サービス提供システムおよび方法
【課題】ハードウェア・トークンにおけるライフサイクル管理にかかる発行、物流および運用管理に関する稼動やコストの負担を軽減するサービス提供システムを提供する。
【解決手段】個人のセキュリティ属性情報を格納する従来の個人所有のハードウェア・トークンに替えて、個人情報管理サーバ1は、個人の利用端末3からの要求に応じて、または個人の利用端末3からの要求に基づくサービス提供サーバ2からの要求に応じて、個人の識別情報登録と同時に初期のサービスを登録し、サービスの登録に際し、サービスに対する個人のセキュリティ属性情報を生成し登録する。個人の識別情報の登録後は、個人の利用端末3からの要求に基づくサービス提供サーバ2からの要求に応じてサービスを追加し、サービスの追加に際し、サービスに対する個人のセキュリティ属性情報を生成し登録し、個人の利用端末3からの要求に応じて個人のセキュリティ属性情報を更新・削除する。
【解決手段】個人のセキュリティ属性情報を格納する従来の個人所有のハードウェア・トークンに替えて、個人情報管理サーバ1は、個人の利用端末3からの要求に応じて、または個人の利用端末3からの要求に基づくサービス提供サーバ2からの要求に応じて、個人の識別情報登録と同時に初期のサービスを登録し、サービスの登録に際し、サービスに対する個人のセキュリティ属性情報を生成し登録する。個人の識別情報の登録後は、個人の利用端末3からの要求に基づくサービス提供サーバ2からの要求に応じてサービスを追加し、サービスの追加に際し、サービスに対する個人のセキュリティ属性情報を生成し登録し、個人の利用端末3からの要求に応じて個人のセキュリティ属性情報を更新・削除する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人情報管理および個人情報に基づいてサービスを提供するサービス提供システムおよび方法に関する。
【背景技術】
【0002】
個人が、インターネット等のオンライン上の何等かのサービスを利用する際には、予め当該サービス提供者との契約にて定められたICカードなどのハードウェア・トークンを用いる。当該トークンには、当該サービス提供者が、当該個人のプライベート鍵、公開鍵証明書、パスワード等のセキュリティ属性情報を予め生成し格納しているため、当該サービス提供者は、当該個人からのサービスの利用要求に際し、当該トークンと連携して当該個人を認証したり、あるいは、当該個人との間で、専用の暗号通信をしたりすることができる。
また、複数のサービスに対して、1つのトークンのなかに、独立した複数のサービス管理領域を作成し、それぞれの領域に個人のセキュリティ属性情報を格納して、個人の認証等に利用することができる。当該トークンは、サービス提供者ではなく、サービス管理領域の貸借契約先であるトークン発行者により発行され、当該トークン発行者は、当該トークンを、当該個人に貸与提供したのちに、当該個人は、当該トークン発行者が提供するオンライン・システムを利用して、当該トークンに、新たなサービスを利用するための、当該個人のセキュリティ属性情報等を格納することができる。
【0003】
個人が、何等かのサービスを利用する際に、当該サービス提供者が、個人を識別し、サービス利用を許可するために、個人を認証することは、公知の手法である。認証の際、個人に関するセキュリティ属性情報を、個人認証情報とし、これをパスワード情報や公開鍵証明書等とすることも公知である。また、個人認証情報の格納先として、当該サービス提供者が提供するハードウェア・トークンを用いることも公知である。複数のサービス提供者が、それぞれ自らハードウェア・トークンを発行せずに、他者の発行するトークンを利用することも公知である。
【0004】
また、個人のセキュリティ属性情報を、ハードウェア・トークン以外に、ネットワークの先の何らかのサーバシステム内に、暗号化して保持し、当該トークンと連携して、インターネット等のオンライン上の何等かのサービス利用の際のアクセスキーとして活用するという考え方がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−351073号公報
【特許文献2】特開2004−126865号公報
【非特許文献】
【0006】
【非特許文献1】“GlobalPlatform仕様対応のICカード情報流通、プラットフォームNICEと多目的ICカードELWISE”、NTTサービスインテグレーション基盤研究所、インターネット<URL:http://www.ntt.co.jp/journal/0402/files/jn200402046.pdf>
【非特許文献2】“サーバ連携型多目的ICカードシステム−耐タンパー技術の重要性−”、東京工業大学、像情報工学研究施設、大山永昭、インターネット<URL:http://www.dvlsi.jst.go.jp/topics/081206ws/081206DVLSIWS%20ohyama.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0007】
サービスを利用するために、個人のセキュリティ属性情報が必要になるが、この情報の格納先として、機密性、可搬性を確保するために、従来技術においては、ハードウェア・トークンを用いるが、当該トークンのライフサイクル管理に、相当の稼動およびコストを要する。稼動の要因としては、ハードウェア・トークンの調達・発送・回収・廃棄に伴う物流稼動、発行運用管理のシステムオペレーションに係る稼動、故障・紛失・盗難などに伴い発生するカスタマーサービスに係る稼動などがある。コストの要因としては、ハードウェア・トークンの物流稼動に係る物件費、オペレータの人件費などが考えられる。
【0008】
また、トークン発行者が個人に提供するオンライン・システムにより、利用中のハードウェア・トークンに新たなサービス用のセキュリティ属性情報を格納するためには、情報セキュリティの観点から、暗号通信を実現するための鍵、証明書等の情報の生成・登録や、必要な当該システム専用のアプリケーションプログラムのインストール、さらに当該トークン用のリーダ・ライタ装置が接続された動作環境が必要となり、利用・普及の制約となっている。
【0009】
本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、個人毎に貸与提供するハードウェア・トークンにおけるライフサイクル管理にかかる発行、物流および運用管理に関する稼動やコストの負担を軽減するサービス提供システムおよび方法を提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するため、本発明のサービス提供システムは、ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムであって、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求し、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答し、前記個人情報管理サーバが、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すことを特徴とする。
【0011】
本発明のサービス提供システムは、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求し、前記個人情報管理サーバが、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録することを特徴とする。
【0012】
本発明のサービス提供システムは、前記個人情報管理サーバが、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録することを特徴とする。
【0013】
また、本発明の個人情報管理サーバは、個人の利用端末など外部システムからの要求に応じて個人識別情報およびセキュリティ属性情報を生成し、登録するとともに、サービス提供サーバから各種サービスの処理要求を受け、個人認証後に実行されるサービスの実行結果を含む処理結果を返却する外部接続部と、前記外部接続部での処理の実行に際し、前記個人識別情報によって当該個人を特定し、前記サービス提供サーバとの間で規定される制御ポリシおよび制御ルールに従って、当該処理の実行可否をチェックし、制御するアクセス制御部と、前記処理が実行可と判断される場合に、前記サービスに対応するサービスアプリケーションを呼び出すサービス呼出部と、前記呼び出されたサービスの処理を実行し、その実行結果を前記外部接続部に送出するサービスアプリケーション部と、前記サービスの処理を実行する際に必要となる前記個人識別情報およびセキュリティ属性情報を個人毎・サービス毎に管理するサービス管理部とを備えることを特徴とする。
【0014】
また、本発明のサービス提供方法は、ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムにおけるサービス提供方法であって、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求するステップと、前記個人情報管理サーバが、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すステップと、前記サービス提供サーバが、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答するステップとを含むことを特徴とする。
【0015】
本発明のサービス提供方法は、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求するステップと、前記個人情報管理サーバが、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録するステップとを更に含むことを特徴とする。
【0016】
本発明のサービス提供方法は、前記個人情報管理サーバが、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録するステップとを更に含むことを特徴とする。
【発明の効果】
【0017】
本発明は、サービス提供サーバのサービスに対して、暗号、復号、署名生成、署名検証、認証などの基本的な暗号サービスを提供することができる。その際、個人のプライベート鍵、公開鍵証明書、パスワード等のセキュリティ属性情報を、事前に生成、登録したうえで、活用する。
また、本発明は、論理的なサービス追加の上限数がないため、必要なとき必要な数のサービスを追加できる。
また、本発明は、追加されたサービスAP(アプリケーション)を、外部から利用する際には、必ず外部接続部を経由し、アクセス制御部による必要なアクセス制御を通過する必要があり、さらにサービス呼出部によってのみサービスAPが呼び出され、実体化されるようにしているため、外部からのサービスAPの不正利用が困難な構成となっている。
また、本発明では、個人のセキュリティ属性情報は、サービス管理部が、個人毎、サービス毎に管理し、サービスAP(アプリケーション)部は、サービス管理部がサービスAP部向けに提供する規定のインタフェースを介してのみ利活用することができるようにし、サービスAP自体が個人のセキュリティ属性情報を管理できないようにしているため、サービスAPからの個人のセキュリティ属性情報の不正利用が困難な構成となっている。さらに、本発明のシステム内に、複数のサービスAPが登録されていた場合、他サービスAPが利活用する情報は、当該インタフェースを介しても利活用できない。
本発明を、サービス利用の際の認証手段として利用することで、サービス提供者は、従来技術における認証情報の機密性を担保しつつ、トークンの発行、運用にかかる稼動およびコストを削減することができる。
本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードと比較して、格納情報の機密性において、同等である。格納情報は、耐タンパー性のある情報格納部に、暗号化されて格納される。
また、本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードを用いたサービスの利用方法と比較して、ログインの容易性において、同等以上である。ログインに用いる認証情報としては、IDおよびパスワードでよいし、ICカード内の秘密鍵、証明書でもよい。
さらに、本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードを用いたサービスの追加方法と比較して、個人の利用する動作環境の汎用性において優れている。ウェブブラウザを搭載可能な端末であれば、動作環境となる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態に係るサービス提供システムの構成を概略的に示すシステム構成図である。
【図2】個人情報管理サーバの構成と、サービス提供サーバの連携処理部の構成の詳細を示す図である。
【図3】情報格納部にて保持しアクセス制御部が処理するアクセス制御ルールの一例を示す図である。
【図4】アクセス制御のフローおよびサービスAPの呼び出しイメージを示す図である。
【図5】個人情報管理サーバに格納する情報の管理イメージを示す図である。
【図6】個人セキュリティ属性情報管理部における管理情報の概念イメージを示す図である。
【図7】具体的な管理情報のイメージを示す図である。
【図8】個人情報の登録および管理フローの一例を示す図である。
【図9】初期登録済みサービス利用(文書暗号、署名付与)のフローの一例を示す図である。
【図10】初期登録後のサービス追加およびサービス利用(署名付与)のフローの一例を示す図である。
【発明を実施するための形態】
【0019】
本発明の実施の形態について図面を参照して説明する。
図1は、本発明の実施の形態に係るサービス提供システムの構成を概略的に示すシステム構成図である。
図1に示すサービス提供システムは、ネットワークにより互いに接続されたトークン発行者の個人情報管理サーバ1と、サービス提供者のサービス提供サーバ2と、個人の利用端末3などの外部システムとによりオンラインサービスシステムとして構成されている。個人情報管理サーバ1は、外部接続部10と、アクセス制御部20と、サービス呼出部30と、サービスAP(アプリケーション)部40と、サービス管理部50と、情報処理部60と、情報格納部70と、通信処理部80を備えている。サービス提供サーバ2は、連携処理部90と、情報登録部100と、情報生成部110と、情報処理部120と、情報格納部130と、通信処理部140を備えている。利用端末3は、情報表示部150と、情報入力部160と、通信処理部170を備えている。
【0020】
図1において、(1)は個人の識別属性情報、セキュリティ属性情報の生成・登録の要求を示し、(2)は識別属性情報、セキュリティ属性情報の生成・登録を示し、(3)は個人認証に関するサービス利用の要求を示し、(4)は識別された個人のセキュリティ属性情報の生成・登録の要求およびこれを用いたサービス実行の要求を示し、(5)は識別された個人のセキュリティ属性情報の生成・登録およびこれを用いた個人認証に関するサービス実行を示し、(6)は識別された個人へのサービス提供を示している。
【0021】
図2は、個人情報管理サーバの構成と、サービス提供サーバの連携処理部の構成の詳細を示す図である。図2において、aは連携処理部90から外部接続部10への要求を示し、pは外部接続部10から連携処理部90への応答を示している。bは外部接続部10からアクセス制御部20への要求を示し、cはアクセス制御部20から外部接続部10への応答を示している。dは外部接続部10からサービス呼出部30への要求を示し、oはサービス呼出部30から外部接続部10への応答を示している。eはサービス呼出部30からサービスAP部40への要求を示し、nはサービスAP部40からサービス呼出部30への応答を示している。fはサービスAP部40からサービス管理部50への要求を示し、mはサービス管理部50からサービスAP部40への応答を示している。gはサービス管理部50からアクセス制御部20への要求を示し、hはアクセス制御部20からサービス管理部50への応答を示している。iはサービス管理部50から情報処理部60への要求を示し、lは情報処理部60からサービス管理部50への応答を示している。jは情報処理部60から情報格納部70への要求を示し、kは情報格納部70から情報処理部60への応答を示している。
【0022】
個人情報管理サーバ1の外部接続部10は、外部のサーバ、端末等のシステムから各種サービスの処理要求を受け、処理結果を返却する、WEBサービス等のインタフェースである。
なお、サービス要求を受けた際に得られる各パラメータ(外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等)については、引継ぎ情報として、本システム内のメモリ等の一時記憶領域に保持する。
外部接続部10は、図2に示すように、個人認証処理部11と、個人識別情報管理部12と、サービス実行部13と、サービス追加部14を備えている。
【0023】
個人認証処理部11は、要求元の個人を識別し、本人であるか否かを確認する個人認証処理インタフェースである。本人確認のための当該個人のセキュリティ属性情報は、予め当該個人と本サーバの運用者(トークン発行者)との間の契約および運用規定に基づき、本サーバ内の情報格納部70に登録されていることとする。
個人認証処理部11は、個人情報管理サーバ1とは別のサーバに存在してもよい。
【0024】
個人識別情報管理部12は、個人を識別する情報、その他の個人属性情報を登録、参照、更新、削除する個人識別情報管理インタフェースである。個人属性のうち、セキュリティ属性情報を含むサービス属性情報は、ここでは管理対象としない。個人が利用を希望するサービスAP(アプリケーション)との関連付け、および当該サービスAPが処理実行に必要とする、セキュリティ属性情報を含む各種サービス属性情報の生成等は、サービス追加部14を使用して管理する。
【0025】
サービス実行部13は、サービスの処理要求の内容を、サービス識別情報(サービスID)、処理識別情報(処理ID)にて識別し、当該処理要求に応じた処理結果を返却するサービス実行インタフェースである。本サーバ内に存在し、利用可能なサービスとして登録・管理されているサービスAPおよび処理に対してのみ有効である。
【0026】
サービス追加部14は、サービス提供サーバ2など外部システムと対応するサービスAP部40が、本サーバに配備・実装された場合、そのままでは機能しないため、個人と当該サービスAPを関連付け、利用可能にするためのサービス追加インタフェースである。当該サービスAPが処理実行の際に必要とする、セキュリティ属性情報を含む各種サービス属性情報の生成、登録、参照、更新、削除などの要求管理も同時に行う。
【0027】
個人情報管理サーバ1のアクセス制御部20は、外部接続部10でのインタフェースの処理実行に際し、規定の制御ポリシおよびアクセス制御ルールに従って当該処理の実行可否をチェックし、制御する。制御ポリシは本システムの設定情報として、アクセス制御ルールはアクセス制御情報として、予め情報格納部70に生成保持する。
図3は、情報格納部にて保持しアクセス制御部が処理するアクセス制御ルールの一例を示す図であり、外部システム、要求サービス、インタフェースの種別により、アクセス制御ルールを規定する。図において、○がアクセス制御の適用を示す。
また、図4は、アクセス制御のフローおよびサービスAPの呼び出しイメージを示す図である。
【0028】
規定のポリシに対応したアクセス制御部20は、図2に示すように、サーバ確認部21と、サーバ・サービス確認部22と、個人・サービス確認部23と、個人登録状態確認部24と、個人認証状態確認部25と、個人・サービス認可部26と、個人・サービス管理情報認可部27を備えている。
【0029】
サーバ確認部21は、要求元の外部サーバが、正当なサーバであるかを、予め定めたサーバ毎のIDおよびパスフレーズ等のセキュリティ属性情報を用いて確認する部分である。要求元サーバが実行可能な処理であるかも併せて確認する。
【0030】
サーバ・サービス確認部22は、要求元サーバの要求するインタフェースの処理内容が、規定のアクセス制御ルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0031】
個人・サービス確認部23は、要求元である個人が、サーバを経由して要求するインタフェースの処理内容が、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0032】
個人登録状態確認部24は、要求元である個人が、本システムに登録されているか否か、登録されていた場合でも、有効であるか否かを、個人識別情報管理部12の管理情報より確認する部分である。
【0033】
個人認証状態確認部25は、要求元である個人が、本システムにログインしているか否か、ログインしていた場合、どのようにログインしたのかを、個人認証処理部11が保持する認証状態情報を利用して確認する部分である。
【0034】
個人・サービス認可部26は、要求元である個人が、要求するサービスAPが、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0035】
個人・サービス管理情報認可部27は、要求元である個人が、要求するサービスAPのサービス管理情報が、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0036】
個人情報管理サーバ1のサービス呼出部30は、外部接続部10のサービス実行部13およびサービス追加部14と対応し、サービス実行部13およびサービス追加部14が外部からの要求に応じ処理を実行した後、サービス識別情報(サービスID)と対応付けのあるサービスAPを名前解決のうえ特定し、実体化し、呼び出す部分である。概念フローを図4に示す。
要求に対応する呼び出しを行うサービス呼出部30は、図2に示すように、追加呼出部31と、実行呼出部32を備えている。追加呼出部31は、サービスAP部のサービス追加部に対応する呼び出し部分であり、実行呼出部32は、サービスAP部のサービス実行部に対応する呼び出し部分である。
【0037】
個人情報管理サーバ1のサービスAP部40は、サービス提供サーバ2などの外部の要求元サーバと対応し、個人に対して当該サービスの追加および実行に必要な処理を行う当該サービスの実体部分である。処理に際しては、サービス管理部50が、サービスAP向けに提供する既定のインタフェースを利活用できる。サービスAP部40は、図2に示すように、サービス追加部41と、サービス実行部42を備えている。なお、サービスAPは、サービス呼出部30からのみ呼び出される。
【0038】
サービス追加部41は、個人と当該サービスAPの関連付け、個人が当該サービスを利用する際に必要となる、個人セキュリティ属性情報およびそのアクセス制御情報の生成、登録等の処理を行う部分である。処理に際しては、サービス管理部50が提供するインタフェースを利活用できる。この場合、サービス管理部50の処理に必要な外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等については、パラメータとして設定することはできない。
【0039】
サービス実行部42は、サービス追加済みのサービスに対して、個人からの要求に対応し、要求元サーバが要求する各種の処理を実行する部分である。各種の処理としては、要求元指定情報の暗号化および復号化、要求元指定情報への署名付与、要求元指定署名情報の検証、および要求元指定サービス固有の認証がある。各種の処理は、これらに限定したものではない。処理に際しては、サービス管理部50が提供するインタフェースを利活用できる。
【0040】
個人情報管理サーバ1のサービス管理部50は、サービスAPが実行する処理のうち、個人セキュリティ属性情報の生成、管理、活用に関する処理を、本システム内で一元的に実行する部分である。サービス管理部50は、サービスAP向けに、以下の個人セキュリティ属性情報生成部51、個人セキュリティ属性情報管理部52、個人セキュリティ属性情報活用部53に対応するインタフェースを提供する。
なお、当該処理に必要な外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等については、サービスAPから設定されるのではなく、外部接続部10が引継ぎ情報として、本システム内のメモリ等の一時記憶領域に保持している情報を用いる。
【0041】
個人セキュリティ属性情報生成部51は、サービスAP部40のサービス追加処理にて、インタフェースを介して利用され、当該サービスで要求される処理に必要な、鍵ペア、公開鍵証明書、パスワード等の生成を行う部分である。鍵ペアの生成は、情報格納部70の耐タンパー部内にて安全かつ機密に行う。公開鍵証明書は、証明書発行要求(CSR)を作成の後、外部サーバに発行を要求し、生成してもよい。
【0042】
個人セキュリティ属性情報管理部52は、個人セキュリティ属性情報生成部51で生成した各種情報の、情報格納部70への登録、参照、更新、削除などの管理を行う部分である。個人セキュリティ属性情報の管理に際して、事前に、本システムの運用ポリシに対応した当該情報へのアクセス制御情報もあわせて生成、登録等を行う。
個人セキュリティ属性情報は、個人ごとに利用可能なサービスおよび当該サービスにおいて使用される情報として管理する。当該情報のうち、特に秘密に管理すべき情報は、情報格納部70の耐タンパー部71に格納し、管理する。管理イメージを図5、図6に示す。
【0043】
図5は、個人情報管理サーバに格納する情報の管理イメージを示す図である。個人(P1)は、サービス(S1)とサービス(S2)に関する個人セキュリティ属性情報1および個人セキュリティ属性情報2を保持する。個人(P2)は、サービス(S3)に関する個人セキュリティ属性情報1を保持する。個人(P3)は、サービス(S2)に関する個人セキュリティ属性情報1および個人セキュリティ属性情報3を保持する。個人セキュリティ属性情報1は、暗号化され、耐タンパー部71にて管理される。個人セキュリティ属性情報2、3は、データベース部72にて管理される。
図6は、個人セキュリティ属性情報管理部における管理情報の概念イメージを示す図であり、図7は、具体的な管理情報のイメージを示す図である。
【0044】
個人セキュリティ属性情報活用部53は、個人セキュリティ属性情報管理部52で管理する各種情報を活用して、要求元指定情報の暗号化および復号化、要求元指定情報への署名付与、要求元指定の署名情報の検証、および要求元指定のサービス固有の認証等の処理を実行する部分である。なお、ここに挙げた処理以外についても対応可能である。プライベート鍵や秘密鍵を処理に使用する場合、情報格納部70の耐タンパー部71内で、安全かつ機密に実行する。
【0045】
個人情報管理サーバ1の情報処理部60は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部における共通的な処理を行う部分である。情報処理部60は、情報格納部接続部61と、ログ出力部62を備えている。
情報格納部接続部61は、本サーバ内の外部接続部10、アクセス制御部20、サービス管理部30が、情報格納部70に対して、各種情報の操作(登録、参照、更新、削除)を行うために接続処理を行う部分である。
ログ出力部62は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部と対応し、各部の要求に応じて、ログ生成し、出力する部分である。
【0046】
個人情報管理サーバ1の情報格納部70は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部において使用する各種情報を、一時的あるいは恒久的に格納および処理する部分である。情報格納部70は、耐タンパー部71と、データベース部72を備えている。
耐タンパー部71は、サービス管理部50で生成、管理、活用される個人セキュリティ属性情報を、一時的あるいは恒久的に格納および処理する部分である。
データベース部72は、外部接続部10、アクセス制御部20、サービス管理部50で生成、管理される個人識別情報およびその他の属性情報、システム制御情報を、一時的あるいは恒久的に格納および処理する部分である。
【0047】
個人情報管理サーバ1の通信処理部80は、外部のサーバ、端末等のシステムと、HTTP(S)を利用したWEBサービス等既知の通信手段による通信を行い、外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部の初期化等処理を行う部分である。
【0048】
サービス提供サーバ2の連携処理部90は、本サーバの情報処理部120からの処理要求を受け、個人情報管理サーバ1の外部接続部10に対して、サービスの処理要求を行い、個人情報管理サーバ1の外部接続部10からのサービス処理応答を受け、本サーバの情報処理部120へ処理応答を返却する部分である。連携処理部90は、情報処理部120向けに、以下の個人認証連携部91、個人識別情報管理連携部92、サービス実行連携部93、サービス追加連携部94に対応するインタフェースを提供する。
【0049】
個人認証連携部91は、本サーバが外部の端末等から受ける各種要求に関連して、要求元の個人が本人であるか否かを確認するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10の個人認証処理部11に対して、個人認証処理要求を行い、その応答である個人認証処理結果を、情報処理部120に返却する部分である。
【0050】
個人識別情報管理連携部92は、本サーバが外部の端末等から受ける各種要求に関連して、要求元の個人を識別する情報、その他の個人属性情報を登録、参照、更新、削除するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10の個人識別情報管理部12に対して、個人識別情報管理要求を行い、その応答である個人識別情報管理結果を、情報処理部120に返却する部分である。
【0051】
サービス実行連携部93は、本サーバが外部の端末等から受ける各種要求に関連して、当該要求を実行するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10のサービス実行部13に対して、サービス識別情報(サービスID)、処理識別情報(処理ID)にて識別された各種のサービス実行要求を行い、その応答であるサービス実行結果を、情報処理部120に返却する部分である。
【0052】
サービス追加連携部94は、本サーバが外部の端末等から受ける各種要求に関連して、個人情報管理サーバ1上にサービスを追加するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10のサービス追加部14に対して、サービス識別情報(サービスID)にて識別されたサービス追加要求を行い、その応答であるサービス追加結果を、情報処理部120に返却する部分である。
【0053】
サービス提供サーバ2の情報登録部100は、外部の端末等からの情報入力要求に関連して、本サーバの情報格納部130に対して、個人識別情報、サービス属性情報等を登録する部分である。
【0054】
サービス提供サーバ2の情報生成部110は、外部の端末等からの情報表示要求に関連して、外部の端末等にて表示および処理するための画面情報、その構成情報および制御情報等を生成する部分である。
【0055】
サービス提供サーバ2の情報処理部120は、外部の端末等からの情報表示要求に関連して、本サーバの連携処理部90に対して、各種処理をする部分である。
【0056】
サービス提供サーバ2の情報格納部130は、本サーバ内の情報登録部100、情報生成部110、情報処理部120、情報格納部130の各部において使用する各種情報を、一時的あるいは恒久的に格納および処理する部分である。
【0057】
サービス提供サーバ2の通信処理部140は、外部のサーバ、端末等のシステムと、HTTP(S)を利用したWEBサービス等既知の通信手段による通信を行い、連携処理部90、情報登録部100、情報生成部110、情報処理部120の各部の初期化等処理を行う部分である。
【0058】
利用端末3の情報表示部150は、サービス提供サーバ2で生成された情報を、ブラウザ等既知の表示手段を用いて表示する部分である。
【0059】
利用端末3の情報入力部160は、情報表示部150で表示された画面等情報において、サービス提供サーバ2への情報提示を目的とし、情報を入力する部分である。
【0060】
利用端末3の通信処理部170は、外部のサーバ等のシステムと、HTTP(S)を利用した既知の通信手段による通信を行う部分である。
【0061】
次に、本発明のサービス提供システムの動作について説明する。
なお、前提として、
1.本システムにおけるアクタ間の信頼関係は、以下のとおりである。
(a)個人は、トークン発行者を信頼している。
(b)サービス提供者は、トークン発行者を信頼している。
(c)個人は、トークン発行者が認証したサービス提供者を信頼している。
(d)サービス提供者は、トークン発行者が認証した個人を信頼している。
2.個人情報管理サーバの個人認証処理部およびサービス提供サーバの個人認証連携部における個人認証は、SAMLなど既知の認証連携技術を適用した実装により、実現される。
3.本システムにおいて使用する情報は、以下に示す既知のセキュリティ実装により、安全性が担保されている。
(a)本システムを構成する、端末・サーバ間(図1の(1)(2)(3)(6))、サーバ・サーバ間(図1の(4)(5))の通信においては、SSLやVPNなど既知のネットワークセキュリティに関する実装が、適切に適用されており、通信情報に対する盗聴・改ざん等あらゆる攻撃が無効である。
(b)個人情報管理サーバのデータベース部など耐タンパー部を除く部分は、セキュアOSなど既知のオペレーティングシステムセキュリティに関する実装が、適切に適用されており、制御情報、格納情報等に対する不正アクセス等あらゆる攻撃が無効である。
(c)個人情報管理サーバの耐タンパー部は、既知の耐タンパー実装が適切に適用されており、盗聴・改ざん・不正アクセス・物理的破壊などあらゆる攻撃が無効である。
【0062】
まず、個人情報の登録および管理フローの一例を図8に示す。
サービス提供者のサービス提供サーバ2からトークン発行者の個人情報管理サーバ1に、サービス提供者の登録要求があると、個人情報管理サーバ1は、サービス提供サーバ2にサービス提供者のサービス識別情報(IDなど)、セキュリティ属性情報(パスワードなど)を要求し、サービス提供サーバ2からサービス識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、サービス提供者のサービス識別情報、セキュリティ属性情報を登録する。
個人(P)の利用端末3から個人情報管理サーバ1に、個人(P)の登録要求があると、個人情報管理サーバ1は、利用端末3に個人(P)の個人識別情報(IDなど)、セキュリティ属性情報(パスワードなど)を要求し、利用端末3から個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、個人(P)の個人識別情報、セキュリティ属性情報を登録する。
【0063】
個人(P)は利用端末3を用いて、個人情報管理サーバ1に対して、個人情報管理開始の要求を行い、個人情報管理サーバ1から認証操作の要求を受けると、認証操作の応答を行い、個人情報管理サーバ1において、個人(P)の情報を管理するため(サービス(S1)を利用するため)に必要な個人認証を受け、個人情報管理サーバ1から個人情報管理開始の応答を受けると、個人情報管理サーバ1にログイン状態となる(個人認証に用いる個人識別情報およびセキュリティ属性情報は、予め登録されている)。
個人(P)が利用端末3を用いて、サービス提供サーバ2に対して、サービス(S1)を利用するために必要なサービス利用者の初期登録の要求を行うと、サービス提供サーバ2は、個人(P)が個人情報管理サーバ1に登録されて管理対象となっており、要求を受けた時点で個人情報管理サーバ1にログインしているかどうかを、個人情報管理サーバ1が保持する個人(P)の認証状態により確認する。
サービス提供サーバ2は、個人(P)の認証状態が適切な場合(ログイン中である場合)、個人(P)の要求に応じて、個人(P)がサービス(S1)を利用するために必要な個人(P)のセキュリティ属性情報の生成・登録のサービス実行を、個人情報管理サーバ1に対して要求する。
個人情報管理サーバ1は、サービス提供サーバ2がサービス提供者として自身に登録されていることを確認したのち、サービス提供サーバ2の要求に応じて、個人(P)のセキュリティ属性情報を生成・登録し、実行結果をサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答を受けたのち、個人(P)をサービス(S1)のサービス利用者として、自身に登録し、その結果を、利用端末3の初期登録の要求に対して応答する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1に個人情報管理終了の要求を行い、個人情報管理サーバ1から個人情報管理終了の応答を受け、個人情報管理サーバ1よりログアウトする。
【0064】
次に、初期登録済みサービス利用(文書暗号、署名付与)のフローの一例を図9に示す。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S1)の各種サービスの利用開始の要求を行う。
サービス提供サーバ2は、利用端末3を経由して個人情報管理サーバ1に対して、個人(P)の個人認証の実行を要求する。
個人情報管理サーバ1は、利用端末3に対して、個人認証のための操作(パスワード入力など)を要求する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1からの個人認証要求に応じて、個人認証のための操作を行う。
個人情報管理サーバ1は、利用端末3から応答を受け、個人認証を行い、認証結果を利用端末3を経由してサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答で、正しく認証されていた場合に、利用端末3に対して、サービス(S1)の各種サービスの利用を可能にする。
【0065】
個人(P)は利用端末3を用いて、サービス提供サーバ2に対し、サービス提供サーバ2が保有する個人(P)に関する情報の閲覧を要求する。
サービス提供サーバ2は、利用端末3からの閲覧要求に対して、要求された情報(個人(P)のセキュリティ属性情報(公開鍵など)で暗号化されている)を含む一覧を応答する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対し、一覧のなかから、任意の情報の閲覧(暗号文書の復号)を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報の復号化を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する暗号化情報の復号化を行い、平文となった情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、平文となった情報を、応答返却する。
個人(P)は利用端末3を用いて、閲覧した情報に対して、回答情報を付記し、この回答情報に個人(P)の署名を付与するために、サービス提供サーバ2に署名付与を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報への署名付与を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する回答情報に対して署名生成・付与を行い、署名付与済みの回答情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、署名付与済みの回答情報を、応答返却する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、署名付与済みの回答情報を含む回答書を送付する。
【0066】
次に、初期登録後のサービス追加およびサービス利用(署名付与)のフローの一例を図10に示す。
個人(P)は利用端末3を用いて、サービス提供者のサービス提供サーバ2に対して、サービス(S2)の各種サービスの利用を要求する。
サービス提供サーバ2は、利用端末3を経由して個人情報管理サーバ1に対して、個人(P)の個人認証を要求する。
個人情報管理サーバ1は、利用端末3に対して、個人認証のための操作(パスワード入力など)を要求する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1からの個人認証要求に応じて、個人認証のための操作を行う。
個人情報管理サーバ1は、利用端末3から応答を受け、個人認証を行い、認証結果を利用端末3を経由してサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答で、正しく認証されていなかった場合に、利用端末3に対して、サービス(S2)の各種サービスの利用を不能にする。
【0067】
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S2)を利用可能とするためのサービス追加を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合(個人情報管理サーバ1に個人登録されているがサービス(S2)については初期利用登録されておらず、現在ログイン中である)、個人情報管理サーバ1に対して、個人(P)がサービス(S2)を利用するために必要なサービス追加および個人(P)のセキュリティ属性情報の生成・登録のサービス実行を、個人情報管理サーバ1に対して要求する。
個人情報管理サーバ1は、サービス提供サーバ2がサービス提供者として自身に登録されていることを確認したのち、サービス提供サーバ2の要求に応じて、サービス(S2)をサービス追加し、これに対する個人(P)のセキュリティ属性情報を生成・登録し、実行結果をサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答を受けたのち、個人(P)をサービス(S2)のサービス利用者として、自身に登録し、その結果を、利用端末3のサービス追加の要求に対して応答する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S2)の利用申込を要求する。
サービス提供サーバ2は、利用申込の入力画面を応答返却する。
個人(P)は利用端末3を用いて、サービス(S2)の利用申込情報を入力し、この申込情報に個人(P)の署名を付与するために、サービス提供サーバ2に署名付与を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報への署名付与を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する申込情報に対して署名生成・付与を行い、署名付与済みの申込情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、署名付与済みの申込情報を、応答返却する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、署名付与済みの申込情報を含む申込書を送付する。
【0068】
上述したように、本発明は、個人への貸与提供を前提としたハードウェア・トークンを用いることなく、トークン発行者が、自ら管理する個人情報管理システムの耐タンパー性のある記憶領域を用いて、当該記憶領域に、個人毎、サービス毎のセキュリティ属性等情報を格納して、当該個人情報の管理を代行するので、個人毎に貸与提供するハードウェア・トークンにおけるライフサイクル管理にかかる発行、物流および運用管理に関する稼動やコストの負担を軽減することができる。
トークン発行者は、サービス提供者によらず、個人を認証することができればよい。そのため、ICカードのようなハードウェア・トークンでなくとも、IDおよびパスワード等の認証情報を、ブラウザ等の汎用的な仕組みを用いて個人に入力させ、これを照合することで認証が可能になる。この場合、従来技術におけるハードウェア・トークンを用いる方法と比べて、動作環境上の制約が少なくて済む。
【符号の説明】
【0069】
1 個人情報管理サーバ
2 サービス提供サーバ
3 利用端末
10 外部接続部
11 個人認証処理部
12 個人識別情報管理部
13 サービス実行部
14 サービス追加部
20 アクセス制御部
21 サーバ確認部
22 サーバ・サービス確認部
23 個人・サービス確認部
24 個人登録状態確認部
25 個人認証状態確認部
26 個人・サービス認可部
27 個人・サービス管理情報認可部
30 サービス呼出部
31 追加呼出部
32 実行呼出部
40 サービスAP部
41 サービス追加部
42 サービス実行部
50 サービス管理部
51 個人セキュリティ属性情報生成部
52 個人セキュリティ属性情報管理部
53 個人セキュリティ属性情報活用部
60 情報処理部
61 情報格納部接続部
62 ログ出力部
70 情報格納部
71 耐タンパー部
72 データベース部
80 通信処理部
90 連携処理部
100 情報登録部
110 情報生成部
120 情報処理部
130 情報格納部
140 通信処理部
150 情報表示部
160 情報入力部
170 通信処理部
【技術分野】
【0001】
本発明は、個人情報管理および個人情報に基づいてサービスを提供するサービス提供システムおよび方法に関する。
【背景技術】
【0002】
個人が、インターネット等のオンライン上の何等かのサービスを利用する際には、予め当該サービス提供者との契約にて定められたICカードなどのハードウェア・トークンを用いる。当該トークンには、当該サービス提供者が、当該個人のプライベート鍵、公開鍵証明書、パスワード等のセキュリティ属性情報を予め生成し格納しているため、当該サービス提供者は、当該個人からのサービスの利用要求に際し、当該トークンと連携して当該個人を認証したり、あるいは、当該個人との間で、専用の暗号通信をしたりすることができる。
また、複数のサービスに対して、1つのトークンのなかに、独立した複数のサービス管理領域を作成し、それぞれの領域に個人のセキュリティ属性情報を格納して、個人の認証等に利用することができる。当該トークンは、サービス提供者ではなく、サービス管理領域の貸借契約先であるトークン発行者により発行され、当該トークン発行者は、当該トークンを、当該個人に貸与提供したのちに、当該個人は、当該トークン発行者が提供するオンライン・システムを利用して、当該トークンに、新たなサービスを利用するための、当該個人のセキュリティ属性情報等を格納することができる。
【0003】
個人が、何等かのサービスを利用する際に、当該サービス提供者が、個人を識別し、サービス利用を許可するために、個人を認証することは、公知の手法である。認証の際、個人に関するセキュリティ属性情報を、個人認証情報とし、これをパスワード情報や公開鍵証明書等とすることも公知である。また、個人認証情報の格納先として、当該サービス提供者が提供するハードウェア・トークンを用いることも公知である。複数のサービス提供者が、それぞれ自らハードウェア・トークンを発行せずに、他者の発行するトークンを利用することも公知である。
【0004】
また、個人のセキュリティ属性情報を、ハードウェア・トークン以外に、ネットワークの先の何らかのサーバシステム内に、暗号化して保持し、当該トークンと連携して、インターネット等のオンライン上の何等かのサービス利用の際のアクセスキーとして活用するという考え方がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−351073号公報
【特許文献2】特開2004−126865号公報
【非特許文献】
【0006】
【非特許文献1】“GlobalPlatform仕様対応のICカード情報流通、プラットフォームNICEと多目的ICカードELWISE”、NTTサービスインテグレーション基盤研究所、インターネット<URL:http://www.ntt.co.jp/journal/0402/files/jn200402046.pdf>
【非特許文献2】“サーバ連携型多目的ICカードシステム−耐タンパー技術の重要性−”、東京工業大学、像情報工学研究施設、大山永昭、インターネット<URL:http://www.dvlsi.jst.go.jp/topics/081206ws/081206DVLSIWS%20ohyama.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0007】
サービスを利用するために、個人のセキュリティ属性情報が必要になるが、この情報の格納先として、機密性、可搬性を確保するために、従来技術においては、ハードウェア・トークンを用いるが、当該トークンのライフサイクル管理に、相当の稼動およびコストを要する。稼動の要因としては、ハードウェア・トークンの調達・発送・回収・廃棄に伴う物流稼動、発行運用管理のシステムオペレーションに係る稼動、故障・紛失・盗難などに伴い発生するカスタマーサービスに係る稼動などがある。コストの要因としては、ハードウェア・トークンの物流稼動に係る物件費、オペレータの人件費などが考えられる。
【0008】
また、トークン発行者が個人に提供するオンライン・システムにより、利用中のハードウェア・トークンに新たなサービス用のセキュリティ属性情報を格納するためには、情報セキュリティの観点から、暗号通信を実現するための鍵、証明書等の情報の生成・登録や、必要な当該システム専用のアプリケーションプログラムのインストール、さらに当該トークン用のリーダ・ライタ装置が接続された動作環境が必要となり、利用・普及の制約となっている。
【0009】
本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、個人毎に貸与提供するハードウェア・トークンにおけるライフサイクル管理にかかる発行、物流および運用管理に関する稼動やコストの負担を軽減するサービス提供システムおよび方法を提供することにある。
【課題を解決するための手段】
【0010】
上記目的を達成するため、本発明のサービス提供システムは、ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムであって、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求し、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答し、前記個人情報管理サーバが、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すことを特徴とする。
【0011】
本発明のサービス提供システムは、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求し、前記個人情報管理サーバが、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録することを特徴とする。
【0012】
本発明のサービス提供システムは、前記個人情報管理サーバが、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録することを特徴とする。
【0013】
また、本発明の個人情報管理サーバは、個人の利用端末など外部システムからの要求に応じて個人識別情報およびセキュリティ属性情報を生成し、登録するとともに、サービス提供サーバから各種サービスの処理要求を受け、個人認証後に実行されるサービスの実行結果を含む処理結果を返却する外部接続部と、前記外部接続部での処理の実行に際し、前記個人識別情報によって当該個人を特定し、前記サービス提供サーバとの間で規定される制御ポリシおよび制御ルールに従って、当該処理の実行可否をチェックし、制御するアクセス制御部と、前記処理が実行可と判断される場合に、前記サービスに対応するサービスアプリケーションを呼び出すサービス呼出部と、前記呼び出されたサービスの処理を実行し、その実行結果を前記外部接続部に送出するサービスアプリケーション部と、前記サービスの処理を実行する際に必要となる前記個人識別情報およびセキュリティ属性情報を個人毎・サービス毎に管理するサービス管理部とを備えることを特徴とする。
【0014】
また、本発明のサービス提供方法は、ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムにおけるサービス提供方法であって、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求するステップと、前記個人情報管理サーバが、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すステップと、前記サービス提供サーバが、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答するステップとを含むことを特徴とする。
【0015】
本発明のサービス提供方法は、前記サービス提供サーバが、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求するステップと、前記個人情報管理サーバが、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録するステップとを更に含むことを特徴とする。
【0016】
本発明のサービス提供方法は、前記個人情報管理サーバが、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録するステップとを更に含むことを特徴とする。
【発明の効果】
【0017】
本発明は、サービス提供サーバのサービスに対して、暗号、復号、署名生成、署名検証、認証などの基本的な暗号サービスを提供することができる。その際、個人のプライベート鍵、公開鍵証明書、パスワード等のセキュリティ属性情報を、事前に生成、登録したうえで、活用する。
また、本発明は、論理的なサービス追加の上限数がないため、必要なとき必要な数のサービスを追加できる。
また、本発明は、追加されたサービスAP(アプリケーション)を、外部から利用する際には、必ず外部接続部を経由し、アクセス制御部による必要なアクセス制御を通過する必要があり、さらにサービス呼出部によってのみサービスAPが呼び出され、実体化されるようにしているため、外部からのサービスAPの不正利用が困難な構成となっている。
また、本発明では、個人のセキュリティ属性情報は、サービス管理部が、個人毎、サービス毎に管理し、サービスAP(アプリケーション)部は、サービス管理部がサービスAP部向けに提供する規定のインタフェースを介してのみ利活用することができるようにし、サービスAP自体が個人のセキュリティ属性情報を管理できないようにしているため、サービスAPからの個人のセキュリティ属性情報の不正利用が困難な構成となっている。さらに、本発明のシステム内に、複数のサービスAPが登録されていた場合、他サービスAPが利活用する情報は、当該インタフェースを介しても利活用できない。
本発明を、サービス利用の際の認証手段として利用することで、サービス提供者は、従来技術における認証情報の機密性を担保しつつ、トークンの発行、運用にかかる稼動およびコストを削減することができる。
本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードと比較して、格納情報の機密性において、同等である。格納情報は、耐タンパー性のある情報格納部に、暗号化されて格納される。
また、本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードを用いたサービスの利用方法と比較して、ログインの容易性において、同等以上である。ログインに用いる認証情報としては、IDおよびパスワードでよいし、ICカード内の秘密鍵、証明書でもよい。
さらに、本発明は、従来技術におけるハードウェア・トークンで広く普及しているICカードを用いたサービスの追加方法と比較して、個人の利用する動作環境の汎用性において優れている。ウェブブラウザを搭載可能な端末であれば、動作環境となる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態に係るサービス提供システムの構成を概略的に示すシステム構成図である。
【図2】個人情報管理サーバの構成と、サービス提供サーバの連携処理部の構成の詳細を示す図である。
【図3】情報格納部にて保持しアクセス制御部が処理するアクセス制御ルールの一例を示す図である。
【図4】アクセス制御のフローおよびサービスAPの呼び出しイメージを示す図である。
【図5】個人情報管理サーバに格納する情報の管理イメージを示す図である。
【図6】個人セキュリティ属性情報管理部における管理情報の概念イメージを示す図である。
【図7】具体的な管理情報のイメージを示す図である。
【図8】個人情報の登録および管理フローの一例を示す図である。
【図9】初期登録済みサービス利用(文書暗号、署名付与)のフローの一例を示す図である。
【図10】初期登録後のサービス追加およびサービス利用(署名付与)のフローの一例を示す図である。
【発明を実施するための形態】
【0019】
本発明の実施の形態について図面を参照して説明する。
図1は、本発明の実施の形態に係るサービス提供システムの構成を概略的に示すシステム構成図である。
図1に示すサービス提供システムは、ネットワークにより互いに接続されたトークン発行者の個人情報管理サーバ1と、サービス提供者のサービス提供サーバ2と、個人の利用端末3などの外部システムとによりオンラインサービスシステムとして構成されている。個人情報管理サーバ1は、外部接続部10と、アクセス制御部20と、サービス呼出部30と、サービスAP(アプリケーション)部40と、サービス管理部50と、情報処理部60と、情報格納部70と、通信処理部80を備えている。サービス提供サーバ2は、連携処理部90と、情報登録部100と、情報生成部110と、情報処理部120と、情報格納部130と、通信処理部140を備えている。利用端末3は、情報表示部150と、情報入力部160と、通信処理部170を備えている。
【0020】
図1において、(1)は個人の識別属性情報、セキュリティ属性情報の生成・登録の要求を示し、(2)は識別属性情報、セキュリティ属性情報の生成・登録を示し、(3)は個人認証に関するサービス利用の要求を示し、(4)は識別された個人のセキュリティ属性情報の生成・登録の要求およびこれを用いたサービス実行の要求を示し、(5)は識別された個人のセキュリティ属性情報の生成・登録およびこれを用いた個人認証に関するサービス実行を示し、(6)は識別された個人へのサービス提供を示している。
【0021】
図2は、個人情報管理サーバの構成と、サービス提供サーバの連携処理部の構成の詳細を示す図である。図2において、aは連携処理部90から外部接続部10への要求を示し、pは外部接続部10から連携処理部90への応答を示している。bは外部接続部10からアクセス制御部20への要求を示し、cはアクセス制御部20から外部接続部10への応答を示している。dは外部接続部10からサービス呼出部30への要求を示し、oはサービス呼出部30から外部接続部10への応答を示している。eはサービス呼出部30からサービスAP部40への要求を示し、nはサービスAP部40からサービス呼出部30への応答を示している。fはサービスAP部40からサービス管理部50への要求を示し、mはサービス管理部50からサービスAP部40への応答を示している。gはサービス管理部50からアクセス制御部20への要求を示し、hはアクセス制御部20からサービス管理部50への応答を示している。iはサービス管理部50から情報処理部60への要求を示し、lは情報処理部60からサービス管理部50への応答を示している。jは情報処理部60から情報格納部70への要求を示し、kは情報格納部70から情報処理部60への応答を示している。
【0022】
個人情報管理サーバ1の外部接続部10は、外部のサーバ、端末等のシステムから各種サービスの処理要求を受け、処理結果を返却する、WEBサービス等のインタフェースである。
なお、サービス要求を受けた際に得られる各パラメータ(外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等)については、引継ぎ情報として、本システム内のメモリ等の一時記憶領域に保持する。
外部接続部10は、図2に示すように、個人認証処理部11と、個人識別情報管理部12と、サービス実行部13と、サービス追加部14を備えている。
【0023】
個人認証処理部11は、要求元の個人を識別し、本人であるか否かを確認する個人認証処理インタフェースである。本人確認のための当該個人のセキュリティ属性情報は、予め当該個人と本サーバの運用者(トークン発行者)との間の契約および運用規定に基づき、本サーバ内の情報格納部70に登録されていることとする。
個人認証処理部11は、個人情報管理サーバ1とは別のサーバに存在してもよい。
【0024】
個人識別情報管理部12は、個人を識別する情報、その他の個人属性情報を登録、参照、更新、削除する個人識別情報管理インタフェースである。個人属性のうち、セキュリティ属性情報を含むサービス属性情報は、ここでは管理対象としない。個人が利用を希望するサービスAP(アプリケーション)との関連付け、および当該サービスAPが処理実行に必要とする、セキュリティ属性情報を含む各種サービス属性情報の生成等は、サービス追加部14を使用して管理する。
【0025】
サービス実行部13は、サービスの処理要求の内容を、サービス識別情報(サービスID)、処理識別情報(処理ID)にて識別し、当該処理要求に応じた処理結果を返却するサービス実行インタフェースである。本サーバ内に存在し、利用可能なサービスとして登録・管理されているサービスAPおよび処理に対してのみ有効である。
【0026】
サービス追加部14は、サービス提供サーバ2など外部システムと対応するサービスAP部40が、本サーバに配備・実装された場合、そのままでは機能しないため、個人と当該サービスAPを関連付け、利用可能にするためのサービス追加インタフェースである。当該サービスAPが処理実行の際に必要とする、セキュリティ属性情報を含む各種サービス属性情報の生成、登録、参照、更新、削除などの要求管理も同時に行う。
【0027】
個人情報管理サーバ1のアクセス制御部20は、外部接続部10でのインタフェースの処理実行に際し、規定の制御ポリシおよびアクセス制御ルールに従って当該処理の実行可否をチェックし、制御する。制御ポリシは本システムの設定情報として、アクセス制御ルールはアクセス制御情報として、予め情報格納部70に生成保持する。
図3は、情報格納部にて保持しアクセス制御部が処理するアクセス制御ルールの一例を示す図であり、外部システム、要求サービス、インタフェースの種別により、アクセス制御ルールを規定する。図において、○がアクセス制御の適用を示す。
また、図4は、アクセス制御のフローおよびサービスAPの呼び出しイメージを示す図である。
【0028】
規定のポリシに対応したアクセス制御部20は、図2に示すように、サーバ確認部21と、サーバ・サービス確認部22と、個人・サービス確認部23と、個人登録状態確認部24と、個人認証状態確認部25と、個人・サービス認可部26と、個人・サービス管理情報認可部27を備えている。
【0029】
サーバ確認部21は、要求元の外部サーバが、正当なサーバであるかを、予め定めたサーバ毎のIDおよびパスフレーズ等のセキュリティ属性情報を用いて確認する部分である。要求元サーバが実行可能な処理であるかも併せて確認する。
【0030】
サーバ・サービス確認部22は、要求元サーバの要求するインタフェースの処理内容が、規定のアクセス制御ルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0031】
個人・サービス確認部23は、要求元である個人が、サーバを経由して要求するインタフェースの処理内容が、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0032】
個人登録状態確認部24は、要求元である個人が、本システムに登録されているか否か、登録されていた場合でも、有効であるか否かを、個人識別情報管理部12の管理情報より確認する部分である。
【0033】
個人認証状態確認部25は、要求元である個人が、本システムにログインしているか否か、ログインしていた場合、どのようにログインしたのかを、個人認証処理部11が保持する認証状態情報を利用して確認する部分である。
【0034】
個人・サービス認可部26は、要求元である個人が、要求するサービスAPが、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0035】
個人・サービス管理情報認可部27は、要求元である個人が、要求するサービスAPのサービス管理情報が、規定のルールに照らして、適切か否か、利用可能か否かを確認する部分である。
【0036】
個人情報管理サーバ1のサービス呼出部30は、外部接続部10のサービス実行部13およびサービス追加部14と対応し、サービス実行部13およびサービス追加部14が外部からの要求に応じ処理を実行した後、サービス識別情報(サービスID)と対応付けのあるサービスAPを名前解決のうえ特定し、実体化し、呼び出す部分である。概念フローを図4に示す。
要求に対応する呼び出しを行うサービス呼出部30は、図2に示すように、追加呼出部31と、実行呼出部32を備えている。追加呼出部31は、サービスAP部のサービス追加部に対応する呼び出し部分であり、実行呼出部32は、サービスAP部のサービス実行部に対応する呼び出し部分である。
【0037】
個人情報管理サーバ1のサービスAP部40は、サービス提供サーバ2などの外部の要求元サーバと対応し、個人に対して当該サービスの追加および実行に必要な処理を行う当該サービスの実体部分である。処理に際しては、サービス管理部50が、サービスAP向けに提供する既定のインタフェースを利活用できる。サービスAP部40は、図2に示すように、サービス追加部41と、サービス実行部42を備えている。なお、サービスAPは、サービス呼出部30からのみ呼び出される。
【0038】
サービス追加部41は、個人と当該サービスAPの関連付け、個人が当該サービスを利用する際に必要となる、個人セキュリティ属性情報およびそのアクセス制御情報の生成、登録等の処理を行う部分である。処理に際しては、サービス管理部50が提供するインタフェースを利活用できる。この場合、サービス管理部50の処理に必要な外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等については、パラメータとして設定することはできない。
【0039】
サービス実行部42は、サービス追加済みのサービスに対して、個人からの要求に対応し、要求元サーバが要求する各種の処理を実行する部分である。各種の処理としては、要求元指定情報の暗号化および復号化、要求元指定情報への署名付与、要求元指定署名情報の検証、および要求元指定サービス固有の認証がある。各種の処理は、これらに限定したものではない。処理に際しては、サービス管理部50が提供するインタフェースを利活用できる。
【0040】
個人情報管理サーバ1のサービス管理部50は、サービスAPが実行する処理のうち、個人セキュリティ属性情報の生成、管理、活用に関する処理を、本システム内で一元的に実行する部分である。サービス管理部50は、サービスAP向けに、以下の個人セキュリティ属性情報生成部51、個人セキュリティ属性情報管理部52、個人セキュリティ属性情報活用部53に対応するインタフェースを提供する。
なお、当該処理に必要な外部システム識別情報、個人識別情報、サービス識別情報、システム制御情報等については、サービスAPから設定されるのではなく、外部接続部10が引継ぎ情報として、本システム内のメモリ等の一時記憶領域に保持している情報を用いる。
【0041】
個人セキュリティ属性情報生成部51は、サービスAP部40のサービス追加処理にて、インタフェースを介して利用され、当該サービスで要求される処理に必要な、鍵ペア、公開鍵証明書、パスワード等の生成を行う部分である。鍵ペアの生成は、情報格納部70の耐タンパー部内にて安全かつ機密に行う。公開鍵証明書は、証明書発行要求(CSR)を作成の後、外部サーバに発行を要求し、生成してもよい。
【0042】
個人セキュリティ属性情報管理部52は、個人セキュリティ属性情報生成部51で生成した各種情報の、情報格納部70への登録、参照、更新、削除などの管理を行う部分である。個人セキュリティ属性情報の管理に際して、事前に、本システムの運用ポリシに対応した当該情報へのアクセス制御情報もあわせて生成、登録等を行う。
個人セキュリティ属性情報は、個人ごとに利用可能なサービスおよび当該サービスにおいて使用される情報として管理する。当該情報のうち、特に秘密に管理すべき情報は、情報格納部70の耐タンパー部71に格納し、管理する。管理イメージを図5、図6に示す。
【0043】
図5は、個人情報管理サーバに格納する情報の管理イメージを示す図である。個人(P1)は、サービス(S1)とサービス(S2)に関する個人セキュリティ属性情報1および個人セキュリティ属性情報2を保持する。個人(P2)は、サービス(S3)に関する個人セキュリティ属性情報1を保持する。個人(P3)は、サービス(S2)に関する個人セキュリティ属性情報1および個人セキュリティ属性情報3を保持する。個人セキュリティ属性情報1は、暗号化され、耐タンパー部71にて管理される。個人セキュリティ属性情報2、3は、データベース部72にて管理される。
図6は、個人セキュリティ属性情報管理部における管理情報の概念イメージを示す図であり、図7は、具体的な管理情報のイメージを示す図である。
【0044】
個人セキュリティ属性情報活用部53は、個人セキュリティ属性情報管理部52で管理する各種情報を活用して、要求元指定情報の暗号化および復号化、要求元指定情報への署名付与、要求元指定の署名情報の検証、および要求元指定のサービス固有の認証等の処理を実行する部分である。なお、ここに挙げた処理以外についても対応可能である。プライベート鍵や秘密鍵を処理に使用する場合、情報格納部70の耐タンパー部71内で、安全かつ機密に実行する。
【0045】
個人情報管理サーバ1の情報処理部60は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部における共通的な処理を行う部分である。情報処理部60は、情報格納部接続部61と、ログ出力部62を備えている。
情報格納部接続部61は、本サーバ内の外部接続部10、アクセス制御部20、サービス管理部30が、情報格納部70に対して、各種情報の操作(登録、参照、更新、削除)を行うために接続処理を行う部分である。
ログ出力部62は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部と対応し、各部の要求に応じて、ログ生成し、出力する部分である。
【0046】
個人情報管理サーバ1の情報格納部70は、本サーバ内の外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部において使用する各種情報を、一時的あるいは恒久的に格納および処理する部分である。情報格納部70は、耐タンパー部71と、データベース部72を備えている。
耐タンパー部71は、サービス管理部50で生成、管理、活用される個人セキュリティ属性情報を、一時的あるいは恒久的に格納および処理する部分である。
データベース部72は、外部接続部10、アクセス制御部20、サービス管理部50で生成、管理される個人識別情報およびその他の属性情報、システム制御情報を、一時的あるいは恒久的に格納および処理する部分である。
【0047】
個人情報管理サーバ1の通信処理部80は、外部のサーバ、端末等のシステムと、HTTP(S)を利用したWEBサービス等既知の通信手段による通信を行い、外部接続部10、アクセス制御部20、サービス呼出部30、サービスAP部40、サービス管理部50の各部の初期化等処理を行う部分である。
【0048】
サービス提供サーバ2の連携処理部90は、本サーバの情報処理部120からの処理要求を受け、個人情報管理サーバ1の外部接続部10に対して、サービスの処理要求を行い、個人情報管理サーバ1の外部接続部10からのサービス処理応答を受け、本サーバの情報処理部120へ処理応答を返却する部分である。連携処理部90は、情報処理部120向けに、以下の個人認証連携部91、個人識別情報管理連携部92、サービス実行連携部93、サービス追加連携部94に対応するインタフェースを提供する。
【0049】
個人認証連携部91は、本サーバが外部の端末等から受ける各種要求に関連して、要求元の個人が本人であるか否かを確認するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10の個人認証処理部11に対して、個人認証処理要求を行い、その応答である個人認証処理結果を、情報処理部120に返却する部分である。
【0050】
個人識別情報管理連携部92は、本サーバが外部の端末等から受ける各種要求に関連して、要求元の個人を識別する情報、その他の個人属性情報を登録、参照、更新、削除するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10の個人識別情報管理部12に対して、個人識別情報管理要求を行い、その応答である個人識別情報管理結果を、情報処理部120に返却する部分である。
【0051】
サービス実行連携部93は、本サーバが外部の端末等から受ける各種要求に関連して、当該要求を実行するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10のサービス実行部13に対して、サービス識別情報(サービスID)、処理識別情報(処理ID)にて識別された各種のサービス実行要求を行い、その応答であるサービス実行結果を、情報処理部120に返却する部分である。
【0052】
サービス追加連携部94は、本サーバが外部の端末等から受ける各種要求に関連して、個人情報管理サーバ1上にサービスを追加するために、本サーバの情報処理部120から、個人情報管理サーバ1の外部接続部10のサービス追加部14に対して、サービス識別情報(サービスID)にて識別されたサービス追加要求を行い、その応答であるサービス追加結果を、情報処理部120に返却する部分である。
【0053】
サービス提供サーバ2の情報登録部100は、外部の端末等からの情報入力要求に関連して、本サーバの情報格納部130に対して、個人識別情報、サービス属性情報等を登録する部分である。
【0054】
サービス提供サーバ2の情報生成部110は、外部の端末等からの情報表示要求に関連して、外部の端末等にて表示および処理するための画面情報、その構成情報および制御情報等を生成する部分である。
【0055】
サービス提供サーバ2の情報処理部120は、外部の端末等からの情報表示要求に関連して、本サーバの連携処理部90に対して、各種処理をする部分である。
【0056】
サービス提供サーバ2の情報格納部130は、本サーバ内の情報登録部100、情報生成部110、情報処理部120、情報格納部130の各部において使用する各種情報を、一時的あるいは恒久的に格納および処理する部分である。
【0057】
サービス提供サーバ2の通信処理部140は、外部のサーバ、端末等のシステムと、HTTP(S)を利用したWEBサービス等既知の通信手段による通信を行い、連携処理部90、情報登録部100、情報生成部110、情報処理部120の各部の初期化等処理を行う部分である。
【0058】
利用端末3の情報表示部150は、サービス提供サーバ2で生成された情報を、ブラウザ等既知の表示手段を用いて表示する部分である。
【0059】
利用端末3の情報入力部160は、情報表示部150で表示された画面等情報において、サービス提供サーバ2への情報提示を目的とし、情報を入力する部分である。
【0060】
利用端末3の通信処理部170は、外部のサーバ等のシステムと、HTTP(S)を利用した既知の通信手段による通信を行う部分である。
【0061】
次に、本発明のサービス提供システムの動作について説明する。
なお、前提として、
1.本システムにおけるアクタ間の信頼関係は、以下のとおりである。
(a)個人は、トークン発行者を信頼している。
(b)サービス提供者は、トークン発行者を信頼している。
(c)個人は、トークン発行者が認証したサービス提供者を信頼している。
(d)サービス提供者は、トークン発行者が認証した個人を信頼している。
2.個人情報管理サーバの個人認証処理部およびサービス提供サーバの個人認証連携部における個人認証は、SAMLなど既知の認証連携技術を適用した実装により、実現される。
3.本システムにおいて使用する情報は、以下に示す既知のセキュリティ実装により、安全性が担保されている。
(a)本システムを構成する、端末・サーバ間(図1の(1)(2)(3)(6))、サーバ・サーバ間(図1の(4)(5))の通信においては、SSLやVPNなど既知のネットワークセキュリティに関する実装が、適切に適用されており、通信情報に対する盗聴・改ざん等あらゆる攻撃が無効である。
(b)個人情報管理サーバのデータベース部など耐タンパー部を除く部分は、セキュアOSなど既知のオペレーティングシステムセキュリティに関する実装が、適切に適用されており、制御情報、格納情報等に対する不正アクセス等あらゆる攻撃が無効である。
(c)個人情報管理サーバの耐タンパー部は、既知の耐タンパー実装が適切に適用されており、盗聴・改ざん・不正アクセス・物理的破壊などあらゆる攻撃が無効である。
【0062】
まず、個人情報の登録および管理フローの一例を図8に示す。
サービス提供者のサービス提供サーバ2からトークン発行者の個人情報管理サーバ1に、サービス提供者の登録要求があると、個人情報管理サーバ1は、サービス提供サーバ2にサービス提供者のサービス識別情報(IDなど)、セキュリティ属性情報(パスワードなど)を要求し、サービス提供サーバ2からサービス識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、サービス提供者のサービス識別情報、セキュリティ属性情報を登録する。
個人(P)の利用端末3から個人情報管理サーバ1に、個人(P)の登録要求があると、個人情報管理サーバ1は、利用端末3に個人(P)の個人識別情報(IDなど)、セキュリティ属性情報(パスワードなど)を要求し、利用端末3から個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、個人(P)の個人識別情報、セキュリティ属性情報を登録する。
【0063】
個人(P)は利用端末3を用いて、個人情報管理サーバ1に対して、個人情報管理開始の要求を行い、個人情報管理サーバ1から認証操作の要求を受けると、認証操作の応答を行い、個人情報管理サーバ1において、個人(P)の情報を管理するため(サービス(S1)を利用するため)に必要な個人認証を受け、個人情報管理サーバ1から個人情報管理開始の応答を受けると、個人情報管理サーバ1にログイン状態となる(個人認証に用いる個人識別情報およびセキュリティ属性情報は、予め登録されている)。
個人(P)が利用端末3を用いて、サービス提供サーバ2に対して、サービス(S1)を利用するために必要なサービス利用者の初期登録の要求を行うと、サービス提供サーバ2は、個人(P)が個人情報管理サーバ1に登録されて管理対象となっており、要求を受けた時点で個人情報管理サーバ1にログインしているかどうかを、個人情報管理サーバ1が保持する個人(P)の認証状態により確認する。
サービス提供サーバ2は、個人(P)の認証状態が適切な場合(ログイン中である場合)、個人(P)の要求に応じて、個人(P)がサービス(S1)を利用するために必要な個人(P)のセキュリティ属性情報の生成・登録のサービス実行を、個人情報管理サーバ1に対して要求する。
個人情報管理サーバ1は、サービス提供サーバ2がサービス提供者として自身に登録されていることを確認したのち、サービス提供サーバ2の要求に応じて、個人(P)のセキュリティ属性情報を生成・登録し、実行結果をサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答を受けたのち、個人(P)をサービス(S1)のサービス利用者として、自身に登録し、その結果を、利用端末3の初期登録の要求に対して応答する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1に個人情報管理終了の要求を行い、個人情報管理サーバ1から個人情報管理終了の応答を受け、個人情報管理サーバ1よりログアウトする。
【0064】
次に、初期登録済みサービス利用(文書暗号、署名付与)のフローの一例を図9に示す。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S1)の各種サービスの利用開始の要求を行う。
サービス提供サーバ2は、利用端末3を経由して個人情報管理サーバ1に対して、個人(P)の個人認証の実行を要求する。
個人情報管理サーバ1は、利用端末3に対して、個人認証のための操作(パスワード入力など)を要求する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1からの個人認証要求に応じて、個人認証のための操作を行う。
個人情報管理サーバ1は、利用端末3から応答を受け、個人認証を行い、認証結果を利用端末3を経由してサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答で、正しく認証されていた場合に、利用端末3に対して、サービス(S1)の各種サービスの利用を可能にする。
【0065】
個人(P)は利用端末3を用いて、サービス提供サーバ2に対し、サービス提供サーバ2が保有する個人(P)に関する情報の閲覧を要求する。
サービス提供サーバ2は、利用端末3からの閲覧要求に対して、要求された情報(個人(P)のセキュリティ属性情報(公開鍵など)で暗号化されている)を含む一覧を応答する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対し、一覧のなかから、任意の情報の閲覧(暗号文書の復号)を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報の復号化を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する暗号化情報の復号化を行い、平文となった情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、平文となった情報を、応答返却する。
個人(P)は利用端末3を用いて、閲覧した情報に対して、回答情報を付記し、この回答情報に個人(P)の署名を付与するために、サービス提供サーバ2に署名付与を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報への署名付与を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する回答情報に対して署名生成・付与を行い、署名付与済みの回答情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、署名付与済みの回答情報を、応答返却する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、署名付与済みの回答情報を含む回答書を送付する。
【0066】
次に、初期登録後のサービス追加およびサービス利用(署名付与)のフローの一例を図10に示す。
個人(P)は利用端末3を用いて、サービス提供者のサービス提供サーバ2に対して、サービス(S2)の各種サービスの利用を要求する。
サービス提供サーバ2は、利用端末3を経由して個人情報管理サーバ1に対して、個人(P)の個人認証を要求する。
個人情報管理サーバ1は、利用端末3に対して、個人認証のための操作(パスワード入力など)を要求する。
個人(P)は利用端末3を用いて、個人情報管理サーバ1からの個人認証要求に応じて、個人認証のための操作を行う。
個人情報管理サーバ1は、利用端末3から応答を受け、個人認証を行い、認証結果を利用端末3を経由してサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答で、正しく認証されていなかった場合に、利用端末3に対して、サービス(S2)の各種サービスの利用を不能にする。
【0067】
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S2)を利用可能とするためのサービス追加を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合(個人情報管理サーバ1に個人登録されているがサービス(S2)については初期利用登録されておらず、現在ログイン中である)、個人情報管理サーバ1に対して、個人(P)がサービス(S2)を利用するために必要なサービス追加および個人(P)のセキュリティ属性情報の生成・登録のサービス実行を、個人情報管理サーバ1に対して要求する。
個人情報管理サーバ1は、サービス提供サーバ2がサービス提供者として自身に登録されていることを確認したのち、サービス提供サーバ2の要求に応じて、サービス(S2)をサービス追加し、これに対する個人(P)のセキュリティ属性情報を生成・登録し、実行結果をサービス提供サーバ2に応答する。
サービス提供サーバ2は、個人情報管理サーバ1の応答を受けたのち、個人(P)をサービス(S2)のサービス利用者として、自身に登録し、その結果を、利用端末3のサービス追加の要求に対して応答する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、サービス(S2)の利用申込を要求する。
サービス提供サーバ2は、利用申込の入力画面を応答返却する。
個人(P)は利用端末3を用いて、サービス(S2)の利用申込情報を入力し、この申込情報に個人(P)の署名を付与するために、サービス提供サーバ2に署名付与を要求する。
サービス提供サーバ2は、個人情報管理サーバ1に対して、個人(P)の要求時点で、個人(P)の認証状態を確認し、適切な場合、個人情報管理サーバ1に対して、当該情報への署名付与を要求する。
個人情報管理サーバ1は、個人(P)のセキュリティ属性情報(私有鍵など)を用いて、サービス提供サーバ2の要求する申込情報に対して署名生成・付与を行い、署名付与済みの申込情報を、サービス提供サーバ2に応答する。
サービス提供サーバ2は、利用端末3に対して、署名付与済みの申込情報を、応答返却する。
個人(P)は利用端末3を用いて、サービス提供サーバ2に対して、署名付与済みの申込情報を含む申込書を送付する。
【0068】
上述したように、本発明は、個人への貸与提供を前提としたハードウェア・トークンを用いることなく、トークン発行者が、自ら管理する個人情報管理システムの耐タンパー性のある記憶領域を用いて、当該記憶領域に、個人毎、サービス毎のセキュリティ属性等情報を格納して、当該個人情報の管理を代行するので、個人毎に貸与提供するハードウェア・トークンにおけるライフサイクル管理にかかる発行、物流および運用管理に関する稼動やコストの負担を軽減することができる。
トークン発行者は、サービス提供者によらず、個人を認証することができればよい。そのため、ICカードのようなハードウェア・トークンでなくとも、IDおよびパスワード等の認証情報を、ブラウザ等の汎用的な仕組みを用いて個人に入力させ、これを照合することで認証が可能になる。この場合、従来技術におけるハードウェア・トークンを用いる方法と比べて、動作環境上の制約が少なくて済む。
【符号の説明】
【0069】
1 個人情報管理サーバ
2 サービス提供サーバ
3 利用端末
10 外部接続部
11 個人認証処理部
12 個人識別情報管理部
13 サービス実行部
14 サービス追加部
20 アクセス制御部
21 サーバ確認部
22 サーバ・サービス確認部
23 個人・サービス確認部
24 個人登録状態確認部
25 個人認証状態確認部
26 個人・サービス認可部
27 個人・サービス管理情報認可部
30 サービス呼出部
31 追加呼出部
32 実行呼出部
40 サービスAP部
41 サービス追加部
42 サービス実行部
50 サービス管理部
51 個人セキュリティ属性情報生成部
52 個人セキュリティ属性情報管理部
53 個人セキュリティ属性情報活用部
60 情報処理部
61 情報格納部接続部
62 ログ出力部
70 情報格納部
71 耐タンパー部
72 データベース部
80 通信処理部
90 連携処理部
100 情報登録部
110 情報生成部
120 情報処理部
130 情報格納部
140 通信処理部
150 情報表示部
160 情報入力部
170 通信処理部
【特許請求の範囲】
【請求項1】
ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムであって、
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求し、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答し、
前記個人情報管理サーバは、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すことを特徴とするサービス提供システム。
【請求項2】
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求し、
前記個人情報管理サーバは、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録することを特徴とする請求項1に記載のサービス提供システム。
【請求項3】
前記個人情報管理サーバは、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録することを特徴とする請求項1または2に記載のサービス提供システム。
【請求項4】
請求項1〜3のいずれか1項に記載のサービス提供システムを構成する個人情報管理サーバであって、
前記個人の利用端末からの要求に応じて個人識別情報およびセキュリティ属性情報を生成し、登録するとともに、前記サービス提供サーバから各種サービスの処理要求を受け、個人認証後に実行されるサービスの実行結果を含む処理結果を返却する外部接続部と、
前記外部接続部での処理の実行に際し、前記個人識別情報によって当該個人を特定し、前記サービス提供サーバとの間で規定される制御ポリシおよび制御ルールに従って、当該処理の実行可否をチェックし、制御するアクセス制御部と、
前記処理が実行可と判断される場合に、前記サービスに対応するサービスアプリケーションを呼び出すサービス呼出部と、
前記呼び出されたサービスの処理を実行し、その実行結果を前記外部接続部に送出するサービスアプリケーション部と、
前記サービスの処理を実行する際に必要となる前記個人識別情報およびセキュリティ属性情報を個人毎・サービス毎に管理するサービス管理部と、
を備えることを特徴とする個人情報管理サーバ。
【請求項5】
ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムにおけるサービス提供方法であって、
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求するステップと、
前記個人情報管理サーバは、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すステップと、
前記サービス提供サーバは、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答するステップと、
を含むことを特徴とするサービス提供方法。
【請求項6】
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求するステップと、
前記個人情報管理サーバは、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録するステップと、
を更に含むことを特徴とする請求項5に記載のサービス提供方法。
【請求項7】
前記個人情報管理サーバは、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録するステップと、
を更に含むことを特徴とする請求項5または6に記載のサービス提供方法。
【請求項1】
ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムであって、
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求し、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答し、
前記個人情報管理サーバは、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すことを特徴とするサービス提供システム。
【請求項2】
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求し、
前記個人情報管理サーバは、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録することを特徴とする請求項1に記載のサービス提供システム。
【請求項3】
前記個人情報管理サーバは、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録することを特徴とする請求項1または2に記載のサービス提供システム。
【請求項4】
請求項1〜3のいずれか1項に記載のサービス提供システムを構成する個人情報管理サーバであって、
前記個人の利用端末からの要求に応じて個人識別情報およびセキュリティ属性情報を生成し、登録するとともに、前記サービス提供サーバから各種サービスの処理要求を受け、個人認証後に実行されるサービスの実行結果を含む処理結果を返却する外部接続部と、
前記外部接続部での処理の実行に際し、前記個人識別情報によって当該個人を特定し、前記サービス提供サーバとの間で規定される制御ポリシおよび制御ルールに従って、当該処理の実行可否をチェックし、制御するアクセス制御部と、
前記処理が実行可と判断される場合に、前記サービスに対応するサービスアプリケーションを呼び出すサービス呼出部と、
前記呼び出されたサービスの処理を実行し、その実行結果を前記外部接続部に送出するサービスアプリケーション部と、
前記サービスの処理を実行する際に必要となる前記個人識別情報およびセキュリティ属性情報を個人毎・サービス毎に管理するサービス管理部と、
を備えることを特徴とする個人情報管理サーバ。
【請求項5】
ネットワークにより互いに接続された個人の利用端末と、個人にサービスを提供するサービス提供サーバと、個人毎・サービス毎の個人のセキュリティ属性情報を管理するとともに、サービスの処理を行う個人情報管理サーバとを有するサービス提供システムにおけるサービス提供方法であって、
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバに個人認証を要するサービスの利用要求を受け付けると、前記個人情報管理サーバに対して、前記サービスの利用要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの実行を要求するステップと、
前記個人情報管理サーバは、前記サービスの実行要求に応じて、予め登録されている前記個人のセキュリティ属性情報を用いてサービスを実行し、サービスの実行結果を前記サービス提供サーバに返すステップと、
前記サービス提供サーバは、前記個人情報管理サーバからサービスの実行結果を受け取ると、サービスの実行結果を前記利用端末に応答するステップと、
を含むことを特徴とするサービス提供方法。
【請求項6】
前記サービス提供サーバは、前記個人の利用端末から、前記サービス提供サーバにサービスの追加要求が行われると、前記個人情報管理サーバに対して、前記サービスの追加要求時点での前記個人の認証状態の確認要求を行い、個人認証が適切な場合、前記個人情報管理サーバにサービスの追加および前記個人のセキュリティ属性情報の登録の実行を要求するステップと、
前記個人情報管理サーバは、前記サービス提供サーバの要求に応じて、サービスを追加し、追加されたサービスに対する前記個人のセキュリティ属性情報を生成し登録するステップと、
を更に含むことを特徴とする請求項5に記載のサービス提供方法。
【請求項7】
前記個人情報管理サーバは、前記個人の利用端末から、個人の登録要求が行われると、前記個人の利用端末に対して前記個人の個人識別情報、セキュリティ属性情報の要求を行い、前記個人の利用端末から前記個人の個人識別情報、セキュリティ属性情報の応答を受けると、これらの情報の審査後に、前記個人の個人識別情報、セキュリティ属性情報を登録するステップと、
を更に含むことを特徴とする請求項5または6に記載のサービス提供方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−128697(P2011−128697A)
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願番号】特願2009−284157(P2009−284157)
【出願日】平成21年12月15日(2009.12.15)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年6月30日(2011.6.30)
【国際特許分類】
【出願日】平成21年12月15日(2009.12.15)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]