秘密情報送信方法
【課題】スパイウェア等が存在し得る環境下でも安全に秘密情報を送る。
【解決手段】サービス提供者装置が、ページ識別子等を含む情報をQRコードに変換し、QRコードを含むページを利用者装置に送信し、利用者装置が、QRコードを表示し、正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、QRコードを読み込み、元の情報を抽出し、秘密情報入力フォームを表示して秘密情報の入力を受け付け、秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報をサービス提供者装置に送信し、利用者装置が、秘密情報以外の情報の入力を受け付け、その情報とページ識別子とを含む次ページ要求をサービス提供者装置に送信し、サービス提供者装置が、ページ識別子に基づき、秘密情報とそれ以外の情報とを一体のものとして用いる。
【解決手段】サービス提供者装置が、ページ識別子等を含む情報をQRコードに変換し、QRコードを含むページを利用者装置に送信し、利用者装置が、QRコードを表示し、正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、QRコードを読み込み、元の情報を抽出し、秘密情報入力フォームを表示して秘密情報の入力を受け付け、秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報をサービス提供者装置に送信し、利用者装置が、秘密情報以外の情報の入力を受け付け、その情報とページ識別子とを含む次ページ要求をサービス提供者装置に送信し、サービス提供者装置が、ページ識別子に基づき、秘密情報とそれ以外の情報とを一体のものとして用いる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィッシャーやスパイウェアが存在し得るネットワーク環境下において安全に秘密情報を送受信することを可能とする技術に関するものである。
【背景技術】
【0002】
最近、フィッシング(Phishing)と呼ばれるWebサイトの成りすましによる詐欺やスパイウェアによる利用者の秘密情報の不正取得が流行し始めている。
【0003】
フィッシングに対する対策として現在のところ様々なものが提案されている。それらの方法として、Webページの挙動のパターン(Java scriptコード)やそれを呼び出すURLの内容から疑わしいサイトを検出したり、利用者PCとセンタ側のサーバとに認証処理を行うモジュールを組み込み、互いに認証を行うことにより、真正なサイトであることを確認する方法などがある。
【0004】
しかし、Webサイトの挙動パターンから不正を判定する方法は、基本的に後追いであり、全ての不正を防止することはできない。また、スパイウェアを利用者のPCに巧妙に埋め込み、それと連携したフィッシングも出てきている。スパイウェアによっては、PC内にあるドメインネームとIPアドレスの対応表のキャッシュを書き換えることができ、その場合は利用者が正しいURLを指定してもフィッシャーのサイトに誘導されてしまう(例えば非特許文献1参照)。
【0005】
また、フィッシング対策製品を利用者PCにインストールしたとしても、スパイウェアがそれらを改竄または入れ替えてしまうことは可能であり、そうすればいくらでも利用者をだますことができる。
【0006】
SSLを用いれば、Webサイトの真正性が確認できると言われているが、SSLでの確認はブラウザにあらかじめ登録された「信頼された証明機関」の証明書を基点に行うものである。スパイウェアは、偽の「信頼された証明機関」の証明書を追加したり、入替えたりすることが可能であり、スパイウェアを前提とすればSSLによりフィッシングを防止することはできない。
【0007】
さらにスパイウェアのなかにはキーロガーと呼ばれるものがあり、それによればキーボードにより打鍵したデータは、そのまま不正者の元に送信されてしまう(非特許文献1参照)。即ち、フィッシングの有無にかかわらず、キーロガーが存在すれば情報は盗まれてしまう。
【0008】
スパイウェア対策としては、スパイウェアのコードパターンや挙動によりその検出を行うという対策が取られているが、これもスパイウェアが現れ、それを分析して初めて対応できるという後追いの対策であり、防御として手遅れ、または不正の検出が不可となる場合もあり、不十分である。
【非特許文献1】日経コンピュータ2005年4.18号 pp53-59「フィッシング 心理を逆手に取る手法が登場 プロが気付かない手口も」
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述したとおり、スパイウェアの存在やフィッシャーサイトへの接続の可能性を完全に消し去ることのできない現状に鑑み、本発明は、フィッシャーやスパイウェアが存在し得るネットワーク環境下でも、利用者が入力した秘密情報を不正な第三者に漏れないようにしてサービス提供者に送信し、サービス提供者がその情報を用いてサービスを提供することを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報をQRコードに変換し、当該QRコードを含むページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記QRコードを表示するステップと、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、前記QRコードを読み込み、当該QRコードの元の情報を抽出するステップと、外部装置が、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法により解決できる。
【0011】
また、上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報を有するページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報と秘密情報転送先アドレスを利用者装置に送信するステップと、利用者装置が、前記暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法によっても解決できる。
【0012】
また、上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、秘密情報入力フィールド定義情報を含む情報を有するページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報を含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を利用者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力及び次ページ要求指示を受け付け、前記暗号化情報と秘密情報以外の情報とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、次ページ要求に含まれる前記暗号化情報を解読して得られる秘密情報と秘密情報以外の情報とを用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法によっても解決できる。
【発明の効果】
【0013】
本発明によれば、フィッシャーやスパイウェアが存在し得るネットワーク環境下でも、利用者が入力した秘密情報を不正な第三者に漏れないようにしてサービス提供者に送信し、サービス提供者がその情報を用いてサービスを提供することが可能となる。
【0014】
また、本発明では、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する安全な外部機器を用いて秘密情報を暗号化して送信することとしたので、操作性が良く、多彩な処理が可能な利用者装置(PC)のメリットを活かしつつ、非常に重要な秘密情報は保護できるという効果がある。
【発明を実施するための最良の形態】
【0015】
以下、本発明の実施の形態として第1〜第3の実施の形態について説明する。本実施の形態では、利用者側でスパイウェアなどの不正なプログラムが存在する可能性のある利用者装置(Webブラウザが搭載されたパソコン(PC)等)と不正なプログラムが存在し得ないように構成された外部装置とを組合わせて使用することにより、利用者がサービス提供者へ秘密情報を安全に送るシステムを実現している。
【0016】
[外部装置の構成例]
まず、本発明の実施の形態で用いられる外部装置について説明する。この外部装置としては一般的な携帯電話機や携帯端末等と同様の構成のものを使用できるが、信用度の高い外部装置提供者によって提供される装置であることが好ましい。例えば、外部装置が携帯電話機であれば、外部装置提供者として携帯電話会社が考えられる。
【0017】
外部装置はCPU、メモリ、通信装置、プログラム等を含むコンピュータの構成を有しているが、特徴的な機能として、正当性が保証されたアプリケーションのみを搭載する機能を有している。
【0018】
図1を参照して本実施の形態における外部装置10の特徴的な機能を説明する。図1に示すように、この外部装置10は表示機能11、文字入力機能12、及び通信機能13を有する。通信機能11は、ネットワークに接続されたサーバと通信する機能や利用者装置と通信する機能等を持つ。
【0019】
また、外部装置10にはAP(アプリケーションプログラム)14と、AP(アプリケーションプログラム)14の登録と実行をコントロールするための機能を持つOS(オペレーティングシステム)15が含まれる。
【0020】
これらのAP14とOS15は、外部装置10の出荷時にセットで外部装置提供者により利用者に供給されるものである。また、この外部装置10におけるOS15の更改は、外部装置提供者の提供したファイルでのみ行われるよう、OS15自身によって制御される。即ち、OS15は外部装置提供者の意図に反して不正に改竄されることはない。
【0021】
また、外部装置10のハードウェアメモリ16上にはOS15のみが参照更新できる領域17(タンパーフリーな情報格納域)があり、AP14に付与された署名を検証する鍵(外部装置提供者の秘密の署名鍵に対応する公開鍵)と証明機関の署名を検証する公開鍵があらかじめ格納されている。つまり、外部装置提供者から外部装置10が出荷された時点でこれらの鍵がタンパーフリーな情報格納域17に格納されている。また、鍵の更新は、OS15による制御の下、外部装置提供者のサーバとの通信により行われ、外部装置提供者の意図に反して不正な鍵が登録されることはない。
【0022】
次に、外部装置10上のAP14の管理について説明する。
【0023】
OS15の機能により、この外部装置10には、外部装置提供者に信頼されるAP提供者によって作成されたAP14のみが搭載される。ここで「AP提供者が信頼される」の意味は、(a) そのAP提供者は決して不正なプログラムは作成しないと外部装置提供者が確信できる、 (b) そのAP提供者に十分な耐性を持ったプログラムの作成能力があり、バッファーオーバーフローやコマンドインジェクションを引き起こすような不正なデータを入力として与えても、それを検出し排除でき、異常な動作を起こさない品質のプログラムを作成するということについて外部装置提供者が確信できる、ということである。
外部装置10が、信頼されるAP提供者の提供したAP14のみを搭載するためのメカニズムを図1を参照して説明する。
AP供給者がAPを作成したら(ステップ1)、その安全性について外部装置提供者のチェックを受ける。外部装置提供者は、チェックOKであれば自身の持つ署名鍵により、そのプログラムに署名を付与する(ステップ2)。然る後、外部装置提供者はそのAPを利用者がダウンロードできるように所定のサーバに置く。
【0024】
外部装置10は、利用者の指示により、外部装置提供者のサーバからAPをダウンロードするが、その際、OS15はAPに付与された署名を自らが格納する検証鍵により検証し、検証OKの場合のみ、プログラムの登録を行い、実行可能の状態にする(ステップ3)。検証OKと言うことは、APが外部装置提供者から確かに改竄なしに届けられたプログラムであることを意味している。
【0025】
このように管理された外部装置10上には正しいAPしか存在しえなく、スパイウェアなどは活動できない。
【0026】
上記のような外部装置10を実現するための携帯電話機のOSとして、例えば英Symbian社が開発したSymbian OSv9がある。Symbian OSv9は、上述した署名付APのみ動作可能とする制御機能を持っている(参考文献:”Mobile Phones: The Next Frontier for Hackers?”, Neal Leavitt, IEEE Computer April 2005, pp20-23)。
【0027】
以下で説明する第1〜第3の実施の形態では、外部装置10としてアプリケーションを実行可能な携帯電話機を用いることを前提としている。
【0028】
(第1の実施の形態)
まず、本発明の第1の実施の形態について説明する。第1の実施の形態は、利用者装置と携帯電話機との間の通信が、利用者装置から携帯電話機への片方向のみ可能である場合の実施形態である。
【0029】
[システムの構成]
第1の実施の形態のシステムの全体構成を図2に示す。図2に示すとおり、本実施の形態のシステムは、信頼される証明機関により運営される証明機関装置20、利用者からの情報の入力を受けることにより所定のサービスを利用者に提供するサービス提供者装置30、サービス提供者装置30からのサービスを受ける利用者装置40(PC等)、及び利用者装置40とともに用いられる外部装置10(以下、携帯電話機10であるものとして説明を行う)を有している。
【0030】
証明機関装置20はサービス提供者の公開鍵証明書を発行する装置であり、公開鍵基盤(PKI)における認証局と同様の機能を持ち、自ら使用する署名鍵(秘密鍵:Kcs)と署名検証鍵(公開鍵:Kcp)を保持している。
【0031】
サービス提供者装置30はWebを用いてネットワーク上でサービスを提供する装置である。図3にサービス提供者装置30の機能構成例を示す。図3に示すとおり、サービス提供者装置30は、ネットワーク通信を行うための通信機能部31、Webページの作成やWebページの送受信を行うWeb機能部32、鍵生成、情報の暗号化や復号、署名に関する処理、QRコード生成、及びその他の処理を行う暗号化情報処理部33、秘密情報とその他の情報を用いてサービス提供に係る処理を実行するサービス処理部34、秘密鍵等の鍵を管理する鍵管理部35を有している。サービス提供者装置30は、CPU、記憶装置等を有するコンピュータであり、上記の各機能部はコンピュータのハードウェアとプログラムとが協働して実現されるものである。また、サービス提供者装置30はID(商号、サービス名、商標など)を記憶装置内に保有している。そのIDは、一般利用者がそれを以ってサービス提供者やサービス提供者が提供するサービスを同定できるものである。
【0032】
利用者装置10はPC等のコンピュータであり、Webブラウザを搭載している。また、携帯電話機10は、本実施の形態で説明する動作を実現するためのアプリケーションと公開の署名検証鍵(Kcp)をその記憶装置に予め保持している。本実施の形態の処理はこのアプリケーションにより実現されている。また、本実施の形態では、携帯電話機10と利用者装置40との間では、利用者装置40から携帯電話機10への片方向のみの通信が行えればよく、利用者装置40の画面上のWebページにQRコードを表示することにより、携帯電話機10が当該QRコードを読み取ることとしている。つまり、携帯電話機10は、QRコードを読み取り、それを解読する手段を備えている。
【0033】
以下、本実施の形態での利用者によるサービス利用時の動作の前提となる処理について説明する。なお、以下の処理には人の作業が含まれている。
【0034】
サービス提供者装置30は、まず自らの公開鍵(Ksp)と秘密鍵(Kss)のペアを生成し、自らのIDと公開鍵(Ksp)を証明機関装置20に送り、公開鍵証明書の発行を依頼する。その際、そのIDが自らのものであることを証明機関に示す。
【0035】
証明機関は、そのIDが確かに公知であり、サービス提供者のものであることを認定できる場合に、サービス提供者(およびその名称などの属性)とIDと申請された公開鍵を対応付けて認証機関装置20のデータベースに登録し、さらに、IDと公開鍵情報とサービス提供者名とを含んだ情報を作成し、それに自らの秘密鍵(Kcs)で署名を付して、公開鍵証明書(Cert(Ksp, ID))を作成する。それを安全な方法で申請者に送付する。なお、公開鍵証明書は、サービス提供者のID、サービス提供者の公開鍵(Ksp)、証明書有効期限、証明機関とその公開鍵の識別子、を必須情報として含む。
【0036】
本実施の形態では、公開鍵証明書の情報を利用者装置40の画面上に表示されるQRコードに含ませることになるが、QRコードの情報容量に制限があることから、公開鍵証明書はできるだけ情報量を少なくするよう構成することが好ましい。
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0037】
(1−1)最初に、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図4を参照して説明する。
【0038】
利用者がサービス提供者のサービス(例えばオンラインショッピングでの商品購入)を利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ11)。
【0039】
ページ要求を受信したサービス提供装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い情報(秘密情報と呼ぶ)の入力を利用者の携帯電話機10で行うことができるよう、以下の情報A〜情報EをQRコード(Quick Response code)に変換し(ステップ12)、要求されたページに貼り付けて利用者装置40に送信する(ステップ13)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報D:携帯電話機からの情報転送先アドレス
・情報E:上記情報A〜Dについてのサービス提供者の署名
上記の情報C(ページ識別子)は、サービス提供者装置30が送ったページをユニークに識別するためのもので、同じページ内容でもページを送る度に異なる。また、情報D(携帯電話機からの情報転送先アドレス)は、サービス提供者装置30が携帯電話機10から暗号化された秘密情報を受け取るためのアドレスである。
【0040】
なお、ステップ13において利用者装置40に送られるページには、利用者が入力する情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の通知が含まれている。
【0041】
(1−2)次に、利用者側の処理を図4及び図5を参照して説明する。
【0042】
上記の処理の結果、利用者装置40のブラウザ画面にはQRコードが表示されている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、利用者は外部装置である携帯電話機10上で上記アプリケーションを起動し、携帯電話機10にQRコードを読み込む(ステップ14)。
【0043】
携帯電話機10は読み込んだQRコードから情報A〜Eを取り出す(ステップ15)。そして、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて情報B(公開鍵証明書Cert(Ksp, ID))の正しさを検証し(ステップ16)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、C、Dが確かにサービス提供者からの情報であることを確認する(ステップ17)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0044】
続いて携帯電話機10は、その画面上に、情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(ステップ18)。その際、IDの正当な持主にのみ復号できるように入力情報を暗号化する旨を表示する。
【0045】
利用者は、IDが適切であることを確認した場合に、携帯電話機10の画面に表示されている入力フォームに秘密情報を入力し、送信を指示する(図5のステップ19)。ここでは、入力フォームとともに画面上に表示される送信OKボタンをクリックすることにより送信を指示するものとする。
【0046】
送信OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせて、セション鍵Ksで暗号化する(ステップ20)。以下、秘密情報とページ識別子(情報C)とTrIDとをセション鍵Ksで暗号化した情報を暗号化情報Fとする。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報を作成する(ステップ21)。以下、これを暗号化情報Gとする。
【0047】
携帯電話機10は、TrIDとKsとサービス提供者のIDとを対応付けて一時的に記憶装置に保管する(ステップ22)。しかる後、情報FとGを情報D(携帯電話機10からの情報転送先アドレス)に従って送信する(ステップ23)。
【0048】
(1−3)次に、情報FとGを受け取ったサービス提供者装置30の処理について図6を参照して説明する。
【0049】
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、セション鍵Ksで情報Fを復号し、入力された秘密情報とページ識別子(情報C)とTrIDを得る(ステップ24)。そして、秘密情報、TrID、Ksをページ識別子をキーにして一時保管する(ステップ25)。しかる後、秘密情報の受信確認(情報受け取りメッセージ)を携帯電話機10に送信する(ステップ26)。
【0050】
(1−4)次に、受信確認を受け取った利用者側の処理を説明する。
【0051】
受信確認を受け取った携帯電話機10は、受け取りメッセージを画面に表示することにより情報送信完了を利用者に通知する(ステップ27)。続いて、利用者は携帯電話機10に入力した秘密情報以外の情報を利用者装置40のブラウザ画面(Webページ)上で入力し、当該ページに表示されている次ページ要求ボタンをクリックする(ステップ28)。これにより次ページ要求がサービス提供者装置30に送信される(ステップ29)。
【0052】
この次ページ要求には、利用者の入力した情報の他に、当該ページの識別子(情報C)が含まれる。つまり、ステップ11で送信されたページは、次ページ要求に当該ページの識別子が含まれるように作成されている。
【0053】
(1−5)次に、次ページ要求を受け取ったサービス提供者装置30の処理を図7を参照して説明する。
【0054】
サービス提供者装置30は、次ページ要求に含まれるページ識別子により、ステップ25で保管した情報を検索し、秘密情報とTrIDとセション鍵Ksを得る(ステップ30)。これで、サービス提供者装置30は、秘密情報とそれ以外の情報とを一体としてサービス提供に必要な処理(例えば料金支払い処理)を行うことが可能となる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0055】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。その際、画面表示しない情報(上記秘密情報等)を決定し、その情報とTrIDとを合せたものをKsで暗号化する(ステップ31)。これを暗号化情報Hとする。そして、暗号化情報Hと暗号化してないTrIDとを合せてQRコード化して次ページの画面に貼り付ける(ステップ32)。そして、次ページを利用者装置40へ送信する(ステップ33)。
【0056】
(1−6)続いて、次ページを受信した利用者側の処理を説明する。
【0057】
利用者装置40は次ページをサービス提供者装置30から受信したことにより、QRコードを含む次ページを表示している。利用者はQRコードに盛り込まれた情報を見るために携帯電話機10にQRコードを読み込ませる(ステップ34)。携帯電話機10はQRコードからTrIDを取得し、TrIDを用いて、保管していたセション鍵Ksを取り出し、暗号化された情報を復号し、復号した情報の中のTrIDが上記のQRコードから取得したTrIDと一致するか否かを検証する(ステップ35)。一致することが確認できれば、秘密情報は確かにサービス提供者装置30まで届き、サービス提供者装置30から送られたQRコードは、途中で摺り変えられていないことが確認できる。そして、携帯電話機10の画面上にサービス提供者装置30からQRコードに含められて送られてきた秘密情報を、TrIDと対応付けて保管しておいたサービス提供者のIDとともに表示して利用者が確認できるようにし、一連の処理を終了する(ステップ36)。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0058】
[利用例]
本実施の形態で説明した秘密情報送信方法は、例えばオンラインでの銀行振り込みに適用できる。この場合に、ステップ13の後に利用者装置40に表示される画面例を図8に示す。
【0059】
図8に示すように、振込の際に投入するデータは多くあり、これらを全て携帯電話機10で投入するのは煩雑であるので、詐取、改竄されては困る振込み先口座番号、振込み金額、振込みパスワードのみを携帯電話機10からの入力の対象としている。銀行側(サービス提供者装置30)はこのWebページで入力されたデータと、携帯電話機10から暗号化され送られてきたデータとを合わせて、利用者からの要求を処理する。
【0060】
このような構成としたことにより、たとえ利用者装置40にスパイウェアが存在し、入力したデータがフィッシャーによってリアルタイムに詐取、改竄されている場合であっても、詐取、改竄されては困る情報(振込み先口座番号、振込み金額、振込みパスワード)を、フィッシャーが介在し得ない携帯電話機10から送信することにより、詐取による損害を防止できる。
【0061】
また、第1の実施の形態によれば、携帯電話機10と利用者装置40との通信は、利用者装置40のWebページに貼り付けられたQRコードを携帯電話機10が読み込むという方法で行われるので、利用者装置40上に特別なプログラムをダウンロードしてインプリメントする必要が無く、利用者の負担が軽い。また、QRコードの読み込み可能な携帯電話機が普及しており、それらのユーザは、特別なハードを購入しなくても、本実施の形態の秘密情報送信方法を利用することができる。
【0062】
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。第2の実施の形態では、利用者が入力すべき秘密情報の定義情報等が利用者装置40のブラウザから携帯電話機10へ送信され、携帯電話機10は、入力された秘密情報を暗号化して利用者装置40に送り返し、利用者装置40が暗号化秘密情報をサービス提供者装置30へ転送する。
【0063】
[システムの構成]
第2の実施の形態のシステム構成は以下の点を除いて第1の実施の形態と同一である。
【0064】
第2の実施の形態では利用者装置40と携帯電話機10との間で双方向通信を行うための手段が利用者装置40と携帯電話機10のそれぞれに備えられている。双方向通信を行うための方法としては、例えば、USBケーブルで利用者装置40と携帯電話機10とを接続して通信を行う方法、携帯電話機10にFelicaカードを搭載し、Felicaカードのリードライトインタフェースで通信する方法などがある。
【0065】
上記の通信を用いて利用者装置40(ブラウザ)と携帯電話機10(アプリケーション)が情報をやり取りするために、利用者装置40側に予めブラウザのプラグインモジュールを含むソフトウェアをインストールしておく。このソフトウェアをクライアントモジュールと称することにする。なお、クライアントモジュールは証明機関などの信頼性の高い第三者機関からダウンロードするなどして取得できるようにすることが好ましい。
【0066】
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0067】
(2−1)まず、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図9を参照して説明する。
【0068】
利用者がサービス提供者のサービスを利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ41)。
【0069】
ページ要求を受信したサービス提供者装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い秘密情報の入力は利用者の携帯電話機10で行うことができるよう、第1の実施の形態と同様の以下の情報A〜情報Eをクライアントモジュールに渡せる様に編集してページに盛り込み(ステップ42)、利用者装置40に送信する(ステップ43)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報D:情報転送先アドレス
・情報E:上記情報A〜Dについてのサービス提供者の署名
なお、第2の実施の形態における情報Dは、サービス提供者装置30が利用者装置40(クライアントモジュール)からの暗号化された秘密情報を受け取るためのアドレスである。また、利用者装置40に送信されるページには入力情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の説明が記載されている。
【0070】
(2−2)次に、利用者側の処理を図9〜図11を参照して説明する。
【0071】
上記2−1の処理の結果、利用者装置40のブラウザ画面上には要求したページが表示されている。そのページには「携帯電話機で入力」を選択できるボタンが含まれている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、「携帯電話機で入力」ボタンをクリックする(ステップ44)。
すると利用者装置40のクライアントモジュールの一部であるブラウザのプラグインが呼び出され、上記の情報A〜Eがクライアントモジュールに渡される(ステップ45)。すなわち、情報A〜Eがクライアントモジュールに渡されるようにページが作成されている。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40上に表示し、利用者は携帯電話機10を操作し、通信を行う(ステップ46)。これにより携帯電話機10が情報A〜Eを取り込むことができる。その後の処理は以下の通り第1の実施の形態とほぼ同じように進められる。
【0072】
携帯電話機10は情報A〜Eを受信する。そして、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて公開鍵証明書Cert(Ksp, ID)の正しさを検証し(ステップ47)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、C、Dが確かにサービス提供者からの情報であることを確認する(ステップ48)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0073】
続いて携帯電話機10は、その画面上に情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(図10のステップ49)。その際、秘密情報をIDの正当な持主にのみ復号できるように暗号化する旨表示する。利用者は、IDが適切な場合に、入力フォームに秘密情報を入力し、画面上に設けられている入力OKボタンをクリックする(ステップ50)。
【0074】
入力OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと、送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせてセション鍵Ksで暗号化した暗号化情報Fを作成する(ステップ51)。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報である暗号化情報Gを作成する(ステップ52)。
【0075】
次に、携帯電話機10は、TrIDとKsとサービス提供者IDとを対応付けて一時的に記憶装置に保管する(ステップ53)。しかる後、携帯電話機10は、利用者に対して暗号化された情報を利用者装置40に転送することを促すメッセージを画面上に表示する。これに従い利用者が転送操作を行うと(図11のステップ54)、情報FとGが情報転送先アドレス(情報D)とともに利用者装置40上にあるクライアントモジュールに送信される(ステップ55)。そして、クライアントモジュールによって、利用者装置40は情報FとGを情報転送先アドレス(情報D)に従ってサービス提供者装置に送信する(ステップ56)。
【0076】
(2−3)次に、情報FとGを受け取ったサービス提供者装置30の処理について説明する。
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、Ksで情報Fを復号し、入力された秘密情報とページ識別子(情報C)とTrIDを得る(ステップ57)。そして、秘密情報、TrID、Ksをページ識別子をキーにして記憶装置に一時保管する(ステップ58)。しかる後、秘密情報の受信確認を利用者端末上のクライアントモジュールへ返信する(ステップ59)。
【0077】
(2−4)次に、受信確認を受け取った利用者側の処理を図12を参照して説明する。
【0078】
受信確認を受け取った利用者装置40上のクライアントモジュールは、メッセージを画面に表示することにより秘密情報送信完了を利用者に通知する(ステップ60)。続いて、利用者は携帯電話機10に入力した秘密情報以外の情報を利用者装置40のブラウザ画面上で入力し、当該画面に表示されている次ページ要求ボタンをクリックする(ステップ61)。第1の実施の形態と同様に、この次ページ要求には、利用者の入力した情報の他に、当該ページの識別子(情報C)が含まれる。この次ページ要求はサービス提供者装置30に送信される(ステップ62)。
【0079】
(2−5)次に、次ページ要求を受け取ったサービス提供者装置30の処理を説明する。
【0080】
サービス提供者装置30は、次ページ要求に含まれるページ識別子により、ステップ58で保管した情報を検索し、秘密情報とTrIDとセション鍵Ksを得る(ステップ63)。これで、必要な情報が揃ったので、第1の実施の形態と同様に、秘密情報とそれ以外の情報を一体として用いたサービスのための処理を実行できる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0081】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。その際、画面表示しない情報(利用者が入力した秘密情報等)を決定し、その情報とTrIDとを合せたものをKsで暗号化した暗号化情報Hを作成する(ステップ64)。そして、暗号化情報Hと暗号化してないTrIDとを合せてクライアントモジュールに渡せる様に編集してページに盛り込む(ステップ65)。そして、これを次ページとして利用者装置40へ送信する(ステップ66)。
【0082】
(2−6)続いて、次ページを受信した利用者側の処理を図12〜図13を参照して説明する。
【0083】
次ページのデータを受信したことにより、利用者装置40は次ページを表示している。そのページには携帯電話機10でのみ読める情報(秘密情報)があることが表示されており、「携帯電話機に表示」ボタンが配置されている。利用者が「携帯電話機に表示」ボタン(確認ボタン)をクリックすると(ステップ67)、クライアントモジュールのブラウザのプラグインが呼び出され、サービス提供者装置30から送られてきた情報HとTrIDがクライアントモジュールに渡される(ステップ68)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40の画面上に表示し、利用者はそれを見て携帯電話機10を操作し、通信を行う(ステップ69)。これにより携帯電話機10のアプリケーションが暗号化情報HとTrIDを取り込むことができる。
【0084】
携帯電話機10のアプリケーションはTrIDに基づき保管していたセション鍵Ksを取り出し、暗号化された情報Hを復号し、復号した情報の中のTrIDが上記のTrIDと一致するか否かを検証する(図13のステップ70)。一致することが確認できれば、秘密情報は確かにサービス提供者まで届き、暗号化情報Hは改竄も摺り変えられることもなしに送られて来たことを確認できる。そして、携帯電話機10の画面上にサービス提供者装置30から暗号化情報Hとして送られてきた秘密情報をサービス提供者IDとともに表示して利用者が確認できるようにし(ステップ71)、一連の処理を終了する。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0085】
なお、本実施の形態では、携帯電話機10内で秘密情報をサービス提供者のみが解読できるように暗号化するため、不正者によって利用者装置40のクライアントモジュールが改竄されたり入れ替えられたりしても、秘密情報の内容が不正者に渡る事はない。
【0086】
(第3の実施の形態)
次に、本発明の第3の実施の形態について説明する。第3の実施の形態は、第2の実施の形態と殆ど同じであるが、サービス提供者装置30へのデータ送信方法が異なる。第2の実施の形態では利用者装置40のクライアントモジュールが暗号化情報FとGをサービス提供者装置30に送信していたのに対し、第3の実施の形態では、クライアントモジュールが暗号化情報FとGをブラウザに渡し、ブラウザが次ページ要求時に合わせて当該情報をサービス提供者装置30に送信する。
【0087】
なお、第3の実施の形態のシステム構成は第2の実施の形態のシステム構成と同一である。ただし、上記のとおりクライアントモジュールの処理内容が異なる。
【0088】
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0089】
(3−1)まず、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図14を参照して説明する。
【0090】
利用者がサービス提供者のサービスを利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ81)。
【0091】
ページ要求を受信したサービス提供者装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い秘密情報の入力は利用者の携帯電話機10で行うことができるよう、下記の情報A〜C、Eをクライアントモジュールに渡せる様に編集してページに盛り込み(ステップ82)、利用者装置に送信する(ステップ83)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報E:上記情報A〜Cについてのサービス提供者の署名
第2の実施の形態と同様、利用者装置40に送信されるページには入力情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の説明が記載されている。また、当該ページには「携帯電話機で入力」を選択できるボタンが配置されている。
【0092】
なお、第1、第2の実施の形態の場合には、次ページ要求と暗号化された秘密情報とが別送されるために、情報間の対応を取るためのページ識別子が必要であったが、本実施の形態では、暗号化された秘密情報と、秘密情報以外の入力情報を含む次ページ要求とを一緒に送信するため、ページ識別子はなくてもよい。しかし、ページ識別子はreplayアタック防止に役立つため、本実施の形態ではクライアントモジュールに渡す情報として加えてある。なお、replayアタックとはパスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法である。
【0093】
(3−2)次に、利用者側の処理を図14〜図16を参照して説明する。
【0094】
上記の3−1の処理の結果、利用者装置40のブラウザ画面上にはページが表示されている。そのページには「携帯電話機で入力」を選択できるボタンが含まれている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、利用者は「携帯電話機で入力」ボタンをクリックする(ステップ84)。
その後、第2の実施の形態と同様に、クライアントモジュールの一部であるブラウザのプラグインが呼び出され、上記の情報A〜C、Eがクライアントモジュールに渡される(ステップ85)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40上に表示し、利用者は携帯電話機10を操作し、通信を行う(ステップ86)。これにより携帯電話機10が情報A〜C、Eを取り込むことができる。
【0095】
携帯電話機10は、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて公開鍵証明書Cert(Ksp, ID)の正しさを検証し(ステップ87)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、Cが確かにサービス提供者からの情報であることを確認する(ステップ88)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0096】
続いて携帯電話機10は、その画面上に情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(図15のステップ89)。その際、IDの正当な持主にのみ復号できるように暗号化する旨表示する。利用者は、IDが適切な場合に、入力フォームに秘密情報を入力し、画面上に設けられている入力OKボタンをクリックする(ステップ90)。
【0097】
入力OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせてセション鍵Ksで暗号化した暗号化情報Fを作成する(ステップ91)。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報である暗号化情報Gを作成する(ステップ92)。
【0098】
次に、携帯電話機10は、TrIDとKsとサービス提供者IDとを対応付けて一時的に記憶装置に保管する(ステップ93)。しかる後、携帯電話機10は、利用者に対して暗号化された情報を利用者装置40に転送することを促すメッセージを画面上に表示する(ステップ94)。これに従い利用者が転送操作を行うと、情報FとGが利用者装置上にあるクライアントモジュールに送信される(図16のステップ95)。
【0099】
携帯電話機10は「利用者装置に情報転送済」を画面上に表示する(ステップ96)。また、利用者装置40のクライアントモジュールは、利用者にブラウザの次ページ要求ボタンをクリックするよう促す表示を画面上に行い、ブラウザに暗号化情報F、Gを渡すべく暗号化情報F、Gを保持する(ステップ97)。
【0100】
続いて、利用者は、携帯で入力した秘密情報以外の秘密ではない情報を利用者装置40に表示されたWebページ上で入力し、Webページに含まれる次ページ要求ボタンをクリックする(ステップ98)。
【0101】
そうするとブラウザは、クライアントモジュールのうちのブラウザプラグインを呼び出し、ブラウザプラグインがクライアントモジュールで保持していた情報F、Gを、次ページ要求の中に送信情報として取り込み、制御をブラウザに渡す(ステップ99)。そしてブラウザは暗号化情報F、Gと秘密情報以外の情報を含んだ次ページ要求をサービス提供者装置30へ送信する(ステップ100)。
【0102】
(3−3)次に、情報FとGを含む次ページ要求受け取ったサービス提供者装置30の処理について説明する。
【0103】
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、Ksで情報Fを復号し、秘密情報とページ識別子(情報C)とTrIDを得る(ステップ101)。これで、サービス提供者装置30は、秘密情報と、次ページ要求に含まれる入力情報とを取得でき、第1、第2の実施の形態と同様に、秘密情報とそれ以外の情報を一体として用いたサービスのための処理を実行できる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0104】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。
その際、画面表示しない情報(利用者が入力した秘密情報等)を決定し、その情報をTrIDと合せてKsで暗号化した暗号化情報Hを作成する(図17のステップ102)。そして、暗号化情報Hと暗号化していないTrIDとを合せて、クライアントモジュールに渡せる様に編集して次ページに盛り込む(ステップ103)。そして、これを次ページとして利用者装置40へ送信する(ステップ104)。
【0105】
(3−4)続いて、次ページを受信した利用者側の処理を図17を参照して説明する。次ページのデータを受信したことにより、利用者装置40は次ページを表示している。そのページには携帯電話機10でのみ読める情報(秘密情報)があることを表示してあり、「携帯電話機に表示」ボタンが配置されている。利用者が「携帯電話機に表示」ボタン(確認ボタン)をクリックすると(ステップ105)、クライアントモジュールのブラウザのプラグインが呼び出され、サービス提供者装置30から送られてきた情報HとTrIDがクライアントモジュールに渡される(ステップ106)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40の画面上に表示し、利用者はそれを見て携帯電話機10を操作し、通信を行う(ステップ107)。これにより携帯電話機10が暗号化情報HとTrIDを取り込むことができる。
【0106】
携帯電話機10はTrIDに基づき、保管していたセション鍵Ksを取り出し、暗号化された情報Hを復号し、復号した情報の中のTrIDが上記のTrIDと一致するか否かを検証する(ステップ108)。一致することが確認できれば、秘密情報は確かにサービス提供者まで届いたことを確認できる。そして、携帯電話機10の画面上にサービス提供者装置から暗号化情報Hとして送られてきた秘密情報をサービス提供者IDとともに表示して利用者が確認できるようにし(ステップ109)、一連の処理を終了する。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0107】
(本システムの効果について)
上記各実施の形態で説明したシステムによれば、利用者装置(PC)でのWebを用いたサービス利用において、振り込みパスワード等の高度の秘密情報は、安全な携帯電話機上で真のサービス提供者のみが復号できるように暗号化し、その他の情報はユーザインタフェースに優れた利用者装置のWebページ上で入力し、各々サービス提供者に送信できる。また、サービス提供者装置が、Webページに入力され送られてきた情報と、携帯電話機経由で送られてきた情報とを一体のものとして認識して処理することができる。これにより、利用者装置にスパイウェア等が存在する環境下でも安全に秘密情報を送信し、サービス提供者のサービスを利用することが可能となる。
【0108】
また、サービス提供者サイトがフィッシャーにより偽装されたものであり、フィッシャーのサイトに暗号化秘密情報を送信したとしても、正当なサービス提供者以外は暗号化秘密情報を解読することができないので、秘密情報が漏洩することはない。
【0109】
また、利用者から受信した情報に対する受取り確認ページの送付に際して、その情報の中で、利用者以外には知られるべきではない秘密情報については利用者の携帯電話機でのみ復号できるように暗号化して利用者に送信することが可能である。
【0110】
なお、上記各実施の形態では、正当なサービス提供者のみが復号できるような暗号方式として、公開鍵基盤に類似した方式のものを用いたが、正当なサービス提供者のみが復号できるような暗号方式であればどのような方式を用いてもよい。例えば、ID暗号方式(境、光成、笠原 「楕円曲線上のペアリングを用いた2,3の暗号方式」情報処理学会の研究報告「コンピュータセキュリティ」No.014)を用いてもよい。
【0111】
また、第2、第3の実施の形態では外部装置10を利用者装置40と物理的には一体で構成することにより、利用者の利便性を高めることも可能である。
【0112】
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【図面の簡単な説明】
【0113】
【図1】本発明の実施の形態における外部装置10の特徴的な機能を説明するための図である。
【図2】本発明の実施の形態のシステム全体構成図である。
【図3】サービス提供者装置30の機能構成例を示す図である。
【図4】第1の実施の形態のシステムの動作を説明するための図(その1)である。
【図5】第1の実施の形態のシステムの動作を説明するための図(その2)である。
【図6】第1の実施の形態のシステムの動作を説明するための図(その3)である。
【図7】第1の実施の形態のシステムの動作を説明するための図(その4)である。
【図8】第1の実施の形態の利用例を説明するための図である。
【図9】第2の実施の形態のシステムの動作を説明するための図(その1)である。
【図10】第2の実施の形態のシステムの動作を説明するための図(その2)である。
【図11】第2の実施の形態のシステムの動作を説明するための図(その3)である。
【図12】第2の実施の形態のシステムの動作を説明するための図(その4)である。
【図13】第2の実施の形態のシステムの動作を説明するための図(その5)である。
【図14】第3の実施の形態のシステムの動作を説明するための図(その1)である。
【図15】第3の実施の形態のシステムの動作を説明するための図(その2)である。
【図16】第3の実施の形態のシステムの動作を説明するための図(その3)である。
【図17】第3の実施の形態のシステムの動作を説明するための図(その4)である。
【符号の説明】
【0114】
10 外部装置
20 証明機関装置
30 サービス提供者装置
31 通信機能部
32 Web機能部
33 暗号化情報処理部
34 サービス処理部
35 鍵管理部
40 利用者装置
【技術分野】
【0001】
本発明は、フィッシャーやスパイウェアが存在し得るネットワーク環境下において安全に秘密情報を送受信することを可能とする技術に関するものである。
【背景技術】
【0002】
最近、フィッシング(Phishing)と呼ばれるWebサイトの成りすましによる詐欺やスパイウェアによる利用者の秘密情報の不正取得が流行し始めている。
【0003】
フィッシングに対する対策として現在のところ様々なものが提案されている。それらの方法として、Webページの挙動のパターン(Java scriptコード)やそれを呼び出すURLの内容から疑わしいサイトを検出したり、利用者PCとセンタ側のサーバとに認証処理を行うモジュールを組み込み、互いに認証を行うことにより、真正なサイトであることを確認する方法などがある。
【0004】
しかし、Webサイトの挙動パターンから不正を判定する方法は、基本的に後追いであり、全ての不正を防止することはできない。また、スパイウェアを利用者のPCに巧妙に埋め込み、それと連携したフィッシングも出てきている。スパイウェアによっては、PC内にあるドメインネームとIPアドレスの対応表のキャッシュを書き換えることができ、その場合は利用者が正しいURLを指定してもフィッシャーのサイトに誘導されてしまう(例えば非特許文献1参照)。
【0005】
また、フィッシング対策製品を利用者PCにインストールしたとしても、スパイウェアがそれらを改竄または入れ替えてしまうことは可能であり、そうすればいくらでも利用者をだますことができる。
【0006】
SSLを用いれば、Webサイトの真正性が確認できると言われているが、SSLでの確認はブラウザにあらかじめ登録された「信頼された証明機関」の証明書を基点に行うものである。スパイウェアは、偽の「信頼された証明機関」の証明書を追加したり、入替えたりすることが可能であり、スパイウェアを前提とすればSSLによりフィッシングを防止することはできない。
【0007】
さらにスパイウェアのなかにはキーロガーと呼ばれるものがあり、それによればキーボードにより打鍵したデータは、そのまま不正者の元に送信されてしまう(非特許文献1参照)。即ち、フィッシングの有無にかかわらず、キーロガーが存在すれば情報は盗まれてしまう。
【0008】
スパイウェア対策としては、スパイウェアのコードパターンや挙動によりその検出を行うという対策が取られているが、これもスパイウェアが現れ、それを分析して初めて対応できるという後追いの対策であり、防御として手遅れ、または不正の検出が不可となる場合もあり、不十分である。
【非特許文献1】日経コンピュータ2005年4.18号 pp53-59「フィッシング 心理を逆手に取る手法が登場 プロが気付かない手口も」
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述したとおり、スパイウェアの存在やフィッシャーサイトへの接続の可能性を完全に消し去ることのできない現状に鑑み、本発明は、フィッシャーやスパイウェアが存在し得るネットワーク環境下でも、利用者が入力した秘密情報を不正な第三者に漏れないようにしてサービス提供者に送信し、サービス提供者がその情報を用いてサービスを提供することを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報をQRコードに変換し、当該QRコードを含むページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記QRコードを表示するステップと、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、前記QRコードを読み込み、当該QRコードの元の情報を抽出するステップと、外部装置が、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法により解決できる。
【0011】
また、上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報を有するページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報と秘密情報転送先アドレスを利用者装置に送信するステップと、利用者装置が、前記暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法によっても解決できる。
【0012】
また、上記の課題は、サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、利用者装置からのページ要求を受信したサービス提供者装置が、秘密情報入力フィールド定義情報を含む情報を有するページを利用者装置に送信するステップと、利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報を含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を利用者装置に送信するステップと、利用者装置が、外部装置で入力された秘密情報以外の情報の入力及び次ページ要求指示を受け付け、前記暗号化情報と秘密情報以外の情報とを含む次ページ要求をサービス提供者装置に送信するステップと、サービス提供者装置が、次ページ要求に含まれる前記暗号化情報を解読して得られる秘密情報と秘密情報以外の情報とを用いることによりサービス提供処理を実行するステップとを有することを特徴とする秘密情報送信方法によっても解決できる。
【発明の効果】
【0013】
本発明によれば、フィッシャーやスパイウェアが存在し得るネットワーク環境下でも、利用者が入力した秘密情報を不正な第三者に漏れないようにしてサービス提供者に送信し、サービス提供者がその情報を用いてサービスを提供することが可能となる。
【0014】
また、本発明では、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する安全な外部機器を用いて秘密情報を暗号化して送信することとしたので、操作性が良く、多彩な処理が可能な利用者装置(PC)のメリットを活かしつつ、非常に重要な秘密情報は保護できるという効果がある。
【発明を実施するための最良の形態】
【0015】
以下、本発明の実施の形態として第1〜第3の実施の形態について説明する。本実施の形態では、利用者側でスパイウェアなどの不正なプログラムが存在する可能性のある利用者装置(Webブラウザが搭載されたパソコン(PC)等)と不正なプログラムが存在し得ないように構成された外部装置とを組合わせて使用することにより、利用者がサービス提供者へ秘密情報を安全に送るシステムを実現している。
【0016】
[外部装置の構成例]
まず、本発明の実施の形態で用いられる外部装置について説明する。この外部装置としては一般的な携帯電話機や携帯端末等と同様の構成のものを使用できるが、信用度の高い外部装置提供者によって提供される装置であることが好ましい。例えば、外部装置が携帯電話機であれば、外部装置提供者として携帯電話会社が考えられる。
【0017】
外部装置はCPU、メモリ、通信装置、プログラム等を含むコンピュータの構成を有しているが、特徴的な機能として、正当性が保証されたアプリケーションのみを搭載する機能を有している。
【0018】
図1を参照して本実施の形態における外部装置10の特徴的な機能を説明する。図1に示すように、この外部装置10は表示機能11、文字入力機能12、及び通信機能13を有する。通信機能11は、ネットワークに接続されたサーバと通信する機能や利用者装置と通信する機能等を持つ。
【0019】
また、外部装置10にはAP(アプリケーションプログラム)14と、AP(アプリケーションプログラム)14の登録と実行をコントロールするための機能を持つOS(オペレーティングシステム)15が含まれる。
【0020】
これらのAP14とOS15は、外部装置10の出荷時にセットで外部装置提供者により利用者に供給されるものである。また、この外部装置10におけるOS15の更改は、外部装置提供者の提供したファイルでのみ行われるよう、OS15自身によって制御される。即ち、OS15は外部装置提供者の意図に反して不正に改竄されることはない。
【0021】
また、外部装置10のハードウェアメモリ16上にはOS15のみが参照更新できる領域17(タンパーフリーな情報格納域)があり、AP14に付与された署名を検証する鍵(外部装置提供者の秘密の署名鍵に対応する公開鍵)と証明機関の署名を検証する公開鍵があらかじめ格納されている。つまり、外部装置提供者から外部装置10が出荷された時点でこれらの鍵がタンパーフリーな情報格納域17に格納されている。また、鍵の更新は、OS15による制御の下、外部装置提供者のサーバとの通信により行われ、外部装置提供者の意図に反して不正な鍵が登録されることはない。
【0022】
次に、外部装置10上のAP14の管理について説明する。
【0023】
OS15の機能により、この外部装置10には、外部装置提供者に信頼されるAP提供者によって作成されたAP14のみが搭載される。ここで「AP提供者が信頼される」の意味は、(a) そのAP提供者は決して不正なプログラムは作成しないと外部装置提供者が確信できる、 (b) そのAP提供者に十分な耐性を持ったプログラムの作成能力があり、バッファーオーバーフローやコマンドインジェクションを引き起こすような不正なデータを入力として与えても、それを検出し排除でき、異常な動作を起こさない品質のプログラムを作成するということについて外部装置提供者が確信できる、ということである。
外部装置10が、信頼されるAP提供者の提供したAP14のみを搭載するためのメカニズムを図1を参照して説明する。
AP供給者がAPを作成したら(ステップ1)、その安全性について外部装置提供者のチェックを受ける。外部装置提供者は、チェックOKであれば自身の持つ署名鍵により、そのプログラムに署名を付与する(ステップ2)。然る後、外部装置提供者はそのAPを利用者がダウンロードできるように所定のサーバに置く。
【0024】
外部装置10は、利用者の指示により、外部装置提供者のサーバからAPをダウンロードするが、その際、OS15はAPに付与された署名を自らが格納する検証鍵により検証し、検証OKの場合のみ、プログラムの登録を行い、実行可能の状態にする(ステップ3)。検証OKと言うことは、APが外部装置提供者から確かに改竄なしに届けられたプログラムであることを意味している。
【0025】
このように管理された外部装置10上には正しいAPしか存在しえなく、スパイウェアなどは活動できない。
【0026】
上記のような外部装置10を実現するための携帯電話機のOSとして、例えば英Symbian社が開発したSymbian OSv9がある。Symbian OSv9は、上述した署名付APのみ動作可能とする制御機能を持っている(参考文献:”Mobile Phones: The Next Frontier for Hackers?”, Neal Leavitt, IEEE Computer April 2005, pp20-23)。
【0027】
以下で説明する第1〜第3の実施の形態では、外部装置10としてアプリケーションを実行可能な携帯電話機を用いることを前提としている。
【0028】
(第1の実施の形態)
まず、本発明の第1の実施の形態について説明する。第1の実施の形態は、利用者装置と携帯電話機との間の通信が、利用者装置から携帯電話機への片方向のみ可能である場合の実施形態である。
【0029】
[システムの構成]
第1の実施の形態のシステムの全体構成を図2に示す。図2に示すとおり、本実施の形態のシステムは、信頼される証明機関により運営される証明機関装置20、利用者からの情報の入力を受けることにより所定のサービスを利用者に提供するサービス提供者装置30、サービス提供者装置30からのサービスを受ける利用者装置40(PC等)、及び利用者装置40とともに用いられる外部装置10(以下、携帯電話機10であるものとして説明を行う)を有している。
【0030】
証明機関装置20はサービス提供者の公開鍵証明書を発行する装置であり、公開鍵基盤(PKI)における認証局と同様の機能を持ち、自ら使用する署名鍵(秘密鍵:Kcs)と署名検証鍵(公開鍵:Kcp)を保持している。
【0031】
サービス提供者装置30はWebを用いてネットワーク上でサービスを提供する装置である。図3にサービス提供者装置30の機能構成例を示す。図3に示すとおり、サービス提供者装置30は、ネットワーク通信を行うための通信機能部31、Webページの作成やWebページの送受信を行うWeb機能部32、鍵生成、情報の暗号化や復号、署名に関する処理、QRコード生成、及びその他の処理を行う暗号化情報処理部33、秘密情報とその他の情報を用いてサービス提供に係る処理を実行するサービス処理部34、秘密鍵等の鍵を管理する鍵管理部35を有している。サービス提供者装置30は、CPU、記憶装置等を有するコンピュータであり、上記の各機能部はコンピュータのハードウェアとプログラムとが協働して実現されるものである。また、サービス提供者装置30はID(商号、サービス名、商標など)を記憶装置内に保有している。そのIDは、一般利用者がそれを以ってサービス提供者やサービス提供者が提供するサービスを同定できるものである。
【0032】
利用者装置10はPC等のコンピュータであり、Webブラウザを搭載している。また、携帯電話機10は、本実施の形態で説明する動作を実現するためのアプリケーションと公開の署名検証鍵(Kcp)をその記憶装置に予め保持している。本実施の形態の処理はこのアプリケーションにより実現されている。また、本実施の形態では、携帯電話機10と利用者装置40との間では、利用者装置40から携帯電話機10への片方向のみの通信が行えればよく、利用者装置40の画面上のWebページにQRコードを表示することにより、携帯電話機10が当該QRコードを読み取ることとしている。つまり、携帯電話機10は、QRコードを読み取り、それを解読する手段を備えている。
【0033】
以下、本実施の形態での利用者によるサービス利用時の動作の前提となる処理について説明する。なお、以下の処理には人の作業が含まれている。
【0034】
サービス提供者装置30は、まず自らの公開鍵(Ksp)と秘密鍵(Kss)のペアを生成し、自らのIDと公開鍵(Ksp)を証明機関装置20に送り、公開鍵証明書の発行を依頼する。その際、そのIDが自らのものであることを証明機関に示す。
【0035】
証明機関は、そのIDが確かに公知であり、サービス提供者のものであることを認定できる場合に、サービス提供者(およびその名称などの属性)とIDと申請された公開鍵を対応付けて認証機関装置20のデータベースに登録し、さらに、IDと公開鍵情報とサービス提供者名とを含んだ情報を作成し、それに自らの秘密鍵(Kcs)で署名を付して、公開鍵証明書(Cert(Ksp, ID))を作成する。それを安全な方法で申請者に送付する。なお、公開鍵証明書は、サービス提供者のID、サービス提供者の公開鍵(Ksp)、証明書有効期限、証明機関とその公開鍵の識別子、を必須情報として含む。
【0036】
本実施の形態では、公開鍵証明書の情報を利用者装置40の画面上に表示されるQRコードに含ませることになるが、QRコードの情報容量に制限があることから、公開鍵証明書はできるだけ情報量を少なくするよう構成することが好ましい。
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0037】
(1−1)最初に、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図4を参照して説明する。
【0038】
利用者がサービス提供者のサービス(例えばオンラインショッピングでの商品購入)を利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ11)。
【0039】
ページ要求を受信したサービス提供装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い情報(秘密情報と呼ぶ)の入力を利用者の携帯電話機10で行うことができるよう、以下の情報A〜情報EをQRコード(Quick Response code)に変換し(ステップ12)、要求されたページに貼り付けて利用者装置40に送信する(ステップ13)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報D:携帯電話機からの情報転送先アドレス
・情報E:上記情報A〜Dについてのサービス提供者の署名
上記の情報C(ページ識別子)は、サービス提供者装置30が送ったページをユニークに識別するためのもので、同じページ内容でもページを送る度に異なる。また、情報D(携帯電話機からの情報転送先アドレス)は、サービス提供者装置30が携帯電話機10から暗号化された秘密情報を受け取るためのアドレスである。
【0040】
なお、ステップ13において利用者装置40に送られるページには、利用者が入力する情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の通知が含まれている。
【0041】
(1−2)次に、利用者側の処理を図4及び図5を参照して説明する。
【0042】
上記の処理の結果、利用者装置40のブラウザ画面にはQRコードが表示されている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、利用者は外部装置である携帯電話機10上で上記アプリケーションを起動し、携帯電話機10にQRコードを読み込む(ステップ14)。
【0043】
携帯電話機10は読み込んだQRコードから情報A〜Eを取り出す(ステップ15)。そして、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて情報B(公開鍵証明書Cert(Ksp, ID))の正しさを検証し(ステップ16)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、C、Dが確かにサービス提供者からの情報であることを確認する(ステップ17)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0044】
続いて携帯電話機10は、その画面上に、情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(ステップ18)。その際、IDの正当な持主にのみ復号できるように入力情報を暗号化する旨を表示する。
【0045】
利用者は、IDが適切であることを確認した場合に、携帯電話機10の画面に表示されている入力フォームに秘密情報を入力し、送信を指示する(図5のステップ19)。ここでは、入力フォームとともに画面上に表示される送信OKボタンをクリックすることにより送信を指示するものとする。
【0046】
送信OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせて、セション鍵Ksで暗号化する(ステップ20)。以下、秘密情報とページ識別子(情報C)とTrIDとをセション鍵Ksで暗号化した情報を暗号化情報Fとする。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報を作成する(ステップ21)。以下、これを暗号化情報Gとする。
【0047】
携帯電話機10は、TrIDとKsとサービス提供者のIDとを対応付けて一時的に記憶装置に保管する(ステップ22)。しかる後、情報FとGを情報D(携帯電話機10からの情報転送先アドレス)に従って送信する(ステップ23)。
【0048】
(1−3)次に、情報FとGを受け取ったサービス提供者装置30の処理について図6を参照して説明する。
【0049】
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、セション鍵Ksで情報Fを復号し、入力された秘密情報とページ識別子(情報C)とTrIDを得る(ステップ24)。そして、秘密情報、TrID、Ksをページ識別子をキーにして一時保管する(ステップ25)。しかる後、秘密情報の受信確認(情報受け取りメッセージ)を携帯電話機10に送信する(ステップ26)。
【0050】
(1−4)次に、受信確認を受け取った利用者側の処理を説明する。
【0051】
受信確認を受け取った携帯電話機10は、受け取りメッセージを画面に表示することにより情報送信完了を利用者に通知する(ステップ27)。続いて、利用者は携帯電話機10に入力した秘密情報以外の情報を利用者装置40のブラウザ画面(Webページ)上で入力し、当該ページに表示されている次ページ要求ボタンをクリックする(ステップ28)。これにより次ページ要求がサービス提供者装置30に送信される(ステップ29)。
【0052】
この次ページ要求には、利用者の入力した情報の他に、当該ページの識別子(情報C)が含まれる。つまり、ステップ11で送信されたページは、次ページ要求に当該ページの識別子が含まれるように作成されている。
【0053】
(1−5)次に、次ページ要求を受け取ったサービス提供者装置30の処理を図7を参照して説明する。
【0054】
サービス提供者装置30は、次ページ要求に含まれるページ識別子により、ステップ25で保管した情報を検索し、秘密情報とTrIDとセション鍵Ksを得る(ステップ30)。これで、サービス提供者装置30は、秘密情報とそれ以外の情報とを一体としてサービス提供に必要な処理(例えば料金支払い処理)を行うことが可能となる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0055】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。その際、画面表示しない情報(上記秘密情報等)を決定し、その情報とTrIDとを合せたものをKsで暗号化する(ステップ31)。これを暗号化情報Hとする。そして、暗号化情報Hと暗号化してないTrIDとを合せてQRコード化して次ページの画面に貼り付ける(ステップ32)。そして、次ページを利用者装置40へ送信する(ステップ33)。
【0056】
(1−6)続いて、次ページを受信した利用者側の処理を説明する。
【0057】
利用者装置40は次ページをサービス提供者装置30から受信したことにより、QRコードを含む次ページを表示している。利用者はQRコードに盛り込まれた情報を見るために携帯電話機10にQRコードを読み込ませる(ステップ34)。携帯電話機10はQRコードからTrIDを取得し、TrIDを用いて、保管していたセション鍵Ksを取り出し、暗号化された情報を復号し、復号した情報の中のTrIDが上記のQRコードから取得したTrIDと一致するか否かを検証する(ステップ35)。一致することが確認できれば、秘密情報は確かにサービス提供者装置30まで届き、サービス提供者装置30から送られたQRコードは、途中で摺り変えられていないことが確認できる。そして、携帯電話機10の画面上にサービス提供者装置30からQRコードに含められて送られてきた秘密情報を、TrIDと対応付けて保管しておいたサービス提供者のIDとともに表示して利用者が確認できるようにし、一連の処理を終了する(ステップ36)。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0058】
[利用例]
本実施の形態で説明した秘密情報送信方法は、例えばオンラインでの銀行振り込みに適用できる。この場合に、ステップ13の後に利用者装置40に表示される画面例を図8に示す。
【0059】
図8に示すように、振込の際に投入するデータは多くあり、これらを全て携帯電話機10で投入するのは煩雑であるので、詐取、改竄されては困る振込み先口座番号、振込み金額、振込みパスワードのみを携帯電話機10からの入力の対象としている。銀行側(サービス提供者装置30)はこのWebページで入力されたデータと、携帯電話機10から暗号化され送られてきたデータとを合わせて、利用者からの要求を処理する。
【0060】
このような構成としたことにより、たとえ利用者装置40にスパイウェアが存在し、入力したデータがフィッシャーによってリアルタイムに詐取、改竄されている場合であっても、詐取、改竄されては困る情報(振込み先口座番号、振込み金額、振込みパスワード)を、フィッシャーが介在し得ない携帯電話機10から送信することにより、詐取による損害を防止できる。
【0061】
また、第1の実施の形態によれば、携帯電話機10と利用者装置40との通信は、利用者装置40のWebページに貼り付けられたQRコードを携帯電話機10が読み込むという方法で行われるので、利用者装置40上に特別なプログラムをダウンロードしてインプリメントする必要が無く、利用者の負担が軽い。また、QRコードの読み込み可能な携帯電話機が普及しており、それらのユーザは、特別なハードを購入しなくても、本実施の形態の秘密情報送信方法を利用することができる。
【0062】
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。第2の実施の形態では、利用者が入力すべき秘密情報の定義情報等が利用者装置40のブラウザから携帯電話機10へ送信され、携帯電話機10は、入力された秘密情報を暗号化して利用者装置40に送り返し、利用者装置40が暗号化秘密情報をサービス提供者装置30へ転送する。
【0063】
[システムの構成]
第2の実施の形態のシステム構成は以下の点を除いて第1の実施の形態と同一である。
【0064】
第2の実施の形態では利用者装置40と携帯電話機10との間で双方向通信を行うための手段が利用者装置40と携帯電話機10のそれぞれに備えられている。双方向通信を行うための方法としては、例えば、USBケーブルで利用者装置40と携帯電話機10とを接続して通信を行う方法、携帯電話機10にFelicaカードを搭載し、Felicaカードのリードライトインタフェースで通信する方法などがある。
【0065】
上記の通信を用いて利用者装置40(ブラウザ)と携帯電話機10(アプリケーション)が情報をやり取りするために、利用者装置40側に予めブラウザのプラグインモジュールを含むソフトウェアをインストールしておく。このソフトウェアをクライアントモジュールと称することにする。なお、クライアントモジュールは証明機関などの信頼性の高い第三者機関からダウンロードするなどして取得できるようにすることが好ましい。
【0066】
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0067】
(2−1)まず、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図9を参照して説明する。
【0068】
利用者がサービス提供者のサービスを利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ41)。
【0069】
ページ要求を受信したサービス提供者装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い秘密情報の入力は利用者の携帯電話機10で行うことができるよう、第1の実施の形態と同様の以下の情報A〜情報Eをクライアントモジュールに渡せる様に編集してページに盛り込み(ステップ42)、利用者装置40に送信する(ステップ43)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報D:情報転送先アドレス
・情報E:上記情報A〜Dについてのサービス提供者の署名
なお、第2の実施の形態における情報Dは、サービス提供者装置30が利用者装置40(クライアントモジュール)からの暗号化された秘密情報を受け取るためのアドレスである。また、利用者装置40に送信されるページには入力情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の説明が記載されている。
【0070】
(2−2)次に、利用者側の処理を図9〜図11を参照して説明する。
【0071】
上記2−1の処理の結果、利用者装置40のブラウザ画面上には要求したページが表示されている。そのページには「携帯電話機で入力」を選択できるボタンが含まれている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、「携帯電話機で入力」ボタンをクリックする(ステップ44)。
すると利用者装置40のクライアントモジュールの一部であるブラウザのプラグインが呼び出され、上記の情報A〜Eがクライアントモジュールに渡される(ステップ45)。すなわち、情報A〜Eがクライアントモジュールに渡されるようにページが作成されている。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40上に表示し、利用者は携帯電話機10を操作し、通信を行う(ステップ46)。これにより携帯電話機10が情報A〜Eを取り込むことができる。その後の処理は以下の通り第1の実施の形態とほぼ同じように進められる。
【0072】
携帯電話機10は情報A〜Eを受信する。そして、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて公開鍵証明書Cert(Ksp, ID)の正しさを検証し(ステップ47)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、C、Dが確かにサービス提供者からの情報であることを確認する(ステップ48)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0073】
続いて携帯電話機10は、その画面上に情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(図10のステップ49)。その際、秘密情報をIDの正当な持主にのみ復号できるように暗号化する旨表示する。利用者は、IDが適切な場合に、入力フォームに秘密情報を入力し、画面上に設けられている入力OKボタンをクリックする(ステップ50)。
【0074】
入力OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと、送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせてセション鍵Ksで暗号化した暗号化情報Fを作成する(ステップ51)。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報である暗号化情報Gを作成する(ステップ52)。
【0075】
次に、携帯電話機10は、TrIDとKsとサービス提供者IDとを対応付けて一時的に記憶装置に保管する(ステップ53)。しかる後、携帯電話機10は、利用者に対して暗号化された情報を利用者装置40に転送することを促すメッセージを画面上に表示する。これに従い利用者が転送操作を行うと(図11のステップ54)、情報FとGが情報転送先アドレス(情報D)とともに利用者装置40上にあるクライアントモジュールに送信される(ステップ55)。そして、クライアントモジュールによって、利用者装置40は情報FとGを情報転送先アドレス(情報D)に従ってサービス提供者装置に送信する(ステップ56)。
【0076】
(2−3)次に、情報FとGを受け取ったサービス提供者装置30の処理について説明する。
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、Ksで情報Fを復号し、入力された秘密情報とページ識別子(情報C)とTrIDを得る(ステップ57)。そして、秘密情報、TrID、Ksをページ識別子をキーにして記憶装置に一時保管する(ステップ58)。しかる後、秘密情報の受信確認を利用者端末上のクライアントモジュールへ返信する(ステップ59)。
【0077】
(2−4)次に、受信確認を受け取った利用者側の処理を図12を参照して説明する。
【0078】
受信確認を受け取った利用者装置40上のクライアントモジュールは、メッセージを画面に表示することにより秘密情報送信完了を利用者に通知する(ステップ60)。続いて、利用者は携帯電話機10に入力した秘密情報以外の情報を利用者装置40のブラウザ画面上で入力し、当該画面に表示されている次ページ要求ボタンをクリックする(ステップ61)。第1の実施の形態と同様に、この次ページ要求には、利用者の入力した情報の他に、当該ページの識別子(情報C)が含まれる。この次ページ要求はサービス提供者装置30に送信される(ステップ62)。
【0079】
(2−5)次に、次ページ要求を受け取ったサービス提供者装置30の処理を説明する。
【0080】
サービス提供者装置30は、次ページ要求に含まれるページ識別子により、ステップ58で保管した情報を検索し、秘密情報とTrIDとセション鍵Ksを得る(ステップ63)。これで、必要な情報が揃ったので、第1の実施の形態と同様に、秘密情報とそれ以外の情報を一体として用いたサービスのための処理を実行できる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0081】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。その際、画面表示しない情報(利用者が入力した秘密情報等)を決定し、その情報とTrIDとを合せたものをKsで暗号化した暗号化情報Hを作成する(ステップ64)。そして、暗号化情報Hと暗号化してないTrIDとを合せてクライアントモジュールに渡せる様に編集してページに盛り込む(ステップ65)。そして、これを次ページとして利用者装置40へ送信する(ステップ66)。
【0082】
(2−6)続いて、次ページを受信した利用者側の処理を図12〜図13を参照して説明する。
【0083】
次ページのデータを受信したことにより、利用者装置40は次ページを表示している。そのページには携帯電話機10でのみ読める情報(秘密情報)があることが表示されており、「携帯電話機に表示」ボタンが配置されている。利用者が「携帯電話機に表示」ボタン(確認ボタン)をクリックすると(ステップ67)、クライアントモジュールのブラウザのプラグインが呼び出され、サービス提供者装置30から送られてきた情報HとTrIDがクライアントモジュールに渡される(ステップ68)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40の画面上に表示し、利用者はそれを見て携帯電話機10を操作し、通信を行う(ステップ69)。これにより携帯電話機10のアプリケーションが暗号化情報HとTrIDを取り込むことができる。
【0084】
携帯電話機10のアプリケーションはTrIDに基づき保管していたセション鍵Ksを取り出し、暗号化された情報Hを復号し、復号した情報の中のTrIDが上記のTrIDと一致するか否かを検証する(図13のステップ70)。一致することが確認できれば、秘密情報は確かにサービス提供者まで届き、暗号化情報Hは改竄も摺り変えられることもなしに送られて来たことを確認できる。そして、携帯電話機10の画面上にサービス提供者装置30から暗号化情報Hとして送られてきた秘密情報をサービス提供者IDとともに表示して利用者が確認できるようにし(ステップ71)、一連の処理を終了する。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0085】
なお、本実施の形態では、携帯電話機10内で秘密情報をサービス提供者のみが解読できるように暗号化するため、不正者によって利用者装置40のクライアントモジュールが改竄されたり入れ替えられたりしても、秘密情報の内容が不正者に渡る事はない。
【0086】
(第3の実施の形態)
次に、本発明の第3の実施の形態について説明する。第3の実施の形態は、第2の実施の形態と殆ど同じであるが、サービス提供者装置30へのデータ送信方法が異なる。第2の実施の形態では利用者装置40のクライアントモジュールが暗号化情報FとGをサービス提供者装置30に送信していたのに対し、第3の実施の形態では、クライアントモジュールが暗号化情報FとGをブラウザに渡し、ブラウザが次ページ要求時に合わせて当該情報をサービス提供者装置30に送信する。
【0087】
なお、第3の実施の形態のシステム構成は第2の実施の形態のシステム構成と同一である。ただし、上記のとおりクライアントモジュールの処理内容が異なる。
【0088】
[システムの動作]
次に、本実施の形態のシステムの動作をシーケンス図を参照して詳細に説明する。
【0089】
(3−1)まず、サービス提供者装置30による利用者の秘密情報入力ページの送信処理について図14を参照して説明する。
【0090】
利用者がサービス提供者のサービスを利用しようとするときに、利用者によるブラウザ画面の操作により、利用者装置40はサービス提供者装置30に対してページ要求(利用者による情報入力を必要とするページの要求であるものとする)を送信する(ステップ81)。
【0091】
ページ要求を受信したサービス提供者装置30は、要求されたページにおいて利用者が入力する情報のうち機密度の高い秘密情報の入力は利用者の携帯電話機10で行うことができるよう、下記の情報A〜C、Eをクライアントモジュールに渡せる様に編集してページに盛り込み(ステップ82)、利用者装置に送信する(ステップ83)。
・情報A:秘密情報入力フィールドの定義
・情報B:公開鍵証明書(Cert(Ksp,ID))
・情報C:ページ識別子
・情報E:上記情報A〜Cについてのサービス提供者の署名
第2の実施の形態と同様、利用者装置40に送信されるページには入力情報のうち機密性の高いいくつかの情報は携帯電話機10で入力可能な旨の説明が記載されている。また、当該ページには「携帯電話機で入力」を選択できるボタンが配置されている。
【0092】
なお、第1、第2の実施の形態の場合には、次ページ要求と暗号化された秘密情報とが別送されるために、情報間の対応を取るためのページ識別子が必要であったが、本実施の形態では、暗号化された秘密情報と、秘密情報以外の入力情報を含む次ページ要求とを一緒に送信するため、ページ識別子はなくてもよい。しかし、ページ識別子はreplayアタック防止に役立つため、本実施の形態ではクライアントモジュールに渡す情報として加えてある。なお、replayアタックとはパスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法である。
【0093】
(3−2)次に、利用者側の処理を図14〜図16を参照して説明する。
【0094】
上記の3−1の処理の結果、利用者装置40のブラウザ画面上にはページが表示されている。そのページには「携帯電話機で入力」を選択できるボタンが含まれている。利用者装置40にキーロガー等のスパイウェアが埋め込まれている可能性を否定できない、もしくは、送信情報がフィッシャーに渡る可能性を否定できない場合に、利用者は「携帯電話機で入力」ボタンをクリックする(ステップ84)。
その後、第2の実施の形態と同様に、クライアントモジュールの一部であるブラウザのプラグインが呼び出され、上記の情報A〜C、Eがクライアントモジュールに渡される(ステップ85)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40上に表示し、利用者は携帯電話機10を操作し、通信を行う(ステップ86)。これにより携帯電話機10が情報A〜C、Eを取り込むことができる。
【0095】
携帯電話機10は、携帯電話機10に予め登録されている証明機関の公開の検証鍵(Kcp)を用いて公開鍵証明書Cert(Ksp, ID)の正しさを検証し(ステップ87)、検証がOKならば、Kspが、IDの正当な持主であるサービス提供者の公開鍵であることが確認できたことになる。そして、情報E(署名)をサービス提供者の公開鍵Kspを用いて検証することにより、情報A、Cが確かにサービス提供者からの情報であることを確認する(ステップ88)。いずれかの検証がNGなら、処理を中断し、その旨利用者に表示する。
【0096】
続いて携帯電話機10は、その画面上に情報Bに含まれていたIDを表示し、情報A(秘密情報入力フィールドの定義)に従って携帯電話機10の画面に入力フォームを表示するとともに、利用者に対して利用者の意図したサービス提供者のIDかどうか確認を求め(例えば画面上に確認OKボタンを設ける)、確認OKであれば秘密情報の入力を促す表示を行う(図15のステップ89)。その際、IDの正当な持主にのみ復号できるように暗号化する旨表示する。利用者は、IDが適切な場合に、入力フォームに秘密情報を入力し、画面上に設けられている入力OKボタンをクリックする(ステップ90)。
【0097】
入力OKボタンがクリックされた場合、携帯電話機10は、一時的なセション鍵Ksと送信情報を識別するための識別子(TrID)を生成し、利用者が入力した秘密情報とページ識別子(情報C)とTrIDとを合わせてセション鍵Ksで暗号化した暗号化情報Fを作成する(ステップ91)。携帯電話機10は、さらにセション鍵Ksをサービス提供者の公開鍵Kspで暗号化した情報である暗号化情報Gを作成する(ステップ92)。
【0098】
次に、携帯電話機10は、TrIDとKsとサービス提供者IDとを対応付けて一時的に記憶装置に保管する(ステップ93)。しかる後、携帯電話機10は、利用者に対して暗号化された情報を利用者装置40に転送することを促すメッセージを画面上に表示する(ステップ94)。これに従い利用者が転送操作を行うと、情報FとGが利用者装置上にあるクライアントモジュールに送信される(図16のステップ95)。
【0099】
携帯電話機10は「利用者装置に情報転送済」を画面上に表示する(ステップ96)。また、利用者装置40のクライアントモジュールは、利用者にブラウザの次ページ要求ボタンをクリックするよう促す表示を画面上に行い、ブラウザに暗号化情報F、Gを渡すべく暗号化情報F、Gを保持する(ステップ97)。
【0100】
続いて、利用者は、携帯で入力した秘密情報以外の秘密ではない情報を利用者装置40に表示されたWebページ上で入力し、Webページに含まれる次ページ要求ボタンをクリックする(ステップ98)。
【0101】
そうするとブラウザは、クライアントモジュールのうちのブラウザプラグインを呼び出し、ブラウザプラグインがクライアントモジュールで保持していた情報F、Gを、次ページ要求の中に送信情報として取り込み、制御をブラウザに渡す(ステップ99)。そしてブラウザは暗号化情報F、Gと秘密情報以外の情報を含んだ次ページ要求をサービス提供者装置30へ送信する(ステップ100)。
【0102】
(3−3)次に、情報FとGを含む次ページ要求受け取ったサービス提供者装置30の処理について説明する。
【0103】
サービス提供者装置30は、サービス提供者の公開鍵Kspに対応する秘密鍵Kssを用い、情報Gからセション鍵Ksを取り出し、Ksで情報Fを復号し、秘密情報とページ識別子(情報C)とTrIDを得る(ステップ101)。これで、サービス提供者装置30は、秘密情報と、次ページ要求に含まれる入力情報とを取得でき、第1、第2の実施の形態と同様に、秘密情報とそれ以外の情報を一体として用いたサービスのための処理を実行できる。以下、次ページの例として入力情報の確認画面を利用者側に送信する場合について説明する。
【0104】
サービス提供者装置30は、秘密情報とそれ以外の情報とを用いて次ページを構成する。
その際、画面表示しない情報(利用者が入力した秘密情報等)を決定し、その情報をTrIDと合せてKsで暗号化した暗号化情報Hを作成する(図17のステップ102)。そして、暗号化情報Hと暗号化していないTrIDとを合せて、クライアントモジュールに渡せる様に編集して次ページに盛り込む(ステップ103)。そして、これを次ページとして利用者装置40へ送信する(ステップ104)。
【0105】
(3−4)続いて、次ページを受信した利用者側の処理を図17を参照して説明する。次ページのデータを受信したことにより、利用者装置40は次ページを表示している。そのページには携帯電話機10でのみ読める情報(秘密情報)があることを表示してあり、「携帯電話機に表示」ボタンが配置されている。利用者が「携帯電話機に表示」ボタン(確認ボタン)をクリックすると(ステップ105)、クライアントモジュールのブラウザのプラグインが呼び出され、サービス提供者装置30から送られてきた情報HとTrIDがクライアントモジュールに渡される(ステップ106)。クライアントモジュールは「携帯電話機への通信の準備ができた」旨を利用者装置40の画面上に表示し、利用者はそれを見て携帯電話機10を操作し、通信を行う(ステップ107)。これにより携帯電話機10が暗号化情報HとTrIDを取り込むことができる。
【0106】
携帯電話機10はTrIDに基づき、保管していたセション鍵Ksを取り出し、暗号化された情報Hを復号し、復号した情報の中のTrIDが上記のTrIDと一致するか否かを検証する(ステップ108)。一致することが確認できれば、秘密情報は確かにサービス提供者まで届いたことを確認できる。そして、携帯電話機10の画面上にサービス提供者装置から暗号化情報Hとして送られてきた秘密情報をサービス提供者IDとともに表示して利用者が確認できるようにし(ステップ109)、一連の処理を終了する。また、携帯電話機10はこの時点で、一時保管していたTrIDおよびKsを廃棄する。
【0107】
(本システムの効果について)
上記各実施の形態で説明したシステムによれば、利用者装置(PC)でのWebを用いたサービス利用において、振り込みパスワード等の高度の秘密情報は、安全な携帯電話機上で真のサービス提供者のみが復号できるように暗号化し、その他の情報はユーザインタフェースに優れた利用者装置のWebページ上で入力し、各々サービス提供者に送信できる。また、サービス提供者装置が、Webページに入力され送られてきた情報と、携帯電話機経由で送られてきた情報とを一体のものとして認識して処理することができる。これにより、利用者装置にスパイウェア等が存在する環境下でも安全に秘密情報を送信し、サービス提供者のサービスを利用することが可能となる。
【0108】
また、サービス提供者サイトがフィッシャーにより偽装されたものであり、フィッシャーのサイトに暗号化秘密情報を送信したとしても、正当なサービス提供者以外は暗号化秘密情報を解読することができないので、秘密情報が漏洩することはない。
【0109】
また、利用者から受信した情報に対する受取り確認ページの送付に際して、その情報の中で、利用者以外には知られるべきではない秘密情報については利用者の携帯電話機でのみ復号できるように暗号化して利用者に送信することが可能である。
【0110】
なお、上記各実施の形態では、正当なサービス提供者のみが復号できるような暗号方式として、公開鍵基盤に類似した方式のものを用いたが、正当なサービス提供者のみが復号できるような暗号方式であればどのような方式を用いてもよい。例えば、ID暗号方式(境、光成、笠原 「楕円曲線上のペアリングを用いた2,3の暗号方式」情報処理学会の研究報告「コンピュータセキュリティ」No.014)を用いてもよい。
【0111】
また、第2、第3の実施の形態では外部装置10を利用者装置40と物理的には一体で構成することにより、利用者の利便性を高めることも可能である。
【0112】
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【図面の簡単な説明】
【0113】
【図1】本発明の実施の形態における外部装置10の特徴的な機能を説明するための図である。
【図2】本発明の実施の形態のシステム全体構成図である。
【図3】サービス提供者装置30の機能構成例を示す図である。
【図4】第1の実施の形態のシステムの動作を説明するための図(その1)である。
【図5】第1の実施の形態のシステムの動作を説明するための図(その2)である。
【図6】第1の実施の形態のシステムの動作を説明するための図(その3)である。
【図7】第1の実施の形態のシステムの動作を説明するための図(その4)である。
【図8】第1の実施の形態の利用例を説明するための図である。
【図9】第2の実施の形態のシステムの動作を説明するための図(その1)である。
【図10】第2の実施の形態のシステムの動作を説明するための図(その2)である。
【図11】第2の実施の形態のシステムの動作を説明するための図(その3)である。
【図12】第2の実施の形態のシステムの動作を説明するための図(その4)である。
【図13】第2の実施の形態のシステムの動作を説明するための図(その5)である。
【図14】第3の実施の形態のシステムの動作を説明するための図(その1)である。
【図15】第3の実施の形態のシステムの動作を説明するための図(その2)である。
【図16】第3の実施の形態のシステムの動作を説明するための図(その3)である。
【図17】第3の実施の形態のシステムの動作を説明するための図(その4)である。
【符号の説明】
【0114】
10 外部装置
20 証明機関装置
30 サービス提供者装置
31 通信機能部
32 Web機能部
33 暗号化情報処理部
34 サービス処理部
35 鍵管理部
40 利用者装置
【特許請求の範囲】
【請求項1】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報をQRコードに変換し、当該QRコードを含むページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記QRコードを表示するステップと、
所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、前記QRコードを読み込み、当該QRコードの元の情報を抽出するステップと、
外部装置が、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【請求項2】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報を有するページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、
外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報と秘密情報転送先アドレスを利用者装置に送信するステップと、
利用者装置が、前記暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【請求項3】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、秘密情報入力フィールド定義情報を含む情報を有するページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、
外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報を含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を利用者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力及び次ページ要求指示を受け付け、前記暗号化情報と秘密情報以外の情報とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、次ページ要求に含まれる前記暗号化情報を解読して得られる秘密情報と秘密情報以外の情報とを用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【請求項1】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報をQRコードに変換し、当該QRコードを含むページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記QRコードを表示するステップと、
所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置が、前記QRコードを読み込み、当該QRコードの元の情報を抽出するステップと、
外部装置が、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【請求項2】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、ページ識別子と、秘密情報入力フィールド定義情報と、秘密情報転送先アドレスとを含む情報を有するページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、
外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報とページ識別子とを含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報と秘密情報転送先アドレスを利用者装置に送信するステップと、
利用者装置が、前記暗号化情報を秘密情報転送先アドレスを用いてサービス提供者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力を受け付け、その情報と前記ページ識別子とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、前記ページ識別子に基づき、前記暗号化情報を解読して得られる秘密情報とそれ以外の情報とを一体のものとして用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【請求項3】
サービス提供者装置と、サービス提供者装置が提供するサービスを利用する利用者装置とがネットワークを介して接続されたネットワークシステムにおいて、利用者により入力された秘密情報を、第三者への漏洩が発生することなく、サービス提供者装置に送信する秘密情報送信方法であって、
利用者装置からのページ要求を受信したサービス提供者装置が、秘密情報入力フィールド定義情報を含む情報を有するページを利用者装置に送信するステップと、
利用者装置が、受信したページに含まれる前記情報を、所定の第三者機関により正当性を保証されたアプリケーションのみを搭載する機能を備えた外部装置に送信するステップと、
外部装置が、前記情報を受信し、秘密情報入力フィールド定義情報に基づき秘密情報入力フォームを表示し、利用者からの秘密情報の入力を受け付け、当該秘密情報を含む情報をサービス提供者装置のみが解読できるように暗号化した暗号化情報を生成し、当該暗号化情報を利用者装置に送信するステップと、
利用者装置が、外部装置で入力された秘密情報以外の情報の入力及び次ページ要求指示を受け付け、前記暗号化情報と秘密情報以外の情報とを含む次ページ要求をサービス提供者装置に送信するステップと、
サービス提供者装置が、次ページ要求に含まれる前記暗号化情報を解読して得られる秘密情報と秘密情報以外の情報とを用いることによりサービス提供処理を実行するステップと
を有することを特徴とする秘密情報送信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2007−116641(P2007−116641A)
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願番号】特願2005−308929(P2005−308929)
【出願日】平成17年10月24日(2005.10.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(000102717)エヌ・ティ・ティ・ソフトウェア株式会社 (43)
【Fターム(参考)】
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願日】平成17年10月24日(2005.10.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(000102717)エヌ・ティ・ティ・ソフトウェア株式会社 (43)
【Fターム(参考)】
[ Back to top ]