店铺装置,购买者装置,购买者身份验证装置,和购买者身份检验装置

摘要

公开了一种店铺装置，购买者装置，购买者身份验证装置，和购买者身份检验装置。购买者装置30存储“包括定购ID和购买者身份检验信息的匿名定购信息”以及“购买者身份验证保密信息”。店铺装置(20)存储“包括定购ID和购买者身份检验信息的匿名定购信息”。如果需要，购买者从购买者装置(30)发送包括定购ID和购买者知道购买者身份验证保密信息的零知识证明信息的请求到店铺装置(20)。店铺装置(20)基于从包括在该请求中的定购ID中检索的购买者身份检验信息来检验零知识证明信息。因此，如果需要，消除了过去使用的不可链接性，并且消除了由不可链接性引起的不便。

说明书

技术领域

本发明涉及匿名定购的店铺装置，购买者装置，购买者身份验证装置，和使用群签名方案(group signature scheme)的购买者身份检验装置。

背景技术

在提供在线销售服务的领域中，从实现个人信息和隐私保护的观点(例如，日本专利申请特开No.2004-054905，2004-320562和2006-119771)已经建议使用群签名方案的技术(例如，D.Chaum，E.Van Heyst，“Group Signatures”，EUROCRYPT’91，LNCS 547，Springer-Verlag，pp.257-265，1991.，GAteniese，J.Camenisch，M.Joye和G.Tsudik，“A Practical and provably SecureCoalition-Resistant Group Signature Scheme”，CRYPT 2000，LNCS 1880，Springer-Verlag，pp.255-270，2000.，Atsuko Miyaji，Hiroaki Kikuchi，“Information Security”，ohm，ISBN4-274-13284，pp.112-114)。

在所建议的技术中，用户的个人信息和隐私的保护通过匿名和不可链接性(unlinkability)来实现。这里提及的匿名指的是防止个人身份公开的属性。不可链接性指的是不能判断两个不同的认证请求是否由同一个用户产生的属性。

所建议的技术具有可追溯性，并且在常规操作中实现每个服务的独立支付，同时如果出现非法访问则指明未授权用户。可追溯性是其中除了服务供应商以外只有预定的个人信息管理机构才能够识别用户的功能。

然而，尽管从保护个人信息和隐私的观点来看，不可链接性是一个重要的属性，但它对服务供应商会产生不便之处。例如，当用户希望查询或退回已购买的物品和服务时，由于不可链接性被指定给已购买的物品和服务，因此就不能仅在用户和服务供应商之间直接处理这种用户请求。此外，当同一用户重复使用相同的服务供应商时，由于不可链接性被指定给已购买的物品和服务，因此用户使用该服务供应商的次数是未知的。这意味着不能够实现诸如提供指示服务或收集关于使用率的市场信息的好处。

在上述所建议的技术之前使用的服务提供系统中，由于总是要识别一个人，尽管易于提供查询/请求退货以及提供指示服务的动作，但很难实现个人信息和隐私的保护。

在上述所建议的技术中，由于总是保持不可链接性，因此能够实现个人信息和隐私的高级保护。另一方面，具有不可链接性使基于过去使用的查询或退货请求，或基于过去使用提供的指示(point)服务变得很困难。

发明内容

本发明的一个目的是提供店铺装置，购买者装置，购买者身份验证装置，和购买者身份检验装置，其被配置为在必要时消除过去使用的不可链接性，以及消除由不可链接性产生的不便。

在本发明的第一个方面，提供了配置为与管理器装置和购买者装置进行通信的店铺装置，管理器装置配置为用于通过具有追踪功能的群签名方案来支付购买者的匿名定购，购买者装置通过群签名方案匿名定购销售物品，该店铺装置包括：配置为存储匿名定购信息的存储设备，当从购买者装置接收“具有定购ID，购买者身份检验信息和群签名的匿名定购信息”时，在由购买者装置在过去生成对应于定购ID的购买者身份验证保密信息、购买者身份检验信息和群签名之后存储匿名定购信息，购买者身份检验信息是基于对应于定购ID且无法推测的购买者身份验证保密信息产生的，群签名基于定购ID和购买者身份检验信息，至于购买者身份验证保密信息，其自身不能够从管理器装置和店铺装置中推测出，并且即使基于在购买者身份验证保密信息的基础上产生的购买者身份检验信息的管理器装置和店铺装置中也不能够推测出；定购ID发布设备被配置为基于从购买者的购买者装置接收到的销售物品识别信息发布定购ID，并且发送该定购ID到购买者装置；当从购买者装置接收到包括定购ID，购买者身份检验信息和群签名的匿名定购信息时，签名检验设备被配置为检验群签名；当检验群签名的结果是有效时，匿名定购信息写入设备被配置为写入新近的匿名定购信息到存储设备；匿名定购发送设备被配置为发送匿名定购信息到管理器装置；当从购买者装置接收包括“过去的ID”和“购买者了解的对应于该定购ID的购买者身份验证保密信息的零知识(zero knowledge)验证信息”的请求时，检索设备被配置为从存储设备中检索关于定购ID的购买者身份检验信息；零知识检验设备被配置为基于所检索的购买者身份检验信息检验零知识证明信息；以及当检验零知识证明信息的结果是有效时，请求接受设备被配置为接受该请求。

在本发明的第二个方面，提供了配置为与管理器装置和店铺装置进行通信的购买者装置，管理器装置配置用于通过具有追踪功能的群签名方案来支付购买者的匿名定购，店铺装置通过群签名方案接收销售物品的匿名定购，该购买者装置包括：存储设备被配置为彼此关联地存储过去的“包括定购ID，对应于定购ID并且基于购买者身份验证保密信息产生的购买者身份检验信息和群签名的匿名定购信息”以及“购买者身份验证保密信息”，至于购买者身份验证保密信息，其自身不能够从管理器装置和店铺装置中推测出，并且即使基于在购买者身份验证保密信息的基础上产生的购买者身份检验信息，也不能够从管理器装置和店铺装置中推测出；通过购买者的操作，当从店铺装置接收一个定购ID时，匿名定购产生设备被配置为产生包括定购ID，购买者身份检验信息和群签名的匿名定购信息；匿名定购发送设备被配置为发送所获得的匿名定购信息到店铺装置；检索设备被配置为通过购买者的操作从存储设备中检索关于过去定购ID的购买者身份验证保密信息；零知识验证发生设备被配置为产生购买者了解的对应于该定购ID的购买者身份验证保密信息的零知识证明信息；请求产生设备被配置为通过购买者的操作产生包括定购ID和零知识证明信息的请求；和请求发送设备被配置为发送所获得的请求到店铺装置。

在本发明的第三个方面，提供了一种购买者身份验证单元来保存从购买者装置写入的购买者身份验证保密信息，购买者装置被配置为与管理器装置和店铺装置进行通信的，管理器装置配置为用于通过具有追踪功能的群签名方案来支付购买者的匿名定购，店铺装置通过群签名方案接收销售物品的匿名定购，该购买者身份验证单元包括：保密信息存储设备被配置为存储在初始设置时从购买者装置写入的购买者身份验证保密信息；零知识验证发生设备被配置为独立于购买者装置使用，并且当购买者装置接收店铺装置的定购ID时，在购买者装置基于“初始设置时从购买者身份验证保密信息中计算出并保存的保密计算值”产生包括定购ID，购买者身份检验信息和群签名的匿名定购信息后，并且购买者装置发送产生的匿名信息到店铺装置，基于保密信息存储设备中的购买者身份验证保密信息产生关于一条或多条过去定购ID的购买者身份验证保密信息是公有的并且购买者了解它的零知识证明信息，其中购买者身份检验信息对应于定购ID并且基于无法推测的购买者身份验证保密信息产生，至于购买者身份验证保密信息，其自身不能够从管理器装置和店铺装置中推测出，并且即使基于在购买者身份验证保密信息的基础上产生的购买者身份检验信息，也不能够从管理器装置和店铺装置中推测出；请求产生设备被配置为产生包括一条或多条定购ID和零知识证明信息的请求；和请求发送设备被配置为发送所获得的请求到“配置为获得店铺装置的匿名定购信息的购买者身份检验单元”。

在本发明的第四个方面，提供了配置为与管理器装置和店铺装置两者和购买者身份验证单元进行通信的购买者装置，管理器装置配置为用于通过具有追踪功能的群签名方案来支付购买者的匿名定购，店铺装置通过群签名方案接收销售物品的匿名定购，购买者身份验证单元用于接收匿名定购的销售物品，并且被配置为在初始设置时写入购买者身份验证保密信息到购买者身份验证单元，在接收到销售物品时，当购买者身份验证单元基于先前存储的购买者身份验证保密信息产生关于一条或多条过去定购ID的购买者身份验证保密信息是公有的并且购买者了解它的零知识证明信息，并且发送包括一条或多条定购ID和零知识证明信息的请求到“配置为获得店铺装置的匿名定购信息的购买者身份检验单元”时，写入购买者身份验证保密信息到购买者身份验证单元，该购买者装置包括：存储设备被配置为彼此关联地存储过去的“包括定购ID，购买者身份检验信息和群签名的匿名定购信息”以及“从对应于定购ID并且基于初始设置产生的购买者身份验证保密信息中计算出的保密计算值”；一个设备被配置为写入购买者身份验证保密信息到购买者身份验证单元，并且在初始设置中，写入保密计算值到存储设备；匿名定购产生设备被配置为通过购买者的操作，当接收到店铺装置的定购ID时，基于该保密计算值，产生包括定购ID，购买者身份检验信息和群签名的匿名定购信息；匿名定购发送设备被配置为发送所获得的匿名定购信息到店铺装置。

在本发明的第五个方面，提供了一种被配置为从店铺装置获得匿名定购信息的购买者身份检验单元，该店铺装置被配置为与管理器装置和购买者装置进行通信，管理器装置配置为用于通过具有追踪功能的群签名方案来支付购买者的匿名定购，购买者装置通过群签名方案进行销售物品的匿名定购，当从购买者装置接收“包括定购ID，购买者身份检验信息和群签名的匿名定购信息”时，在由购买者装置在过去生成对应于定购ID的购买者身份验证保密信息、购买者身份检验信息和群签名之后从店铺装置(20)获得匿名定购信息，购买者身份检验信息是基于对应于定购ID且无法推测的购买者身份验证保密信息产生的，群签名基于定购ID和购买者身份检验信息，至于购买者身份验证保密信息，其自身不能够从管理器装置和店铺装置中推测出，并且即使基于在购买者身份验证保密信息的基础上产生的购买者身份检验信息的管理器装置和店铺装置中也不能够推测出，店铺装置存储匿名定购信息，基于从购买者的购买者装置接收的销售物品识别信息发布定购ID，并且发送该定购ID到购买者装置，当接收具有定购ID，购买者身份检验信息和群签名的匿名定购信息时，店铺装置检验该群签名，当检验的结果是有效时，存储最近匿名定购的信息，并发送匿名定购信息到管理器装置，购买者身份检验单元包括：一个设备被配置为从店铺装置读取对应于匿名定购之后输入的“一条或多条过去的定购ID”的一条或多条匿名定购信息，购买者验证保密信息在初始设置时从购买者装置写入到购买者身份验证单元；一个存储设备被配置为存储从店铺装置读取的一条或多条匿名定购信息；一个设备被配置为接受来自购买者身份验证单元的具有“一个或多个过去定购ID”和“对应于一个或多个定购ID的购买者身份验证保密信息是公有的并且购买者知道它的零知识证明信息”的请求，；当接受请求时，零知识检验设备被配置为基于包括在存储设备中一条或多条匿名定购消息中的一条或多条购买者身份检验信息检验零知识证明信息；请求接受设备被配置为当检验零知识证明信息的结果是有效时，接受该请求。

在本发明的第一和第二方面中，购买者装置存储“具有定购ID和购买者身份检验信息的匿名定购信息”以及“购买者身份验证保密信息”。店铺装置存储“具有定购ID和购买者身份检验信息的匿名定购信息”。如果必要，购买者将具有定购ID和购买者知道购买者身份验证保密信息的零知识证明信息的请求从购买者装置发送到店铺装置。店铺装置基于从包括在这个请求中的定购ID检索的购买者身份检验信息来检验零知识证明信息。因此，当必要时能够消除过去使用的不可链接性，并且能够消除由不可链接性产生的不便。

在本发明的第三到第五方面中，购买者装置存储“具有定购ID和购买者身份检验信息的匿名定购信息”以及“从购买者身份验证保密信息计算出的保密计算值”。购买者身份验证装置存储“购买者身份验证保密信息”。店铺装置存储“具有定购ID和购买者身份检验信息的匿名定购信息”。如果必要，购买者将具有一条或多条定购ID和购买者身份验证保密信息是公有的并且购买者知道它的零知识证明信息的请求从购买者身份验证装置发送到购买者身份检验装置。购买者身份检验装置请求来自店铺装置对应于包括在这个请求中的一条或多条定购ID的一条或多条匿名定购信息，并且基于包括在所获得的一条或多条匿名定购信息中的一条或多条购买者身份检验信息检验零知识证明信息。因此，当必要时能够消除过去使用的不可链接性，并且能够消除由不可链接性产生的不便。此外，由于匿名定购的装置和用于接收商品的装置分离，因此能够扩大匿名定购的应用范围，例如通过在便利店接收来自家庭匿名定购商品的功能。此外，通过合法匿名定购能够提供商品接收的安全性。

附图说明

图1是说明根据本发明第一实施例的匿名定购系统配置的示意图；

图2是说明在同一实施例中销售公司的存储单元配置的示意图；

图3是说明在同一实施例中店铺的存储单元配置的示意图；

图4是用于解释同一实施例中的定购信息等的示意图；

图5是说明在同一实施例中购买者的存储单元配置的示意图；

图6是用于解释同一实施例中的匿名定购信息等的示意图；

图7是用于解释同一实施例中初始设置操作的程序图；

图8是用于解释同一实施例中匿名定购，交货和支付操作的程序图；

图9是用于详细解释同一实施例中匿名定购操作的示意图；

图10是用于解释同一实施例中匿名定购检验步骤的示意图；

图11是用于解释同一实施例中购买者身份检验处理操作的程序图；

图12是说明根据本发明第二实施例的匿名定购系统配置的示意图；

图13是说明在同一实施例中店铺的存储单元配置的示意图；

图14是用于解释同一实施例中的匿名定购信息等的示意图；

图15是说明在同一实施例中购买者的存储单元配置的示意图；

图16是用于解释同一实施例中匿名定购，交货和支付操作的程序图；

图17是说明同一实施例中匿名定购检验步骤的示意图；

图18是用于解释同一实施例中购买者身份检验处理操作的程序图；

图19是说明根据本发明第四实施例的匿名定购系统配置的示意图；

图20是说明在同一实施例中购买者的存储单元配置的示意图；

图21是说明同一实施例中购买者身份验证保密信息配置的示意图；

图22是用于解释同一实施例中初始设置操作的程序图；

图23是用于解释同一实施例中匿名定购，交货和支付操作的程序图；

图24是用于解释同一实施例中购买者身份检验处理操作的程序图；

图25是说明根据同一实施例第一修改的匿名定购系统配置的示意图；

图26是用于解释同一修改的购买者身份检验处理操作的程序图；

图27是说明根据本发明第四实施例第二修改的匿名定购系统配置的示意图；

图28是说明同一修改中购买者身份验证保密信息存储单元配置的示意图；

图29是用于解释同一修改中匿名定购，交货和支付操作的程序图；

图30是用于解释同一修改的购买者身份检验处理操作的程序图；

图31是说明同一修改的另一种匿名定购系统配置的示意图；

图32是说明在同一修改中购买者身份验证保密信息的另一个存储单元配置的示意图；

图33是用于解释同一修改中另一种匿名定购，交货和支付操作的程序图；

图34是用于解释同一修改中另一种购买者身份检验处理操作的程序图；

图35是说明根据本发明第四实施例第三修改的匿名定购系统配置的示意图；

图36是用于解释在同一修改中购买者身份检验处理操作的程序图。

具体实施方式

下面将参考附图说明本发明的实施例。根据日本专利申请特开No.2006-119771中所描述的匿名定购系统所采用的例子来说明该实施例。该实施例不限于此，并且能够应用于日本专利申请特开No.2004-054905中描述的访问控制系统，和日本专利申请特开No.2004-320562中描述的匿名定购认证系统。另外，下文所描述的实施例不限于这三个专利申请所描述的系统，并且能够应用于使用基于群签名方案的用户认证的任何其他系统。

在解释每个实施例前，将对群签名方案(Mitsuko Miyaji，Hiroaki Kikuchi，“Information Security”，ohmu，ISBN4-274-13284-6，pp.112-114)进行解释，其是作为标准示例的日本专利申请特开No.2006-119771中所描述的匿名定购系统的前提。下列表1说明了标准符号以及它们在群签名方案中的说明。

表1

 符号 说明 SPK 基于知识证明的签名 α，β 满足断言(predicate谓语，属性判定？)的参数 m 消息 ε 定义许可伪造概率的常数 H() 散列函数 k 计算散列函数后的位长 g 乘法群的生成源 G 乘法群：G＝<g> L 发生器g的顺序 y 签名人的公钥，乘法群G的源：y∈G x 签名人的密钥：y＝g^x r 随机数 u 签名人的计算结果；u＝g^r，等等 e 散列函数的计算结果：e＝H(g||y||u||m) v 签名人的计算结果：v＝r-ex GM 群管理器 EM 追踪组织 A 成员 P_G 群管理器GM的公钥 S_G 群管理器GM的密钥 P_E 追踪组织EM的公钥 S_E 追踪组织EM的密钥 P_A 成员的公钥P_A： P_A＝y(当成员A是签名人时) S_A 成员的密钥S_A： S_A＝x(当成员A是签名人时) σ_A 成员认证：Sig_SG(P_A) Sig_SG() 通过密钥S_G的数字签名 ID_A 成员ID c 通过公钥P_E加密的值：c＝E_PE(P_A)＝P_A^PE ^ 表示幂的符号

{初始设置}

群管理器GM和追踪组织

EM分别产生公钥/密钥(P_G，S_G)和(P_E，S_E)的相应对。群公钥(P_G，P_E)和发生器g对于公众是开放的。

例如，成为成员A的用户基于发生器g产生具有下述关系的公钥/密钥对(P_A，S_A)。

P_A＝gS_A

接下来，用户通过使用密钥S_A将他的(她的)签名放置在公钥P_A上，并且获得数字签名SigS_A(P_A)。用户产生下文表示(预示)密钥对(P_A，S_A)已经被正确生成的SPK(基于知识证明的签名)。然而，当处于初始设置时，这里不存在消息m。

SPK{(α)|P_A＝gα}(m)＝SPK{(S_A)|P_A＝gS_A}(m)

SPK通过满足e＝H(g||P_A||gvP_Ae||m)的(e，v)∈{0，1}^kx[-2|L|+k，2ε(|L|+k)]给出。用户基于随机数r∈{0，1}ε(|L|+k)计算u＝gr，确定e＝H(g||P_A||u||m)，并且获得作为整数的v＝r-eS_A。

然后，用户向群管理器GM发送公钥P_A，数字签名SigS_A(P_A)和基于知识证明的签名(SPK)＝(e，v)。

当接收这些P_A，SigS_A(P_A)和SPK时，群管理器GM通过公钥P_A检验数字签名SigS_A(P_A)，并且通过公钥P_A和发生器g检验基于知识证明的签名(SPK)。基于知识证明的签名基于e＝H(g||P_A||gvP_Ae||m)来检验。

通过上述方式确定有效性之后，群管理器GM通过GM的密钥S_G将他的(她的)签名放置在用户的公钥P_A上，如下所述，将所获得的成员认证σ_A返回给用户。通过这种操作，用户成为成员A。

σ_A＝Sig_SG(P_A)

此外，群管理器GM秘密地存储成员A的一组成员ID，公钥和成员认证(ID_A，P_A，σ_A)并且增加公钥和数字签名(P_A，SigS_A(P_A))对到成员列表。

(产生群签名)

作为签名人的成员A基g于提供了成员A对于消息m具有一对密钥和成员认证(x，σ_A)的知识证明SPK_σ，x而产生签名。这里，x＝S_A。

SPK_σ，x＝SPK{(α，β)|Verify_PG(f(α)，β)＝1}(m)

＝SPK{(x，σ_A)|Verifty_PG(f(x)，σ_A)＝1}(m)

＝(e₁，v₁)

然而，e₁＝H(g||P_A||g^rPG||m)，v₁＝r-e₁(x+σ_A)。

此外，作为签名人的成员A产生通过追踪组织EM(可追溯性)的公钥P_E对密钥P_A进行加密获得的值c＝E_PE(P_A)，和基于成员A对于消息m具有对应于这个值c的纯文本(P_A)的密钥x的知识证明的签名SPK_C，如下所示。

SPK_C＝SPK{(α，β)|Verify_PE(f(α)，β)＝1}(m)

＝SPK{(x，c)|Verify_PE(f(x)，c)＝1}(m)

＝(e₂，v₂)

然而，e₂＝H(g||P_A||g^rPE||m)，v₂＝r-e₂(x+c)。

此后，成员A向检验器发送和消息m一起的作为签名的数据(SPK_σ，x，c，SPK_C)。这里，c可以是值c＝E_PE(σ_A)，其是由对认证σ_A进行加密而获得的值。

(验证群签名)

一接收到消息m，以及作为签名的数据(SPK_σ，x，c，SPK_C)，检验器就根据群公钥P_G，P_E检验基于知识证明的签名SPK_σ，x＝(e₁，v₁)和SPK_C＝(e₂，v₂)。

e₁＝H(g||P_A||g^v1PGP_A^e1PG||m)

e₂＝H(g||P_A||g^v2PEP_A^e2PE||m)

当由成员A产生的签名有效时，检验器执行基于消息m的操作。如果由成员A产生的签名无效，检验器发送加密值c到追踪组织EM。

(追踪功能)

追踪组织EM通过EM的密钥S_E对从检验器接收的值c(＝E_PE(P_A))进行解密，并且发送所获得的成员A的公钥P_A到群管理器GM。群管理器GM从公钥P_A识别成员A。

上述是一种标准的群签名方案。其他群签名方案具有类似的特征。下述实施例当然可适用于其他群签名方案。

下述实施例中的每个装置可实行为硬件以及硬件资源和软件的组合。如硬件-软件组合的软件，使用先前通过网络或存储媒体M安装在相应装置10，20，30，50和60的计算机中的程序来实现相应装置的功能，如图1，12，19，25，27，31和35所示。

(实施例1)

图1示出了根据本发明第一实施例的匿名定购系统配置的示意图。在该匿名定购系统中，通过网络41-45连接销售公司装置10，店铺装置20和购买者装置30。图中的虚线表示该元件在很大程度上不同于日本专利申请特开No.2006-119771中所描述的匿名定购系统。

这里，销售公司装置10包括销售公司的存储单元11，初始设置单元12，店铺注册单元13，购买者注册单元14，支付处理单元，定购检验单元16，购买者识别单元17以及市场信息产生单元18。

销售公司的存储单元11是可读写单元12-18的存储器，并且存储群管理信息，私人管理信息，成员列表，店铺注册信息和定购历史列表。

这里，群管理信息由群公钥(P_G、P_E)，群密钥(S_G、S_E)，销售公司公钥P_GM，和销售公司密钥S_GM组成。

私人管理信息(与购买者的群签名相关的信息)由每个成员的成员ID，成员公钥P_A，和成员认证σ_A组成。

成员列表由每个成员ID的个人信息，公钥P_A和数字签名Sig_SA(P_A)组成。成员的个人信息由姓名，地址，年龄段，性别和支付信息(例如，银行帐户信息，或信用卡号)组成。如果需要，网络地址，例如E-mail地址和IP地址，和电话号码可以被选择地加入到成员的个人信息中。成员列表中的成员公钥也属于与购买者群签名相关的信息。

店铺注册信息由店铺信息和店铺公钥P_SP组成。店铺信息由店铺的姓名，地址，电话号码，E-mail地址和支付信息(银行帐户信息或信用卡号)组成。

定购历史列表是过去定购中的匿名定购信息m的列表。

初始设置单元12具有以下功能(f12-1)-(f12-3)：

(f12-1)：这个功能仅仅在启动系统时使用一次，并产生对应的一对群公钥和密钥((P_G，S_G)和(P_E，S_E))。

(f12-2)：这个功能产生销售公司的公钥/密钥对(P_GM，S_GM)。

(f12-3)：这个功能将由所产生的密钥对组成的群管理信息写入到销售公司存储器11的存储单元。

店铺注册单元13具有以下功能(f13-1)-(f13-2)：

(f13-1)：在店铺注册时，这个功能将包括有从店铺装置20接收到的店铺信息和店铺公钥P_SP的店铺注册信息写入到销售公司的存储单元11。

(f13-2)：这个功能在写操作后将销售公司存储单元11中的群公钥(P_G，S_G)返回给店铺装置20。

购买者注册单元14具有以下功能(f14-1)-(f14-7)：

(f14-1)：根据从购买者装置30接收到的个人信息，这个功能检查购买者是否能够收到匿名定购服务。

(f14-2)：这个功能将检查结果通知给购买者装置30。

(f14-3)：当检查的结果是可接受时，这个功能通过购买者装置30执行口令响应认证。

(f14-4)：这个功能检验从购买者装置30接收到的数字签名Sig_SA(P_A)基于知识证明的签名SPK。

(f14-5)：当通过检验上述两者签名确定有效性时，这个功能通过使用群密钥S_G放置S签名在成员公钥P_A上，并产生成员认证σ_A(＝Sig_SG(P_A))。

(f14-6)：这个功能将由成员A的一组成员ID，公钥和认证(ID_A，P_A和σ_A)组成的私人管理信息存储在销售公司11的存储单元的防篡改区域，并增加一对成员公钥P_A和数字签名(P_A，Sig_SA(P_A))到成员列表。

(f14-7)：这个功能发送成员认证σ_A给购买者装置30。

根据包括在销售公司11存储单元的成员列表中的成员个人信息，支付处理单元15具有代替支付功能。

定购检验单元16具有以下的功能(f16-1)-(f16-3)：

(f16-1)：当从店铺接收到匿名定购信息时，这个功能检查销售公司11存储单元中的定购历史列表是否包括有相同的信息，以及当在列表中包括有相同的信息时，判断这种匿名定购信息是非法的请求，拒绝发送和支付商品，以及当在列表中没有包括相同的信息时，检验包括在匿名定购信息中的群签名的有效性。

(f16-2)：当签名是非法时，这个功能拒绝发送及支付商品。

(f16-3)：仅仅当确认签名是有效时，这个功能接收定购，并将匿名定购信息加入到定购历史列表，并将其保存在销售公司11的存储单元中。

购买者识别单元17具有追踪功能，该单元通过群密钥S_E解密销售公司11存储单元中的匿名定购信息中的群签名c(＝E_PE(P_A))，并通过参考成员列表，由获得的成员公钥P_A识别签名者(＝购买者)。

市场信息产生单元18通过从购买者识别单元17所识别的签名者信息中删除能够识别个人的信息(例如，姓名和地址)来产生市场信息，并且具有将获取的市场信息发送给店铺装置20的功能。在这些关于订购的信息中，市场信息是不能够识别个人，并有效地指示商品购买者类别的一种信息。

店铺装置20包括店铺21的存储单元，注册请求单元22，定购接受单元23，定购信息产生单元24，定购检验单元25，支付请求单元26，密码产生单元27，和购买者身份检验单元28。

店铺21的存储单元是可读写单元22-28的存储器，并存储定购信息产生信息(＝匿名定购信息检验信息)，商品信息，以及定购接受列表，如图3所示。

定购信息产生信息由群公钥(P_G，P_E)，店铺公钥P_SP和店铺密钥S_SP组成。

商品信息是从购买者单元30接收到的商品信息(销售对象识别信息)中产生定购信息的相关信息，并例如包括商品种类m13，商品ID m21，商品名称m22和单位价格m23。商品识别信息是用于识别由店铺提供的商品，并且无法由管理器获知的信息。如图4所示，能够使用商品ID(例如，商品号)m21，数量m24，等作为商品识别信息。

定购接受列表是从购买者单元30接收的定购信息m1，m2，匿名定购信息m(SPK_σ，x，c，SPK_C)以及所发出的密码PW的列表。当后面所描述的购买者身份检验操作中以两个或多个定购ID检验购买者身份时，定购接收列表可以包括过去使用的数量N(＝具有购买者身份的定购ID的数量)。此外，如果需要，过去使用的数量N可被用于市场信息。

定购信息包括定购基本信息m1和定购详细信息。

定购基本信息m1是用于支付商品的最少必要信息，并且由例如定购IDm11，店铺名称m12，商品种类m13，总量m14和支付形式m15组成。

从保护隐私的观点来看，在关于商品的那些信息中，定购详细信息m2是除了关于店铺(管理器)信息以外期望保密的一种信息，包括至少商品识别信息，和包括其他可选增加的信息。定购详细信息m2例如由商品ID m21，商品名称m22，单位价格m23，数量m24，以及定购日期和时间m25组成。

随后将描述匿名定购信息。

密码PW是购买者认证信息，其通过密码产生单元27产生，并发送给购买者装置30。由于与匿名定购信息关联的密码PW被存储在店铺21的存储单元中，当存在定购ID和密码PW时，能够消除群签名方案的不可链接性。

注册请求单元22具有以下功能(f22-1)和(f22-2)。

(f22-1)：通过店铺店员的操作，通过注册请求单元22，这个功能用于将店铺公钥P_SP和店铺信息发送给销售公司装置10。

(f22-2)：该功能将从销售公司装置10接收的群公钥(P_G，P_E)写入到店铺21存储单元。

定购接受单元23具有位于购买者装置30和店铺装置20中的单元24、25、27之间的接口功能。

定购信息产生单元24具有以下功能(f24-1)和(f24-2)。

(f24-1)：这个功能基于定购信息产生信息，从自购买者装置30接收的商品识别信息中，产生由定购基本信息m1和定购详细信息m2组成的定购信息m。

(f24-2)：这个功能发送产生的定购信息m和店铺公钥P_SP到购买者装置30。

定购检验单元25具有下述功能(f25-1)-(f25-3)：

(f25-1)：当从购买者装置30接收匿名定购信息时，这个功能根据店铺21存储单元中的匿名定购检验信息来检验匿名定购信息的有效性。

(f25-2)：当确定有效时，这个功能接受定购，并把定购信息和匿名定购信息保存在店铺21的存储单元中。

(f25-3)：这个功能发出与匿名定购信息一起的标签，该标签包括有定购信息ID，而不是发送地址。

支付请求单元26具有以下功能(f26-1)和(f26-2)：

(f26-1)：这个功能发送匿名定购信息给销售公司装置10，并请求支付。

(f26-2)：在支付结束之后，这个功能将从销售公司装置10接收的市场信息保存在销售公司11的存储单元中。

支付请求单元26的支付请求功能(f26-1)不使用来请求支付，因为在这个实施例中，通过标签上描述的匿名定购信息来请求支付，且当商品是数字内容时优选使用。

密码产生单元27具有以下功能(f27-1)和(f27-2)。

(f27-1)：当通过定购检验单元25检验匿名定购信息的结果是无效时，这个功能根据新近匿名定购信息发布密码PW，并将匿名定购信息和密码PW保存在店铺21的存储单元中。

(f27-2)：这个功能通过定购接收单元23将发布的密码PW和检验结果发送给购买者装置30。

购买者身份检验单元28具有下述功能(f28-1)和(f28-2)。

(f28-1)：当从购买者装置30接收到包括历史定购ID和密码的请求时，这个功能通过查阅店铺21的存储单元检验定购ID和密码。

(f28-2)：当检验定购ID和密码的结果是有效时，这个功能接受请求。

作为请求，能够应用例如关于由过去定购ID识别的定购的请求，查询请求，商品返回请求和指示服务供应请求。

购买者装置30包括购买者的存储单元31，注册请求单元32，商品选择单元33，匿名定购单元34，匿名定购信息产生单元35，定购确认单元36，和购买者身份检验单元37。

购买者的存储单元31是可读写单元32-37的存储器，并存储匿名定购信息产生信息和已定购的信息，如图5所示。

匿名定购信息产生信息由群公钥(P_G，P_E)，成员公钥P_A，成员密钥S_A，成员认证σ_A，和销售公司公钥P_GM。

已定购信息是其中定购信息m1，m2，匿名定购信息m(SPK_σ，x，c，SPK_C)和密码PW相互关联的信息。

匿名定购信息包括定购基本信息m1，保密定购详细信息H(m2)，到店铺的保密消息E_PSP(m3)，到销售公司的保密消息E_PGM(m4)，和匿名定购有效性检验信息(SPK_σ，x，c，SPK_C)，如图6所示。

保密定购详细信息H(m2)是如果没有获知定购详细信息m2就无法产生的信息，并由接收一个定购以检验匿名定购信息的有效性的店铺来使用。然而，定购详细信息m2不能够从保密定购详细信息H(m2)中检索。因此，这里使用散列值H(m2)，但是不限于此，而可以由通过店铺公钥P_GM解密后的定购详细信息m2代替。

到店铺的保密消息E_PSP(m3)是购买者想要的消息，从而仅通知店铺优惠券的数量，折扣的关键字，等等，并以仅能够由店铺解密的形式加密。

销售公司的保密消息E_p GM(m4)是购买者想要的消息，从而仅通知销售公司商品发送的地址，并以仅能够被销售公司解密的形式加密。

匿名定购有效性检验信息(SPK_σ，x，c，SPK_C)是用于检验匿名定购信息有效性的群签名。根据匿名定购检验信息，能够通过定购检验单元25检验有效性。通过该信息，店铺可以确认定购可以被接受，但不能获得任何个人信息。此外，有效性可以和群管理信息一起被购买者识别单元14检验。当符合有效时，能够识别产生信息的购买者。

注册请求单元32具有以下功能(f32-1)-(f32-3)：

(f32-1)：这个功能通过购买者操作发送个人信息给销售公司装置10，产生成员公/密钥对(P_A和S_A)作为匿名定购系统的成员，并根据声明购买者已经通过检查的销售公司装置10的通知，将公/密钥对写入到购买者的存储单元31。

(f32-2)：这个功能通过销售公司装置执行口令响应认证。

(f32-3)：这个功能产生基于知识证明SPK＝(e，v)的签名和数字签名Sig_SA(P_A)，并将基于知识证明SPK的签名和数字签名Sig_SA(P_A)发送给销售公司装置10。

(f32-4)：这个功能将从销售公司装置10接收到的成员认证σ_A存储到购买者装置的存储单元31中。

商品选择单元33通过购买者操作将定购请求和商品识别信息发送给店铺装置20。

匿名定购单元34具有位于店铺装置20和购买者装置30中的单元33、35、36之间的接口功能。

匿名定购信息产生单元35具有以下的功能(f35-1)-(f35-3)：

(f35-1)：这个功能基于购买者装置的存储单元31中的匿名定购产生信息，通过购买者操作，从定购基本信息m1和定购详细信息m2中产生匿名定购信息。

(f35-2)：这个功能通过匿名定购单元34将产生的匿名定购信息发送给店铺装置20。

(f35-3)：响应该发送，通过关联新近匿名定购信息，这个功能将从店铺装置20接收的密码PW写入到购买者装置的存储单元31中。

定购确认单元36具有将店铺装置20所接收的定购基本信息m1和定购详细信息m2显示在屏幕上，并要求购买者确认定购的内容的功能。

购买者身份检验单元37具有以下功能(f37-1)和(f37-2)：

(f37-1)：通过购买者操作，这个功能产生包括有定购ID(m11)和存储在购买者的存储单元31中的密码PW的请求。

(f37-2)：这个功能将产生的请求发送给店铺装置20。

接下来，将给出对如上述所配置的匿名定购系统的说明。

(初始设置；图7)

在销售公司装置10中，当开始匿名定购服务(ST1)时，初始设置单元12建立匿名定购的群，产生群公钥/密钥对(P_G，S_G)和(P_E，S_E)，产生自己销售公司的公钥/密钥对(P_GM，S_GM)，并通过公司员工操作，将由这些公/密钥对组成的群管理信息写入到销售公司的存储单元11。一旦启动服务，销售公司装置10仅执行一次上述操作。其后，销售公司装置10能够提供匿名定购服务。

在店铺装置20中，当启动匿名定购信息服务时，通过店铺店员操作，注册请求单元22将店铺公钥P_SP和店铺信息发送给销售公司装置10(ST2)。

在销售公司装置10中，店铺注册单元13将包括这些店铺信息和店铺公钥P_SE的店铺注册信息写入销售公司的存储单元11，并执行店铺注册(ST3)，店铺注册单元13将销售公司的存储单元11中的群公钥(P_G，P_E)返回给店铺装置20(ST4)。

在店铺装置20中，注册请求单元22将群公钥(P_G，P_E)写入到店铺的存储单元21中，作为定购信息产生信息和匿名定购信息检验信息的一部分。作为定购信息产生信息和匿名定购信息检验信息的其他部分，存在店铺公钥/密钥对(P_SP，S_SP)。在店铺装置20中，在销售公司注册开始，上述操作仅执行一次。

在购买者装置30中，通过购买者操作，注册请求单元32将个人信息发送给销售公司装置10(ST5)。在销售公司装置10中，购买者注册单元14基于个人信息检查购买者是否能够接收匿名定购服务(ST6)，并通知购买者装置30购买者通过检查(ST7)。

基于上述信息，在购买者装置30中，注册请求单元32产生成员公钥/密钥对(P_A，S_A)作为匿名定购系统的成员，并将公钥/密钥对写入购买者的存储单元31中(ST8)。其后，在购买者装置30中，注册请求单元32通过销售公司装置10执行口令响应认证(challenge-response authentification)(ST9)。在口令响应认证期间，在购买者装置30和销售公司装置10之间共享成员公钥P_A和销售公司公钥P_GM。

当在步骤ST9中通过口令响应完成认证时，购买者装置30中的注册请求单元32产生基于知识证明的签名SPK＝(e，v)和数字签名Sig_SA(P_A)，并将基于知识证明的签名SPK＝(e，v)和数字签名Sig_SA(P_A)发送给销售公司装置10(ST10)。

在销售公司装置10中，购买者注册单元14检验基于知识证明的签名SPK＝(e，v)和数字签名Sig_SA(P_A)，并当通过检验两个签名确认了有效性时，通过群密钥S_G将签名放置在成员公钥P_A上，并产生成员认证σ_A(＝Sig_SG(P_A))(ST12)。

其后，购买者注册单元14将由成员A的一组成员ID，公钥和认证(ID_A，P_A和σ_A)组成的私人管理信息存储到销售公司的存储单元11中的防撰改区域，并将成员公钥P_A/数字签名对(P_A，Sig_SG(P_A))加入到成员列表中。通过该操作(ST13)注册成员。

此外，在销售公司装置10中，购买者注册单元14将成员认证σ_A发送给购买者装置30(ST14)。在购买者装置30中，注册请求单元32将成员认证σ_A保存在购买者的存储单元31中(ST15)。购买者装置30在开始成员注册仅执行一次上述操作。购买者通过使用所产生的成员密钥S_A和成员认证σ_A可以在任何时刻进行匿名定购。

(匿名定购/交付/支付；图8-10)

在购买者装置30中，通过购买者操作，商品选择单元33将定购请求和商品识别信息发送给店铺装置20(ST21)。

在店铺装置20中，定购信息产生单元24基于定购信息产生信息，从商品识别信息中产生由定购基本信息m1和定购详细信息m2组成的定购信息m，并将获取的定购信息和店铺公钥P_SP发送给购买者装置30(ST22)。

定购信息m由定购基本信息m1和定购详细信息m2组成，定购基本信息m1和定购详细信息m2相互联系(m＝{m1||m2})。

定购基本信息是销售公司执行商品交付/支付所最少需要的信息，并且该信息包括作为唯一识别定购的信息的定购ID。定购详细信息是其他详细信息，并且从购买者的隐私保护观点来看希望保密地保存到销售公司。

定购基本信息m1和定购详细信息m2采用下面例子(参考图4)。

定购基本信息m1＝(定购ID||店铺名称||商品种类||总数||支付形式)＝(m11||m12||m13||m14||m15)。

定购详细信息m2＝(商品号||商品名称||单元价格||数量||定购日期/时间)＝(m21||m22||m23||m24||m25)

定购种类13表示CD，DVD等。商品名称m22表示商品的标题。

在购买者装置30中，定购确认单元36将定购基本信息m1和定购详细信息m2显示在屏幕上。根据屏幕的显示，购买者确认定购内容是否正确，并操作购买者装置30。通过购买者操作，购买者装置30中的匿名定购信息产生单元35基于购买者的存储单元31中的匿名定购产生信息，从定购基本信息m1和定购详细信息m2(ST23)中产生匿名定购信息，并将产生的匿名定购信息通过匿名定购单元34发送给店铺装置20(ST24)。

匿名定购信息至少由定购基本信息m1，定购详细信息的散列值H(m2)，到店铺的保密消息E_PSP(m3)，到销售公司的保密消息E_PGM(m4)，和联系信息和消息的消息m＝(m1||H(m2)||E_PSP(m3)||E_PGM(m4))的群签名(SPK_σ，x，c，SPK_C)组成(参考图6)。保密消息E_PSP(m3)和E_PGM(m4)是可省略的。它们在下面的描述中被省略。

群签名(SPK_σ，x，c，SPK_C)是从群公钥(P_G，P_E)和购买者成员密钥S_A，以及认证σ_A中计算得出的。假定群签名产生函数是GrSig，通过下面等式表达匿名定购信息。

匿名定购信息＝(m||GrSig(m))＝(m1||H(m2)||GrSig(m1)||H(m2))

当没有省略保密消息时，上述方程中的m可以由m1||H(m2)||E_PSP(m3)||E_PGM(m4)代替。在保密消息忽略或不忽略的情况中，产生群签名的方法如上面所描述的，而消息m的配置不同于传统的配置。

匿名定购信息产生单元35将该匿名定购信息与m1、m2、m3、m4和P_SP一起写入购买者的存储单元31中。当没有忽略保密消息时，m3和m4也和上述提及的匿名定购信息m1、m2和P_SP一起写入购买者的存储单元31中。

如果接收到匿名定购信息，店铺装置20中的定购检验单元25基于店铺的存储单元21中的匿名定购检验信息来检验匿名定购信息的有效性，如图10所示(ST25)。仅仅当确认了是定购详细信息的散列值H(m2)的检验结果被正确计算出并且群签名(SPK_σ，x，c，SPK_C)是有效的时，定购检验单元25接受定购，否则拒绝定购。

当接受定购时，店铺装置20的密码产生单元27产生密码PW，并将密码PW和检验结果“有效”一起发送给购买者装置30(ST26；有效)。通过与新近匿名定购信息信息相关联，购买者装置30将密码写入到购买者的存储单元31中。当拒绝定购时，店铺装置20将检验结果“无效”发送给购买者装置30，并完成操作(ST26；无效)。

当定购检验单元25接受定购，通过将定购信息、匿名定购信息和密码PW彼此关联，店铺装置20将定购信息、匿名定购信息和密码PW保存到店铺的存储单元21中(ST27)。当密码PW被保存到店铺的存储单元21和购买者的存储单元31中时，后面所描述的购买者身份检验操作变得可能。

店铺装置20将包括代替交付地址的定购ID的标签与匿名定购信息一起发出。该标签被粘贴在打包的商品并由店铺店员发送(ST28)。该标签还用于替代支付请求。

上述描述的匿名定购中，通过由散列值H(m2)隐藏的匿名定购信息秘密地保存定购详细信息m2，隐藏了购买者购买的商品，并保护了涉及定购内容的购买者私人信息。

在从开始请求定购程序到定义定购期间，不发送包括假名(字符)和ID的关于购买者的个人信息，并且没有访问销售公司。这是匿名定购特有的特征其中之一。

接下来，下面将给出商品的发送和支付的解释。

销售公司执行从店铺定购的商品的发送和支付。为了防止店铺的非法行为，销售公司装置10将在过去接收到的匿名定购信息保存为销售公司的存储单元11中的定购历史列表。

当从店铺接收到匿名定购信息时，销售公司装置10中的定购检验单元16为相同信息检验定购历史列表，并且当发现相同的信息时，认为所接收的是非法定购，并拒绝商品的交付/支付。在其他情况中，定购检验单元检验包括在接收到的匿名定购信息中的群签名的有效性(ST29)。

当签名是非法时，定购检验单元16拒绝商品的交付/支付(ST30；拒绝)。仅当确认了签名的有效性时(ST30；接受)，定购检验单元接受定购，将匿名定购信息添加到定购历史列表中，并将匿名定购信息保存到销售公司的存储单元11中。由此，销售公司防止了来自店铺的非法请求。

然后，在销售公司装置10中，购买者识别单元17通过群密钥S_E解密匿名定购信息中的群签名C(＝E_PE(P_A))，通过参考成员列表(ST31)，从获得的成员公钥P_A中识别签名人(ST31)，并显示识别的内容，例如在屏幕上显示姓名和地址，或将其作为密封附件发送出。

销售公司的员工将关于识别后的签名者的信息写在相应商品的小标签上，并交付商品(ST32)。仅仅通过销售公司装置10执行签名者识别操作，销售公司装置10是唯一具有群管理信息和成员个人信息的装置。在销售公司装置10中，支付处理单元15执行购买者的金融机构的替代支付(ST33)，并将商品价格(ST34)支付给店铺(金融机构)。此外，在销售公司装置10中，市场信息产生单元18从关于识别签名者的信息中删除能够识别个人的信息(如，姓名和地址)，产生由剩余的信息组成的市场信息，并将市场信息发送给店铺装置20(ST35)。剩余信息是不能用来识别一个人的信息(如，年龄、性别和地区)。

店铺装置20保存市场信息，并使得其可用于各种分析。

(购买者身份检验；图11)

假设在上述提及的步骤ST27后，购买者想进行关于店铺装置20过去定购的请求。

在购买者装置30中，通过购买者操作，购买者身份检验单元37读取定购ID来识别请求的定购和来自购买者的存储单元31中相关的密码PW。其后，购买者身份检验单元37产生包括定购ID和密码PW的请求，并通过购买者操作，将请求发送给店铺装置20(ST41)。

在店铺装置20中，当从购买者装置30接收到包括有过去定购ID和密码的请求时，购买者识别单元28检验包括在店铺的存储单元21中的定购接受列表的定购ID(ST42)。

当发现定购ID包括在定购接受列表中作为检验的结果时，购买者识别单元28进一步检验关于定购ID的密码PW是否与接收到的密码PW相匹配，并当它们匹配时，返回检验结果“有效”给购买者装置30(ST34；有效)，并接受请求。

当接受的请求是查询请求或商品退货请求时，通过店铺店员操作店铺装置20响应请求。当接受的请求是指示服务提供请求时，购买者识别检验单元28将定购ID数量和检验后的购买者身份作为使用数量N写入到店铺的存储单元21中的定购接受列表。因此，在店铺装置20中，能够执行相应于使用数量N的预定指示服务。作为指示服务，例如，考虑由支付请求单元26支付数量的折扣服务。其他接收的需求操作在下面的实施例中是相同的。

相反地，当发现在店铺的存储单元21中不存在相应的定购ID作为步骤ST42的检验结果，或当即使存在定购ID但密码PW不匹配时，把检验结果“无效”返回到购买者装置30(ST43；无效)。

在上面的购买者身份检验操作中，从通过防止窃听导致的密码泄漏的观点，在购买者装置30和店铺装置20之间优选使用加密通信协议如SSL(加密套接字协议层)。

根据该实施例，如上面所描述的，购买者装置30和店铺装置20存储包括相互关联的定购ID和密码的匿名定购信息。当必要时，购买者从购买者装置30到店铺装置20发送包括定购ID和密码的请求。店铺装置20检验定购ID和包括在该请求中的密码。当必要时，这消除了过去使用的不可链接性，并且消除了由不可链接性造成的不便。

此外，仅仅当用户想要时，没有不可链接性的认证是可能的。因此，当需要时仅仅通过出示用户身份，用户就可以查询关于购买的服务或商品，或请求退回购买的一个商品，或接收指示服务。通过了解用户身份，服务提供者能改进服务质量并扩大市场信息。此外，没有失去作为匿名认证的优点，确保个人信息和隐私的保护，并且同时由不可链接性造成的不便能够被消除并能够提高服务质量。

此外，当使用密码PW并无需复杂处理时，处理是简单的。然而，需要个别的方案来阻止通过泄漏密码PW给第三方造成的非法行为。

<第一实施例的修改>

<1-1>本实施例能够应用到日本专利申请特开No.2004-054905所描述的访问控制系统以及日本专利申请特开No.2004-320562所描述的匿名认证系统中。当实施例应用到这两个公开的系统时，使用能够唯一识别服务请求的ID，取代上述提及的定购ID。例如，如果在日本专利申请特开No.2004-320562所描述的匿名认证系统中口令长度足够长，可以使用口令。

<1-2>作为通过购买者身份证明单元37选择请求的定购ID的方法，购买者可明示这种选择，或购买者装置30自动这样选择。

例如，当购买者想查询某种商品或商品退回请求，购买者必须选择该方法。另一方面，当选择最新的定购ID时，购买者装置30能够自动选择方法。当购买者明确选择这种方法时，优选地从可操作性的观点，购买者身份检验单元37具有显示购买装置的存储单元31中定购信息列表的功能，以及从包括在列表中的定购信息识别定购ID的功能。

<1-3>如果定购ID具有第三方难以想象的格式，可以忽略密码PW。

<1-4>通过店铺装置20可以不产生密码PW，但可以通过购买者装置30产生密码PW。在这情况中，可以从店铺装置20中忽略密码产生单元27，并可在购买者装置30中提供密码产生单元。另外，购买者可识别密码PW。在这情况中，密码产生单元27对于店铺装置20和购买者装置30两者均变得不需要，并且在购买者装置30中密码输入单元变得是必须的。

<1-5>从购买者装置30发送密码PW到店铺装置20的时序可以是在定购请求之前发送，和定购请求同步发送，和匿名定购信息同步发送，以及在匿名定购信息之后发送的任何一种方式。

<1-6>当先前显示过去定购ID和密码并且确认购买者是相同的时候，无需密码产生单元来发布每个定购ID不同的密码PW，并且密码可以和过去的一个密码相同。

<1-7>当需要严格检验购买者身份时，除了定购ID和密码PW以外，可以使用定购ID和密码PW的群签名，仅仅在定购ID和密码PW泄漏给第三方的情况下。

<1-8>当希望消除进行定购时与过去定购ID的不可链接性，已消除不可链接性的一个定购的定购ID和密码PW可以包括在匿名定购信息中。在这个例子中，通过将过去定购的定购ID和密码作为消息m3来产生店铺的保密消息E_PSP(m3)。然而，作为产生保密消息的加密方法，必须使用每次能够计算不同加密消息的加密方法，即使该消息是纯文本，使得即使在第三方读取一个加密消息时也保持不可链接性，。如这种加密方法，使用随机数的方法，例如ELGamal加密方法或RSA-OAEP方法是可行的。

(实施例2)

图12是说明根据本发明第二实施例的匿名定购系统配置的示意图。那些和图1相同的部分指定相同的参考标记，将省略这些部分的详细说明。这里只对不同的部分进行说明。在下述实施例中，相同的解释将被省略。

即，这个实施例是第一实施例的修改，并且是通过使用代替密码的零知识证明而设计来消除与部分定购的不可链接性的系统。

例如，在购买者装置30中，当产生匿名定购信息时，产生该定购特定的保密值(下文称作为购买者身份验证保密信息x’)，基于购买者身份验证保密信息x’计算的值(下文称作为购买者身份验证信息)m5体现在匿名定购信息中。

当购买者希望消除与对象过去定购的不可链接性时，购买者装置30发送包括购买者ID和购买者知道定购ID和x’的零知识证明信息的请求给店铺装置20。当购买者不希望消除与过去定购的不可链接性时，购买者装置不发送过去定购ID和零知识证明信息给店铺装置20。店铺装置20仅当作为检验信息结果的零知识证明信息被发现有效时才接受该请求。

特别地，店铺装置20提供有基于零知识证明的购买者身份检验单元29，而不是基于上述密码发生单元27和密码的购买者身份检验单元28。因此，密码PW不保存在店铺21的存储单元中，如图13所示，并且匿名定购信息包括消息m中的购买者身份检验信息m5，如图4所示。

购买者身份检验单元29具有下述功能(f29-1)-(f29-3)。

(f29-1)：当从购买者装置30接收包括购买者知道购买者身份验证保密信息x’的零知识证明信息(w，s)的请求时，基于过去定购ID和对应于这个定购ID的购买者身份验证保密信息x’，这个功能从店铺的存储单元21中检索关于该定购ID的购买者身份检验信息m5。

(f29-2)：这个功能基于所检索的购买者身份检验信息m5检验零知识证明信息(w，s)。

(f29-3)：当检验零知识证明信息(w，s)的结果是有效时，这个功能接受该请求。

购买者装置30提供有基于零知识证明的购买者身份验证保密信息发生单元38和购买者身份验证单元39，而不是基于上述密码的购买者身份检验单元37。因此，购买者的存储单元31通过使购买者身份验证保密信息x’与匿名定购信息关联来存储购买者身份验证保密信息x’，而不是密码PW，如图15所示。

购买者身份验证保密信息发生单元38具有下述功能(f38-1)-(f38-4)。

(f38-1)：这个功能产生与定购ID一致的购买者身份验证保密信息x’。

(f38-2)：这个功能基于购买者身份验证保密信息x’，通过考虑将购买者身份验证保密信息x’作为幂指数的计算来产生购买者身份检验信息m5。

(f38-3)：这个功能发送购买者身份检验信息m5到匿名定购信息发生单元35。

(f38-4)：这个功能通过使由匿名定购信息发生单元35产生的匿名定购信息和购买者身份验证保密信息x’彼此关联而将它们写入到购买者的存储单元31中。

购买者身份验证保密信息x’必须不能够通过第三方来推测，例如可以生成为一个随机数。另外，购买者身份验证保密信息x’自身是不能由第三方(管理器装置10和店铺装置20)推测的信息，因此即使基于购买者身份检验信息m5也不能够由第三方(管理器装置10和店铺装置20)来推测。这在下述实施例中是相同的，即，购买者身份验证保密信息x’不能由第三方推测(即使基于购买者身份检验信息m5来推测)。

因此，匿名定购信息发生单元35被配置为基于包括购买者身份检验信息m5的消息m产生匿名定购信息。

购买者身份验证单元39具有下述功能(f39-1)-(f39-4)。

(f39-1)：这个功能通过购买者的操作，从购买者的存储单元31中检索关于过去定购ID的购买者身份验证保密信息x’。

(f39-2)：这个功能基于所检索的购买者身份验证保密信息x’，产生购买者知道购买者身份验证保密信息x’的零知识证明信息(W，s)

(f39-3)：这个功能通过购买者的操作，产生包括定购ID和零知识证明信息(W，s)的请求。

(f39-4)：这个功能发送所产生的请求到店铺装置20。

接下来，将说明如上面所述配置的匿名定购系统。

(匿名定购/交付/支付；图16和图17)

这里，由于购买者身份验证保密信息和零知识证明知道它，因此将说明使用在G.Ateniese，J.Camenisch，M.Joye和G.Tsudik，“A Practical and provablySecure Coalition-Resistant Group Signature Scheme”，CRYPT 2000，LNCS1880，Springer-Verlag，pp.255-270，2000中所描述的定义4中的“a signature ofknowledge of the discrete logarithm of y＝g^x’w.r.t base g，on a message m”的例子。

这里，G假设是其定购#G未知的循环群，循环群G的发生器假设是g。定购#G的位长L应当是整数L，其允许2^(L-1)≤#G＜2^L。“^”表示幂。一次散列函数H是{0，1}^*→{0，1}^k。“k”表示计算后的散列函数的位长。“ε”是保密参数，例如ε＞1。在下述描述中，y，g，h，∈G，而x’∈Z。“z”是个整数集。

现在假设执行步骤ST21-ST22，如先前所描述的。

接下来，在购买者装置30中，当产生匿名定购信息时，通过购买者身份验证保密信息发生单元38产生购买者身份验证保密信息x’。

于是，由h＝g^r和y＝h^x’的集合组成的购买者身份检验信息m5＝(h，y)基于购买者身份验证保密信息x’，随机数r和基数g来计算，购买者身份检验信息m5＝(h，y)被发送到匿名定购信息发生单元35。

匿名定购信息发生单元35产生包括消息m中的购买者身份检验信息m5的匿名定购信息(ST23)，通过匿名定购单元34发送该匿名定购信息到店铺装置20，以及发送到购买者身份验证保密信息发生单元38(ST24)。购买者身份验证保密信息发生单元38通过使匿名定购信息和购买者身份验证保密信息关联，将它们写入到购买者的存储单元31中。

当匿名定购信息被接收时，店铺装置20中的定购检验单元25基于检验店铺的存储单元21中的匿名定购检验信息来检验匿名定购信息的有效性，如图17所示(ST25)。仅当定购检验单元确认了作为检验结果的定购具体信息的散列值H(m2)被正确计算并且群签名(SPK_σ，x，SPKc)有效时，定购检验单元25接受一个定购，并且否则拒绝定购。

当接受一个定购时，店铺装置20的定购检验单元25发送“有效”的检验结果到购买者装置30(ST26；有效)。当拒绝一个定购时，店铺装置20的定购检验单元25发送“无效”的检验结果到购买者装置30(ST26；无效的)，并且结束该操作。

此外，当定购检验单元25接受一个定购时，通过使定购信息和匿名定购信息相互关联(ST27)，店铺装置20保存这两个信息在店铺的存储单元21中。当定购信息和匿名定购信息被保存在店铺的存储单元21中时，存在下文描述的购买者身份检验操作。

按照下文描述运行后继步骤ST28-ST34中的发送和支付处理。

(购买者身份检验图18)

假设在上述步骤ST27之后，购买者希望请求关于店铺装置20的过去定购。

在购买者装置30中，通过购买者的操作，购买者身份检验单元39从购买者的存储单元31读取包括识别所请求定购的定购ID和相关购买者身份验证保密信息x的匿名定购信息’。

此后，购买者身份检验单元39发送包括定购ID的检验开始请求到店铺装置20(ST51)。如果接收到检验开始请求，店铺装置20产生包括随机数a的消息m6，并且发送消息6返回到购买者装置30。

如果接收到消息m6，购买者装置30中的购买者身份验证单元39选择随机数t∈±{0，1}^{ε(L+k)}，并且基于随机数t，购买者身份验证保密信息x’，购买者身份验证检验信息m5＝(y，h)和消息m6计算零知识证明信息w，s∈z(ST53)，如下文给出的等式所示。

W＝H(y||h||h^t||m6)

s＝t-w x’

“||”表示联结(concatenation)。“(w，s)”满足(w，s)∈±{0，1}^k x±{0，1}^{ε(L+k)+1}。“w”是散列值。“s”是下文描述的检验等式中的幂指数。随机数“a”是防止非法再使用零知识证明信息的信息，但不是必需的。例如，可以从消息m6中忽略随机数“a”，或当前时间可以包括在消息m6中，而不是随机数“a”。

此后，通过购买者的操作，购买者身份验证单元39发送包括定购ID和零知识证明信息(w，s)的请求到店铺装置20(ST54)。

接收到包括过去定购ID和零知识证明信息(w，s)的请求，店铺装置20中的购买者身份检验单元29检查该定购ID是否包括在店铺的存储单元21的定购接受列表中(ST55)。

当通过检验结果确认存在定购ID时，基于包括在关于该定购ID的匿名定购信息中的购买者身份检验信息m5＝(h，y)，所接收的零知识证明信息(w，s)和包括随机数a的消息m，购买者身份检验单元29进一步检查下述检验等式是否成立。

W＝H(y||h||h^s·h^w||m6)

当检验结果发现检验等式成立时，购买者身份检验单元29返回检验“有效”给购买者装置30(ST56；有效的)，并且接受该请求。如下文所描述的执行所接受请求的操作。

如上所述，根据这个实施例，购买者装置30存储“包括定购ID和购买者身份检验信息m5的匿名定购信息”和“购买者身份验证保密信息x’”。装置20存储“包括定购ID和购买者身份检验信息m5的匿名定购信息”。必要时，购买者从购买装置30发送包括定购ID和零知识证明信息(w，s)的请求到购买装置20。购买装置20基于从包括在这个请求中的定购ID检索的购买者身份检验信息m5检验零知识证明信息(w，s)。必要时这能够消除过去使用的不可链接性，并且消除由不可链接性引起的不便。

此外，根据这个实施例，尽管计算量大于第一实施例，但是店铺装置20不必管理密码PW，从而减少店铺的管理费用。

<实施例2的修改>

<2-1>，<2-2>第一实施例的第一和第二修改<1-1>和<1-2>还能够实现为这个实施例的修改，

<2-3>这个实施例能够被修改来使用其他系统的零知识证明，除了在G.Ateniese，J.Camenisch，M.Joye和G.Tsudik，“A Practical and provably SecureCoalition-Resistant Group Signature Scheme”，CRYPT 2000，LNCS 1880，Springer-Verlag，pp.255-270，2000中所描述的定义4的零知识证明之外。

<2-4>这个实施例能够被修改来使用代替群签名的可追踪签名，以及使用代替零知识证明的可追踪签名中的要求(claiming)(例如，参考A.Kiayas，Y.Tsioumis，M.Young，“Traceable Signatures”，EUROCRPT 2004，lncs 3027，Springer-Verlag，pp.571-589，2004)。

<2-5>这个实施例不使用每个定购的不同值作为购买者身份验证保密信息，而使用所有定购的公有值。在这个例子中，不必管理每个定购的值，可以象成员密钥一样管理每个定购的值。

(实施例3)

参考图12-图18，将说明根据本发明第三实施例的匿名定购系统。

即，这个实施例是第二实施例的修改。当购买者希望店铺示出购买者已经完成的一个或多个定购时，相同的购买者身份验证保密信息x’体现在一条或多条匿名定购信息中，使用零知识证明来表示购买者知道x’的值，假设每条匿名定购信息包括通过计算作为不同随机数r获得的购买者身份检验信息m5＝(h，y)＝(g^r，h^x’)。

当定购ID数是一个时，采用和第二实施例中相同的操作，除了购买者身份验证保密信息ox’对于所有定购是公有的。当定购ID数是三或三以上时，很容易从两条定购ID的情况中展开。因此，将对两个定购ID的情况进行说明。

在购买者身份验证单元29中，产生零知识证明信息(x，s)中的散列值w的等式是“w＝H(y||y’||h||h’||h^t||h’^t||m6)”。

即，购买者身份检验单元29具有下述功能(f29-1)-(f29-3)。

(f29-1)：当从购买者装置30接收过去定购ID和包括“基于对应于该定购ID的购买者身份验证保密信息x’，购买者身份验证保密信息x’是公有的并且购买者知道x’值”的零知识证明信息(W，s)的请求时，这个功能从店铺的存储单元21中检索关于该定购ID的购买者身份检验信息m5。

(f29-2)：这个功能基于所检索的购买者身份检验信息m5检验零知识证明信息(w，s)。

(f29-3)：当检验零知识证明信息(w，s)的结果是有效时，这个功能接受一个请求。

类似地，在购买者身份检验单元29中，检验零知识证明信息(w，s)的等式是“w＝H(y||y’||h||h’||h^s·y’^w||h’^s·y’^w||m6)”。

即，在上述功能中，通过购买者的操作，购买者身份验证保密信息发生单元38具有使用对应于购买者身份验证保密信息x’(对应于当前的定购ID)的过去定购ID产生的购买者身份验证保密信息x’的功能。另外，购买者身份验证保密信息x’是独立于定购ID的公有保密信息。

购买者身份验证单元39具有下述功能(f39-1)-(f39-4)。

(f39-1)：这个功能通过购买者的操作，从购买者的存储单元31中检索关于两个过去定购ID的公有购买者身份验证保密信息x’。

(f39-2)：这个功能基于所检索的购买者身份验证保密信息x’，产生购买者身份验证保密信息x’是公有的以及购买者知道购买者身份验证保密信息x’的零知识证明信息(w，s)。

(f39-3)：这个功能通过购买者的操作，产生包括定购ID和零知识证明信息(w，s)的请求。

(f39-4)：这个功能发送所产生的请求到店铺装置20。

接下来，将说明如上面所述配置的匿名定购系统。

(匿名定购/交付/支付；图16和图17)

这里，由于零知识证明相同的购买者身份验证保密信息体现在两条购买者身份验证保密信息中，因此将说明使用在G.Ateniese，J.Camenisch，M.Joye和G.Tsudik，“A Practical and provably Secure Coalition-Resistant GroupSignature Scheme”，CRYPT 2000，LNCS 1880，Springer-Verlag，pp.255-270，2000中所描述的定义5中的“a signature of knowledge of the discrete logarithmofboth y_1＝g^x’w.r.t.base g and y_2＝h^x7 w.r.t.base h，on a message m”的例子。除非其他方式规定，定义的参考标记和第二实施例中的相同。

现在假设执行步骤ST21-ST22，如先前所描述的。

接下来，在购买者装置30中，当产生匿名定购信息时，购买者身份验证保密信息发生单元38产生购买者身份验证保密信息x’。假设购买者身份验证保密信息x’的值和想要消除不可链接性的过去定购ID的购买者身份验证保密信息x’的值相同。最先产生的购买者身份验证保密信息很难通过第三方来推测，并且被产生为例如随机数。

于是，基于购买者身份验证保密信息x’，随机数r和基数g，购买者身份验证保密信息发生单元38计算由h＝g^r和y ＝h^x’的集合组成的购买者身份检验信息m5＝(h，y)，并且发送购买者身份检验信息m5＝(h，y)到匿名定购信息发生单元35。

此后，执行步骤ST23-ST27的匿名定购处理，如此前所描述的。还执行步骤ST28-ST34的交付/支付处理。

(购买者身份检验；图18)

假设在上述步骤ST27之后，购买者希望请求关于店铺装置20的过去定购。

在购买者装置30中，通过购买者的操作，购买者身份检验单元39从购买者的存储单元31读取包括识别两个所请求定购的两个定购ID的两条匿名定购信息和相关的购买者身份验证保密信息x’。这两条匿名定购信息分别包括购买者身份检验信息m5＝(h，y)或m5’＝(h’，y’)(这里，h＝g^r，y＝h^x’，h’＝g^r’，y’＝h’^x’)。

此后，购买者身份检验单元39发送包括定购ID的检验开始请求到店铺装置20(ST51)。如果接收到检验开始请求，店铺装置20产生包括随机数a的消息m6，并且将消息6发送回购买者装置30。随机数“a”是防止非法再使用零知识证明信息的信息，但不是必需的。例如，消息m6可以忽略随机数“a”，或当前时间可以包括在消息m6中，而不是随机数“a”。

如果接收到消息m6，购买者装置30中的购买者身份验证单元39选择随机数t∈±{0，1}^{ε(L+k)}，并且基于随机数t，公有的购买者身份验证保密信息x’，两条购买者身份验证检验信息m5＝(y，h)和m5’＝(h’，y’)，以及消息m6计算零知识证明信息w(ST53)，s∈z，如下文给出的等式所示。该零知识证明(w，s)表示基数h的y的离散对数x’和基数h’的y’的离散对数x’相同。

w＝H(y||y’||h||h’||h^t||h’^t||m6)

s＝t-w x’

此后，通过购买者操作，购买者身份验证单元39发送包括两个定购ID和零知识证明信息(w，s)的请求到店铺装置20(ST54)。

如果接收到包括两个过去定购ID和零知识证明信息(w，s)的请求，店铺装置20中的购买者身份检验单元29检查该定购ID是否包括在店铺的存储单元21的定购接受列表中(ST55)。

当检验结果确认存在定购ID时，基于包括在关于每个定购ID的两条匿名定购信息中的购买者身份检验信息m5＝(h，y)和m5’＝(h’，y’)，所接收的零知识证明信息(w，s)和包括随机数a的消息m，购买者身份检验单元29进一步检查下述检验等式是否成立。

w＝H(y||y’||h||h’||h^s·h^w||h’^s·h’^w||m6)

当检验结果发现检验等式成立时，购买者身份检验单元29返回检验结果“有效”给购买者装置30(ST56；有效的)，并且接受该请求。如下文所描述的执行所接受请求的操作。

如上所述，根据这个实施例，购买者装置30存储“包括定购ID和购买者身份检验信息m5的匿名定购信息”和“购买者身份验证保密信息x’”。店铺装置20存储“包括定购ID和购买者身份检验信息m5的匿名定购信息”。必要时，购买者从购买装置30发送包括两条或两条以上的定购ID和零知识证明信息(w，s)的请求到购买装置20。购买装置20基于从包括在这个请求中的一条或一条以上定购ID检索的两条购买者身份检验信息m5和m5’检验零知识证明信息(w，s)。必要时这能够消除过去使用的不可链接性，并且消除由不可链接性引起的不便。

此外，根据这个实施例，除了第一实施例的效果以外，还提供以下效果。

有可能指示产生匿名定购信息的两个或多个购买者是同一购买者。当购买者通过表明两个或两个以上定购是相同的来接收一个指示服务时这是有效的。此外，当怀疑一个定购是非法时，在某些情况中能够通过销售公司装置10识别购买者，并且能够严格检验购买者的身份。

另一方面，需要相对大量的处理，第一或第二实施例更适合于其中没有严格检验购买者身份的情况(例如，只询问定购)。

<实施例3的修改>

<3-1>，<3-2>第一实施例的第一和第二修改<1-1>和<1-2>还能够实现为这个实施例的修改。

<3-3>这个实施例能够被修改来使用其他系统的零知识证明，除了在G.Ateniese，J.Camenisch，M.Joye和G.Tsudik，“A Practical and provably SecureCoalition-Resistant Group Signature Scheme”，CRYPT 2000，LNCS 1880，Springer-Verlag，pp.255-270，2000中所描述的定义5的零知识证明之外。

<3-4>这个实施例能够使用所有定购公有的购买者身份验证保密信息。在这个例子中，不必管理每个定购的值，可以象成员密钥一样管理每个定购的值。

<实施例4>

图19是说明根据本发明第四实施例的匿名定购系统配置的示意图。图20和图21是分别说明在同一实施例中购买者的存储单元和购买者身份验证保密信息存储单元的示意图。

这个实施例是第三实施例的修改。特别地，购买者身份验证单元39和购买者身份检验单元29分别与购买者装置30和店铺装置20分离，并且分别构造为购买者身份验证单元50和购买者身份检验单元60。

在购买者单元30中，其中在图12中示出的部件31-36，38和39中，省略了购买者身份验证单元39，稍微修改了购买者身份验证保密信息发生单元38作为购买者身份验证保密信息发生单元38’。

购买者身份验证保密信息发生单元38’具有下述功能(f38’-1)-(f38’-4)。

(f38’-1)：这个功能在初始设置时产生购买者身份验证保密信息x’。

(f38’-2)：这个功能将产生的购买者身份验证保密信息x’写入购买者身份验证单元50。

(f38’-3)：这个功能通过将购买者身份验证保密信息x’作为幂指数来计算保密计算值g^x’。

(f38’-4)：这个功能将所计算的保密计算值g^x’写入购买者的存储单元31。

在购买者30的存储单元中，保密计算值g^x’被保存作为一部分匿名定购信息产生信息，从已定购的信息中忽略购买者身份验证保密信息x’，如图20所示，不同于图15。

除了上述功能以外，匿名定购信息发生单元35具有基于存储在购买者的存储单元31中的保密计算值g^x’，产生的随机数r/f’和预先确定的基数g来分别产生购买者身份检验信息m5＝(h，y)＝(g^r，h^x’)或m5’＝(h’，y’)＝(g^r’，h’^x’)(y＝h^x’＝(g^x’，y’＝h’^x’＝(g^x’^r’))。通过使用保密计算值g^x’来执行购买者身份检验信息m5和m5’的产生，而不使用购买者身份验证保密信息x’。

另一方面，购买者身份验证单元50是能够由购买者携带的单元，例如IC卡，特别地，给购买者身份验证单元50提供有购买者身份验证保密信息存储单元51和购买者身份验证单元39。

购买者身份验证保密信息存储单元51是用于存储在初始设置时从购买者装置写入的购买者身份验证保密信息x’的存储器，并且能够从购买者身份检验单元39中读取，如图21所示。只有在初始设置时才能将x’和g^x’写入到存储单元51和31，并且可以手动地写入到各个存储单元或存储单元51和31的其中一个。还允许预先连接单元30和50以及对应于保密计算值g^x’的值x’被自动写入购买者身份验证保密信息存储单元51中。

购买者身份验证单元39具有下述功能(f39-1)-(f39-3)。

(f39-1)：这个功能基于购买者身份验证保密信息存储单元51中的购买者身份验证保密信息x’，产生关于一条或多条过去定购ID的购买者身份验证保密信息x’是公有的并且购买者知道购买者身份验证保密信息x’的零知识证明信息。

(f39-2)：这个功能产生包括一条或多条定购ID和零知识证明信息的请求。

(f39-3)：这个功能发送所获得的请求到“配置用于从店铺装置20获得匿名定购信息的购买者身份检验单元60”。

在店铺装置20中，省略部件21-26和29中的购买者身份检验单元29，增加匿名定购信息发送单元71。匿名定购信息发送单元71具有下述功能(f71-1)-(f71-3)。

(f71-1)：当从购买者身份检验单元60接收包括一个定购ID的请求时，这个功能检验该定购ID存在于存储在店铺的存储单元21的定购接受列表中。

(f71-2)：当检验结果发现定购ID存在于存储单元中时，这个功能从店铺的存储单元21中读取对应于该定购ID的匿名定购信息，并且发送该信息到购买者身份检验单元60。

(f71-3)：当检验结果发现存储单元中不存在定购ID时，这个功能发送错误信息到购买者身份检验单元60。

购买者身份检验单元60是安装在许多店铺中的单元，例如便利店，特别地，提供有用于检验的存储单元61，匿名定购信息接收单元62和购买者身份检验单元29。

用于检验的存储单元61是能够从匿名定购信息接收单元62写入的存储器，并且能够从购买者身份检验单元29进行读写，并且被使用来存储从店铺装置20接收到的匿名定购信息。

匿名定购信息接收单元62具有下述功能(f62-1)-(f62-2)。

(f62-1)：这个功能由购买者身份检验单元29控制，从店铺装置20读取对应于输入的“一个或多个定购ID”的一条或多条匿名定购信息。

(f62-2)：这个功能将从店铺装置20读取(接收)的一条或多条匿名定购信息写入到用于检验的存储单元61。

购买者身份检验单元29具有下述功能(f29-1)-(f29-4)。

(f29-1)：这个功能控制匿名定购信息接收单元62从店铺装置20读取对应于输入的“一条或多条过去定购ID”的一条或多条匿名定购信息。

(f29-2)：这个功能从购买者身份验证单元50接收包括“一条或多条过去定购ID”和“对应于一条或多条定购ID的购买者身份验证保密信息是公有的以及购买者知道这个信息的零知识证明信息”的请求。

(f29-3)：当接收到该请求时，基于包括在用于检验的存储单元61中的一条或多条匿名定购信息中的一条或多条购买者身份检验信息，这个功能检验零知识证明信息。

(f29-4)：当检验零知识证明信息的结果是有效时，这个功能接收该请求。

接下来，将说明如上面所述配置的匿名定购系统的操作。

(初始设置：图22)

假设运行如前所述的步骤ST1-ST15，成员认证σ_A被保存在购买者装置30的购买者的存储单元31中。

此后，在购买者装置30中，购买者身份验证保密信息发生单元38’产生购买者身份验证保密信息x’，并且输入购买者身份验证保密信息x’到购买者身份验证单元50(ST16)。在购买者身份验证单元50中，购买者身份验证保密信息x’被写入和保存在购买者身份验证保密信息存储息元51中(ST17)。

在购买者装置30中，购买者身份验证保密信息发生单元38’通过将购买者身份验证保密信息x’作为幂指数来计算保密计算值g^x’，并且将保密计算值g^x’写入购买者的存储单元31中(ST18)。

只有当注册成员(初始设置)时，购买者装置30和购买者身份验证单元50才执行增加步骤ST16之后的操作。此后，购买者能够进行匿名定购并且通过使用保密计算值g^x’和存储在初始设置上的购买者身份验证保密信息x’多次接收商品。

(匿名定购/交付/支付：图23)

现在假设执行步骤ST21-ST22，如先前所描述的。接下来，在购买者装置30中，当产生匿名定购信息时，匿名定购信息发生单元35读取购买者的存储单元31的保密计算值g^x’

于是，基于保密计算值g^x’，随机数r和基数g，匿名定购信息发生单元35产生购买者身份检验信息m5＝(h，y)＝(g^r，h^x’)(这里，y＝h^x’＝(g^x’)^r)。

匿名定购信息发生单元35产生包括消息m中的购买者身份检验信息m5的匿名定购信息(ST23)。这时，通过购买者的操作，匿名定购信息发生单元35产生匿名定购信息，以便包括销售公司的保密消息E_PGM(m4)，指定便利店来接收商品。

此后，匿名定购信息发生单元35通过匿名定购单元34发送匿名定购信息到店铺装置20(ST24)。匿名定购信息发生单元35将匿名定购信息连同m1，m2，m3，m4和P_SP一起写入到购买者的存储单元31。

当接收匿名定购信息时，店铺装置20运行步骤ST25-ST27，如此前所描述的。结果，当定购信息和匿名定购信息被保存在店铺的存储单元21中时，下文描述的购买者身份检验操作成为可能。

按照上面所描述的运行下述发送和支付步骤ST28-ST34，除了商品发送目的地是便利店以外。在步骤ST23，通过保密消息E_PGM(m4)指定发送目的地。

(购买者身份检验；图24)

假设在上述步骤ST27之后，购买者希望请求关于店铺装置20的过去定购。

购买者进入指定作为接收商品地点的便利店，请求店铺店员输入包括一条或多条过去定购ID的检验开始请求。

当定购ID数是一条时，执行与第二实施例中步骤ST51之后的那些操作相同的操作。当定购ID数是三条或三条以上时，很容易从两条定购ID的情况中展开。因此，将对两条定购ID进行说明。

在购买者身份检验单元60中，当通过店铺店员的操作输入包括两条过去定购ID的检验开始请求时(ST51’)，购买者身份检验单元29控制匿名定购信息接收单元62，以便读取对应于“两条定购ID”的两条匿名定购信息。

匿名定购信息接收单元62发送包括对应于两条匿名定购信息的两条定购ID的请求到店铺装置20(ST52’-1)。

在店铺装置20中，当接收到包括两条定购ID的请求时，匿名定购信息发送单元71检验包括在店铺的存储单元21的定购接受列表中的定购ID。当检验结果发现定购ID包括在定购接受列表中时，匿名定购信息发送单元71从店铺的存储单元21读取对应于两条定购ID的两条匿名定购信息，并且发送它们到匿名定购信息接收单元62(ST52’-2)。

匿名定购信息接收单元62将这两条匿名定购信息写入用于检验的存储单元61。购买者身份检验单元29分别从用于检验的存储单元61中的两条匿名定购信息获得购买者身份检验信息m5＝(h，j)，m5’＝(h7，y’)。此外，购买者身份检验单元29产生包括随机数a的消息m6。此后，购买者身份检验单元29发送这些购买者身份检验信息m5，m5’和消息m6到购买者身份检验单元50。

当接收到购买者身份检验信息m5，m5’和消息m6时，购买者身份检验单元50计算零知识证明信息w，s∈z，如先前所述(ST53)。零知识证明(w，s)表示基数h的y的离散对数x’和基数h’的y’的离散对数x’相同。

w＝H(y||y’||h||h’||h^t||h’^t||m6)

s＝t-w x’

此后，购买者身份验证单元39发送包括两条定购ID和零知识证明信息(w，s)的请求到购买者身份检验单元60(ST54)。

当接收到包括两条定购ID和零知识证明信息(w，s)的请求时，基于关于那些定购ID的匿名定购信息中的购买者身份检验信息m5和m5’，所接收的零知识证明信息(w，s)和包括随机数a的消息m，购买者身份检验单元60进一步检查下述检验等式是否成立(ST55)。

w＝H(y||y’||h||h’||h^s·h^w||h’^s·h’^w||m6)

当检验结果发现检验等式成立时，购买者身份检验单元60返回检验结果“有效”给购买者身份验证装置50(ST56；有效的)，并且接受该请求。如之前所描述的执行所接受请求的操作。当接受请求是接收商品的请求时，店铺店员发送对应的商品给该购买者。

如上所述，根据这个实施例，只有购买者身份验证功能和检验功能与其他功能分离，除了第三实施例的效果以外，可以扩展匿名定购的应用，并且能够提高安全性。

例如，使购买者通过因特网从购买者装置匿名定购商品，以及在通过购买者身份验证单元60确认个人身份的店铺中接收该商品的新服务成为可能(传统的匿名定购是不可能的)，匿名定购的应用能够被扩展。

在购买者一方，购买者装置30和购买者身份验证单元60分离，即使装置30和单元60的其中一个是非法使用的，也能够阻止非法定购非法接收商品。例如，即使通过非法分析和使用购买者装置30来进行非法定购，如果没有购买者身份验证单元60也无法接收已定购的商品。反之，即使购买者身份验证单元60丢失或被盗，如果没有购买者装置30也无法定购商品。即，除非单元30和60两者都被非法使用，否则能够阻止通过非法定购非法接收商品。

此外，在店铺一方，通过因特网接收匿名定购的定购和确认店铺中购买者的功能分离，从而能够提高安全性并且能够减少管理费用。

<实施例4的修改>

<4-1>对于在店铺装置20和购买者身份检验单元60之间传送匿名定购信息，不必使用在线通信，可以使用用于发送匿名定购信息以及商品的任何装置。

特别地，如图25所示，本发明的实施例可以被修改成省略在店铺装置20和购买者身份检验单元60之间传送匿名定购信息的配置(匿名定购信息发送单元71，网络46和匿名定购信息接收单元62)。

在这个修改中，“存储匿名定购信息的存储媒体”和商品通过销售公司装置10一起从店铺装置20发送到便利店。

在便利店中，在步骤ST51’之后，通过读取存储媒体的匿名定购信息，可以执行如上所述的从步骤ST52’起的操作，。

通过省略匿名定购信息发送单元71，网络46和匿名定购信息接收单元62，这个修改<4-1>能够被应用于下述所有的修改。

<4-2>上文描述了应用第三实施例的一个例子。第四实施例还能够应用于第一和第二实施例。在这些例子中，必须输入把定购(例如，一个定购ID)放入到购买者身份验证单元50时的信息。

<4-2>的<1>当该修改被应用于第二实施例时，例如，在购买者身份验证单元50中，保密信息写入/处理单元52被增加到如图19所示的配置，如图27所示。在图19所示的配置中，购买者装置30进一步提供有保密信息写入请求单元81。

当通过通信电路46从保密信息写入请求单元81接收定购ID和购买者身份验证保密信息x’时，保密信息写入/处理单元52关联并写入该定购ID和购买者身份验证保密信息x’到购买者身份验证保密信息存储单元51，如图28所示。

保密信息写入请求单元81具有发送每个匿名定购的定购ID和购买者身份验证保密信息x’到保密信息写入单元52的功能。

在操作匿名定购的处理中，每次提供一个定购时，在购买者装置30和购买者身份验证单元50之间安全地进行通信，增加关联和写入每个定购的购买者身份验证保密信息x’和定购ID到购买者身份验证保密信息存储单元51的操作(ST27’-1，ST27’-2)，如图28和图29所示。因此，即使当提供定购时也需要购买者身份验证单元50。每次提供定购时，即使内容不同，购买者身份验证单元50也读取购买者身份验证保密信息x’，并且期望具有防篡改功能。

如图30所示，在验证购买者身份的操作中，在步骤ST51’中购买者身份验证单元50输入“包括定购ID的检验开始请求”到购买者身份检验单元60之后，如前所述执行步骤ST52”-1以及之后的操作。

<4-2>的<2>当该修改被应用于第一实施例时，在购买者身份验证单元50中，密码存储单元51’代替购买者身份验证保密信息存储单元51，并且密码写入/处理单元52’被增加到如图19所示的配置中，如图31所示。在图19所示的配置中，购买者装置30进一步提供有密码写入请求单元81’。

当通过通信电路46从密码写入请求单元81’接收定购ID和密码PW时，密码写入/处理单元52’关联并写入该定购ID和密码PW到密码存储单元51’，如图32所示。

密码写入请求单元81’具有发送每个匿名定购的定购ID和密码PW到密码写入/处理单元52’的功能。

在操作匿名定购的处理中，每次提供一个定购时，在购买者装置30和购买者身份验证单元50之间安全地进行通信，增加关联和写入每个定购的密码PW和定购ID到购买者身份验证保密信息存储单元51’的操作(ST27’-1，ST27’-2)，如图32和图33所示。因此，即使当提供定购时也需要购买者身份验证单元50。每次提供定购时，即使的内容不同，购买者身份验证单元50也读取购买者身份验证保密信息x’，并且期望具有防篡改功能。

在检验购买者身份的操作中，如图34所示，购买者身份验证单元50输入“包括定购ID和密码的请求”到购买者身份检验单元60(ST41”)。购买者身份检验单元60发送包括定购ID的密码发送请求到店铺装置20(ST42”-1)，并且当存在对应的定购ID时从店铺装置20接收对应的密码(ST42”-2)。

此后，购买者身份检验单元60检验两个密码是否相同，当发现它们相同时，返回检验结果“有效”到购买者身份验证单元50(ST43”；有效的)，并且接受该请求。

反之，当在步骤ST42”中的检验结果发现两个密码不相同时，购买者身份检验单元60返回检验结果“无效”到购买者身份验证单元50(ST43”；无效的)。

<4-3>当购买者身份验证单元50具有低处理能力或不具有足够的计算能力时(例如，在存储卡的情况中)，是不可能进行计算的，购买者身份验证保密信息x’可以从购买者身份验证单元50读取，并且在购买者身份检验单元60中进行认证/检验。然而，在这个例子中，更可取的是建立一个用于读取的安全通信电路，从而阻止购买者身份验证保密信息x’的泄漏，例如，通过使购买者身份检验单元60防篡改来确保安全性。

更特别地，购买者身份验证单元50提供有保密信息读取响应单元53，而不是图19所示的购买者身份验证单元39，如图35所示。此外，购买者身份检验单元60还提供有如图19所示的配置中的保密信息读取请求单元63。

保密信息读取响应单元53响应从保密信息读取请求单元63接收的发送请求，发送购买者身份验证保密信息存储单元51中的购买者身份验证保密信息x’到保密信息读取请求单元64。

保密信息读取请求单元63具有下述功能(f63-1)和(f63-2)。

(f63-1)：这个功能由购买者身份检验单元29控制，发送请求到保密信息读取响应单元53，从而发送购买者身份验证保密信息x’。

(f63-2)：这个功能发送从保密信息读取请求单元63接收的购买者身份验证保密信息到购买者身份检验单元29。

在检验购买者身份的处理中，如图36所示，如先前描述的步骤ST51’-ST52-2’，一条或多条匿名定购信息被写入用于检验的存储单元61中。购买者身份检验单元29从用于检验的存储单元61中获得每条匿名定购的购买者身份检验信息。

此后，购买者身份检验单元60发送保密信息发送请求到购买者身份验证单元50(ST52”-3)。

响应该发送请求，购买者身份验证单元50发送购买者身份验证保密信息存储单元51中的购买者身份验证保密信息x’到购买者身份检验单元60(ST52”-4)。

于是，购买者身份检验单元60基于购买者身份验证保密信息x’检验对于每条匿名定购信息m5＝(h，y)的y＝h^x’是否成立(ST53)。

此后，根据检验结果执行步骤ST56以及之后的操作，如先前描述的。

上述实施例的技术可以是由计算机执行的存储在存储媒体中的程序，该存储媒体包括磁盘(软盘^TM，硬盘，等等)，光盘(CD-ROM，DVD，等等)，磁光盘(MO)和用于销售的半导体存储器。

能够使用于本发明目的的存储媒体并不限于上述所列举出的存储媒体，任何类型的存储媒体，只要它们是计算机可读的，都可以使用于本发明的目的。

另外，根据通过存储媒体安装在计算机中的程序指令的计算机上的OS(操作系统)操作，数据库管理软件和/或诸如网络软件这样的中间件都可以参与用于实现上述实施例的处理步骤。

另外，能够使用于本发明目的的存储媒体并不限于那些独立于计算机但包括适合用于下载通过LAN和/或因特网传送的程序并且永久或暂时存储这些程序的存储媒体。

上述实施例不必使用单个存储媒体。换句话说，上述实施例可以使用多个存储媒体来运行上述各种处理的任何一种。这种存储媒体可以具有任何一种配置。

为了实现本发明的目的，根据存储在存储媒体或上述优选实施例的媒体中的一个或一个以上程序，计算机执行各种处理。特别地，该计算机可以是孤立的计算机或通过网络连接多个计算机实现的系统。

为了实现本发明的目的，该计算机不仅包括个人计算机而且包括信息处理装置中的处理器和微型计算机。换句话说，通常计算机指的是依靠计算机程序能够实现本发明功能特征的装置和设备。

本发明并不限于上述实施例，在不脱离本发明的精神和范围内可以进行各种不同方式的修改。另外，上述实施例的任何一种组件为了实现本发明的目的可以以各种不同的适合方式进行组合。例如，可以省略上述实施例的某些组件。可选地，为了实现本发明的目的，不同实施例的组件可以以各种不同的适合方式进行组合。