情報管理装置、情報処理システム、情報管理方法及び情報管理プログラム
【課題】ある事業者が保有している利用者の情報を、他の事業者に利用させる場合に、利用者情報の配布先を制限するアクセストークンを発行するようにした情報管理装置を提供する。
【解決手段】利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、記憶手段は、前記情報活用装置を特定する情報活用装置識別子と乱数を対応付けて記憶し、連結手段は、前記記憶手段に記憶されている乱数と前記利用者の認証に利用する認証情報とを連結し、ハッシュ値算出手段は、前記連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、アクセストークン発行手段は、前記ハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして、前記端末装置に対して発行する。
【解決手段】利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、記憶手段は、前記情報活用装置を特定する情報活用装置識別子と乱数を対応付けて記憶し、連結手段は、前記記憶手段に記憶されている乱数と前記利用者の認証に利用する認証情報とを連結し、ハッシュ値算出手段は、前記連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、アクセストークン発行手段は、前記ハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして、前記端末装置に対して発行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムに関する。
【背景技術】
【0002】
利用者がポータルサイトなどで公開されている複数のサービスを利用しようとする際に、個々のポータルサイトにおいてID(アカウント)を取得し、必要な利用者情報を個別に手動にて入力する必要がある。
同じ内容の利用者の属性情報(利用者情報)の入力は、その利用者にとって煩雑である。その結果、登録せずに、サービス利用が促進されないことになる。そこで、利用者の情報を巧みに管理・活用する方式が必要となっている。
【0003】
例えば、図25に示すように、利用者2539が、端末装置2530を用いて、ポータルサイトY2521、ポータルサイトX2522が提供しているサービスを利用しようとする場合、ポータルサイトX2522のサービスを利用するためにはID登録が必要であり(ステップS2501)、そのために、ポータルサイトX2522に対して登録希望であることを示す操作を行い(ステップS2502−X)、さらに、氏名、住所、年齢、生年月日等を入力して、ID登録を行う必要がある(ステップS2503−X)。同じことをポータルサイトY2521に対しても行う必要がある(ステップS2502−Y、ステップS2503−Y)。このようにポータルサイト毎に、同じ内容の属性情報を入力して、IDを登録しないといけないので、利用者にとっては煩雑となり、登録をやめてしまうことがある。
【0004】
これに関連する技術として、例えば、特許文献1には、利用者に関連する情報(利用者情報)を管理する情報管理システムであって携帯端末から、利用者の識別情報、発番号情報及びパスワードの有効期限を含むパスワード発行要求を受信すると、有効期限を有するパスワードを生成して前記携帯端末に送信し、通信装置から、利用者の識別情報及びパスワードを受信すると、パスワードが正しく有効期限内である場合に、ユーザー識別情報により識別されるユーザーの利用者情報にアクセスして取得する情報管理システムが開示されている。すなわち、利用者が販売事業者のサービスの利用申し込みをする際に、通信事業者が保有している利用者情報(属性情報)を販売事業者へ送る仕組みについて開示されている。
【0005】
また、非特許文献1、2、3には、Liberty ID−WSFモデルとして、サーバに登録されている利用者情報をサービス業者間で直接交換し、利用者のサービス登録や利用時の手間を省いたり、サービスのパーソナライズを図るものが開示されている。具体的には、ユーザーはシングルサインオン(SSO、Single Sign−On)によって、IdP(Identity Provider、認証業者)で認証した後SP(Service Provider、サービス業者)にログインし、その後、AP(Attribute Provider、個人属性提供業者)から必要な利用者情報(属性情報)をSPに送付することができるものである。
例えば、図26に示すように、認証システム2615は、Webサービスを提供する個人属性提供システム2610と公開対象をレジストリ2617に登録する(ステップS2600)。そして、利用者2639は端末装置2630を用いて、サービスシステム2620に対して、シングルサインオンを行い、サービス開始を要求する(ステップS2601)。サービスシステム2620は、認証システム2615のディスカバリサービス2616に対して利用者情報へのアクセスの検索要求を行う(ステップS2602)。ディスカバリサービス2616は、検索結果である利用者情報へのアクセス要求情報をサービスシステム2620へ送付する(ステップS2603)。サービスシステム2620は、個人属性提供システム2610に対して利用者情報を要求する(ステップS2604)。個人属性提供システム2610のインタラクションサービス2611は、端末装置2630の利用者2639から、サービスシステム2620への利用者情報提供の許可(同意)を取得する(ステップS2605)。個人属性提供システム2610は、サービスシステム2620に対して、利用者情報DB2612に格納されている氏名、住所、銀行口座番号、クレジットカード番号等の利用者情報を提供する(ステップS2606)。そして、サービスシステム2620は、端末装置2630の利用者2639に対して、サービスを提供する(ステップS2607)。
【0006】
また、シングルサインオンをベースとした利用者情報(属性情報)の交換についても開示されている。つまり、SSOの下で信頼関係にあるサイト間で、利用者情報の交換を行うものである。これは、前述のLiberty ID−WSFモデルを縮退させたものであり、IdPとAPが同一の利用者管理事業者である場合を意味している。例えば、図27に示すように、サービスシステム2710が利用者のID情報を登録しておく。例えば、ユーザーAのID情報としてuser01を登録する(ステップS2701−A)。同様に、属性管理システム2720が利用者のID情報を登録しておく。例えば、ユーザーAのID情報としてuserAを登録する(ステップS2701−B)。サービスシステム2710と属性管理システム2720とは、予め信頼関係を構築しておく(ステップS2702)。次に、サービスシステム2710と属性管理システム2720の利用者情報を関連付ける(紐付ける)。例えば、user01とuserAとは同じユーザーAを示すために、両者を紐付ける(ステップS2703)。そして、サービスシステム2710で属性管理システム2720の利用者情報を使いたい場合に、サービスシステム2710と属性管理システム2720の信頼関係、ユーザーIDの紐付けをもとにユーザーAの利用者情報を提供する(ステップS2704)。
【0007】
また、非特許文献4には、モバイルSuica(登録商標)の仮登録が開示されている。これは、入力に手間がかかる情報を前もってPC(Personal Computer)などで仮登録しておき、後から携帯電話と紐付けを行うものである。例えば、図28に示すように、利用者2839は、ポータルサイトY2821のサービスを利用するためにID登録を行う(ステップS2801)。そのために、まず、利用者2839は、前もってPC2831を用いてポータルサイトY2821に対して仮の登録を行う(ステップS2802)。例えば、氏名、住所、年齢、生年月日等を入力する。そして、ポータルサイトY2821はPC2831に対して、仮登録情報(一時的なパスワード等)を送信する(ステップS2803)。利用者2839は、携帯電話2832を用いて、その仮登録情報でポータルサイトY2821にアクセスして(一時的なパスワードを入力して認証され)、本登録を行う(ステップS2804)。
この場合、利用者2839に関する利用者情報は、属性管理業者Xシステム2841によって既に管理されているのが一般的である。例えば、利用者2839の利用者情報は、携帯電話2832を購入する際に属性管理業者Xシステム2841に該当する携帯電話事業者のシステムに登録されて、管理されていることとなる。
【特許文献1】特許第3949384号公報
【非特許文献1】Liberty Alliance、[平成20年8月7日検索]、インターネット<URL:http://www.projectliberty.org/>
【非特許文献2】Liberty Alliance、[平成20年8月7日検索]、インターネット<URL:http://www.projectliberty.org/liberty/resource_center/specifications/liberty_alliance_id_wsf_2_0_specifications_including_errata_v1_0_updates>
【非特許文献3】OASIS、[平成20年8月7日検索]、インターネット<URL:http://www.oasis-open.org/specs/#samlv2.0>
【非特許文献4】東日本旅客鉄道株式会社、[平成20年8月7日検索]、インターネット<URL:https://www.mobilesuica.com/ka/en/TypeSelect.aspx?returnId=SFRCMMEPC03>
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、このような従来の技術では、以下のような問題点があった。
特許文献1に開示されている技術では、以下の3つの問題点がある。
<問題点1>
利用者情報という機密性の高い情報が、該利用者の意図しない第三者に対して、漏洩する可能性がある。
(理由)利用者情報を入手するために必要となるユーザーIDとパスワードが、該利用者情報の所有者である利用者の意図しない第三者に漏洩すれば、正規のユーザーになりすまして利用者情報にアクセスできてしまうからである。特許文献1に開示されている技術は、いわゆる情報管理装置と情報活用装置との間は専用線接続を仮定しているが、広域なネットワーク環境での適用を考慮すると、ユーザーIDとパスワードは漏洩する危険性は十分にある。
【0009】
<問題点2>
利用者情報が、ユーザーが新規に利用者情報を送付しようと意図している事業者以外の事業者に、漏洩する可能性がある。
(理由)利用者情報を入手するために必要となるユーザーIDとパスワードが、利用者情報の送付先となる正しい事業者以外の他の事業者に漏洩した場合、その事業者が利用者情報にアクセスできてしまうからである。
【0010】
<問題点3>
登録ユーザーのプライバシーが保護されない可能性がある。
(理由)利用者情報を管理又は利用するユーザーIDを、そのまま事業者に対して送付するからである。ユーザーIDは、ユーザーの利用者情報にアクセスするために利用する機密性の高い情報の1つであるから、このユーザーIDを、そのまま事業者に対して送付することで、利用者情報の漏洩するリスクが高まる。
【0011】
非特許文献1、2、3に開示されている技術では、以下の2つの問題点がある。
<問題点4>
利用者が、管理業者にて管理されている利用者情報を、あるサービス事業者が利活用することを、該利用者の判断において実施することができない。
(理由)利用者情報を共有するためには、利用者情報の管理業者と事業者の間に信頼関係が構築されている必要があるからである。また、管理業者と事業者とは、それぞれのアクセス先(URLなど)などの必要な情報を知らないため、通信できないからである。
【0012】
<問題点5>
管理業者において管理する利用者情報を、事業者が利活用するための事前処理が多く、煩雑で不便である。
(理由)利用者は、管理業者とサービス業者において、予めそれぞれにID(アカウント)登録が必要である。その上、それぞれのIDを連携(紐付け)し、シングルサインオンすることが前提であるからである。
【0013】
非特許文献4に開示されている技術では、以下の問題点がある。
<問題点6>
既に管理されている利用者情報を利用又は活用できていない。
【0014】
つまり、第1の事業者(携帯電話事業者)のシステム(図28に示した例では属性管理業者Xシステム2841)の利用者が第2の事業者(ポータルサイト事業者)のシステム(図28に示した例ではポータルサイトY2821)でID登録を行う際に、両方の事業者に対して独立してID登録をする必要があると共に、第1の事業者が保有しているユーザーの利用者情報を第2の事業者が使用することができない。
【0015】
本発明は、このような従来の技術が有する問題点に着目してなされたもので、ある事業者が保有している利用者の情報を、他の事業者に利用させる場合に、利用者情報を安全に送受信できる情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムを提供することを目的としている。
【課題を解決するための手段】
【0016】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、を具備することを特徴とする情報管理装置。
【0017】
[2] 前記取得手段は、前記端末装置に対する前記利用者の操作に基づいて、前記アクセスコードを該端末装置から取得し、前記第2の連結手段は、前記端末装置から取得されたアクセスコードを用いることを特徴とする[1]に記載の情報管理装置。
【0018】
[3] 前記取得手段は、前記利用者が指定した他の利用者の端末装置から前記アクセスコードを取得し、前記第2の連結手段は、前記他の利用者の端末装置から取得されたアクセスコードを用いることを特徴とする[1]に記載の情報管理装置。
【0019】
[4] 前記記憶手段は、前記第1の連結手段により連結されたアクセスコードを前記アクセストークンに対応付けてさらに記憶し、前記取得手段は、前記アクセストークン受信手段によって受信されたアクセストークンに対応付けられた前記アクセスコードを前記記憶手段から取得し、前記第2の連結手段は、前記記憶手段から取得されたアクセスコードに前記乱数及び前記情報活用装置識別子を連結することを特徴とする[1]に記載の情報管理装置。
【0020】
[5] 前記端末装置に対する前記利用者の操作に基づいて、利用者を特定する利用者識別子と情報活用装置識別子を該端末装置から取得する利用者識別子取得手段をさらに具備し、前記記憶手段は、さらに前記利用者識別子取得手段によって取得された前記利用者識別子を記憶することを特徴とする[1]〜[4]の何れか一項に記載の情報管理装置。
【0021】
[6] 前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記利用者情報を前記情報活用装置に送信する利用者情報送信手段を具備することを特徴とする[1]〜[5]の何れか一項に記載の情報管理装置。
【0022】
[7] 前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される利用者が利用している前記端末装置と通信することにより、前記情報活用装置への利用者情報の送信の許可を得る送信許可取得手段をさらに具備し、前記利用者情報送信手段は、前記判断手段によって前記アクセス要求が正規なものと判断され、さらに前記送信許可取得手段によって前記利用者情報の送信の許可が得られた場合に、前記利用者情報を前記情報活用装置に送信することを特徴とする[6]に記載の情報管理装置。
【0023】
[8] 前記送信許可取得手段は、前記端末装置に対して利用者識別子の送信を要求して、当該要求により得られた利用者識別子と、前記受信したアクセストークンに対応付けられた利用者識別子とが一致する場合に、前記情報活用装置への利用者情報の送信の許可が得られたと判定することを特徴とする[7]に記載の情報管理装置。
【0024】
[9] 前記第1の連結手段は、乱数と識別子情報を連結し、前記記憶手段は、さらに前記第1のハッシュ値算出手段のハッシュ関数の入力とした識別子情報を前記アクセストークンに対応付けて記憶し、前記第2の連結手段は、前記受信したアクセストークンに対応付けられた識別子情報を前記記憶手段から取得して前記乱数に連結することを特徴とする[1]〜[8]の何れか一項に記載の情報管理装置。
【0025】
[10] 前記利用者情報を暗号化する暗号化手段をさらに具備し、前記利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信することを特徴とする[6]〜[8]の何れか一項に記載の情報管理装置。
【0026】
[11] 端末装置の利用者に関する情報である利用者情報を管理する情報管理装置と、当該利用者情報を活用する情報活用装置とが通信可能に接続された情報処理システムであって、前記情報管理装置は、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、を具備し、前記情報活用装置は、アクセストークンを受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信するアクセストークン送信手段と、前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する受信手段と、を具備することを特徴とする情報処理システム。
【0027】
[12] 前記情報管理装置は、前記利用者情報を暗号化する暗号化手段をさらに具備し、前記情報管理装置の利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信し、前記情報活用装置は、前記受信手段によって受信された暗号化された前記利用者情報を復号する復号手段をさらに具備することを特徴とする[11]に記載の情報処理システム。
【0028】
[13] 利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置が行う情報管理方法であって、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信ステップと、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結ステップと、前記第1の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出ステップと、前記第1のハッシュ値算出ステップにおいて算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行ステップと、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出ステップで処理の対象となった乱数とを対応付けて記憶手段に記憶する記憶ステップと、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信ステップと、前記アクセストークン受信ステップにおいて受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得ステップと、前記取得ステップにおいて取得された乱数及びアクセストークンに前記受信した情報活用装置識別子を連結する第2の連結ステップと、前記第2の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出ステップと、前記アクセストークン受信ステップにおいて受信されたアクセストークンと前記第2のハッシュ値算出ステップにおいて算出されたハッシュ値とを照合して一致する場合は、前記記憶ステップにおいて該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断ステップと、を有することを特徴とする情報管理方法。
【0029】
[14] 利用者が利用する端末装置と、該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能な情報管理装置を、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段として機能させることを特徴とする情報管理プログラム。
【0030】
前記本発明は次のように作用する。
許可要求受信手段は、利用者情報に対する情報活用装置からのアクセスの許可要求を端末装置から受信し、第1の連結手段は、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結し、第1のハッシュ値算出手段は、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、アクセストークン発行手段は、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行し、記憶手段は、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶し、アクセストークン受信手段は、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信し、取得手段は、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得し、第2の連結手段は、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結し、第2のハッシュ値算出手段は、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、判断手段は、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する。
【0031】
これによって、事業者のシステムごとに事前に利用者情報を登録しておかなくても、1つの事業者のシステムに登録されている利用者情報を他の事業者のシステムでも利用できる。また、他の事業者のシステムに利用者情報を送信するためにネットワーク上で直接利用者識別子を送受信することをしないため、第三者への利用者情報の漏洩を防止することができ、セキュリティが強固なシステムを提供できる。
【0032】
前記情報活用装置では、アクセストークン受信手段は、アクセストークンを受信し、アクセストークン送信手段は、前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信し、受信手段は、前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する。これによって、利用者は情報活用装置に利用者情報を入力しなくても、情報管理装置に登録されている利用者情報を情報活用装置でも活用させることができる。そして、その利用者情報は情報活用装置と情報管理装置とで同一のものである。また、情報活用装置に利用者情報を送信するために直接利用者識別子を使用することをしないため、プライバシーの保護ができ、情報の漏洩を防止し、セキュリティが強固なシステムを提供できる。
【発明の効果】
【0033】
本発明にかかる情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムによれば、事業者のシステムごとに事前に利用者情報を登録しておかなくても、1つの事業者のシステムに登録されている利用者情報を他の事業者のシステムでも利用できる。また、他の事業者のシステムに利用者情報を送信するためにネットワーク上で直接利用者識別子を送受信することをしないため、利用者が意図しない第三者への利用者情報の漏洩を防止することができ、セキュリティが強固なシステムを提供できる。これによって、利用者にとっては、事業者のシステム毎にサービスの利用開始のために利用者情報を登録するという手間が省け、利便性がより一層向上する。
【発明を実施するための最良の形態】
【0034】
以下、図面に基づき本発明を実現するにあたっての好適な各種の実施の形態の例を説明する。
図1は、本発明の実施の形態を実現するシステム構成例を示す説明図である。
情報管理装置110、情報活用装置120、端末装置130は、通信ネットワーク140を介して接続されており、互いに通信可能となっている。また、各装置は、必要に応じてSSL(Secure Socket Layer)/TLS(Transport Layer Security)などの安全な通信路を確立し、通信相手以外の第三者による、通信内容の不正な傍受、盗み見を防止できる。
【0035】
情報管理装置110には、利用者情報が既に登録されており、例えば、通信事業者が管理しているものである。情報活用装置120は、端末装置130の利用者139にサービスを提供するものであり、そのサービスの提供のためには、利用者139のユーザー登録が必要である。例えば、サービス事業者が管理しているものである。
【0036】
以下、端末装置130として、携帯電話を主に例示して説明する。端末装置130は、情報管理装置110、情報活用装置120とデータ通信できるものであればよく、携帯電話の他に、PHS(Personal Handy phone System)、固定電話、通信可能なPC(Personal Computer)、ゲーム機、携帯情報端末、情報家電等にも適用が可能である。なお、本発明の情報処理システムでは、携帯電話のように、キーが少なく(又は小さく)入力操作が困難である端末装置において、利用者にとってより利便性が発揮されるようになる。
【0037】
図2は、本発明の実施の形態による処理例の概略を示す説明図である。
利用者が様々なサービスを利用したり、取引やID(IDentifier、識別子)の登録を行ったりする際に、ある事業者が既に管理している利用者情報(例えば、住所、氏名などの個人属性情報)を、異なる事業者(第2の事業者)に安全に送付することによって、第2の事業者がその利用者情報を利用又は活用することができるようにするものである。なお、ここで、利用者情報とは、個人情報の保護に関する法律で規定する個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。))に限られず、利用者に関する情報であればよい。
【0038】
ポータルサイトX221、ポータルサイトY222が情報活用装置120に該当し、加入者管理装置210が情報管理装置110に該当し、端末装置230が端末装置130に該当するものである。つまり、利用者239の利用者情報は、既に加入者管理装置210に登録されており、利用者239が、ポータルサイトX221又はポータルサイトY222に利用者登録を行う場合に、加入者管理装置210に登録されている利用者情報を利用しようとするものである。より具体的には、加入者管理装置210は通信事業者が管理しており、端末装置230の携帯電話を利用するに際して、既に、利用者情報は加入者管理装置210内に格納されている。その利用者情報を、別の事業者が管理しているポータルサイトX221、ポータルサイトY222に利用させるものである。
【0039】
ステップS21では、利用者239は端末装置230を用いて、ポータルサイトY222に対して利用者登録を依頼する。
ステップS22では、ポータルサイトY222は、端末装置230に対して、利用者情報の入力を促す。
【0040】
ステップS23では、加入者管理装置210に対して、利用者239は端末装置230を用いて、加入者管理装置210に預けてある(登録されている)利用者情報をポータルサイトY222に送信することを依頼する。より具体的には、後述するアクセストークンを加入者管理装置210から取得して、そのアクセストークンをポータルサイトY222に送信することである。
ステップS24では、加入者管理装置210がポータルサイトY222に利用者情報を送信する。
ステップS25では、ポータルサイトY222では、加入者管理装置210から受け取った利用者情報に基づいて、利用者239の利用者登録を行う。
【0041】
〔第1の実施の形態〕
以下、第1の実施の形態について説明する。図3は、第1の実施の形態の情報管理装置110内の概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはプログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がプログラムの場合は、記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク等で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「所定」という用語は、予め定められたの意の他に、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じての意を含めて用いる。
【0042】
情報管理装置110は、利用者情報を管理するものであって、図3の例に示すように、認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117を有している。認証モジュール111、利用者情報発行モジュール112、アクセストークン発行モジュール114、アクセストークン検証モジュール115は、通信ネットワーク140を介して、端末装置130又は情報活用装置120と接続されている。
【0043】
認証モジュール111は、利用者情報格納モジュール113と接続されている。利用者(ユーザー)を利用者情報格納モジュール113にて管理している利用者固有の識別子とその識別子に対応するクレデンシャル情報(パスワードなど認証に利用する情報)を利用して認証する。
【0044】
利用者情報発行モジュール112は、利用者情報格納モジュール113と接続されている。情報活用装置120からの利用者情報要求に応じて、利用者情報格納モジュール113から利用者情報を取得し、返信する。
【0045】
利用者情報格納モジュール113は、認証モジュール111、利用者情報発行モジュール112からアクセスされる。利用者に関連付けられた情報(個人属性情報などの利用者情報)を格納する。例えば、記憶するデータとして、図4の例に示す利用者情報テーブル400がある。図4は、利用者情報テーブル400のデータ構造例を示す説明図である。利用者情報テーブル400は、利用者氏名欄410、ID欄420、PW欄430、住所欄440、生年月日欄450、性別欄460、電話番号欄470、E−mailアドレス欄480を有している。利用者氏名欄410は、利用者の氏名を記憶する。ID欄420は、その利用者を一意に特定する識別子を記憶する。PW欄430は、情報管理装置110を利用するためのクレデンシャル情報であるパスワードを記憶する。住所欄440は、その利用者の住所を記憶する。生年月日欄450は、その利用者の生年月日を記憶する。性別欄460は、その利用者の性別を記憶する。電話番号欄470は、その利用者の電話番号を記憶する。E−mailアドレス欄480は、その利用者の電子メールアドレスを記憶する。この他に、年齢、勤務先等を記憶するようにしてもよい。これらのデータは、事前に、例えば端末装置130である携帯電話の契約時等に収集されるものである。
【0046】
アクセストークン発行モジュール114は、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117と接続されている。情報活用装置120が利用者情報に対してアクセス可能とするために、ランダムな数であるノンス(乱数)と、所定の識別子とを連結させ、所定のハッシュ関数に与えることによって作成するハッシュ値を、利用者情報にアクセスするためのアクセストークンとして、その利用者139の端末装置130に対して発行する。つまり、ノンスと利用者のアクセスコードと情報活用装置識別子とを連結し、その連結された符号からハッシュ関数によってハッシュ値を算出し、その算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして、端末装置130に対して発行する。なお、発行するとは、アクセストークンを作成して通用させること、具体的には作成したアクセストークンを端末装置130に送信することをいう。この発行の定義は、第2の実施の形態又は第3の実施の形態でも同様であり、第5の実施の形態又は第6の実施の形態で、第1から第3の実施の形態を用いる部分については同様である。
【0047】
また、アクセストークン発行モジュール114は、利用者情報に対する情報活用装置120からのアクセスの許可要求を端末装置130から受信し、その許可要求に対応したアクセスコードに情報活用装置120を特定する情報活用装置識別子とノンスとを連結(第1の連結)し、連結された符号からハッシュ関数によってハッシュ値を算出(第1のハッシュ値算出)し、算出されたハッシュ値を利用者情報にアクセスするためのアクセストークンとして発行し、アクセストークンと、利用者を特定する利用者識別子と、ハッシュ値算出で処理の対象となったノンスとを対応付けてアクセストークン情報格納モジュール116に記憶させる。
【0048】
図5は、アクセストークン発行モジュール114によるアクセストークンの発行処理例を示す説明図である。
アクセストークン発行モジュール114は、所定のハッシュ関数520に対して、ノンスとアクセスコードと情報活用装置識別子を連接したもの(ノンス+アクセスコード+情報活用装置識別子510)を入力してハッシュ値を作成し、アクセストークン530とする。なお、アクセスコードとは、利用者固有の情報であり、例えば、PIN(Personal Identification Number)番号、パスワード(利用者情報テーブル400のPW欄430)等がある。情報活用装置識別子とは、情報活用装置120を一意に特定できるコードである。所定のハッシュ関数として、既に知られているハッシュ関数(MD5、SHA1等)を用いてよい。また、ノンスは疑似乱数であってもよい。
このアクセストークンは、所定の利用者以外の利用者、すなわち利用者が意図しない第三者が、その所定の利用者の利用者情報を扱ったり、該利用者情報を不正に活用したりすることがないようにするものである。
【0049】
また、アクセストークン発行モジュール114は、端末装置130に対する利用者139の操作に基づいて、その利用者139のアクセスコードを端末装置130から取得して、その取得したアクセスコードとノンスを連結させてハッシュ値を算出するようにしてもよい。
【0050】
また、アクセストークン発行モジュール114は、情報活用装置情報格納モジュール117に格納されている情報活用装置120に関する情報を利用者139の端末装置130に対して提示するなどして、利用者情報の送付先(情報管理装置110へアクセストークンを送信してくる情報活用装置120)を取得するようにしてもよい。もし、情報活用装置情報格納モジュール117に、利用者139が求める情報活用装置120に関する情報がなければ、利用者139に端末装置130を用いてその情報活用装置120に関する情報を直接に入力させるなどして、取得するようにしてもよい。この際、その利用者139には、情報活用装置120において利用者139に関する利用者情報が活用されることになる旨を確認し、同意を得るようにしてもよい。なお、情報活用装置120に関する情報としては、例えば、その情報活用装置120を一意に特定するための情報活用装置識別子等があり、より具体的には、情報活用装置120が提供しているサービスのホームページのURL等であってもよい。なお、利用者139の端末装置130に提示するものは、その情報活用装置120の名称(サービス名等)であってもよい。
また、アクセストークン発行モジュール114は、端末装置130に対する利用者139の操作に基づいて、その利用者139の利用者識別子と情報活用装置識別子を取得してもよい。そして、取得したその利用者識別子をアクセストークン情報格納モジュール116に記憶させてもよい。
【0051】
アクセストークン検証モジュール115は、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117と接続されている。情報活用装置120からの利用者情報へのアクセス要求メッセージに含まれるアクセストークンとその情報活用装置識別子を受け取り、アクセストークン情報格納モジュール116に格納されているアクセストークンに関連付けられているノンスとアクセスコードと受け取った情報活用装置識別子とを連結したものを、所定のハッシュ関数に与えることによって作成するハッシュ値と、利用者情報要求に含まれるアクセストークンとを比較照合することによって、アクセス要求メッセージに含まれるアクセストークンが正当なものであるか否かを検証する。
【0052】
つまり、アクセストークン検証モジュール115は、利用者情報格納モジュール113に格納されている利用者情報にアクセスするためのアクセストークンと情報活用装置120の情報活用装置識別子を情報活用装置120から取得し、その取得したアクセストークンに基づいて、アクセストークン情報格納モジュール116に記憶されたノンスを取得する。そして、その取得したノンスと利用者139のアクセスコードと前記情報活用装置識別子を連結し、その連結した符号からハッシュ関数によってハッシュ値を算出する。情報活用装置120から取得したアクセストークンと算出したハッシュ値を照合して、一致する場合は、情報活用装置120からの利用者139の利用者情報へのアクセス要求を正規なものと判断する。そして、アクセス要求が正規なものと判断した場合は、利用者139の利用者情報をその情報活用装置120に送信する。
【0053】
また、アクセストークン検証モジュール115は、端末装置130に対する利用者139の操作に基づいて、その利用者139のアクセスコードを端末装置130から取得して、その取得したアクセスコードとノンスを連結させてハッシュ値を算出するようにしてもよい。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求メッセージ内の利用者識別子を取得し、その取得した情報活用装置識別子及び利用者識別子に基づいて、アクセストークン情報格納モジュール116に記憶されたノンスを取得するようにしてもよい。
また、アクセストークン検証モジュール115は、アクセス要求が正規なものと判断した場合は、利用者139が利用している端末装置130に対して、情報活用装置120に利用者139の利用者情報を送信することの確認を行う。そして、利用者139の確認が行われた場合(つまり、送信することに対して許可された場合)は、利用者139の利用者情報をその情報活用装置120に送信する。
【0054】
また、アクセストークン検証モジュール115は、アクセストークンと、情報活用装置120の情報活用装置識別子とを情報活用装置120から受信し、その受信されたアクセストークンに基づいて、アクセスコードとアクセストークン情報格納モジュール116に記憶されたノンスとを取得し、その取得されたノンス及びアクセスコードと受信した情報活用装置識別子を連結(第2の連結)し、その連結された符号からハッシュ関数によってハッシュ値を算出(第2のハッシュ値算出)し、受信されたアクセストークンと第2のハッシュ値算出によって算出されたハッシュ値とを照合して一致する場合は、アクセストークン情報格納モジュール116においてアクセストークンに対応付けられた利用者識別子で示される利用者の利用者情報へのアクセス要求を正規なものであると判断する。そして、アクセス要求が正規なものと判断された場合は、利用者情報を情報活用装置120に送信する。
【0055】
より具体的には、情報活用装置120から利用者情報へのアクセス要求が行われた場合に、以下のようにして、アクセストークン検証モジュール115が検証する。図7は、アクセストークンの検証処理例を示すフローチャートである。なお、ステップS716以外の処理は、アクセストークン検証モジュール115が行う。
(1)ステップS702 情報活用装置120からアクセス要求メッセージを受領する。そのアクセス要求メッセージに含まれているアクセストークン(要求アクセストークン)と情報活用装置識別子を取得する。
(2)ステップS704 アクセストークン(要求アクセストークン)をキーとして、アクセストークン情報格納モジュール116内のアクセストークン関連情報テーブル600から利用者IDとノンスを取得する。尚、要求アクセストークンが、アクセストークン関連情報テーブル600に存在しない場合には、ステップS714に移行して不正なアクセス要求と判断してもよい。
【0056】
(3)ステップS706 その利用者139に対して、その利用者139のアクセスコードの入力を促し、該アクセスコードを取得する。
(4)ステップS708 所定のハッシュ関数に、前記ノンスと、前記取得した利用者139のアクセスコードと、前記受領した情報活用装置識別子を連接したもの入力値として、ハッシュ値(検証アクセストークン)を出力する。
(5)ステップS710 前記検証アクセストークンと前記要求アクセストークンを比較照合し、同一であれば正規のアクセス要求の可能性ありとみなしてステップS712へ進み、異なれば虚偽のアクセス要求とみなしてステップS714へ進む。
【0057】
(6)ステップS712 さらに、利用者139が利用する端末装置130に対して、情報活用装置120に関する情報を提示し、利用者139の利用者情報がその情報活用装置120において活用されることとなることの確認を行う。もし、その利用者139が同意すれば正規のアクセス要求とみなしてステップS716へ進み、異なれば虚偽のアクセス要求とみなしてステップS714へ進む。
(7)ステップS714 不正なアクセス要求であると判断して、そのようなアクセス要求があった旨を利用者139の端末装置130に対して通知する。また、情報活用装置120に対しては、そのアクセス要求には返信できない旨を返信する。
(8)ステップS716 正規のアクセス要求であれば、利用者情報発行モジュール112は、利用者識別子を用いて、アクセス要求のあった利用者情報を、利用者情報格納モジュール113から取り出し、情報活用装置120へ送付する。
【0058】
アクセストークン情報格納モジュール116は、アクセストークン発行モジュール114、アクセストークン検証モジュール115からアクセスされる。アクセストークン発行モジュール114が発行したアクセストークンとそのアクセストークンを生成するために必要となるノンスを対応付けて記憶する。また、アクセストークン発行モジュール114が発行したアクセストークンを作成するために必要となるノンスと利用者識別子を関連付けて記憶するようにしてもよい。例えば、記憶するデータとして、図6の例に示すアクセストークン関連情報テーブル600がある。図6は、アクセストークン関連情報テーブル600のデータ構造例を示す説明図である。アクセストークン関連情報テーブル600は、アクセストークン欄610、利用者ID欄620、ノンス欄630を有している。アクセストークン欄610は、生成したアクセストークンを記憶する。利用者ID欄620は、利用者識別子を記憶する。ノンス欄630は、ノンスを記憶する。
【0059】
つまり、アクセストークン検証モジュール115が情報活用装置120からのアクセス要求時に利用するために、アクセストークンをキーとして、利用者識別子とノンスを検索可能なように、アクセストークン情報格納モジュール116において、図6の例に示すようなアクセストークン関連情報テーブル600で管理する。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求を受け、アクセストークンの検証及び要求された利用者情報の送付を終了すれば、アクセストークン関連情報テーブル600から該当する項目を削除するようにしてもよい。
【0060】
情報活用装置情報格納モジュール117は、アクセストークン発行モジュール114、アクセストークン検証モジュール115からアクセスされる。情報活用装置120の情報活用装置識別子と、その情報活用装置120に対しての利用者情報の送付先の他、情報活用装置120に関連する情報を管理する。
【0061】
図8は、第1の実施の形態の情報活用装置120内のモジュール構成例を示す図である。
情報活用装置120は、利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123を有している。各モジュールは、通信ネットワーク140を介して、情報管理装置110又は端末装置130と接続されている。
利用者情報要求モジュール121は、端末装置130からアクセストークンを受け取り、そのアクセストークン及び自装置の情報活用装置識別子を、情報管理装置110に送信する。つまり、情報管理装置110に対してアクセストークン及び自身の情報活用装置識別子を提示することによって、利用者情報を要求する。
サービス提供モジュール122は、情報活用装置120の提供する情報・サービスを、端末装置130からの要求に応じて提供する。
利用者情報活用モジュール123は、利用者情報要求モジュール121によって送信されたアクセストークンに対応して、利用者139の利用者情報を情報管理装置110から受信する。そして、情報管理装置110から受信した利用者情報をサービス提供モジュール122に渡すことによって、利用者情報を活用する。
【0062】
図9は、第1の実施の形態の端末装置130内のモジュール構成例を示す図である。
端末装置130は、入力モジュール131、利用者情報要求モジュール132、出力モジュール133、クレデンシャル送付モジュール134を有している。各モジュールは、通信ネットワーク140を介して、情報管理装置110又は情報活用装置120と接続されている。
【0063】
入力モジュール131は、端末装置130への利用者139による入力を受け付ける。例えば、端末装置130への操作入力として、クレデンシャル(パスワードなど情報管理装置110が利用者139を認証するための情報)の入力、アクセスコード(情報管理装置110が利用者情報を情報活用装置120に送付する際に、所定の利用者であることを確認するために利用する)の入力がある。
【0064】
利用者情報要求モジュール132は、情報管理装置110によって発行されたアクセストークンを含む利用者情報要求メッセージを情報活用装置120に送信する。このことによって、利用者情報を情報管理装置110から情報活用装置120へ送付するように、情報管理装置110に対して要求する。また、端末装置130を識別可能な端末装置識別子を情報管理装置110に送付する。
出力モジュール133は、出力を端末装置130のディスプレイ等に表示する。例えば、利用者139に対してクレデンシャル情報の入力を促す。
クレデンシャル送付モジュール134は、情報管理装置110からのクレデンシャル要求を受け、該当するクレデンシャル情報を取得し、情報管理装置110へクレデンシャル情報を送付する。なお、クレデンシャル情報は別の装置から取得してもよい。
【0065】
図10は、第1の実施の形態による利用者登録の処理例を示す説明図である。つまり、端末装置130の利用者139が、情報活用装置120に対して利用者登録を行う場合について、既に情報管理装置110に格納されている利用者情報を情報活用装置120が取得して、利用者139は情報活用装置120に対して利用者情報の入力を省くことができるものである。
【0066】
ステップS1001では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、利用者139の利用者情報を情報活用装置120に送付してほしいという要求を送信する。
ステップS1002では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とパスワードの入力を要求する。
ステップS1003では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とパスワードを送付する。
【0067】
ステップS1004では、情報管理装置110は、端末装置130に対して、利用者情報の送付先である情報活用装置120の情報活用装置識別子とアクセスコードの入力を要求する。
ステップS1005では、端末装置130は、情報管理装置110に対して、情報活用装置120の情報活用装置識別子とアクセスコードを送付する。
ステップS1006では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1005で受け取った利用者139のアクセスコードと情報活用装置識別子とノンスを連結したものに対してハッシュ値を算出し、利用者IDとノンスとアクセストークンをアクセストークン情報格納モジュール116に格納する。
【0068】
ステップS1007では、情報管理装置110は、端末装置130に対して、ステップS1006で作成したアクセストークンを送付する。
ステップS1008では、端末装置130は、情報活用装置120に対して、ステップS1007で受け取ったアクセストークンを送付する。
ステップS1009では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1008で受け取ったアクセストークンを送付する。また、情報活用装置120の情報活用装置識別子もアクセストークンとともに送付する。
【0069】
ステップS1010では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
ステップS1011では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1012では、情報管理装置110は、ステップS1011で受け取ったアクセスコードとS1009で受け取った情報活用装置識別子を用いて、ステップS1009で受け取ったアクセストークンを検証する。尚、アクセスコードの入力の要求の際、端末装置130に利用者IDの入力を要求して、該要求に応じて入力された利用者IDと、受け取ったアクセストークンに対応する利用者IDとが一致していた場合には、利用者情報の送信が許可されたと判定してもよい。
【0070】
ステップS1013では、情報管理装置110は、情報活用装置120に対して、ステップS1012での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。
ステップS1014では、情報活用装置120は、ステップS1013で受け取った利用者情報を活用して利用者139の利用者登録を行う。
【0071】
図11は、第1の実施の形態による商品発送先情報の送信処理例を示す説明図である。つまり、端末装置130の利用者139が、情報活用装置120に対して商品を購入してその商品の配送を要求する場合について、既に情報管理装置110に格納されている利用者情報(例えば、住所等の商品配布先情報)を情報活用装置120が取得して、利用者139は情報活用装置120に対して利用者情報の入力を省くことができるものである。
【0072】
ステップS1101では、利用者139の操作に応じて端末装置130は、情報活用装置120に対して、商品購入及びその商品の配送サービスに対してアクセスする。
ステップS1102では、情報活用装置120は、端末装置130に対して、利用者情報を要求する。例えば、商品を送付するにあたっての送付先である住所等の入力を要求する。この際、情報活用装置120は、自装置の情報活用装置識別子も含めて送付する。
ステップS1103では、端末装置130は、情報管理装置110に対して、利用者情報を情報活用装置120に対して送付することを要求する。この際、端末装置130は、ステップS1102で受け取った情報活用装置識別子も含めて送付する。
【0073】
ステップS1104では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とパスワードの入力を要求する。
ステップS1105では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とパスワードを送付する。
ステップS1106では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
【0074】
ステップS1107では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1108では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1107で受け取った利用者139のアクセスコードとノンスとステップS1103で受け取った情報活用装置識別子を連結したものに対してハッシュ値を算出し、そのアクセスコードとノンスをアクセストークン情報格納モジュール116に格納する。
ステップS1109では、情報管理装置110は、端末装置130に対して、ステップS1108で作成したアクセストークンを送付する。
【0075】
ステップS1110では、端末装置130は、情報活用装置120に対して、ステップS1109で受け取ったアクセストークンを送付する。
ステップS1111では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1110で受け取ったアクセストークンを送付する。また、ハッシュ関数への入力値の一部である情報活用装置120の情報活用装置識別子もアクセストークンとともに送付する。
ステップS1112では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
【0076】
ステップS1113では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1114では、情報管理装置110は、ステップS1113で受け取ったアクセスコードとステップS1111で受け取った情報活用装置識別子を用いて、ステップS1111で受け取ったアクセストークンを検証する。
ステップS1115では、情報管理装置110は、情報活用装置120に対して、ステップS1114での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。
ステップS1116では、情報活用装置120は、ステップS1115で受け取った利用者情報に従って、商品の配送先を設定する。利用者情報には、例えば、利用者139の住所が含まれており、その住所を配送先として設定する。
ステップS1117では、情報活用装置120は、ステップS1116で設定された配送先に商品を配送するように制御する。具体的には、配送伝票の印刷等がある。そして、実際に商品の配送が行われる。
【0077】
図12は、第1の実施の形態による処理例を示すフローチャートである。
ステップS1201では、利用者139の操作に応じて端末装置130は、情報活用装置120に対して、サービスにアクセスする。例えば、図10の例で示した利用者登録、図11の例で示した商品購入サービス等がある。
ステップS1202では、情報活用装置120は、端末装置130に対して、利用者情報を要求する。
ステップS1203では、端末装置130は、情報管理装置110に対して、情報管理装置110に格納されている利用者情報を情報活用装置120に対して送付することを要求する。
【0078】
ステップS1204では、情報管理装置110は、端末装置130に対して、クレデンシャル情報(アクセスコードを含めてもよい)を要求する。
ステップS1205では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、クレデンシャル情報(アクセスコードを含めてもよい)を送付する。
ステップS1206では、情報管理装置110は、ステップS1205で取得したクレデンシャル情報を検証して、アクセストークンを作成する。
【0079】
ステップS1207では、情報管理装置110は、端末装置130に対して、ステップS1206で作成したアクセストークンを送付する。
ステップS1208では、端末装置130は、情報活用装置120に対して、ステップS1207で受け取ったアクセストークンを送付する。
ステップS1209では、情報活用装置120は、情報管理装置110に対して、利用者139の利用者情報を要求する。その要求にステップS1208で受け取ったアクセストークンを含める。
【0080】
ステップS1210では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
ステップS1211では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1212では、情報管理装置110は、ステップS1211で受け取ったアクセスコードを用いて、ステップS1209で受け取ったアクセストークンを検証する。
【0081】
ステップS1213では、情報管理装置110は、情報活用装置120に対して、ステップS1212のアクセストークンの検証の結果、ステップS1209の要求が正規のアクセス要求と判断する場合は、利用者情報を送付する。
ステップS1214では、情報活用装置120は、ステップS1201でアクセスされたサービスを提供する。例えば、アカウントを生成して利用者登録、商品購入サービス等の提供がある。
【0082】
〔第2の実施の形態〕
次に、第2の実施の形態を説明する。第2の実施の形態は、第1の実施の形態のモジュール構成と同様のものである。
情報管理装置110については、第1の実施の形態のアクセストークン発行モジュール114、アクセストークン情報格納モジュール116、アクセストークン検証モジュール115に機能を加えたものである。なお、第1の実施の形態と同様の部位については重複した説明を省略する。
【0083】
図13は、第2の実施の形態のアクセストークン発行モジュール114によるアクセストークンの発行処理例を示す説明図である。
アクセストークン発行モジュール114は、所定のハッシュ関数1320に対して、ノンスと選択した識別子を連接したもの(ノンス+選択した識別子1310)を入力してハッシュ値を作成し、アクセストークン1330とする。
ノンスと連接する識別子として、例えば、情報活用装置識別子、アクセスコード、端末装置識別子(その端末装置を一意に特定できる情報)等、これらの組み合わせ(情報活用装置識別子+アクセスコード+・・・1315)がある。これらによって、利用者情報の配布先(スコープ)に制限をかける。つまり、これらの識別情報を提示できる装置にのみ利用者情報を送付することができるようになる。
【0084】
図14は、アクセストークン関連情報テーブル1400のデータ構造例を示す説明図である。第1の実施の形態のアクセストークン関連情報テーブル600に対応するものであり、アクセストークン情報格納モジュール116に記憶されているものである。アクセストークン関連情報テーブル1400は、アクセストークン関連情報テーブル600の記憶しているデータに加えて、さらにハッシュ関数の入力とした識別子情報を記憶している。
アクセストークン関連情報テーブル1400は、アクセストークン欄1410、利用者ID欄1420、ハッシュ関数への入力値欄1430、ノンス欄1440を有している。
アクセストークン欄1410は、アクセストークンを記憶する。
利用者ID欄1420は、利用者識別子を記憶する。
ハッシュ関数への入力値欄1430は、ハッシュ関数への入力の一部(図13の例で示した「選択した識別子」)を記憶する。なお、ハッシュ関数への入力値欄1430が空の場合、デフォルトとして、ノンスとアクセスコードと情報活用装置識別子とでアクセストークンを生成するということになる。ハッシュ関数への入力値欄1430で記憶するものは、識別子そのもの又は識別子の名称であってもよい。識別子の名称の場合は、その識別子を取得する処理を行う。例えば、アクセストークン関連情報テーブル1400以外にアクセストークン情報格納モジュール116に記憶されている識別子を取得したり、端末装置130から取得するようにしてもよい。
ノンス欄1440は、その行のアクセストークンを生成するのに用いたノンスを記憶する。
例えば、図14の例に示したアクセストークン関連情報テーブル1400の第1行目では、ノンスとアクセスコードと情報活用装置識別子とでアクセストークンを生成することを示しており、第2行目では、ノンスとアクセスコードと情報活用装置識別子に加えて、端末装置識別子も連結してアクセストークンを生成することを示している。なお、ハッシュ関数への入力値欄1430には複数の入力値を記憶させてもよい。
【0085】
つまり、アクセストークン検証モジュール115が情報活用装置120からのアクセス要求時に利用するために、そのアクセス要求に含まれるアクセストークンをキーとして、利用者識別子とノンスとアクセストークン発行モジュール114がアクセストークン発行時に利用した識別子群(1つであってもよい)を検索可能なように、アクセストークン情報格納モジュール116において、図14の例に示すようなアクセストークン関連情報テーブル1400で管理する。
アクセストークン検証モジュール115は、アクセストークンと情報活用装置識別子を情報活用装置120から取得し、その取得したアクセストークンに基づいて、アクセストークン関連情報テーブル1400に記憶されたノンスと識別子情報を取得する。そして、その取得したノンスと識別子情報を連結して、その連結した符号からハッシュ関数によってハッシュ値を算出する。取得したアクセストークンと算出したハッシュ値を照合して、一致する場合は、情報活用装置120からの利用者139の利用者情報へのアクセス要求を正規なものと判断する。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求を受け、アクセストークンの検証及び要求された利用者情報の送付を終了すれば、アクセストークン関連情報テーブル1400から該当する項目を削除するようにしてもよい。
【0086】
図15は、第2の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。なお、ステップS1514以外の処理は、アクセストークン検証モジュール115が行う。
(1)ステップS1502 情報活用装置120からアクセス要求メッセージを受領する。そのアクセス要求メッセージからアクセストークン(要求アクセストークン)とそのメッセージの送付元である情報活用装置120の情報活用装置識別子を取得する。
(2)ステップS1504 アクセストークン(要求アクセストークン)をキーとして、アクセストークン情報格納モジュール116のアクセストークン関連情報テーブル1400から利用者IDとノンスと検証すべき識別子のリストを取得する。尚、要求アクセストークンが、アクセストークン関連情報テーブル1400に存在しない場合には、ステップS1516に移行し、不正なアクセス要求とみなしてもよい。
【0087】
(3)ステップS1506 ステップS1504で取得した識別子のリストをもとにして、検証に用いるべき識別子情報を取得する。もし、ステップS1502で受領したアクセス要求メッセージ内およびアクセストークン関連情報テーブル1400に識別子が含まれていれば、それを取得する。そうでなければ、ステップS1508へ進む。
(4)ステップS1508 必要とする検証に用いるべき識別子を取得する。例えば、その検証に用いるべき識別子が端末装置識別子であれば、情報活用装置120と通信を行ってアクセストークンを送付した端末装置130の端末装置識別子を取得する。また、その検証に用いるべき識別子がアクセスコードであれば、端末装置130の利用者139に対してアクセスコードの入力を促して、取得する。
(5)ステップS1510 所定のハッシュ関数に、ノンスと、検証に用いるべき識別子の連接したものを入力値として、ハッシュ値(検証アクセストークン)を出力する。
【0088】
(6)ステップS1512 前記検証アクセストークンと前記要求アクセストークンを比較照合し、同一であれば正規のアクセス要求とみなしてステップS1514へ進み、異なれば虚偽のアクセス要求とみなしてステップS1516へ進む。
(7)ステップS1514 正規のアクセス要求であれば、利用者情報発行モジュール112は、利用者識別子を用いて、アクセス要求のあった利用者情報を、利用者情報格納モジュール113から取り出し、情報活用装置120へ送付する。
(8)ステップS1516 不正なアクセス要求であると判断して、そのようなアクセス要求があった旨を利用者139の端末装置130に対して通知する。また、情報活用装置120に対しては、そのアクセス要求には返信できない旨を返信する。
【0089】
図16は、第2の実施の形態の端末装置1630内のモジュール構成例を示す図である。
端末装置1630は、入力モジュール1631、利用者情報要求モジュール1632、出力モジュール1633、クレデンシャル送付モジュール1634、端末装置情報送付モジュール1635を有している。端末装置1630は、第1の実施の形態の端末装置130に対応するものであり、入力モジュール1631、利用者情報要求モジュール1632、出力モジュール1633、クレデンシャル送付モジュール1634は、それぞれ第1の実施の形態の入力モジュール131、利用者情報要求モジュール132、出力モジュール133、クレデンシャル送付モジュール134に対応するものである。これらについては重複した説明を省略する。また、第2の実施の形態の説明内では、端末装置130として説明する。
端末装置情報送付モジュール1635は、通信ネットワーク140を介して、情報管理装置110又は情報活用装置120と接続されている。情報管理装置110又は情報活用装置120からの要求に応じて、端末装置1630の端末装置識別子を送付する。
【0090】
図17は、第2の実施の形態による利用者情報の送信処理例を示す説明図である。この処理例は、図10の例に示した第1の実施の形態による利用者登録の処理例に対応するものである。なお、情報活用装置120は、ポータルサイト1610を介して端末装置130と通信する。
ステップS1701では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、利用者139自身の利用者情報をポータルサイト1610(情報活用装置120)に送付してほしいという要求を送信する。
ステップS1702では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とクレデンシャル情報の入力を要求する。
ステップS1703では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とクレデンシャル情報を送付する。
【0091】
ステップS1704では、情報管理装置110は、端末装置130に対して、利用者情報の送付先であるポータルサイト1610に関する情報(例えば、ポータルサイト1610の識別子等)又は情報活用装置120に関する情報(例えば、情報活用装置識別子等)の入力を要求する。
ステップS1705では、端末装置130は、情報管理装置110に対して、利用者139が入力したポータルサイト1610に関する情報及び情報活用装置120に関する情報を送付する。
ステップS1706では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1705で受け取った情報活用装置120に関する情報等とノンスを連結したものに対してハッシュ値を算出し、その情報活用装置120に関する情報等とノンスをアクセストークン情報格納モジュール116に格納する。
【0092】
ステップS1707では、情報管理装置110は、端末装置130に対して、ステップS1706で作成したアクセストークンを送付する。
ステップS1708では、端末装置130は、ポータルサイト1610に対して、ステップS1707で受け取ったアクセストークンを送付する。
ステップS1709では、ポータルサイト1610は、情報活用装置120に対して、ステップS1708で受け取ったアクセストークンを送付する。
【0093】
ステップS1710では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1709で受け取ったアクセストークンを送付する。そのアクセス要求メッセージには、情報活用装置120に関する情報等を含む。
ステップS1711では、情報管理装置110は、ステップS1710で受け取ったアクセストークンを検証する。
ステップS1712では、情報管理装置110は、情報活用装置120に対して、ステップS1711での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。その利用者情報には、利用者139の電子メールアドレスを含む。
【0094】
ステップS1713では、情報活用装置120は、ステップS1712で受け取った利用者情報を活用して利用者139の利用者登録を行う。
ステップS1714では、情報活用装置120は、端末装置130に対して、ステップS1712で受け取った利用者情報内の電子メールアドレスを用いて、利用者登録が完了した旨の通知を行う。
これによって、端末装置130の利用者139は、ポータルサイト1610には利用者情報を知らせずに、ポータルサイト1610を経由して、情報活用装置120に利用者情報を送付できるようになる。
【0095】
〔第3の実施の形態〕
次に、第3の実施の形態を説明する。第3の実施の形態は、第1の実施の形態のモジュール構成と同様のものである。
図18は、第3の実施の形態の情報管理装置1810内のモジュール構成例を示す図である。
情報管理装置1810は、認証モジュール1811、利用者情報発行モジュール1812、利用者情報格納モジュール1813、アクセストークン発行モジュール1814、アクセストークン検証モジュール1815、アクセストークン情報格納モジュール1816、情報活用装置情報格納モジュール1817、利用者情報暗号化モジュール1818を有している。情報管理装置1810は、第1の実施の形態の情報管理装置110に対応するものであり、認証モジュール1811、利用者情報発行モジュール1812、利用者情報格納モジュール1813、アクセストークン発行モジュール1814、アクセストークン検証モジュール1815、アクセストークン情報格納モジュール1816、情報活用装置情報格納モジュール1817は、それぞれ第1の実施の形態の認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117に対応するものである。これらについては重複した説明を省略する。また、第3の実施の形態の説明内では、情報管理装置110として説明する。
利用者情報暗号化モジュール1818は、通信ネットワーク140を介して、情報活用装置120(情報活用装置1910)又は端末装置130と接続されている。情報活用装置120(情報活用装置1910)から要求された利用者情報(利用者情報格納モジュール1813に格納されている利用者情報)を暗号化する。また、暗号化方法は、既知の暗号化方法を用いる。また、共通鍵暗号を用いる場合は、端末装置130から送付される適切な長さの文字列を共通鍵として用いてもよい。
利用者情報発行モジュール1812は、利用者情報暗号化モジュール1818によって暗号化された利用者情報を情報活用装置120(情報活用装置1910)に送信する。
【0096】
図19は、第3の実施の形態の情報活用装置1910内のモジュール構成例を示す図である。
情報活用装置1910は、利用者情報要求モジュール1911、サービス提供モジュール1912、利用者情報活用モジュール1913、利用者情報復号モジュール1914を有している。情報活用装置1910は、第1の実施の形態の情報活用装置120に対応するものであり、利用者情報要求モジュール1911、サービス提供モジュール1912、利用者情報活用モジュール1913は、それぞれ第1の実施の形態の利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123に対応するものである。これらについては重複した説明を省略する。また、第3の実施の形態の説明内では、情報活用装置120として説明する。
情報管理装置110(情報管理装置1810)に対応して、情報活用装置120(情報活用装置1910)内の利用者情報活用モジュール1913は、利用者139の暗号化された利用者情報を情報管理装置110(情報管理装置1810)から受信する。
そして、利用者情報復号モジュール1914は、利用者情報活用モジュール1913が受信した暗号化された利用者情報を復号する。復号した利用者情報をサービス提供モジュール1912に渡して、利用者情報を活用したサービス等を行う。また、復号方法は、情報管理装置110(情報管理装置1810)による暗号化方法に対応した既知の復号方法を用いる。また、共通鍵暗号を用いる場合は、端末装置130から送付される適切な長さの文字列を共通鍵として用いてもよい。
これによって、情報管理装置110(情報管理装置1810)と情報活用装置120(情報活用装置1910)間で行われる利用者情報の送付の安全性を向上させることができる。
【0097】
〔第4の実施の形態〕
次に、第4の実施の形態を説明する。
前述の実施の形態は、利用者Aの要求に応じて情報管理装置がアクセストークンを利用者Aに対して発行して、情報活用装置から送信されるアクセストークン、情報活用装置識別子に基づいて、そのアクセストークンを検証して、情報活用装置から利用者Aの利用者情報へのアクセスを許可するものである。そして、検証の際には、利用者Aに固有情報(アクセスコード)を要求して検証に用いる。その場合、アクセストークンは利用者Aが有する端末装置を介して情報活用装置に送信される。
【0098】
第4の実施の形態は、利用者Aの要求に応じて情報管理装置がアクセストークンを利用者Bに対して発行して、情報活用装置から送信されるアクセストークン、情報活用装置識別子に基づいて、そのアクセストークンを検証して、情報活用装置から利用者Aの利用者情報へのアクセスを許可するものである。そして、検証の際には、利用者Bに共有情報(アクセスコード)を要求して検証に用いる。これによって、情報活用装置に送信された利用者Aの利用者情報を利用者Bが閲覧可能になる。その場合、アクセストークンは利用者Bが有する端末装置を介して情報活用装置に送信される。すなわち、本実施の形態において、アクセストークンの発行とは、第1の実施の形態等における発行とは異なり、利用者Aが指定する利用者A以外の利用者(利用者B)が、利用者Aの利用者情報にアクセス可能とするためのアクセストークンを生成し、作成したアクセストークンを利用者Bの端末装置に送付することをいう。第4の実施の形態における発行の定義は、第5の実施の形態又は第6の実施の形態で、第4の実施の形態を用いる部分については同様である。
なお、ここでの共有情報とは、利用者Aと利用者Bとの間で秘密に共有されているものであり、例えば、利用者Aのアクセスコードが対応する。
また、利用者Bは複数人であってもよいが、説明を容易にするために、利用者Bは1人の場合について主に説明する。
例えば、利用者Bとは利用者Aの配偶者であり、利用者Aは自身のアクセスコードを利用者Bにだけ教えている場合であって、利用者Aの健康情報等である利用者情報を利用者Bが閲覧する場合等が該当する。
【0099】
アクセスコードの共有とは、利用者の利用者情報へのアクセスを許可するためのコード(アクセスコード)を、その利用者以外の利用者(第2の利用者、前述の利用者B)に対して通知し、両者で共有することである。その第2の利用者は、そのアクセスコードを用いて作成されたアクセストークンを含めたその利用者情報に対するアクセス要求を、情報活用装置に対して送付する。
【0100】
図20は、第4の実施の形態の情報管理装置2010内のモジュール構成例を示す図である。
情報管理装置2010は、認証モジュール2011、利用者情報発行モジュール2012、利用者情報格納モジュール2013、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、アクセストークン情報格納モジュール2016、情報活用装置情報格納モジュール2017、情報共有者確認モジュール2018を有しており、図1の例に示した第1の実施の形態の情報管理装置110に対応するものである。
認証モジュール2011、利用者情報発行モジュール2012、利用者情報格納モジュール2013、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、アクセストークン情報格納モジュール2016、情報活用装置情報格納モジュール2017は、図1の例に示した第1の実施の形態の情報管理装置110内の認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117にそれぞれ対応するものである。これらについては重複した説明を省略する。また、第4の実施の形態の説明内では、情報管理装置110として説明する。
ただし、本実施の形態におけるアクセストークン発行モジュール2014は、利用者Aが指定した他の利用者(第2の利用者、利用者B)が、利用者Aの利用者情報にアクセス可能とするためのアクセストークンを作成し、該他の利用者の端末装置に発行する。
また、アクセストークン情報格納モジュール2016は、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、情報共有者確認モジュール2018からアクセスされ、第1の実施の形態(又は第2の実施の形態)の情報管理装置110内のアクセストークン情報格納モジュール116に加えて、所定の利用者に対してのみ、アクセストークンを共有するように、共有すべき利用者の利用者識別子(共有情報者ID)を、第1の実施の形態の情報管理装置110内のアクセストークン情報格納モジュール116の格納情報に追加して、格納する。
【0101】
情報共有者確認モジュール2018は、アクセストークン情報格納モジュール2016および情報活用装置情報格納モジュール2017と接続されている。利用者情報を、その利用者の意図する第2の利用者がアクセスすることを許可するものであり、その第2の利用者によるアクセスであるか否かを確認する。具体的には、利用者のアクセスコードと同一のアクセスコードが第2の利用者によって入力されたか否かを確認するものである。
また、利用者と第2の利用者以外の利用者がアクセスすることを防止するため、その利用者はアクセスコードをその第2の利用者とだけ共有する。
【0102】
図21は、第4の実施の形態で用いるアクセストークン関連情報テーブル2100のデータ構造例を示す説明図である。
アクセストークン関連情報テーブル2100は、アクセストークン欄2110、利用者ID欄2120、ハッシュ関数への入力値欄2130、情報共有者ID欄2140、ノンス欄2150を有している。
情報活用装置120からのアクセス要求時に利用するために、アクセストークンをキーとして、利用者ID、ノンス、及びアクセストークン発行モジュール2014がアクセストークン発行時に利用した識別子群を検索可能なように、アクセストークン情報格納モジュール2016においてアクセストークン関連情報テーブル2100で管理する。
【0103】
アクセストークン関連情報テーブル2100は、アクセストークン情報格納モジュール2016内に記憶されている。また、第1の実施の形態のアクセストークン関連情報テーブル600に対応するものであり、アクセストークン関連情報テーブル2100のアクセストークン欄2110、利用者ID欄2120、ノンス欄2150は、アクセストークン関連情報テーブル600のアクセストークン欄610、利用者ID欄620、ノンス欄630にそれぞれ対応する。また、第2の実施の形態のアクセストークン関連情報テーブル1400と比較すると、アクセストークン関連情報テーブル2100のアクセストークン欄2110、利用者ID欄2120、ハッシュ関数への入力値欄2130、ノンス欄2150は、アクセストークン関連情報テーブル1400のアクセストークン欄1410、利用者ID欄1420、ハッシュ関数への入力値欄1430、ノンス欄1440にそれぞれ対応するものである。これらについては重複した説明を省略する。なお、第4の実施の形態においては、ハッシュ関数への入力値欄2130はなくてもよい。
情報共有者ID欄2140は、情報共有者確認モジュール2018が取得した、利用者が自らの利用者情報へのアクセスを許可する利用者の識別子(情報共有者ID)を記憶する。共有すべき者が複数いる場合は、図21の第2行目に示すように、情報共有者ID欄2140で、複数の情報共有者IDを記憶する。
【0104】
図22は、第4の実施の形態による利用者Bに対して利用者Aの利用者情報の送信処理例を示す説明図である。なお、利用者A(第1の利用者)は端末装置130Aを利用し、利用者B(第2の利用者)は端末装置130Bを利用するものとする。また、利用者Aの利用者情報は、情報管理装置110に記憶されているものとし、利用者A及び利用者Bは、情報管理装置110にログイン可能であるとする。
ステップS2201からステップS2210までの処理は、アクセストークン生成に関する処理である。
【0105】
ステップS2201では、利用者Aの操作に応じて端末装置130Aは、情報活用装置120に対して、情報活用装置120が提供している情報閲覧サービスにアクセスする。
ステップS2202では、情報活用装置120は、端末装置130Aに対して、利用者Aの利用者情報(以下、「利用者A情報」ともいう)を要求する。この際、情報活用装置120は、自装置の情報活用装置識別子も含めて送付する。
ステップS2203では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、情報管理装置110が管理している利用者A情報を情報活用装置120に送信するように要求する。この際、端末装置130Aは、ステップS2202で受け取った情報活用装置120の情報活用装置識別子も含めて送付する。
ステップS2204では、情報管理装置110は、端末装置130Aに対して、情報管理装置110へのログインに必要なIDとパスワードの入力を要求する。
ステップS2205では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、情報管理装置110へのログインに必要なIDとパスワードを送付する。
【0106】
ステップS2206では、情報管理装置110は、端末装置130Aに対して、アクセスコード、情報共有者情報(情報共有者ID欄2140に記憶させるもの)の入力を要求する。
ステップS2207では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、アクセスコード、情報共有者情報である利用者Bの識別子を入力する。なお、利用者Aは、このアクセスコードを利用者Bにだけ教え、他の者に対しては秘密に管理されるものである。
ステップS2208では、情報管理装置110は、アクセストークンを生成する。アクセストークンの生成は、前述の実施の形態における処理と同等のものである。例えば、ノンスとアクセスコードとステップS2203で受け取った情報活用装置120に関する情報(例えば、情報活用装置120の識別子)を連結したものに対してハッシュ値を算出し、そのノンス等をアクセストークン情報格納モジュール2016に格納する。
ステップS2209では、情報管理装置110は、アクセストークンとステップS2207で入力された利用者Bの識別子を対応付けて、アクセストークン情報格納モジュール2016に格納する。
ステップS2210では、情報管理装置110は、端末装置130Aに対して、アクセストークンの生成が完了した旨を通知する。
【0107】
ステップS2211からステップS2215までの処理は、アクセストークン配布に関する処理である。
ステップS2211では、情報管理装置110は、端末装置130Bに対して、利用者A情報へのアクセスが許可されたことを通知する。
ステップS2212では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、利用者A情報へアクセスするためのアクセストークンを送信するように要求する。
ステップS2213では、情報管理装置110は、端末装置130Bに対して、情報管理装置110へのログインを要求する。
ステップS2214では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、情報管理装置110へのログインに必要なIDとパスワードを送付する。
ステップS2215では、情報管理装置110は、端末装置130Bに対して、アクセストークンを送信する。
【0108】
ステップS2216からステップS2222までの処理は、利用者Bによる利用者A情報の閲覧に関する処理である。
ステップS2216では、利用者Bの操作に応じて端末装置130Bは、情報活用装置120に対して、利用者A情報の閲覧を要求する。その要求の際に、ステップS2215で送信されたアクセストークンを添付する。
ステップS2217では、情報活用装置120は、情報管理装置110に対して、利用者A情報を要求する。その要求の際に、ステップS2216で端末装置130Bから送信されてきたアクセストークンと情報活用装置120自身の情報活用装置識別子を添付する。
ステップS2218では、情報管理装置110は、端末装置130Bに対して、アクセスコードを入力するよう要求する。ここで、端末装置130Bに対するアクセスコードの入力要求は、例えば、電子メールによって通知してもよく、情報管理装置110は、本アクセスコード入力要求と、前記ステップS2217の利用者A情報要求とを関連付けて管理する。
【0109】
ステップS2219では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、アクセスコードを入力する。ここでのアクセスコードは、ステップS2207で、端末装置130Aが入力したものと同じものである。
ステップS2220では、情報管理装置110は、アクセストークンを検証する。アクセストークンの検証は、前述の実施の形態における処理と同等のものである。
ステップS2221では、情報管理装置110は、情報活用装置120に対して、利用者A情報を送付する。
ステップS2222では、情報活用装置120は、端末装置130Bに対して、利用者A情報を表示する。つまり、利用者Bは利用者A情報を閲覧することができる。
【0110】
〔第5の実施の形態〕
次に、第5の実施の形態を説明する。第5の実施の形態は、第2の実施の形態と第3の実施の形態と第4の実施の形態のいずれか2つ以上を任意に組み合わせたものである。また、それぞれの形態内のモジュールを任意に組み合わせたものであってもよい。
例えば、第1の実施の形態のモジュール構成と同様のものであるが、情報管理装置110は、さらに利用者情報暗号化モジュール1818を有しており、アクセストークン発行モジュール114は、図13の例に示したようにアクセストークン1330を作成して、アクセストークン情報格納モジュール116は、図14の例に示すようなアクセストークン関連情報テーブル1400を記憶し、アクセストークン検証モジュール115は、図15の例に示すような処理を行い、利用者情報暗号化モジュール1818は利用者情報を暗号化し、利用者情報発行モジュール112は、暗号化された利用者情報を情報活用装置120に送付する。
また、情報活用装置120は、利用者情報活用モジュール1913を有しており、利用者情報活用モジュール123は、暗号化された利用者情報を情報管理装置110から受け取り、利用者情報復号モジュール1914で復号する。端末装置130は、端末装置情報送付モジュール1635を有しており、端末装置識別子を送付する。
【0111】
〔第6の実施の形態〕
次に、第6の実施の形態を説明する。第6の実施の形態は、第1の実施の形態から第5の実施の形態をプログラムとして実現させたものである。
図23は、第6の実施の形態を実現するシステム構成例を示す説明図である。
情報管理装置2310、情報活用装置2320、端末装置2330は、通信ネットワーク2340を介して接続されている。
情報管理装置用プログラム2311は情報管理装置2310に、情報活用装置用プログラム2321は情報活用装置2320に、端末装置用プログラム2331は端末装置2330に、それぞれインストールされて使用される。情報管理装置2310、情報活用装置2320、端末装置2330は、それぞれコンピュータとして(又はコンピュータを内蔵したものとして)機能し、それぞれインストールされたプログラムにしたがって動作・処理を行う。情報管理装置用プログラム2311、情報活用装置用プログラム2321、端末装置用プログラム2331は、それぞれ第1の実施の形態から第5の実施の形態における情報管理装置110、情報活用装置120、端末装置130として機能させるためのプログラムである。
【0112】
前述の実施の形態によって得られる効果を以下に挙げる。
<第1の効果>
利用者の機密情報の漏洩に対して強固な情報管理システムを提供できることにある。
(理由)利用者情報は、アクセストークンを用いたアクセス管理によって保護されている。該利用者の利用者情報にアクセスするために必要とするアクセストークンは、ハッシュ関数を用いることにより生成され利用者を特定することが困難な情報であるため、万が一該利用者以外の該利用者が意図しない第三者に対してアクセストークンが漏洩しても第三者による利用者情報へのアクセスが不可能であるからである。
【0113】
<第2の効果>
利用者が意図していない事業者に対して該利用者の機密情報の漏洩を防止できることにある。
(理由)第1の効果と同様に、該利用者の利用者情報にアクセスするために必要なアクセストークンは、該利用者が該利用者情報を送付先として指定した事業者に特定するための情報であるが、該事業者自身が有する装置識別子を用いてアクセス管理を行うため、万が一該事業者以外の第2の事業者に対してアクセストークンが漏洩しても、該第2の事業者は、該利用者の利用者情報にアクセスできないからである。
【0114】
<第3の効果>
利用者のプライバシーが保護されることにある。
(理由)アクセストークンには、利用者本人を特定可能な情報が含まれておらず、また、一時的な情報であるからである。
【0115】
<第4の効果>
情報管理装置と情報活用装置の間に信頼関係がなくても、利用者情報が活用できることにある。
(理由)情報管理装置と情報活用装置との間に互いの信頼関係がない場合においても、該利用者情報を提供すべき情報活用装置の情報(識別子)を利用者本人の要求に応じて情報管理装置に与えることで、利用者情報の送付先を安全に管理できるからである。また、情報管理装置が管理する利用者情報の情報活用装置による活用を該利用者本人が自己の責任において許可できるからである。
【0116】
<第5の効果>
利用者情報の活用が容易に行えることにある。
(理由)利用者情報の活用のために、シングルサインオンのような情報活用装置における事前のID登録が必要ないからである。また、情報管理装置と情報活用装置の間で事前のID連携を前提としないからである。
【0117】
なお、前述の実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図24に示すように、一般的なコンピュータであり、具体的には前述の実施の形態による処理以外にも多くの処理を高速に実行することができるサーバとなりうるようなコンピュータである。認証モジュール111、利用者情報発行モジュール112、アクセストークン発行モジュール114、アクセストークン検証モジュール115、利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123、利用者情報要求モジュール132、クレデンシャル送付モジュール134等のプログラムを実行するCPU2410と、そのプログラムやデータを記憶するRAM2430と、本コンピュータを起動するためのプログラム等が格納されているROM2420と、補助記憶装置であるHD2440と、キーボード、マウス等から操作者の操作によってデータを入力又はCRTや液晶ディスプレイ等にデータを出力して操作者とのインタフェースとなるUI/F2450と、CD−R等のリムーバブルメディアに対して読み書きするリムーバブルメディアリーダーライター2460と、通信ネットワークと接続するための通信回線I/F2470、そして、それらをつないでデータのやりとりをするためのバス2480により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
【0118】
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
【図面の簡単な説明】
【0119】
【図1】本発明の実施の形態を実現するシステム構成例を示す説明図である。
【図2】本発明の実施の形態による処理例の概略を示す説明図である。
【図3】第1の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図4】利用者情報テーブルのデータ構造例を示す説明図である。
【図5】第1の実施の形態のアクセストークン発行モジュールによるアクセストークンの発行処理例を示す説明図である。
【図6】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図7】第1の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。
【図8】第1の実施の形態の情報活用装置内のモジュール構成例を示す図である。
【図9】第1の実施の形態の端末装置内のモジュール構成例を示す図である。
【図10】第1の実施の形態による利用者登録の処理例を示す説明図である。
【図11】第1の実施の形態による商品発送先情報の送信処理例を示す説明図である。
【図12】第1の実施の形態による処理例を示すフローチャートである。
【図13】第2の実施の形態のアクセストークン発行モジュールによるアクセストークンの発行処理例を示す説明図である。
【図14】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図15】第2の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。
【図16】第2の実施の形態の端末装置内のモジュール構成例を示す図である。
【図17】第2の実施の形態による利用者情報の送信処理例を示す説明図である。
【図18】第3の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図19】第3の実施の形態の情報活用装置内のモジュール構成例を示す図である。
【図20】第4の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図21】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図22】第4の実施の形態による利用者Bに対して利用者Aの利用者情報の送信処理例を示す説明図である。
【図23】第6の実施の形態を実現するシステム構成例を示す説明図である。
【図24】本発明の実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
【図25】従来技術において、サイトへ利用者情報を登録する処理例を示す説明図である。
【図26】従来技術において、Liberty ID−WSFの処理例を示す説明図である。
【図27】従来技術において、SSO(シングルサインオン)を基礎にした属性情報の交換の処理例を示す説明図である。
【図28】従来技術において、仮登録を行った後に、本登録を行う処理例を示す説明図である。
【符号の説明】
【0120】
110…情報管理装置
111…認証モジュール
112…利用者情報発行モジュール
113…利用者情報格納モジュール
114…アクセストークン発行モジュール
115…アクセストークン検証モジュール
116…アクセストークン情報格納モジュール
117…情報活用装置情報格納モジュール
120…情報活用装置
121…利用者情報要求モジュール
122…サービス提供モジュール
123…利用者情報活用モジュール
130…端末装置
131…入力モジュール
132…利用者情報要求モジュール
133…出力モジュール
134…クレデンシャル送付モジュール
139…利用者
140…通信ネットワーク
210…加入者管理装置
221、222…ポータルサイト
230…端末装置
239…利用者
1610…ポータルサイト
1630…端末装置
1631…入力モジュール
1632…利用者情報要求モジュール
1633…出力モジュール
1634…クレデンシャル送付モジュール
1635…端末装置情報送付モジュール
1810…情報管理装置
1811…認証モジュール
1812…利用者情報発行モジュール
1813…利用者情報格納モジュール
1814…アクセストークン発行モジュール
1815…アクセストークン検証モジュール
1816…アクセストークン情報格納モジュール
1817…情報活用装置情報格納モジュール
1818…利用者情報暗号化モジュール
1910…情報活用装置
1911…利用者情報要求モジュール
1912…サービス提供モジュール
1913…利用者情報活用モジュール
1914…利用者情報復号モジュール
2010…情報管理装置
2011…認証モジュール
2012…利用者情報発行モジュール
2013…利用者情報格納モジュール
2014…アクセストークン発行モジュール
2015…アクセストークン検証モジュール
2016…アクセストークン情報格納モジュール
2017…情報活用装置情報格納モジュール
2018…情報共有者確認モジュール
2310…情報管理装置
2311…情報管理装置用プログラム
2320…情報活用装置
2321…情報活用装置用プログラム
2330…端末装置
2331…端末装置用プログラム
2339…利用者
2340…通信ネットワーク
【技術分野】
【0001】
本発明は、利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムに関する。
【背景技術】
【0002】
利用者がポータルサイトなどで公開されている複数のサービスを利用しようとする際に、個々のポータルサイトにおいてID(アカウント)を取得し、必要な利用者情報を個別に手動にて入力する必要がある。
同じ内容の利用者の属性情報(利用者情報)の入力は、その利用者にとって煩雑である。その結果、登録せずに、サービス利用が促進されないことになる。そこで、利用者の情報を巧みに管理・活用する方式が必要となっている。
【0003】
例えば、図25に示すように、利用者2539が、端末装置2530を用いて、ポータルサイトY2521、ポータルサイトX2522が提供しているサービスを利用しようとする場合、ポータルサイトX2522のサービスを利用するためにはID登録が必要であり(ステップS2501)、そのために、ポータルサイトX2522に対して登録希望であることを示す操作を行い(ステップS2502−X)、さらに、氏名、住所、年齢、生年月日等を入力して、ID登録を行う必要がある(ステップS2503−X)。同じことをポータルサイトY2521に対しても行う必要がある(ステップS2502−Y、ステップS2503−Y)。このようにポータルサイト毎に、同じ内容の属性情報を入力して、IDを登録しないといけないので、利用者にとっては煩雑となり、登録をやめてしまうことがある。
【0004】
これに関連する技術として、例えば、特許文献1には、利用者に関連する情報(利用者情報)を管理する情報管理システムであって携帯端末から、利用者の識別情報、発番号情報及びパスワードの有効期限を含むパスワード発行要求を受信すると、有効期限を有するパスワードを生成して前記携帯端末に送信し、通信装置から、利用者の識別情報及びパスワードを受信すると、パスワードが正しく有効期限内である場合に、ユーザー識別情報により識別されるユーザーの利用者情報にアクセスして取得する情報管理システムが開示されている。すなわち、利用者が販売事業者のサービスの利用申し込みをする際に、通信事業者が保有している利用者情報(属性情報)を販売事業者へ送る仕組みについて開示されている。
【0005】
また、非特許文献1、2、3には、Liberty ID−WSFモデルとして、サーバに登録されている利用者情報をサービス業者間で直接交換し、利用者のサービス登録や利用時の手間を省いたり、サービスのパーソナライズを図るものが開示されている。具体的には、ユーザーはシングルサインオン(SSO、Single Sign−On)によって、IdP(Identity Provider、認証業者)で認証した後SP(Service Provider、サービス業者)にログインし、その後、AP(Attribute Provider、個人属性提供業者)から必要な利用者情報(属性情報)をSPに送付することができるものである。
例えば、図26に示すように、認証システム2615は、Webサービスを提供する個人属性提供システム2610と公開対象をレジストリ2617に登録する(ステップS2600)。そして、利用者2639は端末装置2630を用いて、サービスシステム2620に対して、シングルサインオンを行い、サービス開始を要求する(ステップS2601)。サービスシステム2620は、認証システム2615のディスカバリサービス2616に対して利用者情報へのアクセスの検索要求を行う(ステップS2602)。ディスカバリサービス2616は、検索結果である利用者情報へのアクセス要求情報をサービスシステム2620へ送付する(ステップS2603)。サービスシステム2620は、個人属性提供システム2610に対して利用者情報を要求する(ステップS2604)。個人属性提供システム2610のインタラクションサービス2611は、端末装置2630の利用者2639から、サービスシステム2620への利用者情報提供の許可(同意)を取得する(ステップS2605)。個人属性提供システム2610は、サービスシステム2620に対して、利用者情報DB2612に格納されている氏名、住所、銀行口座番号、クレジットカード番号等の利用者情報を提供する(ステップS2606)。そして、サービスシステム2620は、端末装置2630の利用者2639に対して、サービスを提供する(ステップS2607)。
【0006】
また、シングルサインオンをベースとした利用者情報(属性情報)の交換についても開示されている。つまり、SSOの下で信頼関係にあるサイト間で、利用者情報の交換を行うものである。これは、前述のLiberty ID−WSFモデルを縮退させたものであり、IdPとAPが同一の利用者管理事業者である場合を意味している。例えば、図27に示すように、サービスシステム2710が利用者のID情報を登録しておく。例えば、ユーザーAのID情報としてuser01を登録する(ステップS2701−A)。同様に、属性管理システム2720が利用者のID情報を登録しておく。例えば、ユーザーAのID情報としてuserAを登録する(ステップS2701−B)。サービスシステム2710と属性管理システム2720とは、予め信頼関係を構築しておく(ステップS2702)。次に、サービスシステム2710と属性管理システム2720の利用者情報を関連付ける(紐付ける)。例えば、user01とuserAとは同じユーザーAを示すために、両者を紐付ける(ステップS2703)。そして、サービスシステム2710で属性管理システム2720の利用者情報を使いたい場合に、サービスシステム2710と属性管理システム2720の信頼関係、ユーザーIDの紐付けをもとにユーザーAの利用者情報を提供する(ステップS2704)。
【0007】
また、非特許文献4には、モバイルSuica(登録商標)の仮登録が開示されている。これは、入力に手間がかかる情報を前もってPC(Personal Computer)などで仮登録しておき、後から携帯電話と紐付けを行うものである。例えば、図28に示すように、利用者2839は、ポータルサイトY2821のサービスを利用するためにID登録を行う(ステップS2801)。そのために、まず、利用者2839は、前もってPC2831を用いてポータルサイトY2821に対して仮の登録を行う(ステップS2802)。例えば、氏名、住所、年齢、生年月日等を入力する。そして、ポータルサイトY2821はPC2831に対して、仮登録情報(一時的なパスワード等)を送信する(ステップS2803)。利用者2839は、携帯電話2832を用いて、その仮登録情報でポータルサイトY2821にアクセスして(一時的なパスワードを入力して認証され)、本登録を行う(ステップS2804)。
この場合、利用者2839に関する利用者情報は、属性管理業者Xシステム2841によって既に管理されているのが一般的である。例えば、利用者2839の利用者情報は、携帯電話2832を購入する際に属性管理業者Xシステム2841に該当する携帯電話事業者のシステムに登録されて、管理されていることとなる。
【特許文献1】特許第3949384号公報
【非特許文献1】Liberty Alliance、[平成20年8月7日検索]、インターネット<URL:http://www.projectliberty.org/>
【非特許文献2】Liberty Alliance、[平成20年8月7日検索]、インターネット<URL:http://www.projectliberty.org/liberty/resource_center/specifications/liberty_alliance_id_wsf_2_0_specifications_including_errata_v1_0_updates>
【非特許文献3】OASIS、[平成20年8月7日検索]、インターネット<URL:http://www.oasis-open.org/specs/#samlv2.0>
【非特許文献4】東日本旅客鉄道株式会社、[平成20年8月7日検索]、インターネット<URL:https://www.mobilesuica.com/ka/en/TypeSelect.aspx?returnId=SFRCMMEPC03>
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、このような従来の技術では、以下のような問題点があった。
特許文献1に開示されている技術では、以下の3つの問題点がある。
<問題点1>
利用者情報という機密性の高い情報が、該利用者の意図しない第三者に対して、漏洩する可能性がある。
(理由)利用者情報を入手するために必要となるユーザーIDとパスワードが、該利用者情報の所有者である利用者の意図しない第三者に漏洩すれば、正規のユーザーになりすまして利用者情報にアクセスできてしまうからである。特許文献1に開示されている技術は、いわゆる情報管理装置と情報活用装置との間は専用線接続を仮定しているが、広域なネットワーク環境での適用を考慮すると、ユーザーIDとパスワードは漏洩する危険性は十分にある。
【0009】
<問題点2>
利用者情報が、ユーザーが新規に利用者情報を送付しようと意図している事業者以外の事業者に、漏洩する可能性がある。
(理由)利用者情報を入手するために必要となるユーザーIDとパスワードが、利用者情報の送付先となる正しい事業者以外の他の事業者に漏洩した場合、その事業者が利用者情報にアクセスできてしまうからである。
【0010】
<問題点3>
登録ユーザーのプライバシーが保護されない可能性がある。
(理由)利用者情報を管理又は利用するユーザーIDを、そのまま事業者に対して送付するからである。ユーザーIDは、ユーザーの利用者情報にアクセスするために利用する機密性の高い情報の1つであるから、このユーザーIDを、そのまま事業者に対して送付することで、利用者情報の漏洩するリスクが高まる。
【0011】
非特許文献1、2、3に開示されている技術では、以下の2つの問題点がある。
<問題点4>
利用者が、管理業者にて管理されている利用者情報を、あるサービス事業者が利活用することを、該利用者の判断において実施することができない。
(理由)利用者情報を共有するためには、利用者情報の管理業者と事業者の間に信頼関係が構築されている必要があるからである。また、管理業者と事業者とは、それぞれのアクセス先(URLなど)などの必要な情報を知らないため、通信できないからである。
【0012】
<問題点5>
管理業者において管理する利用者情報を、事業者が利活用するための事前処理が多く、煩雑で不便である。
(理由)利用者は、管理業者とサービス業者において、予めそれぞれにID(アカウント)登録が必要である。その上、それぞれのIDを連携(紐付け)し、シングルサインオンすることが前提であるからである。
【0013】
非特許文献4に開示されている技術では、以下の問題点がある。
<問題点6>
既に管理されている利用者情報を利用又は活用できていない。
【0014】
つまり、第1の事業者(携帯電話事業者)のシステム(図28に示した例では属性管理業者Xシステム2841)の利用者が第2の事業者(ポータルサイト事業者)のシステム(図28に示した例ではポータルサイトY2821)でID登録を行う際に、両方の事業者に対して独立してID登録をする必要があると共に、第1の事業者が保有しているユーザーの利用者情報を第2の事業者が使用することができない。
【0015】
本発明は、このような従来の技術が有する問題点に着目してなされたもので、ある事業者が保有している利用者の情報を、他の事業者に利用させる場合に、利用者情報を安全に送受信できる情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムを提供することを目的としている。
【課題を解決するための手段】
【0016】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1] 利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、を具備することを特徴とする情報管理装置。
【0017】
[2] 前記取得手段は、前記端末装置に対する前記利用者の操作に基づいて、前記アクセスコードを該端末装置から取得し、前記第2の連結手段は、前記端末装置から取得されたアクセスコードを用いることを特徴とする[1]に記載の情報管理装置。
【0018】
[3] 前記取得手段は、前記利用者が指定した他の利用者の端末装置から前記アクセスコードを取得し、前記第2の連結手段は、前記他の利用者の端末装置から取得されたアクセスコードを用いることを特徴とする[1]に記載の情報管理装置。
【0019】
[4] 前記記憶手段は、前記第1の連結手段により連結されたアクセスコードを前記アクセストークンに対応付けてさらに記憶し、前記取得手段は、前記アクセストークン受信手段によって受信されたアクセストークンに対応付けられた前記アクセスコードを前記記憶手段から取得し、前記第2の連結手段は、前記記憶手段から取得されたアクセスコードに前記乱数及び前記情報活用装置識別子を連結することを特徴とする[1]に記載の情報管理装置。
【0020】
[5] 前記端末装置に対する前記利用者の操作に基づいて、利用者を特定する利用者識別子と情報活用装置識別子を該端末装置から取得する利用者識別子取得手段をさらに具備し、前記記憶手段は、さらに前記利用者識別子取得手段によって取得された前記利用者識別子を記憶することを特徴とする[1]〜[4]の何れか一項に記載の情報管理装置。
【0021】
[6] 前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記利用者情報を前記情報活用装置に送信する利用者情報送信手段を具備することを特徴とする[1]〜[5]の何れか一項に記載の情報管理装置。
【0022】
[7] 前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される利用者が利用している前記端末装置と通信することにより、前記情報活用装置への利用者情報の送信の許可を得る送信許可取得手段をさらに具備し、前記利用者情報送信手段は、前記判断手段によって前記アクセス要求が正規なものと判断され、さらに前記送信許可取得手段によって前記利用者情報の送信の許可が得られた場合に、前記利用者情報を前記情報活用装置に送信することを特徴とする[6]に記載の情報管理装置。
【0023】
[8] 前記送信許可取得手段は、前記端末装置に対して利用者識別子の送信を要求して、当該要求により得られた利用者識別子と、前記受信したアクセストークンに対応付けられた利用者識別子とが一致する場合に、前記情報活用装置への利用者情報の送信の許可が得られたと判定することを特徴とする[7]に記載の情報管理装置。
【0024】
[9] 前記第1の連結手段は、乱数と識別子情報を連結し、前記記憶手段は、さらに前記第1のハッシュ値算出手段のハッシュ関数の入力とした識別子情報を前記アクセストークンに対応付けて記憶し、前記第2の連結手段は、前記受信したアクセストークンに対応付けられた識別子情報を前記記憶手段から取得して前記乱数に連結することを特徴とする[1]〜[8]の何れか一項に記載の情報管理装置。
【0025】
[10] 前記利用者情報を暗号化する暗号化手段をさらに具備し、前記利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信することを特徴とする[6]〜[8]の何れか一項に記載の情報管理装置。
【0026】
[11] 端末装置の利用者に関する情報である利用者情報を管理する情報管理装置と、当該利用者情報を活用する情報活用装置とが通信可能に接続された情報処理システムであって、前記情報管理装置は、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、を具備し、前記情報活用装置は、アクセストークンを受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信するアクセストークン送信手段と、前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する受信手段と、を具備することを特徴とする情報処理システム。
【0027】
[12] 前記情報管理装置は、前記利用者情報を暗号化する暗号化手段をさらに具備し、前記情報管理装置の利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信し、前記情報活用装置は、前記受信手段によって受信された暗号化された前記利用者情報を復号する復号手段をさらに具備することを特徴とする[11]に記載の情報処理システム。
【0028】
[13] 利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置が行う情報管理方法であって、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信ステップと、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結ステップと、前記第1の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出ステップと、前記第1のハッシュ値算出ステップにおいて算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行ステップと、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出ステップで処理の対象となった乱数とを対応付けて記憶手段に記憶する記憶ステップと、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信ステップと、前記アクセストークン受信ステップにおいて受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得ステップと、前記取得ステップにおいて取得された乱数及びアクセストークンに前記受信した情報活用装置識別子を連結する第2の連結ステップと、前記第2の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出ステップと、前記アクセストークン受信ステップにおいて受信されたアクセストークンと前記第2のハッシュ値算出ステップにおいて算出されたハッシュ値とを照合して一致する場合は、前記記憶ステップにおいて該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断ステップと、を有することを特徴とする情報管理方法。
【0029】
[14] 利用者が利用する端末装置と、該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能な情報管理装置を、前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段として機能させることを特徴とする情報管理プログラム。
【0030】
前記本発明は次のように作用する。
許可要求受信手段は、利用者情報に対する情報活用装置からのアクセスの許可要求を端末装置から受信し、第1の連結手段は、前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結し、第1のハッシュ値算出手段は、前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、アクセストークン発行手段は、前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行し、記憶手段は、前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶し、アクセストークン受信手段は、前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信し、取得手段は、前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得し、第2の連結手段は、前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結し、第2のハッシュ値算出手段は、前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出し、判断手段は、前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する。
【0031】
これによって、事業者のシステムごとに事前に利用者情報を登録しておかなくても、1つの事業者のシステムに登録されている利用者情報を他の事業者のシステムでも利用できる。また、他の事業者のシステムに利用者情報を送信するためにネットワーク上で直接利用者識別子を送受信することをしないため、第三者への利用者情報の漏洩を防止することができ、セキュリティが強固なシステムを提供できる。
【0032】
前記情報活用装置では、アクセストークン受信手段は、アクセストークンを受信し、アクセストークン送信手段は、前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信し、受信手段は、前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する。これによって、利用者は情報活用装置に利用者情報を入力しなくても、情報管理装置に登録されている利用者情報を情報活用装置でも活用させることができる。そして、その利用者情報は情報活用装置と情報管理装置とで同一のものである。また、情報活用装置に利用者情報を送信するために直接利用者識別子を使用することをしないため、プライバシーの保護ができ、情報の漏洩を防止し、セキュリティが強固なシステムを提供できる。
【発明の効果】
【0033】
本発明にかかる情報管理装置、情報処理システム、情報管理方法及び情報管理プログラムによれば、事業者のシステムごとに事前に利用者情報を登録しておかなくても、1つの事業者のシステムに登録されている利用者情報を他の事業者のシステムでも利用できる。また、他の事業者のシステムに利用者情報を送信するためにネットワーク上で直接利用者識別子を送受信することをしないため、利用者が意図しない第三者への利用者情報の漏洩を防止することができ、セキュリティが強固なシステムを提供できる。これによって、利用者にとっては、事業者のシステム毎にサービスの利用開始のために利用者情報を登録するという手間が省け、利便性がより一層向上する。
【発明を実施するための最良の形態】
【0034】
以下、図面に基づき本発明を実現するにあたっての好適な各種の実施の形態の例を説明する。
図1は、本発明の実施の形態を実現するシステム構成例を示す説明図である。
情報管理装置110、情報活用装置120、端末装置130は、通信ネットワーク140を介して接続されており、互いに通信可能となっている。また、各装置は、必要に応じてSSL(Secure Socket Layer)/TLS(Transport Layer Security)などの安全な通信路を確立し、通信相手以外の第三者による、通信内容の不正な傍受、盗み見を防止できる。
【0035】
情報管理装置110には、利用者情報が既に登録されており、例えば、通信事業者が管理しているものである。情報活用装置120は、端末装置130の利用者139にサービスを提供するものであり、そのサービスの提供のためには、利用者139のユーザー登録が必要である。例えば、サービス事業者が管理しているものである。
【0036】
以下、端末装置130として、携帯電話を主に例示して説明する。端末装置130は、情報管理装置110、情報活用装置120とデータ通信できるものであればよく、携帯電話の他に、PHS(Personal Handy phone System)、固定電話、通信可能なPC(Personal Computer)、ゲーム機、携帯情報端末、情報家電等にも適用が可能である。なお、本発明の情報処理システムでは、携帯電話のように、キーが少なく(又は小さく)入力操作が困難である端末装置において、利用者にとってより利便性が発揮されるようになる。
【0037】
図2は、本発明の実施の形態による処理例の概略を示す説明図である。
利用者が様々なサービスを利用したり、取引やID(IDentifier、識別子)の登録を行ったりする際に、ある事業者が既に管理している利用者情報(例えば、住所、氏名などの個人属性情報)を、異なる事業者(第2の事業者)に安全に送付することによって、第2の事業者がその利用者情報を利用又は活用することができるようにするものである。なお、ここで、利用者情報とは、個人情報の保護に関する法律で規定する個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。))に限られず、利用者に関する情報であればよい。
【0038】
ポータルサイトX221、ポータルサイトY222が情報活用装置120に該当し、加入者管理装置210が情報管理装置110に該当し、端末装置230が端末装置130に該当するものである。つまり、利用者239の利用者情報は、既に加入者管理装置210に登録されており、利用者239が、ポータルサイトX221又はポータルサイトY222に利用者登録を行う場合に、加入者管理装置210に登録されている利用者情報を利用しようとするものである。より具体的には、加入者管理装置210は通信事業者が管理しており、端末装置230の携帯電話を利用するに際して、既に、利用者情報は加入者管理装置210内に格納されている。その利用者情報を、別の事業者が管理しているポータルサイトX221、ポータルサイトY222に利用させるものである。
【0039】
ステップS21では、利用者239は端末装置230を用いて、ポータルサイトY222に対して利用者登録を依頼する。
ステップS22では、ポータルサイトY222は、端末装置230に対して、利用者情報の入力を促す。
【0040】
ステップS23では、加入者管理装置210に対して、利用者239は端末装置230を用いて、加入者管理装置210に預けてある(登録されている)利用者情報をポータルサイトY222に送信することを依頼する。より具体的には、後述するアクセストークンを加入者管理装置210から取得して、そのアクセストークンをポータルサイトY222に送信することである。
ステップS24では、加入者管理装置210がポータルサイトY222に利用者情報を送信する。
ステップS25では、ポータルサイトY222では、加入者管理装置210から受け取った利用者情報に基づいて、利用者239の利用者登録を行う。
【0041】
〔第1の実施の形態〕
以下、第1の実施の形態について説明する。図3は、第1の実施の形態の情報管理装置110内の概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはプログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、プログラム、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がプログラムの場合は、記憶装置に記憶させるように制御するの意である。また、モジュールは機能にほぼ一対一に対応しているが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)を含む。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク等で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「所定」という用語は、予め定められたの意の他に、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じての意を含めて用いる。
【0042】
情報管理装置110は、利用者情報を管理するものであって、図3の例に示すように、認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117を有している。認証モジュール111、利用者情報発行モジュール112、アクセストークン発行モジュール114、アクセストークン検証モジュール115は、通信ネットワーク140を介して、端末装置130又は情報活用装置120と接続されている。
【0043】
認証モジュール111は、利用者情報格納モジュール113と接続されている。利用者(ユーザー)を利用者情報格納モジュール113にて管理している利用者固有の識別子とその識別子に対応するクレデンシャル情報(パスワードなど認証に利用する情報)を利用して認証する。
【0044】
利用者情報発行モジュール112は、利用者情報格納モジュール113と接続されている。情報活用装置120からの利用者情報要求に応じて、利用者情報格納モジュール113から利用者情報を取得し、返信する。
【0045】
利用者情報格納モジュール113は、認証モジュール111、利用者情報発行モジュール112からアクセスされる。利用者に関連付けられた情報(個人属性情報などの利用者情報)を格納する。例えば、記憶するデータとして、図4の例に示す利用者情報テーブル400がある。図4は、利用者情報テーブル400のデータ構造例を示す説明図である。利用者情報テーブル400は、利用者氏名欄410、ID欄420、PW欄430、住所欄440、生年月日欄450、性別欄460、電話番号欄470、E−mailアドレス欄480を有している。利用者氏名欄410は、利用者の氏名を記憶する。ID欄420は、その利用者を一意に特定する識別子を記憶する。PW欄430は、情報管理装置110を利用するためのクレデンシャル情報であるパスワードを記憶する。住所欄440は、その利用者の住所を記憶する。生年月日欄450は、その利用者の生年月日を記憶する。性別欄460は、その利用者の性別を記憶する。電話番号欄470は、その利用者の電話番号を記憶する。E−mailアドレス欄480は、その利用者の電子メールアドレスを記憶する。この他に、年齢、勤務先等を記憶するようにしてもよい。これらのデータは、事前に、例えば端末装置130である携帯電話の契約時等に収集されるものである。
【0046】
アクセストークン発行モジュール114は、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117と接続されている。情報活用装置120が利用者情報に対してアクセス可能とするために、ランダムな数であるノンス(乱数)と、所定の識別子とを連結させ、所定のハッシュ関数に与えることによって作成するハッシュ値を、利用者情報にアクセスするためのアクセストークンとして、その利用者139の端末装置130に対して発行する。つまり、ノンスと利用者のアクセスコードと情報活用装置識別子とを連結し、その連結された符号からハッシュ関数によってハッシュ値を算出し、その算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして、端末装置130に対して発行する。なお、発行するとは、アクセストークンを作成して通用させること、具体的には作成したアクセストークンを端末装置130に送信することをいう。この発行の定義は、第2の実施の形態又は第3の実施の形態でも同様であり、第5の実施の形態又は第6の実施の形態で、第1から第3の実施の形態を用いる部分については同様である。
【0047】
また、アクセストークン発行モジュール114は、利用者情報に対する情報活用装置120からのアクセスの許可要求を端末装置130から受信し、その許可要求に対応したアクセスコードに情報活用装置120を特定する情報活用装置識別子とノンスとを連結(第1の連結)し、連結された符号からハッシュ関数によってハッシュ値を算出(第1のハッシュ値算出)し、算出されたハッシュ値を利用者情報にアクセスするためのアクセストークンとして発行し、アクセストークンと、利用者を特定する利用者識別子と、ハッシュ値算出で処理の対象となったノンスとを対応付けてアクセストークン情報格納モジュール116に記憶させる。
【0048】
図5は、アクセストークン発行モジュール114によるアクセストークンの発行処理例を示す説明図である。
アクセストークン発行モジュール114は、所定のハッシュ関数520に対して、ノンスとアクセスコードと情報活用装置識別子を連接したもの(ノンス+アクセスコード+情報活用装置識別子510)を入力してハッシュ値を作成し、アクセストークン530とする。なお、アクセスコードとは、利用者固有の情報であり、例えば、PIN(Personal Identification Number)番号、パスワード(利用者情報テーブル400のPW欄430)等がある。情報活用装置識別子とは、情報活用装置120を一意に特定できるコードである。所定のハッシュ関数として、既に知られているハッシュ関数(MD5、SHA1等)を用いてよい。また、ノンスは疑似乱数であってもよい。
このアクセストークンは、所定の利用者以外の利用者、すなわち利用者が意図しない第三者が、その所定の利用者の利用者情報を扱ったり、該利用者情報を不正に活用したりすることがないようにするものである。
【0049】
また、アクセストークン発行モジュール114は、端末装置130に対する利用者139の操作に基づいて、その利用者139のアクセスコードを端末装置130から取得して、その取得したアクセスコードとノンスを連結させてハッシュ値を算出するようにしてもよい。
【0050】
また、アクセストークン発行モジュール114は、情報活用装置情報格納モジュール117に格納されている情報活用装置120に関する情報を利用者139の端末装置130に対して提示するなどして、利用者情報の送付先(情報管理装置110へアクセストークンを送信してくる情報活用装置120)を取得するようにしてもよい。もし、情報活用装置情報格納モジュール117に、利用者139が求める情報活用装置120に関する情報がなければ、利用者139に端末装置130を用いてその情報活用装置120に関する情報を直接に入力させるなどして、取得するようにしてもよい。この際、その利用者139には、情報活用装置120において利用者139に関する利用者情報が活用されることになる旨を確認し、同意を得るようにしてもよい。なお、情報活用装置120に関する情報としては、例えば、その情報活用装置120を一意に特定するための情報活用装置識別子等があり、より具体的には、情報活用装置120が提供しているサービスのホームページのURL等であってもよい。なお、利用者139の端末装置130に提示するものは、その情報活用装置120の名称(サービス名等)であってもよい。
また、アクセストークン発行モジュール114は、端末装置130に対する利用者139の操作に基づいて、その利用者139の利用者識別子と情報活用装置識別子を取得してもよい。そして、取得したその利用者識別子をアクセストークン情報格納モジュール116に記憶させてもよい。
【0051】
アクセストークン検証モジュール115は、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117と接続されている。情報活用装置120からの利用者情報へのアクセス要求メッセージに含まれるアクセストークンとその情報活用装置識別子を受け取り、アクセストークン情報格納モジュール116に格納されているアクセストークンに関連付けられているノンスとアクセスコードと受け取った情報活用装置識別子とを連結したものを、所定のハッシュ関数に与えることによって作成するハッシュ値と、利用者情報要求に含まれるアクセストークンとを比較照合することによって、アクセス要求メッセージに含まれるアクセストークンが正当なものであるか否かを検証する。
【0052】
つまり、アクセストークン検証モジュール115は、利用者情報格納モジュール113に格納されている利用者情報にアクセスするためのアクセストークンと情報活用装置120の情報活用装置識別子を情報活用装置120から取得し、その取得したアクセストークンに基づいて、アクセストークン情報格納モジュール116に記憶されたノンスを取得する。そして、その取得したノンスと利用者139のアクセスコードと前記情報活用装置識別子を連結し、その連結した符号からハッシュ関数によってハッシュ値を算出する。情報活用装置120から取得したアクセストークンと算出したハッシュ値を照合して、一致する場合は、情報活用装置120からの利用者139の利用者情報へのアクセス要求を正規なものと判断する。そして、アクセス要求が正規なものと判断した場合は、利用者139の利用者情報をその情報活用装置120に送信する。
【0053】
また、アクセストークン検証モジュール115は、端末装置130に対する利用者139の操作に基づいて、その利用者139のアクセスコードを端末装置130から取得して、その取得したアクセスコードとノンスを連結させてハッシュ値を算出するようにしてもよい。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求メッセージ内の利用者識別子を取得し、その取得した情報活用装置識別子及び利用者識別子に基づいて、アクセストークン情報格納モジュール116に記憶されたノンスを取得するようにしてもよい。
また、アクセストークン検証モジュール115は、アクセス要求が正規なものと判断した場合は、利用者139が利用している端末装置130に対して、情報活用装置120に利用者139の利用者情報を送信することの確認を行う。そして、利用者139の確認が行われた場合(つまり、送信することに対して許可された場合)は、利用者139の利用者情報をその情報活用装置120に送信する。
【0054】
また、アクセストークン検証モジュール115は、アクセストークンと、情報活用装置120の情報活用装置識別子とを情報活用装置120から受信し、その受信されたアクセストークンに基づいて、アクセスコードとアクセストークン情報格納モジュール116に記憶されたノンスとを取得し、その取得されたノンス及びアクセスコードと受信した情報活用装置識別子を連結(第2の連結)し、その連結された符号からハッシュ関数によってハッシュ値を算出(第2のハッシュ値算出)し、受信されたアクセストークンと第2のハッシュ値算出によって算出されたハッシュ値とを照合して一致する場合は、アクセストークン情報格納モジュール116においてアクセストークンに対応付けられた利用者識別子で示される利用者の利用者情報へのアクセス要求を正規なものであると判断する。そして、アクセス要求が正規なものと判断された場合は、利用者情報を情報活用装置120に送信する。
【0055】
より具体的には、情報活用装置120から利用者情報へのアクセス要求が行われた場合に、以下のようにして、アクセストークン検証モジュール115が検証する。図7は、アクセストークンの検証処理例を示すフローチャートである。なお、ステップS716以外の処理は、アクセストークン検証モジュール115が行う。
(1)ステップS702 情報活用装置120からアクセス要求メッセージを受領する。そのアクセス要求メッセージに含まれているアクセストークン(要求アクセストークン)と情報活用装置識別子を取得する。
(2)ステップS704 アクセストークン(要求アクセストークン)をキーとして、アクセストークン情報格納モジュール116内のアクセストークン関連情報テーブル600から利用者IDとノンスを取得する。尚、要求アクセストークンが、アクセストークン関連情報テーブル600に存在しない場合には、ステップS714に移行して不正なアクセス要求と判断してもよい。
【0056】
(3)ステップS706 その利用者139に対して、その利用者139のアクセスコードの入力を促し、該アクセスコードを取得する。
(4)ステップS708 所定のハッシュ関数に、前記ノンスと、前記取得した利用者139のアクセスコードと、前記受領した情報活用装置識別子を連接したもの入力値として、ハッシュ値(検証アクセストークン)を出力する。
(5)ステップS710 前記検証アクセストークンと前記要求アクセストークンを比較照合し、同一であれば正規のアクセス要求の可能性ありとみなしてステップS712へ進み、異なれば虚偽のアクセス要求とみなしてステップS714へ進む。
【0057】
(6)ステップS712 さらに、利用者139が利用する端末装置130に対して、情報活用装置120に関する情報を提示し、利用者139の利用者情報がその情報活用装置120において活用されることとなることの確認を行う。もし、その利用者139が同意すれば正規のアクセス要求とみなしてステップS716へ進み、異なれば虚偽のアクセス要求とみなしてステップS714へ進む。
(7)ステップS714 不正なアクセス要求であると判断して、そのようなアクセス要求があった旨を利用者139の端末装置130に対して通知する。また、情報活用装置120に対しては、そのアクセス要求には返信できない旨を返信する。
(8)ステップS716 正規のアクセス要求であれば、利用者情報発行モジュール112は、利用者識別子を用いて、アクセス要求のあった利用者情報を、利用者情報格納モジュール113から取り出し、情報活用装置120へ送付する。
【0058】
アクセストークン情報格納モジュール116は、アクセストークン発行モジュール114、アクセストークン検証モジュール115からアクセスされる。アクセストークン発行モジュール114が発行したアクセストークンとそのアクセストークンを生成するために必要となるノンスを対応付けて記憶する。また、アクセストークン発行モジュール114が発行したアクセストークンを作成するために必要となるノンスと利用者識別子を関連付けて記憶するようにしてもよい。例えば、記憶するデータとして、図6の例に示すアクセストークン関連情報テーブル600がある。図6は、アクセストークン関連情報テーブル600のデータ構造例を示す説明図である。アクセストークン関連情報テーブル600は、アクセストークン欄610、利用者ID欄620、ノンス欄630を有している。アクセストークン欄610は、生成したアクセストークンを記憶する。利用者ID欄620は、利用者識別子を記憶する。ノンス欄630は、ノンスを記憶する。
【0059】
つまり、アクセストークン検証モジュール115が情報活用装置120からのアクセス要求時に利用するために、アクセストークンをキーとして、利用者識別子とノンスを検索可能なように、アクセストークン情報格納モジュール116において、図6の例に示すようなアクセストークン関連情報テーブル600で管理する。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求を受け、アクセストークンの検証及び要求された利用者情報の送付を終了すれば、アクセストークン関連情報テーブル600から該当する項目を削除するようにしてもよい。
【0060】
情報活用装置情報格納モジュール117は、アクセストークン発行モジュール114、アクセストークン検証モジュール115からアクセスされる。情報活用装置120の情報活用装置識別子と、その情報活用装置120に対しての利用者情報の送付先の他、情報活用装置120に関連する情報を管理する。
【0061】
図8は、第1の実施の形態の情報活用装置120内のモジュール構成例を示す図である。
情報活用装置120は、利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123を有している。各モジュールは、通信ネットワーク140を介して、情報管理装置110又は端末装置130と接続されている。
利用者情報要求モジュール121は、端末装置130からアクセストークンを受け取り、そのアクセストークン及び自装置の情報活用装置識別子を、情報管理装置110に送信する。つまり、情報管理装置110に対してアクセストークン及び自身の情報活用装置識別子を提示することによって、利用者情報を要求する。
サービス提供モジュール122は、情報活用装置120の提供する情報・サービスを、端末装置130からの要求に応じて提供する。
利用者情報活用モジュール123は、利用者情報要求モジュール121によって送信されたアクセストークンに対応して、利用者139の利用者情報を情報管理装置110から受信する。そして、情報管理装置110から受信した利用者情報をサービス提供モジュール122に渡すことによって、利用者情報を活用する。
【0062】
図9は、第1の実施の形態の端末装置130内のモジュール構成例を示す図である。
端末装置130は、入力モジュール131、利用者情報要求モジュール132、出力モジュール133、クレデンシャル送付モジュール134を有している。各モジュールは、通信ネットワーク140を介して、情報管理装置110又は情報活用装置120と接続されている。
【0063】
入力モジュール131は、端末装置130への利用者139による入力を受け付ける。例えば、端末装置130への操作入力として、クレデンシャル(パスワードなど情報管理装置110が利用者139を認証するための情報)の入力、アクセスコード(情報管理装置110が利用者情報を情報活用装置120に送付する際に、所定の利用者であることを確認するために利用する)の入力がある。
【0064】
利用者情報要求モジュール132は、情報管理装置110によって発行されたアクセストークンを含む利用者情報要求メッセージを情報活用装置120に送信する。このことによって、利用者情報を情報管理装置110から情報活用装置120へ送付するように、情報管理装置110に対して要求する。また、端末装置130を識別可能な端末装置識別子を情報管理装置110に送付する。
出力モジュール133は、出力を端末装置130のディスプレイ等に表示する。例えば、利用者139に対してクレデンシャル情報の入力を促す。
クレデンシャル送付モジュール134は、情報管理装置110からのクレデンシャル要求を受け、該当するクレデンシャル情報を取得し、情報管理装置110へクレデンシャル情報を送付する。なお、クレデンシャル情報は別の装置から取得してもよい。
【0065】
図10は、第1の実施の形態による利用者登録の処理例を示す説明図である。つまり、端末装置130の利用者139が、情報活用装置120に対して利用者登録を行う場合について、既に情報管理装置110に格納されている利用者情報を情報活用装置120が取得して、利用者139は情報活用装置120に対して利用者情報の入力を省くことができるものである。
【0066】
ステップS1001では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、利用者139の利用者情報を情報活用装置120に送付してほしいという要求を送信する。
ステップS1002では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とパスワードの入力を要求する。
ステップS1003では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とパスワードを送付する。
【0067】
ステップS1004では、情報管理装置110は、端末装置130に対して、利用者情報の送付先である情報活用装置120の情報活用装置識別子とアクセスコードの入力を要求する。
ステップS1005では、端末装置130は、情報管理装置110に対して、情報活用装置120の情報活用装置識別子とアクセスコードを送付する。
ステップS1006では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1005で受け取った利用者139のアクセスコードと情報活用装置識別子とノンスを連結したものに対してハッシュ値を算出し、利用者IDとノンスとアクセストークンをアクセストークン情報格納モジュール116に格納する。
【0068】
ステップS1007では、情報管理装置110は、端末装置130に対して、ステップS1006で作成したアクセストークンを送付する。
ステップS1008では、端末装置130は、情報活用装置120に対して、ステップS1007で受け取ったアクセストークンを送付する。
ステップS1009では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1008で受け取ったアクセストークンを送付する。また、情報活用装置120の情報活用装置識別子もアクセストークンとともに送付する。
【0069】
ステップS1010では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
ステップS1011では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1012では、情報管理装置110は、ステップS1011で受け取ったアクセスコードとS1009で受け取った情報活用装置識別子を用いて、ステップS1009で受け取ったアクセストークンを検証する。尚、アクセスコードの入力の要求の際、端末装置130に利用者IDの入力を要求して、該要求に応じて入力された利用者IDと、受け取ったアクセストークンに対応する利用者IDとが一致していた場合には、利用者情報の送信が許可されたと判定してもよい。
【0070】
ステップS1013では、情報管理装置110は、情報活用装置120に対して、ステップS1012での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。
ステップS1014では、情報活用装置120は、ステップS1013で受け取った利用者情報を活用して利用者139の利用者登録を行う。
【0071】
図11は、第1の実施の形態による商品発送先情報の送信処理例を示す説明図である。つまり、端末装置130の利用者139が、情報活用装置120に対して商品を購入してその商品の配送を要求する場合について、既に情報管理装置110に格納されている利用者情報(例えば、住所等の商品配布先情報)を情報活用装置120が取得して、利用者139は情報活用装置120に対して利用者情報の入力を省くことができるものである。
【0072】
ステップS1101では、利用者139の操作に応じて端末装置130は、情報活用装置120に対して、商品購入及びその商品の配送サービスに対してアクセスする。
ステップS1102では、情報活用装置120は、端末装置130に対して、利用者情報を要求する。例えば、商品を送付するにあたっての送付先である住所等の入力を要求する。この際、情報活用装置120は、自装置の情報活用装置識別子も含めて送付する。
ステップS1103では、端末装置130は、情報管理装置110に対して、利用者情報を情報活用装置120に対して送付することを要求する。この際、端末装置130は、ステップS1102で受け取った情報活用装置識別子も含めて送付する。
【0073】
ステップS1104では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とパスワードの入力を要求する。
ステップS1105では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とパスワードを送付する。
ステップS1106では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
【0074】
ステップS1107では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1108では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1107で受け取った利用者139のアクセスコードとノンスとステップS1103で受け取った情報活用装置識別子を連結したものに対してハッシュ値を算出し、そのアクセスコードとノンスをアクセストークン情報格納モジュール116に格納する。
ステップS1109では、情報管理装置110は、端末装置130に対して、ステップS1108で作成したアクセストークンを送付する。
【0075】
ステップS1110では、端末装置130は、情報活用装置120に対して、ステップS1109で受け取ったアクセストークンを送付する。
ステップS1111では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1110で受け取ったアクセストークンを送付する。また、ハッシュ関数への入力値の一部である情報活用装置120の情報活用装置識別子もアクセストークンとともに送付する。
ステップS1112では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
【0076】
ステップS1113では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1114では、情報管理装置110は、ステップS1113で受け取ったアクセスコードとステップS1111で受け取った情報活用装置識別子を用いて、ステップS1111で受け取ったアクセストークンを検証する。
ステップS1115では、情報管理装置110は、情報活用装置120に対して、ステップS1114での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。
ステップS1116では、情報活用装置120は、ステップS1115で受け取った利用者情報に従って、商品の配送先を設定する。利用者情報には、例えば、利用者139の住所が含まれており、その住所を配送先として設定する。
ステップS1117では、情報活用装置120は、ステップS1116で設定された配送先に商品を配送するように制御する。具体的には、配送伝票の印刷等がある。そして、実際に商品の配送が行われる。
【0077】
図12は、第1の実施の形態による処理例を示すフローチャートである。
ステップS1201では、利用者139の操作に応じて端末装置130は、情報活用装置120に対して、サービスにアクセスする。例えば、図10の例で示した利用者登録、図11の例で示した商品購入サービス等がある。
ステップS1202では、情報活用装置120は、端末装置130に対して、利用者情報を要求する。
ステップS1203では、端末装置130は、情報管理装置110に対して、情報管理装置110に格納されている利用者情報を情報活用装置120に対して送付することを要求する。
【0078】
ステップS1204では、情報管理装置110は、端末装置130に対して、クレデンシャル情報(アクセスコードを含めてもよい)を要求する。
ステップS1205では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、クレデンシャル情報(アクセスコードを含めてもよい)を送付する。
ステップS1206では、情報管理装置110は、ステップS1205で取得したクレデンシャル情報を検証して、アクセストークンを作成する。
【0079】
ステップS1207では、情報管理装置110は、端末装置130に対して、ステップS1206で作成したアクセストークンを送付する。
ステップS1208では、端末装置130は、情報活用装置120に対して、ステップS1207で受け取ったアクセストークンを送付する。
ステップS1209では、情報活用装置120は、情報管理装置110に対して、利用者139の利用者情報を要求する。その要求にステップS1208で受け取ったアクセストークンを含める。
【0080】
ステップS1210では、情報管理装置110は、端末装置130に対して、アクセスコードの入力を要求する。
ステップS1211では、端末装置130は、情報管理装置110に対して、利用者139が入力したアクセスコードを送付する。
ステップS1212では、情報管理装置110は、ステップS1211で受け取ったアクセスコードを用いて、ステップS1209で受け取ったアクセストークンを検証する。
【0081】
ステップS1213では、情報管理装置110は、情報活用装置120に対して、ステップS1212のアクセストークンの検証の結果、ステップS1209の要求が正規のアクセス要求と判断する場合は、利用者情報を送付する。
ステップS1214では、情報活用装置120は、ステップS1201でアクセスされたサービスを提供する。例えば、アカウントを生成して利用者登録、商品購入サービス等の提供がある。
【0082】
〔第2の実施の形態〕
次に、第2の実施の形態を説明する。第2の実施の形態は、第1の実施の形態のモジュール構成と同様のものである。
情報管理装置110については、第1の実施の形態のアクセストークン発行モジュール114、アクセストークン情報格納モジュール116、アクセストークン検証モジュール115に機能を加えたものである。なお、第1の実施の形態と同様の部位については重複した説明を省略する。
【0083】
図13は、第2の実施の形態のアクセストークン発行モジュール114によるアクセストークンの発行処理例を示す説明図である。
アクセストークン発行モジュール114は、所定のハッシュ関数1320に対して、ノンスと選択した識別子を連接したもの(ノンス+選択した識別子1310)を入力してハッシュ値を作成し、アクセストークン1330とする。
ノンスと連接する識別子として、例えば、情報活用装置識別子、アクセスコード、端末装置識別子(その端末装置を一意に特定できる情報)等、これらの組み合わせ(情報活用装置識別子+アクセスコード+・・・1315)がある。これらによって、利用者情報の配布先(スコープ)に制限をかける。つまり、これらの識別情報を提示できる装置にのみ利用者情報を送付することができるようになる。
【0084】
図14は、アクセストークン関連情報テーブル1400のデータ構造例を示す説明図である。第1の実施の形態のアクセストークン関連情報テーブル600に対応するものであり、アクセストークン情報格納モジュール116に記憶されているものである。アクセストークン関連情報テーブル1400は、アクセストークン関連情報テーブル600の記憶しているデータに加えて、さらにハッシュ関数の入力とした識別子情報を記憶している。
アクセストークン関連情報テーブル1400は、アクセストークン欄1410、利用者ID欄1420、ハッシュ関数への入力値欄1430、ノンス欄1440を有している。
アクセストークン欄1410は、アクセストークンを記憶する。
利用者ID欄1420は、利用者識別子を記憶する。
ハッシュ関数への入力値欄1430は、ハッシュ関数への入力の一部(図13の例で示した「選択した識別子」)を記憶する。なお、ハッシュ関数への入力値欄1430が空の場合、デフォルトとして、ノンスとアクセスコードと情報活用装置識別子とでアクセストークンを生成するということになる。ハッシュ関数への入力値欄1430で記憶するものは、識別子そのもの又は識別子の名称であってもよい。識別子の名称の場合は、その識別子を取得する処理を行う。例えば、アクセストークン関連情報テーブル1400以外にアクセストークン情報格納モジュール116に記憶されている識別子を取得したり、端末装置130から取得するようにしてもよい。
ノンス欄1440は、その行のアクセストークンを生成するのに用いたノンスを記憶する。
例えば、図14の例に示したアクセストークン関連情報テーブル1400の第1行目では、ノンスとアクセスコードと情報活用装置識別子とでアクセストークンを生成することを示しており、第2行目では、ノンスとアクセスコードと情報活用装置識別子に加えて、端末装置識別子も連結してアクセストークンを生成することを示している。なお、ハッシュ関数への入力値欄1430には複数の入力値を記憶させてもよい。
【0085】
つまり、アクセストークン検証モジュール115が情報活用装置120からのアクセス要求時に利用するために、そのアクセス要求に含まれるアクセストークンをキーとして、利用者識別子とノンスとアクセストークン発行モジュール114がアクセストークン発行時に利用した識別子群(1つであってもよい)を検索可能なように、アクセストークン情報格納モジュール116において、図14の例に示すようなアクセストークン関連情報テーブル1400で管理する。
アクセストークン検証モジュール115は、アクセストークンと情報活用装置識別子を情報活用装置120から取得し、その取得したアクセストークンに基づいて、アクセストークン関連情報テーブル1400に記憶されたノンスと識別子情報を取得する。そして、その取得したノンスと識別子情報を連結して、その連結した符号からハッシュ関数によってハッシュ値を算出する。取得したアクセストークンと算出したハッシュ値を照合して、一致する場合は、情報活用装置120からの利用者139の利用者情報へのアクセス要求を正規なものと判断する。
また、アクセストークン検証モジュール115は、情報活用装置120からのアクセス要求を受け、アクセストークンの検証及び要求された利用者情報の送付を終了すれば、アクセストークン関連情報テーブル1400から該当する項目を削除するようにしてもよい。
【0086】
図15は、第2の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。なお、ステップS1514以外の処理は、アクセストークン検証モジュール115が行う。
(1)ステップS1502 情報活用装置120からアクセス要求メッセージを受領する。そのアクセス要求メッセージからアクセストークン(要求アクセストークン)とそのメッセージの送付元である情報活用装置120の情報活用装置識別子を取得する。
(2)ステップS1504 アクセストークン(要求アクセストークン)をキーとして、アクセストークン情報格納モジュール116のアクセストークン関連情報テーブル1400から利用者IDとノンスと検証すべき識別子のリストを取得する。尚、要求アクセストークンが、アクセストークン関連情報テーブル1400に存在しない場合には、ステップS1516に移行し、不正なアクセス要求とみなしてもよい。
【0087】
(3)ステップS1506 ステップS1504で取得した識別子のリストをもとにして、検証に用いるべき識別子情報を取得する。もし、ステップS1502で受領したアクセス要求メッセージ内およびアクセストークン関連情報テーブル1400に識別子が含まれていれば、それを取得する。そうでなければ、ステップS1508へ進む。
(4)ステップS1508 必要とする検証に用いるべき識別子を取得する。例えば、その検証に用いるべき識別子が端末装置識別子であれば、情報活用装置120と通信を行ってアクセストークンを送付した端末装置130の端末装置識別子を取得する。また、その検証に用いるべき識別子がアクセスコードであれば、端末装置130の利用者139に対してアクセスコードの入力を促して、取得する。
(5)ステップS1510 所定のハッシュ関数に、ノンスと、検証に用いるべき識別子の連接したものを入力値として、ハッシュ値(検証アクセストークン)を出力する。
【0088】
(6)ステップS1512 前記検証アクセストークンと前記要求アクセストークンを比較照合し、同一であれば正規のアクセス要求とみなしてステップS1514へ進み、異なれば虚偽のアクセス要求とみなしてステップS1516へ進む。
(7)ステップS1514 正規のアクセス要求であれば、利用者情報発行モジュール112は、利用者識別子を用いて、アクセス要求のあった利用者情報を、利用者情報格納モジュール113から取り出し、情報活用装置120へ送付する。
(8)ステップS1516 不正なアクセス要求であると判断して、そのようなアクセス要求があった旨を利用者139の端末装置130に対して通知する。また、情報活用装置120に対しては、そのアクセス要求には返信できない旨を返信する。
【0089】
図16は、第2の実施の形態の端末装置1630内のモジュール構成例を示す図である。
端末装置1630は、入力モジュール1631、利用者情報要求モジュール1632、出力モジュール1633、クレデンシャル送付モジュール1634、端末装置情報送付モジュール1635を有している。端末装置1630は、第1の実施の形態の端末装置130に対応するものであり、入力モジュール1631、利用者情報要求モジュール1632、出力モジュール1633、クレデンシャル送付モジュール1634は、それぞれ第1の実施の形態の入力モジュール131、利用者情報要求モジュール132、出力モジュール133、クレデンシャル送付モジュール134に対応するものである。これらについては重複した説明を省略する。また、第2の実施の形態の説明内では、端末装置130として説明する。
端末装置情報送付モジュール1635は、通信ネットワーク140を介して、情報管理装置110又は情報活用装置120と接続されている。情報管理装置110又は情報活用装置120からの要求に応じて、端末装置1630の端末装置識別子を送付する。
【0090】
図17は、第2の実施の形態による利用者情報の送信処理例を示す説明図である。この処理例は、図10の例に示した第1の実施の形態による利用者登録の処理例に対応するものである。なお、情報活用装置120は、ポータルサイト1610を介して端末装置130と通信する。
ステップS1701では、利用者139の操作に応じて端末装置130は、情報管理装置110に対して、利用者139自身の利用者情報をポータルサイト1610(情報活用装置120)に送付してほしいという要求を送信する。
ステップS1702では、情報管理装置110は、端末装置130に対して、情報管理装置110にログインするための利用者識別子とクレデンシャル情報の入力を要求する。
ステップS1703では、端末装置130は、情報管理装置110に対して、利用者139が入力した利用者識別子とクレデンシャル情報を送付する。
【0091】
ステップS1704では、情報管理装置110は、端末装置130に対して、利用者情報の送付先であるポータルサイト1610に関する情報(例えば、ポータルサイト1610の識別子等)又は情報活用装置120に関する情報(例えば、情報活用装置識別子等)の入力を要求する。
ステップS1705では、端末装置130は、情報管理装置110に対して、利用者139が入力したポータルサイト1610に関する情報及び情報活用装置120に関する情報を送付する。
ステップS1706では、情報管理装置110は、アクセストークンを作成する。つまり、ステップS1705で受け取った情報活用装置120に関する情報等とノンスを連結したものに対してハッシュ値を算出し、その情報活用装置120に関する情報等とノンスをアクセストークン情報格納モジュール116に格納する。
【0092】
ステップS1707では、情報管理装置110は、端末装置130に対して、ステップS1706で作成したアクセストークンを送付する。
ステップS1708では、端末装置130は、ポータルサイト1610に対して、ステップS1707で受け取ったアクセストークンを送付する。
ステップS1709では、ポータルサイト1610は、情報活用装置120に対して、ステップS1708で受け取ったアクセストークンを送付する。
【0093】
ステップS1710では、情報活用装置120は、情報管理装置110に対して、利用者情報へのアクセス要求メッセージとしてステップS1709で受け取ったアクセストークンを送付する。そのアクセス要求メッセージには、情報活用装置120に関する情報等を含む。
ステップS1711では、情報管理装置110は、ステップS1710で受け取ったアクセストークンを検証する。
ステップS1712では、情報管理装置110は、情報活用装置120に対して、ステップS1711での検証の結果、正規のアクセス要求である場合は、要求されていた利用者情報を送付する。その利用者情報には、利用者139の電子メールアドレスを含む。
【0094】
ステップS1713では、情報活用装置120は、ステップS1712で受け取った利用者情報を活用して利用者139の利用者登録を行う。
ステップS1714では、情報活用装置120は、端末装置130に対して、ステップS1712で受け取った利用者情報内の電子メールアドレスを用いて、利用者登録が完了した旨の通知を行う。
これによって、端末装置130の利用者139は、ポータルサイト1610には利用者情報を知らせずに、ポータルサイト1610を経由して、情報活用装置120に利用者情報を送付できるようになる。
【0095】
〔第3の実施の形態〕
次に、第3の実施の形態を説明する。第3の実施の形態は、第1の実施の形態のモジュール構成と同様のものである。
図18は、第3の実施の形態の情報管理装置1810内のモジュール構成例を示す図である。
情報管理装置1810は、認証モジュール1811、利用者情報発行モジュール1812、利用者情報格納モジュール1813、アクセストークン発行モジュール1814、アクセストークン検証モジュール1815、アクセストークン情報格納モジュール1816、情報活用装置情報格納モジュール1817、利用者情報暗号化モジュール1818を有している。情報管理装置1810は、第1の実施の形態の情報管理装置110に対応するものであり、認証モジュール1811、利用者情報発行モジュール1812、利用者情報格納モジュール1813、アクセストークン発行モジュール1814、アクセストークン検証モジュール1815、アクセストークン情報格納モジュール1816、情報活用装置情報格納モジュール1817は、それぞれ第1の実施の形態の認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117に対応するものである。これらについては重複した説明を省略する。また、第3の実施の形態の説明内では、情報管理装置110として説明する。
利用者情報暗号化モジュール1818は、通信ネットワーク140を介して、情報活用装置120(情報活用装置1910)又は端末装置130と接続されている。情報活用装置120(情報活用装置1910)から要求された利用者情報(利用者情報格納モジュール1813に格納されている利用者情報)を暗号化する。また、暗号化方法は、既知の暗号化方法を用いる。また、共通鍵暗号を用いる場合は、端末装置130から送付される適切な長さの文字列を共通鍵として用いてもよい。
利用者情報発行モジュール1812は、利用者情報暗号化モジュール1818によって暗号化された利用者情報を情報活用装置120(情報活用装置1910)に送信する。
【0096】
図19は、第3の実施の形態の情報活用装置1910内のモジュール構成例を示す図である。
情報活用装置1910は、利用者情報要求モジュール1911、サービス提供モジュール1912、利用者情報活用モジュール1913、利用者情報復号モジュール1914を有している。情報活用装置1910は、第1の実施の形態の情報活用装置120に対応するものであり、利用者情報要求モジュール1911、サービス提供モジュール1912、利用者情報活用モジュール1913は、それぞれ第1の実施の形態の利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123に対応するものである。これらについては重複した説明を省略する。また、第3の実施の形態の説明内では、情報活用装置120として説明する。
情報管理装置110(情報管理装置1810)に対応して、情報活用装置120(情報活用装置1910)内の利用者情報活用モジュール1913は、利用者139の暗号化された利用者情報を情報管理装置110(情報管理装置1810)から受信する。
そして、利用者情報復号モジュール1914は、利用者情報活用モジュール1913が受信した暗号化された利用者情報を復号する。復号した利用者情報をサービス提供モジュール1912に渡して、利用者情報を活用したサービス等を行う。また、復号方法は、情報管理装置110(情報管理装置1810)による暗号化方法に対応した既知の復号方法を用いる。また、共通鍵暗号を用いる場合は、端末装置130から送付される適切な長さの文字列を共通鍵として用いてもよい。
これによって、情報管理装置110(情報管理装置1810)と情報活用装置120(情報活用装置1910)間で行われる利用者情報の送付の安全性を向上させることができる。
【0097】
〔第4の実施の形態〕
次に、第4の実施の形態を説明する。
前述の実施の形態は、利用者Aの要求に応じて情報管理装置がアクセストークンを利用者Aに対して発行して、情報活用装置から送信されるアクセストークン、情報活用装置識別子に基づいて、そのアクセストークンを検証して、情報活用装置から利用者Aの利用者情報へのアクセスを許可するものである。そして、検証の際には、利用者Aに固有情報(アクセスコード)を要求して検証に用いる。その場合、アクセストークンは利用者Aが有する端末装置を介して情報活用装置に送信される。
【0098】
第4の実施の形態は、利用者Aの要求に応じて情報管理装置がアクセストークンを利用者Bに対して発行して、情報活用装置から送信されるアクセストークン、情報活用装置識別子に基づいて、そのアクセストークンを検証して、情報活用装置から利用者Aの利用者情報へのアクセスを許可するものである。そして、検証の際には、利用者Bに共有情報(アクセスコード)を要求して検証に用いる。これによって、情報活用装置に送信された利用者Aの利用者情報を利用者Bが閲覧可能になる。その場合、アクセストークンは利用者Bが有する端末装置を介して情報活用装置に送信される。すなわち、本実施の形態において、アクセストークンの発行とは、第1の実施の形態等における発行とは異なり、利用者Aが指定する利用者A以外の利用者(利用者B)が、利用者Aの利用者情報にアクセス可能とするためのアクセストークンを生成し、作成したアクセストークンを利用者Bの端末装置に送付することをいう。第4の実施の形態における発行の定義は、第5の実施の形態又は第6の実施の形態で、第4の実施の形態を用いる部分については同様である。
なお、ここでの共有情報とは、利用者Aと利用者Bとの間で秘密に共有されているものであり、例えば、利用者Aのアクセスコードが対応する。
また、利用者Bは複数人であってもよいが、説明を容易にするために、利用者Bは1人の場合について主に説明する。
例えば、利用者Bとは利用者Aの配偶者であり、利用者Aは自身のアクセスコードを利用者Bにだけ教えている場合であって、利用者Aの健康情報等である利用者情報を利用者Bが閲覧する場合等が該当する。
【0099】
アクセスコードの共有とは、利用者の利用者情報へのアクセスを許可するためのコード(アクセスコード)を、その利用者以外の利用者(第2の利用者、前述の利用者B)に対して通知し、両者で共有することである。その第2の利用者は、そのアクセスコードを用いて作成されたアクセストークンを含めたその利用者情報に対するアクセス要求を、情報活用装置に対して送付する。
【0100】
図20は、第4の実施の形態の情報管理装置2010内のモジュール構成例を示す図である。
情報管理装置2010は、認証モジュール2011、利用者情報発行モジュール2012、利用者情報格納モジュール2013、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、アクセストークン情報格納モジュール2016、情報活用装置情報格納モジュール2017、情報共有者確認モジュール2018を有しており、図1の例に示した第1の実施の形態の情報管理装置110に対応するものである。
認証モジュール2011、利用者情報発行モジュール2012、利用者情報格納モジュール2013、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、アクセストークン情報格納モジュール2016、情報活用装置情報格納モジュール2017は、図1の例に示した第1の実施の形態の情報管理装置110内の認証モジュール111、利用者情報発行モジュール112、利用者情報格納モジュール113、アクセストークン発行モジュール114、アクセストークン検証モジュール115、アクセストークン情報格納モジュール116、情報活用装置情報格納モジュール117にそれぞれ対応するものである。これらについては重複した説明を省略する。また、第4の実施の形態の説明内では、情報管理装置110として説明する。
ただし、本実施の形態におけるアクセストークン発行モジュール2014は、利用者Aが指定した他の利用者(第2の利用者、利用者B)が、利用者Aの利用者情報にアクセス可能とするためのアクセストークンを作成し、該他の利用者の端末装置に発行する。
また、アクセストークン情報格納モジュール2016は、アクセストークン発行モジュール2014、アクセストークン検証モジュール2015、情報共有者確認モジュール2018からアクセスされ、第1の実施の形態(又は第2の実施の形態)の情報管理装置110内のアクセストークン情報格納モジュール116に加えて、所定の利用者に対してのみ、アクセストークンを共有するように、共有すべき利用者の利用者識別子(共有情報者ID)を、第1の実施の形態の情報管理装置110内のアクセストークン情報格納モジュール116の格納情報に追加して、格納する。
【0101】
情報共有者確認モジュール2018は、アクセストークン情報格納モジュール2016および情報活用装置情報格納モジュール2017と接続されている。利用者情報を、その利用者の意図する第2の利用者がアクセスすることを許可するものであり、その第2の利用者によるアクセスであるか否かを確認する。具体的には、利用者のアクセスコードと同一のアクセスコードが第2の利用者によって入力されたか否かを確認するものである。
また、利用者と第2の利用者以外の利用者がアクセスすることを防止するため、その利用者はアクセスコードをその第2の利用者とだけ共有する。
【0102】
図21は、第4の実施の形態で用いるアクセストークン関連情報テーブル2100のデータ構造例を示す説明図である。
アクセストークン関連情報テーブル2100は、アクセストークン欄2110、利用者ID欄2120、ハッシュ関数への入力値欄2130、情報共有者ID欄2140、ノンス欄2150を有している。
情報活用装置120からのアクセス要求時に利用するために、アクセストークンをキーとして、利用者ID、ノンス、及びアクセストークン発行モジュール2014がアクセストークン発行時に利用した識別子群を検索可能なように、アクセストークン情報格納モジュール2016においてアクセストークン関連情報テーブル2100で管理する。
【0103】
アクセストークン関連情報テーブル2100は、アクセストークン情報格納モジュール2016内に記憶されている。また、第1の実施の形態のアクセストークン関連情報テーブル600に対応するものであり、アクセストークン関連情報テーブル2100のアクセストークン欄2110、利用者ID欄2120、ノンス欄2150は、アクセストークン関連情報テーブル600のアクセストークン欄610、利用者ID欄620、ノンス欄630にそれぞれ対応する。また、第2の実施の形態のアクセストークン関連情報テーブル1400と比較すると、アクセストークン関連情報テーブル2100のアクセストークン欄2110、利用者ID欄2120、ハッシュ関数への入力値欄2130、ノンス欄2150は、アクセストークン関連情報テーブル1400のアクセストークン欄1410、利用者ID欄1420、ハッシュ関数への入力値欄1430、ノンス欄1440にそれぞれ対応するものである。これらについては重複した説明を省略する。なお、第4の実施の形態においては、ハッシュ関数への入力値欄2130はなくてもよい。
情報共有者ID欄2140は、情報共有者確認モジュール2018が取得した、利用者が自らの利用者情報へのアクセスを許可する利用者の識別子(情報共有者ID)を記憶する。共有すべき者が複数いる場合は、図21の第2行目に示すように、情報共有者ID欄2140で、複数の情報共有者IDを記憶する。
【0104】
図22は、第4の実施の形態による利用者Bに対して利用者Aの利用者情報の送信処理例を示す説明図である。なお、利用者A(第1の利用者)は端末装置130Aを利用し、利用者B(第2の利用者)は端末装置130Bを利用するものとする。また、利用者Aの利用者情報は、情報管理装置110に記憶されているものとし、利用者A及び利用者Bは、情報管理装置110にログイン可能であるとする。
ステップS2201からステップS2210までの処理は、アクセストークン生成に関する処理である。
【0105】
ステップS2201では、利用者Aの操作に応じて端末装置130Aは、情報活用装置120に対して、情報活用装置120が提供している情報閲覧サービスにアクセスする。
ステップS2202では、情報活用装置120は、端末装置130Aに対して、利用者Aの利用者情報(以下、「利用者A情報」ともいう)を要求する。この際、情報活用装置120は、自装置の情報活用装置識別子も含めて送付する。
ステップS2203では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、情報管理装置110が管理している利用者A情報を情報活用装置120に送信するように要求する。この際、端末装置130Aは、ステップS2202で受け取った情報活用装置120の情報活用装置識別子も含めて送付する。
ステップS2204では、情報管理装置110は、端末装置130Aに対して、情報管理装置110へのログインに必要なIDとパスワードの入力を要求する。
ステップS2205では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、情報管理装置110へのログインに必要なIDとパスワードを送付する。
【0106】
ステップS2206では、情報管理装置110は、端末装置130Aに対して、アクセスコード、情報共有者情報(情報共有者ID欄2140に記憶させるもの)の入力を要求する。
ステップS2207では、利用者Aの操作に応じて端末装置130Aは、情報管理装置110に対して、アクセスコード、情報共有者情報である利用者Bの識別子を入力する。なお、利用者Aは、このアクセスコードを利用者Bにだけ教え、他の者に対しては秘密に管理されるものである。
ステップS2208では、情報管理装置110は、アクセストークンを生成する。アクセストークンの生成は、前述の実施の形態における処理と同等のものである。例えば、ノンスとアクセスコードとステップS2203で受け取った情報活用装置120に関する情報(例えば、情報活用装置120の識別子)を連結したものに対してハッシュ値を算出し、そのノンス等をアクセストークン情報格納モジュール2016に格納する。
ステップS2209では、情報管理装置110は、アクセストークンとステップS2207で入力された利用者Bの識別子を対応付けて、アクセストークン情報格納モジュール2016に格納する。
ステップS2210では、情報管理装置110は、端末装置130Aに対して、アクセストークンの生成が完了した旨を通知する。
【0107】
ステップS2211からステップS2215までの処理は、アクセストークン配布に関する処理である。
ステップS2211では、情報管理装置110は、端末装置130Bに対して、利用者A情報へのアクセスが許可されたことを通知する。
ステップS2212では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、利用者A情報へアクセスするためのアクセストークンを送信するように要求する。
ステップS2213では、情報管理装置110は、端末装置130Bに対して、情報管理装置110へのログインを要求する。
ステップS2214では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、情報管理装置110へのログインに必要なIDとパスワードを送付する。
ステップS2215では、情報管理装置110は、端末装置130Bに対して、アクセストークンを送信する。
【0108】
ステップS2216からステップS2222までの処理は、利用者Bによる利用者A情報の閲覧に関する処理である。
ステップS2216では、利用者Bの操作に応じて端末装置130Bは、情報活用装置120に対して、利用者A情報の閲覧を要求する。その要求の際に、ステップS2215で送信されたアクセストークンを添付する。
ステップS2217では、情報活用装置120は、情報管理装置110に対して、利用者A情報を要求する。その要求の際に、ステップS2216で端末装置130Bから送信されてきたアクセストークンと情報活用装置120自身の情報活用装置識別子を添付する。
ステップS2218では、情報管理装置110は、端末装置130Bに対して、アクセスコードを入力するよう要求する。ここで、端末装置130Bに対するアクセスコードの入力要求は、例えば、電子メールによって通知してもよく、情報管理装置110は、本アクセスコード入力要求と、前記ステップS2217の利用者A情報要求とを関連付けて管理する。
【0109】
ステップS2219では、利用者Bの操作に応じて端末装置130Bは、情報管理装置110に対して、アクセスコードを入力する。ここでのアクセスコードは、ステップS2207で、端末装置130Aが入力したものと同じものである。
ステップS2220では、情報管理装置110は、アクセストークンを検証する。アクセストークンの検証は、前述の実施の形態における処理と同等のものである。
ステップS2221では、情報管理装置110は、情報活用装置120に対して、利用者A情報を送付する。
ステップS2222では、情報活用装置120は、端末装置130Bに対して、利用者A情報を表示する。つまり、利用者Bは利用者A情報を閲覧することができる。
【0110】
〔第5の実施の形態〕
次に、第5の実施の形態を説明する。第5の実施の形態は、第2の実施の形態と第3の実施の形態と第4の実施の形態のいずれか2つ以上を任意に組み合わせたものである。また、それぞれの形態内のモジュールを任意に組み合わせたものであってもよい。
例えば、第1の実施の形態のモジュール構成と同様のものであるが、情報管理装置110は、さらに利用者情報暗号化モジュール1818を有しており、アクセストークン発行モジュール114は、図13の例に示したようにアクセストークン1330を作成して、アクセストークン情報格納モジュール116は、図14の例に示すようなアクセストークン関連情報テーブル1400を記憶し、アクセストークン検証モジュール115は、図15の例に示すような処理を行い、利用者情報暗号化モジュール1818は利用者情報を暗号化し、利用者情報発行モジュール112は、暗号化された利用者情報を情報活用装置120に送付する。
また、情報活用装置120は、利用者情報活用モジュール1913を有しており、利用者情報活用モジュール123は、暗号化された利用者情報を情報管理装置110から受け取り、利用者情報復号モジュール1914で復号する。端末装置130は、端末装置情報送付モジュール1635を有しており、端末装置識別子を送付する。
【0111】
〔第6の実施の形態〕
次に、第6の実施の形態を説明する。第6の実施の形態は、第1の実施の形態から第5の実施の形態をプログラムとして実現させたものである。
図23は、第6の実施の形態を実現するシステム構成例を示す説明図である。
情報管理装置2310、情報活用装置2320、端末装置2330は、通信ネットワーク2340を介して接続されている。
情報管理装置用プログラム2311は情報管理装置2310に、情報活用装置用プログラム2321は情報活用装置2320に、端末装置用プログラム2331は端末装置2330に、それぞれインストールされて使用される。情報管理装置2310、情報活用装置2320、端末装置2330は、それぞれコンピュータとして(又はコンピュータを内蔵したものとして)機能し、それぞれインストールされたプログラムにしたがって動作・処理を行う。情報管理装置用プログラム2311、情報活用装置用プログラム2321、端末装置用プログラム2331は、それぞれ第1の実施の形態から第5の実施の形態における情報管理装置110、情報活用装置120、端末装置130として機能させるためのプログラムである。
【0112】
前述の実施の形態によって得られる効果を以下に挙げる。
<第1の効果>
利用者の機密情報の漏洩に対して強固な情報管理システムを提供できることにある。
(理由)利用者情報は、アクセストークンを用いたアクセス管理によって保護されている。該利用者の利用者情報にアクセスするために必要とするアクセストークンは、ハッシュ関数を用いることにより生成され利用者を特定することが困難な情報であるため、万が一該利用者以外の該利用者が意図しない第三者に対してアクセストークンが漏洩しても第三者による利用者情報へのアクセスが不可能であるからである。
【0113】
<第2の効果>
利用者が意図していない事業者に対して該利用者の機密情報の漏洩を防止できることにある。
(理由)第1の効果と同様に、該利用者の利用者情報にアクセスするために必要なアクセストークンは、該利用者が該利用者情報を送付先として指定した事業者に特定するための情報であるが、該事業者自身が有する装置識別子を用いてアクセス管理を行うため、万が一該事業者以外の第2の事業者に対してアクセストークンが漏洩しても、該第2の事業者は、該利用者の利用者情報にアクセスできないからである。
【0114】
<第3の効果>
利用者のプライバシーが保護されることにある。
(理由)アクセストークンには、利用者本人を特定可能な情報が含まれておらず、また、一時的な情報であるからである。
【0115】
<第4の効果>
情報管理装置と情報活用装置の間に信頼関係がなくても、利用者情報が活用できることにある。
(理由)情報管理装置と情報活用装置との間に互いの信頼関係がない場合においても、該利用者情報を提供すべき情報活用装置の情報(識別子)を利用者本人の要求に応じて情報管理装置に与えることで、利用者情報の送付先を安全に管理できるからである。また、情報管理装置が管理する利用者情報の情報活用装置による活用を該利用者本人が自己の責任において許可できるからである。
【0116】
<第5の効果>
利用者情報の活用が容易に行えることにある。
(理由)利用者情報の活用のために、シングルサインオンのような情報活用装置における事前のID登録が必要ないからである。また、情報管理装置と情報活用装置の間で事前のID連携を前提としないからである。
【0117】
なお、前述の実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図24に示すように、一般的なコンピュータであり、具体的には前述の実施の形態による処理以外にも多くの処理を高速に実行することができるサーバとなりうるようなコンピュータである。認証モジュール111、利用者情報発行モジュール112、アクセストークン発行モジュール114、アクセストークン検証モジュール115、利用者情報要求モジュール121、サービス提供モジュール122、利用者情報活用モジュール123、利用者情報要求モジュール132、クレデンシャル送付モジュール134等のプログラムを実行するCPU2410と、そのプログラムやデータを記憶するRAM2430と、本コンピュータを起動するためのプログラム等が格納されているROM2420と、補助記憶装置であるHD2440と、キーボード、マウス等から操作者の操作によってデータを入力又はCRTや液晶ディスプレイ等にデータを出力して操作者とのインタフェースとなるUI/F2450と、CD−R等のリムーバブルメディアに対して読み書きするリムーバブルメディアリーダーライター2460と、通信ネットワークと接続するための通信回線I/F2470、そして、それらをつないでデータのやりとりをするためのバス2480により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
【0118】
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray Disc(登録商標))、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM)、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させることが可能である。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組合せ等の伝送媒体を用いて伝送することが可能であり、また、搬送波に乗せて搬送することも可能である。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。
【図面の簡単な説明】
【0119】
【図1】本発明の実施の形態を実現するシステム構成例を示す説明図である。
【図2】本発明の実施の形態による処理例の概略を示す説明図である。
【図3】第1の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図4】利用者情報テーブルのデータ構造例を示す説明図である。
【図5】第1の実施の形態のアクセストークン発行モジュールによるアクセストークンの発行処理例を示す説明図である。
【図6】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図7】第1の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。
【図8】第1の実施の形態の情報活用装置内のモジュール構成例を示す図である。
【図9】第1の実施の形態の端末装置内のモジュール構成例を示す図である。
【図10】第1の実施の形態による利用者登録の処理例を示す説明図である。
【図11】第1の実施の形態による商品発送先情報の送信処理例を示す説明図である。
【図12】第1の実施の形態による処理例を示すフローチャートである。
【図13】第2の実施の形態のアクセストークン発行モジュールによるアクセストークンの発行処理例を示す説明図である。
【図14】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図15】第2の実施の形態によるアクセストークンの検証処理例を示すフローチャートである。
【図16】第2の実施の形態の端末装置内のモジュール構成例を示す図である。
【図17】第2の実施の形態による利用者情報の送信処理例を示す説明図である。
【図18】第3の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図19】第3の実施の形態の情報活用装置内のモジュール構成例を示す図である。
【図20】第4の実施の形態の情報管理装置内のモジュール構成例を示す図である。
【図21】アクセストークン関連情報テーブルのデータ構造例を示す説明図である。
【図22】第4の実施の形態による利用者Bに対して利用者Aの利用者情報の送信処理例を示す説明図である。
【図23】第6の実施の形態を実現するシステム構成例を示す説明図である。
【図24】本発明の実施の形態を実現するコンピュータのハードウェア構成例を示すブロック図である。
【図25】従来技術において、サイトへ利用者情報を登録する処理例を示す説明図である。
【図26】従来技術において、Liberty ID−WSFの処理例を示す説明図である。
【図27】従来技術において、SSO(シングルサインオン)を基礎にした属性情報の交換の処理例を示す説明図である。
【図28】従来技術において、仮登録を行った後に、本登録を行う処理例を示す説明図である。
【符号の説明】
【0120】
110…情報管理装置
111…認証モジュール
112…利用者情報発行モジュール
113…利用者情報格納モジュール
114…アクセストークン発行モジュール
115…アクセストークン検証モジュール
116…アクセストークン情報格納モジュール
117…情報活用装置情報格納モジュール
120…情報活用装置
121…利用者情報要求モジュール
122…サービス提供モジュール
123…利用者情報活用モジュール
130…端末装置
131…入力モジュール
132…利用者情報要求モジュール
133…出力モジュール
134…クレデンシャル送付モジュール
139…利用者
140…通信ネットワーク
210…加入者管理装置
221、222…ポータルサイト
230…端末装置
239…利用者
1610…ポータルサイト
1630…端末装置
1631…入力モジュール
1632…利用者情報要求モジュール
1633…出力モジュール
1634…クレデンシャル送付モジュール
1635…端末装置情報送付モジュール
1810…情報管理装置
1811…認証モジュール
1812…利用者情報発行モジュール
1813…利用者情報格納モジュール
1814…アクセストークン発行モジュール
1815…アクセストークン検証モジュール
1816…アクセストークン情報格納モジュール
1817…情報活用装置情報格納モジュール
1818…利用者情報暗号化モジュール
1910…情報活用装置
1911…利用者情報要求モジュール
1912…サービス提供モジュール
1913…利用者情報活用モジュール
1914…利用者情報復号モジュール
2010…情報管理装置
2011…認証モジュール
2012…利用者情報発行モジュール
2013…利用者情報格納モジュール
2014…アクセストークン発行モジュール
2015…アクセストークン検証モジュール
2016…アクセストークン情報格納モジュール
2017…情報活用装置情報格納モジュール
2018…情報共有者確認モジュール
2310…情報管理装置
2311…情報管理装置用プログラム
2320…情報活用装置
2321…情報活用装置用プログラム
2330…端末装置
2331…端末装置用プログラム
2339…利用者
2340…通信ネットワーク
【特許請求の範囲】
【請求項1】
利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、
を具備することを特徴とする情報管理装置。
【請求項2】
前記取得手段は、
前記端末装置に対する前記利用者の操作に基づいて、前記アクセスコードを該端末装置から取得し、
前記第2の連結手段は、
前記端末装置から取得されたアクセスコードを用いる
ことを特徴とする請求項1に記載の情報管理装置。
【請求項3】
前記取得手段は、
前記利用者が指定した他の利用者の端末装置から前記アクセスコードを取得し、
前記第2の連結手段は、
前記他の利用者の端末装置から取得されたアクセスコードを用いる
ことを特徴とする請求項1に記載の情報管理装置。
【請求項4】
前記記憶手段は、
前記第1の連結手段により連結されたアクセスコードを前記アクセストークンに対応付けてさらに記憶し、
前記取得手段は、
前記アクセストークン受信手段によって受信されたアクセストークンに対応付けられた前記アクセスコードを前記記憶手段から取得し、
前記第2の連結手段は、
前記記憶手段から取得されたアクセスコードに前記乱数及び前記情報活用装置識別子を連結する
ことを特徴とする請求項1に記載の情報管理装置。
【請求項5】
前記端末装置に対する前記利用者の操作に基づいて、利用者を特定する利用者識別子と情報活用装置識別子を該端末装置から取得する利用者識別子取得手段
をさらに具備し、
前記記憶手段は、さらに前記利用者識別子取得手段によって取得された前記利用者識別子を記憶する
ことを特徴とする請求項1〜4の何れか一項に記載の情報管理装置。
【請求項6】
前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記利用者情報を前記情報活用装置に送信する利用者情報送信手段
を具備することを特徴とする請求項1〜5の何れか一項に記載の情報管理装置。
【請求項7】
前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される利用者が利用している前記端末装置と通信することにより、前記情報活用装置への利用者情報の送信の許可を得る送信許可取得手段
をさらに具備し、
前記利用者情報送信手段は、
前記判断手段によって前記アクセス要求が正規なものと判断され、さらに前記送信許可取得手段によって前記利用者情報の送信の許可が得られた場合に、前記利用者情報を前記情報活用装置に送信する
ことを特徴とする請求項6に記載の情報管理装置。
【請求項8】
前記送信許可取得手段は、
前記端末装置に対して利用者識別子の送信を要求して、当該要求により得られた利用者識別子と、前記受信したアクセストークンに対応付けられた利用者識別子とが一致する場合に、前記情報活用装置への利用者情報の送信の許可が得られたと判定する
ことを特徴とする請求項7に記載の情報管理装置。
【請求項9】
前記第1の連結手段は、乱数と識別子情報を連結し、
前記記憶手段は、さらに前記第1のハッシュ値算出手段のハッシュ関数の入力とした識別子情報を前記アクセストークンに対応付けて記憶し、
前記第2の連結手段は、
前記受信したアクセストークンに対応付けられた識別子情報を前記記憶手段から取得して前記乱数に連結する
ことを特徴とする請求項1〜8の何れか一項に記載の情報管理装置。
【請求項10】
前記利用者情報を暗号化する暗号化手段
をさらに具備し、
前記利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信する
ことを特徴とする請求項6〜8の何れか一項に記載の情報管理装置。
【請求項11】
端末装置の利用者に関する情報である利用者情報を管理する情報管理装置と、当該利用者情報を活用する情報活用装置とが通信可能に接続された情報処理システムであって、
前記情報管理装置は、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、
を具備し、前記情報活用装置は、
アクセストークンを受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信するアクセストークン送信手段と、
前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する受信手段と、
を具備することを特徴とする情報処理システム。
【請求項12】
前記情報管理装置は、
前記利用者情報を暗号化する暗号化手段
をさらに具備し、
前記情報管理装置の利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信し、
前記情報活用装置は、
前記受信手段によって受信された暗号化された前記利用者情報を復号する復号手段
をさらに具備することを特徴とする請求項11に記載の情報処理システム。
【請求項13】
利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置が行う情報管理方法であって、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信ステップと、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結ステップと、
前記第1の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出ステップと、
前記第1のハッシュ値算出ステップにおいて算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行ステップと、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出ステップで処理の対象となった乱数とを対応付けて記憶手段に記憶する記憶ステップと、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信ステップと、
前記アクセストークン受信ステップにおいて受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得ステップと、
前記取得ステップにおいて取得された乱数及びアクセストークンに前記受信した情報活用装置識別子を連結する第2の連結ステップと、
前記第2の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出ステップと、
前記アクセストークン受信ステップにおいて受信されたアクセストークンと前記第2のハッシュ値算出ステップにおいて算出されたハッシュ値とを照合して一致する場合は、前記記憶ステップにおいて該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断ステップと、
を有することを特徴とする情報管理方法。
【請求項14】
利用者が利用する端末装置と、該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能な情報管理装置を、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段
として機能させることを特徴とする情報管理プログラム。
【請求項1】
利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置であって、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、
を具備することを特徴とする情報管理装置。
【請求項2】
前記取得手段は、
前記端末装置に対する前記利用者の操作に基づいて、前記アクセスコードを該端末装置から取得し、
前記第2の連結手段は、
前記端末装置から取得されたアクセスコードを用いる
ことを特徴とする請求項1に記載の情報管理装置。
【請求項3】
前記取得手段は、
前記利用者が指定した他の利用者の端末装置から前記アクセスコードを取得し、
前記第2の連結手段は、
前記他の利用者の端末装置から取得されたアクセスコードを用いる
ことを特徴とする請求項1に記載の情報管理装置。
【請求項4】
前記記憶手段は、
前記第1の連結手段により連結されたアクセスコードを前記アクセストークンに対応付けてさらに記憶し、
前記取得手段は、
前記アクセストークン受信手段によって受信されたアクセストークンに対応付けられた前記アクセスコードを前記記憶手段から取得し、
前記第2の連結手段は、
前記記憶手段から取得されたアクセスコードに前記乱数及び前記情報活用装置識別子を連結する
ことを特徴とする請求項1に記載の情報管理装置。
【請求項5】
前記端末装置に対する前記利用者の操作に基づいて、利用者を特定する利用者識別子と情報活用装置識別子を該端末装置から取得する利用者識別子取得手段
をさらに具備し、
前記記憶手段は、さらに前記利用者識別子取得手段によって取得された前記利用者識別子を記憶する
ことを特徴とする請求項1〜4の何れか一項に記載の情報管理装置。
【請求項6】
前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記利用者情報を前記情報活用装置に送信する利用者情報送信手段
を具備することを特徴とする請求項1〜5の何れか一項に記載の情報管理装置。
【請求項7】
前記判断手段によって前記アクセス要求が正規なものと判断された場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される利用者が利用している前記端末装置と通信することにより、前記情報活用装置への利用者情報の送信の許可を得る送信許可取得手段
をさらに具備し、
前記利用者情報送信手段は、
前記判断手段によって前記アクセス要求が正規なものと判断され、さらに前記送信許可取得手段によって前記利用者情報の送信の許可が得られた場合に、前記利用者情報を前記情報活用装置に送信する
ことを特徴とする請求項6に記載の情報管理装置。
【請求項8】
前記送信許可取得手段は、
前記端末装置に対して利用者識別子の送信を要求して、当該要求により得られた利用者識別子と、前記受信したアクセストークンに対応付けられた利用者識別子とが一致する場合に、前記情報活用装置への利用者情報の送信の許可が得られたと判定する
ことを特徴とする請求項7に記載の情報管理装置。
【請求項9】
前記第1の連結手段は、乱数と識別子情報を連結し、
前記記憶手段は、さらに前記第1のハッシュ値算出手段のハッシュ関数の入力とした識別子情報を前記アクセストークンに対応付けて記憶し、
前記第2の連結手段は、
前記受信したアクセストークンに対応付けられた識別子情報を前記記憶手段から取得して前記乱数に連結する
ことを特徴とする請求項1〜8の何れか一項に記載の情報管理装置。
【請求項10】
前記利用者情報を暗号化する暗号化手段
をさらに具備し、
前記利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信する
ことを特徴とする請求項6〜8の何れか一項に記載の情報管理装置。
【請求項11】
端末装置の利用者に関する情報である利用者情報を管理する情報管理装置と、当該利用者情報を活用する情報活用装置とが通信可能に接続された情報処理システムであって、
前記情報管理装置は、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段と、
を具備し、前記情報活用装置は、
アクセストークンを受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと、自装置を特定する情報活用装置識別子とを前記情報管理装置に送信するアクセストークン送信手段と、
前記アクセストークンに対応して前記情報管理装置から送信される前記利用者の利用者情報を受信する受信手段と、
を具備することを特徴とする情報処理システム。
【請求項12】
前記情報管理装置は、
前記利用者情報を暗号化する暗号化手段
をさらに具備し、
前記情報管理装置の利用者情報送信手段は、前記暗号化手段によって暗号化された前記利用者情報を送信し、
前記情報活用装置は、
前記受信手段によって受信された暗号化された前記利用者情報を復号する復号手段
をさらに具備することを特徴とする請求項11に記載の情報処理システム。
【請求項13】
利用者が利用する端末装置と該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能であって、該利用者情報を管理する情報管理装置が行う情報管理方法であって、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信ステップと、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結ステップと、
前記第1の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出ステップと、
前記第1のハッシュ値算出ステップにおいて算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行ステップと、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出ステップで処理の対象となった乱数とを対応付けて記憶手段に記憶する記憶ステップと、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信ステップと、
前記アクセストークン受信ステップにおいて受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得ステップと、
前記取得ステップにおいて取得された乱数及びアクセストークンに前記受信した情報活用装置識別子を連結する第2の連結ステップと、
前記第2の連結ステップにおいて連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出ステップと、
前記アクセストークン受信ステップにおいて受信されたアクセストークンと前記第2のハッシュ値算出ステップにおいて算出されたハッシュ値とを照合して一致する場合は、前記記憶ステップにおいて該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断ステップと、
を有することを特徴とする情報管理方法。
【請求項14】
利用者が利用する端末装置と、該利用者に関する情報である利用者情報を活用する情報活用装置と通信可能な情報管理装置を、
前記利用者情報に対する前記情報活用装置からのアクセスの許可要求を前記端末装置から受信する許可要求受信手段と、
前記許可要求に対応したアクセスコードに前記情報活用装置を特定する情報活用装置識別子と乱数とを連結する第1の連結手段と、
前記第1の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第1のハッシュ値算出手段と、
前記第1のハッシュ値算出手段によって算出されたハッシュ値を前記利用者情報にアクセスするためのアクセストークンとして発行するアクセストークン発行手段と、
前記アクセストークンと、前記利用者を特定する利用者識別子と、前記第1のハッシュ値算出手段で処理の対象となった乱数とを対応付けて記憶する記憶手段と、
前記アクセストークンと、前記情報活用装置の情報活用装置識別子とを該情報活用装置から受信するアクセストークン受信手段と、
前記アクセストークン受信手段によって受信されたアクセストークンに基づいて、前記アクセスコードと前記記憶手段に記憶された乱数とを取得する取得手段と、
前記取得手段により取得された乱数及びアクセスコードに前記受信した情報活用装置識別子を連結する第2の連結手段と、
前記第2の連結手段によって連結された符号からハッシュ関数によってハッシュ値を算出する第2のハッシュ値算出手段と、
前記アクセストークン受信手段によって受信されたアクセストークンと前記第2のハッシュ値算出手段によって算出されたハッシュ値とを照合して一致する場合は、前記記憶手段において該アクセストークンに対応付けられた利用者識別子で示される前記利用者の利用者情報へのアクセス要求を正規なものであると判断する判断手段
として機能させることを特徴とする情報管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【公開番号】特開2010−113462(P2010−113462A)
【公開日】平成22年5月20日(2010.5.20)
【国際特許分類】
【出願番号】特願2008−284372(P2008−284372)
【出願日】平成20年11月5日(2008.11.5)
【出願人】(500257300)ヤフー株式会社 (1,128)
【出願人】(501440684)ソフトバンクモバイル株式会社 (654)
【Fターム(参考)】
【公開日】平成22年5月20日(2010.5.20)
【国際特許分類】
【出願日】平成20年11月5日(2008.11.5)
【出願人】(500257300)ヤフー株式会社 (1,128)
【出願人】(501440684)ソフトバンクモバイル株式会社 (654)
【Fターム(参考)】
[ Back to top ]