匿名認証方法
【課題】会員制コミュニティーにおいて、被認証者(会員)の匿名性を確保しつつ、必要に応じ匿名性を剥奪できる匿名認証を実現する。
【解決手段】被認証者装置は、被認証者の個人情報を管理者装置に送信する。これを受けた管理者装置は、被認証者に対する認証情報を生成し、被認証者装置にその認証情報を送付する。次に被認証装置は第三者装置に対し前記認証情報を与える。第三者装置は、新しい認証情報を作成し、被認証装置とコミュニティーを運営する運営者装置とに前記新しい認証情報を送付する。被認証者は、被認証者装置を用いては、新しい認証情報で運営者装置にアクセスすることで匿名性が保たれる。また、匿名性を剥奪する必要がある場合には、認証情報、管理者装置の個人情報より個人が特定され匿名性が剥奪される。
【解決手段】被認証者装置は、被認証者の個人情報を管理者装置に送信する。これを受けた管理者装置は、被認証者に対する認証情報を生成し、被認証者装置にその認証情報を送付する。次に被認証装置は第三者装置に対し前記認証情報を与える。第三者装置は、新しい認証情報を作成し、被認証装置とコミュニティーを運営する運営者装置とに前記新しい認証情報を送付する。被認証者は、被認証者装置を用いては、新しい認証情報で運営者装置にアクセスすることで匿名性が保たれる。また、匿名性を剥奪する必要がある場合には、認証情報、管理者装置の個人情報より個人が特定され匿名性が剥奪される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、会員制のコミュニティーにおける匿名認証方法に関し、詳しくは、被認証者の匿名性を確保しつつ、必要に応じて匿名性を剥奪できる匿名認証方法に関する。
【背景技術】
【0002】
現在の会員制のコミュニティーや、インターネットなどのネットワークに存在している会員制のコミュニティーの多くは、被認証者がコミュニティーヘの会員登録をする際に、被認証者は自らの個人情報をコミュニティーの運営者に送信し、それを受けた運営者はその個人情報との対応付けを行ったIDとパスワードを発行し、IDとパスワードを被認証者に渡す、といった方法が一般的である(例えば、非特許文献1参照)。被認証者がコミュニティーに参加する際には、被認証者がこれらIDとパスワードを入力し、コミュニティーの運営者はそのIDとパスワードを確認し、運営者が発行したものと共に一致すれば被認証者を認証し、コミュニティーヘの参加を許可する。
【0003】
一方、このような会員制のコミュニティーにおいて、被認証者の匿名性を高めるための施策として、被認証者がコミュニティーヘの会員登録をする際に、被認証者は自らの個人情報をコミュニティーの運営者に送信し、それを受けた運営者はコミュニティーの会員全員と同一のIDとパスワードを被認証者に渡す、といった方法が考えられる。被認証者が認証を受ける際には、被認証者が会員同一のパスワードを入力し、運営者はそのパスワードを確認し、コミュニティーヘの参加を許可する。
【非特許文献1】長原宏治監訳:インターネット・エキサイティングテクノロジーシリーズ「インターネットセキュリティ」(株式会社インプレス、1997年2月21日)
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在まで知られているIDとパスワードを用いた認証においては、被認証者がコミュニティーヘの会員登録の際に自らの個人情報を運営者に送信し、それに基づいて運営者がIDとパスワードを発行するため、被認証者がコミュニティーに参加したことが運営者に知られ、被認証者の匿名性はコミュニティーの運営者に対しては保護されていないと言える。このような匿名性が運営者に対しては確保されていないID、パスワードによる認証では、そのコミュニティーに所属、もしくは参加しているという事実が個人のプライバシーに大きく関わる場合、そのID、パスワードを保持する運営者には情報漏洩対策など様々な負担がかかり、また被認証者にとっては運営者が参加している事を知りうる状態であることは望ましくない。
【0005】
逆に匿名性を考慮するために同一のパスワードを用いた場合は、被認証者の誰かがコミュニティーに参加したことだけしか運営者には分からない。そのために顕在化する弊害としては、被認証者の振る舞いがコミュニティーの規約によって個人を特定されるべき行為(以下、匿名性剥奪対象行為)であったとしても、管理者は被認証者を特定することが出来ない事が挙げられる。さらに被認証者の振る舞いがコミュニティーの規約によってコミュニティーから除外されるべき行為(以下、除外対象行為)であったとしても、運営者は個人を特定できないためにコミュニティーから除外する方法がなく、これも運営者にとって運用上不便であると考えられる。
【0006】
また、同一のパスワードを用いる認証においては、複数回の認証に対して、それが同一の被認証者の行為である事を確かめることが出来ない。このことによって、営利目的のコミュニティーにおいては特に重要であると考えられるリピーターに関する情報を運営者が取得することができないことも運用上のデメリットである。このリピーターに関する情報は、例えばコミュニティーの規約外の利用を行う複数の被認証者が同一の者であることを確認し、それをもってコミュニティーからの除外を決めるその判断基準として利用することが可能である。
【0007】
以上の理由から、運営者に対しても被認証者の匿名性を保ちつつ、複数の匿名認証の同一性を確認できる、また必要に応じて被認証者を特定、もしくはコミュニティーから除外できる認証方式は重要であると考えられる。
【0008】
前述の課題を解決するために、本発明は、被認証者の匿名性を保ったまま、運営者が複数の匿名認証の同一性の検証とコミュニティーからの除外ができ、さらに、第三者と管理者の合意協力により被認証者の匿名性の剥奪やコミュニティーからの除外ができる匿名認証方法を提供することにある。
【0009】
具体的には、特に電子署名や公開鍵暗号といったセキュリティ技術を用いずとも、従来のIDやパスワードといった簡単なものを用いても実現できる、被認証者と運営者の他に第三者と管理者を介在させることによる匿名認証方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明は、コミュニティーに属するユーザ(以下、被認証者)が操作する被認証者装置、コミュニティーの運営者が操作する運営者装置、被認証者の個人情報を管理する管理者が操作する管理者装置、及び、第三者が操作する第三者装置を備える。被認証者装置は、被認証者の個人情報を管理者装置に送付する。これを受けて管理者装置は、被認証者に対して、該被認証者の認証に必要な情報(以下、認証情報)CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶しておく。被認証者装置は、前記管理装置が発行した認証情報CIを第三者装置に送付する。これを受けて、第三者装置は、被認証者をコミュニティーの会員と見なし、該被認証者に対して新しい認証情報CINを発行すると共に、該認証情報CINと認証情報CIとの対応を記憶し、さらに、コミュニティー運営者の運営者装置に認証情報CINを送付する。被認証者装置は認証情報CINを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なす。
【0011】
一方、被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINを第三者装置に送付し、第三者装置は該認証情報CINに対応する認証情報CIを管理者装置に送付し、管理者装置は該認証情報CIに対応する個人情報により被認証者を特定する。また、運営者装置は、被認証者装置から同じ認証情報CINを複数回受け取ることで、被認証者の同一性を検証する。
【0012】
また、本発明は、被認証者装置、運営者装置、管理者装置、及び、複数の第三者装置を備える。被認証者装置は、被認証者の個人情報を管理者装置に送付する。これを受けて管理者装置は、被認証者に対して認証情報CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶する。被認証者装置は認証情報CIを1番目の第三者装置に送付する。1番目の第三者装置は、被認証者装置から認証情報CIを受けて、被認証者に対して認証情報CIN1を発行すると共にCIN1とCIの対応を記憶し、2番目の第三者装置にCIN1を送付する。2番目の第三者装置は、被認証者装置からCIN1を受けて、被認証者に対して認証情報CIN2を発行すると共にCIN2とCIN1の対応を記憶し、3番目の第三者装置にCIN2を送付する。以下同様の処理を繰り返し、最後のn番目の第三者装置は、被認証者装置からCINn-1を受けて、被認証者に対して認証情報CINnを発行すると共にCINnとCINn-1の対応を記憶し、運営者装置に認証情報CINnを送付する。被認証者装置は認証情報CINnを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なす。
【0013】
一方、被認証者装置を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINnをn番目の第三者装置に送付する。n番目の第三者装置はCINnに対応するCINn-1をn−1番目の第三者装置に送付する。以下、同様の処理を繰り返し、1番目の第三者装置が2番目の第三者装置からCIN1を受け取ると、該CIN1に対応するCIを管理者装置に送付する。管理者装置は、該CIに対応する個人情報により被認証者を特定する。
【0014】
運営者装置は、被認証者装置から同じ認証情報CINnを複数回受け取ることで、被認証者の同一性を検証する。
【発明の効果】
【0015】
本発明の匿名認証方法によれば、コミュニティーの規約に沿った利用を行っている限りにおいては、運営者のみならず、第三者や管理者に対しても被認証者の匿名性を確保することが出来る。また被認証者のプライバシーを守ることが出来ると同時に、運営者も自身で個人情報を扱う必要がなくなるため、情報漏洩対策上もメリットは大きい。
【0016】
また匿名性の剥奪の可能性を持たせることにより、コミュニティーの規約外の不正な利用を防止でき、さらに匿名性の剥奪は、例えば情報提供サイトにおいて有力情報に対する報奨金を与える場合などにも適用できるため、運営側のメリットも大きと考えられる。一方、第三者が複数名存在する場合は、匿名性剥奪をするために複数名の第三者の合意協力を得る必要があるため、安易な匿名性剥奪を抑止することが可能になる。
【0017】
また、運営者が被認証者の匿名性を保ったまま、複数の被認証者の同一性を検証できることにより、運営者は営利目的のコミュニティーにおいては特に重要であると考えられるリピーターに関する情報を得ることができる。また、このリピーターに関する情報は、例えばコミュニティーの規約外の利用を行う複数の被認証者が同一の者であることを確認し、それをもってコミュニティーからの除外を決めるといった、判断基準としての利用も可能であると考えられる。
【0018】
さらに運営者は、管理者や第三者に匿名性を剥奪して被認証者の匿名性を剥奪してからコミュニティーの除外を行う他に、運営者単独の権限で匿名のままに被認証者の除外も可能であるため、第三者や管理者による匿名性剥奪の是非の判断を待つ前に被認証者のサービスの利用を停止することができる。
【0019】
本発明の実施例として、ネットワーク上におけるオークションサイトの認証方法とネットワーク上に限らずともレンタルビデオなどの会員の認証方法を挙げたが、その他にもP2Pネットワークや、匿名掲示板サイト、情報提供サイトなどに適用することも可能である。
【発明を実施するための最良の形態】
【0020】
以下、本発明の実施の形態について図面を用いて詳しく説明する。
〔第1の実施の形態〕
ここでは第1の実施の形態として会員制のコミュニティーとしてネットオークションを想定し、被認証者装置、運営者装置、第三者装置、管理者装置が繋がれたネットワーク上で、被認証者は個別のIDやパスワードPWといった認証に必要な情報(以下、認証情報)を用いてネットオークションサイトの一員であることをオークションサイト管理者に対し証明し、更に被認証者がオークションサイトの利用中に匿名性剥奪対象行為を行った場合、運営者は第三者、管理者に対して、被認証者が匿名性剥奪対象行為を行った事実を証明し、最終的に運営者と第三者と管理者が協力することで被認証者を特定する例について、図1乃至図8を用いて詳細に説明する。
【0021】
第1の実施の形態におけるシステム構成は、図1に示すように、被認証者の個人情報を管理している管理者11−ik(ただしik=1,・・・,mk)、及び管理者11−ikの操作する管理者装置10−ik、認証情報の中継を行う第三者10001−ik、及び第三者10001−ikの操作する第三者装置10000−ik、幾つかのオークションサイト1010−i0(ただしi0=1,・・・,m0)それぞれに対応した運営者1001−i0及び運営者1001−i0の操作する運営者装置1001−i0、オークションサイト1010−i0(そのURLをURL1010−i0とする)に属する被認証者101−i0−ih(ただしih=1,・・・,mi0)、及び被認証者101−i0−ihの操作する被認証者装置100−i0−ihが存在し、被認証者装置100−i0−ihと運営者装置1000−i0、そして第三者装置10000−ihと管理者装置10−ikはネットワークを通じて接続されている。なお、被認証者101−i0−ihは同時に複数のオークションサイト(コミュニティー)1010に属することも可能であり、同様に、管理者11−ikは複数のオークションサイトに属する被認証者の個人情報を管理することも可能である。
【0022】
以下では、オークションサイト1010−1において、被認証者101−1−1が匿名認証を行う場合を例に挙げて説明する。また、この際の管理者は11−1、第三者は10001−1とする。勿論、以下で示す例はこのオークションサイトのモデルに特化したものではなく、インデックスを適宜変更することで、他のオークションサイトの例と置き換えて見ることができる。図2乃至図5に被認証者装置100−1−1、運営者装置1000−1、第三者装置10000−1及び管理者装置10−1の主要構成要素をそれぞれ示す。
【0023】
先ず、認証の際の事前処理(会員登録処理)について説明する。図6は本実施の形態の事前処理シーケンス例を示している。
【0024】
(事前処理1)
被認証者101−1−1は、被認証者装置100−1−1を用いて自らの個人情報M101−1−1(氏名、年齢、住所、銀行口座、その他)を個人情報管理者11−1の操作する管理者装置10−1に送信し、被認証者装置100−1−1の具備する記憶部103−1−1に個人情報M101−1−1を記憶しておく。なお、被認証者装置100−1−1の記憶部103−1−1にあらかじめ個人情報M101−1−1を記憶しておき、これを読み出して管理装置10−1に送信することでもよい。
【0025】
被認証者装置100−1−1から個人情報M101−1−1を受け取った管理者装置10−1は、被認証者装置100−1−1に対する個別のIDとパスワードPWからなる認証情報CI101−1−1を自身の具備する認証情報生成部12−1により生成する。なお、IDはオークションサイト1010−1の会員全員と同一のIDとすることでもよい。管理者11−1は、この生成された認証情報CI101−1−1を被認証者101−1−1に与える。被認証者101−1−1に認証情報CI101−1−1を与える方法は、例えば電子メールにより管理者装置10−1から被認証者装置100−1−1へ送るとしても良いが、セキュリティの観点から、認証情報記載部分に保護シールの付いた、認証情報が記載された用紙SHEET101−1−1を管理者11−1から被認証者101−1−1へ直接手渡す、または暗号機能付電子メールを用いる等の配慮を行うことが望ましい。ここでは当該用紙SHEET101−1−1を直接手渡すとして話を進める。
【0026】
管理者11−1は第三者10001−1に対しても被認証者101−1−1の認証情報CI101−1−1を与える。また、管理者11−1は、この認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1との対応付けのされたリストL11−1を管理者装置10−1の具備する記憶部13−1に記憶しておく。
【0027】
(事前処理2)
その後、被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1に対し認証情報CI101−1−1を入力する。これにより、第三者装置10000−1は、被認証者101−1−1をオークションサイト1010−1の会員と見なし、第三者装置10000−1の具備する認証情報生成部10002−1により、新しい認証情報CIN101−1−1を生成し、被認証者装置100−1−1に与える。また、第三者装置10000−1は、新しい認証情報CIN101−1−1と管理者の発行した認証情報CI101−1−1とが対応付けされたリストL10001−1を第三者装置10000−1の具備する記憶部10003−1に記憶しておく。このとき同時に、第三者装置10000−1は運営者装置1000−1に対しても認証情報CIN101−1−1を与える。認証情報CIN101−1−1を受け取った運営者装置1000−1は、これをリストL1001−1として自身の具備する記憶部1003−1に記憶しておく。
【0028】
次に、認証処理の流れについて説明する。図7は認証処理の通常の処理シーケンスを示している。
【0029】
被認証者101−1−1は、運営者1001−1の提供するオークションサイト1010−1用のWebページを閲覧するために、被認証者装置100−1−1のWebブラウザ102−1−1を操作して、オークションサイト1010−1のURL1010−1に対応する運営者装置1000−1のWebページ情報格納部1002−1にアクセスする。このWebページでは、先ず認証処理が行われ、被認証者101−1−1は、被認証者装置100−1−1により認証情報CIN101−1−1を入力する。なお、第三者装置10000−1が発行した認証情報CIN101−1−1を被認証者装置100−1−1の具備する記憶部103−1−1に記憶しておき、被認証者101−1−1の操作に応じて、被認証者装置100−1−1がCIN101−1−1を記憶部103−1−1から読み出して運営者装置1000−1に送付するようにしてもよい。
【0030】
運営者装置1000−1は、被認証者装置100−1−1から送付された認証情報CIN101−1−1について、自身の具備する記憶部1003−1に記憶されているリストL1001−1のCIN101−1−1とパスワードを照合することで、被認証者101−1−1をオークションサイト1010−1内の者と見なし、被認証者101−1−1に対してオークションサイト1010−1用のWebページを閲覧することを許可する。
【0031】
ここで、運営者装置1000−1を操作する運営者1001−1は、リストCI1001−1の認証情報CIN101−1−1からはオークションサイト1010−1内の被認証者までを特定することが出来ず、また、認証情報CIN101−1−1を生成した第三者装置10000−1を操作する第三者10001−1と、認証情報CI101−1−1を生成した管理者装置10−1を操作する管理者11−1は、一般に被認証者101−1−1のアクセス事実を知らないため、運営者1001−1、第三者10001−1、管理者11−1の三者に対して被認証者101−1−1の匿名性が確保される。
【0032】
次に、被認証者101−1−1は匿名性剥奪対象行為を行った者であるとして、管理者11−1と運営者1001−1と第三者10001−1が協力して被認証者101−1−1を特定するための手続きを説明する。図8は匿名の被認証者101−1−1を特定する手続きの処理シーケンス例を示している。
【0033】
匿名の被認証者が匿名性剥奪対象行為を行ったと判断した運営者1001−1は、運営者装置1000−1により、被認証者101−1−1の認証情報CIN101−1−1を記憶部1003−1に記憶されたリストL1001−1より取り出し、第三者10001−1に提示する。これを受けて、匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した第三者10001−1は、第三者装置10000−1の記憶部10003−1に格納されたリストL10001−1を閲覧し、管理者から与えられた認証情報CI101−1−1との照合を行う。そして、第三者10001−1は、認証情報CIN101−1−1と対の認証情報CI101−1−1を管理者11−1に提示する。管理者11−1は、管理者装置10−1の具備する記憶部13−1に記憶されたリストLl1−1を閲覧し、パスワードPWと照合することで、被認証者101−1−1を特定することが出来る。
【0034】
以上のように、オークションサイト内の匿名の被認証者を特定するためには、運営者、第三者、管理者の三者が合意協力する必要がある。例えば、運営者1001−1と第三者10001−1の二者のみが合意協力した場合は、第三者装置10001の記憶部に記憶された1リストL10001−1を用いて、被認証者101−1−1の認証情報CIN101−1−1が認証情報CI101−1−1に対応している、ことまでは照合できるが、管理者装置10−1の記憶部13−1に記憶されている認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1−1を対応付けるリストL11−1を用いることが出来ないため、被認証者101−1−1を特定することが出来ない。また、運営者1001−1と管理者11−1の二者のみが合意協力した場合は、被認証者101−1−1が認証情報CIN101−1−1を用いて、運営者装置1000−1のWebページ情報格納部にアクセスしてきたことは分かるが、管理者装置10−1のリストL11−1では認証情報CI101−1−1と被認証者101−1−1の対応しか証明できないため、被認証者101−1−1を特定することが出来ない。また、第三者10001−1と管理者11−1の二者のみが合意協力した場合は、二者共に被認証者101−1−1のアクセス事実を知らないため、被認証者101−1−1を特定することが出来ない。このように、管理者、第三者、認証者の三者のうち二者の合意協力では被認証者を特定することはできず、三者の合意協力が必要となるため、匿名性の解除の可能性を持たせることで不正な利用の抑止効果を保ったまま、安易な匿名性の解除も防止することが出来る。
【0035】
次に、被認証者101−1−1が複数回にわたって匿名認証している場合を考える。このとき被認証者101−1−1の用いる認証情報CIN101−1−1は常に同一であるため、運営者は認証情報CIN101−1−1を運営者装置1000−1に記憶しておくことによって同一性検証可能である。また、このCIN101−1−1を用いて行われる認証を許可しないことにより、匿名のままで被認証者101−1−1をコミュニティーから排除することができる。一方、運営者のみでの同一性検証を不可能にするためには、再度(事前処理1)と(事前処理2)のように管理者と第三者から新たな認証情報CI101−1−1′と認証情報CIN101−1−1′を得る、もしくは(事前処理2)だけを行って認証情報CIN101−1−1′を得ても可能である。前者では、同一性検証するためには運営者と管理者と第三者の三者が協力する必要があり、また後者では、運営者と第三者が協力する必要がある。
【0036】
〔第2の実施の形態〕
ここでは第2の実施の形態として、被認証者装置、運営者装置、複数の第三者装置、管理者装置は必ずしもネットワークに繋がれていない状態を想定し、被認証者は認証情報をICカードや携帯電話などに格納し、これ用いてレンタルビデオ店の会員であることをレンタルビデオ店の管理者に対し証明し、更に被認証者がレンタルビデオ店の利用中にレンタルビデオの長期にわたる返却遅延などの匿名性剥奪対象行為を行った場合、運営者は複数名の第三者と管理者に対して、被認証者が匿名性剥奪対象行為を行った事実を証明し、最終的に運営者と複数名の第三者と管理者が協力することで被認証者を特定する例について、図9乃至図16を用いて詳細に説明する。
【0037】
第2の実施の形態におけるシステム構成は、図9に示すように、被認証者の個人情報を管理している管理者11−ik(ただし、ik=1,…,mk)、及び管理者11−ikの操作する管理者装置10−ik、認証情報の中継を行う複数名の第三者10001−ik−id(ただしid=1,…,mik)、及び第三者10001−ik−idの操作する第三者装置10000−ik−id、第三者10001−ik−idと管理者11−ikとが提供する認証システムを利用する幾つかのレンタルビデオ店1010−i0(ただし、i0=1,…,m0)とそれぞれのレンタルビデオ店1010−i0に対応した運営者1001−i0及び運営者1001−i0の操作する運営者装置1000−i0、レンタルビデオ店1010−i0の会員である被認証者101−i0−ih(ただし、ih=1,…,mi0)、及び被認証者101−i0−ihの操作する被認証者装置100−i0−ihが存在している。
【0038】
以下では、レンタルビデオ店1010−1において、被認証者101−1−1が被認証者装置100−1−1を用いて匿名認証を行う場合を例に挙げて説明する。またこの際の管理者及び管理者装置は11−1及び10−1、第三者及び第三者装置は10001−1-id及び10000−1−id(ただし、id=1,…,mik)とする。勿論、以下で示す例はこのレンタルビデオ店のモデルに特化したものではなく、インデックスを適宜変更することで、他のレンタルビデオ店の例と置き換えて見ることが出来る。図10乃至図13に被認証者装置100−1−1、運営者装置1000−1、第三者装置10000−1−id及び管理者装置10−1の主要構成要素をそれぞれ示す。
【0039】
先ず、認証の際の事前処理(会員登録処理)について説明する。図13は、本実施の形態の事前処理シーケンス例を示している。
【0040】
(事前処理3)
被認証者101−1−1は、被認証者装置100−1−1を用いて自らの個人情報M101−1−1(氏名、年齢、住所、銀行口座、その他)を個人情報管理者11−1の操作する管理者装置10−1に送信する。この時、被認証者装置100−1−1は、自身の具備する記憶部103−1−1に個人情報M101−1−1を記憶しておく。被認証者装置100−1−1から個人情報M101−1−1を受け取った管理者装置10−1は、被認証者101−1−1に対する個別のIDやパスワードといった認証に必要な情報(認証情報)CI101−1−1を自身の具備する認証情報生成部20−1により生成する。本実施の形態においても、IDはレンタルビデオ店1010−1の会員全員と同一のIDとすることでもよい。管理者11−1は、生成された認証情報CI101−1−1を被認証者101−1−1に与える。この与える方法は、例えば電子メールにより管理者装置10−1から被認証者装置100−1−1へ送るとしても良いが、セキュリティの観点から、認証情報記載部分に保護シールの付いた、認証情報が記載された用紙SHEET101−1−1を管理者11−1から被認証者101−1−1へ直接手渡す、または暗号機能付電子メールを用いる等の配慮を行うことが望ましい。ここでは当該用紙SHEET101−1−1を直接手渡すとして話を進める。管理者11−1は、第三者10001−1−1に対しても被認証者101−1−1の認証情報CI101−1−1を与える。また、管理者11−1は、認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1−1との対応付けのされたリストLll−1を管理者装置10−1の具備する記憶部13−1に記憶しておく。
【0041】
(事前処理4)
その後、被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1−1に対し認証情報CI101−1−1を入力する。これにより第三者装置10000−1−1は、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10001−1−1の具備する認証情報生成部10002−1−1により、新しい認証情報CIN1101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CIN1101−1−1と管理者の発行した認証情報CI101−1−1とが対応付けされたリストL10001−1−1を第三者装置10001−1−1の具備する記憶部10003−1−1に記憶しておく。このとき同時に、第三者装置10000−1−1は、第三者装置10000−1−2に対しても認証情報CIN1101−1−1を与える。認証情報CIN1101−1−1を受け取った第三者装置10000−1−2は、これを自身の具備する記憶部10003−1−2に記憶しておく。
【0042】
(事前処理5)
次に被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1−2に対し認証情報CIN1101−1−1を入力する。これにより第三者装置10000一1−2は、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10000−1−2の具備する認証情報生成部10002−1−2により、新しい認証情報CIN2101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CIN2101−1−1と第三者装置10000−1−1が発行した認証情報CIN1101−1−1とが対応付けされたリストL10001−1−2を第三者装置10000−1−2の具備する記憶部10003−1−2に記憶しておく。このとき同時に、第三者装置10000−1−2は、第三者装置10000−1−3に対しても認証情報CIN2101−1−1を与える。認証情報CIN2101−1−1を受け取った第三者装置10000−1−3は、これを自身の具備する記憶部10003−1−3に記憶しておく。
【0043】
(事前処理6)
以上の操作を同様にmik回繰り返し、被認証者101−1−1は、被認証者装置100−1−1を介して第三者装置10000−1−mikに対し認証情報CIN(mik−1)101−1−1を入力する。これにより第三者装置10000−1−mikは、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10000−1−mikの具備する認証情報生成部10002−1−mikにより、新しい認証情報CINmik101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CINmik101−1−1と第三者装置10000−1−(mik−1)が発行した認証情報CIN(mik−1)101−1−1とが対応付けされたリストL10001−1−mikを第三者装置10000−1−mikの具備する記憶部10003−1−mikに記憶しておく。このとき同時に、第三者装置10000−1−mikは、運営者装置1000−1に対しても認証情報CINmik101−1−1を与える。認証情報CINmik101−1−1を受け取った運営者装置1000−1は、これをリストL1001−1として自身の具備する記憶部1003−1に記憶しておく。また、被認証者装置100−1−1は与えられたID及び新しい認証情報CINmik101−1−1を自身の具備する記憶部103−1−1に記憶しておく。さらに、被認証者100−1−1は、被認証者装置100−1−1の記憶部103−1−1にアクセスすることにより、ICカードや携帯電話などに認証情報CINmik101−1−1を格納しておく。
【0044】
ここで、複数の第三者装置に対して認証情報を送信する時間を被認証者側でランダムに設定することにより、複数名の第三者装置間で発行された認証情報(パスワード)の繋がりを送信時間によって追跡できないようにする。
【0045】
次に、認証処理の流れについて説明する。図15は認証処理の通常の処理シーケンスを示している。
【0046】
被認証者101−1−1は、運営者1001−1の提供するレンタルビデオ店1010−1から貸し出し等のサービスを受けるために、被認証者装置100−1−1あるいはICカードや携帯電話を用いて、運営者装置1000−1の具備する読み取り器1004−1に対して認証情報CINmik101−1−1を入力して認証を行う。これにより運営者装置1000−1は、自身の具備する記憶部1003−1に記憶されているリストL1001−1と認証情報CINmik101−1−1を照合することで、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、被認証者101−1−1に対してレンタルビデオ店1010−1から貸し出し等のサービスを受けることを許可する。
【0047】
ここで、運営者装置1000−1を操作する運営者1001−1は、認証情報CINmik101−1−1からはレンタルビデオ店1010−1内の被認証者までを特定することが出来ず、認証情報CINid101−1−1(ただし、id=1,…,mik)を生成した第三者装置10000−1−idを操作する第三者10001−1−idと、認証情報CI101−1−1を生成した管理者装置10−1を操作する管理者11−1は、一般に被認証者101−1−1のサービス事実を知らないため、運営者1001−1、第三者10001−1−id、管理者11−1に対して被認証者101−1−1の匿名性が確保される。
【0048】
次に、被認証者101−1−1は匿名性剥奪対象行為を行った者であるとして、管理者11−1と運営者1001−1と第三者10001−1−idが協力して被認証者101−1−1を特定するための手続きを説明する。図16は本実施の形態において、匿名の被認証者101−1−1を特定する手続きの処理シーケンス例を示している。
【0049】
匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した運営者1001−1は、運営者装置1000−1より被認証者101−1−1の認証情報CINmik101−1−1を記憶部1003−1に記憶されたリストL1001−1より取り出し、第三者10001−1−mikに提示する。これを受けて、匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した第三者10001−1−mikは、第三者装置10000−1−mikの記憶部10003−1−mikに格納されたリストL10001−1−mikを閲覧し、認証情報CINmik101−1−1と第三者10001−1−(mik−1)から与えられた認証情報CIN(mik−1)101−1−1との照合を行い、認証情報CIN(mik−1)101−1−1を第三者10001−1−(mik−1)に提示する。以下、同様の操作を第三者10001−1−id(id=mik,mik−1,…2,1)で行い、最後に第三者10001−1−1が第三者装置10000−1−1の記憶部10003−1−1に格納されたリストL10001−1−1を閲覧し、CIN1101−1−1と管理者10−1から与えられた認証情報CI101−1−1との照合を行う。そして第三者10001−1−1は認証情報CI101−1−1を管理者11−1に提示する。管理者11−1は管理者装置10−1の具備する記憶部13−1に記憶されたリストLl1−1を閲覧し、認証情報CI101−1−1に対応する個人情報M101−1−1と照合(パスワード照合)することで、被認証者101−1−1を特定することが出来る。
【0050】
以上のように、レンタルビデオ店内の匿名の被認証者を特定するためには運営者、複数名の第三者、管理者が合意協力する必要がある。例えば運営者1001−1と任意数の第三者10001−1−idが合意協力した場合は、第三者全員が結託した場合を考えても、リストL10001−1−idを用いて、被認証者101−1−1が運営者1001−1に対して提示した認証情報CINmik101−1−1が認証情報CI101−1−1に対応している、ことまでは照合できるが、認証情報CI101−1−1と被認証者101−1−1を対応付けるリストLll−1を用いることが出来ないため、被認証者101−1−1を特定することが出来ない。
【0051】
また運営者1001−1と管理者11−1の二者のみが合意協力した場合は、被認証者101−1−1が認証情報CINmik101−1−1を用いてサービス要求してきたことは分かるが、リストLl1−1では認証情報CI101−1−1と被認証者101−1−1の個人情報の対応しか証明できないため、被認証者101−1−1を特定することが出来ない。
【0052】
また、任意数の第三者10001−1−idと管理者11−1が合意協力した場合は、第三者も管理者も被認証者101−1−1のサービス事実を知らないため、被認証者101一1−1を特定することが出来ない。このように、管理者、複数の第三者、認証者の全員の合意協力無しでは被認証者を特定することはできないため、匿名性の解除の可能性を持たせることで不正な利用の抑止効果を保ったまま、安易な匿名性の解除も防止することが出来る。
【0053】
また、被認証者101−1−1が複数回にわたって匿名認証している場合を考える。このとき被認証者101−1−1の用いる認証情報CINmik101−1−1は常に同一であるため、運営者は認証情報CINmik101−1−1を記憶しておくことによって同一性検証可能である。また、このCINmik101−1−1を用いて行われる認証を許可しないことにより、匿名のままで被認証者101−1−1をコミュニティーから排除することができる。一方、運営者のみでの同一性検証を不可能にするためには、再度(事前処理4)〜(事前処理6)のように管理者と第三者から新たな認証情報CI101−1−1′と認証情報CINmik101−1−1′を得る、もしくは(事前処理6)だけを行って認証情報CINmik101−1−1′を得ても可能である。前者では、同一性検証するためには運営者と管理者と第三者が協力する必要があり、また後者では、運営者と第三者が協力する必要がある。
【0054】
なお、図1や図9で示したシステムの各装置における一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図6〜図8や図14〜図16で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【図面の簡単な説明】
【0055】
【図1】本発明の第1の実施の形態のシステム構成図。
【図2】第1の実施の形態の被認証者装置の主要構成図。
【図3】第1の実施の形態の運営者装置の主要構成図。
【図4】第1の実施の形態の第三者装置の主要構成図。
【図5】第1の実施の形態の管理者装置の主要構成図。
【図6】第1の実施の形態の認証事前処理の処理シーケンス図。
【図7】第1の実施の形態の匿名認証処理の処理シーケンス図。
【図8】第1の実施の形態の被認証者特定の処理シーケンス図。
【図9】本発明の第2の実施の形態のシステム構成図。
【図10】第2の実施の形態の被認証者装置の主要構成図。
【図11】第2の実施の形態の運営者装置の主要構成図。
【図12】第2の実施の形態の第三者装置の主要構成図。
【図13】第2の実施の形態の管理者装置の主要構成図。
【図14】第2の実施の形態の認証事前処理の処理シーケンス図。
【図15】第2の実施の形態の匿名認証処理の処理シーケンス図。
【図16】第2の実施の形態の被認証者特定の処理シーケンス図。
【符号の説明】
【0056】
10 管理者装置
11 管理者
100 被認証者装置
101 被認証者
1000 運営者装置
1001 運営者
1010 コミュニティー
10000 第三者装置
10001 第三者
【技術分野】
【0001】
本発明は、会員制のコミュニティーにおける匿名認証方法に関し、詳しくは、被認証者の匿名性を確保しつつ、必要に応じて匿名性を剥奪できる匿名認証方法に関する。
【背景技術】
【0002】
現在の会員制のコミュニティーや、インターネットなどのネットワークに存在している会員制のコミュニティーの多くは、被認証者がコミュニティーヘの会員登録をする際に、被認証者は自らの個人情報をコミュニティーの運営者に送信し、それを受けた運営者はその個人情報との対応付けを行ったIDとパスワードを発行し、IDとパスワードを被認証者に渡す、といった方法が一般的である(例えば、非特許文献1参照)。被認証者がコミュニティーに参加する際には、被認証者がこれらIDとパスワードを入力し、コミュニティーの運営者はそのIDとパスワードを確認し、運営者が発行したものと共に一致すれば被認証者を認証し、コミュニティーヘの参加を許可する。
【0003】
一方、このような会員制のコミュニティーにおいて、被認証者の匿名性を高めるための施策として、被認証者がコミュニティーヘの会員登録をする際に、被認証者は自らの個人情報をコミュニティーの運営者に送信し、それを受けた運営者はコミュニティーの会員全員と同一のIDとパスワードを被認証者に渡す、といった方法が考えられる。被認証者が認証を受ける際には、被認証者が会員同一のパスワードを入力し、運営者はそのパスワードを確認し、コミュニティーヘの参加を許可する。
【非特許文献1】長原宏治監訳:インターネット・エキサイティングテクノロジーシリーズ「インターネットセキュリティ」(株式会社インプレス、1997年2月21日)
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在まで知られているIDとパスワードを用いた認証においては、被認証者がコミュニティーヘの会員登録の際に自らの個人情報を運営者に送信し、それに基づいて運営者がIDとパスワードを発行するため、被認証者がコミュニティーに参加したことが運営者に知られ、被認証者の匿名性はコミュニティーの運営者に対しては保護されていないと言える。このような匿名性が運営者に対しては確保されていないID、パスワードによる認証では、そのコミュニティーに所属、もしくは参加しているという事実が個人のプライバシーに大きく関わる場合、そのID、パスワードを保持する運営者には情報漏洩対策など様々な負担がかかり、また被認証者にとっては運営者が参加している事を知りうる状態であることは望ましくない。
【0005】
逆に匿名性を考慮するために同一のパスワードを用いた場合は、被認証者の誰かがコミュニティーに参加したことだけしか運営者には分からない。そのために顕在化する弊害としては、被認証者の振る舞いがコミュニティーの規約によって個人を特定されるべき行為(以下、匿名性剥奪対象行為)であったとしても、管理者は被認証者を特定することが出来ない事が挙げられる。さらに被認証者の振る舞いがコミュニティーの規約によってコミュニティーから除外されるべき行為(以下、除外対象行為)であったとしても、運営者は個人を特定できないためにコミュニティーから除外する方法がなく、これも運営者にとって運用上不便であると考えられる。
【0006】
また、同一のパスワードを用いる認証においては、複数回の認証に対して、それが同一の被認証者の行為である事を確かめることが出来ない。このことによって、営利目的のコミュニティーにおいては特に重要であると考えられるリピーターに関する情報を運営者が取得することができないことも運用上のデメリットである。このリピーターに関する情報は、例えばコミュニティーの規約外の利用を行う複数の被認証者が同一の者であることを確認し、それをもってコミュニティーからの除外を決めるその判断基準として利用することが可能である。
【0007】
以上の理由から、運営者に対しても被認証者の匿名性を保ちつつ、複数の匿名認証の同一性を確認できる、また必要に応じて被認証者を特定、もしくはコミュニティーから除外できる認証方式は重要であると考えられる。
【0008】
前述の課題を解決するために、本発明は、被認証者の匿名性を保ったまま、運営者が複数の匿名認証の同一性の検証とコミュニティーからの除外ができ、さらに、第三者と管理者の合意協力により被認証者の匿名性の剥奪やコミュニティーからの除外ができる匿名認証方法を提供することにある。
【0009】
具体的には、特に電子署名や公開鍵暗号といったセキュリティ技術を用いずとも、従来のIDやパスワードといった簡単なものを用いても実現できる、被認証者と運営者の他に第三者と管理者を介在させることによる匿名認証方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明は、コミュニティーに属するユーザ(以下、被認証者)が操作する被認証者装置、コミュニティーの運営者が操作する運営者装置、被認証者の個人情報を管理する管理者が操作する管理者装置、及び、第三者が操作する第三者装置を備える。被認証者装置は、被認証者の個人情報を管理者装置に送付する。これを受けて管理者装置は、被認証者に対して、該被認証者の認証に必要な情報(以下、認証情報)CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶しておく。被認証者装置は、前記管理装置が発行した認証情報CIを第三者装置に送付する。これを受けて、第三者装置は、被認証者をコミュニティーの会員と見なし、該被認証者に対して新しい認証情報CINを発行すると共に、該認証情報CINと認証情報CIとの対応を記憶し、さらに、コミュニティー運営者の運営者装置に認証情報CINを送付する。被認証者装置は認証情報CINを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なす。
【0011】
一方、被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINを第三者装置に送付し、第三者装置は該認証情報CINに対応する認証情報CIを管理者装置に送付し、管理者装置は該認証情報CIに対応する個人情報により被認証者を特定する。また、運営者装置は、被認証者装置から同じ認証情報CINを複数回受け取ることで、被認証者の同一性を検証する。
【0012】
また、本発明は、被認証者装置、運営者装置、管理者装置、及び、複数の第三者装置を備える。被認証者装置は、被認証者の個人情報を管理者装置に送付する。これを受けて管理者装置は、被認証者に対して認証情報CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶する。被認証者装置は認証情報CIを1番目の第三者装置に送付する。1番目の第三者装置は、被認証者装置から認証情報CIを受けて、被認証者に対して認証情報CIN1を発行すると共にCIN1とCIの対応を記憶し、2番目の第三者装置にCIN1を送付する。2番目の第三者装置は、被認証者装置からCIN1を受けて、被認証者に対して認証情報CIN2を発行すると共にCIN2とCIN1の対応を記憶し、3番目の第三者装置にCIN2を送付する。以下同様の処理を繰り返し、最後のn番目の第三者装置は、被認証者装置からCINn-1を受けて、被認証者に対して認証情報CINnを発行すると共にCINnとCINn-1の対応を記憶し、運営者装置に認証情報CINnを送付する。被認証者装置は認証情報CINnを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なす。
【0013】
一方、被認証者装置を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINnをn番目の第三者装置に送付する。n番目の第三者装置はCINnに対応するCINn-1をn−1番目の第三者装置に送付する。以下、同様の処理を繰り返し、1番目の第三者装置が2番目の第三者装置からCIN1を受け取ると、該CIN1に対応するCIを管理者装置に送付する。管理者装置は、該CIに対応する個人情報により被認証者を特定する。
【0014】
運営者装置は、被認証者装置から同じ認証情報CINnを複数回受け取ることで、被認証者の同一性を検証する。
【発明の効果】
【0015】
本発明の匿名認証方法によれば、コミュニティーの規約に沿った利用を行っている限りにおいては、運営者のみならず、第三者や管理者に対しても被認証者の匿名性を確保することが出来る。また被認証者のプライバシーを守ることが出来ると同時に、運営者も自身で個人情報を扱う必要がなくなるため、情報漏洩対策上もメリットは大きい。
【0016】
また匿名性の剥奪の可能性を持たせることにより、コミュニティーの規約外の不正な利用を防止でき、さらに匿名性の剥奪は、例えば情報提供サイトにおいて有力情報に対する報奨金を与える場合などにも適用できるため、運営側のメリットも大きと考えられる。一方、第三者が複数名存在する場合は、匿名性剥奪をするために複数名の第三者の合意協力を得る必要があるため、安易な匿名性剥奪を抑止することが可能になる。
【0017】
また、運営者が被認証者の匿名性を保ったまま、複数の被認証者の同一性を検証できることにより、運営者は営利目的のコミュニティーにおいては特に重要であると考えられるリピーターに関する情報を得ることができる。また、このリピーターに関する情報は、例えばコミュニティーの規約外の利用を行う複数の被認証者が同一の者であることを確認し、それをもってコミュニティーからの除外を決めるといった、判断基準としての利用も可能であると考えられる。
【0018】
さらに運営者は、管理者や第三者に匿名性を剥奪して被認証者の匿名性を剥奪してからコミュニティーの除外を行う他に、運営者単独の権限で匿名のままに被認証者の除外も可能であるため、第三者や管理者による匿名性剥奪の是非の判断を待つ前に被認証者のサービスの利用を停止することができる。
【0019】
本発明の実施例として、ネットワーク上におけるオークションサイトの認証方法とネットワーク上に限らずともレンタルビデオなどの会員の認証方法を挙げたが、その他にもP2Pネットワークや、匿名掲示板サイト、情報提供サイトなどに適用することも可能である。
【発明を実施するための最良の形態】
【0020】
以下、本発明の実施の形態について図面を用いて詳しく説明する。
〔第1の実施の形態〕
ここでは第1の実施の形態として会員制のコミュニティーとしてネットオークションを想定し、被認証者装置、運営者装置、第三者装置、管理者装置が繋がれたネットワーク上で、被認証者は個別のIDやパスワードPWといった認証に必要な情報(以下、認証情報)を用いてネットオークションサイトの一員であることをオークションサイト管理者に対し証明し、更に被認証者がオークションサイトの利用中に匿名性剥奪対象行為を行った場合、運営者は第三者、管理者に対して、被認証者が匿名性剥奪対象行為を行った事実を証明し、最終的に運営者と第三者と管理者が協力することで被認証者を特定する例について、図1乃至図8を用いて詳細に説明する。
【0021】
第1の実施の形態におけるシステム構成は、図1に示すように、被認証者の個人情報を管理している管理者11−ik(ただしik=1,・・・,mk)、及び管理者11−ikの操作する管理者装置10−ik、認証情報の中継を行う第三者10001−ik、及び第三者10001−ikの操作する第三者装置10000−ik、幾つかのオークションサイト1010−i0(ただしi0=1,・・・,m0)それぞれに対応した運営者1001−i0及び運営者1001−i0の操作する運営者装置1001−i0、オークションサイト1010−i0(そのURLをURL1010−i0とする)に属する被認証者101−i0−ih(ただしih=1,・・・,mi0)、及び被認証者101−i0−ihの操作する被認証者装置100−i0−ihが存在し、被認証者装置100−i0−ihと運営者装置1000−i0、そして第三者装置10000−ihと管理者装置10−ikはネットワークを通じて接続されている。なお、被認証者101−i0−ihは同時に複数のオークションサイト(コミュニティー)1010に属することも可能であり、同様に、管理者11−ikは複数のオークションサイトに属する被認証者の個人情報を管理することも可能である。
【0022】
以下では、オークションサイト1010−1において、被認証者101−1−1が匿名認証を行う場合を例に挙げて説明する。また、この際の管理者は11−1、第三者は10001−1とする。勿論、以下で示す例はこのオークションサイトのモデルに特化したものではなく、インデックスを適宜変更することで、他のオークションサイトの例と置き換えて見ることができる。図2乃至図5に被認証者装置100−1−1、運営者装置1000−1、第三者装置10000−1及び管理者装置10−1の主要構成要素をそれぞれ示す。
【0023】
先ず、認証の際の事前処理(会員登録処理)について説明する。図6は本実施の形態の事前処理シーケンス例を示している。
【0024】
(事前処理1)
被認証者101−1−1は、被認証者装置100−1−1を用いて自らの個人情報M101−1−1(氏名、年齢、住所、銀行口座、その他)を個人情報管理者11−1の操作する管理者装置10−1に送信し、被認証者装置100−1−1の具備する記憶部103−1−1に個人情報M101−1−1を記憶しておく。なお、被認証者装置100−1−1の記憶部103−1−1にあらかじめ個人情報M101−1−1を記憶しておき、これを読み出して管理装置10−1に送信することでもよい。
【0025】
被認証者装置100−1−1から個人情報M101−1−1を受け取った管理者装置10−1は、被認証者装置100−1−1に対する個別のIDとパスワードPWからなる認証情報CI101−1−1を自身の具備する認証情報生成部12−1により生成する。なお、IDはオークションサイト1010−1の会員全員と同一のIDとすることでもよい。管理者11−1は、この生成された認証情報CI101−1−1を被認証者101−1−1に与える。被認証者101−1−1に認証情報CI101−1−1を与える方法は、例えば電子メールにより管理者装置10−1から被認証者装置100−1−1へ送るとしても良いが、セキュリティの観点から、認証情報記載部分に保護シールの付いた、認証情報が記載された用紙SHEET101−1−1を管理者11−1から被認証者101−1−1へ直接手渡す、または暗号機能付電子メールを用いる等の配慮を行うことが望ましい。ここでは当該用紙SHEET101−1−1を直接手渡すとして話を進める。
【0026】
管理者11−1は第三者10001−1に対しても被認証者101−1−1の認証情報CI101−1−1を与える。また、管理者11−1は、この認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1との対応付けのされたリストL11−1を管理者装置10−1の具備する記憶部13−1に記憶しておく。
【0027】
(事前処理2)
その後、被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1に対し認証情報CI101−1−1を入力する。これにより、第三者装置10000−1は、被認証者101−1−1をオークションサイト1010−1の会員と見なし、第三者装置10000−1の具備する認証情報生成部10002−1により、新しい認証情報CIN101−1−1を生成し、被認証者装置100−1−1に与える。また、第三者装置10000−1は、新しい認証情報CIN101−1−1と管理者の発行した認証情報CI101−1−1とが対応付けされたリストL10001−1を第三者装置10000−1の具備する記憶部10003−1に記憶しておく。このとき同時に、第三者装置10000−1は運営者装置1000−1に対しても認証情報CIN101−1−1を与える。認証情報CIN101−1−1を受け取った運営者装置1000−1は、これをリストL1001−1として自身の具備する記憶部1003−1に記憶しておく。
【0028】
次に、認証処理の流れについて説明する。図7は認証処理の通常の処理シーケンスを示している。
【0029】
被認証者101−1−1は、運営者1001−1の提供するオークションサイト1010−1用のWebページを閲覧するために、被認証者装置100−1−1のWebブラウザ102−1−1を操作して、オークションサイト1010−1のURL1010−1に対応する運営者装置1000−1のWebページ情報格納部1002−1にアクセスする。このWebページでは、先ず認証処理が行われ、被認証者101−1−1は、被認証者装置100−1−1により認証情報CIN101−1−1を入力する。なお、第三者装置10000−1が発行した認証情報CIN101−1−1を被認証者装置100−1−1の具備する記憶部103−1−1に記憶しておき、被認証者101−1−1の操作に応じて、被認証者装置100−1−1がCIN101−1−1を記憶部103−1−1から読み出して運営者装置1000−1に送付するようにしてもよい。
【0030】
運営者装置1000−1は、被認証者装置100−1−1から送付された認証情報CIN101−1−1について、自身の具備する記憶部1003−1に記憶されているリストL1001−1のCIN101−1−1とパスワードを照合することで、被認証者101−1−1をオークションサイト1010−1内の者と見なし、被認証者101−1−1に対してオークションサイト1010−1用のWebページを閲覧することを許可する。
【0031】
ここで、運営者装置1000−1を操作する運営者1001−1は、リストCI1001−1の認証情報CIN101−1−1からはオークションサイト1010−1内の被認証者までを特定することが出来ず、また、認証情報CIN101−1−1を生成した第三者装置10000−1を操作する第三者10001−1と、認証情報CI101−1−1を生成した管理者装置10−1を操作する管理者11−1は、一般に被認証者101−1−1のアクセス事実を知らないため、運営者1001−1、第三者10001−1、管理者11−1の三者に対して被認証者101−1−1の匿名性が確保される。
【0032】
次に、被認証者101−1−1は匿名性剥奪対象行為を行った者であるとして、管理者11−1と運営者1001−1と第三者10001−1が協力して被認証者101−1−1を特定するための手続きを説明する。図8は匿名の被認証者101−1−1を特定する手続きの処理シーケンス例を示している。
【0033】
匿名の被認証者が匿名性剥奪対象行為を行ったと判断した運営者1001−1は、運営者装置1000−1により、被認証者101−1−1の認証情報CIN101−1−1を記憶部1003−1に記憶されたリストL1001−1より取り出し、第三者10001−1に提示する。これを受けて、匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した第三者10001−1は、第三者装置10000−1の記憶部10003−1に格納されたリストL10001−1を閲覧し、管理者から与えられた認証情報CI101−1−1との照合を行う。そして、第三者10001−1は、認証情報CIN101−1−1と対の認証情報CI101−1−1を管理者11−1に提示する。管理者11−1は、管理者装置10−1の具備する記憶部13−1に記憶されたリストLl1−1を閲覧し、パスワードPWと照合することで、被認証者101−1−1を特定することが出来る。
【0034】
以上のように、オークションサイト内の匿名の被認証者を特定するためには、運営者、第三者、管理者の三者が合意協力する必要がある。例えば、運営者1001−1と第三者10001−1の二者のみが合意協力した場合は、第三者装置10001の記憶部に記憶された1リストL10001−1を用いて、被認証者101−1−1の認証情報CIN101−1−1が認証情報CI101−1−1に対応している、ことまでは照合できるが、管理者装置10−1の記憶部13−1に記憶されている認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1−1を対応付けるリストL11−1を用いることが出来ないため、被認証者101−1−1を特定することが出来ない。また、運営者1001−1と管理者11−1の二者のみが合意協力した場合は、被認証者101−1−1が認証情報CIN101−1−1を用いて、運営者装置1000−1のWebページ情報格納部にアクセスしてきたことは分かるが、管理者装置10−1のリストL11−1では認証情報CI101−1−1と被認証者101−1−1の対応しか証明できないため、被認証者101−1−1を特定することが出来ない。また、第三者10001−1と管理者11−1の二者のみが合意協力した場合は、二者共に被認証者101−1−1のアクセス事実を知らないため、被認証者101−1−1を特定することが出来ない。このように、管理者、第三者、認証者の三者のうち二者の合意協力では被認証者を特定することはできず、三者の合意協力が必要となるため、匿名性の解除の可能性を持たせることで不正な利用の抑止効果を保ったまま、安易な匿名性の解除も防止することが出来る。
【0035】
次に、被認証者101−1−1が複数回にわたって匿名認証している場合を考える。このとき被認証者101−1−1の用いる認証情報CIN101−1−1は常に同一であるため、運営者は認証情報CIN101−1−1を運営者装置1000−1に記憶しておくことによって同一性検証可能である。また、このCIN101−1−1を用いて行われる認証を許可しないことにより、匿名のままで被認証者101−1−1をコミュニティーから排除することができる。一方、運営者のみでの同一性検証を不可能にするためには、再度(事前処理1)と(事前処理2)のように管理者と第三者から新たな認証情報CI101−1−1′と認証情報CIN101−1−1′を得る、もしくは(事前処理2)だけを行って認証情報CIN101−1−1′を得ても可能である。前者では、同一性検証するためには運営者と管理者と第三者の三者が協力する必要があり、また後者では、運営者と第三者が協力する必要がある。
【0036】
〔第2の実施の形態〕
ここでは第2の実施の形態として、被認証者装置、運営者装置、複数の第三者装置、管理者装置は必ずしもネットワークに繋がれていない状態を想定し、被認証者は認証情報をICカードや携帯電話などに格納し、これ用いてレンタルビデオ店の会員であることをレンタルビデオ店の管理者に対し証明し、更に被認証者がレンタルビデオ店の利用中にレンタルビデオの長期にわたる返却遅延などの匿名性剥奪対象行為を行った場合、運営者は複数名の第三者と管理者に対して、被認証者が匿名性剥奪対象行為を行った事実を証明し、最終的に運営者と複数名の第三者と管理者が協力することで被認証者を特定する例について、図9乃至図16を用いて詳細に説明する。
【0037】
第2の実施の形態におけるシステム構成は、図9に示すように、被認証者の個人情報を管理している管理者11−ik(ただし、ik=1,…,mk)、及び管理者11−ikの操作する管理者装置10−ik、認証情報の中継を行う複数名の第三者10001−ik−id(ただしid=1,…,mik)、及び第三者10001−ik−idの操作する第三者装置10000−ik−id、第三者10001−ik−idと管理者11−ikとが提供する認証システムを利用する幾つかのレンタルビデオ店1010−i0(ただし、i0=1,…,m0)とそれぞれのレンタルビデオ店1010−i0に対応した運営者1001−i0及び運営者1001−i0の操作する運営者装置1000−i0、レンタルビデオ店1010−i0の会員である被認証者101−i0−ih(ただし、ih=1,…,mi0)、及び被認証者101−i0−ihの操作する被認証者装置100−i0−ihが存在している。
【0038】
以下では、レンタルビデオ店1010−1において、被認証者101−1−1が被認証者装置100−1−1を用いて匿名認証を行う場合を例に挙げて説明する。またこの際の管理者及び管理者装置は11−1及び10−1、第三者及び第三者装置は10001−1-id及び10000−1−id(ただし、id=1,…,mik)とする。勿論、以下で示す例はこのレンタルビデオ店のモデルに特化したものではなく、インデックスを適宜変更することで、他のレンタルビデオ店の例と置き換えて見ることが出来る。図10乃至図13に被認証者装置100−1−1、運営者装置1000−1、第三者装置10000−1−id及び管理者装置10−1の主要構成要素をそれぞれ示す。
【0039】
先ず、認証の際の事前処理(会員登録処理)について説明する。図13は、本実施の形態の事前処理シーケンス例を示している。
【0040】
(事前処理3)
被認証者101−1−1は、被認証者装置100−1−1を用いて自らの個人情報M101−1−1(氏名、年齢、住所、銀行口座、その他)を個人情報管理者11−1の操作する管理者装置10−1に送信する。この時、被認証者装置100−1−1は、自身の具備する記憶部103−1−1に個人情報M101−1−1を記憶しておく。被認証者装置100−1−1から個人情報M101−1−1を受け取った管理者装置10−1は、被認証者101−1−1に対する個別のIDやパスワードといった認証に必要な情報(認証情報)CI101−1−1を自身の具備する認証情報生成部20−1により生成する。本実施の形態においても、IDはレンタルビデオ店1010−1の会員全員と同一のIDとすることでもよい。管理者11−1は、生成された認証情報CI101−1−1を被認証者101−1−1に与える。この与える方法は、例えば電子メールにより管理者装置10−1から被認証者装置100−1−1へ送るとしても良いが、セキュリティの観点から、認証情報記載部分に保護シールの付いた、認証情報が記載された用紙SHEET101−1−1を管理者11−1から被認証者101−1−1へ直接手渡す、または暗号機能付電子メールを用いる等の配慮を行うことが望ましい。ここでは当該用紙SHEET101−1−1を直接手渡すとして話を進める。管理者11−1は、第三者10001−1−1に対しても被認証者101−1−1の認証情報CI101−1−1を与える。また、管理者11−1は、認証情報CI101−1−1と被認証者101−1−1の個人情報M101−1−1との対応付けのされたリストLll−1を管理者装置10−1の具備する記憶部13−1に記憶しておく。
【0041】
(事前処理4)
その後、被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1−1に対し認証情報CI101−1−1を入力する。これにより第三者装置10000−1−1は、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10001−1−1の具備する認証情報生成部10002−1−1により、新しい認証情報CIN1101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CIN1101−1−1と管理者の発行した認証情報CI101−1−1とが対応付けされたリストL10001−1−1を第三者装置10001−1−1の具備する記憶部10003−1−1に記憶しておく。このとき同時に、第三者装置10000−1−1は、第三者装置10000−1−2に対しても認証情報CIN1101−1−1を与える。認証情報CIN1101−1−1を受け取った第三者装置10000−1−2は、これを自身の具備する記憶部10003−1−2に記憶しておく。
【0042】
(事前処理5)
次に被認証者101−1−1は、被認証者装置100−1−1を用いて第三者装置10000−1−2に対し認証情報CIN1101−1−1を入力する。これにより第三者装置10000一1−2は、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10000−1−2の具備する認証情報生成部10002−1−2により、新しい認証情報CIN2101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CIN2101−1−1と第三者装置10000−1−1が発行した認証情報CIN1101−1−1とが対応付けされたリストL10001−1−2を第三者装置10000−1−2の具備する記憶部10003−1−2に記憶しておく。このとき同時に、第三者装置10000−1−2は、第三者装置10000−1−3に対しても認証情報CIN2101−1−1を与える。認証情報CIN2101−1−1を受け取った第三者装置10000−1−3は、これを自身の具備する記憶部10003−1−3に記憶しておく。
【0043】
(事前処理6)
以上の操作を同様にmik回繰り返し、被認証者101−1−1は、被認証者装置100−1−1を介して第三者装置10000−1−mikに対し認証情報CIN(mik−1)101−1−1を入力する。これにより第三者装置10000−1−mikは、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、第三者装置10000−1−mikの具備する認証情報生成部10002−1−mikにより、新しい認証情報CINmik101−1−1を生成し、被認証者装置100−1−1に与える。また、新しい認証情報CINmik101−1−1と第三者装置10000−1−(mik−1)が発行した認証情報CIN(mik−1)101−1−1とが対応付けされたリストL10001−1−mikを第三者装置10000−1−mikの具備する記憶部10003−1−mikに記憶しておく。このとき同時に、第三者装置10000−1−mikは、運営者装置1000−1に対しても認証情報CINmik101−1−1を与える。認証情報CINmik101−1−1を受け取った運営者装置1000−1は、これをリストL1001−1として自身の具備する記憶部1003−1に記憶しておく。また、被認証者装置100−1−1は与えられたID及び新しい認証情報CINmik101−1−1を自身の具備する記憶部103−1−1に記憶しておく。さらに、被認証者100−1−1は、被認証者装置100−1−1の記憶部103−1−1にアクセスすることにより、ICカードや携帯電話などに認証情報CINmik101−1−1を格納しておく。
【0044】
ここで、複数の第三者装置に対して認証情報を送信する時間を被認証者側でランダムに設定することにより、複数名の第三者装置間で発行された認証情報(パスワード)の繋がりを送信時間によって追跡できないようにする。
【0045】
次に、認証処理の流れについて説明する。図15は認証処理の通常の処理シーケンスを示している。
【0046】
被認証者101−1−1は、運営者1001−1の提供するレンタルビデオ店1010−1から貸し出し等のサービスを受けるために、被認証者装置100−1−1あるいはICカードや携帯電話を用いて、運営者装置1000−1の具備する読み取り器1004−1に対して認証情報CINmik101−1−1を入力して認証を行う。これにより運営者装置1000−1は、自身の具備する記憶部1003−1に記憶されているリストL1001−1と認証情報CINmik101−1−1を照合することで、被認証者101−1−1をレンタルビデオ店1010−1の会員と見なし、被認証者101−1−1に対してレンタルビデオ店1010−1から貸し出し等のサービスを受けることを許可する。
【0047】
ここで、運営者装置1000−1を操作する運営者1001−1は、認証情報CINmik101−1−1からはレンタルビデオ店1010−1内の被認証者までを特定することが出来ず、認証情報CINid101−1−1(ただし、id=1,…,mik)を生成した第三者装置10000−1−idを操作する第三者10001−1−idと、認証情報CI101−1−1を生成した管理者装置10−1を操作する管理者11−1は、一般に被認証者101−1−1のサービス事実を知らないため、運営者1001−1、第三者10001−1−id、管理者11−1に対して被認証者101−1−1の匿名性が確保される。
【0048】
次に、被認証者101−1−1は匿名性剥奪対象行為を行った者であるとして、管理者11−1と運営者1001−1と第三者10001−1−idが協力して被認証者101−1−1を特定するための手続きを説明する。図16は本実施の形態において、匿名の被認証者101−1−1を特定する手続きの処理シーケンス例を示している。
【0049】
匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した運営者1001−1は、運営者装置1000−1より被認証者101−1−1の認証情報CINmik101−1−1を記憶部1003−1に記憶されたリストL1001−1より取り出し、第三者10001−1−mikに提示する。これを受けて、匿名の被認証者101−1−1が匿名性剥奪対象行為を行ったと判断した第三者10001−1−mikは、第三者装置10000−1−mikの記憶部10003−1−mikに格納されたリストL10001−1−mikを閲覧し、認証情報CINmik101−1−1と第三者10001−1−(mik−1)から与えられた認証情報CIN(mik−1)101−1−1との照合を行い、認証情報CIN(mik−1)101−1−1を第三者10001−1−(mik−1)に提示する。以下、同様の操作を第三者10001−1−id(id=mik,mik−1,…2,1)で行い、最後に第三者10001−1−1が第三者装置10000−1−1の記憶部10003−1−1に格納されたリストL10001−1−1を閲覧し、CIN1101−1−1と管理者10−1から与えられた認証情報CI101−1−1との照合を行う。そして第三者10001−1−1は認証情報CI101−1−1を管理者11−1に提示する。管理者11−1は管理者装置10−1の具備する記憶部13−1に記憶されたリストLl1−1を閲覧し、認証情報CI101−1−1に対応する個人情報M101−1−1と照合(パスワード照合)することで、被認証者101−1−1を特定することが出来る。
【0050】
以上のように、レンタルビデオ店内の匿名の被認証者を特定するためには運営者、複数名の第三者、管理者が合意協力する必要がある。例えば運営者1001−1と任意数の第三者10001−1−idが合意協力した場合は、第三者全員が結託した場合を考えても、リストL10001−1−idを用いて、被認証者101−1−1が運営者1001−1に対して提示した認証情報CINmik101−1−1が認証情報CI101−1−1に対応している、ことまでは照合できるが、認証情報CI101−1−1と被認証者101−1−1を対応付けるリストLll−1を用いることが出来ないため、被認証者101−1−1を特定することが出来ない。
【0051】
また運営者1001−1と管理者11−1の二者のみが合意協力した場合は、被認証者101−1−1が認証情報CINmik101−1−1を用いてサービス要求してきたことは分かるが、リストLl1−1では認証情報CI101−1−1と被認証者101−1−1の個人情報の対応しか証明できないため、被認証者101−1−1を特定することが出来ない。
【0052】
また、任意数の第三者10001−1−idと管理者11−1が合意協力した場合は、第三者も管理者も被認証者101−1−1のサービス事実を知らないため、被認証者101一1−1を特定することが出来ない。このように、管理者、複数の第三者、認証者の全員の合意協力無しでは被認証者を特定することはできないため、匿名性の解除の可能性を持たせることで不正な利用の抑止効果を保ったまま、安易な匿名性の解除も防止することが出来る。
【0053】
また、被認証者101−1−1が複数回にわたって匿名認証している場合を考える。このとき被認証者101−1−1の用いる認証情報CINmik101−1−1は常に同一であるため、運営者は認証情報CINmik101−1−1を記憶しておくことによって同一性検証可能である。また、このCINmik101−1−1を用いて行われる認証を許可しないことにより、匿名のままで被認証者101−1−1をコミュニティーから排除することができる。一方、運営者のみでの同一性検証を不可能にするためには、再度(事前処理4)〜(事前処理6)のように管理者と第三者から新たな認証情報CI101−1−1′と認証情報CINmik101−1−1′を得る、もしくは(事前処理6)だけを行って認証情報CINmik101−1−1′を得ても可能である。前者では、同一性検証するためには運営者と管理者と第三者が協力する必要があり、また後者では、運営者と第三者が協力する必要がある。
【0054】
なお、図1や図9で示したシステムの各装置における一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図6〜図8や図14〜図16で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【図面の簡単な説明】
【0055】
【図1】本発明の第1の実施の形態のシステム構成図。
【図2】第1の実施の形態の被認証者装置の主要構成図。
【図3】第1の実施の形態の運営者装置の主要構成図。
【図4】第1の実施の形態の第三者装置の主要構成図。
【図5】第1の実施の形態の管理者装置の主要構成図。
【図6】第1の実施の形態の認証事前処理の処理シーケンス図。
【図7】第1の実施の形態の匿名認証処理の処理シーケンス図。
【図8】第1の実施の形態の被認証者特定の処理シーケンス図。
【図9】本発明の第2の実施の形態のシステム構成図。
【図10】第2の実施の形態の被認証者装置の主要構成図。
【図11】第2の実施の形態の運営者装置の主要構成図。
【図12】第2の実施の形態の第三者装置の主要構成図。
【図13】第2の実施の形態の管理者装置の主要構成図。
【図14】第2の実施の形態の認証事前処理の処理シーケンス図。
【図15】第2の実施の形態の匿名認証処理の処理シーケンス図。
【図16】第2の実施の形態の被認証者特定の処理シーケンス図。
【符号の説明】
【0056】
10 管理者装置
11 管理者
100 被認証者装置
101 被認証者
1000 運営者装置
1001 運営者
1010 コミュニティー
10000 第三者装置
10001 第三者
【特許請求の範囲】
【請求項1】
会員制コミュニティーにおける匿名認証方法であって、
被認証者の個人情報を管理する管理者装置は、被認証者に対して、該被認証者の認証に必要な情報(以下、認証情報)CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶し、
被認証者の被認証者装置は、前記管理装置が発行した認証情報CIを第三者装置に送付し、
第三者装置は、前記認証情報CIにより被認証者をコミュニティーの会員と見なし、該被認証者に対して新しい認証情報CINを発行すると共に、該認証情報CINと認証情報CIとの対応を記憶し、さらに、コミュニティー運営者の運営者装置に認証情報CINを送付し、
被認証者装置は認証情報CINを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なすことを特徴とする匿名認証方法。
【請求項2】
請求項1記載の匿名認証方法において、
被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINを第三者装置に送付し、第三者装置は該認証情報CINに対応する認証情報CIを管理者装置に送付し、管理者装置は該認証情報CIに対応する個人情報により被認証者を特定することを特徴とする匿名認証方法。
【請求項3】
請求項1記載の匿名認証方法において、運営者装置は、被認証者装置から同じ認証情報CINを複数回受け取ることで、被認証者の同一性を検証することを特徴とする匿名認証方法。
【請求項4】
請求項1記載の匿名認証方法において、
第三者装置は複数存在し、1番目の第三者装置は、被認証者装置から認証情報CIを受けて、被認証者に対して認証情報CIN1を発行すると共にCIN1とCIの対応を記憶し、2番目の第三者装置にCIN1を送付し、2番目の第三者装置は、被認証者装置からCIN1を受けて、被認証者に対して認証情報CIN2を発行すると共にCIN2とCIN1の対応を記憶し、3番目の第三者装置にCIN2を送付し、以下同様の処理を繰り返し、最後のn番目の第三者装置は、被認証者装置からCINn-1を受けて、被認証者に対して認証情報CINnを発行すると共にCINnとCINn-1の対応を記憶し、運営者装置に認証情報CINnを送付し、
被認証者装置は認証情報CINnを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なすことを特徴とする匿名認証方法。
【請求項5】
請求項4記載の匿名認証方法において、
被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINnをn番目の第三者装置に送付し、n番目の第三者装置はCINnに対応するCINn-1をn−1番目の第三者装置に送付し、以下、同様の処理を繰り返し、1番目の第三者装置が2番目の第三者装置からCIN1を受け取ると、該CIN1に対応するCIを管理者装置に送付し、管理者装置は、前記CIに対応する個人情報により被認証者を特定することを特徴とする匿名認証方法。
【請求項6】
請求項4記載の匿名認証方法において、運営者装置は、被認証者装置から同じ認証情報CINnを複数回受け取ることで、被認証者の同一性を検証することを特徴とする匿名認証方法。
【請求項1】
会員制コミュニティーにおける匿名認証方法であって、
被認証者の個人情報を管理する管理者装置は、被認証者に対して、該被認証者の認証に必要な情報(以下、認証情報)CIを発行すると共に、該認証情報CIと被認証者の個人情報との対応を記憶し、
被認証者の被認証者装置は、前記管理装置が発行した認証情報CIを第三者装置に送付し、
第三者装置は、前記認証情報CIにより被認証者をコミュニティーの会員と見なし、該被認証者に対して新しい認証情報CINを発行すると共に、該認証情報CINと認証情報CIとの対応を記憶し、さらに、コミュニティー運営者の運営者装置に認証情報CINを送付し、
被認証者装置は認証情報CINを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なすことを特徴とする匿名認証方法。
【請求項2】
請求項1記載の匿名認証方法において、
被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINを第三者装置に送付し、第三者装置は該認証情報CINに対応する認証情報CIを管理者装置に送付し、管理者装置は該認証情報CIに対応する個人情報により被認証者を特定することを特徴とする匿名認証方法。
【請求項3】
請求項1記載の匿名認証方法において、運営者装置は、被認証者装置から同じ認証情報CINを複数回受け取ることで、被認証者の同一性を検証することを特徴とする匿名認証方法。
【請求項4】
請求項1記載の匿名認証方法において、
第三者装置は複数存在し、1番目の第三者装置は、被認証者装置から認証情報CIを受けて、被認証者に対して認証情報CIN1を発行すると共にCIN1とCIの対応を記憶し、2番目の第三者装置にCIN1を送付し、2番目の第三者装置は、被認証者装置からCIN1を受けて、被認証者に対して認証情報CIN2を発行すると共にCIN2とCIN1の対応を記憶し、3番目の第三者装置にCIN2を送付し、以下同様の処理を繰り返し、最後のn番目の第三者装置は、被認証者装置からCINn-1を受けて、被認証者に対して認証情報CINnを発行すると共にCINnとCINn-1の対応を記憶し、運営者装置に認証情報CINnを送付し、
被認証者装置は認証情報CINnを運営者装置に送付し、これを受けて運営者装置は被認証者をコミュニティー内の者と見なすことを特徴とする匿名認証方法。
【請求項5】
請求項4記載の匿名認証方法において、
被認証者を特定する必要が発生した場合、運営者装置は当該被認証者の認証情報CINnをn番目の第三者装置に送付し、n番目の第三者装置はCINnに対応するCINn-1をn−1番目の第三者装置に送付し、以下、同様の処理を繰り返し、1番目の第三者装置が2番目の第三者装置からCIN1を受け取ると、該CIN1に対応するCIを管理者装置に送付し、管理者装置は、前記CIに対応する個人情報により被認証者を特定することを特徴とする匿名認証方法。
【請求項6】
請求項4記載の匿名認証方法において、運営者装置は、被認証者装置から同じ認証情報CINnを複数回受け取ることで、被認証者の同一性を検証することを特徴とする匿名認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2006−235661(P2006−235661A)
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願番号】特願2005−44876(P2005−44876)
【出願日】平成17年2月21日(2005.2.21)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成18年9月7日(2006.9.7)
【国際特許分類】
【出願日】平成17年2月21日(2005.2.21)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]