JP2008210101A - Device, system and method for generating service use identification information, and program - Google Patents
Device, system and method for generating service use identification information, and program Download PDFInfo
- Publication number
- JP2008210101A JP2008210101A JP2007045461A JP2007045461A JP2008210101A JP 2008210101 A JP2008210101 A JP 2008210101A JP 2007045461 A JP2007045461 A JP 2007045461A JP 2007045461 A JP2007045461 A JP 2007045461A JP 2008210101 A JP2008210101 A JP 2008210101A
- Authority
- JP
- Japan
- Prior art keywords
- service
- information
- user
- identification information
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ユーザIDに対して付加的な情報を付与するとともに、この情報をIDを利用するサービス提供者に対して秘匿化するサービス利用識別情報生成装置、サービス利用識別情報生成システム、サービス利用識別情報生成方法およびプログラムに関する。 The present invention provides a service use identification information generating apparatus, a service use identification information generating system, and a service use that gives additional information to a user ID and conceals this information from a service provider using the ID. The present invention relates to an identification information generation method and program.
従来、図5に示すように、インターネット上でサービス利用の利便性を向上させる技術として、ユーザ端末100と、信頼のおける第三者機関(TTP:Trusted Third Party)200と、サービス提供サーバ300とからなるシステムにおいて、このTTP200を利用したシングルサインオン(SSO:Single Sign On)と呼ばれる技術がある。 Conventionally, as shown in FIG. 5, as a technique for improving the convenience of service use on the Internet, a user terminal 100, a trusted third party (TTP) 200, a service providing server 300, There is a technology called Single Sign On (SSO) using the TTP 200.
このTTP200を利用するSSO技術では、その利用にあたり、ユーザのプライバシーを保護するために、ユーザが利用するサービス(サービス提供者)に対して、サービスごとにID(Identifier)を変更することが必要とされる。これは、異なるサービスに対して同じIDを利用させてしまうと、サービス提供側が結託した場合に、それぞれのサービスにおけるユーザの行動を付き合わせることができてしまうためある。 In the SSO technology using the TTP 200, in order to protect the user's privacy, it is necessary to change the ID (Identifier) for each service with respect to the service (service provider) used by the user. Is done. This is because if the same ID is used for different services, the user's actions in each service can be associated with each other when the service provider collaborates.
また、サービスごとIDを変更することに加えて、接続ごとにもIDを変更することが必要とされている。すなわち、同じサービスであっても、常に同じIDで利用し続けた場合には、そのユーザの行動をトレースできてしまうためである。この場合、特定のユーザの行動をトレースできることを利用して、ショッピングサイトのように、お勧め商品の紹介(リコメンデーションサービスあるいは、パーソナライゼーションサービスと呼ぶ)を提供することも可能となるが、その一方で、ユーザによってはこのように、ユーザ自身の行動が把握されることを嫌がる可能性もある。 In addition to changing the ID for each service, it is also necessary to change the ID for each connection. That is, even if the service is the same, if the user always uses the same ID, the user's action can be traced. In this case, it is possible to provide an introduction of recommended products (referred to as a recommendation service or personalization service) like a shopping site by using the ability to trace the behavior of a specific user. On the other hand, depending on the user, there is a possibility that the user's own behavior may be disliked.
さらに、このような、TTP200を利用したSSO技術の利用にあたり、TTP200が本人の特定を実施できるよう、IDのユーザと本人(この場合は、TTP200へのログインID)との対応関係をTTP200が把握できることも併せて必要とされている。このため、TTP200でのサービス利用時のIDの管理にあたり、TTP200での管理コストを低減することを目的として、暗号化の技法を利用する手法が提案されている(例えば、特許文献1参照。)。 Furthermore, when using the SSO technology using the TTP 200, the TTP 200 grasps the correspondence between the ID user and the user (in this case, the login ID to the TTP 200) so that the TTP 200 can identify the user. What can be done is also needed. For this reason, a method using an encryption technique has been proposed for the purpose of reducing the management cost in the TTP 200 when managing the ID when using the service in the TTP 200 (see, for example, Patent Document 1). .
この従来のID管理手法では、TTP200へのログインIDに生成日時といった動的な情報や、固定のビット列などの静的な情報を付加した後に暗号化を施したものをサービス利用のためのIDとして生成している。このため、ユーザとIDとの関係を把握するには、新たに生成したサービス利用のためのIDを、生成の際に利用した暗号化鍵を用いて復号してやればよく、TTP200自身では、ユーザ(ユーザのTTP200へのログインID)と新たに生成したサービス利用のためのIDとの対応関係を保持する必要はなく、TTP200が管理すべき情報は、IDの生成に利用した鍵のみとなる。このため、TTP200における管理コストを低減することができる。 In this conventional ID management method, a dynamic ID such as a generation date and a static information such as a fixed bit string are added to the login ID to the TTP 200, and then encryption is performed as an ID for using the service. Is generated. For this reason, in order to grasp the relationship between the user and the ID, it is only necessary to decrypt the newly generated ID for using the service by using the encryption key used at the time of generation. It is not necessary to maintain the correspondence between the user's login ID to the TTP 200) and the newly generated ID for using the service, and the information to be managed by the TTP 200 is only the key used for generating the ID. For this reason, the management cost in TTP200 can be reduced.
また、上記従来のID管理手法においては、ID生成に利用した鍵が漏洩した際のリスクを低減するために、サービスごとに利用する暗号化鍵を変更する手法が提案されている。そのため、鍵が漏洩した場合でも、その被害はそのサービスに限定でき、被害が他のサービスに波及することが防げるようになっている。
しかしながら、上記従来のID管理手法の場合には、サービスごとに異なる鍵を利用するために、サービス利用のIDとそのユーザとの対応関係を把握するにあたり、サービス利用時のIDと、暗号化のための鍵を特定する情報とをTTP200に提示する必要がある。そのため、こうしたIDを用いてユーザを識別するサービス提供サーバ300側は、サービス利用のIDとは別に、鍵を特定する情報を保持しておく必要がある。 However, in the case of the above-described conventional ID management method, since a different key is used for each service, in understanding the correspondence between the service use ID and the user, the service use ID and the encryption It is necessary to present the information for identifying the key for the TTP 200. Therefore, the service providing server 300 side that identifies a user using such an ID needs to hold information for specifying a key separately from the service use ID.
さらに、サービスごとに異なる鍵を利用する場合、その暗号化鍵は、サービス自身のIDと紐づいて管理できるため、TTP200、サービス提供サーバ300側での管理負担とはならないものの、サービス利用のためのIDが単独で管理され、そのIDと鍵とを識別するための情報との間で紐付けが切り離されてしまった場合には、そのIDのユーザを特定できなくなるという問題がある。 Further, when a different key is used for each service, the encryption key can be managed in association with the ID of the service itself. Therefore, although it does not become a management burden on the TTP 200 and the service providing server 300 side, If the ID is managed independently and the association between the ID and the information for identifying the key is disconnected, there is a problem that the user of the ID cannot be specified.
そこで、本発明は、上記の課題に鑑みてなされたものであり、TTPおよびサービス提供サーバの管理負担の増加を抑えつつ、ユーザのIDと鍵とを識別するための情報との間で紐付けが切り離されてしまった場合でも、そのIDのユーザを確実に特定できるサービス利用識別情報生成装置、サービス利用識別情報生成システム、サービス利用識別情報生成方法およびプログラムを提供することを目的とする。 Therefore, the present invention has been made in view of the above-described problems, and is associated with information for identifying a user ID and a key while suppressing an increase in the management burden of the TTP and the service providing server. It is an object of the present invention to provide a service use identification information generation device, a service use identification information generation system, a service use identification information generation method, and a program that can reliably identify a user of the ID even when the user is disconnected.
本発明は、上述の課題を解決するために以下の事項を提案している。
(1)本発明は、ユーザ端末と、サービス提供者が管理するサービス提供サーバとにネットワークを介して接続され、ユーザによるサービス利用の際に、前記サービス提供サーバがユーザを識別するためのサービス利用識別情報を生成するサービス利用識別情報生成装置であって、ユーザのログイン情報を受信する受信手段(例えば、図2の受信部21に相当)と、該受信したユーザのログイン情報に付加情報を付与して、前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する暗号化処理手段(例えば、図2の暗号化部22に相当)と、該暗号化処理部において暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成するサービス利用識別情報生成手段(例えば、図2のサービス利用識別情報生成部24に相当)と、該生成したサービス利用識別情報を前記ユーザ端末およびサービス提供サーバに送信する送信手段(例えば、図2の送信部25に相当)と、を備えたことを特徴とするサービス利用識別情報生成装置を提案している。
The present invention proposes the following items in order to solve the above-described problems.
(1) The present invention is connected to a user terminal and a service providing server managed by a service provider via a network, and the service providing server identifies the user when the service is used by the user. A service use identification information generation device for generating identification information, which includes receiving means for receiving user login information (e.g., equivalent to the receiving
この発明によれば、受信手段がユーザのログイン情報を受信し、暗号化処理手段が、受信したユーザのログイン情報に付加情報を付与して、ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化を行う。そして、サービス利用識別情報生成手段が、暗号化処理部において暗号化された情報にサービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成し、送信手段が生成したサービス利用識別情報をユーザ端末およびサービス提供サーバに送信する。したがって、サービス利用識別情報生成装置が、サービスごとに異なる暗号化鍵を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、別の暗号化鍵で暗号化する。そのため、鍵を示す情報をIDの生成を行ったTTP以外の者に対して、秘匿化することができ、さらに、全体をひとつのIDとすることができる。また、IDの生成を行なったTTPは、TTPが保持する固有の暗号化鍵で復号することが可能できる。このため、最初の暗号化に利用した暗号化鍵の識別情報を取得でき、その鍵により復号を実施することにより、IDに隠蔽されている利用者のIDを把握することができる。 According to this invention, the receiving means receives the user's login information, and the encryption processing means adds additional information to the received user's login information, and uses an encryption key that differs for each service that the user receives. Encrypt. Then, the service usage identification information generating unit adds the encryption key information different for each service to the information encrypted in the encryption processing unit, and encrypts it with the device-specific encryption key to generate the service usage identification information. Then, the service use identification information generated by the transmission unit is transmitted to the user terminal and the service providing server. Therefore, when the service use identification information generation device generates an ID using an encryption key that is different for each service, the service use identification information generation device assigns information indicating the key to the generated ID itself, and further, the whole uses another encryption key. Encrypt with Therefore, the information indicating the key can be concealed from anyone other than the TTP that has generated the ID, and the whole can be made into one ID. In addition, the TTP that has generated the ID can be decrypted with a unique encryption key held by the TTP. For this reason, the identification information of the encryption key used for the initial encryption can be acquired, and by performing decryption using the key, the user ID concealed in the ID can be grasped.
(2)本発明は、ユーザ端末(例えば、図1のユーザ端末100に相当)と、サービス提供者が管理するサービス提供サーバ(例えば、図1のサービス提供サーバ300に相当)と、信頼できる第三者機関が管理しユーザ認証を行うとともにユーザがサービスを利用するためのサービス利用識別情報を生成する管理サーバ(例えば、図1のTTP200に相当)とからなるサービス利用識別情報生成システムであって、前記管理サーバが、ユーザのログイン情報を受信する受信手段(例えば、図2の受信部21に相当)と、該受信したユーザのログイン情報に付加情報を付与して、前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する暗号化処理手段(例えば、図2の暗号化部22に相当)と、該暗号化処理部において暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成するサービス利用識別情報生成手段(例えば、図2のサービス利用識別情報生成部24に相当)と、該生成したサービス利用識別情報を前記ユーザ端末およびサービス提供サーバに送信する送信手段(例えば、図2の送信部25に相当)と、を備えたことを特徴とするサービス利用識別情報生成システムを提案している。
(2) The present invention is reliable with a user terminal (for example, equivalent to the user terminal 100 in FIG. 1), a service providing server managed by the service provider (for example, equivalent to the service providing server 300 in FIG. 1), A service usage identification information generation system comprising a management server (for example, equivalent to the TTP 200 in FIG. 1) that manages user authentication and generates service usage identification information for a user to use a service. The management server provides the receiving means (for example, corresponding to the
この発明によれば、管理サーバ内の受信手段がユーザのログイン情報を受信し、暗号化処理手段が、受信したユーザのログイン情報に付加情報を付与して、ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化を行う。そして、サービス利用識別情報生成手段が、暗号化処理部において暗号化された情報にサービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成し、送信手段が生成したサービス利用識別情報をユーザ端末およびサービス提供サーバに送信する。したがって、管理サーバが、サービスごとに異なる暗号化鍵を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、別の暗号化鍵で暗号化する。そのため、鍵を示す情報をIDの生成を行ったTTP以外の者に対して、秘匿化することができ、さらに、全体をひとつのIDとすることができる。また、IDの生成を行なったTTPは、TTPが保持する固有の暗号化鍵で復号することが可能できる。このため、最初の暗号化に利用した暗号化鍵の識別情報を取得でき、その鍵により復号を実施することにより、IDに隠蔽されている利用者のIDを把握することができる。 According to this invention, the receiving means in the management server receives the user's login information, and the encryption processing means gives additional information to the received user's login information, and varies depending on the service the user receives. Encrypt with encryption key. Then, the service usage identification information generating unit adds the encryption key information different for each service to the information encrypted in the encryption processing unit, and encrypts it with the device-specific encryption key to generate the service usage identification information. Then, the service use identification information generated by the transmission unit is transmitted to the user terminal and the service providing server. Therefore, when the management server generates an ID using a different encryption key for each service, the management server assigns information indicating the key to the generated ID itself, and further encrypts the whole with another encryption key. . Therefore, the information indicating the key can be concealed from anyone other than the TTP that has generated the ID, and the whole can be made into one ID. In addition, the TTP that has generated the ID can be decrypted with a unique encryption key held by the TTP. For this reason, the identification information of the encryption key used for the initial encryption can be acquired, and by performing decryption using the key, the user ID concealed in the ID can be grasped.
(3)本発明は、ユーザ端末と、サービス提供者が管理するサービス提供サーバとにネットワークを介して接続され、ユーザによるサービス利用の際に、前記サービス提供サーバがユーザを識別するためのサービス利用識別情報を生成するサービス利用識別情報生成装置におけるサービス利用識別情報生成方法であって、受信したユーザのログイン情報に付加情報を付与する第1のステップ(例えば、図3のステップS102に相当)と、該ユーザのログイン情報に付加情報を付与した情報を前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する第2のステップ(例えば、図3のステップS103に相当)と、該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与する第3のステップ(例えば、図3のステップS104に相当)と、該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与した情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する第4のステップ(例えば、図3のステップS105に相当)と、を有することを特徴とするサービス利用識別情報生成方法を提案している。 (3) The present invention is connected to a user terminal and a service providing server managed by a service provider via a network, and the service providing server identifies the user when the service is used by the user. A service usage identification information generation method in a service usage identification information generation apparatus for generating identification information, the first step of adding additional information to received user login information (for example, corresponding to step S102 in FIG. 3); A second step (for example, corresponding to step S103 in FIG. 3) of encrypting information in which additional information is added to the login information of the user with a different encryption key for each service provided by the user; A third step (for example, the step in FIG. 3) of adding different encryption key information for each service to the converted information. And a fourth step (for example, encrypting information obtained by adding different encryption key information for each service to the encrypted information with an encryption key unique to the service use identification information generating device) , Which corresponds to step S105 in FIG. 3).
この発明によれば、受信したユーザのログイン情報に付加情報を付与し、この情報をユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する。次に、暗号化された情報にサービスごとに異なる暗号化鍵の情報を付与し、この情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する。したがって、サービス利用識別情報生成装置が、サービスごとに異なる暗号化鍵を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、別の暗号化鍵で暗号化する。そのため、鍵を示す情報をIDの生成を行ったTTP以外の者に対して、秘匿化することができ、さらに、全体をひとつのIDとすることができる。また、IDの生成を行なったTTPは、TTPが保持する固有の暗号化鍵で復号することが可能できる。このため、最初の暗号化に利用した暗号化鍵の識別情報を取得でき、その鍵により復号を実施することにより、IDに隠蔽されている利用者のIDを把握することができる。 According to the present invention, additional information is added to the received login information of the user, and this information is encrypted with a different encryption key for each service provided by the user. Next, encryption key information different for each service is assigned to the encrypted information, and this information is encrypted with an encryption key unique to the service use identification information generating apparatus. Therefore, when the service use identification information generation device generates an ID using an encryption key that is different for each service, the service use identification information generation device assigns information indicating the key to the generated ID itself, and further, the whole uses another encryption key. Encrypt with Therefore, the information indicating the key can be concealed from anyone other than the TTP that has generated the ID, and the whole can be made into one ID. In addition, the TTP that has generated the ID can be decrypted with a unique encryption key held by the TTP. For this reason, the identification information of the encryption key used for the initial encryption can be acquired, and by performing decryption using the key, the user ID concealed in the ID can be grasped.
(4)本発明は、ユーザ端末と、サービス提供者が管理するサービス提供サーバとにネットワークを介して接続され、ユーザによるサービス利用の際に、前記サービス提供サーバがユーザを識別するためのサービス利用識別情報を生成するサービス利用識別情報生成装置におけるサービス利用識別情報生成方法をコンピュータに実行させるためのプログラムであって、受信したユーザのログイン情報に付加情報を付与する第1のステップ(例えば、図3のステップS102に相当)と、該ユーザのログイン情報に付加情報を付与した情報を前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する第2のステップ(例えば、図3のステップS103に相当)と、該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与する第3のステップ(例えば、図3のステップS104に相当)と、該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与した情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する第4のステップ(例えば、図3のステップS105に相当)と、をコンピュータに実行させるためのプログラムを提案している。 (4) The present invention is connected to a user terminal and a service providing server managed by the service provider via a network, and the service providing server identifies the user when the service is used by the user. A program for causing a computer to execute a service usage identification information generation method in a service usage identification information generation apparatus for generating identification information, and a first step of adding additional information to received user login information (for example, FIG. And a second step (for example, the step in FIG. 3) of encrypting information obtained by adding additional information to the login information of the user with a different encryption key for each service provided by the user. Equivalent to S103), and encryption information that differs for each service is added to the encrypted information. A third step (for example, corresponding to step S104 in FIG. 3), and information obtained by adding the encryption key information different for each service to the encrypted information. A program for causing a computer to execute a fourth step (for example, corresponding to step S105 in FIG. 3) of encrypting with an encryption key is proposed.
この発明によれば、受信したユーザのログイン情報に付加情報を付与し、この情報をユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する。次に、暗号化された情報にサービスごとに異なる暗号化鍵の情報を付与し、この情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する。したがって、サービス利用識別情報生成装置が、サービスごとに異なる暗号化鍵を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、別の暗号化鍵で暗号化する。そのため、鍵を示す情報をIDの生成を行ったTTP以外の者に対して、秘匿化することができ、さらに、全体をひとつのIDとすることができる。また、IDの生成を行なったTTPは、TTPが保持する固有の暗号化鍵で復号することが可能できる。このため、最初の暗号化に利用した暗号化鍵の識別情報を取得でき、その鍵により復号を実施することにより、IDに隠蔽されている利用者のIDを把握することができる。 According to the present invention, additional information is added to the received login information of the user, and this information is encrypted with a different encryption key for each service provided by the user. Next, encryption key information different for each service is assigned to the encrypted information, and this information is encrypted with an encryption key unique to the service use identification information generating apparatus. Therefore, when the service use identification information generation device generates an ID using an encryption key that is different for each service, the service use identification information generation device assigns information indicating the key to the generated ID itself, and further, the whole uses another encryption key. Encrypt with Therefore, the information indicating the key can be concealed from anyone other than the TTP that has generated the ID, and the whole can be made into one ID. In addition, the TTP that has generated the ID can be decrypted with a unique encryption key held by the TTP. For this reason, the identification information of the encryption key used for the initial encryption can be acquired, and by performing decryption using the key, the user ID concealed in the ID can be grasped.
本発明によれば、サービス利用識別情報生成装置(または管理サーバ)が、SSOサービスにおけるサービス利用のためのIDを暗号化の技法を用いて生成するにあたり、サービスごとに異なる鍵を利用するように、複数の暗号化鍵を利用した場合でも、その鍵を特定する情報をID自身に隠蔽することができるため、サービス利用のIDにおけるユーザ特定にあたり、そのIDと暗号化鍵を示す情報との組を提示する必要がないという効果がある。 According to the present invention, the service use identification information generation device (or management server) uses a different key for each service when generating an ID for using the service in the SSO service by using the encryption technique. Even when a plurality of encryption keys are used, the information for specifying the key can be concealed in the ID itself. Therefore, when specifying the user in the service use ID, the combination of the ID and the information indicating the encryption key is used. There is an effect that it is not necessary to present.
また、本発明によれば、鍵を示すID自身の情報自体も、暗号化の技法を用いてID自身に隠蔽されているため、暗号化鍵は一つのサービス利用識別情報生成装置(または管理サーバ)に対して固有の鍵を利用できることから、サービス利用識別情報生成装置(または管理サーバ)での管理コストの大幅な増加とはなりえないという効果がある。 Further, according to the present invention, since the information itself of the ID indicating the key is also concealed in the ID itself using an encryption technique, the encryption key is a single service use identification information generating device (or management server). Since a unique key can be used, the management cost in the service use identification information generation device (or management server) cannot be increased significantly.
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
Note that the constituent elements in the present embodiment can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.
<サービス利用識別情報生成システムの構成>
本実施形態に係るサービス利用識別情報生成システムは、図1に示すように、ユーザ端末100と、サービス利用識別情報生成装置または管理サーバとしてのTTP200と、サービス提供サーバ300とから構成され、これらユーザ端末100、管理サーバとしてのTTP200、サービス提供サーバ300は、それぞれネットワークを介して接続されている。
<Configuration of service usage identification information generation system>
As shown in FIG. 1, the service usage identification information generation system according to the present embodiment includes a user terminal 100, a TTP 200 as a service usage identification information generation device or a management server, and a service providing server 300. The terminal 100, the TTP 200 as a management server, and the service providing server 300 are connected via a network.
ユーザ端末は、サービス提供サーバ300に対する接続要求をサービス利用識別情報生成装置または管理サーバとしてのTTP200に送信する。また、サービスの提供をはじめて受ける場合には、サービス利用識別情報生成装置または管理サーバとしてのTTP200に対して、IDの生成要求を発行し、管理サーバとしてのTTP200から取得したサービス利用IDに基づき、サービス提供サーバ300によるサービスの提供を受ける。 The user terminal transmits a connection request to the service providing server 300 to the TTP 200 serving as a service use identification information generating device or a management server. In addition, when receiving a service for the first time, an ID generation request is issued to the service use identification information generating device or the TTP 200 as the management server, and based on the service use ID acquired from the TTP 200 as the management server, The service is provided by the service providing server 300.
サービス利用識別情報生成装置または管理サーバとしてのTTP200は、信頼のおける第三者機関が管理するサーバであって、その詳細な構成については後述する。本実施形態においては、図2における受信部21が、ユーザ端末100からログイン情報を受信し、暗号化部22が、受信したユーザのログイン情報に付加情報を付与して、ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化を行う。そして、サービス利用識別情報生成部24が、暗号化部22において暗号化された情報にサービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成し、送信部25が生成したサービス利用識別情報をユーザ端末100およびサービス提供サーバ300に送信する。
The TTP 200 as a service use identification information generating device or a management server is a server managed by a reliable third party organization, and the detailed configuration thereof will be described later. In the present embodiment, the receiving
サービス提供サーバ300は、サービス利用識別情報生成装置または管理サーバとしてのTTP200から通知されたIDにより、ユーザを識別し、ユーザの管理を実行する。 The service providing server 300 identifies the user based on the ID notified from the service use identification information generating device or the TTP 200 as the management server, and executes user management.
<生成されるIDの構成>
次に、図4を用いて、本実施形態において、生成されるIDの構成について説明する。
まず、図4に示すように、ユーザ端末100のそれぞれが有するサービス利用識別情報生成装置または管理サーバとしてのTTP200へのログインID(IDu)に所定の付加情報(Sinfo)を結合する。そして、この結合された情報をサービスごとに異なる暗号化鍵(Kn)で暗号化する。さらに、この情報に、鍵のIDを結合し、この結合された情報をサービス利用識別情報生成装置または管理サーバとしてのTTP200固有の暗号化鍵(Ko)で暗号化して、これをサービス利用のためのID(IDus)とする。
<Configuration of generated ID>
Next, the configuration of the ID generated in the present embodiment will be described with reference to FIG.
First, as shown in FIG. 4, predetermined additional information (Sinfo) is combined with a login ID (IDu) to the TTP 200 as a service use identification information generating device or a management server that each user terminal 100 has. The combined information is encrypted with a different encryption key (Kn) for each service. Further, the ID of the key is combined with this information, and the combined information is encrypted with the encryption key (Ko) unique to the TTP 200 as the service use identification information generating device or the management server, and this is used for the service use. ID (IDus).
したがって、サービス利用識別情報生成装置または管理サーバとしてのTTP200が、サービスごとに異なる暗号化鍵(Kn)を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、サービス利用識別情報生成装置または管理サーバとしてのTTP200固有の暗号化鍵(Ko)で暗号化するため、鍵を示す情報を秘匿化することができ、さらに、全体をひとつのID(IDus)とすることができる。 Accordingly, when the TTP 200 serving as the service use identification information generation device or the management server generates an ID using an encryption key (Kn) that is different for each service, the information indicating the key is given to the generated ID itself, Since the whole is encrypted with the encryption key (Ko) unique to the TTP 200 as the service use identification information generation device or the management server, the information indicating the key can be concealed, and the whole can be identified with one ID ( IDus).
<サービス利用識別情報生成装置の構成>
本実施形態に係るサービス利用識別情報生成装置は、図2に示すように、受信部21と、暗号化部22と、鍵データベース23と、サービス利用識別情報生成部24と、送信部25とから構成されている。
<Configuration of Service Usage Identification Information Generation Device>
As shown in FIG. 2, the service usage identification information generation apparatus according to the present embodiment includes a
受信部21は、ユーザ端末100からサービス提供サーバ300に対する接続要求を受信する。なお、この際、サービス利用識別情報生成装置または管理サーバとしてのTTP200に対するログインIDも併せて受信する。
The receiving
暗号化部22は、受信部21が受信したユーザのログインID(IDu)に所定の付加情報(Sinfo)を結合するとともに、鍵データベース23内に格納されたサービスごとに異なる暗号化鍵(Kn)を用いて、上記結合した情報を暗号化する。なお、付加情報(Sinfo)は、IDの生成時刻のように動的に変動する情報であってもよいし、固定のビット列でもよい。
The
鍵データベース30は、サービスごとに異なる暗号化鍵(Kn)およびサービス利用識別情報生成装置または管理サーバとしてのTTP200固有の暗号化鍵(Ko)を格納する。なお、データベースは、ハードディスク、RAM(Random Access Memory)であってもよく、また、単一のハードウェアで構成されている必要はなく、個別の記録部や専用装置であってもよい。 The key database 30 stores an encryption key (Kn) that is different for each service and an encryption key (Ko) unique to the TTP 200 as a service use identification information generation device or a management server. The database may be a hard disk or a RAM (Random Access Memory), and may not be configured by a single piece of hardware, but may be an individual recording unit or a dedicated device.
サービス利用識別情報生成部24は、上記暗号化部22において暗号化された情報に鍵を示す情報である鍵のIDを結合し、この結合した情報を鍵データベース23内に格納されたサービス利用識別情報生成装置または管理サーバとしてのTTP200固有の暗号化鍵(Ko)でさらに暗号化してサービス利用のためのID(IDus)を生成する。なお、サービス利用識別情報生成装置または管理サーバとしてのTTP200は、サービスごとに異なる暗号化鍵をサービスを識別するためのサービスIDで管理しているため、鍵のIDは、サービスのIDで代用してもよい。
The service usage identification
送信部25は、サービス利用識別情報生成部24において生成されたサービス利用識別情報をユーザ端末100およびサービス提供サーバ300に送信する。
The
<サービス利用識別情報生成システムの処理>
次に、図3を用いて、本実施形態に係るサービス利用識別情報生成システムの処理について説明する。
<Processing of service use identification information generation system>
Next, processing of the service use identification information generation system according to the present embodiment will be described with reference to FIG.
まず、サービス利用識別情報生成装置の受信部21がユーザ端末100からサービス提供サーバ300への接続仲介要求を受信する(ステップS101)。なお、このとき、同時に、サービス利用識別情報生成装置または管理サーバとしてのTTP200に対するログインIDも併せて受信する。
First, the receiving
暗号化部22は、受信部21からユーザのログインID(IDu)を入力すると、これに、所定の付加情報(Sinfo)を結合するとともに(ステップS102)、鍵データベース23内に格納されたサービスごとに異なる暗号化鍵(Kn)を用いて、上記結合した情報を暗号化する(ステップS103)。
When the user's login ID (IDu) is input from the receiving
サービス利用識別情報生成部24は、暗号化部22から暗号化された情報を入力すると、この情報に鍵を示す情報である鍵のIDを結合し(ステップS104)、この結合した情報を鍵データベース23内に格納されたサービス利用識別情報生成装置または管理サーバとしてのTTP200固有の暗号化鍵(Ko)でさらに暗号化してサービス利用のためのID(IDus)を生成する(ステップS105)。
When the service use identification
したがって、本実施形態によれば、サービス利用識別情報生成装置または管理サーバとしてのTTP200が、サービスごとに異なる暗号化鍵を用いてIDを生成するにあたり、その鍵を示す情報を生成したID自身に付与し、さらに、全体を、別の暗号化鍵で暗号化する。そのため、鍵を示す情報を秘匿化することができ、さらに、全体をひとつのIDとすることができる。 Therefore, according to the present embodiment, when the TTP 200 serving as the service use identification information generating device or the management server generates an ID using an encryption key that differs for each service, the ID itself that generates the information indicating the key is used. And the whole is encrypted with another encryption key. Therefore, the information indicating the key can be concealed, and the whole can be made into one ID.
なお、サービス利用識別情報生成装置およびサービス利用識別情報生成システムのそれぞれの処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを更新情報生成装置および識別情報更新システムに読み込ませ、実行することによって本発明の更新情報生成装置および識別情報更新システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。 Each process of the service use identification information generation apparatus and the service use identification information generation system is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the update information generation apparatus and the identification information update system. The update information generation device and the identification information update system of the present invention can be realized by executing. The computer system here includes an OS and hardware such as peripheral devices.
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。 Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW (World Wide Web) system is used. The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes a design and the like within a scope not departing from the gist of the present invention.
21・・・受信部
22・・・暗号化部
23・・・鍵データベース
24・・・サービス利用識別情報生成部
25・・・送信部
100・・・ユーザ端末
200・・・TTP
300・・・サービス提供サーバ
DESCRIPTION OF
300 ... Service providing server
Claims (4)
ユーザのログイン情報を受信する受信手段と、
該受信したユーザのログイン情報に付加情報を付与して、前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する暗号化処理手段と、
該暗号化処理部において暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与し、装置固有の暗号化鍵で暗号化してサービス利用識別情報を生成するサービス利用識別情報生成手段と、
該生成したサービス利用識別情報を前記ユーザ端末およびサービス提供サーバに送信する送信手段と、
を備えたことを特徴とするサービス利用識別情報生成装置。 Service use connected to a user terminal and a service providing server managed by the service provider via a network, and when the user uses the service, the service providing server generates service use identification information for identifying the user. An identification information generating device,
Receiving means for receiving user login information;
An encryption processing means for adding additional information to the received login information of the user and encrypting with a different encryption key for each service provided by the user;
Service usage identification information generating means for adding information of an encryption key different for each service to the information encrypted in the encryption processing unit, and generating service usage identification information by encrypting with the encryption key unique to the device; ,
Transmitting means for transmitting the generated service use identification information to the user terminal and the service providing server;
A service use identification information generating device comprising:
前記管理サーバが、ユーザのログイン情報を受信する受信手段と、
該受信したユーザのログイン情報に付加情報を付与して、前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する暗号化処理手段と、
該暗号化処理部において暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与し、信頼できる第三者機関固有の暗号化鍵で暗号化してサービス利用識別情報を生成するサービス利用識別情報生成手段と、
該生成されたサービス利用識別情報を前記ユーザ端末およびサービス提供サーバに送信する送信手段と、
を備えたことを特徴とするサービス利用識別情報生成システム。 A service comprising a user terminal, a service providing server managed by a service provider, and a management server that is managed by a trusted third party to perform user authentication and generate service use identification information for the user to use the service A usage identification information generation system,
The management server receives a user login information; and
An encryption processing means for adding additional information to the received login information of the user and encrypting with a different encryption key for each service provided by the user;
Service use in which information of an encryption key different for each service is added to the information encrypted in the encryption processing unit, and encrypted with an encryption key unique to a reliable third-party organization to generate service use identification information Identification information generating means;
Transmitting means for transmitting the generated service use identification information to the user terminal and the service providing server;
A service use identification information generation system comprising:
受信したユーザのログイン情報に付加情報を付与する第1のステップと、
該ユーザのログイン情報に付加情報を付与した情報を前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する第2のステップと、
該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与する第3のステップと、
該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与した情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する第4のステップと、
を有することを特徴とするサービス利用識別情報生成方法。 Service use connected to a user terminal and a service providing server managed by the service provider via a network, and when the user uses the service, the service providing server generates service use identification information for identifying the user. A service use identification information generation method in an identification information generation apparatus,
A first step of adding additional information to the received login information of the user;
A second step of encrypting information obtained by adding additional information to the login information of the user with an encryption key that is different for each service that the user receives;
A third step of assigning different encryption key information for each service to the encrypted information;
A fourth step of encrypting information obtained by adding different encryption key information for each service to the encrypted information with an encryption key unique to the service use identification information generating device;
A service use identification information generation method characterized by comprising:
受信したユーザのログイン情報に付加情報を付与する第1のステップと、
該ユーザのログイン情報に付加情報を付与した情報を前記ユーザが提供を受けるサービスごとに異なる暗号化鍵で暗号化する第2のステップと、
該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与する第3のステップと、
該暗号化された情報に前記サービスごとに異なる暗号化鍵の情報を付与した情報をサービス利用識別情報生成装置固有の暗号化鍵で暗号化する第4のステップと、
をコンピュータに実行させるためのプログラム。 Service use connected to a user terminal and a service providing server managed by the service provider via a network, and when the user uses the service, the service providing server generates service use identification information for identifying the user. A program for causing a computer to execute a service use identification information generation method in an identification information generation apparatus,
A first step of adding additional information to the received login information of the user;
A second step of encrypting information obtained by adding additional information to the login information of the user with an encryption key that is different for each service that the user receives;
A third step of assigning different encryption key information for each service to the encrypted information;
A fourth step of encrypting information obtained by adding different encryption key information for each service to the encrypted information with an encryption key unique to the service use identification information generating device;
A program that causes a computer to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007045461A JP4945265B2 (en) | 2007-02-26 | 2007-02-26 | Service use identification information generation apparatus, service use identification information generation system, service use identification information generation method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007045461A JP4945265B2 (en) | 2007-02-26 | 2007-02-26 | Service use identification information generation apparatus, service use identification information generation system, service use identification information generation method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008210101A true JP2008210101A (en) | 2008-09-11 |
| JP4945265B2 JP4945265B2 (en) | 2012-06-06 |
Family
ID=39786355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007045461A Expired - Fee Related JP4945265B2 (en) | 2007-02-26 | 2007-02-26 | Service use identification information generation apparatus, service use identification information generation system, service use identification information generation method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4945265B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10691815B2 (en) | 2016-04-27 | 2020-06-23 | Mitsubishi Electric Corporation | Attribute linkage apparatus, transfer system, attribute linkage method and computer readable medium |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003316742A (en) * | 2002-04-24 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Anonymous communication method and device having single sign-on function |
| JP2006244420A (en) * | 2005-03-07 | 2006-09-14 | Kddi R & D Laboratories Inc | Identification information generation management device, and its system and program |
-
2007
- 2007-02-26 JP JP2007045461A patent/JP4945265B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003316742A (en) * | 2002-04-24 | 2003-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Anonymous communication method and device having single sign-on function |
| JP2006244420A (en) * | 2005-03-07 | 2006-09-14 | Kddi R & D Laboratories Inc | Identification information generation management device, and its system and program |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10691815B2 (en) | 2016-04-27 | 2020-06-23 | Mitsubishi Electric Corporation | Attribute linkage apparatus, transfer system, attribute linkage method and computer readable medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4945265B2 (en) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10735186B2 (en) | Revocable stream ciphers for upgrading encryption in a shared resource environment | |
| WO2019071886A1 (en) | Softphone encryption and decryption method and apparatus, and computer-readable storage medium | |
| CN102571329B (en) | Password key management | |
| JP2016513840A (en) | Method, server, host, and system for protecting data security | |
| CN107590396B (en) | Data processing method and device, storage medium and electronic equipment | |
| JP7420779B2 (en) | Key protection processing method, device, equipment and storage medium | |
| US10063655B2 (en) | Information processing method, trusted server, and cloud server | |
| CN109379345A (en) | Sensitive information transmission method and system | |
| JP2015230379A (en) | Communication device, system, and communication processing method | |
| JP2011211537A (en) | System and method for prolonging validity of encrypted information, and program | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| JP4637612B2 (en) | Identification information generation management device, system, and program | |
| JP2006279269A (en) | Information management device, information management system, network system, user terminal, and their programs | |
| CN104301102B (en) | Widget communication means, apparatus and system | |
| KR102096637B1 (en) | Distributed Ledger for logging inquiry time in blockchain | |
| JP4995667B2 (en) | Information processing apparatus, server apparatus, information processing program, and method | |
| JP4945265B2 (en) | Service use identification information generation apparatus, service use identification information generation system, service use identification information generation method, and program | |
| KR102096639B1 (en) | Distributed Ledger for Integrity of Information Retrieval in Block Chain Using UUID | |
| JP4989996B2 (en) | Service use identification information generation apparatus, service use identification information generation system, service use identification information generation method, and program | |
| JP2006244421A (en) | Identification information generation management device, and its system and program | |
| JP2014099727A (en) | Key sharing system, key sharing method, and program | |
| JP4974863B2 (en) | File management system, file management method and program | |
| JP2014017763A (en) | Encryption update system, encryption update request device, encryption update device, decryption device, encryption update method, and computer program | |
| JP2020127084A (en) | Encryption system and encryption method | |
| JP6800165B2 (en) | Cryptography method and encryption system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090708 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120221 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120305 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4945265 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |