情報処理装置、認証システム、認証方法、認証装置及びプログラム
【課題】取引意思を尊重し、また外部への情報漏洩を防止することが可能な情報処理装置等を提供する。
【解決手段】第1読み出し手段は、記憶部に記憶された機器電子証明書に対応する機器秘密鍵を読み出す。署名手段は、機器情報及び予め収集したソフトウェア情報を、機器秘密鍵により電子署名する。生成手段は、電子署名された機器情報及びソフトウェア情報を電子封筒化し、第1電子封筒を生成する。さらに、第2読み出し手段は、記憶部に記憶されたユーザ電子証明書に対応するユーザ秘密鍵を読み出す。第2署名手段は同様に、生体認証に関する情報である生体認証情報、並びに、第1電子封筒をユーザ秘密鍵により電子署名する。第2生成手段も同様に、第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する。最後に生成された第2電子封筒を外部へ送信する。
【解決手段】第1読み出し手段は、記憶部に記憶された機器電子証明書に対応する機器秘密鍵を読み出す。署名手段は、機器情報及び予め収集したソフトウェア情報を、機器秘密鍵により電子署名する。生成手段は、電子署名された機器情報及びソフトウェア情報を電子封筒化し、第1電子封筒を生成する。さらに、第2読み出し手段は、記憶部に記憶されたユーザ電子証明書に対応するユーザ秘密鍵を読み出す。第2署名手段は同様に、生体認証に関する情報である生体認証情報、並びに、第1電子封筒をユーザ秘密鍵により電子署名する。第2生成手段も同様に、第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する。最後に生成された第2電子封筒を外部へ送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理を行う情報処理装置、通信網を介して接続される情報処理装置を認証装置により認証する認証システム、認証方法、認証装置、及び情報処理装置をコンピュータとして機能させるためのプログラムに関する。
【背景技術】
【0002】
近年、インターネット等を通じたオンライン取引が増加している。このようなオンライン取引においてはセキュリティを十分に確保する必要がある。従来はセキュリティを確保すべく生体認証による本人確認の他、PKI(Public Key Infrastructure)認証等も実施されている。本願出願人は例えば特許文献1に生体認証、PKI認証及び機器の環境情報に基づく認証を組み合わせた安全性判断方法を提案している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−157790号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、近年では従来の低額商品の売買に加えて、高額商品の売買、株等の金融商品等の取引、及び、個人情報を送信する各種申請手続等、様々な取引がインターネットを介して実行されている。それにもかかわらず、認証処理はさほど改善されておらず、依然としてなりすまし、改竄、及び情報処理装置の脆弱性を狙う攻撃等に十分対応できていなかった。なお、特許文献1にはこのような問題を解決する手段は何ら記載されていない。
【0005】
本発明は斯かる事情に鑑みてなされたものである。装置情報及び環境情報を署名して電子封筒化し、さらに生体認証情報を電子封筒と共に署名して2重に電子封筒化することにより、取引意思を尊重し、また外部への情報漏洩を防止することが可能な情報処理装置等を提供することにある。
【課題を解決するための手段】
【0006】
本願に開示する装置は、情報処理を行う情報処理装置において、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、自身の使用環境に関する環境情報を収集する収集手段と、予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、該第2生成手段により生成された第2電子封筒を外部へ送信する手段とを備える。
【0007】
本願に開示する装置によれば、第1読み出し手段は、記憶部に記憶された第1秘密鍵を読み出す。署名手段は、装置情報及び環境情報を、第1秘密鍵により電子署名する。生成手段は、電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する。さらに、第2読み出し手段は、記憶部に記憶された第2秘密鍵を読み出す。第2署名手段は同様に、生体認証に関する情報である生体認証情報、並びに、第1電子封筒を第2秘密鍵により電子署名する。第2生成手段も同様に、第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する。最後に生成された第2電子封筒を外部へ送信する。
【発明の効果】
【0008】
当該装置の一観点によれば、装置に依存する装置情報及び動的に変化する環境情報は第1秘密鍵により電子署名され、第1電子封筒に封入される。そしてこの第1電子封筒及び認証対象者の取引意思が反映される生体認証情報は第2秘密鍵により電子署名される。電子署名された第1電子封筒及び生体認証情報は第2電子封筒化される。これにより、改竄を未然に防止でき、また、装置認証、環境認証及び生体認証の同時性を確保することが可能となり安易ななりすましを防止することが可能となる。また、第2電子封筒に、認証対象者の取引意思が反映され、健全な商取引を確立することが可能となる。さらに外部での認証の際には、環境情報が外部に送信される可能性が高いところ、最初に第2電子封筒内の生体認証情報に対する認証が行われる。そして、当該認証を経て初めて環境情報が外部へ送信されることから、無用に外部へ情報が漏洩することを防止することが可能となる等、本発明は優れた効果を奏する。
【図面の簡単な説明】
【0009】
【図1】本実施の形態に係る認証システムの概要を示す模式図である。
【図2】コンピュータ側での処理手順を示す説明図である。
【図3】Webサーバ側での処理手順を示す説明図である。
【図4】コンピュータのハードウェア群を示すブロック図である。
【図5】第1電子封筒のデータ構造を示す説明図である。
【図6】第2電子封筒のデータ構造を示す説明図である。
【図7】Webサーバのハードウェア群を示すブロック図である。
【図8】ユーザ情報DBのレコードレイアウトを示す説明図である。
【図9】機器DBのレコードレイアウトを示す説明図である。
【図10】DBサーバのハードウェア群を示すブロック図である。
【図11】ソフトウェアDBのレコードレイアウトを示す説明図である。
【図12】第2電子封筒生成処理の手順を示すフローチャートである。
【図13】第2電子封筒生成処理の手順を示すフローチャートである。
【図14】第2電子封筒生成処理の手順を示すフローチャートである。
【図15】第2電子封筒生成処理の手順を示すフローチャートである。
【図16】サービス画面のイメージを示す説明図である。
【図17】Webサーバにおける認証処理手順を示すフローチャートである。
【図18】Webサーバにおける認証処理手順を示すフローチャートである。
【図19】Webサーバにおける認証処理手順を示すフローチャートである。
【図20】Webサーバにおける認証処理手順を示すフローチャートである。
【図21】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図22】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図23】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図24】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図25】タイムスタンプの認証処理の手順を示すフローチャートである。
【図26】実施の形態3に係るコンピュータのハードウェア群を示すブロック図である。
【図27】実施の形態4のコンピュータのハードウェア群を示すブロック図である。
【図28】実施の形態4に係るWebサーバのハードウェア群を示すブロック図である。
【図29】静的評価テーブルのレコードレイアウトを示す説明図である。
【図30】総合評価テーブルのレコードレイアウトを示す説明図である。
【図31】最終認証処理の手順を示すフローチャートである。
【図32】最終認証処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0010】
実施の形態1
以下本発明の実施の形態を、図面を参照して説明する。図1は本実施の形態に係る認証システムの概要を示す模式図である。認証システムは、認証装置1、情報処理装置2、2、2、・・・、通信網N、認証機関サーバコンピュータ3、及び、データベース(以下、DB)サーバコンピュータ4等を含む。本実施の形態においては、情報処理装置2、2、2、・・・の要求に応じて金融機関の認証装置1が振り込み、海外送金、外貨預金、投資信託申し込み、及び残高照会等の各種取引処理を実行する例を用いて説明するが、このオンラインバンクの例に限るものではない。例えばオンラインショッピングまたは特定機関への申請手続き等における認証に適用しても良い。以下では金融機関の認証装置1をWebサーバ1と読み替えて説明する。またWebサーバ1に接続される他のWebサーバに振り込み、海外送金、外貨預金、投資信託申し込み、及び残高照会等の各種処理を実行させ、Webサーバ1において以下に述べる認証処理を実行させる形態であっても良い。
【0011】
情報処理装置2は例えば、パーソナルコンピュータ、携帯電話機、PDA(Personal Digital Assistance)、通信機能を有する携帯型ゲーム機、または通信機能を有するミュージックプレーヤ等の機器である。以下では情報処理装置2をデスクトップ型パーソナルコンピュータまたはノート型パーソナルコンピュータ等の装置に適用した例を説明し、装置を機器と読み替え、また、情報処理装置2をコンピュータ2と読み替えて説明する。認証機関サーバコンピュータ3は例えばベリサイン(登録商標)社またはグローバルサイン社等が運営する認証局のサーバコンピュータであり、以下ではCA(Certificate Authority)サーバ3という。DBサーバコンピュータ(以下、DBサーバという)4はコンピュータ2自身の使用環境に関する環境情報を管理する。
【0012】
環境情報はコンピュータ2内で動作するソフトウェア、ミドルウェア、またはファームウェアを特定するための情報、または、セキュリティチップ5内で動作するソフトウェアまたはファームウェアを特定するための情報である。以下では説明を容易にするために環境情報はソフトウェア情報である例を用いて説明する。具体的には、コンピュータ2の記憶部25に記憶されたOSの名称、OSに対するパッチのバージョン、ブラウザの名称、ブラウザのパッチのバージョン、ワードプロセッサの名称、並びに、ウィルス対策ソフトウェアの名称等のソフトウェア情報である。その他、セキュリティチップ5内の制御プログラム記憶部513に記憶された制御プログラムの名称またはバージョン等が該当する。各ソフトウェアは通信部26を介して、または図示しないCD−ROM等の記録媒体を介してバージョンアップすることができるほか、新規のソフトウェアをインストールすることが可能である。なお、本実施の形態においては、説明を容易にするために、コンピュータ2のOSの名称及びバージョン、並びに、ブラウザの名称及びバージョンをソフトウェア情報として用いる形態について説明する。
【0013】
コンピュータ2、CAサーバ3、Webサーバ1及びDBサーバ4は、インターネット及び携帯電話網等を含む通信網Nを介して相互に接続されており、例えばHTTP(HyperText Transfer Protocol)等によりHTML(HyperText Markup Language)ファイル及びその他の情報を送受信する。Webサーバ1が取引処理に際し、コンピュータ2の認証を行う場合、指紋等の生体認証、コンピュータ2自身の機器認証、及び、ソフトウェア情報の認証の3つを用いる。
【0014】
以下に概要を説明する。図2はコンピュータ2側での処理手順を示す説明図、図3はWebサーバ1側での処理手順を示す説明図である。コンピュータ2は自身の機器情報及びソフトウェア情報を、暗号化鍵で暗号化する。CAサーバ3は機器自身が正当であることを示す第1電子証明書(以下、機器電子証明書という)を発行する。コンピュータ2はこの機器電子証明書内の機器公開鍵に対応する第1秘密鍵(以下、機器秘密鍵という)を用いて暗号化した機器情報及びソフトウェア情報に署名する。署名された暗号化機器情報及びソフトウェア情報は第1電子封筒内に挿入される。
【0015】
生体認証情報及び取引情報も同じく暗号化鍵で暗号化される。CAサーバ3は認証対象者(以下、ユーザという)自身が正当であることを示す第2電子証明書(以下、ユーザ電子証明書という)を発行する。コンピュータ2はこのユーザ電子証明書内のユーザ公開鍵に対応する第2秘密鍵(以下、ユーザ秘密鍵という)を用いて、第1電子封筒、並びに、暗号化した生体認証情報及び取引情報を電子署名する。最後に電子署名を付した第1電子封筒、並びに、暗号化生体認証情報及び取引情報を第2電子封筒に挿入し、Webサーバ1へ送信する。
【0016】
続いて、図3を用いてWebサーバ1側の処理を説明する。Webサーバ1はユーザ秘密鍵に対応するユーザ公開鍵をユーザ電子証明書から取り出す。Webサーバ1は第2電子封筒内の第1電子封筒、並びに、暗号化生体認証情報及び取引情報を、ユーザ公開鍵を用いて署名検証する。署名検証に成功した場合、暗号化生体認証情報及び取引情報を、復号鍵を用いて復号する。取り出された生体認証情報を用いて生体に関する認証が行われる。
【0017】
生体に関する認証に成功した場合、第1電子封筒からは、暗号化機器情報及びソフトウェア情報が取り出される。Webサーバ1は機器秘密鍵に対応する機器公開鍵を機器電子証明書から取り出す。Webサーバ1は第1電子封筒内の暗号化機器情報及びソフトウェア情報を、機器公開鍵を用いて署名検証する。署名検証に成功した場合、復号鍵を用いて暗号化機器情報及びソフトウェア情報を復号する。Webサーバ1は復号した機器情報に基づき機器に関する認証を行う。
【0018】
機器に関する認証が成功した場合、Webサーバ1はソフトウェア情報をDBサーバ4へ送信する。DBサーバ4はソフトウェア情報に基づき、ソフトウェアレベルを決定する。例えば、セキュリティレベルの高いOS等がインストールされている場合は、高いレベルとなる。このソフトウェアレベルはWebサーバ1側へ送信される。Webサーバ1はソフトウェアレベルに基づき、ソフトウェアに関する認証を行う。最後のソフトウェアに関する認証が成功、すなわち一連の認証処理が成功したことを条件に、取引情報に基づく取引処理を開始する。なお、本実施の形態においては、図2に示す如く、機器情報及びソフトウェア情報を暗号化鍵により暗号化したが、必ずしも暗号化する必要はない。
【0019】
また、生体認証情報及び取引情報をも暗号化鍵により暗号化したが、必ずしも暗号化する必要はない。本実施の形態においては、機器情報及びソフトウェア情報、並びに、生体認証情報及び取引情報の双方を暗号化する例を用いて説明する。さらに、取引情報は生体認証情報と共に第2電子封筒内に挿入する例を用いて説明するが、これに限るものではない。例えば、機器情報、ソフトウェア情報及び取引情報の3つをセットとして第1電子封筒に挿入するようにしても良い。
【0020】
図4はコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2は、セキュリティチップ5、制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、通信部26、及び、時計部28等を含む。コンピュータ2はセキュリティをより強固にすべく、CPU21が実行する処理とは独立した所定の処理を実行するセキュリティチップ5をコンピュータ2内部に実装している。
【0021】
CPU21は、バス27を介してコンピュータ2のハードウェア各部と接続されていて、それらを制御すると共に、記憶部25に格納された制御プログラムに従って、種々のソフトウェア的機能を実行する。RAM22は半導体素子等であり、CPU21の指示に従い必要な情報の書き込み及び読み出しを行う。表示部24は例えば液晶ディスプレイ、または、有機EL(Electro-Luminescence)ディスプレイ等である。入力部23はキーボード及びマウス、または、表示部24上に積層されたタッチパネル等である。通信部26は例えば有線または無線のLANカード等であり、Webサーバ1との間で情報の送受信を行う。時計部28は現在の日時情報をCPU21へ出力する。
【0022】
記憶部25はハードディスクまたは大容量フラッシュメモリであり、制御プログラム、OS251、ブラウザ252、ワードプロセッサ用アプリケーション、メーラ及びウィルス対策ソフトウェア等が記憶されている。以下では、記憶部25はハードディスクであるものとして説明する。セキュリティチップ5は、TCG(Trusted Computing Group)の仕様に基づいたTPM(Trusted Platform Module)と称されるIC(Integrated Circuit)チップであり、TCGにより策定されたセキュリティの基本機能を備える。このセキュリティチップ5をコンピュータ2に実装することにより、ソフトウェアによる攻撃及び物理的な攻撃からデータを保護し、より強固なセキュリティを実現する。
【0023】
セキュリティチップ5の詳細について説明する。セキュリティチップ5は主制御回路(以下、回路を部と省略する。)51、指紋入力部52、指紋認証部53、指紋情報記憶部54、ユーザ電子証明書記憶部55、ユーザ秘密鍵記憶部56、機器電子証明書記憶部57、機器秘密鍵記憶部58、機器情報記憶部59、暗号化処理部510、ソフトウェア情報取得部511、ソフトウェア情報記憶部512、ID記憶部515、制御プログラム記憶部513、及び、入出力部514等を含む。主制御部51は各部と接続されており、制御プログラム記憶部513に記憶された制御プログラムに従い、各種処理を実行する。セキュリティチップ5はI/Fである入出力部514及びバス27を介してコンピュータ2のメインのCPU21に接続されている。主制御部51は入出力部514を介してCPU21と情報の送受信を行う。
【0024】
コンピュータ2の起動に際してはセキュリティチップ5による生体認証が行われ、生体認証に成功したことを条件に、CPU21が動作する。CPU21はOS251を起動する。生体認証としては指紋認証、虹彩認証、手の平の静脈を利用した認証、音声認証、顔認証等、またはこれらの組み合わせが例としてあげられる。本実施の形態においては説明を容易にするために指紋認証を行う例を挙げて説明する。指紋認証は、ユーザの指紋情報を受け付ける指紋入力部52、指紋認証のためのプログラムが記憶され、指紋認証処理を実行する指紋認証部53、及び、指紋認証の基礎となる指紋情報を記憶する指紋情報記憶部54により実行される。なお、指紋認証はコンピュータ2の起動時に行うほか、Webサーバ1との間の情報の送受信時(取引時)に実行するようにしても良い。
【0025】
指紋情報記憶部54にはユーザの指紋情報が予め記憶されている。初期登録の際、主制御部51は指紋入力部52からユーザの指紋情報を取り込み、指紋情報記憶部54に記憶する。なお、指紋情報記憶部54へ指紋情報を記憶する場合、主制御部51は入力部23から入力されたユーザID及びパスワードが、ID記憶部515に予め記憶された固有のユーザID及びパスワードと一致するか否かを判断する。主制御部51は一致すると判断した場合にのみ、指紋情報の記憶を行う。なおID記憶部515にはコンピュータ2の購入時等に入力部23を介して入力されたユーザID及びパスワードが記憶されている。
【0026】
図示しない電源スイッチがオンされ、指紋認証を行う場合は、主制御部51は指紋入力部52から指紋情報を受け付ける。そして、主制御部51は、指紋認識部53内の指紋認証プログラムを起動し、指紋情報記憶部54に予め記憶した指紋情報と受け付けた指紋情報とが一致するか否かを判断する。主制御部51は、一致すると判断した場合、指紋認証に成功したことを示す指紋認証の結果をCPU21へ出力する。CPU21は指紋認証に成功したことを示す指紋認証の結果が出力された場合、OS251を起動する。
【0027】
ユーザ電子証明書記憶部55には、CAサーバ3により発行されたユーザの身元を保証するユーザ電子証明書が記憶されている。また、ユーザ秘密鍵記憶部56には、ユーザ電子証明書内に存在するユーザ公開鍵とペアのユーザ秘密鍵が記憶されている。ユーザ電子証明書の発行手順について説明する。ユーザは入力部23からユーザ名、ユーザID、または、電子メールアドレス等のユーザを特定するための認証識別情報、及び、ユーザ電子証明書の用途等を含む所有者情報を入力する。CPU21はブラウザ252を起動し、CAサーバ3へアクセスする。CPU21は、ユーザ電子証明書記憶部55に記憶されたユーザ公開鍵を読み出し、読み出した公開鍵と共に、入力部23から入力された所有者情報をCAサーバ3へ送信する。
【0028】
CAサーバ3は認証を行い、問題がない場合、所有者情報及び公開鍵に電子署名を付加する。CAサーバ3はユーザの公開鍵、所有者情報及び電子署名の3つをX.509の仕様に従いユーザ電子証明書を生成する。CAサーバ3は生成したユーザ電子証明書をコンピュータ2へ送信する。コンピュータ2CのCPU21はユーザ電子証明書を入出力部514へ送信する。主制御部51は入出力部514から出力されるユーザ電子証明書をユーザ電子証明書記憶部55に記憶する。ID記憶部515にはユーザ名、ユーザID、パスワード及びニックネーム等、ユーザを特定するための認証識別情報が記憶されている。
【0029】
ID記憶部515内のユーザを特定するための認証識別情報は、例えばコンピュータ2の購入時に入力部23を介してユーザ名、ユーザID及びパスワード等を、ID記憶部515に記憶するようにしても良い。また、電子メールアドレス及びニックネーム等、後に登録が必要な場合は、購入時に記憶したユーザID及びパスワードが一致することを条件にID記憶部515に新たな情報を記憶するようにしても良い。なお、ユーザを特定するための認証識別情報として、ユーザ電子証明書に付与された固有の証明書IDを採用しても良い。本実施の形態においては、認証識別情報としてユーザIDを用いる例を挙げて説明する。なお、暗号化される生体認証情報には、このユーザIDの他、上述した生体認証の結果を含めても良い。本実施の形態においては、ユーザID及び当該ユーザに係る生体認証が成功したことを示す生体認証の結果を生体認証情報の一例として説明する。
【0030】
機器電子証明書記憶部57には、CAサーバ3により予め発行された機器電子証明書が記憶されている。機器電子証明書には白抜き鍵印で示すセキュリティチップ5の公開鍵、機器自身を特定するための機器識別情報、機器電子証明書の有効期限及びCAサーバ3の電子署名が含まれる。なお、機器電子証明書に含まれる機器IDには、セキュリティチップ5のシリアル番号だけではなく、コンピュータ2Cのシリアル番号をもセットとして含めておいても良い。この機器電子証明書はセキュリティチップ5またはコンピュータ2の出荷時にメーカがCA認証局に対し発行を受けておくようにすればよい。機器秘密鍵記憶部58には機器電子証明書記憶部57に記憶した公開鍵とペアの機器秘密鍵(ハッチングを施した鍵印で示す)が記憶されている。この機器秘密鍵もセキュリティチップ5またはコンピュータ2の出荷時に予め機器秘密鍵記憶部58に記憶される。
【0031】
機器情報記憶部59には、機器自身を特定するための機器識別情報(以下、機器IDという)を含む機器情報が記憶されている。機器IDとしては、上述したコンピュータ2のシリアル番号、セキュリティチップ5のシリアル番号、MAC(Media Access Control)アドレス、または、機器電子証明書に付与された固有の証明書ID等を用いれば良い。機器情報は機器IDが含まれる他、セキュリティチップ5またはコンピュータ2のメーカ名、シリーズ名、及び、型番等を含めても良い。なお、機器ID等の機器情報については、予め記憶したハッシュ関数により算出したメッセージダイジェストを、真の情報に変えて用いても良い。
【0032】
ソフトウェア情報取得部511は、コンピュータ2が起動した後、コンピュータ2の停止前、所定の条件下で、または、所定時間毎に、ソフトウェア情報を取得する。具体的には、主制御部51は、ソフトウェア情報取得部511に記憶されたプログラムに従い、記憶部25内部に記憶されたOS251の名称及びバージョン、並びに、ブラウザ252の名称及びバージョンを取得する。主制御部51は、取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する。本実施の形態においては、主制御部51は、所定条件下、すなわち、オンラインバンキングにおける取引開始を条件にソフトウェア情報を取得する例を挙げて説明する。
【0033】
続いて取引情報について説明する。コンピュータ2のブラウザ252を起動し、Webサーバ1へアクセスする。オンラインバンキングにおいて例えば、入金処理を行う場合は、入金額及び入金先口座番号等の取引に関する取引情報を入力部23から入力する。また、金融商品を購入する場合、商品名及び購入数等の取引情報を入力部23から入力する。CPU21は入力された取引情報を、入出力部514を介して主制御部51へ出力する。
【0034】
続いて暗号化、電子署名及び電子封筒化処理について説明する。主制御部51は機器情報記憶部59に記憶された機器情報を読み出し、また、ソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す。主制御部51は、暗号化処理部510に記憶された暗号化プログラムに従い機器情報及びソフトウェア情報を暗号化する。主制御部51は、機器秘密鍵記憶部58に記憶した機器秘密鍵を用いて、暗号化した機器情報及びソフトウェア情報に電子署名(ディジタル署名)する。
【0035】
具体的には、主制御部51は暗号化した機器情報及びソフトウェア情報のメッセージダイジェストを、制御プログラム記憶部513に記憶されたハッシュ関数に基づき算出する。主制御部51は算出したメッセージダイジェストを機器秘密鍵により暗号化する。この暗号化したメッセージダイジェストが電子署名となる。主制御部51は暗号化された機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する。
【0036】
ここで電子封筒とは、例えばXML(extended markup language)等の構造化文書にエンベロープ(封筒)と呼ばれる情報を付加し、複数の情報を一つのファイルにパッケージングして取り扱うものである。図5は第1電子封筒のデータ構造を示す説明図である。第1電子封筒はエンベロープとなるヘッダ部331、コンテント部332及び電子署名部333を少なくとも含む。<Header>タグで囲まれるヘッダ部331には第1電子封筒であることを示す情報等が記述される。XML構造化文章である<Content>タグで囲まれるコンテント部332には、暗号化された機器情報及びソフトウェア情報が記述される。
【0037】
<Signature>タグで囲まれる電子署名部333には、コンテント部332の暗号化された機器情報及びソフトウェア情報の電子署名が記述される。主制御部51は制御プログラム記憶部513に記憶された制御プログラムに従い、予め記憶したテンプレート構造文章を読み出し、ヘッダ部331に第1電子封筒であることを示す情報等の書誌情報を記述する。また主制御部51は、コンテント部332に暗号化された機器情報及びソフトウェア情報を記述する。さらに主制御部51は、機器秘密鍵を用いて、コンテント部332に記述したコンテント、すなわち暗号化した機器情報及びソフトウェア情報の電子署名を記述し、一体となった第1電子封筒を生成する。
【0038】
続いて第2電子封筒の生成について説明する。第2電子封筒には生体認証情報及び取引情報、第1電子封筒、並びにこれらの電子署名が封入される。主制御部51はID記憶部515に記憶したユーザID及び生体認証の結果を含む生体認証情報、並びに、取引情報を、暗号化鍵記憶部518に記憶された暗号化鍵で暗号化する。主制御部51は、ユーザ秘密鍵記憶部56に記憶されたユーザ秘密鍵により、第1電子封筒、並びに、暗号化された生体認証情報及び取引情報を電子署名する。主制御部51は第1電子封筒、暗号化された生体認証情報及び取引情報、並びに、電子署名を電子封筒化し第2電子封筒を生成する。
【0039】
図6は第2電子封筒のデータ構造を示す説明図である。第2電子封筒は第1電子封筒と同じく、エンベロープとなるヘッダ部331、コンテント部332及び電子署名部333を少なくとも含む。<Header>タグで囲まれるヘッダ部331には第2電子封筒であることを示す情報等が記述される。XML構造化文章である<Content>タグで囲まれるコンテント部332には、下位属性としてさらに<第1電子封筒content>タグ及び<暗号化content>が含まれる。<第1電子封筒content>タグ内には、図5に示した第1電子封筒が記述されている。<暗号化content>タグ内には、暗号化した生体認証情報及び取引情報が記述されている。
【0040】
<Signature>タグで囲まれる電子署名部333には、コンテント部332の第1電子封筒、並びに、暗号化された生体認証情報及び取引情報の電子署名が記述される。主制御部51は制御プログラム記憶部513に記憶された制御プログラムに従い、予め記憶した第2電子封筒に係るテンプレート構造文章を読み出し、ヘッダ部331に第2電子封筒であることを示す情報等の書誌情報を記述する。また主制御部51は、コンテント部332の<第1電子封筒content>タグ内に、第1電子封筒の情報を記述し、<暗号化content>タグ内に暗号化された生体認証情報及び取引情報を記述する。
【0041】
さらに主制御部51は、ユーザ秘密鍵を用いて、コンテント部332に記述したコンテント、すなわち第1電子封筒並びに暗号化した生体認証情報及び取引情報の電子署名を記述し、一体となった第2電子封筒を生成する。以上の処理により生成された第2電子封筒は、入出力部514及び通信部26を介して、Webサーバ1へ送信される。
【0042】
図7はWebサーバ1のハードウェア群を示すブロック図である。Webサーバ1は認証制御部としてのCPU11、RAM12、入力部13、表示部14、認証記憶部たる記憶部15、通信部16、及び、時計部18等を含む。CPU11は、バス17を介してWebサーバ1のハードウェア各部と接続されていて、それらを制御すると共に、記憶部15に格納された制御プログラム15Pに従って、種々のソフトウェア的機能を実行する。
【0043】
RAM12は半導体素子等であり、CPU11の指示に従い必要な情報の書き込み及び読み出しを行う。表示部14は例えば液晶ディスプレイ等であり、入力部13はキーボード及びマウス等である。通信部16はファイアウォールとしての機能を果たすゲートウェイ等であり、コンピュータ2、CAサーバ3、DBサーバ4及び口座DB19との間で情報の送受信を行う。時計部18は現在の日時情報をCPU11へ出力する。記憶部15は例えばハードディスクであり、制御プログラム15P、HTMLファイル151、復号プログラム152、復号鍵記憶部1520、ユーザ情報DB153及び機器DB154等が記憶されている。なお、ユーザ情報DB153等は、必ずしもWebサーバ1内の記憶部15に記憶しておく必要はなく、口座DB19の如く、通信部16を介して接続されるDBサーバ(図示せず)内部に記憶し、必要に応じて読み書きするようにすれば良い。
【0044】
口座DB19には、ユーザIDに対応づけて口座番号及び残高等の金融取引に関する情報が記憶されている。CPU11は各DBのフィールドのキーを関連付けたスキーマにおいてSQL(Structured Query Language)等を用いて対話することにより、必要な情報の記憶、検索等の処理を実行する。HTML(HyperText Markup Language)ファイル151はオンラインバンキングのトップページ、登録画面、認証画面、振り込み画面及び残高確認画面等の各種処理を実行するための画面がHTML形式で記憶されている。なお、Webサーバ1においては認証処理を中心に実行させ、認証前の各種情報の送信及び認証後の金融取引処理については、図示しない他のWebサーバにより共同で実行させても良いことはもちろんである。
【0045】
Webサーバ1のCPU11は、コンピュータ2からのリクエストに応じて、対応するHTMLファイル151を適宜読み出して、通信部16を介してコンピュータ2へ送信する。復号プログラム152はコンピュータ2から送信される暗号化された情報を復号するためのプログラムである。復号鍵記憶部1520には、コンピュータ2の暗号化鍵記憶部518に記憶された暗号化鍵に対応する復号鍵が記憶されている。なおハッシュ関数は記憶部15に記憶されている。
【0046】
図8はユーザ情報DB153のレコードレイアウトを示す説明図である。ユーザ情報DB153は取引を行うユーザの情報、例えば認証識別情報としてのユーザID、ユーザ名及びユーザ電子証明書ID等を記憶している。ユーザ情報DB153は、ユーザIDフィールド、パスワードフィールド、ユーザ名フィールド、ユーザ電子証明書IDフィールド、及び、ユーザ公開鍵フィールドを含む。なお、本実施形態におけるDB内のレコード例はあくまで一例でありこれに限るものではない。データ間の関係が保持されていれば、設計に応じて自由なデータの持たせ方をすれば良い。
【0047】
ユーザIDフィールドには、コンピュータ2を使用して取引処理を実行するユーザのユーザIDが記憶されており、パスワードフィールドにはユーザIDに対応するパスワードが記憶されている。ユーザ名フィールドには、ユーザIDに対応づけてユーザ名が記憶されている。ユーザ電子証明書IDフィールドには、コンピュータ2のユーザ電子証明書を特定するための固有のユーザ電子証明書IDが記憶されている。これらの情報はオンラインバンキングの初期登録時にユーザ情報DB153に記憶するようにすればよい。ユーザ公開鍵フィールドには、ユーザ秘密鍵に対応するユーザ公開鍵が記憶されている。このユーザ公開鍵は、事前に取得、または、取引の度にコンピュータ2から送信されるユーザ電子証明書内に存在するものを取得するようにすればよい。
【0048】
CPU11は第2電子封筒から取り出した生体認証情報内の認証識別情報としてのユーザIDが、ユーザ情報DB153に記憶されたユーザIDと一致するか否かを判断する。一致する場合は、登録済みの本人による生体認証がコンピュータ2にて成功し、かつ、当該本人が取引を実行しているものとして、次の認証処理へ移行する。
【0049】
図9は機器DB154のレコードレイアウトを示す説明図である。機器DB154は取引に用いられるコンピュータ2の機器情報を記憶している。機器DB154は機器IDフィールド、機器電子証明書IDフィールド、メーカ名フィールド、型番フィールド、機器公開鍵フィールド及びユーザIDを含む。機器IDフィールドには、機器固有に付与された機器IDが記憶されている。機器電子証明書IDフィールドには、コンピュータ2の機器電子証明書記憶部57に記憶された機器電子証明書を特定するためのIDが記憶されている。メーカ名フィールドには、コンピュータ2のメーカ名が、機器IDに対応づけて記憶されている。型番フィールドには、機器IDに対応づけてコンピュータ2の型番が記憶されている。
【0050】
なお、機器ID、機器電子証明書ID、メーカ名及び型番は、上述したようにハッシュ関数に基づき算出したメッセージダイジェストとして値を記憶するようにしても良い。これらの値は、ユーザ情報と同じく、取引前にコンピュータ2から送信された情報に基づき情報が記憶される。機器公開鍵フィールドには、コンピュータ2の機器秘密鍵記憶部58に記憶された機器秘密鍵に対応する機器公開鍵が記憶されている。この機器公開鍵は、事前に取得、または、取引の度にコンピュータ2から送信される機器電子証明書内に存在するものを取得するようにすればよい。ユーザIDフィールドにはコンピュータ2を使用するユーザを特定するためのユーザIDが記憶されている。これらの情報は初期登録時に収集し、機器DB154に記憶しておけばよい。
【0051】
CPU11は第1電子封筒内の機器情報として、機器ID、メーカ名及び型番を抽出する。CPU11は抽出した機器IDが、機器DB154に記憶された機器IDに一致するか否かを判断する。一致すると判断した場合、予め許可されたコンピュータ2からの取引要求であると判断し、次の認証処理へ移行する。
【0052】
CPU11は第1電子封筒内のソフトウェア情報、メーカ名及び型番を、通信部16を介してDBサーバ4へ送信する。すなわち、コンピュータ2のソフトウェア環境は、更新及び新規インストール等により、動的に変化することから、外部のDBサーバ4により、ソフトウェアに対する安全性を示す評価を実行することとしたものである。DBサーバ4はソフトウェア情報に基づき、安全性を示すレベルをWebサーバ1へ送信する。なお、DBサーバ4へ送信する情報はソフトウェア情報だけでも良いが、より精度を高めるべく、メーカ名及び型番の情報をもあわせてDBサーバ4へ送信しても良い。
【0053】
ソフトウェアに関する情報の収集、及びレベル付与は、銀行等の取引会社が単独で管理・運営することが困難であるため、DBサーバ4により、実行させることとしたものである。もちろん、銀行等が独自にDBサーバ4を構築しても良い。またDBサーバ4が、取引当事者以外の第3者により運営されるものであっても、本実施の形態においてはソフトウェア情報、メーカ名及び型番等、ユーザを特定する情報を送信しないため、個人情報をも十分に保護することが可能となる。
【0054】
図10はDBサーバ4のハードウェア群を示すブロック図である。DBサーバ4はCPU41、RAM42、通信部46及び記憶部45を含む。CPU41は、バス47を介してDBサーバ4のハードウェア各部と接続されていて、それらを制御すると共に、記憶部45に格納された制御プログラムに従って、種々のソフトウェア的機能を実行する。RAM42は半導体素子等であり、CPU41の指示に従い必要な情報の書き込み及び読み出しを行う。通信部46はファイアウォールとしての機能を果たすゲートウェイ等である。
【0055】
記憶部45内部にはソフトウェアDB451及び評価テーブル452が格納されている。ソフトウェアDB451は、コンピュータ2のメーカ名及び型番別に、ソフトウェア毎の安全性の程度を示すポイントを記憶している。図11はソフトウェアDB451のレコードレイアウトを示す説明図である。ソフトウェアDB451は、コンピュータ2のメーカ名及び型番別に、ソフトウェア情報及びポイントを記憶している。図の例はメーカF社の型番「FM001」のソフトウェア情報及びポイントを示す。
【0056】
ソフトウェアDB451は、ソフトウェア種別フィールド、名称フィールド、バージョンフィールド及びポイントフィールドを含む。ソフトウェア種別フィールドには、OS251、ブラウザ252、ウィルス対策ソフト、メーラ等のソフトウェアの種別が記憶されている。名称フィールドにはソフトウェア種別に属するソフトウェアの名称が記憶されている。例えばマイクロソフト社のWindows Vista(登録商標)等のOS251の名称が記憶される他、インターネットエクスプローラ(登録商標)等のブラウザ252の名称が記憶される。バージョンフィールドには各ソフトウェアのバージョンが記憶されている。
【0057】
DBサーバ4の管理者はソフトウェアの販売、バージョンアップの度に、これらの情報を追加する。ポイントフィールドには各ソフトウェアのバージョン別に安全性の程度を示すポイントが記憶されている。本実施形態においてはポイントが高いほど安全であることを示している。CPU11はWebサーバ1から送信されたソフトウェア情報、メーカ名及び型番をキーにソフトウェアDB451を検索し、ソフトウェアのバージョンに対応するポイントを抽出する。CPU11は抽出した各ソフトウェアに係るポイントの合計値を算出する。例えば、OS251が「Win Vis」、バージョンが「Service2.0」、ブラウザ252が「IEX」、バージョンが「Ver1.0」の場合、ポイント6にポイント3を加算して合計値は9となる。
【0058】
評価テーブル452には合計値に対応づけて安全性を示すレベルが記憶されている。このレベルは例えば5段階で示され、数値が低いほど脆弱であり安全性が低い。CPU11は合計値に対応するレベルを評価テーブル452から読み出し、読み出したレベルをWebサーバ1へ送信する。Webサーバ1はこのレベルが所定値以上、例えば4以上の場合に、第2封筒内の取引情報に基づき、取引処理を開始する。この所定値は記憶部15に予め記憶されており、オンラインバンキングの管理者のセキュリティポリシーに応じて、入力部13から適宜の値を入力することが可能である。
【0059】
以上のハードウェアにおいて認証処理の手順を、フローチャートを用いて説明する。図12乃至図15は第2電子封筒生成処理の手順を示すフローチャートである。オンラインバンキングサービスを利用するユーザはコンピュータ2の図示しない主電源スイッチをオンする。なお、上述したユーザ登録、機器電子証明書、暗号化鍵及びユーザ電子証明書等の登録、記憶及び申請等は既に完了しているものとして説明する。セキュリティチップ5はオン状態となる(ステップS121)。主制御部51は指紋情報を指紋入力部52から受け付ける(ステップS122)。
【0060】
主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS123)。主制御部51は一致しないと判断した場合(ステップS123でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS123でYES)、入出力部514を介して、起動許可を示す信号をCPU21へ出力する。CPU21はOS251を起動する(ステップS124)。
【0061】
CPU21は入力部23からの指示に従い、ブラウザ252を起動し(ステップS125)、Webサーバ1へアクセスする。表示部24のブラウザ252上にはオンラインバンキングのトップページが表示される。ユーザはサービスへログインすべくユーザID及びパスワードを入力する。CPU21は入力部23から入力されたユーザID及びパスワードを受け付け(ステップS126)、Webサーバ1へ送信する(ステップS127)。Webサーバ1のCPU11は通信部16を介して、送信されたユーザID及びパスワードを受信する(ステップS128)。
【0062】
CPU11は受信したユーザID及びパスワードが、ユーザ情報DB153に記憶されたユーザID及びパスワードに一致するか否かを判断する(ステップS129)。CPU11は一致しないと判断した場合(ステップS129でNO)、不正なアクセスであるとして処理を終了する。一方、一致すると判断した場合(ステップS129でYES)、HTMLファイル151に記憶されたサービス画面を送信する(ステップS131)。コンピュータ2のCPU21は、サービス画面を受信し(ステップS132)、受信したサービス画面をブラウザ252に表示する(ステップS133)。
【0063】
図16はサービス画面のイメージを示す説明図である。取引内容としては残高照会、振り込み及び投資信託に関する相談等が存在する。図16の例では、振り込み処理が実行される例を説明している。CPU21は入力部23から取引情報を入力する。図の例では、取引情報として、振り込み処理をする旨の情報、振込先の口座情報、及び、振り込み金額等が入力されている。CPU21は入力部23から入力された取引情報を受け付ける(ステップS134)。CPU21は入力部23から手続及び認証開始を示す手続開始ボタン241の入力を受け付けたか否かを判断する(ステップS135)。
【0064】
CPU21は手続開始ボタン241の入力を受け付けていないと判断した場合(ステップS135でNO)、入力を受け付けるまで待機する。一方、CPU21は入力を受け付けたと判断した場合(ステップS135でYES)、ステップS134で受け付けた取引情報を、入出力部514を介して主制御部51へ出力する。主制御部51は取引情報の受け付けをトリガに、制御プログラム記憶部513に記憶した制御プログラムを起動し、指紋認証を要求する情報を、入出力部514を介して、CPU21へ出力する。
【0065】
CPU21は、指紋認証要求情報を受けて、指紋入力を促す画面242を図16の如くポップアップ表示する(ステップS136)。このように、ステップS122での指紋情報の受け付けに加えて、再度指紋情報の入力を要求しても良い。これにより、第1回目の指紋認証から取引情報入力までの間のなりすましを防止することができる。また、取引情報を入力した直後に、ユーザ自身の指紋を入力することは、当該取引を自身の意思により認めたことと等価であることから、商取引における意思表示をより強固に立証することが可能となる。主制御部51は、指紋入力部52から入力された指紋情報を受け付ける(ステップS137)。主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS138)。
【0066】
主制御部51は一致しないと判断した場合(ステップS138でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS138でYES)、生体認証に成功したことを示す生体認証の結果をID記憶部515に記憶する(ステップS139)。主制御部51はソフトウェア情報取得部511に記憶されたソフトウェア情報取得プログラムを起動し(ステップS141)、ソフトウェア情報を取得する(ステップS142)。具体的には、主制御部51が、OS251の名称及びバージョン、並びに、ブラウザ252の名称及びバージョンを記憶部25またはレジストリ等から読み出すことにより取得する。CPU21は取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する(ステップS143)。
【0067】
主制御部51は機器情報記憶部59から機器ID、メーカ名及び型番を含む機器情報を読み出す(ステップS144)。主制御部51はソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す(ステップS145)。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す(ステップS146)。主制御部51は暗号化鍵により、機器情報及びソフトウェア情報を暗号化する(ステップS147)。主制御部51は機器秘密鍵記憶部58から機器秘密鍵を読み出す(ステップS148)。
【0068】
主制御部51は暗号化した機器情報及びソフトウェア情報を機器秘密鍵により電子署名する(ステップS149)。主制御部51は暗号化した機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する(ステップS151)。主制御部51はID記憶部515からユーザID及びステップS139で記憶した生体認証の結果を含む生体認証情報を読み出す(ステップS152)。当該読み出し処理後、主制御部51はID記憶部515に記憶した生体認証の結果に関する情報を消去する。
【0069】
主制御部51は生体認証情報及びステップS134で受け付けた取引情報を暗号化鍵により暗号化する(ステップS153)。なお、ステップS153における暗号化鍵とステップS147における暗号化鍵を同一のものとして説明しているが、異なる暗号化鍵を用いても良い。主制御部51はユーザ秘密鍵記憶部56からユーザ秘密鍵を読み出す(ステップS154)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報をユーザ秘密鍵により電子署名する(ステップS155)。具体的には第1電子封筒、暗号化した生体認証情報及び取引情報のメッセージダイジェストを算出し、ユーザ秘密鍵により暗号化することで電子署名を得る。
【0070】
主制御部51は第1電子封筒、暗号化した生体認証情報及び取引情報、並びにステップS155における電子署名を電子封筒化し、第2電子封筒を生成する(ステップS156)。主制御部51は第2電子封筒を、入出力部514及び通信部26を介してWebサーバ1へ送信する(ステップS157)。なお、第2電子封筒の送信と共に、第2電子封筒内に、機器電子証明書及びユーザ電子証明書をも封入して送信しても良い。Webサーバ1のCPU11は、通信部16を介して第2電子封筒を受信する(ステップS158)。
【0071】
図17乃至図20はWebサーバ1における認証処理手順を示すフローチャートである。Webサーバ1のCPU11はユーザIDに対応するユーザ公開鍵をユーザ情報DB153から読み出す(ステップS171)。なお、第2電子封筒と共に送信された機器電子証明書及びユーザ電子証明書から、それぞれ機器公開鍵及びユーザ公開鍵を取り出すようにしても良い。CPU11は受信した第2電子封筒内の電子署名の検証を行う(ステップS172)。具体的には、第2電子封筒内の第1電子封筒並びに暗号化された生体認証情報及び取引情報のメッセージダイジェストを、記憶部15に記憶したハッシュ関数により算出する。CPU11は電子署名をユーザ公開鍵で復号することによりメッセージダイジェストを得る。このメッセージダイジェストと、算出したメッセージダイジェストとが一致している場合は、改竄がなく、電子署名の検証は成功と判断される。一致しない場合は、改竄の可能性があり、電子署名の検証は失敗と判断される。
【0072】
CPU11は検証に成功したか否かを判断する(ステップS173)。CPU11は検証に失敗したと判断した場合(ステップS173でNO)、処理を終了する。一方、CPU11は検証に成功したと判断した場合(ステップS173でYES)、復号鍵記憶部1520から復号鍵を読み出す(ステップS174)。CPU11は復号プログラム152を起動し、暗号化された生体認証情報及び取引情報を復号する(ステップS175)。CPU11は復号した生体認証情報中に生体認証の成功を示す生体認証の結果が存在するか否かを判断する(ステップS176)。CPU11は存在していないと判断した場合(ステップS176でNO)、生体認証を経ていないか或いは生体認証に失敗したものとして、処理を終了する。
【0073】
一方、CPU11は生体認証の結果が存在すると判断した場合(ステップS176でYES)、生体認証情報中のユーザIDが、ユーザ情報DB153に記憶された上述のユーザ公開鍵に対応するユーザIDに一致するか否かを判断する(ステップS177)。CPU11は一致しないと判断した場合(ステップS177でNO)、処理を終了する。CPU11は一致すると判断した場合(ステップS177でYES)、ユーザIDに対応する機器公開鍵を機器DB154から読み出す(ステップS178)。
【0074】
CPU11は第1電子封筒内の電子署名の検証を行う(ステップS179)。具体的には第1電子封筒内の暗号化された機器情報及びソフトウェア情報に対してなされた電子署名の検証を、ステップS173と同様に行う。CPU11は検証に成功したか否かを判断する(ステップS181)。CPU11は検証に失敗したと判断した場合(ステップS181でNO)、改竄があったとして処理を終了する。一方CPU11は検証に成功したと判断した場合(ステップS181でYES)、暗号化された機器情報及びソフトウェア情報を復号鍵により復号する(ステップS182)。
【0075】
CPU11は復号により得られた機器情報中の機器IDが、機器DB154に記憶された機器公開鍵及びユーザIDに対応する機器IDに一致するか否かを判断する(ステップS183)。CPU11は一致しないと判断した場合(ステップS183でNO)、処理を終了する。一方CPU11は機器IDが一致すると判断した場合(ステップS183でYES)、機器情報中のメーカ名及び型番、並びに、ソフトウェア情報をDBサーバ4へ送信する(ステップS184)。
【0076】
DBサーバ4のCPU41は、通信部46を介して送信された機器情報中のメーカ名及び型番、並びに、ソフトウェア情報を受信する(ステップS185)。CPU41はメーカ名及び型番、並びに、ソフトウェア情報に対応するポイントをソフトウェアDB451から抽出する(ステップS186)。CPU41は各ソフトウェアの抽出したポイントの合計値を算出する(ステップS187)。CPU41は合計値に対応するレベルを評価テーブル452から読み出す(ステップS188)。なお、レベルの算出処理はあくまで一例であり、ソフトウェアにより重みを変更する等しても良い。例えばOS251のポイントには重み計数1.5を乗じ、ブラウザ252には重み計数1.1を乗じる。以下ではソフトウェアの安全性に関するレベルをソフトウェアレベルという。
【0077】
CPU41は読み出したソフトウェアレベルをWebサーバ1へ送信する(ステップS189)。Webサーバ1のCPU11はソフトウェアレベルを受信する(ステップS191)。CPU11はソフトウェア基準レベルを、記憶部15から読み出す(ステップS192)。CPU11は、ソフトウェアレベルは、ソフトウェア基準レベル以上であるか否かを判断する(ステップS193)。CPU11は、ソフトウェア基準レベル以上でないと判断した場合(ステップS193でNO)、脆弱であると判断し処理を終える。
【0078】
一方、CPU11はソフトウェア基準レベル以上であると判断した場合(ステップS193でYES)、認証に成功したことを示すフラグを記憶部15に記憶する(ステップS194)。CPU11は、ステップS175により復号された取引情報に基づき、口座DB19に対し、振り込み処理を開始する(ステップS195)。CPU11は振込完了画面をHTMLファイル151から読み出し(ステップS196)、コンピュータ2へ送信する(ステップS197)。このように改竄が無く、取引主体の認証に成功したことを条件に、コンピュータ2を特定するための機器ID等の個人情報に関する認証処理が実行されるためプライバシーの保護をも図ることが可能となる。また、取引当事者以外の第3者へは、個人情報とは関係のないソフトウェア情報が通知されるだけであり、個人情報の漏洩に関する問題も生じない。
【0079】
実施の形態2
実施の形態2はタイムスタンプを適用する形態に関する。タイムスタンプを付与するタイムスタンプサーバを別途利用しても良いが、説明を容易にするために本実施の形態においてはCAサーバ3がタイムスタンプサーバとしての機能を有するものとして説明する。本実施の形態においては、単に第2電子封筒にタイムスタンプトークンを付するのではなく、生体、機器、ソフトウェア、及び取引これら4つのアクションが所定時間内、例えば数秒以内に完結したことを条件にタイムスタンプトークンを付与する。以下にフローチャートを用いて詳細な処理を説明する。
【0080】
図21乃至図24は実施の形態2に係るコンピュータ2における電子封筒化処理の手順を示すフローチャートである。実施の形態1で述べたステップS133以降、以下の処理を行う。コンピュータ2のCPU21は入力部23から入力された取引情報を受け付ける(ステップS211)。CPU21は入力部23から手続及び認証開始を示す手続開始ボタン241の入力を受け付けたか否かを判断する(ステップS212)。
【0081】
CPU21は手続開始ボタン241の入力を受け付けていないと判断した場合(ステップS212でNO)、入力を受け付けるまで待機する。一方、CPU21は入力を受け付けたと判断した場合(ステップS212でYES)、時計部28の出力を参照し日時を取得する(ステップS213)。以下では、ステップS213で取得した日時を取引日時という。CPU21は、ステップS211で受け付けた取引情報及び取得した取引日時を、入出力部514を介して主制御部51へ出力する。主制御部51は取引情報の受け付けをトリガに、制御プログラム記憶部513に記憶した制御プログラムを起動する。なお、主制御部51は手続開始ボタン241の入力を受け付けたと判断した場合、時計部28またはセキュリティチップ5内の時計部(図示せず)から出力される日時を取得するようにしても良い。主制御部51は受け付けた取引日時を内部のメモリに記憶する(ステップS214)。
【0082】
主制御部51は、指紋認証を要求する情報を、入出力部514を介して、CPU21へ出力する。CPU21は、指紋認証要求情報を受けて、指紋入力を促す画面242を図16の如く表示する(ステップS215)。主制御部51は、指紋入力部52から入力された指紋情報を受け付ける(ステップS216)。主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS217)。なお、本実施の形態においては、取引開始後、生体認証、ソフトウェア情報の収集、機器情報の読み出しの順に処理を進めるがこの順序に限るものではない。
【0083】
主制御部51は一致しないと判断した場合(ステップS217でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS217でYES)、時計部28の出力を参照し日時を取得する(ステップS218)。以下ではステップS218で取得した日時を生体日時という。主制御部51は、生体認証に成功したことを示す生体認証の結果及び生体日時をID記憶部515に記憶する(ステップS219)。主制御部51はソフトウェア情報取得部511に記憶されたソフトウェア情報取得プログラムを起動し(ステップS221)、ソフトウェア情報を取得する(ステップS222)。CPU21は取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する(ステップS223)。
【0084】
主制御部51は時計部28の出力を参照し、日時を取得する(ステップS224)。以下では、ステップS224により取得した日時をソフトウェア日時という。主制御部51は、ソフトウェア情報記憶部512に、取得したソフトウェア日時を記憶する(ステップS225)。主制御部51は機器情報記憶部59から機器ID、メーカ名及び型番を含む機器情報を読み出す(ステップS226)。主制御部51は時計部28の出力を参照し日時を取得する(ステップS227)。以下ではステップS227で取得した日時を機器日時という。主制御部51は取得した機器日時を内部のメモリに記憶する。
【0085】
主制御部51はソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す(ステップS228)。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す(ステップS229)。主制御部51は暗号化鍵により、機器情報及びソフトウェア情報を暗号化する(ステップS231)。主制御部51は機器秘密鍵記憶部58から機器秘密鍵を読み出す(ステップS232)。
【0086】
主制御部51は暗号化した機器情報及びソフトウェア情報を機器秘密鍵により電子署名する(ステップS233)。主制御部51は暗号化した機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する(ステップS234)。主制御部51はID記憶部515からユーザID及びステップS219で記憶した生体認証の結果を含む生体認証情報を読み出す(ステップS235)。当該読み出し処理後、主制御部51はID記憶部515に記憶した生体認証の結果に関する情報を消去する。
【0087】
主制御部51は生体認証情報及びステップS211で受け付けた取引情報を暗号化鍵により暗号化する(ステップS236)。主制御部51はユーザ秘密鍵記憶部56からユーザ秘密鍵を読み出す(ステップS237)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報をユーザ秘密鍵により電子署名する(ステップS238)。主制御部51は、内部のメモリに記憶した所定時間を読み出す(ステップS239)。主制御部51は取得した取引日時、生体日時、機器日時及びソフトウェア日時を読み出す(ステップS241)。
【0088】
主制御部51は、読み出した日時から、最も早い日時及び最も遅い日時を抽出し、これらの差分に基づき認証に要した認証時間を算出する(ステップS242)。この所定時間は例えば10秒等、セキュリティポリシーに応じて適宜増減すればよい。主制御部は認証時間が所定時間内に属するか否かを判断する(ステップS243)。主制御部51は所定時間内に属しないと判断した場合(ステップS243でNO)、例えば取引開始から1時間経過している場合、セキュリティレベルが低下することから、処理を終了する。これにより取引及び3つの認証に多くの時間が発生することに伴うなりすましの危険性を低減することが可能となる。
【0089】
主制御部51は、認証時間が所定時間内に属すると判断した場合(ステップS243でYES)、第1電子封筒、暗号化した生体認証情報及び取引情報のメッセージダイジェストを算出する(ステップS244)。主制御部51は算出したメッセージダイジェスト及びタイムスタンプの取得要求をCAサーバ3へ送信する(ステップS245)。CAサーバ3は、時刻配信事業者のサーバ(図示せず)から正確な第2電子封筒の生成時刻を取得する。CAサーバ3は自身の秘密鍵により取得した正確な生成時刻及びメッセージダイジェストについて電子署名を行う。CAサーバ3は生成時刻、メッセージダイジェスト及び電子署名を含むタイムスタンプトークンをコンピュータ2へ送信する。
【0090】
コンピュータ2の主制御部51はタイムスタンプトークンを受信する(ステップS246)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報、タイムスタンプトークン、並びに、ステップS238における電子署名を電子封筒化し、第2電子封筒を生成する(ステップS247)。主制御部51は第2電子封筒を、入出力部514及び通信部26を介してWebサーバ1へ送信する(ステップS248)。Webサーバ1のCPU11は、通信部16を介して第2電子封筒を受信する(ステップS249)。
【0091】
第2電子封筒を受信したWebサーバ1は実施の形態1で述べた認証処理に先立ち以下の処理を行う。図25はタイムスタンプの認証処理の手順を示すフローチャートである。CPU11は第2電子封筒からタイムスタンプトークンを読み出す(ステップS251)。CPU11はCAサーバ3に対し、CAサーバ3が所有する秘密鍵に対応する公開鍵の取得要求を行う(ステップS252)。CPU11は公開鍵を受信する(ステップS253)。
【0092】
CPU11は公開鍵に基づき、タイムスタンプトークン内の電子署名の検証を行う(ステップS254)。具体的には、CPU11は電子署名を公開鍵により復号し、メッセージダイジェストを取り出す。CPU11はタイムスタンプトークン内の生成時刻及びメッセージダイジェスト(第1電子封筒並びに暗号化生体認証情報及び取引情報のハッシュ値)のメッセージダイジェストを算出する。CPU11は、この算出したメッセージダイジェストと、公開鍵により得たメッセージダイジェストとが一致するか否かにより検証が成功したか否かを判断する(ステップS255)。
【0093】
CPU11は検証に成功しなかったと判断した場合(ステップS255でNO)、タイムスタンプに関し何らかの改竄があったか、または、所定時間内に処理されなかったものとして処理を終了する。一方CPU11は検証に成功したと判断した場合(ステップS255でYES)、タイムスタンプトークン内の生成時刻を記憶部15に記憶する(ステップS256)。以降の処理は実施の形態1のステップS171以降と同様であるので詳細な説明は省略する。これにより、株取引など厳密な時間が要求される取引、または、高額な商品取引においても日時が正確に決定されることから、取引の信頼性を向上させることが可能となる。その上、ユーザの取引意思と、生体、機器及びソフトウェアの3つの認証とが、電子封筒管理及び時間管理により、一体的に統合されることから、インターネット及び携帯電話網等のあらゆるネットワークに接続される機器の認証レベルを向上させることが可能となる。
【0094】
本実施の形態2は以上の如きであり、その他は実施の形態1と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0095】
実施の形態3
図26は実施の形態3に係るコンピュータ2のハードウェア群を示すブロック図である。実施の形態3に係るコンピュータ2及びセキュリティチップ5を動作させるためのプログラムは、本実施の形態3のように、CD−ROM等の可搬型記録媒体1Aで提供することも可能である。さらに、プログラムを、通信網Nを介して図示しない他のサーバコンピュータからダウンロードすることも可能である。以下に、その内容を説明する。
【0096】
図26に示すコンピュータ2の図示しない記録媒体読み取り装置に、第1秘密鍵を読み出させ、電子署名をさせる等のプログラムが記録された可搬型記録媒体1Aを、挿入して制御プログラム記憶部513の制御プログラム内にこのプログラムをインストールする。または、かかるプログラムを、通信部26を介して外部の図示しない他のサーバコンピュータからダウンロードする。そして主制御部51の指示のもと、制御プログラム記憶部513にインストールする。これにより、上述のようなコンピュータ2及びセキュリティチップ5として機能する。
【0097】
本実施の形態3は以上の如きであり、その他は実施の形態1及び2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0098】
実施の形態4
実施の形態1においては、コンピュータ2がセキュリティチップ5を実装する例を説明したが、これに限るものではない。セキュリティチップ5の主制御部51が実行した処理を、セキュリティチップ5を実装しないコンピュータ2のCPU21が、同様に実行するようにしても良い。その他、一部の機能をセキュリティチップ5の主制御部51が実施し、一部の処理をCPU11が実行するようにしても良い。
【0099】
図27は実施の形態4のコンピュータ2のハードウェア群を示すブロック図である。セキュリティチップ5内に記憶されていた、機器電子証明書記憶部57、機器秘密鍵記憶部58及び機器情報記憶部59が、記憶部25に記憶され、CPU21が処理する点で、実施の形態1と相違する。この場合、ハードディスク等の機器情報記憶部59の記憶内容が容易に変更される可能性が高い。従って、全ての認証をセキュリティチップ5にて実行する場合と比較して、セキュリティレベルは低下する。実施の形態4においてはセキュリティチップ5の主制御部51ではなく、CPU21が、記憶部25に記憶された機器秘密鍵を用いて電子署名を行う。
【0100】
また、実施の形態1においては、生体認証として、指紋認証を行ったが、各コンピュータ2は、顔認証、指紋認証、手の平静脈認証、またはこれらの組み合わせにより行われる。このように生体認証の種類によってもセキュリティレベルは相違する。このようにコンピュータ2それぞれに、生体に関するセキュリティレベル(以下、生体レベル)、機器に関するセキュリティレベル(以下、機器レベル)、及びソフトウェアに関するセキュリティレベル(以下、ソフトウェアレベル)が相違する。本実施の形態においては、Webサーバ1はこれら3つのレベルを考慮して認証処理を行う。
【0101】
実施の形態4においては、ステップS152において読み出される生体認証情報には、さらに生体認証処理の種別(以下、生体種別という)が含まれる。この生体種別として、以下では、顔認証、指紋認証、手の平静脈認証、並びに、指紋認証及び手の平静脈認証の組み合わせを例として説明する。また、ステップS142で読み出される機器情報には機器のセキュリティに関する種別(以下、機器種別)が含まれる。この種別として、以下では、「機器秘密鍵による電子署名はCPU21が実行」、及び、「機器秘密鍵による電子署名はセキュリティチップ5が実行」とする例を挙げて説明する。すなわち、前者は実施の形態4のコンピュータ2、後者は実施の形態1のコンピュータ2ということになる。
【0102】
図28は実施の形態4に係るWebサーバ1のハードウェア群を示すブロック図である。記憶部15にはさらに静的評価テーブル155及び総合評価テーブル156が設けられている。図29は静的評価テーブル155のレコードレイアウトを示す説明図である。静的評価テーブル155はコンピュータ2の購入後セキュリティレベルが原則として変化しない生体認証情報及び機器情報に基づく静的レベルを記憶している。横方向には、生体レベル及び生体種別が記憶されている。生体レベルは数値が高いほど、安全性が高いことを示す。生体種別毎に生体レベルが付与されている。顔認証には生体レベル1、指紋認証には生体レベル2、手の平静脈認証には生体レベル3、指紋認証及び手の平静脈認証双方の認証を経たものには最高の生体レベル4が付与されている。
【0103】
一方、縦軸方向には機器レベル及び機器種別が記憶されている。機器レベルは数値が高いほど安全性が高いことを示す。機器種別毎に機器レベルが付与されている。「機器秘密鍵による電子署名はCPU21が実行」には機器レベル1が付与され、「機器秘密鍵による電子署名はセキュリティチップ5が実行」には機器レベル2が付与されている。静的評価テーブル155は生体レベル及び機器レベルの双方に基づく静的レベルをマトリクス状に記憶している。静的レベルは数値が高いほど安全性が高いことを示す。
【0104】
CPU11はコンピュータ2から生体認証情報及び機器情報を受信し、生体認証情報中の生体種別及び機器情報中の機器種別を読み出す。そして、CPU11は生体種別及び機器種別に対応する静的レベルを、静的評価テーブル155から読み出す。図30は総合評価テーブル156のレコードレイアウトを示す説明図である。総合評価テーブル156は静的レベル及びソフトウェアレベルの双方に基づき、認証を許可するサービスを記憶している。横軸方向は静的レベルであり、縦軸方向はソフトウェアレベルである。なお、本実施の形態においては説明を容易にするために、ソフトウェアレベルは3段階とし、数値が高いほど安全性が高いことを示すものとして説明する。
【0105】
静的レベル及びソフトウェアレベルの双方が低い値の場合、取引不可となる。すなわち、改竄等がない場合でも、総合的にセキュリティレベルが低いことから、Webサーバ1のCPU11は認証不可の情報をコンピュータ2へ送信する。ある程度静的レベル及びソフトウェアレベルが高い場合は、残高照会のみが記憶されている。CPU11は、取引情報が残高照会の場合にのみ認証許可を示す情報をコンピュータ2へ送信する。静的レベル及びソフトウェアレベルの双方が十分に高い場合、残高照会、振り込み及び金融商品取引の3つが記憶されている。CPU11は取引情報が残高照会、振り込みまたは金融商品取引のいずれかである場合、認証許可を示す情報をコンピュータ2へ送信する。
【0106】
図31及び図32は最終認証処理の手順を示すフローチャートである。CPU11はステップS175で復号された生体認証情報中の生体種別を抽出する(ステップS311)。CPU11はステップS182で復号された機器情報中の機器種別を抽出する(ステップS312)。なお、本実施の形態においてはコンピュータ2側において生体認証情報中に生体種別、及び、機器情報中に機器種別を含める例を挙げて説明するがこれに限るものではない。例えば、機器情報中のコンピュータ2のメーカ名及び型番から生体種別及び機器種別を取得するようにしても良い。この場合、Webサーバ1またはDBサーバ4において、メーカ名及び型番に対応づけて、生体種別及び機器種別を記憶しておき、対応する生体種別及び機器種別を抽出するようにしても良い。例えばメーカ名「F社」の型番「FM100」は、生体種別が「手の平静脈認証」、機器種別が「機器秘密鍵による電子署名はセキュリティチップ5が実行」等の情報が記憶されている。この場合、静的レベルは4となる。
【0107】
CPU11は抽出した生体種別及び機器種別に基づき、静的レベルを静的評価テーブル155から読み出す(ステップS313)。CPU11はステップS191で述べた如くソフトウェアレベルをDBサーバ4から受信する(ステップS314)。CPU11は、静的レベル及びソフトウェアレベルに基づき、総合評価テーブル156から認証を許可するサービスを読み出す(ステップS315)。CPU11は認証を許可するサービスが存在するか否かを判断する(ステップS316)。
【0108】
CPU11は、認証を許可するサービスが存在しない場合(ステップS316でNO)、つまり総合評価テーブル156に取引不可と記憶されている場合、認証不可を示す情報をコンピュータ2へ送信する(ステップS317)。一方CPU11は認証を許可するサービスが記憶されていると判断した場合(ステップS316でYES)、ステップS175で復号した取引情報を読み出す(ステップS318)。CPU11は、取引情報がステップS315で読み出したサービスに含まれるか否かを判断する(ステップS319)。CPU11は取引情報が読み出したサービスに含まれないと判断した場合(ステップS319でNO)、認証不可を示す情報をコンピュータ2へ送信する(ステップS321)。
【0109】
CPU11は、取引情報が読み出したサービスに含まれると判断した場合(ステップS319でYES)、認証許可を示す情報を送信する(ステップS322)。以降の処理はステップS194以降と同様であるので詳細な説明を省略する。これにより、生体、機器及びソフトウェアの3つのセキュリティを総合的に評価し、セキュリティポリシーに合致するクライアントに対して、差別化したサービスを提供することが可能となる。また、セキュリティポリシーをサービス提供者のサービス内容に応じて適宜変更することが可能となることから、改竄防止を図りつつ、柔軟な認証処理が可能となる。
【0110】
本実施の形態4は以上の如きであり、その他は実施の形態1乃至3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0111】
以上の実施の形態1乃至4を含む実施形態に関し、さらに以下の付記を開示する。
【0112】
(付記1)
情報処理を行う情報処理装置において、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を外部へ送信する手段と
を備えることを特徴とする情報処理装置。
【0113】
(付記2)
前記収集手段は、
記憶部に記憶されたソフトウェアに関する環境情報を使用環境として収集する
ことを特徴とする付記1に記載の情報処理装置。
【0114】
(付記3)
取引に関する取引情報を入力部から受け付ける受け付け手段を備え、
前記第2署名手段は、
生体認証情報、前記受け付け手段により受け付けた取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名し、
前記第2生成手段は、
前記第2署名手段により電子署名された生体認証情報、取引情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する
ことを特徴とする付記1に記載の情報処理装置。
【0115】
(付記4)
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を予め記憶した暗号鍵で暗号化する暗号化手段を備え、
前記署名手段は、
前記暗号化手段により暗号化した装置情報及び環境情報を、前記第1秘密鍵により電子署名する
ことを特徴とする付記3に記載の情報処理装置。
【0116】
(付記5)
生体認証情報及び前記受け付け手段により受け付けた取引情報を暗号鍵で暗号化する第2暗号化手段を備え、
前記第2署名手段は、
前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする付記4に記載の情報処理装置。
【0117】
(付記6)
前記生体認証情報は、認証対象者を特定するための認証識別情報、及び、生体認証の結果に関する情報を含む
ことを特徴とする付記5に記載の情報処理装置。
【0118】
(付記7)
前記生体認証情報は、認証対象者を特定するための認証識別情報、生体認証処理の種別及び生体認証の結果に関する情報を含む
ことを特徴とする付記5に記載の情報処理装置。
【0119】
(付記8)
所定の処理を実行するチップを備え、
該チップは、
認証対象者の生体情報を記憶する生体情報記憶部と、
外部から受け付けた生体情報と前記生体情報記憶部に記憶した生体情報とが一致するか否か判断する判断手段とを備え、
前記第2署名手段は、
前記チップ内に設けられ、前記判断手段により生体情報が一致する場合に、前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする付記5に記載の情報処理装置。
【0120】
(付記9)
前記チップは、
装置情報を記憶する装置情報記憶部と、
装置に関連する第1電子証明書を記憶する第1電子証明書記憶部と、
前記第1電子証明書に対応する第1秘密鍵を記憶する第1秘密鍵記憶部とを備え、
前記読み出し手段は、
前記チップ内に設けられ、前記装置情報記憶部に記憶された装置情報を読み出し、
前記第1読み出し手段は、
前記チップ内に設けられ、前記第1電子証明書記憶部から読み出した第1電子証明書に対応する第1秘密鍵を、前記第1秘密鍵記憶部から読み出す
ことを特徴とする付記8に記載の情報処理装置。
【0121】
(付記10)
前記チップは、
認証対象者に関連する第2電子証明書を記憶する第2電子証明書記憶部と、
前記第2電子証明書に対応する第2秘密鍵を記憶する第2秘密鍵記憶部とを備え、
前記第2読み出し手段は、
前記チップ内に設けられ、前記第2電子証明書記憶部に記憶された第2電子証明書に対応する第2秘密鍵を、前記第2秘密鍵記憶部から読み出す
ことを特徴とする付記9に記載の情報処理装置。
【0122】
(付記11)
日時を出力する時計部と、
生体認証を実行した日時を前記時計部から取得する第1取得手段と、
前記読み出し手段により装置情報を読み出した日時を前記時計部から取得する第2取得手段と、
前記収集手段により環境情報を収集した日時を前記時計部から取得する第3取得手段と、
前記受け付け手段により取引情報を受け付けた日時を前記時計部から取得する第4取得手段と、
前記第1取得手段乃至第4取得手段により取得した日時が所定時間内に属するか否かを判定する時間判定手段と、
該時間判定手段により所定時間内に属すると判断した場合に、前記暗号化された生体認証情報及び前記取引情報、並びに、前記第1電子封筒に対するタイムスタンプの取得要求を外部へ送信する取得要求手段と、
外部から送信された前記タイムスタンプに係るタイムスタンプトークンを受信するトークン受信手段を備え、
前記第2生成手段は、
前記第2署名手段により電子署名された第1電子封筒、暗号化された生体認証情報及び取引情報、並びに、前記トークン受信手段により受信したタイムスタンプトークンを電子封筒化し、第2電子封筒を生成する
ことを特徴とする付記5に記載の情報処理装置。
【0123】
(付記12)
通信網を介して接続される情報処理装置を認証装置により認証する認証システムにおいて、
前記情報処理装置は、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を前記認証装置へ送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記送信手段により送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否か判断する生体判断手段と
を備えることを特徴とする認証システム。
【0124】
(付記13)
前記生体判断手段により、記憶されていると判断した場合に、前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき検証する第1検証手段と、
該第1検証手段により電子署名の検証に成功した場合に、前記装置情報に対応する装置情報が前記認証記憶部に記憶されているか否かを判断する装置判断手段と
を備えることを特徴とする付記12に記載の認証システム。
【0125】
(付記14)
前記装置判断手段により記憶されていると判断した場合に、前記環境情報を外部へ送信する環境情報送信手段と、
該環境情報送信手段により送信した環境情報に対応する安全性に関するレベルを受信する受信手段と、
該受信手段により受信したレベルに基づき認証許可を示す情報を前記情報処理装置へ送信する手段と
を備えることを特徴とする付記13に記載の認証システム。
【0126】
(付記15)
通信網を介して接続される情報処理装置を認証装置により認証する認証方法において、
前記情報処理装置の制御部は、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出しステップと、
自身の使用環境に関する環境情報を前記制御部が収集する収集ステップと、
予め記憶部に記憶された第1秘密鍵を前記制御部が読み出す第1読み出しステップと、
前記読み出しステップにより読み出した装置情報及び前記収集ステップにより収集した環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を前記認証装置へ送信する送信ステップと、
前記認証装置の認証制御部が、前記送信ステップにより送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき検証する第2検証ステップと、
前記第2検証ステップにより電子署名の検証に成功した場合に、前記送信ステップにより送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを、前記認証制御部が判断する生体判断ステップと
を含むことを特徴とする認証方法。
【0127】
(付記16)
通信網を介して接続された情報処理装置の認証を行う認証装置において、
第2秘密鍵で電子署名された生体認証情報及び第1電子封筒が電子封筒化された第2電子封筒を受信する封筒受信手段と、
該封筒受信手段により受信した第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記封筒受信手段により受信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と、
該生体判断手段により、記憶されていると判断した場合に、第1秘密鍵により電子署名された装置情報及び環境情報が電子封筒化された前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき、検証する第1検証手段と
を備えることを特徴とする認証装置。
【0128】
(付記17)
前記第1検証手段により電子署名の検証に成功した場合に、前記装置情報に対応する装置情報が前記認証記憶部に記憶されているか否かを判断する装置判断手段と
を備えることを特徴とする付記16に記載の認証装置。
【0129】
(付記18)
前記装置判断手段により、記憶されていると判断した場合に、前記環境情報を外部へ送信する環境情報送信手段と、
該環境情報送信手段により送信した環境情報に対応する安全性に関するレベルを受信する受信手段と、
該受信手段により受信したレベルに基づき認証許可を示す情報を前記情報処理装置へ送信する手段と
を備えることを特徴とする付記17に記載の認証装置。
【0130】
(付記19)
認証のための情報を送信するコンピュータに用いられるプログラムにおいて、
コンピュータに、
予め記憶部に記憶された第1秘密鍵を前記コンピュータの制御部が読み出す第1読み出しステップと、
自身を特定するための装置識別情報を含む装置情報及び予め収集した自身の使用環境に関する環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を外部へ送信する送信ステップと
を実行させるプログラム。
【符号の説明】
【0131】
1 Webサーバ
1A 可搬型記録媒体
2 コンピュータ
3 CAサーバ
4 DBサーバ
5 セキュリティチップ
11 CPU
13 入力部
14 表示部
15 記憶部
15P 制御プログラム
16 通信部
18 時計部
51 主制御部
52 指紋入力部
53 指紋認証部
54 指紋情報記憶部
55 ユーザ電子証明書記憶部
56 ユーザ秘密鍵記憶部
57 機器電子証明書記憶部
58 機器秘密鍵記憶部
59 機器情報記憶部
153 ユーザ情報DB
154 機器DB
155 静的評価テーブル
251 OS
252 ブラウザ
510 暗号化処理部
451 ソフトウェアDB
452 評価テーブル
511 ソフトウェア情報取得部
512 ソフトウェア情報記憶部
515 ID記憶部
513 制御プログラム記憶部
514 入出力部
N 通信網
【技術分野】
【0001】
本発明は、情報処理を行う情報処理装置、通信網を介して接続される情報処理装置を認証装置により認証する認証システム、認証方法、認証装置、及び情報処理装置をコンピュータとして機能させるためのプログラムに関する。
【背景技術】
【0002】
近年、インターネット等を通じたオンライン取引が増加している。このようなオンライン取引においてはセキュリティを十分に確保する必要がある。従来はセキュリティを確保すべく生体認証による本人確認の他、PKI(Public Key Infrastructure)認証等も実施されている。本願出願人は例えば特許文献1に生体認証、PKI認証及び機器の環境情報に基づく認証を組み合わせた安全性判断方法を提案している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−157790号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、近年では従来の低額商品の売買に加えて、高額商品の売買、株等の金融商品等の取引、及び、個人情報を送信する各種申請手続等、様々な取引がインターネットを介して実行されている。それにもかかわらず、認証処理はさほど改善されておらず、依然としてなりすまし、改竄、及び情報処理装置の脆弱性を狙う攻撃等に十分対応できていなかった。なお、特許文献1にはこのような問題を解決する手段は何ら記載されていない。
【0005】
本発明は斯かる事情に鑑みてなされたものである。装置情報及び環境情報を署名して電子封筒化し、さらに生体認証情報を電子封筒と共に署名して2重に電子封筒化することにより、取引意思を尊重し、また外部への情報漏洩を防止することが可能な情報処理装置等を提供することにある。
【課題を解決するための手段】
【0006】
本願に開示する装置は、情報処理を行う情報処理装置において、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、自身の使用環境に関する環境情報を収集する収集手段と、予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、該第2生成手段により生成された第2電子封筒を外部へ送信する手段とを備える。
【0007】
本願に開示する装置によれば、第1読み出し手段は、記憶部に記憶された第1秘密鍵を読み出す。署名手段は、装置情報及び環境情報を、第1秘密鍵により電子署名する。生成手段は、電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する。さらに、第2読み出し手段は、記憶部に記憶された第2秘密鍵を読み出す。第2署名手段は同様に、生体認証に関する情報である生体認証情報、並びに、第1電子封筒を第2秘密鍵により電子署名する。第2生成手段も同様に、第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する。最後に生成された第2電子封筒を外部へ送信する。
【発明の効果】
【0008】
当該装置の一観点によれば、装置に依存する装置情報及び動的に変化する環境情報は第1秘密鍵により電子署名され、第1電子封筒に封入される。そしてこの第1電子封筒及び認証対象者の取引意思が反映される生体認証情報は第2秘密鍵により電子署名される。電子署名された第1電子封筒及び生体認証情報は第2電子封筒化される。これにより、改竄を未然に防止でき、また、装置認証、環境認証及び生体認証の同時性を確保することが可能となり安易ななりすましを防止することが可能となる。また、第2電子封筒に、認証対象者の取引意思が反映され、健全な商取引を確立することが可能となる。さらに外部での認証の際には、環境情報が外部に送信される可能性が高いところ、最初に第2電子封筒内の生体認証情報に対する認証が行われる。そして、当該認証を経て初めて環境情報が外部へ送信されることから、無用に外部へ情報が漏洩することを防止することが可能となる等、本発明は優れた効果を奏する。
【図面の簡単な説明】
【0009】
【図1】本実施の形態に係る認証システムの概要を示す模式図である。
【図2】コンピュータ側での処理手順を示す説明図である。
【図3】Webサーバ側での処理手順を示す説明図である。
【図4】コンピュータのハードウェア群を示すブロック図である。
【図5】第1電子封筒のデータ構造を示す説明図である。
【図6】第2電子封筒のデータ構造を示す説明図である。
【図7】Webサーバのハードウェア群を示すブロック図である。
【図8】ユーザ情報DBのレコードレイアウトを示す説明図である。
【図9】機器DBのレコードレイアウトを示す説明図である。
【図10】DBサーバのハードウェア群を示すブロック図である。
【図11】ソフトウェアDBのレコードレイアウトを示す説明図である。
【図12】第2電子封筒生成処理の手順を示すフローチャートである。
【図13】第2電子封筒生成処理の手順を示すフローチャートである。
【図14】第2電子封筒生成処理の手順を示すフローチャートである。
【図15】第2電子封筒生成処理の手順を示すフローチャートである。
【図16】サービス画面のイメージを示す説明図である。
【図17】Webサーバにおける認証処理手順を示すフローチャートである。
【図18】Webサーバにおける認証処理手順を示すフローチャートである。
【図19】Webサーバにおける認証処理手順を示すフローチャートである。
【図20】Webサーバにおける認証処理手順を示すフローチャートである。
【図21】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図22】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図23】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図24】実施の形態2に係るコンピュータにおける電子封筒化処理の手順を示すフローチャートである。
【図25】タイムスタンプの認証処理の手順を示すフローチャートである。
【図26】実施の形態3に係るコンピュータのハードウェア群を示すブロック図である。
【図27】実施の形態4のコンピュータのハードウェア群を示すブロック図である。
【図28】実施の形態4に係るWebサーバのハードウェア群を示すブロック図である。
【図29】静的評価テーブルのレコードレイアウトを示す説明図である。
【図30】総合評価テーブルのレコードレイアウトを示す説明図である。
【図31】最終認証処理の手順を示すフローチャートである。
【図32】最終認証処理の手順を示すフローチャートである。
【発明を実施するための形態】
【0010】
実施の形態1
以下本発明の実施の形態を、図面を参照して説明する。図1は本実施の形態に係る認証システムの概要を示す模式図である。認証システムは、認証装置1、情報処理装置2、2、2、・・・、通信網N、認証機関サーバコンピュータ3、及び、データベース(以下、DB)サーバコンピュータ4等を含む。本実施の形態においては、情報処理装置2、2、2、・・・の要求に応じて金融機関の認証装置1が振り込み、海外送金、外貨預金、投資信託申し込み、及び残高照会等の各種取引処理を実行する例を用いて説明するが、このオンラインバンクの例に限るものではない。例えばオンラインショッピングまたは特定機関への申請手続き等における認証に適用しても良い。以下では金融機関の認証装置1をWebサーバ1と読み替えて説明する。またWebサーバ1に接続される他のWebサーバに振り込み、海外送金、外貨預金、投資信託申し込み、及び残高照会等の各種処理を実行させ、Webサーバ1において以下に述べる認証処理を実行させる形態であっても良い。
【0011】
情報処理装置2は例えば、パーソナルコンピュータ、携帯電話機、PDA(Personal Digital Assistance)、通信機能を有する携帯型ゲーム機、または通信機能を有するミュージックプレーヤ等の機器である。以下では情報処理装置2をデスクトップ型パーソナルコンピュータまたはノート型パーソナルコンピュータ等の装置に適用した例を説明し、装置を機器と読み替え、また、情報処理装置2をコンピュータ2と読み替えて説明する。認証機関サーバコンピュータ3は例えばベリサイン(登録商標)社またはグローバルサイン社等が運営する認証局のサーバコンピュータであり、以下ではCA(Certificate Authority)サーバ3という。DBサーバコンピュータ(以下、DBサーバという)4はコンピュータ2自身の使用環境に関する環境情報を管理する。
【0012】
環境情報はコンピュータ2内で動作するソフトウェア、ミドルウェア、またはファームウェアを特定するための情報、または、セキュリティチップ5内で動作するソフトウェアまたはファームウェアを特定するための情報である。以下では説明を容易にするために環境情報はソフトウェア情報である例を用いて説明する。具体的には、コンピュータ2の記憶部25に記憶されたOSの名称、OSに対するパッチのバージョン、ブラウザの名称、ブラウザのパッチのバージョン、ワードプロセッサの名称、並びに、ウィルス対策ソフトウェアの名称等のソフトウェア情報である。その他、セキュリティチップ5内の制御プログラム記憶部513に記憶された制御プログラムの名称またはバージョン等が該当する。各ソフトウェアは通信部26を介して、または図示しないCD−ROM等の記録媒体を介してバージョンアップすることができるほか、新規のソフトウェアをインストールすることが可能である。なお、本実施の形態においては、説明を容易にするために、コンピュータ2のOSの名称及びバージョン、並びに、ブラウザの名称及びバージョンをソフトウェア情報として用いる形態について説明する。
【0013】
コンピュータ2、CAサーバ3、Webサーバ1及びDBサーバ4は、インターネット及び携帯電話網等を含む通信網Nを介して相互に接続されており、例えばHTTP(HyperText Transfer Protocol)等によりHTML(HyperText Markup Language)ファイル及びその他の情報を送受信する。Webサーバ1が取引処理に際し、コンピュータ2の認証を行う場合、指紋等の生体認証、コンピュータ2自身の機器認証、及び、ソフトウェア情報の認証の3つを用いる。
【0014】
以下に概要を説明する。図2はコンピュータ2側での処理手順を示す説明図、図3はWebサーバ1側での処理手順を示す説明図である。コンピュータ2は自身の機器情報及びソフトウェア情報を、暗号化鍵で暗号化する。CAサーバ3は機器自身が正当であることを示す第1電子証明書(以下、機器電子証明書という)を発行する。コンピュータ2はこの機器電子証明書内の機器公開鍵に対応する第1秘密鍵(以下、機器秘密鍵という)を用いて暗号化した機器情報及びソフトウェア情報に署名する。署名された暗号化機器情報及びソフトウェア情報は第1電子封筒内に挿入される。
【0015】
生体認証情報及び取引情報も同じく暗号化鍵で暗号化される。CAサーバ3は認証対象者(以下、ユーザという)自身が正当であることを示す第2電子証明書(以下、ユーザ電子証明書という)を発行する。コンピュータ2はこのユーザ電子証明書内のユーザ公開鍵に対応する第2秘密鍵(以下、ユーザ秘密鍵という)を用いて、第1電子封筒、並びに、暗号化した生体認証情報及び取引情報を電子署名する。最後に電子署名を付した第1電子封筒、並びに、暗号化生体認証情報及び取引情報を第2電子封筒に挿入し、Webサーバ1へ送信する。
【0016】
続いて、図3を用いてWebサーバ1側の処理を説明する。Webサーバ1はユーザ秘密鍵に対応するユーザ公開鍵をユーザ電子証明書から取り出す。Webサーバ1は第2電子封筒内の第1電子封筒、並びに、暗号化生体認証情報及び取引情報を、ユーザ公開鍵を用いて署名検証する。署名検証に成功した場合、暗号化生体認証情報及び取引情報を、復号鍵を用いて復号する。取り出された生体認証情報を用いて生体に関する認証が行われる。
【0017】
生体に関する認証に成功した場合、第1電子封筒からは、暗号化機器情報及びソフトウェア情報が取り出される。Webサーバ1は機器秘密鍵に対応する機器公開鍵を機器電子証明書から取り出す。Webサーバ1は第1電子封筒内の暗号化機器情報及びソフトウェア情報を、機器公開鍵を用いて署名検証する。署名検証に成功した場合、復号鍵を用いて暗号化機器情報及びソフトウェア情報を復号する。Webサーバ1は復号した機器情報に基づき機器に関する認証を行う。
【0018】
機器に関する認証が成功した場合、Webサーバ1はソフトウェア情報をDBサーバ4へ送信する。DBサーバ4はソフトウェア情報に基づき、ソフトウェアレベルを決定する。例えば、セキュリティレベルの高いOS等がインストールされている場合は、高いレベルとなる。このソフトウェアレベルはWebサーバ1側へ送信される。Webサーバ1はソフトウェアレベルに基づき、ソフトウェアに関する認証を行う。最後のソフトウェアに関する認証が成功、すなわち一連の認証処理が成功したことを条件に、取引情報に基づく取引処理を開始する。なお、本実施の形態においては、図2に示す如く、機器情報及びソフトウェア情報を暗号化鍵により暗号化したが、必ずしも暗号化する必要はない。
【0019】
また、生体認証情報及び取引情報をも暗号化鍵により暗号化したが、必ずしも暗号化する必要はない。本実施の形態においては、機器情報及びソフトウェア情報、並びに、生体認証情報及び取引情報の双方を暗号化する例を用いて説明する。さらに、取引情報は生体認証情報と共に第2電子封筒内に挿入する例を用いて説明するが、これに限るものではない。例えば、機器情報、ソフトウェア情報及び取引情報の3つをセットとして第1電子封筒に挿入するようにしても良い。
【0020】
図4はコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2は、セキュリティチップ5、制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、通信部26、及び、時計部28等を含む。コンピュータ2はセキュリティをより強固にすべく、CPU21が実行する処理とは独立した所定の処理を実行するセキュリティチップ5をコンピュータ2内部に実装している。
【0021】
CPU21は、バス27を介してコンピュータ2のハードウェア各部と接続されていて、それらを制御すると共に、記憶部25に格納された制御プログラムに従って、種々のソフトウェア的機能を実行する。RAM22は半導体素子等であり、CPU21の指示に従い必要な情報の書き込み及び読み出しを行う。表示部24は例えば液晶ディスプレイ、または、有機EL(Electro-Luminescence)ディスプレイ等である。入力部23はキーボード及びマウス、または、表示部24上に積層されたタッチパネル等である。通信部26は例えば有線または無線のLANカード等であり、Webサーバ1との間で情報の送受信を行う。時計部28は現在の日時情報をCPU21へ出力する。
【0022】
記憶部25はハードディスクまたは大容量フラッシュメモリであり、制御プログラム、OS251、ブラウザ252、ワードプロセッサ用アプリケーション、メーラ及びウィルス対策ソフトウェア等が記憶されている。以下では、記憶部25はハードディスクであるものとして説明する。セキュリティチップ5は、TCG(Trusted Computing Group)の仕様に基づいたTPM(Trusted Platform Module)と称されるIC(Integrated Circuit)チップであり、TCGにより策定されたセキュリティの基本機能を備える。このセキュリティチップ5をコンピュータ2に実装することにより、ソフトウェアによる攻撃及び物理的な攻撃からデータを保護し、より強固なセキュリティを実現する。
【0023】
セキュリティチップ5の詳細について説明する。セキュリティチップ5は主制御回路(以下、回路を部と省略する。)51、指紋入力部52、指紋認証部53、指紋情報記憶部54、ユーザ電子証明書記憶部55、ユーザ秘密鍵記憶部56、機器電子証明書記憶部57、機器秘密鍵記憶部58、機器情報記憶部59、暗号化処理部510、ソフトウェア情報取得部511、ソフトウェア情報記憶部512、ID記憶部515、制御プログラム記憶部513、及び、入出力部514等を含む。主制御部51は各部と接続されており、制御プログラム記憶部513に記憶された制御プログラムに従い、各種処理を実行する。セキュリティチップ5はI/Fである入出力部514及びバス27を介してコンピュータ2のメインのCPU21に接続されている。主制御部51は入出力部514を介してCPU21と情報の送受信を行う。
【0024】
コンピュータ2の起動に際してはセキュリティチップ5による生体認証が行われ、生体認証に成功したことを条件に、CPU21が動作する。CPU21はOS251を起動する。生体認証としては指紋認証、虹彩認証、手の平の静脈を利用した認証、音声認証、顔認証等、またはこれらの組み合わせが例としてあげられる。本実施の形態においては説明を容易にするために指紋認証を行う例を挙げて説明する。指紋認証は、ユーザの指紋情報を受け付ける指紋入力部52、指紋認証のためのプログラムが記憶され、指紋認証処理を実行する指紋認証部53、及び、指紋認証の基礎となる指紋情報を記憶する指紋情報記憶部54により実行される。なお、指紋認証はコンピュータ2の起動時に行うほか、Webサーバ1との間の情報の送受信時(取引時)に実行するようにしても良い。
【0025】
指紋情報記憶部54にはユーザの指紋情報が予め記憶されている。初期登録の際、主制御部51は指紋入力部52からユーザの指紋情報を取り込み、指紋情報記憶部54に記憶する。なお、指紋情報記憶部54へ指紋情報を記憶する場合、主制御部51は入力部23から入力されたユーザID及びパスワードが、ID記憶部515に予め記憶された固有のユーザID及びパスワードと一致するか否かを判断する。主制御部51は一致すると判断した場合にのみ、指紋情報の記憶を行う。なおID記憶部515にはコンピュータ2の購入時等に入力部23を介して入力されたユーザID及びパスワードが記憶されている。
【0026】
図示しない電源スイッチがオンされ、指紋認証を行う場合は、主制御部51は指紋入力部52から指紋情報を受け付ける。そして、主制御部51は、指紋認識部53内の指紋認証プログラムを起動し、指紋情報記憶部54に予め記憶した指紋情報と受け付けた指紋情報とが一致するか否かを判断する。主制御部51は、一致すると判断した場合、指紋認証に成功したことを示す指紋認証の結果をCPU21へ出力する。CPU21は指紋認証に成功したことを示す指紋認証の結果が出力された場合、OS251を起動する。
【0027】
ユーザ電子証明書記憶部55には、CAサーバ3により発行されたユーザの身元を保証するユーザ電子証明書が記憶されている。また、ユーザ秘密鍵記憶部56には、ユーザ電子証明書内に存在するユーザ公開鍵とペアのユーザ秘密鍵が記憶されている。ユーザ電子証明書の発行手順について説明する。ユーザは入力部23からユーザ名、ユーザID、または、電子メールアドレス等のユーザを特定するための認証識別情報、及び、ユーザ電子証明書の用途等を含む所有者情報を入力する。CPU21はブラウザ252を起動し、CAサーバ3へアクセスする。CPU21は、ユーザ電子証明書記憶部55に記憶されたユーザ公開鍵を読み出し、読み出した公開鍵と共に、入力部23から入力された所有者情報をCAサーバ3へ送信する。
【0028】
CAサーバ3は認証を行い、問題がない場合、所有者情報及び公開鍵に電子署名を付加する。CAサーバ3はユーザの公開鍵、所有者情報及び電子署名の3つをX.509の仕様に従いユーザ電子証明書を生成する。CAサーバ3は生成したユーザ電子証明書をコンピュータ2へ送信する。コンピュータ2CのCPU21はユーザ電子証明書を入出力部514へ送信する。主制御部51は入出力部514から出力されるユーザ電子証明書をユーザ電子証明書記憶部55に記憶する。ID記憶部515にはユーザ名、ユーザID、パスワード及びニックネーム等、ユーザを特定するための認証識別情報が記憶されている。
【0029】
ID記憶部515内のユーザを特定するための認証識別情報は、例えばコンピュータ2の購入時に入力部23を介してユーザ名、ユーザID及びパスワード等を、ID記憶部515に記憶するようにしても良い。また、電子メールアドレス及びニックネーム等、後に登録が必要な場合は、購入時に記憶したユーザID及びパスワードが一致することを条件にID記憶部515に新たな情報を記憶するようにしても良い。なお、ユーザを特定するための認証識別情報として、ユーザ電子証明書に付与された固有の証明書IDを採用しても良い。本実施の形態においては、認証識別情報としてユーザIDを用いる例を挙げて説明する。なお、暗号化される生体認証情報には、このユーザIDの他、上述した生体認証の結果を含めても良い。本実施の形態においては、ユーザID及び当該ユーザに係る生体認証が成功したことを示す生体認証の結果を生体認証情報の一例として説明する。
【0030】
機器電子証明書記憶部57には、CAサーバ3により予め発行された機器電子証明書が記憶されている。機器電子証明書には白抜き鍵印で示すセキュリティチップ5の公開鍵、機器自身を特定するための機器識別情報、機器電子証明書の有効期限及びCAサーバ3の電子署名が含まれる。なお、機器電子証明書に含まれる機器IDには、セキュリティチップ5のシリアル番号だけではなく、コンピュータ2Cのシリアル番号をもセットとして含めておいても良い。この機器電子証明書はセキュリティチップ5またはコンピュータ2の出荷時にメーカがCA認証局に対し発行を受けておくようにすればよい。機器秘密鍵記憶部58には機器電子証明書記憶部57に記憶した公開鍵とペアの機器秘密鍵(ハッチングを施した鍵印で示す)が記憶されている。この機器秘密鍵もセキュリティチップ5またはコンピュータ2の出荷時に予め機器秘密鍵記憶部58に記憶される。
【0031】
機器情報記憶部59には、機器自身を特定するための機器識別情報(以下、機器IDという)を含む機器情報が記憶されている。機器IDとしては、上述したコンピュータ2のシリアル番号、セキュリティチップ5のシリアル番号、MAC(Media Access Control)アドレス、または、機器電子証明書に付与された固有の証明書ID等を用いれば良い。機器情報は機器IDが含まれる他、セキュリティチップ5またはコンピュータ2のメーカ名、シリーズ名、及び、型番等を含めても良い。なお、機器ID等の機器情報については、予め記憶したハッシュ関数により算出したメッセージダイジェストを、真の情報に変えて用いても良い。
【0032】
ソフトウェア情報取得部511は、コンピュータ2が起動した後、コンピュータ2の停止前、所定の条件下で、または、所定時間毎に、ソフトウェア情報を取得する。具体的には、主制御部51は、ソフトウェア情報取得部511に記憶されたプログラムに従い、記憶部25内部に記憶されたOS251の名称及びバージョン、並びに、ブラウザ252の名称及びバージョンを取得する。主制御部51は、取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する。本実施の形態においては、主制御部51は、所定条件下、すなわち、オンラインバンキングにおける取引開始を条件にソフトウェア情報を取得する例を挙げて説明する。
【0033】
続いて取引情報について説明する。コンピュータ2のブラウザ252を起動し、Webサーバ1へアクセスする。オンラインバンキングにおいて例えば、入金処理を行う場合は、入金額及び入金先口座番号等の取引に関する取引情報を入力部23から入力する。また、金融商品を購入する場合、商品名及び購入数等の取引情報を入力部23から入力する。CPU21は入力された取引情報を、入出力部514を介して主制御部51へ出力する。
【0034】
続いて暗号化、電子署名及び電子封筒化処理について説明する。主制御部51は機器情報記憶部59に記憶された機器情報を読み出し、また、ソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す。主制御部51は、暗号化処理部510に記憶された暗号化プログラムに従い機器情報及びソフトウェア情報を暗号化する。主制御部51は、機器秘密鍵記憶部58に記憶した機器秘密鍵を用いて、暗号化した機器情報及びソフトウェア情報に電子署名(ディジタル署名)する。
【0035】
具体的には、主制御部51は暗号化した機器情報及びソフトウェア情報のメッセージダイジェストを、制御プログラム記憶部513に記憶されたハッシュ関数に基づき算出する。主制御部51は算出したメッセージダイジェストを機器秘密鍵により暗号化する。この暗号化したメッセージダイジェストが電子署名となる。主制御部51は暗号化された機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する。
【0036】
ここで電子封筒とは、例えばXML(extended markup language)等の構造化文書にエンベロープ(封筒)と呼ばれる情報を付加し、複数の情報を一つのファイルにパッケージングして取り扱うものである。図5は第1電子封筒のデータ構造を示す説明図である。第1電子封筒はエンベロープとなるヘッダ部331、コンテント部332及び電子署名部333を少なくとも含む。<Header>タグで囲まれるヘッダ部331には第1電子封筒であることを示す情報等が記述される。XML構造化文章である<Content>タグで囲まれるコンテント部332には、暗号化された機器情報及びソフトウェア情報が記述される。
【0037】
<Signature>タグで囲まれる電子署名部333には、コンテント部332の暗号化された機器情報及びソフトウェア情報の電子署名が記述される。主制御部51は制御プログラム記憶部513に記憶された制御プログラムに従い、予め記憶したテンプレート構造文章を読み出し、ヘッダ部331に第1電子封筒であることを示す情報等の書誌情報を記述する。また主制御部51は、コンテント部332に暗号化された機器情報及びソフトウェア情報を記述する。さらに主制御部51は、機器秘密鍵を用いて、コンテント部332に記述したコンテント、すなわち暗号化した機器情報及びソフトウェア情報の電子署名を記述し、一体となった第1電子封筒を生成する。
【0038】
続いて第2電子封筒の生成について説明する。第2電子封筒には生体認証情報及び取引情報、第1電子封筒、並びにこれらの電子署名が封入される。主制御部51はID記憶部515に記憶したユーザID及び生体認証の結果を含む生体認証情報、並びに、取引情報を、暗号化鍵記憶部518に記憶された暗号化鍵で暗号化する。主制御部51は、ユーザ秘密鍵記憶部56に記憶されたユーザ秘密鍵により、第1電子封筒、並びに、暗号化された生体認証情報及び取引情報を電子署名する。主制御部51は第1電子封筒、暗号化された生体認証情報及び取引情報、並びに、電子署名を電子封筒化し第2電子封筒を生成する。
【0039】
図6は第2電子封筒のデータ構造を示す説明図である。第2電子封筒は第1電子封筒と同じく、エンベロープとなるヘッダ部331、コンテント部332及び電子署名部333を少なくとも含む。<Header>タグで囲まれるヘッダ部331には第2電子封筒であることを示す情報等が記述される。XML構造化文章である<Content>タグで囲まれるコンテント部332には、下位属性としてさらに<第1電子封筒content>タグ及び<暗号化content>が含まれる。<第1電子封筒content>タグ内には、図5に示した第1電子封筒が記述されている。<暗号化content>タグ内には、暗号化した生体認証情報及び取引情報が記述されている。
【0040】
<Signature>タグで囲まれる電子署名部333には、コンテント部332の第1電子封筒、並びに、暗号化された生体認証情報及び取引情報の電子署名が記述される。主制御部51は制御プログラム記憶部513に記憶された制御プログラムに従い、予め記憶した第2電子封筒に係るテンプレート構造文章を読み出し、ヘッダ部331に第2電子封筒であることを示す情報等の書誌情報を記述する。また主制御部51は、コンテント部332の<第1電子封筒content>タグ内に、第1電子封筒の情報を記述し、<暗号化content>タグ内に暗号化された生体認証情報及び取引情報を記述する。
【0041】
さらに主制御部51は、ユーザ秘密鍵を用いて、コンテント部332に記述したコンテント、すなわち第1電子封筒並びに暗号化した生体認証情報及び取引情報の電子署名を記述し、一体となった第2電子封筒を生成する。以上の処理により生成された第2電子封筒は、入出力部514及び通信部26を介して、Webサーバ1へ送信される。
【0042】
図7はWebサーバ1のハードウェア群を示すブロック図である。Webサーバ1は認証制御部としてのCPU11、RAM12、入力部13、表示部14、認証記憶部たる記憶部15、通信部16、及び、時計部18等を含む。CPU11は、バス17を介してWebサーバ1のハードウェア各部と接続されていて、それらを制御すると共に、記憶部15に格納された制御プログラム15Pに従って、種々のソフトウェア的機能を実行する。
【0043】
RAM12は半導体素子等であり、CPU11の指示に従い必要な情報の書き込み及び読み出しを行う。表示部14は例えば液晶ディスプレイ等であり、入力部13はキーボード及びマウス等である。通信部16はファイアウォールとしての機能を果たすゲートウェイ等であり、コンピュータ2、CAサーバ3、DBサーバ4及び口座DB19との間で情報の送受信を行う。時計部18は現在の日時情報をCPU11へ出力する。記憶部15は例えばハードディスクであり、制御プログラム15P、HTMLファイル151、復号プログラム152、復号鍵記憶部1520、ユーザ情報DB153及び機器DB154等が記憶されている。なお、ユーザ情報DB153等は、必ずしもWebサーバ1内の記憶部15に記憶しておく必要はなく、口座DB19の如く、通信部16を介して接続されるDBサーバ(図示せず)内部に記憶し、必要に応じて読み書きするようにすれば良い。
【0044】
口座DB19には、ユーザIDに対応づけて口座番号及び残高等の金融取引に関する情報が記憶されている。CPU11は各DBのフィールドのキーを関連付けたスキーマにおいてSQL(Structured Query Language)等を用いて対話することにより、必要な情報の記憶、検索等の処理を実行する。HTML(HyperText Markup Language)ファイル151はオンラインバンキングのトップページ、登録画面、認証画面、振り込み画面及び残高確認画面等の各種処理を実行するための画面がHTML形式で記憶されている。なお、Webサーバ1においては認証処理を中心に実行させ、認証前の各種情報の送信及び認証後の金融取引処理については、図示しない他のWebサーバにより共同で実行させても良いことはもちろんである。
【0045】
Webサーバ1のCPU11は、コンピュータ2からのリクエストに応じて、対応するHTMLファイル151を適宜読み出して、通信部16を介してコンピュータ2へ送信する。復号プログラム152はコンピュータ2から送信される暗号化された情報を復号するためのプログラムである。復号鍵記憶部1520には、コンピュータ2の暗号化鍵記憶部518に記憶された暗号化鍵に対応する復号鍵が記憶されている。なおハッシュ関数は記憶部15に記憶されている。
【0046】
図8はユーザ情報DB153のレコードレイアウトを示す説明図である。ユーザ情報DB153は取引を行うユーザの情報、例えば認証識別情報としてのユーザID、ユーザ名及びユーザ電子証明書ID等を記憶している。ユーザ情報DB153は、ユーザIDフィールド、パスワードフィールド、ユーザ名フィールド、ユーザ電子証明書IDフィールド、及び、ユーザ公開鍵フィールドを含む。なお、本実施形態におけるDB内のレコード例はあくまで一例でありこれに限るものではない。データ間の関係が保持されていれば、設計に応じて自由なデータの持たせ方をすれば良い。
【0047】
ユーザIDフィールドには、コンピュータ2を使用して取引処理を実行するユーザのユーザIDが記憶されており、パスワードフィールドにはユーザIDに対応するパスワードが記憶されている。ユーザ名フィールドには、ユーザIDに対応づけてユーザ名が記憶されている。ユーザ電子証明書IDフィールドには、コンピュータ2のユーザ電子証明書を特定するための固有のユーザ電子証明書IDが記憶されている。これらの情報はオンラインバンキングの初期登録時にユーザ情報DB153に記憶するようにすればよい。ユーザ公開鍵フィールドには、ユーザ秘密鍵に対応するユーザ公開鍵が記憶されている。このユーザ公開鍵は、事前に取得、または、取引の度にコンピュータ2から送信されるユーザ電子証明書内に存在するものを取得するようにすればよい。
【0048】
CPU11は第2電子封筒から取り出した生体認証情報内の認証識別情報としてのユーザIDが、ユーザ情報DB153に記憶されたユーザIDと一致するか否かを判断する。一致する場合は、登録済みの本人による生体認証がコンピュータ2にて成功し、かつ、当該本人が取引を実行しているものとして、次の認証処理へ移行する。
【0049】
図9は機器DB154のレコードレイアウトを示す説明図である。機器DB154は取引に用いられるコンピュータ2の機器情報を記憶している。機器DB154は機器IDフィールド、機器電子証明書IDフィールド、メーカ名フィールド、型番フィールド、機器公開鍵フィールド及びユーザIDを含む。機器IDフィールドには、機器固有に付与された機器IDが記憶されている。機器電子証明書IDフィールドには、コンピュータ2の機器電子証明書記憶部57に記憶された機器電子証明書を特定するためのIDが記憶されている。メーカ名フィールドには、コンピュータ2のメーカ名が、機器IDに対応づけて記憶されている。型番フィールドには、機器IDに対応づけてコンピュータ2の型番が記憶されている。
【0050】
なお、機器ID、機器電子証明書ID、メーカ名及び型番は、上述したようにハッシュ関数に基づき算出したメッセージダイジェストとして値を記憶するようにしても良い。これらの値は、ユーザ情報と同じく、取引前にコンピュータ2から送信された情報に基づき情報が記憶される。機器公開鍵フィールドには、コンピュータ2の機器秘密鍵記憶部58に記憶された機器秘密鍵に対応する機器公開鍵が記憶されている。この機器公開鍵は、事前に取得、または、取引の度にコンピュータ2から送信される機器電子証明書内に存在するものを取得するようにすればよい。ユーザIDフィールドにはコンピュータ2を使用するユーザを特定するためのユーザIDが記憶されている。これらの情報は初期登録時に収集し、機器DB154に記憶しておけばよい。
【0051】
CPU11は第1電子封筒内の機器情報として、機器ID、メーカ名及び型番を抽出する。CPU11は抽出した機器IDが、機器DB154に記憶された機器IDに一致するか否かを判断する。一致すると判断した場合、予め許可されたコンピュータ2からの取引要求であると判断し、次の認証処理へ移行する。
【0052】
CPU11は第1電子封筒内のソフトウェア情報、メーカ名及び型番を、通信部16を介してDBサーバ4へ送信する。すなわち、コンピュータ2のソフトウェア環境は、更新及び新規インストール等により、動的に変化することから、外部のDBサーバ4により、ソフトウェアに対する安全性を示す評価を実行することとしたものである。DBサーバ4はソフトウェア情報に基づき、安全性を示すレベルをWebサーバ1へ送信する。なお、DBサーバ4へ送信する情報はソフトウェア情報だけでも良いが、より精度を高めるべく、メーカ名及び型番の情報をもあわせてDBサーバ4へ送信しても良い。
【0053】
ソフトウェアに関する情報の収集、及びレベル付与は、銀行等の取引会社が単独で管理・運営することが困難であるため、DBサーバ4により、実行させることとしたものである。もちろん、銀行等が独自にDBサーバ4を構築しても良い。またDBサーバ4が、取引当事者以外の第3者により運営されるものであっても、本実施の形態においてはソフトウェア情報、メーカ名及び型番等、ユーザを特定する情報を送信しないため、個人情報をも十分に保護することが可能となる。
【0054】
図10はDBサーバ4のハードウェア群を示すブロック図である。DBサーバ4はCPU41、RAM42、通信部46及び記憶部45を含む。CPU41は、バス47を介してDBサーバ4のハードウェア各部と接続されていて、それらを制御すると共に、記憶部45に格納された制御プログラムに従って、種々のソフトウェア的機能を実行する。RAM42は半導体素子等であり、CPU41の指示に従い必要な情報の書き込み及び読み出しを行う。通信部46はファイアウォールとしての機能を果たすゲートウェイ等である。
【0055】
記憶部45内部にはソフトウェアDB451及び評価テーブル452が格納されている。ソフトウェアDB451は、コンピュータ2のメーカ名及び型番別に、ソフトウェア毎の安全性の程度を示すポイントを記憶している。図11はソフトウェアDB451のレコードレイアウトを示す説明図である。ソフトウェアDB451は、コンピュータ2のメーカ名及び型番別に、ソフトウェア情報及びポイントを記憶している。図の例はメーカF社の型番「FM001」のソフトウェア情報及びポイントを示す。
【0056】
ソフトウェアDB451は、ソフトウェア種別フィールド、名称フィールド、バージョンフィールド及びポイントフィールドを含む。ソフトウェア種別フィールドには、OS251、ブラウザ252、ウィルス対策ソフト、メーラ等のソフトウェアの種別が記憶されている。名称フィールドにはソフトウェア種別に属するソフトウェアの名称が記憶されている。例えばマイクロソフト社のWindows Vista(登録商標)等のOS251の名称が記憶される他、インターネットエクスプローラ(登録商標)等のブラウザ252の名称が記憶される。バージョンフィールドには各ソフトウェアのバージョンが記憶されている。
【0057】
DBサーバ4の管理者はソフトウェアの販売、バージョンアップの度に、これらの情報を追加する。ポイントフィールドには各ソフトウェアのバージョン別に安全性の程度を示すポイントが記憶されている。本実施形態においてはポイントが高いほど安全であることを示している。CPU11はWebサーバ1から送信されたソフトウェア情報、メーカ名及び型番をキーにソフトウェアDB451を検索し、ソフトウェアのバージョンに対応するポイントを抽出する。CPU11は抽出した各ソフトウェアに係るポイントの合計値を算出する。例えば、OS251が「Win Vis」、バージョンが「Service2.0」、ブラウザ252が「IEX」、バージョンが「Ver1.0」の場合、ポイント6にポイント3を加算して合計値は9となる。
【0058】
評価テーブル452には合計値に対応づけて安全性を示すレベルが記憶されている。このレベルは例えば5段階で示され、数値が低いほど脆弱であり安全性が低い。CPU11は合計値に対応するレベルを評価テーブル452から読み出し、読み出したレベルをWebサーバ1へ送信する。Webサーバ1はこのレベルが所定値以上、例えば4以上の場合に、第2封筒内の取引情報に基づき、取引処理を開始する。この所定値は記憶部15に予め記憶されており、オンラインバンキングの管理者のセキュリティポリシーに応じて、入力部13から適宜の値を入力することが可能である。
【0059】
以上のハードウェアにおいて認証処理の手順を、フローチャートを用いて説明する。図12乃至図15は第2電子封筒生成処理の手順を示すフローチャートである。オンラインバンキングサービスを利用するユーザはコンピュータ2の図示しない主電源スイッチをオンする。なお、上述したユーザ登録、機器電子証明書、暗号化鍵及びユーザ電子証明書等の登録、記憶及び申請等は既に完了しているものとして説明する。セキュリティチップ5はオン状態となる(ステップS121)。主制御部51は指紋情報を指紋入力部52から受け付ける(ステップS122)。
【0060】
主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS123)。主制御部51は一致しないと判断した場合(ステップS123でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS123でYES)、入出力部514を介して、起動許可を示す信号をCPU21へ出力する。CPU21はOS251を起動する(ステップS124)。
【0061】
CPU21は入力部23からの指示に従い、ブラウザ252を起動し(ステップS125)、Webサーバ1へアクセスする。表示部24のブラウザ252上にはオンラインバンキングのトップページが表示される。ユーザはサービスへログインすべくユーザID及びパスワードを入力する。CPU21は入力部23から入力されたユーザID及びパスワードを受け付け(ステップS126)、Webサーバ1へ送信する(ステップS127)。Webサーバ1のCPU11は通信部16を介して、送信されたユーザID及びパスワードを受信する(ステップS128)。
【0062】
CPU11は受信したユーザID及びパスワードが、ユーザ情報DB153に記憶されたユーザID及びパスワードに一致するか否かを判断する(ステップS129)。CPU11は一致しないと判断した場合(ステップS129でNO)、不正なアクセスであるとして処理を終了する。一方、一致すると判断した場合(ステップS129でYES)、HTMLファイル151に記憶されたサービス画面を送信する(ステップS131)。コンピュータ2のCPU21は、サービス画面を受信し(ステップS132)、受信したサービス画面をブラウザ252に表示する(ステップS133)。
【0063】
図16はサービス画面のイメージを示す説明図である。取引内容としては残高照会、振り込み及び投資信託に関する相談等が存在する。図16の例では、振り込み処理が実行される例を説明している。CPU21は入力部23から取引情報を入力する。図の例では、取引情報として、振り込み処理をする旨の情報、振込先の口座情報、及び、振り込み金額等が入力されている。CPU21は入力部23から入力された取引情報を受け付ける(ステップS134)。CPU21は入力部23から手続及び認証開始を示す手続開始ボタン241の入力を受け付けたか否かを判断する(ステップS135)。
【0064】
CPU21は手続開始ボタン241の入力を受け付けていないと判断した場合(ステップS135でNO)、入力を受け付けるまで待機する。一方、CPU21は入力を受け付けたと判断した場合(ステップS135でYES)、ステップS134で受け付けた取引情報を、入出力部514を介して主制御部51へ出力する。主制御部51は取引情報の受け付けをトリガに、制御プログラム記憶部513に記憶した制御プログラムを起動し、指紋認証を要求する情報を、入出力部514を介して、CPU21へ出力する。
【0065】
CPU21は、指紋認証要求情報を受けて、指紋入力を促す画面242を図16の如くポップアップ表示する(ステップS136)。このように、ステップS122での指紋情報の受け付けに加えて、再度指紋情報の入力を要求しても良い。これにより、第1回目の指紋認証から取引情報入力までの間のなりすましを防止することができる。また、取引情報を入力した直後に、ユーザ自身の指紋を入力することは、当該取引を自身の意思により認めたことと等価であることから、商取引における意思表示をより強固に立証することが可能となる。主制御部51は、指紋入力部52から入力された指紋情報を受け付ける(ステップS137)。主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS138)。
【0066】
主制御部51は一致しないと判断した場合(ステップS138でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS138でYES)、生体認証に成功したことを示す生体認証の結果をID記憶部515に記憶する(ステップS139)。主制御部51はソフトウェア情報取得部511に記憶されたソフトウェア情報取得プログラムを起動し(ステップS141)、ソフトウェア情報を取得する(ステップS142)。具体的には、主制御部51が、OS251の名称及びバージョン、並びに、ブラウザ252の名称及びバージョンを記憶部25またはレジストリ等から読み出すことにより取得する。CPU21は取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する(ステップS143)。
【0067】
主制御部51は機器情報記憶部59から機器ID、メーカ名及び型番を含む機器情報を読み出す(ステップS144)。主制御部51はソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す(ステップS145)。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す(ステップS146)。主制御部51は暗号化鍵により、機器情報及びソフトウェア情報を暗号化する(ステップS147)。主制御部51は機器秘密鍵記憶部58から機器秘密鍵を読み出す(ステップS148)。
【0068】
主制御部51は暗号化した機器情報及びソフトウェア情報を機器秘密鍵により電子署名する(ステップS149)。主制御部51は暗号化した機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する(ステップS151)。主制御部51はID記憶部515からユーザID及びステップS139で記憶した生体認証の結果を含む生体認証情報を読み出す(ステップS152)。当該読み出し処理後、主制御部51はID記憶部515に記憶した生体認証の結果に関する情報を消去する。
【0069】
主制御部51は生体認証情報及びステップS134で受け付けた取引情報を暗号化鍵により暗号化する(ステップS153)。なお、ステップS153における暗号化鍵とステップS147における暗号化鍵を同一のものとして説明しているが、異なる暗号化鍵を用いても良い。主制御部51はユーザ秘密鍵記憶部56からユーザ秘密鍵を読み出す(ステップS154)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報をユーザ秘密鍵により電子署名する(ステップS155)。具体的には第1電子封筒、暗号化した生体認証情報及び取引情報のメッセージダイジェストを算出し、ユーザ秘密鍵により暗号化することで電子署名を得る。
【0070】
主制御部51は第1電子封筒、暗号化した生体認証情報及び取引情報、並びにステップS155における電子署名を電子封筒化し、第2電子封筒を生成する(ステップS156)。主制御部51は第2電子封筒を、入出力部514及び通信部26を介してWebサーバ1へ送信する(ステップS157)。なお、第2電子封筒の送信と共に、第2電子封筒内に、機器電子証明書及びユーザ電子証明書をも封入して送信しても良い。Webサーバ1のCPU11は、通信部16を介して第2電子封筒を受信する(ステップS158)。
【0071】
図17乃至図20はWebサーバ1における認証処理手順を示すフローチャートである。Webサーバ1のCPU11はユーザIDに対応するユーザ公開鍵をユーザ情報DB153から読み出す(ステップS171)。なお、第2電子封筒と共に送信された機器電子証明書及びユーザ電子証明書から、それぞれ機器公開鍵及びユーザ公開鍵を取り出すようにしても良い。CPU11は受信した第2電子封筒内の電子署名の検証を行う(ステップS172)。具体的には、第2電子封筒内の第1電子封筒並びに暗号化された生体認証情報及び取引情報のメッセージダイジェストを、記憶部15に記憶したハッシュ関数により算出する。CPU11は電子署名をユーザ公開鍵で復号することによりメッセージダイジェストを得る。このメッセージダイジェストと、算出したメッセージダイジェストとが一致している場合は、改竄がなく、電子署名の検証は成功と判断される。一致しない場合は、改竄の可能性があり、電子署名の検証は失敗と判断される。
【0072】
CPU11は検証に成功したか否かを判断する(ステップS173)。CPU11は検証に失敗したと判断した場合(ステップS173でNO)、処理を終了する。一方、CPU11は検証に成功したと判断した場合(ステップS173でYES)、復号鍵記憶部1520から復号鍵を読み出す(ステップS174)。CPU11は復号プログラム152を起動し、暗号化された生体認証情報及び取引情報を復号する(ステップS175)。CPU11は復号した生体認証情報中に生体認証の成功を示す生体認証の結果が存在するか否かを判断する(ステップS176)。CPU11は存在していないと判断した場合(ステップS176でNO)、生体認証を経ていないか或いは生体認証に失敗したものとして、処理を終了する。
【0073】
一方、CPU11は生体認証の結果が存在すると判断した場合(ステップS176でYES)、生体認証情報中のユーザIDが、ユーザ情報DB153に記憶された上述のユーザ公開鍵に対応するユーザIDに一致するか否かを判断する(ステップS177)。CPU11は一致しないと判断した場合(ステップS177でNO)、処理を終了する。CPU11は一致すると判断した場合(ステップS177でYES)、ユーザIDに対応する機器公開鍵を機器DB154から読み出す(ステップS178)。
【0074】
CPU11は第1電子封筒内の電子署名の検証を行う(ステップS179)。具体的には第1電子封筒内の暗号化された機器情報及びソフトウェア情報に対してなされた電子署名の検証を、ステップS173と同様に行う。CPU11は検証に成功したか否かを判断する(ステップS181)。CPU11は検証に失敗したと判断した場合(ステップS181でNO)、改竄があったとして処理を終了する。一方CPU11は検証に成功したと判断した場合(ステップS181でYES)、暗号化された機器情報及びソフトウェア情報を復号鍵により復号する(ステップS182)。
【0075】
CPU11は復号により得られた機器情報中の機器IDが、機器DB154に記憶された機器公開鍵及びユーザIDに対応する機器IDに一致するか否かを判断する(ステップS183)。CPU11は一致しないと判断した場合(ステップS183でNO)、処理を終了する。一方CPU11は機器IDが一致すると判断した場合(ステップS183でYES)、機器情報中のメーカ名及び型番、並びに、ソフトウェア情報をDBサーバ4へ送信する(ステップS184)。
【0076】
DBサーバ4のCPU41は、通信部46を介して送信された機器情報中のメーカ名及び型番、並びに、ソフトウェア情報を受信する(ステップS185)。CPU41はメーカ名及び型番、並びに、ソフトウェア情報に対応するポイントをソフトウェアDB451から抽出する(ステップS186)。CPU41は各ソフトウェアの抽出したポイントの合計値を算出する(ステップS187)。CPU41は合計値に対応するレベルを評価テーブル452から読み出す(ステップS188)。なお、レベルの算出処理はあくまで一例であり、ソフトウェアにより重みを変更する等しても良い。例えばOS251のポイントには重み計数1.5を乗じ、ブラウザ252には重み計数1.1を乗じる。以下ではソフトウェアの安全性に関するレベルをソフトウェアレベルという。
【0077】
CPU41は読み出したソフトウェアレベルをWebサーバ1へ送信する(ステップS189)。Webサーバ1のCPU11はソフトウェアレベルを受信する(ステップS191)。CPU11はソフトウェア基準レベルを、記憶部15から読み出す(ステップS192)。CPU11は、ソフトウェアレベルは、ソフトウェア基準レベル以上であるか否かを判断する(ステップS193)。CPU11は、ソフトウェア基準レベル以上でないと判断した場合(ステップS193でNO)、脆弱であると判断し処理を終える。
【0078】
一方、CPU11はソフトウェア基準レベル以上であると判断した場合(ステップS193でYES)、認証に成功したことを示すフラグを記憶部15に記憶する(ステップS194)。CPU11は、ステップS175により復号された取引情報に基づき、口座DB19に対し、振り込み処理を開始する(ステップS195)。CPU11は振込完了画面をHTMLファイル151から読み出し(ステップS196)、コンピュータ2へ送信する(ステップS197)。このように改竄が無く、取引主体の認証に成功したことを条件に、コンピュータ2を特定するための機器ID等の個人情報に関する認証処理が実行されるためプライバシーの保護をも図ることが可能となる。また、取引当事者以外の第3者へは、個人情報とは関係のないソフトウェア情報が通知されるだけであり、個人情報の漏洩に関する問題も生じない。
【0079】
実施の形態2
実施の形態2はタイムスタンプを適用する形態に関する。タイムスタンプを付与するタイムスタンプサーバを別途利用しても良いが、説明を容易にするために本実施の形態においてはCAサーバ3がタイムスタンプサーバとしての機能を有するものとして説明する。本実施の形態においては、単に第2電子封筒にタイムスタンプトークンを付するのではなく、生体、機器、ソフトウェア、及び取引これら4つのアクションが所定時間内、例えば数秒以内に完結したことを条件にタイムスタンプトークンを付与する。以下にフローチャートを用いて詳細な処理を説明する。
【0080】
図21乃至図24は実施の形態2に係るコンピュータ2における電子封筒化処理の手順を示すフローチャートである。実施の形態1で述べたステップS133以降、以下の処理を行う。コンピュータ2のCPU21は入力部23から入力された取引情報を受け付ける(ステップS211)。CPU21は入力部23から手続及び認証開始を示す手続開始ボタン241の入力を受け付けたか否かを判断する(ステップS212)。
【0081】
CPU21は手続開始ボタン241の入力を受け付けていないと判断した場合(ステップS212でNO)、入力を受け付けるまで待機する。一方、CPU21は入力を受け付けたと判断した場合(ステップS212でYES)、時計部28の出力を参照し日時を取得する(ステップS213)。以下では、ステップS213で取得した日時を取引日時という。CPU21は、ステップS211で受け付けた取引情報及び取得した取引日時を、入出力部514を介して主制御部51へ出力する。主制御部51は取引情報の受け付けをトリガに、制御プログラム記憶部513に記憶した制御プログラムを起動する。なお、主制御部51は手続開始ボタン241の入力を受け付けたと判断した場合、時計部28またはセキュリティチップ5内の時計部(図示せず)から出力される日時を取得するようにしても良い。主制御部51は受け付けた取引日時を内部のメモリに記憶する(ステップS214)。
【0082】
主制御部51は、指紋認証を要求する情報を、入出力部514を介して、CPU21へ出力する。CPU21は、指紋認証要求情報を受けて、指紋入力を促す画面242を図16の如く表示する(ステップS215)。主制御部51は、指紋入力部52から入力された指紋情報を受け付ける(ステップS216)。主制御部51は、受け付けた指紋情報が、指紋情報記憶部54に予め記憶された指紋情報に一致するか否かを判断する(ステップS217)。なお、本実施の形態においては、取引開始後、生体認証、ソフトウェア情報の収集、機器情報の読み出しの順に処理を進めるがこの順序に限るものではない。
【0083】
主制御部51は一致しないと判断した場合(ステップS217でNO)、異なるユーザによるアクセスであるとして処理を終了する。一方、主制御部51は一致すると判断した場合(ステップS217でYES)、時計部28の出力を参照し日時を取得する(ステップS218)。以下ではステップS218で取得した日時を生体日時という。主制御部51は、生体認証に成功したことを示す生体認証の結果及び生体日時をID記憶部515に記憶する(ステップS219)。主制御部51はソフトウェア情報取得部511に記憶されたソフトウェア情報取得プログラムを起動し(ステップS221)、ソフトウェア情報を取得する(ステップS222)。CPU21は取得したソフトウェア情報をソフトウェア情報記憶部512に記憶する(ステップS223)。
【0084】
主制御部51は時計部28の出力を参照し、日時を取得する(ステップS224)。以下では、ステップS224により取得した日時をソフトウェア日時という。主制御部51は、ソフトウェア情報記憶部512に、取得したソフトウェア日時を記憶する(ステップS225)。主制御部51は機器情報記憶部59から機器ID、メーカ名及び型番を含む機器情報を読み出す(ステップS226)。主制御部51は時計部28の出力を参照し日時を取得する(ステップS227)。以下ではステップS227で取得した日時を機器日時という。主制御部51は取得した機器日時を内部のメモリに記憶する。
【0085】
主制御部51はソフトウェア情報記憶部512に記憶したソフトウェア情報を読み出す(ステップS228)。主制御部51は暗号化鍵記憶部518から暗号化鍵を読み出す(ステップS229)。主制御部51は暗号化鍵により、機器情報及びソフトウェア情報を暗号化する(ステップS231)。主制御部51は機器秘密鍵記憶部58から機器秘密鍵を読み出す(ステップS232)。
【0086】
主制御部51は暗号化した機器情報及びソフトウェア情報を機器秘密鍵により電子署名する(ステップS233)。主制御部51は暗号化した機器情報及びソフトウェア情報、並びに、電子署名を電子封筒化し、第1電子封筒を生成する(ステップS234)。主制御部51はID記憶部515からユーザID及びステップS219で記憶した生体認証の結果を含む生体認証情報を読み出す(ステップS235)。当該読み出し処理後、主制御部51はID記憶部515に記憶した生体認証の結果に関する情報を消去する。
【0087】
主制御部51は生体認証情報及びステップS211で受け付けた取引情報を暗号化鍵により暗号化する(ステップS236)。主制御部51はユーザ秘密鍵記憶部56からユーザ秘密鍵を読み出す(ステップS237)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報をユーザ秘密鍵により電子署名する(ステップS238)。主制御部51は、内部のメモリに記憶した所定時間を読み出す(ステップS239)。主制御部51は取得した取引日時、生体日時、機器日時及びソフトウェア日時を読み出す(ステップS241)。
【0088】
主制御部51は、読み出した日時から、最も早い日時及び最も遅い日時を抽出し、これらの差分に基づき認証に要した認証時間を算出する(ステップS242)。この所定時間は例えば10秒等、セキュリティポリシーに応じて適宜増減すればよい。主制御部は認証時間が所定時間内に属するか否かを判断する(ステップS243)。主制御部51は所定時間内に属しないと判断した場合(ステップS243でNO)、例えば取引開始から1時間経過している場合、セキュリティレベルが低下することから、処理を終了する。これにより取引及び3つの認証に多くの時間が発生することに伴うなりすましの危険性を低減することが可能となる。
【0089】
主制御部51は、認証時間が所定時間内に属すると判断した場合(ステップS243でYES)、第1電子封筒、暗号化した生体認証情報及び取引情報のメッセージダイジェストを算出する(ステップS244)。主制御部51は算出したメッセージダイジェスト及びタイムスタンプの取得要求をCAサーバ3へ送信する(ステップS245)。CAサーバ3は、時刻配信事業者のサーバ(図示せず)から正確な第2電子封筒の生成時刻を取得する。CAサーバ3は自身の秘密鍵により取得した正確な生成時刻及びメッセージダイジェストについて電子署名を行う。CAサーバ3は生成時刻、メッセージダイジェスト及び電子署名を含むタイムスタンプトークンをコンピュータ2へ送信する。
【0090】
コンピュータ2の主制御部51はタイムスタンプトークンを受信する(ステップS246)。主制御部51は、第1電子封筒、暗号化した生体認証情報及び取引情報、タイムスタンプトークン、並びに、ステップS238における電子署名を電子封筒化し、第2電子封筒を生成する(ステップS247)。主制御部51は第2電子封筒を、入出力部514及び通信部26を介してWebサーバ1へ送信する(ステップS248)。Webサーバ1のCPU11は、通信部16を介して第2電子封筒を受信する(ステップS249)。
【0091】
第2電子封筒を受信したWebサーバ1は実施の形態1で述べた認証処理に先立ち以下の処理を行う。図25はタイムスタンプの認証処理の手順を示すフローチャートである。CPU11は第2電子封筒からタイムスタンプトークンを読み出す(ステップS251)。CPU11はCAサーバ3に対し、CAサーバ3が所有する秘密鍵に対応する公開鍵の取得要求を行う(ステップS252)。CPU11は公開鍵を受信する(ステップS253)。
【0092】
CPU11は公開鍵に基づき、タイムスタンプトークン内の電子署名の検証を行う(ステップS254)。具体的には、CPU11は電子署名を公開鍵により復号し、メッセージダイジェストを取り出す。CPU11はタイムスタンプトークン内の生成時刻及びメッセージダイジェスト(第1電子封筒並びに暗号化生体認証情報及び取引情報のハッシュ値)のメッセージダイジェストを算出する。CPU11は、この算出したメッセージダイジェストと、公開鍵により得たメッセージダイジェストとが一致するか否かにより検証が成功したか否かを判断する(ステップS255)。
【0093】
CPU11は検証に成功しなかったと判断した場合(ステップS255でNO)、タイムスタンプに関し何らかの改竄があったか、または、所定時間内に処理されなかったものとして処理を終了する。一方CPU11は検証に成功したと判断した場合(ステップS255でYES)、タイムスタンプトークン内の生成時刻を記憶部15に記憶する(ステップS256)。以降の処理は実施の形態1のステップS171以降と同様であるので詳細な説明は省略する。これにより、株取引など厳密な時間が要求される取引、または、高額な商品取引においても日時が正確に決定されることから、取引の信頼性を向上させることが可能となる。その上、ユーザの取引意思と、生体、機器及びソフトウェアの3つの認証とが、電子封筒管理及び時間管理により、一体的に統合されることから、インターネット及び携帯電話網等のあらゆるネットワークに接続される機器の認証レベルを向上させることが可能となる。
【0094】
本実施の形態2は以上の如きであり、その他は実施の形態1と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0095】
実施の形態3
図26は実施の形態3に係るコンピュータ2のハードウェア群を示すブロック図である。実施の形態3に係るコンピュータ2及びセキュリティチップ5を動作させるためのプログラムは、本実施の形態3のように、CD−ROM等の可搬型記録媒体1Aで提供することも可能である。さらに、プログラムを、通信網Nを介して図示しない他のサーバコンピュータからダウンロードすることも可能である。以下に、その内容を説明する。
【0096】
図26に示すコンピュータ2の図示しない記録媒体読み取り装置に、第1秘密鍵を読み出させ、電子署名をさせる等のプログラムが記録された可搬型記録媒体1Aを、挿入して制御プログラム記憶部513の制御プログラム内にこのプログラムをインストールする。または、かかるプログラムを、通信部26を介して外部の図示しない他のサーバコンピュータからダウンロードする。そして主制御部51の指示のもと、制御プログラム記憶部513にインストールする。これにより、上述のようなコンピュータ2及びセキュリティチップ5として機能する。
【0097】
本実施の形態3は以上の如きであり、その他は実施の形態1及び2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0098】
実施の形態4
実施の形態1においては、コンピュータ2がセキュリティチップ5を実装する例を説明したが、これに限るものではない。セキュリティチップ5の主制御部51が実行した処理を、セキュリティチップ5を実装しないコンピュータ2のCPU21が、同様に実行するようにしても良い。その他、一部の機能をセキュリティチップ5の主制御部51が実施し、一部の処理をCPU11が実行するようにしても良い。
【0099】
図27は実施の形態4のコンピュータ2のハードウェア群を示すブロック図である。セキュリティチップ5内に記憶されていた、機器電子証明書記憶部57、機器秘密鍵記憶部58及び機器情報記憶部59が、記憶部25に記憶され、CPU21が処理する点で、実施の形態1と相違する。この場合、ハードディスク等の機器情報記憶部59の記憶内容が容易に変更される可能性が高い。従って、全ての認証をセキュリティチップ5にて実行する場合と比較して、セキュリティレベルは低下する。実施の形態4においてはセキュリティチップ5の主制御部51ではなく、CPU21が、記憶部25に記憶された機器秘密鍵を用いて電子署名を行う。
【0100】
また、実施の形態1においては、生体認証として、指紋認証を行ったが、各コンピュータ2は、顔認証、指紋認証、手の平静脈認証、またはこれらの組み合わせにより行われる。このように生体認証の種類によってもセキュリティレベルは相違する。このようにコンピュータ2それぞれに、生体に関するセキュリティレベル(以下、生体レベル)、機器に関するセキュリティレベル(以下、機器レベル)、及びソフトウェアに関するセキュリティレベル(以下、ソフトウェアレベル)が相違する。本実施の形態においては、Webサーバ1はこれら3つのレベルを考慮して認証処理を行う。
【0101】
実施の形態4においては、ステップS152において読み出される生体認証情報には、さらに生体認証処理の種別(以下、生体種別という)が含まれる。この生体種別として、以下では、顔認証、指紋認証、手の平静脈認証、並びに、指紋認証及び手の平静脈認証の組み合わせを例として説明する。また、ステップS142で読み出される機器情報には機器のセキュリティに関する種別(以下、機器種別)が含まれる。この種別として、以下では、「機器秘密鍵による電子署名はCPU21が実行」、及び、「機器秘密鍵による電子署名はセキュリティチップ5が実行」とする例を挙げて説明する。すなわち、前者は実施の形態4のコンピュータ2、後者は実施の形態1のコンピュータ2ということになる。
【0102】
図28は実施の形態4に係るWebサーバ1のハードウェア群を示すブロック図である。記憶部15にはさらに静的評価テーブル155及び総合評価テーブル156が設けられている。図29は静的評価テーブル155のレコードレイアウトを示す説明図である。静的評価テーブル155はコンピュータ2の購入後セキュリティレベルが原則として変化しない生体認証情報及び機器情報に基づく静的レベルを記憶している。横方向には、生体レベル及び生体種別が記憶されている。生体レベルは数値が高いほど、安全性が高いことを示す。生体種別毎に生体レベルが付与されている。顔認証には生体レベル1、指紋認証には生体レベル2、手の平静脈認証には生体レベル3、指紋認証及び手の平静脈認証双方の認証を経たものには最高の生体レベル4が付与されている。
【0103】
一方、縦軸方向には機器レベル及び機器種別が記憶されている。機器レベルは数値が高いほど安全性が高いことを示す。機器種別毎に機器レベルが付与されている。「機器秘密鍵による電子署名はCPU21が実行」には機器レベル1が付与され、「機器秘密鍵による電子署名はセキュリティチップ5が実行」には機器レベル2が付与されている。静的評価テーブル155は生体レベル及び機器レベルの双方に基づく静的レベルをマトリクス状に記憶している。静的レベルは数値が高いほど安全性が高いことを示す。
【0104】
CPU11はコンピュータ2から生体認証情報及び機器情報を受信し、生体認証情報中の生体種別及び機器情報中の機器種別を読み出す。そして、CPU11は生体種別及び機器種別に対応する静的レベルを、静的評価テーブル155から読み出す。図30は総合評価テーブル156のレコードレイアウトを示す説明図である。総合評価テーブル156は静的レベル及びソフトウェアレベルの双方に基づき、認証を許可するサービスを記憶している。横軸方向は静的レベルであり、縦軸方向はソフトウェアレベルである。なお、本実施の形態においては説明を容易にするために、ソフトウェアレベルは3段階とし、数値が高いほど安全性が高いことを示すものとして説明する。
【0105】
静的レベル及びソフトウェアレベルの双方が低い値の場合、取引不可となる。すなわち、改竄等がない場合でも、総合的にセキュリティレベルが低いことから、Webサーバ1のCPU11は認証不可の情報をコンピュータ2へ送信する。ある程度静的レベル及びソフトウェアレベルが高い場合は、残高照会のみが記憶されている。CPU11は、取引情報が残高照会の場合にのみ認証許可を示す情報をコンピュータ2へ送信する。静的レベル及びソフトウェアレベルの双方が十分に高い場合、残高照会、振り込み及び金融商品取引の3つが記憶されている。CPU11は取引情報が残高照会、振り込みまたは金融商品取引のいずれかである場合、認証許可を示す情報をコンピュータ2へ送信する。
【0106】
図31及び図32は最終認証処理の手順を示すフローチャートである。CPU11はステップS175で復号された生体認証情報中の生体種別を抽出する(ステップS311)。CPU11はステップS182で復号された機器情報中の機器種別を抽出する(ステップS312)。なお、本実施の形態においてはコンピュータ2側において生体認証情報中に生体種別、及び、機器情報中に機器種別を含める例を挙げて説明するがこれに限るものではない。例えば、機器情報中のコンピュータ2のメーカ名及び型番から生体種別及び機器種別を取得するようにしても良い。この場合、Webサーバ1またはDBサーバ4において、メーカ名及び型番に対応づけて、生体種別及び機器種別を記憶しておき、対応する生体種別及び機器種別を抽出するようにしても良い。例えばメーカ名「F社」の型番「FM100」は、生体種別が「手の平静脈認証」、機器種別が「機器秘密鍵による電子署名はセキュリティチップ5が実行」等の情報が記憶されている。この場合、静的レベルは4となる。
【0107】
CPU11は抽出した生体種別及び機器種別に基づき、静的レベルを静的評価テーブル155から読み出す(ステップS313)。CPU11はステップS191で述べた如くソフトウェアレベルをDBサーバ4から受信する(ステップS314)。CPU11は、静的レベル及びソフトウェアレベルに基づき、総合評価テーブル156から認証を許可するサービスを読み出す(ステップS315)。CPU11は認証を許可するサービスが存在するか否かを判断する(ステップS316)。
【0108】
CPU11は、認証を許可するサービスが存在しない場合(ステップS316でNO)、つまり総合評価テーブル156に取引不可と記憶されている場合、認証不可を示す情報をコンピュータ2へ送信する(ステップS317)。一方CPU11は認証を許可するサービスが記憶されていると判断した場合(ステップS316でYES)、ステップS175で復号した取引情報を読み出す(ステップS318)。CPU11は、取引情報がステップS315で読み出したサービスに含まれるか否かを判断する(ステップS319)。CPU11は取引情報が読み出したサービスに含まれないと判断した場合(ステップS319でNO)、認証不可を示す情報をコンピュータ2へ送信する(ステップS321)。
【0109】
CPU11は、取引情報が読み出したサービスに含まれると判断した場合(ステップS319でYES)、認証許可を示す情報を送信する(ステップS322)。以降の処理はステップS194以降と同様であるので詳細な説明を省略する。これにより、生体、機器及びソフトウェアの3つのセキュリティを総合的に評価し、セキュリティポリシーに合致するクライアントに対して、差別化したサービスを提供することが可能となる。また、セキュリティポリシーをサービス提供者のサービス内容に応じて適宜変更することが可能となることから、改竄防止を図りつつ、柔軟な認証処理が可能となる。
【0110】
本実施の形態4は以上の如きであり、その他は実施の形態1乃至3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0111】
以上の実施の形態1乃至4を含む実施形態に関し、さらに以下の付記を開示する。
【0112】
(付記1)
情報処理を行う情報処理装置において、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を外部へ送信する手段と
を備えることを特徴とする情報処理装置。
【0113】
(付記2)
前記収集手段は、
記憶部に記憶されたソフトウェアに関する環境情報を使用環境として収集する
ことを特徴とする付記1に記載の情報処理装置。
【0114】
(付記3)
取引に関する取引情報を入力部から受け付ける受け付け手段を備え、
前記第2署名手段は、
生体認証情報、前記受け付け手段により受け付けた取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名し、
前記第2生成手段は、
前記第2署名手段により電子署名された生体認証情報、取引情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する
ことを特徴とする付記1に記載の情報処理装置。
【0115】
(付記4)
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を予め記憶した暗号鍵で暗号化する暗号化手段を備え、
前記署名手段は、
前記暗号化手段により暗号化した装置情報及び環境情報を、前記第1秘密鍵により電子署名する
ことを特徴とする付記3に記載の情報処理装置。
【0116】
(付記5)
生体認証情報及び前記受け付け手段により受け付けた取引情報を暗号鍵で暗号化する第2暗号化手段を備え、
前記第2署名手段は、
前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする付記4に記載の情報処理装置。
【0117】
(付記6)
前記生体認証情報は、認証対象者を特定するための認証識別情報、及び、生体認証の結果に関する情報を含む
ことを特徴とする付記5に記載の情報処理装置。
【0118】
(付記7)
前記生体認証情報は、認証対象者を特定するための認証識別情報、生体認証処理の種別及び生体認証の結果に関する情報を含む
ことを特徴とする付記5に記載の情報処理装置。
【0119】
(付記8)
所定の処理を実行するチップを備え、
該チップは、
認証対象者の生体情報を記憶する生体情報記憶部と、
外部から受け付けた生体情報と前記生体情報記憶部に記憶した生体情報とが一致するか否か判断する判断手段とを備え、
前記第2署名手段は、
前記チップ内に設けられ、前記判断手段により生体情報が一致する場合に、前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする付記5に記載の情報処理装置。
【0120】
(付記9)
前記チップは、
装置情報を記憶する装置情報記憶部と、
装置に関連する第1電子証明書を記憶する第1電子証明書記憶部と、
前記第1電子証明書に対応する第1秘密鍵を記憶する第1秘密鍵記憶部とを備え、
前記読み出し手段は、
前記チップ内に設けられ、前記装置情報記憶部に記憶された装置情報を読み出し、
前記第1読み出し手段は、
前記チップ内に設けられ、前記第1電子証明書記憶部から読み出した第1電子証明書に対応する第1秘密鍵を、前記第1秘密鍵記憶部から読み出す
ことを特徴とする付記8に記載の情報処理装置。
【0121】
(付記10)
前記チップは、
認証対象者に関連する第2電子証明書を記憶する第2電子証明書記憶部と、
前記第2電子証明書に対応する第2秘密鍵を記憶する第2秘密鍵記憶部とを備え、
前記第2読み出し手段は、
前記チップ内に設けられ、前記第2電子証明書記憶部に記憶された第2電子証明書に対応する第2秘密鍵を、前記第2秘密鍵記憶部から読み出す
ことを特徴とする付記9に記載の情報処理装置。
【0122】
(付記11)
日時を出力する時計部と、
生体認証を実行した日時を前記時計部から取得する第1取得手段と、
前記読み出し手段により装置情報を読み出した日時を前記時計部から取得する第2取得手段と、
前記収集手段により環境情報を収集した日時を前記時計部から取得する第3取得手段と、
前記受け付け手段により取引情報を受け付けた日時を前記時計部から取得する第4取得手段と、
前記第1取得手段乃至第4取得手段により取得した日時が所定時間内に属するか否かを判定する時間判定手段と、
該時間判定手段により所定時間内に属すると判断した場合に、前記暗号化された生体認証情報及び前記取引情報、並びに、前記第1電子封筒に対するタイムスタンプの取得要求を外部へ送信する取得要求手段と、
外部から送信された前記タイムスタンプに係るタイムスタンプトークンを受信するトークン受信手段を備え、
前記第2生成手段は、
前記第2署名手段により電子署名された第1電子封筒、暗号化された生体認証情報及び取引情報、並びに、前記トークン受信手段により受信したタイムスタンプトークンを電子封筒化し、第2電子封筒を生成する
ことを特徴とする付記5に記載の情報処理装置。
【0123】
(付記12)
通信網を介して接続される情報処理装置を認証装置により認証する認証システムにおいて、
前記情報処理装置は、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を前記認証装置へ送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記送信手段により送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否か判断する生体判断手段と
を備えることを特徴とする認証システム。
【0124】
(付記13)
前記生体判断手段により、記憶されていると判断した場合に、前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき検証する第1検証手段と、
該第1検証手段により電子署名の検証に成功した場合に、前記装置情報に対応する装置情報が前記認証記憶部に記憶されているか否かを判断する装置判断手段と
を備えることを特徴とする付記12に記載の認証システム。
【0125】
(付記14)
前記装置判断手段により記憶されていると判断した場合に、前記環境情報を外部へ送信する環境情報送信手段と、
該環境情報送信手段により送信した環境情報に対応する安全性に関するレベルを受信する受信手段と、
該受信手段により受信したレベルに基づき認証許可を示す情報を前記情報処理装置へ送信する手段と
を備えることを特徴とする付記13に記載の認証システム。
【0126】
(付記15)
通信網を介して接続される情報処理装置を認証装置により認証する認証方法において、
前記情報処理装置の制御部は、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出しステップと、
自身の使用環境に関する環境情報を前記制御部が収集する収集ステップと、
予め記憶部に記憶された第1秘密鍵を前記制御部が読み出す第1読み出しステップと、
前記読み出しステップにより読み出した装置情報及び前記収集ステップにより収集した環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を前記認証装置へ送信する送信ステップと、
前記認証装置の認証制御部が、前記送信ステップにより送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき検証する第2検証ステップと、
前記第2検証ステップにより電子署名の検証に成功した場合に、前記送信ステップにより送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを、前記認証制御部が判断する生体判断ステップと
を含むことを特徴とする認証方法。
【0127】
(付記16)
通信網を介して接続された情報処理装置の認証を行う認証装置において、
第2秘密鍵で電子署名された生体認証情報及び第1電子封筒が電子封筒化された第2電子封筒を受信する封筒受信手段と、
該封筒受信手段により受信した第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記封筒受信手段により受信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と、
該生体判断手段により、記憶されていると判断した場合に、第1秘密鍵により電子署名された装置情報及び環境情報が電子封筒化された前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき、検証する第1検証手段と
を備えることを特徴とする認証装置。
【0128】
(付記17)
前記第1検証手段により電子署名の検証に成功した場合に、前記装置情報に対応する装置情報が前記認証記憶部に記憶されているか否かを判断する装置判断手段と
を備えることを特徴とする付記16に記載の認証装置。
【0129】
(付記18)
前記装置判断手段により、記憶されていると判断した場合に、前記環境情報を外部へ送信する環境情報送信手段と、
該環境情報送信手段により送信した環境情報に対応する安全性に関するレベルを受信する受信手段と、
該受信手段により受信したレベルに基づき認証許可を示す情報を前記情報処理装置へ送信する手段と
を備えることを特徴とする付記17に記載の認証装置。
【0130】
(付記19)
認証のための情報を送信するコンピュータに用いられるプログラムにおいて、
コンピュータに、
予め記憶部に記憶された第1秘密鍵を前記コンピュータの制御部が読み出す第1読み出しステップと、
自身を特定するための装置識別情報を含む装置情報及び予め収集した自身の使用環境に関する環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を外部へ送信する送信ステップと
を実行させるプログラム。
【符号の説明】
【0131】
1 Webサーバ
1A 可搬型記録媒体
2 コンピュータ
3 CAサーバ
4 DBサーバ
5 セキュリティチップ
11 CPU
13 入力部
14 表示部
15 記憶部
15P 制御プログラム
16 通信部
18 時計部
51 主制御部
52 指紋入力部
53 指紋認証部
54 指紋情報記憶部
55 ユーザ電子証明書記憶部
56 ユーザ秘密鍵記憶部
57 機器電子証明書記憶部
58 機器秘密鍵記憶部
59 機器情報記憶部
153 ユーザ情報DB
154 機器DB
155 静的評価テーブル
251 OS
252 ブラウザ
510 暗号化処理部
451 ソフトウェアDB
452 評価テーブル
511 ソフトウェア情報取得部
512 ソフトウェア情報記憶部
515 ID記憶部
513 制御プログラム記憶部
514 入出力部
N 通信網
【特許請求の範囲】
【請求項1】
情報処理を行う情報処理装置において、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を外部へ送信する手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記収集手段は、
記憶部に記憶されたソフトウェアに関する環境情報を使用環境として収集する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
取引に関する取引情報を入力部から受け付ける受け付け手段を備え、
前記第2署名手段は、
生体認証情報、前記受け付け手段により受け付けた取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名し、
前記第2生成手段は、
前記第2署名手段により電子署名された生体認証情報、取引情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を予め記憶した暗号鍵で暗号化する暗号化手段を備え、
前記署名手段は、
前記暗号化手段により暗号化した装置情報及び環境情報を、前記第1秘密鍵により電子署名する
ことを特徴とする請求項3に記載の情報処理装置。
【請求項5】
生体認証情報及び前記受け付け手段により受け付けた取引情報を暗号鍵で暗号化する第2暗号化手段を備え、
前記第2署名手段は、
前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記生体認証情報は、認証対象者を特定するための認証識別情報、及び、生体認証の結果に関する情報を含む
ことを特徴とする請求項5に記載の情報処理装置。
【請求項7】
通信網を介して接続される情報処理装置を認証装置により認証する認証システムにおいて、
前記情報処理装置は、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を前記認証装置へ送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記送信手段により送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と
を備えることを特徴とする認証システム。
【請求項8】
通信網を介して接続される情報処理装置を認証装置により認証する認証方法において、
前記情報処理装置の制御部は、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出しステップと、
自身の使用環境に関する環境情報を前記制御部が収集する収集ステップと、
予め記憶部に記憶された第1秘密鍵を前記制御部が読み出す第1読み出しステップと、
前記読み出しステップにより読み出した装置情報及び前記収集ステップにより収集した環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を前記認証装置へ送信する送信ステップと、
前記認証装置の認証制御部が、前記送信ステップにより送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき検証する第2検証ステップと、
前記第2検証ステップにより電子署名の検証に成功した場合に、前記送信ステップにより送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを、前記認証制御部が判断する生体判断ステップと
を含むことを特徴とする認証方法。
【請求項9】
通信網を介して接続された情報処理装置の認証を行う認証装置において、
第2秘密鍵で電子署名された生体認証情報及び第1電子封筒が電子封筒化された第2電子封筒を受信する封筒受信手段と、
該封筒受信手段により受信した第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記封筒受信手段により受信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と、
該生体判断手段により、記憶されていると判断した場合に、第1秘密鍵により電子署名された装置情報及び環境情報が電子封筒化された前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき、検証する第1検証手段と
を備えることを特徴とする認証装置。
【請求項10】
認証のための情報を送信するコンピュータに用いられるプログラムにおいて、
コンピュータに、
予め記憶部に記憶された第1秘密鍵を前記コンピュータの制御部が読み出す第1読み出しステップと、
自身を特定するための装置識別情報を含む装置情報及び予め収集した自身の使用環境に関する環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を外部へ送信する送信ステップと
を実行させるプログラム。
【請求項1】
情報処理を行う情報処理装置において、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を外部へ送信する手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記収集手段は、
記憶部に記憶されたソフトウェアに関する環境情報を使用環境として収集する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
取引に関する取引情報を入力部から受け付ける受け付け手段を備え、
前記第2署名手段は、
生体認証情報、前記受け付け手段により受け付けた取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名し、
前記第2生成手段は、
前記第2署名手段により電子署名された生体認証情報、取引情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を予め記憶した暗号鍵で暗号化する暗号化手段を備え、
前記署名手段は、
前記暗号化手段により暗号化した装置情報及び環境情報を、前記第1秘密鍵により電子署名する
ことを特徴とする請求項3に記載の情報処理装置。
【請求項5】
生体認証情報及び前記受け付け手段により受け付けた取引情報を暗号鍵で暗号化する第2暗号化手段を備え、
前記第2署名手段は、
前記第2暗号化手段により暗号化した生体認証情報及び前記取引情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する
ことを特徴とする請求項4に記載の情報処理装置。
【請求項6】
前記生体認証情報は、認証対象者を特定するための認証識別情報、及び、生体認証の結果に関する情報を含む
ことを特徴とする請求項5に記載の情報処理装置。
【請求項7】
通信網を介して接続される情報処理装置を認証装置により認証する認証システムにおいて、
前記情報処理装置は、
自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出し手段と、
自身の使用環境に関する環境情報を収集する収集手段と、
予め記憶部に記憶された第1秘密鍵を読み出す第1読み出し手段と、
前記読み出し手段により読み出した装置情報及び前記収集手段により収集した環境情報を、前記第1秘密鍵により電子署名する署名手段と、
該署名手段により電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を生成する生成手段と、
予め記憶部に記憶された第2秘密鍵を読み出す第2読み出し手段と、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により電子署名する第2署名手段と、
該第2署名手段により電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を生成する第2生成手段と、
該第2生成手段により生成された第2電子封筒を前記認証装置へ送信する送信手段とを備え、
前記認証装置は、
前記送信手段により送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記送信手段により送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と
を備えることを特徴とする認証システム。
【請求項8】
通信網を介して接続される情報処理装置を認証装置により認証する認証方法において、
前記情報処理装置の制御部は、自身を特定する装置識別情報を含む装置情報を記憶部から読み出す読み出しステップと、
自身の使用環境に関する環境情報を前記制御部が収集する収集ステップと、
予め記憶部に記憶された第1秘密鍵を前記制御部が読み出す第1読み出しステップと、
前記読み出しステップにより読み出した装置情報及び前記収集ステップにより収集した環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を前記認証装置へ送信する送信ステップと、
前記認証装置の認証制御部が、前記送信ステップにより送信された第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき検証する第2検証ステップと、
前記第2検証ステップにより電子署名の検証に成功した場合に、前記送信ステップにより送信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを、前記認証制御部が判断する生体判断ステップと
を含むことを特徴とする認証方法。
【請求項9】
通信網を介して接続された情報処理装置の認証を行う認証装置において、
第2秘密鍵で電子署名された生体認証情報及び第1電子封筒が電子封筒化された第2電子封筒を受信する封筒受信手段と、
該封筒受信手段により受信した第2電子封筒内の前記生体認証情報及び第1電子封筒に係る電子署名を、前記第2秘密鍵に対応する第2公開鍵に基づき、検証する第2検証手段と、
該第2検証手段により電子署名の検証に成功した場合に、前記封筒受信手段により受信された生体認証情報に対応する生体認証情報が認証記憶部に記憶されているか否かを判断する生体判断手段と、
該生体判断手段により、記憶されていると判断した場合に、第1秘密鍵により電子署名された装置情報及び環境情報が電子封筒化された前記第1電子封筒内の装置情報及び環境情報に係る電子署名を、前記第1秘密鍵に対応する第1公開鍵に基づき、検証する第1検証手段と
を備えることを特徴とする認証装置。
【請求項10】
認証のための情報を送信するコンピュータに用いられるプログラムにおいて、
コンピュータに、
予め記憶部に記憶された第1秘密鍵を前記コンピュータの制御部が読み出す第1読み出しステップと、
自身を特定するための装置識別情報を含む装置情報及び予め収集した自身の使用環境に関する環境情報を、前記制御部が前記第1秘密鍵により電子署名する署名ステップと、
該署名ステップにより電子署名された装置情報及び環境情報を電子封筒化し、第1電子封筒を前記制御部が生成する生成ステップと、
予め記憶部に記憶された第2秘密鍵を前記制御部が読み出す第2読み出しステップと、
生体認証に関する情報である生体認証情報、並びに、前記第1電子封筒を前記第2秘密鍵により前記制御部が電子署名する第2署名ステップと、
該第2署名ステップにより電子署名された生体認証情報及び第1電子封筒を電子封筒化し、第2電子封筒を前記制御部が生成する第2生成ステップと、
該第2生成ステップにより生成された第2電子封筒を外部へ送信する送信ステップと
を実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【公開番号】特開2010−238102(P2010−238102A)
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願番号】特願2009−87347(P2009−87347)
【出願日】平成21年3月31日(2009.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願日】平成21年3月31日(2009.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]