通信システム、通信装置、通信方法
【課題】第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することを可能にする通信システム、通信装置、通信方法を提供する。
【解決手段】通信システムは、端末装置と、提供サーバと、管理サーバと、仲介装置とを具備する。端末装置は、ユーザが操作して所定のサービスの提供を要求し、情報を暗号化する共通鍵を生成する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報の開示を求め、部分属性情報に基づいてサービスを提供する。管理サーバは、属性情報を管理し、属性情報から抽出した部分属性情報を共通鍵により暗号化して仮ユーザ識別子とともに提供サーバに開示する。仲介装置は、仮ユーザ識別子に基づいて、端末装置と提供サーバと管理サーバとの接続関係を管理し、提供サーバと端末装置と管理サーバとの間の通信を仲介する。
【解決手段】通信システムは、端末装置と、提供サーバと、管理サーバと、仲介装置とを具備する。端末装置は、ユーザが操作して所定のサービスの提供を要求し、情報を暗号化する共通鍵を生成する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報の開示を求め、部分属性情報に基づいてサービスを提供する。管理サーバは、属性情報を管理し、属性情報から抽出した部分属性情報を共通鍵により暗号化して仮ユーザ識別子とともに提供サーバに開示する。仲介装置は、仮ユーザ識別子に基づいて、端末装置と提供サーバと管理サーバとの接続関係を管理し、提供サーバと端末装置と管理サーバとの間の通信を仲介する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人に属する属性情報の提供および保護を行う通信システム、通信装置、通信方法に関する。
【背景技術】
【0002】
近年の情報通信システムの進展、高度利用に伴い、個人に属する属性情報の管理を厳重に行うことが求められている。ここでいう属性情報とは、例えば、その人の氏名、性別、年齢(生年月日)、住所、職業、所属、その人が有する資格、その他諸々の情報を指す。このような情報を利用して、例えば、コンテンツ配信などの各種サービスが提供されると便利ではあるが、利用者の属性情報は無条件に公開されてよいものではない。属性情報の公開は厳しく制限され、属性情報は厳重に管理されなければならない。
【0003】
特開2005−250779号公報には、通信端末を利用するための通信ネットワークサービス契約を締結している利用者に関する情報を属性情報として提供する属性管理装置が開示されている。属性管理装置は、属性情報記憶手段と、属性要求受信手段と、属性情報取得手段と、属性情報送信手段とを備える。属性情報記憶手段は、利用者の属性情報を記憶し、属性要求受信手段は、利用者の属性情報の提供を要求するための属性要求データを受信する。属性情報取得手段は、属性要求受信手段により受信された属性要求データに基づいて、要求されている利用者の属性情報を、予め定められた属性情報の開示に関する所定のポリシ情報に従って、属性情報記憶手段より取得する。属性情報送信手段は、属性情報取得手段により取得された属性情報を所定のポリシ情報に従って送信する。このようにして属性情報が提供される。
【0004】
一方、属性情報の正当性を検証する必要性もある。一般的に、正当性を検証して証明する第三者機関に接続する方法が用いられるが、特開2006−325072号公報に記載されているように、通信端末間で正当性が検証された属性情報を交換するシステムも知られている。この属性情報交換システムは、復号鍵生成手段、属性情報送信手段、暗号鍵受信手段、情報保存手段、チャレンジ情報送信手段、署名情報生成手段、署名情報送信手段、署名情報検証手段を具備する通信端末と、暗号鍵生成手段、暗号鍵送信手段を具備する発行センタとを備えている。
【0005】
通信端末における復号鍵生成手段は、ユーザの属性情報から検証用の復号鍵を生成する。属性情報送信手段は、属性情報を送信する。暗号鍵受信手段は、暗号化用の暗号鍵を受信する。情報保存手段は、属性情報と復号鍵と暗号鍵とを保存する。チャレンジ情報送信手段は、相手の属性情報を確認するためのチャレンジ情報を送信する。署名情報生成手段は、受信したチャレンジ情報を暗号鍵で暗号化して署名情報を生成する。署名情報送信手段は、生成した署名情報を送信する。署名情報検証手段は、署名情報を受信し、受信した署名情報を検証する。発行センタにおける暗号鍵生成手段は、属性情報を通信端末から受信し、受信した属性情報から暗号化用の暗号鍵を生成する。暗号鍵送信手段は、生成された暗号鍵を送信する。
【0006】
【特許文献1】特開2005−250779号公報
【特許文献2】特開2006−325072号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の目的は、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することを可能にする通信システム、通信装置、通信方法を提供することにある。
【課題を解決するための手段】
【0008】
本発明の観点では、通信システムは、端末装置と、提供サーバと、管理サーバと、仲介装置とを具備する。端末装置は、ユーザが操作して所定のサービスの提供を要求し、情報を暗号化する共通鍵を生成する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報の開示を求め、部分属性情報に基づいてサービスを提供する。管理サーバは、属性情報を管理し、属性情報から抽出した部分属性情報を共通鍵により暗号化して仮ユーザ識別子とともに提供サーバに開示する。仲介装置は、仮ユーザ識別子に基づいて、端末装置と提供サーバと管理サーバとの接続関係を管理し、提供サーバと端末装置と管理サーバとの間の通信を仲介する。
【0009】
本発明の他の観点では、通信装置は、回線制御部と、通信テーブルと、制御部とを具備する。回線制御部は、端末装置と、提供サーバと、管理サーバとに接続する。端末装置は、情報を暗号化および復号化する共通鍵を生成し、ユーザが操作して所定のサービスの提供を要求する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報に基づいてサービスを提供する。管理サーバは、提供サーバの要求に応じて属性情報から抽出される部分属性情報を共通鍵に基づいて暗号化して仮ユーザ識別子とともに提供サーバに開示する。通信テーブルは、端末装置と提供サーバと管理サーバとの接続関係を仮ユーザ識別子に関連付けて格納する。制御部は、通信テーブルを参照して送信先を回線制御部に指示する。
【0010】
また、本発明の他の観点では、通信方法は、サービスの提供を要求するステップと、開示を要求するステップと、サービスを提供するステップと、暗号化部分属性情報を生成するステップと、暗号化部分属性情報を提供サーバに送信するステップとを具備する。サービスの提供を要求するステップは、ユーザが所望するサービスの提供を提供サーバに要求するステップを備え、情報を暗号化する共通鍵を生成するステップを含む。開示を要求するステップは、ユーザに属する属性情報のうちの部分属性情報の開示を要求するステップを備える。サービスを提供するステップは、部分属性情報に基づいて、提供サーバによってサービスを提供するステップを備える。暗号化部分属性情報を生成するステップは、管理サーバに格納される属性情報から部分属性情報を抽出し、共通鍵に基づいて暗号化して暗号化部分属性情報を生成するステップを備える。暗号化部分属性情報を提供サーバに送信するステップは、管理サーバおよび前記提供サーバに付与された回線識別子を仮ユーザ識別子に関連付けて格納する通信テーブルに基づいて、暗号化部分属性情報を仮ユーザ識別子とともに提供サーバに送信するステップを備える。
【発明の効果】
【0011】
本発明によれば、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することを可能にする通信システム、通信装置、通信方法を提供することができる。
【発明を実施するための最良の形態】
【0012】
図1を参照して、本発明の実施の形態に係る通信システムにおける情報の授受関係を説明する。
【0013】
通信システムには、ユーザ端末装置100と、属性情報管理装置500と、サービス提供装置400と、通信仲介装置300とが含まれる。ユーザ端末装置100は、サービスの提供を受けるユーザによって操作され、ユーザはサービスを享受する。属性情報管理装置500は、そのユーザに関する情報、例えば、氏名、年齢(生年月日)、住所、職業、所属、資格、その他情報を示す属性情報を管理する。サービス提供装置400は、ユーザにサービスを提供する。通信仲介装置300は、ユーザ端末装置100、サービス提供装置400、属性情報管理装置500のそれぞれを回線で接続し、安全な情報の授受を保証する。すなわち、通信仲介装置300は、属性情報管理装置500とサービス提供装置400との間の通信、ユーザ端末装置100とサービス提供装置400との間の通信において、相手は特定できないが信頼できる相手であることを保証する。
【0014】
各装置間の情報の授受について、ユーザが年齢制限付き画像配信サービスを受ける場合を例として説明する。
ステップA:ユーザは、ユーザ端末装置100を操作してサービス提供装置400に年齢制限付き画像配信サービスを要求する。
ステップB:サービス提供装置400は、その画像配信サービスが年齢制限付きであることからユーザの年齢を確認すべく、通信仲介装置300を介してユーザ端末装置100に属性情報の開示を要請する。
ステップC:ユーザ端末装置100は、属性情報管理装置500に対して、要請のあった年齢に関する属性情報をサービス提供装置400に開示するように依頼する。
ステップD:属性情報管理装置500は、保持する属性情報のうちの依頼された年齢に関する属性情報をサービス提供装置400に通信仲介装置300を介して送る。
ステップE:属性情報管理装置500からサービス提供装置400に送られた情報は、ユーザが確認できるようにユーザ端末装置100に送られてもよい。
ステップF:サービス提供装置400は、ユーザの年齢を確認するとユーザ端末装置100に向けて画像配信サービスを提供する。ユーザは、ユーザ端末装置100により配信された画像を享受する。
【0015】
ここで、属性情報管理装置500は、サービス提供装置400に属性情報を通知することからユーザがどのサービス提供装置400に接続してサービスを受けようとしているかという情報を取得することができる。逆に、サービス提供装置400は、ユーザがどの属性情報管理装置500に属性情報を預けているかという情報を取得することができる。これらの情報も属性情報ということができる。また、属性情報が通信仲介装置300を通過するため、通信仲介装置300が属性情報を取得することもできる。つまり、属性情報の漏洩が起きる可能性がある。
【0016】
したがって、厳重に属性情報を管理するためには、属性情報を暗号化して送受することはもとより、直接関与しない情報は相手(仲介者を含む)に示されることなく処理されなければならない。すなわち、サービス提供装置400は、ユーザ(ユーザ端末装置100)および属性情報管理装置500を特定せずにサービスを提供する。属性情報管理装置500は、サービス提供装置400を特定せずに、ユーザを明らかにしないで必要最小限の属性情報のみ開示する。通信仲介装置300は、接続情報を管理しても、情報に触れることなく情報の送受を仲介する。また、情報やサービスの提供に対する課金も確実に行われることも重要である。このような通信システムが求められる。
【0017】
(第1の実施の形態)
図2に、本発明の第1の実施の形態に係る通信システムの構成が示される。この通信システムは、ユーザ端末装置10と、通信仲介装置30と、サービス提供サーバ40と、属性情報管理サーバ50とを備える。ここでは、説明を簡単にするために、単独の装置として説明される。
【0018】
ユーザ端末装置10は、入出力部12、端末制御部14、回線通信部16を備え、パーソナルコンピュータに例示される情報処理装置である。ユーザ端末装置10は、通信仲介装置30を介してサービス提供サーバ40にアクセスしてサービスの提供を受ける。入出力部12は、キーボードやマウス等の入力装置や、ディスプレイやスピーカ等の出力装置を備え、ユーザがユーザ端末装置10を操作するための機能とユーザに情報を提示するための機能とを有している。端末制御部14は、サービス提供サーバ40が提供するサービスを受けるための処理を行い、暗号化の共通鍵の生成や暗号化された情報の解読を行う。回線通信部16は、通信仲介装置30と通信する機能を備え、通信仲介装置30によって回線識別子が割り振られている。
【0019】
属性情報管理サーバ50は、回線通信部56、情報管理部54、ユーザ情報を格納するユーザ情報格納部58を備える。回線通信部56は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。情報管理部54は、ユーザ情報格納部58に格納されるユーザの属性情報を管理する。情報管理部54は、ユーザから与えられる共通鍵に基づいてユーザの属性情報を暗号化し、ユーザが許諾した相手にのみ属性情報を開示することができる。ユーザ情報格納部58は、ユーザの属性情報を、例えば図3に示されるように、会員番号等に例示されるユーザ識別子と、氏名、性別、生年月日、職業、住所、現在位置情報等とを関連付けて格納する。
【0020】
通信仲介装置30は、回線通信制御部36、情報管理制御部34、通信テーブルを格納する通信テーブル格納部38、サービス提供サーバ40に関するサーバ情報を格納するサーバ情報格納部39を備える。通信仲介装置30は、通信相手を秘匿する機能を備え、接続先を知られないように装置間を接続することができる。回線通信制御部36は、接続される回線に割り振られる回線識別子に基づいて装置間の情報の送受を仲介する。情報管理制御部34は、サーバ情報格納部39に格納されるサーバの証明書等のサーバ情報を管理し、通信テーブル格納部38に格納される通信テーブルを管理して情報の送信先を制御する。情報の送信先が仮ユーザ識別子によって示されるとき、回線通信制御部36は、情報管理制御部34の指示に基づいて情報を送信する。情報管理制御部34は、サーバ情報を参照して、接続先がサービス提供サーバ40であれば、ユーザ端末装置10に仮ユーザ識別子を与え、通信テーブルを生成する。情報管理制御部34は、仮ユーザ識別子を使って送受する情報に関して、通信テーブルに基づいて送信先を決定し、回線通信制御部36を制御する。
【0021】
通信テーブルは、図4に示されるように、ユーザ端末回線識別子と、セッション識別子と、仮ユーザ識別子と、サービス提供サーバ回線識別子とを関連付けて格納する。ユーザ端末回線識別子は、サービス要求を発したユーザ端末装置10の回線識別子を示す。サービス提供サーバ回線識別子は、ユーザ端末装置10が接続先としたサービス提供サーバ40の回線識別子を示す。
【0022】
サーバ情報は、図5に示されるように、提供サーバ識別子と、サービス提供サーバ回線識別子と、公開鍵情報とを関連付けて格納する。提供サーバ識別子は、サービスを提供するサービス提供サーバ40を識別するための識別子である。サービス提供サーバ回線識別子は、サービス提供サーバ40の回線識別子である。公開鍵情報は、サービス提供サーバ40に情報を送るときに暗号化するための公開鍵証明書に関する情報である。
【0023】
サービス提供サーバ40は、回線通信部46、サービス制御部44、ポリシ判定部42、サービスコンテンツ格納部48を備える。回線通信部46は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。サービス制御部44は、コンテンツの管理、暗号化された属性情報の解読等、ユーザ端末装置10にサービスを提供するための制御を行う。ポリシ判定部42は、ユーザ端末装置10から要求されたサービスを提供してよいかどうかを判定する機能を有している。サービスコンテンツ格納部48は、図6に示されるように、提供するサービスの識別子と、提供するコンテンツと、そのコンテンツを提供する条件とを関連付けて格納する。
【0024】
図7を参照して、この通信システムの動作を説明する。
ユーザは、ユーザ端末装置10の入出力部12によって所望のサービスを選択し、サービス提供サーバ40にアクセスするように指示する(ステップS110)。入出力部12は、サービス選択情報を端末制御部14に送る。端末制御部14は、サービス選択情報と、サービス選択情報に基づいて抽出されたサービス提供サーバ40の回線識別子とを回線通信部16に送る。回線通信部16は、サービス提供サーバ40の回線識別子を送信先に設定して、サービス要求を通信仲介装置30に送る(ステップS111)。
【0025】
通信仲介装置30では、回線通信制御部36は、送信先にサービス提供サーバ40が指定されているサービス要求を受けたことを情報管理制御部34に通知する。情報管理制御部34は、仮ユーザ識別子を生成し、要求のあったユーザ端末回線識別子と、セッション識別子と、サービス提供サーバ40の回線識別子とを通信テーブル格納部38に格納される通信テーブルに追加する(ステップS141)。回線通信制御部36は、ユーザ端末回線識別子の代わりに仮ユーザ識別子を使ってサービス提供サーバ40にサービス要求を送信する(ステップS143)。
【0026】
サービス提供サーバ40では、回線通信部46は、受信したサービス要求をサービス制御部44に送る。サービス制御部44は、サービスコンテンツ格納部48を参照して、要求されたサービスの提供条件を抽出し、ポリシ判定部42に送る。ポリシ判定部42は、要求されたサービスの提供に必要な条件が満たされているか否かを判定する。すなわち、ポリシ判定部42は、サービス提供にあたって個人の属性情報や認証情報等が必要であるか、サービスのポリシと照らし合わせる(ステップS171)。追加情報が必要な場合(例えば、先に説明した画像配信において年齢が不明である場合)、ポリシ判定部42はサービス制御部44に属性情報要求する(年齢に関する情報の入手を要求する)。サービス制御部44は、回線通信部46に属性情報要求を送信するように指示する。回線通信部46は、受信したサービス要求に含まれる仮ユーザ識別子を送信先として、属性情報要求を送信する(ステップS173)。
【0027】
属性情報要求を受信した通信仲介装置30は、送信先が仮ユーザ識別子により示されていることから、通信テーブルを検索して仮ユーザ識別子に対応するユーザ端末回線識別子を抽出する。通信仲介装置30は、送信先をユーザ端末回線識別子に変換し、属性情報要求を仮ユーザ識別子とともにユーザ端末装置10に送信する(ステップS145)。
【0028】
ユーザ端末装置10では、回線通信部16は属性情報要求と仮ユーザ識別子とを端末制御部14に送る。端末制御部14は、回線通信部16を介して通信仲介装置30に対してサービス提供サーバ40の証明書要求を行う(ステップS115)。
【0029】
通信仲介装置30では、証明書要求を受けると情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報からサービス提供サーバ40の証明書を抽出する(ステップS147)。情報管理制御部34は、抽出された証明書をユーザ端末装置10に回線通信制御部36を介して送信する(ステップS149)。
【0030】
ユーザ端末装置10では、回線通信部16を介して証明書を受信した端末制御部14は、その証明書から公開鍵Pを取り出す。また、端末制御部14は、共通鍵Kを生成し、仮ユーザ識別子と共に記憶しておく。端末制御部14は、共通鍵Kを公開鍵Pによって暗号化して暗号化共通鍵P(K)を作成する(ステップS117)。仮ユーザ識別子および暗号化共通鍵P(K)は、回線通信部16から通信仲介装置30を介してサービス提供サーバ40に送信される(ステップS119/S151)。
【0031】
サービス提供サーバ40では、回線通信部46は、受信した仮ユーザ識別子および暗号化共通鍵P(K)をサービス制御部44に送る。サービス制御部44は、サービス提供サーバ40の証明書に対応する秘密鍵P^によって暗号化共通鍵P(K)を復号化し、共通鍵Kを取り出す。サービス制御部44は、共通鍵Kと仮ユーザ識別子とを関連付けて記憶する(ステップS175)。
【0032】
一方、ユーザ端末装置10では、端末制御部14は、仮ユーザ識別子と属性情報要求と共通鍵Kとを含む情報Jを属性情報管理サーバ50の公開鍵Qによって暗号化し、暗号化情報Q(J)を生成する(ステップS121)。暗号化情報Q(J)は、回線通信部16から通信仲介装置30を介して属性情報管理サーバ50に送信される(ステップS123/S153)。
【0033】
属性情報管理サーバ50では、回線通信部56で受信された暗号化情報Q(J)は、情報管理部54に送られる。情報管理部54は、属性情報管理サーバ50の公開鍵Qに対応する秘密鍵Q^によって暗号化情報Q(J)を復号化し、情報Jを取り出す。情報管理部54は、情報Jに含まれる属性情報要求に基づいて、ユーザ情報格納部58に格納されるユーザ情報を検索し、要求されたユーザの属性情報を抽出する。年齢制限付き画像配信サービスの例であれば、生年月日が抽出される。抽出された属性情報Iは、情報Jに含まれる共通鍵Kによって暗号化属性情報K(I)に暗号化される(ステップS191)。暗号化属性情報K(I)は、仮ユーザ識別子とともに回線通信部56によって通信仲介装置30に送信される(ステップS193)。
【0034】
暗号化属性情報K(I)を受信した通信仲介装置30では、回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送って暗号化属性情報K(I)の送信先を照会する。情報管理制御部34は、暗号化属性情報K(I)の提供の対価として、仮ユーザ識別子に対して課金したことを示す課金情報を属性情報管理サーバ50に回線通信制御部36を介して送信しても良い(ステップS155)。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを参照して仮ユーザ識別子に対応するユーザ端末回線識別子とサービス提供サーバ回線識別子とを抽出し、回線通信制御部36に送る(ステップS157)。回線通信制御部36は、ユーザ端末回線識別子とサービス提供サーバ回線識別子とに基づいて、ユーザ端末装置10およびサービス提供サーバ40に向けて、仮ユーザ識別子と暗号化属性情報K(I)とを送信する(ステップS159/S158)。
【0035】
一方、暗号化属性情報K(I)を受信したユーザ端末装置10では、端末制御部14は、仮ユーザ識別子に対応する共通鍵Kを取り出し、暗号化属性情報K(I)を共通鍵Kにより解読する。入出力部12は、解読された属性情報Iをユーザに画像や音声等によって提示する。これによってユーザは、開示された属性情報Iを確認することができる。
【0036】
暗号化属性情報K(I)を受信したサービス提供サーバ40では、回線通信部46は、仮ユーザ識別子と暗号化属性情報K(I)とをサービス制御部44に送る。サービス制御部44は、仮ユーザ識別子に対応付けて記憶している共通鍵Kを取り出し、暗号化属性情報K(I)を復号化する。解読された属性情報Iは、ポリシ判定部42に送られる。ポリシ判定部42は、属性情報Iに基づいて、サービスを提供しても良いか否かを判定し、その結果をサービス制御部44に送る(ステップS177)。サービス制御部44は、判定結果がサービス許諾を示す場合、通信仲介装置30を介して、ユーザ端末装置10にサービスを提供する(ステップS181/S161)。例えば、提供サービスが画像配信サービスであれば、サービスコンテンツ格納部48に格納される画像コンテンツが、通信仲介装置30を介してユーザ端末装置10に送信される。ユーザ端末装置10では端末制御部14がコンテンツ情報を処理して入出力部12から表示出力、音声出力してユーザに供する。なお、ポリシ判定部42がサービス提供不適であると判定した場合、サービス制御部44は、サービスを提供できないことをユーザ端末装置10に通信仲介装置30を介して送信し、処理を終了する。
【0037】
サービス提供が終了すると、サービス提供サーバ40は、仮ユーザ識別子に対応するユーザに対して提供されたサービスに対する課金を通信仲介装置30に依頼する(ステップS183)。通信仲介装置30は、仮ユーザ識別子に対応するユーザ、すなわち通信テーブルによって仮ユーザ識別子に対応するユーザ端末回線識別子のユーザに課金する。通信仲介装置30は、仮ユーザ識別子のユーザに課金したことをサービス提供サーバ40に課金情報として通知する(ステップS165)。
【0038】
このように、仮ユーザ識別子によってユーザの特定を防止し、暗号化によって情報の漏洩を防止することにより、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することが可能になる。
【0039】
(第2の実施の形態)
図8に、本発明の第2の実施の形態に係る通信システムの構成が示される。この通信システムは、ユーザ端末装置10とユーザデバイス20と通信仲介装置30とサービス提供サーバ40と属性情報管理サーバ50とを備える。第1の実施の形態で説明された通信システムに比べて、ユーザデバイス20が追加され、ユーザデバイス20に対応するように属性情報管理サーバ50に端末通信部52が追加されている。また、仮ユーザ識別子の生成は、サービス提供サーバ40で行われる。
【0040】
ユーザ端末装置10は、入出力部12、端末制御部14、回線通信部16を備え、パーソナルコンピュータに例示される情報処理装置である。ユーザ端末装置10は、通信仲介装置30を介してサービス提供サーバ40にアクセスしてサービスの提供を受ける。入出力部12は、キーボードやマウス等の入力装置、ディスプレイやスピーカ等の出力装置を備え、ユーザがユーザ端末装置10を操作するための機能とユーザに情報を提示するための機能とを有している。また、入出力部12は、有線/無線(電波、赤外線等)によるユーザデバイス20との通信機能を有する。端末制御部14は、サービス提供サーバ40が提供するサービスを受けるための処理を行い、暗号化の共通鍵の生成や暗号化された情報の解読を行う。回線通信部16は、通信仲介装置30と通信する機能を備え、通信仲介装置30によって回線識別子が割り振られている。
【0041】
ユーザデバイス20は、個人が所持して個人をほぼ特定可能である携帯電話機に例示される機器であり、入出力部22、デバイス制御部24、端末通信部26を備える。入出力部22は、ユーザ端末装置10の入出力部12から出力される情報を有線/無線通信、キーボード/マウスによる人手入力、カメラ機能等によって入力することができる。デバイス制御部24は、入出力部22から入力された情報を処理し、入出力部22から出力あるいは端末通信部26から出力する。端末通信部26は、属性情報管理サーバ50と通信するための機能を有する。本実施の形態では、ユーザデバイス20は、入出力部22のカメラ機能によってユーザ端末装置10の入出力部12のディスプレイに表示された画像を取り込むものとする。ユーザデバイス20は、デバイス制御部24によってその画像で示される情報を抽出し、端末通信部26から属性情報管理サーバ50に送信するとして説明される。
【0042】
属性情報管理サーバ50は、端末通信部52、回線通信部56、情報管理部54、ユーザ情報を格納するユーザ情報格納部58を備える。端末通信部52は、ユーザデバイス20と通信する機能を備える。この通信は、通信仲介装置30を介在させずに行われる。回線通信部56は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。情報管理部54は、ユーザ情報格納部58に格納されるユーザの属性情報を管理する。情報管理部54は、ユーザから与えられる共通鍵に基づいてユーザの属性情報を暗号化し、ユーザが許諾した相手にのみ属性情報を開示することができる。ユーザ情報格納部58は、ユーザの属性情報を、例えば図3に示されるように、ユーザ識別子と、ユーザの氏名、性別、生年月日、職業、住所、現在位置情報等とを関連付けて格納する。
【0043】
通信仲介装置30は、回線通信制御部36、情報管理制御部34、通信テーブルを格納する通信テーブル格納部38、サービス提供サーバ40に関するサーバ情報を格納するサーバ情報格納部39を備える。通信仲介装置30は、通信相手を秘匿する機能を備え、接続先を知られないように装置間を接続することができる。回線通信制御部36は、接続される回線に割り振られる回線識別子に基づいて装置間の情報の送受を仲介する。情報の送信先が仮ユーザ識別子によって示されるとき、回線通信制御部36は、情報管理制御部34の指示に基づいて情報を送信する。情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報を管理し、各サーバの証明書等の情報を管理する。また、情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを更新して情報の送信先を制御する。回線通信制御部36から送信先の問い合わせがあると、情報管理制御部34は、通信テーブルを参照して、情報の送信先を指示する。
【0044】
通信テーブルは、図4に示されるように、ユーザ端末回線識別子と、セッション識別子と、仮ユーザ識別子と、サービス提供サーバ回線識別子とを関連付けて格納する。ユーザ端末回線識別子は、サービス要求を発したユーザ端末装置10の回線識別子を示す。サービス提供サーバ回線識別子は、ユーザ端末装置10が接続先としたサービス提供サーバ40の回線識別子を示す。
【0045】
サーバ情報は、図5に示されるように、提供サーバ識別子と、サービス提供サーバ回線識別子と、公開鍵情報とを関連付けて格納する。提供サーバ識別子は、サービスを提供するサービス提供サーバ40を識別するための識別子である。サービス提供サーバ回線識別子は、サービス提供サーバ40の回線識別子である。公開鍵情報は、サービス提供サーバ40に情報を送るときに暗号化するための公開鍵証明書に関する情報である。
【0046】
サービス提供サーバ40は、回線通信部46、サービス制御部44、ポリシ判定部42、サービスコンテンツ格納部48を備える。回線通信部46は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。サービス制御部44は、コンテンツの管理、暗号化された属性情報の解読等、ユーザ端末装置10にサービスを提供するための制御、仮ユーザ識別子の生成を行う。ポリシ判定部42は、ユーザ端末装置10から要求されたサービスを提供してよいかどうかを判定する機能を有している。サービスコンテンツ格納部48は、図6に示されるように、提供するサービスの識別子と、提供するコンテンツと、そのコンテンツを提供する条件とを関連付けて格納する。
【0047】
図9を参照して、この通信システムの動作を説明する。
ユーザは、ユーザ端末装置10の入出力部12によって所望のサービスを選択し、サービス提供サーバ40にアクセスするように指示する(ステップS210)。入出力部12は、サービス選択情報を端末制御部14に送る。端末制御部14は、サービス選択情報と、サービス選択情報に基づいて抽出されたサービス提供サーバ40の回線識別子とを回線通信部16に送る。回線通信部16は、サービス提供サーバ40の回線識別子を送信先に設定して、サービス要求を通信仲介装置30に送る(ステップS211)。
【0048】
通信仲介装置30では、回線通信制御部36は、サービス要求をサービス提供サーバ40に送信するとともに(ステップS241)、サービス提供サーバ40に対するサービス要求を受けたことを情報管理制御部34に通知する。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルに、要求のあったユーザ端末回線識別子と、セッション識別子と、サービス提供サーバ40の回線識別子とを追加する(ステップS243)。
【0049】
サービス提供サーバ40では、回線通信部46は、受信したサービス要求をサービス制御部44に送る。サービス制御部44は、サービスコンテンツ格納部48を参照して、要求されたサービスの提供条件を抽出し、ポリシ判定部42に送る。ポリシ判定部42は、要求されたサービスの提供に必要な条件が満たされているか否かを判定する。すなわち、ポリシ判定部42は、サービス提供にあたって個人の属性情報や認証情報等が必要であるか、サービスのポリシと照らし合わせる(ステップS271)。追加情報が必要な場合(例えば、先に説明した画像配信において年齢が不明である場合)、ポリシ判定部42はサービス制御部44に属性情報要求する(年齢に関する情報の入手を要求する)。サービス制御部44は、仮ユーザ識別子Uを生成し、回線通信部46に属性情報要求とともに仮ユーザ識別子を送信するように指示する。回線通信部46は、仮ユーザ識別子と属性情報要求とを通信仲介装置30に送信する(ステップS273)。
【0050】
通信仲介装置30では、属性情報要求と仮ユーザ識別ことを受信した回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送る。情報管理制御部34は、サービス提供サーバ回線識別子に基づいて通信テーブルを検索し、先に登録されているレコードに仮ユーザ識別子を追加する(ステップS246)。通信仲介装置30は、属性情報要求を仮ユーザ識別子とともにユーザ端末装置10に送信する(ステップS245)。
【0051】
ユーザ端末装置10では、回線通信部16は属性情報要求と仮ユーザ識別子とを端末制御部14に送る。端末制御部14は、回線通信部16を介して通信仲介装置30に対してサービス提供サーバ40の証明書要求を行う(ステップS215)。
【0052】
通信仲介装置30では、証明書要求を受けると情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報からサービス提供サーバ40の証明書を抽出する(ステップS247)。情報管理制御部34は、抽出された証明書をユーザ端末装置10に回線通信制御部36を介して送信する(ステップS249)。
【0053】
ユーザ端末装置10では、回線通信部16を介して証明書を受信した端末制御部14は、その証明書から公開鍵Pを取り出す。また、端末制御部14は、共通鍵Kを生成し、仮ユーザ識別子と共に記憶する。端末制御部14は、共通鍵Kを公開鍵Pによって暗号化して暗号化共通鍵P(K)を作成する(ステップS217)。仮ユーザ識別子および暗号化共通鍵P(K)は、回線通信部16から通信仲介装置30を介して、サービス提供サーバ40に送信される(ステップS219/S251)。
【0054】
サービス提供サーバ40では、回線通信部46は、受信した仮ユーザ識別子および暗号化共通鍵P(K)をサービス制御部44に送る。サービス制御部44は、サービス提供サーバ40の証明書に対応する秘密鍵P^によって暗号化共通鍵P(K)を復号化し、共通鍵Kを取り出す。サービス制御部44は、共通鍵Kと仮ユーザ識別子とを関連付けて記憶する(ステップS275)。
【0055】
一方、ユーザ端末装置10では、端末制御部14は、仮ユーザ識別子と属性情報要求と共通鍵Kとを含む情報Jを入出力部12に送る(ステップS221)。情報Jは、ユーザデバイス20の入出力部22からデバイス制御部24に取り込まれる。デバイス制御部24は、取り込んだ情報Jを端末通信部26から属性情報管理サーバ50に送信する(ステップS231)。このように、共通鍵Kによって暗号化される情報が送受される経路と、共通鍵Kを送受する経路とを分離することにより、暗号化して隠蔽することなく共通鍵Kを送受することができる。
【0056】
このとき、ユーザデバイス20への入力は、ユーザ端末装置10の入出力部12のディスプレイに表示された情報Jに基づいて生成された画像をユーザデバイス20の入出力部22であるカメラによって取り込み、画像処理を行って情報Jを抽出してもよい。また、ユーザ端末装置10の入出力部12のディスプレイに表示された情報Jをユーザが読み取ってユーザデバイス20の入出力部22であるキーボードから手入力してもよい。
【0057】
属性情報管理サーバ50では、回線通信部56で受信された情報Jは、情報管理部54に送られる。情報管理部54は、情報Jに含まれる属性情報要求に基づいて、ユーザ情報格納部58に格納されるユーザ情報を検索し、要求されたユーザの属性情報を抽出する。抽出された属性情報Iは、情報Jに含まれる共通鍵Kによって暗号化属性情報K(I)に暗号化される(ステップS291)。暗号化属性情報K(I)は、仮ユーザ識別子とともに回線通信部56によって通信仲介装置30に送信される(ステップS293)。
【0058】
暗号化属性情報K(I)を受信した通信仲介装置30では、回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送って暗号化属性情報K(I)の送信先を照会する。情報管理制御部34は、暗号化属性情報K(I)の提供の対価として、仮ユーザ識別子に対して課金したことを示す課金情報を属性情報管理サーバ50に回線通信制御部36を介して送信しても良い(ステップS255)。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを参照して仮ユーザ識別子に対応するユーザ端末回線識別子とサービス提供サーバ回線識別子とを抽出し、回線通信制御部36に送る(ステップS257)。回線通信制御部36は、ユーザ端末回線識別子とサービス提供サーバ回線識別子とに基づいて、ユーザ端末装置10およびサービス提供サーバ40に向けて、仮ユーザ識別子と暗号化属性情報K(I)とを送信する(ステップS259/S258)。
【0059】
暗号化属性情報K(I)を受信したユーザ端末装置10では、端末制御部14は、仮ユーザ識別子に対応する共通鍵Kを取り出し、暗号化属性情報K(I)を共通鍵Kにより解読する。入出力部12は、解読された属性情報Iをユーザに画像や音声等によって提示する。これによってユーザは、開示された属性情報Iを確認することができる。
【0060】
一方、暗号化属性情報K(I)を受信したサービス提供サーバ40では、回線通信部46は、仮ユーザ識別子と暗号化属性情報K(I)とをサービス制御部44に送る。サービス制御部44は、仮ユーザ識別子に対応付けて記憶している共通鍵Kを取り出し、暗号化属性情報K(I)を解読する。解読された属性情報Iは、ポリシ判定部42に送られる。ポリシ判定部42は、属性情報Iに基づいて、サービスを提供しても良いか否かを判定し、その結果をサービス制御部44に送る(ステップS277)。サービス制御部44は、判定結果がサービス許諾を示す場合、通信仲介装置30を介して、ユーザ端末装置10にサービスを提供する(ステップS281/S261)。例えば、提供サービスが画像配信サービスであれば、サービスコンテンツ格納部48に格納される画像コンテンツが通信仲介装置30を介してユーザ端末装置10に送信される。ユーザ端末装置10では端末制御部14がコンテンツ情報を処理して入出力部12から表示出力、音声出力してユーザに供する。なお、ポリシ判定部42がサービス提供不適であると判定した場合、サービス制御部44は、サービスを提供できないことをユーザ端末装置10に通信仲介装置30を介して送信し、処理を終了する。
【0061】
サービス提供が終了すると、サービス提供サーバ40は、仮ユーザ識別子に対応するユーザに対して提供されたサービスに対する課金を通信仲介装置30に依頼する(ステップS283)。通信仲介装置30は、仮ユーザ識別子に対応するユーザ、すなわち通信テーブルによって仮ユーザ識別子に対応するユーザ端末回線識別子のユーザに課金する。通信仲介装置30は、仮ユーザ識別子のユーザに課金したことをサービス提供サーバ40に課金情報として通知する(ステップS265)。
【0062】
このように、仮ユーザ識別子によってユーザの特定を防止し、暗号化によって情報の漏洩を防止することにより、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することが可能になる。
【0063】
なお、通信仲介装置30の回線通信制御部36は、ネットワークを形成して、複数個所に配置されてもよく、そこに接続されるユーザ端末装置10、サービス提供サーバ40、属性情報管理サーバ50も複数であることが好ましい。また、ユーザデバイス20は、ICカード等の記憶を主機能とするデバイスと、そのデバイスを制御できる機器との組み合わせとあっても良い。
【0064】
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態に係る通信システムにおける情報の授受関係を説明する図である。
【図2】本発明の第1の実施の形態に係る通信システムの構成を示す図である。
【図3】同ユーザ情報の構成例を示す図である。
【図4】同通信テーブルの構成例を示す図である。
【図5】同サーバ情報の構成例を示す図である。
【図6】同サービスコンテンツ情報の構成例を示す図である。
【図7】同動作を説明する図である。
【図8】本発明の第2の実施の形態に係る通信システムの構成を示す図である。
【図9】同動作を説明する図である。
【符号の説明】
【0066】
10 ユーザ端末装置
12 入出力部
14 端末制御部
16 回線通信部
20 ユーザデバイス
22 入出力部
24 デバイス制御部
26 端末通信部
30 通信仲介装置
34 情報管理制御部
36 回線通信制御部
38 通信テーブル格納部
39 サーバ情報格納部
40 サービス提供サーバ
42 ポリシ判定部
44 サービス制御部
46 回線通信部
48 サービスコンテンツ格納部
50 属性情報管理サーバ
52 端末通信部
54 情報管理部
56 回線通信部
58 ユーザ情報格納部
100 ユーザ端末装置
300 通信仲介装置
400 サービス提供装置
500 属性情報管理装置
【技術分野】
【0001】
本発明は、個人に属する属性情報の提供および保護を行う通信システム、通信装置、通信方法に関する。
【背景技術】
【0002】
近年の情報通信システムの進展、高度利用に伴い、個人に属する属性情報の管理を厳重に行うことが求められている。ここでいう属性情報とは、例えば、その人の氏名、性別、年齢(生年月日)、住所、職業、所属、その人が有する資格、その他諸々の情報を指す。このような情報を利用して、例えば、コンテンツ配信などの各種サービスが提供されると便利ではあるが、利用者の属性情報は無条件に公開されてよいものではない。属性情報の公開は厳しく制限され、属性情報は厳重に管理されなければならない。
【0003】
特開2005−250779号公報には、通信端末を利用するための通信ネットワークサービス契約を締結している利用者に関する情報を属性情報として提供する属性管理装置が開示されている。属性管理装置は、属性情報記憶手段と、属性要求受信手段と、属性情報取得手段と、属性情報送信手段とを備える。属性情報記憶手段は、利用者の属性情報を記憶し、属性要求受信手段は、利用者の属性情報の提供を要求するための属性要求データを受信する。属性情報取得手段は、属性要求受信手段により受信された属性要求データに基づいて、要求されている利用者の属性情報を、予め定められた属性情報の開示に関する所定のポリシ情報に従って、属性情報記憶手段より取得する。属性情報送信手段は、属性情報取得手段により取得された属性情報を所定のポリシ情報に従って送信する。このようにして属性情報が提供される。
【0004】
一方、属性情報の正当性を検証する必要性もある。一般的に、正当性を検証して証明する第三者機関に接続する方法が用いられるが、特開2006−325072号公報に記載されているように、通信端末間で正当性が検証された属性情報を交換するシステムも知られている。この属性情報交換システムは、復号鍵生成手段、属性情報送信手段、暗号鍵受信手段、情報保存手段、チャレンジ情報送信手段、署名情報生成手段、署名情報送信手段、署名情報検証手段を具備する通信端末と、暗号鍵生成手段、暗号鍵送信手段を具備する発行センタとを備えている。
【0005】
通信端末における復号鍵生成手段は、ユーザの属性情報から検証用の復号鍵を生成する。属性情報送信手段は、属性情報を送信する。暗号鍵受信手段は、暗号化用の暗号鍵を受信する。情報保存手段は、属性情報と復号鍵と暗号鍵とを保存する。チャレンジ情報送信手段は、相手の属性情報を確認するためのチャレンジ情報を送信する。署名情報生成手段は、受信したチャレンジ情報を暗号鍵で暗号化して署名情報を生成する。署名情報送信手段は、生成した署名情報を送信する。署名情報検証手段は、署名情報を受信し、受信した署名情報を検証する。発行センタにおける暗号鍵生成手段は、属性情報を通信端末から受信し、受信した属性情報から暗号化用の暗号鍵を生成する。暗号鍵送信手段は、生成された暗号鍵を送信する。
【0006】
【特許文献1】特開2005−250779号公報
【特許文献2】特開2006−325072号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の目的は、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することを可能にする通信システム、通信装置、通信方法を提供することにある。
【課題を解決するための手段】
【0008】
本発明の観点では、通信システムは、端末装置と、提供サーバと、管理サーバと、仲介装置とを具備する。端末装置は、ユーザが操作して所定のサービスの提供を要求し、情報を暗号化する共通鍵を生成する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報の開示を求め、部分属性情報に基づいてサービスを提供する。管理サーバは、属性情報を管理し、属性情報から抽出した部分属性情報を共通鍵により暗号化して仮ユーザ識別子とともに提供サーバに開示する。仲介装置は、仮ユーザ識別子に基づいて、端末装置と提供サーバと管理サーバとの接続関係を管理し、提供サーバと端末装置と管理サーバとの間の通信を仲介する。
【0009】
本発明の他の観点では、通信装置は、回線制御部と、通信テーブルと、制御部とを具備する。回線制御部は、端末装置と、提供サーバと、管理サーバとに接続する。端末装置は、情報を暗号化および復号化する共通鍵を生成し、ユーザが操作して所定のサービスの提供を要求する。提供サーバは、ユーザに属する属性情報のうちの部分属性情報に基づいてサービスを提供する。管理サーバは、提供サーバの要求に応じて属性情報から抽出される部分属性情報を共通鍵に基づいて暗号化して仮ユーザ識別子とともに提供サーバに開示する。通信テーブルは、端末装置と提供サーバと管理サーバとの接続関係を仮ユーザ識別子に関連付けて格納する。制御部は、通信テーブルを参照して送信先を回線制御部に指示する。
【0010】
また、本発明の他の観点では、通信方法は、サービスの提供を要求するステップと、開示を要求するステップと、サービスを提供するステップと、暗号化部分属性情報を生成するステップと、暗号化部分属性情報を提供サーバに送信するステップとを具備する。サービスの提供を要求するステップは、ユーザが所望するサービスの提供を提供サーバに要求するステップを備え、情報を暗号化する共通鍵を生成するステップを含む。開示を要求するステップは、ユーザに属する属性情報のうちの部分属性情報の開示を要求するステップを備える。サービスを提供するステップは、部分属性情報に基づいて、提供サーバによってサービスを提供するステップを備える。暗号化部分属性情報を生成するステップは、管理サーバに格納される属性情報から部分属性情報を抽出し、共通鍵に基づいて暗号化して暗号化部分属性情報を生成するステップを備える。暗号化部分属性情報を提供サーバに送信するステップは、管理サーバおよび前記提供サーバに付与された回線識別子を仮ユーザ識別子に関連付けて格納する通信テーブルに基づいて、暗号化部分属性情報を仮ユーザ識別子とともに提供サーバに送信するステップを備える。
【発明の効果】
【0011】
本発明によれば、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することを可能にする通信システム、通信装置、通信方法を提供することができる。
【発明を実施するための最良の形態】
【0012】
図1を参照して、本発明の実施の形態に係る通信システムにおける情報の授受関係を説明する。
【0013】
通信システムには、ユーザ端末装置100と、属性情報管理装置500と、サービス提供装置400と、通信仲介装置300とが含まれる。ユーザ端末装置100は、サービスの提供を受けるユーザによって操作され、ユーザはサービスを享受する。属性情報管理装置500は、そのユーザに関する情報、例えば、氏名、年齢(生年月日)、住所、職業、所属、資格、その他情報を示す属性情報を管理する。サービス提供装置400は、ユーザにサービスを提供する。通信仲介装置300は、ユーザ端末装置100、サービス提供装置400、属性情報管理装置500のそれぞれを回線で接続し、安全な情報の授受を保証する。すなわち、通信仲介装置300は、属性情報管理装置500とサービス提供装置400との間の通信、ユーザ端末装置100とサービス提供装置400との間の通信において、相手は特定できないが信頼できる相手であることを保証する。
【0014】
各装置間の情報の授受について、ユーザが年齢制限付き画像配信サービスを受ける場合を例として説明する。
ステップA:ユーザは、ユーザ端末装置100を操作してサービス提供装置400に年齢制限付き画像配信サービスを要求する。
ステップB:サービス提供装置400は、その画像配信サービスが年齢制限付きであることからユーザの年齢を確認すべく、通信仲介装置300を介してユーザ端末装置100に属性情報の開示を要請する。
ステップC:ユーザ端末装置100は、属性情報管理装置500に対して、要請のあった年齢に関する属性情報をサービス提供装置400に開示するように依頼する。
ステップD:属性情報管理装置500は、保持する属性情報のうちの依頼された年齢に関する属性情報をサービス提供装置400に通信仲介装置300を介して送る。
ステップE:属性情報管理装置500からサービス提供装置400に送られた情報は、ユーザが確認できるようにユーザ端末装置100に送られてもよい。
ステップF:サービス提供装置400は、ユーザの年齢を確認するとユーザ端末装置100に向けて画像配信サービスを提供する。ユーザは、ユーザ端末装置100により配信された画像を享受する。
【0015】
ここで、属性情報管理装置500は、サービス提供装置400に属性情報を通知することからユーザがどのサービス提供装置400に接続してサービスを受けようとしているかという情報を取得することができる。逆に、サービス提供装置400は、ユーザがどの属性情報管理装置500に属性情報を預けているかという情報を取得することができる。これらの情報も属性情報ということができる。また、属性情報が通信仲介装置300を通過するため、通信仲介装置300が属性情報を取得することもできる。つまり、属性情報の漏洩が起きる可能性がある。
【0016】
したがって、厳重に属性情報を管理するためには、属性情報を暗号化して送受することはもとより、直接関与しない情報は相手(仲介者を含む)に示されることなく処理されなければならない。すなわち、サービス提供装置400は、ユーザ(ユーザ端末装置100)および属性情報管理装置500を特定せずにサービスを提供する。属性情報管理装置500は、サービス提供装置400を特定せずに、ユーザを明らかにしないで必要最小限の属性情報のみ開示する。通信仲介装置300は、接続情報を管理しても、情報に触れることなく情報の送受を仲介する。また、情報やサービスの提供に対する課金も確実に行われることも重要である。このような通信システムが求められる。
【0017】
(第1の実施の形態)
図2に、本発明の第1の実施の形態に係る通信システムの構成が示される。この通信システムは、ユーザ端末装置10と、通信仲介装置30と、サービス提供サーバ40と、属性情報管理サーバ50とを備える。ここでは、説明を簡単にするために、単独の装置として説明される。
【0018】
ユーザ端末装置10は、入出力部12、端末制御部14、回線通信部16を備え、パーソナルコンピュータに例示される情報処理装置である。ユーザ端末装置10は、通信仲介装置30を介してサービス提供サーバ40にアクセスしてサービスの提供を受ける。入出力部12は、キーボードやマウス等の入力装置や、ディスプレイやスピーカ等の出力装置を備え、ユーザがユーザ端末装置10を操作するための機能とユーザに情報を提示するための機能とを有している。端末制御部14は、サービス提供サーバ40が提供するサービスを受けるための処理を行い、暗号化の共通鍵の生成や暗号化された情報の解読を行う。回線通信部16は、通信仲介装置30と通信する機能を備え、通信仲介装置30によって回線識別子が割り振られている。
【0019】
属性情報管理サーバ50は、回線通信部56、情報管理部54、ユーザ情報を格納するユーザ情報格納部58を備える。回線通信部56は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。情報管理部54は、ユーザ情報格納部58に格納されるユーザの属性情報を管理する。情報管理部54は、ユーザから与えられる共通鍵に基づいてユーザの属性情報を暗号化し、ユーザが許諾した相手にのみ属性情報を開示することができる。ユーザ情報格納部58は、ユーザの属性情報を、例えば図3に示されるように、会員番号等に例示されるユーザ識別子と、氏名、性別、生年月日、職業、住所、現在位置情報等とを関連付けて格納する。
【0020】
通信仲介装置30は、回線通信制御部36、情報管理制御部34、通信テーブルを格納する通信テーブル格納部38、サービス提供サーバ40に関するサーバ情報を格納するサーバ情報格納部39を備える。通信仲介装置30は、通信相手を秘匿する機能を備え、接続先を知られないように装置間を接続することができる。回線通信制御部36は、接続される回線に割り振られる回線識別子に基づいて装置間の情報の送受を仲介する。情報管理制御部34は、サーバ情報格納部39に格納されるサーバの証明書等のサーバ情報を管理し、通信テーブル格納部38に格納される通信テーブルを管理して情報の送信先を制御する。情報の送信先が仮ユーザ識別子によって示されるとき、回線通信制御部36は、情報管理制御部34の指示に基づいて情報を送信する。情報管理制御部34は、サーバ情報を参照して、接続先がサービス提供サーバ40であれば、ユーザ端末装置10に仮ユーザ識別子を与え、通信テーブルを生成する。情報管理制御部34は、仮ユーザ識別子を使って送受する情報に関して、通信テーブルに基づいて送信先を決定し、回線通信制御部36を制御する。
【0021】
通信テーブルは、図4に示されるように、ユーザ端末回線識別子と、セッション識別子と、仮ユーザ識別子と、サービス提供サーバ回線識別子とを関連付けて格納する。ユーザ端末回線識別子は、サービス要求を発したユーザ端末装置10の回線識別子を示す。サービス提供サーバ回線識別子は、ユーザ端末装置10が接続先としたサービス提供サーバ40の回線識別子を示す。
【0022】
サーバ情報は、図5に示されるように、提供サーバ識別子と、サービス提供サーバ回線識別子と、公開鍵情報とを関連付けて格納する。提供サーバ識別子は、サービスを提供するサービス提供サーバ40を識別するための識別子である。サービス提供サーバ回線識別子は、サービス提供サーバ40の回線識別子である。公開鍵情報は、サービス提供サーバ40に情報を送るときに暗号化するための公開鍵証明書に関する情報である。
【0023】
サービス提供サーバ40は、回線通信部46、サービス制御部44、ポリシ判定部42、サービスコンテンツ格納部48を備える。回線通信部46は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。サービス制御部44は、コンテンツの管理、暗号化された属性情報の解読等、ユーザ端末装置10にサービスを提供するための制御を行う。ポリシ判定部42は、ユーザ端末装置10から要求されたサービスを提供してよいかどうかを判定する機能を有している。サービスコンテンツ格納部48は、図6に示されるように、提供するサービスの識別子と、提供するコンテンツと、そのコンテンツを提供する条件とを関連付けて格納する。
【0024】
図7を参照して、この通信システムの動作を説明する。
ユーザは、ユーザ端末装置10の入出力部12によって所望のサービスを選択し、サービス提供サーバ40にアクセスするように指示する(ステップS110)。入出力部12は、サービス選択情報を端末制御部14に送る。端末制御部14は、サービス選択情報と、サービス選択情報に基づいて抽出されたサービス提供サーバ40の回線識別子とを回線通信部16に送る。回線通信部16は、サービス提供サーバ40の回線識別子を送信先に設定して、サービス要求を通信仲介装置30に送る(ステップS111)。
【0025】
通信仲介装置30では、回線通信制御部36は、送信先にサービス提供サーバ40が指定されているサービス要求を受けたことを情報管理制御部34に通知する。情報管理制御部34は、仮ユーザ識別子を生成し、要求のあったユーザ端末回線識別子と、セッション識別子と、サービス提供サーバ40の回線識別子とを通信テーブル格納部38に格納される通信テーブルに追加する(ステップS141)。回線通信制御部36は、ユーザ端末回線識別子の代わりに仮ユーザ識別子を使ってサービス提供サーバ40にサービス要求を送信する(ステップS143)。
【0026】
サービス提供サーバ40では、回線通信部46は、受信したサービス要求をサービス制御部44に送る。サービス制御部44は、サービスコンテンツ格納部48を参照して、要求されたサービスの提供条件を抽出し、ポリシ判定部42に送る。ポリシ判定部42は、要求されたサービスの提供に必要な条件が満たされているか否かを判定する。すなわち、ポリシ判定部42は、サービス提供にあたって個人の属性情報や認証情報等が必要であるか、サービスのポリシと照らし合わせる(ステップS171)。追加情報が必要な場合(例えば、先に説明した画像配信において年齢が不明である場合)、ポリシ判定部42はサービス制御部44に属性情報要求する(年齢に関する情報の入手を要求する)。サービス制御部44は、回線通信部46に属性情報要求を送信するように指示する。回線通信部46は、受信したサービス要求に含まれる仮ユーザ識別子を送信先として、属性情報要求を送信する(ステップS173)。
【0027】
属性情報要求を受信した通信仲介装置30は、送信先が仮ユーザ識別子により示されていることから、通信テーブルを検索して仮ユーザ識別子に対応するユーザ端末回線識別子を抽出する。通信仲介装置30は、送信先をユーザ端末回線識別子に変換し、属性情報要求を仮ユーザ識別子とともにユーザ端末装置10に送信する(ステップS145)。
【0028】
ユーザ端末装置10では、回線通信部16は属性情報要求と仮ユーザ識別子とを端末制御部14に送る。端末制御部14は、回線通信部16を介して通信仲介装置30に対してサービス提供サーバ40の証明書要求を行う(ステップS115)。
【0029】
通信仲介装置30では、証明書要求を受けると情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報からサービス提供サーバ40の証明書を抽出する(ステップS147)。情報管理制御部34は、抽出された証明書をユーザ端末装置10に回線通信制御部36を介して送信する(ステップS149)。
【0030】
ユーザ端末装置10では、回線通信部16を介して証明書を受信した端末制御部14は、その証明書から公開鍵Pを取り出す。また、端末制御部14は、共通鍵Kを生成し、仮ユーザ識別子と共に記憶しておく。端末制御部14は、共通鍵Kを公開鍵Pによって暗号化して暗号化共通鍵P(K)を作成する(ステップS117)。仮ユーザ識別子および暗号化共通鍵P(K)は、回線通信部16から通信仲介装置30を介してサービス提供サーバ40に送信される(ステップS119/S151)。
【0031】
サービス提供サーバ40では、回線通信部46は、受信した仮ユーザ識別子および暗号化共通鍵P(K)をサービス制御部44に送る。サービス制御部44は、サービス提供サーバ40の証明書に対応する秘密鍵P^によって暗号化共通鍵P(K)を復号化し、共通鍵Kを取り出す。サービス制御部44は、共通鍵Kと仮ユーザ識別子とを関連付けて記憶する(ステップS175)。
【0032】
一方、ユーザ端末装置10では、端末制御部14は、仮ユーザ識別子と属性情報要求と共通鍵Kとを含む情報Jを属性情報管理サーバ50の公開鍵Qによって暗号化し、暗号化情報Q(J)を生成する(ステップS121)。暗号化情報Q(J)は、回線通信部16から通信仲介装置30を介して属性情報管理サーバ50に送信される(ステップS123/S153)。
【0033】
属性情報管理サーバ50では、回線通信部56で受信された暗号化情報Q(J)は、情報管理部54に送られる。情報管理部54は、属性情報管理サーバ50の公開鍵Qに対応する秘密鍵Q^によって暗号化情報Q(J)を復号化し、情報Jを取り出す。情報管理部54は、情報Jに含まれる属性情報要求に基づいて、ユーザ情報格納部58に格納されるユーザ情報を検索し、要求されたユーザの属性情報を抽出する。年齢制限付き画像配信サービスの例であれば、生年月日が抽出される。抽出された属性情報Iは、情報Jに含まれる共通鍵Kによって暗号化属性情報K(I)に暗号化される(ステップS191)。暗号化属性情報K(I)は、仮ユーザ識別子とともに回線通信部56によって通信仲介装置30に送信される(ステップS193)。
【0034】
暗号化属性情報K(I)を受信した通信仲介装置30では、回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送って暗号化属性情報K(I)の送信先を照会する。情報管理制御部34は、暗号化属性情報K(I)の提供の対価として、仮ユーザ識別子に対して課金したことを示す課金情報を属性情報管理サーバ50に回線通信制御部36を介して送信しても良い(ステップS155)。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを参照して仮ユーザ識別子に対応するユーザ端末回線識別子とサービス提供サーバ回線識別子とを抽出し、回線通信制御部36に送る(ステップS157)。回線通信制御部36は、ユーザ端末回線識別子とサービス提供サーバ回線識別子とに基づいて、ユーザ端末装置10およびサービス提供サーバ40に向けて、仮ユーザ識別子と暗号化属性情報K(I)とを送信する(ステップS159/S158)。
【0035】
一方、暗号化属性情報K(I)を受信したユーザ端末装置10では、端末制御部14は、仮ユーザ識別子に対応する共通鍵Kを取り出し、暗号化属性情報K(I)を共通鍵Kにより解読する。入出力部12は、解読された属性情報Iをユーザに画像や音声等によって提示する。これによってユーザは、開示された属性情報Iを確認することができる。
【0036】
暗号化属性情報K(I)を受信したサービス提供サーバ40では、回線通信部46は、仮ユーザ識別子と暗号化属性情報K(I)とをサービス制御部44に送る。サービス制御部44は、仮ユーザ識別子に対応付けて記憶している共通鍵Kを取り出し、暗号化属性情報K(I)を復号化する。解読された属性情報Iは、ポリシ判定部42に送られる。ポリシ判定部42は、属性情報Iに基づいて、サービスを提供しても良いか否かを判定し、その結果をサービス制御部44に送る(ステップS177)。サービス制御部44は、判定結果がサービス許諾を示す場合、通信仲介装置30を介して、ユーザ端末装置10にサービスを提供する(ステップS181/S161)。例えば、提供サービスが画像配信サービスであれば、サービスコンテンツ格納部48に格納される画像コンテンツが、通信仲介装置30を介してユーザ端末装置10に送信される。ユーザ端末装置10では端末制御部14がコンテンツ情報を処理して入出力部12から表示出力、音声出力してユーザに供する。なお、ポリシ判定部42がサービス提供不適であると判定した場合、サービス制御部44は、サービスを提供できないことをユーザ端末装置10に通信仲介装置30を介して送信し、処理を終了する。
【0037】
サービス提供が終了すると、サービス提供サーバ40は、仮ユーザ識別子に対応するユーザに対して提供されたサービスに対する課金を通信仲介装置30に依頼する(ステップS183)。通信仲介装置30は、仮ユーザ識別子に対応するユーザ、すなわち通信テーブルによって仮ユーザ識別子に対応するユーザ端末回線識別子のユーザに課金する。通信仲介装置30は、仮ユーザ識別子のユーザに課金したことをサービス提供サーバ40に課金情報として通知する(ステップS165)。
【0038】
このように、仮ユーザ識別子によってユーザの特定を防止し、暗号化によって情報の漏洩を防止することにより、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することが可能になる。
【0039】
(第2の実施の形態)
図8に、本発明の第2の実施の形態に係る通信システムの構成が示される。この通信システムは、ユーザ端末装置10とユーザデバイス20と通信仲介装置30とサービス提供サーバ40と属性情報管理サーバ50とを備える。第1の実施の形態で説明された通信システムに比べて、ユーザデバイス20が追加され、ユーザデバイス20に対応するように属性情報管理サーバ50に端末通信部52が追加されている。また、仮ユーザ識別子の生成は、サービス提供サーバ40で行われる。
【0040】
ユーザ端末装置10は、入出力部12、端末制御部14、回線通信部16を備え、パーソナルコンピュータに例示される情報処理装置である。ユーザ端末装置10は、通信仲介装置30を介してサービス提供サーバ40にアクセスしてサービスの提供を受ける。入出力部12は、キーボードやマウス等の入力装置、ディスプレイやスピーカ等の出力装置を備え、ユーザがユーザ端末装置10を操作するための機能とユーザに情報を提示するための機能とを有している。また、入出力部12は、有線/無線(電波、赤外線等)によるユーザデバイス20との通信機能を有する。端末制御部14は、サービス提供サーバ40が提供するサービスを受けるための処理を行い、暗号化の共通鍵の生成や暗号化された情報の解読を行う。回線通信部16は、通信仲介装置30と通信する機能を備え、通信仲介装置30によって回線識別子が割り振られている。
【0041】
ユーザデバイス20は、個人が所持して個人をほぼ特定可能である携帯電話機に例示される機器であり、入出力部22、デバイス制御部24、端末通信部26を備える。入出力部22は、ユーザ端末装置10の入出力部12から出力される情報を有線/無線通信、キーボード/マウスによる人手入力、カメラ機能等によって入力することができる。デバイス制御部24は、入出力部22から入力された情報を処理し、入出力部22から出力あるいは端末通信部26から出力する。端末通信部26は、属性情報管理サーバ50と通信するための機能を有する。本実施の形態では、ユーザデバイス20は、入出力部22のカメラ機能によってユーザ端末装置10の入出力部12のディスプレイに表示された画像を取り込むものとする。ユーザデバイス20は、デバイス制御部24によってその画像で示される情報を抽出し、端末通信部26から属性情報管理サーバ50に送信するとして説明される。
【0042】
属性情報管理サーバ50は、端末通信部52、回線通信部56、情報管理部54、ユーザ情報を格納するユーザ情報格納部58を備える。端末通信部52は、ユーザデバイス20と通信する機能を備える。この通信は、通信仲介装置30を介在させずに行われる。回線通信部56は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。情報管理部54は、ユーザ情報格納部58に格納されるユーザの属性情報を管理する。情報管理部54は、ユーザから与えられる共通鍵に基づいてユーザの属性情報を暗号化し、ユーザが許諾した相手にのみ属性情報を開示することができる。ユーザ情報格納部58は、ユーザの属性情報を、例えば図3に示されるように、ユーザ識別子と、ユーザの氏名、性別、生年月日、職業、住所、現在位置情報等とを関連付けて格納する。
【0043】
通信仲介装置30は、回線通信制御部36、情報管理制御部34、通信テーブルを格納する通信テーブル格納部38、サービス提供サーバ40に関するサーバ情報を格納するサーバ情報格納部39を備える。通信仲介装置30は、通信相手を秘匿する機能を備え、接続先を知られないように装置間を接続することができる。回線通信制御部36は、接続される回線に割り振られる回線識別子に基づいて装置間の情報の送受を仲介する。情報の送信先が仮ユーザ識別子によって示されるとき、回線通信制御部36は、情報管理制御部34の指示に基づいて情報を送信する。情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報を管理し、各サーバの証明書等の情報を管理する。また、情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを更新して情報の送信先を制御する。回線通信制御部36から送信先の問い合わせがあると、情報管理制御部34は、通信テーブルを参照して、情報の送信先を指示する。
【0044】
通信テーブルは、図4に示されるように、ユーザ端末回線識別子と、セッション識別子と、仮ユーザ識別子と、サービス提供サーバ回線識別子とを関連付けて格納する。ユーザ端末回線識別子は、サービス要求を発したユーザ端末装置10の回線識別子を示す。サービス提供サーバ回線識別子は、ユーザ端末装置10が接続先としたサービス提供サーバ40の回線識別子を示す。
【0045】
サーバ情報は、図5に示されるように、提供サーバ識別子と、サービス提供サーバ回線識別子と、公開鍵情報とを関連付けて格納する。提供サーバ識別子は、サービスを提供するサービス提供サーバ40を識別するための識別子である。サービス提供サーバ回線識別子は、サービス提供サーバ40の回線識別子である。公開鍵情報は、サービス提供サーバ40に情報を送るときに暗号化するための公開鍵証明書に関する情報である。
【0046】
サービス提供サーバ40は、回線通信部46、サービス制御部44、ポリシ判定部42、サービスコンテンツ格納部48を備える。回線通信部46は、通信仲介装置30と通信する機能を有し、通信仲介装置30によって回線識別子が割り振られている。サービス制御部44は、コンテンツの管理、暗号化された属性情報の解読等、ユーザ端末装置10にサービスを提供するための制御、仮ユーザ識別子の生成を行う。ポリシ判定部42は、ユーザ端末装置10から要求されたサービスを提供してよいかどうかを判定する機能を有している。サービスコンテンツ格納部48は、図6に示されるように、提供するサービスの識別子と、提供するコンテンツと、そのコンテンツを提供する条件とを関連付けて格納する。
【0047】
図9を参照して、この通信システムの動作を説明する。
ユーザは、ユーザ端末装置10の入出力部12によって所望のサービスを選択し、サービス提供サーバ40にアクセスするように指示する(ステップS210)。入出力部12は、サービス選択情報を端末制御部14に送る。端末制御部14は、サービス選択情報と、サービス選択情報に基づいて抽出されたサービス提供サーバ40の回線識別子とを回線通信部16に送る。回線通信部16は、サービス提供サーバ40の回線識別子を送信先に設定して、サービス要求を通信仲介装置30に送る(ステップS211)。
【0048】
通信仲介装置30では、回線通信制御部36は、サービス要求をサービス提供サーバ40に送信するとともに(ステップS241)、サービス提供サーバ40に対するサービス要求を受けたことを情報管理制御部34に通知する。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルに、要求のあったユーザ端末回線識別子と、セッション識別子と、サービス提供サーバ40の回線識別子とを追加する(ステップS243)。
【0049】
サービス提供サーバ40では、回線通信部46は、受信したサービス要求をサービス制御部44に送る。サービス制御部44は、サービスコンテンツ格納部48を参照して、要求されたサービスの提供条件を抽出し、ポリシ判定部42に送る。ポリシ判定部42は、要求されたサービスの提供に必要な条件が満たされているか否かを判定する。すなわち、ポリシ判定部42は、サービス提供にあたって個人の属性情報や認証情報等が必要であるか、サービスのポリシと照らし合わせる(ステップS271)。追加情報が必要な場合(例えば、先に説明した画像配信において年齢が不明である場合)、ポリシ判定部42はサービス制御部44に属性情報要求する(年齢に関する情報の入手を要求する)。サービス制御部44は、仮ユーザ識別子Uを生成し、回線通信部46に属性情報要求とともに仮ユーザ識別子を送信するように指示する。回線通信部46は、仮ユーザ識別子と属性情報要求とを通信仲介装置30に送信する(ステップS273)。
【0050】
通信仲介装置30では、属性情報要求と仮ユーザ識別ことを受信した回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送る。情報管理制御部34は、サービス提供サーバ回線識別子に基づいて通信テーブルを検索し、先に登録されているレコードに仮ユーザ識別子を追加する(ステップS246)。通信仲介装置30は、属性情報要求を仮ユーザ識別子とともにユーザ端末装置10に送信する(ステップS245)。
【0051】
ユーザ端末装置10では、回線通信部16は属性情報要求と仮ユーザ識別子とを端末制御部14に送る。端末制御部14は、回線通信部16を介して通信仲介装置30に対してサービス提供サーバ40の証明書要求を行う(ステップS215)。
【0052】
通信仲介装置30では、証明書要求を受けると情報管理制御部34は、サーバ情報格納部39に格納されるサーバ情報からサービス提供サーバ40の証明書を抽出する(ステップS247)。情報管理制御部34は、抽出された証明書をユーザ端末装置10に回線通信制御部36を介して送信する(ステップS249)。
【0053】
ユーザ端末装置10では、回線通信部16を介して証明書を受信した端末制御部14は、その証明書から公開鍵Pを取り出す。また、端末制御部14は、共通鍵Kを生成し、仮ユーザ識別子と共に記憶する。端末制御部14は、共通鍵Kを公開鍵Pによって暗号化して暗号化共通鍵P(K)を作成する(ステップS217)。仮ユーザ識別子および暗号化共通鍵P(K)は、回線通信部16から通信仲介装置30を介して、サービス提供サーバ40に送信される(ステップS219/S251)。
【0054】
サービス提供サーバ40では、回線通信部46は、受信した仮ユーザ識別子および暗号化共通鍵P(K)をサービス制御部44に送る。サービス制御部44は、サービス提供サーバ40の証明書に対応する秘密鍵P^によって暗号化共通鍵P(K)を復号化し、共通鍵Kを取り出す。サービス制御部44は、共通鍵Kと仮ユーザ識別子とを関連付けて記憶する(ステップS275)。
【0055】
一方、ユーザ端末装置10では、端末制御部14は、仮ユーザ識別子と属性情報要求と共通鍵Kとを含む情報Jを入出力部12に送る(ステップS221)。情報Jは、ユーザデバイス20の入出力部22からデバイス制御部24に取り込まれる。デバイス制御部24は、取り込んだ情報Jを端末通信部26から属性情報管理サーバ50に送信する(ステップS231)。このように、共通鍵Kによって暗号化される情報が送受される経路と、共通鍵Kを送受する経路とを分離することにより、暗号化して隠蔽することなく共通鍵Kを送受することができる。
【0056】
このとき、ユーザデバイス20への入力は、ユーザ端末装置10の入出力部12のディスプレイに表示された情報Jに基づいて生成された画像をユーザデバイス20の入出力部22であるカメラによって取り込み、画像処理を行って情報Jを抽出してもよい。また、ユーザ端末装置10の入出力部12のディスプレイに表示された情報Jをユーザが読み取ってユーザデバイス20の入出力部22であるキーボードから手入力してもよい。
【0057】
属性情報管理サーバ50では、回線通信部56で受信された情報Jは、情報管理部54に送られる。情報管理部54は、情報Jに含まれる属性情報要求に基づいて、ユーザ情報格納部58に格納されるユーザ情報を検索し、要求されたユーザの属性情報を抽出する。抽出された属性情報Iは、情報Jに含まれる共通鍵Kによって暗号化属性情報K(I)に暗号化される(ステップS291)。暗号化属性情報K(I)は、仮ユーザ識別子とともに回線通信部56によって通信仲介装置30に送信される(ステップS293)。
【0058】
暗号化属性情報K(I)を受信した通信仲介装置30では、回線通信制御部36は、仮ユーザ識別子を情報管理制御部34に送って暗号化属性情報K(I)の送信先を照会する。情報管理制御部34は、暗号化属性情報K(I)の提供の対価として、仮ユーザ識別子に対して課金したことを示す課金情報を属性情報管理サーバ50に回線通信制御部36を介して送信しても良い(ステップS255)。情報管理制御部34は、通信テーブル格納部38に格納される通信テーブルを参照して仮ユーザ識別子に対応するユーザ端末回線識別子とサービス提供サーバ回線識別子とを抽出し、回線通信制御部36に送る(ステップS257)。回線通信制御部36は、ユーザ端末回線識別子とサービス提供サーバ回線識別子とに基づいて、ユーザ端末装置10およびサービス提供サーバ40に向けて、仮ユーザ識別子と暗号化属性情報K(I)とを送信する(ステップS259/S258)。
【0059】
暗号化属性情報K(I)を受信したユーザ端末装置10では、端末制御部14は、仮ユーザ識別子に対応する共通鍵Kを取り出し、暗号化属性情報K(I)を共通鍵Kにより解読する。入出力部12は、解読された属性情報Iをユーザに画像や音声等によって提示する。これによってユーザは、開示された属性情報Iを確認することができる。
【0060】
一方、暗号化属性情報K(I)を受信したサービス提供サーバ40では、回線通信部46は、仮ユーザ識別子と暗号化属性情報K(I)とをサービス制御部44に送る。サービス制御部44は、仮ユーザ識別子に対応付けて記憶している共通鍵Kを取り出し、暗号化属性情報K(I)を解読する。解読された属性情報Iは、ポリシ判定部42に送られる。ポリシ判定部42は、属性情報Iに基づいて、サービスを提供しても良いか否かを判定し、その結果をサービス制御部44に送る(ステップS277)。サービス制御部44は、判定結果がサービス許諾を示す場合、通信仲介装置30を介して、ユーザ端末装置10にサービスを提供する(ステップS281/S261)。例えば、提供サービスが画像配信サービスであれば、サービスコンテンツ格納部48に格納される画像コンテンツが通信仲介装置30を介してユーザ端末装置10に送信される。ユーザ端末装置10では端末制御部14がコンテンツ情報を処理して入出力部12から表示出力、音声出力してユーザに供する。なお、ポリシ判定部42がサービス提供不適であると判定した場合、サービス制御部44は、サービスを提供できないことをユーザ端末装置10に通信仲介装置30を介して送信し、処理を終了する。
【0061】
サービス提供が終了すると、サービス提供サーバ40は、仮ユーザ識別子に対応するユーザに対して提供されたサービスに対する課金を通信仲介装置30に依頼する(ステップS283)。通信仲介装置30は、仮ユーザ識別子に対応するユーザ、すなわち通信テーブルによって仮ユーザ識別子に対応するユーザ端末回線識別子のユーザに課金する。通信仲介装置30は、仮ユーザ識別子のユーザに課金したことをサービス提供サーバ40に課金情報として通知する(ステップS265)。
【0062】
このように、仮ユーザ識別子によってユーザの特定を防止し、暗号化によって情報の漏洩を防止することにより、第三者に知られることなく、個人に属する属性情報を送信し、得たい情報を受信することが可能になる。
【0063】
なお、通信仲介装置30の回線通信制御部36は、ネットワークを形成して、複数個所に配置されてもよく、そこに接続されるユーザ端末装置10、サービス提供サーバ40、属性情報管理サーバ50も複数であることが好ましい。また、ユーザデバイス20は、ICカード等の記憶を主機能とするデバイスと、そのデバイスを制御できる機器との組み合わせとあっても良い。
【0064】
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【図面の簡単な説明】
【0065】
【図1】本発明の実施の形態に係る通信システムにおける情報の授受関係を説明する図である。
【図2】本発明の第1の実施の形態に係る通信システムの構成を示す図である。
【図3】同ユーザ情報の構成例を示す図である。
【図4】同通信テーブルの構成例を示す図である。
【図5】同サーバ情報の構成例を示す図である。
【図6】同サービスコンテンツ情報の構成例を示す図である。
【図7】同動作を説明する図である。
【図8】本発明の第2の実施の形態に係る通信システムの構成を示す図である。
【図9】同動作を説明する図である。
【符号の説明】
【0066】
10 ユーザ端末装置
12 入出力部
14 端末制御部
16 回線通信部
20 ユーザデバイス
22 入出力部
24 デバイス制御部
26 端末通信部
30 通信仲介装置
34 情報管理制御部
36 回線通信制御部
38 通信テーブル格納部
39 サーバ情報格納部
40 サービス提供サーバ
42 ポリシ判定部
44 サービス制御部
46 回線通信部
48 サービスコンテンツ格納部
50 属性情報管理サーバ
52 端末通信部
54 情報管理部
56 回線通信部
58 ユーザ情報格納部
100 ユーザ端末装置
300 通信仲介装置
400 サービス提供装置
500 属性情報管理装置
【特許請求の範囲】
【請求項1】
ユーザが操作して所定のサービスの提供を要求する端末装置と、前記端末装置は情報を暗号化する共通鍵を生成し、
前記ユーザに属する属性情報のうちの部分属性情報の開示を求め、前記部分属性情報に基づいて前記サービスを提供する提供サーバと、
前記属性情報を管理し、前記属性情報から抽出した前記部分属性情報を前記共通鍵により暗号化して仮ユーザ識別子とともに前記提供サーバに開示する管理サーバと、
前記端末装置と前記提供サーバと前記管理サーバとの接続関係を前記仮ユーザ識別子に基づいて管理し、前記提供サーバと前記端末装置と前記管理サーバとの間の通信を仲介する仲介装置と
を具備する通信システム。
【請求項2】
前記提供サーバは、前記端末装置から前記サービスの要求がある毎に前記仮ユーザ識別子を生成し、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求する
請求項1に記載の通信システム。
【請求項3】
前記仲介装置は、前記端末装置から前記提供サーバに前記サービスの要求を仲介する毎に前記仮ユーザ識別子を生成して前記提供サーバに通知し、
前記提供サーバは、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求する
請求項1に記載の通信システム。
【請求項4】
前記仲介装置は、前記端末装置を識別する端末装置回線識別子と、前記提供サーバを識別する提供サーバ回線識別子と、前記仮ユーザ識別子とを関連付けて格納する通信テーブルを備え、
前記通信テーブルを参照して、前記端末装置と前記提供サーバと前記管理サーバとの通信を仲介する
請求項1から請求項3のいずれかに記載の通信システム。
【請求項5】
前記端末装置は、前記管理サーバが公開する暗号化のための公開鍵によって暗号化された前記共通鍵を前記管理サーバに前記仲介装置を介して送信する
請求項1から請求項4のいずれかに記載の通信システム。
【請求項6】
前記管理サーバに前記仲介装置を経由せずに情報を提供するユーザデバイスをさらに具備し、
前記ユーザデバイスは、前記端末装置から出力される前記仮ユーザ識別子と前記共通鍵とを取り込んで前記管理サーバに提供する
請求項1から請求項4のいずれかに記載の通信システム。
【請求項7】
前記管理サーバは、前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを前記仲介装置に送信し、
前記仲介装置は、前記仮ユーザ識別子に基づいて前記仮ユーザ識別子および前記共通鍵により暗号化された前記部分属性情報を前記提供サーバと前記端末装置とに送信する
請求項1から請求項6のいずれかに記載の通信システム。
【請求項8】
情報を暗号化および復号化する共通鍵を生成し、ユーザが操作して所定のサービスの提供を要求する端末装置と、前記ユーザに属する属性情報のうちの部分属性情報に基づいて前記サービスを提供する提供サーバと、前記提供サーバの要求に応じて前記属性情報から抽出される前記部分属性情報を前記共通鍵に基づいて暗号化して仮ユーザ識別子とともに前記提供サーバに開示する管理サーバとに接続する回線制御部と、
前記端末装置と前記提供サーバと前記管理サーバとの接続関係を前記仮ユーザ識別子に関連付けて格納する通信テーブルと、
前記通信テーブルを参照して送信先を前記回線制御部に指示する制御部と
を具備する通信装置。
【請求項9】
前記通信テーブルは、前記端末装置を識別する端末装置回線識別子と、前記提供サーバを識別する提供サーバ回線識別子と、前記仮ユーザ識別子とを関連付けて格納する
請求項8に記載の通信装置。
【請求項10】
前記提供サーバは、前記端末装置から前記サービスの要求がある毎に前記仮ユーザ識別子を生成し、
前記提供サーバが前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求するときに前記通信テーブルに前記仮ユーザ識別子を登録する
請求項8または請求項9に記載の通信装置。
【請求項11】
前記端末装置が送信する前記サービスの要求を仲介する毎に前記仮ユーザ識別子を生成して前記通信テーブルに登録する
請求項8または請求項9に記載の通信装置。
【請求項12】
前記管理サーバが公開する暗号化のための公開鍵に基づいて暗号化された前記共通鍵を前記端末装置から受信した前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記管理サーバに前記暗号化された前記共通鍵を送信する
請求項8から請求項11のいずれかに記載の通信装置。
【請求項13】
前記管理サーバは、前記端末装置から前記回線制御部を経由せずに提供された前記共通鍵に基づいて前記部分属性情報を暗号化して前記仮ユーザ識別子とともに前記回線制御部に送信し、
前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバに前記暗号化された前記部分属性情報と前記仮ユーザ識別子とを送信する
請求項8から請求項11のいずれかに記載の通信装置。
【請求項14】
前記管理サーバから前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを受信した前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバと前記端末装置とに前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを送信する
請求項8から請求項13のいずれかに記載の通信装置。
【請求項15】
ユーザが所望するサービスの提供を提供サーバに要求するステップと、前記要求するステップは情報を暗号化する共通鍵を生成するステップを含み、
前記ユーザに属する属性情報のうちの部分属性情報の開示を要求するステップと、
前記部分属性情報に基づいて前記提供サーバによって前記サービスを提供するステップと、
管理サーバに格納される前記属性情報から前記部分属性情報を抽出し、前記共通鍵に基づいて暗号化して暗号化部分属性情報を生成するステップと、
前記仮ユーザ識別子に関連付けて前記管理サーバおよび前記提供サーバに付与された回線識別子を格納する通信テーブルに基づいて、前記暗号化部分属性情報を仮ユーザ識別子とともに前記提供サーバに送信するステップと
を具備する通信方法。
【請求項16】
前記サービスの提供の要求がある毎に前記提供サーバが前記仮ユーザ識別子を生成するステップと、
前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記ユーザに要求するときに、前記仮ユーザ識別子を前記通信テーブルに登録するステップと
をさらに具備する
請求項15に記載の通信方法。
【請求項17】
前記サービスの提供の要求がある毎に前記仮ユーザ識別子を生成するステップと、
生成された前記仮ユーザ識別子を前記通信テーブルに登録するとともに前記提供サーバに通知するステップと、
をさらに具備し、
前記部分属性情報の開示を要求するステップは、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を要求するステップを備える
請求項15に記載の通信方法。
【請求項18】
前記管理サーバに送信する情報の暗号化のために使用される公開鍵によって暗号化された前記共通鍵を前記管理サーバに送信するステップを具備する
請求項15から請求項17のいずれかに記載の通信方法。
【請求項19】
前記部分属性情報を送受する経路と異なる経路によって、前記仮ユーザ識別子と前記共通鍵とを前記提供サーバに送信するステップを具備する
請求項15から請求項17のいずれかに記載の通信方法。
【請求項20】
前記共通鍵により暗号化された前記部分属性情報と前記仮ユーザ識別子とを、前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバと前記ユーザが使用する端末装置とに送信するステップをさらに具備する
請求項15から請求項19のいずれかに記載の通信方法。
【請求項1】
ユーザが操作して所定のサービスの提供を要求する端末装置と、前記端末装置は情報を暗号化する共通鍵を生成し、
前記ユーザに属する属性情報のうちの部分属性情報の開示を求め、前記部分属性情報に基づいて前記サービスを提供する提供サーバと、
前記属性情報を管理し、前記属性情報から抽出した前記部分属性情報を前記共通鍵により暗号化して仮ユーザ識別子とともに前記提供サーバに開示する管理サーバと、
前記端末装置と前記提供サーバと前記管理サーバとの接続関係を前記仮ユーザ識別子に基づいて管理し、前記提供サーバと前記端末装置と前記管理サーバとの間の通信を仲介する仲介装置と
を具備する通信システム。
【請求項2】
前記提供サーバは、前記端末装置から前記サービスの要求がある毎に前記仮ユーザ識別子を生成し、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求する
請求項1に記載の通信システム。
【請求項3】
前記仲介装置は、前記端末装置から前記提供サーバに前記サービスの要求を仲介する毎に前記仮ユーザ識別子を生成して前記提供サーバに通知し、
前記提供サーバは、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求する
請求項1に記載の通信システム。
【請求項4】
前記仲介装置は、前記端末装置を識別する端末装置回線識別子と、前記提供サーバを識別する提供サーバ回線識別子と、前記仮ユーザ識別子とを関連付けて格納する通信テーブルを備え、
前記通信テーブルを参照して、前記端末装置と前記提供サーバと前記管理サーバとの通信を仲介する
請求項1から請求項3のいずれかに記載の通信システム。
【請求項5】
前記端末装置は、前記管理サーバが公開する暗号化のための公開鍵によって暗号化された前記共通鍵を前記管理サーバに前記仲介装置を介して送信する
請求項1から請求項4のいずれかに記載の通信システム。
【請求項6】
前記管理サーバに前記仲介装置を経由せずに情報を提供するユーザデバイスをさらに具備し、
前記ユーザデバイスは、前記端末装置から出力される前記仮ユーザ識別子と前記共通鍵とを取り込んで前記管理サーバに提供する
請求項1から請求項4のいずれかに記載の通信システム。
【請求項7】
前記管理サーバは、前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを前記仲介装置に送信し、
前記仲介装置は、前記仮ユーザ識別子に基づいて前記仮ユーザ識別子および前記共通鍵により暗号化された前記部分属性情報を前記提供サーバと前記端末装置とに送信する
請求項1から請求項6のいずれかに記載の通信システム。
【請求項8】
情報を暗号化および復号化する共通鍵を生成し、ユーザが操作して所定のサービスの提供を要求する端末装置と、前記ユーザに属する属性情報のうちの部分属性情報に基づいて前記サービスを提供する提供サーバと、前記提供サーバの要求に応じて前記属性情報から抽出される前記部分属性情報を前記共通鍵に基づいて暗号化して仮ユーザ識別子とともに前記提供サーバに開示する管理サーバとに接続する回線制御部と、
前記端末装置と前記提供サーバと前記管理サーバとの接続関係を前記仮ユーザ識別子に関連付けて格納する通信テーブルと、
前記通信テーブルを参照して送信先を前記回線制御部に指示する制御部と
を具備する通信装置。
【請求項9】
前記通信テーブルは、前記端末装置を識別する端末装置回線識別子と、前記提供サーバを識別する提供サーバ回線識別子と、前記仮ユーザ識別子とを関連付けて格納する
請求項8に記載の通信装置。
【請求項10】
前記提供サーバは、前記端末装置から前記サービスの要求がある毎に前記仮ユーザ識別子を生成し、
前記提供サーバが前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記端末装置に要求するときに前記通信テーブルに前記仮ユーザ識別子を登録する
請求項8または請求項9に記載の通信装置。
【請求項11】
前記端末装置が送信する前記サービスの要求を仲介する毎に前記仮ユーザ識別子を生成して前記通信テーブルに登録する
請求項8または請求項9に記載の通信装置。
【請求項12】
前記管理サーバが公開する暗号化のための公開鍵に基づいて暗号化された前記共通鍵を前記端末装置から受信した前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記管理サーバに前記暗号化された前記共通鍵を送信する
請求項8から請求項11のいずれかに記載の通信装置。
【請求項13】
前記管理サーバは、前記端末装置から前記回線制御部を経由せずに提供された前記共通鍵に基づいて前記部分属性情報を暗号化して前記仮ユーザ識別子とともに前記回線制御部に送信し、
前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバに前記暗号化された前記部分属性情報と前記仮ユーザ識別子とを送信する
請求項8から請求項11のいずれかに記載の通信装置。
【請求項14】
前記管理サーバから前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを受信した前記回線制御部は、前記制御部が前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバと前記端末装置とに前記仮ユーザ識別子と、前記共通鍵により暗号化された前記部分属性情報とを送信する
請求項8から請求項13のいずれかに記載の通信装置。
【請求項15】
ユーザが所望するサービスの提供を提供サーバに要求するステップと、前記要求するステップは情報を暗号化する共通鍵を生成するステップを含み、
前記ユーザに属する属性情報のうちの部分属性情報の開示を要求するステップと、
前記部分属性情報に基づいて前記提供サーバによって前記サービスを提供するステップと、
管理サーバに格納される前記属性情報から前記部分属性情報を抽出し、前記共通鍵に基づいて暗号化して暗号化部分属性情報を生成するステップと、
前記仮ユーザ識別子に関連付けて前記管理サーバおよび前記提供サーバに付与された回線識別子を格納する通信テーブルに基づいて、前記暗号化部分属性情報を仮ユーザ識別子とともに前記提供サーバに送信するステップと
を具備する通信方法。
【請求項16】
前記サービスの提供の要求がある毎に前記提供サーバが前記仮ユーザ識別子を生成するステップと、
前記仮ユーザ識別子に基づいて前記部分属性情報の開示を前記ユーザに要求するときに、前記仮ユーザ識別子を前記通信テーブルに登録するステップと
をさらに具備する
請求項15に記載の通信方法。
【請求項17】
前記サービスの提供の要求がある毎に前記仮ユーザ識別子を生成するステップと、
生成された前記仮ユーザ識別子を前記通信テーブルに登録するとともに前記提供サーバに通知するステップと、
をさらに具備し、
前記部分属性情報の開示を要求するステップは、前記仮ユーザ識別子に基づいて前記部分属性情報の開示を要求するステップを備える
請求項15に記載の通信方法。
【請求項18】
前記管理サーバに送信する情報の暗号化のために使用される公開鍵によって暗号化された前記共通鍵を前記管理サーバに送信するステップを具備する
請求項15から請求項17のいずれかに記載の通信方法。
【請求項19】
前記部分属性情報を送受する経路と異なる経路によって、前記仮ユーザ識別子と前記共通鍵とを前記提供サーバに送信するステップを具備する
請求項15から請求項17のいずれかに記載の通信方法。
【請求項20】
前記共通鍵により暗号化された前記部分属性情報と前記仮ユーザ識別子とを、前記仮ユーザ識別子に基づいて前記通信テーブルを参照して選択した前記提供サーバと前記ユーザが使用する端末装置とに送信するステップをさらに具備する
請求項15から請求項19のいずれかに記載の通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−200696(P2009−200696A)
【公開日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願番号】特願2008−38690(P2008−38690)
【出願日】平成20年2月20日(2008.2.20)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願日】平成20年2月20日(2008.2.20)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]