プライバシを保障した機器間接続方法
【課題】通信相手となる端末を指定する際に、当該端末の登録情報を秘匿しつつ、開示管理装置上の登録情報を元にした確実な端末識別情報の指定を可能とする。
【解決手段】インターネットなどの第1通信ネットワークにPC−AとPC−Bが接続されており、それぞれが第1通信ネットワーク上での通信機能を備え、PC−Bには例えばプリンタなどの端末装置が接続されているとき、PC−Aのパーソナルネットへの上記端末装置の取り込みを安全に行うものである。このためには、例えば携帯電話ネットワークなどの第3者に認証された第2通信ネットワーク上の通信装置を使用する。また、PC−Aの使用者にPC−Bの使用者情報の開示がないようにするために、PC−AとPC−Bとの仲介として第1通信ネットワークに接続された管理装置を使用して、上記端末装置に関する情報だけで、上記の取り込みを行う。
【解決手段】インターネットなどの第1通信ネットワークにPC−AとPC−Bが接続されており、それぞれが第1通信ネットワーク上での通信機能を備え、PC−Bには例えばプリンタなどの端末装置が接続されているとき、PC−Aのパーソナルネットへの上記端末装置の取り込みを安全に行うものである。このためには、例えば携帯電話ネットワークなどの第3者に認証された第2通信ネットワーク上の通信装置を使用する。また、PC−Aの使用者にPC−Bの使用者情報の開示がないようにするために、PC−AとPC−Bとの仲介として第1通信ネットワークに接続された管理装置を使用して、上記端末装置に関する情報だけで、上記の取り込みを行う。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワーク上の任意のデバイス同士で通信を行うプラットフォームを利用する際に、デバイスのオーナー情報を参照する手法に関し、特に、プライバシを保障した機器間接続方法に関している。
【背景技術】
【0002】
ネットワーク環境下では、コンピューター(PC)の各ユーザは、そのコンピューターに属する周辺装置として、そのネットワークから自由に選択して登録し、使用することができる。例えば、ユーザAは、ユーザBとCがそれぞれ所有しネットワークに接続されたプリンタとスキャナを、ユーザAが使用するPCに常時接続されたプリンタやスキャナと同じように使用することができる。このような構成は、パーソナルネットワークのひとつの形態である。
【0003】
しかし、この場合、ユーザAが、自身の所有している複数の機器(携帯電話、PC、情報家電など)を接続しようとする場合でも、指定した機器が自分が接続しようとしたものでなく、他人のPC下にある上記の機器を自分のPC下にあるものと錯誤して指定してしまう操作ミスが発生する場合がある。また、操作ミス以外に、第3者がPC名を詐称するなりすまし行為や、意図的に誤った機器を接続するように誘導するなどのフィッシング行為等を行うことによって、ユーザAが意図したものでない機器を指定しまう、などの問題が発生する場合がある。このような誤接続により、例えば文書ファイルや写真データが漏洩する、という問題が起こる。
【0004】
ここで、個人情報の漏洩防止の観点からは、任意の端末およびそれに付随した周辺装置等の登録情報を、他のユーザーから参照可能な状態となるネットワーク構成は避ける必要がある。しかし、上記のようにパーソナルネットワークを構成するためには、ユーザAは、接続しようとする当該端末を信頼できるものと判断することができる程度に正確な上記周辺装置の端末識別情報を入手する必要があり、上記の個人情報の漏洩防止の観点に背反する。
【0005】
上記の背反を回避できるものとして、例えば、特許文献1の開示がある。これは、任意の端末同士で容易に通信を行うことを可能とする技術であり、特に、端末間通信共有鍵を共有することでセキュリティの高い端末間通信を可能としている。この開示は、以下の管理装置に関するものであり、複数の通信端末装置毎に、各通信端末装置と共有される共有鍵を記憶する共有鍵記憶部と、複数の通信端末装置毎に、ネットワーク情報を記憶するネットワーク情報記憶部と、前記通信端末装置から暗号化された通信要求を受信し、前記共有鍵を用いて復号化し、当該通信端末装置を認証する認証部と、前記認証部によって認証された場合に、前記通信要求に基づいて他の通信端末装置のネットワーク情報を前記ネットワーク情報記憶部から読み出し、当該ネットワーク情報を前記共有鍵を用いて暗号化し、前記通信要求の送信元である前記通信端末装置に送信する管理部と、他の通信装置から認証基盤を経由して前記通信端末装置の端末識別情報を受信し、前記共有鍵を生成し、生成された前記共有鍵と前記端末識別情報とを前記共有鍵記憶部に登録し、前記他の通信装置に対し前記認証基盤を経由して前記共有鍵を送信する、共有鍵生成部と、を備えるものである。この管理装置が、他の通信装置から認証基盤を経由して通信端末装置の端末識別情報を受信し、共有鍵を生成し、生成された共有鍵と端末識別情報とを共有鍵記憶部に登録し、他の通信装置に対し認証基盤を経由して共有鍵を送信し、通信端末装置から暗号化された通信要求を受信し、共有鍵を用いて復号化し、当該通信端末装置を認証し、認証部によって認証された場合に、通信要求に基づいて他の通信端末装置のネットワーク情報をネットワーク情報記憶部から読み出し、当該ネットワーク情報を共有鍵を用いて暗号化し、通信要求の送信元である通信端末装置に送信する。
【0006】
ここで、上記の「他の通信装置」とは、例えば、携帯電話機である。現在の携帯電話システムでは、個々の携帯電話機は、個体識別番号によって識別され、携帯電話機の所有者は、携帯電話事業者によって上記個体識別番号と関連づけて登録されている。
【0007】
また、無線の携帯電話をユーザ認証に用いる例が、特許文献2に開示されている。この開示において、無線の局所エリアネットワークにおいて動作するコンピューティング・デバイスは、公開鍵を、無線の携帯電話の広域ネットワークにおいて動作する携帯デバイスに送信する。その携帯デバイスは、その公開鍵に基づいてユーザの証明書を取得するために、無線の携帯電話の広域エリアネットワークにおいて携帯電話の運営者と共にブートストラッピングの手続きを行う。その携帯デバイスは、そのコンピューティング・デバイスにおいて、そのユーザの証明書をインストールするために、ユーザの証明書をそのコンピューティング・デバイスに送信する。そのユーザの証明書を、デジタル署名、証明および暗号化の目的のために用いたり、その無線の局所エリアネットワークおよびその無線の広域ネットワークの双方において加入者が双方のネットワークからのサービスにアクセスするときの加入者の認証に用いたりする。
【0008】
また、非特許文献1に、携帯電話を利用したパーソナルネットワーク(PN:Personal Network)構築システムが記載されている。このシステムは、サーバPC、クライアントPC、携帯電話の3要素で構成される。ユーザは携帯電話のNFC(Near Field Communication)機能を利用して、クライアントPCとなるラップトップPCの認証手続きを行う。携帯電話において、PN構築の際の共有鍵を生成し、クライアントPCのIDと共にサーバPCへと携帯電話網を介してHTTP(Hyper Text Transfer Protocol)転送し、同時にクライアントPCへの鍵配布を行う。サーバPC上ではPNの生成・破棄などの状態管理が行われ、携帯電話により生成・配布された共有鍵を用いてクライアントPCとのセキュアな通信チャネルを確立する。サーバPCとクライアントPCの間では、PNで利用されるリソース情報が遣り取りされ、複数台のクライアントPCに対して同様の処理を行うことで、クライアントPC間のセキュアな通信チャネルとしてPNが構築される。
【0009】
上記のPNは、用途に応じて選定された任意のデバイス間で論理的に構成される仮想ネットワークとして構築されるものである。図1に概要を示す様に、家庭/オフィス/モバイル環境の他、インターネットカフェや空港ラウンジのような公共/共有端末の中から、用途に応じて任意のデバイスを選び出し、オンデマンドに仮想ネットワークの構築を行う。PNの構築には、任意のデバイス間でセキュアなコネクションを確立することが不可欠である。しかし、一般に、各デバイスはインターネットや公衆無線LANなどのセキュアでない接続環境にあることが多いため、PN構築の際にはこのような環境下でいかにしてセキュアなデバイス認証(シグナリング)を行うかが最も重要である。
【0010】
図2に携帯電話を利用した上記PNの構築手順例を示す。ここでは、2つのデバイスA、Bについて携帯電話(Cellular Phone)を介してPN登録する手順の例を示している。デバイスの登録は、
(1) Auth(認証)
携帯電話の仲介によりデバイスと認証仲介サーバ(Authentication Mediation Server)との間の共有鍵配布を行うデバイス認証、
(2) Register(登録)
得られた共有鍵を利用して認証仲介サーバとの間にセキュアチャネルを構築し、デバイスのリソース情報をPN管理サーバ(PN Management Server)に登録するリソース登録、
の2つのステップによって行われる。
(0a) Pre-auth(事前認証)、(0b) Pre-register(事前登録)
また、同様の手順をもう一方のデバイスについても行っておくことで、両デバイスはPN管理サーバとのインターネットを経由した経路上にセキュアな通信路を確保することができる。
(3) PN Creation(PN構築)
次に、PN管理サーバ上でPNを構築する処理が行われ、2つのデバイス間の共有鍵をセキュア通信路経由で配布する。
(4) Connect(接続)
そして、デバイス間共有鍵を利用して2つのデバイス間にセキュアな通信チャネルを確立し(つまり接続し)デバイスAとデバイスBで構成されるPNが生成される。
一旦デバイス間のセキュアチャネルが確立すれば、その後のデータ通信はこのチャネルを通して行われるため、認証に利用した携帯の通信経路は開放することができる。
【0011】
携帯電話のセンシング機能を利用した上記PNを構築するシステムを想定した通信シーケンス例を図3に示す。ここでは、USCP(ユーザ主導型サービス構築プラットフォーム(USCP: User-driven Service Creation Platform))の全体イメージの具現化と携帯電話を活用することによる利便性の確認を主な目的とするため、本来のUSCPの仕様を簡略化させている。
【0012】
各ステップでの処理内容は次の通りである。
(1)携帯電話によるデバイスのID読み取り
デバイスの固有IDを携帯電話が取得し、認証仲介サーバにその情報を転送する。このとき、携帯電話はPN識別子を生成して、同時に送信する。さらに認証仲介サーバはPN管理サーバに情報を転送し、当該デバイスの登録が行われる。
(2)共有鍵情報とPN識別子の配布
認証仲介サーバは、事前に登録された関連付け情報からデバイスを見つけ、共有鍵情報とPN識別子を送信する。
(3)共有リソース情報の登録
認証仲介サーバから通知を受けたデバイスは、PN識別子に対応した内部のリソースをセットアップし、認証仲介サーバPN管理サーバに情報を送信する。さらに管理サーバに情報を転送する。
(4)既存PNのチェック
PN管理サーバでは、既に同一の識別子を受け取っている場合にはそのデバイスのアドレス情報を返信する。
(5)単一携帯電話によるPN構築
デバイスはPN管理サーバの応答を受け、PNのクライアントあるいはサーバとして動作する。
【0013】
本願発明は、通信相手となる端末を指定する際に、当該端末の登録情報を秘匿する点において、上記非特許文献1とは異なるものである。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特開2009―278388号公報
【特許文献2】特表2008−515357号公報
【非特許文献】
【0015】
【非特許文献1】梅澤猛 他5名、“携帯電話を利用した Personal Network 構築システム”、「マルチメディア,分散,協調とモバイル(DICOMO2010)シンポジウム」、930−937ページ、平成22年7月
【発明の概要】
【発明が解決しようとする課題】
【0016】
本発明は、通信相手となる端末を指定する際に、当該端末の登録情報を秘匿しつつ、開示管理装置上の登録情報を元にした確実な端末識別情報の指定を可能とすることを目的とする。
【課題を解決するための手段】
【0017】
本発明は、概略、例えばインターネットなどの第1通信ネットワークにPC−AとPC−Bが接続されており、それぞれが第1通信ネットワーク上での通信機能を備え、PC−Bには例えばプリンタなどの端末装置が接続されているとき、PC−Aのパーソナルネットへの上記端末装置の取り込みを安全に行うものである。安全に行うためには、例えば携帯電話ネットワークなどの第3者に認証された第2通信ネットワーク上の通信装置を使用する。また、PC−Aの使用者にPC−Bの使用者情報が開示されないようにするために、PC−AとPC−Bの間には第1通信ネットワークに接続された管理装置を使用して、上記端末装置に関する情報だけで、上記の取り込みを行う。
まず、本発明の、プライバシを保障した機器間接続方法を適用しようとする装置構成は、以下の特徴を備えるものである。
第1通信ネットワークに係属する第1通信装置と第2通信装置と、
第1通信装置の入/出力データの一部を受/送信する第3通信装置と
第2通信装置の入/出力データの一部を受/送信する第4通信装置と
第2通信装置に係属する端末装置と、
第2通信装置と、第4通信装置と、上記端末装置とのそれぞれの情報が一連の情報であるとして記録管理する管理装置と、
第3通信装置と第4通信装置が係属する第2通信ネットワークと、
第2通信ネットワークに係属し上記管理装置の入/出力データの一部を受/送信する第5通信装置と、を備える。
また、第1通信装置が上記端末装置に上記通信ネットワーク上で接続しようとするとき、以下の手順で、第1通信装置は上記端末装置に接続する。
0) 上記端末装置情報と、第2通信装置情報と第4通信装置が生成した署名情報とを、上記管理装置に登録し、
1) 第3通信装置から、第5通信装置を介して上記管理装置に、上記端末装置情報と上記署名情報とを送信して、上記端末装置のユーザ照会要求を送信し、
2) 上記管理装置は、第3通信装置からのユーザ照会要求を受信して、受信した署名情報と、登録された上記署名情報との照合を行い、
3) 上記照合の結果を、第5通信装置から上記第3通信装置を介して、第1通信装置に送信し、
4) 上記照合の結果が一致する場合は、第1通信装置は、上記端末装置に上記ネットワーク上で接続する。
【0018】
上記1)において、署名をなるべく変更しないように運用する場合には、次のようにすることができる。つまり、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、上記署名を受信するものであり、さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をする。
【0019】
上記1)において、署名を頻繁に変更する場合には、次のようにすることができる。つまり、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、
1.1)第3通信装置は、第4通信装置対して署名に用いるハッシュ値の要求を送信し、
1.2)第4通信装置は、ハッシュ値を上記管理装置に送信し、
1.3)上記管理装置は、第4通信装置の情報、上記端末識別情報および上記ハッシュ値を登録して、登録した旨を第4通信装置に返答し、
1.4)第4通信装置から、第3通信装置に上記ハッシュ値を送信し、
1.5)署名に用いる上記ハッシュ値を受信するものであり、
さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をする。
【0020】
上記0)における登録は、信書を用いた通信で行うこともできるが、第4通信装置と第5通信装置間の電気通信や光通信を介して行うことが望ましい。
【0021】
第4通信装置と第5通信装置間の上記通信で送受信される、上記端末装置情報と第2通信装置情報と第4通信装置が生成した署名情報とは、第4通信装置と第5通信装置間の共通鍵を用いて暗号化されて第4通信装置から送信され、第5通信装置で受信された情報から前記共通鍵を用いて復号されたものであることが望ましい。
【0022】
上記2)における照合は、所定の関数による変換値が一致する場合に、合致するものとみなす事ができる。これによって、上記署名に異なるものを使用できるようになり、第3者による介入を抑制することができる。
【0023】
上記所定の関数の簡単な例は、何らかのハッシュ関数である。
【0024】
第2通信ネットワークは、例えば携帯電話ネットワークであり、第3通信装置、第4通信装置および第5通信装置にはそれぞれ携帯電話を使用することによって、第3通信装置、第4通信装置および第5通信装置は、携帯電話事業者によって認証されたものを用いることができ、秘匿通話が可能である。
【発明の効果】
【0025】
本発明により、相互に通信することで合意したユーザ間において、具体的なユーザ情報を開示することなく、当該デバイスが接続しようとする端末を所有する相手であることを確認することができる。
【図面の簡単な説明】
【0026】
【図1】パーソナルネットワーク(PN)の概要を示す図であり、PNは用途に応じて選定された任意のデバイス間で論理的に構成される仮想ネットワークとして構築されるものであることを示す。家庭/オフィス/モバイル環境の他、インターネットカフェや空港ラウンジのような公共/共有端末の中から、用途に応じて任意のデバイスを選び出し、オンデマンドに仮想ネットワークの構築を行う。
【図2】従来の、携帯電話を利用した上記PNの構築手順例を示す図である。ここでは、2つのデバイスA、Bについて携帯電話(Cellular Phone)を介してPN登録する手順の例を示す。
【図3】従来の、携帯電話のセンシング機能を利用したPNを構築するシステムを想定した通信シーケンス例を示す図である。
【図4】本発明の実施例1の構成と通信手順を示す図である。
【図5】本発明の実施例2の構成と通信手順を示す図である。
【発明を実施するための最良の形態】
【0027】
以下に、この発明の実施の形態を図面に基づいて詳細に説明する。以下の説明においては、同じ機能あるいは類似の機能をもった装置に、特別な理由がない場合には、同じ符号を用いるものとする。
【0028】
以下の例におけるPCは、演算装置(MPU)部、記憶(メモリ)部、ネットワークに接続する通信部、ユーザとのインターフェースとなる入出力部、などを備えるものであり、その他、HDD(ハードディスク装置)などの電源が切れた状態でデータを保持する補助記憶装置等を備えることが望ましい。また、携帯電話機は、個体識別符号によって識別され携帯電話事業者から認証された無線の携帯電話機である。上記PCと上記携帯電話機との接続は、専用の接続コードを用いてもよく、あるいは、赤外線接続機能を用いても良い。場合によっては、表示画面を伝送手段として用いることができ、ユーザが一方から読み取って他方に入力しても良い。第3者によって認証され他の受信者には通信内容を秘匿することができる通信装置であれば、この携帯電話機の代わりに用いることができる。
【実施例1】
【0029】
図4に示すように、第1、第2通信装置に相当するコンピュータ(PC−A、PC−B)、第3、第4通信装置に相当する携帯電話機(TEa、TEb)、通信端末装置(nTE)、管理装置(PNSP:パーソナルネットワークサービスプロバイダ)で構成される環境を想定する。上記携帯電話機は、携帯電話通信ネットワーク(第2通信ネットワーク)に接続され、上記通信端末は、インターネットやローカルエリアネットになどの通信ネットワーク(第1通信ネットワーク)に接続されたものである。ここで、PNSPにはnTEの端末識別情報IDnTEとともにnTEとPNSP間の共有鍵が登録されているとする。この共有鍵の登録は、電話や信書あるいは上記通信ネットワークを介して公開鍵方式で鍵を共有してもよい。また、ユーザAは通信機能を持ったPC−Aと携帯電話機TEaの使用者であり、ユーザBは同様に通信機能を持ったPC−Bと携帯電話機TEbの使用者である、と、する。
【0030】
TEaを使用するユーザAがnTEを、通信対象として指定し、ユーザAのパーソナルネットワークに参加させる場合、次のようにする。
(0)ユーザB側では、TEb情報とTEb上で生成された署名と共にnTE情報を管理装置に登録する。ここで、署名とは、例えば、使用者識別子(いわゆるユーザID)や認証情報(いわゆるパスワード)などである。この登録のための通信は、信書や電話、または、暗号通信を用いて行うことが望ましい。この暗号通信は、nTEとPNSP間の上記共有鍵を用いて行うことができる。
(1)ユーザA側では、TEaは、nTEのIDnTEを送信可能な信号に変換する。また、一方で、上記署名を受信する。
(2)ユーザA側では、TEaを介して、IDnTEと受信した上記署名とを含む情報を、PNSPに対して送信することで、ユーザ照会要求をする。
(3)PNSP側では、登録されているIDnTEと登録時のTEb情報から上記署名を抽出する。
(4)PNSP側では、上記ユーザ照会要求にある署名と、上記(3)で抽出した署名との一致または不一致を確認する。
(5)上記確認の結果をTEaに送信する。
(6)上記確認の結果が一致を意味する場合は、上記PC−Aは、上記nTEをユーザAのパーソナルネットワークに参加させる処理を行う。この際、(a)上記nTEが上記PC−Bを介して上記の何らかの通信ネットワークに参加(つまり接続)している場合、上記PC−Aは、上記PC−Bを介して、上記nTEと通信ネットワーク上で接続し、(b)上記nTEが上記の何らかの通信ネットワークに直接参加(つまり直接接続)している場合、上記PC−Aは、上記nTEと通信ネットワーク上で接続する。
【0031】
このとき、上記(3)の署名の抽出には、IDnTEやTEbの端末iDの他に、TEbの通話履歴や課金情報など、TEbと事業者認証基盤側で随時把握可能な情報を含むことができる。第三者からは推測困難な時間変化を伴う情報を含んだ署名を用いることにより、署名の偽造のリスクを低減することができる。署名の生成にはハッシュ関数など、生成された署名から元データを算出不可能な方法を用いる。
【実施例2】
【0032】
署名の生成に関しては、図5に示すように、前述の事業者認証基盤で随時把握可能な情報を利用する他に、署名要求が行われる度に任意の固有情報から生成した署名を登録することも可能である。
この場合に、TEaを使用するユーザAがnTEを、通信対象として指定し、ユーザAのパーソナルネットワークに参加させる場合、次のようにする。
(0)ユーザB側では、TEb情報とTEb上で生成された署名と共にnTE情報を管理装置に登録する。ここで、署名とは、任意の固有情報から生成した署名で、例えば、GPSによる位置情報や時事刻々変化する情報である。この登録のための通信は、電気通信や光通信であり、暗号通信であることが望ましい。この暗号通信は、nTEとPNSP間の上記共有鍵を用いて行うことができる。
(1)ユーザA側では、TEaは、nTEのIDnTEを送信可能な信号に変換する。また、
(1.1)ユーザA側では、実施例1の場合と異なり、ユーザB側に対して署名に用いるハッシュ値の要求を送信する。
(1.2)ユーザB側では、ハッシュ値を生成して、管理装置に送信する。
(1.3)管理装置側では、TEbの情報、上記IDnTEおよびハッシュ値を登録して、登録した旨をユーザB側に返答する。
(1.4)ユーザB側から、ユーザA側にハッシュ値を送信する。
(1.5)上記署名として送信されたハッシュ値を受信する。
以降(2)から(6)は、実施例1の場合と同様であり、
(2)ユーザA側では、TEaを介して、IDnTEと受信した上記署名とを含む情報を、PNSPに対して送信することで、ユーザ照会要求をする。
(3)PNSP側では、登録されているIDnTEと登録時のTEb情報から上記署名を抽出する。
(4)PNSP側では、上記ユーザ照会要求にある署名と、上記(3)で抽出した署名との一致または不一致を確認する。
(5)上記確認の結果をTEaに送信する。
(6)上記確認の結果が一致を意味する場合は、上記PC−Aは、上記nTEをユーザAのパーソナルネットワークに参加させる処理を行う。この際、(a)上記nTEが上記PC−Bを介して上記の何らかの通信ネットワークに参加(つまり接続)している場合、上記PC−Aは、上記PC−Bを介して、上記nTEと通信ネットワーク上で接続し、(b)上記nTEが上記の何らかの通信ネットワークに直接参加(つまり直接接続)している場合、上記PC−Aは、上記nTEと通信ネットワーク上で接続する。
【0033】
この方式の場合、携帯電話の起動経過時間やGPS(グローバルポジショニングシステム)計測値など、当該携帯電話のみでしか巴握できない情報を基に署名を生成することや、要求される度に異なる情報を組み合わせて署名を生成することが可能であり、署名の機密性を高めることが可能である。
【0034】
このように、TEaのユーザAは、nTEの登録情報を、TEbの携帯電話事業者での回線契約を担保として、PNSP経由で行うことができる。TEaのユーザAは、署名一致の成否のみを認知可能であり、任意の端末について登録者を割り出すことはできない。この様に、TEaには、ユーザA側がTEaを介して受信した上記署名以外には情報が開示されない。特に、TEbに関する情報が殆ど開示されないため、TEaのユーザAに対して、TEbのユーザBのプライバシを保つことができる。
【0035】
本発明により、上記の何らかの通信ネットワークにおける任意のユーザのPCと任意の端末間で通信を行う際、管理装置に登録されている上記端末の情報を基に、ユーザが意図した端末を確実に指定することができる。これにより、ユーザが入力ミスや錯誤、あるいは悪意のあるユーザからの接続要求などにより、意図しない端末に接続許可を与えてしまうことを防ぐことが可能となる。
【0036】
また、任意のユーザXが登録した端末グループXに対して、そのユーザXが、前記端末グループXに属するいずれかの端末に接続要求を行う際にも、ユーザ情報や携帯電話情報などの個人情報を開示することなく、上記端末グループXの登録者であることを証明することが可能となる。
【0037】
特に、ユーザAが自身の所有している複数の機器(携帯電話、コンピューター、情報家電など)を、PC−Aと接続しようとする場合、指定した機器が自分の意図した通りのものかどうかを確認することが可能であり、自分のPCと錯誤して他人のPCを指定してしまう操作ミスや、画像読み取り時のノイズが原因で意図しない機器を指定して接続してしまうなどのエラーの発生を回避可能である。例えば、デジタルカメラ、PC、プリンタ、TVをPC−Aに接続して写真データを共有する場合、誤って意図しない機器を接続してしまうことで写真データが漏洩する危険を無くすことができ、安全に写真データの閲覧、バックアップ、出力などが可能となる。
【0038】
ユーザ照会に利用される署名に推測が困難なものを用いることで、偽の署名で管理装置上の登録情報との整合性を得ることが困難になるため、偽造署名や署名の奪取による攻撃の危険を回避可能である。ユーザAが、既に作成したパーソナルネットワークに対し、他のユーザ、例えばユーザB、からの接続要求を受ける場合、その接続要求で指定した機器の登録情報をユーザBが確認することで、ユーザAはユーザBが実際の利用者であることを確認した上で接続を許可することができる。例えば、PC間を接続したビデオチャットに新たにユーザBが参加する場合、前記ユーザBが接続を要求しているPC、例えばPC−Aの登録情報についての整合性を前記ユーザBが確認することで、不正なユーザが信頼できるPCに接続要求を出す危険や、信頼できるユーザが不正なPCを意図せずに利用して接続してしまう危険を回避することが可能である。
【産業上の利用可能性】
【0039】
上記の場合、接続を要求するユーザBの観点からは、要求に際して不必要に個人情報を開示する必要がないためプライバシが保護される。また、PCのユーザIDや携帯電話IDなどを利用するのと異なり、開示した情報を不正に再利用される危険がない。上記ユーザ照会要求に用いる署名として、当該デバイスのみで有効な一時的なものとすることで、情報自体に再利用価値がなくなり安全性が高くなる。これにより、例えば、ストリーミング配信サービスに利用することで、ユーザAの登録情報が第3者に悪用されて、PC―Aが不正にアクセスされることがない。また、会議資料やパンフレットの配布を受けるために接続を要求する際に、従来は個人を特定するような情報を不必要に開示しなれぱならなかったが、本発明では、上記の情報を開示する必要がない。
【技術分野】
【0001】
この発明は、ネットワーク上の任意のデバイス同士で通信を行うプラットフォームを利用する際に、デバイスのオーナー情報を参照する手法に関し、特に、プライバシを保障した機器間接続方法に関している。
【背景技術】
【0002】
ネットワーク環境下では、コンピューター(PC)の各ユーザは、そのコンピューターに属する周辺装置として、そのネットワークから自由に選択して登録し、使用することができる。例えば、ユーザAは、ユーザBとCがそれぞれ所有しネットワークに接続されたプリンタとスキャナを、ユーザAが使用するPCに常時接続されたプリンタやスキャナと同じように使用することができる。このような構成は、パーソナルネットワークのひとつの形態である。
【0003】
しかし、この場合、ユーザAが、自身の所有している複数の機器(携帯電話、PC、情報家電など)を接続しようとする場合でも、指定した機器が自分が接続しようとしたものでなく、他人のPC下にある上記の機器を自分のPC下にあるものと錯誤して指定してしまう操作ミスが発生する場合がある。また、操作ミス以外に、第3者がPC名を詐称するなりすまし行為や、意図的に誤った機器を接続するように誘導するなどのフィッシング行為等を行うことによって、ユーザAが意図したものでない機器を指定しまう、などの問題が発生する場合がある。このような誤接続により、例えば文書ファイルや写真データが漏洩する、という問題が起こる。
【0004】
ここで、個人情報の漏洩防止の観点からは、任意の端末およびそれに付随した周辺装置等の登録情報を、他のユーザーから参照可能な状態となるネットワーク構成は避ける必要がある。しかし、上記のようにパーソナルネットワークを構成するためには、ユーザAは、接続しようとする当該端末を信頼できるものと判断することができる程度に正確な上記周辺装置の端末識別情報を入手する必要があり、上記の個人情報の漏洩防止の観点に背反する。
【0005】
上記の背反を回避できるものとして、例えば、特許文献1の開示がある。これは、任意の端末同士で容易に通信を行うことを可能とする技術であり、特に、端末間通信共有鍵を共有することでセキュリティの高い端末間通信を可能としている。この開示は、以下の管理装置に関するものであり、複数の通信端末装置毎に、各通信端末装置と共有される共有鍵を記憶する共有鍵記憶部と、複数の通信端末装置毎に、ネットワーク情報を記憶するネットワーク情報記憶部と、前記通信端末装置から暗号化された通信要求を受信し、前記共有鍵を用いて復号化し、当該通信端末装置を認証する認証部と、前記認証部によって認証された場合に、前記通信要求に基づいて他の通信端末装置のネットワーク情報を前記ネットワーク情報記憶部から読み出し、当該ネットワーク情報を前記共有鍵を用いて暗号化し、前記通信要求の送信元である前記通信端末装置に送信する管理部と、他の通信装置から認証基盤を経由して前記通信端末装置の端末識別情報を受信し、前記共有鍵を生成し、生成された前記共有鍵と前記端末識別情報とを前記共有鍵記憶部に登録し、前記他の通信装置に対し前記認証基盤を経由して前記共有鍵を送信する、共有鍵生成部と、を備えるものである。この管理装置が、他の通信装置から認証基盤を経由して通信端末装置の端末識別情報を受信し、共有鍵を生成し、生成された共有鍵と端末識別情報とを共有鍵記憶部に登録し、他の通信装置に対し認証基盤を経由して共有鍵を送信し、通信端末装置から暗号化された通信要求を受信し、共有鍵を用いて復号化し、当該通信端末装置を認証し、認証部によって認証された場合に、通信要求に基づいて他の通信端末装置のネットワーク情報をネットワーク情報記憶部から読み出し、当該ネットワーク情報を共有鍵を用いて暗号化し、通信要求の送信元である通信端末装置に送信する。
【0006】
ここで、上記の「他の通信装置」とは、例えば、携帯電話機である。現在の携帯電話システムでは、個々の携帯電話機は、個体識別番号によって識別され、携帯電話機の所有者は、携帯電話事業者によって上記個体識別番号と関連づけて登録されている。
【0007】
また、無線の携帯電話をユーザ認証に用いる例が、特許文献2に開示されている。この開示において、無線の局所エリアネットワークにおいて動作するコンピューティング・デバイスは、公開鍵を、無線の携帯電話の広域ネットワークにおいて動作する携帯デバイスに送信する。その携帯デバイスは、その公開鍵に基づいてユーザの証明書を取得するために、無線の携帯電話の広域エリアネットワークにおいて携帯電話の運営者と共にブートストラッピングの手続きを行う。その携帯デバイスは、そのコンピューティング・デバイスにおいて、そのユーザの証明書をインストールするために、ユーザの証明書をそのコンピューティング・デバイスに送信する。そのユーザの証明書を、デジタル署名、証明および暗号化の目的のために用いたり、その無線の局所エリアネットワークおよびその無線の広域ネットワークの双方において加入者が双方のネットワークからのサービスにアクセスするときの加入者の認証に用いたりする。
【0008】
また、非特許文献1に、携帯電話を利用したパーソナルネットワーク(PN:Personal Network)構築システムが記載されている。このシステムは、サーバPC、クライアントPC、携帯電話の3要素で構成される。ユーザは携帯電話のNFC(Near Field Communication)機能を利用して、クライアントPCとなるラップトップPCの認証手続きを行う。携帯電話において、PN構築の際の共有鍵を生成し、クライアントPCのIDと共にサーバPCへと携帯電話網を介してHTTP(Hyper Text Transfer Protocol)転送し、同時にクライアントPCへの鍵配布を行う。サーバPC上ではPNの生成・破棄などの状態管理が行われ、携帯電話により生成・配布された共有鍵を用いてクライアントPCとのセキュアな通信チャネルを確立する。サーバPCとクライアントPCの間では、PNで利用されるリソース情報が遣り取りされ、複数台のクライアントPCに対して同様の処理を行うことで、クライアントPC間のセキュアな通信チャネルとしてPNが構築される。
【0009】
上記のPNは、用途に応じて選定された任意のデバイス間で論理的に構成される仮想ネットワークとして構築されるものである。図1に概要を示す様に、家庭/オフィス/モバイル環境の他、インターネットカフェや空港ラウンジのような公共/共有端末の中から、用途に応じて任意のデバイスを選び出し、オンデマンドに仮想ネットワークの構築を行う。PNの構築には、任意のデバイス間でセキュアなコネクションを確立することが不可欠である。しかし、一般に、各デバイスはインターネットや公衆無線LANなどのセキュアでない接続環境にあることが多いため、PN構築の際にはこのような環境下でいかにしてセキュアなデバイス認証(シグナリング)を行うかが最も重要である。
【0010】
図2に携帯電話を利用した上記PNの構築手順例を示す。ここでは、2つのデバイスA、Bについて携帯電話(Cellular Phone)を介してPN登録する手順の例を示している。デバイスの登録は、
(1) Auth(認証)
携帯電話の仲介によりデバイスと認証仲介サーバ(Authentication Mediation Server)との間の共有鍵配布を行うデバイス認証、
(2) Register(登録)
得られた共有鍵を利用して認証仲介サーバとの間にセキュアチャネルを構築し、デバイスのリソース情報をPN管理サーバ(PN Management Server)に登録するリソース登録、
の2つのステップによって行われる。
(0a) Pre-auth(事前認証)、(0b) Pre-register(事前登録)
また、同様の手順をもう一方のデバイスについても行っておくことで、両デバイスはPN管理サーバとのインターネットを経由した経路上にセキュアな通信路を確保することができる。
(3) PN Creation(PN構築)
次に、PN管理サーバ上でPNを構築する処理が行われ、2つのデバイス間の共有鍵をセキュア通信路経由で配布する。
(4) Connect(接続)
そして、デバイス間共有鍵を利用して2つのデバイス間にセキュアな通信チャネルを確立し(つまり接続し)デバイスAとデバイスBで構成されるPNが生成される。
一旦デバイス間のセキュアチャネルが確立すれば、その後のデータ通信はこのチャネルを通して行われるため、認証に利用した携帯の通信経路は開放することができる。
【0011】
携帯電話のセンシング機能を利用した上記PNを構築するシステムを想定した通信シーケンス例を図3に示す。ここでは、USCP(ユーザ主導型サービス構築プラットフォーム(USCP: User-driven Service Creation Platform))の全体イメージの具現化と携帯電話を活用することによる利便性の確認を主な目的とするため、本来のUSCPの仕様を簡略化させている。
【0012】
各ステップでの処理内容は次の通りである。
(1)携帯電話によるデバイスのID読み取り
デバイスの固有IDを携帯電話が取得し、認証仲介サーバにその情報を転送する。このとき、携帯電話はPN識別子を生成して、同時に送信する。さらに認証仲介サーバはPN管理サーバに情報を転送し、当該デバイスの登録が行われる。
(2)共有鍵情報とPN識別子の配布
認証仲介サーバは、事前に登録された関連付け情報からデバイスを見つけ、共有鍵情報とPN識別子を送信する。
(3)共有リソース情報の登録
認証仲介サーバから通知を受けたデバイスは、PN識別子に対応した内部のリソースをセットアップし、認証仲介サーバPN管理サーバに情報を送信する。さらに管理サーバに情報を転送する。
(4)既存PNのチェック
PN管理サーバでは、既に同一の識別子を受け取っている場合にはそのデバイスのアドレス情報を返信する。
(5)単一携帯電話によるPN構築
デバイスはPN管理サーバの応答を受け、PNのクライアントあるいはサーバとして動作する。
【0013】
本願発明は、通信相手となる端末を指定する際に、当該端末の登録情報を秘匿する点において、上記非特許文献1とは異なるものである。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】特開2009―278388号公報
【特許文献2】特表2008−515357号公報
【非特許文献】
【0015】
【非特許文献1】梅澤猛 他5名、“携帯電話を利用した Personal Network 構築システム”、「マルチメディア,分散,協調とモバイル(DICOMO2010)シンポジウム」、930−937ページ、平成22年7月
【発明の概要】
【発明が解決しようとする課題】
【0016】
本発明は、通信相手となる端末を指定する際に、当該端末の登録情報を秘匿しつつ、開示管理装置上の登録情報を元にした確実な端末識別情報の指定を可能とすることを目的とする。
【課題を解決するための手段】
【0017】
本発明は、概略、例えばインターネットなどの第1通信ネットワークにPC−AとPC−Bが接続されており、それぞれが第1通信ネットワーク上での通信機能を備え、PC−Bには例えばプリンタなどの端末装置が接続されているとき、PC−Aのパーソナルネットへの上記端末装置の取り込みを安全に行うものである。安全に行うためには、例えば携帯電話ネットワークなどの第3者に認証された第2通信ネットワーク上の通信装置を使用する。また、PC−Aの使用者にPC−Bの使用者情報が開示されないようにするために、PC−AとPC−Bの間には第1通信ネットワークに接続された管理装置を使用して、上記端末装置に関する情報だけで、上記の取り込みを行う。
まず、本発明の、プライバシを保障した機器間接続方法を適用しようとする装置構成は、以下の特徴を備えるものである。
第1通信ネットワークに係属する第1通信装置と第2通信装置と、
第1通信装置の入/出力データの一部を受/送信する第3通信装置と
第2通信装置の入/出力データの一部を受/送信する第4通信装置と
第2通信装置に係属する端末装置と、
第2通信装置と、第4通信装置と、上記端末装置とのそれぞれの情報が一連の情報であるとして記録管理する管理装置と、
第3通信装置と第4通信装置が係属する第2通信ネットワークと、
第2通信ネットワークに係属し上記管理装置の入/出力データの一部を受/送信する第5通信装置と、を備える。
また、第1通信装置が上記端末装置に上記通信ネットワーク上で接続しようとするとき、以下の手順で、第1通信装置は上記端末装置に接続する。
0) 上記端末装置情報と、第2通信装置情報と第4通信装置が生成した署名情報とを、上記管理装置に登録し、
1) 第3通信装置から、第5通信装置を介して上記管理装置に、上記端末装置情報と上記署名情報とを送信して、上記端末装置のユーザ照会要求を送信し、
2) 上記管理装置は、第3通信装置からのユーザ照会要求を受信して、受信した署名情報と、登録された上記署名情報との照合を行い、
3) 上記照合の結果を、第5通信装置から上記第3通信装置を介して、第1通信装置に送信し、
4) 上記照合の結果が一致する場合は、第1通信装置は、上記端末装置に上記ネットワーク上で接続する。
【0018】
上記1)において、署名をなるべく変更しないように運用する場合には、次のようにすることができる。つまり、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、上記署名を受信するものであり、さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をする。
【0019】
上記1)において、署名を頻繁に変更する場合には、次のようにすることができる。つまり、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、
1.1)第3通信装置は、第4通信装置対して署名に用いるハッシュ値の要求を送信し、
1.2)第4通信装置は、ハッシュ値を上記管理装置に送信し、
1.3)上記管理装置は、第4通信装置の情報、上記端末識別情報および上記ハッシュ値を登録して、登録した旨を第4通信装置に返答し、
1.4)第4通信装置から、第3通信装置に上記ハッシュ値を送信し、
1.5)署名に用いる上記ハッシュ値を受信するものであり、
さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をする。
【0020】
上記0)における登録は、信書を用いた通信で行うこともできるが、第4通信装置と第5通信装置間の電気通信や光通信を介して行うことが望ましい。
【0021】
第4通信装置と第5通信装置間の上記通信で送受信される、上記端末装置情報と第2通信装置情報と第4通信装置が生成した署名情報とは、第4通信装置と第5通信装置間の共通鍵を用いて暗号化されて第4通信装置から送信され、第5通信装置で受信された情報から前記共通鍵を用いて復号されたものであることが望ましい。
【0022】
上記2)における照合は、所定の関数による変換値が一致する場合に、合致するものとみなす事ができる。これによって、上記署名に異なるものを使用できるようになり、第3者による介入を抑制することができる。
【0023】
上記所定の関数の簡単な例は、何らかのハッシュ関数である。
【0024】
第2通信ネットワークは、例えば携帯電話ネットワークであり、第3通信装置、第4通信装置および第5通信装置にはそれぞれ携帯電話を使用することによって、第3通信装置、第4通信装置および第5通信装置は、携帯電話事業者によって認証されたものを用いることができ、秘匿通話が可能である。
【発明の効果】
【0025】
本発明により、相互に通信することで合意したユーザ間において、具体的なユーザ情報を開示することなく、当該デバイスが接続しようとする端末を所有する相手であることを確認することができる。
【図面の簡単な説明】
【0026】
【図1】パーソナルネットワーク(PN)の概要を示す図であり、PNは用途に応じて選定された任意のデバイス間で論理的に構成される仮想ネットワークとして構築されるものであることを示す。家庭/オフィス/モバイル環境の他、インターネットカフェや空港ラウンジのような公共/共有端末の中から、用途に応じて任意のデバイスを選び出し、オンデマンドに仮想ネットワークの構築を行う。
【図2】従来の、携帯電話を利用した上記PNの構築手順例を示す図である。ここでは、2つのデバイスA、Bについて携帯電話(Cellular Phone)を介してPN登録する手順の例を示す。
【図3】従来の、携帯電話のセンシング機能を利用したPNを構築するシステムを想定した通信シーケンス例を示す図である。
【図4】本発明の実施例1の構成と通信手順を示す図である。
【図5】本発明の実施例2の構成と通信手順を示す図である。
【発明を実施するための最良の形態】
【0027】
以下に、この発明の実施の形態を図面に基づいて詳細に説明する。以下の説明においては、同じ機能あるいは類似の機能をもった装置に、特別な理由がない場合には、同じ符号を用いるものとする。
【0028】
以下の例におけるPCは、演算装置(MPU)部、記憶(メモリ)部、ネットワークに接続する通信部、ユーザとのインターフェースとなる入出力部、などを備えるものであり、その他、HDD(ハードディスク装置)などの電源が切れた状態でデータを保持する補助記憶装置等を備えることが望ましい。また、携帯電話機は、個体識別符号によって識別され携帯電話事業者から認証された無線の携帯電話機である。上記PCと上記携帯電話機との接続は、専用の接続コードを用いてもよく、あるいは、赤外線接続機能を用いても良い。場合によっては、表示画面を伝送手段として用いることができ、ユーザが一方から読み取って他方に入力しても良い。第3者によって認証され他の受信者には通信内容を秘匿することができる通信装置であれば、この携帯電話機の代わりに用いることができる。
【実施例1】
【0029】
図4に示すように、第1、第2通信装置に相当するコンピュータ(PC−A、PC−B)、第3、第4通信装置に相当する携帯電話機(TEa、TEb)、通信端末装置(nTE)、管理装置(PNSP:パーソナルネットワークサービスプロバイダ)で構成される環境を想定する。上記携帯電話機は、携帯電話通信ネットワーク(第2通信ネットワーク)に接続され、上記通信端末は、インターネットやローカルエリアネットになどの通信ネットワーク(第1通信ネットワーク)に接続されたものである。ここで、PNSPにはnTEの端末識別情報IDnTEとともにnTEとPNSP間の共有鍵が登録されているとする。この共有鍵の登録は、電話や信書あるいは上記通信ネットワークを介して公開鍵方式で鍵を共有してもよい。また、ユーザAは通信機能を持ったPC−Aと携帯電話機TEaの使用者であり、ユーザBは同様に通信機能を持ったPC−Bと携帯電話機TEbの使用者である、と、する。
【0030】
TEaを使用するユーザAがnTEを、通信対象として指定し、ユーザAのパーソナルネットワークに参加させる場合、次のようにする。
(0)ユーザB側では、TEb情報とTEb上で生成された署名と共にnTE情報を管理装置に登録する。ここで、署名とは、例えば、使用者識別子(いわゆるユーザID)や認証情報(いわゆるパスワード)などである。この登録のための通信は、信書や電話、または、暗号通信を用いて行うことが望ましい。この暗号通信は、nTEとPNSP間の上記共有鍵を用いて行うことができる。
(1)ユーザA側では、TEaは、nTEのIDnTEを送信可能な信号に変換する。また、一方で、上記署名を受信する。
(2)ユーザA側では、TEaを介して、IDnTEと受信した上記署名とを含む情報を、PNSPに対して送信することで、ユーザ照会要求をする。
(3)PNSP側では、登録されているIDnTEと登録時のTEb情報から上記署名を抽出する。
(4)PNSP側では、上記ユーザ照会要求にある署名と、上記(3)で抽出した署名との一致または不一致を確認する。
(5)上記確認の結果をTEaに送信する。
(6)上記確認の結果が一致を意味する場合は、上記PC−Aは、上記nTEをユーザAのパーソナルネットワークに参加させる処理を行う。この際、(a)上記nTEが上記PC−Bを介して上記の何らかの通信ネットワークに参加(つまり接続)している場合、上記PC−Aは、上記PC−Bを介して、上記nTEと通信ネットワーク上で接続し、(b)上記nTEが上記の何らかの通信ネットワークに直接参加(つまり直接接続)している場合、上記PC−Aは、上記nTEと通信ネットワーク上で接続する。
【0031】
このとき、上記(3)の署名の抽出には、IDnTEやTEbの端末iDの他に、TEbの通話履歴や課金情報など、TEbと事業者認証基盤側で随時把握可能な情報を含むことができる。第三者からは推測困難な時間変化を伴う情報を含んだ署名を用いることにより、署名の偽造のリスクを低減することができる。署名の生成にはハッシュ関数など、生成された署名から元データを算出不可能な方法を用いる。
【実施例2】
【0032】
署名の生成に関しては、図5に示すように、前述の事業者認証基盤で随時把握可能な情報を利用する他に、署名要求が行われる度に任意の固有情報から生成した署名を登録することも可能である。
この場合に、TEaを使用するユーザAがnTEを、通信対象として指定し、ユーザAのパーソナルネットワークに参加させる場合、次のようにする。
(0)ユーザB側では、TEb情報とTEb上で生成された署名と共にnTE情報を管理装置に登録する。ここで、署名とは、任意の固有情報から生成した署名で、例えば、GPSによる位置情報や時事刻々変化する情報である。この登録のための通信は、電気通信や光通信であり、暗号通信であることが望ましい。この暗号通信は、nTEとPNSP間の上記共有鍵を用いて行うことができる。
(1)ユーザA側では、TEaは、nTEのIDnTEを送信可能な信号に変換する。また、
(1.1)ユーザA側では、実施例1の場合と異なり、ユーザB側に対して署名に用いるハッシュ値の要求を送信する。
(1.2)ユーザB側では、ハッシュ値を生成して、管理装置に送信する。
(1.3)管理装置側では、TEbの情報、上記IDnTEおよびハッシュ値を登録して、登録した旨をユーザB側に返答する。
(1.4)ユーザB側から、ユーザA側にハッシュ値を送信する。
(1.5)上記署名として送信されたハッシュ値を受信する。
以降(2)から(6)は、実施例1の場合と同様であり、
(2)ユーザA側では、TEaを介して、IDnTEと受信した上記署名とを含む情報を、PNSPに対して送信することで、ユーザ照会要求をする。
(3)PNSP側では、登録されているIDnTEと登録時のTEb情報から上記署名を抽出する。
(4)PNSP側では、上記ユーザ照会要求にある署名と、上記(3)で抽出した署名との一致または不一致を確認する。
(5)上記確認の結果をTEaに送信する。
(6)上記確認の結果が一致を意味する場合は、上記PC−Aは、上記nTEをユーザAのパーソナルネットワークに参加させる処理を行う。この際、(a)上記nTEが上記PC−Bを介して上記の何らかの通信ネットワークに参加(つまり接続)している場合、上記PC−Aは、上記PC−Bを介して、上記nTEと通信ネットワーク上で接続し、(b)上記nTEが上記の何らかの通信ネットワークに直接参加(つまり直接接続)している場合、上記PC−Aは、上記nTEと通信ネットワーク上で接続する。
【0033】
この方式の場合、携帯電話の起動経過時間やGPS(グローバルポジショニングシステム)計測値など、当該携帯電話のみでしか巴握できない情報を基に署名を生成することや、要求される度に異なる情報を組み合わせて署名を生成することが可能であり、署名の機密性を高めることが可能である。
【0034】
このように、TEaのユーザAは、nTEの登録情報を、TEbの携帯電話事業者での回線契約を担保として、PNSP経由で行うことができる。TEaのユーザAは、署名一致の成否のみを認知可能であり、任意の端末について登録者を割り出すことはできない。この様に、TEaには、ユーザA側がTEaを介して受信した上記署名以外には情報が開示されない。特に、TEbに関する情報が殆ど開示されないため、TEaのユーザAに対して、TEbのユーザBのプライバシを保つことができる。
【0035】
本発明により、上記の何らかの通信ネットワークにおける任意のユーザのPCと任意の端末間で通信を行う際、管理装置に登録されている上記端末の情報を基に、ユーザが意図した端末を確実に指定することができる。これにより、ユーザが入力ミスや錯誤、あるいは悪意のあるユーザからの接続要求などにより、意図しない端末に接続許可を与えてしまうことを防ぐことが可能となる。
【0036】
また、任意のユーザXが登録した端末グループXに対して、そのユーザXが、前記端末グループXに属するいずれかの端末に接続要求を行う際にも、ユーザ情報や携帯電話情報などの個人情報を開示することなく、上記端末グループXの登録者であることを証明することが可能となる。
【0037】
特に、ユーザAが自身の所有している複数の機器(携帯電話、コンピューター、情報家電など)を、PC−Aと接続しようとする場合、指定した機器が自分の意図した通りのものかどうかを確認することが可能であり、自分のPCと錯誤して他人のPCを指定してしまう操作ミスや、画像読み取り時のノイズが原因で意図しない機器を指定して接続してしまうなどのエラーの発生を回避可能である。例えば、デジタルカメラ、PC、プリンタ、TVをPC−Aに接続して写真データを共有する場合、誤って意図しない機器を接続してしまうことで写真データが漏洩する危険を無くすことができ、安全に写真データの閲覧、バックアップ、出力などが可能となる。
【0038】
ユーザ照会に利用される署名に推測が困難なものを用いることで、偽の署名で管理装置上の登録情報との整合性を得ることが困難になるため、偽造署名や署名の奪取による攻撃の危険を回避可能である。ユーザAが、既に作成したパーソナルネットワークに対し、他のユーザ、例えばユーザB、からの接続要求を受ける場合、その接続要求で指定した機器の登録情報をユーザBが確認することで、ユーザAはユーザBが実際の利用者であることを確認した上で接続を許可することができる。例えば、PC間を接続したビデオチャットに新たにユーザBが参加する場合、前記ユーザBが接続を要求しているPC、例えばPC−Aの登録情報についての整合性を前記ユーザBが確認することで、不正なユーザが信頼できるPCに接続要求を出す危険や、信頼できるユーザが不正なPCを意図せずに利用して接続してしまう危険を回避することが可能である。
【産業上の利用可能性】
【0039】
上記の場合、接続を要求するユーザBの観点からは、要求に際して不必要に個人情報を開示する必要がないためプライバシが保護される。また、PCのユーザIDや携帯電話IDなどを利用するのと異なり、開示した情報を不正に再利用される危険がない。上記ユーザ照会要求に用いる署名として、当該デバイスのみで有効な一時的なものとすることで、情報自体に再利用価値がなくなり安全性が高くなる。これにより、例えば、ストリーミング配信サービスに利用することで、ユーザAの登録情報が第3者に悪用されて、PC―Aが不正にアクセスされることがない。また、会議資料やパンフレットの配布を受けるために接続を要求する際に、従来は個人を特定するような情報を不必要に開示しなれぱならなかったが、本発明では、上記の情報を開示する必要がない。
【特許請求の範囲】
【請求項1】
第1通信ネットワークに係属する第1通信装置と第2通信装置と、
第1通信装置の入/出力データの一部を受/送信する第3通信装置と
第2通信装置の入/出力データの一部を受/送信する第4通信装置と
第2通信装置に係属する端末装置と、
第2通信装置と、第4通信装置と、上記端末装置とのそれぞれの情報が一連の情報であるとして記録管理する管理装置と、
第3通信装置と第4通信装置が係属する第2通信ネットワークと、
第2通信ネットワークに係属し上記管理装置の入/出力データの一部を受/送信する第5通信装置と、を備え、
第1通信装置が上記端末装置に上記通信ネットワーク上で接続しようとするとき、
0) 上記端末装置情報と、第2通信装置情報と、第4通信装置が生成した署名情報とを、上記管理装置に登録し、
1) 第3通信装置から、第5通信装置を介して上記管理装置に、上記端末装置情報と上記署名情報とを送信して、上記端末装置のユーザ照会要求を送信し、
2) 上記管理装置は、第3通信装置からのユーザ照会要求を受信して、受信した署名情報と、登録された上記署名情報との照合を行い、
3) 上記照合の結果を、第5通信装置から上記第3通信装置を介して、第1通信装置に送信し、
4) 上記照合の結果が一致する場合は、第1通信装置は、上記端末装置に上記ネットワーク上で接続する、
ことを特徴とするプライバシを保障した機器間接続方法。
【請求項2】
上記1)において、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、上記署名を受信するものであり、さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をするものであることを特徴とする請求項1に記載のプライバシを保障した機器間接続方法。
【請求項3】
上記1)において、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、
1.1)第3通信装置は、第4通信装置対して署名に用いるハッシュ値の要求を送信し、
1.2)第4通信装置は、ハッシュ値を上記管理装置に送信し、
1.3)上記管理装置は、第4通信装置の情報、上記端末識別情報および上記ハッシュ値を登録して、登録した旨を第4通信装置に返答し、
1.4)第4通信装置から、第3通信装置に上記ハッシュ値を送信し、
1.5)署名に用いる上記ハッシュ値を受信するものであり、
さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をするものであることを特徴とする請求項1または請求項2のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項4】
上記0)における登録は、第4通信装置と第5通信装置間の電気通信または光通信を介して行うことを特徴とする請求項1から請求項3のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項5】
第4通信装置と第5通信装置間の上記通信で送受信される、上記端末装置情報と第2通信装置情報と第4通信装置が生成した署名情報とは、第4通信装置と第5通信装置間の共通鍵を用いて暗号化されて第4通信装置から送信され、第5通信装置で受信された情報から前記共通鍵を用いて復号されたものであることを特徴とする請求項4に記載のプライバシを保障した機器間接続方法。
【請求項6】
上記2)における照合は、所定の関数による変換値が一致する場合に、合致するものとみなす事を特徴とする請求項1から請求項5のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項7】
上記所定の関数は、ハッシュ関数であることを特徴とする請求項6に記載のプライバシを保障した機器間接続方法。
【請求項8】
第3通信装置、第4通信装置および第5通信装置はそれぞれ携帯電話であり、第2通信ネットワークは携帯電話ネットワークであることを特徴とする請求項1から請求項7のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項1】
第1通信ネットワークに係属する第1通信装置と第2通信装置と、
第1通信装置の入/出力データの一部を受/送信する第3通信装置と
第2通信装置の入/出力データの一部を受/送信する第4通信装置と
第2通信装置に係属する端末装置と、
第2通信装置と、第4通信装置と、上記端末装置とのそれぞれの情報が一連の情報であるとして記録管理する管理装置と、
第3通信装置と第4通信装置が係属する第2通信ネットワークと、
第2通信ネットワークに係属し上記管理装置の入/出力データの一部を受/送信する第5通信装置と、を備え、
第1通信装置が上記端末装置に上記通信ネットワーク上で接続しようとするとき、
0) 上記端末装置情報と、第2通信装置情報と、第4通信装置が生成した署名情報とを、上記管理装置に登録し、
1) 第3通信装置から、第5通信装置を介して上記管理装置に、上記端末装置情報と上記署名情報とを送信して、上記端末装置のユーザ照会要求を送信し、
2) 上記管理装置は、第3通信装置からのユーザ照会要求を受信して、受信した署名情報と、登録された上記署名情報との照合を行い、
3) 上記照合の結果を、第5通信装置から上記第3通信装置を介して、第1通信装置に送信し、
4) 上記照合の結果が一致する場合は、第1通信装置は、上記端末装置に上記ネットワーク上で接続する、
ことを特徴とするプライバシを保障した機器間接続方法。
【請求項2】
上記1)において、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、上記署名を受信するものであり、さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をするものであることを特徴とする請求項1に記載のプライバシを保障した機器間接続方法。
【請求項3】
上記1)において、第3通信装置は、上記端末装置の端末識別情報を送信可能な信号に変換するものであり、また、
1.1)第3通信装置は、第4通信装置対して署名に用いるハッシュ値の要求を送信し、
1.2)第4通信装置は、ハッシュ値を上記管理装置に送信し、
1.3)上記管理装置は、第4通信装置の情報、上記端末識別情報および上記ハッシュ値を登録して、登録した旨を第4通信装置に返答し、
1.4)第4通信装置から、第3通信装置に上記ハッシュ値を送信し、
1.5)署名に用いる上記ハッシュ値を受信するものであり、
さらに、第3通信装置を介して、上記端末識別情報と受信した上記署名とを含む情報を、上記管理装置に対して送信することで、ユーザ照会要求をするものであることを特徴とする請求項1または請求項2のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項4】
上記0)における登録は、第4通信装置と第5通信装置間の電気通信または光通信を介して行うことを特徴とする請求項1から請求項3のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項5】
第4通信装置と第5通信装置間の上記通信で送受信される、上記端末装置情報と第2通信装置情報と第4通信装置が生成した署名情報とは、第4通信装置と第5通信装置間の共通鍵を用いて暗号化されて第4通信装置から送信され、第5通信装置で受信された情報から前記共通鍵を用いて復号されたものであることを特徴とする請求項4に記載のプライバシを保障した機器間接続方法。
【請求項6】
上記2)における照合は、所定の関数による変換値が一致する場合に、合致するものとみなす事を特徴とする請求項1から請求項5のいずれか1つに記載のプライバシを保障した機器間接続方法。
【請求項7】
上記所定の関数は、ハッシュ関数であることを特徴とする請求項6に記載のプライバシを保障した機器間接続方法。
【請求項8】
第3通信装置、第4通信装置および第5通信装置はそれぞれ携帯電話であり、第2通信ネットワークは携帯電話ネットワークであることを特徴とする請求項1から請求項7のいずれか1つに記載のプライバシを保障した機器間接続方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−147240(P2012−147240A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2011−3898(P2011−3898)
【出願日】平成23年1月12日(2011.1.12)
【出願人】(301022471)独立行政法人情報通信研究機構 (1,071)
【Fターム(参考)】
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成23年1月12日(2011.1.12)
【出願人】(301022471)独立行政法人情報通信研究機構 (1,071)
【Fターム(参考)】
[ Back to top ]