通信システム及びクライアント装置
【課題】外部ユーザが特別なソフトウェアを端末装置にインストールする必要がなく、内部ユーザを介してコミュニティに参加できる仕組みを実現する。
【解決手段】内部ユーザが外部ユーザと共有している秘密情報を内部ユーザ端末装置200が外部ユーザのIDを用いて暗号化し、暗号化秘密情報を外部ユーザ端末装置100に送信し、外部ユーザ端末装置100において外部ユーザが入力した入力情報を暗号化秘密情報に添付してサービス発行サーバ装置300に送信し、サービス発行サーバ装置300は暗号化秘密情報を外部ユーザのIDで復号し、復号した秘密情報と外部ユーザが入力した情報が一致した場合に、外部ユーザのコミュニティへの参加を承認する。
【解決手段】内部ユーザが外部ユーザと共有している秘密情報を内部ユーザ端末装置200が外部ユーザのIDを用いて暗号化し、暗号化秘密情報を外部ユーザ端末装置100に送信し、外部ユーザ端末装置100において外部ユーザが入力した入力情報を暗号化秘密情報に添付してサービス発行サーバ装置300に送信し、サービス発行サーバ装置300は暗号化秘密情報を外部ユーザのIDで復号し、復号した秘密情報と外部ユーザが入力した情報が一致した場合に、外部ユーザのコミュニティへの参加を承認する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、社外などの外部ユーザを内部のコミュニティに安全に参加させる手法に関するものである。
【背景技術】
【0002】
従来、外部ユーザの参加手法について、特開2004−287784号公報に記載の技術が知られている。
この従来技術では、あらかじめ配布されているCA(Certificate Authority)で登録された公開鍵および秘密鍵を用いてコミュニティに参加を実現している。
また、特開2004−86510号公報に記載の技術が知られている。
この従来技術では、クライアントとの認証が成功している情報を認証が成功していない他のサーバに渡す方法でコミュニティの参加を実現している。
また、会員制のSNS(Social Network Service)などの会員登録方法では、認証が成功しているユーザがサーバに外部ユーザのメールアドレスを登録し、外部ユーザにURI(Uniform Resource Identifier)を記載したメールを送信し、外部ユーザがサーバにアクセスすることで実現している。
【特許文献1】特開2004−287784号公報
【特許文献2】特開2004−86510号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上述した特開2004−287784号公報に記載の技術は、CAの登録および鍵の生成など前提条件のコストが大幅にかかる手法である。
また、特開2004−86510号公報に記載の技術は、信頼できるサーバ同士で認証情報を交換しなければ成立しない手法でかつ、サーバは外部ユーザの認証情報を保存しなければならないため、登録するコストがかかる。
さらに、会員制のSNSなどのユーザ登録方法では、サーバから送信される登録許可メールが暗号化されていないため、盗聴およびなりすましが容易に可能である。
【0004】
本発明では上記の課題を解決することを主な目的とし、外部ユーザに特別なソフトのインストールを不要とし、さらに鍵やパスワードといった情報の共有も不要とすることで前提条件のコストを大幅に下げる手法を実現することを主な目的とする。
また、サーバのリソースを使用せず、サーバに外部ユーザの情報を登録することなく、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができる仕組みを実現することを主な目的とする。
【課題を解決するための手段】
【0005】
本発明に係る通信システムは、
承認済のユーザに対してサービスを提供するサーバ装置と、前記サーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置とを有する通信システムであって、
前記クライアント装置は、
秘密情報を暗号化して暗号化秘密情報とし、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージと、前記暗号化秘密情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報を受信し、
受信した前記暗号化秘密情報に相当する情報の復号処理を行い、
復号処理後の情報と、受信した前記入力情報に相当する情報とを比較し、両者が一致する場合に、前記未承認ユーザを承認することを特徴とする。
【発明の効果】
【0006】
本発明によれば、未承認ユーザ端末装置に特別なソフトウェアをインストールする必要がなく、さらに鍵やパスワードといった情報の共有も必要がない、また、サーバ装置に対して、承認ユーザ又は未承認ユーザの個人情報を登録する必要もない。このため、ユーザの利便性を高めることができ、また、クライアント装置、サーバ装置、未承認ユーザ端末装置のリソースを消費しない。また、情報を暗号化しているので、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができる。
【発明を実施するための最良の形態】
【0007】
実施の形態1.
本実施の形態では、コミュニティにサービスを展開しているサーバ装置(以下、単にサーバともいう)、コミュニティに参加している内部ユーザ、コミュニティに参加してない外部ユーザで構成されているネットワークで、外部ユーザは特別なソフトウェアを端末装置にインストールする必要がなく、内部ユーザを介してコミュニティに参加できる方法を説明する。
ここで、内部ユーザとは、サーバ装置に承認されている承認ユーザであり、サーバ装置からサービスを受けることができる。
また、外部ユーザとは、サーバ装置に承認されていない未承認ユーザである。
【0008】
本実施の形態で説明する方法は、例えば、以下のようなシステムで適用可能である。
(1)外部ユーザはwebと接続でき、標準的なOS(Operating System)が搭載されているPC(Personal Computer)を所有し、PCにはwebブラウザおよび電子メールを送受信できる標準的なソフトウェアをインストールしている。
(2)内部ユーザは、サービスを提供しているサーバに自身の個人情報やパスワードなどを登録している。内部ユーザは外部ユーザの名刺以上の情報(名前、メールアドレスなど)を知っている。
(3)コミュニティはホームページやブログとは異なり、音楽や動画などコンテンツ配信サービスや会員制SNSなどのあらかじめ登録しているユーザだけが参加できる閉じられた環境を示す。
(4)サーバは動画や画像などのコンテンツやショッピングなどのサービスを提供している。
【0009】
図1は、実施の形態に係る通信システムの全体構成例を示すブロック図である。
図1に示すように、本実施の形態に係る通信システムでは、外部ユーザ端末装置100、内部ユーザ端末装置200及びサービス発行サーバ装置300がネットワーク接続されている。
【0010】
外部ユーザ端末装置100は、外部ユーザが利用する端末装置であり、未承認ユーザ端末装置の例である。
外部ユーザ端末装置100は、内部ユーザ端末装置200から送信された情報に対して自身の情報(外部ユーザ情報)を添付し、サービス発行サーバ装置300に送付する。
以降、外部ユーザ端末装置100は、外部ユーザ端末100ともいう。
【0011】
内部ユーザ端末装置200は、内部ユーザが利用する端末装置であり、クライアント装置の例である。
内部ユーザ端末装置200は、外部ユーザを表象する外部ユーザ情報(秘密情報)を暗号化して暗号化外部ユーザ情報(暗号化秘密情報)とする。
暗号化には、IBE(ID−Base Encryption)を用いる。つまり、外部ユーザのID(Identification Data)(識別情報)を暗号鍵として用いて暗号化を行う。IDは外部ユーザを一意に識別可能な文字列(メールアドレスなど)を用いる。
そして、内部ユーザ端末装置200は、暗号化外部ユーザ情報に入力フォーム(入力依頼メッセージ)と外部ユーザのIDとを添付して送信指示情報を生成し、送信指示情報を外部ユーザ端末100に送信する。
入力フォームは、外部ユーザに外部ユーザ情報と同じ情報の入力を促す情報である。
また、送信指示情報は、入力フォームに応じて外部ユーザ端末100で入力された入力情報と暗号化外部ユーザ情報と外部ユーザのIDとをサービス発行サーバ装置300に送信するよう指示する情報である。
なお、外部ユーザ情報は秘密の情報であるが、内部ユーザと外部ユーザの両者は、外部ユーザ情報の内容を知っていることを前提としている。このため、外部ユーザは、入力フォームに外部ユーザ情報と同じ情報を入力情報として入力することができる。
以降、内部ユーザ端末装置200は、内部ユーザ端末200ともいう。
【0012】
サービス発行サーバ装置300は、サーバ装置の例である。
サービス発行サーバ装置300は、サービス対象のコンテンツ等を保有する。
また、サービス発行サーバ装置300は、外部ユーザの登録に関する情報をネットワークから受信する。
サービス発行サーバ装置300が受信する内容は、入力情報に相当する情報と暗号化外部ユーザ情報に相当する情報、外部ユーザのIDに相当する情報である。
入力情報「に相当する」情報、暗号化外部ユーザ情報「に相当する」情報、外部ユーザのID「に相当する」情報とするのは、サービス発行サーバ装置300において照合処理を終えた後でないと、外部ユーザ端末100から送信された適正な情報であると判別できないためである。
つまり、外部ユーザ端末100から送信されている場合は、サービス発行サーバ装置300は、外部ユーザ端末100において入力された入力情報(外部ユーザ情報に一致する情報)、暗号化外部ユーザ情報、外部ユーザのIDを受信することになるが、サービス発行サーバ装置300が情報を受信した段階では、照合処理の前なので、受信した情報が外部ユーザ端末100からの入力情報、暗号化外部ユーザ情報、外部ユーザのIDなのか、第三者からの情報なのかは不明である。このため、受信段階では、「に相当する」情報と表現するのが正しい。
しかしながら、以下では、説明の便宜のため、サービス発行サーバ装置300は、入力情報、暗号化外部ユーザ情報、外部ユーザのIDを受信すると表記する。
以降では、サービス発行サーバ装置300は、サービス発行サーバ、サーバ装置、サーバともいう。
【0013】
次に、外部ユーザ端末100、内部ユーザ端末200、サービス発行サーバ300の内部構成について説明する。
101は情報受信部であり、送信された情報を取得する。外部ユーザ端末100では101A、サービス発行サーバ300では101Cとしている。
102は外部ユーザ情報入力部であり、外部ユーザ情報を入力する。外部ユーザ端末100では102A、内部ユーザ端末200では102Bとしている。
103は情報送信部であり、情報を送信する。外部ユーザ端末100では103A、内部ユーザ端末200では103B、サービス発行サーバ300では103Cとしている。
【0014】
また、内部ユーザ端末200において、201は署名部であり、秘密情報に対して電子署名をつける。
202は暗号化部であり、電子署名のついた秘密情報に暗号化を行う。
203は入力フォーム生成部であり、暗号化した情報に入力フォーム(入力依頼メッセージ)をつける。入力フォーム生成部203は、入力依頼メッセージ生成部の例である。
208は送信指示情報生成部であり、前述した送信指示情報を生成する。
【0015】
また、サービス発行サーバ300において、301は復号部であり、暗号化された情報を復号する。
302はデータ検証部であり、外部ユーザが入力した情報と内部ユーザが入力した情報を検証する。
303は鍵生成部であり、外部ユーザの秘密鍵を生成する。
304は追跡部であり、要求データから内部ユーザと外部ユーザの特定を行う。
【0016】
次に、全体の動作の流れについて図1、図2、図3、図4を用いて述べる。
まず、内部ユーザ端末装置200はサービスに参加させたい外部ユーザの情報を外部ユーザ情報として外部ユーザ情報入力部102Bで入力する(ステップS11)。
具体的には図6のようなウィンドウを用いて内部ユーザに入力させる。入力する外部ユーザ情報は運用上あらかじめ決定している外部ユーザのメールアドレスや住所などのデータである。
次に、入力した外部ユーザ情報に署名部201を用いて電子署名をつける(ステップS12)。
署名にはあらかじめ認証が完了している内部ユーザの秘密鍵を用いる。
この情報は(1)のように示される。
【0017】
Sig_内部ユーザ秘密鍵(外部ユーザ情報) (1)
【0018】
次に、暗号化部202を用いて情報(1)を暗号化する(ステップS13)。
暗号化する鍵は外部ユーザのID(公開鍵)である。
また、復号するために必要な外部ユーザID情報を添付する。この情報は上記(1)を用いて(2)のように示される。
【0019】
(Enc_外部ユーザID((1)),外部ユーザID情報) (2)
【0020】
暗号化されたデータは入力フォーム生成部203を用いて入力フォームを付けられる(ステップS14)。この情報は上記(1)を用いて(3)のように示される。
なお、入力フォームはマークアップ言語などを用いて生成する。
【0021】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム)(3)
【0022】
また、送信指示情報生成部208が、情報(3)に制御情報等を追加して送信指示情報とする(ステップS15)。
送信指示情報生成部208が追加する情報としては、例えば、サービス発行サーバ300のURI、上記の情報(3)と外部ユーザ端末100で入力される入力情報とをサービス発行サーバ300に送信するよう外部ユーザ端末100に指示するコマンドやメッセージ等である。
【0023】
次に、情報送信部103によって送信指示情報が外部ユーザ端末100に送付される(ステップS16)。
送付には電子メールなどを用いることができる。
【0024】
外部ユーザ端末100は送られた送信指示情報を情報受信部101Aで受信する(ステップS21)。
受信した送信指示情報に含まれる情報(3)には入力フォームが添付されているので、外部ユーザ情報入力部102Aを用いて、その入力フォームに運用上あらかじめ決定している外部ユーザ情報を入力する(ステップS22)。つまり、内部ユーザがS11で入力した外部ユーザ情報と同じ情報を入力する。
具体例として図6のような入力フォームが送信されてくる。
この情報は上記(1)を用いて(4)のように示される。
【0025】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム(入力情報)) (4)
【0026】
外部ユーザは情報送信部103Aを用いてサービス発行サーバ300に情報(4)を送付する(ステップS23)。
送付にはhttpsなどセキュアなチャンネルを用いる。
【0027】
サービス発行サーバ300は、情報(4)を情報受信部101Cで受信する(ステップS31)。
受信したデータから外部ユーザID情報を取得し、鍵生成部303を用いて、外部ユーザの秘密鍵を生成する(ステップS32)。
復号部301では生成した外部ユーザの秘密鍵を用いて外部ユーザIDで暗号化された情報(1)を復号する。これは上記(1)を用いて(5)のように示される。
【0028】
Dec_外部ユーザ秘密鍵(Enc_外部ユーザID((1))) (5)
【0029】
次に、内部ユーザの電子署名つき情報(1)を取り出す(ステップS33)。
その署名つき情報(1)と、上記(4)に添付された入力フォームの入力情報とをデータ検証部302で比較し、一致すれば外部ユーザのコミュニティへの参加を承認し、外部ユーザの登録成功とする(ステップS34)。
登録成功の場合は、情報送信部103Cを用いて、外部ユーザの秘密鍵を送付する(ステップS35)。
【0030】
また、本実施の形態ではサーバ300は、追跡部304を用いて、上記(4)のデータの署名値と外部ユーザID情報から登録許可フローを追跡することができる(図5のステップS36)。
つまり、サーバ300は、追跡部304を用いて、電子署名つき情報(1)の電子署名を抽出し、抽出した電子署名を用いて情報(1)の生成元を特定することが可能である。
そして、外部ユーザの秘密鍵が漏洩した場合などなんらかの問題が発生した場合、内部ユーザに責任を負わせてもよい。
【0031】
このように、本実施の形態によれば、外部ユーザは特別なソフトをインストールする必要がなく、さらに鍵やパスワードといった情報の共有も必要がない、また、外部ユーザおよび内部ユーザがサーバに対して、住所やメールアドレスのような個人情報を登録する必要もない。このため、外部ユーザの登録における内部ユーザ及び外部ユーザの利便性を高めることができ、また、外部ユーザの登録において内部ユーザ端末及び外部ユーザ端末のリソースを消費しない。
また、内部ユーザ又は外部ユーザの住所やメールアドレスのような個人情報を登録する必要がないので、外部ユーザの登録においてサーバのリソースを消費しない。
また、暗号化及び電子署名を用いているので、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができ、また、悪意ある第三者は運用で用いる秘密情報を推測できない。
また、内部ユーザがどの外部ユーザに参加許可を出したのかをサーバが追跡できるので、内部ユーザが不正なユーザにデータを送付することを抑制することができる。
【0032】
なお、上記の説明では、暗号化にIBEを用いることとしたが、前提条件にCAを用いることで暗号化にはIBE以外の公開鍵暗号系を用いることが可能である。その場合、CAには外部ユーザの公開鍵証明書が登録されていることとする。
【0033】
また、上記の説明では、サーバは外部ユーザの秘密鍵生成機能、復号機能、署名の検証機能を有することしたが、サーバがこれら機能を有しない場合は、鍵生成サーバとして別途用意してもよい。
【0034】
サーバは外部ユーザを登録する代わりに秘密鍵やパスワードなど今後、安全にセッションするための認証情報を外部ユーザに渡してもよい。
【0035】
実施の形態2.
図7は、実施の形態2に係る全体構成例を示すブロック図であり、運用で入力する秘密情報を内部ユーザ及び外部ユーザ間で予め決定していなくても対応可能な構成となっている。
【0036】
図7において、204は質問生成/選択部であり、質問を生成もしくは選択し、送信データにつける。
つまり、質問生成/選択部204は、外部ユーザに外部ユーザ情報を想起させる質問が示される質問メッセージを生成、選択する。
質問内容は内部ユーザに入力させてもよいし、あらかじめ定式化(あなたのペットは?、好きな映画は?など)して選択させてもよい。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0037】
全体の動作の流れについて、図7、図8を用いて述べる。
まず、内部ユーザ端末装置200は、実施の形態1と同様のフローでステップS11からステップS14を行う。
図7に示される実施の形態2における内部ユーザ端末装置200では、質問生成/選択部204が使用されている。この質問生成/選択部204は、外部ユーザが外部ユーザ情報を知らないもしくは安全上使用に問題が場合に用いる手段で、内部ユーザが外部ユーザに対して、外部ユーザ情報を回答させるような質問をフリースタイルもしくは、あらかじめ決められた問いから選択する機能である。
質問生成/選択部204は、ユーザから入力された内容又はユーザから選択された内容から質問メッセージを生成し、暗号化されたデータに質問メッセージを添付する(図8におけるステップS17)。
これは上記(1)を用いて(6)のように示される。
【0038】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム,質問文)
(6)
【0039】
この機能によって外部ユーザがあらかじめ運用で用いる外部ユーザ情報を知らない場合にも対処可能となる。
また、内部ユーザと外部ユーザしか知りえない情報をこの方式をもって用いることで安全性は確保される。その後ステップS15を行う。
外部ユーザ端末装置100およびサービス発行サーバ300の流れについては実施の形態1とほぼ同様である。
実施の形態1と異なる点は、外部ユーザ端末100において質問メッセージが表示され、外部ユーザは質問メッセージに答える形で入力フォームに情報を入力する。
【0040】
このように、本実施の形態によれば、外部ユーザが把握している質問に対する回答を入力するだけで特定のコミュニティに参加できることが可能である。
また、質問に回答することで、外部ユーザと内部ユーザだけの既知情報を任意に変更でき、悪意ある第三者の攻撃を困難とすることができる。
【0041】
実施の形態3.
図9は、実施の形態3に係る全体構成例を示すブロック図であり、内部ユーザ端末装置200が時間付与部205により時間に署名をつけることで、内部ユーザ端末装置200が生成した登録要求受付のタイムアウト処理をつけたものである。
【0042】
図9において、205は時間付与部であり、内部ユーザが生成した登録要求の時間をつける。
つまり、時間付与部205は、内部ユーザの要求に基づいて時刻情報を外部ユーザ情報に付加する。
また、305は時間検証部であり、登録要求の時間とサーバの時間を比較し、その結果を用いてタイムアウト処理を行う。
つまり、時間検証部305は、時間付与部205により付加された時刻情報に示される時刻と現在時刻(外部ユーザ端末100から情報を受信した時刻)との差が閾値以上である場合に、外部ユーザを承認しない。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0043】
全体の動作の流れについて、図9、図10、図11を用いて述べる。
内部ユーザ端末装置200は、実施の形態1と同様のフローでステップS11を行う。
次に、時間付与部205を用いて、内部ユーザが情報入力後に、入力時刻を示す時刻情報をつける(図10におけるステップS18)。
なお、時刻の取得は内部ユーザ端末200のローカル時間もしくはタイムスタンプサーバなどどのような手段でもよい。
この情報は(7)のように示される。
【0044】
Sig_内部ユーザ秘密鍵(外部ユーザ情報,時刻) (7)
【0045】
その後、実施の形態1と同様のフローでステップS12からステップS16を行う。つまり、本実施の形態では、暗号化の対象となるのは外部ユーザ情報及び時刻情報である。
また、外部ユーザ端末は実施の形態1と同様にステップS21からステップS23を行う。
【0046】
サービス発行サーバ300は実施の形態1と同様のフローでステップS31からステップS33を行う。
その後、時間検証部305を用いて、時間の閾値を設け、サーバの現在時刻(外部ユーザ端末100からの受信時刻)と要求についている時刻(内部ユーザ端末200で付加された時刻)の差分を検証する(図11におけるステップS36)。
不適当な時間の場合(閾値以上の場合)、検証失敗となり、外部ユーザを承認せず、登録しない。
なお、時刻の取得はサーバ300のローカル時間もしくはタイムスタンプサーバなどどのような手段でもよい。
最後に、サーバ300は、ステップS34からステップS35を行う。
【0047】
実施の形態4.
図12は、実施の形態4に係る全体構成例を示すブロック図であり、内部ユーザ端末装置200がサーバ情報入力部206により参加要求にサーバ情報をつけることで、外部ユーザ端末装置100が秘密鍵を取得後、サーバの情報を検証できるものである。
【0048】
図12において、104はサーバ情報検証部であり、要求についているサーバの識別情報を検証する。
また、206はサーバ情報入力部であり、内部ユーザが登録しているサーバの識別情報を入力する。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0049】
全体の動作の流れについて、図12、図13、図14を用いて述べる。
内部ユーザ端末装置200は実施の形態1と同様にステップS11を行う。
次に、サーバ情報入力部206を用いて、内部ユーザがサーバの識別情報(サーバ名やURIなど)を入力する(図13におけるステップS19)。
その後、実施の形態1と同様にステップS12からステップS16を行う。
【0050】
外部ユーザ端末装置100は、実施の形態1と同様にステップS21からステップS23を行う。
サービス発行サーバ300も実施の形態1と同様にステップS31からステップS35を行う。
【0051】
秘密鍵受信後、外部ユーザ端末装置100はサーバ情報検証部104を用いてサーバ名やURIを抽出し、それら情報からサービス発行サーバ300が信頼できるものかどうか判断してもよい(図14におけるステップS24)。
この情報は(8)のように示される。
【0052】
Sig_内部ユーザ秘密鍵(外部ユーザ情報,サーバ情報) (8)
【0053】
内部ユーザとサービス発行サーバが結託することで、外部ユーザを悪意あるサーバの登録者にすることが可能となるため、本実施の形態では、これら機能を用いることで外部ユーザは秘密鍵を取得後、そのサービスを使用するかどうかの判断にこれらサーバの情報を検証することが可能となる。
【0054】
このように、本実施の形態では、内部ユーザから送信されたコミュニティ参加要求にサーバ情報(サーバ名、URIなど)をつけることをポリシーとし、さらにその情報を外部ユーザのID(公開鍵)で暗号化することしているので、外部ユーザは悪意ある内部ユーザと悪意あるサーバに結託された場合、外部ユーザ自身で結託された事実を判別である。より具体的には、外部ユーザはコミュニティに参加し、秘密鍵受信後、自身の登録要求を解析して自身がどのサーバに接続しているか確認できる。
【0055】
実施の形態5.
図15は、実施の形態5に係る全体構成例を示すブロック図であり、サービス発行サーバ300が情報を検証した結果情報が不一致であった場合に、内部ユーザ端末装置200に検証した情報を確認させることで、外部ユーザを登録するものである。
【0056】
図15において、207は登録許可部であり、内部ユーザが登録許可を出すための手段である。
つまり、登録許可部207は、サービス発行サーバ300から受信した情報の内容から外部ユーザの承認が可能な場合に、サービス発行サーバ300に外部ユーザの承認を依頼する情報(承認依頼情報)を生成する。登録許可部207は承認依頼情報生成部の例である。
また、本実施の形態では、内部ユーザ端末200に情報受信部101Bが追加されている。情報受信部101はサービス発行サーバ300からの情報を受信する。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0057】
全体の動作の流れについて、図15、図16、図17を用いて述べる。
内部ユーザ端末装置200は実施の形態2と同様のフローにてステップS11からステップS16まで行う。
また、外部ユーザ端末装置100も実施の形態2と同様のフローを行う。
【0058】
サービス発行サーバ300はステップS31からステップS33を行う。
次にデータ検証部302用いて、検証を行う(図16におけるステップS37)。
質問などの回答は一致する可能性が必ずしも高くないため、情報が一致しない場合(ステップS37で検証失敗)、サービス発行サーバ300は、内部ユーザ端末装置200に入力情報(外部ユーザの入力情報)を電子メールで送信する(ステップS38)。
この情報は(9)のように示される。
【0059】
(Enc_内部ユーザ公開鍵(外部ユーザ情報,入力情報),内部ユーザ公開鍵情報)
(9)
【0060】
内部ユーザ端末装置200は、情報受信部101Bにより上記(9)の情報を受信し、内部ユーザが、受信した情報(9)を検証して、外部ユーザの登録の可否を判断する。
例えば、外部ユーザ情報と入力情報が同一ではないが近似している場合は、内部ユーザは外部ユーザの登録が可能と判断することができる。
そして、登録許可部207は、検証結果を示す情報を生成する。
この情報は(10)のように示される。
また、情報送信部103Bは、この情報(10)をサービス発行サーバ300に送信する(図17のステップS20)。
登録可能な場合は、情報(10)は、サーバ300に外部ユーザの承認及び登録を依頼する情報(承認依頼情報)となる。
【0061】
Sig_内部ユーザ秘密鍵(検証結果) (10)
【0062】
検証結果を受信したサービス発行サーバ300は、検証結果が登録許可の場合、外部ユーザの承認及び登録を行い、情報送信部103Cにより、外部ユーザに秘密鍵を送信する。
【0063】
このように、本実施の形態では、質問とその回答で外部ユーザの検証を行う場合、サービス発行サーバは完全に回答が一致しない場合、内部ユーザに回答を送付し、検証を成功させてよいか確認をとることができる。
【0064】
なお、以上では、実施の形態2の方法に対応し、質問に対する外部ユーザの回答が内部ユーザが入力した外部ユーザ情報に一致しない場合に、サーバが内部ユーザ端末に登録許否の確認をとるものであったが、実施の形態1のように、外部ユーザが入力した入力情報が内部ユーザが入力した外部ユーザ情報に一致しない場合に、サーバが内部ユーザ端末に登録許否の確認をとるようにしてもよい。
【0065】
最後に、実施の形態1〜5に示した外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成例について説明する。
図18は、実施の形態1〜5に示す外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア資源の一例を示す図である。
なお、図18の構成は、あくまでも外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成の一例を示すものであり、外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成は図18に記載の構成に限らず、他の構成であってもよい。
【0066】
図18において、外部ユーザ端末100、内部ユーザ端末200、サーバ300は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0067】
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されている。
【0068】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0069】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0070】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
外部ユーザ端末100、内部ユーザ端末200、サーバ300の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0071】
上記プログラム群923には、実施の形態1〜5の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0072】
ファイル群924には、実施の形態1〜5の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の生成」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜5で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0073】
また、実施の形態1〜5の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜5の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜5の「〜部」の手順や方法をコンピュータに実行させるものである。
【0074】
このように、実施の形態1〜5に示す外部ユーザ端末100、内部ユーザ端末200、サーバ300は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【図面の簡単な説明】
【0075】
【図1】実施の形態1に係るシステム構成例を示す図。
【図2】実施の形態1に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図3】実施の形態1に係る外部ユーザ端末装置の動作例を示すフローチャート図。
【図4】実施の形態1に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図5】実施の形態1に係る追跡部の動作例を示すフローチャート図。
【図6】実施の形態1に係る入力フォームの例を示す図。
【図7】実施の形態2に係るシステム構成例を示す図。
【図8】実施の形態2に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図9】実施の形態3に係るシステム構成例を示す図。
【図10】実施の形態3に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図11】実施の形態3に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図12】実施の形態4に係るシステム構成例を示す図。
【図13】実施の形態4に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図14】実施の形態4に係る外部ユーザ端末装置の動作例を示すフローチャート図。
【図15】実施の形態5に係るシステム構成例を示す図。
【図16】実施の形態5に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図17】実施の形態5に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図18】実施の形態1〜5に係る外部ユーザ端末装置、内部ユーザ端末装置及びサービス発行サーバ装置のハードウェア構成例を示す図。
【符号の説明】
【0076】
100 外部ユーザ端末装置、101 情報受信部、102 外部ユーザ情報入力部、103 情報送信部、104 サーバ情報検証部、200 内部ユーザ端末装置、201 署名部、202 暗号化部、203 入力フォーム生成部、204 質問生成/選択部、205 時間付与部、206 サーバ情報入力部、207 登録許可部、208 送信指示情報生成部、300 サービス発行サーバ装置、301 復号部、302 データ検証部、303 鍵生成部、304 追跡部、305 時間検証部。
【技術分野】
【0001】
本発明は、社外などの外部ユーザを内部のコミュニティに安全に参加させる手法に関するものである。
【背景技術】
【0002】
従来、外部ユーザの参加手法について、特開2004−287784号公報に記載の技術が知られている。
この従来技術では、あらかじめ配布されているCA(Certificate Authority)で登録された公開鍵および秘密鍵を用いてコミュニティに参加を実現している。
また、特開2004−86510号公報に記載の技術が知られている。
この従来技術では、クライアントとの認証が成功している情報を認証が成功していない他のサーバに渡す方法でコミュニティの参加を実現している。
また、会員制のSNS(Social Network Service)などの会員登録方法では、認証が成功しているユーザがサーバに外部ユーザのメールアドレスを登録し、外部ユーザにURI(Uniform Resource Identifier)を記載したメールを送信し、外部ユーザがサーバにアクセスすることで実現している。
【特許文献1】特開2004−287784号公報
【特許文献2】特開2004−86510号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上述した特開2004−287784号公報に記載の技術は、CAの登録および鍵の生成など前提条件のコストが大幅にかかる手法である。
また、特開2004−86510号公報に記載の技術は、信頼できるサーバ同士で認証情報を交換しなければ成立しない手法でかつ、サーバは外部ユーザの認証情報を保存しなければならないため、登録するコストがかかる。
さらに、会員制のSNSなどのユーザ登録方法では、サーバから送信される登録許可メールが暗号化されていないため、盗聴およびなりすましが容易に可能である。
【0004】
本発明では上記の課題を解決することを主な目的とし、外部ユーザに特別なソフトのインストールを不要とし、さらに鍵やパスワードといった情報の共有も不要とすることで前提条件のコストを大幅に下げる手法を実現することを主な目的とする。
また、サーバのリソースを使用せず、サーバに外部ユーザの情報を登録することなく、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができる仕組みを実現することを主な目的とする。
【課題を解決するための手段】
【0005】
本発明に係る通信システムは、
承認済のユーザに対してサービスを提供するサーバ装置と、前記サーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置とを有する通信システムであって、
前記クライアント装置は、
秘密情報を暗号化して暗号化秘密情報とし、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージと、前記暗号化秘密情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報を受信し、
受信した前記暗号化秘密情報に相当する情報の復号処理を行い、
復号処理後の情報と、受信した前記入力情報に相当する情報とを比較し、両者が一致する場合に、前記未承認ユーザを承認することを特徴とする。
【発明の効果】
【0006】
本発明によれば、未承認ユーザ端末装置に特別なソフトウェアをインストールする必要がなく、さらに鍵やパスワードといった情報の共有も必要がない、また、サーバ装置に対して、承認ユーザ又は未承認ユーザの個人情報を登録する必要もない。このため、ユーザの利便性を高めることができ、また、クライアント装置、サーバ装置、未承認ユーザ端末装置のリソースを消費しない。また、情報を暗号化しているので、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができる。
【発明を実施するための最良の形態】
【0007】
実施の形態1.
本実施の形態では、コミュニティにサービスを展開しているサーバ装置(以下、単にサーバともいう)、コミュニティに参加している内部ユーザ、コミュニティに参加してない外部ユーザで構成されているネットワークで、外部ユーザは特別なソフトウェアを端末装置にインストールする必要がなく、内部ユーザを介してコミュニティに参加できる方法を説明する。
ここで、内部ユーザとは、サーバ装置に承認されている承認ユーザであり、サーバ装置からサービスを受けることができる。
また、外部ユーザとは、サーバ装置に承認されていない未承認ユーザである。
【0008】
本実施の形態で説明する方法は、例えば、以下のようなシステムで適用可能である。
(1)外部ユーザはwebと接続でき、標準的なOS(Operating System)が搭載されているPC(Personal Computer)を所有し、PCにはwebブラウザおよび電子メールを送受信できる標準的なソフトウェアをインストールしている。
(2)内部ユーザは、サービスを提供しているサーバに自身の個人情報やパスワードなどを登録している。内部ユーザは外部ユーザの名刺以上の情報(名前、メールアドレスなど)を知っている。
(3)コミュニティはホームページやブログとは異なり、音楽や動画などコンテンツ配信サービスや会員制SNSなどのあらかじめ登録しているユーザだけが参加できる閉じられた環境を示す。
(4)サーバは動画や画像などのコンテンツやショッピングなどのサービスを提供している。
【0009】
図1は、実施の形態に係る通信システムの全体構成例を示すブロック図である。
図1に示すように、本実施の形態に係る通信システムでは、外部ユーザ端末装置100、内部ユーザ端末装置200及びサービス発行サーバ装置300がネットワーク接続されている。
【0010】
外部ユーザ端末装置100は、外部ユーザが利用する端末装置であり、未承認ユーザ端末装置の例である。
外部ユーザ端末装置100は、内部ユーザ端末装置200から送信された情報に対して自身の情報(外部ユーザ情報)を添付し、サービス発行サーバ装置300に送付する。
以降、外部ユーザ端末装置100は、外部ユーザ端末100ともいう。
【0011】
内部ユーザ端末装置200は、内部ユーザが利用する端末装置であり、クライアント装置の例である。
内部ユーザ端末装置200は、外部ユーザを表象する外部ユーザ情報(秘密情報)を暗号化して暗号化外部ユーザ情報(暗号化秘密情報)とする。
暗号化には、IBE(ID−Base Encryption)を用いる。つまり、外部ユーザのID(Identification Data)(識別情報)を暗号鍵として用いて暗号化を行う。IDは外部ユーザを一意に識別可能な文字列(メールアドレスなど)を用いる。
そして、内部ユーザ端末装置200は、暗号化外部ユーザ情報に入力フォーム(入力依頼メッセージ)と外部ユーザのIDとを添付して送信指示情報を生成し、送信指示情報を外部ユーザ端末100に送信する。
入力フォームは、外部ユーザに外部ユーザ情報と同じ情報の入力を促す情報である。
また、送信指示情報は、入力フォームに応じて外部ユーザ端末100で入力された入力情報と暗号化外部ユーザ情報と外部ユーザのIDとをサービス発行サーバ装置300に送信するよう指示する情報である。
なお、外部ユーザ情報は秘密の情報であるが、内部ユーザと外部ユーザの両者は、外部ユーザ情報の内容を知っていることを前提としている。このため、外部ユーザは、入力フォームに外部ユーザ情報と同じ情報を入力情報として入力することができる。
以降、内部ユーザ端末装置200は、内部ユーザ端末200ともいう。
【0012】
サービス発行サーバ装置300は、サーバ装置の例である。
サービス発行サーバ装置300は、サービス対象のコンテンツ等を保有する。
また、サービス発行サーバ装置300は、外部ユーザの登録に関する情報をネットワークから受信する。
サービス発行サーバ装置300が受信する内容は、入力情報に相当する情報と暗号化外部ユーザ情報に相当する情報、外部ユーザのIDに相当する情報である。
入力情報「に相当する」情報、暗号化外部ユーザ情報「に相当する」情報、外部ユーザのID「に相当する」情報とするのは、サービス発行サーバ装置300において照合処理を終えた後でないと、外部ユーザ端末100から送信された適正な情報であると判別できないためである。
つまり、外部ユーザ端末100から送信されている場合は、サービス発行サーバ装置300は、外部ユーザ端末100において入力された入力情報(外部ユーザ情報に一致する情報)、暗号化外部ユーザ情報、外部ユーザのIDを受信することになるが、サービス発行サーバ装置300が情報を受信した段階では、照合処理の前なので、受信した情報が外部ユーザ端末100からの入力情報、暗号化外部ユーザ情報、外部ユーザのIDなのか、第三者からの情報なのかは不明である。このため、受信段階では、「に相当する」情報と表現するのが正しい。
しかしながら、以下では、説明の便宜のため、サービス発行サーバ装置300は、入力情報、暗号化外部ユーザ情報、外部ユーザのIDを受信すると表記する。
以降では、サービス発行サーバ装置300は、サービス発行サーバ、サーバ装置、サーバともいう。
【0013】
次に、外部ユーザ端末100、内部ユーザ端末200、サービス発行サーバ300の内部構成について説明する。
101は情報受信部であり、送信された情報を取得する。外部ユーザ端末100では101A、サービス発行サーバ300では101Cとしている。
102は外部ユーザ情報入力部であり、外部ユーザ情報を入力する。外部ユーザ端末100では102A、内部ユーザ端末200では102Bとしている。
103は情報送信部であり、情報を送信する。外部ユーザ端末100では103A、内部ユーザ端末200では103B、サービス発行サーバ300では103Cとしている。
【0014】
また、内部ユーザ端末200において、201は署名部であり、秘密情報に対して電子署名をつける。
202は暗号化部であり、電子署名のついた秘密情報に暗号化を行う。
203は入力フォーム生成部であり、暗号化した情報に入力フォーム(入力依頼メッセージ)をつける。入力フォーム生成部203は、入力依頼メッセージ生成部の例である。
208は送信指示情報生成部であり、前述した送信指示情報を生成する。
【0015】
また、サービス発行サーバ300において、301は復号部であり、暗号化された情報を復号する。
302はデータ検証部であり、外部ユーザが入力した情報と内部ユーザが入力した情報を検証する。
303は鍵生成部であり、外部ユーザの秘密鍵を生成する。
304は追跡部であり、要求データから内部ユーザと外部ユーザの特定を行う。
【0016】
次に、全体の動作の流れについて図1、図2、図3、図4を用いて述べる。
まず、内部ユーザ端末装置200はサービスに参加させたい外部ユーザの情報を外部ユーザ情報として外部ユーザ情報入力部102Bで入力する(ステップS11)。
具体的には図6のようなウィンドウを用いて内部ユーザに入力させる。入力する外部ユーザ情報は運用上あらかじめ決定している外部ユーザのメールアドレスや住所などのデータである。
次に、入力した外部ユーザ情報に署名部201を用いて電子署名をつける(ステップS12)。
署名にはあらかじめ認証が完了している内部ユーザの秘密鍵を用いる。
この情報は(1)のように示される。
【0017】
Sig_内部ユーザ秘密鍵(外部ユーザ情報) (1)
【0018】
次に、暗号化部202を用いて情報(1)を暗号化する(ステップS13)。
暗号化する鍵は外部ユーザのID(公開鍵)である。
また、復号するために必要な外部ユーザID情報を添付する。この情報は上記(1)を用いて(2)のように示される。
【0019】
(Enc_外部ユーザID((1)),外部ユーザID情報) (2)
【0020】
暗号化されたデータは入力フォーム生成部203を用いて入力フォームを付けられる(ステップS14)。この情報は上記(1)を用いて(3)のように示される。
なお、入力フォームはマークアップ言語などを用いて生成する。
【0021】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム)(3)
【0022】
また、送信指示情報生成部208が、情報(3)に制御情報等を追加して送信指示情報とする(ステップS15)。
送信指示情報生成部208が追加する情報としては、例えば、サービス発行サーバ300のURI、上記の情報(3)と外部ユーザ端末100で入力される入力情報とをサービス発行サーバ300に送信するよう外部ユーザ端末100に指示するコマンドやメッセージ等である。
【0023】
次に、情報送信部103によって送信指示情報が外部ユーザ端末100に送付される(ステップS16)。
送付には電子メールなどを用いることができる。
【0024】
外部ユーザ端末100は送られた送信指示情報を情報受信部101Aで受信する(ステップS21)。
受信した送信指示情報に含まれる情報(3)には入力フォームが添付されているので、外部ユーザ情報入力部102Aを用いて、その入力フォームに運用上あらかじめ決定している外部ユーザ情報を入力する(ステップS22)。つまり、内部ユーザがS11で入力した外部ユーザ情報と同じ情報を入力する。
具体例として図6のような入力フォームが送信されてくる。
この情報は上記(1)を用いて(4)のように示される。
【0025】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム(入力情報)) (4)
【0026】
外部ユーザは情報送信部103Aを用いてサービス発行サーバ300に情報(4)を送付する(ステップS23)。
送付にはhttpsなどセキュアなチャンネルを用いる。
【0027】
サービス発行サーバ300は、情報(4)を情報受信部101Cで受信する(ステップS31)。
受信したデータから外部ユーザID情報を取得し、鍵生成部303を用いて、外部ユーザの秘密鍵を生成する(ステップS32)。
復号部301では生成した外部ユーザの秘密鍵を用いて外部ユーザIDで暗号化された情報(1)を復号する。これは上記(1)を用いて(5)のように示される。
【0028】
Dec_外部ユーザ秘密鍵(Enc_外部ユーザID((1))) (5)
【0029】
次に、内部ユーザの電子署名つき情報(1)を取り出す(ステップS33)。
その署名つき情報(1)と、上記(4)に添付された入力フォームの入力情報とをデータ検証部302で比較し、一致すれば外部ユーザのコミュニティへの参加を承認し、外部ユーザの登録成功とする(ステップS34)。
登録成功の場合は、情報送信部103Cを用いて、外部ユーザの秘密鍵を送付する(ステップS35)。
【0030】
また、本実施の形態ではサーバ300は、追跡部304を用いて、上記(4)のデータの署名値と外部ユーザID情報から登録許可フローを追跡することができる(図5のステップS36)。
つまり、サーバ300は、追跡部304を用いて、電子署名つき情報(1)の電子署名を抽出し、抽出した電子署名を用いて情報(1)の生成元を特定することが可能である。
そして、外部ユーザの秘密鍵が漏洩した場合などなんらかの問題が発生した場合、内部ユーザに責任を負わせてもよい。
【0031】
このように、本実施の形態によれば、外部ユーザは特別なソフトをインストールする必要がなく、さらに鍵やパスワードといった情報の共有も必要がない、また、外部ユーザおよび内部ユーザがサーバに対して、住所やメールアドレスのような個人情報を登録する必要もない。このため、外部ユーザの登録における内部ユーザ及び外部ユーザの利便性を高めることができ、また、外部ユーザの登録において内部ユーザ端末及び外部ユーザ端末のリソースを消費しない。
また、内部ユーザ又は外部ユーザの住所やメールアドレスのような個人情報を登録する必要がないので、外部ユーザの登録においてサーバのリソースを消費しない。
また、暗号化及び電子署名を用いているので、盗聴やなりすましといった悪意ある第三者からの攻撃を防ぐことができ、また、悪意ある第三者は運用で用いる秘密情報を推測できない。
また、内部ユーザがどの外部ユーザに参加許可を出したのかをサーバが追跡できるので、内部ユーザが不正なユーザにデータを送付することを抑制することができる。
【0032】
なお、上記の説明では、暗号化にIBEを用いることとしたが、前提条件にCAを用いることで暗号化にはIBE以外の公開鍵暗号系を用いることが可能である。その場合、CAには外部ユーザの公開鍵証明書が登録されていることとする。
【0033】
また、上記の説明では、サーバは外部ユーザの秘密鍵生成機能、復号機能、署名の検証機能を有することしたが、サーバがこれら機能を有しない場合は、鍵生成サーバとして別途用意してもよい。
【0034】
サーバは外部ユーザを登録する代わりに秘密鍵やパスワードなど今後、安全にセッションするための認証情報を外部ユーザに渡してもよい。
【0035】
実施の形態2.
図7は、実施の形態2に係る全体構成例を示すブロック図であり、運用で入力する秘密情報を内部ユーザ及び外部ユーザ間で予め決定していなくても対応可能な構成となっている。
【0036】
図7において、204は質問生成/選択部であり、質問を生成もしくは選択し、送信データにつける。
つまり、質問生成/選択部204は、外部ユーザに外部ユーザ情報を想起させる質問が示される質問メッセージを生成、選択する。
質問内容は内部ユーザに入力させてもよいし、あらかじめ定式化(あなたのペットは?、好きな映画は?など)して選択させてもよい。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0037】
全体の動作の流れについて、図7、図8を用いて述べる。
まず、内部ユーザ端末装置200は、実施の形態1と同様のフローでステップS11からステップS14を行う。
図7に示される実施の形態2における内部ユーザ端末装置200では、質問生成/選択部204が使用されている。この質問生成/選択部204は、外部ユーザが外部ユーザ情報を知らないもしくは安全上使用に問題が場合に用いる手段で、内部ユーザが外部ユーザに対して、外部ユーザ情報を回答させるような質問をフリースタイルもしくは、あらかじめ決められた問いから選択する機能である。
質問生成/選択部204は、ユーザから入力された内容又はユーザから選択された内容から質問メッセージを生成し、暗号化されたデータに質問メッセージを添付する(図8におけるステップS17)。
これは上記(1)を用いて(6)のように示される。
【0038】
(Enc_外部ユーザID((1)),外部ユーザID情報,入力フォーム,質問文)
(6)
【0039】
この機能によって外部ユーザがあらかじめ運用で用いる外部ユーザ情報を知らない場合にも対処可能となる。
また、内部ユーザと外部ユーザしか知りえない情報をこの方式をもって用いることで安全性は確保される。その後ステップS15を行う。
外部ユーザ端末装置100およびサービス発行サーバ300の流れについては実施の形態1とほぼ同様である。
実施の形態1と異なる点は、外部ユーザ端末100において質問メッセージが表示され、外部ユーザは質問メッセージに答える形で入力フォームに情報を入力する。
【0040】
このように、本実施の形態によれば、外部ユーザが把握している質問に対する回答を入力するだけで特定のコミュニティに参加できることが可能である。
また、質問に回答することで、外部ユーザと内部ユーザだけの既知情報を任意に変更でき、悪意ある第三者の攻撃を困難とすることができる。
【0041】
実施の形態3.
図9は、実施の形態3に係る全体構成例を示すブロック図であり、内部ユーザ端末装置200が時間付与部205により時間に署名をつけることで、内部ユーザ端末装置200が生成した登録要求受付のタイムアウト処理をつけたものである。
【0042】
図9において、205は時間付与部であり、内部ユーザが生成した登録要求の時間をつける。
つまり、時間付与部205は、内部ユーザの要求に基づいて時刻情報を外部ユーザ情報に付加する。
また、305は時間検証部であり、登録要求の時間とサーバの時間を比較し、その結果を用いてタイムアウト処理を行う。
つまり、時間検証部305は、時間付与部205により付加された時刻情報に示される時刻と現在時刻(外部ユーザ端末100から情報を受信した時刻)との差が閾値以上である場合に、外部ユーザを承認しない。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0043】
全体の動作の流れについて、図9、図10、図11を用いて述べる。
内部ユーザ端末装置200は、実施の形態1と同様のフローでステップS11を行う。
次に、時間付与部205を用いて、内部ユーザが情報入力後に、入力時刻を示す時刻情報をつける(図10におけるステップS18)。
なお、時刻の取得は内部ユーザ端末200のローカル時間もしくはタイムスタンプサーバなどどのような手段でもよい。
この情報は(7)のように示される。
【0044】
Sig_内部ユーザ秘密鍵(外部ユーザ情報,時刻) (7)
【0045】
その後、実施の形態1と同様のフローでステップS12からステップS16を行う。つまり、本実施の形態では、暗号化の対象となるのは外部ユーザ情報及び時刻情報である。
また、外部ユーザ端末は実施の形態1と同様にステップS21からステップS23を行う。
【0046】
サービス発行サーバ300は実施の形態1と同様のフローでステップS31からステップS33を行う。
その後、時間検証部305を用いて、時間の閾値を設け、サーバの現在時刻(外部ユーザ端末100からの受信時刻)と要求についている時刻(内部ユーザ端末200で付加された時刻)の差分を検証する(図11におけるステップS36)。
不適当な時間の場合(閾値以上の場合)、検証失敗となり、外部ユーザを承認せず、登録しない。
なお、時刻の取得はサーバ300のローカル時間もしくはタイムスタンプサーバなどどのような手段でもよい。
最後に、サーバ300は、ステップS34からステップS35を行う。
【0047】
実施の形態4.
図12は、実施の形態4に係る全体構成例を示すブロック図であり、内部ユーザ端末装置200がサーバ情報入力部206により参加要求にサーバ情報をつけることで、外部ユーザ端末装置100が秘密鍵を取得後、サーバの情報を検証できるものである。
【0048】
図12において、104はサーバ情報検証部であり、要求についているサーバの識別情報を検証する。
また、206はサーバ情報入力部であり、内部ユーザが登録しているサーバの識別情報を入力する。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0049】
全体の動作の流れについて、図12、図13、図14を用いて述べる。
内部ユーザ端末装置200は実施の形態1と同様にステップS11を行う。
次に、サーバ情報入力部206を用いて、内部ユーザがサーバの識別情報(サーバ名やURIなど)を入力する(図13におけるステップS19)。
その後、実施の形態1と同様にステップS12からステップS16を行う。
【0050】
外部ユーザ端末装置100は、実施の形態1と同様にステップS21からステップS23を行う。
サービス発行サーバ300も実施の形態1と同様にステップS31からステップS35を行う。
【0051】
秘密鍵受信後、外部ユーザ端末装置100はサーバ情報検証部104を用いてサーバ名やURIを抽出し、それら情報からサービス発行サーバ300が信頼できるものかどうか判断してもよい(図14におけるステップS24)。
この情報は(8)のように示される。
【0052】
Sig_内部ユーザ秘密鍵(外部ユーザ情報,サーバ情報) (8)
【0053】
内部ユーザとサービス発行サーバが結託することで、外部ユーザを悪意あるサーバの登録者にすることが可能となるため、本実施の形態では、これら機能を用いることで外部ユーザは秘密鍵を取得後、そのサービスを使用するかどうかの判断にこれらサーバの情報を検証することが可能となる。
【0054】
このように、本実施の形態では、内部ユーザから送信されたコミュニティ参加要求にサーバ情報(サーバ名、URIなど)をつけることをポリシーとし、さらにその情報を外部ユーザのID(公開鍵)で暗号化することしているので、外部ユーザは悪意ある内部ユーザと悪意あるサーバに結託された場合、外部ユーザ自身で結託された事実を判別である。より具体的には、外部ユーザはコミュニティに参加し、秘密鍵受信後、自身の登録要求を解析して自身がどのサーバに接続しているか確認できる。
【0055】
実施の形態5.
図15は、実施の形態5に係る全体構成例を示すブロック図であり、サービス発行サーバ300が情報を検証した結果情報が不一致であった場合に、内部ユーザ端末装置200に検証した情報を確認させることで、外部ユーザを登録するものである。
【0056】
図15において、207は登録許可部であり、内部ユーザが登録許可を出すための手段である。
つまり、登録許可部207は、サービス発行サーバ300から受信した情報の内容から外部ユーザの承認が可能な場合に、サービス発行サーバ300に外部ユーザの承認を依頼する情報(承認依頼情報)を生成する。登録許可部207は承認依頼情報生成部の例である。
また、本実施の形態では、内部ユーザ端末200に情報受信部101Bが追加されている。情報受信部101はサービス発行サーバ300からの情報を受信する。
なお、他の構成要素は、図1に示したものと同じであるため、説明は省略する。
【0057】
全体の動作の流れについて、図15、図16、図17を用いて述べる。
内部ユーザ端末装置200は実施の形態2と同様のフローにてステップS11からステップS16まで行う。
また、外部ユーザ端末装置100も実施の形態2と同様のフローを行う。
【0058】
サービス発行サーバ300はステップS31からステップS33を行う。
次にデータ検証部302用いて、検証を行う(図16におけるステップS37)。
質問などの回答は一致する可能性が必ずしも高くないため、情報が一致しない場合(ステップS37で検証失敗)、サービス発行サーバ300は、内部ユーザ端末装置200に入力情報(外部ユーザの入力情報)を電子メールで送信する(ステップS38)。
この情報は(9)のように示される。
【0059】
(Enc_内部ユーザ公開鍵(外部ユーザ情報,入力情報),内部ユーザ公開鍵情報)
(9)
【0060】
内部ユーザ端末装置200は、情報受信部101Bにより上記(9)の情報を受信し、内部ユーザが、受信した情報(9)を検証して、外部ユーザの登録の可否を判断する。
例えば、外部ユーザ情報と入力情報が同一ではないが近似している場合は、内部ユーザは外部ユーザの登録が可能と判断することができる。
そして、登録許可部207は、検証結果を示す情報を生成する。
この情報は(10)のように示される。
また、情報送信部103Bは、この情報(10)をサービス発行サーバ300に送信する(図17のステップS20)。
登録可能な場合は、情報(10)は、サーバ300に外部ユーザの承認及び登録を依頼する情報(承認依頼情報)となる。
【0061】
Sig_内部ユーザ秘密鍵(検証結果) (10)
【0062】
検証結果を受信したサービス発行サーバ300は、検証結果が登録許可の場合、外部ユーザの承認及び登録を行い、情報送信部103Cにより、外部ユーザに秘密鍵を送信する。
【0063】
このように、本実施の形態では、質問とその回答で外部ユーザの検証を行う場合、サービス発行サーバは完全に回答が一致しない場合、内部ユーザに回答を送付し、検証を成功させてよいか確認をとることができる。
【0064】
なお、以上では、実施の形態2の方法に対応し、質問に対する外部ユーザの回答が内部ユーザが入力した外部ユーザ情報に一致しない場合に、サーバが内部ユーザ端末に登録許否の確認をとるものであったが、実施の形態1のように、外部ユーザが入力した入力情報が内部ユーザが入力した外部ユーザ情報に一致しない場合に、サーバが内部ユーザ端末に登録許否の確認をとるようにしてもよい。
【0065】
最後に、実施の形態1〜5に示した外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成例について説明する。
図18は、実施の形態1〜5に示す外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア資源の一例を示す図である。
なお、図18の構成は、あくまでも外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成の一例を示すものであり、外部ユーザ端末100、内部ユーザ端末200、サーバ300のハードウェア構成は図18に記載の構成に限らず、他の構成であってもよい。
【0066】
図18において、外部ユーザ端末100、内部ユーザ端末200、サーバ300は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0067】
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されている。
【0068】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
【0069】
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
【0070】
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
外部ユーザ端末100、内部ユーザ端末200、サーバ300の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
【0071】
上記プログラム群923には、実施の形態1〜5の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0072】
ファイル群924には、実施の形態1〜5の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の生成」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜5で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0073】
また、実施の形態1〜5の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜5の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜5の「〜部」の手順や方法をコンピュータに実行させるものである。
【0074】
このように、実施の形態1〜5に示す外部ユーザ端末100、内部ユーザ端末200、サーバ300は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【図面の簡単な説明】
【0075】
【図1】実施の形態1に係るシステム構成例を示す図。
【図2】実施の形態1に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図3】実施の形態1に係る外部ユーザ端末装置の動作例を示すフローチャート図。
【図4】実施の形態1に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図5】実施の形態1に係る追跡部の動作例を示すフローチャート図。
【図6】実施の形態1に係る入力フォームの例を示す図。
【図7】実施の形態2に係るシステム構成例を示す図。
【図8】実施の形態2に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図9】実施の形態3に係るシステム構成例を示す図。
【図10】実施の形態3に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図11】実施の形態3に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図12】実施の形態4に係るシステム構成例を示す図。
【図13】実施の形態4に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図14】実施の形態4に係る外部ユーザ端末装置の動作例を示すフローチャート図。
【図15】実施の形態5に係るシステム構成例を示す図。
【図16】実施の形態5に係るサービス発行サーバ装置の動作例を示すフローチャート図。
【図17】実施の形態5に係る内部ユーザ端末装置の動作例を示すフローチャート図。
【図18】実施の形態1〜5に係る外部ユーザ端末装置、内部ユーザ端末装置及びサービス発行サーバ装置のハードウェア構成例を示す図。
【符号の説明】
【0076】
100 外部ユーザ端末装置、101 情報受信部、102 外部ユーザ情報入力部、103 情報送信部、104 サーバ情報検証部、200 内部ユーザ端末装置、201 署名部、202 暗号化部、203 入力フォーム生成部、204 質問生成/選択部、205 時間付与部、206 サーバ情報入力部、207 登録許可部、208 送信指示情報生成部、300 サービス発行サーバ装置、301 復号部、302 データ検証部、303 鍵生成部、304 追跡部、305 時間検証部。
【特許請求の範囲】
【請求項1】
承認済のユーザに対してサービスを提供するサーバ装置と、前記サーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置とを有する通信システムであって、
前記クライアント装置は、
秘密情報を暗号化して暗号化秘密情報とし、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージと、前記暗号化秘密情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報を受信し、
受信した前記暗号化秘密情報に相当する情報の復号処理を行い、
復号処理後の情報と、受信した前記入力情報に相当する情報とを比較し、両者が一致する場合に、前記未承認ユーザを承認することを特徴とする通信システム。
【請求項2】
前記クライアント装置は、
前記未承認ユーザの識別情報を暗号鍵として用いて前記秘密情報を暗号化し、
前記入力依頼メッセージと前記暗号化秘密情報と前記未承認ユーザの識別情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報と前記未承認ユーザの識別情報を前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報と、前記未承認ユーザの識別情報に相当する情報を受信し、
受信した前記未承認ユーザの識別情報に相当する情報を用いて復号鍵を生成し、生成した復号鍵を用いて前記暗号化秘密情報に相当する情報の復号処理を行うことを特徴とする請求項1に記載の通信システム。
【請求項3】
前記クライアント装置は、
前記秘密情報に電子署名を付加し、電子署名が付加された秘密情報を暗号化して暗号化秘密情報とすることを特徴とする請求項1又は2に記載の通信システム。
【請求項4】
前記サーバ装置は、
前記暗号化秘密情報に相当する情報の復号処理を行って、電子署名を抽出し、抽出した電子署名を用いて前記暗号化秘密情報に相当する情報の生成元を特定することを特徴とする請求項3に記載の通信システム。
【請求項5】
前記クライアント装置は、
前記入力依頼メッセージと、前記暗号化秘密情報と、前記未承認ユーザに前記秘密情報を想起させる質問が示される質問メッセージとが含まれる送信指示情報を前記未承認ユーザ端末装置に送信することを特徴とする請求項1〜4のいずれかに記載の通信システム。
【請求項6】
前記クライアント装置は、
前記秘密情報と時刻情報とを暗号化して暗号化秘密情報とし、
前記サーバ装置は、
受信した前記暗号化秘密情報に相当する情報の復号処理を行って時刻情報を抽出し、抽出した時刻情報に示される時刻と現在時刻との差が閾値以上である場合に、前記未承認ユーザを承認しないことを特徴とする請求項1〜5のいずれかに記載の通信システム。
【請求項7】
前記クライアント装置は、
前記秘密情報と前記サーバ装置の識別情報とを暗号化して暗号化秘密情報とし、
前記サーバ装置は、
前記未承認ユーザを承認した場合に、前記暗号化秘密情報を復号可能な復号鍵を前記未承認ユーザ端末装置に送信することを特徴とする請求項1〜6のいずれかに記載の通信システム。
【請求項8】
前記サーバ装置は、
前記暗号化秘密情報に相当する情報を復号処理した後の情報と、受信した前記入力情報に相当する情報とを比較した結果、両者が一致しない場合に、前記入力情報に相当する情報を前記クライアント装置に送信し、
前記クライアント装置は、
前記サーバ装置から前記入力情報に相当する情報を受信し、受信した前記入力情報に相当する情報の内容から前記未承認ユーザの承認が可能な場合に、前記サーバ装置に前記未承認ユーザの承認を依頼する承認依頼情報を送信することを特徴とする請求項1〜7のいずれかに記載の通信システム。
【請求項9】
承認済のユーザに対してサービスを提供するサーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置であって、
秘密情報を暗号化して暗号化秘密情報とする暗号化部と、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージを生成する入力依頼メッセージ生成部と、
前記暗号化秘密情報と前記入力依頼メッセージとが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を生成する送信指示情報生成部と、
前記送信指示情報を前記未承認ユーザ端末装置に送信する情報送信部とを有することを特徴とするクライアント装置。
【請求項10】
前記暗号化部は、
前記未承認ユーザの識別情報を暗号鍵として用いて前記秘密情報を暗号化し、
前記送信指示情報生成部は、
前記入力依頼メッセージと前記暗号化秘密情報と前記未承認ユーザの識別情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報と前記未承認ユーザの識別情報を前記サーバ装置に送信するよう指示する送信指示情報を生成することを特徴とする請求項9に記載のクライアント装置。
【請求項11】
前記クライアント装置は、更に、
前記秘密情報に電子署名を付加する署名部を有し、
前記暗号化部は、
前記署名部により電子署名が付加された秘密情報を暗号化して暗号化秘密情報とすることを特徴とする請求項9又は10に記載のクライアント装置。
【請求項12】
前記クライアント装置は、更に、
前記未承認ユーザに前記秘密情報を想起させる質問が示される質問メッセージを生成する質問メッセージ生成部を有し、
前記送信指示情報生成部は、
前記入力依頼メッセージと、前記暗号化秘密情報と、前記質問メッセージとが含まれる送信指示情報を生成することを特徴とする請求項9〜11のいずれかに記載のクライアント装置。
【請求項13】
前記クライアント装置は、更に
前記暗号化秘密情報に相当する情報と前記入力情報に相当する情報を受信したサーバ装置から送信された前記入力情報に相当する情報を受信する情報受信部と、
前記情報受信部により受信された前記入力情報に相当する情報の内容から前記未承認ユーザの承認が可能な場合に、前記サーバ装置に前記未承認ユーザの承認を依頼する承認依頼情報を生成する承認依頼情報生成部とを有し、
前記情報送信部は、
前記承認依頼情報を前記サーバ装置に送信することを特徴とする請求項9〜12のいずれかに記載のクライアント装置。
【請求項1】
承認済のユーザに対してサービスを提供するサーバ装置と、前記サーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置とを有する通信システムであって、
前記クライアント装置は、
秘密情報を暗号化して暗号化秘密情報とし、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージと、前記暗号化秘密情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報を受信し、
受信した前記暗号化秘密情報に相当する情報の復号処理を行い、
復号処理後の情報と、受信した前記入力情報に相当する情報とを比較し、両者が一致する場合に、前記未承認ユーザを承認することを特徴とする通信システム。
【請求項2】
前記クライアント装置は、
前記未承認ユーザの識別情報を暗号鍵として用いて前記秘密情報を暗号化し、
前記入力依頼メッセージと前記暗号化秘密情報と前記未承認ユーザの識別情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報と前記未承認ユーザの識別情報を前記サーバ装置に送信するよう指示する送信指示情報を前記未承認ユーザ端末装置に送信し、
前記サーバ装置は、
前記入力情報に相当する情報と、前記暗号化秘密情報に相当する情報と、前記未承認ユーザの識別情報に相当する情報を受信し、
受信した前記未承認ユーザの識別情報に相当する情報を用いて復号鍵を生成し、生成した復号鍵を用いて前記暗号化秘密情報に相当する情報の復号処理を行うことを特徴とする請求項1に記載の通信システム。
【請求項3】
前記クライアント装置は、
前記秘密情報に電子署名を付加し、電子署名が付加された秘密情報を暗号化して暗号化秘密情報とすることを特徴とする請求項1又は2に記載の通信システム。
【請求項4】
前記サーバ装置は、
前記暗号化秘密情報に相当する情報の復号処理を行って、電子署名を抽出し、抽出した電子署名を用いて前記暗号化秘密情報に相当する情報の生成元を特定することを特徴とする請求項3に記載の通信システム。
【請求項5】
前記クライアント装置は、
前記入力依頼メッセージと、前記暗号化秘密情報と、前記未承認ユーザに前記秘密情報を想起させる質問が示される質問メッセージとが含まれる送信指示情報を前記未承認ユーザ端末装置に送信することを特徴とする請求項1〜4のいずれかに記載の通信システム。
【請求項6】
前記クライアント装置は、
前記秘密情報と時刻情報とを暗号化して暗号化秘密情報とし、
前記サーバ装置は、
受信した前記暗号化秘密情報に相当する情報の復号処理を行って時刻情報を抽出し、抽出した時刻情報に示される時刻と現在時刻との差が閾値以上である場合に、前記未承認ユーザを承認しないことを特徴とする請求項1〜5のいずれかに記載の通信システム。
【請求項7】
前記クライアント装置は、
前記秘密情報と前記サーバ装置の識別情報とを暗号化して暗号化秘密情報とし、
前記サーバ装置は、
前記未承認ユーザを承認した場合に、前記暗号化秘密情報を復号可能な復号鍵を前記未承認ユーザ端末装置に送信することを特徴とする請求項1〜6のいずれかに記載の通信システム。
【請求項8】
前記サーバ装置は、
前記暗号化秘密情報に相当する情報を復号処理した後の情報と、受信した前記入力情報に相当する情報とを比較した結果、両者が一致しない場合に、前記入力情報に相当する情報を前記クライアント装置に送信し、
前記クライアント装置は、
前記サーバ装置から前記入力情報に相当する情報を受信し、受信した前記入力情報に相当する情報の内容から前記未承認ユーザの承認が可能な場合に、前記サーバ装置に前記未承認ユーザの承認を依頼する承認依頼情報を送信することを特徴とする請求項1〜7のいずれかに記載の通信システム。
【請求項9】
承認済のユーザに対してサービスを提供するサーバ装置において承認されていない未承認ユーザが利用する未承認ユーザ端末装置と通信するクライアント装置であって、
秘密情報を暗号化して暗号化秘密情報とする暗号化部と、
前記未承認ユーザに前記秘密情報と同じ情報の入力を促す入力依頼メッセージを生成する入力依頼メッセージ生成部と、
前記暗号化秘密情報と前記入力依頼メッセージとが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報とを前記サーバ装置に送信するよう指示する送信指示情報を生成する送信指示情報生成部と、
前記送信指示情報を前記未承認ユーザ端末装置に送信する情報送信部とを有することを特徴とするクライアント装置。
【請求項10】
前記暗号化部は、
前記未承認ユーザの識別情報を暗号鍵として用いて前記秘密情報を暗号化し、
前記送信指示情報生成部は、
前記入力依頼メッセージと前記暗号化秘密情報と前記未承認ユーザの識別情報とが含まれ、前記入力依頼メッセージに応じて入力された入力情報と前記暗号化秘密情報と前記未承認ユーザの識別情報を前記サーバ装置に送信するよう指示する送信指示情報を生成することを特徴とする請求項9に記載のクライアント装置。
【請求項11】
前記クライアント装置は、更に、
前記秘密情報に電子署名を付加する署名部を有し、
前記暗号化部は、
前記署名部により電子署名が付加された秘密情報を暗号化して暗号化秘密情報とすることを特徴とする請求項9又は10に記載のクライアント装置。
【請求項12】
前記クライアント装置は、更に、
前記未承認ユーザに前記秘密情報を想起させる質問が示される質問メッセージを生成する質問メッセージ生成部を有し、
前記送信指示情報生成部は、
前記入力依頼メッセージと、前記暗号化秘密情報と、前記質問メッセージとが含まれる送信指示情報を生成することを特徴とする請求項9〜11のいずれかに記載のクライアント装置。
【請求項13】
前記クライアント装置は、更に
前記暗号化秘密情報に相当する情報と前記入力情報に相当する情報を受信したサーバ装置から送信された前記入力情報に相当する情報を受信する情報受信部と、
前記情報受信部により受信された前記入力情報に相当する情報の内容から前記未承認ユーザの承認が可能な場合に、前記サーバ装置に前記未承認ユーザの承認を依頼する承認依頼情報を生成する承認依頼情報生成部とを有し、
前記情報送信部は、
前記承認依頼情報を前記サーバ装置に送信することを特徴とする請求項9〜12のいずれかに記載のクライアント装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−245087(P2009−245087A)
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願番号】特願2008−89805(P2008−89805)
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願日】平成20年3月31日(2008.3.31)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]