JP2003188873A - 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム - Google Patents
認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システムInfo
- Publication number
- JP2003188873A JP2003188873A JP2001380971A JP2001380971A JP2003188873A JP 2003188873 A JP2003188873 A JP 2003188873A JP 2001380971 A JP2001380971 A JP 2001380971A JP 2001380971 A JP2001380971 A JP 2001380971A JP 2003188873 A JP2003188873 A JP 2003188873A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- user
- hardware
- identification information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 電子商取引において、なりすましなどのユー
ザの不正行為を防止することは難しかった。 【解決手段】 ハードウェア固有情報取得部60は、ユ
ーザの利用するハードウェアに固有の識別情報を取得す
る。証明書要求生成部54は、鍵ペア生成部52により
生成されたユーザの公開鍵と、当該ハードウェアの固有
情報とをユーザ情報として認証装置26に送信し、証明
書受信部58は認証装置26からハードウェア固有情報
が組み込まれたディジタル証明書を受信し、証明書保持
部56に保持する。ハードウェア固有情報検証部62
は、証明書に組み込まれたハードウェア固有情報を抽出
し、当該ハードウェアの固有情報と一致するかどうか検
証する。電子商取引部64は、検証済みのディジタル証
明書を用いて商取引を行う。
ザの不正行為を防止することは難しかった。 【解決手段】 ハードウェア固有情報取得部60は、ユ
ーザの利用するハードウェアに固有の識別情報を取得す
る。証明書要求生成部54は、鍵ペア生成部52により
生成されたユーザの公開鍵と、当該ハードウェアの固有
情報とをユーザ情報として認証装置26に送信し、証明
書受信部58は認証装置26からハードウェア固有情報
が組み込まれたディジタル証明書を受信し、証明書保持
部56に保持する。ハードウェア固有情報検証部62
は、証明書に組み込まれたハードウェア固有情報を抽出
し、当該ハードウェアの固有情報と一致するかどうか検
証する。電子商取引部64は、検証済みのディジタル証
明書を用いて商取引を行う。
Description
【0001】
【発明の属する技術分野】この発明はユーザの不正行為
を抑制する認証技術、とくにディジタル証明書を利用し
てユーザのなりすましなどの不正行為を抑制する認証方
法およびその方法を利用可能な認証装置、ユーザシステ
ムおよび認証システムに関する。
を抑制する認証技術、とくにディジタル証明書を利用し
てユーザのなりすましなどの不正行為を抑制する認証方
法およびその方法を利用可能な認証装置、ユーザシステ
ムおよび認証システムに関する。
【0002】
【従来の技術】近年、インターネット上での電子商取引
が盛んに行われるようになってきている。その一つとし
てオンラインショップを利用するオンラインショッピン
グがある。このオンラインショッピングはいわゆる「通
信販売」であるが、インターネットを利用している人に
とっては通信販売以上に簡単に商品を注文・購入できた
り、サービスを受けたりすることができる有意義なもの
である。
が盛んに行われるようになってきている。その一つとし
てオンラインショップを利用するオンラインショッピン
グがある。このオンラインショッピングはいわゆる「通
信販売」であるが、インターネットを利用している人に
とっては通信販売以上に簡単に商品を注文・購入できた
り、サービスを受けたりすることができる有意義なもの
である。
【0003】また電子署名を用いて各種公的手続きをネ
ットワーク上で行うことも時代の趨勢であり、日本でも
今年から電子署名法が施行され、電子政府構想が政策と
して掲げられている。近い将来、公的書類の申請や発
行、税金等の手続きが電子的に行われるようになると期
待されている。
ットワーク上で行うことも時代の趨勢であり、日本でも
今年から電子署名法が施行され、電子政府構想が政策と
して掲げられている。近い将来、公的書類の申請や発
行、税金等の手続きが電子的に行われるようになると期
待されている。
【0004】
【発明が解決しようとする課題】しかし、いくつかの問
題点も抱えている。オンラインショッピングの問題に
は、電子商取引における不正行為が挙げられる。その不
正行為には、オンラインショップ側の不正とユーザ側の
不正がある。ショップ側の不正行為として、商品の未
着、代金引換郵便の悪用などがある。またユーザ側の不
正行為には、不当なID・パスワードの使用、クレジッ
トカードの盗用などの「なりすまし」がある。
題点も抱えている。オンラインショッピングの問題に
は、電子商取引における不正行為が挙げられる。その不
正行為には、オンラインショップ側の不正とユーザ側の
不正がある。ショップ側の不正行為として、商品の未
着、代金引換郵便の悪用などがある。またユーザ側の不
正行為には、不当なID・パスワードの使用、クレジッ
トカードの盗用などの「なりすまし」がある。
【0005】不正に入手したユーザIDとパスワードを
用いて海外からローミングサービスを利用したり、イン
ターネットで利用したクレジットカード番号が盗用され
るなどなりすましによる不正アクセス事件のニュースが
数多く報告されている。そのような事件が多発する中
で、オンラインショップ側の不正行為はショップを利用
するユーザ側が注意することである程度防ぐことが出来
るが、ユーザ側の不正行為を防ぐことは非常に困難であ
ると考えられる。
用いて海外からローミングサービスを利用したり、イン
ターネットで利用したクレジットカード番号が盗用され
るなどなりすましによる不正アクセス事件のニュースが
数多く報告されている。そのような事件が多発する中
で、オンラインショップ側の不正行為はショップを利用
するユーザ側が注意することである程度防ぐことが出来
るが、ユーザ側の不正行為を防ぐことは非常に困難であ
ると考えられる。
【0006】本発明はこうした状況に鑑みてなされたも
のであり、その目的は、ユーザの匿名性を残しつつ、ユ
ーザを間接的に証明する情報を付加したディジタル証明
書を利用して認証を行い、ユーザの不正行為を抑制する
認証技術を提供することにある。
のであり、その目的は、ユーザの匿名性を残しつつ、ユ
ーザを間接的に証明する情報を付加したディジタル証明
書を利用して認証を行い、ユーザの不正行為を抑制する
認証技術を提供することにある。
【0007】
【課題を解決するための手段】本発明のある態様は認証
方法に関する。この方法は、ユーザシステムからディジ
タル証明書の発行要求が出されたとき、そのユーザシス
テムで利用するハードウェアに固有の識別情報を組み込
む形で当該証明書を生成し、そのユーザシステムへ発行
する。
方法に関する。この方法は、ユーザシステムからディジ
タル証明書の発行要求が出されたとき、そのユーザシス
テムで利用するハードウェアに固有の識別情報を組み込
む形で当該証明書を生成し、そのユーザシステムへ発行
する。
【0008】前記ユーザシステムは、自己のハードウェ
アに固有の識別情報と照合して前記発行された証明書の
正当性を検証した後、ネットワーク上の電子商取引の際
にその証明書を利用してもよい。
アに固有の識別情報と照合して前記発行された証明書の
正当性を検証した後、ネットワーク上の電子商取引の際
にその証明書を利用してもよい。
【0009】ネットワーク上で前記ユーザシステムに所
定のサービスを提供する組織が前記証明書の発行機関を
兼ねてもよい。この組織は、ユーザシステムにインター
ネットへの接続サービスを提供するインターネットサー
ビスプロバイダであってもよい。またこの組織は専用線
を引いている企業や団体であってもよい。このような組
織はサービスをユーザに無償または有償で提供し、ユー
ザの個人情報を管理している。この証明書の発行機関
は、前記ハードウェアに固有の前記識別情報を標準的な
ディジタル証明書の拡張領域に埋め込んで発行してもよ
い。ハードウェアに固有の識別情報は、ユーザシステム
と証明書の発行機関との間で一意性が保証されるもので
あってもよい。
定のサービスを提供する組織が前記証明書の発行機関を
兼ねてもよい。この組織は、ユーザシステムにインター
ネットへの接続サービスを提供するインターネットサー
ビスプロバイダであってもよい。またこの組織は専用線
を引いている企業や団体であってもよい。このような組
織はサービスをユーザに無償または有償で提供し、ユー
ザの個人情報を管理している。この証明書の発行機関
は、前記ハードウェアに固有の前記識別情報を標準的な
ディジタル証明書の拡張領域に埋め込んで発行してもよ
い。ハードウェアに固有の識別情報は、ユーザシステム
と証明書の発行機関との間で一意性が保証されるもので
あってもよい。
【0010】前記ユーザシステムは、前記証明書の発行
要求の際、自己のハードウェアに固有の識別情報を読み
出し可能に設定してもよい。前記ユーザシステムは、前
記証明書の発行要求に先立ち、ユーザに自己のハードウ
ェアに固有の識別情報を読み出してよいかどうか問い合
わせてもよく、ユーザが読み出しを許可した場合に、識
別情報の読み出しが可能になるように設定を行ってもよ
い。
要求の際、自己のハードウェアに固有の識別情報を読み
出し可能に設定してもよい。前記ユーザシステムは、前
記証明書の発行要求に先立ち、ユーザに自己のハードウ
ェアに固有の識別情報を読み出してよいかどうか問い合
わせてもよく、ユーザが読み出しを許可した場合に、識
別情報の読み出しが可能になるように設定を行ってもよ
い。
【0011】本発明の別の態様は認証装置に関する。こ
の装置は、ユーザシステムで利用するハードウェアに固
有の識別情報を組み込む形でディジタル証明書を生成す
る証明書生成部と、前記生成された証明書を前記ユーザ
システムに発行する証明書発行部と、前記証明書を保持
する証明書データベースとを含む。第3者から前記証明
書の正当性を検証するための公開鍵を要求されたとき、
前記証明書データベースから当該証明書の公開鍵を抽出
して配布する公開鍵配布部をさらに含んでもよい。
の装置は、ユーザシステムで利用するハードウェアに固
有の識別情報を組み込む形でディジタル証明書を生成す
る証明書生成部と、前記生成された証明書を前記ユーザ
システムに発行する証明書発行部と、前記証明書を保持
する証明書データベースとを含む。第3者から前記証明
書の正当性を検証するための公開鍵を要求されたとき、
前記証明書データベースから当該証明書の公開鍵を抽出
して配布する公開鍵配布部をさらに含んでもよい。
【0012】本発明のさらに別の態様はユーザシステム
に関する。このユーザシステムは、ユーザが利用する自
己のハードウェアに固有の識別情報を取得する取得部
と、前記自己のハードウェアに固有の識別情報を認証局
に送信して、その識別情報を組み込んだディジタル証明
書の発行を受け、その証明書を保持する証明書管理部
と、前記自己のハードウェアに固有の識別情報と照合し
て前記発行された証明書の正当性を検証する検証部とを
含む。
に関する。このユーザシステムは、ユーザが利用する自
己のハードウェアに固有の識別情報を取得する取得部
と、前記自己のハードウェアに固有の識別情報を認証局
に送信して、その識別情報を組み込んだディジタル証明
書の発行を受け、その証明書を保持する証明書管理部
と、前記自己のハードウェアに固有の識別情報と照合し
て前記発行された証明書の正当性を検証する検証部とを
含む。
【0013】前記検証された証明書を利用して電子商取
引を要求する取引部をさらに含んでもよい。前記検証部
により前記証明書の正当性が否定された場合、前記証明
書を用いた電子商取引を禁止し、前記認証局にその旨を
通知する警告部をさらに含んでもよい。
引を要求する取引部をさらに含んでもよい。前記検証部
により前記証明書の正当性が否定された場合、前記証明
書を用いた電子商取引を禁止し、前記認証局にその旨を
通知する警告部をさらに含んでもよい。
【0014】前記取得部は、前記自己のハードウェアに
固有の識別情報の読み出し許可をユーザから得た上で、
その識別情報を取得してもよい。
固有の識別情報の読み出し許可をユーザから得た上で、
その識別情報を取得してもよい。
【0015】本発明のさらに別の態様は認証システムに
関する。この認証システムは、前述の認証装置とユーザ
システムとを含む。
関する。この認証システムは、前述の認証装置とユーザ
システムとを含む。
【0016】本発明のさらに別の態様はコンピュータ用
のプログラムに関する。このプログラムは、ユーザが利
用する自己のハードウェアに固有の識別情報を取得する
モジュールと、前記自己のハードウェアに固有の識別情
報を認証局に送信して、その識別情報を組み込んだディ
ジタル証明書の発行を受け、その証明書を保持するモジ
ュールと、前記自己のハードウェアに固有の識別情報と
照合して前記発行された証明書の正当性を検証するモジ
ュールとを含む。
のプログラムに関する。このプログラムは、ユーザが利
用する自己のハードウェアに固有の識別情報を取得する
モジュールと、前記自己のハードウェアに固有の識別情
報を認証局に送信して、その識別情報を組み込んだディ
ジタル証明書の発行を受け、その証明書を保持するモジ
ュールと、前記自己のハードウェアに固有の識別情報と
照合して前記発行された証明書の正当性を検証するモジ
ュールとを含む。
【0017】本発明のさらに別の態様も認証システムに
関する。証明書発行の申請時に、ユーザシステムは自己
が使用しているハードウェアの固有情報を含めた個人情
報を認証局に送り、前記認証局は、その情報を付加した
証明書を発行し、前記ユーザシステムは受け取ったディ
ジタル証明書を使用して認証を行い、電子商取引を行
う。前記ユーザシステム側でユーザの使用しているハー
ドウェア情報と証明書に記録されているハードウェア情
報を比較し、一致すれば、その証明書を前記電子商取引
におけるサービス提供者側に送信し、前記サービス提供
者側でその証明書の認証を行い、取引を開始してもよ
い。
関する。証明書発行の申請時に、ユーザシステムは自己
が使用しているハードウェアの固有情報を含めた個人情
報を認証局に送り、前記認証局は、その情報を付加した
証明書を発行し、前記ユーザシステムは受け取ったディ
ジタル証明書を使用して認証を行い、電子商取引を行
う。前記ユーザシステム側でユーザの使用しているハー
ドウェア情報と証明書に記録されているハードウェア情
報を比較し、一致すれば、その証明書を前記電子商取引
におけるサービス提供者側に送信し、前記サービス提供
者側でその証明書の認証を行い、取引を開始してもよ
い。
【0018】なお、以上の構成要素の任意の組合せ、本
発明の表現を方法、装置、サーバ、システム、コンピュ
ータプログラム、記録媒体などの間で変換したものもま
た、本発明の態様として有効である。
発明の表現を方法、装置、サーバ、システム、コンピュ
ータプログラム、記録媒体などの間で変換したものもま
た、本発明の態様として有効である。
【0019】
【発明の実施の形態】本発明の目的は、電子商取引にお
いて、ユーザ側の不正行為である「なりすまし」を事前
に防ぐことである。このなりすましは、インターネット
上での高い匿名性という性質を悪用した行為であるが、
実施の形態ではユーザの匿名性は残しつつユーザの不正
行為を抑制する方法を提案する。
いて、ユーザ側の不正行為である「なりすまし」を事前
に防ぐことである。このなりすましは、インターネット
上での高い匿名性という性質を悪用した行為であるが、
実施の形態ではユーザの匿名性は残しつつユーザの不正
行為を抑制する方法を提案する。
【0020】現在、Webでは幾つかの認証システムが
利用されている。主なものにインターネットを通じて安
全にクレジットカード決済を行うためのSET(Secure
Electronic Transactions)や米国マサチューセッツ工
科大学でのAthenaプロジェクトの一部として設計
された認証システムであるKerberosなどがあ
る。
利用されている。主なものにインターネットを通じて安
全にクレジットカード決済を行うためのSET(Secure
Electronic Transactions)や米国マサチューセッツ工
科大学でのAthenaプロジェクトの一部として設計
された認証システムであるKerberosなどがあ
る。
【0021】これらの認証システムは通信中のデータの
安全を確保するためのシステムであり、ユーザ自身が不
正なユーザアカウントやパスワードを使用していること
を検出するのは困難であり、また不正行為を検出した場
合でもそのユーザを突き止めることは困難である。
安全を確保するためのシステムであり、ユーザ自身が不
正なユーザアカウントやパスワードを使用していること
を検出するのは困難であり、また不正行為を検出した場
合でもそのユーザを突き止めることは困難である。
【0022】不正行為を抑制するためにはユーザの個人
情報を公開すればいいが、ある程度個人の匿名性を残す
ために、直接的にはユーザを知ることができないが間接
的にはユーザを知ることのできる情報を公開することと
する。公開する情報は第三者によって改竄されたり、盗
用されないようにディジタル証明書を使用する。そのユ
ーザを間接的に知ることができる情報をディジタル証明
書に付加して利用し、ユーザの認証を行うことによりユ
ーザの不正行為を抑制させる。つまり、善良なサービス
提供者である店舗を保護しながら、ユーザが安全な電子
商取引を行うためのWeb認証システムを提案する。
情報を公開すればいいが、ある程度個人の匿名性を残す
ために、直接的にはユーザを知ることができないが間接
的にはユーザを知ることのできる情報を公開することと
する。公開する情報は第三者によって改竄されたり、盗
用されないようにディジタル証明書を使用する。そのユ
ーザを間接的に知ることができる情報をディジタル証明
書に付加して利用し、ユーザの認証を行うことによりユ
ーザの不正行為を抑制させる。つまり、善良なサービス
提供者である店舗を保護しながら、ユーザが安全な電子
商取引を行うためのWeb認証システムを提案する。
【0023】実施の形態に係る認証システムを説明する
前に、既存の認証システムを説明する。認証システムは
多くの種類が存在しているが、それらのシステムで用い
られている既存の認証方法は次のように分類できる。
前に、既存の認証システムを説明する。認証システムは
多くの種類が存在しているが、それらのシステムで用い
られている既存の認証方法は次のように分類できる。
【0024】(1)変形パスワード
パスワードを一方向性関数を通して処理し、ホストが記
憶していたパスワードに同じ関数を適用し、2つを比較
することにより認証を行う。通信中の盗聴を防ぐ。
憶していたパスワードに同じ関数を適用し、2つを比較
することにより認証を行う。通信中の盗聴を防ぐ。
【0025】(2)チャレンジ応答
ホストがユーザにチャレンジと呼ぶランダム値を送り、
その値を一方向性関数で計算し、返答とともに戻す。暗
号化されたパスワードをそのまま用いる再生攻撃に対抗
する。
その値を一方向性関数で計算し、返答とともに戻す。暗
号化されたパスワードをそのまま用いる再生攻撃に対抗
する。
【0026】(3)タイムスタンプ
認証要求時に現在の日時を用いる。すべてのシステムが
安全で同期がとれている時計を持っている必要がある。
安全で同期がとれている時計を持っている必要がある。
【0027】(4)ワンタイムパスワード
変形パスワードの一種で、パスワードに一方向性関数を
用いて一度しか使えないパスワードを生成する。盗聴と
再生攻撃の両方に対抗する。
用いて一度しか使えないパスワードを生成する。盗聴と
再生攻撃の両方に対抗する。
【0028】(5)ゼロ知識法
会話型証明システムに基づく暗号技術のひとつである。
【0029】(6)ディジタル署名またはディジタル証
明書 認証プロトコルの基本である。データの一部をユーザの
私有鍵を用いて署名し、私有鍵の持ち主であることを証
明する。
明書 認証プロトコルの基本である。データの一部をユーザの
私有鍵を用いて署名し、私有鍵の持ち主であることを証
明する。
【0030】また、主な認証システムとして、SETと
Kerberosが挙げられる。SETは、インターネ
ットを通じて安全にクレジットカード決済を行うための
技術仕様である。大手クレジットカード会社のほか、コ
ンピュータ関連企業が協同で規格を策定している。SE
Tの使用目的は、クレジットカード番号がショップに知
られないようにすることである。
Kerberosが挙げられる。SETは、インターネ
ットを通じて安全にクレジットカード決済を行うための
技術仕様である。大手クレジットカード会社のほか、コ
ンピュータ関連企業が協同で規格を策定している。SE
Tの使用目的は、クレジットカード番号がショップに知
られないようにすることである。
【0031】ユーザがSETを利用するには、専用ソフ
トウェアをダウンロードしなければならず、そのソフト
ウェアをユーザが入手するにはWeb上でのSET利用
申請が必要で、その申請にはインターネット上で情報を
暗号化して送受信するプロトコルであるSSL(Secure
Socket Layer)が利用されている。また、専用ソフト
ウェアさえ使用していれば正規のユーザとみなされる。
トウェアをダウンロードしなければならず、そのソフト
ウェアをユーザが入手するにはWeb上でのSET利用
申請が必要で、その申請にはインターネット上で情報を
暗号化して送受信するプロトコルであるSSL(Secure
Socket Layer)が利用されている。また、専用ソフト
ウェアさえ使用していれば正規のユーザとみなされる。
【0032】したがってSETには、(1)専用のソフ
トウェアを使用する必要がある、(2)正規ユーザ認証
が申請時すなわち専用ソフトダウンロード時の一回だけ
である、(3)汎用性があまりないなどの問題があり、
「なりすまし」の対策が不十分であると考えられる。
トウェアを使用する必要がある、(2)正規ユーザ認証
が申請時すなわち専用ソフトダウンロード時の一回だけ
である、(3)汎用性があまりないなどの問題があり、
「なりすまし」の対策が不十分であると考えられる。
【0033】Kerberosとは、マサチューセッツ
工科大学のAthenaプロジェクトで開発されたネッ
トワーク上での利用を前提としたユーザ認証方式のこと
である。Kerberos認証では、認証サーバ(A
S:Authentication Server)と鍵配布サーバ(TGS:
Ticket Granting Server)の2つのサーバによって認証
が行なわれ、通信の秘匿やユーザ認証などをすべて共通
鍵暗号で実現しているのが特徴である。
工科大学のAthenaプロジェクトで開発されたネッ
トワーク上での利用を前提としたユーザ認証方式のこと
である。Kerberos認証では、認証サーバ(A
S:Authentication Server)と鍵配布サーバ(TGS:
Ticket Granting Server)の2つのサーバによって認証
が行なわれ、通信の秘匿やユーザ認証などをすべて共通
鍵暗号で実現しているのが特徴である。
【0034】SETやKerberosは通信中にID・
パスワードや秘密情報が傍受されることを防いでいる
が、秘密情報が盗まれてしまえば機能しなくなる。だ
が、次に述べる実施形態の認証システムでは、ユーザの
使用しているハードウェアに関する情報を基に認証を行
うため、ハードウェア自身が盗まれない限り、安全に認
証を行える。情報が盗まれた時よりも、物自体が盗まれ
た時の方が発見が早いので、本実施形態の認証システム
では不正行為による被害を最小限に止めることが出来
る。
パスワードや秘密情報が傍受されることを防いでいる
が、秘密情報が盗まれてしまえば機能しなくなる。だ
が、次に述べる実施形態の認証システムでは、ユーザの
使用しているハードウェアに関する情報を基に認証を行
うため、ハードウェア自身が盗まれない限り、安全に認
証を行える。情報が盗まれた時よりも、物自体が盗まれ
た時の方が発見が早いので、本実施形態の認証システム
では不正行為による被害を最小限に止めることが出来
る。
【0035】本認証システムは、ディジタル証明書を利
用したWeb認証システムである。ディジタル証明書に
ユーザを間接的に知ることの出来る情報を新たに付加す
ることにより、認証を強化する。ユーザを間接的に知る
情報として、ユーザが使用しているハードウェアの固有
な情報を利用することとする。そのハードウェア固有情
報を証明書に付加して、接続時に証明書による認証を行
う。
用したWeb認証システムである。ディジタル証明書に
ユーザを間接的に知ることの出来る情報を新たに付加す
ることにより、認証を強化する。ユーザを間接的に知る
情報として、ユーザが使用しているハードウェアの固有
な情報を利用することとする。そのハードウェア固有情
報を証明書に付加して、接続時に証明書による認証を行
う。
【0036】本認証システムで使用するディジタル証明
書は、X.509バージョン3証明書に準拠している。
書は、X.509バージョン3証明書に準拠している。
【0037】標準公開鍵証明書の形式であるX.509
証明書形式は、次のようなものである。 (1)ISO(国際標準化機構)、IEC(国際電気標
準会議)、ITU(国際電気通信連合)が定めた標準公
開鍵証明書形式である。 (2)1988年にバージョン1が開発され、現在はバ
ージョン3が使用されている。 (3)バージョン3において拡張領域が追加されてい
る。 (4)他の機能として証明書の有効期限等を設定するこ
とができ、扱いやすいディジタル証明書である。
証明書形式は、次のようなものである。 (1)ISO(国際標準化機構)、IEC(国際電気標
準会議)、ITU(国際電気通信連合)が定めた標準公
開鍵証明書形式である。 (2)1988年にバージョン1が開発され、現在はバ
ージョン3が使用されている。 (3)バージョン3において拡張領域が追加されてい
る。 (4)他の機能として証明書の有効期限等を設定するこ
とができ、扱いやすいディジタル証明書である。
【0038】また、X.509証明書の構造は次のよう
になっている。なお以下においてX.500とは、デー
タ通信網、特にメッセージ通信網におけるディレクトリ
機能を標準化することを目指してITU−Tが1988
年に勧告したものであり、X.509証明書では、認証
局や証明書の保持者などのエンティティの名前として、
このX.500標準を用いてインターネット全体での一
意性を保つ。
になっている。なお以下においてX.500とは、デー
タ通信網、特にメッセージ通信網におけるディレクトリ
機能を標準化することを目指してITU−Tが1988
年に勧告したものであり、X.509証明書では、認証
局や証明書の保持者などのエンティティの名前として、
このX.500標準を用いてインターネット全体での一
意性を保つ。
【0039】1.証明書バージョン
X.509による証明書のバージョン番号
2.証明書シリアル番号
認証局より任意に割り当てられた番号
3.アルゴリズム識別子
証明書発行者の署名用のディジタル署名アルゴリズムの
識別子 4.認証局のX.500名前 発行者である認証局のX.500名前 5.有効期限 証明書の開始および終了日時 6.主体者のX.500名前 証明される公開鍵と相関する私有鍵の保有者のX.50
0名前 7.主体者の公開鍵情報 主体者すなわち証明書使用者の公開鍵値とそれに使われ
ているRSA、楕円暗号等のアルゴリズムの識別子 8.認証局の識別子 証明書を発行する認証局の名前があいまいにならないよ
うにするために用いるオプションビット列 9.主体者の識別子 主体者の名前があいまいにならないように用いるオプシ
ョンビット列 10.拡張 拡張領域 11.認証局のディジタル署名 ハッシュアルゴリズムを用いて証明書のダイジェストす
なわち指紋に相当するデータをとり、そのダイジェスト
を認証局の秘密鍵によって暗号化したもの。
識別子 4.認証局のX.500名前 発行者である認証局のX.500名前 5.有効期限 証明書の開始および終了日時 6.主体者のX.500名前 証明される公開鍵と相関する私有鍵の保有者のX.50
0名前 7.主体者の公開鍵情報 主体者すなわち証明書使用者の公開鍵値とそれに使われ
ているRSA、楕円暗号等のアルゴリズムの識別子 8.認証局の識別子 証明書を発行する認証局の名前があいまいにならないよ
うにするために用いるオプションビット列 9.主体者の識別子 主体者の名前があいまいにならないように用いるオプシ
ョンビット列 10.拡張 拡張領域 11.認証局のディジタル署名 ハッシュアルゴリズムを用いて証明書のダイジェストす
なわち指紋に相当するデータをとり、そのダイジェスト
を認証局の秘密鍵によって暗号化したもの。
【0040】図1は、X.509証明書に含まれるこれ
らのデータの構造を説明する図である。本認証システム
は、X.509証明書の拡張領域にハードウェア固有情
報を付加した独自の証明書による認証を行う。
らのデータの構造を説明する図である。本認証システム
は、X.509証明書の拡張領域にハードウェア固有情
報を付加した独自の証明書による認証を行う。
【0041】本認証システムにおいて、ディジタル証明
書に付加するハードウェア情報は以下のものを利用す
る。 (1)PSN(Processor Serial Number) (2)MACアドレス(Media Access Control Addres
s)、IPアドレス(Internet Protocol Address)
書に付加するハードウェア情報は以下のものを利用す
る。 (1)PSN(Processor Serial Number) (2)MACアドレス(Media Access Control Addres
s)、IPアドレス(Internet Protocol Address)
【0042】MACアドレスやIPアドレスの情報は不
正に書き換えられる恐れがあるため、書き換え不可能で
固有のハードウェア情報であるPSNを利用することが
重要である。
正に書き換えられる恐れがあるため、書き換え不可能で
固有のハードウェア情報であるPSNを利用することが
重要である。
【0043】PSNはIntel社がペンティアム3
(登録商標)以降のマイクロプロセッサに搭載したプロ
セッサ固有の識別番号である。すべてのチップに違う番
号が割り当てられ、コンピュータの識別に使われる。
(登録商標)以降のマイクロプロセッサに搭載したプロ
セッサ固有の識別番号である。すべてのチップに違う番
号が割り当てられ、コンピュータの識別に使われる。
【0044】このPSNを表示及び使用するには、イン
テルプロセッサシリアルナンバーコントロールユーティ
リティ(Intel Processor Serial Number Control Util
ity)を使用する。BIOSの設定で無効になっていれ
ば、マザーボードの「Processor Number Feature」を
「Enabled」にしておかなければ、警告のダイアログが
表示され「無効」のままである。
テルプロセッサシリアルナンバーコントロールユーティ
リティ(Intel Processor Serial Number Control Util
ity)を使用する。BIOSの設定で無効になっていれ
ば、マザーボードの「Processor Number Feature」を
「Enabled」にしておかなければ、警告のダイアログが
表示され「無効」のままである。
【0045】図2のように、プロセッサシリアルナンバ
ーコントロールユーティリティを起動すると、BIOS
の設定が有効になっていれば、96ビットのプロセッサ
シリアルナンバーが表示される。
ーコントロールユーティリティを起動すると、BIOS
の設定が有効になっていれば、96ビットのプロセッサ
シリアルナンバーが表示される。
【0046】MACアドレスとは、各Ethernet
(登録商標)カードに固有のID番号である。全世界の
Ethernetカードには1枚1枚固有の番号が割り
当てられており、これを元にカード間のデータの送受信
が行われる。
(登録商標)カードに固有のID番号である。全世界の
Ethernetカードには1枚1枚固有の番号が割り
当てられており、これを元にカード間のデータの送受信
が行われる。
【0047】IPアドレスは、インターネットやイント
ラネットなどのIPネットワークに接続されたコンピュ
ータ1台1台に割り振られた識別番号である。
ラネットなどのIPネットワークに接続されたコンピュ
ータ1台1台に割り振られた識別番号である。
【0048】本認証システムはWeb上での電子商取引
で使用することにより、電子商取引での不正行為の一つ
である「なりすまし」の抑制を目的としている。なりす
まし等の不正行為を抑制させるために、ディジタル証明
書にユーザを間接的に知ることの出来るハードウェア固
有情報を付加させている。しかし、これだけでは不正行
為を抑止することは困難であり、ハードウェア固有情報
を付加したディジタル証明書を使用した認証システムを
効果的に運用・利用する必要がある。
で使用することにより、電子商取引での不正行為の一つ
である「なりすまし」の抑制を目的としている。なりす
まし等の不正行為を抑制させるために、ディジタル証明
書にユーザを間接的に知ることの出来るハードウェア固
有情報を付加させている。しかし、これだけでは不正行
為を抑止することは困難であり、ハードウェア固有情報
を付加したディジタル証明書を使用した認証システムを
効果的に運用・利用する必要がある。
【0049】ユーザの不正行為を抑制させるために認証
システムを効果的に運用するには、ISP(Internet S
ervices Provider)や専用線を引いている各種団体を認
証局(CA:Certificate Authority)として利用する
方法が考えられる。ほとんどのユーザは各自のコンピュ
ータをインターネットに接続するためにISPや専用線
を引いている各種団体を利用しているため、ISPや専
用線を引いている各種団体をCAとして証明書の発行・
管理を行う。
システムを効果的に運用するには、ISP(Internet S
ervices Provider)や専用線を引いている各種団体を認
証局(CA:Certificate Authority)として利用する
方法が考えられる。ほとんどのユーザは各自のコンピュ
ータをインターネットに接続するためにISPや専用線
を引いている各種団体を利用しているため、ISPや専
用線を引いている各種団体をCAとして証明書の発行・
管理を行う。
【0050】ISPや各種団体等がCAとなることで、
証明書を持っているユーザの身元を管理することが容易
である。また、CA機関を新たに設ける必要がないた
め、コストや普及の面でもメリットがある。
証明書を持っているユーザの身元を管理することが容易
である。また、CA機関を新たに設ける必要がないた
め、コストや普及の面でもメリットがある。
【0051】また、ISPや各種団体等に不正防止の責
任義務を持たせることで、ユーザの不正行為をさらに抑
制することが出来ると考えられる。
任義務を持たせることで、ユーザの不正行為をさらに抑
制することが出来ると考えられる。
【0052】本認証システムは、主にWeb上の電子商
取引での利用を目的としている。つまり、Web上のオ
ンラインショッピングで、ユーザが不正行為を行わない
ようにするための認証システムである。
取引での利用を目的としている。つまり、Web上のオ
ンラインショッピングで、ユーザが不正行為を行わない
ようにするための認証システムである。
【0053】図3は、ディジタル証明書の申請と発行の
手順を説明する図である。まず、ユーザはユーザ自身が
所属しているISP等に証明書発行の申請をする。その
申請時に、ユーザは自身が使用しているコンピュータの
MACアドレス、PSNを含めた個人情報をCAである
ISPに送る。CAは、その情報を基に証明書を発行す
る。そして、ユーザは受け取ったディジタル証明書を使
用して認証を行い、電子商取引を行う。
手順を説明する図である。まず、ユーザはユーザ自身が
所属しているISP等に証明書発行の申請をする。その
申請時に、ユーザは自身が使用しているコンピュータの
MACアドレス、PSNを含めた個人情報をCAである
ISPに送る。CAは、その情報を基に証明書を発行す
る。そして、ユーザは受け取ったディジタル証明書を使
用して認証を行い、電子商取引を行う。
【0054】図4は、認証システムにおける商取引の手
順を説明する図である。サービスを提供する側であるオ
ンラインショッピング店舗等は、利用者が接続して送信
してくるディジタル証明書を基に利用者の認証を行い、
取引を行う。
順を説明する図である。サービスを提供する側であるオ
ンラインショッピング店舗等は、利用者が接続して送信
してくるディジタル証明書を基に利用者の認証を行い、
取引を行う。
【0055】CAより発行されたディジタル証明書は、
ユーザ側のコンピュータ内で保存管理される。例え不正
をしようとしても、ディジタル証明書は改竄されたり不
正生成されることはない。
ユーザ側のコンピュータ内で保存管理される。例え不正
をしようとしても、ディジタル証明書は改竄されたり不
正生成されることはない。
【0056】図5は、証明書の管理と認証の手順を説明
する図である。ユーザがオンラインショッピングなどを
利用する時、まずユーザ側でユーザの使用しているハー
ドウェア情報と証明書に記録されているハードウェア情
報を比較する。一致すれば、その証明書をサービス提供
者側に送信する。受け取った提供者側でその証明書の認
証を行い、取引を開始する。
する図である。ユーザがオンラインショッピングなどを
利用する時、まずユーザ側でユーザの使用しているハー
ドウェア情報と証明書に記録されているハードウェア情
報を比較する。一致すれば、その証明書をサービス提供
者側に送信する。受け取った提供者側でその証明書の認
証を行い、取引を開始する。
【0057】これらの動作は、ユーザ、サービス提供者
共に本認証システムの専用ソフトウェアで行う事とす
る。この専用ソフトウェアはCAによって完全性を認証
する。
共に本認証システムの専用ソフトウェアで行う事とす
る。この専用ソフトウェアはCAによって完全性を認証
する。
【0058】本認証システムの仕様をまとめると以下の
通りである。 (1)ディジタル証明書を利用した認証システム。 (2)ディジタル証明書形式はISO/IEC/ITU
が定めたX.509標準バージョン3を使用。 (3)ディジタル証明書の拡張としてコンピュータ固有
の情報を付加させる。 (4)固有の情報としてPSN、MACアドレス、IP
アドレスを使用する。 (5)プラットフォームはパーソナルコンピュータの標
準的なOSである。 (6)ソフトウェアは標準的なC++言語の開発環境で
開発される。 (7)ISPや専用線を引いている各種団体をCAとす
ることで、不正行為抑制を強化。
通りである。 (1)ディジタル証明書を利用した認証システム。 (2)ディジタル証明書形式はISO/IEC/ITU
が定めたX.509標準バージョン3を使用。 (3)ディジタル証明書の拡張としてコンピュータ固有
の情報を付加させる。 (4)固有の情報としてPSN、MACアドレス、IP
アドレスを使用する。 (5)プラットフォームはパーソナルコンピュータの標
準的なOSである。 (6)ソフトウェアは標準的なC++言語の開発環境で
開発される。 (7)ISPや専用線を引いている各種団体をCAとす
ることで、不正行為抑制を強化。
【0059】図6は、実施の形態に係る認証システムの
構成図である。オンラインショッピングサイト10は、
オンラインにより商品の販売を行うサイトであり、We
bサーバ12、データベースサーバ14、およびショッ
プシステム15を含む。ユーザはWebサーバ12にア
クセスして商品の閲覧、購入の申し込みができる。デー
タベースサーバ14はWebサーバ12と連携して商品
の購入履歴の管理やユーザの個人情報の管理などを行
う。ショップシステム15は、証明書を利用したユーザ
認証を行う専用ソフトウェアである。このショップシス
テム15は、Webサーバ12またはデータベースサー
バ14の機能の一部として設けられてもよい。なおオン
ラインショッピングサイト10にはファイアウオールな
どの機能が当然に含まれるが、ここでは図示しない。
構成図である。オンラインショッピングサイト10は、
オンラインにより商品の販売を行うサイトであり、We
bサーバ12、データベースサーバ14、およびショッ
プシステム15を含む。ユーザはWebサーバ12にア
クセスして商品の閲覧、購入の申し込みができる。デー
タベースサーバ14はWebサーバ12と連携して商品
の購入履歴の管理やユーザの個人情報の管理などを行
う。ショップシステム15は、証明書を利用したユーザ
認証を行う専用ソフトウェアである。このショップシス
テム15は、Webサーバ12またはデータベースサー
バ14の機能の一部として設けられてもよい。なおオン
ラインショッピングサイト10にはファイアウオールな
どの機能が当然に含まれるが、ここでは図示しない。
【0060】インターネットサービスプロバイダ18
は、ユーザ端末28にインターネット16へのアクセス
環境を提供するものであり、メールサーバ20、DNS
サーバ22、プロキシサーバ24、および認証装置26
を含む。ユーザ端末28は図示しないアクセスポイント
にダイアルアップなどで接続し、インターネットサービ
スプロバイダ18が提供する電子メール、インターネッ
トアクセスなどのサービスを利用する。またユーザ端末
28に搭載された専用ソフトウェアであるユーザシステ
ム30は、インターネットサービスプロバイダ18内の
認証装置26と通信して証明書の発行を受ける。このよ
うにインターネットサービスプロバイダ18はユーザ端
末28を認証する認証局としての機能を兼ね備える。
は、ユーザ端末28にインターネット16へのアクセス
環境を提供するものであり、メールサーバ20、DNS
サーバ22、プロキシサーバ24、および認証装置26
を含む。ユーザ端末28は図示しないアクセスポイント
にダイアルアップなどで接続し、インターネットサービ
スプロバイダ18が提供する電子メール、インターネッ
トアクセスなどのサービスを利用する。またユーザ端末
28に搭載された専用ソフトウェアであるユーザシステ
ム30は、インターネットサービスプロバイダ18内の
認証装置26と通信して証明書の発行を受ける。このよ
うにインターネットサービスプロバイダ18はユーザ端
末28を認証する認証局としての機能を兼ね備える。
【0061】図7は、認証装置26の構成図である。こ
の構成は、ハードウェア的には、任意のコンピュータの
CPU、メモリ、その他のLSIで実現でき、ソフトウ
ェア的にはメモリにロードされた認証機能のあるプログ
ラムなどによって実現されるが、ここではそれらの連携
によって実現される機能ブロックを描いている。したが
って、これらの機能ブロックがハードウェアのみ、ソフ
トウェアのみ、またはそれらの組合せによっていろいろ
な形で実現できることは、当業者には理解されるところ
である。
の構成は、ハードウェア的には、任意のコンピュータの
CPU、メモリ、その他のLSIで実現でき、ソフトウ
ェア的にはメモリにロードされた認証機能のあるプログ
ラムなどによって実現されるが、ここではそれらの連携
によって実現される機能ブロックを描いている。したが
って、これらの機能ブロックがハードウェアのみ、ソフ
トウェアのみ、またはそれらの組合せによっていろいろ
な形で実現できることは、当業者には理解されるところ
である。
【0062】証明書生成部32は、ユーザシステム30
から証明書発行要求を受け取り、ディジタル証明書を生
成する。ユーザシステム30から受け取る証明書発行要
求には、ユーザの利用するハードウェアすなわちユーザ
端末28に固有の識別情報が含まれる。
から証明書発行要求を受け取り、ディジタル証明書を生
成する。ユーザシステム30から受け取る証明書発行要
求には、ユーザの利用するハードウェアすなわちユーザ
端末28に固有の識別情報が含まれる。
【0063】証明書生成部32は、鍵生成部34、ダイ
ジェスト生成部36、およびディジタル署名部38を含
む。ダイジェスト生成部36は証明書データをハッシュ
関数に通してダイジェストを取得する。証明書データ
は、証明者情報、認証局情報、ユーザ情報、および拡張
情報を含む。証明者情報は、図1で説明した(1)証明
書バージョン、(2)証明書シリアル番号、(3)アル
ゴリズム識別子、および(5)有効期限のデータであ
り、認証局情報は、(4)認証局のX.500名前およ
び(8)認証局の識別子のデータである。ユーザ情報
は、(6)主体者のX.500名前、(7)主体者の公
開鍵情報、および(9)主体者の識別子のデータであ
る。また拡張情報は、(10)拡張領域のデータであ
る。また拡張情報にはユーザシステム30から受け取っ
たハードウェア固有情報が含まれる。したがって、証明
書データにはユーザが利用しているハードウェアの固有
情報が組み込まれている。
ジェスト生成部36、およびディジタル署名部38を含
む。ダイジェスト生成部36は証明書データをハッシュ
関数に通してダイジェストを取得する。証明書データ
は、証明者情報、認証局情報、ユーザ情報、および拡張
情報を含む。証明者情報は、図1で説明した(1)証明
書バージョン、(2)証明書シリアル番号、(3)アル
ゴリズム識別子、および(5)有効期限のデータであ
り、認証局情報は、(4)認証局のX.500名前およ
び(8)認証局の識別子のデータである。ユーザ情報
は、(6)主体者のX.500名前、(7)主体者の公
開鍵情報、および(9)主体者の識別子のデータであ
る。また拡張情報は、(10)拡張領域のデータであ
る。また拡張情報にはユーザシステム30から受け取っ
たハードウェア固有情報が含まれる。したがって、証明
書データにはユーザが利用しているハードウェアの固有
情報が組み込まれている。
【0064】ディジタル署名部38は、鍵生成部34が
生成した当該認証局の秘密鍵を用いて、ダイジェスト生
成部36により生成されたダイジェストを暗号化してデ
ィジタル署名を生成し、その署名データを図1のように
証明書データに追加する。なお鍵生成部34が生成した
当該認証局の公開鍵と秘密鍵のペアは証明書データベー
ス42に保持される。証明書発行部40は、このように
して生成されたディジタル証明書を証明書データベース
42に保持するとともに、ユーザシステム30へ発行す
る。
生成した当該認証局の秘密鍵を用いて、ダイジェスト生
成部36により生成されたダイジェストを暗号化してデ
ィジタル署名を生成し、その署名データを図1のように
証明書データに追加する。なお鍵生成部34が生成した
当該認証局の公開鍵と秘密鍵のペアは証明書データベー
ス42に保持される。証明書発行部40は、このように
して生成されたディジタル証明書を証明書データベース
42に保持するとともに、ユーザシステム30へ発行す
る。
【0065】公開鍵配布部44は、ショップシステム1
5から当該認証局の公開鍵の要求を受けつけ、証明書デ
ータベース42から当該認証局の公開鍵を取得してショ
ップシステム15へ送信する。
5から当該認証局の公開鍵の要求を受けつけ、証明書デ
ータベース42から当該認証局の公開鍵を取得してショ
ップシステム15へ送信する。
【0066】図8は、ユーザシステム30の構成図であ
る。この構成図は、ソフトウェアとハードウェアの連携
によって実現される機能ブロックを描いたものであり、
これらの機能ブロックは、ユーザ端末28にインストー
ルされるアプリケーションプログラムとして実現されて
もよく、少なくとも一部がオペレーションシステムやフ
ァームウェアの機能を用いて実現されたり、ハードウェ
アを用いて実現されてもよい。
る。この構成図は、ソフトウェアとハードウェアの連携
によって実現される機能ブロックを描いたものであり、
これらの機能ブロックは、ユーザ端末28にインストー
ルされるアプリケーションプログラムとして実現されて
もよく、少なくとも一部がオペレーションシステムやフ
ァームウェアの機能を用いて実現されたり、ハードウェ
アを用いて実現されてもよい。
【0067】証明書管理部50は、認証装置26へ証明
書発行要求を送信し、認証装置26からディジタル証明
書を受信して管理する。証明書管理部50は、鍵ペア生
成部52、証明書要求生成部54、証明書保持部56、
および証明書受信部58を含む。鍵ペア生成部52は、
ユーザ固有の公開鍵と秘密鍵のペアを生成する。生成さ
れた鍵は図示しない記憶部に保持される。ハードウェア
固有情報取得部60は、当該ユーザシステム30がイン
ストールされたハードウェアすなわちユーザ端末28に
固有の識別情報を取得する。このハードウェア固有の識
別情報の一例は、前述のPSNであり、MACアドレ
ス、IPアドレスなどで代用したり、組合せてもよい。
書発行要求を送信し、認証装置26からディジタル証明
書を受信して管理する。証明書管理部50は、鍵ペア生
成部52、証明書要求生成部54、証明書保持部56、
および証明書受信部58を含む。鍵ペア生成部52は、
ユーザ固有の公開鍵と秘密鍵のペアを生成する。生成さ
れた鍵は図示しない記憶部に保持される。ハードウェア
固有情報取得部60は、当該ユーザシステム30がイン
ストールされたハードウェアすなわちユーザ端末28に
固有の識別情報を取得する。このハードウェア固有の識
別情報の一例は、前述のPSNであり、MACアドレ
ス、IPアドレスなどで代用したり、組合せてもよい。
【0068】証明書要求生成部54は、鍵ペア生成部5
2により生成された公開鍵と、ハードウェア固有情報取
得部60により取得されたハードウェア固有情報とをユ
ーザ情報として用いた証明書発行要求を生成し、認証装
置26にその要求を送信する。
2により生成された公開鍵と、ハードウェア固有情報取
得部60により取得されたハードウェア固有情報とをユ
ーザ情報として用いた証明書発行要求を生成し、認証装
置26にその要求を送信する。
【0069】証明書受信部58は認証装置26が発行し
たディジタル証明書を受信し、証明書保持部56がその
ディジタル証明書を保持する。ハードウェア固有情報検
証部62は、証明書保持部56に保持されたディジタル
証明書に組み込まれたハードウェア固有情報を抽出し、
ハードウェア固有情報取得部60により取得された自己
のハードウェア固有情報と比較し、両者が一致するかど
うかを検証する。電子商取引部64は、ショップシステ
ム15との間で電子商取引を開始する際、証明書保持部
56に保持された検証済みのディジタル証明書をショッ
プシステム15に送信する。ショップシステム15は後
述のようにユーザシステム30から送信されたディジタ
ル証明書を検証して、電子商取引部64に取引の開始確
認を返信する。これを受けて電子商取引部64はショッ
プシステム15との間で商取引を行う。
たディジタル証明書を受信し、証明書保持部56がその
ディジタル証明書を保持する。ハードウェア固有情報検
証部62は、証明書保持部56に保持されたディジタル
証明書に組み込まれたハードウェア固有情報を抽出し、
ハードウェア固有情報取得部60により取得された自己
のハードウェア固有情報と比較し、両者が一致するかど
うかを検証する。電子商取引部64は、ショップシステ
ム15との間で電子商取引を開始する際、証明書保持部
56に保持された検証済みのディジタル証明書をショッ
プシステム15に送信する。ショップシステム15は後
述のようにユーザシステム30から送信されたディジタ
ル証明書を検証して、電子商取引部64に取引の開始確
認を返信する。これを受けて電子商取引部64はショッ
プシステム15との間で商取引を行う。
【0070】ハードウェア固有情報検証部62による検
証の結果、ディジタル証明書に含まれるハードウェア固
有情報と当該ユーザ端末28のハードウェア固有情報と
が一致しなかった場合、ハードウェア固有情報検証部6
2はそのディジタル証明書が不正に入手されたものと判
断して無効化し、電子商取引部64による商取引に使用
されないように制限する。またそのような場合、認証局
に不正があることを通知する警告部がさらに設けられて
もよい。
証の結果、ディジタル証明書に含まれるハードウェア固
有情報と当該ユーザ端末28のハードウェア固有情報と
が一致しなかった場合、ハードウェア固有情報検証部6
2はそのディジタル証明書が不正に入手されたものと判
断して無効化し、電子商取引部64による商取引に使用
されないように制限する。またそのような場合、認証局
に不正があることを通知する警告部がさらに設けられて
もよい。
【0071】図9は、ショップシステム15の構成図で
ある。電子商取引部70は、ユーザシステム30からデ
ィジタル証明書とともに取引要求を受け取る。CA公開
鍵管理部74は、ディジタル証明書を発行した認証装置
26に対してCA固有の公開鍵を要求し、認証装置26
からそのCA公開鍵を受け取る。証明書検証部72は、
CA公開鍵を用いて、電子商取引部70が受信したディ
ジタル証明書を復号し、証明書の正当性を検証する。証
明書が検証されると、電子商取引部70はユーザシステ
ム30へ取引開始確認を送信する。これ以降、電子商取
引部70はユーザシステム30との間で商取引を行う。
証明書の正当性が確認されなかった場合は、ユーザシス
テム30の取引要求を拒否する。
ある。電子商取引部70は、ユーザシステム30からデ
ィジタル証明書とともに取引要求を受け取る。CA公開
鍵管理部74は、ディジタル証明書を発行した認証装置
26に対してCA固有の公開鍵を要求し、認証装置26
からそのCA公開鍵を受け取る。証明書検証部72は、
CA公開鍵を用いて、電子商取引部70が受信したディ
ジタル証明書を復号し、証明書の正当性を検証する。証
明書が検証されると、電子商取引部70はユーザシステ
ム30へ取引開始確認を送信する。これ以降、電子商取
引部70はユーザシステム30との間で商取引を行う。
証明書の正当性が確認されなかった場合は、ユーザシス
テム30の取引要求を拒否する。
【0072】図10〜図13を参照して、実施の形態に
係る認証システムによる認証手順を説明する。図10
は、認証装置26におけるディジタル証明書の生成と発
行の手順を示すフローチャートである。証明書生成部3
2はユーザから証明書発行要求を受信する(S10)。
この発行要求にはユーザが利用しているハードウェアに
固有の識別情報が含まれている。ダイジェスト生成部3
6は、このハードウェア固有情報を含むディジタル証明
書のデータをハッシュ関数に通してダイジェストを生成
する(S12)。ダイジェストはディジタル証明書の
「指紋」に相当する。ディジタル署名部38は当該認証
局の秘密鍵を用いてこのダイジェストを暗号化して署名
データを作成し、ディジタル証明書に付加する(S1
4)。証明書発行部40はこうして得られたディジタル
証明書を発行する(S16)。
係る認証システムによる認証手順を説明する。図10
は、認証装置26におけるディジタル証明書の生成と発
行の手順を示すフローチャートである。証明書生成部3
2はユーザから証明書発行要求を受信する(S10)。
この発行要求にはユーザが利用しているハードウェアに
固有の識別情報が含まれている。ダイジェスト生成部3
6は、このハードウェア固有情報を含むディジタル証明
書のデータをハッシュ関数に通してダイジェストを生成
する(S12)。ダイジェストはディジタル証明書の
「指紋」に相当する。ディジタル署名部38は当該認証
局の秘密鍵を用いてこのダイジェストを暗号化して署名
データを作成し、ディジタル証明書に付加する(S1
4)。証明書発行部40はこうして得られたディジタル
証明書を発行する(S16)。
【0073】図11は、ユーザシステム30における証
明書発行要求の手順を示すフローチャートである。鍵ペ
ア生成部52はユーザ固有の公開鍵と秘密鍵のペアを生
成する(S20)。ハードウェア固有情報取得部60は
ハードウェア固有情報を読み出してもよいかどうかユー
ザに問い合わせる(S22)。ユーザが読み出しを許可
した場合(S22のY)、ハードウェア固有情報取得部
60はハードウェア固有情報を取得する(S24)。証
明書要求生成部54は取得したハードウェア固有情報と
ユーザの公開鍵データをユーザ情報として含むディジタ
ル証明書の発行要求を認証装置26に送信する(S2
6)。ステップS22でユーザが読み出しを許可しない
場合(S22のN)、ハードウェア固有情報の読み出し
および証明書の発行要求をすることなく、終了する。
明書発行要求の手順を示すフローチャートである。鍵ペ
ア生成部52はユーザ固有の公開鍵と秘密鍵のペアを生
成する(S20)。ハードウェア固有情報取得部60は
ハードウェア固有情報を読み出してもよいかどうかユー
ザに問い合わせる(S22)。ユーザが読み出しを許可
した場合(S22のY)、ハードウェア固有情報取得部
60はハードウェア固有情報を取得する(S24)。証
明書要求生成部54は取得したハードウェア固有情報と
ユーザの公開鍵データをユーザ情報として含むディジタ
ル証明書の発行要求を認証装置26に送信する(S2
6)。ステップS22でユーザが読み出しを許可しない
場合(S22のN)、ハードウェア固有情報の読み出し
および証明書の発行要求をすることなく、終了する。
【0074】なお、鍵の生成(S20)は証明書の発行
要求のたびに行う必要はなく、一度生成した鍵を何度も
用いてよい。またハードウェア固有情報の読み出しの問
い合わせ(S22)についても、ユーザが一度読み出し
を許可すると、再度の問い合わせをしないようにしても
よい。またハードウェア固有情報の読み出しができない
ようにロックをかけ、ユーザが読み出しの許可を与えた
場合にそのロックを解除して自由に読み出し可能にする
ロック制御部をさらに設けてもよい。
要求のたびに行う必要はなく、一度生成した鍵を何度も
用いてよい。またハードウェア固有情報の読み出しの問
い合わせ(S22)についても、ユーザが一度読み出し
を許可すると、再度の問い合わせをしないようにしても
よい。またハードウェア固有情報の読み出しができない
ようにロックをかけ、ユーザが読み出しの許可を与えた
場合にそのロックを解除して自由に読み出し可能にする
ロック制御部をさらに設けてもよい。
【0075】図12は、ユーザシステム30におけるハ
ードウェア固有情報の検証手順を示すフローチャートで
ある。認証装置26からディジタル証明書が受信される
と、CAの公開鍵を用いてその証明書の正当性が検証さ
れる(S30)。ハードウェア固有情報検証部62は証
明書からハードウェア固有情報を抽出する(S32)。
ハードウェア固有情報取得部60は当該ユーザシステム
30が利用するハードウェアから自己のハードウェア固
有情報を取得する(S34)。ハードウェア固有情報検
証部62は、証明書から抽出されたハードウェア固有情
報と自己のハードウェア固有情報とを比較し、一致する
かどうかを調べる(S36)。一致する場合(S36の
Y)、電子商取引部64は商取引の要求の際、そのディ
ジタル証明書をショップシステム15に送信し(S3
8)、一致しない場合(S36のN)、ディジタル証明
書の送信を行わない。一致しない場合、そのディジタル
証明書は不正に入手されたものである可能性があるた
め、その証明書を発行したCAである認証装置26に不
正があることを警告するステップをさらに含んでもよ
い。
ードウェア固有情報の検証手順を示すフローチャートで
ある。認証装置26からディジタル証明書が受信される
と、CAの公開鍵を用いてその証明書の正当性が検証さ
れる(S30)。ハードウェア固有情報検証部62は証
明書からハードウェア固有情報を抽出する(S32)。
ハードウェア固有情報取得部60は当該ユーザシステム
30が利用するハードウェアから自己のハードウェア固
有情報を取得する(S34)。ハードウェア固有情報検
証部62は、証明書から抽出されたハードウェア固有情
報と自己のハードウェア固有情報とを比較し、一致する
かどうかを調べる(S36)。一致する場合(S36の
Y)、電子商取引部64は商取引の要求の際、そのディ
ジタル証明書をショップシステム15に送信し(S3
8)、一致しない場合(S36のN)、ディジタル証明
書の送信を行わない。一致しない場合、そのディジタル
証明書は不正に入手されたものである可能性があるた
め、その証明書を発行したCAである認証装置26に不
正があることを警告するステップをさらに含んでもよ
い。
【0076】図13は、ショップシステム15における
ディジタル証明書の検証手順を示すフローチャートであ
る。電子商取引部70はユーザシステム30から取引要
求とともにユーザの証明書を受信する(S40)。CA
公開鍵管理部74は受信した証明書の完全性を検証する
ために、証明書を発行したCAである認証装置26へ公
開鍵を要求する(S42)。証明書検証部72はCA公
開鍵により証明書のディジタル署名を復号し、署名を検
証する(S42)。CAの署名の正当性が検証された場
合(S42のY)、電子商取引部70はユーザシステム
30に取引開始確認を送信し、ユーザシステム30との
取引を実行し(S44)、CAの署名の正当性が否定さ
れた場合(S42のN)、ユーザシステム30との取引
を拒否する(S46)。
ディジタル証明書の検証手順を示すフローチャートであ
る。電子商取引部70はユーザシステム30から取引要
求とともにユーザの証明書を受信する(S40)。CA
公開鍵管理部74は受信した証明書の完全性を検証する
ために、証明書を発行したCAである認証装置26へ公
開鍵を要求する(S42)。証明書検証部72はCA公
開鍵により証明書のディジタル署名を復号し、署名を検
証する(S42)。CAの署名の正当性が検証された場
合(S42のY)、電子商取引部70はユーザシステム
30に取引開始確認を送信し、ユーザシステム30との
取引を実行し(S44)、CAの署名の正当性が否定さ
れた場合(S42のN)、ユーザシステム30との取引
を拒否する(S46)。
【0077】ユーザシステム30とショップシステム1
5は、ユーザとオンラインショップとの間の電子商取引
をディジタル証明書を用いて安全に行うための専用ソフ
トウェアとして実現することができる。この場合、とく
にユーザ端末28側にインストールされるユーザシステ
ム30のプログラムは、ハードウェア固有情報の検証ル
ーチンが不正に改変されないようにプログラムコードの
難読化などの改変防止対策が取られる。
5は、ユーザとオンラインショップとの間の電子商取引
をディジタル証明書を用いて安全に行うための専用ソフ
トウェアとして実現することができる。この場合、とく
にユーザ端末28側にインストールされるユーザシステ
ム30のプログラムは、ハードウェア固有情報の検証ル
ーチンが不正に改変されないようにプログラムコードの
難読化などの改変防止対策が取られる。
【0078】以上述べたように、本認証システムは、ユ
ーザが使用しているハードウェア情報を付加したディジ
タル証明書を使用して認証を行うシステムである。主に
電子商取引での利用を目的としている。なぜなら、セキ
ュリティに関心がないユーザがコンピュータを使ってイ
ンターネットに接続してオンラインショッピングを楽し
んでおり、ユーザ自身が扱うID・パスワードが簡単に
漏れてしまうことが多く、不正行為も容易に出来てしま
うからである。それを抑制するためにコンピュータ側で
認証情報を管理する必要がある。ID・パスワードだけ
の認証情報では不正行為を抑止することは困難であるた
め、不変なユーザ情報としてPSN、MACアドレス等
のハードウェア固有情報を用いた。本認証システムを利
用することで、サービスを提供する側もユーザ自身もよ
り安全で容易に電子商取引を行うことができる。
ーザが使用しているハードウェア情報を付加したディジ
タル証明書を使用して認証を行うシステムである。主に
電子商取引での利用を目的としている。なぜなら、セキ
ュリティに関心がないユーザがコンピュータを使ってイ
ンターネットに接続してオンラインショッピングを楽し
んでおり、ユーザ自身が扱うID・パスワードが簡単に
漏れてしまうことが多く、不正行為も容易に出来てしま
うからである。それを抑制するためにコンピュータ側で
認証情報を管理する必要がある。ID・パスワードだけ
の認証情報では不正行為を抑止することは困難であるた
め、不変なユーザ情報としてPSN、MACアドレス等
のハードウェア固有情報を用いた。本認証システムを利
用することで、サービスを提供する側もユーザ自身もよ
り安全で容易に電子商取引を行うことができる。
【0079】また本認証システムは、標準的なOSの上
にアプリケーションレベルで開発できるため、実装に手
間がかからず、またICカードによる認証や指紋認証と
は違い、認証のための特別なハードウェアを必要としな
い。また本認証システムではユーザが使用するハードウ
ェアが盗まれない限り、「なりすまし」ができない。ユ
ーザは認証データを盗まれて気がつかないが、自分の使
っているハードウェアの盗難は早期に発見できるため、
不正利用に対して直ちに対処できる。
にアプリケーションレベルで開発できるため、実装に手
間がかからず、またICカードによる認証や指紋認証と
は違い、認証のための特別なハードウェアを必要としな
い。また本認証システムではユーザが使用するハードウ
ェアが盗まれない限り、「なりすまし」ができない。ユ
ーザは認証データを盗まれて気がつかないが、自分の使
っているハードウェアの盗難は早期に発見できるため、
不正利用に対して直ちに対処できる。
【0080】また本認証システムでは、ユーザの個人情
報を管理してユーザにネットワークサービスを提供する
ISPなどの組織が認証局は兼ねるため、ユーザの属す
る組織ごとに分散された認証局を比較的簡単な構成で立
ち上げることができる。
報を管理してユーザにネットワークサービスを提供する
ISPなどの組織が認証局は兼ねるため、ユーザの属す
る組織ごとに分散された認証局を比較的簡単な構成で立
ち上げることができる。
【0081】以上、本発明を実施の形態をもとに説明し
た。実施の形態は例示であり、それらの各構成要素や各
処理プロセスの組合せにいろいろな変形例が可能なこ
と、またそうした変形例も本発明の範囲にあることは当
業者に理解されるところである。以下そのような変形例
を説明する。
た。実施の形態は例示であり、それらの各構成要素や各
処理プロセスの組合せにいろいろな変形例が可能なこ
と、またそうした変形例も本発明の範囲にあることは当
業者に理解されるところである。以下そのような変形例
を説明する。
【0082】本認証システムはPCベースのシステムに
限られない。PCの普及率は飽和状態にあり、その代わ
り携帯端末の普及が目覚しい。本システムはPDA(Pe
rsonal Digital Assistance)と総称される携帯端末機
や、携帯電話に応用することができる。最近、一部の携
帯電話でJava(登録商標)アプリケーションが動作
するようになってきており、今後全ての携帯電話の標準
的な機能となると思われる。また、各携帯電話は必ず固
有IDを持っており、この固有情報とJava技術を利
用することにより、ディジタル証明書を利用した認証シ
ステムを構築することができる。
限られない。PCの普及率は飽和状態にあり、その代わ
り携帯端末の普及が目覚しい。本システムはPDA(Pe
rsonal Digital Assistance)と総称される携帯端末機
や、携帯電話に応用することができる。最近、一部の携
帯電話でJava(登録商標)アプリケーションが動作
するようになってきており、今後全ての携帯電話の標準
的な機能となると思われる。また、各携帯電話は必ず固
有IDを持っており、この固有情報とJava技術を利
用することにより、ディジタル証明書を利用した認証シ
ステムを構築することができる。
【0083】また上記では一般的な例としてWeb上で
の電子商取引においてディジタル証明書を利用する場合
を説明したが、もちろんWebに限定する趣旨ではな
い。またディジタル証明書は電子商取引に限らず、公的
書類の申請や発行、税金等の手続きなど商取引以外の場
面でも利用される。そのような場合においても本発明の
認証システムを適用することにより、なりすましなどの
不正行為を防止することができる。
の電子商取引においてディジタル証明書を利用する場合
を説明したが、もちろんWebに限定する趣旨ではな
い。またディジタル証明書は電子商取引に限らず、公的
書類の申請や発行、税金等の手続きなど商取引以外の場
面でも利用される。そのような場合においても本発明の
認証システムを適用することにより、なりすましなどの
不正行為を防止することができる。
【0084】また本認証システムはユーザの属する組織
単位で分散した認証局を用いるため、ユーザ全体を統一
して管理する必要はなく、認証局ごとに異なる認証方式
を採用することもできる。また組織単位でユーザを認証
可能であればよいので、組織内でユーザをユニークに識
別できる固有の識別情報をディジタル証明書に用いるこ
とで十分である。したがってPSNのように完全にユニ
ークな識別情報を使わなくても、MACアドレスやハー
ドウェアのシリアルナンバー、ハードウェアのコンフィ
グレーションなど、他の識別情報を組合せたり、それら
の識別情報の一部を用いることで対処することも可能で
ある。また識別情報として、BIOSのバージョンやR
OMに書き込まれた製品のロットナンバーなどを用いて
もよい。
単位で分散した認証局を用いるため、ユーザ全体を統一
して管理する必要はなく、認証局ごとに異なる認証方式
を採用することもできる。また組織単位でユーザを認証
可能であればよいので、組織内でユーザをユニークに識
別できる固有の識別情報をディジタル証明書に用いるこ
とで十分である。したがってPSNのように完全にユニ
ークな識別情報を使わなくても、MACアドレスやハー
ドウェアのシリアルナンバー、ハードウェアのコンフィ
グレーションなど、他の識別情報を組合せたり、それら
の識別情報の一部を用いることで対処することも可能で
ある。また識別情報として、BIOSのバージョンやR
OMに書き込まれた製品のロットナンバーなどを用いて
もよい。
【0085】
【発明の効果】本発明によれば、ユーザ認証における不
正行為を防止することができる。
正行為を防止することができる。
【図1】 実施の形態に係るディジタル証明書のデータ
の構造を説明する図である。
の構造を説明する図である。
【図2】 プロセッサシリアルナンバーの表示画面を説
明する図である。
明する図である。
【図3】 実施の形態に係るディジタル証明書の申請と
発行の手順を説明する図である。
発行の手順を説明する図である。
【図4】 実施の形態に係る認証システムにおける商取
引の手順を説明する図である。
引の手順を説明する図である。
【図5】 実施の形態に係る証明書の管理と認証の手順
を説明する図である。
を説明する図である。
【図6】 実施の形態に係る認証システムの構成図であ
る。
る。
【図7】 図6の認証装置の構成図である。
【図8】 図6のユーザシステムの構成図である。
【図9】 図6のショップシステムの構成図である。
【図10】 認証装置におけるディジタル証明書の生成
と発行の手順を示すフローチャートである。
と発行の手順を示すフローチャートである。
【図11】 ユーザシステムにおける証明書発行要求の
手順を示すフローチャートである。
手順を示すフローチャートである。
【図12】 ユーザシステムにおけるハードウェア固有
情報の検証手順を示すフローチャートである。
情報の検証手順を示すフローチャートである。
【図13】 ショップシステムにおけるディジタル証明
書の検証手順を示すフローチャートである。
書の検証手順を示すフローチャートである。
10 オンラインショッピングサイト、 12 Web
サーバ、 14 データベースサーバ、 15 ショッ
プシステム、 16 インターネット、 18インター
ネットサービスプロバイダ、 26 認証装置、 28
ユーザ端末、 30 ユーザシステム、 32 証明
書生成部、 34 鍵生成部、 36ダイジェスト生成
部、 38 ディジタル署名部、 40 証明書発行
部、42 証明書データベース、 44 公開鍵配布
部、 50 証明書管理部、52 鍵ペア生成部、 5
4 証明書要求生成部、 56 証明書保持部、 58
証明書受信部、 60 ハードウェア固有情報取得
部、 62 ハードウェア固有情報検証部、 64 電
子商取引部、 70 電子商取引部、 72 証明書検
証部、 74 CA公開鍵管理部。
サーバ、 14 データベースサーバ、 15 ショッ
プシステム、 16 インターネット、 18インター
ネットサービスプロバイダ、 26 認証装置、 28
ユーザ端末、 30 ユーザシステム、 32 証明
書生成部、 34 鍵生成部、 36ダイジェスト生成
部、 38 ディジタル署名部、 40 証明書発行
部、42 証明書データベース、 44 公開鍵配布
部、 50 証明書管理部、52 鍵ペア生成部、 5
4 証明書要求生成部、 56 証明書保持部、 58
証明書受信部、 60 ハードウェア固有情報取得
部、 62 ハードウェア固有情報検証部、 64 電
子商取引部、 70 電子商取引部、 72 証明書検
証部、 74 CA公開鍵管理部。
Claims (16)
- 【請求項1】 ユーザシステムからディジタル証明書の
発行要求が出されたとき、そのユーザシステムで利用す
るハードウェアに固有の識別情報を組み込む形で当該証
明書を生成し、そのユーザシステムへ発行することを特
徴とする認証方法。 - 【請求項2】 前記ユーザシステムは、自己のハードウ
ェアに固有の識別情報と照合して前記発行された証明書
の正当性を検証した後、ネットワーク上の電子商取引の
際にその証明書を利用することを特徴とする請求項1に
記載の認証方法。 - 【請求項3】 ネットワーク上で前記ユーザシステムに
所定のサービスを提供する組織が前記証明書の発行機関
を兼ねることを特徴とする請求項1または2に記載の認
証方法。 - 【請求項4】 前記ハードウェアに固有の前記識別情報
を標準的なディジタル証明書の拡張領域に埋め込んで発
行することを特徴とする請求項1から3のいずれかに記
載の認証方法。 - 【請求項5】 前記ユーザシステムは、前記証明書の発
行要求の際、自己のハードウェアに固有の識別情報を読
み出し可能に設定することを特徴とする請求項1から4
のいずれかに記載の認証方法。 - 【請求項6】 前記ユーザシステムは、前記証明書の発
行要求に先立ち、ユーザに自己のハードウェアに固有の
識別情報を読み出してよいかどうか問い合わせることを
特徴とする請求項1から5のいずれかに記載の認証方
法。 - 【請求項7】 ユーザシステムで利用するハードウェア
に固有の識別情報を組み込む形でディジタル証明書を生
成する証明書生成部と、 前記生成された証明書を前記ユーザシステムに発行する
証明書発行部と、 前記証明書を保持する証明書データベースとを含むこと
を特徴とする認証装置。 - 【請求項8】 第3者から前記証明書の正当性を検証す
るための公開鍵を要求されたとき、前記証明書データベ
ースから当該証明書の公開鍵を抽出して配布する公開鍵
配布部をさらに含むことを特徴とする請求項7に記載の
認証装置。 - 【請求項9】 ユーザが利用する自己のハードウェアに
固有の識別情報を取得する取得部と、 前記自己のハードウェアに固有の識別情報を認証局に送
信して、その識別情報を組み込んだディジタル証明書の
発行を受け、その証明書を保持する証明書管理部と、 前記自己のハードウェアに固有の識別情報と照合して前
記発行された証明書の正当性を検証する検証部とを含む
ことを特徴とするユーザシステム。 - 【請求項10】 前記検証された証明書を利用して電子
商取引を要求する取引部をさらに含むことを特徴とする
請求項9に記載のユーザシステム。 - 【請求項11】 前記検証部により前記証明書の正当性
が否定された場合、前記証明書を用いた電子商取引を禁
止し、前記認証局にその旨を通知する警告部をさらに含
むことを特徴とする請求項10に記載のユーザシステ
ム。 - 【請求項12】 前記取得部は、前記自己のハードウェ
アに固有の識別情報の読み出し許可をユーザから得た上
で、その識別情報を取得することを特徴とする請求項9
から11のいずれかに記載のユーザシステム。 - 【請求項13】 ディジタル証明書を発行する認証装置
と、前記証明書の発行を受けるユーザシステムとを含む
認証システムであって、 前記認証装置は、 前記ユーザシステムで利用するハードウェアに固有の識
別情報を受信し、その識別情報を組み込む形でディジタ
ル証明書を生成する証明書生成部と、 前記生成された前記証明書を前記ユーザシステムに発行
する証明書発行部と、 前記証明書を保持する証明書データベースとを含み、 前記ユーザシステムは、 ユーザが利用する自己のハードウェアに固有の識別情報
を取得する取得部と、 前記自己のハードウェアに固有の識別情報を前記認証装
置に送信して、その識別情報を組み込んだディジタル証
明書の発行を受け、その証明書を保持する証明書管理部
と、 前記自己のハードウェアに固有の識別情報と照合して前
記証明書の正当性を検証する検証部とを含むことを特徴
とする認証システム。 - 【請求項14】 ユーザが利用する自己のハードウェア
に固有の識別情報を取得するモジュールと、 前記自己のハードウェアに固有の識別情報を認証局に送
信して、その識別情報を組み込んだディジタル証明書の
発行を受け、その証明書を保持するモジュールと、 前記自己のハードウェアに固有の識別情報と照合して前
記発行された証明書の正当性を検証するモジュールとを
含むコンピュータ用のプログラム。 - 【請求項15】 証明書発行の申請時に、ユーザシステ
ムは自己が使用しているハードウェアの固有情報を含め
た個人情報を認証局に送り、前記認証局は、その情報を
付加した証明書を発行し、前記ユーザシステムは受け取
ったディジタル証明書を使用して認証を行い、電子商取
引を行うことを特徴とする認証システム。 - 【請求項16】 前記ユーザシステム側でユーザの使用
しているハードウェア情報と証明書に記録されているハ
ードウェア情報を比較し、一致すれば、その証明書を前
記電子商取引におけるサービス提供者側に送信し、前記
サービス提供者側でその証明書の認証を行い、取引を開
始することを特徴とする請求項15に記載の認証システ
ム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001380971A JP2003188873A (ja) | 2001-12-14 | 2001-12-14 | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001380971A JP2003188873A (ja) | 2001-12-14 | 2001-12-14 | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003188873A true JP2003188873A (ja) | 2003-07-04 |
Family
ID=27591796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001380971A Pending JP2003188873A (ja) | 2001-12-14 | 2001-12-14 | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003188873A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005078990A1 (ja) * | 2004-02-16 | 2005-08-25 | Mitsubishi Denki Kabushiki Kaisha | データ送受信装置及び電子証明書発行方法 |
| JP2007114884A (ja) * | 2005-10-18 | 2007-05-10 | Casio Comput Co Ltd | 入力装置および入力情報不正読取防止プログラム |
| US20070168658A1 (en) * | 2006-01-17 | 2007-07-19 | Canon Kabushiki Kaisha | Information processing apparatus and control method |
| US7836121B2 (en) | 2004-04-14 | 2010-11-16 | Ipass Inc. | Dynamic executable |
| JP4892008B2 (ja) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
| JP2012050139A (ja) * | 2011-11-18 | 2012-03-08 | Canon Inc | 情報処理装置およびその制御方法 |
| JP2014174560A (ja) * | 2013-03-05 | 2014-09-22 | Canon Inc | 情報処理装置及びサーバとその制御方法、プログラム及び記憶媒体 |
| JP2018517367A (ja) * | 2015-06-10 | 2018-06-28 | クアルコム,インコーポレイテッド | サービスプロバイダ証明書管理 |
-
2001
- 2001-12-14 JP JP2001380971A patent/JP2003188873A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005228198A (ja) * | 2004-02-16 | 2005-08-25 | Mitsubishi Electric Corp | データ送受信装置及び電子証明書発行方法 |
| WO2005078990A1 (ja) * | 2004-02-16 | 2005-08-25 | Mitsubishi Denki Kabushiki Kaisha | データ送受信装置及び電子証明書発行方法 |
| JP4628684B2 (ja) * | 2004-02-16 | 2011-02-09 | 三菱電機株式会社 | データ送受信装置及び電子証明書発行方法 |
| US7584360B2 (en) | 2004-02-16 | 2009-09-01 | Mitsubishi Electric Corporation | Data sending/receiving device and digital certificate issuing method |
| US7836121B2 (en) | 2004-04-14 | 2010-11-16 | Ipass Inc. | Dynamic executable |
| JP2007114884A (ja) * | 2005-10-18 | 2007-05-10 | Casio Comput Co Ltd | 入力装置および入力情報不正読取防止プログラム |
| US20070168658A1 (en) * | 2006-01-17 | 2007-07-19 | Canon Kabushiki Kaisha | Information processing apparatus and control method |
| JP2007194730A (ja) * | 2006-01-17 | 2007-08-02 | Canon Inc | 情報処理装置およびその制御方法 |
| US8850186B2 (en) * | 2006-01-17 | 2014-09-30 | Canon Kabushiki Kaisha | Change in identification information causing request for new certificate issuance |
| JP4892008B2 (ja) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
| US8775796B2 (en) | 2007-02-07 | 2014-07-08 | Nippon Telegraph And Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
| JP2012050139A (ja) * | 2011-11-18 | 2012-03-08 | Canon Inc | 情報処理装置およびその制御方法 |
| JP2014174560A (ja) * | 2013-03-05 | 2014-09-22 | Canon Inc | 情報処理装置及びサーバとその制御方法、プログラム及び記憶媒体 |
| US9544299B2 (en) | 2013-03-05 | 2017-01-10 | Canon Kabushiki Kaisha | Information processing apparatus, server, method for controlling the same and storage medium |
| JP2018517367A (ja) * | 2015-06-10 | 2018-06-28 | クアルコム,インコーポレイテッド | サービスプロバイダ証明書管理 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9860245B2 (en) | System and methods for online authentication | |
| US9117324B2 (en) | System and method for binding a smartcard and a smartcard reader | |
| US9160732B2 (en) | System and methods for online authentication | |
| US10586229B2 (en) | Anytime validation tokens | |
| CN104601593B (zh) | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 | |
| US20080028206A1 (en) | Session-based public key infrastructure | |
| JP5340938B2 (ja) | コンプライアンス評価報告サービス | |
| US20080250246A1 (en) | Method for Controlling Secure Transactions Using a Single Multiple Dual-Key Device, Corresponding Physical Deivce, System and Computer Program | |
| JPWO2005011192A1 (ja) | アドレスに基づく認証システム、その装置およびプログラム | |
| JPWO2005011192A6 (ja) | アドレスに基づく認証システム、その装置およびプログラム | |
| GB2434724A (en) | Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters | |
| US20090106548A1 (en) | Method for controlling secured transactions using a single physical device, corresponding physical device, system and computer program | |
| KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
| JP4510392B2 (ja) | 個人情報認証を行うサービス提供システム | |
| JP2003188873A (ja) | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム | |
| JP3872616B2 (ja) | 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式 | |
| JP2004102872A (ja) | 個人情報保護オンライン・コマース・システム | |
| JP2000078128A (ja) | 通信システム及びicカード並びに記録媒体 | |
| Halonen | Authentication and authorization in mobile environment | |
| Covington et al. | Attribute-based authentication model for dynamic mobile environments | |
| JP2006074487A (ja) | 認証管理方法及び認証管理システム | |
| AU2015200701A1 (en) | Anytime validation for verification tokens | |
| KR20100128413A (ko) | 인증서 관리 시스템 및 방법 | |
| WO2005060206A1 (en) | Public key infrastructure credential registration | |
| Platform | Trusted mobile platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060523 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061003 |