-
Die
vorliegende Erfindung betrifft ein Dienst-Bereitstellungssystem,
in dem verschiedene Dienste (zum Beispiel der Verkauf von Waren
und die kostenpflichtige Verteilung von digitalem Inhalt, einschließlich Musik
und Video) von einem Provider oder Bereitsteller über ein
Netzwerk, wie zum Beispiel das Internet, für einen Benutzer bereitgestellt werden.
Insbesondere betrifft die vorliegende Erfindung ein Dienst-Bereitstellungssystem,
in dem die Sicherheit der persönlichen
Informationen eines Benutzers bei der Bereitstellung von Diensten
für den Benutzer
mit hoher Zuverlässigkeit
geschützt
werden.
-
Mit
der weitverbreiteten Nutzung des Internets in normalen Haushalten
hat das Geschäft
der Bereitstellung verschiedener Dienste (zum Beispiel der Verkauf
von Waren und der Vertrieb von digitalem Inhalt, wie zum Beispiel
Musik und Video) über
ein Netzwerk eine starke Zunahme erfahren. Um solche Dienste zu
empfangen, müssen
die Dienst-Benutzer ihre persönlichen
Informationen, die für
die Lieferung der Waren, für
die Bezahlung u. s. w. erforderlich sind, an die Dienstbereitsteller
senden. Typische Beispiele solcher persönlichen Informationen sind
unter anderem der Name, die Anschrift, die Telefonnummer sowie die
Kreditkartennummer. Dienstbereitsteller verifizieren von den Benutzern
gesendete persönliche
Informationen für
Zwecke der Authentifizierungsprüfung
und stellen Dienste nur für
diejenigen Benutzer bereit, deren persönliche Informationen als authentisch
bestätigt
worden sind.
-
Jedoch
ist es für
einen Benutzer, der wiederholt Benutzerdienste des gleichen Dienstbereitstellers
nutzt, umständlich,
seine persönlichen
Informationen jedes Mal zu senden, wenn er Dienste von dem Dienstbereitsteller
empfangen möchte.
Es ist weiterhin beschwerlich für
die Seite des Dienstbereitstellers, die von einer großen Anzahl
von Benutzern gesendeten persönlichen
Informationen jedes Mal zu verifizieren, wenn diesen Dienste bereitgestellt
werden.
-
Angesichts
dessen besteht ein Bedarf an Dienst-Bereitstellungssystemen, die
die Annehmlichkeit von Dienst-Benutzern verbessern können und die
Belastung von Dienstbereitstellern abschwächen können.
-
Folgendes
ist ein Beispiel grundlegender Formen solcher Systeme. In dem System
muss ein Dienst-Benutzer seine persönlichen Informationen nur dann
an den Dienstbereitsteller senden, wenn er den Dienstbereitsteller
das erste Mal in Anspruch nimmt. Die persönlichen Informationen werden
von dem Dienstbereitsteller verifiziert und registriert. Insbesondere
gibt der Dienstbereitsteller die verifizierten persönlichen
Informationen zusammen mit einer Benutzerkennung und einem Passwort,
die von dem Dienst-Benutzer gesendet werden, in seine Datenbank
ein. Nach erfolgter Registrierung der persönlichen Informationen wird
der Dienst-Benutzer lediglich aufgefordert, die registrierte Benutzerkennung und
das Passwort an den Dienstbereitsteller zu senden, wenn er Dienste
empfangen möchte.
Der Dienstbereitsteller authentifiziert den Dienst-Benutzer mit Benutzung
des Passwortes und erfasst die persönlichen Informationen des Dienst-Benutzers auf
Basis der Benutzerkennung aus einer Vielzahl von Datensätzen persönlicher
Informationen, die registriert worden sind. In diesem System muss
der jeweilige Benutzer seine persönlichen Informationen nicht
jedes Mal senden, wenn er Dienste empfangen möchte. Weiterhin muss der Dienstbereitsteller
die persönlichen
Informationen eines jeden Benutzers nur einmal verifizieren.
-
In
dem oben genannten System muss ein Dienst-Benutzer, der eine Vielzahl
von Dienstbereitstellern in Anspruch nimmt, jedoch eine unterschiedliche
Benutzerkennung und ein unterschiedliches Passwort bei jedem Dienstbereitsteller
registrieren und sich die registrierten Benutzerkennungen und Passwörter merken.
In diesem Fall besteht die Möglichkeit,
dass der Dienst-Benutzer Nachteile durch die komplizierte Verwaltung
der Benutzerkennungen und Passwörter
erleidet. Weiterhin wird die Seite des Dienstbereitstellers, auch
wenn die persönlichen
Informationen des Benutzers nur einmal verifiziert werden müssen, nach
wie vor unter einer großen
Verarbeitungslast leiden, wenn die Anzahl der Dienst-Benutzer groß ist.
-
Angesichts
dieser Nachteile sind Dienst-Bereitstellungssysteme entwickelt worden,
die ein Verwaltungszentrum umfassen, dessen Aufgabe in der Verifizierung
von persönlichen
Informationen und in der Verwaltung von persönlichen Informationen besteht.
Ein typisches Beispiel dafür
ist ein System, das mit .NET Passport (beschrieben in „Microsoft
.NET Passport Technical Overview (September 2001)") arbeitet.
-
In
dem System, das mit .NET Passport arbeitet, registriert ein Dienst-Benutzer
im voraus seine persönlichen
Informationen bei einem Verwaltungszentrum, zusammen mit seiner
Benutzerkennung und seinem Passwort. Zur Registrierung von persönlichen
Informationen führt
das Verwaltungszentrum den gleichen Verifizierungsvorgang durch,
wie er von dem Dienstbereitsteller in dem oben genannten System
durchgeführt
wird. Um Dienste von dem Dienstbereitsteller zu empfangen, sendet
der Dienst-Benutzer, der seine persönlichen Informationen einmal
bei dem Verwaltungszentrum registriert hat, seine Benutzerkennung
und sein Passwort zu dem Verwaltungszentrum, um die registrierten
persönlichen
Informationen zu erhalten. Danach sendet der Dienst-Benutzer die
erhaltenen persönlichen
Informationen an den Dienstbereitsteller. Hierbei ist zu beachten,
dass das Verwaltungszentrum einen privaten Dekoder-Schlüssel, der
für einen
jeden Dienstbereitsteller eindeutig zugewiesen ist, verwaltet, und
dass jeder Dienstbereitsteller den entsprechenden eindeutigen privaten
Dekoder-Schlüssel
freigibt. Das Verwaltungszentrum verschlüsselt die persönlichen
Informationen unter Verwendung des eindeutigen privaten Dekoder-Schlüssels und
sendet die verschlüsselten
persönlichen
Informationen an den Dienst-Benutzer. Der Dienst-Benutzer empfängt die
verschlüsselten
persönlichen
Informationen von dem Verwaltungszentrum und sendet die verschlüsselten
persönlichen
Informationen an den Dienst-Benutzer. Der Dienstbereitsteller empfängt die
verschlüsselten
persönlichen
Informationen von dem Dienst-Benutzer und
entschlüsselt
die verschlüsselten
persönlichen Informationen
unter Verwendung des freigegebenen Schlüssels.
-
In
diesem System wird der Dienst-Benutzer lediglich aufgefordert, eine
Benutzerkennung und ein Passwort bei dem Verwaltungszentrum zu registrieren.
Weiterhin wird der Dienstbereitsteller von der großen Verarbeitungslast
der Verifizierung persönlicher
Informationen befreit.
-
Das
Dienst-Bereitstellungssystem einschließlich des Verwaltungszentrums
stößt jedoch auf
das folgende Problem.
-
Das
Verwaltungszentrum verwaltet persönliche Informationen für alle Dienst-Benutzer, die Dienstbereitsteller
innerhalb des Systems bereits in Anspruch genommen haben. Das bedeutet,
dass persönliche
Informationen für
eine große
Anzahl von Dienst-Benutzern
in dem Verwaltungszentrum gesammelt werden. Das Verwaltungszentrum, das
persönliche
Informationen für
eine große
Anzahl von Dienst-Benutzern speichert, kann häufig das Ziel von Hackerangriffen
sein, welche versuchen, unberechtigten Zugriff auf die persönlichen
Informationen zu erhalten. Wenn die Datenbank der persönlichen
Informationen einem solchen unerlaubten Zugriff unterworfen wird,
kann eine große
Menge an persönlichen Informationen
bekannt werden. Diese Möglichkeit kann
dazu führen,
dass sich Dienst-Benutzer der Sicherheit des Systems nicht sicher
sind und nur zögerlich
Dienste über
ein Netzwerk empfangen. Dieses fehlende Vertrauen der Benutzer in
die Sicherheit des Systems kann die Ausbreitung und den Ausbau des Geschäftes des
Bereitstellens von Diensten über
ein Netzwerk behindern.
-
Weiterhin
müssen
die Dienst-Benutzer in dem System jedes Mal auf das Verwaltungszentrum zugreifen,
wenn sie Dienste empfangen möchten. Dies
erhöht
die Verarbeitungslast an dem Verwaltungszentrum. Wenn eine große Anzahl
von Dienst-Benutzern
gleichzeitig auf das Verwaltungszentrum zugreift, kann das Verwaltungszentrum
aufgrund großer
Verarbeitungslast, die seine Verarbeitungskapazität übersteigt,
ausfallen oder abstürzen.
-
Ein
Zertifizierungssystem für
eine Vielzahl von Diensten wird in
US-A-2001/0034833 beschrieben. Ein
jeder der Vielzahl von Diensten erfordert unterschiedliche Authentifizierungsdaten,
wie zum Beispiel eine Benutzerkennung und ein Passwort. Um den Authentifizierungsvorgang
zu vereinfachen, wird von einem Benutzer ein einziges Zertifikat
bereitgestellt. Ein Dienstbereitsteller speichert die Beziehung zwischen
dem Zertifikat und den Authentifizierungsdaten in einer Tabelle
in seinen Servern. Wenn ein Benutzer eine Anforderung mit dem Zertifikat
an einen Dienstbereitsteller sendet, validiert der Dienstbereitsteller
das Zertifikat an einer zentralen Zertifikat-Datenbank. Wenn das Zertifikat gültig ist,
sucht der Dienstbereitsteller in seiner Tabelle nach den Zugangsdaten
des Benutzers. Wenn weiterhin in der Tabelle kein Eintrag des gültigen Zertifikats
vorhanden ist, fordert der Dienstbereitsteller die Zugangsdaten
des Benutzers an und speichert die Zugangsdaten in der Tabelle in
seinen Servern.
-
Eine
Aufgabe der vorliegenden Erfindung besteht in der Bereitstellung
eines fortgeschrittenen Dienst-Bereitstellungssystems zum Bereitstellen
von Diensten, die persönliche
Informationen erfordern.
-
Dies
wird durch die Merkmale der Hauptansprüche erzielt.
-
Gemäß diesem
Aufbau werden verifizierte persönliche
Informationen (signierte persönliche
Informationen) für
einen jeden Benutzer nicht zentral von der in dem Verwaltungszentrum
angeordneten Verifizierungsvorrichtung für persönliche Informationen gespeichert,
sondern werden diese in einer Dienst-Benutzervorrichtung, die von
einem jeden Benutzer verwaltet wird, gespeichert. Aufgrund dessen kann
ein solcher Fall vermieden werden, in dem ein einzelner unberechtigter
Zugriff auf die Verifizierungsvorrichtung für persönliche Informationen bewirkt,
dass eine große
Menge von persönlichen
Informationen aus der Vorrichtung bekannt wird. Daher kann die Sicherheit
des Systems verbessert werden. Weiterhin muss die Dienst-Benutzervorrichtung
nicht auf die Verifizierungsvorrichtung für persönliche Informationen zugreifen,
wenn sie Dienste empfängt. Selbst
wenn eine große
Anzahl von Benutzern gleichzeitig Dienste in dem Dienst-Bereitstellungssystem
anfordern, wird die Verifizierungsvorrichtung für persönliche Informationen keiner übermäßig schweren
Verarbeitungslast unterworfen. Daher können die Stabilität und die
Zuverlässigkeit
des Dienst-Bereitstellungssystems in Betrieb verbessert werden.
-
Weiterhin
muss in herkömmlichen Dienst-Bereitstellungssystemen
eine Dienst-Benutzervorrichtung
jedes Mal, wenn sie Dienste empfängt,
auf ein Authentifizierungszentrum zugreifen. In solchen Systemen
kann das Authentifizierungszentrum Informationen über den
Status der Dienstbenutzung, wie zum Beispiel Informationen über die
Häufigkeit
und die Arten von Dienst-Bereitstellern, die ein jeder Benutzer
benutzt (das heißt
die Präferenz
eines jeden Dienst-Benutzers, die Absatzleistung eines jeden Dienstbereitstellers
u. s. w.) erhalten. in dem Dienst-Bereitstellungssystem, das die
vorliegende Erfindung betrifft, muss die Dienst-Benutzervorrichtung
jedoch nicht auf das Authentifizierungszentrum zugreifen, wenn sie
Dienste empfängt.
Daher müssen
Dienst-Benutzer
und Dienstbereitsteller in dem System kein bekannt werden der Informationen über das
Authentifizierungszentrum befürchten.
-
Hierbei
kann die Informations-Verwaltungseinheit so betrieben werden, dass
sie signierte persönliche
Informationen in einem Zustand speichert, der externen Zugriff auf
dieselben verhindert, und dass sie Lesen der signierten persönlichen
Informationen nur dann erlaubt, wenn im voraus eingestellte Schlüsselinformationen
eingegeben werden.
-
Gemäß diesem
Aufbau werden signierte persönliche
Informationen für
einen jeden Benutzer, in hochsicherer Form, von einem jeden Dienst-Benutzer
in der Dienst-Benutzervorrichtung
gehalten. Daher ist es für
einen Dritten schwer, mit der Absicht des Missbrauchs der persönlichen
Informationen die signierten persönlichen Informationen unberechtigt
zu lesen. Daher wird die Zuverlässigkeit
der signierten persönlichen
Informationen im Vergleich zu dem Fall herkömmlicher Systeme nicht verschlechtert.
Insbesondere können
die Schlüsselinformationen
Passwort-Informationen oder biometrische Informationen sein.
-
Weiterhin
kann die Informationsverwaltungseinheit eine Schlüsselerzeugungs-Teileinheit umfassen,
die betrieben werden kann, um einen Verschlüsselungsschlüssel zu
erzeugen, der verwendet werden kann, um die signierten persönlichen
Informationen zu verschlüsseln,
sowie einen Entschlüsselungsschlüssel, der
zu verwenden ist, um die verschlüsselten
signierten persönlichen
Informationen zu entschlüsseln,
eine Verschlüsselungs-Teileinheit,
die betrieben werden kann, um die signierten persönlichen
Informationen unter Verwendung des Verschlüsselungsschlüssels zu
verschlüsseln,
eine Informationsspeicher-Teileinheit, die betrieben werden kann,
um die durch die Verschlüsselungs-Teileinheit verschlüsselten
signierten persönlichen
Informationen zu speichern, und eine Entschlüsselungs-Teileinheit, die betrieben
werden kann, um die unter Verwendung des aus der Schlüsselspeicher-Teileinheit ausgelesenen
Entschlüsselungsschlüssels aus
der Informationsspeicher-Teileinheit ausgelesenen verschlüsselten
signierten persönlichen
Informationen zu entschlüsseln.
-
Gemäß diesem
Aufbau kann die Zuverlässigkeit
der in der Dienst-Benutzervorrichtung
gespeicherten signierten persönlichen
Informationen weiter verbessert werden. Dies ist darauf zurückzuführen, dass
die signierten persönlichen
Informationen verschlüsselt
werden und dass ihr Schlüssel
für Verschlüsselung
in einem geschützten
Bereich gespeichert wird. Zusätzlich
werden nur Schlüssel,
deren Datenmenge klein ist, in dem geschützten Bereich gespeichert.
Ein zu verwendendes Speichermedium kann daher durch ein kostengünstiges
Medium realisiert werden, in dem der geschützte Bereich nur einen kleinen
Bereich innerhalb des gesamten Speicherbereiches einnimmt. Insbesondere
kann die Informationsverwaltungseinheit eine IC-Speichekarte umfassen,
die einen geschützten
Bereich, einen allgemeinen Be reich und eine Arithmetikeinheit umfasst.
Der geschützte
Speicherbereich kann gegen externen Zugriff auf denselben geschützt werden,
der allgemeine Speicherbereich kann externen Zugriff auf denselben
zulassen, die Arithmetikeinheit kann betrieben werden, um ein Programm
auszuführen, die
Verschlüsselungs-Teileinheit
und die Entschlüsselungs-Teileinheit
können
durch die Arithmetikeinheit realisiert werden, die in dem geschützten Speicherbereich
gespeicherte Programme ausführt, die
Schlüsselspeicher-Teileinheit
kann betrieben werden, um den Entschlüsselungsschlüssel in
dem geschützten
Speicherbereich zu speichern, und die Informationsspeicher-Teileinheit
kann betrieben werden, um die verschlüsselten signierten persönlichen Informationen
in dem allgemeinen Speicherbereich zu speichern.
-
Um
weiterhin die Zuverlässigkeit
der signierten persönlichen
Informationen sicherzustellen, kann die Dienstanforderungs-Empfangseinheit
betrieben werden, um eine Anforderung persönlicher Informationen an die
Dienst-Benutzervorrichtung zu senden, bevor sie signierte persönliche Informationen
von der Dienst-Benutzervorrichtung empfängt, und die Dienstanforderungs-Sendeeinheit
kann betrieben werden, um die Anforderung persönlicher Informationen zu empfangen,
bevor sie beginnt, die signierten persönlichen Informationen zu senden,
und nur wenn die empfangene Anforderung persönlicher Informationen eine
vorgegebene Bedingung erfüllt,
die signierten persönlichen
Informationen an die Dienst-Bereitstellervorrichtung zu senden.
-
Gemäß diesem
Aufbau und selbst wenn ein Dritter versucht, den Dienstbereitsteller
zu personifizieren und unberechtigterweise signierte persönliche Informationen
zu erhalten, die an den Dienstbereitsteller gesendet werden, wird
ein solcher Versuch scheitern. Daher wird die Zuverlässigkeit
der signierten persönlichen
Informationen innerhalb des Systems verbessert. Insbesondere kann
die Anforderung persönlicher
Informationen in einem im voraus bestimmten Format erzeugt werden,
die Anforderung persönlicher
Informationen kann verifiziert worden sein und eine digitale Signatur
kann durch die Verifizierungsvorrichtung daran angehangen worden
sein, und die Dienstanforderungs-Sendeeinheit kann betrieben werden,
um die Echtheit der an die Anforderung persönlicher Informationen angehängten digitalen
Signatur unter Verwendung eines öffentlichen Formular-Signatur-Schlüssels zu
prüfen,
der im voraus von der Verifizierungsvorrichtung verteilt worden ist,
und wenn die Verifizierung der digitalen Signatur unter Verwendung
des öffentlichen
Formular-Signatur-Schlüssels
erfolgreich ist, bestimmen, dass die Anforderung persönlicher
Informationen die vorgegebenen Bedingungen erfüllt. Das heißt, die
Verifizierungsvorrichtung für
persönliche
Informationen verifiziert ebenfalls die Echtheit des Inhaltes der
Anforderung persönlicher
Informationen im voraus, auf die gleiche Art und Weise wie für das Verifizieren
der Echtheit der persönlichen
Informationen im voraus.
-
Weiterhin
kann die digitale Signatur auf folgende Weise angehangen werden.
Das heißt,
die persönlichen
Informationen des Benutzers können eine
Vielzahl von Datenelementen umfassen, die Erzeugungseinheit der
signierten persönlichen
Informationen kann betrieben werden, um die signierten persönlichen
Informationen zu erzeugen, indem eine digitale Signatur an ein jedes
Datenelement der persönlichen
Informationen des Benutzers angehangen wird, und die Verifizierungseinheit
für die
signierten persönlichen
Informationen kann betrieben werden, um die Echtheit der an ein
jedes Datenelement angehangenen digitalen Signatur zu verifizieren.
Aufgrund dessen kann die Signatur-Verifizierung strikt in Einheiten
von Elementen persönlicher
Informationen durchgeführt
werden.
-
Weiterhin
können
die persönlichen
Informationen des Benutzers eine Vielzahl von Datenelementen umfassen,
die Erzeugungseinheit für
signierte persönliche
Informationen kann betrieben werden, um die signierten persönlichen
Informationen zu erzeugen, indem eine für einen Benutzer eindeutige Benutzerkennung
an ein jedes Datenelement angehängt
wird und indem eine digitale Signatur an ein jedes Datenelement
angehängt
wird, an das die Benutzerkennung angehängt worden ist, und die Verifizierungseinheit
für signierte
persönliche
Informationen kann betrieben werden, um zu entscheiden, ob die an alle
Datenelemente der signierten persönlichen Informationen angehängten Benutzerkennungen,
die von der Dienstanforderungs-Empfangseinheit empfangen wurde, übereinstimmen,
und wenn sie entscheidet, dass die Benutzerkennungen nicht übereinstimmen,
um zu bestimmen, dass die Verifizierung der signierten persönlichen
Informationen fehlgeschlagen ist.
-
Gemäß diesem
Aufbau und selbst wenn ein Dienst-Benutzer seine signierten persönlichen
Informationen in einem Versuch, Dienste unbefugt zu empfangen, manipuliert,
wird ein solcher Versuch fehlschlagen. Zum Beispiel können zwei
Dienst-Benutzer Benutzer versuchen, Elemente ihrer signierten persönlichen
Informationen zu kombinieren, um signierte persönliche Informationen für eine Person, die
faktisch nicht existiert, zu fälschen.
In einem solchen Fall und wenngleich ein jedes Element der gefälschten
persönlichen
Informationen eine Signatur erhält,
die authentisch ist, stimmen Benutzerkennungen, die an alle Elemente
der gefälschten
persönlichen
Informationen angehängt
sind, nicht überein. Insbesondere
kann die Erzeugungseinheit für
signierte persönliche
Informationen betrieben werden, um eine digitale Signatur, die unter
Verwendung von Inhalt des Datenelementes und der Benutzerkennung
erzeugt wird, an jedes Datenelement, an das eine Benutzerkennung
angehängt
ist, anzuhängen, und
die Verifizierungseinheit für
signierte persönliche Informationen
kann betrieben werden, um die Authentizität der signierten persönlichen
Informationen zu verifizieren, indem sie die Authentizität der an
ein jedes Datenelement angehängten
digitalen Signatur verifiziert.
-
Weiterhin
kann die Dienst-Benutzervorrichtung eine Authentifizierungsschlüssel-Erzeugungseinheit
umfassen, die betrieben werden kann, um ein Paar aus öffentlichem
und privatem Schlüssel
zu erzeugen, die für
die Authentifizierung der Dienst-Benutzervorrichtung
verwendet werden können,
sowie eine Einheit zum Speichern des privaten Schlüssels, die
betrieben werden kann, um den von der Authentifizierungsschlüssel-Erzeugungseinheit
erzeugten privaten Schlüssel
in einer Form, die externen Zugriff auf denselben begrenzt, zu speichern,
die Empfangseinheit für
signierte persönliche
Informationen kann betrieben werden, um den von der Authentifizierungsschlüssel-Erzeugungseinheit
erzeugten privaten Schlüssel
in die persönlichen
Informationen des Benutzers einzubauen, die an die Verifizierungsvorrichtung
zu senden sind, die Dienstanforderungs-Sendeeinheit kann betrieben
werden, um den von der Authentifizierungsschlüssel-Erzeugungseinheit erzeugten
privaten Schlüssel
in die signierten persönlichen
Informationen, die an die Dienst-Bereitstellervorrichtung zu senden
sind, einzubauen, und die Verifizierungseinheit für signierte
persönliche
Informationen kann betrieben werden, um Authentifizierung der Dienst-Benutzervorrichtung
unter Verwendung eines Verschlüsselungsverfahrens
für einen öffentlichen
Schlüssel
durchzuführen,
indem auf den in die signierten persönlichen Informationen, die von
der Dienstanforderungs-Sendeeinheit gesendet worden sind, eingebauten
privaten Schlüssel
verwiesen wird, und wenn die Authentifizierung erfolgreich ist,
um zu bestimmen, dass die Verifizierung der signierten persönlichen
Informationen erfolgreich ist.
-
Gemäß diesem
Aufbau und wenn die signierten persönlichen Informationen von der
Dienst-Benutzervorrichtung an die Dienst-Bereitstellervorrichtung
gesendet werden, authentifiziert die Dienst-Bereitstellervorrichtung
eine Sendequelle der signierten persönlichen Informationen. Daher
kann, selbst wenn die von der Dienst-Benutzervorrichtung an die Dienst-Bereitstellervorrichtung
gesendeten signierten persönlichen
Informationen von einem Dritten abgehört werden, der Dritte keine
Dienste unter Verwendung der abgehörten persönlichen Informationen unberechtigt
empfangen. Daher kann die Zuverlässigkeit
der signierten persönlichen
Informationen weiter verbessert werden. Darüber hinaus kann die Speichereinheit
für privaten
Schlüssel
ein Speichermedium umfassen, das einen geschützten Speicherbereich umfasst,
der nur begrenzten Zugriff darauf zulässt, und den privaten Schlüssel in
den geschützten
Speicherbereich speichern.
-
Diese
und andere Aufgaben, Vorteile und Merkmale der Erfindung werden
aus der folgenden Beschreibung derselben in Verbindung mit den anhängenden
Zeichnungen, die ein spezifisches Ausführungsbeispiel der Erfindung
veranschaulichen, erkennbar werden.
-
Kurze Beschreibung der Zeichnungen:
-
1 ist
ein Blockschema und zeigt den Gesamtaufbau eines Dienst-Bereitstellungssystems, auf
das sich ein bevorzugtes Ausführungsbeispiel der
vorliegenden Erfindung bezieht.
-
2 zeigt
einen Verarbeitungsfluss eines Verifizierungsverfahrens persönlicher
Informationen in dem Ausführungsbeispiel.
-
3 zeigt
eine Beispielstruktur persönlicher
Informationen, die in dem Ausführungsbeispiel noch
zu verifizieren sind.
-
4 zeigt
eine Beispielstruktur von signierten persönlichen Informationen in dem
Ausführungsbeispiel.
-
5 zeigt
einen Verarbeitungsfluss eines Dienst-Bereitstellungsverfahrens
in dem Ausführungsbeispiel.
-
6 zeigt
eine Beispielstruktur von persönlichen
Teil-Informationen in dem Ausführungsbeispiel.
-
7 ist
ein Blockschema und zeigt den Aufbau einer Verifizierungsvorrichtung
für persönliche Informationen
in dem Ausführungsbeispiel.
-
8 ist
ein Blockschema und zeigt den Aufbau einer Dienst-Benutzervorrichtung
in dem Ausführungsbeispiel.
-
9 ist
ein Blockschema und zeigt den Aufbau einer Speicherkarte, die in
der Dienst-Benutzervorrichtung in dem Ausführungsbeispiel enthalten ist.
-
10 ist
ein Blockschema und zeigt den Aufbau der Dienst-Bereitstellervorrichtung in dem Ausführungsbeispiel.
-
11 zeigt
einen Verarbeitungsfluss des Verifizierungsverfahrens für persönliche Informationen
in einem modifizierten Beispiel des Ausführungsbeispieles.
-
12A zeigt persönliche
Informationen, die in dem modifizierten Beispiel noch zu verifizieren sind.
-
12B zeigt persönliche
Informationen, die in dem modifizierten Beispiel verifiziert worden sind,
und
-
13 zeigt
einen Verarbeitungsfluss eines Dienst-Bereitstellungsverfahrens
in dem modifizierten Beispiel.
-
Es
folgt eine ausführliche
Beschreibung eines bevorzugten Ausführungsbeispieles im Detail unter
Bezugnahme auf die Zeichnungen.
-
Erstes Ausführungsbeispiel
-
[Gesamtaufbau]
-
1 ist
ein Schema und zeigt den Gesamtaufbau eines Dienst-Bereitstellungssystems, auf
das sich ein erstes Ausführungsbeispiel
der vorliegenden Erfindung bezieht. Das Dienst-Bereitstellungssystem 1,
das sich auf die vorliegende Erfindung bezieht, ist ein System,
in dem Pay-Dienste von einem Dienstbereitsteller an einen Dienst-Benutzer bereitgestellt
werden. In dem System 1 übergibt der Benutzer dem Dienstbereitsteller
persönliche
Informationen, die im voraus von einem Authentifizierungszentrum
verifiziert und signiert werden, wenn der Dienst-Benutzer Dienste
empfangen möchte.
-
Das
Dienst-Bereitstellungssystem 1 weist den folgenden Vorrichtungsaufbau
auf. Eine Verifizierungsvorrichtung 11 für persönliche Informationen, eine
Dienst-Benutzervorrichtung 12 und
eine Dienst-Bereitstellervorrichtung 13 sind über ein
Netzwerk „N" miteinander verbunden.
Die Verifizierungsvorrichtung 11 für persönliche Informationen ist an dem
Authentifizierungszentrum angeordnet, das Verifizierungsvorgänge der
persönlichen
Informationen des Benutzers für
Zwecke der Benutzer-Authentifizierung
durchführt.
Die Dienst-Benutzervorrichtung 12 wird von einem Dienst-Benutzer benutzt,
der Dienste empfangen möchte.
Die Dienst-Bereitstellervorrichtung 13 wird von einem Dienstbereitsteller
verwendet, der Dienste bereitstellt. Wenngleich davon ausgegangen
wird, dass das System 1 eine Vielzahl von Dienst-Benutzervorrichtungen
und eine Vielzahl von Dienst-Bereitstellervorrichtungen beinhaltet, werden
der besseren Übersichtlichkeit
wegen nur eine Dienst-Benutzervorrichtung und nur eine Dienst-Bereitstellervorrichtung
in der Figur gezeigt.
-
Die
Verifizierungsvorrichtung 11 für persönliche Informationen wird insbesondere
durch einen Computer oder einen Server realisiert, der ein Programm
für Benutzer-Authentifizierung
ausführt.
Weiterhin wird die Dienst-Benutzervorrichtung 12 durch einen
Personalcomputer ausgeführt,
der mit dem Netzwerk „N" oder mit einem tragbaren
Endgerät, das
Kommunikationsfunktionen aufweist, verbunden ist. Der Personalcomputer
oder das tragbare Endgerät
führt ein
Programm aus, das dem Benutzer im voraus von dem Authentifizierungszentrum übergeben und
in demselben installiert worden ist, um als die Dienst-Benutzervorrichtung 12 zu
wirken. Als ein Beispiel kann das hierbei installierte Programm
von einer Webseite heruntergeladen worden sein, die von dem Authentifizierungszentrum
verwaltet wird. Die Dienst-Bereitstellervorrichtung 13 wird
als ein Computer oder ein Server ausgeführt, der ein Programm für Dienstbereitstellung
ausführt.
-
Die
Verifizierungsvorrichtung 11 für persönliche Informationen verifiziert
persönliche
Informationen eines Benutzers, die von der Dienst-Benutzervorrichtung 12 gesendet
werden. Die Verifizierungsvorrichtung 11 für persönliche Informationen
hängt eine
digitale Signatur an die verifizierten Informationen an und gibt
die persönlichen
Informationen, die die digitale Signatur aufweisen, an die Dienst-Benutzervorrichtung 12 zurück. Die
digitale Signatur garantiert dem Dienstbereitsteller, dass die persönlichen Informationen,
die die digitale Signatur aufweisen (nachfolgend die „signierten
persönlichen
Informationen" genannt)
zuverlässig
sind, ohne Fehler zu enthalten, oder dass sie nicht falsch sind.
Die Verifizierungsvorrichtung 11 für persönliche Informationen speichert
keine persönlichen
Informationen.
-
Die
Dienst-Benutzervorrichtung 12 sendet die von dem Benutzer
eingegebenen persönlichen Informationen
an die Verifizierungsvorrichtung 11 für persönliche Informationen, wo die
persönlichen
Informationen verifiziert werden. Die Dienst-Benutzervorrichtung 12 speichert
die verifizierten signierten persönlichen Informationen in ihrer
internen Speicherkarte, die nur begrenzte Bezugnahme von außerhalb erlaubt.
Danach, bei Empfang einer Benutzer-Anweisung zum Empfang von Diensten,
sendet die Dienst-Benutzervorrichtung 12 die signierten
persönlichen
Informationen zusammen mit einer Dienstanforderung an die Dienst-Bereitstellervorrichtung 13. Danach
empfängt
die Dienst-Benutzervorrichtung 12 den angeforderten Dienstinhalt
von der Dienst-Bereitstellervorrichtung 13.
Es ist zu beachten, dass diese signierten persönlichen Informationen nur für eine Dienst-Bereitstellervorrichtung 13 gültig sind,
die von einem Dienstbereitsteller verwaltet wird, der einen Vertrag
mit dem Authentifizierungszentrum zur Teilnahme an dem Dienst-Bereitstellungssystem 1 geschlossen
hat.
-
Die
Dienst-Bereitstellervorrichtung 13 stellt Dienste auf Basis
von signierten persönlichen
Informationen bereit. Die signierten persönlichen Informationen werden
von dem Benutzer gesendet, der Dienste unter Verwendung der Dienst-Benutzervorrichtung Benutzervorrichtung 12 empfangen
möchte. Vor
dem Bereitstellen von Diensten verifiziert die Dienst-Bereitstellervorrichtung 13 lediglich
die digitale Signatur, die in den signierten persönlichen
Informationen enthalten ist, ohne die persönlichen Informationen selbst
zu verifizieren. Um die digitale Signatur zu verifizieren, verwendet
die Dienst-Bereitstellervorrichtung 13 Signatur-Verifizierungsdaten
(zum Beispiel einen öffentlichen
Schlüssel),
die im voraus von der Verifizierungsvorrichtung 11 für persönliche Informationen
erfasst werden. Zum Beispiel können diese
Signatur-Verifizierungsdaten zu dem Zeitpunkt, an dem der Dienstbereitsteller,
der die Dienst-Bereitstellervorrichtung 13 verwaltet, den
Vertrag mit dem Authentifizierungszentrum schließt, von der Verifizierungsvorrichtung 11 für persönliche Daten
zu der Dienst-Bereitstellervorrichtung 13 gesendet werden.
-
In
dem Dienst-Bereitstellungssystem 1, das sich auf das vorliegende
Ausführungsbeispiel
wie oben beschrieben bezieht, werden verifizierte signierte persönliche Informationen
für einen
jeden Benutzer nicht in der Verifizierungsvorrichtung 11 für persönliche Informationen,
die an dem Authentifizierungszentrum angeordnet ist, gespeichert,
sondern sie werden in der Dienst-Benutzervorrichtung 12,
die von einem jeden Benutzer gehalten werden, gespeichert. Ebenso
muss die Dienst-Benutzervorrichtung 12 nicht
auf die Verifizierungsvorrichtung 11 für persönliche Informationen zugreifen,
wenn sie Dienste empfängt.
Dieses System 1 ist daher frei von Problemen, die mit Wahrscheinlichkeit
eine Verschlechterung der Sicherheit und der Betriebszuverlässigkeit des
Systems verursachen. Die Probleme sind unter anderem die Konzentration
einer großen
Menge von persönlichen
Informationen in dem Authentifizierungszentrum und die Verstopfung
von Zugängen
zu dem Authentifizierungszentrum.
-
Mit
der verbesserten Sicherheit bei der Verwaltung signierter persönlicher
Informationen in der Dienst-Benutzervorrichtung 12 kann
weiterhin eine Zunahme des Risikos von bekannt werden, Manipulation
u. s. w. der signierten persönlichen
Informationen im Vergleich zu dem Fall herkömmlicher Systeme verhindert
werden.
-
Insbesondere
löst das
Dienst-Bereitstellungssystem 1, das sich auf das vorliegende
Ausführungsbeispiel
bezieht, herkömmliche
Probleme, indem es ermöglicht,
dass signierte persönliche
Informationen für
einen jeden Benutzer in der von einem jeden Benutzer gehaltenen
Dienst-Benutzervorrichtung gespeichert werden. Gleichzeitig verhindert
das Dienst-Bereitstellungssystem 1 Verschlechterung der Zuverlässigkeit
der signierten persönlichen
Informationen, indem es ermöglicht,
dass die signierten persönlichen
Informationen strikt von der Dienst-Benutzervorrichtung verwaltet
werden.
-
[Verarbeitungsfluss]
-
Es
folgt eine Beschreibung eines Verarbeitungsflusses, der in dem Dienst-Bereitstellungssystem 1,
das sich auf das vorliegende Ausführungsbeispiel bezieht, auszuführen ist.
-
Wie
aus der gegebenen Erläuterung
zu dem Gesamtaufbau ersichtlich ist, kann die in dem Dienst-Bereitstellungssystem 1 auszuführende Verarbeitung
grob in zwei Verfahren unterteilt werden. Ein Verfahren betrifft
die Verifizierung der persönlichen
Informationen eines Dienst-Benutzers (nachfolgend das „Verifizierungsverfahren
für persönliche Informationen" genannt) und wird
von der Verifizierungsvorrichtung 11 für persönliche Informationen und der
Dienst-Benutzervorrichtung 12 ausgeführt. Das andere Verfahren betrifft
die Bereitstellung von Diensten von dem Dienstbereitsteller an den Dienst-Benutzer
(nachfolgend das „Dienst-Bereitstellungsverfahren" genannt) und wird
von der Dienst-Benutzervorrichtung 12 und der Dienst-Bereitstellervorrichtung 13 ausgeführt. Im
Folgenden wird ein Verarbeitungsfluss eines jeden Verfahrens unter
Bezugnahme auf die Zeichnungen beschrieben werden.
-
(Verifizierungserfahren für persönliche Informationen)
-
Im
Folgenden wird zuerst ein Verarbeitungsfluss des Verifizierungsverfahrens
für persönliche Informationen
unter Bezugnahme auf die Zeichnungen beschrieben werden.
-
2 zeigt
einen Verarbeitungsfluss des Verifizierungsverfahrens für persönliche Informationen, der
von der Verifizierungsvorrichtung 11 für persönliche Informationen und die
Dienst-Benutzervorrichtung 12 ausgeführt wird.
-
(1) Empfange die Eingabe von persönlichen
Informationen des Benutzers.
-
Zuerst
empfängt
die Dienst-Benutzervorrichtung 12 die Eingabe von persönlichen
Informationen von dem Dienst-Benutzer. Die Dienst-Benutzervorrichtung 12 sendet
die eingegebenen persönlichen Informationen
des Benutzers an die Verifizierungsvorrichtung 11 für persönliche Informationen,
die in dem Authentifizierungszentrum angeordnet ist.
-
3 zeigt
schematisch die Struktur der von der Dienst-Benutzervorrichtung 12 an
die Verifizierungsvorrichtung 11 für persönliche Informationen zu sendenden
persönlichen
Informationen des Benutzers. Die in der Figur gezeigten persönlichen
Informationen des Benutzers bestehen aus den Elementen: „Name"; „Telefonnummer"; „Anschrift"; „Geburtsdatum"; „Kreditkartennummer"; „Größe und Gewicht"; und „Blutgruppe". Es ist zu beachten,
dass die persönlichen
Informationen des Benutzers aus Elementen bestehen müssen, die
von einer jeden in dem System enthaltenen Dienst-Bereitstellervorrichtung angefordert
werden, wenngleich die Figur lediglich Beispiele der Elemente zeigt.
-
(2) Verifiziere die persönlichen
Informationen des Benutzers.
-
Als
Nächstes
verifiziert die Verifizierungsvorrichtung 11 für persönliche Informationen
die von der Dienst-Benutzervorrichtung 12 empfangenen persönlichen
Informationen des Benutzers durch Vergleich der persönlichen
Informationen des Benutzers mit den Informationen zu dem Dienst-Benutzer,
die aus einer zuverlässigen
externen Informationsquelle gewonnen wurden (wobei die Informationen
im voraus in die Verifizierungsvorrichtung 11 für persönliche Informationen
eingegeben werden).
-
(3) Hänge
die Kennnummer und die Signatur an.
-
Die
Verifizierungsvorrichtung 11 für persönliche Informationen hängt eine
für einen
Benutzer eindeutige Benutzer-Kennnummer und eine digitale Signatur
an ein jedes Element der verifizierten persönlichen Informationen des Benutzers
an, um signierte persönliche
Informationen zu erzeugen.
-
4 zeigt
schematisch eine Beispielstruktur der signierten persönlichen
Informationen 400. Die signierten persönlichen Informationen bestehen aus
einer Viel zahl von Elementen, von denen ein jedes einen „Hauptdaten"-Teil 410 enthält, an den
ein „Benutzerkennungs"-Teil 420 und
ein „Signaturdaten"-Teil 430 angehängt sind.
Der „Hauptdaten"-Teil 410 stellt
Daten für
ein jedes Element der von der Dienst-Benutzervorrichtung 12 gesendeten
persönlichen
Informationen dar.
-
Die
Verifizierungsvorrichtung 11 für persönliche Informationen erzeugt
eine Benutzer-Kennnummer und hängt
die erzeugte Benutzer-Kennnummer an ein jedes Element der persönlichen
Informationen an. Die Verifizierungsvorrichtung 11 für persönliche Informationen
erzeugt danach eine digitale Signatur für ein jedes Element, an das
die Benutzer-Kennnummer angehängt
worden ist, unter Verwendung eines Verschlüsselungsverfahrens des öffentlichen Schlüssels und
hängt die
erzeugte digitale Signatur an ein jedes Element an. Eine hierbei
für ein
jedes Element erzeugte digitale Signatur basiert auf verketteten
Daten des Inhaltes des Elements und der Benutzer-Kennnummer. Das bedeutet, dass der Wert der
digitalen Signatur in Abhängigkeit
von einem jeden Element unterschiedlich ist. Als ein Beispiel kann das
ElGamal-Signaturverfahren
als Verfahren zum Erzeugen von Signaturdaten eingesetzt werden.
Das ElGamal-Signaturverfahren wird zum Beispiel in „Gendai
Ango (Modern Cryptography)" (Sangyo
Tosho), verfasst von Tatsuaki Okamoto und Hiroshi Yamamoto, beschrieben.
-
Die
Verifizierungsvorrichtung 11 für persönliche Informationen verschlüsselt die
signierten persönlichen
Informationen und sendet die verschlüsselten signierten persönlichen
Informationen an die Dienst-Benutzervorrichtung 12. Insbesondere
führt die
Verifizierungsvorrichtung 11 für persönliche Informationen vertrauliche
Kommunikation auf Basis des SSL-Protokolls (Secure Sockets Layer,
SSL) durch.
-
Wenn
hierbei die Verarbeitung (2) des Verifizierens der persönlichen
Informationen fehlschlägt, sendet
die Verifizierungsvorrichtung 11 für persönliche Informationen eine Nachricht,
die authentische persönliche
Informationen anfordert, an die Dienst-Benutzervorrichtung 12. Danach
kehrt die Verarbeitung zu (1) zurück.
-
(4) Speichere die signierten persönlichen
Informationen.
-
Die
Dienst-Benutzervorrichtung 12 empfängt die von der Verifizierungsvorrichtung 11 für persönliche Informationen
gesendeten signierten persönlichen
Informationen und entschlüsselt
zunächst
die signierten persönlichen
Informationen. Weiterhin verschlüsselt
die Dienst-Benutzervorrichtung 12 die einmal entschlüsselten
signierten persönlichen
Informationen zum Speichern und speichert die verschlüsselten
signierten persönlichen
Informationen in ihre interne Speicherkarte.
-
(Dienst-Bereitstellungsverfahren)
-
Im
Folgenden wird ein Verarbeitungsfluss des Dienst-Bereitstellungsverfahrens
beschrieben werden, wobei die Dienst-Bereitstellervorrichtung 13 Dienste
an die Dienst-Benutzervorrichtung 12 gemäß einer
Anweisung von dem Dienst-Benutzer bereitstellt.
-
5 zeigt
einen Verarbeitungsfluss des Dienst-Bereitstellungsverfahrens.
-
(1) Gib eine Dienstanforderung aus.
-
Zuerst
gibt die Dienst-Benutzervorrichtung 12, die eine Benutzer-Anweisung
zum Einholen von Diensten empfangen hat, eine Dienstanforderung über das
Netzwerk „N" an die Dienst-Bereitstellervorrichtung 13 aus.
-
(2) Gib eine Anforderung für persönliche Informationen
aus.
-
Die
Dienst-Bereitstellervorrichtung 13, die die Dienstanforderung
empfangen hat, gibt eine Anforderung für persönliche Informationen an die Dienst-Benutzervorrichtung 12 aus.
Die Anforderung für
persönliche
Informationen bezeichnet Elemente persönlicher Informationen, die
für die
angeforderte Dienstbereitstellung erforderlich sind. Die Anforderung
für persönliche Informationen
wird unter Verwendung eines vorbestimmten Formates (durch die Verifizierungsvorrichtung 11 für persönliche Informationen
im voraus bestimmt) beschrieben und bezeichnet ein jedes erforderliche
Element unter Verwendung einer fortlaufenden Nummer des Elementes
(zum Beispiel ist in dem Beispiel aus 4 die fortlaufende
Nummer für
das Element „Name" die „1", und die fortlaufende
Nummer für
das Element „Anschrift" ist die „3").
-
(3) Sende persönliche Teilinformationen.
-
Die
Dienst-Benutzervorrichtung 12, die die Anforderung für persönliche Informationen
empfangen hat, entschlüsselt
die signierten persönlichen
Informationen, die darin verschlüsselt
und gespeichert worden sind, und sendet die extrahierten Elemente (=
persönliche
Teilinformationen) an die Dienst-Bereitstellervorrichtung 13.
Die Dienst-Benutzervorrichtung 12 führt hierbei
vertrauliche Kommunikation auf Basis des SSL-Protokolls zum Senden der persönlichen
Teilinformationen durch. Hierbei ist zu beachten, dass die Dienst-Benutzervorrichtung 12 entscheidet,
ob die Anforderung persönlicher
Informationen von einer authentischen Dienst-Bereitstellervorrichtung 13 stammt,
indem das Beschreibungsformat der Anforderung für persönliche Informationen geprüft wird.
Wenn sich das Beschreibungsformat von dem zu erwartenden unterscheidet,
entscheidet die Dienst-Benutzervorrichtung 12, dass die
Anforderung für
persönliche
Informationen eine unberechtigte Anforderung ist, die von einem
Dritten ausgegeben wird, der versucht, sich als der Dienstbereitsteller auszugeben,
und sendet daher die persönlichen
Teilinformationen nicht. Hierbei wird von der Annahme ausgegangen,
dass der Dienst-Benutzervorrichtung 12 das richtige Format,
in dem die Anforderung beschrieben werden muss, im voraus von der
Verifizierungsvorrichtung 11 für persönliche Informationen mitgeteilt
wird. Hierbei kann diese Verifizierung der Anforderung für persönliche Informationen
auf Basis einer digitalen Signatur, die an die Anforderung angehängt ist,
anstelle auf Basis des Beschreibungsformates der Anforderung durchgeführt werden.
In diesem Fall kann der Dienstbereitsteller eine Anforderung nutzen,
die bereits verifiziert worden ist und an die von der Verifizierungsvorrichtung 11 für persönliche Informationen
eine digitale Signatur angehängt worden
ist. Weiterhin kann der Dienst-Benutzervorrichtung 12 von
der Verifizierungsvorrichtung 11 für persönliche Informationen im voraus
ein öffentlicher Schlüssel übergeben
werden, der für
das Verifizieren der Signatur zu verwenden ist.
-
6 zeigt
schematisch eine Beispielstruktur der persönlichen Teilinformationen 600.
Die Figur veranschaulicht beispielhaft den Inhalt der persönlichen
Teilinformationen, wenn die vier Elemente „Name", „Telefonnummer", „Anschrift" und „Kreditkartennummer" aus allen Elementen
der signierten persönlichen
Informationen von einer Anforderung für persönliche Informationen benannt
werden.
-
(4) Verifiziere die persönlichen
Informationen auf Basis der Benutzer-Kennnummer und der Signatur.
-
Die
Dienst-Bereitstellervorrichtung 13, die die persönlichen
Teilinformationen empfangen hat, entschlüsselt die persönlichen
Teilinformationen und verifiziert danach die persönlichen
Teilinformationen auf Basis der Benutzer-Kennnummer und der Signatur.
Das Verifizierungsverfahren wird an späterer Stelle ausführlicher
Beschrieben werden.
-
(5) Stelle Dienste bereit.
-
Wenn
die Verifizierung der persönlichen
Teilinformationen erfolgreich ist, stellt die Dienst-Bereitstellervorrichtung 13 Dienste
an die Dienst-Benutzervorrichtung 12 bereit. Beispiele
von bereitzustellenden Diensten sind unter anderem die Verteilung
von digitalem Musikgehalt über
ein Netzwerk.
-
[Aufbau einer jeden Vorrichtung]
-
Im
Folgenden wird der Aufbau einer jeden der Vorrichtungen (der Verifizierungsvorrichtung 11 für persönliche Informationen,
der Dienst-Benutzervorrichtung 12 und der Dienst-Bereitstellervorrichtung 13),
die die oben beschriebene Verarbeitung des Dienst-Bereitstellungssystems 1 ausführen, ausführlich beschrieben
werden.
-
[Aufbau der Verifizierungsvorrichtung 11 für persönliche Informationen]
-
Der
Verifizierungsvorrichtung 11 für persönliche Informationen führt nur
Verarbeitung in Bezug auf das Verifizierungsverfahren für persönliche Informationen
durch.
-
7 ist
ein Blockschema und zeigt den Aufbau der Verifizierungsvorrichtung 11 für persönliche Informationen.
Die Verifizierungsvorrichtung 11 für persönliche Informationen umfasst
eine Sende-Empfangs-Einheit 111, eine Verifizierungseinheit 112 für persönliche Informationen
und eine Signatur-Erzeugungseinheit 113. Die Sende-Empfangs-Einheit 111 sendet
und empfängt
Daten (persönliche
Informationen des Benutzers, die noch zu verifizieren sind, signierte
persönliche
Informationen, die bereits verifiziert worden sind u. s. w.) zu
beziehungsweise von der Dienst-Benutzervorrichtung 12.
Die Verifizierungsvorrichtung 112 für persönliche Informationen verifiziert
persönliche
Informationen, die von der Dienst-Benutzervorrichtung 12 empfangen
worden sind. Die Signatur-Erzeugungseinheit 113 hängt Signaturdaten,
die die Authentizität
persönlicher
Informationen garantieren, an die verifizierten persönlichen
Informationen an, um auf diese Weise signierte persönliche Informationen
zu erzeugen.
-
(Sende-Empfangs-Einheit 111)
-
Die
Sende-Empfangs-Einheit 111 sendet und empfängt Daten
zu und von einer externen Vorrichtung. Insbesondere empfängt die
Sende-Empfangs-Einheit 111 persönliche Informationen eines Benutzers
von der Dienst-Benutzervorrichtung 12 und sendet signierte
persönliche
Informationen, die verifiziert worden sind, an die Dienst-Benutzervorrichtung 12.
Zum Senden und Empfangen persönlicher
Informationen (sowohl bereits verifizierter als auch noch zu verifizierender)
verschlüsselt
die Sende-Empfangs-Einheit 111 die
Daten, um diese vertraulich zu behandeln. Insbesondere führt die
Sende-Empfangs-Einheit 111 vertrauliche Kommunikation auf
Basis des SSL-Protokolls
durch.
-
(Verifizierungseinheit 112 für persönliche Informationen)
-
Die
Verifizierungseinheit 112 für persönliche Informationen verifiziert
die persönlichen
Informationen des Benutzers, die von der Sende-Empfangs-Einheit 111 empfangen
worden sind (das heißt entscheidet,
ob der Benutzer, der die persönlichen
Informationen gesendet hat, authentifiziert werden kann). Die Verifizierung
kann durchgeführt
werden, indem die persönlichen
Informationen, die von dem Benutzer gesendet worden sind, mit der
gleichen Art von Informationen, die ein Verwalter, der zu dem Authentifizierungszentrum
gehört,
aus einer zuverlässigen
externen Informationsquelle erhalten hat und in die Verifizierungseinheit 112 für persönliche Informationen
eingegeben hat, verglichen werden. Die Informationen, mit denen
die persönlichen
Informationen verglichen werden, können insbesondere Informationen
sein, die auf einer Ansässigkeitsbescheinigung geschrieben
sind, die von dem Benutzer dorthin gesendet wird, oder aber Benutzer-Informationen
(einschließlich
einer Kreditkartennummer), die von einer Kreditkartengesellschaft
mit der Zustimmung des Benutzers eingeholt werden.
-
(Signatur-Erzeugungseinheit 113)
-
Die
Signatur-Erzeugungseinheit 113 hängt eine digitale Signatur
an die persönlichen
Informationen an, die von der Verifizierungseinheit 112 für persönliche Informationen
verifiziert worden sind. Die Signatur-Erzeugungseinheit 113 empfängt zunächst die
persönlichen
Informationen von der Verifizierungseinheit 112 für persönliche Informationen
und erzeugt danach eine für
den Benutzer eindeutige Benutzer-Kennnummer und hängt die
erzeugte Benutzer-Kennnummer an den Kopf eines jeden Elementes der
persönlichen
Informationen an.
-
Danach
erzeugt die Signatur-Erzeugungseinheit 113 eine digitale
Signatur für
ein jedes Element der persönlichen
Informationen, an das die Benutzer-Kennnummer angehängt worden
ist, und hängt
die erzeugte digitale Signatur an ein jedes Element an. Ein Verfahren
zum Erzeugen einer digitalen Signatur ist hierbei ein Verschlüsselungsverfahren mit öffentlichem
Schlüssel
(zum Beispiel das ElGamal-Verschlüsselungsverfahren).
Insbesondere verwendet die Signatur-Erzeugungseinheit 113 einen privaten
Signierschlüssel.
Der private Signierschlüssel
wird im voraus in einem Bereich gespeichert, der keine Bezugnahme
von außerhalb
erlaubt. Unter Verwendung des privaten Signierschlüssels erzeugt die
Signatur-Erzeugungseinheit 113 eine digitale Signatur für ein jedes
Element auf Basis von verketteten Daten der Benutzer-Kennnummer
und des entsprechenden Elementes. Hierbei ist zu beachten, dass ein öffentlicher
Signierschlüssel,
der diesem privaten Signierschlüssel
entspricht, im voraus an eine jede Dienst-Bereitstellervorrichtung 13 in
dem Dienst-Bereitstellungssystem 1 verteilt
wird.
-
Die
digitale Signatur wird für
ein jedes Element der persönlichen
Informationen auf die oben beschriebene Art und Weise erzeugt, auf
Basis des Inhaltes des Elementes und der Benutzer-Kennnummer, deren
Werte in Abhängigkeit
von einem jeden Benutzer unterschiedlich sind. Infolgedessen unterscheidet
sich der Wert der digitalen Signatur in Abhängigkeit von einem jeden Benutzer.
Weiterhin unterscheidet sich der Wert der digitalen Signatur auch in
Abhängigkeit
von einem jeden Element der signierten persönlichen Informationen für einen
Benutzer.
-
[Aufbau der Dienst-Benutzervorrichtung 12]
-
Die
Dienst-Benutzervorrichtung 12 führt Verarbeitung in Bezug sowohl
auf das Verifizierungsverfahren für persönliche Informationen als auch
auf das Dienst-Bereitstellungsverfahren
durch.
-
8 zeig
en Aufbau der Dienst-Benutzervorrichtung 12.
-
Die
Dienst-Benutzervorrichtung 12 umfasst eine Sende-Empfangs-Einheit 121,
eine Speicherkarte 123 und eine Speicherkarten-Steuereinheit 122.
Die Sende-Empfangs-Einheit 121 sendet
und empfängt
Daten zu und von der Verifizierungsvorrichtung 11 für persönliche Informationen
und der Dienst-Bereitstellervorrichtung 13. Die Speicherkarte 123 dient
dem Speichern signierter persönlicher
Informationen. Die Speicherkarten-Steuereinheit 122 steuert
die Speicherkarte 123. Die Speicherkarte 123 ist
loslösbar
in einem Steckplatz der Dienst-Benutzervorrichtung 12 eingeführt.
-
(Sende-Empfangs-Einheit 121)
-
In
dem Verifizierungsverfahren für
persönliche
Informationen sendet und empfängt
die Sende-Empfangs-Einheit 121 persönliche Informationen, die noch
zu verifizieren sind, und persönliche
Informationen, die bereits verifiziert worden sind, zu und von der
Verifizierungsvorrichtung 11 für persönliche Informationen. In dem
Dienst-Bereitstellungsverfahren
sendet und empfängt
die Sende-Empfangs-Einheit 121 verschiedene Arten von Informationen
(eine Anforderung für
persönliche
Informationen, persönliche
Teilinformationen und Dienstinhalt) zu und von der Dienst-Bereitstellervorrichtung 13.
In beiden Verfahren führt
die Sende-Empfangs-Einheit 121 vertrauliche Kommunikation
auf Basis des SSL-Protokolls für
Senden und Empfangen durch.
-
(Speicherkarten-Steuereinheit 122)
-
Die
Speicherkarten-Steuereinheit 122 verwaltet die Eingabe
und Ausgabe von signierten persönlichen
Informationen zu und von der Speicherkarte 123. In dem
Verifizierungsverfahren für
persönliche
Informationen speichert die Speicherkarten-Steuereinheit 122 signierte
persönliche
Informationen in der Speicherkarte 123. Insbesondere entschlüsselt die
Speicherkarten-Steuereinheit 122 die signierten persönlichen
Informationen, die als verschlüsselt
empfangen worden sind, und gibt danach die entschlüsselten
signierten persönlichen
Informationen zusammen mit einer Anweisung zur Speicherung der entschlüsselten
signierten persönlichen
Informationen an die Speicherkarte 123 aus.
-
In
dem Dienst-Bereitstellungsverfahren liest die Speicherkarten-Steuereinheit 122 persönliche Informationen
aus der Speicherkarte 123 aus. Insbesondere erfasst die
Speicherkarten-Steuereinheit 122 zuerst über die
Sende-Empfangs-Einheit 121 eine Anforderung für persönliche Informationen,
die die Dienst-Bereitstellervorrichtung 13 als Reaktion auf
eine Dienstanforderung gesendet hat. Danach analysiert die Speicherkarten-Steuereinheit 122 die Anforderung
für persönliche Informationen
und identifiziert Elemente, die von der Dienst-Bereitstellervorrichtung 13 als
angefordert benannt werden. Die Speicherkarten-Steuereinheit 122 sendet
eine Anweisung zur Ausgabe der persönlichen Informationen an die
Speicherkarte 123 zusammen mit Informationen, die die Elemente
auflisten.
-
(Speicherkarte 123)
-
Die
Speicherkarte 123 umfasst einen IC-Kartenchip, in dem ein
Programm ausgeführt
werden kann. Die Funktionen der Speicherkarte 123 dienen nicht
nur der Speicherung signierter persönlicher Informationen, sondern
auch der internen Ausführung von
Verarbeitung in Bezug auf die Eingabe und Ausgabe als Reaktion auf
eine von der Speicherkarten-Steuereinheit 122 gesendete
Anweisung.
-
9 ist
ein Blockschaltbild und zeigt den Aufbau der Speicherkarte 123.
Die Speicherkarte 123 kann einen IC-Kartenchip umfassen,
der manipulationssicher ist (das heißt gegen unberechtigten Zugriff
geschützt
ist). Der IC-Kartenchip hat die Funktionen des Speicherns und Ausführens von
Programmen. Die Speicherkarte 123 umfasst einen geschützten Speicherbereich 124,
der manipulationsgeschützt
ist (IC-Kartenchip) und einen allgemeinen Speicherbereich 125,
der eine große
Speicherkapazität
hat. In dem geschützten
Speicherbereich 124 sind eine Verschlüsselungs-/Entschlüsselungseinheit 126 und
eine Schlüssel-Erzeugungseinheit 127 vorhanden.
Die Verschlüsselungs-/Entschlüsselungseinheit 126 führt Verschlüsselungs-
und Entschlüsselungsverfahren
der signierten persönlichen Informationen
aus. Die Schlüssel-Erzeugungseinheit 127 erzeugt
Schlüssel
für Gebrauch
in den Verschlüsselungs-
und Entschlüsselungsverfahren.
Der geschützte
Speicherbereich 124 umfasst weiterhin einen Schlüssel-Speicherbereich 128 zum
Speichern von Schlüsseln.
Hierbei ist zu beachten, dass die Verschlüsselungs-/Entschlüsselungseinheit 126 und die
Schlüssel-Erzeugungseinheit 127 durch
Programme ausgeführt
werden, die in dem geschützten Speicherbereich 124 gespeichert
sind. Diese Programme werden durch eine Arithmetikeinheit (nicht gezeigt)
ausgeführt,
die intern in der Speicherkarte 122 vorhanden ist, um als
die Verschlüsselungs-/Entschlüsselungseinheit 126 und
die Schlüssel-Erzeugungseinheit 127 zu
wirken. Im Folgenden wird der Inhalt der Verarbeitung, die durch
jede der oben beschriebenen Hauptkomponenten in dem Verifizierungsverfahren
für persönliche Informationen
und in dem Dienst-Bereitstellungsverfahren auszuführen ist,
beschrieben werden.
-
(Entschlüsselungs-/Verschlüsselungseinheit 126)
-
In
dem Verifizierungsverfahren für
persönliche
Informationen verschlüsselt
die Verschlüsselungs-/Entschlüsselungseinheit 126 signierte
persönliche
Informationen, die von der Speicherkarten-Steuereinheit 122 übertragen
werden, und speichert die verschlüsselten signierten persönlichen
Informationen in den allgemeinen Speicherbereich 125. Insbesondere
weist die Verschlüsselungs-/Entschlüsselungseinheit 126 die
Schlüssel-Erzeugungseinheit 127 an,
einen Schlüssel
zu erzeugen, wenn sie die signierten persönlichen Informationen von der Speicherkarten-Steuereinheit 122 empfängt. Bei Empfang
des erzeugten Verschlüsselungsschlüssels von
der Schlüssel-Erzeugungseinheit 127 verschlüsselt die
Verschlüsselungs-/Entschlüsselungseinheit 126 somit
die signierten persönlichen
Informationen unter Verwendung dieses Verschlüsselungsschlüssels und
speichert die verschlüsselten
signierten persönlichen
Informationen in den allgemeinen Speicherbereich 125.
-
In
dem Dienst-Bereitstellungsverfahren entschlüsselt die Verschlüsselungs-/Entschlüsselungseinheit 126 die
gespeicherten signierten persönlichen
Informationen und gibt die entschlüsselten signierten persönlichen
Informationen als Reaktion auf eine Anforderung von der Speicherkarten-Steuereinheit 122 aus.
Insbesondere liest die Verschlüsselungs-/Entschlüsselungseinheit 126 beim
Empfang der Anforderung von der Speicherkarten-Steuereinheit 122 einen
Entschlüsselungsschlüssel aus
dem Schlüssel-Speicherbereich 128 und
die verschlüsselten
signierten persönlichen
Informationen aus dem allgemeinen Speicherbereich 125 aus.
Danach entschlüsselt
die Verschlüsselungs-/Entschlüsselungs-Einheit 126 die
signierten persönlichen
Informationen unter Verwendung des Entschlüsselungsschlüssels. Hierbei
werden nur die von der Speicherkarten-Steuereinheit 122 benannten
Elemente der signierten persönlichen
Informationen gelesen und entschlüsselt. Die Verschlüsselungs-/Entschlüsselungs-Einheit 126 sendet
die entschlüsselten
signierten persönlichen
Informationen an die Speicherkarten-Steuereinheit 122.
-
(Schlüssel-Erzeugungseinheit 127)
-
Die
Schlüssel-Erzeugungseinheit 127 führt Verarbeitung
ausschließlich
in dem Verifizierungsverfahren für
persönliche
Informationen aus. Die Schlüssel-Erzeugungseinheit 127 erzeugt
einen Verschlüsselungsschlüssel und
einen Entschlüsselungsschlüssel für signierte
persönliche
Informationen als Reaktion auf eine Anweisung, die von der Verschlüsselungs-/Entschlüsselungseinheit 126 gesendet
wird. Danach sendet die Schlüssel-Erzeugungseinheit 127 den
Verschlüsselungsschlüssel an
die Verschlüsselungs-/Entschlüsselungseinheit 126 und
speichert den Entschlüsselungsschlüssel in
dem Schlüssel-Speicherbereich 128.
Der Schlüssel-Speicherbereich 128 ist
in dem geschützten
Speicherbereich 124 beinhaltet und daher kann auf den darin
gespeicherten Entschlüsselungsschlüssel von
außerhalb der
Karte nicht direkt zugegriffen werden. Das hierbei angewendete Datenverschlüsselungsverfahren
kann entweder ein Verschlüsselungsverfahren
mit öffentlichem
Schlüssel
oder ein Verschlüsselungsverfahren mit
privatem Schlüssel
sein. Zum Beispiel kann das DES-Verschlüsselungsverfahren (Data Encryption Standard)
verwerdet werden, welches eine Art von Verschlüsselungsverfahren mit privatem
Schlüssel ist.
In dem Fall, in dem ein Verschlüsselungsverfahren
mit privatem Schlüssel
verwendet wird, sind der Verschlüsselungsschlüssel und
der Entschlüsselungsschlüssel identisch.
Hierbei ist zu beachten, dass das DES-Verschlüsselungsverfahren zum Beispiel
in „Gendai
Ango (Modern Cryptography)" (Sangyo
Tosho), verfasst von Tatsuaki Okamoto und Hiroshi Yamamoto, beschrieben
wird.
-
[Aufbau der Dienst-Bereitstellervorrichtung
13]
-
Die
Dienst-Bereitstellervorrichtung 13 führt Verarbeitung in dem Dienst-Bereitstellungsverfahren aus.
-
10 zeigt
den Aufbau der Dienst-Bereitstellervorrichtung 13. Die
Dienst-Bereitstellervorrichtung 13 beinhaltet
eine Sende-/Empfangs-Einheit 131, eine Signatur-Verifizierungseinheit 132 und
eine Speichervorrichtung 133. Die Sende-/Empfangs-Einheit 131 sendet
und empfängt
Daten zu und von der Dienst-Benutzervorrichtung 12. Die
Signatur-Verifizierungseinheit 132 verifiziert signierte
persönliche Informationen,
die von der Dienst-Benutzervorrichtung 12 zusammen mit
einer Dienstanforderung gesendet werden. Die Speichervorrichtung 133 speichert
Dienstinhalt, der bereitzustellen ist.
-
Die
Sende-/Empfangs-Einheit 131 empfängt eine Dienstanforderung
von der Dienst-Benutzervorrichtung 12. Als Reaktion auf
die Dienstanforderung sendet die Sende-/Empfangs-Einheit 131 eine
Anforderung für
persönliche
Informationen an die Dienst-Benutzervorrichtung 12 und
empfängt
persönliche
Teilinformationen von der Dienst-Benutzervorrichtung 12.
Bei Empfang der angeforderten persönlichen Teilinformationen sendet
die Sende-/Empfangs-Einheit 131 die persönlichen
Teilinformationen an die Signatur-Verifizierungseinheit 132.
Wenn die Verifizierung der persönlichen
Teilinformationen durch die Signatur-Verifizierungseinheit 132 erfolgreich
ist, liest die Sende-/Empfangs-Einheit 131 Dienstinhalt,
der von der Speichervorrichtung 133 angefordert wird, und
sendet den Dienstinhalt an die Dienst-Benutzervorrichtung 12.
Wenn die Verifizierung der persönlichen
Teilinformationen durch die Signatur-Verifizierungseinheit 132 fehlschlägt, sendet die
Sende-/Empfangs-Einheit 131 eine Fehlermeldung an die Dienst-Benutzervorrichtung 12.
Hierbei ist zu beachten, dass wenn der Dienstinhalt an die Dienst-Benutzervorrichtung 12 gesendet
wird, die Sende-/Empfangs-Einheit 131 solche Informationen, die
für die
Rechnungslegung einer Dienstgebühr
erforderlich sind (das heißt
den Benutzernamen, die Kreditkartennummer und den bereitgestellten
Dienstin den bereitgestellten Dienstinhalt), in eine historische
Datenbank eingibt, die in der Figur nicht gezeigt wird. Auf solche
Informationen wird später
zu dem Zeitpunkt der Dienstgebührenbegleichung
beschrieben Bezug genommen werden.
-
Die
Signatur-Verifizierungseinheit 132 analysiert die Dienstanforderung,
die die Sende-/Empfangs-Einheit 131 von der Dienst-Benutzervorrichtung 12 empfangen
hat, und bestimmt Elemente von persönlichen Informationen, die
für die
angeforderte Dienstbereitstellung erforderlich sind. Danach erzeugt
die Signatur-Verifizierungseinheit 132 eine Anforderung
für persönliche Informationen
zum Anfordern der Elemente und sendet die Anforderung für die erzeugten
persönlichen
Informationen an die Sende-/Empfangs-Einheit 131, um die Sende-/Empfangs-Einheit 131 anzuweisen,
diese Elemente an die Dienst-Benutzervorrichtung 12 zu
senden.
-
Danach
erfasst die Signatur-Verifizierungseinheit 132 die von
der Dienst-Benutzervorrichtung 12 gesendeten
angeforderten persönlichen
Teilinformationen über
die Sende-/Empfangs-Einheit 131. Danach verifiziert die
Signatur-Verifizierungseinheit 132 die persönlichen
Teilinformationen auf Basis der angehängten Signatur und Benutzerkennung.
-
Um
die persönlichen
Teilinformationen zu verifizieren, führt die Signatur-Verifizierungseinheit 13 die
folgende „Signaturverifizierung" und „Benutzerkennungsabgleich" durch. Insbesondere
entscheidet die Signatur-Verifizierungseinheit 132 zuerst,
ob ein jedes Element der persönlichen
Teilinformationen durch die Verifizierungsvorrichtung 11 für persönliche Informationen
verifiziert worden ist (Signatur-Verifizierung). Als dieses Entscheidungsverfahren
wird ein hinlänglich
bekanntes Verfahren unter Verwendung eines öffentlichen Signierschlüssels verwendet.
Dieser öffentliche
Signierschlüssel
wird von der Verifizierungseinheit 11 für persönliche Informationen im voraus
verteilt. Insbesondere entscheidet die Signatur-Verifizierungseinheit 132,
ob die Beziehung zwischen (a) dem öffentlichen Signierschlüssel, (b)
dem „Signaturdaten"-Teil 430 (siehe 4),
der an ein jedes Element angehängt
worden ist, und (c) Daten, auf denen die Signatur basiert (das heißt die verketteten
Daten des „Benutzerkennungs"-Teiles 420 und des „Hauptdaten"-Teiles 410)
eine vorbestimmte Beziehung erfüllt,
die als „Signatur-Verifizierungsausdruck" bezeichnet wird.
-
Die
Signatur-Verifizierungseinheit 132 entscheidet weiterhin,
ob ein jedes Element der persönlichen
Teilinformationen die gleiche Benutzerkennnummer erhalten hat (Benutzerkennungs-Abgleich). Da
die oben genannte Benutzerverifizierung nur die Authentizität eines
jeden einzelnen Elements anzeigen kann, muss dieser Benutzerkennungs-Abgleich mit
dem Ziel durchgeführt
werden, signierte persönliche
Informationen zu erkennen, die durch ein Verfahren des Extrahierens
einiger Elemente aus einer Vielzahl von signierten persönlichen
Informationen des Benutzers und des Kombinierens dieser Elemente gefälscht worden
sind. Um solche gefälschten
signierten persönlichen
Informationen zu erkennen, wird eine Beurteilung durchgeführt, ob
die an alle Elemente der persönlichen
Teilinformationen angehängten Benutzerkennungen übereinstimmen.
Wenn entschieden wird, dass die an alle Elemente angehängten Benutzerkennungen
nicht übereinstimmen,
bestimmt die Signatur-Verifizierungseinheit 132, dass die
signierten persönlichen
Informationen gefälscht worden
sind, da sie Elemente beinhalten, die aus den signierten persönlichen
Informationen mehrerer Benutzer extrahiert worden sind.
-
Wenn
die Verifizierung der signierten persönlichen Informationen durch
die Signatur-Verifizierungseinheit 132 unter Verwendung
entweder der Signaturverifizierung oder des Benutzerkennungs-Abgleichs
fehlschlägt,
sendet die Signatur-Verifizierungseinheit 132 eine
Nachricht, die anzeigt, dass eine unberechtigte Handlungsweise erkannt
worden ist, an die Sende-/Empfangs-Einheit 131 und weist die
Sende-Empfangs-Einheit 131 an, eine Fehlermeldung an die
Dienst-Benutzervorrichtung 12 zu senden.
-
[Schlussfolgerungen]
-
In
dem Dienst-Bereitstellungssystem 1, das das vorliegende
Ausführungsbeispiel
wie oben beschrieben betrifft, verifiziert die Verifizierungsvorrichtung 11 für persönliche Informationen
persönliche
Informationen, hingt eine Signatur an die verifizierten persönlichen
Informationen an, um signierte persönliche Informationen zu erzeugen,
und gibt danach die signierten persönlichen Informationen an die Dienst-Benutzervorrichtung 12 zurück, anstelle
zentraler Verwaltung von signierten persönlichen Informationen auf herkömmliche
Weise. Insbesondere werden signierte persönliche Informationen für einen jeden
Benutzer in der von einem jeden Benutzer verwalteten Dienst- Benutzervorrichtung 12 gespeichert. Im
Gegensatz zu herkömmlichen
Systemen ist das Dienst-Bereitstellungssystem 1 daher frei
von solchen Sicherheitsproblemen, wie dem bekannt werden von persönlichen
Informationen gleichzeitig für eine
große
Anzahl von Benutzern von dem Authentifizierungszentrum. Weiterhin
kann das Dienst-Bereitstellungssystem 1 verbesserte
Systemstabilität
aufweisen, da die Dienst-Benutzervorrichtung 12 in
dem System 1 nicht auf das Authentifizierungszentrum zugreifen
muss, wenn es Dienste benutzt.
-
Weiterhin
werden die signierten persönlichen
Informationen in der Dienst-Benutzervorrichtung 12 verschlüsselt und
danach in der Speicherkarte gespeichert, und ihr Entschlüsselungsschlüssel wird
in einem Bereich gespeichert, der keine Bezugnahme von außerhalb
erlaubt. Auf diese Weise wird die Sicherheit der signierten persönlichen
Informationen strikt geschützt.
Daher bewirkt der Umstand, dass der Verwalter der signierten persönlichen
Informationen von dem Authentifizierungszentrum auf den Benutzer
umgestellt wird, keine Verschlechterung oder Verringerung der Zuverlässigkeit
der signierten persönlichen
Informationen in dem Dienst-Bereitstellungssystem 1 unter
die in den herkömmlichen
Systemen.
-
Weiterhin
wird eine für
einen Benutzer eindeutige Benutzerkennnummer an ein jedes Element der
signierten persönlichen
Informationen für
den Benutzer angehängt.
Nehmen wir zum Beispiel an, dass ein Dritter versucht, signierte
persönliche
Informationen für
eine Person zu fälschen,
die nicht wirklich existiert, indem er einen Namen eines Benutzers
A und eine Anschrift eines Benutzers B kombiniert, mit der Absicht,
Dienste unberechtigt zu empfangen. Selbst wenn ein solcher Versuch
unternommen wird, stimmen die an alle Elemente der gefälschten
signierten persönlichen
Informationen angehängten
Benutzerkennnummern nicht überein,
und somit kann die unberechtigte Handlungsweise erkannt werden. Auf
diese Weise wird die Zuverlässigkeit
der signierten persönlichen
Informationen aus der Sicht des Dienstbereitstellers verbessert.
-
Weiterhin
werden die signierten persönlichen
Informationen in der Speicherkarte gespeichert, welche abnehmbar
ist. Wenn die Dienst-Benutzervorrichtung daher aufgrund einer Betriebsstörung oder ähnlichem
gegen eine neue Vorrichtung ausgetauscht werden muss, muss der Benutzer
lediglich die Speicherkarte auf die neue Vorrichtung übertragen.
Indem er dies tut, kann der Benutzer sofort Dienste unter Verwendung
der neuen Vorrichtung empfangen.
-
In
herkömmlichen
Dienst-Bereitstellungssystemen muss die Dienst-Benutzervorrichtung jedes Mal, wenn
sie Dienste empfängt,
auf das Authentifizierungszentrum zugreifen. In solchen Systemen kann
das Authentifizierungszentrum Informationen über den Zustand oder Status
der Dienstbenutzung erhalten, wie zum Beispiel Informationen zu
der Häufigkeit
und zu den Arten von Dienstbereitstellern, die ein jeweiligen Benutzer
benutzt (das heißt
die Präferenz
eines jeden Dienstbenutzers, die Absatzleistung eines jeden Dienstbereitstellers
u. s. w.). In dem Dienst-Bereitstellungssystem 1,
das das vorliegende Ausführungsbeispiel
betrifft, muss die Dienst-Benutzervorrichtung jedoch nicht auf das
Authentifizierungszentrum zugreifen, wenn sie Dienste empfängt, und
somit besteht keine Möglichkeit
für das
Authentifizierungszentrum, die genannten Informationen zu erhalten.
Dementsprechend müssen
die Dienst-Benutzer und die Dienstbereitsteller nicht befürchten, dass
Informationen über
das Authentifizierungszentrum bekannt werden. Dieses System 1 ist
daher zuverlässiger
für die
Dienstbereitsteller als herkömmliche
Systeme.
-
Modifiziertes Beispiel
-
In
dem Dienst-Bereitstellungssystem 1, das das oben beschriebene
Ausführungsbeispiel
betrifft, werden die signierten persönlichen Informationen in der
Dienst-Benutzervorrichtung 12 strikt
geschützt. Jedoch
besteht selbst bei diesem System 1 die Möglichkeit,
dass die signierten persönlichen
Informationen durch einen Dritten unter Verwendung solcher Mittel,
wie zum Abhören,
gestohlen werden. Wenn dies geschieht, kann sich der Dritte als
der Benutzer ausgeben, indem er die gestohlenen signierten persönlichen
Informationen an die Dienst-Bereitstellervorrichtung übergibt.
-
Um
einen solchen Dritten, dem es gelungen ist, signierte persönliche Informationen
zu stehlen, daran zu hindern, sich mit den gestohlenen Informationen
als der Benutzer auszugeben, legt das vorliegende modifizierte Beispiel
ein Dienst-Bereitstellungssystem
offen, in dem ein Dienstbereitsteller eine Sendequelle von persönlichen
Informationen durch ein Authentifizierungsverfahren auf Basis eines
Verschlüsselungsverfahren
mit öffentlichem
Schlüssel authentifizieren
kann.
-
Im
Folgenden werden die Merkmale des Dienst-Bereitstellungssystems,
das das vorliegende modifizierte Beispiel betrifft, beschrieben.
Die Dienst-Benutzervorrichtung erzeugt im voraus ein Paar aus öffentlichem
und privatem Schlüssel,
die für Vorrichtungs-Authentifizierung
zu verwenden sind, die erforderlich ist, bevor Dienste empfangen
werden. Die Verifizierungsvorrichtung für persönliche Informationen verifiziert
im voraus den öffentlichen Schlüssel für Zwecke
der Vorrichtungs-Authentifizierung
(öffentlicher
Authentifizierungsschlüssel)
als ein Element persönlicher
Informationen. Zum Empfangen von Diensten sendet die Dienst-Benutzervorrichtung
signierte persönliche
Informationen, einschließlich
des öffentlichen
Authentifizierungsschlüssels,
an den Dienstbereitsteller. Der Dienstbereitsteller stellt Dienste
erst nach der Authentifizierung der Dienst-Benutzervorrichtung an
die Dienst-Benutzervorrichtung bereit.
-
Als
die für
das vorliegende modifizierte Beispiel eindeutige Konstruktion umfasst
die Dienst-Benutzervorrichtung zusätzlich eine Authentifizierungsschlüssel-Erzeugungseinheit.
Die Authentifizierungsschlüssel-Erzeugungseinheit
erzeugt ein Paar aus öffentlichem
und privatem Schlüssel
für Zwecke
der Vorrichtungs-Authentifizierung, zu dem Zeitpunkt, wenn der Benutzer
persönliche
Informationen eingibt, die zu verifizieren sind. Weiterhin führt die
in der Dienst-Bereitstellervorrichtung beinhaltete Signatur-Verifizierungseinheit
Verarbeitung von Authentifizieren der Sendequelle der persönlichen
Informationen unter Verwendung des öffentlichen Authentifizierungsschlüssels zusätzlich zu
der in dem obenstehenden Ausführungsbeispiel
beschriebenen Verarbeitung aus.
-
Im
Folgenden werden das Verifizierungsverfahren für persönliche Informationen und das Dienst-Bereitstellungsverfahren
in dem vorliegenden modifizierten Beispiel unter Bezugnahme auf
die Zeichnungen beschrieben. Hierbei ist zu beachten, dass Teile
dieser Verfahren, die sich mit den in dem obenstehenden Ausführungsbeispiel
beschriebenen überschneiden,
an dieser Stelle nicht beschrieben werden.
-
11 zeigt
das Verifizierungsverfahren für persönliche Informationen
in dem vorliegenden modifizierten Beispiel.
-
Die
für das
vorliegende modifizierte Beispiel eindeutige Verarbeitung ist die
Verarbeitung (1a) des Erzeugens von Authentifizierungsschlüsseln. Hierbei erzeugt
die Authentifizierungsschlüssel-Erzeugungseinheit,
die Eingabe von persönlichen
Informationen von dem Benutzer empfangen hat, ein Paar aus öffentlichem
und privatem Authentifizierungsschlüssel auf Basis des Verschlüsselungsverfahrens
für öffentlichen
Schlüssel.
Danach sendet die Authentifizierungsschlüssel-Erzeugungseinheit den öffentlichen Authentifizierungsschlüssel und
die persönlichen
Informationen an die Verifizierungsvorrichtung für persönliche Informationen. Andererseits
speichert die Authentifizierungsschlüssel-Erzeugungseinheit den privaten
Authentifizierungsschlüssel
in den Schlüssel-Speicherbereich 128 (siehe 9),
der in dem geschützten
Speicherbereich 124 in der Speicherkarte 123 beinhaltet
ist. Hierbei können
beliebige Arten von Verschlüsselungsverfahren
für öffentlichen Schlüssel eingesetzt
werden. Zum Beispiel kann ein ElGamal-Verschlüsselungsverfahren eingesetzt
werden.
-
Die
Verarbeitung (2) und die Verarbeitung (3), die danach von der Verifizierungseinrichtung 11 für persönliche Informationen
auszuführen
sind, sind die gleichen wie diejenigen, die in dem obenstehenden
Ausführungsbeispiel
beschrieben werden. Der öffentliche
Authentifizierungsschlüssel
wird auf die gleiche Weise behandelt wie die anderen Elemente von
persönlichen
Informationen.
-
Die 12A und 12B zeigen
eine Beispielstruktur von persönlichen
Informationen in dem vorliegenden modifizierten Beispiel. 12A zeigt persönliche
Informationen, die noch zu verifizieren und zu signieren sind. 12B zeigt persönliche
Informationen, die bereits verifiziert und signiert worden sind.
Die persönlichen
Informationen in dem modifizierten Beispiel unterscheiden sich von
den persönlichen
Informationen in dem obenstehenden Ausführungsbeispiel dahingehend,
dass sie zusätzlich Daten
1201 "öffentlicher
Authentifizierungsschlüssel" als ein Element
enthalten. Auf die gleiche Weise wie andere Elemente der persönlichen
Informationen wird zuerst eine Benutzer-Kennnummer an dieses erste
Element des öffentlichen
Authentifizierungsschlüssels
angehängt,
und danach wird eine digitale Signatur an das Element angehängt.
-
Die
Verarbeitung (4), die auszuführen
ist, nachdem die signierten persönlichen
Informationen an die Dienst-Benutzervorrichtung gesendet worden sind,
ist ebenfalls die gleiche wie die in dem obenstehenden Ausführungsbeispiel
beschriebene.
-
13 zeigt
das Dienst-Bereitstellungsverfahren in dem vorliegenden modifizierten
Beispiel.
-
Die
für das
vorliegende modifizierte Beispiel eindeutige Verarbeitung ist die
Verarbeitung (4a) der Vorrichtungs-Authentifizierung unter Verwendung
der Verschlüsselung
des öffentlichen
Schlüssels.
-
Die
Verarbeitung (1) der Ausgabe einer Dienstanforderung bis die Verarbeitung
(4) des Verifizierens persönlicher
Informationen auf Basis einer Kennnummer und einer Signatur sind
im Wesentlichen die gleichen wie die in dem obenstehenden Ausführungsbeispiel
beschriebenen. Hierbei ist zu beachten, dass in der Verarbeitung
(2) eine von der Dienst-Bereitstellervorrichtung an die Dienst-Benutzervorrichtung
gesendete Anforderung persönlicher Informationen
notwendigerweise den öffentlichen Authentifizierungsschlüssel als
ein Element benennt, das für
eine beliebige Dienstbereitstellung erforderlich ist.
-
Die
Verarbeitung (4a) wird durch die Signatur-Verifizierungseinheit
(siehe 10) ausgeführt, die in der Dienst-Bereitstellervorrichtung
enthalten ist. Die Signatur-Verifizierungseinheit
führt zuerst
die Verarbeitung (4) des Verifizierens der persönlichen Teilinformationen auf
Basis einer Benutzer-Kennnummer und Signatur aus und entscheidet
danach, ob die Sendequelle der persönlichen Informationen eine
authentische Dienst-Benutzervorrichtung ist (eine Vorrichtung, die
den entsprechenden privaten Authentifizierungsschlüssel speichert).
Als das Entscheidungsverfahren können
beliebige Arten von Verfahren auf Basis eines Verschlüsselungsverfahrens
mit öffentlichem
Schlüssel
eingesetzt werden. Ein Beispiel ist ein Verfahren, das in „9.4 Public
Key Cryptography – System
using Digital Signatures" in „Gendai
Ango (Modern Cryptogtaphy)" (Sangyo
Tosho), verfasst von Tatsuaki Okamoto und Hiroshi Yamamoto, beschrieben
wird.
-
In
dem Dienst-Bereitstellungsverfahren in dem vorliegenden modifizierten
Beispiel wird die Sendequelle der persönlichen Informationen unter Verwendung
eines Verschlüsselungsverfahrens
für öffentlichen
Schlüssel
authentifiziert. Daher ist das Empfangen von Diensten mit einer
Vorrichtung möglich,
die keinen privaten Authentifizierungsschlüssel speichert, der einem öffentlichen
Authentifizierungsschlüssel
entspricht, der in den signierten persönlichen Teilinformationen enthalten
ist. Dementsprechend und selbst wenn ein Dritter versucht, signierte persönliche Informationen
unberechtigt zu erhalten und sich als ein authentifizierter Dienst-Benutzer auszugeben,
in der Absicht, Dienste zu empfangen, schlägt ein solcher Versuch fehl.
Dies erhöht
die Zuverlässigkeit
der signierten persönlichen
Informationen in dem Dienst-Bereitstellungssystem
weiter. Nachdem ein privater Authentifizierungsschlüssel erzeugt
und gespeichert worden ist, ist weiterhin die Ausgabe des privaten
Authentifizierungsschlüssels aus
dem geschützten
Speicherbereich in dem Speicher nach außerhalb nicht zulässig, wodurch
das System sehr sicher sein kann.
-
Wenngleich
die vorliegende Erfindung beispielhaft und unter Bezugnahme auf
die anhängenden
Zeichnungen umfassend beschrieben worden ist, ist zu beachten, dass
verschiedene Änderungen und
Varianten für
den Durchschnittsfachmann ersichtlich sein werden. Außer wenn
die genannten Änderungen
und Varianten von dem Erfindungsbereich der vorliegenden Erfindung
abweichen, sollen dieselben daher als in derselben beinhaltet gelten.
-
Zum
Beispiel kann für
die signierten persönlichen
Informationen eine Ablaufzeit eingestellt werden. Insbesondere hängt die
Verifizierungsvorrichtung für
persönliche
Informationen Ablaufzeit-Informationen an die signierten persönlichen
Informationen an. Der Dienstbereitsteller bezieht sich auf die Ablaufzeit,
bevor er Dienste bereitstellt. Wenn die persönlichen Informationen abgelaufen
sind, gibt der Dienstbereitsteller eine Anforderung zur Erfassung neuer
signierter persönlicher
Informationen, die auf neuesten persönlichen Informationen basieren,
an die Dienst-Benutzervorrichtung, die die signierten persönlichen
Informationen gesendet hat, aus. Auf diese Weise kann die Zuverlässigkeit
der signierten persönlichen
Informationen weiter erhöht
werden.
-
Weiterhin
kann in dem Dienst-Bereitstellungsverfahren ein Verfahren des Entschlüsselns verschlüsselter
signierter persönlicher
Informationen, das in der Speicher karte auszuführen ist, erst eingeleitet
werden, wenn ein Passwort, das im voraus von dem Dienst-Benutzer
eingestellt worden ist, eingegeben wird. In diesem Fall und selbst
wenn die Dienst-Benutzervorrichtung mit der darin eingeführten Speicherkarte
von einem Dritten gestohlen wird, welcher das Passwort nicht kennt,
kann der Dritte keine Dienste unter Verwendung der in der Speicherkarte
gespeicherten persönlichen
Informationen empfangen. Dies erhöht die Sicherheit. Hierbei
können
biometrische Informationen des Dienst-Benutzers (wie zum Beispiel
ein Fingerabdruck, ein Iriscode und ein Sprachabdruck) anstelle
eines Passwortes verwendet werden.
-
Wenngleich
weiterhin das obenstehende Ausführungsbeispiel
den Fall beschreibt, in dem Datenübertragung zwischen der Verifizierungsvorrichtung
für persönliche Informationen
und der Dienst-Benutzervorrichtung sowie zwischen der Dienst-Benutzervorrichtung
und der Dienst-Bereitstellervorrichtung durch vertrauliche Kommunikation auf
Basis des SSL-Protokolls durchgeführt wird, kann die vertrauliche
Kommunikation durch andere Verfahren durchgeführt werden.
-
Wenngleich
weiterhin das obenstehende Ausführungsbeispiel
den Fall beschreibt, in dem die Übergabe
von persönlichen
Informationen zwischen der Verifizierungsvorrichtung 11 für persönliche Informationen
und der Dienst-Benutzervorrichtung 12 in dem
Verifizierungsverfahren für
persönliche
Informationen durch Datenübertragung über ein
Netzwerk durchgeführt
wird, kann die Übergabe
von persönlichen
Informationen durch andere Verfahren durchgeführt werden. Zum Beispiel kann
der Dienst-Benutzer die Dienst-Benutzervorrichtung 12 zu
dem Authentifizierungszentrum 1 bringen und Daten direkt
eingeben und ausgeben, indem er die Dienst-Benutzervorrichtung 12 und
die Verifizierungsvorrichtung 11 für persönliche Informationen betreibt.
Alternativ dazu können
persönliche
Informationen auf einer Speicherkarte aufgezeichnet werden, die
Speicherkarte, die die persönlichen
Informationen speichert, kann mit der Post zu dem Authentifizierungszentrum 1 gesendet
werden, und das Authentifizierungszentrum 1 kann die Speicherkarte
an den Benutzer zurückgeben.
In jedem Fall kann das bekannt werden von persönlichen Informationen über Kommunikationswege verhindert
werden. Das Dienst-Bereitstellungssystem,
in dem die Verifizierungsvorrichtung für persönliche Informationen und die
Dienst-Benutzervorrichtung nicht über ein Netzwerk verbunden
sind, ist ebenfalls möglich.
-
Weiterhin
kann der Dienst-Benutzer in die Lage versetzt werden, den Inhalt
einer Anforderung für
persönliche
Informationen zu überprüfen, bevor die
Dienst-Benutzervorrichtung
persönliche
Teilinformationen als Reaktion auf die von der Dienst-Bereitstellervorrichtung
gesendete Anforderung für
persönliche
Informationen sendet. Um dies umzusetzen, kann eine Schnittstelleneinheit
zusätzlich
in der Dienst-Benutzervorrichtung
beinhaltet sein. Die Schnittstelleneinheit kann den Anforderungsinhalt auf
dem Bildschirm anzeigen und eine Anweisung von dem Dienst-Benutzer
empfangen. Alternativ dazu kann die Schnittstelleneinheit im voraus
von dem Dienst-Benutzer
die Benennung oder Bezeichnung von Elementen empfangen, die von
dem Dienst-Benutzer an den Dienstbereitsteller übergeben werden können.
-
Weiterhin
kann die Verifizierungsvorrichtung für persönliche Informationen den Inhalt
einer Anforderung für
persönliche
Informationen, die die Dienst-Bereitstellungsvorrichtung
zu dem Zeitpunkt der Dienstbereitstellung an die Dienst-Benutzervorrichtung
sendet, auf die gleiche Art und Weise wie die für das Verifizieren der persönlichen
Informationen eines Benutzers verifizieren. In diesem Fall kann
eine Signatur an Daten der authentifizierten Anforderung für persönliche Informationen
angehängt
werden, und danach kann die signierte Anforderung an die Dienst-Bereitsteliervorrichtung
zurückgegeben
werden. Somit kann die Dienst-Benutzervorrichtung
nur auf eine Anforderung für
persönliche
Informationen antworten, die eine Signatur aufweist, die ihre Authentizität anzeigt.
In diesem Fall wird ein öffentlicher Schlüssel für Signatur-Verifizierung
im voraus von der Verifizierungsvorrichtung für persönliche Informationen an die
Dienst-Benutzervorrichtung gesendet. Indem dies erfolgt, schlägt ein Versuch
eines Dritten, der versucht, eine unberechtigte Anforderung für persönliche Informationen
zu senden und sich als der Dienstbereitsteller auszugeben, fehl.
Dies erhöht
die Sicherheit der persönlichen
Informationen in dem System.
-
Weiterhin
kann die Konstruktion der Dienst-Benutzervorrichtung zum Speichern
der signierten persönlichen
Informationen nicht notwendigerweise durch eine Speicherkarte ausgeführt sein. Die
in der Dienst-Benutzervorrichtung beinhaltete Speichervorrichtung
kann mit einem Speicherbereich versehen sein, der gegen unbefugten
Zugriff geschützt
ist, und signierte persönliche
Informationen können
in diesem Speicherbereich gespeichert sein.