JP2004102784A - Method and system for permitting use of ic card service to multiple service user - Google Patents

Method and system for permitting use of ic card service to multiple service user Download PDF

Info

Publication number
JP2004102784A
JP2004102784A JP2002265385A JP2002265385A JP2004102784A JP 2004102784 A JP2004102784 A JP 2004102784A JP 2002265385 A JP2002265385 A JP 2002265385A JP 2002265385 A JP2002265385 A JP 2002265385A JP 2004102784 A JP2004102784 A JP 2004102784A
Authority
JP
Japan
Prior art keywords
service
license
ic card
server
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002265385A
Other languages
Japanese (ja)
Other versions
JP3996022B2 (en
Inventor
Junko Hashimoto
Takumi Kashiwagi
Hiroyuki Minami
Eiichi Niwano
南  裕之
庭野 栄一
柏木  巧
橋本 順子
Original Assignee
Nippon Telegr & Teleph Corp <Ntt>
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegr & Teleph Corp <Ntt>, 日本電信電話株式会社 filed Critical Nippon Telegr & Teleph Corp <Ntt>
Priority to JP2002265385A priority Critical patent/JP3996022B2/en
Publication of JP2004102784A publication Critical patent/JP2004102784A/en
Application granted granted Critical
Publication of JP3996022B2 publication Critical patent/JP3996022B2/en
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method and a system for permitting use of IC card service allowing a service providing application in an IC card to be used by multiple enterprises. <P>SOLUTION: This system comprises a service permitting person's server, one or more service user servers, and IC cards used by inserting an IC card reader having a means for communicating with the service user servers. The service permitting person's server issues a use permission certificate for the service providing application stored in the IC card to one or more service user servers. The service providing application stored in the IC card verifies the service use permission certificate sent from the service user servers and, after the authentication, performs the service only when the type of the service requested by a service execution request from the service user servers matches the type of the service included in the service use certificate. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】 [0001]
【発明の属する技術分野】 BACKGROUND OF THE INVENTION
本発明はICカードサービス提供システムに関し、特に、ICカード内のサービス提供アプリケーションを複数の事業者が利用することを可能とするICカードサービス利用許可方法及びシステムに関する。 The present invention relates to an IC card service providing system, in particular, relates to an IC card service authorization method and system that allows a service providing application in the IC card a plurality of operators to use.
【0002】 [0002]
【従来の技術】 BACKGROUND OF THE INVENTION
従来のICカードサービスシステムでは、サービス提供アプリケーションへのアクセス制御を行う主体と、サービス提供アプリケーションへの(アクセス制御の対象となる)アクセスを行う主体は、分離されていなかった。 In the conventional IC card service system, mainly for performing the main control access to the service providing application, to the service providing application (subject to access control) access has not been separated.
そして、サービス提供アプリケーションが、適切なサービス利用者サーバに対してのみサービス提供を行うために、アクセス制御を行う場合、そのアクセス制御の基となる情報を、実際にアクセス制御の対象となるアクセスが行われる前に、サービス提供アプリケーションに予め設定していた。 The service providing application, in order to perform a service provided only to the appropriate service provider server, when performing access control, the information on which to base the access control, the access actually subject to access control before that takes place, it has been set in advance in the service providing application.
以降、このアクセス制御の基となる情報を、暗号コードと呼ぶ。 Hereinafter, the information on which to base the access control, referred to as a cipher code. この暗号コードは、共通鍵・公開鍵である場合もある。 This encryption code, there is also a case which is a common key and a public key. この暗号コードと、暗号コードに対応するアクセス時の入力情報を、サービス提供アプリケーションに含まれる認証プロトコルに入力することによって、サービス提供アプリケーションは、正当なアクセス者を認証することができる。 This and cryptographic code, the input information at the time of access corresponding to the encryption code, by entering the authentication protocol included in the service providing application service providing application can authenticate legitimate access user.
従って、アクセス者は、暗号コードに対応する入力情報を作成する手段及び情報を保持しておく必要がある。 Thus, the access user, it is necessary to hold the means and information to create an input information corresponding to the encryption code. この手段及び情報は、最も単純な場合には、サービス提供アプリケーションの持つ暗号コードと一致する暗号コードであり、認証プロトコルとして共通鍵認証を用いる場合には、サービス提供アプリケーションが持つ暗号コードである共通鍵で任意の情報を暗号化したものである。 Common this means and information, in the simplest case, an encryption code that matches the encryption code with the service providing application, in the case of using a common key authentication as the authentication protocol is an encryption code with the service providing application it is obtained by encrypting any of the information in the key.
従来のICカードサービスシステムでは、ICカード内のサービス提供アプリケーションに暗号コードを設定した主体が、同時に暗号コードに対応する入力情報を作成する手段及び情報を保持しており、サービス提供アプリケーションへのアクセスを行っていた。 In the conventional IC card service system, service providing and set the encryption code to the application principal in the IC card holds the means and information to create an input information corresponding to the encryption code simultaneously, access to the service providing application the had done.
【0003】 [0003]
【発明が解決しようとする課題】 [Problems that the Invention is to Solve
しかし、これら暗号コードに対応する入力情報を作成する手段及び情報を、他の事業主体に安全に分配する手段については、発明されていなかった。 However, the means and information to create an input information corresponding to these cryptographic code, the means for securely distributed to other business entity has not been invented.
従って、従来のICカードシステムでは、以下のような問題があった。 Therefore, in the conventional IC card system, it has the following problems.
第一の問題点は、1つのサービス提供アプリケーションを複数の事業者で安全に共有することができないことである。 The first problem is the inability to safely share a service providing application on multiple carriers.
第二の問題点は、1つのサービス提供アプリケーションが保持する情報を複数の事業者で共有することができないことである。 The second problem is the inability to share information one service providing application holds a plurality of operators.
第三の問題点は、1つのサービス提供アプリケーションを複数の事業者に共有した場合に、適切な課金の仕組みがないことである。 The third problem, when share one service providing application on multiple carriers, is that there is no mechanism appropriate charging. ここで、サービス提供アプリケーションは、同一カード内の他のサービス提供アプリケーションによって利用されるライブラリのようなサービス提供アプリケーションも含むとする。 Here, the service providing application, and also includes serving applications, such as libraries utilized by other services provided applications in the same card.
このため、あるサービス利用者がサービス提供アプリケーションの機能を利用する場合には、同一機能を持ったサービス提供アプリケーションが既にICカード内に存在していても、自分専用のサービス提供アプリケーションを新たにICカードに格納する必要があった。 For this reason, when there is service user to use the function of the service providing application, even if the service provides applications that have the same function already exists in the IC card, a new IC their dedicated service providing application there was a need to be stored in the card.
従って、従来、利用者は、あるサービスの提供を複数の事業者から受ける場合に、その機能を持ったサービス提供アプリケーションを、複数、カード内に持つ必要があった。 Therefore, conventionally, the user, when receiving the provision of a service from a plurality of operators, the service providing application with its function, it was necessary to have multiple, in the card.
【0004】 [0004]
本発明の目的は、これらの問題点を解決し、あるサービス提供アプリケーションを保持する業者が、他事業者に対し、安全にそのサービス利用権を貸与できる方法及びシステムを提供することにある。 An object of the present invention is to solve these problems, skill to hold a certain service providing application, to other operators, it is to provide a method and system that can safely lend its service usage right. また、その際、貸与に対する課金の仕組みを提供することにある。 At that time, to provide the charge for lending mechanism. これらの仕組みによって、複数の事業者がサービス提供アプリケーションを開発することなく、容易にサービスの提供を受けることが可能となる。 These mechanisms, without a plurality of operators to develop services providing application, it is possible to receive the provision of easily service. また、1つのサービス提供アプリケーションを複数の事業者が共有することによって生まれる、付加価値サービスが可能となる。 Further, born by one service providing application multiple operators share, value-added services can be achieved.
【0005】 [0005]
【課題を解決するための手段】 In order to solve the problems]
これらの問題を解決するために、請求項1に記載の発明は、 To solve these problems, the invention according to claim 1,
サービス許可者サーバと、一つ以上のサービス利用者サーバと、サービス利用者サーバと通信する手段を持ったICカード読取装置に挿入されて利用されるICカードからなるシステムにおいて、 And the service-authorized individual server, in a system comprising one or more service provider server and, IC card to be used is inserted into the IC card reader having means for communicating with service provider server,
サービス許可者サーバが、1つ以上のサービス利用者サーバに対し、発行先サービス利用者サーバの公開鍵と、サービス利用者に許可されたサービスを示すサービス提供アプリケーション識別情報(AID)と、サービスの種類(オペレーションの種類)を含むサービス利用許可情報もしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであるサービス利用許可証を発行し、 Service permitter server, for one or more service provider server, the public key of the issuance destination service provider server, the service provider application identification information indicating the allowed services to the service user (AID), the service to the service use permission information or digest information that includes the type (type of operation), it issued a service license is data that was signed by the private key of the service authorized individual server,
サービス利用許可証を持つサービス利用者サーバは、ICカードに格納されたサービス提供アプリケーションを利用する際に、ICカードに格納されたサービス提供アプリケーションから受け取った署名対象データをサービス利用者公開鍵で暗号化して署名を作成し、その署名データとサービス利用許可証をICカードに格納されたサービス提供アプリケーションに送信し、 Service service user server with the use permit, when using the service provides applications that are stored in the IC card, encryption and signature target data received from the service providing application stored on the IC card in the service's public key It turned into to create a signature, sent to the signature data and stored in a service license to the IC card service providing application,
ICカードに格納されたサービス提供アプリケーションは、受信した署名データとサービス利用許可証に対して、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するとともに、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証し、 Service providing application stored in the IC card, to the received signature data and service license, as well as verifying the service license using the service authorization public key held in the service license the signature data verified by using the service's public key that is included,
これらの検証が成功したとき、サービス利用許可証に含まれるサービス利用許可情報を記録するとともに、サービス利用許可証の検証の成功をサービス利用者サーバに返送し、 When these verification is successful, records the service use permission information included in the service license, to return the success of the verification of the service license to the service user server,
サービス利用者サーバから、サービス利用許可証に対応するサービスの実行要求を受信したとき、保持したサービス利用許可情報を確認し、サービス実行要求で要求されたサービスの種類がサービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行うことを特徴とする。 From service provider server, upon receiving an execution request of the service corresponding to the service license, to confirm the held service use permission information, the type of service requested by the service execution request is included in the service license and performing the execution of the service only if they match the type of service.
【0006】 [0006]
また、請求項6記載の発明は、この請求項1記載の方法を実施するシステムであって、サービス許可者サーバと、一つ以上のサービス利用者サーバと、サービス利用者サーバと通信する手段を持ったICカード読取装置に挿入されて利用されるICカードからなるシステムにおいて、 Further, an invention according to claim 6, wherein a system implementing the method of the first aspect, and a service authorized person server, and one or more service provider server, means for communicating with service provider server in a system consisting of an IC card to be used is inserted into the IC card reader having,
サービス許可者サーバは、1つ以上のサービス利用者サーバに対し、サービス利用許可証を発行するサービス利用許可証発行手段を持ち、 Service authorization's server, for one or more of the service user server, has a service license issue means for issuing a service license,
サービス利用許可証は、発行先サービス利用者サーバの公開鍵と、サービス利用者に許可されたサービスを示すサービス提供アプリケーション識別情報(AID)と、サービスの種類(オペレーションの種類)、を含むサービス利用許可情報もしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであり、 Service use permit, service use, including a public key of the issue destination service user server, a service providing application identification information that indicates the authorized service to the service user (AID), the type of service (type of operation), the for permission information or digest information that is data that was signed by the private key of the service authorized individual server,
ICカードに格納されたサービス提供アプリケーションは、チャレンジなどの署名対象データを生成する署名対象データ生成手段を持ち、 Service providing application stored in the IC card has a signature object data generating means for generating data to be signed, such as challenge,
サービス利用者サーバは、サービス利用許可証を保持しており、ICカードに格納されたサービス提供アプリケーションから受け取った署名対象データにサービス利用者サーバの秘密鍵で署名を行う署名生成手段を持ち、 Service provider server holds the service license has a signature generation means for performing a signature to the signature target data received from the service providing application stored in the IC card with the private key of the service provider server,
ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データとサービス利用許可証に対し、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するサービス利用許可証検証手段と、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証する署名検証手段と、 Service provides applications that are stored in the IC card, the service use permit to verify the service license by using the service permission's public key to the signature data and service usage permit received from the service-user server, which holds and testimony verification means, and signature verification means for verifying the signature data by using the service's public key that is included in the service license,
検証が成功した場合に、サービス利用許可証に含まれるサービス利用許可情報を保持するサービス利用許可状態設定手段を持ち、 If the verification is successful, it has the service use permission state setting means for holding the service use permission information included in the service license,
サービス利用者サーバから、サービス実行要求が送信された場合に、サービス利用許可情報を確認するサービス利用許可状態確認手段を持ち、サービス実行要求で要求されたサービスの種類が、サービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行う、サービス実行手段を持つことをとする。 From service provider server, if the service execution request is transmitted, it has a service use permission state confirming means for confirming the service use permission information, the type of service requested by the service execution request is included in the service license the execution of the service only if they match the type of service, and to have the service execution unit.
【0007】 [0007]
請求項1及び6に記載の発明では、サービス利用許可証を持つ者のみが、サービス提供アプリケーションによって、サービス利用許可証で指定されたサービスの提供を受けることができる。 In the invention of claim 1 and 6, only those with a service license that, by the serving application, can be provided with the service specified in the service license. また、サービス利用許可証は、複数の業者に対して、サービスの種類を指定して発行が可能である。 In addition, service use permit, for a plurality of skill in the art, it is possible to issue specify the type of service.
従って、サービス許可者は、サービス提供アプリケーションを利用してよいサービス利用者サーバと事前に契約を行ってサービス利用許可証を発行することで、複数のサービス利用者に対して、きめ細やかなサービスの利用許可を行うことができる。 Therefore, service authorization who performs the contract in advance and may service user server using the service providing application by issuing a service license, for a plurality of service users, the attentive service it is possible to perform the use permission.
さらに、サービス利用許可証を発行するためには、サービス許可者の秘密鍵で署名を行うことが必要であるため、サービス利用許可証の第三者による不正な発行を防ぐことが可能である。 In addition, in order to issue a service license, since it is necessary to carry out the signed with the secret key of the service authorized person, it is possible to prevent the illegal issuance of third-party service license. また、サービス利用許可証にはサービス利用者の公開鍵が含まれるため、サービス利用許可証の第三者による不正な利用を防ぐことが可能である。 In addition, since the service license includes the public key of the service user, it is possible to prevent unauthorized use by third-party service license.
従って、本発明は、上記技術により、あるサービス提供アプリケーションを実行する権限を持つサービス許可者が、そのサービス提供アプリケーションを実行する権限を、複数のサービス利用者に対して安全に委譲することを可能としている。 Accordingly, the present invention is the above technique, allows a service authorization who has permission to perform some service providing application, permission to perform the service providing application, to safely transfer to a plurality of service users It is set to.
【0008】 [0008]
請求項2に記載の発明は、請求項1に記載の方法において、 The invention described in claim 2 is the method according to claim 1,
サービス利用者サーバは、ICカードに格納されたサービス提供アプリケーションから署名対象データを受け取った後に、この署名対象データとサービス実行要求を含むデータもしくはそのダイジェスト情報にサービス利用者秘密鍵で署名を行い、この署名データをサービス利用許可証とともにICカードに送り、 Service provider server, after receiving the signature target data from the service providing application stored in the IC card performs signature service user private key data or the digest information including the signature target data and the service execution request, sends the signature data to the IC card together with the service license,
サービス提供アプリケーションは、サービス利用者サーバから受け取った署名データとサービス利用許可証に対して、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するとともに、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証し、 Service providing application, to the signature data and service usage permit received from the service user server, along with the to verify the service license by using the service permission's public key that is held, included in the service license the signature data verified by using the service user's public key,
これらの検証が成功したとき、サービス実行要求で要求されたサービスの種類が、サービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行うことを特徴とする。 When these verification is successful, the type of service requested by the service execution request, and performing the execution of the service only if they match the type of service included in the service license.
【0009】 [0009]
また、請求項7記載の発明は、請求項2に記載の方法を実施するシステムであって、請求項6記載のシステムにおいて、 The invention of claim 7 wherein is a system for implementing the method according to claim 2, in the system of claim 6,
サービス利用者サーバは、ICカードに格納されたサービス提供アプリケーションから受け取った署名対象データとサービス提供アプリケーションへのサービス実行要求を含むデータもしくはそのダイジェスト情報に、サービス利用者サーバの秘密鍵で署名を行う署名生成手段を持ち、 Service user server performs the data or the digest information, the signature with the private key of the service provider server comprises a service execution request to the signature target data and the service provider application received from the service providing application stored in the IC card It has a signature generation means,
ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データとサービス利用許可証に対し、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するサービス利用許可証検証手段と、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証する署名検証手段と、 Service provides applications that are stored in the IC card, the service use permit to verify the service license by using the service permission's public key to the signature data and service usage permit received from the service-user server, which holds and testimony verification means, and signature verification means for verifying the signature data by using the service's public key that is included in the service license,
検証が成功した場合に、サービス実行要求で要求されたサービスの種類が、サービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行うサービス実行手段を持つことを特徴とする。 If the verification is successful, the type of service requested by the service execution request, characterized by having a service executing means for performing the execution of the service only if they match the type of service included in the service license .
【0010】 [0010]
請求項1及び6に記載の発明では、サービス提供アプリケーションからサービスの提供を受けるにあたって、事前にサービス利用許可証を提示し、認証を行っていたが、請求項2及び7に記載の発明では、事前の認証は行わず、サービス提供アプリケーションへのサービス要求時に、サービス利用許可証の確認を行うものである。 In the invention of claim 1 and 6, when receiving the service from the service providing application, pre-presenting service license, had been authenticated, in the invention according to claim 2 and 7, pre-authentication is not performed, at the time of the service request to the service providing application, is performed to confirm the service license.
【0011】 [0011]
請求項3記載の発明は、請求項1又は2記載の方法において、 According to a third aspect of the invention, in the method of claim 1 or 2, wherein,
サービス許可者サーバは、ICカードに格納されたサービス提供アプリケーションに、サービス提供アプリケーションの公開鍵と、サービス提供アプリケーションにおける識別子を含むデータもしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであるサービス提供許可証を発行し、 Service authorization's server, the service provides applications that are stored in the IC card, and a public key of the service providing application, for data or digest information that includes an identifier in the service providing application, a signed by the private key of the service authorized individual server by issuing the service provides permit is carried out data,
サービス利用者サーバは、チャレンジなどの署名対象データをICカードに送り、 The service user server sends the data to be signed, such as a challenge to the IC card,
ICカード内のサービス提供アプリケーションは、受信した署名対象データに対しサービス提供アプリケーションの秘密鍵で署名を行い、その署名データと、サービス提供許可証をサービス利用者サーバに送り、 Service provides applications in the IC card performs signed with the secret key of the service providing application to the signature object data received, and the signature data, sends the service providing license to the service user server,
サービス利用者サーバは、サービス提供アプリケーションの正当性を確認するために、サービス提供アプリケーションから受け取った署名データと、サービス提供許可証に対し、保持しているサービス許可者公開鍵を用いてサービス提供許可証を検証するとともに、サービス提供許可証に含まれるサービス提供アプリケーション公開鍵を用いて署名データを検証する、 The service user server, in order to confirm the validity of the service providing application, and signature data received from the service providing application, to the service providing license, services provided allow using the service permission's public key that is held with verifying the testimony, to verify the signature data using a service providing application public key that is included in the service providing license,
ことを特徴とする。 It is characterized in.
【0012】 [0012]
また、請求項8に記載の発明は、請求項3に記載の方法を実施するシステムであって、請求項6又は7記載のシステムにおいて、 The invention described in Claim 8 is a system for implementing the method according to claim 3, in claim 6 or 7, wherein the system,
サービス許可者サーバは、ICカードに格納されたサービス提供アプリケーションに、サービス提供許可証を発行するサービス提供許可証発行手段を持ち、 Service authorized person server, a service providing application stored in the IC card has a service providing license-issuing means for issuing a service provision permit,
サービス提供許可証は、サービス提供アプリケーションの公開鍵と、サービス提供アプリケーションの識別子を含むデータもしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであり、 Service provides permit, a public key of the service providing application, for data or digest information that contains the identifier of the service provider application, a data that was signed by the private key of the service authorized individual server,
サービス利用者サーバは、チャレンジなどの署名対象データを生成する署名対象データ生成手段を持ち、 The service user server has a signature object data generating means for generating data to be signed, such as a challenge,
サービス提供アプリケーションは、サービス利用者サーバから受け取った署名対象データに対し、サービス提供アプリケーションの秘密鍵で署名を行う、署名生成手段を持ち、 Service providing application is, for the signature target data received from the service user server, a signature by the private key of the service providing application, has a signature generation means,
サービス利用者サーバは、サービス提供アプリケーションの正当性を確認するために、サービス提供アプリケーションから受け取った署名データと、サービス提供許可証に対し、サービス提供許可証に含まれるサービス提供アプリケーション公開鍵を用いて署名データを検証する署名検証手段と、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するサービス利用許可証検証手段を持つことを特徴とする。 The service user server, in order to confirm the validity of the service providing application, and signature data received from the service providing application, to the service providing permits, using a service providing application public key that is included in the service providing license and the signature verification means for verifying the signature data, characterized in that it has a service license verification means for verifying the service license by using the service permission's public key that is held.
【0013】 [0013]
請求項1〜2及び6〜7に記載の発明では、サービス提供アプリケーションが、適切なサービス利用者を確認するための手段を提供していたが、請求項3及び8に記載の発明では、サービス利用者サーバが、通信相手である、サービス提供アプリケーションを確認する手段を提供している。 In the invention according to claim 1-2 and 6-7, but the service providing application was providing means to verify the proper service user, in the invention described in claim 3 and 8, the service user server, which is a communication partner, provides a means to check the service providing application.
従って、請求項3及び8に記載の発明は、あるサービス提供アプリケーションを実行する権限を持つサービス許可者から、そのサービス提供アプリケーションを実行する権限を委譲された複数のサービス利用者が、不正なサービス提供アプリケーションからサービスの提供を受けることなく、安全にサービス利用することを可能としている。 Thus, the invention described in claim 3 and 8, the service permission who has permission to perform some service providing application, a plurality of service users that are delegated the authority to execute the service providing application, unauthorized service without receiving the service from the provider application, is it possible to safely service.
従って、本発明によれば、あるサービス提供アプリケーションが提供するサービスを複数のサービス提供者間で安全に共有することが可能となる。 Therefore, according to the present invention, it is possible to securely share service provided a service providing application across multiple service providers.
【0014】 [0014]
請求項4又は9に記載の発明は、請求項1〜3又は6〜8の何れかに記載の方法又はシステムにおいて、 The invention according to claim 4 or 9, in the method or system according to any one of claims 1 to 3 or 6 to 8,
サービス利用許可証の署名対象データに、当該サービス提供アプリケーションが管理するデータの種類が含まれ、 The signature target data of the service license, the service providing application contains the type of data to be managed,
サービス提供の対象となるのは、サービス利用許可証で指定されたサービスの種類(オペレーション)で、サービス利用許可証で指定された種類のデータにアクセスする場合のみである、 The interest of the service provided, the type of service specified in the service license (operation), only if access to the specified type of data in the service license,
ことを特徴とする。 It is characterized in.
【0015】 [0015]
請求項1〜3又は6〜8に記載の発明では、サービス利用許可の対象が、サービス提供アプリケーションの提供するサービスの種類(オペレーションの種類)であったが、請求項4、9に記載の本発明にあっては、サービス利用許可の対象として、そのサービス(オペレーション)が対象とするデータの種類まで限定することによって、細やかなサービス利用許可を実現するものである。 In the invention according to claim 1 or 6 to 8, subject to service authorization, but was provided for the type of service of the service providing application (type of operation), the present of claim 4 and 9 in the invention, as the object of service authorized by the service (operation) is limited to the type of data of interest, and realizes a personalized service use permission.
従って、本発明によれば、あるサービス提供アプリケーションが保持するデータを複数のサービス利用許可者間で安全に共有することが可能となる。 Therefore, according to the present invention, it is possible to securely share data holding a service providing application across multiple service usage-authorized individual.
【0016】 [0016]
請求項5又は10に記載の本発明は、請求項1〜4又は6〜9の何れかに記載の方法又はシステムにおいて、 The present invention of claim 5 or 10, in a method or system according to any one of claims 1 to 4 or 6 to 9,
サービス許可者サーバは、サービス利用者サーバへのサービス利用許可証を発行した際に、サービス許可者サーバ内へ、発行履歴を課金情報として登録する課金情報登録手段を持つことを特徴とする。 Service authorization's server, in upon the issuance of a service license to the service user's server, to service the authorized person within the server, characterized in that it has a billing information registration means for registering the issuance history as billing information.
請求項5及び10に記載の発明では、請求項1〜4又は6〜9に記載の方法及びシステムで発行されたサービス利用許可証を、課金情報として利用する手段を提供している。 In the invention described in claim 5 and 10, it provides a means for utilizing a service license issued by the methods and systems of claim 1-4 or 6-9, as the accounting information.
【0017】 [0017]
【発明の実施の形態】 DETAILED DESCRIPTION OF THE INVENTION
次に、本発明の実施の形態について図面を参照して詳細に説明する。 It will now be described in detail with reference to the drawings, embodiments of the present invention.
図1は、請求項1〜5に記載の本発明によるICカードサービス利用許可方法を実施する請求項6〜10に記載のシステムの全体構成を示す。 Figure 1 shows the overall configuration of a system according to claim 6-10 to carry out the IC card service authorization method according to the present invention described in claims 1-5. 1はサービス提供者サーバ、2 ,2 ,. 1 the service provider server, 2 1, 2 2,. . . は複数のサービス利用者サーバ1,2,. 2 n multiple service users server 1, 2,. . . n、3 ,3 ,. n, 3 1, 3 2, . . . はICカード、4はICカード読取装置4、5はICカード読取装置4とサービス提供者サーバ1とサービス利用者サーバ1,2,. 3 n is the IC card, 4 IC card reader 4, 5 IC card reader 4 and the service provider server 1 and the service provider server 1, 2,. . . nを相互接続するネットワーク5である。 n is a network 5 to interconnect.
【0018】 [0018]
サービス許可者サーバ1は、複数のサービス提供アプリケーションAP1,AP2,. Service authorization server 1, a plurality of service providing application AP1, AP2 ,. . . APnを複数のICカード1,2,. The APn plurality of IC cards 1, 2,. . . nに提供しており、サービス提供アプリケーションを利用する複数のサービス利用者サーバ1,2,. n provides a plurality of service provider server 2 using the service providing application,. . . nへそれぞれサービス利用許可証の発行を行う。 Each to n perform the issuance of a service license. また、サービス提供アプリケーションにそれぞれ格納するサービス提供許可証を発行する。 Moreover, it issues a service providing permit to store respectively the service provider application. サービス利用者サーバ1,2,. The service user server 1, 2,. . . nは、任意のICカード内の任意のサービス提供アプリケーションと読取装置4及びネットワーク5を介して通信を行ってICカード保持者にサービスを提供する。 n provides a service to the IC card holder in communication via the reading device 4 and the network 5 and any service providing application in any of the IC card. 以後、サービス提供アプリケーションはサービス提供APと略記する。 After that, the service provider application is referred to as the service provided AP.
ICカードに格納されたサービス提供APは、サービス提供時にサービス利用許可証のチェックを行い、適切な利用者に適切な種類のサービス提供を行う。 Serving AP stored in the IC card, checks the service license at the time of service, it does provide the appropriate type of service to the appropriate user.
ICカード保持者は、ICカード読取装置などを操作し、サービス利用者サーバ及びICカードからサービスを提供される。 IC cardholder, operates an IC card reader is provided a service from service provider server and the IC card.
【0019】 [0019]
図2は、請求項3及び請求項8に記載の発明におけるICカード内のサービス提供APとサービス提供許可証の関係を示す。 Figure 2 shows the relationship between the serving AP and the service provider permits in the IC card in the invention of claim 3 and claim 8.
ICカードには1つ以上のサービス提供APが格納されており、図では3つのサービス提供アプリケーションAP1,AP2,AP3が格納され、そのそれぞれのサービス提供AP1,AP2,AP3は、制御部の制御の下で通信手段を介してサービス許可者から受け取ったサービス提供許可証1,2,3を保持している。 The IC card is stored the one or more service providing AP, in the figure is stored three service providing application AP1, AP2, AP3, of their respective serving AP1, AP2, AP3, the control of the control unit holding the service providing permit 1,2,3 received from the service authorized user via the communication means under.
【0020】 [0020]
図3は、請求項1〜4及び6〜9に記載の方法及びシステムで使用するサービス利用許可証及びサービス提供許可証の構造を示す。 Figure 3 shows the structure of a service license and service provision permits to use in the method and system according to claims 1-4 and 6-9.
(a)は、請求項1〜4及び6〜9に記載の方法及びシステムにおいて、サービス提供者サーバがサービス利用者サーバに対し発行するサービス利用許可証を示し、このサービス利用許可証は、利用許可するサービス利用者サーバの公開鍵と、利用許可するサービス提供APのAIDと、サービスの種類(オペレーションの種類)等を含むサービス利用許可情報と、そのダイジェストをサービス許可者サーバの秘密鍵で暗号化したデータ(署名)を含む。 (A), in a method and system according to claims 1-4 and 6-9, it shows the service usage permit the service provider server issues to service provider server, the service license is available and the public key of the service user server permission to, and the AID of serving AP to use permission, type of service and service use permission information, including the (operation of the kind), and the like, encryption the digest with the private key of the service authorized individual server including phased data (signature).
(b)は、請求項4及び9に記載の方法及びシステムにおいて、サービス提供者サーバがサービス利用者サーバに対し発行するサービス利用許可証を示し、このサービス利用許可証は、利用許可するサービス利用者サーバの公開鍵と、利用許可するサービス提供APのAIDと、サービスの種類(オペレーションの種類)と、利用許可するデータの種類等を含むサービス利用許可情報と、そのダイジェストをサービス許可者サーバの秘密鍵で暗号化したデータ(署名)を含む。 (B), in a method and system according to claims 4 and 9, shows a service license the service provider server issues to service provider server, the service permit, service to use permission party and public key of the server, and the AID of serving AP to use permission, the type of service (type of operation), and the service use permission information including the type of data or the like for use permission, the digest of service authorization's server including the encrypted data (signed) with the private key.
(c)は、請求項3及び8に記載の方法及びシステムにおいて、サービス提供者サーバがICカードに格納されたサービス提供APに対し発行するサービス提供許可証を示し、このサービス提供許可証は、サービス提供APの公開鍵と、サービス提供APのAID等を含むデータと、そのダイジェストをサービス許可者サーバの秘密鍵で暗号化したデータ(署名)を含む。 (C), in a method and system according to claims 3 and 8, the service provider server indicates a service providing permit issuing to serving AP stored in the IC card, the service providing permit, services including a public key of the offer AP, and data, including AID, etc. of the service provider AP, the encrypted data (signature) the digest with the private key of the service authorized individual server.
【0021】 [0021]
図4は、請求項1、2に記載の本発明方法を実施するシステムの原理構成図を示す。 Figure 4 shows the principle diagram of a system embodying the present invention The method of claim 1.
本システムは、ネットワーク5に接続されたサービス許可者サーバ1、サービス利用者サーバ2、ICカード3、ICカード読取装置4からなる。 The system service authorization server 1 connected to the network 5 consists of service provider server 2, IC card 3, IC card reader 4.
サービス許可者サーバ1は、サービス利用許可証発行手段11を持ち、サービス許可者公開鍵ペアを保持する保持部12を持つ。 Service authorization server 1 has a service license issuing unit 11, with a holding portion 12 for holding the service authorized public key pair.
サービス利用者サーバ2は、制御部21と、署名生成手段22を持つ許可証管理部23と、サービス利用者公開鍵ペアとサービス利用許可証などを保持する許可証データ保持部24を持つ。 Service provider server 2 has a control unit 21, the license management unit 23 with the signature generation unit 22, a permit data holding unit 24 for holding and service user public key pair and a service license.
ICカード3は、通信手段31と、サービス提供アプリケーションAPlを持つ。 IC card 3 includes a communication unit 31, having a service providing application APL.
サービス提供APlは、制御部32と、署名対象データ生成手段33とサービス利用許可証検証手段34と署名検証手段35を持つ許可証管理部36と、サービス許可者公開鍵とサービス提供AP公開鍵ペアなどを保持する許可証データ保持部37と、サービス利用許可状態設定手段38と、サービス利用許可確認手段39と、サービス利用許可状態保持部40を持つ状態管理部41を持ち、更に、サービス実行手段42を持つ。 Serving APl includes a control unit 32, the license management unit 36 ​​with the signature object data generating means 33 and the service license verification unit 34 and the signature verification unit 35, the service authorization public key and serving AP public key pair and permit data holding unit 37 for holding the like, a service use permission state setting means 38 has a service authorization check unit 39, a state management unit 41 with the service use permission state holding unit 40, further, service execution unit 42 with a.
【0022】 [0022]
図5は、これらの手段を備える図4のシステムで実行される請求項1に記載のサービス利用許可方法の手順の一例を示すフローチャートである。 Figure 5 is a flow chart showing an example of a procedure of service authorization method according to claim 1 executed by the FIG. 4 comprises these means systems.
本システムでは、サービス許可者サーバ1のサービス利用許可証発行手段11が、保持部12のサービス許可者公開鍵ペアを用いて、図3aに示すサービス利用許可証1を予め発行している。 In this system, the service license issuing unit 11 of the service authorization server 1, using the service authorization public key pair of the holding portion 12, in advance issuing a service license 1 shown in Figure 3a.
▲1▼このようなサービス利用許可証を持つサービス利用者サーバ2は、サービス提供APの利用時に、制御部21にて、ICカード読取装置5を通し、ICカード3に、チャレンジ(乱数)生成の要求を出す。 ▲ 1 ▼ service provider server 2 having such a service license, upon use of the service providing AP, by the control unit 21, through the IC card reader 5, the IC card 3, challenge (random number) generated issue of the request.
ICカード3では、通信手段31が、サービス提供APlの制御部32とサービス利用者サーバ2からの/への通信を仲介する。 In the IC card 3, the communication unit 31 mediates communication from the control unit 32 and the service provider server 2 of the service providing APl / to.
▲2▼サービス提供APlの制御部32は、許可証管理部36内の署名対象データ生成手段33によって、乱数(チャレンジ)を生成・保存するとともに、サービス利用者サーバ2に送信する。 ▲ 2 ▼ service provision control part 32 of the APl, depending signature object data generating means 33 in the license management unit 36, and generates and storing a random number (challenge) to the service provider server 2.
▲3▼サービス利用者サーバ2は、許可証管理部23内の署名生成手段22にて保持部24のサービス利用者秘密鍵で、乱数を暗号化して署名を作成し、その署名データと一緒にサービス利用許可証をICカード3に送信する。 ▲ 3 ▼ service user server 2, in the service user's private key of the holding portion 24 in the signature generation means 22 in the license management unit 23, encrypts the random number to create a signature, along with the signature data to send a service license to the IC card 3.
▲4▼ICカード3内のサービス提供APlの制御部32は、許可証管理部36内の署名検証手段35で、受信したサービス利用許可証に含まれるサービス利用者公開鍵を用いて、受信した署名データの検証を行う。 ▲ 4 ▼ IC card service provision control part 32 of APl in 3, the signature verification unit 35 in the license management unit 36, by using the service's public key included in the received service license, the received carry out the verification of the signature data. また、▲5▼サービス利用許可証検証手段34で、許可証データ保持部37に保持しているサービス許可者公開鍵を用いて、受信したサービス利用許可証の検証を行う。 Further, ▲ 5 ▼ a service license verification unit 34, by using the service authorization public key held in the license data holding unit 37 verifies the received service license.
▲6▼これらの検証が成功したときは、状態管理部41内のサービス利用許可状態設定手段38で、サービス利用許可証の検証が成功したことと、サービス利用許可証に含まれる許可されたサービスの種類やサービス利用者公開鍵などのサービス利用許可情報をサービス利用許可状態保持部40に記録し、サービス利用者サーバ2に検証成功を返却する。 ▲ 6 ▼ when these validation is successful, the service use permission state setting means 38 in the state management unit 41, and that the validation of the service license is successful, is permitted are included in the service license service the type and the service use permission information, such as the service user's public key recorded in the service use permission state holding unit 40, and returns the verification success to the service user server 2.
▲7▼サービス利用者サーバ2は、制御部21にて、サービス利用許可証に対応するサービスの実行を要求する。 ▲ 7 ▼ service provider server 2, in the control unit 21 requests the execution of the service corresponding to the service license.
▲8▼サービス提供APlの制御部32は、状態管理部41内のサービス利用許可状態確認手段39にてサービス利用許可状態保持部40を検索し、要求されたサービスがサービス利用許可証で許可済かどうかを確認し、許可済の場合は、▲9▼サービス実行手段42にサービスの実行を要求する。 ▲ 8 ▼ service providing APl control unit 32 of the searches the service use permission state holding unit 40 in the service use permission status check means 39 in the state management unit 41, the requested service is already allowed by the service license whether to confirm whether, in the case of permission already, to request the execution of ▲ 9 ▼ service to service execution unit 42.
従って、本システムによれば、サービス提供APは事前にサービス利用許可証の提示を受け、認証を行うことにより、正当なサービス利用者サーバのみにサービス提供APの利用を許可することができる。 Therefore, in accordance with the present system, the service provider AP in advance in response to the presentation of the service license, by performing the authentication, it can be permitted to use the services provided AP only to legitimate service user server.
尚、上記の例では、サービス利用者の署名データを先に検証し、次にサービス利用許可証を検証しているが、サービス利用許可証を先に検証し、サービス利用者の署名データをあとで検証してもよく、順番は問わない。 It should be noted that, in the above example, to verify the signature data of the service user first, then have to verify the service license, but to verify the service license earlier, after the signature data of the service user in may be verified, the order does not matter. また、署名対象データとして乱数を用いているが、他のデータを用いることができる。 Further, although using a random number as the signature target data, it is possible to use other data.
【0023】 [0023]
図6は請求項2に記載の方法の手順の一例を示すフローチャートである。 6 is a flow chart showing an example of a procedure of the method according to claim 2.
請求項2に記載のシステムでは、サービス提供APの利用時に、事前にサービス利用許可証の認証を行わないで、サービス提供APへのサービス実行要求時に、サービス要求許可証の認証を実行する。 The system of claim 2, when using the service providing AP, not advance to authenticate the service license, when the service execution request to the service providing AP, to perform authentication for service request permit. 従って、本システムでは、▲1▼サービス利用者サーバ2は、サービス提供AP1からチャレンジを受け取った後に、制御部21にてサービス実行要求を発生し、▲2▼署名生成手段22にて該チャレンジとサービス実行要求を含むデータもしくはそのダイジェスト情報にサービス利用者秘密鍵で署名を行い、この署名データをサービス利用許可証とともにICカード3に送る。 Thus, in this system, ▲ 1 ▼ service provider server 2, after receiving the challenge from the serving AP1, a service execution request is generated by the control unit 21, ▲ 2 ▼ and said challenge in the signature generation unit 22 the data or its digest information including a service execution request performs a signature in the service user's private key, and sends the signature data to the IC card 3 with the service license.
▲3▼ICカード3内のサービス提供AP1は、許可証管理部23にて、受信した署名データを受信したサービス利用許可証に含まれるサービス利用者公開鍵で検証するとともに、▲4▼受信したサービス利用許可証を、保持しているサービス許可者公開鍵で検証する。 ▲ 3 ▼ services provided AP1 in the IC card 3, in the license management unit 23, as well as verification by the service user's public key that is included in the service license, which has received the signed data received, ▲ 4 ▼ received the service license, to verify in a service authorization's public key that is held.
▲5▼これらの検証が成功したとき、サービス提供APは、状態管理部41にて、サービス実行要求で要求されたサービスがサービス利用許可証に含まれるサービスの種類と一致するか確認し、▲6▼一致する場合に、サービス実行手段42にサービスの実行を要求する。 ▲ 5 ▼ when these verification is successful, serving AP, in the state management unit 41 checks whether the service requested by the service execution request matches the type of service included in the service license, ▲ 6 ▼ If there is a match, requesting execution of the service to the service execution unit 42.
尚、本例では、サービス実行要求と一緒にサービス提供APからのチャレンジの署名を行っているが、このチャレンジの署名は省略してもよい。 In the present example, with the service execution request is performed signed challenge from the serving AP, a signature of the challenge may be omitted.
【0024】 [0024]
図7は、請求項3に記載の方法を実施する請求項8記載のシステムの原理構成図を示す。 Figure 7 shows the principle block diagram of a system according to claim 8, wherein carrying out the method according to claim 3. 請求項3に記載の方法は、サービス利用者サーバ2が通信相手であるサービス提供APを認証することができ、この目的のために、本システムは、図4に示す請求項6〜7に記載のシステムの手段に加えて、サービス許可者サーバ1が、ICカードに格納されたサービス提供AP1に、図3bに示すサービス提供許可証を発行するサービス提供許可証発行手段13を備え、ICカード3内のサービス提供AP1がサービス許可者サーバ1により発行されたサービス提供許可証を許可証データ保持部37に保持するとともに、署名生成手段38を備え、サービス利用者サーバ2がサービス許可者公開鍵を許可証データ保持部24に保持するとともに、署名対象データ生成手段25と、サービス提供許可証検証手段26と、署名検証手段27を備 The method of claim 3, it is possible to authenticate the serving AP service provider server 2 is the communication partner, for this purpose, the system according to claim 6-7 shown in FIG. 4 in addition to the means of the system, the service authorization server 1 is, the service providing AP1 stored in the IC card, comprising a service providing license-issuing unit 13 for issuing a service provision permit shown in FIG. 3b, the IC card 3 with the service providing AP1 holds the service providing license issued by the service authorization server 1 to permit data holding portion 37 of the inner, comprising a signature generation unit 38, service provider server 2 is a service authorized public key Bei holds the permit data holding unit 24, the signature object data generating means 25, a service providing permit verification unit 26, a signature verification unit 27 る。 That.
【0025】 [0025]
図8は請求項3に記載の方法におけるサービス提供許可証の認証手順を示す。 Figure 8 shows the authentication procedure of the service providing permits in the method according to claim 3.
▲1▼サービス利用者サーバ2の制御部21が許可証管理部23内の署名対象データ生成手段25によってチャレンジ(乱数)を生成してICカード3に送る。 ▲ 1 ▼ by the signature object data generating means 25 of the control unit 21 of the service provider server 2 permit the management unit 23 generates a challenge (random number) to the IC card 3.
▲2▼ICカード3内のサービス提供APは、許可証管理部36内の署名生成手段38にて、受信した乱数をサービス提供APの秘密鍵で暗号化して署名を生成し、この署名データを許可証データ保持部37に保持しているサービス提供許可証とともにサービス利用者サーバ2に送る。 ▲ 2 ▼ serving AP in the IC card 3, at the signature generator 38 in the license management unit 36 ​​encrypts generates signature random number received with the secret key of the serving AP, the signature data send to service provider server 2 together with the service providing permit holding the permit data holding unit 37.
▲3▼サービス利用者サーバ2は、許可証管理部23内の署名検証手段27にて、受信したサービス提供許可証に含まれるサービス提供AP公開鍵を用いて、受信した署名データを検証するとともに、▲4▼サービス提供許可証検証手段26にて、保持しているサービス許可者公開鍵を用いて、受信したサービス提供許可証を検証することにより、サービス提供APの正当性を確認する。 ▲ 3 ▼ service provider server 2, at the signature verification unit 27 in the license management unit 23, by using the serving AP public key included in the received service providing permit, with verifying the signature data received at ▲ 4 ▼ service provides permit verification means 26, by using the service permission's public key that is held, by verifying the received service provides permit, to confirm the validity of the service provider AP.
尚、サービス提供APの署名データの検証とサービス提供許可証の検証の順番は問わない。 In addition, the order of the verification of the services provided permit the signature data of the service provider AP does not matter. また、署名対象データとして乱数を用いているが、他のデータを用いることもできる。 Further, although using a random number as the signature target data, it is also possible to use other data.
【0026】 [0026]
【実施例】 【Example】
実施例として、本発明を医療分野に適用した場合を示す。 As an example, a case of applying the present invention to the medical field.
サービス許可サーバは、医師会Xであり、ICカードアプリケーションである、電子カルテAP及び処方箋APを保持している。 Service authorization server is a Medical Association X, is an IC card applications, it has been holding the electronic medical record AP and prescription AP.
サービス提供APは、これら電子カルテAP及び処方箋APである。 Serving AP, it is these electronic medical records AP and prescription AP.
サービス利用者サーバは、医師会Xからこれらサービス提供APを利用する認可を受けている病院Aと病院B、薬局Cである。 The service user server, hospital A and hospital B that has received the authorization to use these services provide AP from the Medical Association X, is a pharmacy C.
病院Aは、処方箋APに関して、処方箋書き込みサービスに関するサービス利用許可証Alを保持している。 Hospital A, with respect to prescription AP, holds a service license Al on prescription writing service.
病院Bは、処方箋APを使用しない。 Hospital B is, do not use the prescription AP.
薬局Cは、処方箋APに関して、処方箋読み出しサービスに関するサービス利用許可証Clを保持している。 Pharmacy C with respect prescription AP, holds a service license Cl regarding prescription reading service.
病院Aは、電子カルテAPに関して、電子カルテ書き込みサービス及び電子カルテ読み出しサービスを、対象データが病院Aの書き込みデータであるレコードに限定して許可している、サービス利用許可証A2を保持している。 Hospital A, with respect to electronic medical records AP, the electronic medical record writing services and electronic medical records read service, the target data is granted specifically to record a write data of hospital A, holds a service license A2 .
病院Bは、電子カルテAPに関して、電子カルテ書き込みサービス及び電子カルテ読み出しサービスを、全てのデータを対象として許可している、サービス利用許可証B2を保持している。 Hospital B with respect electronic chart AP, the electronic medical record writing services, and electronic medical records read services, and allows all data as a target, holds a service license B2.
薬局Cは、電子カルテAPに関して、電子カルテ読み出しサービスを、対象データが全ての病院の書き込みデータである場合において、全てのデータの、病院ID、診察日、診察医名の項目のみ許可している、サービス利用許可証C2を保持している。 Pharmacy C, with respect to electronic medical records AP, the electronic medical record reading services, in the case where the target data is a write data of all of the hospital, of all of the data, hospital ID, examination date, has allowed only item of examination doctor name , it holds a service license C2.
これらのサービス利用許可証Al,Cl,A2,B2は、全て、サービス許可サーバである医師会Xより発行されている。 These services license Al, Cl, A2, B2 are, all of which are issued by the Medical Association X is a service authorization server. これらのサービス利用許可証Al,Cl,A2,B2の例を図9の(a)−(e)に示す。 These services license Al, examples of Cl, A2, B2 in FIG. 9 (a) - shown in (e).
【0027】 [0027]
また、処方箋APと電子カルテAPを格納したICカードを保有する利用者Dは、病院A、病院B、薬局Cをそれぞれ利用している。 Further, the user D carrying an IC card that stores prescription AP and the electronic medical record AP utilizes the hospital A, the hospital B, and pharmacy C respectively.
利用者DのICカードに格納された処方箋APは、サービス提供許可証Dlを保持しており、電子カルテAPは、サービス提供許可証D2を保持している。 Prescription AP stored in the IC card of the user D may retain a service providing permit Dl, electronic medical records AP holds the service providing permit D2. これらのサービス提供許可証D1及びD2の例を図9の(f)及び(g)に示す。 Examples of these services offer permits D1 and D2 shown in (f) and (g) in FIG.
病院A、病院B、薬局Cにはそれぞれ、病院Aサーバ、病院Bサーバ、薬局Cサーバと通信を行うICカード読取装置が設置されている。 Hospital A, Hospital B, each of the pharmacies C, hospitals A server, hospital B server, IC card reader for communicating with pharmacy C server is installed.
【0028】 [0028]
利用者Dは病院Aで処方箋の書込みサービスを受けることができる。 User D can receive the writing services of the prescription in the hospital A. 図10はこの場合のシーケンスの一例を示す。 Figure 10 shows an example of a sequence in this case. 利用者Dが、病院Aにて病院AのICカード読取装置にICカードを挿入すると、病院サーバAは、ICカード内の処方箋APと通信を行う。 User D is, when inserting the IC card into the IC card reader hospital A at hospital A, the hospital server A communicates with prescription AP in the IC card. 本例では、請求項3に記載の方法を用い、最初に、処方箋APは、病院Aのサービス利用許可証Alを確認し、病院Aサーバは、処方箋APのサービス提供許可証Dlを確認する。 In this example, using a method according to claim 3, first, prescription AP checks the service license Al hospital A, the hospital A server checks the prescription AP service providing permit Dl. この目的ために、本例では、最初に、 For this purpose, in this example, first,
▲1▼病院Aサーバと処方箋APとの間でチャレンジ1及びチャレンジ2を交換する。 ▲ 1 ▼ to between hospitals A server and prescription AP exchanging Challenge 1 and Challenge 2.
▲2▼病院Aサーバは処方箋APから受け取ったチャレンジ2を病院Aの秘密鍵で暗号化して署名を生成し、この署名データ2をサービス利用許可証A1とともに処方箋APに送り、処方箋APは送られてきた署名データ2を病院Aの公開鍵で検証するとともにサービス利用許可証A1を医師会サーバの公開鍵で検証して、病院Aのサービス利用許可証A1の正当性を確認する。 ▲ 2 ▼ hospital A server is encrypted to generate a signature challenge 2 received from the prescription AP with the private key of the hospital A, sends the signature data 2 together with the service license A1 to prescription AP, prescription AP is sent the signature data 2 has a service license A1 with verifying the public key of the hospital a to verify the public key of the Medical Association server, to confirm the validity of the service license A1 of the hospital a.
▲3▼正当性の確認後、処方箋APはサービス利用許可証A1に含まれるサービス利用許可情報を格納する。 ▲ 3 ▼ After confirming the validity, prescription AP stores the service use permission information included in the service license A1.
▲4▼サービス利用許可情報の格納後、処方箋APは、病院Aサーバから受け取ったチャレンジ1を処方箋APの秘密鍵で暗号化して署名を生成し、この署名データ1をサービス提供許可証D1とともに病院Aサーバに送り、病院Aサーバは、送られてきた署名データ1をサービス提供許可証D1に含まれる処方箋APの公開鍵で検証するとともにサービス提供許可証D1を医師会サーバの公開鍵で検証して、処方箋APのサービス提供許可証D1の正当性を確認する。 ▲ 4 ▼ service after storage of permission information, prescription AP encrypts the challenge 1 received from the hospital A server with the private key of the prescription AP to generate a signature, the signature data 1 along with the service provided permit D1 hospital sent to the a server, hospital a server, the service provides permit D1 verified with the public key of the Medical Association server with verifying the public key of the prescription AP included in the signature data 1 that has been sent to the service provider permit D1 Te, to confirm the validity of the prescription AP of services provided permit D1.
その後、病院サーバAは、処方箋APに、処方箋情報の書き込みを行う。 After that, the hospital server A, the prescription AP, writes the prescription information.
【0029】 [0029]
また、利用者Dは病院Aで電子カルテの書き込みサービスを受けることができる。 In addition, the user D can receive the electronic medical records of writing services at the hospital A. 図11はこの場合のシーケンスの一例を示す。 Figure 11 shows an example of a sequence in this case. 利用者Dが、病院Aにて病院AのICカード読取装置にICカードを挿入すると、病院サーバAは、ICカード内の電子カルテAPと通信を行う。 User D is, when inserting the IC card into the IC card reader hospital A at hospital A, the hospital server A, communicates with the electronic medical record AP in the IC card. 本例では、請求項2に記載の方法を用い、電子カルテAPは、病院Aのサービス利用許可証A2を確認した後に、電子カルテ情報の書き込みを行う。 In this example, using a method according to claim 2, the electronic medical record AP, after confirming the service license A2 hospital A, writes electronic medical record information. 本例では、最初に、 In this example, the first,
▲1▼病院Aサーバは、チャレンジ要求を電子カルテAPに送り、電子カルテAPから送られてくるチャレンジ2を受け取り、受け取ったチャレンジ2とサービス実行要求を病院Aの秘密鍵で暗号化して署名を生成し、この署名データをサービス利用許可証A2とともに電子カルテAPに送る。 ▲ 1 ▼ hospital A server sends a challenge request to the electronic medical record AP, receives the challenge 2 sent from the electronic medical record AP, a signature by encrypting the challenge 2 and the service execution request received in the secret key of the hospital A generated, and sends the signature data together with the service license A2 to electronic medical records AP.
▲2▼電子カルテAPは、受け取った署名データを病院Aの公開鍵で検証するとともに、サービス利用許可証A2を医師会サーバの公開鍵で検証して、病院Aのサービス利用許可証A2の正当性を確認する。 ▲ 2 ▼ electronic medical records AP, as well as to verify the signature data received with the public key of the hospital A, to verify the service license A2 with the public key of the Medical Association server, legitimate service license A2 of the hospital A to confirm the sex.
▲3▼サービス利用許可証A2の確認後、電子カルテAPは、サービス実行要求で要求されたサービスの種類(電子カルテの書き込み)がサービス利用許可証に含まれるサービスの種類と一致するか確認し、一致する場合に、サービス実行要求を電子カルテ実行手段及び病院Aサーバの制御部に送り、電子カルテの書き込みを行う。 ▲ 3 ▼ services after confirming the license A2, an electronic medical record AP is sure type of service requested by the service execution request (EMR writing) matches the type of service included in the service usage permit and , if they match, it sends a service execution request to the control unit of the electronic medical record execution unit and hospital a server writes the electronic medical record.
【0030】 [0030]
医師会Aは、請求項5に記載のように、サービス利用許可証の発行履歴をサーバ内に保存しており、発行履歴を参照して、病院A、病院B、薬局Cに課金を行う。 Medical Association A, as set forth in claim 5, store issuance history of service usage permit to the server, with reference to the issue history, performs accounting hospital A, the hospital B, and pharmacy C.
図12は、本実施例において、利用者Dが、病院A、病院B、薬局Cでそれぞれ電子カルテに記録されたデータの読み出しサービスを受ける場合の、読み出し可能なデータ範囲を示す。 12, in this embodiment, showing the user D is, Hospital A, Hospital B, when receiving the read service data recorded respectively in the electronic medical record in pharmacies C, and readable data range.
【0031】 [0031]
以上、本発明によるICカードサービス利用許可方法及びシステムの構成を説明したが、本発明システムを構成するサービス提供者サーバ、サービス利用者サーバ及びICカードの種々の手段はコンピュータにより実現され、本発明方法の処理手順はこえらのコンピュータにより実行され、本発明はこれらの処理手順を実行させるためのコンピュータプログラム及び該コンピュータプログラムを記録した記録媒体も本発明の範囲に含むものである。 Having described the structure of the IC card service authorization method and system according to the present invention, the service provider server constituting the present invention system, various means of service provider server and the IC card is realized by a computer, the present invention procedure of the method is performed by Koera computer recording medium recorded with a computer program and the computer program for the invention to perform these procedures also included in the scope of the present invention.
【0032】 [0032]
【発明の効果】 【Effect of the invention】
以上に述べたように本発明によれば、次のような効果が得られる。 According to the present invention as described above, the following effects can be obtained.
(1)サービス許可者が複数のサービス利用者に対してサービス利用許可証を発行し、ICカード内のサービス提供APがサービス利用許可証に基づいた実行制御を行うことによって、複数のサービス利用者が、自らはサービス提供APを開発することなく、1つのサービス提供APから提供されるサービスを利用することが可能となる。 (1) Service permitter issues a service license for the plurality of service users, by serving AP in the IC card performs execution control based on the service license, a plurality of service users but himself without having to develop a service providing AP, it is possible to use the services provided by one service providing AP.
(2)サービス利用者は、サービス提供APが持つサービス提供許可証を確認することによって、サービス提供APが、自らの保持するサービス利用許可証に対応する、正当なAPであることを確認することができる。 (2) service user, by checking the service provides permit with the serving AP, the service provides the AP, corresponding to the service license to own holding, to confirm that it is a legitimate AP can.
(3)サービス許可者は、複数のサービス利用者に、適切なサービスの提供を行い、サービス利用許可証を発行した代償として、サービス利用者に課金を行うことができる。 (3) Service permitter, the plurality of service users, do provide appropriate services, the cost that issued the service license, it is possible to charge to the service user.
(4)複数のサービス利用者が、1つのサービス提供APを使用するため、サービス提供APに対し、あるサービス利用者が登録したデータを、他のサービス利用者が参照するなど、複数サービス利用者間での、サービス提供APのサービスの共有が可能である。 (4) a plurality of service users, to use the one serving AP, to the service providing AP, the data in the service user has registered, and other service users is referenced, multiple service users in between, it is possible to share the serving AP of service.
(5)同様に、複数サービス利用者間での、サービス提供APのデータの共有が可能である。 (5) Similarly, among multiple service users, it is possible to share the data of the service providing AP.
【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS
【図1】請求項1〜5に記載の本発明のICカードサービス利用許可方法を実施するシステムの全体構成図である。 1 is an overall configuration diagram of a system for implementing the IC card service authorization process of the present invention described in claims 1-5.
【図2】請求項3に記載の発明におけるICカード内のサービス提供APとサービス提供許可証の関係を示す図である。 2 is a diagram showing the relationship between serving AP and the service provider permits in the IC card in the invention of claim 3.
【図3】請求項1〜4に記載の方法で使用するサービス利用許可証及びサービス提供許可証の構造を示す図である。 3 is a diagram showing a structure of a service license and service provision permit for use in the method according to claims 1-4.
【図4】請求項1、2に記載の方法を実施するシステムの原理構成図を示す。 4 shows a principle block diagram of a system for implementing the method according to claim 1.
【図5】請求項1に記載の方法の手順の一例を示すフローチャートである。 5 is a flowchart illustrating an example of a procedure of the method according to claim 1.
【図6】請求項2に記載の方法の手順の一例を示すフローチャートである。 6 is a flowchart illustrating an example of a procedure of the method according to claim 2.
【図7】請求項3に記載の方法を実施するシステムの原理構成図を示す。 7 shows a principle block diagram of a system for implementing the method according to claim 3.
【図8】請求項3に記載の方法の手順の一例を示すフローチャートである。 8 is a flowchart illustrating an example of a procedure of the method according to claim 3.
【図9】本発明の実施例における、サービス利用許可証Al,Cl,A2,B2の例を示す図である。 In the embodiment of the present invention; FIG is a diagram showing an example of a service license Al, Cl, A2, B2.
【図10】本発明の実施例において、利用者Dが、病院Aで処方箋APの書き込みサービスを受けるサービス利用例のシーケンスを示す図である。 In the embodiment of the invention; FIG user D is a diagram showing a sequence of a service use example for receiving a prescription AP write service in hospital A.
【図11】本発明の実施例において、利用者Dが、病院Aで電子カルテAPの書き込みサービスを受けるサービス利用例のシーケンスを示す図である。 In the embodiment of Figure 11 the present invention, the user D is a diagram showing a sequence of a service use example receiving an electronic medical record AP write service in hospital A.
【図12】本発明の実施例において、利用者Dが、病院A、病院B、薬局Cでそれぞれ電子カルテの読み出しサービスを受ける場合の、読み出し可能なデータ範囲を示す図である。 In the embodiment of the present invention; FIG user D is, Hospital A, Hospital B, when each in pharmacies C receives the electronic medical record read service is a diagram showing a readable data range.
【符号の説明】 DESCRIPTION OF SYMBOLS
1 サービス許可者サーバ2 サービス利用者サーバ3 ICカード4 ICカード読取装置5 ネットワークAP1,. 1 service authorization provider server 2 service provider server 3 IC card 4 IC card reader 5 network AP1,. . . APn サービス提供アプリケーション11 サービス利用許可証発行手段12 サービス許可者公開鍵ペア21 制御部22 署名生成手段23 許可証管理部24 許可証データ保持部25 署名対象データ生成手段26 サービス提供許可証検証手段27 署名検証手段31 通信手段32 制御部33 署名対象データ生成手段34 サービス利用許可証検証手段35 署名検証手段36 許可証管理部37 許可証データ保持部38 サービス利用許可状態設定手段39 サービス利用許可状態確認手段40 サービス利用許可状態保持部42 サービス実行手段 APn service providing application 11 service license issuing unit 12 service authorized public key pair 21 control unit 22 signature generating means 23 permit management unit 24 permit data holding unit 25 signature object data generating means 26 serving permit verification means 27 signature verification means 31 communication means 32 control unit 33 signature object data generating means 34 service license verifying unit 35 signature verification unit 36 ​​permits managing unit 37 permit data holding unit 38 service use permission state setting means 39 service use permission status check It means 40 service use permission state holding unit 42 service execution unit

Claims (12)

  1. サービス許可者サーバと、一つ以上のサービス利用者サーバと、サービス利用者サーバと通信する手段を持ったICカード読取装置に挿入されて利用されるICカードからなるシステムにおいて、 And the service-authorized individual server, in a system comprising one or more service provider server and, IC card to be used is inserted into the IC card reader having means for communicating with service provider server,
    サービス許可者サーバが、1つ以上のサービス利用者サーバに対し、発行先サービス利用者サーバの公開鍵と、サービス利用者に許可されたサービスを示すサービス提供アプリケーション識別情報(AID)と、サービスの種類(オペレーションの種類)を含むサービス利用許可情報もしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであるサービス利用許可証を発行し、 Service permitter server, for one or more service provider server, the public key of the issuance destination service provider server, the service provider application identification information indicating the allowed services to the service user (AID), the service to the service use permission information or digest information that includes the type (type of operation), it issued a service license is data that was signed by the private key of the service authorized individual server,
    サービス利用許可証を持つサービス利用者サーバは、ICカード内に格納されたサービス提供アプリケーションを利用する際に、ICカードに格納されたサービス提供アプリケーションから受け取ったチャレンジなどの署名対象データをサービス利用者秘密鍵で暗号化して署名を作成し、その署名データとサービス利用許可証をICカードに格納されたサービス提供アプリケーションに送信し、 Service service provider server having a license, when using the service providing application stored in the IC card, the service user signature object data, such as the challenge received from the service providing application stored in the IC card create a signature encrypted with the private key, and sends it to the signature data and the service providing application service license has been stored in the IC card,
    ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データとサービス利用許可証に対して、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するとともに、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証し、 Service providing application stored in the IC card, to the signature data and service license received from the service provider server, along with verifying the held by the service license using the service authorization public key and, the signature data verified by using the service's public key that is included in the service license,
    これらの検証が成功したとき、サービス利用許可証に含まれるサービス利用許可情報を記録するとともに、サービス利用許可証の検証の成功をサービス利用者サーバに返送し、 When these verification is successful, records the service use permission information included in the service license, to return the success of the verification of the service license to the service user server,
    サービス利用者サーバから、サービス利用許可証に対応するサービスの実行要求を受信したとき、保持したサービス利用許可情報を確認し、サービス実行要求で要求されたサービスの種類がサービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行うことを特徴とする、 From service provider server, upon receiving an execution request of the service corresponding to the service license, to confirm the held service use permission information, the type of service requested by the service execution request is included in the service license and performing the execution of the service only if they match the type of service,
    ICカードサービス利用許可方法。 IC card service use permission method.
  2. 請求項1に記載の方法において、 The method according to claim 1,
    サービス利用者サーバは、ICカードに格納されたサービス提供アプリケーションから署名対象データを受け取った後に、この署名対象データとサービス実行要求を含むデータもしくはそのダイジェスト情報にサービス利用者秘密鍵で署名を行い、この署名データをサービス利用許可証とともにICカードに送り、 Service provider server, after receiving the signature target data from the service providing application stored in the IC card performs signature service user private key data or the digest information including the signature target data and the service execution request, sends the signature data to the IC card together with the service license,
    ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データとサービス利用許可証に対して、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するとともに、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証し、 Service providing application stored in the IC card, to the signature data and service license received from the service provider server, along with verifying the held by the service license using the service authorization public key and, the signature data verified by using the service's public key that is included in the service license,
    これらの検証が成功したとき、サービス実行要求で要求されたサービスの種類が、サービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行うことを特徴とする、 When these verification is successful, the type of service requested by the service execution request, and performing the execution of the service only if they match the type of service included in the service license,
    ICカードサービス利用許可方法。 IC card service use permission method.
  3. 請求項1又は2に記載の方法において、 The method according to claim 1 or 2,
    サービス許可者サーバは、ICカードに格納されたサービス提供アプリケーションに、サービス提供アプリケーションの公開鍵と、サービス提供アプリケーションにおける識別子を含むデータもしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであるサービス提供許可証を発行し、 Service authorization's server, the service provides applications that are stored in the IC card, and a public key of the service providing application, for data or digest information that includes an identifier in the service providing application, a signed by the private key of the service authorized individual server by issuing the service provides permit is carried out data,
    サービス利用者サーバは、チャレンジなどの署名対象データをICカードに送り、 The service user server sends the data to be signed, such as a challenge to the IC card,
    ICカード内のサービス提供アプリケーションは、受信した署名対象データに対しサービス提供アプリケーションの秘密鍵で署名を行い、その署名データと、サービス提供許可証をサービス利用者サーバに送り、 Service provides applications in the IC card performs signed with the secret key of the service providing application to the signature object data received, and the signature data, sends the service providing license to the service user server,
    サービス利用者サーバは、サービス提供アプリケーションの正当性を確認するために、サービス提供アプリケーションから受け取った署名データと、サービス提供許可証に対し、保持しているサービス許可者公開鍵を用いてサービス提供許可証を検証するとともに、サービス提供許可証に含まれるサービス提供アプリケーション公開鍵を用いて署名データを検証することを特徴とする、 The service user server, in order to confirm the validity of the service providing application, and signature data received from the service providing application, to the service providing license, services provided allow using the service permission's public key that is held with verifying the testimony, characterized in that it verifies the signature data using a service providing application public key that is included in the service providing license,
    ICカードサービス利用許可方法。 IC card service use permission method.
  4. 請求項1〜3の何れかに記載の方法において、 A method according to any one of claims 1 to 3,
    サービス利用許可証のデータに、当該サービス提供アプリケーションが管理するデータの種類が含まれ、 The data of the service license, the service providing application contains the type of data to be managed,
    サービス提供の対象となるのは、サービス利用許可証で指定されたサービスの種類(オペレーション)で、サービス利用許可証で指定された種類のデータにアクセスする場合のみであることを特徴とする、 The interest of the service provided, the type of service specified in the service license (operation), and characterized in that when accessing the specified type of data service license,
    ICカード利用許可方法。 IC card use permission method.
  5. 請求項1〜4の何れかに記載の方法において、 A method according to any one of claims 1 to 4,
    サービス許可者サーバが、サービス利用者サーバへのサービス利用許可証を発行した際に、サービス許可者サーバ内へ、発行履歴を課金情報として登録する、ことを特徴とするICカードサービス利用許可方法。 Service authorization's server, in upon the issuance of a service license to the service user's server, to service the authorized person in the server, to register the issuance history as billing information, IC card service use permission method, characterized in that.
  6. サービス許可者サーバと、一つ以上のサービス利用者サーバと、サービス利用者サーバと通信する手段を持ったICカード読取装置に挿入されて利用されるICカードからなるシステムにおいて、 And the service-authorized individual server, in a system comprising one or more service provider server and, IC card to be used is inserted into the IC card reader having means for communicating with service provider server,
    サービス許可者サーバが、1つ以上のサービス利用者サーバに対し、サービス利用許可証を発行するサービス利用許可証発行手段を持ち、 Service authorization's server, for one or more of the service user server, has a service license issue means for issuing a service license,
    サービス利用許可証は、発行先サービス利用者サーバの公開鍵と、サービス利用者に許可されたサービスを示すサービス提供アプリケーション識別情報(AID)と、サービスの種類(オペレーションの種類)、を含むサービス利用許可情報もしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであり、 Service use permit, service use, including a public key of the issue destination service user server, a service providing application identification information that indicates the authorized service to the service user (AID), the type of service (type of operation), the for permission information or digest information that is data that was signed by the private key of the service authorized individual server,
    ICカードに格納されたサービス提供アプリケーションは、チャレンジなどを生成する署名対象データ生成手段を持ち、 Service providing application stored in the IC card has a signature object data generating means for generating such challenge,
    サービス利用者サーバは、サービス利用許可証を保持しており、ICカードに格納されたサービス提供アプリケーションから受け取った署名対象データにサービス利用者サーバの秘密鍵で署名を行う、署名生成手段を持ち、 Service provider server holds the service license, a signature by the private key of the service provider server to the signature target data received from the service providing application stored in the IC card has a signature generation unit,
    ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データと、サービス利用許可証に対し、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証する、サービス利用許可証検証手段と、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証する、署名検証手段と、 Service provides applications that are stored in the IC card, to verify the service license by using the signature data received from the service user server, to the service license, the service authorization's public key that is held, service to verify the signature data by using the license verification means, the service user's public key that is included in the service license, and signature verification means,
    検証が成功した場合に、サービス利用許可証に含まれるサービス利用許可情報を保持するサービス利用許可状態設定手段を持ち、 If the verification is successful, it has the service use permission state setting means for holding the service use permission information included in the service license,
    サービス利用者サーバから、サービス実行要求が送信された場合に、保持したサービス利用許可情報を確認するサービス利用許可状態確認手段を持ち、サービス実行要求で要求されたサービスの種類がサービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行う、サービス実行手段を持つことを特徴とする、 From service provider server, if the service execution request is transmitted, it has a service use permission state confirming means for confirming the held service use permission information, the type of service requested by the service execution request to the service license the execution of the service only if they match the type of service included, characterized by having a service execution unit,
    ICカードサービス利用許可システム。 IC card service use permission system.
  7. 請求項6に記載のシステムにおいて、 The system of claim 6,
    ICカードに格納されたサービス提供アプリケーションは、チャレンジなどを生成する署名対象データ生成手段を持ち、 Service providing application stored in the IC card has a signature object data generating means for generating such challenge,
    サービス利用者サーバは、サービス利用許可証を保持しており、ICカードに格納されたサービス提供アプリケーションへのサービス実行要求を含むデータもしくはそのダイジェスト情報に、サービス利用者サーバの秘密鍵で署名を行う、署名生成手段を持ち、 The service user server holds the service license, carried out in the data or its digest information, the signature with the secret key of the service user server containing the service execution request to the service providing application stored in the IC card , has a signature generation means,
    ICカードに格納されたサービス提供アプリケーションは、サービス利用者サーバから受け取った署名データと、サービス利用許可証に対し、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証する、サービス利用許可証検証手段と、サービス利用許可証に含まれるサービス利用者公開鍵を用いて署名データを検証する、署名検証手段と、 Service provides applications that are stored in the IC card, to verify the service license by using the signature data received from the service user server, to the service license, the service authorization's public key that is held, service to verify the signature data by using the license verification means, the service user's public key that is included in the service license, and signature verification means,
    検証が成功した場合に、サービス実行要求で要求されたサービスの種類が、サービス利用許可証に含まれるサービスの種類と一致する場合にのみサービスの実行を行う、サービス実行手段を持つことを特徴とする、 If the verification is successful, and wherein the type of requested service by the service execution request, the execution of the service only if they match the type of service included in the service license, with service execution means to,
    ICカードサービス利用許可システム。 IC card service use permission system.
  8. 請求項6又は7に記載のICカードサービス利用許可システムにおいて、 In IC card service use permission system according to claim 6 or 7,
    サービス許可者サーバが、ICカードに格納されたサービス提供アプリケーションに、サービス提供許可証を発行するサービス提供許可証発行手段を持ち、 Service permitter server, the service providing application stored in the IC card has a service providing license-issuing means for issuing a service provision permit,
    サービス提供許可証は、サービス提供アプリケーションの公開鍵と、サービス提供アプリケーションにおける識別子を含むデータもしくはそのダイジェスト情報に対し、サービス許可者サーバの秘密鍵で署名を行ったデータであり、 Service provides permit, a public key of the service providing application, for data or digest information that includes an identifier in the service providing application is a data that was signed by the private key of the service authorized individual server,
    サービス利用者サーバが、チャレンジなどを生成する署名対象データ生成手段を持ち、 Service user server, has a signature object data generating means for generating such challenge,
    サービス提供アプリケーションが、サービス利用者サーバから受け取った署名対象データに対し、サービス提供アプリケーションの秘密鍵で署名を行う、署名生成手段を持ち、 Service providing application is, for the signature target data received from the service user server, a signature by the private key of the service providing application, has a signature generation means,
    サービス利用者サーバは、サービス提供アプリケーションの正当性を確認するために、サービス提供アプリケーションから受け取った署名データと、サービス提供許可証に対し、サービス提供許可証に含まれるサービス提供アプリケーション公開鍵を用いて署名データを検証する署名検証手段と、保持しているサービス許可者公開鍵を用いてサービス利用許可証を検証するサービス利用許可証検証手段を持つことを特徴とする、 The service user server, in order to confirm the validity of the service providing application, and signature data received from the service providing application, to the service providing permits, using a service providing application public key that is included in the service providing license and the signature verification means for verifying the signature data, characterized in that it has a service license verification means for verifying the service license by using the service permission's public key that is held,
    ICカードサービス利用許可システム。 IC card service use permission system.
  9. 請求項6〜8の何れかに記載のICカードサービス利用許可システムにおいて、 In IC card service use permission system according to any of claims 6-8,
    サービス利用許可証の署名対象データに、当該サービス提供アプリケーションが管理するデータの種類が含まれ、 The signature target data of the service license, the service providing application contains the type of data to be managed,
    サービス提供の対象となるのは、サービス利用許可証で指定されたサービスの種類(オペレーション)で、サービス利用許可証で指定された種類のデータにアクセスする場合のみであることを特徴とする、 The interest of the service provided, the type of service specified in the service license (operation), and characterized in that when accessing the specified type of data service license,
    ICカード利用許可システム。 IC card use permission system.
  10. 請求項6〜9の何れかに記載のICカードサービス利用許可システムにおいて、 In IC card service use permission system according to any of claims 6-9,
    サービス許可者サーバが、サービス利用者サーバへのサービス利用許可証を発行した際に、サービス許可者サーバ内へ、発行履歴を課金情報として登録する、課金情報登録手段を持つことを特徴とする、 Service authorization's server, in upon the issuance of a service license to the service user's server, to service the authorized person in the server, to register the issuance history as billing information, characterized in that it has a billing information registration means,
    ICカードサービス利用許可システム。 IC card service use permission system.
  11. 請求項1〜5の何れかに記載の方法を実行するためのコンピュータプログラム。 Computer program for executing the method according to any of claims 1 to 5.
  12. 請求項11記載のコンピュータプログラムを記録したコンピュータ読取可能記録媒体。 Computer readable recording medium storing a computer program according to claim 11, wherein.
JP2002265385A 2002-09-11 2002-09-11 IC card service use permission method and system for multiple service users Active JP3996022B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002265385A JP3996022B2 (en) 2002-09-11 2002-09-11 IC card service use permission method and system for multiple service users

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002265385A JP3996022B2 (en) 2002-09-11 2002-09-11 IC card service use permission method and system for multiple service users

Publications (2)

Publication Number Publication Date
JP2004102784A true JP2004102784A (en) 2004-04-02
JP3996022B2 JP3996022B2 (en) 2007-10-24

Family

ID=32264541

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002265385A Active JP3996022B2 (en) 2002-09-11 2002-09-11 IC card service use permission method and system for multiple service users

Country Status (1)

Country Link
JP (1) JP3996022B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349885B2 (en) 1998-05-29 2008-03-25 E-Micro Corporation Wallet consolidator and related methods of processing a transaction using a wallet consolidator
JP2014535109A (en) * 2011-11-01 2014-12-25 ジェーヴィーエル ベンチャ−ズ, エルエルシーJVL Ventures, LLC. System, method and computer program product for managing safety elements
US9479571B2 (en) 2012-09-18 2016-10-25 Google Inc. Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements
US9544759B2 (en) 2011-11-01 2017-01-10 Google Inc. Systems, methods, and computer program products for managing states
US10127533B2 (en) 2012-07-31 2018-11-13 Google Llc Managing devices associated with a digital wallet account

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7349885B2 (en) 1998-05-29 2008-03-25 E-Micro Corporation Wallet consolidator and related methods of processing a transaction using a wallet consolidator
US7708198B2 (en) 1998-05-29 2010-05-04 E-Micro Corporation Wallet consolidator to facilitate a transaction
US7712658B2 (en) 1998-05-29 2010-05-11 E-Micro Corporation Wallet consolidator and related methods of processing a transaction using a wallet consolidator
US7828208B2 (en) 1998-05-29 2010-11-09 E-Micro Corporation Retail point-of-transaction system, program products, and related methods to provide a customized set of identification data to facilitate a transaction using electronic coupons
US8225995B1 (en) 1998-05-29 2012-07-24 Frank Joseph Gangi Retail point-of-transaction system, program products, and related methods to provide a customized set of identification data to facilitate a transaction using electronic coupons
US8261978B2 (en) 1998-05-29 2012-09-11 E-Micro Corporation Wallet consolidator to facilitate a transaction
JP2016177826A (en) * 2011-11-01 2016-10-06 グーグル インコーポレイテッド Systems, methods, and computer program products for managing secure elements
US9323945B2 (en) 2011-11-01 2016-04-26 Google Inc. Systems, methods, and computer program products for managing secure elements
JP2014535109A (en) * 2011-11-01 2014-12-25 ジェーヴィーエル ベンチャ−ズ, エルエルシーJVL Ventures, LLC. System, method and computer program product for managing safety elements
US10114976B2 (en) 2011-11-01 2018-10-30 Google Llc Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements
US9544759B2 (en) 2011-11-01 2017-01-10 Google Inc. Systems, methods, and computer program products for managing states
US9652628B2 (en) 2011-11-01 2017-05-16 Google Inc. Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements
US9928382B2 (en) 2011-11-01 2018-03-27 Google Llc Systems, methods, and computer program products for managing secure elements
US10127533B2 (en) 2012-07-31 2018-11-13 Google Llc Managing devices associated with a digital wallet account
US10057773B2 (en) 2012-09-18 2018-08-21 Google Llc Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements
US9479571B2 (en) 2012-09-18 2016-10-25 Google Inc. Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements

Also Published As

Publication number Publication date
JP3996022B2 (en) 2007-10-24

Similar Documents

Publication Publication Date Title
US7788501B2 (en) Methods for secure backup of personal identity credentials into electronic devices
US7899187B2 (en) Domain-based digital-rights management system with easy and secure device enrollment
JP4463979B2 (en) Apparatus and method for storing, verifying and using cryptographically camouflaged cryptographic keys
US7319759B1 (en) Producing a new black box for a digital rights management (DRM) system
JP4552294B2 (en) Content distribution system, content distribution method, information processing apparatus, and program providing medium
JP4654498B2 (en) Personal authentication system, personal authentication method, information processing apparatus, and program providing medium
US7016498B2 (en) Encrypting a digital object on a key ID selected therefor
KR100843494B1 (en) Method and system for the supply of data, transactions and electronic voting
US7073195B2 (en) Controlled access to credential information of delegators in delegation relationships
US7398557B2 (en) Accessing in a rights locker system for digital content access control
US8589442B2 (en) Intersystem single sign-on
JP4655345B2 (en) Information processing apparatus, information processing method, and program providing medium
US9083533B2 (en) System and methods for online authentication
US7783887B2 (en) Method and apparatus for providing television services using an authenticating television receiver device
US6421779B1 (en) Electronic data storage apparatus, system and method
US7925591B2 (en) Retail transactions involving digital content in a digital rights management (DRM) system
US6334118B1 (en) Software rental system and method for renting software
AU776027B2 (en) Method and system for enforcing access to a computing resource using a licensing attribute certificate
JP4660900B2 (en) Personal authentication application data processing system, personal authentication application data processing method, information processing apparatus, and program providing medium
JP4668551B2 (en) Personal authentication device and system and method thereof
US6873975B1 (en) Content usage control system, content usage apparatus, computer readable recording medium with program recorded for computer to execute usage method
JP4736744B2 (en) Processing device, auxiliary information generation device, terminal device, authentication device, and biometric authentication system
US6219652B1 (en) Network license authentication
US7809648B2 (en) System and method for software licensing
US7958377B2 (en) Secure access system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040726

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070613

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070731

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070801

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100810

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 3996022

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100810

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100810

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110810

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120810

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130810

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350