^j (s ) I w に当該タグ装置で使用された第 2の関数 F2を作用させる第 3の演算部と、

上記タグ出力情報 F2 (s I w )と上記第 3の演算部における演算結果 F2 (Fl^j (s

k, i k n

.) I w_n)とを比較する比較部と、

上記タグ出力情報 F2 (s

k, I w )と上記演算結果 F2 (Fl^j (s ) | w )とが一致しな k n, n

い場合、 n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比 較部における処理を再び実行させる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 F2 (s と上記演算

k, i I w )

k

結果 F2 (Fl^j (s ) I w )とが一致した場合、一致した上記演算結果 F2 (Fl^j (s ) |

n, η η, ι w )に対応する上記第 2の秘密値 s 及び第 2の固有値 w_nに対応付けられて ヽる上 記タグ 情報 idを、上記データベースメモリから抽出する読出し部と、 を有することを特徴とするバックエンド装置。

[28] タグ自動認識システムに使用されるタグ装置であって、

各タグ 情報 idにそれぞれ対応する第 1の固有値 wと、複数のタグ 情報に対し

k k

て同一の初期値 sをとる第 1の秘密値 sとが格納された秘密値メモリと、

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 s及び第 1の 固有値 wを読み出し、これらのビット結合値に、定義域の元とその写像との関係を撹

k

乱させる第 2の関数 F2を作用させて、タグ出力情報 F2 (s する第 2演算

i I w )を生成

k

部と、

上記タグ出力情報 F2 (s

i I w )を出力する出力部と、

k

上記秘密値メモリに接続され、この秘密値メモリから上記第 1の秘密値 sを読み出し 、読み出した第 1の秘密値 sに、逆像を求めることが困難な第 1の関数 F1を作用させ 、その演算結果 Fl (s )を新たな上記第 1の秘密値 s として上記秘密値メモリに上書

i i+ 1

き保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[29] タグ自動認識システムに使用されるバックエンド装置であって、

各タグ HD情報 id (η≡{ 1, m})及びそれらに対応する第 2の固有値 wが対応 付けられて格納されたデータベースメモリと、

複数のタグ HD情報で共用される第 2の秘密値 sに、タグ装置で使用された第 1の関 数 F1を j回 (j E {0, j })作用させた各第 1の演算結果 s が格納された演算値

max ] + 1

メモリと、

タグ出力情報 F2 (s

i I w )の入力を受け付ける入力部と、

k

上記データベースメモリに接続され、このデータベースメモリから上記第 1の演算結 果 s と上記第 2の固有値 wとを読み出し、これらのビット結合値 s I wを求め、そ j+ l n j+ 1 n れに上記タグ装置で使用された第 2の関数 F2を作用させる第 3の演算部と、

上記タグ出力情報 F2 (s I w )と上記第 3の演算部における演算結果 F2 (s i k j + l I w

n

)とを比較する比較部と、

上記タグ出力情報 F2 (s

i I w )と上記演算結果 F2 (s

k j + l I w )とが一致しな 、場合

n

、 n及び jの少なくとも一方の値を変化させて、上記第 3の演算部及び上記比較部に おける処理を再び実行させる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 F2(s | w)と上記演算結

i k

果 F2 (s I w )とが一致した場合、一致した上記演算結果 F2 (s | w )に対応す j+l n j+1 n

る上記第 2の固有値 wに対応付けられている上記タグ 情報 idを、上記データべ ースメモリから抽出する読出し部と、

を有することを特徴とするバックエンド装置。

[30] タグ自動認識システムに使用されるタグ装置であって、

d個（d≥2)の要素 e (u {l, ···, d})力 なる組合せであって各タグ HD情報 id

u, vu k に対応するものが格納された秘密値メモリと、

上記秘密値メモリに接続され、この秘密値メモリから上記 d個の要素 e を読み出 し、これらのビット結合値である秘密値 S に、定義域の元とその写像との関係を撹乱

k, i

させる第 2の関数 F2を作用させて、タグ出力情報 a =F2(s )を生成する第 2の演

k, i k, i

算部と、

上記タグ出力情報 a を出力する出力部と、

k, i

上記秘密値メモリに接続され、この秘密値メモリから少なくとも一部の要素 e , (u

u ,

'≡{1, ···, d})を抽出し、抽出した要素 e に、逆像を求めることが困難な第 1の 関数 F1を作用させ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密

+1

値メモリに上書き保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[31] タグ自動認識システムに使用されるバックエンド装置であって、

d種類（d≥2)のサブグループ α (u≡{l, ···, d})から 1つずつ選択された d個の 初期要素 f の組合せと、各タグ装置 n(nE {1, m, mはタグ装置の総数 })のタ

u, 0

グ 情報 idとが、対応付けられて格納されたデータベースメモリと、

タグ出力情報 a の入力を受け付ける入力部と、

k, i

上記タグ 情報 idに対応する d個の初期要素 f (u≡{i, ···, d})に、それぞれ

n ti， 0

上記第 1の関数 Flを w回 (w 2, ···, max})作用させ、それらの値 F^^f )

u u 11， 0 のビット結合値に上記第 2の関数 F2を作用させた演算値 cを求める第 3の演算部と、 上記タグ出力情報 a と上記演算値 cとを比較する比較部と、

k, i 上記タグ出力情報 a と上記演算値 cとが一致しない場合、 n及び wの少なくとも一

k, i u

部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び実行さ せる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 a と上記演算値 cとが一致

k, i

する場合、当該演算値 Cに対応する上記 d個の初期要素 f の組合せに対応付けら

u, 0

れているタグ HD情報 idを、上記データベースメモリから抽出する読出し部と、 とを有することを特徴とするバックエンド装置。

[32] タグ自動認識システムに使用されるタグ装置であって、

d個（d≥2)の要素 e (u { l, · · ·, d})力 なる組合せであって各タグ HD情報 id に対応するもの、及び各タグ HD情報 idに固有な固有値 γ が格納された秘密値メモ

k k

リと、

上記秘密値メモリに接続され、この秘密値メモリから上記 d個の要素 e 及び上記 固有値 γ を読み出し、これらのビット結合値である秘密値 s 〖こ、定義域の元とその

k k, i

写像との関係を撹乱させる第 2の関数 F2を作用させて、タグ出力情報 a =F2 (s )

k, i k, i を生成する第 2の演算部と、

上記タグ出力情報 a を出力する出力部と、

k, i

上記秘密値メモリに接続され、この秘密値メモリから少なくとも一部の要素 e (u

'≡{ 1, · · ·, d})を抽出し、抽出した要素 e , ，に、逆像を求めることが困難な第 1の 関数 F1を作用させ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密 値メモリに上書き保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[33] タグ自動認識システムに使用されるバックエンド装置であって、

d種類（d≥2)のサブグループ α (u≡{ l, · · ·, d})から 1つずつ選択された d個の 初期要素 f の組合せと、各タグ HD情報 id (η≡{ 1, m})に固有な固有値 γ と、 ， 0 η η 各タグ 情報 idとが、対応付けられて格納されたデータベースメモリと、

タグ出力情報 a の入力を受け付ける入力部と、

k, i

上記タグ HD情報 idに対応する上記 d個の初期要素 f (u≡{ l, · · ·, d})にそれぞ

n ， 0

れ上記第 1の関数 Fl^w回 (w 2, · · ·, max})作用させ、それらの値 F^^f )と上記固有値 γ とのビット結合値に上記第 2の関数 F2を作用させた演算値 cを求

， 0 n

める第 3の演算部と、

上記タグ出力情報 a と、上記演算値 cとを比較する比較部と、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しない場合、 n及び wの少なくとも一

k, i u

部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び実行さ せる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 a と上記演算値 cとが一致

k, i

する場合、当該演算値 Cに対応する複数の初期要素 f

u, 0の組合せに対応付けられて いるタグ HD情報 idを、上記データベースメモリから抽出する読出し部と、

を有することを特徴とするバックエンド装置。

[34] タグ自動認識システムに使用されるタグ装置であって、

d個（d≥l)の要素 e (u≡{ l, · · ·, d})が格納された秘密値メモリと、

t種類 (t≥2)の値の多様値 zが格納された第 1の多様値メモリと、

上記秘密値メモリ及び上記第 1の多様値メモリに接続され、この秘密値メモリから上 記各要素 e を読み出し、この第 1の多様値メモリから何れかの上記多様値 zを読み 出し、これらのビット結合値である秘密値 S 〖こ、定義域の元とその写像との関係を撹

k, i

乱させる第 2の関数 F2を作用させたタグ出力情報 a =F2 (s )を生成する第 2の演

k, i k, i

算部と、

上記タグ出力情報 a を出力する出力部と、

k, i

上記秘密値メモリに接続され、上記出力部が上記タグ出力情報 a を t回出力する

k, i

たびに、上記秘密値メモリから少なくとも一部の要素 e (u ≡{ 1, · · ·, d})を抽出 し、抽出した要素 e 〖こ、逆像を求めることが困難な第 1の関数 F1を作用させ、そ の演算結果 Fl (e )を新たな要素 e として上記秘密値メモリに上書き保存

+1

する第 1の演算部と、

を有することを特徴とするタグ装置。

[35] 請求項 34記載のタグ装置であって、

上記第 1の演算部が、上記秘密値メモリの上記要素の更新を行わない間、上記第 2 の演算部が上記タグ出力情報 a の生成に使用する上記多様値 zは、当該タグ出力

k, i 情報 a を生成するたびに異なる、

k, i

ことを特徴とするタグ装置。

[36] タグ自動認識システムに使用されるバックエンド装置であって、

d種類（d≥l)のサブグループ α (u≡{ l, · · ·, d})から 1つずつ選択された d個の 初期要素 f の組合せと、各タグ装置のタグ HD情報 id (η≡{ 1, m})とが対応付 ， 0

けられて格納されたデータベースメモリと、

t種類 (t≥2)の値の多様値 zが格納された第 2の多様値メモリと、

タグ出力情報 a の入力を受け付ける入力部と、

k, i

上記タグ Iひ f青報 idに対応する上記データベースメモリの上記 d個の初期要素 f ( ， 0 u≡{ l, · · ·, d})に、それぞれ上記第 1の関数 F1を w回 (w ≡{ 1, 2, · · ·, max})作 用させ、それらの値 Fl^f )と上記第 2の多様値メモリの上記多様値 zとのビット結

u, 0

合値に上記第 2の関数 F2を作用させた演算値 cを求める第 3の演算部と、

上記タグ出力情報 a と上記演算値 cとを比較する比較部と、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しな 、場合、 n、 w及び zの少なくとも

k, i u

一部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び実 行させる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 a と上記演算値 cとが一致

k, i

する場合、当該演算値 Cに対応する上記 d個の初期要素 f の組合せに対応付けら

u, 0

れているタグ HD情報 idを、上記データベースメモリから抽出する読出し部と、 を有することを特徴とするバックエンド装置。

[37] タグ自動認識システムに使用されるタグ装置であって、

d個（d≥2)の要素 e (u≡{ l, · · ·, d})が格納された秘密値メモリと、

各 uに対して t種類 (t ≥2)の値をとる多様値 _Zが格納された第 1の多様値メモリと 上記秘密値メモリ及び上記第 1の多様値メモリに接続され、この秘密値メモリから上 記各要素 e を読み出し、この第 1の多様値メモリから各 uについて何れかの上記多 様値 zを読み出し、これらの e 及び zのビット結合値である秘密値 s に、定義域 u u, vu u k, の元とその写像との関係を撹乱させる第 2の関数 F2を作用させて、タグ出力情報 a

k, i =F2 (s )を生成する第 2の演算部と、

k, i

上記タグ出力情報 a を出力する出力部と、

k, i

上記秘密値メモリに接続され、上記出力部が上記タグ出力情報 a を所定回数出

k, i

力するたびに、上記秘密値メモリから少なくとも一部の要素 e , (u E { 1, · · ·, d})

u , u

を抽出し、抽出した要素 e , ，に、逆像を求めることが困難な第 1の関数 F1を作用さ せ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密値メモリに上書き

+ 1

保存する第 1の演算部と、

を有することを特徴とするタグ装置。

[38] 請求項 37記載のタグ装置であって、

上記第 1の演算部は、

上記出力部が上記タグ出力情報 a を出力するたびに、上記秘密値メモリから少な

k, i

くとも一部の要素 e を抽出し、抽出した要素 e に上記第 1の関数 F1を作用さ せ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密値メモリに上書き

+ 1

保存する、

ことを特徴とするタグ装置。

[39] 請求項 37記載のタグ装置であって、

上記第 1の演算部は、

上記出力部が上記タグ出力情報 a を∑ ^dt回出力するたびに、上記秘密値メモ リから少なくとも一部の要素 e を抽出し、抽出した要素 e に上記第 1の関数 F

1を作用させ、その演算結果 Fl (e ,)を新たな要素 e として上記秘密値メモ

+ 1

リに上書き保存する、

ことを特徴とするタグ装置。

[40] 請求項 39記載のタグ装置であって、

上記第 1の演算部が、上記秘密値メモリの上記要素の更新を行わない間、上記第 2 の演算部が上記タグ出力情報 a の生成に使用する上記多様値 z (u { l, · · ·, d})

k, i u

の組合せは、当該タグ出力情報 a を生成するたびに異なる、

k, i

ことを特徴とするタグ装置。

[41] タグ自動認識システムに使用されるバックエンド装置であって、 d種類（d≥l)のサブグループ α (u≡{ l, · · ·, d})から 1つずつ選択された d個の 初期要素 f の組合せと、各タグ装置のタグ HD情報 id (η≡{ 1, m})とが対応付

11， 0 n

けられて格納されたデータベースメモリと、

各 uに対して t種類 (t ≥ 2)の値をとる多様値 _Zが格納された第 2の多様値メモリと タグ出力情報 a の入力を受け付ける入力部と、

k, i

上記タグ HD情報 idに対応する上記 d個の初期要素 f (u≡{ l, · · ·, d})に、それ

n ti， 0

ぞれタグ装置で使用された第 1の関数 Flを w回 (w 2, · · ·, max})作用させ、 それらの値 Fl^if )と上記多様値 zとのビット結合値に、当該タグ装置で使用され

11， 0 u

た第 2の関数 F2を作用させた演算値 cを求める第 3の演算部と、

上記タグ出力情報 a と上記演算値 cとを比較する比較部と、

k, i

上記タグ出力情報 a と上記演算値 cとが一致しな 、場合、 n、 w及び zの少なくとも

k, i u

一部の値を変化させて、上記第 3の演算部及び上記比較部における処理を再び実 行させる制御部と、

上記データベースメモリに接続され、上記タグ出力情報 a と上記演算値 cとが一致

k, i

する場合、当該演算値 Cに対応する上記 d個の初期要素 f の組合せに対応付けら

u, 0

れているタグ HD情報 idを、上記データベースメモリから抽出する読出し部と、 を有することを特徴とするバックエンド装置。

[42] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置の秘密値メモリに、それぞれのタグ 情報 idを秘匿ィ匕した秘匿化 I

h

ひ f青報 Sidが格納されており、

h

上記タグ装置が、

読書き部にぉ 、て、その上記秘密値メモリに格納されて 、る上記秘匿化 情報 sid を読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを、上記各タグ装置の外部に設け

h

られた更新装置に対して出力し、

上記更新装置が、 第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

更新部において、上記秘匿ィ匕 情報 sidとの関連性の把握が困難な新たな秘匿 h

ィ匕 Iひ f青報 sid 'を生成し、

h

第 2の出力部において、上記新たな秘匿化 HD情報 sid 'を上記タグ装置に対して h

出力し、

上記タグ装置が、

第 2の入力部において、上記新たな秘匿ィ匕 HD情報 sid，の入力を受け付け、

h

上記読書き部において、上記新たな秘匿ィ匕 HD情報 sid 'を上記秘密値メモリに格 h

納する、

ことを特徴とするタグプライバシー保護方法。

[43] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 h (hE { l , m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応付けられたランダム値 rである秘匿ィ匕 情報 sidが格 h h h 納されており、

上記各タグ装置 hの外部に設けられた更新装置の秘匿化 IDメモリに、上記各タグ I ひ f青報 idと、当該タグ 情報 idに対応する上記ランダム値 rである上記秘匿化 ID

h h h

情報 Sidと、が対応付けられて格納されており、

h

上記タグ装置 hが、

第 1の読書き部において、その上記秘密値メモリに格納されている上記秘匿化 ID 情報 sidを読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを上記更新装置に対して出力し、 h

上記更新装置が、

第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

ランダム値生成部において、新たなランダム値 r 'を生成し、

h

第 2の読書き部において、上記入力された上記秘匿化 情報 sidに対応するタグ I

h

ひ f青報 idを上記秘匿化 IDメモリから選択し、これに上記新たなランダム値 r，を新た h h な秘匿ィ匕 情報 sid，として対応付けて当該秘匿化 IDメモリに格納し、

h 第 2の出力部において、上記新たな秘匿化 HD情報 sid 'を上記タグ装置 hに対して h

出力し、

上記タグ装置 hが、

第 2の入力部において、上記新たな秘匿ィ匕 HD情報 sid，の入力を受け付け、

h

上記読書き部において、上記新たな秘匿ィ匕 HD情報 sid 'を上記秘密値メモリに格 h

納する、

ことを特徴とするタグプライバシー保護方法。

[44] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 h (hE { l , m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する、共通鍵暗号方式による第 1の暗号文と、その暗号 h

化に用いた共通鍵 k ..., η} , ηはタグ装置の総数)の鍵 HD情報 kidと、を有 する秘匿化 情報 sidを格納しておき、

h

上記各タグ装置 hの外部に設けられた更新装置の鍵メモリに、上記各鍵 情報 kid と上記各共通鍵 kとを対応つけて格納しておき、

上記タグ装置 hが、

第 1の読書き部において、その上記秘密値メモリに格納されている上記秘匿化 ID 情報 sidを読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを上記更新装置に対して出力し、 h

上記更新装置が、

第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

第 2の読書き部において、上記秘匿ィ匕 情報 sidが具備する上記鍵 Iひ f青報 kidに h j 対応する上記共通鍵 kを上記鍵メモリから抽出し、

ID抽出部において、上記第 2の読書き部が抽出した上記共通鍵 kを用いて上記第

1の暗号文を復号し、タグ Iひ f青報 idを抽出し、

h

暗号化部において、上記 ID抽出部が抽出した上記タグ HD情報 idと、その抽出に h

用いられた上記共通鍵 kとを用い、上記第 1の暗号文との関連性の把握が困難な第

2の暗号文を生成し、 第 2の出力部において、上記第 2の暗号文と、その共通鍵 kの上記鍵 HD情報 kidと

、を有する新たな秘匿ィ匕 情報 sid 'を上記タグ装置 hに対して出力し、

h

上記タグ装置 hが、

第 2の入力部において、上記新たな秘匿ィ匕 HD情報 sid，の入力を受け付け、

h

上記第 1の読書き部において、上記新たな秘匿ィ匕 HD情報 sid，を上記秘密値メモリ h

に格納する、

ことを特徴とするタグプライバシー保護方法。

[45] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 h (hE { l , m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する公開鍵暗号方式による第 1の暗号文と、その鍵ペア h

(sk , pk ) (skは秘密鍵, pkは公開鍵, ≡{ 1, ···, n} , nはタグ装置の総数）の鍵 ID 情報 kidと、を有する秘匿ィ匕 情報 sidを格納しておき、

j h

上記各タグ装置 hの外部に設けられた更新装置の鍵メモリに、上記各鍵 情報 kid と上記各鍵ペア（sk , pk )とを対応つけて格納しておき、

] ] ]

上記タグ装置 hが、

第 1の読書き部において、その上記秘密値メモリに格納されている上記秘匿化 ID 情報 sidを読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを上記更新装置に対して出力し、 h

上記更新装置が、

第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

第 2の読書き部において、上記第 1の入力部に入力された上記秘匿ィ匕 HD情報 sid h が具備する上記鍵 情報 kidに対応する鍵ペア（sk , pk )を上記鍵メモリから抽出し

ID抽出部において、上記第 2の読書き部が抽出した上記秘密鍵 skを用いて上記 第 1の暗号文を復号し、上記タグ Iひ f青報 idを抽出し、

h

暗号化部において、上記 ID抽出部が抽出した上記タグ 情報 idと、上記第 2の読 h

書き部が抽出した上記公開鍵 pkとを用い、上記第 1の暗号文との関連性の把握が 困難な第 2の暗号文を生成し、

第 2の出力部において、上記第 2の暗号文と、その上記鍵ペア（sk , pk )の上記鍵 I ひ f青報 kidと、を有する新たな秘匿ィ匕 情報 sid 'を上記タグ装置 hに対して出力し、 j h

上記タグ装置 hが、

第 2の入力部において、上記新たな秘匿ィ匕 HD情報 sid，の入力を受け付け、

h

上記読書き部において、上記新たな秘匿ィ匕 HD情報 sid 'を上記秘密値メモリに格 h

納する、

ことを特徴とするタグプライバシー保護方法。

[46] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 h (hE { l , m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ Iひ f青報 idに対応する再暗号化可能な公開鍵暗号方式による第 1の暗号 h

文と、その公開鍵 pk ..., η} , ηは鍵の総数)の鍵 HD情報 kidと、を有する秘 匿化 Iひ f青報 sidを格納しておき、

h

上記各タグ装置 hの外部に設けられた更新装置の鍵メモリに、上記各鍵 情報 kid と上記各公開鍵 pkとを対応つけて格納しておき、

上記タグ装置 hが、

第 1の読書き部において、その上記秘密値メモリに格納されている上記秘匿化 ID 情報 sidを読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを上記更新装置に対して出力し、 h

上記更新装置が、

第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

第 2の読書き部において、上記第 1の入力部に入力された上記秘匿ィ匕 HD情報 sid h が具備する上記鍵 情報 kidに対応する上記公開鍵 pkを上記鍵メモリから抽出し、 暗号化部において、上記第 2の読書き部が抽出した上記公開鍵 pkを用い、上記秘 匿化 Iひ 報 sidが具備する上記第 1の暗号文を再暗号化し、当該第 1の暗号文との h

関連性の把握が困難な第 2の暗号文を生成し、

第 2の出力部において、上記第 2の暗号文と、その上記公開鍵 pkの上記鍵 HD情報 kidと、を有する新たな秘匿ィ匕 HD情報 sid 'を上記タグ装置 hに対して出力し、 j h

上記タグ装置 hが、

第 2の入力部において、上記新たな秘匿ィ匕 HD情報 sid，の入力を受け付け、 h

上記読書き部において、上記新たな秘匿ィ匕 HD情報 sid 'を上記秘密値メモリに格 h

納する、

ことを特徴とするタグプライバシー保護方法。

[47] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

上記各タグ装置 h (hE { l , m} , mはタグ装置の総数)の秘密値メモリに、それ ぞれのタグ 情報 idを秘匿ィ匕した秘匿化 Iひ f青報 sidを格納しておき、

h h

上記タグ装置 hが、

第 1の読書き部において、その上記秘密値メモリに格納されている上記秘匿化 ID 情報 sidを読み出し、

h

第 1の出力部において、上記秘匿化 HD情報 sidを当該タグ装置 hの外部に設けら h

れた第 1の更新装置に対して出力し、

上記第 1の更新装置が、

第 1の入力部において、上記秘匿化 HD情報 sidの入力を受け付け、

h

ID抽出部において、上記秘匿化 情報 sid力もタグ 情報 idを求め、 h h

第 2の出力部において、上記タグ HD情報 idを上記タグ装置 hの外部に設けられた h

第 2の更新装置に対して出力し、

上記第 2の更新装置が、

第 3の入力部において、上記タグ Iひ f青報 idの入力を受け付け、

h

暗号化部において、上記タグ Iひ f青報 idを秘匿ィ匕した新たな秘匿化 情報 sid，を h h 生成し、

第 3の出力部において、上記新たな秘匿化 HD情報 sid 'を上記タグ装置 hに対して h

出力し、

上記タグ装置 hが、第 2の入力部において、上記新たな秘匿化 HD情報 sid，の入力 h を受け付け、 上記読書き部において、上記新たな秘匿ィ匕 HD情報 sid 'を上記秘密値メモリに格

h

納する、

ことを特徴とするタグプライバシー保護方法。

[48] タグ装置の秘匿ィ匕 情報を更新する更新装置であって、

上記タグ装置の外部に設けられ、

各タグ Iひ f青報 idと、当該タグ Iひ f青報 idに対応する上記ランダム値 rである上記秘

h h h

匿化 Iひ f青報 sidと、を対応付けて格納する秘匿化 IDメモリと、

h

上記タグ装置力 出力された秘匿ィ匕 情報 sidの入力を受け付ける第 1の入力部

h

と、

新たなランダム値 r 'を生成するランダム値生成部と、

h

上記秘匿化 IDメモリに接続され、上記第 1の入力部に入力された上記秘匿化 Iひ f青 報 sidに対応するタグ HD情報 idを当該秘匿化 IDメモリから選択し、これに上記新た h h

なランダム値 r，を新たな秘匿ィ匕 ID情報 sid 'として対応付けて当該秘匿化 IDメモリ

h h

に格納する第 2の読書き部と、

上記新たな秘匿ィ匕 情報 sid 'を上記タグ装置 hに対して出力する第 2の出力部と

h を有することを特徴とする更新装置。

[49] タグ装置の秘匿ィ匕 情報を更新する更新装置であって、

上記タグ装置の外部に設けられ、

各鍵 HD情報 kid ..., η} , ηは鍵の総数）と共通鍵暗号方式の各共通鍵 kと を対応つけて格納する鍵メモリと、

タグ Iひ f青報 idに対応する共通鍵暗号方式による第 1の暗号文と、その暗号化に用

h

いた共通鍵 kの鍵 情報 kidと、を有する秘匿化 HD情報 sidの入力を受け付ける第

j j h

1の入力部と、

上記鍵メモリに接続され、上記秘匿化 Iひ f青報 sidが具備する上記鍵 情報 kidに

h j 対応する上記共通鍵 kを当該鍵メモリから抽出する第 2の読書き部と、

上記第 2の読書き部が抽出した上記共通鍵 kを用 、て上記第 1の暗号文を復号し

、タグ Iひ f青報 idを抽出する ID抽出部と、

h 上記 ID抽出部が抽出した上記タグ HD情報 idと、その抽出に用いられた上記共通

h

鍵 kとを用い、上記第 1の暗号文との関連性の把握が困難な第 2の暗号文を生成す る暗号化部と、

上記第 2の暗号文と、その共通鍵 kの上記鍵 Iひ f青報 kidとを有する新たな秘匿化 I ひ f青報 sid 'を上記タグ装置 hに対して出力する第 2の出力部と、

h

を有することを特徴とする更新装置。

[50] タグ装置の秘匿ィ匕 情報を更新する更新装置であって、

上記タグ装置の外部に設けられ、

各鍵 HD情報 kid ..., η} , ηは鍵の総数）と各鍵ペア（sk , pk ) (skは秘密鍵

j ] j ]

, pkは公開鍵)とを対応つけて格納した鍵メモリと、

タグ Iひ f青報 idに対応する公開鍵暗号方式による第 1の暗号文と、その暗号化に用

h

いた公開鍵 pkの鍵 情報 kidと、を有する秘匿化 情報 sidの入力を受け付ける

] ] h

第 1の入力部と、

上記鍵メモリに接続され、上記第 1の入力部に入力された上記秘匿ィ匕 情報 sid h が具備する上記鍵 情報 kidに対応する上記鍵ペア（sk , pk )を上記鍵メモリから 抽出する第 2の読書き部と、

上記第 2の読書き部が抽出した上記秘密鍵 skを用 、て上記第 1の暗号文を復号し

、上記タグ Iひ f青報 idを抽出する ID抽出部と、

h

上記 ID抽出部が抽出した上記タグ 情報 idと、上記第 2の読書き部が抽出した上

h

記公開鍵 pkとを用い、上記第 1の暗号文との関連性の把握が困難な第 2の暗号文を 生成する暗号化部と、

上記第 2の暗号文と、その上記鍵ペア（sk , pk )の上記鍵 Iひ f青報 kidと、を有する

] j ]

新たな秘匿化 HD情報 sid 'を上記タグ装置 hに対して出力する第 2の出力部と、

h

を有することを特徴とする更新装置。

[51] タグ装置の秘匿ィ匕 情報を更新する更新装置であって、

上記タグ装置の外部に設けられ、

各鍵 HD情報 kid ..., η} , ηは鍵の総数）と各公開鍵 pkとを対応つけて格納

j ]

した鍵メモリと、 タグ Iひ f青報 idに対応する再暗号化可能な公開鍵暗号方式による第 1の暗号文と、

h

その公開鍵 pkの鍵 Iひ f青報 kidと、を有する秘匿化 Iひ f青報 sidの入力を受け付ける

j j h

第 1の入力部と、

上記鍵メモリに接続され、上記第 1の入力部に入力された上記秘匿ィ匕 情報 sid

h が具備する上記鍵 情報 kidに対応する上記公開鍵 pkを上記鍵メモリから抽出す る第 2の読書き部と、

上記第 2の読書き部が抽出した上記公開鍵 pkを用い、上記秘匿化 HD情報 sidが

j h 具備する上記第 1の暗号文を再暗号化し、当該第 1の暗号文との関連性の把握が困 難な第 2の暗号文を生成する暗号化部と、

上記第 2の暗号文と、その上記公開鍵 pkの上記鍵 Iひ f青報 kidと、を有する新たな

] j

秘匿ィ匕 HD情報 sid 'を上記タグ装置 hに対して出力する第 2の出力部と、

h

を有することを特徴とする更新装置。

[52] 請求項 49から 51の何れかに記載の更新装置であって、

上記鍵 情報 kidは、

関連性のな 、複数の上記タグ装置に共有されて 、る情報である、

ことを特徴とする更新装置。

[53] 更新装置にタグ装置の秘匿化 情報の更新を依頼する更新依頼装置であって、 タグ装置の外部に設けられ、

同一のタグ 情報 idに対応する再暗号ィ匕可能な暗号文である秘匿ィ匕 IDが、複数

h

種類入力される秘匿化 ID入力部と、

入力された複数種類の上記秘匿化 IDを格納する秘匿化 IDメモリと、

上記秘匿化 IDメモリに接続され、所定の契機で当該秘匿化 IDメモリから 1つの秘 匿化 IDを抽出する秘匿化 ID抽出部と、

抽出された上記秘匿ィ匕 IDを上記タグ装置に対して出力する秘匿化 ID出力部と、 を有することを特徴とする更新依頼装置。

[54] タグ自動認識システムに使用されるタグ装置であって、

同一のタグ 情報 idに対応する再暗号ィ匕可能な暗号文である秘匿ィ匕 IDが、複数

h

種類入力される秘匿化 ID入力部と、 入力された複数種類の上記秘匿化 IDを格納する秘匿化 IDメモリと、 上記秘匿化 IDメモリに接続され、所定の契機で当該秘匿化 IDメモリから 1つの秘 匿化 IDを抽出する秘匿化 ID抽出部と、

上記秘匿化 IDメモリに接続され、所定の契機で当該秘匿化 IDメモリから 1つの秘 匿化 IDを抽出する秘匿化 ID抽出部と、

抽出された上記秘匿ィ匕 IDを出力する秘匿化 ID出力部と、

を有することを特徴とするタグ装置。

[55] タグ装置力 出力される情報力 利用者のプライバシー情報が取得されることを防 止するタグプライバシー保護方法であって、

鍵メモリに、鍵 IDと鍵とが対応付けられて格納されており、

上記タグ装置は、鍵 IDが格納された読取専用領域と、第 1の秘匿ィ匕 IDが格納され た書換可能領域と、を有する秘匿化 IDメモリを有しており、

上記タグ装置が、

読書き部において、上記秘匿化 IDメモリから上記鍵 IDと上記第 1の秘匿化 IDを抽 出し、

抽出された上記鍵 IDと上記第 1の秘匿ィ匕 IDを、第 1の出力部において、更新装置 に対して出力し、

上記更新装置が、

第 1の入力部において、上記鍵 IDと上記第 1の秘匿化 IDの入力を受け付け、 第 1の鍵抽出部において、第 1入力部に入力された上記鍵 IDに対応する鍵を上記 鍵メモリから抽出し、

秘匿ィ匕 ID更新部において、上記第 1の鍵抽出部が抽出した上記鍵と、上記第 1の 入力部に入力された上記第 1の秘匿ィ匕 IDとを用い、上記第 1の秘匿ィ匕 IDとの関連性 の把握が困難な第 2の秘匿ィ匕 IDを生成し、

第 2の出力部において、上記第 2の秘匿ィ匕 IDを出力し、

上記タグ装置が、

第 2の入力部において、上記第 2の秘匿ィ匕 IDの入力を受け付け、

上記読書き部において、上記第 2の秘匿ィ匕 IDを、上記秘匿化 IDメモリの上記書換 可能領域に格納する、

ことを特徴とするタグプライバシー保護方法。

[56] 請求項 55記載のタグプライバシー保護方法であって、

上記更新装置は、さらに、上記第 2の秘匿化 IDに対する検証情報を生成する検証 情報生成部を有し、

上記更新装置の第 2の出力部は、上記第 2の秘匿化 ID及び上記検証情報を出力 し、

上記タグ装置の第 2の入力部は、上記第 2の秘匿化 ID及び上記検証情報の入力 を受け付け、

上記タグ装置の上記読書き部は、上記第 2の秘匿化 ID及び上記検証情報を、上 記秘匿化 IDメモリの上記書換可能領域に格納する、

ことを特徴とするタグプライバシー保護方法。

[57] 請求項 55記載のタグプライバシー保護方法であって、

上記タグ装置が、

読書き部において、上記秘匿化 IDメモリの読取専用領域から上記鍵 IDを抽出し、 上記書換可能領域力も第 3の秘匿ィ匕 IDを抽出し、

抽出された上記鍵 IDと上記第 3の秘匿ィ匕 IDを、第 1の出力部において、復号装置 に対して出力し、

上記復号装置が、

第 3の入力部において、上記鍵 IDと上記第 1の秘匿化 IDの入力を受け付け 第 2の鍵抽出部において、上記第 3の入力部に入力された上記鍵 IDに対応する鍵 を、上記鍵メモリから抽出し、

第 3の入力部に入力された上記秘匿ィ匕 IDと、上記第 2の鍵抽出部が抽出した上記 鍵とを用い、 ID算出部において IDを算出し、

算出された IDの構造を、 ID構造検証部において検証する、

ことを特徴とするタグプライバシー保護方法。

[58] タグ自動認識システムに使用されるタグ装置であって、

鍵 IDが格納された読取専用領域と、第 1の秘匿ィ匕 IDが格納された書換可能領域と 、を有する秘匿化 IDメモリと、

上記秘匿化 IDメモリから、上記鍵 IDと上記第 1の秘匿ィ匕 IDを抽出する読書き部と、 抽出された上記鍵 IDと上記第 1の秘匿ィ匕 IDを出力する第 1の出力部と、 上記第 1の秘匿ィ匕 IDとの関連性の把握が困難な第 2の秘匿ィ匕 IDの入力を受け付 ける第 2の入力部と、

を有し、

上記読書き部は、

入力された上記第 2の秘匿ィ匕 IDを、上記秘匿化 IDメモリの上記書換可能領域に格 納する、

ことを特徴とするタグ装置。

[59] 請求項 58記載のタグ装置であって、

上記第 2の入力部は、

さらに、上記第 2の秘匿化 IDに対する検証情報の入力を受け付け、

上記読書き部は、

入力された上記検証情報を、さらに上記秘匿化 IDメモリの上記書換可能領域に格 納する、

ことを特徴とするタグ装置。

[60] 請求項 58に記載のタグ装置であって、

上記秘匿化 IDは、

IDを構成する情報のうち、各タグ装置に固有な情報のみを秘匿ィ匕した情報である、 ことを特徴とするタグ装置。

[61] 請求項 58に記載のタグ装置であって、

関連性のな 、タグ装置に、同じ上記鍵 IDが割り当てられる、

ことを特徴とするタグ装置。

[62] 請求項 17、 54或いは 58に記載のタグ装置としてコンピュータを機能させるための タグプログラム。

[63] 請求項 18記載のバックエンド装置としてコンピュータを機能させるためのタグプログ ラム。

[64] 請求項 48から 51の何れかに記載の更新装置としてコンピュータを機能させるため の更新プログラム。

[65] 請求項 53記載の更新依頼装置としてコンピュータを機能させるための更新依頼プ ログラム。

[66] 請求項 17、 54或いは 58に記載のタグ装置としてコンピュータを機能させるための タグプログラムを格納したコンピュータ読取り可能な記録媒体。

[67] 請求項 18記載のバックエンド装置としてコンピュータを機能させるためのタグプログ ラムを格納したコンピュータ読取り可能な記録媒体。

[68] 請求項 48から 51の何れかに記載の更新装置としてコンピュータを機能させるため の更新プログラムを格納したコンピュータ読取り可能な記録媒体。

[69] 請求項 53記載の更新依頼装置としてコンピュータを機能させるための更新依頼プ ログラムを格納したコンピュータ読取り可能な記録媒体。