個人情報共有システム、認証局、Webサーバ、耐タンパデバイスおよびプログラム
【課題】 ネットワークに接続された複数のWebサーバで個人情報を安全に共有する。
【解決手段】 個人情報を格納したICカード52を使用して、ネットワーク40に接続された複数のWebサーバA10、B20で個人情報を安全に共有する個人情報共有システムである。ICカード52に格納された個人情報のうち、Webサーバに取得を許可する個人情報を限定する権限レベルをCA30がWebサーバに設定する。WebサーバからICカード52へ権限レベルを送信して個人情報の取得を要求すると、WebサーバとICカード52の間で相互認証を行い、ICカード52は、Webサーバに設定された権限レベルとWebサーバに取得を許可する個人情報の対応を示す対応テーブルに基づいて個人情報を選択してWebサーバへ送信する。
【解決手段】 個人情報を格納したICカード52を使用して、ネットワーク40に接続された複数のWebサーバA10、B20で個人情報を安全に共有する個人情報共有システムである。ICカード52に格納された個人情報のうち、Webサーバに取得を許可する個人情報を限定する権限レベルをCA30がWebサーバに設定する。WebサーバからICカード52へ権限レベルを送信して個人情報の取得を要求すると、WebサーバとICカード52の間で相互認証を行い、ICカード52は、Webサーバに設定された権限レベルとWebサーバに取得を許可する個人情報の対応を示す対応テーブルに基づいて個人情報を選択してWebサーバへ送信する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワークに接続された複数のWebサーバでユーザの個人情報を安全に共有する個人情報共有システムおよびプログラムに関する。
【背景技術】
【0002】
インターネットの普及により、ユーザはWebサーバで各種の電子商取引を行うことができるようになっている。ここで、ユーザが商品やサービスの申し込みを行うときに、Webサーバごとに住所、氏名、電話番号、クレジット番号などの個人情報を入力しなければならなかった。
【0003】
これに対し、ユーザが同じ情報を再入力する手間をなくす従来技術について、図7を参照して説明する。
ユーザはPC150からネットワーク140を経由してWebサーバA110あるいはWebサーバB120にアクセスすることができる。ここでWebサーバとは、サーバハードウェア上でWebサーバ用プログラム(HTTPプロトコルでWorld Wide Webのサービスを提供するプログラム)を動作させ、HTML などで書かれた一連のWebページを格納したものである。WebサーバA110およびWebサーバB120は、個人情報管理サーバ130から個人情報を取得する機能を有する。個人情報管理サーバ130は、Webサーバとして構成されている。個人情報管理サーバ130はユーザの個人情報を登録し、Webサーバからの要求に対してユーザの個人情報を送信する。ここで個人情報とは、例えば、ユーザの氏名、年齢、住所、電話番号、クレジット番号、銀行口座番号、電子メールアドレスなどである。
【0004】
次に図7に示すシステムの動作を説明する。ユーザはWebサーバA110あるいはWebサーバB120へのアクセスに先立って、個人情報管理サーバ130に個人情報を登録する。ユーザが個人情報管理サーバ130に個人情報を登録すると、個人情報管理サーバ130からユーザへID、パスワードが発行される。ユーザはこのID、パスワードを使用してWebサーバA110にログインする。ユーザがこのWebサーバA110で商品やサービスの申し込みを行うと、WebサーバA110は個人情報管理サーバ130へユーザのIDを送信して、ユーザの個人情報を要求する。個人情報管理サーバ130は受信したIDに対応するユーザの個人情報をWebサーバA110へ送信する。このため、ユーザは個人情報を入力する必要はない。同様に、ユーザがWebサーバB120にログインして商品やサービスの申し込みを行うときも、ユーザはID、パスワードを使用してログインするだけで個人情報を入力する必要はない。Webサーバは2つに限定されることなく、Webサーバが3つ以上の場合も同様である。上記のように、複数のWebサーバは個人情報管理サーバ130からユーザの個人情報を受け取ることで、ユーザはWebサーバごとに個人情報を入力する必要がなくなり、Webサーバはこのシステムによりユーザの個人情報を共有することができる。
【0005】
しかし、ユーザの個人情報はネットワークに接続されたWebサーバである個人情報管理サーバ130に格納されており、個人情報が暗号化されていたとしても、第三者から不正にアクセスされる危険性は否定できない。
例えば、ユーザがIDに対応するパスワードを忘れてしまった場合には、個人情報として個人情報管理サーバ130に登録された電子メールアドレスを使用してユーザへ電子メールを送信しパスワードを再設定する技術がある。これは、パスワードを再設定することができるリンクが記載された電子メールを個人情報管理サーバ130からユーザへ送信するというものである。この処理において、第三者によって当該電子メールが不正に入手されると、第三者にパスワードを変更され、さらに、変更されたパスワードを使用して個人情報管理サーバ130に格納されたユーザの個人情報が不正に取得される恐れがある。
また、個人情報管理サーバ130には個人情報が集約して格納されているため、第三者にハッキングされると個人情報が大量に流出する可能性がある。個人情報管理サーバ130の管理者が個人情報を不正に持ち出すこともあり得る。
【0006】
上記のようなリスクに対処するため、ユーザの個人情報をインターネットに接続されたサーバに格納するのでなく、ユーザが所有するICカードに格納する技術がある。ユーザはICカードに個人情報を格納し、当該ICカードを端末装置にセットしてネットワーク経由でホストコンピュータにアクセスし、サービスの提供を受けるというものである。
耐タンパデバイスであるICカードに個人情報を格納することにより、不正なアクセスから個人情報を保護することができ、ユーザがICカードを使用しないときは取り外して安全な場所に保管することができる。また、Webサーバで個人情報を集約して保持する場合と異なり、大量に個人情報が流出する危険性もない。なお、耐タンパデバイスとは、秘密情報や秘密情報の処理メカニズムを外部から不当に観測・改変することや秘密情報を処理するメカニズムを不当に改変することが極めて困難であるように意図して作られたハードウェアであって、一般に、CPU(中央処理装置)、ROM(リードオンリメモリ)、RAM(ランダムアクセスメモリ)を有する。
また、上記のICカードを使用したシステムにおいては、ユーザがICカードに格納した個人情報は、ユーザが公開フラグをセットした項目のみホストコンピュータに送信され、ユーザが公開フラグをセットしていない項目はホストコンピュータに送信されないので、公開フラグがセットされた個人情報に応じたサービスのみ提供される仕組みとなっている。
なお、従来技術として特許文献1が知られている。
【特許文献1】特開平10-49596号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のICカードを使用したシステムにおいては、ホストコンピュータへ送信する必要がある個人情報の内容は電子商取引の内容によって異なるため、ユーザがセットした公開フラグに基づいて一律にホストコンピュータへ送信するか否か決定すると、ユーザが希望する電子商取引に必要な情報に対して過不足が生じる。さらに、ユーザが公開フラグをセットしたものは対象となる電子商取引で必要がなくてもホストコンピュータから取得可能となっている。
また、個人情報がICカードに格納された状態では耐タンパデバイスであるICカードの機能により個人情報は不正に盗み出されることはないが、ICカードとホストコンピュータがお互いに正しい相手であるか確認する手段がないと、ICカードに格納された個人情報を不正なホストコンピュータに送信して悪用されたり、不正に発行されたICカードからホストコンピュータが虚偽の個人情報を取得して、その相手に対して商品販売などをして損害を被ったりする恐れがある。
この発明は、上記の事情を考慮してなされたものであり、その目的は、ICカードおよびWebサーバがお互いに正しい相手であるか確認し、ICカードに格納された個人情報のうち必要なものに限定してWebサーバに送信することができる個人情報共有システム、認証局、Webサーバ、耐タンパデバイスおよびプログラムを提供することである。
【課題を解決するための手段】
【0008】
この発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記認証局は、前記Webサーバに対して前記個人情報に対するアクセス権限を設定する手段を備えると共に、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段を備え、前記Webサーバは、前記アクセス権限に基づいて前記クライアントに対し前記個人情報の取得を要求する手段を備え、前記耐タンパデバイスは、前記アクセス権限により取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする個人情報共有システムである。
【0009】
請求項2に記載の発明は、請求項1に記載の個人情報共有システムにおいて、前記認証局は、前記Webサーバと前記耐タンパデバイスとの相互認証に用いる鍵情報を発行する手段をさらに備え、前記Webサーバおよび前記耐タンパデバイスは、それぞれが生成した乱数を前記鍵情報を用いて暗号化した情報に基づいて相互に認証を行う手段をさらに備えることを特徴とする。
【0010】
請求項3に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記認証局であって、前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバに対して設定する手段と、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段とを備えることを特徴とする認証局である。
【0011】
請求項4に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記Webサーバであって、前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する手段を備えることを特徴とするWebサーバである。
【0012】
請求項5に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記耐タンパデバイスであって、前記認証局によって前記Webサーバに対して設定されたアクセス権限に基づいて取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする耐タンパデバイスである。
【0013】
請求項6に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記認証局のコンピュータに、前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバ対して設定する処理と、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する処理とを実行させるためのプログラムである。
【0014】
請求項7に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記Webサーバのコンピュータに、前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する処理を実行させるためのプログラムである。
【発明の効果】
【0015】
この発明によれば、CAによってWebサーバごとに設定された権限レベルに応じて、Webサーバへ送信されるユーザの個人情報が限定されるので、ユーザは不要な個人情報を送信することがなくなり、また、Webサーバによる権限レベルを越えた個人情報の取得を防止することができる。
また、個人情報を格納する耐タンパデバイスとWebサーバが相互認証を行うので、ユーザの個人情報が不正な相手に送信されたり、不正な耐タンパデバイスから虚偽の個人情報がWebサーバへ送信されたりすることが防止される。
【発明を実施するための最良の形態】
【0016】
以下、図面を参照し、この発明の実施の形態について説明する。図1はこの発明の一実施の形態による個人情報共有システムの構成を示すブロック図である。
図1において、WebサーバA10、WebサーバB20は、ユーザから個人情報の提供を受けて電子商取引を行うWebサーバである。WebサーバA10、WebサーバB20は、PC50から例えば商品やサービスの申し込みを受け付ける機能を有する。
CA(認証局)30は、WebサーバA10、WebサーバB20にマスター鍵と証明書を発行する機能を有する。また、CA30は、PC50を経由してICカード52にユーザの個人情報、マスター鍵、証明書を格納する機能を有する。
ネットワーク40は、例えば、インターネットである。
PC50はWebサーバのクライアントであり、ICカードリーダライタ51が接続され、ICカードリーダライタ51はパソコンからの指示に従ってICカード52から情報を読み出したり、ICカード52に情報を書き込んだりする。ICカード52とICカードリーダライタ51の間の通信方式は接触式でも、非接触式でもよい。
【0017】
次に図2を参照して、このシステムによる処理の手順を説明する。
ステップS201からステップS204は、WebサーバA10およびWebサーバB20がユーザのICカード52から個人情報の提供を受けて、商品やサービスの申し込みを受け付ける前に、WebサーバA10、WebサーバB20とCA30との間で行われる手順である。
WebサーバA10の運営者はCA30の運営者に契約を申し込み、契約を結ぶ(ステップS201)。CA30は、マスター鍵と、WebサーバA10を認証する証明書であって、契約の際に決定したWebサーバA10の権限レベルが記載された証明書とをWebサーバA10へ送付する(ステップS202)。証明書にはWebサーバA10の権限レベルの他にWebサーバA10の公開鍵が格納されている。公開鍵で暗号化された情報を復号化するときに使用する秘密鍵はWebサーバA10に格納されている。マスター鍵は、契約しているWebサーバあるいは契約しているユーザに対してCA30から与えられる同一の暗号鍵である。
同様に、WebサーバB20の運営者はCA30の運営者に契約を申し込み、契約を結ぶ(ステップS203)。CA30は、マスター鍵と、WebサーバB20を認証する証明書であって、契約の際に決定したWebサーバB20の権限レベルが記載された証明書とをWebサーバB20へ送付する(ステップS204)。
【0018】
S205からS208は、ユーザがICカード52に個人情報が登録されていない状態でWebサーバA10にアクセスし、WebサーバA10からの指示でCA30にアクセスして、ICカード52に個人情報を登録し、マスター鍵と証明書の送信を受ける手順を示す。ステップS205からS208の手順によりICカード52に個人情報が登録されると、登録済みフラグがセットされる。ICカード52に個人情報が登録されていない場合は、登録済みフラグはセットされていない。
ユーザはPC50に接続されたICカードリーダライタ51にICカード52をセットし、WebサーバA10にアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行う(ステップS205)。例えば、WebサーバA10において商品を購入するために個人情報の入力が必要となったような場合である。するとWebサーバA10はネットワーク40、PC50、ICカードリーダライタ51を経由して、ICカード52に登録済みフラグがセットされているかチェックを行う。ここでは登録済みフラグがセットされていないので、WebサーバA10はユーザに対して、CA30にアクセスして個人情報の登録を行うように指示する(ステップ206)。具体的には、例えば、CA30にアクセスして、このシステムによる個人情報共有のサービスへの参加を申し込むようPC50の画面に表示を行う。ユーザはCA30にアクセスし、このサービスへの参加(このサービスの利用契約)を申し込む操作を行う(ステップS207)。ここで例えばユーザはPC50において個人情報を入力しCA30に送信する。ユーザからの申し込みに対して、ユーザとCA30の間で契約が成立すると、CA30からネットワーク40、PC50、ICカードリーダライタ51を経由して、個人情報、マスター鍵、証明書がICカード52に格納され(ステップS208)、登録済みフラグがセットされる。ここで、個人情報は、図6に示すような形式の対応テーブルとしてICカード52に格納される。ユーザの個人情報はICカード52にのみ格納され、CA30およびPC50から消去される。
【0019】
ここで、対応テーブルについて説明する。例えば、図5に示すように6項目の個人情報が存在するとする。WebサーバはCA30との契約の際にレベル1、レベル2、レベル3のように権限レベルを決定する。図5は、権限レベルと当該権限レベルによりWebサーバに取得を許可する個人情報項目の対応の例を示す。権限レベルがレベル1のWebサーバは、ICカード52に格納されている「氏名」と「年齢」だけしか取得できない。権限レベルがレベル2のWebサーバは、ICカード52に格納されている「氏名」、「年齢」に加え、「住所」「電話番号」も取得できる。権限レベルがレベル3のWebサーバは図5の全ての情報を取得できる。
図6は上記の権限レベルと個人情報項目の対応、および、項目ごとのユーザの個人情報を格納したものである。図6に示すように、Level(権限レベル)、Attribute(個人情報の項目(属性))、Value(ユーザの個人情報の内容(値))の形式で情報が格納されており、この対応テーブルを参照して権限レベルに応じた個人情報が選択される。具体的には、権限レベルがレベル1のWebサーバは、Levelの欄の値が「0001」の個人情報のみ取得できる。権限レベルがレベル2のWebサーバは、Levelの欄の値が2以下、すなわち、「0001」および「0002」の個人情報を取得できる。権限レベルがレベル3のWebサーバは、Levelの欄の値が3以下、すなわち「0001」、「002」、「0003」の個人情報となるので、図6のすべての個人情報を取得できる。
【0020】
図2のS209とS210は、ICカード52に登録済みフラグがセットされた状態で、ICカード52を所有するユーザがWebサーバB20にアクセスし、WebサーバB20がICカード52からユーザの個人情報を取得する手順を示す。ユーザはWebサーバB20にアクセスし、個人情報の入力を指示する(ステップS209)。例えば、WebサーバB20において商品を購入するために個人情報の入力が必要となったような場合である。これに対し、WebサーバB20はネットワーク40、PC50、ICカードリーダライタ51を経由して、ICカード52に登録済みフラグがセットされているかチェックを行う。ここでは、ICカード52に登録済みフラグがセットされているので、WebサーバB20はICカード52へ権限レベルが記載された証明書を送信する(ステップS210)。ICカード52は、対応テーブルに基づいて、Webサーバ20に設定された権限レベルによりWebサーバB20に取得を許可する個人情報をICカードに格納された個人情報から選択してWebサーバB20へ送信する。
【0021】
なお、ユーザが書面で申し込むなどしてCA30からICカード52を取得した時点で、既にICカード52にユーザの個人情報、マスター鍵、証明書が格納され、登録済みフラグがセットされていた場合は、ステップS205からS208の手順は行われない。また、ユーザがICカード52を取得した時点でユーザの個人情報等が格納されていなくても、ユーザがWebサーバへアクセスする前に、CA30にアクセスして個人情報等を格納する処理を行った場合も同様に、ステップS205からS208の手順は行われない。
【0022】
次に図2のステップS205からS210の手順におけるICカード52とWebサーバとの間の動作について図3、図4を参照して説明する。
ユーザがICカードリーダライタ51にICカード52をセットしてWebサーバA10へアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行うと(図2のステップS205)、前述した通りWebサーバA10はネットワーク40、PC50、ICカードリーダライタ51を経由して、このシステムによる個人情報共有のサービスに関連する情報がICカード52に格納されているか判定する(ステップS301)。この判定は、例えば、ICカード52内に登録済みフラグがセットされているか否か判定することにより行う。登録済みフラグは個人情報等をICカード52に格納したときにセットされる。登録済みフラグがセットされていなければステップS301の判定結果は「NO」となるので、ステップS307へ進む。ステップS307での動作は図2のステップS206からステップS208における動作と同じである。
【0023】
ステップS301の判定結果が「YES」となる場合、すなわち、ICカード52内に登録済みフラグがセットされている場合は、ステップS302へ進む。ここでステップS302からS305の動作について図4を参照して詳細に説明する。
ステップS202、S204、S208の説明で述べた通り、WebサーバA10、WebサーバB20、ICカード52には共通のマスター鍵(Menc)が格納されている。ここでは、WebサーバA10とICカード52の間の動作について説明するが、WebサーバB20とICカード52の間の動作も同様である。
【0024】
まず、ICカード52とWebサーバA10はセッションを張る(図3のステップS302)。具体的には、WebサーバA10はサーバ乱数(Srnd)を生成し、ICカード52に送信する(ステップS401)。ICカード52はカード乱数(Crnd)を生成し、これとWebサーバA10から受け取ったSrndを一つの乱数列に結合しMenc(マスター鍵)で暗号化してSenc(セッション鍵)を生成する。そしてCrndとE(Senc,Crnd)(CrndをSencで暗号化したもの)をWebサーバA10へ送信する(ステップS402)。WebサーバA10は、ステップS402と同様に、受け取ったCrndと Srndを一つの乱数列に結合しMencで暗号化してSencを生成し、ICカード52から受け取ったE(Senc,Crnd)をSencで復号化して得られたものがCrndと一致するか確認する。一致すればICカード52がWebサーバA10と同一のMencを持っていることになるので、CA30と正しく契約したICカードである(図2のステップS207、S208の手順を正しく行ったICカードである)ことが確認できるので、ICカード52が認証される。一致しない場合はICカード52が正しいMencを持っていないことになり、ICカード52はCA30と正しく契約したICカードでないことが確認できるので、処理を終了する。
【0025】
次に、WebサーバA10はE(Senc,Crnd|Srnd)(CrndとSrndを一つの乱数列に結合し、Sencで暗号化したもの)を生成し、ICカード52へ送信する(ステップS403)。
ICカード52はWebサーバA10から受け取ったE(Senc,Crnd|Srnd)を復号化し、自分が保持しているCrnd、Srndと一致するか確認する。前述の通りSencはSrndとCrndをMencで暗号化して生成されるので、一致すればICカード52がWebサーバA10と同一のMencを持っていることになり、CA30と正しく契約したWebサーバである(図2のステップS201、S202の手順を正しく行ったWebサーバである)ことが確認できるので、WebサーバA10が認証される。このとき、ICカード52はOK応答をWebサーバA10へ送信する。一方、一致しない場合はWebサーバA10が正しいMencを持っていないことになり、WebサーバA10はCA30と正しく契約していないことが確認できるので、処理を終了する。
【0026】
次に、WebサーバA10は、自分の証明書(図4のSpubはWebサーバA10の公開鍵を表す)をICカード52に送信する(ステップS303、ステップS405)。ICカード52は受け取ったWebサーバA10の証明書に記載されている権限レベルに応じて、前述のようにWebサーバA10に送信すべき個人情報を選択し(図4のCcntは選択された個人情報を表す)(ステップS304、S406)、選択された情報をWebサーバA10の公開鍵で暗号化し(図4のE(Spub, Ccnt)はCcntをSpubで暗号化したものを表す)、WebサーバA10へ送信する(ステップS305、S406)。暗号化された情報はWebサーバA10が持つ秘密鍵でしか復号化できないので、ICカード52からWebサーバA10へ送信される間に個人情報が漏洩することはない。
【0027】
上記ではユーザがICカード52を使用してWebサーバA10へアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行った場合の動作を説明したが、ユーザがWebサーバへアクセスする前にCA30へアクセスして個人情報等をICカード52に格納する操作を行った場合の動作は次の通りである。
ユーザがICカードリーダライタ51にICカード52をセットしてCA30へアクセスし、個人情報等をICカード52に格納する操作を行うと、CA30はネットワーク40、PC50、ICカードリーダライタ51を経由して、このシステムによる個人情報共有のサービスに関連する情報がICカード52に格納されているか判定を行う(ステップS306)。この判定は、例えば、ICカード52内に登録済みフラグがセットされているか否か判定することにより行う。判定結果が「NO」の場合はステップS307へ進む。ステップS307での動作は図2のステップS206からステップS208における動作と同じである。ステップS306の判定結果が「YES」の場合は、処理は必要ないので終了する。
【0028】
なお、上記の実施例では個人情報等をICカード52に格納したが、その他の耐タンパデバイスあるいは耐タンパデバイスを組み込んだ装置であれば、携帯情報端末、可搬型メモリ、その他の装置に格納してもよい。
【0029】
なお、上記のWebサーバA10、WebサーバB20、ICカード52は、内部にコンピュータシステムを有している。そして、上記のWebサーバA10、WebサーバB20、ICカード52の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含むものである。
【0030】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0031】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【産業上の利用可能性】
【0032】
ネットワークに接続された複数のWebサーバで個人情報を安全に共有する個人情報共有システムに用いられる。
【図面の簡単な説明】
【0033】
【図1】この発明の実施形態による個人情報共有システムの構成を示すブロック図である。
【図2】図1の個人情報共有システムにおける手順を説明するためのシーケンス図である。
【図3】図2のシーケンス図における手順を詳細に説明するためのフローチャートである。
【図4】図2のシーケンス図における手順を詳細に説明するためのシーケンス図である。
【図5】権限レベルとWebサーバの取得が許可される個人情報との対応を例示するための図である。
【図6】ICカード52に格納される対応テーブルを例示するための図である。
【図7】従来の個人情報共有システムの構成を示すブロック図である。
【技術分野】
【0001】
この発明は、ネットワークに接続された複数のWebサーバでユーザの個人情報を安全に共有する個人情報共有システムおよびプログラムに関する。
【背景技術】
【0002】
インターネットの普及により、ユーザはWebサーバで各種の電子商取引を行うことができるようになっている。ここで、ユーザが商品やサービスの申し込みを行うときに、Webサーバごとに住所、氏名、電話番号、クレジット番号などの個人情報を入力しなければならなかった。
【0003】
これに対し、ユーザが同じ情報を再入力する手間をなくす従来技術について、図7を参照して説明する。
ユーザはPC150からネットワーク140を経由してWebサーバA110あるいはWebサーバB120にアクセスすることができる。ここでWebサーバとは、サーバハードウェア上でWebサーバ用プログラム(HTTPプロトコルでWorld Wide Webのサービスを提供するプログラム)を動作させ、HTML などで書かれた一連のWebページを格納したものである。WebサーバA110およびWebサーバB120は、個人情報管理サーバ130から個人情報を取得する機能を有する。個人情報管理サーバ130は、Webサーバとして構成されている。個人情報管理サーバ130はユーザの個人情報を登録し、Webサーバからの要求に対してユーザの個人情報を送信する。ここで個人情報とは、例えば、ユーザの氏名、年齢、住所、電話番号、クレジット番号、銀行口座番号、電子メールアドレスなどである。
【0004】
次に図7に示すシステムの動作を説明する。ユーザはWebサーバA110あるいはWebサーバB120へのアクセスに先立って、個人情報管理サーバ130に個人情報を登録する。ユーザが個人情報管理サーバ130に個人情報を登録すると、個人情報管理サーバ130からユーザへID、パスワードが発行される。ユーザはこのID、パスワードを使用してWebサーバA110にログインする。ユーザがこのWebサーバA110で商品やサービスの申し込みを行うと、WebサーバA110は個人情報管理サーバ130へユーザのIDを送信して、ユーザの個人情報を要求する。個人情報管理サーバ130は受信したIDに対応するユーザの個人情報をWebサーバA110へ送信する。このため、ユーザは個人情報を入力する必要はない。同様に、ユーザがWebサーバB120にログインして商品やサービスの申し込みを行うときも、ユーザはID、パスワードを使用してログインするだけで個人情報を入力する必要はない。Webサーバは2つに限定されることなく、Webサーバが3つ以上の場合も同様である。上記のように、複数のWebサーバは個人情報管理サーバ130からユーザの個人情報を受け取ることで、ユーザはWebサーバごとに個人情報を入力する必要がなくなり、Webサーバはこのシステムによりユーザの個人情報を共有することができる。
【0005】
しかし、ユーザの個人情報はネットワークに接続されたWebサーバである個人情報管理サーバ130に格納されており、個人情報が暗号化されていたとしても、第三者から不正にアクセスされる危険性は否定できない。
例えば、ユーザがIDに対応するパスワードを忘れてしまった場合には、個人情報として個人情報管理サーバ130に登録された電子メールアドレスを使用してユーザへ電子メールを送信しパスワードを再設定する技術がある。これは、パスワードを再設定することができるリンクが記載された電子メールを個人情報管理サーバ130からユーザへ送信するというものである。この処理において、第三者によって当該電子メールが不正に入手されると、第三者にパスワードを変更され、さらに、変更されたパスワードを使用して個人情報管理サーバ130に格納されたユーザの個人情報が不正に取得される恐れがある。
また、個人情報管理サーバ130には個人情報が集約して格納されているため、第三者にハッキングされると個人情報が大量に流出する可能性がある。個人情報管理サーバ130の管理者が個人情報を不正に持ち出すこともあり得る。
【0006】
上記のようなリスクに対処するため、ユーザの個人情報をインターネットに接続されたサーバに格納するのでなく、ユーザが所有するICカードに格納する技術がある。ユーザはICカードに個人情報を格納し、当該ICカードを端末装置にセットしてネットワーク経由でホストコンピュータにアクセスし、サービスの提供を受けるというものである。
耐タンパデバイスであるICカードに個人情報を格納することにより、不正なアクセスから個人情報を保護することができ、ユーザがICカードを使用しないときは取り外して安全な場所に保管することができる。また、Webサーバで個人情報を集約して保持する場合と異なり、大量に個人情報が流出する危険性もない。なお、耐タンパデバイスとは、秘密情報や秘密情報の処理メカニズムを外部から不当に観測・改変することや秘密情報を処理するメカニズムを不当に改変することが極めて困難であるように意図して作られたハードウェアであって、一般に、CPU(中央処理装置)、ROM(リードオンリメモリ)、RAM(ランダムアクセスメモリ)を有する。
また、上記のICカードを使用したシステムにおいては、ユーザがICカードに格納した個人情報は、ユーザが公開フラグをセットした項目のみホストコンピュータに送信され、ユーザが公開フラグをセットしていない項目はホストコンピュータに送信されないので、公開フラグがセットされた個人情報に応じたサービスのみ提供される仕組みとなっている。
なお、従来技術として特許文献1が知られている。
【特許文献1】特開平10-49596号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のICカードを使用したシステムにおいては、ホストコンピュータへ送信する必要がある個人情報の内容は電子商取引の内容によって異なるため、ユーザがセットした公開フラグに基づいて一律にホストコンピュータへ送信するか否か決定すると、ユーザが希望する電子商取引に必要な情報に対して過不足が生じる。さらに、ユーザが公開フラグをセットしたものは対象となる電子商取引で必要がなくてもホストコンピュータから取得可能となっている。
また、個人情報がICカードに格納された状態では耐タンパデバイスであるICカードの機能により個人情報は不正に盗み出されることはないが、ICカードとホストコンピュータがお互いに正しい相手であるか確認する手段がないと、ICカードに格納された個人情報を不正なホストコンピュータに送信して悪用されたり、不正に発行されたICカードからホストコンピュータが虚偽の個人情報を取得して、その相手に対して商品販売などをして損害を被ったりする恐れがある。
この発明は、上記の事情を考慮してなされたものであり、その目的は、ICカードおよびWebサーバがお互いに正しい相手であるか確認し、ICカードに格納された個人情報のうち必要なものに限定してWebサーバに送信することができる個人情報共有システム、認証局、Webサーバ、耐タンパデバイスおよびプログラムを提供することである。
【課題を解決するための手段】
【0008】
この発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記認証局は、前記Webサーバに対して前記個人情報に対するアクセス権限を設定する手段を備えると共に、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段を備え、前記Webサーバは、前記アクセス権限に基づいて前記クライアントに対し前記個人情報の取得を要求する手段を備え、前記耐タンパデバイスは、前記アクセス権限により取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする個人情報共有システムである。
【0009】
請求項2に記載の発明は、請求項1に記載の個人情報共有システムにおいて、前記認証局は、前記Webサーバと前記耐タンパデバイスとの相互認証に用いる鍵情報を発行する手段をさらに備え、前記Webサーバおよび前記耐タンパデバイスは、それぞれが生成した乱数を前記鍵情報を用いて暗号化した情報に基づいて相互に認証を行う手段をさらに備えることを特徴とする。
【0010】
請求項3に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記認証局であって、前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバに対して設定する手段と、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段とを備えることを特徴とする認証局である。
【0011】
請求項4に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記Webサーバであって、前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する手段を備えることを特徴とするWebサーバである。
【0012】
請求項5に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記耐タンパデバイスであって、前記認証局によって前記Webサーバに対して設定されたアクセス権限に基づいて取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする耐タンパデバイスである。
【0013】
請求項6に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記認証局のコンピュータに、前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバ対して設定する処理と、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する処理とを実行させるためのプログラムである。
【0014】
請求項7に記載の発明は、ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、前記Webサーバのコンピュータに、前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する処理を実行させるためのプログラムである。
【発明の効果】
【0015】
この発明によれば、CAによってWebサーバごとに設定された権限レベルに応じて、Webサーバへ送信されるユーザの個人情報が限定されるので、ユーザは不要な個人情報を送信することがなくなり、また、Webサーバによる権限レベルを越えた個人情報の取得を防止することができる。
また、個人情報を格納する耐タンパデバイスとWebサーバが相互認証を行うので、ユーザの個人情報が不正な相手に送信されたり、不正な耐タンパデバイスから虚偽の個人情報がWebサーバへ送信されたりすることが防止される。
【発明を実施するための最良の形態】
【0016】
以下、図面を参照し、この発明の実施の形態について説明する。図1はこの発明の一実施の形態による個人情報共有システムの構成を示すブロック図である。
図1において、WebサーバA10、WebサーバB20は、ユーザから個人情報の提供を受けて電子商取引を行うWebサーバである。WebサーバA10、WebサーバB20は、PC50から例えば商品やサービスの申し込みを受け付ける機能を有する。
CA(認証局)30は、WebサーバA10、WebサーバB20にマスター鍵と証明書を発行する機能を有する。また、CA30は、PC50を経由してICカード52にユーザの個人情報、マスター鍵、証明書を格納する機能を有する。
ネットワーク40は、例えば、インターネットである。
PC50はWebサーバのクライアントであり、ICカードリーダライタ51が接続され、ICカードリーダライタ51はパソコンからの指示に従ってICカード52から情報を読み出したり、ICカード52に情報を書き込んだりする。ICカード52とICカードリーダライタ51の間の通信方式は接触式でも、非接触式でもよい。
【0017】
次に図2を参照して、このシステムによる処理の手順を説明する。
ステップS201からステップS204は、WebサーバA10およびWebサーバB20がユーザのICカード52から個人情報の提供を受けて、商品やサービスの申し込みを受け付ける前に、WebサーバA10、WebサーバB20とCA30との間で行われる手順である。
WebサーバA10の運営者はCA30の運営者に契約を申し込み、契約を結ぶ(ステップS201)。CA30は、マスター鍵と、WebサーバA10を認証する証明書であって、契約の際に決定したWebサーバA10の権限レベルが記載された証明書とをWebサーバA10へ送付する(ステップS202)。証明書にはWebサーバA10の権限レベルの他にWebサーバA10の公開鍵が格納されている。公開鍵で暗号化された情報を復号化するときに使用する秘密鍵はWebサーバA10に格納されている。マスター鍵は、契約しているWebサーバあるいは契約しているユーザに対してCA30から与えられる同一の暗号鍵である。
同様に、WebサーバB20の運営者はCA30の運営者に契約を申し込み、契約を結ぶ(ステップS203)。CA30は、マスター鍵と、WebサーバB20を認証する証明書であって、契約の際に決定したWebサーバB20の権限レベルが記載された証明書とをWebサーバB20へ送付する(ステップS204)。
【0018】
S205からS208は、ユーザがICカード52に個人情報が登録されていない状態でWebサーバA10にアクセスし、WebサーバA10からの指示でCA30にアクセスして、ICカード52に個人情報を登録し、マスター鍵と証明書の送信を受ける手順を示す。ステップS205からS208の手順によりICカード52に個人情報が登録されると、登録済みフラグがセットされる。ICカード52に個人情報が登録されていない場合は、登録済みフラグはセットされていない。
ユーザはPC50に接続されたICカードリーダライタ51にICカード52をセットし、WebサーバA10にアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行う(ステップS205)。例えば、WebサーバA10において商品を購入するために個人情報の入力が必要となったような場合である。するとWebサーバA10はネットワーク40、PC50、ICカードリーダライタ51を経由して、ICカード52に登録済みフラグがセットされているかチェックを行う。ここでは登録済みフラグがセットされていないので、WebサーバA10はユーザに対して、CA30にアクセスして個人情報の登録を行うように指示する(ステップ206)。具体的には、例えば、CA30にアクセスして、このシステムによる個人情報共有のサービスへの参加を申し込むようPC50の画面に表示を行う。ユーザはCA30にアクセスし、このサービスへの参加(このサービスの利用契約)を申し込む操作を行う(ステップS207)。ここで例えばユーザはPC50において個人情報を入力しCA30に送信する。ユーザからの申し込みに対して、ユーザとCA30の間で契約が成立すると、CA30からネットワーク40、PC50、ICカードリーダライタ51を経由して、個人情報、マスター鍵、証明書がICカード52に格納され(ステップS208)、登録済みフラグがセットされる。ここで、個人情報は、図6に示すような形式の対応テーブルとしてICカード52に格納される。ユーザの個人情報はICカード52にのみ格納され、CA30およびPC50から消去される。
【0019】
ここで、対応テーブルについて説明する。例えば、図5に示すように6項目の個人情報が存在するとする。WebサーバはCA30との契約の際にレベル1、レベル2、レベル3のように権限レベルを決定する。図5は、権限レベルと当該権限レベルによりWebサーバに取得を許可する個人情報項目の対応の例を示す。権限レベルがレベル1のWebサーバは、ICカード52に格納されている「氏名」と「年齢」だけしか取得できない。権限レベルがレベル2のWebサーバは、ICカード52に格納されている「氏名」、「年齢」に加え、「住所」「電話番号」も取得できる。権限レベルがレベル3のWebサーバは図5の全ての情報を取得できる。
図6は上記の権限レベルと個人情報項目の対応、および、項目ごとのユーザの個人情報を格納したものである。図6に示すように、Level(権限レベル)、Attribute(個人情報の項目(属性))、Value(ユーザの個人情報の内容(値))の形式で情報が格納されており、この対応テーブルを参照して権限レベルに応じた個人情報が選択される。具体的には、権限レベルがレベル1のWebサーバは、Levelの欄の値が「0001」の個人情報のみ取得できる。権限レベルがレベル2のWebサーバは、Levelの欄の値が2以下、すなわち、「0001」および「0002」の個人情報を取得できる。権限レベルがレベル3のWebサーバは、Levelの欄の値が3以下、すなわち「0001」、「002」、「0003」の個人情報となるので、図6のすべての個人情報を取得できる。
【0020】
図2のS209とS210は、ICカード52に登録済みフラグがセットされた状態で、ICカード52を所有するユーザがWebサーバB20にアクセスし、WebサーバB20がICカード52からユーザの個人情報を取得する手順を示す。ユーザはWebサーバB20にアクセスし、個人情報の入力を指示する(ステップS209)。例えば、WebサーバB20において商品を購入するために個人情報の入力が必要となったような場合である。これに対し、WebサーバB20はネットワーク40、PC50、ICカードリーダライタ51を経由して、ICカード52に登録済みフラグがセットされているかチェックを行う。ここでは、ICカード52に登録済みフラグがセットされているので、WebサーバB20はICカード52へ権限レベルが記載された証明書を送信する(ステップS210)。ICカード52は、対応テーブルに基づいて、Webサーバ20に設定された権限レベルによりWebサーバB20に取得を許可する個人情報をICカードに格納された個人情報から選択してWebサーバB20へ送信する。
【0021】
なお、ユーザが書面で申し込むなどしてCA30からICカード52を取得した時点で、既にICカード52にユーザの個人情報、マスター鍵、証明書が格納され、登録済みフラグがセットされていた場合は、ステップS205からS208の手順は行われない。また、ユーザがICカード52を取得した時点でユーザの個人情報等が格納されていなくても、ユーザがWebサーバへアクセスする前に、CA30にアクセスして個人情報等を格納する処理を行った場合も同様に、ステップS205からS208の手順は行われない。
【0022】
次に図2のステップS205からS210の手順におけるICカード52とWebサーバとの間の動作について図3、図4を参照して説明する。
ユーザがICカードリーダライタ51にICカード52をセットしてWebサーバA10へアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行うと(図2のステップS205)、前述した通りWebサーバA10はネットワーク40、PC50、ICカードリーダライタ51を経由して、このシステムによる個人情報共有のサービスに関連する情報がICカード52に格納されているか判定する(ステップS301)。この判定は、例えば、ICカード52内に登録済みフラグがセットされているか否か判定することにより行う。登録済みフラグは個人情報等をICカード52に格納したときにセットされる。登録済みフラグがセットされていなければステップS301の判定結果は「NO」となるので、ステップS307へ進む。ステップS307での動作は図2のステップS206からステップS208における動作と同じである。
【0023】
ステップS301の判定結果が「YES」となる場合、すなわち、ICカード52内に登録済みフラグがセットされている場合は、ステップS302へ進む。ここでステップS302からS305の動作について図4を参照して詳細に説明する。
ステップS202、S204、S208の説明で述べた通り、WebサーバA10、WebサーバB20、ICカード52には共通のマスター鍵(Menc)が格納されている。ここでは、WebサーバA10とICカード52の間の動作について説明するが、WebサーバB20とICカード52の間の動作も同様である。
【0024】
まず、ICカード52とWebサーバA10はセッションを張る(図3のステップS302)。具体的には、WebサーバA10はサーバ乱数(Srnd)を生成し、ICカード52に送信する(ステップS401)。ICカード52はカード乱数(Crnd)を生成し、これとWebサーバA10から受け取ったSrndを一つの乱数列に結合しMenc(マスター鍵)で暗号化してSenc(セッション鍵)を生成する。そしてCrndとE(Senc,Crnd)(CrndをSencで暗号化したもの)をWebサーバA10へ送信する(ステップS402)。WebサーバA10は、ステップS402と同様に、受け取ったCrndと Srndを一つの乱数列に結合しMencで暗号化してSencを生成し、ICカード52から受け取ったE(Senc,Crnd)をSencで復号化して得られたものがCrndと一致するか確認する。一致すればICカード52がWebサーバA10と同一のMencを持っていることになるので、CA30と正しく契約したICカードである(図2のステップS207、S208の手順を正しく行ったICカードである)ことが確認できるので、ICカード52が認証される。一致しない場合はICカード52が正しいMencを持っていないことになり、ICカード52はCA30と正しく契約したICカードでないことが確認できるので、処理を終了する。
【0025】
次に、WebサーバA10はE(Senc,Crnd|Srnd)(CrndとSrndを一つの乱数列に結合し、Sencで暗号化したもの)を生成し、ICカード52へ送信する(ステップS403)。
ICカード52はWebサーバA10から受け取ったE(Senc,Crnd|Srnd)を復号化し、自分が保持しているCrnd、Srndと一致するか確認する。前述の通りSencはSrndとCrndをMencで暗号化して生成されるので、一致すればICカード52がWebサーバA10と同一のMencを持っていることになり、CA30と正しく契約したWebサーバである(図2のステップS201、S202の手順を正しく行ったWebサーバである)ことが確認できるので、WebサーバA10が認証される。このとき、ICカード52はOK応答をWebサーバA10へ送信する。一方、一致しない場合はWebサーバA10が正しいMencを持っていないことになり、WebサーバA10はCA30と正しく契約していないことが確認できるので、処理を終了する。
【0026】
次に、WebサーバA10は、自分の証明書(図4のSpubはWebサーバA10の公開鍵を表す)をICカード52に送信する(ステップS303、ステップS405)。ICカード52は受け取ったWebサーバA10の証明書に記載されている権限レベルに応じて、前述のようにWebサーバA10に送信すべき個人情報を選択し(図4のCcntは選択された個人情報を表す)(ステップS304、S406)、選択された情報をWebサーバA10の公開鍵で暗号化し(図4のE(Spub, Ccnt)はCcntをSpubで暗号化したものを表す)、WebサーバA10へ送信する(ステップS305、S406)。暗号化された情報はWebサーバA10が持つ秘密鍵でしか復号化できないので、ICカード52からWebサーバA10へ送信される間に個人情報が漏洩することはない。
【0027】
上記ではユーザがICカード52を使用してWebサーバA10へアクセスし、ICカード52を取得してからはじめて個人情報の入力が必要となる操作を行った場合の動作を説明したが、ユーザがWebサーバへアクセスする前にCA30へアクセスして個人情報等をICカード52に格納する操作を行った場合の動作は次の通りである。
ユーザがICカードリーダライタ51にICカード52をセットしてCA30へアクセスし、個人情報等をICカード52に格納する操作を行うと、CA30はネットワーク40、PC50、ICカードリーダライタ51を経由して、このシステムによる個人情報共有のサービスに関連する情報がICカード52に格納されているか判定を行う(ステップS306)。この判定は、例えば、ICカード52内に登録済みフラグがセットされているか否か判定することにより行う。判定結果が「NO」の場合はステップS307へ進む。ステップS307での動作は図2のステップS206からステップS208における動作と同じである。ステップS306の判定結果が「YES」の場合は、処理は必要ないので終了する。
【0028】
なお、上記の実施例では個人情報等をICカード52に格納したが、その他の耐タンパデバイスあるいは耐タンパデバイスを組み込んだ装置であれば、携帯情報端末、可搬型メモリ、その他の装置に格納してもよい。
【0029】
なお、上記のWebサーバA10、WebサーバB20、ICカード52は、内部にコンピュータシステムを有している。そして、上記のWebサーバA10、WebサーバB20、ICカード52の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含むものである。
【0030】
また、「コンピュータ読み取り可能な記録媒体」とは、ROMの他に、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のシステムやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0031】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【産業上の利用可能性】
【0032】
ネットワークに接続された複数のWebサーバで個人情報を安全に共有する個人情報共有システムに用いられる。
【図面の簡単な説明】
【0033】
【図1】この発明の実施形態による個人情報共有システムの構成を示すブロック図である。
【図2】図1の個人情報共有システムにおける手順を説明するためのシーケンス図である。
【図3】図2のシーケンス図における手順を詳細に説明するためのフローチャートである。
【図4】図2のシーケンス図における手順を詳細に説明するためのシーケンス図である。
【図5】権限レベルとWebサーバの取得が許可される個人情報との対応を例示するための図である。
【図6】ICカード52に格納される対応テーブルを例示するための図である。
【図7】従来の個人情報共有システムの構成を示すブロック図である。
【特許請求の範囲】
【請求項1】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記認証局は、前記Webサーバに対して前記個人情報に対するアクセス権限を設定する手段を備えると共に、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段を備え、
前記Webサーバは、前記アクセス権限に基づいて前記クライアントに対し前記個人情報の取得を要求する手段を備え、
前記耐タンパデバイスは、前記アクセス権限により取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする個人情報共有システム。
【請求項2】
前記認証局は、前記Webサーバと前記耐タンパデバイスとの相互認証に用いる鍵情報を発行する手段をさらに備え、
前記Webサーバおよび前記耐タンパデバイスは、それぞれが生成した乱数を前記鍵情報を用いて暗号化した情報に基づいて相互に認証を行う手段をさらに備えることを特徴とする請求項1に記載の個人情報共有システム。
【請求項3】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記認証局であって、
前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバに対して設定する手段と、
前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段と、
を備えることを特徴とする認証局。
【請求項4】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記Webサーバであって、
前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する手段を備えることを特徴とするWebサーバ。
【請求項5】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記耐タンパデバイスであって、
前記認証局によって前記Webサーバに対して設定されたアクセス権限に基づいて取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする耐タンパデバイス。
【請求項6】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記認証局のコンピュータに、
前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバ対して設定する処理と、
前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する処理と、
を実行させるためのプログラム。
【請求項7】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記Webサーバのコンピュータに、
前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する処理を実行させるためのプログラム。
【請求項1】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記認証局は、前記Webサーバに対して前記個人情報に対するアクセス権限を設定する手段を備えると共に、前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段を備え、
前記Webサーバは、前記アクセス権限に基づいて前記クライアントに対し前記個人情報の取得を要求する手段を備え、
前記耐タンパデバイスは、前記アクセス権限により取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする個人情報共有システム。
【請求項2】
前記認証局は、前記Webサーバと前記耐タンパデバイスとの相互認証に用いる鍵情報を発行する手段をさらに備え、
前記Webサーバおよび前記耐タンパデバイスは、それぞれが生成した乱数を前記鍵情報を用いて暗号化した情報に基づいて相互に認証を行う手段をさらに備えることを特徴とする請求項1に記載の個人情報共有システム。
【請求項3】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記認証局であって、
前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバに対して設定する手段と、
前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する手段と、
を備えることを特徴とする認証局。
【請求項4】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記Webサーバであって、
前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する手段を備えることを特徴とするWebサーバ。
【請求項5】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおける前記耐タンパデバイスであって、
前記認証局によって前記Webサーバに対して設定されたアクセス権限に基づいて取得が許可される個人情報を選択して前記Webサーバへ送信する手段を備えることを特徴とする耐タンパデバイス。
【請求項6】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記認証局のコンピュータに、
前記Webサーバにおいて前記個人情報の取得を要求するときに使用され、前記耐タンパデバイスにおいて取得が許可される個人情報を選択するときに使用されるアクセス権限を、前記Webサーバ対して設定する処理と、
前記クライアントから送信された前記個人情報について段階的アクセス権限を設定する処理と、
を実行させるためのプログラム。
【請求項7】
ネットワークに接続された認証局と複数のWebサーバと個人情報が格納された耐タンパデバイスが組み込まれたクライアントから構成される個人情報共有システムにおいて、
前記Webサーバのコンピュータに、
前記認証局によって設定されたアクセス権限に基づいて前記個人情報の取得を要求する処理を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−58954(P2006−58954A)
【公開日】平成18年3月2日(2006.3.2)
【国際特許分類】
【出願番号】特願2004−237308(P2004−237308)
【出願日】平成16年8月17日(2004.8.17)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
【公開日】平成18年3月2日(2006.3.2)
【国際特許分類】
【出願日】平成16年8月17日(2004.8.17)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
[ Back to top ]