サービス提供システム及び通信端末装置
【課題】安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理できるようにする。
【解決手段】セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、属性情報を暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化し、復号化された属性情報をサービス提供サーバーに提示する提示部とを設けるようにする。
【解決手段】セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、属性情報を暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化し、復号化された属性情報をサービス提供サーバーに提示する提示部とを設けるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はサービス提供システム及び通信端末装置に関し、例えばインターネットを通じてサービスを提供する場合に適用して好適なものである。
【背景技術】
【0002】
近年、認証対象として生体を利用したものが普及していきている。また、携帯電話機等の携帯通信機器に生体認証装置を搭載することにより、携帯通信機器を通じて、どこでも通信相手に対して認証処理が容易に行えるようになる等、携帯通信機器に生体認証装置を搭載することが重要事項になる傾向にある。クレジットカードやキャッシュカードに生体認証装置を搭載したものが提案されている(例えば特許文献1参照)。
【特許文献1】特開2007−34521公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、インターネットを介してサービスを提供する場合、サービス提供サーバーは、ユーザアカウント及びパスワードや、サービスに対するユーザのアクセス権限の内容等を規定し、ユーザ単位でサービスを管理する。サービスの利用者数が増加するほど、サービス提供サーバーにおけるサービスの管理負荷が増大となり、ひいてはサービス提供サーバーが破綻するといった事態を招くことになる。
【0004】
サービス提供サーバーがユーザ情報を一括に管理するのではなく、サービスの提供を受ける端末において個々に管理すれば、サービス提供サーバーにおけるサービスの管理負荷を軽減することが可能となる。
【0005】
ここで、端末内の記憶部に対してユーザアカウント及びパスワードをそのまま記憶させた場合、該ユーザアカウント及びパスワードを用いて、第三者が正規ユーザに成り代わってサービスの提供を受けるといったいわゆる成りすましが発生する。したがって、ユーザアカウント及びパスワードに対する第三者のアクセスを制限する必要がある。
【0006】
一方、ユーザアカウント及びパスワードに代えて、指紋や静脈等の生体に関する情報(生体情報)を適用すれば、端末とは別体の情報を認証対象とできる分だけ、成りすましを防止することができる。しかしながら、生体情報は、生涯不変であるといわれ適宜変更できないものである等といった性質をもつので、任意に選択可能なパスワードと比べて、第三者のアクセスを制限する必要性がある。
【0007】
したがって、ユーザアカウント及びパスワードや生体情報のような秘匿情報は、耐タンパ性を保有するモジュール等、他の情報と比べてセキュリティレベルの高いモジュール内に格納される可能性が高い。しかしながら、セキュリティレベルの高いモジュール内のメモリは、容易に大容量化を図ることができず、秘匿情報を記憶できる領域は少なくなりがちである。
【0008】
さらに、生体の特徴部分に限って(圧縮した状態で)生体情報を保持したとしても、当該生体情報とともに、ユーザのアクセス権限等の属性情報なども保持しようとすると、モジュール内におけるメモリに対する使用量が増大し、飽和が生じてしまうことになる。
【0009】
本発明は以上の点を考慮してなされたもので、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得るサービス提供システム及び通信端末装置を提案しようとするものである。
【課題を解決するための手段】
【0010】
かかる課題を解決するため本発明は、サービス提供サーバーと、該サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置とによって構成されるサービス提供システムであって、通信端末装置には、セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、サービス提供サーバーにおけるサービスに関するユーザの属性情報を、暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化する復号化部とを設けるようにする。一方、サービス提供サーバーには、復号化部により復号化された属性情報に基づいて、自己のサービスを提供するための処理を実行する提供処理部を設けるようにする。
【0011】
また本発明は、サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置であって、セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、属性情報を暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化し、復号化された属性情報をサービス提供サーバーに提示する提示部とを設けるようにする。
【発明の効果】
【0012】
以上のように本発明によれば、属性情報は、セキュリティレベルの高いブロック内で暗号化された状態で、該ブロック外の第1の記憶部に登録され、属性情報を暗号化するための暗号鍵は、セキュリティレベルの高いブロック内の第2の記憶部に登録されるため、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することを防止できる。また、第2の記憶部に対して属性情報及び暗号鍵の双方を登録する場合に比して、第2の記憶部に対する使用量を削減することもできる。
【0013】
これに加えて、ユーザ本人のみだけがもつ静脈情報は、暗号化された属性情報を復号化するための鍵として、セキュリティレベルの高いブロック内の第2の記憶部に保持されるため、属性情報を、異なる観点の鍵で2重に秘匿する分だけ、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することをより一段と防止できる。
【0014】
このように、属性情報を、セキュリティレベルの高いブロック内において2重に秘匿した状態で、該ブロック外の第1の記憶部に登録し、当該秘匿対象の暗号鍵と静脈情報とをブロック内で保持するようにしたことにより、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得るサービス提供システム及び通信端末装置を実現できる。
【発明を実施するための最良の形態】
【0015】
以下図面について、本発明を適用した一実施の形態を詳述する。
【0016】
(1)サービス提供システムの構成
図1において、本実施の形態によるサービス提供システム1の全体構成を示す。このサービス提供システム1では、公開鍵証明書発行局(CA : Certificate Authority)2と、複数のサービス提供サーバー31、32、……、3nと、携帯電話機4とが、インターネット又はNGN(Next Generation Network)等のネットワーク5を介して接続される。
【0017】
公開鍵証明書発行局2は、利用者の本人性を証明するサーバーであり、ネットワーク5を介して要求される要求元に対して、公開鍵証明書(PKC : Public Key Certificate)を発行するようになされている。
【0018】
この公開鍵証明書は、公開鍵管理基盤(PKI : Public Key Infrastructure)を用いて生成されるものであり、ユーザの氏名、MACアドレス又はメールアドレス等のユーザID(Identification)と、該ユーザIDに対応する公開鍵とに対して、ディジタル署名が付加されたものである。ディジタル署名は、ユーザID及び公開鍵から一方向性関数を用いて導出されたハッシュ値等の固定長データに対して、署名用の秘密鍵を用いて暗号化することにより生成される。
【0019】
一方、各サービス提供サーバー31、32、……、3nは、所定のサービスをネットワーク5を介して提供するサーバーである。サービス提供サーバー31、32、……、3nは、サービス受領元に対して、サービスに対する利用者のアクセス権限等のユーザ属性情報を用いて、自己のサービスをネットワーク5を介してサービス受領元に提供するようになされている。
【0020】
また各サービス提供サーバー31、32、……、3nは、利用者のアクセス権限等の属性内容を証明するサーバーでもあり、サービス受領元に対して、属性証明書(AC : Attribute Certificate)を発行するようになされている。
【0021】
この属性証明書は、権限管理基盤(PMI : Privilege Management Infrastructure)を用いて生成されるものであり、サービス受領元のユーザIDと、自己のサービスに関するサービス受領元のユーザ属性情報とに対して、ディジタル署名が付加されたものである。ディジタル署名は、ユーザID及びユーザ属性情報から一方向性関数を用いて導出された固定長データに対して、署名用の秘密鍵を用いて暗号化することにより生成される。
【0022】
他方、携帯電話機4は、サービス提供サーバー3X(31、32、……、又は3n)に対してネットワークを通じて通信可能な端末装置であり、該ネットワークを通じてサービス提供サーバー3Xにおけるサービスを受領するようになされている。
【0023】
(2)携帯電話機の構成
次に、携帯電話機4の構成について、図2を用いて説明する。この携帯電話機4は、制御部10に対して、操作部11、セキュリティチップ12、撮像部13、記憶部14、通信部15、表示部16及び音声出力部17をそれぞれバス18を介して接続することにより構成される。
【0024】
制御部10は、この携帯電話機4全体の制御を司るメインCPU(Central Processing Unit)と、ROM(Read Only Memory)と、当該メインCPUのワークメモリとしてのRAM(Random Access Memory)とを含むコンピュータとして構成される。
【0025】
この制御部10は、操作部11から与えられる命令に対応するプログラムに基づいて、撮像部13、記憶部14、通信部15、表示部16及び音声出力部17を適宜制御し、当該命令に対応する処理として、例えばダウンロード処理、サーバーアクセス処理、発呼処理、通話処理、メール作成処理又はメール転送処理等の各種処理を実行する。
【0026】
セキュリティチップ12は、このセキュリティチップ12の制御を司るサブCPU、ROM、当該サブCPUのワークメモリとしてのRAMおよび記憶部(以下、これをセキュリティ記憶部と呼ぶ)を含む構成としてパッケージ化される。
【0027】
またこのセキュリティチップ12は、不正アクセスから記憶部を保護する機能又は不正アクセスに応じて記憶部のデータを消去する機能等の耐タンパ性を保有しており、記憶部14よりもセキュリティレベルが高い状態でセキュリティ記憶部を管理するようになされている。
【0028】
さらにこのセキュリティチップ12は、登録対象のユーザ(以下、これを登録者と呼ぶ)の静脈を登録するモード(以下、これを静脈登録モードと呼ぶ)又は登録者本人の有無を判定するモード(以下、これを認証モードと呼ぶ)に対応するプログラムに基づいて撮像部13、通信部15、表示部16及び音声出力部17を適宜制御し、登録処理又は認証処理を実行するようになされている。
【0029】
撮像部13は、撮像範囲内における被写体の画像を画像データとして生成することにより取得し、該取得した画像データを制御部10に送出する。
【0030】
また撮像部13は、静脈登録モード又は認証モードの場合、脱酸素化ヘモグロビン及び酸素化ヘモグロビンの双方に対して特異的に吸収される特性をもつ波長域(700[nm]〜900[nm])に含まれる波長の光(以下、これを近赤外光と呼ぶ)を、指を配すべき対象となる光入力面上に照射する。そして撮像部13は、光入力面に配される生体部位内の静脈の画像(以下、これを静脈画像と呼ぶ)を、データ(以下、これを静脈画像データと呼ぶ)として生成し、これを制御部10に送出するようになされている。
【0031】
記憶部14は、静脈画像データから抽出される静脈情報以外の各種情報を記憶するためのものであり、制御部10により指定される所定の領域に記憶し、又は所定の領域から読み出すようになされている。
【0032】
通信部15は、ネットワーク4(図1)に対して信号を送受信するようになされている。具体的には、通信部15は、入力される通信対象のデータを、例えばOFDM(Orthogonal Frequency Division Multiplex)等の所定の変調方式により変調し、該変調結果として得られる信号をアンテナ(図示せず)を介して基地局に送信する。一方、通信部15は、アンテナを介して受信された信号を所定の復調方式により復調し、該復調結果として得られるデータを出力するようになされている。
【0033】
表示部16は、制御部10から与えられる表示データに基づく文字や図形を表示画面に表示する。音声出力部17は、制御部10から与えられる音声データに基づく音声を、スピーカから出力するようになされている。
【0034】
(3)サービス受領処理
次に、携帯電話機4におけるサービス受領処理について、ユーザ属性情報を登録する場合と、該ユーザ属性情報を用いてサービス提供サーバー3Xからサービスを受領する場合とに分けて説明する。
【0035】
(3−1)ユーザ属性情報を登録する場合
この場合、制御部10は、サービス提供サーバー3Xから、サービス提供に関するアプリケーションソフトウェアを通信部15を介して記憶部14に格納し、このアプリケーションソフトウェアを用いて、図3に示すように、属性内容決定部21、属性証明書取得部22及び記憶処理部23として機能する。
【0036】
属性内容決定部21は、サービス提供サーバー3Xにおけるサービスの種類及びその説明等のサービス内容に基づいて、ユーザ属性情報を入力するための入力画面を、表示部16に対してGUI(Graphical User Interface)表示する。
【0037】
また属性内容決定部21は、入力画面に対する入力が終了された場合、通信部15を介して、サービス提供サーバー3Xとの間でSSL(Secure Sockets Layer Protocol)等の専用通信路を設定し、この専用通信路を通じてユーザ属性情報を与えるとともに、属性証明書を発行すべきことを要求する。
【0038】
サービス提供サーバー3XのAC発行部では、属性証明書の発行要求を受けた場合、公開鍵証明書発行局2に対して携帯電話機4の公開鍵証明書が要求され、該公開鍵証明書発行局2から発行される携帯電話機4の公開鍵証明書のディジタル署名が、公開鍵証明書発行局2の公開鍵を用いて復号化される。
【0039】
そしてAC発行部では、この復号結果を、公開鍵証明書の本文(携帯電話機4のユーザID及びそのユーザIDに対応付けられた公開鍵)から導出した固定長データと照合することで、ディジタル署名が検証され、当該照合結果が一致した場合、サービス受領者(携帯電話機4のユーザ)が本人であると判定される。この場合、AC発行部では、携帯電話機4のユーザIDと、属性内容決定部21から与えられるユーザ属性情報とを本文として、属性証明書が生成され発行される。
【0040】
属性証明書取得部22は、サービス提供サーバー3Xから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0041】
セキュリティチップ12は、属性証明書取得部22から属性証明書の管理要求を受けた場合、静脈登録モードに対応するプログラムを用いて、静脈情報取得部31、暗号鍵生成部32、登録部33及び暗号化部34として機能する。
【0042】
静脈情報取得部31は、表示部16(図2)及び音声出力部17(図2)の少なくとも一方を介して光入力面に指を配すべきことを通知した後、撮像部13に対して、静脈の最適な撮像条件を設定する。
【0043】
具体的に静脈情報取得部31は、光入力面に配される指内方の静脈層の後方を照射対象とされる光源を駆動する。指内方の静脈層の後方に近赤外光が照射された場合、近赤外光は、その指内方において反射及び散乱によって静脈層と表皮層を経由し、光入力面に入射する。この光入力面に入射する近赤外光は、指内方における非静脈部分では明るい状態となる一方、静脈部分ではヘモグロビンの吸光特性により暗い状態が保たれることにより、静脈部分と非静脈部分のコントラストが鮮明となっており、静脈を投影する光(以下、これを静脈投影光と呼ぶ)として、撮像部13の撮像面に導光される。
【0044】
静脈情報取得部31は、撮像部13から出力される静脈画像データに基づいて、例えば、静脈に焦点が合うように光学レンズのレンズ位置を調整するとともに、所定の露出値(EV(Exposure Value))を基準として、絞りの絞り値及び撮像素子に対するシャッター速度(露出時間)をそれぞれ調整することで、撮像部13に対して、静脈の最適な撮像条件を設定するようになされている。
【0045】
また静脈情報取得部31は、静脈の最適な撮像条件を撮像部13に対して設定した場合、該撮像部13から出力される静脈画像データに対して前処理を施し、該前処理結果として得られる画像から静脈情報を抽出する。この静脈情報は、例えば、血管幅の中心若しくは輝度ピークが抽出された静脈画像、当該血管幅の中心若しくは輝度ピークの全部もしくは一部、または、静脈に曲線近似させたパラメータ等、種々のものを採用することができる。
【0046】
具体的な前処理の手法には、例えば、静脈画像に映し出される静脈の輪郭を、ガウシアンフィルタやLog(Laplacian of Gaussian)フィルタ等の微分フィルタを用いて浮き彫りにし、該輪郭が浮き彫りにされた画像を、設定された輝度値を基準として2値画像に変換するものがある。
【0047】
暗号鍵生成部32は、属性証明書取得部22から与えられる属性証明書に対して固有の暗号鍵を生成するようになされている。この生成手法には、例えば、静脈情報の全部もしくは一部又は属性証明書の全部もしくは一部から導出された擬似乱数が用いられる。
【0048】
登録部33は、この携帯電話機4の記憶部14に比してセキュリティレベルが高い状態で管理されるセキュリティチップ12内のセキュリティ記憶部12Aに対して、静脈情報取得部31により取得された静脈情報と、暗号鍵生成部32により生成された暗号鍵とを関連付けて記憶することにより登録する。
【0049】
暗号化部34は、暗号鍵生成部32により生成された暗号鍵を用いて、例えばAES(Advanced Encryption Standard)と呼ばれる暗号方式により属性証明書を暗号化する。また暗号化部34は、記憶処理部24に対して、暗号化された属性証明書(以下、これを暗号属性証明書と呼ぶ)を与えるとともに、該暗号属性証明書を記憶すべきことを要求し、当該暗号属性証明書を、記憶部14に記憶させることにより登録するようになされている。
【0050】
このようにこの携帯電話機4は、サービス提供サーバー3Xにおけるサービスに関する受領条件を登録する場合、サービス提供サーバー3Xから、ユーザにより入力されたユーザ属性情報に基づいて発行される属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録するようになされている。
【0051】
(3−2)サービスを受領する場合
この場合、制御部10は、サービスの提供に関するアプリケーションソフトウェアを用いて、図3との対応部分に同一符号を付した図4に示すように、証明書中継部41及びサービス受領処理部42として機能する。
【0052】
証明書中継部41は、記憶部14から、サービス提供サーバー3Xのサービスに対応する暗号属性証明書を探索する。また証明書中継部41は、サービス提供サーバー3Xとの間で専用通信路を設定し、該専用通信路を通じて、暗号属性証明書を与えるとともに、サービスを提供すべきことを要求する。
【0053】
サービス提供サーバー3Xの証明書検証部では、暗号属性証明書に対する暗号化の有無が判定される。証明書検証部では、属性証明書に暗号化が施されているものと判定された場合、専用通信路を通じて、暗号属性証明書が返信されるとともに、該暗号属性証明書を復号化すべきことが要求される。ちなみに、属性証明書に暗号化が施されていないものと判定された場合、該属性証明書におけるディジタル署名が検証される。
【0054】
証明書中継部41は、暗号属性証明書の復号化要求を受けた場合、該暗号属性証明書をその復号化要求とともにセキュリティチップ12に与える。
【0055】
セキュリティチップ12は、暗号属性証明書の復号化要求を受けた場合、認証モードに対応するプログラムを用いて、静脈情報取得部31、テンプレート取得部51、認証部52及び証明書提示部53として機能する。
【0056】
テンプレート取得部51は、セキュリティ記憶部12Aから、サービス提供サーバー3Xのサービスに対応する登録対象の静脈情報を探索し、該探索した静脈情報を読み出す。
【0057】
認証部52は、静脈情報取得部31によってユーザから取得された認証対象の静脈情報と、テンプレート取得部51によって読み出された登録対象の静脈情報とを照合する。この照合手法には、例えば、相互相関関数、位相相関関数又はSAD(Sum of Absolute difference)が用いられる。
【0058】
ここで、照合の程度が基準レベル以上となる場合、認証部52は、照合対象の静脈情報同士が一致するものとして、認証成功と判定する。一方、照合の程度が基準レベル未満となる場合、認証部52は、照合対象の静脈情報同士が不一致であるものとして、認証失敗と判定する。
【0059】
証明書提示部53は、認証部52において認証成功と判定された場合、当該判定時における登録対象の静脈情報に関連付けられた暗号鍵をセキュリティ記憶部12Aから読み出し、この暗号鍵を用いて、サービス提供サーバー3Xから証明書中継部41の専用通信路を通じて与えられた暗号属性証明書を復号化する。
【0060】
また証明書提示部53は、この復号化により得られる属性証明書を、証明書中継部41の専用通信路を通じてサービス提供サーバー3Xに返信するようになされている。
【0061】
サービス提供サーバー3Xの証明書検証部では、この属性証明書を受けた場合、該属性証明書におけるディジタル署名が、署名用の公開鍵を用いて復号化され、この復号結果を、属性証明書の本文(携帯電話機4のユーザID及びそのユーザIDに対応付けられたユーザ属性情報を含むユーザ情報)から導出した固定長データと照合することで、ディジタル署名が検証される。
【0062】
この照合結果が一致した場合、ユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定される。この場合、サービス提供処理部では、携帯電話機4の要求に応じて、ユーザ属性情報を用いて自己のサービスが提供される。
【0063】
サービス受領処理部42は、サービス提供処理部からサービスを受領するための各種処理をサービス提供処理部との間で実行し、サービス提供サーバーにおけるサービスを受領するようになされている。
【0064】
このようにこの携帯電話機4は、サービス提供サーバー3Xからサービスを受領する場合、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書をサービス提供サーバー3Xに提示するようになされている。
【0065】
(4)サービス受領処理の具体例
次に、携帯電話機4におけるサービス受領処理の具体例として、サービス提供サーバー3Xが、口座の閲覧又は為替取引等の銀行取引を提供するサーバー(以下、これを銀行サーバーと呼ぶ)である場合と、音声、映像又はゲームソフト等のコンテンツを提供するサーバー(以下、これをコンテンツ提供サーバーと呼ぶ)場合とに分けて説明する。
【0066】
(4−1)銀行サーバーからサービスを受領する場合
(4−1−1)ユーザ属性情報を登録する場合
この場合、属性内容決定部21(図3)は、氏名、住所、生年月日、性別を含む各項目を入力するための入力画面を表示部16に対してGUI表示する。また属性内容決定部21は、銀行サーバーに対して、各項目に入力された事項をユーザ属性情報として与えるとともに、属性証明書を発行すべきことを要求する。
【0067】
銀行サーバーのAC発行部では、サービス受領者(携帯電話機4のユーザ)が本人であると判定された場合、属性内容決定部21から与えられるユーザ属性情報に対して、該銀行サーバーによって割り当てられた口座番号が加えられる。そしてAC発行部では、携帯電話機4に対して、口座番号が通知されるとともに、携帯電話機4のユーザIDと、口座番号を含むユーザ属性情報とを本文とする属性証明書が発行される。
【0068】
属性証明書取得部22は、銀行サーバーから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0069】
セキュリティチップ12は、上述したように、属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録する。
【0070】
(4−1−2)サービスを受領する場合
この場合、セキュリティチップ12(図4)は、上述したように、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書を専用通信路を通じて銀行サーバーに提示する。
【0071】
銀行サーバーのサービス提供処理部では、属性証明書に基づいてユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定された場合、携帯電話機4に対して、受領希望のサービスを選択すべきことが専用通信路を通じて要求される。
【0072】
サービス受領処理部42は、受領希望サービスの選択要求を受けた場合、例えば、残高照会、入出金照会、口座振込、口座振替、金融商品(定期預金、外貨預金、投資信託等)、宝くじ申込又はPayPalのなかから希望するサービスを選択決定するための画面を表示部16にGUI表示し、該選択決定されたサービス内容を専用通信路を通じて銀行サーバーに通知する。
【0073】
銀行サーバーのサービス提供処理部では、サービス内容が通知された場合、ユーザ属性情報に含まれる口座番号に基づいて、該通知されたサービス内容に対応する処理を実行し、該処理結果をサービス受領処理部42に専用通信路を通じて通知する。
【0074】
このようにサービス提供サーバー3Xが銀行サーバーである場合、携帯電話機4は、ユーザによって入力された内容と、銀行サーバーによって割り当てられた口座番号とを含むユーザ属性情報に対して、本人性が確認されたユーザIDと、当該ユーザ属性情報及びユーザIDの改竄を検出するための識別子とがコンテンツ提供サーバーにおいて付加されることにより生成される属性証明書を、セキュリティチップ12で暗号化し、該セキュリティチップ12外の記憶部14に登録するようになされている。
【0075】
(4−2)コンテンツ提供サーバーからサービスを受領する場合
(4−2−1)ユーザ属性情報を登録する場合
この場合、属性内容決定部21(図3)は、氏名、住所、生年月日及び性別と、受領希望のコンテンツ及びその利用権限とを含む各項目を入力するための入力画面を表示部16に対してGUI表示する。
【0076】
受領希望のコンテンツの項目は、複数あり、当該項目には、例えば、コンテンツ提供サーバーにおいて提供対象とされるゲームコンテンツ、映像コンテンツ、音楽コンテンツ、及び静止画コンテンツが、カテゴリごとに選択可能に入力される。一方、利用権限の項目は、受領希望のコンテンツの項目に対応する数だけあり、当該項目には、この実施の形態では利用可能期間又は利用可能回数のいずれかが、受領希望のコンテンツの項目において選択されたコンテンツに応じて、選択可能に入力される。ちなみに、利用権限は、利用可能期間から利用可能回数に、又は利用可能回数から利用可能期間に変更することもできる。
【0077】
また属性内容決定部21は、各項目が入力された場合、コンテンツ提供サーバーに対して、各項目に入力された事項をユーザ属性情報として与えるとともに、属性証明書を発行すべきことを要求する。
【0078】
コンテンツ提供サーバーのAC発行部では、サービス受領者(携帯電話機4のユーザ)が本人であると判定された場合、携帯電話機4に対して、該携帯電話機4のユーザIDと、ユーザ属性情報とを本文とする属性証明書が、専用通信路を通じて発行される。
【0079】
属性証明書取得部22(図3)は、コンテンツ提供サーバーから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0080】
セキュリティチップ12(図3)は、上述したように、属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録する。
【0081】
(4−2−2)サービスを受領する場合
この場合、セキュリティチップ12(図4)は、上述したように、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書を専用通信路を通じてコンテンツ提供サーバーに提示する。
【0082】
コンテンツ提供サーバーのサービス提供処理部では、属性証明書に基づいてユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定された場合、携帯電話機4に対して、ユーザ属性情報における受領希望のコンテンツが、該ユーザ属性情報における利用権限にしたがって、専用通信路を通じて携帯電話機4のサービス受領処理部42に提供される。
【0083】
具体的には、利用権限が利用可能期間により規定されている場合、サービス提供処理部では、該利用可能期間に対して残余の有無が判定され、該利用可能期間に残余期間があるときには、ユーザ属性情報における受領希望のコンテンツが専用通信路を通じてサービス受領処理部42に提供される。
【0084】
一方、利用権限が利用可能回数により規定されている場合、サービス提供処理部では、該利用可能回数に対して残余の有無が判定され、該利用可能回数に残余回数があるときには、ユーザ属性情報における受領希望のコンテンツが専用通信路を通じて提供され、その提供後に、ユーザ属性情報における利用可能回数が1つだけ減らされる。このときサービス提供処理部では、ユーザ属性情報の利用可能回数が変更されたため、携帯電話機4のユーザIDと、変更後のユーザ属性情報とを本文とする属性証明書が再発行され、サービス受領処理部42に対して、再発行された属性証明書が与えられるとともに、ユーザ属性情報が変更されたことがサービス受領処理部42に通知される。
【0085】
サービス受領処理部42は、ユーザ属性情報が変更された場合、図4との対応部分に同一符号を付して示す図5のように、セキュリティチップ12に対して、再発行された属性証明書を与えるとともに、属性証明書を更新すべきことを要求する。
【0086】
この場合、セキュリティチップ12における更新部54は、暗号鍵生成部32(図3)において、再発行された属性証明書に対して固有の暗号鍵を生成するとともに、登録部33(図3)において、再発行前の属性証明書に対して生成された暗号鍵を、当該再発行された属性証明書に対して生成された暗号鍵に書き換えて、静脈情報に対する暗号鍵の関連付けを更新する。
【0087】
また更新部54は、暗号化部34(図3)において、再発行された属性証明書に対して固有の暗号鍵を用いて、該再発行された属性証明書を暗号化し、再発行前の属性証明書に対して暗号化された暗号属性証明書を、当該再発行された属性証明書に対して暗号化された暗号属性証明書に書き換えて、記憶部14に対する暗号属性証明書の登録を更新する。
【0088】
このようにサービス提供サーバー3Xがコンテンツ提供サーバーである場合、携帯電話機4は、ユーザの属性内容と、受領希望のコンテンツと、そのコンテンツの利用権限とを含むユーザ属性情報に対して、本人性が確認されたユーザIDと、当該ユーザ属性情報及びユーザIDの改竄を検出するための識別子とがコンテンツ提供サーバーにおいて付加されことにより生成される属性証明書を、セキュリティチップ12で暗号化し、該セキュリティチップ12外の記憶部14に登録するようになされている。
【0089】
また携帯電話機4は、利用権限が変更された場合、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する暗号属性証明書の登録を更新するようになされている。
【0090】
(5)動作及び効果
以上の構成において、この携帯電話機4は、セキュリティ管理が施されたセキュリティチップ12において、静脈画像から静脈情報を取得し、ユーザ属性情報を暗号鍵を用いて暗号化する(図3)。
【0091】
そして携帯電話機4は、暗号鍵及び静脈情報を、セキュリティチップ12内のセキュリティ記憶部12Aに登録する一方、暗号化されたユーザ属性情報を、セキュリティチップ12外の記憶部14に登録する(図3)。
【0092】
したがって、ユーザ属性情報は、セキュリティチップ12内で暗号化された状態で、セキュリティチップ12外の記憶部14に登録され、該ユーザ属性情報を暗号化するための暗号鍵は、セキュリティチップ12内のセキュリティ記憶部12Aに登録されるため、この携帯電話機4は、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することを防止でき、この結果、ユーザ属性情報を安全に管理することができる。これに加えてこの携帯電話機4は、セキュリティ記憶部12Aに対してユーザ属性情報及び暗号鍵の双方を登録する場合に比して、セキュリティ記憶部12Aに対する使用量を削減することができる。
【0093】
また携帯電話機4は、セキュリティチップ12において、登録された生体情報と、静脈画像から取得された静脈情報とが一致する場合、セキュリティ記憶部12Aに登録された暗号鍵を用いて、暗号化されたユーザ属性情報を復号化し、これをサービス提供サーバー3Xに提示する(図4)。
【0094】
したがって、ユーザ本人のみだけがもつ静脈情報は、暗号化されたユーザ属性情報を復号化するための鍵として、セキュリティチップ12内のセキュリティ記憶部12Aで管理されるため、この携帯電話機4は、ユーザ属性情報を、異なる観点の鍵で2重に秘匿する分だけ、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することをより一段と防止できる。これに加えてこの携帯電話機4は、静脈情報をサービス提供サーバー3X側で管理する場合に比して、静脈情報を簡易かつ安全に管理することができる。
【0095】
この実施の形態の場合、携帯電話機4は、一の暗号鍵をセキュリティチップ12内に保持しておくのではなく、暗号鍵生成部32(図3)によって、ユーザ属性情報に対して固有の暗号鍵を生成しており、また、生成された暗号鍵を、静脈情報と関連付けてセキュリティ記憶部12Aに登録している。そして携帯電話機4は、セキュリティ記憶部12Aに登録された静脈情報と、静脈画像から取得された認証対象の静脈情報とが一致する場合、該登録された静脈情報に関連付けられた暗号鍵を用いて復号化する。
【0096】
したがって、この携帯電話機4は、複数のサービスのユーザ属性情報を、暗号鍵によって管理することができる。これに加えて、複数のサービス提供サーバー31〜3nのサービス対するユーザ属性情報は、異なる暗号鍵によって暗号化された状態で、セキュリティチップ12外の記憶部14に登録されるため、この携帯電話機4は、暗号化されたユーザ属性情報がたとえ解読されたとしても、その解読結果から他のユーザ属性情報についても解読されるといったことを未然に防止することができる。
【0097】
さらにこの実施の形態の場合、暗号鍵生成部32(図3)は、ユーザ属性情報に対して固有の暗号鍵を、静脈情報の全部又は一部を用いて生成している。したがって、暗号鍵は、ユーザ本人のみだけがもつ情報から導出されるため、既存のデータ列から導出する場合に比して、暗号化されたユーザ属性情報の秘匿性を強化することができる。
【0098】
さらにこの実施の形態の場合、携帯電話機4は、ユーザ属性情報自体を暗号化するのではなく、属性証明書取得部22(図3)によって、サービス提供サーバー3Xから属性証明書を取得し、この属性証明書を暗号化している。この属性証明書は、ユーザ属性情報に対して、第三者機関(公開鍵証明書発行局2)によって本人であるものと証明されたユーザIDと、ユーザID及びユーザ属性情報における改竄の有無を判定するための識別子とを付したものである。
【0099】
したがって、ユーザID及びユーザ属性情報は、サービス提供サーバー3X側において識別子を用いて改竄の有無を判定する検証工程を経るだけで、ユーザの本人性及びユーザ属性情報の正当性が得られることになるため、この携帯電話機4は、記憶部14に登録したユーザ属性情報がサービス提供サーバー3Xに提示するまでに、盗用又は改竄されたとしても、不当にサービスを受領することを防止することができる。
【0100】
ところで、静脈情報を用いて本人性が確認されたか否かにかかわらず暗号属性証明書を復号化し、サービス提供サーバー3Xにおいて、復号化された属性証明書に基づいてユーザの本人性及びユーザ属性情報の正当性が得られこと、かつ、携帯電話機4から静脈情報を用いて本人性が確認された旨の通知があったことを、サービスの提供の開始条件とするといった構成も考えられる。
【0101】
しかし、この構成では、本人性の検証が、サービス提供サーバー3Xと、携帯電話機4との双方で行われているが、携帯電話機4において本人性が確認された旨の通知がサービス提供サーバー3Xに到達されるまでに、通知内容の改竄を防止する等の対策を採用しなければ、携帯電話機4における生体認証の意義が喪失する可能性がある。
【0102】
これに対し、この携帯電話機4は、静脈情報を用いて本人性が確認したことを復号化条件として、暗号化された属性証明書を復号化し、該復号化した属性証明書をサービス提供サーバー3Xに提示している。つまり、この携帯電話機4では、ユーザの本人性については、サービス提供サーバー3Xにおける属性証明書の検証工程にまかせ、静脈情報を用いて本人性が確認については、暗号化されたユーザ属性情報を復号化するための鍵としてリンクさせている。したがって、サービス提供サーバー3Xに対して、静脈情報を用いて本人性が確認の通知を要しないので、携帯電話機4における生体認証の意義を喪失させることなく、ユーザ属性情報を、異なる観点の鍵で2重に秘匿する分だけ強固に管理することができる。
【0103】
さらにこの実施の形態の場合、携帯電話機4は、セキュリティチップ12内の更新部54(図5)によって、ユーザ属性情報における利用権限が変更された場合、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する属性情報の登録を更新する。したがって、この携帯電話機4は、属性証明書(ユーザ属性情報)を正確に管理できる。
【0104】
以上の構成によれば、属性情報を、セキュリティチップ12内において暗号鍵及び静脈情報を用いて2重に秘匿した状態で、該セキュリティチップ12外の記憶部14に登録し、当該暗号鍵及び静脈情報をセキュリティチップ12内のセキュリティ記憶部12Aで保持するようにしたことにより、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得る携帯電話機4を実現できる。
【0105】
(6)他の実施の形態
上述の実施の形態においては、生体として、静脈を適用するようにした場合について述べたが、本発明はこれに限らず、指紋、口紋、虹彩又は顔等、この他種々の生体に関する情報を適用することができる。
【0106】
また上述の実施の形態においては、記憶部14を、SIM(Subscriber Identity Module card)、UIM(Universal subscriber Identity Module)又はメモリスティック(ソニー登録商標)等として適用することもできる。SIMやUIMを適用した場合、IC(Integrated Circuit)チップ等のローミングが可能となり、ユーザの使い勝手を向上させることができる。
【0107】
さらに上述の実施の形態においては、利用権限が変更された場合に、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する属性情報の登録を更新するようにした場合について述べたが、本発明はこれに加えて、ユーザの氏名、住所等の属性に変更があった場合に、更新するようにしてもよい。このようにすれば、属性証明書(ユーザ属性情報)をより一段と正確に管理できる。
【0108】
さらに上述の実施の形態においては、携帯電話機4を適用するようにした場合について述べたが、本発明はこれに限らず、例えば、PDA(Personal Digital Assistants)、テレビジョン受信機、パーソナルコンピュータ等、ネットワークを通じて通信可能となるこの他種々の通信端末装置を適用することができる。電話番号やメールアドレス等のように個人に対して通信用IDが割り当てられる携帯通信機器を適用する場合、異なるサービスに対して同じ指の静脈画像を入力するといったことが多いので、セキュリティ記憶部12Aに対する無駄な使用量を削減し得る本発明は特に有用となる。
【産業上の利用可能性】
【0109】
本発明は、バイオメトリクス認証分野において利用可能である。
【図面の簡単な説明】
【0110】
【図1】本実施の形態による通信システムの構成を示す略線図である。
【図2】携帯電話機の構成を示すブロック図である。
【図3】サービス受領処理における登録シーケンスを示す図である。
【図4】サービス受領処理における受領シーケンス(1)を示す図である。
【図5】サービス受領処理における受領シーケンス(2)を示す図である。
【符号の説明】
【0111】
1……サービス提供システム、2……公開鍵証明書発行局、31〜3n、3X……サービス提供サーバー、4……携帯電話機、10……制御部、12……セキュリティチップ、13……撮像部、14……記憶部、15……通信部、21……属性内容決定部、22……属性証明書取得部、31……静脈情報取得部、32……暗号鍵生成部、33……登録部、34……暗号化部、41……証明書中継部、42……サービス受領処理部、51……テンプレート取得部、52……認証部、53……証明書提示部。
【技術分野】
【0001】
本発明はサービス提供システム及び通信端末装置に関し、例えばインターネットを通じてサービスを提供する場合に適用して好適なものである。
【背景技術】
【0002】
近年、認証対象として生体を利用したものが普及していきている。また、携帯電話機等の携帯通信機器に生体認証装置を搭載することにより、携帯通信機器を通じて、どこでも通信相手に対して認証処理が容易に行えるようになる等、携帯通信機器に生体認証装置を搭載することが重要事項になる傾向にある。クレジットカードやキャッシュカードに生体認証装置を搭載したものが提案されている(例えば特許文献1参照)。
【特許文献1】特開2007−34521公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、インターネットを介してサービスを提供する場合、サービス提供サーバーは、ユーザアカウント及びパスワードや、サービスに対するユーザのアクセス権限の内容等を規定し、ユーザ単位でサービスを管理する。サービスの利用者数が増加するほど、サービス提供サーバーにおけるサービスの管理負荷が増大となり、ひいてはサービス提供サーバーが破綻するといった事態を招くことになる。
【0004】
サービス提供サーバーがユーザ情報を一括に管理するのではなく、サービスの提供を受ける端末において個々に管理すれば、サービス提供サーバーにおけるサービスの管理負荷を軽減することが可能となる。
【0005】
ここで、端末内の記憶部に対してユーザアカウント及びパスワードをそのまま記憶させた場合、該ユーザアカウント及びパスワードを用いて、第三者が正規ユーザに成り代わってサービスの提供を受けるといったいわゆる成りすましが発生する。したがって、ユーザアカウント及びパスワードに対する第三者のアクセスを制限する必要がある。
【0006】
一方、ユーザアカウント及びパスワードに代えて、指紋や静脈等の生体に関する情報(生体情報)を適用すれば、端末とは別体の情報を認証対象とできる分だけ、成りすましを防止することができる。しかしながら、生体情報は、生涯不変であるといわれ適宜変更できないものである等といった性質をもつので、任意に選択可能なパスワードと比べて、第三者のアクセスを制限する必要性がある。
【0007】
したがって、ユーザアカウント及びパスワードや生体情報のような秘匿情報は、耐タンパ性を保有するモジュール等、他の情報と比べてセキュリティレベルの高いモジュール内に格納される可能性が高い。しかしながら、セキュリティレベルの高いモジュール内のメモリは、容易に大容量化を図ることができず、秘匿情報を記憶できる領域は少なくなりがちである。
【0008】
さらに、生体の特徴部分に限って(圧縮した状態で)生体情報を保持したとしても、当該生体情報とともに、ユーザのアクセス権限等の属性情報なども保持しようとすると、モジュール内におけるメモリに対する使用量が増大し、飽和が生じてしまうことになる。
【0009】
本発明は以上の点を考慮してなされたもので、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得るサービス提供システム及び通信端末装置を提案しようとするものである。
【課題を解決するための手段】
【0010】
かかる課題を解決するため本発明は、サービス提供サーバーと、該サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置とによって構成されるサービス提供システムであって、通信端末装置には、セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、サービス提供サーバーにおけるサービスに関するユーザの属性情報を、暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化する復号化部とを設けるようにする。一方、サービス提供サーバーには、復号化部により復号化された属性情報に基づいて、自己のサービスを提供するための処理を実行する提供処理部を設けるようにする。
【0011】
また本発明は、サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置であって、セキュリティ管理が施されたブロック外に第1の記憶部を設け、当該ブロックに対して、第2の記憶部と、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、属性情報を暗号鍵を用いて暗号化する暗号化部と、暗号化部により暗号化された暗号属性情報を第1の記憶部に登録する一方、生体情報及び暗号鍵を第2の記憶部に登録する登録部と、第2の記憶部に登録された生体情報と、取得部により取得された生体情報とが一致する場合、暗号鍵を用いて暗号属性情報を復号化し、復号化された属性情報をサービス提供サーバーに提示する提示部とを設けるようにする。
【発明の効果】
【0012】
以上のように本発明によれば、属性情報は、セキュリティレベルの高いブロック内で暗号化された状態で、該ブロック外の第1の記憶部に登録され、属性情報を暗号化するための暗号鍵は、セキュリティレベルの高いブロック内の第2の記憶部に登録されるため、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することを防止できる。また、第2の記憶部に対して属性情報及び暗号鍵の双方を登録する場合に比して、第2の記憶部に対する使用量を削減することもできる。
【0013】
これに加えて、ユーザ本人のみだけがもつ静脈情報は、暗号化された属性情報を復号化するための鍵として、セキュリティレベルの高いブロック内の第2の記憶部に保持されるため、属性情報を、異なる観点の鍵で2重に秘匿する分だけ、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することをより一段と防止できる。
【0014】
このように、属性情報を、セキュリティレベルの高いブロック内において2重に秘匿した状態で、該ブロック外の第1の記憶部に登録し、当該秘匿対象の暗号鍵と静脈情報とをブロック内で保持するようにしたことにより、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得るサービス提供システム及び通信端末装置を実現できる。
【発明を実施するための最良の形態】
【0015】
以下図面について、本発明を適用した一実施の形態を詳述する。
【0016】
(1)サービス提供システムの構成
図1において、本実施の形態によるサービス提供システム1の全体構成を示す。このサービス提供システム1では、公開鍵証明書発行局(CA : Certificate Authority)2と、複数のサービス提供サーバー31、32、……、3nと、携帯電話機4とが、インターネット又はNGN(Next Generation Network)等のネットワーク5を介して接続される。
【0017】
公開鍵証明書発行局2は、利用者の本人性を証明するサーバーであり、ネットワーク5を介して要求される要求元に対して、公開鍵証明書(PKC : Public Key Certificate)を発行するようになされている。
【0018】
この公開鍵証明書は、公開鍵管理基盤(PKI : Public Key Infrastructure)を用いて生成されるものであり、ユーザの氏名、MACアドレス又はメールアドレス等のユーザID(Identification)と、該ユーザIDに対応する公開鍵とに対して、ディジタル署名が付加されたものである。ディジタル署名は、ユーザID及び公開鍵から一方向性関数を用いて導出されたハッシュ値等の固定長データに対して、署名用の秘密鍵を用いて暗号化することにより生成される。
【0019】
一方、各サービス提供サーバー31、32、……、3nは、所定のサービスをネットワーク5を介して提供するサーバーである。サービス提供サーバー31、32、……、3nは、サービス受領元に対して、サービスに対する利用者のアクセス権限等のユーザ属性情報を用いて、自己のサービスをネットワーク5を介してサービス受領元に提供するようになされている。
【0020】
また各サービス提供サーバー31、32、……、3nは、利用者のアクセス権限等の属性内容を証明するサーバーでもあり、サービス受領元に対して、属性証明書(AC : Attribute Certificate)を発行するようになされている。
【0021】
この属性証明書は、権限管理基盤(PMI : Privilege Management Infrastructure)を用いて生成されるものであり、サービス受領元のユーザIDと、自己のサービスに関するサービス受領元のユーザ属性情報とに対して、ディジタル署名が付加されたものである。ディジタル署名は、ユーザID及びユーザ属性情報から一方向性関数を用いて導出された固定長データに対して、署名用の秘密鍵を用いて暗号化することにより生成される。
【0022】
他方、携帯電話機4は、サービス提供サーバー3X(31、32、……、又は3n)に対してネットワークを通じて通信可能な端末装置であり、該ネットワークを通じてサービス提供サーバー3Xにおけるサービスを受領するようになされている。
【0023】
(2)携帯電話機の構成
次に、携帯電話機4の構成について、図2を用いて説明する。この携帯電話機4は、制御部10に対して、操作部11、セキュリティチップ12、撮像部13、記憶部14、通信部15、表示部16及び音声出力部17をそれぞれバス18を介して接続することにより構成される。
【0024】
制御部10は、この携帯電話機4全体の制御を司るメインCPU(Central Processing Unit)と、ROM(Read Only Memory)と、当該メインCPUのワークメモリとしてのRAM(Random Access Memory)とを含むコンピュータとして構成される。
【0025】
この制御部10は、操作部11から与えられる命令に対応するプログラムに基づいて、撮像部13、記憶部14、通信部15、表示部16及び音声出力部17を適宜制御し、当該命令に対応する処理として、例えばダウンロード処理、サーバーアクセス処理、発呼処理、通話処理、メール作成処理又はメール転送処理等の各種処理を実行する。
【0026】
セキュリティチップ12は、このセキュリティチップ12の制御を司るサブCPU、ROM、当該サブCPUのワークメモリとしてのRAMおよび記憶部(以下、これをセキュリティ記憶部と呼ぶ)を含む構成としてパッケージ化される。
【0027】
またこのセキュリティチップ12は、不正アクセスから記憶部を保護する機能又は不正アクセスに応じて記憶部のデータを消去する機能等の耐タンパ性を保有しており、記憶部14よりもセキュリティレベルが高い状態でセキュリティ記憶部を管理するようになされている。
【0028】
さらにこのセキュリティチップ12は、登録対象のユーザ(以下、これを登録者と呼ぶ)の静脈を登録するモード(以下、これを静脈登録モードと呼ぶ)又は登録者本人の有無を判定するモード(以下、これを認証モードと呼ぶ)に対応するプログラムに基づいて撮像部13、通信部15、表示部16及び音声出力部17を適宜制御し、登録処理又は認証処理を実行するようになされている。
【0029】
撮像部13は、撮像範囲内における被写体の画像を画像データとして生成することにより取得し、該取得した画像データを制御部10に送出する。
【0030】
また撮像部13は、静脈登録モード又は認証モードの場合、脱酸素化ヘモグロビン及び酸素化ヘモグロビンの双方に対して特異的に吸収される特性をもつ波長域(700[nm]〜900[nm])に含まれる波長の光(以下、これを近赤外光と呼ぶ)を、指を配すべき対象となる光入力面上に照射する。そして撮像部13は、光入力面に配される生体部位内の静脈の画像(以下、これを静脈画像と呼ぶ)を、データ(以下、これを静脈画像データと呼ぶ)として生成し、これを制御部10に送出するようになされている。
【0031】
記憶部14は、静脈画像データから抽出される静脈情報以外の各種情報を記憶するためのものであり、制御部10により指定される所定の領域に記憶し、又は所定の領域から読み出すようになされている。
【0032】
通信部15は、ネットワーク4(図1)に対して信号を送受信するようになされている。具体的には、通信部15は、入力される通信対象のデータを、例えばOFDM(Orthogonal Frequency Division Multiplex)等の所定の変調方式により変調し、該変調結果として得られる信号をアンテナ(図示せず)を介して基地局に送信する。一方、通信部15は、アンテナを介して受信された信号を所定の復調方式により復調し、該復調結果として得られるデータを出力するようになされている。
【0033】
表示部16は、制御部10から与えられる表示データに基づく文字や図形を表示画面に表示する。音声出力部17は、制御部10から与えられる音声データに基づく音声を、スピーカから出力するようになされている。
【0034】
(3)サービス受領処理
次に、携帯電話機4におけるサービス受領処理について、ユーザ属性情報を登録する場合と、該ユーザ属性情報を用いてサービス提供サーバー3Xからサービスを受領する場合とに分けて説明する。
【0035】
(3−1)ユーザ属性情報を登録する場合
この場合、制御部10は、サービス提供サーバー3Xから、サービス提供に関するアプリケーションソフトウェアを通信部15を介して記憶部14に格納し、このアプリケーションソフトウェアを用いて、図3に示すように、属性内容決定部21、属性証明書取得部22及び記憶処理部23として機能する。
【0036】
属性内容決定部21は、サービス提供サーバー3Xにおけるサービスの種類及びその説明等のサービス内容に基づいて、ユーザ属性情報を入力するための入力画面を、表示部16に対してGUI(Graphical User Interface)表示する。
【0037】
また属性内容決定部21は、入力画面に対する入力が終了された場合、通信部15を介して、サービス提供サーバー3Xとの間でSSL(Secure Sockets Layer Protocol)等の専用通信路を設定し、この専用通信路を通じてユーザ属性情報を与えるとともに、属性証明書を発行すべきことを要求する。
【0038】
サービス提供サーバー3XのAC発行部では、属性証明書の発行要求を受けた場合、公開鍵証明書発行局2に対して携帯電話機4の公開鍵証明書が要求され、該公開鍵証明書発行局2から発行される携帯電話機4の公開鍵証明書のディジタル署名が、公開鍵証明書発行局2の公開鍵を用いて復号化される。
【0039】
そしてAC発行部では、この復号結果を、公開鍵証明書の本文(携帯電話機4のユーザID及びそのユーザIDに対応付けられた公開鍵)から導出した固定長データと照合することで、ディジタル署名が検証され、当該照合結果が一致した場合、サービス受領者(携帯電話機4のユーザ)が本人であると判定される。この場合、AC発行部では、携帯電話機4のユーザIDと、属性内容決定部21から与えられるユーザ属性情報とを本文として、属性証明書が生成され発行される。
【0040】
属性証明書取得部22は、サービス提供サーバー3Xから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0041】
セキュリティチップ12は、属性証明書取得部22から属性証明書の管理要求を受けた場合、静脈登録モードに対応するプログラムを用いて、静脈情報取得部31、暗号鍵生成部32、登録部33及び暗号化部34として機能する。
【0042】
静脈情報取得部31は、表示部16(図2)及び音声出力部17(図2)の少なくとも一方を介して光入力面に指を配すべきことを通知した後、撮像部13に対して、静脈の最適な撮像条件を設定する。
【0043】
具体的に静脈情報取得部31は、光入力面に配される指内方の静脈層の後方を照射対象とされる光源を駆動する。指内方の静脈層の後方に近赤外光が照射された場合、近赤外光は、その指内方において反射及び散乱によって静脈層と表皮層を経由し、光入力面に入射する。この光入力面に入射する近赤外光は、指内方における非静脈部分では明るい状態となる一方、静脈部分ではヘモグロビンの吸光特性により暗い状態が保たれることにより、静脈部分と非静脈部分のコントラストが鮮明となっており、静脈を投影する光(以下、これを静脈投影光と呼ぶ)として、撮像部13の撮像面に導光される。
【0044】
静脈情報取得部31は、撮像部13から出力される静脈画像データに基づいて、例えば、静脈に焦点が合うように光学レンズのレンズ位置を調整するとともに、所定の露出値(EV(Exposure Value))を基準として、絞りの絞り値及び撮像素子に対するシャッター速度(露出時間)をそれぞれ調整することで、撮像部13に対して、静脈の最適な撮像条件を設定するようになされている。
【0045】
また静脈情報取得部31は、静脈の最適な撮像条件を撮像部13に対して設定した場合、該撮像部13から出力される静脈画像データに対して前処理を施し、該前処理結果として得られる画像から静脈情報を抽出する。この静脈情報は、例えば、血管幅の中心若しくは輝度ピークが抽出された静脈画像、当該血管幅の中心若しくは輝度ピークの全部もしくは一部、または、静脈に曲線近似させたパラメータ等、種々のものを採用することができる。
【0046】
具体的な前処理の手法には、例えば、静脈画像に映し出される静脈の輪郭を、ガウシアンフィルタやLog(Laplacian of Gaussian)フィルタ等の微分フィルタを用いて浮き彫りにし、該輪郭が浮き彫りにされた画像を、設定された輝度値を基準として2値画像に変換するものがある。
【0047】
暗号鍵生成部32は、属性証明書取得部22から与えられる属性証明書に対して固有の暗号鍵を生成するようになされている。この生成手法には、例えば、静脈情報の全部もしくは一部又は属性証明書の全部もしくは一部から導出された擬似乱数が用いられる。
【0048】
登録部33は、この携帯電話機4の記憶部14に比してセキュリティレベルが高い状態で管理されるセキュリティチップ12内のセキュリティ記憶部12Aに対して、静脈情報取得部31により取得された静脈情報と、暗号鍵生成部32により生成された暗号鍵とを関連付けて記憶することにより登録する。
【0049】
暗号化部34は、暗号鍵生成部32により生成された暗号鍵を用いて、例えばAES(Advanced Encryption Standard)と呼ばれる暗号方式により属性証明書を暗号化する。また暗号化部34は、記憶処理部24に対して、暗号化された属性証明書(以下、これを暗号属性証明書と呼ぶ)を与えるとともに、該暗号属性証明書を記憶すべきことを要求し、当該暗号属性証明書を、記憶部14に記憶させることにより登録するようになされている。
【0050】
このようにこの携帯電話機4は、サービス提供サーバー3Xにおけるサービスに関する受領条件を登録する場合、サービス提供サーバー3Xから、ユーザにより入力されたユーザ属性情報に基づいて発行される属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録するようになされている。
【0051】
(3−2)サービスを受領する場合
この場合、制御部10は、サービスの提供に関するアプリケーションソフトウェアを用いて、図3との対応部分に同一符号を付した図4に示すように、証明書中継部41及びサービス受領処理部42として機能する。
【0052】
証明書中継部41は、記憶部14から、サービス提供サーバー3Xのサービスに対応する暗号属性証明書を探索する。また証明書中継部41は、サービス提供サーバー3Xとの間で専用通信路を設定し、該専用通信路を通じて、暗号属性証明書を与えるとともに、サービスを提供すべきことを要求する。
【0053】
サービス提供サーバー3Xの証明書検証部では、暗号属性証明書に対する暗号化の有無が判定される。証明書検証部では、属性証明書に暗号化が施されているものと判定された場合、専用通信路を通じて、暗号属性証明書が返信されるとともに、該暗号属性証明書を復号化すべきことが要求される。ちなみに、属性証明書に暗号化が施されていないものと判定された場合、該属性証明書におけるディジタル署名が検証される。
【0054】
証明書中継部41は、暗号属性証明書の復号化要求を受けた場合、該暗号属性証明書をその復号化要求とともにセキュリティチップ12に与える。
【0055】
セキュリティチップ12は、暗号属性証明書の復号化要求を受けた場合、認証モードに対応するプログラムを用いて、静脈情報取得部31、テンプレート取得部51、認証部52及び証明書提示部53として機能する。
【0056】
テンプレート取得部51は、セキュリティ記憶部12Aから、サービス提供サーバー3Xのサービスに対応する登録対象の静脈情報を探索し、該探索した静脈情報を読み出す。
【0057】
認証部52は、静脈情報取得部31によってユーザから取得された認証対象の静脈情報と、テンプレート取得部51によって読み出された登録対象の静脈情報とを照合する。この照合手法には、例えば、相互相関関数、位相相関関数又はSAD(Sum of Absolute difference)が用いられる。
【0058】
ここで、照合の程度が基準レベル以上となる場合、認証部52は、照合対象の静脈情報同士が一致するものとして、認証成功と判定する。一方、照合の程度が基準レベル未満となる場合、認証部52は、照合対象の静脈情報同士が不一致であるものとして、認証失敗と判定する。
【0059】
証明書提示部53は、認証部52において認証成功と判定された場合、当該判定時における登録対象の静脈情報に関連付けられた暗号鍵をセキュリティ記憶部12Aから読み出し、この暗号鍵を用いて、サービス提供サーバー3Xから証明書中継部41の専用通信路を通じて与えられた暗号属性証明書を復号化する。
【0060】
また証明書提示部53は、この復号化により得られる属性証明書を、証明書中継部41の専用通信路を通じてサービス提供サーバー3Xに返信するようになされている。
【0061】
サービス提供サーバー3Xの証明書検証部では、この属性証明書を受けた場合、該属性証明書におけるディジタル署名が、署名用の公開鍵を用いて復号化され、この復号結果を、属性証明書の本文(携帯電話機4のユーザID及びそのユーザIDに対応付けられたユーザ属性情報を含むユーザ情報)から導出した固定長データと照合することで、ディジタル署名が検証される。
【0062】
この照合結果が一致した場合、ユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定される。この場合、サービス提供処理部では、携帯電話機4の要求に応じて、ユーザ属性情報を用いて自己のサービスが提供される。
【0063】
サービス受領処理部42は、サービス提供処理部からサービスを受領するための各種処理をサービス提供処理部との間で実行し、サービス提供サーバーにおけるサービスを受領するようになされている。
【0064】
このようにこの携帯電話機4は、サービス提供サーバー3Xからサービスを受領する場合、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書をサービス提供サーバー3Xに提示するようになされている。
【0065】
(4)サービス受領処理の具体例
次に、携帯電話機4におけるサービス受領処理の具体例として、サービス提供サーバー3Xが、口座の閲覧又は為替取引等の銀行取引を提供するサーバー(以下、これを銀行サーバーと呼ぶ)である場合と、音声、映像又はゲームソフト等のコンテンツを提供するサーバー(以下、これをコンテンツ提供サーバーと呼ぶ)場合とに分けて説明する。
【0066】
(4−1)銀行サーバーからサービスを受領する場合
(4−1−1)ユーザ属性情報を登録する場合
この場合、属性内容決定部21(図3)は、氏名、住所、生年月日、性別を含む各項目を入力するための入力画面を表示部16に対してGUI表示する。また属性内容決定部21は、銀行サーバーに対して、各項目に入力された事項をユーザ属性情報として与えるとともに、属性証明書を発行すべきことを要求する。
【0067】
銀行サーバーのAC発行部では、サービス受領者(携帯電話機4のユーザ)が本人であると判定された場合、属性内容決定部21から与えられるユーザ属性情報に対して、該銀行サーバーによって割り当てられた口座番号が加えられる。そしてAC発行部では、携帯電話機4に対して、口座番号が通知されるとともに、携帯電話機4のユーザIDと、口座番号を含むユーザ属性情報とを本文とする属性証明書が発行される。
【0068】
属性証明書取得部22は、銀行サーバーから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0069】
セキュリティチップ12は、上述したように、属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録する。
【0070】
(4−1−2)サービスを受領する場合
この場合、セキュリティチップ12(図4)は、上述したように、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書を専用通信路を通じて銀行サーバーに提示する。
【0071】
銀行サーバーのサービス提供処理部では、属性証明書に基づいてユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定された場合、携帯電話機4に対して、受領希望のサービスを選択すべきことが専用通信路を通じて要求される。
【0072】
サービス受領処理部42は、受領希望サービスの選択要求を受けた場合、例えば、残高照会、入出金照会、口座振込、口座振替、金融商品(定期預金、外貨預金、投資信託等)、宝くじ申込又はPayPalのなかから希望するサービスを選択決定するための画面を表示部16にGUI表示し、該選択決定されたサービス内容を専用通信路を通じて銀行サーバーに通知する。
【0073】
銀行サーバーのサービス提供処理部では、サービス内容が通知された場合、ユーザ属性情報に含まれる口座番号に基づいて、該通知されたサービス内容に対応する処理を実行し、該処理結果をサービス受領処理部42に専用通信路を通じて通知する。
【0074】
このようにサービス提供サーバー3Xが銀行サーバーである場合、携帯電話機4は、ユーザによって入力された内容と、銀行サーバーによって割り当てられた口座番号とを含むユーザ属性情報に対して、本人性が確認されたユーザIDと、当該ユーザ属性情報及びユーザIDの改竄を検出するための識別子とがコンテンツ提供サーバーにおいて付加されることにより生成される属性証明書を、セキュリティチップ12で暗号化し、該セキュリティチップ12外の記憶部14に登録するようになされている。
【0075】
(4−2)コンテンツ提供サーバーからサービスを受領する場合
(4−2−1)ユーザ属性情報を登録する場合
この場合、属性内容決定部21(図3)は、氏名、住所、生年月日及び性別と、受領希望のコンテンツ及びその利用権限とを含む各項目を入力するための入力画面を表示部16に対してGUI表示する。
【0076】
受領希望のコンテンツの項目は、複数あり、当該項目には、例えば、コンテンツ提供サーバーにおいて提供対象とされるゲームコンテンツ、映像コンテンツ、音楽コンテンツ、及び静止画コンテンツが、カテゴリごとに選択可能に入力される。一方、利用権限の項目は、受領希望のコンテンツの項目に対応する数だけあり、当該項目には、この実施の形態では利用可能期間又は利用可能回数のいずれかが、受領希望のコンテンツの項目において選択されたコンテンツに応じて、選択可能に入力される。ちなみに、利用権限は、利用可能期間から利用可能回数に、又は利用可能回数から利用可能期間に変更することもできる。
【0077】
また属性内容決定部21は、各項目が入力された場合、コンテンツ提供サーバーに対して、各項目に入力された事項をユーザ属性情報として与えるとともに、属性証明書を発行すべきことを要求する。
【0078】
コンテンツ提供サーバーのAC発行部では、サービス受領者(携帯電話機4のユーザ)が本人であると判定された場合、携帯電話機4に対して、該携帯電話機4のユーザIDと、ユーザ属性情報とを本文とする属性証明書が、専用通信路を通じて発行される。
【0079】
属性証明書取得部22(図3)は、コンテンツ提供サーバーから専用通信路を介して属性証明書を取得した場合、セキュリティチップ12に対して、この属性証明書を与えるとともに、該属性証明書を管理すべきことを要求する。
【0080】
セキュリティチップ12(図3)は、上述したように、属性証明書を、該属性証明書に固有の暗号鍵を用いて暗号化して記憶部14に記憶するとともに、その暗号鍵を、静脈情報と関連付けて、記憶部14よりもセキュリティレベルの高いセキュリティチップ12内のセキュリティ記憶部12Aに登録する。
【0081】
(4−2−2)サービスを受領する場合
この場合、セキュリティチップ12(図4)は、上述したように、セキュリティチップ12内のセキュリティ記憶部12Aに登録される静脈情報と一致する静脈情報が入力された場合に限り、該登録される静脈情報に関連付けられた暗号鍵を用いて、セキュリティチップ12の外部となる記憶部14に記憶された暗号属性情報を復号化し、この復号結果として得られる属性証明書を専用通信路を通じてコンテンツ提供サーバーに提示する。
【0082】
コンテンツ提供サーバーのサービス提供処理部では、属性証明書に基づいてユーザIDの本人性及びユーザ属性情報の内容が正当なものであると判定された場合、携帯電話機4に対して、ユーザ属性情報における受領希望のコンテンツが、該ユーザ属性情報における利用権限にしたがって、専用通信路を通じて携帯電話機4のサービス受領処理部42に提供される。
【0083】
具体的には、利用権限が利用可能期間により規定されている場合、サービス提供処理部では、該利用可能期間に対して残余の有無が判定され、該利用可能期間に残余期間があるときには、ユーザ属性情報における受領希望のコンテンツが専用通信路を通じてサービス受領処理部42に提供される。
【0084】
一方、利用権限が利用可能回数により規定されている場合、サービス提供処理部では、該利用可能回数に対して残余の有無が判定され、該利用可能回数に残余回数があるときには、ユーザ属性情報における受領希望のコンテンツが専用通信路を通じて提供され、その提供後に、ユーザ属性情報における利用可能回数が1つだけ減らされる。このときサービス提供処理部では、ユーザ属性情報の利用可能回数が変更されたため、携帯電話機4のユーザIDと、変更後のユーザ属性情報とを本文とする属性証明書が再発行され、サービス受領処理部42に対して、再発行された属性証明書が与えられるとともに、ユーザ属性情報が変更されたことがサービス受領処理部42に通知される。
【0085】
サービス受領処理部42は、ユーザ属性情報が変更された場合、図4との対応部分に同一符号を付して示す図5のように、セキュリティチップ12に対して、再発行された属性証明書を与えるとともに、属性証明書を更新すべきことを要求する。
【0086】
この場合、セキュリティチップ12における更新部54は、暗号鍵生成部32(図3)において、再発行された属性証明書に対して固有の暗号鍵を生成するとともに、登録部33(図3)において、再発行前の属性証明書に対して生成された暗号鍵を、当該再発行された属性証明書に対して生成された暗号鍵に書き換えて、静脈情報に対する暗号鍵の関連付けを更新する。
【0087】
また更新部54は、暗号化部34(図3)において、再発行された属性証明書に対して固有の暗号鍵を用いて、該再発行された属性証明書を暗号化し、再発行前の属性証明書に対して暗号化された暗号属性証明書を、当該再発行された属性証明書に対して暗号化された暗号属性証明書に書き換えて、記憶部14に対する暗号属性証明書の登録を更新する。
【0088】
このようにサービス提供サーバー3Xがコンテンツ提供サーバーである場合、携帯電話機4は、ユーザの属性内容と、受領希望のコンテンツと、そのコンテンツの利用権限とを含むユーザ属性情報に対して、本人性が確認されたユーザIDと、当該ユーザ属性情報及びユーザIDの改竄を検出するための識別子とがコンテンツ提供サーバーにおいて付加されことにより生成される属性証明書を、セキュリティチップ12で暗号化し、該セキュリティチップ12外の記憶部14に登録するようになされている。
【0089】
また携帯電話機4は、利用権限が変更された場合、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する暗号属性証明書の登録を更新するようになされている。
【0090】
(5)動作及び効果
以上の構成において、この携帯電話機4は、セキュリティ管理が施されたセキュリティチップ12において、静脈画像から静脈情報を取得し、ユーザ属性情報を暗号鍵を用いて暗号化する(図3)。
【0091】
そして携帯電話機4は、暗号鍵及び静脈情報を、セキュリティチップ12内のセキュリティ記憶部12Aに登録する一方、暗号化されたユーザ属性情報を、セキュリティチップ12外の記憶部14に登録する(図3)。
【0092】
したがって、ユーザ属性情報は、セキュリティチップ12内で暗号化された状態で、セキュリティチップ12外の記憶部14に登録され、該ユーザ属性情報を暗号化するための暗号鍵は、セキュリティチップ12内のセキュリティ記憶部12Aに登録されるため、この携帯電話機4は、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することを防止でき、この結果、ユーザ属性情報を安全に管理することができる。これに加えてこの携帯電話機4は、セキュリティ記憶部12Aに対してユーザ属性情報及び暗号鍵の双方を登録する場合に比して、セキュリティ記憶部12Aに対する使用量を削減することができる。
【0093】
また携帯電話機4は、セキュリティチップ12において、登録された生体情報と、静脈画像から取得された静脈情報とが一致する場合、セキュリティ記憶部12Aに登録された暗号鍵を用いて、暗号化されたユーザ属性情報を復号化し、これをサービス提供サーバー3Xに提示する(図4)。
【0094】
したがって、ユーザ本人のみだけがもつ静脈情報は、暗号化されたユーザ属性情報を復号化するための鍵として、セキュリティチップ12内のセキュリティ記憶部12Aで管理されるため、この携帯電話機4は、ユーザ属性情報を、異なる観点の鍵で2重に秘匿する分だけ、第三者が暗号鍵及び暗号アルゴリズムを盗用又は解読することをより一段と防止できる。これに加えてこの携帯電話機4は、静脈情報をサービス提供サーバー3X側で管理する場合に比して、静脈情報を簡易かつ安全に管理することができる。
【0095】
この実施の形態の場合、携帯電話機4は、一の暗号鍵をセキュリティチップ12内に保持しておくのではなく、暗号鍵生成部32(図3)によって、ユーザ属性情報に対して固有の暗号鍵を生成しており、また、生成された暗号鍵を、静脈情報と関連付けてセキュリティ記憶部12Aに登録している。そして携帯電話機4は、セキュリティ記憶部12Aに登録された静脈情報と、静脈画像から取得された認証対象の静脈情報とが一致する場合、該登録された静脈情報に関連付けられた暗号鍵を用いて復号化する。
【0096】
したがって、この携帯電話機4は、複数のサービスのユーザ属性情報を、暗号鍵によって管理することができる。これに加えて、複数のサービス提供サーバー31〜3nのサービス対するユーザ属性情報は、異なる暗号鍵によって暗号化された状態で、セキュリティチップ12外の記憶部14に登録されるため、この携帯電話機4は、暗号化されたユーザ属性情報がたとえ解読されたとしても、その解読結果から他のユーザ属性情報についても解読されるといったことを未然に防止することができる。
【0097】
さらにこの実施の形態の場合、暗号鍵生成部32(図3)は、ユーザ属性情報に対して固有の暗号鍵を、静脈情報の全部又は一部を用いて生成している。したがって、暗号鍵は、ユーザ本人のみだけがもつ情報から導出されるため、既存のデータ列から導出する場合に比して、暗号化されたユーザ属性情報の秘匿性を強化することができる。
【0098】
さらにこの実施の形態の場合、携帯電話機4は、ユーザ属性情報自体を暗号化するのではなく、属性証明書取得部22(図3)によって、サービス提供サーバー3Xから属性証明書を取得し、この属性証明書を暗号化している。この属性証明書は、ユーザ属性情報に対して、第三者機関(公開鍵証明書発行局2)によって本人であるものと証明されたユーザIDと、ユーザID及びユーザ属性情報における改竄の有無を判定するための識別子とを付したものである。
【0099】
したがって、ユーザID及びユーザ属性情報は、サービス提供サーバー3X側において識別子を用いて改竄の有無を判定する検証工程を経るだけで、ユーザの本人性及びユーザ属性情報の正当性が得られることになるため、この携帯電話機4は、記憶部14に登録したユーザ属性情報がサービス提供サーバー3Xに提示するまでに、盗用又は改竄されたとしても、不当にサービスを受領することを防止することができる。
【0100】
ところで、静脈情報を用いて本人性が確認されたか否かにかかわらず暗号属性証明書を復号化し、サービス提供サーバー3Xにおいて、復号化された属性証明書に基づいてユーザの本人性及びユーザ属性情報の正当性が得られこと、かつ、携帯電話機4から静脈情報を用いて本人性が確認された旨の通知があったことを、サービスの提供の開始条件とするといった構成も考えられる。
【0101】
しかし、この構成では、本人性の検証が、サービス提供サーバー3Xと、携帯電話機4との双方で行われているが、携帯電話機4において本人性が確認された旨の通知がサービス提供サーバー3Xに到達されるまでに、通知内容の改竄を防止する等の対策を採用しなければ、携帯電話機4における生体認証の意義が喪失する可能性がある。
【0102】
これに対し、この携帯電話機4は、静脈情報を用いて本人性が確認したことを復号化条件として、暗号化された属性証明書を復号化し、該復号化した属性証明書をサービス提供サーバー3Xに提示している。つまり、この携帯電話機4では、ユーザの本人性については、サービス提供サーバー3Xにおける属性証明書の検証工程にまかせ、静脈情報を用いて本人性が確認については、暗号化されたユーザ属性情報を復号化するための鍵としてリンクさせている。したがって、サービス提供サーバー3Xに対して、静脈情報を用いて本人性が確認の通知を要しないので、携帯電話機4における生体認証の意義を喪失させることなく、ユーザ属性情報を、異なる観点の鍵で2重に秘匿する分だけ強固に管理することができる。
【0103】
さらにこの実施の形態の場合、携帯電話機4は、セキュリティチップ12内の更新部54(図5)によって、ユーザ属性情報における利用権限が変更された場合、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する属性情報の登録を更新する。したがって、この携帯電話機4は、属性証明書(ユーザ属性情報)を正確に管理できる。
【0104】
以上の構成によれば、属性情報を、セキュリティチップ12内において暗号鍵及び静脈情報を用いて2重に秘匿した状態で、該セキュリティチップ12外の記憶部14に登録し、当該暗号鍵及び静脈情報をセキュリティチップ12内のセキュリティ記憶部12Aで保持するようにしたことにより、安全に管理されるブロック内におけるメモリの使用量を抑えながらも属性情報を安全に管理し得る携帯電話機4を実現できる。
【0105】
(6)他の実施の形態
上述の実施の形態においては、生体として、静脈を適用するようにした場合について述べたが、本発明はこれに限らず、指紋、口紋、虹彩又は顔等、この他種々の生体に関する情報を適用することができる。
【0106】
また上述の実施の形態においては、記憶部14を、SIM(Subscriber Identity Module card)、UIM(Universal subscriber Identity Module)又はメモリスティック(ソニー登録商標)等として適用することもできる。SIMやUIMを適用した場合、IC(Integrated Circuit)チップ等のローミングが可能となり、ユーザの使い勝手を向上させることができる。
【0107】
さらに上述の実施の形態においては、利用権限が変更された場合に、静脈情報に対する暗号鍵の関連付け状態を更新するとともに、記憶部14に対する属性情報の登録を更新するようにした場合について述べたが、本発明はこれに加えて、ユーザの氏名、住所等の属性に変更があった場合に、更新するようにしてもよい。このようにすれば、属性証明書(ユーザ属性情報)をより一段と正確に管理できる。
【0108】
さらに上述の実施の形態においては、携帯電話機4を適用するようにした場合について述べたが、本発明はこれに限らず、例えば、PDA(Personal Digital Assistants)、テレビジョン受信機、パーソナルコンピュータ等、ネットワークを通じて通信可能となるこの他種々の通信端末装置を適用することができる。電話番号やメールアドレス等のように個人に対して通信用IDが割り当てられる携帯通信機器を適用する場合、異なるサービスに対して同じ指の静脈画像を入力するといったことが多いので、セキュリティ記憶部12Aに対する無駄な使用量を削減し得る本発明は特に有用となる。
【産業上の利用可能性】
【0109】
本発明は、バイオメトリクス認証分野において利用可能である。
【図面の簡単な説明】
【0110】
【図1】本実施の形態による通信システムの構成を示す略線図である。
【図2】携帯電話機の構成を示すブロック図である。
【図3】サービス受領処理における登録シーケンスを示す図である。
【図4】サービス受領処理における受領シーケンス(1)を示す図である。
【図5】サービス受領処理における受領シーケンス(2)を示す図である。
【符号の説明】
【0111】
1……サービス提供システム、2……公開鍵証明書発行局、31〜3n、3X……サービス提供サーバー、4……携帯電話機、10……制御部、12……セキュリティチップ、13……撮像部、14……記憶部、15……通信部、21……属性内容決定部、22……属性証明書取得部、31……静脈情報取得部、32……暗号鍵生成部、33……登録部、34……暗号化部、41……証明書中継部、42……サービス受領処理部、51……テンプレート取得部、52……認証部、53……証明書提示部。
【特許請求の範囲】
【請求項1】
サービス提供サーバーと、該サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置とによって構成されるサービス提供システムであって、
上記通信端末装置は、
セキュリティ管理が施されるブロック外に設けられた第1の記憶部と、
上記ブロック内に設けられた第2の記憶部と、
上記ブロックに有し、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、
上記ブロックに有し、上記サービス提供サーバーにおけるサービスに関するユーザの属性情報を、暗号鍵を用いて暗号化する暗号化部と、
上記ブロックに有し、上記暗号化部により暗号化された暗号属性情報を上記第1の記憶部に登録する一方、上記生体情報及び上記暗号鍵を上記第2の記憶部に登録する登録部と、
上記ブロック内に有し、上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、上記暗号鍵を用いて上記暗号属性情報を復号化する復号化部と
を具え、
上記サービス提供サーバーは、
上記復号化部により復号化された属性情報に基づいて、自己のサービスを提供するための処理を実行する提供処理部と
を具えることを特徴とするサービス提供システム。
【請求項2】
サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置であって、
セキュリティ管理が施されるブロック外に設けられた第1の記憶部と、
上記ブロック内に設けられた第2の記憶部と、
上記ブロック内に有し、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、
上記ブロック内に有し、上記属性情報を暗号鍵を用いて暗号化する暗号化部と、
上記ブロック内に有し、上記暗号化部により暗号化された暗号属性情報を上記第1の記憶部に登録する一方、上記生体情報及び上記暗号鍵を上記第2の記憶部に登録する登録部と、
上記ブロック内に有し、上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、上記暗号鍵を用いて上記暗号属性情報を復号化し、復号化された属性情報を上記サービス提供サーバーに提示する提示部と
を具えることを特徴とする通信端末装置。
【請求項3】
登録装置及びサービス提供サーバー以外の第三者機関によって本人であるものと証明されたユーザIDと、上記属性情報と、該ユーザID及び属性情報における改竄の有無を判定するための識別子とを含むものとして上記サービス提供サーバーによって生成される属性証明書を取得する証明書取得部をさらに具え、
上記暗号化部は、上記証明書取得部により取得された属性証明書を、上記生成部により生成された暗号鍵を用いて暗号化する
ことを特徴とする請求項2に記載の通信端末装置。
【請求項4】
上記証明書取得部は、
ユーザに入力された属性情報を上記ネットワークを通じて上記サービス提供サーバーに送信し、該属性情報と、上記ユーザIDと、上記識別子とを含むものとして上記サービス提供サーバーによって生成される属性証明書を取得する
ことを特徴とする請求項3に記載の通信端末装置。
【請求項5】
上記属性情報は、上記サービス提供サーバーにおけるサービスの利用権限を含み、
上記ブロック内に有し、上記利用権限が変更された場合、生体情報に対する暗号鍵の関連付け状態を更新するとともに、第1の記憶部に対する暗号属性情報の登録を更新する更新部をさらに具える
ことを特徴とする請求項2に記載の通信端末装置。
【請求項6】
上記ブロック内に有し、上記属性情報に対して固有の暗号鍵を生成する生成部をさらに具え、
上記暗号化部は、
上記属性情報を、上記生成部により生成された暗号鍵を用いて暗号化し、
上記登録部は、
上記暗号鍵を上記生体情報に関連付けて上記第2の記憶部に登録し、
上記提示部は、
上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、該登録された生体情報に関連付けられた暗号鍵を用いて上記暗号属性情報を復号化する
ことを特徴とする請求項2に記載の通信端末装置。
【請求項7】
上記生成部は、
上記属性情報に対して固有の暗号鍵を、上記生体情報を用いて生成する
ことを特徴とする請求項6に記載の通信端末装置。
【請求項1】
サービス提供サーバーと、該サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置とによって構成されるサービス提供システムであって、
上記通信端末装置は、
セキュリティ管理が施されるブロック外に設けられた第1の記憶部と、
上記ブロック内に設けられた第2の記憶部と、
上記ブロックに有し、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、
上記ブロックに有し、上記サービス提供サーバーにおけるサービスに関するユーザの属性情報を、暗号鍵を用いて暗号化する暗号化部と、
上記ブロックに有し、上記暗号化部により暗号化された暗号属性情報を上記第1の記憶部に登録する一方、上記生体情報及び上記暗号鍵を上記第2の記憶部に登録する登録部と、
上記ブロック内に有し、上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、上記暗号鍵を用いて上記暗号属性情報を復号化する復号化部と
を具え、
上記サービス提供サーバーは、
上記復号化部により復号化された属性情報に基づいて、自己のサービスを提供するための処理を実行する提供処理部と
を具えることを特徴とするサービス提供システム。
【請求項2】
サービス提供サーバーに対してネットワークを通じて通信可能な通信端末装置であって、
セキュリティ管理が施されるブロック外に設けられた第1の記憶部と、
上記ブロック内に設けられた第2の記憶部と、
上記ブロック内に有し、生体部位の撮像画像から、生体に関する生体情報を取得する取得部と、
上記ブロック内に有し、上記属性情報を暗号鍵を用いて暗号化する暗号化部と、
上記ブロック内に有し、上記暗号化部により暗号化された暗号属性情報を上記第1の記憶部に登録する一方、上記生体情報及び上記暗号鍵を上記第2の記憶部に登録する登録部と、
上記ブロック内に有し、上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、上記暗号鍵を用いて上記暗号属性情報を復号化し、復号化された属性情報を上記サービス提供サーバーに提示する提示部と
を具えることを特徴とする通信端末装置。
【請求項3】
登録装置及びサービス提供サーバー以外の第三者機関によって本人であるものと証明されたユーザIDと、上記属性情報と、該ユーザID及び属性情報における改竄の有無を判定するための識別子とを含むものとして上記サービス提供サーバーによって生成される属性証明書を取得する証明書取得部をさらに具え、
上記暗号化部は、上記証明書取得部により取得された属性証明書を、上記生成部により生成された暗号鍵を用いて暗号化する
ことを特徴とする請求項2に記載の通信端末装置。
【請求項4】
上記証明書取得部は、
ユーザに入力された属性情報を上記ネットワークを通じて上記サービス提供サーバーに送信し、該属性情報と、上記ユーザIDと、上記識別子とを含むものとして上記サービス提供サーバーによって生成される属性証明書を取得する
ことを特徴とする請求項3に記載の通信端末装置。
【請求項5】
上記属性情報は、上記サービス提供サーバーにおけるサービスの利用権限を含み、
上記ブロック内に有し、上記利用権限が変更された場合、生体情報に対する暗号鍵の関連付け状態を更新するとともに、第1の記憶部に対する暗号属性情報の登録を更新する更新部をさらに具える
ことを特徴とする請求項2に記載の通信端末装置。
【請求項6】
上記ブロック内に有し、上記属性情報に対して固有の暗号鍵を生成する生成部をさらに具え、
上記暗号化部は、
上記属性情報を、上記生成部により生成された暗号鍵を用いて暗号化し、
上記登録部は、
上記暗号鍵を上記生体情報に関連付けて上記第2の記憶部に登録し、
上記提示部は、
上記第2の記憶部に登録された生体情報と、上記取得部により取得された生体情報とが一致する場合、該登録された生体情報に関連付けられた暗号鍵を用いて上記暗号属性情報を復号化する
ことを特徴とする請求項2に記載の通信端末装置。
【請求項7】
上記生成部は、
上記属性情報に対して固有の暗号鍵を、上記生体情報を用いて生成する
ことを特徴とする請求項6に記載の通信端末装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−100137(P2009−100137A)
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願番号】特願2007−268279(P2007−268279)
【出願日】平成19年10月15日(2007.10.15)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願日】平成19年10月15日(2007.10.15)
【出願人】(000002185)ソニー株式会社 (34,172)
【Fターム(参考)】
[ Back to top ]